因子分解算法——Pollard 的p-1方法

因子分解算法——Pollard 的$p-1$方法

1 算法核心

为了分解合数$n$。设数$n$的一个因子是$p$，若$p-1$的每个因子$q$满足$q\le B$(B是自己选的一个数，称为界)，此时必有
$$(p-1)|B!$$

证：设$p-1=q_1{q}_2\cdots q_m$，并且$q_1、q_2、\cdots 、q_m\le B$，显然上式成立。

Pollard的$p-1$算法是直接计算$a\equiv 2^{B!}(\mathrm{m}\mathrm{o}\mathrm{d}n)$和$gcd(a-1,n)$，这个最大公因子就是$n$的一个非平凡因子。

证：由于$p|n$，所以有
$$a\equiv 2^{B!}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
又根据Fermat定理，
$$2^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
因为$2^{(p-1)}|2^{B!}$，所以
$$a\equiv 2^{B!}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
即$p|(a-1)$。于是$p$就是$a-1$和$n$的公因子。最大公因子当然是其中一个。

2 算法评价

根据重复平方-乘方法可以计算$a\equiv 2^{B!}(\mathrm{m}\mathrm{o}\mathrm{d}n)$，根据扩展的Euclidean算法可以计算最大公因数。所以只要$B$取值合理，可以在多项式时间计算出结果。但是$B$必须满足"大于$p-1$的所有因子"，如果$p-1$的因子很大，选择小的$B$会造成算法求解失败，选择足够大的$B$会增加算法成功的概率，但那样的话算法的复杂度不比试除法好

为了抵抗Pollard的$p-1$因子攻击，通常选取两个大素数$p_1、q_1$，令$p=2p_1+1、q=2q_1+1$，这样得到的模数$n=pq$能够抵抗攻击。

参考书籍：Stinson D , 斯廷森, 冯登国. 密码学原理与实践[M]. 电子工业出版社, 2009.