Carmichael-Zahlen und Miller-Rabin-Test

Transkript

1 Institut für Mathematik Universität Hannover Proseminar: Zahlentheorie und Kryptographie Prof. Dr. C. Bessenrodt Carmichael-Zahlen und Miller-Rabin-Test Felix Pape 15. Mai 2003

2 1 Carmichael-Zahlen 1.1 Überleitung Der Fermatsche Primzahltest ist eine Möglichkeit, Primzahlen auszusieben, denn eine natürliche Zahl n 2 ist keine Primzahl, wenn für ein a mit ggt(a, n) = 1 gilt: a n 1 1 mod n. Andernfalls erfüllt n den Fermatschen Primzahltest bzgl. der Basis a. 1.2 Definition der Carmichael-Zahlen Es gibt Zahlen n, die den Fermatschen Primzahltest für jedes a mit ggt(a, n) = 1 bestehen, diese haben einen eigenen Namen: Definition 1.1 Eine zusammengesetzte natürliche Zahl n heißt Carmichael-Zahl, wenn für alle natürlichen Zahlen a mit ggt(a, n) = 1 gilt a n 1 1 mod n. Satz 1.2 (Korselts Kriterium) Genau dann ist n eine Carmichael-Zahl, wenn n = q 1 q 2... q k mit k 3, wobei q 1, q 2,..., q k verschiedene ungerade Primzahlen mit q i 1 n 1 (i = 1, 2,..., k) sind. Beweis: Es sei n von der angegebenen Form und a zu n teilerfremd. Dann ist a auch zu q i teilerfremd und da q i eine ungerade Primzahl ist, können wir schreiben: a q i 1 1 mod q i. Es sei t N mit (q i 1) t = n 1. Dann folgt: (a q i 1 ) t 1 t mod q i, also (a (n 1) 1 mod q i (i = 1,..., k). Die q i sind teilerfremd und damit a n 1 1 mod n (chinesischer Restsatz). Es sei a n 1 1 mod n für jedes zu n teilerfremde a. Zeige nun: 1. n ist ungerade; 2. n ist quadratfrei; 3. n besitzt mindestens drei Primfaktoren; 4. für jeden Primfaktor p von n gilt p 1 n 1. zu 1.: Es sei n gerade und wähle a = 1. Aus ( 1) n 1 = 1 1 mod n folgt n 2. Diese Bedingung erfüllt keine gerade Zahl. zu 2.: Es sei p ein Primteiler von n und p α n. Dann ist a n 1 1 mod p α. Da n ungerade und daher p 2 existieren primitive Restklassen mod p α, also gibt es ein 2

3 c (Z/(p α )) mit ord(c) = ord((z/(p α )) ) = ϕ(p α ). Nach dem Chinesischen Restsatz gilt: (Z/(n)) = (Z/(p α )) (Z/(n/p α )) =: B Dann ist (c, 1) B, und es gilt ord(c, 1) = ord(c). Aufgrund der Isomorphie gibt es ein b (Z/(n)) mit ord(b) = ord(c) = ϕ(p α ). Also Da b n gilt nach Voraussetzung (n ist Carmichael-Zahl): b ϕ(pα) 1 mod n. (1) b n 1 1 mod n. (2) Also nach (1) und (2) ϕ(p α ) (n 1). Aus p n und ϕ(p α ) = p α 1 (p 1) n 1 folgt α = 1, denn sonst würde p sowohl n teilen als auch n 1 (Widerspruch). zu 3.: Ist n = pq mit Primzahlen p, q, so gilt p 1 n 1 und q 1 n 1 (Begründung siehe Teil 2., α = 1). Wegen n 1 = pq 1 = p(q 1) + (p 1) folgt p 1 q 1 (denn p 1 n 1 und p 1 p 1 und p 1 p) und analog q 1 p 1, also p = q. Dies ist im Widerspruch zu 2. Daher kann eine Carmichael-Zahl nicht das Produkt von zwei ungeraden Primzahlen sein, besitzt also mindestens drei ungerade Primfaktoren. zu 4.: Folgt direkt aus Teil 2 (α = 1). Satz 1.3 Es existieren unendlich viele Carmichael-Zahlen. Dies wurde 1994 bewiesen von William Alford, Andrew Granville und Carl Pomerance (s. [4]). Satz 1.4 (Konstruktionssatz von Carmichael-Zahlen) Sind für eine natürliche Zahl u 1 die drei Zahlen p 1 = 6u + 1, p 2 = 12u + 1, p 3 = 18u + 1 prim, so ist eine Carmichael Zahl. n = p 1 p 2 p 3 = (6u + 1)(12u + 1)(18u + 1) Beweis: Ausmultiplizieren liefert: n 1 = 36u(36u 2 +11u+1), was sofort p i 1 n 1 liefert. Nach Konstruktion ist n ungerade, quadratfrei und das Produkt von drei verschiedenen Primzahlen, daher nach Satz 1.2 eine Carmichael-Zahl. Bemerkung: Dieser Satz allein beweist nicht, dass es unendlich viele Carmichael-Zahlen gibt. Denn bisher konnte noch nicht bewiesen werden, dass es unendlich viele Primzahlentripel der Form 6u + 1, 12u + 1, 18u + 1 gibt. 2 Der Miller-Rabin-Test 2.1 Überblick Der Miller-Rabin-Test stellt eine Verfeinerung des Fermatschen Primzahltests dar. Als erstes werden zwei Sätze bewiesen, deren Aussagen das Fundament des Miller-Rabin 3

4 Tests darstellen, danach wird der Test formal dargestellt und an einigen Beispielen erläutert. Im Anschluß werden durch einige Überlegungen motiviert die Wahrscheinlichen Primzahlen definiert. Den Abschluß bilden Bemerkungen bezüglich der Bedeutung des Miller-Rabin Tests als Verfahren zum Ermitteln, ob eine Zahl keine Primzahl ist. Lemma 2.1 Ist p eine Primzahl, a eine Zahl mit a 2 1 mod p und a 1 mod p, so gilt a 1 mod p. Beweis: Es ist 0 a 2 1 = (a 1)(a + 1) mod p. Nach Voraussetzung ist a 1 mod p, d.h. p teilt nicht a 1 und da p Primzahl gilt damit p a + 1, d.h. a 1 mod p. Lemma 2.2 Sei p eine ungerade Primzahl und p 1 = 2 l q mit q 1 mod 2. Sei a eine Zahl mit ggt(a, p) = 1 und b a q mod p. Dann gilt für b: Entweder ist b 1 mod p oder es gibt ein i mit 0 i l 1 und b 2 i 1 mod p. Beweis: Der kleine Satz von Fermat zeigt 1 a p 1 a q 2l b 2 l mod p. Ist b 1 mod p, so sind wir fertig. Sei also b 1 mod p. Zusammengefasst: b 20 1 mod p und b 2l 1 mod p, also finden wir einen Index i mit 0 i l 1, so dass b 2i+1 1 mod p, aber b 2i 1 mod p. Damit ist (b 2i ) 2 1 mod p, nach Lemma 2.1 also b 2i 1 mod p, was zu zeigen war. Das Lemma zeigt uns eine Eigenschaft von ungeraden Primzahlen. Besitzt eine ungerade Zahl diese Eigenschaft nicht, so kann es keine Primzahl sein. Dies führt uns direkt zum Miller-Rabin-Test. Satz 2.3 (Miller-Rabin-Primzahltest) Sei n eine ungerade natürliche Zahl und n 1 = 2 l q mit q 1 mod 2. Sei weiter a eine Zahl mit ggt(a, n) = 1. Wir bilden b a q mod n. Gilt dann b 1 mod n oder b 2i 1 mod n für ein i mit 0 i l 1, so sagen wir, n erfüllt den Test bzgl. der Basis a. Erfüllt n den Test nicht, so ist n zusammengesetzt. Im Folgenden wird das Ergebnis des Miller-Rabin-Tests bei verschiedenen Zahlen analysiert. 1. Sei n = 15. Dann ist n 1 = 2 7, l = 1, q = 7 und {a 7 : a (Z/(15)) } = {1, 2, 4, 7, 8, 11, 13, 14} = {Z/(15)), nur 1 und 14 1 erfüllen dann die Aussage von Lemma 2.2, denn b 1 oder b 1. 4

5 = ist eine Pseudoprimzahl zur Basis 2. Nun ist = Wählt man a = 2 und b a mod 341, so ist b 2 1 mod 341, also kann 341 nach dem Lemma 2.2 keine Primzahl sein ist die erste Carmichael-Zahl, sie erfüllt mod 561, ist aber zusammengesetzt: 561 = Nun ist = Wir wählen a = 2 und erhalten b 263, b 2 166, b 4 67, b 8 1 mod 561, also kann 561 keine Primzahl sein. 4. Wir betrachten n = , erhalten n 1 = 2 6 q mit einer ungeraden Zahl q. Wir wählen a = 2 und berechnen dann b a q mod n und erhalten: b ±1 mod n, b 2 ±1 mod n, b 4 1 mod n, wir erhalten keinen Widerspruch zum Lemma 2.2: möglicherweise ist n eine Primzahl. Definition 2.4 (Starke Pseudoprimzahlen) Eine zusammengesetzte ungerade natürliche Zahl n heißt starke Pseudoprimzahl zur Basis a, wenn n den Miller-Rabin-Test bzgl. der Basis a besteht. Gibt man sich ein n vor und wählt ein a, so dass ggt(a, n) = 1, wie wahrscheinlich ist es, dass der Miller-Rabin-Test falsch liegt, also n zusammengesetzt ist und dennoch n den Test besteht. Dies ist Inhalt des nächsten Satzes. Satz 2.5 Sei p n die Wahrscheinlichkeit, dass der Miller-Rabin-Test falsch liegt, also dass man zufällig ein a mit ggt(a, n) = 1 auswählt, zu dem n starke Pseudoprimzahl ist. Für alle n N gilt: p n < 1 4 Die Wahrscheinlichkeit, dass man zufällig 25 Zahlen a mit ggt(a, n) = 1 auswählt, zu denen n starke Pseudoprimzahl ist, beträgt weniger als (1/4) 25. Die Wahrscheinlichkeit, 1 unter einer Milliarde Zahlen ein solches n zu finden, ist geringer als Bezieht man dies auf die Praxis, dann ist es wesentlich wahrscheinlicher, dass man durch das Missfunktionieren von Hardware oder durch Kosmische Strahlung zu einem falschen Ergebnis kommt (s. auch [2]). Definition 2.6 Eine Zahl p, die keine kleinen Teiler hat und die einige Miller-Rabin- Tests erfolgreich bestanden hat, nennt man eine wahrscheinliche Primzahl. (Die Anzahl der Tests kann man dabei je nach Bedarf festlegen.) Bemerkungen: 5

6 1. Für viele Anwendungen werden einfach wahrscheinliche Primzahlen benutzt, da ein Miller-Rabin-Test einfach zu programmieren und schnell in der Ausführung ist. 2. Auch Computeralgebrasysteme wie Maple (bei den Funktionen isprime oder ifactor) oder Pari arbeiten (nur) mit wahrscheinlichen Primzahlen. Bei Pari werden normalerweise 10 Miller-Rabin-Tests gemacht, Maple benutzt einen etwas modifizierten Test. 3. Es gibt auch Methoden um zu zeigen, dass eine große Zahl eine Primzahl ist, z. B. der Jacobi-Summen-Test. Für die Praxis haben sie aber zwei Nachteile: sie sind einmal langsamer und zum zweiten sind sie wesentlich komplexer und aufwendiger, so daß Programierfehler wahrscheinlicher werden. Literatur [1] H. Scheid: Zahlentheorie, BI 1991 [2] Knuth, The Art of Computer Programming, Vol. 2 [3] W. Ruppert, Vorlesungsskripten zur Zahlentheorie und Kryptographie [4] Alford, Granville and Pomerance, in Annals of Mathematics, 140 (1994) 6