Résultats expérimentaux

Dans cette section, nous donnons des résultats expérimentaux des nouvelles méthodes décrites dans les sections précédentes sur différents nombres du challenge RSA [87] : RSA-155, RSA-768, RSA-896 et RSA-1024. À part pour RSA-155, le degré du polynôme algébrique est 6. Pour RSA-155, le degré du polynôme algébrique est 5.

Comparaisons

La première comparaison a été faite pour RSA-768 sur un ensemble de 10⁵ paires de po-lynômes non optimisés. Ces popo-lynômes ont été générés par cado-nfs [33] et Msieve [111] qui implémentent les algorithmes de Kleinjung décrits dans la section 3.2. La table 3.1 compare la valeur moyenne et l’écart type de la log-norme pour les différents algorithmes décrits précédem-ment. La figure3.1montre la distribution de la log-norme des paires de polynômes non optimisés et optimisés.

RSA-768 Polynômes non optimisés Algorithme3.5 Algorithme3.6

Log-norme moyenne 80,75 69,84 68,42

Écart type de la log-norme 1,00 0,56 0,72

Table3.1 – Comparaison des méthodes d’optimisation de la taille pour10⁵paires de polynômes pour RSA-768.

0 250 500 750 1000

64,00 66,00 68,00 70,00 72,00 74,00 76,00 78,00 80,00 82,00

Nombredepolynômes

Log-norme Polynômes non optimisés

Algorithme3.4 Algorithme3.5 Algorithme3.6

Figure3.1 – Répartition des polynômes avant et après l’optimisation de la taille pour10⁵ paires de polynômes pour RSA-768.

Une comparaison similaire a été faite pour RSA-155 sur un ensemble de 5795 paires de polynômes non optimisés produit par cado-nfs. Bien que le gain sur la valeur moyenne de la log-norme soit plus faible, cela montre bien que les nouveaux algorithmes sont aussi plus performants pour le degré5.

RSA-155 Polynômes non optimisés Algorithme3.5 Algorithme3.6

Log-norme moyenne 53,54 50,43 49,36

Écart type de la log-norme 1,96 1,49 0,62

Table3.2 – Comparaison des méthodes d’optimisation de la taille pour5795paires de polynômes pour RSA-155.

Pour RSA-768, nous avons effectué une comparaison supplémentaire sur les paires de poly-nômes obtenues après l’optimisation de la taille et l’optimisation des propriétés des racines. La table3.3contient la moyenne de la log-norme, de la grandeurαet de la valeurEde Murphy pour les 10⁵ paires de polynômes après l’optimisation de la taille et l’optimisation des propriétés des racines. En supposant que la valeurE de Murphy est une estimation précise du rendement de la paire de polynômes lors de l’étape de crible, alors nous pouvons voir que les nouvelles méthodes d’optimisation de la taille produisent des paires de polynômes avec un meilleur rendement en moyenne.

RSA-768 Algorithme 3.5 Algorithme 3.6

Log-norme moyenne 71,86 69,90

Grandeur α moyenne ´7,019 ´6,812

Valeur E de Murphy moyenne 8,60ˆ10^´14 1,10ˆ10^´13

Valeur E de Murphy moyenne (pour les100meilleures) 2,14ˆ10^´13 2,53ˆ10^´13 Table 3.3 – Comparaison de deux méthodes d’optimisation de la taille sur 10⁵ paires de po-lynômes non optimisés pour RSA-768 après optimisation de la taille et optimisation des pro-priétés des racines. Pour le calcul de la valeur E de Murphy nous avons utiliséB1 “1,1ˆ10⁹, B₂“2,0ˆ10⁸ et une aire de2,362ˆ10¹⁸ pour la zone de crible Ω.

Meilleurs polynômes pour RSA-768

Nous avons utilisé l’algorithme 3.6 sur un ensemble de paires de polynômes pour RSA-768 fourni par Jason Papadopoulos et nous avons trouvé, après optimisation de la taille et optimisa-tion des propriétés des racines, plusieurs paires de polynômes meilleures que celle utilisée pour le calcul de la factorisation de RSA-768, dont deux sont données dans la table 3.7dans l’annexe à la fin du chapitre.

Ces deux paires de polynômes, appeléesA₇₆₈etB₇₆₈correspondent aux multiplicateursc“36 etc“15respectivement. Elles n’auraient donc pas pu être trouvées avec les anciennes méthodes d’optimisation de la taille. La paire de polynôme utilisée pour la factorisation de RSA-768a un polynôme algébrique dont la log-norme est 64,08 et sa valeur E de Murphy est 4,28ˆ10^´13. Les deux paires de polynômesA₇₆₈ etB₇₆₈ ont de meilleures valeursE de Murphy,4,42ˆ10^´13 et 4,52ˆ10^´13 respectivement. Pour le calcul de la valeur E de Murphy, nous avons utilisé B₁“1,1ˆ10⁹,B₂ “2,0ˆ10⁸ et une aire de2,362ˆ10¹⁸ pour la zone de crible.

Une comparaison sur le rendement de l’étape de crible a été faite entre la paire de polynômes utilisée pour la factorisation de RSA-768et les deux paires de polynômesA768etB768en utilisant le même binaire que celui utilisé pour la factorisation de RSA-768 avec les mêmes paramètres et pour toutes les valeurs possible de spécial-q dans l’intervalle r3 400 000 000,3 400 100 000s. La paire de polynômes A768 produit environ 7 % de relations supplémentaires et 5 % de relations supplémentaires par seconde par rapport à la paire de polynômes utilisée pour la factorisation de RSA-768. La paire de polynômes B₇₆₈ produit environ 5 % de relations supplémentaires et 3 % de relations supplémentaires par seconde par rapport à la paire de polynômes utilisée pour la factorisation de RSA-768.

Meilleurs polynômes pour RSA-896

Pour RSA-896, nous avons considéré l’ensemble des 10 paires de polynômes non optimisés construites en utilisant l’algorithme3.1avec les valeurs dea₆,m₁ etm₂ données dans la table3.5 dans l’annexe à la fin du chapitre. La table 3.4 contient, pour ces 10 paires de polynômes, la log-norme du polynôme algébrique avant optimisation et après optimisation en utilisant les algorithmes 3.5et3.6.

L’algorithme3.6produit des polynômes dont la log-norme est plus petite de2,40en moyenne (79,94au lieu de82,34) et, sauf pour le polynôme#8, toujours plus petite que celle des polynômes produits par l’algorithme3.5.

# 1 2 3 4 5 6 7 8 9 10 Polynômes non optimisés 98,28 98,11 96,89 98,00 97,84 98,53 97,18 98,37 96,97 96,63 Algorithme3.5 82,88 82,74 82,30 82,03 82,37 83,33 82,12 79,36 83,79 82,45 Algorithme3.6 80,53 80,16 79,33 79,75 79,78 79,83 80,04 80,72 79,92 79,38

Table3.4 – Log-norme du polynôme algébrique pour 10 paires de polynômes pour RSA-896.

Meilleurs polynômes pour RSA-1024

Pour RSA-1024, nous avons tout d’abord considéré la paire de polynômes avec le polynôme algébrique de degré6donnée dans [96, appendice A]. Le polynôme algébrique de cette paire a une log-norme de 100,02. Nous avons utilisé l’algorithme 3.6 pour optimiser de nouveau cette paire de polynômes et nous avons obtenu la paire de polynômes A1024, donnée dans la table 3.6dans l’annexe à la fin du chapitre, dont la log-norme du polynôme algébrique est94,91. Ceci représente un gain d’un facteur environ expp100,02´94,91q «166sur la norme du côté algébrique.

De plus, nous avons aussi utilisé notre implémentation de l’algorithme 3.6 dans cado-nfs pour trouver une meilleure paire de polynômes, appelée B₁₀₂₄ et donnée dans la table3.6 dans l’annexe à la fin du chapitre. Cette paire correspond à un multiplicateurc“5. En se basant sur sa valeur E de Murphy de8,86ˆ10^´12contre 9,75ˆ10^´13 pour la paire de polynômes de [96], nous pouvons estimer que le rendement lors de l’étape de crible serait meilleur d’un facteur9,1.

En utilisant les mêmes paramètres (B₁ “ B₂ “ 10¹¹ et une aire de 10¹⁸), nous obtenons une valeur E de Murphy de 3,56ˆ10^´9 pour la paire de polynômes utilisée pour la factorisation de RSA-768, ce qui nous permet d’estimer le temps de crible pour RSA-1024 comme 402 fois le temps de crible pour la factorisation de RSA-768 (au lieu d’un facteur 1000comme annoncé dans [83]). La paire de polynômes B1024 est aussi meilleure que la paire donnée dans [78], dont la valeur E de Murphy est 6,79ˆ10^´12. Enfin, remarquons que cette paire de polynômes a été trouvée après l’équivalent d’environ 1000 heures de calcul sur un processeur, et que nous nous attendons donc à pouvoir trouver une bien meilleure paire si un vrai effort de calcul de l’équivalent de quelques milliers d’années sur un processeur était entrepris.