Алгоритм Монтгомери

Алгоритм Монтгомери — приём, позволяющий ускорить выполнение операций умножения и возведения в квадрат, необходимых при возведении числа в степень по модулю, когда модуль велик (порядка сотен бит). Был предложен в 1985 году Питером Монтгомери.

По данным целым числам a, b < n, r, НОД${\displaystyle (r,n)=1}$ алгоритм Монтгомери вычисляет

${\displaystyle MonPro(a,b)=a\cdot b\cdot r^{-1}modn}$

В приложениях обычно берётся ${\displaystyle r=2^k}$, так как в этом случае деление с остатком и умножение на ${\displaystyle r}$, используемые внутри алгоритма, происходят быстро.

Определим n-остаток (n-residue) числа ${\displaystyle a<n}$ как ${\displaystyle \overline{a}=a\cdot rmodn}$.

Алгоритм Монтгомери использует свойство, что множество ${\displaystyle \{a\cdot rmodn\mid 0⩽a⩽n-1\}}$ является полной системой вычетов, то есть содержит все числа от 0 до n-1.

MonPro вычисляет ${\displaystyle \overline{c}=\overline{a}\cdot \overline{b}\cdot r^{-1}modn}$. Результат является n-остатком от ${\displaystyle c=a\cdot bmodn}$, так как

${\displaystyle \overline{c}=\overline{a}\cdot \overline{b}\cdot r^{-1}modn=a\cdot r\cdot b\cdot r\cdot r^{-1}modn=c\cdot rmodn}$

Определим n' так, что ${\displaystyle r\cdot r^{-1}-n\cdot n^{\prime }=1}$. ${\displaystyle r^{-1}}$ и ${\displaystyle n^{\prime }}$ можно вычислить с помощью расширенного алгоритма Евклида.

Функция ${\displaystyle MonPro(\overline{a},\overline{b})}$

1. ${\displaystyle t=\overline{a}\cdot \overline{b}}$
2. ${\displaystyle u=(t+(t\cdot n^{\prime }modr)\cdot n)/r}$
3. while ${\displaystyle (u>=n)u=u-n}$
4. return  ${\displaystyle u}$

При ${\displaystyle r=2^k}$ операции умножения и деления на ${\displaystyle r}$ выполняются очень быстро, так как представляют собой просто сдвиги бит, а при ${\displaystyle r>n}$ цикл в строчке 3 выполнится не более одного раза. Таким образом алгоритм Монтгомери быстрее обычного вычисления ${\displaystyle a\cdot bmodn}$, которое содержит деление на n. Однако вычисление n' и перевод чисел в n-остатки и обратно — трудоёмкие операции, вследствие чего применять алгоритм Монтгомери при однократном вычислении произведения двух чисел представляется неразумным.

Использование алгоритма Монтгомери оправдывает себя при возведении числа в степень по модулю ${\displaystyle a^{e}modn}$.

Функция ${\displaystyle ModExp(a,e,n)}$

1. ${\displaystyle \overline{a}=a\cdot rmodn}$
2. ${\displaystyle \overline{x}=1\cdot rmodn}$
3. for i=j-1 downto 0
     ${\displaystyle \overline{x}=MonPro(\overline{x},\overline{x})}$
     if ${\displaystyle e_i=1}$ then ${\displaystyle \overline{x}=MonPro(\overline{x},\overline{a})}$
4. return ${\displaystyle x=MonPro(\overline{x},1)}$

Возведение числа в степень битовой длины k алгоритмом «возводи в квадрат и перемножай» включает в себя от k до 2k умножений, где k имеет порядок сотен или тысяч бит. При использовании алгоритма возведения в степень Монтгомери объём дополнительных вычислений фиксирован (вычисления ${\displaystyle n^{\prime }}$, ${\displaystyle \overline{a}}$, ${\displaystyle \overline{x}}$ в начале и ${\displaystyle MonPro(\overline{x},1)}$ в конце), а операция MonPro выполняется быстрее обычного умножения по модулю^[1], поэтому алгоритм возведения в степень Монтгомери даст выигрыш в производительности по сравнению с алгоритмом «возводи в квадрат и перемножай».

function powMod(a, e, m) {
	var r = 1;
	while (e > 0) {
		console.log('A='+a+', E='+e+', R='+r);
		if ((e & 1) == 0) {
			e = e >> 1;
			a = (a * a) % m;
		} else {
			e = e - 1;
			r = (r * a) % m;
		}
	}
	console.log('A='+a+', E='+e+', R='+r);

	return r;
}

Шаблон:Примечания

• Analyzing and Comparing Montgomery Multiplication Algorithms
• Шаблон:Source

Шаблон:Math-stub