【二次剩余】Cipolla（模意义下开根）

在学多项式求逆的时候顺便就推了一下多项式的开根，
结果毫无疑问的要用到二c次剩余，顺路就学了一下，

二次剩余

给出$n,P$(P为奇质数)，如果存在一个 $a$ 使得 $a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$ ，那么n在模P的意义下就是二次剩余，

CTY大佬的方法

因为这个问题是由二次开方引起的，自然，模数有已知原根$r$，那么：
$$r^{2In{d}_r(a)}\equiv r^{In{d}_r(n)}(\mathrm{m}\mathrm{o}\mathrm{d}P)$$

$Ind$是离散对数里面的东西，定义为$r^{In{d}_r(x)}\equiv x(\mathrm{m}\mathrm{o}\mathrm{d}P)$

• 定理1：方程 $a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$，只有$\frac{P-1}{2}$个n使方程有解（0除外）
• 证明：可以发现，如果$In{d}_r(n)$为奇数的话，这个方程就无解，因为$In{d}_r(n)$相当于是在模P-1的意义下的，而P-1必为偶数，也就是不存在2的逆元；$In{d}_r(n)$的取值范围为0~P-2，共有$\frac{p-1}{2}$为偶数，所以只有这么多个n使方程有解。

回归主题，要求出$In{d}_r(a)$，也就是要求出$In{d}_r(n)$，

那么如何快速求出$In{d}_r(n)$呢？
设一个阈值$\omega$，那么$In{d}_r(n)$一定可以被表示成$a\omega +b$，
也就是：
$$r^{a\omega }\ast r^b\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$$
$$r^b\equiv n\ast (r^{a\omega }{)}^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}P)$$
显然，所有的$r^b$可以预处理出来，
那么，剩下的只要枚举a了，判断是否有对应的b即可，
如果$\omega =\sqrt{n}$，复杂度即为：$O(\sqrt{n}\log (n))$（还有求逆元）

.

对于上面的定理1，其实还有一种证明：

• 定理1：方程 $a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$，只有$\frac{P-1}{2}$个n使方程有解（0除外）
• 证明：考虑对于所有的a，可以平方出多少个不同的n，
  如果两个数$a,b$他们满足$a^2\equiv b^2(\mathrm{m}\mathrm{o}\mathrm{d}P)$，那么$a^2-b^2\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}P)$也就是$(a^2-b^2)|P$，$(a-b)(a+b)|P$，显然(a-b)不可能是P的倍数，所以(a+b)就肯定是P的倍数，也就是a,b也满足：$a+b=P$，
  所以能组合出的不同的n就只有$\frac{P-1}{2}$个

---

Cipolla

介绍一个东西：勒让德符号(Legendre symbol)

定义为：$$\left(\frac{n}{P}\right)=\{\begin{array}{ll}1& \text{n在模P意义下是二次剩余}\\ -1& \text{n在模P意义下是非二次剩余}\\ 0,& n\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}P)\end{array}$$

求值也很简单：（当然你用上边的方法判定没人拦…）

• 定理2：$\left(\frac{n}{P}\right)\equiv n^{\frac{P-1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}P)$
• 证明：先证明$n^{\frac{P-1}{2}}$在模P的意义下一定为0或-1或1，
• 等于0显然，对于对于1/-1，根据费马小定理，一定有$n^{P-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，也就是设方程$x^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，x只能是1/-1，这个可以把左边的方程移项解得；
• 接下来是正确性的证明：如果$n^{\frac{P-1}{2}}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，令$a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$，那么$(a^2{)}^{\frac{P-1}{2}}\equiv n^{\frac{P-1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}P)$，也就是$a^{P-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，显然存在至少一个a满足；
• 如果$n^{\frac{P-1}{2}}\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，依旧令$a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$，那么$(a^2{)}^{\frac{P-1}{2}}\equiv n^{\frac{P-1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}P)$，也就是$a^{P-1}\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}P)$，显然没有a满足；

---

接下来，开始脑洞…（遇到看不懂的没关系继续往下看先）

首先我们先开始不停的随机，直到找到一个t，使得$\left(\frac{t^2-n}{n}\right)=-1$，（先别管为什么）找出t的期望随机次数为2，（因为有$\frac{P-1}{2}$个是无解的，即每次有0.5的概率找到）

$ \frac{t^2-n}{n}$是不能被开方的，那么我们就强行让它可以开方；设 $\omega =\sqrt{t^2-n}$（类似于$i=\sqrt{-1}$），

最终的答案就是：$$a\equiv (t+\omega {)}^{\frac{P+1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}P)$$
要证明还要有两个结论：

• 定理3：${\omega }^P\equiv -\omega (\mathrm{m}\mathrm{o}\mathrm{d}P)$

• 证明：${\omega }^P=\omega \ast {\omega }^{P-1}=\omega \ast ({\omega }^2{)}^{\frac{P-1}{2}}=\omega \ast (t^2+n{)}^{\frac{P-1}{2}}=-\omega$

• 定理4：$(a+b{)}^P\equiv a^P+b^P(\mathrm{m}\mathrm{o}\mathrm{d}P)$

• 证明：$$(a+b{)}^P=\sum _{i=1}^P{C}_P^i{a}^i{b}^{P-i}$$C公式里面的质数P是无法消掉的，所以除了$C_p^1$和$C_P^P$其他的C公式都是P的倍数，会被模掉。

有了这俩，就可以证明了：（还有一个显然的结论：$t^P\equiv t(\mathrm{m}\mathrm{o}\mathrm{d}P)$）

最后把过程写上，

• 找到t使得$\left(\frac{t^2-n}{n}\right)=-1$，设$\omega =\sqrt{t^2-n}$
• 方程$a^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}P)$的解为$a\equiv (t+\omega {)}^{\frac{P+1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}P)$

---

给出一道例（裸）题：
【Timus Online Judge 1132】 Square Root