Probabilistische Primzahltests

Probabilistische Primzahltests
Daniel Tanke
11. Dezember 2007
In dieser Arbeit wird ein Verfahren vorgestellt, mit welchem man relativ schnell testen kann,
ob eine ganze Zahl eine Primzahl ist. Für einen Primzahltest gibt es verschiedene Möglichkeiten
der Implementierung. Vom uneffizienten Verfahren der Probedivison, welches hier noch kurz
erläutert wird, bis zum Miller-Rabin Test. Diese Tests und deren Laufzeit sind heute vor allem
in der Kryptographie (RSA Verschlüsselung) von Bedeutung.
1
1
Verfahren der Probedivision
Bemerkung: Für Elemente a, b ∈ N schreibt man a|b (a teilt b), wenn es ein c ∈ N gibt,
sodass ac = b gilt. Eine Zahl p ∈ N heißt prim, wenn sich p nicht als Produkt von Elementen
aus N\{1,p} darstellen lässt. Zwei Zahlen a und b aus N heißen zueinander relativ prim, wenn
ggt(a, b) = 1.
Lemma 1.1 Falls n eine positive, zusammengesetzte, natürliche Zahl ist, dann hat n einen
√
Primteiler p, der nicht größer als n ist.
Beweis: Da n zusammengesetzt ist, kann man n = ab setzen, wobei a, b aus N sind mit
√
√
a > 1 und b > 1. Weiters kann man folgern, dass a ≤ n oder b ≤ n, da anderenfalls
√ √
n = ab > n n = n gilt. Da a und b Primteiler haben, folgt wegen der Transitivität, dass
diese Primteiler auch n teilen [10].
√
Bemerkung: Es reicht nun n durch alle Primzahlen von 2 bis n zu teilen, um n auf Primalität zu testen. Da für sehr große n auch entsprechend große Primzahltabellen zur Verfügung
stehen müssen, ist dieses Verfahren in der Praxis zu aufwändig. Testet man eine Zahl n ohne
√
Verwendung von Primzahltabellen, ergibt sich eine Laufzeit von O( n), was eine exponentielle
√
Laufzeit in Abhängigkeit des Logarithmus darstellt, da O( n) = O(2ld(n)/2 ) gilt [9].
√
Beispiel 1.2 Sei n = 177, dann ist b nc = 13 und man kann schnell sehen, dass 3 | 177.
Somit ist 177 keine Primzahl.
2
Fermat Test
Satz 2.1 (Kleiner Fermat) Ist p eine Primzahl, so gilt ∀ a ∈ Z, dass ap−1 ≡ 1 (mod p) ist
(wobei a relativ prim zu p sein muss).
Beweis: Da p eine Primzahl ist, sind alle Elemente in Zp \{0} invertierbar, also auch kürzbar.
Man kann für die endliche Gruppe Zp auch schreiben Zp = {0, 1, .., p−1} = {0, a, 2a, .., (p−1)a}.
Nun folgt, dass 1 ∗ · · · ∗ (p − 1) ≡ a ∗ 2a ∗ · · · ∗ (p − 1)a ≡ 1 ∗ · · · ∗ (p − 1)ap−1 (mod p) ist, weil
nun alle Elemente 1, .., (p − 1) kürzbar sind gilt die Behauptung.
Bemerkung: Die Relation ≡ in Zp ist eine Kongruenzrelation d.h. sie ist transitiv, symetrisch, reflexiv und mit der Addition und Multiplikation aus Z verträglich, d.h:
[a] + [b] ≡ [a + b]
und
[a][b] ≡ [ab]
(mod p)
Bemerkung: Ist p eine Primzahl, so ist Zp \{0} eine zyklische Gruppe bezüglich Multiplikation, d.h es gibt eine Restklasse a, sodass Zp \{0} = {a, a2 , .., ap−1 ≡ 1 (mod p)}. Dieses Element
a heißt primitive Restklasse oder Primitivwurzel modulo p [6].
2
Satz 2.2 (Wilson) Eine Zahl p ist genau dann eine Primzahl, wenn (p − 1)! ≡ −1 (mod p) gilt.
Beweis: Gelte nun p |((p − 1)! + 1). Ist 1 < d < p mit d|p, folgt auch d|(p − 1)! und d|1,
somit ist d = 1 und p ist prim.
Sei p > 2 nun eine Primzahl, so existiert eine primitive Restklase [a]. Dann gilt:
(p − 1)! ≡ a · a2 · · · ap−1 ≡ (ap )
p−1
2
≡a
p−1
2
(mod p)
p−1
Für x = a 2 folgt aus dem Satz von Fermat, dass x2 ≡ 1 (mod p), nun gilt, dass p|(x2 − 1).
Also kann x nur kongruent 1 und -1 (mod p) sein. Da in Zp jede primitive Äquivalenzklasse
die Ordnung φ(p) = p − 1 hat, folgt, dass (p − 1)! ≡ −1 (mod p) gilt [5].
Bemerkung: Die beiden oberen Sätze haben für Primzahltests großer Zahlen nur bedingt
Bedeutung. Der Satz von Fermat ist ein notwendiges Kriterium für die Primzahleigenschaft,
aber er ist nicht hinreichend und somit kann man nicht durch einen bestandenen Fermat Test
auf eine Primzahl schließen. Wir werden noch sehen, dass dieser Primzahltest uns bei ganz
bestimmten Zahlen große Schwierigkeiten bereiten wird. Der Satz von Wilson ist für große
Zahlen viel zu aufwändig.
Beispiel 2.3 Sei p = 6 und a = 5. Aus 55 6≡ 1 (mod 6) folgt, dass p keine Primzahl ist.
Wählt man aber a = 1 folgt, dass 15 ≡ 1 (mod 6). Dies führt zur Definition einer Pseudoprimzahl.
Beispiel 2.4 Sei p = 7, dann sieht man, dass 7|(6! +1), da 7 · 103 = (6! +1) = 721. Wählt
man aber p = 4, kommt man zum Resultat, dass 4 nicht 7 teilt, also kann man laut Satz 2.2
darauf schließen, dass p keine Primzahl ist.
3
Pseudoprimzahlen und Carmichaelzahlen
Definition 3.1 Wenn n eine ungerade, zusammengesetzte, natürliche Zahl ist und die Gleichung an−1 ≡ 1 (mod n) mit ggt(a, n) = 1 erfüllt ist, dann nennen wir n eine Pseudoprimzahl
zur Basis a.
Bemerkung: Wir sehen, dass man bei einem Primzahltest mit dem Satz von Fermat für
die Zahl n, viele verschiedene Basen a wählen kann. Es erscheint uns als wahrscheinlich, dass
eine Zahl n, die den Satz von Fermat für viele Basen erfüllt, nun wirklich prim ist. Aber es
gibt zusammengesetzte Zahlen n, die diesen Test für alle möglichen Basen a bestehen.
Definition 3.2 Eine zusammengesetzte, natürliche Zahl n heißt Carmichaelzahl, wenn für
alle Basen a mit ggt(a, n) = 1 die Bedingung an−1 ≡ 1 (mod n) gilt.
Satz 3.3 Eine ungerade, zusammengesetzte Zahl n ≥ 3 ist genau dann eine Carmichaelzahl,
wenn für n = p1 · · · pk mit k ≥ 3, wobei n bezüglich der Primfaktorzerlegung quadratfrei ist,
die Bedingung pi − 1|n − 1 für 1 ≤ i ≤ k gilt.
3
Beweis: ⇐= Sei nun n entsprechend der obigen Form, zu zeigen ist, dass n eine Carmichaelzahl
ist. Es gilt laut Fermat für eine zu n teilerfremde Zahl a, wobei p ein Primteiler von n ist:
ap−1 ≡ 1
(mod p)
weil nun pi − 1|n − 1, wobei 1 ≤ i ≤ k gilt folgt:
an−1 ≡ 1
(mod p)
und nun folgt aus der Quadratfreiheit der Primfaktorzerlegung von n:
an−1 ≡ 1
(mod n)
Also handelt es sich um eine Carmichaelzahl.
=⇒ Sei nun n ≥ 3 eine Carmichaelzahl, dann gilt laut Definition, dass an−1 ≡ 1 (mod n) für
alle a mit ggt(a, n) = 1.
Sei p ein Primfaktor aus der Zerlegung von n. Mit dem Chinesischen Restsatz lässt sich folgern,
dass auch an−1 ≡ 1 (mod p) und aus dem Satz von Fermat gilt weiters, dass ap−1 ≡ 1 (mod p)
α
gilt. Sei α maximal, sodass pα |n, so kann man folgern, dass aφ(p ) ≡ 1 (mod p) und somit teilt
φ(pα ) die Zahl n − 1. Da φ(pα ) = pα−1 (p − 1) kann aus p|n und pα−1 (p − 1)|(n − 1) darauf
schließen, dass α = 1 ist. Somit wurde bereits gezeigt, dass die Primfaktorzerlegung quadratfrei
ist und die Bedingung p − 1|n − 1 gilt [10], [5].
Angenommen n = qp, wobei n nun aus genau zwei Primfaktoren mit p > q bestehen soll. Wie
oben schon erläutert gilt, dass
p − 1|n − 1 =⇒ p − 1|pq − 1 =⇒ p − 1|(p − 1)q + q − 1
Somit teilt p − 1 die Zahl q − 1. Dies steht aber im Widerspruch zu p > q und deshalb besteht
eine Carmichaelzahl aus mindestens drei Primfaktoren [2].
Beispiel 3.4 Die kleinste Carmichaelzahl ist 561 = 3 · 11 · 17. Man sieht, dass sie aus 3
verschiedenen Primteilern besteht und weiters, dass 2|560, 10|560 und 16|560.
Die weiteren Carmichaelzahlen bis 104 sind [7]:
1105 = 5 · 13 · 17
1729 = 7 · 13 · 19
2465 = 5 · 17 · 29
2821 = 7 · 13 · 31
6601 = 7 · 23 · 41
8911 = 7 · 19 · 67
Satz 3.5 (Konstruktionssatz für Carmichaelzahlen) Sei u eine natürliche Zahl und die folgenden
Zahlen:
p1 = 6u + 1
p2 = 12u + 1
p3 = 12u + 1
seien prim, so ist n = p1 · p2 · p3 eine Carmichaelzahl.
Beweis: Durch ausmultiplizieren erlangt man für n − 1 die Darstellung 36u(36u2 + 11u + 1) und
somit teilt p − 1 die Zahl n − 1 für alle Primfaktoren p. Weiters besteht n aus 3 Primfaktoren
und ist quadratfrei und somit ist n nach Satz 3.3 eine Carmichaelzahl [1].
4
Beispiel 3.6 Die kleinste Carmichaelzahl, die man mit dem obigen Satz konstruieren kann
ist 1729 = 7 · 13 · 19 für u = 1. Man kann aber wie man hier sieht nicht alle Carmichaelzahlen
mit diesem Verfahren erzeugen.
Bemerkung: Es kann gezeigt werden, dass es unendlich viele Carmichaelzahlen gibt. Dies
gelang 1994 den Mathematikern William Alford, Andrew Granville und Carl Pomerance [8].
Bemerkung: Man kann zwar den Satz von Fermat benutzen um eine Zahl n probabilistisch
auf Primalität zu testen (für kleines n durchaus geeignet), man muss aber voher ausschließen,
dass es sich bei n um eine Carmichaelzahl handelt. So bringt uns die unbeschränkte Existenz
von Carmichaelzahlen zu einem weiteren Verfahren, welches durch eine Verschärfung des Satzes
von Fermat auch mit dieser Problemstellung fertig wird.
4
Miller Rabin Test
Bemerkung: Der Miller Rabin Test ist ein sogenannter Monte-Carlo Algorithmus, d.h. er gibt
mit einer gewissen Wahrscheinlichkeit ein falsches Ergebnis aus. Der Test wurde entwickelt, um
mit dem Problem der Carmichaelzahlen umzugehen.
Definition 4.1 Sei s die maximale Potenz mit 2s |n − 1, wobei n eine ungerade Zahl ist,
dann setze d = (n − 1)/2s , wobei d eine ungerade Zahl ist.
Satz 4.2 Ist p eine Primzahl und a eine zu p relativ prime, natürliche Zahl, so gilt entweder:
ad ≡ 1
(mod p)
(1)
oder es gibt ein Element r aus {0, · · · , s − 1} mit:
rd
a2
≡ −1
(mod p)
(2)
Beweis: Sei p eine Primzahl und a zu p teilerfremd. Laut Fermat gilt, dass ap−1 ≡ 1 (mod p),
wobei man p − 1 als 2s d schreiben kann. Daher ist nun die Ordnung k der Restklasse ad eine
Potenz von 2, da diese p − 1 teilen muss. Ist die Ordnung k = 1 folgt, dass ad ≡ 1 (mod p) gilt.
l−1
Ist aber die Ordnung k > 1, dann ist k = 2l mit 1 ≤ l ≤ s. Daher hat die Restklasse a2 d die
Ordnung 2. Die einzige Restklasse mit Ordnung 2 ist p − 1, weil die Gleichung x2 ≡ 1 (mod p)
r
nur für ±1 erfüllt ist und x = 1 Ordnung 1 hat. Also folgt a2 d ≡ −1 (mod p) [10].
Bemerkung: Wir haben nun gezeigt, dass wenn p prim ist, wenigstens eine der zwei Bedingungen erfüllt sein muss. Lässt sich aber ein a finden, für welches beide Bedingungen nicht
gelten, folgt, dass es sich um keine Primzahl handelt. Eine solche Zahl bezeichnen wir als Zeugen gegen die Primeigenschaft von p.
Also gilt:
Zeuge = ¬(1) ∧ ¬(2)
¬Zeuge = (1) ∨ (2)
5
Beispiel 4.3 Im vorigen Kapitel haben wir gesehen, dass die Carmichaelzahlen bei der Anwendung des Satzes von Fermat große Schwierigkeiten bereiten. Nehmen wir einmal die erste
Carmichaelzahl 561. Es gilt, dass 24 |(561-1). Nun bestimmen wir d = 35 und wir sehen, dass
für eine gewählte Basis a = 2 desweiteren folgt:
235 ≡ 263
22∗35 ≡ 166
24∗35 ≡ 67
28∗35 ≡ 1
(mod 561)
Somit sind beide Bedingungen nicht erfüllt und wir haben gezeigt, dass unsere vermeintliche
Primzahl wirklich zusammengesetzt ist, indem wir mit der Zahl 2 einen Zeugen gegen die Primalität der Carmichaelzahl 561 gefunden haben.
Bemerkung: Im folgenden wollen wir noch etwas über die Häufigkeit des Auftretens von
Zeugen gegen die Pimalität einer ganzen Zahl aussagen.
Satz 4.4 Sei n > 3 eine zusammengesetzte, ungerade Zahl. So gibt es zwischen 1 und n − 1
höchstens (n − 1)/4 Zahlen, die zu n teilerfremd, aber keine Zeugen sind.
Beweis: Sei n > 3 eine ganze Zahl. Wir wollen die Anzahl der a ∈ {1, · · · , n − 1}, welche
zu n relativ prim und keine Zeugen sind abschätzen. Das heißt a erfüllt (1) oder (2).
Falls es keine solchen Zahlen gibt, sind wir fertig.
Angenommen es gibt zumindest einen Nicht-Zeugen. Sei k der größte Wert aus {0, · · · , s − 1},
für den es ein zu n teilerfremdes a gibt und (2) gilt. Wir schreiben:
Y
m = 2k d
und
n=
pe(p)
p=prim
für die Primfaktorzerlegung von n.
Weiters definieren wir uns folgende Untergruppen von Z∗n :
J = {a + nZ : ggt(a, n) = 1, an−1 ≡ 1
K = {a + nZ : ggt(a, n) = 1, am ≡ ±1
(mod n)}
mod pe(p) , ∀p|n}
L = {a + nZ : ggt(a, n) = 1, am ≡ ±1
(mod n)}
M = {a + nZ : ggt(a, n) = 1, am ≡ 1
(mod n)}
Es gilt weiters:
M ⊂ L ⊂ K ⊂ J ⊂ Zn∗ .
Diese Mengen sind natürlich Untergruppen bezüglich der Multiplikation. Die Untergruppe M
ist klarerweise in L enthalten. Weiters gilt L ist in K, da aus am ≡ ±1 (mod n) und pe(p) |n
auch am ≡ ±1 (mod pe(p) ) folgt. Die Untergruppe K ist in J, da per Definition (n − 1)/m = 2u
u
mit u ≥ 1 gilt und nun für Elemente a aus K folgt, dass am2 ≡ 1 (mod pe(p) ). Weiters gilt,
u
dass am2 ≡ 1 modulo dem kleinsten gemeinsamen Vielfachen der Primzahlpotenzen. Da dieses
kgV genau n ist, wurde gezeigt, dass a auch in J enthalten ist.
Für jedes Element a welches kein Zeuge ist, ist entweder (1) oder (2) erfüllt. Angenommen für
a ist (1) erfüllt, so ist am ≡ 1 (mod n), also ist a aus L.
6
Ist für a die Bedingung (2) erfüllt, so ist am ≡ ±1 (mod n) und a ist wiederum aus L. Weiters
gilt für alle Elemente aus L, dass sie (1) oder (2) erfüllen, somit besteht L genau aus allen
Nicht-Zeugen.
Einschub: (Satz von Lagrange) Sei H eine Untergruppe von G so gilt, dass [G : H] = |G|/|H|.
Dies führt zur allgemeineren Form des Satzes von Lagrange: Sei H Untergruppe von G und K
Untergruppe von H, so ist [G : K] = [G : H][H : K].
Wir wollen zeigen, dass [Z∗n :L] = |Z∗n |/|L| wenigstens 4 ist.
Der Index von M in K ist eine Potenz von 2, weil das Quadrat jedes Elementes aus K in M
liegt. Es folgt mit dem Satz von Lagrange, dass [K : M ] = [L : M ][K : L] = 2l mit l ≥ 0 und
somit muss auch der Index von L in K eine Potenz von 2 sein, d.h. [K : L] = 2j mit j ≥ 0.
Weiters gilt nun, dass [Z∗n : L] = [Z∗n : K][K : L] = [Z∗n : K] · 2j . Ist j > 1 sind wir fertig.
Angenommen j = 1, d.h. [K : L] = 2, dann folgt aus der Definition der Untergruppen K und
L, dass es nicht mehr als 2 Primteiler von n geben kann. So ist n keine Charmichaelzahl und
somit muss es zumindest ein a geben, sodass an−1 ≡ 1 (mod n) nicht erfüllt ist. Daher ist J
eine echte Untergruppe und es gilt [Z∗n : L] = [Z∗n : K][K : L] = [Z∗n : K] · 2 ≥ 4. Somit folgt
die Behauptung.
Ist j = 0, d.h. [K : L] = 1. Daraus folgt, dass n = pd , wobei p prim ist und d > 1, da
n zusammengesetzt ist. Die Untergruppe J hat genau φ(p) = p − 1 Elemente. Ist nun p ≥ 5
folgt, dass [Z∗n : J] = |Z∗n |/|J| ≥ 4. Für p < 5 kann die Behauptung direkt verifiziert werden [10].
Bemerkung: Testet man eine Zahl n mit dem Miller Rabin Test auf ihre Primeigenschaft,
wählt man zufällig eine Basis a ∈ {1, · · · , n − 1}. Gilt bereits, dass der ggt(a, n) 6= 1, folgt,
dass n zusammengesetzt ist. Findet man aber mit a einen Zeugen, der die beiden Eigenschaften
aus Satz 4.2 nicht erfüllt, so ist n ebenfalls zusammengesetzt. Ist aber a kein Zeuge, folgt aus
Satz 4.4, dass die Wahrscheinlichkeit, dass es sich bei n doch um eine zusammengesetzte Zahl
handelt, höchstens ein Viertel beträgt.
Zusammenfassung: Man teste eine ungerade Zahl n > 3:
1. wähle a gleichverteilt aus {1 · · · n − 1}
2. überprüfe ggt(a, n) = 1 sonst return zusammengesetzt
s−1
3. Überprüfung auf Zeuge nach Satz 4.2 mit Berechnung von ad , · · · , a2 d
4. Falls ein Zeuge gefunden wurde, return zusammengesetzt, sonst return prim mit Fehlerwahrscheinlichkeit 1/4
Bemerkung: Man kann natürlich den Miller Rabin Test k-mal wiederholen, und man kommt
dann zu einer Fehlerwahrscheinlichkeit von 1/4k , dass die getestete Zahl doch zusammengesetzt ist. Wählt man k = 10, gelangt man zu einer maximalen Fehlerwahrscheinlichkeit die echt
kleiner als 10−6 ist.
Beispiel 4.5 Sei n = 21 und wir testen diese Zahl mit obigen Algorithmus auf Primalität.
Laut Definition folgt d = (21 − 1)/22 = 5. Man wähle beispielsweise a = 2 und sieht, dass der
7
ggt(21, 2) = 1 und somit berechnen wir:
25 ≡ 2
22∗5 ≡ 16
(mod 21)
(mod 21)
Somit haben wir einen Zeugen gefunden, dass 21 keine Primzahl ist. Betrachtet man nun die
relative Häufigkeit von Nicht-Zeugen, folgt aus Satz 4.4, dass es höchstens 5 geben kann, aber
nur 1 und 20 sind keine Zeugen.
Beispiel 4.6 Testen wir die Zahl 53. Es folgt analog zu oben, dass s = 2 und d = 13 ist.
Wähle als Basis 12.
1213 ≡ 30
122∗13 ≡ −1
(mod 53)
(mod 53)
So folgt jetzt, dass kein Zeuge gefunden wurde und man mit einer Gewissheit von 3/4 behaupten kann, dass die getestete Zahl prim ist. Für 53 gibt es keine Zeugen (53 ist prim), da für
a ∈ {1, 10, 13, 15, 16, 24, 28, 36, 42, 44, 46, 47, 49} jeweils (1) gilt und für die restlichen Zahlen
(2) gilt.
Bemerkung: Der Miller Rabin Test hat eine Laufzeit von O((ln n)3 ) pro Durchlauf und ist so
polynomiell bezüglich des Logarithmus. Gilt die verallgemeinerte Riemannsche Hypothese, so
gibt es für eine zusammengesetzte Zahl n einen Zeugen in der Menge M = {2, .., [2 · (ln n)2 ]}.
Somit ist der Miller Rabin deterministisch und testet man die Zahl n für alle möglichen Zeugen
aus M , so beträgt die Laufzeit O((ln n)5 ). Seit 2002 gibt es einen deterministischen Primzahltest mit polynomieller Laufzeit, den sogenannten AKS-Test, wobei AKS für Agrawal, Kayal,
Saxena steht. Dieser hat aber eine schlechtere Performance als der probabilistische Miller-Rabin
Test [9].
8
5
Literatur
[1] Felix Pape, Carmichael-Zahlen und Miller-Rabin-Test, 15. Mai 2003
www-ifm.math.uni-hannover.de/˜bessen/MillerRabintest.pdf
[2] Martin Felis, Miller-Rabin-Test, 3. Dezember 2003
http://www.rzuser.uni-heidelberg.de/˜mfelis/proseminar-krypt.pdf
[3] Diskrete Mathematik, Christopher Frei und Sophie Frisch, 2007
http://gauss.math.tu-graz.ac.at/˜frei/diskrete/diskrete.pdf
[4] Bressoud, David M., Factorization and primality testing, New York, NY [u.a.] Springer,
1989
[5] Scheid, Harald, Zahlentheorie, München, Elsevier Spektrum Akad. Verl., 2007
[6] Neßelmann, Dieter, Elemente der Algebra und Zahlentheorie, 2005
http://web.math.uni-rostock.de/˜nesselmann/AlgZahl/Vorl-AlgebraZahl.pdf
[7] http://www.physik-schule.de/download/pdf/Primzahl/Carmichaelzahlen.pdf
[8] Datterl, Karl, Pseudoprimzahlen und Carmichaelzahlen, 2002
http://www1-c703.uibk.ac.at/users/csab4000/Texte/Arbeit.pdf
[9] Hauck, Peter, Primzahltests und Faktorisierungsalgorithmen, WS 2003/2004
http://www-dm.informatik.uni-tuebingen.de/skripte/Primzahltests/Primzahltests.pdf
[10] Buchmann, Johannes, Einführung in die Kryptographie, Springer, 1999
9