Generierung von Primzahlen - Prof. Dr. Christoph Karg

Werbung
Kryptographische Protokolle
Lerneinheit 2: Generierung von Primzahlen
Prof. Dr. Christoph Karg
Studiengang Informatik
Hochschule Aalen
Sommersemester 2017
28.4.2017
Einleitung
Einleitung
Diese Lerneinheit beschäftigt sich mit der Generierung von
Primzahlen.
Es interessieren folgende Fragen:
• Wie hoch ist die Chance, dass eine zufällig gezogene Zahl eine
Primzahl?
• Wie kann man überprüfen, ob eine Zahl eine Primzahl ist?
• Gibt es effiziente Algorithmen für Primzahltests?
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
2 / 45
Wissenswertes über Primzahlen
Wissenswertes über Primzahlen
Definition. π(n) steht für die Anzahl der Primzahlen, die
kleiner-gleich n sind
Satz 1 (Primzahlsatz) Es gilt für alle ganzen Zahlen n:
π(n) ≈
n
ln(n)
Dies bedeutet, daß eine zufällig aus der Menge {1, 2, . . . , n} gezogene
Zahl mit Wahrscheinlichkeit 1/ ln(n) eine Primzahl ist. Die
Wahrscheinlichkeit erhöht sich auf 2/ ln(n), wenn ausschließlich
ungerade Zahlen zieht.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
3 / 45
Wissenswertes über Primzahlen
Wissenswertes über Primzahlen (Forts.)
n
π(n)
n/ ln(n)
100 1000 10000 100000 1000000
25
168
1229
9592
78498
21.7 144.8 1085.8 8685.9 72382.2
Zieht man eine ungerade Zahl aus {1, 3, . . . , 2256 − 1} zufällig, dann
ist sie mit Wahrscheinlichkeit 2/ ln(2256 ) ≈ 1/88.7 eine Primzahl.
Mit anderen Worten: Im Schnitt muß man 89 ungerade Zahlen unter
Gleichverteilung ziehen, um eine Primzahl aus obiger Menge zu
finden.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
4 / 45
Ein einfacher Primzahltest
Ansatz
Ein einfacher Primzahltest
Satz von Fermat:
Ist n eine Primzahl, dann gilt für alle a ∈ Z∗n :
an−1 ≡ 1 (mod n).
Konsequenz: Existiert ein a ∈ {1, 2, . . . , n − 1} so dass an−1 ̸≡ 1
(mod n), dann ist n mit Sicherheit keine Primzahl.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
5 / 45
Ein einfacher Primzahltest
Ansatz
Pseudo-Primzahl-Test
PseudoPrime(n, s)
Input: Ganze Zahlen n, s, wobei n ≥ 3 ungerade und s > 0
Output: Primzahl oder Keine Primzahl
1 for i := 1 to s do
2
a := Random(1, n − 1)
3
if gcd(a, n) ̸= 1 then
4
return Keine Primzahl
5
if an−1 ̸≡ 1 (mod n) then
6
return Keine Primzahl
7 return Primzahl
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
6 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s)
Ziel: Bewertung der Qualität von PseudoPrime(n, s)
Definition. Sei n eine natürliche Zahl. Die Zahl a ∈ Z∗n ist ein
Beweis, dass n eine zusammengesetzte Zahl ist, falls
an−1 ̸≡ 1 (mod n).
Wunsch: Es gibt viele Beweise, dass n eine zusammengesetzte Zahl
ist ⇝ gute Chance, dass eine solche Zahl gezogen wird
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
7 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Satz 2 Sei n eine beliebige natürliche Zahl. Angenommen, es
existiert ein Beweis, dass n eine zusammengesetzte Zahl ist. Dann
sind mindestens die Hälfte der Zahlen in Z∗n Beweise, dass n eine
zusammengesetzte Zahl ist.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
8 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Beweis. Sei n ∈ N beliebig gewählt.
Betrachte die Menge
B = {a ∈ Z∗n | an−1 ≡ 1 (mod n)}
Für alle a, b ∈ B gilt:
(a · b)n−1 ≡ an−1 · bn−1 ≡ 1 · 1 ≡ 1 (mod n)
Folglich ist auch a · b ∈ B
Also ist B abgeschlossen unter der Multiplikation modulo n
Laut ZTK (Satz 9.9) ist B eine Untergruppe von Z∗n
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
9 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Angenommen, es existiert ein Beweis a ∈ Z∗n , dass n eine
zusammengesetzte Zahl ist.
Da a ∈
/ B, ist B eine echte Untergruppe von Z∗n , d.h., B ⊊ Z∗n .
Wegen ZTK (Satz 10.2) muss ∥B∥ ein Teiler von ∥Z∗n ∥ sein.
Hieraus folgt, dass ∥B∥ ≤
Also gibt es mindestens
Zahl ist.
Prof. Dr. C. Karg (HS Aalen)
∥Z∗n ∥
.
2
∥Z∗n ∥
2
Beweise, dass n eine zusammengesetzte
Kryptographische Protokolle
Generierung von Primzahlen
10 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Satz 3 Sei n eine beliebige natürliche Zahl. Angenommen, es
existiert ein Beweis, dass n eine zusammengesetzte Zahl ist. Dann ist
die Wahrscheinlichkeit, dass PseudoPrime(n, s) die Zahl n als
Primzahl einstuft, ist höchstens 21s .
Bemerkungen:
• Die Wahl von s beeinflusst die Fehlerwahrscheinlichkeit.
• Die Fehlerwahrscheinlichkeit nimmt exponentiell in s ab.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
11 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Beweis. Sei n ∈ N eine Zahl, für die ein Beweis für deren
Zusammengesetztheit existiert.
Betrachte einen Durchlauf der for Schleife von PseudoPrime(n, s)
und die gezogene Zufallszahl a.
n wird als zusammengesetzte Zahl eingestuft, falls
1. a ein Beweis ist, dass n zusammengesetzt ist, oder
2. a ∈
/ Z∗n , d.h., gcd(a, n) > 1
Beide Fälle sind disjunkt.
Die Anzahl der Zahlen in {1, . . . , n − 1}, die einen der beiden Fälle
erfüllen ist:
∥Z∗n ∥ − ∥B∥ + (n − 1) − ∥Z∗n ∥
|
{z
} |
{z
}
Fall 1
Prof. Dr. C. Karg (HS Aalen)
Fall 2
Kryptographische Protokolle
Generierung von Primzahlen
12 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Die Wahrscheinlichkeit, dass in einem Schleifendurchlauf die Zahl n
als zusammengesetzte Zahl klassifiziert wird, ist:
(∥Z∗n ∥ − ∥B∥) + (n − 1 − ∥Z∗n ∥)
≥
n−1
=
=
≥
=
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
∥Z∗n ∥
2
+ (n − 1 − ∥Z∗n ∥)
n−1
∗
n − 1 − ∥Z2n ∥
n−1
∥Z∗n ∥
1−
2(n − 1)
∥Z∗n ∥
1−
2∥Z∗n ∥
1
2
Generierung von Primzahlen
13 / 45
Ein einfacher Primzahltest
Analyse
Analyse von PseudoPrime(n, s) (Forts.)
Die Wahrscheinlichkeit, dass n in einem Schleifendurchlauf nicht als
zusammengesetzt erkannt wird, ist demnach höchstens 12 .
Damit n als Primzahl eingestuft wird, muss n alle s
Schleifendurchläufe passieren, ohne als zusammengesetzte Zahl
erkannt zu werden.
Da die Schleifendurchläufe stochastisch unabhängig
einander
( )von
s
sind, ist die Wahrscheinlichkeit hierfür höchstens 12 .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
14 / 45
Ein einfacher Primzahltest
Bemerkungen
Bemerkungen zu PseudoPrime(n, s)
• Der Fehler von PseudoPrime(n, s) ist einseitig:
▷ PseudoPrime(n, s)=“Keine Primzahl”
⇝ n definitiv keine Primzahl
▷ PseudoPrime(n, s)=“Primzahl”
⇝ n vermutlich eine Primzahl.
• Die Laufzeit von PseudoPrime(n, s) ist polynomial in log2 n
und s.
• Es gibt zusammengesetzte Zahlen, die von PseudoPrime(n, s)
als Primzahl eingestuft werden.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
15 / 45
Carmichael Zahlen
Carmichael Zahlen
Definition. Eine zusammengesetzte Zahl nennt man Carmichael
Zahl, falls
an−1 ≡ 1 (mod n)
für alle a ∈ Z∗n gilt.
Bemerkungen:
• Es gibt unendlich viele Carmichael Zahlen.
• Die Folge der Carmichael Zahlen beginnt mit
561, 1105, 1729, 2465, 2821, 6601, 8911, 10585, . . .
• Carmichael Zahlen sind extrem selten. Es gibt z.B. nur 255
Carmichael Zahlen, die kleiner als 108 sind.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
16 / 45
Carmichael Zahlen
Carmichael Zahlen und PseudoPrime(n, s)
Fakt: Eine Carmichael Zahl wird von PseudoPrime(n, s) nur als
zusammengesetzte Zahl erkannt, wenn ein a mit gcd(a, n) > 1
gezogen wird. Dies ist sehr unwahrscheinlich.
Ziel: Verbesserung des Primzahltests, so dass auch Carmichael
Zahlen erkannt werden.
Ansatz: Tuning von PseudoPrime(n, s) durch Einbau eines
zusätzlichen Tests, der für alle zusammengesetzten Zahlen
funktioniert.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
17 / 45
Miller Rabin Primzahltest
Quadratwurzeln
Quadratwurzeln
Definition. Sei n ∈ N beliebig gewählt. Die Zahl x ∈ Z∗n nennt man
Quadratwurzel von 1 (mod n), falls x2 ≡ 1 (mod n).
Bemerkung. Für alle n ∈ N gilt: −1 ≡ n − 1 (mod n).
Wissen aus Lerneinheit 1: Falls p > 2 eine Primzahl ist, dann sind
1 und p − 1 die einzigen Quadratwurzeln von 1 (mod p) in Z∗p .
Folgerung. Besitzt n eine Quadratwurzel x von 1 (mod n) mit
x ̸≡ ±1 (mod n), dann ist n keine Primzahl.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
18 / 45
Miller Rabin Primzahltest
Solide Beweise
Solide Beweise
Definition. Sei n > 1 beliebige ungerade natürliche Zahl. Wähle
r, u ∈ N, so dass r ≥ 1, u ungerade und n − 1 = 2r · u.
Die Zahl a ∈ Z∗n ist ein solider Beweis, dass n eine zusammengesetzte
Zahl ist, falls
(1) au ̸≡ ±1 (mod n)
i
(2) Für alle i = 1, . . . , r − 1 gilt: a2 u ̸≡ −1 (mod n)
Bemerkungen:
• Für jede ungerade ganze Zahl n existiert ein r und u, so dass
n − 1 = 2r · u.
• Die Berechnung von r und u gemäß obiger Definition ist anhand
der Binärdarstellung von n − 1 einfach durchzuführen.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
19 / 45
Miller Rabin Primzahltest
Solide Beweise
Solide Beweise (Forts.)
Beispiel. Gegeben ist die Zahl n = 96583122364964211633.
Es gilt: n − 1 = 6036445147810263227 · 24 .
Also ist u = 6036445147810263227 und r = 4.
Betrachte a = 2.
Es gilt:
au mod n
1
a2 u mod n
2
a2 u mod n
3
a2 u mod n
=
=
=
=
66201320698275764447
96583122364964211505
16384
268435456
̸=
̸=
̸=
̸=
±1
−1
−1
−1
Also ist a ein solider Beweis, dass n eine zusammengesetzte Zahl ist.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
20 / 45
Miller Rabin Primzahltest
Solide Beweise
Solide Beweise (Forts.)
Anwendung: Angenommen, a ist ein solider Beweis, dass n eine
zusammengesetzte Zahl ist. Seien r und u so gewählt, dass
n − 1 = 2r · u.
Fall 1: an−1 ̸≡ 1 (mod n). Also kann n wegen dem Satz von Fermat
keine Primzahl sein.
Fall 2: an−1 ≡ 1 (mod n). Dann existiert ein i ∈ {1, . . . r}, so dass
i
i−1
a2 u ≡ 1 (mod n) und a2 u ̸≡ ±1 (mod n). Also kann n keine
Primzahl sein, da es eine von ±1 verschiedene Quadratwurzel von 1
modulo n gibt.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
21 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen
Definition. Sei n ∈ N beliebig gewählt. Falls eine Primzahl p und ein
k ∈ N existiert, so dass n = pk , dann nennt man n eine
Primzahlpotenz.
Satz 4 Sei n ∈ N eine beliebige zusammengesetzte Zahl, die keine
Primzahlpotenz ist. Dann sind mindestens die Hälfte der Elemente in
Z∗n solide Beweise dafür, dass n eine zusammengesetzte Zahl ist.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
22 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
Beweis. Sei n beliebige zusammengesetzte Zahl, die keine
Primzahlpotenz ist.
Die Menge B1 ist definiert als
B1 = {b ∈ Z∗n | b ist kein solider Beweis für n}.
Ziel: Definition einer Menge B2 mit
(i) B1 ⊆ B2
(ii) B2 ist eine echte Untergruppe von Z∗n
Hieraus folgt der Satz, denn ∥B1 ∥ ≤ ∥B2 ∥ ≤
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
∥Z∗n ∥
.
2
Generierung von Primzahlen
23 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
Wähle nun r ≥ 1 und u so, dass n − 1 = 2r u und u ungerade.
Die Zahl j ist definiert als
{
}
es gibt ein a ∈ B1
j = max i ∈ {0, 1, . . . , r − 1} i
mit a2 u ≡ −1 (mod n)
0
Da −1 ∈ B1 und u ungerade, ist (−1)2 u ≡ −1 (mod n). Also ist j
wohldefiniert.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
24 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
Die Menge B2 ist definiert als
j
B2 = {a ∈ Z∗n | a2 u ≡ ±1 (mod n)}.
B1 ⊆ B2 : Wähle ein beliebiges a ∈ B1 .
Demnach ist a kein solider Beweis. Also existiert ein
i ∈ {0, 1, . . . , r − 1} mit:
i
i+1 u
a2 u ≡ a2
r
≡ . . . ≡ a2 u ≡ 1 (mod n)
j
Gemäß Definition von j gilt i ≤ j und somit a2 u ≡ 1 (mod n).
Also ist a ∈ B2 .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
25 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
B2 ist eine Untergruppe von Z∗n : Wähle beliebige a, b ∈ B2 .
Es gilt:
j
j
j
(a · b)2 u ≡ a2 u · b2 u ≡ (±1) · (±1) ≡ ±1 (mod n)
Also ist a · b ∈ B2 .
Mit ZTK (Satz 9.9) folgt, dass B2 eine Untergruppe von Z∗n ist.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
26 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
B2 ist eine echte Untergruppe von Z∗n : Laut Annahme ist n eine
zusammengesetzte Zahl und keine Primzahlpotenz.
Somit ist n = n1 · n2 mit gcd(n1 , n2 ) = 1.
Anwendung des Chinesischen Restsatzes: Für alle a ∈ B2 gilt
entweder
j
a2 u ⇋CRT
⟨n1 ,n2 ⟩ (−1, −1)
oder
j
a2 u ⇋CRT
⟨n1 ,n2 ⟩ (1, 1)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
27 / 45
Miller Rabin Primzahltest
Solide Beweise
Existenz von soliden Beweisen (Forts.)
j
Wähle ein a ∈ B2 mit a2 u ≡ −1 (mod n).
Definiere b ⇋CRT
⟨n1 ,n2 ⟩ (a1 , 1), wobei a1 = a mod n1 .
Es gilt:
j
j
b2 u ≡ a21 u
≡ −1
2j u
b
≡ 1
(mod n1 )
(mod n1 )
(mod n2 )
j
Also: b2 u ⇋CRT
⟨n1 ,n2 ⟩ (−1, 1). Folglich kann b nicht in B2 enthalten sein.
Ergebnis: B2 ist eine echte Untergruppe von Z∗n .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
28 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen
Definition. Sei n eine natürliche Zahl. n nennt man eine
Ganzzahlpotenz, falls es natürliche Zahlen b > 1 und e > 1 gibt, so
dass n = be .
Entscheidungsproblem Ganzzahlpotenz:
Gegeben: Natürliche Zahl n > 2
Gefragt: Ist n eine Ganzzahlpotenz?
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
29 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen (Forts.)
Ziel: Entwicklung eines Polynomialzeit Algorithmus für das obige
Problem.
Ansatz: Zwei Schritte
1. Algorithmus, der für gegebene natürliche Zahlen n > 2 und
e > 2 überprüft, ob ein b ∈ N existiert, so dass n = be .
2. Algorithmus, der für alle theoretisch möglichen Exponenten
unter Einsatz von Algorithmus 1 überprüft, ob es eine passende
Basis b für n gibt.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
30 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen (Forts.)
SearchBase(n, e)
Input: Natürliche Zahlen n, e, wobei n ≥ 2 und
2 ≤ e ≤ log2 n + 1
Output: b mit be = n, falls ein solches b existiert, 0 sonst
1 left := 2; right := n;
2 do
3
b := left + (right − left)/2;
4
x := be ;
5
if x > n then
6
right := b;
7
else
8
left = b;
9 while x ̸= n and (right − left)/2 > 0
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
31 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen (Forts.)
10
11
12
13
if x = n then
return b
else
return 0
Bemerkungen:
• Zur Berechnung der Basis wird Binäre Suche eingesetzt.
• Den Wert be berechnet man mittels eines an die modulare
Exponentation angelehntes Verfahren.
• Die Berechnung von be wird abgebrochen, wenn feststeht, dass
be > n ist.
• Die Laufzeit von SearchBase(n, e) ist polynomial in der
Größe der Binärdarstellung von n.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
32 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen (Forts.)
Satz. Für alle natürlichen Zahlen n gilt: Falls n eine Ganzzahlpotenz
be ist, dann gilt 1 < e ≤ log2 n + 1.
Konsequenz: Alle möglichen Werte für e können mittels
SearchBase(n, e) überprüft werden
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
33 / 45
Miller Rabin Primzahltest
Ganzzahlpotenzen
Erkennen von Potenzen (Forts.)
PerfectPower(n)
Input: Natürliche Zahl n > 2
Output: (b, e) mit be = n, falls n eine Ganzzahlpotenz ist, false, sonst
1 found := false; e := 2
2 while e ≤ log2 n + 1 and found = false do
3
b := SearchBase(n, e)
4
if b > 0 then
5
found := true
6
else
7
e := e + 1
8 if found = true then
9
return (b, e)
10 else
11
return false
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
34 / 45
Miller Rabin Primzahltest
Der Algorithmus
Algorithmus Witness(a, n)
Witness(a, n)
Input: a, n ganze Zahlen, wobei n > 2 ungerade und 1 ≤ a ≤ n − 1
Output: true, falls n keine Primzahl
1
Berechne u und r so dass n − 1 = u · 2r
2
d := ModularExponentation(a, u, n);
3
for i := 1 to r do
4
x := d;
5
d := (d · d) mod n
6
if (d = 1) and (x ̸= 1) and (x ̸= n − 1) then
7
return true
8
if (d ̸= 1) then
9
return true
10
return false
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
35 / 45
Miller Rabin Primzahltest
Der Algorithmus
Eigenschaften von Witness(a, n)
• Die Funktion Witness(a, n) ist eine abgewandelte Form von
modularer Exponentiation.
• Der Algorithmus berechnet an−1 mod n und sucht während der
Berechnung nach Lösungen für die Gleichung x2 ≡ 1 (mod n),
die verschieden zu 1 und n − 1 sind.
• Falls Witness(a, n) = true, dann wird a als Beleg
(engl. witness) für die Tatsache angesehen, daß n keine Primzahl
ist.
• Ist n > 2 eine zusammengesetzte Zahl, dann existieren hierfür
mindestens (n − 1)/2 Belege in {1, 2, . . . , n − 1}.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
36 / 45
Miller Rabin Primzahltest
Der Algorithmus
Miller Rabin Primzahltest
MillerRabinTest(n, s)
Input: Natürliche Zahl n > 2, Qualitätsparameter s ∈ N
Output: true, falls n eine Primzahl ist, false, sonst
1 if n mod 2 = 0 then
2
return false
3 for i := 1 to s do
4
a := Random(1, n − 1)
5
if gcd(a, n) > 1 then
6
return false
7
if Witness(a, n) = true then
8
return false
9 if n ist eine Ganzzahlpotenz then
10
return false
11 return true
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
37 / 45
Miller Rabin Primzahltest
Der Algorithmus
Analyse des Miller Rabin Primzahltests
Satz. Sei n eine beliebige natürliche Zahl.
• Falls n eine Primzahl ist, dann liefert der Miller-Rabin
Primzahltest immer true zurück.
• Falls n eine zusammengesetzte Zahl ist, dann liefert der
Miller-Rabin Primzahltest mit einer Wahrscheinlichkeit von
höchstens 2−s true zurück.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
38 / 45
Miller Rabin Primzahltest
Der Algorithmus
Analyse des Miller Rabin Primzahltests (Forts.)
Beweis. Sei n ∈ N beliebig gewählt.
Falls n > 2 eine Primzahl ist, dann existieren keine soliden Beweise
für die Zusammengesetztheit von n. Ferner ist n nicht gerade und es
gilt gcd(a, n) = 1 für alle a ∈ {1, . . . , n − 1}. In diesem Fall liefert der
Miller-Rabin Test true zurück.
Angenommen, n ist eine zusammengesetzte Zahl.
Ist n gerade oder eine Ganzzahlpotenz, dann liefert der Miller-Rabin
Test immer false zurück.
Ist n ungerade, dann muss ein solider Beweis a für die
Zusammengesetztheit von n oder ein a mit gcd(a, n) > 1 gefunden
werden, damit der Miller-Rabin Test false zurückliefert.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
39 / 45
Miller Rabin Primzahltest
Der Algorithmus
Analyse des Miller Rabin Primzahltests (Forts.)
Analog zur Analyse von PseudoPrime(n, s) (siehe Folie 13) kann
man die Wahrscheinlichkeit, dass ein solches a gezogen wird,
abschätzen als
1
(∥Z∗n ∥ − ∥B2 ∥) + (n − 1 − ∥Z∗n ∥)
≥ .
n−1
2
Folglich ist die Wahrscheinlichkeit, dass kein passendes a gezogen
wird, kleiner-gleich 21 .
Damit der Miller-Rabin Test einen Fehler liefert, muss in allen s
Schleifendurchläufen kein passendes a gezogen werden. Da die
Durchläufe unabhängig
sind, ist die Wahrscheinlichkeit hierfür
( )s
kleiner-gleich 12 .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
40 / 45
Miller Rabin Primzahltest
Bemerkungen
Bemerkungen
• Der Miller-Rabin Primzahltest ist ein Monte Carlo Algorithmus
mit einseitigem Fehler.
• Fallunterscheidung:
▷ Stuft der Miller-Rabin Test eine Zahl als zusammengesetzt
ein, dann ist das Ergebnis immer korrekt.
▷ Stuft der Miller-Rabin Test eine Zahl als Primzahl ein, dann
ist das Ergebnis mit einer Wahrscheinlichkeit von 1 − 2−s
korrekt.
• Durch die Wahl von s kann die Fehlerwahrscheinlichkeit
beeinflusst werden.
• Die Laufzeit des Miller-Rabin Tests ist polynomial in log2 n und
s.
• Voraussetzung für den Einsatz des Miller-Rabin Tests sind
kryptographisch gute Zufallszahlen.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
41 / 45
Miller Rabin Primzahltest
Bemerkungen
Primzahlpotenzen sind keine Carmichael Zahlen
Satz. Eine Primzahlpotenz ist keine Carmichael Zahl.
Beweis. Sei p eine ungerade Primzahl und e > 1 eine ganze Zahl.
Betrachte die Zahl n = pe .
Da Z∗n eine zyklische Gruppe ist, existiert ein erzeugendes Element g
für Z∗n . Es gilt:
φ(n) = ∥Z∗n ∥ = (p − 1)pe−1
Angenommen n = pe ist eine Carmichael Zahl. Dann gilt:
gn−1 ≡ 1 (mod n)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
42 / 45
Miller Rabin Primzahltest
Bemerkungen
Primzahlpotenzen sind keine Carmichael Z. (Forts.)
Hieraus folgt, dass
n − 1 ≡ 0 (mod φ(n))
Also ist n − 1 ein Vielfaches von (p − 1)pe−1 , oder als Formel:
n − 1 = pe − 1 = k(p − 1)pe−1
Dies ist ein Widerspruch, denn p teilt k(p − 1)pe−1 , aber nicht pe − 1.
Anwendung des Satzes im Miller-Rabin Test:
• Verzicht auf die Überprüfung, ob n eine Ganzzahlpotenz ist
• Vorteil: bessere Laufzeit
• Nachteil: Risiko, dass eine Ganzzahlpotenz als Primzahl
eingestuft wird
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
43 / 45
Generierung von Primzahlen
Generierung von Primzahlen
RandomPrime(ℓ, s)
Input: Natürliche Zahlen ℓ > 0, s > 0
Output: Natürliche ℓ-bit Zahl n, die mit Wahrscheinlichkeit
1 − 2−s eine Primzahl ist
1 do
2
Generiere eine ℓ-Bit Zufallszahl n
3 while MillerRabinTest(n, s) = false
4 return n
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
44 / 45
Zusammenfassung
Zusammenfassung
• Primzahlen spielen für kryptographische Anwendungen eine
wichtige Rolle
• Zieht man zufällig eine Zahl, dann stehen die Chancen gut, dass
man eine Primzahl erhält.
• Der Miller-Rabin Primzahltest ist ein effizienter Monte Carlo
Algorithmus, mit dem man überprüfen kann, ob eine Zahl eine
Primzahl ist.
• Es gibt auch einen deterministischen Polynomialzeit Algorithmus
für das Primzahlproblem. Jedoch ist dieser deutlich langsamer
als der Miller-Rabin Test.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Protokolle
Generierung von Primzahlen
45 / 45
Herunterladen