Алгоритм Диксона

В 20-х г. XX столетия Морис Крайчик (1882—1957), обобщая теорему Ферма предложил вместо пар чисел, удовлетворяющих уравнению ${\displaystyle x^2-<!--\; -\; -->y^2=n}$ , искать пары чисел, удовлетворяющих более общему уравнению ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}n)}$ . Крайчик заметил несколько полезных для решения фактов. В 1981 г. Джон Диксон опубликовал разработанный им метод факторизации, использующий идеи Крайтчика, и рассчитал его вычислительную сложность.^[2]

1. Составить факторную базу ${\displaystyle \mathrm{B}=\left\{p_1,p_2,\dots <!--\; \dots \; -->,p_h\right\}}$ , состоящую из всех простых чисел  , где ${\displaystyle L\left(n\right)=\exp <!--\; \; -->\left(\sqrt{\ln <!--\; \; -->n\cdot <!--\; \cdot \; -->\ln <!--\; \; -->\ln <!--\; \; -->n}\right)}$ .
2. Выбрать случайное  
3. Вычислить ${\displaystyle a=b^{2}modn}$ .
4. Проверить число ${\displaystyle a}$  на гладкость пробными делениями. Если ${\displaystyle a}$  является ${\displaystyle \mathrm{B}}$ -гладким числом, то есть ${\displaystyle a=\underset{p\in <!--\; \in \; -->\mathrm{B}}{\prod <!--\; \prod \; -->}{p}^{{\mathrm{\alpha <!--\; \alpha \; -->}}_p\left(b\right)}}$ , следует запомнить вектора ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}\left(b\right)}$  и ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b\right)}$ :

   ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}\left(b\right)=\left({\mathrm{\alpha <!--\; \alpha \; -->}}_{p_1}\left(b\right),\dots <!--\; \dots \; -->,{\mathrm{\alpha <!--\; \alpha \; -->}}_{p_h}\left(b\right)\right)}$ 

   ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b\right)=\left({\mathrm{\alpha <!--\; \alpha \; -->}}_{p_1}\left(b\right)mod2,\dots <!--\; \dots \; -->,{\mathrm{\alpha <!--\; \alpha \; -->}}_{p_h}\left(b\right)mod2\right)}$ .

5. Повторять процедуру генерации чисел ${\displaystyle b}$  до тех пор, пока не будет найдено ${\displaystyle h+1}$  ${\displaystyle \mathrm{B}}$ -гладких чисел ${\displaystyle b_1,...,b_{h+1}}$ .
6. Методом Гаусса найти линейную зависимость среди векторов ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b_1\right),\dots <!--\; \dots \; -->,\stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b_{h+1}\right)}$ :

   ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b_{i_1}\right)\oplus <!--\; \oplus \; -->\cdots <!--\; \cdots \; -->\oplus <!--\; \oplus \; -->\stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(b_{i_t}\right)=\stackrel{\to <!--\; \to \; -->}{0},1⩽<!--\; ⩽\; -->t⩽<!--\; ⩽\; -->m}$ 

   и положить:

   ${\displaystyle x=b_{i_1}\dots <!--\; \dots \; -->b_{i_t}modn}$ 

   ${\displaystyle y=\underset{p\in <!--\; \in \; -->\mathrm{B}}{\prod <!--\; \prod \; -->}{p}^{\frac{\left({\mathrm{\alpha <!--\; \alpha \; -->}}_p\left(b_{i_1}\right)+\cdots <!--\; \cdots \; -->+{\mathrm{\alpha <!--\; \alpha \; -->}}_p\left(b_{i_t}\right)\right)}{2}}modn}$ .

7. Проверить ${\displaystyle x\equiv <!--\; \equiv \; -->\pm <!--\; \pm \; -->y(\mathrm{mod}n)}$ . Если это так, то повторить процедуру генерации. Если нет, то найдено нетривиальное разложение:

   ${\displaystyle n=u\cdot <!--\; \cdot \; -->v,u=gcd\left(x+y,n\right),v=gcd\left(x-<!--\; -\; -->y,n\right).}$ 

Факторизуем число ${\displaystyle n=89755}$ .

${\displaystyle L(89755)=194,\mathrm{174...}}$ 

${\displaystyle M=13,\mathrm{934...}}$ 

${\displaystyle \mathrm{B}=\left\{2,3,5,7,11,13\right\}}$ 

Все найденные числа ${\displaystyle b}$  с соответствующими векторами ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}(b)}$  записываем в таблицу.

${\displaystyle b}$	${\displaystyle a}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_2\left(b\right)}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_3\left(b\right)}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_5\left(b\right)}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_7\left(b\right)}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_{11}\left(b\right)}$	${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_{13}\left(b\right)}$
337	23814	1	5	0	2	0	0
430	5390	1	0	1	2	1	0
519	96	5	1	0	0	0	0
600	980	2	0	1	2	0	0
670	125	0	0	3	0	0	0
817	39204	2	4	0	0	2	0
860	21560	3	0	1	2	1	0

Решая линейную систему уравнений, получаем, что ${\displaystyle \stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(337\right)\oplus <!--\; \oplus \; -->\stackrel{\to <!--\; \to \; -->}{\mathrm{\epsilon <!--\; \epsilon \; -->}}\left(519\right)=\stackrel{\to <!--\; \to \; -->}{0}}$ . Тогда

${\displaystyle x=337\cdot <!--\; \cdot \; -->519mod89755=85148}$ 

${\displaystyle y=2^3\cdot <!--\; \cdot \; -->3^3\cdot <!--\; \cdot \; -->7^{1}mod89755=1512}$ 

${\displaystyle 85148\not\equiv \pm <!--\; \pm \; -->1512(\mathrm{mod}89755)}$ 

Следовательно,

${\displaystyle u=gcd(86660,89755)=3095}$ 

${\displaystyle v=gcd(83636,89755)=29}$ .

Получилось разложение ${\displaystyle 89755=3095\cdot <!--\; \cdot \; -->29}$ 

Обозначим через ${\displaystyle \mathrm{\Psi <!--\; \Psi \; -->}(n,M)}$  количество целых чисел ${\displaystyle a}$  таких, что   и ${\displaystyle a}$  является ${\displaystyle \mathrm{B}}$ -гладким числом, где  . Из теоремы де Брёйна — Эрдёша ${\displaystyle \mathrm{\Psi <!--\; \Psi \; -->}(n,M)=n\cdot <!--\; \cdot \; -->u^{-<!--\; -\; -->u}}$ , где ${\displaystyle u=\frac{\ln <!--\; \; -->n}{\ln <!--\; \; -->M}}$ . Значит, каждое ${\displaystyle \mathrm{B}}$ -гладкое число будет в среднем попадаться с ${\displaystyle u^u}$  попыток. Для проверки, является ли число ${\displaystyle \mathrm{B}}$ -гладким, необходимо выполнить ${\displaystyle h}$  делений. По алгоритму необходимо найти ${\displaystyle h+1}$  ${\displaystyle \mathrm{B}}$ -гладкое число. Значит, вычислительная сложность поиска чисел

${\displaystyle T_1=O\left(u^u\cdot <!--\; \cdot \; -->h^2\right)}$ .

Вычислительная сложность метода Гаусса из ${\displaystyle h}$  уравнений

${\displaystyle T_2=O\left(h^3\right)}$ .

Следовательно, суммарная сложность алгоритма Диксона

${\displaystyle T=T_1+T_2=O\left(u^u\cdot <!--\; \cdot \; -->h^2+h^3\right)}$ .

Учитывая, что количество простых чисел меньше ${\displaystyle M}$  оценивается формулой ${\displaystyle h=\frac{M}{\ln <!--\; \; -->M}}$ , и что ${\displaystyle u=\frac{\ln <!--\; \; -->n}{\ln <!--\; \; -->M}}$ , после упрощения получаем

${\displaystyle T=O\left(exp(\frac{\ln <!--\; \; -->n\cdot <!--\; \cdot \; -->\ln <!--\; \; -->\ln <!--\; \; -->n}{\ln <!--\; \; -->M}+2\ln <!--\; \; -->M)\right)}$ .

${\displaystyle M}$  выбирается таким образом, чтобы ${\displaystyle T}$  было минимально. Тогда подставляя ${\displaystyle L\left(n\right)=\exp <!--\; \; -->\left(\sqrt{\ln <!--\; \; -->n\cdot <!--\; \cdot \; -->\ln <!--\; \; -->\ln <!--\; \; -->n}\right)}$ , получаем

${\displaystyle M={\left(\frac{L\left(n\right)}{2}\right)}^{\frac{1}{2}}}$ 

${\displaystyle T=O\left({L\left(n\right)}^{2\sqrt{2}}\right)}$ .

Оценка, сделанная Померанцем на основании более строгой теоремы, чем теорема де Брёйна — Эрдеша^[6], дает ${\displaystyle T=O\left({L\left(n\right)}^2\right)}$ , в то время как изначальная оценка сложности, сделанная самим Диксоном, дает ${\displaystyle T=O\left({L\left(n\right)}^{3\sqrt{2}}\right)}$ .

Рассмотрим дополнительные стратегии, ускоряющие работу алгоритма.

Стратегия LPПравить

Стратегия LP (Large Prime variation) использует большие простые числа для ускорения процедуры генерации чисел ${\displaystyle b}$ .

АлгоритмПравить

Пусть найденное в пункте 4 число ${\displaystyle a}$  не является ${\displaystyle \mathrm{B}}$ -гладким. Тогда его можно представить ${\displaystyle a=s\cdot <!--\; \cdot \; -->\underset{p\in <!--\; \in \; -->\mathrm{B}}{\prod <!--\; \prod \; -->}{p}^{{\mathrm{\alpha <!--\; \alpha \; -->}}_p\left(b\right)}}$ , где ${\displaystyle s}$  не делится на числа из факторной базы. Очевидно, что ${\displaystyle s>M}$ . Если дополнительно выполняется  , то s — простое и мы включаем его в факторную базу. Это позволяет найти дополнительные ${\displaystyle \mathrm{B}}$ -гладкие числа, но увеличивает количество необходимых гладких чисел на 1. Для возврата к первоначальной факторной базе после пункта 5 следует сделать следующее. Если найдено только одно число, в разложение которого ${\displaystyle s}$  входит в нечетной степени, то это число нужно вычеркнуть из списка и вычеркнуть ${\displaystyle s}$  из факторной базы. Если же, например, таких чисел два ${\displaystyle b_1}$  и ${\displaystyle b_2}$ , то их нужно вычеркнуть и добавить число ${\displaystyle b=b_1\cdot <!--\; \cdot \; -->b_2}$ . Показатель ${\displaystyle s}$  войдет в разложение ${\displaystyle b^{2}modn}$  в четной степени и будет отсутствовать в системе линейных уравнений.

Вариация стратегииПравить

Можно использовать стратегию LP с несколькими простыми числами, не содержащимися в факторной базе. В этом случае для исключения дополнительных простых чисел используется теория графов.

Вычислительная сложностьПравить

Теоретическая оценка сложности алгоритма с применением LP стратегии, сделанная Померанцем, не отличается от оценки исходного варианта алгоритма Диксона:

${\displaystyle T_{LP}=O\left({L\left(n\right)}^2\right)}$ .

Стратегия EASПравить

Стратегия EAS (раннего обрыва) исключает некоторые ${\displaystyle b}$  из рассмотрения, не доводя проверку ${\displaystyle a}$  на гладкость до конца.

АлгоритмПравить

Выбираются фиксированные  . В алгоритме Диксона ${\displaystyle a}$  факторизуется пробными делениями на  . В стратегии EAS выбирается ${\displaystyle M=L{\left(n\right)}^k}$  и число сначала факторизуется пробными делениями на  , и если после разложения неразложенная часть остается больше, чем ${\displaystyle n^{1-<!--\; -\; -->m}}$ , то данное ${\displaystyle b}$  отбрасывается.

Вариация стратегииПравить

Можно использовать стратегию EAS с несколькими обрывами, то есть при некоторой возрастающей последовательности ${\displaystyle l_j}$  и убывающей последовательности ${\displaystyle m_j}$ .

Вычислительная сложностьПравить

Алгоритм Диксона с применением стратегии EAS при ${\displaystyle k=\sqrt{\frac{2}{7}},l=\frac{1}{2},m=\frac{1}{7}}$  оценивается

${\displaystyle T_{EAS}=O\left({L\left(n\right)}^{\sqrt{\frac{7}{2}}}\right)}$ .

Стратегия PSПравить

Стратегия PS использует алгоритм Полларда-Штрассена, который для ${\displaystyle z,t\in <!--\; \in \; -->\mathbb{N}}$  и ${\displaystyle y=z^2}$  находит минимальный простой делитель числа НОД${\displaystyle (t,y!)}$  за ${\displaystyle O\left(z\cdot <!--\; \cdot \; -->{\ln }^2<!--\; \; -->z\cdot <!--\; \cdot \; -->{\ln }^2<!--\; \; -->t\right)}$ .^[8]

АлгоритмПравить

Выбирается фиксированное  . В алгоритме Диксона ${\displaystyle a}$  факторизуется пробными делениями на  . В стратегии PS выбирается ${\displaystyle M=L{\left(n\right)}^k}$ . Полагаем ${\displaystyle z=[L{\left(n\right)}^{\frac{k}{2}}]+1,y=z^2⩾<!--\; ⩾\; -->L{\left(n\right)}^k,t=a}$ . Применяем алгоритм Полларда-Штрассена, выбирая за ${\displaystyle t}$  неразложенную часть, получим разложение ${\displaystyle a}$ .

Вычислительная сложностьПравить

Сложность алгоритма Диксона со стратегией PS минимальна при ${\displaystyle k=\frac{1}{\sqrt{3}}}$  и равна

${\displaystyle T_{PS}=O\left({L\left(n\right)}^{\sqrt{3}}\right)}$ .

• Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — М.: МЦНМО, 2003. — С. 78-83. — 328 с. — ISBN 5-94057-103-4. Архивная копия от 27 января 2007 на Wayback Machine
• Черемушкин А. В. Лекции по арифметическим алгоритмам в криптографии. — М.: МЦНМО, 2001. — С. 74-80. — 104 с. — ISBN 5-94057-060-7. Архивная копия от 31 мая 2013 на Wayback Machine
• Ишмухаметов Ш. Т. Методы факторизации натуральных чисел: учебное пособие. — Казань: Казан. ун., 2011. — С. 115-117. — 190 с.