Cipolla 二次剩余算法和简要证明

二次剩余的判定

在模奇素数 $p$ 意义下：

$$a^{\frac{p-1}{2}}=\{\begin{array}{ll}1,& a\text{是二次剩余}\\ -1,& a\text{不是二次剩余}\end{array}$$

在 $1\dots p-1$ 这些数中，恰好有二分之一（$\frac{p-1}{2}$ 个）是二次剩余，二分之一不是。

一个同余式

在模奇素数 $p$ 意义下：

$$\begin{array}{rl}(a+b{)}^p& =a^p+(\genfrac{}{}{0ex}{}{p}{1})a^{p-1}b+\cdots +(\genfrac{}{}{0ex}{}{p}{p-1})a{b}^{p-1}+b^p\\ & =a^p+b^p\end{array}$$

这是因为对于奇素数 $p$ 和 $i\in [1,p-1]$，$p\mid (\genfrac{}{}{0ex}{}{p}{i})$。

Cipolla 算法

断言对于奇素数 $p$ 和 $(a,p)=1$，方程 $x^2\equiv a(\mathrm{mod}p)$ 的一个解可以用如下方式寻找：找到 $r$ 使得 $r^2-a$ 为二次非剩余，扩域令 $j^2=r^2-a$，则 $x\equiv (a+j{)}^{\frac{p+1}{2}}(\mathrm{mod}p)$。注意到这还表明 $(a+j{)}^{\frac{p+1}{2}}$ 虚部为 $0$。证明如下。

$$\begin{array}{rl}{x}^2& \equiv (r+j{)}^p(r+j)(\mathrm{mod}p)\\ & \equiv (r^p+j^p)(r+j)(\mathrm{mod}p)\\ & \equiv (r+(j^2{)}^{\frac{p-1}{2}}\cdot j)(r+j)(\mathrm{mod}p)\\ & \equiv (r+(r^2-a{)}^{\frac{p-1}{2}}\cdot j)(r+j)(\mathrm{mod}p)\\ & \equiv (r-j)(r+j)(\mathrm{mod}p)\\ & \equiv r^2-j^2(\mathrm{mod}p)\\ & \equiv r^2-(r^2-a)(\mathrm{mod}p)\\ & \equiv a(\mathrm{mod}p)\end{array}$$

通过随机化寻找 $r$，期望 $\mathrm{\Theta }(1)$ 次即可找到。时间复杂度为快速幂的复杂度，即一般的 $\mathrm{\Theta }(\log p)$。