COMP3357 tutorial: 中国剩余定理 (Chinese Remainder Theorem) 与整数模 p 乘法群

中国剩余定理 Chinese Remainder Theorem (CRT)

Definition

Points to Note:

• 方程组的模数 \(m_1,m_2,...,m_k\) 是两两互质 (pairwise coprime) 的
• 该方程组的解 \(x\) 在模 \(M=\prod m_i\) 意义下是唯一的 (也就是说，所有的解 \(x\) 模 \(N\) 等价)
• 该方程组的解是 \(x=\sum_{i=1}^k a_iM_it_i\mod{M}\)，其中 \(M_i=M/m_i\), \(t_i=M_i^{-1}\pmod{m_i}\)

Proof

CRT 是正确的，我们需要证明

• 解的存在性 (existence)
  对于方程组:
  
  \(M=\prod_{i=1}^k m_k\)，我们令 \(M_i=M/m_i\) (\(M_i\) 为除 \(m_i\) 外所有模数的积)
  令 \(t_i\) 为 \(M_i\) 模 \(m_i\) 下的逆元，即 \(M_it_i\equiv 1\pmod{m_i}\)
  我们能够构造解 \(x=\sum_{i=1}^k a_iM_it_i\): 因此，任意解 \(x_0\equiv x\pmod{M}\)

  • 解的正确性
    对于方程组中的第 \(j\) 个方程 \(x\equiv a_j\pmod{m_j}\)
    \(x=a_1M_1t_1+a_2M_2t_2+...+a_jM_jt_j+...a_kM_kt_k\)
    对于所有 \(i\neq j\) 的项 \(a_iM_it_i\)，\(M_i=M/m_i\)，所以 \(M_i\) 一定包含 \(m_j\) (即 \(m_j|M\))，因此 \(a_iM_it_i\equiv 0\pmod{m_j}\)
    而 \(a_jM_jt_j\equiv a_j \pmod{m_j}\) since \(M_jt_j\equiv 0\pmod{m_j}\)

• 解的唯一性 (uniqueness)
  若 \(x,x'\) 均为方程组的解，那么 \(\forall i\in[1,k]\)，都有 \(x\equiv a_i\pmod{m_i}\), \(x'\equiv a_i\mod{m_i}\)
  因此 \(x\equiv x'\pmod{m_i}\), 或是说 \(m_i|x-x'\)
  因为 \(m_1,m_2,...,m_k\) are pairwise coprime, \(M|x-x'\), i.e., \(x\equiv x'\pmod{M}\)
  所以 \(x,x'\) 模 \(M\) 同余，方程在模 \(M\) 意义下有唯一解

Application

• 简化 \(a^e\mod{M}\) 的计算
  对于 prime \(M\), \(a^e\mod{M}\) 能够用 Fermat's little Theorem 或者 Euler's Theorem 来化简
  对于 composite \(M\)，但 \(\gcd(M, a)=1\) 的情况，Euler's Theorem 仍然适用
  而对于 composite \(M\) 但 \(\gcd(M,a)\neq 1\) 的情况，就需要借助 CRT 进行简化
  

• Accelerate RSA Decryption
  

关于整数模 \(p\) 乘法群 \(\Z_p^*\) 的研究

循环群的定义

有生成元 generator 的群就是循环群

\(\Z^*_p\) 是一个循环群

\(\Z^*_p\) for some prime \(p\) 是一个经典的循环群，下面我们将对其进行证明

• \(ord(g)|\varphi(p)\)
  我们先证明，对于任何 \(g\in Z^*_p\)，都有 \(ord(g)|\varphi(p)\)
  \(g^{ord(g)}\equiv 1\pmod{p}\)
  \(g^{\varphi(p)}\equiv 1\pmod{p}\)
  且 \(ord(g)\) 是 smallest positive integer \(r\) s.t. \(g^r\equiv 1\mod{p}\)，所以一定有 \(ord(g)\leq \phi(p)\)
  所以 \(ord(g)|\varphi(p)\)

• 欧拉函数性质 \(\sum_{d|n} \varphi(d)=n\)
  这个结论好熟悉！就是之前学过的迪利克雷卷积 \(\varphi * \mathtt{1}= \mathtt{Id}\) 的展开形式
  证明有点靠直觉: 我们将所有以 \(n\) 为分母的分式写出来 \(\frac{1}{n}, \frac{2}{n}, ..., \frac{n}{n}\) 并化简成最简形式 (Simplified forms)
  写成化简形式后，这些分式的分母 \(\in \{d \ \mathtt{s.t.} d|n\}\) (即所有的分母一定都是 \(n\) 的 divisor)
  对于一个分母为 \(d\) 的分式，其分子有 \(\varphi(d)\) 种 (分子与分母必须互质，否则还可以继续化简)
  所以，\(\forall d \ \mathtt{s.t.} d|n\)，其都占有 \(\{\frac{1}{n}, \frac{2}{n}, ..., \frac{n}{n}\}\) 中的 \(\varphi(d)\) 个分式
  那么 \(\sum_{d|n} \varphi(d)=n\)

• Proof (incomplete)
  我们定义函数 \(F(r)\) 为 \(\Z^*_p\) 中，阶为 \(r\) 的元素的个数
  由 \(ord(g)|\varphi(p)\) 我们知道，所有元素的阶一定是 \(\varphi(p)\) 的 divisor
  所以有: \(\sum_{d|\varphi(p)} F(d)=|\Z^*_p|=\varphi(p)\)
  又根据 \(\varphi * \mathtt{1}= \mathtt{Id}\) 有 \(\sum_{d|\varphi(p)} \varphi(d)=\varphi(p)\)
  因此 \(\sum_{d|\varphi(p)} F(d)=\varphi(p)=\sum_{d|\varphi(p)} \varphi(d)\)
  我们得到当 \(p\) 为质数时, \(F(d)=\varphi(d)\)
  (这里的结论得出是不完整的，我们还需要通过 Lagrange's Theorem 证明 \(F(d)\leq \varphi(d)\) 后得出 \(F(d)=\varphi(d)\)，但该证明比较复杂，故直接取这个符合直觉的结论)

• 生成元的个数
  有了 \(F(d)=\varphi(d)\) 这一关系后，我们可以求出 \(\Z^*_p\) 中阶为 \(r\) 的元素个数 \(\varphi(r)\)
  那么根据生成元的定义 (阶为 \(\varphi(p)\) 的元素)，我们可以得到 \(\Z^*_p\) 有 \(\varphi(\varphi(p))=\varphi(p-1)\) 个生成元
  从而证明若 \(\varphi(p-1)\neq 0\)，\(\Z^*_p\) 是一个循环群

原根与整数模 \(n\) 乘法群

• 原根 (primitive root)
  对于整数模 \(p\) 乘法群 (\(p\) is prime) \(\Z^*_p\)，我们已经证明其一定是循环群
  那么，对于这一类群，我们将其的生成元 (generator) 又称作原根 (primitive root): 质数 \(p\) 的原根，即群 \(\Z^*_p\) 的生成元
  目前没有求原根的一般方法 (general methods)，但是在所有 \(\varphi(p)\) 个元素中有 \(\varphi(\varphi(p))\) 个原根，使用随机化算法也能够 efficiently 得到原根

• 其他整数模 \(n\) 乘法群 \(\Z^*_n\)
  当 \(n\) 不是质数时，需要满足什么条件能够使得 \(\Z^*_n\) 是循环群？
  答案: (\(2\)), \(4\), \(p^k\), \(2p^k\) (\(p\) 是一个奇质数，\(k\) 是一个正整数)

二次剩余 Quadratic Residue

这里简单的对二次剩余做一点总结，虽然在这堂课里着墨不多，但是在数论领域还是一个很经典的问题

二次剩余问题

一个数 \(a\)，如果不是 \(p\) 的倍数且模 \(p\) 同余于某个数的平方，则称 \(a\) 为模 \(p\) 的 二次剩余 (quadratic residue)。
而一个数 \(b\)，如果不是 \(p\) 的倍数且模 \(p\) 不同于任何数的平方，则称 \(b\) 为模 \(p\) 的 二次非剩余 (quadratic nonresidue)

对二次剩余求解，即对常数 \(a\) 解方程: \(x^2\equiv a \pmod{p}\)
通俗来讲，即是进行 模意义下的开平方运算 (find e-th root modulo \(p\) 的特殊情况: \(e=2\))
在研究二次剩余问题时，模数 \(p\) 一般是奇质数

Legendre 符号

引入勒让德符号 \((\frac{a}{p})\)，标记 \(a\) 是否是模 \(p\) 的二次剩余

Euler 判别准则

对于奇素数 \(p\) 与 \(p\not| a\) 有

欧拉判别准则指出，我们可以直接通过计算 \(a^{(p-1)/2}\) 计算 \(a\) 模 \(p\) 的勒让德符号
这里是证明 (from OI wiki)，很简明易懂

Tutorial questions

Hastad 广播攻击 (Håstad's broadcast attack)

首先看到三个方程，不同模数就联想到 CRT: 列出方程组

但是，CRT 的应用条件是模数两两互质。讨论

• \(\gcd(N_i, N_j)\neq 1\) for some \(1\leq i\leq j\leq 3\):
  这种情况下，我们能够成功的找到 \(N_i\) 与 \(N_j\) 的 factorization
  若 \(\gcd(N_i, N_j)=p\), 则 \(d_i=e^{-1}\mod{\varphi(N_i)}=d^{-1}\mod{(p-1)(N_i/p-1)}\)
  得到 \(d_i\) 后，解密 \(m\) 就十分简单了
• \(\gcd(N_i, N_j)=1\) for all \(1\leq i\leq j\leq 3\):
  这种情况下，我们直接进行 CRT 求解
  \(m^3\equiv \sum_{i=1}^3 a_iM_it_i \pmod{N_1N_2N_3}\)
  由于在 Plain RSA 中，\(m< N_i\) for all \(i\)，所以 \(m^3<N_1N_2N_3\)
  我们只需要进行整数开根 \(\sqrt[3]{\sum_{i=1}^3 a_iM_it_i}\) 即可 recover \(m\)

DDH Assumption fails when using \(\Z^*_p\)

若 \(g\) 是 \(\Z^*_p\) 的生成元，\(h\in \Z^*_p\)，则一定存在 \(x\) 使 \(g^x=h\)
\(x\) 的奇偶性 (parity) 可以通过计算 \(h\) 是否是模 \(p\) 的二次剩余来确定、

• \(x\) is even, 则 \(x=2t\), \((\frac{h}{p})\equiv g^{2t\cdot(p-1)/2}\equiv(g^{p-1})^t\equiv1\pmod{p}\)，因此 \(h\) 是模 \(p\) 的二次剩余
• \(x\) is odd, 则 \(x=2s+1\), \((\frac{h}{p})\equiv g^{2s\cdot (p-1)/2}g^{(p-1)/2}\equiv 1\cdot (-1)\equiv -1\pmod{p}\), 因此 \(h\) 是模 \(p\) 的二次非剩余

这一结论可以用于攻破使用 \(\Z^*_p\) 的 DDH 问题
给出 \(g, g^x, g^y, h=g^z\), 当 \(h\) 是模 \(p\) 的二次剩余时，敌手 \(\mathscr{A}\) 输出 \(1\)，否则输出 \(0\)

• \(h=g^z=g^{xy}\)，由于 \(x,y\) 都是随机的，因此 \(xy\) 的奇偶可能性为 \(\mathtt{odd}:\mathtt{even}=1:3\)
  于是有 \(\Pr[(\frac{h}{p})=1]=\Pr[z \ \mathtt{is} \ \mathtt{even}]=3/4\)
• \(h=g^z\) for some uniform \(z\)，因此 \(z\) 的奇偶可能性为 \(mathtt{odd}:\mathtt{even}=1:1\)
  于是有 \(\Pr[(\frac{h}{p})=1]=\Pr[z \ \mathtt{is} \ \mathtt{even}]=1/2\)

这样 \(|\Pr[\mathscr{A}(Z_p^*, q, g, g^x, g^y, g^z)=1]-\Pr[\mathscr{A}(Z_p^*, q, g, g^x, g^y, g^{xy})=1]|=1/4\)，而这个概率是 non-negligible 的
所以 DDH Assumption fails when using \(\Z^*_p\)，自然，使用 \(Z^*_p\) 的任何 Diffie-Hellman 密钥交换协议与 El Gamel 加密都是不安全的

一些常用的能保证 DDH Assumption 的群:

本文中所有引用来自 OI wiki 与 TA Zhang Chengru 的 PPT Slide