数论小科技：欧拉降幂、模意义开根、p-1阶乘

1. Exeuler 定理（欧拉降幂）

1.1 引子

对于 \(a^{n} \equiv (\bmod m)\) 的同余式，由鸽巢原理显然能证明出取值存在循环。

欧拉定理不仅用于逆元的引入，还描述了 \(gcd(a, m) = 1\) 时，\(a^{n} \equiv 1 (\bmod m)\) 的取值是纯循环。

Exeuler 定理深入描述了：

1. 当 \(gcd(a, m) = 1\) ， \(a^{n} \equiv 1 (\bmod m)\) 的取值是纯循环。
2. 当 \(gcd(a, m) \neq 1\) ， \(a^{n} \equiv 1 (\bmod m)\) 的取值是混循环。

1.2 Exeuler 定理的定义与证明

对于 \(a^{n} \equiv 1 (\bmod m)\) 的取值，定义从 \(a^r\) 开始，会产生长度为 \(s\) 的循环节。显然定义的 \(r\) 和 \(s\) 是最小的。且显然可以由鸽巢原理证明。

形式化说明即在 \(\bmod m\) 意义下， \(a^{n}\) 的不同取值仅有 \(a^{0}, a^{1}, a^{2}, \cdots, a^{r}, \cdots, a^{r + s - 1}\) 。从 \(a^{r + s} = a^{r}\) 开始会进入混循环。

定理：

1. 当 \(gcd(a, m) = 1\) ，\(r = 0\) ，\(s \mid \varphi(m)\) 。
2. 当 \(gcd(a, m) \neq 1\) ，\(1 \leq r \leq \varphi(m)\) ，\(s \mid \varphi(m)\) 。

证明 \(s \mid \varphi(m)\) ：
定义完 \(r, s\) 后，显然一定有关系 \(a^{r} \equiv a^{r + s} (\bmod m)\) ，于是 \(a^{s} \equiv 1 (\bmod \frac{m}{gcd(m, a^{r})})\) 。此时 \(s\) 依旧为满足 \(a^{s} \equiv 1 (\bmod m)\) 的最小值，否则可以反证 \(s\) 不是 \(a^{r} \equiv a^{r + s} (\bmod m)\) 的最小值。
因 \(\frac{m}{gcd(m, a^{r})}\) 的质因子交集为空，\(a\) 的质因子集是 \(a^{r}\) 质因子集的子集，于是 \(a\) 的质因子集与 \(\frac{m}{gcd(m, a^{r})}\) 的质因子交集为空。即有 \(gcd(a, \frac{m}{gcd(m, a^{r})}) = 1\) ，由 \(s\) 的最小性有 \(s\) 是 \(\bmod \frac{m}{gcd(m, a^{r})}\) 意义下的阶，即 \(s = \delta_{\frac{m}{gcd(m, a^{r})}}(a)\) ，同时有 \(a^{\varphi(\frac{m}{gcd(m, a^{r})})} \equiv 1 (\bmod \frac{m}{gcd(m, a^{r})})\) 。
显然地 \(s \mid \varphi(\frac{m}{gcd(m, a^{r})})\) 。又 \(\varphi(x)\) 是积性函数且 \(gcd(\frac{m}{gcd(m, a^{r})}, gcd(m, a^{r})) = 1\) ，于是 \(\varphi(m) = \varphi(\frac{m}{gcd(m, a^{r})}) \cdot \varphi(gcd(m, a^{r}))\) 。于是 \(s \mid \varphi(m)\) 。\(\square\)

证明 \(gcd(a, m) = 1\) 时 \(r\) 的值域：
若 \(gcd(a, m) = 1\) ，显然地 \(r = 0\) ，否则 \(a^{\delta_{m}(a)} \not \equiv 1 (\bmod m)\) 。\(\square\)

证明 \(gcd(a, m) \neq 1\) 时 \(r\) 的值域：
首先 \(r \neq 0\) ，否则 \(s = \delta_{m}(a)\) ，于是 \(a^{\varphi(m)}\equiv 1 (\bmod m)\) ，回忆 Euler 定理的证明过程，显然当前仅当 \(gcd(a, m) = 1\) 可以满足，于是可以被证反。
又 \(a^{r} \equiv a^{r + s} (\bmod m)\) 是一定的，于是 \(a^{s} \equiv 1 (\bmod m)\) 是一定的。若 \(r \geq s + 1\) ，则 \(\exists r^{'}, 1 \leq r^{'} < r\) 有 \(a^{r^{'}} \equiv a^{r} (\bmod m)\) ，则 \(r\) 不是满足 \(a^{r} \equiv a^{r + s} (\bmod m)\) 的最小值。于是 \(1 \leq r \leq s \leq \varphi(m)\) 。\(\square\)

上述定理可以写成降幂公式形式：

\[a^{n} \equiv \begin{cases} a^{n \bmod \varphi(m)}, \quad &gcd(a, m) = 1 \\ a^{min(n, n \bmod \varphi(m) + \varphi(m))}, \quad &gcd(a, m) \neq 1 \\ \end{cases} \quad (\bmod m) \]

其中 \(s\) 不好算，于是借助 \(\varphi(m)\) 降幂。

证明：
当 \(gcd(a, m) = 1\) 或 \(gcd(a, m) \neq 1, n \leq \varphi(m)\) 是显然的。
当 \(gcd(a, m) \neq 1, n > \varphi(m)\) ，\(a^{(n - \varphi(m)) \bmod \varphi(m) + \varphi(m)} = a^{n \bmod \varphi(m) + \varphi(m)}\) 。先定义起点 \(\varphi(m) \geq r\) 保证起点在循环内，\((n - \varphi(m)) \bmod \varphi(m)\) 得到循环的剩余，化简出是 \(b \bmod \varphi(m)\) 。于是 \(a^{n \bmod \varphi(m) + \varphi(m)}\) 是此时的答案。\(\square\)

这个公式意味着同余方程 \(a^{n} \equiv 1 (\bmod m)\) 可以在任意时候，不受 \(n\) 的约束，以 \(O(\log \varphi(m))\) 完成单次计算。

2. 二次剩余（模意义开根）

2.1 引子

剩余和指数方程类似。
指数方程中针对求解的是 \(a^{x} \equiv b (\bmod m)\) 的最小正指数 \(x\) 。
\(k\) 剩余针对求解的是 \(gcd(a, m) = 1\) 时， \(x^{k} \equiv a (\bmod m)\) 对 \(a\) 是否有解，及有解时的解。

2.2 二次剩余

定义：若 \(gcd(a, m) = 1\) ，对于方程 \(x^{2} \equiv a (\bmod m)\) 有解，则 \(a\) 是模 \(m\) 的二次剩余。

2.2.1 模数为 \(2\) 时的二次剩余：

当模数为偶质数 \(2\) 时二次剩余的判定、个数、解法都显然
对于 \(x^{2} \equiv a (\bmod 2)\) 。
有且仅有 \(a = 1\) 满足 \(gcd(a, 2) = 1\) ，且有且仅有一个实数解实数解 \(x = 1\) 。

2.2.2 模数 \(p\) 为奇质数的二次剩余：

2.2.2.1 二次剩余的判定

欧拉准则：
对于正整数 \(a\) 满足 \(gcd(a, p) = 1\) ，其中 \(p\) 是奇质数，对于 \(x^{2} \equiv a (\bmod p)\) 有：

\[a^{\frac{p - 1}{2}} \equiv \begin{cases} 1, \quad \exists x \\ -1, \quad \not \exists x \\ \end{cases} \]

Euler 准则要分三步证明：

1. 若 \(gcd(a, p) = 1\) 且 \(p\) 为奇质数。 \(a^{\frac{p - 1}{2}}\) 在 \(\bmod p\) 意义下有且仅有有两个解 \(\pm 1\) 。
   证明：由 \(gcd(a, p) = 1\) 和 euler 定理，\(a^{p - 1} \equiv 1 (\bmod p)\) 。
   又 \(p\) 是奇质数，于是 \(a^{2 \frac{p - 1}{2}} \equiv 1 (\bmod p)\) ，于是 \(a^{\frac{p - 1}{2}}\) 在 \(\bmod p\) 意义下只有 \(\pm 1\) 两个解。\(\square\)

2. 若 \(gcd(a, p) = 1\) 且 \(p\) 为奇质数。 \(a^{\frac{p - 1}{2}} \equiv 1 (\bmod p)\) 是 \(x^{2} \equiv a (\bmod p)\) 有解的充要条件。
   充分性证明：由 \(p\) 是奇质数，于是可以设 \(g\) 是 \(p\) 的一个原根，即 \(\delta_{p}(a) = \varphi(p)\) ，于是 \(g^{0}, g^{1}, g^{2}, \cdots, g^{\varphi(m) - 1}\) 是 \(\bmod p\) 的一个既约剩余系。又 \(\varphi(p) = p - 1\) ，于是 \(g^{0}, g^{1}, g^{2}, \cdots, g^{\varphi(p) - 1}\) 是 \(\bmod p\) 的一个完全剩余系。于是 \(\exists k, m = g^{k}\) 。
   由 \(a^{\frac{p - 1}{2}} \equiv 1 (\bmod p)\) ，则 \(g^{k \frac{p - 1}{2}} \equiv a^{\frac{k}{2} p - 1} \equiv 1\) ，于是一定有 \(2 \mid k\) 。
   于是 \(x^{2}\) 可以开根， \(x = g^{\frac{k}{2}} \equiv 1\) 便是一个解。\(\square\)
   必要性证明：若 \(x^{2} \equiv a (\bmod p)\) 有解，由 \(gcd(a, p) = 1\) 且 \(p\) 是奇质数，根据 euler 定理 \(a^{\frac{p - 1}{2}} \equiv x^{2 \frac{p - 1}{2}} \equiv x^{p - 1} \equiv 1 (\bmod p)\) 。\(\square\)

3. 若 \(gcd(a, p) = 1\) 且 \(p\) 为奇质数。 \(a^{\frac{p - 1}{2}} \equiv -1 (\bmod p)\) 是 \(x^{2} \equiv a (\bmod p)\) 无解的充要条件。
   充分性证明：设原根 \(g\) 有 \(g^{k} = m\) 。
   考虑反证。若 \(x^{2}\) 可以开根，则 \(2 \mid k\) ，则 \(g^{(p - 1) \frac{k}{2}} \equiv 1\) 。与 \(m^{\frac{p - 1}{2}} \equiv 1\) 矛盾。
   于是 \(x^{2}\) 不可以开根，于是无解。\(\square\)
   必要性证明：若 \(x^{2} \equiv a (\bmod p)\) 无解，由 \(gcd(a, p) = 1\) 且 \(p\) 是奇质数，只能是 \(a^{\frac{n - 1}{2} \equiv -1 (\bmod p)}\)。\(\square\)

2.2.2.2 二次剩余解的的个数和二次剩余的个数

1. 若 \(gcd(a, p) = 1\) ， \(x^{2} \equiv a (\bmod p)\) 若存在解，则至少有两个。
   证明：若 \(x_0\) 是 \(x^{2} \equiv a (\bmod p)\) 的二次剩余，则 \(p - x_0\) 是二次剩余，又 \(p\) 是奇质数，显然 \(p - x_0 \neq x_0\) ，于是 \(x^{2} \equiv a (\bmod p)\) 若存在二次剩余，则至少有两个。\(\square\)

2. 若 \(gcd(a, p) = 1\) ， \(x^{2} \equiv a (\bmod p)\) 若有解，则解的个数有且仅有两个。
   证明：
   若 \(x^{2} \equiv a (\bmod p)\) 有解，取 \(x_1, x_2\) 是两个不同解。
   则有 \(x_{1}^{2} \equiv x_{2}^{2} \equiv a (\bmod p)\) ，于是有 \((x_{1} + x_{2})(x_{1} - x_{2}) \equiv 0 (\bmod p)\) 。
   显然 \(x_{1} - x_{2} \not \equiv 0\) ，于是 \(x_{1} + x_{2} \equiv 0\) 且对 \(\forall x_1 \neq x_2\) 成立。
   若解的个数是 \(2k \geq 4\) 个，不满足任意两个不同解是相反数，于是解只有 \(2\) 个。

3. 模奇质数 \(p\) 意义下的二次剩余和非二次剩余都有 \(\frac{p - 1}{2}\) 个。
   证明： 考虑任意一组相反数 \(x_1, x_2\) ，有 \(x_1^2 \equiv x_2^2 (\bmod p)\) 。若其中有一个满足 \(x^{2} \equiv a (\bmod p)\) ，不妨是 \(x_1\)，则 \(x_2\) 也满足，这意味 着任意两个 \(\bmod p\) 意义下的相反数是一个二次剩余的解。
   又一个二次剩余对应且仅对应两个 \(\bmod p\) 意义下相反数，于是二次剩余的个数有 \(\frac{p - 1}{2}\) 个。
   又 \(a\) 的取值有 \(p - 1\) 个，于是非二次剩余有 \(p - 1 - \frac{p - 1}{2} = \frac{p - 1}{2}\) 个。\(\square\)

2.2.2.5 二次剩余的解法

对于 \(x^{2} \equiv a (\bmod p)\) 的解（\(p\) 为奇质数），可以使用 Cipolla 算法。

算法原理：

找到任意一个 \(b\) 使得 \(b^{2} - a\) 是 \(\bmod p\) 的非二次剩余 ，即使 \(x^{2} \equiv b^{2} - a (\bmod p)\) 无解，然后钦定 \(I^2 \equiv b^{2} - a\) 。

接下来给出几个引理：

引理 1：\(I^{p} \equiv -I\) 。
证明： \(I^{p} = I \cdot I^{p - 1} = I \cdot I^{2 \frac{p - 1}{2}} = I \cdot (b^{2} - a)^{\frac{p - 1}{2}} \equiv -I\) 。\(\square\)

引理 2：\((b + I)^{p} = b^{p} + I^{p}\) 。
证明： 这是个常见引理。考虑二项式定理展开， \((b + I)^{p} = \sum_{k = 0}^{p} \binom{p}{k} b^{k} I^{p - k}\) 。
由 \(\binom{p}{k} = \frac{p!}{(p - k)!k!}\) ，只有 \(\binom{p}{0} = 1\) 和 \(\binom{p}{p} = 1\) 没有因子 \(p\) ，即在 \(\bmod p\) 下有意义。
于是 \((b + I)^{p} = b^{p} + I^{p}\) 。\(\square\)

于是 \(b^2 - I^2 = (b + I)(b - I) \equiv (b + I)(b^{p} + I^{p}) \equiv (b + I)(b + I)^{p} = (b + I)^{p + 1}\) 。即 \((b + I)^{p + 1} \equiv a (\bmod p)\) 。

于是 \(x^{2} \equiv a (\bmod p)\) 的一个解是 \((b + I)^{\frac{p + 1}{2}}\) 。这个式子结果可以用复数快速幂得到，与素数的区别仅在于虚数单位不同。因为解一定是实数，显然结果的虚部为 \(0\) 。

显然另一个解为 \(p - (b + I)^{\frac{p + 1}{2}}\) 。

时间复杂度：
\(\bmod p\) 的二次剩余数量和非二次剩余数量都为 \(\frac{p - 1}{2}\) 。若 \(a\) 是二次剩余，随机一个 \(b\) 使 \(b^{2} - a\) 是非二次剩余的期望是 \(2\) 次。
证明： 设一个随机 \(X\) 是非二次剩余，则随机游走意义下 \(E(X) = 2\) 。\(E(X^2 \bmod p)\) 在随机游走下依旧为 \(2\) ，于是 \(E(X^2 - 0) = E(X^2) - 0 = 2\) 。\(\square\)

得到 \(b\) 后，通过复数快速幂计算出 \((b + I)^{\frac{p - 1}{2}}\) 。时间复杂度为 \(O(\log p)\) 。
总复杂度为 \(T(2 + \log p) = O(\log p)\) 。

3. Wilson 定理（p-1 阶乘）

Wilson 定理： \(p \in P \Leftrightarrow (p - 1)! \equiv -1 (\bmod p)\) 。

充分性证明：

1. 若 \(p = 2\) ，显然 \(1! \equiv -1 (\bmod 2)\) 。
2. 若 \(p\) 是奇质数。对于 \(\forall a, 1 \leq a \leq p - 1\) ，\(a^{-1}\) 显然存在。一个宽松的逆元范围是 \(1 \leq a^{-1} \leq p - 1\) 。
   由 Euler 准则， \(1^{\frac{p - 1}{2}} \equiv 1 (\bmod p)\) ，显然 \(1\) 是 \(\bmod p\) 的二次剩余。
   考虑模 \(p\) 为 \(1\) 的二次剩余。二次剩余 \(x^{2} \equiv 1 (\bmod p)\) ，\((x - 1)(x + 1) \equiv 0 (\bmod p)\) ，不难发现两个解是 \(1\) 和 \(p - 1\) ，这意味着它们的逆元相等。
   由二次剩余有且仅有两个解的性质，\(\forall a, 2 \leq a \leq p - 2\) 的逆元 \(a^{-1}\) 满足 \(a \neq a^{-1}\) 且显然 \(a^{-1} \neq 1, a^{-1} \neq p - 1\) 。
   于是有结论， \(\forall a, 2 \leq a \leq p - 2\) ，\(a^{-1} \neq a\) 且 \(2 \leq a^{-1} \leq p - 2\) 。
   互质模意义下的逆元唯一性证明：

。
由逆元的唯一性，\(\forall a, 2 \leq a \leq p - 2\) 可以被分为 \(\frac{p - 3}{2}\) 对，每对的乘积在 \(\bmod p\) 意义下为 \(1\) 。将所有数相乘得到 \(2 \times 3 \times 4 \times \cdots \times p - 2 = (p - 2)! \equiv 1 (\bmod p)\) 。
两边乘以 \(p - 1\) 得到 \((p - 1)! \equiv p - 1 \equiv -1 (\bmod p)\) 。

\(\square\)

（基本大多数时候只用得到充分性，但必要性的证明本身很有趣）

必要性证明：

在充分性成立情况下，只需要证所有合数不满足同余式，则必要性得证。

对于 \(p\) 为合数时，分为 \(4\) 类：

1. 若 \(p = 1\) ，\((1 - 1)! \equiv 0 (\bmod 1)\) 。
2. 若 \(p = 4\) ，\((4 - 1)! \equiv 2 (\bmod 2)\) 。
3. 若 \(p > 4\) 且 \(p\) 是完全平方数。令 \(p = k^2\) ，显然 \(k > 2\) 。不难分析 \(2k < k^2 \ s.t.\ k > 2\) 于是有 \(2 < k < 2k < p\) ，即 \((p - 1)! = 1 \times 2 \times 3 \times \cdots \times k \times \cdots \times 2k \times \cdots \times (p - 1) = np\) ，于是 \((p - 1)! \equiv 0 (\bmod p)\) 。
4. 若 \(p > 4\) 且 \(p\) 是非完全平方数。不妨设 \(1 < a < b < p\) 且 \(p = ab\) 。于是 \((p - 1)! = 1 \times 2 \times 3 \times \cdots a \times \cdots \times b \times \cdots \times (p - 1) = np\) ，于是 \((p - 1)! \equiv 0 (\bmod p)\) 。

于是 \(p\) 不是合数，即若 \((p - 1)! \equiv -1 (\bmod p)\) 成立，\(p\) 只可能是质数。又由充分性， \(p\) 若是质数同余式一定成立，于是 \(p\) 一定是质数。
\(\square\)