Ein randomisierter Primzahltest
Werbung
Ein randomisierter Primzahltest
8.1.05
Thomas Preu
Motivation
Verschlüsselungstechniken, zum Beispiel zur sicheren Übermittlung von Finanztransaktionen, sind eine wichtige Aufgabe für die Informatik geworden. Viele dieser Techniken wie etwa RSA oder elGamal wären ohne effiziente algebraische Operationen undenkbar. Dazu braucht man mathematische Objekte, deren schöne Eigenschaften zentral auf großen Primzahlen basieren. Deshalb sind effiziente Primzahltests von großer
Bedeutung.
Der Fermat-Test
Dem Fermat-Test liegt ein bekannter Satz zugrunde:
kleiner Satz von Fermat
Für eine Primzahl p und eine beliebige Zahl a mod p 6= 0 gilt ap−1 mod p = 1
Wenn dieser Zusammenhang für Nichtprimzahlen nicht gelten würde, so könnte man
einfach der Reihe nach verschiedene a durchprobieren, bis man eine Zahl gefunden hat,
für die der Zusammenhang nicht gilt. Da man immer mod p rechnet, reicht es auch,
nur Zahlen a ∈ {1, . . . , p − 1} zu betrachten.
Definition
Für eine zusammengesetzte Zahl n, heißt a Fermat-Zeuge, wenn an−1 mod n 6= 1,
sonst Fermat-Lügner.
Fermat-Zeugen bezeugen gewissermaßen das Zusammengesetztsein von n
Satz
Für ein n ≥ 3 ist ein Fermat-Lügner a stets Element einer Restklasse aus der Einheitengruppe Z∗n
Beweis
1 = an−1 mod n = a · an−2 mod n. damit ist an−2 ein Inverses zu a.
Damit läßt sich ein Primzahlkriterium aufstellen:
Satz
n ≥ 3 : ∀1 ≤ a < n : an−1 mod n = 1 ⇒ n ist prim
Beweis
Es ist bekannt, dass n ist prim ⇔ Z∗n = {1, . . . , n − 1} (hier sind natürlich nicht die
1
Zahlen selbst, sondern deren zugehörige Restklassen gemeint – aufgrund der leichteren
Lesbarkeit gönnt man sich diese Unsauberkeit). Mit dem vorherigen Satz, folgt die
Behauptung.
Da 1, n − 1 triviale Fermat-Lügner für jedes zusammengesetzte n sind (leicht nachzurechnen) und gerade n auch keine Probleme bereiten, lässt sich damit ein randomisierter Primzahltest formulieren.
FERMAT-TEST
Input: Odd Integer n ≥ 3
Method: Let a be randomly choosen from {2, . . . , n − 2}
if an−1 mod n 6= 1 then return 1;
else return 0;
Wenn das Ergebnis dieses Tests 1, so ist n sicher zusammengesetzt, andernfalls kann
man nichts sicher aussagen. Ist umgekehrt n prim, so ist das Ergebnis stets 0 nach
obigen Sätzen.
Natürlich möchte man, dass dieser Test, wenn er schon randomisiert ist, wenigstens
mit hoher Wahrscheinlichkeit das richtige Ergebnis liefern. Es bleibt nur, zusammengesetzte n zu betrachten:
Satz
Ist n ≥ 3 ungerade und zusammengesetzt und es gibt mindestens einen Fermat-Zeugen
a in Z∗n , so ist das Ergebnis des Fermat-Tests 1 mit Wahrscheinlich > 1/2
Beweis
n−1
Es sei die Menge der Fermat-Lügner LF
mod n = 1} eine echte
n = {a|1 ≤ a < n, a
F
∗
Untergruppe von Zn . Dass Ln Teilmenge ist, ist Aussage eines der obigen Sätze.
Zur Untergruppeneigenschaft:
1n−1 = 1, also auch 1 ∈ LF
n
n−1
≡ an−1 bn−1 ≡ 1 · 1 ≡ 1( mod n)
a, b ∈ LF
n : (ab)
Da es nach Vorraussetzung mindestens einen Fermat-Zeugen gibt, sind die FermatLügner eine echte Untergruppe und hat nach dem Satz von Lagrange höchstens die
halbe Mächtigkeit von Z∗n . Damit ergibt sich die Wahrscheinlichkeit:
|LF
n \{1,n−1}|
|{2,...,n−2}|
=
(n−2)/2−2
n−3
< 1/2
Man könnte also den Fermat-Test solange iterieren, bis man sich sicher genug ist, dass
die getestete Zahl prim. Bei jeder Iteration steigt die Sicherheit mit einem Faktor 2,
falls es mindestens einen Fermat-Zeugen in Z∗n gibt.
Gibt es nun immer so einen Fermat-Zeugen? Die ernüchternde Antwort ist: Nein!
Man nennt solche Außreißerzahlen Carmichael-Zahlen. Die kleinste solche Zahl ist 561.
Man kann sogar zeigen, dass es unendlich viele solche Zahlen gibt.
Der Miller-Rabin-Test
Man macht sich nun eine weitere Eigenschaft von Primzahlen zu nutze. Dazu zunächst
folgende Definition:
Definition
Eine Zahl a heißt Wurzel der 1 mod n, falls a2 mod n = 1
Trivialerweise sind 1 und n−1 immer Wurzeln der 1 mod n und es gilt sogar spezieller
(ohne Beweis):
2
Satz
Genau dann ist n prim, wenn genau 1, n − 1 Wurzeln der 1 mod n sind.
Da man ja ohne Einschränkung vorraussetzen kann, dass n ungerade ist, ist n − 1 stets
durch 2 teilbar. Die Idee ist, dass man n − 1 = u · 2k zerlegt und man so k ≥ 1 Tests
auf Wurzeln der 1 mod n ausführen kann.
Da man ja alle Zahlen, außer den Carmichael-Zahlen, ja schon mit einer Wahrscheinlichkeit > 1/2 richtig einordnet, braucht man nur diese betrachten. Man kann auch
tatsächlich zeigen, dass der Wurzeltest dann auch tatsächlich ebenfalls mit Wahrscheinlichkeit > 1/2 Carmichaelzahlen als zusammengesetzt erkennt.
Man kombiniert nun beide Tests; dabei zeigt eine genauere Analyse, dass man nicht
einmal k mal den Wurzeltest ausführen muss, sondern lediglich k − 1 mal und dass der
Fermat-Test dabei schon implizit erfolgt ist:
MILLER-RABIN-TEST
Input: Odd Integer n ≥ 3
Method: Find u odd and k so, that n − 1 = u · 2k
Let a be randomly choosen from {2, . . . , n − 2}
b = au mod n;
if b ∈ {1, n − 1} then return 0;
repeat k − 1 times
b = b2 mod n;
if b = n − 1 then return 0
if b = 1 then return 1
return 1;
Gibt dieser Test nun 1 zurück, so so war n sicher zusammengesetzt. Bei 0 ist n mit
Wahrscheinlichkeit größer als 1/2 eine Primzahl (wesentlich aufwändigere Analysen
zeigen sogar, dass 3/4 eine Schranke ist). Ist umgekehrt n prim, so ergibt der Test
sicher 0.
Wiederum kann man durch Iteration des Tests die Qualität exponentiell erhöhen.
Ausblick
Lange Zeit waren randomisierte Primzahltests die einzigen, die in vernünftiger“ Zeit
”
ein vernünftiges“ Ergebnis produzierten. Vor zwei Jahren wurde allerdings ein de”
terministischer und polynomieller (das heißt schneller) Primzahltest von Agrawall,
Keyal und Saxena vorgestellt. Auch der Test von Miller-Rabin kann zu einem polynomiellen Primzahltest umgestalltet werden – allerdings nur, wenn die erweiterte
Riemann-Hypothese richtig ist, deren Beweis nachwievor auf sich warten läßt. . .
3
