Security Akademeia

誊肌 †

誊肌
付幌傅
- 燎眶pの付幌傅
- 赖腊眶mの付幌傅
付幌傅と傅の疤眶の簇犯
付幌傅の赂哼
付幌傅の改眶
- 付幌傅の充圭
付幌傅の簇犯する年妄
付幌傅の栏喇アルゴリズム
- 付幌傅の冉年アルゴリズム
徊雇矢弗

↑

付幌傅 †

　フェルマ〖の井年妄より、燎眶pに滦して、(a,p)=1ならば $a^{p-1}~\equiv~1~\,~\pmod{p}$ が喇り惟つ。

　しかしながら、p-1よりも井さなkで $a^k~\equiv~1~\,~\pmod{p}$ を塔たすような眶aもあるかもしれない。

　このようにaをk捐して介めて恕pの坤肠で1になる、篓ち $a^k~\equiv~1~\,~\pmod{p}$ を塔たすkを、pを恕とするaの疤眶∈order∷と钙ぶ。これを肌のように今く。

$ord_p~(a)~=k$

↑

燎眶pの付幌傅 †

[年盗]p¨燎眶とする。
このとき、 $ord_p~(g)=p-1$ となるgを、pの付幌傅∈付幌含ˇ栏喇傅∷という。

　つまり、gをp-1捐して介めて1になるような傅のことである。

毋¨p=5

$ord_5~(2)=4$
$ord_5~(3)=4$
$ord_5~(4)=2$

　付幌傅はp-1となる猛aということなので、4∈♂p-1=5-1)となる猛は2と3である∈崇柑の面の猛が付幌傅と承えておけばよい∷。つまり、 $Z_5^*$ の付幌傅は2,3ということになる。

[废]p¨燎眶とする。
≈a¨付幌傅∽⑼≈ $ord_p~(g)=p-1$ ∽

↑

赖腊眶mの付幌傅 †

　办忍に、涩ずしも燎眶でない赖腊眶m、mと燎なaに滦して、肌が喇り惟つ。

$a^{\phi(m)}~\equiv~1~\pmod{m}$

　これをオイラ〖の年妄と钙ぶのであった。

　黎ほどと票屯に雇えて、aを部捐かすると恕mの坤肠で1になる。

　そこで、 $a^k~\equiv~1~\pmod{m}$ が喇り惟つような呵井の赖腊眶kを、mに簇するaの疤眶という。これを $ord_m(a)$ と山淡する。

　そして、赖腊眶mに滦しても付幌傅が年盗できる。

[年盗] $ord_m(g)=\phi(m)$ を塔たすgを、mの付幌傅と钙ぶ。

毋¨4の付幌傅は々

　まず、 $\phi(4)~=~\sharp~\{~1,3~\}~=2$ である。

　付幌傅の铬输は1,2,3であり、それらが $\phi(4)~=~2$ 捐したときに1になるものが4の付幌傅である。

1の眷圭
- 汤らかに1捐の箕爬で1になっているから付幌傅ではない。
2の眷圭
- 21=2
- 22=4⑨0 (mod 4)で办羹に1に办米しない。
3の眷圭
- 31=3
- 32=9⑨1 (mod 4)で1に办米する。

　ゆえに、4の付幌傅は3のみである。　〓

↑

付幌傅と傅の疤眶の簇犯 †

　付幌傅は傅の疤眶と泰儡な簇犯を积っている。

[年妄]瘩燎眶pに簇するaの疤眶q∈=ordp(a)∷は、p-1の腆眶である。
篓ち、 $q|p-1$

[雇弧]

[沮汤]秦妄恕を脱いる。疤眶 $q(=ord_p(a))$ がp-1を充り磊らないと簿年する。すると、 $p-1=k~\times~q~+r~\,(0~<~r~<~q)$ と今ける。

　また、肌のような纷换ができる。

$1$
$\equiv~a^{p-1}~\pmod{p}$ 　∈㈣フェルマ〖の井年妄∷
$\equiv~a^{k~\times~q~+~r}$
$\equiv~a^{k~\times~q}~\cdot~a^r$
$\equiv~a^r$ 　∈㈣傅の疤眶の年盗より、 $a^q~\equiv~1~\pmod{p}$ ∷

　よって、 $a^r~\equiv~1~\pmod{p}$ が喇り惟つ。

　しかし、r°qであるが、qの呵井拉∈疤眶の年盗∷に瓤するので谭解。

　ゆえに、疤眶 $q(=ord_p(a))$ はp-1を充り磊る。　ⅱ

↑

付幌傅の赂哼 †

　恕が燎眶べきのときに、付幌傅が赂哼することを绩す。

[年妄]n=pe、pは瘩燎眶、e℃1のとき、恕nに簇する付幌傅が赂哼する。

[沮汤]

[1]e=1のとき、[年妄]≈pが燎眶のとき、恕pに簇する付幌傅が赂哼する∽より、玛罢が喇り惟つ。

[2]e′1のとき

恕pe-1に簇する付幌傅が赂哼すると簿年して、恕peに簇する付幌傅が赂哼することを绩す。

簿年と∈赖腊眶mの∷付幌傅の年盗より、 $ord_{p^{e-1}}(a)=\phi(p^{e-1})$ を塔たす腊眶aが赂哼する。
これは肌のように鸥倡できる。

$ord_{p^{e-1}}(a)~=~\phi(p^{e-1})$
$ord_{p^{e-1}}(a)~=~(p-1)p^{e-2}$ 　∈㈣オイラ〖簇眶の拉剂∷

よって、[年妄]≈nが极脸眶、aをnと高いに燎な腊眶とする。このとき、肌は票猛である。
[1] $ord_n(a)~=~s$
[2]笆布の2掘凤が喇り惟つ。
(a)sは极脸眶で、 $a^s~\equiv~1~\pmod{n}$
(b) $a^m~\equiv~1~\pmod{n}$ ならば、mはsの擒眶である∽より、肌が喇り惟つ。

$n=p^{e-1},~s=(p-1)p^{e-2}$
(a)sは极脸眶で、 $a^s~\equiv~1~\pmod{n}$
(b) $a^m~\equiv~1~\pmod{n}$ ならば、mはsの擒眶である。　(*)

また、恕peに簇するaの疤眶をmとすると、肌が喇り惟つ。

$a^m~\equiv~1~\pmod{p^e}$
$a^m~\equiv~1~\pmod{p^{e-1}}$ 　∈㈣???∷　(**)

つまり、(*),(**)より、恕peに簇するaの疤眶であるmはsの擒眶、篓ちmは $(p-1)p^{e-2}$ の擒眶である。

办数、[废]≈ $ord_n(a)$ はφ(n)の腆眶である∽より、恕peに簇するaの疤眶は、 $\phi(p^e)~=~(p-1)p^{e-1}$ の腆眶である。

よって、恕peに簇するaの疤眶は、 $(p-1)p^{e-2}$ の擒眶、かつ $(p-1)p^{e-1}$ の腆眶である。
つまり、恕peに簇するaの疤眶は、 $(p-1)p^{e-2}~\,~or~\,~(p-1)p^{e-1}$ である。

(i)恕peに簇するaの疤眶が $(p-1)p^{e-1}(=\phi(p^e))$ の眷圭、aが恕peに簇する付幌傅である。

(ii)恕peに簇するaの疤眶が $(p-1)p^{e-2}$ の眷圭

[年妄]≈nを极脸眶とする。
(1) $ord_n(a)=s,(e′0)$ のとき、 $ord_n(a^e)~=~\frac{s}{d}$ である。ただし、dはsとeの呵络给腆眶である。
(2) $ord_n(a)=s,ord_n(b)=t,(s,t)=1$ のとき、 $ord_n(ab)=st$ である∽の(1)より、肌が喇り惟つ。

eがかぶっているので、年妄娄をe'とした。
$n=p^e$
$e'=p^{e-2}$
$s=ord_n(a)=ord_{p^e}(a)=\phi(p^e)=(p-1)p^{e-1}$
　(***)
- ∈焊收∷♂ $ord_n(a^e')~=~ord_{p^e}(a^{p^{e-2}})$
- ∈宝收∷♂
  - $GCD(s,e')=GCD((p-1)p^{e-1},~p^{e-2})~=~(p-1)p^{e-2}$

ここで、 $ord_{p^e}(1+p)=p^{e-1}$ が绩されれば、(p-1,pe-1)=1なので、惧淡年妄の(2)と(***)より、肌が喇り惟つ。

$ord_{p^e}(a^{p^{e-2}}~\cdot~(1+p))~=~(p-1)~\cdot~p^{e-1}$

つまり、 $(p-1)~p^{e-1}=\phi(p^e)$ より、peの付幌傅は赂哼し、 $a^{p^{e-2}}(1+p)$ の付幌傅である。

稿は、 $ord_{p^e}(1+p)=p^{e-1}$ を绩す。

$(1+p)^{p^{e-1}}~\equiv~1~+~p^{e}~\pmod{p^{e+1}}$ 　∈㈣[年妄]≈pが瘩燎眶、e℃1のとき、肌が喇り惟つ。 $(1+p)^{p^e}~\equiv~1~+~p^{e+1}~\pmod{p^{e+2}}$ ∽より∷
$(1+p)^{p^{e-1}}~\equiv~1~\pmod{p^e}$

よって、[年妄]≈nが极脸眶、aをnと高いに燎な腊眶とする。このとき、肌は票猛である。
[1] $ord_n(a)~=~s$
[2]笆布の2掘凤が喇り惟つ。
(a)sは极脸眶で、 $a^s~\equiv~1~\pmod{n}$
(b) $a^m~\equiv~1~\pmod{n}$ ならば、mはsの擒眶である∽の[2]より、肌が喇り惟つ。

$a=1+p,~n=p^e,~m=~p^{e-1}$
$s=~ord_n(a)=ord_{p^e}~(1+p)$
はの擒眶である。
- 篓ち、 $ord_{p^e}(1+p)$ はpe-1の腆眶である。

そこで、肌のようにおく。

$ord_{p^e}(1+p)=p^m,~(1~\le~m~\le~e-1)$
$(1+p)^{p^m}~\equiv~1~\pmod{p^e}$ 　∈㈣傅の疤眶の年盗∷

ここでm°e-1であると簿年すると、肌のように鸥倡を渴めることができる。

$(1+p)^{p^m}~\equiv~1~\pmod{p^e}$
$(1+p)^{p^m}~\equiv~1~\pmod{p^{m+2}}$ 　∈㈣m°e-1より、m+2″e∷
$1+p^{m+1}~\equiv~1~\pmod{p^{m+2}}$ 　∈㈣[年妄]≈pが瘩燎眶、e℃1のとき、肌が喇り惟つ。 $(1+p)^{p^e}~\equiv~1~+~p^{e+1}~\pmod{p^{e+2}}$ ∽より∷
$p^{m+1}~\equiv~0~\pmod{p^{m+2}}$

これは谭解する。
よって、m=e-1である。
したがって、 $ord_{p^e}(1+p)=p^e=p^{e-1}$ が喇り惟つ。　ⅱ

　肌に、nが2のべきの眷圭を雇える。

[年妄]n=2e、e℃3、aが瘩眶のときに、肌が喇り惟つ。
$ord_{2^e}(a)~\le~2^{e-2}$

[沮汤]

[1]e=3の眷圭、 $ord_{2^3}(a)~\le~2^{3-2}$ 、篓ち $ord_{8}(a)~\le~2$ を绩す。

すべてのaについて、傅の疤眶を误刁すると肌の奶りである。

$ord_8(1)=1$
$ord_8(3)=2$
$ord_8(5)=2$
$ord_8(7)=2$

いずれも2笆布であり、、玛罢が喇り惟つ。

[2]e′3の眷圭

$ord_{2^{e-1}}(a)~\le~2^{e-3}$ と簿年する。
このとき、肌が喇り惟つ。

$ord_{2^{e-1}}(a)~\le~2^{e-3}$ 　∈㈣簿年∷
$a^{2^{e-3}}~\equiv~1~\pmod{2^{e-1}}$
$a^{2^{e-3}}~=~1~+~b2^{e-1},~(\exist~b~\in~\mathbb{Z})$ 　(*)

このとき、 $a^{2^{e-2}}$ は肌のように鸥倡できる。

$a^{2^{e-2}}$
$=~(a^{2^{e-3}})^2$
$=~(1~+~b2^{e-1})^2$ 　∈㈣(*)∷
$=~1~+~b2^e~+~b^2~2^{2e-2}$
$\equiv~1~\pmod{e^2}$ 　∈㈣e′3∷

[年妄]≈≈ $a^s~\equiv~1~\pmod{n}$ ∽⑼≈ $ord_n(a)~|~s$ ∽∽より、 $ord_{2^e}~(a)~\le~2^{e-2}$ である。
したがって、、玛罢が喇り惟つ。　ⅱ

[年妄]nがpe,2pe,∈pは瘩燎眶、e℃1∷,1,2,4のときのみ、恕nに簇する付幌傅が赂哼する。

[沮汤]

[1]n=1のとき

$ord_1(1)=1$

办数、 $\phi(1)=1$ であり、 $ord_1(a)=1$ を塔たすa=1が付幌傅である。

[2]n=2のとき

$ord_2(1)=1$

办数、 $\phi(2)=1$ であり、 $ord_2(a)=1$ を塔たすa=1が付幌傅である。

[3]n=4のとき

$ord_4(1)=1$
$ord_4(3)=2$

办数、 $\phi(4)=2$ であり、 $ord_4(a)=2$ を塔たすa=3が付幌傅である。

[4]n=pe∈pは燎眶、e℃1∷のとき

[年妄]≈n=pe、pは瘩燎眶、e℃1のとき、恕nに簇する付幌傅が赂哼する∽から汤らかである。

[5]n=2pe∈pは瘩燎眶、e℃1∷のとき

[4]より、恕peに簇する付幌傅が赂哼し、付幌傅をaとすると、肌が喇り惟つ。

$\phi(p^e)$
$=~ord_{p^e}(a)$ 　∈㈣恕peに簇する付幌傅が赂哼し、付幌傅をaとする∷
$\le~ord_{2p^e}(a)$ 　∈㈣傅の疤眶の年盗より∷
$\le~\phi(2p^e)$ 　∈㈣[年妄]≈nが极脸眶、aをnと高いに燎な腊眶とする。このとき、肌は票猛である。
[1] $ord_n(a)~=~s$
[2]笆布の2掘凤が喇り惟つ。
(a)sは极脸眶で、 $a^s~\equiv~1~\pmod{n}$
(b) $a^m~\equiv~1~\pmod{n}$ ならば、mはsの擒眶である∽∷

ここで、 $\phi(p^e)~=~\phi(2p^e)$ なので、 $ord_{2p^e}(a)~=~\phi(2p^e)$ となり、aは恕n=2peに簇する付幌傅である。

[6]それ笆嘲のとき

[年妄]≈m1,m2を2より络きな高いに燎なし极脸眶とし、n=m1m2とする。
このとき、nと高いに燎な腊眶aについて、肌が喇り惟つ。
$ord_n(a)~\le~\frac{\phi(n)}{2}$ ∽より、n=m1m2∈m1,m2は3笆惧の高いに燎な极脸眶∷のときは、撅に $ord_n(a)~\le~\frac{\phi(n)}{2}$ が喇り惟つ∽より、 $ord_n(a)~\not{=}~\phi(n)$ になり、付幌傅は赂哼しない。　ⅱ

↑

付幌傅の改眶 †

　 $Z_5^*$ の改眶は2改であることは澄千した。このようにすべての付幌傅を拇べて改眶をカウントするのでは箕粗がかかる。悸は、付幌傅には改眶に簇する肌のような年妄が喇り惟つ。

[年妄]pを瘩燎眶とする。このとき、 $Z_p^*=\{~g^0,g^1,~\cdots~,g^{p-2}~~\}$ の付幌傅、篓ちpの付幌傅はφ(p-1)改である。ただし、φ(ˇ)はオイラ〖簇眶である。

[囱弧]年妄を沮汤する涟に、眶猛毋で年妄の屡碰拉を澄千してみる。

　p=19のとき、pの付幌傅∈φ(p)=p-1捐ではじめて1になるもの∷は、2,3,10,13,14,15の6改である。

　办数、φ(p-1)=φ(19-1)=φ(18)=φ(2ˇ32)=18(1-1/2)(1-1/3)=6

　よって、∈pの付幌傅の改眶∷♂φ(p-1)♂6が喇り惟つことが囱弧できた。

[沮汤] $ord_p~(g^k)~=~\frac{p-1}{(k,p-1)}$

　また、≈gk¨付幌傅∽⑽≈(k,p-1)=1∽

　よって、付幌傅の眶♂φ∈p-1)になる。　ⅱ

[侍沮]d|p-1として、疤眶dである腊眶bが赂哼したとする。

　すると、 $b^d~\equiv~1~\pmod{p}~\wedge~b^k~\not{\equiv}~1~\pmod{p}~\wedge~k~<~d$ が喇り惟つ。

　よって、mod pでbのべき捐を侯ると、

$1,b,b^2,\cdots,~b^{d-1}$ 　∧(*)

となる。

　これらはすべてd捐すると、1に办米する∈㈣ $(b^j)^d~\equiv~(b^d)^j~\equiv~1~\pmod{p}$ ∷。

　よって、数镍及 $x^d~\equiv~1~\pmod{p}$ の含であり、ラグランジュの年妄より、d肌の圭票数镍及の豺の改眶はdを亩えないので、(*)がすべてである。

　肌に、(*)の面で≈疤眶がdである眶∽の改眶を拇べる。ここで、bjの疤眶をeとおく。

　すると、 $b^{je}~\equiv~(b^j)^e~\equiv~1~\pmod{p}$ より、 $ord_p~(b)~|je$ ∈㈣[年妄]≈m¨赖腊眶、(a,m)=1とする。このとき、 $a^d~\equiv~1~\pmod{m}$ ならば、 $ord_m~(a)~|d$ ∽より∷

$ord_p~(b)~|je$
$d|je$ ∈㈣沮汤呵介の簿年より、 $ord_p~(b)~=~d$ ∷
$je~\equiv~0~\pmod{d}$
$j_1~ge~\equiv~0~\pmod{g~d_1}$ ∈㈣(j,d)=g,j/g=j1,d/g=d1,(j1,d1)=1とおく∷
$j_1~e~\equiv~0~\pmod{d_1}$ ∈㈣尉收をdで充った∷
$e~\equiv~0~\pmod{d_1}$ 　∧(**)∈㈣(j1,d1)=1の觉斗で尉收をj1で充った∷

　戮数、bの疤眶はdより、

$(b^j)^{d_1}$
$=~b^{jd_1}$
$=~b^{gj_1~d_1$ ∈㈣j=gj1∷
$=~b^{j_1~d}$ ∈㈣gd1=d∷
$=~(b^d)^{j_1}$
$\equiv~1~\pmod{p}$

¤ $Ind_p~(b^j)~|~d_1$
$e|~d_1$ ∈㈣bjの疤眶をeとおいていたので∷
$d_1~\equiv~0~\pmod{e}$ 　∧(***)

　(**)(***)より、e=d1である。

　よって、

$ord_p~(~b^j~)$
$=e$ ∈㈣簿年∷
$=d_1$ ∈㈣ $e=~d_1$ ∷
$=\frac{d}{g}$
$=\frac{d}{(j,d)}$

　bjの疤眶がdとなるための掘凤は、j°dより、(j,d)=1である。

$b^0=1,b^1,b^2,\cdots,b^j,\cdots,b^{d-1}$

のうちで、この掘凤を塔たすものは $\phi(d)$ 改である。

　jはp-1のどの腆眶 $d_1,d_2,\cdots,d_k$ についても票屯である。

d1はφ(d1)改
∧
dkはφ(dk)改

　泼に、疤眶p-1となる眶、篓ちpの付幌傅はφ(p-1)改である。　ⅱ

[雇弧] $Z_n^*$ で雇えると、それに崔まれる付幌傅はφ(φ(n))になる。まず $Z_n^*$ の妥燎の改眶はφ(n)になり、それにφを纷换するので、链挛としてφ(φ(n))改になる。　〓

　笆惧のことから、付幌傅は链挛の眶から斧てもたくさんあることがわかる。 $Z_p^*$ は妥燎眶がp-1改なので、その面の付幌傅はφ(p-1)改になる。毋えば、p=7で雇えると、肌のように付幌傅の改眶を纷换できる。

$\phi(7-1)=\phi(6)=\phi(2~\cdot~3)=\phi(2)\phi(3)=1~\cdot~2=2$

　ところで、 $\phi(d_1)~+~\phi(d_1)~+~\cdots~+~\phi(d_k)~=~p-1$ が喇り惟つ。

　p=19のとき、p-1=18の腆眶を疤眶に积つ改眶を拇べる。

#(疤眶が1の改眶)=#{1}=1	φ(1)=1
#(疤眶が2の改眶)=#{18}=1	φ(2)=1
#(疤眶が3の改眶)=#{7,11}=1	φ(3)=2
#(疤眶が6の改眶)=#{8,12}=1	φ(6)=2
#(疤眶が9の改眶)=#{4,5,6,9,16,17}=1	φ(9)=6
#(疤眶が18の改眶)=#{2,3,10,13,14,15}=1	φ(18)=6

　山の焊の误の眶の下は18であり、宝の误の下の下は18になり、办米していること澄千できる。

↑

付幌傅の充圭 †

　φ(n)はnによって佰なるが、士堆すると $\frac{6n}{\pi^2}$ ∈⑩0.6∷という祸悸がある[HW79]。よって、φ(φ(n))は士堆すると腆0.36ということになる。つまり、链挛の36%が付幌傅として艰れるということである。

↑

付幌傅の簇犯する年妄 †

[年妄]
p¨燎眶、g¨ $Z_p^*$ の付幌傅とする。
このとき、 $a_{i}~=g^{i}~\,~(mod~\,~p)~\,(i=0,\cdots,p-2)$ とおくと、肌が喇り惟つ。
$\{~a_0,a_1,\cdots,a_{p-2}~\}=~\{1,2,\cdots,p-1~\}$

[沮汤]眷圭尸けして雇える。

[1]⒓を绩す。

$a_i~\in~\{~1,\cdots,p-1~\}$ であるから、 $\{~a_0,a_1,\cdots,a_{p-2}~\}~\subseteq~\{1,2,\cdots,p-1~\}$ は汤らかに喇り惟つ。

[2]⒔を绩す。

$\{~a_0,a_1,\cdots,a_{p-2}~\}~\supseteq~\{1,2,\cdots,p-1~\}$ を绩すためには、 $|\{~a_0,a_1,\cdots,a_{p-2}~\}~|=p-1$ を绩せばよい。

　ここで、称aiがすべて佰なれば、 $|\{~a_0,a_1,\cdots,a_{p-2}~\}~|=p-1$ が喇り惟つ。そこで、≈i♀j∽⑼≈ai♀aj∽を绩せればよい。

　秦妄恕を脱いる。簿にあるi′jに滦して、≈gi (mod p)=g j (mod p)∽が喇り惟つと簿年すると、(g,p)=1より $g^{i-j}~\equiv~1~\,~(mod~\,~p)$ が评られる。

　この焊收の回眶婶は0°i-j°p-1となる。しかし、これはgの疤眶がp-1であることに瓤する。よって、谭解が栏じる。　ⅱ

毋¨肌の掘凤のときで雇える。

p=5
$Z_5~=~\{~0,1,2,3,4~\}$
$Z_5^*~=~\{~1,2,3,4~\}$
付幌傅 $g~\in~Z_5^*$
g=2,3

[1]g=2のとき

a0⑨g0⑨20⑨1 (mod 5)
a1⑨g1⑨21⑨2 (mod 5)
a2⑨g2⑨22⑨4 (mod 5)
a3⑨g3⑨23⑨8⑨3 (mod 5)

　よって、{a0,a1,a2,a3}={1,2,4,3}={1,2,3,4}が喇り惟っていることがわかる。

[2]g=3のとき

a0⑨g0⑨30⑨1 (mod 5)
a1⑨g1⑨31⑨3 (mod 5)
a2⑨g2⑨32⑨4 (mod 5)
a3⑨g3⑨33⑨27⑨2 (mod 5)

　よって、{a0,a1,a2,a3}={1,3,4,2}={1,2,3,4}が喇り惟っていることがわかる。

　いずれにしても、gの猛がいずれにしても年妄が涩ず喇惟することが澄かめられた。

↑

付幌傅の栏喇アルゴリズム †

　芭规の坤肠では付幌傅が宠迢する。そのためコンピュ〖タで跟唯弄に付幌傅を栏喇する涩妥が栏じる。毋えば、ElGamal芭规などにおいては、络きな燎眶pに滦して、 $Z_p^*$ の付幌傅gを栏喇する涩妥がある。

　燎搜なアプロ〖チは链眶玫瑚である。まず、 $g~\in~Z_p^*$ をランダムに联び、肌にそれが付幌傅かどうかを冉年すればよい。付幌傅の年盗から、 $g~\not{\equiv}~1,~g^2~\not{\equiv}~1,\cdots,~g^{p-2}~\not{\equiv}~1~\,~(mod~\,~p)$ が喇り惟てば、gは付幌傅である。しかし、この数恕ではpκの纷换翁がかかってしまう∈κ¨ビット眶∷。回眶箕粗の纷换翁ではチュ〖リングマシンにとって跟唯弄ではない。

　そのため、驴灌及箕粗で付幌傅を冉年するような跟唯のよい数恕を雇えなければならない。冉年アルゴリズムが跟唯弄ならば、ランダムに联买するのも跟唯弄なので、栏喇という链挛で斧ても跟唯弄になる。

↑

付幌傅の冉年アルゴリズム †

[输玛]
p-1が $p-1=~q_0^{e_0}~q_1^{e_1}~\cdots~q_t^{e_t}$ と燎傍眶尸豺されたとする。このとき、肌が喇り惟つ。
≈gがmod pの付幌傅である∽⑽≈ $0~\le~\forall~i~\le~t;~g^{\frac{p-1}{q_i}}~\not{\equiv}~1~\,~(mod~\,~p)$ ∈∧(*)∷∽