本篇主要介绍密码学中关于抽象代数有关群论的内容

代数结构

设$G$为非空集合，后跟一个二元运算。

二元运算需要两个运算数，比如加减乘除需要两个运算数，它们就是二元运算。

$(G,*)$

把一个集合和指定的一个或者多个运算组合到一起所形成的结构，如果满足封闭性，就能成为一个代数结构。

什么是封闭性？

我们对于$\forall a,b\in G$，对其进行运算，所得结果跑不出这个集合，仍然为集合里的元素，即为：

$a*b\in G$

比如$(Z,\div)$就不是一个代数结构，因为整数相除可能不为整数，不满足封闭性，而且0不能作为除数，运算不能适用于所有元素。

群论

群（group）

定义$(G,*)$为一个群，那么它满足以下四条性质：

①封闭性：$\forall a,b\in G,a*b\in G$

②结合律：$\forall a,b,c\in G,a*b*c=(a*b)*c$，揭示了元素运算顺序不影响最终结果。

③有单位元（幺元）：$\exists e\in G,\forall a\in G,a*e=e*a=a$，群里的单位元为唯一的。例如加法里的0，乘法里的1。

如果$e$只能位于运算符号的一边而不能满足交换律，则不能称作单位元，根据$e$的位置成为左单位元和右单位元。

④逆元：$\forall a\in G,\exists b\in G,a*b=b*a=e$，$a$的逆元记为$a^{-1}$，单位元以自身为逆元，每个元素只有唯一的逆元。

$(Z,+)$为一个群，满足封闭性和结合律，单位元为0，逆元为相反数。

$(Q,×)$不是一个群，尽管满足封闭性和结合律，单位元为1，逆元是有理数的倒数，但是0没有倒数（逆元），不满足要求。如果在Q中排除0，这就是一个群。

对于模运算$(Z_p^*,×)$，满足封闭性和结合律（需要模p），单位元为1，逆元为乘法逆元，因为集合里的元素都和p互素，所以都有乘法逆元，满足要求。

如果$(G,*)$为一个群，写作：$G$是一个群。

$Z_p^*$是一个群，默认运算为模p下的乘法。

对于群$(G,*)$：

有限群：G为有限集合，如$(Z^*_p,×)$，称$G$的元素个数叫做$G$的阶，记作$|G|$

无限群：G为无限集合，如$(Z,+)$，$G$的阶叫做无限阶。

平凡群：群里只有一个元素，这个唯一元素就是单位元。

群的性质

①消去律：$a*b=a*c\Rightarrow b=c$

②方程$a*x=b$，有唯一解$x\in G$，解为$x=a^{-1}*b$

③$(a*b)^{-1}=b^{-1}*a^{-1}$

④$(a^{-1})^{-1}=a$

证明③和④很简单，我们可以在③中把$a*b$看做一个元素，$b^{-1}*a^{-1}$当做另一个元素，等式成立就是相当于两个元素互为逆元，证明两个元素相乘是否等于$e$就行，第④个也是一样的道理：$a^{-1}*a=e$

阿贝尔群

阿贝尔群又称作交换群。

如果对于群$G$中的任何元素$a,b\in G$，都有$a*b=b*a$，称$G$为阿贝尔群。

简单来说，一个阿贝尔群要满足结合律、交换律、单位元、逆元、封闭性五个性质。

证明群$G$是阿贝尔群，也就是证明群$G$满足交换律，可以使用此关系来判断:$\forall a,b\in G,(a*b)^2=a^2*b^2$

群的简记符号

$a^t\ :\ a*a*…*a$，$a$是群的元素，$t$是整数（不要理解为$a$和$t$的运算）

$a_{-t}\ :\ (a^{-1})^t=a^{-1}*a^{-1}*…*a^{-1}$

得到结论：

$(a^t)^m=a^{tm}$

$a^t*a^m=a^{t+m}$

$(a^{-1})^t=(a^t)^{-1}$

当$G$为阿贝尔群，$\forall a,b\in G$，有$(a*b)^t=a^t*b^t$

子群

设$(G,*)$是一个群，$H$是$G$的非空子集，如果$(H,*)$是一个群，称$(H,*)$是$(G,*)$的子群。

$G$的平凡子群：$(\{e\},*)$、$(G,*)$，

$G$除了平凡子群，其他子群都为非平凡子群，又叫做真子群。

如果$H$是$G$的子群，$e\in G$是单位元，那么$e$也是子群$H$的单位元，也就是说群的单位元也是其子群的单位元。

如果$H$是$G$的子群，$a\in H$，得到$a^{-1}\in H$，也就是说元素在子群中，它的逆元也一定在子群中。

判断子群

方法一：如果$H$是$G$的非空子集，根据群的封闭性，对于任意$a,b\in H$，都有$a*b^{-1}\in H$，那么$H$就是$G$的子群。

方法二：如果$H$是$G$的非空子集，如果$H$为有限集，而且$G$的运算$*$在$H$上满足封闭性，得到$H$就是$G$的子群。

简单来说，$H$是有限集而且封闭，便是子群。

如何构造子群

对于阿贝尔群$G,m\in Z$，得到子群：$G\{m\}=\{a^m|a\in G\}$

证明：

根据之前判断子群的方法，我们只要证明$a^m*(b^m)^{-1}$仍是子集里的元素就行，进行运算：
$a^m*(b^m)^{-1}=a^m*(b^{-1})^m=(a*b^{-1})^m$

如：$(Z^*_p)^2$是$Z^*_p$的子群，$(Z^*_n)^m$是$Z^*_n$的子群（m次剩余）。

对于群$(Z,+)$，可以得到其中一个子群$mZ=\{mz|z\in Z\}$

对于群$(Z_n,+)$，可以得到其中一个子群$mZ_n=\{mz\bmod n|z\in Z_n\}$

下面列举一个简单的例子：

$Z_{15}$	1	2	3	4	5	6	7	8	9	10	11	12	13	14
$2Z_{15}$	2	4	6	8	10	12	14	1	3	5	7	9	11	13
$3Z_{15}$	3	6	9	12	0	3	6	9	12	0	3	6	9	12
$4Z_{15}$	4	8	12	1	5	9	13	2	6	10	14	3	7	11
$5Z_{15}$	5	10	0	5	10	0	5	10	0	5	10	0	5	10
$6Z_{15}$	6	12	3	9	0	6	12	3	9	0	6	12	3	9

介绍另一种构造方法：

对于阿贝尔群$G,m\in Z$，得到子群：$G\{m\}=\{a\in G|a^m=e\}$

证明：如果$a,b\in G$而且$a^m=b^m=e$，则$a,b\in G\{m\}$

同理，根据之前判断子群的方法：$(a^m*b^{-1})^{m}=e\in G \{m\}$

例如对于$(Z_n,+)$，使用这种构造方法我们得到$Z_n\{m\}=\{z\in Z_n|mz\equiv 0 (\bmod n)\}$，哪些元素会在子群里呢？

满足式子$mz\equiv 0 (\bmod n)\Rightarrow z\equiv 0(\bmod \frac n d)$，这里不确定m和n是否互素，需要对模数进行运算，$d=gcd(m,n)$

换个写法又能得到$Z_n\{m\}=\{0,\frac n d,\frac {2n}d,\frac {3n}d,…,\frac {(d-1)n}d\}=\frac n dZ_n$

由于子群里的元素都乘$d$之后又是$n$的倍数，又可以写成$Z_n\{m\}=Z_n\{d\}$

我们可以使用之前$Z_{15}$的数表来具体分析一下：

$Z_{15}$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14
$6Z_{15}$	0	6	12	3	9	0	6	12	3	9	0	6	12	3	9

可以拿$m=6$来看，把等于0的挑出来，分别对应原来的$0,5,10$，这三个数构成$Z_{15}$的子集$Z_{15}\{6\}$

又根据刚刚的分析，$gcd(6,15)=3,Z_{15}\{6\}=Z_{15}\{3\}$

$Z_{15}$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14
$3Z_{15}$	0	3	6	9	12	0	3	6	9	12	0	3	6	9	12

可见，对于子集$Z_{15}\{3\}$，是和$Z_{15}\{6\}$子集完全一样的，都包含$0,5,10$三个元素。

而且，我们知道$Z_n\{m\}=\frac n dZ_n,\frac n d=\frac 3{15}=5$，所以以上的子集满足$Z_{15}\{3\}=Z_{15}\{6\}=5Z_{15}$，也就是说$5Z_{15}$中也只有三个元素$0,5,10$：

$5Z_{15}$	0	5	10	0	5	10	0	5	10	0	5	10	0	5	10

整数群的子群

这里的$Z$是$(Z,+)$，$Z_n$是$(Z_n,+)$。

定理1：$H$是$Z$的子群，则存在唯一的非负整数m，使得$H=mZ$，$mZ=\{mz|z\in Z\}$

换句话说，判断$H$是不是$Z$的子群是很容易的，只要看看能不能找到一个非负整数构成这种倍数形式的集合，如果找不到这个非负整数，那么一定不是$Z$的子群。

证明存在性：如果$H=\{0\},m=0$，定理成立，如果$H$里还存在非零整数，那么一定会有正整数（$Z$群逆元为相反数，一正一负），我们可以假设$m\in H$是$H$里最小的正整数，也就是证明$H=mZ$就可以了。

我们可以假设$m\in H$是$H$里最小的正整数，$a\in H$是$H$的任意整数，写成$a=qm+r,0≤r<m$（q可以理解成q个m相加），得到$r=a-qm\in H$，如果$r≠0，r$是$H$里小于$m$的正整数，矛盾，所以$r=0$，得到$a=qm$，$H$的所有元素都是$m$的倍数，也就是说$H$的元素都在$mZ$里，有$H\subseteq mZ$

同时，因为$m\in H$，根据群的封闭性，$m$的倍数都属于$H$，$mZ$的集合里由于都是$m$的倍数，所以$mZ\subseteq H$，综合得到$H=mZ$

所以，整数群的子群都具有形如$mZ$的形式。

证明唯一性：假设存在非负整数$x$，使得$mZ=xZ$，因为$x\in xZ$，得到$x\in mZ，m|x$，同理$x|m$，由整除知识可得$m=±x$，因为是非负整数，$m=x$，得到唯一性。

定理2：$m_1,m_2$是非负整数，$m_2|m_1\iff m_1Z\subseteq m_2Z$

例如取3和9，易知$3Z=\{0,±3,±6,±9,…\},9Z=\{0,±9,…\}$，可得$9Z\subseteq 3Z$

定理3：$H$是$Z_n$的子群，存在$n$的唯一正因子$m$，使得$H=mZ_n$，$m_1,m_2$是$n$的正因子，$m_2|m_1\iff m_1Z_n\subseteq m_2Z_n$

子群构造子群

定理1：$H_1,H_2$是阿贝尔群$G$的子群，那么$H=H_1H_2$也是$G$的子群。

$H=H_1H_2=\{a_1*a_2|a_1\in H_1,a_2\in H_2\}$

证明可以分别设两个群的$a,b$，然后根据$a*b^{-1}\in H$可以证明（由于证明需要使用交换律，所以这里限制只能为阿贝尔群）。

注意：通常下$H_1H_1≠2H_1$，例如$Z+Z=Z=\{0,±1,±2,…\}$，但是$2Z=\{0,±2,±4,…\}$

扩展：$H_1,H_2,…,H_n$是阿贝尔群$G$的子群，那么$H=H_1H_2…H_n$也是$G$的子群。

$H_1H_2…H_n=\{a_1*…*a_n|a_1\in H_1,…,a_n\in H_n\}$

定理2：$H=H_1\cap H_2=\{a|a\in H_1,a\in H_2\}$

简单来说就是，子群的交集是子群。

简单证明：

$H$非空，因为两个子群里都有单位元。

在$H$里的两个元素$a,b$，因为$a,b\in H_1$，得到$a*b^{-1}\in H_1$

同理得到$a*b^{-1}\in H_2$

得到$a*b^{-1}\in H$，由于证明没有用到交换律，所以是否是阿贝尔群都能用。

根据这种构造法则，经过简单拓展可以知道如果$H_1,…,H_n$是群$G$的子群，那么$H_1\cap …\cap H_n$也是$G$的子群。

子群的并集未必是子群。比如$2Z,3Z$两个群的并集里，$5=2+3\notin 2Z\cup 3Z$，封闭性不成立。

定理3：$H_1,H_2$是群$G$的非平凡子群，那么$G≠H_1\cup H_2$

陪集

如果$H$是群$G$的子群，$a\in G$：

$aH=\{a*h|h\in H\}$是$H$关于$a$在$G$中的左陪集。

$Ha=\{h*a|h\in H\}$是$H$关于$a$在$G$中的右陪集。

如果$aH=Ha$，那么称其为$H$关于$a$在$G$中的陪集，这个$a$成为代表元。

陪集的符号表示可以为$[a]_H$，其研究目的是以子群$H$为基准去观察群里每个元素和$H$之间的关系。

例如：对于加法群$Z$的子群$3Z=\{0,±3,±6,…\}$，所构造的子群可以写成以下形式：

$[0]_{3Z}=\{0,0±3,0±6,…\}=3Z$

$[1]_{3Z}=\{1,1±3,1±6,…\}$

$[2]_{3Z}=\{2,2±3,2±6,…\}$

…

我们可以发现，每个整数只存在于唯一的陪集中，这种陪集的实质就是对整数群的划分，在这里，加法群的陪集的构造依据就是整数与3的倍数之间的距离。$[0]_{3Z}$与3的倍数距离为0，也就是子群本身，$[1]_{3Z}$与3的倍数距离为1，$[2]_{3Z}$和与3的倍数距离为2。

陪集的性质

①$a\in [a]_H$

这是因为子群里肯定存在单位元，$a*e=a$，所以$a$必定存在于陪集中。

②$[e]_H=H$（$[e]_H$称作平凡陪集，其他陪集称作非平凡陪集）

子群本身就是一个陪集，也就是所谓的平凡陪集，单位元只存在于子群这个陪集里。

单位元和子群中任意元素运算都等于元素本身。

同时，得知用子群构造的所有陪集里必然包含其本身，而且用子群里的元素构造的陪集也必然是这个子群本身，反之，如果一个陪集等于子群，那么这个陪集的代表元必然是子群的元素（封闭性），推广得到：

$a\in H\iff [a]_H=H$

③$[a]_H=[b]_H\iff a^{-1}*b\in H(b^{-1}*a\in H)$

简单证明：

在两个陪集中，根据相等我们可以知道$b$必然等于$a$构造的陪集中的某个元素，可以得到$b=a*h$，整理一下可以得到$a^{-1}*b=h$，因为$h$是$H$的元素，所以有$a^{-1}*b\in H$

用$a^{-1}*b\in H$按照这个上面的思路也可以反向得到两个陪集相等的结论。

拉格朗日定理（群论）

本节中对于群的阶指的是群中元素的个数，用$|H|$表示。

$a\equiv b(\bmod H)$：$a$和$b$在同一个由$H$构造的陪集里，进一步得到两种可能性：

$a,b$在相同陪集$\iff a\equiv b (\bmod H)\iff b=a*h,\exists h \in H\iff b\in [a]_H\iff [b]_H=[a]_H$

所以，对于$[a]_H$，指代着这几层含义：

①以$a$为代表元的陪集。

②$a$和$H$构造的陪集。

③$H$为分类依据时，$a$被分类到的陪集。

在之前学习同余知识的时候，我们知道：

$a \equiv b(\bmod n)\Rightarrow $剩余类

这里我们可以这样理解：

$a \equiv b(\bmod H)\Rightarrow $陪集

性质：任何两个陪集$[a]_H,[b]_H$之间存在双射，同一个子群构造的所有陪集$[a]_H$和子群$H$大小是相等的。

拉格朗日定理：$G$是有限群，$H$是$G$的任何子群，那么$\vert H \vert|\vert G \vert$

例如$|G|=15$，那么子群只可能含有1,3,5或15个元素。

设$H$构成的陪集为$[a_1]_H,…,[a_n]_H$，根据上面的性质，这些陪集（相当于等价类）对$G$进行了划分，这些陪集的并集恰好是整个群$G$，我们可以得到：

$|G|=\sum^n_{i=1}|[a_i]_H|=n|H|$

可见，群$G$的大小就是$H$的倍数，子群的阶就是群的阶的因子，上面的$n$就是这个子群能产生的陪集的个数。

比如说对于加法群$Z_6=\{0,1,2,3,4,5\}$，设一个子群为$3Z_6=3×\{0,1,2,3,4,5\}=\{0,3\}$（别忘了进行模运算）

根据子群形成了三个陪集，这三个陪集，就是对群$Z_6$的划分：

$[0]_{3Z_6}=[3]_{3Z_6}=\{0,3\}$

$[1]_{3Z_6}=[4]_{3Z_6}=\{1,4\}$

$[2]_{3Z_6}=[5]_{3Z_6}=\{2,5\}$

每个陪集包含两个整数，正好等于子群元素个数，群的阶为6，子群的阶2，刚好成倍数关系，商为3，正好等于陪集的个数。

商群

设$N$为群$G$的子群，如果对于$\forall a\in G$都有$aN=Na$，那么称$N$为$G$的正规子群。

利用正规子群和群的元素，我们构造陪集，将这些陪集集中起来，定义集合$G/N=\{[a]_N|a\in G\}$，这个集合的元素也是一些集合，就是用正规子群构造的陪集。

定义二元运算$[a]_N*[b]_N=[a*b]_N,a,b\in G$，得到群$(G/N,*)$，这个群是群$G$在模$N$下的商群。

对于上面的二元运算，可以先计算$a*b$，根据封闭性得知运算结果也是群内的元素，然后用这个结果和$N$取陪集。

我们定义$[G:N]$为商群$G/N$的阶。

定理1：$G$为有限群，$N$为群$G$的正规子群，有$[G:N]=\frac{|G|}{|N|}$

这里的$[G:N]$其实就是前面拉格朗日定理里面公式的$n$。

定理2：$G$为有限群，$N$为群$G$的正规子群，$K$为$N$的正规子群，那么$[G:K]=[G:N][N:K]$

对于阿贝尔群：

如果$N$为阿贝尔群$G$的子群，对于$\forall a\in G$，有$aH=Ha=[a]_H$

针对阿贝尔群有几个性质：

阿贝尔群的子群都为正规子群；阿贝尔群的任意子群都可以构造商群；阿贝尔群的子群构造的商群也是阿贝尔群。

对于整数群$Z=\{0,±1,±2,…\}$

有子群$nZ=\{0,±n,±2n,…\}$

商群$Z/nZ:$

$[0]_{nZ}=\{0,±n,±2n,…\}=[0]$

$[1]_{nZ}=\{1,1±n,1±2n,…\}=[1]$

$[2]_{nZ}=\{2,2±n,2±2n,…\}=[2]$

…

$[n-1]_{nZ}=\{n-1,(n-1)±n,(n-1)±2n,…\}=[n-1]$

商群里有$n$个不同的陪集，同时，我们可以发现这个商群实际上就是模$n$下剩余类的的集合：$Z/nZ=\{[0],[1],…,[n-1]\}=Z_n$，这个剩余类集合和商群实际上是一个东西，只不过产生的角度不同。

群同态

设群$(G,*)$和群$(G’,\otimes)$，如果函数$f:G→ G’$对于$\forall a,b \in G$，都有：

$f(a*b)=f(a)\otimes f(b)$

那么$f$就是$(G,*)$到$(G’,\otimes)$的群同态。

利用群同态这种映射，我们可以用一个群来分析另一个群。

群之间的同态映射可能存在多个，不一定是唯一的。

群$G$元素经过映射后落点可能只是$G’$的子集，$G’$的部分元素在$G$中找不到原像，所以引入一个新的概念——同态像（$Im\ f$），简称像，即为$G’$中能找到原像的元素构成的子集。

另外一个重要集合为$f$的同态核（$Ker\ f$），简称核。对于群$G$来说，$G$的元素经过$f$映射后等于$G’$的单位元的元素就是核里的元素。

同态像：$Im\ f=f(G)=\{f(a)|a\in G\}$

同态核：$Ker\ f=\{a\in G|f(a)=e’\}$

在群同态中，$Ker\ f$为正规子群。

嵌入映射

子群和群之间可以定义一个群同态，$f$为元素到其自身的映射，称为嵌入映射。

$H→G\ \ ;\ \ f(a)=a$

子群到群的嵌入映射是一种群同态。

嵌入映射原像和像为一对一，$f$还是单射，这种群同态又叫做单一同态。

自然映射

$G→G/N\ \ ;\ \ f(a)=[a]_N$

群$G$的每个元素通过函数会映射分类进相应的陪集，这个函数为自然映射，属于群同态，定义域为$G$，值域为响应的商群。

$N$为正规子群，又叫做平凡陪集。包含着群的单位元，也是商群的单位元。

根据上面同态核的定义，得知被分类到$N$的元素都是同态核的元素。

自然映射的同态核是正规子群$N$。

此外，在自然映射中，每个陪集总有与之对应的原像，为满射，称为满同态。

m次方映射

如果$G$为阿贝尔群，在阿贝尔群自身就能定义一个群同态：

$G→G\ \ ;\ \ f(a)=a^m$

同态像：$Im\ f=G^m$；同态核：$Ker\ f=G\{m\}$

可以对群$Z^*_p$进行m次方映射，有$f(a)=a^2\ \bmod p$，类似于二次剩余。

$Im\ f=(Z^*_p)^2$

$Ker\ f=(Z^*_p)\{2\}=\{±1\}=\{1,p-1\}$

雅可比映射

$Z^*_n→\{±1\}\ \ ;\ \ J_n(a)=(\frac an)$

群同态的性质

①$f(e)=e’$，这里的$e,e’$为群$G,G’$的单位元。

②$f(a^{-1})=f(a)^{-1},\forall a\in G$，换句话说：互为逆元的两个元素群同态下映射后仍为逆元。

证明：$f(a^{-1})\otimes f(a)=f(a^{-1}*a)=f(e)$

③$H$为$G$的子群，那么$f(H)$为$G’$的子群。

扩展：如果$H$为平凡子群，$H=G$，$f(H)$就是表示$G$的所有元素映射后形成的集合，就有：

$H=G\Rightarrow f(G)=Im\ f$

得出结论：同态像是$G’$的子群。

④$H’$是$G’$的子群，那么$f^{-1}(H’)$为$G$的子群。

扩展：有$H=\{e’\}$，得$f^{-1}(H’)=f^{-1}({e’})=Ker\ f$

得出结论：同态核是$G$的子群。

⑤$f(a^m)=f(a)^m,\forall a\in G,\forall m\in Z$

复合群同态

$f$为群$G$到群$G’$的群同态，$f’$为$G’$到$G’’$的群同态，那么$f,f’$的复合也是群同态：

$f'\circ f:G→G''$

判断单一同态

定理1：$f:G→G’$为群同态，$\forall a,b\in G$，有$f(a)=f(b)\iff a\equiv b\ (\bmod Ker\ f)$

定理2：$f:G→G’$为群同态，有：$f$为单射$\iff Ker\ f=\{e\}$

判断单一同态的方法：

看看同态核是否只有单位元$e$：$f$为单射$\iff Ker\ f=\{e\}$

同样的：$f$为满同态$\iff Im\ f=G’$

群同构

如果群同态为双射函数，那么就称为群同构。

$G$和$G’$同构，记为$G\cong G’$

$G$和$G$本身构成群同构，称为自同构。

同构的群，本质上为同一个群。

第一同构定理

又称为基本同态定理：

设群$(G,*)$和群$(G’,\otimes)$，$f:G→G’$是群同态，同态核为$Ker\ f$，同态像为$Im\ f$，那么$G/Ker\ f\cong Im\ f$

此外也能得到$G/Ker\ f→G’$为单一同态。

循环群

构造子群的新方法：

对于群$G，a\in G$，得到$\langle a\rangle=\{a^z|z\in Z\}$为$a$生成的$G$的子群。

那么，定义群$G，g\in G$，如果$G=\langle g\rangle$，那么$G$为循环群，$g$称为循环群的生成元。

一个群如果能写成$G=\langle g\rangle$的形式，就是循环群。如整数群就是循环群：
$Z=\{z|z\in Z\}=\{z\cdot 1|z\in Z\}=\langle 1\rangle$ $Z=\{z|z\in Z\}=\{z\cdot (-1)|z\in Z\}=\langle -1\rangle$
$Z^*_5$为乘法循环群：
$Z^*_5=\\{1,2,3,4\\}=\langle 2\rangle=\langle 3\rangle$

根据群元素的个数，可以分为有限循环群和无限循环群。

定理：

1.任何循环群都是阿贝尔群。

2.循环群的子群也是循环群。

3.设$G$为循环群，$H$为子群，那么商群$G/H$也是循环群。

对于这条定理，要注意循环群的生成元为$g$，而商群的生成元为一个子群。

元素的阶

对于群$G,a\in G$，如果$n$为满足$a^n=e$的最小正整数，那么$n$为$a$的阶。

其本义是元素自身运算了$n$遍到达了单位元，可以抽象理解为元素到单位元的距离。

性质：

1.对于群$G$，元素$a$的阶为$n$，那么$\forall m\in Z$，有：

$n|m\iff a^m=e$

换句话说：只有$n$的倍数才能满足$a^n=e$。

2.有限循环群的阶为$n$（元素个数），那么生成元的阶也为$n$。

生成元能生成多少个元素，群里就有几个元素。再生成就会生成以前生成过的元素，如此循环。如$g,g^2,g^3,…,g^n(=g^0=e),g^{n+1}=g,…$。

3.正整数$d|n$，$n$阶有限循环群恰有唯一的$d$阶子群。

例如$G$的阶为15,15正因子为$1,3,5,15$，那么$G$有4个子群，它们的阶为$1,3,5,15$，同样符合拉格朗日定理。

4.$n$阶有限循环群$\langle g\rangle$，$\forall k\in Z$，有$g^k$的阶为$\frac n {gcd(n,k)}$。

证明：假设有$g^{km}=e$，根据第一条性质，有$n|km$。

得到$km=lcm(n,k)=\frac {nk} {gcd(n,k)}$

如果$gcd(n,k)=1$，那么$g^k$的阶也为$n$，它也是生成元，这就可以推出下面的第五条结论。

5.阶是$n$的有限循环群一共有$\phi(n)$个生成元。

6.$G$是有限群，元素$a$的阶是$|G|$的因子。

此外，有结论：$a^{|G|}=e$

7.素数阶的群必然是（有限）循环群。

可知，乘法阶就是元素的阶的一个实例。

注意：假设模$n$下存在原根，原根的阶为$\phi (n)$，群$Z_n^*$的阶也为$\phi (n)$，这个群有$\phi (n)$个元素，原根可以生成群的所有元素，得知原根为群的生成元，这个群为循环群。

RSA的$Z_n^*$群就不是循环群，只是一个阿贝尔群。

模数为素数时，$Z_p^*$为循环群。

密码学的数学基础（三）