原文地址 [zhuanlan.zhihu.com](https://zhuanlan.zhihu.com/p/523658036)
# 1. 离散对数问题
---------

首先，我们来看一下，什么是离散对数难题？

如果对于一个整数 $b$ ，和质数 $p$ 的一个原根 $a$ ，可以找到一个唯一的指数 $i$ ，使得：

$b = a^i \pmod p$ 其中  $0\leq i\leq p-1$  成立，那么指数 $i$ 称为 $b$ 的以 $a$ 为基数的模 $p$ 的**离散对数**。

**离散对数难题**是指：

当已知一个大质数 $p$ 和它的一个原根 $a$ ，如果给定一个 $b$ ，要计算 $i$ 的值是相当困难的。

这里，我们思考三个问题：

**什么是原根**？**为什么要用原根和大素数**？**计算离散对数为什么困难以及困难度如何**？

下面我们围绕这三个问题展开。

# 2. 基本概念
-------

### 2.1 原根

在[数论](https://link.zhihu.com/?target=https%3A//zh.m.wikipedia.org/wiki/%25E6%2595%25B0%25E8%25AE%25BA)，**原根** [[1]](#ref_1) 是一个很重要的概念。它的定义如下：

若 $n,a$为正整数，且 $n,a$ 互质，令 $a^{d}\equiv1\pmod n$，如果用$\delta(n,a)$ 表示使该式成立的最小的正整数 $d$（即$a$关于模$n$的阶），此时如果 $d=\varphi(n)$, 则称 $a$ 为模 $n$ 的原根。

上式中， $\varphi(n)$ 指的是**欧拉函数（见 2.2）**。

$a^{d}\equiv1\pmod n \Leftrightarrow a^d\;(mod\;n) = 1\;(mod\;n) = 1$

**[数论阶](https://baike.baidu.com/item/%E6%95%B0%E8%AE%BA%E9%98%B6/1245571)**：对于 $(a,\;n)\;=\;1$ 的整数，满足 $a^r\;\equiv\;1(mod\;n)$ 的最小整数 $r$，称为 $a$ 模 $n$ 的阶

#### 2.1.1原根的性质
（1）当$(a,\;m)\;=\;1$时，有$ord_ma\;|\;\varphi(m)$，即$a$关于$m$的阶一定是$\varphi(m)$的因数，并且当$m$是素数时存在$\varphi(m-1)$个使得$ord_ma=\varphi(m)$成立的a。\
（2）设整数$𝑚 > 1$, 如果$𝑚$有原根，那么$𝑚$必为下列诸数之一： $2, 4, p^{\alpha}, 2p^{\alpha}$\
（3）当$𝑚$为下列诸数之一：$2,\;4,\;p^{\alpha},\;2p^{\alpha}$, 则$m$有原根\
（4）设整数𝑚 > 1, 则𝑚有原根当且仅当 $𝑚\;=\;2,\;4,\;p^{\alpha},\;2p^{\alpha}$ 
>> 这里$p$是奇素数(即任何大于$2$的素数), $\alpha$是正整数

事实上, 求 $p^{\alpha},\;2p^{\alpha}$ 的原根可以归结为求𝑝的原根, 下面的推论给出了归结方法：\
（5）设$p$是一个奇素数
>>（a）若$g$是$p$的原根，那么当$g^{p-1}\;\not\equiv\;1\;(mod\;p^2)$时，$g$ 是 $p^2$ 的原根；当$g^{p-1}\;\equiv\;1\;(mod\;p^2)$ 时，$g+p$ 是 $p^2$ 的原根\
>>（b）若$g$ 是 $p^2$ 的原根，那么$g$也是$p_\alpha(\alpha \; \ge \; 3)$的原根\
>>（c）若$g$也是$p^\alpha(\alpha \; \ge \; 1)$的原根，那么当$g$是奇数时，$g$是$2p^{\alpha}$的原根；当$g$为偶数时，$g+p^{\alpha}$是$2p^{\alpha}$的原根


#### 2.1.2 原根的计算
（1）设整数$m>2$，$(g,\;m)=1$，且 $p_1,\;p_2\;,...,\;p_k$ 是 $\varphi(m)$ 的所有不同的质因数。\
则 $g$ 是 $m$ 的原根当且仅当对任意 $1 \le i \le k$ 有 $g^{\frac{\varphi(m)}{p_i}} \not\equiv\;1\;(mod\;m)$

### **2.2 欧拉函数**

欧拉函数是以数学家欧拉的名字命名的函数，定义如下：

对于正整数 $n$，欧拉函数 $\varphi(n)$ 是小于或者等于 $n$ 的正整数中与 $n$ 互质的数的数目。

举个例子：

如果 $n=7$ ，那么小于等于 7 的正整数中和 7 互质的数有 1，2，3，4，5，6 一共 6 个数，即 $\varphi(7)=6$ ；

如果 $n=10$ ，那么小于等于 10 的正整数中和 10 互质的数有 1，3，7，9 一共 4 个数，即 $\varphi(10)=4$；

由此可见**欧拉函数**实际上表示的是一个正整数 $n$ ，有多少个小于它并且和它互质的正整数，即一个具体的数量。


In [3]:
import math
# 欧拉函数：根据定义
def phi(n):
    ct = 0
    for i in range(1, n):
        if math.gcd(i, n) == 1:
            ct += 1
    return ct

# tests
numbers = [7, 10, 8]
answers = [6, 4, 4]
for n, a in zip(numbers, answers):
    print('phi({}) = {}, ans = {}'.format(n, phi(n), a))

phi(7) = 6, ans = 6
phi(10) = 4, ans = 4
phi(8) = 4, ans = 4


In [24]:
# 求不含自身的因数集合
def factors(n):
    fac = list()
    for i in range(1, n):
        if n % i == 0:
            fac.append(i)
    return fac
          
# 按定义计算最小原根
def min_primitive_root(n):
    phin = phi(n)
    factors_ = factors(phin)
    for a in range(2, n):
        if math.gcd(a, n) != 1: # 互质
            continue
        flag = True
        for d in factors_:
            x = a ** d % n
            if x == 1:
                flag = False
                break
        # 所有d | phi(n), n != phi(n), a^d (mod n) != 1
        if flag:
            return a # 由原根的计算（1）一定有：a^phi(n) (mod n) = 1
    return None

# 按原根的计算（1）计算最小原根
def min_primitive_root1(n):
    phin = phi(n)
    factors_ = integer_factorization(phin)
    # 预处理 phin/pi
    factors_ = [int(phin / fac) for fac in factors_]
    for a in range(2, n):
        if math.gcd(a, n) != 1: # 互质
            continue
        flag = True
        for d in factors_:
            x = a ** d % n
            if x == 1:
                flag = False
                break
        # 所有d | phi(n), n != phi(n), a^d (mod n) != 1
        if flag:
            return a # 由欧拉定理一定有：a^phi(n) (mod n) = 1
    return None

numbers = list(range(2, 32))
numbers.append(41)
numbers.append(761)
answers = [None, 2, 3, 2, 5, 3, None, 2, 3,\
           2, None, 2, 3, None, None, 3, 5, 2, None,\
           None, 7, 5, None, 2, 7, 2, None, 2, None, 3, 6, 6]
ok_ct = 0
for n, expected in zip(numbers, answers):
    phin = phi(n)
    a = min_primitive_root(n)
    a1 = min_primitive_root1(n)
    assert(a == a1)
    state = 'Bad'
    if a == expected:
        state = 'Ok'
        ok_ct += 1
    print('n={}: phi = {}, a = {}, expected = {}, state = {}'\
        .format(n, phin, a, expected, state))
print('OK: {:.2f}%'.format(ok_ct * 1.0/ len(numbers) * 100))

n=2: phi = 1, a = None, expected = None, state = Ok
n=3: phi = 2, a = 2, expected = 2, state = Ok
n=4: phi = 2, a = 3, expected = 3, state = Ok
n=5: phi = 4, a = 2, expected = 2, state = Ok
n=6: phi = 2, a = 5, expected = 5, state = Ok
n=7: phi = 6, a = 3, expected = 3, state = Ok
n=8: phi = 4, a = None, expected = None, state = Ok
n=9: phi = 6, a = 2, expected = 2, state = Ok
n=10: phi = 4, a = 3, expected = 3, state = Ok
n=11: phi = 10, a = 2, expected = 2, state = Ok
n=12: phi = 4, a = None, expected = None, state = Ok
n=13: phi = 12, a = 2, expected = 2, state = Ok
n=14: phi = 6, a = 3, expected = 3, state = Ok
n=15: phi = 8, a = None, expected = None, state = Ok
n=16: phi = 8, a = None, expected = None, state = Ok
n=17: phi = 16, a = 3, expected = 3, state = Ok
n=18: phi = 6, a = 5, expected = 5, state = Ok
n=19: phi = 18, a = 2, expected = 2, state = Ok
n=20: phi = 8, a = None, expected = None, state = Ok
n=21: phi = 12, a = None, expected = None, state = Ok
n=22: phi = 10, a = 7


### 2.3 欧拉定理

**若** $n,a$ **为正整数，且** $n,a$ **互质，则** $a^{\varphi(n)}\equiv1\pmod n$

这个公式的意思是， $a$ 的 $\varphi(n)$ 次方模 $n$ 余 1。

举个例子验证一下：

令$a=3,\;n=7$ ，上面已经知道 $\varphi(7)=6$ ，那么 $3^{\varphi(7)} = 3^{6} = 729$, $729$ 除以 $7$ 商 $104$ 余 $1$，和欧拉定理描述的一致。

令$a=7,\;n=10$ ，上面已经知道 $\varphi(10)=4$ ，那么 $7^{\varphi(10)}=7^{4}=2401$，$2401$ 除以 $10$ 商 $24$ 余 $1$，也符合欧拉定理。

# 3. 原理分析
-------

### 3.1 为什么要用原根

原根有一个很重要的性质：原根是有限循环群的生成元。

具体地，若 $p$ 为素数， $a$ 为模 $p$ 的原根，则 $a,a^2,a^3...a^{p-1}(mod\ p)$的取值，是 $\{1,...,p-1\}$ 之间的所有整数，且不重复。其中， $\{1,...,p-1\}$ 构成有限循环群 $G$ 。

也就是说， $p$ 的生成元的乘方结果，与 $\{1,P-1\}$ 的数字是**一一对应**的。正是因为具有这样的一一对应的关系，才能进行加解密中的指数运算。

这里引申两个问题：

**一，为什么说 $G$ 是有限循环群？**

根据[费马小定理](https://link.zhihu.com/?target=https%3A//zh.m.wikipedia.org/zh-hans/%25E8%25B4%25B9%25E9%25A9%25AC%25E5%25B0%258F%25E5%25AE%259A%25E7%2590%2586)可知，假如 ${\displaystyle a}$ 是一个整数， ${\displaystyle p}$ 是一个质数，那么有 ${\displaystyle a^{p}\equiv a{\pmod {p}}}$。换言之， $a^{p}$ 取值的循环周期是 $p-1$ 。

**二，如果 $a$ 不是原根，会怎么样？**

如果 $a$ 不是原根，则 $a$ 的乘方结果，和 $\{1,P-1\}$ 不是一一对应的，会有重复，也就是说，会有多对一的情况，因此是无法通过指数运算来实现加解密的。

**注**：本小节（3.1）是我个人的一些理解，如有错漏，欢迎交流探讨。

### 3.2 为什么是大素数

首先，离散对数问题的计算，没有有效的通用算法，一种朴素的计算方式叫做 Trial multiplication，简单说就是**暴力破解 (brute-force)**，把所有的可能值都算出来比对。

其次，在暴力破解的基础上还有很多其他的算法，例如 **Baby-step Giant-step 算法**，加速了 Trial multiplication 算法，Baby-step Giant-step 算法也被认为是最优的。

暴力破解的时间复杂度是 $O(p)$，而 Baby-step Giant-step 的时间复杂度是 $O(\sqrt{p})$。

显然，这个素数越大，离散对数的求解难度也就越高。

这里引申一下，我们说的**多项式时间复杂度**，是指复杂度是关于位数 $n$ 的多项式，而不是关于 $p$ 的。在加密算法里面，那些特别构造的椭圆曲线群里面，**阶数是素数的群**上目前并没有找到更优的计算离散对数的算法。这意味着，在素数阶循环群上，离散对数问题的时间复杂度至少是**指数增长**（因为 $p$ 是随 $n$ 指数增长的）的。


# 4. 离散对数在密码学中的应用
---------------

目前三大公钥加密算法（RSA、离散对数、椭圆曲线）都依赖数论与群论的知识，RSA 依赖大数因数分解的困难性，而离散对数则依赖有限域上的离散指数的难计算性保障其安全。

离散对数加密算法包括 [ElGamal 加密算法](https://zhuanlan.zhihu.com/p/517009576)、[Diffie-Hellman 密钥交换算法](https://zhuanlan.zhihu.com/p/423321261)等。

另外，椭圆曲线也属于广义上的离线对数加密算法。

##  4.1 DH密钥协商
协商流程：\
![DH密钥协商](./images/001-DH密钥协商路程图.png)

原理说明：
>>其中私钥$c$、$s$和共享$K$是保密的，攻击者即使能能够获取到公钥$C$、$S$、原根$a$和模数$p$，但是试图从$K = S^x (mod\;p)$或$K = C^x (mod\;p)$获取$K$都得面对离散对数难题（大素数下）

证明：Client 和 Server 的$K$相同, 即$K_c \;= \; K_s$
>> $$ \begin{aligned} 
>> K_c &= S^c (mod\;p) = (a^s(mod \;p))^c (mod \;p)  \\
>> &= (a^c)^s\;(mod\;p) \quad\quad\quad 使用了模的运算规则（3）\\
>> &= a^{cs}\;(mod\;p) &
>> \end{aligned}$$
>> 同理：$$K_s = C^s (mod\;p) = (a^c(mod \;p))^s (mod \;p) = (a^s)^c\;(mod\;p) = a^{cs}\;(mod\;p)$$ \
>> 故 $K_s = K_c$


【参考】  
[1] [知乎 - 离散对数问题（欧拉函数，欧拉定理，原根）](https://zhuanlan.zhihu.com/p/106967180)  
[2][cnblogs：证明与计算 (2): 离散对数问题 (Discrete logarithm Problem, DLP)](https://link.zhihu.com/?target=https%3A//www.cnblogs.com/math/p/discrete-log.html)

—— 更多内容，请访问专栏：【[隐私计算](https://www.zhihu.com/column/c_1433891764852158464)】



# 5.附录
## 5.1 数论概念

1. **[同余法则](https://zh.wikipedia.org/wiki/%E5%90%8C%E9%A4%98)**：两个整数$a,\;b$，若它们除以正整数$m$所得的余数相等(即 $(a\;mod\;m) = (b\;mod\;m$) )，则称$a,\;b$对模$m$同于，这个式子叫做同余式\
记作：$a \;\equiv\; b\;(mod \;m)$ \
读作$a$同于$b$模$m$，或读作$a$与$b$关于模$m$同余\
<b>定理(判定的充要条件)</b>: $$a\;\equiv\;b\;(mod\;m)\;\Leftrightarrow\;(a-b)\;|\;m\;,符号|表示整除(m是被除数)$$
<b>[性质](https://blog.csdn.net/linkfqy/article/details/55505413)</b> \
性质1：同余关系是等价关系\
自反性：$a\;\equiv\;a(mod\;m)$\
对称性：若$a\equiv\;b(mod\;m)$，那么$b\;\equiv\;a(mod\;m)$\
传递性：若$a\;\equiv\;b(mod\;m)$，$b\;\equiv\;c(mod\;m)\;\Rightarrow\;a\;\equiv\;c(mod\;m)$\
<br>
性质2：模算数运算\
（1）加减运算：若$a\;\equiv\;b(mod\;m)$，$c\;\equiv\;d(mod\;m)$，那么$a\;\pm\;c\;\equiv\;b\;\pm\;d(mod\;m)$\
证明：设$a=q_am+r_1,\;b=q_bm+r_1,\;c=q_cm+r_2,\;d=q_dm+r_2$，其中$q_x,\;r_x$亦为整数，则$a+c\;(mod\;m) = ((q_a+q_c)m + r_1 + r_2)\;(mod\;m) = r_1 + r_2(mod\;m),\;b+d\;(mod\;m) = ((q_b+q_d)m + r_1 + r_2)\;(mod\;m) = r_1 + r_2(mod\;m)$，故$a\;\pm\;c\;\equiv\;b\;\pm\;d(mod\;m)$\
<br>
（2）乘法运算：若$a\;\equiv\;b\;(mod\;m),\;c\;\equiv\;d\;(mod\;m)$，那么$ac\;\equiv\;bd\;(mod\;m)$\
证明：设$a=q_am+r_1,\;b=q_bm+r_1,\;c=q_cm+r_2,\;d=q_dm+r_2$，其中$q_x,\;r_x$亦为整数，则$ac\;(mod\;m) = ((q_aq_c + q_ar_2 + q_cr_1)m + r_1 r_2)\;(mod\;m) = r_1*r_2(mod\;mod),\;bd\;(mod\;m) = ((q_bq_d + q_br_2 + q_dr_1)m + r_1 r_2)\;(mod\;m) = r_1*r_2(mod\;m)$，故$ac\;\equiv\;bd\;(mod\;m)$ \
<br>
（3）幂运算：若$a\;\equiv\;b\;(mod\;m)$，则$a^k\;\equiv\;b^k\;(mod\;m)$，$k$为非负整数\
证明（数学归纳法）：\
$n=1$时，成立\
假设$n=k-1$时成立，则有$a^{k-1}\;\equiv\;b^{k-1}\;(mod\;m)$\
当$n=k$时，由$a\;\equiv\;b\;(mod\;m)$和乘法运算得$a^k\;\equiv\;b^k\;(mod\;m)$\
<br>
<font color=red>（4）：没有除法运算</font> \
<br>
性质3：设$d\ge1,\;d\;|\;m$，则$a\;\equiv\;b\;(mod\;m)\Rightarrow a\;\equiv\;b\;(mod\;d)$\
证明：设$a=q_1m+r,\;b=q_2m+r,\;m=kd\Rightarrow a=q_1kd + r,\;b=q_2kd+r$，故$a-b=(q_1-q_2)kd$，从而有$(a-b)\;|d\Rightarrow a\;\equiv\;b\;(mod\;d)$，$k$为正整数\
<br>
性质4：设$d\ge1$，则$a\;\equiv\;b\;(mod\;m)\Leftrightarrow da\;\equiv\;db\;(mod\;dm)$\
证明：设$da\;\equiv\;db\;(mod\;dm)\Leftrightarrow d(a-b)|dm \Leftrightarrow (a-b)|m \Rightarrow a\;\equiv\;b\;(mod\;m) $\
<br>
性质5：若c与m互素，则有$a\;\equiv\;b\;(mod\;m)\Leftrightarrow ca\;\equiv\;cb\;(mod\;m)$\
证明：\
充分性：根据自反性质有 $c\;\equiv\;c\;(mod\;m)$，故结合乘法运算有$ca\;\equiv\;cb\;(mod\;m)$\
必要性：$ca\;\equiv\;cb\;(mod\;m)\Rightarrow c(a-b)\;|\;m\Rightarrow c|m\; 或 \;(a-b)\;|\;m$，又gcd(c, m) = 1, 故有$(a-b)\;|\;m\Rightarrow a\;\equiv\;b\;(mod\;m) $

2. **[互质](https://zh.wikipedia.org/wiki/%E4%BA%92%E8%B3%AA)**：互质（英文：Coprime，符号：$\perp$，又称互质、relatively prime、mutually prime、co-prime）。在数论中，如果两个或两个以上的整数的最大公约数是$1$，则称它们为互质。依此定义：\
如果数域是正整数，那么$1$与所有正整数互质。\
如果数域是整数 那么$1$和$-1$与所有整数互质，而且它们是仅有与$0$互质的整数[5]。\
两个整数a与b互质，记为$a \perp b$ \
<b>判定</b>：\
（1）两个相邻的自然数一定互质（0和1也互质）\
（2）$gcd(a, \; b) = 1\Rightarrow a\perp b$ \
（3）两个不相同的质数一定是互质数。如：7和11、17和31是互质数\
（4）相邻的两个奇数一定是互质数。如：5和7、75和77是互质数\
（5）1和其他所有的自然数一定是互质数。如：1和4、1和13是互质数\
（6）两个数中的较大一个是质数，这两个数一定是互质数。如：3和19、16和97是互质数\
（7）较大数比较小数的2倍多1或少1，这两个数一定是互质数。如：13和27、13和25是互质数\
（8）分解判断法：

>>如果两个数都是合数，可先将两个数分别分解质因数，再看两个数是否含有相同的质因数。如果没有，这两个数是互质数。如：130和231，先将它们分解质因数：130＝2×5×13，231＝3×7×11。分解后，发现它们没有相同的质因数，则130和231是互质数。

（9） 求差判断法:
>>如果两个数相差不大，可先求出它们的差，再看差与其中较小数是否互质。如果互质，则原来两个数一定是互质数。如：194和201，先求出它们的差，201－194＝7，因7和194互质，则194和201是互质数。
（10）求商判断法：
>>用大数除以小数，如果除得的余数与其中较小数互质，则原来两个数是互质数。如：317和52，317÷52＝6……5，因余数5与52互质，则317和52是互质数。

## 5.2 [质因数分解](https://baike.baidu.com/item/%E5%88%86%E8%A7%A3%E8%B4%A8%E5%9B%A0%E6%95%B0/2253749)
把一个合数分解成若干个质因数的乘积的形式，即求质因数的过程叫做分解质因数。 分解质因数只针对合数。\
例如 $24 \; = \; 2 ^ 3 * 3$、$2 = 2^1$\
推论：对一个正整数 $n$ 来说，如果它存在 $[2,n]$ 范围内的质因子，要么这些质因子全部小于等于 $\sqrt n$ ，要么只存在一个大于 $\sqrt n$ 的质因子，而其余质因子全部小于等于 $\sqrt n$ \
证明（反正法）：假设存在多于一个大于 $\sqrt n$ 的质因数，其中的任意两个为$a,b > \sqrt n$，则有质因数分解$n \;= \; a ^ x b^yR > ({\sqrt n})^2R = nR >= n \Rightarrow n > n$,与$n\;=\;n$矛盾，故假设不成立。其中$R$表示剩余的质因数分解，且 $R \ge 1$ 

**朴素算法**实现如下：

In [21]:
import math
# O(sqrt(n))
def integer_factorization(n):
    r = math.ceil(math.sqrt(n))
    fac = []
    # step 1: [1, r]
    for i in range(2, r +1):
        if n % i == 0:
            fac.append(i)
            while n % i == 0:
                n = n/i
    # step 2: [r + 1, n]
    if n > 1:
        fac.append(n)
    return fac

# cell tests
numbers = [1, 2, 3, 5, 8, 9, 11, 12, 24, 63, 1024, 8232, 760, 100000007 * 100000037]
excepted = [[], [2], [3], [5], [2], [3], [11], [2, 3], [2, 3], [3, 7], [2], [2, 3, 7], [2, 5, 19], [100000007, 100000037]]
ok_ct = 0
for n, e in zip(numbers, excepted):
    result = integer_factorization(n)
    ok = (e == result)
    print('integer_factorization({}): {}, except={}, ok = {}'\
        .format(n , result, e, ok))
    if ok:
        ok_ct += 1
print('OK: {:.2f}%'.format(ok_ct * 1.0 / len(numbers) * 100))

integer_factorization(1): [], except=[], ok = True
integer_factorization(2): [2], except=[2], ok = True
integer_factorization(3): [3], except=[3], ok = True
integer_factorization(5): [5], except=[5], ok = True
integer_factorization(8): [2], except=[2], ok = True
integer_factorization(9): [3], except=[3], ok = True
integer_factorization(11): [11], except=[11], ok = True
integer_factorization(12): [2, 3], except=[2, 3], ok = True
integer_factorization(24): [2, 3], except=[2, 3], ok = True
integer_factorization(63): [3, 7], except=[3, 7], ok = True
integer_factorization(1024): [2], except=[2], ok = True
integer_factorization(8232): [2, 3, 7], except=[2, 3, 7], ok = True
integer_factorization(760): [2, 5, 19], except=[2, 5, 19], ok = True
integer_factorization(10000004400000259): [100000007, 100000037.0], except=[100000007, 100000037], ok = True
OK: 100.00%


朴素算法在面对2048位的大整数时，需要进行$ \sqrt {2^{2024}} \;= \; 2 ^{1024}$次计算，即使每秒1,102PB的超级计算机也需要：

In [17]:
n =  2 ** math.floor(2048/2)
flops = 1102 * 2 ** 50 # 1102PB
p = 21100 # kW
years = n / flops / (24 * 60 * 60 * 365)
power = n / flops / (60 * 60) * p
print('{} years, {} kWh'.format(years, power))

4.59438700894071e+282 years, 8.492081171845652e+290 kWh



**其他算法**：Pollard Rho 算法

## 5.3 模运算规则
模运算法则：\
（1）$(a \;\pm \;b)\;(mod \;p) = (a \;(mod\;p) + b \;(mod \;p)) \; (mod\; p) $\
（2）$(a \;* \;b)\;(mod \;p) = (a \;(mod\;p) * b \;(mod \;p)) \; (mod\; p) $\
（3） $a^b \;(mod\;p) = (a\;(mod\;p))^b\;(mod\;p)$
>>证明：设$a = xp + r$，则
>>$a^b = \underset{k=0}{\overset{b}{\sum}}\dbinom{b}{k}(xp)^kr^{n-k} = r^b + \underset{k=1}{\overset{b}{\sum}}\dbinom{b}{k}(xp)^kr^{b-k} = r^b + p\underset{k=1}{\overset{b}{\sum}}\dbinom{b}{k}x^kp^{k-1}r^{b-k}$，故$a^b \;(mod\;p)=r^b\;(mod\;p)$ \
>>又$(a\;(mod\;p))^p\;(mod\;p) = r^b\;(mod\;p)$，故 $a^b \;(mod\;p) = (a\;(mod\;p))^b\;(mod\;p)$成立

结合律：
$$\begin{aligned}&((a+b) \;\% \;p + c) \;\% \;p = (a + (b+c) \;\% \;p) \;\% \;p \tag 4 \end{aligned}$$
>> 证明：
>> 设$a=x_ap+r_a, \quad b = x_bp+r_b, \quad c = x_cp+r_c$，其中$x_*,r_*$为整数，且$0\le r_* < p$，则：
>> $$\begin{aligned}
>> 左式 &=(r_a + r_b + c) \;\% \;p \\
>> &= (r_a + r_b + x_cp+r_c) \;\% \;p \\
>> &= (r_a + r_b + +r_c) \;\% \;p
>> \end{aligned} $$
>> 同理：$右式 = (r_a + r_b + +r_c) \;\% \;p$，故加法结合律成立

$$((a*b) \;\% \;p * c) \;\% \;p = (a * (b*c) \;\% \;p) \;\% \;p \tag 5$$
>> 证明：
>> $$\begin{aligned}
>> 左式 &= ((x_ax_bp^2 + x_ar_bp + r_ax_bp + r_ar_b) c)\;\%\;p \\
>> &=(x_cp(x_ax_bp^2 + x_ar_bp + r_ax_bp + r_ar_b) + r_cp(x_ax_bp + x_ar_b + r_ax_b) + r_ar_br_c) \;\%\;p \\
>> & = (r_ar_br_c) \;\%\;p
>> \end{aligned} $$
>> 同理 $右式= (r_ar_br_c) \;\%\;p$，故乘法结合律成立

交换律：
$$(a + b) \;\% \;p = (b+a) \;\% \;p \tag 6$$
$$(a*b) \;\% \;p = (b*a) \;\% \;p \tag 7$$    

分配律：
>> $$((a +b)\;\% \;p * c) \;\% \;p = ((a * c) \;\% p + (b * c) \;\% \;p) \;\% \;p \tag 8$$
>> $$\begin{aligned}
>> 左式 &= ((r_a + r_b)\;\%\;p*c )\;\%\;p \\
>> &= ((((r_a + r_b)\;\%\;p) \;\%\;p) * (c \;\%\;p)) \;\%\;p \quad\quad\quad 法则（2）\\
>> &= (((r_a + r_b) \;\%\;p) * r_c  \;\%\;p) \;\%\;p \\
>> &= ((r_a + r_b) * r_c) \;\%\;p
>> \end{aligned}$$
>> 对于右式：
>> $$\begin{aligned}
>> 右式 &= (r_ar_c \;\%\;p + r_br_c \;\%\;p) \;\%\;p \\
>> &= (r_ar_c + r_br_c ) \;\%\;p \quad\quad\quad 法则（1）\\
>> &= ((r_a + r_b)r_c) \;\%\;p
>> \end{aligned}$$
>> 
>> 故左右相等，分配律成立


参考
--

1.  [](#ref_1_0) 维基百科：原根 [https://zh.wikipedia.org/wiki/%E5%8E%9F%E6%A0%B9](https://zh.wikipedia.org/wiki/%E5%8E%9F%E6%A0%B9)