因数分解——Pollard' p-1 & Pollard rho

分解因子

Pollard’s p-1 算法

Base concepts

• 对于一个想要分解因子的整数 n
• 如果我们可以找到一个与 n 不互质的整数 s ，则可直接通过求 $gcd(s,n)$ 求得 n 的一个因子
• 这样的 $s$ 如何得到？
• 考虑到如下事实：
  • 若 p 为 n 的一个素因子
    • p未知，希望构造出一个含有因子 p 的数 s，则可通过求$gcd(s,n)$求得 n 的因子
  • $x\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)⟹p|gcd(x-1,n)$
  • 如何在只知道 n 的有限条件下得到这样的 x?
    • 考虑 Fermat 小定理，必有$2^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$
    • 但 p 未知！
    • 考虑构造一个$(p-1)$的倍数
      • 假定对每一个素数幂 $q|(p-1)$, 有$q\le B$
      • 则可得到$(p-1)$的一个倍数 $B!$
    • 于是，$x\equiv 2^{B!}(\mathrm{m}\mathrm{o}\mathrm{d}n)$
    • 由于$p|n$,有$x\equiv 2^{B!}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$
      • 依据：Fermat 小定理，$(p-1)|B!$
• $s=x-1$
• $d=gcd(s,n)$即为$n$的一个非平凡因子（除非s=0）

Algorithm

Inputs #1: n: a composite number
Inputs #2: B: a smoothness bound
Outputs: a nontrivial factor of $n$ or failure

Pollard p-1 Factoring Algorithm(n,B):
  $a\leftarrow 2^{B!}(\mathrm{m}\mathrm{o}\mathrm{d}n)$
  $d\leftarrow gcd(a-1,n)$
  if $1<d<n$ then return d
  else return failure

Pollard $\rho$ 算法

Base concepts

• 同样是希望找到一个 s， 然后通过求$gcd(s,n)$来求得因子
• 但 s 的求法不同
  • 有如下事实：设 p 为 n 的最小素因子，假定存在2个整数$x,x^{\prime }\in \mathbb{Z},$使得$x̸=x^{\prime }$且$x\equiv x^{\prime }(\mathrm{m}\mathrm{o}\mathrm{d}p)$
    则$p\le gcd(x-x^{\prime },n)<n$，即为所需因子
  • s 的获取关键在于$x,x^{\prime }$的选取
• $x,x^{\prime }$的选取？
  • 假定通过先选择一个随机子集$X\in {\mathbb{Z}}_n$来分解n，然后对其中所有不同的$x,x^{\prime }$计算$gcd(x-x^{\prime },n)$，这个方法能成功当且仅当映射$x\mapsto s\mathrm{m}\mathrm{o}\mathrm{d}p$对于$x\in X$得到至少一个碰撞
    • 根据生日悖论，如果$|X|\approx 1.17\sqrt{p}$,那么至少存在一个碰撞的概率为50%
    • 但由于 p 未知，不能显示计算$x\mathrm{m}\mathrm{o}\mathrm{d}p$，这意味着在找到 n 的一个因子前，需要计算超过$\left(\genfrac{}{}{0ex}{}{|x|}{2}\right)>\frac{p}{2}$次gcd
• Pollard $\rho$ 算法如何对这一技巧进行了优化
  • 考虑一种“类似”随机映射$x\mapsto f(x)\mathrm{m}\mathrm{o}\mathrm{d}n$，其中$f$为一个具有整数系数的多项式
    • 例如$f(x)=x^2+a$, 通常取$a=1$
  • 设$x_1\to {\mathbb{Z}}_n$，可得到序列$$x_1,x_2,...(x_{i+1}=f(x_i)\mathrm{m}\mathrm{o}\mathrm{d}n)$$
  • 在此序列中寻找$x_i,x_j$使得$gcd(x_j-x_i,n)>1$
    • 每次计算序列中的一个新项$x_j$，要对所有$i<j$计算$gcd(x_j-x_i,n)$
  • 然而，gcd计算次数可以大大减少
    • 有如下事实：$$x_i\equiv x_j(\mathrm{m}\mathrm{o}\mathrm{d}p)⟹f(x_i)\equiv f(x_j)(\mathrm{m}\mathrm{o}\mathrm{d}p)⟹x_{i+1}\equiv x_{j+1}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
  • 于是，如果$(x_i,x_j)$关于 p 同余，则$(x_{i+1},x_{j+1}),(x_{i+2},x_{j+2}),(x_{i+3},x_{j+3})\cdots$均关于 p 同余
  • 为了简化和改进算法，通过取$j=2i$来寻找碰撞
    • 因为不一定要找出这种类型的第一个碰撞
• 事实上，序列一定会从某处进入循环，因为 p 是一个有限数
• 用顶点集${\mathbb{Z}}_p$构造一个图 G，从点$x_i\mathrm{m}\mathrm{o}\mathrm{d}p$向点$x_{i+1}\mathrm{m}\mathrm{o}\mathrm{d}p$做一条有向边，可知 G 看起来像希腊字母$\rho$
  • “尾巴”：$$x_1\mathrm{m}\mathrm{o}\mathrm{d}p\to x_2\mathrm{m}\mathrm{o}\mathrm{d}p\to \cdots \to x_i\mathrm{m}\mathrm{o}\mathrm{d}p$$
  • “环”：$$x_i\mathrm{m}\mathrm{o}\mathrm{d}p\to x_{i+1}\mathrm{m}\mathrm{o}\mathrm{d}p\to \cdots \to x_j\mathrm{m}\mathrm{o}\mathrm{d}p=x_i\mathrm{m}\mathrm{o}\mathrm{d}p$$

Algorithm

Input #1: n: a composite number
Input #2: $x_1$: the starting number
Output: a nontrivial factor of $n$ or failure

Pollard $\rho$ Factoring Algorithm(n,$x_1$)
  external $f$
  $x\leftarrow x_1;x^{\prime }\leftarrow f(x)\mathrm{m}\mathrm{o}\mathrm{d}n;d=gcd(x-x^{\prime },n)$
  while $p=1$:
   $x\leftarrow f(x)\mathrm{m}\mathrm{o}\mathrm{d}n$
   $x^{\prime }\leftarrow f(x^{\prime })\mathrm{m}\mathrm{o}\mathrm{d}n;x^{\prime }\leftarrow f(x^{\prime })\mathrm{m}\mathrm{o}\mathrm{d}n$
   $d\leftarrow gcd(x-x^{\prime },n)$
  if d=n then return failure
  else return d