From 165ebb09debc0fda5dd195d271005247c5e635ca Mon Sep 17 00:00:00 2001 From: Martin Mares <mj@ucw.cz> Date: Sat, 12 Apr 2025 01:51:15 +0200 Subject: [PATCH] =?UTF-8?q?Teorie=20=C4=8D=C3=ADsel:=20Zbytek=20QR?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 07-teorie-cisel/teorie-cisel.tex | 40 ++++++++++++++++++++++++++++---- 1 file changed, 36 insertions(+), 4 deletions(-) diff --git a/07-teorie-cisel/teorie-cisel.tex b/07-teorie-cisel/teorie-cisel.tex index cb682a8..5219f2b 100644 --- a/07-teorie-cisel/teorie-cisel.tex +++ b/07-teorie-cisel/teorie-cisel.tex @@ -670,7 +670,7 @@ Tehdy $\varphi(p-1) = \varphi(2q) = \varphi(2)\varphi(q) = 1\cdot (q-1) = q-1 \a Generátory tedy tvoří přibližně polovinu prvků~$\Zsp$, takže po průměrně dvou pokusech nějaký najdeme. -\section{Diskrétní odmocniny} +\section{Kvadratické zbytky} Prozkoumejme, jak se v~$\Zp$ chovají druhé odmocniny (v~tomto oddílu budeme říkat prostě odmocniny). Ptáme se tedy na řešení kongruence $x^2\equiv_p a$ pro dané~$a$. @@ -684,7 +684,8 @@ Tohle není náhoda: \theorem{ V~každém tělese $\Zp$ má prvek 0 právě jednu odmocninu, $(p-1)/2$ prvků má dvě odmocniny -(těmto prvkům se říká \em{kvadratické zbytky}) a zbylých $(p-1)/2$ prvků nemá žádnou. +(těmto prvkům se říká \em{kvadratické zbytky, QR}) a zbylých $(p-1)/2$ prvků nemá žádnou +(tak řečené \em{kvadratické nezbytky, non-QR}). Zvolíme-li libovolný generátor~$\Zp$, kvadratické zbytky jsou ty prvky, jejichž diskrétní logaritmy jsou sudé. } @@ -753,9 +754,40 @@ Množina všech kvadratických zbytků tvoří podgrupu~$\Zsp$. Testovat, zda číslo je kvadratickým zbytkem, lze v~čase $\O(b^3)$. } -TODO: Výpočet odmocnin. +\subsection{Výpočet diskrétních odmocnin} -TODO: Odmocniny modulo složené číslo. +Prvočísla existují ve dvou \uv{příchutích}: $p = 4\ell+1$ a $p = 4\ell+3$. Je překvapivě, +jak se v~mnoha situacích tyto dva druhy prvočísel chovají různě. + +Pokud $p = 4\ell+3$, je výpočet diskrétní odmocniny snadný. Pro každý kvadratický zbytek~$a$ totiž platí +$$ + \left( a^{p+1\over 4} \right)^2 + \equiv a^{p+1\over 2} + \equiv a^{p-1\over 2} \cdot a + \equiv 1 \cdot a, +$$ +přičemž poslední rovnost získáme z~Eulerova kriteria. +To znamená, že $a^{(p+1)/4}$ je odmocninou z~$a$. + +Pro $p = 4\ell+1$ je situace mnohem složitější. Není známý žádný deterministický +algoritmus pro výpočet odmocnin. Existuje Tonelliho-Shanksův randomizovaný algoritmus, +který pracuje v~průměrně polynomiálním čase. Detaily nebudeme potřebovat. + +\subsection{Odmocniny modulo složené číslo} + +V~$\Zn$ pro složené~$n$ je situace mnohem složitější. Prozkoumejme nejdřív případ, +$n=pq$ pro dvě různá prvočísla $p$ a~$q$. Aby $x^2$ bylo kongruentní s~nějakým~$a$ +modulo~$n$, musí s~ním být kongruentní i modulo~$p$ a modulo~$q$. Hledáme tedy dvojici +$(x_1,x_2)$ takovou, že $x_1^2 \equiv_p a$ a $x_2^2 \equiv_q a$. A~podle Čínské věty +o~zbytcích odpovídá každá taková dvojice právě jednomu $x\Zn$. Pokud jsou $a\bmod p$ +i $a\bmod q$ kvadratické zbytky, získáváme celkem 4 různá~$x$. Pokud některé z~nich +není kvadratickým zbytkem, žádné~$x$ neexistuje. Ještě se může stát, že jedno z~nich +vyjde nulové, pak najdeme dvě různá~$x$. + +Toto lze zobecnit pro libovolné složené~$n$ a převést tak odmocňování modulo~$n$ +na odmocňování modulo prvočíselné faktory~$n$, pokud umíme $n$~faktorizovat. +Žádný efektivní způsob počitání diskrétních odmocnin bez faktorizace~$n$ není znám. +(Možnost, že $n$ může mít násobné faktory, s~dovolením nebudeme zkoumat.) \sectionstar{Rozbor Rabinova-Millerova testu} -- GitLab