Факторизация методом непрерывных дробей

Метод непрерывных дробей был предложен Д. Г. Лемером и Р. Е. Поверсом^ru_en в 1931 году^[3]. Этот метод основывался на идеях Лежандра и Крайчика^ru_en и предназначался для разложения больших чисел, содержащих 30 и более десятичных разрядов. Однако, полученный метод не применялся из-за трудностей, связанных с его реализацией на настольных арифмометрах^[4].

В конце 1960-х годов Джон Бриллхарт^ru_en обнаружил, что этот метод хорошо подходит для компьютерного программирования, и совместно с Михаэлем А. Моррисоном, переработал этот алгоритм для ЭВМ в 1975 году^[5].

В 1970-е годы алгоритм факторизации методом непрерывных дробей стал лучшим средством разложения на простые множители с использованием формата многократной точности. Программа, написанная Моррисоном и Бриллхартом, на компьютере IBM 360/91 обрабатывала произвольные 25-значные числа за 30 секунд, а 40-значные числа — за 50 минут. В 1970 году с помощью именно этого алгоритма была произведена факторизация седьмого числа Ферма^[4]:

${\displaystyle 2^{2^7}+1=59649589127497217\cdot <!--\; \cdot \; -->5704689200685129054721.}$ 

Метод оставался популярным вплоть до начала 1980-х годов, когда появился метод квадратичного решета. После этого метод факторизации непрерывных дробей оказался неконкурентоспособным^[6].

Метод Лемера и ПауэрсаПравить

В 1643 году Пьер Ферма предложил алгоритм разложения на множители нечетного целого числа ${\displaystyle m}$ . Кратко этот алгоритм можно описать так: пусть ${\displaystyle m=ab}$ . Тогда, можно записать

${\displaystyle ab={\left(\frac{a+b}{2}\right)}^2-<!--\; -\; -->{\left(\frac{a-<!--\; -\; -->b}{2}\right)}^2=x^2-<!--\; -\; -->y^2=m}$ ,

где ${\displaystyle x=\frac{a+b}{2},y=\frac{a-<!--\; -\; -->b}{2}}$ .

Отсюда видно, что ${\displaystyle x^2-<!--\; -\; -->m=y^2}$ . Значит, если последовательно перебирать квадраты целых чисел ${\displaystyle x}$ , начиная с ближайшего сверху к ${\displaystyle m}$  квадрата, то на некоторой итерации разность ${\displaystyle x^2-<!--\; -\; -->m}$  окажется равна квадрату некоторого числа ${\displaystyle y}$ . Найденная пара чисел ${\displaystyle (x,y)}$  позволит найти пару множителей ${\displaystyle (a,b)}$  числа ${\displaystyle m}$ : ${\displaystyle a=\frac{x+y}{2},b=\frac{x-<!--\; -\; -->y}{2}}$ .

Таким образом, метод Ферма сводит задачу факторизации числа к поиску целых чисел, разность которых равна исходному числу ${\displaystyle m}$ . Метод Ферма быстро находит множители числа ${\displaystyle m}$  в том случае, когда его делители близки к ${\displaystyle \sqrt{m}}$ , т.е. для максимально негладких чисел. Если же число ${\displaystyle m}$  является гладким, то метод Ферма может работать даже медленней метода пробных делений^[2].

В 1926 году Морис Крайчик^ru_en в монографии^[7] представил свой метод факторизации целых чисел, который представлял собой «усиление» метода Ферма.

Крайчик предложил вместо пар чисел ${\displaystyle (x,y)}$ , удовлетворяющих соотношению ${\displaystyle x^2-<!--\; -\; -->y^2=m}$ , искать пары ${\displaystyle (x,y)}$ , удовлетворяющие сравнению ${\displaystyle x^2-<!--\; -\; -->y^2\equiv <!--\; \equiv \; -->0(\mathrm{mod}m)}$ , т.е. ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ . Если, при этом, ${\displaystyle x\equiv <!--\; \equiv \; -->\pm <!--\; \pm \; -->y(\mathrm{mod}m)}$ , то мы получим лишь тривиальное решение. Однако, если ${\displaystyle x\not\equiv \pm <!--\; \pm \; -->y(\mathrm{mod}m)}$ , то из указанного сравнения получается ${\displaystyle x^2-<!--\; -\; -->y^2=(x-<!--\; -\; -->y)(x+y)=km}$ , где ${\displaystyle k\in <!--\; \in \; -->\mathbb{Z}}$ . Отсюда тоже следует разложение: ${\displaystyle m}$  делится на ${\displaystyle (x-<!--\; -\; -->y)(x+y)}$ , но не делится ни на ${\displaystyle x-<!--\; -\; -->y}$ , ни на ${\displaystyle x+y}$ , следовательно ${\displaystyle gcd(x-<!--\; -\; -->y,m)}$  — нетривиальный делитель ${\displaystyle m}$ ^[2] (см. #обоснование1).

После нововведения Крайчика алгоритм нахождения делителей числа ${\displaystyle m}$  значительно изменялся: теперь по-прежнему нужно вычислять ${\displaystyle x^2-<!--\; -\; -->m}$  для разных ${\displaystyle x}$ , однако теперь не требуется «ждать» другой квадрат, а нужно пытаться его построить, перемножая полученные числа ${\displaystyle m}$ ^[2].

Действительно, рассмотрим последовательность чисел вида ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}(u)=u^2-<!--\; -\; -->m}$  (очевидно, ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}\equiv <!--\; \equiv \; -->u^2(\mathrm{mod}m)}$ ). Тогда, если ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}(u_1)\mathrm{\upsilon <!--\; \upsilon \; -->}(u_2)\dots <!--\; \dots \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(u_k)=y^2}$ , т.е. ${\displaystyle (u_1^2-<!--\; -\; -->m)(u_2^2-<!--\; -\; -->m)\dots <!--\; \dots \; -->(u_k^2-<!--\; -\; -->m)=y^2}$ , то отсюда следует, что ${\displaystyle x^2=u_1^2{u}_2^2\dots <!--\; \dots \; -->u_k^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ ^[2]. Для того, чтобы определить, какие именно соотношения нужно перемножить, необходимо раскладывать числа ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$  на множители и перемножать соотношения так, чтобы в произведениях ${\displaystyle {\mathrm{\upsilon <!--\; \upsilon \; -->}}_1{\mathrm{\upsilon <!--\; \upsilon \; -->}}_2\dots <!--\; \dots \; -->{\mathrm{\upsilon <!--\; \upsilon \; -->}}_k}$  присутствовали простые множители в четных степенях, позволяющие получить сравнение ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ ^[8].

Метод Крайчика сводит задачу разложения числа ${\displaystyle m}$  на множители к построению некоторого количества сравнений ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$  и разложению на множители чисел ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$ . Однако Крайчик не предъявил конкретный алгоритм поиска пар чисел ${\displaystyle u,\mathrm{\upsilon <!--\; \upsilon \; -->}}$  и алгоритмический способ составления из найденных соотношений сравнения вида ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ ^[8].

В 1931 году в работе^[3] Лемер и Пауэрс предложили два варианта генерации указанных сравнений. Оба варианта основывались на соотношениях, возникающих при разложении квадратичных иррациональностей в непрерывные дроби, и обладали тем свойством, что величины ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$  не превосходили ${\displaystyle 2\sqrt{m}}$  ^[9]. Последнее неравенство гарантирует, что числа ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$  будут маленькими, что облегчит разложение этих чисел на простые множители^[2](см. #обоснование2).

При этом, оба варианта оказываются эквивалентными^[3]: если один вариант алгоритма найдет решение, то и второй вариант также найдет решение.

Однако, у обоих вариантов алгоритма был недостаток — разложение квадратичной иррациональности в непрерывную дробь периодично (теорема Лагранжа). Поэтому количество соотношений, которые можно получить с помощью данного метода, ограниченно, и их может оказаться недостаточно для набора соотношений и построения сравнения ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ . При этом, как показывают практические эксперименты, при больших значениях ${\displaystyle m}$  длина периода разложения в непрерывную дробь оказывается достаточно большой (порядка ${\displaystyle \sqrt{m}}$  ^[10]) для составления требуемого числа сравнений. В результате при больших ${\displaystyle m}$  оба варианта алгоритма всегда находят разложение числа ${\displaystyle m}$  на множители^[11].

Первый вариантПравить

Напомним, что каждому действительному числу ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}}$  может быть поставлена в соответствие последовательность целых чисел ${\displaystyle [b_0,b_1,b_2,...]}$ , называемая его непрерывной дробью. Это сопоставление строится следующим образом

${\displaystyle x_0=\mathrm{\xi <!--\; \xi \; -->},b_i=[x_i],x_{i+1}=\frac{1}{x_i-<!--\; -\; -->b_i},i=0,1,2,\dots <!--\; \dots \; -->.}$ 

При этом ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=b_0+\frac{1}{b_1+\frac{1}{b_2+\frac{1}{\cdots <!--\; \cdots \; -->+\frac{1}{x_n}}}}=[b_0,b_1,b_2,\dots <!--\; \dots \; -->,b_{n-<!--\; -\; -->1},x_n].}$ 

Если раскладывать в непрерывную дробь число ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=\sqrt{m}}$ , то возникающие в процессе разложения числа ${\displaystyle x_n}$  имеют вид ${\displaystyle x_n=\frac{\sqrt{m}+A_n}{B_n}}$  с целыми ${\displaystyle A_n,B_n}$ , причем выполняется  ,  ^[12].

Для коэффициентов ${\displaystyle A_n,B_n}$  выполняется равенство^[3]:

${\displaystyle A_n^2+B_n{B}_{n-<!--\; -\; -->1}=m.}$ 

Отсюда следует

${\displaystyle -<!--\; -\; -->B_n{B}_{n-<!--\; -\; -->1}\equiv <!--\; \equiv \; -->A_n^2(\mathrm{mod}m),n=0,1,\dots <!--\; \dots \; -->.(1)}$ 

Полученное равенство имеет вид ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$ , предложенный Крайчиком, и может быть применено для факторизации числа ${\displaystyle m}$ .

Вычисляя последовательно частные ${\displaystyle A_0,B_0,A_1,B_1,\dots <!--\; \dots \; -->}$ , будем получать выражения вида ${\displaystyle (1)}$  для различных ${\displaystyle n}$ . Раскладывая величины ${\displaystyle B_n}$  на простые множители и комбинируя полученные равенства, можно получить сравнения вида ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$  (см. #пример1).

Второй вариантПравить

С каждой непрерывной дробью свяжем последовательность рациональных чисел, состоящую из подходящих дробей ${\displaystyle \frac{P_n}{Q_n}=[b_0,b_1,\dots <!--\; \dots \; -->,b_{n-<!--\; -\; -->1},b_n],n>0}$ , вычисляемых по формулам^[3]:

${\displaystyle P_{n+1}=b_{n+1}{P}_n+P_{n-<!--\; -\; -->1},Q_{n+1}=b_{n+1}{Q}_n+Q_{n-<!--\; -\; -->1},n⩾<!--\; ⩾\; -->0,}$ 

${\displaystyle P_0=b_0,Q_0=P_{-<!--\; -\; -->1}=1,Q_{-<!--\; -\; -->1}=0}$ 

и стремящихся к разлагаемому числу. Если в непрерывную дробь разлагается число ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=\sqrt{m}}$ , то справедливо соотношение^[12]:

${\displaystyle P_{n-<!--\; -\; -->1}^2-<!--\; -\; -->m{Q}_{n-<!--\; -\; -->1}=(-<!--\; -\; -->1{)}^n{B}_n}$  ,

из которого следует

${\displaystyle P_{n-<!--\; -\; -->1}^2\equiv <!--\; \equiv \; -->(-<!--\; -\; -->1{)}^n{B}_n(\mathrm{mod}m),n=1,2,\dots <!--\; \dots \; -->.(2)}$ 

Полученное равенство имеет вид ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$  и может быть использовано для факторизации числа ${\displaystyle m}$  так же, как и в первом варианте.

АлгоритмПравить

Таким образом, исправленный Лемером и Пауэрсом метод Крайчика имеет следующий вид^[13].

Вход. Составное число ${\displaystyle m}$ .

Выход. Нетривиальный делитель ${\displaystyle p}$  числа ${\displaystyle m}$ .

1. Разложить ${\displaystyle \sqrt{m}}$  в непрерывную дробь.
2. Используя равенства ${\displaystyle (1)}$  или ${\displaystyle (2)}$ , получить множество сравнений вида ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$  и разложить числа ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$  на простые множители.
3. Выбрать те равенства ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$ , перемножение которых даст произведение четных степеней простых чисел, полученных в результате разложения чисел ${\displaystyle \mathrm{\upsilon <!--\; \upsilon \; -->}}$ . Тем самым, мы получим соотношение вида ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ .
4. Если ${\displaystyle x\equiv <!--\; \equiv \; -->\pm <!--\; \pm \; -->y(\mathrm{mod}m)}$ , то вернуться на шаг 3. Если имеющегося числа соотношений недостаточно для генерации равенства ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ , то необходимо продолжить разложение числа ${\displaystyle \sqrt{m}}$  в непрерывную дробь и, затем, вернуться на шаг 2.
5. С помощью алгоритма Евклида определить ${\displaystyle p=gcd(x-<!--\; -\; -->y,m)}$ .

Лемер и Пауэрс в своей работе указали, как можно генерировать соотношения вида ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$ , однако они, также как и Крайчик, не дали алгоритмического способа составления из найденных соотношений сравнения ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ . Эту проблему решил метод Моррисона и Бриллхарта.

Метод Моррисона и БриллхартаПравить

В начале 1970-х годов в статье^[5] Майкл Моррисон и Джон Бриллхарт предложили свой алгоритм, являющийся модификацией второго варианта алгоритма Лемера и Пауэрса. В настоящее время под методом непрерывных дробей понимают именно алгоритм Моррисона и Бриллхарта.

Основное отличие реализованного Моррисоном и Бриллхартом алгоритма от первоначального варианта заключалось в введении процедуры алгоритмического построения сравнения ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$  по заданному множеству сравнений вида ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$ . Для реализации этой процедуры использовалось понятие «факторной базы»^[11].

Будем искать ${\displaystyle x}$  как произведение таких чисел ${\displaystyle u_i}$ , что наименьший по абсолютной величине вычет числа ${\displaystyle u_i^2}$  по модулю ${\displaystyle m}$  является произведением простых чисел^[14]. Тогда из тех же простых чисел можно построить и ${\displaystyle y}$ .

Базой факторизации (или факторной базой) натурального числа ${\displaystyle m}$  называется множество ${\displaystyle B=\{p_0,p_1,\dots <!--\; \dots \; -->,p_h\}}$  различных простых чисел ${\displaystyle p_i}$ , за возможным исключением ${\displaystyle p_0}$ , которое может быть равным ${\displaystyle -<!--\; -\; -->1}$ . При этом число ${\displaystyle b}$ , для которого ${\displaystyle b^{2}modm}$  является произведением степеней чисел из множества ${\displaystyle B}$ , называется B-гладким числом. Пусть теперь ${\displaystyle u_i}$  — B-гладкие числа, ${\displaystyle {\mathrm{\upsilon <!--\; \upsilon \; -->}}_i=u_i^{2}modm=\underset{j=0}{\overset{h}{\prod <!--\; \prod \; -->}}{p}_j^{{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}}}$  — разложения их наименьшие по абсолютной величине вычетов по модулю ${\displaystyle m}$ . Положим

${\displaystyle {\mathbf{e}}_i=(e_{i0},e_{i1},\dots <!--\; \dots \; -->,e_{ih})\in <!--\; \in \; -->{\mathbb{F}}_2^h}$ ,

где ${\displaystyle e_{ij}\equiv <!--\; \equiv \; -->{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}\mathrm{mod}2}$ , ${\displaystyle {\mathbb{F}}_2^h}$  — векторное пространство над полем GF(2), которое состоит из наборов нулей и единиц размерности ${\displaystyle h}$ .

Подберем числа ${\displaystyle u_i}$  так, чтобы сумма векторов ${\displaystyle {\mathbf{e}}_i}$  была равна нулю. Определим

${\displaystyle x=\left(\underset{i}{\prod <!--\; \prod \; -->}{u}_i\right)modm,y=\underset{j=0}{\overset{h}{\prod <!--\; \prod \; -->}}{p}_j^{{\mathrm{\gamma <!--\; \gamma \; -->}}_j}}$ ,

где ${\displaystyle {\mathrm{\gamma <!--\; \gamma \; -->}}_j=\frac{1}{2}\underset{i}{\sum <!--\; \sum \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}}$ . Тогда ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ .

Осталось добавить, что факторная база в алгоритме Моррисона и Бриллхарта состоит из тех простых чисел ${\displaystyle p_i}$ , по модулю которых ${\displaystyle m}$  является квадратичным вычетом^[15].

АлгоритмПравить

Алгоритм Моррисона и Бриллхарта выглядит следующим образом^[16].

Вход. Составное число ${\displaystyle m}$ .

Выход. Нетривиальный делитель ${\displaystyle p}$  числа ${\displaystyle m}$ .

1. Построить базу разложения ${\displaystyle B=\{p_0,p_1,\dots <!--\; \dots \; -->,p_h\}}$ , где ${\displaystyle p_0=-<!--\; -\; -->1}$  и ${\displaystyle p_1,\dots <!--\; \dots \; -->,p_h}$  — попарно различные простые числа, по модулю которых ${\displaystyle m}$  является квадратичным вычетом.

2. Берутся целые числа ${\displaystyle u_i}$ , являющиеся числителями подходящих дробей к обыкновенной непрерывной дроби, выражающей число ${\displaystyle \sqrt{m}}$ . Из этих числителей выбираются ${\displaystyle h+2}$  чисел, для которых абсолютно наименьшие вычеты ${\displaystyle u_i^2}$  по модулю ${\displaystyle m}$  являются B-гладкими:

${\displaystyle u_i^{2}modm=\underset{j=0}{\overset{h}{\prod <!--\; \prod \; -->}}{p}_j^{{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}}={\mathrm{\upsilon <!--\; \upsilon \; -->}}_i}$ ,

где ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}⩾<!--\; ⩾\; -->0}$ . Также каждому числу ${\displaystyle u_i}$  сопоставляется вектор показателей ${\displaystyle ({\mathrm{\alpha <!--\; \alpha \; -->}}_{i0},{\mathrm{\alpha <!--\; \alpha \; -->}}_{i1},\dots <!--\; \dots \; -->,{\mathrm{\alpha <!--\; \alpha \; -->}}_{ih})}$ .

3. Найти (например, методом Гаусса) такое непустое множество ${\displaystyle K⫅<!--\; ⫅\; -->\{1,2,\dots <!--\; \dots \; -->,h+1\}}$ , что ${\displaystyle {\oplus <!--\; \oplus \; -->}_{i\in <!--\; \in \; -->K}{\mathbf{e}}_i=0}$ , где ${\displaystyle \oplus <!--\; \oplus \; -->}$  — операция исключающее ИЛИ, ${\displaystyle {\mathbf{e}}_i=(e_{i1},e_{i2},\dots <!--\; \dots \; -->,e_{ih}),e_{ij}\equiv <!--\; \equiv \; -->{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}(\mathrm{mod}2)}$ , ${\displaystyle 0⩽<!--\; ⩽\; -->j⩽<!--\; ⩽\; -->h}$ .

4. Положить ${\displaystyle x\leftarrow <!--\; \leftarrow \; -->\underset{i\in <!--\; \in \; -->K}{\prod <!--\; \prod \; -->}{u}_{i}modm,y\leftarrow <!--\; \leftarrow \; -->\underset{j=1}{\overset{h}{\prod <!--\; \prod \; -->}}{p}_j^{\frac{1}{2}\underset{i\in <!--\; \in \; -->K}{\sum <!--\; \sum \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}}modm}$ . Тогда ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ .

5. Если ${\displaystyle x\not\equiv y(\mathrm{mod}m)}$ , то положить ${\displaystyle p\leftarrow <!--\; \leftarrow \; -->gcd(x-<!--\; -\; -->y,m)}$  и выдать результат: ${\displaystyle p}$ .

В противном случае вернуться на шаг 3 и поменять множество ${\displaystyle K}$ . (Обычно есть несколько вариантов выбора множества ${\displaystyle K}$  для одной и той же факторной базы ${\displaystyle B}$ . Если все возможности исчерпаны, то следует увеличить размер факторной базы).

Из полученного алгоритма впоследствии был разработан алгоритм Диксона, из которого был удален аппарат цепных дробей^[17]. После создания алгоритма Диксона, метод непрерывных дробей, по сути, представлял собой алгоритм Диксона, в котором был уточнен выбор абсолютно наименьшего вычета ${\displaystyle u_i}$ ^[18].

Некоторые улучшенияПравить

Пусть ${\displaystyle m=p\cdot <!--\; \cdot \; -->q}$ . Выше в непрерывную дробь раскладывалось число ${\displaystyle \sqrt{m}}$ . Такой вариант эффективен, когда ${\displaystyle p}$  и ${\displaystyle q}$  близки друг к другу. Однако, чем больше разность между числами ${\displaystyle p}$  и ${\displaystyle q}$ , тем более трудоемким становится алгоритм. В этом случае вместо ${\displaystyle \sqrt{m}}$  можно раскладывать в непрерывную дробь число ${\displaystyle \sqrt{km}}$  , где маленький множитель ${\displaystyle k}$  подбирается так, чтобы в базу множителей вошли все малые простые^[19].

Кроме того, так как метод непрерывных дробей построен по схеме алгоритма Диксона, то для него применимы дополнительные стратегии алгоритма Диксона.

Следующая лемма показывает, что если выполнено сравнение ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$  и ${\displaystyle x\not\equiv y(\mathrm{mod}m)}$ , то числа ${\displaystyle x-<!--\; -\; -->y}$  и ${\displaystyle m}$  имеют общие делители.

Лемма(о факторизации)^[20]. Пусть ${\displaystyle m}$  — нечётное составное число и ${\displaystyle x,y}$  — вычеты по модулю ${\displaystyle m}$  такие, что ${\displaystyle x\not\equiv \pm <!--\; \pm \; -->y(\mathrm{mod}m)}$  и ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ . Тогда выполняется неравенство  .

Следующие два утверждения — ключевые для алгоритма факторизации методом непрерывных дробей. Они показывают, что можно найти последовательность чисел ${\displaystyle u_i}$ , квадраты которых имеют малые вычеты по модулю ${\displaystyle m}$ .

Теорема^[21]. Если ${\displaystyle \frac{P_n}{Q_n}}$ , где ${\displaystyle n=1,2,\dots <!--\; \dots \; -->}$ , — подходящие дроби к числу ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}>1}$ , которое задано обыкновенной непрерывной дробью, то для всех ${\displaystyle n}$  справедлива оценка  .

Следствие^[21]. Пусть положительное число ${\displaystyle m}$  не является полным квадратом и ${\displaystyle \frac{P_n}{Q_n}}$ , где ${\displaystyle n=1,2,\dots <!--\; \dots \; -->}$ , — подходящие дроби к числу ${\displaystyle \sqrt{m}}$ . Тогда для абсолютно наименьшего вычета ${\displaystyle P_n^{2}modm}$  (т.е. для вычета, расположенного между ${\displaystyle -<!--\; -\; -->\frac{m}{2}}$  и ${\displaystyle \frac{m}{2}}$ ) справедливо неравенство  , причем ${\displaystyle P_n^{2}modm=P_n^2-<!--\; -\; -->m{Q}_n^2}$ .

Пример 1^[22]

Разложим на множители первым алгоримом Лемера и Пауэрса число ${\displaystyle m=1081}$ .

1. Будем раскладывать число ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=\sqrt{m}=\sqrt{1081}}$  в непрерывную дробь и записывать числа ${\displaystyle A_n,B_n}$  в таблицу для получения уравнений вида ${\displaystyle u^2\equiv <!--\; \equiv \; -->\mathrm{\upsilon <!--\; \upsilon \; -->}(\mathrm{mod}m)}$ .

Таблица: факторизация числа 1081

i	xi	Ai	Bi
1	${\displaystyle \frac{32+\sqrt{1081}}{57}}$	32	57
2	${\displaystyle \frac{25+\sqrt{1081}}{8}}$	25	8
3	${\displaystyle \frac{31+\sqrt{1081}}{15}}$	31	15
4	${\displaystyle \frac{29+\sqrt{1081}}{16}}$	29	16
5	${\displaystyle \frac{19+\sqrt{1081}}{45}}$	19	45
6	${\displaystyle \frac{26+\sqrt{1081}}{9}}$	26	9

2. Теперь запишем сравнения ${\displaystyle -<!--\; -\; -->B_n{B}_{n-<!--\; -\; -->1}\equiv <!--\; \equiv \; -->A_n^2(\mathrm{mod}m)}$  для ${\displaystyle n=2,3,4,5,6}$ :

${\displaystyle -<!--\; -\; -->2^3\cdot <!--\; \cdot \; -->3\cdot <!--\; \cdot \; -->19\equiv <!--\; \equiv \; -->{25}^2(\mathrm{mod}1081),}$ 

${\displaystyle -<!--\; -\; -->2^3\cdot <!--\; \cdot \; -->3\cdot <!--\; \cdot \; -->5\equiv <!--\; \equiv \; -->{31}^2(\mathrm{mod}1081),}$ 

${\displaystyle -<!--\; -\; -->2^4\cdot <!--\; \cdot \; -->3\cdot <!--\; \cdot \; -->5\equiv <!--\; \equiv \; -->{29}^2(\mathrm{mod}1081),}$ 

${\displaystyle -<!--\; -\; -->2^4\cdot <!--\; \cdot \; -->3^2\cdot <!--\; \cdot \; -->5\equiv <!--\; \equiv \; -->{19}^2(\mathrm{mod}1081),}$ 

${\displaystyle -<!--\; -\; -->3^4\cdot <!--\; \cdot \; -->5\equiv <!--\; \equiv \; -->{26}^2(\mathrm{mod}1081).}$ 

3. Перемножая четвертое и пятое сравнения, получим:

${\displaystyle (-<!--\; -\; -->1{)}^2\cdot <!--\; \cdot \; -->2^4\cdot <!--\; \cdot \; -->3^2\cdot <!--\; \cdot \; -->5\cdot <!--\; \cdot \; -->3^4\cdot <!--\; \cdot \; -->5\equiv <!--\; \equiv \; -->{19}^2\cdot <!--\; \cdot \; -->{26}^2(\mathrm{mod}1081),}$ 

и, приводя подобные множители и сокращая на ${\displaystyle 3^2}$ :

${\displaystyle 2^4\cdot <!--\; \cdot \; -->3^6\cdot <!--\; \cdot \; -->5^2\equiv <!--\; \equiv \; -->{19}^2\cdot <!--\; \cdot \; -->{26}^2(\mathrm{mod}1081)}$  или ${\displaystyle {540}^2\equiv <!--\; \equiv \; -->{494}^2(\mathrm{mod}1081).}$ 

4. Получили сравнение вида ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ , используя которое можно найти делитель числа 1081. Действительно, ${\displaystyle gcd(540-<!--\; -\; -->494,1081)=23}$ . Тогда, второй делитель числа 1081 равен 47.

Пример 2^[23]

Разложим на множители методом Морриса и Брилхарта число ${\displaystyle m=21299881}$ .

1. Строим базу разложения из маленьких простых чисел, выбирая числа, по модулю которых ${\displaystyle m}$  является квадратичным вычетом, что проверяется вычислением символов Лежандра:

${\displaystyle \left(\frac{m}{3}\right)=\left(\frac{m}{5}\right)=\left(\frac{m}{7}\right)=\left(\frac{m}{11}\right)=\left(\frac{m}{19}\right)=1.}$ 

Отсюда, факторная база будет равна ${\displaystyle B=\{-<!--\; -\; -->1,2,3,5,7,11,19\}}$ , ${\displaystyle h=6}$ .

2. Ищем числители ${\displaystyle P_i}$  подходящих дробей к числу ${\displaystyle \sqrt{m}}$ :

${\displaystyle \sqrt{m}=[4615;5,1,1,2,1,7,1,27,1,6,1,2,12,23,1,8,2,3,6,1,1,1,\dots <!--\; \dots \; -->].}$ 

Выбираем те из них, для которых значения ${\displaystyle P_i^{2}modm}$  являются B-гладкими. Результаты вычислений записываем в таблицу:

k	i	Pi	P2i ${\displaystyle (\mathrm{mod}m)}$	ei
1	2	27691	${\displaystyle -<!--\; -\; -->4235=-<!--\; -\; -->1\cdot <!--\; \cdot \; -->5\cdot <!--\; \cdot \; -->7\cdot <!--\; \cdot \; -->{11}^2}$	(1, 0, 0, 1, 1, 0, 0)
2	3	50767	${\displaystyle 2688=2^7\cdot <!--\; \cdot \; -->3\cdot <!--\; \cdot \; -->7}$	(0, 1, 1, 0, 1, 0, 0)
3	6	1389169	${\displaystyle -<!--\; -\; -->7920=-<!--\; -\; -->1\cdot <!--\; \cdot \; -->2^4\cdot <!--\; \cdot \; -->3^2\cdot <!--\; \cdot \; -->5\cdot <!--\; \cdot \; -->11}$	(1, 0, 0, 1, 0, 1, 0)
4	13	12814433311	${\displaystyle 385=5\cdot <!--\; \cdot \; -->7\cdot <!--\; \cdot \; -->11}$	(0, 0, 0, 1, 1, 1, 0)
5	16	2764443209657	${\displaystyle -<!--\; -\; -->3800=-<!--\; -\; -->1\cdot <!--\; \cdot \; -->2^3\cdot <!--\; \cdot \; -->5^2\cdot <!--\; \cdot \; -->19}$	(1, 1, 0, 0, 0, 0, 1)
6	18	20276855015255	${\displaystyle -<!--\; -\; -->1331=-<!--\; -\; -->1\cdot <!--\; \cdot \; -->{11}^3}$	(1, 0, 0, 0, 0, 1, 0)
7	19	127498600693396	${\displaystyle 5415=3\cdot <!--\; \cdot \; -->5\cdot <!--\; \cdot \; -->{19}^2}$	(0, 0, 1, 1, 0, 0, 0)
8	24	2390521616955537	${\displaystyle -<!--\; -\; -->112=-<!--\; -\; -->1\cdot <!--\; \cdot \; -->2^4\cdot <!--\; \cdot \; -->7}$	(1, 0, 0, 0, 1, 0, 0)

3. Поскольку ${\displaystyle e_1\oplus <!--\; \oplus \; -->e_3\oplus <!--\; \oplus \; -->e_6\oplus <!--\; \oplus \; -->e_8=0}$ , то получаем

4. ${\displaystyle x=P_2\cdot <!--\; \cdot \; -->P_6\cdot <!--\; \cdot \; -->P_{18}\cdot <!--\; \cdot \; -->P_{24}\equiv <!--\; \equiv \; -->12487442(\mathrm{mod}m)}$ ,

${\displaystyle y=2^4\cdot <!--\; \cdot \; -->3^1\cdot <!--\; \cdot \; -->5^1\cdot <!--\; \cdot \; -->7^1\cdot <!--\; \cdot \; -->{11}^3\cdot <!--\; \cdot \; -->{19}^0=2236080}$ ,

${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2\equiv <!--\; \equiv \; -->13201055(\mathrm{mod}m)}$ .

5. Условие ${\displaystyle x\not\equiv \pm <!--\; \pm \; -->y(\mathrm{mod}m)}$  выполнено, поэтому вычисляем ${\displaystyle p=gcd(x-<!--\; -\; -->y,m)=gcd(10251362,21299881)=3851}$ .

Поэтому, ${\displaystyle 21299881=3851\cdot <!--\; \cdot \; -->5531}$ .

С появлением криптосистемы RSA в конце 1970-х годов стала особенно важна вычислительная сложность алгоритмов факторизации^[2].

Эвристический анализ времени выполнения алгоритма Морриса и Брилхарта был проведен Р. Шруппелем^ru_en в 1975 году, хотя не был опубликован^[24][2].

Более точная оценка(которая при этом все равно оставалась эвристической) была проведена в работе^[25]. Приведем результаты оценки сложности в соответствии с этой работой.

При получении оценок в этой работе делаются некоторые эвристические допущения. Например, предполагают, что если помощью алгоритма построено ${\displaystyle 1+[{\log }^2<!--\; \; -->m]}$  пар ${\displaystyle (x,y)}$  таких, что ${\displaystyle x^2\equiv <!--\; \equiv \; -->y^2(\mathrm{mod}m)}$ , то хотя бы для одной из них выполнены неравенства

 .

Утверждение^[26]. Если ${\displaystyle a=\frac{1}{\sqrt{2}}}$ , ${\displaystyle L=L(m)=\exp <!--\; \; -->((\log <!--\; \; -->m\log <!--\; \; -->\log <!--\; \; -->m{)}^{1/2})}$  и факторная база состоит из ${\displaystyle p=-<!--\; -\; -->1}$  и всех простых чисел ${\displaystyle p}$  таких, что:

${\displaystyle 2⩽<!--\; ⩽\; -->p⩽<!--\; ⩽\; -->L^a,\left(\frac{m}{p}\right)=+1}$ ,

то при вычислении ${\displaystyle L^b}$  подходящих дробей, где ${\displaystyle b=a+\frac{1}{4a}}$ , можно ожидать, что алгоритм разложит ${\displaystyle m}$  на два множителя с эвристической оценкой сложности ${\displaystyle L_m\left[\frac{1}{2};2\right]}$  арифметических операций.

• Факторизация
• Факторизация целых чисел
• Непрерывная дробь
• Метод факторизации Ферма
• Алгоритм Диксона
• Метод квадратичного решета

• Lehmer D. H., Powers R. E. On factoring large numbers (англ.) // Bull., New Ser., Am. Math. Soc. / S. Friedlander — Providence, R.I.: American Mathematical Society, 1931. — Vol. 33, Iss. 1. — P. 35—36. — ISSN 0273-0979; 1088-9485 — doi:10.1090/S0002-9904-1931-05271-X
• Morrison M. A., Brillhart J. A Method of Factoring and the Factorization of F₇ (англ.) // Math. Comp. — AMS, 1975. — Vol. 29, Iss. 129. — P. 183—205. — ISSN 0025-5718; 1088-6842 — doi:10.2307/2005475
• Pomerance C. Analysis and comparison of some integer factoring algorithms (англ.) // Computational Methods in Number Theory: Part I / H. Lenstra, R. Tijdeman — Amsterdam: Mathematisch Centrum, 1982. — P. 89—139.
• Манин, Ю. И., Панчишкин, А. А. Глава 3.4. Метод непрерывных дробей (CFRAC) и вещественные квадратичные поля // Введение в теорию чисел, Теория чисел – 1. — Итоги науки и техн. Сер. Соврем. пробл. мат. Фундам. направления. — М.: ВИНИТИ, 1990. — Т. 49. — С. 77-80. — 341 с.
• Pomerance C. A Tale of Two Sieves (англ.) // Notices Amer. Math. Soc. / F. Morgan — AMS, 1996. — Vol. 43. — P. 1473—1485. — ISSN 0002-9920; 1088-9477
• Введение в криптографию / Ященко, В. В.. — Москва: МЦНМО, 1999. — 272 с. — ISBN 5-900916-40-5.
• Коблиц Н. Курс теории чисел и криптографии — 2-е издание — М.: Научное издательство ТВП, 2001. — С. 174—179. — 254 с. — ISBN 978-5-85484-014-9, 978-5-85484-012-5
• Василенко О. Н. Теоретико-числовые алгоритмы в криптографии — М.: МЦНМО, 2003. — 328 с. — ISBN 978-5-94057-103-2
• Маховенко Е. Б. Теоретико-числовые методы в криптографии — М.: Гелиос АРВ, 2006. — С. 219—222. — ISBN 978-5-85438-143-7
• Нестеренко А. Ю. Теоретико-числовые методы в криптографии — М.: Московский государственный институт электроники и математики, 2012. — С. 172—186. — 224 с. — ISBN 978-5-94506-320-4
• Кнут Д. Э. Искусство программирования — 3-е издание — Вильямс, 2013. — Т. 2. Получисленные алгоритмы. — 832 с. — ISBN 978-5-8459-0081-4