Алгоритмы быстрого возведения в степень по модулю

Алгоритмы быстрого возведения в степень по модулю — разновидность алгоритмов возведения в степень по модулю, широко использующихся в различных криптосистемах, для ускорения вычислительных операций с большими числами.

Шаблон:Main

Шаблон:Mainref Пусть требуется вычислить ${\displaystyle S=x^{a}modn}$, где числа ${\displaystyle x,a,n}$ достаточно большие и пусть модуль может быть разложен на простые делители ${\displaystyle n=p_1{p}_2...p_j}$. Тогда для быстрого возведения в степень по модулю можно воспользоваться китайской теоремой об остатках и решить систему уравнений (предварительно посчитав вычеты ${\displaystyle x^a\equiv r_i(\mathrm{mod}{p}_i)}$ с использованием теоремы Ферма, где ${\displaystyle i=1,2,...,j}$):

${\displaystyle \{\begin{array}{c}{x}^a\equiv r_1(\mathrm{mod}{p}_1),0⩽r_1<p_1\\ x^a\equiv r_2(\mathrm{mod}{p}_2),0⩽r_2<p_2\\ ............\\ x^a\equiv r_j(\mathrm{mod}{p}_j),0⩽r_j<p_j\end{array}}$

Заменив ${\displaystyle x^a}$ на ${\displaystyle t}$ для удобства, решаем систему относительно ${\displaystyle t}$ и получаем ${\displaystyle S}$.

Шаблон:Hider

Шаблон:Mainref Значительный выигрыш от данного алгоритма можно получить при выполнении умножения. Умножение будет проводится в два раза быстрее при использовании данного алгоритма.

Шаблон:Mainref Данный метод позволяет сократить количество вычислений в ${\displaystyle 3-4}$ раза. Пусть ${\displaystyle a}$ имеет длину ${\displaystyle k}$ бит. При обычном возведении в степень затратится около ${\displaystyle 3k/2}$ умножений по модулю. Пусть мы хотим вычислить ${\displaystyle (x^{a}modp,x^{a}modq)}$. Сокращая ${\displaystyle a}$ на ${\displaystyle p-1}$ и ${\displaystyle q-1}$ задача сводится к вычислению ${\displaystyle (x^{amod(p-1)}modp,x^{amod(q-1)}modq)}$. Каждая степень в данной записи имеет длину ${\displaystyle k/2}$. Поэтому каждая операция возведения в степень потребует ${\displaystyle 3k/4}$ операций. Итого потребуется ${\displaystyle 2\cdot 3k/4=3k/2}$ умножений по модулю простого числа ${\displaystyle p}$ или ${\displaystyle q}$ вместо изначального умножения по модулю ${\displaystyle n}$.

Шаблон:Main

Шаблон:Mainref Пусть требуется вычислить ${\displaystyle x^{a}modn}$. Представим степень ${\displaystyle a=a_{j-1}{2}^{j-1}+a_{j-2}{2}^{j-2}+...+a_2{2}^2+a_1{2}^1+a_0}$, где ${\displaystyle a_j=(0,1)}$

Представим ${\displaystyle x^{a}modn}$ в виде:

${\displaystyle x^{a}modn=x^{a_{j-1}{2}^{j-1}+a_{j-2}{2}^{j-2}+...+a_2{2}^2+a_1{2}^1+a_0}modn=}$

${\displaystyle =(x^2{)}^{a_{j-1}{2}^{j-2}+a_{j-2}{2}^{j-3}+...+a_1{2}^0}{x}^{a_0}modn=}$

${\displaystyle =((x^2{)}^2{)}^{a_{j-1}{2}^{j-3}+a_{j-2}{2}^{j-4}+...+a_2{2}^0}(x^2{)}^{a_1}{x}^{a_0}modn=}$

${\displaystyle =(...((x^2{)}^2...{)}^2{)}^{a_{j-1}}...(x^8{)}^{a_3}(x^4{)}^{a_2}(x^2{)}^{a_1}{x}^{a_0}modn}$

Далее высчитывается значение выражения ${\displaystyle x^{2}modn}$ и проводится замена в преобразованном выражении.

Данная операция производится до тех пор пока не будет найден результат.

Шаблон:Hider

Шаблон:Mainref Если ${\displaystyle n}$ — простое или является произведением двух больших простых чисел, то обычно используют метод повторяющихся возведения в квадрат и умножения. Однако, если ${\displaystyle n}$ — составное, то обычно используют это метод вместе с китайской теоремой об остатках.

Шаблон:Mainref Средняя сложность данного алгоритма равна ${\displaystyle 1,5a}$ операций умножения двух ${\displaystyle a}$-битовых чисел плюс ${\displaystyle 1,5a}$ операций деления ${\displaystyle 2a}$-битовых чисел на ${\displaystyle a}$-битовое число. Для ${\displaystyle 1000}$-битовых и более длинных чисел данный алгоритм выполняется на ЭВМ достаточно быстро.

Шаблон:Main

Шаблон:Mainref Данный метод был предложен 1985 году Питером Монтгомери для ускорения выполнения модульного возведения в степень.

Шаблон:Mainref В этом методе каждому числу ${\displaystyle x}$ ставится в соответствие некоторый образ ${\displaystyle F(x)}$ и все вычисления производятся с ${\displaystyle F(x)}$, а в конце производится переход от образа к числу.

Шаблон:Рамка Теорема(Монтгомери).

Пусть ${\displaystyle N,R}$ — взаимно простые положительные целые числа, а ${\displaystyle N^{\prime }=(-N^{-1})modR}$. Тогда для любого целого ${\displaystyle x}$ число ${\displaystyle y=x+N((x{N}^{\prime })modR)}$ делится на ${\displaystyle R}$, причем ${\displaystyle y/R\equiv x{R}^{-1}(modN)}$. Более того, если ${\displaystyle 0⩽x<RN}$, то разность ${\displaystyle y/R-((x{R}^{-1})modN)}$ равна либо ${\displaystyle 0}$, либо ${\displaystyle N}$. Шаблон:Конец рамки

Данная теорема позволяет вычислить оптимальным способом величину ${\displaystyle (x{R}^{-1})modN}$ для некоторого удобно выбранного ${\displaystyle R}$.

Шаблон:Рамка Определение 1. Для чисел ${\displaystyle R}$ , ${\displaystyle N}$ , ${\displaystyle x}$ , таких что НОД${\displaystyle (R,N)=1}$ и ${\displaystyle 0⩽x<N}$, назовем ${\displaystyle (R,N)}$ — остатком числа ${\displaystyle x}$ величину ${\displaystyle \bar{x}=(xR)modN}$. Шаблон:Конец рамки

Шаблон:Рамка Определение 2. Произведением Монтгомери двух целых чисел ${\displaystyle a}$ , ${\displaystyle b}$ называется число ${\displaystyle M(a,b)=ab{R}^{-1}modN}$ Шаблон:Конец рамки

Шаблон:Рамка Теорема (правила Монтгомери). Пусть числа ${\displaystyle R}$ , ${\displaystyle N}$ взаимно просты, и ${\displaystyle 0⩽a,b<N}$. Тогда ${\displaystyle amodN=M(\bar{a},1)}$ и ${\displaystyle M(\bar{a},\bar{b})=\overline{ab}}$ Шаблон:Конец рамки

То есть, для наглядности, запишем выражение для возведения ${\displaystyle x}$ в ${\displaystyle 3}$ степень: ${\displaystyle M(M(M(\bar{x},\bar{x}),\bar{x}),1)=x^{3}modN}$

Шаблон:Рамка Алгоритм(Произведение Монтгомери). Пусть заданы целые числа ${\displaystyle 0⩽c,d<N}$, где ${\displaystyle N}$ нечетно, а ${\displaystyle R=2^s>N}$. Этот алгоритм возвращает ${\displaystyle M(c,d)}$.

1.[Функция M Монтгомери]

${\displaystyle M(c,d)}${

${\displaystyle x=cd}$;

${\displaystyle z=y/z}$;

//В соответствии с теоремой(Монтгомери).

2.[Поправить результат]

if ${\displaystyle (z⩾N)z=z-N}$;

return ${\displaystyle z}$;

}

Шаблон:Конец рамки

Шаблон:Рамка Алгоритм(Метод Монтгомери возведения в степень). Пусть заданы числа ${\displaystyle 0⩽x<N}$, ${\displaystyle y>0}$, и ${\displaystyle R}$ выбрано так же, как для алгоритма(Произведение Монтгомери). Этот алгоритм возвращает ${\displaystyle x^{y}modN}$. Через ${\displaystyle (y_0,...,y_{D-1})}$ мы обозначаем двоичные биты ${\displaystyle y}$.

1.[Начальная установка]

${\displaystyle \bar{x}=(xR)modN}$;

//С помощью какого-либо метода деления с остатком.

${\displaystyle \bar{p}=RmodN}$;

//С помощью какого-либо метода деления с остатком.

2.[Схема возведения в степень]

for ${\displaystyle (D-1⩾j⩾0)}${

${\displaystyle \bar{p}=M(\bar{p},\bar{p})}$;

//с помощью алгоритма(произведение Монтгомери).

if ${\displaystyle (y_i==1)\bar{p}=M(\bar{p},\bar{x})}$;

}

//Теперь ${\displaystyle \bar{p}}$ равняется ${\displaystyle \stackrel{y}{\stackrel{‾}{x}}}$.

3.[Окончательное получение степени]

${\displaystyle M(\bar{p},1)}$;

Шаблон:Конец рамки

В итоге получаем образ ${\displaystyle \bar{x}=xRmodN}$, от которого мы можем получить конечный результат ${\displaystyle x=\bar{x}{R}^{-1}modN}$, причем выражение ${\displaystyle R^{-1}modN}$ вычислено заранее. Для произведения двух чисел результат будет выглядеть как ${\displaystyle z=\bar{z}{R}^{-1}modN=\bar{x}\bar{y}{R}^{-1}modN\equiv \frac{\bar{x}\bar{y}-(\bar{x}\bar{y}(N^{-1}modR)modR)N}{R}modN}$

Шаблон:Hider

Шаблон:Mainref Данный метод дает выигрыш в производительности по сравнению с методом повторяющихся возведения в квадрат и умножения, так как умножение двух чисел по модулю происходит значительно быстрее.

Шаблон:Mainref Данный метод позволяет уменьшить (при больших значения ${\displaystyle N}$) вычисления функции ${\displaystyle \mathrm{mod}}$ до одного умножения двух чисел размером ${\displaystyle N}$. Сложность умножения Монтгомери оценивается как ${\displaystyle O(n^2)}$.

Шаблон:Mainref Для наглядности рассмотрим метод для основания ${\displaystyle B=2}$, то есть будем проводить вычисления в ${\displaystyle B}$ — ичной (или двоичной, так как ${\displaystyle B=2}$) системе счисления. Основание ${\displaystyle B=2}$ имеет плюс, в том что выполнение операции деления на ${\displaystyle 2}$ происходит сдвигом вправо, а умножение на ${\displaystyle 2}$ — сдвигом влево.

Шаблон:Рамка Определение 1. Представлением неотрицательного целого числа ${\displaystyle x}$ в системе счисления с основанием ${\displaystyle B}$ (или ${\displaystyle B}$-ичной записью числа ${\displaystyle x}$) называется кратчайшая последовательность целых чисел ${\displaystyle (x_i)}$, называемых цифрами записи, такая что каждая из этих цифр удовлетворяет неравенству ${\displaystyle 0⩽x_i<B}$, и выполнено равенство ${\displaystyle x={\displaystyle \sum _{i=0}^{D-1}}{x}_i{B}^i}$ Шаблон:Конец рамки

Для примера, рассмотрим двоичный алгоритм взятия ${\displaystyle \mathrm{mod}}$ от произведения ${\displaystyle xy}$.

Шаблон:Рамка Алгоритм (двоичный алгоритм умножения и взятия остатка). Пусть заданы положительные целые числа ${\displaystyle x}$, ${\displaystyle y}$ такие что ${\displaystyle 0⩽x}$,${\displaystyle y<N}$. Этот алгоритм возвращает результат составной операции ${\displaystyle (xy)modN}$. Мы предполагаем, что задано двоичное представление числа ${\displaystyle x}$ согласно определению 1, так что биты числа ${\displaystyle x}$ имеют вид ${\displaystyle (x_0,...,x_{D-1})}$, и ${\displaystyle x_{D-1}>0}$ — самый старший бит.

1.[Начальная установка]

${\displaystyle s=0}$;

2.[Преобразовать все ${\displaystyle D}$ битов]

for ${\displaystyle (D-1⩾j⩾0)}$ {

${\displaystyle s=2s}$;

if ${\displaystyle (s⩾N)s=s-N}$;

if ${\displaystyle (x_j==1)s=s+y}$;

if ${\displaystyle (s⩾N)s=s-N}$;

}

return ${\displaystyle s}$;

Шаблон:Конец рамки

Данный метод имеет один недостаток: он не использует преимущество многобитовой арифметики, доступной на любой современной ЭВМ. Поэтому обычно используют основания ${\displaystyle B}$ большие ${\displaystyle 2}$.

Шаблон:Mainref Выражения вида ${\displaystyle a^b(modn)}$ имеет оценку вычислительной сложности — ${\displaystyle O_s((\log n{)}^3)}$

• Возведение в степень по модулю
• Алгоритмы быстрого возведения в степень

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Source

Шаблон:Rq