ソロベイ–シュトラッセン素数判定法

ソロベイ–シュトラッセン素数判定法（テンプレート:Lang-en-short）は、テンプレート:仮リンクとフォルカー・シュトラッセンによって開発された、与えられた数が合成数か擬素数か判定する確率的テストである。現在ではテンプレート:仮リンクやミラー-ラビン素数判定法にとって代わられているが、RSA暗号の実用性を示したアルゴリズムとして歴史的には重要である。

レオンハルト・オイラーは任意の素数pと整数aに対して、

${\displaystyle a^{(p-1)/2}\equiv \left(\frac{a}{p}\right)(\mathrm{mod}p)}$

(${\displaystyle \left(\frac{a}{p}\right)}$はテンプレート:仮リンク)であることを証明した^[1]。テンプレート:仮リンクはルジャンドル指標を一般の奇数nに対する${\displaystyle \left(\frac{a}{n}\right)}$に一般化したものである。ヤコビ指標は平方剰余の相互法則のヤコビによる一般化を用いればO((log n)²)時間で計算できる。

奇数nが与えられたとき、合同式

${\displaystyle a^{(n-1)/2}\equiv \left(\frac{a}{n}\right)(\mathrm{mod}n)}$

がnと互いに素な様々な底aに対して成立するかどうかを考えることができる。nが素数なら、この合同式はすべてのaに対して真である。そのため、ランダムにaを取ってこの合同式をチェックすれば、成り立たないaが存在した時にnが素数でないことが言える(ただし素因数分解は分からない)。この場合の底aをnのEuler witnessと呼ぶ。このaはnが合成数であることの証拠である。もしnが合成数で上の合同式が成立するならば、そのときの底aをnのEuler liarと呼ぶ。

任意の奇数の合成数nに対して、全ての底のうち少なくとも半分の底

${\displaystyle a\in (\mathbb{Z}/n\mathbb{Z}{)}^{*}}$

がEuler witnessである^[2]。これは、証拠の数がずっと少なくなり得るフェルマーテストとは対照的である。そのため、フェルマーテストにおけるカーマイケル数の存在とは対照的に、証拠がたくさん存在しないような(奇数の)合成数nは存在しない。

n = 221が素数かどうかを判定したいとする。(n−1)/2=110である。

ランダムにaを取る(ここではa = 47 < n)。このとき、

• a^(n−1)/2 mod n  =  47¹¹⁰ mod 221  =  −1 mod 221
• ${\displaystyle (\frac{a}{n})}$ mod n  =  ${\displaystyle (\frac{47}{221})}$ mod 221  =  −1 mod 221.

これにより、221が素数であるか、47が221のEuler liarであることが分かる。もう一つ別のa(ここではa = 2)で試す。

• a^(n−1)/2 mod n  =  2¹¹⁰ mod 221  =  30 mod 221
• ${\displaystyle (\frac{a}{n})}$ mod n  =  ${\displaystyle (\frac{2}{221})}$ mod 221  =  −1 mod 221.

2は221が合成数であることを示すEuler witnessであるため、47は実はEuler liarであった。なおこの方法では221の約数(13と17)については何も分からないことに注意されたい。

このアルゴリズムは以下の疑似コードで書ける:

入力: n : 素数かどうかチェックする数; k: テストの正確性を決めるパラメータ
出力: nが合成数の場合はcomposite、そうでなければprobably prime
以下を k 回繰り返す:
  [2,n − 1]の範囲からaをランダムに選ぶ
   x ← ${\displaystyle \left(\frac{a}{n}\right)}$
   if x = 0 or ${\displaystyle a^{(n-1)/2}\equiv ̸x(\mathrm{mod}n)}$ then return composite
return probably prime

冪剰余の高速なアルゴリズムを使えば、このアルゴリズムの実行時間はO(k·log³ n)である(kは異なるaでテストをする回数)。

このアルゴリズムは誤った答えを返すことがある。入力nが実際に素数であれば、出力は常に正しく「probably prime」である。しかし、入力nが合成数である場合にも、出力が「probably prime」である場合がある。そのような整数nは擬素数と呼ばれる。

nが奇数の合成数である場合、gcd(a,n) = 1であるようなaのうち少なくとも半分はEuler witnessである。これは以下のように証明できる。{a₁, a₂, ..., a_m}をEuler liarの集合とし、aをEuler witnessとする。各i = 1,2,...,mに対して次が成り立つ:

${\displaystyle (a\cdot a_i{)}^{(n-1)/2}=a^{(n-1)/2}\cdot a_i^{(n-1)/2}=a^{(n-1)/2}\cdot \left(\frac{a_i}{n}\right)\equiv ̸\left(\frac{a}{n}\right)\left(\frac{a_i}{n}\right)(\mathrm{mod}n)}$

${\displaystyle \left(\frac{a}{n}\right)\left(\frac{a_i}{n}\right)=\left(\frac{a\cdot a_i}{n}\right)}$

なので、

${\displaystyle (a\cdot a_i{)}^{(n-1)/2}\equiv ̸\left(\frac{a\cdot a_i}{n}\right)(\mathrm{mod}n).}$

が成り立つ。

これにより、各Euler liar a_iに対して、a·a_iがEuler witnessになる。そのため、Euler witnessの個数はEuler liarの個数以上である。それゆえ、nが合成数ならば、gcd(a,n) = 1となるaのうち少なくとも半分はEuler witnessである。

このため、失敗の確率は最大で2^−kである(ミラー-ラビン素数判定法の失敗の確率(最大4^−k)と比較されたい)。

暗号の目的で使用する場合、沢山のaでテストするほど、つまり十分大きなkを選べば、テストはより正確になる。そのためこのアルゴリズムが失敗する可能性はとても低いので、実用的な暗号への応用においてはこの方法で得られた(擬似)乱数が使われる。しかし、素数を得ることが重要であるような応用においては、テンプレート:仮リンクやPocklington^[3]のような素数性を「証明」するテストを使用すべきである。

テンプレート:Reflist

• テンプレート:Cite journal See also テンプレート:Cite journal
• テンプレート:Cite book

• Solovay-Strassen Implementation of the Solovay–Strassen primality test in Maple

テンプレート:Numtheory-stub