Miller-Rabin-priemgetaltest

De Miller-Rabin-priemgetaltest of Rabin-Miller-priemgetaltest is een priemgetaltest, dus een algoritme dat bepaalt of een gegeven getal een priemgetal is of niet. Deze test kan met de priemtest van Fermat en de Solovay-Strassen-priemgetaltest worden vergeleken, die net als de Miller-Rabin-priemgetaltest vaak in de cryptografie worden gebruikt. De originele versie van deze test is door Gary Miller gemaakt en is deterministisch. Het deterministische deel van deze test is afhankelijk van de riemann-hypothese, maar die is nog niet bewezen. Michael Rabin heeft de test in een probabilistische test veranderd, die nergens van afhankelijk is en altijd werkt.

Theorie

Het principe van de Miller-Rabin-priemgetaltest is hetzelfde als dat van de priemtest van Fermat en de Solovay-Strassen-priemgetaltest: van een of meer eigenschappen van priemgetallen wordt nagegaan of het te controleren getal die heeft. Is dit niet het geval, dan is het getal geen priemgetal. Is het wel het geval, dan kan alleen worden geconcludeerd dat het getal waarschijnlijk een priemgetal is.

Hulpstelling

Hulpstelling: er zijn ${\text{mod}}\ p$ , dus in $\mathbb {Z} /p\mathbb {Z}$ , geen andere getallen dan 1 en −1 die in het kwadraat gelijk aan 1 zijn.

Bewijs

Stel

x^{2}\equiv 1\mod {p}

dan

(x-1)(x+1)=x^{2}-1\equiv 0\mod {p}

Dat houdt in dat $x-1$ of van $x+1$ door $p$ kan worden gedeeld. Daaruit volgt dat

x-1\equiv 0\mod {p}

dus

x\equiv 1\mod {p}

x+1\equiv 0\mod {p}

dus

x\equiv -1\mod {p}

Principe van de test

Zij $n>2$ een priemgetal. Dan is $n-1$ even, zeg $n-1=2^{s}d$ , met $s$ en $d$ positieve gehele getallen en $d$ oneven. Voor elke $a\in \mathbb {Z} /n\mathbb {Z}$ geldt ofwel dat

a^{d}\equiv 1\mod {n}

ofwel dat

a^{2^{r}\cdot d}\equiv -1\mod {n}

voor een zekere

0\leq r\leq s-1

Zij namelijk $a\in \{2,3,\ldots ,n-2\}$ , dan geldt volgens de kleine stelling van Fermat als $n$ een priemgetal is:

a^{n}\equiv a\mod {n}

Hieruit volgt ook:

a^{n-1}=a^{2^{s}d}\equiv 1\mod {n}.

Door herhaald worteltrekken uit $a^{n-1}$ is volgens de voorgaande hulpstelling de uitkomst 1 of -1. Is de uitkomst -1, dan geldt kennelijk de tweede equivalentie en is het bewijs geleverd. Is de uitkomst alle $s$ keren steeds 1, dan blijft de eerste equivalentie over.

Test

De Miller-Rabin-priemgetaltest is gebaseerd op de contrapositie van het bovenstaande: Als er een $a\in \{2,3,\ldots ,n-2\}$ wordt gevonden, waarvoor

a^{d}\not \equiv 1\mod {n}

a^{2^{r}\cdot d}\not \equiv -1\mod {n}

voor alle

0\leq r\leq s-1

dan betekent dat dat $n$ een samengesteld getal is. $a$ heet er een getuige van dat $n$ samengesteld is. Anders is $n$ zeer waarschijnlijk een priemgetal met basis $a$ . Is $n$ toch samengesteld, dan heet $a$ een leugenaar voor $n$ .

Voor alle oneven samengestelde $n$ zijn er veel getuigen, maar er is geen eenvoudige manier bekend zo'n getuige te vinden. De oplossing is de test probabilistisch te maken: kies willekeurig een $a\in \mathbb {Z} /n\mathbb {Z}$ en ga na of het een getuige is van de samengesteldheid van $n$ . Als $n$ samengesteld is, zullen de meeste keuzes daar getuige van zijn en ontdekt de test dat met grote waarschijnlijkheid. Er blijft een kleine kans dat de gekozen $n$ een sterke leugenaar is voor $n$ . De kans op zulke fouten kan worden verminderd door de test te herhalen voor verschillende onafhankelijk gekozen $a$ .

Voorbeeld

Stel dat het getal $n=221$ getest wordt op primaliteit. Schrijf $n-1=220=2^{2}\times 55$ , dus $s=2$ en $d=55$ . Kies een willekeurige $a<n$ , bijvoorbeeld $a=174$ en bekijk de equivalenties:

a^{d}=174^{55}\equiv 47\not \equiv 1\mod {221}

a^{s^{0}\cdot d}=174^{55}\equiv 47\not \equiv -1\mod {221}

a^{s^{1}\cdot d}=174^{110}\equiv 220\equiv -1\mod {221}

Dus is voor een $r$ waarvoor geldt $0\leq r<s=2$ niet voldaan aan de gewenste equivalenties, zodat 174 er geen getuige van is dat 221 samengesteld is. Dus is ofwel 221 priem, ofwel is 174 een leugenaar voor 221. Kies nog een andere $a$ , bijvoorbeeld $a=137$ . Bekijk weer de equivalenties:

a^{d}=137^{55}\equiv 188\not \equiv 1\mod {221}

a^{s^{0}\cdot d}=137^{55}\equiv 188\not \equiv -1\mod {221}

a^{s^{1}\cdot d}=137^{110}\equiv 205\not \equiv -1\mod {221}

Dus is 137 getuige voor het feit dat 221 samengesteld is, en 174 was inderdaad een leugenaar. Merk op dat we nog niets weten over de factoren van 221, namelijk 13 en 17.

Algoritme

Het algoritme kan in pseudocode als volgt worden beschreven:

Invoer:
    n > 2, een oneven geheel getal dat wordt gecontroleerd dat het een priemgetal is
    k, een geheel getal dat de nauwkeurigheid van de test bepaalt
Uitvoer: samengesteld als n samengesteld is, anders waarschijnlijk priem
   schrijf n−1 als 2^s·d met d oneven door machten van 2 uit n−1 weg te delen
   LOOP: herhaal k keer:
      kies 2 ≤ a ≤ n−2 willekeurig
      x ← a^d mod n
      x = 1 of x = n−1 dan doe de volgende LOOP
      voor r = 1,...,s−1
         x ← x² mod n
         x = 1 dan uitvoer samengesteld
         x = n−1 dan doe de volgende LOOP
   uitvoer samengesteld
uitvoer waarschijnlijk priem

Nauwkeurigheid

Zoals gezegd: voor hoe meer getallen $a$ de test wordt uitgevoerd, hoe nauwkeuriger de test is. Het is bewezen^[1] dat voor ieder oneven samengestelde getal $n$ ten minste 3/4 van de bases $a$ getuigen zijn van het feit dat $n$ samengesteld is. Dus als $n$ samengesteld is noemt de Miller-Rabin-priemgetaltest $n$ waarschijnlijk een priemgetal met een kans van hoogstens $4^{-k}$ . In dit opzicht doet deze test het beter dan de Solovay-Strassen priemgetaltest, want die noemt een samengesteld getal als waarschijnlijk een priemgetal met een kans van hoogstens $2^{-k}$ .

voetnoten

↑ Bornemann. PRIMES Is in P: A Breakthrough for “Everyman”.

websites

F Arnault. Rabin-Miller Primality test: Composite Numbers Which Pass It, 1995. in Mathematics of Computation 64, 209, blz 355-361
J Hurd. Verification of the Miller-Rabin probabilistic primality test, 2003. The Journal of Logic and Algebraic Programming 56, blz 3-21