-
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathmod_approach.html
117 lines (103 loc) · 8.24 KB
/
mod_approach.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
<title>modに対するアプローチ</title>
<h5 class="shadow">分解してみる</h5>
<pre>
例題: ${}_n \mathrm{C} _k \pmod{20}$ を求めよ。 ただし $0\leq k \leq n \leq 10^{6}$
</pre>
${}_n \mathrm{C} _k \equiv \frac{n (n-1) (n-2) \ldots (n-k+1)}{k!} \pmod{20}$ なので $\{k!\}^{-1} \pmod{20}$ が計算できればよさそうですが<br>
$k!$ と $20$ が互いに素になるかはわかりません。仮に互いに素でない場合は逆元が存在しないのでこのままでは解けません。<br>
そこで $20 = 2^{2} \times 5$ であることに着目して<br>
<ul>
<li>$n (n-1) (n-2) \ldots (n-k+1) = 2^{t_1}\times 5^{f_1}\times r_{1}$ </li>
<li>$k! = 2^{t_2}\times 5^{f_2}\times r_{2}$</li>
</ul>
と分解してみます。すると答えは $2^{t_1 - t_2}\times 5^{f_1 - f_2}\times r_1 \times {r_2}^{-1} \pmod{20}$ になります。<br>
いま $r_{2}$ に $2$ と $5$ は含まれていないので $r_{2}$ と $20$ が必ず互いに素になり逆元が計算できます。
<h5 class="shadow"><a href="http://ja.wikipedia.org/wiki/%E4%B8%AD%E5%9B%BD%E3%81%AE%E5%89%B0%E4%BD%99%E5%AE%9A%E7%90%86">中国人剰余定理</a></h5>
「$m_{1}, m_{2} \ldots m_{k}$ がどの2つも互いに素ならば<br>
<ul>
<li>$x \equiv a_{1} \pmod{m_{1}}$</li>
<li>$x \equiv a_{2} \pmod{m_{2}}$</li>
<li>$\ldots$</li>
<li>$x \equiv a_{k} \pmod{m_{k}}$</li>
</ul>
をすべて満たす $x$ が $m_{1} m_{2} \ldots m_{k}$ を法として一意に存在する」というのが中国人剰余定理です。<br>
<br>
$f(n) \pmod m$ を直接計算するのは難しい・大変である場合でも、$m = {p_1}^{e_1} {p_2}^{e_2} ... {p_k}^{e_k}$ と分解して
<ul>
<li>$ f(n) \equiv r_1 \pmod{{p_1}^{e_1}}$ </li>
<li>$ f(n) \equiv r_2 \pmod{{p_2}^{e_2}}$ </li>
<li>$ \ldots$ </li>
<li>$ f(n) \equiv r_k \pmod{{p_k}^{e_k}}$ </li>
</ul>
を計算できたのであればそれらから $f(n) \pmod m$ を計算することができます。<br>
<br>
上の問題でいうと ${}_n \mathrm{C} _k \pmod{2^{2}}$ と ${}_n \mathrm{C} _k \pmod{5}$ が計算できれば ${}_n \mathrm{C} _k \pmod{20}$ を計算できることになります。<br>
詳細は割愛しますが ${}_n \mathrm{C} _k \pmod{p^e}$ は前処理に $O(p^e)$ かけることで一回あたり $O(\log n)$ で計算することができます。
<h5 class="shadow">逆元を消してみる</h5>
<ul>
<li>$f(n, p) := n!$ のなかに素数 $p$ が何個含まれているか </li>
</ul>
上記を定義しておくと ${}_n \mathrm{C} _k \equiv 2^{f(n,2)-f(k,2)-f(n-k,2)} \times 3^{f(n,3)-f(k,3)-f(n-k,3)} \ldots \pmod{20}$ となります。<br>
こうすると逆元というやっかいな操作を気にする必要がなくなります。
<h5 class="shadow">逆元を使った小ネタ</h5>
いま $2^{32}$ と互いに素な $b < 2^{32}$ を考えてみます。 互いに素なので当然 $b^{-1} \pmod{2^{32}}$ が計算できます。<br>
ここで $2^{32}$ 未満の $b$ の倍数を考えてみると $0,\ b,\ 2b \ldots \lfloor \frac{2^{32}-1}{b} \rfloor b$ があります。これらに $b^{-1} \pmod{2^{32}}$ を掛け $2^{32}$ で余りを取ると $0, 1, 2 \ldots \lfloor \frac{2^{32}-1}{b} \rfloor$ になります。<br>
また $n \not\equiv m \pmod{2^{32}} \Rightarrow nb^{-1} \not\equiv mb^{-1} \pmod{2^{32}}$ であるので $2^{32}$未満で $b$ の倍数でないものに $b^{-1} \pmod{2^{32}}$ を掛け $2^{32}$ で余りを取ると $\lfloor \frac{2^{32}-1}{b} \rfloor$ より大きくなります。<br>
つまりこれを使うと掛け算のみで倍数判定を行うことができます。(C++のunsignedではオーバーフローすると0に巻き戻されるので余りを取るのと同じことになります。)<br>
<pre>
// 2^32未満で3の倍数かどうか判定する
bool is_3k(unsigned n){
return n * 2863311531u <= 1431655765u;
}
</pre>
<h5 class="shadow">離散対数問題</h5>
Pohlig–Hellman algorithmを用いて離散対数問題$a^x = b \bmod p^e$は$O(\sqrt{ep})$で解ける。
まず$a^x\equiv b\bmod p$をbaby-step giant-step(BSGS)で求める。
次に$\alpha:=\frac{a}{a\ \bmod\ p},\beta:=\frac{b}{b\ \bmod\ p}$として、$\alpha^x\equiv \beta\bmod p^e$を満たす$x$を求める。
$\alpha\equiv\beta\equiv1\bmod p$だから$g:=(1+p)$として$\alpha,\beta$は$g$を生成元とする位数$p^{e-1}$の巡回群の元。
従って、$\alpha,\beta$の$g$による表示を求められると、$\alpha^x\equiv \beta \bmod p^e$も解ける。
ここでは$\alpha,\beta$を$h$と置いて、$g^x\equiv h\bmod p^e$を解こう。
$h^{x_k},\beta$を$g$のべき乗で表したときのべき指数が$p$進数で$1$桁目から$k$桁目まで一致するとする。
すると、$hg^{-x_k}$はべき指数が$k$桁目まで打ち消されるので位数$p^{e-1-k}$以下になる。
つまり$(hg^{-x_k})^{p^{e-2-k}}$は位数$1$または$p$となり、$\gamma:=g^{p^{e-2}}$として$\langle \gamma \rangle$の元となる(なぜなら、$\gamma^p=1$より$\langle\gamma\rangle$の位数は$p$であるから)。
よって、$(hg^{-x_k})^{p^{e-2-k}}$の$\gamma$のべき乗による表示$\gamma^{d_k}=(hg^{-x_k})^{p^{e-2-k}}$がBSGSによって得られる。
$\gamma:=g^{p^{e-2}}$を戻して$p^{d_kp^k}=hg^{-x_k}$だから$x_{k+1}:=x_k+p^kd_k$となる。
通常のBSGSでは$x=u\sqrt{p}+v$として$0\leq u\leq [\sqrt p]$を探索するが、このアルゴリズムでは$\gamma$が$k$によらないことから$x=u\sqrt{ep}+v$とするとよい。テーブルの構築に$(\sqrt{ep})$かかるが、一回のBSGSの実行で見る$u$の範囲が$O(\sqrt{\frac{p}{e}})$となるため全体の計算量も$O(\sqrt{ep})$になる。
<h5 class="shadow">離散対数問題(2): index calculus algorithm</h5>
離散対数問題$a^x=b \bmod p$は平均$O(e^{(3/\sqrt{2}+o(1))\sqrt{\log{p}\log\log{p}}})$で解ける。
<br>
①小さい方から素数を$k$個列挙して$p_1,\ldots,p_k$と置く。
ランダムな数$h$について計算して、$p_1,\ldots,p_k$のみを素因数に持つ$(a^h \bmod p)$を探す($p_k$-smoothという)。<br>
②そのような$a^n=\sum_{i=1}^k p_i^{e_i} \bmod p$の指数部比較で
$$h=\sum_{i=1}^k e_i \log_{a} p_i \bmod (p-1)$$
を得る。$\mathrm{ord}(a)|(p-1)$であるから$\mod p-1$を取っている。
ここで、$\log_{a}p_1,\ldots,\log_{a}p_k$は未知数である。<br>
③同じような方程式を$4k$個用意する。<br>
③そのうち$k$個が線形独立なら連立してガウスの消去法で$\log_{a}p_1,\ldots,\log_{a}p_k$について解ける。
高確率で線形独立になるらしい(証明求む)。$p-1$は合成数だから逆元が存在せずガウスの消去法ができない場合がある。
その場合$\gcd$を取って互いに素なmodとの計算から中国剰余定理で再構成すればよい。<br>
④ランダムな数$g$について計算して$p_k$-smoothな$a^gb = \sum_{i=1}^k p_i^{f_i} \bmod p$を探す。この時、指数部比較で
$$g+\log_b{a}=\sum_{i=1}^k f_i \log_{a}p_i \bmod (p-1)$$
を得る。未知変数は$\log_b{a}$のみである。よって、$a^x=b \bmod p$の解である$\log_a{b}$について解くことができる。
<br>
*計算量解析
<br>
ランダムな数$h$について$a^h \bmod p$が$p_k$-smoothになる確率を見積ろう。$φ(p_k):=$「$p_k$-smoothな数の個数」とする。
素数定理から$k \approx p_k/\log{p_k}$である。$u:=[\log_{p_k} p]$とする。
$\prod p_i^{e_i}$ について $\sum e_i \leq u $ならば $p_k$-smoothである。このような数は$\binom{u+k}{k}$個なので
\begin{align}
φ(p_k)&\geq \binom{u+k}{k}\\
&\geq (k/u)^u \\
&\approx (p_k/(u \log{p_k}))^u\\
&\approx p (u \log{p_k}))^{-u}\\
&\end{align}
なのでおよそ、$φ(p_k)/p \approx u^{-u+o(1)}$である。
従って$4k$個の$p_k$-smoothな数を見つけるのに
平均$O(k^2 u^u)$かかる。ガウスの消去法には$O(k^3)$かかる。
$k^2 u^u + k^3 $が最小になる$k\approx \sqrt{\frac{2\log{p}}{\log{\log{p}}}}$を取ってくると良いらしいですが示し方が分かりませんでした(加筆求む)。
<br>
*問題演習<br>
<a href="https://t.co/xN0jJJ6Wco?amp=1">LOJ:6542</a>: ($p < 3 \times 10^{18}$)<br>
<br>
*参考文献<br>
<a href="https://www.csa.iisc.ac.in/~chandan/courses/CNT/notes/lec21.pdf">https://www.csa.iisc.ac.in/~chandan/courses/CNT/notes/lec21.pdf</a>