Pollard-Rho-Methode

Grafische Darstellung der Teilergebnisse

Die Pollard-Rho-Methoden sind Algorithmen zur Bestimmung der Periodenlänge einer Zahlenfolge, die mit einer mathematischen Funktion berechnet wird. Verschiedene schwierige mathematische Probleme wie der diskrete Logarithmus und die Faktorisierung lassen sich mit diesen Methoden berechnen. Eine optimierte Variante der Pollard-Rho-Methode wurde von John M. Pollard im Jahre 1975 zur Primfaktorzerlegung entwickelt. Derartige Verfahren lassen sich auch zur Berechnung von Kollisionen in Hash-Funktionen anwenden.

Bei den Pollard-Rho-Methoden werden Folgen von Teilergebnissen berechnet. Ab einem bestimmten Punkt wiederholt sich ein Teil dieser Teilergebnisse nur noch. Man kann die Teilergebnisse grafisch so anordnen, dass sich die Gestalt des Buchstaben ρ (Rho) erkennen lässt. Daraus leitet sich die Bezeichnung der Methoden ab.

Funktionsweise

Gesucht ist ein Primfaktor p {\displaystyle p} der Zahl n {\displaystyle n} . Im Allgemeinen muss dieser Teiler jedoch nicht zwingend eine Primzahl sein. Das Verfahren beruht auf der Erzeugung einer Folge von Pseudozufallszahlen. Zur Erstellung der Zufallsfolge kann eine relativ beliebige Funktion f : N N {\displaystyle f\colon \mathbb {N} \to \mathbb {N} } verwendet werden. Es ist lediglich erforderlich, dass aus x y ( mod p ) {\displaystyle x\equiv y{\pmod {p}}} auch f ( x ) f ( y ) ( mod p ) {\displaystyle f(x)\equiv f(y){\pmod {p}}} folgt, und dies gilt beispielsweise bereits, wenn f {\displaystyle f} durch ein Polynom mit ganzzahligen Koeffizienten gegeben ist.

Die Folge startet mit einem weitgehend beliebig wählbaren Startwert x 0 {\displaystyle x_{0}} . Die weiteren Werte werden iterativ berechnet gemäß

x i = f ( x i 1 ) {\displaystyle x_{i}=f(x_{i-1})}

Die Funktionswerte modulo p {\displaystyle p} können maximal die p {\displaystyle p} verschiedenen Werte 0 , 1 , 2 , , p 1 {\displaystyle 0,1,2,\ldots ,p-1} annehmen. Tritt einer dieser Werte erneut auf, so wiederholen sich anschließend diese Werte modulo p {\displaystyle p} . Dies geschieht spätestens nach p {\displaystyle p} Iterationen und im Mittel nach etwa p {\displaystyle {\sqrt {p}}} Iterationen. Aus denselben Gründen kann man nach etwa n {\displaystyle {\sqrt {n}}} Iterationen erwarten, dass sich die Werte modulo n {\displaystyle n} wiederholen. Wenn bereits bekannt ist, dass n {\displaystyle n} einen kleinen Primfaktor hat, ist p {\displaystyle {\sqrt {p}}} erheblich kleiner als n {\displaystyle {\sqrt {n}}} , so dass gehofft werden darf, dass die Wiederholung modulo p {\displaystyle p} erheblich früher als die Wiederholung modulo n {\displaystyle n} einsetzt.

Bei einer derart berechneten Zahlenfolge mit endlich vielen möglichen Funktionswerten werden zunächst in einer Vorperiode einige Werte

x 0 , x 1 , , x k 1 {\displaystyle x_{0},x_{1},\ldots ,x_{k-1}}

angenommen. Sobald ein Wert wiederholt auftritt, wiederholen sich die Werte anschließend zyklisch

x k , x k + 1 , , ( x k + l = x k ) , x k + 1 , {\displaystyle x_{k},x_{k+1},\ldots ,\left(x_{k+l}=x_{k}\right),x_{k+1},\ldots }

Dieses Verhalten der Folge gab der Methode ihren Namen, da man sich die Periode wie einen Kreis vorstellen kann und die Folgenglieder am Anfang wie einen Stängel, der in den Kreis hineinführt. Graphisch sieht das aus wie der griechische Buchstabe ρ.

Haben zwei Werte x {\displaystyle x} und y {\displaystyle y} modulo p {\displaystyle p} aus der Folge den gleichen Wert, für die folglich x y ( mod p )   {\displaystyle x\equiv y{\pmod {p}}\ } gilt, so ergibt der größte gemeinsame Teiler ggT ( x y , n ) {\displaystyle \operatorname {ggT} (x-y,n)} ein Vielfaches von p {\displaystyle p} und oftmals einen echten Teiler von n {\displaystyle n} .

Es ist jedoch sehr aufwändig, alle Zahlenwerte auf diese Weise zu vergleichen. Eine optimierte Variante der Pollard-Rho-Methode berechnet daher zur Bestimmung der Periodenlänge zwei Folgen. Eine Folge

x = ( x 1 , x 2 , x 3 , x 4 , ) {\displaystyle x=(x_{1},x_{2},x_{3},x_{4},\ldots )}

und die zweite Folge

y = ( y 1 , y 2 , y 3 , y 4 , ) = ( x 2 , x 4 , x 6 , x 8 , ) {\displaystyle y=(y_{1},y_{2},y_{3},y_{4},\ldots )=(x_{2},x_{4},x_{6},x_{8},\ldots )}

Durch diesen Trick kann der Vergleich sehr vieler Funktionswerte vermieden werden. Es muss jetzt nicht für alle Paare ( x i , x j ) {\displaystyle (x_{i},x_{j})} der größte gemeinsame Teiler ggT ( x i x j , n ) {\displaystyle \operatorname {ggT} (x_{i}-x_{j},n)} berechnet werden. Es genügt jeweils, ggT ( x i y i , n ) {\displaystyle \operatorname {ggT} (x_{i}-y_{i},n)} bzw. ggT ( x i x 2 i , n ) {\displaystyle \operatorname {ggT} (x_{i}-x_{2i},n)} zu berechnen.

Da p {\displaystyle p} , als ein gesuchter Teiler von n {\displaystyle n} , unbekannt ist, kann zunächst der Rest der Division durch p {\displaystyle p} nicht berechnet werden. Es wird daher nicht die Gleichheit zweier Werte x {\displaystyle x} und y {\displaystyle y} abgefragt, sondern der ggT ( x y , n ) {\displaystyle \operatorname {ggT} (x-y,n)} berechnet. Falls sich die Werte x {\displaystyle x} und y {\displaystyle y} nur um ein Vielfaches von p {\displaystyle p} unterscheiden, ist der Wert des ggT ( x y , n ) {\displaystyle \operatorname {ggT} (x-y,n)} ein Vielfaches des gesuchten Teilers p {\displaystyle p} von n {\displaystyle n} . Ganzzahlige Vielfache von n {\displaystyle n} sind zugleich ganzzahlige Vielfache von p {\displaystyle p} und brauchen deshalb bei der Berechnung nicht berücksichtigt werden. Infolgedessen genügt es die Funktionswerte modulo n {\displaystyle n} zu berechnen.

Zur Berechnung der Zahlenfolge kann eine Funktion der Form f ( x ) = x 2 + c o n s t {\displaystyle f(x)=x^{2}+const} benutzt werden. Durch diese Wahl können nur ein Teil, etwa die Hälfte, der Werte 0 {\displaystyle 0} bis p 1 {\displaystyle p-1} bei der Restbildung auftreten, wodurch das frühzeitigere Auftreten der gesuchten Wiederholungen etwas begünstigt wird.

Formale Definition

Sei n {\displaystyle n} die Zahl, von der ein Primfaktor p {\displaystyle p} berechnet werden soll. Bezeichne ( x k ) k N {\displaystyle (x_{k})_{k\in \mathbb {N} }} eine Folge von Pseudozufallszahlen wie zum Beispiel

x 0 = 2 x k + 1 = x k 2 + c ( mod n )  mit  c 0 ( mod n )  und  c 2 ( mod n ) . {\displaystyle {\begin{aligned}x_{0}&=2\\x_{k+1}&=x_{k}^{2}+c{\pmod {n}}\quad {\text{ mit }}\quad c\not \equiv 0{\pmod {n}}{\text{ und }}c\not \equiv -2{\pmod {n}}.\end{aligned}}}

Existiert ein echter Primfaktor p {\displaystyle p} , so gilt

Es gibt einen Index i < p {\displaystyle i<p} , so dass n > k i > 1 {\displaystyle n>k_{i}>1} und k i | n {\displaystyle k_{i}\,|\,n} mit k i = ggT ( | x i x 2 i | , n ) {\displaystyle k_{i}=\operatorname {ggT} (|x_{i}-x_{2i}|,n)} .

Algorithmus

Eingabe: n {\displaystyle n} ist die zu faktorisierende Zahl und f ( x ) {\displaystyle f(x)} sei die Pseudo-Zufallsfunktion modulo n {\displaystyle n}
Ausgabe: Ein nicht-trivialer Faktor von n {\displaystyle n} oder eine Fehlermeldung

  1. x ← 2, y ← x; d ← 1
  2. Solange d = 1:
    1. xf(x)
    2. yf(f(y))
    3. d ← ggT(|xy|, n)
  3. Wenn 1 < d < n, dann d zurückgeben.
  4. Falls d = n, dann „Fehler“ ausgeben.

Anmerkung: Dieser Algorithmus liefert für alle n {\displaystyle n} , die nur durch 1 und sich selbst teilbar sind, eine Fehlermeldung zurück. Allerdings kann auch für die anderen n {\displaystyle n} eine Fehlermeldung zurückgeliefert werden. In diesem Fall wählt man eine andere Funktion f ( x ) {\displaystyle f(x)} und versucht es erneut.

Ist das Ergebnis eine Zahl, so ist diese wirklich auch ein Teiler und damit ein korrektes Ergebnis, wobei dieses im Allgemeinen nicht zwingend eine Primzahl sein muss.

Für f {\displaystyle f} wählt man ein Polynom mit einem ganzzahligen Koeffizienten. Eine übliche Funktion f ( x ) {\displaystyle f(x)} für diesen Algorithmus hat folgende Form:

f ( x ) = x 2 + c  mod  n , c 0 , 2. {\displaystyle f(x)=x^{2}+c{\hbox{ mod }}n,\,c\neq 0,-2.}

Abschätzung der Laufzeit

Die Zahlenfolgen x i mod p {\displaystyle x_{i}{\bmod {p}}} und x 2 i mod p {\displaystyle x_{2i}{\bmod {p}}} können als Pseudo-Zufallsfolgen angesehen werden. Falls ein Zahlenwert erneut auftritt, wiederholen sich zwangsläufig die folgenden Werte. Es können bis zu p {\displaystyle p} Werte angenommen werden (bei quadratischem f {\displaystyle f} wie oben: bis zu p + 1 2 {\displaystyle {\tfrac {p+1}{2}}} Werte). Der Erwartungswert für die Länge eines Zyklus beträgt p {\displaystyle {\sqrt {p}}} . Die Tatsache, dass weit weniger als p {\displaystyle p} Berechnungen erforderlich sind, wird zuweilen Geburtstagsparadoxon genannt.

Der ungünstigste Fall tritt ein, wenn n {\displaystyle n} ein Produkt von zwei Primzahlen gleicher Länge ist. Der Algorithmus terminiert dann nach O(n1/4 polylog(n)) Schritten mit einer Wahrscheinlichkeit von 1 2 {\displaystyle {\tfrac {1}{2}}} . Die Methode ist gut geeignet, um Zahlen mit mehreren kleineren Faktoren zu faktorisieren. Der Algorithmus kann in der gleichen Zeit (mit hoher Wahrscheinlichkeit) eine Zahl mit doppelt so vielen Stellen wie die Probedivision faktorisieren. Der Algorithmus arbeitet exponentiell in der Länge der Eingabe und ist damit asymptotisch langsamer als das Quadratische Sieb und das Zahlkörpersieb.

Zahlenbeispiel

Feder
Feder

1. Beispiel

Gesucht seien die Faktoren der Zahl n = 703 {\displaystyle n=703} . Wir verwenden die Funktion f ( x ) = x 2 + 23 mod n {\displaystyle f(x)=x^{2}+23\mod n} und den Startwert x 0 = 431 {\displaystyle x_{0}=431} :

Tabelle: Rho-Methode für n = 703
n = 703 , f ( x ) = x 2 + c {\displaystyle n=703,\quad f(x)=x^{2}+c} mit c = 23 , x 0 = 431 {\displaystyle c=23,\quad x_{0}=431}
i {\displaystyle i} x i = f ( x i 1 ) {\displaystyle x_{i}=f(x_{i-1})} y i = x 2 i = f ( f ( y i 1 ) ) {\displaystyle y_{i}=x_{2\cdot i}=f(f(y_{i-1}))} d = ggT ( | x y | , n ) {\displaystyle d={\operatorname {ggT} (|x-y|,n})}
1 192 331 1
2 331 49 1
3 619 125 19
4 49 106 19
5 315 144 19
6 125 619 19
7 182 315 19
8 106 182 19
9 11 11 703
10 144 372 19
11 372 49 19
12 619 125 19

Damit ist die Primfaktorzerlegung von 703 = 19 37 {\displaystyle 703=19\cdot 37} gefunden.

2. Beispiel

Tabelle: Rho-Methode für n = 2717
n = 2717 , f ( x ) = x 2 + c {\displaystyle n=2717,\quad f(x)=x^{2}+c} mit c = 4 , x 0 = 2 {\displaystyle c=4,\quad x_{0}=2}
i {\displaystyle i} x i = f ( x i 1 ) {\displaystyle x_{i}=f(x_{i-1})} y i = x 2 i = f ( f ( y i 1 ) ) {\displaystyle y_{i}=x_{2\cdot i}=f(f(y_{i-1}))} d = ggT ( | x y | , n ) {\displaystyle d={\operatorname {ggT} (|x-y|,n})}
1 8 68 1
2 68 277 209
3 1911 2367 19
4 277 68 209
5 657 277 19
6 2367 2367 2717
7 239 68 19
8 68 277 209

Dieses Beispiel zeigt, dass der gefundene Faktor nicht zwingend eine Primzahl sein muss. Der hier gefundene Faktor ist 209 = 11 19 {\displaystyle 209=11\cdot 19} .

Faktorisierungen

Mit der beschriebenen Methode konnte 1980 die Fermat-Zahl

F 8 = 2 2 8 + 1 = 2 256 + 1 = 1238926361552897 p 62 {\displaystyle F_{8}=2^{2^{8}}+1=2^{256}+1=1238926361552897\cdot p_{62}}

faktorisiert werden. p 62 {\displaystyle p_{62}} bezeichnet dabei eine (Prim)Zahl mit 62 Stellen, von der erst später bewiesen wurde, dass es sich bei ihr um eine Primzahl handelt.

Implementierungen

Die Rho-Methode ist unter dem Namen rho_factorize() Bestandteil der Funktionsbibliothek des Programms ARIBAS von Otto Forster.

Literatur

  • A Monte Carlo Method for Factorization, J.M.Pollard, BIT 15 (1975) 331–334
  • An Improved Monte Carlo Factorization Algorithm, R.P.Brent, BIT 20 (1980) 176–184
  • Otto Forster: Algorithmische Zahlentheorie. Vieweg, 1996, ISBN 3-528-06580-X
  • Pollard Rho Methode in der Mathworld
  • Applet für Pollard-Rho Faktorisierung