中国剩余定理

1. 引言

中国剩余定理（Chinese Remainder Theorem，CRT），又名孙子定理，最早可见于中国南北朝时期（公元5世纪）的数学著作《孙子算经》卷下第二十六题，叫做“物不知数”问题，原文如下：

有物不知其数，三三数之剩二，五五数之剩三，七七数之剩二。问物几何？
即，一个整数除以三余二，除以五余三，除以七余二，求这个整数。

《孙子算经》中首次提到了同余方程组问题，以及以上具体问题的解法，因此在中文数学文献中也会将中国剩余定理称为孙子定理。

孙子定理是初等数论中的一个重要定理，凝结着中国古代数学家的智慧，在加密、秘密共享、数字签名等领域都有重要应用。

假设希望求解以下方程组：
$x\equiv 2(\mathrm{mod}5)$
$x\equiv 3(\mathrm{mod}7)$
若有一个解 $y$，则 $y+35$ 也是其解。因此，只需寻找模 $35$ 的解。通过穷举可以发现其唯一解为： $x\equiv 17(\mathrm{mod}35)$。

对于任意类似的方程组，中国剩余定理告诉我们总是存在一个模某一特定模数的唯一解，并描述了如何高效地找到该解。

中国剩余定理：设 $p,q$ coprime互质。则方程组：
$x\equiv a(\mathrm{mod}p)$
$x\equiv b(\mathrm{mod}q)$
在模 $pq$ 意义下对 $x$ 有唯一解。
反之亦成立：给定 $x\in {\mathbb{Z}}_{pq}$，可以将 $x$ 分别对 $p$ 和 $q$ 取模，得到上述形式的两个方程。

证明：
令 $p_1=p^{-1}(\mathrm{mod}q)$ 和 $q_1=q^{-1}(\mathrm{mod}p)$。由于 $p,q$ 互质，这样的逆元必然存在。声明，如果 $y$ 是满足以下关系的整数：
$$y\equiv a\cdot q\cdot q_1+b\cdot p\cdot p_1(\mathrm{mod}pq)$$
则 $y$ 同时满足以下两个方程：

• 模 $p$ 意义下，有 $y\equiv a\cdot q\cdot q_1\equiv a(\mathrm{mod}p)$，因为 $q\cdot q_1\equiv 1(\mathrm{mod}p)$。
• 模 $q$ 意义下，类似地可得 $y\equiv b(\mathrm{mod}q)$。

因此，$y$ 是 $x$ 的解。

接下来，证明在模 $pq$ 意义下没有其他解：

• 若 $z\equiv a(\mathrm{mod}p)$，则 $z-y$ 是 $p$ 的倍数；
• 若 $z\equiv b(\mathrm{mod}q)$，则 $z-y$ 也是 $q$ 的倍数。
• 由于 $p,q$ 互质，得 $z-y$ 是 $pq$ 的倍数，即 $z\equiv y(\mathrm{mod}pq)$。∎

该定理表明，可以用一个 ${\mathbb{Z}}_p$ 和一个 ${\mathbb{Z}}_q$ 的元素表示 ${\mathbb{Z}}_{pq}$ 的一个元素，反之亦然。换句话说，${\mathbb{Z}}_{pq}$ 和 ${\mathbb{Z}}_p\times {\mathbb{Z}}_q$ 之间存在双射。如：

• 可以将 $17\in {\mathbb{Z}}_{35}$ 表示为 $(2,3)\in {\mathbb{Z}}_5\times {\mathbb{Z}}_7$。
• 也可以将 $1\in {\mathbb{Z}}_{pq}$ 表示为 $(1,1)\in {\mathbb{Z}}_p\times {\mathbb{Z}}_q$。

事实上，这种对应关系不仅仅是重新标记。假设 $x,y\in {\mathbb{Z}}_{pq}$ 分别对应于 $(a,b),(c,d)\in {\mathbb{Z}}_p\times {\mathbb{Z}}_q$。通过简单推导可知，$x+y$ 对应于 $(a+c,b+d)$，而 $xy$ 对应于 $(ac,bd)$。

2. 中国剩余定理应用

中国剩余定理应用场景可为：

• 若需要对 $x\in {\mathbb{Z}}_{pq}$ 执行大量计算（如 RSA 签名和解密），可以先将 $x$ 转换为 $(a,b)\in {\mathbb{Z}}_p\times {\mathbb{Z}}_q$，在 $a$ 和 $b$ 上完成所有计算后再转换回去。
• 这通常更高效，因为对于许多算法，输入大小翻倍会导致运行时间超过翻倍。

如：

• 计算 $17\times 17(\mathrm{mod}35)$，可以在 ${\mathbb{Z}}_5\times {\mathbb{Z}}_7$ 中计算 $(2\times 2,3\times 3)=(4,2)$，然后通过中国剩余定理找到 $(4,2)$ 对应的值是 $9(\mathrm{mod}35)$。

3. 通常形式的中国剩余定理

通常形式的中国剩余定理为：

• 令 $m_1,\dots ,m_n$ 两两互质（即当 $i\ne j$ 时 $\gcd (m_i,m_j)=1$）。则 $n$ 个方程组成的系统：
  $x\equiv a_1(\mathrm{mod}{m}_1)$
  $\cdots$
  $x\equiv a_n(\mathrm{mod}{m}_n)$
  在模 $M=m_1\cdots m_n$ 意义下对 $x$ 有唯一解。

证明：这可以从前面的中国剩余定理形式通过归纳法轻松得出，或者可以直接写出解：
定义 $b_i=M/m_i$（即除 $m_i$ 外所有模数的乘积），以及 $b_i^{\prime }=b_i^{-1}(\mathrm{mod}{m}_i)$。通过类似的推导，可得
$$x\equiv \sum _{i=1}^n{a}_i{b}_i{b}_i^{\prime }(\mathrm{mod}M)$$
是唯一解。∎

3.1 Prime Powers First

通常形式的中国剩余定理的一个重要推论是：

• 在研究一般模算术时，可以首先研究模素数幂的情况，然后应用中国剩余定理将结果推广。

对于任意整数 $n$，将其分解为素数因子 $n=p_1^{k_1}\cdots p_m^{k_m}$，然后用中国剩余定理得到：
$${\mathbb{Z}}_n={\mathbb{Z}}_{p_1^{k_1}}\times \cdots \times {\mathbb{Z}}_{p_m^{k_m}}$$
在证明 ${\mathbb{Z}}_{p^k}$ 中的statement声明时，从 ${\mathbb{Z}}_p$ 开始，逐步递归到 ${\mathbb{Z}}_{p^k}$。因此，最重要的情况是研究 ${\mathbb{Z}}_p$。

参考资料

[1] The Chinese Remainder Theorem
[2] 百度百科 孙子定理