Testes de primalidade: probabilísticos e determinístico

(1)

Testes de primalidade:

probabil´ısticos e determin´ısticos

Carlos Gustavo T. de A. Moreira, Nicolau C. Saldanha

25 de abril de 2011

O problema de distinguir números primos de compostos e de decom-por esses últimos em seus fatores primos é conhecido como sendo um dos mais importantes e úteis na aritmética. . . a dignidade da própria ciência parece requerer que todos os meios poss´ıveis sejam explorados para a solu¸cão de um problema tão elegante e tão celebrado.

Karl Friedrich Gauß, Disquisitiones Arithmeticae, 1801

1 Introdu¸

c˜

ao

Não se conhece nenhuma fórmula simples para gerar primos arbitrariamente gran-des. Uma palavra imprecisa mas importante nesta frase é “simples”. Existem fór-mulas que geram números primos, mas que são tão complicadas que não ajudam muito nem a gerar números primos explicitamente nem a responder perguntas teó-ricas sobre a distribui¸cão dos primos. Um exemplo de fórmula parapn, on-ésimo primo, é

pn =   

1−_{log 2}1 log 

− 1 2+

X

d|Pn−1

µ(d) 2d₋₁



    ,

ondePn−1=p1p2· · ·pn−1; aquiµé fun¸cão de Möbius: µ(n) = 0 senfor múltiplo de

algum quadrado de primo eµ(n) = (−1)k _se_n_{for o produto de} _k_{primos distintos.} Deixamos a demonstra¸cão a cargo do leitor. Outra fórmula é

pn=⌊102

n

c⌋ −102n−1⌊102n−1c⌋,

onde

c=

∞

X

n=1

pn

102n = 0.0203000500000007. . . .

A inutilidade desta última fórmula vem do fato que para calcular c devemos en-contrar todos os primos; a fórmula se tornaria mais interessante se existisse outra interpreta¸cão para o número real c, o que parece muito improvável. Mills ([6]) também provou que existem números reaisA >1 tal que⌊A3n⌋é primo para todo

n∈N.

(2)

propriedades; aqui S = 26, o valor do polinômio é P, as variáveis chamam-se

a, b, . . . , z eA, B, . . . , N s˜ao express˜oes auxiliares:

P= (k+ 2)(1−A2₋_B2₋_C2_{− · · · −}_N2₎_,

A=wz+h+j−q,

B= (gk+ 2g+k+ 1)(h+j) +h−z, C= 16(k+ 1)3₍_k_{+ 2)(}_n_{+ 1)}2_{+ 1}₋_f2_,

D= 2n+p+q+z−e, E=e3(e+ 2)(a+ 1)2+ 1−o2, F= (a2₋₁₎_y2_{+ 1}₋_x2_,

G= 16r2y4(a2−1) + 1−u2,

H= ((a+u2(u2−a))2−1)(n+ 4dy)2+ 1−(x+cu)2, I= (a2−1)l2+ 1−m2,

J=ai+k+ 1−l−i, K=n+l+v−y,

L=p+l(a−n−1) +b(2an+ 2a−n2₋₂_n₋₂₎₋_m,

M =q+y(a−p−1) +s(2ap+ 2a−p2−2p−2)−x, N=z+pl(a−p) +t(2ap−p2−1)−pm.

Algumas observa¸cões simples: a única forma deP ser positivo é seA=B=· · ·=

N = 0; neste caso seu valor serák+ 2. Vemos assim que para produzir um número primo P com este polinômio devemos antes de mais nada tomar k =P −2. As expressões auxiliares viram equa¸cões: como A= 0 temos q=wz+h+j. Assim, dado k para o qual k + 2 é primo, precisamos procurar valores para as outras letras que satisfa¸cam estas equa¸cões. Estes valores de certa forma codificam uma demonstra¸cão de queP =k+ 2 é primo.

Uma questão relacionada com a de gerar números primos é a de testar se um determinado número é primo. Com o advento dos computadores, a partir da dé-cada de 60, surgiram inúmeras tentativas de se obter um algoritmo eficiente para o teste de primalidade de um número. A relevância desse problema tem crescido imensamente em anos recentes devido à utiliza¸cão intensa de números primos em algoritmos de criptografia, como os algoritmos RSA e El Gammal para criptografia pública. Dessa forma o problema do teste de primalidade se tornou um importante problema para a ciência da computa¸cão teórica. Sobre esse ponto de vista duas coisas são requeridas: um certificado de prova de que o algoritmo realmente produz a resposta correta; e uma medida da eficiência do algoritmo, isto é, quão bem o algoritmo faz uso dos recursos computacionais (como o tempo ou número de passos executados, espa¸co ou memória utilizada) em fun¸cão do tamanho da entrada do problema para a obten¸cão da solu¸cão.

(3)

2 Fundamentos

Dados dois inteiros de a, dizemos qued divide a ou que d é umdivisor de a ou ainda queaé ummúltiplo dede escrevemos

d|a

se existirq∈Zcoma=qd. Sejama, n∈Z, n >0: denotamos o resto da divisão de a por n por amodn; em outras palavras, amodn é o único inteiro entre 0 e

n−1 com n|(a−(amodn)). Sejam a, b, n∈Z. Dizemos quea ´e congruente ab

m´odulon, e escrevemos

a≡b (mod n)

sen | a−b, ou seja, se (amodn) = (bmodn). Por exemplo, temos que 17 ≡3 (mod 7) e 10≡ −5 (mod 3). Pelo algoritmo de Euclides sabemos que dadosa, b∈Z

existem c, d∈Zcom mdc(a, b) =ad−bc. Se mdc(a, n) = 1 existe portanto d∈Z

comad≡1 (modn) e dizemos queaéinvert´ıvel módulon. Definimos afun¸cão de Euler ϕpor

ϕ(n) =|{a∈Z; 0< a≤n,mdc(a, n) = 1}|

onde n ∈ Z, n > 0 e |X| denota o n´umero de elementos de X. Temos ϕ(1) =

ϕ(2) = 1, e, paran >2, 1< ϕ(n)< n. Sep´e primo,ϕ(p) =p−1; mais geralmente

ϕ(pk_{) =}_pk₋_pk−1_{pois (}_{a, p}k_{) = 1 se e somente se}_a_n˜_{ao é m´}_{ultiplo de}_p_{e há} _pk−1 múltiplos depno intervalo 0≤a < pk_{. Mais geralmente, temos}

ϕ(n) =nY

p|n

1−1_p

.

Os ϕ(n) n´umeros inteiros b1, b2, . . . , bϕ(n) formam um sistema completo de inver-t´ıveis (s.c.i.) m´odulo n se para todo c ∈ Z, mdc(c, n) = 1, existe i, 0 < i < ϕ, com c ≡ bi (mod n). Equivalentemente (pelo princ´ıpio da casa dos pombos),

b1, b2, . . . , bϕ(n) formam um s.c.i. m´odulo n se e somente se mdc(bi, n) = 1 para todoiebi ≡bj (modn) implicari=j.

Lema 1 Sejamq, n∈Z,n >0,mdc(q, n) = 1, eb1, b2, . . . , bϕ(n)um s.c.i. m´odulo

n. Então os inteirosqb1, qb2, ...qbϕ(n) também formam um s.c.i. módulon.

Demonstra¸c˜ao: Como mdc(q, n) = mdc(bi, n) = 1, temos mdc(qbi, n) = 1. Por outro lado, seqbi≡qbj (modn) temosbi≡bj (modn) e i=j.

Teorema 2 (Euler) Sejama, n∈Z,n >0, tais que(a, n) = 1. Ent˜ao

aϕ(n)≡1 (modn).

Demonstra¸cão: Sejab1, b2, . . . , bϕ(n)um s.c.i. módulon. Pela proposi¸cão ante-rior, os númerosab1, ab2, . . . abϕ(n)também formam um s.c.i. módulo n. Assim,

b1·b2· · ·bϕ(n)≡ab1·ab2· · ·abϕ(n) (mod n)

pois módulon os dois lados têm os mesmos fatores a menos de permuta¸cão. Mas isto pode ser reescrito como

(4)

Corolário 3 (Fermat) Sepé primo então, para todo inteiro a,ap_≡_a _(mod_p₎_.

Demonstra¸c˜ao: Se p | a, ent˜ao ap _≡ _a_≡ _{0 (mod}_p_{). Caso contr´}_ario, _ϕ₍_p_{) =}

p−1,ap−1_≡_{1 (mod}_p_{) e novamente}_ap_≡_a _(mod _p_).

Se a, n ∈ Z com n > 0 e mdc(a, n) = 1, definimos a ordem de a m´odulo n, denotado por ordna, como o menor inteirot >0 tal queat_≡_{1 (mod}_n_).

Proposi¸c˜ao 4 Temos que at_≡_{1 (mod}_n₎ _{se, e s´}_{o se,} _ordn_a_| _t_{. Em particular,}

para todoa commdc(a, n) = 1temosordna|ϕ(n).

Demonstra¸c˜ao: Comoaordna_≡_{1 (mod}_n_{), para todo}_k_∈_N_tem-se_akordna _≡₁

(modn). Por outro lado, se at _≡ _{1 (mod}_n_{), pelo algoritmo da divis˜ao existem} inteirosqer tais que 0≤r <ordnaet=qordna+r. Portanto

1≡at₌_aqordna+r_{= (}_aordna₎q_·_ar_≡_ar _(mod_n₎_.

Ou seja, ar _≡ _{1 (mod}_n_{). Pela minimalidade de ordn}_a_{, temos que} _r _{= 0, i.e.,} ordna|t.

A proposi¸cão acima nem sempre dá a melhor estimativa para ordna. Assim, por exemplo, para n = 8 temos ϕ(n) = 4 mas ordna | 2 para todo a ´ımpar. Por outro lado, paran primo sempre existe uma raiz primitiva módulo n, isto é, um inteiro a com ordna = n−1 = ϕ(n) ([3]). Por exemplo, 2 é raiz primitiva módulo 5, pois ord52 = 4 =ϕ(5). Note que se aé raiz primitiva módulo p então

a1, a2, . . . , ap−1≡a0≡1 formam um s.c.i. m´odulo p.

Será importante em alguns casos discutir seaé um quadrado módulon, i.e., se existeb∈Zcomb2_≡_a _(mod_n_).

Proposi¸c˜ao 5 Seja p >2,pprimo.

(a) Exatamente p−₂1 dentre os números1,2, . . . , p−1 são quadrados módulop. (b) Considere a com mdc(a, p) = 1. Temos ap−21 ≡ ±1 (modp). Além disso,

ap−21 ≡1 (modp)se e somente se a´e quadrado m´odulop.

Demonstra¸cão: Os quadrados (não nulos) módulopsão 12≡(p−1)2,22≡(p−2)2, . . . ,(p−1

2 ) 2

≡(p+ 1 2 )

2_.

Note que cada quadrado aparece exatamente uma vez na lista acima poisx2 _≡_y2 (modp) implica p| (x+y)(x−y) e portanto x≡ ±y (mod p). Isto completa a prova do item (a).

Segue de Fermat que (ap−21)2≡1 (modp). Ora,x2≡1 (modp) implicax≡ ±1 (modp). Assim ap−21 ≡ ±1 (modp). Se a ´e quadrado m´odulo ptemos a ≡b2 e

ap−21 ≡bp−1≡1 (modp).

Resta demonstrar que seanão é quadrado módulopentãoap−21 ≡ −1 (modp). Uma forma de completar a demonstra¸cão é usar o fato que a congruênciaXp−21 ≡ 1 tem no máximo p−₂1 ra´ızes módulo p (a demonstra¸cão é análoga a de que um polinômio de grauk tem no máximok ra´ızes reais; veja, por exemplo, [3]). Outra forma é usar a existência de uma raiz primitiva: secé uma raiz primitiva módulo

p temos cp−21 ≡ −1 (modp) (de fato, c

p−1

2 ≡1 (modp) implica ordpc ≤ p−1 2 e

(5)

3 O teste probabil´ıstico de Miller-Rabin

A ideia ´e usar o pequeno teorema de Fermat para testar a primalidade de n: tomamos a, 1 < a < n, e calculamos an−1_mod_n_. _Se _n _{for primo teremos}

an−1_mod_n _{= 1; qualquer outro resultado indica que} _n _{´e composto mesmo sem} termos encontrado um fator den.

Observe que para calcularam_mod_n_n˜_{ao precisamos calcular}_a_·_a_{· · ·}_a_,_m_vezes. Sem=P

0≤i<Nbi2i,N =⌊log2m⌋, ent˜ao definimos

ek= X

0≤i<k

bN−k+i2i, ck=aekmodn

que pode ser reescrita recursivamente como

e0= 0, ek+1= 2ek+bN−k,

c0= 1, ck+1= (

c2

kmodn, bN−k= 0,

ac2

kmodn, bN−k= 1.

Fazendo as contas desta forma encontramoscN =ammodncom menos de 4 log2m opera¸c˜oes envolvendo inteiros menores do quen2_.

Se an−1_mod_n _{= 1, por outro lado, n˜}_{ao demonstramos que} _n _{é primo; se} _n for composto satisfazendoan−1 _≡_{1 (mod}_n_{) dizemos que} _n_{é um}_pseudoprimo _na base a. Pseudoprimos existem mas são raros (ver [4]): o menor pseudoprimo na base 2 é 341 = 11·31 e existem apenas 21 853 pseudoprimos na base 2 menores do que 2,5·1010 _{(contra 1 091 987 405 primos). Pomerance (melhorando um resultado} anterior de Erd˝os) provou que seP πa(x) é o número de pseudoprimos atéxna base

atemos

P πa(x)≤x·e−logx2 log loglog log logx x

paraxsuficientemente grande (os logaritmos são todos na basee). Vale comparar este resultado com o Teorema dos Números Primos, conjecturado por Gauß e pro-vado independentemente por Hadamard e de la Vallée Poussin em 1896, que diz que o número de primos atéxé

π(x)≈_logx_x.

Em particular, há muito mais primos do que pseudoprimos. A proposi¸cão abaixo exibe uma fam´ılia infinita de pseudoprimos na basea(para qualquer a >1 dado). Proposi¸cão 6 Sejama >1e pprimo tal que p >2 epnão dividea2₋₁_{. Ent˜}_ao

n= a 2p₋₁

a2₋₁ =

ap₋₁

a−1 ·

ap_{+ 1}

a+ 1

´e um pseudoprimo na base a.

Demonstra¸cão: Como a±1 são invers´ıveis módulo p e ap _≡ _a _(mod_p_{) pelo} pequeno teorema de Fermat,

ap₋₁

a−1 ≡

ap_{+ 1}

a+ 1 ≡1 (modp)

e verifica-se facilmente que estes n´umeros s˜ao ´ımpares donde n≡ 1 (mod 2p), ou

(6)

Uma ideia natural para contornar a dificuldade criada pela existência de pseudo-primos é a de testar vários valores dea. É um fato interessante que existam alguns raros números compostosn, chamadosnúmeros de Carmichael, com a propriedade de que se 0< a < ne mdc(a, n) = 1 entãoan−1_≡_{1 (mod}_n_{); os menores n´}_umeros de Carmichael são:

561 = 3·11·17, 1105 = 5·13·17, 1729 = 7·13·19, 2465 = 5·17·29, 2821 = 7·13·31; não é dif´ıcil verificar que estes números satisfazem a defini¸cão: encorajamos o leitor a tentar. Foi demonstrado recentemente por Alford, Granville e Pomerance que se

CN(x) é a quantidade de números de Carmichael menores do quexentão

CN(x)≥x2/7

paraxsuficientemente grande, o que implica na existˆencia de infinitos n´umeros de Carmichael.

Podemos refinar o conceito de pseudoprimo para definir pseudoprimos fortes

na basea. Para definir quando n´e um pseudoprimo forte na base ainicialmente escrevemosn−1 = 2k_·_b_{, com}_b_{´ımpar. Se}_{n >}_{2 ´e primo deve existir um menor valor} dej para o qual (ab₎2j

≡1 (modn) (observe que por Fermat (ab₎2k

≡1 (modn)). Se j = 0 isto significa que ab _≡ _{1 (mod}_n_{); caso contr´ario temos (}_ab₎2j−1

≡ −1 (modn) já que −1 é o único valor de x diferente de 1 (módulo n) para o qual

x2 _≡_{1 (mod}_n_{). Assim, dizemos que} _n _{composto ´ımpar ´e um pseudoprimo forte} na base a se ou ab _≡ _{1 (mod}_n₎ _ou _existe _j′ _{< k} _{com (}_ab₎2j′

≡ −1 (modn). Claramente todo pseudoprimo forte na base aé um pseudoprimo na base a mas pseudoprimos fortes são mais raros do que pseudoprimos. Observe também que se calcularmosan−1_mod_n_{pelo algoritmo sugerido no in´ıcio desta se¸cão então os} números (ab₎2k−j

modn ser˜ao calculados de qualquer forma (s˜ao oscN−j daquele algoritmo); assim este novo teste tem custo computacional praticamente igual ao do primeiro teste.

Existem infinitos pseudoprimos fortes em qualquer basea >1: Pomerance pro-vou que, seSP πa(x) é o número de pseudoprimos fortes na baseamenores ou iguais axentão

SP πa(x)≥e(logx)5/14

para todoxsuficientemente grande (ver [7]). Não existem “números de Carmichael fortes”: para todo número composto ´ımparnexiste 0< a < ncom mdc(a, n) = 1 e tal quen não é um pseudoprimo forte na basea. Melhor ainda, os valores de a

que servem de testemunha para a n˜ao-primalidade den s˜ao sempre relativamente frequentes. Mais precisamente, seja

α(n) = 1

ϕ(n)| {a|0< a < n, né um pseudoprimo forte na basea} |. Então para todo número composto ´ımpar n > 9 temosα(n)≤ 1/4. A igualdade vale exatamente para os compostosndas seguintes formas:

n=p1p2, p1, p2primos, p1≡3 (mod 4), p2= 2p1−1;

n=p1p2p3, p1, p2, p3 primos, pi≡3 (mod 4), nnúmero de Carmichael. Os menores exemplos de números compostosnda primeira forma para a qualα(n) = 1/4 são n = 15 = 3·5, n= 91 = 7·13 e n = 703 = 19·37. O menor exemplo de número composto da segunda forma é n = 8911 = 7·19·67. Sabe-se que existem menos do queN(1

2+ǫ)n´umeros compostosndestas formas menores do que

N; conjectura-se que o n´umero de compostos n da primeira forma seja maior do queN(1

(7)

O resultado acima serve de base para oalgoritmo Miller-Rabin, um exemplo de teste de primalidade probabil´ıstico. Dado n, tomamos t valores de a ao acaso no intervalo 1< a < n e verificamos para cadaa sen passa no teste de primalidade forte na basea. Senfor ´ımpar composto, a probabilidade de que um dadoaacuse a não-primalidade deaé maior do que 3/4 (pelo teorema); assim, a probabilidade de quenescape at testes é menor do que 4−t_{. Este tipo de teste é extremamente} ´

util em aplica¸cões (como em criptografia) onde é importante criar primos relativa-mente grandes mas não existe a preocupa¸cão com demonstra¸cões ou com perfei¸cão absoluta.

4 Testes determin´ısticos para n´

umeros especiais

Em outros contextos estamos interessados emtestes determin´ısticos: dado um in-teiro positivo n, queremos decidir, com certeza e em tempo curto (i.e., polinomial no n´umero de d´ıgitos), sen´e primo ou composto.

Podemos modificar o algoritmo de Miller-Rabin para torná-lo determin´ıstico testando todos os valores deaem um intervalo suficientemente grande: uma famosa generaliza¸cão da hipótese de Riemann implica que o intervalo de 1 até 2(logn)2_{já é} grande o bastante ([2]). Este algoritmo é rápido e geral, mas infelizmente depende de uma conjectura.

O seguinte resultado mostra que sob certas hipóteses as contas do teste de Miller-Rabin podem demonstrar a primalidade den (com um único valor dea). De fato, muitos dos maiores primos conhecidos são desta forma.

Teorema 7 (Proth) Seja n >1 inteiro. Suponha que n−1 = 2k_b _com ₂k _{> b}_.

Ent˜aon´e primo se, e somente se, existe um inteiroacoma(n−1)/2_{≡ −}_{1 (mod}_n₎_.

Demonstra¸c˜ao: Suponha que existeacomo acima. Sejaq|n, qprimo. Temos (ab₎2k−1

≡ −1 (modq) donde ordqab _{= 2}k_{. Assim 2}k _|_q₋_{1 e} _q _≥₂k_{. Se} _n _for composto temos

n≥(2k+ 1)2>(2kb+ 1) + 2k+1> n,

uma contradi¸c˜ao.

Se n é primo, podemos tomar a qualquer não quadrado módulo n; ou seja, metade dos inteiros entre 1 en−1 serve comoa.

Dada a fatora¸c˜ao de n−1 temos como generalizar este resultado para tentar demonstrar a primalidade den.

Proposi¸c˜ao 8 Seja n >1. Se para cada fator primo q den−1 existe um inteiro

aq tal queanq−1≡1 (modn)e a (n−1)/q

q 6≡1 (modn)ent˜ao n´e primo.

Demonstra¸c˜ao: Sejaqkq _{a maior potˆencia de}_q_{que divide}_n₋_{1. A ordem de}_a

q móduloné um múltiplo de qkq_{, donde}_ϕ₍_n_{) é um m´}_{ultiplo de}_qkq_{. Como isto vale}

para todo fator primoqden−1,ϕ(n) é um múltiplo den−1 ené primo.

Proposi¸c˜ao 9 (Pocklington) Sen−1 =qk_R_onde_q_{´e primo e existe um inteiro}

atal que an−1_≡_{1 (mod}_n₎_e_mdc(_a(n−1)/q₋₁_{, n}_{) = 1} _ent˜_{ao qualquer fator primo}

dené côngruo a1 móduloqk_.

(8)

Corol´ario 10 Se n−1 =F R, com F > R e para todo fator primo q deF existe

a >1tal que an−1_≡_{1 (mod}_n₎_e_mdc(_a(n−1)/q₋₁_{, n}_{) = 1}_ent˜_ao _n_{´e primo.}

Demonstra¸cão: Seja q um fator primo de F e qk _{a maior potência de} _q _que divide F; pela proposi¸cão anterior, todo fator primo de n deve ser côngruo a 1 módulo qk_{. Como isto vale para qualquer fator primo de} _F_{, segue que qualquer} fator primo dendeve ser côngruo a 1 módulo F. ComoF >√n, isto implica que

n´e primo.

De fato, basta conhecer um conjunto de fatores primos cujo produto seja maior do que (n−1)1/3 _{para, usando o resultado de Pocklington, tentar demonstrar a} primalidade den(o que deixamos como exerc´ıcio).

A melhor maneira conhecida de gerar primos extremamente grandes ´e procurar

primos de Mersenne, i.e., números da forma 2p−1,pprimo. Deixamos como exer-c´ıcio para o leitor verificar que se 2n₋_{1 é primo ent˜}_ao _n _{é primo. Os primeiros} primos de Mersenne são 3, 7, 31 e 127, correspondentes ap= 2,3,5,7; por outro lado, 211₋_{1 = 2047 = 23}_·_{89. São conhecidos hoje (abril de 2011) 47 primos de} Mersenne e os 9 maiores primos conhecidos são todos desta forma: o maior deles corresponde a p = 43 112 609 e tem 12 978 189 algarismos; os outros oito corres-pondem aos seguintes valores de p: 42 643 801, 37 156 667, 32 582 657, 30 402 457, 25 964 951, 24 036 583, 20 996 011, 13 466 917. Conjectura-se que existam infinitos primos de Mersenne. Lembramos que um inteiro positivo éperfeitose ele for igual à soma de seus divisores positivos próprios. Os primeiros números perfeitos são 6 e 28; não é dif´ıcil verificar que os números perfeitos pares são exatamente os números da forma 2p−1₍₂p₋_{1), onde 2}p₋_{1 é primo de Mersenne. Um dos poucos problemas} em aberto da Matemática que foram formulados na antiguidade é decidir se existem números perfeitos ´ımpares.

O critério de Lucas-Lehmer permite determinar com facilidade se um número de Mersenne é primo. Dado um primo p > 2, queremos decidir se n = 2p−1 é primo. SejamS0= 4,S1= 42−2 = 14, . . . ,Sk+1 =Sk2−2. Temos quené primo se e somente seSp−2é múltiplo de 2p−1. Esta seqüência cresce muito rápido, mas basta fazer as contas módulo 2p₋_{1 (ver [3], [5]). O seguinte fato crucial para a} demonstra¸cão pode ser verificado pelo leitor: para todok≥0,

Sk = (2 +

√

3)2k_{+ (2}₋√₃₎2k_.

Note que um número de MersenneMpé escrito na base 2 como 111. . .111, comp algarismos. Uma generaliza¸cão natural seriam os números escritos como 111. . .111 em outra base, isto é, números da forma (Bp₋₁₎_/₍_B₋_{1), onde}_B _{é a base. ´}_{E fácil} ver que um tal número só pode ser primo se p for primo. No caso B = 10 estes números são conhecidos como repunits. Não se conhece um critério análogo ao de Lucas-Lehmer para testar a primalidade de números deste tipo quando B >2. O maior primo conhecido desta forma é

28 8398 317₋₁ 28 838 ,

que tem 37 090 algarismos. Os únicos repunits (comprovadamente) primos conhe-cidos são para p= 2,19,23,317,1 031. Recentemente (entre 1999 e 2007), foram descobertos os seguintes valores deppara os quais os repunits correspondentes são

(9)

5 O teste determin´ıstico de

Agrawal, Kayal e Saxena

Permaneceu em aberto por muito tempo se existe um critério de primalidade deter-min´ıstico, rápido e geral. Este problema for resolvido por Agrawal, Kayal e Saxena, que criaram um tal algoritmo, também baseado no teorema de Fermat. Suponha-mos quexé uma variável, aum inteiro epum número primo. Usando o binômio de Newton temos que

(x+a)p = p X

j=0 _p

j

xp−jaj,

mas nos casos em que j ´e diferente de 1 e p, temos p | pj

logo todos os termos intermediários desta expansão são divis´ıveis porp, assim

(x+a)p≡xp+ap≡xp+a (modp)

onde na ´ultima igualdade usamos o teorema de Fermat (aqui P0 ≡ P1 (modN) significa que existe um polinˆomioS de coeficientes inteiros comP1−P0=N S, ou, equivalentemente, que para todok os coeficientes de xk _em_P

0 eP1 são côngruos módulon). Reciprocamente, se (x+a)N _≡_xN ₊_a _(mod_N_{) para algum inteiro}_a com mdc(a, n) = 1, vemos que N divide todos os coeficientes binomiais N_j

com 0< j < N. SeN fosse composto eq´e um fator primo deN, ent˜ao

N q

= N(N−1). . .(N−q+ 1)

q(q−1). . .1

Vemos que os únicos termos que são múltiplos de q nesta expressão são o N no numerador e oq no denominador, assim seqk _{é a maior potência de} _q _{que divide}

N, temos que qk _∤ N q

, logo N ∤ N_q

, absurdo. Assim,N ´e primo. Desta forma obtemos o seguinte crit´erio de primalidade:

N ´e primo ⇐⇒ (x+a)N ≡xN +a (modN), para todo a < N

⇐⇒ (x+a)N ≡xN +a (modN), para alguma < N, com mdc(a, N) = 1.

Este critério, por enquanto, é ineficiente, porque temos que calcular todos os coefi-ciente de (x+a)N _{e mostrar que todos os coeficientes intermediários são divis´ıveis} porN. Outra observa¸cão importante é que se os polinômios (x+a)N _e_xN₊_a_são iguais móduloN, então eles deixam o mesmo resto móduloN quando divididos por qualquer polinômio mônico. Em particular, se dividimos porxr₋_{1 temos que}

N ´e primo =⇒ (_{para todo}x+a)N ≡_{a < N, r}xN +a (mod xr−1, N) ∈N

(onde P0 ≡P1 (mod Q, N) significa que existem polinˆomiosR, S com coeficientes inteiros tais queP1−P0=QR+N S).

O fato importante, mostrado por Agrawal, Kayal e Saxena, é que para garantir a primalidade deN só precisamos testar que esta congruência é válida para um valor especial der(na versão original umrprimo para o qualr−1 tem um fator primo

q≥4√rlogN, o qual divide a ordem denm´odulor) que depende polinomialmente de logN e alguns poucos valores dea(veja [1], [3]).

1. EntradaN >1.

(10)

4. Se mdc(a, N)>1 para algum primoa≤r, retorna COMPOSTO. 5. Se√N < r, retorna PRIMO.

6. Paraa= 1 at´e⌊p

ϕ(r)/2 log2N⌋fa¸ca: Se (x+a)N 6≡xN +a (mod xr−1, N), retorna COMPOSTO;

7. Retorna PRIMO.

A outra pergunta proposta por Gauß permanece em aberto: se existe algoritmo rápido parafatorar inteiros. Um tal algoritmo teria grande relevância prática, com-prometendo as formas mais populares de criptografia. Existe ainda a possibilidade de que não exista um algoritmo rápido, mas que ainda assim exista uma máquina (no sentido f´ısico) capaz de fatorar inteiros rapidamente. De fato, a mecânica quântica parece permitir a constru¸cão de um computador quântico e Peter Shor encontrou um “algoritmo” que permite a um computador quântico fatorar inteiros em tempo polinomial [8].

Referˆ

encias

[1] M. Agrawal, N. Kayal e N. Saxena, PRIMES is in P, Ann. of Math. (2) 160 (2004), no. 2, 781–793.

[2] E. Bach, Explicit bounds for primality testing and related problems, Math. of Comp. 55 (1990), 355–380.

[3] F. Brochero, C. G. Moreira, N. C. Saldanha, E. Tengan,Teoria dos n´umeros: um passeio com primos e outros n´umeros familiares pelo mundo inteiro, Projeto Euclides, IMPA, 2010.

[4] M. Cipolla, Sui numeri composti P, che verificano la congruenza di Fermat

aP−1_≡_{1 (mod}_P_{), Annali di Matematica (3) 9, 1904, 139–160.}

[5] D. H. Lehmer, An extended theory of Lucas’ functions, Ann. Math. 31 (1930), 419–448. Reimpresso emSelected Papers, (ed. D. McCarthy), vol 1, Ch. Bab-bage Res. Center, St. Pierre, Manitoba, Canada, 11–48 (1981).

[6] W. H. Mills,A prime representing function, Bull. Amer. Math. Soc., 53 (1947), 604.

[7] C. Pomerance, A new lower bound for the pseudoprimes counting function, Illinois J. Math, 26, 1982, 4–9.