Kryptologie/Fermat-Test (Primzahltest 2)

Der Fermat-(Primzahl-)Test beruht auf dem kleinen Satz von Fermat. Dieser Satz liefert uns eine Eigenschaft, die alle Primzahlen erfüllen^[1].

Für jede Primzahl ${\displaystyle p}$ und jede dazu teilerfremde natürliche Zahl ${\displaystyle a}$ ist folgende Kongruenz erfüllt:

${\displaystyle a^{p-1}\equiv 1modp}$^[8][9].

Bemerkung: Durch Multiplikation im Restklassenring mit ${\displaystyle a}$ gilt auch die folgende Äquivalenz: ${\displaystyle a^{p-1}\equiv 1modp\iff a^p\equiv amodp}$^[8][9].

Voraussetzung

${\displaystyle p}$ prim und ${\displaystyle a\in \mathbb{N}}$ mit ${\displaystyle ggT(p,a)=1}$.

Zu zeigen

${\displaystyle a^p\equiv amodp}$

Beweis (Vollständige Induktion)

Bemerkung: Bei der vollständigen Induktion wird eine Aussage in der Regel für alle natürlichen Zahlen bewiesen. Dabei beginnt man bei einem Startwert (meist ${\displaystyle 0}$ oder ${\displaystyle 1}$) und zeigt, dass die Aussage für diesen Startwert gilt. Man nennt dies den Induktionsanfang. Im Induktionsschritt wird anschließend gezeigt, dass wenn die Aussage für eine Zahl gilt, dann gilt sie auch für die nächstgrößere Zahl^[10][11].

Induktionsanfang

Wir zeigen zunächst, dass die Aussage für ${\displaystyle a=0}$.

${\displaystyle 0^p\equiv 0modp}$

${\displaystyle \iff p\mid 0^p-0}$

${\displaystyle \iff p\mid 0}$.

Induktionsschritt

Wir haben nun ein solches ${\displaystyle a\in \mathbb{N}}$ gefunden, für das ${\displaystyle a^p\equiv amodp}$ gilt, also ist

${\displaystyle p\mid a^p-a}$ (Induktionsvoraussetzung)

Nun zeigen wir, dass die Behauptung auch für den Nachfolger eines solchen ${\displaystyle a}$ gilt, nämlich

${\displaystyle p\mid (a+1{)}^p-(a+1)}$

Wir verwenden hierzu den binomischen Lehrsatz:

${\displaystyle (a+1{)}^p-(a+1)=a^p+(\genfrac{}{}{0ex}{}{p}{1})a^{p-1}+\dots +(\genfrac{}{}{0ex}{}{p}{p-1})a+1-(a+1)}$

Betrachten wir nun den Binomialkoeffizienten genauer:

${\displaystyle (\genfrac{}{}{0ex}{}{p}{k})=\frac{p\cdot (p-1)\cdots (p-k+1)}{1\cdot 2\cdots k}}$

${\displaystyle p}$ taucht für ${\displaystyle 1\le k\le p-1}$ nur im Zähler auf.

Da ${\displaystyle p}$ prim ist, treten im Nenner keine Teiler von ${\displaystyle p}$ auf.

Die Binomialkoeffizienten sind daher alle durch ${\displaystyle p}$ teilbar.

Damit folgt

${\displaystyle (a+1{)}^p-(a+1)\equiv a^p+1-(a+1)=a^p-a}$

und nach Induktionsvoraussetzung gilt

${\displaystyle p\mid a^p-a}$.

Somit haben wir gezeigt, dass

${\displaystyle p\mid (a+1{)}^p-(a+1)}$ für einen beliebigen Nachfolger von ${\displaystyle a}$ gilt^[12][13].

Die Idee des Fermat-Tests ist es, durch die Umkehrung des kleinen fermatschen Satzes, Zahlen daraufhin zu prüfen, ob sie zusammengesetzt sind^[1].

Sei ${\displaystyle n\in \mathbb{N}}$ ungerade. Ziel ist es zu ermitteln, ob ${\displaystyle n}$ zusammengesetzt ist.

1. Wähle eine zu ${\displaystyle n}$ teilerfremde Basis ${\displaystyle a}$
2. Berechne ${\displaystyle a^{n-1}modn}$
   • Gilt ${\displaystyle a^{n-1}\equiv 1modn}$, dann ist ${\displaystyle n}$ mit hoher Wahrscheinlichkeit prim und sonst zusammengesetzt
   • Gilt ${\displaystyle a^{n-1}\equiv ̸1modn}$ (Fall 2), dann ist ${\displaystyle n}$ zusammengesetzt^[14]

Im ersten Fall erfüllt ${\displaystyle n}$ die vom kleinen fermatschen Satz formulierte Bedingung an Primzahlen und im zweiten Fall nicht.

Nur, weil ${\displaystyle n}$ die Voraussetzung für Primzahlen des kleinen fermatschen Satzes erfüllt, ist damit noch nicht gezeigt, dass ${\displaystyle n}$ eindeutig eine Primzahl ist. ${\displaystyle n}$ kann stattdessen eine zusammengesetzte Zahl sein, die auch die untersuchte Eigenschaft von Primzahlen erfüllt. Tritt jedoch Fall 2 ein, so kann man also sicher sagen, dass ${\displaystyle n}$ zusammengesetzt und somit nicht prim ist^[8][14].

Beispiel 1

Seien ${\displaystyle n=7}$ und ${\displaystyle a=3}$. Die beiden Zahlen sind teilerfremd, da ${\displaystyle ggT(3,7)=1}$.

${\displaystyle a^{n-1}modn}$

${\displaystyle \Rightarrow 3^{7-1}mod7}$

${\displaystyle \iff 3^{6}mod7}$

${\displaystyle \Rightarrow 3^6\equiv 1mod7,}$ da ${\displaystyle 3^6=729=104\cdot 7+1}$

Somit ist ${\displaystyle n=7}$ prim oder zusammengesetzt.

Beispiel 2

Seien ${\displaystyle n=9}$ und ${\displaystyle a=2}$. Die beiden Zahlen sind teilerfremd, da ${\displaystyle ggT(2,9)=1}$.

${\displaystyle a^{n-1}modn}$

${\displaystyle \Rightarrow 2^{9-1}mod9}$

${\displaystyle \Rightarrow 2^8\equiv 4mod9,}$ da ${\displaystyle 2^8=256=28\cdot 9+4}$

${\displaystyle \Rightarrow 2^8\equiv ̸1mod9}$

Somit ist ${\displaystyle n=9}$ zusammengesetzt.

Bemerkung: Wir können anhand von Beispiel 2 erkennen, dass eine Basis ${\displaystyle a}$, für die ${\displaystyle a^{n-1}\equiv ̸1modn}$, nicht zwangsläufig ein Teiler von ${\displaystyle n}$ ist, denn es gilt ${\displaystyle 2\mid ̸9}$.

Der Fermat-Test eignet sich in der Praxis nicht als Primzahltest^[1]. Aus ${\displaystyle a^{n-1}\equiv 1modn}$ folgt nämlich nicht direkt, dass ${\displaystyle n}$ prim ist. Es gibt also natürliche Zahlen ${\displaystyle n}$, die keine Primzahlen sind und die Eigenschaft ${\displaystyle a^{n-1}\equiv 1modn}$ dennoch erfüllen. Es gibt zwei Arten von solchen Zahlen: Fermatsche Pseudoprimzahlen zur Basis ${\displaystyle a}$ und Carmichael-Zahlen^[8].

Eine natürliche Zahl n wird fermatsche Pseudoprimzahl zur Basis ${\displaystyle a}$ genannt, wenn sie eine zusammengesetzte Zahl ist, die sich in Bezug auf eine zu ${\displaystyle n}$ teilerfremde Basis ${\displaystyle a}$ wie eine Primzahl verhält. Dies ist der Fall, wenn nämlich die Kongruenz

${\displaystyle a^{n-1}\equiv 1modn}$

für die zu ${\displaystyle n}$ teilerfremde Zahl ${\displaystyle a}$ erfüllt ist^[17][1].

Sei ${\displaystyle n=4}$, somit ${\displaystyle n}$ ist keine Primzahl, da wir mit der Probedivision feststellen können, dass ${\displaystyle 2\mid 4}$ gilt. Somit hat ${\displaystyle 4}$ einen Primteiler ${\displaystyle p\le \sqrt{n}}$.

Nun wenden wir den Fermat-Test an und wählen ${\displaystyle a=5}$.

${\displaystyle n}$ und ${\displaystyle a}$ sind also teilerfremd, d.h. ${\displaystyle ggT(4,5)=1}$.

${\displaystyle a^{n-1}modn}$

${\displaystyle \Rightarrow 5^{4-1}mod4}$

${\displaystyle \Rightarrow 5^{3}mod4}$, da ${\displaystyle 5^3=125=31\cdot 4+1}$

${\displaystyle \Rightarrow 5^3\equiv 1mod4}$

Also ist ${\displaystyle n=4}$ nach einmaligen anwenden des Fermat-Test mit hoher Wahrscheinlichkeit eine Primzahl.

Es gibt unendlich viele Pseudoprimzahlen. Diese sind jedoch wesentlich seltener als Primzahlen^[18]. So kommt beispielsweise bezüglich Basis ${\displaystyle a=2}$ im Zahlenraum bis ${\displaystyle 10^{10}}$ auf jeweils ${\displaystyle 30.577}$ Primzahlen nur eine Pseudoprimzahl^[18]. Den zugehörigen Beweis ersparen wir uns an dieser Stelle, da dieser zu weit von unserem eigentlichen Thema wegführt.

Wir könnten annehmen, dass man, durch das wiederholte Anwenden des Fermat-Tests auf die selbe Zahl ${\displaystyle n}$ mit wechselnder Basis ${\displaystyle a}$, mit hoher Wahrscheinlichkeit davon ausgehen kann, dass ${\displaystyle n}$ prim ist, wenn die Kongruenz ${\displaystyle a^{n-1}\equiv ̸1modn}$ (Fall 2) nicht eintritt. Dies erscheint logisch, da es sich bei den einzelnen Durchführungen um unabhängige Ereignisse^[19][20] handelt, deren Wahrscheinlichkeit nach dem Multiplikationssatz^[21][22] multipliziert werden.

Wir werden mithilfe des dritten Primzahltests jedoch zeigen, dass Pseudoprimzahlen existieren, die für fast alle Basen die Kongruenz ${\displaystyle a^{n-1}\equiv 1modn}$ erfüllen. Dies sind die bereits erwähnten Carmichael-Zahlen^[23][1]. Ein mehrfaches Ausführen des Fermat-Tests mit festem ${\displaystyle n}$ und wechselnder Basis ist daher nicht zielführend^[1].

Prüfen Sie mit dem Fermat-Test für eine oder mehrere der drei Basen ${\displaystyle 2,31}$ und ${\displaystyle 223}$, ob die Zahl ${\displaystyle 561}$ zusammengesetzt ist.