Алгоритм Диксона

Алгоритм Диксона — алгоритм факторизации, использующий в своей основе идею Лежандра, заключающуюся в поиске пары целых чисел ${\displaystyle x}$ и ${\displaystyle y}$ таких, что ${\displaystyle x^2\equiv y^2(\mathrm{mod}n)}$ и ${\displaystyle x\equiv ̸\pm y(\mathrm{mod}n).}$

Метод Диксона является обобщением метода Ферма.

В 20-х г. XX столетия Морис Крайчик (1882—1957), обобщая теорему Ферма предложил вместо пар чисел, удовлетворяющих уравнению ${\displaystyle x^2-y^2=n}$, искать пары чисел, удовлетворяющих более общему уравнению ${\displaystyle x^2\equiv y^2(\mathrm{mod}n)}$. Крайчик заметил несколько полезных для решения фактов. В 1981 г. Джон Диксон опубликовал разработанный им метод факторизации, использующий идеи Крайтчика, и рассчитал его вычислительную сложность.^[1]

• Составить факторную базу ${\displaystyle P=\left\{p_1,p_2,\dots ,p_h\right\}}$, состоящую из всех простых чисел ${\displaystyle p<=\mathrm{B}=L{\left(n\right)}^{\frac{1}{2}}}$, где ${\displaystyle L\left(n\right)=\exp \left(\sqrt{\ln n\cdot \ln \ln n}\right)}$.
• Выбрать случайное ${\displaystyle b,\sqrt{n}<b<n}$
• Вычислить ${\displaystyle a=b^{2}modn}$.
• Проверить число ${\displaystyle a}$ на гладкость пробными делениями. Если ${\displaystyle a}$ является ${\displaystyle \mathrm{B}}$-гладким числом, то есть ${\displaystyle a=\prod _{p\in \mathrm{B}}{p}^{{\alpha }_p\left(b\right)}}$, следует запомнить вектора ${\displaystyle \overrightarrow{\alpha }\left(b\right)}$ и ${\displaystyle \overrightarrow{\epsilon }\left(b\right)}$:

${\displaystyle \overrightarrow{\alpha }\left(b\right)=\left({\alpha }_{p_1}\left(b\right),\dots ,{\alpha }_{p_h}\left(b\right)\right)}$

${\displaystyle \overrightarrow{\epsilon }\left(b\right)=\left({\alpha }_{p_1}\left(b\right)mod2,\dots ,{\alpha }_{p_h}\left(b\right)mod2\right)}$.

• Повторять процедуру генерации чисел ${\displaystyle b}$ до тех пор, пока не будет найдено ${\displaystyle h+1}$ ${\displaystyle \mathrm{B}}$-гладких чисел ${\displaystyle b_1,...,b_{h+1}}$.
• Методом Гаусса найти линейную зависимость среди векторов ${\displaystyle \overrightarrow{\epsilon }\left(b_1\right),\dots ,\overrightarrow{\epsilon }\left(b_{h+1}\right)}$:

${\displaystyle \overrightarrow{\epsilon }\left(b_{i_1}\right)\oplus \dots \oplus \overrightarrow{\epsilon }\left(b_{i_t}\right)=\overrightarrow{0},1⩽t⩽m}$

и положить:

${\displaystyle x=b_{i_1}\dots b_{i_t}modn}$

${\displaystyle y=\prod _{p\in \mathrm{B}}{p}^{\frac{\left({\alpha }_p\left(b_{i_1}\right)+\dots +{\alpha }_p\left(b_{i_t}\right)\right)}{2}}modn}$.

• Проверить ${\displaystyle x\equiv \pm y(\mathrm{mod}n)}$. Если это так, то повторить процедуру генерации. Если нет, то найдено нетривиальное разложение:

${\displaystyle n=u\cdot v,u=gcd\left(x+y,n\right),v=gcd\left(x-y,n\right).}$

Шаблон:Hider

Факторизуем число ${\displaystyle n=89755}$.

${\displaystyle L(89755)=194,174\dots }$

${\displaystyle \mathrm{B}=13,934\dots }$

${\displaystyle P=\{2,3,5,7,11,13\}}$

Все найденные числа ${\displaystyle b}$ с соответствующими векторами ${\displaystyle \overrightarrow{\alpha }(b)}$ записываем в таблицу.

${\displaystyle b}$	${\displaystyle a}$	${\displaystyle {\alpha }_2\left(b\right)}$	${\displaystyle {\alpha }_3\left(b\right)}$	${\displaystyle {\alpha }_5\left(b\right)}$	${\displaystyle {\alpha }_7\left(b\right)}$	${\displaystyle {\alpha }_{11}\left(b\right)}$	${\displaystyle {\alpha }_{13}\left(b\right)}$
337	23814	1	5	0	2	0	0
430	5390	1	0	1	2	1	0
519	96	5	1	0	0	0	0
600	980	2	0	1	2	0	0
670	125	0	0	3	0	0	0
817	39204	2	4	0	0	2	0
860	21560	3	0	1	2	1	0

Решая линейную систему уравнений, получаем, что ${\displaystyle \overrightarrow{\epsilon }\left(337\right)\oplus \overrightarrow{\epsilon }\left(519\right)=\overrightarrow{0}}$. Тогда

${\displaystyle x=337\cdot 519mod89755=85148}$

${\displaystyle y=2^3\cdot 3^3\cdot 7^{1}mod89755=1512}$

${\displaystyle 85148\equiv ̸\pm 1512(\mathrm{mod}89755)}$

Следовательно,

${\displaystyle u=gcd(86660,89755)=3095}$

${\displaystyle v=gcd(83636,89755)=29}$.

Получилось разложение ${\displaystyle 89755=3095\cdot 29}$

Обозначим через ${\displaystyle \mathrm{\Psi }(n,\mathrm{B})}$ количество целых чисел ${\displaystyle a}$ таких, что ${\displaystyle 1<a⩽n}$ и ${\displaystyle a}$ является ${\displaystyle \mathrm{B}}$-гладким числом. Из теоремы де Брёйна — Эрдёша ${\displaystyle \mathrm{\Psi }(n,\mathrm{B})=n\cdot u^{-u}}$, где ${\displaystyle u=\frac{\ln n}{\ln \mathrm{B}}}$. Значит, каждое ${\displaystyle \mathrm{B}}$-гладкое число будет в среднем попадаться с ${\displaystyle u^u}$ попыток. Для проверки, является ли число ${\displaystyle \mathrm{B}}$-гладким, необходимо выполнить ${\displaystyle h}$ делений. По алгоритму необходимо найти ${\displaystyle h+1}$ ${\displaystyle \mathrm{B}}$-гладкое число. Значит, вычислительная сложность поиска чисел

${\displaystyle T_1=O\left(u^u\cdot h^2\right)}$.

Вычислительная сложность метода Гаусса из ${\displaystyle h}$ уравнений

${\displaystyle T_2=O\left(h^3\right)}$.

Следовательно, суммарная сложность алгоритма Диксона

${\displaystyle T=T_1+T_2=O\left(u^u\cdot h^2+h^3\right)}$.

Учитывая, что количество простых чисел меньше ${\displaystyle M}$ оценивается формулой ${\displaystyle h=\frac{\mathrm{B}}{\ln \mathrm{B}}}$, и что ${\displaystyle u=\frac{\ln n}{\ln \mathrm{B}}}$, после упрощения получаем

${\displaystyle T=O(exp(\frac{\ln n\cdot \ln \ln n}{\ln \mathrm{B}}+2\ln \mathrm{B}))}$.

${\displaystyle \mathrm{B}}$ выбирается таким образом, чтобы ${\displaystyle T}$ было минимально. Тогда подставляя ${\displaystyle L\left(n\right)=\exp \left(\sqrt{\ln n\cdot \ln \ln n}\right)}$, получаем

${\displaystyle \mathrm{B}={\left(\frac{L\left(n\right)}{2}\right)}^{\frac{1}{2}}}$

${\displaystyle T=O\left({L\left(n\right)}^{2\sqrt{2}}\right)}$.

Оценка, сделанная Померанцем на основании более строгой теоремы, чем теорема де Брёйна — Эрдеша^[2], дает ${\displaystyle T=O\left({L\left(n\right)}^2\right)}$, в то время как изначальная оценка сложности, сделанная самим Диксоном, дает ${\displaystyle T=O\left({L\left(n\right)}^{3\sqrt{2}}\right)}$.

Рассмотрим дополнительные стратегии, ускоряющие работу алгоритма.

Стратегия LP (Large Prime variation) использует большие простые числа для ускорения процедуры генерации чисел ${\displaystyle b}$.

Пусть найденное в пункте 4 число ${\displaystyle a}$ не является ${\displaystyle \mathrm{B}}$-гладким. Тогда его можно представить ${\displaystyle a=s\cdot \prod _{p\in \mathrm{B}}{p}^{{\alpha }_p\left(b\right)}}$, где ${\displaystyle s}$ не делится на числа из факторной базы. Очевидно, что ${\displaystyle s>B}$. Если дополнительно выполняется ${\displaystyle s<{\mathrm{B}}^2}$, то s — простое и мы включаем его в факторную базу. Это позволяет найти дополнительные ${\displaystyle \mathrm{B}}$-гладкие числа, но увеличивает количество необходимых гладких чисел на 1. Для возврата к первоначальной факторной базе после пункта 5 следует сделать следующее. Если найдено только одно число, в разложение которого ${\displaystyle s}$ входит в нечетной степени, то это число нужно вычеркнуть из списка и вычеркнуть ${\displaystyle s}$ из факторной базы. Если же, например, таких чисел два ${\displaystyle b_1}$ и ${\displaystyle b_2}$, то их нужно вычеркнуть и добавить число ${\displaystyle b=b_1\cdot b_2}$. Показатель ${\displaystyle s}$ войдет в разложение ${\displaystyle b^{2}modn}$ в четной степени и будет отсутствовать в системе линейных уравнений.

Можно использовать стратегию LP с несколькими простыми числами, не содержащимися в факторной базе. В этом случае для исключения дополнительных простых чисел используется теория графов.

Теоретическая оценка сложности алгоритма с применением LP стратегии, сделанная Померанцем, не отличается от оценки исходного варианта алгоритма Диксона:

${\displaystyle T_{LP}=O\left({L\left(n\right)}^2\right)}$.

Стратегия EAS (раннего обрыва) исключает некоторые ${\displaystyle b}$ из рассмотрения, не доводя проверку ${\displaystyle a}$ на гладкость до конца.

Выбираются фиксированные ${\displaystyle 0<k,l,m<1}$. В алгоритме Диксона ${\displaystyle a}$ факторизуется пробными делениями на ${\displaystyle p<\mathrm{B}=L{\left(n\right)}^{\frac{1}{2}}}$. В стратегии EAS выбирается ${\displaystyle \mathrm{B}=L{\left(n\right)}^k}$ и число сначала факторизуется пробными делениями на ${\displaystyle p<{\mathrm{B}}^l=L{\left(n\right)}^{kl}}$, и если после разложения неразложенная часть остается больше, чем ${\displaystyle n^{1-m}}$, то данное ${\displaystyle b}$ отбрасывается.

Можно использовать стратегию EAS с несколькими обрывами, то есть при некоторой возрастающей последовательности ${\displaystyle l_j}$ и убывающей последовательности ${\displaystyle m_j}$.

Алгоритм Диксона с применением стратегии EAS при ${\displaystyle k=\sqrt{\frac{2}{7}},l=\frac{1}{2},m=\frac{1}{7}}$ оценивается

${\displaystyle T_{EAS}=O\left({L\left(n\right)}^{\sqrt{\frac{7}{2}}}\right)}$.

Стратегия PS использует алгоритм Полларда-Штрассена, который для ${\displaystyle z,t\in \mathbb{N}}$ и ${\displaystyle y=z^2}$ находит минимальный простой делитель числа НОД${\displaystyle (t,y!)}$ за ${\displaystyle O(z\cdot {\ln }^{2}z\cdot {\ln }^{2}t)}$.Шаблон:Sfn

Выбирается фиксированное ${\displaystyle 0<k<1}$. В алгоритме Диксона ${\displaystyle a}$ факторизуется пробными делениями на ${\displaystyle p<\mathrm{B}=L{\left(n\right)}^{\frac{1}{2}}}$. В стратегии PS выбирается ${\displaystyle \mathrm{B}=L{\left(n\right)}^k}$. Полагаем ${\displaystyle z=[L{\left(n\right)}^{\frac{k}{2}}]+1,y=z^2⩾L{\left(n\right)}^k,t=a}$. Применяем алгоритм Полларда-Штрассена, выбирая за ${\displaystyle t}$ неразложенную часть, получим разложение ${\displaystyle a}$.

Сложность алгоритма Диксона со стратегией PS минимальна при ${\displaystyle k=\frac{1}{\sqrt{3}}}$ и равна

${\displaystyle T_{PS}=O\left({L\left(n\right)}^{\sqrt{3}}\right)}$.

Шаблон:Примечания

• Шаблон:Книга Шаблон:Wayback
• Шаблон:Книга Шаблон:Wayback
• Шаблон:Книга