文档讨论了同余方程的形式和解的结构，包括线性同余方程和高次同余方程的求解方法。通过具体例子展示了求解过程，强调了解的表示及模运算的重要性。文档还涉及RSA公钥密码体制与数学原理的关系。

1. 同余方程
原根
RSA 公钥密码体制
.
.
.
同余式(下)
.
.. .
课件制作：张晓磊
April 22, 2010
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

2. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
.
§ 2.3 同余方程
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

3. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
.
§ 线性同余方程
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

4. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

5. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
.
(解的形式) .
..
如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是
一个解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

6. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
.
(解的形式) .
..
如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是
一个解. 此时，我们说原方程的解为
x ≡ x0 (mod m).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

7. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
.
(解的形式) .
..
如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是
一个解. 此时，我们说原方程的解为
x ≡ x0 (mod m).
而 x ≡ x0 (mod m) 也相当于 x ∈ [x0 ]。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

8. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
.
(解的形式) .
..
如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是
一个解. 此时，我们说原方程的解为
x ≡ x0 (mod m).
而 x ≡ x0 (mod m) 也相当于 x ∈ [x0 ]。如果把 ax + b ≡ 0
(mod m) 看成 [a][x] + [b] = [0]，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

9. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
本节讨论形如下形式的同余方程： .
. ax + b ≡ 0 (mod m)
.
.. .
.
(解的形式) .
..
如果 x0 是一个解，而 x0 满足 x0 ≡ x0 (mod m)，则 x0 也是
一个解. 此时，我们说原方程的解为
x ≡ x0 (mod m).
而 x ≡ x0 (mod m) 也相当于 x ∈ [x0 ]。如果把 ax + b ≡ 0
(mod m) 看成 [a][x] + [b] = [0]，则方程的解可以记为 [x0 ].
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

10. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

11. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
9 × 2x ≡ 9(−1) (mod 17)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

12. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
9 × 2x ≡ 9(−1) (mod 17)
18x ≡ −9 (mod 17)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

13. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
9 × 2x ≡ 9(−1) (mod 17)
18x ≡ −9 (mod 17)
. x ≡ 8 (mod 17)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

14. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
9 × 2x ≡ 9(−1) (mod 17)
18x ≡ −9 (mod 17)
. x ≡ 8 (mod 17)
.
.. .
.
技巧在于乘上 2 在模 17 意义下的乘法逆(倒数)。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

15. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example .
..
求同余方程 2x + 1 ≡ 0 (mod 17) 的解.
2x ≡ −1 (mod 17)
9 × 2x ≡ 9(−1) (mod 17)
18x ≡ −9 (mod 17)
. x ≡ 8 (mod 17)
.
.. .
.
技巧在于乘上 2 在模 17 意义下的乘法逆(倒数)。当 .
(a, m) = 1 时，a 的模 m 意义下的乘法逆总是存在的。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

16. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3,
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

17. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

18. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

19. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

20. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17)
虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是
模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

21. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17)
虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是
模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式.
x = 8 + 17k
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

22. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17)
虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是
模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式.
x = 8 + 17k
8, 8 + 17, 8 + 2 × 17, 8 + 3 × 17, 8 + 4 × 17, 8 + 5 × 17, · · ·
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

23. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (如果 (a, m) = 1，那该怎么办?) .
..
求同余方程 6x + 3 ≡ 0 (mod 51) 的解.
(6, 51) = 3, 通式 “除以” 3
2x + 1 ≡ 0 (mod 17) ⇒ x ≡ 8 (mod 17)
虽然 x ≡ 8 (mod 17) 已经刻画了全部的解，但原来的题目是
模 51 的，通常要求把解写成 x ≡ x0 (mod 51) 的形式.
x = 8 + 17k
8, 8 + 17, 8 + 2 × 17, 8 + 3 × 17, 8 + 4 × 17, 8 + 5 × 17, · · ·
. x ≡ 8, 25, 42 (mod 51)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

24. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

25. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

26. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

27. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

28. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
6x + 4 ≡ 0 (mod 51)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

29. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

30. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3)
1 ≡ 0 (mod 3),
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

31. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3)
1 ≡ 0 (mod 3), Oops…
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

32. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
在刚才的例子中，关键的一步是两边除以 d = (a, m)，从而把 .
方程的形式转化为 (a, m) = 1 情形. 如果不能除怎么办?
.
.
.. .
.
Example .
..
求同余方程 6x + 4 ≡ 0 (mod 51) 的解.
(6, 51) = 3，而 3 4.
6x + 4 ≡ 0 (mod 51) ⇒ 6x + 4 ≡ 0 (mod 3)
1 ≡ 0 (mod 3), Oops…
.
.
.. .
.
在这种情况下，即 (a, m) b 时，ax + b ≡ 0 (mod m) 无解. .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

33. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 (a, m) = d | b，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个
模 m 不同余的解。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

34. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 (a, m) = d | b，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个
模 m 不同余的解。若 x0 是方程
a b m
x + ≡ 0 (mod )
d d d
的一个特解，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

35. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 (a, m) = d | b，则方程 ax + b ≡ 0 (mod m) 有 (a, m) 个
模 m 不同余的解。若 x0 是方程
a b m
x + ≡ 0 (mod )
d d d
的一个特解，则原方程的全部解为：
m m m
x ≡ x0 , x0 + , x0 + 2 , . . . , x0 + (d − 1) (mod m)
. d d d
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

36. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(有解的条件) .
..
. + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a).
ax
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

37. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(有解的条件) .
..
. + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a).
ax
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

38. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(有解的条件) .
..
. + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a).
ax
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)； .
. .
. 所以 b ≡ 0 (mod d)；
2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

39. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(有解的条件) .
..
. + b ≡ 0 (mod m) 有解等价于 d|b，其中 d = (m, a).
ax
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇒ ax + b ≡ 0 (mod d)； .
. .
. 所以 b ≡ 0 (mod d)；
2
. . 这表明有解当且仅当 d|b。
3.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

40. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

41. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1， .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

42. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1，所以存在整数 s, t 使得： .
as + mt = 1.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

43. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1，所以存在整数 s, t 使得： .
as + mt = 1.
. as ≡ 1 (mod m);
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

44. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1，所以存在整数 s, t 使得： .
as + mt = 1.
. as ≡ 1 (mod m);
.
. 2
. ax ≡ −b (mod m)
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

45. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1，所以存在整数 s, t 使得： .
as + mt = 1.
. as ≡ 1 (mod m);
.
. 2
. ax ≡ −b (mod m) ⇐⇒ sax ≡ −sb (mod m);
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

46. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(解的个数，互素情形) .
..
若 d = (a, m) = 1, 则 ax + b ≡ 0 (mod m) 仅有一个解(在
. m 同余的意义下)。
模
.
.. .
.
. .
.
1 由于 (a, m) = 1，所以存在整数 s, t 使得： .
as + mt = 1.
. as ≡ 1 (mod m);
2.
.
. ax ≡ −b (mod m) ⇐⇒ sax ≡ −sb (mod m);
3.
.
. . 方程有惟一解 x ≡ −sb (mod m).
4.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

47. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

48. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇐⇒ a x + b ≡ 0 (mod m );
d d d
.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

49. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇐⇒ a x + b ≡ 0 (mod m );
d d d
.
.从
.
. 2 a
dx + b
d ≡ 0 (mod m
d) 求出惟一解 x ≡ x0 (mod m
d );
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

50. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇐⇒ a x + b ≡ 0 (mod m );
d d d
.
. 从 a x + d ≡ 0 (mod m ) 求出惟一解 x ≡ x0 (mod m );
.
. 2
d
b
d d
. 这个解也可以写为 {x0 + d t, t ∈ Z};
.
. 3 m
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

51. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇐⇒ a x + b ≡ 0 (mod m );
d d d
.
. 从 a x + d ≡ 0 (mod m ) 求出惟一解 x ≡ x0 (mod m );
.
. 2
d
b
d d
. 这个解也可以写为 {x0 + d t, t ∈ Z};
.
. 3 m
. x0 + m t ≡ x0 + m t (mod m) ⇐⇒ t ≡ t (mod d);
.
. 4
d d
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

52. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
若 d|b，则 ax + b ≡ 0 (mod m) 在模 m 意义下有 d 个不同 .
解。
.
.
.. .
.
. .
.
1 ax + b ≡ 0 (mod m) ⇐⇒ a x + b ≡ 0 (mod m );
d d d
.
. 从 a x + d ≡ 0 (mod m ) 求出惟一解 x ≡ x0 (mod m );
.
. 2
d
b
d d
. 这个解也可以写为 {x0 + d t, t ∈ Z};
.
. 3 m
. x0 + m t ≡ x0 + m t (mod m) ⇐⇒ t ≡ t (mod d);
.
. 4
d d
. 所以在模 m 的意义下，方程有解：
.
. 5
m m
x ≡ x0 , x0 + , · · · , x0 + (d − 1) (mod m).
. d d
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

53. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
.
§ 高次同余方程
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

54. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 高次同余方程
.
设 f(x) = an xn + · · · + a0 为一整系数多项式，m an ，则同余.
方程
f(x) ≡ 0 (mod m)
称为 n 次模 m 同余方程.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

55. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 高次同余方程
.
设 f(x) = an xn + · · · + a0 为一整系数多项式，m an ，则同余.
方程
f(x) ≡ 0 (mod m)
称为 n 次模 m 同余方程.
.
.
.. .
.
(解的形式) .
..
容易验证，若 x0 是 f(x) ≡ 0 (mod m) 的解，则任意与 x0 同
余的数，也是 f(x) ≡ 0 (mod m) 的解。所以我们把两两同余的
解绑定，称为一个解，具有形式
. x ≡ x0 (mod m).
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

56. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
高次同余方程的解数非常不规则。
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

57. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
高次同余方程的解数非常不规则。
. .
.
.. .
.
Example .
..
. .
.
1 x2 + 1 ≡ 0 (mod 3) 无解；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

58. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
高次同余方程的解数非常不规则。
. .
.
.. .
.
Example .
..
. .
.
1 x2 + 1 ≡ 0 (mod 3) 无解；
. . x − x = 0 (mod 6) 有 6 个解。
2.
. 3
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

59. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
{
f(x) ≡ 0 (mod m1 )
同解于方程组
. f(x) ≡ 0 (mod m2 )
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

60. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
{
f(x) ≡ 0 (mod m1 )
同解于方程组
. f(x) ≡ 0 (mod m2 )
.
.. .
.
. .
.
1 “⇒” 方向上显然； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

61. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
{
f(x) ≡ 0 (mod m1 )
同解于方程组
. f(x) ≡ 0 (mod m2 )
.
.. .
.
. .
.
1 “⇒” 方向上显然； .
{
f(x) ≡ 0 (mod m1 )
. .
.
2
f(x) ≡ 0 (mod m2 )
⇒ m1 |f(x), m2 |f(x)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

62. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
{
f(x) ≡ 0 (mod m1 )
同解于方程组
. f(x) ≡ 0 (mod m2 )
.
.. .
.
. .
.
1 “⇒” 方向上显然； .
{
f(x) ≡ 0 (mod m1 )
. .
.
2
f(x) ≡ 0 (mod m2 )
⇒ m1 |f(x), m2 |f(x)；
. 由于 (m1, m2) = 1，有 m1m2|f(x)，
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

63. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
{
f(x) ≡ 0 (mod m1 )
同解于方程组
. f(x) ≡ 0 (mod m2 )
.
.. .
.
. .
.
1 “⇒” 方向上显然； .
{
f(x) ≡ 0 (mod m1 )
. .
.
2
f(x) ≡ 0 (mod m2 )
⇒ m1 |f(x), m2 |f(x)；
. 由于 (m1, m2) = 1，有 m1m2|f(x)，即 f(x) ≡ 0
.
. 3
. (mod m1 m2 )。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

64. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 x ≡ x1 , x2 , · · · , xk mod m1 是 f(x) ≡ 0 (mod m1 ) 的解，
而 x ≡ y1 , y2 , · · · , yl mod m2 是 f(x) ≡ 0 (mod m2 ) 的解，
则
{
f(x) ≡ 0 (mod m1 )
f(x) ≡ 0 (mod m2 )
可以转化为 kl 个同余式组
{
x ≡ xi (mod m1 ) 1 i k
. x ≡ yj (mod m2 ) 1 j l
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

65. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 m1 , m2 为整数，(m1 , m2 ) = 1，则同余方程
f(x) ≡ 0 (mod m1 m2 )
的解数为两方程
f(x) ≡ 0 (mod m1 ), f(x) ≡ 0 (mod m2 )
的解数之积.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

66. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
{
f(x) ≡ 0 (mod m1 )
.
.
. f(x) ≡ 0 (mod m1 m2 ) 同解于
1
f(x) ≡ 0 (mod m2 )
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

67. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
{
f(x) ≡ 0 (mod m1 )
.
.
. f(x) ≡ 0 (mod m1 m2 ) 同解于
1
f(x) ≡ 0 (mod m2 )
. 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2)
.
.
2
有 t 个解；
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

68. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
{
f(x) ≡ 0 (mod m1 )
.
.
. f(x) ≡ 0 (mod m1 m2 ) 同解于
1
f(x) ≡ 0 (mod m2 )
. 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2)
.
.
2
有 t 个解；
{
f(x) ≡ 0 (mod m1 )
.
.
.
3
f(x) ≡ 0 (mod m2 )
可以转化为 st 个方程组；
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

69. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
{
f(x) ≡ 0 (mod m1 )
.
.
. f(x) ≡ 0 (mod m1 m2 ) 同解于
1
f(x) ≡ 0 (mod m2 )
. 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2)
.
.
2
有 t 个解；
{
f(x) ≡ 0 (mod m1 )
.
.
.
3
f(x) ≡ 0 (mod m2 )
可以转化为 st 个方程组；
. 由于 (m1, m2) = 1，所以这 st 个方程组在模 m1m2
.
.
4 的意
义下都有惟一解，而且不同的方程组得出的解模 m1 m2 两
两不同余。
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

70. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
{
f(x) ≡ 0 (mod m1 )
.
.
. f(x) ≡ 0 (mod m1 m2 ) 同解于
1
f(x) ≡ 0 (mod m2 )
. 设 f(x) ≡ 0 (mod m1) 有 s 个解, f(x) ≡ 0 (mod m2)
.
.
2
有 t 个解；
{
f(x) ≡ 0 (mod m1 )
.
.
.
3
f(x) ≡ 0 (mod m2 )
可以转化为 st 个方程组；
. 由于 (m1, m2) = 1，所以这 st 个方程组在模 m1m2
.
.
4 的意
义下都有惟一解，而且不同的方程组得出的解模 m1 m2 两
两不同余。
. f(x) ≡ 0 (mod m1m2) 有 st 个解。
.
.
5
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

71. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(事实) .
..
若我们能解
f(x) ≡ 0 (mod pl ) (p 为素数)
形式的同余方程，则我们能解
f(x) ≡ 0 (mod m)
形式的同余方程。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

72. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(事实) .
..
若我们能解
f(x) ≡ 0 (mod pl ) (p 为素数)
形式的同余方程，则我们能解
f(x) ≡ 0 (mod m)
形式的同余方程。
.
.
.. .
.
(问题) .
..
如何求解 f(x) ≡ 0 (mod pl )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

73. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

74. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
. .
. 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0
1
mod 3 是 f(x) ≡ 0 (mod 3) 的解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

75. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
. .
. 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0
1
mod 3 是 f(x) ≡ 0 (mod 3) 的解.
. 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0
.
. 2
2
. (mod 3 ) 的解.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

76. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
. .
. 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0
1
mod 3 是 f(x) ≡ 0 (mod 3) 的解.
. 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0
.
. 2
2
. (mod 3 ) 的解.
.
.. .
.
(求解模 3 的情形) .
..
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

77. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
. .
. 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0
1
mod 3 是 f(x) ≡ 0 (mod 3) 的解.
. 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0
.
. 2
2
. (mod 3 ) 的解.
.
.. .
.
(求解模 3 的情形) .
..
. .
.
1 f(x) ≡ 0 (mod 3) 有惟一解 x ≡ 1 (mod 3).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

78. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (f(x) = 7x4 + x + 7, 解 f(x) ≡ 0 (mod 9)) .
..
. .
. 若 x ≡ x0 mod 32 是原方程组的一个解，则 x ≡ x0
1
mod 3 是 f(x) ≡ 0 (mod 3) 的解.
. 反之虽然不成立，但可以尝试从 x0 + 3t 中寻找 f(x) ≡ 0
.
. 2
2
. (mod 3 ) 的解.
.
.. .
.
(求解模 3 的情形) .
..
. .
.
1 f(x) ≡ 0 (mod 3) 有惟一解 x ≡ 1 (mod 3).
. 设 x = 1 + 3t，代入 f(x) ≡ 0 (mod 32)，并尝试从中求
.
. 2
. 出 t.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

79. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

80. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

81. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
(1 + 3t) = 1 + 3t
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

82. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
(1 + 3t) = 1 + 3t
1=1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

83. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
(1 + 3t) = 1 + 3t
1=1
f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

84. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
(1 + 3t) = 1 + 3t
1=1
f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32 )
注意到 f(x) = 7x4 + x + 7, f (x) = 28x3 + 1，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

85. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的技巧) .
..
f(1 + 3t) = 7(1 + 3t)4 + (1 + 3t) + 1
(1 + 3t)4 = 14 + 4 · (1)3 (3t) + · · ·
(1 + 3t) = 1 + 3t
1=1
f(1 + 3t) ≡ (7 · 14 + 11 + 7) + (4 · 7 · 13 + 1) · (3t) (mod 32 )
注意到 f(x) = 7x4 + x + 7, f (x) = 28x3 + 1，所以
. f(1 + 3t) ≡ f(1) + f (1)(3t) (mod 32 )
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

86. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

87. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
整理得
3f (1)t ≡ −f(1) (mod 32 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

88. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
整理得
3f (1)t ≡ −f(1) (mod 32 )
由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

89. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
整理得
3f (1)t ≡ −f(1) (mod 32 )
由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到
−f(1)
f (1)t ≡ (mod 3)
3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

90. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
整理得
3f (1)t ≡ −f(1) (mod 32 )
由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到
−f(1)
f (1)t ≡ (mod 3)
3
只要 f (1), 3 = 1，也就是 3 f (1)，就能求出 t.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

91. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求 t) .
..
f(1) + f (1)(3t) ≡ 0 (mod 32 )
整理得
3f (1)t ≡ −f(1) (mod 32 )
由于 f(1) ≡ 0 (mod 3)，所以 3|f(1)，化简得到
−f(1)
f (1)t ≡ (mod 3)
3
只要 f (1), 3 = 1，也就是 3 f (1)，就能求出 t.
最后得到 t ≡ 2 (mod 3),
. x ≡ 7 (mod 9).
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

92. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(思路) .
..
若 x0 (mod p l ) 是 f(x) ≡ 0 (mod pl ) 的一个解，则令
x = x0 + pl t 代入 f(x)，也许可以找到 f(x) ≡ 0 (mod pl+1 ) 的
解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

93. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(思路) .
..
若 x0 (mod p l ) 是 f(x) ≡ 0 (mod pl ) 的一个解，则令
x = x0 + pl t 代入 f(x)，也许可以找到 f(x) ≡ 0 (mod pl+1 ) 的
解.
.
.
.. .
.
(关键步骤：展开的方法) .
..
设 f(x) = an xn + · · · a1 x + a0 ，如何计算 f(x0 + pl t)
(mod pl+1 )?
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

94. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的方法—续) .
..
ai (x0 + pl t)i = ai (xi + i · x0 pl t + · · · )
0
i−1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

95. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的方法—续) .
..
ai (x0 + pl t)i = ai (xi + i · x0 pl t + · · · )
0
i−1
ai (x0 + pl t)i ≡ ai xi + i · ai xi−1 (pl t) (mod pl+1 )
0 0
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

96. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的方法—续) .
..
ai (x0 + pl t)i = ai (xi + i · x0 pl t + · · · )
0
i−1
ai (x0 + pl t)i ≡ ai xi + i · ai xi−1 (pl t) (mod pl+1 )
0 0
∑
n ∑
n
f(x0 + pl t) ≡ ai xi + (
0 i · ai x0 )pl t (mod pl+1 )
i−1
i=0 i=0
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

97. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(展开的方法—续) .
..
ai (x0 + pl t)i = ai (xi + i · x0 pl t + · · · )
0
i−1
ai (x0 + pl t)i ≡ ai xi + i · ai xi−1 (pl t) (mod pl+1 )
0 0
∑
n ∑
n
f(x0 + pl t) ≡ ai xi + (
0 i · ai x0 )pl t (mod pl+1 )
i−1
i=0 i=0
f(x0 + pl t) ≡ f(x0 ) + f (x0 )pl t (mod pl+1 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

98. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求解 t) .
..
f(x0 ) + f (x0 )pl t ≡ 0 (mod pl+1 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

99. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求解 t) .
..
f(x0 ) + f (x0 )pl t ≡ 0 (mod pl+1 )
由于 f(x0 ) ≡ 0 (mod pl )，所以 pl |f(x0 )，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

100. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求解 t) .
..
f(x0 ) + f (x0 )pl t ≡ 0 (mod pl+1 )
由于 f(x0 ) ≡ 0 (mod pl )，所以 pl |f(x0 )，有
f(x0 )
+ f (x0 )t ≡ 0 (mod p)
pl
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

101. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求解 t) .
..
f(x0 ) + f (x0 )pl t ≡ 0 (mod pl+1 )
由于 f(x0 ) ≡ 0 (mod pl )，所以 pl |f(x0 )，有
f(x0 )
+ f (x0 )t ≡ 0 (mod p)
pl
当 (f (x0 ), p = 1 或 p f (x0 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

102. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(求解 t) .
..
f(x0 ) + f (x0 )pl t ≡ 0 (mod pl+1 )
由于 f(x0 ) ≡ 0 (mod pl )，所以 pl |f(x0 )，有
f(x0 )
+ f (x0 )t ≡ 0 (mod p)
pl
当 (f (x0 ), p = 1 或 p f (x0 ) 或
f (x0 ) ≡ 0 (mod p)
时，我们能从中解出 t.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

103. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(结论) .
..
若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

104. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(结论) .
..
若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；
但不是 f (x) ≡ 0 (mod p) 的一个根；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

105. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(结论) .
..
若 x0 (mod p) 是 f(x) ≡ 0 (mod p) 的一个根；
但不是 f (x) ≡ 0 (mod p) 的一个根；
. 则 x0 (mod p) 可以提升为 f(x) ≡ 0 (mod pl ) 的一个根.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

106. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 f(x) ≡ 0, f (x) ≡ 0 (mod pl ) 无公共解，则
f(x) ≡ 0 (mod pl )
解的个数与
f(x) ≡ 0 (mod p)
解的个数相等.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

107. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 最难的部分
.
(递归的终止) .
..
我们把求解
f(x) ≡ 0 (mod pl )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

108. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 最难的部分
.
(递归的终止) .
..
我们把求解
f(x) ≡ 0 (mod pl )
归结为求解
f(x) ≡ 0 (mod pl−1 ).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

109. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 最难的部分
.
(递归的终止) .
..
我们把求解
f(x) ≡ 0 (mod pl )
归结为求解
f(x) ≡ 0 (mod pl−1 ).
经过 l − 1 次转化后，最终要面对如下问题：如何求解
. f(x) ≡ 0 (mod p)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

110. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(事实) .
..
刚才提到的问题很困难。虽然已经有明确的算法，能在模 p
的意义下分解 f(x)，从而解决求根的问题。但这个方法超
出了本课程的范围，我们不去讨论它。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

111. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(事实) .
..
刚才提到的问题很困难。虽然已经有明确的算法，能在模 p
的意义下分解 f(x)，从而解决求根的问题。但这个方法超
出了本课程的范围，我们不去讨论它。
在下一章，我们会考虑一个相对简单的情形
x2 + a ≡ 0 (mod p).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

112. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(事实) .
..
刚才提到的问题很困难。虽然已经有明确的算法，能在模 p
的意义下分解 f(x)，从而解决求根的问题。但这个方法超
出了本课程的范围，我们不去讨论它。
在下一章，我们会考虑一个相对简单的情形
x2 + a ≡ 0 (mod p).
就目前的情况，大家可以通过猜测的方法来求得 f(x) ≡ 0
. (mod p) 的解.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

113. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 p 为素数，f(x) = an x n + · · · + a 是一个整系数多项式，其
0
中 p an ，则同余方程
f(x) ≡ 1 (mod p)
的解的个数不超过 n.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

114. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
设 p 为素数，f(x) = an x n + · · · + a 是一个整系数多项式，其
0
中 p an ，则同余方程
f(x) ≡ 1 (mod p)
的解的个数不超过 n.
.
.
.. .
.
(思路) .
..
若 x ≡ a1 (mod p) 是方程的一个解，则
. f(x) ≡ (x − a1 )f1 (x) (mod p).
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

115. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(证明) .
..
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

116. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(证明) .
..
. .
.
1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a
1 (mod p)，则
f(x) ≡ (x − a1 )f1 (x) (mod p).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

117. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(证明) .
..
. .
.
1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a
1 (mod p)，则
f(x) ≡ (x − a1 )f1 (x) (mod p).
. 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则
.
. 2
f(x) ≡ (x − a1 )(x − a2 )f2 (x).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

118. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(证明) .
..
. .
.
1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a
1 (mod p)，则
f(x) ≡ (x − a1 )f1 (x) (mod p).
. 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则
.
. 2
f(x) ≡ (x − a1 )(x − a2 )f2 (x).
. 重复此过程，直到
.
. 3
f(x) ≡ (x − a1 ) · · · (x − ar )fr (x) (mod p),
而 fr (x) ≡ 0 (mod p) 不再有解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

119. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
(证明) .
..
. .
.
1 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a
1 (mod p)，则
f(x) ≡ (x − a1 )f1 (x) (mod p).
. 如果 f(x) ≡ 0 (mod p) 有解 x ≡ a2 (mod p)，则
.
.2
f(x) ≡ (x − a1 )(x − a2 )f2 (x).
. 重复此过程，直到
.
.3
f(x) ≡ (x − a1 ) · · · (x − ar )fr (x) (mod p),
而 fr (x) ≡ 0 (mod p) 不再有解.
.
. 4
. x ≡ a1 , a2 , · · · , ar (mod p) 就是 f(x) 的全部解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

120. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
.
§ Wilson 定理
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

121. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

122. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). .
.
.
.. .
.
这个方程有 p − 1 个不同的解 .
x ≡ 1, · · · , p − 1 (mod p).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

123. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). .
.
.
.. .
.
这个方程有 p − 1 个不同的解 .
x ≡ 1, · · · , p − 1 (mod p).
在模 p 的意义下有如下分解
xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

124. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). .
.
.
.. .
.
这个方程有 p − 1 个不同的解 .
x ≡ 1, · · · , p − 1 (mod p).
在模 p 的意义下有如下分解
xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p).
令 x = 0，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

125. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
现在我们考虑一类最简单的同余方程: xp−1 = 1 (mod p). .
.
.
.. .
.
这个方程有 p − 1 个不同的解 .
x ≡ 1, · · · , p − 1 (mod p).
在模 p 的意义下有如下分解
xp−1 − 1 ≡ (x − 1)(x − 2) · · · (x − (p − 1)) (mod p).
令 x = 0，有
. −1 ≡ (−1)p−1 (p − 1)! (mod p)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

126. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 (Wilson) .
..
若 p 为素数，则
. (p − 1)! ≡ −1 (mod p)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

127. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 p 为素数，则同余方程
xp−1 ≡ 1 (mod pl )
有 (p − 1) 个解.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

128. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 p 为素数，则同余方程
xp−1 ≡ 1 (mod pl )
有 (p − 1) 个解.
.
.
.. .
.
. .
.
1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2 ； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

129. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 p 为素数，则同余方程
xp−1 ≡ 1 (mod pl )
有 (p − 1) 个解.
.
.
.. .
.
. .
.
1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2 ； .
. f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根；
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

130. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 p 为素数，则同余方程
xp−1 ≡ 1 (mod pl )
有 (p − 1) 个解.
.
.
.. .
.
. .
.
1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2 ； .
. f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根；
.
. 2
. f(x) = 0 (mod pl) 的解数与 f(x) = 0 (mod p) 的解数同；
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

131. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
定理 .
..
若 p 为素数，则同余方程
xp−1 ≡ 1 (mod pl )
有 (p − 1) 个解.
.
.
.. .
.
..
.
1 令 f(x) = xp−1 − 1，则 f (x) = (p − 1)xp−2 ； .
2
. f(x) = 0 (mod p) 与 f (x) = 0 (mod p) 没有公共根；
.
.
3
. f(x) = 0 (mod pl) 的解数与 f(x) = 0 (mod p) 的解数同；
.
.
. . f(x) = 0 (mod p) 有 p − 1 个解。
4 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

132. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 降低方程次数
.
如果不关心解的重数，则在模 p 的意义下，总可以把方程的次 .
数降低到不超过 p − 1 次。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

133. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 降低方程次数
.
如果不关心解的重数，则在模 p 的意义下，总可以把方程的次 .
数降低到不超过 p − 1 次。 这是因为
. xp ≡ x (mod p).
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

134. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 降低方程次数
.
如果不关心解的重数，则在模 p 的意义下，总可以把方程的次 .
数降低到不超过 p − 1 次。 这是因为
. xp ≡ x (mod p).
.
.. .
.
(两种降低次数的方法) .
..
. .
.
1 带余除法，计算
f(x) = q(x)(xp − x) + r(x)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

135. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 降低方程次数
.
如果不关心解的重数，则在模 p 的意义下，总可以把方程的次 .
数降低到不超过 p − 1 次。 这是因为
. xp ≡ x (mod p).
.
.. .
.
(两种降低次数的方法) .
..
. .
.
1 带余除法，计算
f(x) = q(x)(xp − x) + r(x)
然后求解 r(x) ≡ 0 (mod p).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

136. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
. 降低方程次数
.
如果不关心解的重数，则在模 p 的意义下，总可以把方程的次 .
数降低到不超过 p − 1 次。 这是因为
. xp ≡ x (mod p).
.
.. .
.
(两种降低次数的方法) .
..
. .
.
1 带余除法，计算
f(x) = q(x)(xp − x) + r(x)
然后求解 r(x) ≡ 0 (mod p).
. 用 x 取代 f(x) 中的 xp，直到 f(x) 中不含高于 xp−1
.
. 2 的
. 项.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

137. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (减低次数的例子) .
..
求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

138. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (减低次数的例子) .
..
求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5).
化简为
x4 + 2x3 + 3x ≡ 0 (mod 5),
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

139. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (减低次数的例子) .
..
求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5).
化简为
x4 + 2x3 + 3x ≡ 0 (mod 5),
结果为 x ≡ 0 (mod 5).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

140. 同余方程 线性同余方程
原根 高次同余方程
RSA 公钥密码体制 Wilson 定理
.
Example (减低次数的例子) .
..
求解方程 x15 + 4x12 + 2x11 + x9 + x ≡ 0 (mod 5).
化简为
x4 + 2x3 + 3x ≡ 0 (mod 5),
结果为 x ≡ 0 (mod 5).
.
.
.. .
.
(讨论) .
..
刚才的方法会丢失重根，怎么修补该方法，使得我们能得到根的
重数？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

141. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
.
§ 2.4 原根
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

142. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
.
§ 模 m 的阶
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

143. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m > 1, (a, m) = 1，则使得
ad ≡ 1 (mod m)
成立的最小正整数 d0 称为 a 模 m 的阶，记为 om (a)，上下
文清晰时，记为 o(a).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

144. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m > 1, (a, m) = 1，则使得
ad ≡ 1 (mod m)
成立的最小正整数 d0 称为 a 模 m 的阶，记为 om (a)，上下
文清晰时，记为 o(a).
.
.
.. .
.
. .
.
1 当 (a, m) = 1 时，o(a) 总是存在的。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

145. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m > 1, (a, m) = 1，则使得
ad ≡ 1 (mod m)
成立的最小正整数 d0 称为 a 模 m 的阶，记为 om (a)，上下
文清晰时，记为 o(a).
.
.
.. .
.
. .
.
1 当 (a, m) = 1 时，o(a) 总是存在的。这是因为 .
aϕ(m) = 1 (mod m).
. .
. . 当 (a, m) = 1 时，a ≡ 1 (mod m), d > 0 是不可能的。
2 d
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

146. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

147. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

148. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
. ad = 1 (mod m)
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

149. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
. ad = 1 (mod m) ⇒ ao(a)q+r ≡ 1 (mod m)；
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

150. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
. ad = 1 (mod m) ⇒ ao(a)q+r ≡ 1 (mod m)；
.
. 2
d r
⇒ ao(a) a ≡ 1 (mod m)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

151. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
. ad = 1 (mod m) ⇒ ao(a)q+r ≡ 1 (mod m)；
.
. 2
d r
⇒ ao(a) a ≡ 1 (mod m)；
⇒ ar ≡ 1 (mod m)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

152. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
如果 (a, m) = 1，则对任意满足 ad ≡ 1 (mod m) 的 d，都有
o(a) | d.
.
.
.. .
.
. .
.
1 d = o(a)q + r, 0 r < m； 带余除法.
. ad = 1 (mod m) ⇒ ao(a)q+r ≡ 1 (mod m)；
.
.2
d r
⇒ ao(a) a ≡ 1 (mod m)；
⇒ ar ≡ 1 (mod m)
. .
. . 由 o(a) 的最小性，r = 0.
3
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

153. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(事实) .
..
. m (a)|ϕ(m)，特别地，om (a)
o ϕ(m).
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

154. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
令
. p = 7, 11 计算各数模 p 的阶.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

155. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
令
. p = 7, 11 计算各数模 p 的阶.
.
.. .
.
i 1 2 3 4 5 6 .
. o7 (i) 1 3 6 3 6 2
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

156. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

157. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

158. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

159. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

160. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
⇒ ao(b)d ≡ 1.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

161. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
⇒ ao(b)d ≡ 1.
⇒ o(a) | o(b)d.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

162. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
⇒ ao(b)d ≡ 1.
⇒ o(a) | o(b)d.
o(a) | d;
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

163. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
⇒ ao(b)d ≡ 1.
⇒ o(a) | o(b)d.
o(a) | d;类似有 o(b) | d.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

164. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Theorem .
..
若 (o(a), o(b)) = 1，则 o(ab) = o(a)o(b)。
.
.
.. .
.
令 o(ab) = d，显然 d | o(a)o(b); .
(ab)d ≡ 1 ⇒ (ab)o(b)d ≡ 1
⇒ ao(b)d ≡ 1.
⇒ o(a) | o(b)d.
o(a) | d;类似有 o(b) | d.
. o(a)o(b) | d.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

165. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 o(a) = xy，则 o(ax ) = y.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

166. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 o(a) = xy，则 o(ax ) = y.
.
.
.. .
.
证明留做练习。注意 axy = (ax )y . .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

167. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
若 o(a) = pα s, o(b) = pβ t，其中 p s, p t，则
β α
. o(as bp ) = pα t, o(ap bt ) = pβ s
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

168. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
若 o(a) = pα s, o(b) = pβ t，其中 p s, p t，则
β α
. o(as bp ) = pα t, o(ap bt ) = pβ s
.
.. .
o(as ) = pα , o(b pβ ) = t;
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

169. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
若 o(a) = pα s, o(b) = pβ t，其中 p s, p t，则
β α
. o(as bp ) = pα t, o(ap bt ) = pβ s
.
.. .
o(as ) = pα , o(b pβ ) = t;
α
o(ap ) = s, o(bt ) = pβ .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

170. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
.
§ 原根
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

171. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m 时正整数，a 是整数，若 o(a) = ϕ(m)，则称 a 为 m
的一个原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

172. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m 时正整数，a 是整数，若 o(a) = ϕ(m)，则称 a 为 m
的一个原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

173. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m 时正整数，a 是整数，若 o(a) = ϕ(m)，则称 a 为 m
的一个原根.
.
.
.. .
.
定理 .
..
若 a 是 m 的一个原根，则
a, a2 , · · · , aϕ(m)
刚好是 m 的缩系。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

174. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m 时正整数，a 是整数，若 o(a) = ϕ(m)，则称 a 为 m
的一个原根.
.
.
.. .
.
定理 .
..
若 a 是 m 的一个原根，则
a, a2 , · · · , aϕ(m)
刚好是 m 的缩系。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

175. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定义 .
..
设 m 时正整数，a 是整数，若 o(a) = ϕ(m)，则称 a 为 m
的一个原根.
.
.
.. .
.
定理 .
..
若 a 是 m 的一个原根，则
a, a2 , · · · , aϕ(m)
刚好是 m 的缩系。我们也说 a 是 m 的一个缩系生成元。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

176. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

177. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

178. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

179. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

180. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

181. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

182. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
β
o(cs aq ) = qα t
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

183. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
β
o(cs aq ) = qα t > qβ t
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

184. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
β
o(cs aq ) = qα t > qβ t = o(a)，矛盾。
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

185. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
β
o(cs aq ) = qα t > qβ t = o(a)，矛盾。
. xo(a) ≡ 1 (mod p) 有, p − 1个根，
.
.3
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

186. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 p 是素数，则 p 的原根存在。
.
.
.. .
. .
. 设 a 是 1, 2, · · · , p − 1 中阶最大的元素, o(a)
1 p − 1;
. 对任意 1
.
.2 b < p，都有 bo(a) ≡ 1 (mod p);
若有 co(a) ≡ 1 (mod p)，则有 o(c) o(a);
存在素数 q,在 c 分解式中的个数多于在 a 分解式中的个数;
设 o(c) = qα s, o(a) = qβ t, α > β;
β
o(cs aq ) = qα t > qβ t = o(a)，矛盾。
. xo(a) ≡ 1 (mod p) 有, p − 1个根，
.
.3
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

187. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 7 的原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

188. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 7 的原根。
.
.
.. .
.
. .
.
1 以前计算过 .
i 1 2 3 4 5 6
o7 (i) 1 3 6 3 6 2
. .
. . 所以 3 是模 7 的原根。
2
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

189. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 11 的原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

190. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 11 的原根。
.
.
.. .
.
. .
.
1 以前计算过 .
i 1 2 3 4 5 6 7 8 9 10
o7 (i) 1 10 5 5 5 10 10 10 5 2
. .
. . 所以 2, 6, 7, 8 是模 11 的原根。
2
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

191. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

192. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1
1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

193. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1
1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

194. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd
1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

195. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1
(p−1,s)
s
d
(p−1,s)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

196. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1 s
(p−1,s) d (p−1,s)
p−1 s
由于 (p−1,s) , (p−1,s) = 1，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

197. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1 s
(p−1,s)d (p−1,s)
p−1 s p−1
由于 (p−1,s) , (p−1,s) = 1，所以 (p−1,s) d；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

198. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1 s
d(p−1,s) (p−1,s)
p−1 s p−1
由于 (p−1,s) , (p−1,s) = 1，所以 (p−1,s) d；
. (gs)
p−1 s
.
. 2 (p−1,s) = (gp−1 ) (p−1,s)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

199. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1 s
d(p−1,s) (p−1,s)
p−1 s p−1
由于 (p−1,s) , (p−1,s) = 1，所以 (p−1,s) d；
. (gs)
p−1 s
.
. 2 (p−1,s) = (gp−1 ) (p−1,s) = 1
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

200. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，g 为模 p 的原根，则 g s 模 p 的阶
为 p−1 ，当且仅当 (s, p − 1) = 1 时 gs 为 模 p 的原根。
. (s,p−1)
.
.. .
.
设 gs 模 p 的阶为 d，有 .
. .
. (gs )d = 1 ⇒ gsd = 1 ⇒ p − 1 | sd ⇒ p−1
1 s
d(p−1,s) (p−1,s)
p−1 s p−1
由于 (p−1,s) , (p−1,s) = 1，所以 (p−1,s) d；
. (gs)
p−1 s
.
. 2 (p−1,s) = (gp−1 ) (p−1,s) = 1 ⇒ d p−1
. (p−1,s)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

201. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
由前面的定理可以知道，只要知道一个原根，其它的原根可以
通过这个原根直接写出来。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

202. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
已知 5 是模 23 的一个原根，求 23 的全部原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

203. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
已知 5 是模 23 的一个原根，求 23 的全部原根。
.
.
.. .
.
. .
. 23 中的非零元可以表示为 51 ∼ 522 ；
1 Z .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

204. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
已知 5 是模 23 的一个原根，求 23 的全部原根。
.
.
.. .
.
. .
. 23 中的非零元可以表示为 51 ∼ 522 ；
1 Z .
. 5i
.
. 2 的阶为 22 当且仅当 (i, 22) = 1；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

205. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
已知 5 是模 23 的一个原根，求 23 的全部原根。
.
.
.. .
.
. .
. 23 中的非零元可以表示为 51 ∼ 522 ；
1 Z .
. 5i 的阶为 22 当且仅当 (i, 22) = 1；
.
. 2
. 满足条件的 i 为 1, 3, 5, 7, 9, 13, 15, 17, 19, 21;
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

206. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
已知 5 是模 23 的一个原根，求 23 的全部原根。
.
.
.. .
.
. .
. 23 中的非零元可以表示为 51 ∼ 522 ；
1 Z .
2
. 5i 的阶为 22 当且仅当 (i, 22) = 1；
.
.
3
. 满足条件的 i 为 1, 3, 5, 7, 9, 13, 15, 17, 19, 21;
.
.
. . 模 23 的全部原根为 5, 7, 10, 11, 14, 15, 17, 19, 20, 21。
4 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

207. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

208. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个
进行判断，直到发现一个为原根的 a.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

209. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个
进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法
如下：
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

210. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个
进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法
如下：
.
.
.. .
.
. .
.
1 求出 p − 1 的所有非平凡因子 d； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

211. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个
进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法
如下：
.
.
.. .
.
. .
.
1 求出 p − 1 的所有非平凡因子 d； .
. 对每个 d 计算 ad (mod m)；
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

212. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. 求模 p 的原根
.
对模 p 的情形，原根必定存在。只要求出了一个，其它的也就 .
容易得到了。求模 p 原根的一般方法就是对 a = 2, 3, . . . 逐个
进行判断，直到发现一个为原根的 a. 检验 a 是否原根的方法
如下：
.
.
.. .
.
. .
.
1 求出 p − 1 的所有非平凡因子 d； .
. 对每个 d 计算 ad (mod m)；
.
. 2
. 如果每个 ad (mod m) 都不为 1，则表明 a 是原根，否则
.
. 3
. 不是.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

213. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

214. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

215. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

216. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

217. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

218. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

219. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

220. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23)
对 3 进行验证
32 ≡ 9 (mod 23);
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

221. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23)
对 3 进行验证
32 ≡ 9 (mod 23);
. 311 ≡ (32 )5 · 3
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

222. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23)
对 3 进行验证
32 ≡ 9 (mod 23);
. 311 ≡ (32 )5 · 3 ≡ (92 )2 · 27 ≡
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

223. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 23 的一个原根.
.
.
.. .
.
ϕ(23) 的非平凡因子为 2, 11, 对 Z23 中的元素逐个 验证。 .
对 2 验证
22 ≡ 4 (mod 23)，
211 ≡ (22 )5 · 2 ≡ (42 )2 · 8 ≡ (7)2 · 8 ≡ 1 (mod 23)
对 3 进行验证
32 ≡ 9 (mod 23);
. 311 ≡ (32 )5 · 3 ≡ (92 )2 · 27 ≡ 122 · 4 ≡ 1 (mod 23)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

224. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

225. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

226. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

227. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5) ≡ 1 (mod 23)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

228. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5) ≡ 1 (mod 23)
对 5 的验证：
52 ≡ 2 (mod 23);
511 ≡ (52 )5 · 5
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

229. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5) ≡ 1 (mod 23)
对 5 的验证：
52 ≡ 2 (mod 23);
511 ≡ (52 )5 · 5 ≡ (22 )2 · 10
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

230. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5) ≡ 1 (mod 23)
对 5 的验证：
52 ≡ 2 (mod 23);
511 ≡ (52 )5 · 5 ≡ (22 )2 · 10 ≡ 22 (mod 23)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

231. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
对 4 的验证： .
4 ≡ 16 (mod 23);
2
411 ≡ (42 )5 · 4 ≡ ((−7)2 )2 (−5) ≡ 1 (mod 23)
对 5 的验证：
52 ≡ 2 (mod 23);
511 ≡ (52 )5 · 5 ≡ (22 )2 · 10 ≡ 22 (mod 23)
. 5 是 23 的一个原根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

232. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

233. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

234. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

235. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u ≡ 1 (mod m)，即 d|uv.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

236. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u ≡ 1 (mod m)，即 d|uv.
从 (ab)d ≡ 1 (mod m) 得到 ad bd ≡ 1 (mod m).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

237. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u ≡ 1 (mod m)，即 d|uv.
从 (ab)d ≡ 1 (mod m) 得到 ad bd ≡ 1 (mod m).
两边 u 次方后，得到 bdu ≡ 1 (mod m)，所
以 v|du ⇒ v|d.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

238. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u ≡ 1 (mod m)，即 d|uv.
从 (ab)d ≡ 1 (mod m) 得到 ad bd ≡ 1 (mod m).
两边 u 次方后，得到 bdu ≡ 1 (mod m)，所
以 v|du ⇒ v|d.
类似地得到 u|d，有 uv|d.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

239. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 m 为正整数，a, b 为整数，
且 om (a) = u, om (b) = v, (u, v) = 1. 则 om (ab) = uv.
.
.
.. .
.
(分析) .
..
设 o(ab) = d，有
(ab)uv ≡ (au )v (bv )u ≡ 1 (mod m)，即 d|uv.
从 (ab)d ≡ 1 (mod m) 得到 ad bd ≡ 1 (mod m).
两边 u 次方后，得到 bdu ≡ 1 (mod m)，所
以 v|du ⇒ v|d.
类似地得到 u|d，有 uv|d.
. d|uv, uv|d ⇒ d = uv.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

240. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面这个定理提供了一个求原根的有趣方法。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

241. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面这个定理提供了一个求原根的有趣方法。这个方法不是很 .
实用，但我们可以了解一下。
..
.
1 求模 n 的原根就是要在 Z
n 中找一个阶 为 ϕ(n) 的元素
（那样的元素未必存在，但这是后话）；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

242. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面这个定理提供了一个求原根的有趣方法。这个方法不是很 .
实用，但我们可以了解一下。
..
.
1 求模 n 的原根就是要在 Z
n 中找一个阶 为 ϕ(n) 的元素
（那样的元素未必存在，但这是后话）；
. 若 ϕ(n) = st，且 (s, t) = 1；
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

243. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面这个定理提供了一个求原根的有趣方法。这个方法不是很 .
实用，但我们可以了解一下。
. .
.
1 求模 n 的原根就是要在 Z
n 中找一个阶 为 ϕ(n) 的元素
（那样的元素未必存在，但这是后话）；
2
. 若 ϕ(n) = st，且 (s, t) = 1；
.
.
3
. 碰巧我们找到了两个元素 a, b，它们的阶恰好分别为 s, t；
.
.
. . ab 的阶为 st，正是所求。
4 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

244. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

245. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

246. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

247. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

248. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

249. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
类似可以验证 δ41 (3) = 8
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

250. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
类似可以验证 δ41 (3) = 8
2, 3 的阶分别为 20, 8，不满足互素条件,
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

251. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
类似可以验证 δ41 (3) = 8
2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理：
20
δ41 (24 ) = = 5;
(20, 4)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

252. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
类似可以验证 δ41 (3) = 8
2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理：
20
δ41 (24 ) = = 5;
(20, 4)
. 24 · 3 的阶为 5 · 8 = 40，
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

253. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的原根.
.
.
.. .
.
. .
1 ϕ(41) = 40 = 23 · 5；其非平凡因子 有 2, 4, 5, 8, 10, 20, 40; .
.
. 对 2, 3, . . . 逐个求阶:
.
. 2
22 ≡ 4, 24 ≡ 16, 25 ≡ 32, 28 ≡ 10, 210 ≡ 40, 220 ≡ 1
(mod 41)，所以 δ41 (2) = 20;
类似可以验证 δ41 (3) = 8
2, 3 的阶分别为 20, 8，不满足互素条件,但可以略加处理：
20
δ41 (24 ) = = 5;
(20, 4)
. 24 · 3 的阶为 5 · 8 = 40，7 是 模 41 的一个原根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

254. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi
≡ 1 (mod p), i = 1, . . . , k.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

255. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

256. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
. 存在某个 qi| n
.
. 2
d
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

257. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
. 存在某个 qi| n
.
. 2
d
.
. n = dn
.
. 3
d
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

258. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
. 存在某个 qi| n
.
. 2
d
.
. n = d n ⇒ qi = d dqi
.
. 3
d
n n
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

259. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
. 存在某个 qi| n
.
. 2
d
.
. n = d n ⇒ qi = d dqi ⇒ d
.
. 3
d
n n n
qi
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

260. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
设 p 为奇素数，q1 , q2 , · · · , qk 为 p − 1 的所有不同素因子，
g 是模 p 的原根的充分必要条件是
p−1
. g qi ≡ 1 (mod p), i = 1, . . . , k.
.
.. .
.
(分析) .
..
. .
.
1 如果 g 不是原根，则其阶为 p − 1 的一个真因子 d，
. 存在某个 qi| n
.
. 2
d
. n = d n ⇒ qi = d dqi ⇒ d
n n n p−1
.
. 3 ⇒ x qi ≡ 1 (mod m).
. d qi
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

261. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

262. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

263. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
.2
.
. 2
40
2 ≡ 1 (mod 41)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

264. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
.2
.
. 2
40
2 ≡ 1 (mod 41)；
.3
.
. 3
40
2
40
≡ 40, 3 5 ≡ 1 (mod 41)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

265. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
. 2 ≡ 1 (mod 41)；
.
. 2
40
2
. 3 ≡ 40, 3 ≡ 1 (mod 41)；
.
. 3
40
2
40
5
. 4 = 22，其阶是 2 的阶的一个因子；
.
. 4
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

266. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
. 2 ≡ 1 (mod 41)；
.
. 2
40
2
. 3 ≡ 40, 3 ≡ 1 (mod 41)；
.
. 3
40
2
40
5
. 4 = 22，其阶是 2 的阶的一个因子；
.
. 4
. 5 ≡ 1 (mod 41)；
.
. 5
40
2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

267. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
. 2 ≡ 1 (mod 41)；
.
. 2
40
2
. 3 ≡ 40, 3 ≡ 1 (mod 41)；
.
. 3
40
2
40
5
. 4 = 22，其阶是 2 的阶的一个因子；
.
. 4
. 5 ≡ 1 (mod 41)；
.
. 5
40
2
. 6 ≡ 40, 6 ≡ 10 (mod 41)。
.
. 6
40
2
40
5
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

268. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
Example .
..
求模 41 的一个原根。
.
.
.. .
.
. .
.
1 ϕ(41) = 40 = 23 · 5； .
. 2 ≡ 1 (mod 41)；
2.
. 40
2
. 3 ≡ 40, 3 ≡ 1 (mod 41)；
3.
.
40
2
40
5
. 4 = 22，其阶是 2 的阶的一个因子；
4.
.
. 5 ≡ 1 (mod 41)；
5.
. 40
2
. 6 ≡ 40, 6 ≡ 10 (mod 41)。
6.
.
40
2
40
5
. . 6 是模 41 的一个原根。
7.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

269. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

270. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、
除法。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

271. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、
除法。整个验证运算的复杂度为 O(nt)。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

272. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、
除法。整个验证运算的复杂度为 O(nt)。
不过，这个估计是在已知 n 全部素因子的前提下得到的。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

273. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、
除法。整个验证运算的复杂度为 O(nt)。
不过，这个估计是在已知 n 全部素因子的前提下得到的。这个
前提相当于已经分解了 n。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

274. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的算法看上去很好。如果 n 有 t 个素因子，则验证一个数.
是否原根只要计算 t 个方幂，每个方幂需要计算 O(n) 次乘、
除法。整个验证运算的复杂度为 O(nt)。
不过，这个估计是在已知 n 全部素因子的前提下得到的。这个
前提相当于已经分解了 n。但是对于比较大的 n，并没有已知
的有效分解手段。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

275. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
我们知道，当 n 是素数时，模 n 的原根是存在的。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

276. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加 .
实验，我们就能知道，对于一般的 n，原根是不存在的。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

277. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加 .
实验，我们就能知道，对于一般的 n，原根是不存在的。现在
我们将考虑如下的问题：
.
.
.. .
. 对什么样的合数 n，原根是存在的？
.
.1
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

278. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
我们知道，当 n 是素数时，模 n 的原根是存在的。只要稍加 .
实验，我们就能知道，对于一般的 n，原根是不存在的。现在
我们将考虑如下的问题：
.
.
.. .
. 对什么样的合数 n，原根是存在的？
.
.1
. 原根存在的情况下，如何快速地把它求出来？
.
.2
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

279. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

280. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

281. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi )
i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

282. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n)
i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

283. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n)
i d
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

284. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

285. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
这等价于 ϕ(pαi ) 是两两互素的。
i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

286. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
这等价于 ϕ(pαi ) 是两两互素的。
i
ϕ(pαi ) = pαi − pαi −1
i i i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

287. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
这等价于 ϕ(pαi ) 是两两互素的。
i
ϕ(pαi ) = pαi − pαi −1 几乎总是偶数；
i i i
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

288. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
这等价于 ϕ(pαi ) 是两两互素的。
i
ϕ(pαi ) = pαi − pαi −1 几乎总是偶数；
i i i
α
如果 n 有两个奇数因子 pi , pj ，则 ϕ(pαi ), ϕ(pj j ) 有公因
i
子 2。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

289. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
. ∏ αi
设 n= pi ，n 有原根 a .
.
.
.. .
. ∏
令 d = lcm ϕ(pαi ) ，有 d ϕ(pαi ) = ϕ(n) .
i i
ad ≡ 1 (mod pαi ) ⇒ ad ≡ 1 (mod n) ⇒ ϕ(n) d
i
∏
d = ϕ(n) 相当于 lcm (ϕ(pαi )) =
i ϕ(pαi )，
i
这等价于 ϕ(pαi ) 是两两互素的。
i
ϕ(pαi ) = pαi − pαi −1 几乎总是偶数；
i i i
α
如果 n 有两个奇数因子 pi , pj ，则 ϕ(pαi ), ϕ(pj j ) 有公因
i
子 2。
. 若模 n 有原根，则 n 具有形式： 2α pβ , p 是奇素数。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

290. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若模 n 有原根，则 n 具有形式： 2α pβ 。但具有这种形式的 .
数 n 是否一定有原根呢？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

291. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若模 n 有原根，则 n 具有形式： 2α pβ 。但具有这种形式的 .
数 n 是否一定有原根呢？
.
.
.. .
.
先考虑简单的情形。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

292. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若模 n 有原根，则 n 具有形式： 2α pβ 。但具有这种形式的 .
数 n 是否一定有原根呢？
.
.
.. .
.
先考虑简单的情形。 .
素数有原根，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

293. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若模 n 有原根，则 n 具有形式： 2α pβ 。但具有这种形式的 .
数 n 是否一定有原根呢？
.
.
.. .
.
先考虑简单的情形。 .
素数有原根，素数的方幂是否也有原根呢？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

294. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若模 n 有原根，则 n 具有形式： 2α pβ 。但具有这种形式的 .
数 n 是否一定有原根呢？
.
.
.. .
.
先考虑简单的情形。 .
素数有原根，素数的方幂是否也有原根呢？
. 特别地，素数的平方是否有原根呢？
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

295. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

296. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

297. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

298. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

299. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

300. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .)
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

301. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

302. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
(g − pt)pd ≡ 1 (mod p2 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

303. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
(g − pt)pd ≡ 1 (mod p2 ) ⇒ gpd + p2 (. . .) ≡ 1 (mod p2 );
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

304. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
(g − pt)pd ≡ 1 (mod p2 ) ⇒ gpd + p2 (. . .) ≡ 1 (mod p2 );
即 gpd ≡ 1 (mod p2 )，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

305. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
(g − pt)pd ≡ 1 (mod p2 ) ⇒ gpd + p2 (. . .) ≡ 1 (mod p2 );
即 gpd ≡ 1 (mod p2 )，由于 d p − 1，所以 d = p − 1。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

306. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
如果 g 是模 p2 的原根，那么 g 也是模 p 的原根吗？
. .
.
.. .
.
注意到 g 可以比 p 大，我们把问题修改为： .
设 g = pt + r, 0 < r < p, 则 r 是模 p 的原根吗？
设 r 模 p 的阶是 d，有 rd ≡ 1 (mod p)，所以存在 δ 使
得 rd = 1 + pδ;
rpd = (1 + pδ)p = 1 + p2 (. . .) ≡ 1 (mod p2 );
(g − pt)pd ≡ 1 (mod p2 ) ⇒ gpd + p2 (. . .) ≡ 1 (mod p2 );
即 gpd ≡ 1 (mod p2 )，由于 d p − 1，所以 d = p − 1。
结论：若 g 是模 p2 的原根，则 g (mod p) 是模 p 的原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

307. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

308. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

309. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
也有 gd ≡ 1 (mod p);
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

310. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
也有 gd ≡ 1 (mod p);
由于 g 是 p 的原根，所以 p − 1 | d；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

311. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
也有 gd ≡ 1 (mod p);
由于 g 是 p 的原根，所以 p − 1 | d；
由于 g 模 p2 的阶是 d，所以 d | ϕ(p2 )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

312. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
也有 gd ≡ 1 (mod p);
由于 g 是 p 的原根，所以 p − 1 | d；
由于 g 模 p2 的阶是 d，所以 d | ϕ(p2 )；
于是 p − 1 | d | p(p − 1);
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

313. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
反过来，若 g 是模 p 的原根，它也是模 p2 的原根吗？
. .
.
.. .
.
设 g 模 p2 的阶为 d，则有 gd ≡ 1 (mod p2 )； .
也有 gd ≡ 1 (mod p);
由于 g 是 p 的原根，所以 p − 1 | d；
由于 g 模 p2 的阶是 d，所以 d | ϕ(p2 )；
于是 p − 1 | d | p(p − 1);
结论：g 的阶 d 要么是 p(p − 1)，要么是 p − 1。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

314. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

315. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

316. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

317. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

318. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

319. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1;
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

320. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1;
(g + pt)p−1 = gp−1 + (p − 1)gp−2 pt + p2 (. . .);
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

321. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1;
(g + pt)p−1 = gp−1 + (p − 1)gp−2 pt + p2 (. . .);
(g + pt)p−1 ≡ 1 − gp−2 pt (mod p2 );
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

322. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1;
(g + pt)p−1 = gp−1 + (p − 1)gp−2 pt + p2 (. . .);
(g + pt)p−1 ≡ 1 − gp−2 pt (mod p2 );
由于 (g, p) = 1，所以只要让 p t ，就有 (g + pt)p−1 ≡ 1
(mod p2 )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

323. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 g 是 p 的原根，则 g 模 p2 的阶是 p(p − 1) 或 p − 1。如.
果是前者，g 就是模 p2 的原根，但如果是后者呢？
.
.
.. .
.
若 g 是 p2 的原根，则 g (mod p) 是 p 的原根； .
考虑 g + pt 形式的数，看能否找到合适的 t 。
容易证明，g + pt 模 p2 的阶是 p(p − 1) 或 p − 1;
(g + pt)p−1 = gp−1 + (p − 1)gp−2 pt + p2 (. . .);
(g + pt)p−1 ≡ 1 − gp−2 pt (mod p2 );
由于 (g, p) = 1，所以只要让 p t ，就有 (g + pt)p−1 ≡ 1
(mod p2 )；
结论，如果 p 的原根 g 模 p2 的阶为 p − 1， 则 g + p 模 p2
的阶为 p(p − 1)。即 g + p 是模 p2 的原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

324. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 g 是模 p 的原根，则 g 或 g + p 中必有一个 是模 p2 的
原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

325. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 g 是模 p 的原根，则 g 或 g + p 中必有一个 是模 p2 的
原根.
.
.
.. .
.
(证明纲要) .
..
. .
.
1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

326. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 g 是模 p 的原根，则 g 或 g + p 中必有一个 是模 p2 的
原根.
.
.
.. .
.
(证明纲要) .
..
. .
.
1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1).
. 如果 δp (g) = p(p − 1)，则 g 是模 p2
.
. 2 2 的原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

327. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
若 g 是模 p 的原根，则 g 或 g + p 中必有一个 是模 p2 的
原根.
.
.
.. .
.
(证明纲要) .
..
..
.
1 g 模 p2 的阶只有两种可能，p − 1 或 p(p − 1).
. 如果 δp (g) = p(p − 1)，则 g 是模 p2 的原根.
.
. 2 2
. . 如果 δp (g) = (p − 1)，则 δp (g + p) = p(p − 1) = ϕ(p ).
.
. 3 2 2
2
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

328. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
在前面的证明中，即使 p = 2，仍然是成立的。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

329. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

330. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

331. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

332. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

333. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

334. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

335. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
gp(p−1) = (1 + pt)p
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

336. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
gp(p−1) = (1 + pt)p = 1 + p2 t + p3 (. . .);
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

337. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
gp(p−1) = (1 + pt)p = 1 + p2 t + p3 (. . .);
gp(p−1) ≡ 1 (mod p3 )，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

338. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
gp(p−1) = (1 + pt)p = 1 + p2 t + p3 (. . .);
gp(p−1) ≡ 1 (mod p3 )，g 的阶只能是 p2 (p − 1) = ϕ(p3 )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

339. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
进一步考虑，若 g 是 p2 原根，g 能提升成模 p3 的原根吗？ .
.
.
.. .
.
设 g 模 p3 的阶为 d，则 gd ≡ 1 (mod p, p2 , p3 ) .
p(p − 1) | d | p2 (p − 1)，d = p(p − 1) 或 p2 (p − 1)；
由于 g 是模 p2 的原根，所以 gp−1 ≡ 1 (mod p2 );
由于 gp−1 ≡ 1 (mod p)，所以存在 t 使得
gp−1 = 1 + pt, p t
gp(p−1) = (1 + pt)p = 1 + p2 t + p3 (. . .);
gp(p−1) ≡ 1 (mod p3 )，g 的阶只能是 p2 (p − 1) = ϕ(p3 )；
若 g 是模 p2 的原根，则 g 是模 p3 的原根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

340. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
. .
.
1 前面的论证有个小毛病；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

341. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
. .
.
1 前面的论证有个小毛病；
. 在打了
.
. 2 的一行；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

342. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
. .
.
1 前面的论证有个小毛病；
. 在打了 的一行；
.
. 2
. 若 p = 2，那一行的二项展开式是错误的，
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

343. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
. .
.
1 前面的论证有个小毛病；
. 在打了 的一行；
.
. 2
. 若 p = 2，那一行的二项展开式是错误的，所以前面的论证
.
. 3
. 只对奇素数 p 才起作用。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

344. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
注意 .
..
. .
.
1 前面的论证有个小毛病；
. 在打了 的一行；
.
. 2
. 若 p = 2，那一行的二项展开式是错误的，所以前面的论证
.
. 3
. 只对奇素数 p 才起作用。
.
.. .
.
仿照前面的方法，可以把这个结论推广到 pl , l 2 的情形，其 .
中 p 是个奇素数。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

345. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

346. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
.
(证明纲要) .
..
若 g 是 pl−1 的原根，则
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

347. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
.
(证明纲要) .
..
若 g 是 pl−1 的原根，则
. .
.
1 g 模 pl 的阶只能为 pl−2 (p − 1) 或 pl−1 (p − 1).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

348. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
.
(证明纲要) .
..
若 g 是 pl−1 的原根，则
. .
.
1 g 模 pl 的阶只能为 pl−2 (p − 1) 或 pl−1 (p − 1).
. gp
.
. 2
l−3 (p−1)
≡ 1 (mod pl−2 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

349. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
.
(证明纲要) .
..
若 g 是 pl−1 的原根，则
. .
.
1 g 模 pl 的阶只能为 pl−2 (p − 1) 或 pl−1 (p − 1).
. gp
.
. 2
l−3 (p−1)
≡ 1 (mod pl−2 )
. gp
.
. 3
l−3 (p−1)
≡ 1 (mod pl−1 )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

350. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
p 为奇素数，设 g 是模 p2 的原根，则 g 也是模 pl (l 2) 的
原根.
.
.
.. .
.
(证明纲要) .
..
若 g 是 pl−1 的原根，则
. .
.
1 g 模 pl 的阶只能为 pl−2 (p − 1) 或 pl−1 (p − 1).
. gp (p−1) ≡ 1 (mod pl−2)
.
. 2
l−3
. gp (p−1) ≡ 1 (mod pl−1)
.
. 3
l−3
. 所以
.
. 4
p l−3
(p−1)
. g = 1 + pl−2 t, p t
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

351. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(证明纲要—续) .
..
l−3
对 gp (p−1) = 1 + pl−2 t, p t 两边 p 次方得到
l−2 (p−1)
gp = 1 + pl−1 t + pl Δ.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

352. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(证明纲要—续) .
..
l−3
对 gp (p−1) = 1 + pl−2 t, p t 两边 p 次方得到
l−2 (p−1)
gp = 1 + pl−1 t + pl Δ.
所以
l−2 (p−1)
gp ≡ 1 + pl−1 t (mod pl ).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

353. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(证明纲要—续) .
..
l−3
对 gp (p−1) = 1 + pl−2 t, p t 两边 p 次方得到
l−2 (p−1)
gp = 1 + pl−1 t + pl Δ.
所以
l−2 (p−1)
gp ≡ 1 + pl−1 t (mod pl ).
由于 p t，所以
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

354. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(证明纲要—续) .
..
l−3
对 gp (p−1) = 1 + pl−2 t, p t 两边 p 次方得到
l−2 (p−1)
gp = 1 + pl−1 t + pl Δ.
所以
l−2 (p−1)
gp ≡ 1 + pl−1 t (mod pl ).
由于 p t，所以
l−2 (p−1)
gp ≡1 (mod pl ).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

355. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
(证明纲要—续) .
..
l−3
对 gp (p−1) = 1 + pl−2 t, p t 两边 p 次方得到
l−2 (p−1)
gp = 1 + pl−1 t + pl Δ.
所以
l−2 (p−1)
gp ≡ 1 + pl−1 t (mod pl ).
由于 p t，所以
l−2 (p−1)
gp ≡1 (mod pl ).
g 是模 pl 的原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

356. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 形式已经处理完毕，现在考虑 2l 形式的数是否存在原根。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

357. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 形式已经处理完毕，现在考虑 2l 形式的数是否存在原根。 .
.
.
.. .
.
容易验证，当 l = 1, 2 时，模 2l 都有原根。 .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

358. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l
. 3，则 5 模 2l 的阶为 2l−2 。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

359. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

360. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
l−3
52 ≡ 1 (mod 2l )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

361. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
l−3
52 ≡ 1 (mod 2l )；
l−2 l−3
52 = (52 )2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

362. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
l−3
52 ≡ 1 (mod 2l )；
l−2 l−3
52 = (52 )2 ≡ (1 + 2l−1 )2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

363. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
l−3
52 ≡ 1 (mod 2l )；
l−2 l−3
52 = (52 )2 ≡ (1 + 2l−1 )2 ≡ 1 (mod 2l )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

364. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
引理 .
..
设 l 3，则 5 模 2l 的阶为 2l−2 。
.
.
.. .
.
l−3
用数学归纳法容易证明 52 ≡ 1 + 2l−1 (mod 2l )； .
l−3
52 ≡ 1 (mod 2l )；
l−2 l−3
52 = (52 )2 ≡ (1 + 2l−1 )2 ≡ 1 (mod 2l )；
. 5 模 2l 的阶为 2l−2 .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

365. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当
. l 3 时，模 2l 没有原根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

366. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

367. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
B = {−5b | 0 b < 2l−2 } 模 2l 两两不同余；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

368. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
B = {−5b | 0 b < 2l−2 } 模 2l 两两不同余；
A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所
以 A ∪ B 中的数模 2l 两两不同余；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

369. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
B = {−5b | 0 b < 2l−2 } 模 2l 两两不同余；
A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所
以 A ∪ B 中的数模 2l 两两不同余；
A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l )，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

370. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
B = {−5b | 0 b < 2l−2 } 模 2l 两两不同余；
A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所
以 A ∪ B 中的数模 2l 两两不同余；
A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l )，所
以 A ∪ B 是模 2l 的一个缩系。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

371. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
当 l
. l 3 时，模 2 没有原根。
.
.. .
.
A = {5b | 0 b < 2l−2 } 模 2l 两两不同余； .
B = {−5b | 0 b < 2l−2 } 模 2l 两两不同余；
A 中的数模 4 余 1，而 B 中的数模 4 余 −1，所
以 A ∪ B 中的数模 2l 两两不同余；
A ∪ B 中的数与 2l 互素，且 |A ∪ B| = 2l−1 = ϕ(2l )，所
以 A ∪ B 是模 2l 的一个缩系。
A ∪ B 中每个元素的阶都不超过 2l−2 ，所以模 2l 没有原
. 根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

372. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
前面定理的一个更强一些的表述如下：
设 l 3，对任一奇数 a，必有一 b，使得
a−1
a ≡ (−1) 2 · 5b (mod 2l ).
因而 a 模 2l 的阶都小于 2l−2 < φ(2l )，所以模 2l (l 3) 没
有原根.
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

373. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
前面定理的一个更强一些的表述如下：
设 l 3，对任一奇数 a，必有一 b，使得
a−1
a ≡ (−1) 2 · 5b (mod 2l ).
因而 a 模 2l 的阶都小于 2l−2 < φ(2l )，所以模 2l (l 3) 没
有原根.
.
.
.. .
.
记号如前。 对任意奇数 a，由于 (a, 2l ) = 1，所以总 .
与 A, B 中的某个 数同余；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

374. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
前面定理的一个更强一些的表述如下：
设 l 3，对任一奇数 a，必有一 b，使得
a−1
a ≡ (−1) 2 · 5b (mod 2l ).
因而 a 模 2l 的阶都小于 2l−2 < φ(2l )，所以模 2l (l 3) 没
有原根.
.
.
.. .
.
记号如前。 对任意奇数 a，由于 (a, 2l ) = 1，所以总 .
与 A, B 中的某个 数同余；
若 a ≡ 1 (mod 4)，则 a ∈ A，存在某数 b 使得 a ≡ 5b
. (mod 2l )，
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

375. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
前面定理的一个更强一些的表述如下：
设 l 3，对任一奇数 a，必有一 b，使得
a−1
a ≡ (−1) 2 · 5b (mod 2l ).
因而 a 模 2l 的阶都小于 2l−2 < φ(2l )，所以模 2l (l 3) 没
有原根.
.
.
.. .
.
记号如前。 对任意奇数 a，由于 (a, 2l ) = 1，所以总 .
与 A, B 中的某个 数同余；
若 a ≡ 1 (mod 4)，则 a ∈ A，存在某数 b 使得 a ≡ 5b
a−1
. (mod 2l )，即 a ≡ (−1) 2 5b (mod 2l )；
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

376. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使 .
得 a ≡ −5b (mod 2l )，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

377. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使 .
得 a ≡ −5b (mod 2l )，
a−1
由于 2 2 ，所以
a−1
a ≡ (−1) 2 5b (mod 2l ).
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

378. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
若 a ≡ −1 (mod 4)，则 a ∈ B，存在某数 b 使 .
得 a ≡ −5b (mod 2l )，
a−1
由于 2 2 ，所以
a−1
a ≡ (−1) 2 5b (mod 2l ).
. 关于阶的讨论与前定理同。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

379. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

380. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

381. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

382. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

383. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
于是 ad ≡ 1 (mod 2α pβ )
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

384. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
于是 ad ≡ 1 (mod 2α pβ ) ⇒ ad ≡ 1 (mod n)。
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

385. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
于是 ad ≡ 1 (mod 2α pβ ) ⇒ ad ≡ 1 (mod n)。
由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

386. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
于是 ad ≡ 1 (mod 2α pβ ) ⇒ ad ≡ 1 (mod n)。
由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；
这相当于 gcd(2α−1 , pβ − pβ−1 ) = 1。
.
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

387. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
pl 情形和 2l 情形都已经处理完毕，现在考虑 2α pβ , α, β 均大 .
. 0 的情形。
于
.
.. .
.
ϕ(n) = ϕ(2α )ϕ(pβ ) = 2α−1 (pβ − pβ−1 )。 .
设 d = lcm (ϕ(2α ), ϕ(pβ )) = lcm (2α−1 , pβ − pβ−1 )；
对任意与 n 互素的 a，有
ad ≡ 1 (mod 2α )，和 ad ≡ 1 (mod pβ )。
于是 ad ≡ 1 (mod 2α pβ ) ⇒ ad ≡ 1 (mod n)。
由于 d ϕ(n)，所以 n 有原根仅当 ϕ(n) = d；
这相当于 gcd(2α−1 , pβ − pβ−1 ) = 1。
. pβ − pβ−1 是偶数，所以 α = 1。
.
.. . . . . .
. .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

388. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的讨论表明当 n = 2α pβ ，α 2, β 1 时，模 n 没有原 .
根。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

389. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
前面的讨论表明当 n = 2α pβ ，α 2, β 1 时，模 n 没有原 .
根。 于是只剩下一种情形：
. 2pl , l 1.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

390. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p
. 3 的原根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

391. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

392. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
ϕ(2pl ) = ϕ(2)ϕ(pl )
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

393. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
ϕ(2pl ) = ϕ(2)ϕ(pl ) = ϕ(pl )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

394. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
ϕ(2pl ) = ϕ(2)ϕ(pl ) = ϕ(pl )；
d | ϕ(2pl ) ⇒ d | ϕ(pl )；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

395. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
ϕ(2pl ) = ϕ(2)ϕ(pl ) = ϕ(pl )；
d | ϕ(2pl ) ⇒ d | ϕ(pl )；
gd ≡ 1 (mod 2pl ) ⇒ gd ≡ 1 (mod pl ) ⇒ ϕ(pl ) | d；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

396. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
定理 .
..
存在模 2pl , p 3 的原根。
.
.
.. .
.
(分析) .
..
设 g 为模 pl 的一个奇原根，设 g 模 2pl 的阶为 d：
ϕ(2pl ) = ϕ(2)ϕ(pl ) = ϕ(pl )；
d | ϕ(2pl ) ⇒ d | ϕ(pl )；
gd ≡ 1 (mod 2pl ) ⇒ gd ≡ 1 (mod pl ) ⇒ ϕ(pl ) | d；
. d = ϕ(pl )。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

397. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

398. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
但如果我们求出的 pl 原根是个偶数呢？
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

399. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
但如果我们求出的 pl 原根是个偶数呢？
因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

400. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
但如果我们求出的 pl 原根是个偶数呢？
因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。
此时考虑 g = g + pl ，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

401. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
但如果我们求出的 pl 原根是个偶数呢？
因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。
此时考虑 g = g + pl ，它模 pl 的阶仍然是 ϕ(pl )，但却
. 是个奇数,
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

402. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
也就是说，若 g 是 pl 的一个奇原根，则 g 也是 2pl 的 .
原根；
但如果我们求出的 pl 原根是个偶数呢？
因为偶数与 2pl 不互素，所以 2pl 的原根必定是奇数。
此时考虑 g = g + pl ，它模 pl 的阶仍然是 ϕ(pl )，但却
. 是个奇数,即模 pl 的奇原根。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

403. 同余方程
模 m 的阶
原根
原根
RSA 公钥密码体制
.
综合前面所述，我们最终有如下定理：
. .
.
.. .
.
定理 .
..
模 m 有原根当且仅当 m 满足条件：m = 2, 4, p l 或 2pl ，这
. p 为奇素数.
里
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

404. 同余方程
原根
RSA 公钥密码体制
.
.
§ 2.5 RSA 公钥密码体制
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

405. 同余方程
原根
RSA 公钥密码体制
.
传统的对称机密体制：
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

406. 同余方程
原根
RSA 公钥密码体制
.
传统的对称机密体制：
. .
.
.. .
.
. .
.
1 双方事先约定一个密钥 k； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

407. 同余方程
原根
RSA 公钥密码体制
.
传统的对称机密体制：
. .
.
.. .
.
. .
.
1 双方事先约定一个密钥 k； .
. .
.
2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运
算
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

408. 同余方程
原根
RSA 公钥密码体制
.
传统的对称机密体制：
. .
.
.. .
.
. .
.
1 双方事先约定一个密钥 k； .
. .
.
2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运
算
c = E(m, k)
变为密文 c 后发给接收方；
. 接收到密文后，把 E 的逆函数 D 作用在 c 上，得到
.
. 3
. D(c, k)
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

409. 同余方程
原根
RSA 公钥密码体制
.
传统的对称机密体制：
. .
.
.. .
.
. .
.
1 双方事先约定一个密钥 k； .
. .
.
2 发送方把明文 m 表示成一个 0, 1 序列，通过一个加密运
算
c = E(m, k)
变为密文 c 后发给接收方；
. 接收到密文后，把 E 的逆函数 D 作用在 c 上，得到
.
. 3
. D(c, k) = m;
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

410. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

411. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

412. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

413. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
在这种系统中，每个用户有两个密钥，一个公开，一个保
密，分别 称为公钥和私钥。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

414. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
在这种系统中，每个用户有两个密钥，一个公开，一个保
密，分别 称为公钥和私钥。
若用户甲要跟乙通信，可以用乙的公开密钥加密信息，
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

415. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
在这种系统中，每个用户有两个密钥，一个公开，一个保
密，分别 称为公钥和私钥。
若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些
加密后的信息理论上只有知道乙私钥的人（也就是乙）才能
解密。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

416. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
在这种系统中，每个用户有两个密钥，一个公开，一个保
密，分别 称为公钥和私钥。
若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些
加密后的信息理论上只有知道乙私钥的人（也就是乙）才能
解密。
这样就免去了事先约定密钥的麻烦。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

417. 同余方程
原根
RSA 公钥密码体制
.
传统对称方案的不足和非对称方案的提出：
. .
.
.. .
.
在不同的通信中要使用不同的密钥，当用户很多时，就很不 .
方便。
在 20 世纪 70 年代，有人提出了公钥密码的概念。
在这种系统中，每个用户有两个密钥，一个公开，一个保
密，分别 称为公钥和私钥。
若用户甲要跟乙通信，可以用乙的公开密钥加密信息，这些
加密后的信息理论上只有知道乙私钥的人（也就是乙）才能
解密。
这样就免去了事先约定密钥的麻烦。
. 最著名的公钥加密体制是 RSA。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

418. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

419. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
.
. .
.
1 乙选取两个大的素数 p, q，并计算 n = pq； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

420. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
.
. .
.
1 乙选取两个大的素数 p, q，并计算 n = pq； .
. 乙计算 ϕ(n) = (p − 1)(q − 1)；
.
. 2
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

421. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
.
. .
.
1 乙选取两个大的素数 p, q，并计算 n = pq； .
. 乙计算 ϕ(n) = (p − 1)(q − 1)；
.
. 2
. 乙选取一个 e，满足 (e, ϕ(n)) = 1，
.
. 3
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

422. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
.
. .
.
1 乙选取两个大的素数 p, q，并计算 n = pq； .
. 乙计算 ϕ(n) = (p − 1)(q − 1)；
.
. 2
. 乙选取一个 e，满足 (e, ϕ(n)) = 1，并计算 d 使得
.
. 3
ed ≡ 1 (mod ϕ(n))；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

423. 同余方程
原根
RSA 公钥密码体制
.
RSA 是 Rivest, Shamir 和 Adleman 在 1978 年提出的一种公 .
钥体制。
.
.
.. .
.
. .
.
1 乙选取两个大的素数 p, q，并计算 n = pq； .
. 乙计算 ϕ(n) = (p − 1)(q − 1)；
.
.
2
. 乙选取一个 e，满足 (e, ϕ(n)) = 1，并计算 d 使得
.
.
3
ed ≡ 1 (mod ϕ(n))；
. .
. . e, n 作为公钥发布，d, p, q 作为私钥保密；
4
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

424. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

425. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

426. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

427. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
. . 甲知道乙的公钥 (e, n)，计算密文
.
3
c = me (mod n)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

428. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
. . 甲知道乙的公钥 (e, n)，计算密文
.
3
c = me (mod n)；
. 乙在收到 c 后，计算
.
. 4
. cd
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

429. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
. . 甲知道乙的公钥 (e, n)，计算密文
.
3
c = me (mod n)；
. 乙在收到 c 后，计算
.
. 4
. cd ≡ me d
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

430. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
. . 甲知道乙的公钥 (e, n)，计算密文
.
3
c = me (mod n)；
. 乙在收到 c 后，计算
.
. 4
. cd ≡ me d ≡ med
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

431. 同余方程
原根
RSA 公钥密码体制
.
RSA 方案的使用：
. .
.
.. .
.
. .
.
1 若甲要与乙通信，则把要发送的信息转换成一个整 .
数 m < n；
. .
.
2 m 必须与 n 互素，由于 n 是两个大素数的乘积，不互素
的可能性 极低。
. . 甲知道乙的公钥 (e, n)，计算密文
.
3
c = me (mod n)；
. 乙在收到 c 后，计算
.
. 4
. cd ≡ me d ≡ med ≡ m (mod n)；
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

432. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

433. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

434. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

435. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

436. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；
为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

437. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；
为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；
但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行
因 子分解。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

438. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；
为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；
但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行
因 子分解。
在 n 很大的时候，因子分解是个未解决的数学难题。
.
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

439. 同余方程
原根
RSA 公钥密码体制
.
RSA
. 的安全性： .
.
.. .
.
若丙窃听了通信，得到了密文 c = me (mod n)； .
虽然丙知道 d 和 n，但在不知道乙私钥的前提下，没有已
知的有 效方法能从中确定 m；
若丙模仿乙，他必须计算出 d，而 ed ≡ 1 (mod ϕ(n))；
为得到 d，丙需要计算 ϕ(n) = (p − 1)(q − 1)；
但丙只知道 n，不知道 p, q，为得到 p, q，必须对 n 进行
因 子分解。
在 n 很大的时候，因子分解是个未解决的数学难题。
在实践中，一般取 p, q 为 512 比特的素数，这样 n
. 有 1024 比特。 这个规模的 n, p, q 在当前还是安全的。
.
.. .
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》

440. 同余方程
原根
RSA 公钥密码体制
本节完，谢谢！
磊张
印晓
. . . . . .
课件制作：张晓磊 裴定一、徐详 《信息安全数学基础》