二次同余方程求解

#1. $X^2\equiv a(modp)的求解$
step1：如果$p|a$，则解为$x\equiv 0(modp)$；否则计算勒让德符号$(\frac{a}{p})$。如果$(\frac{a}{p})=-1$，则说明无解；如果$(\frac{a}{p})=1$，则说明有解，执行step2。
引理1.1：如果$x^2\equiv 1(modp)$，则$x\equiv \pm 1(modp)$。
推论1.1：如果$x^{(2^n)}\equiv 1(modp)$，其中$n\ge 2，$则$x\equiv \pm 1(modp)$或 ∃ m ∈ { 1 , . . . , n − 1 } \exist m\in \{1,...,n-1\} ∃m∈{1,...,n−1},使得$x^{(2^m)}\equiv -1(modp)$
Euler定理：$(\frac{a}{p})\equiv a^{\frac{p-1}{2}}(modp)$
step2：令$p-1=2^{s}t,t$是奇数。因为$p$是奇素数，则$s\ge 1$。令$A=a^t(modp)$。
（1）如果$A\equiv \pm 1(modp)$，解$x\equiv \pm a^{\frac{t+1}{2}}(modp)$；否则执行（2）。
【思路】下面的思路是找到一个模p的二次非剩余b，令$B=b^t(modp)$，由Euler定理可知$B^{(2^{s-1})}\equiv -1(modp)$。找到一个偶数L,使得$A{B}^L\equiv 1(modp)$，则$a^{t+1}{B}^L\equiv a(modp)$，解$x\equiv \pm a^{\frac{t+1}{2}}{B}^{\frac{L}{2}}(modp)$。这只需要找到$L^{\prime }$,使得$(A{B}^{L^{\prime }}{)}^2=1$，然后根据引理1.1可知，$A{B}^{L^{\prime }}\equiv 1(modp)$或$A{B}^{L^{\prime }}\equiv -1(modp)$,前者令$L=L^{\prime }$，后者令$L=2^{s-1}+L^{\prime }$；
（2）由Euler定理可知$A^{(2^{s-1})}\equiv 1(modp)$。由引理1.1和推论1.1可知， ∃ m 1 ∈ { 1 , . . . , s − 2 } \exist m_1\in \{1,...,s-2\} ∃m1​∈{1,...,s−2},使得$A^{(2^{m_1})}\equiv -1(modp)$。有$A^{(2^{m_1})}{B}^{(2^{s-1})}\equiv 1(modp)$即$(A{B}^{(2^{s-1-m_1})}{)}^{2^{m_1}}\equiv 1(modp)$。计算$A{B}^{(2^{s-1-m_1})}(modp)$，如果等于$\pm 1$，则符合要求。否则一定 ∃ m 2 ∈ { 1 , . . . , m 1 − 1 } \exist m_2\in \{1,...,m_1-1\} ∃m2​∈{1,...,m1​−1},使得$(A{B}^{(2^{s-1-m_1})}{)}^{2^{m_2}}\equiv -1(modp)$,则$(A{B}^{(2^{s-1-m_1})}{)}^{2^{m_2}}{B}^{(2^{s-1})}\equiv 1(modp)$,即$(A{B}^{(2^{s-1-m_1}+2^{s-1-m_2})}{)}^{2^{m_2}}\equiv 1(modp)$，计算$A{B}^{(2^{s-1-m_1}+2^{s-1-m_2})}(modp)$，重复$A{B}^{(2^{s-1-m_1})}(modp)$的讨论方式。以此类推，$s-1>m_1>m_2>...\ge 1$，因此一定存在$m_i=1$，此时$(A{B}^{(2^{s-1-m_1}+2^{s-1-m_2}+...+2^{s-1-m_{i-1}}+2^{s-2})}{)}^2\equiv 1(modp)$，符合条件，即$L^{\prime }=2^{s-1-m_1}+2^{s-1-m_2}+...+2^{s-1-m_{i-1}}+2^{s-2}$。
【复杂度分析】在二次非剩余b已知的情况下，上述算法复杂度显然是确定多项式时间。然而"找到一个奇素数的二次非剩余"这个问题目前没有确定性多项式时间算法。