Algoritmo p − 1 de Pollard

Algoritmo de propósito especial para factorizar números enteros

El algoritmo p  − 1 de Pollard es un algoritmo de factorización de números enteros basado en la teoría de números , inventado por John Pollard en 1974. Es un algoritmo de propósito especial, lo que significa que solo es adecuado para números enteros con tipos específicos de factores; es el ejemplo más simple de un algoritmo de factorización de grupos algebraicos .

Los factores que encuentra son aquellos para los cuales el número que precede al factor, p  − 1, es uniforme en potencia ; la observación esencial es que, al trabajar en el grupo multiplicativo módulo un número compuesto N , también estamos trabajando en los grupos multiplicativos módulo todos los factores de N.

La existencia de este algoritmo conduce al concepto de primos seguros , que son primos para los cuales p  − 1 es dos veces un primo de Sophie Germain q y, por lo tanto, mínimamente suaves. Estos primos a veces se interpretan como "seguros para fines criptográficos", pero podrían ser inseguros : en las recomendaciones actuales para primos criptográficos fuertes ( por ejemplo , ANSI X9.31), es necesario pero no suficiente que p  − 1 tenga al menos un factor primo grande. La mayoría de los primos suficientemente grandes son fuertes; si un primo usado para fines criptográficos resulta no ser fuerte, es mucho más probable que sea por malicia que por un accidente de generación de números aleatorios . Esta terminología se considera obsoleta por la industria de la criptografía: el método de factorización ECM es más eficiente que el algoritmo de Pollard y encuentra factores primos seguros con la misma rapidez que encuentra factores primos no seguros de tamaño similar, por lo tanto, el tamaño de p es el parámetro de seguridad clave, no la suavidad de p-1 . ^[1]

Conceptos básicos

Sea n un entero compuesto con factor primo p . Por el pequeño teorema de Fermat , sabemos que para todos los enteros a coprimos con p y para todos los enteros positivos K :

${\displaystyle a^{K(p-1)}\equiv 1{\pmod {p}}}$

Si un número x es congruente con 1 módulo un factor de n , entonces el mcd ( x − 1, n ) será divisible por ese factor.

La idea es hacer que el exponente sea un múltiplo grande de p  − 1 convirtiéndolo en un número con muchos factores primos; generalmente, tomamos el producto de todas las potencias primas menores que un límite B . Empezamos con una x aleatoria y la reemplazamos repetidamente por a medida que w recorre esas potencias primas. Verifica en cada etapa, o una vez al final si lo prefieres, si mcd( x − 1, n ) no es igual a 1. ${\displaystyle x^{w}{\bmod {n}}}$

Factores múltiples

Es posible que para todos los factores primos p de n , p  − 1 sea divisible por primos pequeños, en cuyo punto el algoritmo p  − 1 de Pollard simplemente devuelva n .

Algoritmo y tiempo de ejecución

El algoritmo básico se puede escribir de la siguiente manera:

Entradas : n : un número compuesto

Salida : un factor no trivial de n o falla

1. Seleccione un límite de suavidad B
2. definir (nota: puede que no sea necesario evaluar M explícitamente ) ${\displaystyle M=\prod _{{\text{primes}}~q\leq B}q^{\lfloor \log _{q}{B}\rfloor }}$
3. Escoger aleatoriamente un entero positivo, a , que sea coprimo con n (nota: en realidad podemos fijar a , p. ej., si n es impar, entonces siempre podemos seleccionar a = 2, la selección aleatoria aquí no es imperativa)
4. Calcular g = mcd( a ^M − 1, n ) (nota: la exponenciación se puede realizar módulo  n )
5. si 1 < g < n entonces devuelve g
6. Si g = 1 , seleccione una B mayor y vaya al paso 2 o devuelva el error.
7. Si g = n , seleccione una B más pequeña y vaya al paso 2 o devuelva el error.

Si g = 1 en el paso 6, esto indica que no hay factores primos p para los cuales p-1 sea B -potencialmente uniforme. Si g = n en el paso 7, esto generalmente indica que todos los factores fueron B- potencialmente uniformes, pero en casos raros podría indicar que a tenía un orden pequeño módulo  n . Además, cuando los factores primos máximos de p-1 para cada factor primo p de n son todos iguales en algunos casos raros, este algoritmo fallará.

El tiempo de ejecución de este algoritmo es O( B × log B × log ² n ) ; valores mayores de B hacen que se ejecute más lento, pero es más probable que produzcan un factor.

Ejemplo

Si queremos factorizar el número n = 299.

1. Seleccionamos B = 5.
2. Por lo tanto M = 2 ² × 3 ¹ × 5 ¹ .
3. Seleccionamos a = 2.
4. g = mcd( a ^M − 1, n ) = 13.
5. Como 1 < 13 < 299, devuelve 13.
6. 299 / 13 = 23 es primo, por lo tanto está completamente factorizado: 299 = 13 × 23.

Métodos de elecciónB

Dado que el algoritmo es incremental, puede seguir ejecutándose con el límite en constante aumento.

Supongamos que p  − 1, donde p es el factor primo más pequeño de n , se puede modelar como un número aleatorio de tamaño menor que  √ n . Por el teorema de Dixon , la probabilidad de que el factor más grande de dicho número sea menor que ( p  − 1) ^1/ε es aproximadamente ε ^{− ε} ; por lo que existe una probabilidad de aproximadamente 3 ⁻³  = 1/27 de que un valor B de n ^1/6 produzca una factorización.

En la práctica, el método de la curva elíptica es más rápido que el método p  − 1 de Pollard una vez que los factores son grandes; ejecutar el método p  − 1 hasta B  = 2 ³² encontrará una cuarta parte de todos los factores de 64 bits y 1/27 de todos los factores de 96 bits.

Variante de dos etapas

A veces se utiliza una variante del algoritmo básico; en lugar de exigir que p  − 1 tenga todos sus factores menores que B , exigimos que tenga todos menos uno de sus factores menores que algún B ₁ , y el factor restante menor que algún B ₂ ≫ B ₁ . Después de completar la primera etapa, que es la misma que el algoritmo básico, en lugar de calcular un nuevo

${\displaystyle M'=\prod _{{\text{primes }}q\leq B_{2}}q^{\lfloor \log _{q}B_{2}\rfloor }}$

Para B ₂ y comprobando mcd( a ^M' − 1, n ) , calculamos

${\displaystyle Q=\prod _{{\text{primes }}q\in (B_{1},B_{2}]}(H^{q}-1)}$

donde H = a ^M y comprobar si mcd( Q , n ) produce un factor no trivial de  n . Como antes, las exponenciaciones se pueden hacer módulo  n .

Sean { q ₁ , q ₂ , …} números primos sucesivos en el intervalo ( B ₁ , B ₂ ] y d _n  =  q _n  −  q _{n −1} la diferencia entre números primos consecutivos. Dado que normalmente B ₁ > 2 , d _n son números pares. La distribución de números primos es tal que los d _n serán todos relativamente pequeños. Se sugiere que d _n ≤ ln ² B ₂ . Por lo tanto, los valores de H ² , H ⁴ , H ⁶ , … (mod  n ) se pueden almacenar en una tabla, y H ^{q _n} se puede calcular a partir de H ^{q _{n −1}} ⋅ H ^{d _n} , ahorrando la necesidad de exponenciaciones.

Implementaciones

• El paquete GMP-ECM incluye una implementación eficiente del método p  − 1.
• Prime95 y MPrime , los clientes oficiales de Great Internet Mersenne Prime Search , utilizan una versión modificada del algoritmo p - 1 para eliminar candidatos potenciales.

Véase también

• Algoritmo p +1 de Williams

Referencias

1. ¿Qué son los números primos fuertes y son necesarios para el sistema RSA?, RSA Laboratories (2007)

• Pollard, JM (1974). "Teoremas de factorización y pruebas de primalidad". Actas de la Cambridge Philosophical Society . 76 (3): 521–528. Bibcode :1974PCPS...76..521P. doi :10.1017/S0305004100049252. S2CID  122817056.
• Montgomery, PL; Silverman, RD (1990). "Una extensión FFT al algoritmo de factorización P − 1". Matemáticas de la computación . 54 (190): 839–854. Bibcode :1990MaCom..54..839M. doi : 10.1090/S0025-5718-1990-1011444-3 .
• Samuel S. Wagstaff, Jr. (2013). El placer de factorizar. Providence, RI: American Mathematical Society. págs. 138-141. ISBN 978-1-4704-1048-3.