Алгоритм Берлекэмпа — Рабина

 

Михаэль Ошер Рабин

Метод был предложен Элвином Берлекэмпом в его работе по факторизации многочленов над конечными полями^[1]. В ней факторизация многочлена на неприводимые сомножители над полем ${\displaystyle {\mathbb{F}}_{p^k}}$  сводится к нахождению корней некоторых других многочленов над полем ${\displaystyle {\mathbb{F}}_p}$ . При этом в оригинальной работе отсутствовало доказательство корректности алгоритма^[2]. Алгоритм был доработан и обобщён на случай произвольных конечных полей Михаэлем Рабином^[2]. В 1986 году Рене Перальта описал похожий алгоритм^[5], решающий задачу нахождения квадратного корня в поле ${\displaystyle {\mathbb{F}}_p}$ ^[6], а в 2000 году метод Перальты был обобщён для решения кубических уравнений^[7].

В алгоритме Берлекэмпа многочлен ${\displaystyle f(x)=a_0+a_{1}x+\cdots <!--\; \cdots \; -->+a_n{x}^n}$  сперва представляется в виде произведения ${\displaystyle f(x)=h_1(x)h_2(x)\dots <!--\; \dots \; -->h_n(x)}$ , где ${\displaystyle h_i}$  — произведение ${\displaystyle r_i}$  многочленов степени ${\displaystyle i}$ . Затем факторизация каждого такого многочлена ${\displaystyle h_i(x)}$  степени ${\displaystyle i{r}_i}$  сводится к поиску корней нового многочлена ${\displaystyle H(x)}$  степени ${\displaystyle r_i}$ . В статье, вводящей алгоритм факторизации, было также предложено три метода для поиска корней многочлена в поле Галуа ${\displaystyle {\mathbb{F}}_{p^k}}$ . Первые два сводят нахождение корней в поле ${\displaystyle {\mathbb{F}}_{p^k}}$  к поиску корней в поле ${\displaystyle {\mathbb{F}}_p}$ . Третий метод, являющийся предметом данной статьи, решает задачу поиска корней в поле ${\displaystyle {\mathbb{F}}_p}$ , что вместе с двумя другими решает задачу факторизации^[1].

Версия алгоритма факторизации, предложенная Берлекэмпом в его первой работе в 1967 г.^[3], работала за ${\displaystyle O(n^3+prn)}$ , где ${\displaystyle r}$  — количество неприводимых сомножителей многочлена. Таким образом, алгоритм являлся неполиномиальным и был непрактичным в случае, когда простое число ${\displaystyle p}$  было достаточно большим. В 1969 г. эта проблема была решена Хансом Цассенхаузом^[en], показавшим, как свести узкое место алгоритма к задаче поиска корней некоторого многочлена^[4]. В 1970 г. статья Берлекэмпа была переиздана уже с учётом решений Цассенхауза^[1].

В 1980 г. Михаэль Рабин провёл строгий анализ алгоритма, обобщил его для работы с конечным полями вида ${\displaystyle {\mathbb{F}}_{p^k}}$  и доказал, что вероятность ошибки одной итерации алгоритма не превосходит ${\displaystyle 1/2}$ ^[2], а в 1981 г. Михаэль Бен-Ор усилил эту оценку до $1-<!--\; -\; -->1/2^{k-<!--\; -\; -->1}+O\left(1/\sqrt{p}\right)$ , где ${\displaystyle k}$  — количество различных корней многочлена ${\displaystyle f(x)}$ ^[8]. Вопрос существования полиномиального детерминированного алгоритма для нахождения корней многочлена над конечным полем остаётся открытым — основные алгоритмы факторизации многочленов, алгоритм Берлекэмпа и Алгоритм Кантора — Цассенхауза^[en] являются вероятностными. В 1981 году Поль Камьон^[fr] показал^[9], что такой алгоритм существует для любого наперёд заданного числа ${\displaystyle p}$ , однако этот результат исключительно теоретический и вопрос о возможности построения описанных им множеств на практике остаётся открытым^[10].

В первом издании второго тома «Искусства программирования» про получисленные алгоритмы Дональд Кнут пишет, что аналогичные процедуры факторизации были известны к 1960 г., однако редко встречались в открытом доступе^[4]. Один из первых опубликованных примеров использования метода можно обнаружить в работе Голомба, Велша^[en] и Хейлса^[en] от 1959 года о факторизации трёхчленов над ${\displaystyle {\mathbb{F}}_2}$ , где рассматривался частный случай ${\displaystyle p=2,z=1}$ ^[11].

Постановка задачиПравить

Пусть ${\displaystyle p}$  — нечётное простое число. Рассмотрим многочлен $f(x)=a_0+a_{1}x+\cdots <!--\; \cdots \; -->+a_n{x}^n$  над полем ${\displaystyle {\mathbb{Z}}_p}$  остатков по модулю ${\displaystyle p}$ . Необходимо найти все числа ${\displaystyle {\mathrm{\lambda <!--\; \lambda \; -->}}_1,\dots <!--\; \dots \; -->,{\mathrm{\lambda <!--\; \lambda \; -->}}_k}$  такие что $f({\mathrm{\lambda <!--\; \lambda \; -->}}_i)\equiv <!--\; \equiv \; -->0(\mathrm{mod}p)$  для всех возможных ${\displaystyle i}$ ^[2][12].

РандомизацияПравить

Пусть $f(x)=(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_1)(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_2)\dots <!--\; \dots \; -->(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_n)$ . Нахождение всех корней такого многочлена равносильно его разбиению на линейные множители. Чтобы найти такое разбиение, достаточно научиться разбивать многочлен на любые два множителя, а затем запускаться в них рекурсивно. Для этого вводится в рассмотрение многочлен $f_z(x)=f(x-<!--\; -\; -->z)=(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_1-<!--\; -\; -->z)(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_2-<!--\; -\; -->z)\dots <!--\; \dots \; -->(x-<!--\; -\; -->{\mathrm{\lambda <!--\; \lambda \; -->}}_n-<!--\; -\; -->z)$ , где ${\displaystyle z}$  — случайное число из ${\displaystyle {\mathbb{Z}}_p}$ . Если такой многочлен можно представить в виде произведения ${\displaystyle f_z(x)=p_0(x)p_1(x)}$ , то в терминах исходного многочлена это значит, что ${\displaystyle f(x)=p_0(x+z)p_1(x+z)}$ , что даёт разбиение на множители исходного многочлена ${\displaystyle f(x)}$ ^[1][12].

Классификация элементов ${\displaystyle {\mathbb{F}}_p}$ Править

По критерию Эйлера для любого монома ${\displaystyle (x-<!--\; -\; -->\mathrm{\lambda <!--\; \lambda \; -->})}$  выполнено ровно одно из следующих свойств^[1]:

1. Одночлен равен ${\displaystyle x}$ , если ${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}=0}$ ,
2. Одночлен делит $g_0(x)=(x^{(p-<!--\; -\; -->1)/2}-<!--\; -\; -->1)$ , если ${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}}$  — квадратичный вычет по модулю ${\displaystyle p}$ ,
3. Одночлен делит $g_1(x)=(x^{(p-<!--\; -\; -->1)/2}+1)$ , если ${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}}$  — квадратичный невычет по этому модулю.

Таким образом, если ${\displaystyle f_z(x)}$  не делится на ${\displaystyle x}$ , что можно проверить отдельно, то ${\displaystyle f_z(x)}$  равно произведению наибольших общих делителей ${\displaystyle gcd(f_z(x);g_0(x))}$  и ${\displaystyle gcd(f_z(x);g_1(x))}$ ^[12].

Метод БерлекэмпаПравить

Написанное выше приводит к следующему алгоритму^[1]:

1. В явном виде вычисляются коэффициенты многочлена ${\displaystyle f_z(x)=f(x-<!--\; -\; -->z)}$ ,
2. Вычисляются остатки от деления $x,x^2,x^{2^2},x^{2^3},x^{2^4},\dots <!--\; \dots \; -->,x^{2^{\lfloor <!--\; \lfloor \; -->{\log }_2<!--\; \; -->p\rfloor <!--\; \rfloor \; -->}}$  на ${\displaystyle f_z(x)}$  последовательным возведением в квадрат и взятием остатка от ${\displaystyle f_z(x)}$ ,
3. Двоичным возведением в степень вычисляется остаток от деления $x^{(p-<!--\; -\; -->1)/2}$  на $f_z(x)$  с использованием посчитанных на прошлом шаге многочленов,
4. Если $x^{(p-<!--\; -\; -->1)/2}\not\equiv \pm <!--\; \pm \; -->1(\mathrm{mod}{f}_z(x))$ , то указанные выше ${\displaystyle gcd}$  дают нетривиальное разбиение ${\displaystyle f_z(x)}$  на множители,
5. В противном случае все корни ${\displaystyle f_z(x)}$  являются вычетами или невычетами одновременно и стоит попробовать другое значения ${\displaystyle z}$ .

Если ${\displaystyle f(x)}$  также делится на некоторый многочлен ${\displaystyle g(x)}$ , не имеющий корней в ${\displaystyle {\mathbb{Z}}_p}$ , то при подсчёте ${\displaystyle gcd}$  с ${\displaystyle g_0(x)}$  и ${\displaystyle g_1(x)}$  будет получено разбиение бесквадратного многочлена ${\displaystyle f_z(x)/g_z(x)}$  на нетривиальные сомножители, поэтому алгоритм позволяет найти все корни любых многочленов над ${\displaystyle {\mathbb{Z}}_p}$ , а не только тех, которые разбиваются в произведение мономов^[12].

Извлечение квадратного корняПравить

Пусть нужно решить сравнение $x^2\equiv <!--\; \equiv \; -->a(\mathrm{mod}p)$ , решениями которого являются элементы ${\displaystyle \mathrm{\beta <!--\; \beta \; -->}}$  и ${\displaystyle -<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->}}$  соответственно. Их нахождение эквивалентно факторизации многочлена $f(x)=x^2-<!--\; -\; -->a=(x-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->})(x+\mathrm{\beta <!--\; \beta \; -->})$  над полем ${\displaystyle {\mathbb{Z}}_p}$ . В таком частном случае задача упрощается, так как для решения достаточно посчитать только ${\displaystyle gcd(f_z(x);g_0(x))}$ . Для полученного многочлена будет верно ровно одно из утверждений:

1. НОД равен ${\displaystyle 1}$ , из чего следует, что ${\displaystyle z+\mathrm{\beta <!--\; \beta \; -->}}$  и ${\displaystyle z-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->}}$  являются квадратичными невычетами одновременно,
2. НОД равен ${\displaystyle f_z(x)}$ , из чего следует, что оба числа являются квадратичными вычетами,
3. НОД равен одночлену ${\displaystyle (x-<!--\; -\; -->t)}$ , из чего следует, что ровно одно число из двух является квадратичным вычетом.

В третьем случае полученный одночлен должен быть равен или ${\displaystyle (x-<!--\; -\; -->z-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->})}$ , или ${\displaystyle (x-<!--\; -\; -->z+\mathrm{\beta <!--\; \beta \; -->})}$ . Это позволяет записать решение в виде $\mathrm{\beta <!--\; \beta \; -->}=(t-<!--\; -\; -->z)(\mathrm{mod}p)$ ^[1].

ПримерПравить

Пусть нужно решить сравнение $x^2\equiv <!--\; \equiv \; -->5(\mathrm{mod}11)$ . Для этого нужно факторизовать ${\displaystyle f(x)=x^2-<!--\; -\; -->5=(x-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->})(x+\mathrm{\beta <!--\; \beta \; -->})}$ . Рассмотрим возможные значения ${\displaystyle z}$ :

1. Пусть ${\displaystyle z=3}$ . Тогда ${\displaystyle f_z(x)=(x-<!--\; -\; -->3{)}^2-<!--\; -\; -->5=x^2-<!--\; -\; -->6x+4}$ , откуда ${\displaystyle gcd(x^2-<!--\; -\; -->6x+4;x^5-<!--\; -\; -->1)=1}$ . Оба числа ${\displaystyle 3\pm <!--\; \pm \; -->\mathrm{\beta <!--\; \beta \; -->}}$  являются невычетами и нужно брать другое ${\displaystyle z}$ .

1. Пусть ${\displaystyle z=2}$ . Тогда ${\displaystyle f_z(x)=(x-<!--\; -\; -->2{)}^2-<!--\; -\; -->5=x^2-<!--\; -\; -->4x-<!--\; -\; -->1}$ , откуда $gcd(x^2-<!--\; -\; -->4x-<!--\; -\; -->1;x^5-<!--\; -\; -->1)\equiv <!--\; \equiv \; -->x-<!--\; -\; -->9(\mathrm{mod}11)$ . Отсюда $x-<!--\; -\; -->9=x-<!--\; -\; -->2-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->}$ , значит ${\displaystyle \mathrm{\beta <!--\; \beta \; -->}\equiv <!--\; \equiv \; -->7(\mathrm{mod}11)}$  и $-<!--\; -\; -->\mathrm{\beta <!--\; \beta \; -->}\equiv <!--\; \equiv \; -->-<!--\; -\; -->7\equiv <!--\; \equiv \; -->4(\mathrm{mod}11)$ .

Проверка показывает, что действительно $7^2\equiv <!--\; \equiv \; -->49\equiv <!--\; \equiv \; -->5(\mathrm{mod}11)$  и $4^2\equiv <!--\; \equiv \; -->16\equiv <!--\; \equiv \; -->5(\mathrm{mod}11)$ .

Алгоритм находит разбиение ${\displaystyle f_z(x)}$  на нетривиальные множители во всех случаях, за исключением тех, в которых все числа ${\displaystyle z+{\mathrm{\lambda <!--\; \lambda \; -->}}_1,z+{\mathrm{\lambda <!--\; \lambda \; -->}}_2,\dots <!--\; \dots \; -->,z+{\mathrm{\lambda <!--\; \lambda \; -->}}_n}$  являются вычетами или невычетами одновременно. Согласно теории циклотомии^[1], вероятность такого события для случая, когда ${\displaystyle {\mathrm{\lambda <!--\; \lambda \; -->}}_1,\dots <!--\; \dots \; -->,{\mathrm{\lambda <!--\; \lambda \; -->}}_n}$  сами одновременно являются вычетами или невычетами одновременно (то есть, когда ${\displaystyle z=0}$  не подходит для нашей процедуры), можно оценить как ${\displaystyle 1/2^{k-<!--\; -\; -->1}}$ ^[8], где ${\displaystyle k}$  — количество различных чисел среди ${\displaystyle {\mathrm{\lambda <!--\; \lambda \; -->}}_1,\dots <!--\; \dots \; -->,{\mathrm{\lambda <!--\; \lambda \; -->}}_n}$ ^[1]. Таким образом, вероятность ошибки алгоритма не превосходит ${\displaystyle 1/2}$ .

Из теории конечных полей известно, что если степень неприводимого многочлена ${\displaystyle q(x)}$  равна ${\displaystyle d}$ , то такой многочлен является делителем ${\displaystyle x^{p^d}-<!--\; -\; -->x}$  и не является делителем ${\displaystyle x^{p^t}-<!--\; -\; -->x}$  для  .

Таким образом, последовательно рассматривая многочлены ${\displaystyle h_i(x)=gcd(f_i(x),x^{p^i}-<!--\; -\; -->1)}$  где ${\displaystyle f_1(x)=f(x)}$  и ${\displaystyle f_i(x)=f_{i-<!--\; -\; -->1}(x)/h_{i-<!--\; -\; -->1}(x)}$  для ${\displaystyle i>1}$ , можно разбить многочлен ${\displaystyle f(x)}$  на множители вида ${\displaystyle f(x)=h_1(x)\dots <!--\; \dots \; -->h_n(x)}$ , где ${\displaystyle h_i(x)}$  — это произведение всех неприводимых многочленов степени ${\displaystyle i}$ , которые делят многочлен ${\displaystyle f(x)}$ . Зная степень ${\displaystyle h_i(x)}$ , можно определить количество таких многочленов, равное ${\displaystyle r_i=\mathrm{deg}<!--\; \; -->h_i(x)/i}$ . Пусть ${\displaystyle h_i(x)=p_1(x)\dots <!--\; \dots \; -->p_{r_i}(x)}$ . Если рассмотреть многочлен ${\displaystyle p_j(x-<!--\; -\; -->z)}$ , где $z\in <!--\; \in \; -->{\mathbb{F}}_p$ , то порядок такого многочлена ${\displaystyle d_j}$  в поле ${\mathbb{F}}_{p^i}$  должен делить число ${\displaystyle p^i-<!--\; -\; -->1}$ . Если ${\displaystyle d_j}$  не делится на ${\displaystyle d_k}$ , то многочлен $x^{d_j}-<!--\; -\; -->x$  делится на $p_j(x-<!--\; -\; -->z)$ , но не на $p_k(x-<!--\; -\; -->z)$ .

Исходя из этого Цассенхауз^[en] предложил искать делители многочлена ${\displaystyle h_i(x-<!--\; -\; -->z)}$  в виде $gcd(h_i(x-<!--\; -\; -->z),x^f-<!--\; -\; -->1)$ , где ${\displaystyle f}$  — некоторый достаточно большой делитель ${\displaystyle p^i-<!--\; -\; -->1}$ , например, $f=\frac{p^i-<!--\; -\; -->1}{2}$ . В частном случае ${\displaystyle i=1}$  получается в точности метод Берлекэмпа как он описан выше^[4].

Поэтапно время работы одной итерации алгоритма можно оценить следующим образом, считая степень многочлена равной ${\displaystyle n}$ :

1. Учитывая, что $(x-<!--\; -\; -->z{)}^k=\underset{i=0}{\overset{k}{\sum <!--\; \sum \; -->}}(\genfrac{}{}{0ex}{}{k}{i})(-<!--\; -\; -->z{)}^{k-<!--\; -\; -->i}{x}^i$  по формуле бинома Ньютона, переход от ${\displaystyle f(x)}$  к ${\displaystyle f(x-<!--\; -\; -->z)}$  делается за ${\displaystyle O(n^2)}$ ,
2. Произведение многочленов и взятие остатка от одного многочлена по модулю другого делается за $O(n^2)$ , поэтому вычисление $x^{2^k}{modf}_z(x)$  делается за $O(n^2\log <!--\; \; -->p)$ ,
3. Аналогично предыдущему пункту, двоичное возведение в степень делается за ${\displaystyle O(n^2\log <!--\; \; -->p)}$ ,
4. Взятие ${\displaystyle gcd}$  от двух многочленов по алгоритму Евклида делается за ${\displaystyle O(n^2)}$ .

Таким образом, одна итерация алгоритма может быть произведена за ${\displaystyle O(n^2\log <!--\; \; -->p)}$  арифметических операций с элементами ${\displaystyle {\mathbb{F}}_p}$ , а нахождение всех корней многочлена требует в среднем ${\displaystyle O(n^2\log <!--\; \; -->n\log <!--\; \; -->p)}$ ^[8]. В частном случае извлечения квадратного корня величина ${\displaystyle n}$  равна двум, поэтому время работы оценивается как ${\displaystyle O(\log <!--\; \; -->p)}$  на одну итерацию алгоритма^[12].