公钥密码学的数学基础

第1章 整除

1.1 整除的概念

我们用集合 $\mathbb{Z}$ 表示全体整数组成的集合，$\mathbb{N}$ 表示自然数的全体。

定义1.1

设 a，b $\in$ $\mathbb{Z}$ ，如果存在 q $\in$ $\mathbb{Z}$ ，使得 b = aq ，那么，就说 b 可被 a 整除，记作 a $\mid$ b ，称 b 是 a 的倍数，a 是 b 的因子（也可称为约数、除数）。否则就说 b 不能被 a 整除，或 a 不整除 b，记作 a $\nmid$ b 。

定理1.2

设 a，b，c $\in$ $\mathbb{Z}$ ，则

（1）a $\mid$ b 且 b $\mid$ c $\Rightarrow$ a $\mid$ c ；

（2）a $\mid$ b 且 a $\mid$ c $\iff$ 对任何的 x，y $\in$ $\mathbb{Z}$ 有 a $\mid$ bx + cy；

（3）若 m $\in$ $\mathbb{Z}$ 且 m $\ne$ 0，则 a $\mid$ b $\iff$ ma $\mid$ mb

（4）a $\mid$ b 且 b $\mid$ a $\Rightarrow$ a = $\pm$ b；

（5）若 b $\ne$ 0，则 a $\mid$ b $\Rightarrow$ $\mid$a$\mid$ $\le$ $\mid$b$\mid$ 。

定义1.3

设整数 p $\ne$ 0 , $\pm$ 1。如果 p 除了显然因子 $\pm$ 1 , $\pm$ p 外没有其他的因子，那么 p 就称为素元（常称为素数），若整数 a $\ne$ 0 , $\pm$ 1，且 a 除显数因子外还含有真因子，则称 a 为合数。

注：一般情况下，素数我们只取正的。

定理1.4

若 a 为合数，则 a 的最小真因子为素数。

定理1.5

素数有无穷多个。

定理1.6

将全体素数按从小到大的顺序排列，则第 n 个素数 $p_n$ 与 $\pi$(x) 分别有以下结论：

（1）$p_n$ $\le$ $2^{2^{n-1}}$ ，n = 1，2，· · · ；

（2）$\pi$(x) > $lo{g}_2$ $lo{g}_2$x , x $\ge$ 2。

定理1.7

设 a，b 是两个给定的整数且 a $\ne$ 0。那么一定存在唯一的一对整数 q 与 r ，满足

b = qa + r, 0 $\le$ r < $\mid$a$\mid$ ,

其中，r 被称为 b 被 a 除后的最小非负余数。此外 a $\mid$ b 的充要条件是 r = 0。

1.2 最大公因子与最小公倍数

最大公因子与最小公倍数是整除理论中两个最基本的概念。

定义1.11

设 $a_1$ , $a_2$ 是两个整数。如果 d $\mid$ $a_1$ 且 d $\mid$ $a_2$ , 那么就称 d 是 $a_1$ 和 $a_2$ 的公因子。一般地，设 $a_1$ , $a_2$ ，. . . ，$a_k$ 是 k 个整数。如果 d $\mid$ $a_1$ , d $\mid$ $a_2$ ，. . . ，d $\mid$ $a_k$ ，那么就称 d 是 $a_1$ , $a_2$ ，. . . ，$a_k$ 的公因子。

定义1.12

设 $a_1$ , $a_2$ 是两个不全为零的整数，d 是 $a_1$ 和 $a_2$ 的一个公因子，若对任意的 d’ $\mid$ $a_1$ , d' $\mid$ $a_2$ 都有 d' $\mid$ d 成立，则称 d 为 $a_1$ 和 $a_2$ 的最大公因子，记作 d = （$a_1$ , $a_2$）或 d = gcd（$a_1$ , $a_2$）。一般地，设 $a_1$ , $a_2$ ，. . . ，$a_k$ 是 k 个不全为零的整数。d 是 $a_1$ , $a_2$ ，. . . ，$a_k$ 的一个公因子，若对任意的 $a_1$ , $a_2$ ，. . . ，$a_k$ 的公因子 d‘ ，有 d‘ $\mid$ d，则称 d 为 $a_1$ , $a_2$，. . . ，$a_k$ 的最大公因子，记作（$a_1$ , $a_2$ ，. . . ，$a_k$）或 gcd（$a_1$ , $a_2$ ，. . . ，$a_k$）。

定理1.13

（1）对任意整数 x , ($a_1$ , $a_2$) = （$a_1$ , $a_2$ + $a_1$x）；

（2）设 m > 0，则 m（$b_1$ ，. . . ，$b_k$）= （m $b_1$，. . . ，m $b_k$）；

（3）设 $a_1$ , $a_2$ 是两个不全为零的整数，则（ $\frac{a_1}{(a_1,a_2)}$ ，$\frac{a_2}{(a_1,a_2)}$） = 1；更一般的，有（ $\frac{a_1}{(a_1，...，a_k)}$ ，. . . ，$\frac{a_k}{(a_1，...，a_k)}$）= 1。

定义1.18

设 $a_1$ ，$a_2$ 是两个整数，若（ $a_1$ ，$a_2$）= 1，则称 $a_1$ 和 $a_2$ 是既约的（或者是互素的），若（ $a_1$ ，. . . ，$a_k$）= 1，则称 $a_1$ ，. . . ，$a_k$ 是既约的，也称 $a_1$ ，. . . ，$a_k$ 是互素的。

定义1.19

设 $a_1$ , $a_2$ 是两个均不等于零的整数，如果 $a_1$ $\mid$ $\mathcal{l}$ ， $a_2$ $\mid$ $\mathcal{l}$ ， 则称 $\mathcal{l}$ 是 $a_1$ 和 $a_2$ 的公倍数。一般地，设 $a_1$ ，. . . ，$a_k$ 是 k 个均不为零的整数。如果 $a_1$ $\mid$ $\mathcal{l}$ ，. . . ，$a_k$ $\mid$ $\mathcal{l}$ ，则称 $\mathcal{l}$ 是 $a_1$ ，. . . ，$a_k$ 的公倍数。

定义1.20

设 $a_1$ , $a_2$ 是两个全不为零的整数，$\mathcal{l}$ 是 $a_1$ 和 $a_2$ 的一个大于零的公倍数，若对 $a_1$，$a_2$ 的任意公倍数 $\mathcal{l}$' ，有 $\mathcal{l}$ $\mid$ $\mathcal{l}$' ，则称 $\mathcal{l}$ 为 $a_1$ 和 $a_2$ 的最小公倍数，记作 [ $a_1$ , $a_2$ ] 。一般地，$\mathcal{l}$ 是 $a_1$ ，. . . ，$a_k$ 的一个大于零的公倍数，对 $a_1$ ，. . . ，$a_k$ 的任意公倍数 $\mathcal{l}$' ，有 $\mathcal{l}$ $\mid$ $\mathcal{l}$' ，称 $\mathcal{l}$ 为 $a_1$ ，. . . ，$a_k$ 的最小公倍数，记作 [ $a_1$ ，. . . ，$a_k$ ] 。

定理1.21

（1）若 $a_2$ $\mid$ $a_1$ ，则 [ $a_1$ , $a_2$ ] = $\mid$ $a_1$ $\mid$ ；若 $a_j$ $\mid$ $a_1$ ，2 $\le$ j $\le$ k，则 [ $a_1$ , $a_2$ ，. . . ，$a_k$ ] = $\mid$ $a_1$ $\mid$

（2）对任意的 d $\mid$ $a_1$ ，[ $a_1$ , $a_2$ ] = [ $a_1$ , $a_2$ , d ] 。

（3）设 m > 0，有 [ m $a_1$ , m $a_2$ ，. . . ， m $a_k$ ] = m [ $a_1$ , $a_2$ ，. . . ，$a_k$ ]。

（4）（ $a_1$ , $a_2$ , $a_3$ ，. . . ，$a_k$ ）= （ ( $a_1$ , $a_2$ ) , $a_3$ ，. . . ，$a_k$ ）。

（5）（ $a_1$ ，. . . ，$a_{k+r}$ ） = （（ $a_1$ ，. . . ， $a_k$ ）,（ $a_{k+1}$ ，. . . ， $a_{k+r}$ ））。

定理1.22

设（ m ，a ）= 1，则有（ m，ab ）= （ m，b ）。

定理1.23

设（ m，a ）= 1。若 m $\mid$ ab ，则 m $\mid$ b。

定理1.24

[ $a_1$ , $a_2$ ] （ $a_1$ ，$a_2$ ）= $\mid$ $a_1$ $a_2$ $\mid$ 。

1.3 Euclid 算法

辗转相除法也叫 Euclid 算法，是数学领域最基本的算法之一，其思想方法在数学的许多分支都有重要的应用。利用 Euclid 算法可以求出有限个整数之间的最大公因子。Euclid 算法可以直接用于求解一次不定方程。Euclid 算法在密码学中也有多种应用，并可用于破解或分析某些密码算法的安全性。

定理1.27（Euclid 算法）

设 a，b 是给定的两个整数，b $\ne$ 0，且 b 不能整除 a，重复应用带余除法得到下面 k+2 个等式：

a = $q_0$ b + $r_0$ ,            0 < $r_0$ < $\mid$ b $\mid$ ,

b = $q_1$ $r_0$ + $r_1$ ,            0 < $r_1$ < $r_0$ ,

$r_0$ = $q_2$ $r_1$ + $r_2$ ,            0 < $r_2$ < $r_1$ ,

. . . . . .

$T_{k-3}$ = $q_{k-1}$ $r_{k-2}$ + $r_{k-1}$ ,            0 < $r_{k-1}$ < $r_{k-2}$ ,

$T_{k-2}$ = $q_k$ $r_{k-1}$ + $r_k$ ,            0 < $r_k$ < $r_{k-1}$ ,

$T_{k-1}$ = $q_{k+1}$ $r_k$ 。

定理1.28

在定理 1.27 的条件和符号下，我们有

（1）$r_k$ = （ a , b ）；

（2）存在整数 $x_0$ , $x_1$ 使（ a , b ）= a $x_0$ + b $x_1$ 。

推论1.29

设 $a_1$ ，. . . ，$a_k$ 是不全为零的整数，一定存在一组整数 $x_{1,0}$ ，. . . ，$x_{k,0}$ ，使得

（ $a_1$ ，. . . ，$a_k$ ）= $a_1$ $x_{1,0}$ + . . . + $a_k$ $x_{k,0}$ 。

1.4 求解一次不定方程 --- Euclid 算法应用之一

辗转相除法的应用十分广泛，在此介绍一个辗转相除法在解一次不定方程的应用。所谓的一次不定方程的一般形式是

（1.1）                        $a_1$ $x_1$ + . . . + $a_k$ $x_k$ = c，

其中整数 k $\ge$ 2 , c , $a_1$ ，. . . ，$a_k$ 是整数，且 $a_1$ ，. . . ，$a_k$ 都不等于零，$x_1$ ，. . . ，$x_k$ 是整数变数。

首先给出方程（1.1）有解的一个充要条件。

定理1.34

不定方程（1.1）游街的充要条件是（ $a_1$ ，. . . ，$a_k$ ）$\mid$ c 。当不定方程（1.1）有解时，它的解和不定方程

（1.2）                        $\frac{a_1}{d}$ $x_1$ + . . . + $\frac{a_k}{d}$ $x_k$ = $\frac{c}{d}$

的解相同，这里 d = （ $a_1$ ，. . . ，$a_k$）。

定理1.35

设二元一次不定方程

（1.3）                        $a_1$ $x_1$ + $a_2$ $x_2$ = c

有解，若 $x_{1,0}$ $x_{2,0}$ 是它的一组解。那么它的所有解是

$$\{\begin{array}{l}{x}_1=x_{1,0}+\frac{a_2}{(a_1,a_2)}t,\\ x_2=x_{2,0}-\frac{a_1}{(a_1,a_2)}t,\end{array}$$

其中 t = 0，$\pm$ 1，$\pm$ 2，. . . 。

1.5 整数的素分解

从理论上，任一整数均可分解为素数的乘积的形式。而实际上求一个大整数的素分解是一个困难问题。到目前为止还不存在一个确定性的多项式时间算法来分解一个大整数。而求整数的素分解的困难下恰恰是一些公钥密码算法安全性的理论基础。下面来介绍有关整数素分解的定理。

引理1.37

设 p 是素数且 p $\mid$ $a_1$ $a_2$ 。那么 p $\mid$ $a_1$ 或 p $\mid$ $a_2$ 至少有一个成立。一般地，若 p $\mid$ $a_1$ . . . $a_k$ ，则 p $\mid$ $a_1$ ，. . . ，p $\mid$ $a_k$ 至少有一个成立。

定理1.38（算术基本定理）

设 a > 1，那么，必有

（1.4）                        a = $p_1$ $p_2$ . . . $p_s$ ，

其中 $p_j$ （1 $\le$ j $\le$ s）是素数，且在不记次序的意义下，表示式（1.4）是唯一的。

推论1.39

设 a > 1，那么必有

（1.5）                        a = $p_1^{{\alpha }_1}$ . . . $p_s^{{\alpha }_s}$ ，        $p_1$ < $p_2$ < . . . < $p_s$ ，

式（1.5）称为是 a 的标准因素数分解式。

证明是显然的，只要将分解式（1.4）中相同的素数合并即可。

推论1.40

设 a = $p_1^{{\alpha }_1}$ . . . $p_s^{{\alpha }_s}$ ，且 $p_i$ （1 $\le$ i $\le$ s）是互不相同的素数，那么，d 是 a 的正因数的充要条件是

d = $p_1^{e_1}$ . . . $p_s^{e_s}$ ，        0 $\le$ $e_j$ $\le$ ${\alpha }_j$ ，        1 $\le$ j $\le$ s，

推论1.41

设

a = $p_1^{{\alpha }_1}$ . . . $p_s^{{\alpha }_s}$ ，

b = $p_1^{{\beta }_1}$ . . . $p_s^{{\beta }_s}$ ，        $p_1$ < $p_2$ < . . . < $p_s$ 。

这里允许某个 ${\alpha }_j$ 和 ${\beta }_j$ 为零，那么

（a , b）= $p_1^{{\delta }_1}$ . . . $p_s^{{\delta }_s}$ ，        ${\delta }_j$ = min（${\alpha }_j$ , ${\beta }_j$），        1 $\le$ j $\le$ s，

[ a , b ] = $p_1^{{\gamma }_1}$ . . . $p_s^{{\gamma }_s}$ ，        ${\gamma }_j$ = max（${\alpha }_j$ , ${\beta }_j$），        1 $\le$ j $\le$ s，

以及

（a , b）[ a , b ] = ab。

推论1.43

设 a 是正整数，$\tau$ (a) 表示 a 的所有正整数的个数（通常称为除数函数） 。若 a 有标准素因数分解式（1.5），则

$\tau$ (a) = $\tau$ ( ${\alpha }_1$ + 1 ) . . . $\tau$ ( ${\alpha }_s$ + 1 ) = $\tau$ ( $p_1^{{\alpha }_1}$ ) . . . $\tau$ ( $p_1^{{\alpha }_1}$ )。

推论1.44

设整数 a $\ge$ 2 。

（1）若 a 是合数，则必有不可约数 p $\mid$ a，p $\le$ $a^{\frac{1}{2}}$ ；

（2）若 a 有表达式（1.4），则必有不可约数p $\mid$ a，p $\le$ $a^{\frac{1}{s}}$ 。

定义1.46

设 x 是实数，[x] 表示不超过 x 的最大整数，称为 x 的整数部分，即 [x] 是一个整数且满足 [x] $\le$ x < [x] + 1。记 {x} = x - [x]，称为 x 的小数部分。显然 0 $\le$ {x} < 1。x 是整数的充要条件是 {x} = 0 。

定理1.47

（1）若 x $\le$ y，则 [ x ] $\le$ [ y ]

（2）若 x = m + v , m 是整数，0 $\le$ v < 1，则 m = [ x ] ，v = { x }。特别地，当 0 $\le$ x < 1 时，[ x ] = 0，{ x } = x 。

（3）对任意整数 m 有：[ x + m ] = [ x ] + m，{ x + m } = { x }。{ x }是周期为 1 的周期函数。

（4）

（5）

（6）

（7）

（8）