# Fattorizzazione di un intero $N = pq$ con Shor

## Shor
Consideriamo le funzioni di variabile intera del tipo 
$$f(x) = a^x \pmod N$$ 
dove a,N (con a < N) definiscono la funzione.

Possiamo calcolare il periodo (minimo) $r$ di $f(x)$ con Shor.

Osserviamo ora che $r$ è il più piccolo intero per cui $a^r = 1 \pmod N$.

Infatti se $a^r = 1 \pmod N$, allora questo è un periodo di $f(x)$.
Esplicitamente, utilizzando che $a^r = 1 \pmod N$ si trova:
$$f(x+r) = a^{x+r} \pmod N = a^xa^r \pmod N = a^x \pmod N = f(x)$$
Da questo fatto riusciamo a fattorizzare un numero $n=pq$.


## Come si fattorizza?
Si consideri $N = pq$ con $p, q$ primi.

- Consideriamo un intero $a < N$, **scelto a piacere**.
- Con **Shor** calcoliamo il periodo _minimo_ di $f(x) = a^x \pmod N$, ovvero il _minimo_ intero $r$ per cui $a^r = 1 \pmod N$, perciò

$$a^r - 1 = 0 \pmod 1$$
**Siccome $a$ lo posso scegliere**, lo scelgo in modo che $r$ sia **pari**, allora $\frac{r}{2}$ è un intero. Quindi posso valutare $a^x$ in $x=\frac{r}{2}$ e scrivere che:
$$a^r - 1 = (a^{\frac{r}{2}}-1)(a^{\frac{r}{2}}+1) = 0 \pmod N$$
Chiamiamo $x=(a^{\frac{r}{2}}-1)$ ed $y=(a^{\frac{r}{2}}+1)$, quindi $$xy = 0 \pmod N$$ 

Se $x$ ed $y$ sono **entrambi non nulli**, la relazione precedente significa che il prodotto $xy$ è un **multiplo** di N. 
##### Quando x ed y sono non nulli?
- $x = (a^{\frac{r}{2}}-1) \neq 0 \pmod N$ perché, se così fosse, avrei che $x \pmod N = 0$, ovvero che $(a^{\frac{r}{2}}-1) = 0 \pmod N$, quindi $a^{\frac{r}{2}} = 1 \pmod N$. Ma questo è in contraddizione col fatto che $r > \frac{r}{2}$ è il valore _minimo_ per cui $a^r = 1 \pmod N$;
- $y = (a^{\frac{r}{2}}+1)$ può essere nullo per qualche scelta di $a$. Tuttavia io **posso scegliere** $a$ e quindi lo scelgo in modo che $y \neq 0$.

Sappiamo che $xy$ è un multiplo di $N=pq$, quindi $xy=N[...]=pq[...]$, dove $[...]$ rappresenta un prodotto di eventuali altri interi.

Visto che $p$ e $q$ sono numeri primi, se considero la scomposizione in numeri primi di $[...]=\prod k_i^{q_i}$, allora **la scomposizione** in fattori primi di $xy$ è
$$xy = pq\prod k_i^{q_i}$$
dove ogni $k_i$ è un numero primo e gli esponenti $q_i$ sono numeri naturali.

##### Scomposizioni in fattori primi di x ed y
Consideriamo la scomposizione in fattori primi di $x$. Questa può contere **al più** $p, q$ ed i fattori $k_i$ (con potenze al più $q_i$).

Abbiamo visto che
- $x$ **non è un multiplo** di $N=pq$, perché $x \neq 0 \pmod N$.
- Anche $y$ **non è un multiplo** di $N=pq$, perché **abbiamo scelto** $a$ affinché $y \neq 0 \pmod N$.


Dunque la fattorizzazione di $x$ non contiene sia $p$ che $q$, ma al più uno dei due soltanto, altrimenti avrei $x \geq N$. Ed anche per $y$ vale la stessa considerazione, ovvero la sua fattorizzazione non li contiene entrambi, ma al più uno dei due.

Siccome sia $p$ che $q$ devono essere in almeno una delle due fattorizzazioni, l'unica cosa possibile è: 
- $x$ contiene **uno solo fra** $q$ e $p$;
- mentre la fattorizzazione di $y$ contiene l'altro.

Chiamiamo $q$ il primo fra $q$ e $p$ contenuto nella scomposizione di x. Quindi $$x = q[...]'$$
dove $[...]'$ è un prodotto di numeri primi **che non contiene p**, visto che la fattorizzazione di $x$ contiene solo $q$ **e non** $p$ (non è il prodotto $[...]$ di prima). Ed $$N = qp$$
Quindi il massimo comune divisore tra $x$ e $N$ è q!!!

Analogamente $p$ è il massimo comune divisore tra $y$ ed $N$.




## Algoritmo
#### per fattorizzare N = pq
- Scelgo un **intero pari** $a$ a caso;
- Calcolo il **più piccolo** $r$ per cui $a^r = 1 \pmod N$ con Shor;
- Se $y = (a^{\frac{r}{2}} + 1) == 0 \pmod N$ considero un nuovo valore di $a$ e ripeto i punti precedenti;
- Calcolo $q = MCD(x, N)$ e $p = MCD(y, N)$.

Si osservi che, ridefinendo $$x = (a^{\frac{r}{2}} - 1) \rightarrow (a^{\frac{r}{2}} + 1) \pmod N$$
se prima $x$ non era multiplo di $N$, non lo è ancora. Infatti prendere il modulo $N$ significa che
$$(a^{\frac{r}{2}} + 1) = (a^{\frac{r}{2}} + 1) \pmod N + NM$$
per qualche $M\in\mathcal{Z}$. E siccome $(a^{\frac{r}{2}} + 1)$ non è un multiplo di $N$, non lo è nemmeno $(a^{\frac{r}{2}} + 1) - NM$.

Perciò l'algoritmo funziona anche se adotto questa ridefinizione di x. Inoltre si osservi che:
$$x = (a^{\frac{r}{2}} - 1) \pmod N = (a^{\frac{r}{2}} \pmod N - 1) \pmod N$$
perché $a^{\frac{r}{2}} = a^{\frac{r}{2}} \pmod N + NM$, allora
$$a^{\frac{r}{2}} - 1 = (a^{\frac{r}{2}} \pmod N -1) +NM$$
e se prendo il modulo $N$, allora il $+NM$ scompare.

Perciò, anziché calcolare $$x = (a^{\frac{r}{2}} - 1)$$, posso calcolare $$x = (a^{\frac{r}{2}}\pmod N - 1) \pmod N$$
che è più semplice da calcolare perché posso usare Square and Multiply nel secondo caso!

Analogamente faccio per $y$
$$y = (a^{\frac{r}{2}}\pmod N + 1) \pmod N$$

