Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный
Лекция 13:

Квадратичное сравнение

< Лекция 12 || Лекция 13: 1234 || Лекция 14 >
Аннотация: Линейное сравнение уже рассматривалось в лекции 2, а китайская теорема об остатках была обсуждена в предыдущей секции. Для решения задач криптографии мы также должны уметь решать квадратичное сравнение, имеющее следующую форму a2x2 + a1x + a0 = 0 (mod n).

Мы ограничим наше обсуждение только квадратичными уравнениями, в которых a2 = 1 и a1 = 0. Тогда рассмотрение будет касаться уравнений следующей формы:

{x^2} \equiv a{\text{ }}({\text{mod }}n).

Квадратичное сравнение с модулем в виде простого числа

Мы сначала рассматриваем случай, в котором модуль является простым числом. Другими словами, мы хотим найти решения уравнения формы {x^2} \equiv ({\text{mod }}p), в котором p является простым числом и a — целое число, такое, что p и a — взаимно простые. Может быть доказано, что этот тип уравнения либо не имеет никакого решения, либо имеет только два неконгруэнтных решения.

Пример 13.1

Уравнение {x^2} \equiv 3{\text{ }}({\text{mod }}11) имеет два решения: x \equiv 5{\text{ }}({\text{mod 11}}) и x \equiv -5{\text{ }}({\text{mod 11}}). Но заметим, что -5 \equiv 6{\text{ }}({\text{mod 11}}), так что фактически эти два решения 5 и 6. Также обратите внимание, что эти два решения неконгруэнтны (несравнимы).

Пример 13.2

Уравнение {x^2} \equiv 2{\text{ }}({\text{mod }}11) не имеет решения. Не может быть найдено ни одного целого числа x, такого, что квадрат равен 2 mod 11.

Квадратичные вычеты и невычет

В уравнении {x^2} \equiv a{\text{ }}({\text{mod }}p). a называется квадратичным вычетом (QR), если уравнение имеет два решения; a называется квадратичным невычетом (QNR), если уравнение не имеет решений. Может быть доказано, что в ZP* с p – 1 элементами (p – 1)/2 элементов — квадратичные вычеты и (p – 1)/2 являются квадратичными невычетами.

Пример 13.3

Есть 10 элементов в Z11*. Пять из них – квадратичные вычеты, и пять — невычеты. Другими словами, Z11* может быть разделен на два отдельных множества, QR и QNR, как это показано на рис. 13.1.

Критерий Эйлера

Как мы можем проверить, является ли целое число QR по модулю p? Критерий Эйлера дает признаки:

a. Если {a^{(p - 1)/2}} \equiv 1(\bmod p) — квадратичный вычет по модулю p.

b. Если {a^{(p - 1)/2}} \equiv -1(\bmod p) — квадратичный невычет по модулю p.

 Разделение Z11* на QR и QNR

Рис. 13.1. Разделение Z11* на QR и QNR

Пример 13.4

Для того чтобы узнать, является ли 14 или 16 QR в Z11*, сделаем следующие вычисления:

14(23-1)/2 mod 23	1411 mod 23	->  22 mod 23 -> –1 mod 23  невычет
16(23-1)/2 mod 23	1611 mod 23  ->   1 mod 23	  	     вычет

Решение квадратичного сравнения с модулем в виде простого числа

Хотя критерий Эйлера позволяет нам определить, является ли целое число a QR или QNR в Zp*, он не может найти решение {x^2} \equiv ({\text{mod }}p). Чтобы найти решение этого квадратного уравнения, мы заметим, что простое число может быть представлено либо как p = 4k + 1, либо как p = 4 к + 3, в котором k является положительным целым числом. Решение квадратного уравнения — очень сложное в первом случае и более простое во втором. Мы обсудим только второй случай, который мы будем использовать в лекциях 14-15, когда будем рассматривать криптографическую систему Рабина.

Специальный случай: p = 4 К + 3, если p находится в форме 4 К + 3 (то есть p = 3 mod 4 ) и a есть QR в Zp*, то

x \equiv  a^{(p+1)/4}(mod \ p)  и  x \equiv -a^{(p+1)/4}(mod \  p)

Пример 13.5

Решите следующие квадратные уравнения:

a. {x^2} \equiv 3{\text{ }}({\text{mod }}23)

b. {x^2} \equiv 2{\text{ }}({\text{mod }}11)

c. {x^2} \equiv 7{\text{ }}({\text{mod }}19)

Решения

a. В первом уравнении 3 - QR в Z23, решение - x \equiv  \pm 16\left( {\bmod {\text{ }}23} \right). Другими словами, \sqrt 3  \equiv  \pm 16(\bmod 23).

b.Во втором уравнении 2 - QNR в Z11. Нет решения для \sqrt 2 в Z11.

c. В третьем уравнении 7 - QR в Z19, решение - x \equiv  \pm 11\left( {\bmod {\text{ 19}}} \right). Другими словами \sqrt 7  \equiv  \pm 11\left( {\bmod {\text{ 19}}} \right).

Квадратичное сравнение по составному модулю

Квадратичное сравнение по составному модулю может быть приведено к решению системы сравнений по модулю в виде простого числа. Другими словами, мы можем анализировать {x^2} \equiv a(\bmod n), если имеем разложение n на множители. Теперь мы можем решить каждое анализируемое уравнение (если оно разрешимо) и найти k пар ответов для x, как показано на рис. 13.2.

 Декомпозиция сравнения по составному модулю

Рис. 13.2. Декомпозиция сравнения по составному модулю

Из k пар ответов мы можем составить 2 системы уравнений, которые могут быть решены с использованием китайской теоремы об остатках, чтобы найти 2 значения для x. В криптографии обычно n выбирают так, чтобы n = p \times q, — это означает k = 2, и мы имеем в целом только четыре ответа.

Пример 13.6

Предположим, что {x^2} \equiv 36\left( {\bmod 77} \right). Мы знаем, что 77 = 7 \times 11. Мы можем написать

x^{2} = 36 (mod \ 7) \equiv  1 (mod \ 7)   и   x^{2} \equiv  36 (mod \ 11)

Обратите внимание, что мы выбрали 3 и 7, чтобы иметь форму 4k + 3 — так, чтобы мы могли решить уравнения, основываясь на предыдущих рассуждениях. Из этих уравнений мы имеем квадратичные вычеты в собственном множестве. Ответы x \equiv +1\left( {\bmod {\text{ }}7} \right), x \equiv -1\left( {\bmod {\text{ }}7} \right), x \equiv +5\left( {\bmod {\text{ }}11} \right) и x \equiv -5\left( {\bmod {\text{ }}11} \right). Теперь мы можем из них составить четыре системы уравнений:

\tt\parindent0pt

Система 1: $x \equiv  +1(mod\ 7)$

$x \equiv  +5(mod\ 11)$ Система 2: $x \equiv  +1(mod\ 7)$

$x \equiv  –5(mod\ 11)$ Система 3: $x \equiv  –1(mod\ 7)$

$x \equiv  +5(mod\ 11)$ Система 4: $x \equiv  –1(mod\ 7)$

$x \equiv  –5(mod\ 11)$

Ответы : x =  \pm 6 и \pm 27.

Сложность

Как сложно решить квадратичное сравнение по составному модулю? Главная задача — это разложение модуля на множители. Другими словами, сложность решения квадратичного сравнения по составному модулю — такая же, как и разложения на множители составного целого числа. Как мы видели раньше, если n очень большое, то разложение на множители неосуществимо.

Сложность решения квадратичного сравнения по составному модулю имеет ту же сложность, что и разложение модуля на множители.
< Лекция 12 || Лекция 13: 1234 || Лекция 14 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989
Олег Волков
Олег Волков
Россия, Балаково, МБОУ СОШ 19