2

我正在尝试在 Python 中实现 Pollard 的 P-1 分解。请注意,Rho 方法有一些答案,但这个 p-1 是不同的,关于 p-1,我可以在这里为您提供的最好的答案是 wiki 和 Wolfram:

http://en.wikipedia.org/wiki/Pollard 's_p_%E2%88%92_1_algorithm

http://mathworld.wolfram.com/Pollardp-1FactorizationMethod.html

这是从 n 中分解一些东西,但始终找不到 p。np 和 sp 分别来自 numpy 和 scipy。所以 sp.uint64 的内置函数是一个 unsigned long 64 int(因为预期整数的大小),而 np.prod(p) 是列表 p 的累积乘积 pi:

def pm1_attack(n,b):
  p = [2,3,5,7,11,13,17]; i=19; a=2
  while i<b:
    if is_prime(i,10): p.append(i)
    i+=2;
  k = sp.uint64(np.prod(p)); q = power2(a,k,n)
  g = euc_al_i((q-1),n)
  print "product pi: ",k
  print "q: ",q
  print "g: ",g
  #return a

print "pollard_pm1_attack(n,b): ",pollard_pm1_attack(n,2000)

输出找不到 p:

Python 2.7 (r27:82525, Jul  4 2010, 09:01:59) [MSC v.1500 32 bit (Intel)] on win32
Type "copyright", "credits" or "license()" for more information.
>>> ================================ RESTART ================================
>>> 
p = 1300199 
q = 2063507 

euler_totient = 2682966374188 

common n = 2682969737893 


public key e = 1588051820871 

secret key d = 2410616084843 

cleartext message = test 

encoded message = 1489995542681 

decoded message = test 

check_rsa = Successful encryption and decrytion. Message is authenticated. 

pollard_pm1_attack(n,b):  product pi:  18446744073460481730
q:  2391570546599
g:  1
None
>>>

我正在学习 Python,所以这可能是一些简单的错误。power2() 函数使用平方求幂,基本上是一个超大整数的超级充电 pow()。euc_al_i() 就是 gcd。你可以使用任何你喜欢的 gcd(),但是因为我正在学习我想自己做这些。

我试图找出这里出了什么可怕的错误,以至于它甚至无法从相对较小的 n(小至 20 位长度)中找到 p。

4

2 回答 2

7

我不知道np.prodsp.uint64是做什么的,但我可以告诉你关于p - 1 算法的信息,它是 John Pollard 在 1974 年发明的。

Pollard 的算法基于费马的小定理a ^ p == a (mod p ),当a != 0 可以通过将a除以表达式来表示a ^ ( p - 1) == 1 (mod p )。因此,如果p - 1 除m,则p除 gcd(2^ m - 1, n )。Pollard 的p - 1 算法将m计算为小于边界b的整数的最小公倍数,因此如果p的所有因子- 1 小于b,则 gcd(2 ^ lcm(1.. b ) - 1, n ) 是 n 的因数。最小公倍数是通过将小于b的素数乘以它们小于b的重数来计算的:

function pminus1(n, b)
    c := 2
    for p in primes(b)
        pp := p
        while pp < b
            c := powerMod(c, p, n)
            pp := pp * p
    g := gcd(c-1, n)
    if 1 < g < n return g
    error "factorization failed"

可选的第二阶段搜索b1b2之间的“大素数”,它与第一阶段的最小公倍数结合以找到一个因子。第二阶段只需要对每个素数进行模乘而不是模幂运算,因此速度非常快,并且第二阶段的 gcd 可以批量计算。缓存很小,但对函数的效率很重要。

function pminus1(n, b1, b2)
    c := 2
    for p in primes(b1)
        pp := p
        while pp < b
            c := powerMod(c, p, n)
            pp := pp * p
    g := gcd(c-1, n)
    if 1 < g < n return g
    k := 0
    for q in primes(b1, b2)
        d := q - p
        if d is not in cache
            x := powerMod(c, d, n)
            store d, x in cache
        c := (c * x(d)) % n
        p := q
        k := k + 1
        if k % 100 == 0
            g := gcd(c-1, n)
            if 1 < g < n return g
    g := gcd(c-1, n)
    if 1 < g < n return g
    error "factorization failed"

Pollard 的p - 1 方法可能无法找到n的因子;它取决于n - 1 的分解和您选择的界限。检查的方法是自己分解n - 1,然后使用大于n - 1 的最大系数的b调用 Pollard 方法。例如,如果要分解n = 87463 = 149 * 587,请注意n - 1 = 87462 = 2 * 3 * 3 * 43 * 113,所以调用b = 120 的单阶段算法或b1 = 50 和b2 = 120的两阶段算法,看看你是否找到了一个因子。

我在我的博客中讨论了 Pollard 的p -1 分解算法以及其他几种分解算法。我还提供了 powerMod 和 gcd 函数的实现,以防您在实现这些函数时遇到问题。我用 Python 编写了单阶段算法的简单实现,位于http://ideone.com/wdyjxK

于 2013-05-07T17:23:32.130 回答
1

这是用python实现的两阶段版本。

from math import gcd, log

def pminus1(n, B1, B2):
    log_B1 = log(B1)
    M = 1
    primes = prime_sieve()
    for p in primes:
        if p > B1:
            break
        M *= p**int(log_B1/log(p))
    M = pow(2, M, n)
    g = gcd(M-1, n)
    if 1 < g < n:
        return True
    if g == n:
        return False

    # Start part 2.
    cache = {0:M}
    S = (M*M) % n
    for d in range(2, int(log(B2)**2), 2):
        cache[d] = cache[d-2] * S) % n

    HQ = M
    for k, q in enumerate(primes):
        if q > B2:
            break
        d = q - p
        HQ = (HQ * cache[d]) % n
        M = (M * (HQ-1)) % n
        p = q
        if k % 200 == 0:
            if 1 < gcd(M, n) < n:
                return True
    return 1 < gcd(M, n) < n
于 2017-12-25T02:27:23.450 回答