RSA泄漏比特到因子N

Question

假设你随机生成大素数p和q，就像在RSA中一样，然后告诉我N=pq，而不是p或q。

然后，你想让我考虑因素N，除了你应该告诉我尽可能少的信息。假设p和q是4096位，那么您需要告诉我多少位才能使我在可行的时间内考虑N？

请注意，只要有一个PPT算法来计算这些比特，并且有一个PPT算法来使用这些比特来因子N，您就可以任意地设计这些比特的派生方式。

Answer 1

迟回复，但希望能有所帮助。

你还可以看到这篇论文:肯尼斯·G·帕特森( Kenneth G. Paterson )和安蒂戈尼·波尔( Antigoni Polychroniadou )和戴尔·L·西伯恩( Dale L. Sibborn )撰写的一种基于编码理论的RSA密钥恢复方法。

他们提供了许多攻击，但他们给出的答案是，边界或多或少是相同的铜匠的logN/4 bits。好的是，即使在随机比特的情况下，边界仍然存在。该算法的一个优点是，即使有时给出了错误的位值(允许错误更正)，也可以检索正确的因式分解。然而，它可能会更低。

Answer 2

我认为最有效的方法是泄漏适当西格玛的位，它描述了光滑的椭圆曲线，这将导致在一定工作量之后进行因式分解。

Answer 3

如果您想要故意泄漏信息，以便特定实体可以考虑N，但它通常是安全的，因为这是我可以从您的下一篇文章中了解到的，您必须查看设置(带有通用保护的秘密嵌入陷阱门)。最初的作品来自于Young & Yung，参见：http://dl.acm.org/citation.cfm?id=706030