Pollardova p-1 metoda

Pollardova p-1 metoda je algoritmus z oboru teorie čísel sloužící k rozložení složených čísel na jejich prvočíselný rozklad. Zveřejnil jej v roce 1974 britský matematik John Pollard a jedná se o algoritmus vhodný pro složená čísla, jejichž dělitel bez jedné je v nejjednodušší verzi algoritmu hladké číslo, v pokročilých verzích se od hladkosti příliš neodchyluje.

Algoritmus je užitečný pro rozkládání náhodných čísel. V kryptografických užitích (např. při použití algoritmu RSA) se s ním počítá a složená čísla se volí tak, aby byla vůči rozložení tímto algoritmem odolná.

Jádrem algoritmu je úvaha vycházející z Malé Fermatovy věty, totiž že pro libovolné prvočíslo ${\displaystyle p}$ a libovolné s ním nesoudělné číslo ${\displaystyle a}$ platí

${\displaystyle a^{p-1}\equiv 1modp}$, tedy ${\displaystyle a^{p-1}-1\equiv 0modp}$, tedy ${\displaystyle p}$ dělí ${\displaystyle a^{p-1}-1}$

Tato rovnost platí i pro případ, kdy ${\displaystyle p}$ je hledaný prvočíselný dělitel nějakého složeného čísla ${\displaystyle n}$. V takovém případě navíc platí, že největší společný dělitel ${\displaystyle n}$ a ${\displaystyle a^{p-1}-1}$ bude dělitelný ${\displaystyle p}$ (a lze ho rychle spočítat Eukleidovým algoritmem). A také platí, že vše výše platí i s exponentem, který není přímo ${\displaystyle p-1}$, ale jeho libovolný nenulový násobek. Tedy pokud bude nějaké ${\displaystyle a}$ umocněno na ${\displaystyle r=s(p-1)}$, bude ${\displaystyle \mathrm{NSD}(a^r-1,n)}$ dělitelné ${\displaystyle p}$ a pravděpodobně rovno přímo ${\displaystyle p}$. Pro vhodnou volbu ${\displaystyle r}$ lze tedy tím způsobem získat hodnotu ${\displaystyle p}$. Algoritmus dále počítá s tím, že když se vynásobí všechna malá prvočísla až do vhodné meze ${\displaystyle B}$, bude (pro náhodné dělitele) s nemalou pravděpodobností ${\displaystyle p-1}$ skutečně B-hladké.

Rozšířené verze algoritmu jednak počítají nejen s prvočísly do meze ${\displaystyle B}$, ale i s jejich mocninami do dané meze, jednak se pak přidává pronásobení exponentu jednotlivými prvočísly nad mez pro případ, že ${\displaystyle p-1}$ bylo skoro B-hladké - totiž že by mělo jako dělitele samé mocniny prvočísel menší než B a kromě nich jen jedno prvočíslo jen trochu větší než B.

Pronásobování jednotlivými exponenty přitom lze provádět poměrně efektivně. Je-li spočítáno ${\displaystyle b^{p_i}}$ a je potřeba zjistit ${\displaystyle b^{p_{i+1}}}$, lze je spočítat vzorcem

${\displaystyle b^{p_{i+1}}=b^{p_i}\cdot b^{p_{i+1}-p_i}}$

Rozdíl ${\displaystyle d_i=p_i-p_{i+1}}$ je přitom poměrně malý, takže má krátké vyjádření v dvojkové soustavě ${\displaystyle d_i={\displaystyle \sum _{j=0}^k}{2}^{t_j}}$ a potom tedy

${\displaystyle b^{p_{i+1}}=b^{p_i}\cdot {\displaystyle \prod _{j=0}^k}{b}^{2^{t_j}}}$

Hodnoty ${\displaystyle b}$ umocněné na mocniny dvou lze přitom mít předpočítané v tabulce a místo mocnění lze tedy změnu velkého prvočísla v exponentu realizovat rychlejším násobením.

Algoritmus má v nejhorším případě exponenciální časovou složitost, ovšem vhodný typ dělitelů dokáže najít velmi rychle.