נפה ריבועית

שיטת הנפה הריבועית היא שיטה מהירה לפירוק לגורמים של מספר שלם, המתאימה בעיקר למספרים בני 40-100 ספרות עשרוניות (שיטת רו של פולארד עדיפה לפירוק מספרים קטנים יותר, בעוד שבמספרים ארוכים יותר נפת שדה המספרים היא השיטה היעילה ביותר).

שיטת הנפה הריבועית, שהייתה השיטה הראשונה בעלת סיבוכיות תת-אקספוננציאלית לבעיית הפירוק לגורמים, פותחה על ידי קארל פומרנץ בשנת 1981. פומרנץ הרחיב, למעשה, רעיונות קודמים של קרייטצניק (Kraitchnik) וג'ון ד' דיקסון. זו הייתה השיטה המהירה ביותר (באופן אסימפטוטי), עד להמצאתה של נפת שדה המספרים, ב-1993.

עקרונות הנפה הריבועית

בדומה לשיטות פירוק אחרות של מספרים שלמים הנקראות "ריבוע אקראי" (Random square), גם שיטת הנפה הריבועית מנסה לאתר זוג שלמים אקראיים, $\ x$ ו- $\ y$ , כך ש- $x^{2}\equiv y^{2}\left({\mbox{mod }}n\right)$ אבל $\ x\neq \pm y$ (מודולו $\ n$ ). זוג כזה מאפשר לפרק את $\ n$ , משום ש- $\ n|x^{2}-y^{2}=(x-y)(x+y)$ אולם אינו מחלק של $\ (x-y)$ או $\ (x+y)$ . על כן בסבירות גבוהה המחלק המשותף המקסימלי $\ {\mbox{GCD}}\left(x-y,n\right)$ (שאותו אפשר למצוא ביעילות באמצעות אלגוריתם אוקלידס) יהיה גורם אמיתי של $\ n$ .

בקווים כלליים, הנפה הריבועית מבוססת על ייצור מספרים שיש להם הצגה ידועה כמספר ריבועי מחד, והצגת מספרים השקולים למכפלות של מספרים כאלה מודולו n כריבועים בעזרת פירוק חלקי לגורמים, מאידך.

נגדיר $Q\left(x\right)=\left(x+\left\lfloor {\sqrt {n}}\right\rfloor \right)^{2}-n={\overset {\sim }{x}}^{2}-n$ , ונחשב את $Q\left(x_{1}\right),Q\left(x_{2}\right),Q\left(x_{3}\right),...,Q\left(x_{k}\right)$ (בסעיפים הבאים יוסבר כיצד למצוא x_i מתאימים).

מתוך קבוצת ה-(Q(x אנחנו מחפשים תת-קבוצה של מספרים, שמכפלתם היא ריבוע ידוע: $Q\left(x_{i_{1}}\right)\cdot Q\left(x_{i_{2}}\right)\cdot Q\left(x_{i_{3}}\right)\cdot ...\cdot Q\left(x_{i_{r}}\right)=y^{2}$ . ברגע שמטרה זו הושגה, מתקיים ${\overset {\sim }{x}}^{2}\left(mod\ n\right)\equiv Q\left(x\right)$ , ולכן גם $Q\left(x_{i_{1}}\right)\cdot Q\left(x_{i_{2}}\right)\cdot Q\left(x_{i_{3}}\right)\cdot \ldots \cdot Q\left(x_{i_{r}}\right)\equiv \left({\overset {\sim }{x_{i_{1}}}}\cdot {\overset {\sim }{x_{i_{2}}}}\cdot {\overset {\sim }{x_{i_{3}}}}\cdot \ldots \cdot {\overset {\sim }{x_{i_{r}}}}\right)^{2}\left(mod\ n\right)$ ; כך מצאנו x ו-y מתאימים לדרישות. אם המספר n הוא מכפלה של שני מספרים ראשוניים גדולים, אז מתקיים בהסתברות ½ $x\equiv \pm y\left(mod\ n\right)$ , ואז תוצאת ה-GCD תהיה n או 1; במקרה כזה יש להמשיך את תהליך הייצור, ולמצוא זוג אחר של מספרים כמתואר לעיל.

תיאור האלגוריתם

קלט: מספר פריק $\ n$

פלט: אחד הגורמים הראשוניים של $\ n$

בחירת גורמי בסיס
בוחרים בסיס גורמים (Factor base) אותו מסמנים $\ S={p_{1},p_{2},...,p_{t}}$ , כאשר $\ p_{1}=-1$ ויתר האלמנטים הם המספרים הראשוניים $\ p_{i}$ החל מ- $\ 2$ ועד לגבול מסוים, כאשר בוחרים רק את הראשוניים $\ p_{i}$ אשר $\ n$ הוא שארית ריבועית מודולו $\ p_{i}$ , כלומר שלהם סימן לז'נדר $\ \left({\frac {n}{p}}\right)=1$ . הגבול העליון $\ B$ נקרא גבול חלקות (Smoothness bound) ולמעשה מכתיב את גודל בסיס הגורמים. הערך $\ t$ מייצג את מספר הגורמים הראשוניים בבסיס, מספר זה ישפיע ישירות על כמות הווקטורים הדרושים לפירוק $\ n$ ועל גודלם.
הכנת מאגר זוגות שלמים $\ a_{i},b_{i}$
מכינים $\ t+1$ זוגות שלמים $\ a_{i},b_{i}$ , כדלהלן: מחשבים את השורש השלם של $\ n$ אותו מסמנים ב- $\ m$ . מכינים את הפולינום $\ q(x)=(x+m)^{2}-n$ , מחשבים את $\ b_{i}=q(x)$ ובודקים אם $\ b_{i}$ הוא מספר חלק ביחס ל- $\ B$ (כלומר שכל גורמיו הראשוניים נמצאים בבסיס הגורמים). אם $\ b_{i}$ אינו מספר חלק ביחס ל- $\ B$ , בוחרים $\ x$ אחר (את ערכי $\ x$ בוחרים לפי הסדר הזה: $\ 0,-1,+1,-2,+2,...$ ). אם $\ b_{i}$ הוא אכן מספר חלק כלומר ניתן לייצגו כמכפלה של גורמי בסיס: $\ b_{i}=\prod _{j=1}^{t}p_{j}^{e_{ij}}$ , אזי מגדירים את $\ a_{i}=(x+m)$ , זוג הערכים $\ (a_{i},b_{i})$ נוסף למאגר.
הערה: ניתן לבדוק חלקות באמצעות חלוקה נסיונית (פשוט על ידי חלוקה בכל גורמי הבסיס), אולם שלב זה הוא הקריטי והארוך ביותר באלגוריתם ועל כן יעילותו מתבטאת בעיקר באופן בו מיושמת בדיקת החלקות. באופן מעשי מקובל להשתמש בתהליך הניפוי (sieving) המתואר להלן.
מציאת מספר ריבועי.
כיוון שהגורמים של כל $\ b_{i}$ ידועים, קל למצוא תת-קבוצה של $\ b_{i}$ אשר מכפלתה היא מספר ריבועי. כיוון שצריך רק מספרים שהחזקה של כל גורם $\ p_{i}$ שלהם זוגית. ניתן לפשט זאת על ידי הכנת וקטור בינארי של המעריכים מודולו $\ 2$ כלומר $\ (v_{i1},v_{i2},...,v_{it})$ כאשר $\ v_{ij}=e_{ij}{\mbox{ mod }}2$ . כיוון שבהכרח בוקטור זה תמצא תלות לינארית כלשהי, משתמשים באלגברה לינארית כדי למצוא תת-קבוצה $\ T$ של וקטורים שסכומה הוא וקטור האפס $\ \sum _{i\in T}v_{i}=0$ . משנמצאה תת-קבוצה כזו, מכפילים את המספרים החלקים $\ b_{i}$ המתאימים (שהמציין $\ i$ שלהם ב- $\ T$ ), כלומר מחשבים את $\ x=\prod _{i\in T}a_{i}{\mbox{ mod }}n$ . בהכרח מתקיים ש- $\ \prod _{i\in T}b_{i}$ הוא מספר ריבועי. כמו כן ניתן לראות שגם מכפלת ריבועיהם של כל $\ a_{i}$ המתאימים יהיה מספר ריבועי. כלומר $\ \prod _{i\in T}a_{i}^{2}{\mbox{ mod }}n$ נותן מספר ריבועי.
חישוב x ו-y
מחשבים את השורשים הריבועיים של התוצאה האמורה, את האחד מוצאים על ידי חישוב שורש ריבועי של התוצאה האמורה ואת השני על ידי הכפלת מספרי $\ a_{i}$ המתאימים. מציבים ב- $\ x$ את $\ \prod _{i\in T}a_{i}$ וב- $\ y$ את השורש הריבועי של $\ \prod _{i\in T}b_{i}$ . מספרים אילו עונים על הדרישה האמורה, קרי ריבועיהם שקולים מודולו $\ n$ . בדרך כלל קיימות מספר תלויות לינאריות כך שבסבירות גבוהה אחת מהן תניב $\ x$ ו- $\ y$ כאלו שאינם שקולים עצמם מודולו $\ n$ .
מציאת גורם ראשוני
מחשבים את המחלק המשותף המרבי (gcd) של ההפרש של $\ x-y$ עם $\ n$ . התוצאה תהיה גורם ראשוני של $\ n$ , אשר עשוי להיות גם גורם טריויאלי כמו $\ n$ עצמו או 1. במקרה כזה, מנסים שוב עם תלות לינארית אחרת של המספרים החלקים.

הגדרת בסיס הגורמים וטווח הניפוי

שיטת הנפה דורשת דרך יעילה למצוא x_i כך שהמכפלה $\prod Q(x_{i})$ תתן מספר ריבועי. כדי שזה יתקיים צריך שכל גורם ראשוני המחלק את המכפלה יחלק אותה מספר זוגי של פעמים. לשם כך צריך לפרק לגורמים ראשוניים כל אחד מן המספרים $Q\left(x_{i}\right)$ המרכיבים את המכפלה.

כדי לפשט את הבדיקה אנחנו מעוניינים ש- $Q\left(x_{i}\right)$ יהיו קטנים ככל האפשר, ויתחלקו בראשוניים מתוך קבוצת ראשוניים ידועה לנו – לקבוצה זו נקרא "בסיס הגורמים" ונסמן אותה ב-B. גודלה של הקבוצה B משפיע על ביצועי האלגוריתם, ולכל ווריאנט של הניפוי הריבועי יש לחשב את ה-B האופטימלי לפי גודלו של n.

לצורך הצגת האלגוריתם, נסמן $\ B=\{p_{1},\dots ,p_{k}\}$ , המספרים הראשוניים הקטנים, לפי סדרם. כדי ש-(Q(x יהיה קטן אנחנו צריכים לבחור x קטן, ואז $\ Q(x)\sim 2{\sqrt {n}}x$ . נבחר איפה את טווח הניפוי [‏M‏,‏1‏].

שיפורים אפשריים

א. אם נוסיף לבסיס הגורמים גם את 1-, אז מספרים הקרובים ל-n מלמטה גם הם מספרים קטנים יחסית, וניתן לבחור x שלילי ועדיין לקבל מספרים שקל יחסית לעבוד איתם. כך הכפלנו את טווח הניפוי ל- [M,M-].

ב. את בסיס הגורמים אפשר להקטין על ידי "בדיקת היתכנות": אם $p|Q\left(x\right)$ , אז $(x+{\sqrt {n}})^{2}=Q(x)+n\equiv n{\pmod {p}}$ , ולכן צריך להכניס לבסיס הגורמים רק מספרים ראשוניים המקיימים, עבור x מתוך טווח הניפוי, את התנאי $(x+{\sqrt {n}})^{2}\equiv n{\pmod {p}}$ . זוהי בדיקה שאפשר להשלים בסיבוכיות נמוכה, לפי משפט ההיפוך הריבועי של גאוס, שמאפשר לחשב את סימן לז'נדר בזמן לוגריתמי (בדומה לחישוב המחלק המשותף המקסימלי באלגוריתם אוקלידס).

הניפוי - Sieving

הגדרה: המספר X הוא חלק מעל הקבוצה B, אם כל הגורמים הראשוניים של X נמצאים ב- B

בשלב הניפוי אנחנו מחפשים $Q(x)$ שיכולים להיות חלק מקבוצה המרכיבה מכפלה שהיא מספר ריבועי. לשם כך אנחנו צריכים לעבור על x מתוך טווח הניפוי, לחשב את $Q(x)$ ולבדוק האם $Q(x)$ חלק מעל B. עבור כל אחד מהמספרים שמתקבלים, אנו צריכים לבדוק אם הוא חלק על ידי מעבר וחלוקה בבסיס הגורמים. פעולה סדרתית כזו אינה מעשית מבחינת זמן ביצוע. לכן נעבוד על בסיס הגורמים במקביל.

לכל p בבסיס הגורמים אם $p|Q(x)$ אז גם $p|Q(x+p)$ .
ובכיוון ההפוך, אם $x\equiv y{\pmod {p}}$ אז גם $Q(x)\equiv Q(y){\pmod {n}}$ .

לכל p נפתור: $Q(x)=s^{2}\equiv 0{\pmod {p}},\ x\in \mathbb {Z} _{p}$
את המשוואה הזאת ניתן לפתור על ידי האלגוריתם של Shanks-Tonelli.
פתרון המשוואה הריבועית יתן לנו שני שורשים, נסמן אותם ב- $S_{1}p$ ו- $S_{2}p=p-S_{1}p$ . מכאן אנו רואים ש- $Q(x_{i})$ עבור $x_{i}$ מתוך טווח החיפוש מתחלק ב-p כאשר $x_{i}=S_{1}p,S_{2}p+pk$ עבור k שלם.

כעת בתהליך שמזכיר מאד את מכונת השרשראות של להמר, אנחנו מתקדמים ולכל x אנחנו בודקים באלו ראשוניים מבסיס הגורמים $Q(x)$ מתחלק. כדי לבצע את החיפוש הזה על כל טווח הניפוי כדאי לחלק את העבודה למספר מחשבים במקביל – וכל מחשב יקבל חלק מטווח הניפוי. אנחנו בודקים האם $Q(x)$ הוא חלק, אם לא – זורקים אותו ועוברים ל-x הבא, ואם כן שומרים אותו בתוך מטריצה שתוגדר בהמשך.

שיפורים אפשריים

פעולת חילוק היא פעולה מורכבת. לכן במקום לעשות חישוב מדויק, כדי לבדוק במהירות את ה”חלקות” של $Q(x)$ נבצע הערכה באמצעות מספר הביטים של הגורמים ש- $Q(x)$ מתחלק בהם, וכך במהירות גבוהה נקבל תוצאות וודאיות במרבית המקרים, ובאלו שיש לגביהם ספק – פשוט זורקים ועוברים הלאה, לא חסרים לנו מספרים לבדוק.

שלב המטריצה

בשלב זה אנחנו מחזיקים קבוצה $Q$ של מספרים גדולים $Q(x_{i})$ – ואנו צריכים למצוא קבוצה חלקית ל- $Q$ כך שמכפלת האיברים של הקבוצה החלקית תתן מספר ריבועי. לשם כך נגדיר ווקטור של חזקות שמייצג מספרים חלקים מעל בסיס הראשוניים שלנו $B$ .

עבור m מספר חלק מעל B: $m=\prod _{i=1}^{k}p_{i}^{v_{i}}\Rightarrow v(m)=(v_{1},v_{2},...,v_{k})$

אנו צריכים למצוא קבוצת וקטורים המייצגים מספרים מתוך $Q$ כך שמכפלת המספרים תהיה מספר ריבועי. לשם כך אנחנו צריכים למצוא קבוצת וקטורי חזקות שסכומם יתן וקטור שכל איבריו זוגיים.

נבנה מטריצה V של וקטורי חזקות, המייצגים $Q(x)$ חלקים מעל B. ועכשיו אנו צריכים למצוא וקטור בינארי e שהכפלתו במטריצה תתן וקטור שכל איבריו זוגיים.
על ידי החילוץ הגאוסיאני (gaussian elimination) ניתן לפתור את המטריצה, ולקבל וקטור e מתאים.

שיפורים אפשריים

כדי לעשות זאת קל יותר לחישוב נמיר את המטריצה V למטריצה בינארית V₂. ואז וקטור e≠0 שמקיים e·V₂=0 יהווה פתרון גם עבור המטריצה V.
חשוב לציין שוקטורים מודולו 2 אינם ייצוג חד חד ערכי של וקטורי חזקות – אולם החסכון בזמן חישוב ובגודל הזיכרון – אפילו שהוא לינארי בלבד – משתלם למרות הצורך בהחזקת מיפוי בין הווקטור הבינארי למספר המקורי שהוא מייצג.

דוגמאות לייצוג וקטורי מעל בסיס B

$B=\left\{2,3,5,7,11,13,17\right\}\Rightarrow p_{k}=17$

${\begin{matrix}3,651,921&=&2^{0}\cdot 3^{2}\cdot 5^{0}\cdot 7^{4}\cdot 11^{0}\cdot 13^{2}\cdot 17^{0}&=&v(0,2,0,4,0,2,0)&\equiv &v(0,0,0,0,0,0,0)(mod2)\\11,662&=&2^{1}\cdot 3^{0}\cdot 5^{0}\cdot 7^{3}\cdot 11^{0}\cdot 13^{0}\cdot 17^{1}&=&v(1,0,0,3,0,0,1)&\equiv &v(1,0,0,1,0,0,1)(mod2)\\1,071&=&\cdot 2^{0}\cdot 3^{2}\cdot 5^{0}\cdot 7^{1}\cdot 11^{0}\cdot 13^{0}\cdot 17^{1}&=&v(0,2,0,1,0,0,1)&\equiv &v(0,0,0,1,0,0,1)(mod2)\end{matrix}}$

סיבוכיות

סיבוכיות הנפה הריבועית תלויה בגודל הבסיס B. בסיס ראשוניים הכולל את כל הראשוניים עד n יביא לכך שכל (Q(x הוא חלק מעל B, וכך תהיה הסיבוכיות למציאת (Q(x מתאים (O(1 בלבד. אולם, גודלה של המטריצה במקרה כזה (כ- (n/log(n ) אינו מאפשר לנו ליהנות מהיעילות של השלב הראשון. מצד שני, בסיס ראשוניים קטן מאד (למשל הראשוניים עד 1000) ייצר לנו מטריצה קטנה ונוחה לפתרון, ועל כך נשלם בסיכוי זעיר למצוא (Q(x חלק מעל B.

נסמן ב- (φ(X,B את מספר המספרים החלקים מעל B בטווח [‏X‏,‏1‏]. הסיכוי שמספר אקראי בתחום [‏X‏,‏1‏] יהיה חלק מעל B הוא φ(X,B)/X, ולכן כדי למצוא מספר אחד מתאים אנחנו צריכים לעבור על (X/φ(X,B מספרים אקראיים. חשוב להדגיש שהמספרים (Q(x אינם אקראיים במובן הפורמלי, אבל כל הניתוחים ההיוריסטיים של שיטות הפירוק נעשים בהנחה שהם אקראיים במידה מספקת. כיוון שאנחנו צריכים B|=k| מספרים כאלו לבניית המטריצה (כדי להבטיח פתרון לא טריוויאלי), אנחנו צריכים לעבור על (k·X/φ(X,B מספרים. עלות הבדיקה שמועמד (Q(x הוא חלק מעל B היא לינארית ב- B, ולכן העבודה הכוללת בייצור היא (k²·X/φ(X,B פעולות (של ניסיון חילוק מספר בגודל ^½n בראשוני קטן).
פומרנץ הראה שכדי לקבל את המינימום עבור הנוסחה הזו צריך שהאיבר הגדול ב-B, אותו סימנו ב- p_k, יהיה קרוב ל- $e^{{\tfrac {1}{2}}\cdot {\sqrt {log(x)\cdot log(log(x))}}}$ , והעבודה הנדרשת היא: $e^{2\cdot {\sqrt {log(x)\cdot log(log(x))}}}$ , כלומר כ- p_k⁴.

אבל מהו X?
באלגוריתם הניפוי הריבועי אנחנו מייצרים (Q(x מסדר גודל של n^½+ε כאשר ε קטן מאד (מכיוון שמספר המועמדים שנבדוק הוא חזקה קטנה של n); כלומר, $\ X=n^{{\frac {1/2}{+}}\epsilon }$ .
לכן, סדר הגודל של שלב הניפוי הוא: $e^{\sqrt {2\cdot log(n)\cdot log(log(n))}}$

לאחר שהנתונים נאספו במטריצה (בגודל k על k), צריך למצוא פתרון לא טריוויאלי, בעלות של (O(k³ (האלימינציה של גאוס). למעשה החלק הזה של האלגוריתם הוא מהיר בהרבה, מכיוון שהמטריצה דלילה. בכל אופן מדובר בסיבוכיות זניחה ביחס לשלב איסוף המשוואות.

נפת שדה המספרים מול הנפה הריבועית

שיטה נוספת לפירוק מספר לגורמים היא נפת שדה המספרים (Number Field Sieving), זוהי שיטה מהירה יותר אסימפטוטית מהנפה הריבועית (Quadratic Sieve), אבל מסובכת הרבה יותר.

שתי השיטות מחולקות לשני שלבים: שלב הניפוי ושלב מטריצה.

סדר הגודל של שלב הניפוי בנפת שדה המספרים הוא: $e^{c\cdot {\sqrt[{3}]{log(n)\cdot log^{2}(log(n))}}}$ כאשר c משתנה לפי סוג הניפוי המדויק בו משתמשים (ברוב המימושים: $1{\tfrac {1}{2}}\leq c\leq 2$ ).

אסימפטוטית זהו סדר גודל קטן יותר משל הנפה הריבועית, אבל במספרים "קטנים" (עד 100 ספרות) עדיף להשתמש בנפה הריבועית בגלל המסובכות של נפת שדה המספרים.

מקורות

Landquist, E., “MATH 488: Cryptographic Algorithms”, “The Quadratic Sieve Factoring Algorithm”, December 14, 2001
Pomerance, C., “A Tale of Two Sieves”, December, 1996.

ראו גם

TWINKLE - מכשיר אלקטרואופטי תאורטי, המממש את שיטת הנפה הריבועית לפירוק מהיר לגורמים.

קישורים חיצוניים

נפה ריבועית

תוכן עניינים

עקרונות הנפה הריבועית

תיאור האלגוריתם

הגדרת בסיס הגורמים וטווח הניפוי

שיפורים אפשריים

הניפוי - Sieving

שיפורים אפשריים

שלב המטריצה

שיפורים אפשריים

דוגמאות לייצוג וקטורי מעל בסיס B

סיבוכיות

נפת שדה המספרים מול הנפה הריבועית

מקורות

ראו גם

קישורים חיצוניים

תפריט ניווט