[转帖]产生素数的算法

lckboy

Solovag-Strasson
Robert Solovag和Volker Strasson开发了一种概率的基本测试算法。这个算法使用了雅可比函数来测试p是否为素数：

+ Q2 e' [! E8 m（1） 选择一个小于p的随机数a。
（2） 如果GCD（a,p）<>1，那么p通不过测试，它是合数。
（3） 计算j=a^(p-1)/2 mod p。
; Z7 Y! \5 A' V; [（4） 计算雅可比符号J（a,p）。
+ N7 S; S& _5 x# {（5） 如果j<>J（a,p），那么p肯定不是素数。
（6） 如果j=J(a,p),那麽p不是素数的可能性值多是50%
" K1 n  \' a' [. \+ P$ l6 h. \
数a被称为一个证据，如果a不能确定p，p肯定不是素数。如果p是合数。随机数a是证据的概率不小于50%。对a选择t个不同的随机值，重复t次这种测试。p通过所有t次测试后，它是合数的可能性不超过1/2^t。
  l4 I' G0 u4 N' o
Lehmann
5 f+ A4 ^! w2 D: x% k& ^8 H另一种更简单的测试是由Lehmann独自研究的。下面是它的测试算法：
' c5 d- \( s0 T3 Z. Z
' P0 {+ u9 x& L6 d（1） 选择一个小于p的随机数a。
& p2 ]# [2 s! i（2） 计算a^(p-1)/2 mod p
1 b, O4 H4 e" {（3） 如果a^(p-1)/2<>1或-1（mod p），那么p肯定不是素数。
0 q; A9 m# z# T% v7 @（4） 如果a^(p-1)/2=1或-1（mod p），那麽p不是素数的可能性值多是50%
' |8 Q" Y, h; \6 a7 A( J
+ P3 F' u3 I8 [& W同样，重复t次，那麽p可能是素数所冒的错误风险不超过1/2^t。
' W+ m+ F% G& U. j
Rabin-Miller
  Q1 H& ]3 w5 `& n- B; v% j% |" ~这是个很容易且广泛使用的简单算法，它基于Gary Miller的部分象法，有Michael Rabin发展。事实上，这是在NIST的DSS建议中推荐的算法的一个简化版。

首先选择一个代测的随机数p，计算b，b是2整除p-1的次数。然后计算m，使得n=1+(2^b)m。

& f, o3 g' z% e, W- \) G（1） 选择一个小于p的随机数a。
" p- R) W) Z. G2 ]6 ?% R9 N（2） 设j=0且z=a^m mod p
+ _' y  U3 n( F（3） 如果z=1或z=p-1，那麽p通过测试，可能使素数
" \9 y, u! B; S  r& r. U( A9 B7 W（4） 如果j>0且z=1, 那麽p不是素数
( w2 n: _/ V) D5 ~( j（5） 设j=j+1。如果j<b且z<>p-1,设z=z^2 mod p，然后回到(4)。如果z=p-1，那麽p通过测试，可能为素数。
（6） 如果j=b 且z<>p-1，不是素数
7 V& I& R( A- B/ m$ W5 n
3 B6 r6 k2 X* u- x' [% N这个测试较前一个速度快。数a被当成证据的概率为75%。这意味着当迭代次数为t时，它产生一个假的素数所花费的时间不超过1/4^t。实际上，对大多数随机数，几乎99.99%肯定a是证据。
& ~/ P9 n/ I6 k3 k# J5 {: w  i. Y
7 w. @! O3 K% M9 W' j0 z实际考虑：
7 ?; g: ?4 Z+ ?在实际算法，产生素数是很快的。
& @" w, ~2 @( G
（1） 产生一个n-位的随机数p
（2） 设高位和低位为1（设高位是为了保证位数，设低位是为了保证位奇数）
（3） 检查以确保p不能被任何小素数整除：如3，5，7，11等等。有效的方法是测试小于2000的素数。使用字轮方法更快
/ f2 h& k! Z/ S（4） 对某随机数a运行Rabin-Miller检测，如果p通过，则另外产生一个随机数a,在测试。选取较小的a值，以保证速度。做5次 Rabin-Miller测试如果p在其中失败，从新产生p，再测试。
8 E% J' |  r2 t: F
  J+ ]- v6 k* ?: n& [: z! P( s, ~
在Sparc II上实现： 2 .8秒产生一个256位的素数
5 b2 Y# j& q% z; S, L- o9 O24.0秒产生一个512位的素数
1 ^' U  J9 j. e8 D. Y, b7 \2分钟产生一个768位的素数
- N' h, v) u8 q0 X% Z5.1分钟产生一个1024位的素数