# Lab 2. Реалізація алгоритмів генерації ключів гібридних криптосистем (Тип 1B: User Endpoint)

## Мета
Дослідити:
1) генерацію псевдовипадкових послідовностей (ПВЧ) для “endpoint”;
2) тести простоти та генерацію простих чисел (далі в наступних етапах) для розмірів 1024/2048/4096 біт.

На цьому етапі (Етап 1) порівнюємо **джерела випадковості/ПВЧ** за швидкодією:
- `secrets` / `os.urandom` (криптографічно сильні джерела з ОС)
- `random` (Mersenne Twister, НЕ криптографічний, лише для порівняння)

Також робимо мінімальний sanity-check на бітовій послідовності: частка одиниць має бути близькою до 0.5


In [None]:
import os
import time
import random
import secrets
import pandas as pd

def gen_bits_secrets(n_bits: int) -> int:
    return secrets.randbits(n_bits)

def gen_bits_urandom(n_bits: int) -> int:
    n_bytes = (n_bits + 7) // 8
    return int.from_bytes(os.urandom(n_bytes), "big") >> (n_bytes*8 - n_bits)

def gen_bits_random_mt(n_bits: int, rng: random.Random) -> int:
    return rng.getrandbits(n_bits)

def ones_ratio(x: int, n_bits: int) -> float:
    # fraction of 1-bits
    return x.bit_count() / n_bits

def benchmark_generator(gen_fn, bit_sizes=(1024, 2048, 4096), samples=200):
    rows = []
    for bits in bit_sizes:
        t0 = time.perf_counter()
        ratios = []
        for _ in range(samples):
            x = gen_fn(bits)
            ratios.append(ones_ratio(x, bits))
        t1 = time.perf_counter()
        rows.append({
            "bits": bits,
            "samples": samples,
            "time_s": t1 - t0,
            "avg_ones_ratio": sum(ratios)/len(ratios),
            "min_ones_ratio": min(ratios),
            "max_ones_ratio": max(ratios),
        })
    return pd.DataFrame(rows)

# prepare deterministic RNG for reproducibility of the "random" baseline
rng = random.Random(12345)

df_secrets = benchmark_generator(gen_bits_secrets)
df_urandom = benchmark_generator(gen_bits_urandom)
df_random  = benchmark_generator(lambda b: gen_bits_random_mt(b, rng))

df_secrets["source"] = "secrets.randbits (CSPRNG)"
df_urandom["source"] = "os.urandom (CSPRNG)"
df_random["source"]  = "random.getrandbits (MT, non-crypto)"

df = pd.concat([df_secrets, df_urandom, df_random], ignore_index=True)
df = df[["source","bits","samples","time_s","avg_ones_ratio","min_ones_ratio","max_ones_ratio"]]
df


Unnamed: 0,source,bits,samples,time_s,avg_ones_ratio,min_ones_ratio,max_ones_ratio
0,secrets.randbits (CSPRNG),1024,200,0.000478,0.498525,0.456055,0.539062
1,secrets.randbits (CSPRNG),2048,200,0.000501,0.500615,0.463379,0.53125
2,secrets.randbits (CSPRNG),4096,200,0.000826,0.500005,0.473389,0.520996
3,os.urandom (CSPRNG),1024,200,0.00035,0.497563,0.450195,0.536133
4,os.urandom (CSPRNG),2048,200,0.000494,0.500615,0.469238,0.530273
5,os.urandom (CSPRNG),4096,200,0.000824,0.499316,0.475098,0.519775
6,"random.getrandbits (MT, non-crypto)",1024,200,0.000179,0.498901,0.458008,0.552734
7,"random.getrandbits (MT, non-crypto)",2048,200,0.000256,0.501025,0.466797,0.536621
8,"random.getrandbits (MT, non-crypto)",4096,200,0.000503,0.498873,0.480469,0.518066


## Етап 1. Аналіз генераторів псевдовипадкових послідовностей

Було досліджено три джерела генерації псевдовипадкових бітових послідовностей
для середовища User Endpoint terminal:

- `secrets.randbits` — криптографічно стійкий генератор (CSPRNG);
- `os.urandom` — криптографічно стійкий генератор на основі ОС;
- `random.getrandbits` — генератор Mersenne Twister (некриптографічний).

Дослідження проводилось для розмірів 1024, 2048 та 4096 біт з вибіркою 200 значень
для кожної конфігурації.

---

### Якість бітових послідовностей (sanity-check)

Для всіх досліджених джерел середнє значення частки одиничних бітів
`avg_ones_ratio` знаходиться поблизу 0.5:

- `secrets.randbits`: 0.498–0.501
- `os.urandom`: 0.497–0.501
- `random.getrandbits`: 0.498–0.501

Мінімальні та максимальні значення частки одиниць не виходять за розумні межі
(приблизно 0.45–0.55)


## Етап 2. Імовірнісні тести простоти чисел

На цьому етапі реалізуються та порівнюються такі тести простоти:
- тест Ферма;
- тест Соловея–Штрассена;
- тест Міллера–Рабіна.

Оцінюється:
- коректність роботи тестів;
- вплив кількості ітерацій на результат;
- ефективність за часом.


In [None]:
import secrets
import time
from math import gcd

# ---------- helpers ----------

def is_even(n):
    return n % 2 == 0

def jacobi(a, n):
    assert n > 0 and n % 2 == 1
    a %= n
    result = 1
    while a != 0:
        while a % 2 == 0:
            a //= 2
            if n % 8 in (3, 5):
                result = -result
        a, n = n, a
        if a % 4 == 3 and n % 4 == 3:
            result = -result
        a %= n
    return result if n == 1 else 0

# ---------- primality tests ----------

def fermat_test(n, k=10):
    if n < 4:
        return n in (2, 3)
    if is_even(n):
        return False
    for _ in range(k):
        a = secrets.randbelow(n - 3) + 2
        if pow(a, n - 1, n) != 1:
            return False
    return True

def solovay_strassen(n, k=10):
    if n < 4:
        return n in (2, 3)
    if is_even(n):
        return False
    for _ in range(k):
        a = secrets.randbelow(n - 2) + 2
        x = jacobi(a, n)
        if x == 0 or pow(a, (n - 1) // 2, n) != x % n:
            return False
    return True

def miller_rabin(n, k=10):
    if n < 4:
        return n in (2, 3)
    if is_even(n):
        return False

    d = n - 1
    s = 0
    while d % 2 == 0:
        d //= 2
        s += 1

    for _ in range(k):
        a = secrets.randbelow(n - 3) + 2
        x = pow(a, d, n)
        if x in (1, n - 1):
            continue
        for _ in range(s - 1):
            x = pow(x, 2, n)
            if x == n - 1:
                break
        else:
            return False
    return True


### Контрольні приклади


In [None]:
# Carmichael numbers (pseudoprimes for Fermat)
carmichaels = [561, 1105, 1729, 2465, 2821, 6601]

results = []
for n in carmichaels:
    results.append({
        "n": n,
        "Fermat": fermat_test(n, k=5),
        "Solovay-Strassen": solovay_strassen(n, k=5),
        "Miller-Rabin": miller_rabin(n, k=5)
    })

pd.DataFrame(results)


Unnamed: 0,n,Fermat,Solovay-Strassen,Miller-Rabin
0,561,False,False,False
1,1105,False,False,False
2,1729,False,False,False
3,2465,False,False,False
4,2821,False,False,False
5,6601,False,False,False


### Аналіз контрольних прикладів (числа Кармайкла)

Для перевірки коректності реалізацій були використані числа Кармайкла:
561, 1105, 1729, 2465, 2821, 6601.

Числа Кармайкла є складеними числами, які можуть проходити тест Ферма
для окремих значень основи, але не для всіх.

За результатами експерименту:

- тест Ферма повернув `False` для всіх чисел;
- тест Соловея–Штрассена повернув `False` для всіх чисел;
- тест Міллера–Рабіна повернув `False` для всіх чисел.

Це пояснюється тим, що в реалізації використовуються випадкові значення
основи `a`, і для вибраних значень було знайдено свідків складеності.

Отримані результати підтверджують коректність реалізації всіх трьох тестів
та демонструють, що тест Ферма не гарантує помилкову ідентифікацію
чисел Кармайкла як простих при випадковому виборі основи.


## Етап 2.2. Ймовірність похибки та швидкодія тестів простоти

### Ідея експерименту
Порівнюємо тести простоти:
- Ферма,
- Соловея–Штрассена,
- Міллера–Рабіна

за двома критеріями:
1) **Ймовірність похибки**: як часто тест помилково повертає `True` для **складених** чисел  
   (оцінюємо емпірично як частку хибних “простих” на вибірці складених).
2) **Ефективність за часом**: середній час виконання тесту.

Експеримент проводимо для різних кількостей ітерацій `k` (наприклад 1, 2, 5, 10).


In [None]:
import time
import secrets
import pandas as pd
from math import gcd

# --- reuse tests from previous step (must be already defined) ---
# fermat_test, solovay_strassen, miller_rabin

def gen_random_composite(bits: int) -> int:
    """
    Generate a definitely composite odd number of given bit length:
    n = p*q where p and q are random odd integers (not necessarily prime).
    This guarantees compositeness and is fast.
    """
    # 1) generate two odd factors ~ bits//2
    b1 = bits // 2
    b2 = bits - b1
    p = secrets.randbits(b1) | (1 << (b1 - 1)) | 1
    q = secrets.randbits(b2) | (1 << (b2 - 1)) | 1
    n = p * q
    # ensure odd and exact bit length close to target
    if n % 2 == 0:
        n *= 3
    return n

def eval_false_positive_rate(test_fn, bits: int, k: int, trials: int = 200):
    """
    Empirical false positive rate: fraction of composite numbers
    that are classified as 'probably prime' (True).
    """
    false_true = 0
    t0 = time.perf_counter()
    for _ in range(trials):
        n = gen_random_composite(bits)
        if test_fn(n, k=k):
            false_true += 1
    t1 = time.perf_counter()
    return {
        "bits": bits,
        "k": k,
        "trials": trials,
        "false_positive_rate": false_true / trials,
        "total_time_s": (t1 - t0),
        "avg_time_per_test_s": (t1 - t0) / trials
    }

tests = [
    ("Fermat", fermat_test),
    ("Solovay-Strassen", solovay_strassen),
    ("Miller-Rabin", miller_rabin),
]

bit_sizes = [1024, 2048, 4096]
k_values = [1, 2, 5, 10]
trials = 200  # if it's too slow on 4096, reduce to 100

rows = []
for bits in bit_sizes:
    for k in k_values:
        for name, fn in tests:
            out = eval_false_positive_rate(fn, bits=bits, k=k, trials=trials)
            out["test"] = name
            rows.append(out)

df_fp = pd.DataFrame(rows)
df_fp = df_fp[["test","bits","k","trials","false_positive_rate","avg_time_per_test_s","total_time_s"]]
df_fp


Unnamed: 0,test,bits,k,trials,false_positive_rate,avg_time_per_test_s,total_time_s
0,Fermat,1024,1,200,0.0,0.007041,1.408131
1,Solovay-Strassen,1024,1,200,0.0,0.004154,0.830769
2,Miller-Rabin,1024,1,200,0.0,0.005063,1.01256
3,Fermat,1024,2,200,0.0,0.005112,1.022384
4,Solovay-Strassen,1024,2,200,0.0,0.004221,0.844251
5,Miller-Rabin,1024,2,200,0.0,0.005072,1.014387
6,Fermat,1024,5,200,0.0,0.005083,1.016537
7,Solovay-Strassen,1024,5,200,0.0,0.004966,0.993238
8,Miller-Rabin,1024,5,200,0.0,0.007573,1.514691
9,Fermat,1024,10,200,0.0,0.005892,1.178446



Passing `palette` without assigning `hue` is deprecated and will be removed in v0.14.0. Assign the `y` variable to `hue` and set `legend=False` for the same effect.




Passing `palette` without assigning `hue` is deprecated and will be removed in v0.14.0. Assign the `y` variable to `hue` and set `legend=False` for the same effect.




Passing `palette` without assigning `hue` is deprecated and will be removed in v0.14.0. Assign the `y` variable to `hue` and set `legend=False` for the same effect.




Passing `palette` without assigning `hue` is deprecated and will be removed in v0.14.0. Assign the `y` variable to `hue` and set `legend=False` for the same effect.



### Перевірка на фіксованих “складних-пастках”
Додаємо контрольний набір чисел, де тест Ферма теоретично може помилятися частіше:
- числа Кармайкла (псевдопрості для деяких основ)
- кілька відомих псевдопростих (можуть траплятися для слабких тестів)

Цей блок не оцінює ймовірність глобально, але корисний як демонстрація “чому одного Ферма недостатньо”.


In [None]:
carmichaels = [561, 1105, 1729, 2465, 2821, 6601]
extras = [341, 645, 1387, 1905]  # common Fermat pseudoprimes to base 2 etc.
trap_set = carmichaels + extras

def run_trap_table(k=5):
    rows = []
    for n in trap_set:
        rows.append({
            "n": n,
            "Fermat": fermat_test(n, k=k),
            "Solovay-Strassen": solovay_strassen(n, k=k),
            "Miller-Rabin": miller_rabin(n, k=k),
        })
    return pd.DataFrame(rows)

df_traps = run_trap_table(k=5)
df_traps


Unnamed: 0,n,Fermat,Solovay-Strassen,Miller-Rabin
0,561,False,False,False
1,1105,False,False,False
2,1729,False,False,False
3,2465,True,False,False
4,2821,False,False,False
5,6601,False,False,False
6,341,False,False,False
7,645,False,False,False
8,1387,False,False,False
9,1905,False,False,False


### Як читати результати
- `false_positive_rate` ближче до 0 → краще (менше помилок на складених).
- Для збільшення `k` очікуємо зменшення `false_positive_rate` (особливо для Miller–Rabin).
- `avg_time_per_test_s` показує “ціну” одного тесту (важливо для 4096 біт).


## Етап 2.2. Інтерпретація результатів тестування простоти

### Ймовірність похибки імовірнісних тестів

Для оцінки ймовірності похибки були згенеровані випадкові складені числа
розміром 1024, 2048 та 4096 біт. Для кожного тесту виконувалось 200 випробувань
при різній кількості ітерацій `k = 1, 2, 5, 10`.

За результатами експерименту встановлено, що:

- тест Ферма не продемонстрував жодного хибного позитивного результату
  (false positive rate = 0.0) на дослідженій вибірці;
- тест Соловея–Штрассена також не дав хибних позитивних результатів
  для всіх розмірів чисел і значень `k`;
- тест Міллера–Рабіна не показав хибних позитивних результатів
  у жодному з проведених експериментів.

Відсутність хибних позитивних результатів пояснюється тим, що випадково
згенеровані складені числа з високою ймовірністю мають свідків складеності,
які виявляються вже на перших ітераціях тестів.


### Перевірка на спеціальних складених числах

Додатково було проведено тестування на числах Кармайкла та відомих
псевдопростих числах, які є складними випадками для тесту Ферма.

Результати показали, що:

- тест Ферма у більшості випадків правильно визначає числа Кармайкла
  як складені;
- для числа 2465 тест Ферма повернув `True`, що демонструє можливість
  хибного позитивного результату;
- тести Соловея–Штрассена та Міллера–Рабіна у всіх випадках правильно
  визначили всі досліджені числа як складені.

Цей експеримент наочно демонструє обмеженість тесту Ферма та підтверджує
вищу надійність тестів Соловея–Штрассена і Міллера–Рабіна.


### Порівняння ефективності за часом

Аналіз середнього часу виконання одного тесту показує такі закономірності:

- зі збільшенням розрядності чисел час виконання тестів істотно зростає;
- тест Соловея–Штрассена є найшвидшим серед досліджених для всіх розмірів
  чисел (1024/2048/4096 біт);
- тести Ферма та Міллера–Рабіна мають подібну швидкодію, але є повільнішими
  за тест Соловея–Штрассена для великих розрядностей.

Для чисел розміром 4096 біт середній час виконання одного тесту становить:
- тест Ферма: приблизно 0.24–0.25 с;
- тест Соловея–Штрассена: приблизно 0.16–0.18 с;
- тест Міллера–Рабіна: приблизно 0.24 с.


## Висновки до етапу тестування простоти

1. Усі реалізовані імовірнісні тести простоти коректно виявляють складені
   числа для випадкових вхідних даних великої розрядності.
2. Тест Ферма може давати хибні позитивні результати для спеціальних класів
   складених чисел (числа Кармайкла), що підтверджено експериментально.
3. Тести Соловея–Штрассена та Міллера–Рабіна не продемонстрували хибних
   позитивних результатів у проведених експериментах і є більш надійними.
4. З точки зору швидкодії тест Соловея–Штрассена є найефективнішим,
   особливо для чисел великої розрядності.
5. Для практичної генерації простих чисел у асиметричних криптосистемах
   доцільно використовувати тест Міллера–Рабіна або Соловея–Штрассена
   з достатньою кількістю ітерацій.


## Етап 3. Генерація простих чисел (1024/2048/4096) та порівняння підходів

На цьому етапі реалізуємо генерацію простих чисел двома підходами:

1) **Метод “Чебишова” (практична інтерпретація)**:
   генеруємо випадковий непарний кандидат заданої бітності і послідовно
   перевіряємо `n, n+2, n+4, ...` тестом простоти, доки не знайдемо просте число.
   Це найпростіший і найбільш практичний спосіб генерації простих для RSA/DH.

2) **Метод Маурера (демо-реалізація)**:
   рекурсивний метод побудови простого числа з використанням простого `q` меншої
   розрядності та перевірок, які забезпечують високу “якість” отриманих простих.
   Через високу обчислювальну вартість у чистому Python метод демонструємо
   на 1024 біт (та за можливості на 2048 біт), а для 4096 біт робимо
   порівняльний аналіз складності.

Далі порівнюємо:
- час генерації,
- кількість перевірених кандидатів (для “Чебишова”),
- практичну придатність підходів для endpoint.


In [None]:
import secrets
import time
import pandas as pd
from math import gcd

# miller_rabin(n, k=...) must already be defined from previous steps

def rand_odd_with_bits(bits: int) -> int:
    return secrets.randbits(bits) | (1 << (bits - 1)) | 1

def gen_prime_chebyshev(bits: int, k: int = 10, max_steps: int = 200000):
    """
    Practical 'Chebyshev' style: search for a prime in an interval by stepping +2.
    Returns: (p, steps) where steps = number of tested candidates.
    """
    n = rand_odd_with_bits(bits)
    steps = 0
    while steps < max_steps:
        if miller_rabin(n, k=k):
            return n, steps + 1
        n += 2
        steps += 1
    raise RuntimeError(f"Prime not found within max_steps={max_steps}")

def bench_chebyshev(bit_sizes=(1024,2048,4096), k=10, repeats=3):
    rows = []
    for bits in bit_sizes:
        for r in range(repeats):
            t0 = time.perf_counter()
            p, steps = gen_prime_chebyshev(bits, k=k)
            t1 = time.perf_counter()
            # quick sanity: p is odd and passes MR again
            assert p % 2 == 1 and miller_rabin(p, k=k)
            rows.append({
                "method": "Chebyshev-search",
                "bits": bits,
                "k": k,
                "repeat": r+1,
                "time_s": t1 - t0,
                "candidates_tested": steps
            })
    return pd.DataFrame(rows)

df_cheb = bench_chebyshev(bit_sizes=(1024,2048,4096), k=10, repeats=3)
df_cheb


Unnamed: 0,method,bits,k,repeat,time_s,candidates_tested
0,Chebyshev-search,1024,10,1,2.013728,233
1,Chebyshev-search,1024,10,2,3.756086,657
2,Chebyshev-search,1024,10,3,3.517942,648
3,Chebyshev-search,2048,10,1,13.424483,347
4,Chebyshev-search,2048,10,2,6.951146,171
5,Chebyshev-search,2048,10,3,4.980533,140
6,Chebyshev-search,4096,10,1,401.037042,1552
7,Chebyshev-search,4096,10,2,827.045037,3232
8,Chebyshev-search,4096,10,3,495.731097,1938


### Аналіз генерації простих чисел методом “Чебишова”

Метод “Чебишова” у практичній інтерпретації полягає у послідовному
перебиранні непарних кандидатів заданої бітності з перевіркою простоти
за допомогою тесту Міллера–Рабіна.

Генерація виконувалась для розмірів 1024, 2048 та 4096 біт при кількості
ітерацій тесту Міллера–Рабіна `k = 10`. Для кожної розрядності виконано
три незалежні запуски.

---

#### Число перевірених кандидатів

За результатами експерименту кількість перевірених кандидатів до знаходження
простого числа становила:

- **1024 біт**: від 233 до 657 кандидатів;
- **2048 біт**: від 140 до 347 кандидатів;
- **4096 біт**: від 1552 до 3232 кандидатів.

Отримані значення узгоджуються з теоретичною оцінкою щільності простих чисел
поблизу великих значень, яка приблизно дорівнює \(1 / \ln(n)\).
Зі збільшенням розрядності середня кількість перевірених кандидатів зростає.

---

#### Час генерації

Час генерації простого числа демонструє значне зростання зі збільшенням
розрядності:

- **1024 біт**: приблизно 2–4 секунди;
- **2048 біт**: приблизно 5–13 секунд;
- **4096 біт**: від кількох хвилин до понад 10 хвилин.

Основною причиною зростання часу є висока обчислювальна вартість
модульної експонентації в тесті Міллера–Рабіна для чисел великої розрядності,
а також збільшення кількості перевірених кандидатів.


### Проміжний висновок щодо методу “Чебишова”

Метод “Чебишова” є простим у реалізації та широко використовується
на практиці для генерації простих чисел у асиметричних криптосистемах.

Однак експериментальні результати показують, що для розрядності 4096 біт
час генерації простого числа на User Endpoint terminal може бути дуже великим,
що обмежує практичну придатність цього підходу без додаткових оптимізацій
або використання більш ефективних реалізацій на рівні бібліотек нижчого рівня.


## Етап 3.3. Генерація простих чисел методом Маурера (демо)

### Ідея алгоритму Маурера (коротко)
Алгоритм Маурера — рекурсивний метод генерації “сильних” простих чисел.
Замість простого перебору кандидатів, він:
1) генерує просте число меншої розрядності `q`;
2) будує число `p = 2 * R * q + 1` (де `R` підбирається так, щоб отримати потрібну бітність);
3) виконує спеціальні перевірки, які гарантують простоту `p` (на базі тесту Покуінгтона).

Практично це зменшує “випадковість” пошуку та дає контрольовану структуру простого.
У чистому Python для 2048/4096 біт алгоритм може бути повільним, тому тут
виконуємо демонстрацію для 512/1024 біт і робимо порівняльний аналіз складності.


In [None]:
import secrets
import time
import pandas as pd
from math import gcd

# miller_rabin(n, k=...) must exist from earlier steps

def rand_odd_bits(bits: int) -> int:
    return secrets.randbits(bits) | (1 << (bits - 1)) | 1

def gen_small_prime(bits: int, k=10):
    """Generate a prime using simple Chebyshev-style search (used as subroutine)."""
    n = rand_odd_bits(bits)
    while True:
        if miller_rabin(n, k=k):
            return n
        n += 2

def maurer_prime(bits: int, k_mr: int = 10, max_tries: int = 20000) -> int:
    """
    Simplified Maurer-like prime generation (demo):
    - recursively generate prime q ~ bits/2
    - build p = 2*R*q + 1 with random R to reach required bit length
    - verify p with Miller-Rabin (practical acceptance)
    - also ensure gcd(2R, q) == 1 implicitly (q prime), and p odd

    Note: This is a demo adaptation to be runnable in Colab.
    """
    if bits <= 64:
        # base case: just generate small prime
        return gen_small_prime(bits, k=k_mr)

    q_bits = bits // 2
    q = maurer_prime(q_bits, k_mr=k_mr, max_tries=max_tries)

    # target p bit-length: bits
    for _ in range(max_tries):
        # choose R so that p has approximately 'bits' bits
        # p = 2*R*q + 1 => R approx 2^(bits-1)/(2*q)
        r_bits = bits - q_bits - 1
        if r_bits < 2:
            r_bits = 2
        R = secrets.randbits(r_bits) | (1 << (r_bits - 1))  # ensure size
        p = 2 * R * q + 1

        # ensure exact bit length (or close enough)
        if p.bit_length() != bits:
            continue

        # quick gcd check with small primes (optional micro-filter)
        if p % 3 == 0 or p % 5 == 0 or p % 7 == 0 or p % 11 == 0:
            continue

        # final primality check (practical in software stacks)
        if miller_rabin(p, k=k_mr):
            return p

    raise RuntimeError("Maurer demo failed: increase max_tries or adjust parameters.")

def bench_maurer(bit_sizes=(512, 1024), k=10, repeats=2):
    rows = []
    for bits in bit_sizes:
        for r in range(repeats):
            t0 = time.perf_counter()
            p = maurer_prime(bits, k_mr=k, max_tries=20000)
            t1 = time.perf_counter()
            assert p % 2 == 1 and p.bit_length() == bits and miller_rabin(p, k=k)
            rows.append({
                "method": "Maurer-demo",
                "bits": bits,
                "k": k,
                "repeat": r+1,
                "time_s": t1 - t0
            })
    return pd.DataFrame(rows)

df_maurer = bench_maurer(bit_sizes=(512, 1024), k=10, repeats=2)
df_maurer


Unnamed: 0,method,bits,k,repeat,time_s
0,Maurer-demo,512,10,1,0.183535
1,Maurer-demo,512,10,2,0.178027
2,Maurer-demo,1024,10,1,0.394602
3,Maurer-demo,1024,10,2,0.802692


### Аналіз генерації простих чисел за алгоритмом Маурера (демо)

Демо-реалізація алгоритму Маурера була виконана для розрядностей
512 та 1024 біт з використанням тесту Міллера–Рабіна (`k = 10`).
Для кожної конфігурації було проведено два незалежні запуски.

За результатами експерименту час генерації становив:

- **512 біт**: приблизно 0.18 с;
- **1024 біт**: від 0.39 с до 0.80 с.

Час генерації зростає зі збільшенням розрядності, що пов’язано з
рекурсивною побудовою простого числа та необхідністю додаткових перевірок
на кожному рівні рекурсії.

Отримані результати підтверджують, що алгоритм Маурера є працездатним
у демо-реалізації та дозволяє генерувати прості числа із контрольованою
структурою, однак має вищу реалізаційну складність порівняно з методом
послідовного перебору.


### Порівняння підходів генерації простих чисел

Порівняємо два підходи генерації простих чисел, реалізовані в роботі:

**Метод “Чебишова” (послідовний пошук):**
- простий у реалізації;
- добре масштабується до 1024/2048/4096 біт;
- для 4096 біт демонструє значний час генерації (десятки хвилин у чистому Python).

**Алгоритм Маурера (демо):**
- використовує рекурсивну побудову простого числа;
- забезпечує кращі теоретичні гарантії структури простих чисел;
- демонструє прийнятний час генерації для 512–1024 біт;
- у чистій Python-реалізації не є практичним для 2048/4096 біт
  без використання оптимізованих низькорівневих бібліотек.

Таким чином, метод “Чебишова” є практичнішим для endpoint-реалізацій,
тоді як алгоритм Маурера доцільно використовувати у спеціалізованих
криптографічних бібліотеках або апаратних реалізаціях.


## Висновки до лабораторної роботи №2

1. Досліджено генератори псевдовипадкових послідовностей для середовища
   User Endpoint terminal. Встановлено, що `secrets.randbits` та `os.urandom`
   є придатними для генерації ключового матеріалу, тоді як `random.getrandbits`
   не забезпечує криптографічної стійкості.
2. Реалізовано та досліджено імовірнісні тести простоти Ферма,
   Соловея–Штрассена та Міллера–Рабіна.
3. Показано, що тест Ферма може давати хибні позитивні результати для
   спеціальних складених чисел (числа Кармайкла), тоді як тести
   Соловея–Штрассена та Міллера–Рабіна є більш надійними.
4. З точки зору швидкодії тест Соловея–Штрассена є найшвидшим,
   а тест Міллера–Рабіна забезпечує оптимальний баланс між швидкодією
   та надійністю.
5. Реалізовано генерацію простих чисел методом “Чебишова” для розрядностей
   1024/2048/4096 біт та показано істотне зростання часу генерації
   для великих розрядностей.
6. Реалізовано демо-версію алгоритму Маурера та виконано порівняльний аналіз
   складності підходів генерації простих чисел.
7. Для практичної генерації ключів асиметричних криптосистем у середовищі
   User Endpoint terminal рекомендовано використовувати метод “Чебишова”
   у поєднанні з тестом Міллера–Рабіна.
