バレットの還元アルゴリズム

合同算術において、バレットの還元アルゴリズムは P.D. バレットによって 1986 年に開発されたアルゴリズムである。^[1]以下の式を計算することを考える。

${\displaystyle c=a\,{\bmod {\,}}n\,}$

愚直な方法は、高速な除算アルゴリズムを使用する方法である。バレットの還元アルゴリズムは、除算を乗算に置き換えることにより、${\displaystyle n}$ が定数で ${\displaystyle a<n^{2}}$ であるときにこの計算を高速化する。

着想

${\displaystyle n}$ の浮動小数点数としての逆数を ${\displaystyle s=1/n}$ とおくと、${\displaystyle \lfloor x\rfloor }$ を床関数として

${\displaystyle a\,{\bmod {\,}}n=a-\lfloor as\rfloor n}$

となる。${\displaystyle s}$ が十分な精度で計算される限り、これは誤差なく成り立つ。

1ワード版のバレットの還元アルゴリズム

バレットが最初に考案したのは、上記のアルゴリズムの整数版であり、特に値がマシンのワードに収まる場合に適用できる。

上記の方法で ${\displaystyle a\,{\bmod {\,}}n}$ を整数の範囲内で計算する場合、自明に対応するのは ${\displaystyle n}$ による除算を用いる方法である。

func reduce(a uint) uint {
    q := a / n  // 小数部分は暗黙に切り捨てられる
    return a - q * n
}

しかし、除算の計算には時間がかかり、CPUによっては定数時間で完了しない命令が使用されうる。そこで、バレットの方法では ${\displaystyle 2^{k}}$ による除算なら低コストな右シフトとして実現できることに注目し、${\displaystyle 1/n}$ を ${\displaystyle m/2^{k}}$ で近似する。

${\displaystyle 2^{k}}$ が与えられたとき、最良の ${\displaystyle m}$ を見つけるために以下の式を考える。

${\displaystyle {\frac {m}{2^{k}}}={\frac {1}{n}}\;\Longleftrightarrow \;m={\frac {2^{k}}{n}}}$

${\displaystyle m}$ を整数にするために、${\displaystyle {2^{k}}/{n}}$ をどうにか整数に丸める必要がある。最も近い整数に丸めるのが最適だが、${\displaystyle m/2^{k}}$ が ${\displaystyle 1/n}$ より大きくなるとアンダーフローを生じうるため、一般には ${\displaystyle m=\lfloor {2^{k}}/{n}\rfloor }$ を用いる。

すると、前述の関数は以下のように書き換えられる。

func reduce(a uint) uint {
    q := (a * m) >> k // ">> k" は k ビットの右シフト
    return a - q * n
}

ここで、${\displaystyle m/2^{k}\leq 1/n}$ なので、この関数における q は小さめに評価される。これによりaは ${\displaystyle [0,n)}$ に必ずしも収まらず、${\displaystyle [0,2n)}$ の値を取りうる。そのため、値が ${\displaystyle n}$ を超えた場合は ${\displaystyle n}$ を引くことによってこれを補正する。

func reduce(a uint) uint {
    q := (a * m) >> k
    a -= q * n
    if n <= a {
        a -= n
    }
    return a
}

${\displaystyle m/2^{k}}$ は近似にすぎないので、近似が正当となる ${\displaystyle a}$ の範囲を考える必要がある。${\displaystyle 1/n}$ の近似誤差は

${\displaystyle e={\frac {1}{n}}-{\frac {m}{2^{k}}}}$

なので、qの誤差は${\displaystyle ae}$である。${\displaystyle ae<1}$、すなわち ${\displaystyle a<1/e}$ である限り、この還元は正当である。${\displaystyle a\geq 1/e}$ である場合も必ずしもこの関数が誤った値を返すわけではないが、${\displaystyle a}$ を先述の範囲内に収めることで一般の場合においての正当性を保証できる。

${\displaystyle k}$ を大きく取ると、還元が正当となる ${\displaystyle a}$ の範囲は広がる一方、他の計算においてオーバーフローを生じる可能性がある。

例

16 ビット整数のシステム上で ${\displaystyle n=101}$ としたときを考える。

アルゴリズムが意味をなすためには、少なくとも ${\displaystyle k}$ は ${\displaystyle 7}$ 以上である必要がある。さもなくば、剰余を必要としない小さい値に対してしか還元が正しく動作しなくなってしまう。${\displaystyle k=7}$ のときは、${\displaystyle m=\lfloor 2^{k}/n\rfloor =\lfloor 128/101\rfloor =1}$ であり、${\displaystyle k=8}$ のときは ${\displaystyle m=\lfloor 256/101\rfloor =2}$ である。後者においては ${\displaystyle 1/101}$ を ${\displaystyle 2/256}$ で近似することになるので、前者における ${\displaystyle 1/128}$ による近似と全く等価になる。${\displaystyle k=9}$ とすれば ${\displaystyle m=\lfloor 512/101\rfloor =5}$ となり、よりよい近似を得る。

${\displaystyle k=7}$ と ${\displaystyle k=9}$ において、アルゴリズムが正しい値を与える入力の範囲を考える。前者においては、${\displaystyle e=1/n-m/2^{k}=1/101-1/128=27/12928}$ なので、${\displaystyle a<1/e}$ すなわち ${\displaystyle a<478.81}$ である。${\displaystyle a}$ は整数なので、実質的な上限は 478 である。（実際は 504 まで正しく動く。）

${\displaystyle k=9}$ においては、${\displaystyle e=1/101-5/512=7/51712}$ なので ${\displaystyle a}$ の実質的な上限は 7387 である。（実際は 7473 まで正しく動く。）

近似がより良くなる次の ${\displaystyle k}$ は 13 であり、${\displaystyle 81/8192}$ を与える。もっとも、計算途中に現れる ${\displaystyle ax}$ が ${\displaystyle 810\leq a}$ でオーバーフローすることに注意すれば、この問題設定では ${\displaystyle k=7}$ とした方が良い。

特定の k に対する証明

${\displaystyle 2^{k_{0}}>n}$ なる最小の整数 ${\displaystyle k_{0}}$ をとり、${\displaystyle k}$ を ${\displaystyle k_{0}+1}$ とすると、これは上記の式で説明した「意味をなす」${\displaystyle k}$ である。前述のコードに対応して次の値を定義する。

• ${\displaystyle q=\left\lfloor {\frac {ma}{2^{k}}}\right\rfloor }$
• ${\displaystyle r=a-qn}$.

床関数の定義から、${\displaystyle q}$ は整数で、${\displaystyle r\equiv a{\pmod {n}}}$ である。また、${\displaystyle a\leq 2^{k}}$ なら ${\displaystyle r<2n}$ となる。このとき、前述のコードを数式で表すと

${\displaystyle a\,{\bmod {\,}}n={\begin{cases}r&{\text{if }}r<n\\r-n&{\text{otherwise}}\end{cases}}}$

このとき、${\displaystyle r<2n}$ であることが以下のように示せる。

${\displaystyle a\leq 2^{k}}$ なら

${\displaystyle {\frac {a}{2^{k}}}\cdot (2^{k}\mod n)<n}$

である。${\displaystyle n\cdot {\frac {ma\mod 2^{k}}{2^{k}}}<n}$ が ${\displaystyle a}$ にかかわらず成立するので、以下の式変形を得る。

${\displaystyle {\frac {a\cdot (2^{k}\mod n)}{2^{k}}}+n\cdot {\frac {ma\mod 2^{k}}{2^{k}}}<2n}$

${\displaystyle a-\left(a-{\frac {a\cdot (2^{k}\mod n)}{2^{k}}}\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n}$

${\displaystyle a-{\frac {a}{2^{k}}}\cdot \left(2^{k}-(2^{k}\mod n)\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n}$

${\displaystyle a-{\frac {na}{2^{k}}}\cdot \left({\frac {2^{k}-(2^{k}\mod n)}{n}}\right)+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n}$

${\displaystyle a-{\frac {na}{2^{k}}}\cdot \left\lfloor {\frac {2^{k}}{n}}\right\rfloor \ +{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n}$

${\displaystyle a-{\frac {nma}{2^{k}}}+{\frac {n\cdot (ma\mod 2^{k})}{2^{k}}}<2n}$

${\displaystyle a-\left({\frac {ma-(ma\mod 2^{k})}{2^{k}}}\right)\cdot n<2n}$

${\displaystyle a-\left\lfloor {\frac {ma}{2^{k}}}\right\rfloor \cdot n<2n}$

${\displaystyle a-qn<2n}$

${\displaystyle r<2n}$

マルチワード版のバレットの還元アルゴリズム

バレットはこのアルゴリズムをRSA暗号の実装のために考案した。しかし、RSA暗号においては入力値は基本的にワードサイズを超える。そのためバレットは上記のアルゴリズムのマルチワード版も与えた。詳細については Handbook of Applied Cryptography を参照のこと。^[2]

多項式に対するバレットのアルゴリズム

バレットのアルゴリズムは多項式除算に対しても適用できる。これは、多項式を反転して X 進数を用いることで計算される。^[3]

関連項目

• 類似のアルゴリズムとして、モンゴメリ乗算がある。

脚注

参考文献