強素數

在密碼學中，一個素數p在滿足下列條件時被稱為強素數： ^[1] 

p 必須是很大的數。

p-1有很大的質因數。也就是説，對於某個整數a₁以及大素數q₁，我們有

。

有很大的質因數。也就是説，對於某個整數a₂以及大素數q₂，我們有

。

p+1有很大的質因數。也就是説，對於某個整數

以及大素數

，我們有

。

有時，當一個素數只滿足上面一部分條件的時候，我們也稱它是強素數。而有的時候，我們則要求加入更多的條件。例如，我們可以要求

，或者

。從這個角度上來説，很大的安全素數可以看作是強素數的一種。

在數論中，如果一個素數p比它相鄰的兩個素數的平均數要大，則我們稱 p為強素數。 換句話説，一個強素數是這樣的素數：和它前面的相鄰素數比較，它總是更靠近在它後面的下一個素數。 或者用代數的語言來説，對於素數

（n是它在所有素數的有序集合中的索引），則

為強素數當且僅當

。 下面列出最小的幾個強素數：

11,17,29,37,41,59,67,71,79,97,101,107,127,137,149,163,179,191,197,223,227,239,251,269,277,281,307,311,331,347,367,379,397,419,431,439,457,461,479,487,499（OEIS中的數列A051634）

例如，17是第7個素數。而第6個和第8個素數分別是13和19，加起來是32，平均值是16，小於17。所以17是一個強素數。

在一對孿生素數（p,p+2）裏，當 p>5時，p總是強素數。這是因為p-2必能被3整除，所以不可能是素數。

有些素數既匹配密碼學的強素數定義也匹配數論上的強素數定義。比方説， 439351292910452432574786963588089477522344331 就是一個數論意義上的強素數，因為與它相鄰的兩的素數的平均數比它小62。如果沒有計算機的話，這個數也可以是一個密碼學意義上的強素數。這是因為 439351292910452432574786963588089477522344330 有一個大質因數 1747822896920092227343 （而這個質因數減去1後又有一個大質因數 1683837087591611009 ），而 439351292910452432574786963588089477522344332 也有一個大質因數 864608136454559457049 （而它減去1後也有大質因數 105646155480762397 ）。 就算是用比較先進的算法，用紙和筆也很難分解這樣大的數。但對於現代的計算機代數系統來説，分解這樣的數是很容易的事。所以真正的密碼學意義上的強素數比前例中的這些數還要大很多。

有人建議在RSA密碼系統的鑰匙生成算法中，模數n應該是兩個強素數之積。這樣，如果用Pollard的p-1質因數分解算法來分解n=pq就會變得不可行。由於這個原因，ANSI X.31標準要求，在為基於RSA的數字簽名算法生成鑰匙的時候，必須用強素數。但是，強素數並不能保證n在用其它更新的算法來分解時也一樣難以分解。例如Lenstra的橢圓分解法和普通數域篩選法。考慮到為了生成強素數需要用去更多的時間，RSA Security並不建議在鑰匙生成算法中使用強素數。Rivest和Silverman也給出了類似但更細緻的論述。

1978年由 Stephen Pohlig 和Martin Hellman證明，如果p-1的所有質因數都小於

，那麼解決模數為p的離散對數問題就屬於P問題。所以，對於基於離散對數的密碼系統，比如數字簽名算法（即DSA），我們就要求p-1至少要有一個大質因數。

要注意的是，判斷一個偽素數是否是強偽素數時，我們看的是它除以某個基數的冪之後的餘數，而不是看它和相鄰的偽素數的平均數那個較大。

在數論中，如果一個素數剛好等於其相鄰素數的平均數，那麼我們把這個素數叫做均衡素數。如果它比平均數小，則叫做弱素數。