Kỹ thuật lập trình & Một số thuật toán trong ngôn ngữ lập trình C++

Luận văn : Kỹ thuật lập trình & Một số thuật toán trong ngôn ngữ lập trình C++

Lời nói đầu

Bài toán phân tích số nguyên ra thừa số nguyên tố đã đợc ra đời từ rất lâu

và đã có rất nhiều nhà toán học trên thế giới nghiên cứu và giải quyết vấn đề về

nó Ngoài ý nghĩa lý thuyết của bản thân bài toán thì ngời ta còn phát hiện ra rấtnhiều ý nghĩa thực tiễn đặc biệt là trong mật mã

Thứ nhất nó là cơ sở cho sự ra đời của một hệ mật khoá công khai nổitiếng ra đời trong năm 1978, đó là hệ mật RSA của Revert - Shamir - Adlemal

Hệ mật này mà độ mật của nó dựa vào tính khó của việc phân tích số N=pq (p, qnguyên tố ) ra thừa số

Tiếp đến trong những việc thiết kế nên các bộ tạo dãy giả ngẫu nhiên mộttrong những nguyên liệu của nó là các đa thức nguyên thuỷ mà để tạo đợc các đathức nguyên thuỷ bậc m thì điều đầu tiên phải giải quyết là phân tích hoàn toànvới 2m-1 ra thừa số nguyên tố

Để giải quyết vấn đề đợc đặt ra trong đồ án này, chúng tôi đa ra một số cơ

Một vấn đề không thể không nói trớc là những vấn đề đợc hiểu thấu đáo sẽ

đợc chúng tôi trình bày chi tiết ở mức độ thuật toán khả thi trong việc lập trình,còn một số kết quả cần đến những chuẩn bị toán học cao siêu thì chỉ đợc dẫn các

đánh giá tơng ứng về thời gian tính đủ rút ra các thông số cần thiết để xây dựngcác tiêu trí Chúng tôi nghĩ rằng chỉ có thể trình bày bản báo cáo này theo cách

nh vậy mới đảm bảo tính cân đối trong cấu trúc bởi vì để làm cho t ờng minh dùchỉ một trong những vấn đề đã né tránh trên chúng ta cũng phải cần đến hàng tậptài liệu dầy, đấy là cha kể đến việc chúng ta có đủ kiến thức cần thiết đến mức để

có thể trình bày nó cho mọi ngời rõ hay không

Chơng i Đặt vấn đề và ý nghĩa của bàI toán

Bài toán phân tích số nguyên ra thừa số nguyên tố đã đợc ra đời từ rất lâu

và đã cuốn hút nhiều bộ óc vĩ đại nhất trên thế giới để giải quyết vấn đề về nó.Ngoài ý nghĩa lý thuyết của bản thân bài toán thì ngời ta còn phát hiện ra rấtnhiều ý nghĩa thực tiễn đặc biệt là trong mật mã

Thứ nhất, nó là cơ sở cho sự ra đời của một hệ mật khoá công khai nổitiếng vào năm 1978, đó là hệ mật mã RSA ( RSA là từ viết tắt của ba ngời:Rivets – Shamir – Adleman ) Hệ mật này có nội dung đề cập đến việc phântích số nguyên tố ngẫu nhiên lớn (chẳng hạn có 80 chữ số) ra thừa số Một vấn

đề quan trọng là cần phải kiểm tra bao nhiêu số nguyên ngẫu nhiên (với kích

th-ớc xác định) cho tới khi tìm đợc một số nguyên tố Một kết quả nỗi tiếng trong

lý thuyết số (đợc gọi là định lý số nguyên tố) phát biểu rằng: số các số nguyên tốkhông lớn hơn N xấp xỉ bằng N/ln N Bởi vậy, nếu p đợc chọn ngẫu nhiên thì xácsuất p là một số nguyên tố sẽ vào khoảng 1/ln p Với một mođun 512 bít, ta có 1/

ln p  1/77 Điều này có nghĩa là tính trung bình, cứ 177 số nguyên ngẫu nhiên

p với kích thớc tơng ứng sẽ có một số là số nguyên tố Dĩ nhiên, nếu chỉ hạn chếxét các số nguyên lẻ thì xác suất sẽ tăng gấp đôi tới khoảng 2/177) Bỡi vậy trênthực tế, hoàn toàn có khả năng tạo đợc các nguyên tố đủ lớn và do đó về mặtthực thể ta có thể thiết lập đợc một hệ mật RSA

Tiếp đến trong những việc thiết kế nên các bộ tạo dãy giả ngẫu nhiên mộttrong những nguyên liệu của nó là các đa thức nguyên thuỷ mà để tạo đợc các đathức nguyên thuỷ bậc m thì điều đầu tiên phải giải quyết là phân tích hoàn toànvới 2m-1 ra thừa số nguyên tố Để kiểm tra tính nguyên thuỷ của chúng bằngcách dùng thuật toán xác suất Monte- Carlo thời gian đa thức, đây là thuật toánnhanh (tức là một số nguyên n đợc kiểm tra trong thời đa thức theo log2n, là sốcác bít trong biểu diện nhị phân của n) Tuy nhiên, vẫn có khả năng là thuật toáncho rằng n là số nguyên tố trong khi thực tế n là hợp số Bởi vậy, bằng cách thay

đổi thuật toán nhiều lần, có thể giảm xác suất sai số dới một mức ngỡng chophép

Bản đồ án không đi sâu vào các phân tích của những ý nghĩa nêu trên mà

đã đặt nhiệm vụ chính là giải quyết bài toán “phân tích số nguyên ra thừa sốnguyên tố nh là một việc làm trung gian của một ứng dụng thực tiễn cụ thể Đã

có một khối lợng khổng lồ các tài liệu về các thuật toán phân tích thừa số và việcnghiên cứu kỹ lỡng sẽ đòi hỏi phải có một cuốn sách dày trang hơn quyển sáchnày ở đây chỉ cố gắng đa ra một cái nhìn khái quát bao gồm việc thảo luận sơ l-

ợc về các thuật toán phân tích thừa số tốt nhất hiện thời và cách sử dụng chúngtrong thực tế Các thuật toán nổi tiếng khác (những thuật toán toán có trớc) baogồm thuật toán p+1 của Williams, phơng pháp  và thuật toán p-1 của Pollard,thuật toán liên phân số và dĩ nhiên cả những phép chia thử

Chơng iI Số Mersenne và việc phân tích

2.1 Số Mersenne

Nếu một số có dạng 2m-1 là một số nguyên tố thì m=q là một số nguyên

tố Không khó khăn lắm, có thể chứng minh đợc rằng nếu 2m-1 là luỹ thừa củamột số Prime Power thì nó phải là một số nguyên tố và do vậy m cũng là một sốnguyên tố

Các số có dạng Mq=2q-1 (với q là nguyên tố ) đợc gọi là các số Mersenne

và đã đợc nghiên cứu công phu

ở vào thời đại của Mersenne, ngời ta đã biết rằng một vài số Mersenne là

số chính phơng và một vài số khác là hợp số Ví dụ, M2=3, M3=7, M5=31,

M7=127 là nguyên tố, trong khi M11=23*89

Vào năm 1640 , Mersenne đã cho rằng Mq là số nguyên tố đối vớiq=13,17,19,31,67,127,257; ông đã nhầm đối với 67 và 257 và đã không đa 61,89

và 107(những số nhỏ hơn 257) vào danh sách trên Những số này cũng sinh racác số nguyên tố Mersenne Phát hiện của ông thực sự đáng kinh ngạc về mặt độlớn của các số

Một bài toán khá hiển nhiên là: Xét xem một số Mersenne có là số nguyên

tố không, và nếu không thì xác định các thừa số của nó ( hay còn gọi là bài toánphân tích ra thừa số) Một kết quả cổ điển do Euler đa ra năm 1750 và sau đó đ-

ợc Lagrange (1775) và Lucas (1875) chứng minh là:

Bài toán: Nếu q là một số nguyên tố đồng d modulo 4(q3(mod 4)) thì Mq chiahết cho 2q+1 khi và chỉ khi 2q+1 là nguyên tố; trong trờng hợp này, nếu q>3 thì

Mq là hợp số

Chứng minh: Cho n=2q+1 là một thừa số của M Vì 22#1 (mod n) nên 2q#1(mod n), và 22q-1=(2q+1)Mq0 (mod n), từ đó bằng phép thử của Lucas suy ra n

là một số nguyên tố

Ngợc lại, cho p=2q+1 là một số nguyên tố Vì p7(mod 8) nên (2/p)=1,

do vậy tồn tại m sao cho 2m2 (mod p) Điều này chứng tỏ rằng 2q2(p-1)/2m

p-11(mod p) Vì vậy Mq chia hết cho p

Hơn nữa, nếu q>3 thì Mq=2q-1>29+1=p, vì vậy Mq là hợp số Vì vậy nếuq=11, 23, 83, 131, 179, 191, 239, 251, thì Mq có các ớc tơng ứng là 23, 47, 167,

263, 350, 383, 479, 503 Cũng rất dễ để xác định hình dạng của các thừa số củacác số Mersenne:

"Nếu M q chia hết cho n thì n 1 (mod 8) và nmod 8) và n) và n1 (mod 8) và nmod q)"

Chứng minh: Chỉ cần chỉ ra rằng mọi thừa số nguyên tố p của Mq có dạng trên

là đủ

ThËt vËy, nÕu p lµ íc cña Mq=2q-1 th× 2q1 (mod q); V× vËy theo bµi to¸nnhá cña Fermat th× q lµ íc cña p-1, tøc lµ p-1=2kq (v× p#2) V× vËy:

1 2 2

NÕu n lÎ, n3 th× Mn=2n-17 (mod 12) §ång thêi, nÕu N7 (mod 12) th×

ký hiÖu Jacobi:

1 )

1 )(

3 ( )

2.2 PhÐp thö nguyªn tè cho c¸c sè Mersenne

Cho p=2,Q=-2 vµ xÐt c¸c d·y Lucas kÐp (Um)m0,(Vm)m0, cã biÖt gthøcD=12 N=Mn lµ mét sè nguyªn tè khi vµ chØ khi V(N-1)/2 chia hÕt cho N

Chøng minh: Cho N lµ mét sè nguyªn tè

V V

k V

2

2 2

2 2 2

2 2

2

2 2

2 2

1 1

  Theo phép thử này thì Mn là nguyên

tố khi và chỉ khi Mn là ớc của V(Mn+1).2=

1927 Lehmer chứng minh đợc M257 cũng là hợp số Chú ý rằng M127 có 39 chữ số

và là số nguyên tố lớn nhất đợc biết tới trớc kỷ nguyên của máy tính

Các số nguyên tố Mersenne với q<= 127 đợc tìm ra trớc khi có máy tính

điện tử Năm 1951, Turing đã lần đầu tiên thử dùng một máy tính để tìm các sốnguyên tố Mersenne nhng bị thất bại Năm 1952, Robinson đã tiến hành phépthử của Lucas trên một máy SWAC Ông đã tìm ra các số nguyên tố Mersenne :

M521, M607_những số đầu tiên tìm đợc bằng máy tính Các số nguyên tố

M1279,M2203,M2281 cũng đợc tìm ra trong cùng năm ấy Số nguyên tố Mersenne lớnnhất đã tìm đợc là M21609, nó có 65050 chữ số do Slowinski phát hiện năm 1985

Số nguyên tố Mersenne đợc tìm ra cuối cùng là M110503 do Colquitt và Welschphát hiện năm 1988 Năm 1989, Bateman, Selfridge và Wagstaff đã đa ra mộtphỏng đoán liên quan đến các số nguyên tố Mersenne:

Cho p là một số tự nhiên lẻ (không nhất thiết phải là nguyên tố) Nếu haitrong các điều kiện sau đây thoả mãn thì điều kiện thứ 3 cũng thoả mãn:

(3) Có phải mọi số Mersenne đều là không chính phơng không?

Kỷ lục: Có 31 số nguyên tố Mersenne đã đợc biết Dới đây là danh sách đầy đủ

của chúng cùng với tên ngời và năm tìm ra

235713

Anonymous*

P.A.CataldiP.A.CataldiL.EulerI.M.PervushinR.E.PowersE.FauquembergueE.Lucas

R.M.RobinsonR.M.RobinsonR.M.RobinsonR.M.RobinsonR.M.RobinsonH.Riesel

A.HurwitzA.HurwitzD.B.GilliesD.B.GilliesD.B.GilliesB.TuckermanL.C.Noll & L.NickelL.C Noll

H.Nelson & D SlowinskiD.Slowinski

W.N.Colquitt & L Welsch, Jr

D.SlowonskiD.Slowonski

“See Dickson’s History of the Theory of Numbers, Vol I.p.6

Chơng iII Một số thuật toán và phơng pháp phân

tích số 3.1 Thuật toán sàng Eratosthenes

Thuật toán phân tích số nguyên N đợc mô tả nh sau:

Thuật toán 3.1( sàng Eratosthenes )

Đây là thuật toán có tính phổ thông và mặc dù nh chúng ta đã biết là thuật

toán rất “tồi” vì thời gian tính của nó là O( N ) nhng nếu N có ớc nhỏ thì việc

áp dụng thuật toán này lại rất hiệu quả Hơn thế nữa, thuật toán này cũng có thểlấy điểm xuất phát của bớc (1) là p=[ N ] và tiến hành bớc (2) là p=p-1 thì rõràng nó cũng hiệu quả nếu ớc của N rất “gần” với

3.2 Thuật toán sàng đồng d

Thuật toán 3.2:

Lấy ngẫu nhiên hai số a và b ngẫu nhiên Z *

N Kiểm tra gcd(mod 8) và n(mod 8) và na-b) mod N, N) hoặc gcd(mod 8) và n(mod 8) và na+b) mod N, N)>1 là xác suất nh sau: Nếu đúng thì gcd(mod 8) và n(mod 8) và na-b) mod N, N) hoặc gcd(mod 8) và n(mod 8) và na+b) mod N, N)>1 là ớc của N Dừng chơng trình.

Ngợc lại quay về (mod 8) và n1)

Bây giờ chúng ta hãy tạm dừng để phân tích thuật toán dới góc độ xác suất

nh sau:

Cho p là ớc nguyên tố nhỏ nhất của N, thế thì “cần có tối thiểu bao nhiêu

cặp a, b đợc xét đến xác suất { có ít nhất một cặp a, b chia hết cho p} > 0.5”.

Bài toán trên còn đợc gọi là bài toán “ trùng ngày sinh ” và số m tối thiểu

cần tìm trong bài toán sẽ là mCp với C là một hằng số tính đợc nào đó ( việcgiải chi tiết bài toán trên có thể xem trong [Riesel]) Nh vậy chúng ta có thểthành công trong thuật toán với xác suất >0.5 sau không quá m bớc

Hiển nhiên bằng cách duyệt dần thì thời gian tính của thuật toán củachúng ta cũng chẳng khác gì thời gian tính của phép sàng Trong [Pollard], tác

giả J M Pollard đã sử dụng một phơng pháp còn đợc gọi là “phơng pháp p”

nhằm chỉ cần thông qua mbớc có thể duyệt đợc m cặp khác nhau nh đã nêutrong thuật toán Việc thể hiện phơng pháp này có thể mô tả nh sau:

Chọn dãy giả ngẫu nhiên {xi mod N:i=1,2, } đợc xác định nh sau

xi-1(xi2+a) mod N với a#0 và #-2 còn giá trị đầu x0 tuỳ ý

3.3 Thuật toán sàng bậc hai

Tử tởng chủ đạo của một loạt khá lớn các thuật toán phân tích số nh phơngpháp đặc biệt của Euler, phơng pháp phân tích các dạng chính phơng của DanienShanks, phơng pháp khai triển liên phân số của Morrison và Brillhart, phơng pháp sàng bậc hai của Pomerance là cố tìm đồng d thức x2=y2 mod N sao cho x#y mod N, còn kỹ thuật tìm cụ thể nh thế nào thì chính là nội dung riêng của từng thuật toán

Đối với thuật toán sàng bậc hai của Pomerance đợc thực hiện nh sau:

- Chọn k số nguyên tố đầu tiên và gọi là cơ sở phân tích

- Chọn B là một số nào đó gọi là ngỡng tìm các thặng d bậc hai nhỏ

- Tìm k+1 các thặng d bậc hai nhỏ hơn B và phân tích đợc hoàn toàn trong tập cơ

sở trong lớp các số dạng Q(x)((m+x)2-N mod N với k là số phần tử của cơ sở, m= N còn x=0, 1, 2,

- Xây dựng đồng d thức x2y2 mod N từ k+1 thặng d bậc hai tìm đợc trên

Cơ sở của thuật toán chủ yếu dựa vào thứ nhất là khả năng tìm đợc k+1thặng d bậc hai và tiếp đến là việc xây dựng đồng d thức x2y2 mod N nh thếnào

Trớc hết chúng ta cùng xem xét đến vấn đề thứ hai

Giả sử thặng d bậc hai thứ i tìm đợc ở trên là ri=xi2=q

1.q

2 qk

k( qj là sốnguyên tố thứ j của B), ta đặt tơng ứng với véc tơ viGF(2)2 nh sau vi=(mod 2,

2 mod 2, , k mod 2) Chý ý rằng có thể có nhiều giá trị ri khác nhau đợc ứngcùng với một véc tơ v nhng một cách hình thức ta có thể coi k+1 véc tơ khácnhau thu từ việc ứng k+1 giá trị r có đợc ở trên

Hiển nhiên trong không gian k chiều GF(2)k thì tập k+1 véc tơ vi

(i=1,2, k+1) chắn chắn phụ thuộc tuyến tính, giả sử ta có tổ hợp tuyến tính đặctrng cho sự phụ thuộc đó là:

a

x

Q theo định nghĩa sẽ là x2 mod N, mặt khác do điều kiện đặt ra ởtrên là Q(xi) phân tích đợc hoàn toàn trong tập cơ sở cùng với điều kiện

) (

a

x

Q chứa toàn các số mũ chẵn đối với

các thừa số trong cơ sở do vậy nó cũng là một thặng d bậc hai y2 nào đó Nếuxy mod N thì chúng ta sẽ thành công trong việc phân tích N với các thừa sốtơng ứng là gcd(xy, N) Ngời ta cũng chỉ ra rằng khả năng thành công xảy ra

Nếu p là ớc của Q(x) thì nó cũng là ớc của Q(x+rp) với mọi số nguyên r

Từ kết quả trên chúng ta thấy rằng nếu tồn tại giá trị x theo yêu cầu Q(x)phân tích hoàn toàn trong cơ sở và không quá B thì ta có thể tìm đợc nó chỉ cầntrong lân cận B của 0

Ngoài ra một số kết quả (xem [Riesel]) khác cũng không kém phần quan trọng

Nếu p3 mod 4 thì giá trị xmN(p+1)/4 mod p là các giá trị <p thoả mãn

p là ớc của Q(x) Nếu p1 mod 4 thì việc tìm các giá trị x tơng tự có thể bằngmột thuật toán gần đa thức

Nếu x<p thoả mãn p là ớc của Q(x) và p+1 không là ớc của Q(x) thì giá trịy<p+1 có p+1 là ớc của Q(y) có thể tìm đợc là y=x+rp với r là nghiệm của ph-

ơng trình đồng d bậc nhất sau (  )2   2 (xm)r 0

P

N m x

ph-ơng trình trên luôn luôn có duy nhất nghiệm)

Với hai kết quả trên rõ ràng chúng ta luôn tìm đợc toàn bộ giá trị x trongmột phạm vi B cho trớc nào đó mà với chúng Q(x) có ớc lẻ trong tập cơ sở phântích Trờng hợp p=2 việc thu đợc kết quả na ná nh trên có phức tạp hơn, chúngtôi không đủ tài liệu để mô tả tờng minh việc dò tìm đó ở đây

Tóm lại quá trình tìm các thặng d bậc hai nhỏ có thể mô tả nh sau:

- Chọn một ngỡng B nào đó và sàng để tìm các giá trị x nhỏ nhất < B mà vớichúng p là ớc của Q(x).

ở mức độ thể hiện một mô tả bớc tìm kiếm này sẽ đợc thông qua một quá trình

“sàng” theo cơ sở của những kết quả nêu trên nhằm loại bỏ các giá trị không thể

là ứng cử viên cho các thặng d bậc hai nhỏ Một số tài liệu (xem [Dixon],[Lenstra], ) đã phân tích về thời gian tính của thuật toán và số liệu khả quannhất về vấn đề này của Lenstra là:

)

1

) ln ln ))(ln

O  với O(1) là một hàm tiến tới 0 khi N tiến tới 

3.4 Thuật toán Dixon và sàng bậc hai

Thuật toán Dixon đợc xây dựng trên ý tởng đó là: nếu tìm đợc x  y(mod n) sao cho x2y2 (mod n) thì UCLN(x-y,n) là ớc không tầm thờng của n

Phơng pháp này sử dụng cơ sở nhân tử là một tập b chứa các số nguyên tố

bé Trớc tiên ta nhận đợc một vài số nguyên x sao cho tất cả các thừa số nguyêntốcủa x2 (mod n) nằm trong cơ sở b (cách thực hiện điều này sẽ đợc thảo luậnsau) ý tởng thực hiên ở đây là lấy tích của một vài giá trĩ sao cho mỗi số nguyên

tố trong cơ sở đợc sử dụng một số chẵn lần Điều này dẫn đến một đồng d thứcdạng mong muốn x2  y2 (mod n) mà ta hy vọng sẽ đa đến việc phân tích n

Ta sẽ minh hoạ bằng một ví dụ đã đợc dự tính kỹ lỡng

(8340934156  20449429442773700011)2 (2 3 7 13)2 (mod n)

Rút gọn các biểu thức bên trong các dấu ngặc theo modulo n, ta có:

95034357852  5462 (mod n)Sau đó tính:

UCLN(9503435785-546, 15770708441)=115759

Ta thấy 115759 là một thừa số của n

Giả sử B = {p1, pB}là một cơ sở nhân tử Giả sử c lớn hơn B một chút(chẳng hạn C=B+10) và giả sử ta đã có C đồng d thức:

xj2  p1 1j  p2 2j   pB Bj(mod n)

với 1 j  C Với mỗi j xét véctor :

aj = (1j mod 2, 2j mod 2, , Bj mod 2)  (Z2)B

Nếu có thể tìm đợc một tập con các aj sao cho tổng theo modulo 2 là vector(0, ., 0) thì tích của các xj tơng ứng sẽ sử dụng mỗi nhân tử trong B một sốchẵn lần

Ta sẽ minh hoạ bằng cách trở lại ví dụ trên Trong trờng hợp này nếu C < B, vẫn tìm đợc sự phụ thuộc tuyến tính

đồng d thức cho trớc bất kỳ sẽ tạo đợc phân tích n Khoảng 50% thuật toán cho

ra x  y (mod n) Tuy nhiên nếu C > B+1 thì có thể nhận đợc một vài đồng dthức nh vậy (Nảy sinh từ các phụ thuộc tuyến tính khác của các aj) Hy vọng là

ít nhất một trong các đồng d thức kết quả sẽ dẫn đến việc phân tích n

Vấn đề còn lại là phải làm thế nào để nhận đợc các số nguyên xj mà cácgiá trị xj2 mod n có thể phân tích hoàn toàn trên cơ sở b Một vài phơng pháp cóthể thực hiện đợc điều đó Biện pháp sàng

bậc hai do Pomerance đa ra dùng các số nguyên dạng xj=j +

,j=1,2 Tên “sàng bậc hai” lấy từ thủ tục sàng (không mô tả ở đây) dùng đểxác định các xj phân tích đợc trên b

ở đây dĩ nhiên là một sự thoả hiệp: nếu B =  B  là một số lớn thì thích hợphơn cả là nên phân tích số nguyên xj trên b Tuy nhiên khi B càng lớn thì ta càngphải gom nhiều đồng d thức hơn trớc khi có thể tìm đợc một quan hệ phụ thuộc

3.5 Phơng pháp p-1: Thuật toán Pollard thứ nhất

Thuật toán kiểu p-1 là thuật toán phân tích số nguyên N dựa vào phân tíchcủa p-1 với p là một ớc nguyên tố của N Thuật toán còn đợc gọi là thuật toánphân tích thứ nhất của Pollard, đây là một thuật toán có tác dụng nếu ta biết đợccác ớc nguyên tố của một thừa số p của N nói chung và đặc biệt nếu N có mộtthừa số nguyên tố p mà p-1 chỉ gồm những ớc nguyên tố nhỏ thì thuật toán đợctrình bày trong phần này sẽ có hiệu quả

ý tởng của thuật toán là tìm một cách ngẫu nhiên số aZ* có bậc không

là ớc của p-1 Số a nếu tìm đợc hiển nhiên phải thoả mãn bap-1 mod N#1, điềunày có ý nghĩa N không là ớc của b-1 Mặt khác do p nguyên tố nên theo định lýFermat ta có b mod p(ap-1 mod N) mod p=1 nh vậy b-1 0 mod p và do đó cóngay p | gcd(b-1,N) Hai điều kéo theo p=gcd(b-1,N)

Một số vấn đề cha tờng minh trong việc thực hiện nói trên là:

Do p là số cha biết nên dấu hiệu nhận biết giá trị a cần tìm là ap-1 mod N#1 cũng

cha xác định Tất nhiên ở đây điều kiện nhận biết có thể đợc làm “nhẹ” bớt đó là

ta có thể thay số p-1 cha biết bằng số Q giả định có thể là chọn trớc và tính baQ

mod N, nếu N>gcd(b-1, N)>0 thì việc chọn của chúng ta đã thành công và cóp=gcd(b-1, N) Hiển nhiên việc giả định Q chỉ có nghĩa khi và chỉ khi p-1 là ớc

của Q, trong trờng hợp p-1 chỉ có các ớc nguyên tố nhỏ tức là p-1=q q N k

N q k

log log

1 1

Tất nhiên các số mũ trong khai triển của Q là quá d thừa do đó các lựa chọn

 n

tiếp theo của chúng ta sẽ là cố giảm các số mũ này đến mức thấp nhất có thể,cách làm cụ thể cho việc này sẽ đợc mô tả cụ thể trong thuật toán.

Vấn đề kế tiếp là việc tìm kiếm có khả thi hay không, nói một cách khác

chúng ta phải trả lời câu hỏi “ liệu có tồn tại hay không số a có bậc không là ớc

của p-1?” Trớc hết chúng ta giới hạn phạm vi số N cần đợc phân tích là N=pq

với p và q là các số nguyên tố khác nhau, khi này bậc cao nhất của các phần tửtrong Z*

N sẽ là (N)=1cm(p-1, 1) Do p khác q nên chắc chắn hoặc p-1 hoặc

q-1 là ớc thực sự của (N) và câu hỏi đã đợc trả lời “có” Đến đây mức độ “khó

hay dễ” của việc tìm đợc số a sẽ liên quan đến mật độ này nh sau: Mật độ nói

trên sẽ nghịch biến với gcd(p-1,q-1) Nh vậy nếu gcd(p-1,q-1) nhỏ thì việc tìm ra

a sẽ thuận lợi, ngợc lại trong trờng hợp khó khăn hơn (gcd(p-1,q-1) lớn) thì trongphần 2.3 sau này chúng tôi sẽ chỉ ra một phơng pháp phân tích hiệu quả hơn

Các bớc của thuật toán Pollard (dùng để phân tích N có ớc p với p-1 chỉgồm các ớc nguyên tố trong k số nguyên tố đầu tiên)

(1) Q=q q N k

N q k

log log

1 1 , i=1,j=0

(2) Lấy a ngẫu nhiên trong Z*

N, tính baQ mod N

(3) Xét đẳng thức b=1

Nếu đúng chuyển sang (4)

Ngợc lại chuyển sang (6)

(4) Xét j<logqiN

Nếu đúng thì j=i+1, Q=Q|qi, quay về (3)

Ngợc lại: chuyển sang (5)

Chú ý: Thuật toán của Pollard mà chúng tôi trình bày ở trên giống bất cứ thuật

toán trình bày trong các tài liệu khác nh của [Riesel], [Stinson] tuy nhiên một

số chi tiết nh giá trị xuất phát Q ở các thuật toán khác đều lấy là Q=q1! qk!, tiếp

đến là mỗi giá trị a chỉ đợc xét đúng một lần với giá trị baQ mod N, thậm chítrong [Stinson] chỉ luông xét với a=2

Thứ nhất ta có thể kiểm chứng đợc rằng nếu p-1 chỉ có các ớc trong k sốnguyên tố đầu tiên thì cha chắc p-1 đã là ớc của Q= q1! qk! trong khi đó giá trịQ=q q N k

N

q

k

log log

1 1 mà chúng tôi lựa chọn chắc chắn đáp ứng đợc yêu cầu này.Chính yếu tố cha đáp ứng mà các thuật toán khác sẽ gặp phải gcd(b-1, N)=1ngay cả khi b-1#0 đúng hơn là ngay cả khi a là phần tử có bậc không là ớc của p-

1 trong khi của thuật toán của chúng tôi với trờng hợp này chắc chắn sẽ thànhcông

Tiếp đến trong thuật toán của chúng tôi, mỗi khi xét một giá trị a chúngtôi vét toàn bộ khả năng về bậc của nó Giá trị b#1 tìm đợc trong (2) đảm bảobậc của a không là ớc của p-1, mỗi giá trị b#1 tìm đợc trong các phần sau đóthành công ở (6) cũng đảm bảo một kết luận tơng tự Giá trị Q cuối cùng trongtrờng hợp không thành công của thuật toán chính là bậc của a và khi này Q|p-1

3.6 Phơng pháp : Thuật toán Pollard thứ hai

Bớc tiến đáng kể nhất trong các thuật toán hiệu quả trong việc tìm các ớcnhỏ là thuật toán dựa vào phơng pháp còn đợc gọi  là thuật toán Pollard thứ hai.Thời gian tính của thuật toán này chỉ còn là O ( p ) với p là ớc nguyên tố nhỏnhất của N Nh vậy trong trờng hợp tồi nhất (p N ) thì thời gian tính cũng chỉ

là 3 N

ý tởng phơng pháp p của Pollard rất đơn giản nh sau: Tìm hai phần tử a và

b đồng d modulo p ( ab mod p) nhng không đồng d modulo N Khi này p sẽ

là ớc của gcd(N,(ab ) mod N)

Thuật toán 2.3 (Thuật toán Pollard thứ hai)

(x2i-1+xi-1)(x2i-2+xi-2) (xi+x0)(xi+x0)

Nh vậy tại bớc thứ i chúng ta đã xét đến i+1 cặp khác nhau và cũng dễdàng nhận ra rằng các cặp đợc xét trong mọi bớc là không giống nhau do đó hiển

nhiên với p bớc chúng ta đã có p cặp khác nhau đợc xét đến và nh đã phân tích

ở trên, thuật toán sẽ thành công với xác xuất >0.5.Nói một cách khác thuật toáncủa Pollard đợc thực hiện trong ( p ) bớc

- Các ớc phải có kích thớc xấp xỉ nhau

- Các ớc không đợc xấp xỉ nhau về giá trị

Yêu cầu thứ nhất là đơng nhiên tuy vậy định lợng cho tiêu chuẩn “lớn” ở đây cha đợc đặt ra.Yêu cầu thứ hai chính là bài toán phân tích về lớp “khó nhất” của

chúng, còn yêu cầu cuối cùng đợc coi là mội ví dụ chi việc tránh các trờng hợpcá biệt Điều kiện 2.4 đã loại bỏ tất cả các module không an toàn trớc tấn côngbởi các thuật toán đã nêu trong mục này

3.7 Phơng pháp p1: Thuật toán Williams.

Để tiện tiếp thu phơng pháp p1 trớc hết chúng tôi xin điểm lại một sốkết quả chính yếu nhất liên quan đến dãy Lucas ( các định nghĩa liên quan và cácchứng minh của các kết quả đợc đa ra có thể tìm đọc trong [Riesel], [Kranakis]hay một sách giáo khoa số học bất kỳ)

Định nghĩa 2.5 (Dãy Lucas)

Cho a, b là hai nghiệm của phơng trình x2-Px+Q=0 (*)

Kí hiệu Um=

b a

Tính chất 3.6 Nếu i là ớc của j thì Ui là ớc của Uj

Tính chất 3.7 (Công thức tính các phần tử của dãy Lucas).

Ta có U0=0, U1=1, V0=2, V1=P và m>1 thì Um và Vm đợc tính theo côngthức sau:

0

1 1 1

V U Q

Định lý 3.8 { Um} là dãy Lucas của phơng trình (*) với P2-4Q=d2 có  không

có ớc chính phơng (hay còn gọi là bình phơng tự do)

Thuật toán 3.9 (Thuật toán p1 của Williams).

(1) Q= N q qk N

k

log log

2 2 , i=1, j=0

(2) Lấy  không có ớc chính phơng ngẫu nhiên trong Z*

N , tìm R, S nguyên sao cho R2-4S=d2 với d#0 nào đó Xét gcd(Q.N)>1

Nếu đúng ta có ớc của N là gcd(Q.N) Dừng chơng trình

Ngợc lại tính bUQ mod N (phần tử thứ Q trong dãy Lucas của phơng trình x2Rx+S=0)

-(3) Xét đẳng thức b=0

Nếu đúng chuyển sang (4)

Ngợc lại chuyển sang (6)

(4) Xét j<logqiN

Nếu đúng j=j+1, j=0, nếu b#1 thì Q=Q.qi Quay về (3)

Ngợc lại: chuyển sang (5)

Trớc hết ta thấy rằng các bớc và việc làm trong mỗi bớc của thuật toan gần

nh giống hệt với thuật toán của Pollard nhằm để vét hết các khả năng p+1 (trong

trờng hợp  P =-1) và p-1 (trong trờng hợp  P  =1) là ớc của Q Việc xét

đẳng thức b=0 trong mỗi bớc, nếu sai nhằm đảm bảo cho ta b không là bội của N

và nếu p+1 hoặc p-1 là ớc của Q thì theo các kết quả 2.7 và 2.9 cho ta b là bộicủa p và nh vậy gcd(b, N) là ớc thực sự của N.

Thuật toán trên rõ ràng có hiệu quả trong cả hai trờng hợp p+1 hoặc p-1chỉ gồm các ớc nguyên tố nhỏ, tuy nhiên căn cứ vào công thức tính các giá trịcủa dãy Lucas ta thấy ngay rằng hệ số nhân của thuật toán này là lớn hơn nhiều

so với thuật toán của Pollard trong trờng hợp cùng phân tích đợc N với ớc p của

nó có p-1 chỉ gồm những ớc nhỏ boỉ vì thay cho việc tính một luỹ thừa thông ờng thì thuật toán của Lucas phải tính một luỹ thừa của một ma trận

xi F(xi-1,xi-2, ,xi-s) (mod m)với các giá trị đã cho đối với x1, x2, ,xs Sau đó xs+1, xs+2, có thể đợc tính lần lợttheo công thức đã cho Tuy nhiên, vì tất cả các xk, đợc cho theo modulo m, nênmỗi xk chỉ có thể nhận một trong m giá trị khác nhau (0,1, ,m-1) và vì vậy chỉ

có nhiều nhất là ms dãy phân biệt xi-1,xi-2, ,xi-s của s số xk liên tiếp Nh vậy saucùng lắm là ms+1 bớc đệ qui, hai dãy giống hệt nhau gồm s số liên tiếp phải xuấthiện Chúng ta gọi hai dãy này là xi-1,xi-2, ,xi-s, và xj-1, xj-2, ,xk-s, nên rõ ràng là,nếu các dãy của các giá trị này trùng khớp nhau đối với hai giá trị khác nhau của

k, thì các giá trị xi và xj, đợc tính từ các giá trị đằng trớc theo cùng một cách sẽgiống nhau

Vì vậy, chúng ta có hai dẫy mới gồm s giá trị:

xi, xi-1, ,xi-s+1 và xj, xj-1, , xj-s+1 với tính chất là xi=xj, xi-1=xj-1, ,xi-s+1 Từ đây dẫn

đến kết quả là xi+1 đồng nhất với xj+1 và cứ thế tiếp tục

Nhng điều này có nghĩa là dẫn {xi} là tuần hoàn lặp lại có thể chỉ trừ ra một phần khi bắt đầu dãy Phần này đợc gọi là không có chu kỳ

Chúng ta xét một ví dụ để cho dễ hiểu: Dẫy Finabocci (mod 11) Dãy này

đợc định nghĩa nh sau:

xi xi-1+xi-2(mod 11) với x1x21.

Chúng ta nhận đợc liên tiếp các phần tử sau đây của dẫy:

1, 1, 2, 3, 5, 8, 2, 10, 1, 0, 1, 1, 2, 3, (mod 11)

Sau 10 phần tử dẫy này lặp lại Đây là dẫy tuần hoàn ngay từ bắt đầu.Bây giờ sang bớc 2 của thuật toán : tìm chu kỳ Để xác định nó trong trờnghợp tổng quát, ta cần phải tìm ra vị trí mà tại đó một dẫy các phần tử liên tiếp bắt

đầu lặp lại nếu chu kỳ dài Đây là một việc cực khó và rất tốn công sức Tuynhiên, trong trờng hợp đơn giản nhất khi mà xi đợc định nghĩa chỉ qua xi-1 vàkhông qua bất kỳ một xk nào khác thì dẫy này đợc lặp lại theo chu kỳ ngay khimột phần tử xj bất kỳ bằng một phần tử trớc nó Vì vậy, trờng hợp này chỉ yêucầu một phép so từng giá trị xj mới với các xk đứng trớc để tìm ra chu kỳ Tuyvậy, nếu chu kỳ rất dài (một vài triệu phần tử ) thì rất khó có thể ghi lại tất cả cácphần tử và so sánh chúng từng cặp Thay vào đó, ta có thể sử dụng kỹ thuật sau:

Giả sử dẫy tuần hoàn {xi} (mod m) với phần không tuần hoàn có độ dài a

và một chu kỳ có độ dài l Thế thì, chu kỳ này cuối cùng sẽ đợc phát hiện rabằng phép thử: x2ixi(mod m)?

Chứng minh: Trớc hết, nếu x2ixi(mod m) thì dẫy này rõ ràng là tuần hoàn từ

x2i trở đi, thậm chí có thể còn trớc nữa Ngợc lại, đối với một dẫy tuần hoàn bất

kỳ với độ dài chu kỳ l, xjxi (mod m) đối với j=i+k |, k=1,2,3, và mọi i>a (tức

là đối với tất cả các phần tử sau phần không tuần hoàn) rút cuộc sẽ có một i với

x2ixi (mod m) Giá trị đầu tiên nh vậy của i là i=(l+1)[a/l] Nếu a>b, thì cáchtìm này sẽ phát hiện ra chu kỳ chỉ sau một vài chu kỳ đầy đủ đã bỏ qua, nh ngcuối cùng thế nào cũng tìm đợc chu kỳ của dẫy

Bây giờ làm thế nào để có thể so sánh x2i với các xi mà không cần phải lugiữ tất cả các xi? Đơn giản ta chỉ cần tính lại các xi song song với các x2i Giả sử

xi+1=f(xi) Thuật toán tìm chu kỳ có thể mô tả bằng đoạn mã chơng trình sau:

chung lớn nhất d của x2i-xi (mod N) và N Thờng thì d sẽ quay về 1, nhng ngaykhi x2ixi (mod P) thì d sẽ chia hết cho p.

Bây giờ, chúng ta sẽ bàn đến một thuật toán tìm thừa số hiệu quả dựa vàocác ý tởng trên dãy sẽ có dạng nh thế nào Thứ nhất, dẫy {xi} nên là một dẫy thật

dễ tính toán ( bởi vì phải tính nó hai lần) Thứ hai, độ dài chu kỳ nên ngắn thôi.Thứ ba, việc sử dụng thuật toán Euclid cần đợc tổ chức một cách hữu hiệu saocho thời gian tính toán không quá nhiều trong phép tìm ớc chung lớn nhất (N,

x2i-xi) (mod N)=1

Pollard đã phát hiện ra trong một dẫy {xi} các số nguyên ngẫu nhiên (modP) một phần tử thờng hay lặp lại chỉ sau C P bớc Điều này cũng dễ hiểu nếuchúng ta xem xét lời giải của bài toán Ngày sinh:

Cần phải chọn bao nhiêu ngời một cách ngẫu nhiên để cho xác suất có ítnhất hai ngời trong số đó trùng ngày sinh lớn hơn 1/2 ?

Lời giải: Xác suất để q ngời không có cùng ngày sinh là

) 365

1 9 1 ) (

365

3 1 )(

365

2 1 )(

365

1 1

Biểu thức này nhỏ hơn <0.5 khi q23

Tổng quát hoá: q phải bằng bao nhiêu để cho ít nhất hai số nguyên đợc chọn

ngẫu nhiên trong q số sẽ là đồng d (mod p) với xác suất >1/2

Điều này sẽ xảy ra nếu

2

1 ) 1 1

) (

3 1 )(

2 1 )(

p p

Vế trái đợc ớc lợng bằng:

e q q p

q p

q 1 ( 1 ) / 2

) 2 1

) 1 (

Tuy nhiên, lại xảy ra một vấn đề là sự lựa chọn này không sinh ra đợc các

số nguyên đủ ngắn nhiên để cho một chu kỳ ngắn chỉ gồm C P bớc đối với dẫy{xi} Một cách lựa chọn đơn giản nữa là sử dụng một biểu thức bậc 2:

xi+1=x2

i+a (mod p)

Về mặt trực giác thì có thể phép chọn này đáp ứng đợc các tính chất cầnthiết (ít ra là khi a không bằng 0 cũng không bằng –2) nhng nó cũng cha đợcchứng minh đầy đủ.

Chúng ta sẽ thực hiện việc tìm p bằng thuật toán Euclid trên x2i-xi (mod N)

và N trong mỗi chu trình nh thế nào? Một lần nữa, ta lại sử dụng các mẹo nh đãlàm trong phơng pháp (p-1) : Tích luỹ tích

3.9 Mô tả đại số của phơng pháp  của Pollard

Có những lý luận đại số khá đơn giản để chỉ ra tại soa một thừa số p của N

đợc tìm thấy sau O( p ) chu trình trong p của Pollard Lý luận này nh sau:

yi=x2i-xi=x2

2i-1+a(x2

i-1+a)=x2

2i-1-x2 i-1

=( x2i-1+ xi-1)=( x2i-1+ xi-1)( x2i-2+ x2i-2)( x2i-2- xi-2)

=( x2i-1+ xi-1)( x2i-1+ xi-2) ( xi+ x0)( xi- x0)

Vì vậy, thừa số yi tham gia trong tích Qi dùng để tính (Qi, N) chứa ít nhấti+1 thừa số đại số Một thừa số điển hình xk-xi chứa bao nhiêu thừa số nguyên tốkhác nhau p? Ngời ta cho rằng số các thừa số nguyên tố G của một số N làvào khoảng lnlnG nếu N đủ lớn Các số xk tăng cực kỳ nhanh, số chữ số của nótăng gấp đôi kể từ một chỉ số k nào đó tới chỉ số tiếp theo do phép bình phơng

xk+1=x2 +a

Bây giờ xk sẽ tăng theo cấp số nhân của x2k

0, và sẽ vợt qua ranh giới đợcgọi là đủ lớn rất nhanh.Vì thế chúng ta thấy rằng số lợng các thừa số nguyên tố

G của yi (tích của i+1 số của lớn) sẽ xấp xỉ (i+1) lnlnG Chạy thuật toán p củaPollard n chu trình, chúng ta tích luỹ trong Qn các số nguyên tố của tất cả thừa số

y1,y2, ,yn và cộng tất cả lại, hy vọng sẽ gồm:

G n

i

1

2 ln ln 5

0 ) 1

các thừa số nguyên tố G Chúng ta phải tiếp tục nh thế nào nữa để có thể đảmbảo rằng tất cả các số nguyên tố nhỏ hơn một thừa số p nào đó của N đợc tích lại

trong Qn? Dới p có  (p) p/ lnp số nguyên tố, và do đó n buộc phải lớn vàokhoảng

2 / 1

) ln ln

ln

(

*

p p

p

C

n  , trong đó C là một hằng số Vì vậy độ phức tạpj của phép

tìm một thừa số p bằng phơng pháp của Pollard lớn hơn C p một chút Trựcgiác có thể cho thấy rằng phơng pháp p của Pollard là C p và do vậy có thể kếtluận rằng thừa số C mà ta đa ra trong thực tế không hẳn là hừng số mà nó thay

đổi rất chậm cùng với p

Mô hình đại số của phơng pháp p Pollard có gì đó hơi thô, nhng tuy nhiên chúng

ta vẫn có thể sử dụng để nghiên cứu cải tiến phơng pháp này và cũng sử dungj đểbàn về một vấn đề rất quan trọng : Tốc độ của một thuật toán phân tích thừa số

3.10 Một chơng trình cho phơng pháp  của Pollard:

Sau đây là một chơng trình đợc viết bằng Pascal thể hiện những gì mà chúng ta

đã trình bày ở trên:

Program Pollard;

Label 1,2;

Var a, x1,x,y,Q,i,p,N: Integer;

Function Euclid(a,b: Integer): Integer;

1: Write(‘Input a<>0, 2 and x1 ‘); Read(a);

If a=0 Then goto 2;

Vì chi phí phải bỏ ra để có đợc một thừa số p là tơng đơng với p nên chỉ

sử dụng thuật toán Pollard trên các số mà đã đợc biết là hợp số

Ví dụ: Hãy phân tích ra thừa số 91643 với xi+1=xi-1-1, x0=3

x1=8 x2=63 y1=63-8=55 (55,N)=1;

x3=3968 x474070 y3x4-y274004 (74004,N)=1

x565061 x635191 y3=x6-x331225 (31225, N)

x783746 x845368 y4x8-x462941 (62441,N)=113 => N=113.811

Chơng VI Xây dựng phần mềm phân tích

các số dạng 2n-1

4.1.Sơ đồ xuất phát

Q0 ngỡng phân tích

Nhận xét: nếu N có các ớc p mà p-1 phân tích hoàn toàn trong Q thì gcd(a-1,

N)>1 với a=aQ! mod N

( ớc p của N, đều có ớc nguyên tố lớn của p-1 thì Q rất lớn, và ta có thể lấyQ N )

Q=2 a=Random(N)

d=gcd(a-1, N)>1 aaQ mod N

- Trong trờng hợp mọi ớc nguyên tố p của N ta đều có p-1 có ớc > Q0 thìkhông tìm đợc ớc của N Khi này ta nói N không phân tích đợc bằng thuậttoán Pollard với ngỡng Q0.

Biểu diễn q phần một số nguyên N

Định nghĩa: Cho q>0 khi đó N  duy nhất bộ n0, n1, ,nk, với 0ni<q, sao cho

(1) đợc gọi là biểu diễn q phân của số N

Nhận xét: Nh vậy, muốn biểu diễn N ta chỉ cần biết bộ (n0, n1, ,nk) Nếu q làmột số nhỏ thì việc tìm ra các ni tơng đối dễ dàng ở đây chúng ta chọnq=216(=65536)

3.2.2.Phép cộng số lớn

Cho 2 số lớn X và Y:

X=(x0, x1, , xn)

Y=(y0, y1, , yn)

Z=X+Y=( (x0+y0) mod q , (x1+y1+nho0) mod q, ,(xn+yn+nhon-1) mod q )

trong đó nhoi=(xi+yi+nhoi-1)/q

Dới đây là hàm dùng để cộng hai số lớn

void cong_SL(SL x, SL y)

{int i,nho=0,d=do_dai_SL(x),c=do_dai_SL(y);

if (c>d) d=c;

Cho các số lớn X và Y Tích Z của hai số này đợc định nghĩa nh sau:

0 k

j k j i i k

k

z Y

* X

for (i=0;i<=d;i++) {j=i;

for (k=0;k<=i;k++)

{r=(LONG) x[k]; r*=y[j ];

t1+=cao(r);

nho+=thap(r);

}

KEP[i]=(WORD) nho; nho>>=16;

nho+=t1;

t1=0;

}

for (i=d+1;i<C;i++) {j=i;

for (k=0;k<=d;k++)

{r=(LONG) x[k]; r*=y[j ];

t1+=cao(r);

nho+=thap(r);

}

KEP[i]=(WORD) nho; nho>>=16;

nho+=t1;

t1=0;

}

for (i=C;i<=d+C-1;i++) {j=i-C+1;

int s=C-1;

for (k=j;k<=d;k++)

{r=(LONG) x[k]; r*=y[s ];

t1+=cao(r);

nho+=thap(r);

NÕu x div y=q th×

X div Y=q hoÆc q-1

§Þnh lý lµ c¬ së gióp ta ®o¸n nhanh th¬ng cña 2 sè lín X/Y víi ®iÒu kiÖn X<qY

for (i=0; i<=r; i++)

{if (bi) lt=lt*A;