USTC计算数论课程学习记录

计算数论学习记录，如有错误，欢迎评论区指正。

1 大整数因子分解算法

1. 寻找$x^2\equiv y^2(modp)$来分解N。
   1. 连分数、二次筛法通过寻找$x_i^2\equiv t_i(modp)$，使用组合多个同余式将右边凑成一个平方元
   2. 数域筛法直接通过寻找平方元计算
      ${\prod }_{(a,b)\in S}(a+b\theta )=r^2$, $\prod c+bm=x^2$，由同态$\varphi :Z[\theta ]->Z_n$得到${\varphi (r)}^2\equiv x^2(modm)$，a和b都是y光滑的。
2. 通过计算分解n
   1. Pollard p-1
   2. Pollard-ρ
   3. p+1算法
   4. 椭圆曲线分解法

1.1 连分数因子分解

使用$\sqrt{n}$的简单连分数展开寻找或组合得到同余式：$x^2\equiv y^2(modp)$。

n为待分解整数，算法步骤

1. 计算$\sqrt{n}$的简单连分数展开，同时计算:

   $P_0=a_0,P_1=a_0{a}_1+1,P_k=a_k{P}_{k-1}+P_{k-2}$

   $Q_0=1,Q_1=a_1,Q_k=a_k{Q}_{k-1}+Q_{k-2}$

   $W_k=P_k^2-N{Q}_k^2$

2. 寻找所需同余式

   1. 寻找$P_k^2\equiv W_k(modn)$，使得$W_k$为平方数
   2. 寻找多个$P_{ki}^2\equiv W_{xi}(modn)$，然后使用素因子分解，组合需要的同余式得到$(P_{k1}{P}_{k2}...{)}^2\equiv ((-1{)}^{e0}{p}_1^{e2}...p_m^{em}{)}^2(modn)$

1.2 二次筛法

利用$W_k=(k+[\sqrt{n}]{)}^2$寻找平方同余式

1. 简单版
   计算$k=-5,-4,-3,-2,-1,0,1,2,3...$时$W_k$的值，选择分解基并从$W_k$寻找可以凑成平方项的值，得到 $\prod {([\sqrt{n}]+n_i)}^2\equiv W_{k1}\cdot W_{k2}\cdot W_{k3}...$ ，后者是个平方元。k在0附近选择，范围可大可小。

2. 复杂版

   1. 计算$W_k$，选择小于P且满足$(\frac{n}{p})=1$的素数作为分解基，取小于A的数作为k计算$W_k$。
   2. 从得到的$W_k$中，选出对分解基光滑的元素，即该元素的素因子都在分解基中。
      1. 每个元素不断除以分解基中的元素，若最后得到1，则选出。
   3. 从选出的元素中凑平方元。
   4. 得到$\prod {([\sqrt{n}]+n_i)}^2\equiv W_{k{i}_1}\cdot W_{k{i}_2}\cdot W_{k{i}_3}...$

1.3 数域筛法

同样，想法设法构造$x^2\equiv y^2(modn)$

思路：

1. 选择一个整数$\theta \notin Q$，由其产生代数数域$K=Q(\theta )$，$\theta$的极小多项式为$f(x)$

2. 寻找整数m使得$f(m)=kn$，则可以定义同态环，K得阶$Z[\theta ]\to Z_n$: $\varphi ({\sum }_{i=0}^{n-1}{a}_i{\theta }^i={\sum }_{i=0}^{n-1}{a}_i{m}_i(modn)$

3. 寻找集合S，$S\subset \{(a,b)\in Z\times Z|gcd(a,b)=1\}$，S满足

   ${\prod }_{(a,b)\in S}(a+bm)=x^2$
   ${\prod }_{(a,b)\in S}(a+b\theta )={\alpha }^2$

   则${\alpha }^2\equiv x^2$

如何构造$f(x)$？取$m=[n^{\frac{1}{d}}]$，将n写成m进制，$n=C_d{m}^d+...+C_{1}m+C_0$，
令$f(x)=C_d{x}^d+...+C_{1}x+C_0$。
若$f(x)$可约，$f(x)=g(x)h(x)$，则$h=g(m)h(m)$，即得到n得非平凡因子。

1.4 Pollard ρ

$f(x)=x^2+1,x_0=2,x_k=f(x_{k-1})$

计算$\gcd (x_{2k}-x_k,N),k=1,2,3...$

变种：使用其他$f(x)$，计算$\gcd (x_{g(t)}-x_t,N)$而不是$x_{2k}-x_k$

1.5 Pollard p-1

计算$\gcd (2^{(k!)}-1,N)$，k为自然数。可以选择前k个素数替换k的阶乘。

1.6 P+1算法

选择大于2得整数A构造Lucas序列
$V_0=2,V_1=A,V_k=A{V}_{k-1}-V_{k-2}$
计算多个$\gcd (V_M-2,N)$的值，其中M为连续阶乘1!, 2!, 3!, 4!，若结果不为1和N，则找到一个因子。
$V_{k!}(A)=V_k(V_{(k-1)!}(A))$

例如，A=9，则

$V_1(9)=V_{1!}(9)=9$
$V_2(9)=V_{2!}(9)=79$
$V_3(79)=V_{3!}(9)=41886$
$V_4(41886)=V_{4!}(9)=79378$
$V_5(79378)=V_{5!}(9)=1934$
$V_6(1934)=V_{6!}(9)=10582$
$V_7(10582)=V_{7!}(9)=84241$
$V_8(84241)=V_{8!}(9)=93973$
$V_9(93973)=V_{9!}(9)=91645$

1.7 椭圆曲线法

选择椭圆曲线，$y^2=x^3+a{x}^2+b$，选择曲线上的点$P(x,y)$，选择阶乘或几个素因子的最小公倍数作为$K=lcm(2,3,5,7...)$，计算$KP$，当计算过程中λ无解的时候，计算分母$m_2$与N的公因子 $\gcd (m_2,N)$ 即得到一个非平凡因子。

$KP$的计算主要依赖椭圆曲线上的加法操作:

$P_1=(x_1,y_1),P_2=(x_2,y_2)$，$P_1+P_2=P_3$

$x_3={\lambda }^2-x1-x2(modn)$
$y_3=\lambda (x_1-x_3)-y_1(modn)$

若$P_1=P_2$，则 $\lambda =\frac{3x_1^2+a}{2y_1}(modn)$
若$P_1\ne P_2$，则 $\lambda =\frac{y_1-y_2}{x_1-x_2}(modn)$

分数取模转换为一次同余式利用欧几里得算法求解: $x=\frac{b}{a}modn\Rightarrow b\equiv axmodn$。

1. 若$\gcd (b,n)\nmid a$，无解
2. 否则利用欧几里得从后往前即可得到，如下

   9x=5 (mod 25) =>  9x + 25 * (-k) = 5
   欧几里得不断取余数gcd(25, 9):
   25 = 9 * 2 + 7
   9 = 7 + 2
   7 = 2 * 3 + 1
   2 = 2 * 1
   从而
   1 = 7 - 2 * 3 = (25 - 9 * 2) - (9 - 7) * 3
     = 25 - 9 * 2 - (9 - (25 - 9 * 2)) * 3
     = 25 - 9 * 2 - (9 * 3 - 25) * 3
     = 25 * 4 - 9 * 11
   从而得到
   25 * 4 + 9 * (-11) = 1
   两边同乘以5有
   25 * 20 + 9 * (-55) = 5
   故 x = (-55) mod 25
   x = 20
   验证得 9*20 = 180 = 25 * 7 + 5 = 5 mod 25
   

2 离散对数

计算$x={\log }_{a}y\Rightarrow y=a^x(modn)$

2.1 小步大步法

$x=[\sqrt{n}]$

小步

$S=\{(y,0),(ya,1),(y{a}^2,2)...(y{a}^{s-1},s-1)modn\}$

大步

$T=\{(a^s,1),(a^{2s},2),(a^{3s},3),...,(a^{s^2},s)modn\}$

之后按照第一项排序，寻找$y{a}^r=a^{ts}$，然后计算$x=ts-r$即得到结果。

2.2 Silver-Hellman-Pholig

计算$x\equiv {\log }_{a}bmodq$

1. 首先得到q-1素因子分解，$q-1\equiv {\prod }_{i=1}^k{p}_i^{{\alpha }_i}$

2. 针对每个素因子的幂$p_i^{{\alpha }_i}$，简写为$p^{\alpha }$，将x分解为p进制形式，如下：

   通过将x分解为p进制的形式计算同余式: $xmod{p}^{\alpha }=x_0+x_{1}p+x_2{p}^2+...+x_{\alpha -1}{p}^{\alpha -1}$

   1. 预处理得到$r_{p,j}=a^{j\cdot \frac{q-1}{p}}modq,0\le j<p$
   2. 计算$x_i$
      1. $b_1=b$, 寻找满足 $b_1^{\frac{q-1}{p}}\equiv r_{p,j}(modq)$ 的j，$x_0=j$
      2. $b_2=b\ast a^{-x0}$，寻找满足 $b_2^{(q-1)/(p^2)}\equiv r_{p,j}(modq)$ 的j，$x_1=j$
      3. $b_3=b\ast a^{-x_0-x_{1}p}$，寻找满足 $b_3^{(q-1)/(p^3)}\equiv r_{p,j}(modq)$ 的j，$x_1=j$
      4. …直到$x_{\alpha -1}$
   3. 得到同余式$xmod{p}^{\alpha }=x_0+x_{1}p+x_2{p}^2+...+x_{\alpha -1}{p}^{\alpha -1}$

3. 通过中国剩余定理，将每一个$p_i^{{\alpha }_i}$对应的同余式组合，即可得到x

3 模p开平方

求解$x^2\equiv a(modp)$，步骤

1. 选取β使其为p得二次非剩余，即$(\frac{\beta }{p})=-1$
2. 分解p-1, $p-1=2^{s}t$，t为奇数
3. 令e=0
4. for i=1 to s-1
   1. 若 $(a{\beta }^{-e}{)}^{2^{s-(i+1)}t}\ne 1$，则 $e=e+2^i$
5. $h=a{\beta }^{-e},b={\beta }^{\frac{e}{2}}{h}^{\frac{t+1}{2}}$
6. b即为解

另一种方法：
计算 $x^2\equiv a(modp)$

1. 计算$p-1=2^s\ast m$，m为奇数
2. 选择模p非二次剩余z
3. 初始化$c=z^m,u=a^m,v=a^{\frac{m+1}{2}}$
4. for i from s-1 to 1
     if $u^{2^{i-1}}\equiv -1(modp)$
      $u=u{c}^2$
      $v=vc$
    $c=c^2$
5. 循环结束后v即为解