Getallenlichamenzeef

De getallenlichamenzeef is een algoritme om samengestelde getallen te ontbinden in priemfactoren. De basis van deze methode is rond 1988 ontwikkeld door de Britse wiskundige John Pollard, die daarmee het zevende fermatgetal factoriseerde. In de jaren daarna zijn verschillende verbeteringen aangebracht, onder andere door Arjen en Hendrik Lenstra, waardoor het momenteel een van de snelste algoritmen is om een getal te factoriseren. Vooral voor getallen vanaf 100 cijfers is deze methode zeer geschikt; kleinere getallen kunnen sneller met de kwadratische zeef, een eenvoudigere methode om getallen te ontbinden, worden gefactoriseerd.^[1]

De eerste versie van de getallenlichamenzeef (in het Engels: general number field sieve of GNFS) is bedacht door John Pollard. Deze versie, die de speciale getallenlichamenzeef (in het Engels: special number field sieve of SNFS) heet, kan alleen worden gebruikt voor getallen van de vorm ${\displaystyle r^{e}-s}$ met ${\displaystyle e}$ groot en ${\displaystyle r}$ en ${\displaystyle |s|}$ klein. Van deze vorm zijn bijvoorbeeld de fermatgetallen. De wiskundigen Joe Buhler en Carl Pomerance bedachten een manier om de speciale getallenlichamenzeef aan te passen, zodat de zeef voor alle getallen (met uitzondering van priemmachten) gebruikt kan worden. Dit leidde tot de algemene getallenlichamenzeef, meestal simpelweg getallenlichamenzeef genoemd.

De eerste getallen die met de speciale getallenlichamenzeef gefactoriseerd werden, zijn ${\displaystyle 2^{128}+1}$, ${\displaystyle \ \ 2^{144}-3}$ (een getal van 44 cijfers waarvan het ontbinden destijds 47 uur duurde) en ${\displaystyle 2^{153}+3}$ (een getal van 47 cijfers dat in 61 uur gefactoriseerd kon worden). Daarnaast is de speciale getallenlichamenzeef gebruikt om onder andere het negende fermatgetal, dat 155 cijfers telt, en mersennepriemgetallen te ontbinden.^[2] In januari 2010 heeft een groep wiskundigen een 768-bits RSA-encryptiesleutel weten te kraken met behulp van de getallenlichamenzeef.^[3]

In zekere zin is de getallenlichamenzeef te zien als verbetering van Dixons factorisatiemethode en de kwadratische zeef: men maakt ook hier gebruik van een ontbindingsbasis om gladde factoren te vinden. Daarna wordt eveneens gezocht naar twee getallen die verschillend zijn, maar gekwadrateerd hetzelfde getal opleveren modulo ${\displaystyle N}$, waar ${\displaystyle N}$ het te factoriseren getal is.

Een verschil met de kwadratische zeef is dat niet langer uitsluitend gewerkt wordt met kwadratische veeltermen. Daarnaast wordt gewerkt over andere getallenlichamen dan de gehele getallen en de gehele getallen modulo ${\displaystyle N}$, wat als direct gevolg heeft dat de getallenlichamenzeef veel gecompliceerder is dan eerdere methoden.^[4]

De kwadratische zeef, waarop de getallenlichamenzeef gebaseerd is, zoekt naar getallen ${\displaystyle x}$ en ${\displaystyle y}$ zodanig dat

${\displaystyle x^{2}\equiv y^{2}{\pmod {N}}\quad {\mbox{ en }}x\neq \pm y}$

Deze getallen worden gevonden door een functie ${\displaystyle \phi }$ te definiëren en op zoek te gaan naar geschikte getallen ${\displaystyle x_{i}}$, zodat ${\displaystyle x^{2}}$ eenvoudig kan worden gevonden als een uitdrukking in deze ${\displaystyle x_{i}}$ en ${\displaystyle y^{2}}$ kan worden gedefinieerd als het product van de functiewaarden ${\displaystyle \phi (x_{i})}$. Feitelijk vervult de functie ${\displaystyle \phi }$ hier de rol van een ringhomomorfisme, dat kwadraten in de ring ${\displaystyle \mathbb {Z} }$ afbeeldt op kwadraten in de ring ${\displaystyle \mathbb {Z} /N\mathbb {Z} }$, dit is de ring van gehele getallen modulo ${\displaystyle N}$. De getallenlichamenzeef gaat uit van hetzelfde idee, maar algemener, door een andere ring dan ${\displaystyle \mathbb {Z} }$ te gebruiken.^[5]

Formeel: zij ${\displaystyle R}$ een ring en ${\displaystyle \phi :R\to \mathbb {Z} /N\mathbb {Z} }$ een ringhomomorfisme. Als er een ${\displaystyle r\in R}$ is met

${\displaystyle \phi (r^{2})=y^{2}{\pmod {N}}\quad {\mbox{ en }}\quad x=\phi (r),}$

dan geldt

${\displaystyle x^{2}\equiv \phi (r)^{2}\equiv \phi (r^{2})\equiv y^{2}{\pmod {N}}}$

In dat geval geldt dat

${\displaystyle x^{2}-y^{2}\equiv 0{\pmod {N}},}$

waaruit direct volgt

${\displaystyle N=\mathrm {ggd} (N,\ x^{2}-y^{2})|\mathrm {ggd} (N,\ x-y)\cdot \mathrm {ggd} (N,\ x+y)}$

Als deze grootste gemene delers niet gelijk zijn aan 1 en ${\displaystyle N}$, dan hebben we twee niet-triviale factoren gevonden. Op die factoren kunnen we, als ze zelf niet priem zijn, hetzelfde procedé toepassen om een priemfactorontbinding van ${\displaystyle N}$ te verkrijgen. Je kunt met bijvoorbeeld de priemgetaltest bepalen of de gevonden factor priem is.

Iedere polynoom ${\displaystyle f(x)=x^{n}+a_{n-1}x^{n-1}+\ldots +a_{0}}$, waarvan de coëfficiënt van de hoogste macht van ${\displaystyle x}$ gelijk aan 1 is en de echte coëfficiënten geheel, rationaal, reëel of complex zijn, is volgens de hoofdstelling van de algebra te schrijven als

${\displaystyle f(x)=(x-\theta _{1})(x-\theta _{2})\cdots (x-\theta _{d}),}$

met ${\displaystyle \theta _{i}}$ element van de gekozen verzameling, waaruit de coëfficiënten worden gekozen.

Men kan nu een nulpunt ${\displaystyle \vartheta }$ van deze polynoom kiezen en de lichaamsuitbreiding ${\displaystyle \mathbb {Q} (\vartheta )}$ bekijken. Deze lichaamsuitbreiding is een lichaam, en kan worden gezien als de verzameling van polynomen in ${\displaystyle \vartheta }$ met rationale coëfficiënten, ofwel de ${\displaystyle \mathbb {Q} }$-lineaire combinaties van ${\displaystyle \{1,\vartheta ,\vartheta ^{2},\ldots ,\vartheta ^{d-1}\}}$. Het ons beperken tot gehele coëfficiënten, dus ${\displaystyle \mathbb {Z} }$-lineaire combinaties, zou als voordeel hebben dat dit eenvoudiger rekent. Er bestaat een ring die we hiervoor kunnen gebruiken.

Een complex getal ${\displaystyle \alpha }$ heet een algebraïsch geheel getal als het een nulpunt is van een polynoom ${\displaystyle f(x)}$ met gehele coëfficiënten, met de coëfficiënt van de hoogste macht van ${\displaystyle x}$ gelijk aan 1. Bij een gegeven ${\displaystyle f(x)}$ van graad ${\displaystyle d}$ met gehele coëfficiënten en een nulpunt ${\displaystyle \vartheta \in \mathbb {C} }$ kunnen we de verzameling ${\displaystyle R[\vartheta ]}$ vormen van alle algebraïsch gehele getallen in ${\displaystyle \mathbb {Q} (\vartheta ).}$ Deze verzameling vormt een deelring van het lichaam ${\displaystyle \mathbb {Q} (\vartheta )}$. De verzameling van alle ${\displaystyle \mathbb {Z} }$-lineaire combinaties van ${\displaystyle \{1,\vartheta ,\vartheta ^{2},\ldots ,\vartheta ^{d-1}\}}$ vormt op zijn beurt weer een deelring van ${\displaystyle R[\theta ]}$ en we noteren hem als ${\displaystyle \mathbb {Z} [\theta ]}$. Het is deze ring die we zullen gaan gebruiken.

Een belangrijke propositie^[4] zegt namelijk het volgende. Zij ${\displaystyle f(x)}$ op deze manier gedefinieerd, ${\displaystyle \vartheta \in \mathbb {C} }$ een nulpunt van ${\displaystyle f(x)}$ en ${\displaystyle m\in \mathbb {Z} /N\mathbb {Z} }$ zodanig dat

${\displaystyle f(m)\equiv 0{\pmod {N}}}$

Dan is de afbeelding

${\displaystyle \phi :\mathbb {Z} [\vartheta ]\to \mathbb {Z} /N\mathbb {Z} }$

die ${\displaystyle \vartheta }$ op ${\displaystyle m}$ afbeeldt een surjectief ringhomomorfisme.

Als we zo'n ${\displaystyle f,\,\vartheta }$ en ${\displaystyle m}$ hebben, kunnen we dus een surjectief ringhomomorfisme ${\displaystyle \phi }$ construeren. Daarna gaan we dan op zoek naar een verzameling ${\displaystyle U}$ (zie volgende paragraaf) van paren ${\displaystyle (a,b)}$ waarvoor geldt dat

${\displaystyle \prod _{(a,b)\in U}(a+b\vartheta )=\beta ^{2}}$

en

${\displaystyle \prod _{(a,b)\in U}(a+bm)=y^{2},}$

waarin ${\displaystyle \beta \in \mathbb {Z} [\vartheta ]}$ en ${\displaystyle y\in \mathbb {Z} }$.

Hebben we zo'n ${\displaystyle U}$ eenmaal gevonden, dan zijn we klaar, want dan geldt

${\displaystyle x^{2}\equiv \phi (\beta )^{2}\equiv \phi (\beta ^{2})\equiv \phi \left(\prod _{(a,b)\in U}(a+b\vartheta )\right)\equiv \prod _{(a,b)\in U}\phi (a+b\vartheta )\equiv \prod _{(a,b)\in U}(a+bm)\equiv y^{2}{\pmod {N}}.}$^[4]

Met de bovenstaande paragraaf in het achterhoofd zien we direct dat we een functie ${\displaystyle f}$ moeten kiezen. Daarbij zoeken we dan een nulpunt ${\displaystyle \vartheta }$ en een "nulpunt modulo ${\displaystyle N}$" ${\displaystyle m}$. Vervolgens willen we een verzameling ${\displaystyle U}$ van geschikte paren ${\displaystyle (a,b)}$ vinden. Dat kan door een algebraïsche ontbindingsbasis ${\displaystyle I}$ voor ${\displaystyle \mathbb {Z} [\vartheta ]}$ te kiezen (bestaande uit een eindig aantal priemidealen van graad 1 van ${\displaystyle \mathbb {Z} [\theta ]}$) waarover de getallen ${\displaystyle a+b\vartheta }$ volledig factoriseren en een rationale ontbindingsbasis ${\displaystyle F}$ (bestaande uit kleine priemgetallen) voor ${\displaystyle \mathbb {Z} }$ waarover de getallen ${\displaystyle a+bm}$ volledig factoriseren. Als een getal ontbindt over een gekozen ontbindingsbasis, dan noemen we het glad. Als we genoeg paren ${\displaystyle (a,b)}$ hebben gevonden waarvoor zowel ${\displaystyle a+b\vartheta }$ als ${\displaystyle a+bm}$ glad zijn, dan is er zeker een verzameling ${\displaystyle U}$ te maken bestaande uit (een deel van) de paren ${\displaystyle (a,b)}$ zodat

${\displaystyle \prod _{(a,b)\in U}(a+b\vartheta )=\beta ^{2}\quad {\textrm {en}}\quad \prod _{(a,b)\in U}(a+bm)=y^{2},}$

waar ${\displaystyle \beta \in \mathbb {Z} [\vartheta ]}$ en ${\displaystyle y\in \mathbb {Z} }$. Hoe dit precies in zijn werk gaat, verschilt niet wezenlijk van de kwadratische zeef.

Met de laatste regels van de vorige paragraaf zijn dan de gewenste getallen ${\displaystyle x}$, ${\displaystyle y}$ met

${\displaystyle x^{2}\equiv y^{2}{\pmod {N}}\quad {\mbox{ en }}x\neq \pm y}$

te vinden.

Omdat we werken met twee vrij te kiezen variabelen ${\displaystyle a}$ en ${\displaystyle b}$, wordt vaak ${\displaystyle b=1}$ vast gekozen en laat men ${\displaystyle a}$ variëren. Daarna hoogt men ${\displaystyle b}$ iets op en zoekt men opnieuw naar geschikte waarden van ${\displaystyle a}$. Merk op dat voor vaste ${\displaystyle p\in F}$ en vaste ${\displaystyle b}$ voor alle ${\displaystyle a\in \mathbb {Z} }$ geldt dat

${\displaystyle p\mid a+bm\iff a+bm\equiv 0{\pmod {p}}}$

Daaruit volgt dat

${\displaystyle a\equiv -bm{\pmod {p}}}$,

ofwel dat ${\displaystyle a}$ van de vorm ${\displaystyle a=-bm+kp}$ met ${\displaystyle k\in \mathbb {Z} }$ moet zijn. Op deze manier kunnen we veel ${\displaystyle a}$ al wegstrepen als ongeschikt, wat het woord zeef in de naam getallenlichamenzeef verklaart (zie ook zeef van Eratosthenes).

Al wat nog rest, is het kiezen van een functie ${\displaystyle f}$, een bijbehorend nulpunt ${\displaystyle \vartheta }$ en een ${\displaystyle m\in \mathbb {Z} }$ zodanig dat

${\displaystyle f(m)\equiv 0{\pmod {N}}}$

Het is niet bekend wat de beste keuze voor ${\displaystyle f}$ is, noch wat de graad van ${\displaystyle f}$ zou moeten zijn, noch hoe we ${\displaystyle m}$ het beste kunnen vinden. Het algoritme werkt echter ook voor keuzes die niet optimaal zijn, dus is dit ook niet echt van belang. Wel zijn er natuurlijk resultaten over welke waarden het in de praktijk goed doen. Voor getallen van meer dan 110 cijfers leert de ervaring dat ${\displaystyle d=5}$ goed werkt; voor kleinere getallen zijn ${\displaystyle d=4}$ (vanaf 80 cijfers) en ${\displaystyle d=3}$ (vanaf 50 cijfers) beter.^[4]

Nu berekent men eerst met de entierfunctie ${\displaystyle m=\lfloor N^{1/d}\rfloor }$. Dan kan men ${\displaystyle N}$ ${\displaystyle m}$-tallig schrijven als

${\displaystyle N=m^{d}+a_{d-1}m^{d-1}+\ldots +a_{1}m+a_{0}}$,

met coëfficiënten ${\displaystyle 0\leq a_{i}<m}$ voor ${\displaystyle 0\leq i<d}$. De veelterm ${\displaystyle f}$ wordt dan gegeven door

${\displaystyle f(x)=x^{d}+a_{d-1}x^{d-1}+\ldots +a_{1}x+a_{0}}$

Merk op dat ${\displaystyle f}$ niet irreducibel hoeft te zijn. Als ${\displaystyle f}$ reducibel is, geldt echter dat

${\displaystyle f(x)=g(x)\cdot h(x)}$

voor niet-constante veeltermen ${\displaystyle g}$ en ${\displaystyle h}$, waaruit volgt dat

${\displaystyle N=f(m)=g(m)\cdot h(m)}$

waarschijnlijk een niet-triviale factorisatie van ${\displaystyle N}$ is. Als ${\displaystyle f}$ dus reducibel is, dan zijn we nu waarschijnlijk klaar; als dat niet zo is, dan kunnen we de getallenlichamenzeef gebruiken.

De complexiteit van het algoritme wordt in de O-notatie gegeven door

${\displaystyle O\left(e^{c\,(\ln {n})^{1/3}(\ln {\ln {n}})^{2/3}}\right),}$

waarin ${\displaystyle c}$ een constante is met als waarde ongeveer 1,923.

Ter vergelijking: de kwadratische zeef heeft als complexiteit

${\displaystyle O\left(\mathrm {e} ^{(\ln {n})^{1/2}(\ln {\ln {n}})^{1/2}}\right).}$

Hieruit volgt direct dat voor grote ${\displaystyle n}$ men beter de getallenlichamenzeef kan gebruiken om een getal te ontbinden.