Pollard-Rho 总结

将一个大数\(N\)分解质因子。
试除法，暴力枚举\(1～\sqrt{N}\)的数。时间复杂度：\(O(\sqrt{N})\)。
通常，这个复杂度够了，但有时，\(N\leq10^{18}\)。
这就需要Pollard-Rho了。

首先，考虑一种简单情况。设\(N=p*q（p<q）\)。
有一种糟糕的做法：随机法。随机一个\(1～\sqrt{N}\)的数x，判断能否整除。期望需要\(\sqrt{N}\)次。
我们发现，随机的数x并不一定要等于p，只要是p的倍数即可，即\(gcd(N,x)=p\)。
然而，这样每次的概率仍只有\(\frac{1}{\sqrt{N}}\)。

我们来考虑这样一种情况：在[1,1000]里面取一个数，取到我们想要的数(比如说,42)，成功的概率是多少呢？显然是1/1000。
一个不行就取两个吧：随便在[1,1000]里面取两个数我们想办法提高准确率，就取两个数的差值绝对值。
也就是说,在[1,1000]里面任意选取两个数\(i,j\)，问\(∣i−j∣=42\)的概率是多大？答案会扩大到1/500。
我们可以取\(\sqrt{p}\)，即\(N^{0.25}\)个数，两两做差并与N求gcd。
但我们需要两两做差，复杂度会回去。

若\(gcd(|a-b|,N)=p\)，则\(a=b (mod p)\)。（a不等于b）
然后，我们可以随机生成一个序列，看看里面是否有模p意义下相等的两个数。
但是，我们不知道p，我们只能通过求\(gcd(|a-b|,N)\)的方法来判断\(a=b (mod p)\)是否成立。就是说，我们只能判断\(a=b (mod p)\)是否成立，不能知道\(a\%p\)的值。
这个序列，我们显然可以\(rand\)，但有一种更好的方法：
设序列\(A_i=f(A_{i-1})\)，其中\(f(x)=x^2+y\)（y为定值）。那么，若\(a=b (mod p)，f(a) mod p\)一定等于\(f(b) mod p\)。但rand就没有这个性质。
换句话说，就是mod p后的数列出现了循环（原数列没有循环）。
这样，只要找到mod p后的数列的循环即可。（若用rand（），就需要等到原数列循环，复杂度就会退化为\(\sqrt{N}\)）
找循环可以用Floyd判圈，而这个算法正好是对两个进行比较的。
但是，可能原数列循环后，都没有找到解。
所以，在判圈的时候，如果原数列循环，则退出，换一个新的y计算。
根据“生日悖论”，只要选\(\sqrt{p}\)个小于p的数，就有相等的。
由于模数是\(10^{18}\)级别的，要用快速乘。
时间复杂度：\(O(N^{0.25}*logN)\)。

代码：

int sed[4]={13131,4649,65537,28627},se;
ll n;
ll gcd(ll a,ll b)
{
	while(b!=0)
	{
		ll t=a%b;
		a=b;
		b=t;
	}
	return a;
}
ll f(ll x)
{
	return (ksc(x,x,n)+se)%n;
}
ll ksc(ll a,ll b,ll md)
{
	ll jg=0;
	while(b>0)
	{
		if(b&1)
			jg=(jg+a)%md;
		a=(a+a)%md;
		b=(b>>1);
	}
	return jg;
}
ll rho()
{
	while(1)
	{
		se=sed[rand()%4];
		ll z1=1,z2=f(z1);
		while(z1!=z2)
		{
			ll t=z1-z2;
			if(t<0)
				t=-t;
			ll g=gcd(t,n);
			if(g!=1&&g!=n)
				return g;
			z1=f(z1);
			z2=f(f(z2));
		}
	}
}