蒙哥马利算法

空白的贝塔

发布于 2020-06-24 16:34:58

1.7K0

发布于 2020-06-24 16:34:58

文章被收录于专栏：摸鱼范式摸鱼范式摸鱼范式

这篇文章为大家梳理一下整个蒙哥马利算法的本质，蒙哥马利算法并不是一个独立的算法，而是三个相互独立又相互联系的算法集合，其中包括

蒙哥马利乘模，是用来计算
蒙哥马利约减，是用来计算
蒙哥马利幂模，是用来计算

其中蒙哥马利幂乘是RSA加密算法的核心部分。

基本概念

正整数
最大长度是

但是这并不是一个好的解决方案，因为通常来说，我们不会直接做w位乘w位的操作，这个后面会用蒙哥马利的乘法来代替解决。

对于取模操作，一般有以下几种方法

蒙哥马利预备知识

在将蒙哥马利算法之前，先看一下在自然数下的乘法公式

计算，想象一下我们常用的计算乘法的方法，用乘数的每一位乘上被乘数，然后把得到的结果相加，总结成公式，可以写成如下的形式。

x\cdot y=x\cdot sum_{i=0}^{l_y-1}y_i \cdot b^i\\ \qquad=sum_{i=0}^{l_y-1}y_i \cdot x \cdot b^i

尝试下面一个例子，10进制下（也就是b=10），y=456（也就是），计算，公式可演变如下：

x\cdot y=(y_{0}\cdot x\cdot 10^{0})+(y_{1}\cdot x\cdot 10^{1})+(y_{2}\cdot x\cdot 10^{2})\\ \qquad=(y_{0}\cdot x\cdot 0)+(y_{1}\cdot x\cdot 10)+(y_{2}\cdot x\cdot 100)\\ \qquad=(y_{0}\cdot x)+10\cdot(y_{1}\cdot x+10\cdot(y_{2}\cdot x\cdot +10\cdot(0)))

最后一次演变其实就是用霍纳法则(Horner’s rule)所讲的规则，关于霍纳法则，可以自行百度。

这个计算过程写成代码实现的算法应该是这样的：

接下来我们来看下面这样的计算，计算(x⋅y)/1000(x⋅y)/1000，由前面可以知道

x\cdot y=(y_{0}\cdot x)+10\cdot(y_{1}\cdot x+10\cdot(y_{2}\cdot x\cdot +10\cdot(0)))

由此可以知道：

\frac{x\cdot y}{1000}=\frac{(y_{0}\cdot x\cdot 10^{0})+(y_{1}\cdot x\cdot 10^{1})+(y_{2}\cdot x\cdot 10^{2})}{1000}\\ \qquad=\frac{(y_{0}\cdot x\cdot 0)+(y_{1}\cdot x\cdot 10)+(y_{2}\cdot x\cdot 100)}{1000}\\ \qquad=\frac{(y_{0}\cdot x)}{1000}+\frac{(y_{1}\cdot x)}{100}+\frac{(y_{2}\cdot x)}{10}\\ \qquad=(((((y_0\cdot x)/10)+y_1\cdot x)/10)+y_2\cdot x)/10

这个计算过程写成代码实现的算法是这样的：

接下来我们再来看在剩余类集合下的乘法操作

我们知道剩余类集合，是不存在小数的，而如果我们采用自然数集的计算方式的话，就会出现小数，比如前面的例子，除10就会有小数。

这个问题是这样的，我们知道（≡表示取模相等），所以我们可以选择一个合适的u，用u乘667再加上r，使得和是一个可以除10没有小数，这样在mod 667之后依然是正确的结果。至于u怎么算出来，这篇文章会在后面的章节说明。

这个过程之后的计算算法可以写成如下的形式

至此，你可能还不明白上面说这一堆演变的原因，其实很简单，原来是一个的运算，这个运算中的模操作，正常情况下是要通过除法实现的，而除法是一个特别复杂的运算，要涉及到很多乘法，所以在大数运算时，我们要尽量避免除法的出现。而通过以上几个步骤，我们发现这个操作是不用除法的。等等，算法中明明有个除10的操作，你骗谁呢。不知道你有没有发现，除数其实是我们的进制数，除进制数在计算机中是怎么做呢，其实很简单，左移操作就ok了。所以这个计算方法是不涉及到除法操作的。

但是我们要计算的明明是，怎么现在变成了，所以在下一步，我们要思考的是怎么样让转变成这种形式。

考虑这样两个算法

第一个是输入x和y，计算
第二个算法，输入一个t，计算。

x\cdot y\ (mod\ 667)=((x\cdot1000)\cdot(y\cdot1000)/1000)/1000\ (mod\ 667)

是不是变成了我们需要的模式，而且这个转变过程是不是可以通过上面两个算法来实现，输入值如果是和，则通过第一个算法可以得到，把结果作为第二个算法的输入值，则通过第二个算法可以得到。

扯了一大顿，终于引出了今天文章的主角，前面讲到的两个算法，第一个就是蒙哥马利乘模，第二个就是蒙哥马利约减。下面我们来讲这两个算法的详解。

正如前面提到的蒙哥马利算法的三个特性之一是，不是基于普通的整数表示法，而是基于蒙哥马利表示法。什么是蒙哥马利表示法呢，其实也很简单，上面我们提到，要让转变成这种形式，我们需要将输入参数变成和，而不是x和y本身，而其实就是蒙哥马利表示法。

所以我们先定义几个概念：

蒙哥马利参数给定一个N，N在b进制（例如，二进制时，b=2）下共有l位，，先预计算以下几个值(这就是前面提到的特性之一，需要预计算）：
指定一个最小的k，使得这两个参数是做什么用的呢，你对照前面的演变过程可以猜到就是前面演变中的1000，而则是用来计算前面提到的u的。
蒙哥马利表示法对于x，，x的蒙哥马利表示法表示为

蒙哥马利约减

蒙哥马利约减的定义如下

给定一整数t，蒙哥马利约减的计算结果是

蒙哥马利约减的算法可表示为

蒙哥马利约减可以算作是下面要说的蒙哥马利模乘当时的一种特殊形式，。同时它又是蒙哥马利乘模要用到的一部分，这在下一部分讲蒙哥马利乘模的时候有讲到。

蒙哥马利约减可以用来计算某个值得取模操作，比如我们要计算，只需要将m的蒙哥马利表示法作为参数，带入蒙哥马利约减，则计算结果就。

蒙哥马利乘模

一个蒙哥马利乘模包括整数乘法和蒙哥马利约减，现在我们有蒙哥马利表示法：

\hat{x}=x\cdot\rho\ (mod\ N)\\ \hat{y}=y\cdot\rho\ (mod\ N)

它们相乘的结果是

t=\hat{x}\cdot\hat{y}\\ \ =(x\cdot\rho)\cdot(y\cdot\rho)\\ \ =(x\cdot y)\cdot\rho^2

最后，用一次蒙哥马利约减得到结果

\hat{t}=(x \cdot y) \cdot \rho\ (mod\ N)

上面我们可以看出，给出的输入参数是和，得到的结果是，所以蒙哥马利乘法也可以写成如下形式，已知输入参数x和y，蒙哥马利乘法是计算

举个例子：

b=10，也就是说在10进制下，N=667

让的最小的k是3，所以

因为，所以

所以计算和蒙哥马利乘结果是

\hat{x}\cdot\hat{y}\cdot\rho^{-1}=(421\cdot1000\cdot422\cdot1000)\cdot1000^{-1}\ (mod\ 667)\\ \qquad\qquad=(421\cdot422)\cdot1000\ (mod\ 667)\\ \qquad\qquad=(240)\cdot1000\ (mod\ 667)\\ \qquad\qquad=547\ (mod\ 667)

然后总结一下蒙哥马利约减和蒙哥马利乘法的伪代码实现，这个算法其实就是从蒙哥马利预备知识讲到的算法演变来的。

上面的例子用这个算法可以描述为

蒙哥马利算法是一套很完美的算法，为什么这么说呢，你看一开始已知，我们要求，这个过程可以通过蒙哥马利乘法本身来计算，输入参数和，计算结果就是。然后在最后，我们知道，要求得的时候，同样可以通过蒙哥马利算法本身计算，输入参数和，计算结果就是。有没有一种因就是果，果就是因的感觉，这就是为什么说蒙哥马利算法是一套很完美的算法。

蒙哥马利幂模

最后，才说到我们最开始提到的RSA的核心幂模运算，先来看一下普通幂运算的算法是怎么得出来的。

以下资料来自于百度百科针对快速模幂运算这一课题，西方现代数学家提出了大量的解决方案，通常都是先将幂模运算转化为乘模运算。例如求D=C^15%N 由于：ab % n = (a % n)(b % n) % n 所以令： C1 =C*C % N =C^2 % N C2 =C1*C % N =C^3 % N C3 =C2*C2 % N =C^6 % N C4 =C3*C % N =C^7 % N C5 =C4*C4 % N =C^14 % N C6 =C5*C % N =C^15 % N 即：对于E=15的幂模运算可分解为6 个乘模运算，归纳分析以上方法可以发现：对于任意指数E，都可采用以下算法计算D=C**E % N： D=1 WHILE E>0 IF E%2=0 C=C*C % N E=E/2 ELSE D=D*C % N E=E-1 RETURN D 继续分析会发现，要知道E 何时能整除 2，并不需要反复进行减一或除二的操作，只需验证E 的二进制各位是0 还是1 就可以了，从左至右或从右至左验证都可以，从左至右会更简洁，设E=Sum[i=0 to n](E*2**i)，0<=E<=1 则： D=1 FOR i=n TO 0 D=D*D % N IF E=1 D=D*C % N RETURN D 这样，模幂运算就转化成了一系列的模乘运算。

算法可以写成如下的形式

如果我们现在用蒙哥马利样式稍作改变，就可以变成如下的形式：

以上就是蒙哥马利算法的全部，通过蒙哥马利算法中的约减运算，我们将大数运算中的模运算变成了移位操作，极大地提高了大数模乘的效率。

但是在以上的算法，可以发现还有两个变量的计算方式不是很清楚，一个是，前面说过，其实在算法中，我们看到，仅仅被用来做操作，所以事实上，我们只需要计算即可。

尽管N有可能是合数（因为两个素数的乘积不一定是素数），但通常N和（也就是N和b）是互质的，也就是说(费马定理)，,因为，所以，写成算法是这样的

还有一个参数是，还记得前面说过是怎么得出来吗，选定一个最小的，使得，我们还知道在进制下是位，所以当的时候肯定是符合要求。

所以

，算法如下

至此整个蒙哥马利算法就全部说完了。通过这个算法，我们可以实现快速幂模。

本文参与腾讯云自媒体分享计划，分享自微信公众号。

原始发表：2020-05-25，如有侵权请联系 cloudcommunity@tencent.com 删除

编程算法

本文分享自摸鱼范式微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

编程算法

登录后参与评论

0 条评论

热度