Коли тест первинності AKS насправді швидший, ніж інші тести?

Я намагаюся скласти уявлення про те, як слід інтерпретувати тест первинності AKS, коли я дізнаюся про нього, наприклад, слідство для доказу PRIMES ⊆ P або фактично практичний алгоритм тестування первинності на комп’ютерах.

Тест має поліноміальне виконання, але з високим ступенем та можливими високими константами. Отже, у практичній мові, при якій $n$ вона перевершує інші тести на первинність? Тут $n$ - кількість розрядів простих ліній, а "перевершення" посилається на приблизний час виконання тестів на типових архітектурах комп'ютерів.

Мене цікавлять функціонально порівнянні алгоритми, тобто детерміновані, які не потребують гіпотез для коректності.

Окрім того, чи використовується такий тест порівняно з іншими практичними, враховуючи вимоги до пам'яті тесту?

Швидка відповідь: Ніколи, для практичних цілей. Наразі це не має жодного практичного використання.

Спочатку давайте відокремимо «практичну» перевірку на композитивність від підтвердження первинності. Перший досить хороший майже для всіх цілей, хоча існують різні рівні тестування, які люди вважають адекватними. Для чисел під 2 ^ 64 для детермінованої відповіді потрібно не більше 7 тестів Міллера-Рабіна або одного тесту BPSW. Це буде набагато швидше, ніж AKS, і буде таким же правильним у всіх випадках. Для чисел, що перевищують 2 ^ 64, BPSW - хороший вибір, де деякі додаткові тести Міллера-Рабіна з випадковою базою додають додаткової впевненості за дуже невеликі витрати. Майже всі методи доказування розпочнуться (або вони повинні) з такого тесту, оскільки це дешево і означає, що ми робимо лише наполегливу роботу над числами, які майже напевно є простими.

Переходимо до доказів. У кожному випадку отриманий доказ не потребує домислів, тому їх можна функціонально порівняти. "Готча" APR-CL полягає в тому, що він не зовсім поліноміальний, а "готча" ECPP / fastECPP полягає в тому, що можуть існувати числа, що займають більше часу, ніж очікувалося.

На графіку ми бачимо дві реалізації AKS з відкритим кодом - перша - з паперу v6, друга - вдосконалення від Bernstein та Voloch та хороша евристика r / s від Bornemann. Вони використовують бінарну сегментацію в GMP для множення поліномів, тому є досить ефективними, а використання пам'яті не є проблемою для розмірів, що розглядаються тут. Вони дають хороші прямі лінії з нахилом ~ 6,4 на графіку журналу журналу, що чудово. Але екстраполяція до 1000 цифр надходить приблизно у сотні тисяч мільйонів років, порівняно з декількома хвилинами для APR-CL та ECPP. Існують додаткові оптимізації, які можна зробити з документа Бернштейна 2002 року, але я не думаю, що це суттєво змінить ситуацію (хоча до впровадження цього не доведено).

Врешті-решт AKS перемагає пробний підрозділ. Метод теореми BLS75 5 (наприклад, n-1 доказ) вимагає часткового факторингу n-1. Це чудово працює при невеликих розмірах, а також, коли нам пощастить, і n-1 легко піддавати чиннику, але врешті-решт ми зациклюємося на тому, що потрібно враховувати якийсь великий напівприміт Є більш ефективні реалізації, але вони дійсно не масштабують останні 100 цифр незалежно. Ми можемо бачити, що AKS передасть цей метод. Отже, якщо ви поставили запитання в 1975 році (і тоді був алгоритм AKS), ми могли б обчислити кросовер для того, де AKS був найбільш практичним алгоритмом. Але до кінця 1980-х APR-CL та інші циклотомні методи були правильним порівнянням, і до середини 1990-х років нам слід було б включити ECPP.

Методи APR-CL та ECPP - це реалізація з відкритим кодом. Primo (безкоштовний, але не з відкритим кодом ECPP) буде швидшим для великих розмірів цифр, і я впевнений, що він має кращу криву (я ще не робив нових бенчмаркінгу). Квітень-CL не є многочленом , але показник має фактор $\log \log \log n$ , який , як хто - то пожартував «йде в нескінченність , але ніколи не спостерігалося , щоб зробити це». Це призводить нас до думки, що теоретично лінії не перетинатимуть жодного значення n, де AKS закінчився б до того, як наше сонце вигорило. ECPP - це алгоритм Лас-Вегаса, оскільки, коли ми отримаємо відповідь, це 100% вірно, ми очікуємо результат у вигаданому $O(\log^{5+\epsilon}(n))$ (ECPP) або$O(\log^{4+\epsilon}(n))$ ("fastECPP") час, але можливі цифри, які забирають більше часу. Тож ми очікуємо, що стандартний AKS завжди буде повільнішим, ніж ECPP майже для всіх номерів (він, безумовно, показав себе таким чином для чисел до 25 к. Цифр).

АКС може мати більше вдосконалень, які чекають їх виявлення, що робить його практичним. Квартальний документ Бернштейна обговорює рандомізований O на основі AKS ( log 4 + ϵ$O(\log^{4+\epsilon}(n))$$(\lg n)^{4+o(1)}$$(\lg n)^{4+o(1)}$час знайти еліптичні криві сертифікати? Моє сьогоднішнє враження, що відповідь "ні", але подальші результати [...] можуть змінити відповідь ".

Деякі з цих алгоритмів можна легко паралелізувати або розподілити. AKS дуже легко (кожен тест незалежний). ECPP не надто важкий. Я не впевнений у APR-CL.

ECPP та BLS75 методи видають сертифікати, які можна незалежно та швидко перевірити. Це величезна перевага перед AKS та APR-CL, де нам просто довіряти впровадження та комп’ютер, який його виробляв.

$\tilde{O}(\log^6 n)$$\tilde{O}(\log^4 n)$$\tilde{O}(n^{1/7})$$O(\log n^{O(\log\log\log n)})$

$\tilde{O}(\log^2 n)$$2^{-80}$$\tilde{O}(\log^2 n)$ , що набагато швидше, ніж Ленстра –Помітність.

У всіх цих тестах пам'ять не є проблемою.

У своєму коментарі jbapple ставить питання про те, який тест на первинність використовувати на практиці. Це питання впровадження та бенчмаркінгу: реалізуйте та оптимізуйте декілька алгоритмів та експериментально визначте, який швидкий у якому діапазоні. Для допитливих, кодери PARI зробили саме це, і вони придумали детерміновану функцію isprimeта ймовірнісну функцію ispseudoprime, яку можна знайти тут . Імовірнісний тест застосовується Міллером-Рабіном. Детермінованим є BPSW.

Ось додаткова інформація від Дани Якобсен :

Парі, починаючи з версії 2.3, використовує доказ первинності APR-CL isprime(x)та ймовірний первинний тест BPSW (з "майже надзвичайно сильним" тестом Лукаса) ispseudoprime(x).

Вони беруть аргументи, які змінюють поведінку:

• isprime(x,0) (за замовчуванням.) Використовується комбінація (BPSW, швидкий Pocklington або BLS75 теорема 5, APR-CL).
• isprime(x,1) Використовує тест Поклінгтон-Лемер (простий) $n-1$

• isprime(x,2) Використовує APR-CL.

• ispseudoprime(x,0) (за замовчуванням.) Використовується BPSW (ЗР із базою 2, "майже надзвичайно сильний" Лукас).

• ispseudoprime(x,k)$k\geq 1$$k$mpz_is_probab_prime_p(x,k)

Pari 2.1.7 використовував набагато гірші налаштування. isprime(x)були лише тести MR (за замовчуванням 10), які призводили до таких цікавих речей, як isprime(9)повернення справжнього досить часто. Використанняisprime(x,1) дозволило б зробити доказ Поклінґтона, який було близько 80 цифр, а потім стало занадто повільним, щоб бути загалом корисним.

Ви також пишете Насправді, ніхто не використовує ці алгоритми, оскільки вони занадто повільні. Я вважаю, я знаю, що ви маєте на увазі, але я думаю, що це занадто сильно, залежно від вашої аудиторії. AKS, звичайно, надзвичайно повільно, але APR-CL і ECPP досить швидкі, що деякі люди ними користуються. Вони корисні для параноїдних криптовалют і корисні для людей, які роблять такі речі, primegapsабо factordbде люди мають достатньо часу, щоб захотіти перевірених праймерів.

[Мій коментар до цього: шукаючи просте число в певному діапазоні, ми використовуємо деякий підхід просіювання з подальшими порівняно швидкими ймовірнісними тестами. Тільки тоді, якщо взагалі, ми проводимо детермінований тест.]

У всіх цих тестах пам'ять не є проблемою. Це проблема для AKS. Дивіться, наприклад, цей відбиток . Частина цього залежить від реалізації. Якщо реалізувати те, яке число відеофільму називає AKS (що фактично є узагальненням малої теореми Ферма), використання пам'яті буде надзвичайно великим. Використання NTL реалізації алгоритму v1 або v6, як-от згаданий папір, призведе до великого обсягу пам'яті. Хороша реалізація GMP v6 все ще використовуватиме ~ 2 Гб для 1024-бітового простого, що є багатопам'яті для такої невеликої кількості. Використання деяких удосконалень Бернштейна та бінарної сегментації GMP призводить до набагато кращого зростання (наприклад, ~ 120 Мб на 1024 біт). Це все ще набагато більше, ніж потрібні інші методи, і не дивно, це буде в мільйони разів повільніше, ніж APR-CL або ECPP.

це складне питання через те, що відомі як "великі / галактичні константи", пов'язані з перепадами між ефективністю різних алгоритмів. іншими словами$O(f(n))$ пов'язаний з кожним різним алгоритмом може приховати дуже великі константи, такі, що більш ефективні $O(f(n))$ над іншим $O(g(n))$ на основі асимптотичної / функціональної складності лише "запускається" для дуже великих $n$. я розумію, що AKS "ефективніший" (ніж конкуруючі алгоритми) лише для "набагато більше"$n$"поза діапазоном поточного практичного використання (і це точно $n$ насправді дуже складно точно підрахувати), але теоретичні вдосконалення впровадження алгоритму (які активно домагаються деякі) можуть змінити це в майбутньому.

побачив цей останній документ про арксів, який аналізує цю тему глибоко / детально, не впевнений, що люди думають про неї, досі не чув реакції, здається, може бути створена студентом теза, але, можливо, один із найбільш детальних / всебічних аналізів практичне використання наявного алгоритму.

• Детермінований тест на первинність - розуміння алгоритму AKS Віджая Менона

• Потужні алгоритми занадто складні для впровадження tcs.se