Der Miller-Rabin-Test oder Miller-Selfridge-Rabin-Test (kurz MRT) ist ein probabilistischer Primzahltest und damit ein Algorithmus aus dem mathematischen Teilgebiet Zahlentheorie, insbesondere der algorithmischen Zahlentheorie.
Der MRT erhält als Eingabe eine ungerade natürliche Zahl , von der man wissen will, ob sie prim ist, und eine weitere Zahl und gibt entweder „zusammengesetzt“ oder „wahrscheinlich prim“ aus. Ist prim, so lautet die Ausgabe immer „wahrscheinlich prim“. Anderenfalls wird in den meisten Fällen „zusammengesetzt“ ausgegeben, aber für manche Paare mit zusammengesetztem ist die Ausgabe trotzdem „wahrscheinlich prim“.
Oft wird zufällig gewählt, der MRT zählt in dieser Form zur Klasse der Monte-Carlo-Algorithmen. Durch wiederholtes Testen mit verschiedenen kann die Wahrscheinlichkeit eines Irrtums beliebig klein gehalten werden. Es gibt deterministische Varianten des MRT, bei denen durch geeignete Wahl der ein Irrtum ausgeschlossen wird.
Der MRT ist nach Gary L. Miller und Michael O. Rabin benannt. John L. Selfridge hat diesen Test schon 1974 verwendet, bevor Rabin ihn 1976 veröffentlichte. Daher rührt der alternative Name Miller-Selfridge-Rabin-Test.
Der MRT funktioniert ähnlich wie der Solovay-Strassen-Test, ist diesem allerdings in allen Aspekten überlegen. Er ist schneller, seine Irrtumswahrscheinlichkeit ist geringer, und alle Paare ,, für die der Solovay-Strassen-Test die richtige Ausgabe liefert, werden auch vom MRT richtig erkannt.
Algorithmus Bearbeiten
Es sei eine ungerade Zahl, von der festgestellt werden soll, ob sie eine Primzahl ist. Zuerst wählt man eine Zahl aus der Menge .
Der nächste Schritt ist ein Test, den nur Primzahlen und starke Pseudoprimzahlen (zur Basis ) bestehen. Man berechnet (ungerade) und so, dass
und prüft dann, ob entweder
oder
gilt. Für eine Primzahl ist dies stets der Fall. Wenn die Bedingung nicht erfüllt ist, muss also zusammengesetzt sein. Die Bedingung wird jedoch auch von einigen Zahlenpaaren , mit zusammengesetztem erfüllt, so dass der Test die Zusammengesetztheit von mit diesem nicht zeigt. Dann heißt eine starke Pseudoprimzahl zur Basis .
Funktionsweise Bearbeiten
Man betrachtet die Folge
In der jedes Element das Quadrat seines Vorgängers ist. Die Elemente werden modulo berechnet.
Ist eine Primzahl, dann gilt nach dem kleinen fermatschen Satz
und obige Folge hat deshalb 1 als letztes Element.
Für Primzahlen ist der Vorgänger einer 1 in der Folge immer kongruent zu 1 oder zu -1:
Die Folge besteht dann also entweder nur aus Einsen, oder sie enthält (was sich bei modulo-n-Rechnung für einen Wert kongruent zu −1 ergibt), worauf wegen Einsen folgen. Wenn die Folge nicht diese Form hat, muss zusammengesetzt sein.
Man prüft, ob die Folge mit 1 beginnt oder ob spätestens als vorletztes Element auftritt. Ist dies der Fall, ist entweder prim oder eine starke Pseudoprimzahl zur Basis , und es wird „möglicherweise prim“ ausgegeben. Ansonsten kann nicht prim sein, und der Algorithmus gibt „zusammengesetzt“ aus. Man kann die Berechnung abbrechen, wenn oder ohne vorhergehendes auftritt, denn danach kann nur noch bzw. kommen.
Zuverlässigkeit Bearbeiten
Ist ungerade und nicht prim, so enthält die Menge höchstens Elemente mit , die keine Zeugen für die Zusammengesetztheit von sind. Ist , dann wird immer für ein sein, und wird als zusammengesetzt erkannt.
Ist ein zusammengesetztes ungerades gegeben und wählt man zufällig ein aus , dann ist somit die Wahrscheinlichkeit, dass das Ergebnis „wahrscheinlich prim“ lautet, kleiner als . Wiederholt man den Test mehrfach für verschiedene voneinander unabhängig gewählte aus dieser Menge, sinkt die Wahrscheinlichkeit weiter ab. Nach Schritten ist die Wahrscheinlichkeit, eine zusammengesetzte Zahl für prim zu halten, kleiner als , also z. B. nach vier Schritten kleiner als 0,4 % und nach zehn Schritten kleiner als .
Das ist eine pessimistische Schätzung, die von den „problematischsten“ Werten für ausgeht. Für die meisten zusammengesetzten ist der Anteil der Basen, die ein falsches Ergebnis liefern, erheblich kleiner als , und für viele ist er sogar 0.
Deterministische Varianten Bearbeiten
Der Miller-Rabin-Algorithmus kann deterministisch angewendet werden, indem alle Basen in einer bestimmten Menge getestet werden (Beispiel: wenn n < 9.080.191, dann ist es ausreichend a = 31 und 73 zu testen, siehe unten).
Wenn das getestete zusammengesetzt ist, sind die zu teilerfremden starken Pseudoprimzahlen in einer echten Untergruppe von enthalten. Dies bedeutet, dass beim Testen aller aus einer Menge, die erzeugt, eines der ein Zeuge für das Zusammengesetztsein von ist. Wenn angenommen wird, dass die Riemannsche Vermutung wahr ist, dann folgt daraus, dass die Gruppe durch ihre Elemente kleiner O((log n)2) generiert wird, was bereits im Algorithmus von Miller angeführt wurde. Die Konstante in der Landau-Notation wurde von Eric Bach auf 2 reduziert. Deshalb erhält man einen deterministischen Primzahltest, wenn alle getestet werden. Die Laufzeit dieses Algorithmus ist O((log n)4).
Wenn die Zahl klein ist, ist es nicht notwendig, alle bis zu testen, da bekannt ist, dass eine viel kleinere Anzahl ausreichend ist.
Beispielsweise wurde folgendes verifiziert:
| n kleiner als | zu testende a | Quelle |
|---|---|---|
| 2.047 | 2 | :1023 |
| 1.373.653 | 2, 3 | |
| 9.080.191 | 31, 73 | :926 |
| 4.759.123.141 | 2, 7, 61 | |
| 2.152.302.898.747 | 2, 3, 5, 7, 11 | :916 |
| 3.474.749.660.383 | 2, 3, 5, 7, 11, 13 | |
| 341.550.071.728.321 | 2, 3, 5, 7, 11, 13, 17 | |
| 3.825.123.056.546.413.051 | 2, 3, 5, 7, 11, 13, 17, 19, 23 | |
| 318.665.857.834.031.151.167.461 | 2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37 | |
| 3.317.044.064.679.887.385.961.981 | 2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41 |
Dabei dürfen nur solche getestet werden, die größer sind als das jeweils größte angegebene .
Für das letzte Beispiel ist die Schranke . Daran ist zu erkennen, wie viel eingespart wird, indem nur die Primzahlen bis 41 verwendet werden.
Siehe auch die Prime Pages, Miller-Rabin SPRP bases records, Zhang/Tang und ebenso die Folge A014233 in OEIS zu anderen Kriterien ähnlicher Art. Auf diese Weise hat man sehr schnelle deterministische Primzahltests für Zahlen im geeigneten Bereich, ohne auf unbewiesene Annahmen zurückgreifen zu müssen.
Implementierung Bearbeiten
Diese C++-Implementierung kann alle Zahlen kleiner behandeln:
#include <cstdint> using u32 = std::uint32_t; using u64 = std::uint64_t; bool mrt (const u32 n, const u32 a) // n ungerade, 1 < a < n-1 { const u32 m = n - 1; u32 d = m >> 1, e = 1; while (!(d & 1)) d >>= 1, ++e; u64 p = a, q = a; while (d >>= 1) { // potenziere modular: p = a^d mod n q *= q; q %= n; // quadriere modular: q = q^2 mod n if (d & 1) p *= q, p %= n; // multipliziere modular: p = (p * q) mod n } if (p == 1 || p == m) return true; // n ist wahrscheinlich prim while (--e) { p *= p; p %= n; if (p == m) return true; if (p <= 1) break; } return false; // n ist nicht prim } Praktische Relevanz Bearbeiten
Primzahltests werden vor allem in der Kryptographie benötigt. Ein typisches Beispiel ist die Schlüsselerstellung für das RSA-Kryptosystem, hierfür werden mehrere große Primzahlen benötigt. Zwar wurde im Jahr 2002 mit dem AKS-Primzahltest erstmals ein beweisbar deterministischer, in polynomialer Zeit laufender Primzahltest vorgestellt. Dessen Laufzeit ist jedoch für praktische Anwendungen meist zu hoch, weswegen für Kryptographie-Software meist immer noch der Miller-Rabin-Test eingesetzt wird. Dabei ist es zwar theoretisch möglich, dass eine zusammengesetzte Zahl als Primzahl genutzt wird, die Wahrscheinlichkeit ist jedoch so gering, dass es in der Praxis keine Rolle spielt.
Literatur Bearbeiten
- Johannes Buchmann: Einführung in die Kryptographie. 2. Auflage. Springer, 2001, S. 108–111
- Karpfinger, Kiechle: Kryptologie, Algebraische Methoden und Algorithmen. Vieweg+Teubner, 2010, S. 147–152, mit vollständigen Beweisen
Weblinks Bearbeiten
- Eric W. Weisstein: Miller-Rabin-Test. In: MathWorld (englisch).
Einzelnachweise Bearbeiten
- M. O. Rabin: Probabilistic algorithms. In: J. F. Traub (ed.): Algorithms and complexity. Academic Press 1976, S. 21–39, speziell S. 35/36, zum Teil nach Ideen von Miller
- Song Y. Yan: Number theory for computing. 2. Auflage. Springer, 2002, S. 208–214
- Gary L. Miller: Riemann’s Hypothesis and Tests for Primality. In: Journal of Computer and System Sciences 13 (1976), no. 3, pp. 300–317.
- Eric Bach: Explicit bounds for primality testing and related problems, Mathematics of Computation 55 (1990), no. 191, pp. 355–380.
- Carl Pomerance, John L. Selfridge, Samuel Wagstaff: The pseudoprimes to 25·10⁹. In: Mathematics of Computation. Band 35, 1980, S. 1003–1026, doi:10.1090/S0025-5718-1980-0572872-7 (englisch).
- ↑ Gerhard Jaeschke: On strong pseudoprimes to several bases. In: Mathematics of Computation. Band 61, 1993, S. 915–926, doi:10.2307/2153262 (englisch).
- Yupeng Jiang and Yingpu Deng: Strong pseudoprimes to the first eight prime bases. In: Mathematics of Computation. Band 83, 2014, S. 2915–2924, doi:10.1090/S0025-5718-2014-02830-5 (englisch).
- Jonathan Sorenson, Jonathan Webster: Strong pseudoprimes to twelve prime bases. In: Mathematics of Computation. Band 86, 2017, S. 985–1003, doi:10.1090/mcom/3134, arxiv:1509.00864 [math] (englisch).
- Prime Pages der University of Tennessee at Martin
- Miller-Rabin SPRP bases records
- Zhenxiang Zhang, Min Tang: Finding strong pseudoprimes to several bases. II. In: Math. Comp. 72 (2003), S. 2085–2097
- Die Folge A014233 in OEIS