8.2 一些代数知识(群、循环群和子群)

本文链接：https://blog.csdn.net/qq_43751200/article/details/125978990

本文详细介绍了群论在密码学中的基础知识，包括群的定义、性质、循环群、本原元和子群的概念。特别讨论了有限循环群的阶、元素的阶以及拉格朗日定理，并通过实例展示了如何在实际问题中应用这些理论，如在Diffie-Hellman密钥交换中的作用。此外，还探讨了循环群的生成元和子群的生成方法，以及它们在构建密码体制中的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

密码学中的一些代数知识

群

群指的是一个元素集合 $G$ 以及联合 $G$ 内两个元素的操作 $o$ 的集合。群具有以下属性:

群操作 $o$ 是封闭的，即对所有的 $\in G, aob=c \in G$ 始终成立。
群操作是可结合的，即对所有的 $\in G$ ，都有 $a o (b oc) = (a o b) oc$ 。
存在一个元素 $\in G$ ，对所有的 $\in G$ 均满足 $a o l = l o a = a$ ，这个元素称为中性元或单位元。
对每个元素 $\in G$ ,存在一个元素 $a^{-1} \in G$ , 满足 $a o a^{-1}=a ^{-1}oa=l$ ，则 $a^{-1}$ 称为 $a$ 的逆元。
如果所有 $\in G$ 都额外满足 $a o b = b o a$ ，则称群 $G$ 为阿贝尔群或可交换群。

注意：

判断一个集合是不是群，要严格按照群的定义去判断，一个集合是群那么最少要满足1~4定义的规则（封闭、可结合、存在单位元、逆元），其次如果满足第5条规则也称为阿贝尔群或者交换群。
逆元 $a^{-1}$ 可以和 $a$ 相等。
密码学中经常使用乘法群(即操作符 $“ o ”$ 表示乘法)和加法群(即 $“ o ”$ 表示加法)。

示例：

$(Z, +)$ 是一个群，即整数集 $Z=\{... -2,-1,0,1,2.….\}$ 与普通加法形成了阿贝尔群，其中 $e = 0$ 是单位元， $\in Z$ 的逆。
$(不包括 0 的 Z, *)$ 不是一个群，即整数集 $Z$ (不包括元素0)和普通乘法不能形成群，因为除元素-1和1外，对于元素 $\in Z$ ，不存在逆元 $a^{-1}$ 。
(C,*)是一个群，即复数 $u + v i$ 的集合(其中 $u,v∈R且i^{2}=-1$ )及定义在复数上的乘法 $u_1+v_1i )*(u_2,+v_2i, )=(u_1u_2 -v_1v_2)+(u_1v_2+v_1u_2)i$ 形成了一个阿贝尔群。此群的单位元为 $e = 1$ ，元素 $\in C$ 的逆元为 $a^{-1} = (u - i)/(u^2 + v^2)。$

群 ${Z^*_n}$
密码学中通常需要的是拥有有限个元素的群。下面介绍在 DHKE、Elgamal 加密、数字签名算法和其他很多密码学方案中都非常重要群 ${Z^*_n}$ 。

集合 ${Z^*_n}$ 由所有 $i = 0, 1, ..., n - 1$ 整数组成,其中满足 $g c d (i, n) = 1$ 的元素与乘法模 $n$ 操作形成了阿贝尔群，且单位元为 $e = 1$ 。

示例：如果选择 $n = 9$ ， $Z^*_n$ 由元素 ${1,2,4,5,7,8\}$ 组成。
在这里插入图片描述

计算表8-1所示的 $Z^*_9$ 的乘法表能方便地检查定义群给出的绝大多数条件。

条件1(封闭性)是满足的，因为此表中的元素都在 $Z^*_9$ 内。
条件3(单位元)和条件4(逆元)也成立，因为表中的每行和每列都是 $Z^*_9$ 内元素的置换。根据主对角线的对称性，即第i行j列的元素与第j行i列的元素相等。
条件5(交换性)也是满足的。
条件2(可结合性)不能从表的形状中直接得到，但可以根据 $Z_n$ ,内普通乘法的可结合性立即得到。

循环群

群的基或阶

一个群 $(G, o)$ 是有限的，仅当它拥有有限个元素。群 $G$ 的基或阶可以表示为 $∣ G ∣$ 。

注意:

在定义循环群的时候已经规定必须在群的基础上，也就是说集合 $G$ 满足群的四大特性(封闭、结合、单位元、逆元)。
群 $G$ 的基或阶表示群中元素的个数即 $∣ G ∣$ = 群中元素个数。
$Z_n, +)$ 表示在集合 $Z_n$ 上进行加法模 $n$ , $Z^*_n， *)$ 表示在集合 $Z^*_n$ 上进行乘法模n。
区分 $Z, Z_n, Z^*_n$ 代表的集合 $Z = \{...-2, -1, 0, 1, 2...\}.$ $Z_n=\{0,1,2,...,n-1\}.$ $Z^*_n由所有i=\{ 0,1,...,n-1\}整数组成,其中满足gcd(i,n)=1.$

示例：

$Z_n, +)$ ： $Z_n$ 的基为 $Z_n|=n$ ，因为 $Z_n=\{0,1,2,...,n-1\}$ 。
$Z^*_n， *)$ ：请记住， $Z^*_n$ 是由小于 $n$ 且与 $n$ 互素的正整数组成的集合。因此， $Z^*_n$ 的基或者阶等于n的欧拉函数，即 $|Z^*_n |= \Phi(n)$ 。例如，群 $Z^*_9$ 的基为 $\Phi(9)=3^2 - 3^1=6$ 。前面提到的由6个元素 ${1,2,4,5,7,8\}$ 组成的群的例子可以很好地验证这个结论。

元素的阶

群 $(G, o)$ 内某个元素 $a$ 的阶 $or d (a)$ 指的是满足以下条件的最小正整数 $k$ : $a^k= aoao...oa=l，$ 其中 $l$ 是 $G$ 的单位元。

示例：本例的目的是确定群 $Z^*_{11}中a= 3$ 的阶。在计算元素阶之前我们要充分的挖掘 $Z^*_{11}$ 的条件，我们来看一下集合 $Z^*_n$ 的定义：
${Z^*_n}$ 由所有 $i=\{0,1,...,n−1\}$ 整数组成,其中满足 $g c d (i, n) = 1$ 的元素与乘法模n操作形成了阿贝尔群，且单位元为 $e = 1$ .那么有： $|Z^*_{11} |的阶 = \Phi(11) = 11^1 - 11^0 = 10.$ $Z^*_{11} = \{ 1, 2, 3, 4, 5, 6, 7, 8, 9, 10\}.$
充分挖掘 $Z^*_{11}$ 后,我们现在不停地计算 $a$ 的幂值，直到得到单位元 $e = 1$ 为止。
$a^1 =3$ $a^2=a*a=3*3=9$ $a^3= a^2*a=9*3=27 \equiv 5 mod 11$ $a^4=a^3*a =5*3=15\equiv 4 mod11$ $a^5=a^4 *a=4*3=12 \equiv 1 mod 11$

从最后一行可以得到 $or d (3) = 5$ 。

如果将得到的结果一直乘以 $a$ ，就会发现一个非常有趣的现象。
$a^6 = a^5*a \equiv 1*a \equiv 3 mod 11$ $a^7 = a^5*a^2 \equiv 1*a^2 \equiv 9 mod 11$ $a^8 = a^5*a^3 \equiv 1*a^3 \equiv 5 mod 11$ $a^9 = a^5*a^4 \equiv 1*a^4 \equiv 4 mod 11$ $a^10 = a^5*a^5 \equiv 1*1 \equiv 1 mod 11$ $a^{11} = a^10*a \equiv 1*a \equiv 3 mod 11$ $...$ $...$
从这一点可以看出， $a = 3$ 的幂值一直在 ${3，9，5，4，1\}$ 序列中无限循环。这个循环行为将引出如下循环群的定义。

循环群

如果群 $G$ 包含一个拥有最大阶 $or d (α) = ∣ G ∣$ 的元素 $α$ ，则称这个群是循环群。拥有最大阶的元素称为原根(本原元)或生成元。

注意：

$or d (α)$ 表示元素 $α$ 的阶， $∣ G ∣$ 表示集合的基或阶
群 $G$ 中拥有最大阶的元素 $α$ 称为生成元，因为 $G$ 中每个元素 $α$ 都可以写成是这个元素的幂值 $α^i =a$ (i为任意值)，即 $α$ 产生了整个群。
为什么满足上述条件 $α$ 就可以产生整个群？
假如群 $G$ 中的元素个数为 $n$ , 即 $∣ G ∣ = n$ , 那么 $or g (α) = n$ . $α^i =a$ (i为任意值)可以产生n个不同的值(操作模n)，这些值在区间[0, n-1]中。（个人猜测）

示例：本例的目的是验证 $a = 2$ 是否为 $Z^*_{11}=\{1,2,3,4,5,6,7,8,9,10\}$ 的本原元。请注意，该群的基为 $Z^*_{11}|=10$ ，逆元 $e = 1$ 。下面来看由元素 $a = 2$ 的幂值生成的所有元素:
在这里插入图片描述从最后一个结论可知： $ord(a) = 10 = |Z^*_{11}|.$ 这意味着(i) $a = 2$ 是本原元; (ii) $Z^*_{11}$ 是一个循环群。

下面将验证 $a = 2$ 的幂值是否真的生成了群 $Z^*_{11}.$ 内的所有元素。下标展示 $2$ 的幂值生成的所有元素。
在这里插入图片描述

从上表我们可以得出结论：

幂值 $2^i$ 的确生成了群 $Z^*_{11}$ 内的所有元素。
这些数字的生成顺序看上去是毫无章法的。指数 $i$ 与群元素之间看上去随机的关系是很多密码体制的基础，比如 Diffie-Hellman密钥交换。

循环群中的一些定理

定理一：对每个素数 $p$ , $Z^*_p, *)$ 都是一个阿贝尔有限循环群。

这个定理说明了每个素数域的乘法群都是循环群。这个结论对密码学产生了深远影响，因为这些群对于构建离散对数密码体制非常重要。为了理解这些看上去很奇怪的定理的实用性，请注意这样一个事实:几乎所有的 Web浏览器都内嵌了一个基于 $Z^*_p$ 的密码体制。

定理二：假设 $G$ 为一个有限群，则对每个 $\in G$ 都有:

$a^{|G|}= 1$ 。
$or d (a)$ 可以整除 $∣ G ∣ 。$ （ $∣ G ∣$ / $or d (a)$ = 整数）

示例：我们来看一下基为 $Z^*_{11}| = 10$ 的群 $Z^*_{11}$ 。此群内只有1、2、5和10这些整数可以整除10，下面来判断此群内元素的阶是不是为1、2、5和10。下面可以通过观察该群中所有元素的阶来验证这个属性:
在这里插入图片描述的确只出现了可以整除10的阶。

定理三：假设 $G$ 为一个有限循环群，则下面的结论成立:

$G$ 中本原元的个数为中 $\Phi(|G|)$ 。
如果 $∣ G ∣$ 是素数，则所有满足 $\in G$ 的元素 $a$ 都是本原元。

上面的例子验证了第一个属性,因为 $\Phi(10) = (5-1)(2-1) = 4$ ,即本原元的个数为4，分别是元素2、6、7和8。第二个属性可以从前一个定理得到。如果群的基是素数，则唯一可能的元素阶就是1和基本身。由于只有元素1的阶为1，其他所有元素的阶都是p。

子群

定理一（循环子群定理）：假设 $(G, o)$ 是一个循环群，则 $G$ 内每个满足 $or d (a) = s$ 的元素 $α$ 都是拥有 $s$ 个元素的循环子群的本原元。

注意：从定理中我们可以提取出来 --> 循环群的每个元素都是其子群的生成元，而且该子群也是循环群。

示例：下面将通过 $G=Z^*_{11}$ 的一个子群验证上面的定理。从前面的例子可知 $or d (3) = 5$ ,根据循环子群定理知3的幂值生成了子集 $H = \{1，3，4，5，9\}$ 。观察其对应的乘法表，验证这个集合是否真的是一个群。
在这里插入图片描述

判断H是否为一个群：

H对乘法模数11(条件1)运算是封闭的，因为这个表是仅由H内的整数元素构成。
群操作是可结合且可交换的，因为它遵循的是普通乘法规则(分别对应条件2和5)。
中性素是1(条件3)，并且每个元素 $\in H$ 均存在一个逆元 $a^{-1} \in H$ (条件4)。这一点可以从表中看出表的每行和每列都包含一个单位元。
因此， $H$ 是 $Z^*_{11},$ 的一个子群(如图所示)。

定理二（拉格朗日定理）：假设 $H$ 为 $G$ 的一个子群，则 $∣ H ∣$ 可以整除 $∣ G ∣$ 。

示例：循环群 $Z^*_{11}$ 的基为 $Z^*_{11}| = 10 = 1·2·5$ 。因此可以得到结论: $Z^*_{11}$ 的子群对应的基为1，2，5和10(基为10的子群对应循环群本身)，因为这些数都是10可能的除数。 $Z^*_{11}$ 所有的子群 $H$ 及这些子群的生成元 $α$ 可以表示如下:
在这里插入图片描述

定理三（求有限循环群对应的所有子群）：
假设 $G$ 为一个阶为 $n$ 的有限循环群， $α$ 为对应的生成元，则对整除 $n$ 的每个整数 $k$ ， $G$ 都存在一个唯一的阶为 $k$ 的循环子群 $H$ 。这个子群是由 $α^{n/k}$ 生成的。 $H$ 是由 $G$ 内满足条件 $a^k=1$ 的元素组成的，且 $G$ 不存在其他子群。

这个定理给出了从一个给定循环群构建子群的简单而直接的方法。我们只需一个本原元和群基数n，然后计算 $α^{n/k}$ (子群H的本原元)，即可得到拥有k个元素的子群的生成元。

示例：循环群 $Z^*_{11}$ ，从前面可知该群的一个本原元为α =8。如果想要得到阶为2的子群的生成元β，需要计算:
$α^{n/k} = 8^{10/2} = 8^5 = 32768 \equiv 10 mod 11。$
现在我们需要验证的确是元素10 生成了拥有两个元素的子群: $β^1 = 10$ $β^2 = 100 \equiv 1 mod 11$ $β^3 \equiv10 mod 11，$ $...$ $...$ $...$