Algorithme de Tonelli-Shanks

L'algorithme de Tonelli-Shanks (que Shanks appelle algorithme RESSOL) est un algorithme utilisé en arithmétique modulaire pour résoudre une congruence de la forme $x^{2}\equiv n{\bmod {p}}$ où $p$ est un nombre premier impair, $n$ est un entier donné et $x$ est un entier inconnu, c'est-à-dire pour trouver une racine carrée de $n$ modulo $p$ .

La méthode de Tonelli-Shanks ne fonctionne pas pour les modules composés : trouver des racines carrées modulo un produit de nombres premiers différents est un problème de calcul équivalent à la factorisation des entiers^[1].

Une version de cet algorithme, légèrement redondante, a été développée par Alberto Tonelli^[2]^,^[3] en 1891. La version présentée ici a été introduite indépendamment par Daniel Shanks en 1973, qui a expliqué :

« Si j'ai mis si longtemps pour découvrir ces références historiques, c'est parce que j'avais prêté le volume 1 de l'Histoire (en) de Dickson à un ami et qu'il ne m'a jamais été rendu^[4]. »

D'après Dickson^[3], l'algorithme de Tonelli permet de calculer des racines carrées modulo une puissance quelconque d'un nombre premier.

Principe de l'algorithme

Soit $p$ un nombre premier impair. On convient d'écrire des égalités à la place de congruences modulo $p$ .

Étant donné un entier non nul $n$ , le critère d'Euler exprime que $n$ a une racine carrée modulo $p$ (c'est-à-dire, $n$ est un résidu quadratique) si et seulement si

n^{\frac {p-1}{2}}=1{\bmod {p}}

.

À l'opposé, un nombre $z$ n'a pas de racine carrée (n'est pas un résidu) si et seulement si

z^{\frac {p-1}{2}}=-1{\bmod {p}}

.

Il n'est pas difficile de trouver de tels $z$ , parce que la moitié des entiers compris entre 1 et $p-1$ n'ont pas de racine. Supposons donc savoir calculer un tel $z$ qui n'a pas de racine.

En divisant par $2$ de manière répétée, on écrit $p-1$ sous la forme $Q2^{S}$ , où $Q$ est impair. En posant

R=n^{\frac {Q+1}{2}}{\bmod {p}}

,

on a alors

R^{2}=n^{Q+1}=n\cdot n^{Q}{\bmod {p}}

.

Soit $t=n^{Q}{\bmod {p}}$ . Si jamais on a $t=1{\bmod {p}}$ , alors $R$ est une racine carrée de $n$ . Sinon, en posant $M=S$ , on dispose de $R$ et $t$ tels que

$R^{2}\equiv nt{\bmod {p}}$ et
$t$ est une racine $2^{M-1}$ -ième de $1$ (car $t^{2^{M-1}}=t^{2^{S-1}}=n^{Q2^{S-1}}=n^{(p-1)/2}$ ).

Si, disposant de $R$ et $t$ pour un $M$ donné, qui satisfont aux conditions précédentes (où $R$ n'est pas une racine carrée de $n$ ), on va trouver d'autres $R$ et $t$ qui conviennent pour $M-1$ , et recommencer jusqu'à ce que $t$ devienne une racine $2^{0}$ -ième de $1$ , i.e., $t=1$ . À ce stade, $R$ est une racine carrée de $n$ .

Pour ce faire, on peut tester si $t$ est une racine $2^{M-2}$ -ième de l'unité en l'élevant $M-2$ fois au carré et en regardant si on trouve 1. Si tel est le cas, il n'y a rien à faire, puisque ces choix de $R$ et $t$ fonctionnent. Sinon, c'est que $t^{2^{M-2}}$ vaut $-1$ (puisque son carré vaut 1 et qu'il n'y a que deux racines carrées de 1 modulo $p$ ).

Pour trouver de nouveaux $R$ et $t$ , on cherche à multiplier $R$ par un facteur $b$ à déterminer. Alors $t$ doit être multiplié par le facteur $b^{2}$ pour assurer que $R^{2}=nt$ . Ainsi, quand $t^{2^{M-2}}=-1$ , on cherche un facteur $b^{2}$ tel que $tb^{2}$ est une racine $2^{M-2}$ -ième de 1 ou, ce qui revient au même, $b^{2}$ est lui-même une racine $2^{M-2}$ -ième de $-1$ .

L'astuce consiste à utiliser $z$ , dont on sait qu'il n'a pas de racine carrée. Le critère d'Euler montre que $z^{Q}$ est une racine $2^{S-1}$ -ième de $-1$ (car $(z^{Q})^{2^{S-1}}=z^{Q2^{S-1}}=z^{(p-1)/2}=-1$ ). En élevant $z^{Q}$ au carré de façon répétée, on obtient une suite de racines $2^{i}$ -èmes de $-1$ . On en choisit une pour servir de $b$ . Avec un peu de soin sur le traitement des variables et une intégration des cas triviaux, on aboutit à l'algorithme suivant.

L'algorithme

Dans la suite, les opérations et comparaisons portant sur les éléments se déroulent toutes dans le corps $\mathbf {F} _{p}=\mathbf {Z} /p\mathbf {Z}$ des entiers modulo $p$ .

Entrée :

$p$ un nombre premier impair ;
$n$ , un élément de $\mathbf {F} _{p}$ pour lequel l'équation $x^{2}=n$ admet des solutions ; on dit alors que $n$ est un résidu quadratique modulo $p$ .

Sortie :

$r$ dans $\mathbf {F} _{p}$ tel que $r^{2}=n$ .

Algorithme :

En divisant de façon répétée par 2, trouver Q et S tels que $p-1=Q2^{S}$ et $Q$ est impair.
Rechercher un élément $z$ $z$ dans $\mathbf {F} _{p}$ $\mathbf {F} _{p}$ qui n'est pas un résidu quadratique :
- on tire $z$ au hasard et on teste ce candidat à l'aide du critère d'Euler ou en calculant le symbole de Jacobi ;
- comme la moitié des éléments de $\mathbf {F} _{p}^{\times }$ ne sont pas des résidus quadratiques, on s'attend à faire deux essais en moyenne.
Initialisation :
${\begin{aligned}M&\leftarrow S\\c&\leftarrow z^{Q}\\t&\leftarrow n^{Q}\\R&\leftarrow n^{\frac {Q+1}{2}}.\end{aligned}}$
Boucle :
- si $t=0$ , renvoyer $r=0$ ;
- si $t=1$ , renvoyer $r=R$ ;
- sinon, élever au carré de manière répétée pour trouver le plus petit $i$ compris entre $1$ et $M-1$ tel que $t^{2^{i}}=1$ ;
- poser $b\leftarrow c^{2^{M-i-1}}$ , puis
  ${\begin{aligned}M&\leftarrow i\\c&\leftarrow b^{2}\\t&\leftarrow tb^{2}\\R&\leftarrow Rb.\end{aligned}}$

Quand on a une solution $r$ , l'autre est $-r$ . Si le plus petit exposant $i$ tel que $t^{2^{i}}=1$ vaut $M$ , alors il n'existe aucune solution à la congruence, c'est-à-dire que n n'est pas un résidu quadratique.

L'algorithme est particulièrement utile lorsque $p\equiv 1{\bmod {4}}$ (notamment pour trouver des racines carrées de $-1$ ). En effet, pour les nombres premiers tels que $p\equiv 3{\bmod {4}}$ , les racines carrées de $n$ , si elles existent, sont $\pm n^{(p+1)/4}{\bmod {p}}$ . Dans ce cas, il est plus efficace de calculer l'une de ces deux valeurs, disons $r=n^{(p+1)/4}$ , et de vérifier si $r^{2}=n$ . Si c'est le cas, $r$ et $-r$ sont les seules solutions. Sinon, $r^{2}=-n$ et $n$ n'est pas un résidu quadratique, c'est-à-dire qu'il n'y a pas de solutions.

Validité de l'algorithme

On démontre qu'au début de chaque passage dans la boucle, on a les invariants de boucle suivants :

$c^{2^{M-1}}=-1$ ;
$t^{2^{M-1}}=1$ ;
$R^{2}=tn$ .

En effet, au premier passage, on a :

$c^{2^{M-1}}=z^{Q2^{S-1}}=z^{\frac {p-1}{2}}=-1$ (puisque $z$ n'est pas un résidu quadratique) ;
$t^{2^{M-1}}=n^{Q2^{S-1}}=n^{\frac {p-1}{2}}=1$ (puisque $n$ est un résidu quadratique) ;
$R^{2}=n^{Q+1}=tn$ .

À chaque itération, en notant $M',c',t',R'$ les nouvelles valeurs des variables $M,c,t,R$ , on a :

$c'^{2^{M'-1}}=(b^{2})^{2^{i-1}}=c^{2^{M-i}2^{i-1}}=c^{2^{M-1}}=-1$ ;
$t'^{2^{M'-1}}=(tb^{2})^{2^{i-1}}=t^{2^{i-1}}b^{2^{i}}=(-1)\times (-1)=1$ $t'^{2^{M'-1}}=(tb^{2})^{2^{i-1}}=t^{2^{i-1}}b^{2^{i}}=(-1)\times (-1)=1$ car :
- $t^{2^{i-1}}=-1$ puisque $t^{2^{i}}=1$ but $t^{2^{i-1}}\neq 1$ ( $i$ est la plus petite valeur pour laquelle $t^{2^{i}}=1$ ) ;
- $b^{2^{i}}=c^{2^{M-i-1}2^{i}}=c^{2^{M-1}}=-1$ ;
$R'^{2}=R^{2}b^{2}=tnb^{2}=t'n$ .

Du fait que $t^{2^{M-1}}=1$ et que l'on teste si $t=1$ au début de la boucle, on peut toujours trouve un $i\in \{1,\dots ,M-1\}$ tel que $t^{2^{i}}=1$ . À chaque itération, la valeur de $M$ décroît strictement, ce qui assure que l'algorithme s'arrête. Lorsque la condition $t=1$ est remplie et que l'algorithme s'arrête, le dernier invariant de boucle implique que $R^{2}=n$ .

Ordre de $t$

On peut exprimer les invariants de boucle avec la notion d'ordre des éléments :

$\operatorname {ord} (c)=2^{M}$ ;
$\operatorname {ord} (t)|2^{M-1}$ ;
$R^{2}=tn$ comme ci-dessus.

À chaque étape, l'algorithme fait passer $t$ dans un sous-groupe strictement plus petit en déterminant l'ordre exact de t avant de le multiplier par un élément du même ordre.

Exemple

Résolvons l'équation $r^{2}=5{\bmod {4}}1$ . On sait que $41$ est premier et congru à 1 modulo 4. D'après le critère d'Euler, $5^{\frac {41-1}{2}}=5^{20}=1$ donc $5$ est bien un résidu quadratique. (Comme avant, les opérations sont implicitement modulo $41$ ).

On écrit $p-1=40=5\cdot 2^{3}$ d'où $Q\leftarrow 5$ , $S\leftarrow 3$ .
Recherche d'une valeur de $z$ $z$ :
- $2^{\frac {41-1}{2}}=1$ donc $2$ est un résidu quadratique ;
- $3^{\frac {41-1}{2}}=40=-1$ donc 3 n'est pas un résidu quadratique : on pose $z\leftarrow 3$ .
On pose :
- $M\leftarrow S=3$ ;
- $c\leftarrow z^{Q}=3^{5}=38$ ;
- $t\leftarrow n^{Q}=5^{5}=9$ ;
- $R\leftarrow n^{\frac {Q+1}{2}}=5^{\frac {5+1}{2}}=2$ .
Boucle :
- première itération :
  - $t\neq 1$ donc ce n'est pas fini ;
  - $t^{2^{1}}=40$ , $t^{2^{2}}=1$ donc $i\leftarrow 2$ ;
  - $b\leftarrow c^{2^{M-i-1}}=38^{2^{3-2-1}}=38$ ;
  - $M\leftarrow i=2$ ;
  - $c\leftarrow b^{2}=38^{2}=9$ ;
  - $t\leftarrow tb^{2}=9\cdot 9=40$ ;
  - $R\leftarrow Rb=2\cdot 38=35$ ;
- deuxième itération :
  - $t\neq 1$ donc ce n'est toujours pas fini ;
  - $t^{2^{1}}=1$ donc $i\leftarrow 1$ ;
  - $b\leftarrow c^{2^{M-i-1}}=9^{2^{2-1-1}}=9$ ;
  - $M\leftarrow i=1$ ;
  - $c\leftarrow b^{2}=9^{2}=40$ ;
  - $t\leftarrow tb^{2}=40\cdot 40=1$ ;
  - $R\leftarrow Rb=35\cdot 9=28$ ;
- troisième itération :
  - $t=1$ donc c'est fini : renvoyer $r=R=28$ .

En effet, on a bien $28^{2}=5{\bmod {4}}1$ . L'algorithme fournit donc les deux solutions de notre congruence, $28$ et $-28=13$ .

Nombre d'opérations

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

Utilisations

L'algorithme de Tonelli-Shanks peut naturellement être utilisé pour tout processus nécessitant le calcul de racine carrée modulo un nombre premier. Par exemple, il permet de déterminer des points sur des courbes elliptiques. Il est également utile pour les calculs de l'algorithme de signature de Rabin (en) et pour l'étape de criblage dans le crible quadratique.

De façon plus anecdotique, pour un nombre premier $p\equiv 1{\bmod {4}}$ , il peut être utilisé pour déterminer $a$ et $b$ tels que $p=a^{2}+b^{2}$ .

Généralisations

La méthode de Tonelli-Shanks peut être étendue à n'importe quel groupe cyclique (à la place de $(\mathbb {Z} /p\mathbb {Z} )^{\times }$ ) et à la recherche de racines $k$ -ièmes pour tout entier $k$ , en particulier pour le calcul d'une racine $k$ -ième d'un élément d'un corps fini^[5].

S'il est nécessaire de calculer un grand nombre de racines carrées dans le même groupe cyclique et que S n'est pas trop grand, il est pertinent de préparer un tableau des racines carrées des éléments d'ordre 2 à l'avance, ce qui conduit à l'algorithme simplifié et accéléré suivant :

Diviser par 2 de façon répétée pour calculer $Q$ et $S$ tels que $p-1=Q2^{S}$ et $Q$ est impair.
Poser $R\leftarrow n^{\frac {Q+1}{2}}$ et $t\leftarrow n^{Q}\equiv R^{2}/n$ .
Trouver $b$ dans la table tel que $b^{2}=t$ et poser $R=R/b$ .
Renvoyer $R$ .

Algorithme de Tonelli modulo $p^{\lambda }$

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

On lit dans le livre History of the theory of numbers de Leonard Eugene Dickson^[3] :

A. Tonelli^[6] a donné une formule explicite pour les racines de $x^{2}\equiv c\!\!\!{\pmod {p^{\lambda }}}$ , lorsque $p$ est un nombre premier impair et qu'un non-résidu quadratique $g$ de $p$ est connu.

Dickson donne des indications mais elles sont désagréables à suivre. Cependant, la référence de Dickson^[3] montre clairement que l'algorithme de Tonelli fonctionne aussi bien modulo $p^{\lambda }$ que modulo $p$ .

Notes et références

Bibliographie

Ivan Niven, Herbert S. Zuckerman et Hugh L. Montgomery, An Introduction to the Theory of Numbers, Wiley, 1991 (ISBN 0-471-62546-9, lire en ligne ), p. 110-115
Daniel Shanks, « Five number-theoretic algorithms », dans R. S. D. Thomas et H. C. Williams, Proceedings of the Second Manitoba Conference on Numerical Mathematics, October 5-7, 1972, Utilitas Mathematica Pub., coll. « Congressus Numerantium » (n^o VII), 1973, vi + 468 p. (MR 0371855), p. 51-70
Alberto Tonelli, « Bemerkung über die Auflösung quadratischer Congruenzen », Nachrichten von der Königlichen Gesellschaft der Wissenschaften und der Georg-Augusts-Universität zu Göttingen, n^os 1-11,‎ 1891, p. 344-346 (lire en ligne)
Alberto Tonelli, « Sulla risoluzione della congruenza $x^{2}\equiv c\ (\mathrm {mod} \ p^{\lambda })$ », Rendiconti dell'Accademia Nazionale dei Lincei, 5^e série, vol. 1,‎ 1892, p. 116-120 (lire en ligne)
Gagan Tara Nanda, « Mathematics 115 - The RESSOL Algorithm », sur ocf.berkeley.edu, 24 octobre 2003 (version du 16 septembre 2006 sur Internet Archive)
Gonzalo Tornaría, « Square roots modulo p », dans LATIN 2002: Theoretical informatics, Springer, coll. « Lecture Notes in Computer Science » (n^o 2286), 2002, xiii + 630 p. (ISBN 978-3-540-43400-9, DOI 10.1007/3-540-45995-2_38, lire en ligne), p. 430-434

Algorithme de Tonelli-Shanks

Principe de l'algorithme

L'algorithme

Validité de l'algorithme

Ordre de $t$

Exemple

Nombre d'opérations

Utilisations

Généralisations

Algorithme de Tonelli modulo $p^{\lambda }$

Notes et références

Bibliographie

Articles connexes

Related Articles

Ordre de t {\displaystyle t}

Algorithme de Tonelli modulo p λ {\displaystyle p^{\lambda }}

Related Articles

Ordre de $t$

Algorithme de Tonelli modulo $p^{\lambda }$