Алгоритм Чиполлы

В вычислительной теории чисел алгоритм Чиполлы представляет собой метод решения сравнения формы

${\displaystyle x^{2}\equiv n{\pmod {p}},}$

где ${\displaystyle x,n\in \mathbf {F} _{p}}$, поэтому n — квадрат x , и где ${\displaystyle p}$ является нечетным простым числом . Здесь ${\displaystyle \mathbf {F} _{p}}$ обозначает конечное поле с ${\displaystyle p}$ элементы ; ${\displaystyle \{0,1,\dots ,p-1\}}$. Алгоритм , назван в честь Микеле Чиполлы , итальянского математика открывшего его в 1907 году.

Помимо простых модулей, алгоритм Чиполлы также способен извлекать квадратные корни по модулю простых степеней. ^{[ 1 ]}

Входы:

• ${\displaystyle p}$, нечетное простое число,
• ${\displaystyle n\in \mathbf {F} _{p}}$, который является квадратом.

Выходы:

• ${\displaystyle x\in \mathbf {F} _{p}}$, удовлетворяя ${\displaystyle x^{2}=n.}$

Шаг 1 – найти ${\displaystyle a\in \mathbf {F} _{p}}$ такой, что ${\displaystyle a^{2}-n}$ это не квадрат. Не существует известного детерминированного алгоритма нахождения такого ${\displaystyle a}$ следующий метод проб и ошибок , но можно использовать . Просто выберите ${\displaystyle a}$ и вычислив символ Лежандра ${\displaystyle ({\frac {a^{2}-n}{p}})}$ можно увидеть, является ли ${\displaystyle a}$ удовлетворяет условию. Шанс, что случайное ${\displaystyle a}$ удовлетворит это ${\displaystyle (p-1)/2p}$. С ${\displaystyle p}$ достаточно большой, речь идет о ${\displaystyle 1/2}$. ^{[ 2 ]} Таким образом, ожидаемое количество испытаний, прежде чем найти подходящего ${\displaystyle a}$ это около 2.

Шаг 2 — вычислить x , вычислив ${\displaystyle x=\left(a+{\sqrt {a^{2}-n}}\right)^{(p+1)/2}}$ в пределах расширения поля ${\displaystyle \mathbf {F} _{p^{2}}=\mathbf {F} _{p}({\sqrt {a^{2}-n}})}$. Этот x будет удовлетворять ${\displaystyle x^{2}=n.}$

Если ${\displaystyle x^{2}=n}$, затем ${\displaystyle (-x)^{2}=n}$ тоже держит. И поскольку p нечетно, ${\displaystyle x\neq -x}$. Поэтому всякий раз, когда найдено решение x , всегда есть второе решение, -x .

(Примечание: все элементы до второго шага считаются элементами ${\displaystyle \mathbf {F} _{13}}$ и все элементы на втором этапе считаются элементами ${\displaystyle \mathbf {F} _{13^{2}}}$.)

Найдите все x такие, что ${\displaystyle x^{2}=10.}$

Прежде чем применять алгоритм, необходимо убедиться, что ${\displaystyle 10}$ действительно квадрат в ${\displaystyle \mathbf {F} _{13}}$. Следовательно, символ Лежандра ${\displaystyle (10|13)}$ должно быть равно 1. Это можно вычислить с помощью критерия Эйлера : ${\textstyle (10|13)\equiv 10^{6}\equiv 1{\pmod {13}}.}$ Это подтверждает, что 10 является квадратом, и, следовательно, алгоритм можно применить.

• Шаг 1: Найдите такое , что ${\displaystyle a^{2}-n}$ это не квадрат. Как уже говорилось, это нужно делать методом проб и ошибок. Выбирать ${\displaystyle a=2}$. Затем ${\displaystyle a^{2}-n}$ становится 7. Символ Лежандра ${\displaystyle (7|13)}$ должно быть -1. Опять же, это можно вычислить, используя критерий Эйлера: ${\textstyle 7^{6}=343^{2}\equiv 5^{2}\equiv 25\equiv -1{\pmod {13}}.}$ Так ${\displaystyle a=2}$ является подходящим выбором . для
• Шаг 2. Вычисление ${\displaystyle x=\left(a+{\sqrt {a^{2}-n}}\right)^{(p+1)/2}=\left(2+{\sqrt {-6}}\right)^{7}}$ в ${\displaystyle \mathbf {F} _{13}({\sqrt {-6}})}$:

${\displaystyle \left(2+{\sqrt {-6}}\right)^{2}=4+4{\sqrt {-6}}-6=-2+4{\sqrt {-6}}}$

${\displaystyle \left(2+{\sqrt {-6}}\right)^{4}=\left(-2+4{\sqrt {-6}}\right)^{2}=-1-3{\sqrt {-6}}}$

${\displaystyle \left(2+{\sqrt {-6}}\right)^{6}=\left(-2+4{\sqrt {-6}}\right)\left(-1-3{\sqrt {-6}}\right)=9+2{\sqrt {-6}}}$

${\displaystyle \left(2+{\sqrt {-6}}\right)^{7}=\left(9+2{\sqrt {-6}}\right)\left(2+{\sqrt {-6}}\right)=6}$

Так ${\displaystyle x=6}$ это решение, а также ${\displaystyle x=-6}$. Действительно, ${\textstyle 6^{2}\equiv 10{\pmod {13}}.}$

Первая часть доказательства состоит в проверке того, что ${\displaystyle \mathbf {F} _{p^{2}}=\mathbf {F} _{p}({\sqrt {a^{2}-n}})=\{x+y{\sqrt {a^{2}-n}}:x,y\in \mathbf {F} _{p}\}}$ действительно поле. Для простоты обозначений ${\displaystyle \omega }$ определяется как ${\displaystyle {\sqrt {a^{2}-n}}}$. Конечно, ${\displaystyle a^{2}-n}$ является квадратичным невычетом, поэтому квадратного корня из него нет. ${\displaystyle \mathbf {F} _{p}}$. Этот ${\displaystyle \omega }$ можно грубо рассматривать как аналог комплексного числа i . Арифметика полей совершенно очевидна. Дополнение определяется как

${\displaystyle \left(x_{1}+y_{1}\omega \right)+\left(x_{2}+y_{2}\omega \right)=\left(x_{1}+x_{2}\right)+\left(y_{1}+y_{2}\right)\omega }$.

Умножение также определяется как обычно. Имея в виду, что ${\displaystyle \omega ^{2}=a^{2}-n}$, это становится

${\displaystyle \left(x_{1}+y_{1}\omega \right)\left(x_{2}+y_{2}\omega \right)=x_{1}x_{2}+x_{1}y_{2}\omega +y_{1}x_{2}\omega +y_{1}y_{2}\omega ^{2}=\left(x_{1}x_{2}+y_{1}y_{2}\left(a^{2}-n\right)\right)+\left(x_{1}y_{2}+y_{1}x_{2}\right)\omega }$.

Теперь необходимо проверить свойства поля. свойства замыкания при сложении и умножении, ассоциативность , коммутативность и дистрибутивность Легко увидеть . Это связано с тем, что в этом случае поле ${\displaystyle \mathbf {F} _{p^{2}}}$ чем-то напоминает поле комплексных чисел (с ${\displaystyle \omega }$ являющийся аналогом i ).
Аддитивное тождество ​ ${\displaystyle 0}$или более формально ${\displaystyle 0+0\omega }$: Позволять ${\displaystyle \alpha \in \mathbf {F} _{p^{2}}}$, затем

${\displaystyle \alpha +0=(x+y\omega )+(0+0\omega )=(x+0)+(y+0)\omega =x+y\omega =\alpha }$.

Мультипликативное тождество ${\displaystyle 1}$или более формально ${\displaystyle 1+0\omega }$:

${\displaystyle \alpha \cdot 1=(x+y\omega )(1+0\omega )=\left(x\cdot 1+0\cdot y\left(a^{2}-n\right)\right)+(x\cdot 0+1\cdot y)\omega =x+y\omega =\alpha }$.

Единственное, что осталось для ${\displaystyle \mathbf {F} _{p^{2}}}$ Быть полем — это существование аддитивных и мультипликативных обратных . Легко видеть, что аддитивная обратная ${\displaystyle x+y\omega }$ является ${\displaystyle -x-y\omega }$, который является элементом ${\displaystyle \mathbf {F} _{p^{2}}}$, потому что ${\displaystyle -x,-y\in \mathbf {F} _{p}}$. Фактически, это аддитивные обратные элементы x и y . За то, что показали, что каждый ненулевой элемент ${\displaystyle \alpha }$ имеет мультипликативную обратную, запишите ${\displaystyle \alpha =x_{1}+y_{1}\omega }$ и ${\displaystyle \alpha ^{-1}=x_{2}+y_{2}\omega }$. Другими словами,

${\displaystyle (x_{1}+y_{1}\omega )(x_{2}+y_{2}\omega )=\left(x_{1}x_{2}+y_{1}y_{2}\left(a^{2}-n\right)\right)+\left(x_{1}y_{2}+y_{1}x_{2}\right)\omega =1}$.

Итак, два равенства ${\displaystyle x_{1}x_{2}+y_{1}y_{2}(a^{2}-n)=1}$ и ${\displaystyle x_{1}y_{2}+y_{1}x_{2}=0}$ должен держаться. Детализация дает выражения для ${\displaystyle x_{2}}$ и ${\displaystyle y_{2}}$, а именно

${\displaystyle x_{2}=-y_{1}^{-1}x_{1}\left(y_{1}\left(a^{2}-n\right)-x_{1}^{2}y_{1}^{-1}\right)^{-1}}$,

${\displaystyle y_{2}=\left(y_{1}\left(a^{2}-n\right)-x_{1}^{2}y_{1}^{-1}\right)^{-1}}$.

Обратные элементы, которые показаны в выражениях ${\displaystyle x_{2}}$ и ${\displaystyle y_{2}}$ существуют, потому что все это элементы ${\displaystyle \mathbf {F} _{p}}$. Это завершает первую часть доказательства и показывает, что ${\displaystyle \mathbf {F} _{p^{2}}}$ это поле.

Вторая и средняя часть доказательства показывает, что для каждого элемента ${\displaystyle x+y\omega \in \mathbf {F} _{p^{2}}:(x+y\omega )^{p}=x-y\omega }$. По определению, ${\displaystyle \omega ^{2}=a^{2}-n}$ это не квадрат в ${\displaystyle \mathbf {F} _{p}}$. Тогда критерий Эйлера говорит, что

${\displaystyle \omega ^{p-1}=\left(\omega ^{2}\right)^{\frac {p-1}{2}}=-1}$.

Таким образом ${\displaystyle \omega ^{p}=-\omega }$. Это вместе с малой теоремой Ферма (которая гласит, что ${\displaystyle x^{p}=x}$ для всех ${\displaystyle x\in \mathbf {F} _{p}}$) и знание того, что в полях характеристики p уравнение ${\displaystyle \left(a+b\right)^{p}=a^{p}+b^{p}}$ держится, отношения, которые иногда называют мечтой первокурсника , показывают желаемый результат

${\displaystyle (x+y\omega )^{p}=x^{p}+y^{p}\omega ^{p}=x-y\omega }$.

Третья и последняя часть доказательства состоит в том, чтобы показать, что если ${\displaystyle x_{0}=\left(a+\omega \right)^{\frac {p+1}{2}}\in \mathbf {F} _{p^{2}}}$, затем ${\displaystyle x_{0}^{2}=n\in \mathbf {F} _{p}}$.
Вычислить

${\displaystyle x_{0}^{2}=\left(a+\omega \right)^{p+1}=(a+\omega )(a+\omega )^{p}=(a+\omega )(a-\omega )=a^{2}-\omega ^{2}=a^{2}-\left(a^{2}-n\right)=n}$.

Обратите внимание, что это вычисление имело место в ${\displaystyle \mathbf {F} _{p^{2}}}$, так что это ${\displaystyle x_{0}\in \mathbf {F} _{p^{2}}}$. Но с теоремой Лагранжа , утверждающей, что ненулевой полином степени n имеет не более n корней в любом поле K , и знанием того, что ${\displaystyle x^{2}-n}$ имеет 2 корня в ${\displaystyle \mathbf {F} _{p}}$, эти корни должны быть всеми корнями в ${\displaystyle \mathbf {F} _{p^{2}}}$. Просто было показано, что ${\displaystyle x_{0}}$ и ${\displaystyle -x_{0}}$ являются корнями ${\displaystyle x^{2}-n}$ в ${\displaystyle \mathbf {F} _{p^{2}}}$, так должно быть так ${\displaystyle x_{0},-x_{0}\in \mathbf {F} _{p}}$. ^{[ 3 ]}

После нахождения подходящего a количество операций, необходимых для алгоритма, равно ${\displaystyle 4m+2k-4}$ умножения, ${\displaystyle 4m-2}$ суммы, где m — количество цифр в двоичном представлении числа p , а k — количество единиц в этом представлении. Чтобы найти методом проб и ошибок, ожидаемое количество вычислений символа Лежандра равно 2. Но может повезти с первой попытки, а может потребоваться и больше двух попыток. В поле ${\displaystyle \mathbf {F} _{p^{2}}}$, имеют место следующие два равенства

${\displaystyle (x+y\omega )^{2}=\left(x^{2}+y^{2}\omega ^{2}\right)+\left(\left(x+y\right)^{2}-x^{2}-y^{2}\right)\omega ,}$

где ${\displaystyle \omega ^{2}=a^{2}-n}$ известно заранее. Для этого вычисления требуется 4 умножения и 4 суммы.

${\displaystyle \left(x+y\omega \right)^{2}\left(a+\omega \right)=\left(ad^{2}-b\left(x+d\right)\right)+\left(d^{2}-by\right)\omega ,}$

где ${\displaystyle d=(x+ya)}$ и ${\displaystyle b=ny}$. Для этой операции требуется 6 умножений и 4 суммы.

Предполагая, что ${\displaystyle p\equiv 1{\pmod {4}},}$ (в случае ${\displaystyle p\equiv 3{\pmod {4}}}$, прямое вычисление ${\displaystyle x\equiv \pm n^{\frac {p+1}{4}}}$ намного быстрее) двоичное выражение ${\displaystyle (p+1)/2}$ имеет ${\displaystyle m-1}$ цифры, из которых k — единицы. Итак, для вычисления ${\displaystyle (p+1)/2}$ сила ${\displaystyle \left(a+\omega \right)}$, необходимо использовать первую формулу ${\displaystyle n-k-1}$ раз и второй ${\displaystyle k-1}$ раз.

В этом смысле алгоритм Чиполлы лучше алгоритма Тонелли – Шэнкса тогда и только тогда, когда ${\displaystyle S(S-1)>8m+20}$, с ${\displaystyle 2^{S}}$ максимальная степень 2, которая делит ${\displaystyle p-1}$. ^{[ 4 ]}

Согласно «Истории чисел» Диксона, следующая формула Чиполлы позволит найти квадратные корни по модулю степеней простых чисел: ^{[ 5 ] [ 6 ]}

${\displaystyle 2^{-1}q^{t}((k+{\sqrt {k^{2}-q}})^{s}+(k-{\sqrt {k^{2}-q}})^{s}){\bmod {p^{\lambda }}}}$

где ${\displaystyle t=(p^{\lambda }-2p^{\lambda -1}+1)/2}$ и ${\displaystyle s=p^{\lambda -1}(p+1)/2}$

где ${\displaystyle q=10}$, ${\displaystyle k=2}$ как в примере этой статьи

На примере статьи в вики мы видим, что приведенная выше формула действительно имеет квадратные корни по модулю простых степеней.

Как

${\displaystyle {\sqrt {10}}{\bmod {13^{3}}}\equiv 1046}$

Теперь решите ${\displaystyle 2^{-1}q^{t}}$ с помощью:

${\displaystyle 2^{-1}10^{(13^{3}-2\cdot 13^{2}+1)/2}{\bmod {13^{3}}}\equiv 1086}$

Теперь создайте ${\displaystyle (2+{\sqrt {2^{2}-10}})^{13^{2}\cdot 7}{\bmod {13^{3}}}}$ и ${\displaystyle (2-{\sqrt {2^{2}-10}})^{13^{2}\cdot 7}{\bmod {13^{3}}}}$ (См. здесь код Mathematica, показывающий приведенное выше вычисление, помня что здесь происходит что-то близкое к сложной модульной арифметике)

Как таковой:

${\displaystyle (2+{\sqrt {2^{2}-10}})^{13^{2}\cdot 7}{\bmod {13^{3}}}\equiv 1540}$ и ${\displaystyle (2-{\sqrt {2^{2}-10}})^{13^{2}\cdot 7}{\bmod {13^{3}}}\equiv 1540}$

и окончательное уравнение:

${\displaystyle 1086(1540+1540){\bmod {13^{3}}}\equiv 1046}$ какой ответ.

• Э. Бах, Алгоритмическая теория чисел Дж. О. Шаллита: эффективные алгоритмы, MIT Press, (1996)