Ро-алгоритм Полларда: различия между версиями

ρ-Алгоритм — предложенный Джоном Поллардом^[англ.] в 1975 году алгоритм, служащий для факторизации (разложения на множители) целых чисел. Данный алгоритм основывается на шаблон не поддерживает такой синтаксис и некоторых следствиях из парадокса дней рождений. Алгоритм наиболее эффективен при факторизации составных чисел с достаточно малыми множителями в разложении. Сложность алгоритма оценивается как ${\displaystyle O(N^{1/4})}$^[1].

Во всех ρ-методах Полларда строится числовая последовательность, элементы которой образуют цикл, начиная с некоторого номера n, что может быть проиллюстрировано, расположением чисел в виде греческой буквы ρ, что послужило названием семейству методов.

В конце 60-х годов XX века Роберт Флойд придумал достаточно эффективный алгоритм поиска длины цикла в последовательности, также известный, как алгоритм «черепаха и заяц»^[2]. Джон Поллард, Дональд Кнут и другие математики проанализировали поведение этого алгоритма в среднем случае. Было предложено несколько модификаций и улучшений алгоритма.

В 1975 году Поллард опубликовал статью^[3], в которой он, основываясь на алгоритме Флойда обнаружения циклов, изложил идею алгоритма факторизации чисел, работающего за время, пропорциональное ${\displaystyle N^{1/4}}$^[3][1]. Автор алгоритма назвал его методом факторизации Монте-Карло, отражая кажущуюся случайность чисел, генерируемых в процессе вычисления. Однако позже метод всё-таки получил своё современное название — ρ-aлгоритм Полларда^[4].

В 1981 году Ричард Брент и Джон Поллард с помощью алгоритма нашли наименьшие делители чисел Ферма ${\displaystyle F_{n}=2^{2^{n}}+1}$ при ${\displaystyle 5\leq n\leq 13}$^[5].

Так, ${\displaystyle F_{8}=1238926361552897\cdot p_{62}}$, где ${\displaystyle p_{62}}$ — простое число, состоящее из 62 десятичных цифр.

В рамках проекта «Cunningham project^[англ.]» алгоритм Полларда помог найти делитель длиной 19 цифр числа ${\displaystyle 2^{2386}+1}$. Большие делители также могли бы быть найдены, однако открытие метода факторизации с помощью эллиптических кривых сделало алгоритм Полларда неконкурентоспособным^[6].

Рассмотрим последовательность целых чисел ${\displaystyle {x_{n}}}$, такую что ${\displaystyle x_{0}=2}$ и ${\displaystyle x_{i+1}=(x_{i}^{2}-1\,)(\mathrm {mod} \,N)}$, где ${\displaystyle N}$ - число, которое нужно факторизовать. Оригинальный алгоритм выглядит следующим образом^[7][3].

1. Будем вычислять тройки чисел

${\displaystyle (x_{i},x_{2i},Q_{i}),i=1,2,...}$, где ${\displaystyle Q_{i}\equiv \prod _{j=1}^{i}(x_{2j}-x_{j})\,(\mathrm {mod} \,N)}$.

Причём каждая такая тройка получается из предыдущей.

2. Каждый раз, когда число ${\displaystyle i}$ кратно числу ${\displaystyle m}$ (скажем, ${\displaystyle m=100}$), будем вычислять наибольший общий делитель ${\displaystyle d_{i}=\mathrm {GCD} (Q_{i},N)}$ любым известным методом.

3. Если ${\displaystyle 1<d_{i}<N}$, то найдено частичное разложения числа ${\displaystyle N}$, причём ${\displaystyle N=d_{i}\times (N/d_{i})}$.

Найденный делитель ${\displaystyle d_{i}}$ может быть составным, поэтому его также необходимо факторизовать. Если число ${\displaystyle N/d_{i}}$ составное, то продолжаем алгоритм с модулем ${\displaystyle N'=N/d_{i}}$.

4. Вычисления повторяются ${\displaystyle S}$ раз. Например, можно прекратить алгоритм при ${\displaystyle i=S=10^{5}}$. Если при этом число не было до конца факторизовано, можно выбрать, например, другое начальное число ${\displaystyle x_{0}}$.

Пусть ${\displaystyle N}$ составное целое положительное число, которое требуется разложить на множители. Алгоритм выглядит следующим образом:^[8]

1. Выбираем небольшое число ${\displaystyle x_{0}}$ и строим последовательность ${\displaystyle \{x_{n}\},n=0,1,2,...}$, определяя каждое следующее как ${\displaystyle x_{n+1}=F(x_{n})\,(\mathrm {mod} \,\,N)}$.
2. Одновременно на каждом i-ом шаге вычисляем ${\displaystyle d=\mathrm {GCD} (N,|x_{i}-x_{j}|)}$ для каких-либо ${\displaystyle i}$, ${\displaystyle j}$ таких, что ${\displaystyle j<i}$, например, ${\displaystyle i=2j}$.
3. Если обнаружили, что ${\displaystyle d>1}$, то вычисление заканчивается, и найденное на предыдущем шаге число ${\displaystyle d}$ является делителем ${\displaystyle N}$. Если ${\displaystyle N/d}$ не является простым числом, то процедуру поиска делителей можно продолжить, взяв в качестве ${\displaystyle N}$ число ${\displaystyle N'=N/d}$.

Как на практике выбирать функцию ${\displaystyle F(x)}$? Функция должна быть не слишком сложной для вычисления, но в то же время не должна быть линейным многочленом, а также не должна порождать взаимно однозначное отображение. Обычно в качестве ${\displaystyle F(x)}$ берут функцию ${\displaystyle F(x)=x^{2}\pm 1(\mathrm {mod} \,N)}$ или ${\displaystyle F(x)=x^{2}\pm a(\mathrm {mod} \,N)}$^[9]. Однако не следует использовать функции ${\displaystyle x^{2}-2}$ и ${\displaystyle x^{2}}$^[7].

Если известно, что для делителя ${\displaystyle p}$ числа ${\displaystyle N}$ справедливо ${\displaystyle p\equiv 1\,(\mathrm {mod} \,k)}$ при некотором ${\displaystyle k>2}$, то имеет смысл использовать ${\displaystyle F(x)=x^{k}+b}$^[7].

Существенным недостатком алгоритма в такой реализации является необходимость хранить большое число предыдущих значений ${\displaystyle x_{j}}$.

Изначальная версия алгоритма обладает рядом недостатков. В настоящий момент существует несколько подходов к улучшению оригинального метода.

Пусть ${\displaystyle F(x)=(x^{2}-1)\mathrm {mod} \,N}$. Заметим, что если ${\displaystyle (x_{j}-x_{i})\equiv 0(\mathrm {mod} \,p)}$, то ${\displaystyle (f(x_{j})-f(x_{i}))\equiv 0(\mathrm {mod} \,p)}$, поэтому, если пара ${\displaystyle (x_{i},x_{j})}$ даёт нам решение, то решение даст любая пара ${\displaystyle (x_{i+k},x_{j+k})}$.

Поэтому, нет необходимости проверять все пары ${\displaystyle (x_{i},x_{j})}$, а можно ограничиться парами вида ${\displaystyle (x_{i},x_{j})}$, где ${\displaystyle j=2^{k}}$, и ${\displaystyle k}$ пробегает набор последовательны значений 1, 2, 3, ..., а ${\displaystyle i}$ принимает значения из интервала ${\displaystyle [2^{k}+1;2^{k+1}]}$. Например, ${\displaystyle k=3}$, ${\displaystyle j=2^{3}=8}$, а ${\displaystyle i\in [9;16]}$^[8].

Эта идея была предложена Ричардом Брентом в 1980 году^[10] и позволяет уменьшить количество выполняемых операций приблизительно на 25%^[11].

Еще одна вариация P-метода полларда была разработана Флойдом. Согласно Флойду, значение ${\displaystyle y}$ обновляется на каждом шаге по формуле ${\displaystyle y=F^{2}(y)=F(F(y))}$, поэтому на шаге i будут получены значения ${\displaystyle x_{i}=F^{i}(x_{0})}$, ${\displaystyle y_{i}=x_{2i}=F^{2i}(x_{0})}$, и НОД на этом шаге вычисляется для ${\displaystyle N}$ и ${\displaystyle y-x}$^[8].

Пусть ${\displaystyle N=8051}$, ${\displaystyle F(x)=(x^{2}+1)\,\mathrm {mod} \,8051}$, ${\displaystyle x_{0}=y_{0}=2}$, ${\displaystyle y_{i+1}=F(F(y_{i}))}$.

Таким образом, 97 — нетривиальный делитель числа 8051. Используя другие варианты полинома ${\displaystyle F(x)}$, можно также получить делитель 83.

Алгоритм основывается на известном парадоксе дней рождения.

Теорема. (Парадокс дней рождения)

Пусть ${\displaystyle \lambda >0}$. Для случайной выборки из ${\displaystyle l+1}$ элементов, каждый их которых меньше ${\displaystyle q}$, где ${\displaystyle l={\sqrt {2\lambda q}}}$, вероятность того, что два элемента окажутся одинаковыми ${\displaystyle p>1-\exp ^{-\lambda }}$.

Следует отметить, что вероятность ${\displaystyle p=0.5}$ в парадоксе дней рождения достигается при ${\displaystyle \lambda \approx 0.69}$.

Пусть последовательность ${\displaystyle \{u_{n}\}}$ состоит из разностей ${\displaystyle x_{i}-x_{j}}$, проверяемых в ходе работы алгоритма. Определим новую последовательность ${\displaystyle \{z_{n}\}}$, где ${\displaystyle z_{n}=u_{n}\,\mathrm {mod} \,q}$, ${\displaystyle q}$ — меньший из делителей числа ${\displaystyle N}$.

Все члены последовательности ${\displaystyle \{z_{n}\}}$ меньше ${\displaystyle {\sqrt {N}}}$. Если рассматривать её как случайную последовательность целых чисел, меньших ${\displaystyle q}$, то, согласно парадоксу дней рождения, вероятность того, что среди ${\displaystyle l+1}$ её членов попадутся два одинаковых, превысит ${\displaystyle 1/2}$ при ${\displaystyle \lambda \approx 0.69}$, тогда ${\displaystyle l}$ должно быть не меньше ${\displaystyle {\sqrt {2\lambda q}}\approx {\sqrt {1.4q}}\approx 1.18{\sqrt {q}}}$.

Если ${\displaystyle z_{i}=z_{j}}$, тогда ${\displaystyle x_{i}-x_{j}\equiv 0\,\mathrm {mod} \,q}$, то есть, ${\displaystyle x_{i}-x_{j}=kq}$ для некоторого целого ${\displaystyle k}$. Если ${\displaystyle x_{i}\neq x_{j}}$, что выполняется с большой вероятностью, то искомый делитель ${\displaystyle q}$ числа ${\displaystyle N}$ будет найден как ${\displaystyle \mathrm {GCD} (N,|x_{i}-x_{j}|)}$. Поскольку ${\displaystyle {\sqrt {q}}\leq n^{1/4}}$, то с вероятностью, превышающей 0.5, делитель ${\displaystyle N}$ будет найден за ${\displaystyle 1.18\times N^{1/4}}$ итераций^[8].

Чтобы оценить сложность алгоритма, можно рассматривать последовательность, строящуюся в процессе вычислений, как случайную (разумеется, ни о какой строгости при этом говорить нельзя). Чтобы полностью факторизовать число ${\displaystyle N}$ длиной ${\displaystyle \beta }$ бит, достаточно найти все его делители, не превосходящие ${\displaystyle {\sqrt {N}}}$, что требует максимум порядка ${\displaystyle {\sqrt {N}}}$ арифметических операций, или ${\displaystyle N^{1/4}\beta ^{2}=2^{\beta /4}\beta ^{2}}$ битовых операций.

Поэтому сложность алгоритма оценивается, как ${\displaystyle O(N^{1/4})}$^[12]. Однако в этой оценке не учитываются накладные расходы по вычислению наибольшего общего делителя. Полученная сложность алгоритма, хотя и не является точной, достаточно хорошо согласуется с практикой.

Справедлива следующая теорема. Пусть ${\displaystyle N}$ — составное число. Тогда существует такая константа ${\displaystyle C}$, что для любого положительного числа ${\displaystyle \lambda }$ вероятность события, состоящего в том, что ρ-метод Полларда не найдет нетривиального делителя ${\displaystyle N}$ за время ${\displaystyle C{\sqrt {\lambda {\sqrt {N}}}}(\log N)^{2}}$, не превосходит величины ${\displaystyle e^{-\lambda }}$. Данная теорема следует из парадокса дней рождения.

Объем памяти, используемый алгоритмом, можно значительно уменьшить.

 int Rho-Поллард (int N)
 { 
   int x = random(1, N-2);
   int y = 1; int i = 0; int stage = 2;
   while (Н.О.Д.(N, abs(x - y)) == 1)
   {
     if (i == stage ){
       y = x;
       stage = stage*2; 
     }
     x = (x*x + 1) (mod N);
     i = i + 1;
   }
   return Н.О.Д(N, abs(x-y));
 }

В этом варианте вычисление требует хранить в памяти всего три переменные ${\displaystyle N}$, ${\displaystyle x}$, и ${\displaystyle y}$, что выгодно отличает метод в такой реализации от других методов факторизации чисел^[8].

Алгоритм Полларда допускает распараллеливание с использованием любого стандарта параллельных вычислений (например, OpenMP и др.).

Один из способов распалаллеливания заключается в том, что каждый вычислительный узел исполняет один и тот же последовательный алгоритм, однако, исходное число ${\displaystyle x_{0}}$ и/или полином ${\displaystyle F(x)}$ берутся различными. Для упрощения распаралеливания, предлагается получать их из генератора случайных чисел. Однако такая параллельная реализация не даёт линейного ускорения.^[13]

Предположим что есть ${\displaystyle P}$ одинаковых процессоров. Если мы используем ${\displaystyle P}$ различных последовательностей (т.е. различных полиномов ${\displaystyle F(x)}$), то вероятность того, что первые ${\displaystyle k}$ чисел в этих последовательностях будут различными по модулю ${\displaystyle p}$ будет примерно равна ${\displaystyle \exp({-k^{2}P}/{2p})}$. Таким образом, ускорение можно оценить как ${\displaystyle P^{1/2}}$^[6].

Ричард Крэндалл предположил, что достижимо ускорение ${\displaystyle O(P/(log{P})^{2})}$, однако данное утверждение пока не проверено^[14].

• P-1 алгоритм Полларда
• P-метод Полларда дискретного логарифмирования
• P+1 алгоритм Уильямса
• Метод пробных делений
• Метод Ферма
• Факторизация с помощью эллиптических кривых
• Общий метод решета числового поля

• Ишмухаметов Ш. Т. Методы факторизации натуральных чисел: Учебное пособие. — Казань: Казанский Университет, 2011. — С. 61-64. — 190 с.
• Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — М.: МЦНМО, 2003. — 328 с. — ISBN 5-94057-103-4.
• Ю.П. Соловьев, В.А. Садовничий, Е.Т. Шавгулидзе, В.В. Белокуров. Эллиптические кривые и современные алгоритмы теории чисел. Москва – Ижевск: Институт компьютерных исследований, 2003.
• Brent, Richard P. (1980), "An Improved Monte Carlo Factorization Algorithm" (PDF), BIT, 20: 176—184, doi:10.1007/BF01933190
• Brent R.P. Некоторые параллельные алгоритмы факторизации чисел (англ.) = Some parallel algorithms for integer factorization. — 1999. — С. 7. — doi:10.1017/S0305004100049252.
• Childs, Lindsay N. Congruences // Введение в высшую алгебру = Concrete Introduction to Higher Algebra. — 3-е изд. — USA: Springer, 2009. — С. 471-473. — 603 с. — ISBN 978-0-387-74725-5.
• Cormen T.H., Leiserson C.E., Rivest R.L., Stein C. Алгоритмы: построение и анализ = Introduction to algorithms. — 2-е изд. — USA: MIT Press, 2001. — С. 897-907. — 1180 с. — ISBN 9780262032933.
• Crandall R.E. Распараллеливание P-алгоритма факторизации Полларда (англ.) = Parallelization of Polldar-rho factorization. — 1999.
• Koshy T. Congruences // Элементарная теория чисел и ее приложения = Elementary Number Theory with Applications. — 2-е изд. — USA: Academic Press, 2007. — С. 238. — 771 с. — ISBN 9780123724878.
• Pollard, J. M. (1975), "A Monte Carlo method for factorization" (PDF), BIT Numerical Mathematics, 15 (3): 331—334
• Pollard J. M. Методы факторизации и проверка простоты. (англ.) = Theorems on factorization and primality testing. // Математические Труды Кэмбриджского Философского Общества (Mathematical Proceedings of the Cambridge Philosophical Society). — 1974. — Т. 76, № 3. — С. 521. — doi:10.1017/S0305004100049252.
• Reisel, H. Простые числа и компьютерные методы факторизации = Prime Numbers and Computer Methods for Factorization. — 2-е изд. — USA: Springer, 2012. — С. 183. — 464 с. — ISBN 978-0-8176-8297-2.

Статья является кандидатом в добротные статьи с 20 сентября 2015.