分园域的一些结论

参考文献：

1. [书籍] Washington L C. Introduction to cyclotomic fields[M]. Springer Science & Business Media, 1997.
2. [讲义] Milne J S. Algebraic number theory[M]. JS Milne, 2008.
3. [讲义] Milne J S. Fields and Galois Theory (v5. 10)[J]. Amer. Math. Monthly, 2021, 128(8): 753-754.
4. [SV11] Smart N P, Vercauteren F. Fully homomorphic SIMD operations[J]. Designs, codes and cryptography, 2014, 71: 57-81.
5. [GHS12a] Gentry C, Halevi S, Smart N P. Fully homomorphic encryption with polylog overhead[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 465-482.
6. [GHS12b] Gentry C, Halevi S, Smart N P. Homomorphic evaluation of the AES circuit[C]//Annual Cryptology Conference. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 850-867.
7. [GHS12c] Gentry C, Halevi S, Smart N P. Better bootstrapping in fully homomorphic encryption[C]//International Workshop on Public Key Cryptography. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 1-16.
8. [GHS12d] Gentry C, Halevi S, Peikert C, et al. Ring switching in BGV-style homomorphic encryption[C]//International Conference on Security and Cryptography for Networks. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 19-37.
9. [GHPS12] Gentry C, Halevi S, Peikert C, et al. Field switching in BGV-style homomorphic encryption[J]. Journal of Computer Security, 2013, 21(5): 663-684.
10. [AP13] Alperin-Sheriff J, Peikert C. Practical bootstrap** in quasilinear time[C]//Annual Cryptology Conference. Berlin, Heidelberg: Springer Berlin Heidelberg, 2013: 1-20.
11. Algebraic number - Encyclopedia of Mathematics
12. 代数数论学习笔记（1）- 代数数和代数整数 - 知乎 (zhihu.com)
13. 【抽象代数】5. 置换群、单群、可解群、自同构群、自由群 - 知乎 (zhihu.com)

声明：本人只学过最最最初等的群环域，不熟悉 分式理想、Galois 扩张、代数整数环 等概念。这里仅仅是因为看 FHE 论文时，总会碰到关于分圆环的各种概念，从书本、论文、网页中扒出来的零零碎碎知识点。（应该会有不少错误吧）欢迎数学大牛不吝赐教，其他的读者也需注意识别。

Algebraic Integer

代数结构：

• 有理数域 $\mathbb{Q}$，代数闭包 ${\mathbb{Q}}^{ac}$，复数域 $\mathbb{C}$，满足关系 $\mathbb{Q}\subseteq {\mathbb{Q}}^{ac}\subseteq \mathbb{C}$
• 整数环 $\mathbb{Z}\subseteq \mathbb{Q}$，代数整数环 ${\mathcal{O}}_{\mathbb{C}}\subseteq {\mathbb{Q}}^{ac}$

代数数（algebraic number）：元素 $\alpha \in \mathbb{C}$，存在有理多项式 $f(x)\in \mathbb{Q}[x]$，使得 $f(\alpha )=0$，所有代数数的集合是 ${\mathbb{Q}}^{ac}$，构成了域

极小多项式（minimal polynomial）：代数数 $\alpha \in {\mathbb{Q}}^{ac}$，存在唯一的首一不可约多项式 $\varphi (x)\in \mathbb{Q}[x]$，满足 $\varphi (\alpha )=0$，其中 $n=\mathrm{deg}\varphi$ 称为代数数 $\alpha$ 的度数（degree）

代数整数（algebraic integer）：代数数 $\alpha \in {\mathbb{Q}}^{ac}$，它的极小多项式是整系数的 $\varphi (x)\in \mathbb{Z}[x]$，所有代数整数的集合是 ${\mathcal{O}}_{\mathbb{C}}$，构成了整环

共轭（conjugates）：代数数 $\alpha \in {\mathbb{Q}}^{ac}$ 的极小多项式 $\varphi (x)$，它的所有根 ${\alpha }_1,\cdots ,{\alpha }_n$ 互不相同，且都是代数数。代数整数 $\alpha \in {\mathcal{O}}_{\mathbb{C}}$ 的共轭，都是代数整数。

整除性（divisibility）：我们说代数整数 $\beta$ 被代数整数 $\alpha \ne 0$ 整数，如果存在代数整数 $\gamma$，使得 $\beta =\gamma \alpha$，记为 $\alpha |\beta$

单位（algebraic unit）：我们说代数整数 $e$ 是单位，如果 $1/e$ 也是代数整数。单位是可逆元（在 ${\mathcal{O}}_{\mathbb{C}}$ 上）

相关（associated）：两个代数整数 $\alpha ,\beta$，存在单位 $u\in {\mathcal{O}}_{\mathbb{C}}$，使得 $a=ub$

扩域 $K/\mathbb{Q}$，我们说 $\alpha$ 是 $K$ 上的代数数，如果存在 $f(x)\in K[x]$ 使得 $f(\alpha )=0$，类似的定义 $K$ 上的代数整数、极小多项式、共轭等概念。

整数闭包（integral closure）：含幺交换环 $R$ 的扩环 $S$ 中，$R$ 的整数闭包是 $S$ 的子集，其中的元素 $s\in S$ 在 $R$ 中是代数整数，即存在首一多项式 $f(x)\in R[x]$ 使得 $f(s)=0$

给定一组元素 ${\alpha }_1,\cdots ,{\alpha }_n\in {\mathcal{O}}_K$，双线性型 $⟨\alpha ,\beta ⟩=T{r}_{K/\mathbb{Q}}(\alpha \beta )$，它的 Gram 矩阵定义为
G = [ T r K / Q ( α 1 α 1 ) ⋯ T r K / Q ( α 1 α n ) ⋮ ⋱ ⋮ T r K / Q ( α n α 1 ) ⋯ T r K / Q ( α n α n ) ] G=\begin{bmatrix} Tr_{K/\mathbb Q}(\alpha_1\alpha_1) & \cdots & Tr_{K/\mathbb Q}(\alpha_1\alpha_n)\\ \vdots & \ddots & \vdots\\ Tr_{K/\mathbb Q}(\alpha_n\alpha_1) & \cdots & Tr_{K/\mathbb Q}(\alpha_n\alpha_n)\\ \end{bmatrix} G= ​TrK/Q​(α1​α1​)⋮TrK/Q​(αn​α1​)​⋯⋱⋯​TrK/Q​(α1​αn​)⋮TrK/Q​(αn​αn​)​ ​
判别式（discriminant）定义为 $d_{K/\mathbb{Q}}({\alpha }_1,\cdots ,{\alpha }_n)=\det (G)$，作用是 $d_{K/\mathbb{Q}}({\alpha }_1,\cdots ,{\alpha }_n)\ne 0⟺\{{\alpha }_1,\cdots ,{\alpha }_n\}$ 是 $\mathbb{Q}$ 线性无关的。

如果扩张次数 $[K:\mathbb{Q}]=n$，那么整数环 ${\mathcal{O}}_K$ 是秩为 $n$ 的自由阿贝尔群：存在一组基 ${\alpha }_1,\cdots ,{\alpha }_n\in {\mathcal{O}}_K$，使得 ${\mathcal{O}}_K={\alpha }_1\mathbb{Z}\oplus \cdots {\alpha }_n\mathbb{Z}$，我们称它是整基（Integeral base）。整基一定存在，但是不一定唯一，不过它们的判别式都相同。

Cyclotomic Fields and Rings

令 ${\zeta }_m$ 是一个抽象的 $m$ 阶元素（不必是 $\mathbb{C},GF(p^d)$ 中的实际元素），再令 ${\eta }_m=\exp (2\pi \sqrt{-1}/m)\in \mathbb{C}$ 是本原的复数单位根，

• 分园多项式 ${\Phi }_m(x)={\prod }_{i\in {\mathbb{Z}}_m^{\ast }}(x-{\eta }_m^i)\in \mathbb{Z}[x]$，是 $\mathbb{Q}$ 上不可约多项式，度数 $n=\mathrm{deg}{\Phi }_m=\varphi (m)$

• 分圆数域 $K=\mathbb{Q}({\zeta }_m)\cong \mathbb{Q}[x]/({\Phi }_m(x))$，它的元素都是代数数

• 分园整数环 $R=\mathbb{Z}[{\zeta }_m]\cong \mathbb{Z}[x]/({\Phi }_m(x))$，它的元素都是代数整数

域扩张 $K/\mathbb{Q}$ 是一个 Galois 扩张，满足 $|Aut(K)|=[K:\mathbb{Q}]=n$ 以及 $Gal(K/\mathbb{Q})=Aut(K)$，所有的 $n$ 个 $\mathbb{Q}$-自同构形如
$${\tau }_i:{\zeta }_m\in K\mapsto {\zeta }_m^i\in K,\forall i\in {\mathbb{Z}}_m^{\ast }$$
迹（field trace）是 $\mathbb{Q}$-线性映射，
$$T{r}_{K/\mathbb{Q}}:a\in K\mapsto \sum _{i\in {\mathbb{Z}}_m^{\ast }}{\tau }_i(a)\in \mathbb{Q}$$
所有的线性映射 $L_r:K\to \mathbb{Q}$，都可以表示为 $L_r(a):=T{r}_{K/\mathbb{Q}}(r\cdot a),\exists r\in K$

$K$ 作为 $\mathbb{C}$ 的子域，有 $n$ 个 $\mathbb{Q}$-内射环同态，称为嵌入（embedding），
$${\sigma }_i:{\zeta }_m\in K\mapsto {\eta }_m^i\in \mathbb{C},\forall i\in {\mathbb{Z}}_m^{\ast }$$
迹的另一种表达方式：
$$T{r}_{K/\mathbb{Q}}:a\in K\mapsto \sum _{i\in {\mathbb{Z}}_m^{\ast }}{\sigma }_i(a)\in \mathbb{Q}$$
典范嵌入（canonical embedding）定义为
$$\sigma :a\in K\mapsto ({\sigma }_i(a){)}_{i\in {\mathbb{Z}}_m^{\ast }}\in {\mathbb{C}}^n$$

我们定义域 $K$ 的典范嵌入范数（Canonical Embedding Norm），分为 $l_2$-范数、$l_{\infty }$-范数，令 $\Vert \cdot \Vert$ 是 $\mathbb{C}$ 的模长，
$$\begin{array}{rl}\Vert a{\Vert }_2^{can}& :=\Vert \sigma (a){\Vert }_2=\sqrt{\sum _i\Vert {\sigma }_i(a){\Vert }^2}\\ \Vert a{\Vert }_{\infty }^{can}& :=\Vert \sigma (a){\Vert }_{\infty }=\underset{i}{\max }\Vert {\sigma }_i(a)\Vert \end{array}$$
它们满足良好的性质。令 $\Vert \cdot {\Vert }_l$ 是线性空间 $K/\mathbb{Q}$ 向量的 $l$-范数，那么

• $\Vert a\cdot b{\Vert }_2^{can}\le \Vert a{\Vert }_{\infty }^{can}\cdot \Vert b{\Vert }_2^{can},\forall a,b\in K$
• $\Vert a\cdot b{\Vert }_{\infty }^{can}\le \Vert a{\Vert }_{\infty }^{can}\cdot \Vert b{\Vert }_{\infty }^{can},\forall a,b\in K$
• $\Vert a{\Vert }_{\infty }^{can}\le \Vert a{\Vert }_1,\forall a\in K$
• $\Vert a{\Vert }_{\infty }\le c_m\cdot \Vert a{\Vert }_{\infty }^{can},\forall a\in K,\exists c_m=\Vert CR{T}^{-1}{\Vert }_{\infty }$

Tower of Cyclotomics

考虑 $m^{\prime }|m$，简记 $K=\mathbb{Q}({\zeta }_m),R=\mathbb{Z}[{\zeta }_m]$ 以及 $K^{\prime }=\mathbb{Q}({\zeta }_{m^{\prime }}),R^{\prime }=\mathbb{Z}[{\zeta }_{m^{\prime }}]$，

1. Galois 扩张 $K/\mathbb{Q}$，扩张次数为 $n=\varphi (m)$，
   • 拥有 $n$ 个自同构 ${\tau }_i:K\to K$，Galois 群 $Gal(K/\mathbb{Q})\cong {\mathbb{Z}}_m^{\ast }$，
   • 拥有 $n$ 个嵌入 ${\sigma }_i:K\to \mathbb{C}$，典范嵌入 $\sigma :K\to {\mathbb{C}}^n$
2. Galois 扩张 $K^{\prime }/\mathbb{Q}$，扩张次数为 $n^{\prime }=\varphi (m^{\prime })$，
   • 拥有 $n^{\prime }$ 个自同构 ${\tau }_{i^{\prime }}^{\prime }:K^{\prime }\to K^{\prime }$，Galois 群 $Gal(K^{\prime }/\mathbb{Q})\cong {\mathbb{Z}}_{m^{\prime }}^{\ast }$，
   • 拥有 $n^{\prime }$ 个嵌入 ${\sigma }_{i^{\prime }}^{\prime }:K^{\prime }\to \mathbb{C}$，典范嵌入 ${\sigma }^{\prime }:K^{\prime }\to {\mathbb{C}}^{n^{\prime }}$

假设 $t=m/m^{\prime }$，那么 $n/n^{\prime }=\varphi (t{m}^{\prime })/\varphi (m^{\prime })=\varphi (t)$，从而：

• $K/K^{\prime }$ 是 $\varphi (t)$ 次的域扩张，把 $K^{\prime }$ 视为 $K=K^{\prime }({\zeta }_m)$ 的子域，域嵌入为 ${\zeta }_{m^{\prime }}\mapsto {\zeta }_m^t$
• $R/R^{\prime }$ 是 $\varphi (t)$ 次的环扩张，把 $R^{\prime }$ 视为 $R=R^{\prime }[{\zeta }_m]$ 的子环，环嵌入为 ${\zeta }_{m^{\prime }}\mapsto {\zeta }_m^t$

进一步的，$K/K^{\prime }$ 也是 Galois 扩张，这形成了一个塔（tower），
$$\begin{array}{c}K\\ |\\ K^{\prime }\\ |\\ \mathbb{Q}\end{array}$$
它拥有 $\varphi (t)$ 个 $K^{\prime }$-自同构，恰好就是那些 $i=1(\mathrm{mod}{m}^{\prime })$ 的 $\mathbb{Q}$-自同构，可验证
$${\tau }_i({\zeta }_{m^{\prime }})={\tau }_i({\zeta }_m^t)={\zeta }_m^{t(1+m^{\prime }\mathbb{Z})}={\zeta }_m^t={\zeta }_{m^{\prime }}$$
这是被 $\varphi (t)$-to-$1$ 取模映射 $i\in {\mathbb{Z}}_m^{\ast }\mapsto i(\mathrm{mod}{m}^{\prime })$ 诱导的，对应的自同构关系为 ${\tau }_i\mapsto {\tau }_{i(\mathrm{mod}{m}^{\prime })}^{\prime }$，它们在子域 $K^{\prime }$ 上完全重合（coincide）

中间迹（intermediate trace）是 $K^{\prime }$-线性映射，
$$T{r}_{K/K^{\prime }}:a\in K\mapsto \sum _{i=1(\mathrm{mod}{m}^{\prime })}{\tau }_i(a)\in K^{\prime }$$
易知 $T{r}_{K/\mathbb{Q}}=T{r}_{K^{\prime }/\mathbb{Q}}\circ T{r}_{K/K^{\prime }}$，并且所有的线性映射 $L_r:K\to K^{\prime }$ 都可以表示为 $L_r(a):=T{r}_{K/K^{\prime }}(r\cdot a),\exists r\in K$

类似的，被 $\varphi (t)$-to-$1$ 取模映射 $i\in {\mathbb{Z}}_m^{\ast }\mapsto i(\mathrm{mod}{m}^{\prime })$ 诱导的，对应的域嵌入关系为 ${\sigma }_i\mapsto {\sigma }_{i(\mathrm{mod}{m}^{\prime })}^{\prime }$，它们也在子域 $K^{\prime }$ 上完全重合。并且可以推导出：对于任意的 $a\in K$ 和 $i^{\prime }\in {\mathbb{Z}}_{m^{\prime }}^{\ast }$，
$${\sigma }_{i^{\prime }}^{\prime }\circ T{r}_{K/K^{\prime }}:a\in K\mapsto \sum _{i=i^{\prime }(\mathrm{mod}{m}^{\prime })}{\sigma }_i(a)\in K^{\prime }$$
我们把 $\sigma ,{\sigma }^{\prime }$ 的关系表示为矩阵格式，
$${\sigma }^{\prime }(T{r}_{K/K^{\prime }}(a))=P\cdot \sigma (a)$$
对应的矩阵 $P\in \{0,1{\}}^{n^{\prime }\times n}$，系数为 $P_{i^{\prime },i}=1⟺i=i^{\prime }(\mathrm{mod}{m}^{\prime })$

由于 $P$ 的行矢是正交的，并且 $l_2$-范数恰好为 $\sqrt{n/n^{\prime }}$，可推出
$$\Vert T{r}_{K/K^{\prime }}(a){\Vert }_2^{can}=\Vert P\cdot \sigma (a){\Vert }_2\le \Vert a{\Vert }_2^{can}\cdot \sqrt{n/n^{\prime }}$$
即线性映射 $T{r}_{K/K^{\prime }}$ 将短元素 $a\in K$，映射到了另一个短元素 $T{r}_{K/K^{\prime }}(a)\in K^{\prime }$，两者的范数只差一个小因子。

Prime Split

令 $A$ 是一个戴德金整环（Dedekind domain），$K$ 是它的分式域（quotient field），有限可分扩张 $E/K$，令 $B$ 是 $A$ 在 $E$ 里的整数闭包（integral closure），表示为 $B=A[\alpha ],\exists \alpha \in E$，在令 $f(x)\in K[x]$ 是它的极小多项式。

• 令 $p\subseteq A$ 是素理想，令 $\bar{f}(x):=f(x)(\mathrm{mod}p)$，分解为
  $$\bar{f}(x)={\bar{P}}_1(x{)}^{e_2}\cdot {\bar{P}}_1(x{)}^{e_2}\cdots {\bar{P}}_g(x{)}^{e_g}$$
  其中 ${\bar{P}}_i(x)\in (A/p)[x]$ 是不同的首一不可约多项式

• 我们将 ${\bar{P}}_i(x)$ 提升到 $P_i(x)\in A[x]$，定义理想
  $$p_i=(p,P_i(\alpha ))$$
  那么 $p_i$ 称为 $B$ 中的 lying over $p$ 的素理想，指数 $e_i\ge 1$ 称为分歧指数（ramification index），并且有
  $$pB=p_1^{e_1}{p}_2^{e_2}\cdots p_g^{e_g}$$
  这就是理想 $p$ 在 $B$ 中的分解。如果 $\exists e_i\ge 2$，我们称 $p$ 在 $E/K$ 中分歧（ramifie）

对于分圆域 $K=\mathbb{Q}({\zeta }_m)$，分园环 $R=\mathbb{Z}[{\zeta }_m]$，素数 $p\in \mathbb{Z}$ 对应的 $pR$ 可以在 $R$​ 中分解分解为素理想幂次的乘积：

1. 计算 $m=\bar{m}\cdot p^k$，使得 $p\nmid \bar{m}$

2. 惯性度（inertial degree）：$d=ord(p\in {\mathbb{Z}}_{\bar{m}}^{\ast })$，

3. 分歧指数（ramification index）： $e=\varphi (m)/\varphi (\bar{m})=\varphi (p^k)$，因为 Galois 扩张 $e_1=\cdots =e_g=e$

4. 循环群 $(p)=\{1,p,p^2,\cdots ,p^{d-1}\}$，商群 $G={\mathbb{Z}}_{\bar{m}}^{\ast }/(p)$ 的阶 $f=\varphi (\bar{m})/d$，陪集 $i(p)$ 的代表 $i\in G$

5. 理想 $pR$ 可以做如下的分解，
   $$pR=\prod _{i\in G}{p}_i^e$$

6. 分园多项式在 $(\mathrm{mod}p)$ 下做分解 ${\Phi }_{\bar{m}}(x)={\prod }_{i\in G}{F}_i(x)(\mathrm{mod}p)$，满足 $\mathrm{deg}{F}_i=d$，那么各个素理想形如
   $$p_i=(p,F_i({\zeta }_m))$$
   它们互不相同，范数都是 $|R/p_i|=p^d$

因为主理想整环中的素理想都是极大理想，因此 $R/p_i\cong GF(p^d)$ 都是同一个有限域。令 $w_{\bar{m}}\in GF(p^d)$ 是阶 $\bar{m}$ 的任意元素（由于 $\bar{m}|p^d-1$，它必存在），我们定义环同态
$$h_i:{\zeta }_m\in R\mapsto w_{\bar{m}}^i\in GF(p^d)$$
那么 $p_i$ 就是 $\ker h_i$，它诱导了域同构 $h_i:R/p_i\to GF(p^d)$

对于特殊的情况：

• 素数 $p$，在分园环 $\mathbb{Z}[{\zeta }_p]$ 中的理想 $(1-{\zeta }_p)$ 是素的，并且 $(1-{\zeta }_p{)}^{p-1}=(p)$，因此 $p$ 在分圆域 $\mathbb{Q}({\zeta }_p)$ 中完全分歧（totally ramified）
• 素数 $p$，它在 $\mathbb{Q}({\zeta }_m)$ 中分歧 $⟺p|m$
• 如果 $p\nmid m$（不分歧），此时 $e=1$，乘法阶 $d=ord(p\in {\mathbb{Z}}_m^{\ast })$，在分园域 $\mathbb{Q}({\zeta }_m)$ 中素数 $p$ 分裂为 $f=\varphi (m)/d$ 个素理想的乘积。
• 进一步的，如果 $p=1(\mathrm{mod}m)$，此时 $d=1$，素数 $p$ 完全分裂（splits completely），

$$pR=\prod _{i\in {\mathbb{Z}}_m^{\ast }}{p}_i$$

Power of Prime

令 ${\zeta }_m$ 是 $m$ 次本原单位根，分园数域 $K=\mathbb{Q}[{\zeta }_m]$ 的整数环 $R={\mathcal{O}}_K=\mathbb{Z}[{\zeta }_m]\cong \mathbb{Z}[x]/({\Phi }_m(x))$，同构映射就是 ${\zeta }_m\mapsto x$，它相对于 $\mathbb{Z}$ 的扩张次数 $n=\varphi (m)$

对于素数 $p\in \mathbb{Z}$，理想 $pR$ 可以分解为素理想幂次的乘积：计算 $m=\bar{m}\cdot p^k,p\nmid \bar{m}$，素数 $p(\mathrm{mod}\bar{m})$ 的乘法阶 $d=ord(p\in {\mathbb{Z}}_{\bar{m}}^{\ast })$，商群 $G={\mathbb{Z}}_{\bar{m}}^{\ast }/(p)$ 的阶 $f=\varphi (\bar{m})/d$，指数 $e=\varphi (m)/\varphi (\bar{m})=\varphi (p^k)$，
$$pR=\prod _{i\in G}{p}_i^e$$
分园多项式的素分解 ${\Phi }_{\bar{m}}(x)={\prod }_{i=1}^l{F}_i(x)(\mathrm{mod}p)$，
$$p_i=pR+F_i({\zeta }_m)R=(p,F_i({\zeta }_m))$$
现在推广到素数幂 $q=p^r\in \mathbb{Z}$，那么有
$$qR=\prod _{i=1}^l{p}_i^{re}$$
根据中国剩余定理，
$$R/qR\cong R/p_1^{re}\times \cdots \times R/p_l^{re}$$
每个小商环 $R/p_i^{re}$（不是域）被嵌入了整环 ${\mathbb{Z}}_q$（也不是域）作为子环。同构映射为：
$$a(\mathrm{mod}q)\mapsto (a(\mathrm{mod}{p}_1^{re}),\cdots ,a(\mathrm{mod}{p}_l^{re}))$$
预计算 mod-$q$ CRT set $C=\{c_i\}\subseteq R$，满足
$$\begin{array}{rl}{c}_i& \equiv 1(\mathrm{mod}{p}_j^{re}),j=i\\ c_i& \equiv 0(\mathrm{mod}{p}_j^{re}),\forall j\ne i\end{array}$$
根据 CRT，逆映射就是
$$(a_1+p_1^{re},\cdots ,a_l+p_l^{re})\mapsto \left(\sum _{i=1}^l{a}_i\cdot c_i\right)+qR$$

Splitting in Cyclotomic Towers

对于 $m^{\prime }|m$，分园扩张的塔 $R/R^{\prime }/\mathbb{Z}$，素数 $p$ 的分解，

• 在 $R=\mathbb{Z}[{\zeta }_m]$ 上：计算 $m=\bar{m}\cdot p^k,p\nmid \bar{m}$，惯性度 $d=ord(p\in {\mathbb{Z}}_{\bar{m}}^{\ast })$，分歧指数 $e=\varphi (m)/\varphi (\bar{m})=\varphi (p^k)$，商群 $G={\mathbb{Z}}_{\bar{m}}^{\ast }/(p)$ 的阶 $f=\varphi (\bar{m})/d$，
  $$pR=\prod _{i\in G}{p}_i^e$$

• 在 $R^{\prime }=\mathbb{Z}[{\zeta }_{m^{\prime }}]$ 上：计算 $m^{\prime }={\bar{m}}^{\prime }\cdot p^{k^{\prime }},p\nmid {\bar{m}}^{\prime }$，惯性度 $d^{\prime }=ord(p\in {\mathbb{Z}}_{{\bar{m}}^{\prime }}^{\ast })$，分歧指数 $e^{\prime }=\varphi (m^{\prime })/\varphi ({\bar{m}}^{\prime })=\varphi (p^{k^{\prime }})$，商群 $G^{\prime }={\mathbb{Z}}_{{\bar{m}}^{\prime }}^{\ast }/(p)$ 的阶 $f^{\prime }=\varphi ({\bar{m}}^{\prime })/d^{\prime }$，
  $$p{R}^{\prime }=\prod _{i\in G^{\prime }}(p_{i^{\prime }}^{\prime }{)}^{e^{\prime }}$$

令 $g:i\in G\mapsto i^{\prime }(\mathrm{mod}{\bar{m}}^{\prime })\in G^{\prime }$ 是一个 $f/f^{\prime }$-to-$1$ 的自然群同态（natural homomorphism）。素数 $p\in \mathbb{Z}$ 在环 $R^{\prime }$ 中分解为素理想 $p_{i^{\prime }}^{\prime }\subseteq R^{\prime }$ 的乘积，接着每一个 $p_{i^{\prime }}^{\prime }$ 在扩环 $R$ 中继续分解为素理想 $p_i\subseteq R$ 的乘积，
$$p_{i^{\prime }}^{\prime }R=\prod _{i\in g^{-1}(i^{\prime })}{p}_i^{e/e^{\prime }}=\prod _{i=i^{\prime }(\mathrm{mod}\bar{m})}{p}_i^{e/e^{\prime }}$$
也就是说，每一个素理想 $p_{i^{\prime }}^{\prime }\subseteq R^{\prime }$ 都恰好分解为了 $f/f^{\prime }$ 个不同的 $R$ 中素理想，这是根据 $g:G\to G^{\prime }$ 对那些 lying oer $p$ 的素理想 $p_i\subseteq R$ 做了分区。

给定环 $R^{\prime }$ 的一组 mod-$p$ CRT set $C^{\prime }=\{c_{i^{\prime }}^{\prime }\}\subseteq R^{\prime },|C^{\prime }|=f^{\prime }$，我们选择集合 $S=\{s_j\}\subseteq R,|S|=f/f^{\prime }$，满足
$$\begin{array}{rl}{s}_j& \equiv 1(\mathrm{mod}{p}_i^e),i=j\cdot {\bar{m}}^{\prime }+i^{\prime }\in G,\forall i^{\prime }\in G^{\prime }\\ s_j& \equiv 0(\mathrm{mod}{p}_i^e),otherwise\end{array}$$
那么 Kronecker 积 $C=S\otimes C^{\prime }\subseteq R$ 就是扩环 $R$ 的一组 mod-$p$ CRT set。考虑 cyclotomic tower，$R/R^{\prime }/\cdots /\mathbb{Z}$，那么这些分园环的 mod-$q$ CRT sets 组成了一个乘法结构。容易推广到 $q=p^r$ 是素数幂的情况。