2차 잔류성 문제

계산 번호 이론의 2차 잔류도 문제(QRP^[1])는 $정수$가 ${\$$displaystyle a}$과(와$)$ $N{\displaystyle }$ {\$displaystyle N}$인지 아닌지를 결정하는 것이다$.$$displaystyle a}$이(가) 2차 잔류물 $모듈$로 N ${\displaystystyle N}$인지 여부를$$ 결정하는 것이다.여기서 $N{\displaystyle }$= ${\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$ ${\displaystyle {}_{}{}_{}}$ ${\displaystyle {2\mathrm{}}_{}}$ ${\$}${\displaystyle {p\_\mathrm{}}_{}}$${1$}$p\_{\displaystyle {}_{}}$${$2}}: 알려지지$$$$ 않은 두 프리타임 $p{\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$ ${\$$displaystyle$ $p_{2$ ${\displaystyle a}$는 분명히$$ 2차 비-resides가 아닌 숫자 중 하나이다(아래 참조).

이 문제는 1801년 가우스가 디스퀴즈 산수대에서 처음 설명한 것이다.이 문제는 계산적으로 어렵다고 여겨진다.몇 가지 암호화 방법은 경도에 의존한다(§ Applications 참조).

2차 잔류성 문제에 대한 효율적인 알고리즘은 알려지지 않은 인자화의 $복합$ N ${\displaystyle N}$이(가) 2, 3회 곱인지 결정하는 것과 같은 다른 숫자의 이론적 문제에 대한 효율적인 알고리즘을 즉시 암시한다.^[2]

정밀한 제형

정수 $a{\displaystyle }$ ${\displaystyle a}$ 및 $T$ ${\displaystyle T}$을(를) 고려할 때$,$ $다음$과 같은$$ $정수{\displaystyle }$ b ${\displaystyle$b}이(가) 있는 경우$$$${\$displaystyle$a}은 2차 잔류물 $모듈$로 T$${\$displaystytyty T}$이라고 한다$$.

${\displaystyle a}$ ${\displaystyle \equiv }$ ${\displaystyle {}^{}}$ ${\displaystyle {2\mathrm{}}^{}{}^{}}$(${\displaystyle \mathrm{모드}}$ ${\displaystyle T}$) ${\$

그렇지 않으면 우리는 그것이 2차적 비재앙이라고 말한다.$T{\displaystyle }$= ${\displaystyle p}$ ${\displaystyle T=p}$이(가) prime일 때는 다음과 같은 범례 기호를 사용하는 것이 관례다.

${\displaystyle \left({\frac {a}{p}}\right)={\begin{cases}1&{\text{ if }}a{\text{ is a quadratic residue modulo }}p{\text{ and }}a\not \equiv 0{\pmod {p}},\\-1&{\text{ if }}a{\text{ is a quadratic non-residue modulo }}p,\\0&{\text{ if }}a\equiv 0{\pmod {p}}.\end{case}}}$

This is a multiplicative character which means ${\displaystyle {\big (}{\tfrac {a}{p}}{\big )}=1}$ for exactly ${\displaystyle (p-1)/2}$ of the values ${\displaystyle 1,\ldots ,p-1}$, and it is ${\displaystyle -1}$ for the remaining.

유클리드 알고리즘과 유사한 방식으로 2차 상호주의 법칙을 사용하여 계산하기 쉽다. 레전드르 기호를 참조하십시오.

이제$$ 주어진 $N{\displaystyle }$= ${\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$ ${\displaystyle {p\mathrm{}}_{}}$ 2 ${\$ p 1 ${\$}p_{2}}: $p$ ${\displaystyle {1\mathrm{}}_{}}$ ${\$ 서로$$ 다른 알 수 없는 prime.$지정$된$${\$displaystyle$a}은(는) 2차 잔류물 $모듈$로$,$ 만약$$ ${\displaystyle a}$이(가) ${\displaystyle {2차\mathrm{}}_{}}$ 잔류물 모듈로 p $1{\displaystyle {}_{}}$ ${\$및$$ ${\displaystyle {p\mathrm{}}_{}}$ $2{\displaystyle {}_{}}$ ${\$}}인 경우에만 $해당$된다$.$

Since we don't know ${\displaystyle p_{1}}$ or ${\displaystyle p_{2}}$, we cannot compute ${\displaystyle {\big (}{\tfrac {a}{p_{1}}}{\big )}}$ and ${\displaystyle {\big (}{\tfrac {a}{p_{2}}}{\big )}}$. However, it is easy to compute their product.이것을 자코비 기호로 알려져 있다.

${\displaystyle \left({\frac {a}{{N}\오른쪽)=\좌측({\frac {a}{p_}}\우측)\좌측({\frac {a}{p_{2}}}\우측)}}$

이것은 또한 자코비 기호에 대한 이차적 상호주의 법칙을 사용하여 효율적으로 계산될 수 있다.

$그러나$${\displaystyle }$(${\displaystyle \frac{N}{}}$) ${\$이$($가) 2차적 잔류물 $모듈$로 N$${\$displaystyle$ N$}$인지 여부를$$ 모든 경우에 알려줄 수는$$ 없다!더 정확히 말하면$,{\displaystyle }$ (${\displaystyle \mathrm{N}}$)${\displaystyle }$=${\displaystyle }$- 1 ${\$$displaystyle$ ${\big (}{\tfrac {a}{{N}{\big )}-$1}이$($가) 같으면, ${\$$displaystyle$ $a$$}$은 ${\displaystyle {반드시\mathrm{}}_{}}$ 2차$$비 residue modulo이며$,$ 이 경우 ${\displaystyle {우리}_{}}$는 이 $과정$을 끝낸다$.$But if ${\displaystyle {\big (}{\tfrac {a}{N}}{\big )}=1}$ then it is either the case that ${\displaystyle a}$ is a quadratic residue modulo both ${\displaystyle p_{1}}$ and ${\displaystyle p_{2}}$, or a quadratic non-residue modulo both ${\displaystyle p_{1}}$ and $$${\displaystyle p_{}}$ ${\displaystyle {2\mathrm{}}_{}}$ ${\$ ${\displaystyle \mathrm{우리}}$는 단지${\displaystyle }$(${\displaystyle \frac{N}{}}$)${\displaystyle }$= 1 ${\displaystyle {\big (}{\tfrac {a}{N}{\big )}=$1}을$($를) 아는 것과 이러한 경우를 구별할 수 없다$.$

이는 2차 잔류물 문제의 정확한 형성으로 이어진다.

문제:Given integers ${\displaystyle a}$ and ${\displaystyle N=p_{1}p_{2}}$, where ${\displaystyle p_{1}}$ and ${\displaystyle p_{2}}$ are unknown, different primes, and where ${\displaystyle {\big (}{\tfrac {a}{N}}{\big )}=1}$, determine whether ${\disp$$레이스타일 a}$은(는) 2차 잔류물 $모듈$로 N ${\displaystyle N}$ 또는$$ not이다.

잔류물 분포

If ${\displaystyle a}$ is drawn uniformly at random from integers ${\displaystyle 0,\ldots ,N-1}$ such that ${\displaystyle {\big (}{\tfrac {a}{N}}{\big )}=1}$, is ${\displaystyle a}$ more often a quadratic residue or a quadratic non-residue modulo ${\displaystyle N}$?

As mentioned earlier, for exactly half of the choices of ${\displaystyle a\in \{1,\ldots ,p_{1}-1\}}$, then ${\displaystyle {\big (}{\tfrac {a}{p_{1}}}{\big )}=1}$, and for the rest we have ${\displaystyle {\big (}{\tfrac {a}{p_{1}}}{\big$$)}=-1}$. By extension, this also holds for half the choices of ${\displaystyle a\in \{1,\ldots ,N-1\}\setminus p_{1}\mathbb {Z} }$. Similarly for ${\displaystyle p_{2}}$. From basic algebra, it follows that this partitions ${\displaystyle (\mathbb {Z} /N\mathbb {Z$$}}^{\message$ $}}{\$}:{1$}{\big )}$ 및$$${\displaystyle }$(${\displaystyle \frac{{}_{}}{}}$ $){\$의 ${\displaystyle 기호}$에 따라 크기가 같은 4부분으로 구분$$.

The allowed ${\displaystyle a}$ in the quadratic residue problem given as above constitute exactly those two parts corresponding to the cases ${\displaystyle {\big (}{\tfrac {a}{p_{1}}}{\big )}={\big (}{\tfrac {a}{p_{2}}}{\big )}=1}$ and ${\displaystyle (\frac{a}{p_1})=}$${\displaystyle (\frac{{}_{}}{}}$ ${\displaystyle \frac{{2\mathrm{}}_{}}{}}$)${\displaystyle }$=${\displaystyle }$- 1 ${\displaystyle {\big (}{\tfrac {a}{p_{1}}{\big )}={\big (}{\tfrac {a}{p_2}}}{\big$ )=-$1.$ 따라서 $가능$한 ${\displaysty$ a$}$의 절반은 ${\displaystyle \mathrm{2차}}$ 잔류물이고$$ 나머지는 아니다$.$

적용들

2차 잔류성 문제의 난치성은 블럼 블럼 슈브 가성수 생성기의 보안성에 대한 기초가 된다.공개키인 골드워서-미칼리 암호체계도 산출한다.^[3][4]신원 기반 콕스 계획뿐 아니라

참고 항목

• 높은 잔류성 문제

참조