Réduction de Barrett

En arithmétique modulaire, la réduction de Barrett est un algorithme de réduction introduit en 1986 par Paul D. Barrett^[1]. Une façon naïve de calculer :

${\displaystyle c=amodn}$

serait d'utiliser un algorithme de division rapide ; la réduction de Barrett est un algorithme conçu pour optimiser cette opération en supposant ${\displaystyle n}$ constant et ${\displaystyle a<n^2}$, remplaçant les divisions par des multiplications.

Soit ${\displaystyle s=1/n}$ l'inverse de ${\displaystyle n}$ comme nombre à virgule flottante. Alors

${\displaystyle amodn=a-\lfloor as\rfloor n}$

où ${\displaystyle \lfloor x\rfloor }$ est la fonction partie entière. Le résultat est exact, tant que ${\displaystyle s}$ est calculé avec une précision suffisante.

Barrett a initialement considéré une version de l'algorithme ci-dessus sur les nombres entiers qui tiennent dans un seul mot machine.

En calculant ${\displaystyle amodn}$ avec la méthode ci-dessus, mais avec des entiers, l'analogue évident serait la division par ${\displaystyle n}$:

func reduire(a uint) uint {
  q := a / n  // La division retourne implicitement la partie entière du résultat
  return a - q * n
}

Cependant, la division est lente et, dans les algorithmes de cryptographie, peut ne pas être une opération en temps constant sur certains processeurs. Ainsi, la réduction de Barrett approxime ${\displaystyle 1/n}$ par la valeur ${\displaystyle m/2^k}$, car la division par ${\displaystyle 2^k}$ est juste un décalage de bits vers la droite, donc est très rapide.

Afin de calculer la meilleure valeur pour ${\displaystyle m}$ étant donné ${\displaystyle 2^k}$, on considère :

${\displaystyle \frac{m}{2^k}=\frac{1}{n}⟺m=\frac{2^k}{n}}$

Pour que ${\displaystyle m}$ soit un entier, on a besoin d'arrondir ${\displaystyle 2^k/n}$ d'une certaine manière. Arrondir à l'entier le plus proche donnerait la meilleure approximation mais peut faire que ${\displaystyle m/2^k}$ soit plus grand que ${\displaystyle 1/n}$, qui peut provoquer un soupassement arithmétique. Ainsi, ${\displaystyle m=\lfloor 2^k/n\rfloor }$ est généralement utilisé.

La fonction reduire ci-dessus peut donc être approximée par :

func reduire(a uint) uint {
  q := (a * m) >> k // ">> k" est le décalage de k bits vers la droite.
  return a - q * n
}

Cependant, puisque ${\displaystyle m/2^k\le 1/n}$, la valeur de ${\displaystyle q}$ dans cette fonction peut être un peu trop petite, et ainsi ${\displaystyle a}$ est seulement garantie d'être dans ${\displaystyle [0,2n[}$ plutôt que ${\displaystyle [0,n)}$ comme c'est généralement requis. Une soustraction conditionnelle peut corriger cela :

func reduire(a uint) uint {
  q := (a * m) >> k
  a -= q * n
  if n <= a {
    a -= n
  }
  return a
}

Puisque ${\displaystyle m/2^k}$ est seulement une approximation, l'intervalle de validité de ${\displaystyle a}$ doit être considéré. L'erreur sur l'approximation de ${\displaystyle 1/n}$ est:

${\displaystyle e=\frac{1}{n}-\frac{m}{2^k}}$

Ainsi, l'erreur sur la valeur de ${\displaystyle q}$ est ${\displaystyle ae}$. Tant que ${\displaystyle ae<1}$, la réduction sera valide, d'où ${\displaystyle a<1/e}$. La fonction de réduction peut ne pas donner immédiatement un mauvais résultat quand ${\displaystyle a\ge 1/e}$ mais la borne sur ${\displaystyle a}$ doit être respectée pour garantir une réponse correcte dans le cas général.

En choisissant de plus grandes valeurs de ${\displaystyle k}$, l'intervalle des valeurs de ${\displaystyle a}$ pour lesquelles la réduction est valide peut-être augmentée, mais de plus grandes valeurs de ${\displaystyle k}$ peut causer des dépassements d'entiers.

Regardons le cas ${\displaystyle n=101}$ en utilisant des entiers de 16 bits.

La plus petite valeur de ${\displaystyle k}$ qui a du sens est ${\displaystyle k=7}$ car si ${\displaystyle 2^k<n}$ alors la réduction ne sera valide que pour des valeurs qui sont déjà minimales ! Pour une valeur de sept, ${\displaystyle m=\lfloor 2^k/n\rfloor =\lfloor 128/101\rfloor =1}$. Pour une valeur de huit ${\displaystyle m=\lfloor 256/101\rfloor =2}$. Ainsi ${\displaystyle k=8}$ ne donne aucun avantage car l'approximation de ${\displaystyle 1/101}$, dans ce cas ${\displaystyle 2/256}$, est exactement la même que ${\displaystyle 1/128}$. Pour ${\displaystyle k=9}$, on obtient ${\displaystyle m=512/101=5}$, qui donne une meilleure approximation.

Maintenant, considérons les intervalles de validité pour ${\displaystyle k=7}$ et ${\displaystyle k=9}$.

Dans le premier cas, ${\displaystyle e=1/n-m/2^k=1/101-1/128=27/12928}$ donc ${\displaystyle a<1/e}$ implique ${\displaystyle a<478.81}$. Puisque ${\displaystyle a}$ est un entier, la valeur maximum effective est 478. (En pratique la fonction donne le bon résultat jusque 504.)

Si on prend ${\displaystyle k=9}$ alors ${\displaystyle e=1/101-5/512=7/51712}$ et donc la valeur maximum de ${\displaystyle a}$ est 7387. (En pratique la fonction donne le bon résultat jusque 7473.)

La valeur suivante de ${\displaystyle k}$ qui donne une meilleure approximation est 13, donnant ${\displaystyle 81/8192}$. Cependant, notons que la valeur intermédiaire ${\displaystyle ax}$ dans les calculs va dépasser la capacité d'un entier 16 bits non-signé lorsque ${\displaystyle 810\le a}$, ainsi ${\displaystyle k=7}$ fonctionne mieux dans cette situation.

Soit ${\displaystyle k_0}$ le plus petit entier tel que ${\displaystyle 2^{k_0}>n}$. Prenons ${\displaystyle k_0+1}$ comme valeur raisonnable pour ${\displaystyle k}$ dans les équations précédentes. Comme dans les fragments de code ci-dessus, soit

• ${\displaystyle q=\lfloor \frac{ma}{2^k}\rfloor }$ et
• ${\displaystyle r=a-qn}$.

Grâce à la fonction partie entière, ${\displaystyle q}$ est un entier et ${\displaystyle r\equiv a(\mathrm{mod}n)}$. Aussi, si ${\displaystyle a<2^k}$ alors ${\displaystyle r<2n}$. Dans ce cas, en écrivant le fragment de code en expression :

${\displaystyle amodn=\{\begin{array}{cc}r& \text{si }r<n\\ r-n& \text{sinon}\end{array}}$

La preuve que ${\displaystyle r<2n}$ est alors immédiate :

Si ${\displaystyle a<2^k}$, alors

${\displaystyle \frac{a}{2^k}\cdot (2^{k}modn)<n}$

Puisque ${\displaystyle n\cdot \frac{mamod{2}^k}{2^k}<n}$ indépendamment de ${\displaystyle a}$, on obtient :

${\displaystyle \frac{a\cdot (2^{k}modn)}{2^k}+n\cdot \frac{mamod{2}^k}{2^k}<2n}$

${\displaystyle a-(a-\frac{a\cdot (2^{k}modn)}{2^k})+\frac{n\cdot (mamod{2}^k)}{2^k}<2n}$

${\displaystyle a-\frac{a}{2^k}\cdot (2^k-(2^{k}modn))+\frac{n\cdot (mamod{2}^k)}{2^k}<2n}$

${\displaystyle a-\frac{na}{2^k}\cdot \left(\frac{2^k-(2^{k}modn)}{n}\right)+\frac{n\cdot (mamod{2}^k)}{2^k}<2n}$

${\displaystyle a-\frac{na}{2^k}\cdot \lfloor \frac{2^k}{n}\rfloor +\frac{n\cdot (mamod{2}^k)}{2^k}<2n}$

${\displaystyle a-\frac{nma}{2^k}+\frac{n\cdot (mamod{2}^k)}{2^k}<2n}$

${\displaystyle a-\left(\frac{ma-(mamod{2}^k)}{2^k}\right)\cdot n<2n}$

${\displaystyle a-\lfloor \frac{ma}{2^k}\rfloor \cdot n<2n}$

${\displaystyle a-qn<2n}$

${\displaystyle r<2n}$

La motivation initiale de Barrett pour sa réduction était l'implémentation de RSA, lorsque les valeurs en question dépassent la taille d'un mot machine. Dans cette situation, Barrett donne un algorithme qui approxime la version à un mot ci-dessus mais pour des valeurs sur plusieurs mots. Pour plus de détails, voir la section 14.3.3 de Handbook of Applied Cryptography^[2].

Modèle:Traduction/Référence Modèle:Références

• La réduction de Montgomery est un autre algorithme similaire.

• Modèle:Ouvrage
• Modèle:Ouvrage

Modèle:Portail