N次剩餘

給定 \(N,a,P\)，且 \(P\) 最好為質數
可以算出 \(x^N\equiv a(mod~p)\) 的解
首先可以算出 \(P\) 的原根 \(g\)
解方程 \(g^y\equiv b(mod~p)\)，這個直接 \(BSGS\)
設 \(g^z\equiv x(mod~p)\)
那麼 \(g^{za}=g^y(mod~p)\iff za\equiv y(mod~\varphi(p))\)，這個直接 \(exgcd\)
無解在 \(BSGS\) 和 \(exgcd\) 的時候判掉，最後快速冪得到答案

二次剩餘

求 \(x^2\equiv n(mod~p)\)的一個解 \(x\)

有二次剩餘的條件

\[n^{\frac{p-1}{2}} \equiv 1(mod~p)\]

證明

首先有 \(n^{p-1}\equiv 1(mod~p)\)
若存在一個解 \(a\)，那麼 \(a^{p-1}\equiv 1(mod~p)\) 且 \(a^{2}\equiv n(mod~p)\)
所以
\[a^{p-1}\equiv n^{\frac{p-1}{2}}\equiv 1(mod~p)\]

演算法一

如果 \(g\) 為 \(p\) 的原根，且 \(g^{a}\equiv n(mod~p)\) 那麼解就是 \(g^{\frac{a}{2}}\)

證明

結合上面的條件，有 \(g^{a\frac{p-1}{2}}\equiv 1(mod~p)\)
因為 \(g^{p-1}\equiv 1(mod~p)\)，那麼 \(a\) 一定為偶數
可以在 \(\Theta(\sqrt{p})\) 的複雜度內找到解

演算法二

隨機一個數字 \(a\)
使得 \(a^2-n\) 不存在二次剩餘，期望次數為 \(2\)
定義一個新的數域，設 \(\omega = \sqrt{a^2-n}\) (類似於 \(i=\sqrt{-1}\))
那麼所有的數都可以表示為 \(a+b\omega\) 的形式
根據有解的條件可以得到
\[\omega^{p-1}\ne 1(mod~p)\]

定理 \((a+\omega)^{p}=a-\omega\)

證明

二項式定理展開得到 \(\sum_{i=0}^{p}\binom{p}{i}a^i\omega^{p-i}\)
顯然除了第 \(0\) 項和第 \(p\) 項的組合數不是 \(p\) 的倍數
那麼就是 \(a^p+\omega^{p}\)
由於 \(a^{p-1}\equiv 1(mod~p)\) 且 \(\omega^{p-1}\equiv -1(mod~p)\)
那麼得到 \(a^p+\omega^{p}=a-\omega\)

這就好了，因為 \((a-\omega)(a+\omega)=a^2-\omega^2=n\)
所以 \((a+\omega)^{\frac{p+1}{2}}\equiv \sqrt{n}(mod~p)\)
現在只要證明 \((a+\omega)^{\frac{p+1}{2}}\) 不存在 \(\omega\) 項就好了
假設 \((a+\omega)^{\frac{p+1}{2}}=x+y\omega\)
那麼 \((x+y\omega)^2=n\)
所以 \(x=0\) 或者 \(y=0\)
如果 \(x=0\) 且 \(y\ne0\)，那麼 \((x+y\omega)^2=y^2(a^2-n)=n\)
因為 \(a^2-n\) 沒有二次剩餘，而 \(y^2\) 顯然有二次剩餘
所以 \(n\) 沒有二次剩餘，矛盾
得到 \(y= 0\)

總結一下

第一步隨機一個 \(a\)，使得\(a^2-n\) 不存在二次剩餘
第二步直接過載運算求出 \((a+\omega)^{\frac{p+1}{2}}\) 即 \(n\) 的二次剩餘