谈谈有限域那些事儿

序言

在本人的其它博文中，介绍了主流的三种公钥加密算法：RSA、离散对数加密和椭圆曲线加密。出于可读性上的考虑，文章中尽量减少了代数相关的描述。实际上，他们或多或少都跟有限域扯上了关系，如果能从抽象代数角度去解释，会更简洁。

抽象代数基础

抽象代数，其实就是对我们日常使用的代数运算进行了抽象，将其泛化到更一般的领域。小学的时候我们学习加法和乘法，里面有说它们满足结合律、交换律、分配律。这么多年我们一直把这些性质当成自然而然的东西，但是在抽象代数中，定义某些运算时，他们未必就像在普通加法乘法里那么显然。

集合

这是高中数学就有的内容。集合具有三个性质：

1. 无序性。集合中的元素是无序的。
2. 唯一性。集合中每个元素都是唯一、不重复的。
3. 确定性。给定一个元素和一个集合，这个元素要么属于这个集合，要么不属于这个集合，不存在其它情况。

比较常见的集合有：整数集（$\mathbb{Z}$）、有理数集（$\mathbb{Q}$）、实数集（$\mathbb{R}$）等。

半群

在一个集合S中定义了某种运算（记作加法“+”，但这个加法指代广泛意义上的运算，并不是指日常使用的加法），那么在这个集合上，如果这种运算满足以下性质，那么他和集合S共同组成一个半群，记作(S, +)：

1. 封闭性。也就是运算的结果始终在集合S内
2. 结合律。也就是满足：(a + b) + c= a + (b + c)

例子：如果集合S是全体实数（记作“R”），而运算是实数加法，那么它们共同形成了一个半群，记作(R, +)

幺半群

如果一个半群(S, +)中存在一个元素e，使得S中所有的元素a都满足：

$$a+e=e+a=a$$

那么这个半群被称为幺半群，元素e被称为单位元或者幺元。

例子：(R, +)中，实数0符合这一要求，所以(R, +)是幺半群，0是它的单位元。

群

如果一个幺半群(S, +)中的每一个元素a都有唯一一个元素b与之对应且满足以下性质：

$$a+b=b+a=e，其中e是单位元$$

那么这个幺半群就是一个群。群中元素a和元素b互为逆元，记作a = -b或者b = -a。逆元存在，也就定义了群上的减法。a减去b，其实就是a加上b的逆元。也就是$$a-b=a+(-b)$$

例子：(R, +)中，每一个正数都和一个负数一一对应，他们的和为0。0取负是它自身。所以(R, +)是一个群。

交换群

如果一个群(S, +)符合交换律，即对于集合中任意元素a和b，满足：

$$a+b=b+a$$

那么这个群被称为交换群，又叫阿贝尔群。

例子：两个实数相加谁先谁后对结果没影响，满足交换律，所以(R, +)是一个交换群。

环

在一个交换群(S, +)上， 再定义另外一种运算（记作乘法“⋅”，同样地这个乘法也不是指日常使用的乘法），得到(S, +, ⋅)。如果(S, +, ⋅)满足以下性质：

1. (S, ⋅)是一个幺半群。
2. 两种运算满足分配律，即a(b + c) = ab + ac

那么那么(S, +, ⋅)形成一个环。此时群(S, +)的单位元被称为环(S, +, ⋅)的零元。

例子：实数集R和实数乘法形成一个幺半群(R, ⋅)，单位元是实数1，而且和实数加法满足分配律，所以(R, +, ⋅)是一个环。

除环

如果幺半群(S, ⋅)里除了零元以外的所有元素都有逆元，那么(S, +, ⋅)被称为除环。

例子：(R, ⋅)中，除了实数0（(R, +)的单位元）以外所有数都有倒数，一个数和他的倒数之积为1（单位元），也就是一个实数的倒数就是它的乘法逆元。所以(R, +, ⋅)是一个除环。但是如果把其中的实数集改为整数集，就不满足这个性质了，因为大于1的整数倒数不在整数集中，因此没有乘法逆元。

交换环

如果环(S, +, ⋅)中，(S, ⋅)满足交换律，那么(S, +, ⋅)被称为交换环。

例子：实数乘法满足交换律，所以(R, +, ⋅)是一个交换环。

域

如果一个环(S, +, ⋅)，既是除环又是交换环，那么它是一个域。

例子：(R, +, ⋅)既是除环又是交换环，所以它是一个域，称为实数域。

有限域

实数有无限多个，所以实数域是一个无限域。而如果一个域的元素是有限的，那么他就是一个有限域，又叫伽罗瓦域（就是以那个为爱死于决斗的数学家命名）。

有限域中元素的个数被称为有限域的阶(order)。有限域的阶一定是某个素数p的k次幂（k是正整数）。

有限域$GF(p)$

最常见的有限域莫过于模素数p有限域$GF(p)$。

$GF(p)$是定义在整数集合 { 0 , 1 , . . . , p − 1 } \{0, 1, … , p-1\} {
0,1,...,p−1}上的域。$GF(p)$上的加法和乘法分别是模加法和模乘法。

加法和乘法

模加法模乘法和普通的整数加法乘法类似，唯一不同的是，当运算的结果超出范围时，要将运算结果对素数p取模。比如$GF(7)$定义在 { 0 , 1 , 2 , 3 , 4 , 5 , 6 } \{0, 1, 2, 3, 4, 5, 6\} {
0,1,2,3,4,5,6}上，它的加法和乘法是这样的：
$$\begin{array}{rl}1+2=3\mathrm{m}\mathrm{o}\mathrm{d}7& =3\\ 5+6=11\mathrm{m}\mathrm{o}\mathrm{d}7& =4\\ 1\ast 2=2\mathrm{m}\mathrm{o}\mathrm{d}7& =2\\ 4\ast 5=20\mathrm{m}\mathrm{o}\mathrm{d}7& =6\end{array}$$

减法

除法

有限域$GF(2^m)$

除了$GF(p)$外，常见的有限域还有$GF(2^m)$。它在里德-所罗门编码（二维码使用的编码）以及椭圆曲线加密中都有使用。

$GF(2^m)$正如他的名称，包含$2^m$个元素。为什么是2的m次方而不是3的m次方或者5的m次方呢？

因为计算机是二进制的，$2^m$个元素恰好跟长度为m的二进制数（$0\sim 2^m-1$）一一对应。比如$GF(2^8)$，刚好跟计算机中8个二进制位，也就是一个字节（0~255）对应。所以它在计算机或者专用硬件上可以有很高的运算效率。

为了方便，我们把$GF(2^m)$中的元素表示成长度为m的二进制形式。下面以m=3为例

加法和减法

$GF(2^m)$上的加法和减法都是异或运算。加法单位元是000。
010和110都是GF(2^3)的元素。那么
$$\begin{array}{rl}010+110=010\oplus 110& =100\\ 010-110=010\oplus 110& =100\end{array}$$
因为长度为m的二进制数异或结果还是长度为m的二进制数，所以不需要考虑结果超出范围的情况。

乘法

乘法其实就是移位加上异或。乘法单位元是001。
举个栗子，111乘以101，基于乘法分配律，可以得到：
$$\begin{array}{rl}111\ast 101& =111\ast 100+111\ast 00+111\ast 1\\ & =11100+0000+111\\ & =11100\oplus 111\\ & =11011\end{array}$$
如果直接相乘得到的结果长度不大于m，这就是最终结果。但是这里得到的结果是11011，长度超过了3，那么就要想办法对它进行处理。怎么处理呢？还是对一个“素数”取模。
需要注意，这里的“素数”并不是普通的素数，而是基于上述乘法，无法由两个数相乘得到的数。这样的“素数”可能有多个，不同的选择会有不同的结果。

对于$GF(2^3)$，1011就是其中一个“素数”。11011对1011取模，过程如下：
$$\begin{array}{rl}11011\mathrm{m}\mathrm{o}\mathrm{d}1011& =11011-1011\ast 10\mathrm{m}\mathrm{o}\mathrm{d}1011\\ & =11011\oplus 10110\mathrm{m}\mathrm{o}\mathrm{d}1011\\ & =1101\mathrm{m}\mathrm{o}\mathrm{d}1011\\ & =1101-1011\ast 1\\ & =1101\oplus 1011\\ & =110\end{array}$$

除法

除法依然是乘以一个倒数，使用的方法同$GF(p)$一样是扩展欧几里得算法，这里不作介绍。

参考文献