Você está na página 1de 31

EMALCA ESCOLA DE MATEMATICA DA SUDAMERICA CENTRAL 19 a 30 de julho de 2010 ` DOURADOS - MS www.ufgd.edu.

br/emalca

MINICURSO

Introdu ao a Teoria dos c ` Numeros e Criptografia


Jos Gilvan de Oliveira - UFES e
1

Universidade Federal do Esp rito Santo, Brasil. e-mail: gilvan@cce.ufes.br

Sumrio a
1 Introduo ca 2 N meros Inteiros u 1 Propriedades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Congruncia Mdulo n . . . . . . . . . . . . . . . . . . . . . . . . e o 3 Grupos e a Funo de Euler . . . . . . . . . . . . . . . . . . . . ca 5 7 7 10 14

3 Corpos Finitos 17 1 Denies e Exemplos . . . . . . . . . . . . . . . . . . . . . . . . 17 co 2 Existncia de Corpos Finitos . . . . . . . . . . . . . . . . . . . . 19 e 4 Curvas Algbricas e 23 1 Espaos Projetivos . . . . . . . . . . . . . . . . . . . . . . . . . . 23 c 2 Curvas Algbricas Planas Projetivas . . . . . . . . . . . . . . . . 23 e 5 Curvas El pticas 25 1 Denio e Exemplos . . . . . . . . . . . . . . . . . . . . . . . . . 25 ca 2 Propriedades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 6 Criptograa 1 Criptograa RSA . . . 2 Criptograa de Curvas 3 Criptoanlise . . . . . a 4 Outras Aplicaes . . co 27 28 28 29 29

. . . . . . El pticas . . . . . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

Jose Gilvan de Oliveira

Cap tulo 1

Introduo ca
A crescente necessidade de segurana nas diversas comunicaes atuais, por c co exemplo, comunicaes bancrias para transferncia eletrnicas de valores, coco a e o municaes entre liais de uma empresa, assinaturas digitais, e at mesmo coco e municaes pessoais via a rede internet (senhas e partilhas de senhas), tem co enfatizado o papel de destaque da rea da matemtica chamada criptograa. a a A criptograa consiste dos conceitos e tcnicas usados para a transmisso e a segura de dados e de informaes sigilosas atravs de canais monitorados por co e terceiros. Esta rea obteve uma profunda evoluo a partir de 1976 com a a ca introduo, por W. Die e M. E. Hellman, da tcnica chamada criptograa da ca e chave pblica. u Nosso objetivo neste minicurso apresentar os dois principais sistemas de e criptograa de chave pblica usados atualmente. O sistema RSA, assim chau mado devido as iniciais dos nomes dos seus autores Rivest, Shamir e Adleman, est baseado na diculdade computacional de fatorao de nmeros inteiros com a ca u fatores primos grandes. O sistema ECC, assim chamado devido as iniciais em ingls de criptograa de curvas el e pticas, foi desenvolvido em 1985 independentemente por N. Koblitz e V. Miller, inspirado no uso de curvas el pticas para implementao de algoritmos de fatorao de nmeros inteiros, por H. W. Lensca ca u tra, e usa uma interessante propriedade das curvas el pticas que ser abordada a posteriormente. Os principais tpicos que sero abordados neste minicurso so: propriedao a a des dos nmeros inteiros, congruncia mdulo n, grupos e a funo de Euler, u e o ca corpos nitos, plano projetivo, curvas el pticas, os sistemas RSA e ECC de criptograa e criptoanlise. Isto ser feito em sintonia com alguns conceitos a a apresentados em disciplinas do curso de graduao em matemtica tais como: ca a grupos, anis, corpos, espaos vetoriais, etc. Assim, queremos destacar a ime c portncia desses assuntos com aplicaes diretas no nosso cotidiano. a co Dado a restrio de tempo o assunto apresentado de forma breve e em ca e alguns tpicos de forma supercial. Esperamos que o leitor sinta-se estimuo 5

Jose Gilvan de Oliveira

lado a procurar nas referncias apresentadas um maior aprofundamento sobre o e assunto.

Cap tulo 2

N meros Inteiros u
Neste cap tulo vamos considerar o conjunto Z dos nmeros inteiros como um u conjunto j conhecido do leitor com relao aos seus elementos, a ordem , as a ca suas operaes de multiplicao e adio +, e a existncia da funo injetiva co ca ca e ca s : N N, denida no conjunto dos nmeros inteiros no-negativos N, que u a associa a cada n N o seu sucessor s(n) = n + 1. O conjunto imagem da funo ca s o conjunto dos nmeros inteiros positivos N\{0}. e u Observao 1 Princ ca pio da Boa Ordem. Todo subconjunto no-vazio X a do conjunto N dos nmeros inteiros no-negativos tem um menor elemento, isto u a , existe m0 X tal que m0 x para todo x X. e Observao 2 Princ ca pio de Induo. Seja X um subconjunto de N tal que: ca 1. n0 X; 2. Se n n0 pertence a X ento n + 1 tambm pertence a X. a e Ento X contm todos os nmeros inteiros m n0 . a e u

Propriedades

A funo mdulo (ou valor absoluto) || : Z N denida por |m| = m se m ca o e e no-negativo (n 0) e |m| = m se m negativo (m < 0). a e Proposio 3 Diviso Euclidiana. Dados inteiros m, n Z, m = 0, exisca a tem q, r Z, 0 r < |m|, unicamente determinados, tais que n = qm + r. Prova. Vamos considerar inicialmente m positivo. O conjunto X = {n jm; j Z, jm n} est contido em N e no vazio pois n = n 0.m pertence a a e a X, se n 0, e n nm = n(1 m) pertence a X, se n 0. Pelo princ pio da boa ordem existe r o menor elemento de X e portanto n = qm + r para algum inteiro q. Alm disso, pela minimalidade do inteiro r, temos 0 r = nqm m e e claramente r e q so unicamente determinados. Finalmente, se m negativo a e 7

Jose Gilvan de Oliveira

ento o seu simtrico m positivo e pelo caso anterior existem q e r tais a e e que n = q(m) + r, com 0 r < m = |m| . Assim basta observar que n = (q)m + r. Nas condies da proposio anterior, se o inteiro r, chamado resto da diviso co ca a de n por m, zero ento dizemos que n mltiplo de m e que m divide n. e a e u Notao: m|n. Por exemplo os nmeros inteiros 1, 1, m, m so divisores ca u a do inteiro no-nulo m. No caso em que estes so todos os divisores de m = 0, no a a total de quatro divisores, dizemos que m primo. Equivalentemente, m primo e e se, para a, b inteiros, vale: m|ab m|a ou m|b. Como pode ser facilmente vericado, os nmeros 2, 3, 5 so os trs menores nmeros primos positivos. u a e u Um mtodo para se obter os nmeros primos o chamado Crivo de Eratstee u e o nes descrito a seguir. Dados os nmeros inteiros positivos em ordem crescente, u o menor nmero primo 2. Elimina-se todos os mltiplos de 2 maiores do que u e u 2. O prximo nmero no eliminado, no caso 3, primo. Elimina-se em seguida o u a e todos os mltiplos desse nmero maiores do que ele. Repetindo-se o processo u u sucessivamente, os nmeros no eliminados maiores que 1 so nmeros primos. u a a u Como exemplo, usando a tabela a seguir, podemos vericar a partir do crivo de Eratstenes que os nmeros primos positivos menores do que 80 so os seguintes: o u a 2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79.
Crivo de Eratstenes at 80. o e

1 11 21 / 31 41 51 / 61 71

2 12 / 22 / 32 / 42 / 52 / 62 / 72 /

3 13 23 33 / 43 53 63 / 73

4 / 14 / 24 / 34 / 44 / 54 / 64 / 74 /

5 15 / 25 / 35 / 45 / 55 / 65 / 75 /

6 / 16 / 26 / 36 / 46 / 56 / 66 / 76 /

7 17 27 / 37 47 57 / 67 77 /

8 / 18 / 28 / 38 / 48 / 58 / 68 / 78 /

9 / 19 29 39 / 49 / 59 69 / 79

10 / 20 / 30 / 40 / 50 / 60 / 70 / 80 /

Proposio 4 O conjunto dos nmeros inteiros primos innito. ca u e Prova. Se p1 , p2 , . . . , pn representam os n primeiros nmeros primos posiu tivos ento m = 1 + p1 .p2 . . . . .pn ou primo ou possui um fator primo positivo a e diferente de todos os n primeiros, j que nenhum deles divisor de m. a e O maior primo conhecido at hoje o nmero 243112609 1, obtido em e e u agosto de 2008. Ele tem 12978189 d gitos (http://primes.utm.edu). O crivo de Eratstenes no prtico para obteno de nmeros primos grandes. Para o a e a ca u termos uma idia dessa limitao, mencionamos o seguinte exemplo. O primo e ca 244497 1 obtido em 1979 tem 13.395 d gitos. Com o uso do crivo de Eratstenes o

Introdu ao a Teoria dos Numeros e Criptografia c `

para vericar que ele de fato primo, considerando-se os clculos efetuados em e a um computador com capacidade de operar um milho de multiplicaes por a co segundo, seriam necessrios 106684 anos para concluso da tarefa ([1], p. 160). a a Como provar que um dado nmero ou no primo? u e a Observao 5 Existncia de desertos de nmeros primos. Para cada inca e u teiro m > 1 existe uma sequncia de m nmeros inteiros consecutivos que no e u a so primos. De fato, representando por m! o fatorial de m, isto , o produto de a e todos os nmeros inteiros positivos menores ou igual a m, vemos que a seguinte u sequncia, com m elementos consecutivos, e 2 + (m + 1)!, 3 + (m + 1)!, . . . , m + 1 + (m + 1)!, no contm primos, pois j < j + (m + 1)! e j divide j + (m + 1)!, para cada a e inteiro j = 2, 3, . . . , m + 1.

Apesar da especial particularidade da distribuiao dos nmeros primos visto c u na abservao anterior, no conhecido (mas conjectura-se que sim) se existem ca a e innitos nmeros primos gmeos, que so os pares de nmeros primos da forma u e a u p e p + 2. Por exemplo, conforme observa-se usando o crivo de Eratstenes, o existem sete pares de primos gmeos menores do que 80, que so os seguintes: e a (3, 5), (11, 13), (17, 19), (29, 31), (41, 43), (59, 61), e (71, 73). A questo da determinao de todos os nmeros primos, isto , qual a a ca u e e funo que, para cada inteiro positivo n, associa o n-simo nmero primo, ca e u e considerado um dos grandes problemas da teoria dos nmeros. Esta questo u a est relacionada com a famosa Hiptese de Riemann, que considerada por ala o e guns matemticos de destaque, o maior problema no resolvido da matemtica. a a a A Hiptese de Riemann um dos seis problemas do milnio e a sua soluo ser o e e ca a recompensada com um prmio de um milho de dlares, pelo Clay Mathemae a o tics Institute (http://www.claymath.org/). O mais recente problema do milnio e resolvido foi a conjectura de Poincar, por Grigori Perelman em 2003. Com ree curso dos modernos computadores, a hiptese de Riemann foi vericada para os o primeiros dez trilhes de valores. In 1973, Pierre Deligne, ganhador da medao lha elds em 1978, provou que a hiptese de Riemann vlida para variedades o e a algbricas sobre corpos nitos (Conjectura de Weil). e Exerc cio 6 Sejam a, m e n inteiros positivos, com n mpar. Justique as igualdades abaixo e encontre condies nos inteiros a, m e n para que am 1 e co an + 1 sejam nmeros primos. u i) am 1 = (a 1)(am1 + am2 + + a + 1). ii) an + 1 = (a + 1)(an1 an2 + a + 1).

10

Jose Gilvan de Oliveira

Congruncia Mdulo n e o

As operaes de adio e multiplicao no conjunto dos nmeros inteiros so os co ca ca u a pilares da estrutura algbrica desse conjunto innito. Do ponto de vista come putacional, entretanto, trabalhamos com conjunto nitos. Nesta seo vamos ca introduzir uma estrutura aditiva e multiplicativa em especiais conjuntos nitos. Fixado um inteiro positivo n, os poss veis restos da diviso de nmeros ina u teiros por n so 0, 1, . . . , n 1. Dizemos que os nmeros inteiros a e b so a u a congruentes mdulo n se eles tm o mesmo resto da diviso por n, isto , se o e a e b a um mltiplo de n. Neste caso escrevemos a b mod n, ou simplismente e u a b se o inteiro n j est subentendido. a a Para cada inteiro a, o conjunto de todos os nmeros inteiros congruentes a u a mdulo n, representado por a, chamado a classe de equivalncia de a. A o e e congruncia mdulo n uma relao de equivalncia no sentido que a a, se e o e ca e a b ento b a, e se a b e b c ento a c, para todos nmeros inteiros a a u a, b, c. Isto permite decompor o conjunto dos nmeros inteiro como unio u a nita disjunta de todas as classes de equivalncias. O conjunto dessas classes e de equivalncia tem n elementos e representado por Zn , isto , o conjunto e e e a Zn dado por Zn = { . . . , n 1}. Se um dado Zn est xado de forma e 0, 1, que no h dvida sobre os seus elementos ento, por comodidade, tambm a a u a e representamos os elementos de Zn sem o emprego das barras superiores, isto , e Zn = {0, 1, . . . , n 1}. Exerc cio 7 No conjunto R dos nmeros reais considere a seguinte relao: u ca dados a, b R tem-se a b se, e somente se, a b um nmero inteiro. e u Verique que de fato uma relao de equivalncia e proponha um modelo e ca e geomtrico, identicando R com uma reta, para o conjunto das classes de equie valncias distintas dessa relao. Se o leitor conseguiu entender o caso anterior e ca ento considere um problema anlogo para o plano R2 . a a No conjunto das classes de equivalncias mdulo n introduzimos duas opee o raes da seguinta maneira. Dados a, Zn denimos a + = a + b e a = ab. co b b b Estas operaes de adio e multiplicao, respectivamente, esto bem denidas co ca ca a no sentido que no dependem dos representantes a e b. a Observao 8 As operaes de Zn acima possuem as seguintes propriedaca co des: i) Associativa: ( + + c = a + ( + c) e ( c = a ( c); a b) b a b) b ii) Existncia de elemento neutro: a + = a e a = a; e 0 1 iii) Existncia de elemento inverso: a + (a) = e 0; iv) Comutativa: a + = + a e a = a; b b b b v) Distributiva: ( + c = a c + ( c); a b) b para todos a, b, c Z.

Introdu ao a Teoria dos Numeros e Criptografia c `

11

Como consequncia das propriedades acima serem satisfeitas, o conjunto e Zn chamado anel comutativo com unidade. Com as suas operaes usuais o e co conjunto dos nmeros inteiros tambm um anel comutativo com unidade j que u e e a estas mesmas propriedades tambm so satisfeitas. Cada subconjunto no-vazio e a a I de um anel comutativo que fechado em relao ` adio de elementos de I e e ca a ca fechado em relao ` multiplicaao de elementos de I por elementos do anel e ca a c e chamado ideal. Por exemplo, para cada inteiro a o conjunto aZ = {aj : j Z} um ideal de Z. De fato, conforme veremos a seguir, cada ideal do anel dos e nmeros inteiros da forma aZ, para algum a Z. O conjunto Zn tambm u e e e chamado o anel quociente do anel Z pelo ideal nZ gerado por n. Proposio 9 Se I um ideal de Z ento existe a Z tal que I = aZ. ca e a Prova. O conjunto I no-vazio por hiptese. Se I = {0} ento a = 0. Se e a o a I = {0} seja ento m I\{0}. Como (1)m produto de um elemento do anel a e por um elemento do ideal, segue da denio de ideal que m I. Portanto no ca a vazio o conjunto interseo X do ideal I com o conjunto dos nmeros inteiros e ca u positivos e, pela Observao 1, ele tem um menor elemento, digamos a X. ca Segue da denio de ideal que aZ um subconjunto de I. Para mostrar a outra ca e incluso consideremos um elemento qualquer n do ideal I. Pela Proposio 3 a ca existem inteiros q e r tais que n = qa + r, com 0 r < a. Consequentemente r = n qa pertence ao ideal I pois n e qa pertencem I. Como a o menor e elemento de X e r < a devemos ter r = 0, isto , n = qa. Concluimos assim que e I = aZ. Exemplo 10 Tabelas das operaes em Z2 = {0, 1} : co + 0 0 1 0 1 1 1 0 0 1 0 1

0 0 1 0

Exemplo 11 Tabelas das operaes em Z4 = {1, 0, 1, 2} : co + 1 0 1 2 1 2 1 0 1 0 1 0 1 2 1 0 1 2 1 2 1 2 1 0 1 0 1 2 1 1 0 1 2 0 0 0 0 0 1 1 0 1 2 2 2 0 2 0

Vemos na tabela acima uma profunda diferena entre o anel dos nmeros c u inteiros e o anel Z4 . Com efeito, em Z4 existe elemento no-nulo cujo quadrado a

12

Jose Gilvan de Oliveira

nulo. Mais geralmente, se n > 3 no primo ento o anel Zn possui divisores e a e a de zero, ou seja, existem elementos no nulos em Zn cujo produto nulo. a e Em contraste com o caso anterior, se p um primo ento o anel Zp no e a a possui divisores de zero. Mais ainda, conforme veremos a seguir, cada elemento no-nulo tem inverso com relao ` operao de multiplicao. Um anel comutaa ca a ca ca tivo com unidade onde todo elemento no-nulo possui inverso chamado corpo. a e Os conjuntos dos nmeros racionais Q, dos numeros reais R, e dos nmeros u u complexos C so exemplos de corpos com uma innidade de elementos. a Proposio 12 O anel Zp um corpo se p um nmero primo. ca e e u Prova. Resta apenas mostrar que se a Zp no nulo ento existe b Zp a e a tal que ab = 1. Seja um nmero inteiro representante da classe de equivalncia u e de a. O conjunto J = Z + pZ, cujos elementos so da forma m + pn, onde a m e n so inteiros, um ideal de Z e contm o ideal pZ propriamente, pois a e e no um mltiplo de p. Pela Proposio 9 existem inteiros e tais que a e u ca k = + p e J = kZ. Como p J e k pZ segue da que 1 pertence ao / ideal J e consequentemente J = Z. Em particular a classe de equivalncia b de e satisfaz a igualdade procurada. Os nmeros primos esto intimamente ligado aos nmeros inteiros como um u a u todo. Em um certo sentido, que ser esclarecido no teorema seguinte, os nmeros a u primos geram todos os nmeros inteiros. Este fato por si s j seria suciente u o a para justicar uma ateno especial aos nmeros primos. ca u Teorema 13 Teorema Fundamental da Aritmtica. Todo nmero inteiro e u diferente de 0 e de 1 igual ao produto de nmeros primos. Alm disso o e u e produto unico a menos de sinal e de ordem dos fatores. e Prova. O resultado claramente vlido para nmeros primos. A prova ser e a u a feita por induo. Consideremos ento n > 2 um nmero inteiro qualquer tal que ca a u cada inteiro 2 < m < n produto de primos. Como podemos nos restringir ao e caso que n no primo, isto assegura a existncia de algum ideal J de Z tal que a e e nZ J Z. Nestas condies, segue da Proposio 9 que existe algum inteiro co ca 1 < a < n tal que J = aZ. Da como n J, existe algum inteiro 1 < b < n , tal que n = ab. Pela hiptese de induo a e b so produto de nmeros primos. o ca a u Consequentemente n = ab tambm o produto de nmeros primos. Concluimos e e u por induao que todos os nmeros maiores do que 1 produto de primos. A c u e prova da unicidades da fatorao deixada como exerc ca e cio. Segue do teorema acima que dados inteiros m > 1 e n > 1 existem nmeros u primos distintos p1 , p2 , . . . , pr tais que m = pe1 pe2 per e n = pf1 pf2 pfr , r r 1 2 1 2 onde e1 , e2 , . . . , er e f1 , f2 , . . . , fr so inteiros no-negativos. E claro ento a a a que cada inteiro da forma pj1 pj2 pjr divisor simultaneamente de m e e r 1 2 n se cada inteiro ji satisfaz as desigualdades 0 ji min{eji , fji }, onde min{eji , fji } o menor elemento do conjunto {eji , fji }. O mximo divisor e a

Introdu ao a Teoria dos Numeros e Criptografia c `

13

comum de m e n, representado por mdc{m, n}, aquele entre esses divisores e onde cada ji nestas condies tomado o maior poss co e vel, isto , e mdc{m, n} = pj1 pj2 pjr , r 2 1 onde ji = min{eji , fji } para cada i. Se a e b so inteiros diferente de zero ento a a denimos mdc{0, a} = |a| e mdc{a, b} = mdc{|a|, |b|}. Quando mdc{a, b} = 1 os inteiros a e b so primos entre si. a Proposio 14 Dados inteiros a e b, no simultaneamente nulos, existem ca a inteiros r e s tais que mdc{a, b} = ra + sb. Prova. Os ideais aZ e bZ, gerados por a e b respectivamente, esto contidos a no ideal aZ + bZ e este, por sua vez, est contido no ideal gerado por mdc{a, b}. a O resultado segue ento da observao que o ideal aZ + bZ principal e que de a ca e fato vale a igualdade aZ + bZ = mdc{a, b}Z. Os inteiros r e s acima podem ser obtidos explicitamente a partir do algoritmo da diviso. Vamos destacar este fato no exemplo seguinte. a Exemplo 15 Neste exemplo determinaremos inicialmente o mximo divisor a comum de 588 e 420, e em seguida determinaremos inteiros r e s cuja existncia e foi assegurada na proposio anterior. Usando secessivamente a diviso euclica a diana temos: 588 = 1 420 + 168, 420 = 2 168 + 84 e 168 = 2 84. Ento, a como o resto nesta ultima diviso zero, temos mdc{588, 420} = 84. Alm a e e disso, reescrevendo cada diviso convenientemente obtemos 84 = 420 2 168, a ou ainda 84 = 420 2(588 1 420) = (2) 588 + 3 420. Consequentemente podemos tomar r = 2 e s = 3. Outros inteiros claramente podem so obtidos, a por exemplo os inteiros rj = 2 + 420j/84 e sj = 3 588j/84, com j Z. Estes so todos os poss a veis inteiros r e s. Consideremos o produto cartesiano Zm1 Zm2 Zmr com as operaes de adio e multiplicao componente a componente dos correspondentes co ca ca anis. Nestas condies temos um outro anel chamado produto direto dos anis e co e Zm1 , . . . , Zmr . A funo : Z Zm1 Zm2 Zmr , denida de maneira ca que cada componente da imagem de cada inteiro n a classe de equivalncia e e de n no correspondente anel, um homomorsmo de anis, isto signica que a e e funao compat com as operaes dos anis. Mais precisamente, dados c e vel co e inteiros quaisquer a e b tem-se (a + b) = (a) + (b) e (a b) = (a) (b). O conjunto de todos os inteiros cuja imagem o elemento neutro da adio um e ca e ideal de Z, chamado ncleo de . u Teorema 16 Teorema Chins dos Restos. Se mdc{mi , mj } = 1, i = j, e ento a funao sobrejetiva. a c e a Prova. E fcil vericar que o ideal de Z gerado por m1 m2 . . . mr est contido a no ncleo do homomorsmo . Estes conjuntos so na verdade iguais j que por u a a

14

Jose Gilvan de Oliveira

hiptese os inteiros mi e mj , i = j, so primos entre si. Como a funo um o a ca e homomorsmo as imagens das m1 m2 . . . mr diferentes classes de equivalncia do e anel quociente Z/(m1 m2 . . . mr )Z so todas distintas. Por outro lado o nmero a u de elementos do anel Zm1 Zm2 Zmr exatamente m1 m2 . . . mr . Portanto e a funo sobrejetiva. ca e Exemplo 17 Determinar o inteiro n entre 0 e 64 que tem resto 3 e 6 quando dividido por 5 e 13, respectivamente. Podemos listar, como na tabela abaixo, todos os inteiros entre 0 e 64. O nmero procurado encontra-se na quarta linha e stima coluna, isto , n = 58. u e e Ser que o leitor consegue justicar a construo da tabela e a armao feita a ca ca sobre o inteiro n? Z5 Z13 0 1 2 3 4 0 0 26 52 13 39 1 40 1 27 53 14 2 15 41 2 28 54 3 55 16 42 3 29 4 30 56 17 43 4 5 5 31 57 18 44 6 45 6 32 58 19 7 20 46 7 33 59 8 60 21 47 8 34 9 35 61 22 48 9 10 10 36 62 23 49 11 50 11 37 63 24 12 25 51 12 38 64

Uma interessante aplicao prtica do teorema chins dos restos a partilha ca a e e de senhas. Exerc cio 18 Prove que se I1 I2 I3 . . . uma sequncia ascendente e e de ideais de Z ento ela nita, isto , existe algum inteiro j tal que Ij = Ij+i , a e e para todo nmero inteiro i positivo. u

Grupos e a Funo de Euler ca

Um conjunto com uma operao satisfazendo as trs primeiras condies da ca e co Observao 8 chamado grupo. Se a quarta condio tambm satisfeita ento ca e ca e e a o grupo dito abeliano (ou comutativo). A ordem de um grupo a quantidade e e de elementos do grupo. Por exemplo, considerando a operao de adio, o ca ca anel Zn um grupo abeliano de ordem n. Segue da Proposio 12 que se p e ca um nmero primo ento Zp \{0} tem p 1 elementos e, com a operao de e u a ca multiplicao, um grupo abeliano. Este um caso particular do resultado ca e e abaixo. Proposio 19 O conjunto Un = { Zn : mdc{a, n} = 1} um grupo ca a e multiplicativo abeliano.

Introdu ao a Teoria dos Numeros e Criptografia c `

15

Prova. Pelo Teorema Fundamental da Aritmtica se a e so elementos e b a de Un ento a pertence a Un . Da como Zn um anel, suciente mostrar a b , e e que cada elemento de Un tem inverso. Seja ento a Un . Segue da denio a ca de Un e da Proposio 14 que existem inteiros r e s tais que ra + sn = 1. ca Consequentemente, considerando as classes de equivalncias, temos ra = ou e 1, seja, r o inverso de a. e A funo de Euler a funao : Z+ Z+ que associa a cada inteiro ca e c positivo n o nmero (n) de inteiros j entre 1 e n tais que j e n so primos u a entre si, isto , (n) = |{j : 1 j n, mdc{j, n} = 1}|. Por exemplo temos e (1) = 1, (2) = 1, (3) = 2 e (4) = 2. Segue da proposio anterior que (n) ca a ordem do grupo multiplicativo Un , n 2. Se a fatorao de n > 1 dada, e ca e ento (n) pode ser calculado explicitamente conforme a prxima proposio. a o ca Proposio 20 Se e1 , e2 , . . . , er so inteiros positivos e p1 , p2 , . . . , pr ca a so primos distintos ento a a (pe1 pe2 per ) = pe1 pe2 per (1 r r 1 2 1 2 1 1 1 )(1 ) . . . (1 ). p1 p2 pr

Prova. Sejam a e b inteiros positivos primos entre si. Para cada inteiro n, 1 n ab, tem-se mdc{n, ab} = 1 se, e somente se, mdc{r, a} = 1 e mdc{s, b} = 1, onde 0 < r < a, 0 < s < b e os inteiros n r, n s so mltiplos a u de a e b, respectivamente. Portanto segue da denio da funo de Euler que ca ca (a b) = (a) (b). Podemos concluir por induo que (pe1 pe2 per ) = ca r 1 2 e (pe1 ) (pe2 ) (per ). Para calcular (pj j ) basta observar que os inteiros r 1 2 e entre 1 e pj j que tm algum fator primo pj so exatamente os inteiros mpj , e a onde 1 m pj j
e 1

. Da (pj j ) = pj j pj j

e 1

J vimos anteriormente que um grupo um conjunto com uma operao a e ca satisfazendo as trs primeiras condies da Observao 8. Se um subconjunto e co ca H de um grupo G tambm um grupo com a operao induzida do grupo G e e ca ento H chamado um subgrupo de G. Isto signica que H G no vazio e a e a e que, se a operao do grupo G, ento a b pertence a H para cada par a, b e ca a de elementos de H, e tambm que H um grupo com a operao restrita ao e e ca conjunto H. Cada ideal de um anel um subgrupo do anel considerado como um e grupo aditivo. Outro exemplo de subgrupo de um grupo G obtido tomando-se e um elemento qualquer a do grupo e considerando-se o chamado subgrupo gerado por a dado por < a >= {aj : j Z}. A ordem do elemento a do grupo G o inteiro ord a =|< a >| igual a ordem e do subgrupo gerado por ele. Se existe algum elemento a G tal que < a >= G dizemos que G um grupo c e clico. No caso de grupo nito, isto signica que existe algum elemento cuja ordem a ordem do grupo. Veremos posteriormente e que o grupo multiplicativo Zp , p primo, um grupo c e clico. Mais geralmente, veremos que o grupo multiplicativo K\{0} de um corpo nito K um grupo e c clico (Proposio 23). ca

16

Jose Gilvan de Oliveira

Dado um subgrupo H de um grupo abeliano G, denimos uma relao de ca equivalncia em G da seguinte maneira: se a, b G ento a b se, e somente e a se, a b1 H. Para cada elemento a do grupo G, a classe de equivalncia de e a determinada por H, representada por a, o conjunto de todos os elementos e b G tais que a e b so equivalentes. a Como o grupo G considerado acima abeliano, o conjunto G/H de todas as e classes de equivalncias determinadas por H tambm um grupo abeliano com e e e e a operao a = (a b). Ele chamado o grupo quociente do grupo abeliano ca b G pelo subgrupo H. Observamos que no caso em que o grupo G no abeliano a e o conjunto das classes de equivalncia pode no ser um grupo. e a O nosso principal interesse aqui considerar grupos abelianos com uma e quantidade nita de elementos. Dados um grupo abeliano G nito e um subgrupo H de G, cada classe de equivalncia determinada por H tem a mesma e quantidade |H| de elementos. De fato, dado a G a funo f : H a, denida ca por f (h) = h1 a uma bijeo. Isto prova, no caso de grupos abelianos, o e ca seguinte teorema. Teorema 21 Teorema de Lagrange. Se G um grupo nito e H um e e subgrupo de G ento a ordem de H divide a ordem de G. a Prova. No caso de grupo abeliano a demostrao foi feita no comentrio que ca a antecede o teorema. Se o grupo no abeliano, dena a noo de classe lateral a e ca a ` esquerda (ou ` direita) e siga, com a devida coerncia, como na demonstrao a e ca do teorema para grupo abeliano.

Cap tulo 3

Corpos Finitos
1 Denies e Exemplos co

O corpo quociente Zp do anel dos nmeros inteiros Z pelo ideal gerado pelo u nmero primo p um exemplo de um corpo nito com p elementos. Em outras u e palavras, no conjunto de todos os poss veis restos da diviso de um nmero a u inteiro pelo primo p poss denir operaes de adio e de multiplicao de e vel co ca ca maneira que todo elemento tem simtrico e todo elemento no nulo tem inverso. e a Dado um corpo qualquer K, o homomorsmo : Z K, do anel dos nmeros inteiros Z no corpo K, tal que (1) = 1, ou injetivo ou o seu ncleo u e u e o ideal no-nulo gerado por algum nmero primo, digamos p. No primeiro caso a u K um corpo de caracter e stica zero e no outro K um corpo de caracter e stica p. Se K nito ento apenas o segundo caso ocorre e, tomando-se o homomorsmo e a determinado por no corpo quociente, obtem-se um subcorpo de K isomorfo ao corpo Zp . Assim, nesse caso, podemos considerar Zp como um subcorpo de K e assim K um espao vetorial de dimenso nita sobre Zp . e c a Veremos a seguir que os poss veis valores do nmero de elementos de um u corpo nito devem ser bem especiais. Proposio 22 Se K um corpo nito de caracter ca e stica p com q = |K| elementos ento existe um inteiro positivo m tal que q = pm . a Prova. Fixada uma base do espao vetorial K sobre o corpo Zp , digamos c u1 , ..., um , cada elemento K pode ser escrito de modo unico na forma = aj uj , onde a1 , ..., am so elementos de Zp . Portanto o nmero q de a u elementos de K pm . e Veremos posteriormente que a rec proca da proposio acima verdadeira. ca e O subconjunto K = K\{0}, de um corpo K com pm elementos, um grupo e multiplicativo e portanto (segue do teorema de Lagrange que) as ordens dos seus elementos so divisores de pm 1. Veremos a seguir que esse grupo c a e clico, isto , existe algum elemento de ordem pm 1 em K . e 17

18

Jose Gilvan de Oliveira

Proposio 23 Se K um corpo nito ento K = K\{0} um grupo ca e a e c clico. Prova. Segue da proposio anterior que o nmero de elementos de K da ca u e forma pm , onde p um nmero primo. Para cada inteiro positivo r, seja nr o e u nmero de elementos de ordem r de K . Como o grupo multiplicativo K tem u ordem pm 1, pelo Teorema de Lagrange (21), o inteiro nr nulo quando r e no um divisor de pm 1. Alm disso, se nr no nulo e K tem ordem a e e a e r ento, para cada inteiro positivo j r que relativamente primo com r, o a e elemento j tambm tem ordem r. Portanto no subgrupo gerado por existem e (r) elementos de ordem r, onde a funo de Euler. Da nr (r). O e ca nmero de ra de um polinmio de grau t com coecientes em um corpo no u zes o e mximo t, portanto o nmero de ra primitivas da unidade de ordem r em K a u zes no mximo (r). Consequentemente se nr diferente de zero ento nr = (r). e a e a Analisando-se o nmero de geradores de todos os poss u veis subgrupos de um grupo c clico de ordem obtem-se r| (r) = . Pela denio de nr tem-se ca m 1 e portanto, dessas duas ultimas igualdades, obtem-se m 1) nr = p r|(p nr = (r) para cada divisor r de pm 1. Em particular n(pm 1) = (pm 1) e positivo, isto , existe algum elemento de K de ordem pm 1. Assim o grupo e multiplicativo K c e clico.

Exemplo 24 Os geradores do grupo multiplicativo de Z5 = {2, 1, 0, 1, 2}, isto , do grupo Z , so 2 e 23 = 2. Analogamente, os geradores do grupo e a 5 multiplicativo de Z7 = {3, 2, 1, 0, 1, 2, 3} so 3 e 35 = 2, e os geradores a do grupo multiplicativo de Z11 = {5, 4, 3, 2, 1, 0, 1, 2, 3, 4, 5} so 5, a (5)3 = 4, (5)7 = 3 e (5)9 = 2.

Os elementos no nulos de um corpo nito K com q = pm elementos so as a a ra do polinmio X (q1) 1, ou ainda, todos os elementos de K so as ra zes o a zes do polinmio f (X) = X q X, o qual no tem raiz mltipla dado que a derivada o a u f (X) do polinmio f (X) igual a qX (q1) 1, isto , f (X) = 1. Assim K o o e e e corpo de decomposio deste polinmio. Desta forma, admitindo-se a existncia ca o e de um corpo algebricamente fechado com caracter stica p, obtemos a existncia e de um corpo nito com q = pm elementos como o corpo de decomposio do ca polinmio X q X. A partir do estudo de polinmios irredut o o veis sobre o corpo Zp , p primo, provaremos posteriormente, de forma alternativa, para cada inteiro positivo m, a existncia de um corpo com pm elementos. e

Corolrio 1. Pequeno Teorema de Fermat. Se p um nmero inteiro primo a e u ento p mod p para cada nmero inteiro . a u Prova. J sabemos que Zp \{0} um grupo multiplicativo com (p) = p 1 a e elementos. Pelo Teorema de Lagrange (21) a ordem de cada elemento de

Introdu ao a Teoria dos Numeros e Criptografia c `

19

Zp \{0} um divisor de p 1, portanto p1 = e logo p mod p. Se = e 1 0 ento claro que p divide e logo p mod p. a e Segue do Pequeno Teorema de Fermat que se n mod n para algum nmero inteiro ento n no primo. u a a e Corolrio 2. Sejam K1 e K2 corpos nitos de caracter a stica p com pm1 e p elementos, respectivamente. O corpo K1 um subcorpo de K2 se, e somente e se, m1 divide m2 .
m2

Prova. J sabemos que os corpos K1 e K2 so os corpos de decomposio a a ca m1 m2 dos polinmios X (p ) X e X (p ) X, respectivamente. Portanto K1 o e m1 m2 um subcorpo de K2 se, e somente se, X (p ) X divide X (p ) X, isto , e m1 m2 X (p 1) 1 divide X (p 1) 1. Dados inteiros positivos a < b, escrevendo b = a + r, onde um inteiro e 0 r < a, por clculo direto temos: e a X b 1 = (X a 1)(X (1)a + ... + X a + 1)X r + (X r 1). Usando esta identidade com X = p, b = m2 e a = m1 , e posteriormente com a apenas b = pm2 1 e a = pm1 1, e observando que se 0 r < m1 ento a 0 pr 1 < pm1 1, concluimos do algoritmo da diviso que m1 divide m2 m1 se, e somente se, pm1 1 divide pm2 1 se, e somente se, X (p 1) 1 divide (pm2 1) X 1.

Existncia de Corpos Finitos e

Vimos na seo anterior que a quantidade de elementos de um corpo nito ca e uma potncia de sua caracter e stica. Entretanto os unicos exemplos de corpos nitos apresentados at agora so da forma Zp , onde p um nmero primo. e a e u Nesta seo vamos provar que para cada nmero primo p e cada inteiro positivo ca u m existe um corpo com pm elementos. Isso ser feito seguindo a mesma losoa a empregada para obter o corpo Zp , isto , como anel quociente de um dom e nio de integridade conveniente por um ideal maximal. No exemplo abaixo apresentado de maneira mais detalhada o mtodo para e e produzir esses corpos nitos, de caracter stica p, a partir de polinmios irreduo t veis sobre o corpo Zp . Exemplo 25 Sejam p um nmero primo, Zp o corpo com p elementos e u f (X) um polinmio de grau m, irredut no anel de polinmios Zp [X]. O corpo o vel o quociente Zp [X]/(f (X)), do anel Zp [X] pelo ideal gerado por f (X), um corpo e de caracter stica p com pm elementos. De acordo com o Exemplo 25 acima a existncia de um corpo com pm elee mentos depende apenas da existncia de um polinmio de grau m irredut e o vel em Zp [X].

20

Jose Gilvan de Oliveira

Teorema 26 Seja p um nmero primo. Para cada inteiro positivo m existe u um corpo com pm elementos. Prova. Sejam q = pm e f (X) = X q X. Pela Proposio 23 os poss ca veis graus de fatores de f (X), em Zp [X], so divisores de m. Seja f (X) = a ca e o d|m gd (X) uma fatorao de f (X), onde gd (X) o produto dos fatores mnicos de grau d de f (X) irredut veis em Zp [X]. Analisando os graus desses polinmios concluimos que pm = d|m d nd , onde nd o nmero de fatores mo e u o nicos de gd (X) irredut veis em Zp [X]. Usando a Frmula de Inverso de Mbius o a o segue a seguinte identidade: m nm =
d|m

(d)p( d ) ,

(3.1)

onde a funo de Mbius denida, no conjunto dos nmeros inteiros posie ca o u tivos, por (1) = 1, (j) = 0 se na fatorao de j em nmeros primos existe ca u algum com expoente maior do que 1 e (j) = (1)s se a fatorao de j tem ca exatamente s nmeros primos distintos e todos eles com expoente 1. Em partiu m cular n1 = p e 2n2 = p(p 1). Para m 2 temos m nm = d|m (d)p( d ) pm ( j=1 pj ) p[m/2] (pm[m/2] 2) + 2, onde [x] o maior inteiro menor e ou igual a x. Assim, concluindo a prova do teorema, temos que nm positivo, e isto , existe algum polinmio de grau m irredut em Zp [X]. e o vel Exemplo 27 Seja p um nmero primo. E claro que para cada Zp o u polinmio mnico X irredut em Zp [X]. Pela equao (3.1) estes so o o e vel ca a todos os n1 = p polinmios mnicos de grau um irredut o o veis em Zp [X]. Exemplo 28 a) Pela equao (3.1) existe apenas um polinmio de grau ca o dois mnico e irredut em Z2 [X], a saber X 2 +X +1. Usando o Exemplo o vel 25 obtemos um corpo de caracter stica dois com quatro elementos F4 = {0, 1, , 2 }, onde 2 = + 1. b) Usando o Exemplo 25 obtemos um corpo de caracter stica dois com oito elementos F8 = {0, 1, , 2 , 1+, 1+2 , +2 , 1++2 }, onde 3 = 2 +1 ou 3 = + 1, conforme a escolha de um dos dois polinmio mnicos o o irredut veis em Z2 [X]. c) Os trs polinmios de grau quatro mnicos e irredut e o o veis em Z2 [X] so a f1 (X) = X 4 +X 3 +X 2 +X +1, f2 (X) = X 4 +X +1 e f3 (X) = X 4 +X 3 +1. Usando o Exemplo 25 obtemos um corpo de caracter stica dois com 16 3 elementos F16 = { j=0 aj j ; aj Z2 }, onde fi () = 0, para algum i = 1, 2, 3. Exemplo 29 O polinmio X 2 +X +2 irredut em Z5 [X]. Pelo Exemplo o e vel 25 obtemos um corpo com 25 elementos F52 = {a + b; a, b Z5 }, onde 2 = 2. Armamos que um gerador do grupo c e clico F52 \{0}. De fato, calculando potncias convenientes de , temos: e
[m/2]

Introdu ao a Teoria dos Numeros e Criptografia c `

21

3 = 2 2 = + 2, 6 = (3 )2 = 2 + 1 = 2, 12 = 1, 24 = 1. A ordem de 24 j que as poss e a veis ordens so divisores de 24 e ela, de a acordo com os clculos acima, no pode ser um divisor de 8. Portanto um a a e gerador do grupo F52 \{0}. Nos corpos de caracter stica positiva o clculo de potncias de binmios, a e o cujos expoentes so potncias da caracter a e stica, torna-se mais simples. Mais precisamente vale a seguinte regra: Proposio 30 Se p primo ento p divide (p ) para cada j = 1, ..., p 1. ca e a j Em particular, se K um corpo de caracter e stica p e a e b so elementos de K a ento, para cada inteiro positivo n, tem-se a (a + b)p = ap + bp . Prova. A primeira armao segue da hiptese de p ser primo e da denio ca o ca (p ) = p(p1)...(pj+1)/j!. Usando o desenvolvimento binomial temos (a+b)p = j p1 ap +bp + j=1 (p )aj bpj . Pela armao anterior temos que (p ) nulo em K, para ca j j e cada j = 1, ..., p1, e logo (a+b)p = ap +bp . Agora admitindo que (a+b)p = pn1 pn1 pn pn1 p pn1 pn1 p pn pn a +b temos (a + b) = ((a + b) ) = (a +b ) =a +b . A concluso resulta ento do princ a a pio de induo. ca Seja K um corpo qualquer de caracter stica p. Segue da Proposio 30 que ca a aplicao : K K, que associa a cada K o elemento () = p , um ca e homomorsmo. No caso em que K nito esta aplicao um isomorsmo, e ca e chamado isomorsmo de Frobenius. Se K no nito ento a aplicao a e a ca injetiva mas pode no ser sobrejetiva conforme o exemplo a seguir. Para e a vericar a injetividade, sejam e elementos de K tais que p = p . Se ou no nulo ento existe em K tal que p = 1, isto , raiz do polinmio a e a e e o X p 1 Zp [X], e assim algbrico sobre Zp e a sua ordem 1 ou p. Mais e e e ainda, um elemento no nulo de um corpo nito e da a ordem de um e a e divisor de pm 1 para algum m 1. Portanto = 1 j que p e pm 1 so a a relativamente primos. Exemplo 31 Seja K um corpo qualquer de caracter stica p e seja X um elemento transcendente sobre K. O homomorsmo injetivo : K(X) K(X), () = p , no sobrejetivo pois X (K(X)). a e / No exemplo anterior X a unica raiz do polinmio Y p X p K(X p )[Y ] e e o a sua multiplicidade p. Assim temos um exemplo de um polinmio irredut e o vel com raiz mltipla; de fato, segue da Proposio 30 que Y p X p = (Y X)p . Este u ca fenmeno no pode ocorrer em corpos nitos ou em corpos com caracter o a stica zero.
n1 n n n

22

Jose Gilvan de Oliveira

Cap tulo 4

Curvas Algbricas e
1 Espaos Projetivos c

Seja K um corpo. No produto cartesiano K n+1 de dimenso n + 1 denimos a uma relao de equivalncia entre os elementos no nulos da seguinte forma: ca e a = , para algum K\{0}. O espao projetivo Pn = Pn (K) de dimenso n o conjunto de todas as poss c a e veis classes de equivalncia dessa relao. Em outras palavras, Pn o conjunto e ca e de todas as retas de K n+1 que passam pela origem. Dado um ponto no nulo a (a0 , a1 , ..., an ) de K n+1 o correspondente ponto do espao projetivo Pn reprec e sentado em coordenadas homognias por (a0 : a1 : ... : an ). Para cada constante e no nula observamos que (a0 : a1 : ... : an ) e (a0 : a1 : ... : an ) so a a representaes em coordenadas homognias de um mesmo ponto de Pn . o e Exemplo 32 A reta projetiva P1 pode ser identicada com a unio disjunta a K {}, do corpo K juntamente com um outro ponto representado por , chamado innito. Mais precisamente, a cada a K associamos o ponto (a : 1) e ao ponto innito associamos o ponto (1 : 0), chamado ponto no innito. Exemplo 33 O plano projetivo P2 pode ser identicado com a unio disa junta K 2 K {}, de K 2 com a reta projetiva. Mais precisamente, a cada ponto (a, b) K 2 associamos o ponto (a : b : 1) e a cada ponto (a : b) da reta projetiva associamos o ponto (a : b : 0).

Curvas Algbricas Planas Projetivas e

Dado um polinmio f (X, Y ) de grau d 1 no anel de polinmios K[X, Y ], onde o o K um corpo, denimos a curva algbrica plana am Cf sobre K como sendo e e Cf (K) = {(x, y) K 2 : f (x, y) = 0}. 23

24

Jose Gilvan de Oliveira

Considerando o polinmio homogneo F (X, Y, Z) = Z d f (X/Z, Y /Z) no anel de o e polinmios K[X, Y, Z], denimos a curva algbrica plana projetiva CF sobre K o e como sendo CF (K) = {(x : y : z) P2 (K) : F (x, y, z) = 0}. Desta forma o ponto (x, y) da curva Cf corresponde ao ponto (x : y : 1) da curva CF . Se f irredut em K[X, Y ] ento as curvas Cf e CF so irredut e vel a a veis. Para cada K\{0} claro que Cf = Cf e CF = CF . A curva CF chamada e e reta, cnica, cbica, se o grau de F igual a 1, 2, 3, respectivamente. Um ponto o u e P de uma curva CF singular se as derivadas de F com relao a X, Y e Z so e ca a nulas em P. Se a curva CF de grau d no tem pontos singulares ento o inteiro a a g = (d 1)(d 2)/2 chamado o gnero de CF . e e Exemplo 34 Dados a, b, c elementos no todos nulos de um corpo K, a a curva projetiva {(x : y : z); ax + by + cz = 0} uma reta em P2 , no tem e a ponto singular e o seu gnero zero, enquanto a curva plana projetiva {(x : y : e e z); ax2 + bxy + cy 2 = 0} uma cnica. e o Se o corpo K algebricamente fechado temos o resultado seguinte. e Teorema 35 (Teorema de Bezout) Se C1 e C2 so curvas algbricas planas a e projetivas de graus d1 e d2 sem componente comum, ento o nmero de pontos a u de interseo das curvas, contados com multiplicidades, o produto d1 d2 . ca e

Cap tulo 5

Curvas El pticas
1 Denio e Exemplos ca

A teoria das curvas el pticas um dos mais belos assuntos da matemtica e e a tem aplicaes em diversas reas, por exemplo em geometria diferencial (superco a f cies m nimas), teoria dos nmeros (ltimo teorema de Fermat - teorema de u u Wiles/Taylor), geometria algbrica sobre corpos nitos (teorema de Hasse/Weil e - hiptese de Riemann) e criptograa (senhas, autenticaes e assinaturas digio co tais, etc.). Uma curva el ptica uma curva algbrica no-singular de gnero um (com algum e e a e ponto racional). Se o corpo K tem caracter stica diferente de dois e trs ento e a uma curva el ptica sobre K pode ser determinada pelo polinmio f (X, Y ) = o Y 2 X 3 aX b no anel K[X, Y ], onde 4a3 + 27b2 no zero, isto , a curva a e e el ptica pode ser representada no plano projetivo por C = {(x : y : z) P2 : y 2 z = x3 + axz 2 + bz 3 }. (5.1)

A condio nos coecientes de f equivalente a no existncia de pontos sinca e a e gulares da curva Cf . O ponto (0 : 1 : 0) o unico ponto da curva el e ptica no innito, ele um ponto de inexo e no ponto singular. Portanto o gnero e a a e e dessa curva um. e Exemplo 36 Algumas representaes geomtricas de curvas el co e pticas podem ser encontradas nos endereos: c
http://mathworld.wolfram.com/EllipticCurve.html http://www.certicom.com/ecc tutorial/ecc javaCurve.html.

Propriedades

A principal razo para o uso de curvas el a pticas em criptograa a existncia e e de uma estrutura de grupo em tais curvas. 25

26

Jose Gilvan de Oliveira

A operao do grupo na curva el ca ptica (5.1) denida da seguinte maneira. e O ponto no innito (0 : 1 : 0) o elemento neutro O do grupo. Dados pontos e P e Q da curva, segue do teorema de Bezout, que existe um terceiro ponto na interseo da curva com a reta lP Q determinada por P e Q (Se P = Q ento lP Q ca a a reta tangente ` curva em P ). O inverso do ponto P, representado por P, o e a e ponto da curva tal que P, O e P so colineares. O ponto P +Q denido como a e sendo o ponto da curva tal que P, Q e (P + Q) so colineares. A curva el a ptica (5.1) com esta operao um grupo abeliano, isto , P + Q = Q + P . Uma ca e e viso geomtrica da operao do grupo pode ser obtida no seguinte endereo: a e ca c www.certicom.com/index.php/21-elliptic-curve-addition-a-geometric-approach. Observao. Na denio da operao do grupo acima foi usado o teorema de ca ca ca Bezout para garantir a existncia do terceiro ponto de interseo da reta com e ca a curva el ptica. No caso em que o corpo no algebricamente fechado isto a e pode ser contornado por meio da determinao expl ca cita das coordenadas desse terceiro ponto de interseo a partir das coordenadas dos outros dois pontos ca ([1], [4]). Se a curva el ptica est denida sobre um corpo nito com q elementos ento a a o nmero N de pontos da curva est controlado de acordo com o resultado u a seguinte. Teorema 37 (Teorema de Hasse) O nmero N de pontos da curva el u ptica sobre Fq satisfaz 1 + q 2 q N 1 + q + 2 q. O teorema acima foi generalizado por A. Weil para curvas no singulares sobre a o corpo Fq de gnero g 1, (anlogo da Hiptese de Riemann Clssica): e a o a 1 + q 2g q N 1 + q + 2g q. Posteriormente ele foi generalizado por P. Deligne para variedades algbricas e sobre corpos nitos (Conjectura de Weil).

Cap tulo 6

Criptograa
O primeiro sistema de chave pblica foi proposto por Die e Helmann em 1976. u Anteriormente as comunicaes por meio de transmisso de mensagens criptoco a grafadas eram feitas com uso das chamadas chaves privadas, ou chaves simtrie cas. Este processo permite ao usurio com conhecimento da chave do sistema a tanto criptografar como decifrar mensagens. Isto por si s j impe restries ao o a o co conhecimento prvio da chave pelos usurios. Neste caso h necessidade de um e a a encontro pessoal prvio entre os envolvidos na comunicao ou h necessidade e ca a de transmisso da chave do sistema por algum outro meio, o que pode tornar o a processo mais vulnervel. a O ponto crucial na idia da chave pblica consiste em usar uma funo f e u ca com a propriedade que seja prtico, do ponto de vista computacional, calcular a f (n) mas que seja invivel na prtica calcular a imagem inversa f 1 (m). No a a caso do sistema de criptograa RSA a chave pblica apoia-se na facilidade de se u efetuar a multiplicao de nmeros primos e na diculdade prtica de se inverter ca u a o processo, ou seja, de fatorar nmeros inteiros. No sistema de criptograa ECC u a chave pblica apoia-se no chamado problema do logaritmo discreto. u Antes de criptografar uma mensagem sabemos que o texto original deve ser previamente adaptado ao sistema atravs do qual ser feita a sua transmisso. e a a Este procedimento, chamado pr-codicao, usualmente consiste em considee ca rar uma correspondncia bijetiva entre o conjunto de todos os poss e veis s mbolos usados na redao da mensagem, por exemplo, o alfabeto juntamente com acenca tos e pontuao do idioma utilizado, e um conjunto apropriado de sequncias ca e nitas de nmeros. Um exemplo de tal correspondncia dado pelo ASCII, u e e que so as iniciais das palavras em ingls de cdigo padro americano de intera e o a cmbio de informao, e bastante usado em computadores. Outros exemplos a ca e so EBCDIC (adotado pala IBM), HTML (usado na comunicao via internet) a ca e Unicode (implementado em todos os sistemas operacionais modernos e nas linguagens de computao). ca Vamos admitir no que segue que uma pr-codicao j est estabelecida. e ca a a 27

28

Jose Gilvan de Oliveira

Isto j ocorre naturalmente quando digitamos um texto a partir de um teclado a de um computador e visualizamos o resultado dessa ao projetado no monitor ca do mesmo. Este tambm o caso quando imprimimos um arquivo usando uma e e das opes poss co veis, tais como: pdf, doc, odt, rtf, txt.

Criptograa RSA

Vamos apresentar agora o sistema de criptograa RSA. Consideremos que dois usurios desejam combinar, por meio de um canal de comunicao pblica, uma a ca u chave para comunicao privada entre eles usando o sistema RSA. Para imca plementar esse sistema de criptograa cada usurio procede como segue. Ele a escolhe inicialmente um inteiro n = pq, produto de dois nmeros primos distintos u p e q, tomados sucientemente grande em relao ao desempenho computacica onal dos atuais computadores. Em seguida ele escolhe um nmero e tal que u mdc{e, (n)} = 1. A chave pblica dele neste caso o par (n, e) e os fatores u e primos p e q do nmero n so mantidos em segredo. O procedimento para cripu a tografar um nmero a entre 1 e n 1, obtendo-se o nmero C(a) criptografado, u u consiste em calcular C(a) ae mod n. Para decodicar o nmero b = C(a), e assim recuperar a mensagem original u a enviada, deve-se usar a chave de decodicao (n, d), onde o nmero inteiro ca u d, mantido em segredo, o inverso de e no grupo U(n) , isto , ed 1 mod (n). e e Portanto os inteiros e e d so dados por ed 1 = r(n), para algum inteiro r. a Mais precisamente, para decodicar b = C(a) calcula-se D(b) bd mod n. Nestas condies, como D(b) = D(C(a)) = aed a(a(n) )r a mod n, a co mensagem criptografada a, originalmente enviada, torna-se conhecida aps a o decodicao da mensagem recebida b = C(a). ca Observamos que fcil calcular (n) a partir da fatorao de n, pois (n) = e a ca (pq) = n p q + 1. Por outro lado, conhecendo-se apenas a chave pblica u (n, e) invivel na prtica determinar a chave de decodicao (n, d). e a a ca

Criptograa de Curvas El pticas

A idia da chave pblica de Die-Helmann, adaptada para curvas el e u pticas, pode ser assim descrita. Dois usurios A e B, tradicionalmente chamados Alice a e Bob respectivamente, desejam combinar por meio de um canal de comunicao ca pblica uma chave para comunicao privada entre eles. Seja C(Fq ) uma curva u ca el ptica sobre o corpo Fq e seja Q um ponto da curva que ambos publicamente escolheram. Alice ento escolhe em segredo um inteiro kA e calcula o ponto a da curva kA Q. Ela envia ao Bob apenas o ponto obtido, mantendo em sigilo

Introdu ao a Teoria dos Numeros e Criptografia c `

29

o inteiro escolhido kA . Analogamente, Bob escolhe em segredo um inteiro kB , calcula o ponto da curva kB Q e o envia ` Alice, mantendo tambm em sigilo o a e inteiro escolhido kB . A chave comum o ponto P = kA kB Q que determinado e e por Alice multiplicando o ponto recebido de Bob pelo seu nmero secreto kA , u enquanto Bob calcula o ponto P multiplicando o ponto recebido de Alice pelo seu nmero secreto kB . Uma intrusa que deseja espionar Alice e Bob deveria u calcular o ponto P conhecendo apenas os pontos Q, kA Q kB Q e no os inteiros a kA e kB . Este o chamado Problema de Die-Helmann para curvas el e pticas. Admitindo-se que a base de uma linguagem j est mergulhada em uma curva a a el ptica Cq sobre um corpo Fq , ento nas condies acima, se Bob deseja enviar a co de forma sigilosa uma mensagem M para Alice ele procede da seguinte maneira. Escolhe em segredo um nmero e envia o par de pontos ( Q, M + (kA Q)). u Ento para ler a mensagem de Bob recebida Alice subtrai do segundo ponto a enviado por Bob o resultado da multiplicao do primeiro ponto por sua chave ca secreta kA . A segurana da criptograa reside no fato de que no se conhece (mesmo c a para um grupo multiplicativo F bem escolhido) um algoritmo adequado para q obteno da soluo do chamado problema do logaritmo discreto de um grupo ca ca G com base g G : dado g G encontrar para cada y G um elemento x G tal que y = g x , caso exista. E claro que uma vez resolvido o problema do logaritmo discreto automaticamente estar tambm resolvido o problema de Die-Helmann. Existe uma a e conjectura sobre a rec proca.

Criptoanlise a

A criptoanlise consiste do estudo de tcnicas que permitam revelar mensagens a e criptografadas. Assim a criptoanlise trabalha no sentido contrrio ao da cripa a tograa, investigando vulnerabilidades do sistema na busca de poss quebra vel de sistemas de criptograa. Por exemplo, no sistema RSA investiga-se ecientes algoritmos de fatorao de nmeros inteiros usando curvas el ca u pticas.

Outras Aplicaes co
A funo P de Weierstrass: ca http://mathworld.wolfram.com/WeierstrassEllipticFunction.html Nmeros congruentes: u Um nmero inteiro positivo N um nmero congruente ele a rea de u e u e a um tringulo retngulo cujas medidas dos lados so nmeros racionais. Os a a a u inteiros 6 (3-4-5) e 5 (3/2-20/3-41/6) so, mas 1,2,3 e 4 no so, congrua a a entes. Um inteiro positivo N um nmero congruente se, e somente se, a e u

30

Jose Gilvan de Oliveira curva el ptica y 2 = x(x N )(x + N ) tem algum ponto no trivial, isto , a e diferente do ponto no innito e dos pontos (0, 0) e (N, o). Ultimo Teorema de Fermat. Gerhard Frey (1985), K. Ribet (1995) (Taniyama conjectura): se Ap + B p = C p ento o discriminante da curva el a ptica y 2 = x(x A)(x B) p p p p 2 2p (A B (A + B )) = (ABC) (A. Wiles, R. Taylor (1995): Ultimo e teorema de Fermat). Curvas el pticas recomendadas USA. No Apndice D do documento FIPS 186-3, june-2009, do NIST (National e Institute of Standards and Technology) esto curvas el a pticas recomendadas para uso do governo americano em assinaturas digitais, com sugestes o de chave privada e corpo de base: http://csrc.nist.gov/publications/ps/ps186-3/ps-186-3.pdf Desaos premiados: O Certicom Elliptic Curve Cryptosystem (ECC) Challenge foi criado visando ampliar o entendimento e a apreciao da diculdade do problema ca do logaritmo discreto em curvas el pticas e para estimular e encorajar pesquisas e anlise do n de segurana da criptograa de curvas el a vel c pticas. O desao est dividido em dois n a veis e oferece prmios a partir de US$ e 5,000 at US$ 100,000. e http://www.certicom.com/images/pdfs/cert ecc challenge.pdf .

Referncias Bibliogrcas e a
[1] M. W. Baldoni, C. Ciliberto, G. M. Piacentini Cattaneo: Elementary Number Theory, Cryptography and Codes, Universitext, Springer-Verlag, 2009. [2] C. Cardoso: Fatorao de nmeros inteiros usando curvas el ca u ticas, Dissertao de Mestrado - UFMS, 2003. ca http://www.dct.ufms.br/mestrado/dissertacoes/2003/celso.pdf [3] S. C. Coutinho: Nmeros inteiros e criptograa RSA, Coleo SCM - IMPA u ca / SBM, 2007. [4] E. FischerThe Evolution of Character Codes, 1874-1968, www.transbay.net/ enf/ascii/ascii.pdf [5] J. Hostein, J. Pipher, J. H. Silverman: An Introduction to Mathematical Cryptography, UTM, Springer, 2008. [6] M. Jacobson, A. Menezes, A. Stein: Solving elliptic curves discrete logarithm problems using Weil descent, Journal of the Ramanujan Mathematical Society, 16 (2001), 231-260. [7] N. Koblitz: Algebraic Aspects of Cryptography, Springer-Verlag, 2004. [8] N. Koblitz: A Course in Number Theory and Cryptography, SpringerVerlag, 1994. [9] V. Miller: Uses of elliptic curves in cryptography, Advances in Cryptography - Crypto85, Springer-Verlag (1986), 417-426. [10] E. Strey: A hiptese de Riemann para curvas algbricas e uma caracterio e zao da curva hermitiana, Dissertao de Mestrado - PPGMAT/UFES, ca ca 2008. [11] Unicode Consortium: Unicode 5.2.0, www.unicode.org/versions/Unicode5.2.0/

31