조원빈

조원빈

Was mich nicht umbringt, macht mich stärker.

Pollard’s rho algorithm

7 분 소요

Introduction

이번 포스트에서 다룰 알고리즘은 폴라드 \(\rho\) 알고리즘이다. 폴라드 \(\rho\) 알고리즘은 빠른 소인수 분해를 위한 알고리즘이다.

백준에 큰 수 소인수분해 4149 문제 풀이와 함께 진행하겠다.

Core ideas

소인수 분해하려는 숫자 \(n = pq\)에서 \(p\)는 자명하지 않은 인수라고 가정하자. 다항식을 \(n\)으로 나누는 연산 \(g(x) = (x^2 + 1)\text{ mod n}\)은 암호학에 유사난수 수열을 생성(PRG)할 때 사용된다.

이때 시작값을 적당히 2로 설정하면

\[x_1 = g(2),\,x_2=g(g(2)),\,x_3=g(g(g(2)))\]

위와 같은 형태로 수열이 생성된다. 이를 \(\{x_k\}\)라 하자. 그러면 이 수열은 다른 수열 \(\{x_k \,mod\,p\}\) 과 관련이 있다. 하지만 \(p\)가 사전에 주어지지 않았기 때문에, 두 번째 수열은 위 알고리즘으로 계산 불가능하다. 여기서 첫 번째 수열과 두 번째 수열의 관계가 폴라드 로 알고리즘의 핵심 아이디어다.

이 수열에 나오는 수의 개수는 유한하기 때문에, \(n\)의 나머지 수열 \(\{x_k\}\)와 \(\{x_k \,mod\,p\}\)는 언젠가 반복된다. 이 수열을 완전한 난수라고 가정하면 birthday pardox에 의해 이 수열이 반복되기 전까지 나오는 서로 다른 \(x_k\)의 개수는 대략 \(O(\sqrt{n})\)이다. (여기서 \(N\)은 가능한 값의 개수이다.) 따라서, 수열 \(\{x_k \,mod\,p\}\)은 수열 \(\{x_k\}\)보다 먼저 반복된다.

각각의 수열을 유향 그래프로 표현한다면 그리스 문자 \(\rho\)와 같이 생겨서 폴라드 로 알고리즘이라 붙인 것이다.

이미지

그렇다면, 두 수열의 관계를 어떻게 이용하여 우리는 인수 p를 찾아내는 것일까? 알고리즘은 아래와 같이 동작한다.

  1. 위 수열에서 나오는 반복을 순환 찾기 알고리즘으로 찾는다.
  2. 먼저 두 수 \(x_i\)와 \(x_j\)를 정한다. \(x_i \equiv x_j \pmod p\)를 만족 시 \(p = k(x_i - x_j) ,\, k \in \mathbb{N}\)가 성립한다.
  3. \(gcd(x_i - x_j, n)\)이 1이 아니라면 수열 \(\{x_k \,mod\,p\}\)는 사이클이 있다는 것을 의미하고, \(x_i - x_j\)이 p의 배수 혹은 0이 되어야한다.
  4. \(gcd(x_i - x_j, n)\)는 결국 \(n\) 혹은 \(p\)를 값으로 가지게되고, \(p\)를 구할 수 있다.

Algorithm

Floyd’s Cycle Detection Algorithm

우선 수열 \(\{x_k \,mod\,p\}\)의 사이클을 찾는 알고리즘은, 플로이드 알고리즘을 통해 구현한다.

이는 Two Pointer를 이용하며, 이 포인터는 서로 다른 속도로 시퀀스를 탐색한다. 매 반복마다, 첫 포인터는 한 칸을 움직이고 두번째 포인터는 두 칸을 움직인다. 만약 사이클 길이가 \(\lambda\)이고 사이클이 시작하는 곳의 첫 인덱스가 \(\mu\)일 경우 시간복잡도는 \(O(\mu + \lambda)\)다.

This algorithm is also known as tortoise and the hare algorithm, based on the tale in which a tortoise (here a slow pointer) and a hare (here a faster pointer) make a race.

플로이드 알고리즘은 재귀적으로 비교하는 두 인자에 진행속도에 차이를 두어 만약 사이클이 존재할 경우 둘이 만날 수 밖에 없도록 하는 것이다.

pseudo code

function floyd(f, x0):
    tortoise = x0
    hare = f(x0)
    while tortoise != hare:
        tortoise = f(tortoise)
        hare = f(f(hare))
    return true

implementation

...
do {
  if (g == n) {
    x = y = rand() % n + 1;			
    c = rand() % n + 1;
    g = 1;
  }
  x = f(x);
  y = f(f(y));

  ull sub = x > y ? x - y : y - x;

  g = gcd(n, sub);
} while (g == 1);
...

Brent’s algorithm

__int128_t 타입을 사용하지 않을 경우 곱셈 연산을 매우 느리게 진행해야하는데, 이에 따라 플로이드 알고리즘 만으로는 제한시간 내에 풀기 어려울 수 있어 새로운 알고리즘 도입이 필요했다.

위 알고리즘은 플로이드 알고리즘과 비슷하다. 투 포인터를 사용하지만 \(2^i\)만큼 전진시킨다. \(2^i\)가 \(\mu, \lambda\)보다 크면, 사이클을 찾을 수 있다. 자세한 코드는 최종 코드에서 확인하길 바란다.

pseudo code

function floyd(f, x0):
    tortoise = x0
    hare = f(x0)
    l = 1
    while tortoise != hare:
        tortoise = hare
        repeat l times:
            hare = f(hare)
            if tortoise == hare:
                return true
        l *= 2
    return true

Miller-Rabin primality test

여기서 주의해야할 점은 폴라드 로 알고리즘이 소인수가 아닌 인수분해 알고리즘이란 점이다. 즉, 우리가 구한 \(p\)가 소수인지를 빠르게 판단해야 한다. 이는 밀러라빈 소수 판정법을 통해 구현해야 한다.

밀러-라빈 소수 판정법은 확률적 판별 알고리즘이다. 페르마 테스트와 더불어 몇 개의 인자를 넣어 확률적으로 아닌지를 판단해야한다.

Lemma

알고리즘 설명 전에 우선 보조정리부터 소개하겠다.

소수 \(p\)에 대해 \(x^2 \equiv \pmod p\)이면 \(x \equiv 1 \pmod p\) 거나 \(x \equiv -1 \pmod p\)이다.

\(Proof\): 합동식 정의에서 \(x^2-1 = (x+1)(x-1)\)은 \(p\)의 배수이고, \(x+1\)과 \(x-1\) 둘 중 하나는 \(p\)의 배수여야한다.

여기서 수학적 직관이 어느정도 있는 사람이라면, 과연 위 합동식이 해를 두 개만 가지는지에 대해 의문을 들 수 있다. 먼저 정답을 말하자면 그렇다. 우리는 좀 더 일반적인 상황에서 아래와 같은 증명도 가능하다!

\(\mathbb{Z}_p\) 상에서 다항식 차수로 \(n\)을 가지는 \(f(x)\)는 최대 \(n\)개의 해를 가진다.

이 증명은 링크에서 확인 가능하다.

Mathematical concepts

\(Claim\): \(n\)을 2보다 큰 소수라 하자. 그러면 아래 두 조건 중 하나를 반드시 만족한다.

\[a^d \equiv 1 \pmod n\] \[a^{2^rd} \equiv -1 \pmod n \text{, for some }0 \le r \le s-1\]

\(Proof\): 페르마 소정리에 따라 소수 \(n\)에 대해 \(a\)는 아래를 만족한다.

\[a^{n-1} \equiv 1 \pmod n\]

여기서 어떤 수 \(n\)가 홀수라면, \(n-1\)은 짝수다. 짝수는 2의 거듭제곱을 약수로 가지므로 다음과 같이 정의된다.

\[n-1 = 2^sd, \, \text{d is odd}\]

따라서, \(a^{n-1} \equiv 1 \pmod n\)은 아래와 같이 변형할 수 있다.

\[\begin{align} a^{2^sd} & = (a^{2^{s-1}d}-1)(a^{2^{s-1}d} + 1) \\ &= (a^{2^{s-2}d} - 1)(a^{2^{s-2}d} + 1)(a^{2^{s-1}d} + 1) \\ ... \\ &= (a^d - 1)(a^{2d} + 1)...(a^{2^{s-3}d} + 1)(a^{2^{s-2}d} + 1)(a^{2^{s-1}d} + 1) \end{align}\]

따라서, 두 조건 중 하나를 만족할 경우 \(n\)은 확률적으로 소수임을 알 수 있다.

소수 판정 코드

...
ull pow_with_mod(ull a, ull b, ull mod) {

	a = a % mod;
	ull ret = 1;
	while (b > 0) {
		if (b % 2 == 1) {
			ret = (__int128_t)ret * a % mod;
		}
		a = (__int128_t)a * a % mod;
		b = b >> 1;
	}

	return ret;
}


bool miller_rabin_primality_test(ull n, ull a) {

	ull d = n - 1;
	while (d % 2 == 0) {
		if (pow_with_mod(a, d, n) == n - 1) {
			return true;
		}
		d = d >> 1;
	}

	ull pow_of_a_d = pow_with_mod(a, d, n);
	return pow_of_a_d == n - 1 || pow_of_a_d == 1;

}

bool is_prime(ull n) {
	if( n <= 1 ) return false;
	if (n <= 1000000000ULL) {
		for (ull i = 2; i * i <= n; i++) {
			if (n % i == 0) {
				return false;
			}
		}
		return true;
	}
	for (ull a : {2, 325, 9375, 28178, 450775, 9780504, 1795265022}) {
		if (!miller_rabin_primality_test(n, a)) {
			return false;
		}
	}
	return true;
}

...

최종 코드

#include<iostream>
#include<vector>

#include<algorithm>


using ull = unsigned long long;

using namespace std;

vector<ull> factors;
ull n;

//NOTICE: __int128_t type only use in gcc

//return a^b % mod with divide and conquer
ull pow_with_mod(ull a, ull b, ull mod) {

	a = a % mod;
	ull ret = 1;
	while (b > 0) {
		if (b % 2 == 1) {
			ret = (__int128_t)ret * a % mod;
		}
		a = (__int128_t)a * a % mod;
		b = b >> 1;
	}

	return ret;
}


bool miller_rabin_primality_test(ull n, ull a) {

	ull d = n - 1;
	while (d % 2 == 0) {
		if (pow_with_mod(a, d, n) == n - 1) {
			return true;
		}
		d = d >> 1;
	}

	ull pow_of_a_d = pow_with_mod(a, d, n);
	return pow_of_a_d == n - 1 || pow_of_a_d == 1;

}

bool is_prime(ull n) {
	if( n <= 1 ) return false;
	if (n <= 1000000000ULL) {
		for (ull i = 2; i * i <= n; i++) {
			if (n % i == 0) {
				return false;
			}
		}
		return true;
	}
	for (ull a : {2, 325, 9375, 28178, 450775, 9780504, 1795265022}) {
		if (!miller_rabin_primality_test(n, a)) {
			return false;
		}
	}
	return true;
}

ull abs(ull a) {
	return a > 0 ? a : -1 * a;
}

//Euclidean algorithm
ull gcd(ull a, ull b) {
	if (a < b) swap(a, b);
	if (b == 0) return a;
	return gcd(b, a % b);
}


void factorize(ull n) {
	if (n <= 1) return;

	if (is_prime(n)) {
		factors.push_back(n);
		return;
	}

	ull x = 2, q = 1, g = 1, xs, y, c = rand() % 10 + 1;

	auto f = [=](ull x) {
		return ((__int128_t)x * x + c) % n;
	};

	//Brent's Algorithm: Faster than Floyd's cycle-fiding algorithm
	int m = 128;
	int l = 1;
	while (g == 1) {
		y = x;
		for (int i = 1; i < l; i++) {
			x = f(x);
		}
		int k = 0;
		while (k < l && g == 1) {
			xs = x;
			for (int i = 0; i < m && i < l - k; i++) {
				x = f(x);
				q = (__int128_t)q * abs(y - x) % n;
			}
			g = gcd(q, n);
			k += m;
		}
		l *= 2;
	}
	if (g == n) {
		do {
			xs = f(xs);
			g = gcd(abs(xs - y), n);
		} while (g == 1);
	}
	factorize(g);
	factorize(n / g);

}

int main() {
	ios_base::sync_with_stdio(false); cin.tie(NULL); cout.tie(NULL);
	cin >> n;
	factorize(n);

	sort(factors.begin(), factors.end());
	for (auto factor : factors) {
		cout << factor << '\n';
	}
}
Reference
  • https://cp-algorithms.com/algebra/factorization.html#toc-tgt-9
  • https://ko.wikipedia.org/wiki/폴라드_로_알고리즘
  • https://aruz.tistory.com/140
  • https://crypto.stanford.edu/pbc/notes/numbertheory/millerrabin.html
  • https://casterian.net/archives/396
  • https://en.wikipedia.org/wiki/Miller%E2%80%93Rabin_primality_test

참고

오브젝트

2 분 소요

개요 해당 개시글은 책 오브젝트를 읽고 객체지향 설계에서 알아두면 좋을 것들을 정리한 게시글이다. 평소에 감으로 알고 있던 것들을 정리해두는 느낌이고, 독서 감상문 보다는 기억해둬야 할 것들을 작성자의 언어로 풀어쓴 글이라 생각하면 편할 것 같다.