互除法

松本 眞 :m-mat   ＠   math.sci.hiroshima-u.ac.jp 平成 17 年 7 月 8 日

1 ^{整数の互除法}

最大公約数を求めるためにユークリッドの互除法を使うことは良く知 られていると思う。しかし、もともとの互除法は、

「比を有理数で近似する」

ために導入されたようである。

いま、基準となる長さの棒X(長さxメートル)を用いて、棒Yの長さ

（長さyメートル）を計ろうとしたとする。つまり、

y/xはどのような値か。

yの中にxが何個（自然数個）取れるかを計算して、

y=q₁x+r₁,

q₁は自然数で0≤r₁ < xである。ここでr₁ = 0ならy/x=q₁であり、目 的は達成された。r₁ = 0でないとする。

もはやr₁ < xであるから、xの中にr₁が何個とれるかを考えるよりほ かない。

そこで、

y₁ :=x, x₁ :=r₁

とおきなおしてy₁ =xの中にx₁ =r₁が何個とれるかを計算して y₁ =q₂x₁ +r₂,

とする。以後、帰納的に

y_i =q_i+1x_i +r_i+1, y_i+1 :=x_i, x_i+1 =r_i+1 とおく。r_i+1 = 0となったら停止する。

この計算は２×２行列で見るとわかりやすい。

x₁ y₁

=

−q₁ 1 1 0

x y

であり、

x₂ y₂

=

−q₂ 1 1 0

x₁ y₁

である。こうして、

x_n y_n

=

−q_n 1 1 0

· · ·

−q₁ 1 1 0

x y

となる。

もしn回目で割り切れてr_n = 0となれば、一般にx_i = r_iであるから

x_n= 0となり、

0 y_n

=A_n

x y

, ここに

A_n =

−q_n 1 1 0

· · ·

−q₁ 1 1 0

は行列式が(−1)ⁿの整数行列となる。

レポート問題 1.1. A_nは、行列式が(−1)ⁿの整数行列となることを証明 せよ。（超易問）

さて、

A_n=

s t a b

とおくと、

sx+ty= 0, ax+by =y_n

が成立する。

A⁻¹_n = (−1)ⁿ

b −t

−a s

だから

x= (−1)ⁿ⁺¹ty_n, y = (−1)ⁿsy_n となり、y_nはx, yの公約数であるが

bs−at= (−1)ⁿ(訂正箇所)

よりs, tは互いに素なのでy_nは最大の公約数d=GCD(x, y)である。

そしてこのとき、

ax+by =d となるa, bも、もとまっている。さらに

x/y =−s/t

であり、xとyの比が既約分数として求まっている。

2 ^{無理数比の場合}

上の議論は、x, y自身は無理数であっても、比x:yが整数比であれば うまくいく。上のアルゴリズムの進み方は、xとyの比にしか依存しない。

さて、ピタゴラスは無理数を認めなかったが、ユークリッド（紀元前 300年ごろ）の時代には比x :yが整数比にならない例がすでに知られて いた。それは上の互除法が無限に続いてしまうような例である。

たとえば、上の互除法で、

「一回互除法を行った結果が、比が変わっていない」

すなわち

x:y=x₁ :y₁ となっているような例を考えよう。

y=q₁x+r, x₁ =r, y₁ =x であるから

x:y =y−q₁x:x

となるような例である。たとえばq₁ = 1のときには y²−xy−x² = 0

となり、x, yは正だから

y/x= (1 +√

5)/2(訂正箇所)

を得る。このような比では、互除法はとまらない。これが、この比が整 数比でないことを証明している。この比は、黄金比と呼ばれる。

レポート問題 2.1. x:y= 1 : (1 +√

5)/2(訂正箇所)に対して互除法を行 うと、全てのnに対してq_n = 1となり、終わらないことを示せ。

3 ^応用その 1

直径1メートルの円の周囲の長さを精密に測って、3.1415926535· · · とい う値を得たとする。これを有理数で近似しよう。x= 1, y= 3.1415926535 に対して互除法を行うと

3.1415926535 = 3×1 + 0.1415926535 q₁ = 3

1 = 7×0.1415926535 + 0.0088514255 q₂ = 7 0.1415926535 = 15×0.0088514255 + 0.008821271 q₃ = 15 0.0088514255 = 1×0.008821271 + 0.0000301545 q₄ = 1 といった具合になる。

A_n =

−q_n 1 1 0

· · ·

−q₁ 1 1 0

とおくと A₁ =

−3 1 1 0

A₂ =

−7 1 1 0

A₁ =

22 −7

−3 1

A₃ =

−15 1 1 0

22 −7

−3 1

=

−333 106 22 −7

A₄ =

355 −113

−333 106

といった具合である。

ここから、

A_n=

a_n+1 b_n+1 a_n b_n

という形になることが見て取れる。そして、

A_n =

−q_n 1 1 0

A_n−1 =

−q_na_n+1+a_n −q_nb_n+1+b_n

a_n+1 b_n+1

さて、

x y

=A⁻¹_n

x_n y_n

= (−1)ⁿ

b_n −b_n+1

−a_n a_n+1

x_n y_n

である。よって

x:y=b_nx_n−b_n+1y_n :−a_nx_n+a_n+1y_n

右辺の比はb_n : −a_nで近似されるので、a_nx+b_nyがxに比して０に近 い。そこで

a_nx+b_ny:x=−a_nb_n+1y_n+b_na_n+1y_n :b_nx_n−b_n+1y_n= (−1)ⁿy_n :b_nx_n−b_n+1y_n

|a_n/b_n+y/x|=|1/b_n(b_nx_n/y_n−b_n+1)| そして、b_nとb_n+1の符号が逆であることから

|b_n(b_nx_n/y_n−b_n+1)|>|b_nb_n+1| こうして

|y/x−(−a_n/b_n)|<1/|b_nb_n+1| がわかった。|b_n|<|b_n+1|なので、

|y/x−(−a_n/b_n)|<1/|b_nb_n+1|<1/|b_n|²

レポート問題 3.1. すなわち、y/xは既約分数−a_n/b_nで近似され、その 誤差は分母の自乗すなわち1/|b_n|²未満である。「b_nとb_n+1の符号が逆」

「|b_n|<|b_n+1|」などの事実に証明を与えることで、上の議論を完成させよ。

これによりたとえば、円周率πの355/113 = 3.1415929208による近似 誤差は113⁻²以下であることがわかる。

4 Berlekamp Massey ^法

この節については、読んで理解することを必ずしも期待しない。が、

2300年のときを経て、なお互除法が現代の暗号理論に大きな役割を果た していることに触れてもらうために用意した。現代的な点は、「整数・実 数」がその類似物である「多項式環・形式冪級数体」に置き換わっても 互除法が働くことにある。

次のような状況を考える。F2 ={0,1}を2元体とし、

χ:= (x₀, x₁, . . .)∈F^N₂

をF2成分の数列とする。χが（N階）線形漸化式を満たすとは、ある定 数a₀, . . . , a_N ∈F2,a_N = 0に対して

N i=0

a_ix_i+j = 0 (j = 0,1,2, . . .)

が成立することである。

暗号解読や符号の設計、擬似乱数発生法の設計の際に、次のような問 題がしばしば発生する。

問題 4.1. 数列χが与えられている。χはある線形漸化式を満たすことが わかっている。この線形漸化式を求めよ。

より実際的には、「線形漸化式の階数はM 以下であることがわかって いる。数列は、x₀, x₁, . . . , x_2M−1の2M個を求めてある。このときに線形 漸化式を求めよ。」という状況設定である。

Berlekamp-Massey法は、互除法を用いた次のようなアルゴリズムであ る。χの生成母関数を

χ(t) :=

∞ i=0

x_it⁻ⁱ⁻¹ ∈F2[[t⁻¹]]

とし、形式冪級数体

F2((t⁻¹)) := { ∞ i=−n0

b_it⁻ⁱ|b_i ∈F2, n₀ ∈Z}

を考える。

∞ i=−n0

b_it⁻ⁱ (b_−n0 = 0)

の次数をn₀で定義する。

1とχ(t)の間の互除法を、係数環をF₂[t]として行う。すなわち、x, y ∈ F2((t⁻¹))に対し、

y=q₁x+r₁, q₁ ∈F₂[t], deg(r₁)<deg(x) となるようなq₁, r₁を求めることを繰り返して、互除法を行う。

通常の実数に対する互除法と同じことが言えて、

χ(t) = g(t)/f(t)

g(t), f(t)∈F₂[t]：互いに素、とあらわせているときにはこの方法でg(t), f(t) が求まる。

ここで

f(t) = N

i=0

b_itⁱ とおくと、

f(t)χ(t) = N

i=1

∞ j=0

b_ix_jt^i−j−1 = ∞ k=−N

( N

i=0

b_ix_k+i−1)t^−k=g(t)

だからt^−kの係数はk ≥1で0となり、a_i =b_i (i= 0, . . . , N)とおくとこ れはχが満たす線形漸化式の係数を与え、目的は達せられる。

さて、上の計算ではχ(t)という無限の冪級数が必要となったが、実は χ(t) mod t^−2N−1（すなわち、t^−2N までの係数）が求まれば、それに対 する互除法でg(t), f(t)が求まる。

前の節のような記法を用いればx= 1, y=χ(t)であり

x_n y_n

=

a_n+1 b_n+1 a_n b_n

x y

,

a_n, b_n ∈ F2[t] とできる。x_n = 0となったときが互除法の停止点であり、

このとき

y=y/x=−a_n+1/b_n+1

でありdeg(b_n+1) =N (厳密には、線形漸化式の中で階数最小のものがN 階となる)。

しかるに、yに誤差があるので困るのだが、誤差の次数がdeg ≤ −2N−1 であればa_n+1, b_n+1を求めるまでは同じ連分数展開が行われることをみる。

yに誤差δ(t)があったとき、連分数展開が最初に狂ってくるところを a_m+1, b_m+1とすると、

x_m y_m

=

a_m+1 b_m+1 a_m b_m

x y+δ(t)

とおいたときに

deg(x_m)<deg(y_m )

が不成立になるということになる。m≤nであれば、deg(b_m),deg(b_m+1)≤ deg(b_n+1) = Nにより

x_m−x_m y_m −y_m

=

a_m+1 b_m+1 a_m b_m

0 δ(t)

のそれぞれの次数はN + deg(δ(t))以下であるから、degδ(t)≤ −2N−1 であればx_m −x_m, y_m − y_m の次数は−N −1以下。一方、x_m, y_m は1 とyのF2[t]係数線形結合であり、y_m = 0であるから deg(y_m) ≥ −N (y_mb_n+1 ∈F2[t]により、y_mの次数はマイナス「b_n+1の次数」以上である。) よって、deg(y_m ) ≥ −N であり、deg(y_m) = deg(y_m)。また、deg(x_m) ≤ max{deg(x_m),deg(x_m −x_m)} より≤ deg(y_m) = deg(y_m )。これにより、

m≤nでは互除法の係数はdeg ≤ −2N −1の誤差がyにあっても変わら ない。

したがって、この程度の誤差なら互除法の途中で y=−a_n+1/b_n+1

となっている。つまり、どこかで「正解」がもとまる。問題はnがあら かじめわかっていない、つまりいつ正解が求まったかがわからないこと だが、M ≥ N に対してyを2M 桁まで計算しておればdeg(b_m+1) = N となった瞬間がm = nであり、yは正確にもとまりx_n = 0、したがっ てx_n =b_n+1δ(t)で次数はN −2M −1 ≤ −M −1となる。一方、y_n の 次数は≥ −N なので、y_n をx_nで割った商q_nは≥ −N +M + 1次式と なり、deg(b_n+2) = deg(q_n) + deg(b_n+1) ≥ M + 1 となる。すなわち、b_j の次数が初めてMを超えたとき、その直前が求めるべきもの、すなわち m+ 1 =j−1である。これによりm=nはj−2として求まる。