1. 引言

求解$x$值，滿足：
$$x^2\equiv a(modp)$$
其中$p$為odd素數。
需要做兩層判斷：
1）在有限域$p$內，是否存在平方值為$a$的解；
2）若存在解，則相應的解$x$值如何計算？

對于1），可通過Legendre_symbol來判斷$a$是否為quadratic residue modulo p.
對于2），可通過1917年的Pocklington算法來計算相應的$x$值。

2. Legendre_symbol

在Montgomery curves 和 Curve25519滿足Montgomery curve特征的magma腳本驗證中有利用Legendre_symbol來判斷判斷B(A+2)、B(A-2)、A2-4 三者至少有一個是 module p的 quadratic residue。
可轉換為求Legendre symbol值來判斷，若該值為-1，則說明不是quadratic residue，若為1，則是quadratic residue。

3. Pocklington算法

若已確定$a$為quadratic residue，在有限域$p$內存在平方根解$x$，可利用Pocklington算法來求解。
Pocklington對不同的有限域值$p$分了以下三種情況進行處理：
1）若$p=4m+3,m\in \mathbb{N}$，則解為$x\equiv \pm a^{m+1}$.
2）若$p=8m+5,m\in \mathbb{N}$，分情況為：

• 當$a^{2m+1}\equiv 1$時，則解為$x\equiv \pm a^{m+1}$.
• 當$a^{2m+1}\equiv ?1$，且2為quadratic non-residue所以有$4^{2m+1}\equiv ?1$，所以有$(4a{)}^{2m+1}\equiv 1$。$?(\pm (4a{)}^{m+1}{)}^2\equiv 4a$，假設$y\equiv (4a{)}^{m+1}$，則$y為$$y^2\equiv 4a$的解。$?x\equiv \pm y/2或者當y為奇數時，x\equiv \pm (p+y)/2$.

3）若$p=8m+1$，假設$D\equiv ?a$，轉換為求解$x^2+D\equiv 0$。尋找相應的$t_1和u_1$值，$N=t_1^2?D{u}_1^2$，使得$N$值為quadratic non-residue，即相應的$LegendreSymbol(N,p)$值應為-1。
進一步假設：
$$t_n=\frac{(t_1+u_1\sqrt{D}{)}^n+(t_1?u_1\sqrt{D}{)}^n}{2},u_n=\frac{(t_1+u_1\sqrt{D}{)}^n?(t_1?u_1\sqrt{D}{)}^n}{2\sqrt{D}}$$
從而使得以下等式均成立：
$$t_{m+n}=t_m{t}_n+D{u}_m{u}_n,u_{m+n}=t_m{u}_n+t_n{u}_m,t_n^2?D{u}_n^2=N^n$$
注意，當$p=8m+1$成立時，其實$p=4m^{\prime }+1$亦成立，從而有a為quadratic residue，且-a亦即D也為quadratic residue，$?存在x^{\prime }使得x^{\prime 2}\equiv D成立$。具體magma腳本驗證如下：

clear; LegendreSymbol(-4, 41); //1，為quadratic residue LegendreSymbol(4, 41); //1，為quadratic residue

注意有限域內有$t^{p?1}\equiv 1$，所以有：
$$t_p\equiv t_1^p\equiv t_1,u_p\equiv u_1^p{D}^{(p?1)/2}\equiv u_1$$
分別取$m=p?1,n=1$，套用到上面的等式從而有：
$$t_p\equiv t_1\equiv t_{p?1}{t}_1+D{u}_{p?1}{u}_1,u_p\equiv u_1\equiv t_{p?1}{u}_1+t_1{u}_{p?1}$$
以上等式成立的解為$t_{p?1}\equiv 1,u_{p?1}\equiv 0$。
因為$p$為odd素數，所以有$p?1=2r$。
分別取$m=r,n=r$，則有：
$$0\equiv u_{p?1}\equiv u_{2r}\equiv t_r{u}_r+t_r{u}_r\equiv 2t_r{u}_r$$
$?t_r或者u_r可整除p.$
假設$u_r$可整除$p$，即$u_r\equiv 0$。若r為偶數，則取$r=2s,m=s,n=s$，從而有$0\equiv 2t_s{u}_s$。但是并不是每一個$u_i$都可整除$p$，如$u_1$就不可以。若r為奇數，因$t_r^2?D{u}_r^2=N^r$等式成立而同時N要求為quadratic non-residue，所以$t_r^2$也應為quadratic non-residue，從而自相矛盾。所以，這個循環將在特定的$l$值處停止，使得$t_l\equiv 0$，從而有：
$?D{u}_l^2\equiv N^l$
因為$?D$亦為quadratic residue而$N$為quadratic non-residue，所以$l$必須為偶數。假設$l=2k,m=k,n=k$，從而有$0\equiv t_l\equiv t_k^2+D{u}_k^2$.
$\because x^2\equiv ?D$
$\therefore t_k^2+D{u}_k^2\equiv t_k^2?x^2{u}_k^2\equiv 0$
$\therefore t_k^2\equiv x^2{u}_k^2$
$\therefore u_{k}x\equiv \pm t_k$
$\therefore x\equiv \pm \frac{t_k}{u_k}$

4. curve25519 p=2²⁵⁵-19域sqrt_ratio_i實現

對于curve25519，其$p=2^{255}?19$，滿足以上第二個條件，即$p=8m+5,m\in \mathbb{N}$。

• 當$a^{2m+1}\equiv 1$時，則解為$x\equiv \pm a^{m+1}$.
• 當$a^{2m+1}\equiv ?1$，且2為quadratic non-residue所以有$4^{2m+1}\equiv ?1$，所以有$(4a{)}^{2m+1}\equiv 1$。$?(\pm (4a{)}^{m+1}{)}^2\equiv 4a$，假設$y\equiv (4a{)}^{m+1}$，則$y為$$y^2\equiv 4a$的解。$?x\equiv \pm y/2或者當y為奇數時，x\equiv \pm (p+y)/2$.

其中$m=(p?5)/8,m+1=(p+3)/8$，同時有限域內任意值$a，均有a^{p?1}\equiv 1$。不難理解sqrt_ratio_i函數中的注釋，均只取非負數解：

// Using the same trick as in ed25519 decoding, we merge the// inversion, the square root, and the square test as follows.//// To compute sqrt(α), we can compute β = α^((p+3)/8).// Then β^2 = ±α, so multiplying β by sqrt(-1) if necessary// gives sqrt(α).//// To compute 1/sqrt(α), we observe that// 1/β = α^(p-1 - (p+3)/8) = α^((7p-11)/8)// = α^3 * (α^7)^((p-5)/8).//// We can therefore compute sqrt(u/v) = sqrt(u)/sqrt(v)// by first computing// r = u^((p+3)/8) v^(p-1-(p+3)/8)// = u u^((p-5)/8) v^3 (v^7)^((p-5)/8)// = (uv^3) (uv^7)^((p-5)/8).//// If v is nonzero and u/v is square, then r^2 = ±u/v,// so vr^2 = ±u.// If vr^2 = u, then sqrt(u/v) = r.// If vr^2 = -u, then sqrt(u/v) = r*sqrt(-1).//// If v is zero, r is also zero.// 并通過flipped_sign_sqrt_i 來判斷是否有解。替代 Legendre_symbol判斷。/// - `(Choice(1), +sqrt(u/v)) ` if `v` is nonzero and `u/v` is square;/// - `(Choice(1), zero) ` if `u` is zero;/// - `(Choice(0), zero) ` if `v` is zero and `u` is nonzero;/// - `(Choice(0), +sqrt(i*u/v))` if `u/v` is nonsquare (so `i*u/v` is square).///

具體的代碼如下：

/// Given `FieldElements` `u` and `v`, compute either `sqrt(u/v)`/// or `sqrt(i*u/v)` in constant time.////// This function always returns the nonnegative square root.////// # Return////// - `(Choice(1), +sqrt(u/v)) ` if `v` is nonzero and `u/v` is square;/// - `(Choice(1), zero) ` if `u` is zero;/// - `(Choice(0), zero) ` if `v` is zero and `u` is nonzero;/// - `(Choice(0), +sqrt(i*u/v))` if `u/v` is nonsquare (so `i*u/v` is square).///pub fn sqrt_ratio_i(u: &FieldElement, v: &FieldElement) -> (Choice, FieldElement) {// Using the same trick as in ed25519 decoding, we merge the// inversion, the square root, and the square test as follows.//// To compute sqrt(α), we can compute β = α^((p+3)/8).// Then β^2 = ±α, so multiplying β by sqrt(-1) if necessary// gives sqrt(α).//// To compute 1/sqrt(α), we observe that// 1/β = α^(p-1 - (p+3)/8) = α^((7p-11)/8)// = α^3 * (α^7)^((p-5)/8).//// We can therefore compute sqrt(u/v) = sqrt(u)/sqrt(v)// by first computing// r = u^((p+3)/8) v^(p-1-(p+3)/8)// = u u^((p-5)/8) v^3 (v^7)^((p-5)/8)// = (uv^3) (uv^7)^((p-5)/8).//// If v is nonzero and u/v is square, then r^2 = ±u/v,// so vr^2 = ±u.// If vr^2 = u, then sqrt(u/v) = r.// If vr^2 = -u, then sqrt(u/v) = r*sqrt(-1).//// If v is zero, r is also zero.let v3 = &v.square() * v;let v7 = &v3.square() * v;let mut r = &(u * &v3) * &(u * &v7).pow_p58();let check = v * &r.square();let i = &constants::SQRT_M1;let correct_sign_sqrt = check.ct_eq( u);let flipped_sign_sqrt = check.ct_eq( &(-u));let flipped_sign_sqrt_i = check.ct_eq(&(&(-u)*i));let r_prime = &constants::SQRT_M1 * &r;r.conditional_assign(&r_prime, flipped_sign_sqrt | flipped_sign_sqrt_i);// Choose the nonnegative square root.let r_is_negative = r.is_negative();r.conditional_negate(r_is_negative);let was_nonzero_square = correct_sign_sqrt | flipped_sign_sqrt;(was_nonzero_square, r)}

參考資料：
[1] https://math.stackexchange.com/questions/3280271/compute-sqrtx-pmod-p-working-on-finite-fields
[2] https://en.wikipedia.org/wiki/Pocklington's_algorithm
[3] https://en.wikipedia.org/wiki/Legendre_symbol

總結

以上是生活随笔為你收集整理的有限域内的平方根求解原理解析及curve25519-dalek中的实现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。