Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
   Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 13.2 Вероятностные тесты на простоту Вверх: 13. Методы построения больших простых чисел Назад: 13. Методы построения больших простых чисел   Содержание   Предметный указатель

13.1 Введение

Большие простые числа, часто с дополнительными свойствами, используются практически во всех системах асимметричного шифрования, схемах генерации ключей и электронной подписи. Стойкость этих схем существенно зависит от некоторых тонких свойств используемых простых чисел. Таким образом, задача построения "типичного" простого числа имеет большое практическое значение.

Пусть нам нужно получить простое число $ n$ с определенным количеством знаков $ l$ в десятичной записи. Для этого мы можем просто выбрать случайное натуральное число $ n$ из отрезка $ \left[10^{l-1},10^l-1\right]$; из асимптотического закона распределения простых чисел следует, что при достаточно больших $ l$ выбранное число $ n$ будет простым с вероятностью не менее $ c/l$, где $ c$ -- некоторая положительная константа. Но тогда возникает вопрос: как определить, действительно ли число $ n$ простое? Возможны следующие подходы к решению этой задачи.


1. Проверим, делится ли $ n$ на маленькие простые числа $ p=2,3,5,7,\ldots$ до некоторой границы. Здесь мы отбросим составные числа $ n$ с маленькими простыми делителями. Если мы хотим этим способом доказать простоту $ n$, то надо перебрать все $ p\leqslant\left[\sqrt{n\vphantom{n_1}}\right]$.

2. Если $ n$ -- простое число, то для него справедлива малая теорема Ферма: если $ (a,n)=1$, то $ a^{n-1}\equiv1\mkern5mu({\rm mod}\,\,n)$, или $ a^n\equiv a\mkern5mu({\rm mod}\,\,n)$ для всех целых $ a$. Поэтому если для некоторого $ a$ малая теорема Ферма не выполнена, то $ n$ -- составное число. Это эффективный тест для отбрасывания практически всех составных чисел. Например, первые 10 нечетных чисел вида $ 10^{99}+k$, $ k=1,3,5,\ldots,19$, прошедших тест $ 13^{n-1}\equiv1\mkern5mu({\rm mod}\,\,n)$, действительно оказались простыми. (Как обычно, запись $ (x,y)$ здесь и далее обозначает наибольший общий делитель чисел $ x$ и $ y$.)

Однако если $ n$ прошло через тесты вида $ a^{n-1}\equiv1\mkern5mu({\rm mod}\,\,n)$ при $ (a,n)=1$ или $ a^n\equiv a\mkern5mu({\rm mod}\,\,n)$ для нескольких значений $ a$, то это еще не означает, что оно простое. Существуют нечетные составные числа $ n$, называемые числами Кармайкла, такие, что $ a^n\equiv a\mkern5mu({\rm mod}\,\,n)$ для всех целых чисел $ a$ и $ a^{n-1}\equiv1\mkern5mu({\rm mod}\,\,n)$ для всех целых $ a$, взаимно простых с $ n$. Недавно доказано [AGP], что чисел Кармайкла бесконечно много.

3. Проверим теперь $ n$ на строгую псевдопростоту. Пусть $ n$ -- нечетное число такое, что $ n-1=2^sd$, где $ d$ нечетно, $ s\geqslant 1$. Число $ n$ называется строго псевдопростым в базе $ a$, $ a>1$, если $ (a,n)=1$, и либо $ a^d\equiv1\mkern5mu({\rm mod}\,\,n)$, либо $ a^{2^rd}\equiv -1\mkern5mu({\rm mod}\,\,n))$ при некотором $ r$, $ 0\leqslant r\leqslant s-1$. Как показано в [AS], среди нечетных чисел $ n$, удовлетворяющих неравенству $ 1<n<25\cdot10^9$ и строго псевдопростых в базах 2, 3, 5, 7, составным является только одно число $ n=3215031751$; все остальные являются простыми числами. Если же число $ n$ не является строго псевдопростым в некоторой базе $ a$, то $ n$ -- составное число (это следует из малой теоремы Ферма).

Тест, аналогичный тесту строгой псевдопростоты, присутствует в следующем алгоритме Миллера [Mil]. В нем $ n$ -- нечетное число, $ n-1=2^sd$, где $ d$ нечетно.     1. Проверить, является ли $ n$ $ l$-й степенью натурального числа при каком-либо $ l\geqslant 2$. Если да, то $ n$ составное.

    2. Для всех $ a$, $ 2\leqslant a\leqslant f(n)$, где $ f(n)$ -- некоторая функция от $ n$, проверить следующие условия:

  2.1. $ a\mid n$;

  2.2. $ a^{n-1}\not\equiv1\mkern5mu({\rm mod}\,\,n)$;

  2.3. $ 1<(a^{2^rd}-1,n)<n$ при некотором $ r$, $ 0\leqslant r\leqslant s-1$.

Если какое-либо из условий 2.1-2.3 истинно, то $ n$ составное.

Если мы положим $ f(x)=cx^{0,133}$ и данный алгоритм не обнаружит, что $ n$ составное число, то $ n$ является простым, и алгоритм будет детерминированно проверять простоту за $ O\left(n^{1/7}\right)$ арифметических операций.

Если справедлива расширенная гипотеза Римана, то можно положить $ f(x)=2\ln^2x$, и алгоритм Миллера будет проверять простоту за $ O(\log^4n)$ операций. Однако к настоящему времени расширенная гипотеза Римана не доказана.

4. При применении предыдущих подходов мы либо отбрасывали составные числа, либо детерминированно проверяли простоту числа с экспоненциальной сложностью. В 1980-1984 годах Адлеман, Ленстра и Коэн предложили ряд алгоритмов, которые позволяют детерминированно проверять простоту $ n$ за $ O\left(\log n^{c\log\log\log n}\right)$ операций. Обзор этих и предшествовавших им алгоритмов см. в [Вас1]. Применение этих методов позволяет проверить простоту натурального числа порядка $ 10^{100}$ за несколько минут (в зависимости от быстродействия компьютера). Однако если нам нужны простые числа с тысячами десятичных знаков, то эти алгоритмы становятся непригодными.

Среди последних достижений в области построения общих алгоритмов проверки простоты отметим алгоритм Гольдвассер -- Килиана [GKil], который работает с полиномиальной сложностью для $ \left(1-O\left(2^{-k^{1/\log\log k}}\right)\right)\cdot 100\%$ от всех чисел, имеющих длину десятичной записи не более $ k$.

Важный результат получен в работах Адлемана и Хуанга [AHu1], [AHu2]. В их алгоритме для случайно выбранного $ a$, $ 1<a<n$, проверяется выполнение некоторых условий, из которых следует простота $ n$, причем если $ n$ -- простое число, то вероятность выбрать то $ a$, для которого условия будут выполнены, не менее $ 1/2$.

В разделах 13.3-13.6 мы приводим различные методы тестирования простоты и построения больших простых чисел. По-видимому, наиболее надежным и проверенным на практике является метод, основанный на теореме Бриллхарта, Лемера и Селфриджа и описанный в разделе 13.5. Мы рекомендуем его для использования в сочетании с методом Конягина -- Померанса, описанным в в разделе 13.6. Раздел 13.7 посвящен анализу алгоритма построения больших простых чисел, используемого в отечественном стандарте электронной подписи (ГОСТ Р 34.10-94). В частности, указаны его недостатки и способы их преодоления. Наконец, в разделе 13.8 предлагается некоторая модификация алгоритма из отечественного стандарта электронной подписи, учитывающая замечания, высказанные в разделе 13.7.

Вперед Вверх Назад Содержание Предметный указатель
Вперед: 13.2 Вероятностные тесты на простоту Вверх: 13. Методы построения больших простых чисел Назад: 13. Методы построения больших простых чисел   Содержание   Предметный указатель

Проект осуществляется при поддержке:
 Геологического факультета МГУ,
РФФИ
    
TopList Rambler's Top100