Algorithme rho de Pollard

En arithmétique modulaire, l’algorithme rho de Pollard est un algorithme de décomposition en produit de facteurs premiers spécifique qui est seulement effectif pour factoriser les entiers naturels avec de petits facteurs. Il fut conçu par John M. Pollard en 1975[1].

Il est utilisé en cryptologie. Le succès le plus remarquable de l'algorithme rho a été la factorisation du huitième nombre de Fermat par Pollard et Brent. Ils ont utilisé une version modifiée de l'algorithme, qui a trouvé un facteur premier inconnu précédemment. La factorisation complète de F₈ a pris, au total, 2 heures sur un Univac 1100/42^{[réf. nécessaire]}.

Algorithme

Représentation de la suite (x_n) qui ressemble à la lettre grecque ρ.

Principe mathématique

Soit $n=pq$ un nombre entier composé, où $p$ est un facteur non-trivial inconnu, que l'algorithme essaye de déterminer. On se place dans $S=\mathbb {Z} /n\mathbb {Z}$ ; autrement dit, on est dans $\{0,\dots ,n-1\}$ et les calculs s'effectuent modulo $n$ .

Fixons une fonction $f:S\to S$ , par exemple $f:x\mapsto x^{2}+1$ . La fonction devant être rapide à calculer et pseudo-aléatoire. On définit alors la suite $(x_{n})$ par $x_{n+1}=f(x_{n})$ , où $x_{0}\in S$ est choisi de manière aléatoire. Comme la suite $(x_{n})$ prend un nombre fini de valeurs, elle finit par se répéter. C'est la raison du nom de l'algorithme : une représentation graphique de la suite cyclique ressemble à la lettre grecque ρ, voir figure ci-contre.

Considérons maintenant la suite des valeurs $x_{n}{\text{ mod }}p$ . Comme $p$ est inconnu, cette suite ne peut pas être calculée explicitement. Nous savons qu'elle se répète également. A cause du paradoxe des anniversaires, sa période de répétition est souvent strictement plus petite que celui de la suite $x_{n}$ . Si tel est le cas, il existe deux indices $i<j$ tels que $x_{i}\equiv x_{j}{\pmod {p}}$ mais $x_{i}\not \equiv x_{j}{\pmod {n}}$ .

Alors $p$ divise $\mathrm {pgcd} (x_{j}-x_{i},n)$ mais $\mathrm {pgcd} (x_{j}-x_{i},n)\neq n$ . Autrement dit, $\mathrm {pgcd} (x_{j}-x_{i},n)$ est un facteur non trivial de $n$ .

Pour déterminer les indices $i$ et $j$ , on utilise l'algorithme de Floyd pour rechercher un cycle. Il suffit alors de calculer $\mathrm {pgcd} (x_{2k}-x_{k},n)$ (pour $k\geq 1$ ) jusqu'à obtenir un facteur non trivial de $n$ ou bien obtenir le facteur $n$ . En effet, celui-ci indique qu'on a $x_{k}=x_{2k}$ , donc qu'on a terminé de parcourir le cycle des $(x_{k})$ . On peut alors recommencer en changeant la valeur de $x_{0}$ ou la fonction $g$ .

Algorithme

On donne ici le pseudo-code, comme dans [2].

entrée : un entier n composé, qui n'est pas une puissance d'un nombre premier
sortie : un facteur non trivial de n, ou alors une erreur
Pollard-Rho(n)    
    (a, b) := (2, 2)                 # dans [2], ils prennent x₀ = 2
    répéter
           (a, b) = (f(a), f(f(b)))
           d := pgcd(a-b, n)
           si 1 < d < n
                    retourner d
           si d = n
                    erreur

Exemple

Soit n = 8 051 et f(x) = x² + 1 mod 8 051. On prend x₀ = 2.

i	x_i	x_2i	pgcd(x_i − x_2i, 8051)
1	5	26	1
2	26	7474	1
3	677	871	97

97 est un facteur non trivial de 8 051. Les autres valeurs de c peuvent donner le facteur 83 à la place de 97.

Discussions

Performances

L'algorithme est très rapide pour les nombres avec des petits facteurs. Par exemple, sur une station de travail à 733 MHz, une implémentation de l'algorithme rho, sans aucune optimisation, trouve le facteur 274 177 du sixième nombre de Fermat en une demi-seconde. Le sixième nombre de Fermat est 18 446 744 073 709 552 000 (20 chiffres décimaux). Néanmoins, pour un nombre semi-premier de même taille, la même station de travail prend environ 9 secondes pour trouver un facteur de 10 023 859 281 455 310 000 (le produit de 2 nombres premiers à 10 chiffres).

Choix de f

Pour f, nous choisissons un polynôme avec coefficients entiers. Les plus communs sont de la forme :

f(x)=x^{2}+c,\quad c\notin \{0,-2\}.

Pour certains f, l'algorithme ne trouvera pas de facteur. Si pgcd(|x_a − x_b|, n) = n, l'algorithme échouera, parce que x_a = x_b, ce qui veut dire que la suite était bouclée et cela continuera tant que le travail précédent se répètera. En changeant c ou f, on peut augmenter la chance de succès. Cette situation d'échec peut survenir pour tous les nombres premiers, elle peut survenir pour certains nombres composés aussi.

Variante

L'algorithme peut être utilisé pour des recherches de collisions, en particulier dans les fonctions de hachage. Soit $H(M_{1})$ l'empreinte du message $M_{1}.$ On cherche un deuxième message $M_{2},$ différent de $M_{1},$ tel que $H(M_{1})=H(M_{2}).$ Grâce au paradoxe des anniversaires et avec l'aide de l'algorithme de Pollard, on peut faire cela sans consommer énormément de mémoire. Une implémentation naïve du paradoxe des anniversaires nécessiterait de stocker toutes les empreintes générées et de les comparer. L'algorithme Rho permet de s'affranchir de cette contrainte.

Pour y parvenir, on crée un message aléatoire $x$ dont la taille est égale à l'empreinte. On itère le hachage en calculant d'abord $H(x),H(H(x))$ et ainsi de suite. Le nombre d'états étant fini, cette itération va forcément entrer dans un cycle que l'on peut détecter avec les algorithmes vus ci-dessus. Une fois le cycle détecté, il faut trouver les deux messages distincts qui entrent en collision. Lorsque le cycle est détecté, on est en présence de l'empreinte $y.$ On reprend le message initial $x$ et l'on effectue alors des itérations en parallèle sur les deux empreintes :

$H(x),H(H(x)),H(H(H(x))),$ etc.
$H(y),H(H(y)),H(H(H(y))),$ etc.

On itère jusqu'à obtenir deux sorties identiques, signe d'une collision entre deux messages distincts. En pratique, on ne considère qu'une partie de la sortie de la fonction de hachage pour éviter des temps de calcul trop longs. Une variante pour le calcul distribué a été employée dans le cadre du projet MD5CRK (en) qui visait à trouver une collision complète (128 bits, complexité de 2⁶⁴ opérations) sur la fonction de hachage cryptographique MD5. Avec une bonne implémentation exécutée sur un seul PC, il est possible de trouver des collisions sur 69 bits consécutifs de SHA-1 en quelques jours (SHA-1 a une empreinte de 160 bits).

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Pollard's rho algorithm » (voir la liste des auteurs).

(en) J. M. Pollard, « A monte carlo method for factorization », BIT Numerical Mathematics, vol. 15, n^o 3,‎ 1^er septembre 1975, p. 331–334 (ISSN 1572-9125, DOI 10.1007/BF01933667, lire en ligne, consulté le 11 octobre 2019)
Handbook of Applied Cryptography, by Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, p. 125, describes this algorithm and others

Voir aussi

Portail de la cryptologie

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] (en) J. M. Pollard, « A monte carlo method for factorization », BIT Numerical Mathematics, vol. 15, n^o 3,‎ 1^er septembre 1975, p. 331–334 (ISSN 1572-9125, DOI 10.1007/BF01933667, lire en ligne, consulté le 11 octobre 2019)

[:0-2] Handbook of Applied Cryptography, by Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, p. 125, describes this algorithm and others