Pollard的rho启发式因子分解算法 & [CodeVS 4939] 欧拉函数：Miller-Rabin + Pollard-rho 质因数分解

Pollard的rho启发式因子分解算法用于给出整数的一个因子。在一定的合理假设下，如果n有一个因子p，可在$O(\sqrt p)$的期望时间内可找出n的一个因子p。

关于其复杂度，Wikipedia是这样叙述的：

If the pseudo random number x = g(x) occurring in the Pollard ρ algorithm were an actual random number, it would follow that success would be achieved half the time, by the Birthday paradox in O(p^(1/2)) ≤ O (n^(1/4)) iterations. It is believed that the same analysis applies as well to the actual rho algorithm, but this is a heuristic claim, and rigorous analysis of the algorithm remains open.

以下绝大部分来自《算法导论》。

Pollard-rho算法的核心是用递推式$x_{i+1} = (x_i^2+c)\mod n$生成一个最终会进入循环的“随机”序列（表示成有向图，看起来就像ρ，这就是算法名字的由来）。虽然只显式地生成了一个序列，实际上同时生成了许多形如ρ的序列（后面将会推证）；只要两个指针都进入某个ρ的圈圈里，把它们所指向的值作差，取绝对值，和n求gcd，就能得到n的一个因子。

伪代码如下：

Pollard-Rho(n, c)
    i = 1
    k = 2
    y = x = a random integer in [0, n)
    d = 1
    while d == 1
        i = i+1
        x = (x*x+c) mod n
        if x == y
            return n
        d = gcd(n, abs(x-y))
        if i == k
            k = k*2
            y = x
    return d

它的正确性是显然的。算法可能会失败地返回一个平凡因子n，也可能成功地返回一个n的某个非平凡因子。

设$x_{i+1} = (x_i^2+c)\mod n$的循环大小为C，循环的第一项是$x_t$，进入循环后的某一时刻，k会被赋予一个不小于C的值，此时的x被保存为y，再转一圈，y固定不动，x会回到y，算法以失败终止。

必有2的某次幂落在区间[t, 2t]内，因此在不超过第2t步，循环内的某个值将被保存。此时的k可能小于C，无妨，因为必有2的某次幂落在区间[C, 2C]内，2C步之内，有k不小于C成立。于是，至多走(2*min(t, C)+C)步，算法终止。这个算法叫Brent判圈算法（Brent’s cycle finding method），与Floyd判圈算法均为线性，但常数优于后者（至少3C次计算后继结点）。根据Wikipedia，Pollard的原始版本采用Floyd判圈算法，后来由Richard Brant用自己新发明的判圈算法加以改进。

设n有一个因子p，其实我们同时在计算$x_i' = x_i\mod p$，并且递推式具有相同的形式：

x′i+1