その方法BigInteger.isProbablePrime()はかなり奇妙です。ドキュメントから、これは、数値が確率で素数であるかどうかを示します。1 - 1 / 2^argここargで、は整数引数です。
それはかなり長い間JDKに存在していたので、それはそれが用途を持っているに違いないことを意味します。コンピュータサイエンスとアルゴリズム(および数学)に関する私の限られた知識は、数が「おそらく」素数であるかどうかを知ることは実際には意味がないが、正確には素数ではないことを教えてくれます。
それで、この方法を使用したいと思う可能性のあるシナリオは何ですか?暗号化?
回答:
はい、この方法は暗号化で使用できます。 RSA暗号化では、1024ビット(約300桁)のオーダーの巨大な素数を見つける必要があります。RSAのセキュリティは、これらの素数の2つを掛け合わせた数を因数分解することは非常に困難で時間がかかるという事実に依存しています。しかし、それが機能するためには、それらは素数でなければなりません。
これらの数が素数であることを証明することも難しいことがわかりました。しかし、ミラー-ラビン素数判定法による素数判定テストの用途の一つisProbablePrime、いずれかの検出は、数が複合体であるか、何の結論を与えないこと。このテストn時間を実行すると、この数値が実際に複合である確率は2n分の1であると結論付けることができます。その実行100時間は2で1の許容リスク生み出す100この数は複合体であることを。
isProbablyPrimeは(私が知る限り)完全に決定論的です。テストn時間を実行すると、正しい結果が得られる確率がどのように向上しますか?(それがランダム性の要素であったとしても、あなたが説明する方法でリスクに影響を与えるには、複数の呼び出しのランダム性を独立させる必要があります。)
テストで整数が素数ではないことがわかった場合は、100%であると確信できます。
整数が「確率的素数」であることがテストで示された場合、疑問を抱く可能性があるのは、質問の反対側だけです。さまざまな「塩基」を使用してテストを繰り返すと、素数(複数の塩基に対して強い擬素数)の「模倣」に誤って成功する確率を必要なだけ小さくすることができます。
テストの有用性は、その速度と単純さにあります。最終的な答えとして「確率的素数」のステータスに必ずしも満足するわけではありませんが、素数性テストの大きな銃を持ち込む前に、このルーチンを使用することで、ほぼすべての合成数で時間を無駄にすることを確実に回避できます。
整数の因数分解の難しさとの比較は、ちょっとしたニシンです。整数の素数性は多項式時間で決定できることが知られており、実際、ミラーラビン検定を十分な数の素数に拡張することが決定的であるという証拠があります(確率的素数ではなく素数の検出において)が、これは一般化リーマン予想を仮定しているため、(より高価な)AKS素数性検定ほど確実ではありません。
probablePrimeメソッドではなくメソッドを調べていましたisProbablePrime)
の標準的な使用例BigInteger.isProbablePrime(int)は暗号化です。具体的には、RSAなどの特定の暗号化アルゴリズムでは、ランダムに選択された大きな素数が必要です。ただし、重要なことに、これらのアルゴリズムでは、これらの数値が素数であることが保証されている必要はありません。非常に高い確率で素数である必要があります。
非常に高いのはどれくらいですか?さて、暗号アプリケーションで、一つは典型的に呼び出すだろう.isProbablePrime()したがって128と256との間の引数のどこかで、このような試験に合格非素数の確率は2未満である128又は2 256。
それを考えてみましょう。100億台のコンピューターがあり、それぞれが1秒あたり100億の確率的素数を生成し(これは、最新のCPUでは1つの数あたり1クロックサイクル未満を意味します)、それらの数の素数性がテストされた.isProbablePrime(128)場合、平均すると、1つの非素数が1,000億年に1回入ると予想されます。
それは、これらの100億台のコンピュータが経験のない数十億年の何百ものためのすべての実行何とかできれば、ケースになること、である任意のハードウェア障害を。ただし、実際には、ランダムな宇宙線が適切なタイミングでコンピュータ.isProbablePrime(128)に当たって、他の検出可能な影響を引き起こすことなく、戻り値をfalseからtrueに反転する可能性がはるかに高くなります。 -その確実性レベルで確率的素数性テストに実際に合格する素数。
もちろん、ランダムな宇宙線やその他のハードウェア障害の同じリスクは、AKSのような決定論的素数性テストにも当てはまります。したがって、実際には、これらのテストでさえ、ランダムなハードウェア障害のために(非常に小さい)ベースラインの偽陽性率があります(実装のバグなど、他のすべての考えられるエラーの原因は言うまでもありません)。
それは固有の偽陽性率プッシュするのは簡単ですので、ミラー-ラビン素数判定法で使用される.isProbablePrime()だけで十分に何度もテストを繰り返して、このベースライン・レートを下回るまでのところを、さらには繰り返し何度、以来、ミラー・ラビンテストはまだです実際には、AKSのような最もよく知られている決定論的素数性テストよりもはるかに高速であり、暗号化アプリケーションの標準的な素数性テストのままです。
(さらに、RSAモジュラスの要因の1つとして強い擬素数を誤って選択した場合でも、通常、壊滅的な障害につながることはありません。通常、このような擬素数は、約2つ(またはまれにそれ以上)の素数の積になります。半分の長さ。つまり、マルチプライムRSAキーになります。いずれの要素も小さすぎない限り(もしそうであれば、プライマリティテストで検出されたはずです)、RSAアルゴリズムはそれでも問題なく動作し、同じ長さの通常のRSAキーよりも特定の種類の攻撃に対してはやや弱いものの、キーの長さを不必要にスキップしなければ、キーは十分に安全であるはずです。)
考えられるユースケースは、特定の数の素数性をテストすることです(それ自体が多くの用途があるテストで)。isProbablePrimeこのアルゴリズムは、数が失敗しそうならば、はるかに速く正確なアルゴリズムよりも実行されisProbablePrime、その後、1つの必要性より高価なアルゴリズムを実行しているの費用に行きません。
可能性のある素数を見つけることは、暗号化における重要な問題です。可能性のあるkビット素数を見つけるための合理的な戦略は、ランダムなkビット数を繰り返し選択し、のような方法を使用して可能性のある素数性についてテストすることであることがわかりisProbablePrime()ます。
詳細については、応用暗号化ハンドブックのセクション4.4.1を参照してください。
BrandtとDamgårdによるインクリメンタルサーチによる確率的素数の生成についても参照してください。
RSA鍵生成などのアルゴリズムは、数値が素数であるかどうかを判別できることに依存しています。
ただし、このisProbablePrimeメソッドがJDKに追加された時点(1997年2月)では、妥当な時間内に数が素数であるかどうかを決定論的に決定する方法は証明されていませんでした。当時最もよく知られていたアプローチはミラーラビンアルゴリズムでした。これは確率的アルゴリズムであり、誤検出を引き起こすことがあります(つまり、非素数を素数として報告します)が、犠牲を払って誤検出の可能性を減らすように調整できます。実行時間のわずかな増加の。
それ以来、2002年8月に発見されたAKSアルゴリズムのように、数が適度に素数であるかどうかを決定論的に決定できるアルゴリズムが発見されました。ただし、これらのアルゴリズムはまだミラーラビンほど高速ではないことに注意してください。
おそらくより良い質問はisPrime、2002年以降JDKにメソッドが追加されていない理由です。