第8章数论算法

教学目标理解求最大公约数的算法掌握欧几里德公式的推广掌握求解同余方程的算法掌握运用中国剩余定理解决实际问题理解双钥密码体制概念掌握RSA算法（实验四）8.1最大公约数定义1设a，b是整数，b≠0，如果存在整数c，使得a=bc成立．则称a被b整除，a是b的倍数，b是a的约数(因数或除数)，可记为b|a；如果不存在整数c使得a＝bc成立，则称a不被b整除，记为。定理1(带余数除法)设a与b是两个整数，b≠0，则存在唯一的两个整数q和r，使得a=bq+r，0≤r|b|。定义2在定理1的表达式a=bq+r中，称q是a被b除的商，r是a被b除的余数。最大公约数是指两个或两个以上整数的公共约数中最大者。|ba8.1.1欧几里德算法欧几里德定理任意给定两个整数a，b（不妨假设a≥b）。它们的最大公约数用gcd(a,b)表示，则gcd(a,b)=gcd(b,amodb)，其中amodb表示a被b除所得的余数欧几里德递归定义式P249算法ab0gcd(a,b)gcd(b,amodb)b0应用举例（求b=100和a=210最大公约数）gcd(100,210mod100)=gcd(100,10)=gcd(10,100mod10)=10。欧几里德递归公式的推广（P250算法设计）解决“已知a,b求解一组x，y使得ax+by=gcd(a,b)”问题令gcd(a,b)=d，则ax+by=d；gcd(b,amodb)=d(8-1)（1）当b=0时，则gcd(a,b)=a；ax+by=a，即ax=a，则x=1，y取任意实数。简单起见，算法取y=0；（2）当b≠0时，令a’=b，b’=amodb，则gcd(a',b')=d，a'x'+b'y'=d。由于b’=amodb=，则a'x'+b'y'=bx'+()y'=ay'+b(x'-)=d(8-2)让式(8-1)和式(8-2)对应项相等，则x=y'，y=x'-。'aybbbaabbaa'ayb8.1.2Stein算法当a,b很大时（超出计算机表示能力），欧氏算法复杂，最好不用除法和取模运算。基于的两条结论（1）gcd(a,0)=a。（2）gcd(ka,kb)=kgcd(a,b)算法步骤步骤1：初始时，令c=1；步骤2：如果a=0，c=b*c；如果b=0，c=a*c；算法结束。步骤3：令a1=a，b1=b；步骤4：a和b奇偶性的判断。如果a和b都是偶数，则a=a/2，b=b/2，c=2*c；如果a是偶数，b不是偶数，则a=a/2；如果b是偶数，a不是偶数，则b=b/2；如果a和b都不是偶数，则a=|a1–b1|，b=min(a1,b1)；转步骤2。P251算法应用举例求15和9的最大公约数解：c=1,a1=15,b1=9→a=6,b=9→a=3,b=9→a1=3,b1=9→a=6,b=3→a1=3,b1=3→a=0,b=3→c=b*c=38.2同余方程同余式设a、b和m为整数，其中m＞0。若a和b被m除得的余数相同，则称a和b对模m同余。记为或同余式的简单性质（1）若ab(m)，则m|(b-a)。反过来，若m|(b-a)，则ab(m)；（2）如果a=km+b(k为整数)，则ab(m)；（3）每个整数恰与0,1,…，m-1这m个整数中的某一个对模m同余；（4）同余关系是一种等价关系：反身性aa(m)；对称性ab(m)，则ba(m)，反之亦然；传递性ab(m)，bc(m)，则ac(m)。（5）如果ab(m)，xy(m)，则①ax(by)(m);②特别地。()abm(mod)abmby(m)ax(m)bakk例1：求使2n+1能被3整除的一切自然数n例2：求2999最后两位数码P252210mod321mod3,21mod3,2(1)mod3nnnn故n为奇数时,成立9992(mod100)考虑同余方程设是整系数多项式，m是正整数，称f(x)0(modm)(8-4)是关于未知数x的模m的同余方程，简称为模m的同余方程。若则称式(8-4)为n次同余方程同余方程的解设x0是整数，当x＝x0时式(8-4)成立，则称x0是同余方程(8-4)的解。凡对于模m同余的解，被视为同一个解，最多m个解。01)(axaxaxfnnna)(mod0m一次同余方程设a，b为整数，且，a0modm，则称同余方程axb(modm)(8-5)为一次同余方程。定义7设a1,a2,…,an是非零整数，b是整数，称关于未知数x1,x2,…,xn的方程a1x1+a2x2+…+anxn=b是n元一次不定方程。定理3一次同余方程有解的充要条件是gcd(a,m)|b。若有解，则恰有d=gcd(a，m)个解。一次同余方程的求解步骤步骤1：求gcd(a，m)；P252改错步骤2：令d=gcd(a，m)，如果db，则式(8-5)无解，算法结束；如果,则转步骤3；步骤3：根据欧几里德公式的推广，求出式(8-5)的一个解x0。步骤3-1：根据欧几里德公式的推广算法求得满足ax'+my'=d的x'，y'；具体方法：将ax'+my'=d变形可得到：ax'=d-my'(8-8)式（8-8）两边同时模m得：(8-9)可见，x'是一次同余方程(8-9)的解。步骤3-2：根据x'求x0。具体方法：由于，设，则根据同余式的性质得：即：。因此，x0=px'=x'(modm)。步骤4：根据(8-7)式可得(8-5)式的其它d-1个解为，i=1,2,…,d-1。算法结束。bdm)d(modax'bddbpm)dp(mod)a(px'm)b(mod)a(px'dbm))(moddim(xx0i量水有三个分别装有a升水，b升水和c升水的量筒(gcd(a,b)=1，c＞b＞a0)。现c筒装满水，问能否在c简中量出d升水(cd0)。若能，请列出一种方案。算法分析：量水过程实际上就是倒来倒去，每次倒的时候总有如下几个特点：总有一个筒中的水没有变动；不是一个筒被倒满就是另一个筒被倒光；c筒仅起中转作用。而本身容积除了必须足够装下a筒和b筒的全部水外，别无其它限制。通过上述分析知：问题实质上是将a筒倒满x次，b筒倒满y次，使得总结果有ax十by＝d(8-10)设a＝3，b＝7，c＝10，求x,y8.3同余方程组若数r同时满足n个同余方程：，则r称为这n个同余方程组成的同余方程组的解)m(modax)m(modax)m(modaxnn2211n,1,2,k),m0(mod(x)fkk定理对同余方程组记，其中，表示m1和m2的最小公倍数。①若d(a1-a2)，则此同余方程组无解；②若d|(a1-a2)，则此同余方程组有对模M的一类剩余解。中国剩余定理（即孙子定理）设是两两互质的正整数，记M=，则同余方程组).m(modax),m(modax2211M]m,[md,)m,gcd(m2121]m,[m21n21m,,m,m2,nn1iiiin),1,2,(imMM,m例：早在几千年前中国的一本《孙子算经》就已经提及这个问题的解法了，原文为：“今有物，不知其数，三三数之，剩二；五五数之，剩三；七七数之，剩二，问物几何？”答曰：“二十三”。P256)m(modax)m(modax)m(modaxnn2211n1i'iiiM)(modMMax''iiiijiMM1(modm),MM0(mod),i1,2,,n,1jnmji且有对模M的唯一解其中RSA公开密钥算法1976年，Diffic,Hellman发表“密码学的新方向”，开创性提出公开密钥密码（双钥密码）体制，双钥密码系统中每人拥有两个密钥由e推d是一个难解的问题，但他们没给出一个可行算法。1978年，Rivest,Shamir,Adleman（数学家）根据数论理论提出了一种构造双钥密码的方法——现代密码学（RSA，同时提出DES单钥密码）。::ed公钥,用于加密私钥,用于解密应当注意任何加密方法的安全性取决于密钥的安全性，以及攻破密文所需的计算量。在这方面，公开密钥密码体制并不具有比传统加密体制更加优越之处。由于目前公开密钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公开密钥还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更为简单。加密和解密算法都是公开的。RSA公开密钥算法RSA公开密钥密码体制所根据的原理：根据数论，寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。每个用户有两个密钥：加密密钥PK{e,n}和解密密钥SK{d,n}。用户把加密密钥公开，使得系统中任何其他用户都可使用，而对解密密钥中的d则保密。n为两个大素数p和q之积（素数p和q一般为100位以上的十进数），e和d满足一定的关系。当敌手已知e和n时并不能求出d。RSA算法设计②计算φ(n)。计算出n的欧拉函数φ(n)=（p-1）（q-1），φ(n)是不超过n并与n互素的数的个数。③选择e。用户从[0,φ(n)-1]中随机选择一个与φ(n)互素的数e作为公开的加密密钥。④计算d。计算出满足下式的d，ed=1modφ(n)作为解密密钥。⑤得出所需要的公开密钥和秘密密钥：公开密钥（即加密密钥）PK{e,n}秘密密钥（即解密密钥）SK{d,n}①计算n。秘密地选择两个大素数p和q，n=pq。n称为RSA算法的模数。例φ(12)=4：小于或等于12且与12互质的数有4个：1，5，7，11。加密和解密运算若用整数X表示明文，用整数Y表示密文（X和Y均小于n），则加密和解密运算为：加密算法加密：Y=Xemodn解密算法解密：X=YdmodnRSA运算量大，主要用于数字签名，而不用于信息加密。RSA算法举例①设选择了两个素数，p=7，q=17。②计算出n=p*q=7×17=119③计算出φ=(p-1)*(q-1)=(7-1)(17-1)=96。④从[0,95]中选择一个与96互素的数e。选e=5。⑤计算d：得5*d=1mod96解出d。不难得出，d=77,因为e*d=5×77=385=4×96+1=1mod96。ＲＳＡ：公开密钥PK={e,n}={5,119}，秘密密钥SK={d,n}={77,119}。RSA算法举例19==20807119771.27...10119140及余数66明文19公开密钥={5,119}加密52476099密文6666==1.0610秘密密钥={77,119}解密及余数19明文19138模n求逆——改进的Eudid算法已知e,φ(n)，求d。（ed=1modφ(n)）Step1、n1←φ(n),n2←e,b1←0,b2←1Step2、q←int(n1/n2),x←n1-q*nStep3、ifx≠0thenn1←n2,n2←x,t←b2,b2←b1-q*b2,b1←t,gotostep2Step4、ifn2≠1then┐e,elsed←b2modφ(n)模n求逆——参考程序functiond=Euclid(e,r)%de=mod(1,r)n1=r;n2=e;b1=0;b2=1;while1q=fix(n1/n2);x=n1-q*n2;ifx==0,breakelsen1=n2;n2=x;t=b2;b2=b1-q*b2;b1=t;endendifn2==1,d=mod(b2,r)elsex=‘逆元不存在!'end模n的大数幂乘快速算法RSA需进行xrmodn运算，当x,r很大时，慢且可能溢出，下面介绍幂乘快速算法：Step1、a←x,b←r,c←1Step2、ifb=0,thenoutputc,endStep3、ifbmod2≠0,gotostep5S