超级会员免费看
代数与数论中的模平方根、群结构及素性测试
1. 模平方根的计算
在数论中,计算二次剩余的平方根是一个重要问题。当 (n) 为合数时,计算模 (n) 的平方根可能是困难甚至不可行的,例如Rabin密码系统就基于此特性。但当 (n) 为素数时,我们可以使用高效算法来确定平方根。
存在一个(概率性)多项式算法 (Sqrt),给定素数 (p) 和 (a \in QR_p)((QR_p) 表示模 (p) 的二次剩余集合),能计算出 (a) 在 (Z_p^*) 中的平方根 (x),即 (Sqrt(p, a) = x) 且 (x^2 = a)(在 (Z_p) 中)。
对于 (a \in QR_p),其平方根是方程 (X^2 - a = 0) 在 (Z_p) 上的解。当 (p > 2) 时,(a) 有两个平方根,若 (x) 是一个平方根,则 (-x) 是另一个。该算法是概率性的,意味着包含随机选择,且运行时间受输入二进制长度的多项式限制,属于Las Vegas算法,期望在多项式时间内返回正确结果。
算法的证明分两种情况:
- 当 (p \equiv 3 \mod 4) 时,因为 (4) 整除 (p + 1),((p + 1)/4) 是整数,(x := a^{(p + 1)/4}) 就是 (a) 的平方根。
- 当 (p \equiv 1 \mod 4) 时,上述简单计算方法不可行。我们选择一个二次非剩余 (b \in QNR_p),通过一系列步骤计算指数 (s) 使得 (a^r b^{2s} = 1),进而得到 (a) 的平方根 (a^{(r + 1)/2} b^s)。
具体算法如下:
Algorithm A.67.
int Sqrt(int a, prime p)
1
if p ≡ 3 mod 4
2
then return a(p + 1) div 4 mod p
3
else
4
randomly choose b ∈ QNRp
5
i ← (p - 1) div 2; j ← 0
6
repeat
7
i ← i div 2; j ← j div 2
8
if a^i b^j ≡ -1 mod p
9
then j ← j + (p - 1) div 2
10
until i ≡ 1 mod 2
11
return a(i + 1) div 2 b^j div 2 mod p
当 (n) 为合数且是不同素数的乘积,并且我们知道这些素数时,可以利用中国剩余定理将模 (n) 的平方根计算转化为模素数的平方根计算,再应用上述算法。
设 (n = pq)((p) 和 (q) 为不同素数),通过中国剩余定理的同构映射 (\psi_{p,q}) 和 (\chi_{p,q}),可以将问题简化。在 (Z_p) 和 (Z_q) 中,二次方程 (X^2 - [a_1] = 0) 最多有两个解,结合 (Z_p) 和 (Z_q) 中 (a_1) 和 (a_2) 的平方根,可得到 (Z_n) 中 (a) 的平方根。
相关命题总结如下:
|命题|内容|
| ---- | ---- |
|命题A.68|设 (p) 和 (q) 为不同的素数且 (p,q > 2),(n := pq)。已知 (n) 的素因数 (p) 和 (q),则 (Z_n) 中二次剩余 ([a]) 的平方根可高效计算。具体情况包括:([x] = ([x_1], [x_2])) 是 ([a]) 的平方根当且仅当 ([x_1]) 是 ([a_1]) 在 (Z_p) 中的平方根且 ([x_2]) 是 ([a_2]) 在 (Z_q) 中的平方根;若 ([x_1]) 和 (-[x_1]) 是 ([a_1]) 的平方根,([x_2]) 和 (-[x_2]) 是 ([a_2]) 的平方根,则 ([u] = ([x_1], [x_2])),([v] = ([x_1], -[x_2])),(-[v] = (-[x_1], [x_2])) 和 (-[u] = (-[x_1], -[x_2])) 是 ([a]) 的所有平方根;([0]) 是 ([0] = ([0], [0])) 的唯一平方根;若 ([a_1] \neq [0]) 且 ([a_2] \neq [0]),则 ([a]) 有四个不同的平方根;若 ([a_1] = [0]) 且 ([a_2] \neq [0]),则 ([a]) 有两个不同的平方根。|
|命题A.69|设 (n := pq)((p,q > 2) 为不同素数),([u]) 和 ([v]) 是 ([a] \in QR_n) 的平方根且 ([u] \neq \pm [v]),则可通过欧几里得算法从 ([u]) 和 ([v]) 计算出 (n) 的素因数。|
|命题A.70|设 (I := {n \in N | n = pq, p, q) 为不同素数 (}),则存在概率多项式算法 (A_1) 输入 (n \in I) 和 (a \in QR_n) 返回 (a) 在 (Z_n^*) 中的平方根,等价于存在概率多项式算法 (A_2) 输入 (n \in I) 得出 (n) 的素因数。|
|命题A.71|设 (p) 和 (q) 为不同素数,(n := pq),则 (|QR_n| = (p - 1)(q - 1)/4)。|
|命题A.72|设 (p) 和 (q) 为不同素数且 (p,q \equiv 3 \mod 4),(n := pq),([a] \in QR_n) 有四个平方根 ([u] = ([x_1], [x_2])),([v] = ([x_1], -[x_2])),(-[v] = (-[x_1], [x_2])) 和 (-[u] = (-[x_1], -[x_2])),则 ((\frac{u}{n}) = -(\frac{v}{n})),且四个平方根中只有一个在 (QR_n) 中。|
下面是计算模平方根的流程 mermaid 图:
graph TD;
A[输入素数 p 和二次剩余 a] --> B{p ≡ 3 mod 4?};
B -- 是 --> C[计算 x = a(p + 1) div 4 mod p 并返回];
B -- 否 --> D[随机选择二次非剩余 b];
D --> E[i ← (p - 1) div 2; j ← 0];
E --> F{循环};
F --> G[i ← i div 2; j ← j div 2];
G --> H{a^i b^j ≡ -1 mod p?};
H -- 是 --> I[j ← j + (p - 1) div 2];
H -- 否 --> J{是否 i ≡ 1 mod 2};
I --> J;
J -- 否 --> F;
J -- 是 --> K[计算 a(i + 1) div 2 b^j div 2 mod p 并返回];
2. 群 (Z_{n^2}^*) 的结构
设 (n = pq),其中 (p) 和 (q) 为不同素数且 (\gcd(n, \varphi(n)) = 1)((\varphi(n) = (p - 1)(q - 1))),我们研究素剩余类群 (Z_{n^2}^*) 的结构,它是Paillier加密方案的基础。
有以下几个重要的引理和定义:
- 引理A.73:对于 (x, y \in N),(e \geq 1),((x + ny)^e \equiv x^e + enx^{e - 1}y \mod n^2),特别地,((x + ny)^n \equiv x^n \mod n^2);(x^n \equiv 1 \mod n^2) 当且仅当 (x \equiv 1 \mod n)。
- 定义A.74:(x \in Z_{n^2}^
) 是 (n) 次剩余当且仅当存在 (y \in Z_{n^2}^
) 使得 (x = y^n),(Z_{n^2}^
) 中 (n) 次剩余构成的子群记为 (R_n)。
- 命题A.75:映射 (\varepsilon : Z_n^
\to R_n),([x] \to [x^n]) 是群同构,所以 (R_n) 有 (\varphi(n)) 个元素。
- 定义A.76:方程 (X^n = [1]) 在 (Z_{n^2}^
) 中的解称为 (n) 次单位根,(Z_{n^2}^
) 中 (n) 次单位根构成的子群记为 (W_n)。
- 命题A.77:子群 (W_n) 是循环子群,包含 (n) 个元素。元素 (w \in W_n) 的阶为 (n)(即 (w) 是 (W_n) 的生成元)当且仅当 (w = [1 + kn]),(1 \leq k \leq n - 1) 且 (\gcd(k, n) = 1),特别地,(W_n) 有 (\varphi(n)) 个生成元。
设 (g \in Z_{n^2}^
) 是阶为 (n) 的元素(即 (g) 是 (W_n) 的生成元),有以下映射和命题:
- 映射 (Exp_g : Z_n \to W_n),(x \to g^x) 是群同构,其逆映射记为 (Log_g)。
- 定义 (L : W_n \to N),([w] \to \frac{w - 1}{n}),(L) 函数能返回 (n) 次单位根 (w \in W_n) 关于生成元 ([1 + n]) 的对数,即 (Log_{[1 + n]}(w) = [L(w)])。
- 命题A.78:对于 (w \in W_n),(Log_g(w) = [L(w)] \cdot [L(g)]^{-1})。
- 命题A.79:映射 (E_g : Z_n \times Z_n^
\to Z_{n^2}^
),((m, r) \to g^m r^n) 是群同构。
- 命题A.80:设 (\lambda := lcm(p - 1, q - 1)),(g \in Z_{n^2}^
) 是阶为 (n) 的元素,(w \in Z_{n^2}^
) 且 (w = g^m r^n)((m \in Z_n),(r \in Z_n^
)),则 (m = [L(w^{\lambda})] \cdot [L(g^{\lambda})]^{-1})。
群 (Z_{n^2}^
) 相关概念的关系可以用以下表格总结:
|概念|定义或性质|
| ---- | ---- |
| (R_n) | (Z_{n^2}^
) 中 (n) 次剩余构成的子群,与 (Z_n^
) 同构,元素个数为 (\varphi(n)) |
| (W_n) | (Z_{n^2}^
) 中 (n) 次单位根构成的循环子群,元素个数为 (n),有 (\varphi(n)) 个生成元 |
| (Exp_g) | 从 (Z_n) 到 (W_n) 的群同构映射 |
| (Log_g) | (Exp_g) 的逆映射 |
| (L) 函数 | 用于计算 (n) 次单位根关于生成元 ([1 + n]) 的对数 |
| (E_g) | 从 (Z_n \times Z_n^
) 到 (Z_{n^2}^
) 的群同构映射 |
下面是群 (Z_{n^2}^*) 相关映射的 mermaid 图:
graph LR;
A[Z_n] -- Exp_g --> B[W_n];
B -- Log_g --> A;
C[Z_n^*] -- ε --> D[R_n];
E[Z_n × Z_n^*] -- E_g --> F[Z_{n^2}^*];
3. 素数与素性测试
判断一个给定的数是否为素数是一个被广泛研究的问题。我们将讨论用于快速识别合数的概率方法,如果这些测试未能证明一个数是合数,那么至少在很高的概率下,我们可以认为这个数是素数。
3.1 素数的分布
- 欧几里得定理 :存在无限多个素数。假设只有有限个素数 (p_1, \ldots, p_r),令 (n = 1 + p_1 \cdot \ldots \cdot p_r),则 (p_i) 都不整除 (n),所以 (n) 要么是素数,要么包含一个不同于 (p_i) 的新素因数,这与假设矛盾。
- 素数定理 :设 (\pi(x) = |{p \text{ 素数} | p \leq x}|),对于大的 (x),(\pi(x) \approx \frac{x}{\ln(x)})。由此可得,在量级为 (x) 的数中,素数的频率大约为 (\frac{1}{\ln(x)})。
- 狄利克雷定理 :设 (b, c \in N) 且 (\gcd(b, c) = 1),令 (\pi_{b,c}(x) = |{p \text{ 素数} | p \leq x, p = kb + c, k \in N}|),对于大的 (x),(\pi_{b,c}(x) \approx \frac{1}{\varphi(b)} \frac{x}{\ln(x)})。所以在量级为 (x) 且满足 (a \mod b = c) 的数中,素数的频率大约为 (\frac{b}{\varphi(b) \ln(x)})。
3.2 素性测试的基本原理
我们利用有限群的性质:设 (G) 是有限群,(H \subset G) 是子群,则 (|H|) 是 (|G|) 的因数。对于 (Z_n^ ) 的真子群 (H),(|H| \leq \frac{|Z_n^ |}{2} = \frac{\varphi(n)}{2})。
费马小定理给出了素数的一个必要条件:若 (n) 是奇数且为素数,对于所有满足 (\gcd(a, n) = 1) 的 (a \in N),有 (a^{n - 1} \equiv 1 \mod n)。反之,如果存在 (a \in N) 使得 (\gcd(a, n) = 1) 且 (a^{n - 1} \not\equiv 1 \mod n),则 (n) 不是素数。但存在合数 (n) 使得对于所有满足 (\gcd(a, n) = 1) 的 (a),都有 (a^{n - 1} \equiv 1 \mod n),这样的数称为卡迈克尔数,最小的卡迈克尔数是 (561 = 3 \cdot 11 \cdot 17)。
卡迈克尔数有以下性质:
- 命题A.88:若 (n) 是卡迈克尔数,(p) 是整除 (n) 的素数,则 (p^2) 不整除 (n),即 (n) 的分解中不包含平方项。
- 命题A.89:设 (n) 是奇数且为无平方因子的合数,则 (n) 是卡迈克尔数当且仅当对于 (n) 的所有素因数 (p),都有 ((p - 1) | (n - 1))。
- 推论A.90:每个卡迈克尔数至少包含三个不同的素数。
3.3 基于二次剩余的素性测试
- 命题A.91 :设 (n) 是奇数且为合数,定义 (E_n = {[a] \in Z_n^* | (\frac{a}{n}) \not\equiv a^{(n - 1)/2} \mod n}),则 (|E_n| \geq \frac{\varphi(n)}{2})。即对于超过一半的 ([a]),有 ((\frac{a}{n}) \not\equiv a^{(n - 1)/2} \mod n)。这是Solovay - Strassen素性测试的基础。
- 命题A.92 :设 (n) 是奇数且为合数,(n - 1 = 2^t m)((m) 为奇数),定义 (W_n = {[a] \in Z_n^* | a^m \not\equiv 1 \mod n) 且 (a^{2^j m} \not\equiv -1 \mod n) 对于 (0 \leq j \leq t - 1}),则 (|W_n| \geq \frac{\varphi(n)}{2}),实际上 (|W_n| \geq \frac{3}{4} \varphi(n))。这是Miller - Rabin素性测试的基础,并且 (E_n) 是 (W_n) 的子集。
3.4 概率素性测试
上述命题是概率算法的基础,用于测试给定的奇数是否为素数。
-
基本流程
:定义一个集合 (W) 作为 (n) 是合数的见证集((W := E_n) 对应Solovay - Strassen测试,(W := W_n) 对应Miller - Rabin测试)。随机选择一个元素 (a \in Z_n^
),检查 (a) 是否属于 (W)。由于 (|W| \geq \frac{\varphi(n)}{2}),如果 (n) 是合数,通过随机选择得到见证的概率至少为 (\frac{1}{2})。重复随机选择 (k) 次,可以将找到见证的概率提高到至少 (1 - \frac{1}{2^k})。如果没有找到见证,则认为 (n) 是素数。
-
算法比较
*:Miller - Rabin素性测试是更好的选择,原因如下:
- 测试条件更容易计算。
- Solovay - Strassen测试的见证也是Miller - Rabin测试的见证。
- 在Miller - Rabin测试中,一次随机选择得到见证的概率至少为 (\frac{3}{4})。
以下是Miller - Rabin素性测试的算法:
Algorithm A.93
输入: 奇数 n, 安全参数 k
输出: “素数” 或 “合数”
for i = 1 to k do
随机选择 a ∈ Z_n^*
计算 n - 1 = 2^t m, m 为奇数
if a^m ≡ 1 mod n then
continue
for j = 0 to t - 1 do
if a^{2^j m} ≡ -1 mod n then
continue
return “合数”
return “素数”
概率素性测试的流程可以用以下 mermaid 图表示:
graph TD;
A[输入奇数 n 和安全参数 k] --> B{循环 k 次};
B --> C[随机选择 a ∈ Z_n^*];
C --> D[计算 n - 1 = 2^t m, m 为奇数];
D --> E{a^m ≡ 1 mod n?};
E -- 是 --> B;
E -- 否 --> F{循环 j 从 0 到 t - 1};
F --> G{a^{2^j m} ≡ -1 mod n?};
G -- 是 --> B;
G -- 否 --> H[返回 “合数”];
B -- 结束 --> I[返回 “素数”];
综上所述,我们介绍了模平方根的计算方法、群 (Z_{n^2}^ ) 的结构以及素性测试的相关知识。模平方根的计算在密码学中有重要应用,如Rabin密码系统;群 (Z_{n^2}^ ) 的结构是Paillier加密方案的基础;而素性测试则是生成大素数的关键步骤,在许多密码算法中都有广泛应用。通过概率素性测试,我们可以在合理的时间内以很高的概率判断一个数是否为素数。
扫一扫
18
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
