Вопрос 10 Квадратный корень по составному модулю (функция Рабина)

Специальный случай дискретного корня — квадратный корень в Z_n*. Рассмотрим функцию f: Z_n*Z_n*, f(x)=х ²; f(Z_n*)=QR_n — группа квадратичных вычетов по модулю п. Каждый квадратичный вычет может иметь несколько квадратных корней в Z_n . Если х — квадратный корень из у, то п-х — тоже квадратный корень из y.

Если р — простое число, то Z_p^* — циклическая группа. Элемент у  Z_p^* тогда и только тогда является квадратичным вычетом по модулю р, когда y = g^t, где g — образующий элемент Z_p^*, a t — четное. Эквивалентное условие формулируется через символ Лежандра (Якоби) . Значит, квадратичных вычетов вZ_p^* ровно половина и каждый из них имеет два квадратных корня:

Если к тому же p=4k+3, то — нечетно и ровно один из корней {x₀,x₁}является квадратичным вычетом (какой именно — зависит от четности t /2). Он называется главным квадратным корнем и равен x=y^(p+1)/4,

Поскольку QR_p — группа, y^(p+1)/4QR_p.Заметим, что при p4k+3 квадратный корень можно найти, если известно какое-нибудь tZ_p\QR_p (квадратичный невычет по модулю р). Пусть n=p₁...p_l — составное, при этом простые делители p_i различны и разложение п известно. В этом случае у  QR_n тогда и только тогда, когда для любого i справедливо у_i=у mod p_i  QR_pi . При этом можно найти набор x_i Z_pi* таких, что х_i² y_i (mod p_i), и скомбинировать из них с помощью теоремы 3.1 х  Z_n* — квадратный корень из у.

Теорема Китайская теорема об остатках.

Если n=n₁n₂…n_k, n_iвзаимно просты, то кольцоZ_n можно представить в виде прямой суммы колецZ_ni.

Группа QR_n содержит (n) 2^-l элементов, где (n) — функция Эйлера, количество элементов в Z_n*. Каждый элемент из QR_n имеет 2^l квадратных корней.

Определение, n — число Блума (или Блама, В1ит), если п=р₁ ...р_l, p_i — различные простые числа, и для всех i выполнено p_i mod 4=3.

Для любого у  QR_n , где п — число Блума, ровно один из квадратных корней из у, а именно тот, для которого все x_i  QR_n, сам является квадратичным вычетом и называется главным квадратным корнем из у.

Теорема. Если n=pq, p и q — различные простые числа, то умение вычислять квадратный корень по модулю n позволяет разложить n на множители.

Доказательство. Пусть имеется полиномиальный алгоритм вычисления требуемого квадратного корня по модулю п. Построим вероятностный полиномиальный алгоритм разложения n на множители.

Имеется в виду, что наш алгоритм будет иметь доступ к некоторому источнику случайности и среднее время его работы будет ограничено (log₂n)^c для некоторой константы с. Дня любой константы d можно модифицироватьалгоритм так, чтобы он всегда завершался за время (log₂n)^c для некоторой константы с и выдавал правильный ответ с вероятностью не меньше

l-(log₂n)^-d

1. Выбрать случайно .

2. Найти х₁ —квадратный корень из х₀².

3. Если x₀+x₁0(modn) или x₀-x₁0(modn), повторить попытку, начиная с шага 1. Поскольку х₀² имеет четыре квадратных корня и два из них подходят, вероятность удачного выбора x₀ ограничена снизу константой, не зависящей от п.

4. Положим a= x₀+x₁, b=x₀-x_{1 .}Отметим, что ab=x_Q²-x₁²0 (mod n), ab=kpq в Z, a0(mod n), b0 (mod n). Значит, a=k₀p, b=k_lq (либо наоборот).

5. Найти р и q с помощью алгоритма Евклида как наибольшие общие делители а или b и n.

Теорема. Если n — число Блума и факторизация трудновычислима, то операция возведения в квадрат по модулю р является односторонней перестановкой QR_n.

Доказательствопредставляет собой обобщение изложенного выше.

Более того, утверждается, что, не зная разложения п на множители, трудно вычислить даже младший бит квадратного корня. Имеется в виду, что если существует вероятностный полиномиальный алгоритм для угадывания этого бита с вероятностью, не меньшей ½+q(log₂ n)^-1 , где q — многочлен, то существует такой алгоритм и для разложения числа Блума на множители.

Функцией Рабина (Rabiri) называется функция возведения в квадрат по модулю n=pq, где р и q — простые числа. Чтобы затруднить факторизацию, накладывается дополнительное условие, что р и q состоят каждое из (log₂ n)/2 битов.[1]