离散数学P5 Number Theory II

【P5】 -Mathematics for Computer Science_哔哩哔哩_bilibili

Lec 5 | MIT 6.042J Mathematics for Computer Science, Fall 2010 - YouTube

 

Encryption:

Beforehand: keys are exchanged

Encryption: m'=E(keys,m) 通过keys加密m得到m'

Decryption:m=D(kyes,m') 通过keys解密m'得到m

 

Turing code V1

v i c t o r y → 22 09 03 20 15 18 25

末尾后面加个13变成质数2209032015182513，在密码学和数论的一些应用中，例如艾伦·图灵的一些工作，这个数字被用作一个质数。

Beforehand: exchange a secret prime 

Encryption:m'=m*k

Decryption:we receive m' and we know k, m=m'/k

在数学中，trivial 通常指：

显然的、无内容的、极简单的（解或情况）

Hard to factor the product of 2 large primes.

难以分解两个大素数的乘积

“难以分解两个大素数的乘积”这句话指的是，当你有两个非常大的素数（比如，每个素数都有几百位甚至上千位），它们的乘积会得到一个同样非常大的合数。从这个合数反过来找出最初的两个素数因子，在计算上是极其困难的。

---

为什么不能简单地用计算机循环处理？

你可能会想，为什么不能用计算机简单地通过 for 循环来处理呢？原因如下：

• 天文数字般的计算量： 假设你有一个非常大的合数 $N$，$N$ 是由两个大素数 $p$ 和 $q$ 相乘得到的（即 $N=p\times q$）。如果我们要用 for 循环从 $2$ 开始，一直尝试到 sqrtN（因为如果 $N$ 有一个因子大于 sqrtN，那么它必然有一个因子小于 sqrtN​），来检查每个数是否能整除 $N$，这个 sqrtN​ 会是一个天文数字。

  举个例子，如果 $N$ 是一个 2048 位（二进制）的数字，那么 sqrtN大约是 21024。这意味着你需要检查大约 21024 个可能的因子。地球上所有的计算机加起来，即使从宇宙大爆炸开始计算到现在，也远远无法完成这么庞大的计算量。这是一个计算上不可行的问题。

• 没有高效的算法： 尽管计算机的速度非常快，但对于这种特定类型的问题，目前还没有已知的高效算法（即多项式时间算法）能够快速地找到大数的素因子。这就是大数因子分解问题，它是现代密码学（例如 RSA 加密算法）的基石。RSA 的安全性正是基于这样一个事实：虽然用两个大素数生成它们的乘积很容易，但从乘积中反向找出这两个素数却异常困难。

• 量子计算的潜在威胁： 值得一提的是，虽然经典计算机无法高效地解决大数因子分解问题，但理论上，量子计算机（如果能建造出来）可以使用 Shor 算法在多项式时间内高效地解决这个问题。这就是为什么量子计算的发展对现有的一些加密体系构成了潜在的威胁。

 

m1'=m1*k

m2'=m2*k

gcd(m1',m2')=k

 

Turing Code V2

Beforehand: exchange a public prime p, a secret prime k

Encryption: message as a number m range {0,1,2,...,p-1}

                  compute m'=rem(mk,p)

Decrption: ？

 

✅ iff 是 “if and only if” 的缩写

这是一个严密的逻辑术语，意思是：

当且仅当（必要且充分条件）

a, b relatively prime, iff gcd(a,b)=1, iff sa+tb=1

在数论中：模意义下的同余

Two integers are congruent modulo n if they have the same remainder when divided by n.

• 用法：
  a≡b(mod  n)
  表示 a−b 能被 $n$ 整除。

• 例如：
  17≡5(mod  12)，因为 17−5=12，能被 12 整除  17/12余数是5， 5/12余数还是5

当你遇到 $a\equiv b(\mathrm{mod}n)$，可以用这两个思路快速验证：

• 余数法：分别算 $a\mathrm{mod}n$ 和 $b\mathrm{mod}n$

• 差法：看 $a-b$ 是否能整除 $n$

 

Def: x is congruent to y modulo n: x$\equiv y\; (mod\; n)\; iff\; n|(x-y)$

31$\equiv 16\; (mod\; 5)$

 

Def: The multiplicative inverse x mod n is a number x^-1, range in {0,1,...,n-1} such that x*x^-1$\equiv$1(mod n) 乘法逆元

2*3=6≡1(mod 5)   这里6-1是5，5可以整除5

2≡3^-1 (mod 5)

3≡2^-1 (mod 5)

 

5*5≡1 (mod 6)  这里25-1=24，可以整除6

5≡5^-1 (mod 6)

乘法逆元是否唯一？

是的，在模 n 下，若逆元存在，它是唯一的（模 n 意义下）。

在模 5 意义下：只有一个解（模 5 的余数为 3） 因为乘法逆元定义的时候，要求解的范围是0<=x^-1<p

 

00:20:53开始

m'=rem(mk,p) 也就是m'≡mk (mod p) 后面是同余的写法

if k*k^-1≡1 (mod p)  then m'k^-1≡mk*k^-1≡m(mod p)

00:2:30得到下面的求解

Decryption  m=rem(m'k^-1,p)

 

k⋅k⁻¹≡1(modp)：这是一个关键条件。它表明 $k$ 和 k⁻¹ 互为模 $p$ 的逆元。在密码学中，$k$ 通常是加密密钥，k⁻¹ 则是解密密钥。

• m′k⁻¹≡mk⋅k⁻¹(modp)：m'≡mk (mod p) 等式两边同时乘以k⁻¹得到m′k⁻¹≡mk⋅k⁻¹(modp) 这里右侧实际就是m了

  • 我们将加密后的消息 m′ 乘以解密密钥 k⁻¹。

  • 由于我们知道 m′≡mk(modp)，所以 m′k⁻¹ 实际上就等同于 (mk)k⁻¹⁽modp)。

• mk⋅k⁻¹≡m(modp)：  因为m'$\equiv$mk (mod p)，所以可以把同余的等式左侧的m'直接替换为mk。

  • m′k⁻¹≡mk⋅k⁻¹(modp) 左侧用mk替换m', mkk^-1; 而右侧就是m

  • 利用结合律，(mk)k⁻¹ 可以写成 m(kk⁻¹)。

  • 因为 kk⁻¹≡1(modp)，所以 m(kk⁻¹)≡m⋅1(modp)，也就是 $m(\mathrm{mod}p)$。

因此，这个等式链的含义是：如果我们用加密密钥 $k$ 的模逆元 k⁻¹ 来乘以加密后的消息 m′，再对 $p$ 取模，我们就可以得到原始消息 $m$。

所以通过m'解密m的时候，m'k^-1就可以得到m， k和k^-1是针对mod p而言的

 

公式

m′=m⋅k mod p⟹m=m′⋅k⁻¹ mod p

成立且能“精确”恢复  的前提条件就是：

1. p 为整数且 >1。

2. $\gcd (k,p)=1，也就是互素$

3. 若要恢复原始整数 m（而非仅仅同余类），需保证 $0\le m<p$。

精确恢复 $m$ 的前提条件

 

为了能够“精确”地恢复原始整数 $m$ (而不仅仅是它的同余类)，以下前提条件必须满足：

• $p$ 必须是大于 1 的整数。 模数 $p$ 需要是一个大于 1 的正整数，这样模运算才有明确的定义。

• $\text{gcd}(k,p)=1$ (即 $k$ 和 $p$ 互素)。 这是至关重要的条件。如果 k⁻¹⁽modp) 想要存在 (即 $k$ 模 $p$ 存在乘法逆元)，那么 $k$ 和 $p$ 必须互素。如果它们不互素，那么 k⁻¹(modp) 不存在，您就无法通过这种方式恢复 $m$。

• $0\le m<p$。 如果您想恢复的是精确的原始整数 $m$，而不是仅仅它的同余类，那么这个条件是必不可少的。模运算本质上处理的是余数。如果 $m$ 落在这个 $[0,p-1)$ 的范围内，那么它模 $p$ 的表示是唯一的，并且应用模逆运算将能完美地恢复它。如果 $m$ 超出这个范围 (例如，$m=p+5$)，那么 $m(\mathrm{mod}p)$ 将是 $5$，您恢复到的将会是 $5$ 而不是 $p+5$。

k=49 p=97

k^-1=2  因为49*2=98, 98 mod 97=1

sample m=13

加密过程 m'=mk mod p=13*49 mod 97=637 mod 97=55

通过m'解密出m:

m=m'k-1 mod p=55*2 mod 97=13

 

k=48 p=95

k*k^-1-1=95  所以k^-1=2

sample m=15

m'=mk mod p=15*48 mod 95=55

m=m'k^-1 mod p=55*2 mod 95=15

 

k=47 p=95

首先，我们用欧几里得算法来找到 $\text{gcd}(47,95)$：

$95=2\cdot 47+1$

现在，我们可以反向替换来表示 1：

$1=95-2\cdot 47$

为了让它更符合 $ax+by=\text{gcd}(a,b)$ 的形式，我们可以写成：

$1=1\cdot 95+(-2)\cdot 47$

从这个等式中，我们可以看出 $-2\cdot 47\equiv 1(\mathrm{mod}95)$。

所以 $x=-2$。

由于我们通常希望结果是正数，我们可以将 $-2$ 加上模数 95：

$-2+95=93$

sample m=15 k=47 p=95

m'=mk mod p=15*47 mod 95=705 mod 95=705-7*95=705-665=40

m=m'k^-1 mod 95=40*93 mod 95=3720 mod 95=3720-39*95=3720-3705=15

 

$7\equiv 2(\mathrm{mod}5)$ 和 k⋅k−1≡1(modp) 在形式上都使用了“$\equiv (\mathrm{mod}\text{modulus})$”这个符号，这使得它们看起来相似，也常常让初学者感到困惑。

---

 

“$\equiv (\mathrm{mod}n)$”的含义：同余的标志

 

这个符号“$\equiv (\mathrm{mod}n)$”本身就叫做同余符号。它的核心含义是：符号左边的表达式和符号右边的表达式在模 $n$ 的意义下是“等价的”或“有相同余数的”。

所以，无论它连接的是两个简单的整数，还是一个复杂的算式和另一个整数，它表达的都是这种模意义下的等价关系。

---

 

为什么会混淆？

 

混淆的原因在于：

1. 符号相同： 都是 $\equiv (\mathrm{mod}n)$。

2. 都发生在模运算的环境中： 无论是同余关系还是模逆元，它们都离不开模数 $n$。

---

 

理解关键：它们所连接和表达的内容不同

 

虽然使用的符号相同，但它们在不同语境下连接的对象和表达的深层数学概念是不同的：

 

1. $7\equiv 2(\mathrm{mod}5)$: 表示两个数的同余关系

 

• 连接对象： 两个独立的整数（$7$ 和 $2$）。

• 表达： 它们各自除以 $5$ 后的余数是相同的（都是 $2$）。这意味着 $7$ 和 $2$ 在模 $5$ 的世界里，被认为是**“一样”的**。它们属于同一个同余类。

 

2. k⋅k⁻¹≡1(modp): 表示一个数和它的模乘法逆元相乘的结果

 

• 连接对象： 一个乘法表达式 (k⋅k⁻¹⁾ 和一个特殊的值 ($1$)。

• 表达： $k$ 乘以 k⁻¹ 的结果，在模 $p$ 的意义下，等价于 $1$。这里的 $1$ 并不是任意一个整数，而是模 $p$ 意义下的乘法单位元。这个表达式的核心在于定义了 k−1 的性质：它是那个能把 $k$ “变回”单位元 $1$ 的数。

---

 

类比理解

 

你可以这样想：

• 同余关系 $a\equiv b(\mathrm{mod}n)$ 就像是说：“张三和李四在今天轮班表上都被分配到了上午班。”——他们都属于“上午班”这个分类。

• 模逆元关系 k⋅k−1≡1(modp) 就像是说：“解药A和毒药B结合后，能使病人恢复正常。”——解药A（k⁻¹）的作用是抵消毒药B（$k$）的效果，使得结果（病人的状态）回到“正常”这个标准状态（单位元 $1$）。

---

所以，尽管表面符号相似，理解其连接的是什么以及表达的深层含义是区分它们的关键。一个说的是“等价”，另一个说的是“逆运算产生单位元”。

 

Known-plaintext attack

know message m and encryption m'=rem(mk, p)

m'=mk mod p

gcd(m,p)=1  p is a public prime

compute m^-1 such that m*m-1$\equiv 1\; (mod\; p)$

m'*m^-1≡km*m^-1≡k (mod p)

有了k和p,就可以计算出k和k^-1。就可以compute k^-1 mod p，这样就可以使用解密公式m=m'k^-1 mod p

推导m'=mk mod p  等式两边同时乘以m^-1  m'*m^-1=mk m^-1 mod p  这里就是上面的m*m^-1≡km*m^-1

利用乘法逆元的性质进行简化

现在我们看右边 (mk)⋅m⁻¹。根据乘法的结合律，我们可以重新组合项： (mk)⋅m⁻¹=k⋅(m⋅m⁻¹)

而我们知道 m⋅m⁻¹≡1(modp)（这是乘法逆元的定义）。 所以，将其代入上式： k⋅(m⋅m⁻¹)≡k⋅1(modp) 所以k⋅1≡k(modp) 这就是上面的km*m^-1≡k (mod p)

这行的意义在于：

它表明了，只要我们知道加密用的明文 $m$ 和得到的密文 m′，并且知道模数 $p$（它是一个公开的素数），我们就可以通过以下步骤来计算出密钥 $k$：

1. 计算明文 $m$ 在模 $p$ 意义下的乘法逆元 m⁻¹。

2. 将密文 m′ 乘以这个逆元 m⁻¹。

3. 所得的结果再模 $p$，就是我们想要找的密钥 $k$。

这正是已知明文攻击的基本原理：通过已知的输入和输出，反推出加密过程中的秘密参数（密钥）。

 

Def: Euler's Totient Function, φ(n) denotes the number of integers in {1,2,3,...,n-1} that are relatively prime to n.

📘 词典定义（专业）

totient (noun): the number of positive integers less than or equal to a given integer that are relatively prime to it.

例如：

• $\phi (9)=6$，因为 1,2,4,5,7,8都与 9 互素。

• $\phi (12)=4,，因为1,5,7,11都与12互素$

 

Eluer's theorem: If gcd(n,k)=1  =>k^φ(n)$\equiv 1\; (mod\; n)$

Lemma: if gcd(n,k)=1,  ak$\equiv bk\; (mod\; n)\; =>\; a\equiv b\; (mod\; n)$

证明

 

已知条件:

1. $\text{gcd}(n,k)=1$ (即 $n$ 和 $k$ 互素)

2. $ak\equiv bk(\mathrm{mod}n)$

要证明: $a\equiv b(\mathrm{mod}n)$

---

证明步骤:

1. 利用同余的定义转换: 根据同余的定义，$ak\equiv bk(\mathrm{mod}n)$ 意味着 $n$ 能够整除 $(ak-bk)$。 所以，我们可以写成： $ak-bk=cn$ (对于某个整数 $c$)

2. 提取公因数 $k$: 从等式左边提取公因数 $k$： $k(a-b)=cn$

3. 利用互素的性质: 我们有 $k(a-b)=cn$，这意味着 $n$ 整除 $k(a-b)$。 由于已知条件 $\text{gcd}(n,k)=1$（即 $n$ 和 $k$ 互素），根据数论中的欧几里得引理 (Euclid's Lemma)，如果一个素数（或任何整数）整除两个数的乘积，并且它与其中一个数互素，那么它必然整除另一个数。 尽管 $n$ 不一定是素数，但欧几里得引理的更一般形式是：如果 $n\mid xy$ 且 $\text{gcd}(n,x)=1$，那么 $n\mid y$。

   在这里，我们有 $n\mid k(a-b)$ 且 $\text{gcd}(n,k)=1$。 因此，根据欧几里得引理，$n$ 必须整除 $(a-b)$。

4. 转换回同余形式: 根据同余的定义，如果 $n$ 整除 $(a-b)$，那么 $a\equiv b(\mathrm{mod}n)$。

---

证毕。

 

 

直接说两边可以乘以 k⁻¹ 来证明是完全正确且严谨的。

---

 

为什么这样做是正确的？

 

当你提到“乘以 k⁻¹”时，你隐含了两个关键信息：

1. k⁻¹ 的存在性： 只有当 $\text{gcd}(n,k)=1$ 时，k⁻¹(modn) 才存在。这正是引理的前提条件。如果 k⁻¹ 不存在，你当然无法执行这个乘法操作。

2. 模逆元的定义： k⁻¹ 是一个特殊的数，它满足 k⋅k⁻¹≡1(modn)。

---

 

用“乘以 k⁻¹”的证明步骤

 

引理 (Lemma): 如果 $\text{gcd}(n,k)=1$，并且 $ak\equiv bk(\mathrm{mod}n)$，那么 $a\equiv b(\mathrm{mod}n)$。

证明:

1. 已知条件: $ak\equiv bk(\mathrm{mod}n)$。

2. 利用前提: 由于 $\text{gcd}(n,k)=1$，因此 $k$ 在模 $n$ 意义下的乘法逆元 k⁻¹ 存在。

3. 两边同乘以 k⁻¹: 我们可以将同余式的两边同时乘以 k^−1: ak⋅k⁻¹≡bk⋅k⁻¹(modn)

4. 利用结合律和逆元定义: 根据乘法结合律： a⋅(k⋅k⁻¹⁾≡b⋅(k⋅k⁻¹)(modn) 根据乘法逆元的定义，我们知道 k⋅k⁻¹≡1(modn)。将其代入上式： $a\cdot 1\equiv b\cdot 1(\mathrm{mod}n)$ 所以$a\equiv b(\mathrm{mod}n)$

证毕。

---

这种证明方法比利用欧几里得引理的证明更直接地展示了“取消 $k$”的过程，并且它依赖于模逆元的定义，而模逆元的存在正是由 $\text{gcd}(n,k)=1$ 这一前提所保证的。

因此，你完全可以使用这种方式进行证明。

 

$gcd(n,k)=1\; iff\; k\; has\; a\; multiplicative\; inverse$

Proof:gcd(n,k)=1<=>ns+kt=1<=>n|(kt-1)<=>kt$\equiv 1\; (mod\; n)$

 

Lemma: Suppose that gcd(n,k)=1, let k1,k2,...,kr in range {1,2,3,...,n-1} denote the integers relatively prime to n ( r=φ(n) )

$Then\; \{rem(k1k,n),...,rem(krk,n)\}=\{k1,...,kr\}$

$第一步：证明前面的集合元素个数是r，因为集合本身是去重的，rem(krk,n)操作之后，集合中的元素未必还有r个$

$第二步：证明前面的集合是后面的集合在子集$

Proof

①suppose rem(kik,n)=rem(kj,n)=>kik≡kjk (mod n) 因为gdc(n,k)=1,所以k^-1必然存在。

两边乘以k^-1得到ki≡kj (mod n) 也即是n|(ki-kj) n是ki-kj的整数倍 而ki和kj的取值范围是0到n-1,ki-kj不可能大于n 那么这个倍数只能是0。

$=>ki=kj$

$所以，任意取两个ki和kj，如果相等，他们只会是同一个数。而k1到kr有r个，所以前面集合中的个数是r$

②gcd(n, rem(kik,n))=gcd(n, kik)    我记得上节课是gcd(a,b)=gcd(rem(b,a), a)  右侧换一下位置gcd(a,b)=gcd(a, rem(b,a)), 让a=n, b=kik，就是前面的公式了

因为gcd(n,k)=1且gcd(n,ki)=1  所以rem(kik,n)必然是1到n-1范围内与n互素的一个数字，所以后面的集合是前面的集合的一格子集

而前后两个集合的元素又相同，所以它们是同一个集合

 

 

 

我们来证明这个引理。这个性质在数论中是一个基础概念，尤其是在处理欧拉函数和模 $n$ 乘法群的结构时。

---

 

引理陈述

 

引理： 假设 $\text{gcd}(n,k)=1$。设 k1​,k2​,…,kr​ 是在范围 $\{1,2,3,\dots ,n-1\}$ 内且与 $n$ 互素的整数。（注意：$r=\varphi (n)$，其中 $\varphi$ 是欧拉函数）。 那么，余数集合 {rem(k1​k,n),rem(k2​k,n),…,rem(kr​k,n)} 等于集合 {k1​,k2​,…,kr​}。

简单来说，如果你将所有小于 $n$ 且与 $n$ 互素的整数乘以一个整数 $k$（这个 $k$ 也与 $n$ 互素），然后取结果模 $n$，你将得到完全相同的整数集合，只是顺序可能不同。

---

 

证明

 

要证明两个集合相等，我们需要证明两件事：

1. 余数集合是原集合的子集： 余数集合 {rem(ki​k,n)} 中的每个元素都必须是 kj​ 中的一个。

2. 余数集合包含与原集合相同数量的不同元素： 这意味着没有两个不同的元素 ki​k 和 kj​k 映射到相同的余数，从而确保没有元素“丢失”或重复。

已知条件：

• k1​,k2​,…,kr​ 是小于 $n$ 且与 $n$ 互素的正整数。

• $\text{gcd}(n,k)=1$。

第一部分：证明每个 rem(ki​k,n) 都是 {k1​,…,kr​} 中的一个元素。

设 x_i​=rem(ki​k,n)。这意味着 x_i​≡ki​k(modn)。 我们需要证明 gcd(x_i​,n)=1。

我们知道 gcd(ki​,n)=1（根据 ki​ 的定义）且 $\text{gcd}(k,n)=1$（已知条件）。

如果 $\text{gcd}(A,N)=1$ 且 $\text{gcd}(B,N)=1$，那么 $\text{gcd}(AB,N)=1$。 由于 ki​ 和 $n$ 互素，以及 $k$ 和 $n$ 互素，它们的乘积 ki​k 也必然与 $n$ 互素。 所以，gcd(ki​k,n)=1。

现在，因为 xi​≡ki​k(modn)，我们知道 xi​=ki​k−mn 对于某个整数 $m$。 设 d=gcd(xi​,n)。那么 $d$ 必须整除 xi​ 且 $d$ 必须整除 $n$。 既然 d∣xi​ 且 $d\mid n$，那么 $d$ 也必须整除 xi​ 和 $n$ 的任何线性组合。 特别是，$d$ 整除 xi​+mn。 我们知道 xi​+mn=ki​k。 所以，$d$ 整除 ki​k。

由于 $d\mid n$ 且 d∣ki​k，因此 $d$ 是 $n$ 和 ki​k 的公约数。 但是我们已经证明了 gcd(ki​k,n)=1。 所以，$n$ 和 ki​k 的唯一公约数是 $1$。 因此，$d=1$，这意味着 gcd(xi​,n)=1。

此外，根据 $\text{rem}(\cdot ,n)$ 的定义，xi​ 必须在范围 $\{0,1,\dots ,n-1\}$ 内。由于 gcd(xi​,n)=1， xi​ 不可能为 $0$（除非 $n=1$，这通常在模算术中被排除，或者如果 ki​k 是 $n$ 的倍数，这意味着 gcd(ki​k,n)=1）。所以 xi​∈{1,2,…,n−1}。

因此，每个 xi​=rem(ki​k,n) 都是一个在范围 $\{1,\dots ,n-1\}$ 内且与 $n$ 互素的整数。这意味着每个 xi​ 必定是 kj​ 中的一个。 这就证明了 {rem(k1​k,n),…,rem(kr​k,n)}⊆{k1​,…,kr​}。

第二部分：证明 {rem(ki​k,n)} 中的所有元素都是不同的。

假设矛盾成立，即集合中的两个不同元素映射到相同的余数： rem(ki​k,n)=rem(kj​k,n) 对于某个 i=j。 这意味着： ki​k≡kj​k(modn)

由于 i=j，我们知道 ki​=kj​。 现在，我们使用前面已证明的性质：如果 $\text{gcd}(n,k)=1$ 且 $Ak\equiv Bk(\mathrm{mod}n)$，那么 $A\equiv B(\mathrm{mod}n)$。 在本例中，A=ki​ 且 B=kj​。我们已知 $\text{gcd}(n,k)=1$。 因此，我们可以从同余式两边“抵消” $k$： ki​≡kj​(modn)

然而，ki​ 和 kj​ 都处于范围 $\{1,2,\dots ,n-1\}$ 内。如果 ki​≡kj​(modn) 且两者都在此范围内，那必然意味着 ki​=kj​。 这与我们 i=j（因此 ki​=kj​）的假设相矛盾。 因此，我们最初的假设是错误的。这意味着所有元素 rem(ki​k,n) 都是不同的。

由于集合 {rem(k1​k,n),…,rem(kr​k,n)} 包含 $r$ 个不同的元素，并且这些元素中的每一个都属于集合 {k1​,…,kr​}（该集合也包含 $r$ 个元素），所以这两个集合必然是相同的。

---

结论：

两个条件都已满足：

1. 变换后的集合中的每个元素也在原集合中。

2. 变换后的集合中的所有元素都是不同的。

因此，集合 {rem(k1​k,n),…,rem(kr​k,n)} 等于集合 {k1​,…,kr​}。

 

00:56:12开始证明欧拉定理

Eluer's theorem: If gcd(n,k)=1  =>k^φ(n)$\equiv 1\; (mod\; n)$

k1k2...kn=rem(k1k,n) rem(k2k,n),...,rem(krk,n)

              $\equiv k1kk2k...krk\; (mod\; n)$

             ≡k1k2....kr k^r (mod n)

因为k1到kr都和n互素，所以gcd(k1k2...kr,n)=1, 所以k1k2...kr必然有一个乘法逆元

上面两边同时乘以这个乘法逆元就得到

1≡k^r (mod n)  这个就证明的欧拉定理

欧拉定理（Euler's theorem） 是数论中的一个核心定理，是费马小定理（Fermat's little theorem）的推广形式。它描述了在模 $n$ 意义下的乘法逆性周期，为构造公钥密码（如 RSA）等奠定基础。

 

rem(k1​k,n)⋅rem(k2​k,n)⋅⋯⋅rem(kr​k,n)≡k1​k⋅k2​k⋅⋯⋅kr​k(modn)

这一步是基于同余的乘法性质。

我们知道，如果 $A\equiv B(\mathrm{mod}n)$ 且 $C\equiv D(\mathrm{mod}n)$，那么 $AC\equiv BD(\mathrm{mod}n)$。 更一般地，如果 Ai​≡Bi​(modn) 对于所有的 $i$ 都成立，那么它们的乘积也同余： A1​A2​…Am​≡B1​B2​…Bm​(modn)

在这里，对于每一个 $i\in \{1,\dots ,r\}$，我们有： rem(ki​k,n)≡ki​k(modn)

因为 $\text{rem}(X,n)$ 的定义就是 $X$ 除以 $n$ 的余数，所以 $\text{rem}(X,n)$ 本身就同余于 $X$ 模 $n$。 比如，$\text{rem}(7,5)=2$，而 $2\equiv 7(\mathrm{mod}5)$。

所以，我们可以将乘积中的每一个 rem(ki​k,n) 替换为 ki​k，因为它们在模 $n$ 的意义下是同余的。

具体来说：

• rem(k1​k,n)≡k1​k(modn)

• rem(k2​k,n)≡k2​k(modn)

• ...

• rem(kr​k,n)≡kr​k(modn)

因此，将所有这些同余式相乘： rem(k1​k,n)⋅rem(k2​k,n)⋅⋯⋅rem(kr​k,n)≡(k1​k)⋅(k2​k)⋅⋯⋅(kr​k)(modn)

这就是你问题中第二行的替换原理。它利用了同余的乘法性质。

 

Fermat's little theorem

Suppose p is prime, and k in range {1,2,...,p-1}, then k^p-1$\equiv 1\; (mod\; p)\; 前提p是素数，并且gcd(k,p)=1\; 即k和p互素$

Proof: 因为p是prime，所以1,2,...,p-1 are relatively prime to p

欧拉定理k^φ(n)≡1 (mod n)  所以k^φ(p)≡1 (mod p)

这里的φ(n)个数是p-1个，所以k^p-1≡1 (mod p)

上面的公式左边变换一下k*k^p-2≡1 (mod p)  因为k*k^-1≡1 (mod p) 

所以得到k^-1=k^p-2  这说明，当p是素数的时候，k的mod p的惩罚逆元是 k^p-2 mod p

 

欧拉定理（Euler's Totient Theorem）和费马小定理（Fermat's Little Theorem）是数论中两个非常重要的同余性质。它们都涉及到模运算，并且费马小定理实际上是欧拉定理的一个特殊情况。

🧠 对比：费马小定理 vs 欧拉定理

项目	费马小定理	欧拉定理
$n$ 的要求	必须是素数 p	任意正整数 n≥1（可合数）
使用的指数	p−1	φ(n)
要求 $\gcd (a,n)=1$	是	是
是否更一般	否	✅ 是费马小定理的推广

欧拉定理与费马小定理的区别与联系

• 费马小定理是欧拉定理的一个特例。 当 $n$ 是一个素数 $p$ 时，欧拉函数 $\varphi (p)=p-1$。 将 $\varphi (p)=p-1$ 代入欧拉定理 a^ϕ(n)≡1(modn)，就得到了费马小定理 a^p−1≡1(modp)。

• 适用范围不同：

  • 费马小定理只适用于模数为素数的情况。

  • 欧拉定理适用于任意正整数作为模数的情况，只要底数与模数互素。

 

01:04:07开始讲解RSA

RSA

Beforehand: receiver create a public key and also a secret key

1.Generate two distinct primes p and q

2.let n=p*q

3.select an integer e such that gcd(e,(p-1)(q-1))=1  =>public key is pair(e, n=p*q)

4.compute d such that d*e$\equiv 1\; (mod\; (p-1)(q-1))$

Eluer's theorem: If gcd(n,k)=1  =>k^φ(n)≡1 (mod n) 

gcd(e,(p-1)(q-1))=1$对应到这里k=e,\; n=(p-1)(q-1)$

$=>secret\; key\; is\; pair(d,\; n=p*q)$

Encryption:m'=rem(m^e,n)

Decryption:m=rem(m'^d,n)

证明m'$\equiv$m^e (mod n)两边都d次方=>  m'^d$\equiv$m^ed (mod n）

因为d*e≡1 (mod (p-1)(q-1))  所以必然存在一个整数r, 使得 de-1=r(p-1)(q-1)  所以ed=1+r(p-1)(q-1)

m'^d≡m^ed≡m^{1+r(p-1)(q-1)}≡m*m^r(p-1)(q-1)(mod n)

$n=pq\; 因为n是pq，所以必然mod\; p也可以mod\; q$

m'd$\equiv$m*m^r(p-1)(q-1)(mod n)=>m*m^r(p-1)(q-1)(mod p)

m'd$\equiv$m*m^r(p-1)(q-1)(mod n)=>m*m^r(p-1)(q-1)(mod q)

If m/≡0 (mod p), then m^p-1≡1 (mod p)  所以m'd≡m*m^r(p-1)(q-1)(mod p)≡m*1^r(q-1) (mod p)≡m (mod p)

If m/≡0 (mod q), then m^q-1≡1 (mod q)  所以m'd≡m*m^r(p-1)(q-1)(mod q)≡m*1^r(p-1) (mod q)≡m (mod q)

所以

p| (m'^d-m)

q| (m'^d-m)

所以pq的乘积n， n|(m'^d-m)

所以m'^d$\equiv m\; (mod\; n)\; m\; is\; a\; message\; range(1,\; n-1)$

m=rem(m'^d,n)

 

Craig Gentry, using lattice-based cryptography, described the first plausible construction for a fully homomorphic encryption scheme in 2009.