crypto_AMM算法_k次剩余有k个解-优快云博客

本文链接：https://blog.youkuaiyun.com/huangdingyu6/article/details/144474839

$m^{2}\equiv c\: \: mod\: \: p$

$phi(p)=p-1$

由二次剩余知识点可知：

有解、二次剩余 : $m^{phi(p)/2}\equiv 1\: \: mod\: \: p$

无解、二次非剩余: $x^{phi(p)/2}\equiv -1\: \: mod\; \; p$

当p为质数的时候即phi(p)=p-1

有解、二次剩余 : $m^{(p-1)/2}\equiv 1\: \: mod\: \: p$

无解、二次非剩余: $x^{(p-1)/2}\equiv -1\: \: mod\; \; p$

设 $p-1=2^{t}*x\Rightarrow \frac{(p-1)}{2}=2^{t-1}*s$

那么就有:

二次剩余 : $x^{2^{(t-1)}*s}\equiv 1\: \: mod\: \: p$

二次非剩余: $x^{2^{(t-1)}*s}\equiv -1\: \: mod\: \: p$

当t=1时

二次剩余: $x^{s}\equiv 1\: \: mod\: \: p$

二次非剩余: $x^{s}\equiv -1\: \: mod\: \: p$

那么两边同时乘以 $x^{\frac{1}{2}}$ 就有:

二次剩余: $x^{\frac{s+1}{2}}\equiv x^{\frac{1}{2}}\: \: mod\: \: p$

二次非剩余: $x^{\frac{s+1}{2}}\equiv -x^{\frac{1}{2}}\: \: mod\: \: p$

当x=密文(c)时，就有：

二次剩余： $c^{\frac{s+1}{2}}\equiv c^{\frac{1}{2}}\: \: mod\: \: p$

二次非剩余: $c^{\frac{s+1}{2}}\equiv -c^{\frac{1}{2}}\: \: mod\: \: p$

也就是说:

$c^{\frac{s+1}{2}}\equiv c^{\frac{1}{2}}\equiv m\: \: mod\: \: p$

当t>=2时

设x为二次剩余，y为非二次剩余

两边同时根号，右边不变，而左边乘了 $\frac{1}{2}$

二次剩余： $(x^{s})^{2^{t-2}}\equiv 1\: \: mod\: \: p$

二次非剩余: $(y^{s})^{2^{t-2}}\equiv -1\: \: mod\: \: p$

然后我们把二次非剩余的公式平方，把-1消除掉，

由于是平方二次非剩余，由二次剩余的定义二次非剩余乘以二次非剩余是等于二次剩余的

所以这里把-1消掉的同时也将它变成了二次剩余，所以公式得到：

$(y^{s})^{2^{t-1}}\equiv 1\: \: mod\: \: p$

$(x^{s})^{2^{t-2}}\equiv 1\: \: mod\: \: p$

我们两个公式相乘得到：

$(x^{s})^{2^{t-2}}(y^{s})^{2^{t-1}}\equiv 1\: \: mod\: \: p$

这时论文中引入了一个k

$(x^{s})^{2^{t-2}}(y^{s})^{2^{t-1}*k_{1}}\equiv 1\: \: mod\: \: p$ ，且 $k_{1}\in \left \{ 0,1 \right \}$

由t=2时，公式

$(y^{s})^{2^{t-1}}\equiv 1\: \: mod\: \: p$

$(x^{s})^{2^{t-2}}\equiv 1\: \: mod\: \: p$

$(x^{s})^{2^{t-3}}(y^{s})^{2^{t-2}*k_{1}}\equiv 1\: \: mod\: \: p$ ，且 $k_{1}\in \left \{ 0,1 \right \}$

当我们t=3时 $(x^{s})^{2^{t-3}}(y^{s})^{2^{t-2}*k_{1}}\equiv 1\: \: mod\: \: p$ 该公式就相当于再开了一次根得到 $(x^{s})^{2^{t-3}}(y^{s})^{2^{t-2}*k_{1}}\equiv 1\: \: mod\: \: p$

我们将 $(x^{s})^{2^{t-3}}(y^{s})^{2^{t-2}*k_{1}}\equiv 1\: \: mod\: \: p$ 乘以 $(y^{s})^{2^{t-1}}\equiv 1\: \: mod\: \: p$ 得到

$(x^{s})^{2^{t-3}}(y^{s})^{2^{t-2}*k_{1}}(y^{s})^{2^{t-1}*k_{2}}\equiv 1\: \: mod\: \: p$ ，且 $k_{1},k_{2}\in \left \{ 0,1 \right \}$

依次类推，式子演变成

$(x^{s})(y^{s})^{2k_{1}+2^{2}k_{2}+\cdots +2^{t-1}k_{t-1}}\equiv 1\: \:mod\: \: p$

我们将该式子两边同时乘x,得到

$(x^{s+1})(y^{s})^{2k_{1}+2^{2}k_{2}+\cdots +2^{t-1}k_{t-1}}\equiv x\: \:mod\: \: p$

然后我们右边提取2次方，得到

$(x^{\frac{s+1}{2}})^{2}((y^{s})^{k_{1}+2k_{2}+\cdots +2^{t-2}k_{t-1}})^{2}\equiv x\: \:mod\: \: p$

这里左右开根一直到左边没有2的指数引入k是为了判断是否引入非剩余类，论文说开出正根k=0，开出负根k=1，一共t-1个k：

这个时候带入c为原来的剩余类，也就是x，得到：

$(c^{\frac{s+1}{2}})^{2}((y^{s})^{k_{1}+2k_{2}+\cdots +2^{t-2}k_{t-1}})^{2}\equiv c\: \:mod\: \: p$

两边同时根号就能得出m了:

$(x^{\frac{s+1}{2}})^{2}((y^{s})^{k_{1}+2k_{2}+\cdots +2^{t-2}k_{t-1}})^{2}\equiv c^{\frac{1}{2}}\equiv m\: \:mod\: \: p$

这是2次剩余，当n次剩余也是类似

开n次方根

$(\delta ^{\alpha -1})^{r^{t-1}}$ 这个公式怎么来的呢，我们可知费马小定理

$x^{p-1}= 1\: \: (mod\; \; p)$ （1）

$x^{p-1}= 1\: \: (mod\; \; p)\Rightarrow a^{\frac{p-1}{r}}= 1\: \: (mod\: \: p)$ 代入 $x^{e}=a \: \:( mod\: \: p)$ ，将a用 $x^{r}$ 替换

2、我们可知AMM算法求解的情况为 r | （p-1）的情况，所以我们可以写出以下条件：

$p-1=r^{t}*s$

3、找到一个q值使其满足 $q^{\frac{p-1}{r}}\neq 1\: \: (mod\: \: p)$ （2）

4、找到一个 $\alpha$ 值，使其满足 s | (r* $\alpha$ -1)，可推导得：

$(a^{r\alpha -1})^{r^{t-1}}=1\: \: (mod\; \; p)$ （3）

分类讨论：

（1）t=1时：直接两边同乘a值，再对两边同时开r次方导，带入（1）式，即可求得x的值；

（2）t>=2时：=>取（2）式可推导得： $k_{i}=(q^{s})^{i*r^{t-1}}$ 其中 $(k=(k_{1},k_{2},k_{3}\cdots k_{r-1}))$

其中K是对（3）式开r次方所有可能解的集合,当我们算 $k_{i}^{r}$ 时，通过欧拉定理，我们可知 $k_{i}^{r}\equiv 1\: \: (mod\: \: p)\Rightarrow k_{i}k_{r-i}=((q^{s})^{i*r^{t-1}})*(q^{s})^{(r-i)*r^{t-1}}=(q^{s})^{r^{t}}$