cryptography_tutorial

第一章：数学基础

开篇段落

密码学的安全性建立在坚实的数学基础之上。本章将介绍现代密码学所依赖的核心数学概念：群论、环论、有限域理论以及数论中的关键算法。作为资深程序员和AI科学家，您已具备必要的数学素养，本章将重点阐述这些数学工具在密码学中的特定应用和安全性含义。

学习目标：

掌握群、环、域的代数结构及其在密码学中的作用
理解模运算的性质和高效计算方法
熟练运用扩展欧几里得算法和中国剩余定理
建立密码学安全性分析的数学直觉

历史视角：从古希腊欧几里得的《几何原本》中的辗转相除法，到中国古代数学家在《孙子算经》中提出的”韩信点兵”问题（中国剩余定理的雏形），再到现代Peter Shor量子算法对数论困难性问题的颠覆，数学始终是密码学发展的原动力。

1.1 群论基础

1.1.1 群的定义与性质

定义1.1：设$G$是一个非空集合，$\cdot$是$G$上的二元运算。如果$(G, \cdot)$满足以下四个条件，则称$(G, \cdot)$为群：

封闭性：$\forall a, b \in G$，有$a \cdot b \in G$
结合律：$\forall a, b, c \in G$，有$(a \cdot b) \cdot c = a \cdot (b \cdot c)$
单位元：$\exists e \in G$，使得$\forall a \in G$，有$e \cdot a = a \cdot e = a$
逆元：$\forall a \in G$，$\exists a^{-1} \in G$，使得$a \cdot a^{-1} = a^{-1} \cdot a = e$

深层理解：群的公理看似简单，但蕴含深刻的数学结构。封闭性保证运算的自洽性，结合律允许我们忽略括号的位置，单位元和逆元则赋予群”可逆性”——这正是密码学中”加密-解密”操作的数学抽象。

群论的认知层次：

代数层面：群是满足四个公理的代数系统
几何层面：群作用描述对称性和变换
密码层面：群运算提供可逆性保证，困难性假设基于群结构

结构定理的深入含义：群的分类定理表明，每个有限阿贝尔群都可以分解为循环群的直积： $G \cong \mathbb{Z}_{n_1} \times \mathbb{Z}_{n_2} \times \cdots \times \mathbb{Z}_{n_k}$ 其中$n_i | n_{i+1}$。这一分解在密码学中有重要意义：

RSA群结构：$\mathbb{Z}n^* \cong \mathbb{Z}{p-1} \times \mathbb{Z}_{q-1}$（当$n=pq$为两个不同素数之积）
椭圆曲线群：当曲线具有特殊性质时，可能存在子群分解，影响安全性

经典示例：

$(\mathbb{Z}, +)$：整数加法群，单位元为0，$a$的逆元为$-a$
$(\mathbb{Z}_n^, \cdot)$：模$n$乘法群，其中$\mathbb{Z}_n^ = {a \in \mathbb{Z}_n : \gcd(a,n) = 1}$
$(S_n, \circ)$：$n$元对称群，所有$n$元置换的集合
椭圆曲线点群：$(E(\mathbb{F}_p), +)$，椭圆曲线密码学的基础

非群结构的反例：

$(\mathbb{N}, +)$：缺少加法逆元（除了0）
$(\mathbb{Z}, \cdot)$：大部分元素缺少乘法逆元
$(\mathbb{Z}_n, \cdot)$：当$n$不是素数时，存在零因子

群同态的密码学意义：群同态$f: G_1 \to G_2$满足$f(ab) = f(a)f(b)$，它在密码学中体现为”结构保持的映射”。例如，离散对数函数$\log_g: \langle g \rangle \to \mathbb{Z}_q$是群同态，这正是Diffie-Hellman密钥交换协议安全性的数学基础。

同态定理的应用：第一同态定理：$G/\ker(f) \cong \text{Im}(f)$，在密码学中有以下含义：

核的安全性：$\ker(f)$描述了”信息丢失”的程度
像的结构：$\text{Im}(f)$决定了密码系统的安全边界
商群解释：攻击者实际面对的是商群结构，而非原群

同构类与安全性等价：两个群$G_1 \cong G_2$在密码学意义下安全性等价，但具体表示影响实现效率：

$\mathbb{Z}p^* \cong C{p-1}$：乘法群与循环群同构
椭圆曲线群$E(\mathbb{F}_p) \cong \mathbb{Z}_n$（当群阶为素数$n$时）

1.1.2 群的阶与拉格朗日定理

定义1.2：群$G$的阶记为$

$，是$G$中元素的个数。元素$a \in G$的阶记为$\text{ord}(a)$，是使得$a^k = e$成立的最小正整数$k$。

拉格朗日定理：设$G$是有限群，$H$是$G$的子群，则$

$整除$

$。

证明思路：通过左陪集分解$G = \bigcup_{i} a_i H$，每个陪集与$H$等势，得到$

= [G:H] \cdot

$。

推论1.1：对于有限群$G$中的任意元素$a$，有$\text{ord}(a)$整除$

$，且$a^{

} = e$。

深入分析：拉格朗日定理的逆命题不成立——阶整除$

$的数未必对应某个子群的阶。例如，交替群$A_4$的阶为12，但不存在阶为6的子群。

拉格朗日定理的深层含义：

轨道-稳定子定理：对于群作用$G \times X \to X$，有$

\text{Orb}(x)

\cdot

\text{Stab}(x)

Burnside引理：$ X/G = \frac{1}{ G } \sum_{g \in G} X^g $（计算轨道数）
密码学应用：群作用分析有助于理解密码系统的对称性质

子群格理论：有限群的所有子群形成格结构（偏序集），拉格朗日定理限制了这个格的形状：

素数阶群只有平凡子群
$p^n$阶群（$p$为素数）有丰富的子群结构
非平凡子群的存在性与Sylow定理相关

示例：考虑群 Z₇* = {1, 2, 3, 4, 5, 6}
|Z₇*| = 6 = 2 × 3

元素的阶（验证拉格朗日定理）：
ord(1) = 1 | 6  ✓
ord(2) = 3 | 6  ✓  (2¹ ≡ 2, 2² ≡ 4, 2³ ≡ 1 mod 7)
ord(3) = 6 | 6  ✓  (原根，生成整个群)
ord(4) = 3 | 6  ✓  (注意 4 ≡ 2² mod 7)
ord(5) = 6 | 6  ✓  (另一个原根)
ord(6) = 2 | 6  ✓  (6 ≡ -1 mod 7)

子群结构：
⟨1⟩ = {1}           |⟨1⟩| = 1
⟨6⟩ = {1, 6}        |⟨6⟩| = 2
⟨2⟩ = {1, 2, 4}     |⟨2⟩| = 3
⟨3⟩ = Z₇*           |⟨3⟩| = 6

密码学意义：

安全参数选择：群的阶直接决定暴力攻击的复杂度。椭圆曲线群的阶应约为$2^{256}$以抵抗当前计算能力
子群攻击防护：某些椭圆曲线存在小阶点，可能导致子群限制攻击，需要选择素数阶或近素数阶的曲线
Pohlig-Hellman攻击：当群的阶有小素因子时，离散对数问题可分解为小子群中的问题，大大降低困难性

经验法则：在选择密码学群时，优先考虑素数阶群或阶为2×大素数的群，避免光滑数（有很多小素因子的数）作为群的阶。

1.1.3 循环群与生成元

定义1.3：如果群$G$中存在元素$g$，使得$G = {g^k : k \in \mathbb{Z}}$，则称$G$为循环群，$g$称为$G$的生成元或原根。

基本性质：

循环群都是阿贝尔群（交换群）
阶为$n$的循环群恰有$\phi(n)$个生成元
循环群的每个子群也是循环群
阶为$n$的循环群同构于$\mathbb{Z}_n$

定理1.1：每个阶为素数$p$的群都是循环群。

证明要点：设$

= p$为素数，取$G$中任一非单位元$g$。由拉格朗日定理，$\text{ord}(g)$整除$p$，故$\text{ord}(g) \in {1, p}$。因$g \neq e$，必有$\text{ord}(g) = p$，即$g$生成整个群。

生成元的判定算法：对于$\mathbb{Z}_p^*$，$g$是原根当且仅当： $\forall q \mid (p-1), q \text{为素数} \Rightarrow g^{(p-1)/q} \not\equiv 1 \pmod{p}$

实例：判断3是否为 Z₁₃* 的原根
p-1 = 12 = 2² × 3
素因子：2, 3

检验：
3^(12/2) = 3⁶ ≡ 1 (mod 13)  ✗

因此3不是原根。继续检验2：
2^(12/2) = 2⁶ ≡ 12 ≡ -1 ≢ 1 (mod 13)  ✓
2^(12/3) = 2⁴ ≡ 3 ≢ 1 (mod 13)  ✓

因此2是 Z₁₃* 的原根。

生成元密度定理：对于素数$p$，$\mathbb{Z}_p^*$中大约有$\phi(p-1)$个原根，密度约为$\phi(p-1)/(p-1)$。当$p-1$有许多不同素因子时，原根相对稀少。

循环群的结构定理：

对每个正整数$n$，恰有一个（同构意义下）阶为$n$的循环群
无限循环群都同构于$(\mathbb{Z}, +)$
有限循环群$C_n$同构于$(\mathbb{Z}_n, +)$

密码学中的应用：

Diffie-Hellman协议：基于循环群$\langle g \rangle$中的离散对数困难性
DSA签名：选择素数$q$和$p$使得$q (p-1)$，在$\mathbb{Z}_p^*$的$q$阶子群中操作
椭圆曲线群：虽然加法记号，但仍是循环群结构（当阶为素数时）

原根存在性的完整刻画： $\mathbb{Z}_n^*$是循环群当且仅当$n \in {1, 2, 4, p^k, 2p^k}$，其中$p$为奇素数，$k \geq 1$。

深层定理分析：这一结果的证明涉及有限阿贝尔群的结构理论：

素数幂情况：$\mathbb{Z}{p^k}^* \cong \mathbb{Z}{p^{k-1}(p-1)}$是循环群
合数情况：当$n$有两个不同奇素因子时，$\mathbb{Z}_n^*$不是循环群
2的幂次：$\mathbb{Z}{2^k}^* \cong \mathbb{Z}_2 \times \mathbb{Z}{2^{k-2}}$（$k \geq 3$），非循环

高级构造方法：

升提引理：若$g$是$\mathbb{Z}p^*$的原根，则$g$或$g+p$是$\mathbb{Z}{p^2}^*$的原根
Hensel提升：将$\bmod p$的原根提升到$\bmod p^k$
乘性性质：$\phi(\phi(n))$给出”二阶”欧拉函数的递归结构

数论函数的深入联系： $\sum_{d|n} \phi(d) = n \quad \text{（欧拉函数的性质）}$ $\prod_{p|n} \left(1 - \frac{1}{p}\right) = \frac{\phi(n)}{n} \quad \text{（素因子密度）}$

实用建议：

在实现中，可预先计算并存储常用素数的原根
对于椭圆曲线，选择近素数阶避免子群结构攻击
在需要快速原根查找时，可使用Miller测试的变种

1.2 环论与域论

1.2.1 环的结构

定义1.4：设$R$是非空集合，定义了两个二元运算$+$和$\cdot$。如果$(R, +, \cdot)$满足：

$(R, +)$是阿贝尔群
$\cdot$运算满足结合律
分配律：$a \cdot (b + c) = a \cdot b + a \cdot c$，$(a + b) \cdot c = a \cdot c + b \cdot c$

则称$(R, +, \cdot)$为环。

层次化理解：环在群的基础上增加了第二个运算，形成了更丰富的代数结构：

群：一个运算 + 四个公理
环：两个运算 + 分配律连接
域：环 + 乘法可逆性

环的深层结构：环论的核心在于研究两个运算之间的相互作用。分配律不仅是定义条件，更揭示了乘法对加法的”线性性”： $a \cdot (b_1 + b_2 + \cdots + b_n) = a \cdot b_1 + a \cdot b_2 + \cdots + a \cdot b_n$

这种线性性在密码学中体现为：

同态性质：加密函数$E_k(m_1 + m_2) = E_k(m_1) \oplus E_k(m_2)$（某些场景下）
线性攻击：利用密码算法的线性性质进行分析

环的分类：

交换环：乘法满足交换律，如$\mathbb{Z}, \mathbb{Z}_n, \mathbb{F}[x]$
含幺环：存在乘法单位元$1$，大多数密码学应用涉及含幺环
整环：无零因子的交换含幺环，即$ab = 0 \Rightarrow a = 0 \text{ 或 } b = 0$
主理想整环：每个理想都是主理想，如$\mathbb{Z}, \mathbb{F}[x]$

重要实例与密码学应用：

$\mathbb{Z}_n$：模$n$整数环，RSA等算法的基础
$\mathbb{Z}[x]$：整系数多项式环，格密码中的多项式运算
$\mathbb{F}_p[x]$：有限域上多项式环，AES的S盒构造
$\mathbb{Z}_n[x]/(f(x))$：商环结构，NTRU密码系统

零因子与单位：在环$\mathbb{Z}_{12}$中：

零因子：3 × 4 = 0, 3 × 8 = 0, 6 × 2 = 0
单位：1, 5, 7, 11 (与12互素的元素)
幂零元：6² = 0 (mod 12)

理想与商环：理想$I \triangleleft R$是吸收乘法的加法子群。商环$R/I$在密码学中用于：

多项式模约简：$\mathbb{F}_2[x]/(x^8 + x^4 + x^3 + x + 1)$ (AES不可约多项式)
格密码：$\mathbb{Z}[x]/(x^n + 1)$ (NTRU, Ring-LWE)

理想的分类与性质：

主理想：$(a) = {ra : r \in R}$，由单个元素生成
极大理想：$M \triangleleft R$是极大理想当且仅当$R/M$是域
素理想：$P \triangleleft R$是素理想当且仅当$R/P$是整环

密码学中的理想应用：

AES多项式模约简：在$\mathbb{F}_{2^8} = \mathbb{F}_2[x]/(m(x))$中，$m(x) = x^8 + x^4 + x^3 + x + 1$
NTRU公钥密码：基于环$\mathbb{Z}[x]/(x^N - 1)$，选择$N$为素数避免子环攻击
Ring-LWE：在环$R_q = \mathbb{Z}_q[x]/(\Phi_n(x))$中，$\Phi_n(x)$是分圆多项式

诺特环理论：环$R$是诺特环当且仅当每个理想都是有限生成的。这保证了：

升链条件：理想的升链必终止
希尔伯特基定理：若$R$是诺特环，则$R[x]$也是诺特环
密码应用：确保多项式计算的终止性

环同态的重要性：环同态$\phi: R_1 \to R_2$保持两种运算：

$\phi(a + b) = \phi(a) + \phi(b)$
$\phi(a \cdot b) = \phi(a) \cdot \phi(b)$

中国剩余定理的环论形式： $\mathbb{Z}_n \cong \mathbb{Z}_{n_1} \times \mathbb{Z}_{n_2} \times \cdots \times \mathbb{Z}_{n_k}$ 当$n = n_1 n_2 \cdots n_k$且$\gcd(n_i, n_j) = 1$。

1.2.2 域的性质

定义1.5：域是每个非零元都有乘法逆元的交换环。

域的基本性质：

域无零因子：$ab = 0 \Rightarrow a = 0 \text{ 或 } b = 0$
域的特征为0或素数$p$
有限域的阶必为素数幂：$ \mathbb{F} = p^n$
域的乘法群$\mathbb{F}^*$是循环群

有限域基本定理：

对于每个素数幂$q = p^n$，存在唯一的（同构意义下）阶为$q$的有限域，记为$\mathbb{F}_q$或$\text{GF}(q)$
有限域的阶必须是素数幂
$\mathbb{F}_{p^n}$可通过$\mathbb{F}_p[x]$模不可约多项式构造

存在性与唯一性的深入理解：

存在性证明思路：考虑多项式$f(x) = x^{p^n} - x$在$\mathbb{F}p$的代数闭包中的分裂域。此域恰好包含$p^n$个根，形成有限域$\mathbb{F}{p^n}$。

唯一性的群论证明：若$\mathbb{F}$和$\mathbb{F}’$都是$p^n$阶有限域，则：

两者的加法群都同构于$(\mathbb{Z}_p)^n$
两者的乘法群都是$p^n-1$阶循环群
由代数扩张理论，存在唯一的域同构

特征的重要性：域的特征$\text{char}(\mathbb{F})$要么是0（无限域），要么是素数$p$： $\text{char}(\mathbb{F}) = \min\{n \in \mathbb{N}^+ : n \cdot 1_{\mathbb{F}} = 0_{\mathbb{F}}\}$

在有限域中，特征$p$导致了重要性质：

$(a + b)^p = a^p + b^p$（二项式定理在特征$p$中的简化）
Frobenius映射$\phi(x) = x^p$是域自同态

构造方法：

素域：$\mathbb{F}_p = \mathbb{Z}_p$，直接模素数构造
扩域：$\mathbb{F}_{p^n} = \mathbb{F}_p[x]/(f(x))$，其中$f(x)$是$\mathbb{F}_p$上$n$次不可约多项式

构造示例：$\mathbb{F}_4 = \mathbb{F}_2[x]/(x^2 + x + 1)$

元素表示：${0, 1, x, x+1}$，其中$x^2 + x + 1 = 0$，即$x^2 = x + 1$

运算表：

+  | 0   1   x   x+1     ×  | 0   1   x   x+1
---|----------------     ---|----------------
0  | 0   1   x   x+1     0  | 0   0   0    0
1  | 1   0  x+1   x      1  | 0   1   x   x+1
x  | x  x+1  0    1      x  | 0   x  x+1   1
x+1|x+1  x   1    0      x+1| 0  x+1  1    x

扩域的代数结构：

$\mathbb{F}_{2^8}$：AES中的字节运算域
$\mathbb{F}_{2^{128}}$：GCM认证加密的基础
$\mathbb{F}_{p^2}$：椭圆曲线的二次扩域

有限域上的多项式分解：在$\mathbb{F}q$上，$x^q - x = \prod{\alpha \in \mathbb{F}_q} (x - \alpha)$

Frobenius自同态： $\phi: \mathbb{F}{p^n} \to \mathbb{F}{p^n}, \phi(x) = x^p$ 具有性质：$\phi(x + y) = \phi(x) + \phi(y), \phi(xy) = \phi(x)\phi(y)$

Frobenius映射的深层性质：

周期性：$\phi^n = \text{id}$，即$\phi$的$n$次幂是恒等映射
生成Galois群：$\text{Gal}(\mathbb{F}_{p^n}/\mathbb{F}_p) = \langle \phi \rangle \cong \mathbb{Z}_n$
多项式分解：$x^{p^n} - x = \prod_{\alpha \in \mathbb{F}_{p^n}} (x - \alpha)$

密码学中的Frobenius应用：

椭圆曲线点计数：Schoof算法利用Frobenius迹计算椭圆曲线的阶
配对密码学：扭曲映射与Frobenius映射相关
多项式因式分解：利用Frobenius映射的周期性进行因式分解

高级扩域理论：对于$\mathbb{F}_{p^n}$中的元素$\alpha$，其极小多项式的次数整除$n$： $\text{deg}(\text{min}_{\mathbb{F}_p}(\alpha)) \mid n$

这直接影响：

子域结构：$\mathbb{F}{p^d} \subset \mathbb{F}{p^n} \Leftrightarrow d \mid n$
扩张塔：$[\mathbb{F}{p^n} : \mathbb{F}{p^d}] = n/d$

本原多项式与线性反馈移位寄存器： $f(x) \in \mathbb{F}2[x]$是本原多项式当且仅当$f(x)$在$\mathbb{F}{2^n}$中的根是本原元。这直接应用于流密码的LFSR设计：

例：f(x) = x⁴ + x + 1 是 F₂ 上的本原多项式
LFSR序列：0001, 0010, 0100, 1001, 0011, 0110, 1100, 1001, ...
周期为 2⁴ - 1 = 15

有限域算术的实现优化：

查表法：预计算乘法表，适用于小扩域如$\mathbb{F}_{2^8}$
正规基表示：简化Frobenius运算，用于椭圆曲线密码
多项式基表示：标准表示，便于软件实现

密码学中的应用场景：

AES S盒：基于$\mathbb{F}_{2^8}$的乘法逆元运算
椭圆曲线：定义在有限域$\mathbb{F}p$或$\mathbb{F}{2^m}$上
纠错码：Reed-Solomon码基于有限域运算
秘密共享：Shamir方案在$\mathbb{F}_q$上进行多项式插值

1.3 模运算理论

1.3.1 同余关系与模运算

定义1.6：设$n \in \mathbb{Z}^+$，对于整数$a, b$，如果$n

(a-b)$，则称$a$与$b$模$n$同余，记作$a \equiv b \pmod{n}$。

模运算基本性质：

自反性：$a \equiv a \pmod{n}$
对称性：$a \equiv b \pmod{n} \Rightarrow b \equiv a \pmod{n}$
传递性：$a \equiv b \pmod{n}, b \equiv c \pmod{n} \Rightarrow a \equiv c \pmod{n}$
运算相容性：
- $a \equiv b \pmod{n} \Rightarrow a + c \equiv b + c \pmod{n}$
- $a \equiv b \pmod{n} \Rightarrow ac \equiv bc \pmod{n}$

模运算的深层数学结构：

同余关系实际上是$\mathbb{Z}$上的一个等价关系，它将整数划分为$n$个等价类： $\mathbb{Z}/n\mathbb{Z} = \{[0], [1], [2], \ldots, [n-1]\}$

等价类的运算定义：

$[a] + [b] = [a + b]$
$[a] \cdot [b] = [a \cdot b]$

这些运算的良定义性（well-defined）是模运算理论的基础。

模运算在密码学中的重要应用：

密钥空间划分：模$n$运算将无限密钥空间限制为有限集合
周期性利用：$a^{\phi(n)} \equiv 1 \pmod{n}$提供密码学中的”复位”机制
困难性假设：整数分解、离散对数等困难问题基于模运算

模算术的高效实现：对于大整数模运算，有以下优化策略：

Montgomery约简：避免除法运算的快速模运算
Barrett约简：预计算倒数的模运算方法
Karatsuba乘法：降低大整数乘法复杂度

1.3.2 模逆与欧拉函数

定义1.7：如果$\gcd(a, n) = 1$且$ax \equiv 1 \pmod{n}$，则称$x$为$a$模$n$的乘法逆元，记作$a^{-1} \pmod{n}$。

欧拉函数：$\phi(n) =

{k : 1 \leq k \leq n, \gcd(k, n) = 1}

重要公式：

若$p$是素数：$\phi(p) = p - 1$
若$p, q$是不同素数：$\phi(pq) = (p-1)(q-1)$
一般情况：$\phi(n) = n \prod_{p n} (1 - \frac{1}{p})$

欧拉定理：若$\gcd(a, n) = 1$，则$a^{\phi(n)} \equiv 1 \pmod{n}$

费马小定理：若$p$是素数且$\gcd(a, p) = 1$，则$a^{p-1} \equiv 1 \pmod{p}$

实用计算技巧：

模逆计算：$a^{-1} \equiv a^{\phi(n)-1} \pmod{n}$（当$\gcd(a,n)=1$时）
对于素数模：$a^{-1} \equiv a^{p-2} \pmod{p}$

欧拉函数的深层性质：

乘性函数性质：欧拉函数是乘性函数，即对于$\gcd(m,n) = 1$： $\phi(mn) = \phi(m)\phi(n)$

完全乘性vs乘性：

完全乘性：$f(mn) = f(m)f(n)$对所有$m,n$成立
乘性：仅对$\gcd(m,n) = 1$成立

欧拉函数是乘性但非完全乘性的典型例子。

欧拉函数的计算复杂度：

直接定义：$\mathcal{O}(n)$时间复杂度
素因数分解：$\mathcal{O}(\sqrt{n})$加上分解时间
实用算法：基于Pollard-rho等现代分解算法

欧拉函数的数论恒等式：

除数函数关系：$\sum_{d n} \phi(d) = n$
Möbius函数表示：$\phi(n) = n \sum_{d n} \frac{\mu(d)}{d}$
平均阶估计：$\sum_{k=1}^n \phi(k) \sim \frac{3n^2}{\pi^2}$

密码学中的欧拉函数陷阱：

RSA密钥生成：需要计算$\phi(pq) = (p-1)(q-1)$，但不能从$n=pq$直接计算$\phi(n)$
安全性假设：RSA的安全性等价于”给定$n$，计算$\phi(n)$是困难的”
侧信道攻击：$\phi(n)$的计算过程可能泄露素因子信息

1.4 欧几里得算法与扩展应用

1.4.1 经典欧几里得算法

算法原理：基于等式$\gcd(a, b) = \gcd(b, a \bmod b)$

算法1.1：欧几里得算法
输入：非负整数 a, b (a ≥ b)
输出：gcd(a, b)

function gcd(a, b):
    while b ≠ 0:
        temp = b
        b = a mod b
        a = temp
    return a

时间复杂度分析：连续两次迭代后，较大数至少减半，因此时间复杂度为$\mathcal{O}(\log \min(a, b))$。

1.4.2 扩展欧几里得算法

贝祖等式：对于整数$a, b$，存在整数$x, y$使得$ax + by = \gcd(a, b)$。

算法1.2：扩展欧几里得算法
输入：整数 a, b
输出：gcd(a, b), x, y 使得 ax + by = gcd(a, b)

function extended_gcd(a, b):
    if b = 0:
        return (a, 1, 0)
    else:
        (g, y, x) = extended_gcd(b, a mod b)
        return (g, x, y - (a div b) * x)

应用：模逆计算 若$\gcd(a, n) = 1$，扩展欧几里得算法求出$x, y$使得$ax + ny = 1$，则$x \equiv a^{-1} \pmod{n}$。

示例：求$17^{-1} \bmod 43$

43 = 2 × 17 + 9
17 = 1 × 9 + 8
9  = 1 × 8 + 1
8  = 8 × 1 + 0

回代：
1 = 9 - 1 × 8
  = 9 - 1 × (17 - 1 × 9) = 2 × 9 - 1 × 17
  = 2 × (43 - 2 × 17) - 1 × 17 = 2 × 43 - 5 × 17

因此 17^(-1) ≡ -5 ≡ 38 (mod 43)

1.5 中国剩余定理

1.5.1 理论基础

中国剩余定理（CRT）：设$n_1, n_2, \ldots, n_k$两两互素，$N = n_1 n_2 \cdots n_k$。则同余方程组： $\begin{cases} x \equiv a_1 \pmod{n_1} \\ x \equiv a_2 \pmod{n_2} \\ \vdots \\ x \equiv a_k \pmod{n_k} \end{cases}$

在模$N$意义下有唯一解。

构造性证明与解法：

计算$N_i = N/n_i$
求$M_i$使得$N_i M_i \equiv 1 \pmod{n_i}$
解为$x \equiv \sum_{i=1}^k a_i N_i M_i \pmod{N}$

1.5.2 密码学应用

RSA中的CRT优化：设RSA私钥为$(n, d)$，其中$n = pq$。解密$c^d \bmod n$可分解为：

$m_1 = c^{d_1} \bmod p$，其中$d_1 = d \bmod (p-1)$
$m_2 = c^{d_2} \bmod q$，其中$d_2 = d \bmod (q-1)$
用CRT合并：$m = CRT(m_1, m_2, p, q)$

性能提升：CRT优化可将RSA解密速度提升约4倍。

CRT计算示例：
p = 61, q = 53, n = 3233
c = 123, d = 937

d₁ = 937 mod 60 = 37
d₂ = 937 mod 52 = 39

m₁ = 123³⁷ mod 61 = 24
m₂ = 123³⁹ mod 53 = 32

设 x = 24 + 61t
代入第二个方程：24 + 61t ≡ 32 (mod 53)
61t ≡ 8 (mod 53)
8t ≡ 8 (mod 53)  [因为 61 ≡ 8 (mod 53)]
t ≡ 1 (mod 53)

因此 m = 24 + 61 × 1 = 85

本章小结

核心概念总结

代数结构层次：群 → 环 → 域，每层增加新的运算和性质
关键定理：
- 拉格朗日定理：$\text{ord}(a) G $
- 欧拉定理：$a^{\phi(n)} \equiv 1 \pmod{n}$（当$\gcd(a,n)=1$）
- 中国剩余定理：互素模数的同余方程组有唯一解
重要公式：
- 欧拉函数：$\phi(n) = n \prod_{p n}(1 - \frac{1}{p})$
- 模逆公式：$a^{-1} \equiv a^{\phi(n)-1} \pmod{n}$
- 贝祖等式：$ax + by = \gcd(a, b)$

密码学连接

离散对数问题：建立在循环群的困难性假设上
RSA安全性：依赖于大整数分解的困难性，欧拉函数是关键
椭圆曲线密码：椭圆曲线点群的代数结构
有限域算术：AES等对称密码的数学基础

常见陷阱与错误 (Gotchas)

1. 模运算中的除法陷阱

错误示例：$\frac{a}{b} \bmod n \neq \frac{a \bmod n}{b \bmod n}$

正确做法：$a/b \bmod n = a \cdot b^{-1} \bmod n$，前提是$\gcd(b, n) = 1$

调试技巧：始终检查模逆是否存在，即验证$\gcd(b, n) = 1$

2. 群阶计算的边界情况

陷阱：忘记$\mathbb{Z}_n^*$中0没有逆元，$

\mathbb{Z}_n^*

= \phi(n) \neq n$

实例：$\mathbb{Z}_{15}^* = {1, 2, 4, 7, 8, 11, 13, 14}$，$

\mathbb{Z}_{15}^*

= 8 = \phi(15)$

验证方法：对于每个元素$a$，验证$\gcd(a, n) = 1$

3. CRT应用条件

致命错误：模数不互素时直接应用CRT

检查清单：

验证所有模数两两互素：$\gcd(n_i, n_j) = 1$ for $i \neq j$
大数运算时注意溢出
实现时验证中间结果的正确性

4. 原根的存在性

常见误解：每个群都有原根

事实：只有$\mathbb{Z}p, \mathbb{Z}{2p}, \mathbb{Z}{p^k}, \mathbb{Z}{2p^k}$（$p$为奇素数）的乘法群是循环群

实用判断：

n有原根 ⟺ n ∈ {1, 2, 4, p^k, 2p^k} 其中p为奇素数

5. 模幂运算的效率陷阱

低效做法：直接计算$a^b \bmod n$

正确方法：平方-乘法算法（Square-and-Multiply）

function mod_pow(base, exp, mod):
    result = 1
    base = base mod mod
    while exp > 0:
        if exp mod 2 = 1:
            result = (result * base) mod mod
        exp = exp >> 1
        base = (base * base) mod mod
    return result

优化要点：

每步都取模避免中间结果过大
利用二进制表示减少乘法次数
预计算小指数幂以进一步优化

6. 有限域构造的实现细节

陷阱：不可约多项式的选择影响实现效率

建议：

选择稀疏的不可约多项式（少数非零项）
验证多项式确实不可约
注意多项式运算与整数运算的区别

下一章将基于本章的数学基础，深入探讨对称密码学的理论构造和安全性分析。