Тест на простоту AKS

Тест простоты AKS (также известный как тест простоты Агравала-Кайала-Саксены и циклотомический тест AKS ) — это детерминированный алгоритм доказательства простоты, созданный и опубликованный Маниндрой Агравалом , Нираджем Каялом и Нитином Саксеной , учеными-компьютерщиками из Индийского технологического института Канпура. 6 августа 2002 г., в статье под названием «ПРАЙМЫ находятся в P». ^[1] Алгоритм был первым, который способен за полиномиальное время определить , является ли данное число простым или составным , и это не полагаясь на математические догадки , такие как обобщенная гипотеза Римана . Доказательство также примечательно тем, что не опирается на область анализа . ^[2] В 2006 году авторы получили за свою работу премию Гёделя и премию Фулкерсона .

Важность

AKS — первый алгоритм доказательства простоты, который одновременно является общим , полиномиальным , детерминированным и безусловно правильным . Предыдущие алгоритмы разрабатывались веками и достигали максимум трех из этих свойств, но не всех четырех.

Алгоритм AKS можно использовать для проверки простоты любого заданного общего числа. Известно множество быстрых тестов на простоту, которые работают только для чисел с определёнными свойствами. Например, критерий Люка-Лемера работает только для чисел Мерсенна , а критерий Пепена можно применять только к числам Ферма .
Максимальное время работы алгоритма может быть ограничено полиномом от количества цифр в целевом числе. ECPP и APR убедительно доказывают или опровергают то, что данное число является простым, но неизвестно, имеют ли полиномиальные границы времени для всех входных данных.
Алгоритм гарантированно определит , является ли целевое число простым или составным. Рандомизированные тесты, такие как Миллер-Рабин и Бэйли-PSW , могут проверить любое заданное число на простоту за полиномиальное время, но, как известно, дают только вероятностный результат.
Корректность AKS не зависит от какой-либо дополнительной недоказанной гипотезы . Напротив, версия теста Миллера-Рабина Миллера полностью детерминирована и работает за полиномиальное время для всех входных данных, но ее правильность зависит от истинности еще не доказанной обобщенной гипотезы Римана .

Хотя алгоритм имеет огромное теоретическое значение, на практике он не используется, что делает его галактическим алгоритмом . Для 64-битных входных данных тест Бэйли-ПСВ является детерминированным и выполняется на много порядков быстрее. Для больших входных данных производительность тестов ECPP и APR (также безусловно правильных) намного превосходит AKS. Кроме того, ECPP может выводить сертификат простоты , который позволяет осуществлять независимую и быструю проверку результатов, что невозможно при использовании алгоритма AKS.

Концепции

Тест на простоту AKS основан на следующей теореме: Учитывая целое и целое число , взаимно простое с , является простым тогда и только тогда, когда полиномиальное отношение сравнения $n\geq 2$ $а$ $п$ $п$

выполняется внутри кольца многочленов . ^[1] Обратите внимание, что обозначает неопределенность , которая порождает это кольцо многочленов. $(\mathbb {Z} /n\mathbb {Z})[X]$ $X$

Эта теорема является обобщением на полиномы малой теоремы Ферма . В одном направлении это можно легко доказать, используя биномиальную теорему вместе со следующим свойством биномиального коэффициента :

{n \choose k}\equiv 0 {\pmod {n}}

для всех , если является простым.

0<k<n

п

Хотя соотношение ( 1 ) само по себе представляет собой тест на простоту, его проверка занимает экспоненциальное время : подход грубой силы потребует расширения полинома и уменьшения результирующих коэффициентов. $(X+a)^{n}$ ${\pmod {n}}$ $n+1$

Сравнение представляет собой равенство в кольце полиномов . Вычисление в факторкольце создает верхнюю границу степени задействованных многочленов. AKS оценивает равенство в , делая сложность вычислений зависимой от размера . Для наглядности в ^[1] это выражается сравнением $(\mathbb {Z} /n\mathbb {Z})[X]$ $(\mathbb {Z} /n\mathbb {Z})[X]$ $(\mathbb {Z} /n\mathbb {Z})[X]/(X^{r}-1)$ $г$

что то же самое, что:

для некоторых полиномов и . $е$ $г$

Обратите внимание, что все простые числа удовлетворяют этому соотношению (выбор в ( 3 ) дает ( 1 ), что справедливо для простых чисел). Это сравнение можно проверить за полиномиальное время, если оно полиномиально по отношению к цифрам числа . Алгоритм AKS оценивает это соответствие для большого набора значений, размер которого является полиномиальным по отношению к цифрам . Доказательство справедливости алгоритма AKS показывает, что можно найти набор значений с указанными выше свойствами, такой, что если сравнения выполнены, то это степень простого числа. ^[1] $г=0$ $п$ $г$ $п$ $а$ $п$ $г$ $а$ $п$

История и время работы

В первой версии цитируемой выше статьи авторы доказали, что асимптотическая временная сложность алгоритма равна (используя Õ из обозначения большого O ) — двенадцатой степени количества цифр в n , умноженной на полилогарифмический множитель. количество цифр. Однако эта верхняя граница была довольно свободной; широко распространенная гипотеза о распределении простых чисел Софи Жермен , если бы она была верной, немедленно сократила бы худший случай до . ${\tilde {O}}(\log(n)^{12})$ ${\tilde {O}}(\log(n)^{6})$

Через несколько месяцев после открытия появились новые варианты (Lenstra 2002, Pomerance 2002, Berrizbeitia 2002, Cheng 2003, Bernstein 2003a/b, Lenstra и Pomerance 2003), которые значительно увеличили скорость вычислений. Из-за существования множества вариантов Крэндалл и Пападопулос ссылаются на «класс AKS» алгоритмов в своей научной статье «О реализации тестов простоты класса AKS», опубликованной в марте 2003 года.

В ответ на некоторые из этих вариантов, а также на другие отзывы, статья «ПРАЙМЫ в P» была дополнена новой формулировкой алгоритма AKS и доказательством его корректности. (Эта версия в конечном итоге была опубликована в «Анналах математики» .) Хотя основная идея осталась прежней, r было выбрано по-новому, а доказательство правильности было организовано более последовательно. Новое доказательство опиралось почти исключительно на поведение круговых многочленов над конечными полями . Новая верхняя граница временной сложности была позже уменьшена с использованием дополнительных результатов теории решета до . ${\tilde {O}}(\log(n)^{10.5})$ ${\tilde {O}}(\log(n)^{7.5})$

В 2005 году Померанс и Ленстра продемонстрировали вариант AKS, работающий в эксплуатации, ^[3] что привело к созданию еще одной обновленной версии статьи. ^[4] Агравал, Каял и Саксена предложили вариант, который был бы применим, если бы гипотеза Агравала была верна; однако эвристический аргумент Померанса и Ленстры предполагает, что это, вероятно, неверно. ${\tilde {O}}(\log(n)^{6})$ ${\tilde {O}}(\log(n)^{3})$

Алгоритм

Алгоритм следующий: ^[1]

Входные данные: целое число

n > 1

Проверьте, является ли n полной степенью : если $n = a b$ для целых чисел $a > 1$ и $b > 1$ , выведите составной результат .
Найдите наименьший r такой, что $ord r (n) > (log 2 n) 2$ . (если r и n не взаимно просты, пропустите этот r )
Для всех 2 ≤ a ≤ min ( r , n −1) проверьте, что a не делит n : Если a | n для некоторых 2 ≤ a ≤ min ( r , n −1), вывести составной результат .
Если n ≤ r , выведите prime .
Для $a$ = $1$ сделать $\left\lfloor {\sqrt {\varphi (r)}}\log _{2}(n)\right\rfloor$
если ( X + a ) ⁿ ≠ X ⁿ + a (mod X ^r − 1, n ), вывести составной результат ;
Выходное простое число .

Здесь ord _r ( n ) — мультипликативный порядок n по модулю r , log ₂ — двоичный логарифм , а функция Эйлера от r — тотент . ${\ displaystyle \ varphi (r)}$

Шаг 3 показан в статье как проверка 1 < ( a , n ) < n для всех a ≤ r . Видно, что это эквивалентно пробному делению до r , которое можно сделать очень эффективно без использования gcd . Аналогичным образом, сравнение на шаге 4 можно заменить, если пробное деление возвращает простое число после проверки всех значений до $\left\lfloor {\sqrt {n}}\right\rfloor .$

Если выйти за пределы очень небольших затрат, шаг 5 будет доминировать по затраченному времени. Существенное снижение сложности (от экспоненциальной до полиномиальной) достигается за счет выполнения всех вычислений в конечном кольце.

R:=(\mathbb {Z} /n\mathbb {Z})[X]/(X^{r}-1)

состоящее из элементов. Это кольцо содержит только мономы и коэффициенты , в которых есть элементы, все из которых можно закодировать в битах. $n^{r}$ $г$ $\{X^{0},X^{1},\ldots,X^{r-1}\}$ $\mathbb {Z} / n\mathbb {Z}$ $п$ $\log _{2}(n)$

Большинство более поздних улучшений, внесенных в алгоритм, были сосредоточены на уменьшении размера r , что ускоряет основную операцию на шаге 5, а также на уменьшении размера s , количества циклов, выполняемых на шаге 5. ^[5] Обычно эти изменения не изменить вычислительную сложность, но может привести к сокращению времени на многие порядки, например, окончательная версия Бернштейна имеет теоретическое ускорение более чем в 2 миллиона раз.

Схема подтверждения действительности

Чтобы алгоритм был корректным, все шаги, определяющие n, должны быть корректными. Шаги 1, 3 и 4 тривиально корректны, поскольку основаны на прямых проверках делимости n . Шаг 5 также верен: поскольку (2) верно для любого выбора чисел , взаимно простых с n и r , если n простое, неравенство означает, что n должно быть составным.

Самая трудная часть доказательства — показать, что шаг 6 верен. Его доказательство правильности основано на верхних и нижних границах мультипликативной группы , построенной из биномов ( X + a ), которые проверяются на шаге 5. Шаг 4 гарантирует, что эти биномы являются различными элементами . Для конкретного выбора r границы приводят к противоречию , если только n не является простым или степенью простого числа. Вместе с тестом шага 1 это означает, что n всегда простое на шаге 6. ^[1] $\mathbb {Z} _{n}[x]$ $\left\lfloor {\sqrt {\varphi (r)}}\log _{2}(n)\right\rfloor$ $\mathbb {Z} _{n}[x]$

Пример 1: n = 31 — простое число

 Входные данные : целое число n = 31 > 1. (* Шаг 1 *)  Если ( n = a ^b для целых чисел a > 1 и b > 1), выведите  составной результат . For ( b = 2; b <= log ₂ (n); b++) { а = п ^1/б ; Если (a — целое число), верните [составное] } а = n ^1/2 ...n ^1/4 = {5,568, 3,141, 2,360} (* Шаг 2 *) Найдите наименьший r такой, что Or _r ( n ) > (log ₂  n ) ² . maxk = ⌊(log ₂ n) ² ⌋; maxr = Max[3, ⌈(Log ₂ n) ⁵ ⌉]; (* maxr действительно не нужен *) следующийR = Истина; For (r = 2; nextR && r < maxr; r++) { следующийR = Ложь; For (k = 1; (!nextR) && k ≤ maxk; k++) { nextR = (Mod[n ^k , r] == 1 || Mod[n ^k , r]==0) } } р--; (*цикл увеличивается на единицу*)  р = 29 (* Шаг 3 *)  Если (1 < НОД ( a , n ) < n для некоторого a ≤ r ), выведите  составной результат . For (a = r; a > 1; a--) { If ((gcd = НОД[a,n]) > 1 && НОД < n), Return [Composite] }  НОД = {НОД(29,31)=1, НОД(28,31)=1, ..., НОД(2,31)=1} ≯ 1 (* Шаг 4 *)  Если ( n ≤ r ), выведите  prime . Если (n ≤ r), верните [Prime] (* этот шаг можно пропустить, если n > 5690034 *)  31 > 29  (* Шаг 5 *)  Для a  = 1 сделать  If (( X + a ) ⁿ ≠ X ⁿ + a (mod X ^r − 1, n )), вывести составной ; $\left\lfloor {\sqrt {\varphi (r)}}\log _{2}(n)\right\rfloor$      φ[x_] := EulerPhi[x]; PolyModulo[f_] := PolynomialMod[ PolynomialRemainder [f, x ^r -1, x], n]; макс = Этаж[Log[2, n] √ φ[r] ]; For (a = 1; a ≤ max; a++) { If (PolyModulo[(x+a) ⁿ - PolynomialRemainder[x ⁿ +a, x ^r -1], x] ≠ 0) { Return [Composite] { }  (х+а) ³¹ = a ³¹ +31a ³⁰ x +465a ²⁹ x ² + 4495a ²⁸ x ³ +31465a ²⁷ x ⁴ +169911a ²⁶ x ⁵ +736281a 25 ^x 6 +2629575a 24 x ⁷⁺ 7888725a ²³ x ⁸ + ^20160075a 22 ^x 9 ⁺⁴ 4352165а ²¹ х ¹⁰ +84672315a ²⁰ x ¹¹ +141120525a ¹⁹ x ¹² +206253075a 18 x 13 +265182525a ¹⁷ x ¹⁴⁺ 300540195a ¹⁶ x ¹⁵ + ^300540195a 15 x ¹⁶ + ^265182525a 14 ^х 17 ⁺ 206253075a ¹³ х ¹⁸ +141120525a ¹² х 19 +84672315a ¹¹^х²⁰ +44352165a ¹⁰ x ²¹ +20160075a ⁹ x ²² +7888725a ⁸ x ²³ +2629575a ⁷ x ²⁴ +736281a ⁶ x 25 +169911a 5 x ²⁶ + ^31465a 4 ^x 27 + 4495a 3 ^x 28 ⁺ 465a ²^х²⁹ +31 ^токс 30 ⁺ х ³¹  PolynomialRemainder [(x+a) ³¹ , x ²⁹ -1] = 465a ² +a ³¹ +(31a+31a ³⁰ )x +(1+465a ²⁹ )x ² +4495a ²⁸ x ³ +31465a ²⁷ x ⁴ + 169911a ²⁶ x ⁵ +736281a ²⁵ x ⁶ +2629575a ²⁴ x ⁷ +7888725a ²³ x ⁸ +20160075a ²² x ⁹ + 44352165a ²¹ x ¹⁰ +84672315a ²⁰ x ¹¹ +141120525a 19 x 12 ^{+ 206253075a}¹⁸ x ¹³ +265182525a 17 ^x 14 ⁺ 300540195a ¹⁶ x ^{1 5}⁺ 300540195a ¹⁵ x ¹⁶ +265182525a ¹⁴ x ¹⁷ +206253075a ¹³ x ¹⁸ + 141120525a ¹² x ¹⁹ +84672315a ¹¹ x ²⁰ +44352165a ¹⁰ x ²¹ +20160075a ⁹ x ²²⁺ 7888725a 8 x 23 +2629575a 7 x ²⁴ + ^736281a⁶ x ²⁵ + 169911a ⁵ х ²⁶⁺ 31465а ⁴ х ²⁷ +4495а ³ х ²⁸  ( A ) PolynomialMod [PolynomialRemainder [(x+a) ³¹ , x ²⁹ -1], 31] = a ³¹ +x ²  ( B ) PolynomialRemainder [x ³¹ +a, x ²⁹ -1] = a+x ²  ( А ) - ( B ) знак равно а ³¹ +х ² - (а+х ² ) знак равно а ³¹ -а   $\max =\left\lfloor \log _{2}(31){\sqrt {\varphi (29)}}\right\rfloor =26$   {1 ³¹ -1 = 0 (по модулю 31), 2 ³¹ -2 = 0 (по модулю 31), 3 ³¹ -3 = 0 (по модулю 31), ..., 26 ³¹ -26 = 0 (по модулю 31)}  (* Шаг 6 *)  Выведите  prime . 31 Должно быть премьер

Где PolynomialMod — это уменьшение полинома по модулю. например PolynomialMod[x+2x ² +3x ³ , 3] = x+2x ² +0x ³

^[6]

дальнейшее чтение

Дитцфельбингер, Мартин (2004). Проверка простоты за полиномиальное время. От рандомизированных алгоритмов к PRIMES в P. Конспекты лекций по информатике. Том. 3000. Берлин: Springer-Verlag . ISBN 3-540-40344-2. Збл 1058.11070.

Внешние ссылки

Вайсштейн, Эрик В. «Тест на примитивность AKS». Математический мир .
Р. Крэндалл, Apple ACG и Дж. Пападопулос (18 марта 2003 г.): О реализации тестов простоты класса AKS (PDF)
Статья Борнемана, содержащая фотографии и информацию о трех индийских ученых (PDF)
Эндрю Грэнвилл: Легко определить, является ли данное целое число простым
Основные факты: от Евклида до АКС, Скотт Ааронсон (PDF)
PRIMES находится в P small FAQ от Антона Стиглича
Цитирование премии Гёделя 2006 г.
Цитирование премии Фулкерсона 2006 г.
Ресурс по алгоритму AKS "PRIMES in P"