Pollard's Rho Algorithm 教程

[前言]

一般而言， 实现分解质因数有两种方式 :

(1). 用筛法 $O(N)$ 预处理每个数的最小质因子 ，从而在 $O(logN)$ 的时间内完成单次分解。 此算法的空间复杂度是 $O(N)$ 的。

(2). 枚举 $2$ 到 $\sqrt{N}$ 中每个数 ， 进行试除法。 此算法的时间复杂度为 $O(\sqrt{N})$ , 而空间复杂度为 $O(1)$。

可以看出这两种做法的时间复杂度开支都太大了。 而本文介绍的 Pollard's Rho Algorithm 可以在
$O(N^{\frac{1}{4}}+\frac{N^{\frac{1}{4}}*\alpha(N)}{\beta}+\beta*\alpha(N))$ ($\alpha(N)$ 表示求最大公约数的复杂度) 的时间内 ， 花费 $O(1)$ 空间完成找出给定数 $N$ 的一个非平凡因子 $p$。

[前置内容]

在理解 Pollard's Rho Algorithm 的原理之前 ， 首先我们需要了解以下知识 :

Miller-Rabin 素数测试 :

如何判断一个数是质数？ 最朴素的方法是 : 枚举 $2$ 到 $\sqrt{N}$ 中每个数 ， 判断其是否是 $N$ 的约数。 但这样的时间复杂度达到了 $O(\sqrt{N})$。 我们有更优的做法 :

首先 ， 根据费马小定理 ， 若 $p$ 是质数 ， 那么对于 $0 < a < p$ , 有 $a^{p-1}\equiv1\ (mod\ \ p)$

我们还知道若 $p$ 是质数 ， 且 $x^2\equiv1\ (mod\ \ p)$ ， 那么 $x\equiv1\ (mod\ \ p)$ 或 $x\equiv p-1\ (mod\ \ p)$ 中必有一式成立。这是因为 $x^2\equiv1\ (mod\ \ p)$ 可以推出 $(x-1)(x+1)\equiv0\ (mod\ \ p)$。

那么我们就得到了一个判定方法 : 对于要判断的数 $N$ , 选取一底数 $a$ 满足 $a < N$ , 判断引理 $1$ 或 $2$ 是否成立。 若不成立直接得到 $N$ 是合数 , 接着反复验证引理 $2$ 是否成立 (若指数 $N$ 是奇数，且 $a^{N-1}\equiv1\ (mod\ \ N)$ ， 就可以将 $N$ 变为 $\frac{N-1}{2}$)。

这样单次测试的错误率是 $\frac{1}{4}$ ，然而通过选取多个不同的底数 ， 可以将错误率降低至 $\frac{1}{4 ^ {k}}$。

具体而言 ， 对于 $N < 2^{64}$ ， 选取前十二个质数作为底数即可达到 $100\%$ 的正确率。

此算法将时间复杂度提高至最劣情况下 $O(log^2N)$ 。

生日悖论 :

我们知道， 在中国大多数高中 ， 每个班有 $40$ 到 $50$ 位同学。 你的班级是否有两个有缘人是同年同月同日生呢？ 这样的概率是很大的 ， 由下图就可以知晓。

(此图来源为 Wikipedia)

事实上，我们可以用函数表示 $N$ 个人生日两两不同的概率 :

当 $N = 23$ 时 ， 存在两人生日相同的概率就达到了 $50\%$。 这也对应了上图。

弗洛伊德判环法 :

我们来解决一个这样的问题 : 有一个伪随机数列 $a$ 和随机函数 $f$ , 其递推公式为 $a_{i} = f_{a_{i - 1}}$。这个序列存在一个循环节 ， 请给出循环开始的第一个位置 $\mu$ 和环长 $\phi$。

解决这个问题最简单的方法是用平衡树 / 哈希表判断每个数是否在之前出现过了，这样的时间复杂度是 $O((\mu + \phi)log(\mu + \phi))$ 的。 并且花费了 $O(\mu + \phi)$ 的空间。而弗洛伊德的方法是 : 用两个指针，一个指针每次走一步，另一个每次走两步， 如果两个指针指向的数对应值相同 ， 那么就找到了一个或若干个循环 ， 在这个基础上可以轻松得到 $\mu$ 与 $\phi$ 的具体值。简而言之 ， 就是需要找到第一个 $i$ 满足 $a_{i} = a_{2i}$。

我们分析此做法的时间复杂度 : 对于任意 $i$ 满足 $i \geq \mu$ ，都有 $a_{i} = a_{i + k\phi}$。 由 $a_{i} = a_{2i}$ 可以推得 $i + k\phi = 2i$ , $i = k\phi$。 因此我们找到的 $i$ 事实上是第一个 $k$ 满足 $k\phi \geq \mu$。

因此此算法时间复杂度是 $O(\phi + \mu)$ 的。 并且空间复杂度只有 $O(1)$。

Richard P. Brent 教授对这个算法做了一些常数优化。 思路是 : 每次走 $2$ 的次幂步 ， 直到发现循环为止。 这个优化使我们可以直接找到 $\phi$ 的精确值。根据他本人的试验， 此做法将 Pollard's Rho Algorithm 的运行效率提高约 $24\%$。

[算法流程]

我们已经了解了上述知识 ， 下面回归问题本身 ， 如何快速分解质因数？

首先用 Miller-Rabin 素数测试判断 $N$ 是否是质数。

然后 ， 一个简单思路是 ， 若我们能找到 $N = pq$ ($p$ 和 $q$ 是 $N$ 的非平凡因子) ， 便可以将 $p$ 和 $q$ 递归地继续分解下去。

不妨构造伪随机数列 $a_{i} = f_{a_{i - 1}} \ mod\ N$ , 其中 $f(x) = x ^ {2} + c$ ($c$ 为一常数)。 而另一个数列 $\{a_{n} mod\ p\}$ 客观存在 ，由生日悖论我们可知 $\{a_{n}\}$ 的的循环节是 $O(\sqrt{N})$ 级别的 , 而 $\{a_{n} mod\ p\}$ 的循环节长度是 $O(\sqrt{p})$ 级别的。

假设存在两个位置 $i,j$ 使得 $a_{i} mod \ p = a_{j} mod \ p$ 且 $a_{i} \neq a_{j}$ , 取 $gcd(a_{i} - a_{j} , N)$ ， 就得到 $N$ 的一个非平凡因子。

因此我们要做的其实是找出 $\{a_{n} mod \ p\}$ 的循环节 ， 不妨使用弗洛伊德判环法 ，计算 $gcd(x_i-x_{2i},N)$。

若 $gcd(x_i-x_{2i},N) = 1$ , 那么将 $i$ 加一
若 $gcd(x_i-x_{2i},N) = N$ , 说明 $i$ 和 $2i$ 同时在两个数列的循环节上。 需要调整随机函数 $f$。
否则直接返回 $gcd(x_i-x_{2i},N)$。

因此我们期望用 $O(\sqrt{p})$ 个 $i$ 分解出 $N$ 的一个非平凡因子。 Pollard's Rho Algorithm 算法分解一个因子的复杂度是 $O(N^{\frac{1}{4}}*\alpha(N))$ 的。

事实上 , 可以继续优化

我们拟定一个参数 $\beta$，计算每 $\beta$ 个 $x_i−x_{2i}$ 的乘积对 $N$ 取模的结果 $prod$。

若 $gcd(prod,N) = 1$ ，则说明这 $\beta$ 个 $x_{i}−x_{2i}$ 与 $N$ 的 gcd 均为 1 。
若 $gcd(prod,N) \neq 1$ ，那么我们就找到了 $N$ 的一个非平凡因子 $gcd(prod,N)$
否则，即 $gcd(prod,N) = N$ ，我们不知道此时我们是否需要重新进行算法，需要回到 $\beta$ 次操作之前。

故算法产生一次有效的分解的期望时间复杂度被优化至了 $O(N^{\frac{1}{4}}+\frac{N^{\frac{1}{4}}*\alpha(N)}{\beta}+\beta*\alpha(N))$ 。

下面是 Pollard's Rho Algorithm 的一个演示图 ， 相信会有助于您更好地理解。 来源为 Wikipedia