将分解质数乘积还原为整数乘积（在平均情况下）

我的问题是可以基于分解的难度构造的各种候选单向函数的安全性是否相等。

假设问题

分解：[给定随机素数，找到，。] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

不能在多项式时间内以不可忽略的概率求解，函数

优先：[给出位串作为输入，使用作为种子来生成两个随机质数和（其中，的长度仅比的长度小）。然后输出 ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

可以证明是单向的。

另一个候选单向函数是

整数-整数：[给出随机整数作为输入，输出 ] $A, B < 2^n$ $A B$

与PRIME-MULT相比，INTEGER-MULT具有更易于定义的优点。（尤其要注意，在PRIME-MULT中，种子无法生成素数的（尽管可以忽略不计）。） $x$ $P, Q$

至少在两个不同的地方（Arora-Barak，计算复杂性，第177页，脚注2）和（Vadhan的《密码学概论》讲义）中，提到INTEGER-MULT是假设平均分解系数的单向方法。但是，这两个都没有给出这个事实的原因或参考。

所以问题是：

我们如何才能将多项式时间因式分解成不可忽略的概率，而将INTEGER-MULT转化成不可忽略的概率呢？ $N = PQ$

这是一种可能的方法（我们将看到它不起作用！）：给定，将乘以（尽管是多项式地）更长的随机整数来获得。这个想法是，太大，以至于它有许多大小近似等于的素数，因此不会在的素数中“脱颖而出” 。则在给定范围内近似具有均匀随机整数的分布（例如 $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ）。接下来，选择整数从相同的范围内随机。 $[0,2^n-1]$ $B$ $[0,2^n-1]$

现在，如果对于INTEGER-MULT的逆变器可以，给定，以某种概率找到使得，希望是一个或包含作为一个因素，另一个包含。如果是这样的话，我们可以发现或采取的GCD 与。 $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

问题在于，逆变器可能会选择分离质数因子，例如，将的小因子放在，将大因子放在，这样和同时出现在或同时出现在。 $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

还有另一种可行的方法吗？

— 江见美
source

我们能否将INT-FACT的失败概率降低为指数级，然后使用质数的密度表示在两个质数的大多数乘积上不会失败？

— Kaveh

如果我们可以对所有实例反转INTEGER-MULT，而实例中的指数小部分除外，则实数的质数乘积确实很容易。但是我不知道从弱变频器获得强变频器的方法。

— Omid Etesami 2011年

这个问题的（某种程度上）逆已经在这里讨论过了。

— MS Dousti 2011年

mathoverflow.net/questions/71604/…–

— 伊藤刚（Tsuyoshi Ito）

这并不是一个真正的答案，但是它为证明这种减少的难度提供了一些启示。

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— 道斯蒂女士
source