Batas bawah pada periode dalam faktorisasi bilangan bulat?

$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

Pertanyaan saya sekarang adalah: Apakah ada batas bawah yang diketahui pada untuk acak ? Apakah ada batasan pada diberikan dipilih seperti di RSA? Jelas, harus karena jika tidak, orang hanya bisa mengevaluasi pada poin berturut-turut untuk mencari klasik. Apakah cukup untuk memecah RSA jika ada algoritma anjak piutang klasik yang hanya bekerja berdasarkan asumsi pada distribusi , misalnya atau ?$r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

Presentasi dari Carl Pomerance di " The perkalian agar mod rata-rata$n$ " mengutip bukti bahwa adalah rata-rata selama semua , namun saya tidak yakin apakah algoritma klasik yang dapat faktor di bawah hipotesis akan memutuskan RSA secara meyakinkan. Dapatkah dipilih secara berlawanan untuk memiliki atau ?$r$$O(N/\log(N))$$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

(Catatan: Ada pertanyaan terkait pada anjak piutang generik vs anjak piutang RSA)

Jika , periode akan selalu menjadi pembagi . Jika Anda memilih dan untuk prime, maka kecuali Anda sangat beruntung, kami akan memiliki . Saya juga percaya bahwa kita dapat secara efisien menemukan bilangan prima dengan dengan memilih kandidat secara acak dan mengujinya (ini benar jika peristiwa yang dan$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$prima kira-kira independen; Saya tidak tahu apakah ini sudah terbukti). Dengan demikian, dengan hati-hati memilih bilangan prima Anda, RSA akan tetap aman terhadap serangan bahkan dengan hipotesis tambahan tentang anjak piutang mudah.

Saya menduga angka acak atau acak sangat tidak mungkin memiliki , tetapi saya tidak memiliki bukti begitu saja. Hipotesis sangat kuat, dan saya tidak akan terkejut jika algoritma anjak piutang yang efisien sudah diketahui untuk kasus ini.$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$