ALGORITMY TEORIE ČÍSEL
Radan Kučera
Literatura
[Ca] Cassels J. W. S.: An Introduction to Diophantine Approximation, University Press, Cambridge, 1965.
[C] Cohen H.: A Course in Computational Algebraic Number Theory, Graduate Texts in Mathematics 138, Springer-Verlag, Berlin, Heidelberg, New York 1993, kapitoly 8-10.
[K] Knuth D.E., The Art of Computer Programming, díl 2: Seminumerical Algo-rithms, (druhé vydání), Addison-Wesley, Reading, Mass., 1981.
[L] Lenstra A. K., Lenstra H. W. Jr.: Algorithms in Number Theory, v Handbook of Theoretical Computer Science, kapitola 12, Elsevier Science Publishers B.V., 1990.
[R] Rosický J., Algebra, Grupy a okruhy, skriptum MU, 2000.
Úvod
Cílem této přednášky je ukázat, jak silné a účinné jsou prostředky, založené na výsledcích teorie čísel, při řešení některých matematických problémů. Protože jsem se nechtěl této problematice věnovat jen povrchně, ale přitom jsem měl k disposici jen jeden semestr, bylo třeba se zaměřit pouze na jeden problém a v tomto problému se dostat dost hluboko. Při rozhodování, kterému problému se věnovat, jsem vyloučil ty problémy, které se objevují při stavbě teorie čísel samotné, neboť jsem chtěl dokumentovat její užitečnost i pro ostatní matematiku. Proto jsem si nakonec zvolil problém na první pohled banálně jednoduchý, na který se však narazí na samém počátku budování přirozených čísel a který se objevuje už ve školském učivu: rozkládání přirozeného čísla na prvočinitele. Jde o problém skutečně velmi jednoduchý, máme-li na mysli „malá" přirozená čísla, avšak pro „velká" přirozená čísla (mající řekněme 50 - 100 dekadických cifer) všechny „naivní" metody selhávají. Přesto však byly objeveny „rafinované" metody založené právě na výsledcích teorie čísel, které jsou schopny i tato „velká" přirozená čísla rozložit. A právě těmto metodám bude tato přednáška věnována. Přitom budeme využívat hlavně knihu [C].
1. Algoritmy
Obsahem této přednášky není definovat, co to je algoritmus, a ani to nebudeme potřebovat. Přesto si však blíže určeme, co budeme algoritmem rozumět: je to metoda, která pro jistý typ vstupů dává po konečné době odpověď. Jestliže zadáváme algoritmus, je třeba provést několik dalších věcí:
1. Dokázat jeho správnost, tj. ukázat, že dává skutečně požadovaný výsledek poté, co se zastaví.
2. Protože se zajímáme o praktické implementace, je třeba dát odhad, jak dlouho algoritmus poběží, je-li to možné, odhadnout čas pro nejhorší případ a také v průměru.
Vysázeno systémem Aji^S-T^ÍÍ
1
2
1. Algoritmy
Zde je třeba být opatrný: čas výpočtu budeme měřit vždy v bitových operacích, tj. počtem logických a aritmetických operacích prováděných na nulách a jedničkách. To je totiž nej realističtější model, předpokládáme-li, že používáme skutečné počítače. 3. Je třeba odhadnout i paměťovou náročnost algoritmu (měřenou v bitech). U většiny algoritmů je tato náročnost zanedbatelná a není nutné sejí zabývat, mnohdy to však může být důležité.
Pro potřeby časové náročnosti budeme velikost vstupů měřit počtem bitů, které jsou zapotřebí pro jejich zápis (např. pro vstup přirozeného čísla N je třeba 1 + [log2 N] bitů).
Definice. Nechť (an)^=1, (bn)^=1 jsou posloupnosti. Řekneme, že posloupnost (°n)^=i Je řádu 0(bn), jestliže platí
0 < lim sup
n
< OO.
Řekneme, že posloupnost (an)^=1 je řádu o(bn), jestliže existuje
lim ^ = 0.
n—>-oo b
n
Protože se budeme zabývat algoritmy, jejichž cílem je rozložit přirozené číslo na prvočinitele, můžeme předpokládat, že vstupem pro náš algoritmus je jediné přirozené číslo N. V obecnějším případě by bylo třeba nahradit v následující definici lniV počtem bitů potřebných pro zapsání celého vstupu.
Definice. Řekneme, že algoritmus je polynomiálního času, jestliže čas, po který algoritmus poběží, najde-li na vstupu přirozené číslo N, je řádu o(lnk N) pro nějaké přirozené číslo k.
Řekneme, že algoritmus je lineárního (resp. kvadratického, resp. kubického) času, je-li tento čas řádu 0(hiN), (resp. O (In2 N), resp. O (In3 N)).
Je-li tento čas řádu o(Na) pro každé kladné reálné číslo a a přitom algoritmus není polynomiálního času, řekneme, že algoritmus je subexponenciálního času.
Konečně, je-li tento čas řádu 0(Na) pro nějaké kladné reálné číslo a, řekneme, že algoritmus je exponenciálního času.
Příklad. Později se setkáme s algoritmy, jejichž čas je řádu
0(ec(InJV)«(InInJV)6^
kde a, b, c jsou kladná reálná čísla, přičemž a + b = 1. Ověřte si, že tyto algoritmy jsou subexponenciálního času.
Uvedená „definice" algoritmu, ačkoli je značně vágní, je přesto často příliš striktní pro praktické účely. Budeme také potřebovat „pravděpodobnostní algoritmy", jejichž běh závisí na jistém zdroji náhodných čísel. Takový „algoritmus" by vlastně ani algoritmem nazýván být neměl, protože je zde možnost (pravděpodobnosti nula), že nikdy neskončí. Zkušenosti však ukazují, že tyto „pravděpodobnostní algoritmy" jsou často efektivnější než ostatní a mnohdy jsou jediné, které máme k disposici. Na druhé straně rozhodně nebudeme nazývat algoritmem metodu, produkující výsledek, který je s vysokou pravděpodobností správný. Je podstatné, že algoritmus dává správné výsledky (odhlédneme-li od chyb člověka či počítače při jeho provádění).
3. Největší společný dělitel
3
Příklad. V posluchárně si nechám nadiktovat od několika posluchačů postupně 100 cifer. Pak odpovím, že vzniklé stociferné číslo není druhou mocninou přirozeného čísla. Asi budu mít pravdu, protože mezi 9 • 10" stocifernými čísly je jen asi 1050 —1049 • vTÔ = 6, 84 • 1049 druhých mocnin přirozených čísel, tedy pravděpodobnost neúspěchu je menší než 10-50. Přesto však nemůže být řeči o algoritmu.
Je vhodné si uvědomit, že u pravděpodobnostních algoritmů nemá smysl hovořit o nejdelším možném času výpočtu, ale o očekávaném času výpočtu.
2. Počítání s velkými čísly
Velice často budeme potřebovat provádět výpočty s celými čísly, jejichž absolutní hodnota je značně velká. Proto budeme předpokládat, že máme k disposici software, ve kterém je možné provádět základní algebraické operace s čísly, majícími řekněme 1000 dekadických cifer. Nejznámější systémy, které takové výpočty umožňují, jsou asi MATHEMATICA a MAPLE, jejichž nevýhodou je, že jsou komerční a jsou poměrně drahé. Méně známý systém je PARI-GP, který je zaměřen na teorii čísel. Je volně šiřitelný a je ho tedy možné získat zdarma.
Pro získání představy o časové náročnosti jednotlivých operacích je však vhodné si představit, že systém umožňující operace s libovolně velkými celými čísly máme vytvořit. Taková čísla budeme zapisovat v poziční soustavě o vhodném základu a operace budeme provádět podobně jako jsme to zvyklí dělat na papíře s dekadickými čísly. Je zřejmé, že lineární časovou náročnost bude mít sčítání a odčítání, dále pak násobení „malým" přirozeným číslem a násobení či dělení se zbytkem mocninou zvoleného základu. Naproti tomu kvadratickou časovou náročnost bude mít obecné násobení a dělení se zbytkem. Pokud se týká vstupu a výstupu, časová závislost je lineární nebo kvadratická v závislosti na tom, zda zvolený základ je či není mocninou deseti. Protože pro aritmetické operace je výhodnější, je-li základ zvolené poziční sopustavy mocnina dvou, je tato volba nejvhodnější. Obvykle totiž čas potřebný pro vstup a výstup je pouze zanedbatelná část celkové doby výpočtu a obvykle je dominován časem pro fyzický zápis. Pro zajímavost si uveďme, že v PARI-GP je základem mocnina dvou, kdežto MAPLE používá mocninu deseti.
Uveďme si ještě, že jsou známy algoritmy pro násobení a dělení nbitových čísel, které dosahují menší časové náročnosti než „metoda tužky a papíru". Nejlepší z nich, kterou objevili Schónhage a Strassen, vyžaduje jen 0(n ■ ln n • ln ln n) bitových operací. Avšak tyto rafinované metody jsou rychlejší až pro čísla mající několik set dekadických cifer a více. S takovými čísly je však třeba pracovat jen zřídka a proto se patrně implementace těchto metod nevyplatí.
3. Největší společný dělitel
Často budeme potřebovat spočítat největší společný dělitel dvou celých čísel. Naivní řešení by bylo: rozlož obě čísla na součin prvočísel a poté vynásob společné činitele. Ale to je postup, který se osvědčí jen pro čísla s velmi malou absolutní hodnotou (řekněme do 100) nebo v případě, že víme, že některé z daných čísel je prvočíslo a stačí tedy provést jen jedno dělení se zbytkem.  Mnohem výhodnější je výpočet největšího společného
4
3. Největší společný dělitel
dělitele pomocí Euklidova algoritmu, který je patrně nejstarší a nejdůležitější algoritmus teorie čísel.
Algoritmus (Euklidův). Pro daná nezáporná celá čísla a, b algoritmus najde jejich největší společný dělitel.
1. [Jsi hotov?] Je-li 6 = 0, pak vytiskni a jako odpověď a skonči.
2. [Euklidovský krok] Polož r <— amodb, a <— b, b <— r a jdi na 1.
Pro určení časové náročnosti je třeba vědět, kolikrát se provede Euklidovský krok. Platí následující věta1
Věta. 1. Je-li l<a<N,l<b<N, pak počet Euklidovských kroků v předchozím algoritmu je roven nejvýše
~ln(V5N)
í+Vš
ln 2
2 « 2, 078 ln ÍV+ 1,672.
2. Průměrný počet Euklidovských kroků v předchozím algoritmu pro a, b E {1,..., N} je roven přibližně
121?2 lniV + 0,14^ 0,843lniV +0,14.
TV2
Je tedy počet kroků algoritmu konstanta vynásobená lniV. Každý krok vyžaduje dlouhé dělení, které je kvadratického času. Proto je tento algoritmus kubického času. Existuje však trik, jak algoritmus výrazně urychlit: v průběhu výpočtu jsou a, b stále menší a menší, proto je možné průběžně snižovat potřebný počet cifer v naší poziční soustavě. Všimněme si, že při výpočtu Euklidovského kroku a = bq + r je časová náročnost 0((lna)(l + mg)), tedy celkový čas je omezen řádem
0((lniV)((£mg) + 0(lniV))).
Ale
£lng = lnn? < lniV a tedy při pečlivém naprogramování jde o algoritmus kvadratického času.
Jiná varianta Euklidova algoritmu, která je také užitečná v praxi, je tzv. binární algoritmus, ve kterém se nepoužívá dlouhé dělení, ale jen odčítání a dělení dvěma (realizované posunem). Počet kroků je větší, ale užité operace jsou rychlejší a tedy je zde určité zrychlení pro naše „velká" čísla. Je ale podstatné, aby základem naší poziční soustavy byla mocnina 2.
Algoritmus (Binární NSD). Pro daná nezáporná celá čísla a, b algoritmus najde jejich největší společný dělitel.
1. [Jednou zredukuj velikost] Je-li a < b, vyměň a s b. Je-li 6 = 0, pak vytiskni a jako odpověď a skonči. Jinak (tj. pro b ^ 0) polož r <— amodb, a <— b, b <— r.
2. [Spočítej mocninu 2] Je-li 6 = 0, pak vytiskni a jako odpověď a skonči. Jinak polož k <— 0 a dokud budou a i b sudá, opakuj k <— k + 1, a <— a/2, b <— 6/2.
3. [Odstraň přebytečné mocniny 2] Je-li a sudé, opakuj a <— a/2 dokud bude a sudé. Jinak, je-li b sudé, opakuj 6-^—6/2 dokud bude b sudé.
4. [Odečti] (Nyní jsou obě a i 6 lichá.) Polož t <— 9^-. Je-li t = 0, vytiskni 2ka jako odpověď a skonči.
5. [Cyklus] Dokud bude t sudé, opakuj t <— ŕ/2. Pak, je-li ŕ > 0, polož a <— t, jinak polož b i--ta jdi na 4.
■"^Důkaz je možno najít v knize [K].
3. Největší společný dělitel
5
Je jasné, že počet opakování kroků 4 a 5 je O(lnafe) (po každém průchodu se součin ab zmenší na méně než polovinu), odčítání i posuv jsou lineárního času, tedy opět jde o algoritmus kvadratického času. Je ovšem nezbytné všechna dělení dvěma provádět jako posuvy.
Označíme-li d největší společný dělitel celých čísel a, b, pak existují celá čísla u, v tak, že d = ua + vb (Bezoutova rovnost). V některých aplikacích budeme potřebovat spočítat nejen d, ale i čísla u, v, proto si uveďme algoritmus pro jejich výpočet.
Algoritmus (Rozšířený Euklidův). Pro daná nezáporná celá čísla a, b algoritmus najde trojici celých čísel (u,v,ď) takovou, že d je největší společný dělitel čísel a, b a platí d = ua + vb.
1. [Inicializace] Polož u <— 1, d <— a. Je-li 6 = 0, polož v <— 0, vytiskni (u,v,d) jako odpověď a skonči. Jinak polož v\ <— 0 a V3 <— b.
2. [Jsi hotov?] Je-li V3 = 0, pak polož v <— d~^w, vytiskni (u,v,d) jako odpověď a skonči.
3. [Euklidovský krok] Současně spočítej q <— [^] a Í3 <— dm.0d.v3. Pak polož t\ u — qvi, u <— vi, d <— f 3, vi <— ti, V3 <— Í3 a jdi na 2.
Poznamenejme, že „současně" v kroku 3 poukazuje na to, že obvykle instrukce „dělení se zbytkem" dává jak podíl tak i zbytek, ať už je to instrukce z assembleru nebo z nějakého softwaru pracujícího s velkými čísly. Hodnota zlomku v kroku 2 je celočíselná.
Důkaz algoritmu. Uvědomme si, že výpočty v proměnných d, V3, Í3 nezávisí na hodnotách ostatních proměnných. Přeznačíme-li je a, b, r, dostaneme právě Euklidův algoritmus, proto náš algoritmus musí skončit a po skončení je v d hledaný největší společný dělitel. Zbývá dokázat, že pak také platí au + bv = d. Za tím účelem rozšiřme daný algoritmus tak, že zavedeme další proměnné V2, ti-, v (které nebudou ovšem nikdy použity pro výpočet hodnot původních proměnných). Rozšiřme inicializační krok 1 o ri <— 0, ti <— 0, Í3 <— 0, v <— 0, V2 <— 1 a krok 3 o ti <— v — qv2, v <— ví, ví <— ti. Po skončení kroku 1 platí
(*) ati + bti = ts,      au + bv = d,      avi + bvi = vs.
Dokážeme indukcí, že (*) platí vždy, když začínáme krok 2. Zbývá ověřit, že platilo-li (*) před krokem 3, platí (*) i po něm. Abychom zabránili zmatku, budeme v důkaze nově získané hodnoty proměnných označovat čárkami. Pro q = platí:
	= d-	qv3
ti	= u —	qvi
u'	= V!	
ď	= V3	
	= u —	qvi
	= d-	
ťl	= v —	qvi
v'	= Ví	
v'i	= v —	qvi
6 3. Největší společný dělitel
Předpokládáme tedy, že (*) platí pro nečárkované proměnné a dokážeme ji pro čárkované:
ati + bť2 = a(u — qvi) + b(v — qvz) = au + bv — q(avi + bvz) = d — qv$ = ť3 au' + bv' = avi + bv2 = v 3 = ď
av[ + bv'2 = a(u — qv±) + b(v — qvz) = (au + bv) — q(avi + bvz) = d — qv$ = v'3
Dokázali jsme, že algoritmus je správný. Snadno se vidí, že oproti původnímu Euklidovu algoritmu v cyklu přibylo 1 odčítání, 1 (dlouhé) násobení a 2 přiřazení, cyklus nyní trvá asi dvakrát déle než v předchozím algoritmu. Proto i celý rozšířený Euklidův algoritmus trvá asi dvojnásobek času potřebného pro Euklidův algoritmus. Jde tedy opět o algoritmus kvadratického času.
4. Nezbytný aparát z algebry a elementární teorie čísel
V této kapitole zopakujeme aritmetiku okruhu zbytkových tříd Z/mZ, kde m e N (užíváme standardního značení: Z značí množinu či okruh celých čísel, N množinu či polookruh čísel přirozených, (a, b) je označení největšího společného dělitele celých čísel a, b).
Přestože byla v algebře teorie faktorizace okruhů podle ideálů jistě probrána a mohl jsem tedy okruh zbytkových tříd popisovat jako speciální případ faktorokruhu, rozhodl jsem se pro elementárnější výklad pomocí kongruencí s tím, že se občas zmíníme o ekvivalentním tvrzení pro okruhy zbytkových tříd. Zdá se mi totiž jednodušší hovořit například o kongruencích vzhledem ke dvěma modulům než o dvou okruzích zbytkových tříd a vztazích mezi nimi (porovnej např. obsah věty 2). Důkazy vět, které jsou zřejmé, budu vynechávat.
Definice. Nechť m E N, a, b E Z. Řekneme, že a je kongruentní s b podle modulu m, píšeme a = b (modm), jestliže m\a — b.
Věta 1. Nechť m E N, a, b, c, d E Z. Jestliže a = b (modm), c = d (modm), pak platí a + c = b + d (modm), a — c = b — d (modm), ac = bd (modm).
Je jasné, že a = b (modm) znamená právě to, že celá čísla a, b jsou obsažena v téže třídě rozkladu Z/mZ. Kongruence modulo m jsou tedy totéž co rovnosti v okruhu zbytkových tříd Z/mZ (předchozí věta neříkala nic jiného než to, že na rozkladu Z/mZ bylo možno zavést operace sčítání, odčítání a násobení pomocí reprezentantů).
Věta 2. Nechť m, k E N, a, b E Z. Pak platí a = b (modm) právě tehdy, když ak = bk (modmk).
Věta 3. Nechť m E N, a, b, k E Z. Jestliže ak = bk (modm) a navíc (m, k) = 1, pak platí a = b (mod m).
Vzhledem k tomu, že (Z/mZ) je konečný okruh, z předchozí věty snadno plyne, že v Z/mZ jsou jednotkami (tj. invertibilními prvky) právě třídy obsahující čísla nesoudělná s m.
Důkaz. Podle Bezoutovy rovnosti existují í, r G Z tak, že platí tm + rk = 1. Vynásobte tuto rovnost číslem a — b a dokažte, že m dělí levou stranu.
4. Nezbytný aparát z algebry a elementární teorie čísel 7
Věta 4. Nechť a, b E Z. Pak existuje x E Z splňující kongruenci ax = b (modm) právě tehdy, když (a,m)\b.
Důkaz. Jestliže (a,m)\b, vynásobte Bezoutovu rovnost pro (a,m) číslem ^abm^ ■ Opačný směr je zřejmý.
Věta 5. (Čínská zbytková věta) Nechť rai,mi E N, (mi,ffl2) = 1. Pak pro libovolná xi, x<i E Z existuje x E Z splňující x = x± (modmi), x = x<i (modm2).
Důkaz. Podle Bezoutovy rovnosti existují a, b E Z tak, že platí ami + brní = 1-Položte x = x^ami + xibmi.
Definice. (Eulerova funkce <p) Pro libovolné m E ~N je <p(m) definováno jako počet čísel z množiny {1,2,..., m}, která jsou nesoudělná s m.
Věta 6. Pro libovolná m\,mi E N taková, že (mi^mi) = 1, platí <p(mim2) = ^(mi)^(m2).
Důkaz. Uvažme zobrazení {1,2,..., mi} x {1,2,..., 1712} —>■ {1,2,..., mimz] přiřazující dvojici (x\,X2) E {1,2, ...,mi} x {1,2, ...,7712} číslo y E {1, 2,..., mim^} splňující y = xi (modmi), y = X2 (mod 1712) (číslo y je kongruentní s číslem x z věty 5 modulo mim2). Je zřejmé, že toto zobrazení je bijekce a že (y, m\m2) = 1 právě když (xi,mi) = 1 a (x2,rri2) = 1.
Věta 7.  Pro libovolné m E~N platí
^(m) = m[I(l-J)
p\m
kde p probíhá v součinu všechna prvočísla dělící m.
Důkaz. Je-li m mocninou prvočísla, je tvrzení zřejmé. Pro obecné m odvoďte tvrzení z věty 6 indukcí vzhledem k počtu prvočísel dělících m.
Definice. Je-li R okruh s jedničkou 1, značíme Rx jeho (multiplikativní) grupu invertibilních prvků, tj. Rx = {a E R; 3b E R : ab = 1}. Charakteristika okruhu R je nejmenší n E ~N splňující n ■ 1 = 0 (tj. součet n kopií 1 E R je roven 0 E R), pokud alespoň jedno takové n existuje. V opačném případě řekneme, že R je okruh charakteristiky nula.
Z poznámky za větou 3 plyne, že <p(m) je rovno počtu prvků (Z/mZ)x.
Věta 8. (Eulerova věta) Pro libovolná m E N, a E "L, taková, že (a, m) = 1, platí
a*™ = 1 (modm).
Důkaz. Věta plyne z předchozí poznámky a z toho, že v konečné grupě (Z/mZ)x řád libovolného prvku dělí řád grupy.
Důsledek. (Fermatova věta) Pro libovolné prvočíslo p a libovolné a E Z nedělitelné p platí ap_1 = 1 (modp).
Věta 9.  Nechť jsou m E N, a E "L, taková, že (a, m) = 1. Označme
e = min{n E N; an = 1 (modm)}.
8
4. Nezbytný aparát z algebry a elementární teorie čísel
Pak pro libovolná r, s G N U {0} platí
ar = as (mod m)   právě když  r = s (mod e).
Důkaz. Bez újmy na obecnosti lze předpokládat, že r > s. Je-li r = s + ke pro vhodné k E ~N, platí ar = as ■ (ae)k = as (modm). Naopak, předpokládejme ď = ď (modm). Protože je (a,m) = 1, plyne odtud ď~s = 1 (modm). Vydělme r — s číslem e se zbytkem: existují g, z E Z, 0 < z < e, splňující r — s = qe + z. Pak platí az = (ae)q ■ az = ď~s = 1 (modm) a tedy z = 0 podle definice čísla e. Odtud r = s (mode).
Věta 10.   Charakteristika konečného tělesa je prvočíslo.
Věta 11. Buď R konečné těleso charakteristiky p. Pak počet prvků tělesa R je mocninou prvočísla p.
Důkaz. Viz [R], str. 121.
Věta 12.  Nechť p je prvočíslo a n E~N. Pak existuje těleso o pn prvcích. Důkaz. Viz [R], str. 121.
Věta 13.  Libovolná dvě konečná tělesa o stejném počtu prvků jsou izomorfní. Důkaz. Viz [R], str. 122.
Definice. Pro libovolné prvočíslo p a libovolné n E ~N označme ¥pn těleso o pn prvcích.
Poznamenejme, že pro libovolné prvočíslo p je Z/pZ těleso o p prvcích, můžeme tedy přímo položit Wp = Z/pZ. Naproti tomu Z/pnZ pro n > 1 není těleso, proto ¥pn není izomorfní s Z/pnZ.
Definice. Nechť m E N. Existuje-li g E Z s vlastností g1 ^ 1 (mod m) pro všechna i = 1,2,..., <p(m) — 1, nazývá se g primitivní kořen modulo m.
Je tedy g primitivní kořen modulo m, právě když třída obsahující g je generátor grupy (Z/mZ)x. Podle věty 9 pak pro libovolná nezáporná celá čísla i, j platí gl = gi (modm) právě když i = j (mod<p(m)).
Věta 14.  Buď R konečné těleso. Pak Rx je cyklická grupa.
Důkaz. Viz [R], str. 90.
Věta 15. Nechť p je liché prvočíslo a n E N. Pak existuje primitivní prvek modulo pn.
Důkaz. Podle věty 14 existuje primitivní kořen gi modulo p. Ukážeme, že také existuje primitivní kořen g modulo p, splňující g^1 = 1+ p (modp2). Zmíněné g hledáme ve tvaru g = gi + xp. Jistě je g primitivní kořen modulo p a platí
gp~x = (gi + xp)*'1 = gl~x + (p - l)xpgl~2 = gl~x - xpg{~2 (modp2).
Protože gl'1 = 1 (modp), je c= ^(^_1-1) E Z, tj. g?'1 = l+p(c-xgl~2) (modp2).
Hledáme x E Z s vlastností c — xg^~2 = 1 (modp), tj. xg^~2 = c — 1 (modp) a takové x existuje podle věty 4.
Dokážeme indukcí vzhledem k n > 2, že toto g je primitivní kořen modulo pn a že platí g(p~^Pn    = l-\-pn~1 (modpn). Pro n = 2 jsme hotovi. Předpokládejme, že n > 2
5. Rozklad přirozeného čísla na součin prvočísel 9
a že dokazované tvrzení platí pro n — l. Označme k řád prvku g v (Z/pnZ)x. Pak platí gk = 1 (modpn), tedy i gk = 1 (modpn_1), odkud (p- l)pn~2 = ^(pn_1)|A;. Naopak k\<p(pn) = (p— l)pn_1. V jedné z předchozích relací tedy nastává rovnost. Z indukčního předpokladu víme, že
^(p-l)^-3 _ 1 + pn-2 (modpn-l^
odkud
Skutečně, platí-li a = b (modpn_1) pro nějaká a, b E Z, pak
aP - V = (a - 6)(ap-1 + ď~2b +■■■ + fe^"1)
je dělitelné pn, neboť první závorka je dělitelná pn~x a druhá p, protože z a = b (modp) plyne
ď'1 + ap~2b +--- + bp~1= poľ'1 = 0 (modp).
Proto platí
g(p-l)pn-2 _ ^ + pn-2)p _ ^ + pn-l) (modpn)
a odtud & ^ <^(pn_1). Je tedy k = <p(pn) a ^ je primitivní kořen modulo pn.
Věta 16. (Wilsonova věta) Nechť n E N, n > 1. Pafc n je prvočíslo právě když platí (n — 1)! = — 1 (modn).
Důkaz. Je-li n složené nebo n = 2, je tvrzení zřejmé. Nechť je tedy n liché prvočíslo a označme g primitivní kořen modulo n. Pak platí gži™-1) = — i (modn), neboť n|^(n-i) _ ! = (^i(n-i) _ 1)^|(n-i) + !) a n j (^(n-i) _ ^ Odtud plyne
(n-1)!=U^ = g^"-1^-2) = (-l)n~2 = -1 (modn).
i=0
5. Rozklad přirozeného čísla na součin prvočísel
Přistupme nyní k základnímu problému celé naší přednášky, totiž k rozkládání přirozeného čísla na prvočinitele. Celý problém můžeme rozdělit na tři úkoly:
1. Je-li dáno přirozené číslo N, rychle rozhodnout, zda N splňuje nějakou podmínku, která je splněna každým prvočíslem, a tedy rozhodnout, zdaje to určitě číslo složené anebo zdaje to asi prvočíslo (tzv. test na složenost).
2. Víme-li, že N je asi prvočíslo, dokázat, že N skutečně prvočíslem je, nebo to vyvrátit, (tzv. test na prvočíselnost).
3. Víme-li, že je N složené, nalézt netriviálního dělitele d čísla N.
Celé rozkládání je pak rekurzivní proces: máme-li dělitele d čísla N, který splňuje 1 < d < N, opakujeme celý postup pro čísla d a ^.
Než přejdeme k rafinovanějším metodám, je vhodné se zastavit u naivní metody, ve které zkoušíme dělit N postupně všemi prvočísly 2, 3, 5, 7, 11, ... až do jisté hranice. Pokud jsme schopni to provést pro všechna prvočísla nepřevyšující y/Ň, provedeme tím všechny tři úkoly současně. Avšak i v případě, kdy N je natolik velké, že dělení N všemi
10
5. Rozklad přirozeného čísla na součin prvočísel
prvočísly nepřevyšujícími y/Ň by bylo příliš zdlouhavé, bývá výhodné zkoušet dělit N všemi prvočísly až do jisté hranice, abychom se zbavili malých faktorů (uvědomte si, že čím je prvočíslo menší, tím větší je pravděpodobnost, že dělí náhodně zvolené přirozené číslo). Budeme předpokládat, že máme uloženu tabulku prvočísel p[l] = 2, p[2] = 3, p[3] = 5, p[4] = 7, ..., p[k]. Po vyčerpání této tabulky budeme pokračovat v dělení N čísly z jistých zbytkových tříd (např. čísly dávajícími zbytek 1 nebo 5 po dělení 6, resp. čísly dávajícími zbytek 1, 7, 11, 13, 17, 19, 23 nebo 29 po dělení 30 apod.). Tím sice některá dělení provedeme zbytečně, ale výsledek bude stále správný (testovat, zda číslo, kterým hodláme dělit, je prvočíslo, pochopitelně nemá smysl).
Algoritmus (Pokusné dělení). Nechť je dána tabulka prvočísel p[l] = 2, p[2] = 3, p[3] = 5, p[4] = 7, ..., p[k] (kde k > 3), vektor t = [6,4, 2,4, 2,4, 6, 2], a číslo j takové, že j = 0 (resp. 1, 2, 3, 4, 5, 6, 7) právě tehdy, když p[k] po dělení 30 dává zbytek 1 (resp. 7, 11, 13, 17, 19, 23, 29). Konečně, mějme zvolenu horní hranici B > p[k] (v podstatě proto, abychom algoritmem neztratili příliš mnoho času).
Pro dané přirozené číslo N algoritmus hledá úplný rozklad N a jestliže se mu to nepodaří, v nalezeném rozkladu největší činitel může být dělitelný pouze prvočísly většími než B a všichni ostatní činitelé jsou prvočísla.
1. [Inicializace] Je-li N < 5, pak vytiskni odpovídající rozklad N a skonči. Jinak polož i<--1, m <- 0, i <- [y/N\.
2. [Další prvočíslo] Polož m <— m + 1. Je-li m > k, polož i <— j — 1 a jdi na 5, jinak polož d <— p[m].
3. [Zkus dělit] Polož r <— Nmodd. Je-li r = 0, vytiskni d jako činitele v hledaném rozkladu a polož N     ^, /     [y/N] a opakuj krok 3.
4. [Prvočíslo?] Je-li d > l, vytiskni N jako posledního činitele a zprávu, že rozklad je úplný a skonči. Jinak, je-li i < 0, jdi na 2.
5. [Další dělitel] Polož i <— (i + 1) mod8, d <— d + t[i]. Je-li d > B, vytiskni N jako posledního činitele a zprávu, že poslední činitel v rozkladu nemusí být prvočíselný, avšak může být dělitelný jen prvočísly většími než B a skonči. Jinak jdi na 3.
Poznámky k algoritmu. V průběhu výpočtu je i = —1, dokud používáme naši tabulku prvočísel, pak už je stále i > 0.
Důkaz algoritmu neuvádíme pro jeho jednoduchost.
Tento algoritmus by neměl být používán pro úplný rozklad N, pokud N není malé (řekněme N < 108), protože pro větší N existují lepší metody. Na druhé straně je užitečný pro odstranění malých faktorů.
Vhodnou tabulkou prvočísel by mohla být tabulka prvočísel menších než 500 000, máme-li na ni dost místa v paměti (je to 41 538 prvočísel). Vhodnější než uložení vlastních prvočísel je uložení diferencí mezi nimi nebo dokonce poloviny diferencí (diferenci p[k] — p[k — 1] můžeme uložit do jednoho bytu pro p[k] < 1 872 851 947, její polovinu dokonce pro p[k] < 1999 066 711391).
Obsahuje-li naše tabulka prvočísla aspoň do 500 000, je asi lepší po vyčerpání tabulky v dělení nepokračovat, ale užít jinou metodu.
Není nutné počítat [v^iV], stačí test v kroku 4 nahradit testem zda d > q, kde q je podíl po dělení čísla N číslem d se zbytkem, který byl získán jako vedlejší produkt při dělení v kroku 3.
6. Testy na složenost
11
6. Testy na složenost
Musíme si zvolit nějakou podmínku, které vyhovuje každé prvočíslo a které složená čísla většinou nevyhovují, přičemž je třeba, aby bylo možné podmínku pro dané přirozené číslo rychle ověřit.
Na první pohled se zdá být vhodnou podmínkou Wilsonova věta, která dává dokonce nutnou a dostatečnou podmínku prvočíselnosti a byla by tedy nejen testem na složenost, ale také testem na prvočíselnost. Avšak nikdo neví, jak spočítat pro velká N dostatečně rychle číslo (N — 1)! modiV.
Výhodnější podmínku dává Fermatova věta, neboť je možné rychle počítat mocniny prvků v libovolné grupě.
Předpokládejme, že je dána grupa (G, •) s neutrálním prvkem 1 a že umíme prvky této grupy uchovávat v paměti a také s nimi počítat (násobit a počítat inverzní prvky).
Algoritmus (Binární umocňování zprava doleva). Pro dané g E G a dané celé číslo n algoritmus počítá gn v grupě (G, •).
1. [Inicializace] Polož y <— 1. Je-li n = 0, pak vytiskni y a skonči. Je-li n < 0, polož N i--n, z <— g~x. Jinak polož N <— n, z <— g.
2. [Násob?] Je-li N liché, polož y <— z ■ y.
3. [Poloviční N] Polož N <— [y]. Je-li N = 0, vytiskni y a skonči. Jinak polož z <— z ■ z a jdi na 2.
Důkaz správnosti algoritmu. Vždy před započetím kroku 2 platí y • zN = gn. Jistě to platilo při prvním vstupu na krok 2; označíme-li N', y' a z' nové hodnoty proměnných N, y a z po provedení kroků 2 a 3, platí
a) pro N sudé: y' = y, N' = f, z' = z2, tedy y' ■ (z')N' = y ■ z2% = y ■ zN;
b) pro N liché: y' = y ■ z, N' = ^p1, z' = z2, tedy y' ■ (z')N = y ■ z ■ z2-*1 = y ■ zN. Je zřejmé, že při skončení algoritmu je tato hodnota v y.
Odhad časové náročnosti algoritmu. Je jasné, že grupové násobení se provádí a + b — 1 krát, kde a je počet cifer ve dvojkovém zápise čísla n a b je počet jedniček v tomto zápise. Jistě platí a + b — 1 < 2[log2 |n|] + 1. Například, je-li G = (Z/mZ)x, je jedno násobení časové náročnosti 0(ln2m), proto celý algoritmus je časové náročnosti 0(ln2mln|n|).
V předchozím algoritmu jsme procházeli cifry dvojkového zápisu čísla n zprava doleva. Zcela analogicky můžeme tyto cifry procházet ovšem zleva doprava. Musíme však znát polohu „nejlevější" jedničky v tomto zápise, tj. znát e G Z s vlastností 2e < |n| < 2e+1.
Algoritmus (Binární umocňování zleva doprava). Pro dané g E G a dané celé číslo n algoritmus počítá gn v grupě (G, •). Je-li n/ 0, předpokládáme, že je dáno e G Z s vlastností T < \n\ < 2e+1.
1. [Inicializace] Je-li n = 0, pak vytiskni 1 a skonči. Je-li n < 0, polož N <— —n, z <— g~x. Jinak polož N <— n, z <— g. Konečně (tj. v obou případech) polož y <— z, E i- T, N i- N - E.
2. [Konec?] Je-li E = 1, vytiskni y a skonči. Jinak polož E i— y.
3. [Násob] Polož y-^y-y. Je-li N > E, polož N^N-E,y^y-z. Jdi na 2.
Důkaz správnosti algoritmu. Vždy před započetím kroku 2 platí yE ■ zN = gn. Jistě to platilo při prvním vstupu na krok 2, kdy yE ■ zN = z2 ■ zN~2  = zN = gn.
12
6. Testy na složenost
Označme E', N' a y' nové hodnoty proměnných E, N a, y po provedení kroků 2 a 3, platí
a) pro N < E': E' = f, y' = y2, N' = N, tedy (y')E' ■ zN' = (y2)f • zN = yE ■ zN;
b) vtoN>E': E' = ^, y' = y2-z, N' = N—E', tedy (y')E'-zN' = (y2-z)%-zN-% = yE-zN.
V průběhu celého výpočtu platí N > 0 a vždy před provedením kroku 2 je N < E. Proto při skončení algoritmu při E = 1 nutně platí N = 0 a tedy g™ = y. Je jasné, že kroky 2 a 3 se provedou právě e krát a tedy algoritmus se jistě zastaví.
Nevýhody oproti předchozímu algoritmu: je třeba před začátkem spočítat e, to však (je-li základ naší poziční soustavy pro uchovávání „velkých" čísel mocnina 2) je velmi rychlé. Patrně totiž budeme znát pozici nejvyšší nenulové cifry v naší poziční soustavě a pak určení e zabere čas ohraničený konstantou. Zdánlivou nevýhodou je i uchovávání velkého čísla E a výpočet rozdílu N — E. Avšak při implementaci budeme uchovávat e a test N > E i výpočet N — E provedeme manipulací s bitem obsahujícím e-tou dvojkovou cifru čísla N (zde je podstatné, aby skutečně byl základ naší poziční soustavy mocnina 2).
Výhoda je to, že jedno ze dvou násobení, které se provádí v kroku 3, je vždy proměnnou z, ve které je v průběhu celého výpočtu g (nebo g~x je-li n < 0). Je-li tedy například G = (Z/mZ)x, v případě, že g = a + mZ pro \a\ menší než je základ naší poziční soustavy, je násobení g pouze lineárního času a ne kvadratického, jak je tomu u obecného násobení v grupě G. Pak se tedy v kroku 3 provede jedno násobení řádu O (ln2 m) a nejvýše jedno řádu O(lnm). Celý algoritmus je sice stále časové náročnosti 0(ln2 min |n|), ale s menší O-konstantou.
Nyní, když vidíme, že umocňování v okruhu zbytkových tříd můžeme opravdu provádět rychle, si rozmysleme, jak užít Fermatovu větu pro test na složenost. Máme tedy dáno přirozené číslo N, o kterém chceme vědět, zdaje to číslo složené. Budeme to vědět jistě, nalezneme-li celé číslo a, 1 < a < N, pro které platí aN~x ^ 1 (modiV). Takové a se nazývá svědek složenosti čísla N. Pokud však pro takové a platí aN~ľ = 1 (modiV), nemůžeme z toho usoudit nic. Celý algoritmus tedy bude vypadat takto: budeme náhodně volit a E Z, 1 < a < N, a počítat aN~x modiV. Pokud pro některé a bude splněno aN~x ^ 1 (modiV), jsme hotovi a víme, že N je opravdu složené číslo (zmíněné a si můžeme zapamatovat pro případ, že bychom chtěli přesvědčit někoho dalšího o složenosti N). Pokud pro všechna a budeme dostávat aN~ľ = 1 (modiV), po jistém počtu pokusů algoritmus ukončíme a usoudíme, že patrně je N prvočíslo. Jestli je však opravdu N prvočíslo takto zjistit nemůžeme.
Nevýhodou popsaného algoritmu je, že téměř jistě neodhalí jistý typ složených čísel, nazývaných Carmichaelova čísla.
Definice. Složené číslo N se nazývá Carmichaelovo číslo, jestliže pro všechna celá čísla a, která jsou nesoudělná s N, platí aN~ľ = 1 (modiV).
Carmichaelovo číslo by náš algoritmus označil za složené pouze tehdy, kdyby za a zvolil číslo soudělné s N, což je však velmi nepravděpodobné. Přitom platí následující věta, kterou zde uvádím bez důkazu.
Věta (Alford, Granville, Pomeranče). Existuje nekonečně mnoho Carmichaelo-vých čísel.
6. Testy na složenost
13
Příklad. N = 561 = 3 • 11 • 17 je Carmichaelovo číslo.
Důkaz. Pro libovolné celé číslo a nesoudělné s 561 z Fermatovy věty dostáváme a2 = 1 (mod3), a10 = 1 (modli) a a16 = 1 (modl7). Protože 2, 10 i 16 jsou dělitelé čísla 560, je 561 Carmichaelovo číslo.
Výhodnější než testovat Fermatovu vetuje proto testování následujícího zesílení Fermatovy věty.
Věta. Pro libovolné liché prvočíslo p a libovolné celé číslo a nedělitelné p platí
p-i
a 2   = ±1 (modp).
Důkaz. Z Fermatovy věty
p | (ď'1 - 1) = {a^ - 1) • (a2*1 + 1). Protože je p prvočíslo, musí dělit některého z uvedených činitelů.
N— 1
Test založený na výpočtu a 2 modiV a kontrole, zda je výsledek 1 nebo N — 1 by mohl vyloučit i 561, neboť
5280 _ 516.17+8 _ 58 = 254 _ g4 = ^3 _ (_l}3 = ^ (mod 1?)
a zároveň
5280 =(52)140 = l(mod3),
a proto 5280 není kongruentní modulo 561 ani s 1 ani s —1.
Na druhou stranu, tento test neodhalí například N = 1729 = 7-13-19, neboť ^rp1 = 864 = 25 • 33 je dělitelné 6, 12 i 18 a tedy z Fermatovy věty plyne, že pro všechna celá čísla a nesoudělná s N platí
N-l
a 2   =1 (modiV).
Proto je třeba podmínku, kterou budeme testovat, ještě více zesílit. Algoritmus, navržený Millerem a Rabínem, užívá následujícího tvrzení:
Věta. Nechť p je liché prvočíslo. Pišme p — 1 = 2t ■ q, kde t je přirozené číslo a q je liché. Pak pro každé celé číslo a nedělitelné p buď platí aq = 1 (modp) nebo existuje e E {0,1,..., t — 1} splňující a2 q = — 1 (modp).
Důkaz. Z Fermatovy věty
t-i
p\ (a**"1 - 1) = (a* - 1) • J](a2^ + 1).
e=0
Protože je p prvočíslo, musí dělit některého z uvedených činitelů.
Test Millera a Rabina, založený na předchozí větě, s vysokou pravděpodobností objeví každé složené číslo, neboť platí následující věta.
14
6. Testy na složenost
Věta. Nechť N > 10 je Uché složené číslo. Píšme N — 1 = 2* • q, kde t je přirozené číslo a q je liché. Pak nejvýše čtvrtina z čísel množiny {a E Z; 1 < a < N, (a, N) = 1} splňuje následující podmínku:
aq = 1 (modiV) nebo existuje e E {0,1,..., t — 1} splňující a2 q = — 1 (modiV). Důkaz. Pro značnou délku prozatím důkaz neuvádím.
Algoritmus (Miller - Rabin). Pro dané liché N > 3 algoritmus s vysokou pravděpodobností objeví, že N je složené. Pokud se mu to nepodaří, vytiskne zprávu, že N je asi prvočíslo.
1. [Inicializace] Polož q <— N — 1, t <— 0. Dokud je q sudé, opakuj q <— |, t <— t + 1. Polož c <- 20.
2. [Zvol a] Pomocí generátoru náhodných čísel zvol náhodně a E Z, 1 < a < N. Pak polož e <— 0, b <— aq modiV. Je-li 6 = 1, jdi na 4.
3. [Umocňuj na druhou] Dokud je b ^ N — 1 a e < t — 2, opakuj b <— b2 modiV, e <— e + 1. Je-li b ^ N — 1, vytiskni zprávu, že N je složené a vytiskni svědka složenosti a. Skonči.
4. [Už proběhlo 20 pokusů?] Polož c <— c — 1. Je-li c > 0, jdi na 2. Jinak vytiskni zprávu, že N je asi prvočíslo a skonči.
Důkaz správnosti algoritmu. Algoritmus testuje podmínku z předchozí věty pro 20 náhodně zvolených a. Pokud pro některé takové a není podmínka splněna, vytiskne zprávu, že N je složené. Pokud je splněna podmínka pro každé takové a, vytiskne zprávu, že N je asi prvočíslo. Podle předchozí věty je pravděpodobnost, že bude vytištěna tato zpráva, ačkoli je N složené, menší než 4-20.
Odhad časové náročnosti. Algoritmus je řádově stejné časové náročnosti jako umocňování v něm použité (předpokládáme, že generování nového a je řádově rychlejší), proto jde o kubickou časovou náročnost.
7. Testy na prvočíselnost
V této kapitole si uvedeme tzv. N — 1 test Poclingtona a Lehmera. Je založen na následující větě.
Věta. Nechť N je přirozené číslo, N > 1. Nechť p je prvočíslo dělící N — 1. Předpokládejme dále, že existuje ap E Z tak, že
(*) a*'1 = 1 (modiV)   a   (a^ - 1, JV) = 1.
Nechť pap je nejvyšší mocnina p dělící N — 1. Pak pro každý kladný dělitel d čísla N platí
d=l (modpap).
Důkaz. Protože každý kladný dělitel d čísla N je součinem prvočíselných dělitelů čísla N, stačí větu dokázat pouze pro případ, kdy je d prvočíslo. Podle Fermatovy
7. Testy na prvočíselnost 15
N-l
věty platí Op-1 = 1 (modd), neboť (ap,N) = 1. Protože (app   — 1,N) = 1, platí
N-l
app   ^ 1 (mod d). Označme
e = min{n e N; a™ = 1 (modd)}.
Podle věty 9 čtvrté kapitoly platí e | d-1, e | iV-1 a e f Kdyby pap \e,ze\N-l by plynulo e | ^p1, spor. Je tedy pap \ e, a tedy i pap \ d — 1.
Důsledek. Nechť N E N, iV > 1. Předpokládejme, že můžeme psát N — 1 = F ■ U, kde (F, U) = 1 a F > y/Ň, přičemž známe rozklad čísla F na prvočinitele. Pak platí
(a) jestliže pro každé prvočíslo p \ F můžeme najít ap E Z splňující (*) z předchozí věty, pak je N prvočíslo;
(b) je-li N prvočíslo, pak pro libovolné prvočíslo p \ N — 1 existuje ap E Z splňující
(*)•
Důkaz, (a) Z předchozí věty plyne, že libovolný kladný dělitel čísla N splňuje d = 1 (modF), tedy mezi čísly 2, 3, ..., F není žádný dělitel čísla N. Protože F > -JŇ, jsme hotovi.
(b) Stačí za ap zvolit primitivní kořen modulo N.
Nevýhodou předchozí věty je to, že musíme dostatečně rozložit číslo N — 1. Jistě to bude číslo sudé, ale rozložit na prvočinitele číslo může být notně obtížné. Poměrně snadno lze ale získat všechny prvočíselné dělitele tohoto čísla až po vhodnou hranici B (např. algoritmem pokusného dělení). Této informace pak můžeme s výhodou využít.
Věta. Nechť N E N, N > 1. Předpokládejme, že můžeme psát N — 1 = F ■ U, kde (F, U) = 1 a známe rozklad čísla F na prvočinitele. Dále předpokládejme, že všechna prvočísla dělící U jsou větší než B E N a že platí B • F > y/ŇPak platí: jestliže pro každé prvočíslo p \ F můžeme najít ap E Z splňující (*) z předchozí věty a jestliže navíc existuje au E Z splňující
a^-1 = 1 (modiV)   a   (a£ - 1,N) = 1,
pak je N prvočíslo.
Je-li naopak N prvočíslo, pak požadovaná ap, au E Z vždy existují.
Důkaz. Nechť d je prvočíselný dělitel čísla N. Z předchozí věty dostáváme d = 1 (modF). Označme
e = min{n E N; av = 1 (modd)}
(takové e existuje, protože (au, N) = 1). Z věty 9 čtvrté kapitoly vyplývá e \ d — 1, e | N - 1 a e \ F. Kdyby (e, U) = 1, z e | N - 1 = FU by plynulo e \ F. Je tedy (e, U) > 1 a protože U je dělitelné pouze prvočísly většími než B, platí (e, U) > B. Protože (F, U) = 1, z d = 1 (mode) a d = 1 (modF) plyne d = 1 (modF • (e, U)) a tedy d> F ■ (e, U) > FB > y/Ň. Je tedy N prvočíslo.
Naopak, je-li N prvočíslo, stačí za au zvolit primitivní kořen modulo N.
Příklad. Aplikujme důsledek na k-té Fermatovo číslo N = 22* +1, kde k E~N. Platí tedy: N je prvočíslo právě když existuje a E "L splňující
a22" = 1 (modiV)   a   (a2'*"1 - 1, N) = 1.
16
7. Testy na prvočíselnost
Je možné dokázat, že je-li N prvočíslo, platí 32 = —1 (modiV) (důkaz vyžaduje hlubší znalosti, uvádím jej pro ty, kteří znají kvadratický zákon reciprocity):
(*) = (f) -(-1)^ = (f) = (§) = -!■
Je zřejmé, že jestliže naopak platí 322 = — 1 (modiV), pak a = 3 splňuje stanovenou podmínku a tedy N je prvočíslo.
Poznámka k implementaci algoritmu. Vstupem je číslo N, které již prošlo testem Millera - Rabina, tedy číslo, o kterém s vysokou pravděpodobností platí, že je to prvočíslo. Je třeba to však dokázat. V první části algoritmu rozkládáme číslo N — 1 na součin F ■ U a to tak, že podrobíme N — 1 algoritmu pokusného dělení, ukládáme získané dělitele a skončíme, až platí B F > \/N, nebo až je B „dost velké", abychom si byli jisti zastavením v „rozumném" čase (zde B, F, U značí totéž, co v předchozí větě).
N-l
Pak náhodně volíme celá čísla ap v intervalu 1 < ap < N a počítáme bp = app mod N a cp = bPmodN do té doby než cp = 1 (modiV) a (bp — 1,N) = 1. (Pokud by snad cp ^ 1 (modiV), znamenalo by to, že N není prvočíslo.) Je-li N opravdu prvočíslo, podmínku (bp — 1,N) = 1 splňuje většina z čísel ap - přesněji právě —^(N — 1) čísel z N — 1 čísel 1, 2, ..., N — 1, můžeme tedy očekávat, že takové ap brzy najdeme. Pokud by však N bylo „velké" Carmichaelovo číslo, algoritmus by se pravděpodobně nezastavil.
Poznámka k časové náročnosti algoritmu. Je obtížné hovořit o časové náročnosti - předně, není-li N prvočíslo, algoritmus se nemusí zastavit. Ale i pro prvočísla je těžké stanovit jakýkoli odhad, protože záleží na tom, jak snadno lze rozkládat číslo N — 1. Je také možné nerozloženou část U podrobit testu Millera a Rabina a v případě, že test zjistí, že U je asi prvočíslo, dokázat nejprve prvočíselnost U (a tedy pracovat rekurzivně).
Poznámka o možném zobecnění algoritmu. Je-li N prvočíslo, podle věty 12 čtvrté kapitoly existuje těleso Fjya o N2 prvcích. Podle věty 14 stejné kapitoly je jeho
multiplikativní grupa cyklická řádu N2 — 1 = (N — 1)(N + 1). Existuje tedy a E ¥N2
Ar 4-1 iv+i
řádu iV+1, tj. splňující a + = 1, avšak a p ^ 1 pro libovolné prvočíslo p dělící N+l. Tuto myšlenku je možno využít pro test analogický testu Poclingtona a Lehmera, kde však bude vystupovat faktorizace čísla N+l místo N — 1. Je dokonce možné informace, získané z obou testů, zkombinovat.
Podobně lze využít těleso ¥N3 (a tedy faktorizovat ^ ~^ = N2 + N + 1), těleso
¥N4 (a faktorizovat j^2~^ = N2 + 1) nebo těleso ¥nq (a faktorizovat (jvs-i^jv+i) = N2 — N+l) a podobně. Vždy nám však už vycházejí čísla podstatně větší než N a tedy pravděpodobně obtížně rozložitelná.
8. Některé nezbytnosti z algebraické geometrie
V celé kapitole předpokládáme, že K je těleso.
Definice, n-rozměrným afinním prostorem nad K rozumíme kartézskou mocninu Kn. Budeme jej značit An (K), tj.
An(K) = {(Xl,...,xn); x±,... ,xn E K}.
8. Některé nezbytnosti z algebraické geometrie
17
Definice, n-rozměrným projektivním prostorem nad K rozumíme rozklad na množině Kn+1 — {(0,..., 0)} příslušný ekvivalenci ~ definované takto: pro libovolné (n + l)-tice i), (y1,...,yn+1) E Kn+1 položíme ( i) ~ (yi,... ,yn+i) práve
tehdy, když existuje X E Kx, které pro každé i E {1,..., n + 1} splňuje podmínku Xi = Xyi- Tento n-rozměrný projektivní prostor nad K budeme značit Pn(K), třídu rozkladu (tj. bod projektivního prostoru) obsahující (n + l)-tici (x±,..., xn+i) budeme značit [#!,...,xn+i].
Poznámka. Nechť x±,..., xn+i E K, přičemž alespoň jedno z nich je různé od nuly. Jestliže xn+i ^ 0, pak platí [xi,..., xn+i] = [-^r^, ■ ■ ■, if^-i 1]j čímž je pevně dán bod (^-^-,..., ^^-) E An(K). Jestliže naopak xn+i = 0, určuje [x±,..., xn+i] jednoznačně
bod [xi,..., xn] E Pn~1(K). Můžeme tedy n-rozměrný projektivní prostor „rozdělit" na n-rozměrný afinní prostor a na „část nevlastních bodů", kterou je (n — l)-rozměrný projektivní prostor. Toto rozdělení není kanonické - lze to provést mnoha způsoby.
Poznámka. Máme-li homogenní polynom F(t±,..., rn+i) £ K[ti, ■ ■ ■, tn+i] o n + 1 proměnných nad K stupně k a bod [x±,..., xn+i] E Pn(K), má smysl se ptát, zda F(xx,... ,xn+1) = 0. Je-li totiž [x1,...,xn+1] = [yi,..., yn+i], pak existuje A E Kx, které pro každé i E {l,...,n+ 1} splňuje podmínku Xi = Xyi. Pak ovšem F(x1,...,xn+1) = F(Xy1,. ..,Xyn+1) = Xk-F(y1,. ..,yn+i) a tedy F(a;i, ...,xn+1) = 0 právě když F(yu      yn+1) = 0.
Definice. Nechť F(t±,..., rn+i) £ K[ti, ■ ■ ■, tn+i] je homogenní polynom stupně k. Množina
C = {[Xl,..., xn+1] E Pn(K); F(xi,..., xn+1) = 0}
se nazývá nadplocha stupně k v Pn(K). Je-li n = 2, hovoříme také o křivce stupně k v P2(K).
Poznámka. Parciální derivací homogenního mnohočlenu je opět homogenní mnohočlen. Má proto smysl následující definice.
Definice. Nechť F (ti,..., rn+i) £ K[ti, ■ ■ ■, tn+i] je homogenní polynom stupně k a
C = {[Xl,..., xn+1] E Pn(K); F(xi,..., xn+1) = 0}
příslušná nadplocha. Bod [x±,..., xn+i] E C se nazývá singulární, jestliže pro každé i E {1, ..., n + 1} platí
dF
— (x1,...,xn+1) = 0.
Nadplocha C se nazývá singulární, existuje-li alespoň jeden její singulární bod.
Příklad. Uvažme reálnou projektivní rovinu _P2(R). Abychom se vyhnuli indexům, budeme psát x, y, z místo ti, t^ Í3. Kubický mnohočlen Fi(x,y,z) = x3 + x2z — y2z nám definuje kubickou křivku C\ (tj. křivku stupně 3)
Ci = {[x,y,z] EP2(R); F^x,y, z) = 0}.
Jistě [0, 0,1] G Ci. Tento bod je singulární, neboť
dF!     n o    „ OF!        n OF!       o o
—— = 3a; + 2xz, —— = -2yz, = x - y .
ox oy oz
18
8. Některé nezbytnosti z algebraické geometrie
Je tedy C\ singulární křivka. Uvažme nyní mnohočlen F2(x,y,z) = x3 + xz2 — y2z a příslušnou kubickou křivku
C2 = {[x,y,z] EP2(R); F2(x,y,z) = 0}.
Hledejme singulární body na C2. Platí
dF2        o     o     dF2 dF2 2
—— = Sx + z , —— = -2y2, —— = 2xz-y . ox oy oz
Z = 0 plyne x = 0 a z = 0, pak ale z = 0 plyne i y = 0. Singulární bod na C2 tedy neexistuje a proto C2 není singulární křivka.
Definice. Eliptická křivka nad K je uspořádaná dvojice (£, O), kde £ je nesingulární kubická křivka v P2(K) a O E £.
Poznámka. Je možné zavést pojem biracionální ekvivalence dvou křivek, spočívající v tom, že existují transformace prostoru převádějící jednu křivku na druhou a obráceně, přičemž tyto transformace jsou „pěkné" v tom smyslu, že transformační rovnice jsou dány homogenními polynomy téhož stupně nad K. Precizní zavedení tohoto pojmu je však časově náročné a proto od něj upouštím. Tento pojem je zde zapotřebí pouze proto, abychom si ukázali, že vlastně neztrácíme nic na obecnosti, omezíme-li se na eliptické křivky speciálního tvaru. Nebudeme tedy ani dokazovat následující větu.
Věta. Libovolná eliptická křivka nad K je biracionálně ekvivalentní s nějakou eliptickou křivkou (£, O) následujícího tvaru (přičemž transformace převádějí vyznačený bod jedné křivky na vyznačený bod druhé křivky)
£ = {[x,y,z] E P2(K); F(x,y,z) = 0},
kde
F(x, y,z) = y z + a\xyz + a2yz — x — a^x z — a^xz — a^z ,
ai, ..., a5 E K a O = [0,1, 0].
Poznámka. Každá eliptická křivka ve výše uvedeném tvaru má jeden nevlastní bod (totiž O) a v afinní části je dána rovnicí
y2 + aixy + a2y = x3 + a3x2 + a4x + a5.
Tato rovnice se nazývá Weierstrassova rovnice.
Omezení. V dalším textu budeme předpokládat, že charakteristika tělesa K není ani 2 ani 3, tj. že 2 i 3 jsou invertibilní prvky v K. Důvodem je to, že pro naše účely eliptické křivky nad tělesy charakteristiky 2 a 3 nejsou zapotřebí a že tento předpoklad dále zjednodušuje Weierstrassovu rovnici. Můžeme pak totiž předpokládat, že a± = Q>2 = Q>3 = 0 a tedy Weierstrassova rovnice je tvaru y2 = x3 + a^x + 05.
9. Aritmetika eliptických křivek
19
9. Aritmetika eliptických křivek
V celé kapitole předpokládáme, že K je těleso charakteristiky různé od 2 a 3 a že je dána eliptická křivka (£, O), kde O = [0,1, 0] a £ je dána Weierstrassovou rovnici
y2 = x3 + ax + b,
kde a, b E K. Jak plyne z následující věty, důsledkem našich předpokladů je, že 4a3 + 27b2 ^ 0.
Věta. Rovnice y2 = x3 + ax + b je Weierstrassovou rovnicí nějaké eliptické krivky, právě když platí 4a3 + 27b2 ^ 0.
Důkaz. Položme F(x, y, z) = y2z — x3 — axz2 — bz3. Platí
dF 2      2    dF dF     2 ,2
—— = —3a; — az , —— = 2yz,    —— = y — 2axz — 3bz . ax oy az
Předpokládejme, že [x, y, 2] je singulární bod. Pak z = 0 implikuje x = y = 0, spor. Je tedy z 7^ 0. Proto y = 0 a pro 7 = f platí 372 = —a, 2a/y = —3b. Jestliže a = 0, pak také 6 = 0. Naopak pro a = b = 0 je bod [0, 0,1] singulární. Zabývejme se dále případem a/0. Platí 7 = -g, 72 = -§ = tj. 4a3 + 2762 = 0. Zbývá ověřit, že [7, 0,1] vyhovuje rovnici, což je snadné:
73 + «7 + fc=(-i)(-f)+«(-i)+^=|-f + & = 0-
Poznámka. Naším cílem je definovat na £ grupovou operaci +. Je třeba tedy najít nějaký předpis, jak dvěma bodům z £ přiřadit třetí. Máme-li dány dva různé body z £, můžeme jimi vést přímku. Dosazením rovnice této přímky do Weierstrassovy rovnice získáme kubickou rovnici, jejíž dva kořeny známe. Existuje proto třetí kořen, který lze snadno spočítat. Tento třetí kořen odpovídá třetímu průsečíku přímky s eliptickou křivkou (který může popřípadě i splynout s některým z daných bodů).
Podobně můžeme postupovat i v případě, kdy vezmeme dvakrát týž bod z £: sestrojíme v tomto bodě tečnu k £. Protože K nemusí být těleso reálných čísel, je možná vhodné upřesnit, co rozumíme touto tečnou: je to taková přímka, že po dosazení její rovnice do rovnice eliptické křivky dostaneme kubickou rovnici, ve které bod dotyku odpovídá kořenu alespoň dvojnásobnému. Zbylý kořen pak odpovídá dalšímu průsečíku přímky s eliptickou křivkou (který by opět mohl splynout s daným bodem).
V obou případech nám dvojice bodů z £ určila další bod z £. Tato binární operace by nám však nevytvořila z £ grupu (je zřejmé, že tato operace obecně nemá neutrální prvek).
Operaci + na £ definujeme takto: pro libovolné body A, B E £ označme C bod z £ jimi určený. Součtem A + B pak nazveme bod z £ určený body C a O.
Příklad. Nevlastní přímka z = 0 má s £ trojnásobný bod dotyku O: dosazením z = 0 do rovnice y2z = x3 + axz2 + bz3 dostaneme rovnici £3 = 0, která má trojnásobný kořen x = 0. Proto pro A = B = O je i C = O a tedy i A + B = O. Je tedy O + O = 0.
20
9. Aritmetika eliptických křivek
Uvažme případ A = O, B + O. Pak B = [a,/3,1] pro vhodné a, j3 E K. Přímka určená body O, B má rovnici x = az (nevlastním bodem této přímky je O, vlastní body jsou [a, y, 1] pro všechna y E K). Je zřejmé, že C = [a, —j3,1] a že třetí bod na přímce určené C a O je B. Ověřili jsme tedy, že platí O + B = B.
Je zřejmé, že operace + je komutativní. Víme tedy, že (£, +) je komutativní grupoid s neutrálním prvkem O a že pro každý bod A E £ existuje bod B E £ splňující A+B = O (je-li A = O, vezmeme B = O; je-li A = [a, j3,1], vezmeme B = [a, —j3,1]).
Poznámka. K důkazu tvrzení, že (£, +) je komutativní grupa, je třeba dokázat, že + je asociativní operace. To ale není snadné a omezíme se pouze na konstatování tohoto faktu bez důkazu.
Věta. Na eliptické křivce (£, O) nad K definujeme operaci + takto:
1. Pro libovolné A E £ klademe A + O = O + A = A.
2. Pro libovolné A = [a,/3,1] E £ je také B = [a, —j3,1] E £ a klademe A + B = O. (Tento bod B pak označujeme —A.)
3. Pro libovolné A = [a, j3,1] E £, B = [7, 5,1] E £ takové, že B ^ —A, položme
k
|EÍ     Je-U A + B,
a—7 . 2
2^ta   je-li A = B,
a = k — a — 7, r = —j3 + k (a — a),
pak platí [a, r, 1] E £ a klademe A + B = [a, r, 1] E £. Pak (£, +) je komutativní grupa.
Poznámka. Důkaz toho, že + je asociativní operace, je mimo možnosti naší přednášky. Doporučuji si ale samostatně ověřit, že vzorce uvedené ve větě odpovídají výše uvedené geometrické konstrukci.
Eliptické křivky tvoří komutativní grupu i nad tělesy charakteristiky 2 a 3. Je však třeba uvažovat obecnější tvar Weierstrassovy rovnice a proto i vzorce popisující sčítání bodů jsou komplikovanější.
Následující věty budeme potřebovat v dalším textu. Jde o velmi hluboká tvrzení, které mohu uvádět jen bez důkazu.
Věta (Hasse). 1. Nechť p je prvočíslo a (£,0) je eliptická křivka nad¥p. Pak \£\ = p + 1 — ap, kde celé číslo ap splňuje \ap\ < 2^/p.
2. Označme ap E C kořen rovnice x1 — apx + p = 0. Pro libovolné n E ~N nechť (£n,0) je eliptická křivka nad¥pn určená stejnou Weierstrassovou rovnicí jako (£,0) (to má smysl, neboť¥p C ¥pn). Pak platí \£n\ = pn + 1 — 2Reap, kde Re značí reálnou část komplexního čísla.
Věta. Nechť (£,0) je eliptická křivka nad konečným tělesem ¥q, kde q je mocnina prvočísla. Pak (£, +) je cyklická grupa nebo součin dvou cyklických grup. Navíc, ve druhém případě, je-li (£, +) izomorfní se součinem cyklických grup o di a d2 prvcích, přičemž d± \ d2, pak platí d± \ q — 1.
10. Opět testy na prvočíselnost
21
Věta (Mordell). Nechť (£, O) je eliptická křivka nad Q. Pak (£, O) je konečně generovaná grupa. Jinými slovy: označme (£', +) podgrupu prvků konečného řádu v grupě (£,+) (tzv. torzní podgrupa); pak existuje (jednoznačně určené) nezáporné celé číslo r tak, že (£, +) je izomorfní se součinem
(£',+) x (z, +y.
Věta (Mazur). Nechť (£,0) je eliptická křivka nad Q. Pak její torzní podgrupa je izomorfní s některou z následujících 15 grup:
(Z/mZ, +)      pro 1 < m < 10 nebo m = 12 (Z/2Z, +) x (Z/2mZ, +)      pro 1 < m < 4
(a každá z uvedených grup je torzní grupa některé eliptické křivky nad Q).
10. Opět testy na prvočíselnost
Předpokládáme, že N > 1 je liché přirozené číslo, o kterém jsme testem Millera a Rabina zjistili, že N je asi prvočíslo. Naším cílem je vyložit test na prvočíselnost, využívající eliptické křivky. Začněme ale zopakováním N — 1 testu Poclingtona a Lehmera. Pracujeme v něm se známým prvočíslem p dělícím N — 1 (přičemž pap je nejvyšší mocnina p dělící N — 1) a s jistým neznámým dělitelem d čísla N (budeme předpokládat, že i d je prvočíslo). Pak můžeme uvážit homomoríismus okruhů
/ : Z/JVZ-> Z/dZ,   kde   a + iVZ ^ a + dZ
(homomoríismus / je dobře definován, neboť d \ N). Protože je d prvočíslo, je druhý okruh těleso     = Z/dZ. Předpokládáme existenci ap E Z, které splňuje
a*'1 = 1 (modiV)   a   (af^ -1,N) = 1.
N — 1
Označme b = f(ap + NZ) E ¥4. Pak bN~x = 1, b p / 1 a tedy řád prvku b je dělitelný pap, odkud pap I d — 1, tedy d = 1 (modpap).
Promysleme si nyní N+l test. Potřebujeme znát prvočíslop, které (v tomto případě) dělí N+l. Označme opět pap nejvyšší mocninu p dělící N+l. Zvolme pevně q E Z, (q, N) = 1, takové, že x2 = q (modiV) nemá řešení. (Takové q jistě existuje: zvolíme-li libovolné prvočíslo r dělící N a primitivní kořen g modulo r, pak tuto vlastnost mají všechna čísla nesoudělná s N, která jsou modulo r kongruentní s lichými mocninami g. Podle věty 5 čtvrté kapitoly je takových čísel alespoň polovina ze všech přirozených čísel menších než N.) Zkonstruujme okruh R takto:
(R,+) = (Z/JVZ,+) x (Z/JVZ,+)
a pro libovolné (a, b), (c, d) E R položme (a, b) ■ (c, d) = (ac + qbd, ad + bc) (můžeme si místo (a, b) „představovat" a + ^fq ■ b). Snadno se ukáže, že R je komutativní okruh s jedničkou (1,0) (přesněji (1+ NZ, NZ)). Opět budeme pracovat s jistým (neznámým)
22
10. Opět testy na prvočíselnost
prvočíselným dělitelem d čísla N. Uvažme konečné těleso F^ a označme g generátor grupy F^2 (ten existuje podle věty 14 čtvrté kapitoly). Protože F^ c F^ , je F^ podgrupa řádu d — 1 cyklické grupy F^2 řádu d2 — 1. Protože (q, N) = 1, je i (q, d) = 1 a tedy má smysl uvažovat q EW% (přesněji q+dZ E ("L/ďL)* = F^). Proto q = g^d+1^c pro vhodné
c G Z. Označme s = g^'0, pak s2 = q. Uvažme dvojici homomorfismů /i;2 : R —>■ F^ definovanou takto: fi((a, b)) = a + sfe, /2((o, 6)) = a — sfe. (Sami ověřte, že jde o ho-momoríismy okruhů). Předpokládejme, že jsme našli a E R s vlastností aN+1 = 1,
a p i. (Jak takové a hledat: zvolíme nějaké /3 = (a,b) E R splňující í) / 0 a položíme a = ^N~x. Jestliže pak aN+1 7^ 1, není R těleso a proto není N prvočíslo a
N+l
jsme hotovi. Pokud a p =1, což v případě prvočíselného N nastává s pravděpodob-ností ^, zvolíme jiné j3.) Můžeme předpokládat, že a p = (x + NZ,y + NZ), kde (x — 1,N) = 1 nebo (y,N) = 1 (v opačném případě bychom dostali netriviálního dělitele N). Označme ji = /i(cť), 72 = J2(a)- Platí Ji+1 = 1 a současně 72V+1 = 1.
JV+1 JV+1 N+l
Dokážeme sporem, že j1 p   7^ 1 nebo j2p   7^ 1. Jestliže totiž j1 p   = 1 a současně
N+l
72 p =1, znamená to, že v tělese W<p platí x + sy = x — sy = 1, odkud plyne 2sy = 0, a tedy y = 0, neboť 2s E F^2, a x = 1. Tyto rovnosti v tělese F^ znamenají y = 0 (modd) a x = 1 (modd), což je spor.
N+l
Existuje tedy i E {1,2} tak, že j^+1 = 1 a 7, " 7^ 1. Označme r řád prvku ji. Pak pap I r. Současně r \ d2 — 1, tedy d2 = 1 (modpap). Odtud lze odvodit d = ±1 (modpap), je-li p ^ 2, popřípadě d = ±1 (mod2a2_1), je-li p = 2.
V případě N — 1 i iV + 1 testu jsme byli schopni odvodit jistou informaci o potenciálních dělitelích d čísla N za předpokladu, že jsme byli schopni nalézt alespoň některé prvočinitele čísla N — 1 (resp. N + l). Obecně ale ve hledání dělitelů těchto čísel nemusíme být vůbec úspěšní (odhlédneme-li od zřejmého faktu, že čísla N — 1 a N + 1 jsou sudá a jedno z nich je dokonce dělitelné čtyřmi). Je proto potřeba provést analogické úvahy i v jiných situacích, tj. pro grupy o jiném počtu prvků než mají F^ a F^2. Potřebujeme, aby počet prvků takové grupy nebyl o mnoho větší než d, aby byla reálná šance nalezení prvočíselného dělitele. Navíc je nutné, abychom byli schopni v této grupě počítat, přestože neznáme číslo d, ale jen jeho násobek N.
Výše popsaným požadavkům vyhovují eliptické křivky nad . Protože však d neznáme, výpočty v této grupě budeme provádět pomocí nějakého homomorfismů z grupy, ve které jsme schopni počítat. Tím by mohla být „eliptická křivka" nad Z/iVZ. Uvozovky zde stály proto, že pro složené N není Z/iVZ těleso a tedy tento pojem nebyl zaveden. Pokusme se to napravit. Pro stručnost označme R = Z/iVZ.
Uvažme množinu M všech (n + l)-tic (x±,..., xn+i) E Rn+1 takových, že zvolíme-li reprezentanty zbytkových tříd x\ E x±, 24+1 E xn+i, čísla x\,..., x'n+1, N jsou nesoudělná. Podobně jako pro tělesa nazveme n-rozměrným projektivním prostorem Pn(R) nad R rozklad množiny M, příslušný ekvivalenci ~ definované takto: pro libovolné (n + l)-tice (xx,..., xn+1), (yi,..., yn+1) E Rn+1 je (xx,..., xn+1) ~ (yi,..., yn+i) právě tehdy, když existuje A E Rx, které pro každé i E {1,..., n + 1} splňuje podmínku Xi = Xyi.
Bod projektivního prostoru Pn(R) (tj. třídu rozkladu M j ~) obsahující (n + l)-tici (xi,..., xn+i) budeme značit [x±,..., £n+i].
Máme-li homogenní polynom F(t±,..., rn+i) £ R[ti, ■ ■ ■, tn+i] o n + 1 proměnných
10. Opět testy na prvočíselnost
23
nad R stupně k a [x±,..., xn+i] E Pn(R), má opět smysl položit
C = {[Xl,..., xn+1] E Pn(R); F(xu .. .,xn+1) = 0}.
Pro libovolné a, b E R takové, že 4a3 + 27b2 E Rx, můžeme definovat „eliptickou křivku" (£, O) nad Z/iVZ takto: O = [0,1, 0] a
£ = {[x,y, z] E P2(R); y2z = x3 + axz2 + bz3}.
Chceme nyní definovat na £ operaci +. Uvažme proto vzorce ze druhé věty deváté kapitoly. Pro složené N nastanou komplikace v bodě 3, kdy A = [a,/3,1] E £, B = [7, 5,1] E £ a B ^ —A. Může se totiž stát, že v případě cc 7^ 7 je a — 7^ Rx nebo že v případě a = 7 je j3 ^ Rx. Další komplikací je, že může existovat bod [x, y, z] E £ takový, že z 7^ 0 a současně z ^ Rx. Pro body tohoto typu žádné vzorce pro sčítání nemáme.
Proto budeme definovat sčítání bodů z £ jen jako částečnou operaci: někdy sčítat lze (tj. při užívání zmíněných vzorců dělíme invertibilními prvky) a součtem je opět bod na £ (což vyžaduje ověření, které si zde odpouštím); jindy sčítat nelze, neboť by bylo třeba dělit nenulovým prvkem z R, který není invertibilní (to však vzhledem k tomu, že R = Z/iVZ, znamená nalezení netriviálního dělitele čísla N).
Poznamenejme, že je možná i druhá cesta, totiž definovat grupovou operaci pomocí projektivních souřadnic na celém £. Tím se však definice operace značně komplikuje (je třeba rozlišit devět různých případů). Pro naše účely je to zcela zbytečné, neboť v okamžiku, kdy se dostaneme do situace, kdy nelze sčítat, znamená to, že jsme nalezli netriviálního dělitele čísla N a jsme hotovi.
Uvažujme nyní prvočíselný dělitel d čísla N. Pak máme homomorfismus okruhů / : R ->■ Fd, přičemž f(s + NI) = s + dZ. Protože 4a3 + 27b2 E Rx, je
y2z = x3 + f(a)xz2 + f(b)z3
rovnicí eliptické křivky (£4, Od) nad F^, kde Od = [0,1,0]. Podstatné je, že nám / indukuje zobrazení /' : P2(R) ->■ P2(¥d) určené předpisem
/'([a, A 7]) = [/(«),/(/?),/(7)] (zde jsme užili to, že f(Rx) C F£). Zúžení tohoto zobrazení na £ je částečný homomorfismus /' : £ —>■ £d v tomto smyslu: jsou-li A, B E £ takové, že je A + B definováno, pak platí f (A + B) = f (A) + f(B).
Věta. Nechť N > 1 je přirozené číslo nesoudělné s 6, R = Z/iVZ, (£, O) „eliptická křivka" nad R. Předpokládejme, že jsme našli bod P = [x, y, z] E £ a prvočíslo q splňující
1. q>«/Ň~+l)2,
2. q ■ P (tj. součet q kopií bodu P) je definováno a platí q ■ P = O = [0,1, 0],
3. z E Rx.
Pak je N prvočíslo.
Důkaz. Předpokládejme, že N není prvočíslo. Označme d nejmenší prvočíslo dělící N. Pak platí d < \/N. Užijeme-li částečný homomorfismus /', dostaneme z podmínek 2 a 3, že f'(P) je řádu q v grupě £d, odkud
\£d\ >q> (^iV + 1)2 > (Vď+1)2, což je ale spor s Hasseho větou, podle které
\\£d\ - (d+l)\ < 2y/ď.
24
10. Opět testy na prvočíselnost
Na předchozí větě je založen test na prvočíselnost pomocí eliptických křivek. Otázkou zůstává, jak zvolit eliptickou křivku (tedy jak zvolit a, b E R) a jak na ní najít bod P a prvočíslo q splňující předpoklady věty. Je jasné, že při hledání a, b, P, q můžeme postupovat, jako kdyby bylo N prvočíslo (o čemž jsme přesvědčeni, vždyť prošlo testem Millera a Rabina). I kdybychom je uhádli ze skleněné koule, výsledek je týž: větou dokážeme, že N skutečně prvočíslo je. Pro hledání a, b, P, q se užívají následující metody.
1. Goldwasser — Kilián. Existuje algoritmus Schoofa, který pro prvočíslo p počítá řád (tj. počet bodů) eliptické křivky nad ¥p v čase 0(hr p). Postupujeme takto: zvolíme náhodně a, b E R tak, aby 4a3 + 27b2 E Rx. Pomocí Schoofova algoritmu určíme pro křivku (£, O) určenou rovnicí y2 = x3 + ax + b a pro p = N její řád m (jestliže N není prvočíslo, nemá m žádný význam). Získané m zkoušíme dělit malými prvočísly, doufajíce, že poté, co odstraníme malé faktory, zůstane nám q > (\/N~ + l)2, q < y, o kterém test Millera a Rabina zjistí, že q je asi prvočíslo. Pokud se nám to nepodaří, začneme znovu s jinými a, b E R.
Existuje algoritmus, který pro prvočíslo p a celé číslo e hledá v čase 0(hr p) řešení kongruence x2 = e (modp) a to, že takové řešení neexistuje, zjistí dokonce v čase 0(ln2 p). Bod P na křivce hledáme takto: náhodně zvolíme c E R a hledáme d E R tak, aby d2 = c3 + ac + b (jde o kongruenci modulo N; d hledáme jako by bylo N prvočíslo, pak uděláme zkoušku, pokud nevyjde, nebylo N prvočíslo a jsme zcela hotovi). Neexistuje-li takové d, zkusíme jiné c. Pak za P zvolíme ^-násobek bodu [c, d, 1] v (£, +). Je-li P = [0,1, 0], zvolíme jiné c atd. Je-li P ^ [0,1, 0], vzhledem k tomu, že při výpočtu používáme jen vzorců ze druhé věty deváté kapitoly, platí P = [x, y, 1] pro nějaké x, y E R. Spočítáme g-násobek bodu P v (£,+)■ Jestliže nedostaneme [0,1,0], není m řád křivky (£,0), Schoofův algoritmus tedy nedal správný výsledek a proto N není prvočíslo. Jestliže g-násobek bodu P je [0,1, 0], podle věty je N prvočíslo, pokud q je prvočíslo. To zjistíme rekurzívně (No = N, Ni je q pro No, N2 je q pro Ni, ...). S rekurzí skončíme v okamžiku, kdy iVj je dost malé na to, abychom ověřili jeho prvočíselnost pokusným dělením (to nastane v O(lniV) krocích vzhledem k iVj+i < |iVj). Je třeba si uvědomit, že není-li iVj prvočíslo, skončíme jen v případě i = 0, pro i < 0 je třeba se vrátit k i — 1 a najít nové iVj.
2. Atkin. Jeho metoda je založena na teoretických výsledcích, které bohužel notně převyšují možnosti naší přednášky, proto jen informačně: nevolí křivky náhodně, ale volí speciální případ eliptických křivek, tzv. eliptické křivky s komplexním násobením. Výhoda metody je v tom, že je možné snadněji spočítat řád těchto křivek (vyhne se Schoofově algoritmu).
Poznámky k časové náročnosti. Test Golwassera a Kiliána (objevený v roce 1986) má spíše teoretický význam; je možné dokázat (za jakýchsi rozumných předpokladů o rozložení prvočísel v krátkých intervalech, že očekávaný čas výpočtu je 0(ln12iV), tedy polynomiální (nejhorší možný čas výpočtu není možno stanovit, protože jde o pravděpodobnostní algoritmus). Atkinův test byl implementován Atkinem a Morainem v roce 1990 a je schopen dokazovat prvočíselnost čísel o zhruba 1000 dekadických cifrách v řádově týdnech strojového času na Sparc station. I v tomto případě je očekávaný čas výpočtu polynomiální (přesněji 0(ln6 N)).
Další moderní test na prvočíselnost je tzv. metoda Jacobiho sum, která byla objevena v roce 1980 (Adleman, Pomeranče a Rumely) a dále zjednodušena a imple-
11. Hledání netriviálního dělitele — Lehmannova metoda
25
mentována v roce 1981 (Cohen a Lenstra). Existuje jak v pravděpodobnostní, tak v deterministické verzi, která je však méně praktická. Pomeranče a Odlyzko dokázali, že čas výpočtu tohoto algoritmu je 0((lniV)c'lnlnln JV) pro jistou konstantu C. Tato časová náročnost se velmi blíží polynomiální (uvědomme si, že funkce ln ln ln JV roste velmi pomalu: lnlnln(1010) = 1.143145, lnlnln(10100) = 1.693632, lnlnln(101000) = 2.046633, lnlnln(1010000) = 2.30 70 1 3).
11. Hledání netriviálního dělitele — Lehmannova metoda
Předpokládejme, že máme dáno přirozené číslo JV, o němž víme, že je složené. Naším úkolem je nalézt netriviálního dělitele čísla JV.
Odhadněme nejprve časovou náročnost metody pokusného dělení: je třeba číslo JV postupně vydělit všemi prvočísly nepřevyšujícími y/Ň. Každé takové dělení zabere čas řádu 0(ln2 JV), celá metoda je tedy tedy řádu 0(N^ ln2 JV). První metoda, jejíž čas je lepší než právě uvedený, byla navržena Lehmannem. Je založena na následující větě.
Věta (Lehmann). Nechť N je liché přirozené číslo tvaru N = pq, kde p a q jsou prvočísla. Nechť celé číslo r splňuje
Kr<VŇ~   a   J-<p<VN.
Pak existují celá čísla x, y, k taková, že
1. x2 - y2 = AkN,    kde 1 < k < r;
2. x = 1 (mod2),   je-li k sudé, a   x = k + N (mod4),   je-li k liché;
3. 0<x- V^kŇ < ——^—-~ 4(r + 1)
a navíc
p = mm{(x + y, JV), (a; - y, JV)}.
Jestliže je N prvočíslo, pak celá čísla x, y, k splňující podmínky 1, 2 a 3 neexistují pro žádné přirozené r < -/Ň.
Důkaz prozatím neuvádím.
Použití věty. Pro dané přirozené číslo JV označme r = [\/N~]. Metodou pokusného dělení ověříme, že JV není dělitelné prvočísly nepřevyšujícími r (nebo nalezneme netriviálního dělitele). Pak existují prvočísla p, q tak, že JV = pq (víme, že JV není prvočíslo). Předpokládáme-li, že p < q, pak skutečně
V r+ 1 - y ýjv
Budeme pak postupně volit k E {1, 2, ..., r} a pro každé takové k necháme x proběhnout všechna celá čísla splňující podmínky 2 a 3 z předchozí věty. Pro každé takové
26
11. Hledání netriviálního dělitele — Lehmannova metoda
x pak testujeme, zda x2 — 4&JV je druhá mocnina přirozeného čísla. Pokud ano, označíme y = y/x2 — AkN a spočítáme p. Je jasné, že časová náročnost algoritmu závisí na tom, jak rychle jsme schopni rozhodnout, zda přirozené číslo je nebo není druhou mocninou. Cesta vedoucí přes výpočet reálné odmocniny, zaokrouhlení a zkoušku jistě není ta pravá.
Algoritmus (Celočíselná druhá odmocnina). Pro dané přirozené číslo n algoritmus najde přirozené číslo m splňující m2 < n < (m + 1)2.
1. [Inicializace] Polož x <— n (viz též diskusi za algoritmem).
2. [Krok] Pomocí celočíselného dělení a posunu spočítej y <— [(x + [f ])/2].
3. [Konec?] Je-li y < x, polož x <— y a jdi na 2. Jinak vytiskni x a skonči.
Důkaz algoritmu. Podle kroku 3 hodnota proměnné x klesá, algoritmus se tedy zastaví. Ukažme, že výsledek, který dává, je správný. Protože x E Z, platí [(#+[f ])/2] = [(x + ^)/2]. Označme q = [y/n\. Protože j(t — y/n)2 > 0 pro libovolné t > 0, platí \{t + f) > y/ň, tedy x > q je splněno v průběhu celého algoritmu. Předpokládejme, že se algoritmus zastavil, tj. že y = [(x + ^)/2] > x a dokažme x = q. Předpokládejme x > q + 1. Pak x > y/ři a platí
y - x = [\{x + l)] - x =        - x)] = [£(n - x2)] < 0,
spor.
Časová náročnost celočíselné odmocniny. V kroku 1 je jistě výhodnější místo n zvolit číslo bližší y/ň. Vhodné může být např. zjistit řád e nejvyšší dvojkové cifry n, tj. přirozené číslo e splňující 2e < n < 2e+1 a položit x <— 21+^. Pak totiž x2 < 2e+2 < 4n, x2 > 2e+1 > n, tj. y/ň < x < 2sfn~. Po provedení kroku 2 pak platí
x~y = -[é(n~ x2)\ ^ -é(n~ x2) =
= ±(x+y/ň)(x- y/ň) > ±(x+%)(x-y/ň) = \{x-y/ň).
V každém dalším provedení kroku 3 se hodnota x — y/ň zmenší alespoň čtyřikrát, neboť y — y/n = (x — y/n) — (y — x) < \{x — y/n) a tedy krok 3 provádíme řádově O(lnn)-krát. Protože celočíselné dělení je řádu 0(ln2 n), je celý algoritmus řádu 0(ln3 n).
Pokud nás, podobně jako v případě Lehmannova algoritmu, zajímá jen to, zda n je či není druhou mocninou přirozeného čísla, je možné rozhodování zrychlit: zjistíme, zda je n kvadratickým zbytkem modulo nějaké zvolené číslo m (tj. zda má řešení kongruence x2 = n (modm) - pokud n je druhou mocninou přirozeného čísla, tato kongruence řešení mít musí). Budeme postupovat takto: vydělíme číslo n číslem m se zbytkem a získaný zbytek porovnáme s tabulkou všech kvadratických zbytků modulo m, kterou budeme mít předem spočítánu v paměti. Vhodným modulem může být například číslo 1989 = 32 • 13 • 17 nebo 1925 = 52 • 7 • 11. Podle věty 15 a věty 5 čtvrté kapitoly je pravděpodobnost, že náhodně zvolené přirozené číslo je kvadratický zbytek modulo 1925 rovna |jr • | • = pro modul 1989 je dokonce rovna | • ^ • jf = ?|jy. Provedeme-li test pro oba moduly, poběží předchozí algoritmus jen s pravděpodobností gffg, tedy jen asi v 1,7% případů.
Algoritmus (Naplnění tabulek kvadratických zbytků). Algoritmus sestaví vektory Tx o délce 1989 a T2 o délce 1925 tak, že pro každé l<i< 1988 platí T^i] = 1
12. Hledání netriviálního dělitele — Pollardova p metoda 27
právě když kongruence x2 = i (modl989) má řešení a pro každé 1 < i < 1924 platí T2[i] = 1 právě když kongruence x2 = i (modl925) má řešení.
1. [Naplň Ti] Pro i od 0 po 1988 polož Ti [i] ±- 0. Pak pro i od 0 po 994 polož Ti[í2modl989] <- 1.
2. [Naplň T2] Pro i od 0 po 1924 polož T2[i] <- 0. Pak pro i od 0 po 962 polož r2[í2modl925] <- 1.
Algoritmus (Test na čtverec). Pro dané přirozené číslo n algoritmus zjistí, zda je n druhá mocnina přirozeného čísla, a pokud ano, vytiskne y/ň.
1. [Test na 1989] Polož r <— nmodl989. Je-li Ti[r] = 0, odpověz, že n není druhá mocnina přirozeného čísla a skonči.
2. [Test na 1925] Polož r <— nmodl925. Je-li T2[r] = 0, odpověz, že n není druhá mocnina přirozeného čísla a skonči.
3. [Spočítej odmocninu] Algoritmem celočíselné druhé odmocniny spočítej m = [y/n\. Je-li n ^ m2, odpověz, že n není druhá mocnina přirozeného čísla a skonči. Jinak odpověz, že n je druhá mocnina přirozeného čísla m a skonči.
Časová náročnost Lehmannova algoritmu. Pro pevné k E {1, 2, ..., r} probíhá
x celá čísla z intervalu délky 4^^) \J~^-> přičemž r = [v^V]- Platí tedy, že 4(^1) ypj^
je řádu 0(k~^N*) a časová náročnost pro pevné k je 0(k~^N^ ln3iV). Sečtením přes všechna k dostáváme celkovou časovou náročnost
r
k=l
Přitom    k 2dk = [2kz]i = 2-^/ř — 2, tedy časová náročnost je řádu
o(Nhn3N- Vn^J =0(Nhn3N). Počáteční pokusné dělení čísla N všemi prvočísly nepřevyšujícími r je řádu
o(m ln2 JV),
celková časová náročnost metody je tedy 0(N% ln3 N), což je výrazně lepší oproti časové náročnosti algoritmu pokusného dělení, která je 0(N? ln2 N).
12. Hledání netriviálního dělitele — Pollardova p metoda
Předpokládejme, že M je konečná množina a / : M —>■ M zobrazení. Zvolme xq E M a pro každé n G N položme xn = f(xn-i). Protože je M konečná, v posloupnosti (^n)^Lo nemohou být všechny prvky různé. Nechť i E N U {0} je nejmenší index, pro který existuje nějaký index n > i s vlastností Xi = xn. Dále označme j nejmenší takové n. Pak i nazýváme předperioda a j — i perioda posloupnosti (xn)^=0. Je možné dokázat, že střední hodnota předperiody i periody (mají-li všechny dvojice (xo,f) E M x MM stejnou pravděpodobnost) je řádu 0(y/\M\).
28
12. Hledání netriviálního dělitele — Pollardova p metoda
Základní myšlenka Pollardovy p metody je následující: nechť f(x) je mnohočlen s celými koeficienty. Hledáme (neznámého) prvočíselného dělitele přirozeného čísla N, o kterém víme, že je složené. Zvolme celé číslo xq a počítejme xn = f(xn-i) modiV. Pak ovšem yn = xn modp vyhovuje téže rekurzi. Pokud se / chová jako náhodné zobrazení (což nevíme, ale budeme to předpokládat), je předperioda a perioda posloupnosti (yn)'Ž?=o řádu 0(y/p), kdežto předperioda a perioda posloupnosti (xn)^=0 je řádu řádu 0(VN). Dá se tedy čekat, že existují i < j tak, že y^ = yj, ale Xi + Xj. Pak ovšem je (xí — Xj,N) netriviální dělitel čísla N.
Je nutné nějak zvolit xq a /. Volba xq se zdá být nepodstatná, ne však volba /. Je vhodné, aby / byl jednoduchý polynom pro výpočet, lineární se však nezdá být vhodný. Promysleme si situaci s lineárním polynomem f(x) = ax + b. Vzhledem k tomu, že celá čísla a, b budeme volit, je rozumné očekávat, že se nepodaří zvolit a ani x o soudělné s N; je-li (a, N) = 1, je / : Z/iVZ —>■ Z/iVZ bijekce a tedy předperioda je nulová, periodu je kromě triviálních případů (6 = 0 nebo a = ±1) obtížné určit. Budeme tedy volit / jako co nejjednodušší kvadratický polynom. Volba / = x2 vhodná není (promyslete si sami, že pro <p(N) = 2e -l s lichým / bude v případě (xo, N) = 1 předperioda menší nebo rovna e a perioda dělitelem čísla r, kde r je nejmenší přirozené číslo splňující 2r = 1 (mod/)). Podobně polynom / = x2 — 2 není vhodný, neboť pokud bychom náhodou zvolili xq ve tvaru xq = u + u-1, bylo by x\ = f(xo) = (u + it-1)2 — 2 = u2 + u~2 atd. Perioda by tedy byla dělitelem periody pro / = x2 a xq = u (je možné dokázat, že podíl těchto period je tvaru 2e, kde e je menší nebo rovno počtu prvočíselných dělitelů čísla N). Je ověřeno experimentálně, že polynom / = x2 + c, kde c/0ac / —2, pracuje docela dobře, i když nejsme schopni určit ani periodu ani předperiodu.
Je jasné, že uchovávání všech již vypočtených členů posloupnosti (xn)%LQ a jejich neustálé porovnávání s nově vypočtenou hodnotou by bylo velmi zdlouhavé. Jednoduchou metodou, jak se tomuto zdlouhavému výpočtu vyhnout, je porovnávat postupně xn a X2n- Pak totiž prvočíselného dělitele p čísla N objevíme nejpozději po k krocích, kde k je součet předperiody a periody posloupnosti modulop. Znamená to počítat iterace dvou posloupností: položit zq = xq, iterovat xn = /(xn_i) modiV a zn = f(f(zn-i)) modiV a počítat (xn — zn,N).
Za (nedokázaného) předpokladu, že / se chová jako náhodné zobrazení, je počet nutných kroků 0(y/p). V každém kroku počítáme třikrát /, dvakrát zbytek po dělení N a jednou největší společný dělitel, vše je 0(ln2 N) Celková časová náročnost je tedy 0(y^ln2iV), což vzhledem k p < \/N dává 0( v^ŽVm2 JV). Je vhodné si uvědomit, že podobně jako metoda postupného dělení je i tato metoda citlivá k velikosti prvočíselných dělitelů - „malé" dělitele čísla N odstraňuje rychleji než „velké".
13. Hledání netriviálního dělitele — Pollardova p — 1 metoda
Tato metoda je schopna najít i značně velké prvočíselné dělitele p čísla N, pokud p — 1 není dělitelné příliš velkou mocninou prvočísla.
Definice. Nechť B je přirozené číslo. Řekneme, že přirozené číslo n je B-hladké, jestliže pro libovolné prvočíslo p a libovolné přirozené číslo k platí
pk | n pk < B.
13. Hledání netriviálního dělitele — Pollardova p — 1 metoda
29
Celá medoda je založena na následující myšlence: přepokládejme, že pro nějaký prvočíselný dělitel p čísla N platí, že číslo p — 1 je 5-hladké pro nějaké nepříliš velké přirozené číslo B. Zvolme libovolně 1 < a < N. Je-li (a,N) > 1, jsme hotovi. Budeme proto předpokládat, že (a, N) = 1. Pak podle definice číslo p — 1 dělí nejmenší společný násobek L b čísel 1,2,3,...,5. Z Fermatovy věty pak plyne aĽB = 1 (modp) a tedy (aĽB — 1,N) > 1. Budeme tedy testovat poslední podmínku pro zvyšující se hodnoty exponentu e \ Lb (budeme postupně umocňovat na faktory z kanonického rozkladu čísla Lb)- Je velmi nepravděpodobné, že poprvé, kdy platí (ae — 1,N) > 1, je tento největší společný dělitel roven N. Může se ovšem stejně stát, že metoda selže, jestliže pro žádné prvočíslo p | N číslo p — 1 není 5-hladké.
Při výpočtu zabere nejvíce času výpočet největšího společného dělitele, proto budeme postupovat tak, že budeme uchovávat součiny a počítat největší společný dělitel jen čas od času.
Algoritmus (Pollardova p — 1 metoda, první stadium). Nechť N je složené číslo, B předem daná hranice. Algoritmus zkouší najít netriviálního dělitele N. Má naději na úspěch, pokud existuje prvočíslo p \ N, pro které p — 1 je B-hladké. Předpokládáme, že máme tabulku p[l], p[2],..., p[k] všech prvočísel menších nebo rovných B.
1. [Inicializace] Polož x <— 2, y <— x, P <— 1, c <— 0, i <— 0, j <— i.
2. [Další prvočíslo] Polož i <— i + 1. Je-li i > k, spočti největší společný dělitel g <— (P, N). Je-li g = 1, vydej zprávu, že algoritmus neuspěl a skonči, jinak polož i <— j, x <— y a jdi na 5. V opačném případě (tj. pro i < k) polož q    p[i], qi <— q, l <— [^].
3. [Spočti mocninu] Dokud qi < l, dělej qi <— qi • q. Pak polož x <— xqi modiV, P <- P ■ (x - 1) modiV, c<-c+la je-li c < 20, jdi na 2.
4. [Největší společný dělitel] Polož g <— (P, N). Je-li g = 1, polož c <— 0, j <— i, y <— x a jdi na 2. Jinak polož i <— j, x <— y.
5. [Počítej znovu] Polož i <— i + 1, q <— p[i], qi <— q.
6. [Skončil jsi?] Polož x <— xqmodN, g <— (x — l,N). Je-li g = 1, polož qľ <— q • qi a je-li qi < B, jdi na 6, jinak jdi na 5. V opačném případě (tj. pro g > 1), jeli g < N, vytiskni g a skonči. Konečně, je-li g = N (což nastane s velmi malou pravděpodobností), vytiskni zprávu, že algoritmus neuspěl a skonči.
Poznamenejme, že pokud algoritmus selhal v bodě 6, znamená to, že všechna prvočísla p dělící N byla nalezena současně, což je značně nepravděpodobné. Může proto mít smysl zkusit tentýž algoritmus s jinou počáteční hodnotou (např. x <— 3).
I v této jednoduché formě jsou výsledky algoritmu působivé. Samozřejmě, jsou-li p < q prvočísla zhruba stejně velká taková, že i 2p + 1 a 2q + 1 jsou prvočísla, pro N = (2p + l)(2g + 1) by algoritmus rozložil N jen pro B > p. Uspěl by tedy za dobu srovnatelnou s algoritmem pokusného dělení.
Obvyklé hodnoty B jsou mezi 105 a 106.
Druhé stadium. Požadavek, aby existovalo prvočíslo p \ N takové, že p — 1 je 5-hladké, je poměrně silný. Má proto smysl jej zeslabit a požadovat jen, aby bylo p — 1 zcela rozloženo po pokusném dělení do hranice B, tj. požadovat, aby p — 1 = / • q, kde / je B-hladké a q je prvočíslo větší než B (ale zase ne příliš velké). Pro naše účely budeme předpokládat, že / je 5i-hladké a prvočíslo q splňuje Bi < q < B2, kde Bi je naše staré B a B2 je o dost větší konstanta. Samozřejmě, že bychom p objevili i předchozím algoritmem pro B = B2, ale to by trvalo příliš dlouho.
30
13. Hledání netriviálního dělitele — Pollardova p — 1 metoda
Podobně jako předtím nyní platí (aqĽB — 1,N) > 1. Budeme postupovat takto: po ukončení prvního stadia (tj. předchozího algoritmu) máme spočítáno b = aĽB modiV. Předpokládejme, že máme uloženy rozdíly prvočísel od Bi do B2. Tyto rozdíly jsou malé a je jich nemnoho. Můžeme proto snadno předpočítat bd pro všechny možné rozdíly d a získat bq postupným donásobováním původní mocniny b předpočítanými hodnotami bd. Znamená to, že pro každé prvočíslo mezi Bi a B2 nahradíme umocňování pouhým násobením, které je samozřejmě mnohem rychlejší.
Algoritmus (Pollardova p — 1 metoda, druhé stadium). Nechť N je složené číslo, Bi a B2 předem dané hranice. Algoritmus zkouší najít netriviálního dělitele N. Má naději na úspěch, pokud existuje prvočíslo p \ N, pro které p — 1 je Bi-hladké nebo je to B\-hladký násobek prvočísla mezi Bi a B2. Předpokládáme, že máme tabulku p[l], p[2],..., p[ki] všech prvočísel menších nebo rovných Bi a tabulku d[l], d[2],..., d[k2] všech diferencí prvočísel mezi Bi a B2 tak, že d[l] = p[k± +1] — p[ki] atd.
1. [První stadium] Pro B = Bľ (a k = ki) zkus rozložit N pomocí předchozího algoritmu. Jestliže tento algoritmus uspěje, skonči. V opačném případě jsme tímto algoritmem získali x. Polož b <— x, P <— 1, c <— 0, i <— 0, j <— i.
2. [Předpočítání] Pro všechny hodnoty rozdílů d[i] (které jsou malé a je jich málo) spočítej a ulož fedW. Polož x <—        modiV, y x.
3. [Vpřed] Polož i<— i + x<— x - bd^ (pomocí předpočítané hodnoty bd^), P <— P ■ (x — 1) modiV, c <— c + 1. Je-li i > k2, jdi na 6. Jinak, je-li c < 20, jdi na 3.
4. [Největší společný dělitel] Polož g <— (P, N). Je-li g = 1, polož c <— 0, j <— i, y <— x a jdi na 3.
5. [Počítej znovu] Polož i <— j, x <— y. Pak opakuj x <— x-bd^\ i <— i + g <— (x—l,N) dokud nenastane g > 1 (což musí nastat). Je-li g < N, vytiskni g a skonči. Jinak (tj. je-li g = N, což nastane s velmi malou pravděpodobností), vytiskni zprávu, že algoritmus neuspěl (nebo zkus znovu pro x <— 3 místo x <— 2 v kroku 1 prvního stadia) a skonči.
6. [Neuspěl jsi?] Polož g <— (P, N). Je-li g > 1, jdi na 5. V opačném případě (tj. je-li g = 1), vytiskni zprávu, že algoritmus neuspěl a skonči.
V této formě je algoritmus mnohem efektivnější než ve formě pouze prvního stadia. Obvyklé hodnoty konstant jsou Bx = 2 ■ 106, B2 = 108.
Algoritmus je založen na aritmetice grupy F£. Podobně lze pracovat i v F^2 /F* , v tomto případě je požadována 5-hladkost čísla p+1 místo p — 1. Je možné samozřejmě pracovat i v F^4 /Fj nebo F*3 /F* nebo F^6 /(F*2 • F*3) s požadavkem 5-hladkosti čísla p2 + 1 nebo p2 + p + 1 nebo p2 — p + 1. To už jsou ale mnohem větší čísla a splnění požadavku 5-hladkosti těchto čísel je méně pravděpodobné. Potřebujeme proto další grupy, jejichž řád je zhruba p, ve kterých jsme schopni pracovat (aniž známe prvočíslo p). Takovými grupami jsou grupy eliptických křivek nad ¥p.
14. Hledání netriviálního dělitele — Lenstrova metoda eliptických křivek
Mějme opět dáno složené přirozené číslo N, které chceme rozložit. Je přirozené předpokládat, že (iV,6) = 1. Zvolme a, b E Z tak, aby (4a3 + 27b2, N) = 1. Pak rovnice
y2z = x3 + axz2 + bz3
14. Hledání netriviálního dělitele — Lenstrova metoda eliptických křivek 31
(kde bychom správně měli psát a+NZ, b+NZ místo a, b) nám určuje „eliptickou křivku" (£, O) nad Z/NZ, přičemž O = [0,1,0] E P2(Z/NZ). Nechť p je nějaké (neznámé) prvočíslo dělící N. Předchozí rovnicí (kde a, b chápeme jako a+pZ, b+pZ E Z/pZ = ¥p) je zadána eliptická křivka (£p,Op), přičemž Op = [0,1,0] E P2(¥p). Připomeňme, že (£p,+) je komutativní grupa a podle Hasseovy věty platí \£p\ = p + 1 — ap, kde celé číslo ap splňuje \ap\ < 2^/p. Na množině £ máme definovánu vzorci z druhé věty deváté kapitoly částečnou operaci +, přičemž kdykoli známe nějaké body P = [ai,/3i, 1], Q = [oí2i fii,1} E £ takové, že P + Q není definováno, snadno najdeme netriviálního dělitele čísla N. Navíc existuje částečný homomorfismus fp : £ —>■ £p takový, že jestliže je pro P, Q E £ definováno P + Q, pak platí fp(P + Q) = fp(P) + fP(Q).
Představme si, že známe nějaký bod P = [a, j3,1] E £ a že \£p\ je B-hladké pro nějaké nepříliš velké přirozené číslo B. Označme L b nej menší společný násobek čísel 1, 2, ..., B. Pak ovšem \£p\ \ Lb a platí tedy Lb ■ fp(P) = Op. Předpokládejme, že je definováno L b ■ P (přitom si při provádění algoritmu budeme přát samozřejmě opak). Pak musí pro L b - P = [a',/3', y1] platit p \ a', p \ j3' — 1, p | 7'. Protože naše vzorce pro sčítání bodů ve třetí složce dávají vždy 0 nebo 1, musí platit L b ■ P = O. To ale znamená, že Lb ■ fq(P) = Oq pro každé prvočíslo q \ N. Přitom budeme L b ■ P počítat postupně „donásobováním" jednotlivými prvočísly z rozkladu Lb, a tedy každý mezivýsledek musel mít ve třetí složce buď 0 nebo 1. Znamená to, že řád bodu fq(P) v grupě (£q, +) musí být stejný pro všechna prvočísla q dělící N. To je ale značně nepravděpodobné. Proto lze čekat, že pokud pro zvolené nepříliš velké přirozené číslo B platí, že \£p\ je 5-hladké pro nějaké prvočíslo p dělící N, s velkou pravděpodobností najdeme zmíněným postupem netriviálního dělitele čísla N.
Problémem ale zůstává, že pro zvolené číslo B nemusí \£p\ být 5-hladké pro žádné prvočíslo p dělící N, což objevíme až poté, co spočítáme Lb ■ P. V tomto případě zvolíme jiná a, b a celý postup znovu zopakujeme.
Zbývá vyjasnit několik věcí: jak volit a, b, jak najít P E £ a jak zvolit přirozené číslo B. První nápad je zvolit a, b náhodně a bod P najít jako nějaké řešení kongruence y2 = x3 + ax + b (modiV), tj. pro zvolené x nalézt y. Avšak N není prvočíslo a řešit kvadratickou kongruenci modulo N je stejně obtížné jako najít netriviálního dělitele N. Proto zvolíme jiný postup: položíme b = 1, P = [0,1,1] a volíme pouze a. Jistě potom
Otázkou zůstává jak volit B. Protože pro menší p je také menší \£p\, vzhledem k tomu, že menší čísla jsou s větší pravděpodobností 5-hladká než velká, je metoda citlivá spíše na velikost p než na velikost N. Proto je nutno zvolit B tak velké, jak velká prvočísla jsme ještě ochotni hledat (nebo lépe, kolik času jsme ochotni hledání věnovat). Analýza pomocí odhadu pravděpodobnosti toho, že číslo jisté velikosti je 5-hladké, ukazuje, že pro hledání prvočísel do velikosti v je vhodné volit B tak, aby
nou hodnotou B = 12 000 (přičemž očekáváme, že bude potřeba projít zhruba 12 000 eliptických křivek, než najdeme p).
Podobně jako u Pollardovy p — 1 metody je vhodné i zde doplnit druhé stadium spočívající v tom, že předpokládáme, že \£p\ je 5i-hladký násobek prvočísla menšího než B2. Toto druhé stadium je zcela analogické jako u Pollardovy metody, proto si uvedeme algoritmus jen pro první stadium.
P E £.
Speciálně tedy, pro hledání prvočísel menších než 10 0 je vhod-
32 14. Hledání netriviálního dělitele — Lenstrova metoda eliptických křivek
Algoritmus (Lenstrova metoda eliptických křivek, první stadium). Nechť N je složené číslo nesoudělné s 6, B předem daná hranice. Algoritmus zkouší najít netriviálního dělitele N. Předpokládáme, že máme tabulku p[l], p[2],..., p[k] všech prvočísel menších nebo rovných B.
1. [Inicializace] Polož a <— 0.
2. [Inicializace křivky] Označme (£, O) křivku danou rovnicí y2z = x3 + axz2 + z3, kde O = [0,1, 0]. Polož P = [0,1,1], i <- 0.
3. [Další prvočíslo] Polož i <— i + 1. Je-li i > k, polož a <— a + 1 a jdi na 2. Jinak polož q <- p[i], qi<-q,l<- [f ], R<-P.
4. [Násob bod na křivce] Dokud q± < l, opakuj q± <— q ■ q±. Pak zkus spočítat P <— qi ■ P na křivce (£,0). Pokud se to nepodařilo (tj. v průběhu výpočtu byl objeven nějaký nenulový prvek okruhu Z/iVZ, který není invertibilní), vytiskni získaného netriviálního dělitele N a skonči. Jinak (tj. P byl vypočten), je-li P ^ O, jdi na 3.
5. [Počítej znovu] Dokud nebude R = O, opakovaně zkoušej spočítat R <— q ■ R (pokud se to nepodaří, vytiskni získaného netriviálního dělitele N a skonči). Nakonec polož a <— a + 1 a jdi na 2.
15. Další moderní metody hledání netriviálního dělitele
V současnosti se používají tři nejúčinnější metody hledání netriviálních dělitelů velkých čísel: Lenstrova metoda eliptických křivek, metoda kvadratického síta a metoda síta v číselném tělese. Všechny tři uvedené metody jsou subexponenciálního času.
Základní myšlenka kvadratického síta i síta v číselném tělese je stejná jako základní myšlenka metody řetězových zlomků, která je historicky první metodou subexponenciálního času a byla na konci 60-tých let a v 70-tých letech hlavní používanou metodou. Proto jsem i tuto metodu zařadil do našeho přehledu.
Základní myšlenka. Nechť N je (velké) složené přirozené číslo, jehož netriviálního dělitele hledáme. Budeme předpokládat, že jsme ověřili, že N není dělitelné žádnými „malými" prvočísly (tj. prvočísly menšími než jistá hranice) a také, že N není mocnina prvočísla (jednoduchý test, jak zjistit, že N není mocnina prvočísla, uvedeme na konci této kapitoly). Budeme hledat taková celá čísla x, y, aby platilo
x2 = y2 (modiV)   a přitom   x ^ ±y (modiV).
Protože x2 — y2 = (x — y)(x + y), je jasné, že pak největší společný dělitel (x + y,N) bude netriviální dělitel čísla N.
Avšak náhodné hledání takových čísel x, y je beznadějný úkol. Trik, který je společný pro všechny tři zmíněné metody, spočívá v tom, že místo toho hledáme kongruence tvaru
x\ = {-l)eokp\lkpe22k ■ ■ -pe^k (modJV),
kde pi jsou „malá" prvočísla a en- E {0,1}. Nalezneme-li dostatečně mnoho takových kongruencí (tj. alespoň n > m + 2), můžeme Gaussovou eliminací nad ¥2 v m + 1-rozměrném prostoru ¥2n+1 najít lineární závislost mezi n vektory (eofc, eifc,..., emfc), (ztotožňujeme {0,1} s F2), tj. najít ei,...,en E F2, ne všechna nulová, pro která je
16. Některé nezbytnosti o řetězových zlomcích
33
Ylk=i efe(eofe) eiki ■ ■ ■ j emfc) nulový vektor. Budeme-li nyní e±,..., en považovat za celá čísla, pak pro každé i e {0,1,...,m} je číslo Ví = \ Y^k=i£keik celé (uvažte homo-moríismus okruhů Z —>■ F2, jehož jádrem je množina všech sudých čísel). Položíme-li pak
n k=l
platí
n n
x2 = H xí" = J] {{-l)«">p?hpF ■ ■ -P^T = (-1)2v°P2iVipIV2 -P*r = V2 (modiV),
k=l k=l
což nám dá netriviálního dělitele čísla N, pokud x ^ y (modiV).
V případě, že liché N je dělitelné právě r prvočísly, je pravděpodobnost, že nastane x = ±y (modiV) za předpokladu, že platí x2 = y2 (modiV) a (N,xy) = 1, rovna 21~r. Proto je vhodné volit n o něco větší než m + 2, abychom Gaussovou eliminací našli více závislostí.
Množina {pi,... ,pm} se nazývá báze faktorizace. Způsob, jak ji zvolit optimálně, se u jednotlivých metod liší.
Zmiňme se ještě o Gaussově eliminaci. Hledáme F2-lineární závislosti mezi řádky obrovské matice, která má však v každém řádku jen několik jedniček a zbytek tvoří nuly. Uložit celou matici do paměti by se nám patrně nepodařilo. Proto se u těchto „řídkých" matic pro každý řádek uchovávají pouze indexy jedniček v tomto řádku. Při provádění eliminace se rozlišuje mezi „řídkými" a „hustými" sloupci: hodnoty v „hustých" sloupcích se neuchovávají, místo nich se uchovává pro každý řádek informace o tom, jak byl odvozen z původní matice (tj. kterých řádků původní matice je součtem). Eliminace se provádí tak, že hledáme řádek, který má pouze jednu jedničku v „řídkých" sloupcích. Ten pak přičteme ke všem řádkům, které v tomto sloupci mají jedničku. Poté už tento řádek nebudeme potřebovat. V případě, že žádný řádek, který by měl pouze jednu jedničku v „řídkých" sloupcích, neexistuje, vybereme ten, který má jedniček co nejméně. Vybereme v něm jednu jedničku a sloupce, ve kterých jsou ostatní jedničky tohoto řádku, prohlásíme za husté. Skončíme v okamžiku, kdy už nemáme žádný řídký sloupec. Pomocí informací o odvozování řádků nyní sestavíme mnohem menší „hustou" matici, v níž se provede Gaussova eliminace obvyklým způsobem.
Uveďme ještě slíbený test, jak zjistit, že N není mocnina prvočísla. Je-li B > 1 takové, že N není dělitelné žádným prvočíslem menším než B, pak z toho, že N = pk pro nějaké prvočíslo p a nějaké k e N, k > 1, plyne p > B a tedy k < |°|2 ^ . Stačí tedy
pro každé k = 2, 3,..., [i°|2 %] spočítat x = [VN] a zjistit, zda xk = N. Snadno se vidí, že přitom můžeme vynechávat ta k, která nejsou prvočísla.
16. Některé nezbytnosti o řetězových zlomcích
Při výkladu této kapitoly jsem užil knihu [Ca].
Definice. Pro libovolné reálné číslo a nechť (a) značí necelou část čísla a, to znamená a — (a) e Z a 0 < (a) < 1.
34 16. Některé nezbytnosti o řetězových zlomcích
Pro celou část [a] reálného čísla a tedy platí [a] = a — (a).
Definice. Pro libovolné reálné číslo a nechť\\a\ \ je vzdálenost a od nejbližšího celého čísla, tj.
||a|| = min{|a: — n|; n E Z}.
Definice. Nechť 9 E R, p E Z, q E N, přičemž (p, q) = 1. Racionálni číslo | se nazývá dobrá aproximace čísla 9, jestliže \ \q9\ \ = \q9 — p\ a pro všechna q' E N, q' < q platí \ \q'9\ \ > \ \qd\\.
Věta 1.    Nechť 9 E R, Q E R, Q > 1. Pak existuje q E N, q < Q s vlastností
Důkaz. Nejprve budeme předpokládat Q E N. Uvažme Q + l čísel 0, 1, (9), (29), ..., ((Q —1)9) a rozdělme je do Q intervalů [0, ^), ..., [^q^, 1]. Z Dirichletova prin-
cipu plyne, že alespoň jeden interval obsahuje aspoň dvě čísla, tedy existují r±, r2, s±, s2 E Z taková, že 0 < r± < r2 < Q s vlastností \(r±9 — s±) — (r29 — s2)\ < ^. Položme
q = r2 - n, pak \ \q9\ \ < ±.
Jestliže Q ^ N, plyne věta z platnosti věty pro [Q] + 1.
Zafixujme do konce kapitoly číslo 9 E R — Q. Ukážeme si, že z předchozí věty plyne, že existuje nekonečně mnoho q E N splňujících
(1) Í-||«0||<1.
(Poznamenejme, že je možné dokonce dokázat více: číslo 1 na pravé straně může být nahrazeno číslem -^.)
Sestrojme posloupnost všech dobrých aproximací čísla 9. Jistě qi = 1 dává dobrou aproximaci čísla 9 spolu s nějakým pi E Zaplatí \qi9— p±\ = \\9\\ < |. Protožes ^ Z,je ||0|| ^ 0 a věta 1 s Q = ||gi^||_1 zaručuje existenci q E N, které splňuje \\q9\\ < ||<7i0||. Nechť q2 je nejmenší s touto vlastností a p2 E Z splňuje \\q29\\ = \q29 — p2\- Pak (Q2,P2) = 1- pokud by totiž existovalo t E N, t > 1, splňující p2 = tp', q2 = tq', pro celá čísla p', q', pak by \\q29\\ = \q29 — p2\ = t\q'9 — p'\ > ŕ||<7'0|| > ||<z'0||, což by byl spor s definicí q2. Protože 9 ^ Q, je \\q29\ \ / 0 a věta 1 s Q = H^H-1 zaručuje existenci q E N, které splňuje \\q9\\ < ||<720||- Nechť ^3 je nejmenší s touto vlastností a p$ E Z splňuje ||(?30|| = |ífe0 — í?31. Opět (^3,^3) = 1. Tímto procesem dostáváme posloupnost přirozených čísel
1 = qx < q2 < q3 < ... a celých čísel pi, P2, P3, ■ ■ ■ splňujících
(2) ||tf„0|| = \qn0-pn\,
(3) Ikn+l^ll < ||tfr»0|
(4) \\q9\\> \\qn9\\   pro všechna q E N, q < qn+1.
16. Některé nezbytnosti o řetězových zlomcích 35
Z věty 1 pro Q = qn+i dostaneme existenci q E N, q < qn+i, takového, že \\q0\\ < y^--Podle (4) platí
(5) <ln\\qn8\\ < tfn+l||tfr»0|| < 1
Kdyby čísla qn+i9 — pn+i a qn9 — pn měla stejná znaménka, pro p' = pn+i — pn, 0 < q' = qn+i ~ Qn < Qn+i, bychom dostali \q'0 -p'\< \qn0 ~ Pn \ = \\qn9\\, což by byl spor se (4). Proto
(6) (qn0 -Pn)(qn+lO -Pn+l) < 0.
Lemma 1. n E N} je množina všech dobrých aproximací a platí
lim ^ = 9.
n-Hx qn
Důkaz. První část plyne z konstrukce, druhá z (5), neboť \9 — < Lemma 2.  qn+1pn - qnpn+1 = ±1. Důkaz. Levá strana je celé číslo a platí
(7) Qn+lPn ~ QnPn+1 = ín(ín+l0 ~ Pn+l) ~ tfn+l(tfr»0 ~ Pn),
odkud spolu s (5) a (6) plyne
(7') 0 < tf„||tf„+l0|| +ín+l| lín^H = kn+lPn ~ QnPn+ll < 2qn+1\\qnd\ \ < 2.
Důsledek. Číslo qn+ipn — qnPn+i fná opačné znaménko než qn9 — pn a platí
qn+lPn ~ qnPn+l = -(#nPn-l ~ Qn-lPn)-
Důkaz. Plyne z (7) s přihlédnutím k (2), (3) a qn+i > qn, druhá část z (6) a lemmatu
2.
Lemma 3.  Pro libovolné n > 2 existuje an E N tak, že
(8) qn+i = dnqn + qn-i,
(9) Pn+l = anpn + pn-l,
(10) |tfn-i0 -Pn-i \ = an\qn6-pn\ + \qn+i9 -Pn+i\-
Důkaz. Z důsledku dostávámePniVn+i-Qn-i) = QniPn+i-Pn-i)- Protože (qn,pn) = 1, plyne odtud existence celého čísla an s vlastností qn+i — qn-i = a>nqn, pn+i —pn-i = o-nPn- Protože qn+i > qn-i, je an > 0. Konečně, (10) plyne z (8) a (9) díky (6).
36
16. Některé nezbytnosti o řetězových zlomcích
Poznamenejme, že (10) dává jednoduchý vzorec pro výpočet aT
|gn-10| I lín^H
Poznámka. Vysvětleme si, odkud se vzal termín „řetězové zlomky". Předpokládejme, že 0 < 0 < |. Pak qi = 1, pi = 0, a q±9 — p\ > 0. Položíme-li qo = 0, po = 1, o>i = qi-> zůstane pro dodefinované hodnoty v platnosti lemma 2 i jeho důsledek, proto i lemma 3. Pak pro n = 1 z (10) dostáváme 1 = a±9 + ||<720||) tedy a± = [^]. Označme 0O = 1, 0! = 0 a pro n > 2 nechť 9n = jj{Jj^j| ■ Pak podle (10) platí 0"1 = an + 9r, pro libovolné n e N. Odtud dostáváme
7n+l
9
Cli + <?2
Ol +
ai +
«2+03
Ol +
«2 + ^T S3
Ol +
»2 +
a3+64
Ukažme si ještě, jak se výpočet čísel an zjednoduší, je-li 0 = V D ^ Q pro D e N. Označme d = [9]. Podle poznámky za lemmatem 3 vzhledem k (6) a (2) platí
gw-10 -Pn-i (In® - Pn
Podle důsledku lemmatu 2 je
(tf„-i0 -Pn-i){qn9 +pn)
ÚD
PÍ
±(-l)ny/Ľ + qn_!qnD - pn-ipn
PÍ
přičemž znaménko ± určíme podmínkou ±(qi9 — pi) < 0, tj. platí-li d < 0 < d + |, je qi = 1, pi = d a platí znaménko —, kdežto je-li d + \ <0<d+l,jegi = l,pi = d+ l a platí znaménko +. Dále je zřejmé, že pro výpočet čísla an můžeme ve výše uvedeném vzorci nahradit číslo \fĎ např. číslem d + \ a zcela se vyhnout reálné aritmetice. Při výpočtu čísel pn+i, qn+i můžeme pak užívat (8) a (9), jen je třeba dodefinovat po, qo tak, aby platilo lemma 2 i jeho důsledky, tj. qo = 0, po = ±1, přičemž podmínka 0 > (qo9 — Po)(qi9 — pi) = —po(qi9 — pi) určí vhodné znaménko pro po-
17. Metoda řetězových zlomků
Jak už bylo zmíněno v patnácté kapitole, budeme hledat kongruence tvaru x\ = (-1)^1*^ .. (modJV),
kde Pí jsou pevně zvolená prvočísla a e {0,1}. Budeme vycházet z toho, že pokud zvolíme do naší báze faktorizace všechna prvočísla pi, ■ ■ ■ ,pm menší než nějaká hranice a najdeme-li kongruenci x2 = t (modiV) s „malým" |r|, je reálná šance, že v rozkladu čísla |r| se nevyskytují jiná prvočísla než p±,... ,Pm a tedy že získáme kongruenci požadovaného tvaru.
18. Metoda kvadratického síta
37
Předpokládejme, že jsme pomocí řetězových zlomků našli dobrou aproximaci | čísla
y/kN, kde k je nějaké nepříliš velké přirozené číslo nedělitelné druhou mocninou prvočísla. Označme t = p2 — kNq2. Pak p2 =t (mod JV). Nalezněme odhad pro |r|. Podle (2), (5) a Lemmatu 1 předchozí kapitoly platí
q2
tedy
1 f~2—7 1 - - < v pz — t — p < -.
Q q
Přičtením p, umocněním a odečtením p2 dostaneme
2p     1 2p 1
— + -ô < -t < — + -T,
odkud vzhledem k
plyne
i i     2p      1      „ 3 ŕ < — + -ô < 2v&jv + —. q     qz qz
Číslo |ŕ| tedy opravdu není „velké" a šance na získání užitečné kongruence hledaného tvaru je.
Metoda řetězových zlomků tedy dává následující algoritmus: postupně za k volíme přirozená čísla nedělitelná druhou mocninou prvočísla a pro každé takové k počítáme jistý počet dobrých aproximací |. Pro každou dobrou aproximaci zkoušíme rozložit číslo 1*1 = \p2 ~ kNq2\ pomocí prvočísel z báze faktorizace. Jestliže se to podaří, získáme kongruenci požadovaného tvaru.
Pokud |r| není možné rozložit pomocí prvočísel z báze faktorizace, avšak platí |r| = F ■ U, kde F se pomocí prvočísel z báze faktorizace rozkládá a U je (asi) prvočíslo podle testu Millera a Rabina, je vhodné uložit i trojici (p, t, U). Získáme-li totiž později ještě jinou trojici (p',ť, U), pak z p2 = t (modJV) a (p1)2 = ť (modJV) získáme kongruenci x2 = jj2 (modJV), kde x je řešení kongruence U x = pp' (mod JV).
18. Metoda kvadratického síta
Opět budeme hledat kongruence tvaru
x\ = {-l)eokpe1lkpe22k ■ ■ -pe^k (modJV),
kde pi jsou pevně zvolená prvočísla a en- E {0,1}. Rozdíl oproti metodě řetězových zlomků je ve způsobu, jakým jsou tyto kongruence hledány.
Označme d = [y/Ň] a uvažme kvadratický polynom
Q(x) = (x + d)2 — JV.
38
18. Metoda kvadratického síta
Je jasné, že Q (a) = (a+d)2 (modiV) a že |Q(a)| nebude „velké" pro celá čísla a s „malou" absolutní hodnotou. Ačkoli je to jednodušší metoda generování „malých" kvadrátů modulo N než metoda řetězových zlomků, zatím není příliš zajímavá. Rozhodující důvod, proč je tato metoda rychlejší než metoda řetězových zlomků, je tento: není nutné rozkládat „malé" kvadráty modulo N. Vzhledem k tomu, že většinu z nich rozložit nad zvolenou bází faktorizace nelze, znamená toto marné rozkládání plýtvání časem.
Jak tedy budeme postupovat: předpokládejme, že pro nějaké n E~N víme, že n \ Q(a). Pak ovšem pro každé k E Z platí n \ Q (a + kn). Hledat takové a znamená řešit kongruenci x2 = N (modří) a vzít a = x — d. Přitom řešení této kongruence pro malé n není tak obtížné (je-li dokonce n prvočíslo, lze použít Shanksův algoritmus, který je časové náročnosti 0(ln4n)).
Jak budeme čísla prosívat: na velmi dlouhém intervalu pro všechna celá čísla a spočítáme velmi zhruba ln|Q(a)| (ukážeme si, že stačí s chybou menší než 1, proto určitě nepoužijeme algoritmus pro logaritmus, ale nějaký jiný postup, například uvažujeme logaritmy o základu 2 a počítáme řád první jedničky binárního zápisu). Tyto hodnoty uložíme do vektoru indexovaného a. Pak pro všechny mocniny prvočísel pk menší nebo rovny jisté hranici B, odečteme přibližnou hodnotu log2p od všech prvků v našem vektoru, jejichž index a je kongruentní modulo pk s předem vypočteným řešením kongruence Q(a) = 0 (modpk), tj. (a + d)2 = N (vnodpk) (protože předpokládáme, že p \ N, má pro lichá p tato kongruence dvě řešení, je-li N kvadratický zbytek modulo p, a žádné, jestliže je N kvadratický nezbytek modulo p - do báze faktorizace tedy dáváme jen ta prvočísla, pro něž je N kvadratický zbytek).
Po ukončení prosívání zjistíme, pro která a není Q(a) dělitelné mocninou prvočísla větší než B. Pro tato a je totiž prvek ve vektoru indexovaný a malý (kdyby logaritmy byly přesné, byla by to nula). V opačném případě zde musí být číslo větší než log2 B (odhlédneme-li od nepřesnosti logaritmů).
Odhadněme potřebnou přesnost e výpočtu log2p. Označme k = [maxalog2 |Q(a)|], pak každé číslo |Q(a)| má nejvýše k činitelů. Je-li Q(a) rozložitelné pomocí naší báze faktorizace, je po provedení odčítání logaritmů ve vektoru s indexem a číslo menší než 1 + ke. Naproti tomu pro nerozložitelné Q(a) dostaneme číslo větší než (log2 B) — 1 — (k — log2 B)e. Pro e < žk-log2 b Je druhé číslo větší než první. Místo k sem přitom můžeme dosadit číslo o jedna větší než bylo největší číslo ve vektoru před započetím prosívání.
Pak pro všechna a, pro které je Q(a) rozložitelné, spočítáme znovu Q(a) a rozložíme, čímž získáme kongruenci požadovaného tvaru. Máme-li dost místa v paměti, můžeme také ukládat v průběhu prosívání pro každou položku a prvočísla, jejichž logaritmy jsme odčítali (nebo alespoň několik nej větších z nich), což nám urychlí rozkládání.
Podobně jako u metody řetězových zlomků i v tomto případě můžeme hledat kongruence x2 = F ■ U (modiV), kde F se pomocí prvočísel z báze faktorizace rozkládá a U je „nepříliš velké" číslo. V tom případě rozkládáme Q (a) pro všechna a, pro které po prosívání zůstalo ve vektoru číslo menší než nějaká předem daná mez a nerozložitelný faktor spolu s a uchováváme pro případ, že by se týž faktor objevil ještě jednou.
Nevýhodou je, že na dlouhém intervalu prosívání hodnoty polynomu Q(x) značně rostou a s tím i klesají naše šance na úspěšné rozložení. Mohli bychom proto vzít ještě
19. Metoda kvadratického síta s více polynomy
39
další polynom a prosívat i jeho hodnoty, například Q(x) = (x+ [ylŇ ])2 — IN pro nějaké přirozené číslo / nedělitelné druhou mocninou prvočísla. V tom případě bychom však museli doplnit naši bázi faktorizace: připomeňme, že v ní máme pouze ta prvočísla p, pro která je N kvadratický zbytek modulo p, kdežto nyní potřebujeme ta, pro která je IN kvadratický zbytek modulo p. Ovšem zvětšení báze faktorizace znamená potřebu více kongruencí a provádění Gaussovy eliminace větší matice.
19. Metoda kvadratického síta s více polynomy
Uvažujme obecný kvadratický polynom Q(x) = Ax2+2Bx+C takový, že A, B, C E Z a A > 0. Platí
AQ(x) = (Ax + B)2 - (B2 - AC).
Pokud bude splněno N \ B2 — AC, pro každé a E Z dostaneme kongruenci tvaru AQ(a) = (Aa + B)2 (mod jv). Zvolme délku 2M intervalu, na kterém budeme prosívat a pokusme se optimálně zvolit konstanty A, B, C. Abychom měli šanci na rozložení čísla |Q(a)| nad naší bází faktorizace, je vhodné, aby maximum funkce |Q(x)| na intervalu prosívání bylo co možná nejmenší, proto interval zvolíme tak, aby minimum funkce Q(x) padlo doprostřed, tj. prosívat budeme na intervalu I = (—^ — M, —^ +M). Dále budeme požadovat, aby <?(-§ +M) = -Q(-f), tj. A2M2 = 2(B2-AC), odkud plyne
^ y/2(B* - AC) M
Je tedy
max^ \Q(x)\ = |Q(-f )| = =
-AC
Protože toto číslo potřebujeme mít co nejmenší, ale současně má být B2 — AC dělitelné číslem N, je vhodné volit A,B,C tak, aby B2 — AC = N, kdy maximum |Q(x)| na I
bude zhruba M\J~^.
Budeme tedy postupovat tak, že nejdříve zvolíme délku prosívání M. Pak budeme koeficienty jednotlivých polynomů Q(x) generovat takto: zvolíme A blízko -^p-, navíc tak, že A je prvočíslo a N je kvadratický zbytek modulo A. Pak nalezneme B tak, že B2 = N (mod A) a konečně položíme C = B ^N. Pak pokračujeme stejně jako v metodě kvadratického síta - pro každou mocninu pk prvočísla p menší než nějaká předem daná hranice určíme kořen apk kongruence x2 = N (modpk), má-li tato kongruence řešení (pro lichá p to znamená, že N je kvadratický zbytek modulo p), ostatní prvočísla ignorujeme. To spočítáme pro všechny polynomy jednou a uschováme. Pak totiž kořeny polynomu Q(x) modulo pk vyhovují kongruenci Ax = —B ± apk (modpk). Postupně prosíváme hodnoty jednoho polynomu Q(x) po druhém dokud nezískáme dostatek kongruencí pro Gaussovu eliminaci.
Protože malá prvočísla dělí hodně hodnot Q(x), trvá prosívání malými prvočísly nejdéle, přičemž jejich logaritmus je malý. Proto se v některých implementacích prosívání malými prvočísly (řekněme menšími než 100) vynechává, jen je nutné zvýšit hranici, používanou po skončení prosívání pro rozhodování, zda dotyčnou hodnotu polynomu
40
19. Metoda kvadratického síta s více polynomy
Q (x) budeme rozkládat nebo ne. Přitom strategie je taková: raději zkusit rozkládat nerozložitelné Q(x) než ztratit některé rozložitelné a tedy nějakou užitečnou kongruenci.
Vzhledem k tomu, že získané kongruence je snadné kontrolovat, je možné do generování kongruenci zapojit více lidí tak, že pomocí e-mailu je jim distribuován program s daty, který nechají běžet ve volném čase na svém počítači, a získané výsledky opět vracejí e-mailem. Tato metoda byla s úspěchem použita při rozkládání devátého Fermatova čísla N = 22 +1 pomocí metody síta v číselném tělese v roce 1990. A. K. Lenstra, H. W. Lenstra, M. S. Manasse a J. M. Pollard tímto způsobem získali matici o 226 688 řádcích a 199 203 sloupcích. Po „zahuštění" této matice (viz poznámku na konci patnácté kapitoly) získali matici o 72 413 řádcích a 72 213 sloupcích. Gaussovou eliminací této matice pak získali kongruenci, která jim určila netriviálního dělitele čísla N.
Definice. Jsou-li K, L tělesa a je-li K C L, řekneme, že L je rozšířením tělesa K. Je-li navíc L jakožto vektorový prostor nad K konečněrozměrné, hovoříme o konečném rozšíření. Dimenzi L nad K značíme [L : K].
Definice. Podtěleso komplexních čísel, které je konečným rozšířením Q, se nazývá těleso algebraických čísel.
Definice. Nechť K je těleso algebraických čísel, a E K. Pokud existuje normovaný polynom f(x) E Z[x], jehož je a kořenem, nazývá se a celé algebraické číslo.
Poznámka. V předchozí definici je podstatný požadavek normovanosti. Je-li totiž [K : Q] = n, pak 1, a, a2,..., an musí být Q-lineárně závislé, a tedy existuje polynom f(x) E Z[x] stupně nejvýše n tak, že f (a) = 0.
Lemma 1. Nechť K je těleso algebraických čísel, u>i,...,u>n E K. Nechť M je aditivní grupa, generovaná u>i,..., con, tj.
Je-li M okruh, pak je libovolný prvek M celé algebraické číslo.
Důkaz. Bez újmy na obecnosti můžeme předpokládat, že u>i... uin ^ 0. Buď a E M libovolné. Protože pro každé i = 1,..., n platí au>i E M, existují celá čísla Oý- splňující
pro každé i = 1,..., n. Odtud plyne, že det(cť-E — (oý)) = 0, kde E je jednotková matice řádu n. Proto je a kořenem normovaného polynomu f(x) = det(xE — (a^)) E Z[x].
Věta 1. Nechť K je těleso algebraických čísel. Označme R množinu všech celých algebraických čísel a E K. Pak R je obor integrity a K je jeho podílové těleso.
20. Základy algebraické teorie čísel
M = {aiui H-----h anun; ai,...,
an E Z}.
n
20. Základy algebraické teorie čísel 41
Důkaz. Abychom ověřili, že R je obor integrity, musíme dokázat, že pro libovolná a, /3 E R jsou a+/3, a — /3 i a/3 celá algebraická čísla. Protože a a, /3 jsou celá algebraická čísla, existují polynomy s celými koeficienty
f(x) = xn + an_ia;n"1 H-----h aľx + a0,      ^(a;) = xm + 6m_ia;m"1 H-----h bľx + b0
tak, že f (a) = 0 a g(/3) = 0. Pak ovšem platí
an = -an-ia"-1-----aia - a0,      /Sm = -^-i^"1-----6^ - b0,
a tedy podgrupa M aditivní grupy tělesa K generovaná všemi součiny (*) kde 0 < i < n, 0 < j < m,
tvoří okruh, neboť libovolný součin ak/3l pro k > 0, / > 0 je možné vyjádřit jako Z-lineární kombinaci prvků (*). Podle lemmatu 1 jsou a + /3, a — j3, a/3 E M celá algebraická čísla.
Zbývá dokázat, že K je podílové těleso okruhu R. Nechť a E K je libovolné. Podle
poznámky před lemmatem 1 existuje polynom f(x) = a^xk + ak-ixk~1 H-----\-aiX+ao E
Z[x] tak, že f (a) = 0 a aj; / 0. Pak ovšem číslo j3 = a^a je kořenem polynomu
xk + afc-ia;*-1 H-----h a^a^x + a0ajj_1 E Z [a;],
a proto číslo /3 je celé algebraické. Je tedy a = ^- podílem dvou čísel z R. Dokázali jsme, že K je podílové těleso okruhu R.
Příklad. Označme
K = Q(v/lÔ) = {a + bVlÔ; a, b E Q}.
Snadno se ukáže, že K je těleso algebraických čísel a že [K : Q] = 2. Označme i? okruh všech celých algebraických čísel v K. Je-li a, b E Z, pak a = a + 6-\/ÍÔ je kořenem polynomu
(a; - a - bVTÔ)(x -a + bVlÔ) = x2 - 2a + (a2 - 10b2),
a tedy a + b\/lÔ E R. Předpokládejme naopak, že pro nějaké a, b E Q, platí a = a + &-\/ÍÔ E R a dokažme, že a, b E Z. Je tedy a kořenem nějakého normovaného polynomu f(x) E Z[x]. Je-li b = 0, je a E Q a podle věty 8.5 na straně 102 skript [R] platí a E Z. Nechť tedy b ^ 0, tj. a £ Q. Vydělme polynom f(x) polynomem #(x) = x2 — 2a+ (a2 — 10b2) se zbytkem: existují tedy polynomy q(x), r(x) tak, že f(x) = q(x)g(x)+r(x) a přitom je r(x) buď nulový nebo stupně nejvýše jedna. Dosazením a za a; dostaneme r(a) = 0, odkud vzhledem k a ^ Q plyne, že r(x) je nulový polynom. Připomeňme (viz [R], důkaz věty 8.7 na straně 103), že polynom s celočíselnými koeficienty takový, že největší společný dělitel jeho koeficientů je roven 1, se nazývá primitivní. Platí (viz tamtéž), že součin primitivních polynomů je opět primitivní polynom. Nechť u a v jsou racionální čísla taková, že polynomy uq(x) a vg(x) jsou primitivní (tím jsou čísla íí a í) určena jednoznačně až na znaménko). Pak je tedy primitivní i polynom uvf(x) = uq(x) ■ vg(x). Ovšem polynom f(x) je normovaný s celými koeficienty a tedy primitivní. Je proto uv = ±1. Protože polynom g(x) je normovaný, je normovaný i
42
20. Základy algebraické teorie čísel
q(x) a tedy z definice u a v plyne, že u, v E Z. Proto v = ±1 a tedy g (x) má celočíselné koeficienty: c = 2a E Z, a2 - 1062 G Z. Proto 4062 = c2 - 4(a2 - 1062) E Z, odkud d = 2b E Z. Pak ovšem 4 | 4(a2 - 1062) = c2 - 10d2 a tedy c2 je sudé číslo. Je tedy sudé i samo c a proto je sudé i d2 a tedy i d. Dokázali jsme, že a, b E Z, tj.
R = {a + bVÍÔ; a, b E Z}.
Poznámka. Zajímá nás, nakolik je aritmetika v okruhu R podobná aritmetice v Z. Aritmetika v Z je poměrně jednoduchá díky větě o jednoznačném rozkladu na součin prvočísel: každé nenulové celé číslo je možno zapsat ve tvaru součinu vhodné jednotky (tj. invertibilního prvku, v tomto případě 1 nebo —1) a konečně mnoha ireducibilních prvků (tj. prvočísel), přičemž je tento rozklad jednoznačný až na pořadí činitelů.
Příklad. Ukažme si, že aritmetika R může být i odlišná: nechť K a R jsou jako v předchozím příkladě a definujme zobrazení (tzv. normu) jV : R —>■ Z předpisem
N(a + by/ÍÔ) = (a + by/W) (a - by/ÍÔ) = a2 - 10b2.
Snadno se nahlédne, že J\f(a/3) = J\f(a)J\f(/3) pro každé a, j3 E R. Dokažme, že množina všech jednotek okruhu i? je rovna
E = {a E R; M(a) = ±1}.
Skutečně, je-li a jednotka okruhu R, existuje j3 E R tak, že a/3 = 1, odkud plyne 1 = J\f(a/3) = J\f(a)J\f(/3), a tedy J\f(a) = ±1. Opačná implikace je zřejmá. V okruhu R můžeme rozložit
9 = 3 • 3 = -(1 + v/ÍÔ)(l - VlÔ).
Přitom JV(3) = 9 a jV(l + y/ÍÔ) = —9. Dokážeme-li, že v R neexistují čísla s normou ±3, budeme vědět, že všechna čtyři čísla uvedená v rozkladu čísla 9 jsou ireducibilní, tj. není možné je zapsat ve tvaru součinu dvou čísel z R, které nejsou jednotkami. To je ale snadné: za2 — 10b2 = ±3 plyne a2 = ±3 (mod5), spor. V R tedy neplatí věta o jednoznačném rozkladu čísel na součin ireducibilních faktorů.
Je zřejmé, že 3 + y/ÍÔ je jednotka okruhu R a proto i všechny její mocniny. Odtud plyne, že E je nekonečná. Dokažme, že platí
E = {±(3 + VlÔ)n; n E Z}.
Budeme předpokládat existenci nějaké jednotky r) okruhu R, pro kterou platí r\ ^ E a dojdeme ke sporu. Můžeme předpokládat, že r\ > 0 (jinak vezmeme —77), dokonce že r) > 1 (jinak vezmeme ^). Navíc můžeme předpokládat r\ < 3 + VlÔ (jinak vydělíme r\
největší mocninou čísla 3 + vTÔ" menší než rf). Je tedy r\ = a + b^/lÔ pro nějaké a, b E Z a platí 1 < a + by/ÍO < 3 + v^, Jsí(a + by/ÍÔ) = (a + b\/IÔ)(a - b\/IÔ) = ±1. Tudíž a - bVTÔ = a proto -1 < a - b\/TÔ < 1. Sečtením odtud plyne 0 < 2a < 4 + y/lÔ, což vzhledem k tomu, že a je celé číslo, znamená a E {1, 2, 3}. Protože b je rovněž celé číslo a platí b2 = ^(a2 =F 1), dostali jsme, že r\ = 1 nebo r\ = 3 ± V^Ô", spor.
20. Základy algebraické teorie čísel
43
Poznámka. Kummer v polovině minulého století objevil způsob, jak jednoznačné rozkládání zachránit. Jak jsme viděli, věta o jednoznačném rozkladu prvků v okruzích celých algebraických čísel neplatí, platí zde ale věta o jednoznačném rozkladu ideálů. Každý nenulový ideál okruhu celých algebraických čísel je možné psát ve tvaru součinu prvoideálů a to jednoznačně až na pořadí činitelů.
Připomeňme některé použité pojmy: nulový ideál je ideál {0}, prvoideál je ideál / okruhu R, pro který platí: / ^ R a pro každé a, /3 E R z a/3 E I plyne a E I nebo /3 E I (ekvivalentně: ideál / je prvoideál, právě když je faktorokruh R/I oborem integrity, viz [R], strany 110 a 111). Je ještě třeba definovat, co je to součin ideálů: jsou-li /, J ideály okruhu R, jejich součinem je ideál
IJ = j$3ľ=i aiPi'i n E~N, a>i E I, fy E J pro všechna i = 1,..., n j.
Věta 2. Nechť R je okruh celých algebraických čísel v nějakém tělese algebraických čísel K. Nechť I je ideál R, I ^ R, I ^ {0}. Pak existuje jednoznačně určené n E~N a jednoznačně (až na pořadí) určené prvoideály P±, ... , Pn takové, že platí
I = Pi...Pn.
Důkaz je mimo možnosti naší přednášky.
Poznámka. Jak lze větu použít na rozkládání nenulového prvku a E R, který není jednotka? Rozložíme hlavní ideál
(a) = {a/3; P E R}.
(Užíváme následujícího označení: (a±,..., an) je ideál generovaný čísly a±,..., an, tj. nejmenší ideál, který je obsahuje.) Pokud je R okruh hlavních ideálů (tj. každý ideál okruhu R je tvaru (a) pro vhodné a E R), dostaneme podle výše uvedené věty ire-ducibilní prvky 7Ti,... nn E R tak, že
(a) = (7Tl) . . . (nn) = (7Tl . . .7Tn),
odkud plyne, že a = e ■ ni... nn pro vhodnou jednotku e. Odvodili jsme tedy, že je-li okruh celých algebraických čísel R okruhem hlavních ideálů, platí v něm věta o jednoznačném rozkladu na prvočinitele (což je fakt platný obecně pro libovolný okruh hlavních ideálů).
Příklad. Vraťme se k našemu předchozímu příkladu: označme /, resp. J ideály generované 3 a 1 + y/lÔ, resp. 3 a 1 — vTÔ, tj.
/ = (3,1 + VIÔ) = {3a + (1 + a, /3 E R},
J = (3,1 - v'IÔ) = {3a + (1 - v^)^; a, (3 E R}.
Pak /, J jsou prvoideály (platí R/I ~ R/J ~ F3) a platí IJ = (3) (snadno je vidět, že IJ C (3), opačná inkluze plyne z 3 = 3- 3 — 3(1 —        — (1 + y/ltí)S). Dále platí
ŕ = (9, 3(1 + v^), (1 + v^)2) = (9, 3 + 3^, 11 + 2^),
44
20. Základy algebraické teorie čísel
proto l + v/ÍÔ = 9+(3+3v/ÍÔ)-(U+2y/W) e i"2- Na druhou stranu jistě 9, 3(1 +VŇ) a (l + v7^))2 jsou prvky ideálu (1 + y/TÔ), tedy I2 = (1 + y/lÔ). Analogicky J2 = (l-y/TÔ). Obě strany identity
(l + v/ÍÔ)(l-v/ÍÔ) = -3-3
udávají tedy týž rozklad ideálu (9) na prvoideály: (9) = I2J2.
Poznámka. Míru toho, nakolik se okruh celých algebraických čísel R nějakého tělesa algebraických čísel K liší od okruhu s jednoznačným rozkladem prvků, nám vlastně udává to, kolik ze všech ideálů okruhu R je hlavních. Uvažme pologrupu všech nenulových ideálů okruhu R a jeho podpologrupu všech hlavních ideálů. Můžeme uvážit faktorizaci této pologrupy podle zmíněné podpologrupy (což odpovídá následující ekvivalenci mezi ideály: I ~ J, právě když existují a, j3 E R splňující (a) • I = (/3) • J). Je možné dokázat, že faktorstrukturou je konečná komutativní grupa. Počet jejích prvků se nazývá počet tříd ideálů okruhu R (nebo také tělesa K) a je jednou z nej důležitějších charakteristik aritmetiky v okruhu R.
Poznámka. V našem příkladě jsme odvodili, že grupa jednotek okruhu celých algebraických čísel tělesa Q(y/Ttí) je
E = {+(3 + VlÔ)n; n G Z},
tedy komutativní grupa se dvěma generátory — 1 a 3 + y/lÔ. Tento fakt platí obecně: grupa jednotek okruhu celých algebraických čísel libovolného tělesa algebraických čísel je konečně generovaná komutativní grupa a pro minimální počet jejích generátorů platí, že nepřevýší stupeň [K : Q].
21. Metoda síta v číselném tělese
Vraťme se k našemu původnímu problému: máme velké přirozené číslo N, o kterém víme, že je složené, a hledáme jeho netriviálního dělitele.
Zvolme celé algebraické číslo 9 a označme T(x) E Z[x] normovaný mnohočlen nej-menšího stupně, jehož je 9 kořenem. Nechť K = Q(9) je nejmenší těleso algebraických čísel, které obsahuje číslo 9. Označme
L = {a0 + a19 + --- + a^i^"1; a0,..., ad_i E Q},
kde d je stupeň polynomu T(x).
Dokážeme, že platí K = L. Protože T(9) = 0, je jasné, že L je okruh. Dokažme, že je L dokonce těleso, pak bude zřejmé, že je L nejmenší těleso obsahující 9 a tedy, že K = L. Nejprve ukážeme, že T(x) je ireducibilní nad Z. Kdyby existovaly nekonstantní polynomy f(x), g(x) E Z[x] takové, že T(x) = f(x)g(x), musely by být oba normované a stupně menšího než d. Dosazením 9 za x bychom pak dostali spor s definicí T(x). Podle věty 8.7 na straně 102 v [R] (popřípadě užitím techniky užité v příkladu v předchozí kapitole) dostáváme, že T(x) je ireducibilní nad Q. Nechť a E L, a + 0 je libovolné. Pak existuje polynom f(x) E Q[x] stupně menšího než d tak, že a = f (9). Protože T(x) je ireducibilní nad Q a f(x) má stupeň menší než T(x),je jejich největší společný dělitel
21. Metoda síta v číselném tělese
45
(který existuje podle věty 5.18 na straně 85 v [R]) roven 1. Podle věty 5.20 na straně 86 v [R] existují polynomy u (x), v (x) E Q[x] tak, že f(x)u(x) + T(x)v(x) = 1. Dosazením 9 za x dostaneme u(9) = ^ E L, a tedy L je těleso. Stejným postupem můžeme dokázat, že neexistuje nenulový polynom s racionálními koeficienty stupně menšího než d, jehož by byl 9 kořenem, a proto je [K : Q] = d.
Označme R okruh všech celých algebraických čísel v K. Protože 9 E R, pro
Z[0] = {a0 + ax9 + • • • + ad-i0d_1; a0,..., ad_i E Z}
platí Z[9] C i?. Obecně zde rovnost platit nemusí. Je však možné dokázat, že faktor-grupa R/Z[9] je konečná. Označme / počet jejích prvků.
Budeme předpokládat, že jsme schopni spočítat všechno potřebné o tělese K, tj. počet tříd ideálů okruhu R, generátory grupy jednotek okruhu R, výše uvedenou konstantu /, všechny „malé" prvoideály až do zvolené hranice („velikost" prvoideálu P je dána počtem prvků oboru integrity R/P, o kterém je možné dokázat, že je to konečné těleso) a v případě, že R není okruh hlavních ideálů, i reprezentanty jednotlivých tříd ideálů (v tomto případě je situace o něco složitější, metodu síta v číselném tělese proto popíšeme jen pro případ, kdy je R okruh hlavních ideálů; podrobný popis metody v obecné situaci lze najít v [C]). Dodejme, že pro obecné těleso algebraických čísel K jde o velmi obtížný úkol, jehož náročnost silně stoupá se stupněm tělesa a který nebyl dosud zvládnut ani pro některá poměrně jednoduchá tělesa. Vzhledem k tomu, že však číslo 9 volíme, bude možné předpokladům tohoto odstavce vyhovět.
Protože polynom T(x) je ireducibilní nad Q, kořeny polynomu T(x) v C jsou po dvou různé (vícenásobný kořen by byl kořenem derivace T'(x) a tedy nej větší společný dělitel (T(x),T'(x)) by byl vlastním dělitelem polynomu T(x)). Nechť 9X = 9, 92, ... , 9d jsou všechny komplexní kořeny polynomu T(x). Z Viétovych vztahů a z hlavní věty o symetrických polynomech plyne, že hodnota libovolného symetrického polynomu o d proměnných v 0±, 02, ••• , ®d bude celé číslo. Proto můžeme definovat normu M : Z[9] —>■ Z následujícím způsobem. Pro libovolný prvek a E Z[9] existuje polynom g(x) E Z[x] tak, že a = g(9). Pak klademe
M(a)=g(91)...g(9d)EZ.
Snadno se nahlédne, že tato definice nezávisí na volbě polynomu g a že platí M (aß) = M(a)M(ß). Poznamenejme, že je možné definici normy rozšířit na celý okruh R: pro libovolné ß E R je fß E Z[9], položíme pak Miß) = f~dM(fß). Je možné dokázat, že pro každé ß E R je M(ß) celé číslo a že \M(ß) \ je počet prvků faktorokruhu R/(ß), kde (ß) značí hlavní ideál generovaný prvkem ß. (Odtud plyne, že ß je jednotka okruhu R, právě když M(ß) = 1.)
Představme si, že známe nějaké celé číslo m takové, že T(m) = ±kN pro nějaké „malé" přirozené číslo k. Pak můžeme sestrojit homomorfismus okruhů cp : Z[9] —> Z/NZ tak, že položíme <p(9) = m + NZ. (Je jasné, že jde o homomorfismus aditivních grup. To, že ip zachovává i násobení, plyne z toho, že N \ T(m).)
Pro každé a E R platí fa E Z[9]. Vzhledem k tomu, že / pravděpodobně nebude dělitelné číslem N, můžeme předpokládat (/, N) = 1 (jinak máme netriviálního dělitele N). Nechť u E Z splňuje u f = 1 (modiV). Pak můžeme ip dodefinovat na celém R
46
21. Metoda síta v číselném tělese
takto: pro libovolné a E R klademe <p(a) = u ■ <p(fa). Je jasné, že pro a E Z[0] jsme tím <p(a) nezměnili a že <p je skutečně homomorfismus okruhů <p : R —>■ Z/iVZ.
Nyní k čemu chceme dojít: rádi bychom našli a, 6 E Z tak, aby a + bm byla druhá mocnina v Z a současně aby a + b9 byla druhá mocnina v R. Je-li totiž a + bm = x2 pro xeZa současně a + b9 = a2 pro a E R, máme šanci, že se nám podaří rozložit N: protože je <p homomorfismus, platí
ip(a)2 = ip(a2) = (p(a + b6) = (a + bm) + iVZ = x2 + iVZ
a je-li y nějaký reprezentant třídy <p(a), tj. <^(cť) = y + iVZ, platí x2 = y2 (modiV) a (x + y, iV) by mohl být netriviální dělitel čísla N podobně jako u metody řetězových zlomků či metody kvadratického síta.
Nalezení takových a, b je však velmi nesnadný úkol a jistě se nám je nepodaří najít rovnou. Použijeme proto podobné techniky jako v předchozích metodách a budeme rozkládat nad nějakými bázemi faktorizace. Jasná je situace pro čísla typu a + bm E Z, která budeme rozkládat nad „malými" prvočísly. Větší problém je s čísly typu a + b9 E Z[0]. Jak jsme se už zmínili, budeme pro jednoduchost předpokládat, že R je okruh hlavních ideálů. Pak je možné pro každý „malý" prvoideál P nalézt n E R tak, že P = (n). Budeme tedy ideály (a + b9) rozkládat nad bazí faktorizace složené z těchto „malých" prvoideálů a vždy, když existuje nějaký rozklad
(a + ^) = (7r1)fel...(7rn)fe",
musí existovat jednotka n okruhu R, splňující
a + b9 = r\ix\Y ... irkn.
Protože grupa jednotek okruhu i? je konečně generovaná grupa (viz poznámku na konci předchozí kapitoly), můžeme zvolit její generátory a získanou jednotku n pomocí nich vyjádřit. Celkem tedy čísla a + b9 rozkládáme nad bází faktorizace, složené z generátorů jednotlivých „malých" prvoideálů a z generátorů grupy jednotek okruhu R.
Je možné dokázat, že pro libovolné prvočíslo p \ / jsou ideály tvaru p = (p, 9 — cp), kde cp probíhá všechna (navzájem nekongruentní modulo p) řešení kongruence T(x) = 0 (modp), navzájem různé (ne však nutně všechny) prvoideály okruhu R dělící hlavní ideál (p). Přitom a + b9 E p pro nějaká a, b E Z nastane právě tehdy, když a + bcp E p, tj. právě když p \ a + bcp (celá čísla jsou prvky p, právě když jsou dělitelná p, to plyne z toho, že p n Z musí být prvoideál v Z obsahující p). Označme v nějaké celé číslo splňující v f = 1 (modp). Nechť j3 E R je libovolné. Pak / • j3 E Z[0], tedy existuje polynom g(x) E Z[x] tak, že / • j3 = g(9). Protože x — cp \ g(x) — g(cp) v Z[x], platí 9 -Cp \ g(9) - g(cp) v R, proto vf/3 - vg(cp) = vg(9) - vg(cp) = v(g(9) - g(cp)) E p. Protože p I 1 — v f a p E p, je (1 — vf)/3 E p, a tedy j3 — vg(cp) E p. Je-li r zbytek po dělení celého čísla vg(cp) prvočíslem p, z p \ (vg(cp) — r) plyne j3 — r E p. V každé třídě rozkladu R/p tedy leží (jediné) z čísel 0,1,... ,p — 1, je tedy \R/p\ = p. Proto platí: jestliže tv E R splňuje (n) = p, pak jV(7r) = p.
Podobně jako u metody kvadratického síta budeme dvojice celých čísel (a, b), pro které máme šanci rozložit a + bm i a + b9 nad zvolenými bázemi faktorizace, hledat prosíváním. Uvažujme tedy všechny dvojice celých čísel (a, b), pro která \a\ i |6| jsou menší než zvolená mez.
21. Metoda síta v číselném tělese
47
1. Pro všechna malá prvočísla p vyznačme ty dvojice (a, b), pro které p dělí a i b.
2. (První inicializace) Pro všechny nevyznačené dvojice (a, b) inicializujme položku, obsahující přibližnou hodnotu log2(a + bm).
3. (První prosívání) Pro každou mocninu pk prvočísla, která je menší než zvolená mez, odečteme log2p od položek, příslušných těm nevyznačeným dvojicím (a, b), pro které p | a + bm.
4. Vyznačíme všechny dvojice (a, b), jejichž položka zůstala příliš velká.
5. (Druhá inicializace) Pro všechny nevyznačené dvojice (a, b) inicializujme položku, obsahující přibližnou hodnotu ^2(^(0 + b9)).
6. (Druhé prosívání) Pro každé prvočíslo p, které je menší než zvolená mez a které nedělí /, nalezněme všechna (navzájem nekongruentní modulop) řešení cp kongruence T(x) = 0 (modp). Pro každé takové řešení cp odečteme log2p od všech položek, příslušných těm dosud nevyznačeným dvojicím (a, b), pro které p \ a + bcp.
7. Pro všechny dvojice (a, b), jejichž položka zůstala menší než jistá mez, zjistíme rozkladem čísla J\f(a + b9), zda opravdu všechny prvoideály dělící a + b9 jsou ve zvolené bázi faktorizace.
Poznamenejme, že v bodě 6 odčítáme log2p jen jednou bez ohledu na to, zda prvoideál (p, 9 — cp) vystupuje v rozkladu ideálu (a + b9) v první nebo ve vyšší mocnině (to totiž nejsme schopni rozlišit). Aby se vyloučil případ, že by se tím na některou užitečnou dvojici zapomnělo, je „jistá mez" užitá v bodě 7 o něco vyšší, než by bylo jinak zapotřebí. To však má zase za následek, že je nutná zde zmíněná kontrola rozkladem.
Označme p±,... ,pi bázi faktorizace použitou pro rozkládání čísel a + bm, dále pak Ui,.. .,Uk generátory grupy jednotek okruhu R a konečně 7Ti,...,nn čísla, generující hlavní prvoideály použité pro rozkládání ideálů (a + b9). Po skončení uvedených sedmi bodů máme pro každou nevyznačenou dvojici (a, b), která prošla úspěšně kontrolou v bodě 7, rozklady
a + bm= (-l)60^1 ...pf, a + b9 = ull+\..uf!+kne1l+k+1 ...n%+k+n.
Tím dostaneme vektor (eo, e±,..., ei+k+n) přirozených čísel, který budeme interpretovat jako vektor z vektorového prostoru F^+k+l+n (sudá čísla jako nuly a lichá čísla jako jedničky). Až budeme mít těchto vektorů dost (tj. alespoň o několik více než 1+k+l+n), provedeme Gaussovu eliminaci nad F2 (viz poznámku o „řídkých" maticích na konci patnácté kapitoly), abychom našli F2-lineární závislosti mezi získanými vektory. Každá taková závislost nám určí, která čísla a + bm, resp. a + b9 máme mezi sebou vynásobit, abychom dostali kýženou kongruenci x1 = y1 (modiV). Přitom místo a + b9 budeme rovnou násobit <p(a + b9).
Poznámka. Metoda síta v číselném tělese je nejnovější a potenciálně nejrychlejší známá metoda rozkládání velkých přirozených čísel. Na základě některých heuristických argumentů lze odhadovat, že metoda řetězových zlomků i metoda kvadratického síta jsou časové náročnosti
q ^eVln Nln ln iV(l+o(l)) ^
Proto před objevením metody síta v číselném tělese panovalo přesvědčení, že lepší časové náročnosti už patrně nepůjde dosáhnout. Bylo překvapením, že na základě podobných argumentů lze odhadovat, že metoda síta v číselném tělese je časové náročnosti
Aľ)(lnln N)2(c+o(l))
)
48
21. Metoda síta v číselném tělese
pro poměrně malé c (menší než y ^), což je asymptoticky mnohem lepší než jakákoli
jiná známá metoda. Bohužel výpočty v této metodě jsou notně komplikované (jak jsme již konec konců sami viděli) a tedy asymptotická výhodnost se začne projevovat až pro značně velká čísla. Odhaduje se, že tato metoda by měla být rychlejší až pro čísla mající aspoň 130 dekadických cifer, jenže tak velká čísla jsou stejně mimo dnešní možnosti. Na druhé straně, pro čísla ve speciálním tvaru, například pro Mersenova čísla 2P — 1, kde p je prvočíslo, nebo Fermatova čísla 22 + 1 může být tato metoda zjednodušena (je
možné snížit c až pod \ ^) a stává se praktickou už i pro N do 120 cifer.
Příklad použití metody. Předpokládejme, že naše velké přirozené číslo je tvaru N = re — s, kde ras jsou celá čísla s malou absolutní hodnotou. Zvolme vhodné d (ukazuje se, že pro N o 70 a více cifrách je vhodné d = 5) a položme & = —[—§]• Je tedy — k < — | < — k + 1, tj. 0 < kd — e < d. Protože \r\ a |s| jsou malé, je malé i \srkd-e\ Uvažme mnohočlen
Zvolíme-li m = rk, je jasné, že T(m) = rkd~eN je malý násobek N. Předpokládejme, že polynom T(x) je ireducibilní nad Z (to je velmi přirozený předpoklad, rozkladem polynomu T(x) v Z[x] bychom patrně dostali netriviálního dělitele čísla N). Budeme pracovat v tělese K = Q(9), kde 9 je kořen polynomu T(x). Protože d = 5 a \srkd~e\ je malé, asi nebude těžké najít vše potřebné o aritmetice okruhu celých čísel tělesa K.
První případ, kdy metoda síta v číselném tělese slavila úspěch, bylo úplné rozložení devátého Fermatova čísla N = 2512 + 1, které má 155 cifer, na prvočinitele. Již dříve byl znám sedmiciferný dělitel čísla N, avšak rozložit podíl, o kterém se vědělo, že je složený, se nedařilo. Až v roce 1990 byl tento podíl rozložen metodou síta v číselném tělese (viz poznámku na konci devatenácté kapitoly). Je zajímavé, že znalost sedmiciferného dělitele vůbec nepomohla, bylo výhodnější rozkládat celé N a využít tak jeho speciálního tvaru: N = re — s pro r = 2, s = — lae = 512. Užijeme-li postup z předchozího odstavce, je d = 5, k = 103, T (x) = x5 + 8, tj. K = Q(^8) = Q( ^2), což je těleso, jehož okruh celých algebraických čísel je dokonce okruh hlavních ideálů. Za pomoci mnoha dobrovolníků prostřednictvím e-mailu byl vynaložen ekvivalent několika let CPU času na jednom počítači. Získaná data byla zpracována Gaussovou eliminací na superpočítači a tak byl získán rozklad N na tři prvočísla o 7, 49 a 99 cifrách.
T(x) = xd- sť
,kd—e