Алгоритм Кунерта

Алгоритм Кунерта — это алгоритм вычисления модульного квадратного корня заданного числа. ^{[ 1 ] [ 2 ]} Алгоритм не требует факторизации модуля и основан на модульных операциях, которые часто просты, когда данное число является простым.

Чтобы найти y по заданному значению

${\displaystyle B=y^{2}{\bmod {N}},}$

он предпринимает следующие шаги:

1. найти модульный квадратный корень из ${\displaystyle r\equiv {\sqrt {\pm N}}{\pmod {B}}}$. Этот шаг довольно прост, независимо от того, насколько велико N , когда ${\displaystyle B}$ является простым числом.
2. решить квадратное уравнение, связанное с модульным квадратным корнем из ${\displaystyle w^{2}=A\cdot z^{2}+B\cdot z+C}$. В большинстве примеров Кунерта в его оригинальной статье это уравнение решается, если C представляет собой целочисленный квадрат и, таким образом, устанавливает z равным нулю.

   Разложите следующее уравнение, чтобы получить квадратичное уравнение

   ${\displaystyle ((B\cdot z+r)^{2}\pm N)/B=w^{2}.}$

   Всегда можно убедиться, что квадратичное уравнение можно решить, изменив модуль N в приведенном выше уравнении. Таким образом

   ${\displaystyle ((B\cdot z+r)^{2}+(B\cdot F+N))/B=w^{2}}$

   обеспечит квадратичное значение ${\displaystyle A\cdot z^{2}+D\cdot z+C+F}$.

   Затем можно отрегулировать F, чтобы убедиться, что ${\displaystyle C+F}$ представляет собой квадрат. Для больших модулей, таких как ${\displaystyle {\sqrt {67}}{\bmod {67F+RSA260}}}$, можно быстро вычислить квадратные корни с помощью этого метода.

   Параметры полиномиального разложения достаточно гибки, поскольку ${\displaystyle ((67z+r)^{2}+X\cdot RSA260)/(67y)}$ можно сделать, например. Довольно легко выбрать X и Y так, что ${\displaystyle (r^{2}+X\cdot RSA260)/(67y)}$ представляет собой квадрат. Модульный квадратный корень из ${\displaystyle {\sqrt {67y}}{\bmod {RSA260}}}$ можно принять таким образом.

3. Решив соответствующее квадратное уравнение, мы теперь имеем переменные w и полагаем v = r (если C в квадратном уравнении является натуральным квадратом).
4. Решить переменные ${\displaystyle \alpha }$ и ${\displaystyle \beta }$ следующее уравнение:

   ${\displaystyle \alpha =w(v+w\beta ),}$

5. Получите значение X посредством факторизации следующего полинома:

   ${\displaystyle \alpha ^{2}\cdot x^{2}+(2\alpha \beta -N)x+(\beta ^{2}-(y^{2}{\bmod {N}}))}$

   получить ответ типа

   ${\displaystyle (-37+9x)(1+25x)}$

6. Получите модульный квадратный корень с помощью уравнения. Не забудьте установить X так, чтобы указанный выше член был равен нулю. Таким образом, X будет 37/9 или -1/25.

   ${\displaystyle y\equiv \alpha X+\beta {\pmod {N}}.}$

Чтобы получить ${\displaystyle {\sqrt {41}}{\bmod {856}},}$ сначала получить ${\displaystyle {\sqrt {-856}}\equiv 13{\pmod {41}}}$.

Затем разложим полином:

${\displaystyle ((41z+13)^{2}+856)/41=w^{2}}$

в

${\displaystyle 25+26z+41z^{2}}$

Поскольку в данном случае терм C представляет собой квадрат, возьмем ${\displaystyle w=5}$ и вычислить ${\displaystyle v=13}$ (в общем, ${\displaystyle v=41\cdot z+13}$).

Решите для ${\displaystyle \alpha }$ и ${\displaystyle \beta }$ следующее уравнение

${\displaystyle \alpha ==w(v+w\beta )}$

получение решения ${\displaystyle \alpha =15}$ и ${\displaystyle \beta =-2}$. (Могут существовать и другие пары решений этого уравнения.)

Затем факторизуйте следующий полином:

${\displaystyle \alpha ^{2}x^{2}+(2\alpha \beta -856)x+(\beta ^{2}-41)}$

получение

${\displaystyle (-37+9x)(1+25x)}$

Затем получите модульный квадратный корень через

${\displaystyle 15\cdot (37\cdot 9^{-1})+(-2)\equiv 345{\pmod {856}}.}$

Убедитесь, что ${\displaystyle 345^{2}\equiv 41{\pmod {856}}.}$

В случае, если ${\displaystyle {\sqrt {-856}}{\bmod {41}}}$ не имеет ответа, тогда ${\displaystyle r\equiv {\sqrt {-856}}{\pmod {b\cdot 856+41}}}$ вместо этого можно использовать.

• Методы вычисления квадратных корней

• Адольф Кунерт, «Отчеты о заседаниях Академии наук», том 75, II, 1877, стр. 7–58.
• Адольф Кунерт, «Отчеты о заседаниях Академии наук», том 82, II, 1880, стр. 342–375.