修士学位論文

(1)

修士学位論文

題名

Miller‑Rabin素数判定法における誤り確率の上限

指導教授鈴木登志雄准教授

平成23年1月 ^7日 ^{i提出}

首都大学東京大学院

理工学研究科数理情報科学専攻学修番号09878307

氏名後藤大和

(2)

論文題名:MillerRabin素数判定法における誤り確率の上限

素数は無数に存在し、今日、暗号論など様々なところで利用されている。与えられた自然数が素数であるか判定する方法の一つとして『Miller・Rabin素数判定法』という素数判定法がある。

MillerRabin素数判定法は確率的素数判定法と呼ばれ、判定する自然数が素数であれば必ず「素数の可能性あり」と出力するが、合成数であってもある一定の確率で「素数の可能性あり」と出力してしまう。しかし、現在発表されている唯一の決定多項式時間で計算できる『AKS素数判定法』は計算量が高すぎるため、少ない計算量で済むMillerRabi鍛素数判定法等の確率的素数判定法がよく利用されている。

本論文では、一般的に実用できるレベルではないものの、簡単な前処理を行うことで、ある特定の場合を除きMillerRabin素数判定法における誤判定の確率を下げる方法を紹介する。

(3)

§1

§2

§3

§4

§5

§6

§7

§8

序と記法の説明

MillerRabin素数判定法とは基本事項の復習

Miller‑Rabin素数判定法のアルゴリズムと正当性 Miller‑Rabin素数判定法の計算量

MillerRabまn素数判定法の誤り確率の証明 MillerRabin素数判定法の誤り確率の低減今後の課題

134910101926

(4)

指導教授鈴木登志雄准教授

平成23年1,月7日提出

首都大学東京大学院理工学研究科数理情報科学専攻 09878307後藤大和

(5)

09878307後〕藤大和

が1序と認滋の詑男序

素数とは、1とそれ自身しか正の約数を持たない2以上の自然数のことである。素数は無限に存在し、暗号論等で重要な役割を持っている。

素数を判定する方法は様々な例が挙げられるが、2002年に決定多項式時間で計算できる方法として『AKS素数判定法』が発表された。しかし、時間計算量を表す多項式の次数が高すぎるため実用的範囲で利用出来るものではなく、実際には『MillerRabin素数判定法』や『Solovay・Strassen素数判定法』といった確率的素数判定法が利用されているのが現状

である。ちなみに確率的素数判定法とは、判定したい自然数を「合成数」か「素数の可能性がある」のどちらかに判定する判定法である。「合成数」と判定した場合は確実に合成数であるが、「素数の可能性がある」と判定した場合はまだどちらともいえない状態である。

そのため実際に利用するときは、この確率的素数判定法を繰り返し行うことによって精度を高めるのが一般的である。

今回はその確率的素数判定法のうち、[3】、【4]で導入された『MillerRabin素数判定法』について論じる。

本論文では

1:MillerRabin素数判定法のアルゴリズムとその正当性。

1

2:η が合成数であるとき"素数の可能性あり"と出力する確率が一以下である証明。4

3さらに、実用的なレベルではないものの簡単な前処理を行うことで、 ηが合成数である

と綜数の可能脚・と出力する確率が・ある特定の場合を除き砲下(正確に

はユZL以下)になることの証明.

1024 を述べる。

(6)

なお、誤り確率とは、「ηが合成数であるにも関わらず"素数の可能性あり"と出力する確率」とする。

記法の説明

部分集合の記号「⊂」は集合竣,βが躍=Bのときも含めて」 ⊂Bとする。

脚を法とする剰余類を α",などと表記し、特に ηを法とする剰余類を αなどと表記する。

ηの規約剰余類(剰余類群の元の中から、乗法逆元をもつもの)の集合を(Z/ηZ)× とおく。

つまり(Z/ηZ)㌧{α1(α,η)瓢1}とする。

η を法とする剰余類の元gの元位数を}g},と表記する。

0を次のように定義する。

!=0(9)⇔ ある0以上の整数んに対し!=0(910gl9)

詳しくは[1]De蝕ition2.2.5または[5]注意1.3.2を参照していただきたい。

(7)

09878307後藤大和

52遡 θr・磁ゐ血素翻鰭くをな

MillerRabin素数判定法とはSt欝ongprobableprimetest(強擬素数テスト)とも呼ばれ、その名の通りある整数が素数かどうか判定するアルゴリズムである。素数かどうか判定したい奇数を η とすると

η が素数ならば、必ず"素数の可能性あり"と出力し

η が合成数ならば、!以下の確率で・素数の可能性あり・と勘、つまり 4

触上の確率で・合成数・であると判定される.

4

(なお逆に、入力に対し"合成数"と出力されたときは、その入力は必ず合成数である。) このアルゴリズムを利用するとき、基本的には何回か繰り返し行うことが多い。例えば、ん

回行っ腸合、その信用度は{H1)・}以上のものとなる。ただそれゆえ、蜷レ・くら大き 4

くとっても"素数である"と言いきることは出来ない。

【MillerRabin素数判定法のアルゴリズム】

123・4

5.

η一1議23・ア,(7は奇数)となる5,rを求める。 1≦ α ≦ η一1なる自然数 α をランダムにとる。 Z》:=αアrnodη

bニ1またはろ=η 一1のとき、"素数の可能性あり"と出力して終了。〃そうでないとき、以下を3‑1回繰り返す。

i.ゐにう2modη を代入。

ii.もしわ瓢 η一1ならば、"素数の可能性あり"と出力して終了。//

"素数でない"と出力して終了

。〃

(以下"素数の可能性あり"を、̀̀Ybs?"と表記する。)

(8)

53塞本算贋の復習

本節では、以下の議論に必要な代数学の初歩等を復習する。本節の執筆には田を参考にした。

Fermatの小定理

素数pに対し、整数 αを任意にとる。このとき

αρ≡ α(mod1ワ)が成立する。

証明:

数学的帰納法を使って証明する。

α竃0,1のとき、明らかに成立する。

α竃2のとき 2P認(1+1)ρ

一 Σ 。c、

'瓢O

P(ρ 一1)+

̲+ .ρ千1=1+P+2

よって2ρ 竃2(mod .ρ)を得る。

α ≧3のとき、〆 § α(modρ)と仮定すると、同様に

(α+1)」o≡{2rP+1ρ(mod、 ρ)

≡ 〆+1

≡≡α+1(rnod 、ρ)

(なお、 α が負のときも同様)

よって、数学的帰納法より証明された。口

(9)

09878307後藤i大和

補題0素数 ρ に対し、1≦ α<ρ α2mod .ρ=1とすると o雛1または α=ρ 一1となる。

証明:

題意より

(α2‑1)modp瓢0

⇔(α+1)(α 一1)modρ 瓢0

これよりpは(α+1)(α 一1)の約数となり、 ρ1(α+1),ρ1(α 一1)のどちらか、または両方を満たす。よって、pと α の範囲から α=1または α=ρ 一1を得られる。 □

補題1.1G,H:有限群,H⊂Gのとき、Hの位数はGの位数の約数である。

特に、g6Gの位数は、gの生成する巡回部分群の位数に一致するので、群Gの位数の約数である。(証明略)

補題1.2.1合同式砿 … 戻modη)は、@η)=1のとき、解は唯一となる。

証明:

(α,η)=1より、 αo+働=1をみたすある整数 α,β が存在するので解の存在は明らか。

(α,η)=1の時、(Z/ηZ)={朔,f2,.̲.,鴎}とする。

ακゴ……αrノ(modη)⇔ α(κ∫一 κノ)ミ0(modη)より、 κ〜一 κノ ≡0(modη)

よって亙=1『1となり、 ακ 鋸わ(modη)の解は唯一となる。口

(10)

補題1.2素数 ρ に対し、♂ 叢1(mod .ρ)の解の個数は、法pで合同なものを同一視して高々吻個である。

証明:

帰納法を利用して証明する。

溺雛1のとき、補題1。2ユより解は唯一となる。

以下吻 ≧2のときを考える。一般に、多項式プ(κ)=κ'〃‑1を(κ 一ので割った商をg(κ)、

余りをRとすると!(κ)=(κ 一のg(κ)+Rとかける。α が κ"L1…0(modp)の解であるときR≡0(mod、 ρ)となり ∫(κ)≡0(modρ)から(κ 一の9(κ)≡0(modρ)が得られる。よって、1ワが素数であることから κ 一〇ヨ0(mod .ρ)またはg(κ)…0(mod.ρ)となり、

κ一 α 叢0(願od ,ρ)のとき、補題1.2.1より解は唯一。g(κ)羅0(mod.ρ)のとき、g(κ)は吻一1次式であることから、帰納法の仮定により解の個数は高々〃卜1個であることが分かる。

これより補題L2は成立する。目

補題1(Z/pZ)xは、位数 ρ の巡回群である。証明:

まず(Z/pZ)xが巡回群であることを示す。

(Z/pZ)xで位数最大の元をgとし、gの位数を吻とおき、〃2=ρ 一1を示せば良い。

背理法で(Z/ρZ)xが巡回群であることを示す。g,彫を前述のように置き、〃2<ρ 一1と仮定すると、これは κ"一』0(modP)の解である。このとき、1,9,92,.̲,9耐はすべて

κ溺一bO(mod .ρ)の解となり、ρ を法として合同でない。よってこれら1,g,g2,.̲,g1洞が解となり、補題1.2より他に解は存在しない。

(11)

09878307後藤i大和

また、1(Z/pZ)×1㍉ ρ一1より、仮定からg'でない元乃が存在する。ここで1乃1≒ η とする。(η>1)乃は κ海一bO(modρ)の解でないので η は吻の約数でない。

(1)@,η)=1のとき、g乃の位数が溺より大きくなることを示す。(g乃ソ …1(mod,ρ)とすると、Igト〃2より1≡(g乃)'"〜 ≡ 乃伽となり川伽これより川'を得る。(同様に

瑚の

よって ∫は η と脚の公倍数となり、伽,η)=1より、'は脚の倍数となり」〉〃2が

得られ、〃2が最大位数であることと矛盾。

これより〃7=ρ 一1となり、このような乃は存在せず、(Z/1ワZ)xはgを生成元とする巡回群となる。

紳"瓶

(2)(〃2,η)=4>1のとき、溺,η の最小公倍数を1とすると、1=撃が分かる。(号,号)コ1

より・4一鵜・・膿素騰辮したとき・各因辮は器のせいぜレ・どち

らか一方の因数である。ここで、@o,ηo)瓢1,脚oηo=1となるよう醒o,ηoを設定する。

(「疏藷どちらかの因魏らそちらに4戸かけ・どちらのでもなければ好き

な方にかける」という操作を'=1から ∫=たまで行うことで吻o,ηoを作成できる。)

この時、(1)よりg〃謬吻〃oの位数は1=moπoとなる。 η は脚の約数でないので、1>〃2

これは吻が最大位数であることと矛盾する。

よって〃2=p‑1となり、(Z/pZ)xはgを生成元とする巡回群である。

これより補題1は成立する。 ^目

(12)

補題4.1(中国式剰余定理、孫子の定理)

鵬 ηを互いに素な整数とするとき、連立合同式

{

κ …昭(mod吻

は、㈱を法とした唯一の解を持っ。 κ …竃15(modη)

証明:

まずは解の存在について示す。 α=1,b諏0の時@,の灘1より、補題1.2.1から鷹ミー1(modη)は解をもっ。この解をんとし、 κ。=1+磁とすると、

κ。 …≡1(mod〃2),κo≡1‑1≡0(modη)となる。 α=0,ゐ=1の時も同様iに κ1≡0(mod〃2),κ1≡1(modη)なる κ1が生成できる。

よって、一般の α,ゐに対し、 κ=α κo+わ κ1が解となる。つまり解は存在する。

次に解の一意性を示す。 κ,x'を連立合同式の解とする(κ ≧ κ'とする)。 κ一 κ響は、〃7,ηどちらを法にしても0と合同になる。つまり刎(κ 一 κ,),川(κ 一 κ')となる。ここで溺と η は互いに素より、駕川 κ 一 κ響⇔ κ一 κ㌧0(mod御 η)

これより連立方程式の解は、〃卿を法とした唯一の解を持つ。目

(13)

09878307後藤大和

54澁望㊧θゑあ素薮綻法の正』当荏

本節では、MillerRabin素数判定法が"素数でない"と判定したときは必ず「η は合成数」であること(すなわち、 η が素数のとき̀脆s?"と判定すること)を証明する。

5,アを上記のように設定する。対偶を示すため、η を素数とし、任意の整数1≦ α ≦ η一1が α7≡1(modη)…(α)

0≦ ヨ4≦3‑1鉱02%ミ η一1(1nodκ)…(β)のどちらかを満たすことを示せば良い。

Fermatの小定理(α 屈 ≡1(modη))を使って証明する。 α〃一1遷 αゴ』1(modのより、補

盤

題0から、この平方根は α2=α 「1「 …1(modη)または η一1(modη)となる。(ここで、η一1 型

のときは(β)が成立。)α2ヨ1(modη)のときは、また更にその平方根にっいて考えると、その値は同様に、1(撮odη)または η一1(modη)となる。この操作を何度も繰り返し、一度

も η 一1(modη)の値をとらないまま6濡0となったとき α207離〆華η 一1(modη)となり、

(α)が成立する。

よって、MillerRabin素数判定法の正当性が示された。 □

(14)

が5遡 θ望痂ゑ血薫i糊灘の評籟

MillerRabin素数判定法を1回繰り返し実行するときの計算量は、四則演算の回数に換算して0(140gη)であり、ビット演算の回数に換算すると、0(1・(10gη)3)である。

また、んビットの整数同士の四則演算を0(紛回(すなわち、0(ル(109ん γ)回ただし1は

定数)で実装する方法が知られている。この「高度な実装」を用いると、MillerRabin素

数判定法の1回反復の計算量は、ビット演算で1・0((logη)2)となる。

が6遡 θノぜ勉ゐ血素i糊融の誤ク礎率

さて、さきに「ηが合成数のとき、

本節ではその証明を紹介する。

脆・γ と勘する確率は劉1 下」と述べた・

定理A.

奇数 η が合成数のとき、MillerRabin素数判定法が『Ybs?と返すような乱数 α の個数は、 1

0<α<η のうち、高々一である。4

これを証明するにあたって

① ηが平方因子を持ち、Ybs?と出力したとき

② ηが平方因子を持たず、Ybs?と出力したときの二つに場合分けをする。

(15)

09878307後藤大和

まず、① の場合の証明の準備として、以下でいくつかの補題を証明する。

補題2(Z/ .ρ2Z)× は巡回群であり、位数はp(ρ 一1)である。証明:

(Z/.ρZ)× の生成元9をえらぶ。g(modρ)は9ρ 一玉強1(mod.ρ)(フェルマーの小定理)を満

たし、0<∫<ρ 一1のときg̀≠1(mod1の

ここで(9ρ 一1)ρ=@ρ+1)ρ=β ρ2+1≡1(mod ,ρ2)(α,β はある整数)より〆を法とすると9ρ ψ'1)…1(mod〆)となる。そして、51ρ 一1,3<ρ 一1なる3に対し、

9㌧1(mod〆)とすると95ヨ1(modρ)となり、lgし=」 ρ一1に反する。

また、gρ5羅1(modρ)のとき、1三gρ5=(〆)㌧g3(modρ)となりigし㍉g‑1に反す

る。

よってg(mod .〆)の位数は1ρ 一1,ρ(p‑1)のどちらかである。(ρ(ρ 一1)の時はgが生成元となり、位数は ρ(1ワー1)となる。)

9(mod.ρ2)の位数が」9‑1のとき、(P+1)9が生成元となることを示す。 {(p+1)g}ρ 一1憲(ρ+1)坦gρ 一1…簗(」ρ+1)ρ i

匪1+(ρ 一1)ρ+〔 ζ 一1〕〆+ ・… 蕊1一 ρ(m・d〆)

ここで、1‑ .ρ≡1(mod〆)⇔.ρ ≡0(mod.ρ2)は成立しないため(ρ+1)gの位数はp‑1 ではない。

よって{(1ワ+1)g}ρ 密g華1(modρ2)より(1ワ+1)gの位数は ρ(ρ 一1)となり、(1ρ+1)g は生成元である。これより(Z/ .ρ2Z)xは巡回群となり、位数はp(ρ 一1)となる。日

(16)

補題3位数〃2>2の巡回群Gにおいて κ々雛1の解の個数4は4=(ん,〃2)個である。証明:

Gの生成元をgとするとG《1(=g◎),g,g2,g3,̲.,g"2‑i}となる。このとき、gノが譜蕊1の解 ⇔(gノ)た=1⇔gノん鵠1

⇔ 碗ん⇔ 姿1夢ここで轍脚 ÷ 告は互い1こ素より・欝謄ノ

・≦ブく磯囲考の倍数となるようなプ1姻より・ κ㌧1の解の騰は姻であ

る。口

これより① の場合の証明をおこなう。

①nが平方因子を持つとしてそれを .ρとする。Miller・Rabin素数判定法の性質より αη一1釜1(modη)

ρ2擁より、法を ρ2にしても αη一1…羅1(mod、 ρ2)

(Z/ρ2Z)xは補題2より位数 ρ(ρ 一1)の巡回群なので、補題3より α は〆を法とする剰余類として、解の個数は4=(アz‑1,1フ(ρ 一1))個である。ここで .ρ1ηより、pは η一1の約数でないので、pは4の約数でない。よって4は高々 ρ 一1であり、これより条件をみたす α の個数が、 ρ2でわれない α全体の中に占める割合は、法をp2とした剰余類で考えると、高々

鍋漏 ≦去(なぜならP≧3)

これを ηを法とした剰余類で考えるには

(17)

09878307後藤大和

(1》‑1)× 一了

(ρ2‑1)× 些

張は成り立っ。

とすればいいので、同様に1となり、① の場合に定理Aの主 4

口

次に、 ② を証明する前に以下のいくつかの事柄を証明する。

中国剰余定理より次のことがいえる。補題4〃z,η を互いに素な整数とする。

!:Z/脚 ηZ→(Z/襯Z)×(Z/ηZ)を!(κ 脚)=(κ"ρ κ。)とすると、プは上への 1:1写像である。またこれよりプを既約剰余類群上に制限して、次のような上への 1:1写像が得られる。

∫:(Z/〃御Z)x→(Z/加Z)× ×(Z/ηZ)x

系5素数 ρ ≧3に対し、(Z/.ρZ)xにおける κ女鷹1の解の個数は補題3より(ん,.ρ4)

であり、(Z/ .ρ2Z)× における κ々コ1の解の個数は(ん,.ρ(ρ一1))個である。

(補題2より1(Z/.ρ2Z)x}=p(ρ 一1)であるため。)

補題6〃2,η:互いに素な整数とする。

孟 ⊂(Z/〃zZ)×,β ⊂(Z/ηZ)× を集合とし、1刻篇5,1捌訂とする。

このとき、(Z/〃zηZ)xの元 κ で、 κ(mod〃2)ε 殴かっ κ(modη)6B

となるようなものの数は、舘個である。

(18)

証明:

これを満たすものは、プ:(Z/〃〜ηZ)× →(Z/〃2Z)x×(Z/ηZ)xで考えられるので、

補題4より舘個である。口

これより② の場合の証明をおこなう。

② η が平方因子を持たないとき

このとき、1ワゴGは自然数)を素数とて、 η は η=PLρ2̲,ρ 〆 ρ、≠ .ρノ〉と素因数分解できる

とする。

まず、 η=1っg(ρ ≠g)とかけるとき、

/フー1瓢25〆

g‑1瓢25'"(∫ サ,'"は奇数)とする。

ここで、1ワ,gは対称的なので、5書≦5"としても一般性を失わないためそう仮定し、(i)(ii) の二つに場合分けして考える。

(i)5Ψ<3"のとき

底 α に対し、 η がMillerRabin素数判定法でYbs?と返したとき

(1)ゴ …≡1(modη)または

(2)0≦ ヨ7<5:〆ご≡‑1(modη)

となっている。このとき、各々のゐ ∈Z/ρgZを!で(Z/ρZ)×(Z/gZ)に写すと、

次が成立する。

(1)ゴ …1(modρ)かっゴ …d(modg)または

(2)0≦3γ 〈3:α2「'…‑1(modP)カ〉つ αγ∫竃一1(mod9)

(19)

09878307後藤大和

(1)が成立するとき

ゴ蕪1(mod1のを満たす α,の個数は系5より(ちp‑1)個。

ゴ議1(modg)を満たす α,の個数は系5より(ちg‑1)個。

この両方を満たす αρgの個数は補題6より(ちp‑1)(ちg‑1)個。

ここで、1ワー1議25ズg‑1=25∫"からtが奇数より (ち」ρ一1)=(ち〆)

(ち9‑1)=(ち ∫")であり

(ちの ≦ ∫Ψ(ち'")≦'"から、最初の条件を満たす α四の個数は高々〆'"個というこ

とが分かる。

(2)が成立するとき

0≦ ア<5であるようなアを1つ固定したときに〆 ∫簗一1(mod .ρ)かっ

α凶 …‑1(modg)となる αρ,の個数を評価する。そのため、以下の補題を利用する。

補題7(Z/pZ)× において κ飽 …‑1(mod .ρ)の'の解の個数は

ア≧5'のとき0であり、ア<5'のとき2ア(ちの個である。(証明は後ほど)

(20)

補題6と補題7より、〆』‑1(搬od .ρ)かつ αγ∫塞4(modg)であるような

%の個数は2℃,〆)2℃,'")であり、2℃,∫,)2℃,'")≦47〃響より、4F〃"を上界にもつ。

さて、(1)を満たす底が高々〃"個

(2)を満たす底が高々4学 ∫"個ということが分かった。

η 一1㍉ ρg>(ρ 一1)(g‑1)蕊2∫'÷5"〆'"から、可能な底 α(0≦ α<η)のうち、 Miller・Rabin素数判定法が「艶s?と返すものは

"WW鵠1;キー+碑のニ2‑(4∫‑11+

4‑1)

≦2‑1(243'一十一) 33

≦2弓(24‑十一) 33

=一111十一=一一 1264

となる。

(ii)5』5サ'のとき

σ,の ≦ 〆 σ,'")≦1"のうち、少なくともどちらかの不等号を「<」に置きかえることができる。なぜなら

もし(ち ∫')漏ガ(ち ∫,サ)=〆'⇔ 州'かつ','け

⇔ 〆{@‑1)かっ〆サ1(η一1)となり

さらに η一1㍉ ρg‑1…g‑1(mod")(なぜなら ρ=h23∫')であるから刈(g‑1)を得る。これより〆1∫"となり、同様に ∫"げからガ訂"

よって ρ=gとなるが、これは η が平方因子を持たないことに矛盾する。これより

(21)

09878307後藤大和

(ち〆)<〆または(ち〆婁)<〆 Ψ を得る。

(ちのくズとすると、'Ψ は奇数より

〆 ≧3よ〆

って(ち〆)≦ 一 (ち〆)3

よって、(i)のケースで σ,〆)σ,'")≦ 〃サと評価したところを

〆〆「(ちの(ち〆響)≦

一一と評価置きかえられる。3

よって

1,,,45‑111

‑2‑5‑5(1+)≦ 一 ≦‑

34‑164

これより、 η=1ワgのときにおいては証明された。

(iii)3つ以上の異なる素数の積のとき η=ρ1p2̲監久(ん ≧3)とする。

p、擁=2η 、σ1は奇数)と表すとし、3、のうち最小のものを51としておくと η ヲgのと

きとまったく同じように

野・一(1÷1)≦2庵(il三1+

21築1)

‑2丸2L2+1

2ん̲12ん4

≦2‑・.2L2+1 2た̲12た̲1

1‑21‑々+12(1‑2‑々)21‑々(2ん一1)

2た̲12た̲12ん̲1

鷺21‑・ ≦1

4

となり、② においても示された。目

以上により、定理Aが証明された。

(22)

なお、ここで先ほど飛ばした補題7の証明を行う。

補題7の証明:

(Z/ρZ)× は巡回群であり、その原始根をgとする。gは(Z/1ワZ)xの生成元であり互

g2筆1(mod1ワ)である。この既約剰余群の元をgノ(0≦ ノ ≦ ρ 一1)で表すと、補題0とフ巴

エルマーの小定理より92攣一1(mod、 ρ)であるから、箆

(gノ)凶 …‑1(modρ)⇔(gノ)豹 ≡g2(modρ)

⇔9吻 ≡9ブ馬(modρ)

⇔2「ガ ≡2∫Ll・ ∫管(mod2∫"亨)(なぜなら2∫'〆=ρ 一1) ここで、7≧8サのとき最後の合同式は

25翠『1('L2「}5「+1グ)ミ0(mod25「")となるが、1'は奇数よりアー5'+1=0となり、ア=5L1を得る。そこで、まず7≧5「のとき、合同式は解をもたないことが分かる。

次に7<5'のとき4雛(ちのとおくと、最後の合同式の両辺と法を2ア4で割って

(エ)ブ竃2‑(二44)(m・d囑))を得る・

,ガ,'量'

これは(

4)と2惣7)が互い1こ素であることから・鞭1・2・1により25‑「(万)を法として唯一の解を持つ ,〆,

。そして、2凹(一)を法とする1つの剰余類の中には、25∫ 禦を法とする剰余4

類が2「4セットあるので、問題の合同式は、25〆を法として、27踏27(ち〆)個の解をもっ。

[コ

(23)

09878307後藤大和

が7遡 θr魚ゐ血轍翻鰭の譲ぎク確率の耀

1

さて、定理AよりMillerRabin素数判定法の誤り確率は一以下だと証明した。本節では、4

簡単な前処理を行うことで、ある特定の場合を除きその誤り確率を低減できることを示す。

① ηが平方因子をもつ場合

このとき誤り確率は一1 と評価されているが、もし1ワ≠3のとき、 ρ は奇数より P+1

11 ≦一におさえられる。

ρ+16

つまり、Miller・Rabin素数判定法を試行する前に、3で試し割りをし、 ηが9の倍数であ 1

るかどうか

の確かめをすることで、この誤り確率を「一以下」というところまで引き下げ 6

ることができる。

(②(i)η が相異なる二素数の積かつ3蜜く5"の場合については後述)

②(n)η が相異なる二素数の積かつ5』ゴの場合 1

このときはもとより「

一以下」と評価がされている。

6

(24)

③(出)η が異なる3つ以上の積の場合

ん ≧4のとき、21‑・ ≦1とおさえられる.

8

ん蕊3のとき、 ηrρ ビ .ρ2・.ρ3とし(,ρ1,.ρ2,p3は素数)

ρ 「1=25"i」 ρ2‑』2ε2'2ρ3‑b233'3とする。

また、定理Aの証明の通り、5,のうち最小のものを5正とおく。

31≧2のとき・誤擁率は・定理Aの証明の駿の不等式より6以1 下となる・これより

以下では31=1のときについて考える。

51=1,52,33≧2のとき

23̲123̲12一ト5・‑5・(1 +・)≦2一レ4(1+

7)23̲1

<2‑・ユ<1

166

で抑えられる。

52=1,33≧2のとき、51コ1より

2331̲1)

瓢2‑2一 ∫3(1+1)2‑5「52‑53(1+

23̲1

‑2一レ・・ ≦2‑1‑・‑1<!

86

で抑えられる。 1

また・5・ ≧2・5・瀦1のとき桐様に百でおさえられる・

よって問題は52=53雛1のときについてである。3玉誕1より31=52=33羅1となり、

.ρ「1誕2'1,1っ2‑1窯2ら,,ρ3‑1=2∫3である。これは本章の頭で述べた「特定の場合」

であり、誤り確率を低減するための障壁となっている。

(25)

09878307後藤大和

(i)η が相異なる二素数の積かつ3'<8"の場合

証明では、(ちの ≦ 〆,(ち〆「)≦〆「と評価したが、(ちのく〆または α,〆')<∫"のとき

〃9撃(1)(2)の場合共に

、〆∫"と評価したところをすべ ℃ におきかえられるので、この3

ときの誤り確率は

‑× 一諜一111 以下ということが分かる。4312

よって以下では σ,の=〆,(',∫")='"の場合について考える。

また、(ちの=〆,(ちヂ)雛ガ㌧〆≠ がのとき

{鐵一り

η 諜 ρ9

・竃(23〆+1)(2ε 〆,+1) 瓢25'+3'穿'ソ日+25監',+25冒じ'智+1

⇔ η 一1雛2∫+5〃"+251,+25'"(=251)が得られる。

ここで、(ちの=〆より"1(2∫ 瑠+3"∫""+25"∫ 量+2ダ「'")となるため〆12∫"'"⇔ 〆1〆,

同様に、(ち'")=1"より〆牧251ぜ〃"+2∫ 軍1'+25"'")となるため'"げが得られる。

よって"=〆'となるがこれは〆≠ がと矛盾するため、この条件を満たす η は存在しな

い。

(26)

以下では(ちの吋,,(ち〆')=∫",∫ 』'"のときについて考える。

さらに5,≧5のとき、この誤り確率は

2‑(24ε 一十一一)≦2擁1(2+杢) 3333

171 1024

でおさえられるので、1≦5'≦4のときにっいて考える。

(α)3』1の場合

8">2のとき、この誤り確率は

,1,45‑14‑1)

==2『レ∫理'(1+2 3‑5(1+) 4‑14‑1

瓢̲<̲11 2∫8

でおさえられるので、以下では5"=2の場合について考える。

5』1,3亨』2,(ちの瓢〆,(ち〆撃)='㌧ガ=がのとき

η=(25',+1)(2∫ ∫胃+1)

==(2〆+1)(4〆・+1)

=8ガ2+6ガ+1

η̲1=8〆2+6〆

==2(4〆2+3ガ)

ここで、4∫ 亨2+3〆は奇数なので、8=1であることが分かる。

よってこのとき

(27)

09878307後藤大和

腸となり・{剛一

っまり、このとき η は、 η=(2"+1)(4'婁+1)の形をしているので η に対し」 Ψの2次方程

式8〆+一一・一解をも一その一{灘}1こ代入する

ことで、 η の約数を求めることができ、この条件のときに誤ることはなくなる。

よってこのとき、MillerRabin素数判定法を試行するまえに、 ∫曾の2次方程式 8ガ2+6ガ+(レ η)=0

を解くことで、誤った答えを出すことをふせぐことができる。

(β)8』2の場合

凶・(45‑11+

4‑1)一齊『(1+碧) ほ 33 く

2ゴ晋や1一32

でおさえられるので、以下では3"=3の場合について考える。

このとき

η=(4ガ+1)(8ガ+1)

=32ガ2+12〆+1

となるので、(α)と同様な議論で、"の2次方程式 32ガズ亨+12ズ→一(レ η)=0

を解くことで、誤った答えをふせぐことができる。

(28)

(γ)3』3の場合

酬(45‑11+)ヂ(1+雄一1)

4‑14‑1

コ 1111 〈̲

2♂ 率2‑128

でおさえられるので、5"=4の場合について考えると η=(8ガ+1)(16〆+1)

ニ128ズ2+24ガ+1

となるので、(α 〉と同様な議論で、ガの2次方程式 128〆2+24ズ+(1一 η)=0

(δ)8』4の場合

2‑(4̀‑11+)‑2‑(1+4簡)

444‑1 諏 4343 く̲̲̲

23鳩一512

でおさえられるので、3"凱5の場合について考えると η 瓢(16〆+1)(32〆+1)

=512〆2・+48〆+1

となるので、(α)と同様な議論で、〆の2次方程式 512ガ2+48∫ 婁+〈1一η)=0

これより②(i)の場合、前処理として4つの2次方程式を解くことで、誤り確率を 171

「以下

」まで下げることができる。1024

(29)

09878307後藤大和

これより、

・9で試し割りをする

・2次方程式8"2+6〆+(1一 η)誠0の2解が整数であるかどうかの判定

・2次方程式32〆2+12∫'+(1一 η)=0の2解が整数であるかどうかの判定

・2次方程式128〆2+24ガ+(1一 η)瓢0の2解が整数であるかどうかの判定

・2次方程式512〆2+48ガ+(レ η)=0の2解が整数であるかどうかの判定

といった前処理を行うことで、「 η が異なる3つの素数の積で、 η=(21釜+1)(2∫2÷1)(2∫3÷1)('1,'2,'3は異なる奇数)」という特定の場合を除き、誤り確率

171

を「以下

」におさえることが出来る。なお、2次方程式の計算量は2次方程式の解の1024

公式を計算する計算量と同一視できる。つまりそれは、明らかに累乗数の判定の計算量より小さくなるため、その計算量は[1]のLemma2.3.6より0((logη)210910gη)程度であり、

ビット演算の計算量としても0((logη)3)で抑えられる。また、"Newtoniteration"を利用

すれば、ビット演算は0((10gη)2)で抑えられる。それについては[11を参照していただき

たい。

また(α)、(β)、(γ)、(δ)の二次方程式の自然数解の候補はそれぞれ一3+廟

,‑3+痂,‑3+廟,‑3+〜偏なので、〉1扁を求める計

3264168

算と簡単な計算だけで4つの判定はできる。よって4つの判定を合わせてもMiller・Rabin 素数判定法1回分の計算量を超えない。

(30)

が8今凌の誤題

今後の課題は、「η が異なる3つの素数の積で、 η 《2ら+1)(2らd)(2∫3+1)(∫p'2,∫3は

異なる奇数)」という特定の場合の誤り確率の低減である。(そのような場合は確かに存在する。例として、 η=231のとき η=3×7×11《2・h1)(2・3+1)(2・5d)が挙げられる。)

もしこの特定の場合の誤り確率を低減できれば、前述の前処理を行うことで、誤り確率を 171 以下に下げることができる

。1024

もしそれが可能であれば、MillerRabin素数判定法と前処理の計算量は共に0((logη)2)

で抑えることができるため、前処理なしで従来通りMiller‑Rabin素数判定法をする反復回数を1回とすると、Miller‑Rabin素数判定法を1回繰り返す時間計算量と、今回の前処理を行った後に1‑1回繰り返す時間計算量は同等である。そこで誤り確率を比べると、

(1)1>(171)1‑1となるのは1≧6であるため、もしMillerRabin素数判定法を6回以10244

上行うのであれば、前述の前処理を行った後にMillerRabin素数判定法を行った方が効率的だということがわかる。

(31)

09878307後藤大和

謝辞

本論文の作成にあたり、終始適切な助言、指導をしてくださった鈴木登志雄先生に感謝いたします。同研究室の中村亮太氏をはじめとしたメンバーにも、精神的にとても支えられました。また、学部時代にお世話になりました黒田茂先生にもお世話になりましたことをこの場を借りてお礼申し上げます。

(32)

参考文献

田MartinDietzfblbinger:

Primaliもytesもinginpolynomia1もime,fromfandomizedalgoriもhmstò̀PRIMESisi勲

P",Springe鴎Berlin,2004

[21深川久:

2001年度大阪市立大学インターネット講座「物性物理学における最近の話題」レポート

「Miller・Rabinによる素数の確率的判定法」

http://www.a‑phys.eng.osaka℃u.acjp/suri・g/millerrabin.pdf

[3】GaryL.Miller:

Riemann'shypothesisandtestsfbrpri斑ality,」 ∂砿 η∂10!α 〜鵯 ρ薦 θf∂ 刀ゴ

称3診 θ122甜b刀oθ513(1976),no.3,PP.300‑317.

[41Michae10.Rabin:

Probabilisticalgorithmfbrtestingprimality,♂ ∂砿 η∂10!ハ加加わθ1・7ゐ θoη ・12

(1980),no.1,PP.128‑138.

[5}中村憲(中村佳正・竪海正俊編集)

「開かれた数学数論アルゴリズム」,朝倉書店,2009

修 士 学 位 論 文