Fatoração de inteiros: diferenças entre revisões

Na teoria dos números, a fatoração de inteiros é a decomposição de um número composto em um produto de números inteiros menores. Se esses fatores forem ainda mais restritos aos números primos, o processo é denominado fatoração prima.

Quando os números são suficientemente grandes, nenhum algoritmo de fatoração de números inteiros não quântico eficiente é conhecido. No entanto, não foi comprovado que não existe um algoritmo eficiente. A suposta dificuldade desse problema está no cerne de algoritmos amplamente usados em criptografia, como o RSA. Muitas áreas da matemática e da ciência da computação foram utilizadas para lidar com o problema, incluindo curvas elípticas, teoria algébrica dos números e computação quântica.

Em 2019, Fabrice Boudot, Pierrick Gaudry, Aurore Guillevic, Nadia Heninger, Emmanuel Thomé e Paul Zimmermann fatoraram um número de 240 dígitos (795 bits) (RSA-240) utilizando aproximadamente 900 anos-núcleo de poder de computação.^[1] Os pesquisadores estimaram que um módulo RSA de 1024 bits levaria cerca de 500 vezes mais tempo.^[2]

Nem todos os números de um determinado comprimento são igualmente difíceis de fatorar. Os exemplos mais difíceis desses problemas (para as técnicas atualmente conhecidas) são os semiprimos, o produto de dois números primos. Quando ambos são grandes (mais de dois mil bits de comprimento, por exemplo), escolhidos aleatoriamente e quase do mesmo tamanho (mas não muito próximos para evitar a fatoração eficiente pelo método de fatoração de Fermat, por exemplo), mesmo os algoritmos de fatoração mais rápidos nos computadores mais rápidos podem levar tempo suficiente para tornar a pesquisa impraticável. Isto é, conforme o número de dígitos dos primos sendo fatorados aumenta, o número de operações necessárias para realizar a fatoração em qualquer computador aumenta drasticamente.

Muitos protocolos criptográficos são baseados na dificuldade de fatorar grandes inteiros compostos ou um problema relacionado (o problema RSA, por exemplo). Um algoritmo que fatora com eficiência um número inteiro arbitrário tornaria a criptografia de chave pública baseada em RSA insegura.

Decomposição prima

Pelo teorema fundamental da aritmética, todo número inteiro positivo tem uma única fatoração prima. (Por convenção, 1 é o produto vazio.) Testar se o inteiro é primo pode ser feito em tempo polinomial, por exemplo, pelo teste de primalidade AKS. Se composto, entretanto, os testes de tempo polinomial não fornecem nenhuma visão sobre como obter os fatores.

Dado um algoritmo geral para fatoração de inteiros, qualquer inteiro pode ser fatorado em seus fatores primos constituintes pela aplicação repetida deste algoritmo. A situação é mais complicada com algoritmos de fatoração de propósito especial, cujos benefícios podem não ser percebidos tão bem ou mesmo de todo com os fatores produzidos durante a decomposição. Por exemplo, se n = 171 × p × q onde p < q são primos muito grandes, a divisão experimental produzirá rapidamente os fatores 3 e 19, mas fará p divisões para encontrar o próximo fator. Como um exemplo de contraste, se n for o produto dos primos 13729, 1372933 e 18848997161, onde 13729 × 1372933 = 18848997157, o método de fatoração de Fermat começará com ${\displaystyle \lceil {\sqrt {n}}\rceil =18848997159}$ que imediatamente produz ${\textstyle b={\sqrt {a^{2}-n}}={\sqrt {4}}=2b}$ e, portanto, os fatores a − b = 18848997157 e a + b = 18848997161. Embora estes sejam facilmente reconhecidos como composto e primo respectivamente, o método de Fermat levará muito mais tempo para fatorar o número composto porque o valor inicial de ${\textstyle \lceil {\sqrt {18848997157}}\rceil =137292}$ para a está longe de 1372933.

Estado da arte atual

Entre os números de bit b, os mais difíceis de fatorar na prática usando os algoritmos existentes são aqueles que são produtos de dois primos de tamanho semelhante. Por esse motivo, esses são os números inteiros usados em aplicativos criptográficos. O maior semiprimo já fatorado era RSA-250, um número de 829 bits com 250 dígitos decimais, em fevereiro de 2020. O tempo total de computação foi de aproximadamente 2.700 anos-núcleo de computação usando Intel Xeon Gold 6130 a 2,1 GHz. Como todos os registros de fatoração recentes, esta fatoração foi concluída com uma implementação altamente otimizada da peneira de campo de número geral executada em centenas de máquinas.

Dificuldade e complexidade

Não foi publicado nenhum algoritmo que pode fatorar todos os inteiros em tempo polinomial, ou seja, que pode fatorar um número n de bits b no tempo O(b^k) para alguma constante k. Nem a existência nem a inexistência de tais algoritmos foram provadas, mas geralmente se suspeita que eles não existem e, portanto, o problema não está na classe P.^[3][4] O problema está claramente na classe NP, mas geralmente se suspeita que não seja NP-completo, embora isso não tenha sido provado.^[5]

Existem algoritmos publicados que são mais rápidos que O((1 + ε)^b) para todos os ε positivos, ou seja, subexponenciais. Em 12 de março de 2021, o algoritmo com melhor tempo de execução assintótico teórico foi o peneira de campo de número geral (GNFS), publicado pela primeira vez em 1993,^[6] rodando em um número n de bits b no tempo:

${\displaystyle \exp \left(\left({\sqrt[{3}]{\frac {64}{9}}}+o(1)\right)(\ln n)^{\frac {1}{3}}(\ln \ln n)^{\frac {2}{3}}\right).}$

Para os computadores atuais, o GNFS é o melhor algoritmo publicado para n grandes (mais de cerca de 400 bits). Entretanto, Peter Shor descobriu, em 1994, um algoritmo para um computador quântico que resolve isso em tempo polinomial. Isso terá implicações significativas para a criptografia se a computação quântica se tornar escalável. O algoritmo de Shor leva apenas tempo O(b³) e espaço O(b) nas entradas de número de bits b. Em 2001, o algoritmo de Shor foi implementado pela primeira vez, usando técnicas de ressonância magnética nuclear (NMR) em moléculas que fornecem 7 qubits.^[7]

Não se sabe exatamente quais classes de complexidade contêm a versão de decisão do problema de fatoração de inteiros (isto é: n tem um fator menor que k?). Se sabe que está tanto em NP quanto em co-NP, o que significa que as respostas "sim" e "não" podem ser verificadas em tempo polinomial. Uma resposta "sim" pode ser certificada exibindo uma fatoração n = d(n/d) com d ≤ k. Uma resposta "não" pode ser certificada exibindo a fatoração de n em primos distintos, todos maiores do que k. Se pode verificar sua primalidade usando o teste de primalidade AKS e, então, multiplicá-los para obter n. O teorema fundamental da aritmética garante que há apenas uma série possível de números primos crescentes que serão aceitos, o que mostra que o problema está tanto em UP quanto em co-UP.^[8] É conhecido por estar no BQP por causa do algoritmo de Shor.

Se suspeita que o problema esteja fora de todas as três classes de complexidade P, NP-completo e co-NP-completo. Portanto, é um candidato à classe de complexidade NP-intermediário. Se pudesse ser provado ser NP-completo ou co-NP-completo, isso implicaria NP = co-NP, um resultado muito surpreendente e, portanto, a fatoração inteira é amplamente suspeita de estar fora de ambas as classes. Muitas pessoas tentaram encontrar algoritmos clássicos de tempo polinomial para ele e falharam e, portanto, é amplamente suspeito de estar fora de P.

Em contraste, o problema de decisão "n é um número composto?" (ou de forma equivalente: "n é um número primo?") parece ser muito mais fácil do que o problema de especificar fatores de n. O problema composto/primo pode ser resolvido em tempo polinomial (no número b de dígitos de n) com o teste de primalidade AKS. Além disso, existem vários algoritmos probabilísticos que podem testar a primalidade muito rapidamente na prática, se alguém estiver disposto a aceitar uma possibilidade cada vez menor de erro. A facilidade do teste de primalidade é uma parte crucial do algoritmo RSA, pois é necessário encontrar grandes números primos para começar.

Algoritmos de fatoração

Finalidade especial

O tempo de execução de um algoritmo de fatoração de propósito especial depende das propriedades do número a ser fatorado ou de um de seus fatores desconhecidos: tamanho, forma especial, etc. Os parâmetros que determinam o tempo de execução variam entre os algoritmos.

Uma subclasse importante de algoritmos de fatoração de propósito especial são os algoritmos de categoria 1 ou primeira categoria, cujo tempo de execução depende do tamanho do menor fator primo. Dado um número inteiro de forma desconhecida, esses métodos são geralmente aplicados antes dos métodos de uso geral para remover pequenos fatores.^[9] Por exemplo, a divisão experimental ingênua é um algoritmo de categoria 1.

• divisão experimental
• Fatoração de roda
• Algoritmo rô de Pollard
• Algoritmos de fatoração de grupo algébrico, entre os quais estão o algoritmo p - 1 de Pollard, o algoritmo p + 1 de Williams e a fatoração de curva elíptica de Lenstra
• Método de fatoração de Fermat
• Método de fatoração de Euler
• Peneira de campo de número especial

Propósito geral

Um algoritmo de fatoração de propósito geral, também conhecido como algoritmo de categoria 2, segunda categoria ou da família Kraitchik,^[9] tem um tempo de execução que depende exclusivamente do tamanho do inteiro a ser fatorado. Este é o tipo de algoritmo usado para fatorar os números RSA. A maioria dos algoritmos de fatoração de propósito geral é baseada no método de congruência de quadrados.

• Método de fatoração de Dixon
• Fatoração de fração contínua (CFRAC)
• Peneira quadrática
• Peneira racional
• Peneira de campo de número geral
• Fatoração de formas quadradas de Shanks (SQUFOF)

Outros algoritmos notáveis

• Algoritmo de Shor, para computadores quânticos

Tempo de execução heurística

Na teoria dos números, existem muitos algoritmos de fatoração de inteiros que heuristicamente têm tempo de execução esperado

${\displaystyle L_{n}\left[{\tfrac {1}{2}},1+o(1)\right]=e^{(1+o(1)){\sqrt {(\log n)(\log \log n)}}}}$

em o-pequeno e notação L. Alguns exemplos desses algoritmos são o método de curva elíptica e a peneira quadrática. Outro algoritmo é o método de relações de grupo de classes proposto por Schnorr, ^[10] Seysen^[11] e Lenstra,^[12] que eles provaram apenas assumindo a hipótese generalizada de Riemann (GRH) não comprovada.

Tempo de execução rigoroso

O algoritmo probabilístico Schnorr-Seysen-Lenstra foi rigorosamente comprovado por Lenstra e Pomerance^[13] para ter tempo de execução esperado ${\displaystyle L_{n}\left[{\tfrac {1}{2}},1+o(1)\right]}$ substituindo a suposição GRH pelo uso de multiplicadores. O algoritmo usa o grupo de classes de formas quadráticas binárias positivas do discriminante Δ denotado por G_Δ. G_Δ é o conjunto de triplos de inteiros (a, b, c) em que esses inteiros são primos relativos.

Algoritmo Schnorr-Seysen-Lenstra

Dado um número inteiro n que será fatorado, onde n é um número inteiro positivo ímpar maior que uma certa constante. Neste algoritmo de fatoração, o discriminante Δ é escolhido como um múltiplo de n, Δ = −dn, onde d é algum multiplicador positivo. O algoritmo espera que para um d existam formas suaves suficientes em G_Δ. Lenstra e Pomerance mostram que a escolha de d pode ser restrita a um pequeno conjunto para garantir o resultado de suavidade.

Denote por P_Δ o conjunto de todos os primos q com o símbolo de Kronecker ${\displaystyle \left({\tfrac {\Delta }{q}}\right)=1}$. Construindo um conjunto de geradores de G_Δ e formas primas f_q de G_Δ com q em P_Δ, uma sequência de relações entre o conjunto de geradores e f_q é produzida. O tamanho de q pode ser limitado por ${\displaystyle c_{0}(\log |\Delta |)^{2}}$ para alguma constante ${\displaystyle c_{0}}$.

A relação que se usará é uma relação entre o produto de potências que é igual ao elemento neutro de G_Δ. Essas relações serão usadas para construir a chamada forma ambígua de G_Δ, que é um elemento de G_Δ da ordem de divisão 2. Calculando a fatoração correspondente de Δ e tomando um mdc, esta forma ambígua fornece a fatoração prima completa de n . Este algoritmo possui estas etapas principais:

Seja n o número a ser fatorado.

1. Seja Δ um número inteiro negativo com Δ = −dn, onde d é um multiplicador e Δ é o discriminante negativo de alguma forma quadrática.
2. Pega os primeiros t primos ${\displaystyle p_{1}=2,p_{2}=3,p_{3}=5,\dots ,p_{t}}$, para algum ${\displaystyle t\in {\mathbb {N} }}$.
3. Seja ${\displaystyle f_{q}}$ uma forma primária aleatória de G_Δ com ${\displaystyle \left({\tfrac {\Delta }{q}}\right)=1}$.
4. Encontra um conjunto gerador X de G_Δ
5. Coleta uma sequência de relações entre o conjunto X e {f_q : q ∈ P_Δ} satisfazendo: ${\displaystyle \left(\prod _{x\in X_{}}x^{r(x)}\right).\left(\prod _{q\in P_{\Delta }}f_{q}^{t(q)}\right)=1}$
6. Constrói uma forma ambígua ${\displaystyle (a,b,c)}$ que é um elemento f ∈ G_Δ de ordem dividindo 2 para obter uma fatoração coprima do maior divisor ímpar de Δ em que ${\displaystyle \Delta =-4ac{\text{ or }}a(a-4c){\text{ or }}(b-2a)(b+2a)}$
7. Se a forma ambígua fornece uma fatoração de n, então para, caso contrário, encontra outra forma ambígua até que a fatoração de n seja encontrada. Para evitar a geração de formas ambíguas inúteis, constrói o grupo 2-Sylow Sll₂(Δ) de G(Δ).

Para obter um algoritmo de fatoração de qualquer inteiro positivo, é necessário adicionar algumas etapas a esse algoritmo, como a divisão experimental e o teste de soma de Jacobi.

Tempo de execução previsto

O algoritmo, conforme declarado, é um algoritmo probabilístico, pois faz escolhas aleatórias. Seu tempo de execução esperado é no máximo ${\displaystyle L_{n}\left[{\tfrac {1}{2}},1+o(1)\right]}$.^[13]

Ver também

• Fatoração

Notas

Referências

• Richard Crandall e Carl Pomerance (2001). Números primos: uma perspectiva computacional (em inglês). [S.l.]: Springer. ISBN 0-387-94777-9  Capítulo 5: Algoritmos de fatoração exponencial, páginas 191 à 226. Capítulo 6: Algoritmos de fatoração subexponencial, pàginas 227 à 284. Seção 7.4: Método da curva elíptica, pàginas 301 à 313.
• Donald Knuth. A arte da programação de computadores, Volume 2: Algoritmos seminuméricos, Terceira edição. Addison-Wesley, 1997. ISBN 0-201-89684-2. Seção 4.5.4: Fatoração em primos, páginas 379 à 417.
• Samuel S. Wagstaff Jr. (2013). A alegria de fatorar (em inglês). Providence, RI: Sociedade americana de matemática. ISBN 978-1-4704-1048-3 .
• Warren Jr., Henry S. (2013). Deleite do hacker (em inglês) 2 ed. [S.l.]: Addison Wesley - Pearson Education. ISBN 978-0-321-84268-8 

Ligações externas

• msieve - SIQS e NFS - ajudou a completar algumas das maiores fatorações públicas conhecidas (em inglês)
• Richard P. Brent, "Progressos recentes e perspectivas para algoritmos de fatoração inteira", computação e combinatória, 2000, páginas 3 à 22. download (em inglês)
• Manindra Agrawal, Neeraj Kayal, Nitin Saxena, "Os primos estão em P." Procedimentos da matemática 160(2): 781 à 793 (2004). Versão PDF de agosto de 2005 (em inglês)
• Eric W. Weisstein, “Notícias da manchete do mundo da matemática “RSA-640 fatorado”, 8 de novembro de 2005 (em inglês)