Problémy týkající se prvočíselnosti fascinovaly matematiky od starověku. Mezi

Transkript

1 1. Stručná hstore algortmů pro prvočísla Problémy týkající se prvočíselnost fascnovaly matematky od starověku. Mez těmto problémy hraje klíčovou rol následující problém Problém. PRIME: Vstup: přrozené číslo p > 1; Výstup: ano, když p je prvočíslo. Nejstarší známý korektní algortmus pro tento problém je Eratosthenovo síto, které vznklo někdy kolem roku 40 před naším letopočtem. Tento algortmus vyžaduje čas O(p), kde p je vstupní číslo. Protože délka vstupu je logp, je tento algortmus exponencální. Protože exponencální algortmy nejsou použtelné pro velká čísla, motvuje to snahu nalézt efektvnější, tj. rychlejší algortmus. Fermat v 17. století dokázal tzv. Malou Fermatovu větu, která tvoří základ většny nových algortmů pro PRIME. Malá Fermatova věta. Když p je prvočíslo a n je číslo nesoudělné s p, pak n p 1 1 mod p. Bohužel Malá Fermatova věta není charakterstka prvočísel. Řekneme, že přrozené číslo n je Carmchaelovo číslo [10,11], když n není prvočíslo a pro každé přrozené číslo a, které je nesoudělné s n, platí a n 1 1 mod n. Nejmenší Carmchaelovo číslo je 561 a exstuje 841 Carmchaelových čísel menších než Nedávno bylo dokázáno [6], že exstuje nekonečně mnoho Carmchaelových čísel. Další fakta o Carmchaelových číslech jsou v sekc Pravděpodobnostní algortmy pro PRIME. V devatenáctém století a v první polovně dvacátého století se problémy o prvočíslech zabýval matematc, kteří studoval teor čísel. Z nch je třeba jmenovat Kratchka (196) [5] a Lehmera (197) [7], kteří navrhl nezávsle na sobě stejný algortmus pro PRIME. Tento algortmus vylepšl J. L. Selfrdge (1967) [10]. K. Gödel v dopse von Neumannov v roce 1956 se ptal na výpočetní složtost problému P RIM E. Pozornost na složtost problému P RIM E však ncoval až výsledek V. Pratta (1975) [33], který ukázal, že PRIME NP. Protože je zřejmé, že PRIME conp (stačí uhodnout děltele p a pak ověřt dělením, že byl uhodnut správně), tak až do roku 00 byl problém PRIME jedný přrozený problém takový, že PRIME NP co NP, ale nevědělo se, zda bez dalších předpokladů patří do P. G. Mller (1976) [31] navrhl determnstcký algortmus pro řešení problému P RIM E, který za předpokladu rozšířené Remanovy hypotézy (ERH) vyžadoval polynomální čas. Tento algortmus modfkoval M. O. Rabn (1976,1980) [34,35] na pravděpodobnostní polynomální algortmus pro P RIM E typu Monte Carlo. R. Solovay a V. Strassen (1977) [37] navrhl jný pravděpodobnostní polynomální algortmus pro P RIM E typu Monte Carlo, který byl založen na kvadratckých resduích. Oba algortmy jsou popsány v kaptole Pravděpodobnostní algortmy pro PRIME. L. M. Adelman, C. Pomerance a R. S. Rumely (1983) [] navrhl determnstcký algortmus pro PRIME vyžadující čas log O(logloglogn) n za hypotézy, která je slabší než zobecněná Remanova hypotéza. S. Goldwasser a J. Klan (1986) [19] a nezávsle A. O. L. Atkn [8] navrhl determnstcký algortmus, který má očekávaný polynomální čas a za platnost velm slabé hypotézy má čas v nejhorším případě polynomální. C. Pomerance (1987) [3] navrhl nedetermnstcký algortmus pro PRIME pracující v lneárním čase (tím vylepšl výsledek V. Pratta). 1

2 Analogcký výsledek ukázal R. K. Guy, C. B. Lacampagne a J. L. Selfrdge (1987) [0]. Překvapvý výsledek tohoto typu ukázal J. P. Jones, D. Sato, H. Wada a D. Wens (1976) []. Ukázal, že pro prvočíslo p exstuje důkaz, že p je prvočíslo, který vyžaduje pouze 87 sčítání a násobení (celých čísel). To znamená, že exstuje nedetermnstcký algortmus, který ověří, že p je prvočíslo, a použje pouze 87 sčítání a násobení. Algortmus S. Goldwassera a J. Klana vylepšl L. M. Adleman a M.-D. Huang (199) [1] a navrhl pravděpodobnostní algortmus pro P RIM E typu Las Vegas, který pracuje v polynomálním čase. M. Agrawal, N. Kayal a N. Saxena (00) [4] navrhl determnstcký algortmus pro PRIME vyžadující čas O(log 1 nlog O(1) logn) a tím ukázal, že PRIME P. Tento algortmus je založen na stejné de jako pravděpodobnostní algortmus navržený M. Agrawalem a S. Bswasem (1999) [3] a je to vlastně jeho vylepšení. Za předpokladu platnost hypotézy Sophe Germanové o hustotě prvočísel tento algortmus vyžaduje jen O(log 6 nlog O(1) logn) času. Algortmus je popsán v kaptole Determnstcký algortmus pro P RIM E. Velký exponent u polynomu omezujícího čas, který spotřebuje algortmus, vedl k pokusům o další zlepšení. Nejprve Lenstra (004) vylepšl algortmus tak, že vyžaduje jen čas O(log 7.5 n), a pak Lenstra a Pomerance (005) [9] navrhl další zlepšní. Jejch algortmus spotřebuje už jen O(log 6 nlog O(1) logn) času. Tato zlepšení determnstckého algortmu pro řešení P RIM E jsou založena na hlubokých teoretcko-číselných výsledcích na rozdíl od původního algortmu, který lze dobře prezentovat. Kvůl stupn polynomu však stále nejsou tyto algortmy praktcky použtelné. Podle nformací v prax se hlavně používají pravděpodobnostní algortmy Solovay-Strassena a Rabn- Mllera. Nejpoužívanější má být Rabn-Mllerův algortmus, je rychlejší než Solovay-Strassenův algortmus (asymptotcky jsou oba algortmy stejně rychlé O(log 3 n), ale Rabn- Mllerův algortmus je v jstém smyslu jen část Solovay-Strassenova algortmu, proto má reálně menší multplkatvní konstantu), a také pravděpodobnost chyby je menší. Solovay-Strassenův algortmus se zřejmě hodně používá z konzervatvních důvodů, byl to první praktcky použtelný algortmus pro řešení problému P RIM E.. Pravděpodobnostní algortmy Pravděpodobnostní algortmus je jakás kombnace determnstckého a nedetermnstckého algortmu. Nedetermnstcký krok má jen volbu z dvou možných pokračování a navíc má kromě standardního vstupu ještě náhodný vstup z 0 a 1, který pro konkrétní výpočet určuje, kterou volbu má použít (to znamená, že náhodný vstup musí být tak dlouhý jako je doba nejdelšího výpočtu nad daným vstupem). Přtom stejně jako nedetermnstcký algortmus nemusí vždy počítat korektně. Přesně řečeno pravděpodobnostní algortmus A řeší problém P s chybou χ(x) (kde x je vstup pro problém P), která je pro vstup x rovna podílu korektních výpočtů nad x a všech náhodných vstupů pro x. Formálně řečeno, když délka náhodného vstupu pro x je k, pak χ(x) = {y y je náhodný vstup a A(x,y) dává korektní výsledek} k. Dále budeme vždy předpokládat, že délka výpočtu A je shora omezena polynomem vzhledem k délce vstupu (to plyne z předpokladu, že v prax jsou použtelné jen algortmy pracující v polynomálním čase). Řekneme, že jazyk L je přjímán

3 3 pravděpodobnostním algortmem A v čase f, kde f je polynom, když L = {x {0,1} ; {y {0,1} f( x ) ;A(x,y) přjímá} > f( x ) 1 }. Třída těchto jazyků se značí PP a platí NP conp PP PSPACE. Ukazuje se, že třída PP je přílš velká a obsahuje mnoho problémů, které jsou pravděpodobně praktcky neřeštelné. To vedlo k její restrkc. Pravděpodobnostní algortmus A pracující v polynomálním čase je typu Atlantc Cty, když exstuje 0 ǫ < 1 takové, že pro každé x je χ(x) < ǫ. Pak BPP značí třídu jazyků přjímaných algortmy typu Atlantc Cty. Zřejmě BPP PP, ale vztah NP a BPP je otevřený problém. Pravděpodobnostní algortmus A pracující v polynomálním čase je algortmus typu Monte Carlo pro jazyk L, když exstuje 0 ǫ < 1 takové, že platí: (1) když x L, pak A(x,y) přjímá pro každý náhodný vstup y (tj. χ(x) = 0); () když x / L, pak χ(x) < ǫ. Pravděpodobnostní algortmus A pracující v polynomálním čase f je algortmus typu Las Vegas přjímající jazyk L, když A má tř výstupy přjímá, odmítá a neví a exstuje 0 ǫ < 1 tak, že platí (1) kdyžx L, pak výstup A(x,y)je buď přjímánebo neví pro každý náhodný vstup y; () když x / L, pak výstup A(x,y)je buď odmítá nebo neví pro každý náhodný vstup y; (3) pro každé x platí {y {0,1} f( x ) ;výstup A(x,y) je neví} < ǫ f( x ). Jazyky přjímané algortmy typu Monte Carlo tvoří třídu RP a jazyky přjímané algortmy typu Las Vegas tvoří třídu ZPP. Následující věta ukazuje význam těchto tříd. Věta.1. Když L BPP, pak pro každý polynom g exstuje algortmus typu Atlantc Cty přjímající L s chybou χ(x) g( x ). Když L RP, pak pro každý polynom g exstuje algortmus typu Monte Carlo přjímající L s chybou χ(x) < g( x ). Když L ZPP, pak pro každý polynom g exstuje algortmus typu Las Vegas přjímající L a {y {0,1} f( x ) ;výstup A(x,y) je neví} < g( x ). Důkaz. Nejprve dokážeme druhé a třetí tvrzení. Mějme jazyk L RP nebo L ZPP, pak exstuje algortmus A typu Monte Carlo nebo Las Vegas přjímající L a exstuje 0 ǫ < 1 takové, že χ(x) < ǫ nebo {y {0,1} f( x ) ;výstup A(x,y) je neví} < ǫ f( x ), kde f je polynom omezující dobu výpočtu A. Protože ǫ < 1, tak exstuje k takové, že ǫ k < 1. Nechť g je lbovolný polynom. V obou případech použjme následující algortmus: Algortmus B Vstup: x = 0 whle kg(x) do zvol náhodně y {0,1} f( x )

4 4 (pro RP){ { f A(x, y) odmítne then odmítne, stop endf f A(x,y) odmítne then odmítne, stop else (pro ZPP) f A(x,y) přjme then přjme, stop endf endf := +1 enddo (pro RP) přjme (pro ZPP) neví Všmněme s, že v případě RP, když x L, pak algortmus B vždy přjímá, v případě ZPP, když x L, pak algortmus B neskončí s odmítnutím a když x / L, pak algortmus B neskončí s přjmutím. Protože f a g jsou polynomy, tak algortmus pracuje v polynomálním čase. V případě RP, když x / L, pak A přjímá s pravděpodobností menší než ǫ. Aby B přjmul, musel cyklus běžet kg(x)- krát a ve všech bězích musel A přjmout. Protože běhy cyklů jsou nezávslé, tak pravděpodobnost, že se to stane, je menší než ǫ kg( x ) g( x ). V případě ZPP je pravděpodobnost, že algortmus odpověděl, že neví, menší než ǫ. Aby B odpověděl, ženeví, musel cyklusběžet kg(x)-krátavevšech bězích musel A odpovědět, ženeví. Proto pravděpodobnost, že B odpověděl, že neví, je menší než g( x ). Nyní dokážeme první tvrzení. Nechť L BPP a nechť A je algortmus typu Atlantc Cty přjímající L s chybou menší než ǫ pro 0 ǫ < 1. Nechť A pracuje v čase f, kde f je polynom. Nechť g je polynom. Pak 4ǫ(1 ǫ) < 1, a tedy exstuje k takové, že ( 4ǫ(1 ǫ) ) k 1. Uvažujme následující algortmus: Algortmus B 1 Vstup x := 0, c := 0 whle kg( x ) do zvol náhodně y {0,1} f( x ) f A(x,y) přjímá then c := c+1 endf := +1 enddo f c > kg( x ) then přjm else odmítn endf Protože f a g jsou polynomy, tak B 1 pracuje v polynomálním čase. Předpokládejme, že pro vstup x je pravděpodobnost chyby ǫ 1, pak 0 ǫ 1 < ǫ, a proto 4ǫ 1 (1 ǫ 1 ) < 4ǫ(1 ǫ), a tedy ( 4ǫ 1 (1 ǫ 1 ) ) k ( ) k < 4ǫ(1 ǫ) 1. Protože běhy cyklu jsou nezávslé a A dává pro x nekorektní odpověď s pravděpodobností ǫ 1, tak pravděpodobnost, že A dá nekorektní odpověď na fxované j-tc běhů cyklu, je ǫ j 1 (1 ǫ 1) k(g( x )+1 j. Tedy pravděpodobnost, žeb 1 dal nesprávnou odpověď právě v j bězích cyklu, je nejvýše ( ) kg( x )+1 j ǫ j 1 (1 ǫ 1) kg(x)+1 j. Tedy pravděpodobnost, že B 1 odpověděl nekorektně, je nejvýše kg( x ) j=0 ( kg( x )+1 ( ǫ1 (1 ǫ 1 ) ) kg( x )+1/ j ) ǫ j 1 (1 ǫ 1) kg( x )+1 j kq(x) j=0 ( ) kg( x )+1 j ( ǫ1 (1 ǫ 1 ) ) kg( x )+1/ kg( x )+1 = ( 4ǫ 1 (1 ǫ 1 ) ) kg( x )+1/ (( 4ǫ1 (1 ǫ ) ) k) g( x ) g( x ).

5 Tím je důkaz kompletní. Z toho okamžtě dostáváme, že P ZPP = RP corp a RP NP BPP, corp conp BPP, ale zda jsou nkluse ostré, se neví. Na druhou stranu na základě této věty je třída BPP považována za největší třídu problémů praktcky řeštelných. 3. Pravděpodobnostní algortmy pro P RIM E. Nejprve s přpomeneme pár základních pojmů z teore čísel a teore grup. Pro přrozené číslo n > 1 označme Z n množnu všech celých čísel mez 0 a n 1, která jsou nesoudělná s n, spolu s operací násobení modulo n. Pak Z n je grupa a říká se jí multplkatvní grupa modulo n. Nechť λ(n) je řád grupy Z n, tj. λ(n) je nejmenší přrozené číslo p takové, že p 1 mod n pro každé Z n. Protože Z n je konečná grupa, tak pro každé Z n exstuje p takové, že p 1 mod n (1 je jednotkový prvek Z n), a pak kp 1 mod n pro každé celé číslo k > 1. Nyní z konečnost Z n plyne exstence λ. Dále s přpomeneme Čínskou větu o zbytcích. Věta 3.1. (Čínská věta o zbytcích). Nechť m 1,m,...,m n jsou navzájem nesoudělná přrozená čísla větší než 1. Pak pro každou n-tc čísel x 1,x,...x n exstuje právě jedno číslo x takové, že 0 x < n =1 m a x x mod m pro každé = 1,,...,n. Pro celá čísla x a y a pro m = n =1 m platí x y mod m, právě když x y mod m pro každé = 1,,...,n. Důkaz. Zvolme {1,,...,n} a všmněme s, že pro f = m m platí f 0 mod m j pro každé j = 1,,...,n, j, a f je nesoudělné s m. Proto exstuje g {1,,...,m 1}takové,žef g 1 mod m. Položmee = f g,pake 1 mod m a e 0 mod m j pro každé j = 1,,...,n, j. Odtud pro x = n =1 x e platí x x mod m pro každé = 1,,...,n. Nyní mějme dvě celá čísla x a y taková, že x y mod m. Protože m = n =1 m, dostáváme, že x y mod m pro každé = 1,,...,n. Naopak, kdyžx y mod m pro každé = 1,,...,n, pak pro každé exstuje celé číslo k takové, že x = y+k m. Odtud plyne, že x y je násobkem m pro každé = 1,,...,n, a protože m a m j jsou nesoudělná pro všechna různá čísla,j {1,,...,n}, dostáváme, že x y je násobkem m, nebol x y mod m. Tedy platí druhé tvrzení věty. První tvrzení dostaneme kombnací první část důkazu a druhého tvrzení. Odtud dostaneme Tvrzení 3.. Když n = j =1 pm je prvočíselný rozklad n, pak λ(n) je nejmenší společný násobek čísel λ(p m ) pro = 1,,...,j. Důkaz. Nechť k je nejmenší společný násobek čísel λ(p m ) pro = 1,,...,j. Pak pro každé = 1,,...,j a každé a Z p m platí a k 1 mod p m, protože k je násobek λ(p m ). Z Čínské věty o zbytcích plyne, že k je násobek λ(n). Naopak, pro každé = 1,,...,j exstuje a Z p m takové, že řád a je λ(p m ) (to plyne z konečnost Z m p ). Z Čínské věty o zbytcích plyne exstence a jednoznačnost čísla a {1,,...,n} takového, že a a mod p m pro každé = 1,,...,j. Pro každé l < k exstuje = 1,,...,j takové, že a l 1 mod pm, a z Čínské věty o zbytcích plyne al 1 mod n. Na druhé straně a k 1 mod pm pro každé = 1,,...,j, a proto a k 1 mod n. Odtud plyne, že λ(n) k, a proto k = λ(n). 5

6 6 Prolchéprvočíslopapro každécelékladnéčíslojez p cyklckágrupa aprotože Z p = φ(p ) = (p 1)p 1 (φ je Eulerova funkce), dostáváme λ(p ) = (p 1)p 1. Pro mocnny je stuace komplkovanější, Z a Z 4 jsou cyklcké grupy, a Z pro > je somorfní se součnem cyklcké grupy řádu s cyklckou grupou řádu, proto λ() = 1, λ(4) = a λ( ) = pro 3. Základní výsledek, který položl základy k hledání pravděpodobnostních algortmů pro řešení problému PRIME, je Malá Fermatova věta. Věta 3.3. Když n je provočíslo a a je celé číslo nesoudělné s n, pak a n 1 1 mod n. Kdyby toto byla charakterzace prvočísel a kdyby pro kladné číslo n, které není prvočíslo, exstovalo hodně celých čísel a v ntervalu < 1,n 1 > takových, že a n 1 1 mod n, pak bychom mohl navrhnout pravděpodobnostní algortmus, který by pro vstup n náhodně zvoll celé číslo a < 1,n 1 > a spočítal by a n 1 mod n. Kdyby a n 1 1 mod n, pak by odpověď byla, že n je prvočíslo, a kdyby součn byl různý od 1, pak by odpověď byla, že n není prvočíslo. Protože a n 1 lze spočítat v polynomálním čase (vzhledem k logn), tak pokud by hodně znamenalo proporconálně vzhledem k n, měl bychom algortmus typu Monte Carlo pro problém PRIME. Bohužel tato vlastnost není charakterstcká pro prvočísla. Číslo, které není prvočíslo, ale přesto pro každé celé číslo a, které je nesoudělné s n, platí, že a n 1 1 mod n, se nazývá Carmchaelovým číslem. Exstenc a jejch vlastnost dokázal Carmchael [11,1] a nezávsle na něm to oznáml Korselt [4]. Je známo, že nejmenší Carmchaelovo číslo je 561 a počet Carmchaelových čísel menších než 10 1 je 841. Na druhé straně pro všechna dostatečně velká čísla x je počet Carmchaelových čísel menších než x větší než x7. To dokázal Alford, Granvlle a Pomerance (1994) [6]. To motvuje hledání charakterstk pro prvočísla podobných Malé Fermatově větě. Než se vydáme tímto směrem, dokážeme s některé základní vlastnost Carmchaelových čísel. Platí Lemma 3.4. [11,1,4]Když n je Carmchaelovo číslo, pak (1) λ(n) dělí n 1; () n je lché; (3) neexstuje přrozené číslo a > 1 takové, že a dělí n; (4) n není součnem dvou prvočísel. Důkaz. Protože n je Carmchaelovo číslo, tak a n 1 1 mod n pro každé a Z n, a proto λ(n) dělí n 1. Protože 1 1 mod n, dostáváme, žeλ(n) je sudé pro každé n, a proto každécarmchaelovo číslo nje lché. Kdyžpro přrozenéčísloa > 1 platí, že a dělí n, pak můžeme předpokládat, že a je prvočíslo. Pak λ(a ) = a(a 1) podle Tvrzení 3. dělí λ(n). Odtud plyne, že a dělí n 1 n, a proto a = 1, spor. Proto neexstuje přrozené číslo a > 1 takové, že a dělí n. Když n je součnem dvou prvočísel p a q, pak podle (3) p q a podle () p a q jsou lchá čísla. Podle Tvrzení 3. p 1 dělí λ(n), a tedy dělí n 1. Proto n 1 0 mod p 1, a tedy n 1 mod p 1. Protože p 1 mod p 1, dostaváme, že q 1 mod p 1. Proto q p. Ze symetre dostaneme, že q p, a tedy q = p, a to je spor. Abychom specfkoval pojem hodně, bylo by vhodné, aby množna {a Z n a splňuje uvažovanou charakterstku prvočísel}

7 byla vlastní podgrupa Z n, když n není prvočíslo. Této množně se říká množna lhářů vzhledem k uvažované charakterstce. Zřejmě chyba algortmu je majorzována poměrem velkost grupy lhářů vzhledem k velkost Z n. Když grupa lhářů je vlastnípodgrupa, pak nutně 1 majorzuje tento poměr a tedy chybu. Všmněme s, že když n není prvočíslo, pak F n = {a Z n an 1 1 mod n} je podgrupa Z n. Říká se jí grupa Fermatových lhářů a n je Carmchaelovo číslo, právě když n není prvočíslo, ale F n = Z n. Solovay-Strassenův algortmus První pravděpodobnostní algortmus je založen na Eulerově charakterzac prvočísel, která používá Legendreovy a Jacobho symboly. Než zavedeme tyto symboly, budeme defnovat pojem resduum. Pro kladná celá čísla m a n a pro celé číslo a nesoudělné s n řekneme, že a je m-té resduum modn, když exstuje celé číslo x takové, že x m a mod n. Když m =, pak říkáme, že a je kvadratcké resduum modn. Když a je nesoudělné s n a není kvadratcké resduum modn, pak říkáme, že a je kvadratcké non-resduum mod n. Přpomeňme s defnc Eulerovy funkce φ. Eulerova funkce φ je zobrazení z přrozených čísel do sebe takové, že φ(n) je počet kladných celých čísel, která jsou v ntervalu < 1,n > a jsou nesoudělná s n, tj. φ(n) je počet prvků v grupě Z n. Lemma 3.5. Mějme kladné přrozené číslo n takové, že Z n je cyklcká grupa. Pak a Z n je m-té resduum vzhledem k modn, kde m je kladné celé číslo, právě když a φ(n) d 1 mod n, kde d je největší společný děltel m a φ(n). Důkaz. Nechť g je generátor Z n a nechť a je m-té resduum vzhledem k modn. Pak exstuje celé číslo x takové, že x m a mod n. Tedy exstují kladná celá čísla u a v taková, že g u a mod n a g v x mod n. Odtud g mv g u mod n a to znamená, že mv u mod φ(n) (protože Z n je cyklcká, tak λ(n) = Z n = φ(n)). Nyní použjeme pomocné lemma. Pomocné lemma 3.6. Mějme celá čísla a, b a kladné celé číslo n. Označme d největšího společného děltele n a a. Pak exstuje celé číslo x takové, že ax b mod n, právě když d dělí b, a v tom případě je x určeno jednoznačně mod n d. Důkaz. Předpokládejme, že exstuje celé číslo x takové, že ax b mod n, pak exstuje celé číslo k takové, že ax kn = b. Odtud plyne, že největší společný děltel d čísel a a n musí dělt b. Naopak předpokládejme, že d dělí b. Pak z vlastností největšího společného děltele(a Eukldova algortmu pro jeho nalezení) exstují celá čísla x 0 a y 0 taková, že d = x 0 a+y 0 n. Pak pro c = b d platí ax 0c+ny 0 c = dc = b a stačí položt x = x 0 c a dostaneme, že ax b mod n. Abychom dokázal druhé tvrzení, předpokládejme, že x 0 a x 1 jsou celá čísla taková, že ax 0 b ax 1 mod n. Protože d dělí n a a, dostáváme a d x 0 a d x 1 mod n d. Z vlastností největšího společného děltele plyne, že a d a n jsou nesoudělná celá d čísla, a tedy můžeme rovnc vydělt číslem a d a dostaneme, že x 0 x 1 mod n d, a tedy druhé tvrzení platí. Položmedrovno největšímu společnému děltel m a φ(n), pak mv u mod φ(n) mplkuje, že d dělí u, a tedy a φ(n) d g uφ(n) d 1 mod n, protože φ(n) = λ(n). Naopakpředpokládejme, že a φ(n) d 1 mod n. Když a = g u pro generátor g cyklcké grupy Z uφ(n) n, pak g d 1 mod n. Odtud plyne, že u je celé číslo (opět používáme d 7

8 8 λ(n) = φ(n)). Pak podle Pomocného lemmatu 3.6 exstuje celé číslo k takové, že mk u mod φ(n). Odtud plyne, že (g k ) m g u a mod n, a tedy stačí položt x g k mod n a dostaneme, že x m a mod n. Jako důsledek dostaneme Eulerovo krterum. Důsledek 3.7. [18]Nechť p je lché prvočíslo. Pak (1) a je kvadratcké resduum modp, právě když a p 1 1 mod p; () a je kvadratcké non-resduum modp, právě když a p 1 1 mod p; (3) exstuje p 1 kvadratckých resduí a < 1,p 1 > a p 1 kvadratckých non-resduí a < 1,p 1 >. Důkaz. Z Malé Fermatovy věty (Věta 3.3) plyne, že a p 1 1 mod p. Protože celá čísla modulo prvočíslo tvoří těleso a protože v každém tělese platí základní věta algebry, tak rovnce x 1 mod p má jen dvě řešení, x = 1 nebo x = 1. Proto a p 1 1 mod p nebo a p 1 1 mod p a odtud plyne (1) a (). Podle stejného argumentu rovnce x p 1 1 mod p a x p 1 1 mod p mají v Z p 1 p nejvýše řešení. Jak bylo řečeno, rovnce x 1 mod p má v Z p jen dvě řešení, a to 1 a 1, ptoto z Malé Fermatovy věty plyne, že každé a Z p je buď řešením rovnce x p 1 1 mod p nebo x p 1 1 mod p. Nyní z toho, že Z p má právě p 1 prvků, dostáváme (3). Nyní budeme defnovat Legendreův symbol. Mějme celé číslo a a lché prvočíslo p. Pak Legendreův symbol ( a p) [6] je defnován takto 1 když a je kvadratcké resduum mod p, (a) = 1 když a je kvadratcké non-resduum mod p, p 0 když p dělí a. Nejprve uvedeme základní vlastnost Legendreova symbolu, a pak ho zobecníme na Jacobho symbol. Lemma 3.8. Nechť p a q jsou lchá prvočísla. Pak pro celá čísla a a b platí (1) ( ) p 1 a p a mod p, specálně ( ) ( 1 p = 1, právě když p 1 mod 4 a 1 ) p = 1, právě když p 3 mod 4; () ( a b ) ( p)( p = ab ) p ; (3) ( ( a p) = b p), když a b mod p; (4) ( ) a p = 1, když p nedělí a; (5) ( ) (p p = ( 1) 1) 8, tedy ( p) = 1, právě když p 1 mod 8 nebo p 7 mod 8 a ( p) = 1, právě když p 3 mod 8 nebo p 5 mod 8; ) = ( 1) p 1 (6) když p q, pak ( p q q)( p p q 3 mod 4, jnak ( ( p q) = q p). q 1, nebol ( p q) = ( q p), právě když ( ab p Důkaz. (1) plyne z Důsledku 3.7. Protože ( a b ) p 1 p 1 p)( p a b (ab) p 1 ) mod p, tak () je důsledkem (1). (3) plyne přímo z defnce. Z Malé Fermatovy věty plyne (4). (5) plyne z Gaussova lemmatu: pro a Z n označme µ(a) počet záporných čísel b z množny { p 1, p 3 p 1,..., 1,0,1,..., }

9 takových, že b c mod p pro nějaké c {a,a,3a,..., p 1 a}. Pak ( a p) = ( 1) µ(a). (6) se nazývá zákon kvadratcké recprocty a byl dokázán Gaussem. Opírá se o fakta z abstraktní algebry, pomocí nchž se pro dvě lchá prvočísla p a q ukáže ekvvalence tvrzení: p je kvadratcké resduum mod q; vynásobení číslem p v Z q je sudá permutace; ( 1) q 1 q je kvadratcké resduum mod p. Z toho pak dostaneme (6). Jacobho symbol je zobecněním Legendreova symbolu a je označován stejně jako Legendreův symbol. Jacobho symbol je defnován pro celé číslo a pro lché přrozené číslo n. Když n je prvočíslo, tak jeho hodnota se shoduje s hodnotou Legendreova symbolu, takže nedochází k žádným nesrovnalostem. Mějme celé číslo a a lché přrozené číslo n > 1 a nechť p 1 1,p,...,p k k je prvočíselný rozklad čísla n. Pak Jacobho symbol je [1] ( a n) = k j=1( a p j ) j, kde v součnu na pravé straně je Legendreův symbol. Když n = 1, pak ( a 1) = 1. Nejprve uvedeme základní vlastnost Jacobho symbolu, které jsou zobecněním Lemmatu 3.8 pro Legendreův symbol, a pak popíšeme algortmus pro nalezení hodnoty Jacobho symbolu. Lemma 3.9. Nechť n a m jsou lchá přrozená čísla a nechť a a b jsou celá čísla. Pak platí: (1) ( ) ( ab n = a )( b ) n n ; () ( ( a nm) = a a n)( m) ; (3) ( ( a n) = b n), když a b mod n; (4) ( ) n 1 1 n = ( 1) ; (5) ( ) n n = ( 1) 1 8 ; (6) když n a m jsou nesoudělná, pak ( n m)( m n ) = ( 1) n 1 m 1. Důkaz. Vlastnost (1), () a (3) plynou z defnce. Vlastnost (4), (5) a (6) plynou z Lemmatu 3.8, když se použje, že pro lchá čísla n 1,n,...,n k platí: k =1 k =1 ( n 1 ( n 1 8 k =1 ) n 1 k =1 ) n 1 8 mod, mod. Následující algortmus pro výpočet Jacobho symbolu je založen na kombnac Lemmatu 3.9 a dejích Eukldova algortmu pro nalezení největšího společného děltele. Algortmus [15,40] Vstup: celé číslo a a lché přrozené číslo n. f a < 0 nebo a n then a := a mod n endf (tj. 0 a < n) t := 1 whle a 0 do 9

10 10 whle a mod do a := a f n 3 mod 8 nebo n 5 mod 8 then t := t endf enddo vyměňme a a n f a n 3 mod 4 then t := t endf a := a mod n (tj. 0 a < n) enddo f n = 1 then Výstup: t else Výstup: 0 endf Konec Korektnost algortmu plyne z následujícího nvarantu, který je důsledkem Lemmatu 3.9: když a a n jsou hodnoty a a n po ukončení běhu některého whle-cyklu, pak platí ( ) ( a n = t a ) n (zde a a n jsou vstupy algortmu). Tedy dostáváme Věta Algortmus 3.10 korektně spočítá hodnotu Jacobho symbolu ( a n) a spotřebuje O((1+log a )logn) času. Důkaz. Korektnost algortmu plyne z popsaného nvarantu a z Lemmatu 3.9, a tedy zbývá odhadnout časovou složtost algortmu. První krok algortmu, výpočet a mod n, vyžaduje čas O(log n(1 + log a )) (použjeme klascký školní algortmus pro celočíselné dělení se zbytkem). Po jeho provedení můžeme předpokládat, že 0 a < n. Nyní budeme rekurzvně defnovat celá čísla a a n pro = 0,1,... Tato čísla popsují prác algortmu. Položme a 0 = a a n 0 = n. Když a a n jsou defnovány a a > 0, pak rekurzvně defnujme a = e +1 n +1, kde e +1 je maxmální přrozené číslo takové, že e +1 dělí a, n = q +1 n +1 +a +1, kde q +1 a a +1 jsou přrozená čísla a a +1 < n +1. Když a = 0, pak končíme. Zřejmě n je lché pro každé, pro které je defnováno. Platí n 0 > a 0 n 1 > a 1 n k > a k. Odhadneme velkost k. Když q je lché, pak a je sudé a n +1 a, když q je sudé, pak q a tedy n n 1. Tedy můžeme shrnout, že n +1 n 1, a odtud plyne, že k = O(log n). Všmněme s, že vnější whle-cyklus začíná s hodnotam a 0 a n 0 a -tý běh vnějšího whle-cyklu vypočítá hodnoty a a n, proto vnější whle-cyklus běží k-krát. Dále -tý běh vnějšího whle-cyklu vyžaduje čas (e +1)loga 1 +logq logn. Tedy algortmus vyžaduje čas O(logalogn+ k [ ] (e +1)loga 1 +logq logn ). =1 Indukcí lehce dostaneme, že pro každé = 0,1,...,k 1 platí n k j=+1 q j, a proto n k j=1 q j. Z toho plyne k logq logn logn 1 (k +log =1 k q ) = O((1+log a )logn) =1

11 k (použl jsme, že logn 1 loga 0 1+log a ). Protože e =1 a 0, dostáváme k (e +1)loga 1 loga 1 (k + =1 Tím je důkaz úplný. k e ) kloga 1 +logn 0 loga 0 = =1 O(logn(1+log(1+ a ))). K charakterzac prvočísel použjeme Lemma 3.8(1): když n je prvočíslo a a je nesoudělné s n, pak a n 1 ( a n) mod n. To vede k tomu, že pro lché přrozené číslo n defnujeme E n = {a Z n a n 1 ( a) mod n}. n Z Lemmatu 3.9(1) a z faktu, že a n 1 b n 1 = (ab) n 1, plyne, že E n je podgrupa Z n. Když n není prvočíslo, tak se E n nazývá grupou Eulerových lhářů. Solovay- Strassenův algortmus je založen na následujícím tvrzení. Tvrzení 3.1. [8,37]Lché číslo n 3 je prvočíslo, právě když E n = Z n. Důkaz. Z Lemmatu 3.8(1) plyne, že když n je prvočíslo, pak E n = Z n. Předpokládejme, že E n = Z n a n není prvočíslo. Pak pro každé a Z n platí an 1 ( a n) 1 mod n, a proto n je Carmchaelovo číslo. Z Lemmatu 3.4 plyne, že exstuje prvočíslo p a číslo r nesoudělné s p takové, že n = pr. Podle Důsledku 3.7(3) exstuje kvadratcké non-resduum q pro mod p. Podle Věty 3.1 exstuje celé číslo a takové, že 0 a < n, a q mod p a a 1 mod r. Podle Lemmatu 3.9() a (3) je (a n ) = (a p )(a r a protože E n = Z n, dostáváme, že a n 1 ) = (q p )(1) = ( 1)(1) = 1 r ( a) 1 mod n. n Protože r dělí n, tak také platí a n 1 1 mod r, ale to je spor, protože a 1 mod r mplkuje a n 1 1 mod r. Proto když n je lché a není prvočíslo, pak E n Z n. Tvrzení 3.1 vede k návrhu následujícího algortmu. Algortmus [8](Solovay-Strassenův algortmus) Vstup: přrozené číslo n f n = then Výstup: n je prvočíslo, konec endf f n < nebo n je sudé a n > then Výstup: n není prvočíslo, konec endf zvolme náhodně přrozené číslo a {1,,...,n 1} f a a n jsou soudělná then Výstup: n není prvočíslo else f a n 1 ( a n) mod n then 11

12 1 Výstup: n je prvočíslo else Výstup: n není prvočíslo endf endf Konec Pro zjštění, zda a a n jsou soudělná, použjeme Eukldův algortmus, pro výpočet ( a n) použjeme Algortmus 3.10 a pro výpočet a n 1 mod n použjeme následující rekursvní podproceduru Power(x, a, R) Vstup: číslo x, přrozené číslo a a okruh R, v kterém se realzuje násobení f a = 0 then Výstup: x a = 1 else f a je sudé then b := a, t := Power(x,b,R), t := t else b := a 1, t := Power(x,b,R), t := tx endf Výstup: x a = t endf Konec Korektnost podprocedury je zřejmá. Odtud plyne Věta Solovay-Strassenuův algortmus je pravděpodobnostní algortmus typu Monte Carlo řešící problém PRIME(n) v čase O(log 3 n) s chybou 1. Důkaz. Z předchozích argumentů plyne, že Solovay-Strassenův algortmus je pravděpodobnostní algortmus typu Monte Carlo řešící problém P RIM E(n) s chybou 1. Eukldůvalgortmuszjšťující, zdaaanjsousoudělná, vyžaduječaso(log n), algortmus pro výpočet ( a n) podle Věty 3.11 vyžaduje čas O(log n). Musíme odhadnout čas rekursvní podprocedury Power. Označme µ(r) čas potřebný pro násobení v okruhu R, pak podprocedura Power bez rekursvních volání vyžaduje O(µ(R)) času. Protože každé místo v bnárním zápse čísla a odpovídá nejvýše dvěma rekurzvním voláním podprocedury Power (přesněj, když je na -tém místě zleva 1, pak to odpovídá dvěma voláním, první změní 1 na 0 a druhé odstraní 0, když je na -tém místě 0, tak to odpovídá jednomu volání), dostáváme, že procedura Power vyžaduje O(µ(R)loga) času. Protože násobení v Z n vyžaduje čas O(log n) (standardní školní algortmus), tak podprocedura Power vyžaduje čas O(log 3 n). Tedy Solovay-Strassenův algortmus pracuje v čase O(log 3 n). Když bychom použl chytrý algortmus na násobení čísel, tak algortmus bude pracovat v čase O(log nloglognlogloglogn). Rabn-Mllerův algortmus V této část popíšeme pravděpodobnostní algortmus navržený Rabnem na základě Mllerova algortmu. Tento algortmus je založen na tomto postřehu. Když přrozené číslo n má k prvočíselných děltelů, pak 1 má k různých druhých odmocnn

13 z 1 v Z n. Tento fakt vede k defnc S n předpokládejme, že n 1 = s d, kde d je lché číslo, pak S n = {a Z n buď ad 1 mod n nebo a rd 1 mod n pro 0 r < s}. Když n není prvočíslo, pak prvky v S n se nazývají slní lhář. Následující lemma ukazuje korektnost tohoto pojmu. Důkaz je podle H. W. Lenstra a byl publkován v [9] Lemma [9]Nechť n 3 je lché přrozené číslo. Pak n je prvočíslo, právě když Z n = S n. Když n není prvočíslo, pak S n n 1 4. Důkaz. Předpokládejme, že n je prvočíslo a a Z n. Podle Malé Fermatovy věty (Věta 3.3) a n 1 1 mod n. Pak a n 1 1 mod n nebo a n 1 1 mod n, protože exstují přesně dva prvky x Z n takové, že x 1 mod n, a to x 1 mod n nebo x 1 mod n. V druhém případě a S n, v prvém případě buď s = 1 a a S n, nebo s a pak buď an mod n nebo a n mod n. V druhém případě a S n, v prvém případě buď s = a a S n a v opačném případě, tedy když s >, můžeme celý postup zopakovat. Tedy ndukcí podle velkost s dostaneme, že S n = Z n. Předpokládejme, že n 3 je lché, ale není prvočíslo. Nechť p e 1 1,pe,...,pe k k je prvočíselný rozklad n. Předpokládejme, že n 1 = s d, kde d je lché. Nechť j je takové největší přrozené číslo, že exstuje alespoň jedno b Z n, pro něž platí b j 1 mod n. Protože ( 1) 0 1 mod n, je j korektně defnováno a zřejmě platí 0 j < s. Položme m = j d a defnujme J ={a Z n an 1 1 mod n} K ={a Z n am ±1 mod p e } L ={a Z n am ±1 mod n} M ={a Z n am 1 mod n} Zřejmě M L K J Z n a M, L, K a J jsou podgrupy Z n. Nejprve s ukážeme, že S n L. Skutečně, když a S n, pak buď ad 1 mod n, ale pak a m 1 mod n, a tedy a L nebo a rd 1 mod n pro 0 r < s. Z defnce j plyne, že r j, a tedy a m ±1 mod n, a proto a L. Dále z defnce j plyne L \M (když b j 1 mod n, pak b m b jd (b j ) d ( 1) d 1 mod n, protože d je lché). Když a L takové, že a m 1 mod n pak pro x L platí x m 1 mod n, právě když ax M. Skutečně, když x m 1 mod n, pak (ax) m a m x m ( 1)( 1) 1 mod n, a tedy ax M. Když ax M, pak x m (a 1 ax) m (a 1 ) m (ax) m (a 1 ) m 1 (a 1 ) m mod n. Ale platí 1 (aa 1 ) m a m (a 1 ) m ( 1)(a 1 ) m mod n, a proto (a 1 ) m 1 mod n, a tedy x m 1 mod n. Z toho plyne, že L = M a 1 M, ale M = a 1 M a M a 1 M =. Proto L =. Protože b j 1 mod n mplkuje, M že b j 1 mod p e pro každé = 1,,...,k, a tedy b m 1 mod p e pro každé = 1,,...,k, dostaneme z Čínské věty o zbytcích (Věta 3.1), že pro každou posloupnost čísel c = {c } k =1 takovou, že c { 1,1} pro každé = 1,,...,k, exstuje x c K takové, že x m c 1 mod p e pro každé = 1,,...,k. Stačí vzít x c Z n takové, že x c b mod p e, když c = 1, a x c 1 mod p e, když c = 1. Pak x c je nesoudělné s n, tedy patří do Z n, a xm c b m c mod p e 13,

14 14 když c = 1, a x m c 1 m 1 c mod p e, když c = 1. Všmněme s, že pak 1 (x 1 c x c) m (x 1 c ) m (x c ) m (xc 1)m c mod p e prokaždé = 1,,...,k. Ztoho plyne, že (x 1 c ) m c mod p e pro každé = 1,,...,k. Protože x m 1 mod n mplkuje, že x m 1 mod p e pro každé = 1,,...k, tak dostáváme, že M je podgrupou K. Nyní ukážeme pro x K a pro posloupnost c = {c } k =0 složenou z 1 a 1, že x m c mod p e pro každé = 1,,...,k, právě když (x c x) M. Skutečně, když x m c mod p e, pak (x cx) m (x c ) m x m c c 1 mod p e pro každé = 1,,...,k a z Čínské věty o zbytcích (Věta 3.1) dostáváme, že (x cx) m 1 mod n, a tedy x c x M. Naopak, když x c x M, pak (x c x) m 1 mod p e mplkuje, že (x c x) m 1 mod p e pro každé = 1,,...,k. Nyní x m (x 1 c x c x) m (x 1 c ) m (x c x) m (x 1 c ) m 1 c mod p e pro každé = 1,,...,k. Odtud plyne, že K = x c M, kde sjednocení se bere přes všechny posloupnost c = {c } k =1 složené z 1 a 1. Protože M = x cm pro každou takovou posloupnost c z 1 a 1 a protože pro dvě různé posloupnost c a c složené z 1 a 1 platí x c M x c M =, dostáváme, že K = k M, protože posloupností c složených z 1 a 1 je k. Tedy K M = k, a odtud K L = k 1. Protože n 1 S n Z n S n Z n L Z n J K L, dostáváme, že když k >, pak n 1 S n 4. Když k =, pak podle Lemmatu 3.4 n nenícarmchaelovočíslo,atedy Z n J,aodtud n 1 K S n 4, protože L = k 1 =. Uvažme případ, že k = 1 a p 1 3 nebo e 1 (tj. n 9). Pak Z n = p e (p 1 1) a Z n je cyklcká grupa. Když g je generátor Z n, pak pro a Z n máme a J, právě když a = g pe Skutečně, když a = g l a a n 1 1 mod n, pak g l(n 1) 1 mod n, a to je právě když (p 1 1)p e dělí l(n 1) = l(p e 1 1 1). To nastane právě když p e dělí l, protože p 1 a n 1 = p e jsou nesoudělná. Z toho plyne, že J = (p 1 1), takže Z n J 4, a proto n 1 S n 4. Ve všech těchto případech Z n L 4, a tedy Z n S n protože S n L. Přímým ověřením zjstíme, že pro n = 9 platí S 9 = {1,8}, a tedy 8 S 9 = 4 a Z 9 S 9 (platí Z 9 = 6). Důkaz je hotov, protože n 1 S n 4 mplkuje n 1 4 S n. Poznámka. Všmněme s, že jsme dokázal, že když n není prvočíslo, pak exstuje vlastní podgrupa G grupy Z n taková, že S n G. Když n je součnem aspoň dvou prvočísel, pak stačí vzít G = L, a když n je mocnna prvočísla, pak podle Lemmatu 3.4 n není Carmchaelovo číslo, a tedy S n J a J je vlastní podgrupa Z n. Lemma 3.15 vede k návrhu následujícího pravděpodobnostního algortmu Algortmus [34,35](Rabn-Mllerův algortmus) Vstup: přrozené číslo n f n = then Výstup: n je prvočíslo, konec endf f n < nebo n je sudé a n > then Výstup: n není prvočíslo, konec endf nalezněme s a lché přrozené číslo d takové, že n 1 = s d zvolme náhodně přrozené číslo a {1,,...,n 1} a := a d

15 15 f a 1 mod n then Výstup: n je prvočíslo. konec endf = 0 whle < s a a 1 mod n do := +1, a := a enddo f a 1 mod n then Výstup: n je prvočíslo else Výstup: n není prvočíslo endf Konec Pro výpočet a d použjeme proceduru Power ze Solovay-Strassenova algortmu. Nalezení d a s, když n je v bnárním zápse, znamená provádět jen posuny. Věta Rabn-Mllerův algortmus je pravděpodobnostní Monte Carlo algortmus řešící problém PRIME(n) v čase O(log 3 n) s chybou 1 4. Důkaz. Z předchozích argumentů plyne, že Rabn-Mllerův algortmus je pravděpodobnostní algortmus typu Monte Carlo řešící problém PRIME(n) s chybou 1 4, vz Lemma Nalezení s a d vyžaduje čas O(log n). Protože výpočet whle-cyklu představuje vlastně výpočet a n 1 procedurou Power, tak algortmus spotřebuje O(log 3 n) času. Poznámka. Zde také platí stejně jako pro algortmus Solovay-Strassena, že když se použje chytrý algortmus pro násobení čísel, tak Rabn-Mllerů algortmus bude také vyžadovat čas O(log nloglognlogloglogn). Důsledky a souvslost Jednou ze základních otázek je rozdělení prvočísel. Jednu z možných odpovědí dává následující věta. Věta [9]Nechť p 1,p,... je rostoucí posloupnost všech prvočísel. Pak p ln pro každé přrozené číslo 1 a p (ln+lnln) pro každé přrozené číslo 6. Jný pohled je, když defnujeme π(n) jako počet prvočísel menších nebo rovných x n a chceme znát průběh této funkce. Už Čebyšev [13,14]dokázal, že π(n) = Θ( lnx ). Souvslost s řešením tohoto problému má Remannova hypotéza [36], která tvrdí, že reálná část kořenů Remannovy zeta funkce je 1. Platí Věta [3]Remannova hypotéza je ekvvalentní s tvrzením, že Dále se ukázalo, že π(x) = x dt lnt +O(x1 +ε ) pro každé ε > 0. Věta 3.0. [3]Za předpokladu Remannovy hypotézy platí π(x) = x dt lnt +O( xlnx). Pro náš problém hraje podstatnou rol její rozšíření motvované Drchletovým výsledkem

16 16 Věta 3.1. [16,17]Když a je nesoudělné s n, pak exstuje nekonečně mnoho prvočísel p takových, že p a mod n. Totovedlokdefncπ(x,n,a)jakopočtuprvočíselptakových,žep xazároveň platí p a mod n. La Vellée Poussn [39] ukázal analog Čebyševova odhadu, když x pro nesoudělná a a n ukázal, že π(x,a,n) = Θ( φ(n)lnx ), kde φ je Eulerova funkce (tj. φ(n) = Z n ). To vedlo k rozšíření Remannovy hypotézy. Tzv. Rozšířená Remannova hypotéza (krátce ERH) říká, že všechny kořeny Drchletový L-funkce s reálnou částí mez 0 a 1 mají reálnou část rovnou 1. Pak platí Věta 3.. [38]Když a a n jsou nesoudělná přrozená čísla, pak EHR je ekvvalentní s tvrzením, že pro každé ε > 0 platí π(x,n,a) = x dt lnt φ(n) +O(x1 +ε ). Lze také odvodt následující tvrzení o hustotě prvočísel Věta 3.3. [38]Za předpokladu ERH, když a a n jsou nesoudělná přrozená čísla, pak x dt lnt π(x,n,a)= φ(n) +O( x(lnx+lnn)). Pro nás hraje důležtou rol následující výsledek od Ankeny Věta 3.4. [7]Za předpokladu ERH exstuje číslo c takové, že pro každé lché n každá vlastní podgrupa grupy Z n neobsahuje nějaké číslo a Z n menší než cln n. Tento výsledek umožňuje za předpokladu ERH determnzovat Solovay-Strassenův algortmus. Místo náhodné volby a systematcky prohledáme všechna a menší než cln n a pokud test vždy projde, pak n je prvočíslo, v opačném případě n není prvočíslo. Tento algortmus vyžaduje čas O(log 5 n), tedy lepší čas než vyžadují známé determnstcké algortmy pro problém PRIME bez předpokladu ERH. Je zajímavé, že takto jednoduše nelze determnzovat Rabn-Mllerův algortmus, protože S n není podgrupa. Na druhé straně podle poznámky za Lemmatem 3.15, když n není prvočíslo, pak exstuje vlastní podgrupa L grupy Z n obsahující S n a podlevěty3.4stačítestovat jen cln nčísel, kdyžzvolenéčíslo aneleží v podgrupě L, pak není slný lhář, a tedy Rabn-Mllerův algortmus lze determnzovat. První verze Rabn-Mllerova algortmu prezentovaná Mllerem [31] byla determnstcká a pokud platí ERH, tak algortmus pracuje v polynomálním čase (byl navržen přímo bez determnzace). Na tuto pravděpodobnostní podobu upravl tento algortmus až Rabn. Na závěr srovnáme Solovay-Strassenův a Rabn-Mllerův algortmus. Rabn- Mllerův algortmus je rychlejší, protože kromě posunů v bnárním zápse n 1 počítá praktcky jen a n 1. Solovay-Strassenův algortmus navíc používá Eukldův algortmus a počítá ( a n). Rabn-Mllerův algortmus také počítá s menší chybou, protože každý slný lhář pro lché n, které není prvočíslo, je také Eulerův lhář. Tedy lepší odhad ve Větě 3.17 než ve Větě 3.14 není způsoben nepřesným počítáním. Tato část byla napsána podle prezentace v knze od Bacha a Shallta [9].

17 Determnstcký algortmus pro P RIM E Cílem této kaptoly bude prezentovat polynomální algortmus, který pro přrozené číslo n rozhodne, zda n je prvočíslo. Algortmus je založen na počítání s polynomy v okruzích Z n, proto každý uvažovaný polynom bude s celočíselným koefcenty. Nejprve rozvedeme teor těchto polynomů. Protože naším cílem je polynomální algortmus, kde vstup bude mít délku log n vzhledem k velkost čísla n, budou všechny uvažované logartmy o základu. Idea algortmu vychází z následující charakterzace prvočísel. Začneme s několka konvencem pro záps polynomů, které budeme dále používat. Budeme psát p q mod n pro polynomy p a q a přrozené číslo n > 1, když pro každé celé číslo x bude platt p(x) q(x) mod n (nebol p = q v okruhu Z n ). Když p, q a r jsou polynomy, pak budeme psát p q mod r, když p = q + kr nebo q = p + kr pro nějaký polynom k. Proto p mod q bude polynom, který je zbytkem př dělení polynomu p polynomem q. Tedy stupeň p mod q je nejvýše roven stupn polynomu p a je ostře menší než stupeň polynomu q. Specálně ( p q mod r ) mod n pro polynomy p, q a r a pro přrozené číslo n znamená, že pro každé přrozené číslo m platí: když m 1 = ( p mod r ) (m) a m = ( q mod r ) (m), pak m 1 m mod n. Věta 4.1. Nechť p > 1 je přrozené lché číslo. Pak následující tvrzení jsou ekvvalentní: (1) p je prvočíslo; () exstuje přrozené číslo a nesoudělné s p takové, že (x a) p (x p a) mod p; (3) pro každé přrozené číslo a nesoudělné s p platí (x a) p (x p a) mod p. Důkaz. Dokážeme 1) = 3). Podle bnomcké věty koefcent polynomu (x a) p u x pro 0 p je ( 1) p ( p ( ) a p. Když p je prvočíslo a 0 < < p, pak p dělí p ), a tedy koefcent u x v polynomu (x a) p je 0 modulo p. Pro = 0 podle Malé Fermatovy věty platí ( 1) p 0( p 0) a p 0 = ( a) p a mod p. Pro = p platí ( 1) p p( p p) a p p = 1, a tedy (x a) p x p a mod p. Dokázal jsme mplkac 1) = 3). Implkace 3) = ) je zřejmá. Ukážeme mplkac ) = 1). Předpokládejme, že p není prvočíslo. Pak exstuje prvočíslo q, které dělí p, a nechť k je největší přrozené číslo takové, že q k dělí p. Pak q k nedělí ( p q). Skutečně, ( ) p = q q 1 =0 (p ), q! aprotožeq jeprovočísloadělíp,takq nedělíp pro = 1,,...,q 1. Pakq k nedělí p q, a tedy an ( ) p q. Protože a je nesoudělné s p, je také nesoudělné s q, a proto a p q je nesoudělné s q. Odtud q k nedělí ( ) p q a p q, a tedy an p nedělí ( 1) p q( p q) a p q. Proto koefcent u x q v polynomu (x a) p je různý od 0 modulo p a protože 0 < q < p, dostáváme, že (x a) p (x p a) mod p (polynom (x a) p x p + a je polynom stupně alespoň q, a tedy je různý od nulového polynomu). Odtud dostáváme mplkac ) = 1). Když budeme chtít použít přímo tuto vlastnost pro algortmus řešící P RIM E, pak musíme spočítat všechny koefcenty polynomu (x a) p mod p. Těchto koefcentů je p+1, a proto to vyžaduje čas Θ(p). Takže tuto větu nemůžeme použít 17

18 18 přímo. Naším cílem bude ukázat, že za jstých okolností stačí počítat jen koefcenty polynomu (x a) p mod (x r 1), kde r bude prot n malé číslo. Abychom to dokázal, budeme potřebovat několk technckých lemmat. Začneme s odhadem velkost specálních nejmenších společných násobků. Lemma 4.. Pro každé m 7 je velkost nejmenšího společného násobku čísel,3,...,m aspoň m. Důkaz. Nechť m > 1 je přrozené číslo. Označme n m nejmenší násobek čísel,3,...,m a pro k = 1,,...,m defnujme I k = 1 Podle bnomcké věty dostáváme m k ( m k (1 x) m k = a tedy =0 1 1 I k = x k 1 (1 x) m k dx = 0 0 m k ) 1 =0 ( 1) ( m k 0 0 x k 1 (1 x) m k dx. ) ( x) 1 m k = m k x k 1 x k+ 1 dx = =0 m k =0 m k =0 ( m k ( m k ) ( x), ) ( x) dx = ( 1) ( m k ) 1 k +. Protože k k+ m pro = 0,1,...,m k, dostáváme, že k+ dělí n m, a proto n m I k je celé číslo pro každé k = 1,,...,m. Nyní zntegrujeme per partes I k a dostaneme I k = [ xk k (1 x)m k ] m k k Rekurzvním dosazováním dostaneme Protože I k = m k I k+1 = m k k k I m = m k 1 k +1 x m 1 (1 x) m m dx = x k (1 x) m k 1 dx = m k I k+1. I k+ = = (m k)!(k 1)! I m. (m 1)! 1 0 x m 1 dx = 1 m, platí I k = (m k)!(k 1)! = 1 (m k)!k! = 1 m! k m! k ( m). k Protože I k n m = n m k( m k) je celé číslo, tak k( m k) dělí nm pro všechna přrozená čísla m a 1 k m. Specálně m ( ) m m dělí nm a (m +1) ( m+1 m+1) dělí nm+1 pro každé přrozené číslo m. Z defnce bnomálních čísel plyne ( ) m+1 (m+1) =(m+1) (m+1)! m+1 (m+1)!m! = (m+1)! (m!) = (m+1) (m)! ( ) m (m!) = (m+1), m k

19 takže (m + 1) ( ) m m dělí nm+1. Protože m ( m m) dělí nm a n m dělí n m+1, dostáváme, že m ( m m) dělí nm+1, a protože m a m + 1 jsou nesoudělné čísla, tak dostáváme, že m(m+1) ( m m) dělí nm+1. Z 4 m = m = m =0 ( ) ( ) m m (m+1) m plyne n m+1 m(m+1) ( m m) m4 m. Odtud pro m plyne n m+1 4 m = m+1 19 a pro m 4 plyne n m+ n m+1 44 m = m+. Protože 8 = 51, alenejmenší společný násobek čísel,3,4,5,6,7,8je = 840, dostáváme, že pro m 7 platí n m m. Na základě tohoto lemmatu dokážeme další techncké lemma, které nám umožní nalézt polynom h malého stupně a rovnost (x a) p x p a mod p redukovat na rovnost (x a) p x p a mod h mod p (to značí, že pro každé x Z p platí [(x a) p mod h](x) [(x p a) mod h](x) mod p). Lemma 4.3. Pro lché n 1 exstuje r takové, že 1 < r log 5 n a buď r dělí s n nebo r a n jsou nesoudělné a o r (n) > log n. Důkaz. Protože 3 log 5 3 a 5 log 5 5, tak stačí vyšetřovat n 7 a můžeme použít Lemma4.. Dálemůžemepředpokládat,ževšechna přrozenáčísla,3,..., log 5 n jsou nesoudělná s n, protože jnak exstuje r =,3,..., log 5 n takové, že dělí n a tvrzení platí. Nechť a 1,a,...,a t je prostá posloupnost všech přrozených čísel z množny {,3,..., log 5 n } takových, že o a (n) log n (protože a je nesoudělné s n, tak platí n mod a Z a, a tedy o a (n) je defnováno). Podle defnce pro každé = 1,,...,t exstuje j log n takové, že n j 1 mod a, a proto a dělí n j 1. Položme log n b = (n 1), =1 pak n j 1 je děltel b a tedy a dělí b. Proto nejmenší společný násobek čísel a 1,a,...,a t dělí b. Protože platí log n =1 (1+log n)(+log n) = log4 n+3log n+ a protože pro n 5 platí log 4 n log4 n+3log n+ = log4 n 3log n log n(log n 3) log n > 0, =

20 0 tak dostávéme b = log n =1 (n 1) < log n =1 n = n log n =1 < n log4 n = log5 n, protožen = logn. Kdyby{a 1,a,...,a t }bylaposloupnostvšechpřrozenýchčíselz ntervalu <, log 5 >, pak podle Lemmatu 4. je jejch nejmenší společný násobek alespoň log5 n, a to je spor. Proto buď exstuje v ntervalu <, log5 n > přrozené číslo r, které dělí n nebo přrozené číslo r nesoudělné s n a o r (n) > log n. V další část textu předpokládáme, že je dané lché přrozené číslo n, přrozené číslo r takové, že je nesoudělné s n a r log 5 n a o r (n) > log n, a prvočíslo p, které dělí n, o r (p) > 1 a p > r (může platt n = p). Všmněme s, že pro dostatečně velké přrozené číslo n takové r exstuje, a podle Věty 4.1, když n je prvočíslo, pak pro každé přrozené a z ntervalu < 1,n > platí ( (x a) n (x n a) mod (x r 1) ) mod n. Protože o r (n) > log n, tak exstuje prvočíslo p, které dělí n a o r (p ) > 1, takže podstatný předpoklad je, že r < p. Protože p dělí n a n a r jsou nesoudělná, tak p a r jsou nesoudělná. Položme l = φ(r)logn, kde φ je Eulerova funkce (tj. φ(n) je počet přrozených čísel a takových, že 0 < a < n a a a n jsou nesoudělná čísla). Nechť I je množna všech přrozených čísel m takových, že pro každé přrozené čślo a takové, že 0 < a l, platí ( (x a) m x m a mod (x r 1) ) mod p. Následující lemmata ukazují důležté vlastnost množny I. Lemma 4.4. I je uzavřená vůč násobení. Důkaz. Zvolme přrozené číslo a takové, že 0 < a l. Mějme m 1,m I g. Pak platí ( (x a) m x m a mod (x r 1) ) mod p a použtím substtuce y = x m 1 dostaneme, že ( (x m 1 a) m x m 1m a mod (x m1r 1) ) mod p. Protože (x r 1) m 1 1 =0 x r = x m1r 1, tak dostáváme ( (x m 1 a) m x m 1m a mod (x r 1) ) mod p. Nyní z ( (x a) m 1 x m 1 a mod (x r 1) ) mod p plyne ( (x a) m 1 m (x m 1 a) m x m 1m a mod (x r 1) ) mod p, a tedy m 1 m I g. Ze zobecnění Malé Fermatovy věty víme, že n φ(r) 1 mod r, kde φ(r) je Eulerova funkce. Protože o r (n) > log n, dostáváme o r (n) dělí φ(r), odtud plyne a tedy Toto využje následující lemma. log n < o r (n) φ(r) r 1, l = φ(r)logn < r r = r < p.

21 Lemma 4.5. Když n I, pak p, n p I. Důkaz. Položme q = n p. Z předpokladu plyne, že pro každé přrozené číslo a takové, že 0 < a l, platí ( (x a) n x n a mod (x r 1) ) mod p. Z Věty 4.1 plyne, že pro každé a Z p platí (x a) p x p a mod p a protože l < p, tak p I. Dále ( (x p a) q (x a) pq (x a) n x n a mod (x r 1) ) mod p. Když q / I, pak q 1 ( (x a) q x q + α x mod (x r 1) ) mod p, =0 kde α 0 pro nějaké = 1,,...,r 1. Pak ale ( q 1 (x n a) (x p a) q x pq + α x p mod (x r 1) ) mod p, a to je spor s tím, že n I, protože α 0 pro nějaké = 1,,...,r 1. =0 Lemma 4.6. Když f a g jsou polynomy a m > 1 je přrozené číslo takové, že (f(x)) m f(x m ) mod p a (g(x)) m g(x m ) mod p, pak (f g(x)) m f g(x m ) mod p. Důkaz. Zřejmě platí (f g(x)) m (f(x)) m (g(x)) m f(x m ) g(x m ) (f g(x m )) mod p. Nyní s přpomeneme některá fakta o cyklotomckých polynomech, která lze najít na nternetu nebo v monograf [30]. Je známé, že kořeny polynomu x m 1 pro přrozené číslo m > 1 v tělese komplexních čísel jsou komplexní čísla e π k m pro k = 0,1,...,m 1. Tato čísla spolu s násobením tvoří cyklckou grupu a e π k m je generátorem této grupy, právě když k je nesoudělné s m. Když k je nesoudělné s m, pak e π k m se se nazýva m-tou prmtvní odmocnnou z 1 a hraje důležtou rol v rychlé dskrétní Fourerové transformac. Polynom Φ m (x) = {(x e π k m ) k = 1,,...,m 1, k a m jsou nesoudělná} se nazývá m-tý cyklotomckýpolynom. Koefcenty Φ m jsou celá čísla a jeho stupeň je φ(m) a Φ m dělí polynom x m 1. Když a je vícenásobný kořen polynomu f, pak a je kořen jeho dervace, ale žádný kořen polynomu x m 1 není kořenem mx m 1. Proto všechny kořeny polynomu x m 1 jsou jednonásobné (v každém tělese). Tedy Φ m má v každém tělese jen jednonásobné kořeny. Dále Φ m = xm 1 f, kde f je polynom, který je nejmenším společným násobkem polynomů x d 1, kde d dělí m. Přpomínáme, že polynom h s rreducblní v okruhu O, když neexstují polynomyf ag stupně menšího nežstupeňhtakové, žef g = hvokruhuo. Kdyžpolynom h je rreducblní faktor polynomu Φ m v Z q, kde q je prvočíslo, pak stupeň h je o m (q). Tato fakta dále použjeme, ale nejprve s přpomeneme základní výsledky o podílových tělesech. 1

22 Lemma 4.7. [30]Nechť q je prvočíslo a h je rreducblní polynom v Z q stupně d, kde d. Pak podílové těleso Z q [x]/h je konečné těleso o velkost q d s cyklckou multplkatvní grupou, které je extenzí Z p o polynom h. Zafxujme s některý rreducblní faktor h polynomu Φ r v Z p a uvažujme těleso Z p [x]/h. Dále nechť q = n p, nechť P je množna polynomů {(x a) m a a {0,1,...,l}, m a 0 je přrozené číslo} a nechť G = {(f mod h) mod p f P}. Pak G je podgrupa multplkatvní grupy Z p [x]/h. Přpomínáme, že dva polynomy f a g nad Z p odpovídají stejnému polynomu v Z p [x]/h, právě když f g mod h. Protože p q jsou nesoudělná s r, tak H = {p q j mod r,j 0} tvoří podgrupu Z r. Označme t velkost H. Všmněme s, že H I. Nyní nalezneme horní a dolní odhad na velkost grupy G. Z toho nám vyplyne, že když n nebude prvočíslo a když nalezneme r a p požadovaných vlastností, pak n bude mocnna prvočísla p. Nejprve s všmněme, že polynom h dělí Φ r a Φ r dělí polynom x r 1, proto x r 1 mod h, a tedy x je r-tá odmocnna 1 v Z p /h. Lemma 4.8. Když f,g P jsou dva různé polynomy, které mají stupeň menší než t, pak f mod h a g mod h jsou různé polynomy v grupě G. Důkaz. Předpokládejme opak. Nechť f, g P jsou polynomy, které nesplňují tvrzení lemmatu, tedy stupně f g jsou menší než t a f g mod h. Pak f(x) m g(x) m mod h pro každé přrozené číslo m. Podle Lemmatu 4.6 pro každé m I platí ( f(x) m f(x m ) mod (x r 1) ) mod pa ( g(x) m g(x m ) mod (x r 1) ) mod p. Protože h dělí x r 1, dostáváme, že ( f(x m ) g(x m ) mod h ) mod p. Defnujme polynom k = f g, pak polynom k má stupeň menší než t, ale x m je kořen k v tělese Z p /h pro každé m I. Když n I, pak podle Lemmatu 4.5 p,q = n p I a podle Lemmatu 4.4 p q j I pro každé,j 0. Tedy x p q j je kořen polynomu k v tělese Z p /h. Všmněme s, že když ukážeme, že q j a x xp p q j jsou různé prvky Z p /h, jakmle p q j a p q j jsou různé prvky v grupě H, pak dostáváme spor se Základní větou algebry, protože stupeň k je menší než t, ale má alespoň t kořenů v Z p /h. Odtud plyne, že f g mod h, a tedy f mod h a g mod h jsou různé prvky v G. To bude spor a důkaz bude hotov. Z defnce grupy H plyne,že p q j a p q j jsou stejné prvky v grupě H, právě když p q j p q j mod r. Dále x p q j a x p q j jsou stejné prvky Z p/h, právě když x p q j x p q j mod h, atojeprávěkdyžhdělíx p q j x p q j. Bezújmy naobecnost můžeme předpokládat, že m 1 = p q j > m = p q j a že x p q j x p q j mod h. Proto h dělí x m (x m 1 m 1). Protože 0 není kořen h, tak z toho plyne, že h dělí x m 1 m 1. Když h dělí x m 1 a také dělí x m 1 pro m < m, pak h také dělí x m 1 x m + 1 = x m (x m m 1) a stejným obratem dostáváme, že h dělí x m m 1. Z defnce h víme, že h dělí x r 1. Ukážeme, že neexstuje s takové, že 1 s < r takové, že h dělí x s 1. Z toho dostaneme, že m 1 m je násobek r nebol m 1 m mod r. Předpokládejme, že exstuje s takové, že 1 s < r takové, že h dělí x s 1 a nechť s je nejmenší takové, že h dělí x s 1 a 1 s < r. Opakovaním předchozího postupu dostaneme postupně, že h dělí x r s 1, x r s 1, x r 3s 1, atd. Tedy buď nalezneme 1 s < s takové, že h dělí