Fatoração de inteiros
A tradução deste artigo está abaixo da qualidade média aceitável.Setembro de 2024) ( |
A fatoração de inteiros pode ser resolvida em tempo polinomial em um computador clássico?
Na teoria dos números, a fatoração de inteiros é a decomposição de um número composto em um produto de números inteiros menores. Se esses fatores forem ainda mais restritos aos números primos, o processo é denominado fatoração prima.
A fatoração de números inteiros é um assunto muito antigo, que desperta cada vez mais interesse como método de criptografia de chave pública, como também a resolução de logarítmos discretos, cuja segurança depende da ineficiência desses métodos de fatoração conhecidos.[1]
Quando os números são suficientemente grandes, nenhum algoritmo de fatoração de números inteiros não quântico eficiente é conhecido. No entanto, não foi comprovado que não existe um algoritmo eficiente. A suposta dificuldade desse problema está no cerne de algoritmos amplamente usados em criptografia, como o RSA. Muitas áreas da matemática e da ciência da computação foram utilizadas para lidar com o problema, incluindo curvas elípticas, teoria algébrica dos números e computação quântica.
Em 2019, Fabrice Boudot, Pierrick Gaudry, Aurore Guillevic, Nadia Heninger, Emmanuel Thomé e Paul Zimmermann fatoraram um número de 240 dígitos (795 bits) (RSA-240) utilizando aproximadamente 900 anos-núcleo de poder de computação.[2] Os pesquisadores estimaram que um módulo RSA de 1024 bits levaria cerca de 500 vezes mais tempo.[3]
Nem todos os números de um determinado comprimento são igualmente difíceis de fatorar. Os exemplos mais difíceis desses problemas (para as técnicas atualmente conhecidas) são os semiprimos, o produto de dois números primos. Quando ambos são grandes (mais de dois mil bits de comprimento, por exemplo), escolhidos aleatoriamente e quase do mesmo tamanho (mas não muito próximos para evitar a fatoração eficiente pelo método de fatoração de Fermat, por exemplo), mesmo os algoritmos de fatoração mais rápidos nos computadores mais rápidos podem levar tempo suficiente para tornar a pesquisa impraticável. Isto é, conforme o número de dígitos dos primos sendo fatorados aumenta, o número de operações necessárias para realizar a fatoração em qualquer computador aumenta drasticamente.
Muitos protocolos criptográficos são baseados na dificuldade de fatorar grandes inteiros compostos ou um problema relacionado (o problema RSA, por exemplo). Um algoritmo que fatora com eficiência um número inteiro arbitrário tornaria a criptografia de chave pública baseada em RSA insegura.
Decomposição prima
[editar | editar código-fonte]Pelo teorema fundamental da aritmética, todo número inteiro positivo tem uma única fatoração prima. (Por convenção, 1 é o produto vazio.) Testar se o inteiro é primo pode ser feito em tempo polinomial, por exemplo, pelo teste de primalidade AKS. Se composto, entretanto, os testes de tempo polinomial não fornecem nenhuma visão sobre como obter os fatores.
Dado um algoritmo geral para fatoração de inteiros, qualquer inteiro pode ser fatorado em seus fatores primos constituintes pela aplicação repetida deste algoritmo. A situação é mais complicada com algoritmos de fatoração de propósito especial, cujos benefícios podem não ser percebidos tão bem ou mesmo de todo com os fatores produzidos durante a decomposição. Por exemplo, se n = 171 × p × q onde p < q são primos muito grandes, a divisão experimental produzirá rapidamente os fatores 3 e 19, mas fará p divisões para encontrar o próximo fator. Como um exemplo de contraste, se n for o produto dos primos 13729, 1372933 e 18848997161, onde 13729 × 1372933 = 18848997157, o método de fatoração de Fermat começará com que imediatamente produz e, portanto, os fatores a − b = 18848997157 e a + b = 18848997161. Embora estes sejam facilmente reconhecidos como composto e primo respectivamente, o método de Fermat levará muito mais tempo para fatorar o número composto porque o valor inicial de para a está longe de 1372933.
Estado da arte atual
[editar | editar código-fonte]Entre os números de bit b, os mais difíceis de fatorar na prática usando os algoritmos existentes são aqueles que são produtos de dois primos de tamanho semelhante. Por esse motivo, esses são os números inteiros usados em aplicativos criptográficos. O maior semiprimo já fatorado era RSA-250, um número de 829 bits com 250 dígitos decimais, em fevereiro de 2020. O tempo total de computação foi de aproximadamente 2.700 anos-núcleo de computação usando Intel Xeon Gold 6130 a 2,1 GHz. Como todos os registros de fatoração recentes, esta fatoração foi concluída com uma implementação altamente otimizada da peneira de campo de número geral executada em centenas de máquinas.
Dificuldade e complexidade
[editar | editar código-fonte]Não foi publicado nenhum algoritmo que pode fatorar todos os inteiros em tempo polinomial, ou seja, que pode fatorar um número n de bits b no tempo O(bk) para alguma constante k. Nem a existência nem a inexistência de tais algoritmos foram provadas, mas geralmente se suspeita que eles não existem e, portanto, o problema não está na classe P.[4][5] O problema está claramente na classe NP, mas geralmente se suspeita que não seja NP-completo, embora isso não tenha sido provado.[6]
Existem algoritmos publicados que são mais rápidos que O((1 + ε)b) para todos os ε positivos, ou seja, subexponenciais. Em 12 de março de 2021, o algoritmo com melhor tempo de execução assintótico teórico foi o peneira de campo de número geral (GNFS), publicado pela primeira vez em 1993,[7] rodando em um número n de bits b no tempo:
Para os computadores atuais, o GNFS é o melhor algoritmo publicado para n grandes (mais de cerca de 400 bits). Entretanto, Peter Shor descobriu, em 1994, um algoritmo para um computador quântico que resolve isso em tempo polinomial. Isso terá implicações significativas para a criptografia se a computação quântica se tornar escalável. O algoritmo de Shor leva apenas tempo O(b3) e espaço O(b) nas entradas de número de bits b. Em 2001, o algoritmo de Shor foi implementado pela primeira vez, usando técnicas de ressonância magnética nuclear (NMR) em moléculas que fornecem 7 qubits.[8]
Não se sabe exatamente quais classes de complexidade contêm a versão de decisão do problema de fatoração de inteiros (isto é: n tem um fator menor que k?). Se sabe que está tanto em NP quanto em co-NP, o que significa que as respostas "sim" e "não" podem ser verificadas em tempo polinomial. Uma resposta "sim" pode ser certificada exibindo uma fatoração n = d(n/d) com d ≤ k. Uma resposta "não" pode ser certificada exibindo a fatoração de n em primos distintos, todos maiores do que k. Se pode verificar sua primalidade usando o teste de primalidade AKS e, então, multiplicá-los para obter n. O teorema fundamental da aritmética garante que há apenas uma série possível de números primos crescentes que serão aceitos, o que mostra que o problema está tanto em UP quanto em co-UP.[9] É conhecido por estar no BQP por causa do algoritmo de Shor.
Se suspeita que o problema esteja fora de todas as três classes de complexidade P, NP-completo e co-NP-completo. Portanto, é um candidato à classe de complexidade NP-intermediário. Se pudesse ser provado ser NP-completo ou co-NP-completo, isso implicaria NP = co-NP, um resultado muito surpreendente e, portanto, a fatoração inteira é amplamente suspeita de estar fora de ambas as classes. Muitas pessoas tentaram encontrar algoritmos clássicos de tempo polinomial para ele e falharam e, portanto, é amplamente suspeito de estar fora de P.
Em contraste, o problema de decisão "n é um número composto?" (ou de forma equivalente: "n é um número primo?") parece ser muito mais fácil do que o problema de especificar fatores de n. O problema composto/primo pode ser resolvido em tempo polinomial (no número b de dígitos de n) com o teste de primalidade AKS. Além disso, existem vários algoritmos probabilísticos que podem testar a primalidade muito rapidamente na prática, se alguém estiver disposto a aceitar uma possibilidade cada vez menor de erro. A facilidade do teste de primalidade é uma parte crucial do algoritmo RSA, pois é necessário encontrar grandes números primos para começar.
Algoritmos de fatoração
[editar | editar código-fonte]Finalidade especial
[editar | editar código-fonte]O tempo de execução de um algoritmo de fatoração de propósito especial depende das propriedades do número a ser fatorado ou de um de seus fatores desconhecidos: tamanho, forma especial, etc. Os parâmetros que determinam o tempo de execução variam entre os algoritmos.
Uma subclasse importante de algoritmos de fatoração de propósito especial são os algoritmos de categoria 1 ou primeira categoria, cujo tempo de execução depende do tamanho do menor fator primo. Dado um número inteiro de forma desconhecida, esses métodos são geralmente aplicados antes dos métodos de uso geral para remover pequenos fatores.[10] Por exemplo, a divisão experimental ingênua é um algoritmo de categoria 1.
- divisão experimental
- Fatoração de roda
- Algoritmo rô de Pollard
- Algoritmos de fatoração de grupo algébrico, entre os quais estão o algoritmo p - 1 de Pollard, o algoritmo p + 1 de Williams e a fatoração de curva elíptica de Lenstra
- Método de fatoração de Fermat
- Método de fatoração de Euler
- Peneira de campo de número especial
Propósito geral
[editar | editar código-fonte]Um algoritmo de fatoração de propósito geral, também conhecido como algoritmo de categoria 2, segunda categoria ou da família Kraitchik,[10] tem um tempo de execução que depende exclusivamente do tamanho do inteiro a ser fatorado. Este é o tipo de algoritmo usado para fatorar os números RSA. A maioria dos algoritmos de fatoração de propósito geral é baseada no método de congruência de quadrados.
- Método de fatoração de Dixon
- Fatoração de fração contínua (CFRAC)
- Peneira quadrática
- Peneira racional
- Peneira de campo de número geral
- Fatoração de formas quadradas de Shanks (SQUFOF)
Outros algoritmos notáveis
[editar | editar código-fonte]- Algoritmo de Shor, para computadores quânticos
Tempo de execução heurística
[editar | editar código-fonte]Na teoria dos números, existem muitos algoritmos de fatoração de inteiros que heuristicamente têm tempo de execução esperado
em o-pequeno e notação L. Alguns exemplos desses algoritmos são o método de curva elíptica e a peneira quadrática. Outro algoritmo é o método de relações de grupo de classes proposto por Schnorr, [11] Seysen[12] e Lenstra,[13] que eles provaram apenas assumindo a hipótese generalizada de Riemann (GRH) não comprovada.
Tempo de execução rigoroso
[editar | editar código-fonte]O algoritmo probabilístico Schnorr-Seysen-Lenstra foi rigorosamente comprovado por Lenstra e Pomerance[14] para ter tempo de execução esperado substituindo a suposição GRH pelo uso de multiplicadores. O algoritmo usa o grupo de classes de formas quadráticas binárias positivas do discriminante Δ denotado por GΔ. GΔ é o conjunto de triplos de inteiros (a, b, c) em que esses inteiros são primos relativos.
Algoritmo Schnorr-Seysen-Lenstra
[editar | editar código-fonte]Dado um número inteiro n que será fatorado, onde n é um número inteiro positivo ímpar maior que uma certa constante. Neste algoritmo de fatoração, o discriminante Δ é escolhido como um múltiplo de n, Δ = −dn, onde d é algum multiplicador positivo. O algoritmo espera que para um d existam formas suaves suficientes em GΔ. Lenstra e Pomerance mostram que a escolha de d pode ser restrita a um pequeno conjunto para garantir o resultado de suavidade.
Denote por PΔ o conjunto de todos os primos q com o símbolo de Kronecker . Construindo um conjunto de geradores de GΔ e formas primas fq de GΔ com q em PΔ, uma sequência de relações entre o conjunto de geradores e fq é produzida. O tamanho de q pode ser limitado por para alguma constante .
A relação que se usará é uma relação entre o produto de potências que é igual ao elemento neutro de GΔ. Essas relações serão usadas para construir a chamada forma ambígua de GΔ, que é um elemento de GΔ da ordem de divisão 2. Calculando a fatoração correspondente de Δ e tomando um mdc, esta forma ambígua fornece a fatoração prima completa de n . Este algoritmo possui estas etapas principais:
Seja n o número a ser fatorado.
- Seja Δ um número inteiro negativo com Δ = −dn, onde d é um multiplicador e Δ é o discriminante negativo de alguma forma quadrática.
- Pega os primeiros t primos , para algum .
- Seja uma forma primária aleatória de GΔ com .
- Encontra um conjunto gerador X de GΔ
- Coleta uma sequência de relações entre o conjunto X e {fq : q ∈ PΔ} satisfazendo:
- Constrói uma forma ambígua que é um elemento f ∈ GΔ de ordem dividindo 2 para obter uma fatoração coprima do maior divisor ímpar de Δ em que
- Se a forma ambígua fornece uma fatoração de n, então para, caso contrário, encontra outra forma ambígua até que a fatoração de n seja encontrada. Para evitar a geração de formas ambíguas inúteis, constrói o grupo 2-Sylow Sll2(Δ) de G(Δ).
Para obter um algoritmo de fatoração de qualquer inteiro positivo, é necessário adicionar algumas etapas a esse algoritmo, como a divisão experimental e o teste de soma de Jacobi.
Tempo de execução previsto
[editar | editar código-fonte]O algoritmo, conforme declarado, é um algoritmo probabilístico, pois faz escolhas aleatórias. Seu tempo de execução esperado é no máximo .[14]
Ver também
[editar | editar código-fonte]Notas
[editar | editar código-fonte]- ↑ Antunes, Cristiane Medina (2002). Métodos de fatoração de números inteiros (PDF). Col: Matemática Aplicada. [S.l.]: Universidade Federal do Rio Grande do Sul (UFRGS). Resumo divulgativo
- ↑ «Logaritmos discretos e fatoração de 795 bits» (em inglês). Arquivado do original em 2 de dezembro de 2019
- ↑ Kleinjung; et al. (18 de fevereiro de 2010). «Fatoração de um módulo RSA de 768 bits» (PDF). Associação internacional de pesquisa criptológica (em inglês). Consultado em 9 de agosto de 2010
- ↑ Krantz, Steven G. (2011), A prova está no pudim: a natureza mutável da prova matemática, ISBN 978-0-387-48908-7 (em inglês), Nova Iorque: Springer, p. 203, MR 2789493, doi:10.1007/978-0-387-48744-1
- ↑ Arora, Sanjeev; Barak, Boaz (2009), Complexidade computacional, ISBN 978-0-521-42426-4 (em inglês), Cambridge: Imprensa universitária de Cambridge, p. 230, MR 2500087, doi:10.1017/CBO9780511804090
- ↑ Goldreich, Oded; Wigderson, Avi (2008), «IV.20 Complexidade computacional», in: Gowers, Timothy; Barrow-Green, June; Leader, Imre, O companheiro de Princeton para a matemática, ISBN 978-0-691-11880-2 (em inglês), Princeton, Nova Jérsei: Imprensa universitária de Princeton, pp. 575 à 604, MR 2467561. Ver p. 583 em particular.
- ↑ Buhler, J. P.; Lenstra, H. W. Jr.; Pomerance, Carl (1993). Fatoração de números inteiros com a peneira de campo de número (em inglês) Notas de aula em matemática, volume 1554 ed. [S.l.]: Springer. pp. 50 à 94. ISBN 978-3-540-57013-4. doi:10.1007/BFb0091539. Consultado em 12 de março de 2021
- ↑ Vandersypen, Lieven M. K.; et al. (2001). «Realização experimental do algoritmo de fatoração quântica de Shor usando ressonância magnética nuclear». Nature (em inglês). 414 (6866): 883 à 887. Bibcode:2001Natur.414..883V. PMID 11780055. arXiv:quant-ph/0112176. doi:10.1038/414883a
- ↑ Lance Fortnow (13 de setembro de 2002). «Blogue de complexidade computacional: aula de complexidade da semana: fatoração» (em inglês)
- ↑ a b David Bressoud e Stan Wagon (2000). Um curso em teoria dos números computacionais (em inglês). [S.l.]: Key College Publishing/Springer. pp. 168 e 169. ISBN 978-1-930190-10-8
- ↑ Schnorr, Claus P. (1982). «Análise refinada e melhorias em alguns algoritmos de fatoração». Jornal de algoritmos (em inglês). 3 (2): 101 à 127. MR 0657269. doi:10.1016/0196-6774(82)90012-8
- ↑ Seysen, Martin (1987). «Um algoritmo de fatoração probabilística com formas quadráticas de discriminante negativo». Matemática da computação (em inglês). 48 (178): 757 à 780. MR 0878705. doi:10.1090/S0025-5718-1987-0878705-X
- ↑ Lenstra, Arjen K (1988). «Fatoração rápida e rigorosa sob a hipótese generalizada de Riemann». Análise Matemática (em inglês). 50 (4): 443 à 454. doi:10.1016/S1385-7258(88)80022-2
- ↑ a b Lenstra, H. W.; Pomerance, Carl (julho de 1992). «Um limite de tempo rigoroso para números inteiros de fatoração» (PDF). Jornal da sociedade matemática americana (em inglês). 5 (3): 483 à 516. MR 1137100. doi:10.1090/S0894-0347-1992-1137100-0
Referências
[editar | editar código-fonte]- Richard Crandall e Carl Pomerance (2001). Números primos: uma perspectiva computacional (em inglês). [S.l.]: Springer. ISBN 0-387-94777-9 Capítulo 5: Algoritmos de fatoração exponencial, páginas 191 à 226. Capítulo 6: Algoritmos de fatoração subexponencial, pàginas 227 à 284. Seção 7.4: Método da curva elíptica, pàginas 301 à 313.
- Donald Knuth. A arte da programação de computadores, Volume 2: Algoritmos seminuméricos, Terceira edição. Addison-Wesley, 1997. ISBN 0-201-89684-2. Seção 4.5.4: Fatoração em primos, páginas 379 à 417.
- Samuel S. Wagstaff Jr. (2013). A alegria de fatorar (em inglês). Providence, RI: Sociedade americana de matemática. ISBN 978-1-4704-1048-3.
- Warren Jr., Henry S. (2013). Deleite do hacker (em inglês) 2 ed. [S.l.]: Addison Wesley - Pearson Education. ISBN 978-0-321-84268-8
Ligações externas
[editar | editar código-fonte]- msieve - SIQS e NFS - ajudou a completar algumas das maiores fatorações públicas conhecidas (em inglês)
- Richard P. Brent, "Progressos recentes e perspectivas para algoritmos de fatoração inteira", computação e combinatória, 2000, páginas 3 à 22. download (em inglês)
- Manindra Agrawal, Neeraj Kayal, Nitin Saxena, "Os primos estão em P." Procedimentos da matemática 160(2): 781 à 793 (2004) (PDF 2005 em inglês)
- RSA-240, na Wikipédia Anglofônica
- Eric W. Weisstein, “Notícias da manchete do mundo da matemática “RSA-640 fatorado”, 8 de novembro de 2005 (em inglês)