特殊素数及快速模约简

梅森数

形如$M_p=2^p-1$的数称为梅森数，其中$p$是素数。

如果梅森数是素数，称为梅森素数。目前仅发现51个梅森素数。前十个为：

序号	幂次$p$	梅森素数$M_p$
1	2	3
2	3	7
3	5	31
4	7	127
5	13	8191
6	17	131071
7	19	524287
8	31	2147483647
9	61	2305843009213693951
10	89	618970019642690137449562111

广义梅森素数

梅森素数的除法和取模运算很快，因为它与2的幂次$2^p$距离为1。

但是梅森素数的数量是在太少，而且其大小对于加密算法来说不合适（大了运算慢，小了不安全）。于是，人们寻找广义梅森素数，形如$p=2^n-m$，其中$m$是较小的数字。

椭圆曲线$secp192k1$选取：
$$p_{192}=2^{192}-2^{32}-2^{12}-2^8-2^7-2^6-2^3-1$$
其中$n=192,m=0x1000011c9$

椭圆曲线$secp256k1$选取：
$$p_{256}=2^{256}-2^{32}-2^9-2^8-2^7-2^6-2^4-1$$
其中$n=256,m=0x1000003d1$

对于$p=2^n-m$，令$0\le c<p^2$，计算$c\mathrm{m}\mathrm{o}\mathrm{d}p$

易知
$$\begin{array}{rl}c\mathrm{m}\mathrm{o}\mathrm{d}p=& c-k\cdot p\\ k:=& \lfloor \frac{c}{p}\rfloor \end{array}$$
于是
$$\begin{array}{rl}c\mathrm{m}\mathrm{o}\mathrm{d}p=& c-k\cdot (2^n-m)\\ =& (c-k\cdot 2^n)+k\cdot m\end{array}$$
计算$k^{\prime }\leftarrow \lfloor c/2^n\rfloor$作为$k$（$k^{\prime }$偏小，相对偏移$\frac{m}{2^n}$）

那么
$$c\mathrm{m}\mathrm{o}\mathrm{d}p=(c\&((1\ll n)-1))+(c\gg n)\cdot m$$
计算结果范围是$[0,(m+1)2^n)$

如果位于$[p,(m+1)2^n)$，那么再次执行上述流程。

NIST素数

在NIST发布的素域椭圆曲线的公开文档中，给出了一些素数：
$$\begin{array}{rl}{p}_{192}=& 2^{192}-2^{64}-1\\ p_{224}=& 2^{224}-2^{96}-1\\ p_{256}=& 2^{256}-2^{224}+2^{192}+2^{96}-1\\ p_{384}=& 2^{384}-2^{128}-2^{96}+2^{32}-1\\ p_{521}=& 2^{521}-1\end{array}$$
最后一个是梅森素数。前4个素数在$32$位机器上运算很快。

对于$p_{192}$，令$0\le c<p^2$，计算$c\mathrm{m}\mathrm{o}\mathrm{d}p$

$c$可以写成$6$个$64$比特整数：
$$c=c_5{2}^{320}+c_4{2}^{256}+c_3{2}^{192}+c_2{2}^{128}{c}_1{2}^{64}+c_0$$
简记为数组$[c_5,c_4,c_3,c_2,c_1,c_0]$

而
$$\begin{array}{rl}{2}^{320}\equiv & 2^{128}+2^{64}+1\mathrm{m}\mathrm{o}\mathrm{d}p\\ 2^{256}\equiv & 2^{128}+2^{64}\mathrm{m}\mathrm{o}\mathrm{d}p\\ 2^{192}\equiv & 2^{64}+1\mathrm{m}\mathrm{o}\mathrm{d}p\end{array}$$
于是
$$\begin{array}{rl}c\mathrm{m}\mathrm{o}\mathrm{d}p=& [c_5,c_5,c_5]\\ +& [c_4,c_4,0]\\ +& [0,c_3,c_3]\\ +& [c_2,c_1,c_0]\end{array}$$
即$4$个$192$比特的数相加，它的范围$[0,4p)$

如果结果位于$[p,4p)$，那么连续做数次减法。