ru.wikipedia.org

Китайская теорема об остатках — Википедия

Китайская теорема об остатках — несколько связанных утверждений о решении линейной системы сравнений.

Эта теорема в её арифметической формулировке была описана в трактате китайского математика Сунь Цзы «Сунь Цзы Суань Цзин» (кит. упр. 孙子算经, пиньинь sunzi suanjing), предположительно датируемом III веком н. э. и затем была обобщена Цинь Цзюшао в его книге «Математические рассуждения в 9 главах», датируемой 1247 годом, где было приведено точное решение^[1].

Если натуральные числа $a_{1},a_{2},\dots ,a_{n}$ попарно взаимно просты, то для любых целых $r_{1},r_{2},\dots ,r_{n}$ таких, что $0\leqslant r_{i}<a_{i}$ при всех $i\in \{1,2,\dots ,n\},$ найдётся число $N$ , которое при делении на $a_{i}$ даёт остаток $r_{i}$ при всех $i\in \{1,2,\dots ,n\}$ . Более того, если найдутся два таких числа $N_{1}$ и $N_{2}$ (соответствующих утверждению выше), то $N_{1}\equiv N_{2}{\pmod {a_{1}\cdot a_{2}\cdot \ldots \cdot a_{n}}}$ .

Воспользуемся методом математической индукции. При $n=1$ утверждение теоремы очевидно. Пусть теорема справедлива при $n=k-1$ , тогда существует число $m$ , дающее остаток $r_{i}$ при делении на $a_{i}$ при $i\in \{1,2,\dots ,k-1\}$ . Обозначим

$d=a_{1}\cdot a_{2}\cdot \ldots \cdot a_{k-1}$ .

Выберем произвольное число $a_{k}$ , взаимно простое со всеми $a_{1}\dots a_{k-1}$ и рассмотрим числа $M=\{m,m+d,m+2d,\dots ,m+(a_{k}-1)\cdot d\}=\{m+t\cdot d\}_{0\leqslant t<a_{k}}$ . Покажем, что все $t\in \{0,\dots ,a_{k}-1\}$ являются остатками при делении каких-либо элементов из $M$ на $a_{k}$ .

Допустим это не так, то есть существует некоторое $r_{k}<a_{k}$ , которое не принадлежит множеству всех остатков при делении элементов $M$ на $a_{k}$ . Поскольку количество этих элементов равно $|M|=a_{k}$ , а возможных остатков при делении элементов из $M$ на $a_{k}$ может быть не более чем $a_{k}-1$ (ведь ни одно число не даёт остаток $r_{k}$ ), то среди них найдутся два числа, имеющих равные остатки (по принципу Дирихле). Пусть это числа $m+t_{1}d$ и $m+t_{2}d$ при $t_{1}\neq t_{2}$ . Тогда их разность $(m+t_{1}d)-(m+t_{2}d)=(t_{1}-t_{2})d$ делится на $a_{k}$ , что невозможно, так как $t_{1}<a_{k}$ , $t_{2}<a_{k}$ , $0<|t_{1}-t_{2}|<a_{k}$ и $d=a_{1}\cdot a_{2}\cdot \ldots \cdot a_{k-1}$ взаимно просто с $a_{k}$ , так как числа $a_{1},a_{2},\dots ,a_{k}$ попарно взаимно просты (по условию). Противоречие.

Таким образом, среди рассматриваемых чисел найдётся число $N=m+t\cdot d$ , которое при делении на $a_{k}$ даёт остаток $r_{k}$ . В то же время при делении на $a_{1},a_{2},\dots ,a_{k-1}$ число $N$ даёт остатки $r_{1},r_{2},\dots ,r_{k-1}$ соответственно, так как $m+t\cdot d\equiv m{\pmod {a_{i}}}$ .

Докажем теперь, что $N_{1}\equiv N_{2}{\pmod {a_{1}\cdot a_{2}\cdot \ldots \cdot a_{n}}}$ . В самом деле $N_{1}\equiv N_{2}\equiv r_{i}{\pmod {a_{i}}}$ , то есть $N_{1}-N_{2}\equiv 0{\pmod {a_{i}}}$ . Таким образом, число $N_{1}-N_{2}$ делится без остатка на все $a_{i}$ , а также их произведение.

Описанное ниже доказательство теоремы помогает решить практически важную задачу — поиск решения системы линейных сравнений по модулю^[2]. Рассмотрим систему уравнений:

${\begin{cases}x\equiv r_{1}{\pmod {a_{1}}},\\x\equiv r_{2}{\pmod {a_{2}}},\\\cdots \cdots \cdots \cdots \cdots \cdots \\x\equiv r_{n}{\pmod {a_{n}}}.\\\end{cases}}$

(1)

Если наборы $(r_{1},r_{2},\dots ,r_{n})$ и $(a_{1},a_{2},\dots ,a_{n})$ удовлетворяют условию теоремы, то решение системы (1) существует и единственно с точностью до операции взятия по модулю $M$ , где $M={\displaystyle \prod _{i=1}^{n}a_{i}}$ , причем справедлива формула^[2]^[3]^[4]:

Покажем, что определённый таким образом $x$ является решением — проверим, что для него выполняется i-е равенство в системе^[3]: $x\equiv \sum _{j=1}^{n}r_{j}M_{j}M_{j}^{-1}\equiv r_{i}M_{i}M_{i}^{-1}\equiv r_{i}{\pmod {a_{i}}}$ Второе равенство справедливо так как $M_{j}\equiv {\displaystyle \prod _{k\neq j}^{n}a_{k}}\equiv 0{\pmod {a_{i}}}$ при всех $i\neq j$ , третье так как $M_{i}^{-1}$ является обратным для $M_{i}$ по модулю $a_{i}$ . Повторяя рассуждения для всех $i$ , убедимся, что $x$ , определённый формулой (2), является решением для (1).

В силу выбранного числа $M$ все числа $x'\equiv x{\pmod {M}}$ будут удовлетворять системе.

Покажем теперь, что среди чисел $0,1,\dots ,M-1$ (множество $A$ ) не найдется другого решения, кроме найденного нами ранее. Проведём доказательство этого факта от противного. Предположим, что получилось найти хотя бы два решения $x_{1},x_{2}\in A$ для некоторого набора остатков $r$ . Так как множество $B$ всех допустимых наборов $(r_{1},r_{2},\dots ,r_{n})$ является равномощным множеству $A$ , то для ${\overline {A}}_{x}:=A\setminus \{x_{1},x_{2}\}$ и ${\overline {B}}_{r}:=B\setminus \{r\}$ выполнено $|{\overline {A}}_{x}|<|{\overline {B}}_{r}|$ . Однако по доказанному ранее, для любого набора из ${\overline {B}}_{r}$ существует решение из ${\overline {A}}_{x}$ , следовательно, по принципу Дирихле, найдутся как минимум 2 набора остатков, которым соответствует одно и то же $x\in A$ . Для такого $x$ найдется $a_{i}$ такое, что $x\equiv r_{1},x\equiv r_{2}{\pmod {a_{i}}}$ и $r_{1}\neq r_{2}$ . Противоречие^[5]

Из доказанного выше следует, что существует взаимно однозначное соответствие между вектором остатков из $B$ и числом из множества $A$ для любого набора $(a_{1},a_{2},\dots ,a_{n})$ , т.е. отображение $B$ в $A$ , заданное (2), является биективным^[5]. Заметим, что кроме соответствия

$(x{\pmod {M}})\leftrightarrow (r_{1}{\pmod {a_{1}}},r_{2}{\pmod {a_{2}}},\dots ,r_{n}{\pmod {a_{n}}}),$

верны также^[6]^[7]

$(x_{1}\pm x_{2}{\pmod {M}})\leftrightarrow (r_{11}\pm r_{21}{\pmod {a_{1}}},r_{12}\pm r_{22}{\pmod {a_{2}}},\dots ,r_{1n}\pm r_{2n}{\pmod {a_{n}}})$ ,

$(x_{1}x_{2}{\pmod {M}})\leftrightarrow (r_{11}r_{21}{\pmod {a_{1}}},r_{12}r_{22}{\pmod {a_{2}}},\dots ,r_{1n}r_{2n}{\pmod {a_{n}}})$ .

Вычислительная сложность перехода от вектора остатков к числу оценивается как $O(k^{2})$ , где k — длина восстанавливаемого числа в битах^[3].

Приведём ниже алгоритмы решения задачи, которая ставится в теореме — восстановление числа $x$ по набору его остатков от деления на некоторые заданные взаимно простые числа $a_{1},a_{2},\dots ,a_{n}$ .

Как пример рассмотрим систему:

${\begin{cases}x\equiv 1{\pmod {2}},\\x\equiv 2{\pmod {3}},\\x\equiv 6{\pmod {7}}.\\\end{cases}}$

Для решения системы выпишем отдельно решения первого, второго и третьего уравнений (достаточно выписать решения не превосходящие $2\cdot 7\cdot 3=42$ ):

$x_{1}\in \{1,3,5,7,9,11,\dots ,39,\mathbf {41} ,43,\dots \},$

$x_{2}\in \{2,5,8,11,14,\dots ,38,\mathbf {41} ,44,\dots \},$

$x_{3}\in \{6,13,20,27,34,\mathbf {41} ,48,\dots \}.$

Очевидно, что множество решений системы будет пересечение представленных выше множеств. По утверждению теоремы решение существует и единственно с точностью до операции взятия по модулю 42. В нашем случае $x\in \{41,83,125,\dots \}$ или $x\equiv 41{\pmod {42}}.$

Для того, чтобы продемонстрировать другой путь, переформулируем задачу. Найдем тройку чисел $(u,v,w)$ таких, что:

${\begin{cases}x=1+2u,\\x=2+3v,\\x=6+7w.\\\end{cases}}$

Подставив $x$ из первого уравнения во второе, получим $1+2u\equiv 2{\pmod {3}}$ , тогда $2u\equiv 1{\pmod {3}}$ , или $4u\equiv 2{\pmod {3}}$ , или $u\equiv 2{\pmod {3}}$ , или $u=2+3s$ ;

подставив затем $x$ из первого уравнения в третье с учетом выражения для $u$ получим $1+2(2+3s)\equiv 6{\pmod {7}}$ или $6s\equiv 1{\pmod {7}}$ , тогда $36s\equiv 6{\pmod {7}}$ и следовательно $s\equiv 6{\pmod {7}}$ ;

тогда $x=1+2(2+3\cdot 6)=41$ .

Алгоритм сводится к поиску решений по формуле, данной в теореме^[8].

Шаг 1. Вычисляем $M={\displaystyle \prod _{i=1}^{n}a_{i}}$ .

Шаг 2. Для всех $i\in \{1,2,\dots ,n\}$ находим $M_{i}={\frac {M}{a_{i}}}$ .

Шаг 3. Находим $M_{i}^{-1}\equiv {\frac {1}{M_{i}}}{\bmod {a_{i}}}$ (например, используя расширенный алгоритм Евклида).

Шаг 4. Вычисляем искомое значение по формуле $x\equiv \sum _{i=1}^{n}r_{i}M_{i}M_{i}^{-1}\mod M$ .

Рассмотрим набор модулей $(a_{1},a_{2},\dots ,a_{n})$ , удовлетворяющих условию теоремы. Другой теоремой из теории чисел утверждается, что любое число $0\leqslant x<M=a_{1}\cdot a_{2}\cdot \ldots \cdot a_{n}$ однозначно представимо в виде^[9]

$x=x_{1}+x_{2}\cdot a_{1}+x_{3}\cdot a_{1}\cdot a_{2}+\dots +x_{n}\cdot a_{1}\cdot a_{2}\cdot \ldots \cdot a_{n-1}$ .

Вычислив по порядку все коэффициенты $x_{i}$ для $i\in \{1,2,\dots ,n\}$ мы сможем подставить их в формулу и найти искомое решение^[10]:

Обозначим через $r_{ij}=a_{i}^{-1}{\bmod {a_{j}}}$ и рассмотрим выражение для $x$ по модулю $a_{i}$ , где $i\in \{2,\dots ,n\}$ , получим:

$x_{1}=r_{1}$ ;

$r_{2}=(x_{1}+x_{2}a_{1}){\bmod {a_{2}}}$ ;

$x_{2}=(r_{2}-x_{1})r_{12}{\bmod {a_{2}}}$ ;

$r_{3}=(x_{1}+x_{2}a_{1}+x_{3}a_{1}a_{2}){\bmod {a_{3}}}$ ;

$x_{3}=((r_{3}-x_{1})r_{13}-x_{2})r_{23}{\bmod {a_{3}}}$

и так далее.

Сложность вычисления коэффициентов $x_{i}$ для данного алгоритма $O(n^{2})$ . Такая же сложность и восстановления искомого числа по найденным коэффициентам.

Пусть $A,B_{1},\dots ,B_{n}$ — коммутативные кольца с единицей, $\varphi _{i}\colon A\to B_{i}$ — сюръективные гомоморфизмы, обладающие свойством $\ker \varphi _{i}+\ker \varphi _{j}=A$ для всех $i,j\in \{1,\dots ,n\},i\neq j$ . Тогда гомоморфизм

$\Phi \colon A\to \prod _{i=1}^{n}B_{i}$ ,

заданный формулой

$\Phi (a)=(\varphi _{1}(a),\dots ,\varphi _{n}(a))$ ,

является сюръективным. Более того, $\Phi$ определяет изоморфизм

$A/\left(\bigcap _{i=1}^{n}\ker \varphi _{i}\right)\cong \prod _{i=1}^{n}B_{i}$ .

Если положить $A=\mathbb {Z} /(a_{1}\cdot \ldots \cdot a_{n}\mathbb {Z} ),B_{i}=\mathbb {Z} /a_{i}\mathbb {Z} \ (i=1,2,\dots ,n;\ a_{i}\in \mathbb {Z} )$ и определить гомоморфизмы следующим образом

$\varphi _{i}(x)=x\,{\bmod {\,a_{i}}}$ ,

то мы получим арифметическую версию теоремы.

Также часто встречается эквивалентная формулировка для колец, где $B_{i}$ имеют форму $A/I_{i}$ для некоторого набора идеалов $I_{1},\dots ,I_{n}$ , гомоморфизмы $\varphi _{i}$ являются естественными проекциями на $A/I_{i}$ и требуется, чтобы $I_{i}+I_{j}=A$ для любых $i,j\in \{1,\dots ,n\},i\neq j$ . Другими словами, если идеалы $I_{1},\dots ,I_{n}$ попарно взаимно просты (то есть сумма двух различных идеалов равна самому кольцу), то их произведение совпадает с их пересечением, и факторкольцо по этому произведению изоморфно произведению факторов:

$A/(I_{1}I_{2}\ldots I_{n})\cong A/I_{1}\times A/I_{2}\times \ldots \times A/I_{n}$ .

Кроме того существует обобщение на некоммутативные кольца без единиц с дополнительным условием, автоматически выполняющимся на кольцах с единицами.^[11]

Также известно обобщение на решётки и коммутативные идемпотентные полукольца.^[12]

Пусть $R$ — евклидово кольцо и $m,n$ — взаимно простые числа. Тогда докажем, что существует корректно заданный изоморфизм:

$R/_{(mn)}\cong R/_{(m)}\times R/_{(n)}$

Прямое отображение $[x]_{mn}\longrightarrow ([x]_{m},\ [x]_{n})$ очевидно.

Для доказательства существования обратного отображения рассмотрим классы эквивалентности $[1]$ и $[0]$ :

$([1]_{m},\ [0]_{n})\longrightarrow [u]_{mn}$ ,

$([0]_{m},\ [1]_{n})\longrightarrow [v]_{mn}$ .

Найдём $[u]_{mn}$ , решив следующую систему уравнений:

${\begin{cases}u\equiv 1\ {\pmod {m}}\\u\equiv 0\ {\pmod {n}}\end{cases}}$

$\exists y\in \mathbb {Z} :\ u=ny,\ ny\equiv 1{\pmod {m}}$

Аналогично найдём $[v]_{mn}$ :

$\exists x\in \mathbb {Z} :\ v=mx,\ mx\equiv 1{\pmod {n}}$

Покажем, что в общем виде выполняется:

$([a]_{m},\ [b]_{n})\longrightarrow [au+bv]_{mn},$

$au+bv\equiv a{\pmod {m}}$ , так как $v\equiv 0{\pmod {m}}$ и $u\equiv 1{\pmod {m}},$

$au+bv\equiv b{\pmod {n}}$ , так как $u\equiv 0{\pmod {n}}$ и $v\equiv 1{\pmod {n}}.$

Проверим корректность отображения, то есть что при взятии разных элементов из классов $[a]_{m},\ [b]_{n}$ результат не меняется:

${\begin{cases}a\equiv a'{\pmod {m}},\\b\equiv b'{\pmod {n}}.\end{cases}}$

Значит $au+bv\equiv a'u+b'v{\pmod {mn}},$ отображение корректно.

Можно проверить, что построенное отображение действительно обратное .

Китайская теорема об остатках широко применяется в теории чисел, криптографии и других дисциплинах.

Взаимно однозначное соответствие между некоторым числом и набором его остатков, определяемым набором взаимно простых чисел, существование которого утверждается в теореме, на практике помогает работать не с длинными числами, а с наборами их коротких по длине остатков. Кроме того, вычисления по каждому из модулей можно выполнять параллельно^[13]. Если в качестве базиса взять, к примеру, первые 500 простых чисел, длина каждого из которых не превосходит 12 битов, то этого хватит для представления чисел длиной до 1519 десятичных знаков (сумма десятичных логарифмов первых 500 простых чисел равна 1519,746…). Например, в алгоритме RSA вычисления производятся по модулю большого числа n, представимого в виде произведения двух больших простых чисел. Теорема позволяет перейти к вычислениям по модулю этих простых делителей, которые по величине уже порядка корня из n, а значит имеют в два раза меньшую битовую длину^[14]. Отметим также, что применение вычислений согласно китайской теореме об остатках делает алгоритм RSA восприимчивым к атакам по времени^[15].
Такое представление числа под названием системы остаточных классов использовалось в ранних ЭВМ, особенно специализированных, т. к. позволяло выполнять арифметические операции над числами с большим числом битов путем параллельного вычисления операций над остатками. Так как модули можно было взять с небольшим числом битов, то таблицы операций над остатками по каждому модулю можно было просто запомнить в ПЗУ, как таблицу Пифагора, что позволяло производить арифметическую операцию практически за один такт.
На Теореме основаны схема Асмута — Блума и схема Миньотта — пороговые схемы разделения секрета в группе участников. Секрет могут узнать только k из n участников, объединив свои ключи^[16]^[17].
Одним из применений является быстрое преобразование Фурье на основе простых чисел^[18].
Теорема лежит в основе принципа Хассе поиска целочисленных корней уравнения^[19].
Теорема может быть использована при доказательстве свойства мультипликативности функции Эйлера^{[источник не указан 1793 дня]}.
На Теореме основывается алгоритм Полига — Хеллмана нахождения дискретного логарифма за полиномиальное время для чисел, имеющих специальный вид^[20].
Теорема имеет множество применений в шифровании и дешифровании в криптографических системах, например, в криптосистеме Рабина или в шифре Виженера^[21].
Реализация функций алгебры логики числовыми методами^[22].

↑ Ишмухаметов, 2011, p. 36.
↑ ¹ ² Нестеренко, 2011, p. 19.
↑ ¹ ² ³ Габидулин, Кшевецкий, Колыбельников, 2011, p. 229.
↑ Осипов Н. Н., 2008, p. 80.
↑ ¹ ² Осипов Н. Н., 2008, p. 19.
↑ Габидулин, Кшевецкий, Колыбельников, 2011, p. 230.
↑ Фергюсон, Нильс, Шнаер, Брюс, 2004, p. 249.
↑ Нестеренко, 2011, p. 20.
↑ Нестеренко, 2011, Теорема 2.4, p. 21.
↑ Нестеренко, 2011, p. 22.
↑ Некоммутативный случай без единицы. Дата обращения: 18 апреля 2018. Архивировано 19 апреля 2018 года.
↑ Обобщение на решётки. Дата обращения: 18 апреля 2018. Архивировано 19 апреля 2018 года.
↑ Инютин, 2012.
↑ Фергюсон, Нильс, Шнаер, Брюс, 2004, p. 250.
↑ Ян Сонг Й, 2011, 8.4.
↑ Mignotte, 1982.
↑ Asmuth, Bloom, 1983.
↑ R. Tolimieri. FFT Algorithms Архивная копия от 17 декабря 2013 на Wayback Machine.
↑ Otmar Venjakob p-adic Numbers and the Hasse Principle Архивная копия от 2 февраля 2017 на Wayback Machine.
↑ Василенко, 2003, с. 130—131.
↑ Минеев, Чубариков, 2010.
↑ Финько, 2003, p. 19, 117.

Василенко О. Н. Теоретико-числовые алгоритмы в криптографии — М.: МЦНМО, 2003. — 328 с. — ISBN 978-5-94057-103-2
Габидулин Э. М., Кшевецкий А. С., Колыбельников А. И. Защита информации: учебное пособие — М.: МФТИ, 2011. — 225 с. — ISBN 978-5-7417-0377-9
Гольденберг А.И. Задача остатков // В.О.Ф.Э.М.. — 1887. — № 35. — С. 247—253.
Ишмухаметов Ш. Т. Методы факторизации натуральных чисел: учебное пособие — Казань: Казанский университет, 2011. — 190 с.
Ленг, Серж. Алгебра. — М.: Мир, 1968. — С. 82—83.
Минеев М. П., Чубариков В. Н. Об одном применении китайской теоремы об остатках к шифру Виженера. М.: ДАН. — 2010. — Том: 430. — №1. — С. 21, 22.
Модулярная арифметика : [арх. 3 декабря 2022] / Инютин С. А. // Меотская археологическая культура — Монголо-татарское нашествие. — М. : Большая российская энциклопедия, 2012. — (Большая российская энциклопедия : [в 35 т.] / гл. ред. Ю. С. Осипов ; 2004—2017, т. 20). — ISBN 978-5-85270-354-5.
Нестеренко А. Введение в современную криптографию.Теоретико-числовые алгоритмы. — 2011. — 190 с.
Осипов, Н. Н. Теория чисел (2008)
Смарт Н. Криптография. — 2005. — 528 с.
Сонг Й. Ян. Криптоанализ RSA. — М., Ижевск: «Регулярная и хаотическая динамика», «Институт компьютерных исследований», 2011. — 312 с. — ISBN 978-5-93972-873-7.
Фергюсон, Нильс; Шнайер, Брюс. Практическая криптография. — М.: Вильямс, 2004. — 432 с.
Финько О. А. Модулярная арифметика параллельных логических вычислений: Монография — М.: ИПУ РАН, 2003. — 214 с.
Hazewinkel, Michiel, ed. (2001), "Chinese remainder theorem", Encyclopedia of Mathematics, Springer, ISBN 978-1-55608-010-4
Asmuth C., Bloom J. A modular approach to key safeguarding (англ.) // IEEE Transactions on Information Theory / F. Kschischang — IEEE, 1983. — Vol. 29, Iss. 2. — P. 208—210. — ISSN 0018-9448; 1557-9654 — doi:10.1109/TIT.1983.1056651
Mignotte M. How to Share a Secret (англ.) // Cryptography: Proceedings of the Workshop on Cryptography Burg Feuerstein, Germany, March 29–April 2, 1982 / T. Beth — Berlin, Heidelberg, New York City, London: Springer Berlin Heidelberg, 1983. — P. 371—375. — (Lecture Notes in Computer Science; Vol. 149) — ISBN 978-3-540-11993-7 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-39466-4_27

Weisstein, Eric W. Chinese Remainder Theorem (англ.) на сайте Wolfram MathWorld.
Chinese Remainder Theorem на Planetmath.org Архивная копия от 31 марта 2018 на Wayback Machine