Teorie čísel: Zbytek QR

07-teorie-cisel/teorie-cisel.tex

@@ -670,7 +670,7 @@ Tehdy $\varphi(p-1) = \varphi(2q) = \varphi(2)\varphi(q) = 1\cdot (q-1) = q-1 \a
 Generátory tedy tvoří přibližně polovinu prvků~$\Zsp$, takže po průměrně dvou pokusech
 nějaký najdeme.
 
-\section{Diskrétní odmocniny}
+\section{Kvadratické zbytky}
 
 Prozkoumejme, jak se v~$\Zp$ chovají druhé odmocniny (v~tomto oddílu budeme říkat prostě odmocniny).
 Ptáme se tedy na řešení kongruence $x^2\equiv_p a$ pro dané~$a$.
@@ -684,7 +684,8 @@ Tohle není náhoda:
 
 \theorem{
 V~každém tělese $\Zp$ má prvek 0 právě jednu odmocninu, $(p-1)/2$ prvků má dvě odmocniny
-(těmto prvkům se říká \em{kvadratické zbytky}) a zbylých $(p-1)/2$ prvků nemá žádnou.
+(těmto prvkům se říká \em{kvadratické zbytky, QR}) a zbylých $(p-1)/2$ prvků nemá žádnou
+(tak řečené \em{kvadratické nezbytky, non-QR}).
 Zvolíme-li libovolný generátor~$\Zp$, kvadratické zbytky jsou ty prvky, jejichž
 diskrétní logaritmy jsou sudé.
 }
@@ -753,9 +754,40 @@ Množina všech kvadratických zbytků tvoří podgrupu~$\Zsp$.
 Testovat, zda číslo je kvadratickým zbytkem, lze v~čase $\O(b^3)$.
 }
 
-TODO: Výpočet odmocnin.
+\subsection{Výpočet diskrétních odmocnin}
 
-TODO: Odmocniny modulo složené číslo.
+Prvočísla existují ve dvou \uv{příchutích}: $p = 4\ell+1$ a $p = 4\ell+3$. Je překvapivě,
+jak se v~mnoha situacích tyto dva druhy prvočísel chovají různě.
+
+Pokud $p = 4\ell+3$, je výpočet diskrétní odmocniny snadný. Pro každý kvadratický zbytek~$a$ totiž platí
+$$
+	\left( a^{p+1\over 4} \right)^2
+	\equiv a^{p+1\over 2}
+	\equiv a^{p-1\over 2} \cdot a
+	\equiv 1 \cdot a,
+$$
+přičemž poslední rovnost získáme z~Eulerova kriteria.
+To znamená, že $a^{(p+1)/4}$ je odmocninou z~$a$.
+
+Pro $p = 4\ell+1$ je situace mnohem složitější. Není známý žádný deterministický
+algoritmus pro výpočet odmocnin. Existuje Tonelliho-Shanksův randomizovaný algoritmus,
+který pracuje v~průměrně polynomiálním čase. Detaily nebudeme potřebovat.
+
+\subsection{Odmocniny modulo složené číslo}
+
+V~$\Zn$ pro složené~$n$ je situace mnohem složitější. Prozkoumejme nejdřív případ,
+$n=pq$ pro dvě různá prvočísla $p$ a~$q$. Aby $x^2$ bylo kongruentní s~nějakým~$a$
+modulo~$n$, musí s~ním být kongruentní i modulo~$p$ a modulo~$q$. Hledáme tedy dvojici
+$(x_1,x_2)$ takovou, že $x_1^2 \equiv_p a$ a $x_2^2 \equiv_q a$. A~podle Čínské věty
+o~zbytcích odpovídá každá taková dvojice právě jednomu $x\Zn$. Pokud jsou $a\bmod p$
+i $a\bmod q$ kvadratické zbytky, získáváme celkem 4 různá~$x$. Pokud některé z~nich
+není kvadratickým zbytkem, žádné~$x$ neexistuje. Ještě se může stát, že jedno z~nich
+vyjde nulové, pak najdeme dvě různá~$x$.
+
+Toto lze zobecnit pro libovolné složené~$n$ a převést tak odmocňování modulo~$n$
+na odmocňování modulo prvočíselné faktory~$n$, pokud umíme $n$~faktorizovat.
+Žádný efektivní způsob počitání diskrétních odmocnin bez faktorizace~$n$ není znám.
+(Možnost, že $n$ může mít násobné faktory, s~dovolením nebudeme zkoumat.)
 
 \sectionstar{Rozbor Rabinova-Millerova testu}