Teoria de números e criptografia RSA

(1)

Teoria de n´ umeros e criptografia RSA

Elaine Gouvˆ ea Pimentel

1

^o

Semestre - 2006

( ´ Ultima Modifica¸c˜ao: 4 de Maio de 2006)

1 Bibliografia e referˆ encias

Livro texto: S.C. CoutinhoN´umeros inteiros e criptografia RSA IMPA/SBM, 2000.

Outras referˆencias:

• Rosen, K. H., Elementary number theory and its applications, Addison- Wesley,1984.

• Koblitz, N.A course in number theory and criptography, Graduate Texts in Mathematics 97, Springer-Verlag, 1987.

Ao longo do curso, ser˜ao indicadas leituras complementares.

Qualquer d´uvida ou coment´ario, escrever para:

[email protected]

2 Introdu¸ c˜ ao

O objetivo desse curso é estudar o método de criptografia de chaves públicas conhecido comoRSA. Para entender como este método funciona, é necessário o estudo de alguns conceitos de uma área da matemática chamada Teoria de números. E, é claro, espera-se desenvolver, ao longo do curso, o racioc´ınio lógico matemático dos alunos, introduzindo métodos de prova de teoremas como indu¸cão matemática e demonstra¸cão por absurdo.

Deve ficar bem claro que este é um curso de matemática para cientistas da computa¸cão. Isto é, o rigor nunca será deixado de lado mas a aten¸cão estará sempre voltada para a aplica¸cão principal proposta: criptografia RSA.

(2)

2.1 Criptografia

• Criptografia: estuda os métodos para codificar uma mensagem de modo que só seu destinatário leg´ıtimo consiga interpretá-la.

• Prim´ordios: Cesar (transla¸c˜ao do alfabeto).

• Criptoan´alise: arte de decifrar c´odigos secretos.

• Decodificar x Decifrar (quebrar).

• Substituir letras por s´ımbolos - contagem de frequˆencia:

– vogais s˜ao mais frequentes;

– letra mais frequente: A;

– monoss´ılabo de uma letra = vogal;

– consoantes mais frequentes: SeM

Método de contagem de frequência de caracteres pode ser usado para decifrar inscri¸cões antigas.

• O surgimento dos computadores torna esse m´etodo de cifragem completa- mente inseguro (decifragem polinomial).

• Internet e criptografia: seguran¸ca,assinatura.

• Chave p´ublica: saber codificar n˜ao implica saber decodificar!

2.2 Criptografia RSA

• RSA: Rivest, Shamir, Adleman (M.I.T.) 1978.

• Codifica¸cão: basta conhecer o produto de dois primos (n = pq). n é chamadochave pública.

• Decodifica¸c˜ao: precisamos conhecerpeq(chave de decodifica¸c˜ao).

• Decifrar RSA = fatora¸c˜ao de n. Se n possui 150 algarismos ou mais, fator´a-lo levaria milhares de anos.

• Obs: É dif´ıcil determinar os fatores primos de um número composto, mas é poss´ıvel verificar se um número é primo ou composto sem tentar fatorá-lo.

• Teoria de números: parte da matemática que estuda números inteiros.

(3)

2.3 Computa¸ c˜ ao alg´ ebrica

• Chave p´ublica do RSA: multiplica-se dois primos muito grandes.

• Pascal, C: n˜ao permitem lidar com n´umeros dessa magnitude.

• Computa¸cão algébrica: trata do cálculo exato com inteiros, fra¸cões, etc.

Exemplo: Mathematica, Maple.

• Inteiro de tamanho indeterminado: de tamanho flex´ıvel, grandes o suficiente. Restri¸cões: tamanho da memória, estruturas de dados (vetores de tamanhos pré-fixados).

• Inteiros = listas! Algarismos = elemento da lista; opera¸cões de soma e multiplica¸cão: usuais, como com lápis e papel. Divisão é mais compli- cado...

3 Algoritmo da divis˜ ao de Euclides

3.1 Algoritmos

• Algoritmo = processo de c´alculo baseado em regras formais.

• Especifica¸c˜ao de um algoritmo: entrada + instru¸c˜oes + sa´ıda.

• Perguntas:

– ao executarmos um conjunto de instru¸c˜oes, sempre chegaremos a um resultado? (ponto fixo)

– o resultado obtido ´e sempre o desejado? (semˆantica)

3.2 Algoritmo da divis˜ ao

• Objetivo: encontrar o quocienteqe o restor(sa´ıda) da divis˜ao entre dois inteiros positivosaeb (entrada):

a=bq+r 0≤r < b.

• Algoritmo da divis˜ao:

Etapa 1: q= 0; r=a

Etapa 2: Ser < b, pare. Nesse caso, o quociente ´eq e o restor.

Etapa 3: Ser≥b, fa¸ca r:=r−b,q:=q+ 1 e volte `a Etapa 2.

• Observa¸c˜oes:

(4)

1. O algoritmo semprepara: sequˆencia decrescente de n´umeros inteiros positivos.

2. O resultado da aplica¸cão do algoritmo corresponde às especifica¸cões da sa´ıda (trivialmente).

3. O algoritmo ´eextremamente ineficiente, em especial sea >> b.

3.3 Teorema da Divis˜ ao

Teorema 1 (Teorema de divis˜ao) Sejam a e b inteiros positivos. Existem n´umeros inteiros qe rtais que

a=bq+r 0≤r < b Além disso,qer são únicos.

Prova .

Unicidade - Sejamq, q^′, r, r^′ tais que

a=bq+r 0≤r < b (1) a=bq^′+r^′ 0≤r^′< b (2) Subtraindo-se (1) de (2), obtemos:

r−r^′ =b(q^′−q)

Ora, mas 0≤r, r^′< b e portanto 0≤r−r^′< b. Ou seja, 0≤b(q^′−q)< b

Comob >0, temos

0≤q−q^′<1 ou seja,q−q^′= 0→q=q^′ er=r^′.

3.4 Algoritmo Euclideano

• Objetivo: Calcular omdcentre dois n´umeros inteiros.

• Defini¸cão: o máximo divisor comum entrea e b é o número d tal que:

– d|a(oud´e divisor dea) – d|b

– sed^′é divisor deaeb, entãod^′|d(em outras palavras,dé o máximo divisor deaeb.

(5)

• Escrevemos d = mdc(a, b). Se mdc(a, b) = 1, dizemos que a e b s˜ao primos entre si .

• Algoritmo Euclideano: Dados dois n´umeros inteiros positivos a e b tais que a ≥ b, divide-se a por b, encontrando resto r1. Se r1 6= 0, dividimos b por r1, obtendo resto r2. Se r2 6= 0, dividimos r1 por r2 e assim por diante.

O último resto diferente de zero dessa sequência de divisões é o mdc(a, b).

• Exemplo:

1234 54 46 8 6 2

46 8 6 2 0

Ou seja,mdc(1234,54) = 2.

• Perguntas:

1. Por que o último resto não nulo é omdc?

2. Por que o algoritmo para?

• Respostas:

a = bq1+r1 e 0≤r1< b b = r1q2+r2 e 0≤r2< r1

r1 = r2q3+r3 e 0≤r3< r2

r2 = r3q4+r4 e 0≤r4< r3

... ...

– Segunda pergunta: observe que

b > r1> r2> . . .≥0

Como essa sequência é finita, o algoritmo sempre para. Mais ainda, o número de divisões efetuadas é no máximo b (por que?).

– Primeira pergunta: demonstra¸c˜ao do algoritmo euclideano

3.5 Demonstra¸ c˜ ao do algoritmo euclideano

Lema 2 Sejama eb n´umeros inteiros positivos. Se existem inteirosg e stais quea=bg+s, ent˜ao mdc(a, b) =mdc(b, s).

Prova . Sejam

d1=mdc(a, b) e d2=mdc(b, s).

(6)

Afirmamos qued1≤d2. De fato,d1´e o m´aximo divisor deaeb. Logod1divide aeb e portanto existem inteiros positivosuev tais que:

a=d1u eb=d1v Substituindoaeb na equa¸c˜aoa=bg+sobtemos

s=d1u−d1v=d1(u−vg).

Ou seja,d1 divides. Comod1também divideb,d1é um divisor comum deb e s. Masd2é o maior divisor debese portanto (por defini¸cão)d1≤d2como quer´ıamos.

Seguindo um argumento semelhante, podemos provar o inverso, ou seja,d2≤d1. Em outras palavras,d1=d2

Teorema 3 Dados ae b inteiros positivos, o último resto diferente de zero da sequência de divisões dada pelo algoritmo euclideano para a e b é o máximo divisor comum entrea eb.

Prova .

Aplicando o algoritmo aaeb, temos:

a = bq1+r1 e 0≤r1< b b = r1q2+r2 e 0≤r2< r1

r1 = r2q3+r3 e 0≤r3< r2

r2 = r3q4+r4 e 0≤r4< r3

... ...

rn−2 = rn−1qn e rn= 0

Da ´ultima linha, temos quern−1dividern−2e portantomdc(rn−1, rn−2) =rn−1. Aplicando sucessivamente o lema 2, temos quemdc(a, b) =rn−1.

3.6 Algoritmo euclideano estendido

O resultado que mais vamos usar durante o curso sobremdc´e o seguinte:

Teorema 4 Sejam a e b inteiros positivos e seja d o m´aximo divisor comum entreaeb. Esxistem inteirosαeβ tais que

α.a+β.b=d.

Para demonstra¸c˜ao desse teorema, veja o livro texto, pag 29-31.

Vamos ilustrar a demonstra¸cão através de um exemplo numérico:

(7)

Exemplo 1 Sejama= 1234eb= 54. Temos que:

1234 = 54.22 + 46 ou seja, 46 = 1234−54.22 Seguindo pelo algoritmo de euclides,

54 = 46.1 + 8 ou seja, 8 = 54−46.1

Agora, observe que sabemos calcular46em fun¸c˜ao de1234e54. Ent˜ao, substi- tuindo:

8 = 54−46.1 = 54−(1234−54.22).1 = 54(1+22.1)+1234.(−1) = 54.(23)+1234.(−1) Continuando,

46 = 8.5 + 6 → 6 = 46−8.5

= (1234−54.22)−(54.(23) + 1234.(−1)).5

= 1234.(6) + 54.(−22−(23).5)

= 1234.(6) + 54.(−137) 8 = 6.1 + 2 → 2 = 8−6

= (54.(23) + 1234.(−1))−(1234.(6) + 54.(−137))

= 1234(−1−6) + 54(23 + 137)

= 1234(−7) + 54(160) Logo,α=−7 eβ= 160 uma vez quemdc(1234,54) = 2.

Observe que o teorema não diz que os valores deαeβ são únicos. Na verdade, existe uma infinidade de números que satisfazem a equa¸cãoαa+βb=d.

Pergunta: para que serve calcularαeβ?

Resposta:

• unicidade de fatora¸c˜ao de um inteiro;

• RSA depende de um m´etodo eficiente de c´alculo de αeβ.

3.7 Exerc´ıcios propostos

N˜ao deixem de fazer os seguintes exerc´ıcios do cap´ıtulo 1:

1(1),4,5,7,8,9.

(8)

4 Fatora¸ c˜ ao ´ unica

4.1 Teorema da fatora¸ c˜ ao ´ unica

Dizemos que um número inteiro positivo pé primo sep 6= 1 e os únicos divisores depsãope 1.

Se um número inteiro positivo (diferente de 1) não é primo, então ele é chamado de composto .

Teorema 5 (Teorema da fatora¸cão única) Dado um inteiro positivon≥2 podemos sempre escrevê-lo, de maneira única, na forma:

n=p^e₁¹. . . . .p^e_k^k

onde 1 < p1 < p2 < . . . < pk são números primos e e1, . . . , ek são inteiros positivos (multiplicidades).

4.2 Existˆ encia da fatora¸ c˜ ao

Algoritmo ingˆenuo: Dadon≥2 inteiro positivo, tente dividirnpor cada um dos inteiros de 2 an−1. Se algum desses inteiros (digamosk) dividirn, ent˜ao achamos um fator den.

Perguntas:

1. k´e primo ou composto?

2. Quando se deve parar a busca? Emn−1?

Respostas:

1. k ´e primo. De fato, suponhamos k composto. Logo, k = a.b com 1 <

a, b < k. Comokdivide n, existe (por defini¸c˜ao)cinteiro tal quen=k.c.

Logo,

n=a.b.c

ou seja,a ebsão fatores de nmenores que k, o que contraria a hipótese da minimalidade dek. Logo,ké primo.

2. Na verdade, podemos parar o algoritmo em √n. De fato, n = k.c ou c = ⁿ_k. Como k ´e o menor fator de n, k ≤ c. Logo, k ≤ ⁿk ou seja, k²≤n→k≤√n.

Podemos utilizar o algoritmo acima para achar todos os fatores primos de n.

Aplicando o algoritmo uma vez, encontramos o fator q1. Ent˜ao, aplicamos o

(9)

algoritmo ao número _qⁿ₁, determinando q2, o segundo fator primo de n. Para determinar o terceiro fator primoq3, aplicamos o algoritmo ao número _q₁ⁿ_.q₂ e assim por diante, até chegarmos em _q₁_.q₂_...qⁿ _s

−1 =qs, comqs primo. Observe queq1≤q2≤. . .≤qs−1≤qs e

n > n q1 > n

q1.q2 > . . . > n q1.q2. . . . .qs

>0, ou seja, o algoritmo sempre termina.

Exemplo 2 n= 450 = 2.3.3.5.5

4.3 Eficiˆ encia do algoritmo ingˆ enuo de fatora¸ c˜ ao

O algoritmo ´e simples mas muito ineficiente!

Exemplo 3 Seja n um número primo com 100 ou mais algarismos. Logo, n ≥ 10¹⁰⁰ e portanto √n ≥ 10⁵⁰. Logo temos que executar pelo menos 10⁵⁰ loops para determinar que n é primo. Suponhamos que o nosso computador execute 10¹⁰ divisões por segundo. Logo levaremos ¹⁰₁₀⁵⁰¹⁰ = 10⁴⁰ segundos, ou seja, 10³¹ anos na frente da tela do computador aguardando... Observe que o tempo estimado de existência do universo é10¹¹ anos!

O algoritmo é bom para números pequenos. É importante ressaltar que não existe (atualmente) algoritmo de fatora¸cão eficiente para todos os inteiros . Disso depende a seguran¸ca do RSA!

Não se sabe, entretanto, se tal algoritmo não existe mesmo ou se não fomos espertos o suficiente para inventá-lo...

4.4 Fatora¸ c˜ ao por Fermat

• Eficiente quandontem um fator primo n˜ao muito menor que√n.

• Id´eia: tentar achar n´umeros inteiros positivosxey tais quen=x²−y².

• Caso mais f´acil: n=r² (x=r ey= 0).

• Sey >0, ent˜ao

x=p

n+y²>√ n

Nota¸c˜ao: escrevemos [r] como a parte inteira do n´umero realr.

Algoritmo de Fermat:

Etapa 1: Fa¸cax= [√n]; sen=x², pare.

(10)

Etapa 2: Incrementexde uma unidade e calculey=√ x²−n.

Etapa 3: Repita a etapa 2 até encontrar um valor inteiro paray, ou até quex= ⁿ⁺¹₂ . No primeiro caso,ntem fatoresx+y ex−y; no segundo,né primo.

Exemplo 4 Seja n= 1342127. Temos quex= 1158. Mas x²= 1158²= 1340964<1342127 Logo, passamos a incrementarxat´e que

px²−n

seja inteiro oux=ⁿ⁺¹₂ , que nesse caso vale 671064:

x √

x²−n 1159 33,97 1160 58,93 1161 76,11 1162 90,09 1163 102,18

1164 113

Logo,x= 1164ey= 113. Os fatores procurados s˜aox+y= 1277ex−y= 1051.

Faremos aqui apenas a demonstra¸cão de que, se né primo, então o único valor poss´ıvel paraxé x= ⁿ⁺¹₂ . Relembrando,x ey são inteiros positivos tais que n=x²−y². Ou seja,

n= (x−y)(x+y)

Como estamos supondonprimo, temos quex−y= 1 ex+y=n. Logo, x= 1 +n

2 e y= n−1

2 como quer´ıamos.

Veja a demonstra¸c˜ao completa do algoritmo no livro texto, p´aginas 41 a 43.

Observa¸cão: Esse algoritmo diz algo importante sobre o RSA. Se escolhermos pe q muito próximos, então n =p.q é facilmente fatorável pelo algoritmo de Fermat.

4.5 Propriedade fundamental dos primos

Lema 6 Sejama, b, cinteiros positivos e suponhamos queaebs˜ao primos entre si. Ent˜ao:

1. Se bdivide o produto a.cent˜aob divide c.

(11)

2. Se aeb dividem cent˜ao o produtoa.b dividec.

Prova mdc(a, b) = 1. Pelo Algoritmo euclideano estendido, existem α e β tais que

α.a+β.b= 1 Ent˜ao,

α.a.c+β.b.c=c

Comobdivide a.cpela hip´otese (1) e comobdivide β.b.c, ent˜ao bdividec.

Para provar a segunda afirmativa, sea dividec, podemos escreverc=at para algum inteiro t. Mas b tamb´em dividec. Comomdc(a, b) = 1, pela afirma¸c˜ao (1),bdivide t. Logo,t=b.k para algum inteiroke portanto,

c=a.t=a.b.k

Podemos usar o lema acima para provar se seguinte propriedade:

Propriedade fundamental dos primos Seja p um primo e a e b inteiros positivos. Sepdivide o produtoa.b, ent˜aopdividea ou pdivideb.

A demonstra¸c˜ao fica como exerc´ıcio (fa¸cam!).

4.6 Unicidade

A prova de unicidade da fatora¸cão de números primos decorre facilmente da propriedade fundamental dos primos. A demonstra¸cão se dá por absurdo.

Sejanomenor inteiro positivo que admite duas fatora¸c˜oes distintas. Podemos escrever:

n=p^e₁¹. . . . .p^e_k^k =q₁^r¹. . . . .q_s^r^s

ondep1< p2< . . . < pk eq1 < q2 < . . . < qss˜ao primos e e1, . . . , ek, r1, . . . , rs

s˜ao inteiros positivos.

Comop1dividen, pelapropriedade fundamental dos primosp1 deve dividir um dos fatores do produto da direita. Mas um primo s´o pode dividir outro se forem iguais. Ent˜aop1=qj para algumj entre 1 es. Logo,

n=p^e₁¹. . . . .p^e_k^k = q₁^r¹. . . . .q_j^r^j. . . . .q_s^r^s

= q₁^r¹. . . . .p^r₁^j. . . . .q_s^r^s

Podemos então cancelarp1que aparece em ambos os lados da equa¸cão, obtendo m=pê₁¹⁻¹. . . . .pê_k^k =q₁^r¹. . . . .p^r₁^j⁻¹. . . . .q^r_s^s

onde m é um número menor que n que apresenta duas fatora¸cões distintas.

ABSURDO pois isso contraria a minimalidade den.

(12)

4.7 Exerc´ıcios propostos

1. Prove apropriedade fundamental dos primos.

2. Demonstre que, sepé um número primo, então√pé um número irracional.

3. Livro texto: 2, 4, 5, 8, 11, 12.

5 N´ umeros primos

At´e agora:

• propriedades b´asicas dos n´umeros inteiros;

• dois algoritmos fundamentais;

Nessa se¸cão, discutiremos métodos ingênuos para encontrar primos.

5.1 F´ ormulas Polinomiais

Considere o polinˆomio:

f(x) =an.xⁿ+an−1.xⁿ⁻¹+. . .+a1.x+a0

ondean, an−1, . . . , a1, a0são números inteiros e que satisfaz a condi¸cão:

f(m) ´e primo, para todo inteiro positivom Exemplo 5 Seja f(x) =x²+ 1 Logo,

x f(x)

1 2

2 5

3 10

4 17

5 26

6 37

7 50

8 65

9 82

2 5

• x´ımpar→f(x) par;

• f(8) = 65 composto...

(13)

A pergunta que surge então é: isso é fruto do azar?

Teorema 7 Dado um polinˆomio f(x)com coeficientes inteiros, existe uma infinidade de inteiros positivosmtais que f(m)´e composto.

Prova .

Vamos Provar o teorema apenas no caso em que o polinˆomio tem grau 2. Ou seja, consideraremosf do tipo:

f(x) =a.x²+b.x+c

Podemos supor a > 0. Suponhamos que existam tal que f(m) =p ondep´e primo. Calculandof(m+hp):

f(m+hp) = a(m+hp)²+b(m+hp) +c

= (am²+bm+c) +p(2amh+aph²+bh)

= p(1 + 2amh+aph²+bh)

Ou seja, se 1+2amh+aph²+bhé composto entãof(m+hp) também é composto.

Mas isso ´e verdade sempre que

1 + 2amh+aph²+bh >1 ou seja, se

2amh+aph²+bh=h.(2am+aph+b)>0 Como podemos sempre tomarhpositivo, temos:

2am+aph+b >0→h > −b−2am a.p

Existe uma infinidade de números dessa forma. Logo, se existe inteiro m tal quef(m) é primo, então existe uma infinidade de tais números.

Conclusão: não existe uma fórmula polinomial (em uma variável) para primos .

5.2 F´ ormulas exponenciais: n´ umeros de Mersenne

• N´umeros de Mersenne s˜ao aqueles da forma:

M(n) = 2ⁿ−1 onden´e um inteiro n˜ao negativo.

• Números perfeitos são aqueles iguais à metade da soma de seus divisores. Ex: 6 = 12/2 e 12 = 1 + 2 + 3 + 6

(14)

• Nenhum primo ´e perfeito.

• Resultado: 2ⁿ⁻¹.(2ⁿ−1) ´e perfeito se 2ⁿ−1 ´e primo.

• Outro resultado: Todo n´umero perfeito par possui a forma acima. Ex:

6 = 2²⁻¹(2²−1)

• O que n˜ao se sabe: se existem n´umeros perfeitos ´ımpares.

• Pergunta: Quais são os números de Mersenne primos? Exemplos: quando n= 2,3,5,7,13,17,19,31,61.... Observe que os expoentes são todos primos, mas nem todos primos fazem parte dessa lista. Por exemplo,

M(11) = 2047 = 23.89

5.3 F´ ormulas exponenciais: n´ umeros de Fermat

• N´umeros de Fermat s˜ao aqueles da forma:

F(n) = 2²ⁿ+ 1 onden´e um inteiro n˜ao negativo.

• Exemplos de n´umeros de Fermat primos:n= 0,1,2,3,4. F(5) = 18446744073709551617

´e composto!

• Poucos primos de Fermat são conhecidos.Até hoje, não se descobriu nen- humF(n) primo comn≥5.

5.4 F´ ormulas fatoriais

Sejapum primo positivo. Construiremos uma fun¸cão semelhante ao fatorial, só que apenas os primos são multiplicados. Vamos chamá-la dep^#. Ou seja,p^#é o produto de todos os primos menores ou iguais ap. Ex: 5^#= 2.3.5 = 30 Observe que sepeqsão primossucessivos, então

p^#=q^#.p

Estaremos interessados nos n´umeros da forma p^#+ 1. Embora p^#+ 1 nem sempre seja primo (Ex. 13^#+ 1 = 30031 = 59.509), podemos mostrar que n˜ao tem nenhum fator primo menor ou igual ap. Desta forma, temos um algoritmo para calcular primo.

Pergunta: qual ´e o problema de tal algoritmo?

Observa¸c˜ao final: p^#+ 1 quase nunca ´e primo!

(15)

5.5 Infinidade de primos

Teorema 8 Existem uma infinidade de primos Prova .

Digamos que exista uma quantidade finita de primos:

{p1, p2, . . . , pk}

Podemos supor que esses primos estão ordenados, de modo que pk é o maior deles. Considere o númerop^#_k + 1. Como vimos, esse número possui fator primo maior quepk. ABSURDO!

5.6 Crivo de Erat´ ostenes

O crivo de Eratóstenes é o mais antigo dos métodos para encontrar primos.

Etapa 1: Listamos os n´umeros ´ımpares de 3 an.

Etapa 2: Procure o primeiro n´umerokda lista. Risque os demais n´umeros da lista, dekemk.

Etapa 3: Repita a etapa 2 at´e chegar emn.

Observa¸c˜oes:

1. Podemos parar em√n...

2. Podemos come¸cara riscar a partir dek²...

5.7 Crivo de Erat´ ostenes revisado

Etapa 1: Crie um vetorv de ⁿ⁻₂¹ posi¸c˜oes, preenchidas com o valor 1; fa¸caP = 3.

Etapa 2: SeP²> n, escreva os números 2j+ 1 para os quais a j-ésima entrada de vé 1 e pare;

Etapa 3: Se a posi¸c˜ao ^(P⁻₂¹⁾ dev est´a preenchida com 0 incrementeP de 2 e volte

`a Etapa 2.

Etapa 4: Atribua o valorP² a uma nova variávelT; substitua por zero o valor da posi¸cão ^(T⁻₂¹⁾ e incrementeT de 2P; repita até queT > n; incremente P de 2 e volte à Etapa 2.

(16)

5.8 Exerc´ıcios propostos

1. Entenda e implemente o algoritmo da pag 65 do livro texto.

2. Livro texto: 1, 3 a 7, 8 e 10.

6 Aritm´ etica modular

Aritmética modular = aritmética dos fenômenos c´ıclicos.

Exemplos: Horas, dias do mˆes, letras do alfabeto, etc.

6.1 Rela¸ c˜ oes de equivalˆ encia

SejaX um conjunto e∼uma rela¸cão entre elementos de X. Dizemos que∼é uma rela¸cão de equivalência se, para todosx, y, z∈ X :

Reflexiva x∼x.

Sim´etrica Sex∼y ent˜aoy∼x.

Transitiva Sex∼y ey∼zent˜aox∼z.

Exemplos:

• <nos inteiros n˜ao satisfaz reflexividade;

• ≤nos inteiros satisfaz reflexividade, mas n˜ao satisfaz simetria;

• 6= é reflexiva, simétrica mas não transitiva;

• rela¸cão de equivalência: = nos números inteiros.

Rela¸cões de equivalência: são usadas para classificar os elementos de um conjunto em subconjuntos com propriedades semelhantes. As subdivisões de um conjunto produzidas por uma rela¸cão de equivalência são conhecidas como classes de equivalência. Formalmente, sejaX um conjunto e ∼uma r.e. definida em X. Sex∈ X então a classe de equivalência dexé o conjunto de elementos deX que são equivalentes axpor∼. Denotamos:

x={y∈ X :y∼x}. Propriedades:

• Qualquer elemento de uma classe de equivalˆencia ´e um representante de toda a classe.

(17)

• X é a união de todas as classes de equivalência.

• Duas classes de equivalˆencia distintas n˜ao podem ter um elemento em comum.

O conjunto das classes de equivalência de ∼ em X é chamado de conjunto quociente deX por∼. Observe que os elementos do conjunto quociente são subconjuntos de X. Isto é, o conjunto quociente não é um subcojunto de X, mas um subconjunto daspartesdeX.

6.2 Inteiros m´ odulo n

Vamos construir uma rela¸cão de equivalência no conjunto dos inteiros. Digamos que, pulando den em n, todos os inteiros são equivalentes. Ou melhor: dois inteiros cuja diferen¸ca é um múltiplo densão equivalentes. Formalmente, dizemos que dois inteirosaebsão congruentes módulo n sea−bé múltiplo den. Escrevemos:

a≡b (modn) Exemplos:

10≡0 (mod 5) 23≡1 (mod 11)

Observa¸cão: Congruência móduloné uma rela¸cão de equivalência:

• a≡a (modn) (trivialmente)

• Sea≡b (modn), entãoa−b é múltiplo den. Masb−a=−(a−b);

logo,b−atambém é múltiplo den. Portanto b≡a (modn).

• Transitividade: exerc´ıcio.

Chamamos deZⁿ o conjunto deinteiros m´odulon. Ou seja, sea∈ Z, ent˜ao a={a+kn|k∈ Z}

Em particular, 0 ´e o conjunto dos m´ultiplos de n.

Voltemos agora ao algoritmo da divis˜ao de Euclides. Vimos que, dadosa en inteiros positivos,a > n, existem inteiros qertais que

a=n.q+r o≤r≤n−1 Ou seja,a−r≡0 (modn) e portantoa≡r (mod n).

Em outras palavras,

Zⁿ={0,1, . . . , n−1} .

(18)

6.3 Artim´ etica modular

Sejamaebclasses deZⁿ. Ent˜ao,

a+b=a+b Exemplo:

5 + 4≡9≡1 (mod 8) Logo,

5 + 4 = 9 = 1

Adiferen¸caentre duas classes ´e definida de maneira an´aloga.

A fórmula para a multiplica¸cão das classesaebdeZⁿ é:

a.b=a.b Propriedades da adi¸c˜ao:

A1 (a+b) +c=a+ (b+c).

A2 a+b=b+a.

A3 a+ 0 =a.

A4 a+−a= 0.

Propriedades da multiplica¸c˜ao:

M1 (a.b).c=a.(b.c).

M2 a.b=b.a.

M3 a.1 =a.

AM a.(b+c) =a.b+a.c.

Exemplo: emZ⁶,

2.3 = 6 = 0!!!

6.4 Crit´ erios de divisibilidade

• Divisibilidade por 3: 3|a se a soma de todos os algarismos de a ´e divis´ıvel por 3.

Prova Seja

a = an.an−1. . . . .a1.a0

= an.10ⁿ+an−1.10ⁿ⁻¹+. . .+a1.10 +a0

(19)

Como 10≡1 (mod 3),

a≡an+an−1+. . .+a1+a0 (mod 3) Logo,a≡0 (mod 3) se e somente se

an+an−1+. . .+a1+a0≡0 (mod 3)

Observe que podemos usar o mesmo argumento para provar que um número inteiro é divis´ıvel por 9 se a soma de seus algarismos é divis´ıvel por 9 (10≡1 (mod 9)).

• Divisibilidade por 11: 11|a se a soma alternada de todos os algarismos de a´e divis´ıvel por 11. Prova Observe que 10≡ −1 (mod 11).

Portanto,

10^k ≡(−1)^k (mod 11)

´e igual a 1 ou -1 dependendo da paridade dek. Logo,

a≡(−1)ⁿ.an+ (−1ⁿ⁻¹).an−1+. . .+a2−a1+a0 (mod 11)

6.5 Potˆ encias

A aplica¸cão mais importante de congruências no nosso curso é no cálculo de resto da divisão de uma potência por um número qualquer.

Vamos ilustrar como isso é feito na prática através de um exemplo.

Suponhamos que o objetivo seja calcular 35¹⁵ (mod 20)

Em primeiro lugar, escrevemos o expoente 15 na base 2:

15 = 2³+ 2²+ 2 + 1 Logo,

35¹⁵ = 35²³⁺²²⁺²⁺¹ = 35.35².35²².35²³

= 35.(35)².(35²)².((35²)²)²

Como 35≡15 (mod 20), 15²≡5 (mod 20) e 5²≡5 (mod 20), temos:

35¹⁵ = 35.35².35²².35²³

≡ 15.(15)².(35²)².((35²)²)² (mod 20)

≡ 15.5.(5)².((35²)²)² (mod 20)

≡ 15.5.5.(5)² (mod 20)

≡ 15.5.5.5 (mod 20)

≡ 15.5 (mod 20)

≡ 15 (mod 20)

(20)

6.6 Equa¸ c˜ oes diofantinas

Uma equa¸cão diofantina é uma equa¸cão em várias incógnitas com coeficientes inteiros. Por exemplo, xⁿ +yⁿ = zⁿ. Estaremos interessados em encontrar as solu¸cões inteiras dessas equa¸cões.

E claro que tais equa¸c˜´ oes podem ter infinitas solu¸c˜es. Por exemplo,x+y= 2.

Ou nenhuma, como no caso da equa¸c˜ao x³−117y³= 5

E muito fácil ver que isso é verdade através da redu¸c˜´ ao módulo 9. De fato, como 117 é divis´ıvel por 9,

x³−117y³≡x³≡5 (mod 9)

Logo, se a equa¸c˜ao acima tivesse solu¸c˜ao, dever´ıamos ter x³ ≡ 5 (mod 9).

Mas: classes m´odulo 9: 0 1 2 3 4 5 6 7 8

cubos módulo 9: 0 1 8 0 1 8 0 1 8 Ou seja, x³ ≡ 5 (mod 9) não tem solu¸cão.

6.7 Divis˜ ao modular

Teorema 9 (Teorema da invers˜ao) A classe a tem inverso emZⁿ se e somente seaens˜ao primos entre si.

Prova (⇒) Suponha queatem inverso. Ent˜ao existebtal que a.b≡1 (modn)

Logo,

a.b+k.n= 1 e portantomdc(a, n) = 1.

(⇐) Suponhamdc(a, n) = 1. Logo existemαeβ tais que:

α.a+β.n= 1 Ou seja,

α.a≡1 (mod n) e portantoatem inverso emZⁿ.

O conjunto dos elementos deZⁿ que têm inverso é muito importante. Vamos denotá-lo porU(n). Em outras palavras,

U(n) ={a∈ Z(n)|mdc(a, n) = 1}

(21)

No caso den=pser primo,

U(p) =Z(n)\ {0}

Uma propriedade importante de U(n) é que esse conjunto é fechado com rela¸cão à multiplica¸cão . Em outras palavras, o produto de dois elementos deU(n) é um elemento deU(n). Em particular, podemos dividiraporbemZ(n) somente se b ∈ U(n); nesse caso, b⁻¹ também pertencerá a U(n) e â_b ≡ a.b⁻¹ (modn).

Podemos utilizar o que aprendemos para resolver congruˆencias lineares emZ(n).

Uma congruência linear é uma equa¸cão do tipo:

a.x≡b (mod n) ondea, b∈ Z. A solu¸cão dessa equa¸cão é:

x≡α.b (mod n) ondeα´e o inverso deam´odulon.

Conclusão: Se mdc(a, n) = 1 então a congruência linear a.x ≡ b (modn) tem uma e só uma solu¸cão emZⁿ.

6.8 Exerc´ıcios propostos

4, 5, 6(b), 7, 10 e 11

7 Primeira Prova de ´ Algebra A

Quest˜ao 1 - a) Calculed=mdc(252,198).

b) Encontre dois n´umeros inteiros aeb tais que:

a.252 +b.198 =d (1)

Resolu¸c˜ao: 252=198+54 54=252-198

198=3.54+36 36=198-3.54 =198-3.(252-198)

=-3.252+4.198

54=36+18 18=54-36 =252-198-(-3.252+4.198)

=4.252+(-5).198 Deste modo,mdc(252,198) = 18 ea= 4, b=−5

(22)

Questão 2 - Verifique se as proposi¸cões abaixo são verdadeiras ou falsas. Dê uma demonstra¸cão (= justificativa clara e bem escrita) ou um contra-exemplo para justificar a sua conclusão.

(a) Sepé um número primo, então√pé um número irracional.

(b) Se um n´umero inteiroAse escreve em base 8 na formaanan−1...a1a0, com 0≤ai≤7, ent˜ao 2|A se e somente sea0= 0.

(c) Sep >3 é um número primo ep≡a( (mod 3)), entãomdc(a,3) = 1.

(d) Todo número inteiro representável com três algarismos iguais na base 10 é divis´ıvel por 37.

(e) Sexey s˜ao inteiros ´ımpares, ent˜aox²+y²=p² para algum primop.

Resolu¸c˜ao:

a) V- Suponha que existam a, b ∈ ℵ tais que √p = ^a_b. Podemos supor mdc(a, b) = 1. Logo,

p.b²=a²

e portanto p|a². Pela propriedade fundamental dos primos, p|a. Logo, existec∈ ℵtal quea=pc.

p.b²=p².c²=⇒b²=p.c²=⇒p|b²=⇒p|b

Mas isso ´e um absurdo uma vez que estamos supondomdc(a, b) = 1.

b) F - Seja A = anan−1. . . a1a0 um n´umero na base 8. Ent˜ao 2|A se e somente seA≡0 (mod 2). Observe que

A=an.8ⁿ+. . .+a1.8 +a0≡a0 (mod 2)

ou seja, 2|A se e somente se 2|a0. Deste modo, 2|A se e somente se a0∈ {0,2,4,6}.

c) V- Sep≡a (mod 3), então o resto da divisão depeapor 3 é o mesmo.

Comop´e primo, p >3, temos que

p≡1 (mod 3) ou p≡2 (mod 3) Logo,a≡1 (mod 3) ou a≡2 (mod 3), ou seja,

a= 3n+k, com k= 1,2

Pelo algoritmo euclideano,mdc(a,3) =mdc(k,3) = 1 parak= 1,2.

(23)

d) V- Sejan=aaa=a(111). Como 111 = 3.37, aaa≡a(111)≡0 (mod 37)

e) F- Sexey s˜ao ´ımpares, ent˜ao existemnemtais que x= 2n+ 1, y= 2m+ 1 Logo,

x²+y² = 4n²+ 4n+ 1 + 4m²+ 4m+ 1

= 2(2n²+ 2n+ 2m²+ 2m+ 1)

= 2k

ondeké um número ´ımpar. Logo não existep∈ ℵtal que x²+y²=p²

Observe quepn˜ao precisa ser primo: vale para qualquer n´umero natural.

Quest˜ao 3 -Resolva um (e apenas um) dos exerc´ıcios abaixo:

(a) Sejapum número primo. Mostre que um inteiro positivo aé o seu próprio inverso módulop (ou seja,a² ≡1 (modp)) se e somente sea≡1 (mod p) oua≡ −1 (modp).

(b) Calcule 12³⁵ (mod 23).

Resolu¸c˜ao:

a) (=⇒) Suponhamosa²≡1 (modp). Logo,

(a²−1)≡0 (modp) =⇒p|(a+ 1)(a−1)

Pela propriedade fundamental dos primos,p|(a+ 1) oup|(a−1). Logo, a≡1 (modp) ou a≡ −1 (modp)

(⇐=) Trivial!

b) Observe que 35 = 2⁵+ 2 + 1. Logo,

12³⁵ ≡ 12²⁵.12².12

≡ 2.6.12

≡ 2.3

≡ 6 (mod 23)

(24)

8 Indu¸ c˜ ao e Fermat

8.1 Indu¸ c˜ ao finita

Seja P(n) uma proposi¸c˜ao que afirma que uma determinada propriedade vale para cada n´umero naturaln. Por exemplo:

• Sepé um número primo, entãon^p−né divis´ıvel porppara todo natural n.

• A soma de 1 at´en´e ⁿ⁽ⁿ⁺¹⁾₂

Para provarP(n), em geral usamos o princ´ıpio da indu¸cão finita : Princ´ıpio da indu¸cão finita Para que uma proposi¸cãoP(n) seja verdadeira para todonnatural, basta que:

1. P(1) seja verdadeira.

2. Se P(k) for verdadeira para algum número natural k, então P(k+ 1) também é verdadeira.

8.2 Pequeno teorema de Fermat

Lema 10 Seja pum n´umero primo ea, binteiros. Ent˜ao, (a+b)^p≡a^p+b^p (mod p) Prova Veja livro texto, pag 94.

Teorema 11 (Teorema de Fermat) Sejapum número primo eaum número inteiro. Então

a^p≡a (modp).

Prova

• Sen= 1, ent˜ao 1^p≡1 (modp) trivialmente.

• Suponhamos quen^p≡n (modp) para algumninteiro positivo. Usando o lema anterior,

(n+ 1)^p≡n^p+ 1^p≡n^p+ 1 (modp) Como pela hip´otese de indu¸c˜ao temosn^p≡n (modp),

(n+ 1)^p≡n^p+ 1≡n+ 1 (modp) Como quer´ıamos demonstrar.

(25)

Caso geral: veja pag 95 do livro texto.

Teorema 12 (Teorema de Fermat II) Seja pum número primo eaum inteiro que não é divis´ıvel porp. Então,

a^p⁻¹≡1 (modp).

Prova Comomdc(a, p) = 1, existe a^′ tal que aa^′≡1 (mod p)

Multiplicando ambos os membros dea^p≡a (modp).por a^′, obtemos:

a^′.a.a^p⁻¹≡a^′.a (modp).

Logo,

a^p⁻¹≡1 (modp).

Podemos simplificar algumas contas usando o Teorema de Fermat. De fato, sejamp primo, a inteiro tal quemdc(a, p) = 1 e k um n´umero inteiro tal que k≥p−1. Dividindokporp−1,

k= (p−1).q+r 0≤r <(p−1) Logo,

a^k ≡a^(p⁻^1).q+r≡(a^p⁻¹)^q.a^r (mod p).

Mas (a^p⁻¹)≡1 (modp) e portanto

a^k≡a^r (mod p).

8.3 Exerc´ıcios propostos

1,3,46,7,8,12

9 Pseudoprimos

Nesta se¸cão, veremos com usar o pequeno teorema de Fermat para identificar que um número é composto sem fatorá-lo .

(26)

9.1 Pseudoprimos

De acordo com o teorema de Fermat, sepé primo e aé um inteiro qualquer, entãoa^p≡a (mod p). Desta forma, é claro que, sené um número composto, então existe um inteirobtal quebⁿ\ ≡b (mod n) (usaremos o s´ımbolo\ ≡para significar não equivalente). Observe que, na prática, só precisamos considerar os inteirosbno intervalo 1< b < n−1 (por que?).

Desta forma, temos um método para determinar se um número é composto sem termos que fatorá-lo:

TesteSen, bsão números inteiros,n >0 e 1 < b < n−1, tais quebⁿ⁻¹\ ≡1 (modn), entãoné composto.

A pergunta que surge então é: o teste acima é um procedimento de decisão?

Isto é, o fato de não encontrarmos talbsignifica que né primo?

Resposta: Observe que, sené composto, então existepprimo, 1< p < n−1 tal quep|n. Logo,mdc(p, n) =p6= 1 e portanto pnão é invers´ıvel módulon.

Desta forma,pⁿ⁻¹\ ≡1 (modn).

E claro que esse n˜´ ao ´e um m´etodo eficiente para testar primalidade uma vez que

é um método de exaustão.

Outra pergunta interessante que surge é a seguinte: será que, se um número

´ımparnque satisfa¸ca:

bⁿ⁻¹≡1 (mod n)

paraalgum1< b < n−1 é primo? Infelizmente, a resposta énão. Por exemplo, 2³⁴⁰ ≡1 (mod 341) mas 341 = 11.31 não é primo! Esses “falsos primos” são conhecidos comopseudoprimos. Ou seja, um pseudoprimo npara a baseb

´e um n´umero inteiro positivo´ımpar e compostotal que bⁿ⁻¹≡1 (mod n)

Apesar de `as vezes dar errado, esse teste (chamado de teste de Leibniz) ´e muito

´

util. Tambe´em ´e poss´ıvel melhorar o resultado do teste se testarmos para duas bases.

Exemplo 6 Existem 50.847.534 primos entre 1 e 10⁹; existem apenas 5597 pseudoprimos na base 2 e 1272 pseudoprimos para as bases 2 e 3.

9.2 N´ umeros de Carmichael

Como vimos anteriormente, não existem números que sejam pseudoprimos para todas as bases. Entretanto, pode ocorrer que um número composto n seja pseudoprimo para todas as basesbtais quemdc(b, n) = 1.

Dizemos que um número composto ´ımpar é um número de Carmichael se bⁿ≡b (mod n).

(27)

Os n´umeros de Carmichael possuem duas propriedades muito interessantes, dadas pelo teorema baixo:

Teorema 13 (Teorema de Korselt:) Um inteiro positivo ´ımparné um número de Carmichael se, e somente se, cada fator primop den satisfaz as seguintes condi¸cões:

1. p² n˜ao dividen;

2. p−1 dividen−1.

Prova (=⇒) Sejapum fator primo den. Ent˜ao, bⁿ≡b (modp)

De fato, se b é divis´ıvel por p então ambos os membros da equivalência são congruentes a zero. Se não, pelo teorema de Fermat temos:

b^p⁻¹≡1 (modp)

Pela condi¸c˜ao (2) do teorema,n−1 = (p−1).qpara algumq. Logo, bⁿ≡(b^p⁻¹)^q.b≡b (modp)

Por (1), temos quen=p1. . . pk comp1< p2< . . . < pk. Como os primos s˜ao distintos,bⁿ−b´e divis´ıvel pelo produtop1.p2. . . . .pk=n. Em outras palavras,

bⁿ≡b (mod n) e portanton´e um n´umero de Carmichael.

(⇐=) Seja n um n´umero de Carmichael e suponhamos que exista pprimo tal quep²|n. Escolhab=p. Ent˜ao:

pⁿ−p=p(pⁿ⁻¹−1)

Masp não divide pⁿ⁻¹−1, logo p² não pode dividirpⁿ−p. Portanto,n não pode dividirpⁿ−p. Em outras palavras, p≡p (modn). Absurdo.

O restante da demonstra¸cão depende doteorema da raiz primitiva, que só será vista no cap´ıtulo 10...

Observa¸c˜oes:

• Para verificar que um número é de Carmichael usando o teorema acima necessitamos fatorá-lo...

• Muitos n´umeros de Carmichael possuem fatores primos pequenos!

• Existem infinitos n´umeros de Carmichael.

• Entre 1 e 10⁹ existem 50.847.534 primos e 646 n´umeros de Carmichael.

(28)

9.3 Teste de Miller

Teorema de Fermat: detecta números compostos com uma certa eficiência, mas não é um bom teste de primalidade.

Teste de Miller: Calcula-se a sequência de potências módulon:

b^q, b^2q, . . . , b²^k^q

onden−1 = 2^kq.

O fato é que, sené primo, então:

b²^k^q ≡bⁿ⁻¹≡1 (modn)

Digamos que j ´e o menor expoente tal que b²^j^q ≡ 1 (mod n). Se j ≥ 1 podemos escrever

b²^j^q−1 = (b²^j−¹^q−1)(b²^j−¹^q+ 1)

Sen´e primo e divideb²^j^q−1, ent˜aondeve dividir (b²^j−¹^q+1) pela minimalidade dej. Logo,

b²^j−¹^q−1≡ −1 (modn) Ou seja, uma das potˆencias

b^q, b^2q, . . . , b²^k^q

deve ser congruente a−1 módulon. Sej = 0, então temos apenas que b^q ≡1 (modn). Se nada disso acontecer, entãondeve ser composto.

Teste de Miller.

Etapa 1 Dividan−1 por 2 at´e encontrarq´ımpar ek tais quen−1 = 2^kq.

Etapa 2 Fa¸cai= 0 er= resto deb^q porn.

Etapa 3 Sei= 0 er= 1 oui≥0 er=n−1: teste inconclusivo.

Etapa 4 Fa¸cai=i+ 1 er=r2 onder2´e o resto da divis˜ao der² porn.

Etapa 5 Sei < kvolte à etapa 3; senão: né composto.

Exemplo 7 Tome o n´umero de Carmichael 561. Temos que 560 = 2⁴.35.

Calculando as sequências de restos módulo561 das potências de 2:

expoentes 35 2.35 2².35 2³.35

restos 263 166 67 1

(29)

Logo561 tem que ser composto.

Se um n´umero composto n tem resultado inconclusivo para o teste de Miller com respeito a uma baseb, dizemos quen´e um pseudoprimo forte para a baseb. Observe que pseudoprimo forte−→pseudoprimo.

Existem 1282 pseudoprimos fortes entre 1 e 10⁹.

9.4 Primalidade e computa¸ c˜ ao alg´ ebrica

E importante ressaltar que o teste de Miller é muito usado na prática. O que´ se faz para ter maior garantia do resultado é fazer o teste para diversas bases.

E assim com o´ Maple,ScratchPad- IBM,Axiom 1.1- IBM.

Vale a observa¸cão: dado um número finito qualquer de bases, existem infinitos números de Carmichael que são pseudoprimos fortes paratodasessas bases.

9.5 Exerc´ıcios propostos

2,5,7,8,10

10 Teorema de Euler

Opequeno teorema de Fermat nos diz como trabalhar com certas congruências envolvendo expoentes quando o módulo é primo. Nessa se¸cão, veremos como lidar com congruências módulo um número composto.

10.1 Fun¸ c˜ ao de Euler

Defini¸cão. Sejanum inteiro positivo. A fun¸cão de Euler φ(n) é definida como o número de inteiros positivos não excedendo n que são relativamente primos comn.

A tabela abaixo apresenta os valores deφ(n) para 1≤n≤12.

n 1 2 3 4 5 6 7 8 9 10 11 12

φ(n) 1 1 2 2 4 2 6 4 6 4 10 4

Na se¸cão de aritmética modular, estudamos o conjunto U(n), o conjunto dos elementos deZscrn que têm inverso. Vimos que

U(n) ={a∈ Zⁿ :mdc(a, n) = 1}

(30)

Desta forma,φ(n) nada mais ´e do que o n´umero de elementos deU(n).

Vamos ver como calcularφ(n). Come¸camos com alguns casos especiais. Sejap um número primo. Então todos os inteiros positivos menores quepsão primos comp. Logo

φ(p) =p−1

Também é fácil calcular φ(p^k). Observe que mdc(a, p^k) = 1 se e somente se p não divide a. Então basta contar os inteiros menores que p^k que não são divis´ıveis porp. Se 0≤a < p^k é divis´ıvel porp, então

a=p.b onde 0≤b < p^k−1

Portanto h´a p^k⁻¹ inteiros positivos menores que p^k que s˜ao divis´ıveis por p.

Logo háp^k−p^k⁻¹quenãosão divis´ıveis porp. Ou seja, φ(p^k) =p^k⁻¹(p−1)

Para obtermos a fórmula geral, é necessário provar o seguinte resultado:

Teorema. Sem, ns˜ao inteiros positivos tais quemdc(m, n) = 1, ent˜ao φ(mn) =φ(m).φ(n)

A demonstra¸cão desse teorema é trabalhosa (mas não dif´ıcil) e portanto não faremos aqui.

Exemplo 8 φ(100) =φ(2²).φ(5²) = (2.1).(5.4) = 40 Pelo teorema acima temos que, sen=pê₁¹. . . . .pê_k^k, então,

φ(n) =p^e₁¹⁻¹. . . . .p^e_k^k⁻¹(p1−1). . . . .(pk−1)

10.2 Teorema de Euler

Vai ser necessário, para decodifica¸cão de mensagens, saber calcular a fun¸cão de Euler. Também vamos ter que aplicar o teorema de Euler. O teorema de Euler é uma generaliza¸cão do teorema de Fermat para o caso em que o módulo não é primo:

Teorema de Euler. Se n é um inteiro positivo e a é um inteiro tal que mdc(a, n) = 1, então

a^φ(n)≡1 (modn)

Antes de provar esse teorema, vamos apresentar um exemplo.

(31)

Exemplo 9 Temos que U(8) = {1,3,5,7} e portanto φ(8) = 4. Observe que, sea, b, c∈ U(8), ent˜ao a.b∈ U(8)e, sec6=b, ent˜ao

a.b\ ≡a.c (por que?) Para ver como isso funciona, tomea= 3. Ent˜ao,

3.1 ≡ 3 (mod 8) 3.3 ≡ 1 (mod 8) 3.5 ≡ 7 (mod 8) 3.7 ≡ 5 (mod 8) Logo,

(3.1).(3.3).(3.5).(3.7)≡1.3.5.7 (mod 8) e portanto,

3⁴.1.3.5.7≡1.3.5.7 (mod 8)

Como mdc(1.3.5.7,8) = 1, podemos cortar o termo comum dos dois lados da equivalˆencia:

3⁴≡1 (mod 8)

Teorema 14 (Teorema de Euler) Sen´e um inteiro positivo eaum inteiro tal quemdc(n, a) = 1, ent˜ao

a^φ(n)≡1 (modn) Prova EscrevendoU(n) ={b1, . . . , bφ(n)}, temos que:

(a.b1). . . . .(a.bφ(n))≡b1. . . . .bφ(n) (mod n) Logo,

a^φ(n).b1. . . . .bφ(n)≡b1. . . . .bφ(n) (modn)

Comomdc(b1. . . . .bφ(n), n) = 1, podemos cortar o termo comum dos dois lados e portanto,

a^φ(n)≡1 (modn)

10.3 Exerc´ıcios propostos

Cap´ıtulo 8: 4,6,8,9,10,18

(32)

10.4 Tabela Hashing

Uma universidade deseja estocar um arquivo para cada um de seus estudantes no seu computador. O número identificador, ou chave para cada arquivo é o número do CPF do estudante. O CPF é um inteiro de 11 d´ıgitos, portanto

é praticamente imposs´ıvel reservar uma posi¸cão de memória para cada CPF poss´ıvel. Deve-se encontrar um método sistemático para arranjar esses arquivos na memória, usando um número razoável de posi¸cões de memória. De outra forma, ficaria imposs´ıvel acessar os arquivos...

Um desses métodos é utilizando a tabela hashing , baseada em fun¸cões hashing . Existem várias propostas para fun¸cões hashing. Vamos discutir (brevemente) o tipo mais utilizado.

Sejaka chave do arquivo a ser estocado e sejanum inteiro positivo. Definimos a fun¸c˜ao hashingh(k) por

h(k)≡k (mod n)

onde 0≤h(k)< n. É claro que devemos escolher umnadequado de modo que os arquivos fiquem distribu´ıdos de uma maneira razoável entre as n posi¸cões poss´ıveis de memória.

Por exemplo,nnão deve ser uma potência de 10 (10^r) simplesmente porque o valor da fun¸cãohseria osrultimos d´ıgitos da chave.´

Outro exemplo de uma escolha ruim é quando n|10^m±aonde a em são pequenos. Por exemplo, sen = 111|(10³−1) = 999 então 10³ ≡1 (mod n) e portanto os números:

64121284868 e 64184821268 vão para a mesma posi¸cão de memória.

Para evitar esses problemas,ndeve ser um número primo próximo do número de posi¸cões dispon´ıveis. Por exemplo, se existem 5000 posi¸cões de memória para o armazenamento de 2000 arquivos de estudantes, podemos escolhern= 4969.

Claro que, mesmo assim, colisões podem ocorrer. Existem várias heur´ısticas para tratamento de colisões. O método mais usado é o de escolher uma posi¸cão livre. Existem várias maneiras de fazer isso e as mais complicadas são as mais eficientes. Eu poderia passar o dia falando sobre elas, mas vou citar apenas uma, a mais simples. Consiste em tomar:

hj(k)≡h(k) +j (modn)

Desta forma, a chave k é alocada na posi¸cão mais próxima poss´ıvel de h(k).

A eficiência desse método é realmente baixa, pois tende a haver um engarrafa- mento.

Na prática, o mais fácil é “atachar” uma lista a cada posi¸cão de memória. Dessa forma, procede-se por busca sequencial.

(33)

11 Criptografia RSA

11.1 Pr´ e-codifica¸ c˜ ao

Em primeiro lugar, devemos converter a mensagem em uma sequˆencia de n´umeros.

Essa primeira etapa é chamada de pré-codifica¸cão. Há várias maneiras de se fazer isso. Aqui vamos supor que o texto não contém acentua¸cão, pontua¸cão, números etc, apenas as letras A a Z (maiúsculas). Também vamos adicionar espa¸cos em branco entre palavras, que será substitu´ıdo pelo número 99. A letra Aserá convertida no número 10, B será 11 e assim por diante, até o Z corre- spondendo ao número 35. Observe que cada letra corresponde a um número comexatamente dois algarismos. Isso evita ambiguidades.

A chave pública é um númeron=p.q, ondepeqsão primos. Antes de come¸car devemos, então escolher esses números. O último passo da pré-codifica¸cão é quebrar a mensagem em blocos. Esses blocos devem ser números menores quen. A maneira de escolher os blocos não é única, mas é importante evitar duas situa¸cões:

• Nenhum bloco deve come¸car com o n´umero 0 (problemas na decodifica¸c˜ao).

• Os blocos não devem corresponder a nenhuma unidade lingu´ıstica (palavra, letra, etc). Assim a decodifica¸cão por contagem de frequência fica imposs´ıvel.

11.2 Codificando e decodificando

Para codificar a mensagem precisamos den=p.qe de um inteiro positivoeque seja invers´ıvel m´oduloφ(n). Em outras palavras,

mdc(e, φ(n)) =mdc(e,(p−1).(q−1)) = 1

Chamaremos o par (n, e) a chave de codifica¸c˜ao do sistema RSA.

Codificaremos cada bloco de mensagemseparadamentee a mensagem codificada ser´a a sequˆencia de blocos codificados.

Importante: Os blocos já codificados não poderão ser reunidos de modo a formar um longo número. Isso tornaria a decodifica¸cão imposs´ıvel!

Vamos agora mostrar como codificar cada blocob. Chamaremos o bloco codifi- cado deC(b). Em primeiro lugar, lembre-se que b´e menor quen. Ent˜ao:

C(b)≡b^e (mod n) Onde 0≤C(b)< n.

(34)

Exemplo 10 Considere a frase Paraty ´e linda . Convertendo em n´umeros, 2510271029349914992118231310

Agora devemos escolher n. Vamos come¸car com um n´umero pequeno, por exemplo

n= 11.13 = 143

Podemos ent˜ao quebrar a mensagem acima em blocos, que devem ter valor menor que143:

25−102−7−102−93−49−91−49−92−118−23−13−10 Então temos que φ(143) = 10.12 = 120e portanto e deve ser um número que não divide 120. O menor valor poss´ıvel é7. Logo,

C(25)≡25⁷ ≡ 25²².25².25 (mod 143)

≡ 25²².53.25 (mod 143)

≡ 53².53.25 (mod 143)

≡ 92.53.25 (mod 143)

≡ 14.25 (mod 143)

≡ 64 (mod 143)

Procedendo dessa maneira com todos os blocos, obtemos a seguinte mensagem cifrada:

64−119−6−119−102−36−130−36−27−79−23−117−10 Vejamos agora como proceder para decodificar um bloco de mensagem codificada. A informa¸cão que precisamos para decodificar está contida no par (n, d), onded é o inverso de e módulo φ(n). Chamaremos (n, d) de chave de decodifica¸cão e deD(c) o resultado do processo de decodifica¸cão. D(c) é dado por:

D(c)≡c^d (modn) onde 0≤D(c)< n.

Observe que é muito fácil calculard, desde queφ(n) eesejam conhecidos: basta aplicar o algoritmo euclideano estendido. Entretanto, se não conhecemospeq

´e praticamente imposs´ıvel calculard.

Voltando ao nosso exemplo, temos quen= 143 ee= 7. Para calculard, usamos o algoritmo euclideano estendido:

120 = 7.17 + 1 =⇒ 1 = 120 + (−17).7

Logo o inverso de 7 m´odulo 120 ´e −17. Como d deve ser usado como um expoente, precisamos quedseja positivo. Logo tomamosd= 120−117 = 103.

(35)

11.3 Funciona?

A pergunta ´obvia que surge agora ´e:

D(C(b)) =b?

Ou seja, decodificando um bloco de mensagem codificada, encontramos um bloco da mensagem original? Porque sen˜ao todo nosso esfor¸co foi sem sentido...

Vamos mostrar nessa se¸cão que a resposta para a pergunta acima é sim . Consideremos entãon=p.q. Vamos provar que

DC(b)≡b (mod n)

E por que n˜ao a igualdade? Observe que DC(b) e b s˜ao menores que n−1.

Por isso escolhemosbmenor quene mantivemos os blocos separados depois da codifica¸c˜ao!

Por defini¸c˜ao, temos que

DC(b)≡(b^e)^d≡b^e.d (modn)

Masd´e o inverso deem´oduloφ(n). Logo existe inteiroktal queed= 1+kφ(n).

Logo,

b^ed≡b^1+kφ(n)≡(b^φ(n))^k.b (modn) Semdc(b, n) = 1, ent˜ao podemos usar o teorema de Euler:

b^ed≡(b^φ(n))^k.b≡b (modn)

Seb e nn˜ao s˜ao primos entre si, obderve que n=p.q, peq primos distintos.

Logo,

b^ed≡b^1+kφ(n)≡(b^(p⁻¹⁾)^k.(q⁻¹⁾.b (mod p)

Semdc(b, p) = 1, ent˜ao podemos usar o teorema de Fermat (b^p⁻¹≡1 (modp)).

Se n˜ao, temos quep|be portanto

b^ed≡b≡0 (modp) Logo,

b^ed≡b (mod p) qualquer que sejab.

Fazemos o mesmo para o primoq, obtendo:

b^ed≡b (mod q) Portanto,

b^ed≡b (modp.q) como quer´ıamos.

(36)

11.4 Porque o RSA ´ e seguro

Como já vimos, o par de codifica¸cão (n, e) é conhecido e acess´ıvel a qualquer usuário. O RSA só é seguro se for dif´ıcil calcular d quando apenas esse par é conhecido.

Observe que só sabemos calculard se soubermos o valor deφ(n), cujo cálculo depende da fatora¸cão den. A pergunta que surge então é: será que não existe outro processo para calculardeφ(n)? Por exemplo, o que aconteceria se alguém inventasse um método para calcular φ(n) a partir den ee? A resposta é que ter´ıamos, então, um algoritmo rápido de fatora¸cão. Observe que

φ(n) = (p−1).(q−1) =pq−(p+q) + 1 =n−(p+q) + 1 Logo, (p+q) =n−φ(n) + 1 ´e conhecido. Contudo,

(p+q)²−4n= (p²+q²+ 2pq)−4pq= (p−q)² Logo,

p−q=p

(p+q)²−4n

que tamb´em ´e conhecido. Ou seja, conhecemosp+qep−q. Portanto conhecemos peqe fatoramosn!

Deste modo, conhecer φ(n) sem fatorar n significa que, na verdade, sabemos fatorarn!

Outro jeito de quebrar o RSA seria achar um algoritmo que calculeddiretamente a partir denee. Comoed≡1 (modφ(n)), isto implica que conhecemos um múltiplo deφ(n). Isso também é suficiente para fatorarn(prova complicada).

A última alternativa seria achar b a partir da forma reduzida de bê módulon sem achar d. Bom, ninguém conseguiu fazer isso até agora... Acredita-se que quebrar o RSA e fatorarn sejam problemas equivalentes, apesar disso não ter sido demonstrado.

11.5 Escolhendo primos

Suponha que desejamos implementar o RSA de chave pública (n, e), de modo que nseja um inteiro com aproximadamenteralgarismos. Para construirn, escolha um primopentre ^4r₁₀e^45r₁₀₀ algarismos e, em seguida, escolhaqpróximo de ¹⁰_p^r. O tamanho da chave recomendado atualmente para uso pessoal é de 768 bits. Isso significa quenterá aproximadamente 231 algarismos. Para construir tal número precisamos de dois primos de, digamos, 104 e 127 algarismos respectivamente.

Outra coisa a ser observada é que os númerosp−1, q−1, p+ 1, p−1 não tenham fatores primos pequenos, pois senão seria fácil fatorarn.

Para encontrarpeq, seguiremos a seguinte estrat´egia:

1. Tome um n´umeros´ımpar.

(37)

2. Verifique sen´e divis´ıvel por um primo menor que 5.000.

3. Aplique o teste de Miller asusando como base os 10 primeiros primos.

Encontrar tais primos pode ser um processo trabalhoso. Por exemplo, se xé um número da ordem de 10¹27, no intervalo entre xex+ 10⁴ existem aproximadamente 34 primos dentre 560 números que passam a etapa (1) da estratégia acima...

11.6 Assinaturas

Apenas codificar mensagens não basta, em geral, pois o sistema é de chave pública. Ou seja, qualquer pessoa pode codificar uma mensagem usando uma chave alheia. Por exemplo, umhaker poderia facilmente mandar instru¸cões ao banco para que o seu saldo bancário fosse transferido para uma outra conta.

Por isso, o banco precisa de uma garantia de que a mensagem teve origem em um usu´ario autorizado. Ou seja, a mensagem tem que ser assinada .

Vamos chamar deCmeDmas fun¸cões de codifica¸cão e decodifica¸cão do Mário e de Ca e Da as fun¸cões de codifica¸cão e decodifica¸cão do Allan. Seja b um bloco de mensagem que o Mário deseja mandar para o Allan. Para mandar uma mensagem assinada, ao invés deCa(b), o Mário envia

Ca(Dm(b))

Ou seja, primeiro ele “decodifica” a mensagem como só ele pode fazer, depois ele codifica o resultado, como só o Allan pode ler. Para ler a mensagem, primeiro o Allan aplicaDa e depoisCm. Observe queCmé público. Se a mensagem fizer sentido, é certo que a origem foi mesmo o Mário!

Mas cuidado ! Esse sistema pode ser usado para quebrar o RSA, como em 1995 por um consultor em assuntos de seguran¸ca de computadores...

11.7 Exerc´ıcios propostos

Cap´ıtulo 11: 1,2,3,4,6.

12 1

^o

trabalho pr´ atico

O trabalho tem como objetivo a cria¸c˜ao de dois n´umeros primos grandes (entre 20 e 30 bits). Para isso:

• Gere dois números ´ımparesmekda magnetude acima, de modo que não sejam muito próximos um do outro.