椭圆曲线ECM因子分解法——C语言实现

原创 已于 2025-08-14 17:19:54 修改 · 855 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #前端 #javascript

于 2024-08-31 16:58:20 首次发布

ECM因子分解法概述

椭圆曲线方法(Elliptic Curve Method,ECM)是一种用于整数分解的算法,由Hendrik Lenstra于1985年提出。该方法通过椭圆曲线上的点运算寻找非平凡因子,尤其适用于中等大小的合数(通常为30到60位)。其核心思想是将Pollard的p-1算法推广到椭圆曲线群上,利用群的阶随曲线参数变化的特性提高分解效率。

ECM算法步骤

选择椭圆曲线和初始点
随机选择一条椭圆曲线 ( E: y^2 = x^3 + ax + b \mod n ) 和一个曲线上的点 ( P )。参数 ( a, b ) 需满足 ( 4a^3 + 27b^2 \neq 0 \mod n ),否则曲线奇异。

计算倍点
选择一个平滑边界 ( B ),计算 ( k = \text{lcm}(1, 2, \dots, B) ),然后计算 ( k \cdot P )(标量乘法)。过程中涉及模逆运算,若无法计算逆元且结果不为 ( n ),则找到 ( n ) 的一个非平凡因子。

检查因子
若标量乘法过程中出现模逆失败,且与 ( n ) 的最大公约数 ( d ) 满足 ( 1 < d < n ),则 ( d ) 为 ( n ) 的一个因子。否则需更换曲线或调整参数重新尝试。

关键点说明

  1. 随机曲线生成:通过随机参数 ( a ) 和点 ( P = (x, y) ) 构造曲线,确保每次尝试的群阶不同。
  2. 平滑边界选择:( B ) 的选择影响计算效率和成功率,通常根据目标数大小调整。
  3. 标量乘法优化:实际实现需使用高效的倍点算法(如Montgomery阶梯),避免逐次加法。

注意事项

  • GMP库依赖:示例需链接GMP库(-lgmp)编译。
  • 简化逻辑:示例未完整实现椭圆曲线点运算,仅展示核心流程。实际应用需补充点加、倍点等函数。
  • 边界处理:需检查曲线非奇异性和点的有效性,避免无效运算。

通过调整参数和优化实现,ECM可高效分解中等规模的合数,是数论和密码学中的重要工具。

椭圆曲线分解关键点:

  1. 算法核心思想

    • 在模n的椭圆曲线上进行点运算

    • 当计算斜率需要模逆元时,如果分母与n不互质,则找到n的因子

  2. 标量乘法优化

    • 使用倍加算法高效计算k*P

    • k选择为不超过B的所有素数幂的乘积

  3. 参数选择

    • 光滑界限B决定计算量和成功率

    • 70191551的因子是7793和9007,需要B≥10001

    • 实际中B=1000足够,因为算法可能在较小k值就找到因子

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#include <math.h>

typedef struct {
    long long x;
    long long y;
} Point;

typedef struct {
    int found_factor;
    long long factor;
    Point result;
} PointOpResult;

// 前置声明函数
long long gcd(long long a, long long b);
long long extended_gcd(long long a, long long b, long long *x, long long *y);
long long mod_inverse(long long a, long long n, long long *g);
PointOpResult point_double(Point P, long long a, long long n);  // 添加前置声明
PointOpResult point_add(Point P, Point Q, long long a, long long n);
PointOpResult scalar_mult(Point P, long long k, long long a, long long n);
int generate_primes(int B, int *primes);
void compute_prime_powers(int B, int *primes, int num_primes, long long *prime_powers);
long long ecm_factor(long long n, int B, int max_tries);

long long gcd(long long a, long long b) {
    while (b) {
        long long t = b;
        b = a % b;
        a = t;
    }
    return a;
}

long long extended_gcd(long long a, long long b, long long *x, long long *y) {
    if (b == 0) {
        *x = 1;
        *y = 0;
        return a;
    }
    long long g = extended_gcd(b, a % b, y, x);
    *y -= a / b * *x;
    return g;
}

long long mod_inverse(long long a, long long n, long long *g) {
    long long x, y;
    *g = extended_gcd(a, n, &x, &y);
    if (*g != 1) {
        return 0;
    }
    return (x % n + n) % n;
}

PointOpResult point_double(Point P, long long a, long long n) {
    PointOpResult res;
    res.found_factor = 0;

    if (P.x == 0 && P.y == 0) {
        res.result = P;
        return res;
    }
    if (P.y == 0) {
        res.result.x = 0;
        res.result.y = 0;
        return res;
    }

    long long denom = (2 * P.y) % n;
    long long g;
    long long inv = mod_inverse(denom, n, &g);
    if (g != 1) {
        res.found_factor = 1;
        res.factor = g;
        return res;
    }

    long long lambda = (3 * P.x * P.x + a) % n;
    if (lambda < 0) lambda += n;
    lambda = (lambda * inv) % n;
    long long x3 = (lambda * lambda - 2 * P.x) % n;
    if (x3 < 0) x3 += n;
    long long y3 = (lambda * (P.x - x3) - P.y) % n;
    if (y3 < 0) y3 += n;

    res.result.x = x3;
    res.result.y = y3;
    return res;
}

PointOpResult point_add(Point P, Point Q, long long a, long long n) {
    PointOpResult res;
    res.found_factor = 0;

    // 处理无穷远点(单位元)
    if (P.x == 0 && P.y == 0) {
        res.result = Q;
        return res;
    }
    if (Q.x == 0 && Q.y == 0) {
        res.result = P;
        return res;
    }

    // 处理相同点或互为逆元的情况
    if (P.x == Q.x) {
        if (P.y == Q.y) {
            // P = Q,执行倍点运算
            return point_double(P, a, n);
        } else {
            // P和Q是y坐标相反的互逆点,返回无穷远点
            res.result.x = 0;
            res.result.y = 0;
            return res;
        }
    }

    // 计算斜率
    long long dx = (Q.x - P.x) % n;
    if (dx < 0) dx += n;
    long long g;
    long long inv = mod_inverse(dx, n, &g);
    if (g != 1) {
        res.found_factor = 1;
        res.factor = g;
        return res;
    }

    long long dy = (Q.y - P.y) % n;
    if (dy < 0) dy += n;
    long long lambda = (dy * inv) % n;
    long long x3 = (lambda * lambda - P.x - Q.x) % n;
    if (x3 < 0) x3 += n;
    long long y3 = (lambda * (P.x - x3) - P.y) % n;
    if (y3 < 0) y3 += n;

    res.result.x = x3;
    res.result.y = y3;
    return res;
}

PointOpResult scalar_mult(Point P, long long k, long long a, long long n) {
    PointOpResult res;
    res.found_factor = 0;
    Point R = {0, 0};  // 初始化为无穷远点
    Point T = P;

    // 使用倍加算法计算k*P
    while (k) {
        if (k & 1) {
            PointOpResult add_res = point_add(R, T, a, n);
            if (add_res.found_factor) {
                return add_res;
            }
            R = add_res.result;
        }
        k >>= 1;
        if (k == 0) break;

        PointOpResult double_res = point_double(T, a, n);
        if (double_res.found_factor) {
            return double_res;
        }
        T = double_res.result;
    }

    res.result = R;
    return res;
}

int generate_primes(int B, int *primes) {
    if (B < 2) return 0;
    int *is_prime = (int *)malloc((B + 1) * sizeof(int));
    for (int i = 2; i <= B; i++) is_prime[i] = 1;
    
    // 埃拉托斯特尼筛法
    for (int i = 2; i * i <= B; i++) {
        if (is_prime[i]) {
            for (int j = i * i; j <= B; j += i) {
                is_prime[j] = 0;
            }
        }
    }
    
    // 收集素数
    int count = 0;
    for (int i = 2; i <= B; i++) {
        if (is_prime[i]) {
            primes[count++] = i;
        }
    }
    free(is_prime);
    return count;
}

void compute_prime_powers(int B, int *primes, int num_primes, long long *prime_powers) {
    for (int i = 0; i < num_primes; i++) {
        int p = primes[i];
        long long power = p;
        long long next = power * p;
        // 计算不超过B的最大素数幂
        while (next <= B) {
            power = next;
            next = power * p;
        }
        prime_powers[i] = power;
    }
}

long long ecm_factor(long long n, int B, int max_tries) {
    srand(time(NULL));
    for (int try_count = 0; try_count < max_tries; try_count++) {
        // 随机生成曲线参数和起点
        long long a = rand() % n;
        long long x = rand() % n;
        long long y = rand() % n;
        long long b = (y * y - x * x * x - a * x) % n;
        if (b < 0) b += n;

        // 检查曲线是否非奇异
        long long disc = (4 * a * a * a + 27 * b * b) % n;
        if (disc < 0) disc += n;
        long long g = gcd(disc, n);
        if (g > 1) {
            if (g < n) return g;  // 找到因子
            continue;
        }

        // 生成不超过B的素数表
        int *primes = (int *)malloc(B * sizeof(int));
        int num_primes = generate_primes(B, primes);
        long long *prime_powers = (long long *)malloc(num_primes * sizeof(long long));
        compute_prime_powers(B, primes, num_primes, prime_powers);

        // 计算复合阶k = ∏ p^e(p,B)
        Point P = {x, y};
        Point R = P;

        // 逐个应用素数幂
        for (int i = 0; i < num_primes; i++) {
            PointOpResult mult_res = scalar_mult(R, prime_powers[i], a, n);
            if (mult_res.found_factor) {
                free(primes);
                free(prime_powers);
                return mult_res.factor;  // 找到因子
            }
            R = mult_res.result;
        }

        free(primes);
        free(prime_powers);
    }
    return 0;  // 未找到因子
}

int main() {
    long long n = 70191551;
    int B = 1000;  // 增大光滑界限以提高成功率
    int max_tries = 100;

    printf("Attempting to factor %lld using ECM...\n", n);
    clock_t start = clock();
    long long factor = ecm_factor(n, B, max_tries);
    double elapsed = (double)(clock() - start) / CLOCKS_PER_SEC;

    if (factor > 0 && factor < n) {
        printf("Factorization found: %lld = %lld * %lld\n", n, factor, n / factor);
        printf("Time taken: %.3f seconds\n", elapsed);
    } else {
        printf("Failed to find a factor after %d tries.\n", max_tries);
    }

    return 0;
}

剑舞梦
关注
Lenstra因子分解椭圆曲线方法
Mysterium的专栏
08-30 4946
这几天一直在研究ECM因子分解算法。 这个方法主要基于椭圆曲线上的加法运算,一种群运算。 椭圆曲线是代几何里面非常重要的曲线,虽然我对代几何了解甚少,但是椭圆曲线的大名早已如雷贯耳。 从纯学的费马大定理的证明到密码学的椭圆曲线加密体制…… 椭圆曲线的作用远不止此。 下图是一个椭圆曲线的图像。 可以证明椭圆曲线是一个加法群,我们可以定义其上的加法:
Pollard‘s p-1因子分解法------C语言实现
最新发布
06-17 799
Pollard's p-1算法是John Pollard于1975年提出的大整分解方法,适用于因子减1后为光滑的情况。该算法基于费马小定理,通过计算B的阶乘并求gcd(a^B!-1,n)来寻找非平凡因子。算法步骤包括:选择参B和基a(通常为2)、计算B的阶乘、应用费马小定理推导、通过gcd运算寻找因子。代码实现展示了模幂运算和gcd计算的核心过程。当n-1的最大质因子为B时,算法能有效分解n=pq中满足B-smooth条件的因子。示例代码用C语言实现了算法框架,通过迭代计算寻找因
伦斯特拉椭圆曲线因式分解椭圆曲线因式分解方法(ECM
05-08
ECM被认为是一种特殊用途的保理算法,因为它最适合寻找小因素。目前,它仍然是不超过50至60 位的除的最佳算法,因为其运行时间由最小因子p的大小决定,而不是由要被考虑的n的大小决定。通常,ECM用于从具有许多因素的非常大的整中去除小因素; 如果剩余的整仍然是复合的,那么它只有很大的因素,并且使用通用技术来分解。迄今为止使用ECM发现的最大因素有83位十进制字,并于2013年9月7日由R. Propper发现。[1]增加测试曲线的量可以提高找到因子的几率,但它们与量的增加不成线性关系。
Pollard‘s p-1算法
qq_1182418846的博客
10-16 974
光滑 (number):指可以分解为多个小素乘积的正整当p是N 的因,并且p−1是光滑,可以考虑使用Pollard's p-1算法来分解N当p是N的因,并且p+1是光滑,可以考虑使用Williams's p+1算法来分解N这里只介绍pollard p-1算法。
波拉德p-1因子分解法,maple命令代码
07-11
论及应用里面的试题哦,关于波拉德p-1因子分解法的。
EM算法
sunjianqiang12345的博客
11-06 1036
在统计领域,主要有两大类计算问题,一类是极大似然估计的计算,另一类是Bayes计算。这两者是可以合并讨论的。极大似然估计的计算类似于Bayes的后验众的计算,因此我们后面就从Bayes计算的角度介绍统计计算方法。 Bayes计算方法大体可以分为两大类。一类是直接应用于后验分布以得到后验均值或后验众的估计,以及这种估计的渐进方差或其近似。另一类算法可称为据添加算法,它是在观测据的基础上加上...
聚类算法
七刀的专栏
07-30 413
1.https://blog.youkuaiyun.com/Katherine_hsr/article/details/79382249 2.https://blog.youkuaiyun.com/u011511601/article/details/81951939 3.https://blog.youkuaiyun.com/qq_30262201/article/details/78799926
【密码学】Pollard‘s p-1素分解算法
Mitchell_Donovan的博客
10-14 3320
在这里我们选取的a是2,这样保证了与p互素。 另外补充一点,这个算法存在失败的可能,也就是说有可能找不到N的因子,但这并不妨碍N是个合的事实。 只要B!取值合理,可以在多项式时间计算出结果。 但是B!必须满足"大于p − 1 p-1p−1的所有因子",如果p − 1的因子很大,选择小的B会造成算法求解失败,选择足够大的B才会增加算法成功的概率,但那样的话算法的复杂度不比试除法好,所以说算法的关键是选取合适的B。 C++代码: #include <NTL/ZZ.h> ...
基于C语言Ecm核心功能实现设计源码
10-02
该项目的核心是一个基于C语言编写的电子书管理器(Ecm)的源代码实现。C语言以其接近硬件级别的控制能力和高效的运行性能,非常适合进行底层系统软件的开发,这一点在该项目的实现中得到了充分体现。整个项目包含了...
椭圆曲线分解法(ECM)的工作原理与优化
### 椭圆曲线分解法(ECM)的工作原理与优化 #### 1. 引言 椭圆曲线分解法(ECM)自发明以来,一直是寻找大整相对小质因的渐近最快方法。尽管在分解 $n = pq$(其中 $p \approx q \approx \sqrt{n}$)的一般...
分解_椭圆曲线算法代码
06-25
使用eclipse开发的ecm分解算法
实现FLUENT的P-1辐射模型
diyhoo的编程小屋
05-24 5776
通过UDF和用户定义输送方程实现P-1辐射模型,在模型中,入射辐射变量G在区域内通过扩散和源项组成的方程描述 壁面上G的边界条件等于辐射壁面热流q的负,在这个方程中n是外法向量。 在FLUENT中,被控制标量的梯度的分量垂直于单元边界(面),∇是主要和次要分量总和的估计。主要分量代表由单元质心定义方向上的梯度,次要分量是沿着分隔两个单元的面的方向。从这个信息中,面...
4.2 Pollard p-1算法
你的指尖有改变世界的力量
05-01 3283
介绍了pollard p-1算法的原理并给出了python代码
因子分解算法——Pollard 的p-1方法
国科大网安二班的博客
03-06 5991
因子分解算法——Pollard 的p−1p-1p−1方法 1 算法核心 为了分解nnn。设nnn的一个因子是ppp,那么并且p−1p-1p−1的每个因子qqq满足q≤Bq\le Bq≤B(B是自己选的一个,称为界),此时必有 (p−1)∣B! (p-1)|B! (p−1)∣B! 证:设p−1=q1q2⋯qmp-1=q_{1}q_{2}\cdots q_{m}p−1=q1​q2​⋯qm​,并且q1、q2、⋯、qm≤Bq_{1}、q_{2}、\cdots、q_{m}\le Bq1​、q2​、⋯、qm​
【机器学习基础】EM算法
热门推荐
Tuzi_bo的专栏
06-04 12万+
目录 一 样例 二 公式描述 三 参考文献 最大期望算法(Expectation-maximization algorithm,又译为期望最大化算法),是在概率模型中寻找参最大似然估计或者最大后验估计的算法,其中概率模型依赖于无法观测的隐性变量。 最大期望算法经过两个步骤交替进行计算: 第一步是计算期望(E),...
椭圆曲线质因分解2
weixin_30301449的博客
08-01 494
Upd: 写了一点资料. https://pan.baidu.com/s/1GyzysqQUVuUyI8Bsqs9O-g #include <cstring> #include <cstdio> #include <cmath> #include <utility> #include <algorithm> #include <ch...
ecm编程手册
cj
08-25 1000
学习面向连接编程ecm开发包. nodejs, spring,osgi,j2ee,jsp
poj 2191 大判定 && 大分解
Everything can be done!
05-24 1182
再次用到Miller_rabin 和Pollard - rho, 题意: 给出一个梅森,2^x - 1,;            然后要对x为素的时候,梅森不为素时的进行素分解; 思路:打表; #include #include #include #include #include #include #include #include using namespace s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值