二次剩余和二次同余方程

概念

二次同余方程$x^2\equiv n(modp)$，其中$n,p$已知且互质且$p$为奇质数，求$x$

这样的二次同余方程若有解，则称$n$是模$p$的二次剩余，同时$x$为该二次同余方程的解

实际上二次同余方程也在解决$\sqrt{x}\equiv n(modp)$，意为如果该二次同余方程有解，那么$n$可以在模$p$意义下开根号

二次剩余

定理一

在模$p$的缩系 B = { 1 , 2 , . . . , p − 1 } B=\{1,2,...,p-1\} B={1,2,...,p−1}，有$\frac{p-1}{2}$个模$p$的二次剩余和$\frac{p-1}{2}$个非二次剩余，且二次剩余的集合为 A = { < 1 2 > p , < 2 2 > p , . . . < ( p − 1 2 ) 2 > p } A=\{<1^2>_p,<2^2>_p,...<(\frac{p-1}{2})^2>_p\} A={<12>p​,<22>p​,...<(2p−1​)2>p​}，其中$<x{>}_p=x\%p$

• 推论一：$A$中的元素两两不同

  证明：利用反证法：假设$<i^2{>}_p=<j^2{>}_p$，又因为$<i^2{>}_p\equiv i^2(modp),<j^2{>}_p\equiv j^2(modp)$，所以$i^2\equiv j^2(modp)$，变形得到$(i+j)(i-j)\equiv 0(modp)$。根据同余的性质那么有$p|(i+j)(i-j)$，又因为$i,j\le \frac{p-1}{2}$，所以$i+j\le \frac{p-1}{2},i-j\le \frac{p-1}{2}$。显然小于$p$的数都和$p$互质，故$p|(i+j)(i-j)$不成立，即原假设不成立

• 推论二：设$n$是模$p$的二次剩余，二次同余方程$x^2\equiv p$的一个解为$x_0$，那么$p-x_0$是另外一个解

  证明：显然$(p-x{)}^2=p^2-2px+x^2\equiv n(modp)$成立

勒让德符号

不难发现勒让德符号是积性函数

定理二

$n^{\frac{p-1}{2}}\equiv \pm 1(modp)$

证明：

由费马小定理，$p$为素数，$n$为正整数，且 $n,p$互质。 则有 $n^{p-1}\equiv 1(modp)$。变形得$n^{p-1}-1\equiv (n^{\frac{p-1}{2}}+1)(n^{\frac{p-1}{2}}-1)\equiv 0(modp)$，那么$n^{\frac{p-1}{2}}\equiv (modp)$

• 推论一：若$n^{\frac{p-1}{2}}\equiv 1$，则$(\frac{n}{p})=1$。即方程有解当且仅当$n^{\frac{p-1}{2}}\equiv 1(modp)$（实际上二者互为充要条件）

  证明：设同余方程$x^{\frac{p-1}{2}}\equiv 1(modp)$的解的个数为$y$，由拉格朗日定理得出$y\le \frac{p-1}{2}$。假设$<i^2{>}_p\in A$，那么：

  $(<i^2{>}_p{)}^{\frac{p-1}{2}}\equiv (i^2{)}^{\frac{p-1}{2}}=i^{p-1}\equiv 1$。可以得知二次剩余集合$A$中的所有元素均满足上述同余方程，那么$\forall 1\le x\le \frac{p-1}{2}$，有$<x^2{>}_p\equiv n$，最后得出$x^2\equiv n$

• 推论二：欧拉判别准则：$n^{\frac{p-1}{2}}\equiv (\frac{n}{p})$

  证明：由定理二和推论一不难得出

二次同余方程

定理三(Cipolla定理)

设$a$满足$\omega =a^2-n$不是模$p$的二次剩余，即$x^2\equiv \omega (modp)$无解，那么$x\equiv (a+\sqrt{\omega }{)}^{\frac{p+1}{2}}$是二次剩余方程$x^2\equiv n(modp)$的解

证明：

由二项式定理和$C_p^i\equiv 0(modp)$，得$(a+\sqrt{w}{)}^p=a^p+w^{\frac{p-1}{2}}\sqrt{w}$

再由费马小定理和$w$是模$p$的非二次剩余，得$a^p+w^{\frac{p-1}{2}}\sqrt{w}=a-\sqrt{w}$，然后

$(a+\sqrt{w}{)}^{p+1}\equiv (a+\sqrt{w}{)}^p(a+\sqrt{w})\equiv (a-\sqrt{w})(a+\sqrt{w})\equiv a^2-w\equiv n(modp)$

即$[(a+\sqrt{\omega }{)}^{\frac{p+1}{2}}{]}^2\equiv n$，因此$(a+\sqrt{\omega }{)}^{\frac{p+1}{2}}\equiv n$

扩域

实际求$(a+\sqrt{a^2-n}{)}^{\frac{p+1}{2}}$时，由于$w=a^2-n$为模$p$的非二次剩余，勒让德符号为$-1$

故可将与复数域联系，视为复数域中的$i$，进行复数域$a+i$的快速幂的运算，实部单算，虚部单算，称其为扩域，只是这里$w=a^2-n$，而非$-1$。由拉格朗日定理知，最终$(a+\sqrt{a^2-n}{)}^{\frac{p+1}{2}}$虚部为$0$

算法

算法实现时对$a$的选择随机，因为大约有一半的数是模$p$的二次非剩余。函数$solve(n,p)$若不为$-1$代表有解，$p-solve(n,p)$可以得到第二个解（有可能相同）

//二次域
struct T {
    ll p, d;

    T(ll x, ll y) {
        p = x, d = y;
    }
};

ll w;

ll qkp(ll x, ll n, ll p) {
    ll ans = 1;
    x %= p;
    while (n) {
        if (n & 1) ans = ans * x % p;
        x = x * x % p;
        n >>= 1;
    }
    return ans;
}

//二次域乘法
T mul(T a, T b, ll p) {
    T ans(0,0);
    ans.p = (a.p * b.p % p + a.d * b.d % p * w % p) % p;
    ans.d = (a.p * b.d % p + a.d * b.p % p) % p;
    return ans;
}

//扩域慢速乘
T slow_mul(T x, ll n, ll p) {
    T ans(1, 0);
    while (n) {
        if (n & 1) ans = mul(ans, x, p);
        x = mul(x, x, p);
        n >>= 1;
    }
    return ans;
}

//勒让德符号
ll Legendre(ll a, ll p) {
    return qkp(a, (p - 1) >> 1, p);
}

ll getMod(ll a, ll p) {
    a %= p;
    if (a < 0) a += p;
    return a;
}

ll solve(ll n, ll p) {
    if (p == 2) return 1;
    if (Legendre(n, p) + 1 == p) return -1;
    ll a = -1, t;
    while (1) {  //期望为两次
        a = rand() % p;
        t = a * a - n;
        w = getMod(t, p);
        if (Legendre(w, p) + 1 == p) break;
    }
    T temp(a, 1);
    T ans = slow_mul(temp, (p + 1) >> 1, p);
    return ans.p;
}