Arithm´etique et Tests de Primalit´e

Arithm ´etique et Tests de Primalit ´e

Pierre Rouchon

Centre Automatique et Syst `emes Mines ParisTech, PSL Research University

pierre.rouchon@mines-paristech.fr

Octobre 2018

Plan

1 Nombres premiers R ´epartition Algorithme AKS

Test de Fermat et nombres de Carmichael Algorithme de Miller-Rabin

Algorithme de Miller-Bach (compl ´ements)

2 PGCD (rappels et/ou compl ´ements) ZnetZ^∗n

Algorithme d’Euclide

Complexit ´e de l’algorithme d’Euclide

3 Fonction d’Eulerϕ(n)(rappels et/ou compl ´ements) Fermat et Euler

Th ´eor `eme chinois D ´echiffrement RSA

4 Th ´eor `eme de Lucas, nombres premiers et ´el ´ements primitifs (compl ´ements)

R ´epartition des nombres premiers

On notePl’ensemble des nombres premiers et la fonction de comptage π(x):

π(x) := #{p∈P|p≤x}

Gauss et Legendre avaient d ´ej `a sugg ´er ´e au cours des derni `eres ann ´ees duXVIII^esi `ecle queπ(x)∼x/log(x)pourx grand.

Ce n’est qu’en 1896 que Hadamard et de la Vall ´ee-Poussin ont montr ´e ce r ´esultat en utilisant une fonction de la variable complexe ”qui code les nombres premiers”,la fonctionζde Riemannd ´efinie par la s ´erie de Diriclet

ζ(s) =X

n≥1

1 n^s

absolument convergente pour<(s)>1.

Ainsi si on tire au hazard un nombre de 1024 bits, il est premier avec une probabilit ´e de 1/log 2¹⁰²⁴

≈1/710.

Exo:Supposons que nous ayons class ´e les nombres premiers par ordre croissantp avecn∈ ^∗,p <p . Alors montrer queπ(x)∼x/log(x)pour

Preuve deπ(x)∼x/logx ⇔ pn∼nlogn

On utilise le fait que pourx ∈[p_n,p_n+1[,π(x) =n.

π(x)∼x/logx ⇒ p_n ∼nlogn. Puisqueπ(p_n) =n, on a

pn

logpn =n(1+n)avec limn7→+∞n=0. Donc logp_n

1−^{log log}_logp^pn

n

=logn

1+^log(1+_lognⁿ⁾

. Commep_n7→+∞, on en d ´eduit logp_n=logn(1+ηn)avec limn7→+∞ηn=0. Ainsi en revenant `a _log^pn_p

n =n(1+n), on apn=nlogn(1+µn)avec limn7→+∞µ_n =0.

pn∼nlogn ⇒ π(x)∼x/logx. Pour tout entierx il existe un uniquen_x tel quep_nx ≤x <p_nx+1. Commep_n/p_n+1∼1 on en d ´eduit quex ∼p_nx soitx ∼n_xlogn_x. Maisn_x =π(x). Donc x ∼π(x)logπ(x)d’o `u facilement logπ(x)∼logx et donc π(x)∼x/logx.

G ´en ´eration de grands nombres premiers

Si l’on tire auhasard un nombre de 1024 bits, on sait, en utilisant π(x)≡x/log(x), que l’on a une chance surlog(2¹⁰²⁴)≈710de tomber sur un nombre premier.

Le moyen le plus simple pour obtenir un grand nombre premier est de prendre au hasard un grand entier et de tester s’il est premier (test de Miller-Rabin : un algorithme tr `es efficace qui garantie la primalit ´e avec une probabilit ´e aussi petite que l’on veut).

Algorithme AKS

Prime is inP: en 2002, Manindra Agrawal de l’Indian Institute of Technology `a Kanpur et deux de ses ´etudiants Neeraj Kayal et Nitin Saxena ont trouv ´e un algorithme simple et polyn ˆomial en au plus 0(log¹²(n))qui teste la primalit ´e den

Leur algorithme s’appuie de fac¸on ing ´enieuse sur lepetit

th ´eor `eme de Fermatqui dit que pour tout entier premiernet tout entiera6=0 mod(n)(i.e.apremier avecn) alorsaⁿ⁻¹=1 mod(n). Nous ne d ´ecrirons pas ici cet algorithme. Nous

renvoyons le lecteur `a ”google” avec comme mots cl ´es ”AKS” et

”Prime” pour avoir les informations les plus r ´ecentes sur cet algorithme.

Enfin,l’algorithme AKS r ´epond par ”oui” ou ”non” `a la question :”

n, est-il premier ?”. Si la r ´eponse est ”non”,l’algorithme ne donne pas de diviseur non trivial den. Ainsi, la difficult ´e de la

factorisation, difficult ´e sur laquelle repose le syst `eme RSA reste

Test de Fermat et nombres de Carmichael

Le petit th ´eor `eme de Fermat :sinest premier alors pour tout a6=0 mod(n),aⁿ⁻¹=1 mod(n).

Ainsi, si apr `es avoir tir ´e au hasard un nombren, on trouve un 1≤a<ntel queaⁿ⁻¹6=1 mod(n), on sait quenn’est pas premier. Aussi, il est tentant de faire le d ´epistage heuristique suivant appel ´e test de Fermat : prendrea<nau hasard et calculeraⁿ⁻¹ mod(n).Siaⁿ⁻¹=1 mod(n)on dit quenest premier en basea.

Etudier l’efficacit ´e de ce test revient `a ´etudier la densit ´e des nombres compos ´es et premiers en baseapar rapport celle des nombres premiers : on parle alorsd’entiers pseudo-premiers en basea.Si on noteπ_a(x)le nombre d’entiersncompos ´es,

premiers en baseaet≤x, alors on sait queπa(x)/π(x)tend vers z ´eros quandx tend vers l’infini.

Par exemple, poura=2, Pomerance (1981) a montr ´e que exp

log(x)^5/14

≤π2(x)≤xexp

−log(x)log log log(x) 2 log log(x)

Ainsi pourx =2⁵¹²on a

π₂(x)/π(x)≤5.3 10⁻³².

On peut dire que pourngrand choisi au hasard, il faut ˆetre tr `es malchanceux pour quensoit pseudo-premier en baseapour un grand nombre dea.

Cependant, cela ne veut pas dire qu’il n’existe pas de nombren qui soitpseudo-premier pour toutes basesaentre 2 etn−1 avec apremier avecn.

En fait, il en existe une infinit ´e. Ce sont lesnombres de

Carmichaelqui sont la plaie du test de Fermat. On a montr ´e en 1994 que pourx assez grand il existe au moinsx^2/7nombres de Carmichael inf ´erieurs `ax

Algorithme de Miller-Rabin

Pournpremier et 2≤a≤n−1, on sait queaⁿ⁻¹=1 mod(n).

Maisn−1 est pair doncb =aⁿ⁻¹² v ´erifieb²=1 mod(n). Doncb est racine du polyn ˆomey²−1=0 dansZ/nZqui est un corps pour l’addition et la multiplication modulo-ncarnest premier.

Dans un corps, le nombre de racines d’un polyn ˆome est au plus

´egal `a son degr ´e. Donc on a n ´ecessairementb=1 mod (n)ou b=−1 mod(n), car 1 et−1 sont deux racines distinctes de y²−1. Ainsi, sinest premier,aⁿ⁻¹² =±1 mod (n)pour tout 0<a<n. Si(n−1)/2 est encore pair et siaⁿ⁻¹² =1 mod(n), alors un raisonnement identique montre que n ´ecessairement aⁿ⁻¹⁴ =±1 mod(n).

En continuant jusqu’ `a l’entierspour lequel ⁿ⁻¹₂s soit impair on obtient letest de Miller Rabin

Pour un entier impairnque l’on ´ecritn=1+2^stavecs≥1 ett impair : on prend au hasardaentier entre 2 etn−1 et on calcule les nombresr_i =a^2it mod(n).

L’entiernpasse le test dans les deux cas suivants : soit r₀=r₁=...=rs =1 ; soit il existeientre 0 ets−1 tel que r_i =−1.

Un nombrenqui passe le test de Miller-Rabin pour un certaina est ditfortement premier en basea.

Pas d’analogue des nombres de Carmichaelcarsinest

compos ´e,nest fortement premier en baseapour au plus 1/4 des entiersaentre 2 etn−1 (r ´esultat admit).

Exo:Donner une version optimis ´ee sur le plan algorithmique du test de Miller-Rabin. Evaluer sa complexit ´e en terme de multiplication modulo-n.

On choisita₁entre 2 etn−1 au hasard.Sinn’est pas fortement premier en basea₁,nn’est pas premier on s’arr ˆete.Sinon, on choisit toujours au hasard un nouveaua2diff ´erent dea1entre 2 et n−1.

Sinest fortement premier en basea₂, on choisit un troisi `eme nombrea₃diff ´erent des deux pr ´ec ´edents.

Et ainsi de suite jusqu’ `a avoir choisi au plusk nombres diff ´erents a_i entre 2 etn−1.

Supposons maintenant que le nombrensoit fortement premier pour lesk bases(a₁, . . . ,a_k)tir ´ees au hazard. Quelle est la probabilit ´e pour qu’il soit premier ?

Sinest compos ´e, un simple comptage montre que, la proportion des k-uples(a₁, ...,a_k)∈ {2, ...,n−1}^k tels quensoit fortement premier pour chaquea_i est plus petite que ₄¹_k.Ainsi il est tentant dire qu’un tel nest premier avec une probabilit ´e d’au moins 1−₄¹_k.

SoitN un grand nombre entier. On prend au hasardn≤N. On suppose que pour un entierk assez grand,nait pass ´e avec succ `esk tests de Miller-Rabin.

La probabilit ´e quensoit premier est de 1/log(N).

Un raisonnement un peu rapide nous dirait quenest premier avec une probabilit ´e sup ´erieure `a 1−1/4^k.

Cela est faux, car il faut aussi consid ´erer le fait quenest pris au hasard parmi les nombres plus petits queN, avec une probabilit ´e de 1/log(N)de tomber, lors de ce premier tirage, sur un nombre premier.

Pour le bon calcul, il suffit de minorera_N/(a_N+b^k_N)aveca_Nle cardinal des nombres premiers plus petits queNetb^k_N, le cardinal des

nombres compos ´es plus petits queNet qui passentk tests : a_N ≈ N

logN, b_N^k ≤ N−_log^N_N 4^k .

Soit un grand entierN, etk assez grand pour que 4^k log(N):on tire au hasardn≤Npour lequel on faitk tests de Miller-Rabin.

Loi de Bayes : pour toutes partitions(Aµ)µde l’ensemble des possibles P(Aµ/B) = ^{PP(B/Aµ)P(Aµ)}

νP(B/Aν)P(Aν).Prendre iciB≡test pass ´ek fois,ν∈ {1,2}, A1≡npremier,A2≡ncompos ´e.

Alors la probabilit ´e pour quen, choisi au hasard≤Net passant le testk fois, soit effectivement premier v ´erifie :

Prob(npremier|test pass ´ek fois)≥1−log(N)/4^k.

On donneε1 et un ordre de grandeurN pourn, on en d ´eduit le nombre minimalk de tests `a faire par la formule

k =log(log(N)/ε) log(4) .

Par exemple, pourun nombre de 512-bitspris au hasard, il faut prendre k =26(resp.k =42) si on veut avoir une probabilit ´e d’erreur de moins de10⁻⁵(resp.10⁻¹⁰) de se tromper apr `esk tests de Miller-Rabin

Algorithme de Miller-Bach

Il s’agit d’unalgorithme d ´eterministe et polyn ˆomialqui repose sur une conjecture plausible en th ´eorie des nombres :l’hypoth `ese de Riemann g ´en ´eralis ´ee.

Hypoth `ese de Riemann pour la fonctionζ(s): ζ(s) =X

n≥1

1 n^s

ne semble d ´efinirζ(s)que pour<(s)>1, on peut prolongerζ sur tout le plan complexe sauf ens =1 qui est un p ˆole simple : ζ(s)−1/(s−1)est une fonction enti `erecomme le sont les fonctions cossou sins/spar exemple (le d ´eveloppement en s ´eries ens=0 admet un rayon infini de convergence).

ζ(−2n) =0 pournentier>0. On sait aussi depuis longtemps que les autres z ´eros,appel ´es z ´eros non triviaux, sont dans la bande verticale 0<<(s)<1. Dans son fameux article de 1859, Riemann ´emet l’hypoth `ese queles z ´eros non triviaux deζ sont sur la droite verticale<(s) =1/2.

L’hypoth `ese de Riemann g ´en ´eralis ´ee porte sur des fonctions similaires `aζ du type

X

n≥1

χ(n) n^s

o `u les fonctionsχ:N7→S<sup>1</sup>sont des fonctions p ´eriodiques et multiplicatives (χ(n<sub>1</sub>n<sub>2</sub>) =χ(n<sub>1</sub>)χ(n<sub>2</sub>)) particuli `eres, les caract `eres de Dirichlet modulo-N,N ´etant la p ´eriode deχ.L’hypoth `ese est alors que les z ´eros non triviaux de ces fonctions sont tous sur la droite<(s) =1/2.

En 1985, Miller et Bach ont prouv ´e, en supposant vraie

l’hypoth `ese de Riemann g ´en ´eralis ´ee, que si l’entier impairnest fortement premier pourtoute baseaentre 2 et 2 log²(n)alors il est premier.

Ainsi comme le test de Miller-Rabin est polyn ˆomial, il est facile de voir que lesE(2 log²(n))−1 tests qui constituent l’algorithme de Miller-Bach impliquent une complexit ´e polyn ˆomiale.

Exo:Donner la complexit ´e du test de Miller-Bach en reprenant les estimations obtenues pour celle du test de Miller-Rabin.

ZnetZ^∗n

On noteZn=Z/nZl’ensemble des classes modulon. Il y en an (#Zn=n) et on identifieZn `a l’ensemble{0,1, ...,n−1}.Znest muni d’une structure naturelled’anneaupour l’addition et la multiplication.

Sik ∈Znest inversible, on calcule son inverse vial’algorithme d’Euclide et l’identit ´e de Bezout. On noteZ^∗nl’ensemble des k ∈Zninversibles.

Znest uncorps ssinest premieret alorsZ^∗n=Zn/{0}dans ce cas.

Algorithme d’Euclide

Soient donc deux entiers strictement positifsk <n: n=kq₀+r₀, r₀<k

k =r₀q₁+r₁, r₁<r₀ r₀=r₁q₂+r₂, r₂<r₁

...

r_m−2=r_m−1q_m+r_m, r_m<r_m−1 r_m−1=r_mq_m+1+r_m+1, 0=r_m+1<r_m

o `u la suite(n,k,r<sub>0</sub>,r<sub>1</sub>, ...,r<sub>m</sub>,r<sub>m+1</sub>)est strictement d ´ecroissante et arrive `a z ´ero avecr_m+1=0.

Le pgcd estrmet on auetv tels que

un+vk =pgcd(n,k)=rm Identit ´e de Bezout

Matrices uni-modulaires: matrices `a coefficients entiers et dont l’inverse

Complexit ´e de l’algorithme d’Euclide

Evaluons le nombreDde divisions de l’algorithme d’Euclide en fonction de la taille den. L’algorithme est le plus long lorsque chaque quotientq_i vaut 1.

r_m+1=0,r_m =1 et

r_i =r_i+1+r_i+2, i =m−1,m−2, ...,0 aveck =r₀+r₁, n=k+r₀ Avecj =m+1−ion an=F_m+3o `uF_j est lasuite de Fibonacci avec lenombre d’orϑ= (1+√

5)/2:

F_j =Fj−1+Fj−2, j ∈ {2, . . . ,m+3}

avec comme d ´epart de la r ´ecurrence,F₀=0 etF₁=1.

CommeF_j = (ϑ^j−(1−ϑ)^j)/√

5 etF_m+3=non a au plus m+2=D≤log_ϑ(n)divisions avec reste `a faire (Lam ´e (1845)).

Fermat et Euler

Pour tout entiern>1, on noteϕ(n)le nombre d’entiers entre 1 et n−1 premiers avecn:

ϕ(n) = #Z^∗n.

Th ´eor `eme de Fermat-Euler :Siaest premier avecnalors a^ϕ(n) =1 mod(n)(preuve viaQ

x∈Z^∗nx =Q

x∈Z^∗nax mod(n)).

Lorsquenest premierϕ(n) =n−1 on a lepetit th ´eor `eme de Fermat: sinest premier et siaentier entre 1 etn−1, alors aⁿ⁻¹=1 mod(n).

Th ´eor `eme d’Euler : X

d|n

ϕ(n/d) =X

d|n

ϕ(d) =n

Preuve : pour 1≤d ≤n, on pose

ψ(d,n) = #{x ∈ {1, . . . ,n} |pgcd(x,n) =d}.

Sid divisenalorsψ(d,n)6=0 sinonψ(d,n) =0. Donc n=Pn

d=1ψ(d,n) =P

d|nψ(d,n). Mais,ψ(d,n) =ϕ(n/d)sid divisen. Il suffit de diviser pard, pour mettre en bijection les nombresx tels que pgcd(x,n) =d et les nombresy tels que pgcd(y,n/d) =1. Ainsi on a

n=X

d|n

ϕ(n/d) =X

d/n

ϕ(d).

Th ´eor `eme chinois

Th ´eor `eme Chinois: soient deux entierspetq≥1 premiers entre eux. Alors les anneauxZp×ZqetZpq sont isomorphes.

Preuve :l’applicationπ : Z7→Zp×Zq qui `ax ∈Zassocie le couple(x mod(p),x mod (q))est un homomorphisme d’anneau, surjectif et de noyaupqZ. Il suffit de quotienter par le noyau pour avoir un isomorphisme entreZ/pqZ=Zpq etZp×Zq. Corollaire :sipetq sont premiers entre eux, alors

ϕ(pq) =ϕ(p)ϕ(q)

Corollaire :Sinadmet comme d ´ecomposition en facteurs premiersn=p^α₁¹...p_k^αk alors

ϕ(n) =

k

Y

i=1

(p_i^αi −p_i^αi−1)

D ´echiffrement RSA

On part d’un grand nombren(d’au moins 1024 bits) qui est le produit de deux grands nombres premierspetq :cl ´e publiquen eteinversible moduloϕ(n) = (p−1)(q−1),cl ´e secr `ete(p,q).

Chiffrement d’un message en clair d ´efini par un entierM mod(n) se fait par la transformation suivante :

M7→M^e mod (n).

D ´echiffrement : Bob rec¸oit via un canal publicA=M^e. Pour d ´echiffrer, il lui suffit d’ ´eleverA `a la puissanced o `ud est l’inverse deemoduloϕ(n) = (p−1)(q−1).

A^d =M mod(n).

Pourquoi a-t-onM^ed ≡M mod (n)?

La base du d ´echiffrement RSA via la cl ´e secr `eted du message chiffr ´eM^e. :

∀M ∈ {0,1, ...,n−1}, M^ed =M mod(n) d `es quen=pq o `upetqsont deux nombres premiers, e∈ {1, ..., ϕ(n)−1}inversible moduloϕ(n)et d’inverse

d ∈ {1, ..., ϕ(n)−1}:ed =1+kϕ(n)pour un certain entierk.

SiM etnsont premiers entre eux, alors par le th ´eor `eme d’Euler-FermatM^ϕ(n)=1 mod (n). Ainsi

M^ed =M^1+kϕ(n) =M mod (n).

SiM etnnon premiers entre eux, utiliser l’isomorphisme de la preuve du th ´eor `eme chinois.

El ´ements primitifs

Th ´eor `eme de l’ ´el ´ement primitif :sip est premier alors, le groupe (Z^∗p,×)est cyclique, i.e., il est de la forme

Z^∗p={1,a,a², ...,a^p−2}

o `ua∈Z^∗pest appel ´e ´el ´ement primitif(non n ´ecessairement unique).

Preuve :le nombre d’ ´el ´ements primitifsaestϕ(p−1) (Pp−1

d=1N_d =p−1 o `uN<sub>d</sub> est le nombre d’ ´el ´ements d’ordred.N<sub>d</sub> vaut soit 0 ou est sup ´erieur `aϕ(d). Conclure par th ´eor `eme d’Euler en montrant, lorsqued divisep−1, queN_d =ϕ(d).

Th ´eor `eme de Lucas

Th ´eor `eme de Lucas :le nombrenest premier, si et seulement si, il existeα∈Z^∗ntel queαⁿ⁻¹=1 mod (n)etα

n−1

p 6=1 mod(n) pour tout diviseur premierpden−1.

Preuve :Sinest premier alors il suffit de prendre pourα un

´el ´ement primitif modulon. Inversement, si un tel ´el ´ementαexiste alors il est forc ´ement d’ordren−1 dansZ^∗n. Or tout ´el ´ement deZ^∗n

est d’ordre un diviseur deϕ(n)(reprendre des bouts de la preuve du th ´eor `eme sur l’ ´el ´ement primitif). Commeϕ(n)≤n−1 on voit que n ´ecessairementϕ(n) =n−1 mais cela signifienpremier.

Fabrication de grands nombres premiers et d’ ´el ´ements primitifs

Th ´eor `eme ( Lucas)

Le nombre n est premier, si et seulement si, il existe2≤α≤n−1, tel que

αⁿ⁻¹=1 mod(n) et α^n−1p 6=1 mod (n) pour tout diviseur premier p de n−1.

Unαqui v ´erifie les conditions ci-dessus est alors n ´ecessairement primitif modulon.

Si on connaˆıt la d ´ecomposition en facteur premier den−1, i.e., si on sait quen=1+p^ν₁¹...p^ν_k^k, il est facile d’avoir un test qui garantie la primalit ´e den: on choisit unαau hasard et on calcule

αⁿ⁻¹ mod (n), α

n−1

p1 mod (n) .... α

n−1

pk mod(n)

Si le test est positif on est s ˆur quenest premier, s’il est n ´egatif alors on change deα.

Si au bout de plusieurs essais avec desαdiff ´erents les tests sont toujours n ´egatifs, on a de fortes craintes quenne soit pas premier et on change denen jouant sur les exposantsν_i.

Obtenir un grand nombre premierpavec un ´el ´ement primitifα.

On construit r ´ecursivement des nombres premiers de plus en plus grands par cette m ´ethode en posantn=1+p^ν₁¹...p_k^νk o `u l’on sait que lesp_i sont premiers.

Une fois que l’on a trouv ´e des exposantsν_i tels quensoit premier alors on rajoutendans la liste desp_i et on continue l’op ´eration aveck +1 nombres premiers cette fois.

Conclusion

Si l’on souhaite utiliser une exponentielle modulaire, il faut disposer d’unnombre premierpet d’un ´el ´ement primitifαmodulo-p. Commep etαsont publics, la fabrication par le th ´eor `eme de Lucas est possible puisqu’elle donne en m ˆeme temps de grands nombres premiers avec

´el ´ements primitifs. Il faut cependant veiller `a ce quen−1 ait un diviseur premier grand de fac¸on `a rendre inefficace la m ´ethode de Pohlig-Hellman pour calculer le logarithme.