# Modular Math

## Quadratic Residues

Hemos visto la multiplicación y la división en aritmética modular, pero ¿qué significa tomar la raíz cuadrada módulo de un entero?

Para la siguiente discusión, trabajemos módulo `p=29`. Podemos tomar el entero `a=11` y calcular `a^2 = 5 mod 29`.

Como `a = 11, a^2 = 5`, decimos que la raíz cuadrada de `5` es `11`.

Esto se siente bien, pero ahora pensemos en la raíz cuadrada de `18`. De lo anterior, sabemos que necesitamos encontrar algún entero `a` tal que `a^2=18`

Tu primera idea podría ser comenzar con `a = 1` y hacer un bucle hasta `a = p - 1`. En esta discusión, `p` no es demasiado grande y podemos verificar rápidamente todas las opciones.

Inténtalo, intenta codificar esto y mira lo que encuentras. Si lo has codificado correctamente, encontrarás que para todo `a ∈ Fp*` nunca encontrarás un `a` tal que `a^2 = 18`.

Lo que estamos viendo es que para los elementos de `Fp*`, no todos los elementos tienen una raíz cuadrada. De hecho, lo que encontramos es que para aproximadamente la mitad de los elementos de `Fp*`, no hay raíz cuadrada.

> Decimos que un entero `x` es un residuo cuadrático si existe un `a` tal que `a^2 ≡ x mod p`. Si no existe tal solución, entonces el entero es un no residuo cuadrático.

En otras palabras, `x` es un residuo cuadrático cuando es posible tomar la raíz cuadrada de `x` módulo un entero `p`.

En la lista a continuación hay dos residuos no cuadráticos y un residuo cuadrático.

Encuentre el residuo cuadrático y luego calcule su raíz cuadrada. De las dos raíces posibles, envíe la más pequeña como bandera.

> Si `a^2 = x` entonces `(-a)^2 = x`. Por lo tanto, si `x` es un residuo cuadrático en algún cuerpo finito, entonces siempre hay dos soluciones para `a`.

```
p=29 ints=[14,6,11]
```

In [None]:
ints=[14, 6, 11]
p=29

def first_qr(p, ints):
  for i in range(p-1):
    for num in ints:
      if (pow(i, 2, p) == num):
        return i

first_qr(p, ints)

## Legendre Symbol

En Residuos cuadráticos aprendimos lo que significa sacar la raíz cuadrada módulo de un entero. También vimos que sacar una raíz no siempre es posible.

En el caso anterior, cuando `p=29`, incluso el método más simple para calcular la raíz cuadrada era lo suficientemente rápido, pero a medida que `p` se hace más grande, este método se vuelve extremadamente irrazonable.

Afortunadamente para nosotros, tenemos una manera de comprobar si un entero es un residuo cuadrático con un solo cálculo gracias a Legendre. A continuación, asumiremos que estamos trabajando módulo de un primo `p`.

Antes de analizar el símbolo de Legendre, hagamos un breve desvío para ver una propiedad interesante de los (no) residuos cuadráticos.

```
Residuo cuadrático * Residuo cuadrático = Residuo cuadrático
Residuo cuadrático * No residuo cuadrático = No residuo cuadrático
No residuo cuadrático * No residuo cuadrático = Residuo cuadrático
```

> ¿Quieres una forma sencilla de recordar esto? Reemplaza "residuo cuadrático" por `+1` y "sin residuo cuadrático" por `-1`. ¡Los tres resultados son iguales!

Entonces, ¿cuál es el truco? [El símbolo de Legendre](https://es.wikipedia.org/wiki/S%C3%ADmbolo_de_Legendre) ofrece una forma eficiente de determinar si un entero es un residuo cuadrático módulo de un primo impar `p`.

El símbolo de Legendre: `(a/p)≡a^((p-1)/2) mod p` obedece a:

```
(a/p)=1 si a es un residuo cuadrático y a≢ 0 mod p
(a/p)=-1 si a es un residuo cuadrático no mod p
(a/p)=0 si a ≡ 0 mod p
```

Esto significa que, dado cualquier entero `a`, calcular `a^(p-1)/2 mod p` es suficiente para determinar si `a` es un residuo cuadrático.

Ahora, para la bandera. Dados los siguientes 1024 bits primos y 10 enteros, encuentre el residuo cuadrático y luego calcule su raíz cuadrada; la raíz cuadrada es su bandera. De las dos raíces posibles, envíe la mayor como su respuesta.

> Entonces, el símbolo de Legendre nos dice qué entero es un residuo cuadrático, pero ¿cómo encontramos la raíz cuadrada? El primo proporcionado obedece a `p = 3 mod 4`, lo que nos permite calcular fácilmente la raíz cuadrada. La respuesta está en línea, pero puedes averiguarla tú mismo si piensas en el pequeño teorema de Fermat.

Archivos del desafío:
- [output.txt](https://cryptohack.org/static/challenges/output_479698cde19aaa05d9e9dfca460f5443.txt)




In [None]:
p = 101524035174539890485408575671085261788758965189060164484385690801466167356667036677932998889725476582421738788500738738503134356158197247473850273565349249573867251280253564698939768700489401960767007716413932851838937641880157263936985954881657889497583485535527613578457628399173971810541670838543309159139

ints = [25081841204695904475894082974192007718642931811040324543182130088804239047149283334700530600468528298920930150221871666297194395061462592781551275161695411167049544771049769000895119729307495913024360169904315078028798025169985966732789207320203861858234048872508633514498384390497048416012928086480326832803,
        45471765180330439060504647480621449634904192839383897212809808339619841633826534856109999027962620381874878086991125854247108359699799913776917227058286090426484548349388138935504299609200377899052716663351188664096302672712078508601311725863678223874157861163196340391008634419348573975841578359355931590555,
        17364140182001694956465593533200623738590196990236340894554145562517924989208719245429557645254953527658049246737589538280332010533027062477684237933221198639948938784244510469138826808187365678322547992099715229218615475923754896960363138890331502811292427146595752813297603265829581292183917027983351121325,
        14388109104985808487337749876058284426747816961971581447380608277949200244660381570568531129775053684256071819837294436069133592772543582735985855506250660938574234958754211349215293281645205354069970790155237033436065434572020652955666855773232074749487007626050323967496732359278657193580493324467258802863,
        4379499308310772821004090447650785095356643590411706358119239166662089428685562719233435615196994728767593223519226235062647670077854687031681041462632566890129595506430188602238753450337691441293042716909901692570971955078924699306873191983953501093343423248482960643055943413031768521782634679536276233318,
        85256449776780591202928235662805033201684571648990042997557084658000067050672130152734911919581661523957075992761662315262685030115255938352540032297113615687815976039390537716707854569980516690246592112936796917504034711418465442893323439490171095447109457355598873230115172636184525449905022174536414781771,
        50576597458517451578431293746926099486388286246142012476814190030935689430726042810458344828563913001012415702876199708216875020997112089693759638454900092580746638631062117961876611545851157613835724635005253792316142379239047654392970415343694657580353333217547079551304961116837545648785312490665576832987,
        96868738830341112368094632337476840272563704408573054404213766500407517251810212494515862176356916912627172280446141202661640191237336568731069327906100896178776245311689857997012187599140875912026589672629935267844696976980890380730867520071059572350667913710344648377601017758188404474812654737363275994871,
        4881261656846638800623549662943393234361061827128610120046315649707078244180313661063004390750821317096754282796876479695558644108492317407662131441224257537276274962372021273583478509416358764706098471849536036184924640593888902859441388472856822541452041181244337124767666161645827145408781917658423571721,
        18237936726367556664171427575475596460727369368246286138804284742124256700367133250078608537129877968287885457417957868580553371999414227484737603688992620953200143688061024092623556471053006464123205133894607923801371986027458274343737860395496260538663183193877539815179246700525865152165600985105257601565
        ]

def legendre_symbol(a, p):
    return pow(a, (p - 1) // 2, p)

for a in ints:
  if legendre_symbol(a, p) == 1:
    qr = a
    break

max(pow(qr,(p+1)//4, p), pow(-qr,(p+1)//4, p))


## Modular Square Root

En Símbolo de Legendre presentamos una forma rápida de determinar si un número es una raíz cuadrada módulo de un primo. Podemos ir más allá: existen algoritmos para calcular de manera eficiente dichas raíces. El mejor en la práctica se llama Tonelli-Shanks, que recibe su nombre divertido del hecho de que fue descrito por primera vez por un italiano en el siglo XIX y redescubierto de manera independiente por Daniel Shanks en la década de 1970.

Todos los primos que no son 2 son de la forma `p ≡ 1 mod 4` o `p ≡ 3 mod 4`, ya que todos los números impares obedecen a estas congruencias. Como se insinuó en el desafío anterior, en el caso `p ≡ 3 mod 4`, se puede [derivar](https://crypto.stackexchange.com/questions/20993/significance-of-3mod4-in-squares-and-square-roots-mod-n/20994#20994) directamente una fórmula realmente simple para calcular raíces cuadradas del pequeño teorema de Fermat. Eso nos deja todavía con el caso `p ≡ 1 mod 4`, por lo que se requiere un algoritmo más general.

En una congruencia de la forma `r^2 ≡ a mod p`, Tonelli-Shanks calcula `r`.

> El método Tonelli-Shanks no funciona para módulos compuestos (no primos). Encontrar raíces cuadradas módulo compuestos es computacionalmente equivalente a la factorización de números enteros, es decir, es un problema difícil.

El principal caso de uso de este algoritmo es encontrar las coordenadas de una curva elíptica. Su funcionamiento es algo complejo, por lo que no analizaremos los detalles. Sin embargo, es fácil encontrar implementaciones y Sage tiene una incorporada.

Encuentra la raíz cuadrada de `a` módulo del primo `p` de 2048 bits. Da la raíz más pequeña de las dos como respuesta.

Archivos del desafío:
- [output.txt](https://cryptohack.org/static/challenges/output_abe0beb359a950c8a0a9300897528a9d.txt)




In [None]:
a = 8479994658316772151941616510097127087554541274812435112009425778595495359700244470400642403747058566807127814165396640215844192327900454116257979487432016769329970767046735091249898678088061634796559556704959846424131820416048436501387617211770124292793308079214153179977624440438616958575058361193975686620046439877308339989295604537867493683872778843921771307305602776398786978353866231661453376056771972069776398999013769588936194859344941268223184197231368887060609212875507518936172060702209557124430477137421847130682601666968691651447236917018634902407704797328509461854842432015009878011354022108661461024768
p = 30531851861994333252675935111487950694414332763909083514133769861350960895076504687261369815735742549428789138300843082086550059082835141454526618160634109969195486322015775943030060449557090064811940139431735209185996454739163555910726493597222646855506445602953689527405362207926990442391705014604777038685880527537489845359101552442292804398472642356609304810680731556542002301547846635101455995732584071355903010856718680732337369128498655255277003643669031694516851390505923416710601212618443109844041514942401969629158975457079026906304328749039997262960301209158175920051890620947063936347307238412281568760161

def legendre_symbol(a, p):
    return pow(a, (p - 1) // 2, p)

def tonelli_shanks(a, p):
    if legendre_symbol(a, p) != 1:
        return None

    q, s = p - 1, 0
    while q % 2 == 0:
        q //= 2
        s += 1

    z = 2
    while legendre_symbol(z, p) != p - 1:
        z += 1

    m, c, t, r = s, pow(z, q, p), pow(a, q, p), pow(a, (q + 1) // 2, p)

    while t != 1:
        i = 0
        temp = t
        while temp != 1:
            temp = pow(temp, 2, p)
            i += 1
            if i == m:
                return None

        b = pow(c, 2 ** (m - i - 1), p)
        r = (r * b) % p
        t = (t * b * b) % p
        c = (b * b) % p
        m = i

    return r, p - r

tonelli_shanks(a, p)

## Chinese Remainder Theorem

El teorema del resto chino proporciona una solución única para un conjunto de congruencias lineales si sus módulos son coprimos.

Esto significa que, dado un conjunto de números enteros arbitrarios `a^i` y números enteros coprimos por pares `n^i`, se cumplen las siguientes congruencias lineales:

> Tenga en cuenta que "enteros coprimos por pares" significa que si tenemos un conjunto de enteros `{n^1, n^2, ..., n^i}`, todos los pares de enteros seleccionados del conjunto son coprimos: `mcd(n^i,n^j) = 1`.

```
x ≡ a^1 mod n^1
x ≡ a^2 mod n^2
……
x ≡ a^n mod n^n
```

Existe una solución única `x ≡ a mod N` donde `N=n^1 ⋅ n^2 ⋅ ... ⋅n^n.`

En criptografía, usamos comúnmente el Teorema del Resto Chino para ayudarnos a reducir un problema de números enteros muy grandes a un conjunto de varios problemas más sencillos.

Dado el siguiente conjunto de congruencias lineales:

```
x ≡ 2 mod 5
x ≡ 3 mod 11
x ≡ 5 mod 17
```

Encuentra el entero `a` tal que `x ≡ a mod 935`

> Comenzando con la congruencia con el módulo más grande, usamos que para `x ≡ a mod p` podemos escribir `x = a + k ⋅ p` para un entero arbitrario `k`.



In [None]:
N = 935

a = [2, 3, 5]
n = [5, 11, 17]

def mod_inverse(a, m):
    g, x, y = extended_gcd(a, m)
    if g != 1:
        raise ValueError("El inverso no existe")
    return x % m

def extended_gcd(a, b):
    if a == 0:
        return b, 0, 1
    g, x1, y1 = extended_gcd(b % a, a)
    x = y1 - (b // a) * x1
    y = x1
    return g, x, y

y = 0

for i in range(0, 3):
  m = N//n[i]
  y += ( mod_inverse(m%n[i], n[i]) * a[i] * m )

print(y % N)