對 RSA 或其他類似系統使用機率素性測試是否會產生任何現實後果？

考慮到已生成的大量 RSA 證書，可能不會有少量證書其中一個質數實際上可能是複合的嗎？這在野外曾經是一個問題嗎？

我認為帶有這種 ap & q 的 RSA 將無法通過簽名驗證和解密。所以在這些情況下，我認為這些工具不會給出正確的錯誤消息，這可能會導致嚴重的混亂。

如果復合數實際上是 Carmichael 數，那麼我認為 RSA 會按預期工作，但不會像預期的那樣安全。

我知道有了足夠多的 Miller-Rabin 算法，發生類似事情的機率非常小。但我只是想知道它是否已經發生並被檢測到

正如其他人所提到的那樣，意外地將復合數誤認為是您自己選擇的數字的可能性非常低且可以量化。這是隨機素性檢驗的標準分析中考慮的情況。

但是，也存在一個問題，即有人惡意生成素數測試會誤認為素數的複合。這可能以更高的機率發生。Albrecht、Massimo、Paterson 和 Somorovsky的論文Prime and Prejudice展示瞭如何做到這一點。特別是，他們展示瞭如何建構一個 2048 位組合，即使表面上配置為檢測有錯誤的素數，OpenSSL 也會以 1/16 的機率將其誤認為素數 $ 2^{-80} $ . 該論文還描述了能夠生成這種形式的複合材料的一些問題後果。

據我所知，加密庫中的主流素性測試已針對本文進行了修復。

引用自：https://crypto.stackexchange.com/questions/91863