信息安全数学基础-素数模高次同余方程 2021-10-09

8.素数模高次同余方程

1. 素数模的高次同余方程

问题的引出

一般素数p模同余方程
$$f(x)=a_0{x}^n+...+a_n\equiv 0(modp),p不整除a_0$$
的求解问题

基本方法

把模p的完全剩余系中数一一代入即可求解。但当p,n过大时，代入验算不是易事。因此需要简化处理。

简化处理方式

• $f(x)$的系数有大于p的都把它们化为小于p

• 若$f(x)$的次数n不小于p，利用$x^p\equiv x(modp)$（费马小定理），可以用$x^p-x$（因为$x^p-x\equiv 0(mpdp)$）除$f(x)$得到次数小于p的$r(x)$，即把$f(x)$化为次数小于p的$r(x)$。即
  $$f(x)\equiv r(x)(modp)$$

• 若$f(x)=g_1(x)g_2(x)(modp)$，则原方程的求解问题变成求解$g_1(x)\equiv 0(modp)$及$g_2(x)\equiv 0(modp)$

  由于$deg{g}_1(x)<degf(x),deg{g}_2(x)<degf(x)$，计算的困难性可以大大减少。

• 若已经知道了同余方程的一个解$x\equiv a(modp)$，则由于$f(x)=(x-a)g(x)+r$，有$r\equiv 0(modp)$，因此$f(x)\equiv (x-a)g(x)(modp)$，求解问题变为$g(x)\equiv 0(modp)$

例子

$$x^2\equiv 1(modp)$$

只有1和$p-1$两个解。其中p为素数

答：
$$\begin{gathered} 显然，x\equiv 1是原方程f(x)=x^2-1\equiv 0(modp)的一个解。 \\ 由于f(x)=(x-1)(x+1) \\ 因此f(x)\equiv (x-1)(x+1)\equiv 0(modp)，求解问题变为(x+1)\equiv 0(modp) \\ 显然此时x\equiv p-1(modp) \end{gathered}$$

例子

求与同余式$3x^{14}+4x^{13}+2x^{11}+x^9+x^6+x^3+12x^2\equiv 0(mod5)$等价的次数小于5的同余式

解：

因$3x^{14}+4x^{13}+2x^{11}+x^9+x^6+x^3+12x^2$$=(x^5-x)(3x^9+4x^8+2x^6+3x^5+5x^4+2x^2+4x+5)+3x^3+16x^2+6x$

所以原同余式等价于$3x^3+16x^2+6x\equiv 0(mod5)$

例子

$$x^{p-1}\equiv 1(modp)$$

有$p-1$个（不相同的）解。其中p为素数

解1：

$$\begin{gathered} 由于p是素数，所以\phi (p)=p-1 \\ 由欧拉定理，当(k,p)=1时，k^{\phi (p)}\equiv 1(modp) \\ 即k^{p-1}\equiv 1(modp) \\ 由于p是素数，因此p的p个剩余类里只有[0]与p不互素 \\ 因此x^{p-1}\equiv 1(modp)有p-1个（不相同的）解，其中p为素数。 \end{gathered}$$

解2：

$$\begin{gathered} 这个方程有p-1个不同的解： \\ x\equiv 1,...,p-1(modp) \\ 在模p的意义下有如下分解： \\ {x}^{p-1}-1\equiv (x-1)(x-2)...(x-(p-1))(modp) \\ 令x=0，有：-1\equiv (-1{)}^{p-1}(p-1)!(modp) \end{gathered}$$

Wilson定理

$$若p为素数，则(p-1)!\equiv -1(modp)$$

• 当p是奇素数时，上面的例子显然满足Wilson定理
• 当p是偶素数时，显然p只能是2，而$-1\equiv (-1{)}^{2-1}(2-1)!(mod2)$，上面的例子也满足Wilson定理

例子

若p>2，则
$$x^{p-2}+x^{p-3}+...+x+1\equiv 0(modp)$$
有$p-2$个不相同的解：
$$x\equiv 2,3,...,p-1(modp)$$

解：

$$\begin{gathered} 由于x^{p-1}-1\equiv (x-1)(x-2)...(x-(p-1))(modp)（上面的结论） \\ 且x^{p-1}-1\equiv (x-1)(x^{p-2}+x^{p-3}+...+x+1)(modp) \\ 因此(x-1)(x-2)...(x-(p-1))\equiv (x-1)(x^{p-2}+x^{p-3}+...+x+1)(modp) \\ 而上式左边有p-1个不同的解：1,2,...,p-1(modp) \\ 因此上式右边也有p-1个不同的解：1,2,...,p-1(modp) \\ 其中(x-1)贡献解1(modp) \\ 从而x^{p-2}+x^{p-3}+...+x+1\equiv 0(modp)有p-2个不相同的解： \\ 2,3,...,p-1(modp) \end{gathered}$$

重解

定义

假如关于模$m$，${(x-a)}^k$是$f(x)$的因式，但${(x-a)}^{k+1}$不是$f(x)$的因式，则$x\equiv a(modm)$叫做同余方程$f(x)\equiv 0(modm)$的k重解。当k=1时又称为单解，当k>1时叫做重解。

例子

$f(x)=x^7-2x^6-7x^5+x+2\equiv 0(mod5)$可分解为
$$f(x)=(x-1){(x+1)}^2{(x-2)}^2(x^2+x+2)(mod5)$$
因此$x\equiv 1$是$f(x)\equiv 0(mod5)$的单解，$x\equiv 2,4$是重解。注意到当$f(x)\equiv 0(modp)$降次后得到的$r(x)\equiv 0(modp)$中不相同的解是一致的，但它们在各方程中的重数不一定一致。

拉格朗日定理

$$f(x)\equiv 0(modp)的不相同的解的个数不大于f(x)的次数$$

证明：

$$\begin{gathered} 用数学归纳法：当n=1时，定理显然成立 \\ 假定n-1时定理成立，假如x=a是f(x)\equiv 0(modp)的解，即 \\ 有f(a)\equiv 0(modp). \\ 令f(x)\equiv (x-a)g(x)(modp).若x\equiv b(modp)是任意一解，则有： \\ f(b)\equiv (b-a)g(b)\equiv 0(modp) \\ 故有b\equiv a(modp)或g(b)\equiv 0(modp) \\ 前者说明b与a在模p之下同余， \\ 后者说明x\equiv b(modp)是g(x)\equiv 0(modp)的解。 \\ 也就是说f(x)\equiv 0(modp)的解或者是x\equiv a？(modp)，或者是g(x)\equiv 0(modp) \\ 由于degg(x)=n-1，由归纳假设，它的不相同的解的个数不多于n-1个。 \\ 因此无论哪种情况，f(x)\equiv 0(modp)的解数都不超过n个 \end{gathered}$$

拉格朗日定理的注记

1. 由拉格朗日定理可知，假如
   $$a_0{x}^n+a_1{x}^{n-1}+...+a_n\equiv 0(modp)$$
   有多于n个不相同的解，则它的所有系数都能用p整数，即
   $$a_i\equiv 0(modp),i=0,1,...,m$$

2. $$f(x)=a_0{x}^n+...+a_n\equiv 0(modp)，p不整除a_0$$

   不一定有解。即使有解，解的个数也不一致。上定理只是解个数的最好上限而已

   例如：

   $x^3+4x^2+x+1\equiv 0(mod5)$无解

   $x^3+2x^2-2x+1\equiv 0(mod5)$有一个解：$x\equiv -2(mod5)$

   $x^3-2x^2-x+2\equiv 0(mod5)$有三个解：$x\equiv 1,-1,-2(mod5)$

3. 拉格朗日定理之所以能成立，是因为模数是素数。假如模数是合数，定理不一定成立。

   例如：
   $$x^3-x＝x(x-1)(x+1)\equiv 0(mod6)$$
   有6个解：$x\equiv 0,1,2,3,4,5(mod6)$

   原因：

   若p是合数，那么在拉格朗日定理的证明过程中：
   $$\begin{gathered} f(b)\equiv (b-a)g(b)\equiv 0(modp) \\ 故有b\equiv a(modp)或g(b)\equiv 0(modp) \end{gathered}$$
   不再成立。因为：
   $$\begin{gathered} 若p是素数，c\ast d\equiv 0(modp)⟺c\ast d=n\ast p \\ ⟺p|c\ast d⟺p|c或p|d \\ 若p是合数，上述性质“p|c\ast d⟺p|c或p|d”不再成立 \end{gathered}$$

n次同余方程有n个不同解的判定

定理

$$\begin{gathered} n(<p)次同余方程f(x)\equiv 0(modp)有n个不相同解的必要充分条件是： \\ f(x)在模p之下是x^p-x的因式。 \end{gathered}$$

充分性证明：

$$\begin{gathered} 假如x^p-x\equiv q(x)f(x)(modp).（即：f(x)在模p之下是x^p-x的因式） \\ 若f(x)\equiv 0(modp)解的个数小于n，由于q(x)\equiv 0(modp)的解不能多于p-n个， \\ 故q(x)f(x)\equiv 0(modp)的解少于p个，这与前面的例子矛盾 \\ 故f(x)\equiv 0(modp)的解有n个。 \end{gathered}$$

前面的例子指：
$$\begin{gathered} x^{p-1}\equiv 1(modp)有p-1个（不相同的）解，其中p为素数。 \\ 从而x^p-x\equiv 0有p个（不相同的）解 \end{gathered}$$

必要性证明：

$$\begin{gathered} 若n(<p)次同余方程f(x)\equiv 0(modp)有n个不相同解，设为x_1,...,x_n, \\ 则f(x)可以写为： \\ f(x)=c(x-x_1)(x-x_2)...(x-x_n)(modp) \\ 由于前面的例子：x^{p-1}-1\equiv (x-1)(x-2)...(x-(p-1))(modp) \\ 得到x^p-x\equiv (x-0)(x-1)(x-2)...(x-(p-1))(modp) \\ 显然，f(x)在模p之下是x^p-x的因式。 \end{gathered}$$

2. 模pq的e次剩余

当$m=pq$是两个不同素数的乘积时，是否仍满足$a^{m-1}\equiv 1(modm)$呢？

示例

一个数的幂次模15的结果会是什么样的？如果我们做一个平方以及立方模15的表，结果看起来并不十分有趣，但是对于四次方模15，有许多结果为1的情况：
$$\begin{gathered} a^4\equiv 1(mod15)a=1,2,4,7,8,11,13,14; \\ {a}^4\ne 1(mod15)a=3,5,6,9,10,12. \end{gathered}$$
这表明，当a与模数m互素时可以找到一些类似于费马小定理的结果，但是这些结果对应的指数却不一定是m-1.

对于m = 15，我们发现结果为1，对应指数是4。为什么是4？

为了说明$a^4\equiv 1(mod15)$，只需检验以下两个同余式的正确性：
$$a^4\equiv 1(mod3)a^4\equiv 1(mod5)$$
两个同余式的模数都是素数，可通过费马小定理检验其正确性，因此有：
$$\begin{gathered} a^4\equiv {(a^2)}^2\equiv {(a^{3-1})}^2\equiv 1^2\equiv 1(mod3) \\ {a}^4\equiv a^{5-1}\equiv 1(mod5) \end{gathered}$$
若考虑这两个同余式，可以看出指数4的关键性质是它是p=3和p=5对应的p-1的公倍数。注意到14就不满足这一性质，也就不是有效的指数。

基于这一观察，我们准备介绍RSA公钥密码的基本公式。

模pq的欧拉公式

定理

$$\begin{gathered} 设p和q是不同的素数，设g=gcd(p-1,q-1). \\ 对于所有满足gcd(a,pq)=1的a，有a^{\frac{(p-1)(q-1)}{g}}\equiv 1(modpq) \\ 特别地，若p和q都是奇素数，gcd(p-1,q-1)=1,则a^{\frac{(p-1)(q-1)}{2}}\equiv 1(modpq) \end{gathered}$$

• $\frac{(p-1)(q-1)}{g}$：就是$(p-1)(q-1)$的最小公倍数

证明

$$\begin{gathered} 由假设可知p不整除a且g整除q-1，因此我们可以计算： \\ {a}^{\frac{(p-1)(q-1)}{g}}={(a^{p-1})}^{(q-1)/g}（因为\frac{q-1}{g}是整数） \\ \equiv 1^{(q-1)/g}(modp)（因为a^{p-1}\equiv 1(modp） \\ \equiv 1(modp)（因为1的任意幂次都是1） \\ 这证明了a^{\frac{(p-1)(q-1)}{g}}-1可以被p和q整除，因此它可以被pq整除，从而完成了定理的证明 \end{gathered}$$

高次同余方程的求解困难性

RSA公钥密码体系：依赖于求解以下形式同余方程的困难性：
$$x^e\equiv c(modN)$$
其中e,c,N已知，x未知。换言之，RSA的安全性依赖于求解模N的e次剩余的困难性假设。

这是合理的假设吗？如下一个命题所述，如果模数N是素数，那么就可相对容易地计算出模N的e次剩余。

素数模高次同余方程的求解

命题

$$\begin{gathered} 设p是素数，e\ge 1是整数，满足gcd(e,p-1)=1.则e模p-1一定有唯一逆元， \\ 也就是：de\equiv 1(modp-1) \\ 那么同余方程x^e\equiv c(modp)，就有唯一解：x\equiv c^d(modp) \end{gathered}$$

证明：

如果$c\equiv 0(modp)$，则$x\equiv 0(modp)$是其唯一解，该情况证毕。

所以我们下面假定$c\ne 0(modp)$。该情况的证明需要用到费马小定理。首先同余方程$de\equiv 1(modp-1)$ ，意味着存在一个整数k，使得
$$de=1+k(p-1)$$
现在我们检验$c^d$是$x^e\equiv c(modp)$的解：
$$\begin{gathered} {(c^d)}^e\equiv c^{de}(modp) \\ \equiv c^{1+k(p-1)}(modp) \\ \equiv c\cdot {(c^{p-1})}^k(modp) \\ \equiv c\cdot 1^k(modp) \\ \equiv c(modp) \end{gathered}$$
这就证明了$x=c^d$是$x^e\equiv c(modp)$的解。

为了证明解的唯一性，假设有$x_1$和$x_2$都是同余方程$x^e\equiv c(modp)$的解。我们刚刚证明了$z^{de}\equiv z(modp)$对于任何非零值z都成立，由此可发现
$$x_1\equiv x_1^{de}\equiv {(x_1^e)}^d\equiv c^d\equiv {(x_2^e)}^d\equiv x_2^{de}\equiv x_2(modp)$$
因此$x_1$与$x_2$模p同余，所以$x^e\equiv c(modp)$至多有一个解。

例

尝试求解同余方程：
$$x^{1583}\equiv 4714(mod7919)$$
其中模数p = 7919是素数。

解

$$\begin{gathered} 首先解同余方程1583d\equiv 1(mod7918) \\ 由扩展欧几里得算法求得d\equiv 5277(mod7918). \\ 由命题可知: \\ x\equiv 4714^{5277}\equiv 6059(mod7919) \\ 是同余方程x^{1583}\equiv 4714(mod7919)的解。 \end{gathered}$$

素数模高次同余方程的注记

• 命题包括$gcd(e,p-1)$这一假设。如果去掉这一假设，那么同余方程$x^e\equiv c(modp)$对于c的某些值（并非所有值）将有解。此外如果它确实有解，那么解将不止一个。

命题说明如果模数p是一个素数，那么求解e次方根是很容易的。模数N是合数的情况看起来与之相似，但其实差别很大。如果我们知道如何分解N，那么计算e次方根也是容易的。

模pq时高次同余方程的求解

命题

$$\begin{gathered} 假设p和q是不同的素数，并假设e\ge 1,满足： \\ gcd(e,(p-1)(q-1))=1. \\ 则e模(p-1)(q-1)存在逆元，也就是 \\ de\equiv 1(mod(p-1)(q-1)). \\ 则同余方程 \\ {x}^e\equiv c(modpq) \\ 有唯一解x\equiv c^d(modpq) \end{gathered}$$

证明

$$\begin{gathered} 首先我们假设gcd(c,pq)=1 \\ 同余方程de\equiv 1(mod(p-1)(q-1))说明存在一整数k，使得 \\ de=1+k(p-1)(q-1) \\ 下面我们验证c^d是x^e\equiv c(modpq)的一个解： \\ {(c^d)}^e\equiv c^{de}(modpq) \\ \equiv c^{1+k(p-1)(q-1)}(modpq) \\ \equiv c\cdot {(c^{(p-1)(q-1)})}^k(modpq) \\ \equiv c\cdot 1^k(modpq) \\ \equiv c(modpq) \end{gathered}$$

$$\begin{gathered} 若gcd(c,pq)\ne 1，则gcd(c,pq)=p或gcd(c,pq)=q \\ 不妨设gcd(c,pq)=p,则c=xp,1\le x\le q. \\ 由欧拉定理知：c^{\phi (q)}\equiv 1(modq) \\ 即有：c^{q-1}\equiv 1(modq) \\ 进而：{(c^{q-1})}^{k(p-1)}\equiv 1(modq) \\ 即：c^{k(p-1)(q-1)}\equiv 1(modq) \\ 存在整数b使得c^{k(p-1)(q-1)}=1+bq \\ 两边同时乘以c得c^{1+k(p-1)(q-1)}=c+bcq=c+bxpq\equiv c(modpq) \\ 即{(c^d)}^e=c^{1+k(p-1)(q-1)}\equiv c(modpq) \\ 从而x\equiv c^d(modpq)是同余方程x^e\equiv c(modpq)的解 \end{gathered}$$

还要证明解的唯一性：
$$\begin{gathered} 假设x=u是x^e\equiv c(modpq)的一个解 \\ 若gcd(c,pq)=1,则(u,pq)=1（？为什么呢）有 \\ u\equiv u^{de-k(p-1)(q-1)}(modpq) \\ \equiv {(u^e)}^d\cdot {(u^{(p-1)(q-1)})}^{-k}(modpq) \\ \equiv {(u^e)}^d\cdot 1^{-k}(modpq) \\ \equiv c^d(modpq) \\ 因此x^e\equiv c(modpq)的每个解都等于c^d(modpq) \end{gathered}$$

$$\begin{gathered} 若gcd(c,pq)\ne 1，则gcd(c,pq)=p或gcd(c,pq)=q \\ 不妨设gcd(c,pq)=p，则c=xp,1\le x\le q \\ 由u^e\equiv c(modpq)得u^e\equiv c(modp),有p|u,从而有u\equiv c^d(modp) \\ 又因为 \\ u\equiv u^{de-k(p-1)(q-1)}(modq) \\ \equiv {(u^e)}^d\cdot {(u^{(p-1)(q-1)})}^{-k}(modq) \\ \equiv {(u^e)}^d\cdot 1^{-k}(modq) \\ \equiv c^d(modq) \\ 即有u\equiv c^d(modq),而(p,q)=1 \\ 故有u\equiv c^d(modpq)，解的唯一性得证。 \end{gathered}$$

模pq时高次同余方程的求解的备注

• 命题给出了求解$x^e\equiv c(modpq)$的算法，首先解$de\equiv 1(mod(p-1)(q-1))$，然后计算$c^d(modpq)$。我们通常可通过使用较小的d值来加快计算速度。设$g=(gcd(p-1)(q-1))$，并假设我们解出了以下同余方程中的$d$：
  $$de\equiv 1(mod\frac{(p-1)(q-1)}{g})$$

由欧拉公式可知$a^{\frac{(p-1)(q-1)}{g}}\equiv 1(modpq)（这又是为什么呢？？？）$。因此，我们写出$de=1+k\frac{(p-1)(q-1)}{g}$，则
$${(c^d)}^e\equiv c^{de}\equiv c^{1+k(p-1)(q-1)/g}\equiv c\cdot {(c^{(p-1)(q-1)/g})}^k\equiv c(modpq)$$
因此使用这个较小的d值，仍能得到$c^d(modpq)$是$x^e\equiv c(modpq)$的解。

模pq时高次同余方程的举例

求解同余方程：
$$x^{17839}\equiv 43927(mod64349)$$
其中模数N=64349=229.281是两素数p = 229和q = 281的乘积。

解：

第一步解同余方程
$$17389d\equiv 1(mod63840)$$
其中63840=(p-1)(q-1)=228·280.

解为$d\equiv 53509(mod63840)$，然后由命题3.5得
$$x\equiv 43927^{53509}\equiv 14458(mod64349)$$
为方程$x^{17389}\equiv 43927(mod64349)$的解

• 使用备注中描述的技巧，可以节省一点工作量。于是有：
  $$g=gcd(p-1,q-1)=gcd(228,280)=4$$
  所以$\frac{(p-1)(q-1)}{g}=\frac{(228\ast 280)}{4}=15960$，然后解下面的同余方程得到相应的d:
  $$17389d\equiv 1(mod15960)$$
  解得$d\equiv 5629(mod15960)$，则
  $$x\equiv 43927^{5629}\equiv 14458(mod64349)$$
  对比之前的方法：$x\equiv 43927^{53509}\equiv 14458(mod64349)$

国庆后的第一节信安数基，听的云里雾里，看的一知半解……复健路漫漫啊！