บรรจวบ เข้าสู่ระบบ
Score:4
J. Doe avatar Crypto

กำหนดวัฏจักร $x \mapsto x^a$ โดยมีจุดเริ่มต้น $x_1$ สามารถแปลงจุดเริ่มต้นอื่น $x_2$ เพื่อสร้างวงจรเดียวกันได้หรือไม่

ธง at
J. Doe

สามารถสร้างลำดับวงจรได้ด้วย

$$s_{i+1} = s_i^a \mod N$$ กับ $N = P \cdot Q$ และ $P = 2\cdot p+1$ และ $Q = 2\cdot q+1$ กับ $พี,คิว,พี,คิว$ ช่วงเวลา
และ $a$ รากดั้งเดิมของ $p$ และ $คิว$.
จุดเริ่มต้น $s_0$ เป็นรูปสี่เหลี่ยมจัตุรัส ($\mod N$)
มันจะสร้างวัฏจักรของความยาว $\mathrm{lcm}(p-1.q-1)$
(ยกเว้น $s_0$ คือ $p$-th หรือ $คิว$- พลัง $\mod N$)

ให้ตอนนี้เป็นจุดเริ่มต้น $s_0 = x_1$ มันจะสร้างลำดับวงจรดังกล่าว
ให้จุดเริ่มต้นอื่น $s_0 = x_2$ มันจะสร้างลำดับวงจรที่มีความยาวเท่ากัน แต่มีสมาชิกที่แตกต่างกันโดยสิ้นเชิง

มีวิธีใดที่จะแปลงร่าง $x_2$ ดังนั้นมันจะสร้างลำดับวัฏจักรเหมือนกับ $x_1$ ทำ?
(แก้ไข: คำตอบที่โพสต์คือ if ใดๆ และไม่เหมือนกับคำถามจะทำเครื่องหมายเป็นคำตอบที่นี่ได้อย่างไร)

(เกี่ยวข้องกับคำตอบของ นี้)

อัปเดต:
ดูเหมือนว่าจำนวนรอบต่างๆ $N_c$ เป็น: $$ N_c = (S_N - S_{pq}) /L_c$$ $$ S_N = |\{ v^2 \mod N\}| \text{ กับ } v\in[1,N-1]$$ $$L_c = \mathrm{lcm}(p-1.q-1)$$ และ $S_{pq}$ จำนวนช่องสี่เหลี่ยมที่เป็น a ด้วย $p$-ไทย, $คิว$- พลัง $\mod N$ .
$S_N$ อาจจะใหญ่กว่าเสมอ $\frac{1}{4}N$

ในการทดสอบบางอย่างสำหรับ $N=3901$ กับ $P=47$ , $Q=83$, $a = 7$ (หรือ $11, 17, 19,..$) ทำได้สองรอบด้วย $L_c = 440$, $S_N = 1,006$, $S_{pq}=127$.
หนึ่ง $x1$ สามารถแปลงเป็นค่าจากรอบอื่นได้ (ซึ่งเริ่มต้นด้วย $x_2$) ด้วยเลขยกกำลัง $ข$ ชอบ $x_1^b \mapsto s_i\in \mathrm{รอบ}_{x_2}$
เลขชี้กำลังนี้จำเป็นต้องเป็น $b \in [3 , 5 , 6 , 10 , 12 , 13, 20 , 21 , 24 , 26 , 27 , 29 , 33 , 35 , 37, 40, 42 , 43 , 45, 47, ...]$
ไม่รู้ว่าทำไมค่าเหล่านั้นถึงได้ผล

สำหรับ $N=40633, P= 179, Q= 227$ กับ $S_N= 10259$ สี่เหลี่ยมรวมถึง $S_{pq}= 403$ มันมี $8$ รอบที่มีความยาว $L_c= 1232$. เลขชี้กำลัง $a$ สำหรับการสร้างลำดับสามารถ $a\in[3, 19, 23, 29, 43,..]$
สำหรับเลขชี้กำลังนี้ $ข$ ต้องการจะเป็น $b \in [7 , 13, 17 , 21, 28 , 39 , 51 , 52 , 62 , 63 , 68 , 71 , 79 , 84 , 110 , 112 , 117,125,..]$
การใช้เลขยกกำลังใดๆ เหล่านั้น $ข$ เป็นค่าเริ่มต้น $x_0$ ก็จะส่งผลเป็นวัฎจักรเป็นลำดับต่อไป ลำดับของวงจรนี้มีค่าเท่ากันสำหรับทุกเลขชี้กำลัง $ข$.

141
0 + 0
fgrieu avatar
ng flag
fgrieu
ฉันคิดว่ามี "ไพรม์รูท" ที่ควรมี [ไพรม์รูท](https://en.wikipedia.org/wiki/Primitive_root_modulo_n) เหตุผลของ "ยกเว้น (ถ้า) มันมี $p$-th หรือ $q$-th power$\bmod N$" จะช่วยฉันได้
0
ตอบกลับ
J. Doe avatar
at flag
J. Doe
@fgrieu ขอบคุณสำหรับคำแนะนำ เปลี่ยน ti เป็นรากดั้งเดิม น่าเสียดายที่ยังไม่สามารถบอกได้ว่าเหตุใดสิ่งนี้จึงเกิดขึ้นสำหรับกำลัง $p$-th, $q$-th ครั้งแรกกับ $\mathrm{mod}$ ไม่ใช่ไพรม์ แต่ฉันทำกรณีทดสอบ ($P=47, Q=83, a=7$) เกี่ยวกับเรื่องนี้และตามที่คาดไว้มันไม่ได้ผลกับตัวเลขเหล่านั้น (ความยาวรอบของ $40$ แทนที่จะเป็น $440$ ในกรณีทดสอบ) ขนาดรอบสั้นกว่ามาก (แต่คงที่) สำหรับตัวเลขที่ทดสอบ ข้อยกเว้นอีกครั้งแต่เช่น $1^p=1$ จะส่งผลให้วงจรมีความยาว $1$
0
ตอบกลับ
Score:3
poncho avatar Crypto
ธง my
poncho

ในการวิเคราะห์กรณีเช่นนี้ การดูโมดูโลพฤติกรรมจะเป็นประโยชน์ $พี$ และโมดูโล $คิว$ แยกกันแล้วดูว่ารวมกันอย่างไร ฉันจะเพิ่มสมมติฐานที่ว่า $P \ne Q$; คุณไม่ได้พูดอย่างชัดเจน ฉันเชื่อว่ามันสมเหตุสมผลที่คุณสันนิษฐานไว้

เมื่อเราดูโมดูโลโครงสร้างวัฏจักร $พี$เรามาดูกันก่อนว่า $s_0 \bmod P$ เป็นโมดูโลเรซิดิวกำลังสอง $พี$ (ซึ่งเป็นวิธีทางคณิตศาสตร์ในการพูดว่า "เป็นสี่เหลี่ยมจัตุรัส"); เนื่องจาก $a$ เป็นรากดั้งเดิมของ $p$แล้วเราจะเห็นว่ามีสามรอบ:

  • รอบของความยาว 1 (ค่า 0)

  • รอบของความยาว 1 (ค่า 1)

  • รอบของความยาว $p-1$; นี้เป็นเพราะ $a^i \bmod p-1$ เป็นค่าที่แตกต่างกันในช่วง $[0, หน้า-2]$, และ $s_0$ มีคำสั่ง $p-1$ (ในกลุ่มนี้ การตกค้างกำลังสองที่ไม่ใช่ 1 จะเป็นลำดับนั้นเสมอ) เป็นต้น $s_0^{a^i}$ เป็น $p-1$ ค่าที่แตกต่างกัน

เราได้ผลลัพธ์ที่คล้ายกันสำหรับการดูโมดูโลพฤติกรรม $คิว$.

เมื่อพิจารณาจากพื้นฐานเหล่านั้นแล้ว พวกมันรวมกันได้อย่างไร?

วงจรโมดูโล $พีคิว$ ทำซ้ำเฉพาะเมื่อทั้งวงจรโมดูโล $พี$ ซ้ำและวงจรโมดูโล $คิว$ ซ้ำ; ถ้า $พี$- รอบมีความยาว $\alpha$ และ $คิว$- รอบมีความยาว $\เบต้า$วงจรรวมกันนี้มีความยาว $\text{lcm}(\alpha, \beta)$.

นี่หมายความว่าการรวมกันของสองรอบใหญ่จะมีความยาว $\text{lcm}(p-1,q-1)$ (ซึ่งเป็นผลลัพธ์ที่คุณพบแล้ว) และมี $\gcd(p-1,q-1)$ วิธีที่วงจรขนาดใหญ่ทั้งสองนี้สามารถรวมกันได้

ตอนนี้เราพิจารณาชุดค่าผสมที่มีวงจรขนาดเล็ก เรามีชุดค่าผสมสองชุดพร้อมความยาวรอบ $p-1$, สองชุดที่มีความยาวรอบ $q-1$และสี่ชุดค่าผสมที่มีความยาวรอบ 1 (ซึ่งรวมถึง $s_0 = 0$ และ $s_0 = 1$).

ดังนั้น จำนวนรอบทั้งหมดคือ $\gcd(p-1, q-1) + 8$.

และเพื่อตอบคำถามของคุณ:

มีวิธีใดที่จะแปลงร่าง $x_2$ ดังนั้นมันจะสร้างลำดับวัฏจักรเหมือนกับ $x_1$ ทำ?

สำหรับจำนวนเต็มใดๆ $\เบต้า$, เรามี $s_{i+1}^\beta = (s_i^\beta)^a$. นั่นคือถ้าเรานำทุกองค์ประกอบของวัฏจักรแล้วเพิ่มพลัง $\เบต้า$เรายังมีวัฏจักร

ดังนั้นถ้าเรามีค่า $\เบต้า$ ซึ่ง $x_2^\เบต้า = x_1$นั่นทำให้เรามีวิธีเปลี่ยนวัฏจักรหนึ่งไปเป็นอีกวัฏจักรหนึ่ง

ปรากฎว่ามีอยู่เสมอ $\เบต้า$ ถ้าทั้งสองรอบมีขนาดใหญ่ทั้งคู่ (นั่นคือความยาว $\text{lcm}(p-1, q-1)$). สำหรับวัฏจักรเสื่อม (อื่นๆ ทั้งหมด) จะไม่มี - อย่างไรก็ตาม ฉันไม่คิดว่ากรณีนั้นน่าสนใจ...

แน่นอนการค้นหาดังกล่าว $\เบต้า$ ที่ให้ไว้ $x_1, x_2$ เป็นปัญหาที่ไม่สำคัญหาก $P, Q$ มีขนาดใหญ่...

0 + 0
J. Doe avatar
at flag
J. Doe
ขอบคุณที่อธิบาย ชัดเจนมากขึ้นแล้ว ในระหว่างการทดสอบรอบๆ ฉันยังพบว่าเป็นไปได้ (ด้วย $x_2^\beta$) (ที่การอัปเดตตัวอย่าง) ฉันวางแผนที่จะทำคำถามใหม่เกี่ยวกับเรื่องนี้ แต่ตอนนี้ดูเหมือนจะไม่จำเป็นอีกต่อไป ดังนั้นคำถามที่แท้จริงคือสามารถหา $\beta$ ดังกล่าวได้อย่างไร เพื่อความชัดเจน เป็นที่ทราบกันดีว่าเป็นปัญหาที่ไม่สำคัญสำหรับ $P,Q$ ขนาดใหญ่ หรือเป็นเพียงการเดาที่มีการศึกษา? นอกจากนี้ $x_2^\beta $ ไม่จำเป็นต้องเท่ากับ $x_1$ $\beta$ กับ $x_2^\beta=x_1^{a^i}$ ก็เพียงพอแล้ว การอนุญาตให้ $\beta$ จำนวนมากนี้เป็นไปได้ในกรณีตัวอย่าง ($b$) แต่ไม่สามารถบอกได้ถึง $P,Q$ ขนาดใหญ่
0
ตอบกลับ
poncho avatar
my flag
poncho
@J.Doe: การค้นหา $\beta$ เฉพาะ ดังนั้น $x_2^\beta = x_1$ จึงเรียกว่า 'ปัญหาการบันทึกแบบไม่ต่อเนื่อง' (เหนือคอมโพสิต); เป็นที่ทราบกันว่ายากพอๆ กับการแยกตัวประกอบโมดูลัส (และการแก้ล็อกแบบไม่ต่อเนื่องในทั้งสองกลุ่มไพรม์) ปัญหาทั่วไปในการค้นหา $\beta$ ใดๆ ตามที่คุณกล่าวถึงอาจง่ายกว่า อันที่จริง การคาดเดาแบบสุ่มมีความเป็นไปได้ที่ดีในการทำงาน แต่ก็ไม่ชัดเจนว่าจะยืนยันการคาดเดาของคุณได้อย่างไร ในทางกลับกัน ฉันคิดไม่ออกว่าปัญหาหนักๆ จะลดลงเหลือ...
1
ตอบกลับ
J. Doe avatar
at flag
J. Doe
... แต่แม้แต่ $\beta$ ทั่วไปก็อาจขึ้นอยู่กับค่า $x_2$ ที่เลือกหรือลำดับที่แน่นอนกว่านั้นที่จะสร้าง ดังนั้นอาจจำเป็นต้องมีการดำเนินการอื่นซึ่งส่งคืนค่าเดียวกันสำหรับแต่ละองค์ประกอบลำดับ หากการดำเนินการดังกล่าวออกจากค่าสุ่มสามารถทดสอบกับสิ่งนี้ได้ ดังนั้นปัญหาทั้งหมดยังสามารถใช้ถ้อยคำใหม่เป็นการเลือกค่าสุ่มจากลำดับเดียว (ในขณะที่มีอยู่มากมาย) โดยไม่รั่วไหลของพารามิเตอร์ที่เกี่ยวข้องกับความปลอดภัยหรือความสัมพันธ์กับองค์ประกอบลำดับอื่น ๆ (เช่น $s_i$ สุ่มสำหรับ $s_0$ ที่กำหนด)
0
ตอบกลับ
J. Doe avatar
at flag
J. Doe
โอเค DLP น่าจะยาก แม้ว่าเกี่ยวกับเรื่องนี้ แต่ก็ลบออกอีกครั้งเพราะสำหรับลำดับที่มี $x_i = x_o \cdot g^i \mod P$ สามารถทำได้โดยไม่ต้องใช้ DLP แต่นี่ก็มาจากค่าที่กำหนดหนึ่งค่าเป็นค่าสุ่มนอกลำดับ (เวอร์ชันทั่วไปมากขึ้น)
0
ตอบกลับ
J. Doe avatar
at flag
J. Doe
ไม่ควรเป็น $a^i \mod p$ ที่มีค่าตั้งแต่ $1$ ถึง $p-1$ แทนที่จะเป็น $a^i \mod p-1$ ที่มีค่าตั้งแต่ $0$ ถึง $p-2$ ใช่ไหม
0
ตอบกลับ
SSA avatar
ng flag
SSA
มันจะเป็น 1 หรือ -1 ขึ้นอยู่กับจำนวนไพรม์ (4k+3 หรือ 4k+1) ดังนั้นจึงเป็นการดีกว่าที่เราจะหลีกเลี่ยงการนับ p-1
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา