信息安全数学基础——扩展欧几里得算法

---

一、欧几里得算法的严格证明

  设a，b是任意两个正整数。记r_-2 = a，r_-1 = b，反复运用带余除法，有
    r_-2 = q₀r_-1 + r₀ , 0 ≤ r₀ < r_-1
    r_-1 = q₁r₀ + r₁ , 0 ≤ r₁ < r₀
     r₀ = q₂r₁ + r₂ , 0 ≤ r₂ < r₁
      …
    r_n-3 = q_n-1r_n-2 + r_n-1 , 0 ≤ r_n-1 < r_n-2
    r_n-2 = q_nr_n-1 + r_n , 0 ≤ r_n < r_n-1
    r_n-1 = q_n+1r_n + r_n+1 , r_n+1 = 0
随着n的增加，r_n减小，由于r_n+1 ≥ 0，因此，r_n+1 = 0。
上述过程即从数列r_-2，r_-1，r₀，…，r_n前两项依次求出第三项，直到最后一项的过程。有（a，b）=（r_-2，r_-1）=（r_-1，r₀）= … =（r_n-1，r_n）=（r_n，r_n+1）=（r_n，0）=r_n。
如果将这一过程反方向写出，有
    r_n = r_n-2 – q_nr_n-1
    r_n-1 = r_n-3 – q_n-1r_n-2
      …
    r₂ = r₀ – q₂r₁
    r₁ = r_-1 – q₁r₀
    r₀ = r_-2 – q₀r_-1
即r_n，r_n-1，…，r₁，r₀中每一项均可以用后两项表示。于是r_n可以用r_-2，r_-1表示，即可以找到整数s，t，使得

sa + tb = rn = （a，b）

二、扩展欧几里得算法

定理1.13

  设a，b是任意两个正整数，则
$$s_{n}a+t_{n}b=(a,b)（式1.3）$$
对于j = 0，1，…，n-1，这里s_j，t_j归纳定义为
$$s_{-2}=1,s_{-1}=0,s_j=s_{j-2}-q_j{s}_{j-1}$$
$$t_{-2}=0,t_{-1}=1,t_j=t_{j-2}-q_j{t}_{j-1}（式1.4）$$
其中j = 0，1，2，…，n-1，n。q_i = [r_j-2 / r_j-1]是上式的不完全商。设x∈R，[x]表示不超过x的最大整数，称为实数x的整数部分。

证明：
  只需证明：对于j = -2，-1，0，1，…，n-1
$$s_{j}a+t_{j}b=r_j(式1.5）$$
其中r_j = r_j-2 - q_jr_j-1是（式1.5）中的余数。因为（a，b）= r_n，所以
$$s_{n}a+t_{n}b=(a,b)$$
  对j用数学归纳法来证明式（1.5）。当j = -2时，有s_-2 = 1，t_-2 = 0以及
$$s_{-2}a+t_{-2}b=a=r_{-2}$$
  式（1.5）对于j = -2成立。
  j = -1时，有s_-1 = 0，t_-1 = 1，以及
$$s_{-1}a+t_{-1}b=b=r_{-1}$$
  式（1.5）对于j = -1成立。
  假设式（1.5）对于-2 ≤ j ≤ k-1成立，即
$$s_{j}a+t_{j}b=r_j$$
  对于j = k，有
$$r_k=r_{k-2}-q_k{r}_{k-1}$$
  利用归纳假设，得到
$$r_k=(s_{k-2}a+t_{k-2}b)-q_k(s_{k-1}a+t_{k-1}b)$$
$$r_k=(s_{k-2}-q_k{s}_{k-1})a+(t_{k-2}-q_k{t}_{k-1})b$$
$$r_k=s_{k}a+t_{k}b$$
因此，式（1.5）对于j = k成立。
  根据数学归纳法，式（1.5）对所有的j = -2，-1，0，1，…，n-1成立。
  下面根据上面的证明设计一个算法：假设a和b是不全为零的非负整数，计算s，t使得sa + tb =（a，b）。
  首先，令
$$r_{-2}=a{r}_{-1}=b$$
$$s_{-2}=1s_{-1}=0$$
$$t_{-2}=0t_{-1}=1$$
这是因为r_k = s_ka + t_kb，所以r_-2 = s_-2a + t_-2b = 1✖a + 0✖b = a，r_-1 = s_-1a + t_-1b = 0✖a + 1✖b = b。
  （1）如果r_-1 = 0，则令
$$s=s_{-2}t=t_{-2}$$
  否则，计算
$$q_0=[r_{-2}/r_{-1}]r_0=r_{-2}-q_0{r}_{-1}$$
  （2）如果r₀ = 0，则令
$$s=s_{-1}t=t_{-1}$$
  否则，计算
$$s_0=s_{-2}-q_0{s}_{-1}{t}_0=t_{-2}-q_0{t}_{-1}$$
  以及
$$q_1=[r_{-1}/r_0]r_1=r_{-1}-q_1{r}_0$$
  （3）如果r₁ = 0，则令
$$s=s_{0}t=t_0$$
  否则，计算
$$s_1=s_{-1}-q_1{s}_0{t}_1=t_{-1}-q_1{t}_0$$
  以及
$$q_2=[r_0/r_1]r_2=r_0-q_2{r}_1$$
$$...$$
  （j+1）如果r_j-1 = 0（j ≥ 3），则令
$$s=s_{j-2}t=t_{j-2}$$
  否则，计算
$$s_{j-1}=s_{j-3}-q_{j-1}{s}_{j-2}$$
$$t_{j-1}=t_{j-3}-q_{j-1}{t}_{j-2}$$
  以及
$$q_j=[r_{j-2}/r_{j-1}]r_j=r_{j-2}-q_j{r}_{j-1}$$
  最后，一定有r_n+1 = 0。这时，令
$$s=s_{n}t=t_n$$
  总之，可以找到整数s，t，使得
$$sa+tb=r_n=(a,b)$$

  将上述算法可写成以下python代码：

算法代码实现

from euclid import *


def func(a, b):
    r = [a, b]
    q = [0, 0]
    s = [1, 0]
    t = [0, 1]
    i = 2
    if r[1] == 0:
        return s[0], t[0]
    else:
        next_q = r[0] // r[1]
        next_r = r[0] - next_q * r[1]
        r.append(next_r)
        q.append(next_q)
    while r[i] != 0:
        next_s = s[i-2] - q[i] * s[i-1]
        next_t = t[i-2] - q[i] * t[i-1]
        next_q = r[i-1] // r[i]
        next_r = r[i-1] - next_q * r[i]
        r.append(next_r)
        q.append(next_q)
        s.append(next_s)
        t.append(next_t)
        i += 1
    return s[i-1], t[i-1]


print(func(202, 282))
print('202 *', func(202, 282)[0], ' + 282 *', func(202, 282)[1], '=', gcdIter(202, 282))
print(func(1613, 3589))
print('1613 *', func(1613, 3589)[0], ' + 3589 *', func(1613, 3589)[1], '=', gcdIter(1613, 3589))
print(func(1859, 1573))
print('1859 *', func(1859, 1573)[0], ' + 1573 *', func(1859, 1573)[1], '=', gcdIter(1859, 1573))

  其中eculid模块是自己编写的用来求解最大公约数，详情可以参考信息安全数学基础——欧几里得算法

总结

  本文主要介绍了扩展欧几里得算法，其在求解乘法逆元时会非常有帮助。