第3章同余



3.1同余的概念及性质定义3.1.1设m≠0，a,b∈Z。若m|a－b，就称a与b模m同余，记为a≡b mod m，称b是a对模m的剩余；否则称a与b模m不同余，记为ab mod m。
因为m|a－b等价于－m|a－b，所以以后总假定模m>0。
在定义3.1.1中，如果0≤b<m，则称b是a对模m的最小非负剩余；若1≤b≤m，则称b是a对模m的最小正剩余；若－m2<b≤m2或－m2≤b<m2，则称b是a对模m的绝对最小剩余。
定义3.1.1中的m|a－b等价于: 存在q∈N，使得a=b+qm。可得如下等价定义。
定义3.1.1′对m∈N，a,b∈Z，若存在q∈Z，使得a=b+qm，则a≡b mod m。
在很多计算中，经常用b(较小)代替a(较大)。特别地，取b为a对模m的绝对最小剩余，可使计算大为简化。
定理3.1.1a≡b mod m的充要条件是a和b被m除后所得的最小非负余数相等。即，若a=q1m+r1，0≤r1<m
b=q2m+r2，0≤r2<m则r1=r2。
证明a－b=(q1－q2)m+(r1－r2)，由m|a－b得m|r1－r2。但0≤|r1－r2|<m，所以必有r1=r2。证毕。
定理3.1.1的余数相同，正是“同余”的意义所在。下面是同余的性质。
定理3.1.2同余是等价关系，即同余具有以下3个性质。
(1) 自反性: a≡a mod m。
(2) 对称性: a≡b mod mb≡a mod m。
(3) 传递性: a≡b mod m，b≡c mod ma≡c mod m。
证明m|a－a，m|a－bm|b－a，m|a－b,m|b-cm|(a-b)+(b-c)=a-c。证毕。
定理3.1.3同余式可以相加、相乘，即，如果a≡b mod m，c≡d mod m，则a+c≡(b+d) mod m，ac≡(bd) mod m。
证明由a=b+q1m，c=d+q2m得a+c=(b+d)+(q1+q2)m
ac=bd+(bq2+cq1+q1q2m)m所以a+c≡(b+d) mod m，ac≡(bd) mod m证毕。
网络空间安全数学基础第3章同余定理3.1.4设f(x)=anxn+…+a2x2+a1x+a0,g(x)=bnxn+…+b2x2+b1x+b0，满足ai≡bi mod m(1≤i≤n)。若x1≡x2 mod m，则f(x1)≡g(x2) mod m。此时称两个多项式模m同余。
证明反复利用定理3.1.3即得。证毕。
定理3.1.5设a≡b mod m，d|m，其中d∈N，则a≡b mod d。
证明d|m，m|a－bd|a－b。 证毕。
定理3.1.6设a≡b mod m，d>0，则ad≡(bd) mod (md)。
证明由m|a－b，md|ad－bd即得。证毕。
一般地，由ac≡bc mod m不能推出a≡b mod m。例如，3·6≡8·6 mod 10，但38 mod 10。但有如下性质。
定理3.1.7设ca≡cb mod m，(c,m)=1，则有a≡b mod m。
证明由m|ca－cb=c(a－b)，(c,m)=1可得m|a－b。证毕。
定理3.1.8若(a,m)=1，则存在c使得ca≡1 mod m。称c是a对模m的逆元，记作a－1 mod m或a－1。
证明由定理1.2.4及(a,m)=1可知，存在x,y∈Z，使得ax+my=1。取c=x即得。证毕。
可见，由广义Euclid算法不仅可以求出(a,m)，而且当(a,m)=1时，还可以求出a－1 mod m。
定理3.1.9a≡b mod mi，其中mi∈N(i=1,2，…,k)，当且仅当a≡b mod ［m1m2…mk］。
证明
必要性: 由a≡b mod mi，得mi|a－b(i=1,2,…,k)，所以［m1m2…mk］|a－b，a≡b mod ［m1m2…mk］。
充分性: 由mi|［m1m2…mk］(1≤i≤k) 即得。证毕。
例3.1.12019年2月4日是星期一。从该天数起，第22018天是星期几？
解因为21≡2 mod 7，22≡4 mod 7，23≡1 mod 7, 即2在模7下求幂时，得到的结果以23为周期。因2018=3·672+2，所以22018=23672·22≡4 mod 7，即第22018天是星期五。
例3.1.2求3406的个位数。
解31≡3 mod 10，32≡9≡-1 mod 10，34≡1 mod 10。而406=4·101+2，所以3406=(34)101·32≡9 mod 10，即个位数是9。3.2剩余类与剩余系由定理3.1.2知，同余是一种等价关系，因此全体整数可按照给定的模m是否同余，划分为若干个两两不相交的集合，使得在同一集合中的任意两个数模m同余，不同集合中的任意两个数模m不同余，这样得到的集合就是模m的同余类。
设m∈N，对任意的a∈Z，定义集合［a］m={c|c∈Z,c≡a mod m}。如果模m是清晰的，可将它简记为［a］。
［a］有以下性质。
定理3.2.1
(1) ［a］=［b］a≡b mod m。
(2) 对任意的a,b∈Z，或者［a］=［b］，或者［a］∩［b］=。
证明
(1) 先证明“”。a∈［a］=［b］，所以a≡b mod m。
再证明“”。对c∈［a］，得c≡a mod m。由a≡b mod m，得c≡b mod m，所以c∈［b］，即［a］［b］。同理［b］［a］，所以［a］=［b］。
(2) 若［a］≠［b］，则必有［a］∩［b］=，否则存在c∈［a］∩［b］。c∈［a］且c∈［b］，所以c≡a mod m，c≡b mod m，可得a≡b mod m。由(1)，［a］=［b］，矛盾。证毕。
定义3.2.1［a］称为模m下a的剩余类。
定理3.2.2对m∈N，有且仅有m个模m的剩余类［0］,［1］,［2］,…,［m－1］。
证明由定理3.2.1的(2)，［0］,［1］,［2］,…,［m－1］互不相交。对任意的c∈Z，由定理1.2.1，存在q、r，使得c=qm+r，其中0≤r<m－1，因此c∈［r］。 证毕。
由定理3.2.1和定理3.2.2知，［0］,［1］,［2］,…,［m－1］形成Z的一个划分。
定义3.2.2在模m的m个剩余类 ［0］,［1］,［2］,…,［m－1］的每一个中任取一个代表元素，形成一列数: y0,y1,y2,…,ym－1，称为模m的一个完全剩余系。
显然，完全剩余系中任意两个数模m不同余。
因为a≡b mod ma=qm+b，即b是a被m除所得的余数，由定理1.2.1的推论知，余数有各种取法，因此可得以下不同形式的完全剩余系。
(1) 0,1,2，…,m－1，称为模m的最小非负完全剩余系。
(2) 1,2,…,m，称为模m的最小正完全剩余系。
(3) -(m-1),-(m-2),…,－1,0，称为模m的最大非正完全剩余系。
(4) －m,－(m－1),…,－1，称为模m的最大负完全剩余系。
(5) -m2,…,－1,0,1,…,m+12－1 称为绝对最小完全剩余系。
在求模指数运算或多项式求模运算时，使用绝对最小完全剩余系将使问题简化。3.3简化剩余类与简化剩余系为了引入简化剩余类与简化剩余系，先证明如下定理。
定理3.3.1设r∈Z，a∈［r］m，则(a,m)=(r,m)。
证明a∈［r］m，a≡r mod m，存在q∈N，使得a=r+qm。由定理1.3.1得(a,m)=(r+qm,m)=(r,m)。证毕。
定义3.3.1如果(r,m)=1，则［r］m称为模m的简化剩余类。
由定理3.3.1知，简化剩余类［r］m中的每一个元素都与m互素。
定义3.3.2已知模m的所有简化剩余类，从每个类中任取一个元素构成的一列数称为模m的简化剩余系。
类似于完全剩余系，也有最小非负简化剩余系、最小正简化剩余系、最大非正简化剩余系、最大负简化剩余系、绝对最小简化剩余系等概念。
在定义3.3.2中取元素时，在模m的最小非负完全剩余系{0,1,2，…,m－1}中取，可有φ(m)个取值，因此模m的简化剩余系中元素的个数为φ(m)。
显然，任意给定φ(m)个与m互素的数，只要它们两两模m不同余，就一定是模m的简化剩余系。在实际应用中，常用这个方法判断给定的一列数是否为简化剩余系。
定理3.3.2设(a,m)=1，若x遍历模m的完全(简化)剩余系，则ax也遍历模m的完全(简化)剩余系。
证明设x1,x2,…,xs是模m的完全(简化)剩余系(当为完全剩余系时s=m，当为简化剩余系时s=φ(m))。当(a,m)=1时，ax1,ax2,…,axs必定两两模m不同余，否则设axi≡axj mod m，其中i≠j。由定理3.1.7得xi≡xj mod m，矛盾。因此ax1,ax2,…,axs也是模m的完全(简化)剩余系。证毕。
定理3.3.3设(m1,m2)=1，若x、y分别遍历模m1和模m2的完全(简化)剩余系，则m2x+m1y遍历模m1m2的完全(简化)剩余系。
证明先证明完全剩余系的情况。
若x、y分别遍历模m1、模m2的完全剩余系，则x、y分别有m1、m2个取值，那么m2x+m1y有m1m2个取值。下面证明这m1m2个取值两两模m1m2不同余，否则存在(x,y)(x′,y′)，但m2x+m1y≡(m2x′+m1y′) mod m1m2的情况。由定理3.1.5得m2x+m1y≡(m2x′+m1y′) mod m1，m2x≡m2x′ mod m1由(m1,m2)=1及定理3.1.7得x≡x′ mod m1，类似地可得y≡y′ mod m2。这与(x,y)(x′,y′)矛盾。
注: (x,y)(x′,y′)意指xx′ mod m1，或yy′ mod m2，或xx′ mod m1且yy′ mod m2。
对于简化剩余系需要证明两点: 
(1) 对于满足(x,m1)=1及(y,m2)=1的任意x、y，有(m2x+m1y,m1m2)=1。
(2) 对于满足(c,m1m2)=1的任意c，存在x、y，满足(x,m1)=1及(y,m2)=1，使得c=m2x+m1y。
证明
(1) 因为(m2x+m1y,m1)=(m2x,m1)=(x,m1)=1
(m2x+m1y,m2)=(m1y,m2)=(y,m2)=1所以(m2x+m1y,m1m2)=1(2) 模m1m2简化剩余系中的任一元素c也是模m1m2完全剩余系中的元素，由上知，存在x、y，使得c=m2x+m1y。由(c,m1m2)=1得(c,m1)=1，(c,m2)=1。所以，1=(c,m1)=(m2x+m1y,m1)=(m2x,m1)=(x,m1)同理可得(y,m2)=1。证毕。
3.4Euler函数 下面从简化剩余系的角度重新考虑Euler函数的性质。为完整起见，这里重新给出定理2.4.2。
定理3.4.1设n∈N。
(1) φ(n)是积性的。
(2) 如果n为素数，则φ(n)=n－1。如果n=pα(p为素数)，则φ(n)=pα－pα－1=pα1－1p(3) 如果n=pα11pα22…pαss，则φ(n)=n∏p|n1－1p证明
(1) φ(1)=1由定义2.4.1即得。由定理3.3.3，当x、y分别遍历模m1和模m2的简化剩余系时，x有φ(m1)个取值，y有φ(m2)个取值，m2x+m1y有φ(m1)φ(m2)个取值，而模m1m2的简化剩余系有φ(m1m2)个元素。由m2x+m1y遍历模m1m2的简化剩余系，即可得φ(m1m2)=φ(m1)φ(m2)。
(2) 由定义2.4.1知，φ(pα)等于满足1≤r≤pα且(r,pα)=1的r的个数。由于p是素数，由(r,pα)=1，必有(r,p)=1。否则，若(r,p)≠1，则由例1.2.3知p|r，从而r和pα有公因子p，与(r,pα)=1矛盾。而(r,p)=1当且仅当p r，所以由(r,pα)=1得p r，所以φ(pα)等于1,2,…,pα中不能被p整除的数的个数。由于1,2,…,pα中能被p整除的数是p,2p,…,(pα－1)p，有pα－1个，所以φ(pα)=pa－pα－1=pα1－1p证毕。
(3) 证明同定理2.4.1。
例3.4.1设n=pq，其中p、q是两个不同的大素数，求φ(n)。
解由于p、q是不同的素数，所以(p,q)=1
φ(n)=φ(pq)=φ(p)φ(q)=(p－1)(q－1)=pq－(p+q)+1
=n－(p+q)+1例3.4.2已知n、p、q如例3.4.1，证明分解n(即由n求出p、q)与求φ(n)是等价的。
证明由例3.4.1，p+q=n+1－φ(n)，又知pq=n，由一元二次方程根与系数的关系得p、q是方程x2－(n+1－φ(n))x+n=0的解。因此，已知φ(n)，就可得该方程的两个解p、q；反之，已知p、q，由例3.4.1可得φ(n)。
3.5Euler定理、Fermat定理及Wilson定理在实际应用中，常常需要考虑ak mod m形式的计算，称之为模指数运算。在k不断增大时，若该运算呈现周期性，就可由一个周期内的运算得到所有的结果。下面的Euler定理给出运算的一个周期。
定理3.5.1(Euler定理)设m∈N，a∈Z，满足(a,m)=1，则aφ(m)≡1 mod m。
证明取r1,r2,…,rφ(m)是模m的一个简化剩余系，由定理3.3.2，当(a,m)=1时，ar1,ar2,…,arφ(m)也是模m的一个简化剩余系，即ar1,ar2,…,arφ(m)是r1,r2,…,rφ(m)的某个排列，所以ar1ar2…arφ(m)≡r1r2…rφ(m) mod m。由于(ri,m)=1(1≤i≤φ(m))，r－1i mod m存在，因此两边可约去ri，得aφ(m)≡1 mod m。证毕。
例3.5.1m=9，a=2，有(2,9)=1，φ(9)=8，28≡1 mod 9。
定理3.5.2(Fermat定理)设p为素数，则对任意的a∈Z，有ap≡a mod p。
证明分两种情形讨论。
(1) 当p|a时，a mod p=0，ap≡0 mod p，结论成立。
(2) 当p a时，此时(a,p)=1，由定理3.5.1，aφ(p)≡1 mod p，即ap－1≡1 mod p，两边同时乘以a，即得。证毕。
推论设m是奇整数，如果(a,m)=1且am－11 mod m，则m是合数。
证明此推论为定理3.5.2的逆否命题。 证毕。
定理3.5.3(Wilson定理)设p是素数，则(p－1)!≡－1 mod p。
证明p=2时，结论显然成立。
下面假设p≥3。取模p的一个简化剩余系r1,r2,…,rp－1，对每一个ri(1≤i≤p－1)，由定理3.1.8，存在rj(1≤j≤p－1)，使得rirj≡1 mod p。而ri=rj的充要条件是r2i≡1 mod p， 即(ri+1)(ri－1)≡0 mod p。所以ri≡1 mod p或ri≡－1 mod p。但两式不能同时成立，否则，ri=q1p+1=q2p－1，其中q1,q2∈N，所以(q2－q1)p=2，与p≥3矛盾。在r1,r2,…,rp－1中不妨设r1≡1 mod p，rp－1≡－1 mod p，其余的ri和其逆元两两配对，即得r1rp－1∏(rirj)≡－1 mod p证毕。
例3.5.2设p=13，取rj=j(1≤j≤12)，有2·7≡3·9≡4·10≡5·8≡6·11≡1 mod 13所以1·2·3·4·5·6·7·8·9·10·11·12
=1·12·(2·7)·(3·9)·(4·10)·(5·8)·(6·11)
≡－1 mod 13例3.5.3设p为素数，证明12·32·…·(p－2)2≡(－1)p+12 mod p证明(p－1)!=［1·(p－1)］［3·(p－3)］·…·［(p－2)·(p－(p－2))］
=(－1)p－12·12·32·…·(p－2)2 mod p所以12·32·…·(p－1)2≡(－1)p+12 mod p证毕。
3.6求余运算与模运算在实际应用中，已知模数m时，常将剩余系或简化剩余系(如果m为素数)取为最小非负完全(简化)剩余系0,1,2,…,m－1，将使得讨论的问题变得简单。
在带余数除法a=qm+r中，将r记为a mod m。由a、m求a mod m的运算称为求余运算，它将整数a映射到最小非负完全(简化)剩余系0,1,2,…,m－1。在最小非负完全(简化)剩余系中的求余运算称为模运算，有以下性质。
(1) 交换律: (w+x) mod n=(x+w) mod n
(w·x) mod n=(x·w) mod n(2) 结合律: ［(w+x)+y］ mod n=［w+(x+y)］ mod n
［(w·x)·y］ mod n=［w·(x·y)］ mod n(3) 分配律: ［w·(x+y)］ mod n=［(w·x)+(w·y)］ mod n记Zm={0,1,2，…,m－1}。
例3.6.1Z8={0,1,2,…,7}，考虑Z8上的模加法和模乘法，如表3.6.1所示。表3.6.1Z8上的模8运算
+01234567001234567112345670223456701334567012445670123556701234667012345770123456·01234567000000000101234567202460246303614725404040404505274163606420642707654321从加法结果可见，对每一个x，都有一个y，使得x+y≡0 mod 8。例如，对2，有6，使得2+6≡0 mod 8。称y为x的负数，也称为加法逆元。
记Zm={a|0<a<m,(a,m)=1}。由定理3.1.8知，Zm中的每个元素都有乘法逆元。
例3.6.2RSA算法是在1978年由R.Rivest、A.Shamir和L.Adleman提出的，它是用数论构造的、也是迄今为止理论上最为成熟、完善的公钥密码体制，该体制已得到广泛的应用。RSA算法包括密钥的产生、加密和解密3部分。
(1) 密钥的产生。
① 选两个保密的大素数p和q。
② 计算n=p·q，φ(n)=(p－1)(q－1)，其中φ(n)是n的Euler函数值。
③ 选一个整数e，满足1<e<φ(n)，且φ(n),e=1。
④ 计算d，满足d·e≡1 mod φ(n)，即d是e在模φ(n)下的乘法逆元。因e与φ(n)互素，它的乘法逆元一定存在。
⑤ 以{e,n}为公开钥, d,n为秘密钥。
(2) 加密。设明文a是不大于n的整数，以c≡ae mod n作为加密后的密文。
(3) 解密。计算cd mod n。
下面证明cd≡a mod n，即解密的确能恢复出明文a。
证明由ed≡1 mod φ(n)，存在k∈N，使得ed=kφ(n)+1。当c≡ae mod n时，cd≡aed mod n≡akφ(n)+1 mod n。
下面分两种情况讨论: 
(1) (a,n)=1，由Euler定理得aφ(n)≡1 mod n，所以akφ(n)+1≡(aφ(n))ka mod n≡a mod n(2) (a,n)≠1，先看(a,n)=1的含义，由n=pq，知(a,p)=1且(a,q)=1，即p a且q a，所以(a,n)≠1意味着p|a或q|a。不妨设p|a，即存在t∈N，使得a=tp。此时必有(q,a)=1，否则a也是q的倍数，因而是n=pq的倍数，与a<n矛盾。由(q,a)=1及Fermat定理，得aφ(q)≡1 mod q，对两边求kφ(n)φ(q)次幂，得akφ(n)≡1 mod q，akφ(n)+1≡a mod q同理，akφ(n)+1≡a mod p。由定理3.1.9及定理1.2.9得akφ(n)+1≡a mod n，即cd≡a mod n。证毕。
定理3.6.1设(a,m)=1，则a－1≡aφ(m)－1 mod m。
证明由Euler定理可得aφ(m)≡1 mod m，所以a·aφ(m)－1≡aφ(m)≡1 mod m，即a－1≡aφ(m)－1 mod m。证毕。
推论设(a,m)=1，则方程ax≡b mod m的解为x≡ba－1 mod m≡baφ(m)－1 mod m当m很大且不知道其分解式时，φ(m)不易求出，此时还是用广义Euclid算法求a－1。
3.7模指数运算已知a,n,m∈N，求an mod m，如果按其含义直接计算，则中间结果非常大，有可能超出计算机所允许的整数取值范围。例如RSA算法中的解密运算6677 mod 119，先求6677再取模，则中间结果就已远远超出了计算机允许的整数取值范围。而用模运算的性质: (a·b) mod n=［(a mod n)·(b mod n)］ mod n就可减小中间结果。
另外，考虑如何提高加密、解密运算中指数运算的有效性。例如求x16，直接计算时需做15次乘法。然而，如果重复对每个部分结果做平方运算，即求x、x2、x4、x8、x16，则只需做4次乘法。
上面的快速运算方法就是模指数运算。
在应用模指数运算时，首先将n写成二进制形式: n=bk2k+bk－12k－1+…+b12+b0其中，bi∈{0,1}，i=0,1,2，…,k。那么，an=((…((abk)2abk－1)2…)ab1)2ab0例如: 100=1·26+1·25+0·24+0·23+1·22+0·21+0·20
a100=((((((a)2a)2)2)2a)2)2所以计算的中间结果为a、a3、a6、a12、a24、a25、a50、a100。取中间结果的初值为c=1，它的中间结果如表3.7.1所示。表3.7.1模指数运算的中间结果示例ibic运算61c=c2a平方，乘法51c=c2a平方，乘法40c=c2平方30c=c2平方ibic运算21c=c2a平方，乘法10c=c2平方00c=c2平方从表3.7.1可见，对每一个(i=6,5,4,3,2,1,0)，如果bi=1，则对中间结果做平方运算，再乘以a；如果bi=0，则仅对中间结果做平方运算。
因此，模指数运算的算法如下: 
(1) 将n表示成二进制形式: n=bkbk－1…b1b0。
(2) 取初值: c=1。
(3) 执行以下循环: for i=k downto 0 do
c=c2 mod m
if bi=1 then c=(ca) mod n(4) 返回c。
例3.7.1求7560 mod 561。
解560的二进制形式为1000110000，取中间结果的初值为c=1。对它应用模指数运算的中间结果如表3.7.2所示。表3.7.2例3.7.1模指数运算的中间结果ibic9178049701576052651160ibic4124130298201661067001所以,7560 mod 561=1。
习题1. 设素数p a，k≥1。证明: n2≡an mod pk成立的充要条件是n≡0 mod pk或n≡a mod pk。
2. (1) 求2400对模10的最小非负剩余。
(2) 求21000的十进制表示中的最后两位数字。
(3) 求999和9999的十进制表示中的最后两位数字。
(4) 求13 48156－7728被111除后所得的最小非负余数。
(5) 设s=2k，k≥2。求2s对模10的最小非负剩余。
3. 证明: 当m>2时，02,12,22，…,(m－1)2一定不是模m的完全剩余系。
4. 设r1,r2,…,rm和r′1,r′2,…,r′m分别是模m的两个完全剩余系。证明: 当m是偶数时，r1+r′1,r2+r′2,…,rm+r′m一定不是模m的完全剩余系。
5. 设m≥3，r1,r2,…,rs是所有小于m2且和m互素的正整数。证明: －rs,…,－r2,－r1,r1,r2,…,rs及r1,r2,…,rs,(m－rs),…,(m－r2),(m－r1)都是模m的简化剩余系。由此推出: 当m≥3时，2|φ(m)。
6. 设(m,n)=1。证明: mφ(n)+nφ(m)≡1 mod mn。
7. 设素数p>2，a>1。证明: 
(1) ap+1的素因子q必是a+1的因子，或是q≡1 mod 2p。
(2) 形如2kp+1的素数有无穷多个。
8. 设p是奇素数。证明: 
(1) 22·42…(p－1)2≡(－1)p+12 mod p。
(2) p－12!2≡(－1)p+12 mod p。
(3) (p－1)!!≡(－1)p－12p－2!! mod p。第4章第4章同 余 方 程



4.1同余方程的基本概念设m,n∈N，多项式f(x)=anxn+…+a2x2+a1x+a0，其中ai∈Z(i=0,1,2,…，n)，则 f(x)≡0 mod m(4.1.1)称为模m的同余方程。若m an，则称式(4.1.1)的次数为n，记为deg f=n。
若x=c使式(4.1.1)成立，则称之为式(4.1.1)的解。此时与c模m同余的任一整数也是它的解。不同的解的个数称为它的解数。
显然，式(4.1.1)的解及其解数只需要在模m的一个完全剩余系中考虑。
例4.1.1求方程4x2+27x-12≡0 mod 15的解。
解在多项式求值时，取完全剩余系为绝对最小完全剩余系时，将使计算简化。在模15的绝对最小完全剩余系-7,-6,…,-1,0,1,…,6,7中直接演算，可知x=-6,3是解，解数是2。
例4.1.2求4x2+27x-9≡0 mod 15的解。
解直接演算知该方程无解。
因为4x2+27x-9≡x2+3x-6 mod 15，所以4x2+27x-9≡0 mod 15与x2+3x-6≡0 mod 15的解和解数相同，但因x2+3x-6的系数小，直接演算更为简单。一般地有以下定理。
定理4.1.1
(1) 若f(x)≡g(x) mod m，则式(4.1.1)的解和解数与g(x)≡0 mod m相同，称这两个同余方程模m等价。
(2) 若(a,m)=1，则式(4.1.1)的解和解数与方程af(x)≡0 mod m相同。特别地，当(an,m)=1时，取a≡a-1n mod m，可使式(4.1.1)的首项系数变为1。
证明简单，略去。
类似地，有同余方程组的概念。
记m1,m2,…,mk∈N,f1(x),f2(x),…fk(x)都为整系数多项式，则f1(x)≡0 mod m1
f2(x)≡0 mod m2

fk(x)≡0 mod mk(4.1.2)称为同余方程组。
若x=c满足式(4.1.2)，则称之为式(4.1.2)的解，此时与c模m=［m1m2…mk］同余的任意整数也是它的解。显然，式(4.1.2)的解及解数只需在模m的一个完全剩余系中考虑。
网络空间安全数学基础第4章同余方程4.2一次同余方程若m a，则方程ax≡b mod m(4.2.1)称为一次同余方程。
若式(4.2.1)有解，设为x0，则存在q∈Z，使得ax0=b+qm。可得(a,m)|b(4.2.2)即式(4.2.2)是式(4.2.1)有解的必要条件。
例如，在4x≡2 mod 8中，(4,8)=4 2，该方程一定无解。在3x≡2 mod 8中，(3,8)=1|2，该方程可能有解，在模8的绝对最小剩余系-3，-2，-1，0，1，2，3，4中逐一验证，知x=-2是解，解数为1。在6x≡2 mod 8中，(6,8)=2|2，在模8的绝对最小剩余系中逐一验证，知-1和3是解，解数是2。可见式(4.2.1)可能无解，也可能有解，有解时解数可能为1，也可能大于1。
定理4.2.1给出了式(4.2.2)(也是式(4.2.1))有解的充分条件。
定理4.2.1设m a，d=(a,m)，同余方程(4.2.1)有解的充要条件是d|b。在有解时，它的解数为d。又设x0是adx≡bd mod md(4.2.3)的一个解，则式(4.2.1)的d个解是x0+mdt( mod m)，其中t为0,1,2,…,d-1。
证明充分性由以下构造方法给出。
第1步: 由d|b，得bd是整数，构造方程(4.2.3)，显然ad,md=1。由定理3.6.1的推论，式(4.2.3)有解: x0≡bdad-1 mod md第2步: 方程ax≡b mod m的全部解为x0+tmd，其中t∈Z，这是因为ax0+tmd=ax0+tmad≡ax0 mod m又由于adx0≡bd mod md得ax0≡b mod m。所以ax0+tmd≡b mod m下面在全部解中求出模m不同余的解。
设x1=x0+t1md，x2=x0+t2md则x1-x2=(t1-t2)md所以m|x1-x2当且仅当d|t1-t2。即x1x2 mod m当且仅当t1t2 mod d。所以t遍历模d的一个完全剩余系(可取为最小非负完全剩余系0,1,2,…，d-1)就可得ax≡b mod m的全部解，即全部解有d个。 证毕。
推论设(a,m)=1，则方程ax≡b mod m有唯一解x≡baφ(m)-1 mod m。
证明由(a,m)=1|b及定理3.6.1的推论得解。解的唯一性由(a,m)=1得。
例4.2.1解方程20x≡15 mod 135。
解d=(20,135)=5，5|15，所以方程有5个解。构造方程4x≡3 mod 27，得解为3·4φ(27)-1≡21 mod 27。所以方程的5个解为21+t·27(t=0,1,2,3,4)，即21,48,75,102,129。
4.3一次同余方程组和中国剩余定理中国剩余定理有两个用途: 
(1) 已知某个数关于一些两两互素的数的同余类，就可重构这个数。
(2) 可将大数用小数表示，大数的运算可通过小数实现。
例4.3.1Z10中每个数都可从这个数关于2和5(10的两个互素的因子)的同余类重构。例如，已知x关于2和5的同余类分别是［0］和［3］，即x  mod 2=0，x mod 15=3。可知x是偶数且被5除后余数是3，所以可得8是满足这一关系的唯一的x。
例4.3.2假设只能处理5以内的数，则要考虑15以内的数，可将15分解为两个小素数的乘积，15=3·5，将1～15的数列表表示，表的行号为0~2，列号为0~4，将1～15填入表中，使得其所在行号为该数除3得到的余数，列号为该数除5得到的余数，如表4.3.1所示。例如12 mod 3＝0，12 mod 5=2，所以12应填在第0行、第2列。表4.3.11～15的数行号列号0123400612391101713425112814用(0, 2)表示12。现在就可处理15以内的数了。
例如,求12·13(mod 15)，13在第1行、第3列，将13表示为(1, 3)，由0·1≡0  mod 3,2·3≡1 mod 5得12·13(mod 15)的小数表示是(0, 1)，这个位置上的数是6，所以12·13(mod 15)≡6。又因0+1≡1 mod 3,2+3≡0 mod 5，所以12+13的小数表示是(1, 0)，这个位置上的数是10，所以12+13≡10 mod 15。
以上两例是中国剩余定理的直观应用。下面具体介绍该定理的内容。
中国剩余定理最早见于《孙子算经》的“物不知数”问题: 今有物不知其数，三三数之有二，五五数之有三，七七数之有二，问物有多少？
这一问题用方程组表示为x≡2 mod 3
x≡3 mod 5
x≡2 mod 7下面给出解的构造过程。首先将3个余数写成和的形式: 2+3+2。为满足第一个方程，即模3后，后两项消失，将后两项各乘以3，得2+3·3+2·3。为满足第二个方程，即模5后，第一、三项消失，将第一、三项各乘以5，得2·5+3·3+2·3·5。同理，给前两项各乘以7，得2·5·7+3·3·7+2·3·5。
然而，将结果代入第一方程，得到2·5·7，为消去5·7，将结果的第一项再乘以(5·7)-1 mod 3，得2·5·7(5·7)-1 mod 3+3·3·7+2·3·5。类似地，将第二项乘以(3·7)-1 mod 5，将第三项乘以(3·5)-1 mod 7，结果为2·5·7·(5·7)-1 mod 3+3·3·7·(3·7)-1 mod 5
+2·3·5·(3·5)-1 mod 7＝233又因为233+k·3·5·7=233+105k，k为任意整数时都满足方程组，可取k=-2，得到小于105(=3·5·7)的唯一解23，所以方程组的唯一解构造如下: (2·5·7·(5·7)-1 mod 3+3·3·7·(3·7)-1 mod 5
+2·3·5·(3·5)-1 mod 7) mod (3·5·7)把这种构造法推广到一般形式，就是中国剩余定理。
定理4.3.1(中国剩余定理)设m1,m2,…,mk是两两互素的正整数，M＝∏ki=1mi，则一次同余方程组x mod m1≡a1
x mod m2≡a2

x mod mk≡ak(4.3.1)对模M有唯一解: x≡Mm1e1a1+Mm2e2a2+…Mmkekakmod M(4.3.2)其中，ei满足Mmiei≡1 mod mi(i=1,2,…,k)证明设Mi=Mmi=∏l=1
l≠iml(i=1,2,…,k)由Mi的定义知Mi与mi是互素的，因此Mi在模mi下有唯一的乘法逆元，即满足Mmiei≡1 mod mi的ei是唯一的。
下面证明对任意i∈{1,2,…,k}，上述x满足x mod mi≡ai。注意到当j≠i时，mi|Mj，即Mj≡0 mod mi，所以(Mj×ej mod mj)mod mi≡((Mj mod mj)×(ej mod mj)mod mi))mod mi≡0而
(Mi×(ei mod mi))mod mi≡(Mi×ei) mod mi≡1
所以x mod mi≡ai。
下面证明方程组的解是唯一的。
设x′是方程组的另一解，即x′≡ai mod mi(i=1,2,…,k)。由x≡ai mod mi得x′-x≡0 mod mi，即mi|(x′-x)。再根据mi两两互素，有M|(x′-x)，即x′-x≡0  mod M，所以x′ mod M=x mod M。证毕。
中国剩余定理提供了一个非常有用的特性，即在模MM=∏ki=1mi下可将大数A用一组小数(a1,a2,…,ak)表达，且大数的运算可通过小数实现，表示为A(a1,a2,…,ak)其中，ai=A mod mi(i=1,2,…,k)。
有以下推论。
推论如果A(a1,a2,…,ak)，B(b1,b2,…,bk)那么(A+B) mod M((a1+b1) mod m1,…,(ak+bk) mod mk)
(A-B) mod M((a1-b1) mod m1,…,(ak-bk) mod mk)
(A×B) mod M((a1×b1) mod m1,…,(ak×bk) mod mk)证明可由模运算的性质直接得出。 证毕。
定理4.3.2设m1,m2,…,mk，M，e1,e2,…,ek与定理4.3.1相同。x=Mm1e1x1+Mm2e2x2+…Mmkekxk(4.3.3)则当xi遍历模mi(i=1,2,…,k)的完全(简化)剩余系时，x遍历模M的完全(简化)剩余系。
证明先证明完全剩余系的情况。当xi遍历模mi的完全剩余系时，xi有mi个取值(1≤i≤k)，因此x有M个取值。下面证明这M个取值模M两两不同余。设x′=Mm1e1x′1+Mm2e2x′2+…+Mmkekx′k若x≡x′mod M，则x≡x′mod mi，从而得xi≡x′i mod mi(1≤i≤k)。
再证明简化剩余系的情况。
由于简化剩余系中的元素是由完全剩余系中与模数互素的元素构成的，所以只要证明(x,M)=1当且仅当(xi,mi)=1(1≤i≤k)。由(x,M)=1得(x,mi)=1(1≤i≤k)。否则，若d=(x,mi)≠1，则d|x，d|mi得d|M。d是x、M的公因子，与(x,M)=1矛盾。
由(xi,mi)=1及式(4.3.3)得x mod mi≡xi，xi∈［x］mi。由定理3.3.1得(xi,mi)=(x,mi)，所以(xi,mi)=1。反之，若(xi,mi)=1(1≤i≤k)，则x mod mi≡xi，得(x,mi)=(xi,mi)=1，(x,M)=1。证毕。
例4.3.3表4.3.1的构造。
设1≤x≤15，求x≡a mod 3,x≡b mod 5，将x填入表的a行、b列。表建立完成后，数x由它的行号a和列号b表示为(a,b)。由(a,b)及中国剩余定理可按如下的方法恢复x: x≡(a·5·(5-1 mod 3)+(b·3·(3-1 mod 5)mod 15
=(a·5·2+b·3·2)mod 15
≡［10a+6b］mod 15例如，12 mod 3≡0,12 mod 5≡2; 13 mod 3≡1,13 mod 5≡3。所以12位于表中第0行、第2列，13位于表中第1行、第3列。反之，若求表中第0行、第2列的数，将a=0,b=2代入x≡(10a+6b) mod 15，得x=12。
已知x表示为(a,b)，x的运算可用(a,b)实现。设x1=(a1,b1),x2=(a2,b2)，则x1+x2=(a1+a2,b1+b2),x1·x2=(a1·a2,b1·b2)例如: 12=(0,2)，13=(1,3)
12+13=(0,2)+(1,3)=(1,0),12·13=(0,2)·(1,3)=(0,1)所以12+13为10，12·13为6。
例4.3.4由以下方程组求x: x≡1 mod 2
x≡2 mod 3
x≡3 mod 5
x≡5 mod 7解M=2·3·5·7=210,M1=105,M2=70,M3=42,M4=30。
易得e1≡M-11 mod 2=1
e2≡M-12 mod 3=1
e3≡M-13 mod 5=3
e4≡M-14 mod 7=4所以，x≡(105×1×1+70×1×2+42×3×3+30×4×5)mod 210
≡173 mod 210例4.3.5为将973 mod 1813由模数分别为37和49的两个数表示，可取x=973，M=1813，m1=37,m2=49由a1≡973 mod m1=11，a2≡973 mod m2=42，得x在模37和模49下的表达式为(11,42)。若要求973 mod 1813+678 mod 1813，可先求出678(678 mod 37,678 mod 49)=(12,41)从而可将以上加法表达为((11+12) mod 37,(42+41) mod 49)=(23,34)例4.3.6解方程19x≡556 mod 1155。
解这是一次同余式，可按4.2节的方法求解。但因模数1155较大，可按中国剩余定理将方程变成模数较小的同余方程组。由1155=3·5·7·11及定理1.1.9，该方程与以下方程组等价: 19x≡556 mod 3
19x≡556 mod 5
19x≡556 mod 7
19x≡556 mod 11(1)x≡1 mod 3
x≡4 mod 5
5x≡3 mod 7
8x≡6 mod 11(2)x≡1 mod 3
x≡4 mod 5
x≡2 mod 7
x≡9 mod 11由定理4.3.1即得x≡394 mod 1155。其中第(1)步由定理4.1.1的(2)得出，第(2)步由一元同余式解出5x≡3 mod 7及8x≡6 mod 11得出。注意，第(1)步中得出的方程组不是定理4.3.1中的形式，不能直接应用定理4.3.1。
例4.3.7解同余方程组x≡3 mod 7
6x≡10 mod 8解解出一次同余式6x≡10 mod 8的解为x≡3,7(mod 8)，方程组等价于以下两个方程组: x≡3 mod 7
x≡3 mod 8及x≡3 mod 7
x≡7 mod 8由定理4.3.1得x≡3,31(mod 56)。
注: x≡3,7(mod 8)表示x≡3 mod 8，x≡7 mod 8。以后常用这种简单记法。
例4.3.8在例3.6.1的RSA加密算法中，按照中国剩余定理，可将解密过程简化如下: 解密者已知p、q，计算dp≡d mod (p-1)，dq≡d mod (q-1)
ap≡cdp mod p，aq≡cd mod q然后建立以下方程组: x≡ap mod p
x≡aq mod q由中国剩余定理求出x mod (pq)即为明文a。这是因为dp=d+kφ(p)，其中k∈N。ap≡cdp mod p≡cd(aφ(p))k mod p≡cd mod p
≡(a mod n)mod p≡a mod p同理，aq≡a mod q，因此方程组x≡ap mod p
x≡aq mod q中的x即为a。
cd mod n的运行时间是O(logd·log2n)，若d与n同阶，运行时间为O(log3n)。改进后算法的加速比是log3n2(logn/2)3=4中国剩余定理也用于解高次同余方程(即degf≥2)，解法和解数由定理4.3.3给出。
定理4.3.3设m=m1m2…mk，其中mi(1≤i≤k)是两两互素的正整数，则同余方程f(x)≡0 mod m(4.3.4)与同余方程组f(x)≡0 mod m1
f(x)≡0 mod m2

f(x)≡0 mod mk(4.3.5)等价。设T是式(4.3.4)的解数，Ti是f(x)≡0 mod mi(1≤i≤k)的解数，则T=T1T2…Tk。
证明设x0是式(4.3.4)的解，即f(x0)=0 mod m，由定理3.1.5得f(x)≡0 mod mi(1≤i≤k)，即x0也是式(4.3.5)的解。
反之，设x0是式(4.3.5)的解，即f(x)≡0 mod mi(1≤i≤k)，由定理3.1.9得f(x0)≡0 mod ［m1,m2,…,mk］≡0 mod m，即x0也是式(4.3.4)的解。
设f(x)≡0 mod mi的解是bi(1≤i≤k)，建立以下方程组:x≡b1 mod m1
x≡b2 mod m2

x≡bk mod mk(4.3.6)由中国剩余定理得x0≡mm1e1b1+mm2e2b2+…+mmkekbkmod m(4.3.7)由x0≡bi mod mi得f(x0)≡f(bi)≡0 mod mi，即x0是式(4.3.5)的解，因此也是式(4.3.4)的解。
若bi(1≤i≤k)遍历f(x)≡0 mod mi的所有解，则x0遍历f(x)≡0 mod m的所有解，因此T=T1T2…Tk。 证毕。
定理4.3.3的证明过程也给出了解高次同余方程(4.3.4)的过程: 将m分解成两两互素的数的乘积，建立方程组(4.3.5)，解出该方程组，得一次同余方程组(4.3.6)，由中国剩余定理求出的式(4.3.7)即为原方程(4.3.4)的解。通常，可先将m分解成标准分解式: m=pα11pα22…pαss，取mi=pαii(1≤i≤k)，因此一般的高次同余方程的求解就归结为模为素数幂的同余方程的求解。
4.4模为素数的高次同余方程本节考虑以下同余方程: f(x)=anxn+…+a2x2+a1x+a0=0 mod p(4.4.1)其中,p为素数，a0∈Z(i=1,2,…,n),p an。
首先考虑多项式的Euclid除法，有以下结论。
定理4.4.1设f(x)=anxn+…+a2x2+a1x+a0，g(x)=xm+…+b2x2+b1x+b0，其中ai(1≤i≤n)，bj(1≤j≤m-1)∈Z，则存在唯一的整系数多项式q(x)和r(x)，使得f(x)=q(x)g(x)+r(x)，满足deg r<deg g。
证明分两种情况讨论: 
(1) n<m时，取q(x)=0，r(x)=f(x)。
(2) n≥m时，对n采用数学归纳法证明。
当n=m时，因为f(x)-ang(x)=(an-1-anbn-1)xn-1+…+(a2-anb2)x2+
(a1-anb1)x+(a0-anb0)取q(x)=an，r(x)=f(x)-ang(x)，即得。
假设n-1(n-1≥m)时结论成立。则在n时，由于f(x)-anxn-mg(x)=(an-1-anbm-1)xn-1+…+
(an-m-anb0)xn-m+an-m-1xn-m-1+…+a2x2+a1x+a0即f(x)-anxn-mg(x)是n-1次多项式。由归纳假设，存在唯一的整系数多项式q1(x)和r1(x)，使得f(x)-anxn-mg(x)=q1(x)g(x)+r1(x)其中deg r1<deg g，取q(x)=anxn-m+q1(x)，r(x)=r1(x)即得证。唯一性的证明与整数的带余除法类似。证毕。
定理4.4.2同余方程(4.4.1)与一个次数不超过p-1的同余式模p等价。
证明由多项式Euclid除法，存在唯一的一对q(x)、r(x)，使得f(x)≡q(x)(xp-x)+r(x)其中deg r≤p-1。由Fermat定理，对任意x有xp-x≡0 mod p，所以f(x)≡r(x) mod p。证毕。
以下几个定理的证明过程给出了求式(4.4.1)的等价式的方法。
定理4.4.3若同余方程(4.4.1)有k个不同的解x≡ci mod p(1≤i≤k)，则存在唯一的整系数多项式gk(x)，使得f(x)≡(x-c1)(x-c2)…(x-ck)gk(x) mod p，其中gk(x)的首项系数为an，deg gk=n-k。
证明对f(x)和x-c1用Euclid除法，存在唯一的一对g1(x)、r1(x)，使得f(x)=(x-c1)g1(x)+r1(x)其中deg r1=0，即r1(x)为常数。由f(c1)≡r1(c1) mod p≡0 mod p得r1(x)≡0 mod p，所以f(x)≡(x-c1)g1(x) mod p。再由f(c2)≡(c2-c1)g1(c2)≡0 mod p得g1(c2)≡0 mod p，对g1(x)与(x-c2)用Euclid除法，得到唯一的g2(x)，满足g1(x)≡(x-c2)g2(x) mod p。如此下去，得到gk-1(x)=(x-ck)gk(x) mod p。所以f(x)≡(x-c1)(x-c2)…(x-ck)gk(x) mod p显然gk(x)的首项系数为ak，deg gk=n-k。证毕。
定理4.4.4同余方程(4.4.1)的解数不超过它的次数。