二次剩余Cipolla算法学习小记

前言

之前遇到过一些关于二次剩余的题目，因为姿势不够都跳了。由于最近觉得自己的数论姿势严重不足，便觉得有必要来学习一下二次剩余相关的算法。
学完后感觉这个算法作者的脑洞真的是比较大，居然能想出这么巧妙的构造。
关于这个算法的介绍，我比较推荐czy大爷的博文。

前置技能

（以下内容均在模数$p$为奇素数的前提下讨论）

二次剩余

首先要搞懂什么是二次剩余。若方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$有解，则称$a$为$p$的二次剩余，反之则称$a$为$p$的二次非剩余。说白了就是在模意义下能否开根号。
###勒让德符号
勒让德符号是这样定义的：
$$\left(\frac{a}{p}\right)=\{\begin{array}{ll}1,& a为p的二次剩余\\ -1,& a为p的二次非剩余\\ 0,& a\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}p)\end{array}$$

欧拉判别法

若$a$是不被$p$整除的正整数，则$$\left(\frac{a}{p}\right)\equiv a^{\frac{p-1}{2}}$$
证明：

当$\left(\frac{a}{p}\right)=1$时，方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$有解。根据费马小定理可得$a^{\frac{p-1}{2}}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

当$\left(\frac{a}{p}\right)=-1$时，方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$无解。因为$p$是素数，由数论知识可知对于每个$1<=i<p$，都有唯一的一个整数$j$使得$ij\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$。所以我们可以把$1,2,...,p-1$分成$\frac{p-1}{2}$对，使得每对的乘积都为$a$。
于是有$(p-1)!\equiv a^{\frac{p-1}{2}}$。根据威尔逊定理有$(p-1)!\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，可得$a^{\frac{p-1}{2}}\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

定理1

定理1：对于方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$，总共有$\frac{p-1}{2}$个不同的$n$使得该方程有解。
证明：若有两个数$u$和$v$均满足它们的平方在模$p$意义下同余，那么必然有$p|(u+v)(u-v)$。由于$p$不可能整除$u-v$，那么可以得出$p$整除$u+v$。这个结论反过来也是成立的，因此共有$\frac{p-1}{2}$种不同的平方。且每一个$p$的二次剩余恰好有两个解。

###定理2
定理2：$$(a+b{)}^p\equiv a^p+b^p(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
证明：通过二项式展开可以得到$$(a+b{)}^p=\sum _{k=0}^p{C}_p^k{a}^k{b}^{p-k}$$
因为当$k$不等于$p$且不为$0$时，$C_p^k$中的$p$是不可能被消掉的，于是就会在取模时被消掉。

Cipolla算法

我们现在要求$x^2\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}p)$的一个解。
先随机出一个$a$使得$(a^2-n{)}^{\frac{p-1}{2}}\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。由于$p$的非二次剩余的数量为$\frac{p-1}{2}$，所以随机到一个满足条件的$a$的期望随机次数为$2$。
求出$a$，之后显然$a^2-n$并不能开根号。但我们就是强行让他开根号！设$\omega =\sqrt{a^2-n}$为虚数单位，类似于$i=\sqrt{-1}$。那么这一个“复数域”${\mathbb{F}}_{p^2}$的每一个数都可以表示成$a+\omega b$的形式，且这个数域仍然有很多很好的性质，具体见下面：

有一个结论就是$x=(a+\omega {)}^{\frac{p+1}{2}}$。
证明：
$$x^2\equiv (a+\omega {)}^{p+1}$$
$$\equiv (a+\omega {)}^p(a+\omega )$$
$$\equiv (a-\omega )(a+\omega )$$
$$\equiv a^2-{\omega }^2$$
$$\equiv a^2-a^2+n$$
$$\equiv n(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
根据拉格朗日定理可得答案中$\omega$的系数必然为$0$，所以问题就被我们圆满解决了。