所谓 pollard-rho，就是泼辣的肉

（逃）

前言

许多题解都把这两个算法放在了一起。
那我也这样办吧！

miller-rabin可以在优秀的时间复杂度内完成对一个数的素性检测。
而pollard-rho则是立足于Miler-rabin之上，可以在 $O(n^{\frac{1}{4}})$ 的复杂度内分解出一个合数的非平凡因子。

Miller-rabin

费马定理：若 $p$ 为质数，那么 $a^p\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$，如果 $a\perp p$，同时也有 $a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

那么一个朴素的思想是随便找一个 $a$，看是否有 $a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。
但是，费马定理的逆定理并不成立，因此这个算法是很容易挂掉的，事实上，存在一类合数 $n$，对于任意的 $a\perp n$，都有 $a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，这类数被称为卡迈克尔数。最小的卡迈克尔数为 $561$，已经可以证明，卡迈克尔数的数量是无穷个的。
我们需要更强的判断方法。

二次检测定理：如果 $p$ 为质数，那么 $x^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$ 的两个解分别为 $x\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$ 和 $x\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

证明：移项得 $(x+1)(x-1)\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}p)$，由于 $p$ 是质数，所以要使等式成立，只能是两个括号中的一个等于 $0$。
反过来，如果对于一个 $x\ne \pm 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，出现了 $x^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，那么 $p$ 一定不是一个素数。

所以，我们考虑对于所有的奇素数 $p$（$2$ 可以特判），$p-1$ 都可以写成 $a\cdot 2^k(a\%2=1,k>0)$ 的形式，那么我们就可以把原来的式子变一下形：
$$\begin{gathered} x^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ {x}^{a\cdot 2^k}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ (x^{a\cdot 2^{k-1}}{)}^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p) \end{gathered}$$
那么就出现了一个可以使用二次探测的形式，我们检查一下 $x^{a\cdot 2^{k-1}}$ 是否为 $\pm 1$ 即可。同时，注意到，如果 $k>1$ 且 $x^{a\cdot 2^{k-1}}$ 依然等于 $1$，那么我们可以递归的进行多次二次探测。

虽然正确性大大提高，这个算法依然是一个概率性检测。我们需要多选取几个 $a$，多次检测才能尽可能的保证其正确性。
实践表明，选取前 $12$ 个质数已经可以保证 $n=2^{64}$ 以内的正确性了。

注意！ 费马定理的前提是 $a\perp p$，因此，如果 $a=p$，会把 $p$ 错判成合数，需要特判。

int p[13]={0,2,3,5,7,11,13,17,19,23,29,31,37};
bool check(ll a,ll n){	ll k=n-1;if(ksm(a,k,n)!=1) return false;while(1){k>>=1;ll x=ksm(a,k,n);if(x!=1&&x!=n-1) return false;if(x==n-1||(k&1)) return true;}
}
bool prime(ll n){//miller-rabinif(n<3||((n&1)==0)) return n==2;for(int i=1;i<=12;i++){if(p[i]==n) return true;if(!check(p[i],n)) return false;}return true;
}

Pollard-Rho

感谢 $\text{\_slb}$ 和 $\text{Asta}$！
（不会打红黑名凑活看吧）
既然弗洛伊德找环慢的一批，我就不浪费大家时间，直接讲倍增优化了。毕竟这两个算法前后也并不构成前置关系。（甚至感觉倍增更好理解一些）

考虑一个随机数列：
$$x_i\equiv x_{i-1}^2+c(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
其中 $c$ 为一个随机常数。
这是一个很差的随机数实现，只要某一项出现相同，就会陷入循环节。
生日悖论告诉我们，它的循环节期望长度是 $O(\sqrt{n})$ 。
这个函数会在有限次后进入循环节，也就是：

这个样子（图源：oiwiki-分解质因数）

假设我们已经通过某种方式（比如 Miller-rabin） 知道了 $n$ 是一个合数。
那么一定存在一个 $m$，满足 $m|n,m\le \sqrt{n}$。
那么这个函数在 $\mathrm{m}\mathrm{o}\mathrm{d}m$ 的意义下的期望循环节长度就是 $O(\sqrt{m})\le O(n^{\frac{1}{4}})$。

$\mathrm{m}\mathrm{o}\mathrm{d}n$ 意义下的环和 $\mathrm{m}\mathrm{o}\mathrm{d}m$ 意义下的小环是同时存在的，大概就长成这样：

不难看出，这张图是我手画的。
其中黑线代表的是 $\mathrm{m}\mathrm{o}\mathrm{d}n$ 意义下的环（暂且叫它大环），红线是 $\mathrm{m}\mathrm{o}\mathrm{d}m$ 意义下的环（暂且叫它小环）。
那么我们要做的就是找到这个红线的环。
如何寻找？$\gcd$！
在函数上设置两个指针 $s$ 和 $t$，先让 $t$ 不断的往后移（具体而言，就是令 $t\leftarrow f(t)$）。然后计算 $\gcd (|t-s|,n)$。若 $\gcd (|s-t|,n)>1$，说明找到了一个 $n$ 的因子（或者说 $s-t$ 恰好是一个 $\mathrm{m}\mathrm{o}\mathrm{d}m$ 意义下的环），就返回结果。

但是我们发现，如果 $s$ 在 $f(0)$ 点处待着不动弹，可能 $t$ 怎么移动都没有用啊…
所以我们还需要时不时的把 $s$ 往前挪一挪。

还有一个问题：虽然我在这里把两个环叫做大环、小环，但是它们的大小关系只是在期望的意义下，也就是说，是有可能存在 $\mathrm{m}\mathrm{o}\mathrm{d}n$ 意义的环比 $\mathrm{m}\mathrm{o}\mathrm{d}m$ 的环要小的。
这个时候，两个指针还没绕完小环，就把大环绕完了。那么具体来说会出现什么情况？就是 $|t-s|\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}n)$，这个时候 $\gcd (0,n)$ 会直接返回 $n$，那么这个时候我们就重新选择 $c$，重新跑就可以了。少侠请重新来过！

具体实现上，我们发现每次都求一遍 $\gcd$ 慢的一批，怎么办？我们可以把每次得到的 $|s-t|$ 都结果累乘再一起，隔一段时间一起算就可以啦！
累乘在一起太大了怎么办？没关系，伟大的欧几里德告诉我们： $\gcd (a,n)=\gcd (a\mathrm{m}\mathrm{o}\mathrm{d}n,n)$，所以过程中取模就可以了。
那么我们具体要隔多长时间呢？间隔太短可能没啥效果，间隔太大可能明明早都出现了可以返回的结果，但你的代码还在傻傻的移动 $t$ 指针，反而变得很慢。为了和倍增的实现更好的适应，我们最好选择形如 $2^k-1$ 的间隔，而事实是：间隔设为 $127$ 口感最佳！

说了这么多，总于可以请出我们泼辣的肉的完整代码了！=v=

ll PR(ll n){//pollard-rhoc=rand()%(n-1)+1;ll s(0),t(0);ll val(1);for(int goal=1;;goal<<=1,s=t,val=1){//倍增for(int stp=1;stp<=goal;stp++){t=f(t,n);val=val*Abs(t-s)%n;if(stp%127==0){ll d=gcd(val,n);if(d>1) return d;}}ll d=gcd(val,n);if(d>1) return d;}
}
ll findfactor(ll x){ll p=x;while(p>=x) p=PR(x);//多次寻找return x;
}