Caráter Primo em Larga Escala

Transcrição

1 Universidade Estadual de Londrina Centro de Tecnologia e Urbanismo Departamento de Engenharia Elétrica Décio Luiz Gazzoni Filho Demonstrações Distribuídas de Caráter Primo em Larga Escala Londrina 2004

2 Décio Luiz Gazzoni Filho Demonstrações Distribuídas de Caráter Primo em Larga Escala Monografia apresentada ao curso de Engenharia Elétrica da Universidade Estadual de Londrina, como parte dos requisitos obrigatórios à obtenção do título de Engenheiro Eletricista com ênfase em Eletrônica. Orientador: Prof. Dr. Taufik Abrão Universidade Estadual de Londrina Centro de Tecnologia e Urbanismo Departamento de Engenharia Elétrica Londrina 2004

3 Trabalho de Conclusão de Curso sob o título Demonstrações Distribuídas de Caráter Primo em Larga Escala, defendida por Décio Luiz Gazzoni Filho e aprovada em 6 de dezembro de 2004, em Londrina, Paraná, pela banca examinada constituída por: Prof. Dr. Taufik Abrão Departamento de Engenharia Elétrica Universidade Estadual de Londrina Prof. Dr. Marcelo C. Tosin Departamento de Engenharia Elétrica Universidade Estadual de Londrina Prof. Dr. Ulysses Sodré Departamento de Matemática Universidade Estadual de Londrina

4 Dedicatória Aos meus pais, pelo apoio, ofereço as curvas elípticas y 2 = x x e y 2 = x x e seus respectivos twists quadráticos, que possuem multiplicação complexa por e e ordens de grupo p + 1 ± e p + 1 ± , respectivamente, onde p =

5 Agradecimentos Seja p = Todas as curvas elípticas nesta página são consideradas sobre Z/pZ. Aos professores Alfred J. Menezes e Darrel Hankerson, por suas palestras no WCAP 03, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± A Henri Cohen, por seu livro A Course in Computational Algebraic Number Theory e o software PARI/GP, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± A Richard Crandall e Carl Pomerance, pela obra-prima Prime Numbers: A Computational Perspective, fonte de incontáveis horas de estudo, diversão e inspiração, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± A Donald E. Knuth, por compartilhar seu imenso conhecimento de matemática e ciência da computação através da magnífica obra The Art Of Computer Programming, e por seu sistema TEX de editoração, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± Aos ex-colegas da distributed.net, em especial Jeff Bovine Lawson, Michael Feiri e Didier Levet, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± A Olivier Atkin e François Morain, pelo seminal trabalho Elliptic Curves and Primality Proving, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± Ao professor Paulo Barreto, pelas vívidas discussões sobre o assunto, ofereço a curva elíptica y 2 = x x e seu twist quadrático,

6 ii que possuem multiplicação complexa por e ordens de grupo p + 1 ± Aos meus amigos, particularmente Marco Casaroli, Éder Ignatowicz, Leonardo Pinheiro, Rodrigo Fanucchi e Fernando Ciriaco, assim como outros tantos cujo espaço deste trabalho é curto demais para conter, ofereço a curva elíptica y 2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± Ao professor Taufik Abrão, pelas incontáveis horas de orientação e estimulantes disciplinas ministradas no curso, ofereço a curva elíptica y 2 = x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ± A Ísis Duarte, pela amizade, ofereço a curva elíptica y2 = x x e seu twist quadrático, que possuem multiplicação complexa por e ordens de grupo p + 1 ±

7 Prefácio Este Trabalho de Conclusão de Curso foi elaborado, durante a 5 a série do curso de Engenharia Elétrica, para satisfazer os requisitos obrigatórios à obtenção do título de Engenheiro Eletricista com ênfase em Eletrônica. A proposta inicial do trabalho era o desenvolvimento de um software que contemplasse todas as etapas necessárias para a realização de demonstrações de caráter primo em sistemas distribuídos de larga escala (por exemplo, computadores conectados através da Internet). Infelizmente, não foi possível atingir a meta proposta, apesar que grande parte do código científico necessário ao funcionamento rudimentar do sistema foi escrito. Embora o software necessite de otimização, a princípio é possível obter demonstrações de caráter primo através do mesmo, e considera-se que pelo menos parte da meta foi atingida. O plano inicial para esta monografia é que fosse mais abrangente, cobrindo tópicos como fatoração de inteiros, aritmética eficiente de polinômios, sistemas de coordenadas eficientes para aritmética elíptica e outros, necessários à compreensão das técnicas de otimização empregadas no código do software. Infelizmente, as normas para elaboração do Trabalho de Conclusão de Curso especificam um limite de 40 páginas para os elementos textuais do trabalho, e este limite começou a ser observado a partir da posse da nova coordenação de Trabalho de Conclusão de Curso em Apesar de concessões por parte da coordenação, que permitiu a escrita de até 100 páginas no total (incluindo os elementos pré- e pós-textuais do trabalho), esse limite se mostrou insuficiente para a escrita do trabalho conforme originalmente planejado. Além dos tópicos já citados no início do parágrafo, alguns pequenos detalhes tiveram de ser removidos para garantir que o trabalho permanecesse dentro do limite: por exemplo, referências para as demonstrações dos teoremas, representando uma economia de 5 páginas, e alguns algoritmos não considerados absolutamente essenciais para o entendimento do trabalho, mesmo sendo considerados importantes. Vale mencionar que a mesma coordenação do Trabalho de Conclusão de Curso inicialmente ofereceu oposição à escolha do tópico deste trabalho, novamente citando uma regra que estabelece as linhas de pesquisa permitidas. A escrita do trabalho foi possível somente pela persistência do professor Taufik Abrão, orientador deste trabalho, em lutar pelo meu direito de tentar contribuir para o conhecimento neste campo, ao invés de escolher um tópico que não seja de meu interesse e escrever um trabalho medíocre e redundante, um

8 ii fenômeno que claramente ocorre com outros alunos do curso. Vale dizer que a publicação de um artigo no XXI Simpósio Brasileiro de Telecomunicações demonstra que o trabalho possui contribuições e que encaixa-se numa das linhas de pesquisa (telecomunicações) permitidas para o Trabalho de Conclusão de Curso. Fica registrada nossa discordância com estas regras arbitrárias impostas pela coordenação do Trabalho de Conclusão de Curso, cujo único objetivo parece ser o de aleijar trabalhos como o nosso e garantir a manutenção do status quo de mediocridade do Departamento de Engenharia Elétrica.

9 i Resumo O trabalho estuda a viabilidade da computação de demonstrações de caráter primo em sistemas distribuídos de larga escala, e descreve uma implementação parcial do sistema proposto. Optou-se pelo algoritmo ECPP devido a Atkin e Morain, com otimizações devidas a Shallit, Morain e outros. Entre as contribuições do trabalho, estão a proposta de uma arquitetura de rede adequada a implementações distribuídas do algoritmo em questão, além de melhorias em uma etapa-chave do algoritmo. Resultados obtidos com a implementação das melhorias sugeridas estabeleceram novos recordes na geração de curvas elípticas com multiplicação complexa.

10 ii Abstract This work analyzes the feasibility of computing primality proofs in large-scale distributed systems, and describes a partial implementation of the proposed system. The ECPP algorithm due to Atkin and Morain, with optimizations due to Shallit, Morain and others, was chosen for the system. Among the contributions of this work, we mention a network architecture better suited to distributed implementation of ECPP, and improvements to a key step of the algorithm. Results obtained with an implementation of the proposed improvements have set new records in the generation of elliptic curves with complex multiplication.

11 iii Sumário Lista de Símbolos e Abreviaturas p. xii 1 Introdução p Divisão do trabalho p. 2 2 Álgebra Abstrata e Teoria dos Números p Teoria de grupos p Definição e propriedades básicas p Aplicações entre grupos p Subgrupos p Grupos e subgrupos cíclicos p Introdução aos corpos p Implementação da aritmética de corpos finitos p Teoria dos números p Divisibilidade p Números primos p Congruências e aritmética modular p Polinômios com coeficientes em Z/nZ p A função φ de Euler p O grupo multiplicativo (Z/nZ) p Resíduos quadráticos e raízes quadradas modulares p Curvas Elípticas p. 26

12 iv 3.1 Aspectos geométricos p O grupo de pontos de uma curva elíptica p Algoritmos para aritmética elíptica p Coordenadas afins p Coordenadas projetivas p O Algoritmo ECPP p Testes de caráter pseudoprimo p O teste de Fermat e o teste forte p O teste de Frobenius p Testes de caráter primo eficientes p O teste n 1 e variantes p O teste ECPP p Os testes APR-CL e AKS p O algoritmo ECPP de Goldwasser e Kilian p Curvas elípticas com multiplicação complexa p O algoritmo ECPP de Atkin e Morain p A variante fastecpp do algoritmo ECPP p Sistemas Distribuídos p Distribuindo o algoritmo ECPP p Algoritmos para distribuição de dados p Computação em ambientes não-confiáveis p Projeto e Implementação do Sistema p Licenciamento p Projeto do sistema p Implementação do sistema p. 70

13 v Aritmética de inteiros e de ponto flutuante p Algoritmos para teoria dos números p Aritmética de polinômios p Coeficientes complexos em ponto flutuante p Coeficientes modulares p Construção dos polinômios de classe p Funções transcendentais p Aritmética elíptica p Resultados p Conclusão p. 82 Anexo A -- Artigo Publicado no XXI Simpósio Brasileiro de Telecomunicações p. 84 Referências p. 90 Índice Remissivo p. 93

14 vi Lista de Definições Números primos e compostos p Definição de grupo p Ordem de elementos de um grupo p Ordem de um grupo p Homomorfismo p Isomorfismo p Definição de subgrupo p Definição de grupo cíclico p Definição de corpo p Característica de um corpo p Definição de divisibilidade p Divisor comum e máximo divisor comum p Inteiros coprimos ou relativamente primos p Função π(x) p Definição de congruência p Inverso de uma classe de congruência p Função φ de Euler p Resíduo quadrático p Símbolo de Legendre p Símbolo de Jacobi p Curva elíptica p Teste de caráter pseudoprimo de Frobenius p. 41

15 vii Discriminante fundamental p Matriz simétrica reduzida p Grupo de classe p. 53

16 viii Lista de Teoremas, Corolários e Lemas Teorema Fundamental da Aritmética p Propriedades de grupos p Lei de cancelamento para grupos p Critério para isomorfismos p Propriedades de grupos cíclicos p Isomorfismos de grupos cíclicos p Propriedades de grupos cíclicos p Estrutura de subgrupos de um grupo cíclico p Resultados básicos sobre corpos finitos p Teste para raiz primitiva em F p k p Critério de irredutibilidade de polinômios p Algoritmo de divisão p Propriedades de divisibilidade p Lema de Euclides p Soluções de equações diofantinas lineares p Infinitude dos primos p Teorema dos Números Primos p Limite superior de fatores primos de um inteiro composto.... p Relação entre congruência e divisibilidade p Axiomas de relações de equivalência para congruências..... p. 15

17 ix Validade da definição da aritmética de congruências p Soluções da congruência bx a (mod n) com mdc(b, n) = 1.. p Congruências módulo fatores primos de um inteiro p Teorema Chinês do Resto p Congruências entre polinômios em Z/nZ p Número de raízes de polinômios sobre Z/nZ p Cálculo de φ(n) para n = p e p φ(n) é multiplicativa p Cálculo de φ(n) para n composto p Teorema de Fermat-Euler p Pequeno Teorema de Fermat p Versão do Teorema de Fermat-Euler sem restrições sobre mdc(a, n) p Definição, comutatividade e ordem de (Z/nZ) p Condição para que (Z/nZ) seja cíclico p Teste para raiz primitiva em (Z/nZ) p Número de raízes primitivas de (Z/nZ) p Número de raízes quadradas modulares de Q n (Z/nZ).... p Q n é subgrupo de (Z/nZ) p Descrição de Q n quando (Z/nZ) é cíclico p Critério de Euler para resíduos quadráticos p Propriedades dos símbolos de Legendre e Jacobi p Lei de reciprocidade quadrática p Grupo de pontos de uma curva elíptica p Estrutura algébrica de E(F p k) p Desigualdade de Hasse para E(F p k) p Distribuição dos números de Carmichael p. 39

18 x Critério forte de caráter pseudoprimo p Distribuição de pseudoprimos fortes p Teste de caráter pseudoprimo de Lucas p Implementação do teste de Frobenius usando sequências de Lucas p Identidades para implementação do teste de Frobenius..... p Teorema de Lucas para demonstração de caráter primo..... p Teorema de Pocklington sobre fatorizações parciais no teste n 1 p Teorema de Goldwasser-Kilian p Escolha de m no Teorema de Goldwasser-Kilian p. 49

19 xi Lista de Algoritmos Algoritmo de Euclides para cálculo do MDC p Algoritmo estendido de Euclides p Crivo de Eratóstenes p Exponenciação esquerda-direita p Símbolo de Jacobi usando reciprocidade quadrática p Raízes quadradas modulares p Determinação de um ponto sobre uma curva elíptica p Aritmética elíptica em coordenadas afins p Aritmética elíptica em coordenadas projetivas p Teste de caráter pseudoprimo de Fermat p ECPP de Goldwasser-Kilian p Determinação do grupo de classe H(D) p Algoritmo de Cornacchia p. 55

20 xii Lista de Símbolos e Abreviaturas AKS APR-CL BSD ECDH ECDSA ECM ECPP FFT IEEE GMP GPL RSA mdc Agrawal-Kayal-Saxena (teste de caráter primo) Adleman-Pomerance-Rumely Cohen-Lenstra (teste de caráter primo) Berkeley Software Distribution (licença) Elliptic Curve Diffie-Hellman (criptossistema) Elliptic Curve Digital Signature Algorithm Elliptic Curve Method (algoritmo de fatoração) Elliptic Curve Primality Proving Fast Fourier Transform (algoritmo) Institute of Electrical and Electronics Engineers GNU Multi-Precision Library GNU General Public License Rivest-Shamir-Adleman (criptossistema) Máximo divisor comum x Piso de x (maior inteiro x) x Teto de x (menor inteiro x) a b (mod n) G = H a a é congruente a b módulo n G é isomorfo a H Classe de congruência de a ( a ) p Símbolo de Jacobi ou Legendre de a módulo p [x, y, z] Classe de equivalência de soluções projetivas de uma curva elíptica D n p p e O O(x) φ(n) Discriminante (teoria de multiplicação complexa) Inteiro Primo Potência de primo Ponto no infinito de uma curva elíptica Da ordem de x (notação assintótica) Função de Euler π(x) Função de contagem de primos (número de primos x)

21 xiii (Z/nZ) Z/nZ F F p k F p k F(ω) Q n E(F) H(D) h(d) a b x G Grupo multiplicativo dos inteiros módulo n Grupo aditivo ou corpo/anel dos inteiros módulo n Corpo Corpo de p k elementos Grupo multiplicativo do corpo de p k elementos Extensão de F por ω Conjunto dos resíduos quadráticos módulo n Curva elíptica sobre F Grupo de classe do discriminante D Número de classe do discriminante D a divide b Ordem de um elemento x de um grupo Ordem de um grupo G

22 1 1 Introdução O problema de distinguir números primos de compostos, e de separar números compostos em seus fatores primos, é um dos mais importantes e mais úteis problemas de toda a aritmética... A dignidade da ciência parece exigir que qualquer contribuição à solução de um problema tão elegante e celebrado seja ferrenhamente cultivada. C. F. Gauss, Disquisitiones Arithmeticae (1801), in (1) Definição Um número primo é um inteiro p > 1 que possui exatamente dois divisores, 1 e p. Um inteiro positivo que não seja primo é dito composto, à exceção do inteiro 1, que é considerado simplesmente uma unidade. A importância dos números primos para a matemática (e por extensão, para a engenharia e a computação) pode ser quantificada por um simples teorema: Teorema (Teorema Fundamental da Aritmética). Para cada número natural n existe uma fatoração única n = p a 1 1 p a 2 2 p a k k, onde os expoentes a i são inteiros positivos e p 1 < p 2 < < p k são números primos. Crandall e Pomerance (2) reafirmam a importância dos primos ao interpretarem o Teorema Fundamental da Aritmética da seguinte maneira: os primos são os blocos de construção multiplicativos dos números naturais. Sob o ponto de vista matemático, ambos os problemas citados por Gauss no começo do capítulo já estão resolvidos desde a Grécia antiga, através do procedimento conhecido como Crivo de Eratóstenes (2, 3). A teoria da computação considera o problema das demonstrações de caráter primo essencialmente resolvido, por conta do algoritmo de Agrawal, Kayal e Saxena (4), que no jargão da teoria, é dito de complexidade polinomial. Para a fatoração de inteiros, são conhecidos apenas algoritmos com complexidade exponencial ou subexponencial, que são considerados ineficientes inclusive, esta suposta

23 2 ineficiência é a premissa de segurança de diversos sistemas criptográficos (2, 5), em particular o sistema RSA. Na prática, os algoritmos conhecidos para demonstração de caráter primo deixam a desejar. Como exemplo, considerando um tempo fixo para cada uma das tarefas a seguir, é possível multiplicar inteiros de bilhões de dígitos, verificar o caráter pseudoprimo 1 de um inteiro de centenas de milhares de dígitos, e demonstrar o caráter primo de um inteiro de apenas alguns milhares de dígitos. É possível argumentar que desvantagens algorítmicas podem ser compensadas por avanços de hardware. Embora o orçamento de hardware disponível para microprocessadores siga um crescimento exponencial (a chamada Lei de Moore) (6), o crescimento do poder computacional é limitado por fatores físicos, econômicos e técnicos, e não é tão acentuado a ponto de menosprezar os avanços algorítmicos. A interconexão de computadores, através de barramentos dedicados ou conexões de rede, surgiu como uma solução para as limitações inerentes aos sistemas monoprocessados (7). Mais recentemente, diversos grupos demonstraram ser possível aproveitar os recursos computacionais desperdiçados pelos milhões de computadores conectados à Internet, a rede mundial de computadores, para realizar computações de magnitudes até então inimagináveis (8 10). A proposta deste trabalho é a construção de uma rede semelhante, voltada para a demonstração de caráter primo de inteiros de forma geral. 1.1 Divisão do trabalho Este capítulo introdutório explicou, em termos bastante gerais, a proposta do trabalho, incluindo os conceitos básicos necessários ao entendimento desta proposta. O Capítulo 2 expõe alguns resultados da teoria de grupos, teoria de corpos e teoria dos números, necessários aos desenvolvimentos posteriores. Embora o material seja bastante elementar, foi incluído no trabalho com o objetivo de torná-lo auto-contido. O Capítulo 3 é uma introdução às curvas elípticas, do ponto de vista da teoria computacional dos números. Em particular, conceitos topológicos e analíticos relacionados às curvas elípticas não são abordados. O Capítulo 4 introduz o algoritmo ECPP, comparando-o com outros algoritmos para certificação de caráter primo e pseudoprimo, e justificando sua escolha para uso no traba- 1 A definição de caráter pseudoprimo será dada no Capítulo 4.

24 3 lho. É feita também uma revisão da principal melhoria ao algoritmo descrita na literatura, a variante fastecpp. O Capítulo 5 discute as modificações ao ECPP para torná-lo um algoritmo distribuído, o uso de estruturas hierárquicas de rede para distribuição de dados de maneira eficiente em sistemas distribuídos, e os desafios de realizar computações válidas em uma rede de computadores cuja confiabilidade não pode ser garantida. O Capítulo 6 discute a implementação do sistema. Inicialmente justifica-se a decisão de tornar o sistema um software livre sob licença GPL, e o impacto desta decisão sobre a infraestrutura utilizada, em particular as bibliotecas empregadas na construção do sistema. A seguir, são descritas as metas de projeto do sistema, e o restante do capítulo é dedicado à descrição da implementação, no estágio em que se encontrava quando da publicação deste trabalho. O Capítulo 7 relata alguns resultados obtidos até o momento da escrita do trabalho, que estabeleceram novos recordes em uma das etapas mais complexas do algoritmo ECPP. O Capítulo 8 conclui o trabalho e indica direções futuras de pesquisa. O anexo A é uma reprodução do artigo Demonstrações Distribuídas de Caráter Primo, publicado pelo autor e seu orientador, Prof. Dr. Taufik Abrão, no XXI Simpósio Brasileiro de Telecomunicações, realizado em Belém PA no período de 6 a 9 de setembro de 2004.

25 4 2 Álgebra Abstrata e Teoria dos Números Esta dissertação trata do algoritmo ECPP, que envolve conceitos de curvas elípticas. A teoria destas curvas, pelo menos no contexto da teoria computacional dos números, exige familiaridade com certos conceitos da álgebra abstrata, em particular grupos e corpos. Estes assuntos compreendem a primeira e segunda parte deste capítulo. A terceira parte trata da teoria dos números, que é fundamental tanto para o problema abordado por este trabalho (demonstrações de caráter primo), quanto na implementação dos algoritmos utilizados. Os assuntos são abordados superficialmente, omitindo resultados desnecessários ao desenvolvimento do trabalho. A primeira seção trata da teoria de grupos. Partem-se de definições e propriedades básicas, para então introduzir mapeamentos entre grupos, seguido pela noção de subgrupo, concluindo com a importante classe de grupos e subgrupos cíclicos. A segunda seção aborda resultados simples sobre corpos finitos, e a implementação de sua aritmética. A última seção do capítulo é uma compilação de resultados da teoria dos números. O primeiro assunto tratado é a divisibilidade. Em seguida, há alguns resultados sobre números primos e sua distribuição entre os inteiros. O próximo tópico é um tratamento breve de aritmética modular e congruências. A seguir, são expostos alguns resultados simples sobre a aritmética de polinômios com coeficientes modulares. A função φ de Euler é introduzida, e alguns teoremas relacionados a esta função são fornecidos. É feito um estudo do grupo multiplicativo dos inteiros módulo n, e conclui-se o capítulo com os conceitos de residuosidade quadrática e raízes quadradas modulares. 2.1 Teoria de grupos Os resultados da teoria de grupos são extremamente importantes para a abordagem das curvas elípticas no contexto da teoria dos números. Ademais, interpretações

26 5 de resultados da teoria dos números (como o Pequeno Teorema de Fermat e sua generalização, o Teorema de Fermat-Euler ) em termos da teoria de grupos, é um caminho produtivo para a criação de algoritmos mais eficientes; em certos algoritmos, é possível substituir o grupo multiplicativo (Z/pZ) por outros grupos mais vantajosos, dos quais o grupo de pontos de uma curva elíptica está mais em voga atualmente. Muitos resultados acerca de grupos infinitos serão omitidos, mesmo havendo analogia direta com os resultados para grupos finitos, por serem irrelevantes ao trabalho Definição e propriedades básicas A definição de um grupo é simples (11): Definição Um grupo é um conjunto G e uma operação binária : G G, que satisfazem os seguintes axiomas: 1. Fechamento: para todo a, b G, ab G; 2. Associatividade: (ab)c = a(bc) para todo a, b, c G; 3. Existência de identidade: existe um elemento 1 G, dito a identidade de G, tal que para todo a G vale que a1 = 1a = a; 4. Existência de inversos: para cada a G, existe um elemento a 1 G, dito o inverso de a, tal que aa 1 = a 1 a = 1. Adicionalmente, o grupo pode satisfazer o seguinte axioma: 5. Comutatividade: ab = ba para todo a, b G. Nesse caso, o grupo é dito abeliano. Na definição, foi empregada uma notação multiplicativa para o grupo. Também é possível utilizar uma notação aditiva, em que a operação é substituída por +, a identidade 1 por 0 e os inversos a 1 pelos opostos a. De fato, é possível empregar qualquer notação desejada, principalmente se corresponder à notação tradicional para aquele grupo. Algumas propriedades dos grupos podem ser obtidas diretamente da definição acima: Teorema Se G é um grupo com operação, então 1. a identidade de G é única;

27 6 2. para todo a G, o elemento inverso a 1 é único; 3. (a 1 ) 1 = a para todo a G; 4. (ab) 1 = (b 1 )(a 1 ); 5. dados a 1, a 2,..., a n G, o valor de a 1 a 2 a n é independente da forma como são colocados parênteses na expressão (a chamada lei de associatividade generalizada). Devido à lei de associatividade generalizada, o valor do produto xx }{{ x} não depende n vezes da ordem de avaliação, e será denotado simplesmente por x n. De forma semelhante, x} 1 x 1 {{ x 1 } é escrito como x n, e x 0 = 1. n vezes O seguinte teorema estabelece a existência de cancelamento em grupos: Teorema Seja G um grupo com a, b G. As equações ax = b e ya = b apresentam soluções únicas x, y G. Em particular, as leis de cancelamento pela esquerda e pela direita são válidas em G, ou seja, 1. se au = av, então u = v; 2. se ub = vb, então u = v. O seguinte conceito é importantíssimo no estudo da teoria de grupos. Definição Seja G um grupo e x G. Define-se a ordem de x como o menor inteiro positivo tal que x n = 1, e denota-se este inteiro por x, e diz-se que x possui ordem n. Se nenhuma potência positiva de x corresponde à identidade, define-se a ordem de x como infinito. É possível falar também na ordem do grupo como um todo. Definição Seja G um grupo. A ordem do grupo é a cardinalidade do conjunto associado ao grupo, e é denotada por G Aplicações entre grupos As aplicações entre grupos possuem uma notação própria.

28 7 Definição Sejam G e H dois grupos. Uma aplicação ϕ : G H tal que é dita um homomorfismo. ϕ(xy) = ϕ(x)ϕ(y), para todo x, y G Observa-se que na equação da Definição 2.1.4, a operação no lado esquerdo é realizada em G, enquanto a operação no lado direito é realizada em H. Intuitivamente falando, um homomorfismo respeita as estruturas de grupo entre o domínio e o contradomínio. Definição Uma aplicação ϕ : G H é dita um isomorfismo, e G e H são ditos isomorfos, se 1. ϕ é um homomorfismo; 2. ϕ é uma bijeção. Se G e H são isomorfos, escreve-se G = H. Um isomorfismo entre dois grupos é uma bijeção que preserva as operações de grupo. Intuitivamente falando, G e H são o mesmo grupo, exceto que a representação dos elementos e da operação de cada grupo pode ser diferente. É possível demonstrar que dois grupos não são isomorfos se o seguinte critério não for satisfeito (11): Teorema Um mapeamento ϕ : G H é um isomorfismo se 1. G = H 2. G é abeliano se e somente se H é abeliano 3. para todo x G, x = ϕ(x) Subgrupos Alguns grupos possuem subconjuntos que, por si só, satisfazem os axiomas de grupo. Tais subconjuntos são ditos subgrupos do grupo original. Definição Seja G um grupo. Um subconjunto H de G é um subgrupo de G se H possuir pelo menos um elemento, e se dados dois elementos x, y H,

29 8 1. xy H; 2. x 1 H. Se H é um subgrupo de G, emprega-se a notação H G, ou H < G caso H G Grupos e subgrupos cíclicos Uma classe muito importante de grupos são os chamados grupos cíclicos. Definição Um grupo G é cíclico se G pode ser gerado pelas potências de um único elemento, ou seja, existe x G tal que G = {x n n Z}. A notação G = x é empregada para indicar que G é gerado por x. Em geral, um grupo cíclico possui mais de um gerador. Por exemplo, se x é um gerador de G, então x 1 também é (11). Usando propriedades de expoentes e a comutatividade dos inteiros, é possível mostrar que grupos cíclicos devem ser abelianos. O seguinte teorema fornece algumas propriedades importantes de grupos cíclicos. Teorema Seja G um grupo cíclico finito gerado por x. São válidas as seguintes propriedades: 1. G = x ; 2. se G = n, então x n = 1 e 1, x, x 2,..., x n 1 são elementos distintos de G. Em grupos cíclicos finitos, é possível utilizar a relação x n = 1, onde n = G, para reduzir expoentes k n para a faixa 0 x < n por divisão Euclidiana, onde o divisor é a ordem do grupo n. Este procedimento sugere que é possível utilizar as leis de expoentes e a aritmética do grupo aditivo Z/nZ para realizar aritmética em G. Isto não é coincidência; o teorema a seguir estabelece isomorfismos entre grupos cíclicos, dos quais Z/nZ sob adição é um exemplo. Teorema Dois grupos cíclicos quaisquer de mesma ordem são isomorfos. Especificamente, se n Z +, e x, y são dois grupos cíclicos de ordem n, então o mapeamento ϕ : x y x k y k é bem definido e é um isomorfismo.

30 9 O seguinte teorema estabelece propriedades adicionais de grupos cíclicos e seus geradores. Teorema Seja G um grupo cíclico finito, x G e a 0 um inteiro. 1. Se x = n, então x a = n/ mdc(n, a); 2. Em particular, se a divide n, então x a = n/a; 3. Se G = x, então G = x a se e somente se mdc(n, a) = 1, o que também implica que o número de geradores de G é φ(n), onde φ(n) é a função de Euler da Definição É possível desvendar a estrutura completa dos subgrupos de um grupo cíclico através do seguinte teorema. Teorema Seja G = x um grupo cíclico. 1. Todo subgrupo de G é cíclico. Mais especificamente, se K H, então K = {1} ou K = x d, onde d é o menor inteiro positivo tal que x d K. 2. Se G = n, os divisores d de n estão em correspondência bijetiva com os subgrupos de G: para cada d n existe um único subgrupo de G de ordem d, gerado por x n/d. 2.2 Introdução aos corpos Definição Um corpo F é um conjunto e duas operações binárias associadas, + : F F e : F F (ditas adição e multiplicação), que satisfazem os seguintes axiomas, onde a e b denotam dois elementos quaisquer do grupo em questão: 1. Comutatividade: a + b = b + a e ab = ba; 2. Associatividade: (a + b) + c = a + (b + c) e (ab)c = a(bc); 3. Distributividade: a(b + c) = ab + ac e (a + b)c = ac + bc; 4. Existência de identidades, onde 0 denota a identidade aditiva e 1 a identidade multiplicativa: a + 0 = 0 + a = a e a1 = 1a = a; 5. Existência de inversos, onde a indica o inverso sob adição e a 1 o inverso sob multiplicação: a + ( a) = ( a) + a = 0 e aa 1 = a 1 a = 1 se a 0.

31 10 Alguns sistemas numéricos tradicionais são corpos: o conjunto dos números racionais Q, dos números reais R e dos números complexos C. Já o conjunto dos números inteiros Z não forma um corpo, por não atender ao item 5 da definição. Definição Seja um corpo F com identidade multiplicativa 1 e identidade aditiva 0. Se existe n tal que n 1 = 0, e este é o menor valor que satisfaz esta propriedade, então o corpo é dito de característica n. Caso não exista n que satisfaça a propriedade, a característica do corpo é 0. Corpos de característica n 0 são ditos corpos finitos, e são os corpos mais interessantes do ponto de vista computacional. Algumas propriedades dos corpos finitos, retiradas de (2), são dadas a seguir. Teorema (Resultados básicos sobre corpos finitos). 1. A característica de um corpo finito F, ch(f), é um número primo; 2. Todos os corpos finitos possuem p k elementos, onde k é um inteiro positivo e p é a característica do corpo; 3. Para um dado primo p e inteiro positivo k, existe exatamente um corpo com p k elementos (a menos de isomorfismo 1 ), que será denotado por F p k; 4. O grupo multiplicativo F de elementos não-nulos de F p k p k é cíclico. Pelo Teorema 2.1.6, o grupo F apresenta φ(p k 1) geradores, que no contexto deste p k grupo, também recebem o nome de raízes primitivas. Raízes primitivas podem ser obtidas através do seguinte critério (2): Teorema (Teste para raiz primitiva em F p k ). Um elemento g de F p k raiz primitiva se e somente se g pk 1 q 1 é uma para todo primo q p k Implementação da aritmética de corpos finitos A maneira clássica de realizar aritmética de corpos finitos é através de aritmética modular de inteiros e polinômios. 1 Dois corpos são ditos isomorfos quando há uma bijeção entre eles, de modo que ambos possuem a mesma estrutura algébrica.

32 11 Inicialmente observa-se que um corpo de característica p e que possui p elementos é isomorfo ao corpo dos inteiros módulo p, Z/pZ (2). Desse modo, a aritmética de F p pode ser realizada através da aritmética módulo p. Já corpos de característica p e que possuem p k elementos correspondem a extensões de F p. Nesse caso, em uma transposição direta da teoria (11), os elementos de F p k são polinômios com coeficientes provindos de F p, e a aritmética desses polinômios é realizada módulo um polinômio irredutível qualquer de grau k (2, 3). Polinômios irredutíveis podem ser obtidos a partir do critério a seguir. Teorema (Critério de irredutibilidade de polinômios). Um polinômio f(x) em F p [x] de grau k é irredutível se e somente se mdc(f(x), x pj x) = 1, para j = 1, 2,..., k/2. Observa-se que a escolha do polinômio irredutível de grau k no parágrafo acima é imaterial, visto que todos os corpos de p k elementos são isomórficos entre si; a escolha do polinômio afeta apenas a representação dos elementos. Em princípio, a aritmética modular, tanto de inteiros como de polinômios, pode ser realizada através das operações inteiras e polinomiais comuns, seguidas de uma divisão pelo módulo, em que o resto da divisão caracteriza o resultado da operação modular (3). Divisões são realizadas na forma de multiplicação pelo inverso modular, que pode ser computado pelo algoritmo estendido de Euclides (Algoritmo 2.3.2). Vale observar que existem diversos algoritmos mais eficientes para estas tarefas, particularmente quando o tamanho dos operandos é suficientemente grande (2). 2.3 Teoria dos números Divisibilidade O ponto de partida da teoria dos números é o chamado algoritmo de divisão, ou divisão Euclidiana. Teorema Se a e b são inteiros e b > 0, então existem, e são únicos, inteiros q e r tais que a = qb + r e 0 r < b. Definição Se a e b são inteiros quaisquer, e a = qb para algum inteiro q, então diz-se que b divide a, ou reciprocamente, que a é múltiplo de b. Emprega-se a notação b a para indicar que b divide a, e b a para indicar que b não divide a.

33 12 Como consequência da definição, observa-se que qualquer inteiro divide 0 (uma vez que 0 = 0b para qualquer valor de b), que 1 divide qualquer inteiro, e que todo inteiro divide a si mesmo. Alguns resultados sobre divisibilidade são dados a seguir. Teorema se a b e b c, então a c; 2. se a b e c d, então ac bd; 3. se m 0, então a b se e somente se ma mb; 4. se d a e a 0, então d a ; 5. se c divide a 1,..., a k, então c divide a 1 u a k u k para quaisquer inteiros u 1,..., u k. 6. a b e b a se e somente se a = ±b. Definição Se d a e d b, diz-se que d é um divisor comum de a e b. Dentre os divisores comuns de dois (ou mais) inteiros, há um de maior valor; este é dito o máximo divisor comum (MDC). O cálculo do MDC de dois inteiros pode ser feito, de maneira ingênua, pela listagem dos divisores dos inteiros em questão, seguido da busca pelo maior elemento em comum entre as duas listas. Infelizmente, este algoritmo é extremamente ineficiente, pois exige a fatoração de seus argumentos. Um algoritmo mais eficiente é conhecido desde a Grécia antiga, o chamado algoritmo de Euclides, considerado o primeiro algoritmo da história, e possivelmente o mais importante algoritmo da teoria dos números. Seu princípio de funcionamento é baseado no lema a seguir. Lema Se a = qb + r, então mdc(a, b) = mdc(b, r). De posse desse lema, a obtenção do algoritmo é trivial. Algoritmo (Algoritmo de Euclides). Dados dois inteiros não-negativos a e b, o algoritmo calcula o máximo divisor comum dos dois. 1. [Laço de Euclides] while (b 0) {

34 13 r = a mod b; a = b; b = r; } return r; O tempo de execução deste algoritmo, se programado com cuidado, é O ( log 2 n ), onde n = max(a, b) (1). Existem também variantes do algoritmo, cuja implementação em computadores binários é mais eficiente (1). Definição Dois inteiros a e b são ditos coprimos (ou relativamente primos) se mdc(a, b) = 1. O teorema a seguir será utilizado na seção sobre aritmética modular. Teorema Sejam a, b, c inteiros, onde a, b não são simultaneamente nulos, e seja d = mdc(a, b). Então a equação ax + by = c possui solução inteira para x, y se e somente se d c, e nesse caso existem infinitas soluções, dadas pelos pares x = x 0 + bn d, y = y 0 an d, onde x 0, y 0 é uma solução particular qualquer e n Z. Soluções particulares desta equação podem ser encontradas pelo chamado algoritmo estendido de Euclides (1, 2). Algoritmo (Algoritmo estendido de Euclides). Dados inteiros a e b tais que a b 0 e a > 0, o algoritmo retorna a tripla de inteiros (x, y, c) tais que ax + by = c = mdc(a, b). 1. [Inicialização] (x,y,c,u,v,w) = (1,0,a,0,1,b); 2. [Laço de Euclides] while (w > 0) { q = c/w ;

35 14 (x, y, c, u, v, w) = (u, v, w, x qu, y qv, c qw); } return (x, y, c); Assintoticamente, o tempo de execução deste algoritmo é o mesmo do algoritmo de Euclides para MDC Números primos A definição de número primo e o importante resultado acerca dos mesmos, denominado Teorema Fundamental da Aritmética, já foi abordado no Capítulo 1. Esta seção preocupase apenas com a distribuição dos primos entre os inteiros, e com algoritmos rudimentares para determinação de caráter primo e composto. Teorema Existem infinitos números primos. Definição A função π(x) denota o número de primos p x. Teorema Para x, π(x) x log x O seguinte critério permite determinar o caráter primo de inteiros pequenos. Lema Um inteiro n > 1 é composto se e somente se n é divisível por algum primo p n. Em determinadas situações, é preciso compilar uma lista de primos entre 1 e n, para algum valor de n. Embora seja possível aplicar o lema acima de maneira independente a cada inteiro de 1 a n, existe um algoritmo para compilação desta lista que é mais eficiente, o Crivo de Eratóstenes. Algoritmo (Crivo de Eratóstenes). Dado um inteiro n > 1, este algoritmo retorna um vetor binário p[2..n], tal que se k é composto, p[k] = 0, e se k é primo, p[k] = [Inicialização] // Pelo Lema 2.3.7, os elementos de 1 a n não // possuem fatores primos maiores que n l = n ; p[2..n] = 1; i = 2;

36 15 2. [Laço principal] while (i l) { // Múltiplos de i são compostos por definição for (j = 2i; j < n; j = j + i) p[j] = 0; // Procura próximo primo no vetor for (i + +; p[i] = 1; i + +) ; } return p; Pode-se mostrar (2) que o tempo de execução desse algoritmo é O(n log log n); visto de outra maneira, o custo amortizado do algoritmo para cada inteiro na faixa de 1 a n é O(log log n). Ainda assim, esse custo é muito alto, exceto para pequenos valores de n (até 10 ou 11 dígitos) Congruências e aritmética modular Definição Seja n um inteiro positivo, e a, b dois inteiros quaisquer. Diz-se que a é congruente a b módulo n, e escreve-se a b (mod n), se a e b apresentam o mesmo resto após divisão por n. Teorema Para um dado n 1, temos que a b (mod n) se e somente se n (a b). Lema Para um dado n 1, temos que 1. a a (mod n) para todos os inteiros a; 2. se a b (mod n), então b a (mod n); 3. se a b (mod n) e b c (mod n), então a c (mod n). Este lema estabelece que a congruência é uma relação de equivalência, por satisfazer os axiomas de reflexividade, simetria e transitividade. Assim, Z é particionado em classes de equivalência disjuntas, representadas pelas classes de congruência a = {b Z a b (mod n)}.

37 16 Cada classe corresponde aos possíveis restos r = 0, 1,..., n 1 da divisão de um inteiro por n, de modo que há n classes de congruência, mais especificamente 0 = {..., 2n, n, 0, n, 2n,...}. 1 = {..., 2n + 1, n + 1, 1, n + 1, 2n + 1,...},... n 1 = {..., n 1, 1, n 1, 2n 1, 3n 1,...}. O conjunto de classes de equivalência módulo n é denotado por Z/nZ. definir uma aritmética desse conjunto da seguinte forma: É possível a + b = a + b, a b = a b, ab = ab. O lema a seguir afirma que essas operações são bem-definidas. Lema Para um dado n 1, se a a (mod n) e b b (mod n), então a + b a + b (mod n), a b a b (mod n) e a b ab (mod n). O conjunto Z/nZ e as operações aritméticas assim definidas formam um anel (quando n não é primo ou potência de primo) ou um corpo. Deve-se prestar atenção à definição de exponenciação. Aplicando a definição de multiplicação de classes de congruência, obtém-se a k = a k. Deve-se observar que, em geral, a k a k ; mas nem tudo está perdido com relação ao cálculo eficiente de exponenciações. Será visto mais à frente que, de fato, é possível efetuar reduções modulares neste expoente, desde que se escolha o módulo correto pelo uso do Teorema Embora, à primeira vista, operações de exponenciação a k (sejam exponenciações modulares ou não) pareçam exigir k 1 multiplicações, existem algoritmos que exigem apenas O(log k) multiplicações. A literatura sobre estes algoritmos é rica (bons pontos de partida são (1, 5)), mas neste capítulo mencionamos apenas um dos algoritmos mais simples, conhecido como exponenciação esquerda-direita. Decidiu-se abordar este algoritmo, ao invés de sua versão simétrica direita-esquerda, por haver uma certa vantagem na situação em que a é um inteiro pequeno como 2 ou 3, em que é possível substituir a operação de multiplicação por a por adições.

38 17 Algoritmo (Exponenciação esquerda-direita). Esse algoritmo calcula a k, k > 0, onde k é fornecido ao algoritmo na forma de um vetor de 0 a D 1 contendo sua expansão binária, com k[d 1] = 1 o bit mais significativo. 1. [Inicialização] z = a; 2. [Laço sobre os bits de k, a partir do segundo mais significativo] for (D 2 j 0) { z = z 2 ; if (k[j] == 1) z = za; } return z; Para o cálculo de exponenciações modulares, o algoritmo será mais eficiente se as operações de multiplicação forem seguidas por reduções modulares, mantendo os valores das variáveis estritamente menores que o módulo. A divisão de classes de congruência não pode ser definida como a/b = a/b, visto que a/b não necessariamente assume valor inteiro. Ao invés disso, serão consideradas as soluções da equação bx a (mod n). Pelo Teorema 2.3.8, isso equivale a dizer que n (bx a), ou seja, bx a = ny. Equações deste tipo já foram estudadas pelo Teorema 2.3.4, e suas soluções podem ser obtidas de maneira eficiente pelo Algoritmo Um corolário do Teorema 2.3.4, empregando os conceitos de congruência, é útil nesta situação: Corolário Se mdc(b, n) = 1, então as soluções da congruência bx a (mod n) para x formam uma única classe de congruência módulo n. Esse corolário indica as situações em que faz sentido definir o quociente de classes de congruência; especificamente, quando o divisor b é coprimo ao módulo n. Quando esta condição não é verdadeira, e d a, há mais de uma solução para a congruência, enquanto se d a, a congruência não possui solução. Em ambos os casos, não é possivel definir um quociente a/b. Uma definição de amplo uso, e relacionada aos quocientes de classe de congruência, é a inversão de classes de congruência. Definição O inverso a 1 de uma classe de congruência a módulo n é a solução x da equação ax = 1, ou na notação da aritmética modular, ax 1 (mod n).

39 18 Após este breve interlúdio ao tópico de divisão de classes de congruência, retornamos ao estudo da aritmética destas classes. O Lema pode ser interpretado da seguinte maneira: a aritmética de classes de congruência depende apenas das classes de congruência em questão, e não do representante particular escolhido para aquela classe. Surge então a questão de como escolher os representantes mais adequados para maximizar a eficiência da implementação da aritmética modular. As duas possibilidades mais comuns são o conjunto de resíduos não-negativos mínimos, dado por {0, 1,..., n 1}, e o conjunto de resíduos de menor valor absoluto, dado por {0, ±1, ±2,..., ±(n 1)/2} para n ímpar e {0, ±1, ±2,..., ±(n/2 1), n/2} para n par (o último elemento pode ser substituído por n/2 se desejado). As definições e resultados obtidos até agora sugerem a implementação da aritmética modular através da aritmética de inteiros e aplicação do algoritmo de divisão. Existe um sistema alternativo de aritmética modular para o caso em que n é composto (1, 5). Para introduzi-lo, é necessário o teorema a seguir. Teorema Seja n um inteiro com fatoração em potências de primos n = p e 1 1 p e k k, onde p 1,..., p k são primos distintos. Dados inteiros a e b, temos que a b (mod n) se e somente se a b (mod p e i i ) para i = 1,..., k. Este resultado, em conjunto com o Lema , sugere a realização da aritmética módulo os diferentes fatores primos de n; esse procedimento pode ser vantajoso em algumas situações. É necessário, no entanto, um método para obtenção da classe de congruência módulo n dadas as classes de congruência módulo cada fator primo de n. O seguinte teorema garante a existência e unicidade da solução para esse problema. Teorema (Teorema Chinês do Resto). Sejam n 1,..., n k inteiros positivos tais que mdc(n i, n j ) = 1 para i j, e sejam a 1,..., a k inteiros quaisquer. Então a solução das congruências simultâneas x a 1 (mod n 1 ),..., x a k (mod n k ) forma uma única classe de congruência módulo n, onde n = n 1 n k. Ademais, esta solução é dada por k x a i c i d i (mod n) i=1