Уточнение нижней оценки сложности возведения в степень Текст научной статьи по специальности «Математика»

2017 Вычислительные методы в дискретной математике №38

УДК 519.714.1

УТОЧНЕНИЕ НИЖНЕЙ ОЦЕНКИ СЛОЖНОСТИ ВОЗВЕДЕНИЯ В СТЕПЕНЬ

В. В. Кочергин, Д. В. Кочергин

Московский государственный университет имени М. В. Ломоносова, г. Москва, Россия

Для величины l(xn) —минимального числа операций умножения, достаточного для вычисления по переменной x степени xn — уточнена нижняя оценка. Установлено, что для любого е > 0 доля чисел k, не превосходящих n и удовлетворяющих условию

l(xk) > log2 n + Л - (2 + е) log2 log2 log2 n

log2 log2 n\ log2 log2 П

стремится к 1 при n ^ œ.

Ключевые слова: аддитивные цепочки, возведение в степень, нижние оценки сложности.

DOI 10.17223/20710410/38/10

IMPROVEMENT OF THE LOWER BOUND FOR THE COMPLEXITY OF

EXPONENTIATION

V. V. Kochergin, D. V. Kochergin

Lomonosov Moscow State University, Moscow, Russia

E-mail: vvkoch@yandex.ru, dk@kocherg.in

Let l(xn) be the minimal number of multiplications sufficient for computing xn. In the paper, we improve the lower bound of l(xn). We establish that for all е > 0 the fraction of the numbers k, k ^ n, satisfying the relation

l(xk) > log2 n + Л - (2 + е) log2 log2 log2 n'

log2log2 n\ log2log2 n

tends to 1 as n ^ œ.

Keywords: addition chains, exponentiation, lower bounds of complexity.

1. Определения, обсуждения, формулировка основного результата

В работе исследуется возможность уточнения нижней оценки для известной (см., например, [1, разд. 4.6.3]) задачи о сложности возведения в степень, т.е. задачи о нахождении величины l(xn) —минимального числа операций умножения, достаточного для вычисления по переменной x степени xn.

Эту задачу (а также её обобщения) обычно рассматривают в аддитивной постановке — это так называемая задача об аддитивных цепочках [2], которая формулируется следующим образом. Аддитивной цепочкой для натурального числа n называется всякая последовательность целых чисел

а0 = 1, а\,..., am = n,

удовлетворяющая следующему свойству: для каждого k, 1 ^ k ^ m, найдутся два целых числа (не обязательно различных) i и j, 0 ^ i ^ k — 1, 0 ^ j ^ k — 1, таких, что ak = ai + aj. Минимальная длина m аддитивной цепочки для n называется аддитивной сложностью числа n и обозначается /(n). Очевидно, что величины /(n) и /(xn) равны.

Различным аспектам классической задачи об эффективном вычислении степеней (задачи о длине аддитивных цепочек) посвящено большое число публикаций (см., например, работы [1,3-11], являющиеся обзорами или содержащие обзорную часть). Кроме того, в связи с активным применением аппарата аддитивных цепочек в криптографических алгоритмах и других приложениях [12-14] в последнее время объём литературы по этой тематике серьёзно увеличился. В значительной части публикаций приводятся разные эвристические алгоритмы возведения в степень (построения аддитивных цепочек), но принципиальных улучшений оценок величины /(xn), доказанных в середине прошлого века, практически не получено.

В 1939г. А. Брауэром [15] для величины /(n) при n ^ то установлена асимптотическая формула

/(n) ~ log n

и получена верхняя оценка

log n (Л 2 log log log n 1 + o(1) / (n) ^ log n + -—-- 1 +---—---+

log log n log log n log log n

Здесь и далее log x — это log2 x, а запись f (n) ~ g(n) означает, что при n ^ то отношение f (n)/g(n) стремится к 1.

В 1960 г. П. Эрдеш [16] показал, что для любого е > 0 найдётся такая константа с, 1 < с < 2, что доля чисел n, не превосходящих N и удовлетворяющих условию

log N

/(n) > log N +(1 — е)- og

log log N а, следовательно, и условию

log n

/(n) > logn + (1 — е)

log log n

при всех достаточно больших значениях n не меньше величины 1 — (c/2)logn и, как следствие, стремится к 1 при n ^ то (похожий, но более слабый результат установлен

в [17]).

Стоит отметить разную природу слагаемых в правой части неравенства (2) — слагаемое log n связано с величиной числа n и должно присутствовать для любого значения n, а «мощностное» (отношение логарифма количества чисел, не превосходящих n, к повторному логарифму) слагаемое зависит от «строения» числа n и присутствует для «почти всех» n. Однако несмотря на то, что для почти всех значений n величина /(n) — log n достаточно велика, предъявить явным образом бесконечную последовательность таких значений не удаётся. Конструктивных нижних оценок, качественно сильнее неравенства

/(n) ^ logn + logs(n) — 2,13

(здесь s(n) —число единиц в двоичной записи числа n), установленного в 1975г. А. Шенхаге [18], до сих пор, по-видимому, не получено.

Такая ситуация (принципиальная разница между типичным значением сложности и известными нижними оценками сложности для конкретных представителей) характерна для схемных вычислений [19, 20].

Сравним результаты о типичных значениях сложности вычисления степеней с аналогичными результатами в хорошо изученной задаче о сложности реализации булевых функций схемами из функциональных элементов (логическими схемами, булевыми схемами).

О. Б. Лупановым найдена (см., например, [21], где можно найти все необходимые определения) асимптотика роста функции Шеннона Ьв (п), характеризующей сложность (минимальное число элементов) реализации схемами в произвольном полном конечном базисе В самой сложнореализуемой функции от п переменных. Из этого результата для произвольного полного базиса В^ состоящего из функций, зависящих не более чем от двух переменных, можно извлечь следующие оценки:

г ( \ ^ Я1(п) Л , го . т^1о£1о§ (п) Ьв1 (п) ^ ;-^г-—- 1 + (3 + о(1))

log Hi(n) \ log Hi(n)

LB1(n) -TTJ-: U + (1+ o(1)H-u t \ ' (3)

log Hi(n) \ log Hi(n) )

где Hi (n) — двоичный логарифм числа объектов из реализуемого класса (множества булевых функций от n переменных), т.е. Hi(n) = 2n. Отметим, что нижняя оценка величины Lb (n) выводится стандартным мощностным методом, восходящим применительно к рассматриваемой тематике, по-видимому, к работе [22], и справедлива для «почти всех» функций от n переменных, в то время как все известные нижние оценки для эффективно задаваемых функций не более чем линейны.

С. А. Ложкиным в работе [23] дано краткое схематичное описание метода, позволяющего следующим образом усилить верхнюю оценку:

Lbi (n) ^ -- , , 1 + (1 + kBi + o(1))

log Hi (n) \ 1 log Hi (n)

где Kb = 1 в случае, когда базис B симметричный [3], и Kb = 0 в остальных случаях.

В [24] анонсировано получение такой верхней оценки, которая вместе с мощностной нижней оценкой (1) даёт равенство

Lbi(n^rHHf, fl + (1+ o(1))l0gl0H^l(")) . (4)

log Hi(n) \ log Hi(n) J

Таким образом, если следовать [24], то для функции Шеннона сложности реализации функций алгебры логики схемами над произвольным полным конечным базисом мощностная нижняя оценка, записанная в виде (3), принципиально неулучшаема.

Однако для ещё одной модели схемных вычислений — сборки слов схемами конкатенации [25] — выявлена возможность усиления аналога мощностной нижней оценки из соотношения (4).

Схемы конкатенации можно рассматривать как схемы, имеющие два входа, на которые подаются символы 0 и 1, а каждому элементу схемы соответствует операция конкатенации. Под величиной Lc(S) понимается общее число элементов схемы S, сложность двоичного слова а определяется равенством Lc(<5) = min Lc(S), где минимум берётся по всем схемам конкатенации, реализующим слово <5, а соответствующая функция

Шеннона — равенством Ьс(п) = тах ¿е(а), где максимум берётся по всем двоичным словам а длины п.

При аккуратном применении известных методов можно получить следующие верхнюю и нижнюю оценки:

Lc (n) ^ Lc (n) ^

H2(n) log H2 (n)

H2(n) log H2 (n)

1 + (2 + o(1)) 1 + (1 + o(1))

log log #2(n) log H2 (n)

log log H2 (n)

5)

log H2 (n)

где H2(n) —двоичный логарифм числа объектов из реализуемого класса (слов длины n), т.е. H2(n) = n.

Мощностная нижняя оценка (5) имеет такой же вид, что и нижняя оценка (3). Однако в отличие от случая реализации булевых функций, для задачи о сложности сборки слов схемами конкатенации нижняя оценка может быть усилена [25]: при n ^ то справедливо равенство

Lc(n)

H2(n) log H2 (n)

1 + (2 + o(1))

log log H2 (n) log #2(n)

(6)

Возвращаясь к исходной задаче об аддитивных цепочках, заметим, что из результатов Брауэра (неравенство (1)) и Эрдеша для соответствующей функции Шеннона Ь"(п) аддитивной сложности множества натуральных чисел, не превосходящих п, определяемой равенством

La(n)

непосредственно следуют оценки

L°(n) ^ Hs(n) +

нз(п) log яз(п)

max /(k),

k:k<n

1 + (2 + o(1))

log log Нз(п) log Яз(п)

L°(n) ^ Нз(п) + (1 - o(1))

нз(п) log яз(п)

(7)

где H3(n) —двоичный логарифм числа натуральных чисел, не превосходящих n, т.е. H3(n) = log n.

Возникает вопрос: можно ли в нижней оценке (7) величины L"(n) мощностную составляющую усилить подобно нижней оценке (6) или хотя бы подобно нижним оценкам (3) и (5)? Этот вопрос оказался весьма трудным. Трудности связаны с наличием в оценке (7) слагаемых двух типов, которое приводит к большему разнообразию схем с заданной «мощностной» составляющей сложности. В этом направлении удалось получить следующее продвижение.

Обозначим через R(m, е) число возрастающих аддитивных цепочек

1 = а0, а1, а2,..., аг

удовлетворяющих условиям

[log аг \ = m;

r ^ m +

m

log m

- (2 + е)

m log log m (log m) 2

(9) f10)

Лемма 1. Для любого положительного значения е при m ^ то выполняется соотношение

R(m,e) , 0 2m .

Эта лемма является основным содержательным утверждением работы, её доказательство приводится в п. 2. Непосредственно из леммы 1 следует

Теорема 1. Пусть n ^ то. Тогда

т*( \ I logn Л fn , m^logloglogn L (n) ^ logn + -—-- 1 — (2 + o(1))

log log n log log n

Следствие 1. При n ^ то выполняется соотношение

log n log log log n

La(n) — (log n + -gfn-log log n

^ (2 + o(1))-

(log log n) 2

Последнее неравенство, непосредственно вытекающее из теоремы 1 и верхней оценки Брауэра, может быть переписано в удобном для сравнения с оценками функций Шеннона сложности реализации булевых функций и двоичных наборов виде таким образом:

La(n) — (яз(п)+ яз(п)

log Яз(п)

< (2 + o(1)) ^(WgH'W. (11)

(log Нз(п))2

Итак, установлена нижняя оценка, имеющая для почти всех значений n точно такое же по абсолютной величине отклонение от log n + (log n) / (log log n), как и отклонение в верхней оценке Брауэра из (1).

2. Доказательство основной леммы

В основе доказательства леммы 1 лежат рассуждения из [16] (см. также [1, разд. 4.6.3]).

Положим

в log log m

5 = 5(m) = 24 logm — 1. (12)

Поскольку 5 ^ 0 при m ^ то, будем считать, что

5 < л/2 — 1. (13)

Разобьём r шагов произвольной возрастающей цепочки (8), удовлетворяющей условиям (9) и (10), на три класса.

Шаг i отнесём к первому классу, если этот шаг является удвоением, т. е. ai = 2ai-1.

Шаг i отнесём ко второму классу, если

ai < 2ai-i, «г ^ (1 + 5)i-jaj для всех j (0 ^ j < i).

Шаг i отнесём к третьему классу, если

аг < 2ai-i,

ai < (1 + 5)i-jaj для некоторого j (0 ^ j < i). (14)

Шаги, отнесённые к первому классу, будем называть удвоениями, а к третьему — мини-шагами. Количество шагов в классах обозначим соответственно через и1, и и3. Очевидно, что и1 + и2 + и3 = г.

Оценим сверху величину и2 + и3. Если шаг г отнесён ко второму или третьему классу, то а = 2аг-1, т.е. а ^ аг-1 + аг-2 ^ 3аг-2. Используя (9) и (13), получаем

2«1+«2 +«3 о

2m < ar < 3(«2+U3)/22U1

r

(4/3)(u2+«3)/2 2(u2+U3+U4) log(2/V3) '

Поэтому в силу (10)

1 1 2m m

u2 + из <-(r — m) ^ --< 10-

log(2^v/3r log(2^v/3) logm logm'

Теперь оценим сверху величину u3. Для каждого мини-шага is (s = 1,... , u3) при соответствующем js (0 ^ js ^ is) в силу (14) выполняется неравенство ais < ajs (1+$)is-js. Пусть Ii,... , Iu3 —полуинтервалы (j\, ii], ..., (ju3, iu3], где (j, i] —множество целых чисел p, таких, что j < р ^ i. Построим систему неперекрывающихся полуинтервалов

Ji = (ji, ..., Jh = (jh, тажу^ что

Ii U ... U /И2 = Ji U ... U Jh,

a*/ < ais (1 + ¿)2(iS-j/) для 1 ^ s ^ h.

Пусть ii < i2 < ... < iu2. Удалим все полуинтервалы It, которые можно удалить, не сужая множество Ii U ... U Iu2. Каждую систему перекрывающихся полуинтервалов (jc, ic], ... , (jd, id] объединим в один полуинтервал (j', i'] = (jc, id]. Заметим, что

ц/ < ay(1 + S)ic-ic+".+id-id ^ ay (1 + i)2(i'-j"

так как каждая точка полуинтервала (j',i'] покрыта полуинтервалами (jc,ic], ..., (jd, ¿d] не более чем дважды.

Положим q = (¿1 — j^) + ... + (¿h — jh). Обозначим через ui и U2 число шагов, относящихся соответственно к первому и второму классам и имеющих номера, принадлежащие множеству Ji U... U Jh. Отметим, что ui + U2 + u3 = q. Тогда справедливы соотношения

2m ^ ar ^ 2ui-u1з("2-"2)/2(1 + S)2q =

= 2-". (f j"'-"2 2«,-.i Ji1+SÜ2.1+«2+.З =2r ^ V3А"2-'2 J (1+i)2

Отсюда и из (9) и (12) при всех достаточно больших значениях m получаем

^ r — m 1 — (log3)/2 , м , , . U3 ^ 1 — 2 log(1 + S) — 1 — 2log(1 + S)(U2 — U2) — Ui — U2 ^

^ m/logm — (2 + e)mloglogm/(logm)2 (л 1

1 — e log log m/(4log m)

— — 1 log (u2 — u2) — ui — u2 <

/ + e log log m\ / m (2 + e) m log log m\ / 1i \ , ^

3 log m log m - (log m) 2 - - 2 2 - i

m m log log m 1

^--(2 + e/2) 1 g g2 — 1 — ^3 U2 — u'i.

log m (log m)2 \ 2 )

Таким образом, если для произвольной возрастающей цепочки (8) выполняются неравенства (9) и (10), то эта цепочка удовлетворяет следующей системе условий:

m m log log m 1

из ^--(2 + е/2) 1 g g2 — 1 — -log3 U2,

log m (log m) 2 2

m

U + U3 ^ 10--, (15)

log m

m m log log m

ui + u + U ^ m + ---(2 + е) —-—.

log m (log m) 2

Отметим, что везде, за исключением выкладок в (36), вместо первого неравенства из совокупности (15) достаточно использовать следующую более грубую оценку величины и3:

m m log log m U3 ^--(2 + е/2) * g .

log m (log m)2

Пусть теперь заданы значения u1,u2 , u3, удовлетворяющие условиям (15). Тогда существует не более

'ui + U2 + иЛ fu2 + U3N

(16)

«2 + «3 / V «2

способов отнести каждый шаг к тому или иному классу шагов. После того как распределение шагов задано, оценим число возможностей выбора самих шагов. Отметим, что шаги, отнесённые к первому классу, полностью определяются своими номерами.

Сначала оценим сверху число способов выбора шагов, отнесённых ко второму классу. Если i-й шаг отнесён ко второму классу, то в силу (13) выполняется неравенство ai ^ (1 + Пусть ai = üj + ak, где aj ^ ak. Тогда

5Üí-i ^ ük ^ üj ^ a¿-i. (17)

Кроме того, в силу (13)

^ ai ^ 2ai-l , ai , 2a¿-i (18) üj " (1 + 8)i-j ^ (1 + 8)i-j' ak " (1 + 8)i-k ^ (1 + 8)i-k. ( )

2 2 Из (17) и (18) получаем 8 ^ (1 + 8)i-j, 8 ^ (1 + 8)i-k.

Пусть для некоторого натурального в выполняется неравенство 8 ^ 2/(1 + 8)в. Тогда 8(1 + в8) ^ 2. Отсюда в силу (12) получаем

в < 22-8 < 2 = 2 ^ 32(logm)2

в ^ Г2 ^ Г2 , . --------.2 ^ с2

82 82 / £ log log m \2 e2(ln 2)2 (log log m)2

2 4 log m _ 1

Таким образом, имеется не более

(£2) и2 W 8l0gm У"' (19)

^ ' ^ \ e ln 2 log log m )

возможностей для выбора шагов из второго класса.

Оценим сверху число способов выбора шагов, отнесённых к третьему классу. После того как определены все шаги из второго класса, имеется не более

П (20)

«а/

возможностей выбора «3 пар индексов (^1, ),..., , киз) для шагов третьего класса. В порядке возрастания номера г для каждого шага из третьего класса используем такую пару кь) из множества {(^'1, к1),... , (^из, киз)}, для которой выполнены условия < г, кь < г и величина тах^ь, кь) принимает наименьшее значение. Если такой пары не существует, или после её использования цепочка перестанет быть возрастающей, или получившийся шаг не является мини-шагом, то аддитивная цепочка не будет получена. При этом любая возрастающая аддитивная цепочка с шагами из третьего класса на назначенных местах будет получена одним из указанных способов.

Учитывая это, получаем, что величина (20) даёт верхнюю оценку для числа вариантов выбора шагов, отнесённых к третьему классу. Таким образом, число возрастающих аддитивных цепочек с заданным количеством и1, и2 и и3 шагов, отнесённых к первому, второму и третьему классам соответственно, не больше произведения величин (16), (19) и (20), т.е. не превосходит величины

«1 + «2 + «з\ («2 + Из\ / 8logт \4и2 /(«1 + «2 + «з)2

и2 + «3 у \ «2 у ln2loglog ту \ п3 Поэтому

„( ) < /«1 + «2 + «з\ /«2 + «з\ / 8log т \4и2 /(«1 + «2 + «з)2\ (21) (т,£) <Н «2 + «а Д «2 у и ln2loglog т) V «3 У' ()

где сумма берется по всем «1, «2 и «3, удовлетворяющим условиям (15). Для завершения доказательства леммы 1 достаточно установить, что

^ Я(т, е) — т ^ —то

при т ^ то. Отдельно оценим сверху каждый множитель (точнее, его логарифм) в слагаемых из правой части неравенства (21). Оценивая первый множитель, получаем

«1 + «2 + «Л < («1 + «2 + Цз)и2+из < зи2+и^«1 + «2 + «Л и2+из (22)

U2 + из У (и2 + из)! \ U2 + из

Далее рассмотрим два случая. Если выполняется неравенство

m

и2 + из ^--, (23)

log m log log m

то в силу (15), (22) и (23) справедливы соотношения

log ( ui + и2 + иМ ^ (и2 + из) log 3 + (и2 + из) log(2m) ^

V и2 + и3 У (24)

m m log log m ^ ;-;--+ o '

log log m log m

Если же выполняется неравенство

m

И2 + Из >;-i—i-, (25)

log m log log m

то, используя (15), (22) и (25), получаем

log ( Ui + И2 + ) < (u2 + Из) log 3 + (И2 + Из) log(2 log m log log m) <

V U2 + Из У (26)

m loglog m

< (И2 + Из) log log m + o '

log m

Логарифм второго множителя произвольного слагаемого из правой части неравенства (21) оценить, учитывая (15), совсем просто:

, /И2 + иЛ f m \ fm loglog m\

log < И2 + Из = О -- = o --- . (27)

\ и2 / \log my V log m у

Теперь для всех достаточно больших значений m оценим сверху логарифм третьего множителя:

logff 1 ,!ogm M < 4И2loglogm. (28)

\Д е ln 2 log log my I

И наконец, оценим логарифм четвертого множителя произвольного слагаемого из правой части неравенства (21):

(И1 + И2 + Из)2^ < (И1 + И2 + Из)2"3 < 3^3 / (И + И2 + Мз)2\ U3 (29)

Из J Из! V Из

Далее рассмотрим два случая. Если выполняется неравенство

m

Из < i-m-, (30)

log m log log m

то в силу (15), (29) и (30) справедливы соотношения

i (и1 + И2 + Из)2\ , Л (Л ^ 2m /mbgbgrn \

log < Из log 3 + Из log(4m ) <-—---+ o—-- . (31)

\ из у log log m \ log m у

Если же выполняется неравенство

m

Из > ;-m-, (32)

log m log log m

то, используя (15) и (32), получаем

log! ( 1 + 2 + з) ) < изlog3 + изlog(4mlogmloglogm) Из J

,11 , /m loglogm = из log m + из log log m + o —--

log m

(33)

Для оценки величины R(m, е) разобьём все слагаемые суммы из (21) на три группы в зависимости от того, каким условиям, помимо (15), удовлетворяют значения ui, u2 и Из. Условием вхождения в первую группу является выполнение неравенства

m

Из < -;

2 log m

во вторую группу — неравенств

m m из > —;-, U2 ^

2 log m 2 log m log log log m

в третью группу — выполнение неравенств

mm 2 log m' log m log log log m

Оценим сверху величины слагаемых в каждой группе.

Если слагаемое из правой части неравенства (21) отнесено к первой группе, то, применяя максимальную из оценок (24) и (26), оценки (27) и (28), а также максимальную из оценок (31) и (33), с использованием (15) и (2) имеем

log I I4 + u2 + иЛ f и2 + изА / 8 log m \ 4u2 /(ui + u2 + из)- . <

и2 + из J \ и2 J \е ln 2 log log m) \ из 4

m

< ma^L—--, (и2 + и3) log log m) + 4и2 log log m+

V log logm J (34)

2m m log log m

+ ma^—--, и3 log m + и3 log log m ) + o —-- <

log log m log m

m m m

< и3 log m + 5и2 log log m + 2и3 log log m + О -—-- < — + O

log log m 2 log log m

Если слагаемое из правой части неравенства (21) отнесено ко второй группе, то выполняются неравенства (25) и (32). Применяя оценки (26), (27), (28) и (33), с использованием (15) и (2) имеем

log ( + и2 + иЛ f и2 + из W 8 log m \ 4u2 /(ui + и2 + из)- . < u2 + из J \ u2 J \е ln 2 log log m) \ из 4

m log log m

< (u2 + u3) log log m + 4u2 log log m + u3 log m + u3 log log m + o —-- ) <

log m

r i i «in (m log log m\ ^

^ u3 log m + 5u2 log log m + 2u3 log log m + о —-- ^

log m

m m log log m

я i--(2 + £/2) (1 g g2 log m+

\log m (log m)2 /

.0{j™f0. ,0,mloglog^\ , , /rnbgbgrn\

+2 i--(2 + e/2)^-^ loglog m + о —i- ^

log m (log m) 2 log m

e m log log m / m log log m ^ m — -—---+ о

(35)

2 log m log m

Если слагаемое из правой части неравенства (21) отнесено к третьей группе, то также выполняются неравенства (25) и (32). Применяя оценки (26), (27), (28) и (33), с использованием (15) и (2) имеем

log I i^l + И2 + И^ f И2 + И^^ 8 log m \ (и + И2 + ИзГ . < И2 + Из J V И2 / \е ln 2 log log m) \ Из 4

m log log m

< (и2 + Из) log log m + 4и2 log log m + из log m + из log log m + o —-- <

log m

< Из log m + О ( m loglog m ) < (36)

log m

< / m — m loglog m — Л _ Ilog^ ^ log m + o(m loglog <

log m — (log m) 2 — — 2 2 log m

Л ^ Л m n/mbgbgm

< m — 1 — - log 3 -—-—---+ О

2 log log log m log m

Таким образом, из (34), (35) и (36) следует, что двоичный логарифм любого слагаемого из (21) не превосходит величины

е m log log m m log log m m — -—---+ o

2 log m log m

Поэтому, учитывая, что в сумме из правой части неравенства (21) не более 8шз слагаемых, получаем

е m log log m m log log m log R(m, е) — m < — - —---+ o

2 log m log m

а последнее выражение стремится к —то при m ^ то. Лемма 1 доказана.

Заключение

Помимо классических аддитивных цепочек, в различных криптографических приложениях, в первую очередь в алгоритмах, связанных с быстрыми вычислениями на эллиптичских кривых, используется также аппарат цепочек из сложений и вычитаний [26, 27]. Утверждение теоремы 1 можно перенести и на такой класс вычислений.

Обозначим через /as(n) наименьшую длину цепочки из сложений и вычитаний для числа n (формальное определение цепочки из сложений и вычитаний отличается от определения аддитивной цепочки только тем, что произвольный шаг цепочки имеет вид либо ak = a* + aj, либо ak = a* — aj), а через /as(n) —наименьшую длину цепочки для числа n, состоящей из шагов вида ak = a* + aj, ak = a* — aj и ak = —a* — aj. Положим

Las (n) = max /as (k), Las(n) = max Ps(k).

k:k<n k:k<n

Теорема 2. Пусть n ^ то. Тогда

L«s(n) £ L«s(n) £ log n +1l°f n (1 — (2 + o(1))logloglog n

log log n log log n

Доказательство теоремы 2 несущественно сложнее доказательства теоремы 1. Технические особенности, связанные с наличием одной или двух дополнительных операций, можно проследить на примере доказательства нижней оценки из [28].

ЛИТЕРАТУРА

1. Кнут Д. Е. Искусство программирования. Т. 2. 3-е изд. М.: Издательский дом «Вильяме», 2000.

2. ScholzA. Jahresbericht // Deutsche Mathematiker-Vereinigung. 1937. B.47. S. 41-42.

3. Subbarao M. V. Addition chains — some results and problems // Number Theory and Applications / ed. R. A. Mollin. NATO Advanced Science Institutes Series: Ser. C. Kluwer Academic Publisher Group, 1989. V. 265. P. 555-574.

4. Bos J. and Coster M. Addition chain heuristics // Crypto'89. LNCS. 1990. V. 435. P. 400-407.

5. Gordon D. M. A survey of fast exponentiation methods //J. Algorithms. 1998. V. 27. P. 129-146.

6. Thurber E. G. Efficient generation of minimal length addition chains // SIAM J. Comput. 1999. V. 28. P. 1247-1263.

7. Bernstein D. J. Pippenger's exponentiation algorithm. http://cr.yp.to/papers/ pippenger.pdf, 2002.

8. Гашков С. Б. Задача об аддитивных цепочках и ее обобщения // Математическое просвещение. Третья серия. Вып. 15. М.: МЦНМО, 2011. С. 138-153.

9. Clift N. M. Calculating optimal addition chains // Computing. 2011. V. 91. P. 265-284.

10. Кочергин В. В. Уточнение оценок сложности вычисления одночленов и наборов степеней в задачах Беллмана и Кнута // Дискретный анализ и исследование операций. 2014. Т. 21. №6. С. 51-72.

11. Jarvinen K, Dimitrov V., and Azarderakhsh R. A generalization of addition chains and fast inversions in binary fields // IEEE Trans. Computers. 2015. V.64(9). P. 2421-2432.

12. Von zur Gathen J. and Nocker M. Exponentiation in finite fields: theory and practice // LNCS. 1997. V. 1255. P. 88-113.

13. Смарт Н. Криптография. М.: Техносфера, 2005.

14. Гашков С. Б., Сергеев И. С. О применении метода аддитивных цепочек к инвертированию в конечных полях // Дискретная математика. 2006. Т. 18. №4. С. 56-72.

15. BrauerA. On addition chains // Bull. Amer. Math. Soc. 1939. V.45. P. 736-739.

16. Erdos P. Remarks on number theory, III: On addition chains // Acta Arith. 1960. V. 6. P. 77-81.

17. Ильин А. М. Об аддитивных цепочках чисел // Проблемы кибернетики. Вып. 13. М.: Физматлит, 1965. С. 245-248.

18. Schonhage A. A. Lower bound for the length of addition chains // Theor. Comput. Sci. 1975. V. 1. P. 1-12.

19. Сэвидж Д. Е. Сложность вычислений. М.: Факториал, 1998.

20. Нигматуллин Р. Г. Сложность булевых функций. М.: Наука, 1991.

21. Лупанов О. Б. Асимптотические оценки сложности управляющих систем. М.: Изд-во МГУ, 1984.

22. Riordan J. and Shannon C. E. The number of two-terminal series-parallel networks // J. Math. Phys. Mass. Inst. Tech. 1942. V. 21. No. 2. P. 83-93. Рус. пер.: Риодан Дж., Шеннон К. Число двухполюсных параллельно-последовательных сетей / сб. Шеннон К. Работы по теории информации и кибернетике. М.: ИЛ, 1963. С. 46-58.

23. Ложкин С. А. Оценки высокой степени точности для сложности управляющих систем из некоторых классов // Математические вопросы кибернетики. Вып. 6. М.: Наука, 1996. С. 189-214.

24. Ложкин С. А. Асимптотические оценки высокой степени точности для сложности реализации булевских функций схемами из функциональных элементов // Труды II Меж-

дунар. конф. «Дискретные модели в теории управляющих систем» (23-28 июня 1997 г.). М.: Диалог-МГУ, 1997. С. 37-39.

25. Кочергин В. В., Кочергин Д. В. Уточнение асимптотического поведения сложности сборки слов схемами конкатенации // Вестн. Моск. ун-та. Сер. 1. Матем. Механ. 2016. №2. С. 12-18.

26. Volger H. Some results on addition/subtraction chains // Inform. Proc. Lett. 1985. V. 20. P. 155-160.

27. Morain F. and Olivos J. Speeding up the computation on an elliptic curve using addition-subtraction chains // Informatique Theorique et Applications. 1990. V. 24. P. 531-544.

28. Кочергин В. В. О сложности вычислений одночленов и наборов степеней // Дискретный анализ. Новосибирск: Изд-во Института математики СО РАН, 1994. С. 94-107.

REFERENCES

1. Knuth D. E. The art of computer programming, vol. 2, third edition. Reading, Massachusetts, Addison-Wesley, 1997.

2. Scholz A. Jahresbericht. Deutsche Mathematiker-Vereinigung, 1937, B.47, S. 41-42.

3. Subbarao M. V. Addition chains — some results and problems. Number Theory and Applications. Ed. R. A. Mollin. NATO Advanced Science Institutes Series, Ser. C. Kluwer Academic Publisher Group, 1989, vol. 265, pp. 555-574.

4. Bos J. and Coster M. Addition chain heuristics. Crypto'89, LNCS, 1990, vol. 435, pp. 400-407.

5. Gordon D.M. A survey of fast exponentiation methods. J. Algorithms, 1998, vol.27, pp. 129-146.

6. Thurber E. G. Efficient generation of minimal length addition chains. SIAM J. Comput., 1999, vol. 28, pp. 1247-1263.

7. Bernstein D. J. Pippenger's exponentiation algorithm. http://cr.yp.to/papers/ pippenger.pdf, 2002.

8. Gashkov S. B. Zadacha ob additivnykh tsepochkakh i eye obobshcheniya [Addition chains problem and its generalizations]. Matematicheskoye Prosveshcheniye. Third series, vol. 15. Moscow, MTsNMO, 2011, pp. 138-153. (in Russian)

9. Clift N. M. Calculating optimal addition chains. Computing, 2011, vol. 91, pp. 265-284.

10. Kochergin V. V. Improvement of the estimates of the computational complexity for monomials and sets of powers in Bellman's and Knuth's problems. J. Appl. Industr. Math., 2015, vol.9, no. 1, pp.68-82.

11. Jarvinen K, Dimitrov V., and Azarderakhsh R. A generalization of addition chains and fast inversions in binary fields. IEEE Trans. Computers, 2015, vol. 64(9), pp. 2421-2432.

12. Von zur Gathen J. and Nocker M. Exponentiation in finite fields: theory and practice. LNCS, 1997, vol. 1255, pp. 88-113.

13. Smart N. Cryptography: An Introduction (3rd edition). McGraw — Hill, 2003.

14. Gashkov S. B. and Sergeev I. S. An application of the method of additive chains to inversion in finite fields. Discr. Math. Appl., 2006, vol. 16, no. 6, pp. 601-618.

15. BrauerA. On addition chains. Bull. Amer. Math. Soc., 1939, vol.45, pp. 736-739.

16. ErdosP. Remarks on number theory, III: On addition chains. Acta Arith., 1960, vol.6, pp.77-81.

17. Il'inA.M. Ob additivnykh tsepochkakh chisel [On addition chains of numbers]. Problemy Kibernetiki, vol.13. Moscow, Fizmatlit Publ., 1965, pp. 245-248. (in Russian)

18. Schonhage A. A. Lower bound for the lenght of addition chains. Theor. Comput. Sci., 1975, vol.1, pp. 1-12.

19. Savage J. E. The Complexity of Computing. New York, Wiley, 1976.

20. Nigmatullin R. G. Slozhnost' bulevykh funktsiy [The Complexity of Boolean Functions]. Moscow, Nauka Publ., 1991. (in Russian)

21. Lupanov O. B. Asimptoticheskie otsenki slozhnosti upravlyayushchikh sistem [Asymptotic Estimations of Complexity of Control Systems]. Moscow, MSU Publ., 1984. (in Russian)

22. Riordan J. and Shannon C. E. The number of two-terminal series-parallel networks. J. Math. Phys. Mass. Inst. Tech., 1942, vol.21, no. 2, pp. 83-93.

23. Lozhkin S. A. Otsenki vysokoy stepeni tochnosti dlya slozhnosti upravlyayushchikh sistem iz nekotorykh klassov [More accurate estimations of complexity of control systems for some classes]. Matematicheskiye Voprosy Kibernetiki, vol.6, Moscow, Nauka Publ., 1996, pp. 189-214. (in Russian)

24. Lozhkin S. A. Asimptoticheskiye otsenki vysokoy stepeni tochnosti dlya slozhnosti realizatsii bulevskikh funktsiy skhemami iz funktsional'nykh elementov [More accurate asymptotic estimations of complexity of Boolean functions realization by logic circuits]. Proc. II Intern. conf. "Diskretnye modeli v teorii upravlyayushchikh sistem" (22-23 June 1997), Moscow, Dialog-MSU Publ., 1997, pp. 37-39. (in Russian)

25. Kochergin V. V. and Kochergin D. V. Revision of asymptotic behavior of the complexity of word assembly by concatenation circuits. Moscow University Math. Bull., 2016, vol. 71, iss. 2, pp.55-60.

26. Volger H. Some results on addition/subtraction chains. Inform. Proc. Lett., 1985, vol.20, pp.155-160.

27. Morain F. and Olivos J. Speeding up the computation on an elliptic curve using addition-subtraction chains. Informatique Theorique et Applications, 1990, vol. 24, pp. 531-544.

28. Kochergin V. V. On the complexity of computations of monomials and tuples of powers. Siberian Adv. Math., 1996, vol.6, no. 1, pp. 71-86.