Literatur. [9-3] [9-4]

Transkript

1 Literatur [9-1] Willems, Wolfgang: Codierungstheorie und Kryptographie. Mathematik Kompakt, Birkhäuser, 2008 [9-2] Socher, Rolf: Algebra für Informatiker. Hanser, 2012 [9-3] [9-4] [9-5] [9-6] [9-7] [9-8] [9-9] [9-10] 2

2 Übersicht Deterministische Verfahren Verfahren nach Fermat Verfahren nach Euler Verfahren nach Miller-Rabin 3 Begriffe Primzahl = Natürliche Zahl > 1, die nur durch sich selbst und durch 1 ganzzahlig teilbar ist Eine Zahl ist prim, wenn sie eine Primzahl ist. Pseudoprimzahl = Natürliche Zahl > 2, die trotz mehrfacher Prüfungen fälschlicherweise als Primzahl angesehen wird Primzahltest = Anwendung eines Verfahrens zur Prüfung, ob eine Zahl prim ist Zeugen = witness = Ganze Zahl, die bei einer Prüfung, ob eine andere Zahl prim ist, nachweist, dass sie es nicht ist 4

3 Aufgabe der Primzahltests Gegeben ist eine Zahl n N, die größer als 2 ist Es wird nun ein Verfahren angewendet, das in akzeptabler Zeit entweder exakt entscheidet oder heuristisch vermutet, dass n eine Primzahl ist oder nicht. Die probabilistischen Verfahren arbeiten nach einer Monte Carlo- Methode, indem sie zufällige Stichproben nehmen und anhand deren Ergebnisse eine Vermutung liefern. Siehe: Die deterministischen Verfahren liefern exakt ein Ergebnis, das wahr ist. 5 Wahl des Kandidaten Es wird per Zufall eine natürliche Zahl größer 2 ausgewählt und anschließend auf prim getestet. Damit dieses Verfahren praktikabel ist, muss es nicht nur sehr viele Primzahlen in dem geforderten Bereich (100 bis 200 Stellen) geben, sondern sie müssen auch einigermaßen gleich verteilt nebeneinander liegen, so dass eine hohe Wahrscheinlichkeit für einen zufälligen Treffer besteht. Zum Glück gibt es genügend relativ dicht beieinander liegende Primzahlen, so dass probabilistische Verfahren praktikabel sind. Siehe: 6

4 Beispiele für deterministische Tests I - Probedivision Systematische Modulo-Prüfung (probeweise Division) Es wird der Kandidat n durch 2 bis n ganzzahlig dividiert und der Rest bestimmt: Ist der Rest ein einziges Mal 0, so ist n keine Primzahl. Ist der Rest immer ungleich 0, so ist n eine Primzahl. func bool testprime(nat n) { if n=0 or n=1 { return false; if n=2 { return true; if even(n) { return false; return not witness(n); Hier die Rahmenroutine, die witness() aufruft. 7 Beispiele für deterministische Tests II - Probedivision func bool widness(nat n>2 and odd(n)) { limit:= max(3,floor(sqrt(n))); // truncate for divisor in 3..limit step 2 { if n mod divisor = 0 { return true; return false; Diese Routine ist nur mit dem Aufruf aus testprime() korrekt, d.h. nur ungerade Werte für n>2 werden übergeben. floor() rundet zur nächsten kleineren ganzen Zahl ab. Die Berechnung nach diesem Verfahren dauert für die Praxis viel zu lange, so dass sich diese Tests nur für kleine Zahlen eignen. 8

5 Beispiele für deterministische Tests III - Wilson Berechnung nach dem Satz von Wilson, mit n>2: (n-1)! -1 (mod n) (n-1)! n-1 (mod n) n ist genau dann eine Primzahl, wenn n beide Gleichungen erfüllt. Berechnung nach dem Satz von Leibniz, mit n>2: (n-2)! -1 (mod n) (n-2)! n-1 (mod n) n ist genau dann eine Primzahl, wenn n beide Gleichungen erfüllt. Die Berechnung nach diesen Sätzen dauert für die Praxis viel zu lange, so dass sich diese Tests nur für kleine Zahlen eignen. 9 Probabilistische Tests Test nach Fermat Test nach Euler Test nach Miller-Rabin Diese Tests liefern nur Vermutungen, keine exakten Ergebnisse. 10

6 Globales Verfahren Es wird vorher eine Anzahl k von Tests festgelegt; wenn der Kandidat n diese Anzahl von Tests besteht, dann ist n eine Primzahl mit hoher Wahrscheinlichkeit. Die Funktion witness() wird jeweils entsprechend dem Verfahren gewählt. Hierzu gibt es mehrere Möglichkeiten. func bool testprime(nat n,nat k>0) { if n=0 or n=1 { return false; if n=2 { return true; if even(n) { return false; for k times { if witness(n) { return false; return true; 11 Fermat-Test I Dieser Test beruht auf dem kleinen Satz von Fermat: a n-1 1 (mod n), mit a>0, ggt(a,n)=1 und n als Primzahl Wenn n eine Primzahl ist, dann kommt bei der Potenzierung immer eine 1 heraus; wenn es aber keine Primzahl ist, dann kommt bei der Potenzierung manchmal eine 1 heraus. Jedenfalls wenn ggt(a,n)=1 gilt, d.h. wenn a<n ist. Der kleine Satz von Fermat ist ein notwendiges, aber kein hinreichendes Kriterium für die prim-eigenschaft einer Zahl. Um die Prüfung von ggt(a,n)=1 zu sparen, wird die andere Form des Satzes benutzt: a n a (mod n), mit a>0 und n als Primzahl Oder das a<n wird vorher mit einer Probedivision n mod a<>0 geprüft. Die eine zusätzliche Multiplikation ist wohl effizienter. 12

7 Fermat-Test II Mit n als dem Primzahlkandidaten wird ein a aus dem Intervall [3:n-2] zufällig ausgewählt und a n-1 berechnet: Ist a n-1 mod n ungleich 1, so ist n sicher keine Primzahl. a wird dann Zeuge genannt. Ist a n-1 mod n gleich 1, so kann n eine Primzahl sein. n=2 wird ignoriert (siehe Routine testprime()). Warum ist die obere Grenze für a n-2? a=n verletzt ggt(a,n)=1 a=n-1 führt grundsätzlich zum Bestehen des Tests, wenn n ungerade ist, denn (n-1) n-1 mod n = (n-1) 2 *(n-1) n-3 mod n = (n-1) (n-1) mod 2 mod n da n-1 gerade ist, gilt (n-1) n-1 mod n = 1 13 Fermat-Test III - Beispiele func bool witness(nat n>2 and odd(n)) { if n>3 { a:= select randomly in [2..n-2]; return powermod(a,n,n)<>a; return false; // 3 is prime Beispiel n=6 und a=2: (mod 6) 2 (mod 6) also ist 2 ein Zeuge gegen 6 14

8 Fermat-Test IV - Beispiele n=15 und alle a in [2..n-1] a p a (mod p) a p-1 1 (mod p) Basis Zeuge Basis Zeuge ggt()=1 2**15 mod 15 = 8 ja 2**14 mod 15= 4 ja 3**15 mod 15= 12 ja 3**14 mod 15= 9 ja Nein 4**15 mod 15= 4 4**14 mod 15= 1 5**15 mod 15= 5 5**14 mod 15= 10 ja Nein 6**15 mod 15= 6 6**14 mod 15= 6 ja Nein 7**15 mod 15= 13 ja 7**14 mod 15= 4 ja 8**15 mod 15= 2 ja 8**14 mod 15= 4 ja 9**15 mod 15= 9 9**14 mod 15= 6 ja Nein 10**15 mod 15=10 10**14 mod 15=10 ja Nein 11**15 mod 15=11 11**14 mod 15= 1 12**15 mod 15= 3 ja 12**14 mod 15= 9 ja Nein 13**15 mod 15= 7 ja 13**14 mod 15= 4 ja 14**15 mod 15=14 14**14 mod 15= 1 Eine Prüfung mit a= 4, 11 und 14 würde 15 als Primzahl vermuten Nie Zeuge 15 Bemerkungen Bei der 1. Form (a p a (mod p)) reicht a<p, bei der 2. Form (a p-1 1 (mod p)) muss ggt(a,n)=1 sein. Wenn nur die Nicht-Primzahlen betrachtet werden, so ist die Trefferwahrscheinlichkeit der Basen für einen Zeugen etwa gleich. Bei ungeraden nicht-primzahlen unter gibt es bei der 1. Form 99,1% und der 2. Form 99,4% Zeugen, jeweils in [2..n-2], bis sind es 99,6% bzw. 99,8%. Die zweite Form ist wegen der ggt()-prüfung empfindlicher, denn jeder Wert des ggt() ungleich 0 zeigt einen Zeugen an. func bool witness(nat n>2 and odd(n)) { if n>3 { a:= select randomly in [2..n-2]; if ggt(a,n)<>0 { return true; return powermod(a,n-1,n)<>1; return false; // 3 is prime 16

9 Leider... gibt es zusammengesetzte Zahlen, die den Fermat-Test fast immer bestehen: z.b. die Carmichael-Zahlen. Eine Carmichael-Zahl c hat folgende Eigenschaften: Sie hat mindestens 3 unterschiedliche Primfaktoren Für jeden Primteiler p von c gilt: p-1 c-1 Ist n eine Carmichael-Zahl, so ist für alle a, die teilerfremd zu n sind, die Kongruenz a n-1 1 (mod n) erfüllt. Beachten Sie, dass dies keine Widerlegung des Satzes von Fermat ist, sondern eine dessen Umkehrung. Wenn n eine Primzahl ist, dann ist das Ergebnis immer 1; aber es gibt auch nicht-primzahlen für n, deren Potenz fast immer 1 ist, nämlich dann, wenn die gewählte Probe a teilerfremd zu n ist. Derartige Zahlen werden Fermat-Pseudoprimzahlen genannt, diese brauchen keine Carmichael-Zahlen zu sein; es gibt noch mehr. 17 Carmichael-Zahlen Die Carmichael-Zahlen kommen selten vor. Das bedeutet aber auch, dass die Wahrscheinlichkeit per Zufall eine Carmichael-Zahl zu treffen bei ca liegt. Und für die Nicht-Carmichael-Zahlen, die auch Fermat- Pseudoprimzahlen sind, liegt die Wahrscheinlichkeit bei ca *11* *13* *13* *11*13*41 Ein paar Beispiele für Carmichael-Zahlen. 18

10 Euler-Test I Der Euler-Test beruht auf folgender Formel: a (n-1)/2 ±1 (mod n) Falls n eine Primzahl>2 ist, dann gilt immer die obige Kongruenz. Aber auch hier muss ggt(a,n)=1 sein. Wenn der Kandidat n eine ungerade Primzahl ist, dann gibt es für die Quadrat-Wurzel zwei Lösungen jeweils mod n: +1 und -1. Wenn a (n-1)/2 mod n weder +1 noch -1 ist, dann ist a ein Zeuge für die nicht-prim-eigenschaft. Bei der Quadrat-Wurzel wird der Index halbiert. (n-1)/2 ist immer eine ganze Zahl, da n ungerade ist. 19 Leistung I Der Euler-Test findet alle Pseudoprimzahlen des Fermat-Tests. Der Euler-Test findet mehr nicht-primzahlen als der Fermat-Test. Aber es gibt Zahlen, bei denen der Euler-Test bei bestimmten a- Werten, die Basen genannt werden, versagt, z.b Derartige Zahlen werden Euler-Pseudoprimzahlen genannt. Es gibt Tabellen dieser Euler-Pseudoprimzahlen zur Basis a: e_pseudoprimzahlen Z.B. für a=2 sind es 341, 561, 1105, 1729, 1905, 2047, 2465 Abgeschätzt gilt, dass der Euler-Test ca. die Hälfte der Pseudoprimzahlen vom Fermat-Test hat. Eine Eulersche Pseudoprimzahl erfüllt die Kongruenz a (n-1)/2 ±1 (mod n) für einige a mit ggt(a,n)=1 und n ist keine Primzahl. 20

11 Leistung II Dann gibt es leider noch Zahlen, bei denen der Euler-Test bei fast allen a versagt: absolute Euler-Pseudoprimzahlen, z.b zur Basis a=3. Auch hier gibt es Tabellen: Pseudoprimzahlen:_Tabelle_Absolute_eulersche_Pseudoprimzahlen 21 Euler-Test - Beispiel n=15 und alle a in [2..n-1] Basis a (n-1)/2 ±1 (mod n) Zeuge ggt()=1 2 8 ja 3 12 ja Nein 4 4 ja 5 5 ja Nein 6 6 ja Nein 7 13 ja 8 2 ja 9 9 ja Nein ja Nein ja 12 3 ja Nein 13 7 ja Zum Bestehen muss das Ergebnis 1, -1 oder n-1 sein. Ist der ggt() nicht 1, so liegt ein Zeuge vor. Nie Zeuge 22

12 Experiment mit kleinen Zahlen Bei ungeraden nicht-primzahlen unter gibt es beim Euler- Test 99,6% Zeugen, jeweils in [2..n-2], ist also etwas besser als Fermat. Bis ist der Anteil der Zeugen 99,9%. In einem direkten Vergleich bei ungeraden nicht-primzahlen unter schneidet der Euler-Test um 0,2% besser als der Fermat-Test ab (0,2% Zeugen mehr als bei Fermat). Allerdings lagen beide bei 0,4% falsch, d.h. die Wahrscheinlichkeit bei beiden Tests zusammen, richtige Basen zu wählen, liegt bei ca. 0, Euler-Test II func bool witness(nat n>2 and odd(n)) { a:= select randomly in [3..max(3,n-1)]; if ggt(a,n)=1 { tmp:= powermod(a,(n-1)/2,n); return not(tmp= 1 or -1 or n-1); else { return true; Es gilt: -1 n-1 (mod n). 24

13 Miller-Rabin-Test I die Idee Die Idee dazu liegt darin, dass eine Zahl d gesucht wird, deren mehrfache Quadrierungen n-1 ergibt. Beginnend mit dieser Zahl wird eine Folge berechnet, deren letztes Element eine Potenz von n-1 ist. Nach a n-1 1 (mod n) muss das letzte Element dieser Folge 1 sein, wenn n eine Primzahl ist. Die Prüfung dieses letzten Elements ist also der Fermat-Test. Die Berechnung des vorletzten Elements ist a (n-1)/2 mod n, was dem Euler-Test entspricht: hier sollte -1 oder 1 herauskommen. a d a d*2 a d*4 a d*8 a d*16 a d*32... a (n-1)/2 a n-1 Beginn mit der Zahl d deren Verdoppelungen am Ende n-1 ergeben Euler- Test Fermat- Test 25 Miller-Rabin-Test II die Idee Damit entstehen drei mögliche Folgen für den Fall einer Primzahl: ( 1,1,1,..,1) (?,?,..,-1,1,1,..,1) mit? für beliebige Zahl ( -1,1,1,..,1) Die Berechnung des nächsten Elements der Folge kann abgebrochen werden, wenn das erste Element 1 oder das erste Element oder ein späteres -1 ist, denn danach haben alle restlichen Elemente den Wert 1. Warum? 1 oder -1 quadriert ergibt immer 1; daher beginnt die 1er-Reihe mit 1 oder -1. Der Vorgänger einer 1 in der Folge ist immer kongruent zu 1 oder -1. Der Vorgänger einer -1 in der Folge ist nie 1 oder

14 Miller-Rabin-Test III die Idee Es wird also die folgende Folge berechnet: a d,a d*2,a d*4,a d*8,a d*16,a d*32,...,a (n-1)/2,a n-1 Das gelingt, wenn n-1=d*2 s gewählt wird, denn dann kann s-mal die Quadratwurzel gezogen werden, was jedes Mal zur Halbierung des Exponenten und zu einem ganzzahligen Exponenten führt. Dies führt zu folgenden notwendigen Kriterium für die prim- Eigenschaft: Entweder ist a d gleich 1 oder es kommt einmal -1 vor. Ist dieses Kriterium verletzt, liegt mit a ein Zeuge vor. Die Folgen (?,..,?,1,..,1) und (?,..,?) zeigen daher einen Zeugen an. 27 Miller-Rabin-Test IV Mit n ist als ungeraden Kandidaten wird s so bestimmt, dass 2 s größte Potenz ist, die n-1 teilt, also 2 r mod (n-1) = 0 und r>0 Nun werden d berechnet: d = (n-1)/2 s Wenn n-1 eine durch k*2 m darstellbare Zahl ist, dann hat die Miller- Rabin-Folge m+1 Elemente. Oder anders: wenn n-1 in der Binärdarstellung hinten m Nullen hat, dann kann aus n-1 m-mal die 2. Wurzel ganzzahlig durch ein Shift nach rechts gezogen werden. Bei m=1 wird der Euler- und der Fermat-Test durchgeführt, also bei allen Zahlen, die binär aussehen: x..x11 mit x=0 oder 1 x..x101 führt zu m=2 etc. Beispiel: n= 1*****...***** mit * ist 0 oder 1, m=5 28

15 Leistung und Beispiele I Der Fermat-Test scheitert an der kleinsten Carmichael-Zahl 561, da bei a=2: (mod 561) ist. Für Miller-Rabin ist a=2 ein Zeuge gegen 561 als Primzahl: s=4 und d= (561-1)/2 4 = 560/16= Leistung und Beispiele II Der Euler-Test scheitert an der Zahl 1729 zur Basis 3. Für a=671 wird s und d berechnet: = 2 6 *27, also s=6 und d= * (mod 1729) * (mod 1729) * 27 1 (mod 1729) Also ist nach Miller-Rabin 1729 keine Primzahl, jedenfalls wenn für die Probe a der Wert 671 gewählt wird. 30

16 Leistung und Beispiele III Zusammengesetzte Zahlen, die den Miller-Rabin-Test überstehen, werden starke Pseudoprimzahlen zur Basis a genannt, wenn a die Probe/Basis ist. Z.B. für a=2 sind es: 2047, 3277, 4033, 4681, 8321 oder zur Basis 5: 781, 1541, 5461, 5611, 7813 Alle starken Pseudoprimzahlen zur Basis a sind auch Euler- Pseudoprimzahlen (dies liegt am Test). Es gibt Tabellen dieser starken Pseudoprimzahlen: Pseudoprimzahlen:_Tabelle_Starke_Pseudoprimzahlen Pseudoprimzahlen:_Starke_Pseudoprimzahlen 31 Leistung und Beispiele IV Die Wahrscheinlichkeit, dass der Test eine Pseudo-Primzahl als wahrscheinliche Primzahl bestimmt, hängt von k der Anzahl der Proben - ab: Fehlerwahrscheinlichkeit = 0,25 k Mit k=5 ist dieser Wahrscheinlichkeit ca. 0,1% Mit k=7 ca. 0,01% Mit k=10 ca. 0,0001%, also ca Es sollte ein k von 20 in der Praxis ausreichen... 32

17 Miller-Rabin-Test (MRT) - Pseudocode func bool witness(nat n>4) { a:= select randomly in [2..n-2]; if ggt(a,n)<>1 { return true; compute n-1= d*2**s, d is odd if powermod(a,d,n)= 1 or -1 or n-1 { return false; else { for i in 1..s-1 { val:= powermod(a,d*2**i,n); if val = -1 or n-1 { return false; if val = 1 { return true; od return true; Hinweis: Für das Arbeiten mit (positiven) Resten gilt: -1 n-1 (mod n). 33 Deterministische Version des MRT I Für die folgenden Zahlenbereiche reicht es aus, die angegeben a-werte für eine sichere Feststellung der prim-eigenschaft zu benutzen. n < a-werte , , ,3, ,3,5, ,7, ,13,23, ,3,5,7, ,3,5,7,11, ,3,5,7,11,13, ,3,5,7,11,13,17,19, ,3,5,7,11,13,17,19,23,29,31,37 34

18 Deterministische Version des MRT II Diese Werte stammen aus: Oder das Original: 35 Praktische Vorgehensweise 1)Anhand einer Tabelle von kleinen Primzahlen wird als erstes mit der Probedivision auf prim-eigenschaft geprüft. 2)Dann wird mit dem Miller-Rabin-Verfahren mindestens 20x geprüft. Das BSI empfiehlt 50 Runden. 3)Eine Zahl, die beide Phasen als Kandidat übersteht, wird als Primzahl geglaubt. Wenn die Primzahlen für das RSA-Verfahren bestimmt wurden, wird als Teil der Schlüsseldefinition mit einem festen String eine Ver- und Entschlüsselung durchgeführt. Die Entschlüsselung sollte bei einer zusammengesetzten Zahl scheitern (wegen der Benutzung des Euler-Satzes). 36

19 Links zum eigenen Ausprobieren Nach dieser Anstrengung etwas Entspannung... Auch ein nicht so einfach zu durchquerender Sumpf... 38