Faktorisierung mit dem quadratischen Sieb

Zusammenfassung

Die Quadratwurzel einer ganzen Zahl a modulo einer Primzahl p ist, falls sie überhaupt existiert, modulo p bis aufs Vorzeichen eindeutig bestimmt, da im Körper 𝔽 _p das Polynom X² − a höchstens zwei Nullstellen hat. Das gilt nicht mehr für Quadratwurzeln modulo einer zusammengesetzten Zahl N. Sei etwa N = pq das Produkt zweier verschiedener Primzahlen p und q. Dann ist ℤ/N nach dem chinesischen Restsatz zum Produkt ℤ/p × ℤ/q isomorph. Ein Element a mod N entspricht bei diesem Isomorphismus einem Paar (a ₁, a ₂) von Elementen a ₁ ∈ ℤ/p und a ₂ ∈ ℤ/q. Existieren nun Elemente b ¹ ∈ ℤ/p und b ₂ ∈ ℤ/q mit b ² _i = a _i , so sind (±b ₁,±b ₂) Quadratwurzeln von (a ₁, a ₂), es kann also bis zu vier Quadratwurzeln von a mod N geben. Wenn die Faktorzerlegung von N nicht gegeben ist, aber zwei Zahlen x, y bekannt sind mit x ² ≡ y ² ≡ a mod N und x ≢ ±y mod N,

so kann man daraus eine Zerlegung von N konstruieren, denn aus x ² ≡ y ² folgt (x + y)(x − y) ≡ 0 mod N. Da nach Voraussetzung N keinen der Faktoren teilt, erhält man mit gcd(x+y,N) einen nicht-trivialen Teiler von N. Dies ist die Grundlage für verschiedene Faktorisierungs-Verfahren. Das einfachste und älteste stammt von Fermat, ist aber nur für kleine Zahlen brauchbar. Ein modernes, leistungsfähiges (aber aufwändiges) Verfahren ist das Quadratische Sieb, in dem durch Siebung mit quadratischen Polynomen und Lösung großer linearer Gleichungssyteme über dem Körper 𝔽₂ Kongruenzen x ² ≡ y ² mod N erzeugt werden.