Was ist die Worst-Case-Komplexität eines Zahlenfeldsiebs?

12

Gegeben Verbund allgemeinen Zahlkörpersieb ist am besten bekannt Faktorisierung Algorithmus für ganzzahlige Faktorisierung von . Es ist ein randomisierter Algorithmus und wir erhalten eine erwartete Komplexität von um zu faktorisieren .NNNÖ(e649(LogN)13(LogLogN)23)N

Ich habe nach Informationen zur Worst-Case-Komplexität dieses randomisierten Algorithmus gesucht. Ich kann jedoch keine Informationen finden.

(1) Was ist die Worst-Case-Komplexität eines Zahlenfeldsiebs?

(2) Kann hier auch die Zufälligkeit entfernt werden, um einen deterministischen subexponentiellen Algorithmus zu erhalten?


quelle

Antworten:

14

Das Zahlenfeldsieb wurde noch nie gründlich analysiert. Die von Ihnen angegebene Komplexität ist lediglich heuristisch. Der einzige subexponentielle Algorithmus, der genau analysiert wurde, ist der Faktorisierungsalgorithmus von Dixon , der dem quadratischen Sieb sehr ähnlich ist. Laut Wikipedia läuft Dixons Algorithmus in der Zeit . Dixons Algorithmus ist randomisiert.eÖ(22LognLogLogn)

Alle (heuristisch) bekannten subexponentiellen Algorithmen erfordern eine Randomisierung. Dixons Algorithmus muss ganze Zahlen so finden, dass glatt (kann in ein Produkt kleiner Primzahlen einbezogen werden) und "zufällig" ist, und das Zahlenfeldsieb hat ähnliche, aber kompliziertere Anforderungen. Die elliptische Kurvenmethode muss eine elliptische Kurve modulo deren Ordnungsmodulo ein Faktor von glatt ist. In beiden Fällen scheint es schwierig zu sein, die Algorithmen zu derandomisieren.x 2xn nx2(modn)nn

Die nominelle Worst-Case-Komplexität all dieser Algorithmen ist unendlich: Im Fall des quadratischen Siebs und des Zahlenfeldsiebs erzeugen Sie möglicherweise immer das gleiche , während Sie bei der elliptischen Kurvenmethode möglicherweise immer die gleiche elliptische Kurve erzeugen . Es gibt viele Möglichkeiten, dies zu umgehen, zum Beispiel einen exponentiellen Zeitalgorithmus parallel auszuführen.x

Yuval Filmus
quelle
1
Da Sie sich auch mit ECM befasst haben: Wir kennen einen subexp-randomisierten Algorithmus zur Berechnung von in mithilfe von ECM, wobei unbekannt und randomisiert ist. Haben Sie eine Schätzung, wie viele Versuche mit diesem Algorithmus ausreichen, um und wobei ? O ( e x p ( n!rrn! rn! s(r,s)=1O(exp(logn))rn!rn!s(r,s)=1
1
Ich habe keine Ahnung, was ist, aber im Allgemeinen balancieren wir bei der Auswahl von Parametern in ECM zwischen der Wahrscheinlichkeit dass die Kurve glatt genug ist, und der Laufzeit die zum Testen jeder Kurve erforderlich ist. Normalerweise ist der Gleichgewichtspunkt ist , wenn . Die erwartete Anzahl von Versuchen sollte also . p T 1 / p T O ( exp n!rpT1/pTO(explogn)
Yuval Filmus
n!ist Fakultät von . Es ist ein offenes Problem, die Komplexität der Fakultät auf eine gerade Linie zu bringen. Wir wissen, wie man berechnet, wobei in subexp-Zeit unbekannt ist. Wenn wir zwei verschiedene und , können wirin subexp Zeit wenn . nn!rrn!rn!s(n!r,n!s)=n!(r,s)=1
Ich erinnere mich, vor einiger Zeit gerechnet zu haben. Ich glaube nicht, dass ich mich verbessern könnte, da es einen Haken gab und ich mich nicht an die Details erinnere.
Der letzte Absatz scheint seltsam und könnte genauer geklärt werden. Sprechen Sie von einem Szenario, in dem der RNG in dem Sinne "defekt" ist, dass er nicht den gesamten Verteilungsraum abtastet? aber dann würde da nicht parallelität helfen? wäre es denn das gleiche "kaputte" RNG parallel? oder ist die Idee, dass es sich um einen anderen RNG handelt, der parallel ausgeführt wird? Tatsächlich ist die parallele Komplexität von Factoring-Algorithmen ein ganz anderes komplexes Thema, z. B. können einige besser parallelisiert werden als andere, Big-O ist möglicherweise nicht genau anwendbar usw.
vzn
6

In den letzten Monaten wurde eine Version des Zahlenfeldsiebs streng analysiert: http://www.fields.utoronto.ca/talks/rigorous-analysis-randomized-number-field-sieve-factoring

Grundsätzlich ist die Worst-Case-Laufzeit unbedingt und unter GRH. Dies gilt nicht für das "klassische" Zahlenfeldsieb, sondern für eine leicht modifizierte Version, bei der mehr Schritte zufällig angeordnet werden, um die Komplexitätsanalyse zu vereinfachen.Ln(1/3,2,77)Ln(1/3,(64/9)1/3)

Ich glaube, das entsprechende Papier wird noch geprüft.

Update: Das Papier ist jetzt raus. Jonathan D. Lee und Ramarathnam Venkatesan, "Rigorose Analyse eines randomisierten Zahlenfeldsiebs", Journal of Number Theory 187 (2018), S. 92-159, doi: 10.1016 / j.jnt.2017.10.019

djao
quelle
1
Können Sie eine vollständigere Referenz mit Titel, Autor und Veröffentlichungsort angeben, damit die Antwort auch dann noch nützlich ist, wenn der Link nicht mehr funktioniert?
DW
Da das Ergebnis erst vor kurzem bekannt gegeben wurde, wird es meines Erachtens derzeit geprüft, wie in meiner Antwort angegeben, und daher noch nicht veröffentlicht. Ich werde meine Antwort in Zukunft aktualisieren, sobald Veröffentlichungsinformationen verfügbar sind.
Djao
FWIW scheint es nicht auf arxiv.org zu geben. Der Autor ist jedoch Ramarathnam Venkatesan, der möglicherweise bei zukünftigen Suchanfragen hilfreich ist, falls diese erforderlich sein sollten.
Peter Taylor
Es ist eigentlich ein Zwei-Autoren-Werk (JD Lee und R. Venkatesan): cmi.ac.in/activities/…
Sary