中国剩余定力和扩展欧几里得算法的数学理论讲解

中国剩余定理和扩展欧几里得

原文地址：http://www.matrix67.com/blog/archives/5100

1. 中国剩余定理
   如果两个正整数的最大公约数为 1 ，我们就说这两个数是互质的。这是一个非常重要的概念。如果 a 和 b 互质，这就意味着分数 a / b 已经不能再约分了，意味着 a × b 的棋盘的对角线不会经过中间的任何交叉点，意味着循环长度分别为 a 和 b 的两个周期性事件一同上演，则新的循环长度最短为 a · b 。
   很多更复杂的数学现象也都跟互质有关。《孙子算经》卷下第二十六问：“今有物，不知其数。三、三数之，剩二；五、五数之，剩三；七、七数之，剩二。问物几何？答曰：二十三。”翻译过来，就是有一堆东西，三个三个数余 2 ，五个五个数余 3 ，七个七个数余 2 ，问这堆东西有多少个？《孙子算经》给出的答案是 23 个。当然，这个问题还有很多其他的解。由于 105 = 3 × 5 × 7 ，因而 105 这个数被 3 除、被 5 除、被 7 除都能除尽。所以，在 23 的基础上额外加上一个 105 ，得到的 128 也是满足要求的解。当然，我们还可以在 23 的基础上加上 2 个 105 ，加上 3 个 105 ，等等，所得的数都满足要求。除了形如 23 + 105n 的数以外，还有别的解吗？没有了。事实上，不管物体总数除以 3 的余数、除以 5 的余数以及除以 7 的余数分别是多少，在 0 到 104 当中总存在唯一解；在这个解的基础上再加上 105 的整倍数后，可以得到其他所有的正整数解。后人将其表述为“中国剩余定理”：给出 m 个两两互质的整数，它们的乘积为 P ；假设有一个未知数 M ，如果我们已知 M 分别除以这 m 个数所得的余数，那么在 0 到 P – 1 的范围内，我们可以唯一地确定这个 M 。这可以看作是 M 的一个特解。其他所有满足要求的 M ，则正好是那些除以 P 之后余数等于这个特解的数。注意，除数互质的条件是必需的，否则结论就不成立了。比如说，在 0 到 7 的范围内，除以 4 余 1 并且除以 2 也余 1 的数有 2 个，除以 4 余 1 并且除以 2 余 0 的数则一个也没有。

   从某种角度来说，中国剩余定理几乎是显然的。让我们以两个除数的情况为例，来说明中国剩余定理背后的直觉吧。假设两个除数分别是 4 和 7 。下表显示的就是各自然数除以 4 和除以 7 的余数情况，其中 x mod y 表示 x 除以 y 的余数，这个记号后面还会用到。

i 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
i mod 4 0 1 2 3 0 1 2 3 0 1 2 3 0 1 2 3 0 1 2 3
i mod 7 0 1 2 3 4 5 6 0 1 2 3 4 5 6 0 1 2 3 4 5
i 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
i mod 4 0 1 2 3 0 1 2 3 0 1 2 3 0 1 2 3 0 1 2 3
i mod 7 6 0 1 2 3 4 5 6 0 1 2 3 4 5 6 0 1 2 3 4
i mod 4 的值显然是以 4 为周期在循环， i mod 7 的值显然是以 7 为周期在循环。由于 4 和 7 是互质的，它们的最小公倍数是 4 × 7 = 28 ，因而 (i mod 4, i mod 7) 的循环周期是 28 ，不会更短。因此，当 i 从 0 增加到 27 时， (i mod 4, i mod 7) 的值始终没有出现重复。但是， (i mod 4, i mod 7) 也就只有 4 × 7 = 28 种不同的取值，因而它们正好既无重复又无遗漏地分给了 0 到 27 之间的数。这说明，每个特定的余数组合都在前 28 项中出现过，并且都只出现过一次。在此之后，余数组合将产生长度为 28 的循环，于是每个特定的余数组合都将会以 28 为周期重复出现。这正是中国剩余定理的内容。

中国剩余定理有很多漂亮的应用，这里我想说一个我最喜欢的。设想这样一个场景：总部打算把一份秘密文件发送给 5 名特工，但直接把文件原封不动地发给每个人，很难保障安全性。万一有特工背叛或者被捕，把秘密泄露给了敌人怎么办？于是就有了电影和小说中经常出现的情节：把绝密文件拆成 5 份， 5 名特工各自只持有文件的 1/5 。不过，原来的问题并没有彻底解决，我们只能祈祷坏人窃取到的并不是最关键的文件片段。因此，更好的做法是对原文件进行加密，每名特工只持有密码的 1/5 ，这 5 名特工需要同时在场才能获取文件全文。但这也有一个隐患：如果真的有特工被抓了，当坏人们发现只拿到其中一份密码没有任何用处的同时，特工们也会因为少一份密码无法解开全文而烦恼。此时，你或许会想，是否有什么办法能够让特工们仍然可以恢复原文，即使一部分特工被抓住了？换句话说，有没有什么密文发布方式，使得只要 5 个人中半数以上的人在场就可以解开绝密文件？这样的话，坏人必须要能操纵半数以上的特工才可能对秘密文件造成实质性的影响。这种秘密共享方式被称为 (3, 5) 门限方案，意即 5 个人中至少 3 人在场才能解开密文。
利用中国剩余定理，我们可以得到一种巧妙的方案。回想中国剩余定理的内容：给定 m 个两两互质的整数，它们的乘积为 P ；假设有一个未知数 M ，如果我们已知 M 分别除以这 m 个数所得的余数，那么在 0 到 P – 1 的范围内，我们可以唯一地确定这个 M 。我们可以想办法构造这样一种情况， n 个数之中任意 m 个的乘积都比 M 大，但是任意 m – 1 个数的乘积就比 M 小。这样，任意 m 个除数就能唯一地确定 M ，但 m – 1 个数就不足以求出 M 来。 Mignotte 门限方案就用到了这样一个思路。我们选取 n 个两两互质的数，使得最小的 m 个数的乘积比最大的 m – 1 个数的乘积还大。例如，在 (3, 5) 门限方案中，我们可以取 53 、 59 、 64 、 67 、 71 这 5 个数，前面 3 个数乘起来得 200128 ，而后面两个数相乘才得 4757 。我们把文件的密码设为一个 4757 和 200128 之间的整数，比如 123456 。分别算出 123456 除以上面那 5 个数的余数，得到 19 、 28 、 0 、 42 、 58 。然后，把 (53, 19) 、 (59, 28) 、 (64, 0) 、 (67, 42) 、 (71, 58) 分别告诉 5 名特工，也就是说特工 1 只知道密码除以 53 余 19 ，特工 2 只知道密码除以 59 余 28 ，等等。这样，根据中国剩余定理，任意 3 名特工碰头后就可以唯一地确定出 123456 ，但根据 2 名特工手中的信息只能得到成百上千个不定解。例如，假设我们知道了 x 除以 59 余 28 ，也知道了 x 除以 67 余 42 ，那么我们只能确定在 0 和 59 × 67 – 1 之间有一个解 913 ，在 913 的基础上加上 59 × 67 的整倍数，可以得到其他满足要求的 x ，而真正的 M 则可以是其中的任意一个数。

2. 扩展欧几里得算法
   中国剩余定理是一个很基本的定理。很多数学现象都可以用中国剩余定理来解释。背九九乘法口诀表时，你或许会发现，写下 3 × 1, 3 × 2, …, 3 × 9 ，它们的个位数正好遍历了 1 到 9 所有的情况。 7 的倍数、 9 的倍数也是如此，但 2 、 4 、 5 、 6 、 8 就不行。 3 、 7 、 9 这三个数究竟有什么特别的地方呢？秘密就在于， 3 、 7 、 9 都是和 10 互质的。比如说 3 ，由于 3 和 10 是互质的，那么根据中国剩余定理，在 0 到 29 之间一定有这样一个数，它除以 3 余 0 ，并且除以 10 余 1 。它将会是 3 的某个整倍数，并且个位为 1 。同样地，在 0 到 29 之间也一定有一个 3 的整倍数，它的个位是 2 ；在 0 到 29 之间也一定有一个 3 的整倍数，它的个位是 3 ……而在 0 到 29 之间，除掉 0 以外， 3 的整倍数正好有 9 个，于是它们的末位就正好既无重复又无遗漏地取遍了 1 到 9 所有的数字。

   这表明，如果 a 和 n 互质，那么 a · x mod n = 1 、 a · x mod n = 2 等所有方程都是有解的。 18 世纪的法国数学家 Étienne Bézout 曾经证明了一个基本上与此等价的定理，这里我们姑且把它叫做“ Bézout 定理”。事实上，我们不但知道上述方程是有解的，还能求出所有满足要求的解来。

   我们不妨花点时间，把方程 a · x mod n = b 和中国剩余定理的关系再理一下。寻找方程 a · x mod n = b 的解，相当于寻找一个 a 的倍数使得它除以 n 余 b ，或者说是寻找一个数 M 同时满足 M mod a = 0 且 M mod n = b 。如果 a 和 n 是互质的，那么根据中国剩余定理，这样的 M 一定存在，并且找到一个这样的 M 之后，在它的基础上加减 a · n 的整倍数，可以得到所有满足要求的 M 。因此，为了解出方程 a · x mod n = b 的所有解，我们也只需要解出方程的某个特解就行了。假如我们找到了方程 a · x mod n = b 中 x 的一个解，在这个解的基础上加上或减去 n 的倍数（相当于在整个被除数 a · x 的基础上加上或者减去 a · n 的倍数，这里的 a · x 就是前面所说的 M ），就能得到所有的解了。

   更妙的是，我们其实只需要考虑形如 a · x mod n = 1 的方程。因为，如果能解出这样的方程， a · x mod n = 2 、 a · x mod n = 3 也都自动地获解了。假如 a · x mod n = 1 有一个解 x = 100 ，由于 100 个 a 除以 n 余 1 ，自然 200 个 a 除以 n 就余 2 ， 300 个 a 除以 n 就余 3 ，等等，等式右边余数不为 1 的方程也都解开了。

   让我们尝试求解 115x mod 367 = 1 。注意，由于 115 和 367 是互质的，因此方程确实有解。我们解方程的基本思路是，不断寻找 115 的某个倍数以及 367 的某个倍数，使得它们之间的差越来越小，直到最终变为 1 。由于 367 除以 115 得 3 ，余 22 ，因而 3 个 115 只比 367 少 22 。于是， 15 个 115 就要比 5 个 367 少 110 ，从而 16 个 115 就会比 5 个 367 多 5 。好了，真正巧妙的就在这里了： 16 个 115 比 5 个 367 多 5 ，但 3 个 115 比 1 个 367 少 22 ，两者结合起来，我们便能找到 115 的某个倍数和 367 的某个倍数，它们只相差 2 ： 16 个 115 比 5 个 367 多 5 ，说明 64 个 115 比 20 个 367 多 20 ，又考虑到 3 个 115 比 1 个 367 少 22 ，于是 67 个 115 只比 21 个 367 少 2 。现在，结合“少 2 ”和“多 5 ”两个式子，我们就能把差距缩小到 1 了： 67 个 115 比 21 个 367 少 2 ，说明 134 个 115 比 42 个 367 少 4 ，而 16 个 115 比 5 个 367 多 5 ，于是 150 个 115 比 47 个 367 多 1 。这样，我们就解出了一个满足 115x mod 367 = 1 的 x ，即 x = 150 。大家会发现，在求解过程，我们相当于对 115 和 367 做了一遍辗转相除：我们不断给出 115 的某个倍数和 367 的某个倍数，通过辗转对比最近的两个结果，让它们的差距从“少 22 ”缩小到“多 5 ”，再到“少 2 ”、“多 1 ”，其中 22, 5, 2, 1 这几个数正是用辗转相除法求 115 和 367 的最大公约数时将会经历的数。因而，算法的步骤数仍然是对数级别的，即使面对上百位上千位的大数，计算机也毫无压力。这种求解方程 a · x mod n = b 的算法就叫做“扩展的辗转相除法”。

   注意，整个算法有时也会以“少 1 ”的形式告终。例如，用此方法求解 128x mod 367 = 1 时，最后会得出 43 个 128 比 15 个 367 少 1 。这下怎么办呢？很简单， 43 个 128 比 15 个 367 少 1 ，但是 367 个 128 显然等于 128 个 367 ，对比两个式子可知， 324 个 128 就会比 113 个 367 多 1 了，于是得到 x = 324 。
   怎样求解《孙子算经》中的“今有物，不知其数”一题。已知有一堆东西，三个三个数余 2 ，五个五个数余 3 ，七个七个数余 2 ，问这堆东西有多少个？根据中国剩余定理，由于除数 3 、 5 、 7 两两互质，因而在 0 到 104 之间，该问题有唯一的答案。我们求解的基本思路就是，依次找出满足每个条件，但是又不会破坏掉其他条件的数。我们首先要寻找一个数，它既是 5 的倍数，又是 7 的倍数，同时除以 3 正好余 2 。这相当于是在问， 35 的多少倍除以 3 将会余 2 。于是，我们利用扩展的辗转相除法求解方程 35x mod 3 = 2 。这个方程是一定有解的，因为 5 和 3 、 7 和 3 都是互质的，从而 5 × 7 和 3 也是互质的（到了下一节，这一点会变得很显然）。解这个方程可得 x = 1 。于是， 35 就是我们要找到的数。第二步，是寻找这么一个数，它既是 3 的倍数，又是 7 的倍数，同时除以 5 余 3 。这相当于求解方程 21x mod 5 = 3 ，根据和刚才相同的道理，这个方程一定有解。可以解得 x = 3 ，因此我们要找的数就是 63 。最后，我们需要寻找一个数，它能同时被 3 和 5 整除，但被 7 除余 2 。这相当于求解方程 15x mod 7 = 2 ，解得 x = 2 。我们想要找的数就是 30 。现在，如果我们把 35 、 63 和 30 这三个数加在一起会怎么样？它将会同时满足题目当中的三个条件！它满足“三个三个数余 2 ”，因为 35 除以 3 是余 2 的，而后面两个数都是 3 的整倍数，所以加在一起后除以 3 仍然余 2 。类似地，它满足“五个五个数余 3 ”，因为 63 除以 5 余 3 ，另外两个数都是 5 的倍数。类似地，它也满足“七个七个数余 2 ”，因而它就是原问题的一个解。你可以验证一下， 35 + 63 + 30 = 128 ，它确实满足题目的所有要求！为了得出一个 0 到 104 之间的解，我们在 128 的基础上减去一个 105 ，于是正好得到《孙子算经》当中给出的答案， 23 。

   已知 M 除以 m 个两两互质的数之后所得的余数，利用类似的方法总能反解出 M 来。至此，我们也就完成了 Mignotte 秘密共享方案的最后一环。