Проблема квадратичной невязкости

Проблема квадратичной невязкости ( QRP ^[1] ) в вычислительной теории чисел состоит в том, чтобы решить, по заданным целым числам и , является ли квадратичный вычет по модулю или нет. Здесь для двух неизвестных простых чисел и , и входит в число чисел, которые не являются явно квадратичными невычетами (см. ниже). $а$ $N$ $а$ $N$ $N=p_{1}p_{2}$ $p_{1}$ $p_{2}$ $а$

Проблема была впервые описана Гауссом в его Disquisitiones Arithmeticae в 1801 году. Считается, что эта проблема сложна в вычислительном отношении . Некоторые криптографические методы полагаются на его надежность , см. § Приложения.

Эффективный алгоритм решения квадратичной проблемы невязкости немедленно подразумевает эффективные алгоритмы для других задач теории чисел , таких как определение того, является ли композиция неизвестной факторизации произведением 2 или 3 простых чисел. ^[2] $N$

Точная формулировка

Учитывая целые числа и , называется квадратичным вычетом по модулю, если существует целое число такое, что $а$ $Т$ $а$ $Т$ $б$

a\equiv b^{2}{\pmod {T}}

В противном случае мы говорим, что это квадратичный невычет. Когда является простым числом, принято использовать символ Лежандра : ${\ displaystyle T = p}$

\left({\frac {a}{p}}\right)={\begin{cases}1&{\text{ if }}a{\text{ является квадратичным вычетом по модулю }}p{\text { и }}a\not \equiv 0{\pmod {p}},\\-1&{\text{, если }}a{\text{ является квадратичным без вычета по модулю }}p,\\0&{\ text{ if }}a\equiv 0{\pmod {p}}.\end{cases}}

Это мультипликативный символ , который означает ровно для всех значений и для остальных. ${\big (}{\tfrac {a}{p}}{\big)}=1$ $(p-1)/2$ $1,\ldots,p-1$ $-1$

Это легко вычислить, используя закон квадратичной взаимности , аналогичный алгоритму Евклида ; см. символ Лежандра .

Рассмотрим теперь некоторые данные, где и — два разных неизвестных простых числа. Данное является квадратичным вычетом по модулю тогда и только тогда, когда является квадратичным вычетом по модулю и и и . $N=p_{1}p_{2}$ $p_{1}$ $p_{2}$ $а$ $N$ $а$ $p_{1}$ $p_{2}$ $\gcd(a,N)=1$

Поскольку мы не знаем или , мы не можем вычислить и . Однако их произведение легко вычислить. Это известно как символ Якоби : $p_{1}$ $p_{2}$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}$ ${\big (}{\tfrac {a}{p_{2}}}{\big)}$

\left({\frac {a}{N}}\right)=\left({\frac {a}{p_{1}}}\right)\left({\frac {a}{p_ {2}}}\вправо)

Это также можно эффективно вычислить , используя закон квадратичной взаимности для символов Якоби.

Однако мы не можем во всех случаях сказать нам, является ли вычет квадратичным по модулю или нет! Точнее, if then обязательно является квадратичным невычетом по модулю либо или , и в этом случае мы закончили. Но если тогда это либо случай, который является квадратичным вычетом по модулю обоих и , либо квадратичным невычетом по модулю обоих и . Мы не можем отличить эти случаи от знания именно этого . ${\big (}{\tfrac {a}{N}}{\big)}$ $а$ $N$ ${\big (}{\tfrac {a}{N}}{\big)}=-1$ $а$ $p_{1}$ $p_{2}$ ${\big (}{\tfrac {a}{N}}{\big)}=1$ $а$ $p_{1}$ $p_{2}$ $p_{1}$ $p_{2}$ ${\big (}{\tfrac {a}{N}}{\big)}=1$

Это приводит к точной формулировке проблемы квадратичного вычета:

Задача: Учитывая целые числа и , где и — различные неизвестные простые числа, и где , определить, является ли квадратичный вычет по модулю или нет. $а$ $N=p_{1}p_{2}$ $p_{1}$ $p_{2}$ ${\big (}{\tfrac {a}{N}}{\big)}=1$ $а$ $N$

Распределение остатков

Если рисуется равномерно случайным образом из таких целых чисел, что , чаще всего является квадратичным вычетом или квадратичным невычетом по модулю ? $а$ $0,\ldots,N-1$ ${\big (}{\tfrac {a}{N}}{\big)}=1$ $а$ $N$

Как упоминалось ранее, ровно для половины вариантов , тогда , а для остальных имеем . В более широком смысле это справедливо и для половины вариантов выбора . Аналогично для . Из базовой алгебры следует, что это разбивается на 4 части одинакового размера, в зависимости от знака и . $a\in \{1,\ldots,p_{1}-1\}$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}=1$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}=-1$ $a\in \{1,\ldots,N-1\}\setminus p_{1}\mathbb {Z}$ $p_{2}$ $(\mathbb {Z} /N\mathbb {Z})^{\times }$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}$ ${\big (}{\tfrac {a}{p_{2}}}{\big)}$

Разрешенные в приведенной выше задаче о квадратичных вычетах составляют именно те две части, которые соответствуют случаям и . Следовательно, ровно половина из возможных являются квадратичными вычетами, а остальные — нет. $а$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}={\big (}{\tfrac {a}{p_{2}}}{\big)} =1$ ${\big (}{\tfrac {a}{p_{1}}}{\big)}={\big (}{\tfrac {a}{p_{2}}}{\big)} =-1$ $а$

Приложения

Трудноразрешимость квадратичной проблемы невязкости является основой безопасности генератора псевдослучайных чисел Блюма Блюма Шуба . Это также дает открытый ключ криптосистемы Голдвассера-Микали , ^[3]^[4] , а также схему Кокса , основанную на идентификации .

Смотрите также

Проблема с более высоким остатком

Проблема квадратичной невязкости

Точная формулировка

Распределение остатков

Приложения

Смотрите также

Рекомендации