Факторизация методом непрерывных дробей

В теории чисел факторизация методом непрерывных дробей (CFRAC) — это алгоритм разложения целых чисел на простые множители. Это алгоритм общего вида, пригодный для факторизации произвольного целого $m$ .

Метод непрерывных дробей разработан на основе алгоритма Крайчика и использует непрерывную дробь, сходящуюся к ${\sqrt {km}}$ для некоторого целого положительного числа $k$ . На основе метода непрерывных дробей был построен алгоритм Диксона, по схеме которого, затем, был разработан метод квадратичного решета[1].

Алгоритм имеет сложность $O\left(e^{\sqrt {2\log m\log \log m}}\right)=L_{m}\left[{\frac {1}{2}},{\sqrt {2}}\right]$ , в O и L нотациях[2].

История

Метод непрерывных дробей был предложен Д. Г. Лемером и Р. Е. Поверсом в 1931 году[3]. Этот метод основывался на идеях Лежандра и Крайчика и предназначался для разложения больших чисел, содержащих 30 и более десятичных разрядов. Однако, полученный метод не применялся из-за трудностей, связанных с его реализацией на настольных арифмометрах[4].

В конце 1960-х годов Джон Бриллхарт обнаружил, что этот метод хорошо подходит для компьютерного программирования, и совместно с Михаэлем А. Моррисоном, переработал этот алгоритм для ЭВМ в 1975 году[5].

В 1970-е годы алгоритм факторизации методом непрерывных дробей стал лучшим средством разложения на простые множители с использованием формата многократной точности. Программа, написанная Моррисоном и Бриллхартом, на компьютере IBM 360/91 обрабатывала произвольные 25-значные числа за 30 секунд, а 40-значные числа — за 50 минут. В 1970 году с помощью именно этого алгоритма была произведена факторизация седьмого числа Ферма[4]:

2^{2^{7}}+1=59649589127497217\cdot 5704689200685129054721.

Метод оставался популярным вплоть до начала 1980-х годов, когда появился метод квадратичного решета. После этого метод факторизации непрерывных дробей оказался неконкурентоспособным[6].

Описание алгоритма

Метод Лемера и Пауэрса

В 1643 году Пьер Ферма предложил алгоритм разложения на множители нечетного целого числа $m$ . Кратко этот алгоритм можно описать так: пусть $m=ab$ . Тогда, можно записать

ab=\left({\frac {a+b}{2}}\right)^{2}-\left({\frac {a-b}{2}}\right)^{2}=x^{2}-y^{2}=m

,

где $x={\frac {a+b}{2}},\quad y={\frac {a-b}{2}}$ .

Отсюда видно, что $x^{2}-m=y^{2}$ . Значит, если последовательно перебирать квадраты целых чисел $x$ , начиная с ближайшего сверху к $m$ квадрата, то на некоторой итерации разность $x^{2}-m$ окажется равна квадрату некоторого числа $y$ . Найденная пара чисел $(x,y)$ позволит найти пару множителей $(a,b)$ числа $m$ : $a={\frac {x+y}{2}},\quad b={\frac {x-y}{2}}$ .

Таким образом, метод Ферма сводит задачу факторизации числа к поиску целых чисел, разность которых равна исходному числу $m$ . Метод Ферма быстро находит множители числа $m$ в том случае, когда его делители близки к ${\sqrt {m}}$ , т.е. для максимально негладких чисел. Если же число $m$ является гладким, то метод Ферма может работать даже медленней метода пробных делений[2].

В 1926 году Морис Крайчик в монографии[7] представил свой метод факторизации целых чисел, который представлял собой «усиление» метода Ферма.

Крайчик предложил вместо пар чисел $(x,y)$ , удовлетворяющих соотношению $x^{2}-y^{2}=m$ , искать пары $(x,y)$ , удовлетворяющие сравнению $x^{2}-y^{2}\equiv 0{\pmod {m}}$ , т.е. $x^{2}\equiv y^{2}{\pmod {m}}$ . Если, при этом, $x\equiv \pm y{\pmod {m}}$ , то мы получим лишь тривиальное решение. Однако, если $x\not \equiv \pm y{\pmod {m}}$ , то из указанного сравнения получается $x^{2}-y^{2}=(x-y)(x+y)=km$ , где $k\in \mathbb {Z}$ . Отсюда тоже следует разложение: $m$ делится на $(x-y)(x+y)$ , но не делится ни на $x-y$ , ни на $x+y$ , следовательно $\gcd(x-y,m)$ — нетривиальный делитель $m$ [2] (см. #обоснование1).

После нововведения Крайчика алгоритм нахождения делителей числа $m$ значительно изменялся: теперь по-прежнему нужно вычислять $x^{2}-m$ для разных $x$ , однако теперь не требуется «ждать» другой квадрат, а нужно пытаться его построить, перемножая полученные числа $m$ [2].

Действительно, рассмотрим последовательность чисел вида $\upsilon (u)=u^{2}-m$ (очевидно, $\upsilon \equiv u^{2}{\pmod {m}}$ ). Тогда, если $\upsilon (u_{1})\upsilon (u_{2})\dots \upsilon (u_{k})=y^{2}$ , т.е. $(u_{1}^{2}-m)(u_{2}^{2}-m)\dots (u_{k}^{2}-m)=y^{2}$ , то отсюда следует, что $x^{2}=u_{1}^{2}u_{2}^{2}\dots u_{k}^{2}\equiv y^{2}{\pmod {m}}$ [2]. Для того, чтобы определить, какие именно соотношения нужно перемножить, необходимо раскладывать числа $\upsilon$ на множители и перемножать соотношения так, чтобы в произведениях $\upsilon _{1}\upsilon _{2}\dots \upsilon _{k}$ присутствовали простые множители в четных степенях, позволяющие получить сравнение $x^{2}\equiv y^{2}{\pmod {m}}$ [8].

Метод Крайчика сводит задачу разложения числа $m$ на множители к построению некоторого количества сравнений $u^{2}\equiv \upsilon {\pmod {m}}$ и разложению на множители чисел $\upsilon$ . Однако Крайчик не предъявил конкретный алгоритм поиска пар чисел $u,\upsilon$ и алгоритмический способ составления из найденных соотношений сравнения вида $x^{2}\equiv y^{2}{\pmod {m}}$ [8].

В 1931 году в работе[3] Лемер и Пауэрс предложили два варианта генерации указанных сравнений. Оба варианта основывались на соотношениях, возникающих при разложении квадратичных иррациональностей в непрерывные дроби, и обладали тем свойством, что величины $\upsilon$ не превосходили $2{\sqrt {m}}$ [9]. Последнее неравенство гарантирует, что числа $\upsilon$ будут маленькими, что облегчит разложение этих чисел на простые множители[2](см. #обоснование2).

При этом, оба варианта оказываются эквивалентными[3]: если один вариант алгоритма найдет решение, то и второй вариант также найдет решение.

Однако, у обоих вариантов алгоритма был недостаток — разложение квадратичной иррациональности в непрерывную дробь периодично (теорема Лагранжа). Поэтому количество соотношений, которые можно получить с помощью данного метода, ограниченно, и их может оказаться недостаточно для набора соотношений и построения сравнения $x^{2}\equiv y^{2}{\pmod {m}}$ . При этом, как показывают практические эксперименты, при больших значениях $m$ длина периода разложения в непрерывную дробь оказывается достаточно большой (порядка ${\sqrt {m}}$ [10]) для составления требуемого числа сравнений. В результате при больших $m$ оба варианта алгоритма всегда находят разложение числа $m$ на множители[11].

Первый вариант

Напомним, что каждому действительному числу $\xi$ может быть поставлена в соответствие последовательность целых чисел $[b_{0},b_{1},b_{2},...]$ , называемая его непрерывной дробью. Это сопоставление строится следующим образом

x_{0}=\xi ,\quad b_{i}=[x_{i}],\quad x_{i+1}={\frac {1}{x_{i}-b_{i}}},\quad i=0,1,2,\dots .

При этом $\xi =b_{0}+{\frac {1}{b_{1}+{\frac {1}{b_{2}+{\frac {1}{\dots +{\frac {1}{x_{n}}}}}}}}}=[b_{0},b_{1},b_{2},\dots ,b_{n-1},x_{n}].$

Если раскладывать в непрерывную дробь число $\xi ={\sqrt {m}}$ , то возникающие в процессе разложения числа $x_{n}$ имеют вид $x_{n}={\frac {{\sqrt {m}}+A_{n}}{B_{n}}}$ с целыми $A_{n},B_{n}$ , причем выполняется $A_{n}<{\sqrt {m}}$ , $0<B_{n}<2{\sqrt {m}}$ [12].

Для коэффициентов $A_{n},B_{n}$ выполняется равенство[3]:

A_{n}^{2}+B_{n}B_{n-1}=m.

Отсюда следует

-B_{n}B_{n-1}\equiv A_{n}^{2}{\pmod {m}},\quad n=0,1,\dots \ .\quad \quad \quad \quad (1)

Полученное равенство имеет вид $u^{2}\equiv \upsilon {\pmod {m}}$ , предложенный Крайчиком, и может быть применено для факторизации числа $m$ .

Вычисляя последовательно частные $A_{0},B_{0},A_{1},B_{1},\dots$ , будем получать выражения вида $(1)$ для различных $n$ . Раскладывая величины $B_{n}$ на простые множители и комбинируя полученные равенства, можно получить сравнения вида $x^{2}\equiv y^{2}{\pmod {m}}$ (см. #пример1).

Второй вариант

С каждой непрерывной дробью свяжем последовательность рациональных чисел, состоящую из подходящих дробей ${\frac {P_{n}}{Q_{n}}}=[b_{0},b_{1},\dots ,b_{n-1},b_{n}],n>0$ , вычисляемых по формулам[3]:

P_{n+1}=b_{n+1}P_{n}+P_{n-1},\quad Q_{n+1}=b_{n+1}Q_{n}+Q_{n-1},\quad n\geqslant 0,

P_{0}=b_{0},\quad Q_{0}=P_{-1}=1,\quad Q_{-1}=0

и стремящихся к разлагаемому числу. Если в непрерывную дробь разлагается число $\xi ={\sqrt {m}}$ , то справедливо соотношение[12]:

P_{n-1}^{2}-mQ_{n-1}=(-1)^{n}B_{n}

,

из которого следует

P_{n-1}^{2}\equiv (-1)^{n}B_{n}{\pmod {m}},n=1,2,\dots \ .\quad \quad \quad \quad (2)

Полученное равенство имеет вид $u^{2}\equiv \upsilon {\pmod {m}}$ и может быть использовано для факторизации числа $m$ так же, как и в первом варианте.

Алгоритм

Таким образом, исправленный Лемером и Пауэрсом метод Крайчика имеет следующий вид[13].

Вход. Составное число $m$ .

Выход. Нетривиальный делитель $p$ числа $m$ .

Разложить ${\sqrt {m}}$ в непрерывную дробь.
Используя равенства $(1)$ или $(2)$ , получить множество сравнений вида $u^{2}\equiv \upsilon {\pmod {m}}$ и разложить числа $\upsilon$ на простые множители.
Выбрать те равенства $u^{2}\equiv \upsilon {\pmod {m}}$ , перемножение которых даст произведение четных степеней простых чисел, полученных в результате разложения чисел $\upsilon$ . Тем самым, мы получим соотношение вида $x^{2}\equiv y^{2}{\pmod {m}}$ .
Если $x\equiv \pm y{\pmod {m}}$ , то вернуться на шаг 3. Если имеющегося числа соотношений недостаточно для генерации равенства $x^{2}\equiv y^{2}{\pmod {m}}$ , то необходимо продолжить разложение числа ${\sqrt {m}}$ в непрерывную дробь и, затем, вернуться на шаг 2.
С помощью алгоритма Евклида определить $p=\gcd(x-y,m)$ .

Лемер и Пауэрс в своей работе указали, как можно генерировать соотношения вида $u^{2}\equiv \upsilon {\pmod {m}}$ , однако они, также как и Крайчик, не дали алгоритмического способа составления из найденных соотношений сравнения $x^{2}\equiv y^{2}{\pmod {m}}$ . Эту проблему решил метод Моррисона и Бриллхарта.

Метод Моррисона и Бриллхарта

В начале 1970-х годов в статье[5] Майкл Моррисон и Джон Бриллхарт предложили свой алгоритм, являющийся модификацией второго варианта алгоритма Лемера и Пауэрса. В настоящее время под методом непрерывных дробей понимают именно алгоритм Моррисона и Бриллхарта.

Основное отличие реализованного Моррисоном и Бриллхартом алгоритма от первоначального варианта заключалось в введении процедуры алгоритмического построения сравнения $x^{2}\equiv y^{2}{\pmod {m}}$ по заданному множеству сравнений вида $u^{2}\equiv \upsilon {\pmod {m}}$ . Для реализации этой процедуры использовалось понятие «факторной базы»[11].

Будем искать $x$ как произведение таких чисел $u_{i}$ , что наименьший по абсолютной величине вычет числа $u_{i}^{2}$ по модулю $m$ является произведением простых чисел[14]. Тогда из тех же простых чисел можно построить и $y$ .

Базой факторизации (или факторной базой) натурального числа $m$ называется множество $B=\{p_{0},p_{1},\dots ,p_{h}\}$ различных простых чисел $p_{i}$ , за возможным исключением $p_{0}$ , которое может быть равным $-1$ . При этом число $b$ , для которого $b^{2}{\bmod {m}}$ является произведением степеней чисел из множества $B$ , называется B-гладким числом. Пусть теперь $u_{i}$ — B-гладкие числа, $\upsilon _{i}=u_{i}^{2}{\bmod {m}}=\prod _{j=0}^{h}p_{j}^{\alpha _{ij}}$ — разложения их наименьшие по абсолютной величине вычетов по модулю $m$ . Положим

\mathbf {e} _{i}=(e_{i0},e_{i1},\dots ,e_{ih})\in \mathbb {F} _{2}^{h}

,

где $e_{ij}\equiv \alpha _{ij}\mod 2$ , $\mathbb {F} _{2}^{h}$ — векторное пространство над полем GF(2), которое состоит из наборов нулей и единиц размерности $h$ .

Подберем числа $u_{i}$ так, чтобы сумма векторов $\mathbf {e} _{i}$ была равна нулю. Определим

x=\left(\prod _{i}u_{i}\right){\bmod {m}},\quad y=\prod _{j=0}^{h}p_{j}^{\gamma _{j}}

,

где $\gamma _{j}={\frac {1}{2}}\sum _{i}\alpha _{ij}$ . Тогда $x^{2}\equiv y^{2}{\pmod {m}}$ .

Осталось добавить, что факторная база в алгоритме Моррисона и Бриллхарта состоит из тех простых чисел $p_{i}$ , по модулю которых $m$ является квадратичным вычетом[15].

Алгоритм

Алгоритм Моррисона и Бриллхарта выглядит следующим образом[16].

Вход. Составное число $m$ .

Выход. Нетривиальный делитель $p$ числа $m$ .

1. Построить базу разложения $B=\{p_{0},p_{1},\dots ,p_{h}\}$ , где $p_{0}=-1$ и $p_{1},\dots ,p_{h}$ — попарно различные простые числа, по модулю которых $m$ является квадратичным вычетом.

2. Берутся целые числа $u_{i}$ , являющиеся числителями подходящих дробей к обыкновенной непрерывной дроби, выражающей число ${\sqrt {m}}$ . Из этих числителей выбираются $h+2$ чисел, для которых абсолютно наименьшие вычеты $u_{i}^{2}$ по модулю $m$ являются B-гладкими:

u_{i}^{2}{\bmod {m}}=\prod _{j=0}^{h}p_{j}^{\alpha _{ij}}=\upsilon _{i}

,

где $\alpha _{ij}\geqslant 0$ . Также каждому числу $u_{i}$ сопоставляется вектор показателей $(\alpha _{i0},\alpha _{i1},\dots ,\alpha _{ih})$ .

3. Найти (например, методом Гаусса) такое непустое множество $K\subseteqq \{1,2,\dots ,h+1\}$ , что $\oplus _{i\in K}\mathbf {e} _{i}=0$ , где $\oplus$ — операция исключающее ИЛИ, $\mathbf {e} _{i}=(e_{i1},e_{i2},\dots ,e_{ih}),e_{ij}\equiv \alpha _{ij}{\pmod {2}}$ , $0\leqslant j\leqslant h$ .

4. Положить $x\leftarrow \prod _{i\in K}u_{i}{\bmod {m}},\quad y\leftarrow \prod _{j=1}^{h}p_{j}^{{\frac {1}{2}}\sum _{i\in K}\alpha _{ij}}{\bmod {m}}$ . Тогда $x^{2}\equiv y^{2}{\pmod {m}}$ .

5. Если $x\not \equiv y{\pmod {m}}$ , то положить $p\leftarrow \gcd(x-y,m)$ и выдать результат: $p$ .

В противном случае вернуться на шаг 3 и поменять множество

K

. (Обычно есть несколько вариантов выбора множества

K

для одной и той же факторной базы

B

. Если все возможности исчерпаны, то следует увеличить размер факторной базы).

Из полученного алгоритма впоследствии был разработан алгоритм Диксона, из которого был удален аппарат цепных дробей[17]. После создания алгоритма Диксона, метод непрерывных дробей, по сути, представлял собой алгоритм Диксона, в котором был уточнен выбор абсолютно наименьшего вычета $u_{i}$ [18].

Некоторые улучшения

Пусть $m=p\cdot q$ . Выше в непрерывную дробь раскладывалось число ${\sqrt {m}}$ . Такой вариант эффективен, когда $p$ и $q$ близки друг к другу. Однако, чем больше разность между числами $p$ и $q$ , тем более трудоемким становится алгоритм. В этом случае вместо ${\sqrt {m}}$ можно раскладывать в непрерывную дробь число ${\sqrt {km}}$ , где маленький множитель $k$ подбирается так, чтобы в базу множителей вошли все малые простые[19].

Кроме того, так как метод непрерывных дробей построен по схеме алгоритма Диксона, то для него применимы дополнительные стратегии алгоритма Диксона.

Обоснование

Следующая лемма показывает, что если выполнено сравнение $x^{2}\equiv y^{2}{\pmod {m}}$ и $x\not \equiv y{\pmod {m}}$ , то числа $x-y$ и $m$ имеют общие делители.

Лемма(о факторизации)[20]. Пусть $m$ — нечётное составное число и $x,y$ — вычеты по модулю $m$ такие, что $x\not \equiv \pm y{\pmod {m}}$ и $x^{2}\equiv y^{2}{\pmod {m}}$ . Тогда выполняется неравенство $1<\gcd(x-y,m)<m$ .

Следующие два утверждения — ключевые для алгоритма факторизации методом непрерывных дробей. Они показывают, что можно найти последовательность чисел $u_{i}$ , квадраты которых имеют малые вычеты по модулю $m$ .

Теорема[21]. Если ${\frac {P_{n}}{Q_{n}}}$ , где $n=1,2,\dots$ , — подходящие дроби к числу $\alpha >1$ , которое задано обыкновенной непрерывной дробью, то для всех $n$ справедлива оценка $|P_{n}^{2}-\alpha ^{2}Q_{n}^{2}|<2\alpha$ .

Следствие[21]. Пусть положительное число $m$ не является полным квадратом и ${\frac {P_{n}}{Q_{n}}}$ , где $n=1,2,\dots$ , — подходящие дроби к числу ${\sqrt {m}}$ . Тогда для абсолютно наименьшего вычета $P_{n}^{2}{\bmod {m}}$ (т.е. для вычета, расположенного между $-{\frac {m}{2}}$ и ${\frac {m}{2}}$ ) справедливо неравенство $|P_{n}^{2}{\bmod {m}}|<2{\sqrt {m}}$ , причем $P_{n}^{2}{\bmod {m}}=P_{n}^{2}-mQ_{n}^{2}$ .

Примеры

Пример 1[22]

Разложим на множители первым алгоримом Лемера и Пауэрса число $m=1081$ .

1. Будем раскладывать число $\xi ={\sqrt {m}}={\sqrt {1081}}$ в непрерывную дробь и записывать числа $A_{n},B_{n}$ в таблицу для получения уравнений вида $u^{2}\equiv \upsilon {\pmod {m}}$ .

Таблица: факторизация числа 1081
i	x_i	A_i	B_i
1	${\frac {32+{\sqrt {1081}}}{57}}$	32	57
2	${\frac {25+{\sqrt {1081}}}{8}}$	25	8
3	${\frac {31+{\sqrt {1081}}}{15}}$	31	15
4	${\frac {29+{\sqrt {1081}}}{16}}$	29	16
5	${\frac {19+{\sqrt {1081}}}{45}}$	19	45
6	${\frac {26+{\sqrt {1081}}}{9}}$	26	9

2. Теперь запишем сравнения $-B_{n}B_{n-1}\equiv A_{n}^{2}{\pmod {m}}$ для $n=2,3,4,5,6$ :

-2^{3}\cdot 3\cdot 19\equiv 25^{2}{\pmod {1081}},

-2^{3}\cdot 3\cdot 5\equiv 31^{2}{\pmod {1081}},

-2^{4}\cdot 3\cdot 5\equiv 29^{2}{\pmod {1081}},

-2^{4}\cdot 3^{2}\cdot 5\equiv 19^{2}{\pmod {1081}},

-3^{4}\cdot 5\equiv 26^{2}{\pmod {1081}}.

3. Перемножая четвертое и пятое сравнения, получим:

(-1)^{2}\cdot 2^{4}\cdot 3^{2}\cdot 5\cdot 3^{4}\cdot 5\equiv 19^{2}\cdot 26^{2}{\pmod {1081}},

и, приводя подобные множители и сокращая на $3^{2}$ :

2^{4}\cdot 3^{6}\cdot 5^{2}\equiv 19^{2}\cdot 26^{2}{\pmod {1081}}

или

540^{2}\equiv 494^{2}{\pmod {1081}}.

4. Получили сравнение вида $x^{2}\equiv y^{2}{\pmod {m}}$ , используя которое можно найти делитель числа 1081. Действительно, $\gcd(540-494,1081)=23$ . Тогда, второй делитель числа 1081 равен 47.

Пример 2[23]

Разложим на множители методом Морриса и Брилхарта число $m=21299881$ .

1. Строим базу разложения из маленьких простых чисел, выбирая числа, по модулю которых $m$ является квадратичным вычетом, что проверяется вычислением символов Лежандра:

\left({\frac {m}{3}}\right)=\left({\frac {m}{5}}\right)=\left({\frac {m}{7}}\right)=\left({\frac {m}{11}}\right)=\left({\frac {m}{19}}\right)=1.

Отсюда, факторная база будет равна $B=\{-1,2,3,5,7,11,19\}$ , $h=6$ .

2. Ищем числители $P_{i}$ подходящих дробей к числу ${\sqrt {m}}$ :

{\sqrt {m}}=[4615;{5,1,1,2,1,7,1,27,1,6,1,2,12,23,1,8,2,3,6,1,1,1,\dots }].

Выбираем те из них, для которых значения $P_{i}^{2}{\bmod {m}}$ являются B-гладкими. Результаты вычислений записываем в таблицу:

k	i	P_i	P²_i ${\pmod {m}}$	e_i
1	2	27691	$-4235=-1\cdot 5\cdot 7\cdot 11^{2}$	(1, 0, 0, 1, 1, 0, 0)
2	3	50767	$2688=2^{7}\cdot 3\cdot 7$	(0, 1, 1, 0, 1, 0, 0)
3	6	1389169	$-7920=-1\cdot 2^{4}\cdot 3^{2}\cdot 5\cdot 11$	(1, 0, 0, 1, 0, 1, 0)
4	13	12814433311	$385=5\cdot 7\cdot 11$	(0, 0, 0, 1, 1, 1, 0)
5	16	2764443209657	$-3800=-1\cdot 2^{3}\cdot 5^{2}\cdot 19$	(1, 1, 0, 0, 0, 0, 1)
6	18	20276855015255	$-1331=-1\cdot 11^{3}$	(1, 0, 0, 0, 0, 1, 0)
7	19	127498600693396	$5415=3\cdot 5\cdot 19^{2}$	(0, 0, 1, 1, 0, 0, 0)
8	24	2390521616955537	$-112=-1\cdot 2^{4}\cdot 7$	(1, 0, 0, 0, 1, 0, 0)

3. Поскольку $e_{1}\oplus e_{3}\oplus e_{6}\oplus e_{8}=0$ , то получаем

4. $x=P_{2}\cdot P_{6}\cdot P_{18}\cdot P_{24}\equiv 12487442{\pmod {m}}$ ,

y=2^{4}\cdot 3^{1}\cdot 5^{1}\cdot 7^{1}\cdot 11^{3}\cdot 19^{0}=2236080

,

x^{2}\equiv y^{2}\equiv 13201055{\pmod {m}}

.

5. Условие $x\not \equiv \pm y{\pmod {m}}$ выполнено, поэтому вычисляем $p=\gcd(x-y,m)=\gcd(10251362,21299881)=3851$ .

Поэтому, $21299881=3851\cdot 5531$ .

Вычислительная сложность

С появлением криптосистемы RSA в конце 1970-х годов стала особенно важна вычислительная сложность алгоритмов факторизации[2].

Эвристический анализ времени выполнения алгоритма Морриса и Брилхарта был проведен Р. Шруппелем в 1975 году, хотя не был опубликован[24][2].

Более точная оценка(которая при этом все равно оставалась эвристической) была проведена в работе[25]. Приведем результаты оценки сложности в соответствии с этой работой.

При получении оценок в этой работе делаются некоторые эвристические допущения. Например, предполагают, что если помощью алгоритма построено $1+[\log ^{2}m]$ пар $(x,y)$ таких, что $x^{2}\equiv y^{2}{\pmod {m}}$ , то хотя бы для одной из них выполнены неравенства

1<\gcd(x\pm y,m)

.

Утверждение[26]. Если $a={\frac {1}{\sqrt {2}}}$ , $L=L(m)=\exp((\log m\log \log m)^{1/2})$ и факторная база состоит из $p=-1$ и всех простых чисел $p$ таких, что:

2\leqslant p\leqslant L^{a},\quad \left({\frac {m}{p}}\right)=+1

,

то при вычислении $L^{b}$ подходящих дробей, где $b=a+{\frac {1}{4a}}$ , можно ожидать, что алгоритм разложит $m$ на два множителя с эвристической оценкой сложности $L_{m}\left[{\frac {1}{2}};2\right]$ арифметических операций.

См. также

Примечания

Кнут, 2013, pp. 439,441.
Pomerance, 1996.
Lehmer, Powers, 1931.
Кнут, 2013, pp. 434.
Morrison, Brillhart, 1975.
Маховенко, 2006, pp. 223.
Kraitchik M. Théorie des Nombres. Tome I et II. — Paris:Gauthier-Villars. — 1926.
Нестеренко, 2012, pp. 173.
Нестеренко, 2012, pp. 175.
Ященко, 1999, pp. 113.
Нестеренко, 2012, pp. 178.
Ященко, 1999, pp. 112-113.
Нестеренко, 2012, pp. 173,185.
Манин, 1990, pp. 78.
Маховенко, 2006, pp. 220.
Маховенко, 2006, pp. 218-220.
Кнут, 2013, pp. 439.
Маховенко, 2006, pp. 219.
Ященко, 1999, pp. 114.
Нестеренко, 2012, pp. 172.
Маховенко, 2006, pp. 219-220.
Нестеренко, 2012, pp. 176-177.
Маховенко, 2006, pp. 221-222.
Кнут, 2013, pp. 436.
Pomerance, 1982.
Василенко, 2003, pp. 87.

Литература

Lehmer D. H., Powers R. E. On factoring large numbers (англ.) // Bull., New Ser., Am. Math. Soc. / S. Friedlander — Providence, R.I.: American Mathematical Society, 1931. — Vol. 33, Iss. 1. — P. 35—36. — ISSN 0273-0979; 1088-9485 — doi:10.1090/S0002-9904-1931-05271-X
Morrison M. A., Brillhart J. A Method of Factoring and the Factorization of F₇ (англ.) // Math. Comp. — AMS, 1975. — Vol. 29, Iss. 129. — P. 183—205. — ISSN 0025-5718; 1088-6842 — doi:10.2307/2005475
Pomerance C. Analysis and comparison of some integer factoring algorithms (англ.) // Computational Methods in Number Theory: Part I / H. Lenstra, R. Tijdeman — Amsterdam: Mathematisch Centrum, 1982. — P. 89—139.
Манин, Ю. И., Панчишкин, А. А. Глава 3.4. Метод непрерывных дробей (CFRAC) и вещественные квадратичные поля // Введение в теорию чисел, Теория чисел – 1. — Итоги науки и техн. Сер. Соврем. пробл. мат. Фундам. направления. — М.: ВИНИТИ, 1990. — Т. 49. — С. 77-80. — 341 с.
Pomerance C. A Tale of Two Sieves (англ.) // Notices Amer. Math. Soc. / F. Morgan — AMS, 1996. — Vol. 43. — P. 1473—1485. — ISSN 0002-9920; 1088-9477
Введение в криптографию / Ященко, В. В.. — Москва: МЦНМО, 1999. — 272 с. — ISBN 5-900916-40-5.
Коблиц Н. Курс теории чисел и криптографии — 2-е издание — М.: Научное издательство ТВП, 2001. — С. 174—179. — 254 с. — ISBN 978-5-85484-014-9, 978-5-85484-012-5
Василенко О. Н. Теоретико-числовые алгоритмы в криптографии — М.: МЦНМО, 2003. — 328 с. — ISBN 978-5-94057-103-2
Маховенко Е. Б. Теоретико-числовые методы в криптографии — М.: Гелиос АРВ, 2006. — С. 219—222. — ISBN 978-5-85438-143-7
Нестеренко А. Ю. Теоретико-числовые методы в криптографии — М.: Московский государственный институт электроники и математики, 2012. — С. 172—186. — 224 с. — ISBN 978-5-94506-320-4
Кнут Д. Э. Искусство программирования — 3-е издание — Вильямс, 2013. — Т. 2. Получисленные алгоритмы. — 832 с. — ISBN 978-5-8459-0081-4

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[_69b95bd5c9a4b11e-1] Кнут, 2013, pp. 439,441.

[_f7796dddfce177bc-2] Pomerance, 1996.

[_553633f18bce87c6-3] Lehmer, Powers, 1931.

[_7d2a965ea7473d2e-4] Кнут, 2013, pp. 434.

[_af3ba95933808bdc-5] Morrison, Brillhart, 1975.

[_0a30b6cdcfa29bba-6] Маховенко, 2006, pp. 223.

[7] Kraitchik M. Théorie des Nombres. Tome I et II. — Paris:Gauthier-Villars. — 1926.

[_575bc742bd1edbf0-8] Нестеренко, 2012, pp. 173.

[_575bc742bd1edbf6-9] Нестеренко, 2012, pp. 175.

[_69aa5a6833dd6513-10] Ященко, 1999, pp. 113.

[_575bc742bd1edbfb-11] Нестеренко, 2012, pp. 178.

[_2e66aa76a5691760-12] Ященко, 1999, pp. 112-113.

[_8747b676c8068490-13] Нестеренко, 2012, pp. 173,185.

[_969ea3ef3b1e26c9-14] Манин, 1990, pp. 78.

[_0a30b6cdcfa29bb9-15] Маховенко, 2006, pp. 220.

[_1729da73dd288adf-16] Маховенко, 2006, pp. 218-220.

[_7d2a965ea7473d23-17] Кнут, 2013, pp. 439.

[_0a30b3cdcfa29649-18] Маховенко, 2006, pp. 219.

[_69aa5a6833dd6514-19] Ященко, 1999, pp. 114.

[_575bc742bd1edbf1-20] Нестеренко, 2012, pp. 172.

[_a564d47c2931ebe6-21] Маховенко, 2006, pp. 219-220.

[_cfe6549ffd808c91-22] Нестеренко, 2012, pp. 176-177.

[_6fc21ac766453bad-23] Маховенко, 2006, pp. 221-222.

[_7d2a965ea7473d2c-24] Кнут, 2013, pp. 436.

[_60e93af317e2f75b-25] Pomerance, 1982.

[_552fc5a7cbb6e492-26] Василенко, 2003, pp. 87.