Алгоритм Берлекампа – Рабина

В чисел теории алгоритм поиска корня Берлекампа , также называемый алгоритмом Берлекампа–Рабина , представляет собой вероятностный метод поиска корней многочленов . над полем ${\displaystyle \mathbb {F} _{p}}$ с ${\displaystyle p}$ элементы. Метод был открыт Элвином Берлекэмпом в 1970 году. ^{[ 1 ]} как вспомогательное средство к алгоритму факторизации полиномов по конечным полям. Позднее алгоритм был модифицирован Рабиным для произвольных конечных полей в 1979 году. ^{[ 2 ]} Этот метод был также независимо открыт до Берлекампа другими исследователями. ^{[ 3 ]}

Метод был предложен Элвином Берлекэмпом в его работе 1970 года. ^{[ 1 ]} о полиномиальной факторизации по конечным полям. Его оригинальной работе не хватало формального правильности . доказательства ^{[ 2 ]} и позже был уточнен и модифицирован для произвольных конечных полей Майклом Рабином . ^{[ 2 ]} В 1986 году Рене Перальта предложил аналогичный алгоритм. ^{[ 4 ]} для нахождения квадратных корней в ${\displaystyle \mathbb {F} _{p}}$. ^{[ 5 ]} В 2000 году метод Перальты был обобщен на кубические уравнения . ^{[ 6 ]}

Позволять ${\displaystyle p}$ быть нечетным простым числом. Рассмотрим полином ${\textstyle f(x)=a_{0}+a_{1}x+\cdots +a_{n}x^{n}}$ над полем ${\displaystyle \mathbb {F} _{p}\simeq \mathbb {Z} /p\mathbb {Z} }$ остатков по модулю ${\displaystyle p}$. Алгоритм должен найти все ${\displaystyle \lambda }$ в ${\displaystyle \mathbb {F} _{p}}$ такой, что ${\textstyle f(\lambda )=0}$ в ${\displaystyle \mathbb {F} _{p}}$. ^{[ 2 ] [ 7 ]}

Позволять ${\textstyle f(x)=(x-\lambda _{1})(x-\lambda _{2})\cdots (x-\lambda _{n})}$. Нахождение всех корней этого многочлена эквивалентно нахождению его факторизации на линейные факторы. Чтобы найти такую ​​факторизацию, достаточно разбить многочлен на любые два нетривиальных делителя и рекурсивно факторизовать их. Для этого рассмотрим полином ${\textstyle f_{z}(x)=f(x-z)=(x-\lambda _{1}-z)(x-\lambda _{2}-z)\cdots (x-\lambda _{n}-z)}$ где ${\displaystyle z}$ это какой-то элемент ${\displaystyle \mathbb {F} _{p}}$. Если можно представить этот многочлен как произведение ${\displaystyle f_{z}(x)=p_{0}(x)p_{1}(x)}$ то в терминах исходного многочлена это означает, что ${\displaystyle f(x)=p_{0}(x+z)p_{1}(x+z)}$, что обеспечивает необходимую факторизацию ${\displaystyle f(x)}$. ^{[ 1 ] [ 7 ]}

По критерию Эйлера для любого монома ${\displaystyle (x-\lambda )}$ выполняется ровно одно из следующих свойств: ^{[ 1 ]}

1. Моном равен ${\displaystyle x}$ если ${\displaystyle \lambda =0}$,
2. Моном делит ${\textstyle g_{0}(x)=(x^{(p-1)/2}-1)}$ если ${\displaystyle \lambda }$ является квадратичным вычетом по модулю ${\displaystyle p}$,
3. Моном делит ${\textstyle g_{1}(x)=(x^{(p-1)/2}+1)}$ если ${\displaystyle \lambda }$ является квадратичным неостатком по модулю ${\displaystyle p}$.

Таким образом, если ${\displaystyle f_{z}(x)}$ не делится на ${\displaystyle x}$, что можно проверить отдельно, тогда ${\displaystyle f_{z}(x)}$ равен произведению наибольших общих делителей ${\displaystyle \gcd(f_{z}(x);g_{0}(x))}$ и ${\displaystyle \gcd(f_{z}(x);g_{1}(x))}$. ^{[ 7 ]}

Свойство выше приводит к следующему алгоритму: ^{[ 1 ]}

1. Явно вычислить коэффициенты ${\displaystyle f_{z}(x)=f(x-z)}$,
2. Вычислить остатки ${\textstyle x,x^{2},x^{2^{2}},x^{2^{3}},x^{2^{4}},\ldots ,x^{2^{\lfloor \log _{2}p\rfloor }}}$ модуль ${\displaystyle f_{z}(x)}$ возведя в квадрат текущий полином и взяв остаток по модулю ${\displaystyle f_{z}(x)}$,
3. Используя возведение в степень возведением в квадрат и полиномы, рассчитанные на предыдущих шагах, вычислите остаток ${\textstyle x^{(p-1)/2}}$ модуль ${\textstyle f_{z}(x)}$,
4. Если ${\textstyle x^{(p-1)/2}\not \equiv \pm 1{\pmod {f_{z}(x)}}}$ затем ${\displaystyle \gcd }$ упомянутые ниже, обеспечивают нетривиальную факторизацию ${\displaystyle f_{z}(x)}$,
5. В противном случае все корни ${\displaystyle f_{z}(x)}$ являются либо остатками, либо неостатками одновременно, и приходится выбирать другой ${\displaystyle z}$.

Если ${\displaystyle f(x)}$ делится на некоторый нелинейный примитивный многочлен ${\displaystyle g(x)}$ над ${\displaystyle \mathbb {F} _{p}}$ тогда при расчете ${\displaystyle \gcd }$ с ${\displaystyle g_{0}(x)}$ и ${\displaystyle g_{1}(x)}$ получим нетривиальную факторизацию ${\displaystyle f_{z}(x)/g_{z}(x)}$, таким образом алгоритм позволяет найти все корни произвольных многочленов над ${\displaystyle \mathbb {F} _{p}}$.

Рассмотрим уравнение ${\textstyle x^{2}\equiv a{\pmod {p}}}$ наличие элементов ${\displaystyle \beta }$ и ${\displaystyle -\beta }$ как его корни. Решение этого уравнения эквивалентно факторизации многочлена ${\textstyle f(x)=x^{2}-a=(x-\beta )(x+\beta )}$ над ${\displaystyle \mathbb {F} _{p}}$. В данном конкретном случае задачи достаточно вычислить только ${\displaystyle \gcd(f_{z}(x);g_{0}(x))}$. Для этого многочлена будет выполняться ровно одно из следующих свойств:

1. НОД равен ${\displaystyle 1}$ это означает, что ${\displaystyle z+\beta }$ и ${\displaystyle z-\beta }$ оба являются квадратичными невычетами,
2. НОД равен ${\displaystyle f_{z}(x)}$что означает, что оба числа являются квадратичными остатками,
3. НОД равен ${\displaystyle (x-t)}$что означает, что ровно одно из этих чисел является квадратичным остатком.

В третьем случае НОД равен либо ${\displaystyle (x-z-\beta )}$ или ${\displaystyle (x-z+\beta )}$. Это позволяет записать решение в виде ${\textstyle \beta =(t-z){\pmod {p}}}$. ^{[ 1 ]}

Предположим, нам нужно решить уравнение ${\textstyle x^{2}\equiv 5{\pmod {11}}}$. Для этого нам нужно факторизовать ${\displaystyle f(x)=x^{2}-5=(x-\beta )(x+\beta )}$. Рассмотрим некоторые возможные значения ${\displaystyle z}$:

1. Позволять ${\displaystyle z=3}$. Затем ${\displaystyle f_{z}(x)=(x-3)^{2}-5=x^{2}-6x+4}$, таким образом ${\displaystyle \gcd(x^{2}-6x+4;x^{5}-1)=1}$. Оба числа ${\displaystyle 3\pm \beta }$ являются квадратичными невычетами, поэтому нам нужно взять какие-то другие ${\displaystyle z}$.

1. Позволять ${\displaystyle z=2}$. Затем ${\displaystyle f_{z}(x)=(x-2)^{2}-5=x^{2}-4x-1}$, таким образом ${\textstyle \gcd(x^{2}-4x-1;x^{5}-1)\equiv x-9{\pmod {11}}}$. Из этого следует ${\textstyle x-9=x-2-\beta }$, так ${\displaystyle \beta \equiv 7{\pmod {11}}}$ и ${\textstyle -\beta \equiv -7\equiv 4{\pmod {11}}}$.

Ручная проверка показывает, что действительно ${\textstyle 7^{2}\equiv 49\equiv 5{\pmod {11}}}$ и ${\textstyle 4^{2}\equiv 16\equiv 5{\pmod {11}}}$.

Алгоритм факторизацию находит ${\displaystyle f_{z}(x)}$ во всех случаях, кроме тех, когда все числа ${\displaystyle z+\lambda _{1},z+\lambda _{2},\ldots ,z+\lambda _{n}}$ одновременно являются квадратичными остатками или невычетами. Согласно теории циклотомии , ^{[ 8 ]} вероятность такого события для случая, когда ${\displaystyle \lambda _{1},\ldots ,\lambda _{n}}$ все являются остатками или неостатками одновременно (то есть, когда ${\displaystyle z=0}$ потерпит неудачу) можно оценить как ${\displaystyle 2^{-k}}$ где ${\displaystyle k}$ количество различных значений в ${\displaystyle \lambda _{1},\ldots ,\lambda _{n}}$. ^{[ 1 ]} Таким образом, даже в худшем случае ${\displaystyle k=1}$ и ${\displaystyle f(x)=(x-\lambda )^{n}}$, вероятность ошибки можно оценить как ${\displaystyle 1/2}$ а для модульного квадратного корня вероятность ошибки не превышает ${\displaystyle 1/4}$.

Пусть многочлен имеет степень ${\displaystyle n}$. Выводим сложность алгоритма следующим образом:

1. По биномиальной теореме ${\textstyle (x-z)^{k}=\sum \limits _{i=0}^{k}{\binom {k}{i}}(-z)^{k-i}x^{i}}$, мы можем перейти от ${\displaystyle f(x)}$ к ${\displaystyle f(x-z)}$ в ${\displaystyle O(n^{2})}$ время.
2. Умножение полинома и получение остатка от одного многочлена по модулю другого можно выполнить в ${\textstyle O(n^{2})}$, таким образом, расчет ${\textstyle x^{2^{k}}{\bmod {f}}_{z}(x)}$ делается в ${\textstyle O(n^{2}\log p)}$.
3. Двоичное возведение в степень работает в ${\displaystyle O(n^{2}\log p)}$.
4. Принимая ${\displaystyle \gcd }$ двух полиномов с помощью алгоритма Евклида работает в ${\displaystyle O(n^{2})}$.

Таким образом, всю процедуру можно выполнить в ${\displaystyle O(n^{2}\log p)}$. Используя быстрое преобразование Фурье и алгоритм Half-GCD, ^{[ 9 ]} сложность алгоритма может быть улучшена до ${\displaystyle O(n\log n\log pn)}$. Для случая модульного квадратного корня степень равна ${\displaystyle n=2}$, таким образом, вся сложность алгоритма в таком случае ограничивается ${\displaystyle O(\log p)}$ за итерацию. ^{[ 7 ]}