Алгоритм Барретта

Алгоритм Барретта — это алгоритм приведения, который в 1986 году предложил П. Д. Барретт^[1]. Обычный способ вычисления

\text{[math]}

c=a\,{\bmod {\,}}n\,

c=a\,{\bmod {\,}}n\,

использовал бы быстрый алгоритм деления. Приведение Баррета разработано для оптимизации этой операции путём замены делений на умножения в предположении, что $\text{[math]}$ $\text{[math]}$ $n$ $n$ является постоянной величиной, а $\text{[math]}$ $\text{[math]}$ $a<n^{2}$ $a<n^{2}$ .

Основная идеяПравить

Пусть $\text{[math]}$ $\text{[math]}$ $s=1/n$ будет обратным числом для $\text{[math]}$ $\text{[math]}$ $n$ как число с плавающей запятой. Тогда

\text{[math]}

a\,{\bmod {\,}}n=a-\lfloor as\rfloor n,

где $\text{[math]}$ $\text{[math]}$ $\lfloor x\rfloor$ означает округление до ближайшего целого в сторону уменьшения. Результат будет точным, если $\text{[math]}$ $\text{[math]}$ $s$ вычислено с достаточной точностью.

Приведение Барретта для одного словаПравить

Барретт первоначально рассматривал целочисленную версию алгоритма выше, когда значения помещаются в машинное слово.

При вычислении $\text{[math]}$ $\text{[math]}$ $a\,{\bmod {\,}}n$ с помощью вышеуказанного метода, но с целыми числами, очевидной аналогией было бы деление на $\text{[math]}$ $\text{[math]}$ $n$ :

func reduce(a uint) uint {
    q := a / n  // Деление в неявной форме возвращает результат, округлённый до ближайшего целого вниз.
    return a - q * n
}

Однако деление может стоить дорого и в условиях задач криптографии может не иметь постоянного времени выполнения на некоторых ЦПУ. В этом случае приведение Барретта аппроксимирует $\text{[math]}$ $\text{[math]}$ $1/n$ значением $\text{[math]}$ $\text{[math]}$ $m/2^{k}$ , поскольку деление на $\text{[math]}$ $\text{[math]}$ $2^{k}$ является просто сдвигом вправо и выполняется быстро.

Чтобы вычислить лучшее значение величины $\text{[math]}$ $\text{[math]}$ $m$ для заданного $\text{[math]}$ $\text{[math]}$ $2^{k}$ , рассмотрим

\text{[math]}

{\frac {m}{2^{k}}}={\frac {1}{n}}\;\Longleftrightarrow \;m={\frac {2^{k}}{n}}

Чтобы $\text{[math]}$ $\text{[math]}$ $m$ было целым, нам нужно округлить как-то $\text{[math]}$ $\text{[math]}$ ${2^{k}}/{n}$ . Округление до ближайшего целого даст лучшее приближение, но может привести к тому, что $\text{[math]}$ $\text{[math]}$ $m/2^{k}$ будет больше $\text{[math]}$ $\text{[math]}$ $1/n$ , что может привести к обнулению. Поэтому обычно используется $\text{[math]}$ $\text{[math]}$ $m=\lfloor {2^{k}}/{n}\rfloor$ .

Теперь мы можем аппроксимировать функцию выше так:

func reduce(a uint) uint {
    q := (a * m) >> k // ">> k" означает сдвиг  на k позиций.
    return a - q * n
}

Однако, поскольку $\text{[math]}$ $\text{[math]}$ $m/2^{k}\leqslant 1/n$ , значение q в этой функции может оказаться слишком мало, а тогда a гарантированно будет только в интервале $\text{[math]}$ $\text{[math]}$ $[0,2n)$ , а не в $\text{[math]}$ $\text{[math]}$ $[0,n)$ , как обычно требуется. Вычитание по условию может исправить ситуацию:

func reduce(a uint) uint {
    q := (a * m) >> k
    a -= q * n
    if n <= a {
        a -= n
    }
  return a
}

Поскольку $\text{[math]}$ $\text{[math]}$ $m/2^{k}$ является лишь приближением, следует рассматривать правильные границы $\text{[math]}$ $\text{[math]}$ $a$ . Ошибка приближения к $\text{[math]}$ $\text{[math]}$ $1/n$ равна

\text{[math]}

e={\frac {1}{n}}-{\frac {m}{2^{k}}}

Тогда ошибка значения q равна $\text{[math]}$ $\text{[math]}$ $a e$ . Поскольку $\text{[math]}$ $\text{[math]}$ $ae<1$ , то приведение будет верным, поскольку $\text{[math]}$ $\text{[math]}$ $a<1/e$ . Функция приведения может не сразу дать неверный ответ при $\text{[math]}$ $\text{[math]}$ $a\geqslant 1/e$ , но границы $\text{[math]}$ $\text{[math]}$ $a$ следует соблюдать, чтобы обеспечить правильный ответ в общем случае.

При выборе бо́льших значений $\text{[math]}$ $\text{[math]}$ $k$ область значений $\text{[math]}$ $\text{[math]}$ $a$ , для которых приведение верно, может быть увеличена, но бо́льшие значения $\text{[math]}$ $\text{[math]}$ $k$ могут вызвать проблемы переполнения в другом месте.

ПримерПравить

Рассмотрим случай $\text{[math]}$ $\text{[math]}$ $n=101$ при работе с 16-битными целыми числами.

Наименьшее имеющее смысл значение $\text{[math]}$ $\text{[math]}$ $k$ равно $\text{[math]}$ $\text{[math]}$ $k=7$ , поскольку при $\text{[math]}$ $\text{[math]}$ $2^{k}<n$ приведение будет верно для значений, которые уже минимальны! Для значения семь $\text{[math]}$ $\text{[math]}$ $m=\lfloor 2^{k}/n\rfloor =\lfloor 128/101\rfloor =1$ . Для значения восемь $\text{[math]}$ $\text{[math]}$ $m=\lfloor 256/101\rfloor =2$ . Тогда значение $\text{[math]}$ $\text{[math]}$ $k=8$ не даёт никаких преимуществ, поскольку приближение $\text{[math]}$ $\text{[math]}$ $1/101$ в этом случае ( $\text{[math]}$ $\text{[math]}$ $2/256$ ) будет тем же самым, что и для $\text{[math]}$ $\text{[math]}$ $1/128$ . Для $\text{[math]}$ $\text{[math]}$ $k=9$ мы получаем $\text{[math]}$ $\text{[math]}$ $m=\lfloor 512/101\rfloor =5$ , что является лучшим приближением.

Теперь рассмотрим границы входных данных для $\text{[math]}$ $\text{[math]}$ $k=7$ и $\text{[math]}$ $\text{[math]}$ $k=9$ . В первом случае $\text{[math]}$ $\text{[math]}$ $e=1/n-m/2^{k}=1/101-1/128=27/12928$ , так что из $\text{[math]}$ $\text{[math]}$ $a<1/e$ вытекает $\text{[math]}$ $\text{[math]}$ $a<478{,}81$ . Поскольку число $\text{[math]}$ $\text{[math]}$ $a$ целое, эффективное максимальное значение равно 478. (На самом деле функция будет работать со значениями вплоть до 504.)

Если мы возьмём $\text{[math]}$ $\text{[math]}$ $k=9$ , то $\text{[math]}$ $\text{[math]}$ $e=1/101-5/512=7/51712$ и тогда максимальное значение $\text{[math]}$ $\text{[math]}$ $a$ равно 7387. (Функция будет работать до значения 7473.)

Следующее значение $\text{[math]}$ $\text{[math]}$ $k$ , которое приводит к лучшему приближению, равно 13, что даёт $\text{[math]}$ $\text{[math]}$ $81/8192$ . Однако заметим, что промежуточное значение $\text{[math]}$ $\text{[math]}$ $a x$ при вычислениях приведёт к переполнению 16-битного значения, когда $\text{[math]}$ $\text{[math]}$ $810\leqslant a$ , так что $\text{[math]}$ $\text{[math]}$ $k=7$ в этой ситуации работает лучше.

Доказательство для границ для конкретного kПравить

Пусть $\text{[math]}$ $\text{[math]}$ $k_{0}$ будет наименьшим целым, таким что $\text{[math]}$ $\text{[math]}$ $2^{k_{0}}>n$ . Возьмём $\text{[math]}$ $\text{[math]}$ $k_{0}+1$ в качестве приемлемого значения $\text{[math]}$ $\text{[math]}$ $k$ в равенствах выше. Как и в выше приведённом коде, положим

$\text{[math]}$ $\text{[math]}$ $q=\left\lfloor {\frac {ma}{2^{k}}}\right\rfloor$ и
$\text{[math]}$ $\text{[math]}$ $r=a-qn$ .

Поскольку осуществляется округление до целого вниз, $\text{[math]}$ $\text{[math]}$ $q$ является целым числом и $\text{[math]}$ $\text{[math]}$ $r\equiv a{\pmod {n}}$ . Также, если $\text{[math]}$ $\text{[math]}$ $a<2^{k}$ , то $\text{[math]}$ $\text{[math]}$ $r<2n$ . В этом случае переписываем отрывок кода выше:

\text{[math]}

a\,{\bmod {\,}}n={\begin{cases}r&{\text{если }}r<n\\r-n&{\text{иначе}}\end{cases}}

Доказательство неравенства $\text{[math]}$ $\text{[math]}$ $r<2n$ :

Если $\text{[math]}$ $\text{[math]}$ $a<2^{k}$ , то

\text{[math]}

{\frac {a}{2^{k}}}\cdot (2^{k}\mod n)<n

Поскольку $\text{[math]}$ $\text{[math]}$ $n\cdot {\frac {ma\mod 2^{k}}{2^{k}}}<n$ независимо от $\text{[math]}$ $\text{[math]}$ $a$ , отсюда следует, что

\text{[math]}

{\frac {a\cdot (2^{k}\mod n)}{2^{k}}}+n\cdot {\frac {ma\mod 2^{k}}{2^{k}}}<2n

\text{[math]}

a-\left(a-{\frac {a\cdot (2^{k}\mod n)}{2^{k}}}\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n

\text{[math]}

a-{\frac {a}{2^{k}}}\cdot \left(2^{k}-(2^{k}\mod n)\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n

\text{[math]}

a-{\frac {na}{2^{k}}}\cdot \left({\frac {2^{k}-(2^{k}\mod n)}{n}}\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n

\text{[math]}

a-{\frac {na}{2^{k}}}\cdot \left\lfloor {\frac {2^{k}}{n}}\right\rfloor \ +{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n

\text{[math]}

a-{\frac {nma}{2^{k}}}+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n

\text{[math]}

a-\left({\frac {ma-(ma\mod 2^{k})}{2^{k}}}\right)\cdot n<2n

\text{[math]}

a-\left\lfloor {\frac {ma}{2^{k}}}\right\rfloor \cdot n<2n

\text{[math]}

a-qn<2n

\text{[math]}

r<2n

Приведение Барретта к нескольким машинным словамПравить

Основной причиной для Баррета обратиться к приведению была работа с реализацией алгоритма RSA, где значения чисел почти наверняка выйдут за границы машинного слова. В этой ситуации Барретт представил алгоритм, который аппроксимирует числа, размещённые в нескольких машинных словах. Детали см. в разделе 14.3.3 книги Handbook of Applied Cryptography^[2].

См. такжеПравить

Алгоритм Монтгомери является другим алгоритмом, похожим на алгоритм Барретта.

ЛитератураПравить

Barrett P. Implementing the Rivest Shamir and Adleman Public Key Encryption Algorithm on a Standard Digital Signal Processor // Advances in Cryptology — CRYPTO' 86. — 1986. — Т. 263. — (Lecture Notes in Computer Science). — ISBN 978-3-540-18047-0. — doi:10.1007/3-540-47721-7_24.
Alfred Menezes, Paul Oorschot, Scott Vanstone. Handbook of Applied Cryptography. — 1997. — ISBN 0-8493-8523-7.
Bosselaers A., Govaerts R., Vandewalle J. Comparison of Three Modular Reduction Functions // Advances in Cryptology — Crypto'93 / (ed) Douglas R. Stinson. — Springer, 1993. — Т. 773. — С. 175–186. — (Lecture Notes in Computer Science). — ISBN 3540483292.
Hasenplaugh W., Gaubatz G., Gopal V. Fast Modular Reduction // 18th IEEE Symposium on Computer Arithmetic(ARITH'07). — 2007. — С. 225–9. — ISBN 978-0-7695-2854-0. — doi:10.1109/ARITH.2007.18.

[_5c0c4d3af70be8e9-1] Barrett, 1986, с. 311–323.

[_46b31a41a6412bf5-2] Menezes, Oorschot, Vanstone, 1997.

[1]

[2]