BSGS 和原根

写这两个东西是因为 SoyTony 把它们放到一起写的 .

目录

• Baby Step Gaint Step
  • 离散对数问题
  • 光速幂
• 原根相关
  • 定义
  • 求解
  • 应用

$$\newcommand{\lcm}[0]{\operatorname{lcm}} \newcommand{\ord}[0]{\operatorname{ord}} \newcommand{\ind}[0]{\operatorname{ind}} \newcommand{\factor}[0]{\operatorname{factor}}$$

Baby Step Gaint Step

实际上 BSGS 可能是指一类思想，即以 $\sqrt V$ 为块长分块，$V$ 是值域，这么写出来之后似乎看起来并不困难啊 .

这个想法，EI 有一个在数据结构方面的应用，或许叫整体分块吧？脑洞：整体分块 + BSGS .

离散对数问题

BSGS 思想最广为人知的应用就是对于离散对数问题的求解了，问题描述如下：

Discrete Logging I

给素数 $p$ 和整数 $a,n$，输出以下方程的最小解：

$$a^x\equiv n\pmod p$$

令块长 $B=\lceil\sqrt p\rceil$，令 $x=kB+r$，则

$$a^{kB}\equiv n\cdot a^{-r}\pmod p$$

左右均只有 $\Theta(\sqrt p)$ 种取值，把右边的所有取值处理后扔 Hash Table 里找就行了，时间复杂度 $\Theta(\sqrt p)$ .

正确性保证是 $a^{-r}$ 存在，于是 $a\perp p$ 时即正确 .

注意块长调的好的话做 $T$ 次 BSGS 的时间复杂度是 $\Theta(\sqrt{Tp})$ 的 .

unordered_map<int, int> H;
inline int BSGS(int p, int b, int n)
{
    if (b % p == 1) return 0;
	if (!(b % p)) return -1;
	int m = sqrt(p) + 1, base = n % p;
	for (int i=0; i<=m; i++, base = 1ll * base * b % p) H[base] = i;
	base = qpow(b, m, p);
	int tmp = 1;
	for (int i=1; i<=m; i++)
    {
        tmp = 1ll * tmp * base % p;
        auto _ = H.find(tmp);
        if (_ != H.end()) return i * m - _->second;
    }
	return -1; 
}

---

Discrete Logging II

给整数 $a,p,n$，输出以下方程的最小解：

$$a^x\equiv n\pmod p$$

也就是 exBSGS 啦 .

首先特判 $n=1$ 情况，这个平凡 .

令 $d=\gcd(a,p)$，则原式可以变为

$$\dfrac ad\cdot a^{x-1}\equiv\dfrac nd\pmod{\dfrac pd}$$

如果 $d\nmid n$ 那么无解 .

这样就得到一个子问题，反复应用直到底数和模数互素，此时使用 Discrete Logging I 的做法即可 .

光速幂

「光速幂」也是 BSGS 思想的一个经典应用，问题描述如下：

That Light

给整数 $a,p$，$q$ 组询问，每次给一个整数 $n$，求 $a^n\bmod p$ .

令 $V=\varphi(p)$，块长 $B = \lceil\sqrt{V}\rceil$ .

令 $n=kB+r$，则 $a^n=a^{kB}\cdot a^r$，乘号两边都只有 $\Theta(\sqrt V)$ 种取值，预处理即可 .

时间复杂度 $\Theta(\sqrt V+q)$ .

原根相关

定义

若整数 $a,m$ 互素，则定义满足 $a^n\equiv 1\pmod m$ 的最小正整数 $n$ 称作 $a$ 模 $m$ 的阶，记作 $\delta_m(a)$ 或者 $\ord_ma$ .

若 $a\perp m$ 且 $\ord_ma=\varphi(m)$ 则称 $a$ 为 $m$ 的原根 .

令 $\ind_g x$ 为满足 $g^k=a\pmod m$ 且 $0\le k<\varphi(m)$ 的 $k$，称作 $a$ 模 $m$ 对原根 $g$ 的指标 .

性质（阶）：

1. $a^x\equiv 1\pmod m\iff\ord_m a\mid x$ .
2. $\ord_m a^k=\dfrac{\ord_m a}{\gcd(\ord_ma,k)}=\dfrac{\lcm(\ord_ma,k)}k$ .

性质（原根）：

1. 原根判定定理：对于 $m\ge 3$，$g\perp m$，$g$ 是 $p$ 的原根当且仅当对于任意 $\varphi(m)$ 的素因子 $p$ 均有 $a^{\varphi(m)/p}\not\equiv 1\pmod m$ .
2. 原根存在定理：$m$ 存在原根当且仅当 $m$ 形如 $2,4,p^{\alpha},2p^{\alpha}$，其中 $p$ 为奇素数 .
3. 原根个数定理：若正整数 $m$ 存在原根，则其个数为 $\varphi(\varphi(m))$ .
4. 整数 $m$ 的最小原根 $g$ 的级别为 $g=O(m^{0.25+\varepsilon})$ .

证明略 .

一个不知道有啥用的事实：若 $m$ 存在原根，则使得 $\ord_ma=l$ 的 $a$ 个数为 $\varphi(l)[l\mid\varphi(m)]$ .

求解

根据以上性质可以尝试求出某整数的原根和阶，指标是 BSGS .

求阶也可以 BSGS，或者考虑对于 $x=k\ord_ma$，必然有 $a^x\equiv 1\pmod m$，那么可以先令 $x=\varphi(m)$，然后依次除去 $x$ 的每个素因子 $p$ 直到 $a^{x/p}\not\equiv 1\pmod m$，这样 $x$ 就是原根了，这样时间复杂度是 $\Theta(\factor(m)+\log^2m)$ 的 .

关于原根，考虑使用原根判定定理直接枚举最小原根 $g$，显然可以在 $O(\factor(m)+m^{0.25}\omega(m)\log m)$ 时间复杂度内求出最小原根 .

根据阶的性质 2，可以得到

$$\ord_m g^k=\dfrac{\ord_m g}{\gcd(\ord_m g,k)}=\dfrac{\varphi(m)}{\gcd(\varphi(m),k)}$$

那么只要 $k\mid\varphi(m)$，则 $g^k$ 也是 $m$ 的原根，于是直接枚举 $k$ 求即可 .

洛谷模板（找所有原根）

const int N = 3919810;
inline int qpow(int a, int n, int p)
{
	int ans = 1;
	while (n)
	{
		if (n & 1) ans = 1ll * ans * a % p;
		a = 1ll * a * a % p; n >>= 1;
	} return ans;
}
int gcd(int a, int b){return b ? gcd(b, a % b) : a;}
bool notprime[N], vaild[N];
int phi[N];
vector<int> prime;
inline void linear_sieve(int n)
{
	notprime[1] = true; phi[1] = 1;
	for (int i=2; i<=n; i++)
	{
		if (!notprime[i]){prime.emplace_back(i); phi[i] = i-1;}
		for (auto x : prime)
		{
			int now = i*x;
			if (now > n) break;
			notprime[now] = true;
			if (!(i%x)){phi[now] = phi[i] * x; break;}
			else phi[now] = phi[i] * phi[x];
		}
	}
	vaild[2] = vaild[4] = true;
	for (int p : prime)
	{
		if (p == 2) continue;
		for (int i=1; 1ll*i*p<=n; i*=p)
		{
			vaild[i*p] = true;
			if (2ll*i*p <= n) vaild[2*i*p] = true;
		}
	}
}
inline int findroot(int x)
{
	int p = x, h = phi[p]; x = h; 
	vector<int> factor;
	for (int d : prime)
	{
		if (d * d >= x) break;
		if (!(x % d))
		{
			factor.emplace_back(d);
			while (!(x % d)) x /= d;
		}
	}
	if (x != 1) factor.emplace_back(x);
	for (int g=1; ; g++)
	{
		if (qpow(g, h, p) != 1) continue;
		bool ok = true;
		for (int d : factor)
			if (qpow(g, h / d, p) == 1){ok = false; break;}
		if (ok) return g;
	}
}
int p, d;
vector<int> ans;
int main()
{ 
	int T; scanf("%d", &T); linear_sieve(1e6);
	while (T--)
	{
		scanf("%d%d", &p, &d); ans.clear();
		if (!vaild[p]){puts("0\n"); continue;}
		int g = findroot(p), now = 1, c;
		for (int i=1; i<=phi[p]; i++)
		{
			now = 1ll * now * g % p;
			if (gcd(i, phi[p]) == 1) ans.emplace_back(now);
		}
		stable_sort(ans.begin(), ans.end());
		printf("%d\n", c = phi[phi[p]]);
		for (int i=1; i<=c/d; i++) printf("%d ", ans[i * d - 1]);
		puts("");
	}
	return 0;
}

应用

阶的主要应用是找 $c^k$ 的循环节长度，这个比较无聊 .

如果你实在无聊可以看例题 .

Example

随机数

一个线性同余生成器由整数 $x_0,n,c,a$ 描述，其生成的第 $i$ 个随机数为 $x_i$ 满足 $x_i=(c\times x_{i-1} + a)\bmod n$，其中 $i>0$ .

令生成的数列为 $\{x\}$，定义对于整数 $i$ 和 $j$，有 $0\leq i<j$ 且 $x_i=x_j$，则称其为一个重复二元组 .

现给定线性同余生成器的四个参数 $x_0,n,c,a$，你需要找到一个重复二元组，满足 $i$ 尽可能小，在此基础上要求 $j$ 尽可能小 .

写出序列 $\{x\}$ 就是 $x_k\equiv x_0c^k+a\sum_{i=0}^{k-1}c_i\pmod n$ .

首先特判 $c=1$，那么根据等比数列求和就可以知道 $x_k=\left(x_0c_k+a\cdot\frac{1-c^k}{1-c}\right)\bmod n$ .

我们希望 $c\perp n$，这样就可以通过 ord 得到 $c^k$ 的循环节 .

令 $\gcd(c,n)=g\neq 1$，那么考虑对 $x_i$ 作带余除法 $x_i=(y_ig+a)\bmod n$，则可以得出 $\{y\}$ 的递推 $y_i=\left(c\cdot y_{i-1}+\frac{ca}g\right)\bmod \frac ng$ .

重复过程，即可得到 $c\perp n$ 的子问题 .

接下来的一个障碍是 $1-c$ 不一定存在逆元，这可以用类似的方法解决 .

令 $\gcd(c-1,n)=g\neq 1$，那么 $x_i\equiv x_{i-1}+a\pmod g$，则它的周期为 $p=\dfrac{g}{\gcd(a,g)}$ .

那么对于所有 $x_{pk}$，它们模 $g$ 全部相等，那么对它作带余除法 $x_{pi}=(y_ig+x_0)\bmod n$，则可以得到 $\{y\}$ 的递推 $y_i\equiv c^p\cdot y_{i-1}+\frac{(x_0-a)(c^p-1)}{(1-c)g}\pmod{\frac ng}$ 。

重复过程，即可得到 $1-c\perp n$ 的子问题 .

这样考虑原始式子 $x_k=\left(x_0c_k+a\cdot\frac{1-c^k}{1-c}\right)\bmod n$，那么令 $v\equiv (x_0-\frac a{1-c})\pmod n$，于是只需要求 $vc^k$ 在模 $n$ 下的周期，这就是 $\ord_{n/\gcd(v,n)}c$，于是这题就做完了 .

---

首先原根的一个应用是把乘法换成加法，因为原根可以用来生成模模数的缩系，也即 $a\cdot b=g^{\ind_g a}\cdot g^{\ind_g b}=g^{\ind_g a+\ind_g b}$ .

由于原根的性质，模 $m$ 意义下 $[0,m)$ 的指标都是存在且互不相同的 .

Discrete Root

给整数 $a,k,p$，求 $x^k\equiv a\pmod p$ 的所有根，$p$ 是素数 .

首先求出 $p$ 的原根 $g$，那么 $x^k\equiv a\pmod p\iff(g^{\ind x})^k\equiv a\pmod p\iff (g^k)^{\ind x}\equiv a\pmod p$ .

$g^k$ 是定值，那么剩下的部分 BSGS 即可解决 .

小 A 与两位神仙

给整数 $x,y,p$，问是否存在 $a$ 使得 $x^a\equiv y\pmod p$，保证 $p$ 是奇素数的正整数次幂，$x,y$ 均与 $p$ 互素 .

首先用原根就可以把原式改成 $\ind_g x\cdot a\equiv\ind_g y\pmod{\varphi(p)}$ .

根据 Bézout 定理，有解当且仅当 $\gcd(\ind_g x,\varphi(p))\mid\ind_g y$，又等价于 $\gcd(\ind_g x,\varphi(p))\mid\gcd(\ind_g y,\varphi(p))$ .

根据阶的性质 2，可以改写为 $\ord_p x=\dfrac{\varphi(p)}{\gcd(\varphi(p),\ind_g x)}$，那么又可以改写为 $\ord_p y\mid \ord_p x$ .

然后求出阶来判断即可 .

同样结论题：ABC212G Power Pair .

D

维护序列 $\{a_n\}$，有素数 $p$ 是定值，支持：

• 1 l r x，对于所有 $i\in[l,r]$，令 $a_i\gets a_i\cdot x$ .
• 2 l r，询问序列区间 $[l,r]$ 的元素去重后构成的集合的权值，其中对于集合 $S$，定义集合 $T$ 为满足 $S\subseteq T$ 且 $\forall x,y\in T,\ xy\bmod p\in T$ 的最小集合，此时称 $|T|$ 为 $S$ 的权值 .

首先用原根变成加，那么权值的大小就是 Bézout 定理，可以知道

$$\operatorname{val}(S)=\dfrac{p-1}{\gcd(\gcd_{x\in S}\ind_g x,p-1)}$$

然后就是区间加区间 GCD 了，这是经典问题，差分后线段树维护即可 .

根据分析可以得到时间复杂度是 $O(\sqrt p+\sqrt{(n+q)p}+(n+q)\log p+q\log n)$（朴素实现 —— 分解质因数使用根号试除，求解指标使用朴素 BSGS），这都啥 .

---

另外一个原根的应用是代替单位根，有性质：若 $\varphi(n)$ 有原根 $g$，则 $\varphi(n)$ 的简化剩余系与 $n$ 次单位根同构，有点显然 .

这里就没有例题了，因为主要部分是单位根，和原根没太大关系 .