[Résolu] Polynôme irréductible sur un corps fini • Forum • Zeste de Savoir

g2i, lundi 28 octobre 2019 à 13h20

Bonjour à tous !

J’aimerais implémenter un algorithme en Python dans lequel je dois travailler avec des éléments de $\mathbb{F}_{p^k}$ . Le problème, c’est qu’après avoir codé les classes pour travailler avec des polynômes modulo d’autres polynômes, je me suis rendu compte qu’il me manquait le modulo avec lequel travailler

Pour $\mathbb{F}_{2^k}$ , on prend $X^k + X + 1$ et tout va bien. Mais quid du cas général ? Si je veux travailler avec $\mathbb{F}_{p^k}$ avec $p$ relativement grand ? Y a-t-il un algorithme pour cela, ou faut-il faire une bruteforce sur les coefficients des polynômes de degré $k$ dans $\mathbb{F}_{p}$  ?

Merci d’avance !

28/10/19 à 13h20

+0 -0

Lucas-84, lundi 28 octobre 2019 à 21h40
Modifié

Approche simple : prendre un polynôme de degré $k$ au hasard et regarder s’il est irréductible, répéter tant que ça marche pas

C’est pas très dur de montrer que la proba de tomber sur un polynôme irréductible est $\ge 1/2k$ , et y a des tests d’irréductibilité dans $\mathbf{F}_p$ assez simples à coder. Par exemple, $P\in \mathbf{F}_p[X]$ de degré $k$ est irréductible ssi. $P\mid X^{p^k}-x$ et pour tout $q$ premier divisant $k$ , $\text{pgcd}(P,X^{p^{k/q}})=1$ (théorème dû à Rabin, cf. la page Wikipedia sur la factorisation des polynômes sur des corps finis). Si on utilise que des algos naïfs, en $O(k^4)$ t’as une probabilité constante de trouver un polynôme irréductible, mais avec une FFT tu peux déjà avoir du $O(k^3\log k)$ assez simplement (sans compter les facteurs polylogs en $q$ ).

Après évidemment c’est un problème assez étudié dans la littérature, par exemple cet article semble être ce qui se fait de plus moderne et donne du $k^{1+o_k(1)}(\log q)^{5+o_q(1)}$ randomisé. Visiblement la question déterministe est également assez intéressante, cf. ce vieux papier d’Adleman et Lenstra qui donne du $(k \log q)^{O(1)}$ sous l’hypothèse de Riemann généralisée.

Note qu’on obtient pas forcément un polynôme primitif avec cette méthode, ce qui j’imagine peut être embêtant pour implémenter les opérations sur le corps (t’as pas forcément accès à une représentation "multiplicative").

28/10/19 à 21h40
Modifié

+1 -0

g2i, mardi 29 octobre 2019 à 02h19

Merci pour les liens, je vais regarder ça ! Une probabilité de $\frac{1}{2\,k}$ est en théorie suffisante pour moi pour l’instant, mais je vais jeter un coup d’œil au papier de J.M. COUVEIGNES et R. LERCIER, qui s’il tient ses promesses a l’air très intéressant

Note qu’on obtient pas forcément un polynôme primitif avec cette méthode, ce qui j’imagine peut être embêtant pour implémenter les opérations sur le corps (t’as pas forcément accès à une représentation "multiplicative").

Lucas-84

Damned, je n’avais pas cette information Je ne comprends pas pourquoi néanmoins. Un corps fini est entièrement caractérisé par son cardinal de ce que je comprends. Plus exactement, tous les corps de cardinaux $p^k$ sont isomorphes entre eux. Dans ce cas, puisque $\mathbf{F}_p[X]_{/P}$ est un corps de cardinal $p^k$ pour $P$ un polynôme irréductible de $\mathbf{F}_p$ de degré $k$ , pourquoi ne puis-je y implémenter la multiplication de manière "naturelle" (c’est-à-dire en définissant le produit de deux polynômes modulo $P$ comme étant le produit de ces deux polynômes dans $\mathbf{F}_p$ pris modulo $P$ ) et tout de même l’identifier à $\mathbf{F}_{p^k}$  ?

29/10/19 à 02h19

+0 -0

c_pages, mardi 29 octobre 2019 à 09h06

Si, tu peux faire ça et c’est d’ailleurs comme ça que l’on construit la multiplication. Je suis assez rouillé en informatique, mais j’imagine que ça peut poser des problèmes si tu as plusieurs constructions de $\mathbf F_{p^k}$ , une du type $\mathbf F_{p^k} \sim \mathbf F_p[X]/P$ et une du type $\mathbf F_{p^k} \sim \mathbf F_p[X]/Q$ avec $P, Q$ irréductibles de degré $k$ sur $\mathbf F_p$ , il ne me semble pas évident d’exhiber un isomorphisme entre tes deux constructions.

Tu as donc intérêt à avec une construction unique que tu utilises tout le long de ton programme.

29/10/19 à 09h06

https://piaille.fr/@cpages | https://blog.cpages.org/ | Peut-on compter les nombres ?

+0 -0

g2i, mardi 29 octobre 2019 à 11h57

Si je me limite au premier polynôme trouvé et que je me tiens à cette convention, tout ira bien pour les deux lois donc ?

29/10/19 à 11h57

+0 -0

c_pages, mardi 29 octobre 2019 à 12h08

Oui, parce que la multiplication de classes modulo $P$ dans $\mathbf F_p[X]$ est un morphisme multiplicatif.

29/10/19 à 12h08

https://piaille.fr/@cpages | https://blog.cpages.org/ | Peut-on compter les nombres ?

+0 -0

g2i, mardi 29 octobre 2019 à 13h22

D’accord, merci beaucoup à vous deux !

29/10/19 à 13h22

+0 -0

Lucas-84, mardi 29 octobre 2019 à 13h31
Modifié

Oui, pardon, c’est juste une histoire de complexité. Avec ta représentation, un élément de $\mathbf{F}_{p^k}$ ça prend $k\log p$ bits de mémoire, additionner c’est $k$ opérations de $\mathbf{F}_p$ et multiplier ça dépend, mais ça va être en gros au moins du $k\log k$ ( $k^2$ si tu fais ça naïvement).

Je crois que ce que les gens font généralement, c’est au lieu de dire qu’un élément de $\mathbf{F}_{p^k}$ c’est un polynôme de degré $< k$ , tu dis que c’est un truc de la forme $X^i$ , en supposant que le polynôme $X$ est un générateur du groupe multiplicatif du corps $\mathbf{F}_p[X]/P$ où $P$ c’est ton polynôme irréductible (condition qui est réalisée quand $P$ est primitif, justement). Tu représentes l’élément $0$ par $0$ , $1$ par $p^k-1$ et $X^i$ par $i$ pour $1\le i< p^k-1$ . Ça prend toujours $k\log p$ bits en mémoire, mais multiplier/diviser devient super rapide (c’est en gros une seule addition dans $\mathbb{Z}/(p^k-1)\mathbb{Z}$ ). Additionner/soustraire c’est un peu relou, mais en écrivant $X^i+X^j=X^i(1+X^{j-i})$ tu vois que si t’as assez de place pour stocker ton corps en mémoire, il suffit juste de précalculer la représentation multiplicative de tous les $X^i+1$ . Si t’as ça, additionner/soustraire c’est aussi 2 ou 3 opérations de $\mathbb{Z}/(p^k-1)\mathbb{Z}$ .

Pour le coup c’est facile de compter le nombre de polynômes primitifs unitaires de degré $k$  : il y en a $\phi(p^k-1)$ , donc la proba de tomber dessus c’est $\phi(p^k-1)/kp^k$ . Bon et avec les mains, si on utilise la borne inf sur $\phi$ de Wikipedia, apcr on a :

$\frac{\phi(p^k-1)}{kp^k}\ge \frac{1}{k(C(\log k+\log\log p)+1)}$

Donc en gros tout à l’heure notre proba était de l’ordre de $1/k$ , maintenant de l’ordre de $1/k \log k$ , donc il faudra juste un facteur $\log k$ en plus pour ré-obtenir une probabilité constante d’avoir un polynôme primitif (ce qui est plus fort qu’irréductible).

Mais effectivement, ce que tu dis marche tout à fait (et il y a même des cas où c’est plus intéressant de faire comme tu dis).

mais je vais jeter un coup d’œil au papier de J.M. COUVEIGNES et R. LERCIER, qui s’il tient ses promesses a l’air très intéressant

Bonne chance, il a pas l’air facile

29/10/19 à 13h31
Modifié

+1 -0

g2i, mardi 29 octobre 2019 à 14h42
Modifié

D’acc je vois, c’est carrément intéressant pour le coup (dans les deux sens du terme) !

En revanche, je comprends l’intérêt si l’on se contente d’un groupe multiplicatif (multiplication aisée, inverse trouvable facilement, …), mais si l’on veut ajouter l’addition, on n’a pas d’autre choix que de stocker l’entièreté du corps en mémoire non ? Sinon, comment obtenir la représentation multiplicative des $X^i + 1$  ? Ou plus exactement, sans parler de stocker tout le corps, il faut tout de même le parcourir dans le pire des cas en entier pour trouver la représentation des $X^i + 1$ non ? J’entends par là calculer $X^i$ modulo $P$ pour tout $1\leqslant i\leqslant p^{k}-1$ modulo $P$ jusqu’à trouver toutes les représentations des $1 + X^j$ . Avec ça, on pourrait tout de même avoir une addition terme à terme en gardant la représentation multiplicative (c’est déjà ça ).

Dans ce cas, cela serait utile lorsque $p^k$ est "raisonnable" (inférieur à $2^{64}$ pour tous les calculer) mais il faudrait mieux utiliser des éléments de $\mathbb{F}_p[X]_{/P}$ dans le cas contraire. C’est bien cela ?

29/10/19 à 14h42
Modifié

+0 -0

Lucas-84, mercredi 30 octobre 2019 à 00h57
Modifié

Oui c’est ça, je pense que t’as tout compris. Après on rentre très vite dans des questions d’implémentation, donc on peut débattre que telle ou telle méthode est meilleure pendant des heures (la taille du corps par rapport au nombre d’opérations que tu comptes faire, si tu veux construire une surcouche de primitives arithmétiques par-dessus, etc.). BTW, apparemment ce qu’on a appelé représentation multiplicative a un nom : la représentation en logarithme de Zech.

Un autre truc qu’on a pas abordé, c’est qu’on peut aussi essayer de chercher en priorité des polynômes irréductibles "sparse" (avec peu de coefficients non nuls) pour que les opérations avec la représentation additive soient rapides (notamment le modulo $P$ dans la multiplication). Par exemple, ici ils construisent des opérations de corps super rapides dans le cas particulier des optimal extension fields, qui sont les corps de cardinal $p^k$ où $p$ est un nombre premier "pseudo-Mersenne" et il existe un polynôme irréductible de la forme $X^k-x\in \mathbf{F}_p[X]$ (là c’est un cas très favorable : on a un truc super sparse, avec seulement deux coefficients non nuls).

30/10/19 à 00h57
Modifié

+0 -0

g2i, mercredi 30 octobre 2019 à 11h41

Merci beaucoup !

30/10/19 à 11h41

+0 -0

Polynôme irréductible sur un corps fini

Pas encore membre ?