Solovay-Strassenov test

[Prethodno poglavlje] [Sljedeće poglavlje] [Sadržaj]

4.2. Solovay-Strassenov test

Neka je p neparan prost broj. Za broj b, koji je relativno prost s p, kažemo da je kvadratni ostatak modulo p ako kongruencija x² ≡ b (mod p) ima rješenja. U protivnom, kažemo da je b kvadratni neostatak. Legendreov simbol (b/p)

se definira ovako: (b/p)

= 1 ako je b kvadratni ostatak modulo p; (b/p)

= -1 ako je b kvadratni neostatak modulo p; (b/p)

= 0 ako p dijeli b.

Neka je n neparan broj i n = p₁ · · · p_k njegov rastav na (ne nužno različite) proste faktore. Tada se Jacobijev simbol (b/n) definira sa (b/n) = (b/p_1)...(b/p_k) Ako je n prost, onda se Jacobijev i Legendreov simbol podudaraju. Važno svojstvo Legendreovog simbola je Eulerov kriterij:

(b/p)=b^((p-1)/2) (mod p)

Definicija: Ako je n neparan složen broj, te b cijeli broj takav da je (b,n) = 1 i vrijedi
(b/n)=b^((n-1)/2)
gdje je (b/n) Jacobijev simbol, onda n zovemo Eulerov pseudoprosti broj u bazi b (ili epsp(b)).

Kvadriranjem relacije (**) dobivamo b^{n -1} ≡ 1 (mod n), tj. relaciju (*). To znači da je svaki epsp(b) ujedno i psp(b). Međutim , obrat ove tvrdnje ne vrijedi.

Primjer 4.2: Vidjeli smo u Primjeru 4.1 da je 91 pseudoprost u bazi 3. Međutim,

3⁴⁵ ≡ 729⁷ ^. 27 ≡ 27 (mod 91),

pa 91 nije Eulerov pseudoprost broj u bazi 3. Ipak, 91 jest Eulerov pseudoprost u bazi 10 jer je

10⁴⁵ ≡ 1000¹⁵ ≡ (-1)¹⁵ ≡ -1 (mod 91) i (¹⁰ / ₉₁) = -1.

Neka je Z_n* = { b ∈ Z_n : (b,n) = 1}. Tada je |Z_n*| = φ(n). Neka je nadalje

P_n = { b ∈ Z_n* : (b/n) ≡ b^{(n -1)/2} (mod n) }.

Sljedeći teorem predstavlja osnovu za Solovay-Strassenov test prostosti.

Teorem 4.2: Za sve neparne složene brojeve n vrijedi |P_n| ≤ φ(n)/2.

Uočimo važnu razliku između Teorema 4.1.3) i 4.2. Naime, kod Eulerovih pseudoprostih brojeva nema analogona Carmichaelovih brojeva, već za svaki složen broj n, relacija (**) nije zadovoljena za barem pola mogućih baza.

Prije dokaza Teorema 4.2, dokažimo dvije leme. Koristit ćemo oznaku: ν_m(t) = najveći cijeli broj k takav da m^k dijeli t.

Lema 4.1: Neka je n = p₁ alpha ^{. . .} p_r alpha neparan broj, te neka je ν = min { ν₂ (p_i-1) : i = 1, ... , r }, s = ∏_i (m, φ(p_i alpha ). Tada vrijedi:
(1) Kongruencija x^m ≡ 1 (mod n) ima točno s rješenja.
(2) Kongruencija x^m ≡ -1 (mod n) ima rješenja ako i samo ako je ν₂(m) < ν.
(3) Ako kongruencija x^m ≡ -1 (mod n) ima rješenja, onda ih ima točno s.

Dokaz: Neka je g_i primitivni korijen modulo p_i alpha , tj. g_i^a ≢ 1 (mod p_i alpha ) za a < φ(p_i alpha ) = p_i alpha (1 - 1/p_i ). To znači da za svaki x ∈ { 1, ... , p_i alpha - 1 } postoji j takav da je g_i^j ≡ x (mod p_i alpha ). Označimo taj j s ind_i x. Sada je kongruencija x^m ≡ c (mod n) ekvivalentna sustavu kongruencija

m · ind_i x ≡ ind_i c (mod φ(p_i alpha )), za i = 1, ... , r. (4.1)

Za c = 1 je ind_i 1 = 0, pa sustav (4.1) postaje

m · ind_i x ≡ 0 (mod φ(p_i alpha )), za i = 1, ... , r.

Ovo su linearne kongruencije i i-ta ima (m, φ(p_i alpha

)) rješenja. Stoga je ukupan broj rješenja sustava jednak s.

Za c = -1 je ind_i (-1) = φ(p_i alpha )/2, pa sustav (4.1) postaje

m ^. ind_i x ≡ φ(p_i alpha )/2 (mod φ(p_i alpha )), za i = 1, ... , r.

Sada iz svojstava linearnih kongruencija zaključujemo da ako ovaj sustav ima rješenja, onda ih ima s, a nužan i dovoljan uvjet za postojanje rješenja je da (m,φ(p_i alpha

)) dijeli φ(p_i alpha

)/2. Odavde imamo da (2

^2(m) m₁, p_i alpha

^{i -1} ^. 2

^{2(p_i -1)} q₁) dijeli p_i alpha

^{i -1} ^. 2

^{2(p_i -1)-1} q₁, gdje su m₁ i q₁ neparni brojevi. No, ovo je očito ekvivalentno s ν₂(m) < ν₂(p_i-1) za i = 1, ... , r, tj. s ν₂(m) < ν.

■

Lema 4.2: Neka je n neparan broj, te p₁, ..., p_r svi različiti prosti faktori od n. Tada je
|P_n|=delta_n*((n-1)/2,p_i-1)
gdje je δ_n ∈ {1/2, 1, 2}.

Dokaz: Neka je

K_n+-, L_n+-, M_n+-

Tada je P_n = M_n⁺. Iz Leme 4.1 imamo: |K_n⁺| = ∏_i ((n-1)/2, p_i -1). S druge strane, M_n⁺ = (K_n⁺ ∩ L_n⁺) ∪ (K_n^- ∩ L_n^-). Ako je K_n^- ∩ L_n^- = ∅, onda je |M_n⁺| = |K_n⁺ ∩ L_n⁺|. Ako je K_n^- ∩ L_n^- ≠ ∅ i b₀ ∈ K_n^- ∩ L_n^-, onda je preslikavanje f : K_n⁺ ∩ L_n⁺ → K_n^- ∩ L_n^- definirano s f(b) = bb₀ bijekcija, pa je |M_n⁺| = 2|K_n⁺ ∩ L_n⁺|. Na isti način, iz relacije K_n⁺ = (K_n⁺ ∩ L_n⁺) ∪ (K_n⁺ ∩ L_n^-) slijedi |K_n⁺ ∩ L_n⁺| = |K_n⁺| ako je K_n⁺ ∩ L_n^- = ∅, te |K_n⁺ ∩ L_n⁺| = 1/2 |K_n⁺| ako je K_n⁺ ∩ L_n^- ≠ ∅.
Stoga je zaista |P_n|= |M_n⁺|= δ_n |K_n⁺|, gdje je δ_n ∈ {1/2, 1, 2}.

■

Dokaz Teorema 4.1: Neka je n = p_1^a_1...p_r^a_r . Iz Leme 4.2 slijedi

|P_n|/phi(n)= (4.2)

Ako je α_i ≥ 2 za neki i, onda je desna strana od (4.2) ≤ δ_n/3 ≤ 2/3. Skup P_n je jezgra homomorfizma h_n : Z_n* → Z_n* definiranog s h_n(a) = (a/n) a^(n-1)/2 mod n, pa je P_n podgrupa od Z_n*, a zbog |P_n| < φ(n) je prava podgrupa od Z_n*. Stoga je |P_n| ≤ φ(n)/2.

Sada možemo pretpostaviti da je α_i = 1, tj. n = p₁ · · · p_r, r ≥ 2. Pretpostavimo da tvrdnja teorema ne vrijedi. Tada bi bilo P_n = Z_n*. Neka je g primitivni korijen modulo p₁ (ili bilo koji kvadratni neostatak modulo p₁). Po Kineskom teoremu o ostatcima, možemo naći a ∈ Z_n* takav da je a ≡ g (mod p₁) i a ≡ 1 (mod n/p₁). Budući da je Z_n* = P_n, to je a^(n-1)/2 ≡ (a/n) (mod n). Međutim, (a/n) = (a/p₁) (a/(n/p₁)) = (g/p₁) = -1. Zato je a^(n-1)/2 ≡ -1 (mod n/p₁), što je u suprotnosti s a ≡ 1 (mod n/p₁).

■

Korolar 4.1: Neka je n ≡ 3 (mod 4) složen broj s r različitih prostih faktora. Tada je
|P_n| ≤ φ(n)/2^{r -1}.

Dokaz: Iz relacije (4.2) imamo:

|P_n|/phi(n) <= 1/2^(r-1)

■

Solovay-Strassenov test prostosti:

Neka je n neparan broj za kojeg želimo ustanoviti da li je prost ili složen. Odaberimo na slučajan način k brojeva b takvih da je 0 < b < n. Za svaki od tih b-ova izračunamo obje strane od (**). Za računanje b^(n-1)/2 mod n treba O(log³ n) operacija metodom kvadriraj i množi. Za računanje Jacobijevog simbola (b/n), koristeći kvadratni zakon reciprociteta, treba O(log² n) operacija. Ako ova dva broja nisu kongruentna modulo n, onda znamo da je n složen i test staje. Inače uzmemo idući b. Ako n prođe test (**) za k različitih b-ova, onda je vjerojatnost da je n složen ≤ 1/2^k. Stoga, ako je k dovoljno velik, n proglašavamo "vjerojatno prostim". U praksi se uzima k = 50 ili k = 100 (2^-50 ≈ 10^-15, 2^-100 ≈ 10^-30).

Solovay-Strassenov test je primjer tzv. Monte Carlo algoritma koji uvijek daje odgovor, ali on može biti netočan. Drugi tip vjerojatnosnog algoritma je Las Vegas algoritam koji ne daje uvijek odgovor, ali kada ga da, onda je odgovor sigurno točan. Primjer takvog algoritma smo vidjeli kod faktorizacije RSA modula n ako je poznat tajni eksponent d.

Napomena: Navest ćemo svojstva Jacobijevog simbola koja se koriste u njegovom računanju:

(1) a ≡ b (mod n) ⇒ (a/n) = (b/n)

(2) (-1/n) = (-1)^{(n -1)/2}, (2/n) = (-1)^{(n -1)/8}

(3) (ab/n) = (a/n) (b/n)

(4) (m/n) = - (n/m) ako je m ≡ n ≡ 3 (mod 4), a (m/n) = (n/m) inače.

[Prethodno poglavlje] [Sljedeće poglavlje] [Sadržaj]

Web stranica kolegija Kriptografija

Andrej Dujella - osobna stranica