Caráter Primo em Larga Escala

(1)

Centro de Tecnologia e Urbanismo

Departamento de Engenharia El´

etrica

D´

ecio Luiz Gazzoni Filho

Demonstra¸

c˜

oes Distribu´ıdas de

Car´

ater Primo em Larga Escala

(2)

Demonstra¸

c˜

oes Distribu´

ıdas de Car´

ater

Primo em Larga Escala

Monografia apresentada ao curso de Enge-nharia Elétrica da Universidade Estadual de Londrina, como parte dos requisitos obri-gatórios à obten¸cão do t´ıtulo de Engenheiro Eletricista com ênfase em Eletrônica.

Orientador:

Prof. Dr. Taufik Abr˜

ao

Universidade Estadual de Londrina Centro de Tecnologia e Urbanismo Departamento de Engenharia El´etrica

(3)

dezembro de 2004, em Londrina, Paran´a, pela banca examinada constitu´ıda por:

Prof. Dr. Taufik Abr˜ao

Departamento de Engenharia El´etrica Universidade Estadual de Londrina

Prof. Dr. Marcelo C. Tosin Departamento de Engenharia El´etrica

Universidade Estadual de Londrina

(4)

Aos meus pais, pelo apoio, ofere¸co as curvas el´ıpticas y2 = x3+ 13054261938312812691x + 963383165173305403 e y2 = x3+735926429366195334x+3969032983146139007 e seus res-pectivos twists quadr´aticos, que possuem multiplica¸c˜ao complexa por√−10000129528 e √

(5)

Seja p = 264 − 232_{+ 1. Todas as curvas el´ıpticas nesta p´}_{agina s˜}_{ao consideradas sobre}

Z/pZ.

Aos professores Alfred J. Menezes e Darrel Hankerson, por suas palestras no WCAP’03, ofere¸co a curva el´ıptica y2 _{= x}3 _{+ 8790001982112083917x + 8349894620916661678 e seu}

twist quadr´atico, que possuem multiplica¸c˜ao complexa por √−1000147768 e ordens de grupo p + 1 ± 5376889346.

A Henri Cohen, por seu livro “A Course in Computational Algebraic Number Theory” e o software PARI/GP, ofere¸co a curva el´ıptica y2 = x3 + 10924466306691629096x + 3175821044523403166 e seu twist quadr´atico, que possuem multiplica¸c˜ao complexa por √

−2001806020 e ordens de grupo p + 1 ± 1530275008.

A Richard Crandall e Carl Pomerance, pela obra-prima “Prime Numbers: A Computa-tional Perspective”, fonte de incontáveis horas de estudo, diversão e inspira¸cão, ofere¸co a curva el´ıptica y2 = x3 + 11517119120719506208x + 13728644060085970144 e seu twist quadrático, que possuem multiplica¸cão complexa por √−3006633688 e ordens de grupo p + 1 ± 4299605922.

A Donald E. Knuth, por compartilhar seu imenso conhecimento de matemática e ciência da computa¸cão através da magn´ıfica obra “The Art Of Computer Programming”, e por seu sistema TEX de editora¸cão, ofere¸co a curva el´ıptica y2 _{= x}3_{+10137799566473223720x+}

4563733166242538527 e seu twist quadr´atico, que possuem multiplica¸c˜ao complexa por √

Aos ex-colegas da distributed.net, em especial Jeff ‘Bovine’ Lawson, Michael Feiri e Didier Levet, ofere¸co a curva el´ıptica y2 _{= x}3_{+ 8299992258113520866x + 17162086221645221008}

e seu twist quadr´atico, que possuem multiplica¸c˜ao complexa por√−5022511288 e ordens de grupo p + 1 ± 4727927074.

A Olivier Atkin e Fran¸cois Morain, pelo seminal trabalho “Elliptic Curves and Primality Proving”, ofere¸co a curva el´ıptica y2 = x3+12761264237209647336x+1180621101119968192 e seu twist quadr´atico, que possuem multiplica¸c˜ao complexa por√−6005976568 e ordens de grupo p + 1 ± 2409633978.

(6)

que possuem multiplica¸c˜ao complexa por √−7005075940 e ordens de grupo p + 1 ± 912834688.

Aos meus amigos, particularmente Marco Casaroli, ´Eder Ignatowicz, Leonardo Pinheiro, Rodrigo Fanucchi e Fernando Ciriaco, assim como outros tantos cujo espa¸co deste trabalho ´e curto demais para conter, ofere¸co a curva el´ıptica y2 _{= x}3_{+ 7384699780321468803x +}

Ao professor Taufik Abrão, pelas incontáveis horas de orienta¸cão e estimulantes disci-plinas ministradas no curso, ofere¸co a curva el´ıptica y2 = x3+ 4101448666275287283 + 14115872962552252516 e seu twist quadrático, que possuem multiplica¸cão complexa por √

A ´Isis Duarte, pela amizade, ofere¸co a curva el´ıptica y2 _{= x}3_{+ 2610280995158029297x +}

(7)

Este Trabalho de Conclusão de Curso foi elaborado, durante a 5a série do curso de Engenharia Elétrica, para satisfazer os requisitos obrigatórios à obten¸cão do t´ıtulo de Engenheiro Eletricista com ênfase em Eletrônica.

A proposta inicial do trabalho era o desenvolvimento de um software que contem-plasse todas as etapas necessárias para a realiza¸cão de demonstra¸cões de caráter primo em sistemas distribu´ıdos de larga escala (por exemplo, computadores conectados através da Internet). Infelizmente, não foi poss´ıvel atingir a meta proposta, apesar que grande parte do código cient´ıfico necessário ao funcionamento rudimentar do sistema foi escrito. Embora o software necessite de otimiza¸cão, a princ´ıpio é poss´ıvel obter demonstra¸cões de caráter primo através do mesmo, e considera-se que pelo menos parte da meta foi atingida. O plano inicial para esta monografia é que fosse mais abrangente, cobrindo tópicos como fatora¸cão de inteiros, aritmética eficiente de polinômios, sistemas de coordenadas eficientes para aritmética el´ıptica e outros, necessários à compreensão das técnicas de oti-miza¸cão empregadas no código do software. Infelizmente, as normas para elabora¸cão do Trabalho de Conclusão de Curso especificam um limite de 40 páginas para os elementos textuais do trabalho, e este limite come¸cou a ser observado a partir da posse da nova coordena¸cão de Trabalho de Conclusão de Curso em 2004. Apesar de concessões por parte da coordena¸cão, que permitiu a escrita de até 100 páginas no total (incluindo os elementos pré- e pós-textuais do trabalho), esse limite se mostrou insuficiente para a es-crita do trabalho conforme originalmente planejado. Além dos tópicos já citados no in´ıcio do parágrafo, alguns pequenos detalhes tiveram de ser removidos para garantir que o tra-balho permanecesse dentro do limite: por exemplo, referências para as demonstra¸cões dos teoremas, representando uma economia de 5 páginas, e alguns algoritmos não considera-dos absolutamente essenciais para o entendimento do trabalho, mesmo sendo consideraconsidera-dos importantes.

(8)

fenômeno que claramente ocorre com outros alunos do curso. Vale dizer que a publica¸cão de um artigo no XXI Simpósio Brasileiro de Telecomunica¸cões demonstra que o traba-lho possui contribui¸cões e que encaixa-se numa das linhas de pesquisa (telecomunica¸cões) permitidas para o Trabalho de Conclusão de Curso.

(9)

Resumo

(10)

Abstract

(11)

Sum´

ario

Lista de S´ımbolos e Abreviaturas p. xii

1 Introdu¸c˜ao p. 1

1.1 Divis˜ao do trabalho . . . p. 2

2 Algebra Abstrata e Teoria dos N´´ umeros p. 4

2.1 Teoria de grupos . . . p. 4 2.1.1 Defini¸cão e propriedades básicas . . . p. 5 2.1.2 Aplica¸cões entre grupos . . . p. 6 2.1.3 Subgrupos . . . p. 7 2.1.4 Grupos e subgrupos c´ıclicos . . . p. 8 2.2 Introdu¸cão aos corpos . . . p. 9 2.2.1 Implementa¸cão da aritmética de corpos finitos . . . p. 10 2.3 Teoria dos números . . . p. 11 2.3.1 Divisibilidade . . . p. 11 2.3.2 Números primos . . . p. 14 2.3.3 Congruências e aritmética modular . . . p. 15 2.3.4 Polinˆ_{omios com coeficientes em Z/nZ . . . .} p. 19 2.3.5 A fun¸cão φ de Euler . . . p. 19 2.3.6 _{O grupo multiplicativo (Z/nZ)}∗ . . . p. 20 2.3.7 Res´ıduos quadráticos e ra´ızes quadradas modulares . . . p. 21

(12)

3.1 Aspectos geom´etricos . . . p. 26 3.2 O grupo de pontos de uma curva el´ıptica . . . p. 28 3.3 Algoritmos para aritm´etica el´ıptica . . . p. 31 3.3.1 Coordenadas afins . . . p. 32 3.3.2 Coordenadas projetivas . . . p. 33

4 O Algoritmo ECPP p. 37

4.1 Testes de caráter pseudoprimo . . . p. 37 4.1.1 O teste de Fermat e o teste forte . . . p. 38 4.1.2 O teste de Frobenius . . . p. 41 4.2 Testes de caráter primo eficientes . . . p. 45 4.2.1 O teste n − 1 e variantes . . . p. 45 4.2.2 O teste ECPP . . . p. 46 4.2.3 Os testes APR-CL e AKS . . . p. 47 4.3 O algoritmo ECPP de Goldwasser e Kilian . . . p. 48 4.4 Curvas el´ıpticas com multiplica¸cão complexa . . . p. 51 4.5 O algoritmo ECPP de Atkin e Morain . . . p. 57 4.6 A variante fastECPP do algoritmo ECPP . . . p. 57

5 Sistemas Distribu´ıdos p. 59

5.1 Distribuindo o algoritmo ECPP . . . p. 59 5.2 Algoritmos para distribui¸cão de dados . . . p. 62 5.3 Computa¸cão em ambientes não-confiáveis . . . p. 63

6 Projeto e Implementa¸c˜ao do Sistema p. 67

(13)

6.3.1 Aritmética de inteiros e de ponto flutuante . . . p. 71 6.3.2 Algoritmos para teoria dos números . . . p. 71 6.3.3 Aritmética de polinômios . . . p. 73 6.3.3.1 Coeficientes complexos em ponto flutuante . . . p. 73 6.3.3.2 Coeficientes modulares . . . p. 74 6.3.4 Constru¸cão dos polinômios de classe . . . p. 75 6.3.4.1 Fun¸cões transcendentais . . . p. 77 6.3.5 Aritmética el´ıptica . . . p. 78

7 Resultados p. 79

8 Conclus˜ao p. 82

Anexo A -- Artigo Publicado no XXI Simp´osio Brasileiro de

Telecomu-nica¸c˜oes p. 84

Referˆencias p. 90

(14)

Lista de Defini¸

c˜

oes

(15)

(16)

Lista de Teoremas, Corol´

arios e

Lemas

1.0.1 Teorema Fundamental da Aritmética . . . p. 1 2.1.1 Propriedades de grupos . . . p. 5 2.1.2 Lei de cancelamento para grupos . . . p. 6 2.1.3 Critério para isomorfismos . . . p. 7 2.1.4 Propriedades de grupos c´ıclicos . . . p. 8 2.1.5 Isomorfismos de grupos c´ıclicos . . . p. 8 2.1.6 Propriedades de grupos c´ıclicos . . . p. 9 2.1.7 Estrutura de subgrupos de um grupo c´ıclico . . . p. 9 2.2.1 Resultados básicos sobre corpos finitos . . . p. 10 2.2.2 _{Teste para raiz primitiva em F}∗_pk . . . p. 10

(17)

2.3.10 Validade da defini¸cão da aritmética de congruências . . . p. 16 2.3.11 Solu¸cões da congruência bx ≡ a (mod n) com mdc(b, n) = 1 . . p. 17 2.3.12 Congruências módulo fatores primos de um inteiro . . . p. 18 2.3.13 Teorema Chinês do Resto . . . p. 18 2.3.14 Congruências entre polinˆ_{omios em Z/nZ . . . .} p. 19 2.3.15 Número de ra´ızes de polinˆ_{omios sobre Z/nZ . . . .} p. 19 2.3.16 Cálculo de φ(n) para n = pe . . . p. 19

2.3.17 φ(n) é multiplicativa . . . p. 19 2.3.18 Cálculo de φ(n) para n composto . . . p. 19 2.3.19 Teorema de Fermat-Euler . . . p. 20 2.3.20 Pequeno Teorema de Fermat . . . p. 20 2.3.21 Versão do Teorema de Fermat-Euler sem restri¸cões sobre mdc(a, n) p. 20 2.3.22 Defini¸c˜_{ao, comutatividade e ordem de (Z/nZ)}∗ . . . p. 20 2.3.23 Condi¸c˜_{ao para que (Z/nZ)}∗ seja c´ıclico . . . p. 20 2.3.24 Teste para raiz primitiva em (Z/nZ)∗ . . . p. 21 2.3.25 N´_{umero de ra´ızes primitivas de (Z/nZ)}∗ . . . p. 21 2.3.26 Número de ra´ızes quadradas modulares de Qn⊆ (Z/nZ)∗ . . . . p. 21

2.3.27 Qn ´e subgrupo de (Z/nZ)∗ . . . p. 21

2.3.28 Descri¸c˜ao de Qn quando (Z/nZ)∗ ´e c´ıclico . . . p. 21

2.3.29 Critério de Euler para res´ıduos quadráticos . . . p. 22 2.3.30 Propriedades dos s´ımbolos de Legendre e Jacobi . . . p. 22 2.3.31 Lei de reciprocidade quadrática . . . p. 23 3.2.1 Grupo de pontos de uma curva el´ıptica . . . p. 29 3.2.2 Estrutura alg´_{ebrica de E(F}pk) . . . p. 30

3.2.3 _{Desigualdade de Hasse para |E(F}pk)| . . . p. 31

(18)

(19)

Lista de Algoritmos

(20)

Lista de S´

ımbolos e Abreviaturas

AKS Agrawal-Kayal-Saxena (teste de car´ater primo)

APR-CL Adleman-Pomerance-Rumely Cohen-Lenstra (teste de car´ater primo) BSD Berkeley Software Distribution (licen¸ca)

ECDH Elliptic Curve Diffie-Hellman (criptossistema) ECDSA Elliptic Curve Digital Signature Algorithm ECM Elliptic Curve Method (algoritmo de fatora¸c˜ao)

ECPP Elliptic Curve Primality Proving

FFT Fast Fourier Transform (algoritmo)

IEEE Institute of Electrical and Electronics Engineers

GMP GNU Multi-Precision Library

GPL GNU General Public License

RSA Rivest-Shamir-Adleman (criptossistema)

mdc M´aximo divisor comum

bxc Piso de x (maior inteiro ≤ x)

dxe Teto de x (menor inteiro ≥ x)

a ≡ b (mod n) a ´e congruente a b m´odulo n

G ∼= H G ´e isomorfo a H

a Classe de congruˆencia de a

(a_p) S´ımbolo de Jacobi ou Legendre de a m´odulo p

[x, y, z] Classe de equivalência de solu¸cões projetivas de uma curva el´ıptica D Discriminante (teoria de multiplica¸cão complexa)

n Inteiro

p Primo

pe _Potˆ_{encia de primo}

O Ponto no infinito de uma curva el´ıptica

O(x) Da ordem de x (nota¸c˜ao assint´otica)

φ(n) Fun¸c˜ao de Euler

(21)

(Z/nZ)∗ Grupo multiplicativo dos inteiros m´odulo n

Z/nZ Grupo aditivo ou corpo/anel dos inteiros m´odulo n

F Corpo

Fpk Corpo de pk elementos

F∗pk Grupo multiplicativo do corpo de pk elementos

F(ω) Extens˜ao de F por ω

Qn Conjunto dos res´ıduos quadr´aticos m´odulo n

E(F) Curva el´ıptica sobre F

H(D) Grupo de classe do discriminante D h(D) N´umero de classe do discriminante D a | b a divide b

|x| Ordem de um elemento x de um grupo

(22)

1 Introdu¸

c˜

ao

O problema de distinguir números primos de compostos, e de separar números compostos em seus fatores primos, é um dos mais importantes e mais úteis problemas de toda a aritmética . . . A dignidade da ciência parece exigir que qualquer contribui¸cão à solu¸cão de um problema tão elegante e celebrado seja ferrenhamente cultivada.

C. F. Gauss, Disquisitiones Arithmeticae (1801), in (1) Defini¸cão 1.0.1. Um número primo é um inteiro p > 1 que possui exatamente dois divisores, 1 e p. Um inteiro positivo que não seja primo é dito composto, à exce¸cão do inteiro 1, que é considerado simplesmente uma unidade.

A importância dos números primos para a matemática (e por extensão, para a enge-nharia e a computa¸cão) pode ser quantificada por um simples teorema:

Teorema 1.0.1 (Teorema Fundamental da Aritmética). Para cada número natural n existe uma fatora¸cão única

n = pa1 1 p a2 2 · · · p ak k ,

onde os expoentes ai são inteiros positivos e p1 < p2 < · · · < pk são números primos.

Crandall e Pomerance (2) reafirmam a importância dos primos ao interpretarem o Teorema Fundamental da Aritmética da seguinte maneira: ‘os primos são os blocos de constru¸cão multiplicativos dos números naturais’.

(23)

ineficiência é a premissa de seguran¸ca de diversos sistemas criptográficos (2, 5), em par-ticular o sistema RSA.

Na prática, os algoritmos conhecidos para demonstra¸cão de caráter primo deixam a desejar. Como exemplo, considerando um tempo fixo para cada uma das tarefas a seguir, é poss´ıvel multiplicar inteiros de bilhões de d´ıgitos, verificar o caráter pseudoprimo1 _de

um inteiro de centenas de milhares de d´ıgitos, e demonstrar o car´ater primo de um inteiro de apenas alguns milhares de d´ıgitos.

´

E poss´ıvel argumentar que desvantagens algor´ıtmicas podem ser compensadas por avan¸cos de hardware. Embora o or¸camento de hardware dispon´ıvel para microprocessa-dores siga um crescimento exponencial (a chamada Lei de Moore) (6), o crescimento do poder computacional é limitado por fatores f´ısicos, econômicos e técnicos, e não é tão acen-tuado a ponto de menosprezar os avan¸cos algor´ıtmicos. A interconexão de computadores, através de barramentos dedicados ou conexões de rede, surgiu como uma solu¸cão para as limita¸cões inerentes aos sistemas monoprocessados (7). Mais recentemente, diversos grupos demonstraram ser poss´ıvel aproveitar os recursos computacionais desperdi¸cados pelos milhões de computadores conectados à Internet, a rede mundial de computadores, para realizar computa¸cões de magnitudes até então inimagináveis (8–10). A proposta deste trabalho é a constru¸cão de uma rede semelhante, voltada para a demonstra¸cão de caráter primo de inteiros de forma geral.

1.1 Divis˜

ao do trabalho

Este cap´ıtulo introdutório explicou, em termos bastante gerais, a proposta do traba-lho, incluindo os conceitos básicos necessários ao entendimento desta proposta.

O Cap´ıtulo 2 expõe alguns resultados da teoria de grupos, teoria de corpos e teoria dos números, necessários aos desenvolvimentos posteriores. Embora o material seja bastante elementar, foi inclu´ıdo no trabalho com o objetivo de torná-lo auto-contido.

O Cap´ıtulo 3 é uma introdu¸cão às curvas el´ıpticas, do ponto de vista da teoria com-putacional dos números. Em particular, conceitos topológicos e anal´ıticos relacionados às curvas el´ıpticas não são abordados.

O Cap´ıtulo 4 introduz o algoritmo ECPP, comparando-o com outros algoritmos para certifica¸c˜ao de car´ater primo e pseudoprimo, e justificando sua escolha para uso no

(24)

lho. É feita também uma revisão da principal melhoria ao algoritmo descrita na literatura, a variante fastECPP.

O Cap´ıtulo 5 discute as modifica¸cões ao ECPP para torná-lo um algoritmo distribu´ıdo, o uso de estruturas hierárquicas de rede para distribui¸cão de dados de maneira eficiente em sistemas distribu´ıdos, e os desafios de realizar computa¸cões válidas em uma rede de computadores cuja confiabilidade não pode ser garantida.

O Cap´ıtulo 6 discute a implementa¸cão do sistema. Inicialmente justifica-se a decisão de tornar o sistema um software livre sob licen¸ca GPL, e o impacto desta decisão sobre a infraestrutura utilizada, em particular as bibliotecas empregadas na constru¸cão do sis-tema. A seguir, são descritas as metas de projeto do sistema, e o restante do cap´ıtulo é dedicado à descri¸cão da implementa¸cão, no estágio em que se encontrava quando da publica¸cão deste trabalho.

O Cap´ıtulo 7 relata alguns resultados obtidos at´e o momento da escrita do trabalho, que estabeleceram novos recordes em uma das etapas mais complexas do algoritmo ECPP.

O Cap´ıtulo 8 conclui o trabalho e indica dire¸c˜oes futuras de pesquisa.

(25)

2 Algebra Abstrata e Teoria dos

´

N´

umeros

Esta disserta¸cão trata do algoritmo ECPP, que envolve conceitos de curvas el´ıpticas. A teoria destas curvas, pelo menos no contexto da teoria computacional dos números, exige familiaridade com certos conceitos da álgebra abstrata, em particular grupos e cor-pos. Estes assuntos compreendem a primeira e segunda parte deste cap´ıtulo. A terceira parte trata da teoria dos números, que é fundamental tanto para o problema abordado por este trabalho (demonstra¸cões de caráter primo), quanto na implementa¸cão dos al-goritmos utilizados. Os assuntos são abordados superficialmente, omitindo resultados desnecessários ao desenvolvimento do trabalho.

A primeira se¸cão trata da teoria de grupos. Partem-se de defini¸cões e proprieda-des básicas, para então introduzir mapeamentos entre grupos, seguido pela no¸cão de subgrupo, concluindo com a importante classe de grupos e subgrupos c´ıclicos. A segunda se¸cão aborda resultados simples sobre corpos finitos, e a implementa¸cão de sua aritmética. A última se¸cão do cap´ıtulo é uma compila¸cão de resultados da teoria dos números. O pri-meiro assunto tratado é a divisibilidade. Em seguida, há alguns resultados sobre números primos e sua distribui¸cão entre os inteiros. O próximo tópico é um tratamento breve de aritmética modular e congruências. A seguir, são expostos alguns resultados simples sobre a aritmética de polinômios com coeficientes modulares. A fun¸cão φ de Euler é introdu-zida, e alguns teoremas relacionados a esta fun¸cão são fornecidos. É feito um estudo do grupo multiplicativo dos inteiros módulo n, e conclui-se o cap´ıtulo com os conceitos de residuosidade quadrática e ra´ızes quadradas modulares.

2.1 Teoria de grupos

(26)

de resultados da teoria dos números (como o Pequeno Teorema de Fermat 2.3.20 e sua generaliza¸cão, o Teorema de Fermat-Euler 2.3.19) em termos da teoria de grupos, é um caminho produtivo para a cria¸cão de algoritmos mais eficientes; em certos algoritmos, é poss´ıvel substituir o grupo multiplicativo (Z/pZ)∗ por outros grupos mais vantajosos, dos quais o grupo de pontos de uma curva el´ıptica está mais em voga atualmente.

Muitos resultados acerca de grupos infinitos ser˜ao omitidos, mesmo havendo analogia direta com os resultados para grupos finitos, por serem irrelevantes ao trabalho.

2.1.1 Defini¸

c˜

ao e propriedades b´

asicas

A defini¸c˜ao de um grupo ´e simples (11):

Defini¸cão 2.1.1. Um grupo é um conjunto G e uma opera¸cão binária × : G → G, que satisfazem os seguintes axiomas:

1. Fechamento: para todo a, b ∈ G, ab ∈ G;

2. Associatividade: (ab)c = a(bc) para todo a, b, c ∈ G;

3. Existˆencia de identidade: existe um elemento 1 ∈ G, dito a identidade de G, tal que para todo a ∈ G vale que a1 = 1a = a;

4. Existˆencia de inversos: para cada a ∈ G, existe um elemento a−1 ∈ G, dito o inverso de a, tal que aa−1 = a−1a = 1.

Adicionalmente, o grupo pode satisfazer o seguinte axioma: 5. Comutatividade: ab = ba para todo a, b ∈ G.

Nesse caso, o grupo ´e dito abeliano.

Na defini¸cão, foi empregada uma nota¸cão multiplicativa para o grupo. Também é poss´ıvel utilizar uma nota¸cão aditiva, em que a opera¸cão × é substitu´ıda por +, a iden-tidade 1 por 0 e os inversos a−1 pelos opostos −a. De fato, é poss´ıvel empregar qualquer nota¸cão desejada, principalmente se corresponder à nota¸cão tradicional para aquele grupo. Algumas propriedades dos grupos podem ser obtidas diretamente da defini¸cão acima: Teorema 2.1.1. Se G é um grupo com opera¸cão ×, então

(27)

2. para todo a ∈ G, o elemento inverso a−1 ´e ´unico;

3. (a−1)−1 = a para todo a ∈ G;

4. (ab)−1 = (b−1)(a−1);

5. dados a1, a2, . . . , an ∈ G, o valor de a1a2· · · an ´e independente da forma como s˜ao

colocados parˆenteses na express˜ao (a chamada lei de associatividade generalizada).

Devido `a lei de associatividade generalizada, o valor do produto xx · · · x | {z }

n vezes

não depende da ordem de avalia¸cão, e será denotado simplesmente por xn. De forma semelhante, x−1x−1· · · x−1

| {z }

n vezes

´

e escrito como x−n, e x0 _{= 1.}

O seguinte teorema estabelece a existˆencia de cancelamento em grupos:

Teorema 2.1.2. Seja G um grupo com a, b ∈ G. As equa¸cões ax = b e ya = b apresentam solu¸cões únicas x, y ∈ G. Em particular, as leis de cancelamento pela esquerda e pela direita são válidas em G, ou seja,

1. se au = av, ent˜ao u = v; 2. se ub = vb, ent˜ao u = v.

O seguinte conceito ´e important´ıssimo no estudo da teoria de grupos.

Defini¸c˜ao 2.1.2. Seja G um grupo e x ∈ G. Define-se a ordem de x como o menor inteiro positivo tal que xn_{= 1, e denota-se este inteiro por |x|, e diz-se que x possui ordem n. Se}

nenhuma potˆencia positiva de x corresponde `a identidade, define-se a ordem de x como infinito.

´

E poss´ıvel falar tamb´em na ordem do grupo como um todo.

Defini¸cão 2.1.3. Seja G um grupo. A ordem do grupo é a cardinalidade do conjunto associado ao grupo, e é denotada por |G|.

2.1.2 Aplica¸

c˜

oes entre grupos

(28)

Defini¸c˜ao 2.1.4. Sejam G e H dois grupos. Uma aplica¸c˜ao ϕ : G → H tal que ϕ(xy) = ϕ(x)ϕ(y), para todo x, y ∈ G

´e dita um homomorfismo.

Observa-se que na equa¸cão da Defini¸cão 2.1.4, a opera¸cão no lado esquerdo é realizada em G, enquanto a opera¸cão no lado direito é realizada em H. Intuitivamente falando, um homomorfismo respeita as estruturas de grupo entre o dom´ınio e o contradom´ınio. Defini¸cão 2.1.5. Uma aplica¸cão ϕ : G → H é dita um isomorfismo, e G e H são ditos isomorfos, se

1. ϕ é um homomorfismo; 2. ϕ é uma bije¸cão.

Se G e H s˜ao isomorfos, escreve-se G ∼= H.

Um isomorfismo entre dois grupos é uma bije¸cão que preserva as opera¸cões de grupo. Intuitivamente falando, G e H são o mesmo grupo, exceto que a representa¸cão dos ele-mentos e da opera¸cão de cada grupo pode ser diferente.

´

E poss´ıvel demonstrar que dois grupos não são isomorfos se o seguinte critério não for satisfeito (11):

Teorema 2.1.3. Um mapeamento ϕ : G → H ´e um isomorfismo se

1. |G| = |H|

2. G ´e abeliano se e somente se H ´e abeliano 3. para todo x ∈ G, |x| = |ϕ(x)|

2.1.3 Subgrupos

Alguns grupos possuem subconjuntos que, por si s´o, satisfazem os axiomas de grupo. Tais subconjuntos s˜ao ditos subgrupos do grupo original.

(29)

1. xy ∈ H; 2. x−1 ∈ H.

Se H ´e um subgrupo de G, emprega-se a nota¸c˜ao H ≤ G, ou H < G caso H 6= G.

2.1.4 Grupos e subgrupos c´ıclicos

Uma classe muito importante de grupos s˜ao os chamados grupos c´ıclicos.

Defini¸cão 2.1.7. Um grupo G é c´ıclico se G pode ser gerado pelas potências de um ´

unico elemento, ou seja, existe x ∈ G tal que G = {xn _{| n ∈ Z}. A nota¸c˜ao G = hxi ´e}

empregada para indicar que G ´e gerado por x.

Em geral, um grupo c´ıclico possui mais de um gerador. Por exemplo, se x é um gerador de G, então x−1 também é (11). Usando propriedades de expoentes e a comutatividade dos inteiros, é poss´ıvel mostrar que grupos c´ıclicos devem ser abelianos.

O seguinte teorema fornece algumas propriedades importantes de grupos c´ıclicos. Teorema 2.1.4. Seja G um grupo c´ıclico finito gerado por x. S˜ao v´alidas as seguintes propriedades:

1. |G| = |x|;

2. se |G| = n, ent˜ao xn _{= 1 e 1, x, x}2_{, . . . , x}n−1 _s˜_{ao elementos distintos de G.}

Em grupos c´ıclicos finitos, é poss´ıvel utilizar a rela¸cão xn = 1, onde n = |G|, para reduzir expoentes k ≥ n para a faixa 0 ≤ x < n por divisão Euclidiana, onde o divisor é a ordem do grupo n. Este procedimento sugere que é poss´ıvel utilizar as leis de expoentes e a aritm´_{etica do grupo aditivo Z/nZ para realizar aritmética em G. Isto não é coincidência;} o teorema a seguir estabelece isomorfismos entre grupos c´ıclicos, dos quais Z/nZ sob adi¸cão é um exemplo.

Teorema 2.1.5. Dois grupos c´ıclicos quaisquer de mesma ordem são isomorfos. Especi-ficamente, se n ∈ Z+, e hxi, hyi são dois grupos c´ıclicos de ordem n, então o mapeamento

ϕ : hxi →hyi xk 7→yk

(30)

O seguinte teorema estabelece propriedades adicionais de grupos c´ıclicos e seus gera-dores.

Teorema 2.1.6. Seja G um grupo c´ıclico finito, x ∈ G e a 6= 0 um inteiro.

1. Se |x| = n, ent˜ao |xa| = n/ mdc(n, a);

2. Em particular, se a divide n, ent˜ao |xa_{| = n/a;}

3. Se G = hxi, então G = hxai se e somente se mdc(n, a) = 1, o que também implica que o número de geradores de G é φ(n), onde φ(n) é a fun¸cão de Euler da Defini¸cão 2.3.7.

´

E poss´ıvel desvendar a estrutura completa dos subgrupos de um grupo c´ıclico atrav´es do seguinte teorema.

Teorema 2.1.7. Seja G = hxi um grupo c´ıclico.

1. Todo subgrupo de G ´e c´ıclico. Mais especificamente, se K ≤ H, ent˜ao K = {1} ou K = hxd_{i, onde d ´}_{e o menor inteiro positivo tal que x}d_{∈ K.}

2. Se |G| = n, os divisores d de n estão em correspondência bijetiva com os subgrupos de G: para cada d | n existe um único subgrupo de G de ordem d, gerado por xn/d_.

2.2 Introdu¸

c˜

ao aos corpos

Defini¸c˜_{ao 2.2.1. Um corpo F é um conjunto e duas opera¸cões binárias associadas,} + : F → F e × : F → F (ditas adi¸cão e multiplica¸cão), que satisfazem os seguintes axiomas, onde a e b denotam dois elementos quaisquer do grupo em questão:

1. Comutatividade: a + b = b + a e ab = ba;

2. Associatividade: (a + b) + c = a + (b + c) e (ab)c = a(bc); 3. Distributividade: a(b + c) = ab + ac e (a + b)c = ac + bc;

4. Existˆencia de identidades, onde 0 denota a identidade aditiva e 1 a identidade multiplicativa: a + 0 = 0 + a = a e a1 = 1a = a;

(31)

Alguns sistemas numéricos tradicionais são corpos: o conjunto dos números racionais Q, dos números reais R e dos números complexos C. Já o conjunto dos números inteiros Z não forma um corpo, por não atender ao item 5 da defini¸cão.

Defini¸c˜_{ao 2.2.2. Seja um corpo F com identidade multiplicativa 1 e identidade aditiva} 0. Se existe n tal que n · 1 = 0, e este é o menor valor que satisfaz esta propriedade, então o corpo é dito de caracter´ıstica n. Caso não exista n que satisfa¸ca a propriedade, a caracter´ıstica do corpo é 0.

Corpos de caracter´ıstica n 6= 0 são ditos corpos finitos, e são os corpos mais interessan-tes do ponto de vista computacional. Algumas propriedades dos corpos finitos, retiradas de (2), são dadas a seguir.

Teorema 2.2.1 (Resultados b´asicos sobre corpos finitos).

1. A caracter´ıstica de um corpo finito F, ch(F), ´e um n´umero primo;

2. Todos os corpos finitos possuem pk elementos, onde k ´e um inteiro positivo e p ´e a caracter´ıstica do corpo;

3. Para um dado primo p e inteiro positivo k, existe exatamente um corpo com pk

elementos (a menos de isomorfismo1), que ser´_{a denotado por F}pk;

4. O grupo multiplicativo F∗pk de elementos n˜ao-nulos de Fpk ´e c´ıclico.

Pelo Teorema 2.1.6, o grupo F∗_pk apresenta φ(pk− 1) geradores, que no contexto deste

grupo, tamb´em recebem o nome de ra´ızes primitivas.

Ra´ızes primitivas podem ser obtidas atrav´es do seguinte crit´erio (2):

Teorema 2.2.2 (Teste para raiz primitiva em F∗_pk). Um elemento g de F

∗

pk ´e uma

raiz primitiva se e somente se

gpk −1q 6= 1

para todo primo q | pk− 1.

2.2.1 Implementa¸

c˜

ao da aritm´

etica de corpos finitos

A maneira clássica de realizar aritmética de corpos finitos é através de aritmética modular de inteiros e polinômios.

1_{Dois corpos s˜}_{ao ditos isomorfos quando h´}_{a uma bije¸}_c˜_{ao entre eles, de modo que ambos possuem a}

(32)

Inicialmente observa-se que um corpo de caracter´ıstica p e que possui p elementos ´e isomorfo ao corpo dos inteiros m´_{odulo p, Z/pZ (2). Desse modo, a aritm´etica de F}p pode

ser realizada através da aritmética módulo p.

J´a corpos de caracter´ıstica p e que possuem pk _{elementos correspondem a extens˜}_oes

de Fp. Nesse caso, em uma transposi¸c˜ao direta da teoria (11), os elementos de Fpk s˜ao

polinˆ_{omios com coeficientes provindos de F}p, e a aritmética desses polinômios é realizada

módulo um polinômio irredut´ıvel qualquer de grau k (2, 3). Polinômios irredut´ıveis podem ser obtidos a partir do critério a seguir.

Teorema 2.2.3 (Critério de irredutibilidade de polinômios). Um polinômio f (x) em Fp[x] de grau k é irredut´ıvel se e somente se mdc(f (x), xp

j

− x) = 1, para j = 1, 2, . . . , bk/2c.

Observa-se que a escolha do polinômio irredut´ıvel de grau k no parágrafo acima é imaterial, visto que todos os corpos de pk _{elementos s˜}_{ao isom´}_{orficos entre si; a escolha do}

polinˆomio afeta apenas a representa¸c˜ao dos elementos.

Em princ´ıpio, a aritmética modular, tanto de inteiros como de polinômios, pode ser realizada através das opera¸cões inteiras e polinomiais comuns, seguidas de uma divisão pelo módulo, em que o resto da divisão caracteriza o resultado da opera¸cão modular (3). Divisões são realizadas na forma de multiplica¸cão pelo inverso modular, que pode ser computado pelo algoritmo estendido de Euclides (Algoritmo 2.3.2). Vale observar que existem diversos algoritmos mais eficientes para estas tarefas, particularmente quando o tamanho dos operandos é suficientemente grande (2).

2.3 Teoria dos n´

umeros

2.3.1 Divisibilidade

O ponto de partida da teoria dos números é o chamado algoritmo de divisão, ou divisão Euclidiana.

Teorema 2.3.1. Se a e b são inteiros e b > 0, então existem, e são únicos, inteiros q e r tais que

a = qb + r e 0 ≤ r < b.

(33)

Como consequˆencia da defini¸c˜ao, observa-se que qualquer inteiro divide 0 (uma vez que 0 = 0b para qualquer valor de b), que 1 divide qualquer inteiro, e que todo inteiro divide a si mesmo.

Alguns resultados sobre divisibilidade s˜ao dados a seguir. Teorema 2.3.2.

1. se a | b e b | c, ent˜ao a | c; 2. se a | b e c | d, ent˜ao ac | bd;

3. se m 6= 0, ent˜ao a | b se e somente se ma | mb; 4. se d | a e a 6= 0, ent˜ao |d| ≤ |a|;

5. se c divide a1, . . . , ak, ent˜ao c divide a1u1 + . . . + akuk para quaisquer inteiros

u1, . . . , uk.

6. a | b e b | a se e somente se a = ±b.

Defini¸cão 2.3.2. Se d | a e d | b, diz-se que d é um divisor comum de a e b. Dentre os divisores comuns de dois (ou mais) inteiros, há um de maior valor; este é dito o máximo divisor comum (MDC).

O cálculo do MDC de dois inteiros pode ser feito, de maneira ingênua, pela listagem dos divisores dos inteiros em questão, seguido da busca pelo maior elemento em comum entre as duas listas. Infelizmente, este algoritmo é extremamente ineficiente, pois exige a fatora¸cão de seus argumentos. Um algoritmo mais eficiente é conhecido desde a Grécia antiga, o chamado algoritmo de Euclides, considerado o primeiro algoritmo da história, e possivelmente o mais importante algoritmo da teoria dos números. Seu princ´ıpio de funcionamento é baseado no lema a seguir.

Lema 2.3.3. Se a = qb + r, ent˜ao mdc(a, b) = mdc(b, r).

De posse desse lema, a obten¸c˜ao do algoritmo ´e trivial.

Algoritmo 2.3.1 (Algoritmo de Euclides). Dados dois inteiros n˜ao-negativos a e b, o algoritmo calcula o m´aximo divisor comum dos dois.

(34)

r = a mod b; a = b;

b = r; }

return r;

O tempo de execu¸cão deste algoritmo, se programado com cuidado, é O log2n, onde n = max(a, b) (1). Existem também variantes do algoritmo, cuja implementa¸cão em computadores binários é mais eficiente (1).

Defini¸c˜ao 2.3.3. Dois inteiros a e b s˜ao ditos coprimos (ou relativamente primos) se mdc(a, b) = 1.

O teorema a seguir será utilizado na se¸cão sobre aritmética modular.

Teorema 2.3.4. Sejam a, b, c inteiros, onde a, b não são simultaneamente nulos, e seja d = mdc(a, b). Então a equa¸cão

ax + by = c

possui solu¸c˜ao inteira para x, y se e somente se d | c, e nesse caso existem infinitas solu¸c˜oes, dadas pelos pares

x = x0+

bn

d , y = y0− an

d , onde x0, y0 ´e uma solu¸c˜ao particular qualquer e n ∈ Z.

Solu¸c˜oes particulares desta equa¸c˜ao podem ser encontradas pelo chamado algoritmo estendido de Euclides (1, 2).

(35)

(x, y, c, u, v, w) = (u, v, w, x − qu, y − qv, c − qw); }

return (x, y, c);

Assintoticamente, o tempo de execu¸c˜ao deste algoritmo ´e o mesmo do algoritmo de Euclides para MDC.

2.3.2 N´

umeros primos

A defini¸cão de número primo e o importante resultado acerca dos mesmos, denominado Teorema Fundamental da Aritmética, já foi abordado no Cap´ıtulo 1. Esta se¸cão preocupa-se apenas com a distribui¸cão dos primos entre os inteiros, e com algoritmos rudimentares para determina¸cão de caráter primo e composto.

Teorema 2.3.5. Existem infinitos n´umeros primos.

Defini¸cão 2.3.4. A fun¸cão π(x) denota o número de primos p ≤ x. Teorema 2.3.6. Para x → ∞,

π(x) ∼ x

log x

O seguinte crit´erio permite determinar o car´ater primo de inteiros pequenos.

Lema 2.3.7. Um inteiro n > 1 ´e composto se e somente se n ´e divis´ıvel por algum primo p ≤√n.

Em determinadas situa¸cões, é preciso compilar uma lista de primos entre 1 e n, para algum valor de n. Embora seja poss´ıvel aplicar o lema acima de maneira independente a cada inteiro de 1 a n, existe um algoritmo para compila¸cão desta lista que é mais eficiente, o Crivo de Eratóstenes.

Algoritmo 2.3.3 (Crivo de Eratóstenes). Dado um inteiro n > 1, este algoritmo retorna um vetor binário p[2..n], tal que se k é composto, p[k] = 0, e se k é primo, p[k] = 1.

1. [Inicializa¸c˜ao]

// Pelo Lema 2.3.7, os elementos de 1 a n n˜ao // possuem fatores primos maiores que d√ne l = d√ne;

(36)

2. [La¸co principal] while (i ≤ l) {

// Múltiplos de i são compostos por defini¸cão for (j = 2i; j < n; j = j + i)

p[j] = 0;

// Procura pr´oximo primo no vetor for (i + +; p[i] = 1; i + +)

; }

return p;

Pode-se mostrar (2) que o tempo de execu¸cão desse algoritmo é O(n log log n); visto de outra maneira, o custo amortizado do algoritmo para cada inteiro na faixa de 1 a n é O(log log n). Ainda assim, esse custo é muito alto, exceto para pequenos valores de n (até 10 ou 11 d´ıgitos).

2.3.3 Congruˆ

encias e aritm´

etica modular

Defini¸cão 2.3.5. Seja n um inteiro positivo, e a, b dois inteiros quaisquer. Diz-se que a é congruente a b módulo n, e escreve-se a ≡ b (mod n), se a e b apresentam o mesmo resto após divisão por n.

Teorema 2.3.8. Para um dado n ≥ 1, temos que a ≡ b (mod n) se e somente se n | (a − b).

Lema 2.3.9. Para um dado n ≥ 1, temos que

1. a ≡ a (mod n) para todos os inteiros a; 2. se a ≡ b (mod n), ent˜ao b ≡ a (mod n);

3. se a ≡ b (mod n) e b ≡ c (mod n), ent˜ao a ≡ c (mod n).

Este lema estabelece que a congruência é uma rela¸cão de equivalência, por satisfazer os axiomas de reflexividade, simetria e transitividade. Assim, Z é particionado em classes de equivalência disjuntas, representadas pelas classes de congruência

(37)

Cada classe corresponde aos poss´ıveis restos r = 0, 1, . . . , n − 1 da divisão de um inteiro por n, de modo que há n classes de congruência, mais especificamente

0 = {. . . , −2n, −n, 0, n, 2n, . . .}.

1 = {. . . , −2n + 1, −n + 1, 1, n + 1, 2n + 1, . . .}, . . .

n − 1 = {. . . , −n − 1, −1, n − 1, 2n − 1, 3n − 1, . . .}.

O conjunto de classes de equivalência módulo n ´_{e denotado por Z/nZ. ´}E poss´ıvel definir uma aritmética desse conjunto da seguinte forma:

a + b = a + b, a − b = a − b,

ab = ab.

O lema a seguir afirma que essas opera¸c˜oes s˜ao bem-definidas.

Lema 2.3.10. Para um dado n ≥ 1, se a0 ≡ a (mod n) e b0 _{≡ b (mod n), ent˜}_{ao a}0_{+ b}0 _≡

a + b (mod n), a0 − b0 _{≡ a − b (mod n) e a}0_b0 _{≡ ab (mod n).}

O conjunto Z/nZ e as opera¸cões aritméticas assim definidas formam um anel (quando n não é primo ou potência de primo) ou um corpo.

Deve-se prestar aten¸cão à defini¸cão de exponencia¸cão. Aplicando a defini¸cão de mul-tiplica¸cão de classes de congruência, obtém-se ak _{= a}k_{. Deve-se observar que, em geral,}

ak 6= ak_{; mas nem tudo est´}_{a perdido com rela¸c˜}_{ao ao c´}_{alculo eficiente de exponencia¸c˜}_oes.

Será visto mais à frente que, de fato, é poss´ıvel efetuar redu¸cões modulares neste expoente, desde que se escolha o módulo correto pelo uso do Teorema 2.3.19.

Embora, à primeira vista, opera¸cões de exponencia¸cão ak _{(sejam exponencia¸c˜}_oes

(38)

Algoritmo 2.3.4 (Exponencia¸cão esquerda-direita). Esse algoritmo calcula ak, k > 0, onde k é fornecido ao algoritmo na forma de um vetor de 0 a D − 1 contendo sua expansão binária, com k[D − 1] = 1 o bit mais significativo.

1. [Inicializa¸c˜ao] z = a;

2. [La¸co sobre os bits de k, a partir do segundo mais significativo] for (D − 2 ≥ j ≥ 0) { z = z2; if (k[j] == 1) z = za; } return z;

Para o cálculo de exponencia¸cões modulares, o algoritmo será mais eficiente se as opera¸cões de multiplica¸cão forem seguidas por redu¸cões modulares, mantendo os valores das variáveis estritamente menores que o módulo.

A divisão de classes de congruência não pode ser definida como a/b = a/b, visto que a/b não necessariamente assume valor inteiro. Ao invés disso, serão consideradas as solu¸cões da equa¸cão bx ≡ a (mod n). Pelo Teorema 2.3.8, isso equivale a dizer que n | (bx − a), ou seja, bx − a = ny. Equa¸cões deste tipo já foram estudadas pelo Teorema 2.3.4, e suas solu¸cões podem ser obtidas de maneira eficiente pelo Algoritmo 2.3.2. Um corolário do Teorema 2.3.4, empregando os conceitos de congruência, é útil nesta situa¸cão: Corolário 2.3.11. Se mdc(b, n) = 1, então as solu¸cões da congruência bx ≡ a (mod n) para x formam uma única classe de congruência módulo n.

Esse corolário indica as situa¸cões em que faz sentido definir o quociente de classes de congruência; especificamente, quando o divisor b é coprimo ao módulo n. Quando esta condi¸cão não é verdadeira, e d | a, há mais de uma solu¸cão para a congruência, enquanto se d - a, a congruência não possui solu¸cão. Em ambos os casos, não é possivel definir um quociente a/b.

Uma defini¸cão de amplo uso, e relacionada aos quocientes de classe de congruência, é a inversão de classes de congruência.

Defini¸c˜ao 2.3.6. O inverso a−1 _{de uma classe de congruˆ}_{encia a m´}_{odulo n ´}_{e a solu¸c˜}_{ao x}

(39)

Após este breve interlúdio ao tópico de divisão de classes de congruência, retornamos ao estudo da aritmética destas classes. O Lema 2.3.10 pode ser interpretado da seguinte maneira: a aritmética de classes de congruência depende apenas das classes de congruência em questão, e não do representante particular escolhido para aquela classe. Surge então a questão de como escolher os representantes mais adequados para maximizar a eficiência da implementa¸cão da aritmética modular. As duas possibilidades mais comuns são o conjunto de res´ıduos não-negativos m´ınimos, dado por {0, 1, . . . , n − 1}, e o conjunto de res´ıduos de menor valor absoluto, dado por {0, ±1, ±2, . . . , ±(n − 1)/2} para n ´ımpar e {0, ±1, ±2, . . . , ±(n/2 − 1), n/2} para n par (o último elemento pode ser substitu´ıdo por −n/2 se desejado).

As defini¸cões e resultados obtidos até agora sugerem a implementa¸cão da aritmética modular através da aritmética de inteiros e aplica¸cão do algoritmo de divisão. Existe um sistema alternativo de aritmética modular para o caso em que n é composto (1, 5). Para introduzi-lo, é necessário o teorema a seguir.

Teorema 2.3.12. Seja n um inteiro com fatora¸c˜ao em potˆencias de primos n = pe1

1 · · · p ek

k ,

onde p1, . . . , pk s˜ao primos distintos. Dados inteiros a e b, temos que a ≡ b (mod n) se e

somente se a ≡ b (mod pei

i ) para i = 1, . . . , k.

Este resultado, em conjunto com o Lema 2.3.10, sugere a realiza¸cão da aritmética módulo os diferentes fatores primos de n; esse procedimento pode ser vantajoso em al-gumas situa¸cões. É necessário, no entanto, um método para obten¸cão da classe de con-gruência módulo n dadas as classes de congruência módulo cada fator primo de n. O seguinte teorema garante a existência e unicidade da solu¸cão para esse problema.

Teorema 2.3.13 (Teorema Chinˆes do Resto). Sejam n1, . . . , nk inteiros positivos tais

que mdc(ni, nj) = 1 para i 6= j, e sejam a1, . . . , ak inteiros quaisquer. Ent˜ao a solu¸c˜ao

das congruˆencias simultˆaneas

x ≡ a1 (mod n1), . . . , x ≡ ak (mod nk)

forma uma única classe de congruência módulo n, onde n = n1· · · nk. Ademais, esta

solu¸c˜ao ´e dada por

x ≡

k

X

i=1

(40)

onde ci = n/ni e di ≡ c−1i (mod ni). Z/nZ

2.3.4 Polinˆ

_{omios com coeficientes em Z/nZ}

A defini¸cão de uma aritm´_{etica de Z/nZ permite a constru¸cão de polinômios com} coeficientes provindos desse corpo. O lema a seguir afirma que, de certa forma, tais polinômios se comportam como esperado.

Lema 2.3.14. Seja f = f (x) um polinˆomio com coeficientes inteiros, e n ≥ 1. Se a ≡ b (mod n), ent˜ao f (a) ≡ f (b) (mod n).

O número de ra´ızes de polinˆ_{omios sobre Z/nZ é fornecido pelo teorema a seguir, devido} a Lagrange, e corresponde ao resultado familiar conhecido como Teorema Fundamental da Álgebra.

Teorema 2.3.15. Seja p um primo, e f (x) = adxd+ . . . + a1x + a0 um polinˆomio com

coeficientes inteiros, com ai 6≡ 0 (mod p) para pelo menos um valor de i. Ent˜ao a

con-gruência f (x) ≡ 0 (mod p) é satisfeita por não mais que d classes de congruência de Z/nZ.

2.3.5 A fun¸

c˜

ao φ de Euler

Defini¸cão 2.3.7. A fun¸cão φ = φ(n) indica o número de inteiros 1 ≤ a < n coprimos a n.

Lema 2.3.16. Se n = pe _{com p primo e e natural, ent˜}_ao

φ(n) = pe− pe−1 _{= p}e−1_{(p − 1) = n} 1 −1 p .

Teorema 2.3.17. Se m e n s˜ao coprimos, ent˜ao φ(mn) = φ(m)φ(n).

Juntando o Lema 2.3.16 e o Teorema 2.3.17, ´e poss´ıvel calcular φ(n) para qualquer valor inteiro de n.

Corolário 2.3.18. Se a fatora¸cão de n em potências de primos é n = pe1

(41)

Este resultado pode ser escrito de forma mais concisa como φ(n) = nY p|n 1 − 1 p .

O teorema a seguir é o resultado mais importante envolvendo a fun¸cão de Euler. Teorema 2.3.19 (Teorema de Fermat-Euler). Se mdc(a, n) = 1, então

aφ(n) ≡ 1 (mod n).

Um corol´ario importante contempla o caso em que n ´e primo.

Teorema 2.3.20 (Pequeno Teorema de Fermat). Se p ´e primo e a 6≡ 0 (mod p), ent˜ao

ap−1≡ 1 (mod p).

Se, no Teorema 2.3.19 a restri¸cão mdc(a, n) = 1 não puder ser garantida, então é necessário se contentar com o seguinte resultado.

Teorema 2.3.21. Para qualquer inteiro a, aφ(n)+1 _{≡ a (mod n).}

Esses resultados se tornam intuitivos quando interpretados sob a ótica da teoria dos grupos, considerando o grupo multiplicativo (Z/nZ)∗, como será feito na se¸cão seguinte.

2.3.6 _{O grupo multiplicativo (Z/nZ)}

∗

Nesta se¸c˜ao, s˜ao dados alguns resultados a respeito do grupo mais importante no estudo de teoria dos n´_{umeros, (Z/nZ)}∗.

Teorema 2.3.22. Os inteiros 1 ≤ a < n tais que mdc(a, n) = 1, sob a opera¸c˜ao de multiplica¸c˜_{ao modular, formam o grupo (Z/nZ)}∗. Este grupo ´e abeliano e de ordem φ(n).

A condi¸c˜_{ao para que (Z/nZ)}∗ seja c´ıclico ´e dada pelo teorema a seguir.

Teorema 2.3.23. O grupo (Z/nZ)∗ é c´ıclico se e somente se n = 1, 2, 4, uma potência de um primo ´ımpar, ou duas vezes uma potência de um primo ´ımpar.

(42)

´e o mesmo objeto alg´_{ebrico que o grupo (Z/nZ)}∗; por exemplo, a cardinalidade dos dois n˜ao ´_{e a mesma: |F}pk| = pk− 1, enquanto |(Z/pk_Z)∗| = φ(pk) = pk−1(p − 1) 6= pk− 1. Por

conta disso, os resultados dados naquela se¸c˜ao s˜_{ao adaptados aqui para o grupo (Z/nZ)}∗, no caso em que este grupo ´e c´ıclico.

Teorema 2.3.24. Um elemento a ∈ (Z/nZ)∗ ´e uma raiz primitiva se e somente se aφ(n)/q = 1 para cada primo q que divide φ(n).

Teorema 2.3.25. Se (Z/nZ)∗ possui ra´ızes primitivas, então estas ra´ızes primitivas são em número de φ(φ(n)).

2.3.7 Res´ıduos quadr´

aticos e ra´ızes quadradas modulares

Esta se¸cão contempla as solu¸cões para congruências quadráticas do tipo x2 _{≡ a}

(mod n), no contexto do grupo (Z/nZ)∗.

Defini¸c˜_{ao 2.3.8. Um elemento a ∈ (Z/nZ)}∗ é dito um res´ıduo quadrático se a ≡ s2 (mod n) para algum s ∈ (Z/nZ)∗. O conjunto dos res´ıduos quadráticos módulo n será denotado por Qn.

O resultado a seguir determina o n´umero de ra´ızes quadradas de elementos de Qn

(lembrando que os elementos de (Z/nZ)∗\Qnn˜ao possuem ra´ızes quadradas por defini¸c˜ao).

Teorema 2.3.26. Seja k o n´umero de primos distintos que dividem n, e seja a ∈ Qn.

Ent˜ao n´_{umero de elementos t ∈ (Z/nZ)}∗ tais que t2 ≡ a (mod n) ´e dado por

N =            2k+1 _{se n ≡ 0} _{(mod 8),} 2k−1 _{se n ≡ 2} _{(mod 4),}

2k caso contr´ario.

Teorema 2.3.27. Qn ´e subgrupo de (Z/nZ)∗.

A determina¸cão de Qn é particularmente simples quando (Z/nZ)∗ é c´ıclico.

Teorema 2.3.28. Seja n > 2, e suponha a existência de uma raiz primitiva g (mod n). Então Qn é um grupo c´ıclico de ordem φ(n)/2 gerado por g2.

(43)

Defini¸c˜ao 2.3.9. Seja p ≥ 3 um primo. O s´ımbolo de Legendre de um inteiro a qualquer ´e a p =            0 se p | a, 1 se a ∈ Qp, −1 _{se a ∈ (Z/nZ)}∗_{\ Q} p.

Defini¸cão 2.3.10. Seja m um inteiro ´ımpar, e a um inteiro qualquer. O s´ımbolo de Jacobi (_ma) é definido em termos da fatora¸cão de m em potências de primos,

m =Ypti i , como a m =Y a pi t i .

Deve-se observar que, para m composto, o s´ımbolo de Jacobi (_ma) = 1 n˜ao significa que a congruˆencia x2 _{≡ a (mod m) possui solu¸c˜}_{ao, ao contr´}_{ario do que se poderia esperar.}

Para tanto, exige-se mais: o s´ımbolo de Legendre (a_p) deve ser 0 ou 1 para cada um dos fatores p de m. Porém, se (_ma) = −1, pode-se afirmar com certeza que a congruência não possui solu¸cão.

S´ımbolos de Legendre podem ser calculados de maneira eficiente atrav´es do seguinte resultado.

Teorema 2.3.29 (Critério de Euler). Se p ≥ 3 é primo, então para todos os inteiros a,

a p

≡ a(p−1)/2 (mod p).

Algumas simplifica¸cões podem ser feitas em expressões envolvendo s´ımbolos de Le-gendre e Jacobi através dos resultados a seguir.

Teorema 2.3.30. Sejam m, n inteiros ´ımpares e a, b inteiros quaisquer. As seguintes rela¸cões são válidas para os s´ımbolos de Legendre e Jacobi:

ab m =a m b m , a mn =a m a n . As rela¸c˜oes especiais a seguir s˜ao de uso amplo:

−1 m

(44)

2 m

= (−1)(m2−1)/8.

O grande valor das rela¸cões especiais inclu´ıdas no teorema é que seu cálculo não exige exponencia¸cões modulares (12). O valor de (−1)(m−1)/2 _´_{e 1 se (m − 1)/2 ´}_{e par e -1 se}

(m − 1)/2 é ´ımpar; as duas condi¸cões podem ser simplificadas para m ≡ 1 (mod 4) e m ≡ 3 (mod 4), respectivamente, e o cálculo do resto da divisão de um inteiro por uma potência de 2 pode ser realizado sem envolver uma divisão expl´ıcita, através da opera¸cão lógica AND: se a = 1, 3, m ≡ a (mod 4) ⇐⇒ (m & 3) == a (na nota¸cão das lingua-gens C/C++). O cálculo de (−1)(m2−1)/8 é ligeiramente mais complicado; inicialmente observa-se que esse valor depende apenas da classe de congruência de m módulo 8, e constrói-se uma tabela tab[8] = { 0, 1, 0, -1, 0, -1, 0, 1 }, obtendo-se a rela¸cão (−1)(m2_−1)/8

= tab[m & 7].

O resultado a seguir está para o cálculo de s´ımbolos de Jacobi como o Lema de Euclides 2.3.3 está para o cálculo de máximos divisores comuns, eliminando a necessidade de fatorar o módulo m.

Teorema 2.3.31 (Lei de reciprocidade quadrática). Se m, n são inteiros ´ımpares coprimos, então m n n m = (−1)(m−1)(n−1)/4.

O c´alculo de a = (−1)(m−1)(n−1)/4 _tamb´_{em pode ser realizado sem exponencia¸c˜}_oes

modulares: if (m & n & 2) a = 1; else a = -1;.

O algoritmo a seguir mostra como é poss´ıvel usar a lei de reciprocidade quadrática para computa¸cão eficiente do s´ımbolo de Jacobi.

Algoritmo 2.3.5. Dado um inteiro positivo ´ımpar m e um inteiro qualquer a, o algoritmo retorna o s´ımbolo de Jacobi (_ma). O vetor tab ´e o vetor descrito acima para c´alculo eficiente de (−1)(m2_−1)/8

.

(45)

} (a, m) = (m, a); if (a & m & 2) t = −t; a = a (mod m); } 2. [Conclus˜ao] if (m == 1) return t; else return 0;

Pela similaridade com o Algoritmo de Euclides 2.3.1, é poss´ıvel concluir que o tempo de execu¸cão do algoritmo é O log2m, assumindo que a < m.

A discussão até agora permite responder a questão da existência de ra´ızes quadradas módulo primos, mas na prática também é necessário calculá-las. O algoritmo a seguir, devido a M. Cipolla, é simples de programar e razoavelmente eficiente.

Algoritmo 2.3.6. Dado um primo p e um inteiro a tal que (a_p) = 1, este algoritmo retorna uma solu¸c˜ao x de x2 _{≡ a (mod p).}

1. [Encontrar um certo res´ıduo n˜ao-quadr´atico]

Encontrar um inteiro aleat´orio t ∈ [0, p − 1] tal que (t2−a_p ) = −1;

2. [Encontrar uma ra´ız quadrada em Fp2 = F_p(

√

t2_{− a)]}

x = (t +√t2_{− a)}(p+1)/2_;

return x;

Seu tempo de execu¸c˜ao ´e O log3p.

Embora o algoritmo retorne apenas uma raiz quadrada (de duas poss´ıveis nesta si-tua¸cão), a obten¸cão da outra é direta, uma vez que se x2 _{≡ a (mod p), ent˜}_{ao (−x)}2 _{≡ a}

(mod p), e assim −x ´e a outra raiz quadrada de a m´odulo p.

Outro detalhe ´e que o algoritmo utiliza a aritm´_{etica de F}p2, de modo que um exemplo

do funcionamento desta aritmética pode ser útil. A aritmética nesse corpo é semelhante à aritmética complexa; esta poderia ser interpretada como a aritm´_{etica de F}p(

√

(46)

isto fizer sentido (ou seja, quando (−1_p ) = −1). No caso do algoritmo, faz-se ω =√t2_{− a,}

de modo que ω2 = t2_{− a ´e um elemento do corpo-base F}p. Mais explicitamente, define-se

o corpo Fp2 como

Fp2 = F_p(ω) = {x + ωy : x, y ∈ F_p},

e a aritm´etica pode ser confinada a esse conjunto pela substitui¸c˜ao ω = t2 _{− a, como se}

segue:

(x + ωy) + (u + ωv) = (x + u) + ω(y + v), (x + ωy)(u + ωv) = xu + ω(xv + yu) + ω2yv

= (xu + yv(t2− a)) + ω(xv + yu).

Uma interpreta¸cão em termos da aritmética de polinômios é mais útil quando o grau de extensão do corpo é superior a 2. No caso do algoritmo, o polinômio é f (ω) = ω2_−(t2_−a),

e é poss´ıvel verificar a equivalência da aritmética de x + ωy e a rela¸cão ω2 _{= t}2_{− a, com}

a aritmética de polinômios módulo f (ω).

Resta a questão de como calcular ra´ızes quadradas módulo n, um inteiro composto. Nesse caso, é poss´ıvel observar que se n = pe1

1 · · · p ek

k , então as congruências simultâneas

x2 ≡ a (mod pe1

1 ), . . . , x2 ≡ a (mod p ek

k ) implicam x

2 _{≡ a (mod n) pelo Teorema Chinˆes}

do Resto 2.3.13. Supondo que todos os expoentes eina fatora¸c˜ao de n sejam 1, a solu¸c˜ao de

(47)

3 Curvas El´

ıpticas

As curvas el´ıpticas vêm se estabelecendo como ferramentas promissoras para a teo-ria dos números e criptografia. Nas últimas duas décadas, diversos algoritmos têm sido propostos empregando a aritmética de curvas el´ıpticas, geralmente apresentando diver-sas vantagens sobre outros algoritmos conhecidos. Destacam-se o algoritmo ECPP para demonstra¸cões de caráter primo, o algoritmo ECM para fatora¸cão de inteiros, e criptos-sistemas baseados em curvas el´ıpticas, como o ECDSA, ECDH e outros.

Este cap´ıtulo consiste de uma introdu¸cão ao grupo de pontos de uma curva el´ıptica, que representa o uso das curvas el´ıpticas no contexto da teoria computacional do números. Inicialmente introduz-se as curvas el´ıpticas sob um ponto de vista geométrico. Em seguida, discute-se o seu grupo de pontos e teoremas fundamentais a respeito do mesmo. Por fim, alguns algoritmos simples para a aritmética deste grupo são expostos.

3.1 Aspectos geom´

etricos

Uma curva el´ıptica é uma curva cúbica sobre a qual exige-se a condi¸cão extra de n˜ ao-singularidade: as derivadas parciais da equa¸cão da curva não podem ser simultaneamente nulas em nenhum ponto da curva. Se esta condi¸cão for satisfeita, e ademais, a curva for considerada sobre um corpo cuja caracter´ıstica não seja 2 nem 3, é poss´ıvel simplificar a equa¸cão geral de um polinômio de grau 3 para a forma

y2 = x3+ ax + b, (3.1)

a chamada parametriza¸cão de Weierstrass para uma curva el´ıptica (2). A curva satisfaz a condi¸cão de não-singularidade se e somente se 4a3_{+ 27b}2 _{6= 0, onde este valor é o}

(48)

Figura 3.1: A curva el´ıptica afim y2 _{= x}3_{− 3x + 3.}

parametriza¸cões para estes casos não serão consideradas.

Um gr´afico da curva el´ıptica y2 _{= x}3_{− 3x + 3 sobre os n´}_{umeros reais ´}_{e mostrada na}

Figura 3.1.

Diz-se que uma curva el´ıptica em 2 variáveis, como considerada até agora, está na sua forma afim. Uma forma equivalente, porém mais útil em certas situa¸cões, é a forma projetiva, onde a curva é dada em fun¸cão de 3 variáveis. A parametriza¸cão de Weierstrass para a curva nesta forma é dada por

y2z = x3+ axz2+ bz3. (3.2)

Certas solu¸cões projetivas da curva estão relacionadas entre si. Se (x, y, z) é uma solu¸cão de (3.2), então é fácil ver que (tx, ty, tz) também será uma solu¸cão, caso t 6= 0. Faz sentido então falar da classe de equivalência de solu¸cões [x, y, z], que representa todas as solu¸cões em que as coordenadas são multiplicadas por um escalar não-nulo.

As solu¸cões afins e projetivas também estão relacionadas entre si. Se (x, y) é uma solu¸cão afim de (3.1), então [x, y, 1] é uma solu¸cão projetiva de (3.2); e de forma rec´ıproca, se [x, y, z] é uma solu¸cão projetiva de (3.2), então (x/z, y/z) é uma solu¸cão afim de (3.1). A forma projetiva (3.2) também permite a defini¸cão de uma solu¸cão especial da curva, o ponto O = [0, 1, 0], que é chamado ponto no infinito. Esta solu¸cão será crucial nas defini¸cões da Se¸cão 3.2.

(49)

am-plamente utilizadas na literatura da teoria de curvas el´ıpticas, as parametriza¸c˜oes a seguir podem ser computacionalmente mais convenientes em certas situa¸c˜oes. Na forma afim, temos

y2 = x3+ Cx2+ Ax + B, (3.3)

e na forma projetiva,

y2z = x3+ Cx2z + Axz2+ Bz3. (3.4)

O discriminante da equa¸c˜ao nessa forma ´e 4A3+ 27B2 − 18ABC − A2_C2_{+ 4BC}3_{, e}

como na parametriza¸c˜ao de Weierstrass, deve ser diferente de zero para que a curva seja n˜ao-singular.

A defini¸c˜ao a seguir compila os resultados desta se¸c˜ao.

Defini¸cão 3.1.1. Uma curva cúbica não-singular com coeficientes provindos de um corpo F, e que possua pelo menos um ponto com coordenadas não simultaneamente nulas em F, é dita uma curva el´ıptica sobre F. Se a caracter´ıstica de F não é 2 ou 3, a equa¸cão (3.1) define curvas el´ıpticas sobre F, contanto que 4a3 _{+ 27b}2 _{6= 0. Denota-se por E(F)}

o conjunto de pontos com coordenadas em F que satisfazem a equa¸c˜ao da curva, mais o ponto no infinito O. Temos ent˜ao

E(F) = {(x, y) ∈ F × F : y2 = x3+ ax + b} ∪ {O}.

3.2 O grupo de pontos de uma curva el´ıptica

Sejam dois pontos P1 = (x1, y1) e P2 = (x2, y2) de uma curva el´ıptica na forma afim,

dada pela equa¸c˜ao (3.1). ´E poss´ıvel construir um terceiro ponto P3 = (x3, y3) da curva

em fun¸c˜ao desses dois pontos, atrav´es da seguinte regra: tra¸ca-se a reta que passa por P1

e P2, que intersecciona a curva em um terceiro ponto (exceto quando a reta ´e vertical).

Tomando-se a reflexão desse terceiro ponto em torno do eixo x, o que é poss´ıvel uma vez que a curva é simétrica em rela¸cão a esse eixo, obtém-se o ponto P3. A justificativa

para essa reflexão aparentemente arbitrária é que de outra maneira, os três pontos seriam colineares por defini¸cão, o que impossibilitaria a obten¸cão de novos pontos a partir de combina¸cões desses três.

A Figura 3.2 ilustra o processo descrito.

Quando P1 = P2, essa constru¸c˜ao falha, uma vez que existem infinitas retas que

(50)

Figura 3.2: Soma de pontos em uma curva el´ıptica. pode ser obtida por deriva¸c˜ao impl´ıcita da equa¸c˜ao da curva (3.1).

Outro caso especial é aquele em que a reta resultante da constru¸cão é vertical; o terceiro ponto de interseçcão dessa reta com a curva é definido como o ponto no infinito O.

A regra geométrica aqui descrita pode ser interpretada como uma opera¸cão binária entre dois pontos da curva, que resulta em um terceiro ponto da curva. Combinando todas as solu¸cões da equa¸cão da curva, dadas na Defini¸cão 3.1.1, com a opera¸cão descrita, é poss´ıvel mostrar que é obtido um grupo abeliano, o grupo de pontos de uma curva el´ıptica. Este grupo, assim como o conjunto de pontos da curva el´ıptica, é denotado por E(F)

Pelo uso de geometria anal´ıtica, é poss´ıvel obter expressões para as regras geométricas consideradas. Observa-se que essas opera¸cões são válidas n˜_{ao somente para R, onde} foi feita a dedu¸cão, mas também para outros corpos. O teorema a seguir fornece essas express˜_{oes e afirma que E(F), em conjunto com estas expressões, forma um grupo abeliano} (2), cuja nota¸cão empregada ao longo desse trabalho será aditiva.

Teorema 3.2.1. Seja E(F) uma curva el´ıptica definida por (3.1), sobre um corpo cuja caracter´ıstica ´e diferente de 2 e 3, e sejam dois pontos P1 = (x1, y1) e P2 = (x2, y2)

(51)

1. P1+ P2 = (x1, y1) + (x2, y2) = (x3, y3) = P3, em que

x3 = m2− x1− x2,

−y3 = m(x3− x1) + y1,

onde o coeficiente angular m ´e definido como

m =        y2− y1 x2− x1 se x2 6= x1, 3x2 1+ a 2y1 se x2 = x1; 2. −P1 = (x1, −y1).

Ent˜_{ao o grupo (E(F), +) ´e um grupo abeliano com identidade O.}

A interpreta¸cão geométrica da opera¸cão se perde quando a curva é considerada sobre um corpo finito Fp, como os inteiros módulo p. No entanto, as expressões do Teorema 3.2.1

ainda são válidas nesta situa¸cão, bastando substituir a aritm´_{etica de R pela aritmética de} Fp; em particular, as opera¸cões de divisão podem ser realizadas através de multiplica¸cão

pelo inverso do divisor.

A defini¸cão de multiplica¸cão de pontos por inteiros, que corresponde à opera¸cão de exponencia¸cão em grupos multiplicativos, é direta:

nP = P + P + · · · + P

| {z }

n vezes

.

Define-se também 0P = O e (−n)P = −(nP ). Devido à similaridade com a exponen-cia¸cão em grupos multiplicativos, os mesmos algoritmos podem ser empregados, embora não necessariamente os melhores algoritmos para exponencia¸c˜_{ao em (Z/nZ)}∗ sejam os melhores para multiplica¸c˜_{ao por inteiro em E(F}p), devido ao desempenho relativo das

opera¸c˜oes de somar dois pontos distintos e de dobrar um ponto.

O seguinte teorema elucida a estrutura alg´ebrica do grupo de pontos de uma curva el´ıptica (2).

Teorema 3.2.2 (Cassels). O grupo E(Fpk) ´e c´ıclico ou isom´orfico a um produto de dois

grupos c´ıclicos

E ∼_{= Z/d}1Z × Z/d2Z,

(52)

Grupos c´ıclicos já foram estudados no Cap´ıtulo 2. A segunda possibilidade do teorema, que o grupo seja um produto de dois outros grupos c´ıclicos, indica que a estrutura desse grupo é similar `_{a do grupo (Z/nZ)}∗, em que n = pq é produto de dois primos (11).

A respeito de |E(Fpk)|, a ordem do grupo de pontos de uma curva el´ıptica sobre um

corpo finito, ´e conhecido o seguinte resultado (2).

Teorema 3.2.3 (Hasse). A ordem do grupo E(Fpk) satisfaz a desigualdade

pk+ 1 − 2ppk_{< |E(F}

pk)| < pk+ 1 + 2

p pk_.

Uma interpreta¸c˜ao muito ´util do teorema ´_{e que log |E(F}pk)| ≈ log(pk), ou seja, a

ordem do grupo de pontos de uma curva pode ser representada por essencialmente o mesmo número de bits que o número de elementos do corpo sobre o qual ela é definida. Esse dado é bastante útil na análise de algoritmos envolvendo curvas el´ıpticas. No entanto, isso não significa que os dois valores estejam muito próximos, a ponto de permitir que todos os valores poss´ıveis da ordem do grupo sejam testados: isso levaria a um algoritmo exponencial.

3.3 Algoritmos para aritm´

etica el´ıptica

Nesta se¸cão, serão considerados algoritmos básicos para aritmética el´ıptica, sem gran-des preocupa¸cões quanto à eficiência dos mesmos; algoritmos eficientes são abordados por exemplo em (2).

O primeiro algoritmo soluciona o problema de encontrar um ponto na curva.

Algoritmo 3.3.1. Seja uma curva el´ıptica E(Fp) com p > 3 um primo e equa¸c˜ao

y2 = x3 + ax + b. Este algoritmo retorna um ponto (x, y) de E.

1. [La¸co]

Sorteie um valor aleat´orio 0 ≤ x < p; t = x3_{+ ax + b mod p;}

if ((_pt) == −1) goto [La¸co];

return (x, ±√t mod p); // Raiz quadrada modular.

O funcionamento do algoritmo deve ser claro: para que x0 seja uma coordenada x

v´alida da curva y2 _{= x}3_{+ax+b, ´}_{e preciso que x}3

(53)

permitir a extra¸cão da raiz quadrada desse valor. Quando um ponto (x, y) é encontrado, sabe-se que, pela simetria da curva, (x, −y) também é um ponto válido, e por isso as duas solu¸cões são retornadas.

O n´umero de execu¸c˜oes do la¸co no algoritmo deve ser pequeno: admitindo que x3₊

ax + b seja um valor aleatório (dado que x é aleatório), e como metade dos elementos de (Z/pZ)∗ são res´ıduos quadráticos, fica claro que em 50% dos casos um dado valor de x3+ ax + b será res´ıduo quadrático.

A seguir, é preciso realizar aritmética com os pontos da curva el´ıptica. A escolha de um sistema de coordenadas é crucial. Serão consideradas as duas op¸cões já discutidas anteriormente, coordenadas afins e projetivas.

3.3.1 Coordenadas afins

Inicialmente ´e apresentado o algoritmo para aritm´etica em coordenadas afins. Devido `

a impossibilidade de representar o ponto no infinito O em coordenadas afins, há duas op¸cões: é poss´ıvel utilizar uma variável booleana cujo valor indica se o ponto atual é O, ou adicionar uma terceira coordenada z à representa¸cão, como em coordenadas projetivas, porém z só pode assumir os valores 0 (quando o ponto em questão é O) ou 1.

Algoritmo 3.3.2. Seja uma curva el´ıptica E(F), em que a caracter´ıstica do corpo F ´e diferente de 2 e 3, e dada pela equa¸c˜ao afim y2 _{= x}3 _{+ ax + b. Pontos P da curva}

são representados como (x, y, z), onde z = 1 sempre, exceto quando P = O, o ponto no infinito, e nesse caso P = (0, 1, 0) ou P = (0, −1, 0). A fun¸cão a seguir computa a opera¸cão fundamental de adi¸cão el´ıptica.

(54)

m = (3x2₁+ a)(2y1)−1; else // P1 6= ±P2 m = (y2− y1)(x2− x1)−1; x3 = m2− x1− x2; return (x3, m(x1− x3) − y1, 1); } ´

E desejável fornecer também as seguintes opera¸cões extras: 2. [Fun¸cão de nega¸cão el´ıptica]

neg(P ) { return (x, −y, z); }

3. [Fun¸c˜ao de adi¸c˜ao el´ıptica de um ponto a si mesmo] dobro(P ) { return soma(P ,P ); }

4. [Fun¸c˜ao de subtra¸c˜ao el´ıptica]

sub(P1, P2) { return soma(P1,neg(P2)); }

Deve-se observar que as multiplica¸cões por constantes pequenas, como 2 e 3, devem ser efetuadas por meio de somas e não multiplica¸cões.

Os dois primeiros testes do algoritmo verificam se um dos pontos não é o ponto no infinito, e retornam o outro ponto em caso afirmativo (uma vez que O é a identidade do grupo, e portanto P + O = P ). O terceiro teste verifica se as coordenadas x dos pontos são distintas ou não (geralmente indicando se os pontos em si são distintos ou não), e calcula o coeficiente angular m de acordo com cada caso. Observe que se P2 = −P1, então

a coordenada x destes dois pontos ´e a mesma, embora os pontos sejam distintos; o teste aninhado dentro do terceiro teste reconhece esta condi¸c˜ao e retorna O como resultado, uma vez que P − P = O.

A contagem de opera¸cões de corpo realizadas a cada adi¸cão el´ıptica é crucial para decidir qual sistema de coordenadas a implementar. Há uma certa desvantagem para as coordenadas afins, gra¸cas às opera¸cões de inversão modular envolvidas no cálculo do coeficiente angular m, que são consideravelmente mais custosas que as opera¸cões básicas de adi¸cão, subtra¸cão e multiplica¸cão modular.