Научная статья на тему 'О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ ФАКТОРИЗАЦИИ ЦЕЛЫХ ЧИСЕЛ'

О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ ФАКТОРИЗАЦИИ ЦЕЛЫХ ЧИСЕЛ Текст научной статьи по специальности «Математика»

CC BY
49
11
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
генерическая сложность / факторизация целых чисел / generic complexity / integer factorization

Аннотация научной статьи по математике, автор научной работы — Рыбалов Александр Николаевич

Изучается генерическая сложность проблемы факторизации целых чисел. Данная проблема, восходящая ещё к Гауссу, имеет важное значение для современной криптографии. Например, на предположении о её трудноразрешимости основывается криптостойкость системы шифрования с открытым ключом RSA. В работе доказывается, что при условиях трудноразрешимости этой проблемы в худшем случае и Р = ВРР для её решения не существует полиномиального сильно генерического алгоритма. Сильно генерический алгоритм решает проблему не на всём множестве входов, а на подмножестве, последовательность относительных плотностей которого при увеличении размера экспоненциально быстро сходится к единице. Для доказательства используется метод генерической амплификации, который позволяет строить генерически трудные проблемы из проблем, трудных в худшем случае. Основным ингредиентом этого метода является объединение эквивалентных входов в достаточно большие множества. Эквивалентность входов означает, что рассматриваемая проблема на них решается одинаково.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ON GENERIC COMPLEXITY OF THE INTEGER FACTORIZATION PROBLEM

This problem, which goes back to Gauss, has important applications in modern cryptography. For example, the cryptographic strength of the famous public key encryption system RSA is based on the assumption of its hardness. We prove that under the condition of worst-case hardness and P = BPP for the problem of integer factorization there is no polynomial strongly generic algorithm. A strongly generic algorithm solves a problem not on the entire set of inputs, but on a subset whose frequency sequence converges exponentially to 1 with increasing size. To prove this theorem, we use the method of generic amplification, which allows to construct generically hard problems from the problems hard in the classical sense. The main component of this method is the cloning technique, which combines problem inputs together into sufficiently large sets of equivalent inputs. Equivalence is understood in the sense that the problem is solved similarly for them.

Текст научной работы на тему «О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ ФАКТОРИЗАЦИИ ЦЕЛЫХ ЧИСЕЛ»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2023 Математические основы информатики и программирования № 61

МАТЕМАТИЧЕСКИЕ ОСНОВЫ ИНФОРМАТИКИ И ПРОГРАММИРОВАНИЯ

УДК 510.52 DOI 10.17223/20710410/61/7

О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ ФАКТОРИЗАЦИИ ЦЕЛЫХ ЧИСЕЛ1

А. Н. Рыбалов

Институт математики им. С. Л. Соболева СО РАН, г. Ом,ск, Россия E-mail: [email protected]

Изучается генерическая сложность проблемы факторизации целых чисел. Данная проблема, восходящая ещё к Гауссу, имеет важное значение для современной криптографии. Например, на предположении о её трудноразрешимости основывается криптостойкость системы шифрования с открытым ключом RSA. В работе доказывается, что при условиях трудноразрешимости этой проблемы в худшем случае и Р = ВРР для её решения не существует полиномиального сильно ге-нерического алгоритма. Сильно генерический алгоритм решает проблему не на всём множестве входов, а на подмножестве, последовательность относительных плотностей которого при увеличении размера экспоненциально быстро сходится к единице. Для доказательства используется метод генерической амплификации, который позволяет строить генерически трудные проблемы из проблем, трудных в худшем случае. Основным ингредиентом этого метода является объединение эквивалентных входов в достаточно большие множества. Эквивалентность входов означает, что рассматриваемая проблема на них решается одинаково.

Ключевые слова: генерическая сложность, факторизация целых чисел.

ON GENERIC COMPLEXITY OF THE INTEGER FACTORIZATION

PROBLEM

A. N. Rybalov

Sobolev Institute of Mathematics, Omsk, Russia

In the paper, we study the generic complexity of the integer factorization problem. This problem, which goes back to Gauss, has important applications in modern cryptography. For example, the cryptographic strength of the famous public key encryption system RSA is based on the assumption of its hardness. We prove that under the condition of worst-case hardness and P = BPP for the problem of integer factorization there is no polynomial strongly generic algorithm. A strongly generic algorithm solves a problem not on the entire set of inputs, but on a subset whose frequency sequence converges exponentially to 1 with increasing size. To prove this theorem, we use the method of generic amplification, which allows to construct generically hard problems from the problems hard in the classical sense. The main component of this method is

1 Работа выполнена в рамках госзадания ИМ СО РАН, проект FWNF-2022-0003.

122

А. H. Рыбалов

the cloning technique, which combines problem inputs together into sufficiently large sets of equivalent inputs. Equivalence is understood in the sense that the problem is solved similarly for them.

Keywords: generic complexity, integer factorization.

Введение

Проблема факторизации (разложения на множители) целых чисел является классической алгоритмической проблемой теории чисел, восходящей ещё к Гауссу, Для неё до сих пор не найдены эффективные (полиномиальные) алгоритмы [1]. На предположении о трудноразрешимое™ проблемы факторизации основана знаменитая система шифрования с открытым ключом USA [2].

В современной криптографии интересны такие проблемы, которые, являясь (гипотетически) трудными в классическом смысле, остаются трудными и в генеричееком смысле, т, е, для почти всех входов. Это объясняется тем, что при случайной генерации ключей в криптографическом алгоритме происходит генерация входа некоторой трудной алгоритмической проблемы, лежащей в основе алгоритма. Если проблема будет легкоразрешимой почти всегда, то для почти всех таких входов ее можно будет быстро решить и ключи почти всегда будут нестойкими. Поэтому проблема должна быть трудной для почти всех входов. Например, таким поведением обладают классические алгоритмические проблемы криптографии: проблема распознавания квадратичных вычетов [3], проблема дискретного логарифма [4], проблема извлечения корня в группах вычетов [5] (проблема обращения функции ES А).

Генерический подход [6] — это один из подходов к изучению алгоритмических проблем для «почти всех» входов, В рамках этого подхода алгоритмическая проблема рассматривается не на всём множестве входов, а на некотором подмножестве «почти всех» входов. Такие входы образуют так называемое генерическое множество. Понятие «почти все» формализуется введением естественной меры на множестве входных данных, С точки зрения практики алгоритмы, решающие быстро проблему на генеричееком множестве, так же хороши, как и быстрые алгоритмы для всех входов,

В данной работе изучается генерическая сложность проблемы факторизации целых чисел. Доказывается, что при условии трудноразрешимоети этой проблемы в худшем случае и Р = ВРР для неё не существует полиномиального сильно генеричеекого алгоритма, Сильно генерический алгоритм решает проблему не на всём множестве входов, а на подмножестве, последовательность относительных плотностей которого при увеличении размера экспоненциально быстро сходится к единице. Класс ВРР состоит из проблем, разрешимых за полиномиальное время на вероятностных машинах Тьюринга, Считается, что класс ВРР совпадает с классом Р, то есть любой полиномиальный вероятностный алгоритм можно эффективно дерандомизировать, построив полиномиальный алгоритм, не использующий генератор случайных чисел и решающий ту же

=

основания в пользу него [7].

1. Генерические алгоритмы

Пусть I — некоторое множество входов. Для подмножества S Ç I определим последовательность относительных плотностей

Pn(S) = ^, n =1, 2, 3,...,

| J-n I

где In — множество входов размера n, а Sn = S П In, Заметим, что pn(S) — это вероятность попасть в S при случайной и равновероятной генерации входов из In, В данной работе множеством входов для алгоритмов является множество натуральных чисел, записанных в двоичной форме. Под размером натурального числа понимаем длину его двоичной записи,

S

p(S) = lim pn(S).

Множество S называется генерическпм, если p(S) = 1, и пренебрежимым, если p(S) = 0, Очевидно, что S генеричеекое тогда и только тогда, когда его дополнение I \ S пренебрежимо,

S

ноеть pn(S) экспоненциально быстро сходится к нулю, т.е. существуют константы а, 0 < а < 1 и C > 0 такие, что для л юбого n

pn(S) < Can

Теперь S называется сильно генерическпм, если его дополнение I \ S сильно пренебрежимо.

Алгоритм A с множеством входов I и множеством выходов J U {?} (? Ф J) назы-()

AI

2) множество {x Ф I : A(x) = ?} является (сильно) генеричееким, Генеричеекий алгоритм A вычисляет функцию f : I ^ J, если (A(x) = у Ф J) ^ ^ (f (x) = y) для всех x Ф I. Ситуация A(x) = ? означает, что A не может вычислить f x A f

почти всех входах (входах из генеричеекого множества). Множество S С I называется ()

но) генеричеекий полиномиальный алгоритм, вычисляющий его характеристическую функцию,

2. Вероятностные алгоритмы

Напомним некоторые понятия классической теории сложности вычислений. Время работы tM (x) машины Тыоринга M на входе x Ф I это число шагов машины от начала работы до остановки. Если M на x те останавливается, полагаем tM (x) = то. Машина Тьюринга M полиномиальна, если существует полином p(n), такой, что для любого x Ф I имеет место tM(x) < p(|x|) Р состоит из подмножеств I, распо-

знаваемых полиномиальными машинами Тьюринга.

Вероятностная машина Тьюринга — это машина Тьюринга, в программе которой допускаются пары правил вида

(qi,a) ^ (qj,b,Si),

(qi, a) ^ (qfc, c, S2).

В процессе работы такой машины с вероятностью 1/2 выбирается первое правило и с вероятностью 1/2 — второе. Обозначим через P[M(x) = y] вероятность того, что машина M на входе x выдаёт ответ у. Время работы tM (x, т) вероятностной машины Тыо-x

команд) т. Проблема S С I принадлежит классу ВРР, если существует вероятностная машина Тьюринга M и полином p(n), такие, что:

124

А. Н. Рыбалов

1) для любого х и для любого вычислительного пути т машины М на х имеет место ¿м(х, т) < р(|х|);

2) если х е то Р[М(х) = 1] > 2/3;

3) если х е ^о Р[м(х) = о] > 2/3.

Вероятностные машины Тьюринга формализуют понятие алгоритма, использующего генератор случайных чисел. Класс ВРР — это класс проблем, эффективно решаемых такими вероятностными алгоритмами. Большинство специалистов по теоретиче-

=

что любой полиномиальный вероятностный алгоритм можно эффективно дерандоми-зировать, т. е. построить полиномиальный детерминированный алгоритм, решающий ту же задачу. Хотя равенство пока не доказано, имеются серьёзные результаты в его пользу [7].

3. Проблема факторизации целых чисел

Проблема факторизации целых чисел состоит в следующем. Дано натуральное число N, записанное в двоичной системе. Необходимо найти его разложение в произведение степеней простых чисел: N = р^1.. .р^Г-

Лемма 1. Существует полиномиальный алгоритм, который для любых натуральных чисел N и М то разложению на простые множители их произведения NM = = р^1... р^Т находит разложение па простые множители отдельно для чисел N и М,

Доказательство. Искомый полиномиальный алгоритм работает следующим образом. Для каждого простого числа рг, входящего в степени кг в разложение числа NM, пытаемся разделить N сначала парг, Если N делится на рг без остатка, то N/pi делим на рг, И так далее до тех пор, пока не получим ненулевой остаток от деления. Тем самым находим максимальную степень вг просто го рг, входящую в разложение числа N. Проделав это для всех рг, найдём искомое разложение N = р1.. . рт™- Тогда

1\/Г - гпкг — 3г гп^г — вт

М = р1 ... рт

Полиномиальность алгоритма следует из того, что операция деления с остатком проводится за полиномиальное время и количество простых множителей в разложении числа NM ограничено величиной ^^М), то есть размером входа. ■

4. Основной результат

Теорема 1. Если существует сильно генерический полиномиальный алгоритм, решающий проблему факторизации целых чисел, то существует вероятностный полиномиальный алгоритм, решающий эту проблему на всём множестве входов.

Доказательство. Допустим, что существует сильно генерический полиномиальный алгоритм А, решающий проблему факторизации. Построим вероятностный полиномиальный алгоритм В, решающий эту проблему па всём множестве входов. На натуральном числе N размера п (2га ^ N < 2га+1) алгоритм В работает следующим образом:

1) генерирует случайно и равновероятно натуральное число М размера п2 — п;

2) запускает алгоритм Л па числе NM;

3) если А^М) = ?, то есть алгоритм выдаёт разложение NM = р^1 ... ртто по лемме 1 находим за полиномиальное время разложение на простые множители для числа N

4) если А^М) = ?, то выдаёт ответ 2.

Заметим, что полиномиальный вероятностный алгоритм В выдаёт правильный ответ на шаге 3, а на шаге 4 может выдать неправильный ответ. Нужно доказать, что вероятность того, что ответ выдаётся на шаге 4, меньше 1/3,

Оценим вероятность выдачи ответа па шаге 4, Число М имеет размер п2 — п, значит, размер числа ММ равен п2 — п + п = и2. Вероятность того, что для ЯМ имеет место А(ММ) = ?, не больше

|{К € N : А(К)=?}га21 = |{К € N : А(К) = ?}га21 |^21 =

|{ММ : М € 1 1 |{ММ : М € 1

= |{К € N : А(К)=?}га21 2"2 = 2„ |{К € N : А(К)=?}га21 N21 2п2-п |Nn21 '

Так как множество {К € N : А(К) = ?} сильно пренебрежимое, то существует константа а > 0, такая, что

|{К € N : Л(К)=?}„21 < 1

)an2

|Nn21 2е

п

2n 1 1

< -

2«n2 2°n2 —n ~ з

при больших n.

Теорема 2. Если для проблемы факторизации не существует полиномиального алгоритма и Р = ВРР, то для неё не существует сильно генеричеекого полиномиального алгоритма.

Доказательство. Пусть существует сильно генерический алгоритм, решающий проблему факторизации. Тогда, по теореме 1, существует вероятностный полиномиальный алгоритм, решающий её на всём множестве входов. Этот же алгоритм решает следующую проблему распознавания A, которая полиномиально эквивалентна проблеме факторизации: даны натуральные числа N и K, нужно определить, существует ли неединичный множитель N меньше K, Таким образом, проблема A лежит

=

факторизации существует полиномиальный алгоритм. Противоречие, ■

ЛИТЕРАТУРА

1. Adleman L. М. and McCurley К. S. Open problems in number theoretic complexity, II // LNCS. 1994. V. 877. P. 291-322.

2. Rivest R., Shamir A., and Adleman L. A method for obtaining digital signatures and public-key cryptosvstems // Commun. ACM. 1978. V.21. Iss.2. P. 120-126.

3. Рыбалов A. H. О генерической сложности проблемы распознавания квадратичных вычетов // Прикладная дискретная математика. 2015. №2(28). С. 54-58.

4. Рыбалов А. Н. О генерической сложности проблемы дискретного логарифма // Прикладная дискретная математика. 2016. №3 (33). С. 93-97.

5. Рыбалов А. Н. О генерической сложности проблемы извлечения корня в группах вычетов // Прикладная дискретная математика. 2017. №38. С. 95-100.

6. KapovichL, Miasnikov A., Schupp P., and Shpilrain V. Generic-case complexity, decision problems in group theory and random walks //J. Algebra. 2003. V. 264. No. 2. P. 665-694.

7. Impagliazzo R. and WigdersonA. p = BPP unless E has subexponential circuits: Derandomizing the XOR Lemma. Proc. 29th STOC. El Paso, ACM, 1997. P. 220-229.

126

A. H. Pbi6a/iOB

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

REFERENCES

1. Adleman L. M. and McCurley K. S. Open problems in number theoretic complexity, II. LNCS, 1994, vol.877, pp. 291-322.

2. Rivest R., Shamir A., and Adleman L. A method for obtaining digital signatures and public-key cryptosvstems // Commun. ACM, 1978, vol.21, iss.2, pp. 120-126.

3. Rybalov A. N. O genericheskov slozhnosti problemv raspoznavaniva kvadratichnvkh vvchetov [On generic complexity of the quadratic residuositv problem]. Prikladnava Diskretnava Matematika, 2015, no. 2(28), pp. 54-58. (in Russian)

4. Rybalov A.N. O genericheskov slozhnosti problemv diskretnogo logarifma [On generic complexity of the discrete logarithm problem]. Prikladnava Diskretnava Matematika, 2016, no. 3(33), pp. 93-97. (in Russian)

5. Rybalov A.N. O genericheskov slozhnosti problemv izvlecheniva kornva v gruppakh vvchetov [On generic complexity of the problem of finding roots in groups of residues]. Prikladnava Diskretnava Matematika, 2017, no. 38, pp. 95-100. (in Russian)

6. KapovichL, Miasnikov A., Schupp P., and Shpilrain V. Generic-case complexity, decision

problems in group theory and random walks. J. Algebra, 2003, vol.264, no. 2, pp. 665-694.

=

Derandomizing the XOR Lemma. Proc. 29th STOC, El Paso, ACM, 1997, pp. 220-229.

i Надоели баннеры? Вы всегда можете отключить рекламу.