Квадратичне решето

Квадратичне решето (Шаблон:Lang-en) — алгоритм факторизації цілих чисел, на практиці найшвидший для чисел до 10¹⁰⁰. Асипмтотично є другим за швидкістю після загального решета цифрового поля, і значно простіший за нього. Це метод факторизації загального призначення, тобто, час його виконання залежить лише від розміру цілого числа на вході, і не залежить від його вигляду (на відміну від Шаблон:Нп). Метод винайшов математик Шаблон:Нп 1981 року як поліпшення лінійного решета Шроппеля.^[1]

Візьмемо, наприклад, число ${\displaystyle 2419.}$ Це число складене і не ділиться на жодне з малих простих чисел. Але можна побачити, що це ${\displaystyle 2500-81,}$ тобто ${\displaystyle 2419=50^2-9^2.}$ Отже ми можемо розкласти ${\displaystyle 2419}$ як різницю квадратів. Це є ${\displaystyle (50-9)(50+9)}$ або ${\displaystyle 41\times 59.}$ Кожне непарне складене число можна розкласти як різницю квадратів:

${\displaystyle n=pq={\left(\frac{p+q}{2}\right)}^2-{\left(\frac{p-q}{2}\right)}^2.}$

Спробуймо знов з числом 1649. Воно також складене і не має малих простих дільників, менших ніж його логарифм. З 2419 ми взяли перший квадрат більший від нього, а саме ${\displaystyle 50^2}$ і тоді зауважили, що ${\displaystyle 50^2-2419=81,}$ що є квадратом. Можна подумати, що в пошуці квадратів можна пройти послідовність ${\displaystyle x^2-n}$ з ${\displaystyle x=\lceil n^{1/2}\rceil ,\lceil n^{1/2}\rceil +1,\dots .}$ Для ${\displaystyle n=1649}$ маємо:

${\displaystyle 41^2-n=32,}$

${\displaystyle 42^2-n=115,}$

Шаблон:NumBlk

${\displaystyle ⋮}$

і не бачимо квадратів поміж перших результатів.

Попри цю невдачу, попередні три рівняння вже можна використати для розкладення ${\displaystyle n.}$ Хоча ані 32, ані 200 не є квадратами, однак їхній добуток — квадрат, а саме ${\displaystyle 80^2.}$ отже з того, що

${\displaystyle 41^2\equiv 32(\mathrm{mod}n),}$

${\displaystyle 43^2\equiv 200(\mathrm{mod}n),}$

маємо ${\displaystyle 41^2\times 43^2\equiv 80^2(\mathrm{mod}n),}$ що рівнозначно Шаблон:NumBlk Ми знайшли розв'язок для ${\displaystyle a^2\equiv b^2(\mathrm{mod}n).}$ Наскільки це цікаво? Звісно існує багато нецікавих пар ${\displaystyle a^2\equiv b^2(\mathrm{mod}n).}$ А саме, якщо взяти будь-яке значення ${\displaystyle a}$ і покласти ${\displaystyle b=\pm a.}$ Але цей перелік не вичерпує всі розв'язки для цього рівняння, бо розкладення ${\displaystyle n}$ як різницю квадратів дало б пару ${\displaystyle a,b}$ з ${\displaystyle b=\pm a.}$ Далі, будь-яка пара ${\displaystyle a,b}$ з Шаблон:NumBlk має вести до нетривіального розкладу ${\displaystyle n,}$ через ${\displaystyle \gcd (a-b,n).}$ Справді, з Шаблон:EquationNote випливає, що ${\displaystyle n}$ ділить ${\displaystyle (a-b)(a+b),}$ але не ділить жоден з множників, отже ${\displaystyle \gcd (a-b,n),\gcd (a+b,n)}$ мають бути нетривіальними дільниками ${\displaystyle n.}$ НСД можна знайти через алгоритм Евкліда. Зрештою, якщо ${\displaystyle n}$ має щонайменше два простих множники, тоді не менше половини розв'язків ${\displaystyle a^2\equiv b^2(\mathrm{mod}n)}$ з ${\displaystyle ab}$ взаємно простим з ${\displaystyle n}$ також задовольняють ${\displaystyle b\equiv ̸\pm a(\mathrm{mod}n),}$ що і є Шаблон:EquationNote.

Доведення

Для степені непарного простого ${\displaystyle p^u,}$ конгруентність ${\displaystyle y^2\equiv 1(\mathrm{mod}{p}^u)}$ має рівно 2 розв'язки, отже з того, що ${\displaystyle n}$ ділимо не менш як двома різними непарними простими, конгруенція ${\displaystyle y^2\equiv 1(\mathrm{mod}n)}$ має щонайменше 4 розв'язки. Позначимо ці значення як ${\displaystyle y_1,y_2,y_3,\dots ,y_s,}$ де ${\displaystyle y_1=1,}$ ${\displaystyle y_2=-1.}$ Тоді повний перелік пар квадратичних залишків ${\displaystyle a,b}$ за модулем ${\displaystyle n}$ взаємно простих з ${\displaystyle n}$ і з ${\displaystyle a^2\equiv b^2(\mathrm{mod}n)}$ збігається з усіма парами ${\displaystyle a,y_{i}a,}$ де ${\displaystyle a}$ пробігає всі залишки, взаємно прості з ${\displaystyle n,}$ a ${\displaystyle i=1,\dots ,s.}$ Пари з ${\displaystyle i=1,2}$ не задовольняють Шаблон:EquationNote, тоді як інші так. З того, що ${\displaystyle s\ge 4,}$ доведення завершене.

В основі методу лежить така ідея. Припустимо ${\displaystyle x}$ і ${\displaystyle y}$ є цілими такими, що ${\displaystyle x^2\equiv y^2(\mathrm{mod}n),}$ але ${\displaystyle x\equiv ̸\pm y(\mathrm{mod}n)}$. Тоді ${\displaystyle n}$ ділить ${\displaystyle x^2-y^2=(x-y)(x+y),}$ але не ділить ані ${\displaystyle (x-y),}$ ані ${\displaystyle (x+y).}$ Звідси ${\displaystyle \gcd (x-y,n)}$ має бути нетривіальним дільником ${\displaystyle n.}$

Припустимо, що маємо розкласти ціле ${\displaystyle n}$. Нехай ${\displaystyle m=\lfloor \sqrt{n}\rfloor }$. Розглянемо многочлен ${\displaystyle q(x)=(x+m{)}^2-n}$. Зауважимо, що

${\displaystyle q(x)=x^2+2mx+m^2-n\approx x^2+2mx}$

є малим порівняно з ${\displaystyle n}$, якщо абсолютне значення ${\displaystyle x}$ мале. Алгоритм квадратичного решета обирає ${\displaystyle a_i=(x+m)}$ і шукає серед чисел ${\displaystyle b_i=(x+m{)}^2{p}_t}$-гладкі. Зауважимо, що ${\displaystyle a_i=(x+m{)}^2\equiv b_i(\mathrm{mod}n),}$ звідси ${\displaystyle n}$ є квадратичним залишком за модулем ${\displaystyle p.}$ Отже фактор-база має складатися з простих чисел ${\displaystyle p}$, для яких символ Лежандра ${\displaystyle \left(\frac{n}{p}\right)=1.}$ Окрім цього, тому що ${\displaystyle b_i}$ може бути від'ємним, ${\displaystyle -1}$ також включаємо до фактор-бази.

Замість перевірки на гладкість перебором дільників застосовується ефективніша техніка відома як просіювання (Шаблон:Lang-en). Спочатку звернемо увагу на те, що якщо ${\displaystyle p}$ є непарним простим у фактор-базі і ${\displaystyle p}$ ділить ${\displaystyle q(x),}$ тоді ${\displaystyle p}$ також ділить ${\displaystyle q(x+lp)}$ для кожного цілого ${\displaystyle l.}$

${\displaystyle y(x)=x^2-n}$

${\displaystyle y(x+kp)=(x+kp{)}^2-n}$

${\displaystyle y(x+kp)=x^2+2xkp+(kp{)}^2-n}$

${\displaystyle y(x+kp)=y(x)+2xkp+(kp{)}^2\equiv y(x)(\mathrm{mod}p)}$

Отже шляхом розв'язання рівняння ${\displaystyle q(x)\equiv 0(\mathrm{mod}p)}$ для ${\displaystyle x}$ (для цього існують дієві алгоритми, наприклад Шаблон:Нп), отримуємо одну або дві (залежно від кількості квадратичних лишків) послідовності значень ${\displaystyle y}$, для яких ${\displaystyle p}$ ділить ${\displaystyle q(y)}$.

Для просіювання застосовується властивість логарифма: ${\displaystyle \log ({\displaystyle \prod _1^n}{p}_i)={\displaystyle \sum _1^n}\log (p_i).}$

Перебіг просіювання такий. Створюється масив ${\displaystyle Q[x]}$, де ${\displaystyle x,-M\le x\le M,}$ і кожний елемент ініціалізується значенням ${\displaystyle \log |q(x)|}$. Нехай ${\displaystyle x_1,x_2}$ будуть розв'язками для ${\displaystyle q(x)\equiv 0(\mathrm{mod}p),}$ де ${\displaystyle p}$ є непарним простим числом з фактор-бази. Тоді значення ${\displaystyle \log p}$ віднімають від тих елементів ${\displaystyle Q[x]}$, для яких ${\displaystyle x\equiv x_1}$ або ${\displaystyle x_2(\mathrm{mod}p),}$ і ${\displaystyle -M\le x\le M}$. Дія повторюється для кожного простого ${\displaystyle p}$ у фактор-базі. (Випадки з ${\displaystyle p=2}$ і степенями простих чисел можна обробити подібним чином.) Після просіювання елементи масиву ${\displaystyle Q[x]}$ зі значеннями, близькими до ${\displaystyle 0}$, швидше за все відповідають ${\displaystyle p_t}$-гладким числам (треба брати до уваги похибки округлення), і це можна перевірити перебором дільників.

Вхід: ціле складене число ${\displaystyle n}$, яке не є степенем простого.

Вихід: нетривіальний дільник ${\displaystyle d}$ для ${\displaystyle n}$.

1. Обираємо базу дільників ${\displaystyle S=\{p_1,p_2,...,p_t\},}$ де ${\displaystyle p_1=-1}$ і ${\displaystyle p_j(j\ge 2)}$ є ${\displaystyle (j-1)}$-е просте ${\displaystyle p}$ для якого ${\displaystyle n}$ є квадратичним залишком за модулем ${\displaystyle p}$.
2. Обчислити ${\displaystyle m=\lfloor \sqrt{n}\rfloor }$.
3. Побудувати многочлен ${\displaystyle q(x)=(x+m{)}^2-n}$ й обчислити значення ${\displaystyle \log |q(x)|}$ для x ${\displaystyle -M\le x\le M}$. Просіяти побудований масив елементами факторної бази p_i (та їх невеликими степенями).
4. Серед близьких до нуля залишків у просіяному масиві знайти ${\displaystyle t+1}$ гладких чисел ${\displaystyle b_i}$:

   Встановити ${\displaystyle i\leftarrow 1}$. Поки ${\displaystyle i\le t+1}$ робити наступне:

   1. Обчислити ${\displaystyle b=q(x)=(x+m{)}^2-n,}$ і перевірити послідовним діленням на елементи з ${\displaystyle S}$ чи є ${\displaystyle b{p}_t}$-гладким. Якщо ні, обираємо новий ${\displaystyle x}$ і повторюємо.
   2. Якщо ${\displaystyle b}$ є ${\displaystyle p_t}$-гладким, скажімо ${\displaystyle b={\displaystyle \prod _{j=1}^t}{p}_i^{e_{ij}},}$ тоді покласти ${\displaystyle a_i\leftarrow (x+m),b_i\leftarrow b,v_i=(v_{i1},v_{i2},\dots ,v_{it})}$, де ${\displaystyle v_{ij}=e_{ij}mod2}$ для ${\displaystyle 1\le j\le t.}$
   3. ${\displaystyle i\leftarrow i+1.}$
5. Серед векторів v_i над полем Z₂ знайти нетривіальну лінійну комбінацію, яка дорівнює нульовому вектору, тобто, непорожню підмножину ${\displaystyle T\subseteq 1,2,\dots ,t+1}$ таку, що ${\displaystyle \sum _{i\in T}{v}_i=0}$. Коефіцієнти такої лінійної комбінації можна знайти шляхом розв'язання системи лінійних рівнянь.
6. Обчислити ${\displaystyle x=\prod _{i\in T}{a}_{i}modn.}$
7. Для кожного ${\displaystyle j,1\le j\le t,}$ обчислити ${\displaystyle l_j=(\sum _{i\in T}{e}_{ij})/2}$.
8. Обчислити ${\displaystyle y={\displaystyle \prod _{j=1}^t}{p}_j^{l_j}modn.}$
9. Якщо ${\displaystyle x\equiv \pm y(\mathrm{mod}n),}$ тоді знайти іншу непорожню підмножину ${\displaystyle T\subseteq \{1,2,\dots ,t+1\}}$ таких, що ${\displaystyle \sum _{i\in T}{v}_i=0,}$ і перейти до етапу 5. (У малоймовірному випадку, якщо підмножина ${\displaystyle T}$ не існує, замінити декілька з двійок ${\displaystyle (a_i,b_i)}$ новими парами (етап 3), і перейти на етап 4.
10. Обчислити ${\displaystyle d=\gcd (x-y,n)}$ і повернути ${\displaystyle d}$.

Алгоритм квадратичного решета для находження нетривіального дільника для ${\displaystyle n=24961.}$

1. Обираємо фактор-базу ${\displaystyle S=\{-1,2,3,5,13,23\}}$ розміру ${\displaystyle t=6.}$ ${\displaystyle (7,11,17}$ і ${\displaystyle 19}$ опущені з ${\displaystyle S,}$ бо для цих простих ${\displaystyle (\frac{n}{p})=-1.}$)
2. Обчислити ${\displaystyle m=\lfloor \sqrt{2}4961\rfloor =157}$.
3. Далі йдуть дані зібрані для перших ${\displaystyle t+1}$ значень ${\displaystyle x,}$ для яких ${\displaystyle q(x)}$ є 23-гладкими.

${\displaystyle i}$	${\displaystyle x}$	${\displaystyle q(x)}$	факторизація ${\displaystyle q(x)}$	${\displaystyle a_i}$	${\displaystyle b_i}$
1	0	−312	${\displaystyle -2^3\times 3\times 13}$	157	(1, 1, 1, 0, 1, 0)
2	1	3	${\displaystyle 3}$	158	(0, 0, 1, 0, 0, 0)
3	−1	−625	${\displaystyle -5^4}$	156	(1, 0, 0, 0, 0, 0)
4	2	320	${\displaystyle 2^6\times 5}$	159	(0, 0, 0, 1, 0, 0)
5	−2	−936	${\displaystyle -2^3\times 3^2\times 13}$	155	(1, 1, 0, 0, 1, 0)
6	4	960	${\displaystyle 2^6\times 3\times 5}$	161	(0, 0, 1, 1, 0, 0)
7	−6	−2160	${\displaystyle -2^4\times 3^3\times 5}$	151	(1, 0, 1, 1, 0, 0)

4. Візьмемо ${\displaystyle T=\{1,2,5\}.}$^[2] Маємо ${\displaystyle v_1+v_2+v_5=0.}$
5. Обчислимо ${\displaystyle x=(a_1{a}_2{a}_{5}modn)=936.}$
6. Обчислимо ${\displaystyle l_1=1,l_2=3,l_3=2,l_4=0,l_5=1,l_6=0.}$
7. Обчислимо ${\displaystyle y=-23\times 32\times 13modn=24025.}$
8. Через те, що ${\displaystyle 936\equiv -24025(\mathrm{mod}n),}$ потрібно взяти наступну лінійну залежність.
9. У випадку ${\displaystyle T=\{2,4,6\},}$ отримуємо такий самий вислід.
10. Наступна ${\displaystyle T=\{3,6,7\},v_3+v_6+v_7=0.}$
11. Обчислимо ${\displaystyle x=(a_3{a}_6{a}_{7}modn)=23405.}$
12. Обчислимо ${\displaystyle l_1=1,l_2=5,l_3=2,l_4=3,l_5=0,l_6=0.}$
13. Обчислимо ${\displaystyle y=(-25\times 32\times 53modn)=13922.}$
14. Тепер, ${\displaystyle 23405\equiv ̸\pm 13922(\mathrm{mod}n),}$ отже обчислимо ${\displaystyle \gcd (x-y,n)=\gcd (9483,24961)=109.}$ Звідки, маємо два нетривіальних дільники для ${\displaystyle 24961}$ — ${\displaystyle 109}$ і ${\displaystyle 229.}$

Шаблон:Reflist

Шаблон:Алгоритми теорії чисел