Αλγόριθµοι για την παραγοντοποίηση ακεραίων αριθµών

Αλγόριθµοι για την παραγοντοποίηση ακεραίων αριθµών Αλέξανδρος Γ. Συγκελάκης 3 Απριλίου 2006 Μέθοδος Συνεχών Κλασµάτων. Θεωρητικό Υπόβαθρο Συνεχών Κλασµάτων Περίληψη Στο κοµµάτι αυτό ϑα περιγράψουµε µία µέθοδο, η οποία οφείλεται στον Legendre για την εύρεση αρκετών b, τέτοιων ώστε να ισχύει b 2 mod n < 2 n. Η µέθοδος αυτή χρησιµοποιεί τη ϑεωρία των συνεχών κλασµάτων της οποίας ϑα κάνουµε µία σύντοµη εισαγωγή µε τα εντελώς απαραίτητα αποτελέσµατα, τα οποία και ϑα αποδείξουµε, χωρίς να τα ϑεωρήσουµε τετριµµένα. Θεωρούµε x R και κατασκευάζουµε το συνεχές κλάσµα αυτού, που ορίζεται αναδροµικά ως εξής : Εστω a 0 = [x], όπου [x] συµβολίζει το ακέραιο µέρος του αριθµού x, δηλαδή τον µεγαλύτερο ακέραιο που δεν υπερβαίνει το x (Για παράδειγµα [ 3.2] = 4, [2.6] = 2, [3] = 3 κ.τ.λ.). Θέτουµε x 0 = x a 0 και παίρνουµε a = [ ] > 0 και x = a. Για i > έστω a i = [ ] > 0 και x 0 x 0 x i x i = a i ή x i =. Οταν/Εαν ϐρούµε οτι ο είναι ακέραιος x i a i + x i x i τότε έχουµε x i = 0 και η διαδικασία σταµατά. εν είναι δύσκολο να δούµε οτι η διαδικασία σταµατά αν-ν ο x είναι ϱητός (διότι σε αυτή την περίπτωση, τα x i είναι ϱητοί αριθµοί µε αύξοντες παρανοµαστές). Ετσι λοιπόν, x = a 0 + x 0 = a 0 + a + x = a 0 + a + a 2 + x 2 Τµήµα Μαθηµατικών, Πανεπιστήµιο Κρήτης

= = a 0 + a + a 2 + a 3 + a i + x i το οποίο συνήθως γράφεται στην πιο συνεπτυγµένη µορφή, x =< a 0, a,..., a i, x i >. Παράδειγµα. Θα αναπτύξουµε σε συνεχές κλάσµα τον αριθµό 2. Σύµφωνα µε τα παραπάνω a 0 = [ 2] = και x 0 = 2. Τότε a = [ 2 ] = [ 2 + ] = 2 και x = x 0 a = 2 2 = 2 και συνεχίζοντας παίρνουµε a i = 2 και x i = 2, i = 2, 3,... συνεπώς το ανάπτυγµα του αριθµού 2 σε συνεχές κλάσµα είναι το 2 =<, 2, 2, 2,... >. Ας υποθέσουµε οτι ο x είναι άρρητος. Εαν εφαρµόσουµε την παραπάνω µορφή µέχρι να πάρουµε τον i-οστό όρο και µετά σβήσουµε το x i, τότε παίρνουµε τον i-οστό συγκλίνων ϱητό στο x, έστω b i :=< a 0, a,..., a i >, µε (b i, ) = και > 0. Πρόταση Ισχύουν οι εξής αναγωγικοί τύποι : b 0 = a 0, c 0 =, b = a 0 a +, c = a και i 2 : b i = a i b i + b i 2, = a i + 2 Απόδειξη : Εύκολα επαληθεύουµε οτι οι παραπάνω τύποι ισχύουν για i = 0,, 2. Υποθέτουµε οτι ισχύουν για i = k 2. Είναι τότε x = a 0 + x i και x =< a, a 2,... >. Εστω r j, s j ακέραιοι µε (r j, s j ) = ώστε r j s j =< a, a 2,..., a j+ > (j = 0,,...), δηλαδή ο ϱητός στον οποίο αντιστοιχεί το συνεχές κλάσµα < a, a 2,..., a j+ >. Εφαρµόζουµε την υπόθεση της επαγωγής στους ακεραίους r j, s j και παίρνουµε : r k = a k r k 2 + r k 3 και s j = a k s k 2 + s k 3 Καθώς b j c j =< a 0, a,..., a j >= a 0 + (r j, s j ) =, παίρνουµε < a, a 2,..., a j > = a 0 + r j s j και b j = a 0 r j + s j, c j = r j (.) εν µπορούµε να προχωρήσουµε αµέσως στο επαγωγικό ϐήµα για i = k, καθώς ϑα εµφανιστεί το < a, a 2,..., a k > το οποίο δεν είναι ϕανερό µε τί ισούται σε σχέση µε τα b i, που εµείς γνωρίζουµε λόγω της υπόθεσης της επαγωγής. Για το λόγο αυτό ϐάζουµε στο παιχνίδι και το < a, a 2,..., a j+ >. 2

Θέτοντας j = k, έχουµε : b k = a 0 r k + s k = a 0 (a k r k 2 + r k 3 ) + (a k s k 2 + s k 3 ) = a k (a 0 r k 2 + s k 2 ) + (a 0 r k 3 + s k ) (.2) και c k = r k = a k r k 2 + r k 3. (.3) Για j = k, k 2, κάνοντας χρήση των σχέσεων., παίρνουµε b k = a 0 r k 2 + s k 2, c k = r k 2 b k 2 = a 0 r k 3 + s k 3, c k 2 = r k 3 (.4) και συνδιάζοντας τις.2,.3,.4 παίρνουµε οτι b k = a k b k + b k 2, c k = a k c k + c k 2 και έτσι ολοκληρώνεται η επαγωγή στο k. Πόρισµα. Προφανώς η ακολουθία των είναι γνησίως αύξουσα. Πρόταση 2 Ισχύει b i b i = ( ) i, i Απόδειξη : Για i = ισχύει καθώς b c 0 b 0 c = (a 0 a + ) a 0 a = = ( ) 0. Υποθέτουµε οτι ισχύει για i = k 2 δηλαδή b k c k b k c k = ( ) k. Τότε b k+ c k b k c k+ = (a k+ b k + b k )c k b k (a k+ c k + c k ) = b k c k b k c k = ( )(b k c k b k c k ) (υπόθ. επαγωγής) = ( )( ) k = ( ) k Πόρισµα.2 Ισχύει, b i b i = ( )i σχέση µε ). (Αρκεί να διαιρέσουµε την παραπάνω Πόρισµα.3 Απ το Πόρισµα.2, για τις υπακολουθίες b 2i c 2i, b 2i+ c 2i+ της b i, έχουµε : b 2i c 2i < b 2i+2 c 2i+2 και b 2i+ c 2i+ > b 2i+3 c 2i+3 (.5) (Λαµβάνοντας υπόψιν οτι η ακολουθία ϑετικών ακεραίων είναι γνησίως αύξουσα). 3

Πρόταση 3 Για κάθε ϕυσικό i 2 ισχύει : Απόδειξη : Για i = 2 έχουµε : x = x ib i + b i x i + (.6) x =< a 0, a, a 2 > = a 0 + a + a 2 = a 0 + a + x = a 0a + x a 0 + a + x = (a 0a + ) + x a 0 a + x και καθώς b = a 0 a +, b 0 = a 0, x = a, c 0 =, η παραπάνω γίνεται x = b + x b 0 c + x c 0 που είναι η.6 για i = 2. Εστω τώρα i 2 και έστω οτι η.6 ισχύει για i = k, δηλαδή x = x kb k + b k x k c k + c k. Στον ορισµό όµως του συνεχούς κλάσµατος, είχαµε πάρει x k = απ οπου, x = και η απόδειξη ολοκληρώθηκε. a k+ + x k+ b k + b k a k+ + x k+ c k + c k = b k + b k a k+ + b k x k+ c k + b k a k+ + b k x k+ = b k+ + b k x k+ c k+ + c k x k+ a k+ + x k+ Παρατήρηση : Είδαµε ότι η ακολουθία a i σταµατά εαν ο x είναι ϱητός. Μ- πορεί να δειχθεί επίσης ότι η a i γίνεται περιοδική αν-ν x Q( n), n δηλαδή ο x είναι της µορφής x + x 2 n, όπου x, x 2 Q και n. Συγκεκριµένα είδαµε το Παράδειγµα., για το 2. Παράδειγµα.2 Εαν αναπτύξουµε τον αριθµό 3 σε συνεχές κλάσµα ϑα πάρουµε 3 =<,, 2,, 2,, 2,, >. Σ αυτό το σηµείο ισχυριζόµαστε οτι τα ai, εναλλάσσονται µεταξύ του και του 2. Για να το αποδείξουµε αυτό, ας είναι x το άπειρο 4

συνεχές κλασµα στο δεξί µέλος, του οποίου οι όροι εναλλασσονται µεταξύ του και του 2, δηλαδή x =<,, 2,, 2, >. Τότε x = + + 2+ + 2+ = + + + + + 2+ }{{} x = + + + x απ οπου λύνοντας ως προς x την δευτεροβάθµια εξίσωση που προκύπτει, παίρνουµε x = 3, όπως ακριβώς ϑέλαµε. Πρόταση 4 Ισχύει και b 0 < b 2 < < b 2k < < x < < b 2k+ < < b 3 < b c 0 c 2 c 2k c 2k+ c 3 c x b i < c 2 (.7) i Απόδειξη : Χρησιµοποιώντας τις Προτάσεις 2 και 3 έχουµε x b i = x i+b i + b i+ x i+ + + b i = b i+ b i + (x i+ + + ) ( ) i = (x i+ + + ) συνεπώς επειδή οι αριθµοί x i, είναι ϑετικοί για i, από την παραπάνω ισότητα και το Πόρισµα.3, έχουµε πράγµατι την ισχύ της πρώτης προς απόδειξη σχέσης και καθώς x b i = (x i+ + + ) < c 2 i b i Πόρισµα.4 Ισχύει lim = x i + (Η απόδειξη αυτού είναι άµεση εαν λάβουµε υπ όψιν την ανισότητα.7 και οτι η ακολουθία των είναι γνησίως αύξουσα.) Πρόταση 5 Εστω x > πραγµατικός, του οποίου η ανάπτυξη σε συνεχές κλάσµα έχει i-οστό συγκλίνων ϱητό στο x, το b i. Τότε i ισχύει b 2 i c x2 c 2 i < 2x. i Απόδειξη : b 2 i x2 c 2 i = c 2 i x b i x + b i 5

Εαν i άρτιος, τότε b i < x < b i+ και η παραπάνω σχέση γίνεται c 2 i x + b i x + b i < c 2 i x c 2 + b i = x + b i = x + b i < 2x (καθώς x > ). i Εαν i περιττός, τότε b i+ < x < b i οπότε x b i < b i b i+ = + + + και τότε η παραπάνω σχέση γίνεται c 2 b i i x x+ b i < c 2 (x+ b i ) = i + (x + b i ) + Οµως b i b i+ + = + άρα b i + = b i+ + x + + άρα, συνεχίζοντας την προηγούµενη σχέση έχουµε + (x + b i ) < (2x + ) οπότε, + + < x απ όπου b i < (2x + ) 2x = 2x( + ) + + + 2x + + (Ισχύει 2xc 2 i+ > + ) < 2x( + + ) + + 2x( + + + ) = 0 Πρόταση 6 Εστω n ϑετικός ακέραιος ο οποίος δεν είναι τετράγωνο ακεραίου και b i, ο i-οστός συγκλίνων ϱητός της ανάπτυξης σε συνεχές κλάσµα του n. Τότε το υπόλοιπο της διαίρεσης του b 2 i modulo n (Το οποίο εµείς ϑεωρούµε οτι είναι µεταξύ του n/2 έως το n/2. ηλαδή επιτρέπουµε στο υπόλοιπο, να είναι και αρνητικός), είναι µικρότερο του 2 n. Απόδειξη : Εφαρµόζουµε την προηγούµενη πρόταση για x = n και παίρνουµε οτι b 2 i nc2 i < 2 n. Οµως b 2 i b2 i nc2 i (mod n) και συνεπώς αφού b 2 i nc2 i < 2 n άρα b 2 i (mod n) < 2 n. Παρατήρηση : Η τελευταία Πρόταση είναι και το κλειδί για τον αλγόριθµο παραγοντοποίησης µε συνεχή κλάσµατα που ϑα αναφέρουµε αµέσως µετά, διότι µας ϐεβαιώνει οτι µπορούµε να ϐρούµε µία ακολουθία απο b i, των οποίων τα τετράγωνα έχουν µικρά υπόλοιπα modulo n, παίρνοντας τους αριθµητές των συγκλίνοντων ϱητών στην ανάπτυξη του n σε συνεχές κλάσµα. Ας σηµειωθεί 6

οτι δεν χρειάζεται να ϐρούµε τον ακριβή συγκλίνοντα ϱητό, αλλά µας αρκεί µόνο ο αριθµητής b i modulo n. Συνεπώς το γεγονός οτι ο αριθµητής και ο παρανοµαστής του συγκλίνοντα ϱητού ϑα γίνουν γρήγορα πολύ µεγάλοι, δε µας ανησυχεί. εν χρειάζεται ποτέ να δουλέψουµε µε ακέραιους µεγαλύτερους από n 2 ( Οταν πολλαπλασιάσουµε ακεραίους modulo n)..2 Αλγόριθµος Παραγοντοποίησης ακεραίων µε χρήση Συνεχών Κλασµάτων Ορισµός. Βάση παραγόντων είναι ενα σύνολο B = {p, p 2,..., p h } διακεκριµένων πρώτων και µε το p να µπορεί να είναι το. Λέµε οτι το τετράγωνο ακεραίου b είναι Β-αριθµός (για δοσµένο n), εαν το ελάχιστο κατ απόλυτη τιµή πηλίκο του b 2 (mod n) µπορεί να γραφτεί ως γινόµενο αριθµών από το B. Παράδειγµα.3 Για n = 4633 και B = {, 2, 3}. Τα τετράγωνα των τριών ακεραίων 67, 68, 69 είναι B-αριθµοί διότι 67 2 44 (mod 4633), 68 2 9 (mod 4633), 69 2 28 (mod 4633) και αντίστοιχα έχουµε 44 = 2 4 3 2, 9 = 3 2, 28 = 2 7. Ας συµβολίσουµε µε F h 2, τον διανυσµατικό χώρο πάνω από το σώµα µε δύο στοιχεία, το οποίο περιέχει h-άδες από το σύνολο {0, }. οσµένου του n και της ϐάσης παραγόντων Β η οποία περιέχει h αριθµούς, ϑα δείξουµε πώς ϑα αντιστοιχίσουµε ένα διάνυσµα ɛ F h 2 σε κάθε Β-αριθµό. Γράφουµε καταρχήν το b 2 (mod n) στη µορφή h j= p a j j και ϑέτουµε την j συντεταγµένη ɛ j, ίση µε a j (mod 2). Με άλλα λόγια ɛ j = 0 εαν ο a j είναι άρτιος, και ɛ j =, εαν ο a j είναι περιττός. Παράδειγµα.4 Στο παραπάνω παράδειγµα το διάνυσµα που αντιστοιχεί στο 67, είναι το {, 0, 0}, στο 68 είναι το {, 0, 0} και στο 69 είναι το {0,, 0}. Εστω τώρα ότι έχουµε κάποιους από τους Β-αριθµούς b 2 i (mod n), τέτοιους ώστε τα αντίστοιχα διανύσµατα ɛ i = {ɛ i, ɛ i2,..., ɛ ih } όταν προστεθούν δίνουν το µηδενικό διάνυσµα του F h 2. Τότε προφανώς το γινόµενο των ελαχίστων (κατ απόλυτη τιµή) υπολοίπων b 2 i (mod 2), είναι ίσο µε ένα γινόµενο αρτίων δυνάµεων όλων των p j B, το οποίο σηµαίνει οτι εαν i, συµβολίσουµε µε a i το ελάχιστο κατ απόλυτη τιµή υπόλοιπο b 2 i (mod n) και γράψουµε a i = h j= p a ij j, τότε παίρνουµε ai = h j= P i p a ij j µε τον εκθέτη του κάθε πρώτου p j στο δεξί µέλος της παραπάνω, να είναι άρτιος. Τότε το δεξί µέλος, είναι τετράγωνο του j pγ j j µε γ j = 2 i a ij. Εαν ϑέσουµε λοιπόν b = i b i (mod n) (παίρνουµε το ελάχιστο κατ απόλυτη τιµή υπόλοιπο) και c = i pγ j j (mod n) (παίρνουµε το ελάχιστο κατ απόλυτη τιµή υπόλοιπο και 7

πάλι), παίρνουµε δύο αριθµούς b, c που ενώ κατασκευάστηκαν µε διαφορετικό τρόπο (ο ένας ως γινόµενο των b i και ο άλλος ως γινόµενο των p j ), έχουν b 2 c 2 (mod n). Εαν λοιπόν b ±c (mod n) τότε έχουµε ϐρει ένα µη τετριµµένο διαιρέτη του n παίρνοντας το (b + c, n) ή το (b c, n). Εαν όµως b ±c (mod n), τότε χρειάζεται να επαναλάβουµε τη διαδικασία µεγαλώνοντας την ϐάση παραγόντων Β που αρχικά απιλέξαµε. Αλγόριθµος Παραγοντοποίησης Ας ϑεωρήσουµε n ένα ακέραιο τον οποίο ϑέλουµε να παραγοντοποιήσουµε. Ολες οι πράξεις παρακάτω ϑα γίνουν modulo n παίρνοντας το ελάχιστο µη αρνητικό υπόλοιπο (ή το ελάχιστο κατ απόλυτη τιµή υπόλοιπο, στο Βήµα 3 του Αλγορίθµου). Θέτουµε αρχικά b =, b 0 = a 0 = [ n] και τέλος x 0 = n a 0. Λογαριάζουµε το b 2 0 (mod n) (το οποίο ϑα είναι το b2 0 n). Αµέσως µετά για i =, 2,... ακολουθούµε τα παρακάτω ϐήµατα διαδοχικά :. Θέτουµε a i = [ x i ] και µετά xi = x i a i. 2. Υπολογίζουµε το b i = a i b i + b i 2 (mod n). 3. Υπολογίζουµε το b 2 i (mod n). Κάνοντας τον υπολογισµό αυτό για µερικά i, διάλεξε εκείνους τους αριθµούς στο ϐήµα 3, οι οποίοι παραγοντοποιούνται ± ως γινόµενο µικρών πρώτων και πάρε µία ϐάση παραγόντων B που να περιέχει το, καθώς επίσης και τους πρώτους που εµφανίζονται περισσότερες από µία ϕορές στο b 2 i (mod n) (ή που εµφανίζονται σε άρτια δύναµη σε ένα και µόνο b 2 i (mod n)). Κάνε µετά µία λίστα που να περιέχει τους αριθµούς b 2 i (mod n) απ τους οποίους προέκυψε η ϐάση B, και τα αντίστοιχα διανύσµατα ɛ, που να περιέχουν µηδενικά και άσσους, τα οποία είναι τα διανύσµατα ανάλυσης του αριθµού στην ϐάση B που έχουµε επιλέξει. Εαν είναι δυνατόν, να ϐρεθεί ένα υποσύνολο αυτών των αριθµών, των οποίων το άθροισµα των αντίστοιχων διανύσµάτων να κάνει µηδέν modulo κάποιο οποιοδήποτε αριθµό που διαλέγω. Θέτουµε b = b i (δουλεύοντας modulo n και παίρνοντας το γινόµενο πάνω από το υποσύνολο για το οποίο γ ɛ = 0). Θέτουµε c = p j j, όπου τα p j είναι στοιχεία του B (εκτός του ), και γ j = 2 aij. Εαν b ±c (mod n), τότε ψάχνουµε για κάποιο άλλο υποσύνολο δεικτών i τέτοιων ώστε ɛi = 0. Εαν κάτι τέτοιο δεν είναι εφικτό, τότε πρέπει να υπολογίσουµε κι άλλα a i, b i και b 2 i (mod n), ώστε να µεγαλώσουµε την ϐάση παραγόντων Β. Παρατήρηση : Για να µπορούµε εύκολα να υπολογίζουµε το c = p γ j j, είναι αρκετό εαν για κάθε Β-αριθµό b 2 i (mod n) πάρουµε το διάνυσµα αi = {..., a ij,...} j αντί του ɛ i, το οποίο είναι ίδιο µε το α i υπολογισµένο (mod 2). 8

Παράδειγµα.5 Θα χρησιµοποιήσουµε τον παραπάνω αλγόριθµο για να παραγοντοποιήσουµε τον αριθµό 9073. Κάνουµε καταρχήν µία λίστα µε τα a i, b i (όπου b i, είναι το ελάχιστο µη αρνητικό υπόλοιπο modulo n του a i b i + b i 2 ) καθώς επίσης και το ελάχιστο κατ απόλυτη τιµή υπόλοιπο modulo n του b 2 i : i 0 2 3 4 a i 95 3 26 2 b i 95 286 38 9 269 b 2 i (mod n) 48 39 7 87 27 (48 = 2 4 3, 87 = 3 29, 27 = 3 3 ) Παρατηρώντας λοιπόν την τελευταία γραµµή του παραπάνω πίνακα ϐλέπουµε οτι είναι λογικό να πάρουµε ως ϐάση παραγόντων Β={, 2, 3, 7}. Τότε το b 2 i (mod n) είναι Β-αριθµός για i = 0, 2, 4. Τα αντίστοιχα διανύσµατα α i, είναι {, 4,, 0}, {, 0, 0, } και {, 0, 3, 0}. Το άθροισµα του πρώτου και τρίτου διανύσµατος είναι µηδέν modulo 2. ιαλέγουµε λοιπόν b = 95 269 3834 (mod 9073), και c = 2 2 3 2 = 36. Συνεπώς µε αυτό τον τρόπο έχουµε 3834 2 36 2 (mod 9073) και καθώς 3834 ±36 (mod 9073), παίρνουµε τον µη τετριµµένο παράγοντα (3834 + 36, 9073) = 43. Τελικά λοιπόν 9073 = 43 2. Παράδειγµα.6 Θα παραγοντοποιήσουµε τον αριθµό 7873. Οπως και στο προηγούµενο παράδειγµα ϕτιάχνουµε τον ίδιο πίνακα : i 0 2 3 4 5 a i 33 2 4 2 3 b i 33 34 40 738 3877 3369 b 2 i (mod n) 84 83 56 07 64 6 (84 = 2 3 23, 56 = 2 3 7, 64 = 2 6, 6 = 7 23) Εαν ϑέσουµε Β={, 2, 7, 23}, τότε έχουµε Β-αριθµούς όταν i = 0, 2, 4, 5. Τα αντίστοιχα διανύσµατα α i, είναι {, 3, 0, }, {, 3,, 0}, {, 6, 0, 0}, {0, 0,, }. Το άθροισµα του πρώτου, δεύτερου και τέταρτου από αυτά τα διανύσµατα είναι µηδέν modulo 2. Εντούτοις υπολογίζουµε οτι b = 33 40 3369 288 (mod 7873) και οτι c = 2 3 7 23 = 288 και έτσι ϐρίσκουµε οτι b c (mod 7873). Συνεπώς πρέπει να ϐρούµε κι άλλους Β-αριθµούς των οποίων τα αντίστοιχα διανύσµατα ϑα έχουν άθροισµα 0 modulo 2. Συνεχίζοντας τον παραπάνω πίνακα για µερικά ακόµη i παίρνουµε : i 6 7 8 a i 2 b i 7246 25 488 b 2 i (mod n) 77 49 88 (77 = 7, 88 = 2 3 ) 9

Εαν προσθέσουµε στην ϐάση παραγόντων Β, τον αριθµό, δηλαδή Β= {, 2, 7,, 23}, τότε για i = 0, 2, 4, 5, 6, 8 παίρνουµε Β-αριθµούς, µε αντίστοιχα διανύσµατα α i τα {, 3, 0, 0, }, {, 3,, 0, 0}, {, 6, 0, 0, 0}, {0, 0,, 0, }, {, 0,,, 0}, {, 3, 0,, 0}. Το άθροισµα του δεύτερου, τρίτου, πέµπτου και έκτου είναι 0 modulo 2. Τέλος b = 7272, c = 4928, και έτσι ϐρήκαµε ένα µη τετριµµένο διαιρέτη του 7873, τον (7272 + 4928, 7873) = 6 και έτσι 7873 = 6 293. 2 rho Μέθοδος του Pollard Περίληψη Ας υποθέσουµε οτι ένας αρκετά µεγάλος ακέραιος n είναι σύνθετος. Για παράδειγµα έχουµε ϐρει οτι κάποιο από τα primality tests που έχουµε αναφέρει εως τώρα αποτυγχάνει. Αυτό ϐέβαια δεν συνεπάγεται οτι γνωρί- Ϲουµε για το τί ιδιότητες έχει ο παράγοντας του n. Μόνο ο πολύ αργός αλγόριθµος που εξετάζει όλους τους διαδοχικούς πρώτους µέχρι το n µας δίνει αποτέλεσµα για το αν ο n είναι πρώτος ή σύνθετος και εαν n σύνθετος τότε µας λέει και τους παράγοντές του. Στην πραγµατικότητα ο αλγόριθµος αυτός µας δίνει ένα πρώτο παράγοντα στον ίδιο χρόνο που µας λέει εαν είναι σύνθετος ή όχι. Ολοι οι υπόλοιποι αλγόριθµοι οι οποίοι είναι γρηγορότεροι µας λένε µεν οτι ο n έχει κάποιο γνήσιο παράγοντα αλλά δε µας δίνουν περισσότερες πληροφορίες για το ποιός είναι. Η µέθοδος που εξετάζει όλους τους διαδοχικούς πρώτους µέχρι το n παίρνει περισσότερο χρόνο απο O( n) 2-αδικές πράξεις. Ο απλούστερος αλγόριθµος παραγοντοποίησης, ο οποίος είναι πολύ ταχύτερος από τον προηγούµενο, είναι του J.M. Pollard "H rho µέθοδος. Το πρώτο ϐήµα στη rho µέθοδο είναι να διαλέξουµε µία εύκολα υπολογίσιµη απεικόνιση από το Z n στον εαυτό του και συγκεκριµένα ένα απλό πολυώνυµο µε ακέραιους συντελεστές (π.χ. f(x) = x 2 + ). Στο επόµενο ϐήµα διαλέγουµε ένα συγκεκριµένο x = x 0 [συνήθως παίρνουµε το ή το 2 είτε διαλέγουµε το x 0 µε κάποιο τρόπο τυχαίο (randomly generated integer)], και υπολογίζουµε διαδοχικά τις συνθέσεις της f στο x: x = f(x 0 ), x 2 = f(f(x 0 )), x 3 = f(f(f(x 0 ))), κ.ο.κ. το οποίο σηµαίνει οτι ορίζουµε : x j+ = f(x j ), j = 0,, 2,... Μετά κάνουµε σύγκριση µεταξύ των διαφορετικών x j, ελπίζοντας οτι ϑα ϐρούµε δύο οι οποίοι ανήκουν σε διαφορετική κλάση υπολοίπων modulon, αλλά στην ίδια κλάση modulo κάποιο διαιρέτη του n. Μόλις ϐρούµε τέτοια x j, x k, έχουµε τελειώσει καθώς (x j x k, n) = m, όπου m ένας γνήσιος διαιρέτης του n. Παράδειγµα 2. Ας παραγοντοποιήσουµε το 9 µε την παραπάνω µέθοδο διαλέγοντας f(x) = x 2 +, x 0 =. Τότε x = 2, x 2 = 5, x 3 = 26, κ.τ.λ. Βρίσκουµε οτι (x 3 x 2, n) = (2, 9) = 7 άρα το 7 είναι διαιρέτης του 9. Οπωσδήποτε αυτό είναι τετριµµένο παράδειγµα, το οποίο ϑα µπορούσαµε να το λύσουµε εξίσου γρήγορα δοκιµάζοντας τους πρώτους τους µικρότερους του 9. 0

Στη rho µέθοδο είναι σηµαντικό να διαλέξουµε ένα πολυώνυµο f(x) το οποίο απεικονίζει το Z n στον εαυτό του µε τρόπο ανεξάρτητο, τυχαίο. Για παράδειγµα ϑα δείξουµε αργότερα οτι το f(x) δεν πρέπει να είναι ένα γραµµικό πολυώνυµο, καθώς επίσης να µη δίνει µία απεικόνιση. Ας υποθέσουµε λοιπόν οτι η f(x) είναι µία τυχαία απεικόνιση του Z n στο Z n, και υπολογίζουµε πόσο χρόνο πρέπει να περιµένουµε πριν ϐρούµε δύο συνθέσεις x j, x k τέτοιες ώστε η διαφορά x j x k να είναι µη τετριµµένος διαιρέτης του n. Το κάνουµε αυτό παίρνοντας ένα συγκεκριµένο διαιρέτη r του n (ο οποίος στην πράξη, δεν είναι γνωστός ακόµη) και υπολογίζουµε µία προσέγγιση του πρώτου δείκτη k για τον οποίο υπάρχει j < k µε x j < x k (mod r). Με άλλα λόγια ϑεωρούµε την απεικόνιση f(x) από το Z n στο Z n και Ϲητούµε να ϐρούµε πόσες συνθέσεις χρειάστηκαν πριν ξαναβρούµε την πρώτη επανάληψη των τιµών x k = x j στο Z n. Πρόταση 7 Εστω S ένα σύνολο µε r στοιχεία και µία απεικόνιση f : S S και x o S. Εστω x j+ = f(x j ) για j = 0,, 2,.... Θεωρούµε λ ένα ϑετικό ακέραιο αριθµό και l = + [ 2λr]. Τότε η αναλογία Ϲευγών (f, x o ) για τα οποία τα x 0, x,..., x l είναι διακεκριµένα και η f διατρέχει όλες τις δυνατές απεικονίσεις από το S στο S και το x 0 διατρέχει όλα τα στοιχεία του S, είναι µικρότερη από e λ. Απόδειξη : Ο συνολικός αριθµός Ϲευγών είναι r r+ καθώς υπάρχουν r επιλογές για το x 0 και για κάθε ένα από τα r διαφορετικά x S, υπάρχουν r επιλογές για το f(x) (Γνωρίζουµε οτι εαν f : S S είναι µία απεικόνιση και S = r τότε οι δυνατές συναρτήσεις που µπορώ να κατασκευάσω είναι r r ). Πόσα Ϲεύγη (f, x 0 ) υπάρχουν για τα οποία τα x 0, x,..., x l είναι διακεκριµένα; Υπάρχουν r επιλογές για το x 0, r επιλογές για το f(x 0 ) = x (αφού αυτό δεν µπορεί να είναι ίσο µε το x 0 ),r 2 επιλογές για το f(x ) = x 2, και συνεχίζοντας έτσι µέχρι να οριστεί η f για x = x 0, x,..., x l. Τότε η τιµή για κάθε ένα x από τα υπόλοιπα r l που µένουν, είναι αυθαίρετη, δηλάδή υπάρχουν r r l επιλογές για τις τιµές αυτές. Συνεπώς ο συνολικός αριθµός των επιλογών του x 0 και των τιµών f(x) έτσι ώστε τα x 0, x,..., x l να είναι διακεκριµένα είναι r r l l (r j) j=0 και η αναλογία Ϲευγών που έχουν την παραπάνω ιδιότητα (δηλαδή ο παραπάνω αριθµός όταν διαιρεθεί µε το r r+ ), είναι r l l (r j) = j=0 l ( j r ) Μένει λοιπόν να δείξουµε οτι ο λογάριθµος του παραπάνω είναι µικρότερος από λ (όπου l = + [ 2λr]). Για να το αποδείξουµε αυτό παίρνουµε το λογάριθµο j=

του δεξιού µέλους και χρησιµοποιούµε και το γεγονός ότι log( x) < x για 0 < x <. Ετσι έχουµε log όπως ακριβώς ϑέλαµε. l ( j l r ) < ( j l(l + ) ) = r 2r j= < l2 2r < ( 2λr) 2 = λ 2r j= Η σηµασία της Πρότασης αυτής είναι οτι δίνει µία εκτίµηση για τον πι- ϑανό χρόνο που χρειάζεται η rho µέθοδος, εφόσον ϑεωρήσουµε δεδοµένο οτι το πολυώνυµό µας συµπεριφέρεται περίπου σαν µία απεικόνιση από το Z n στο Z n. Θα κάνουµε µία µικρή ϐελτίωση της rho µεθόδου ώστε να είναι αποτελεσ- µατικότερη. Ας ϑυµηθούµε καταρχήν οτι η rho µέθοδος δουλεύει υπολογίζοντας τις διαδοχικές συνθέσεις x k = f(x k ) και συγκρίνει το x k µε τα προηγούµενα x j µέχρι να ϐρει ένα Ϲεύγος που ικανοποιεί την (x k x j, n) = r >. Οταν όµως το k µεγαλώσει αρκετά τότε είναι αρκετά χρονοβόρο να υπολογίζουµε το (x k x j, n) για κάθε j < k. Θα περιγράψουµε τώρα ένα τρόπο ώστε να χρειάζεται για κάθε k, να υπολογίζουµε κάθε ϕορά µόνο ένα Μ.Κ... Καταρχήν παρατηρούµε οτι εαν υπάρχει Ϲεύγος (k 0, j 0 ), τέτοιο ώστε x k0 x j0 (mod r) για κάποιο διαιρέτη r n τότε έχουµε την ίδια σχέση x k x j (mod r) για κάθε Ϲεύγος δεικτών j, k που έχουν την ίδια διαφορά k j = k 0 j 0. Για να το δούµε αυτό, απλά ϑέτουµε k = k 0 + m, j = j 0 + m και εφαρµόζουµε επανειληµµένως την συνάρτηση f και στα δύο µέλη της x k0 x j0 (mod r), m ϕορές. Θα περιγράψουµε τώρα πώς δουλεύει ο αλγόριθµος για την rho µέθοδο. Υπολογίζουµε διαδοχικά τα x k και για κάθε k προχωράµε ως εξής : Ας υποθέσουµε οτι ο k είναι ένας (h + )-ψήφιος αριθµός στο 2-αδικό σύστηµα (δηλαδή έχει όπως λέµε (h + )-bits) οπότε 2 h k < 2 h+ και έστω j ο µεγαλύτερος αριθµός µε h-bits δηλαδή j = 2 h. Συγκρίνουµε το x k µε αυτό το συγκεκριµένο x j, δηλαδή υπολογίζουµε το (x k x j, n). Εαν ο Μ.Κ.. δώσει ένα µη τετριµµένο παράγοντα του n σταµατούµε. ιαφορετικά προχωράµε στο k +. Αυτή η λίγο παραλαγµένη µορφή της µεθόδου έχει το πλεονέκτηµα οτι υπολογί- Ϲουµε µόνο ένα Μ.Κ.. για κάθε ακέραιο k. Εχει όµως το µειονέκτηµα οτι πιθανόν να µη ϐρει πότε για πρώτη ϕορά έχουµε κάποιο k 0, µε (x k0 x j0, n) = r > για κάποιο j 0 < k 0. Παρόλ αυτά κάποια στιγµή (όχι µετά από πολύ χρόνο), ϑα ϐρούµε ένα τέτοιο Ϲεύγος x k, x j του οποίου η διαφορά ϑα έχει κάποιο κοινό διαιρέτη µε το n. ηλαδή, ας υποθέσουµε οτι ο k 0 έχει (h + )-bits. Θέτουµε τότε j = 2 h+ και k = j + (k 0 j 0 ) στην οποία περίπτωση το j είναι ο µεγαλύτερος ακέραιος µε (h + )-bits και ο k είναι ένας ακέραιος µε (h + 2) bits ώστε να ισχύει (x k x j, n) >. Ας σηµειωθεί οτι k < 2 h+2 = 4 2 h 4k 0. 2

Παράδειγµα 2.2 Ας επιστρέψουµε και πάλι στο παράδειγµα 2. αλλά ας συγκρίνουµε κάθε x k µόνο µε το αντίστοιχο x j, το οποίο j είναι ο µεγαλύτερος ακέραιος < k της µορφής 2 h. Για n = 9, f(x) = x 2 +, x 0 = έχουµε x = 2, x 2 = 5, x 3 = 26 όπως πριν, και x 4 = 40 (αφού 26 2 + 40 (mod 9)). Ακολουθώντας τον αλγόριθµο που περιγράψαµε παραπάνω, ϐρίσκουµε για πρώτη ϕορά ένα παράγοντα του n όταν υπολογίσουµε το (x 4 x 3, n) = (4, 9) = 7. Παράδειγµα 2.3 Θα παραγοντοποιήσουµε τον αριθµό 4087 χρησιµοποιώντας το f(x) = x 2 + x + και x 0 = 2. Οι υπολογισµοί µας σύµφωνα µε τον παραπάνω αλγόριθµο ϕαίνονται παρακάτω x = f(2) = 7; (x x 0, n) = (7 2, 4087) = x 2 = f(7) = 57; (x 2 x, n) = (57 7, 4087) = x 3 = f(57) = 3307; (x 3 x, n) = (3307 7, 4087) = x 4 = f(3307) 2745 (mod 4087); (x 4 x 3, n) = (2745 3307, 4087) = x 5 = f(2745) 343 (mod 4087); (x 5 x 3, n) = (343 3307, 4087) = x 6 = f(343) 2626 (mod 4087); (x 6 x 3, n) = (2626 3307, 4087) = x 7 = f(2626) 3734 (mod 4087); (x 7 x 3, n) = (3734 3307, 4087) = 6 Αρα λοιπόν το 6 είναι διαιρέτης του 4087 και έτσι παίρνουµε 4087 = 6 67. Παρατήρηση : Ενας άλλος τρόπος προσέγγισης του ίδιου αλγορίθµου είναι να λογαριάσουµε για k 2, τις διαφορές x 2k 2 x k. Επειτα αρκεί να λογα- ϱιάσουµε τον Μ.Κ.. των παραπάνω διαφορών µε το n καθώς όπως αναφέραµε προηγουµένως, εαν υπάρχει κάποιο Ϲεύγος δεικτών k 0, j 0, για τους οποίους να έχουµε x k0 x j0 (mod n), τότε ισχύει x k x j (mod n), για k, j µε k j = k 0 j 0. Συνεπώς εαν ϐρούµε < (x 2k 2 x k, n) < n για κάποιο k = 2, 3,... τότε έχουµε ϐρεί ένα γνήσιο διαιρέτη του n, ενώ εαν (x 2k 2 x k, n) = n για κάποιο k, τότε επιλέγουµε κάποιο διαφορετικό x 0 ή κάποιο διαφορετικό πολυώνυµο f(x) για τους υπολογισµούς µας. 3

Αναφορές [] N. Koblitz, A Course in Number Theory and Cryptography, Second Edition (994) p. 38 60. [2] A. Menezes, P. van Oorschot and S. Vanstone, Handbook of Applied Cryptography. Fifth Printing (200) p.9 92. [3] S. Archava, Pollard s rho method using Maple, http://www.math.purdue.edu/ archava/math490.html [4] Ι. Αντωνιάδης, ιαλέξεις µαθηµάτων στα Συνεχή Κλάσµατα [5] Κ. Λάκκης, Θεωρία Αριθµών (980) [6] Κ. Λάκκη-Γ.Τζιντζή, Ασκήσεις Θεωρίας Αριθµών (99) [7]. Πουλάκης, Θεωρία αριθµών : Μια σύγχρονη ϑεώρηση της κλασσικής Θεω- ϱίας Αριθµών (997) [8] Θ. Ν. Καζαντζή, Θεωρία Αριθµών, Β Εκδοση (997) 4