Регистрация Войти
Рейтинг:3
avatar Crypto

Вероятность успешного выбора основания в методе p-1 факторизации Полларда

флаг gb
CryptoN00b

В задаче о методе p-1 факторизации Полларда, где $n=pq$. Выбираем некоторую случайную базу $а$ , и показатель степени $В$, где надеюсь $p-1$ имеет малые простые множители, и если это так, мы надеемся оценить $p = \gcd(a^B-1,n)$.

Мы хотим оценить вероятность того, что для данного показателя $В$, случайно выбранная база $а$ удовлетворяет этому $р$ делит $a^B-1$ и $q$ не делит $a^B-1$. Мы предполагаем, что простые факторизации $p-1,q-1,\text{ и } B$ известны. Как я могу оценить вероятность успеха? Спасибо.

159
0 + 0
Рейтинг:3
avatar Crypto
флаг pe
Samuel Neves

$p-1$ метод работает, по определению, всякий раз, когда мультипликативный порядок из $а$ по модулю $р$ является делителем $В$. Если $В$ является кратным $p-1$, то есть максимально возможный мультипликативный порядок $а$, вероятность $1$.

Итак, нас интересует случай, когда $В$ делает нет содержать каждый делитель $p-1$. Если он не содержит ни одного из них, вероятность равна $0$.

Ключевая проблема здесь заключается в том, чтобы иметь число $д$ соответствующие факторам $p-1$ отсутствует в $В$, чтобы подсчитать количество элементов $\mathbb{F}_p^{\ast}$ чей порядок $(p-1)/д$ или любой из его делителей. Это именно те элементы, для которых недостающие множители из их порядка не влияют на успех факторизации. Если $д=1$, количество элементов $p-1$, то есть весь диапазон. Если $д = 2$, это число есть количество таких элементов, что $а^{(р-1)/2} = 1$, то есть количество квадратичные вычеты по модулю $р$ (исключая 0), что оказывается $(p-1)/2$.

В более общем плане, поскольку $\mathbb{F}_p^{\ast}$ является циклическим каждый элемент может быть представлен как $г^е$, для некоторых примитивный элемент $г$ и показатель степени $е$. Наша цель — подсчитать количество решений $е$ к $$ g^{e(p-1)/d} = 1 \pmod{p}\,, $$ или другими словами $$ e(p-1)/d = 0 \pmod{p-1}\,, $$ которое мы можем видеть, является числом, кратным $д$ вплоть до $p-1$, т. е. $\frac{p-1}{d}$.

Позволять $д$ быть произведением факторов $p-1$ что $В$ не содержит, т. е. $d = \frac{p-1}{\gcd(p-1, B)}$. Тогда вероятность порядка случайно выбранного $а$ расщепление $n$ дан кем-то $$ \frac{(p-1)/d}{p-1} = \frac{1}{d}\,. $$

Например, предположим $р = 15554690395797258751$. Теперь предположим $В$ содержит все факторы $p-1 = 2\cdot 3 \cdot 5^4 \cdot 11 \cdot 1021 \cdot 25013 \cdot 14765423$ кроме $2$. Тогда вероятность того, что $p-1$ факторизация работает $1/2$. Если $В$ с другой стороны, слишком низкий и не включает $14765423$, что более вероятно, вероятность факторизации становится $1/14765423$.

За $q-1$ применяются те же соображения. Однако при рассмотрении обоих $p-1$ и $q-1$ в то же время нужно вычесть случай, когда оба успешны, и в этом случае также нет факторизации. Как и выше, предположим $d_1$ пропавшие без вести $p-1$ факторы от $В$, и $d_2$ те из $q-1$. Тогда у нас есть вероятность успеха $$ \frac{1}{d_1}\left(1 - \frac{1}{d_2}\right) + \frac{1}{d_2}\left(1 - \frac{1}{d_1}\right) = \frac{1}{d_1} + \frac{1}{d_2} - \frac{2}{d_1d_2}\,, $$ это, $p-1$ преуспевает и $q-1$ терпит неудачу или $q-1$ преуспевает и $p-1$ терпит неудачу.

0 + 0
флаг gb
CryptoN00b
Не могли бы вы подробнее рассказать о том, как вы получили (p-1)/d, используя теорему Лагранжа? Спасибо
0
Ответить
флаг gb
CryptoN00b
Например, если взять p=19 и d=6, то ord(1)=1, ord(2,3,10,19,14,15)=18, ord(4,5,6,9 ,16,17)=9, ord(7,11)=3, ord(8,12)=6, ord(18)=2. Таким образом, количество элементов, порядок которых не делит d, равно 12, что не равно (p-1)/d.
0
Ответить
флаг pe
Samuel Neves
В вашем примере у нас есть $p-1 = 2\cdot 3^2$ и отсутствует $B$ $d = 6 = 2\cdot 3$. Но это означает, что $B = 3\cdot \dots$, так как нам не хватает только одной из степеней $3$. Итак, для успеха нам нужно, чтобы порядок $a$ не был кратен $2$ *и* $3^{2}$, из которых $3 = 18/6$ элементов, $\{1,7, 11\}$. Мое вышеприведенное объяснение явно неполно, поскольку оно верно только для простых чисел без степеней, но я считаю, что сам результат верен. Я посмотрю что я могу сделать.
0
Ответить
флаг pe
Samuel Neves
Отредактировал вещи, чтобы иметь больше смысла.
0
Ответить
kelalaka avatar
флаг in
kelalaka
Меня смущает третий абзац, который представляет собой отношение между $d$ количеством пропущенных множителей $B$ и $(p-1)/d$. Почему число пропущенных множителей имеет порядок $(p-1)/d$
0
Ответить
флаг pe
Samuel Neves
Если в $B$ отсутствует множитель $d$ числа $p-1$, то $a^B \bmod p$ эквивалентно $a^{(p-1)/d \cdot \dots} \bmod p$ . Итак, мы подсчитываем количество таких элементов, что $a^{(p-1)/d} = 1 \bmod p$, т. е. количество элементов порядка (не более) $(p-1) / д$.
0
Ответить
kelalaka avatar
флаг in
kelalaka
Я думаю, что _наличие числа $d$, соответствующего отсутствующим факторам_, меня смущает. Я прочитал это так, как будто не хватает $d$ факторов. Теперь я лучше вижу, что $d \nmid B$ не является размером множества $\{d\mid d \nmid B \}$.
0
Ответить
kelalaka avatar
флаг in
kelalaka
Пусть $d$ — произведение множителей $pâ1$, не содержащихся в $B$... Это верно, если $d$ простое число, однако тогда $d$ не простое число, в произведении не хватает некоторых число вроде пусть $2$ и $3$ отсутствует, однако произведение $d = 6$ не включает $2,4,9,$ и т.д. Разве нам не нужно включение-исключение там?
0
Ответить
флаг pe
Samuel Neves
Я не понимаю вашей точки зрения. Для любого элемента $a^{p-1} = 1$. Если в $B$ отсутствуют 2 и 3, т. е. $d=6$, то вместо этого вы вычисляете (игнорируя неделители $p-1$ в $B$) $a^{(p-1 )/6}$, потому что там уже есть все остальные делители $p-1$. Таким образом, метод будет работать для таких элементов, что $a^{(p-1)/6} = 1$. Обратите внимание, что $d$ и $p-1$ могут иметь общие множители, например, у вас может быть $p-1 = 2^5 3^3 5^4$ и $d = 10$, что означает $B = 2^ 4 3^3 5^3 \cdot \dots$, и в этом случае метод будет работать, когда $a^{2^4 3^3 5^3} = a^{(p-1)/10} = 1$ .
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.