二次剩余
解 \(x^q\equiv p\pmod p\) 其中 \(q\bot p\).如果知道了 \(a^t\equiv a\pmod p\),那么 \(x=a^{t/q}\),想要让 \(t\) 是 \(q\) 的倍数,现在已经有了 \(a^{p-1}\equiv 1\pmod p\),那么就有 \(a^{(p-1)t+1}\equiv a\pmod p\),由于 \(k\bot (p-1)\),所以一定有这样一个 \(t\),那么 \(x=a^{\frac{(p-1)t+1}{q}}=a^{\frac{1}{q}}\)(注意指数是在 \(\bmod (p-1)\) 意义下的)
现在想求 \(k\) 的二次剩余,\(x^2=a\pmod p\),假如我们知道 \(a^t\equiv 1\pmod p\) 其中 \(t\) 是奇数,那么 \(x=a^{\frac{t+1}{2}}\).
现在有 \(a^{p-1}\equiv 1\pmod p\),如果将 \(p-1\) 分解为 \(2^Kt\),我们想要不断除掉 \(2\),最终得到 \(t\).
如果现在 \(a^{2^{k-1}t}\equiv -1\pmod p\) 了,现在想要凑一个新的 \(a'\),使得 \(a'^{2^{k-1}t}=1\) 并且解出来的 \(x'\) 能够得到 \(x\).那么这里就考虑一个 \(v^2=-1\),那么 \((v^2a)^{2^{k-1}t}=1\),那么 \(x=x'/v\).
然后考虑任意一个无二次剩余的 \(w\) 其满足 \(w^{(p-1)/2}=-1=w^{2^{K-1}t}=(w^{2^{K-k}})^{2^{k-1}t}\),所以这里就知道想要的是 \(w^{2^{K-k-1}}\).
注记:Euler 判定:\(a^{\frac{p-1}{2}}\) 为 \(1\) 则存在二次剩余,为 \(-1\) 则不存在二次剩余。这同时也告诉我们 check 失败时候的 \(k\) 一定 \(<K\),这也是最后一步中 \(K-k-1\geq 0\) 从而 \(w^{2^{K-k-1}}\) 能算的原因。
处理细节:
- 求 \(w\) 可以不断随机然后用 Euler 判定(二次剩余数量和二次非剩余数量相同)。
- 不断平方预处理出 \(a^t,a^{2t},a^{4t},\cdots a^{2^Kt}\),以及 \(w^1,w^2,w^{4}\cdots,w^{2^K}\).
127 说的好,当我们想要记住一个算法过程时,可以去记算法过程中的关键步骤,中间的直接推就好了,现在尝试提炼出这个算法的思路:
- \(a^t\equiv 1\pmod p\Rightarrow x=a^{\frac{t+1}{2}}\);
- 从 \(a^{(p-1)}\equiv 1\pmod p\) 开始不断尝试将指数除以 2 来得到一个奇数 \(t\),但是不断开根的过程中可能从 1 变成 -1,此是要凑出一个 \(a'\) 满足 \(a'^{2^{k-1}t}\equiv 1\pmod p\) 并且其截出的 \(x'\) 能简单得得到 \(x\);
- \(a'=v^2a\),欲求 \(v^2\equiv -1\pmod p\),利用二次非剩余 \(w^{\frac{p-1}{2}}\equiv -1\pmod p\) 并将指数分解,来凑出满足条件的 \(v\).
