COMP3357 tutorial: 中国剩余定理 (Chinese Remainder Theorem) 与整数模 p 乘法群

中国剩余定理 Chinese Remainder Theorem (CRT)

Definition

Points to Note:

• 方程组的模数 $m_1,m_2,...,m_k$ 是两两互质 (pairwise coprime) 的
• 该方程组的解 $x$ 在模 $M=\prod m_i$ 意义下是唯一的 (也就是说，所有的解 $x$ 模 $N$ 等价)
• 该方程组的解是 $x=\sum_{i=1}^k a_iM_it_i\mod{M}$，其中 $M_i=M/m_i$, $t_i=M_i^{-1}\pmod{m_i}$

Proof

CRT 是正确的，我们需要证明

• 解的存在性 (existence)
  对于方程组:
  
  $M=\prod_{i=1}^k m_k$，我们令 $M_i=M/m_i$ ($M_i$ 为除 $m_i$ 外所有模数的积)
  令 $t_i$ 为 $M_i$ 模 $m_i$ 下的逆元，即 $M_it_i\equiv 1\pmod{m_i}$
  我们能够构造解 $x=\sum_{i=1}^k a_iM_it_i$: 因此，任意解 $x_0\equiv x\pmod{M}$

  • 解的正确性
    对于方程组中的第 $j$ 个方程 $x\equiv a_j\pmod{m_j}$
    $x=a_1M_1t_1+a_2M_2t_2+...+a_jM_jt_j+...a_kM_kt_k$
    对于所有 $i\neq j$ 的项 $a_iM_it_i$，$M_i=M/m_i$，所以 $M_i$ 一定包含 $m_j$ (即 $m_j|M$)，因此 $a_iM_it_i\equiv 0\pmod{m_j}$
    而 $a_jM_jt_j\equiv a_j \pmod{m_j}$ since $M_jt_j\equiv 0\pmod{m_j}$

• 解的唯一性 (uniqueness)
  若 $x,x'$ 均为方程组的解，那么 $\forall i\in[1,k]$，都有 $x\equiv a_i\pmod{m_i}$, $x'\equiv a_i\mod{m_i}$
  因此 $x\equiv x'\pmod{m_i}$, 或是说 $m_i|x-x'$
  因为 $m_1,m_2,...,m_k$ are pairwise coprime, $M|x-x'$, i.e., $x\equiv x'\pmod{M}$
  所以 $x,x'$ 模 $M$ 同余，方程在模 $M$ 意义下有唯一解

Application

• 简化 $a^e\mod{M}$ 的计算
  对于 prime $M$, $a^e\mod{M}$ 能够用 Fermat's little Theorem 或者 Euler's Theorem 来化简
  对于 composite $M$，但 $\gcd(M, a)=1$ 的情况，Euler's Theorem 仍然适用
  而对于 composite $M$ 但 $\gcd(M,a)\neq 1$ 的情况，就需要借助 CRT 进行简化
  

• Accelerate RSA Decryption
  

关于整数模 $p$ 乘法群 $\Z_p^*$ 的研究

循环群的定义

有生成元 generator 的群就是循环群

$\Z^*_p$ 是一个循环群

$\Z^*_p$ for some prime $p$ 是一个经典的循环群，下面我们将对其进行证明

• $ord(g)|\varphi(p)$
  我们先证明，对于任何 $g\in Z^*_p$，都有 $ord(g)|\varphi(p)$
  $g^{ord(g)}\equiv 1\pmod{p}$
  $g^{\varphi(p)}\equiv 1\pmod{p}$
  且 $ord(g)$ 是 smallest positive integer $r$ s.t. $g^r\equiv 1\mod{p}$，所以一定有 $ord(g)\leq \phi(p)$
  所以 $ord(g)|\varphi(p)$

• 欧拉函数性质 $\sum_{d|n} \varphi(d)=n$
  这个结论好熟悉！就是之前学过的迪利克雷卷积 $\varphi * \mathtt{1}= \mathtt{Id}$ 的展开形式
  证明有点靠直觉: 我们将所有以 $n$ 为分母的分式写出来 $\frac{1}{n}, \frac{2}{n}, ..., \frac{n}{n}$ 并化简成最简形式 (Simplified forms)
  写成化简形式后，这些分式的分母 $\in \{d \ \mathtt{s.t.} d|n\}$ (即所有的分母一定都是 $n$ 的 divisor)
  对于一个分母为 $d$ 的分式，其分子有 $\varphi(d)$ 种 (分子与分母必须互质，否则还可以继续化简)
  所以，$\forall d \ \mathtt{s.t.} d|n$，其都占有 $\{\frac{1}{n}, \frac{2}{n}, ..., \frac{n}{n}\}$ 中的 $\varphi(d)$ 个分式
  那么 $\sum_{d|n} \varphi(d)=n$

• Proof (incomplete)
  我们定义函数 $F(r)$ 为 $\Z^*_p$ 中，阶为 $r$ 的元素的个数
  由 $ord(g)|\varphi(p)$ 我们知道，所有元素的阶一定是 $\varphi(p)$ 的 divisor
  所以有: $\sum_{d|\varphi(p)} F(d)=|\Z^*_p|=\varphi(p)$
  又根据 $\varphi * \mathtt{1}= \mathtt{Id}$ 有 $\sum_{d|\varphi(p)} \varphi(d)=\varphi(p)$
  因此 $\sum_{d|\varphi(p)} F(d)=\varphi(p)=\sum_{d|\varphi(p)} \varphi(d)$
  我们得到当 $p$ 为质数时, $F(d)=\varphi(d)$
  (这里的结论得出是不完整的，我们还需要通过 Lagrange's Theorem 证明 $F(d)\leq \varphi(d)$ 后得出 $F(d)=\varphi(d)$，但该证明比较复杂，故直接取这个符合直觉的结论)

• 生成元的个数
  有了 $F(d)=\varphi(d)$ 这一关系后，我们可以求出 $\Z^*_p$ 中阶为 $r$ 的元素个数 $\varphi(r)$
  那么根据生成元的定义 (阶为 $\varphi(p)$ 的元素)，我们可以得到 $\Z^*_p$ 有 $\varphi(\varphi(p))=\varphi(p-1)$ 个生成元
  从而证明若 $\varphi(p-1)\neq 0$，$\Z^*_p$ 是一个循环群

原根与整数模 $n$ 乘法群

• 原根 (primitive root)
  对于整数模 $p$ 乘法群 ($p$ is prime) $\Z^*_p$，我们已经证明其一定是循环群
  那么，对于这一类群，我们将其的生成元 (generator) 又称作原根 (primitive root): 质数 $p$ 的原根，即群 $\Z^*_p$ 的生成元
  目前没有求原根的一般方法 (general methods)，但是在所有 $\varphi(p)$ 个元素中有 $\varphi(\varphi(p))$ 个原根，使用随机化算法也能够 efficiently 得到原根

• 其他整数模 $n$ 乘法群 $\Z^*_n$
  当 $n$ 不是质数时，需要满足什么条件能够使得 $\Z^*_n$ 是循环群？
  答案: ($2$), $4$, $p^k$, $2p^k$ ($p$ 是一个奇质数，$k$ 是一个正整数)

二次剩余 Quadratic Residue

这里简单的对二次剩余做一点总结，虽然在这堂课里着墨不多，但是在数论领域还是一个很经典的问题

二次剩余问题

一个数 $a$，如果不是 $p$ 的倍数且模 $p$ 同余于某个数的平方，则称 $a$ 为模 $p$ 的 二次剩余 (quadratic residue)。
而一个数 $b$，如果不是 $p$ 的倍数且模 $p$ 不同于任何数的平方，则称 $b$ 为模 $p$ 的 二次非剩余 (quadratic nonresidue)

对二次剩余求解，即对常数 $a$ 解方程: $x^2\equiv a \pmod{p}$
通俗来讲，即是进行 模意义下的开平方运算 (find e-th root modulo $p$ 的特殊情况: $e=2$)
在研究二次剩余问题时，模数 $p$ 一般是奇质数

Legendre 符号

引入勒让德符号 $(\frac{a}{p})$，标记 $a$ 是否是模 $p$ 的二次剩余

Euler 判别准则

对于奇素数 $p$ 与 $p\not| a$ 有

欧拉判别准则指出，我们可以直接通过计算 $a^{(p-1)/2}$ 计算 $a$ 模 $p$ 的勒让德符号
这里是证明 (from OI wiki)，很简明易懂

Tutorial questions

Hastad 广播攻击 (Håstad's broadcast attack)

首先看到三个方程，不同模数就联想到 CRT: 列出方程组

但是，CRT 的应用条件是模数两两互质。讨论

• $\gcd(N_i, N_j)\neq 1$ for some $1\leq i\leq j\leq 3$:
  这种情况下，我们能够成功的找到 $N_i$ 与 $N_j$ 的 factorization
  若 $\gcd(N_i, N_j)=p$, 则 $d_i=e^{-1}\mod{\varphi(N_i)}=d^{-1}\mod{(p-1)(N_i/p-1)}$
  得到 $d_i$ 后，解密 $m$ 就十分简单了
• $\gcd(N_i, N_j)=1$ for all $1\leq i\leq j\leq 3$:
  这种情况下，我们直接进行 CRT 求解
  $m^3\equiv \sum_{i=1}^3 a_iM_it_i \pmod{N_1N_2N_3}$
  由于在 Plain RSA 中，$m< N_i$ for all $i$，所以 $m^3<N_1N_2N_3$
  我们只需要进行整数开根 $\sqrt[3]{\sum_{i=1}^3 a_iM_it_i}$ 即可 recover $m$

DDH Assumption fails when using $\Z^*_p$

若 $g$ 是 $\Z^*_p$ 的生成元，$h\in \Z^*_p$，则一定存在 $x$ 使 $g^x=h$
$x$ 的奇偶性 (parity) 可以通过计算 $h$ 是否是模 $p$ 的二次剩余来确定、

• $x$ is even, 则 $x=2t$, $(\frac{h}{p})\equiv g^{2t\cdot(p-1)/2}\equiv(g^{p-1})^t\equiv1\pmod{p}$，因此 $h$ 是模 $p$ 的二次剩余
• $x$ is odd, 则 $x=2s+1$, $(\frac{h}{p})\equiv g^{2s\cdot (p-1)/2}g^{(p-1)/2}\equiv 1\cdot (-1)\equiv -1\pmod{p}$, 因此 $h$ 是模 $p$ 的二次非剩余

这一结论可以用于攻破使用 $\Z^*_p$ 的 DDH 问题
给出 $g, g^x, g^y, h=g^z$, 当 $h$ 是模 $p$ 的二次剩余时，敌手 $\mathscr{A}$ 输出 $1$，否则输出 $0$

• $h=g^z=g^{xy}$，由于 $x,y$ 都是随机的，因此 $xy$ 的奇偶可能性为 $\mathtt{odd}:\mathtt{even}=1:3$
  于是有 $\Pr[(\frac{h}{p})=1]=\Pr[z \ \mathtt{is} \ \mathtt{even}]=3/4$
• $h=g^z$ for some uniform $z$，因此 $z$ 的奇偶可能性为 $mathtt{odd}:\mathtt{even}=1:1$
  于是有 $\Pr[(\frac{h}{p})=1]=\Pr[z \ \mathtt{is} \ \mathtt{even}]=1/2$

这样 $|\Pr[\mathscr{A}(Z_p^*, q, g, g^x, g^y, g^z)=1]-\Pr[\mathscr{A}(Z_p^*, q, g, g^x, g^y, g^{xy})=1]|=1/4$，而这个概率是 non-negligible 的
所以 DDH Assumption fails when using $\Z^*_p$，自然，使用 $Z^*_p$ 的任何 Diffie-Hellman 密钥交换协议与 El Gamel 加密都是不安全的

一些常用的能保证 DDH Assumption 的群:

本文中所有引用来自 OI wiki 与 TA Zhang Chengru 的 PPT Slide