Teoria dos numeros e o RSA

(1)

Universidade Estadual de Campinas

Instituto de Matem´

atica, Estat´ıstica e Computa¸c˜

ao Cient´ıfica

Departamento de Matem´

atica Aplicada

Disserta¸c˜

ao de Mestrado

TEORIA DOS N ´

UMEROS E O RSA

por

Bianca Amoras de Souza

Mestrado em Matem´

atica Aplicada

Orientador:

Prof. Dr. Jos´

e Pl´ınio de O. Santos

(2)

TEORIA DOS N ´UMEROS E O RSA

Este exemplar corresponde à reda¸cão final da disserta¸cão intitulada “Teoria dos Números e o RSA” devidamente corrigida e defendida por Bianca Amoras de Souza e aprovada pela comissão julgadora.

Campinas, 15 de agosto de 2004.

Prof. Dr. Jos´e Pl´ınio de O. Santos Orientador

Banca Examinadora:

1. Prof. Dr. Jos´e Pl´ınio de Oliveira Santos

2. Prof. Dr. Emerson Alexandre de Oliveira Lima 3. Profa. Dra. Sueli Rodrigues Costa

Disserta¸cão apresentada ao Instituto de Matemática, Estat´ıstica e Computa¸cão Ci-ent´ıfica, UNICAMP, como requisito par-cial para oten¸cão do t´ıtulo de MESTRE em Matemática Aplicada.

(3)

Campinas, 15 de julho de 2004. Autor: Bianca Amoras de Souza

T´ıtulo: Teoria dos N´umeros e o RSA Departamento: Matem´atica Aplicada

Grau: Mestre em Matem´atica Aplicada Defesa: 06 de agosto de 2004

(4)

(5)

Sum´

ario

Abstract vii Resumo viii Agradecimentos ix Tabelas de S´ımbolos xi Introdu¸c˜ao 1 1 Criptografia Computacional 4

1.1 Sistemas Criptogr´aficos . . . 5

1.2 Fun¸c˜oes Unidirecionais . . . 7

1.3 Criptossistemas Sim´etricos e Assim´etricos . . . 8

2 O Sistema de Chave P´ublica RSA 10 2.1 Gera¸c˜ao das Chaves . . . 12

2.2 Codifica¸c˜ao e Decodifica¸c˜ao . . . 13

2.3 Assinatura Digital . . . 14

(6)

3 Testes de Primalidade 18

3.1 Distribui¸c˜ao de Primos . . . 20

3.2 Teste de Solovay-Strassen . . . 21

3.3 Teste de Miller-Rabin . . . 26

3.4 Teste de Agrawal-Kayal-Saxena . . . 33

3.4.1 Teoria dos N´umeros . . . 36

3.4.2 Corpos finitos . . . 38 3.4.3 O algoritmo AKS . . . 43 4 Fatora¸cão de Inteiros 53 4.1 Um Método Simples . . . 54 4.2 Método de Fermat . . . 55 4.3 ρ-Método de Pollard . . . 57 4.4 ρ − 1-Método de Pollard . . . 58

4.5 Crivo Quadr´atico . . . 59

(7)

Abstract

Number Theory has been subject of study since the ancient years. In the two last decades, this field of Mathematics has gained much interest due to its use in cryptography. The public-key cryptosystems have their security based on number theoretic problems which are computationally hard to solve.

The RSA base its security on the difficulty in factoring numbers that are products of two big primes. In this work, we describe the RSA. As we are interested also in the generation of prime numbers and factorization of integers, we present some methods for primality testing and integer factorization.

(8)

Resumo

A Teoria dos Números tem sido objeto de estudo desde a antiguidade. Nas últimas duas décadas, este campo da Matemática tem ganho maior interesse devido à sua utiliza¸cão em criptografia. Os criptossistemas de chave pública têm sua seguran¸ca baseada em problemas da Teoria dos Números que são computacionalmente dif´ıceis de resolver.

O RSA baseia sua seguran¸ca na dificuldade de fatorar números que são produtos de dois primos grandes. Neste trabalho, descreveremos o RSA. Como estamos também interessados na gera¸cão de números primos e na fatora¸cão de inteiros, apresentaremos alguns testes de primalidade e métodos de fatora¸cão.

(9)

Agradecimentos

Agrade¸co a Deus, por tudo.

Aos meus pais, Rosana e Francisco, sem os quais não estaria onde estou hoje. Em particular à minha mãe, quem esteve sempre ao meu lado.

Ao Alexander Sosnovski (Sashenka) por seu amor, companheirismo e apoio. Ao Agnaldo Dantas Sobrinho, meu padrasto querido.

Ao meu orientador, Prof. Pl´ınio O. dos Santos, pela paciência, pela compreensão e por sua orienta¸cão neste trabalho.

Aos meus amigos de todas as horas. Em especial, Ignˆez G. Amaral e Luciane Bombach.

Aos colegas do Departamento de Matem´atica Aplicada do IMECC por toda ajuda e companhia durante o curso. Em particular, agrade¸co aos colegas Eduardo Bovo, Igor Freire e Jair Cunha.

Agrade¸co `a Luziane por me ajudar a solucionar alguns problemas com rela¸c˜ao ao LA_TEX.

Aos professores dos Departamentos de Matem´atica e Matem´atica Aplicada por incentivarem meu gosto pelos estudos.

(10)

Aos professores da banca examinadora, pelas sugest˜oes e corre¸c˜oes.

Ao Alonso Sepúlveda Castellanos por me ajudar com a figura que representa um sistema criptográfico contida nesta disserta¸cão.

(11)

Tabelas de S´ımbolos

bxc Maior inteiro menor do que ou igual a x lg x N´umero de bits de x

f (x) = O(g(x)) Existˆencia de uma constante positiva c e um inteiro n0

tais que f (x) ≤ cg(x) para x ≥ n0

log x Logaritmo natural de x log_bx Logaritmo de x na base b

φ(x) N´umero de inteiros menores do que ou iguais a x que s˜ao relativamente primos com x

mdc(x, y) M´aximo divisor comum dos inteiros x e y mmc(x, y) M´ınimo m´ultiplo comum dos inteiros x e y

π(x) N´umeros de primos menores do que ou iguais a x

a n

S´ımbolo de Jacobi

E(n) Conjunto de bases de Euler para os quais n ´e um candidato a primo

|C| Cardinalidade do conjunto C Zn Grupo aditivo de inteiros m´odulo n

Z∗n Grupo multiplicativo de inteiros m´odulo n

ordna Ordem de a m´odulo n

S(n) Conjunto de bases para os quais n ´e um candidato forte a primo

(12)

m n

Coeficiente binomial de m e n P (n) Maior primo divisor de n

π0(x) Cardinalidade de {p ; p ´e primo , p ≤ x e P (p − 1) > x2/3} Zn[x] Anel de polinˆomios em Zn

p(x) mod (q(x), n) Resto da divisão do polinômio p(x) pelo polinômio q(x) em Zn[x]

F Anel de polinˆ_{omios em Z}n[x] de grau ≤ grau(h(x))

onde a adi¸cão e a multiplica¸cão são módulo h(x), h(x) um polinômio irredut´ıvel

(13)

Introdu¸

c˜

ao

A palavra criptografia tem origem no grego, onde cryptos significa oculto, se-creto, escondido e grapho significa escrita, grafia. A criptografia é, então, o estudo de métodos para transformar uma mensagem originalmente compreens´ıvel em algo incompreens´ıvel para todos, exceto para o destinatário leg´ıtimo da mensagem que a tornará leg´ıvel novamente, podendo interpretar seu conteúdo.

O processo de transformar uma mensagem leg´ıvel em uma equivalente mas ileg´ıvel é chamado de codifica¸cão. E o que um usuário leg´ıtimo do código usa para tornar compreens´ıvel uma mensagem codificada é denominado decodifica¸cão.

Em geral, para decodificar uma mensagem é necessário o conhecimento de uma chave secreta dispon´ıvel ao usuário leg´ıtimo do código. É poss´ıvel que pessoas não au-torizadas tenham acesso à mensagem codificada e consigam determinar seu conteúdo ou mesmo a chave de decodifica¸cão, “quebrando” o código. A este processo chama-mos de deciframento.

A criptoanálise (cryptos+analysis= decomposi¸cão) busca determinar a chave de decodifica¸cão ou decifrar a mensagem sem o conhecimento da chave.

Ao estudo ou ciência que reúne a criptografia e a criptoanálise chamamos de criptologia.

(14)

O uso da criptografia já se fazia presente no sistema eg´ıpcio de escrita hierogl´ıfica, há aproximadamente quatro mil anos. Júlio César usava um cifrário para comunicar seus planos de batalha aos generais de seu exército. Tal cifra consistia em transladar as letras do alfabeto três casas adiante. Existem outros códigos primitivos semelhantes a este como, por exemplo, o cifrário de Vigenère [18, §4 On the Origin of the Species] e o cifrário de Hill [18, §13 Secrecy for Sale].

A partir do advento dos computadores, os métodos de codifica¸cão baseados em substitui¸cão alfabética tornaram-se inviáveis. Na verdade, o primeiro computador foi criado para decifrar as mensagens secretas estabelecidas pelo exército alemão durante a Segunda Guerra Mundial. As mensagens alemães eram codificadas através de uma máquina chamada Enigma. Um projeto denominado ULTRA foi desenvolvido na época em Bletchley Park, Inglaterra, para tentar decifrar o código alemão. Um dos responsáveis por este projeto era Alan Turing, o idealizador da máquina de Turing. Como conseqüência deste projeto o primeiro computador foi constru´ıdo, o Colossus.

Até então, o uso da criptografia estava associada a interesses pol´ıticos e militares. Com a crescente utiliza¸cão de redes de computadores, a necessidade de se manter informa¸cões sigilosas também cresceu. A criptografia segue, então, uma nova dire¸cão, deixando de servir a interesses puramente militares ou pol´ıticos e passa a servir a cidadãos comuns. Um exemplo disso, é a enorme quantidade de transa¸cões bancárias ou comerciais feitas através da internet nos dias de hoje.

Particularmente, estaremos interessados na criptografia computacional, onde a seguran¸ca de informa¸cões em redes de computadores, em bancos de dados, em caixas automáticos, etc. é a principal preocupa¸cão. Mais especificamente, faremos uma rela¸cão entre a criptografia RSA e a Teoria dos Números. Atualmente, o RSA é um

(15)

dos métodos criptográficos mais usados em aplica¸cões comerciais.

Inicialmente, descreveremos o RSA. Como para codificar uma mensagem usando o RSA é preciso obter dois primos grandes, exporemos alguns algoritmos para testar a primalidade de números. Outro aspecto importante em rela¸cão ao RSA é a intrata-bilidade de se fatorar o produto de dois primos grandes, também serão apresentados alguns algoritmos de fatora¸cão.

Como em nosso estudo analisaremos a complexidade de alguns algoritmos impor-tantes direta ou indiretamente para a criptografia RSA, faremos as an´alises em termos do tamanho da entrada.

Defini¸c˜ao 0.0.1. Seja n um inteiro positivo. Definimos lg n =

(

1, se n = 0 1 + blog₂nc, se n 6= 0 .

(16)

Cap´ıtulo 1

Criptografia Computacional

O uso de rede de computadores, cada vez em maior número de aplica¸cões, depende diretamente da confiabilidade que tais redes oferecem. É necessário proteger as men-sagens e dados que trafegam nestes meios de comunica¸cão de maneira que somente pessoas ou processos autorizados possam utilizá-los. É a criptografia que cuida de fornecer seguran¸ca e prote¸cão à transmissão dessas informa¸cões e cujos objetivos são: • Sigilo de informa¸cão que é a garantia de que somente pessoas autorizadas te-nham acesso às informa¸cões. O acesso a saldos bancários em caixas automáticos ´

e um exemplo disso, onde somente as pessoas autorizadas, mediante cart˜ao e senha pessoal, tˆem acesso a esse tipo de dados.

• Integridade de informa¸cão que garante que a mesma não sofra nenhum tipo de altera¸cão, intencional ou não, de seu conteúdo, ou seja, que a informa¸cão se encontre inalterada. Um exemplo desse tipo de aplica¸cão é o banco de dados de uma universidade que contém os históricos escolares dos alunos. A criptografia dificulta a fraude nas notas dos alunos.

(17)

• Autentica¸cão de informa¸cão serve para identificar pessoas ou processos com quem se está estabelecendo comunica¸cão. Como exemplo, a assinatura digital ´

e um análogo computacional à assinatura em um documento tradicional. • Não repúdio que evita que uma das partes envolvida na comunica¸cão negue

o envio ou o recebimento de uma informa¸c˜ao. Um exemplo disso seria uma empresa que autoriza uma entidade a comprar uma propriedade e depois nega que autorizou tal negocia¸c˜ao.

1.1 Sistemas Criptogr´

aficos

Um sistema criptográfico é um conjunto de processos criptográficos que fornece seguran¸ca de informa¸cões. Um sistema criptográfico consiste de :

• Um conjunto finito A que chamamos de alfabeto de entrada. O alfabeto de entrada pode ser o alfabeto latino, o alfabeto binário ou qualquer alfabeto de alguma l´ıngua. Em se tratando de criptografia computacional, geralmente o alfabeto binário será usado como alfabeto de entrada. Convém observar que qualquer tipo de alfabeto pode ser representado como uma cadeia de strings do alfabeto binário.

• Um conjunto M formado por cadeias finitas de elementos de A. Chamamos a este conjunto de espa¸co de mensagens. Cada elemento de M corresponde a um texto simples, n˜ao cifrado.

• Um conjunto C tamb´em formado por cadeias finitas de elementos de A. Este ´e o chamado espa¸co de mensagens codificadas e cada elemento de C corresponde

(18)

a um texto cifrado.

• K um conjunto finito de elementos chamados de chaves que são ferramentas necessárias para manter oculta uma informa¸cão.

• E espa¸co de fun¸cões e : M → C onde cada fun¸cão codifica os elementos de M. E é o espa¸co de fun¸cões de codifica¸cão.

• D espa¸co de fun¸cões d : C → M onde cada fun¸cão decodifica os elementos de C. Cada elemento k1 ∈ K determina uma única bije¸cão de M em C que denotamos

por ek1. Assim, temos que existe k2 ∈ K que determina uma fun¸c˜ao de decodifica¸c˜ao

dk2 que ´e inversa `a ek1.

Quando se projeta um sistema criptográfico deve-se estar atento ao fato de que o sistema deve permanecer seguro mesmo quando os algoritmos de codifica¸cão e de decodifica¸cão são de conhecimento público.

Com esse objetivo usam-se pares de chaves, uma para codifica¸cão e outra para decodifica¸cão, devendo haver uma grande número de pares de chaves.

A figura a seguir esbo¸ca um sistema criptográfico t´ıpico onde duas fun¸cões são utilizadas:

Exemplo 1.1.1. Um sistema criptográfico simples é o cifrário de César que já menci-onado anteriormente. Consiste em substituir uma letra por outra, três casas adiante. Os conjuntos M e C constituem ambos de textos formados pelas 26 letras do alfabeto latino. Pode-se variar o valor de casas que devemos transladar cada letra e tal valor consiste na chave de codifica¸cão. Obviamente esses valores estão no intervalo [0, 25]. A chave de decodifica¸cão é a mesma que a de decodifica¸cão. As fun¸cões de codifica¸cão

(19)

Figura 1.1: Sistema Criptogr´afico

e decodifica¸cão são as transla¸cões “avan¸cada” e “retroativa”, respectivamente, em três casas no alfabeto.

1.2 Fun¸

c˜

oes Unidirecionais

As fun¸cões de codifica¸cão e de decodifica¸cão usadas em criptossistemas são exem-plos t´ıpicos de fun¸cões unidirecionais. A seguir definiremos fun¸cões unidirecionais. Defini¸cão 1.2.1. Uma fun¸cão unidirecional f é uma fun¸cão computacionalmente viável (em tempo, espa¸co e dinheiro) de se calcular f (x) dado x e computacionalmente inviável determinar x tal que f (x) = y dado y.

A unidirecionalidade de uma fun¸cão pode ser uma caracter´ıstica intr´ınseca da própria fun¸cão ou depender do estado da arte do avan¸co tecnológico e cient´ıfico como veremos no exemplo a seguir.

(20)

Exemplo 1.2.1. A multiplica¸cão de dois primos grandes (pelo menos 100 d´ıgitos) é facilmente calculada com a tecnologia atual, mas dado o produto de dois primos (pelo menos 200 d´ıgitos decimais) obter a fatora¸cão do produto não é viável com a tecnologia atual. A seguran¸ca do criptossistema RSA (próximo cap´ıtulo) é baseado na incapacidade de fatorar um número grande rapidamente.

Exemplo 1.2.2. Outro exemplo de fun¸cão unidirecional é a exponencia¸cão módulo um número, isto é, f (x) = ax _{(mod n), dados a, x e n, com x ≥ 0 e n > 0.}

Esta é uma fun¸cão viável de se calcular cujo tempo de execu¸cão é O(lg x lg2n) [7, Cap.5]. Agora, dados a, n e ax _{(mod n), calcular x ´}_{e invi´}_avel. _{Ainda n˜}_ao

existe um algoritmo para este problema cuja execu¸cão seja em tempo polinomial. Existem dois tipos de fun¸cões unidirecionais que podem ser com segredo ou sem segredo. Uma fun¸cão unidirecional é com segredo quando existe uma informa¸cão (o segredo) que possibilita a computa¸cão de sua inversa e sem segredo caso contrário. No caso da fun¸cão fatora¸cão de primos, no exemplo acima, a fun¸cão é sem segredo.

1.3 Criptossistemas Sim´

etricos e Assim´

etricos

Quando a chave de decodifica¸cão e a chave de codifica¸cão são as mesmas em um dado criptossistema ou quando a fun¸cão de decodifica¸cão é uma fun¸cão com-putacionalmente viável da chave de codifica¸cão , precisamos manter a chave em sigilo, sendo conhecida apenas pelos usuários leg´ıtimos. Neste caso, o sistema é dito simétrico ou de chave secreta. O cifrário de César é um exemplo de criptossistema simétrico.

(21)

O sistema simétrico mais conhecido é o DES - Data Encryption Standard adotado pelo governo americano em 1977 como padrão de codifica¸cão para uso em seus órgãos governamentais não relacionados à seguran¸ca nacional. Por não ser objeto de nosso estudo não descreveremos o DES neste trabalho. A descri¸cão de seu funcionamento pode ser obtida nas referências [23] e [24].

Nos criptossistemas assimétricos ou de chave pública, a chave de codifica¸cão é publicada, ou seja, acess´ıvel à todos. O conhecimento da chave de codifica¸cão não compromete a seguran¸ca do sistema. O processo de codifica¸cão também é público e somente a chave de decodifica¸cão é mantida em segredo pelo destinatário leg´ıtimo da mensagem.

A idéia de um sistema de chave pública foi inicialmente introduzido por Diffie e Hellman em 1976. O RSA é um sistema criptográfico assimétrico e foi o primeiro criptossistema de chave pública criado. A partir disso, surgiram muitos outros crip-tossistemas de chave pública. O RSA será descrito no próximo cap´ıtulo.

Nos sistemas de chave pública, cada usuário possui um par de chaves, sendo que uma é a chave de codifica¸cão, colocada à disposi¸cão daqueles que desejam enviar uma mensagem para o proprietário da chave. Suponhamos que um usuário A deseje enviar uma mensagem m para um outro usuário B. Então o usuário A consulta a lista de chaves públicas e obtém a chave de codifica¸cão PB de B. A aplica PB à mensagem

m e obt´em o texto codificado PB(m) e envia para B. Ap´os receber PB(m), B aplica

a chave secreta SB e obt´em m = SB(PB(m)). Assim, todos os usu´arios que enviam

mensagens codificadas a B usam a mesma chave p´ublica PB, entretanto, somente B

(22)

Cap´ıtulo 2

O Sistema de Chave P´

ublica RSA

O criptossistema de chave p´ublica RSA foi desenvolvido por R. L. Rivest, A. Shamir e L. Adleman em 1978. As iniciais dos autores deram origem ao nome do c´odigo.

O RSA tem base na facilidade de computar o produto de dois primos grandes (pelos menos da ordem 10100 _{cada) e na dificuldade de fatorar esse produto.}

Antes de descrevermos o RSA, estabeleceremos alguns resultados de Teoria dos Números que serão usados para explicar como o código funciona.

Defini¸cão 2.0.1. A fun¸cão φ de Euler de um inteiro positivo m, denotada por φ(m), é definida como o número de inteiros positivos menores do que ou iguais a m que são relativamente primos com m.

Observamos que quando p ´e primo, φ(p) = p − 1.

Defini¸c˜ao 2.0.2. Um conjunto {r1, r2, . . . , rφ(m)} ´e um sistema reduzido de res´ıduos

m´odulo m se cada um de seus elementos ´e relativamente primo com m e ri 6≡ rj

(23)

Teorema 2.0.1 (Euler). Se m ∈ Z, m > 0 e a ∈ Z ´e tal que a ∈ Z∗m, ent˜ao

aφ(m) ≡ 1 (mod m).

Prova. Seja {r1, r2, . . . , rφ(m)} um sistema reduzido de res´ıduos m´odulo m. Como

mdc(a, m) = 1, então {ar1, ar2, . . . , arφ(m)} também é um sistema reduzido de res´ıduos

módulo m (a demonstra¸cão deste resultado pode ser encontrada em [32, Teorema 2.12]). Isto implica que cada ari é congruente a exatamente um dos rj’s,

1 ≤ j ≤ φ(m). Logo o produto dos ari’s deve ser congruente ao produto dos rj’s

m´odulo m, ou seja,

ar1· ar2· · · arφ(m) ≡ r1· r2· · · rφ(m) (mod m).

Ent˜ao

aφ(m)r1· r2· · · rφ(m)≡ r1· r2· · · rφ(m) (mod m). (2.0.1)

Pelas caracter´ısticas de sistema reduzido de res´ıduos módulo m, então o produto Πφ(m)_j=1 rj é relativamente primo com m. Podemos, então, cancelar Πφ(m)j=1 rj em ambos

os lados da congruˆencia (2.0.1), obtendo

aφ(m) ≡ 1 (mod m).

(24)

Teorema 2.0.2. Sejam a, b, m ∈ Z com m > 1 e a ∈ Z∗m. Ent˜ao a congruˆencia

ax ≡ b (mod m) possui solu¸cão única módulo m.

Prova. Este resultado é uma conseqüência do Teorema 2.8 apresentado em [32].

2.1 Gera¸

c˜

ao das Chaves

Nesse criptossistema, cada usuário possui uma chave de codifica¸cão e outra de decodifica¸cão. Para gerar o par de chaves cada usuário realiza o seguinte pré-cálculo: • Seleciona-se dois primos grandes p e q (veremos mais adiante que tais primos

devem obedecer alguns requisitos para manter a seguran¸ca do m´etodo). • Calcula-se o produto n = pq e φ(n) = (p − 1)(q − 1).

• Gera-se um inteiro e, 1 < e < φ(n) tal que mdc(e, φ(n)) = 1 (tamb´em temos que tal expoente deve obedecer certos crit´erios de seguran¸ca [24, §8.2.2 Security of RSA]).

• Determina-se d, 0 ≤ d < φ(n) tal que ed ≡ 1 mod φ(n), ou seja, d ´e o inverso multiplicativo de e m´odulo φ(n).

A gera¸cão dos primos p e q será discutida no cap´ıtulo seguinte sobre primalidade. Obtidos tais primos, facilmente se calcula n e φ(n). Usando-se um gerador pseudo-aleatório podemos obter e e determinamos o mdc(e, φ(n)) através do algoritmo de Euclides cuja a complexidade é O(lg2(φ(n))) [7, Cap.4]. A solu¸cão d da congruência

(25)

ed ≡ 1 mod φ(n) também pode ser obtida através do algoritmo estendido de Euclides [13, Se¸cão 31.4].

Feitos os cálculos acima, o usuário publica P = (e, n) como chave de codifica¸cão e mantém em segredo S = (d, n) (na verdade, somente d é mantido em segredo) que é a chave de decodifica¸cão.

Observamos que d determinado acima existe e ´e ´unico, conforme o Teorema 2.0.2.

2.2 Codifica¸

c˜

ao e Decodifica¸

c˜

ao

Agora veremos como as chaves P e S geradas acima são aplicadas para codificar e decodificar mensagens. Inicialmente, a mensagem é convertida em uma seqüência de números binários. Essa seqüência gerada é quebrada em blocos de bits que repre-sentam inteiros m no intervalo [0, n). Então cada bloco m é codificado.

A codifica¸cão associada a chave P = (e, n) é feita através da fun¸cão P (m) = me (mod n)

e a decodifica¸cão de uma cifra c := P (m) em rela¸cão a chave S = (d, n) é dada por S(c) = cd (mod n).

Dessa forma, o RSA é um criptossistema cujo alfabeto de entrada é o alfabeto binário, o espa¸co de poss´ıveis mensagens e o espa¸co de mensagens codificadas é o conjunto Zn.

As exponencia¸cões modulares podem ser efetuadas rapidamente como citamos no Exemplo 1.2.2. Além disso, temos que calcular a inversa da fun¸cão exponencial módulo n é computacionalmente intratável.

(26)

Chega o momento de se verificar se o método acima realmente funciona, ou seja, se decodificando um bloco codificado obtemos o bloco da mensagem original. O próximo teorema responde a esta questão.

Teorema 2.2.1. A decodifica¸c˜ao do RSA funciona.

Prova. Seja c = P (m) = me _{(mod n) a codifica¸c˜}_{ao de um bloco m.} _Como

ed ≡ 1 mod φ(n), existe t tal que ed = 1 + tφ(n). Se mdc(m, p) = 1, usando o Teorema 2.0.1 temos que mp−1 _≡ _{1 (mod p).} _Ent˜_ao _(mp−1₎t(q−1) ₌

= mt(p−1)(q−1) _{≡ 1 (mod p)} _{⇒ m}1+t(p−1)(q−1) _{= m}ed _{≡ m (mod p). Agora, se}

mdc(m, p) = p, então a última congruência é válida novamente pois cada lado é congruente a 0 módulo p. Assim, temos med _{≡ m (mod p) em todos os casos.}

De forma an´aloga, med _{≡ m (mod q).} _{Como p e q s˜}_{ao primos distintos, ent˜}_ao

med _{≡ m (mod n). Da´ı, c}d_{= (m}e₎d_{≡ m (mod p).}

2.3 Assinatura Digital

Uma caracter´ıstica importante do sistema RSA ´e que S(P (m)) = P (S(m)), isto ´e, S e P comutam. De fato,

S(m) ≡ md mod n ⇒ P (S(m)) ≡ (md)e mod n ⇒ P (S(m)) ≡ med mod n ⇒ P (S(m)) ≡ m mod n, e conforme a demonstra¸c˜ao do Teorema 2.2.1 temos S(P (m)) ≡ m mod n.

(27)

Os sistemas em que a codifica¸cão e a decodifica¸cão comutam são ditos sistemas comutativos e admitem uma assinatura digital natural.

Assim, no sistema RSA é poss´ıvel “decodificar” uma mensagem e depois “codificar” o resultado. Suponhamos que um usuário A deseje enviar uma mensagem assinada a um usuário B. Para isso, basta que A envie o texto SA(m). Somente A

tem a chave secreta SA usada para computar SA(m). B aplica a chave p´ublica de A

a SA(m) para obter o texto original m = PA(SA(m)). Qualquer usu´ario com o uso de

PA pode verificar que A ´e realmente o remetente da mensagem, pois somente A tem

acesso a chave SA.

2.4 Seguran¸

ca do RSA

Veremos que a seguran¸ca do RSA depende em grande parte da dificuldade em fatorar n´umeros grandes. Analisaremos as poss´ıveis maneiras de obter a mensagem original codificada pelo RSA.

Fatorar n implica decodificar uma mensagem no RSA, pois encontrando os fatores de n, é poss´ıvel calcular φ(n). Como ed = 1 (mod φ(n)), então a solu¸cão d dessa congruência pode ser obtida facilmente através do Algoritmo Estendido de Euclides. Agora, analisaremos algumas poss´ıveis maneiras de obter a mensagem original codificada pelo RSA conhecendo-se somente a chave pública.

Suponhamos que seja poss´ıvel determinar de alguma forma φ(n) usando o par (e, n) sem ter que fatorar n. Logo, n e φ(n) s˜ao conhecidos. Sabendo que existem p e q tais que n = pq e φ(n) = (p − 1)(q − 1) temos que

(28)

Assim, conhecemos p + q = n − φ(n) + 1. Tamb´em temos que

(p + q)2− 4n = (p2_{+ 2pq + q}2_{) − 2pq = p}2_{− 2pq + q}2 _{= (p − q)}2_.

A partir disso, o valor de p − q =p(p + q)2_{− 4n tamb´em ´e conhecido. De posse dos}

valores de p + q e p − q, obtemos os valores de p e q, isto é, achamos a fatora¸cão de n. Se de alguma maneira podermos determinar d somente com o conhecimento de n e e, então encontramos a fatora¸cão de n. De fato, como ed − 1 = tφ(n), isto significa que encontramos um múltiplo de φ(n). É poss´ıvel fatorar n a partir de qualquer múltiplo de φ(n). Miller [25] mostrou que considerando-se a Hipótese Estendida de Riemman, isto pode ser feito de maneira eficiente.

Outra maneira de se conseguir m seria inverter a fun¸cão de codifica¸cão, isto é, encontrar a raiz e-ésima módulo n. Até agora não se conseguiu provar que inverter a fun¸cão de codifica¸cão, dado o par (e, n) e a codifica¸cão de c := me _{(mod n), ´}_e

equivalente a fatorar n. Porém sabemos que este problema é computacionalmente inviável, conforme exemplo 1.2.2.

Até o momento, não se conhece uma maneira eficiente de fatorar um número grande. Assim, o RSA tem se mostrado seguro com a tecnologia atual.

Para manter tal seguran¸ca deve-se tomar alguns cuidados para com rela¸c˜ao a escolha dos parˆametros p e q:

• os números p e q não podem ser próximos um do outro, caso contrário estarão próximos da√n o que torna poss´ıvel fatorar n através da fatora¸cão de Fermat que será apresentado no último cap´ıtulo.

(29)

• Os números p − 1 e q − 1 devem ter fatores primos grandes. Com alguns algoritmos de fatora¸cão conhecidos, fica fácil fatorar n se p − 1 e q − 1 tem fatores pequenos, como é o caso do algoritmo ρ − 1 de Pollard.

(30)

Cap´ıtulo 3

Testes de Primalidade

Desde a antiguidade até os tempos atuais, os números primos têm atra´ıdo a aten¸cão de muitos estudiosos. Em tempos remotos, Erastóstenes (240 a.C aproxi-madamente) desenvolveu uma maneira de determinar se um dado inteiro positivo n é primo. Para isto basta tentar dividir n por todos os inteiros menores do que ou iguais a√n (em [32] o Teorema 1.15 garante que se n não é primo, então n tem um fator primo menor do que ou igual a √n). Assim se n não for divis´ıvel por nenhum dos números, então n é primo. Tal método é conhecido como Crivo de Erastóstenes. No entanto, este método torna-se impraticável quando n é muito grande.

Posteriormente, surgiram outros métodos como, por exemplo, o Teste de Pepin que determina se um número de Fermat é primo, o Teste de Lucas-Lehmer para determinar a primalidade de um número de Mersenne , e outros.

Atualmente, uma das razões para que a primalidade de números tenha recebido mais aten¸cão é o seu uso em diversos criptossistemas como, por exemplo, o RSA. Vimos que é de grande importância para a Criptografia RSA a capacidade de produzir primos grandes de forma genérica e provar que estes são realmente primos.

(31)

O problema de gerar um primo grande, a princ´ıpio, pode ser resolvido escolhendo-se inteiros aleat´orios em um intervalo espec´ıfico e testando a primalidade de tais n´umeros.

Neste cap´ıtulo, apresentaremos alguns dos testes de primalidade existentes, nos restringindo àqueles que testam a primalidade de números genéricos . Os dois pri-meiros testes apresentados são testes probabil´ısticos: o teste de Solovay-Strassen e o teste de Miller-Rabin com bases em resultados importantes da Teoria de Números. É importante ressaltarmos que tais testes quando respondem que dado número é primo devemos ter em mente que isto é apenas uma boa evidência que tal número seja mesmo primo. Em muitas aplica¸cões isto já é o suficiente, como é o caso em que procuramos por um primo grande. No entanto, estes testes não produzem certifica-dos de primalidade, provas de que o número seja realmente primo. E se realmente é necessária uma prova de primalidade aplica-se outros tipos de testes, como é o caso do algoritmo de Goldwasser-Killian e de Atkin, baseados na teoria de curvas el´ıpticas. Tais algoritmos, no entanto, não fazem parte deste trabalho. Maiores informa¸cões sobre esses algoritmos podem ser obtidas em [6] e [17].

Por último, apresentaremos um algoritmo determin´ıstico que testa a primalidade de um número em tempo polinomial. Tal algoritmo foi apresentado recentemente, constituindo um dos mais novos resultados relacionados à primalidade e que tem ganho grande admira¸cão por todos da área.

(32)

3.1 Distribui¸

c˜

ao de Primos

Para gerar um primo em um intervalo dado escolhemos um inteiro ´ımpar aleatório e verificamos se este inteiro é primo. Se não for primo, geramos outro inteiro e testamos sua primalidade. Continuamos com este processo até encontrarmos um número primo.

Mas quantos candidatos devemos testar até encontrar um provável primo? A melhor forma de responder à esta pergunta é usando a chamada fun¸cão π. Se x > 0, π(x) é definida como sendo o número de primos menores do que ou iguais a x.

O Teorema dos N´umeros Primos [1] afirma que: lim x→∞ π(x) x log(x) = 1.

Então, _log(x)x é uma boa aproxima¸cão para π(x) quando x for suficientemente grande. Assim, podemos estimar que um inteiro x escolhido aleatoriamente tem pro-babilidade igual a _log(x)1 de ser primo, isto é, temos que examinar aproximadamente log(x) inteiros próximos de x para acharmos um número primo da mesma ordem que x. Um exemplo disso é que temos que testar log 10100 ≈ 230 candidatos, aproxima-damente, até encontrarmos um primo de 100 d´ıgitos decimais, e este valor pode ser reduzido à metade se considerarmos somente os números ´ımpares. Uma média de 115 candidatos que terão que ser testados.

(33)

3.2 Teste de Solovay-Strassen

A fim de descrever o teste de Solovay-Strassen introduziremos alguns conceitos matem´aticos, incluindo o Crit´erio de Euler.

Defini¸c˜_{ao 3.2.1. Sejam p um primo positivo ´ımpar e a ∈ Z. Se a ∈ Z}∗_p e se existe uma solu¸c˜ao da congruˆencia

x2 ≡ a mod p,

então a é chamado um res´ıduo quadrático módulo p. Se não existe solu¸cão, então a é dito ser um res´ıduo não quadrático módulo p.

Defini¸c˜ao 3.2.2. Seja a um inteiro. Para um primo ´ımpar p > 1, definimos o s´ımbolo de Legendre a_p por

a p =      0, se a ≡ 0(mod p)

1, se a é res´ıduo quadrático mod p −1, se a é res´ıduo não quadrático mod p.

Defini¸cão 3.2.3. Seja um número n > 1 um inteiro ´ımpar com decomposi¸cão n = k Y i=1 pei i .

Então o S´ımbolo de Jacobi é definido como a n = k Y i=1 a pi ei = a p1 e1_a p2 e2 . . . a pk ek . O s´ımbolo de Jacobi é uma generaliza¸cão do s´ımbolo de Legendre.

Propriedades do S´ımbolo de Jacobi Sejam m e n inteiros ´ımpares positivos, e sejam a, b inteiros. Ent˜ao

(34)

b. a n =

b

n, se a ≡ b(mod n).

As demonstra¸cões destas propriedades se encontram em [7, Teorema 5.9.2]. Teorema 3.2.1 (Critério de Euler). Se p ´_{e um primo positivo ´ımpar e a ∈ Z}∗_p, então

ap−12 ≡ a

p

(mod p). (3.2.1) Prova. Suponhamos, primeiramente, que a_p = 1. Ent˜ao, existe x tal que x2 ≡ a(mod p). Do fato que mdc(a, p) = 1 e p|(x2_{− a) conclu´ımos que mdc(x, p) = 1.}

Logo, pelo Teorema 2.0.1, xp−1≡ 1(mod p) e, portanto, ap−12 ≡ x2

p−1

2 _{= x}p−1_{≡ 1(mod p).}

Consideremos agora o caso a_p = −1. Já vimos acima que se a for um res´ıduo quadrático então xp−12 ≡ 1(mod p). A congruência f (x) = x

p−1

2 − 1 ≡ 0(mod p) possui

no máximo p−1₂ solu¸cões incongruentes módulo p (ver Teorema 5.2 em [32]).

No entanto, do fato de existirem p−1₂ res´ıduos quadr´aticos e de termos ap−12 ≡ 1(mod p) para todo res´ıduo quadr´atico, conclu´ımos que todos estes res´ıduos

quadráticos são solu¸cões de f (x) ≡ 0(mod p), o que nos garante que f (x) ≡ 0(mod p) possui

exatamente p−1₂ ra´ızes, e que se a não for res´ıduo quadrático, isto é, a p = −1, então ap−12 6≡ 1(mod p).

Como ap−1_{− 1 = (a}p−1₂ _{− 1)(a}p−1₂ _{+ 1) e a}p−1_{− 1 ≡ 0(mod p) para mdc(p, a) = 1,}

conclu´ımos que a(p−1)2 ≡ ±1(mod p).

Assim, se a p

= −1, temos ap−12 ≡ −1(mod p). Portanto, a p−1 2 = a p (mod p).

(35)

Desta forma, o Crit´erio de Euler nos diz que se an−12 6≡ a n

(mod n) para algum a tal que a ∈ Z∗n, então n é composto e a é dito testemunha da composi¸cão de n. Se

um número n composto satisfaz a congruência (3.2.1), n é denominado pseudoprimo de Euler para a base a. Chamamos de número de Carmichael o composto n que satisfaz (3.2.1) para todo a ∈ Z∗n.

Lema 3.2.1. Se n é um número de Carmichael, então n não é divis´ıvel pelo quadrado de nenhum primo e é divis´ıvel por pelo menos 3 primos distintos.

Prova. Demonstra¸c˜ao em [7, Teorema 9.3.6].

Consideraremos, agora, o conjunto E(n), importante nos pr´oximos resultados, definido como o conjunto de bases a ∈ Z∗n tal que n satisfaz a congruˆencia (3.2.1) do

Crit´erio de Euler, ou seja,

E(n) =n_{a ∈ Z}∗_n:a n ≡ an−12 (mod n) o .

Lema 3.2.2. Seja n um inteiro ´ımpar, n ≥ 3. Portanto, n ´e primo se, e somente se, E(n) = Z∗n.

Prova. Se n é primo, então, usando o Critério de Euler, temos a_n ≡ an−12 (mod n)

para todo a ∈ Z∗n. Logo, E(n) = Z∗n.

Reciprocamente, suponhamos que E(n) = Z∗n e n seja composto. Ent˜ao, para

todo a ∈ Z∗n tem-se:

an−1 ≡a n

2

(36)

Como n é um número de Carmichael, então não é divis´ıvel pelo quadrado de nenhum primo (conforme Lema 3.2.1). Então n = p · q, com p primo, q > 1 e mdc(p, q) = 1. Sejam g um res´ıduo não quadrático módulo p, e seja a ≡ g(mod p) e a ≡ 1(mod q), pelas propriedades do s´ımbolo de Jacobi temos que

a n = a pq = a p a q = g p 1 q = (−1)(+1) = −1.

J´a que supomos que _na = −1 ≡ an−12 (mod n) para todo a ∈ Z∗

n ⇒

⇒ an−12 ≡ −1(mod q), o que contradiz o fato de a ≡ 1(mod q).

Baseado no teorema acima descoberto por R. Solovay e V. Strassen, inicialmente apresentado em [34], descreveremos a seguir um algoritmo para testar a primalidade de um n´umero ´ımpar ≥ 3.

Algoritmo 1 (SOLOVAY-STRASSEN(n)). escolha a aleat´orio em {1, . . . , n − 1} 1. se mdc(a, n) 6= 1

ent˜ao retorne “composto” e pare sen˜ao

2. se a n 6≡ a

n−1

2 (mod n)

ent˜ao retorne “composto” e pare sen˜ao retorne “primo”

(37)

O algoritmo SOLOVAY-STRASSEN [7] nos diz que tomando-se aleatoriamente um n´umero a ∈ {1, . . . , n − 1} onde n ´e um inteiro ´ımpar, verificamos se mdc(a, n) 6= 1, o que implica n ser composto. Mas se mdc(a, n) = 1, computamos o res´ıduo ε = an−12 (mod n) e o s´ımbolo de Jacobi δ = a

n. Se δ = ε, ent˜ao o algoritmo retorna

que n é primo. Caso contrário, n é composto.

Obviamente, se n é primo, o algoritmo responderá corretamente, pois no passo (1) o algoritmo nunca encontrará mdc não trivial e pelo Critério de Euler a congruência sempre é satisfeita e o passo (2) sempre retornará que n é primo.

Mas sendo n composto, qual a probabilidade de o algoritmo retornar “primo”? A proposi¸cão a seguir afirma que a probabilidade de erro menor do que ou igual a 1₂. Teorema 3.2.2. Se n é um número composto ´ımpar, então para pelo menos metade de todas bases a ∈ {1, . . . , n−1} o algoritmo SOLOVAY-STRASSEN retornará “composto”. Prova. Seja n um composto ´ımpar. Se a /_{∈ Z}∗_n, o passo (1) retorna “composto”. Consideremos a ∈ Z∗n. Usando o Lema 3.2.2, temos E(n) 6= Z

∗

n. Como E(n) ´e

subgrupo de Z∗n, segue que E(n) ´e um subgrupo pr´oprio de Z ∗ n. Logo: |E(n)| ≤ 1 2|Z ∗ n| ≤ n − 1 2 , pelo Teorema de Lagrange.

Portanto, no máximo metade dos números entre 1 e n − 1 conduzirão a uma resposta de que n é primo.

(38)

O algoritmo SOLOVAY-STRASSEN tem complexidade O(lg3n) bit opera¸c˜oes, j´a que podemos calcular mdc(a, n) e o s´ımbolo de Jacobi _na usando O(lg2_{n) bit opera¸c˜}_oes,

e an−12 (mod n) usando O(lg3n) bit opera¸c˜oes (para maiores detalhes da complexidade

acima ver [7, Teorema 9.4.2]).

Assim, o resultado de Solavay e Strassen nos garante que se n é um primo, o algoritmo sempre retornará “primo”, pois a congruência (3.2.1) vale para cada a ∈ {1, . . . , n − 1} gerado e também garante uma margem de erro menor do que ou igual a 1₂ para cada vez que aplicarmos o algoritmo para uma determinada base a, se n não é primo. Se aplicarmos o teste k vezes para distintos valores de a, então as chances de n ser realmente primo, quando o teste o declara primo, é de pelo menos 1 −₂1k.

3.3 Teste de Miller-Rabin

Discutiremos, agora, outro teste probabil´ıstico baseado no conceito de pseudoprimo forte. Inicialmente, veremos alguns resultados importantes relaciona-dos ao teste de Miller e Rabin

Defini¸cão 3.3.1. O menor expoente e tal que ae ≡ 1(mod n) é chamado ordem de a módulo n e denotado por e = ordna.

Lema 3.3.1 (Pocklington). Seja n um inteiro positivo. Suponhamos que n − 1 = qk_{r, k ≥ 1, onde q ´}_{e primo e q - r. Se existe a tal que a}n−1 _{≡ 1(mod n) e}

(39)

Prova. Suponhamos que a satisfa¸ca as hip´oteses do lema. Seja p um primo tal que p|n e seja t = ordpa. Como an−1 ≡ 1(mod n), sabemos que an−1 ≡ 1(mod p). Assim,

t|(n − 1) = qk_{r. Al´}_{em disso, como mdc(a}n−1q −1, n) = 1, ent˜ao temos a n−1

q 6≡ 1(mod p)

e t n˜ao divide (n − 1)/q = qk−1_{· r. Da´ı, q}k_{|t. J´}_{a que t|(p − 1) segue que q}k_{|p − 1.}

Portanto, p ≡ 1(mod qk_).

Teorema 3.3.1. Seja n ´ımpar e n − 1 = 2kq com q ´ımpar e k ≥ 1. Se n ´e primo e a ∈ Z∗n, ent˜ao aq ≡ 1(mod n) ou existe um i ∈ {0, 1, . . . , k − 1} tal que

a2iq ≡ −1(mod n).

Prova. Consideremos a seguinte seqüência de potências módulo n: aq, a2q, . . . , a2k−1q, a2kq.

Se n for um número primo, então pelo menos uma destas potências tem que ser congruente a 1 módulo n, pois, pelo Teorema de Euler, temos

a2kq = an−1 ≡ 1(mod n).

Seja i ≥ 1 o menor expoente tal que a2iq ≡ 1(mod n). Podemos escrever a2iq− 1 = (a2i−1_q

− 1)(a2i−1_q

+ 1). Como n ´e primo e n|(a2i_q

− 1), ent˜ao ou n|(a2i−1_q

− 1) ou n|(a2i−1_q

+ 1). Sendo i o menor expoente tal que a2i_q

− 1 ´e divis´ıvel por n, ent˜ao a2i−1_q

− 1 n˜ao ´e divis´ıvel por n. Segue que n divide a2i−1_q

+ 1, isto ´e, a2i−1_q

(40)

Conclu´ımos que se n é primo, então uma das potências da seqüência dada tem que ser congruente a −1 módulo n quando i ≥ 1. Agora, se i = 0 então aq _{≡ 1(mod n) e}

a esta congruência não podemos aplicar o produto notável, pois q é ´ımpar.

Portanto, se n é primo, então uma das potências da seqüência é congruente a −1 módulo n ou aq_{≡ 1(mod n).}

A seguir apresentaremos dois lemas importantes na an´alise do teste de Miller-Rabin. Para isto, definimos o conjunto

S(n) = {a ∈ Z∗n; a

q _{≡ 1(mod n) ou a}2i_q

≡ −1(mod n)}

para algum 0 ≤ i < t onde n − 1 = 2t_{q. Todo a 6∈ S(n) ´}_{e dito testemunha forte da}

composi¸c˜ao de n.

Um número composto n tal que existe a ∈ S(n) é chamado de pseudoprimo forte. Lema 3.3.2. Seja n ≥ 3 um inteiro ´ımpar. S(n) = Z∗n se, e somente se, n é primo.

Prova. _{Suponhamos que ∃a ∈ Z}∗_ntal que a não está em S(n), então a é testemunha da composi¸cão de n. Logo, n é composto.

Reciprocamente, seja n primo. Se a ∈ Z∗n arbitr´ario, temos que an−1≡ 1(mod n).

Como

(an−12 )2 = an−1≡ 1(mod n)

e a equa¸c˜ao x2 _{≡ 1(mod n) tem somente duas solu¸c˜}_{oes, a saber x = ±1, ent˜}_ao

an−12 = a2 t−1_q

(41)

Se an−12 ≡ −1(mod n), ent˜ao a ∈ S(n). Agora, se a n−1 2 ≡ +1(mod n), novamente temos an−14 = a 2tq 4 = a2 t−2_q ≡ ±1(mod n).

Prosseguindo desta maneira, para qualquer a ∈ Z∗n teremos ou aq ≡ 1(mod n) ou

a2j_q

≡ −1(mod n) para algum j , 0 ≤ j < t.

Lema 3.3.3. Se n > 3 ´e um composto ´ımpar, ent˜ao |S(n)| ≤ n−1₄ .

Prova. Suponhamos que n = 1 + 2t_{q, com q ´ımpar, seja um n´}_{umero composto.}

Podemos escrever n = pe1

1 · · · perr. Seja k o maior inteiro tal que exista pelo

me-nos um b ∈ Z∗n com b2 k

≡ −1(mod n). Notamos que k está bem definido, pois (−1)20 ≡ −1(mod n) e assim k ≥ 0. Também temos k ≤ v(u) − 1, onde u é o menor inteiro positivo tal que au _{= 1, ∀a ∈ Z}∗_n e v(u) é o maior inteiro tal que 2v(u)|u.

Temos pi ≡ 1 (mod 2k+1), 1 ≤ i ≤ r, pelo Lema 3.3.1, ent˜ao n ≡ 1(mod 2k+1).

Tomemos m = 2kq. Ent˜ao 2m | (n − 1). Consideremos os seguintes subgrupos de Z∗n: J = {a ∈ Z∗n; an−1 ≡ 1(mod n)} K = {a ∈ Z∗n; am ≡ ±1(mod p ei i ), ∀i} L = {a ∈ Z∗n ; am ≡ ±1(mod n)} M = {a ∈ Z∗n; am ≡ 1(mod n)} . Temos M ⊆ L ⊆ K ⊆ J ⊆ Z∗n.

(42)

Vemos que todo a ∈ S(n) tamb´em pertence a L, pois se aq _{≡ 1(mod n), ent˜}_ao

´e ´obvio que am _{≡ 1(mod n), enquanto que se a}2s_q

≡ −1(mod n) para algum s então s ≤ k, pela defini¸cão de k. Mostraremos que, desde que n 6= 9, L é um subgrupo de ´ındice pelo menos 4 em Z∗n e, a partir disto, temos que |S(n)| ≤

n−1 4 .

Todo elemento de G = {a ∈ Z∗n; a ≡ ±1(mod p ei

i ), ∀i} é uma 2k-ésima potência; da´ı

uma m-´esima potˆencia, basta tomar x ≡ b ou x ≡ b2_{(mod p}ei

i ) que implica que x2 k

≡ ±1(mod pei

i ) para cada i. Dessa maneira, M tem ´ındice 2r em

K = {a ∈ Z∗n ; am ∈ G}. Analogamente, M tem ´ındice 2 em L. Assim,

(K : L) = 2r−1_{. Logo,} (Z∗n : L) ≥ (Z ∗ n: J )(K : L) = 2 r−1 (Z∗n : J ). Se r ≥ 3, segue que (Z∗n : J ) ≥ 4.

No entanto, se r = 2 então n não pode ser um número de Carmichael que é divis´ıvel por pelo menos 3 primos distintos (Lema 3.2.1). Ent˜_{ao ∃a ∈ Z}∗_ncom an−1_{6≡ 1(mod n),}

e assim J ´e um subgrupo pr´_{oprio de Z}∗_n _{e portanto (Z}∗_n _{: J ) ≥ 2. Logo, (Z}∗_n: L) ≥ 4. Finalmente, se r = 1 ent˜ao n = pe_{, e ≥ 2. Mas ent˜}_{ao, |J | = p − 1, e (Z}∗

n : J ) =

= pe−1 ≥ 4, exceto quando pe _{= 9. Quando n = 9 existem exatamente 2 elementos}

de S(n), a saber 1 e −1. Então, o número de elementos é ≤ n−1₄ .

Como resultado deste lema, descreveremos um algoritmo para testar a primali-dade de n [7, Cap.9].

(43)

Algoritmo 2 (MILLER-RABIN(n)). 1. escolha a ∈ {1, . . . , n − 1} aleat´orio 2. escreva n − 1 = 2tq, q ´ımpar

3. calcule sucessivamente a0 = aq(mod n), a1 = a20(mod n), . . . , ak = a2k−1(mod n)

at´e que k = t ou ak ≡ 1(mod n)

4. se k = t e ak6≡ 1(mod n) retorne “composto”

5. sen˜ao se k = 0 ent˜ao retorne “primo”

6. sen˜ao se ak−16≡ −1 (mod n) ent˜ao retorne “composto”

7. sen˜ao retorne “primo”

Teorema 3.3.2. Se n é primo, então MILLER-RABIN sempre retornará “primo”. Prova. No passo (4) nunca retornará “composto”, já que sempre existe j tal que a2jq ≡ 1(mod n), 1 ≤ j ≤ t. Seja k o menor ´ındice tal que ak ≡ 1(mod n), isto

´e, ak = a2 k_q

≡ 1(mod n). Se k = 0, o algoritmo retornar´a “primo” em (5). Caso contr´ario, devemos ter ak−1 ≡ −1(mod n), o algoritmo retorna “primo” nos passos

(6) e (7).

(44)

Teorema 3.3.3. Se n é um número composto, então o algoritmo MILLER-RABIN re-torna “composto” para pelo menos 3₄ _{de todos os a ∈ Z}∗_n.

Prova. _{Seja n um composto ´ımpar. Se a 6∈ Z}∗_n, então nunca acontecerá a situa¸cão onde teremos a2t_q

≡ 1(mod n). Teremos ent˜ao k = t e ak 6≡ 1(mod n). Logo, o passo

(4) declarar´a que n ´e composto.

Agora, se a ∈ Z∗n, pelo Lema 3.3.3 temos que pelo menos 3/4 de todos a ∈ Z ∗ n s˜ao

testemunhas fortes da composi¸c˜ao de n e para estes valores de a o algoritmo retornar´a “composto”.

Observamos que a maior parte do tempo gasto pelo algoritmo ´e para calcular aq_,

a2q_{, . . ., a}2t_q

(mod n). Podemos calcular aq_{(mod n) usando O(lg}3_{n) bit opera¸c˜}_{oes via}

um algoritmo que calcula potências módulo n (detalhes da complexidade do algoritmo em [7, Teorema 9.4.5]) , e para calcular o restante das potências fazendo o quadrado módulo n que também usa O(lg3n) bit opera¸cões.

Desta forma, se n é primo, o algoritmo responderá corretamente que n é primo. Mas, se n é composto, as chances do algoritmo retornar “primo” é de no máximo

1

4. Assim, o algoritmo procurar´a encontrar uma testemunha de composi¸c˜ao para n.

Se nenhuma testemunha é encontrada, então é declarado “primo” com probabilidade de acerto de pelo menos 1 − 1₄. E se não é detectada nenhuma testemunha após k aplica¸cões do teste de Miller-Rabin com diferentes bases aleatórias, a taxa de erro diminui para ₄1k.

Entretanto, tal taxa de erro é frequentemente muito menor. Monier [26] dá uma fórmula exata para esta margem de erro, que nunca excede (φ(n)/2r−1 − 2)/(n − 3)

(45)

onde r é o número de fatores primos distintos de n e φ(n) é a fun¸cão de Euler. Miller [25] e Bach [8] observaram que se assumirmos que a Hipótese Generalizada de Riemann é verdadeira, um número é primo se, e somente se, passa pelo teste para todas as bases a com 1 < a ≤ 2(log(n))2_{. Isto faz com que o teste de Miller-Rabin}

se torne determin´ıstico. Também podemos obter uma versão determin´ıstica para o teste de Solovay-Strassen considerando a Hipótese Generalizada de Riemann.

3.4 Teste de Agrawal-Kayal-Saxena

Até há pouco tempo atrás, os algoritmos existentes para testar primalidade ou eram probabil´ısticos com complexidade polinomial ou eram determin´ısticos mas pouco eficientes ou dif´ıceis de implementar.

Porém em 2002, Agrawal, Kayal e Saxena do Instituto Indiano de Tecnologia em Kanpur anunciaram um teste de primalidade determin´ıstico polinomial que sempre funciona sem considerar conjecturas. Além disso, as ferramentas matemáticas empre-gadas são consideravelmente mais simples que em testes anteriores (em particular, o teste APR [2]).

A idéia básica de tal teste tem como suporte o seguinte teorema. Teorema 3.4.1. Suponha que a ∈ Z∗p. Então p > 1 é primo se, e só se,

(x − a)p ≡ (xp_{− a)} _{(mod p).} _(3.4.1)

Prova. Pelo Teorema Binomial de Newton, temos que (x − a)p = = Pp

i=0

p i

(46)

=Pp−1 i=1 p i (−1)p−ixiap−i.

Supondo p primo, temos ap ≡ a mod p (Lema 3.4.4). Caso p ´ımpar, ent˜ao (−a)p = −ap ≡ −a mod p. Caso p = 2, temos −a ≡ a mod 2, da´ı (−a)p ₌

= ap ≡ a ≡ −a mod 2. Logo, P (x) = (x − a)p_{− (x}p_{− a). Como} p

i

≡ 0 (mod p) para 1 ≤ i < p, j´a que p aparece no numerador de p

i

, mas n˜ao no denominador. Logo, P (x) ≡ 0 (mod p).

Suponhamos que p seja composto. Seja q um primo divisor de p e seja k ≥ 1 o maior inteiro tal que qk _{| p} _{(p = q}k_{c, c ∈ Z). Temos que} p

q

= _q!(p−q)!p! = = _{(q−1)!(p−q)!}qk−1c(p−1)!.

Vamos mostrar que p n˜ao divide p q

. Suponhamos que p divide p q . Ent˜ao qk divide p q

. Isto significa que q divide (p − 1)! (q − 1)!(p − q)! = (p − 1)(p − 2) · · · (p − q + 1)(p − q)! (q − 1)!(p − q)! = (p − 1)(p − 2) · · · (p − q + 1) (q − 1)! .

Logo, q|(p − j) para algum j ∈ {1, . . . , q − 1}. Assim, q|j, o que ´e contradi¸c˜ao pois j < q e q primo.

Desta forma, p q

6≡ 0 (mod p), 1 < q < p. Sendo mdc(a, p) = 1, ent˜ao p

q

ap−q _{6≡ 0 (mod p), que ´e o coeficiente de x}q_{em (x−a)}p_{. Mas como o coeficiente}

de xq _{em x}p_{− a ´e nulo, temos x}p_{− a 6≡ (x − a)}p _{mod p.}

(47)

Examinando a expans˜ao binomial inteira de (x − a)n_{, tal resultado nos garantiria}

uma maneira infal´ıvel de saber se n é primo, pois caso todos os termos que estão no “meio” da expansão tivessem coeficientes divis´ıveis por n, então n seria primo, caso contrário ter´ıamos n composto.

Mas um detalhe torna este tipo de teste impraticável, já que para n muito grande, teremos que examinar muitos termos na expansão binomial.

A idéia do AKS é tornar o teste binomial rápido e ainda ser capaz de provar que o teste responde corretamente mesmo quando n é composto. Ao invés de trabalharmos com módulo n, trabalhamos com módulo um polinômio xr_{− 1 (onde r é um primo}

razoavelmente pequeno). Ou seja, no lugar de calcular (x − a)n_{, calcula-se o resto da}

divisão de (x − a)n _{por x}r_{− 1, que é feito usando o mesmo método em ´}_{Algebra para}

dividir um polinômio por outro. Dessa maneira, teremos no máximo r − 1 termos para examinar , enquanto que na expansão de (x − a)n _{temos n − 1.}

Como a congruência original funciona sempre que n é primo, então é óbvio que a nova congruência

(x − a)n≡ (xn_{− a)} _{mod (x}r_{− 1, n)} _(3.4.2)

também funciona quando n é primo, pois se duas coisas são iguais, então quando se divide essas duas coisas por xr− 1, os restos são iguais também. O que não é óbvio é que a nova congruência é sempre falsa quando n é composto, pois mesmo quando

(x − a)n 6≡ (xn_{− a)} _{(mod n)}

é poss´ıvel que dois diferentes polinômios tenham o mesmo resto quando divididos por xr_{− 1. O que o AKS mostra é que se n é composto, e se escolhemos o valor “certo”}

(48)

de r, então precisamos testar apenas um número pequeno de a’s até encontrarmos um tal que

(x − a)n 6≡ (xn_{− a)} _{mod (x}r_{− 1, n).}

Uma vez que encontramos tal a, provamos que n ´e composto. Ademais, n˜ao precisamos tomar a aleatoriamente, existe uma forma determin´ıstica para fazer isto.

A seguir, estabeleceremos alguns resultados que ser˜ao usados posteriormente.

3.4.1 Teoria dos N´

umeros

Lema 3.4.1. Seja π(n) o n´umero de primos positivos ≤ n. Ent˜ao n

6 log₂n ≤ π(n) ≤ 8n log₂n, ∀n ≥ 1.

Prova. No Teorema 4.6 em [5, Cap. 4], temos a seguinte desigualdade: n

6 log n ≤ π(n) ≤ 8n log n.

Vamos mostrar que a desigualdade também é válida para o logaritmo na base 2. Como log n ≤ log₂n, então π(n) ≥ _{6 log n}n ≥ n

6 log₂n.

(49)

π(n) ≤ n log n 6 log 2 +3 e = nlog2e log₂n 6 log 2 + 3 e = nlog2e log₂n 6 1 log₂e + 3 e = n log₂n 6 + 3 log2e e ≤ n log₂n 6 + 3 × 1, 45 e ≤ 8n log₂n. Portanto, n 6 log₂n ≤ π(n) ≤ 8n log₂n. Lema 3.4.2. Sejam n ≥ 2, k ≥ 1 e d ≥ 1 inteiros tais que (nk− 1)|(nd_{− 1). Ent˜}_ao

k|d.

Prova. Seja d = qk + r, q ≥ 1 e 0 ≤ r < k. Observemos que nd− 1 nk_{− 1} = nr(nqr− 1) + (nr_{− 1)} nk_{− 1} = nr(1 + nk+ n2k+ · · · + n(q−1)k) + n r_{− 1} nk_{− 1}.

Logo, (nr _{− 1)/(n}k_{− 1) ´e um inteiro, pois (n}k_{− 1) divide (n}d_{− 1). Se 1 ≤ r < k,}

ent˜ao 0 < (nr_{− 1)/(n}k_{− 1) < 1 o que n˜}_{ao ´}_{e poss´ıvel. Portanto, r = 0.}

(50)

Para o pr´oximo lema, consideraremos a fun¸c˜ao

π0(x) = |{p ; p ´e primo , 2 ≤ p ≤ x e P (p − 1) > x2/3}| onde P (n) ´e o maior divisor primo de n.

Lema 3.4.3. Existe uma constante c > 0 tal que π0(x) ≥ c x

log₂x para x suficientemente grande.

Prova. Em [15] temos que π0(x) ≥ c_{log x}x . Como na demonstra¸c˜ao do Lema 3.4.1, obtemos π0(x) ≥ c_logx

2x.

Lema 3.4.4. Sejam p primo e a um inteiro positivo. Ent˜ao ap ≡ a (mod p).

Prova. Ver demonstra¸c˜ao em [32, Corol´ario 2.1]

3.4.2 Corpos finitos

Sejam p um n´_{umero primo positivo e d ≥ 1 um inteiro. O anel Z}p ´e um corpo

com p elementos. Seja h(x) um polinˆ_{omio irredut´ıvel de grau d no anel Z}p[x], ou

seja, n˜ao existem polinˆ_{omios a(x) e b(x) em Z}p[x] ambos com grau ≤ d tais que

a(x)b(x) = h(x) em Zp[x]. O anel F := Zp[x]/(h(x)) consiste de todos os polinˆomios

(51)

Lema 3.4.5. O anel F ´e um corpo com pd _elementos.

Prova. Como existem exatamente pd _polinˆ_{omios em Z}

p[x] com grau ≤ d, ´e ´obvio

que |F | = pd_{. Para efeito de demonstra¸c˜}_{ao de que F ´}_{e corpo, mostraremos somente}

que cada polinômio não-nulo f (x) em F tem um inverso multiplicativo em F . Como o grau de f (x) é ≤ d e como h(x) é irredut´ıvel, temos que mdc(f (x), h(x)) = 1. Usando o algoritmo estendido de Euclides, obtemos dois polinômios a(x) e b(x) em Zp[x] tais que

a(x)f (x) + b(x)h(x) = 1

em Zp[x]. Portanto, a(x) mod h(x) ´e o inverso multiplicativo de f (x).

Lema 3.4.6. Sejam K um corpo, f (x) um polinˆomio em K[x], e d ≥ 1 o grau de f (x).

1. Existem no m´aximo d elementos α ∈ K tais que f (α) = 0.

2. Existem polinˆomios irredut´ıveis g1(x), . . . , gm(x) em K[x], para algum inteiro

m, tal que f (x) = Qm

i=1gi(x).

Prova. As demonstra¸c˜oes dos itens 1 e 2 se encontram em [22, Cap. 1] no Teorema 1.66 e no Teorema 1.59, respectivamente.

(52)

Lema 3.4.7. O grupo multiplicativo K∗ de qualquer corpo K ´e c´ıclico.

Prova. Sejam q o número de elementos de K. Podemos assumir que q ≥ 3, ou seja, que K é um corpo não-trivial. Seja s := q − 1 a ordem de K∗ e s = pr1

1 . . . prmm a sua

decomposi¸c˜ao.

Para cada 1 ≤ i ≤ m, o polinˆomio xs/pi − 1 tem no m´_{aximo s/p}

i ra´ızes em K,

conforme Lema 3.4.6. Como s/pi < s, existe um elemento n˜ao nulo ai ∈ K∗ tal

que as/pi

i 6= 1, pois s ´e a ordem de K

∗_{. Seja b} i := a

s/pri_i

i . Como K

∗ _´_{e um grupo}

multiplicativo de ordem s e ai ∈ K∗ ent˜ao asi = 1. Segue que b pri_i

i = asi = 1. Seja ei

a ordem multiplicativa de bi em K. Ent˜ao ei|prii. Sendo pi um n´umero primo, temos

que ei = psii para algum 0 ≤ si ≤ ri. Por outro lado, temos que b pri−1_i

i = a

s/pi i 6= 1.

Logo, si = ri e ei = prii.

Seja b := b1. . . bm, e e a ordem multiplicativa de b em K. Afirmamos que b ´e um

gerador de K∗, ou seja, e = s. Suponhamos, por absurdo, o contr´ario. J´a que bs_{= 1,}

seque que e|s. Sendo e um divisor pr´oprio de s, existe um ´ındice 1 ≤ i ≤ m tal que e divide s/pi. Suponhamos, sem perda de generalidade, que i = 1. Como be = 1, temos

que bs/p1 _{= 1. Observamos que}

bs/p1 _{= b}s/p1 1 . . . b

s/p1 m .

Consideremos 2 ≤ j ≤ m qualquer. Temos que prj

j divide s/p1. Como b prj_j j = 1, segue que bs/p1 j = 1. Assim, 1 = bs/p1 _{= b}s/p1 1 . . . b s/p1 m = b s/p1 1 .

(53)

Segue que a ordem de b1 divide s/p1. Como a ordem de b1 ´e pr11 e s/p1 =

= pr1−1 1 p

r2

2 . . . prmm, temos uma contradi¸c˜ao.

Lema 3.4.8. Seja p ≥ 2 um primo e f (x) um polinˆ_{omio em Z}p[x]. Ent˜ao,

f (x)p ≡ f (xp₎ _{(mod p).}

Prova. A demonstra¸cão será feita por indu¸cão sobre o grau d de f (x).

Se d = 0 ent˜_{ao f (x) = a para algum a ∈ Z}p. Sendo p primo, temos que

ap _{≡ a (mod p) (Lema 3.4.4). Logo, o resultado ´e verdadeiro.}

Seja d ≥ 1. Suponhamos que o resultado seja verdadeiro para todos os polinˆomios em Zp[x] cujos graus sejam < d. Podemos reescrever f (x) = axd+ g(x), onde a ∈ Zp

e g(x) ´e um polinˆ_{omio em Z}p[x] de grau menor do que d. Ent˜ao,

(f (x))p = (axd+ g(x))p = p X i=0 p i aixid(g(x))p−i. Como p i

≡ 0 (mod p) para 1 ≤ i ≤ p − 1, temos (f (x))p = (g(x))p+ apxpd.

(54)

Pela hip´otese de indu¸c˜ao, (g(x))p _{≡ g(x}p_{) (mod p) e sendo a}p _{≡ a (mod p),}

conclu´ımos que

(f (x))p = g(xp) + a(xp)d= f (xp).

Lema 3.4.9. Seja h(x) um fator qualquer de xr _{− 1. Se m ≡ m}

r (mod r), ent˜ao

xm _{≡ x}mr _{(mod h(x)).}

Prova. Seja m = kr +mr. Como, xr ≡ 1 mod (xr−1), ent˜ao xkr ≡ 1 mod (xr−1)

⇒ xkr+mr _{≡ x}mr _{mod (x}r_{− 1)} _⇒ _xm _{≡ x}mr _{mod (x}r_{− 1).}

Portanto, xm _{≡ x}mr _{(mod h(x)).}

Lema 3.4.10. Sejam p e r primos positivos distintos e d = ordrp . Ent˜ao, todo

polinˆ_{omio irredut´ıvel em Z}p[x] que divide x r₋₁

x−1 tem grau d.

Prova. Seja h(x) um polinˆ_{omio irredut´ıvel em Z}p[x] que divide x r₋₁

x−1 e cujo grau ´e

k. Pelo Lema 3.4.5, temos que F ´e um corpo com pk _{elementos. Tamb´}_{em temos que}

F∗ _´_{e c´ıclico de ordem p}k_{− 1. Seja g(x) um gerador de F}∗_{. Usando o Lema 3.4.8,}

temos g(x)p _{≡ g(x}p_{) (mod p)} _⇒ _g(x)pd _{≡ g(x}pd_{) (mod p).}

Seja f (x) o polinˆ_{omio em Z}p[x] tal que f (x)g(x) = xr − 1. Sendo

pd _{≡ 1 (mod r) e usando o Lema 3.4.9, temos que x}pd _{≡ x mod h(x).} _Logo,

(g(x))pd ≡ g(x) mod h(x).

Sendo g(x) um gerador, g(x) 6≡ 1 mod h(x). Logo, g(x) tem um inverso multi-plicativo no corpo F , o que implica (g(x))pd−1 ≡ 1 mod h(x).

(55)

Como pk_{− 1 ´e a ordem de g(x), temos que (p}k_{− 1)|(p}d_{− 1) ⇒ k|d, conforme o}

Lema 3.4.2.

Al´em disso, h(x)|(xr _{− 1) em Z}

p[x] e, consequentemente, em F . Logo,

xr_{≡ 1 mod h(x). J´}_{a que r ´}_{e primo, ent˜}_{ao r = ord}

h(x)x. Como a ordem de F∗´e pk−1

temos que xpk₋₁

≡ 1 mod h(x), que implica r|(pk _{− 1),} _ou _seja,

pk _{≡ 1 (mod r). Logo, d|k. Portanto, d = k.}

3.4.3 O algoritmo AKS

Primeiramente, apresentaremos o algoritmo AKS [3] e posteriormente discutiremos se o algoritmo funciona e sua complexidade.

Algoritmo 3 (AKS(n)). n ´e um inteiro positivo

1. se n ´e da forma ab_{, b > 1, ent˜}_{ao retorne “composto”;}

2. r = 1;

3. enquanto r < n fa¸ca

4. se mdc(n, r) 6= 1, então retorne “composto”; 5. se r é primo, então

(56)

7. se q ≥ d4√r log₂ne e nr−1q 6≡ 1 (mod r), pare;

8. r ← r + 1;

9. para a = 1 at´e d2√r log₂ne

10. se (x − a)n _{6≡ (x}n_{− a) mod (x}r_{− 1, n), retorne “composto”;}

11. Retorne “primo”.

No artigo [9] é proposto um algoritmo rápido que detecta, em tempo polinomial, se um inteiro n > 1 é uma potência perfeita ou não. Assim, o passo (1) do AKS pode ser executado em tempo polinomial.

O algoritmo possui dois loops. No primeiro loop, o algoritmo tenta encontrar um primo r tal que r − 1 tem o maior fator primo q ≥ d4√r log₂ne e que q divida a ordem multiplicativa de n m´odulo r.

Para analisar se o algoritmo est´a correto e sua complexidade, consideraremos o lema a seguir.

Lema 3.4.11. Para cada n suficientemente grande, existem constantes c1 e c2

po-sitivas para os quais existe um primo r, onde c1(log2n)6 ≤ r ≤ c2(log2n)6 tal que

q = P (r − 1) ≥ 4√r log₂n e q|ordrn.

Prova. Sejam c como no Lema 3.4.3 e P (r−1) o maior fator primo de r−1. Seja R o n´umero de primos r’s no intervalo [c1(log2n)6, c2(log2n)6] tal que

(57)

Assim, R = π0(c2(log2n) 6 ) − π0(c1(log2n) 6 ) ≥ π0(c2(log2n)6) − π(c1(log2n)6), pois π(x) ≤ c0_logx 2x ≤ π

0_{(x) para algum c}0_{, de acordo com os Lemas 3.4.1 e 3.4.3.}

Ent˜ao, R ≥ c c2(log2n) 6 log₂(c2(log2n)6) − π(c1(log2n) 6₎ ≥ c c2(log2n)6 log₂(c2(log2n)6) − 8 c1(log2n)6 log₂(c1(log2n)6) ≥ c c2(log2n) 6

log₂c2+ 6 log2(log2n)

− 8 c1(log2n)

6

. Como c2 ≤ log2n para n suficientemente grande, ent˜ao

R ≥ c c2(log2n)

6

log₂(log₂n) + 6 log₂(log₂n) − 8

c1(log2n)6

≥ c c2(log2n) 6 7 log₂(log₂n) − 8 c1(log2n)6 6 log₂(log₂n) = (log2n) 6 log₂(log₂n) cc2 7 − 8c1 6 .

Seja c3 := cc₇2 − 8c₆1. Escolhemos c1 ≥ 46e c2 tal que c3 > 0. Seja x := c2(log2n)6

e definimos N := (n − 1)(n2_{− 1) · · · (n}bx1/3_c

− 1) = Qbx1/3c

i=1 (n i_{− 1).}

Como qualquer inteiro positivo m tem no máximo log m fatores primos, então o i-ésimo termo no produto acima tem no máximo i log m ≤ i log₂n ≤ bx1/3_{c log}

2n ≤

≤ x1/3_log

2n fatores primos. Logo, N tem x2/3log2n fatores primos, no m´aximo.

Observamos que

x2/3log₂n = c2/3₂ (log₂n)5 < c3(log2n)

6

log₂(log₂n).

Ent˜ao, existe um primo r tal que c1(log2n)6 ≤ r ≤ c2(log2n)6 e P (r − 1) ≥ r2/3,

(58)

De fato, sendo r2/3 = r1/6√r e que r1/6 ≥ c1/6₁ log₂n ≥ 4 log₂n, ent˜ao r2/3 ≥ 4√r log₂n.

Antes de provarmos que q|ordr(n), mostraremos que q|ordr(n) ´e equivalente a

nr−1q 6≡ 1 mod r.

Suponhamos que q|ordr(n). Como q ≥ 4

√

r log₂n, ent˜ao q ≥ r2/3 > √r > > (r − 1)1/2 _{⇒ q}2 _{> r − 1 ⇒ q >} r−1

q . Sendo ordr(n) > q, ent˜ao ordr(n) > r−1

q ⇒

⇒ nr−1q 6≡ 1 mod r (pela defini¸c˜ao de ord r(n)).

Suponhamos que q _- ordr(n). Como ordr(n)|(r − 1) (pois mdc(n, r) e

nr−1 _{≡ 1 mod r), temos que r − 1 = ord}

r(n) · d ⇒ ordr(n)|r−1_q ⇒ n r−1

q ≡ 1 mod r.

Agora podemos mostrar que q|ordr(n). De fato, suponhamos, por absurdo, que

nr−1q ≡ 1 (mod r). Ent˜ao, r|(n r−1 q − 1). Como q ≥ r2/3, r ≤ c 2(log2n)6 e x = c2(log2n)6, temos r − 1 q < r q ≤ r r2/3 = r 1/3_{≤ (c} 2(log2n)6)1/3= x1/3.

Assim (nr−1q −1) é um termo de N . Mas isto implica que r|N , o que é contradi¸cão.

Observamos que como q é um inteiro (pois é primo), teremos que q ≥ d4√r log₂ne. Teorema 3.4.2. Se n é primo, então o algoritmo retorna “primo”.

Prova. O primeiro loop não retornará “composto” pois mdc(n, r) 6= 1 para todo r ≤ c2(log2n)6 onde c2 é como no Lema 3.4.11. Então, no segundo loop também não

retorna ”composto”, pois a congruˆencia (3.4.2) sempre ser´a satisfeita. Portanto, o algoritmo sempre retorna ”primo”quando n for primo.

(59)

Agora, vamos verificar se o algoritmo funciona quando temos n composto como entrada. Vamos considerar que n não seja uma potência perfeita e que todo fator primo de n seja maior do que r, pois caso contrário n seria detectado como composto no passo (1) ou (4) do algoritmo. Vamos mostrar que n será detectado no segundo loop.

Seja n = pe1 1 · · · p

ek

k a decomposi¸c˜ao de n. Neste caso, ordrn|mmc{ordr(pi)}ki=1. De

fato, se λ =mmc{ordr(pi)}ki=1, ent˜ao λ = ordr(pi)mi, mi escolhido para cada ordr(pi).

Logo, nλ = k Y i=1 peiλ i = k Y i=1 pei·ordr(pi)mi i = k Y i=1 (pordr(pi) i ) eimi = 1.

Desta forma, existe um primo p fator de n tal que q|ordrp onde q = P (r − 1) para

o r encontrado no primeiro loop, pois todo fator primo de mmc{ordr(pi)}ki=1 ´e um

fator primo para pelo menos uma ordr(pi) De agora em diante, p ser´a tal fator primo

de n.

No segundo loop, o algoritmo usa o valor de r encontrado para fazer o c´alculo de l = d2√r log₂ne binˆomios: (x − a) para 1 ≤ a ≤ l.

Pelo Lema 3.4.10, temos um polinˆomio h(x) que ´e fator de xr _{− 1 de grau}

d = ordr(p), onde p é o fator primo de n tal que q|ordrp e tal polinômio é irredut´ıvel