home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / sci / crypt / 3019 < prev    next >
Encoding:
Internet Message Format  |  1992-08-26  |  3.4 KB
  1. Path: sparky!uunet!cis.ohio-state.edu!pacific.mps.ohio-state.edu!linac!att!ucbvax!virtualnews.nyu.edu!brnstnd
  2. From: brnstnd@nyu.edu (D. J. Bernstein)
  3. Newsgroups: sci.crypt
  4. Subject: Re: RSA-129 contest
  5. Message-ID: <19122.Aug2700.12.0192@virtualnews.nyu.edu>
  6. Date: 27 Aug 92 00:12:01 GMT
  7. References: <9208260234.AA05450@ucbvax.Berkeley.EDU> <1992Aug26.132003.5928@linus.mitre.org>
  8. Organization: IR
  9. Lines: 59
  10.  
  11. In article <1992Aug26.132003.5928@linus.mitre.org> bs@gauss.mitre.org (Robert D. Silverman) writes:
  12. > Actually, estimating how long the general number field sieve
  13. > will take with respect to the quadratic sieve CAN be done without factoring
  14. > any numbers with GNFS.
  15.  
  16. Of course---that's exactly what you and Adleman have been doing. The
  17. problem is that you haven't been doing it *accurately*. Here, for the
  18. benefit of sci.crypt readers, I'll run through the inaccuracies in the
  19. above article.
  20.  
  21. Your general statement about 6-7 digits corresponding to a 2x speedup
  22. for 130-digit numbers is not accurate; even a casual analysis of
  23. Dickman's rho function (why do you call that ``the Knuth-Schroeppel
  24. function''? Dickman is the one who defined it) would show that the
  25. speedup is more than 5. Why are you trying to discourage people from
  26. entering the RSA-129 contest, Bob?
  27.  
  28. You say that ``if many small primes split completely in the extension
  29. field, this is beneficial to factoring the algebraic side''---but the
  30. truth is that *any* small prime splitting *at all* in the extension
  31. field provides a noticeable speedup. *Complete* splitting is rare.
  32.  
  33. You say that ``looking for good polynomials is non-deterministic'' and
  34. neglect to analyze the run time. In fact, as far as anyone knows, all
  35. the coefficients past the first three behave randomly, and it's easy to
  36. estimate the expected time to find a good polynomial. It's far more
  37. difficult to pin down the GNFS run time. Why are you trying to
  38. discourage people from entering the RSA-129 contest, Bob?
  39.  
  40. You chat about ``an optimal factor base size for this GNFS work.'' It is
  41. clear to me that the algebraic factor base should be much larger than
  42. the rational factor base for well-tuned general NFS factorizations; you
  43. should be talking about the *two* sizes, not one.
  44.  
  45. > Finally, to answer one of Dan's other questions:
  46. > I estimate that GNFS, with a 5th degree polynomial and random 21 digit
  47. > coefficients will take twice [say between 1.8 and 2.2] times as long to
  48. > factor RSA-129 as PPMPQS will. Reducing coefficients to 14 [or maybe 15]
  49. > digits will equalize the run times.
  50.  
  51. You *still* haven't answered the question; you still hedge by failing to
  52. analyze the small algebraic primes. Look, Bob, if you can't justify your
  53. GNFS run time estimates without all these caveats, then you should
  54. retract all the estimates you've made which *don't* come with the
  55. caveats.
  56.  
  57. > Note that
  58. > the variance in combining cycles also plays a role. I suspect that to
  59. > fully analyze how many cycles one should expect from a given number of
  60. > factored relations we would need an effective version of the Chebotarev
  61. > Density Theorem, and such a theorem does not yet exist.
  62.  
  63. I, on the other hand, suspect that a proper analysis---one which gives
  64. usable estimates of the mean and variance of the number of cycles, where
  65. we can take ``within a few percent'' as defining ``usable''---depends on
  66. nothing more than chopping up the large prime interval and applying the
  67. prime number theorem (or maybe just Mertens's theorem).
  68.  
  69. ---Dan
  70.