欧几里得算法

        欧几里得算法，也称辗转相除法，是数论中一项基本技术，欧几里得算法提出至今2000多年，仍然是数论科学家们的至爱，它通过一个简单的过程来确定两个整数的最大公因子(greatest common divisor, GCD)。而扩展的欧几里得算法不仅确定两个正整数的最大公因子，还能求出最大公因子关于这两个正整数的一个线性组合（文章中已给出定义）。欧几里得算法也是求解线性同余方程的有得工具，在密码学中有广泛的应用。下面就其算法进行分析，并给出数学证明及算法效率。

1.      欧几里得算法

1.1  定义

        在定义欧几里得算法之前，先定义一些基本概念。

定义1(因子) 设a, b是整数，若存在整数d使得b = ad, 则称a是b的一个因子，也称a整除b或称b是a的倍数，记为 a|b。

定义2(最大公因子)  若整数c满足c|a, c|b, 则c称为整数a和b的公因子。a和b的最大公因子记为gcd(a,b),简记(a, b)，其定义为：

定理1(欧几里得算法)   要计算两个整数a与b的最大公因数，令r₀= a，r₁ = b，然后计算相继的商和余数

r_i = q_i+1×r_i+1 + r_i+2（i = 0,1,2…）

直到r_n+1为0，最后的非零余数r_n就是a与b的最大公因子。

1.2  算法描述

算法1(欧几里得算法, Euclid algorithm) 输入两个非负整数a, b,输出最大公因子

        (1)令r₀←a, r₁←b;

        (2)if r₁ = 0 return r₀;

        (3)令r₂←r₀mod r₁;

        (4)令r₀←r₁,r₁←r₂

        (5)返回(2)

1.3分析及证明

         从定理1的描述中，我们至少有两个问题要弄明白：一是为什么r_n+1为0时，最后的非零余数r_n就是a与b的最大公因子？二是该算法的余数最终为什么一定会为0?

        现在先来分析第一个问题，通过例子是最容易阐述问题的，下面来看一个例子我们来计算gcd(36, 128):

step 1：用128除以36商3余20，我们记作

128= 3×36 + 20

step 2：取36，用上一步的余数20除36，得

36 =1×20 + 16

step 3：取20，用上一步的余数16除20，得

20 =1×16 + 4

step 4：用4除16求得余数为0，算法结束，即

16 =4×4 + 0

欧几里德算法说明当得到的余数为0时，前一步的余数就是最初两个数（a与b）的最大公因子,即gcd(a, b) = 4.

         下面我们来分析一下欧几里德算法的一般情形，如果我们记r₀ = a , r₁ = b,则

r₀ = q₁×r₁ + r₂

r₁ = q₂×r₂ + r₃

r₂ = q₃×r₃ + r₄

:

r_i = q_i+1×r_i+1 + r_i+2     (式 1-1)

:

  r_n-2= q_n-1×r_n-1 + r_n    (r_n为最大公因子)

 r_n-1 = q_n×r_n + 0

其通项为r_i = q_i+1×r_i+1 + r_i+2（i = 0,1,2…）。

        现在我们来证明为什么欧几里德算法最后得到的非零余数r_n就是a与b的公因数。首先需要证明r_n是a与b公因子。从最后一行r_n-1 = q_n×r_n + 0得r_n｜r_n-1（r_n整除r_n-1），则前一行r_n-2 = q_n-1×r_n-1 + r_n，由r_n｜r_n且r_n｜r_n-1得r_n｜r_n-2，同理，逐行上移，当到达第二行r₁ = q₂×r₂ + r₃，我们知道r_n｜r₃且r_n｜r₂，故r_n｜r₁= b。最后到达顶行r₀ = q₁×r₁ + r₂，利用r_n｜r₂且r_n｜r₁得到r_n｜r₀= a，这就完成了最后非零余数r_n是a与b的公因数的证明。现在再证明为什么r_n就是a与b最大公因数。假设g是a与b的任意公因数，现在从上往下，从第一行r₀ = q₁×r₁ + r₂，由假设g｜r₀且g｜r₁，可得g｜r₂。第二行r₁ = q₂×r₂ + r₃，由g｜r₁且g｜r₂可得g｜r₃。同理，逐行往下，我们在每一行中可以得到g整除前两个余数r_i和r_i+1，于是也得到整除下一个余数r_i+2，即g｜r_i+2。最终到达倒数第二行r_n-2 = q_n-1×r_n-1 + r_n，由此我们得到g｜r_n。由我们的假设g是a与b的任意公因数，而g｜r_n可得g≤r_n，故r_n一定是a与b的最大公因数。

         第二个问题必须阐述清楚，如果不为0，则会给出不终止的算法。但我们很容易看到，欧几里德算法总会终止，即最后余数肯定会为0。我们每次计算商和余数

A = Q×B + R

余数R都在0与B-1之间。所以，欧几里德算法中的余数不断减小，即

b = r₁ > r₂ > r₃…>r_n-1>r_n

所有的余数大于等于0，因此得到非负余数是严格递减序列，最终必然会得到等于0的余数。

1.4算法效率分析

         我们利用拉梅定理来进行算法效率分析。

定理2(拉梅定理) 设a≥b都是正整数，d(b)是b的十进制表示式中数字的个数。若n是用欧几里得算法计算最大公因子(a, b)的步数,则

n≤5d(b)

证明(对数学不感兴趣的网友可以绕过该证明)：下面的证明要考虑斐波那契序列

F₀ = 0, F₁ = 1, F_n = F_n-1 + F_n-2, n ≥ 2

在欧几里得算法的等式中，我们用r₀ = a , r₁ = b, 使得每个等式有形式

r_i = q_i+1×r_i+1 + r_i+2

除了最后一个，即

r_n-1 = q_n×r_n + 0

注意q_n≥2：若q_n≤1, 则r_n-1≤q_nr_n = r_n, 这与r_n-1 > r_n矛盾.类似地，所有q₁,q₂,…q_n-1≥1:否则存在j≤n-1使得q_i = 0且， r_j-1 = r_j+1，

与严格不等式b = r₁ > r₂> r₃…>r_n-1>r_n矛盾。

现在

r_n≥1 = F₂

且由于q_n≥2,

r_n-1 = q_nr_n≥2r_n≥2F₂≥2 = F₃

更一般地，让我们对i≥0进行归纳法证明

r_n-i ≥ F_i+2

归纳步骤为

r_n-i-1 = r_n-iq_n-i+ r_n-i+1

                                            ≥r_n-i+ r_{n-i + 1}                  (因为q_n-i≥1)

             ≥F_i+2 + F_i+1 =F_i+3

所以b = r₁ = r_n-(n-1) ≥ F_n-1+2 = F_n+1.

        为了便于证明，再给出一个斐波那契序列的一个推论

例如d(78) = 2, 所以由拉梅定理保证了计算gcd(326，78)至多需要10步；实际上只有5步。

1.5源代码

size_t Euclid(size_t a, size_t b)
{
    while (b)
    {
        size_t r = a % b;
        a = b;
        b = r;
    }
    return a;
}

2.      扩展的欧几里得算法

2.1  定义

定义3(线性组合) 整数a, b的一个线性组合是指形如sa + tb的整数，其中s, t为整数。

定理3      若a, b是整数，则gcd(a, b)是a, b的一个线性组合。即存在s_n,t_n，使得

s_na+ t_nb = (a, b)

这里s_n, t_n由下面等式递归得到

其中q_i为(式1-1)中的不完全商。

         如果记r₀= a, r₁ = b, 注意到r_n = (a, b)，则我们只需要用数学归纳法证明等式

s_ia+ t_ib = r_i           (i= 0, 1, 2, 3…)

2.2  算法描述

        有了上面的递推式，我们很容易得到扩展的欧几里得算法，描述如下：

算法2(扩展的欧几里得算法,Extend Euclid algorithm) 输入两个非负整数a, b,输出三元组{g, s, t}，g表示最大公因子, s, t表示a,和b的线性系数，即满足sa +tb = g。

        (1)    令r_0←a,  r_1←b,  s_0←1,  s_1←0,  t_0←0,  t_1←1

        (2)    if r_i= 0, 返回{r_i-1,s_i-1, t_i-1}, 结束程序

        (3)    令q_{i←[ri-1/ri]},  r_i+1←r_i-1– q_ir_i,  s_i+1←s_i-1– q_is_i,  t_i+1←t_i-1– q_it_i

        (4)    返回(2)

2.3  分析及证明

        由上面的算法描述可以看出扩展的欧几里得算法和欧几里得算法的计算步数是相同的，但扩展的欧几里得算法还能计算出关于(a,b)的一个线性组合。这儿有个疑问可能在为什么通过(式1-2)的递推式就可以得出关于(a, b)的线性组合s_na + t_nb = (a, b)?

         现在用数学归纳法证明s_ia+ t_ib = r_i         (i= 0, 1, 2, 3…)：

基础步骤：当i = 0时，s₀= 1, t₀ = 0, r₀ = a, s_ia + t_ib = r_i成立。

归纳步骤：假设i = n时有s_ia+ t_ib = r_i成立，有

                                                                        s_i+1a+ t_i+1b = (s_i-1- q_is_i)a + (t_i-1 – q_it_i)b

                                                                                             = s_i-1 a + t_i-1 b –q_i (s_ia + t_ib)

                                                                                             = r_i-1 – q_ir_i    (式1-1中有r_i = q_i+1r_i+1+ r_i+2)

                                                                                             = r_i+1

于是我们证明了

s_ia+ t_ib = r_i          (i= 0, 1, 2, 3…)

2.4  源代码

//三元组结构体
struct Triple
{
   	Triple(){}
  	explicit Triple(int g, int s, int t)
  	:g(g), s(s), t(t){}
	int g;     //最大公约数
      	int s;     //a关于g的线性系数
       	int t;     //b关于g的线性系数
};
 
//扩展的欧几里得算法
Triple EuclidEx(int a, int b)
{
   Triple t0(a, 1, 0),
          t1(b, 0, 1),
          t2;
   while (t1.g)
    {
       int q = t0.g / t1.g;
       t2 = Triple(t0.g - q * t1.g,
                 t0.s - q * t1.s,
                 t0.t - q * t1.t);
       t0 = t1;
       t1 = t2;
    }
   return t0;
}

3.      小结

        欧几里得算法很简单，但应用却非常广泛，它所扩展出来的知识也非常多，本文只是简单就其算法本身进行讲解。欧几里得算法是求解线性同余方程的有利工具，如对线性同余方程ax = c (mod p) (其中p为素数)，我们可以将线性同余方程改写成ax – py = c, 这和sa + tb= (a, b)是不是很相似呢，的确是这样，我们利用扩展的欧几里得算法就可以方便的求出x和y,特别的，ax = 1(mod p)，如果gcd(a, p) = 1，我们可以求出惟一的x，即为a在有限域Fp的逆元，而这在一些加密算法，如RSA,ECC等中应用都十分广泛。

4.      更多资料参考

[1][美]Joseph H.Silverman著.数论概论(原书第3版).孙智伟,吴克俭等译.北京.机械工业出版社.2009.6

[2]李继国,余纯武编.信息安全数学基础.湖北.武汉大学出版社.2006.9

[3][美]Joseph J.Rotman著.抽象代数基础教程(原书第3版).李样明,冯明军译.北京.机械工业出版社.2008.1

[4][美]Donald E.Knuth著.The Art of Computer Programming Vol 1:Fundamental Algorithms Third Edition.北京.人民邮电出版社.2012.2