WikiDer > Целочисленная факторизация - Википедия
Нерешенная проблема в информатике: Может ли целочисленная факторизация быть решена за полиномиальное время на классическом компьютере? (больше нерешенных проблем в информатике) |
В теория чисел, целочисленная факторизация является разложением составное число в произведение меньших целых чисел. Если эти факторы далее ограничены простые числа, процесс называется простые множители.
Когда числа достаточно большие, неэффективные, неквантовый целое число факторизация алгоритм известен. В 2019 году Фабрис Будо, Пьерк Годри, Аврора Гильевич, Надя Хенингер, Эммануэль Томе и Поль Циммерманн факторизовали 240-значное число (RSA-240) с использованием вычислительной мощности на 900 ядер в год.[1] Исследователи подсчитали, что 1024-битный модуль RSA займет примерно в 500 раз больше времени.[2] Однако не было доказано, что не существует эффективного алгоритма. Предполагаемая сложность этой проблемы лежит в основе широко используемых алгоритмов в криптография Такие как ЮАР. Многие области математика и Информатика были привлечены к решению этой проблемы, в том числе эллиптические кривые, алгебраическая теория чисел, и квантовые вычисления.
Не все числа заданной длины одинаково сложно разложить на множители. Самыми сложными примерами этих проблем (для известных в настоящее время методов) являются: полупростые, произведение двух простых чисел. Когда они оба большие, например более двух тысяч биты длинные, случайно выбранные и примерно одинакового размера (но не слишком близко, например, чтобы избежать эффективной факторизации по Метод факторизации Ферма), даже самые быстрые алгоритмы разложения на простые множители на самых быстрых компьютерах могут занять достаточно времени, чтобы сделать поиск непрактичным; то есть, по мере того как количество разрядов разложенных простых чисел увеличивается, количество операций, необходимых для выполнения факторизации на любом компьютере, резко возрастает.
Многие криптографические протоколы основаны на сложности факторизации больших составных целых чисел или связанной проблеме, например, Проблема RSA. Алгоритм, который эффективно учитывает произвольное целое число, будет отображать ЮАР-основан открытый ключ криптография небезопасна.
Разложение на простые числа
Посредством основная теорема арифметики, каждое положительное целое число имеет уникальный простые множители. (По соглашению 1 - это пустой продукт.) Тестирование является ли целое число простым, можно сделать в полиномиальное время, например, Тест на простоту AKS. Однако, если они составные, тесты на полиномиальное время не дают понимания того, как получить коэффициенты.
Учитывая общий алгоритм целочисленной факторизации, любое целое число может быть разложено на его составляющую. главные факторы повторным применением этого алгоритма. Ситуация усложняется со специальными алгоритмами факторизации, преимущества которых могут не быть реализованы также или даже не реализованы с факторами, полученными во время разложения. Например, если п = 171 × п × q куда п < q очень большие простые числа, судебное отделение быстро произведет множители 3 и 19, но потребует п деления, чтобы найти следующий фактор. В качестве противоположного примера, если п является произведением простых чисел 13729, 1372933 и 18848997161, где 13729 × 1372933 = 18848997157, Метод факторизации Ферма начнется с а = ⌈√п⌉ = 18848997159 что сразу дает б = √а2 − п = √4 = 2 и, следовательно, факторы а − б = 18848997157 и а + б = 18848997161. Хотя они легко распознаются как составные и простые соответственно, метод Ферма потребует гораздо больше времени, чтобы разложить составное число на множители, поскольку начальное значение ⌈√18848997157⌉ = 137292 за а далеко не 1372933.
Текущее состояние дел
Среди б-битовые числа, на практике с использованием существующих алгоритмов труднее всего учитывать те, которые являются произведением двух простых чисел одинакового размера. По этой причине эти целые числа используются в криптографических приложениях. Самая крупная такая полупростая сумма, которая учитывалась на данный момент РСА-250, 829-битное число с 250 десятичными цифрами, в феврале 2020 года. Общее время вычислений составило примерно 2700 основных лет вычислений с использованием Intel Xeon Gold 6130 на частоте 2,1 ГГц. Как и все недавние записи факторизации, эта факторизация была завершена высокооптимизированной реализацией общее числовое поле сито работают на сотнях машин.
Сложность и сложность
Нет алгоритм был опубликован, что может множить все целые числа в полиномиальное время, то есть это может б-битовое число п во время О(бk) для некоторой постоянной k. Ни существование, ни отсутствие таких алгоритмов не было доказано, но обычно предполагается, что их не существует и, следовательно, проблема не в классе P.[3][4] Проблема явно в классе NP, но обычно есть подозрения, что это не так. НП-полный, хотя это не было доказано.[5]
Есть опубликованные алгоритмы, которые быстрее, чем O ((1 +ε)б) для всех положительных ε, то есть, субэкспоненциальный. Опубликованный алгоритм с наилучшим асимптотическим временем работы[когда?] - решето общего числового поля (GNFS), работающий на б-битовое число п во время:[требуется разъяснение]
Для современных компьютеров GNFS - лучший опубликованный алгоритм для больших п (более примерно 400 бит). Для квантовый компьютер, тем не мение, Петр Шор открыл алгоритм в 1994 году, который решает его за полиномиальное время. Это будет иметь серьезные последствия для криптографии, если квантовые вычисления станут масштабируемыми. Алгоритм Шора берет только O (б3) время и O (б) пространство на б-битные числовые входы. В 2001 году алгоритм Шора был впервые реализован с использованием ЯМР методы на молекулах, которые обеспечивают 7 кубитов.[6]
Точно неизвестно, какой классы сложности содержать версия решения задачи целочисленной факторизации (то есть п иметь коэффициент меньше, чем k?). Известно, что в обоих НП и со-НП, что означает, что ответы «да» и «нет» можно проверить за полиномиальное время. Ответ «да» можно подтвердить, выставив факторизацию. п = d(п/d) с d ≤ м. Ответ «нет» может быть подтвержден показом факторизации п на отдельные простые числа, все больше, чем м; можно проверить их примитивность с помощью Тест на простоту AKS, а затем умножить их, чтобы получить п. В основная теорема арифметики гарантирует, что будет принята только одна возможная строка увеличивающихся простых чисел, что показывает, что проблема в обоих ВВЕРХ и совместная работа.[7] Известно, что он находится в BQP из-за алгоритма Шора.
Предполагается, что проблема находится за пределами всех трех классов сложности P, NP-полной и совместно NP-полный. Таким образом, он является кандидатом на НП-средний класс сложности. Если бы можно было доказать, что он является либо NP-полным, либо co-NP-полным, это означало бы NP = co-NP, очень неожиданный результат, и поэтому многие подозревают, что целочисленная факторизация находится вне обоих этих классов. Многие люди пытались найти для него классические алгоритмы с полиномиальным временем, но потерпели неудачу, поэтому многие подозревают, что он находится за пределами P.
Напротив, проблема решения " п составное число? »(или эквивалентно:« Является ли п простое число? ") оказывается намного проще, чем задача определения множителей п. Задача составного / простого числа может быть решена за полиномиальное время (в количестве б цифр п) с Тест на простоту AKS. Кроме того, есть несколько вероятностные алгоритмы это может очень быстро проверить простоту на практике, если кто-то готов допустить исчезающе малую вероятность ошибки. Легкость проверка на простоту является важной частью ЮАР алгоритм, так как для начала необходимо найти большие простые числа.
Алгоритмы факторинга
Спец. Назначение
Время работы специального алгоритма факторинга зависит от свойств числа, подлежащего факторизации, или от одного из его неизвестных факторов: размера, особой формы и т. Д. Параметры, определяющие время работы, различаются в зависимости от алгоритма.
Важным подклассом специализированных алгоритмов факторинга является Категория 1 или же Первая категория алгоритмы, время работы которых зависит от размера наименьшего простого множителя. Учитывая целое число неизвестной формы, эти методы обычно применяются перед методами общего назначения для удаления небольших факторов.[8] Например, наивный судебное отделение является алгоритмом Категории 1.
- Пробный отдел
- Факторизация колес
- Алгоритм ро Полларда
- Алгоритмы факторизации алгебраических групп, среди которых Полларда п - 1 алгоритм, Уильямса п + 1 алгоритм, и Факторизация эллиптической кривой Ленстры
- Метод факторизации Ферма
- Метод факторизации Эйлера
- Специальное числовое сито
Общее назначение
Алгоритм факторинга общего назначения, также известный как Категория 2, Вторая категория, или же Крайчик семья алгоритм,[8] имеет время выполнения, которое зависит исключительно от размера факторизуемого целого числа. Это тип алгоритма, который используется для факторизации Номера RSA. Большинство алгоритмов факторинга общего назначения основаны на соответствие квадратов метод.
- Алгоритм Диксона
- Факторизация непрерывной дроби (CFRAC)
- Квадратное сито
- Рациональное сито
- Общее числовое поле сито
- Факторизация квадратных форм Шанкса (СКФОФ)
Другие известные алгоритмы
- Алгоритм Шора, для квантовых компьютеров
Эвристическое время выполнения
В теории чисел существует множество алгоритмов целочисленного разложения, которые эвристически ожидали Продолжительность
в маленький-о и L-обозначение. Некоторыми примерами таких алгоритмов являются метод эллиптической кривой и квадратное ситоЕще один такой алгоритм - метод групповых отношений классов предложенный Шнорром,[9] Сейсен,[10] и Ленстра,[11] что они доказали, только предполагая недоказанные Обобщенная гипотеза Римана (GRH).
Жесткое время работы
Вероятностный алгоритм Шнорра – Зейсена – Ленстры был строго доказан Ленстра и Померанс.[12] иметь ожидаемое время работы путем замены предположения GRH использованием множителей. алгоритм использует классная группа положительной двоичной квадратичные формы из дискриминант Δ обозначается граммΔ.граммΔ - множество троек целых чисел (а, б, c), в котором эти целые числа являются относительными простыми числами.
Алгоритм Шнорра – Сейсена – Ленстры
Учитывая целое число п что будет учтено, где п является нечетным положительным целым числом, большим определенной константы. В этом алгоритме факторизации дискриминант Δ выбирается как кратное п, Δ = -дн, куда d - некоторый положительный множитель. Алгоритм ожидает, что для одного d там достаточно гладкий формы в граммΔ. Ленстра и Померанс показывают, что выбор d может быть ограничен небольшим набором, чтобы гарантировать гладкость результата.
Обозначим через пΔ набор всех простых чисел q с Символ Кронекера . Построив набор генераторы из граммΔ и простые формы жq из граммΔ с q в пΔ последовательность отношений между набором образующих и жq производятся. q может быть ограничено для некоторой постоянной .
Отношение, которое будет использоваться, представляет собой отношение между произведением степеней, равным нейтральный элемент из граммΔ. Эти отношения будут использоваться для построения так называемой неоднозначной формы граммΔ, который является элементом граммΔ порядка деления 2. Вычислив соответствующую факторизацию Δ и взяв gcd, эта неоднозначная форма обеспечивает полную факторизацию на простые множители п. Этот алгоритм состоит из следующих основных этапов:
Позволять п быть факторизованным числом.
- Пусть Δ - целое отрицательное число с Δ = -дн, куда d - множитель, а Δ - отрицательный дискриминант некоторой квадратичной формы.
- Возьми т первые простые числа , для некоторых .
- Позволять быть случайной простой формой граммΔ с .
- Найдите генераторную установку Икс из граммΔ
- Соберите последовательность отношений между множеством Икс и {жq : q ∈ пΔ} удовлетворение:
- Построить неоднозначную форму это элемент ж ∈ граммΔ порядка деления 2, чтобы получить взаимно простую факторизацию наибольшего нечетного делителя числа Δ, в котором
- Если неоднозначная форма обеспечивает факторизацию п затем остановитесь, иначе найдите другую неоднозначную форму, пока не разложите п находится. Чтобы предотвратить создание бесполезных неоднозначных форм, создайте 2-силовский группа Sll2(Δ) из грамм(Δ).
Чтобы получить алгоритм факторизации любого положительного целого числа, необходимо добавить к этому алгоритму несколько шагов, таких как пробное деление и Тест суммы Якоби.
Ожидаемое время работы
Алгоритм, как указано, является вероятностный алгоритм поскольку он делает случайный выбор. Ожидаемое время работы не более .[12]
Смотрите также
- Алгоритм Баха для генерации случайных чисел с их факторизацией
- Каноническое представление положительного целого числа
- Факторизация
- Мультипликативный раздел
- Разделение (теория чисел) - способ записи числа как суммы положительных целых чисел.
Примечания
- ^ https://lists.gforge.inria.fr/pipermail/cado-nfs-discuss/2019-De December/001139.html
- ^ Кляйнджунг; и другие. (2010-02-18). «Факторизация 768-битного модуля RSA» (PDF). Международная ассоциация криптологических исследований. Получено 2010-08-09. Цитировать журнал требует
| журнал =
(помощь) - ^ Кранц, Стивен Г. (2011), Доказательство в пудинге: меняющаяся природа математического доказательства, Нью-Йорк: Springer, стр. 203, Дои:10.1007/978-0-387-48744-1, ISBN 978-0-387-48908-7, МИСТЕР 2789493
- ^ Арора, Санджив; Варак, Вооз (2009), Вычислительная сложность, Кембридж: Издательство Кембриджского университета, стр. 230, Дои:10.1017 / CBO9780511804090, ISBN 978-0-521-42426-4, МИСТЕР 2500087
- ^ Гольдрайх, Одед; Вигдерсон, Ави (2008), «IV.20 Вычислительная сложность», в Гауэрс, Тимоти; Барроу-Грин, июнь; Лидер, Имре (ред.), Принстонский компаньон математики, Принстон, Нью-Джерси: Princeton University Press, стр. 575–604, ISBN 978-0-691-11880-2, МИСТЕР 2467561. См. В частности п. 583.
- ^ Vandersypen, Ливен М. К .; и другие. (2001). «Экспериментальная реализация алгоритма квантового факторизации Шора с использованием ядерного магнитного резонанса». Природа. 414 (6866): 883–887. arXiv:Quant-ph / 0112176. Bibcode:2001Натура.414..883В. Дои:10.1038 / 414883a. PMID 11780055. S2CID 4400832.
- ^ Лэнс Фортноу (13 сентября 2002). «Блог о вычислительной сложности: класс недели по сложности: факторинг».
- ^ а б Давид Брессуд и Стандартный вагон (2000). Курс вычислительной теории чисел. Key College Publishing / Springer. стр.168–69. ISBN 978-1-930190-10-8.
- ^ Шнорр, Клаус П. (1982). «Уточненный анализ и улучшения некоторых алгоритмов факторинга». Журнал алгоритмов. 3 (2): 101–127. Дои:10.1016/0196-6774(82)90012-8. МИСТЕР 0657269.
- ^ Сейсен, Мартин (1987). «Вероятностный алгоритм факторизации с квадратичными формами отрицательного дискриминанта». Математика вычислений. 48 (178): 757–780. Дои:10.1090 / S0025-5718-1987-0878705-X. МИСТЕР 0878705.
- ^ Ленстра, Арьен К. (1988). «Быстрая и строгая факторизация по обобщенной гипотезе Римана». Indagationes Mathematicae. 50 (4): 443–454. Дои:10.1016 / S1385-7258 (88) 80022-2.
- ^ а б Lenstra, H.W .; Померанс, Карл (июль 1992 г.). «Строгие временные рамки факторинга целых чисел» (PDF). Журнал Американского математического общества. 5 (3): 483–516. Дои:10.1090 / S0894-0347-1992-1137100-0. МИСТЕР 1137100.
Рекомендации
- Ричард Крэндалл и Карл Померанс (2001). Простые числа: вычислительная перспектива. Springer. ISBN 0-387-94777-9. Глава 5: Алгоритмы экспоненциального факторинга, стр. 191–226. Глава 6: Алгоритмы субэкспоненциального факторинга, стр. 227–284. Раздел 7.4: Метод эллиптических кривых, стр. 301–313.
- Дональд Кнут. Искусство программирования, Том 2: Получисловые алгоритмы, Третье издание. Аддисон-Уэсли, 1997. ISBN 0-201-89684-2. Раздел 4.5.4: Факторинг на простые числа, стр. 379–417.
- Сэмюэл С. Вагстафф-мл. (2013). Радость факторинга. Провиденс, Род-Айленд: Американское математическое общество. ISBN 978-1-4704-1048-3..
- Уоррен-младший, Генри С. (2013). Хакерское наслаждение (2-е изд.). Эддисон Уэсли - Pearson Education, Inc. ISBN 978-0-321-84268-8.
внешняя ссылка
- решето - SIQS и NFS - помогли завершить некоторые из крупнейших известных публичных факторизаций
- Ричард П. Брент, "Недавний прогресс и перспективы алгоритмов целочисленной факторизации", Вычислительная техника и комбинаторика », 2000, стр. 3–22. скачать
- Маниндра Агравал, Нирадж Каял, Нитин Саксена, "ПРИМЕРЫ находится в П." Анналы математики 160 (2): 781-793 (2004). Версия от августа 2005 г. PDF
- Эрик В. Вайсштейн, «RSA-640 Factored» Заголовок новостей MathWorld, 8 ноября 2005 г.