Der Miller-Rabin-Test oder Miller-Selfridge-Rabin-Test (kurz MRT) ist ein probabilistischer Primzahltest und damit ein Algorithmus aus dem mathematischen Teilgebiet Zahlentheorie, insbesondere der algorithmischen Zahlentheorie.

Der MRT erhält als Eingabe eine ungerade natürliche Zahl ${\displaystyle n\geq 5}$, von der man wissen will, ob sie prim ist, und eine weitere Zahl ${\displaystyle a\in \{2,3,4,\dotsc ,n-2\}}$ und gibt entweder „zusammengesetzt“ oder „wahrscheinlich prim“ aus. Ist ${\displaystyle n}$ prim, so lautet die Ausgabe immer „wahrscheinlich prim“. Anderenfalls wird in den meisten Fällen „zusammengesetzt“ ausgegeben, aber für manche Paare ${\displaystyle n,a}$ mit zusammengesetztem ${\displaystyle n}$ ist die Ausgabe trotzdem „wahrscheinlich prim“.

Oft wird ${\displaystyle a}$ zufällig gewählt, der MRT zählt in dieser Form zur Klasse der Monte-Carlo-Algorithmen. Durch wiederholtes Testen mit verschiedenen ${\displaystyle a}$ kann die Wahrscheinlichkeit eines Irrtums beliebig klein gehalten werden. Es gibt deterministische Varianten des MRT, bei denen durch geeignete Wahl der ${\displaystyle a}$ ein Irrtum ausgeschlossen wird.

Der MRT ist nach Gary L. Miller und Michael O. Rabin benannt.^[1] John L. Selfridge hat diesen Test schon 1974 verwendet, bevor Rabin ihn 1976 veröffentlichte. Daher rührt der alternative Name Miller-Selfridge-Rabin-Test.^[2]

Der MRT funktioniert ähnlich wie der Solovay-Strassen-Test, ist diesem allerdings in allen Aspekten überlegen. Er ist schneller, seine Irrtumswahrscheinlichkeit ist geringer, und alle Paare ${\displaystyle n}$,${\displaystyle a}$, für die der Solovay-Strassen-Test die richtige Ausgabe liefert, werden auch vom MRT richtig erkannt.

Es sei ${\displaystyle n}$ eine ungerade Zahl, von der festgestellt werden soll, ob sie eine Primzahl ist. Zuerst berechnet man ${\displaystyle j}$ und ${\displaystyle d}$ (ungerade) so, dass

${\displaystyle n-1=2^{j}\cdot d}$.

Dann wählt man eine Zahl ${\displaystyle a}$ aus der Menge ${\displaystyle \{2,3,\dotsc ,n-2\}}$. Der nächste Schritt ist ein Test, den nur Primzahlen und starke Pseudoprimzahlen (zur Basis ${\displaystyle a}$) bestehen: Man prüft, ob entweder

${\displaystyle a^{d}\equiv 1{\pmod {n}}}$

oder

${\displaystyle a^{2^{r}\cdot d}\equiv -1{\pmod {n}}}$ für ein ${\displaystyle r}$ mit ${\displaystyle 0\leq r<j}$

gilt. Für eine Primzahl ${\displaystyle n}$ ist dies stets der Fall. Wenn die Bedingung nicht erfüllt ist, muss also ${\displaystyle n}$ zusammengesetzt sein. Die Bedingung wird jedoch auch von einigen Zahlenpaaren ${\displaystyle n}$,${\displaystyle a}$ mit zusammengesetztem ${\displaystyle n}$ erfüllt, so dass der Test die Zusammengesetztheit von ${\displaystyle n}$ mit diesem ${\displaystyle a}$ nicht zeigt. Dann heißt ${\displaystyle n}$ eine starke Pseudoprimzahl zur Basis ${\displaystyle a}$.

Man betrachtet die Folge

${\displaystyle (a^{d},a^{2d},a^{4d},\ldots ,a^{2^{j-1}d},a^{2^{j}d})}$,

In der jedes Element das Quadrat seines Vorgängers ist. Die Elemente werden modulo ${\displaystyle n}$ berechnet.

Ist ${\displaystyle n}$ eine Primzahl, dann gilt nach dem kleinen fermatschen Satz

${\displaystyle a^{2^{j}d}=a^{n-1}\equiv 1{\pmod {n}}}$

und obige Folge hat deshalb 1 als letztes Element.

Für Primzahlen ${\displaystyle n}$ ist der Vorgänger einer 1 in der Folge immer kongruent zu 1 oder zu −1:

${\displaystyle {\begin{aligned}x^{2}\equiv 1{\pmod {n}}&\Leftrightarrow x^{2}-1\equiv 0{\pmod {n}}\\&\Leftrightarrow n|x^{2}-1\\&\Leftrightarrow n|(x-1)(x+1)\\&\Leftrightarrow n|(x-1)\quad {\text{oder}}\quad n|(x+1)\\&\Leftrightarrow x-1\equiv 0{\pmod {n}}\quad {\text{oder}}\quad x+1\equiv 0{\pmod {n}}\\&\Leftrightarrow x\equiv 1{\pmod {n}}\quad {\text{oder}}\quad x\equiv -1{\pmod {n}}\\\end{aligned}}}$

Die Folge besteht dann also entweder nur aus Einsen, oder sie enthält ${\displaystyle n-1}$ (was sich bei modulo-n-Rechnung für einen Wert kongruent zu −1 ergibt), worauf wegen ${\displaystyle (n-1)^{2}\equiv 1}$ Einsen folgen. Wenn die Folge nicht diese Form hat, muss ${\displaystyle n}$ zusammengesetzt sein.

Man prüft, ob die Folge mit 1 beginnt oder ob ${\displaystyle n-1}$ spätestens als vorletztes Element auftritt. Ist dies der Fall, ist ${\displaystyle n}$ entweder prim oder eine starke Pseudoprimzahl zur Basis ${\displaystyle a}$, und es wird „möglicherweise prim“ ausgegeben. Ansonsten kann ${\displaystyle n}$ nicht prim sein, und der Algorithmus gibt „zusammengesetzt“ aus. Man kann die Berechnung abbrechen, wenn ${\displaystyle 0}$ oder ${\displaystyle 1}$ ohne vorhergehendes ${\displaystyle n-1}$ auftritt, denn danach kann nur noch ${\displaystyle 0}$ bzw. ${\displaystyle 1}$ kommen.

Ist ${\displaystyle n\geq 5}$ ungerade und nicht prim, so enthält die Menge ${\displaystyle \{2,3,\ldots ,n-2\}}$ höchstens ${\displaystyle {\tfrac {n-3}{4}}}$ Elemente ${\displaystyle a}$ mit ${\displaystyle \operatorname {ggT} (a,n)=1}$, die keine Zeugen für die Zusammengesetztheit von ${\displaystyle n}$ sind. Ist ${\displaystyle g=\operatorname {ggT} (a,n)>1}$, dann wird immer ${\displaystyle a^{x}\equiv kg{\pmod {n}}}$ für ein ${\displaystyle k\in \mathbb {N} }$ sein, und ${\displaystyle n}$ wird als zusammengesetzt erkannt.

Ist ein zusammengesetztes ungerades ${\displaystyle n}$ gegeben und wählt man zufällig ein ${\displaystyle a}$ aus ${\displaystyle \{2,3,\ldots ,n-2\}}$, dann ist somit die Wahrscheinlichkeit, dass das Ergebnis „wahrscheinlich prim“ lautet, kleiner als ${\displaystyle {\tfrac {1}{4}}}$. Wiederholt man den Test mehrfach für verschiedene voneinander unabhängig gewählte ${\displaystyle a}$ aus dieser Menge, sinkt die Wahrscheinlichkeit weiter ab. Nach ${\displaystyle s}$ Schritten ist die Wahrscheinlichkeit, eine zusammengesetzte Zahl für prim zu halten, kleiner als ${\displaystyle ({\tfrac {1}{4}})^{s}}$, also z. B. nach vier Schritten kleiner als 0,4 % und nach zehn Schritten kleiner als ${\displaystyle 10^{-6}}$.

Das ist eine pessimistische Schätzung, die von den „problematischsten“ Werten für ${\displaystyle n}$ ausgeht. Für die meisten zusammengesetzten ${\displaystyle n}$ ist der Anteil der Basen, die ein falsches Ergebnis liefern, erheblich kleiner als ${\displaystyle {\tfrac {1}{4}}}$, und für viele ist er sogar 0.

Der Miller-Rabin-Algorithmus kann deterministisch angewendet werden, indem alle Basen in einer bestimmten Menge getestet werden (Beispiel: wenn n < 9.080.191, dann ist es ausreichend a = 31 und 73 zu testen, siehe unten).

Wenn das getestete ${\displaystyle n}$ zusammengesetzt ist, sind diejenigen zu ${\displaystyle n}$ teilerfremden Zahlen ${\displaystyle a}$, die keine Zeugen für die Zusammengesetztheit von n sind, in einer echten Untergruppe von ${\displaystyle \left(\mathbb {Z} /n\mathbb {Z} \right)^{*}}$ enthalten. Dies bedeutet, dass beim Testen aller ${\displaystyle a}$ aus einer Menge, die ${\displaystyle \left(\mathbb {Z} /n\mathbb {Z} \right)^{*}}$ erzeugt, eines der ${\displaystyle a}$ ein Zeuge für das Zusammengesetztsein von ${\displaystyle n}$ ist. Wenn angenommen wird, dass die Riemannsche Vermutung wahr ist, dann folgt daraus, dass die Gruppe durch ihre Elemente kleiner O((log n)²) generiert wird, was bereits im Algorithmus von Miller angeführt wurde.^[3] Die Konstante in der Landau-Notation wurde von Eric Bach auf 2 reduziert.^[4] Deshalb erhält man einen deterministischen Primzahltest, wenn alle ${\displaystyle a\in \{2,\ldots ,\min(n-1,\lfloor 2(\ln n)^{2}\rfloor )\}}$ getestet werden. Die Laufzeit dieses Algorithmus ist O((log n)⁴).

Wenn die Zahl ${\displaystyle n}$ klein ist, ist es nicht notwendig, alle ${\displaystyle a}$ bis ${\displaystyle 2(\ln n)^{2}}$ zu testen, da bekannt ist, dass eine viel kleinere Anzahl ausreichend ist.

Beispielsweise wurde folgendes verifiziert:

Dabei dürfen nur solche ${\displaystyle n}$ getestet werden, die größer sind als das jeweils größte angegebene ${\displaystyle a}$.

Für das letzte Beispiel ist die Schranke ${\displaystyle a\leq \lfloor 2\cdot (\ln n)^{2}\rfloor =6325}$. Daran ist zu erkennen, wie viel eingespart wird, indem nur die Primzahlen bis 41 verwendet werden.

Siehe auch die Prime Pages,^[9] Miller-Rabin SPRP bases records,^[10] Zhang/Tang^[11] und ebenso die Folge A014233^[12] in OEIS zu anderen Kriterien ähnlicher Art. Auf diese Weise hat man sehr schnelle deterministische Primzahltests für Zahlen im geeigneten Bereich, ohne auf unbewiesene Annahmen zurückgreifen zu müssen.

Diese C++-Implementierung kann alle Zahlen kleiner ${\displaystyle 2^{32}}$ behandeln:

#include <cstdint>

using u32 = std::uint32_t;
using u64 = std::uint64_t;

bool wahrscheinlich_prim(const u32 n, const u32 a)  // n ungerade, 2 <= a <= n-2
{
    u32 d = (n-1) / 2, j = 1;
    while (d % 2 == 0) 
        d /= 2, ++j;

    // berechne p = a^d mod n mit der binären Exponentiation:
    u64 p = a, q = a;
    while (d /= 2) {
        q = q * q % n;
        if (d % 2) p = p * q % n;
    }

    if (p == 1 || p == n-1)
        return true;  // n ist wahrscheinlich prim

    while (--j > 0 && p > 1) {
        p = p * p % n;
        if (p == n-1) return true;
    }
    return false;  // n ist nicht prim
}

Primzahltests werden vor allem in der Kryptographie benötigt. Ein typisches Beispiel ist die Schlüsselerstellung für das RSA-Kryptosystem, hierfür werden mehrere große Primzahlen benötigt. Zwar wurde im Jahr 2002 mit dem AKS-Primzahltest erstmals ein beweisbar deterministischer, in polynomialer Zeit laufender Primzahltest vorgestellt. Dessen Laufzeit ist jedoch für praktische Anwendungen meist zu hoch, weswegen für Kryptographie-Software meist immer noch der Miller-Rabin-Test eingesetzt wird. Dabei ist es zwar theoretisch möglich, dass eine zusammengesetzte Zahl als Primzahl genutzt wird, die Wahrscheinlichkeit ist jedoch so gering, dass es in der Praxis keine Rolle spielt.

• Johannes Buchmann: Einführung in die Kryptographie. 2. Auflage. Springer, 2001, S. 108–111
• Karpfinger, Kiechle: Kryptologie, Algebraische Methoden und Algorithmen. Vieweg+Teubner, 2010, S. 147–152, mit vollständigen Beweisen

• Eric W. Weisstein: Miller-Rabin-Test. In: MathWorld (englisch).

1. ↑ M. O. Rabin: Probabilistic algorithms. In: J. F. Traub (ed.): Algorithms and complexity. Academic Press 1976, S. 21–39, speziell S. 35/36, zum Teil nach Ideen von Miller
2. ↑ Song Y. Yan: Number theory for computing. 2. Auflage. Springer, 2002, S. 208–214
3. ↑ Gary L. Miller: Riemann’s Hypothesis and Tests for Primality. In: Journal of Computer and System Sciences 13 (1976), no. 3, pp. 300–317.
4. ↑ Eric Bach: Explicit bounds for primality testing and related problems, Mathematics of Computation 55 (1990), no. 191, pp. 355–380.
5. ↑ Carl Pomerance, John L. Selfridge, Samuel Wagstaff: The pseudoprimes to 25·10⁹. In: Mathematics of Computation. Band 35, 1980, S. 1003–1026, doi:10.1090/S0025-5718-1980-0572872-7 (englisch). 
6. ↑ ^{a b} Gerhard Jaeschke: On strong pseudoprimes to several bases. In: Mathematics of Computation. Band 61, 1993, S. 915–926, doi:10.2307/2153262 (englisch). 
7. ↑ Yupeng Jiang and Yingpu Deng: Strong pseudoprimes to the first eight prime bases. In: Mathematics of Computation. Band 83, 2014, S. 2915–2924, doi:10.1090/S0025-5718-2014-02830-5 (englisch). 
8. ↑ Jonathan Sorenson, Jonathan Webster: Strong pseudoprimes to twelve prime bases. In: Mathematics of Computation. Band 86, 2017, S. 985–1003, doi:10.1090/mcom/3134, arxiv:1509.00864 [math] (englisch). 
9. ↑ Prime Pages der University of Tennessee at Martin
10. ↑ Miller-Rabin SPRP bases records
11. ↑ Zhenxiang Zhang, Min Tang: Finding strong pseudoprimes to several bases. II. In: Math. Comp. 72 (2003), S. 2085–2097
12. ↑ Die Folge A014233 in OEIS