参考：Quantum Computation and Quantum Information (10th Anniversary Edition) - Michael A. Nielsen & Isaac L. Chuang

本学期选修了 “密码学中的量子计算” 研讨课，中途涉及到对Shor因子分解算法的理解。书中的描述有多处存在问题（或本人没理解到位），这里列举一些我自己的思考。

因子分解算法的思路

因子分解问题（Factoring Problem）

给定正整数 $N = \prod\limits_{i = 1}^{m}p_i^{\alpha_i}$ ，对其进行素因子分解。

经典筛法的核心策略：找两个正整数 $z < y < N$ ，让它们满足 $z^2\equiv y^2 \pmod{N}$ （平方同余关系）。（当然这里仅考虑 $\gcd(z, N) = \gcd(y, N) = 1$ 的情况，否则 $N$ 就直接被 $z$ ， $y$ 分解了。）

z^2 \equiv y^2 \pmod{N} \iff (y - z)\cdot (y + z) \equiv 0 \pmod{N}

这意味着只要 $y - z > 1$ 且 $y + z \neq N$ ，那么就有 $h = \gcd(y - z, N)$ 为 $N$ 的一个非平凡因子。

这时对其做一些简单的变换：

考虑 $\gcd(y, N) = 1$ ：

z^2 \equiv y^2 \pmod{N} \iff \left(zy^{-1}\right)^2 \equiv 1 \pmod{N}

设 $x = zy^{-1}$ ：

x^2 \equiv 1\pmod{N}

(x - 1)(x + 1)\equiv 0 \pmod{N}

即得到下述 Statement：

Statement 1：对正整数 $N$ ，方程 $x^2\equiv 1\pmod{N}$ 的解 $x$ 满足 $2\leqslant x \leqslant N - 1$ ，则 $\gcd(x - 1, N)$ 和 $\gcd(x + 1, N)$ 之中至少有一个是 $N$ 的非平凡因子。（ $x = 2$ 时， $x-1 = 1$ ； $x = N-2$ 时， $x +1=N-1$ 。）

这时问题就变成了，我们怎么去找到这样的一个关系呢？

How to Find?（注：因子 $2$ 的检测是平凡的，因此下面均考虑 $N$ 为奇数。）
欧拉定理？（ $x^{\varphi(N)}\equiv 1\pmod{N}$ ） $\Rightarrow$ Nope！ 我们无法计算 $\varphi(N)$ ！
我们可以使用量子傅里叶变换求取元素的阶！（解决元素求阶问题） $\Rightarrow$ 我们可以计算使得 $x^r\equiv 1\pmod{N}$ 最小的 $r$ ！（元素 $x$ 在模 $N$ 意义下的阶 $r = \text{ord}_N(x)$ 。）
If we are FORTUNATE，恰有 $2\mid r$ ，那么就有

\left(x^{\frac{r}{2}} - 1\right)\cdot \left(x^{\frac{r}{2}} + 1\right)\equiv 0\pmod{N}

If we are MORE FORTUNATE，恰有

x^{\frac{r}{2}} + 1 \not\equiv 0\pmod{N} \iff x^{\frac{r}{2}} \not\equiv -1\pmod{N}

那么检查 $\gcd\left(x^{\frac{r}{2}} + 1, N\right)$ 以及 $\gcd\left(x^{\frac{r}{2}} - 1, N\right)$ 其中谁为非平凡因子即可！

元素求阶问题的求解在后续内容再进行介绍，下面我们看看怎么将因子分解问题一步一步真正地去调用元素求阶问题来解决，这里面有不少细节值得讨论。

现在出现了一个新的问题：我们怎么获得有着满足这样关系的阶 $r$ 的 $x$ ？

或者说我们均匀随机选取一个 $x$ ，它有多大概率满足下述条件？

$2\mid r$
$x^{\frac{r}{2}} + 1 \not\equiv 0\pmod{N} \iff x^{\frac{r}{2}} \not\equiv -1\pmod{N}$

这里我们首先排除一个情况，即均匀选取了一个 $x$ ，很巧合的是它恰好与 $N$ 有非平凡公因子，这样其实问题就直接解决了。但是很显然，这个概率实在是太小了！如，对于 $N = p\cdot q$ ， $p\sim q\sim\sqrt{N}$ ，这样的概率的量级为 $\frac{1}{p}\sim\frac{1}{\sqrt{N}}$ ！（注：超级大乐透中奖概率 $\sim\frac{1}{2^{25}}$ ，气运之子快去买彩票吧。）

下面我们就仅考虑 $\gcd(x, p_i^{\alpha_i}) = 1$ 的情况了。

接下来我们将要证明下面这个 Statement：

Statement 2：均匀随机选取一个 $x \in \left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}$ ，它满足：

$2\mid r$

$x^{\frac{r}{2}} + 1 \not\equiv 0\pmod{N} \iff x^{\frac{r}{2}} \not\equiv -1\pmod{N}$

的概率满足
$\Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\mid \text{ord}_N(x)\ \wedge\ x^{\frac{r}{2}} \not\equiv -1\pmod{N} \right) \begin{cases} = 0 & m = 1\\\geqslant 1 - \dfrac{1}{2^{m - 1}} & m\geqslant 2\end{cases}$

注：这里的结论与参考书中的结论略有不同，参考书中的结论我不是很推得过去，按理说大抵的确是有问题的。。。

上述的 Statement 2 保证了我们是足够幸运的！

It turns out that we are FORTUNATE!

现在我们解决以下问题：

均匀随机选取一个 $x \in \left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}$ ，它有多大概率满足：

$2\mid r$

$x^{\frac{r}{2}} + 1 \not\equiv 0\pmod{N} \iff x^{\frac{r}{2}} \not\equiv -1\pmod{N}$

即计算：

\Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\mid r\ \wedge\ x^{\frac{r}{2}} \not\equiv -1\pmod{N} \right)

这里其实有一个直觉就是，感觉我们去求这个事件的反面会更简单一点，即计算：

\Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\nmid r\ \vee\ x^{\frac{r}{2}} \equiv -1\pmod{N} \right)

接下来的任务就是一步一步地研究方程 $x^r \equiv 1\pmod{N}$ 了。

根据中国剩余定理，我们显然有：

x^r\equiv 1\pmod{N} \iff x^r\equiv 1\pmod{\prod\limits_{i = 1}^mp_i^{\alpha_i}} \Rightarrow x^r\equiv 1\pmod{p_i^{\alpha_i}} \forall i\in [m]

记 $r_i = \text{ord}_{p_i^{\alpha_i}}(x_i)$ ，即 $x^{r_i}\equiv 1\pmod{p_i^{\alpha_i}}$ 。显然：

r_i \mid r

因为我们研究的是 $r$ 的奇偶性，因此我们考虑在 2-adic 上进行分析。

记 $v_2(n)\in\mathbb{N}$ 满足 $2^{v_2(n)}\mid n$ 且 $2^{v_2(n)+1}\nmid n$ ，也记 $2^{v_2(n)}\parallel n$ 。

此时将事件 $2\nmid r\ \vee\ x^{\frac{r}{2}} \equiv -1\pmod{N}$ 拆成两半就有（注意 $v_2(r_i)\leqslant v_2(r)$ ）：

若 $2\nmid r$ ，则

2\nmid r \Rightarrow 2\nmid r_i\iff v_2(r_i) = v_2(r) = 0,\ \forall\ i\in[m]

若 $2\mid r$ 且 $x^{\frac{r}{2}}\equiv -1\pmod{N}$ ，则

x_i^{\frac{r}{2}}\equiv -1\pmod{p_i^{\alpha_i}} \Rightarrow r_i\nmid \dfrac{r}{2},\ \forall\ i\in[m] \iff v_2(r_i) = v_2(r),\ \forall\ i\in[m]

In conclusion,

2\nmid r\ \vee\ x^{\frac{r}{2}} \equiv -1\pmod{N} \Rightarrow v_2(r_i) = v_2(r),\ \forall\ i\in[m]

注意到中国剩余定理：

x^r\equiv 1\pmod{\prod\limits_{i = 1}^mp_i^{\alpha_i}} \stackrel{1-1}{\longleftrightarrow} \begin{cases} x_1^r\equiv 1\pmod{p_1^{\alpha_1}}\\ \qquad\vdots\\ x_m^r\equiv 1\pmod{p_m^{\alpha_m}}\\ \end{cases}

这里的 $x \in \mathbb{Z}/N\mathbb{Z}$ 与 $(x_1, \cdots, x_m)\in \prod\limits_{i=1}^m \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)$ 是一一对应的。

特别地，对于 $x \in \left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}$ ，不难证明此时 $x \in \left(\mathbb{Z}/N\mathbb{Z}\right)^{\times} \stackrel{1-1}{\longleftrightarrow} (x_1, \cdots, x_m)\in \prod\limits_{i=1}^m \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}$

不难证明 $r \equiv r_i\pmod{\varphi(p_i^{\alpha_i})}, \forall i\in [m]$ ，即：

x^r\equiv 1\pmod{\prod\limits_{i = 1}^mp_i^{\alpha_i}} \stackrel{1-1}{\longleftrightarrow} \begin{cases} x_1^{r_1}\equiv 1\pmod{p_1^{\alpha_1}}\\ \qquad\vdots\\ x_m^{r_m}\equiv 1\pmod{p_m^{\alpha_m}}\\ \end{cases}

这意味着， $x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)\iff (x_1,\cdots, x_m)\leftarrow U\left(\prod\limits_{i=1}^m \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)$ ，这里 $x_i,\forall i\in [m]$ 是相互独立选取的，从而 $r_i,\forall i\in [m]$ 也是相互独立的。

从而得到概率计算上的转化：

\begin{aligned} &\Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\mid r\ \wedge\ x^{\frac{r}{2}} \not\equiv -1\pmod{N} \right)\\ =&1 - \Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\nmid r\ \vee\ x^{\frac{r}{2}} \equiv -1\pmod{N} \right)\\ =&1 - \Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\nmid r\ \vee\ x^{\frac{r}{2}} \equiv -1\pmod{\prod\limits_{i = 1}^mp_i^{\alpha_i}} \right)\\ \geqslant& 1 - \Pr\limits_{(x_1,\cdots, x_m)\leftarrow U\left(\prod\limits_{i=1}^m \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left(v_2(r_i) = v_2(r),\ \forall\ i\in[m] \right)\\ =& 1 - \Pr\limits_{(x_1,\cdots, x_m)\leftarrow U\left(\prod\limits_{i=1}^m \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left(v_2(r_i) = v_2(r),\ \forall\ i\in[m] \right)\\ =& 1 - \prod\limits_{i=1}^m\Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right), i=1, \cdots,m}\left(v_2(r_i) = v_2(r) \right)\\ =&\begin{cases} 0 &m = 1\\\\ 1 - \prod\limits_{i=2}^m\Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right), i=1, \cdots,m}\left(v_2(r_i) = v_2(r_1) \right) &m\geqslant 2 \end{cases} \end{aligned}

注：我们在这里将 $r = \text{ord}_N(x)$ 剥离开，因为 $r$ 总是与 $r_i$ 的选取有关，而 $r_i$ 之间是相互独立的。

下面我们的任务就是对 $\Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left( v_2(r_i) = v_2(r_1) \right)$ 进行计算了。

这里需要第一个 Insight，就是原根存在定理：

原根存在定理（部分）：对奇素数 $p_i$ ，正整数 $\alpha_i$ ， $\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}$ 为循环群。

从而我们可以设 $\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}$ 生成元为 $g_i$ 。进一步就有 $x_i = x\pmod{p_i^{\alpha_i}} = g_i^{k_i}\pmod{p_i^{\alpha_i}}$ ， $r_i = \text{ord}_{p_i^{\alpha_i}}(x_i)$ ，立即就有：

g_i^{k_ir_i}\equiv x_i^{r_i}\equiv 1\pmod{p_i^{\alpha_i}} ,\quad r_i\mid r ,\quad r_i \mid \varphi\left(p_i^{\alpha_i}\right) = p_i^{\alpha_i-1}(p_i - 1)

由熟知结论：

r_i = \dfrac{\varphi(p_i^{\alpha_i})}{\gcd\left( \varphi(p_i^{\alpha_i}), k_i \right)}

根据 $\text{ord}_{p_i^{\alpha_i}}(g_i) = \varphi\left(p_i^{\alpha_i}\right)$ 计算得到：

v_2(r_i) = v_2(p_i - 1)- \min\left(v_2(p_i - 1), v_2(k_i)\right)

而 $x_i\in \left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times} \stackrel{1-1}{\longleftrightarrow} k_i\in \mathbb{Z}/p_i^{\alpha_i}(p_i - 1)\mathbb{Z}$ ，从而需要第二个 Insight：

$x_i\in \text{QNR}\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right) \iff 2\nmid k_i \iff v_2(k_i)=0 \iff v_2(r_i) = v_2(p_i - 1)$ $\rightarrow$ 概率 $1/2$
$x_i\in \text{QR}\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right) \iff 2\mid k_i \iff v_2(k_i) \geqslant 1 \iff v_2(r_i) < v_2(p_i - 1)$ $\rightarrow$ 概率 $1/2$

对于 $i\geqslant 2$ ， $r_1$ （特别地 $v_2(r_1)$ ）都是一个客观存在的值（相互独立），因此只需要考虑对 $v_2(r_1)$ 的具体大小进行讨论即可：

\begin{aligned} \Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left( v_2(r_i) = v_2(r_1) \right) \begin{cases} \leqslant \dfrac{1}{2} &v_2(r_1) < v_2(p_i - 1)\\\\ =\dfrac{1}{2} &v_2(r_1) = v_2(p_i - 1)\\\\ = 0 &v_2(r_1) > v_2(p_i - 1) \end{cases} \end{aligned}

即：

\Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left( v_2(r_i) = v_2(r_1) \right) \leqslant\ \frac{1}{2},\quad i=2,\cdots, m

从而 $m \geqslant 2$ 时：

\begin{aligned} \Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\mid r\ \wedge\ x^{\frac{r}{2}} \not\equiv -1\pmod{N} \right) &\geqslant\ 1 - \prod_{i=1}^m\Pr\limits_{x_i\leftarrow U\left(\left(\mathbb{Z}/p_i^{\alpha_i}\mathbb{Z}\right)^{\times}\right)}\left( v_2(r_i) = v_2(r) \right)\\ &\geqslant 1 - \frac{1}{2^{m - 1}} \end{aligned}

现在剩下 $m = 1$ 的情况了。事实上我们注意到 $2\mid r$ 时：

\left( x^{\frac{r}{2}} - 1\right)\cdot\left( x^{\frac{r}{2}} + 1\right) \equiv 0\pmod{p_1^{\alpha_1}}

若 $x^{\frac{r}{2}} + 1\not\equiv 0\pmod{p_1^{\alpha_1}}$ ，由阶的极小性同样有 $x^{\frac{r}{2}} - 1\not\equiv 0\pmod{p_1^{\alpha_1}}$ ，此时：

p_1\mid \gcd\left(x^{\frac{r}{2}} + 1, x^{\frac{r}{2}} - 1\right) = \gcd\left(x^{\frac{r}{2}} + 1, 2\right) \Rightarrow p_1 \mid 2

显然矛盾。

综上所述，

\Pr\limits_{x\leftarrow U\left(\left(\mathbb{Z}/N\mathbb{Z}\right)^{\times}\right)}\left( 2\mid \text{ord}_N(x)\ \wedge\ x^{\frac{r}{2}} \not\equiv -1\pmod{N} \right) \begin{cases} = 0 & m = 1\\\geqslant 1 - \dfrac{1}{2^{m - 1}} & m\geqslant 2\end{cases}

前面做了哪些假设：

提前去除 $N$ 的偶数素因子 $2$ ；
$N$ 为某个素因子幂的情况需要单独讨论；
重点考虑选取的 $x$ 满足 $\gcd(x, N) = 1$ 的情况。

中间涉及了哪些计算：

偶素数因子检测
素数幂检测算法
辗转相除法
元素求阶算法

\begin{algorithm}
\caption{\textbf{大整数开根算法}}
\begin{algorithmic}
\State \textbf{输入：} 正整数 $N$，开根次数 $k$
\State \textbf{输出：} $[\sqrt[k]{N}]$
\State $a \gets 0,\ b \gets 1$
\While{$b^k < N$} \Comment{倍增法找上界，$O(\log N)$轮}
    \State $a \gets b$
    \State $b \gets 2b$
\EndWhile
\If{$b^k = N$} \Comment{恰好开尽}
    \State \Return $b$
\EndIf
\While{$a + 1 < b$} \Comment{二分查找，$O(k)$轮}
    \State $m \gets \lfloor (a + b) / 2 \rfloor$
    \If{$m^k \leqslant N$} \Comment{快速幂判定，$O(\log k \cdot \log^2 N)$}
        \State $a \gets m$
    \Else
        \State $b \gets m$
    \EndIf
\EndWhile
\State \Return $a$ \Comment{总复杂度 $O(k\log k \cdot \log^2 N)$}
\end{algorithmic}
\end{algorithm}