home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / sci / crypt / 3011 < prev    next >
Encoding:
Text File  |  1992-08-26  |  6.2 KB  |  127 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!cis.ohio-state.edu!magnus.acs.ohio-state.edu!slc3.ins.cwru.edu!agate!linus!linus.mitre.org!gauss!bs
  3. From: bs@gauss.mitre.org (Robert D. Silverman)
  4. Subject: Re: RSA-129 contest
  5. Message-ID: <1992Aug26.132003.5928@linus.mitre.org>
  6. Sender: news@linus.mitre.org (News Service)
  7. Nntp-Posting-Host: gauss.mitre.org
  8. Organization: Research Computer Facility, MITRE Corporation, Bedford, MA
  9. References: <9208260234.AA05450@ucbvax.Berkeley.EDU>
  10. Date: Wed, 26 Aug 1992 13:20:03 GMT
  11. Lines: 114
  12.  
  13. In article <9208260234.AA05450@ucbvax.Berkeley.EDU> jbs@WATSON.IBM.COM writes:
  14. >
  15. >         Dan Bernstein posts:
  16. >:Instead he challenges me, saying, ``Dan, why don't you say what your
  17. >:estimates are?'' The answer is obvious: *I don't know*. I don't yet have
  18. >:reliable estimates, and until somebody factors a 130-digit general
  19. >:number, *nobody* will have reliable estimates.
  20. >         and also:
  21. >:> Define 'wimpy' please for the rest of the audience.
  22. >:
  23. >:Under 100 digits.
  24. >
  25. >         Well if you actually had a complete GFNS implementation for
  26. >general numbers I believe you would obtain more reliable estimates by
  27. >performing a whole bunch of "wimpy" factorizations as opposed to a
  28. >single factorization of RSA-129.
  29. >         You might also have a reliable figure of merit for what con-
  30. >stitutes a good polynomial representation.  Extensive searches for
  31. >polynomials using different criteria than the ones you will eventually
  32. >use to select a polynomial (which you are encouraging people to per-
  33. >form) are a waste of computer time (since such searches are inherant-
  34. >ly inefficient).
  35.  
  36. Actually, estimating how long the general number field sieve
  37. will take with respect to the quadratic sieve CAN be done without factoring
  38. any numbers with GNFS.
  39.  
  40. What really matters is not the actual coefficients, but the size of the 
  41. norms of the elements on both sides of the congruence. Based upon
  42. work with the special number field sieve, I can estimate that if one
  43. uses the same polymonial, but increases the integer side (the value of M)
  44. by about 6-7 digits then one roughly doubles the run time for numbers 
  45. near 130 digits. Similarly, if one holds the left size the same, but increases
  46. the coefficients on the right by 6-7 digits one also roughly doubles the
  47. run time. 
  48.  
  49. For RSA-129 'random' coefficients have about 20-21 digits. If one
  50. reduces these to 14 digits, one will roughly cut the run time in half.
  51.  
  52. The problem I have is that one must add the time you spent looking for
  53. good polynomials to the total run time. However, looking for good
  54. polynomials is non-deterministic. We do not know of a deterministic
  55. method which, if you spend time t, you will succeed in reducing the
  56. coefficients by size F(t). Thus, you cannot predict AT all how long
  57. a factorization will take. On the other hand, using the base M method,
  58. while sub-optimal, is deterministic.
  59.  
  60. If you estimate sieve time is T, and you spend (say) .2T looking 
  61. for a better polynomial, there is no guarantee of finding one, and
  62. you will have increased total time by 20% for no good reason. Nor do
  63. you have assurances that spending the extra time will reduce the sieve time
  64. by more than the time you spent searching.
  65.  
  66.  
  67. Another problem is that if many small primes split completely in
  68. the extension field, this is beneficial to factoring the algebraic
  69. side. It may be that a polynomial with slightly larger coefficients
  70. is in fact BETTER than one with slightly smaller, if the extension
  71. field it generates has more small primes that split.
  72.  
  73. Until MANY numbers near 130-140 digits have actually been factored
  74. we will not have accurate estimates if one allows a random search
  75. for optimal polynomials. However, if one sticks to the base-M method,
  76. one can get fairly accurate estimates of run-time simply by looking
  77. at the size of the norms and extrapolating from other factorizations.
  78. The run-time is very predictable from these norms.
  79.  
  80. One thing that helps estimating the run time of a QS factorization
  81. is the Knuth-Schroeppel function. It would be nice to have a similar
  82. function for the algebraic side of NFS. [finding one for the integer
  83. side is easy].
  84.  
  85. I have done the sieving for quite a few numbers with GNFS in the 30-90
  86. digit range, selecting polynomials by the base-M method. I did 10
  87. numbers each at 30,35,40,45,50,60,70,80, and 90 digits. The variance
  88. was rather high, but the average gave a fairly smooth curve for
  89. the run time. I have factored over 500 numbers with QS between 30
  90. and 105 digits and this data gives a *very* smooth curve when averaged.
  91. It is quite easy to get the o(1) term from these curves and use them
  92. to estimate where they intersect. From this, I get a crossover of
  93. about 135 digits.
  94.  
  95. The thing I am most uncertain about is whether I used an optimal
  96. factor base size for this GNFS work. I suspect I may have used
  97. factor bases that were too small. This would have the effect of
  98. slightly increasing the run time and thereby raise the estimate of
  99. the crossover point. 
  100.  
  101. Doing RSA-129 alone will not do anything towards verifying this
  102. estimate, because of the fairly high variance. We need to do perhaps
  103. a couple of dozen numbers at 120, 125, 130, 135, and 140 digits each
  104. before we can really determine the crossover point. The amount of
  105. CPU cycles required for doing this work is currently unavailable.
  106.  
  107. Finally, to answer one of Dan's other questions:
  108.  
  109. I estimate that GNFS, with a 5th degree polynomial and random 21 digit
  110. coefficients will take twice [say between 1.8 and 2.2] times as long to
  111. factor RSA-129 as PPMPQS will. Reducing coefficients to 14 [or maybe 15]
  112. digits will equalize the run times. This assumes that RSA-129 behaves like
  113. an 'average' 129 digit number, and that the chosen number field does not 
  114. have a particularly high density of small primes that split completely.
  115. I do not know of any way to determine whether RSA-129 is an 'average' 129
  116. digit number short of factoring quite a few numbers of this size. Note that
  117. the variance in combining cycles also plays a role. I suspect that to
  118. fully analyze how many cycles one should expect from a given number of
  119. factored relations we would need an effective version of the Chebotarev
  120. Density Theorem, and such a theorem does not yet exist.
  121.  
  122. --
  123. Bob Silverman
  124. These are my opinions and not MITRE's.
  125. Mitre Corporation, Bedford, MA 01730
  126. "You can lead a horse's ass to knowledge, but you can't make him think"
  127.