整数分解中周期的下限？

1975年，米勒（Miller）展示了如何减少整数的因式分解，以找到函数的周期，使得f（x + r）= f（x）随机选择a <N。众所周知，Shor算法可以在量子计算机上有效地找到r，而对于经典计算机来说，找到r是难以解决的。r f （x ）= a $N$$r$$f(x)=a^x\;\bmod\;N$a < N $f(x+r)=f(x)$$a<N$$r$$r$

我现在的问题是：随机N的r是否有已知的下界？给定N = pq，就像在RSA中一样，r上是否有边界？显然，r必须为\ Omega（\ log（N）），否则可以只对O（\ log（N））的连续点求f（x）以经典地计算出r。如果有一个经典的分解因数算法仅在一定的假设下对r的分布起作用，那么打破RSA就足够了，例如r \ in \ Theta（N / \ log（N））或r \ in \ Theta（\ sqrt { N}）？$r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

Carl Pomerance在“ 平均乘数阶数$n$上的陈述引用了证据，证明在所有N上r 平均$r$为O（N / \ log（N）），但我不确定经典算法是否可以分解N在r \ in O（N / \ log（N））的假设下，将最终破坏RSA。是否可以不利地选择N为r \ in O（N））或r \ in O（\ sqrt {N}）？$O(N/\log(N))$$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

（注意：关于通用分解与RSA分解存在一个相关问题）

如果，则周期将始终是的除数。如果您选择和作为素数，那么除非您非常幸运，否则我们将有。我也相信，我们能够有效地找到素数与随机选择的候选人，并测试它们（这是真的，如果事件和- [R φ （Ñ ）= 升Ç 米（p - 1 ，q - 1 ）p - 1 = 2 p ' q - 1 = 2 q ' p '，q ' - [R ≥ p ' q ' ≈ ñ / 4 p p = 2 p ' + 1 p $N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$素数是大致独立的；我不知道这是否已经被证实。因此，通过谨慎选择素数，即使有关于容易分解的其他假设，RSA仍然可以抵御攻击。

我怀疑随机数或随机极不可能具有，但是我没有证明这一点的辅助工具。的假设非常强，如果对于这种情况已知有效的分解算法，我也不会感到惊讶。Ñ = p q - [R ∈ Ô （$N$$N=pq$- [R∈Ô（$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$