信息安全数学基础：第2章：同余式（下）

. . . . . . 同余方程原根 RSA 公钥密码体制
. . . . . . . 同余式(下) 课件制作：张晓磊 2007-03-15 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . § 2.3 同余方程课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . § 线性同余方程课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) . (解的形式) . . . . . . . . 如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是一个解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) . (解的形式) . . . . . . . . 如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是一个解. 此时，我们说原方程的解为 x ≡ x0 (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) . (解的形式) . . . . . . . . 如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是一个解. 此时，我们说原方程的解为 x ≡ x0 (mod m). 而 x ≡ x0 (mod m) 也相当于 x ∈ [x0]。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) . (解的形式) . . . . . . . . 如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是一个解. 此时，我们说原方程的解为 x ≡ x0 (mod m). 而 x ≡ x0 (mod m) 也相当于 x ∈ [x0]。如果把 ax + b ≡ 0 (mod m) 看成 [a][x] + [b] = [0]，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 本节讨论形如下形式的同余方程： ax + b ≡ 0 (mod m) . (解的形式) . . . . . . . . 如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是一个解. 此时，我们说原方程的解为 x ≡ x0 (mod m). 而 x ≡ x0 (mod m) 也相当于 x ∈ [x0]。如果把 ax + b ≡ 0 (mod m) 看成 [a][x] + [b] = [0]，则方程的解可以记为 [x0]. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 9 × 2x ≡ 9(−1) (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 9 × 2x ≡ 9(−1) (mod 17) 18x ≡ −9 (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 9 × 2x ≡ 9(−1) (mod 17) 18x ≡ −9 (mod 17) x ≡ 8 (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 9 × 2x ≡ 9(−1) (mod 17) 18x ≡ −9 (mod 17) x ≡ 8 (mod 17) . . . . . . . 技巧在于乘上 2 在模 17 意义下的乘法逆(倒数)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example . . . . . . . . 求同余方程 2x + 1 ≡ 0 (mod 17) 的解. 2x ≡ −1 (mod 17) 9 × 2x ≡ 9(−1) (mod 17) 18x ≡ −9 (mod 17) x ≡ 8 (mod 17) . . . . . . . 技巧在于乘上 2 在模 17 意义下的乘法逆(倒数)。当 (a, m) = 1 时，a 的模 m 意义下的乘法逆总是存在的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17) 虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17) 虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式. x = 8 + 17k 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17) 虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式. x = 8 + 17k 8, 8 + 17, 8 + 2 × 17, 8 + 3 × 17, 8 + 4 × 17, 8 + 5 × 17, · · · 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (如果 (a, m) = 1，那该怎么办?) . . . . . . . . 求同余方程 6x + 3 ≡ 0 (mod 51) 的解. (6, 51) = 3, 通式 “除以” 3 2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17) 虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式. x = 8 + 17k 8, 8 + 17, 8 + 2 × 17, 8 + 3 × 17, 8 + 4 × 17, 8 + 5 × 17, · · · x ≡ 8, 25, 42 (mod 51) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 6x + 4 ≡ 0 (mod 51) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3) 1 ≡ 0 (mod 3), 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3) 1 ≡ 0 (mod 3), Oops… 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办? . Example . . . . . . . . 求同余方程 6x + 4 ≡ 0 (mod 51) 的解. (6, 51) = 3，而 3 4. 6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3) 1 ≡ 0 (mod 3), Oops… . . . . . . . 在这种情况下，即 (a, m) b 时，ax + b ≡ 0 (mod m) 无解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 (a, m) = d，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个模 m 不同余的解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 (a, m) = d，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个模 m 不同余的解。若 x0 是方程 a d x + b d ≡ 0 (mod m d ) 的一个特解，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 (a, m) = d，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个模 m 不同余的解。若 x0 是方程 a d x + b d ≡ 0 (mod m d ) 的一个特解，则原方程的全部解为： x ≡ x0, x0 + m d , x0 + 2 m d , . . . , x0 + (d − 1) m d (mod m) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (有解的条件) . . . . . . . . ax + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (有解的条件) . . . . . . . . ax + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a). . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (有解的条件) . . . . . . . . ax + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a). . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)； . . . 2 所以 b ≡ 0 (mod d)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (有解的条件) . . . . . . . . ax + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a). . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)； . . . 2 所以 b ≡ 0 (mod d)； . . . 3 这表明有解当且仅当 d|b。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，所以存在整数 s, t 使得： as + mt = 1. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，所以存在整数 s, t 使得： as + mt = 1. . . . 2 as ≡ 1 (mod m); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，所以存在整数 s, t 使得： as + mt = 1. . . . 2 as ≡ 1 (mod m); . . . 3 ax ≡ −b (mod m) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，所以存在整数 s, t 使得： as + mt = 1. . . . 2 as ≡ 1 (mod m); . . . 3 ax ≡ −b (mod m) ⇐⇒ sax ≡ −sb (mod m); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (解的个数，互素情形) . . . . . . . . 若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在模 m 同余的意义下)。 . . . . . . . . . . 1 由于 (a, m) = 1，所以存在整数 s, t 使得： as + mt = 1. . . . 2 as ≡ 1 (mod m); . . . 3 ax ≡ −b (mod m) ⇐⇒ sax ≡ −sb (mod m); . . . 4 方程有惟一解 x ≡ −sb (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。 . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇐⇒ a d x + b d ≡ 0 (mod m d ); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。 . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇐⇒ a d x + b d ≡ 0 (mod m d ); . . . 2 从 a d x + b d ≡ 0 (mod m d ) 求出惟一解 x ≡ x0 (mod m d ); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。 . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇐⇒ a d x + b d ≡ 0 (mod m d ); . . . 2 从 a d x + b d ≡ 0 (mod m d ) 求出惟一解 x ≡ x0 (mod m d ); . . . 3 这个解也可以写为 {x0 + m d t, t ∈ Z}; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。 . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇐⇒ a d x + b d ≡ 0 (mod m d ); . . . 2 从 a d x + b d ≡ 0 (mod m d ) 求出惟一解 x ≡ x0 (mod m d ); . . . 3 这个解也可以写为 {x0 + m d t, t ∈ Z}; . . . 4 x0 + m d t ≡ x0 + m d t (mod m) ⇐⇒ t ≡ t (mod d); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同解。 . . . . . . . . . . 1 ax + b ≡ 0 (mod m) ⇐⇒ a d x + b d ≡ 0 (mod m d ); . . . 2 从 a d x + b d ≡ 0 (mod m d ) 求出惟一解 x ≡ x0 (mod m d ); . . . 3 这个解也可以写为 {x0 + m d t, t ∈ Z}; . . . 4 x0 + m d t ≡ x0 + m d t (mod m) ⇐⇒ t ≡ t (mod d); . . . 5 所以在模 m 的意义下，方程有解： x ≡ x0, x0 + m d , · · · , x0 + (d − 1) m d (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . § 高次同余方程课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 高次同余方程 . . . . . . . 设 f(x) = anxn + · · · + a0 为一整系数多项式，m an ，则同余方程 f(x) ≡ 0 (mod m) 称为 n 次模 m 同余方程. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 高次同余方程 . . . . . . . 设 f(x) = anxn + · · · + a0 为一整系数多项式，m an ，则同余方程 f(x) ≡ 0 (mod m) 称为 n 次模 m 同余方程. . (解的形式) . . . . . . . . 容易验证，若 x0 是 f(x) ≡ 0 (mod m) 的解，则任意与 x0 同余的数，也是 f(x) ≡ 0 (mod m) 的解。所以我们把两两同余的解绑定，称为一个解，具有形式 x ≡ x0 (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 高次同余方程的解数非常不规则。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 高次同余方程的解数非常不规则。 . Example . . . . . . . . . . . 1 x2 + 1 ≡ 0 (mod 3) 无解；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 高次同余方程的解数非常不规则。 . Example . . . . . . . . . . . 1 x2 + 1 ≡ 0 (mod 3) 无解； . . . 2 x3 − x = 0 (mod 6) 有 6 个解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 同解于方程组 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 同解于方程组 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . . . . . . . . 1 “⇒” 方向上显然；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 同解于方程组 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . . . . . . . . 1 “⇒” 方向上显然； . . . 2 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) ⇒ m1|f(x), m2|f(x)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 同解于方程组 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . . . . . . . . 1 “⇒” 方向上显然； . . . 2 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) ⇒ m1|f(x), m2|f(x)； . . . 3 由于 (m1, m2) = 1，有 m1m2|f(x)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 同解于方程组 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . . . . . . . . 1 “⇒” 方向上显然； . . . 2 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) ⇒ m1|f(x), m2|f(x)； . . . 3 由于 (m1, m2) = 1，有 m1m2|f(x)，即 f(x) ≡ 0 (mod m1m2)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 x ≡ x1, x2, · · · , xk mod m1 是 f(x) ≡ 0 (mod m1) 的解，而 x ≡ y1, y2, · · · , yl mod m2 是 f(x) ≡ 0 (mod m2) 的解，则 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 可以转化为 kl 个同余式组 { x ≡ xi (mod m1) 1 i k x ≡ yj (mod m2) 1 j l 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 m1, m2 为整数，(m1, m2) = 1，则同余方程 f(x) ≡ 0 (mod m1m2) 的解数为两方程 f(x) ≡ 0 (mod m1), f(x) ≡ 0 (mod m2) 的解数之积. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . 1 f(x) ≡ 0 (mod m1m2) 同解于 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . 1 f(x) ≡ 0 (mod m1m2) 同解于 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . 2 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2) 有 t 个解；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . 1 f(x) ≡ 0 (mod m1m2) 同解于 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . 2 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2) 有 t 个解； . . . 3 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 可以转化为 st 个方程组；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . 1 f(x) ≡ 0 (mod m1m2) 同解于 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . 2 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2) 有 t 个解； . . . 3 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 可以转化为 st 个方程组； . . . 4 由于 (m1, m2) = 1，所以这 st 个方程组在模 m1m2 的意义下都有惟一解，而且不同的方程组得出的解模 m1m2 两两不同余。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . 1 f(x) ≡ 0 (mod m1m2) 同解于 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) . . . 2 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2) 有 t 个解； . . . 3 { f(x) ≡ 0 (mod m1) f(x) ≡ 0 (mod m2) 可以转化为 st 个方程组； . . . 4 由于 (m1, m2) = 1，所以这 st 个方程组在模 m1m2 的意义下都有惟一解，而且不同的方程组得出的解模 m1m2 两两不同余。 . . . 5 f(x) ≡ 0 (mod m1m2) 有 st 个解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (事实) . . . . . . . . 若我们能解 f(x) ≡ 0 (mod pl) (p 为素数) 形式的同余方程，则我们能解 f(x) ≡ 0 (mod m) 形式的同余方程。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (事实) . . . . . . . . 若我们能解 f(x) ≡ 0 (mod pl) (p 为素数) 形式的同余方程，则我们能解 f(x) ≡ 0 (mod m) 形式的同余方程。 . (问题) . . . . . . . . 如何求解 f(x) ≡ 0 (mod pl) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . . . . 1 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0 mod 3 是 f(x) ≡ 0 (mod 3) 的解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . . . . 1 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0 mod 3 是 f(x) ≡ 0 (mod 3) 的解. . . . 2 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0 (mod 32) 的解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . . . . 1 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0 mod 3 是 f(x) ≡ 0 (mod 3) 的解. . . . 2 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0 (mod 32) 的解. . (求解模 3 的情形) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . . . . 1 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0 mod 3 是 f(x) ≡ 0 (mod 3) 的解. . . . 2 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0 (mod 32) 的解. . (求解模 3 的情形) . . . . . . . . . . . 1 f(x) ≡ 0 (mod 3) 有惟一解 x ≡ 1 (mod 3). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) . . . . . . . . . . . 1 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0 mod 3 是 f(x) ≡ 0 (mod 3) 的解. . . . 2 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0 (mod 32) 的解. . (求解模 3 的情形) . . . . . . . . . . . 1 f(x) ≡ 0 (mod 3) 有惟一解 x ≡ 1 (mod 3). . . . 2 设 x = 1 + 3t，代入 f(x) ≡ 0 (mod 32)，并尝试从中求出 t. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · (1 + 3t) = 1 + 3t 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · (1 + 3t) = 1 + 3t 1 = 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · (1 + 3t) = 1 + 3t 1 = 1 f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · (1 + 3t) = 1 + 3t 1 = 1 f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32) 注意到 f(x) = 7x4 + x + 7, f (x) = 28x3 + 1，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的技巧) . . . . . . . . f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1 (1 + 3t)4 = 14 + 4 · (1)3(3t) + · · · (1 + 3t) = 1 + 3t 1 = 1 f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32) 注意到 f(x) = 7x4 + x + 7, f (x) = 28x3 + 1，所以 f(1 + 3t) ≡ f(1) + f (1)(3t) (mod 32) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 整理得 3f (1)t ≡ −f(1) (mod 32) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 整理得 3f (1)t ≡ −f(1) (mod 32) 由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 整理得 3f (1)t ≡ −f(1) (mod 32) 由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到 f (1)t ≡ −f(1) 3 (mod 3) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 整理得 3f (1)t ≡ −f(1) (mod 32) 由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到 f (1)t ≡ −f(1) 3 (mod 3) 只要 f (1), 3 = 1，也就是 3 f (1)，就能求出 t. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求 t) . . . . . . . . f(1) + f (1)(3t) ≡ 0 (mod 32) 整理得 3f (1)t ≡ −f(1) (mod 32) 由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到 f (1)t ≡ −f(1) 3 (mod 3) 只要 f (1), 3 = 1，也就是 3 f (1)，就能求出 t. 最后得到 t ≡ 2 (mod 3), x ≡ 7 (mod 9). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (思路) . . . . . . . . 若 x0 (mod pl) 是 f(x) ≡ 0 (mod pl) 的一个解，则令 x = x0 + plt 代入 f(x)，也许可以找到 f(x) ≡ 0 (mod pl+1) 的解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (思路) . . . . . . . . 若 x0 (mod pl) 是 f(x) ≡ 0 (mod pl) 的一个解，则令 x = x0 + plt 代入 f(x)，也许可以找到 f(x) ≡ 0 (mod pl+1) 的解. . (关键步骤：展开的方法) . . . . . . . . 设 f(x) = anxn + · · · a1x + a0 ，如何计算 f(x0 + plt) (mod pl+1)? 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的方法—续) . . . . . . . . ai(x0 + plt)i = ai(xi 0 + i · xi−1 0 plt + · · · ) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的方法—续) . . . . . . . . ai(x0 + plt)i = ai(xi 0 + i · xi−1 0 plt + · · · ) ai(x0 + plt)i ≡ aixi 0 + i · aixi−1 0 (plt) (mod pl+1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的方法—续) . . . . . . . . ai(x0 + plt)i = ai(xi 0 + i · xi−1 0 plt + · · · ) ai(x0 + plt)i ≡ aixi 0 + i · aixi−1 0 (plt) (mod pl+1) f(x0 + plt) ≡ n ∑ i=0 aixi 0 + ( n ∑ i=0 i · aixi−1 0 )plt (mod pl+1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (展开的方法—续) . . . . . . . . ai(x0 + plt)i = ai(xi 0 + i · xi−1 0 plt + · · · ) ai(x0 + plt)i ≡ aixi 0 + i · aixi−1 0 (plt) (mod pl+1) f(x0 + plt) ≡ n ∑ i=0 aixi 0 + ( n ∑ i=0 i · aixi−1 0 )plt (mod pl+1) f(x0 + plt) ≡ f(x0) + f (x0)plt (mod pl+1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求解 t) . . . . . . . . f(x0) + f (x0)plt ≡ 0 (mod pl+1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求解 t) . . . . . . . . f(x0) + f (x0)plt ≡ 0 (mod pl+1) 由于 f(x0) ≡ 0 (mod pl)，所以 pl|f(x0)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求解 t) . . . . . . . . f(x0) + f (x0)plt ≡ 0 (mod pl+1) 由于 f(x0) ≡ 0 (mod pl)，所以 pl|f(x0)，有 f(x0) pl + f (x0)t ≡ 0 (mod p) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求解 t) . . . . . . . . f(x0) + f (x0)plt ≡ 0 (mod pl+1) 由于 f(x0) ≡ 0 (mod pl)，所以 pl|f(x0)，有 f(x0) pl + f (x0)t ≡ 0 (mod p) 当 (f (x0), p = 1 或 p f (x0) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (求解 t) . . . . . . . . f(x0) + f (x0)plt ≡ 0 (mod pl+1) 由于 f(x0) ≡ 0 (mod pl)，所以 pl|f(x0)，有 f(x0) pl + f (x0)t ≡ 0 (mod p) 当 (f (x0), p = 1 或 p f (x0) 或 f (x0) ≡ 0 (mod p) 时，我们能从中解出 t. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (结论) . . . . . . . . 若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (结论) . . . . . . . . 若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；但不是 f (x) ≡ 0 (mod p) 的一个根；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (结论) . . . . . . . . 若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；但不是 f (x) ≡ 0 (mod p) 的一个根；则 x0 (mod p) 可以提升为 f(x) ≡ 0 (mod pl) 的一个根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 f(x) ≡ 0, f (x) ≡ 0 (mod pl) 无公共解，则 f(x) ≡ 0 (mod pl) 解的个数与 f(x) ≡ 0 (mod p) 解的个数相等. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 最难的部分 . (递归的终止) . . . . . . . . 我们把求解 f(x) ≡ 0 (mod pl) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 最难的部分 . (递归的终止) . . . . . . . . 我们把求解 f(x) ≡ 0 (mod pl) 归结为求解 f(x) ≡ 0 (mod pl−1). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 最难的部分 . (递归的终止) . . . . . . . . 我们把求解 f(x) ≡ 0 (mod pl) 归结为求解 f(x) ≡ 0 (mod pl−1). 经过 l − 1 次转化后，最终要面对如下问题：如何求解 f(x) ≡ 0 (mod p) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (事实) . . . . . . . . 刚才提到的问题很困难。虽然已经有明确的算法，能在模 p 的意义下分解 f(x)，从而解决求根的问题。但这个方法超出了本课程的范围，我们不去讨论它。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (事实) . . . . . . . . 刚才提到的问题很困难。虽然已经有明确的算法，能在模 p 的意义下分解 f(x)，从而解决求根的问题。但这个方法超出了本课程的范围，我们不去讨论它。在下一章，我们会考虑一个相对简单的情形 x2 + a ≡ 0 (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (事实) . . . . . . . . 刚才提到的问题很困难。虽然已经有明确的算法，能在模 p 的意义下分解 f(x)，从而解决求根的问题。但这个方法超出了本课程的范围，我们不去讨论它。在下一章，我们会考虑一个相对简单的情形 x2 + a ≡ 0 (mod p). 就目前的情况，大家可以通过猜测的方法来求得 f(x) ≡ 0 (mod p) 的解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 p 为素数，f(x) = anxn + · · · + a0 是一个整系数多项式，其中 p an ，则同余方程 f(x) ≡ 1 (mod p) 的解的个数不超过 n. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 设 p 为素数，f(x) = anxn + · · · + a0 是一个整系数多项式，其中 p an ，则同余方程 f(x) ≡ 1 (mod p) 的解的个数不超过 n. . (思路) . . . . . . . . 若 x ≡ a1 (mod p) 是方程的一个解，则 f(x) ≡ (x − a1)f1(x) (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (证明) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (证明) . . . . . . . . . . . 1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a1 (mod p)，则 f(x) ≡ (x − a1)f1(x) (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (证明) . . . . . . . . . . . 1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a1 (mod p)，则 f(x) ≡ (x − a1)f1(x) (mod p). . . . 2 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则 f(x) ≡ (x − a1)(x − a2)f2(x). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (证明) . . . . . . . . . . . 1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a1 (mod p)，则 f(x) ≡ (x − a1)f1(x) (mod p). . . . 2 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则 f(x) ≡ (x − a1)(x − a2)f2(x). . . . 3 重复此过程，直到 f(x) ≡ (x − a1) · · · (x − ar)fr(x) (mod p), 而 fr(x) ≡ 0 (mod p) 不再有解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . (证明) . . . . . . . . . . . 1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a1 (mod p)，则 f(x) ≡ (x − a1)f1(x) (mod p). . . . 2 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则 f(x) ≡ (x − a1)(x − a2)f2(x). . . . 3 重复此过程，直到 f(x) ≡ (x − a1) · · · (x − ar)fr(x) (mod p), 而 fr(x) ≡ 0 (mod p) 不再有解. . . . 4 x ≡ a1, a2, · · · , ar (mod p) 就是 f(x) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . § Wilson 定理课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). . . . . . . . 这个方程有 p − 1 个不同的解 x ≡ 1, · · · , p − 1 (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). . . . . . . . 这个方程有 p − 1 个不同的解 x ≡ 1, · · · , p − 1 (mod p). 在模 p 的意义下有如下分解 xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). . . . . . . . 这个方程有 p − 1 个不同的解 x ≡ 1, · · · , p − 1 (mod p). 在模 p 的意义下有如下分解 xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p). 令 x = 0，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . . . . . . 现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). . . . . . . . 这个方程有 p − 1 个不同的解 x ≡ 1, · · · , p − 1 (mod p). 在模 p 的意义下有如下分解 xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p). 令 x = 0，有 −1 ≡ (−1)p−1(p − 1)! (mod p) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 (Wilson) . . . . . . . . 若 p 为素数，则 (p − 1)! ≡ −1 (mod p) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 p 为素数，则同余方程 xp−1 ≡ 1 (mod pl) 有 (p − 1) 个解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 p 为素数，则同余方程 xp−1 ≡ 1 (mod pl) 有 (p − 1) 个解. . . . . . . . . . . 1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 p 为素数，则同余方程 xp−1 ≡ 1 (mod pl) 有 (p − 1) 个解. . . . . . . . . . . 1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2； . . . 2 f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 p 为素数，则同余方程 xp−1 ≡ 1 (mod pl) 有 (p − 1) 个解. . . . . . . . . . . 1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2； . . . 2 f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根； . . . 3 f(x) = 0 (mod pl) 的解数与 f(x) = 0 (mod p) 的解数同；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . 定理 . . . . . . . . 若 p 为素数，则同余方程 xp−1 ≡ 1 (mod pl) 有 (p − 1) 个解. . . . . . . . . . . 1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2； . . . 2 f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根； . . . 3 f(x) = 0 (mod pl) 的解数与 f(x) = 0 (mod p) 的解数同； . . . 4 f(x) = 0 (mod p) 有 p − 1 个解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 降低方程次数 . . . . . . . 如果不关心解的重数，则在模 p 的意义下，总可以把方程的次数降低到不超过 p − 1 次。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 降低方程次数 . . . . . . . 如果不关心解的重数，则在模 p 的意义下，总可以把方程的次数降低到不超过 p − 1 次。这是因为 xp ≡ x (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 降低方程次数 . . . . . . . 如果不关心解的重数，则在模 p 的意义下，总可以把方程的次数降低到不超过 p − 1 次。这是因为 xp ≡ x (mod p). . (两种降低次数的方法) . . . . . . . . . . . 1 带余除法，计算 f(x) = q(x)(xp − x) + r(x) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 降低方程次数 . . . . . . . 如果不关心解的重数，则在模 p 的意义下，总可以把方程的次数降低到不超过 p − 1 次。这是因为 xp ≡ x (mod p). . (两种降低次数的方法) . . . . . . . . . . . 1 带余除法，计算 f(x) = q(x)(xp − x) + r(x) 然后求解 r(x) ≡ 0 (mod p). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . . 降低方程次数 . . . . . . . 如果不关心解的重数，则在模 p 的意义下，总可以把方程的次数降低到不超过 p − 1 次。这是因为 xp ≡ x (mod p). . (两种降低次数的方法) . . . . . . . . . . . 1 带余除法，计算 f(x) = q(x)(xp − x) + r(x) 然后求解 r(x) ≡ 0 (mod p). . . . 2 用 x 取代 f(x) 中的 xp，直到 f(x) 中不含高于 xp−1 的项. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (减低次数的例子) . . . . . . . . 求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (减低次数的例子) . . . . . . . . 求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5). 化简为 x4 + 2x3 + 3x ≡ 0 (mod 5), 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (减低次数的例子) . . . . . . . . 求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5). 化简为 x4 + 2x3 + 3x ≡ 0 (mod 5), 结果为 x ≡ 0 (mod 5). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

线性同余方程高次同余方程 Wilson 定理 . Example (减低次数的例子) . . . . . . . . 求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5). 化简为 x4 + 2x3 + 3x ≡ 0 (mod 5), 结果为 x ≡ 0 (mod 5). . (讨论) . . . . . . . . 刚才的方法会丢失重根，怎么修补该方法，使得我们能得到根的重数？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . § 2.4 原根课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . § 模 m 的阶课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m > 1, (a, m) = 1，则使得 ad ≡ 1 (mod m) 成立的最小正整数 d0 称为 a 模 m 的阶，记为 δm(a). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m > 1, (a, m) = 1，则使得 ad ≡ 1 (mod m) 成立的最小正整数 d0 称为 a 模 m 的阶，记为 δm(a). . . . . . . . . . . 1 当 (a, m) = 1 时，δm(a) 总是存在的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m > 1, (a, m) = 1，则使得 ad ≡ 1 (mod m) 成立的最小正整数 d0 称为 a 模 m 的阶，记为 δm(a). . . . . . . . . . . 1 当 (a, m) = 1 时，δm(a) 总是存在的。这是因为 aϕ(m) = 1 (mod m). . . . 2 当 (a, m) = 1 时，ad ≡ 1 (mod m), d > 0 是不可能的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法 . . . 2 ad = 1 (mod m) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法 . . . 2 ad = 1 (mod m) ⇒ aδm(a)q+r ≡ 1 (mod m)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法 . . . 2 ad = 1 (mod m) ⇒ aδm(a)q+r ≡ 1 (mod m)； ⇒ aδm(a) d ar ≡ 1 (mod m)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法 . . . 2 ad = 1 (mod m) ⇒ aδm(a)q+r ≡ 1 (mod m)； ⇒ aδm(a) d ar ≡ 1 (mod m)； ⇒ ar ≡ 1 (mod m) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有 δm(a) | d. . . . . . . . . . . 1 d = δm(a)q + r, 0 r < m；带余除法 . . . 2 ad = 1 (mod m) ⇒ aδm(a)q+r ≡ 1 (mod m)； ⇒ aδm(a) d ar ≡ 1 (mod m)； ⇒ ar ≡ 1 (mod m) . . . 3 由 δm(a) 的最小性，r = 0. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 令 p = 7, 11 计算各数模 p 的阶. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 令 p = 7, 11 计算各数模 p 的阶. . . . . . . . i 1 2 3 4 5 6 δ7(i) 1 3 6 3 6 2 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 设 1 k 10，计算同余方程 xk − 1 ≡ 0 (mod 11) 的解的个数. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 设 1 k 10，计算同余方程 xk − 1 ≡ 0 (mod 11) 的解的个数. . . . . . . . i 1 2 3 4 5 6 7 8 9 10 δ11(i) 1 10 5 5 5 10 10 10 5 2 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 设 1 k 10，计算同余方程 xk − 1 ≡ 0 (mod 11) 的解的个数. . . . . . . . i 1 2 3 4 5 6 7 8 9 10 δ11(i) 1 10 5 5 5 10 10 10 5 2 k 解数 k 解数 1 1 6 2 2 2 7 1 3 1 8 2 4 2 9 1 5 5 10 10 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k ∈ Z+，p 为素数，则同余方程 xk ≡ 1 (mod p) 的解数为 (k, p − 1). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k ∈ Z+，p 为素数，则同余方程 xk ≡ 1 (mod p) 的解数为 (k, p − 1). . (分析) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k ∈ Z+，p 为素数，则同余方程 xk ≡ 1 (mod p) 的解数为 (k, p − 1). . (分析) . . . . . . . . xk ≡ 1 (mod p) 与 x(k,p−1) ≡ 1 (mod p) 同解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k ∈ Z+，p 为素数，则同余方程 xk ≡ 1 (mod p) 的解数为 (k, p − 1). . (分析) . . . . . . . . xk ≡ 1 (mod p) 与 x(k,p−1) ≡ 1 (mod p) 同解. 令 d = (k, p − 1)，有 xd − 1|xp−1 − 1. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k ∈ Z+，p 为素数，则同余方程 xk ≡ 1 (mod p) 的解数为 (k, p − 1). . (分析) . . . . . . . . xk ≡ 1 (mod p) 与 x(k,p−1) ≡ 1 (mod p) 同解. 令 d = (k, p − 1)，有 xd − 1|xp−1 − 1. xp−1 − 1 可以彻底分解，并且没有重根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 基础知识回顾 . . . . . . . . an − bn = (a − b)(an−1 + an−1b + · · · + abn−2 + bn−1)；特别有 xn − 1 = (x − 1)(xn−1 + xn−2 + · · · + 1)；若 d|n，或 n = dt，则 xd − 1|xn − 1，这是因为： xn − 1 = (xd − 1) (xd)t−1 + · · · + 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 为正整数，n 为整数，p 为素数，p n，则同余方程 xk ≡ n (mod p) 或无解，或有 (k, p − 1) 个解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 为正整数，n 为整数，p 为素数，p n，则同余方程 xk ≡ n (mod p) 或无解，或有 (k, p − 1) 个解. . . . . . . . 设 A 是 xk ≡ n (mod p) 的全部解；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 为正整数，n 为整数，p 为素数，p n，则同余方程 xk ≡ n (mod p) 或无解，或有 (k, p − 1) 个解. . . . . . . . 设 A 是 xk ≡ n (mod p) 的全部解；设 B 是 xk ≡ 1 (mod p) 的全部解；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 为正整数，n 为整数，p 为素数，p n，则同余方程 xk ≡ n (mod p) 或无解，或有 (k, p − 1) 个解. . . . . . . . 设 A 是 xk ≡ n (mod p) 的全部解；设 B 是 xk ≡ 1 (mod p) 的全部解；若 xk ≡ n (mod p) 有解 x0 ，则对于任意 a ∈ A 有 x0a ∈ B；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 为正整数，n 为整数，p 为素数，p n，则同余方程 xk ≡ n (mod p) 或无解，或有 (k, p − 1) 个解. . . . . . . . 设 A 是 xk ≡ n (mod p) 的全部解；设 B 是 xk ≡ 1 (mod p) 的全部解；若 xk ≡ n (mod p) 有解 x0 ，则对于任意 a ∈ A 有 x0a ∈ B；对任意 b ∈ B，有 x−1 0 b ∈ A。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 基础知识回顾 . . . . . . . . A, B 是两个集合，若存在 A 到 B 的映射 f, B 到 A 的映射g，使得课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 基础知识回顾 . . . . . . . . A, B 是两个集合，若存在 A 到 B 的映射 f, B 到 A 的映射g，使得 f ◦ g = 1A ； g ◦ f = 1B ；其中 1A, 1B 分别为 A, B 上的单位映射。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 基础知识回顾 . . . . . . . . A, B 是两个集合，若存在 A 到 B 的映射 f, B 到 A 的映射g，使得 f ◦ g = 1A ； g ◦ f = 1B ；其中 1A, 1B 分别为 A, B 上的单位映射。则 f, g 均为双射且互为逆映射。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求解同余方程 x2 ≡ 2 (mod 7) 和 x3 ≡ 6 (mod 7). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求解同余方程 x2 ≡ 2 (mod 7) 和 x3 ≡ 6 (mod 7). . . . . . . . . . . 1 代入验证可知 x2 ≡ 3 (mod 7) 无解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求解同余方程 x2 ≡ 2 (mod 7) 和 x3 ≡ 6 (mod 7). . . . . . . . . . . 1 代入验证可知 x2 ≡ 3 (mod 7) 无解。 . . . 2 x3 ≡ 6 (mod 7) 的解为：3, 5, 6；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求解同余方程 x2 ≡ 2 (mod 7) 和 x3 ≡ 6 (mod 7). . . . . . . . . . . 1 代入验证可知 x2 ≡ 3 (mod 7) 无解。 . . . 2 x3 ≡ 6 (mod 7) 的解为：3, 5, 6； . . . 3 (3, 6) = 3。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . § k 次剩余课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 注意颜色相同的数，它们是同余的. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 注意颜色相同的数，它们是同余的. 1, 36 是 x2 ≡ 1 (mod 7) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 注意颜色相同的数，它们是同余的. 1, 36 是 x2 ≡ 1 (mod 7) 的全部解. 4, 25 是 x2 ≡ 4 (mod 7) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 注意颜色相同的数，它们是同余的. 1, 36 是 x2 ≡ 1 (mod 7) 的全部解. 4, 25 是 x2 ≡ 4 (mod 7) 的全部解. 9, 16 是 x2 ≡ 2 (mod 7) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example (一个演示) . . . . . . . . 7 的缩系为 1, 2, 3, 4, 5, 6. 如果把它们都平方一下，得到 1, 4, 9, 16, 25, 36. 注意颜色相同的数，它们是同余的. 1, 36 是 x2 ≡ 1 (mod 7) 的全部解. 4, 25 是 x2 ≡ 4 (mod 7) 的全部解. 9, 16 是 x2 ≡ 2 (mod 7) 的全部解. 若对模 7 的缩系平方并模 7，则 6 个数压缩成 3 个：1, 4, 和 2. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 如果对 7 的缩系进行的是 3 次方，得到 1, 8, 27, 64, 125, 216 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 如果对 7 的缩系进行的是 3 次方，得到 1, 8, 27, 64, 125, 216 1, 8, 64 是 x3 ≡ 1 (mod 7) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 如果对 7 的缩系进行的是 3 次方，得到 1, 8, 27, 64, 125, 216 1, 8, 64 是 x3 ≡ 1 (mod 7) 的全部解. 27, 125, 216 是 x3 ≡ 6 (mod 7) 的全部解. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 如果对 7 的缩系进行的是 3 次方，得到 1, 8, 27, 64, 125, 216 1, 8, 64 是 x3 ≡ 1 (mod 7) 的全部解. 27, 125, 216 是 x3 ≡ 6 (mod 7) 的全部解. 若对 7 的缩系进行 3 次方，并模 7，则 6 个数压缩成 2 个：1 和 6. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. . (分析) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. . (分析) . . . . . . . . . . . 1 考虑 p − 1 个方程 xk ≡ i (mod p − 1) 的解，其中 1 i p − 1. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. . (分析) . . . . . . . . . . . 1 考虑 p − 1 个方程 xk ≡ i (mod p − 1) 的解，其中 1 i p − 1. . . . 2 这些方程要么无解，要么有 (k, p − 1) 个解，并且每两个方程的解都不一样. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. . (分析) . . . . . . . . . . . 1 考虑 p − 1 个方程 xk ≡ i (mod p − 1) 的解，其中 1 i p − 1. . . . 2 这些方程要么无解，要么有 (k, p − 1) 个解，并且每两个方程的解都不一样. . . . 3 k 次方并模 p 后，每个有解方程的 (k, p − 1) 个解被压缩成一个. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 k 是任一正整数，p 为素数，则当 x 遍历模 p 的一个缩系时，xk 取 p−1 (k,p−1) 个模 p 的不同值. . (分析) . . . . . . . . . . . 1 考虑 p − 1 个方程 xk ≡ i (mod p − 1) 的解，其中 1 i p − 1. . . . 2 这些方程要么无解，要么有 (k, p − 1) 个解，并且每两个方程的解都不一样. . . . 3 k 次方并模 p 后，每个有解方程的 (k, p − 1) 个解被压缩成一个. . . . 4 最后剩下 p−1 (k,p−1) 个数. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 k 为正整数，m, n 为整数，且 (m, n) = 1. 若方程 xk ≡ n (mod m) 有解，则称 n 为模 m 的 k 次剩余，否则称 n 为模 m 的 k 次非剩余. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 k 为正整数，m, n 为整数，且 (m, n) = 1. 若方程 xk ≡ n (mod m) 有解，则称 n 为模 m 的 k 次剩余，否则称 n 为模 m 的 k 次非剩余. . (事实) . . . . . . . . 对任一正整数 k，在 p 的一个缩系中，共有 p−1 (k,p−1) 个 p 的 k 次剩余. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 把它们约成最简分数，得到 1 6 , 1 3 , 1 2 , 2 3 , 5 6 , 1 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 把它们约成最简分数，得到 1 6 , 1 3 , 1 2 , 2 3 , 5 6 , 1 1 1/6, 5/6 1 ϕ(6) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 把它们约成最简分数，得到 1 6 , 1 3 , 1 2 , 2 3 , 5 6 , 1 1 1/6, 5/6 1 ϕ(6) 1/3, 2/3 2 ϕ(3) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 把它们约成最简分数，得到 1 6 , 1 3 , 1 2 , 2 3 , 5 6 , 1 1 1/6, 5/6 1 ϕ(6) 1/3, 2/3 2 ϕ(3) 1/2 3 ϕ(2) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 模 m 的剩余系，按与 m 的公因子分类 . Example . . . . . . . . 1, ..., 6 是模 6 的一个剩余系。考虑 6 个有理数 1/6, 2/6, 3/6, 4/6, 5/6, 6/6. 把它们约成最简分数，得到 1 6 , 1 3 , 1 2 , 2 3 , 5 6 , 1 1 1/6, 5/6 1 ϕ(6) 1/3, 2/3 2 ϕ(3) 1/2 3 ϕ(2) 1/1 6 ϕ(1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 d|m，则在 m 的一个剩余系中，与 m 的最大公因子为 d 的元素个数有 ϕ(m d ) 个. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 d|m，则在 m 的一个剩余系中，与 m 的最大公因子为 d 的元素个数有 ϕ(m d ) 个. . . . . . . . . . . 1 设 1 x m, (x, m) = d，则 d|x, 且 (x d , m d ) = 1; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 d|m，则在 m 的一个剩余系中，与 m 的最大公因子为 d 的元素个数有 ϕ(m d ) 个. . . . . . . . . . . 1 设 1 x m, (x, m) = d，则 d|x, 且 (x d , m d ) = 1; . . . 2 x 具有形式 dx , (x , m d ) = 1; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 d|m，则在 m 的一个剩余系中，与 m 的最大公因子为 d 的元素个数有 ϕ(m d ) 个. . . . . . . . . . . 1 设 1 x m, (x, m) = d，则 d|x, 且 (x d , m d ) = 1; . . . 2 x 具有形式 dx , (x , m d ) = 1; . . . 3 在1 ∼ m 中，与 m 最大公因子为 d 的有 ϕ(m d ) 个。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m ∈ Z+, 有 m = ∑ d|m ϕ(d) = ∑ d|m ϕ m d . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m ∈ Z+, 有 m = ∑ d|m ϕ(d) = ∑ d|m ϕ m d . . . . . . . . . . . 1 把 1 ∼ m 按与 m 的公因子分类；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m ∈ Z+, 有 m = ∑ d|m ϕ(d) = ∑ d|m ϕ m d . . . . . . . . . . . 1 把 1 ∼ m 按与 m 的公因子分类； . . . 2 公因子为 d 的一类大小为 ϕ(m d ); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m ∈ Z+, 有 m = ∑ d|m ϕ(d) = ∑ d|m ϕ m d . . . . . . . . . . . 1 把 1 ∼ m 按与 m 的公因子分类； . . . 2 公因子为 d 的一类大小为 ϕ(m d ); . . . 3 所以 ∑ d|m ϕ m d = m; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m ∈ Z+, 有 m = ∑ d|m ϕ(d) = ∑ d|m ϕ m d . . . . . . . . . . . 1 把 1 ∼ m 按与 m 的公因子分类； . . . 2 公因子为 d 的一类大小为 ϕ(m d ); . . . 3 所以 ∑ d|m ϕ m d = m; . . . 4 记 m d = d ，容易得到： m = ∑ d|m ϕ(d)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . ϕ(1) + ϕ(2) + ϕ(3) + ϕ(6) = 6 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . ϕ(1) + ϕ(2) + ϕ(3) + ϕ(6) = 6 ϕ(1) + ϕ(7) = 7 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . ϕ(1) + ϕ(2) + ϕ(3) + ϕ(6) = 6 ϕ(1) + ϕ(7) = 7 ϕ(1) + ϕ(2) + ϕ(4) + ϕ(8) = 8 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . . . . 1 假定对 p − 1 的比 l 小的因子 d，命题都成立. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . . . . 1 假定对 p − 1 的比 l 小的因子 d，命题都成立. . . . 2 xl − 1 ≡ 0 (mod p) 的解有 l 个，它们的阶都是 l 的因子. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . . . . 1 假定对 p − 1 的比 l 小的因子 d，命题都成立. . . . 2 xl − 1 ≡ 0 (mod p) 的解有 l 个，它们的阶都是 l 的因子. . . . 3 阶为 l 的元素个数为 l − ∑ d|l,d<l ϕ(d). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . . . . 1 假定对 p − 1 的比 l 小的因子 d，命题都成立. . . . 2 xl − 1 ≡ 0 (mod p) 的解有 l 个，它们的阶都是 l 的因子. . . . 3 阶为 l 的元素个数为 l − ∑ d|l,d<l ϕ(d). . . . 4 l = ∑ d|l ϕ(d)，所以阶为 l 的元素个数有 ϕ(l) 个。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 (模 p 原根存在) . . . . . . . . 设 l | p − 1, p 为素数，则模 p 的阶为 l 的互不同余的整数个数为 ϕ(l). 特别地，有 ϕ(p − 1) 个互不同余的整数模 p 的阶为 p − 1. . (分析) . . . . . . . . . . . 1 假定对 p − 1 的比 l 小的因子 d，命题都成立. . . . 2 xl − 1 ≡ 0 (mod p) 的解有 l 个，它们的阶都是 l 的因子. . . . 3 阶为 l 的元素个数为 l − ∑ d|l,d<l ϕ(d). . . . 4 l = ∑ d|l ϕ(d)，所以阶为 l 的元素个数有 ϕ(l) 个。 . . . 5 这是数学归纳法，补上起点. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。 . . . 3 模 p 的 k 次剩余有 p−1 (p−1,k) 个。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。 . . . 3 模 p 的 k 次剩余有 p−1 (p−1,k) 个。 . . . 4 n = ∑ n|d ϕ(d)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。 . . . 3 模 p 的 k 次剩余有 p−1 (p−1,k) 个。 . . . 4 n = ∑ n|d ϕ(d)。 . . . 5 模 p 剩余类的阶必定是 ϕ(p) = p − 1 的一个因子。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。 . . . 3 模 p 的 k 次剩余有 p−1 (p−1,k) 个。 . . . 4 n = ∑ n|d ϕ(d)。 . . . 5 模 p 剩余类的阶必定是 ϕ(p) = p − 1 的一个因子。 . . . 6 若 d | p − 1，模 p 剩余类中，阶为 d 的元素有 ϕ(d) 个；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 局部要点回顾 . . . . . . . . . . . 1 xk ≡ 1 (mod p) 有 (p − 1, k) 个解。 . . . 2 xk ≡ a (mod p) 有 0 个或 (p − 1, k) 个解。 . . . 3 模 p 的 k 次剩余有 p−1 (p−1,k) 个。 . . . 4 n = ∑ n|d ϕ(d)。 . . . 5 模 p 剩余类的阶必定是 ϕ(p) = p − 1 的一个因子。 . . . 6 若 d | p − 1，模 p 剩余类中，阶为 d 的元素有 ϕ(d) 个； . . . 7 若 d p − 1，模 p 的剩余类中，阶为 d 的元素有 0 个。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . § 原根课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m 时正整数，a 是整数，若 δm(a) = ϕ(m)，则称 a 为模 m 的一个原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m 时正整数，a 是整数，若 δm(a) = ϕ(m)，则称 a 为模 m 的一个原根. . (事实) . . . . . . . . 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m 时正整数，a 是整数，若 δm(a) = ϕ(m)，则称 a 为模 m 的一个原根. . (事实) . . . . . . . . . . . 1 模 p 的原根必定存在，这是因为阶为 ϕ(p) = p − 1 的剩余类个数有 ϕ(p − 1) 个. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定义 . . . . . . . . 设 m 时正整数，a 是整数，若 δm(a) = ϕ(m)，则称 a 为模 m 的一个原根. . (事实) . . . . . . . . . . . 1 模 p 的原根必定存在，这是因为阶为 ϕ(p) = p − 1 的剩余类个数有 ϕ(p − 1) 个. . . . 2 若 g 为模 p 的一个原根，则 g0, g1, · · · , gp−2 就是模 p 的一个缩系. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 7 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 7 的原根。 . . . . . . . . . . 1 以前计算过 i 1 2 3 4 5 6 δ7(i) 1 3 6 3 6 2 . . . 2 所以 3 是模 7 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 11 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 11 的原根。 . . . . . . . . . . 1 以前计算过 i 1 2 3 4 5 6 7 8 9 10 δ7(i) 1 10 5 5 5 10 10 10 5 2 . . . 2 所以 2, 6, 7, 8 是模 11 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 由于 p−1 (p−1,s) , s (p−1,s) = 1，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 由于 p−1 (p−1,s) , s (p−1,s) = 1，所以 p−1 (p−1,s) d；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 由于 p−1 (p−1,s) , s (p−1,s) = 1，所以 p−1 (p−1,s) d； . . . 2 (gs) p−1 (p−1,s) = (gp−1) s (p−1,s) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 由于 p−1 (p−1,s) , s (p−1,s) = 1，所以 p−1 (p−1,s) d； . . . 2 (gs) p−1 (p−1,s) = (gp−1) s (p−1,s) = 1 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，g 为模 p 的原根，则 gs 模 p 的阶为 p−1 (s,p−1) ，当且仅当 (s, p − 1) = 1 时 gs 为模 p 的原根。 . . . . . . . 设 gs 模 p 的阶为 d，有 . . . 1 (gs)d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1 (p−1,s) s (p−1,s) d 由于 p−1 (p−1,s) , s (p−1,s) = 1，所以 p−1 (p−1,s) d； . . . 2 (gs) p−1 (p−1,s) = (gp−1) s (p−1,s) = 1 ⇒ d p−1 (p−1,s) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . 由前面的定理可以知道，只要知道一个原根，其它的原根可以通过这个原根直接写出来。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 已知 5 是模 23 的一个原根，求 23 的全部原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 已知 5 是模 23 的一个原根，求 23 的全部原根。 . . . . . . . . . . 1 Z23 中的非零元可以表示为 51 ∼ 522；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 已知 5 是模 23 的一个原根，求 23 的全部原根。 . . . . . . . . . . 1 Z23 中的非零元可以表示为 51 ∼ 522； . . . 2 5i 的阶为 22 当且仅当 (i, 22) = 1；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 已知 5 是模 23 的一个原根，求 23 的全部原根。 . . . . . . . . . . 1 Z23 中的非零元可以表示为 51 ∼ 522； . . . 2 5i 的阶为 22 当且仅当 (i, 22) = 1； . . . 3 满足条件的 i 为 1, 3, 5, 7, 9, 13, 15, 17, 19, 21; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 已知 5 是模 23 的一个原根，求 23 的全部原根。 . . . . . . . . . . 1 Z23 中的非零元可以表示为 51 ∼ 522； . . . 2 5i 的阶为 22 当且仅当 (i, 22) = 1； . . . 3 满足条件的 i 为 1, 3, 5, 7, 9, 13, 15, 17, 19, 21; . . . 4 模 23 的全部原根为 5, 7, 10, 11, 14, 15, 17, 19, 20, 21。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个进行判断，直到发现一个为原根的 a. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法如下：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法如下： . . . . . . . . . . 1 求出 p − 1 的所有非平凡因子 d；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法如下： . . . . . . . . . . 1 求出 p − 1 的所有非平凡因子 d； . . . 2 对每个 d 计算 ad (mod m)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . 求模 p 的原根 . . . . . . . 对模 p 的情形，原根必定存在。只要求出了一个，其它的也就容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法如下： . . . . . . . . . . 1 求出 p − 1 的所有非平凡因子 d； . . . 2 对每个 d 计算 ad (mod m)； . . . 3 如果每个 ad (mod m) 都不为 1，则表明 a 是原根，否则不是. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23) 对 3 进行验证 32 ≡ 9 (mod 23); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23) 对 3 进行验证 32 ≡ 9 (mod 23); 311 ≡ (32)5 · 3 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23) 对 3 进行验证 32 ≡ 9 (mod 23); 311 ≡ (32)5 · 3 ≡ (92)2 · 27 ≡ 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 23 的一个原根. . . . . . . . ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个验证。对 2 验证 22 ≡ 4 (mod 23)， 211 ≡ (22)5 · 2 ≡ (42)2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23) 对 3 进行验证 32 ≡ 9 (mod 23); 311 ≡ (32)5 · 3 ≡ (92)2 · 27 ≡ 122 · 4 ≡ 1 (mod 23) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) ≡ 1 (mod 23) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) ≡ 1 (mod 23) 对 5 的验证： 52 ≡ 2 (mod 23); 511 ≡ (52)5 · 5 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) ≡ 1 (mod 23) 对 5 的验证： 52 ≡ 2 (mod 23); 511 ≡ (52)5 · 5 ≡ (22)2 · 10 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) ≡ 1 (mod 23) 对 5 的验证： 52 ≡ 2 (mod 23); 511 ≡ (52)5 · 5 ≡ (22)2 · 10 ≡ 22 (mod 23) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 对 4 的验证： 42 ≡ 16 (mod 23); 411 ≡ (42)5 · 4 ≡ ((−7)2)2(−5) ≡ 1 (mod 23) 对 5 的验证： 52 ≡ 2 (mod 23); 511 ≡ (52)5 · 5 ≡ (22)2 · 10 ≡ 22 (mod 23) 5 是 23 的一个原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，有 (ab)uv ≡ (au)v(bv)u 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，有 (ab)uv ≡ (au)v(bv)u ≡ 1 (mod m)，即 d|uv. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，有 (ab)uv ≡ (au)v(bv)u ≡ 1 (mod m)，即 d|uv. 从 (ab)d ≡ 1 (mod m) 得到 adbd ≡ 1 (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，有 (ab)uv ≡ (au)v(bv)u ≡ 1 (mod m)，即 d|uv. 从 (ab)d ≡ 1 (mod m) 得到 adbd ≡ 1 (mod m). 两边 u 次方后，得到 bdu ≡ 1 (mod m)，所以 v|du ⇒ v|d. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 m 为正整数，a, b 为整数，且 δm(a) = u, δm(b) = v, (u, v) = 1. 则 δm(ab) = uv. . (分析) . . . . . . . . 设 δm(ab) = d，有 (ab)uv ≡ (au)v(bv)u ≡ 1 (mod m)，即 d|uv. 从 (ab)d ≡ 1 (mod m) 得到 adbd ≡ 1 (mod m). 两边 u 次方后，得到 bdu ≡ 1 (mod m)，所以 v|du ⇒ v|d. 类似地得到 u|d，有 uv|d. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面这个定理提供了一个求原根的有趣方法。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面这个定理提供了一个求原根的有趣方法。这个方法不是很实用，但我们可以了解一下。 . . . 1 求模 n 的原根就是要在 Zn 中找一个阶为 ϕ(n) 的元素（那样的元素未必存在，但这是后话）；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面这个定理提供了一个求原根的有趣方法。这个方法不是很实用，但我们可以了解一下。 . . . 1 求模 n 的原根就是要在 Zn 中找一个阶为 ϕ(n) 的元素（那样的元素未必存在，但这是后话）； . . . 2 若 ϕ(n) = st，且 (s, t) = 1；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面这个定理提供了一个求原根的有趣方法。这个方法不是很实用，但我们可以了解一下。 . . . 1 求模 n 的原根就是要在 Zn 中找一个阶为 ϕ(n) 的元素（那样的元素未必存在，但这是后话）； . . . 2 若 ϕ(n) = st，且 (s, t) = 1； . . . 3 碰巧我们找到了两个元素 a, b，它们的阶恰好分别为 s, t； . . . 4 ab 的阶为 st，正是所求。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 类似可以验证 δ41 (3) = 8 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 类似可以验证 δ41 (3) = 8 2, 3 的阶分别为 20, 8，不满足互素条件, 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 类似可以验证 δ41 (3) = 8 2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理： δ41 (24) = 20 (20, 4) = 5; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 类似可以验证 δ41 (3) = 8 2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理： δ41 (24) = 20 (20, 4) = 5; 24 · 3 的阶为 5 · 8 = 40，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的原根. . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；其非平凡因子有 2, 4, 5, 8, 10, 20, 40; . . . 2 对 2, 3, . . . 逐个求阶: 22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1 (mod 41)，所以 δ41 (2) = 20; 类似可以验证 δ41 (3) = 8 2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理： δ41 (24) = 20 (20, 4) = 5; 24 · 3 的阶为 5 · 8 = 40，7 是模 41 的一个原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d， . . . 2 存在某个 qi|n d 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d， . . . 2 存在某个 qi|n d . . . 3 n = d n d 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d， . . . 2 存在某个 qi|n d . . . 3 n = d n d ⇒ n qi = d n dqi 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d， . . . 2 存在某个 qi|n d . . . 3 n = d n d ⇒ n qi = d n dqi ⇒ d n qi 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 设 p 为奇素数，q1, q2, · · · , qk 为 p − 1 的所有不同素因子， g 是模 p 的原根的充分必要条件是 g p−1 qi ≡ 1 (mod p), i = 1, . . . , k. . (分析) . . . . . . . . . . . 1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d， . . . 2 存在某个 qi|n d . . . 3 n = d n d ⇒ n qi = d n dqi ⇒ d n qi ⇒ x p−1 qi ≡ 1 (mod m). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)； . . . 3 340 2 ≡ 40, 340 5 ≡ 1 (mod 41)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)； . . . 3 340 2 ≡ 40, 340 5 ≡ 1 (mod 41)； . . . 4 4 = 22，其阶是 2 的阶的一个因子；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)； . . . 3 340 2 ≡ 40, 340 5 ≡ 1 (mod 41)； . . . 4 4 = 22，其阶是 2 的阶的一个因子； . . . 5 540 2 ≡ 1 (mod 41)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)； . . . 3 340 2 ≡ 40, 340 5 ≡ 1 (mod 41)； . . . 4 4 = 22，其阶是 2 的阶的一个因子； . . . 5 540 2 ≡ 1 (mod 41)； . . . 6 640 2 ≡ 40, 640 5 ≡ 10 (mod 41)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . Example . . . . . . . . 求模 41 的一个原根。 . . . . . . . . . . 1 ϕ(41) = 40 = 23 · 5； . . . 2 240 2 ≡ 1 (mod 41)； . . . 3 340 2 ≡ 40, 340 5 ≡ 1 (mod 41)； . . . 4 4 = 22，其阶是 2 的阶的一个因子； . . . 5 540 2 ≡ 1 (mod 41)； . . . 6 640 2 ≡ 40, 640 5 ≡ 10 (mod 41)。 . . . 7 6 是模 41 的一个原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、除法。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、除法。整个验证运算的复杂度为 O(nt)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、除法。整个验证运算的复杂度为 O(nt)。不过，这个估计是在已知 n 全部素因子的前提下得到的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、除法。整个验证运算的复杂度为 O(nt)。不过，这个估计是在已知 n 全部素因子的前提下得到的。这个前提相当于已经分解了 n。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、除法。整个验证运算的复杂度为 O(nt)。不过，这个估计是在已知 n 全部素因子的前提下得到的。这个前提相当于已经分解了 n。但是对于比较大的 n，并没有已知的有效分解手段。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 我们知道，当 n 是素数时，模 n 的原根是存在的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加实验，我们就能知道，对于一般的 n，原根是不存在的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加实验，我们就能知道，对于一般的 n，原根是不存在的。现在我们将考虑如下的问题： . . . 1 对什么样的合数 n，原根是存在的？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加实验，我们就能知道，对于一般的 n，原根是不存在的。现在我们将考虑如下的问题： . . . 1 对什么样的合数 n，原根是存在的？ . . . 2 原根存在的情况下，如何快速地把它求出来？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，这等价于 ϕ(pαi i ) 是两两互素的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，这等价于 ϕ(pαi i ) 是两两互素的。 ϕ(pαi i ) = pαi i − pαi−1 i 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，这等价于 ϕ(pαi i ) 是两两互素的。 ϕ(pαi i ) = pαi i − pαi−1 i 几乎总是偶数；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，这等价于 ϕ(pαi i ) 是两两互素的。 ϕ(pαi i ) = pαi i − pαi−1 i 几乎总是偶数；如果 n 有两个奇数因子 pi, pj ，则 ϕ(pαi i ), ϕ(pαj j ) 有公因子 2。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 设 n = ∏ pαi i ，n 有原根 a . . . . . . . 令 d = lcm ϕ(pαi i ) ，有 d ∏ ϕ(pαi i ) = ϕ(n) ad ≡ 1 (mod pαi i ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d d = ϕ(n) 相当于 lcm (ϕ(pαi i )) = ∏ ϕ(pαi i )，这等价于 ϕ(pαi i ) 是两两互素的。 ϕ(pαi i ) = pαi i − pαi−1 i 几乎总是偶数；如果 n 有两个奇数因子 pi, pj ，则 ϕ(pαi i ), ϕ(pαj j ) 有公因子 2。若模 n 有原根，则 n 具有形式： 2αpβ, p 是奇素数。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若模 n 有原根，则 n 具有形式： 2αpβ。但具有这种形式的数 n 是否一定有原根呢？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若模 n 有原根，则 n 具有形式： 2αpβ。但具有这种形式的数 n 是否一定有原根呢？ . . . . . . . 先考虑简单的情形。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若模 n 有原根，则 n 具有形式： 2αpβ。但具有这种形式的数 n 是否一定有原根呢？ . . . . . . . 先考虑简单的情形。素数有原根，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若模 n 有原根，则 n 具有形式： 2αpβ。但具有这种形式的数 n 是否一定有原根呢？ . . . . . . . 先考虑简单的情形。素数有原根，素数的方幂是否也有原根呢？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若模 n 有原根，则 n 具有形式： 2αpβ。但具有这种形式的数 n 是否一定有原根呢？ . . . . . . . 先考虑简单的情形。素数有原根，素数的方幂是否也有原根呢？特别地，素数的平方是否有原根呢？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); (g − pt)pd ≡ 1 (mod p2) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); (g − pt)pd ≡ 1 (mod p2) ⇒ gpd + p2(. . .) ≡ 1 (mod p2); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); (g − pt)pd ≡ 1 (mod p2) ⇒ gpd + p2(. . .) ≡ 1 (mod p2); 即 gpd ≡ 1 (mod p2)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); (g − pt)pd ≡ 1 (mod p2) ⇒ gpd + p2(. . .) ≡ 1 (mod p2); 即 gpd ≡ 1 (mod p2)，由于 d p − 1，所以 d = p − 1。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？ . . . . . . . 注意到 g 可以比 p 大，我们把问题修改为：设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使得 rd = 1 + pδ; rpd = (1 + pδ)p = 1 + p2(. . .) ≡ 1 (mod p2); (g − pt)pd ≡ 1 (mod p2) ⇒ gpd + p2(. . .) ≡ 1 (mod p2); 即 gpd ≡ 1 (mod p2)，由于 d p − 1，所以 d = p − 1。结论：若 g 是模 p2 的原根，则 g (mod p) 是模 p 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；也有 gd ≡ 1 (mod p); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；也有 gd ≡ 1 (mod p); 由于 g 是 p 的原根，所以 p − 1 | d；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；也有 gd ≡ 1 (mod p); 由于 g 是 p 的原根，所以 p − 1 | d；由于 g 模 p2 的阶是 d，所以 d | ϕ(p2)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；也有 gd ≡ 1 (mod p); 由于 g 是 p 的原根，所以 p − 1 | d；由于 g 模 p2 的阶是 d，所以 d | ϕ(p2)；于是 p − 1 | d | p(p − 1); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？ . . . . . . . 设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2)；也有 gd ≡ 1 (mod p); 由于 g 是 p 的原根，所以 p − 1 | d；由于 g 模 p2 的阶是 d，所以 d | ϕ(p2)；于是 p − 1 | d | p(p − 1); 结论：g 的阶 d 要么是 p(p − 1)，要么是 p − 1。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1; (g + pt)p−1 = gp−1 + (p − 1)gp−2pt + p2(. . .); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1; (g + pt)p−1 = gp−1 + (p − 1)gp−2pt + p2(. . .); (g + pt)p−1 ≡ 1 − gp−2pt (mod p2); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1; (g + pt)p−1 = gp−1 + (p − 1)gp−2pt + p2(. . .); (g + pt)p−1 ≡ 1 − gp−2pt (mod p2); 由于 (g, p) = 1，所以只要让 p t ，就有 (g + pt)p−1 ≡ 1 (mod p2)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如果是前者，g 就是模 p2 的原根，但如果是后者呢？ . . . . . . . 若 g 是 p2 的原根，则 g (mod p) 是 p 的原根；考虑 g + pt 形式的数，看能否找到合适的 t 。容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1; (g + pt)p−1 = gp−1 + (p − 1)gp−2pt + p2(. . .); (g + pt)p−1 ≡ 1 − gp−2pt (mod p2); 由于 (g, p) = 1，所以只要让 p t ，就有 (g + pt)p−1 ≡ 1 (mod p2)；结论，如果 p 的原根 g 模 p2 的阶为 p − 1，则 g + p 模 p2 的阶为 p(p − 1)。即 g + p 是模 p2 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 g 是模 p 的原根，则 g 或 g + p 中必有一个是模 p2 的原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 g 是模 p 的原根，则 g 或 g + p 中必有一个是模 p2 的原根. . (证明纲要) . . . . . . . . . . . 1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 g 是模 p 的原根，则 g 或 g + p 中必有一个是模 p2 的原根. . (证明纲要) . . . . . . . . . . . 1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1). . . . 2 如果 δp2 (g) = p(p − 1)，则 g 是模 p2 的原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 若 g 是模 p 的原根，则 g 或 g + p 中必有一个是模 p2 的原根. . (证明纲要) . . . . . . . . . . . 1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1). . . . 2 如果 δp2 (g) = p(p − 1)，则 g 是模 p2 的原根. . . . 3 如果 δp2 (g) = (p − 1)，则 δp2 (g + p) = p(p − 1) = ϕ(p2). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . 在前面的证明中，即使 p = 2，仍然是成立的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t gp(p−1) = (1 + pt)p 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t gp(p−1) = (1 + pt)p = 1 + p2t + p3(. . .); 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t gp(p−1) = (1 + pt)p = 1 + p2t + p3(. . .); gp(p−1) ≡ 1 (mod p3)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t gp(p−1) = (1 + pt)p = 1 + p2t + p3(. . .); gp(p−1) ≡ 1 (mod p3)，g 的阶只能是 p2(p − 1) = ϕ(p3)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ . . . . . . . 设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2, p3) p(p − 1) | d | p2(p − 1)，d = p(p − 1) 或 p2(p − 1)；由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2); 由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得 gp−1 = 1 + pt, p t gp(p−1) = (1 + pt)p = 1 + p2t + p3(. . .); gp(p−1) ≡ 1 (mod p3)，g 的阶只能是 p2(p − 1) = ϕ(p3)；若 g 是模 p2 的原根，则 g 是模 p3 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . . . . 1 前面的论证有个小毛病；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . . . . 1 前面的论证有个小毛病； . . . 2 在打了的一行；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . . . . 1 前面的论证有个小毛病； . . . 2 在打了的一行； . . . 3 若 p = 2，那一行的二项展开式是错误的，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . . . . 1 前面的论证有个小毛病； . . . 2 在打了的一行； . . . 3 若 p = 2，那一行的二项展开式是错误的，所以前面的论证只对奇素数 p 才起作用。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 注意 . . . . . . . . . . . 1 前面的论证有个小毛病； . . . 2 在打了的一行； . . . 3 若 p = 2，那一行的二项展开式是错误的，所以前面的论证只对奇素数 p 才起作用。 . . . . . . . 仿照前面的方法，可以把这个结论推广到 pl, l 2 的情形，其中 p 是个奇素数。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. . (证明纲要) . . . . . . . . 若 g 是 pl−1 的原根，则课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. . (证明纲要) . . . . . . . . 若 g 是 pl−1 的原根，则 . . . 1 g 模 pl 的阶只能为 pl−2(p − 1) 或 pl−1(p − 1). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. . (证明纲要) . . . . . . . . 若 g 是 pl−1 的原根，则 . . . 1 g 模 pl 的阶只能为 pl−2(p − 1) 或 pl−1(p − 1). . . . 2 gpl−3(p−1) ≡ 1 (mod pl−2) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. . (证明纲要) . . . . . . . . 若 g 是 pl−1 的原根，则 . . . 1 g 模 pl 的阶只能为 pl−2(p − 1) 或 pl−1(p − 1). . . . 2 gpl−3(p−1) ≡ 1 (mod pl−2) . . . 3 gpl−3(p−1) ≡ 1 (mod pl−1) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl(l 2) 的原根. . (证明纲要) . . . . . . . . 若 g 是 pl−1 的原根，则 . . . 1 g 模 pl 的阶只能为 pl−2(p − 1) 或 pl−1(p − 1). . . . 2 gpl−3(p−1) ≡ 1 (mod pl−2) . . . 3 gpl−3(p−1) ≡ 1 (mod pl−1) . . . 4 所以 gpl−3(p−1) = 1 + pl−2t, p t 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . (证明纲要—续) . . . . . . . . 对 gpl−3(p−1) = 1 + pl−2t, p t 两边 p 次方得到 gpl−2(p−1) = 1 + pl−1t + plΔ. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . (证明纲要—续) . . . . . . . . 对 gpl−3(p−1) = 1 + pl−2t, p t 两边 p 次方得到 gpl−2(p−1) = 1 + pl−1t + plΔ. 所以 gpl−2(p−1) ≡ 1 + pl−1t (mod pl). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . (证明纲要—续) . . . . . . . . 对 gpl−3(p−1) = 1 + pl−2t, p t 两边 p 次方得到 gpl−2(p−1) = 1 + pl−1t + plΔ. 所以 gpl−2(p−1) ≡ 1 + pl−1t (mod pl). 由于 p t，所以课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . (证明纲要—续) . . . . . . . . 对 gpl−3(p−1) = 1 + pl−2t, p t 两边 p 次方得到 gpl−2(p−1) = 1 + pl−1t + plΔ. 所以 gpl−2(p−1) ≡ 1 + pl−1t (mod pl). 由于 p t，所以 gpl−2(p−1) ≡ 1 (mod pl). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . (证明纲要—续) . . . . . . . . 对 gpl−3(p−1) = 1 + pl−2t, p t 两边 p 次方得到 gpl−2(p−1) = 1 + pl−1t + plΔ. 所以 gpl−2(p−1) ≡ 1 + pl−1t (mod pl). 由于 p t，所以 gpl−2(p−1) ≡ 1 (mod pl). g 是模 pl 的原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 形式已经处理完毕，现在考虑 2l 形式的数是否存在原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 形式已经处理完毕，现在考虑 2l 形式的数是否存在原根。 . . . . . . . 容易验证，当 l = 1, 2 时，模 2l 都有原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)； 52l−3 ≡ 1 (mod 2l)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)； 52l−3 ≡ 1 (mod 2l)； 52l−2 = (52l−3 )2 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)； 52l−3 ≡ 1 (mod 2l)； 52l−2 = (52l−3 )2 ≡ (1 + 2l−1)2 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)； 52l−3 ≡ 1 (mod 2l)； 52l−2 = (52l−3 )2 ≡ (1 + 2l−1)2 ≡ 1 (mod 2l)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 引理 . . . . . . . . 设 l 3，则 5 模 2l 的阶为 2l−2。 . . . . . . . 用数学归纳法容易证明 52l−3 ≡ 1 + 2l−1 (mod 2l)； 52l−3 ≡ 1 (mod 2l)； 52l−2 = (52l−3 )2 ≡ (1 + 2l−1)2 ≡ 1 (mod 2l)； 5 模 2l 的阶为 2l−2. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余； B = {−5b | 0 b < 2l−2} 模 2l 两两不同余；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余； B = {−5b | 0 b < 2l−2} 模 2l 两两不同余； A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所以 A ∪ B 中的数模 2l 两两不同余；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余； B = {−5b | 0 b < 2l−2} 模 2l 两两不同余； A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所以 A ∪ B 中的数模 2l 两两不同余； A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余； B = {−5b | 0 b < 2l−2} 模 2l 两两不同余； A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所以 A ∪ B 中的数模 2l 两两不同余； A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l)，所以 A ∪ B 是模 2l 的一个缩系。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 当 l 3 时，模 2l 没有原根。 . . . . . . . A = {5b | 0 b < 2l−2} 模 2l 两两不同余； B = {−5b | 0 b < 2l−2} 模 2l 两两不同余； A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所以 A ∪ B 中的数模 2l 两两不同余； A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l)，所以 A ∪ B 是模 2l 的一个缩系。 A ∪ B 中每个元素的阶都不超过 2l−2，所以模 2l 没有原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 前面定理的一个更强一些的表述如下：设 l 3，对任一奇数 a，必有一 b，使得 a ≡ (−1)a−1 2 · 5b (mod 2l). 因而 a 模 2l 的阶都小于 2l−2 < φ(2l)，所以模 2l(l 3) 没有原根. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 前面定理的一个更强一些的表述如下：设 l 3，对任一奇数 a，必有一 b，使得 a ≡ (−1)a−1 2 · 5b (mod 2l). 因而 a 模 2l 的阶都小于 2l−2 < φ(2l)，所以模 2l(l 3) 没有原根. . . . . . . . 记号如前。对任意奇数 a，由于 (a, 2l) = 1，所以总与 A, B 中的某个数同余；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 前面定理的一个更强一些的表述如下：设 l 3，对任一奇数 a，必有一 b，使得 a ≡ (−1)a−1 2 · 5b (mod 2l). 因而 a 模 2l 的阶都小于 2l−2 < φ(2l)，所以模 2l(l 3) 没有原根. . . . . . . . 记号如前。对任意奇数 a，由于 (a, 2l) = 1，所以总与 A, B 中的某个数同余；若 a ≡ 1 (mod 4)，则 a ∈ A，存在某数 b 使得 a ≡ 5b (mod 2l)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 前面定理的一个更强一些的表述如下：设 l 3，对任一奇数 a，必有一 b，使得 a ≡ (−1)a−1 2 · 5b (mod 2l). 因而 a 模 2l 的阶都小于 2l−2 < φ(2l)，所以模 2l(l 3) 没有原根. . . . . . . . 记号如前。对任意奇数 a，由于 (a, 2l) = 1，所以总与 A, B 中的某个数同余；若 a ≡ 1 (mod 4)，则 a ∈ A，存在某数 b 使得 a ≡ 5b (mod 2l)，即 a ≡ (−1)a−1 2 5b (mod 2l)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使得 a ≡ −5b (mod 2l)，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使得 a ≡ −5b (mod 2l)，由于 2 a−1 2 ，所以 a ≡ (−1)a−1 2 5b (mod 2l). 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使得 a ≡ −5b (mod 2l)，由于 2 a−1 2 ，所以 a ≡ (−1)a−1 2 5b (mod 2l). 关于阶的讨论与前定理同。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。于是 ad ≡ 1 (mod 2αpβ) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。于是 ad ≡ 1 (mod 2αpβ) ⇒ ad ≡ 1 (mod n)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。于是 ad ≡ 1 (mod 2αpβ) ⇒ ad ≡ 1 (mod n)。由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。于是 ad ≡ 1 (mod 2αpβ) ⇒ ad ≡ 1 (mod n)。由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；这相当于 gcd(2α−1, pβ − pβ−1) = 1。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . pl 情形和 2l 情形都已经处理完毕，现在考虑 2αpβ, α, β 均大于 0 的情形。 . . . . . . . ϕ(n) = ϕ(2α)ϕ(pβ) = 2α−1(pβ − pβ−1)。设 d = lcm (ϕ(2α), ϕ(pβ)) = lcm (2α−1, pβ − pβ−1)；对任意与 n 互素的 a，有 ad ≡ 1 (mod 2α)，和 ad ≡ 1 (mod pβ)。于是 ad ≡ 1 (mod 2αpβ) ⇒ ad ≡ 1 (mod n)。由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；这相当于 gcd(2α−1, pβ − pβ−1) = 1。 pβ − pβ−1 是偶数，所以 α = 1。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的讨论表明当 n = 2αpβ，α 2, β 1 时，模 n 没有原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 前面的讨论表明当 n = 2αpβ，α 2, β 1 时，模 n 没有原根。于是只剩下一种情形： 2pl, l 1. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d： ϕ(2pl) = ϕ(2)ϕ(pl) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d： ϕ(2pl) = ϕ(2)ϕ(pl) = ϕ(pl)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d： ϕ(2pl) = ϕ(2)ϕ(pl) = ϕ(pl)； d | ϕ(2pl) ⇒ d | ϕ(pl)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d： ϕ(2pl) = ϕ(2)ϕ(pl) = ϕ(pl)； d | ϕ(2pl) ⇒ d | ϕ(pl)； gd ≡ 1 (mod 2pl) ⇒ gd ≡ 1 (mod pl) ⇒ ϕ(pl) | d；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . 定理 . . . . . . . . 存在模 2pl, p 3 的原根。 . (分析) . . . . . . . . 设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d： ϕ(2pl) = ϕ(2)ϕ(pl) = ϕ(pl)； d | ϕ(2pl) ⇒ d | ϕ(pl)； gd ≡ 1 (mod 2pl) ⇒ gd ≡ 1 (mod pl) ⇒ ϕ(pl) | d； d = ϕ(pl)。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；但如果我们求出的 pl 原根是个偶数呢？课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；但如果我们求出的 pl 原根是个偶数呢？因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；但如果我们求出的 pl 原根是个偶数呢？因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。此时考虑 g = g + pl，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；但如果我们求出的 pl 原根是个偶数呢？因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。此时考虑 g = g + pl，它模 pl 的阶仍然是 ϕ(pl)，但却是个奇数, 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的原根；但如果我们求出的 pl 原根是个偶数呢？因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。此时考虑 g = g + pl，它模 pl 的阶仍然是 ϕ(pl)，但却是个奇数,即模 pl 的奇原根。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

模 m 的阶 k 次剩余原根 . . . . . . . 综合前面所述，我们最终有如下定理： . 定理 . . . . . . . . 模 m 有原根当且仅当 m 满足条件：m = 2, 4, pl 或 2pl，这里 p 为奇素数. 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . § 2.5 RSA 公钥密码体制课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统的对称机密体制：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统的对称机密体制： . . . . . . . . . . 1 双方事先约定一个密钥 k；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统的对称机密体制： . . . . . . . . . . 1 双方事先约定一个密钥 k； . . . 2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运算课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统的对称机密体制： . . . . . . . . . . 1 双方事先约定一个密钥 k； . . . 2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运算 c = E(m, k) 变为密文 c 后发给接收方； . . . 3 接收到密文后，把 E 的逆函数 D 作用在 c 上，得到 D(c, k) 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统的对称机密体制： . . . . . . . . . . 1 双方事先约定一个密钥 k； . . . 2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运算 c = E(m, k) 变为密文 c 后发给接收方； . . . 3 接收到密文后，把 E 的逆函数 D 作用在 c 上，得到 D(c, k) = m; 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。在这种系统中，每个用户有两个密钥，一个公开，一个保密，分别称为公钥和私钥。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。在这种系统中，每个用户有两个密钥，一个公开，一个保密，分别称为公钥和私钥。若用户甲要跟乙通信，可以用乙的公开密钥加密信息，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。在这种系统中，每个用户有两个密钥，一个公开，一个保密，分别称为公钥和私钥。若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些加密后的信息理论上只有知道乙私钥的人（也就是乙）才能解密。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。在这种系统中，每个用户有两个密钥，一个公开，一个保密，分别称为公钥和私钥。若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些加密后的信息理论上只有知道乙私钥的人（也就是乙）才能解密。这样就免去了事先约定密钥的麻烦。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . 传统对称方案的不足和非对称方案的提出： . . . . . . . 在不同的通信中要使用不同的密钥，当用户很多时，就很不方便。在 20 世纪 70 年代，有人提出了公钥密码的概念。在这种系统中，每个用户有两个密钥，一个公开，一个保密，分别称为公钥和私钥。若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些加密后的信息理论上只有知道乙私钥的人（也就是乙）才能解密。这样就免去了事先约定密钥的麻烦。最著名的公钥加密体制是 RSA。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。 . . . . . . . . . . 1 乙选取两个大的素数 p, q，并计算 n = pq；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。 . . . . . . . . . . 1 乙选取两个大的素数 p, q，并计算 n = pq； . . . 2 乙计算 ϕ(n) = (p − 1)(q − 1)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。 . . . . . . . . . . 1 乙选取两个大的素数 p, q，并计算 n = pq； . . . 2 乙计算 ϕ(n) = (p − 1)(q − 1)； . . . 3 乙选取一个 e，满足 (e, ϕ(n)) = 1，课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。 . . . . . . . . . . 1 乙选取两个大的素数 p, q，并计算 n = pq； . . . 2 乙计算 ϕ(n) = (p − 1)(q − 1)； . . . 3 乙选取一个 e，满足 (e, ϕ(n)) = 1，并计算 d 使得 ed ≡ 1 (mod ϕ(n))；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公钥体制。 . . . . . . . . . . 1 乙选取两个大的素数 p, q，并计算 n = pq； . . . 2 乙计算 ϕ(n) = (p − 1)(q − 1)； . . . 3 乙选取一个 e，满足 (e, ϕ(n)) = 1，并计算 d 使得 ed ≡ 1 (mod ϕ(n))； . . . 4 e, n 作为公钥发布，d, p, q 作为私钥保密；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。 . . . 3 甲知道乙的公钥 (e, n)，计算密文 c = me (mod n)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。 . . . 3 甲知道乙的公钥 (e, n)，计算密文 c = me (mod n)； . . . 4 乙在收到 c 后，计算 cd 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。 . . . 3 甲知道乙的公钥 (e, n)，计算密文 c = me (mod n)； . . . 4 乙在收到 c 后，计算 cd ≡ med 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。 . . . 3 甲知道乙的公钥 (e, n)，计算密文 c = me (mod n)； . . . 4 乙在收到 c 后，计算 cd ≡ med ≡ med 课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 方案的使用： . . . . . . . . . . 1 若甲要与乙通信，则把要发送的信息转换成一个整数 m < n； . . . 2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素的可能性极低。 . . . 3 甲知道乙的公钥 (e, n)，计算密文 c = me (mod n)； . . . 4 乙在收到 c 后，计算 cd ≡ med ≡ med ≡ m (mod n)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性：课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行因子分解。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行因子分解。在 n 很大的时候，因子分解是个未解决的数学难题。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

. . . . . . . RSA 的安全性： . . . . . . . 若丙窃听了通信，得到了密文 c = me (mod n)；虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已知的有效方法能从中确定 m；若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行因子分解。在 n 很大的时候，因子分解是个未解决的数学难题。在实践中，一般取 p, q 为 512 比特的素数，这样 n 有 1024 比特。这个规模的 n, p, q 在当前还是安全的。课件制作：张晓磊裴定一、徐详《信息安全数学基础》

本节完，谢谢！磊张印晓课件制作：张晓磊裴定一、徐详《信息安全数学基础》

信息安全数学基础：第2章：同余式（下）

信息安全数学基础：第2章：同余式（下）

More Decks by zxl

Other Decks in Education

Featured

Transcript