Ро-алгоритм Полларда: различия между версиями

ρ-aлгоритм Джона Полларда, предложенный им в 1975 году, служит для факторизации целых чисел. Он основывается на алгоритме Флойда поиска длины цикла в последовательности и некоторых следствиях из парадокса дней рождений. Алгоритм наиболее эффективен при факторизации составных чисел с достаточно малыми множителями в разложении.

Во всех ρ-методах Полларда строится числовая последовательность, элементы которой образуют цикл, начиная с некоторого номера n, что может быть проиллюстрировано, расположением чисел в виде греческой буквы ρ. Это и послужило названием семейству методов.

В конце 60х годов 20 века Роберт Флойд придумал дочтаточно эффективный алгоритм поиска длины цикла в последовательности, также известный, как алгоритм "черепаха и заяц".^[1] Джон Поллард, Дональд Кнут и другие математики проанализировали поведение этого алгоритма в среднем случае. Было предложено несколько модификаций и улучшений алгоритма.

В 1975 году Поллард опубликовал статью, в которой он, основываясь на алгоритме Флойда обнаружения циклов, изложил идею алгоритма факторизации чисел, работающего за время, пропорциональное ${\displaystyle N^{1/4}}$.^[2] Автор алгоритма назвал его методом факторизации Монте-Карло, отражая кажущуюся случайность чисел, генерируемых в процессе вычисления. Однако позже метод все-таки получил свое современное название — ρ-aлгоритм Полларда.^[3]

В 1981 году Ричард Брент и Джон Поллард с помощью алгоритма нашли наименьшие делители чисел Ферма ${\displaystyle F_{n}=2^{2^{n}}+1}$ при ${\displaystyle 5\leq n\leq 13}$.^[4] Так, ${\displaystyle F_{8}=1238926361552897\cdot p_{62}}$, где ${\displaystyle p_{62}}$ - простое число, состоящее из 62 десятичных цифр.

В рамках проекта "Cunningham project" алгоритм Полларда помог найти делитель длиной 19 цифр числа ${\displaystyle 2^{2386}+1}$. Большие делители также могли бы быть найдены, однако открытие метода факторизации с помощью эллиптических кривых сделало алгоритм Полларда неконкурентоспособным.^[5]

Рассмотрим последовательность целых чисел ${\displaystyle {x_{n}}}$, такую что ${\displaystyle x_{0}=2}$ и ${\displaystyle x_{i+1}=x_{i}^{2}-1\,(\mathrm {mod} \,n)}$, где ${\displaystyle n}$ - число, которое нужно факторизовать. Оригинальный алгоритм выглядит следующим образом.^[6]

1. Будем вычислять тройки чисел

${\displaystyle (x_{i},x_{2i},Q_{i}),i=1,2,...}$, где ${\displaystyle Q_{i}\equiv \prod _{j=1}^{i}(x_{2j}-x_{j})\,(\mathrm {mod} \,n)}$.

Причем каждая такая тройка получается из предыдущей.

2. Каждый раз, когда число ${\displaystyle i}$ кратно числу ${\displaystyle m}$ (скажем, ${\displaystyle m=100}$), будем вычислять наибольший общий делитель ${\displaystyle d_{i}=\mathrm {GCD} (Q_{i},n)}$ любым известным методом.

3. Если ${\displaystyle 1<d_{i}<n}$, то найдено частичное разложения числа ${\displaystyle n}$, причем ${\displaystyle n=d_{i}\times (n/d_{i})}$.

Найденный делитель ${\displaystyle d_{i}}$ может быть составным, поэтому его также необходимо факторизовать. Если число ${\displaystyle n/d_{i}}$ составное, то продолжаем алгоритм с модулем ${\displaystyle n'=n/d_{i}}$.

4. Вычисления повторяются ${\displaystyle S}$ раз. Например, можно пректратить алгоритм при ${\displaystyle i=S=10^{5}}$. Если при этом число не было до конца факторизовано, можно выбрать, например, другое начальное число ${\displaystyle x_{0}}$.

Пусть ${\displaystyle n}$ составное целое положительное число, которое требуется разложить на множители. Алгоритм выглядит следующим образом:^[7]

1. Выбираем небольшое число ${\displaystyle x_{0}}$ и строим последовательность ${\displaystyle \{x_{n}\},n=0,1,2,...}$, определяя каждое следующее как ${\displaystyle x_{n+1}=F(x_{n})\,(\mathrm {mod} \,\,n)}$.
2. Одновременно на каждом i-ом шаге вычисляем ${\displaystyle d=\mathrm {GCD} (n,|x_{i}-x_{j}|)}$ для каких-либо ${\displaystyle i}$, ${\displaystyle j}$ таких, что ${\displaystyle j<i}$.
3. Если обнаружили, что ${\displaystyle d>1}$, то вычисление заканчивается, и найденное на предыдущем шаге число ${\displaystyle d}$ является делителем числа ${\displaystyle n}$. Если ${\displaystyle n/d}$ не является простым числом, то процедуру можно продолжить, взяв в качестве ${\displaystyle n}$ число ${\displaystyle n/d}$.

Как на практике выбирать функцию ${\displaystyle F(x)}$? Функция должна быть не слишком сложной для вычисления, но в то же время не должна быть линейным многочленом, а также не должна порождать взаимно однозначное отображение. Обычно в качестве ${\displaystyle F(x)}$ берут функцию ${\displaystyle F(x)=x^{2}\pm 1(\mathrm {mod} \,n)}$ или ${\displaystyle F(x)=x^{2}\pm a(\mathrm {mod} \,n)}$.^[8] Однако, не следует использовать функции ${\displaystyle x^{2}-2}$ и ${\displaystyle x^{2}}$.^[6]

Если известно, что для делителя ${\displaystyle p}$ числа ${\displaystyle n}$ справедливо ${\displaystyle p\equiv 1\,(\mathrm {mod} \,k)}$ при некотором ${\displaystyle k>2}$, то имеет смысл использовать ${\displaystyle F(x)=x^{k}+b}$.^[6]

Существенным недостатком алгоритма в такой реализации является необходимость хранить большое число предыдущих значений ${\displaystyle x_{j}}$.

Изначальная версия алгоритма обладает рядом недостатков. В настоящий момент существует несколько подходов к улучшению оригинального метода.

Пусть в оригинальном алгоритме ${\displaystyle F(x)=(x^{2}-1)\mathrm {mod} \,n}$. Заметим, что если ${\displaystyle (x_{j}-x_{i})\equiv 0(\mathrm {mod} \,p)}$, то ${\displaystyle (f(x_{j})-f(x_{i}))\equiv 0(\mathrm {mod} \,p)}$, поэтому, если пара ${\displaystyle (x_{i},x_{j})}$ дает нам решение, то решение даст любая пара ${\displaystyle (x_{i+k},x_{j+k})}$.

Поэтому, нет необходимости проверять все пары ${\displaystyle (x_{i},x_{j})}$, а можно ограничиться парами вида ${\displaystyle (x_{i},x_{j})}$, где ${\displaystyle j=2^{k}}$, и ${\displaystyle k}$ пробегает набор последовательны значений 1, 2, 3, ..., а ${\displaystyle i}$ принимает значения из интервала ${\displaystyle [2^{k}+1;2^{k+1}]}$. Например, ${\displaystyle k=3}$, ${\displaystyle j=2^{3}=8}$, а ${\displaystyle i\in [9;16]}$.^[7] Эта идея была предложена Ричардом Брентом^[2] в 1980 году и позволяет уменьшить количество выполняемых операций приблизительно на 25%.^[9]

Еще одна вариация P-метода полларда была разработана Флойдом. Согласно Флойду, значение y обновляется на каждом шаге по формуле ${\displaystyle y=F^{2}(y)=F(F(y))}$, поэтому на шаге i будут получены значения ${\displaystyle x_{i}=F^{i}(x_{0})}$, ${\displaystyle y_{i}=x_{2i}=F^{2i}(x_{0})}$, и НОД на этом шаге вычисляется для ${\displaystyle n}$ и ${\displaystyle y-x}$.^[7]

Пусть ${\displaystyle n=8051}$, ${\displaystyle F(x)=(x^{2}+1)\,\mathrm {mod} \,8051}$, ${\displaystyle x_{0}=2}$.

Таким образом, 97 - нетривиальный делитель числа 8051. Используя другие варианты полинома ${\displaystyle F(x)}$, можно также получить делитель 83.

Алгоритм основывается на известном парадоксе дней рождения.

Теорема. (Парадокс дней рождения)

Пусть ${\displaystyle \lambda >0}$. Для случайной выборки из ${\displaystyle l+1}$ элементов, каждый их которых меньше ${\displaystyle q}$, где ${\displaystyle l={\sqrt {2\lambda q}}}$, вероятность того, что два элемента окажутся одинаковыми ${\displaystyle p>1-\exp ^{-\lambda }}$.

Следует отметить, что вероятность ${\displaystyle p=0.5}$ в парадоксе дней рождения достигается при ${\displaystyle \lambda \approx 0.69}$.

Пусть последовательность ${\displaystyle \{u_{n}\}}$ состоит из разностей ${\displaystyle x_{i}-x_{j}}$, проверяемых в ходе работы алгоритма. Определим новую последовательность ${\displaystyle \{z_{n}\}}$, где ${\displaystyle z_{n}=u_{n}\,\mathrm {mod} \,q}$, ${\displaystyle q}$ — меньший из делителей числа ${\displaystyle n}$.

Все члены последовательности ${\displaystyle \{z_{n}\}}$ меньше ${\displaystyle {\sqrt {n}}}$. Если рассматривать её как случайную последовательность целых чисел, меньших ${\displaystyle q}$, то, согласно парадоксу дней рождения, вероятность того, что среди ${\displaystyle l+1}$ её членов попадутся два одинаковых, превысит ${\displaystyle 1/2}$ при ${\displaystyle \lambda \approx 0.69}$, тогда ${\displaystyle l}$ должно быть не меньше ${\displaystyle {\sqrt {2\lambda q}}\approx {\sqrt {1.4q}}\approx 1.18{\sqrt {q}}}$.

Если ${\displaystyle z_{i}=z_{j}}$, тогда ${\displaystyle x_{i}-x_{j}\equiv 0\,\mathrm {mod} \,q}$, то есть, ${\displaystyle x_{i}-x_{j}=kq}$ для некоторого целого ${\displaystyle k}$. Если ${\displaystyle x_{i}\neq x_{j}}$, что выполняется с большой вероятностью, то искомый делитель ${\displaystyle q}$ числа ${\displaystyle n}$ будет найден как ${\displaystyle \mathrm {GCD} (n,|x_{i}-x_{j}|)}$. Поскольку ${\displaystyle {\sqrt {q}}\leq n_{1/4}}$, то с вероятностью, превышающей 0.5, делитель ${\displaystyle n}$ будет найден за ${\displaystyle 1.18\times n^{1/4}}$ итераций.^[7]

Чтобы оценить сложность алгоритма, можно рассматривать последовательность, строящуюся в процессе вычислений, как случайную (разумеется, ни о какой строгости при этом говорить нельзя). Чтобы полностью факторизовать число ${\displaystyle n}$ длиной ${\displaystyle \beta }$ бит, достаточно найти все его делители, не превосходящие ${\displaystyle {\sqrt {n}}}$, что требует максимум порядка ${\displaystyle {\sqrt {n}}}$ арифметических операций, или ${\displaystyle n^{1/4}\beta ^{2}=2^{\beta /4}\beta ^{2}}$ битовых операций.

Поэтому сложность алгоритма оценивается, как ${\displaystyle O(n^{1/4})}$.^[10] Однако в этой оценке не учитываются накладные расходы по вычислению наибольшего общего делителя. Полученная сложность алгоритма, хотя и не является точной, достаточно хорошо согласуется с практикой.

Справедлива следующая теорема. Пусть ${\displaystyle n}$ — составное число. Тогда существует такая константа ${\displaystyle C}$, что для любого положительного числа ${\displaystyle \lambda }$ вероятность события, состоящего в том, что ρ-метод Полларда не найдет нетривиального делителя ${\displaystyle n}$ за время ${\displaystyle C{\sqrt {\lambda {\sqrt {n}}}}(\log n)^{3}}$, не превосходит величины ${\displaystyle e^{-\lambda }}$. Данная теорема следует из парадокса дней рождения.

Объем памяти, используемый алгоритмом, можно значительно уменьшить.

 int Rho-Поллард (int n)
 { 
   int x = random(1, n-2);
   int y = 1; int i = 0; int stage = 2;
   while (Н.О.Д.(n, abs(x  y)) == 1)
   {
     if (i == stage ){
       y = x;
       stage = stage*2; 
     }
     x = (x*x + 1) (mod n);
     i = i + 1;
   }
   return Н.О.Д(n, abs(x-y));
 }

В этом варианте вычисление требует хранить в памяти всего три переменные ${\displaystyle n}$, ${\displaystyle x}$, и ${\displaystyle y}$, что выгодно отличает метод в такой реализации от других методов факторизации чисел.^[7]

Алгоритм Полларда допускает распараллеливание с импользованием любого стандарта параллельных вычислений (например, OpenMP и др.).

Существует несколько вариантов распараллеливания, но их общая идея заключается в том, что каждый процессор исполняет последовательный алгоритм, причем исходное число ${\displaystyle x_{0}}$ и/или полином ${\displaystyle F(x)}$ должны быть различными для каждого процессора. Однако такая параллельная реализация не дает линейного ускорения.

Предположим что есть ${\displaystyle P}$ одинаковых процессоров. Если мы используем ${\displaystyle P}$ различных последовательностей (т.е. различных полиномов ${\displaystyle F(x)}$), то вероятность того, что первые ${\displaystyle k}$ чисел в этих последовательностях будут различными по модулю ${\displaystyle p}$ будет примерно равна ${\displaystyle \exp({-k^{2}P}/{2p})}$. Таким образом, ускорение можно оценить как ${\displaystyle P^{1/2}}$.^[5]

Ричард Крандалл предположил, что достижимо ускорение ${\displaystyle O(P/(log{P})^{2})}$, однако данное утверждение пока не проверено.^[11]

• Ишмухаметов Ш. Т. Методы факторизации натуральных чисел: Учебное пособие. — Казань: Казанский Университет, 2011. — С. 61-64. — 190 с.
• О.Н. Василенко. Теоретико-числовые алгоритмы в криптографии. М.: МЦНМО, 2003.
• Ю.П. Соловьев, В.А. Садовничий, Е.Т. Шавгулидзе, В.В. Белокуров. Эллиптические кривые и современные алгоритмы теории чисел. Москва – Ижевск: Институт компьютерных исследований, 2003.
• Brent, Richard P. (1980), "An Improved Monte Carlo Factorization Algorithm" (PDF), BIT, 20: 176—184, doi:10.1007/BF01933190
• Childs, Lindsay N. Congruences // Введение в высшую алгебру = Concrete Introduction to Higher Algebra. — 3-е изд. — USA: Springer, 2009. — С. 471-473. — 603 с. — ISBN 978-0-387-74725-5.
• Koshy T. Congruences // Элементарная теория чисел и ее приложения = Elementary Number Theory with Applications. — 2-е изд. — USA: Academic Press, 2007. — С. 238. — 771 с. — ISBN 9780123724878.
• Pollard J. M. Методы факторизации и проверка простоты. (англ.) = Theorems on factorization and primality testing. // Математические Труды Кэмбриджского Философского Общества (Mathematical Proceedings of the Cambridge Philosophical Society). — 1974. — Т. 76, № 3. — С. 521. — doi:10.1017/S0305004100049252.
• Reisel, H. Простые числа и компьютерные методы факторизации = Prime Numbers and Computer Methods for Factorization. — 2-е изд. — USA: Springer, 2012. — С. 183. — 464 с. — ISBN 978-0-8176-8297-2.

• P-1 алгоритм Полларда
• P+1 алгоритм Уильямса
• Метод пробных делений
• Метод Ферма
• P-метод Полларда дискретного логарифмирования