Опубликован: 02.03.2017 | Доступ: свободный | Студентов: 1344 / 17 | Длительность: 21:50:00
Лекция 1:

Основы теории чисел

Лекция 1: 123456789 || Лекция 2 >

1.6 Квадратичные вычеты

Определение. Число a называется квадратичным вычетом по модулю m, если сравнение x^2 \equiv a (mod \ m) имеет решение при некотором целом x, если сравнение x^2 \equiv a (mod \ m) не имеет решений, то a называют квадратичным невычетом.

1.6.1 Символ Лежандра-Якоби

Определение. Символ Лежандра определяется следующим образом:

\left(\frac{a}{p}\right)=\left\{\begin{array}{rl}0,& \text{если $a$ делится на $p$};\\1,& \text{если $a$ - квадратичный вычет}~(mod \  p);\\-1,& \text{если $a$ - квадратичный невычет}~(mod \  p).\end{array}\right

Следующие свойства используются для вычисления символа Лежандра:

  1. \left(\dfrac{a}{p}\right)={a}^{\frac{p-1}{2}}~(mod \  p);
  2. \left(\dfrac{a+p}{p}\right)=\left(\dfrac{a}{p}\right);
  3. \left(\dfrac{a \cdot b}{p}\right)=\left(\dfrac{a}{p}\right)\left(\dfrac{b}{p}\right);
  4. \left(\dfrac{2}{p}\right)={\left(-1\right)}^{\frac{{p}^{2}-1}{8}};
  5. Квадратичный закон взаимности: если p, q - нечетные простые числа, то \left(\dfrac{p}{q}\right)={\left(-1\right)}^{\frac{\left(p-1\right)\left(q-1\right)}{4}}\left(\dfrac{q}{p}\right).

Пример 1.36 Найти случайный квадратичный невычет по модулю 449.

Решение. Будем выбирать числа случайно, и тестировать их с помощью символа Лежандра.

Пусть выбранное нами случайное число оказалось 51:

\left(\frac{51}{449}\right)=\left[\text{по свойству 3}\right]=\left(\frac{3}{449}\right)\left(\frac{17}{449}\right)=\left[\text{по свойству 5}\right]=\\{\left(-1\right)}^{\frac{448 \cdot 2}{4}}\left(\frac{449}{3}\right){\left(-1\right)}^{\frac{448 \cdot 16}{4}}\left(\frac{449}{17}\right)=\left[\text{по свойству 2}\right]=\left(\frac{2}{3}\right)\left(\frac{7}{17}\right).

По свойству 1,

\left(\frac{2}{3}\right)={2}^{\frac{3-1}{2}}=-1mod3.

Далее,

\left(\frac{7}{17}\right)={\left(-1\right)}^{\frac{16 \cdot 6}{4}}\left(\frac{17}{7}\right)=\left(\frac{3}{7}\right)={\left(-1\right)}^{\frac{6 \cdot 2}{4}}\left(\frac{7}{3}\right)=-\left(\frac{1}{3}\right)=-1.

Итак, 51 - квадратичный вычет по модулю 449. Выберем другое число. Пусть выпало число 34.

\left(\frac{34}{449}\right)=\left(\frac{2}{449}\right)\left(\frac{17}{449}\right)={\left(-1\right)}^{\frac{{449}^{2}-1}{8}}\left(\frac{17}{449}\right)=\left(\frac{17}{449}\right)=\left(\frac{449}{17}\right)=\\ \left(\frac{7}{17}\right)=-1.

Следовательно, число 34 является квадратичным вычетом по модулю 449.

Очевидным недостатком символа Лежандра является необходимость иногда применять свойство 3, требующее факторизации числа. Обобщение числа Лежандра, символ Якоби, который определяется для произвольного числа a и нечетного числа n={p}_{1}{p}_{2}{\dots}{p}_{k}, где числа {p}_{i} - простые не обязательно различные числа, лишен этого недостатка.

По определению,

\left(\frac{a}{n}\right)=\left(\frac{a}{{p}_{1}}\right) \cdot \left(\frac{a}{{p}_{2}}\right){\dots}\left(\frac{a}{{p}_{k}}\right).

Поскольку при простом n символ Якоби равен символу Лежандра, одинаковое обозначение не введёт нас в заблуждение. Отметим, что символ Якоби не является полным аналогом символа Лежандра, т.е. равенство

\left(\frac{a}{n}\right)=\left\{\begin{array}{rl}0,& \text{если $a$ не взаимно просто с } n;\\1,& \text{если $a$ - квадратичный вычет}~(mod n);\\-1,& \text{если $a$ - квадратичный невычет}~(mod n)\end{array}\right.

в общем случае не выполняется.

Свойства символа Якоби:

  1. \left(\dfrac{a+n}{n}\right)=\left(\dfrac{a}{n}\right);
  2. \left(\dfrac{a \cdot b}{n}\right)=\left(\dfrac{a}{n}\right)\left(\dfrac{b}{n}\right);
  3. \left(\dfrac{2}{n}\right)={\left(-1\right)}^{\frac{{n}^{2}-1}{8}};
  4. Квадратичный закон взаимности: если m, n - нечетные числа, то \left(\dfrac{m}{n}\right)={\left(-1\right)}^{\frac{\left(m-1\right)\left(n-1\right)}{4}}\left(\dfrac{n}{m}\right).

Повторим наши вычисления из примера с помощью символа Якоби:

\left(\frac{51}{449}\right)={\left(-1\right)}^{\frac{448 \cdot 50}{4}}\left(\frac{449}{51}\right)=\left(\frac{41}{51}\right)={\left(-1\right)}^{\frac{50 \cdot 40}{4}}\left(\frac{51}{41}\right)=\left(\frac{10}{41}\right)=\\\left(\frac{2}{41}\right)\left(\frac{5}{41}\right)={\left(-1\right)}^{\frac{{41}^{2}-1}{8}}{\left(-1\right)}^{\frac{40 \cdot 4}{2}}\left(\frac{41}{5}\right)=1 \cdot 1 \cdot \left(\frac{1}{5}\right)=1.

1.6.2 Извлечение квадратного корня по модулю

В некоторых криптографических алгоритмах требуется извлечение квадратного корня в кольце вычетов.

Задача нахождения квадратного корня по произвольному составному модулю сводится к задаче нахождения квадратного корня по простому модулю с помощью китайской теоремы об остатках. Для последней задачи существует много различных подходов. Один из них, алгоритм Тонелли-Шенкса, мы рассмотрим ниже.

Пусть p={2}^{s}q+1, где q - нечетное число, z - произвольный квадратичный невычет. Положим c={z}^{q} и будем искать корень x=\sqrt{a}~(mod \  p) в виде:

x={a}^{\frac{q+1}{2}} \cdot {c}^{{\alpha }_{0}+2{\alpha }_{1}+4{\alpha }_{2}+{\dots}}.

Подставив в равенство {x}^{{2}^{s-1}}={a}^{{2}^{s-2}}~(mod \  p) выражение для x. Поскольку

{\left({c}^{2{\alpha }_{1}+4{\alpha }_{2}+{\dots}}\right)}^{{2}^{s-1}}={z}^{q \cdot {2}^{s}({\alpha }_{1}+2{\alpha }_{2}+{\dots})}={z}^{(p-1)({\alpha }_{1}+2{\alpha }_{2}+{\dots})}=1~(mod \  p),

то получим:

{a}^{\frac{p-1}{4}} \cdot {a}^{{2}^{s-2}} \cdot {z}^{\frac{p-1}{2} \cdot {\alpha }_{0}}={a}^{{2}^{s-2}}~(mod \  p).

Далее, заметим, что {z}^{\frac{p-1}{2}}=\left(\dfrac{z}{p}\right)~(mod \  p)=-1, так как z - квадратичный невычет, а {a}^{\frac{p-1}{2}}=1~(mod \  p), так как a - квадратичный вычет. Поэтому {a}^{\frac{p-1}{4}} есть корень из единицы, и может быть либо 1, либо -1. В первом случае берём {\alpha }_{0}=0, во втором {\alpha }_{0}=1. В результате мы получаем:

{a}^{\frac{p-1}{4}}{c}^{{{2}^{s-2}\alpha }_{0}}=1 \ mod \ p

Теперь в равенство {x}^{{2}^{s-2}}={a}^{{2}^{s-3}}~(mod \  p) подставим выражение для x и получим:

{a}^{\frac{p-1}{8}}{a}^{{2}^{s-3}}{z}^{\frac{p-1}{4}{\alpha }_{0}+\frac{p-1}{2}{\alpha }_{1}}={a}^{{2}^{s-3}}~(mod \  p).

Аналогично предыдущему, {z}^{\frac{p-1}{2}{\alpha }_{1}}=-1~(mod \  p), а {a}^{\frac{p-1}{8}}{z}^{\frac{p-1}{4}{\alpha }_{0}} является корнем из единицы и может быть либо 1, либо -1. В первом случае берём {\alpha }_{1}=0, во втором {\alpha }_{1}=1. Рассматривая аналогично равенства {x}^{{2}^{s-3}}={a}^{{2}^{s-4}}~(mod \  p), {x}^{{2}^{s-4}}={a}^{{2}^{s-5}}~(mod \  p), \dots, {x}^{2}=a~(mod \  p), мы найдём все коэффициенты {\alpha }_{i}.

Данная идея реализуется алгоритмом Тонелли-Шенкса [2]:

Вход: p - простое число, a - квадратичный вычет по модулю p.

Выход: число x такое, что {x}^{2}=a~(mod \  p).

  1. Выбрать произвольный квадратичный невычет z.
  2. Вычислить {c}_{0}={z}^{q}.
  3. Положить i=0, {R}_{0}={a}^{\frac{q+1}{2}}, {t}_{0}={a}^{q}, {M}_{0}=s.
  4. Если {t}_{i}=1, положить x={R}_{i} и завершить работу.
  5. Найти мультипликативный порядок {2}^{j} числа {t}_{i}.
  6. Положить v={2}^{{M}_{i}-j-1}, {b}_{i+1}={c}^{v}, {R}_{i+1}={R}_{i}{b}_{i+1}, {t}_{i+1}={t}_{i}{b}_{i+1}^{2}, {c}_{i+1}={b}_{i+1}^{2}, {M}_{i+1}=j.
  7. Положить i=i+1 и перейти к шагу 4.

Отметим, что на каждом шаге числа и {b}_{i} и {t}_{i} имеют мультипликативный порядок степень двойки, причем на каждом шаге он понижается, поэтому алгоритм задан корректно. Для нахождения порядка t_i на шаге 5 нужно последовательно возводить его в степень.

Алгоритм Тонелли-Шенкса не позволяет находить корень по p-примарному модулю. Для решения этой задачи нам потребуется следующая идея. Если a не делится на p, и мы вычислили {x}_{0} - корень из a по модулю p, то корень {x}_{1} из a по модулю {p}^{n} можно искать в виде x={x}_{0}+p{t}_{1}. Тогда мы получим:

{x}^{2}={x}_{0}^{2}+2p{t}_{1}{x}_{0}+{p}^{2}{t}_{1}^{2}=a ~(mod {p}^{2}).

Поскольку {x}_{0}^{2}-a делится на p, то имеем:

\frac{{x}_{0}^{2}-a}{p}+2{t}_{1}{x}_{0}=0~(mod \  p^{2}).

Отсюда находим

{t}_{1}={t'}_{1}+p{t}_{2},\ {t'}_{1}=\frac{-{{x}_{0}^{2}-a}}{p} \cdot \left({\left(2{x}_{0}\right)}^{-1}~(mod \  p)\right),\ {x}_{1}={x}_{0}+p{t'}_{1}.

Отметим, что {x}_{1}^{2}=a~(mod {p}^{2}), x={x}_{1}+{p}^{2}{t}_{2}. Тогда имеем:

{x}^{2}={x}_{1}^{2}+2{p}^{2}{t}_{2}{x}_{1}+{p}^{4}{t}_{2}^{2}=a~(mod {p}^{2}).

Поскольку {x}_{1}^{2}-a делится на {p}^{2}, то имеем:

\frac{{x}_{1}^{2}-a}{{p}^{2}}+2{t}_{2}{x}_{1}=0~(mod {p}^{2}).

Отсюда находим

{t}_{2}={t'}_{2}+{p}^{2}{t}_{3},\ {t'}_{2}=\frac{-{{x}_{1}^{2}-a}}{{p}^{2}} \cdot \left({\left(2{x}_{1}\right)}^{-1}~(mod \  p)\right),\ {x}_{2}={x}_{1}+{p}^{2}{t'}_{2}.

Продолжая последовательность {x}_{i} по описанному принципу, мы найдём {x}_{n-1}^{2}=a~(mod \  p^{n}).

Если a делится на p, имеем:

{x}^{2}={a'}{p}^{v}+r{p}^{m},

и x делится на p. Следовательно, решение есть тогда и только тогда, когда a делится на четную степень p, поэтому далее можем писать:

{x}^{2}={a'}{p}^{2k}+r{p}^{m},\ x={p}^{k}\widetilde{x}.

В этом случае два решения \pm \widetilde{x} находим из уравнения {\widetilde{x}}^{2}={a'}~(mod {p}^{m-2k}). Найдём остальные решения \pm \widetilde{x}+b из уравнения:

{p}^{2k}{\widetilde{x}}^{2}\pm 2{p}^{2k}\widetilde{x}b+{{p}^{2k}b}^{2}={p}^{2k}{a'}+l{p}^{m}.

Далее,

\pm 2{p}^{2k}\widetilde{x}b+{p}^{2k}{b}^{2}=\left(l-r\right){p}^{m}.

Поскольку \widetilde{x} не делится на p, то {p}^{2k}b делится на {p}^{m}, и b делится на {p}^{m-2k}. Наоборот, если b - кратное числа {p}^{m-k}, и {\widetilde{x}}^{2}={a'}+r{p}^{m'}, то {\left(p\left(\pm \widetilde{x}+b\right)\right)}^{2}=a~(mod \  p^{m}). Тогда корнями исходного уравнения будут x={p}^{k}(\pm \widetilde{x}+{rp}^{m-2k}) и только они.

Теперь зная, как извлекать квадратный корень по примарному модулю, можно извлекать квадратный корень по произвольному модулю. Из китайской теоремы об остатках следует, что {x}^{2}=a~(mod \ p_{1}^{{n}_{1}}{p}_{2}^{{n}_{2}}{\dots}{p}_{r}^{{n}_{r}}) тогда и только тогда, когда {x}^{2}=a~(mod \ ~(p_{i}^{{n}_{i}})) для всех i.

Пример 1.37 Найти квадратный корень из 63 по модулю 81.

Имеем: {x}^{2}=63 \ mod \ 81. Делим обе части на 9. Тогда: {\widetilde{x}}^{2}=7~(mod \ 9),x=3\widetilde{x}.

Для нахождения \widetilde{x} используем вышеописанный алгоритм.

  1. {x}_{0}^{2}=1~(mod \ 3)\Rightarrow {x}_{0}=\pm 1.
  2. {t'}_{1}=\frac{7-1}{3} \cdot \left({\left(2 \cdot \pm 1\right)}^{-1} \ mod \ 3\right)=\pm 4
  3. {x}_{1}={x}_{0}+{t'}_{1} \cdot 3=\pm \left(1+12\right)=\pm 13 \equiv \pm 4~(mod \ 9).

Отсюда \widetilde{x}=\pm 4,x=3 \cdot \left(\pm 4+9r\right)=12,15,39,42,66,69.

Пример 1.38 Найти квадратный корень из 387 по модулю 567.

Поскольку 567=81 \cdot 7, имеем: {x}^{2}=18 \ mod\ 81, {x}^{2}=2 \ mod \ 7. Из этих уравнений находим x=12,15,39,42,66,69 \ mod\ 81 (из предыдущего примера) и x=\pm 3~(mod \ 7). Из полученных двенадцати систем уравнений по китайской теореме об остатках имеем:

x=255,417,339,501,444,39,528,123,66,228,150,312.

Список литературы

  1. Харин Ю.С., Берник В.И., Матвеев Г.В. Математические основы криптологии - Минск: БГУ, 1999. - 319 с.
  2. Shanks, D. Five Number-theoretic Algorithms // Proceedings of the Second Manitoba Conference on Numerical Mathematics, 1973. - p. 51-70
Лекция 1: 123456789 || Лекция 2 >
Юлия Мышкина
Юлия Мышкина

Обучение с персональным тьютором осуществляется по Скайпу или посредством переписки?

Галина Зарубежнова
Галина Зарубежнова
Россия, Челябинск