квадратичные вычеты по модулю
СОДЕРЖАНИЕ
История, условности и элементарные факты
Таким образом, количество квадратичных вычетов по модулю n не может превышать n / 2 + 1 ( n четных) или ( n + 1) / 2 ( n нечетных).
Продукт двух остатков всегда является остатком.
Основной модуль
По модулю 2 каждое целое число является квадратичным вычетом.
Следуя этому соглашению, мультипликативная обратная величина остатка является остатком, а обратная величина, обратная невычету, является невычетом.
Следуя этому соглашению, по модулю нечетного простого числа имеется равное количество вычетов и невычетов.
По модулю простого числа произведение двух невычетов является остатком, а произведение невычетов и (ненулевого) остатка является невычетом.
Если p ≡ 1 (mod 4), отрицательный результат вычета по модулю p является вычетом, а отрицательный результат нечеткого остатка является невычетом.
Если p ≡ 3 (mod 4), отрицательный результат вычета по модулю p является невычетом, а отрицательный результат нечеткого остатка является остатком.
Модуль основной мощности
Например, mod (32) нечетные квадраты равны
1 2 ≡ 15 2 ≡ 1 3 2 ≡ 13 2 ≡ 9 5 2 ≡ 11 2 ≡ 25 7 2 ≡ 9 2 ≡ 49 ≡ 17
0 2 ≡ 8 2 ≡ 16 2 ≡ 0 2 2 ≡ 6 2 ≡ 10 2 ≡ 14 2 ≡ 4 4 2 ≡ 12 2 ≡ 16.
Таким образом, ненулевое число является остатком по модулю 8, 16 и т. Д. Тогда и только тогда, когда оно имеет вид 4 k (8 n + 1).
тогда p k a является вычетом по модулю p n, если k ≥ n невычет по модулю p n, если k является вычетом по модулю p n, если k является невычетом по модулю p n, если k
Обратите внимание, что правила для степеней двойки и нечетных простых чисел разные.
Композитный модуль не является основной степенью
Основным фактом в этом случае является
По модулю составного числа произведение двух остатков является остатком. Продукт остатка и неостаточного количества может быть остатком, неостаточным остатком или нулем.
Продукт остатка 3 и неостаточного остатка 5 представляет собой остаток 3, тогда как продукт остатка 4 и неостаточного остатка 2 является неостаточным остатком 2.
Кроме того, продукт двух неостаточных остатков может быть остатком, неостаточным остатком или нулем.
Продукт неостаточных 2 и 8 представляет собой остаток 1, тогда как продукт неостаточных остатков 2 и 7 представляет собой неостаточный остаток 14.
Несмотря на то, что это упрощает ситуацию, эта статья не настаивает на том, что остатки должны быть взаимно просты с модулем.
Обозначения
Гаусс использовал R и N для обозначения остаточности и неостаточности соответственно;
Распределение квадратичных вычетов
Формулы Дирихле
Дирихле показал, что если q ≡ 3 (mod 4), то
Дирихле также доказал, что для простого q 3 (mod 4)
Например, по модулю 11 четыре остатка меньше 6 (а именно 1, 3, 4 и 5), но только один невычет (2).
Любопытный факт об этих двух теоремах состоит в том, что все известные доказательства основаны на анализе; никто никогда не публиковал простых или прямых доказательств того или иного утверждения.
Закон квадратичной взаимности
Если p и q нечетные простые числа, то:
(( p является квадратичным вычетом по модулю q ) тогда и только тогда, когда ( q является квадратичным вычетом по модулю p )) тогда и только тогда, когда (хотя бы одно из p и q сравнимо с 1 по модулю 4).
Таким образом, для чисел a и нечетных простых p, которые не делят a :
| а | a является квадратичным вычетом по модулю p тогда и только тогда, когда | а | a является квадратичным вычетом по модулю p тогда и только тогда, когда |
|---|---|---|---|
| 1 | (каждое простое число p ) | −1 | p ≡ 1 (mod 4) |
| 2 | p ≡ 1, 7 (mod 8) | −2 | p ≡ 1, 3 (mod 8) |
| 3 | p ≡ 1, 11 (mod 12) | −3 | p ≡ 1 (mod 3) |
| 4 | (каждое простое число p ) | −4 | p ≡ 1 (mod 4) |
| 5 | p ≡ 1, 4 (mod 5) | −5 | p ≡ 1, 3, 7, 9 (мод 20) |
| 6 | p ≡ 1, 5, 19, 23 (мод 24) | −6 | p ≡ 1, 5, 7, 11 (мод 24) |
| 7 | p ≡ 1, 3, 9, 19, 25, 27 (мод 28) | −7 | p ≡ 1, 2, 4 (мод 7) |
| 8 | p ≡ 1, 7 (mod 8) | −8 | p ≡ 1, 3 (mod 8) |
| 9 | (каждое простое число p ) | −9 | p ≡ 1 (mod 4) |
| 10 | p ≡ 1, 3, 9, 13, 27, 31, 37, 39 (мод 40) | −10 | p ≡ 1, 7, 9, 11, 13, 19, 23, 37 (мод 40) |
| 11 | p ≡ 1, 5, 7, 9, 19, 25, 35, 37, 39, 43 (мод 44) | −11 | p ≡ 1, 3, 4, 5, 9 (мод 11) |
| 12 | p ≡ 1, 11 (mod 12) | −12 | p ≡ 1 (mod 3) |
Пары остатков и остатков
Тогда, если p ≡ 1 (mod 4)
Например: (остатки выделены жирным шрифтом )
Неравенство Поли – Виноградова.
это показывает, что количество квадратичных вычетов по модулю q в любом интервале длины N равно
Легко доказать, что
Монтгомери и Воан улучшили это в 1977 году, показав, что если обобщенная гипотеза Римана верна, то
Этот результат нельзя существенно улучшить, поскольку в 1918 году Шур доказал, что
и Пейли доказал в 1932 году, что
для бесконечного числа d > 0.
Наименьший квадратичный невычет
Приведенное выше неравенство Полиа – Виноградова дает O ( √ p log p ).
Наименьшие квадратичные невычеты по модулю p для нечетных простых чисел p :
Квадратичный эксцесс
Сложность нахождения квадратных корней
Теоретический способ объединения решений по модулю простых степеней для получения решений по модулю n называется китайской теоремой об остатках ; это может быть реализовано с помощью эффективного алгоритма.
Решите x 2 ≡ 6 (mod 15). x 2 ≡ 6 (mod 3) имеет одно решение, 0; x 2 ≡ 6 (mod 5) имеет два, 1 и 4. и есть два решения по модулю 15, а именно 6 и 9. Решите x 2 ≡ 4 (mod 15). x 2 ≡ 4 (mod 3) имеет два решения: 1 и 2; x 2 ≡ 4 (mod 5) имеет два, 2 и 3. и есть четыре решения по модулю 15, а именно 2, 7, 8 и 13. Решите x 2 ≡ 7 (mod 15). x 2 ≡ 7 (mod 3) имеет два решения: 1 и 2; x 2 ≡ 7 (mod 5) не имеет решений. и решений по модулю 15 нет.
Основной или основной модуль мощности
и Лежандр нашел аналогичное решение, если n 5 (mod 8):
Композитный модуль
Если модуль n был разложен на простые степени, решение обсуждалось выше.
Число квадратичных вычетов
Формула для подсчета количества квадратов по модулю n дается Штанглом.
Приложения квадратичных вычетов
Акустика
Звуковые диффузоры были основаны на теоретико-числовых концепциях, таких как первообразные корни и квадратичные вычеты.
Теория графов
Орграфы Пэли являются направленными аналогами графов Пэли, по одному для каждого p ≡ 3 (mod 4), которые дают антисимметричные матрицы конференций.
При построении этих графов используются квадратичные вычеты.
Криптография
Проверка на первичность
Целочисленная факторизация
Таблица квадратичных вычетов
Смотрите также
Примечания
использованная литература
Квадратичные вычеты по модулю
Двучленные сравнения — сравнения вида ax n ≡b(mod m). (l)
Если (a,m)= 1, то сравнение (1) можно привести к еще более простому виду. Взяв с такое, что ас ≡ l(mod m), и умножив обе части сравнения (1) на с (оно взаимно просто с m), получим х n ≡bс(mod m). Будем рассматривать сравнения такого вида по простому модулю р, отличному от 2, то есть сравнения вида x 2 ≡ a(mod р). (2)
Теорема 1. Сравнение 2-ой степени ax 2 +bx+c≡0(mod p), где р — простое, р > 2, может быть сведено к двучленному сравнению (2).
Доказательство. Действительно, умножим обе части сравнения на 4a (взаимно простое с модулем). Имеем 4a 2 x 2 + 4abx +4ac≡0(mod p),
Решить сравнение Зх 2 + 7x+ 8 ≡0(mod 17).
Ответ: x ≡ 2(mod 17), x ≡ 7(mod 17).
Это Сравнение можно было привести к двучленному, заменив коэффициенты сравнимыми с ними числами и используя другие свойства
2.Решить сравнение 4x 2 — 1 1х — 3 ≡ 0(mod 13).
Если в сравнении х n ≡a(mod p) а делится на р, то и х делится на р и х ≡ 0(mod р) — единственное решение сравнения.
Пусть а не делится на р.
Определение. Число а называют n-степенным вычетом или n-степенным невычетом по модулю р в зависимости от того, имеет или нет решение сравнение х n ≡ a(mod р), где (а, р) = 1.
В частности, число а называют квадратичным вычетом или квадратичным невычетом по модулю р в зависимости от того, имеет или
нет решение сравнение х 2 ≡ a(mod p), где (а, р) = 1. Если а — квадратичный вычет (невычет) по модулю р, то и любое число из класса а также является квадратичным вычетом (невычетом), поэтому квадратичным вычетом (невычетом) можно называть класс по модулю р.
Взяв приведённую систему вычетов по модулю 5: ±1, ±2, убеждаемся, что сравнение не имеет решений, то есть 3 — квадратичный невычет, а квадратичными вычетами будут 1 и 4.
Для нахождения решений сравнения х 2 ≡ a(mod р) можно взять приведённую систему вычетов, наименьших по абсолютной величине, по
по модулю р, то есть в ряду (3) записаны представители всех классов квадратичных вычетов по модулю р. Причём числа (3) принадлежат разным классам по модулю р. Действительно, если для 1≤k 2 ≡l 2 (mod р), то сравнение (2) имело бы 4 решения: ±k,±l, что невозможно. Итак, имеем (p-1)/2 классов квадратичных вычетов и столько же классов квадратичных невычетов (так как всего p-1 классов, взаимно простых с модулем). Нами доказана теорема.
Теорема 3. Число классов квадратичных вычетов по простому модулю р, р> 2, равно числу классов квадратичных невычетов, ровно (р-1)/2.
Найдём наименьшие неотрицательные квадратичные вычеты по модулю 13. Их должно быть (p-1)/2=6. Ими являются числа: 1,2 2 =4,3 2 = 9, 4 2 ≡3(mod l3), 5 2 ≡12(mod 13), 6 2 ≡10(mod 13), то есть 1,3,4, 9, 10, 12. Оставшиеся от приведённой системы вычетов числа: 2,5, 6, 7, 8,11 — квадратичные невычеты. Рассмотренный способ недостаточно эффективен для установления разрешимости сравнения (2). Рассмотрим другой способ.
Выяснить, сколько решений имеет сравнение х 2 ≡7(modl9). (p-1)/2=9. Проверим, будет ли 7 9 сравнимо с 1 по модулю 19. 7 2 ≡-8(modl9), 7 3 ≡l(modl9), 7 9 ≡l(mod 19). Следовательно, 7 — квадратичный вычет и сравнение имеет 2 решения.
Дата публикования: 2014-12-08; Прочитано: 1504 | Нарушение авторского права страницы
studopedia.org — Студопедия.Орг — 2014-2018 год.(0.001 с)… 
Legendre Symbol Calculator
Квадратичное сравнение
Example:
If the numerator is 30 and denominator is 23,
30 / 23
Rules To Find Legendre Symbol
Символ Лежандра. Символ Якоби.
Символом Лежандра называется символ 
(читается «символ Лежандра а по р»). а называется числителем, р – знаменателем символа Лежандра. Символ Лежандра отвечает на вопрос, является ли число а квадратичным вычетом по модулю р.
Вычислить символ Лежандра можно, пользуясь следующими свойствами.
Свойства символа Лежандра:
1. Критерий Эйлера: 
2. a≡a1(mod p) 
3. 
4. 
5. 
6. 
7. 
8. 3акон взаимности: если p, q – нечетные простые числа 
Докажем некоторые из этих свойств.
Теорема (Критерий Эйлера)
Если (p, a)=1 
По теореме Ферма, a p —1 ≡1(mod p). В этом сравнении перенесем единицу в левую часть: a p —1 —1≡0(mod p).
Квадратичный вычет
Поскольку p – простое, а значит нечетное число, значит p—1 – число четное. Тогда можем разложить левую часть сравнения на множители: 
.
Из множителей в левой части один и только один делится на p, то есть либо
*, либо 
**
При этом решения сравнения * исчерпываются квадратичными вычетами по модулю р. Следовательно, если а – квадратичный невычет по модулю р, то сравнение * не выполняется, а значит выполняется сравнение **.
Доказательство следует из того, что все числа одного класса вычетов по модулю р будут одновременно квадратичными вычетами или квадратичными невычетами.
Для любого p выполняется 1≡1 2 (mod p), а значит «1» является квадратичным вычетом для любого модуля p.
Доказательство следует из критерия Эйлера при a=—1.
По критерию Эйлера, 
.
Доказательства прочих свойств можно произвести самостоятельно или найти в [5].
Итак, символ Лежандра можно найти, пользуясь либо критерием Эйлера, либо используя свойства 2-8:
a) 
10 – квадратичный вычет по модулю 13.
б) 
.
1350 не является квадратичным вычетом по модулю 1381.
Пусть n – составное число, каноническое разложение которого есть 
. Положим (a,n)=1. Тогда символ Якоби определяется равенством: 
Свойства символа Якоби:
1. a≡a1(mod n) 
2. 
3. 
4. 
5. 
6. 3акон взаимности:
(n,m)=1, n, m>0, n, m — нечетные числа 
.
Эти свойства нетрудно доказать, воспользовавшись определением символа Якоби и свойствами символа Лежандра.
Очевидно, для символа Якоби выполняются те же свойства, что и для символа Лежандра, за исключением только критерия Эйлера. Критерий Эйлера для символа Якоби не выполняется.
Приведенные свойства символа Якоби позволяют составить алгоритм для вычисления символа Якоби и символа Лежандра:
1. Выделяем из числителя все степени двойки:
2. Пользуясь св-вом 4, понижаем степень k:
3. Если k mod 2=1, то вычисляем 
пользуясь св-вом 5.
4. Символ 
преобразуем, пользуясь законом взаимности, и затем приводим числитель m по модулю знаменателя n1 и повторяя для получившегося символа Якоби шаги 1-4, пока в числителе не останется 1 или —1.
В более формализованном виде алгоритм выглядит следующим образом:
Алгоритм вычисления символа Якоби:
Вход: n — числитель, m – знаменатель символа Якоби. m – нечетное число,
Ш.5: Если n=1, то идти на Выход.
Ш.6: Если n=m—1, и m mod 4 = 1, то идти на Выход.
Если n=m—1, и m mod 4 = 3, то s:=—s. Идти на Выход.
Ш.7: n↔m. s:=s·(—1) 
. Идти на Ш.2.
Выход. s – символ Якоби.
.
Дата добавления: 2015-11-28; просмотров: 2389;
Квадратичный вычет
Полезное
Смотреть что такое «Квадратичный вычет» в других словарях:
КВАДРАТИЧНЫЙ ВЫЧЕТ — в теории чисел частный случай степенного вычета … Большой Энциклопедический словарь
квадратичный вычет — в теории чисел, частный случай степенного вычета. * * * КВАДРАТИЧНЫЙ ВЫЧЕТ КВАДРАТИЧНЫЙ ВЫЧЕТ в теории чисел, частный случай степенного вычета (см. СТЕПЕННОЙ ВЫЧЕТ) … Энциклопедический словарь
КВАДРАТИЧНЫЙ ВЫЧЕТ — по модулю то целое число а, для которого разрешимо сравнение Если указанное сравнение не разрешимо, то число аназ. квадратичным невычетом по модулю т. Критерий Эйлера: пусть р>2 простое. Число а, взаимно простое с р, является К. в. по модулю… … Математическая энциклопедия
КВАДРАТИЧНЫЙ ВЫЧЕТ — в теории чисел, частный случай степенного вычета … Естествознание. Энциклопедический словарь
квадратичный вычет по модулю — — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN quadratic residue modulo … Справочник технического переводчика
Степенной вычет — или вычет степени n по модулю m (n целое число, большее единицы, m целое число). Такое число а, для которого Сравнение xn а (modm) разрешимо. В частности, при n = 2 С. в. называется квадратичным вычетом (См. Квадратичный вычет), при n = 3 … Большая советская энциклопедия
Невычет — Квадратичный вычет по модулю m целое число a, для которого разрешимо сравнение Если указанное сравнение не разрешимо, то число a называется квадратичным невычетом по модулю m. Свойства Критерий Эйлера: Пусть p > 2 простое.Число a, взаимно… … Википедия
Метод квадратичного решета — (Quadratic sieve algorithm, сокр. QS) метод факторизации больших чисел, разработанный Померанцем в 1981 году. Долгое время превосходил другие методы факторизации целых чисел общего вида, не имеющих простых делителей, порядок которых… … Википедия
Чисел теория — наука о целых числах. Понятие целого числа (См. Число), а также арифметических операций над числами известно с древних времён и является одной из первых математических абстракций. Особое место среди целых чисел, т. е. чисел. 3 … Большая советская энциклопедия
Представление чисел суммой двух квадратов и эллиптические кривые
Совсем легко понять, почему 3, 7, 11 и прочие числа, дающие при делении на 4 остаток 3, непредставимы в виде a 2 +b 2 : квадрат чётного числа всегда делится на 4, квадрат нечётного числа всегда даёт остаток 1 при делении на 4, сумма двух квадратов при делении на 4 может давать остатки 0, 1 или 2, но никак не 3. Представимость простых чисел вида 4k+1 неочевидна (особенно если заметить, что простота существенна: число 21 хотя и имеет нужный остаток, но суммой двух квадратов не представляется).
Вычеты
Натуральных чисел бесконечно много. Бывает полезно объединять их в классы по каким-нибудь признакам. В частности, объединение по остатку от деления на какое-нибудь число n приводит к вычетам по модулю n: вычет x̅ — это класс всех чисел, которые при делении на n дают тот же остаток, что и x. Что эквивалентно, вычет x̅ состоит из всех чисел вида x+n∙k, где k целое. В рамках данного поста все вычеты будут по модулю p (того самого нечётного простого числа из введения). Естественно, различных вычетов столько же, сколько может быть остатков от деления на p, то есть ровно p. По сравнению с бесконечностью натуральных чисел переход к вычетам сильно сокращает число вариантов.
Операции над классами далеко не всегда имеют смысл. Например, попытка сложить класс простых чисел с классом составных чисел не очень осмысленна: мы умеем складывать только числа, а у суммы простого числа и составного числа не видно свойств, общих для класса. Хотя члены клуба тавтологии и могут сказать, что сложение класса простых чисел и класса составных чисел даёт класс чисел, раскладывающихся в сумму простого числа и составного числа.
Для вычетов, тем не менее, сложение, вычитание и умножение, «унаследованные» от натуральных чисел, дают другие вычеты. Например, 2̅+3̅=5̅: возьмём любое число с остатком 2, любое число с остатком 3, и их сумма обязательно даст остаток 5. Вообще говоря, произведение двух ненулевых вычетов по произвольному модулю может внезапно оказаться нулём, 2̅∙3̅=0̅ по модулю 6, что неприятно. Но в случае простого модуля, очевидно, такого не бывает, как говорят, нет делителей нуля. Кроме того, можно решить уравнение a̅∙x̅=b̅ (операция деления) для любых двух вычетов, кроме случая a̅=0̅, и результат будет однозначно определён. Однозначность следует из того, что произведение ненулевых вычетов ненулевое. Поскольку a̅≠0̅, то наибольший общий делитель a и p равен 1 (здесь тоже нужна простота p), расширенный алгоритм Евклида найдёт x и y такие, что a∙x+p∙y=1, откуда следует a̅∙x̅=1̅, а значит, a̅∙(b̅∙x̅)=b̅.
Важное следствие из отсутствия делителей нуля: ненулевой многочлен от одной переменной степени n не может иметь более n корней. (Это хорошо известно для обычных целых чисел, но при использовании операций над вычетами требует дополнительного обоснования: уравнение 3̅∙x̅=0̅ по модулю 6 имеет три решения 0̅, 2̅, 4̅.) Действительно, обычное деление «в столбик» показывает, что любой многочлен f(x) можно представить в виде f(x)=(x-с)g(x)+(некоторая константа), где многочлен g(x) имеет степень на единицу меньше; если c — это корень f(x), то константа равна нулю (подставим x=c); если c’ — другой корень f(x), то он будет корнем g(x) (здесь важно отсутствие делителей нуля), так что процесс можно продолжить. Если уже набралось n корней, то оставшийся g(x) будет константой, причём ненулевой (иначе f(x)=0) и больше корней не имеет.
Вычеты по простому модулю можно складывать, вычитать, умножать. На ненулевые вычеты можно делить. Все эти операции обладают обычными свойствами типа a̅∙b̅=b̅∙a̅. В умных книгах говорят, что вычеты по простому модулю образуют поле (а вычеты по составному модулю, где делить нельзя, а всё остальное такое же, — коммутативное кольцо). И не надо быть умной книгой, чтобы назвать это поле конечным. Поле вычетов — не единственное конечное поле, но другие конечные поля нам не понадобятся.
Чуть-чуть про эллиптические кривые
Квадратичные вычеты и невычеты
Теперь мы готовы предъявить обещанные формулы для компонентов разложения p в сумму двух квадратов. Теорема. Пусть g — любой квадратичный невычет. Если p при делении на 4 даёт остаток 1, то 
причём число в первой скобке целое нечётное, число во второй скобке целое чётное. Если же p при делении на 4 даёт остаток 3, то обе суммы в скобках нулевые (а значит, число точек на эллиптических кривых равно p+1).
Доказательство
Поскольку пост и без того длинный, доказательство убрано под спойлер. Его можно спокойно пропустить без ущерба для восприятия.
Если взять ненулевой вычет c и умножить его на все вычеты от 1̅ до p̅-1̅, все произведения будут ненулевыми и попарно различными (если c∙x=c∙y, то c∙(x-y)=0̅, что при ненулевом c может быть только если x=y), а значит, это будет просто какая-то перестановка всех вычетов от 1̅ до p̅-1̅. Следовательно, 1̅∙2̅∙. ∙(p̅-1̅)=(c∙1̅)∙(c∙2̅)∙. ∙(c∙(p̅-1̅))=c p-1 ∙1̅∙2̅∙. ∙(p̅-1̅) и c p-1 =1̅ для любого ненулевого вычета c. (Это было доказательство малой теоремы Ферма.)
Как следствие, получаем .
Если p даёт остаток 1 при делении на 4, то слагаемые с x и -x равны и их сумма четна. Значит, вся сумма также четна и числа в скобках действительно целые. Чётность/нечётность после деления пополам ненамного сложнее: в первой скобке теоремы есть три нулевых слагаемых, остальные слагаемые разбиваются на (p-3)/2 пар с суммой ±2 в каждой паре; при любом знаке при делении на 4 получается остаток 2, вся сумма при делении на 4 даёт остаток такой же, как p-3, то есть 2. После деления пополам получим нечётное число. Во второй скобке теоремы всего одно нулевое слагаемое и (p-1)/2 пар с ±2, итоговый остаток от деления на 4 получается 0, после деления пополам остаётся чётное число.
Пусть p при делении на 4 даёт остаток 1. Обозначим первую скобку теоремы через a, вторую через b. Мы уже знаем, что a и b целые.
Итак, первый способ вычисления даёт
Если x2/x1 — квадратичный невычет, то аналогично эллиптическим кривым число решений равно 2p минус число решений в случае квадратичного вычета, то есть 2p-(p-1)=p+1.
Суммируем. Есть один вариант с x1=x2=0, дающий p решений. Есть 2(p-1) вариантов, где один из x нулевой, а другой ненулевой, каждый из вариантов даёт p решений. Есть 2(p-1) вариантов с x2=±x1, каждый из которых даёт 2p-1 решений. Есть (p-1)((p-1)/2-2) вариантов, где x1 — произвольный ненулевой вычет, а x2/x1 — квадратичный вычет, отличный от ±1̅, каждый из этих вариантов даёт p-1 решений. Наконец, остаётся (p-1) 2 /2 вариантов, где x1 — произвольный ненулевой вычет, а x2/x1 — квадратичный невычет, в каждом из этих вариантов p+1 решений. Итого .
Сравнение двух выражений для N завершает доказательство.
Причём здесь криптография?
Знание числа точек на кривой важно для криптографии на этой кривой. На эллиптической кривой можно ввести операцию сложения точек (о чём слышали, наверное, все, кто хоть что-то знает о криптографии) со специальной точкой O в роли нуля. На основе операции сложения можно определить умножение на натуральное число: 2P=P+P, 3P=P+P+P и так далее. Так вот, можно доказать, что если n — порядок кривой, то nP=O для любой точки P. Зная n, c, d, можно решать уравнения вида x∙(cP)=dP полностью аналогично делению вычетов: расширенный алгоритм Евклида найдёт x, y такие, что c∙x+n∙y=1, откуда x∙(cP)+y∙(nP)=P, то есть x∙(cP)=P. При этом, если c, d неизвестны, а cP и dP заданы координатами, то эффективных методов деления в общем случае неизвестно.
Вычислить число точек на заданной кривой довольно сложно (полиномиальный алгоритм существует, но на практике довольно медленный). Чтобы построить кривую с какими-нибудь свойствами на число точек, можно пытаться взять случайные коэффициенты и вычислять число точек в цикле, пока не получится то, что надо, но придётся подождать. К счастью, есть другой способ.