数论算法讲义5章(原根与指标)

第 5 章 原根与指标
（一） 内容
● 指数 ● 原根
● 有原根的整数 ● 指标（对数）
（二） 重点
● 原根及其意义 ● 有原根的整数的条件 ● 指标及其性质
5.1 指数及其基本性质
准备知识：
（1） 欧拉定理：m ＞1，(a,m)＝1，则
()m a ϕ≡1（mod m ）
（2） 问题：
①()m ϕ是否是使得上式成立的最小正整数？ ②该最小正整数有何性质？ (一) 指数和原根概念
【定义5.1.1】（定义1）设m ＞1，(a,m)＝1，则使得
e a ≡1（mod m ）
成立的最小正整数e 叫做a 对模m 的指数（或阶），记作
m ord (a)。

若a 的指数e ＝()m ϕ，则a 叫做模m 的原根。

(二) Diffie —Hellman 密钥交换算法
全局公开量
q 素数
α q 的原根（α<q ）
交换公开密钥 A →B ： A Y B →A ： B Y
例如：
● 素数q ＝353，原根α＝3
● A 选 A X ＝97， 计算A Y ≡973≡40 mod 353 ● B 选 B X ＝233， 计算B Y ≡2333≡248 mod 353 ● A 与B 交换
● A 计算密钥 K ≡97248≡160 mod 353 ● B 计算密钥 K ≡23340≡160 mod 353
(三) 用定义求指数和原根
【例1】（按定义求指数和原根）（例1）m ＝7，则ϕ(7)＝6。

且
11≡1，32≡1，63≡1，34≡1，65≡1，26≡1（mod 7）
故对模数7而言，1，2，3，4，5，6的指数分别为1，3，6，3，6，2。

列表表示为
因此，3，
【例2】（快速求指数）（例2）m ＝14＝2·7， ϕ(14)＝6，则
11≡1，33≡－1，35≡－1，39≡1，311≡1，213≡1（mod
7）
列表
故3，5
【例3】（无原根的整数）（例3）m ＝15＝3·5， ϕ(15)＝8，则
同理，可知模数m ＝9时，其原根为2，5；而整数8则没有
原根。

也可以计算验证5是模3、6、9、18的原根。

(四) 指数的性质
【定理5.1.1】（定理1）设m ＞1，(a,m)＝1，d 为正整数，则
d a ≡1（mod m ） ⇔ m ord (a) │d
即d ≡0（mod m ord (a)）
（证）充分性：设m ord (a) │d ，则d ＝k ·m ord (a)，从而
d
a ≡()
a ord k m a
⋅≡()(
)k
a ord m a
≡1（mod m ）
必要性：反证：若d a ≡1且m ord (a) ┝d ，则由欧几里
得除法，有
d ≡m ord (a)·q ＋r ， 0＜r ＜m ord (a)
从而
r a ≡r
a ()(
)q
a ord m a
≡d
a
≡1（mod m ）
与m ord (a)的最小性矛盾。

【推论1】（推论1）m ord (a) │ϕ(m)。

意义：m ord (a)必是ϕ(m)的因子，故求m ord (a)只需计
算i a ，其中i │ϕ(m)。

【例】（用定理 5.1.1结论快速求指数及原根）（例7）求17ord (5)的值。

（解）ϕ(17)＝16，故由推论知只需计算d 5（mod 17），其中d ＝1，2，4，8，16（实际上165不必计算）。

15≡5，25≡8，45≡13≡－4，85≡16≡－1（mod 17） 所以，17ord (5)＝16，即5是模17的原根。

【例】求33ord (4)、33ord (5)、33ord (7)的值。

（解）ϕ(33)＝20，
故由推论知只需计算i 4、i 5、i 7（mod 33）即可，其中i ＝1, 2, 4, 5, 10。

54≡1（mod 33），55≡23（mod 33），105≡1（mod 33）， 57≡10（mod 33），107≡1（mod 33）
所以，33ord (4)＝5，33ord (5)＝10，33ord (7)＝10。

【推论2】（推论2）设p 是奇素数，2
1-p 也是奇素数，p
┝a ，则（原结论有误）
（1）若a 是模p 的二次剩余，则a 不是p 的原根，且当a ≡1（mod p ）时，p ord (a)＝1；当a ≠1（mod p ）时，p ord (a)
＝2
1-p ；
（2）若a 是模p 二次非剩余，则当a ≡p －1（mod p ）时，p ord (a)＝2；当a ≠p －1（mod p ）时，p ord (a)＝p －1。

（3）此时，p 有2
1-p －1＝23
-p 个原根。

（4）当2
1
-p ＝2为偶素数时，必有p ＝5，其平方剩余为
1和－1≡4，平方非剩余为2和3，且2和3是原根。

（证）由推论1，p ord (a)│ϕ(p)＝p －1＝2·2
1
-p ，
故p ord (a)可能为1, 2, 2
1
-p , p －1。

（1）a 是模p 二次剩余，则由二次剩余的充分必要条件知
21
p a -≡1（mod p ）
那么，由定理5.1.1知p ord (a)│21-p ，但2
1
-p 是素数，故
p ord (a)＝1或2
1
-p
而p ord (a)＝1的充分必要条件是a ≡1（mod p ），故结论成立。

（2）a 是模p 的二次非剩余，则由二次剩余的充分必要条件知
21
p a -≡－1（mod p ）
即p ord (a) ≠2
1
-p ，那么，只有
p ord (a)＝2或p －1
（p ord (a) 也不能为1，因为只有p ord (1)＝1，但1是平方剩余，不是非剩余）
而p ord (a)＝2的充分必要条件是a ≡p －1≡－1（mod p ），故结论成立。

（3）由第4章结论知，p 有2
1
-p 个平方非剩余，其中
只有p ord (p －1)＝2，其余的p ord (a)＝p －1，即原根有
2
1-p －1＝23
-p 个。

（4）显然。

【例】（例7）取p ＝11，验证推论2。

（解）首先，直接计算知：1，3，4，5，9是11的二次
剩余，2，6，7，8，10是模11的二次非剩余。

且有
11ord (1)＝1，11ord (3)＝11ord (4)＝11ord (5)＝11ord (9)＝5 11ord (2)＝11ord (6)＝11ord (7)＝11ord (8)＝10，11ord (10)＝
2
【性质1】（性质1）设(a,m)＝1。

（1）若b ≡a （mod m ），则m ord (b)＝m ord (a)。

（2）()1
ord -a
m ＝m ord
(a)。

（证）（1）已知b ≡a （mod m ），所以
()a ord m b ≡()a ord m a ≡1（mod m ）
所以m ord (b)│m ord (a)。

其次， ()
b ord m a
≡()
b ord m b
≡1（mod m ）
所以m ord (a)│m ord (b)。

∴ m ord (b)＝m ord (a)
（2）证法一：由()()
a ord 1m a -≡()()
1
a ord -m a
≡1（mod m ）
知m ord (1a -)│m ord (a);
由a 1
a -≡1（mod m ）知()
()
-1
a
ord 1-aa
m ≡1（mod m ），即
()-1
a ord a
m ()()-1
a ord 1-a m
≡1（mod m ），从而()-1
a ord a m
≡1（mod m ），
所以m ord (a)│m ord (1a -)。

证法二：因为k a ≡1（mod m ）的充分必要条件是
()k
1a -≡1（mod m ）
【例】（例8）已知整数39模17的指数为17ord (39)＝17ord (5)＝16。

则由此可知，整数7模17的指数为16，因为1
7-≡5（mod 17）。

【定理5.1.2】（定理2）设m ＞1，(a,m)＝1，则
1＝0
a ，a ，2
a ，…，()1
-a ord m a
模m 两两不同余。

特别，若a 是模m 的原根，则上述ϕ(m)个数构成模m 的简化剩余系。

（证）反证法。

若存在整数k ，l （0≤l ＜k ＜m ord (a)）使得
k a ≡l a （mod m ）
则由(a,m)＝1知
l k a -≡1（mod m ）
但0＜k －l ＜m ord (a)，与m ord (a)的最小性矛盾。

再设a 是模m 的原根，即m ord (a)＝ϕ(m)，则
1＝0
a ，a ，2
a ，…，()1
-m a
ϕ
模m 两两不同余。

由简化剩余系的等价条件知，上述ϕ(m)个数构成模m 的简化剩余系。

【例】（例9）整数{k
5│k ＝0,1,2,…,15}组成模17的简化
剩余系。

（解）直接计算得
【例】设模数m ＝18，选整数a ＝5和7，验证定理5.1.2的结论。

（解）ϕ(18)＝6，直接计算得
即{k
5│k ＝0,1,2,…,5}模18两两不同余，{k 7│k ＝0,1,2}模18两两不同余。

且知5是模18的原根，从而{k 5│k ＝0,1,2,…,5}组成模18的简化剩余系。

【定理5.1.3】（定理3）设m ＞1，(a,m)＝1，则
d a ≡k a （mod m ）
⇔ d ≡k （mod m ord (a)）
（证）首先
d ＝m ord (a) q ＋r ， 0≤r ＜m ord (a)，q ≥0 k ＝m ord (a) q '＋r '， 0≤r '＜m ord (a)，q '≥0
又()
a ord m a
≡1（mod m ），故
d
a ≡()(
)r
q
a ord a
a
m ≡r a ，k a ≡r a '
（mod m ）
必要性：已知d
a ≡k
a （mod m ） ⇒ r
a ≡r a '
（mod m ）
由定理5.1.2的证明过程知， r ＝r '，即d ≡k （mod m ord (a)）（否则，设r>r '，则有r r a '
-≡1（mod m ），且r-r '<m ord (a)，矛盾）
充分性： 若d ≡k （mod m ord (a)），则
d ＝k ＋m ord (a)t
∴ d a ≡()(
)t
a ord k
m a a ≡k
a
（mod m ）
【推论】n a ≡()()
a ord n m a mod （mod m ）
【例】（例10）1000000
2≡10
2＝100（mod 231），因为
231ord (2)＝30，1000000≡10（mod 30）。

【例】（例11）』因为7ord (2)＝3，所以2002
2≡()
3mod 20022
≡1
2＝2（mod 7）。

【定理5.1.4】（d
a 的指数）（定理4）设整数m ＞1，(a,m)
＝1，整数d ≥0，则
m ord (d
a )＝
()()()
d a a m m ,ord ord （证）由定义5.1.1知
()d
m a ord d ⋅a
≡()()d
m
a ord d a ≡1（mod m ）
由定理5.1.1，m ord (a)│d m ord (d
a )，从而
()()()d a a m m ,ord ord │()
()()
d a a m m ,ord ord d d
⋅＝
()()()
d ord ,ord d a d a m m 但()()()()()⎪⎪⎭
⎫ ⎝⎛d a d a a m m m ,ord d ,,ord ord ＝1，故 ()()()
d a a m m ,ord ord │m ord (d a ) 另一方面，有
()()()()d ,a ord a ord d m m a ≡()()()()d ,a ord d
a ord m m a ≡1（mod m ）
由定理5.1.1，m ord (d
a )│()()()d a a m m ,ord ord ，所以 ()()()
d a a m m ,ord ord ＝m ord (d a )
【例】（例12）已知17ord (5)＝16， 2
5＝8（mod 17），所以 17ord (8)＝17ord (2
5)＝()()()2,5ord 5ord 1717＝()2,1616＝8 17ord (6)＝17ord (35)＝
()()()3,5ord 5ord 1717＝()
3,1616＝16 【推论】（推论）设m ＞1，g 是模m 的原根，整数d ≥0，则
d g 是模m 的原根
⇔(d,ϕ(m))＝1
（证）由定理5.1.4，
m ord (d
g )＝()()()d g g m m ,ord ord ＝()()()d m m ,ϕϕ ∴ d g 是原根⇔()
()()d m m ,ϕϕ＝ϕ(m) ⇔(d,ϕ(m))＝1
意义：由一个原根即可得到所有原根。

【例】（例12）由17ord (5)＝16可知5是模17的原根，由原根5就可以求出17的所有原根：
15≡5（mod 17），35≡6（mod 17），55≡14，（mod 17） 75≡10（mod 17），95≡12（mod 17），115≡11，（mod 17） 135≡13（mod 17），155≡6（mod 17）
【定理5.1.5】（原根的个数）（定理5）设m ＞1，若m 有原根，则其原根个数为ϕ(ϕ(m))
（证）设g 为原根，则由定理5.1.2知ϕ(m)个数g ，2g ，…，()m g ϕ是m 的一个简化剩余系。

而使得（d ，ϕ(m)）＝1的整数d 共有ϕ(ϕ(m))个，故由定理5.1.4之推论知结论成立。

【推论】（推论）设m ＞1，且m 有原根，设
ϕ(m)＝k k p p p αααΛ2121，i
α＞0，i ＝1,2,…,k 则当(a,m)＝1时，a 是模m 的原根的概率为
∏=⎪⎪⎭⎫ ⎝⎛-k i i p 111＝⎪⎪⎭
⎫ ⎝⎛-⎪⎪⎭⎫ ⎝⎛-⎪⎪⎭⎫
⎝⎛-k p p p 11111121Λ
（证）由定理5.1.5，a 是模m 的原根的概率为()()()
m m ϕϕϕ，再由欧拉函数的计算公式
ϕ(ϕ(m)) ＝ϕ(m)⎪⎪⎭
⎫ ⎝⎛-⎪⎪⎭
⎫ ⎝⎛-⎪⎪⎭⎫ ⎝⎛-k p p p 11111121Λ 得 ()()()m m ϕϕϕ＝⎪⎪⎭
⎫ ⎝⎛-⎪⎪⎭⎫ ⎝⎛-⎪⎪⎭⎫ ⎝
⎛-k p p p 11111121Λ 【例】（利用某已知原根和定理5.1.5求其它原根）（例13）求出模25的所有原根。

（解）首先，ϕ(25)＝20，ϕ(ϕ(25))＝ϕ(20)＝8。

故25若有原根，则其必有8个原根。

计算52≡7（mod 25），102≡24≡-1（mod 25），所以2是模25的一个原根。

20的简化剩余系为{1, 3, 7, 9, 11, 13, 17, 19}，由定理5.1.5知25的所有原根为：
12≡2，32≡8，72≡3，92≡12，112≡23，
132≡17，172≡22，192≡13（mod 17）
即模25的原根为：2, 3, 8, 12, 13, 17, 22, 23。

【定理 5.1.6】（定理6）设m ＞1，(a,m)＝(b,m)＝1，若（m ord (a)，m ord (a)）＝1，则
m ord (ab)＝m ord (a)m ord (b)
反之亦然。

（证）(a, m)＝(b, m)＝1，故(ab, m)＝1，即m ord (ab)存在。

又
()()ab ord b ord m m ⋅a ≡()()()ab ord b ord m m a ()()()ab ord b ord m m b
≡()()()()b ord ab ord m m ab ≡1（mod m ）
故m ord (a)│m ord (b)m ord (ab)，而（m ord (a), m ord (b)）＝1，因此m ord (a)│m ord (ab)。

同理可证m ord (b)│m ord (ab)。

再利用（m ord (a), m ord (b)）＝1，得
m ord (a)m ord (b)│m ord (ab)
另一方面，
()()()b ord a ord m m ab ≡()()()b ord a ord m m a ()()()a ord b ord m m b
≡1（mod m ）
从而 m ord (ab)│m ord (a)m ord (b)
即 m ord (ab) ＝m ord (a)m ord (b)
反之，若m ord (ab) ＝m ord (a)m ord (b)，那么
()()()[]b ord ,a ord m m ab ≡()()[]b ord ,a ord m m a ()()[]b ord ,a ord m m b
≡1（mod m ）
因此， m ord (ab)│[m ord (a)，m ord (b)]
即 m ord (a)m ord (b)│[m ord (a)，m ord (b)] 但 m ord (a)m ord (b)≥[m ord (a)，m ord (b)] 所以 m ord (a)m ord (b)＝[m ord (a)，m ord (b)] 所以 （m ord (a)，m ord (b)）＝1
【例】（利用定理5.1.6求原根）（例14）求模71的原根。

（解）首先计算知2模71的指数为71ord (2)＝35，又知－1的指数为2，且(35, 2)＝1，故由定理5.1.6知－2的指数为 71ord (－2)＝71ord (－1)71ord (2)＝2·35＝70＝ϕ(71) 所以－2≡69（mod 71）是71的原根。

而ϕ(71)＝70，ϕ(70)＝24，故71有24个原根。

分别为()i 2-，其中i ＝1, 3, 9, 11, 13, 17, 19, 23, 27, 29, 31, 33, 37, 39, 41, 43, 47, 51, 53, 57, 59, 61, 67, 69。

【例】（其它判断）m ＝19，c ＝10＝2·5，则19ord (10)＝18。

那么，因为19ord (2)＝18，且19ord (5)＞1，故
19ord (2)·19ord (5)＞19ord (10)，从而说明
（19ord (2)，19ord (5)）＞1
即19ord (2)与19ord (5)不互素。

（验证，19ord (5)=9，故（19ord (2)，19ord (5)）=（18，9）=9）
【定理5.1.7】（定理7）设m ，n 都是大于1的整数，(a,m) ＝(a,n) ＝1，那么
（1）若n │m ，则n ord (a)│m ord (a)
（2）若(m,n) ＝1，则mn ord (a)＝[m ord (a)，n ord (a)] （证）（1）由m ord (a)的定义知()
a ord a m ≡1（mod m ）。

而n │m ，故()a ord a m ≡1（mod n ），从而由定理5.1.1知 n ord (a)│m ord (a)
（2）由（1）知
m ord (a)│mn ord (a)，n ord (a)│mn ord (a)
从而由最小公倍数性质知 [m ord (a)，n ord (a)]│mn ord (a)。

又由
()()[]a ord ,a ord n a m ≡()
a ord k a m ⋅≡()()k a ord a m ≡1（mod m ） ()()[]a ord ,a ord n a m ≡()a ord j n a ⋅≡()()j
a ord n a ≡1（mod n ） 当(m,n) ＝1时有，
()()[]a ord ,a ord n a m ≡1（mod mn ）
那么，由定理5.1.1知
mn ord (a)│[m ord (a)，n ord (a)]
【推论1】（推论1）设p ，q 是两个不同的奇素数，(a, pq) ＝1，则
pq ord (a)＝[p ord (a)，q ord (a)]
【例】（利用定理5.1.7求原根）（例15）设p ，q 是两个不同的奇素数，n ＝pq ，(a, n)＝1，若e 满足(e,ϕ(n))＝1，那么存在整数d （1≤d ＜pq ord (a))，使得
ed≡1（mod pq ord (a)）
且对于c≡e a （mod n ），有a ≡d c （mod n ）
（证）已知(e,ϕ(n))＝1且pq ord (a)│ϕ(n)，故（e ，
pq ord (a))＝1。

所以d≡1-e （mod pq ord (a)）存在，即
e d ＝1＋k pq ord (a)
又知()a p a ord ≡1（mod p ），所以
()a k pq a ord 1+＝()()
()a a a k p pq p a a ord ord ord ⋅≡()()()()a a k a p pq p a
a ord ord ord ≡a
（mod p ）
即 ed a ≡a （mod p ）
同理有 ed a ≡a （mod q ）
所以 ed a ≡a （mod n ）
因此 d c ≡()d
a
e ≡a （mod n ）
【推论2】（推论2）设m ＞1，(a,m) ＝1，且设m 的标准分解式为，
m ＝α2k k p p p αααΛ2121 则
m ord (a)＝[α2ord (a)，11ord αp (a)，…，k k p αord (a)] （证）用归纳法。

【例】（快速求指数）求100ord (33)和100ord (7)。

（解）已知(33, 100)＝1，且100＝2
252。

分别求4ord (33)和25ord (33)。

4ord (33)＝4ord (1)＝1
25ord (33)＝25ord (8)＝20
所以100ord (33)＝ [4ord (33)，25ord (33)]＝[1，20]＝20 其次
4ord (7)＝4ord (3)＝2
25ord (7)＝4
所以100ord (7)＝ [4ord (7)，25ord (7)]＝[2，4]＝4
【定理5.1.8】（定理8）设m ，n 都是大于1的整数，(m,n)＝1，则对与mn 互素的任意整数1a ，2a ，存在整数a ，使得
mn ord (a)＝[m ord (1a )，n ord (2a )]
（证）考虑同余方程组()()
⎩⎨⎧≡≡n a x m a x mod mod 21 由中国剩余定理，方程组有唯一解x ≡a （mod mn ），则a 即为所求。

因为由性质1（i ），有
m ord (a)= m ord (a 1)，n ord (a)= n ord (a 2)
从而由定理5.1.7知
mn ord (a) ＝[m ord (a)，n ord (a)] ＝[m ord (1a )，n ord (2a )]
【例】（求满足条件的a ）设m ＝11，n ＝27，1a ＝5，2a ＝14，求满足2711ord ⋅(a)＝[11ord (7)，27ord (14)]的a 。

（解）解方程组()()
⎩⎨⎧≡≡27mod 1411mod 7x x 得 x ≡95（mod 11·27＝297），即a ＝95
验证：2711ord ⋅(95)＝90，11ord (7)＝10，27ord (14)＝18
[11ord (7)，27ord (14)]＝[10，18]＝90＝2711ord ⋅(95)
注意 对于模m ，不一定有m ord (ab) ＝[m ord (a)，m ord (b)]
成立。

例如
10ord (9)＝2≠4＝[4，4]＝[10ord (3)，10ord (3)] 10ord (21)＝1≠4＝[4，4]＝[10ord (3)，10ord (7)] 但有
10ord (63)＝4＝[4，2]＝[10ord (7)，10ord (9)]
【定理5.1.9】（定理9）设m ＞1，(a,m) ＝(b,m) ＝1，则存在整数c ，使得
m ord (c)＝[m ord (a)，m ord (b)]
（证）对于整数m ord (a)和m ord (b)，存在整数u ，v ，满足
u │m ord (a)，v │m ord (b)，且(u, v)＝1
使得
[m ord (a)，m ord (b)]＝uv
令
s ＝()u a m ord ，t ＝()v
b m ord 则 ()()s a m ,ord ＝()()⎪⎭
⎫ ⎝⎛u a a m m ord ,
ord ＝()u a m ord ，()()t b m ,ord ＝()()⎪⎭⎫ ⎝⎛v b b m m ord ,ord ＝()v b m ord 由定理5.1.4
m ord (s
a )＝()()()s a a m m ,ord ord ＝u ， m ord (t
b )＝()()()t b b m m ,ord ord ＝v ，
再由定理5.1.6，有
m ord (s a t b )＝m ord (s a )m ord (t b )＝uv
＝[m ord (a)，m ord (b)]
故取c ＝s a t b （mod m ），即为所求。

【例】（利用定理5.1.9求原根）（例16）m ＝3631为素数，则有
(3631)＝3630＝2·3·5·211
3631ord (2)＝605＝5·211，3631ord (3)＝1210＝2·5·211 3631ord (5)＝363＝3·211，3631ord (6)＝ 1210＝2·5·211 3631ord (7)＝33＝3·11，3631ord (10)＝1815＝3·5·211
3631ord (11)＝330＝2·3·5·11，3631ord (12)＝1210＝2·
5·211 3631ord (13)＝1815＝3·5·211，3631ord (14)＝1815＝
3·5·211
3631ord (15) ＝3630＝2·3·5·211，3631ord (17)＝1210＝
2·5·211
由定理5.1.9，取a ＝3，b ＝5以及u ＝1210，v ＝3，这
时，s ＝1，t ＝211，c ＝s a t b ＝131215≡2623（mod 3631）
的指数为
3631ord (2623)＝[ 3631ord (3)，3631ord (5) ]＝[1210，363]＝
3630
因此，c ＝2623是模3631的一个原根。

还可利用a ＝11，b ＝13并选u ＝2·3·5，v ＝211，得
s ＝11，t ＝3·5，计算c ＝11111513≡3382·1051≡3364（mod
3631）也为原根。

5.2 原根存在的条件
【定理5.2.1】（定理1）设p 为奇素数，则模p 的原根存在。

（证）（构造性）记
r e ＝p ord (r)，1≤r ≤p －1
e ＝[1e ，2e ，…，1-p e ]
由定理5.1.9，存在g ，使 e g ≡1（mod p ） 故e │ϕ(p)＝p －1，
又r e │e ，r ＝1,2,…,p －1
从而知方程 e x ≡1（mod p ）
有p －1个解 x ＝1,2,…,p －1（mod p ）
再由定理3.4.4， p －1≤e ，即g 的指数为p －1。

（定理 3.4.4：同余方程()x f ＝0111a x a x a x a n n n n ++++--Λ≡0（mod p ）的解数不超过其次数（0≠n a （mod p ））
【推论】（推论）设p 为奇素数，d 是p －1的正因子，则模p 指数为d 的元素存在。

【定理5.2.2】（定理2）设g 是模p 的一个原根，则g 或g ＋p 是模2
p 的原根。

【定理5.2.3】（定理3）设p 为奇素数，则对任意正整数α，模αp 的原根存在。

进一步，若g 是模2p 的一个原根，则对任意正整数α，g 是模αp 的原根。

【例】设α≥2，p ＝3，2是模9＝23的一个原根，则2是模33＝27，43＝81，…的原根。

同理，2是模25＝25的一个原根，所以2也是模35＝125，45＝625，…的原根。

【定理5.2.4】（定理4）设α≥1，g 是模αp 的一个原根，则g 与g ＋αp 中的奇数是模m ＝2α
p 的一个原根。

【例】设α≥2，p ＝3，2是模9的一个原根，且
2＝2，2＋9＝11
故11是模18的一个原根。

又7是模25＝25的一个原根，而7＝7，7＋25＝32，所以7也是50的一个原根。

【定理5.2.5】（定理5）设a 是一个奇数，则对任意α≥3，有 ()
22αϕa ＝22-αa ≡1（mod α2） （本定理说明说明α2ord (a)│22-α） 【定理5.2.6】（定理6）设α≥3，则
α2ord (5)＝()2
αϕ＝22-α
【定理5.2.7】（定理7）模m 的原根存在的充分必要条件是m ＝2，4，αp ，2αp 。

其中p 为奇素数。

【定理5.2.8】（定理8）设m ＞1，ϕ(m)的不同素因数是1q ，2q ，…，k q ，则g 是模m 的一个原根的充分必要条件是
()i m a ϕ≠1（mod m ）
，i ＝1,2,…,k 意义 ：给出了一个找原根的方法
【例】（例1）求模41的所有原根。

（解）ϕ(m)＝ϕ(41)＝40＝3
2·5，1q ＝2，2q ＝5，()1q m ϕ＝20，()2q m ϕ＝8，故只需验证 8g ，20g ≡1？ （mod 41）
验算：82≡10，202≡1（mod 41），2不是原根。

83≡1（mod 41）
，3不是原根。

204＝402≡1（mod 41），4不是原根。

85≡18，205≡1（mod 41）
，5不是原根。

86≡10，206≡40≡－1（mod 41）
，6是原根。

再由定理5.1.4和5.1.5，ϕ(41)＝40的简化剩余系为
1，3，7，9，11，13，17，19，
21，23，27，29，31，33，37，39
共有ϕ(ϕ(41))＝ ϕ(40)＝16个数，那么原根为
16≡6，36≡11，……，396≡7（mod 41）
【例】（例2）设模数m ＝2
41＝1681，求模m 的原根。

（解）已知6是模41的原根，故由定理5.2.2，6或6＋41＝47是模241＝1681的原根。

计算
406≡143≡1＋41·3（mod 241），
4047≡1518≡1＋41·37（mod 241）
即
406≠1（mod 241）
，4047≠1（mod 241） 所以6和47都是模1681的原根（因ϕ(241)＝1640＝41·40）。

另由定理5.2.3，6和47是所有模α41的原根。

【例】（例3）设模数m ＝2·241＝3362，求模m 的原根。

（解）由例2知6和47是模2
41的原根，故由定理5.2.4知，6＋241＝1687和47是模2·241＝3362的原根。

【定理5.2.9】设p 为素数，正整数d │ϕ(p)＝p －1，则对模数p 而言，指数为d 的数恰有个ϕ(d)。

（证）见定理5.2.1的第二种证明过程。

5.3 指标及n 次剩余
目的：研究以下同余方程有解的条件和解数：
n x ≡a （mod m ）
，(a,m)＝1 (一) 背景
问题：设g 是模m 的一个原根，则当x 遍历模ϕ(m)的最小
正完全剩余系时，x
g 遍历模m 的一个简化剩余系。

故对任意y ，(y ,m)＝1，则存在唯一的整数x （1≤x ≤ϕ(m)），使得 x g ≡y （mod m ）
【例1】：m ＝10，ϕ(10)＝4，其简化剩余系为{1，3，7，9}。

又知10ord (1)＝1，10ord (3)＝4，10ord (7)＝4，10ord (9)＝2。

即3和7是模10的原根。

选g ＝3，则x ＝1，2，3，4时有
x 3≡3，9，7，1（mod m ）是10的简化剩余系。

【例2】：m ＝18，ϕ(18)＝6，其简化剩余系为{1,5,7,11,13,17}。

由ϕ(6)＝2知，模18有两个原根5和11。

选g ＝5，则
x ＝1，2，3，4，5，6
x 5≡5，7，17，13，11，1（mod m ）是18的简化剩余系。

(二) 定义
【定义5.3.1】（定义1）设g 是模m 的一个原根，对已知的a ，存在整数r ，使得式
r g ≡a （mod m ） （1）
成立，则称r 为以g 为底的a 对模m 的一个指标，记作r ＝a g ind 或a ind 。

指标也称为对数或离散对数，也记为r ＝a g log 。

【例】（例1）已知5是模17的原根。

求5对17的离散对数。

（解）先构造以5为底的指数函数表
再由上表构造离散对数表
(三) 离散对数的性质
【定理5.3.1】（定理1）设m ＞1，g 是模m 的一个原根，(a, m)＝1，若整数r 使得r
g ≡a （mod m ）成立，则r 满足
r ≡a g ind （mod ϕ(m)）
（证）因为(a, m)＝1，故 r g ≡a ≡a ind g g
（mod m ） 从而 a ind -r g g ≡1（mod m ）
又知g 模m 的阶为ϕ(m)，由定理5.1.1知
ϕ(m)│r －a g ind
故 r ≡a g ind （mod ϕ(m)）
【例】已知5是17的一个原根，且r ＝38，那么，计算可得
385≡2（mod 17），
而5ind 2＝6，故
38≡6＝5ind 2
（说明，a 的对数的值实质上有无穷多，如对模数17及其原根5而言， 由5ind 2＝6（mod ϕ(17)＝16）知，2的对数有6，22，38，54，…）
（也可以说有同一真数的对数有无穷多）
【推论】（推论）设m ＞1，g 是模m 的一个原根，(a, m)
＝1，则
g ind 1≡0（mod ϕ(m)），g ind g ≡1（mod ϕ(m)） （证）因为
0g ≡1（mod m ）
，1g ≡g （mod m ）
【定理5.3.2】（定理3）设m ＞1，g 是模m 的一个原根，若(i a ,m)＝1（i ＝1,2,…,n ），则
g ind ()n a a a Λ21≡g ind ()1a ＋…＋g ind ()n a （mod
ϕ(m)）
特别地
g ind ()n a ≡n g ind ()a （mod ϕ(m)）
（证）令i r ＝g ind i a （i ＝1,2,…,n ），由对数的定义5.3.1
i a ≡i r g （mod m ）
， i ＝1,2,…,n 从而 n 21a a a Λ≡n 21
r r r Λ++g （mod m ）
由定理5.3.1， g ind (n 21a a a Λ)≡r 1+r 2+…+r n （mod ϕ(m)）
即结论成立。

【定理5.3.3】（定理2）设m ＞1，g 是模m 的一个原根，整数r 满足1≤r ≤ϕ(m)，则以g 为底的对模m 有相同对数r 的所有整数全体是模m 的一个简化剩余类。

（证）因
g ind r g ＝r ，(r g ,m)＝1
由对数的定义5.3.1，
g ind a ＝r a ≡r g （mod m ）
故以g 为底的对模m 有同一对数r 的所有整数都属于r g 所在的模m 的一个简化剩余类。

（说明，对数r 的真数a 的值实质上有无穷多，如对模数17及其原根5而言， 由65≡2（mod 17）知，对数6对应的真数有2，19，36，53，…）
（也可以说有同一对数的真数也有无穷多）
【例】（例2）作模41的指标（即离散对数表）表。

（解）已知6是模41的原根，计算r 6(mod 41)得以6为底的离散对数表y ＝6ind x ＝6log x （行标为x 的十位数，列表
为x 的个位数，交叉位置为对数y ）
由此可构造反对数表（即指数函数表，y ＝x 6）：
【例】（例3）设模数m ＝41，分别求整数a ＝29，18以6为底的离散对数。

（解）查上例所给离散对数表，可得
6ind (28)＝11，6ind (18)＝16
计算离散对数的复杂度：求离散对数是困难问题。

即已知模数m 及其一个原根g ，当已知某个整数x 的指数函数值y ≡x g （mod m ）时，求x ≡g ind y ，是NP 问题。

(四) n 次剩余
【定义5.3.2】（定义2）设m ＞1，(a, m)＝1，若n 次同余方程
n x ≡a （mod m ） （1）
有解，则a 叫做对模m 的n 次剩余；否则，叫做对模m 的n 次非剩余。

【例】（例4）求5次同余方程5x ≡9（mod 41）的解。

（解）查模数为41，底数为6的离散对数表，可得6ind (9)＝30，即306≡9（mod 41）。

再令 x ≡y 6（mod 41）
原方程变为 y 56≡30
6（mod 41）
因6是原根，故由定理5.3.1
5y ≡30（mod 40＝ϕ(41)） （2）
（（5, 40）=5，且5│30，故此方程有5个解） 即 y ≡6（mod 8）
故（2）的解为 y ≡6，14，22，30，38（mod 40）
∴ x ≡y 6＝66，146，226，306，386
≡39，21，5，9，8（mod 41）
故9是模41的5次剩余。

【例】求5次同余方程7x ≡9（mod 41）的解。

（解）因为6ind (9)＝30，即306≡9（mod 41）。

再令 x ≡y 6（mod 41）
原方程变为 y 76≡306（mod 41）
6是原根，故有 7y ≡30（mod 40＝ϕ(41)） 解之，得 y ≡10（mod 40）
故原方程有唯一解 x ≡106≡32（mod 41）
【例】求5次同余方程8x ≡9（mod 41）的解。

（解）因为6ind (9)＝30，即30
6≡9（mod 41）。

再令 x ≡y 6（mod 41）
原方程变为 y 86≡306（mod 41） 6是原根，故有 8y ≡30（mod 40＝ϕ(41)） 此方程无解，故原方程无解。

【定理5.3.4】（定理4）设m ＞1，g 是模m 的一个原根，(a, m)＝1，则同余方程
n x ≡a （mod m ） （3）
有解⇔（n,ϕ(m)）│g ind a 。

且在有解的情况下，解数为（n,ϕ(m)）。

（证）若方程（3）有解x ≡0x （mod m ）
则分别存在非负整数u, r ，使得
0x ≡u g （mod m ）
，a ≡r g （mod m ） 由（3）得
nu g ≡r g （mod m ）
由定理5.3.1知 nu ≡r （mod ϕ(m)） （可以理解为将方程g nu ≡g r （mod m ）两边同时以g 为底取对数，但要注意取对数后模数变为ϕ(m)）
即方程 ny ≡r （mod ϕ(m)） （4） 有解（且解为y ≡u （mod ϕ(m)）），故
（n,ϕ(m)）│r ＝g ind a
反之，若（n,ϕ(m)）│r ＝g ind a ，则方程（4）有解
y ≡u （mod ϕ(m)）
且解数为d ＝(n,ϕ(m))。

因此，方程（3）有解
0x ≡u g （mod m ）
且解数也为d ＝(n,ϕ(m))
【推论】（推论）在定理5.3.4条件下，a 是模m 的n 次剩
余的充分必要条件是()d m a ϕ≡1（mod m ），其中d ＝(n ，
ϕ(m))。

（定理5.3.4：设m ＞1，g 是模m 的一个原根，(a, m)＝1，则同余方程n x ≡a （mod m ）有解⇔（n,ϕ(m)）│g ind a 。

且在有解的情况下，解数为（n,ϕ(m)））
（证）设a ≡r g （mod m ），若a 是模m 的n 次剩余，即方程n x ≡a （mod m ）有解，再由定理5.3.4知（n,ϕ(m)）│g ind a ，即d │r ，所以()d m a
ϕ≡()()d m ϕr g ≡()()d m r g ϕ≡1（mod m ）
反之，由()d m a ϕ≡1（mod m ）知()()d
m ϕr g ≡1（mod m ）。

而g 是原根，即g 的阶数为ϕ(m)，故由定理5.1.1 ϕ(m)│r ()
d m ϕ＝d
r ϕ(m) 即d │r 。

【例】（例5）解同余方程8x ≡23（mod 41）。

（解）d ＝(n ，ϕ(m))＝(8，ϕ(41))＝(8，40)＝8。

查表得 6ind (23)＝36
因为8┝36，，故原方程无解。

【例】（例6）解同余方程12x ≡37（mod 41）。

（解）d ＝(n ，ϕ(m))＝(12，ϕ(41) )＝(12，40)＝4。

查表得 6ind (37)＝32
因为4│32，，故方程有4个解。

求等价方程，原方程两边同时取对数，得
126ind x ≡6ind 37（mod 40）
即
126ind x ≡32（mod 40） （5） （即方程12y ≡32（mod 40），对应方程（4）：ny ≡r （mod
ϕ(m)）
，此处n ＝12，r ＝32） 利用同余性质有
36ind x ≡8（mod 10）
解为
6ind x ≡6（mod 10）
方程（5）的解为
6ind x ≡6，16，26，36（mod 10）
查离散对数的反函数表（即指数函数表）得原方程的解为
x ≡66，166，266，366≡39，18，2，23
【定理5.3.5】（定理5）设m ＞1，g 是模m 的一个原根，(a, m)＝1，则a 对m 的阶数为
e ＝m d or (a)＝()()()
m a m ϕϕ,ind g 特别地，a 是模m 的原根的充分必要条件为(g ind a, ϕ(m))＝1。

（证）由定理5.1.4即得。

（此处的g 即定理中的a ，a 即定理中的a d ，而g 是原根（即g 的阶数为ϕ(m)），故必存在整数r （1≤r ≤ϕ(m)），使得a ≡g r （mod m ），此处的r 即定理中的d ，且有r ≡ind g a ）
【定理5.3.6】（定理6）设m ＞1，g 是模m 的一个原根，则模m 的简化剩余系中，阶是e 的整数共有ϕ(e)个。

特别地，原根共有ϕ(ϕ(m))个。

（证）因m 有原根g ，由定理5.1.3，知a=d g 的阶为 m d or (a)＝m d or (d g )＝()()()d g g ,d or d or m m ＝()()()d m m ,ϕϕ 显然，a 的指数是e 的充分必要条件是
()()()d m m ,ϕϕ＝e ，即 (ϕ(m), d)＝
()
m ϕ 而满足（d ', e ）＝1的d '显然有ϕ(e)个，故阶为ϕ(m)的整数个数是ϕ(ϕ(m))，即原根个数为ϕ(ϕ(m))。

5.4 原根的应用——ElGamal 加密算法
(一) 构造全局变量
• 既可以用于加密，也可以用于签名，其安全性依赖于有限域上计算离散对数的难度
• 要产生一对密钥，首先选择一素数p ，整数模p 的一个原根g ，随机选取x ，g 和x 都小于p ，然后计算：
y ≡x g （mod p ）
•公开密钥是y，g，p，其中g，p可以为一组用户共享•私有密钥是x
(二) ElGamal加密算法
•将明文信息M表示成{0,1,…,p－1}范围内的数
•加密:
–秘密选择随机数k，计算：
–a≡k g（mod p）
–b≡M k y（mod p）
–密文为(a, b)
•解密:
b（mod p）
–M≡x a
b表示乘法b()1x a-
其中除法x a
（不足：信息有扩张）
(三) 例
Z的生成元①生成密钥：使用者A选取素数p＝2357及+
2357 g＝2，A选取私钥x＝1751并计算公钥
2（mod 2357）≡1185
y≡x g（mod p）≡1751
A的公钥是p＝2357，g＝2，y≡1185
②加密：为加密消息M＝2035，消息的发送方B选取一个
随机整数
k＝1520 并计算
a ≡k g （mod p ）≡21520≡1430（mod 2357）
b≡M k y （mod p ）≡2035×11851520≡697（mod 2357） (其中k y （mod p ）≡11851520≡2084（mod 2357）) B 发送（a, b ）＝（1430, 697）给A
③ 解密：A 计算
x a -≡x p a --1≡1751123571430--≡6051430≡ 872 (mod 2357)
M ≡x a b ≡b x a -≡697×872 ≡2035 (mod 2357)
(四) ElGamal 加密算法安全性
• 复杂度：攻击ElGamal 加密算法等价于解离散对数问题 • 要使用不同的随机数k 来加密不同的信息
– 假设用同一个k 来加密两个消息1M ，2M ，所得到的密文分别为(a 1,b 1)(a 2,b 2)，则b 1/b 2＝M 1/M 2，故当2M 已知时，1M 可以很容易地计算出来。

即
1M ≡2M b 1/b 2
同理
2M ≡1M b 2/b 1
• 例如，已知p ＝2357，g ＝2，x ＝1751，y ≡1185（mod 2357）
选 k ＝1520，则消息1M ＝2035的密文为(a 1,b 1)＝(1430，697)
还选 k ＝1520，消息2M ＝100的密文为(a 2,b 2)＝(1430，984)
消息3M ＝1000的密文为(a 3,b 3)＝(1430，
412)
那么，设已知1M ＝2035，则有
2M ≡1M b 2/b 1≡2035×984×697－1≡100（mod 2357） 3M ≡1M b 3/b 1≡2035×412×697－1≡1000（mod 2357） （其中697－1≡700（mod 2357））
5.5 单向函数
(一) 单向函数
（1）给定x ，计算y ＝f(x)是容易的；
（2）给定y ， 计算x ＝()y f 1-是不可行的。

例如：对给定的g ，已知x ，计算y ≡g x mod n 容易；
但已知y ，计算x ≡log g (y)（mod ()n ϕ）则很难。

(二) 单向陷门函数
（1）已知陷门k 和x ，则计算y ＝f(x)容易；
（2）已知y ，但不知k ，则计算x ＝()y f k
1-是不可行的； （3）已知k 和y ， 则计算x ＝()y f k 1-容易。

例如，对于RSA 算法，计算y ≡e x （mod n ）容易；若
已知d 和y ，计算x ≡d y （mod n ）也很容易；但若不知d ，则无法计算x ≡e y （mod n ）。

(三) 构造公钥密码体制的关键
寻找合适的单向陷门函数。