Livro 77 PDF

Notas em Matematica Aplicada e-ISSN 2236-5915
Volume 77, 2014
Editores
Fernando Rodrigo Rafaeli (Editor Chefe)

Universidade Federal de Uberlandia - UFU
Uberlandia, MG, Brasil
Vanessa Avansini Botta Pirani (Editor Adjunto)

Universidade Estadual Paulista - UNESP
Presidente Prudente, SP, Brasil
Alexandre Loureiro Madureira

Laboratorio Nacional de Computacao Cientfica - LNCC
Petropolis, RJ, Brasil
Edson Luiz Cataldo Ferreira

Universidade Federal do Fluminense - UFF
Niteroi, RJ, Brasil
Jorge Manuel Vieira Capela

Universidade Estadual Paulista - UNESP
Araraquara, SP, Brasil
Sandra Augusta Santos

Universidade Estadual de Campinas - UNICAMP
Campinas, SP, Brasil
Sociedade Brasileira de Matematica Aplicada e Computacional
2014
A Sociedade Brasileira de Matematica Aplicada e Computacional -
SBMAC publica, desde as primeiras edicoes do evento, monografias dos
cursos que sao ministrados nos CNMAC.
Para a comemoracao dos 25 anos da SBMAC, que ocorreu durante
o XXVI CNMAC em 2003, foi criada a serie Notas em Matematica
Aplicada para publicar as monografias dos minicursos ministrados nos
CNMAC, o que permaneceu ate o XXXIII CNMAC em 2010.
A partir de 2011, a serie passa a publicar, tambem, livros nas areas
de interesse da SBMAC. Os autores que submeterem textos a serie
Notas em Matematica Aplicada devem estar cientes de que poderao
ser convidados a ministrarem minicursos nos eventos patrocinados pela
SBMAC, em especial nos CNMAC, sobre assunto a que se refere o
texto.
O livro deve ser preparado em Latex (compatvel com o Miktex
versao 2.9), as figuras em eps e deve ter entre 80 e 150 paginas. O
texto deve ser redigido de forma clara, acompanhado de uma excelente
revisao bibliografica e de exerccios de verificacao de aprendiza-
gem ao final de cada captulo.
Veja todos os ttulos publicados nesta serie na pagina

http://www.sbmac.org.br/p notas.php
2014
UMA INTRODUCAO A CRIPTOGRAFIA DE
CHAVE PUBLICA ATRAVES DO METODO EL
GAMAL
Luis Menasche Schechter

luisms@dcc.ufrj.br
Departamento de Ciencia da Computacao

Instituto de Matematica
Universidade Federal do Rio de Janeiro
Sao Carlos - SP, Brasil

2014
Coordenacao Editorial: Maria do Socorro Nogueira Rangel
Coordenacao Editorial da Serie: Fernando Rodrigo Rafaeli
Editora: SBMAC
Capa: Matheus Botossi Trindade
Patrocnio: SBMAC
c
Copyright 2014 by Luis Menasche Schechter. Direitos reservados, 2014 pela SB-
MAC. A publicacao nesta serie nao impede o autor de publicar parte ou a totalidade
da obra por outra editora, em qualquer meio, desde que faca citacao a edicao origi-
nal.
Catalogacao elaborada pela Biblioteca do IBILCE/UNESP

Bibliotecaria: Maria Luiza Fernandes Jardim Froner
Schechter, L. M.
Uma Introducao a Criptografia de Chave Publica
Atraves do Metodo El Gamal - Sao Carlos, SP :
SBMAC, 2014, 124 p., 21.5 cm - (Notas em Matematica
Aplicada; v. 77)
e-ISBN
e-ISBN 978-85-8215-063-4
???????
1. Criptografia de Chave Publica 2. Metodo El Gamal

3. Grupos Finitos 4. Problema do Logaritmo Discreto
I. Schechter, Luis Menasche. II. Ttulo. III. Serie
CDD - 51
Para Rosa e Luziane,
meus pilares,
meus oasis.
Agradecimentos
Gostaria de agradecer, em primeiro lugar, a Sociedade Brasileira de Matematica

Aplicada e Computacional (SBMAC) pela oportunidade oferecida a mim de publicar
este livro e de apresentar o seu conteudo na forma de um mini-curso no CNMAC
2014.
Agradeco aos professores Juliana Vianna Valerio, Luziane Ferreira de Mendonca
e Marcello Goulart Teixeira, meus colegas no Departamento de Ciencia da Com-
putacao (DCC) da UFRJ e meus amigos, pelo incentivo para que eu submetesse a
proposta deste livro/mini-curso para a SBMAC.
Agradeco tambem a outro querido amigo, o professor Severino Collier Coutinho,
que tambem e meu colega no DCC/UFRJ. Quando eu ainda era um aluno de
graduacao em Ciencia da Computacao, foi com ele que vi pela primeira vez os
conceitos de criptografia de chave publica e com ele que aprendi os fundamentos do
metodo El Gamal. Desta forma, o professor Collier criou a raiz do meu interesse
presente por esta area de estudo e pesquisa.
A interacao com todos os alunos que realizaram comigo a disciplina de gra-
duacao de Numeros Inteiros e Criptografia no DCC/UFRJ ao longo dos ultimos
anos sempre me proporcionou um aprendizado de novas ideias sobre como melhorar
o curso para os semestres seguintes e sobre maneiras diferentes de abordar alguns
topicos centrais do conteudo da disciplina. Tambem pude aprender bastante com
todos os alunos que realizaram comigo atividades de pesquisa na area de cripto-
grafia, nos nveis de iniciacao cientfica, mestrado e doutorado. Gostaria, entao, de
agradecer a todos eles. Espero ter conseguido utilizar este aprendizado da melhor
forma na elaboracao deste livro.
Finalmente, devo agradecer tambem ao CNPq pelo auxlio financeiro concedido
a mim ao longo do perodo de elaboracao deste trabalho.
Conteudo
Prefacio xi
1 Introducao 1
1.1 Objetivos da Criptografia . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Breve Panorama Historico . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Mudanca de Paradigma: Chave Publica . . . . . . . . . . . . . . . . 6
1.4 Roteiro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.5 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2 Aritmetica Modular 13
2.1 Divisibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2 Relacoes de Equivalencia . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.3 Inteiros Modulo n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4 Operacoes Modulares . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.5 Sistemas de Congruencias . . . . . . . . . . . . . . . . . . . . . . . . 35
2.6 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3 Numeros Primos 41
3.1 Conceitos e Resultados Fundamentais . . . . . . . . . . . . . . . . . 41
3.2 Crivo de Eratostenes . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.3 Pequeno Teorema de Fermat . . . . . . . . . . . . . . . . . . . . . . 51
3.4 Teste de Miller-Rabin . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.5 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4 Grupos 61
4.1 Definicoes Basicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 Os Grupos Finitos U (n) . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3 Subgrupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.4 Grupos e Subgrupos Cclicos . . . . . . . . . . . . . . . . . . . . . . 68
4.5 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
5 O Metodo El Gamal 77
5.1 Esquema Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.2 Criptografia El Gamal . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.3 Assinatura Digital El Gamal . . . . . . . . . . . . . . . . . . . . . . 88
5.4 Assinatura Digital DSA . . . . . . . . . . . . . . . . . . . . . . . . . 94
5.5 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
ix
x
6 Resolucao do Problema do Logaritmo Discreto 101

6.1 Algoritmo Ingenuo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6.2 Algoritmo Baby-Step/Giant-Step de Shanks . . . . . . . . . . . . . 103
6.3 Algoritmo Rho de Pollard . . . . . . . . . . . . . . . . . . . . . . . 105
6.4 Algoritmo de Pohlig-Hellman . . . . . . . . . . . . . . . . . . . . . . 109
6.5 Algoritmo do Calculo de Indices . . . . . . . . . . . . . . . . . . . . 115
6.6 Exerccios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Prefacio
Estamos experimentando, de forma cada vez maior, o crescimento do trafego de

informacoes na Internet e o seu uso para operacoes financeiras, como o comercio
eletronico e o Internet banking, por exemplo. Com isso, a seguranca destas tro-
cas de informacao atraves de redes de computadores torna-se cada vez mais um
requisito fundamental do ponto de vista comercial, economico e militar. Ao utili-
zarmos metodos de criptografia, estamos buscando esconder o conteudo de uma
mensagem, de forma que, caso alguem mal-intencionado roube uma mensagem
criptografada antes dela chegar ao seu destinatario, esta pessoa nao sera capaz de
ler o seu conteudo original.
O objetivo principal deste livro e fornecer ao aluno um primeiro contato com os
fundamentos matematicos da criptografia de chave publica e da assinatura digital,
que sao utilizadas, por exemplo, na troca de mensagens na Internet (como numeros
de cartao de credito em sites de compras virtuais). Para isso, iremos estudar um
dos mais simples metodos de criptografia de chave publica e assinatura digital,
mas, ao mesmo tempo, um dos mais utilizados na pratica: o metodo El Gamal
(que possui este nome devido ao pesquisador que originalmente desenvolveu este
metodo). Iremos estudar os fundamentos matematicos deste metodo e entender o
que o torna ao mesmo tempo eficiente e seguro.
Os fundamentos matematicos do metodo El Gamal envolvem o estudo de pro-
priedades dos numeros inteiros, o estudo de numeros primos e o estudo de grupos
finitos, conceitos que sao, em si, razoavelmente simples, mas que se mostram bas-
tante uteis nesta aplicacao pratica na area de computacao. E devido a simplicidade
dos conceitos basicos necessarios para este estudo que o metodo El Gamal se mostra
como um tema adequado para um primeiro contato do estudante com os conceitos
da area de criptografia.
A criptografia de chave publica e um topico de estudo interessante na intersecao
entre Matematica e Computacao, pois destaca uma possvel aplicacao pratica de
conceitos de matematica discreta assim como ilustra a presenca de fundamentacoes
matematicas nas atividades computacionais. Desta forma, este livro pode interes-
sar tanto a alunos de Matematica e Matematica Aplicada que buscam aplicacoes
praticas para os conceitos e resultados matematicos que estudam (neste caso, con-
ceitos e resultados de matematica discreta) quanto para alunos de Computacao que
se interessam pelos fundamentos matematicos envolvidos nos processos computaci-
onais. O livro tambem pode ser adequado para alunos de Engenharias que se encai-
xem nestes perfis. Por se tratar de um livro de carater introdutorio, ele e adequado
tanto para alunos de graduacao quanto para alunos em incio de pos-graduacao que
ainda estao buscando potenciais temas de pesquisa.
Buscamos abordar os principais conceitos matematicos necessarios para o enten-
dimento do metodo El Gamal, tornando o texto fortemente auto-contido. Assim,
acreditamos que os unicos pre-requisitos para um bom entendimento deste livro sao
xi
xii
um conhecimento basico a respeito dos numeros inteiros e a respeito de numeros

primos, habilidades matematicas basicas para calculos aritmeticos, manipulacoes
algebricas e formulacoes de provas matematicas e familiaridade com a nocao de
algoritmo.
Rio de Janeiro, 28 de fevereiro de 2014.
Luis Menasche Schechter

Captulo 1
Introducao
Nosso objetivo principal neste livro e estudar o metodo El Gamal de criptografia de

chave publica e de assinatura digital.
Neste captulo, iniciamos a caminhada rumo a este objetivo discutindo alguns
conceitos basicos a respeito dos metodos de criptografia e assinatura digital e falando
a respeito dos objetivos por tras da utilizacao destes metodos. Faremos tambem um
breve apanhando historico da evolucao dos metodos de criptografia, falando de al-
guns metodos famosos historicamente, como a Cifra de Cesar, usada pelo imperador
romano, e a Maquina Enigma, usada pela marinha e aeronautica alemas durante a
Segunda Guerra Mundial, tendo sido decifrada com a ajuda do matematico ingles
Alan Turing.
Alem disso, falaremos sobre a grande mudanca de paradigma ocorrida na area
da criptografia na decada de 1970. Neste momento, foram desenvolvidos os primei-
ros metodos de criptografia conhecidos como metodos de chave publica e houve o
surgimento dos metodos de assinatura digital.
Finalmente, encerramos este captulo com um roteiro dos assuntos que serao
abordados no decorrer dos proximos captulos.
1.1 Objetivos da Criptografia

A criptografia e o estudo de metodos que possibilitam esconder o conteudo de uma
mensagem, de forma que, caso alguem mal-intencionado roube uma mensagem
criptografada antes dela chegar ao seu destinatario, esta pessoa nao sera capaz de
ler o seu conteudo original.
A necessidade do uso de criptografia na troca de mensagens surge a partir da
existencia de diversas fontes de inseguranca no transito da mensagem entre o reme-
tente e o destinatario.
Neste sentido, um uso classico e ja muito antigo de criptografia e militar. Su-
ponha que dois agrupamentos de um mesmo exercito desejam trocar mensagens a
respeito da estrategia e da tatica de batalha. O comandante de um agrupamento
ira escrever a mensagem e entregar a um soldado para que ele a carregue ate a loca-
lizacao do segundo agrupamento, onde ela deve ser entregue ao outro comandante.
Entretanto, uma vez que estes dois agrupamentos estao inseridos dentro de uma
zona de conflito, a viagem do mensageiro e repleta de insegurancas. Uma destas
insegurancas, talvez a mais grave do ponto de vista da tatica de batalha, e o risco
do mensageiro ser capturado por alguma tropa inimiga. Neste caso, os inimigos
2 Introducao
teriam acesso a mensagem que contem diversas instrucoes taticas, ganhando entao
vantagem na batalha.
Em termos mais gerais, podemos dizer que, no exemplo acima, o mensageiro fun-
ciona como o canal de transmissao da mensagem entre o remetente (comandante
do primeiro agrupamento) e o destinatario (comandante do segundo agrupamento).
Temos entao que este e um canal inseguro para a transmissao de mensagens, ja
que ha a possibilidade de interceptacoes das mensagens que trafegam neste canal.
Sempre que temos um cenario como este, em que um remetente deseja enviar
uma mensagem para um destinatario onde
1. o canal de transmissao da mensagem e inseguro e
2. a mensagem contem algum tipo de conteudo privado que so deve ser visto
pelo remetente e pelo destinatario,
o uso de algum metodo de criptografia se faz necessario.

Na aplicacao de um metodo de criptografia, desejamos esconder o conteudo de
uma mensagem m antes de envia-la atraves de um canal inseguro. Vamos descrever
entao como isto e feito de forma generica no modelo tradicional de criptografia.
Dado um metodo de criptografia, o remetente e o destinatario selecionam conjunta-
mente uma chave k, que e um valor numerico dentro de um intervalo n1 k n2
estabelecido pelo metodo. O valor k selecionado devera ser mantido secreto, sendo
de conhecimento apenas do remetente e do destinatario.
O metodo estabelece tambem uma funcao de encriptacao f e uma funcao de
decriptacao g. A funcao de encriptacao nos permite, dada uma mensagem m e
uma chave k, calcular a mensagem encriptada m b = f (m, k). A mensagem que
sera enviada no canal sera entao m.b Desta forma, caso algum intruso intercepte
a mensagem trafegando no canal, o que ele vera sera m b e nao m. E importante
notar que a mensagem encriptada depende nao somente da mensagem original, mas
tambem da chave k que foi escolhida inicialmente. Com isso, torna-se difcil para
um intruso que tenha conseguido interceptar a mensagem encriptada m b calcular,
a partir dela, a mensagem original m sem ter o conhecimento da chave k que foi
utilizada na encriptacao.
Por outro lado, a funcao de decriptacao nos permite, dada uma mensagem en-
criptada m b e a chave k utilizada na encriptacao, calcular novamente a mensagem
original m = g(m, b k). Obviamente, para que o metodo tenha utilidade pratica,
e necessario que a funcao de decriptacao realmente consiga recuperar o conteudo
original de uma mensagem encriptada com a funcao f . Desta forma, devemos ter
a igualdade g(f (m, k), k) = m. E importante notar que a funcao g so se torna util
em conjunto com o conhecimento da chave k utilizada na encriptacao. Caso o valor
de k tenha sido mantido secreto, sendo de conhecimento apenas do remetente e do
destinatario, entao apenas o destinatario podera usar a funcao g para recuperar o
conteudo original de uma mensagem encriptada. Intrusos que consigam interceptar
mensagens no canal inseguro terao acesso apenas a mensagens encriptadas, mas nao
conseguirao recuperar o conteudo original delas, ja que nao tem conhecimento da
chave k utilizada.
Conforme explicamos acima, neste modelo de criptografia, a chave de encripta-
cao k deve ser mantida privada entre o remetente e o destinatario, pois qualquer
intruso que intercepte uma mensagem encriptada transitando no canal sera capaz
de aplicar a funcao de decriptacao e recuperar a mensagem original se possuir o
conhecimento de k. Por esta razao, a chave k e denominada chave privada e este
modelo de criptografia e conhecido como criptografia de chave privada.
Breve Panorama Historico 3
Historicamente, alem de aplicacoes militares como a que descrevemos no exemplo

acima, os metodos de criptografia tambem possuem amplo uso para a protecao de
segredos comerciais, empresariais e governamentais.
Atualmente, com o crescimento massivo do uso da Internet e a possibilidade
da execucao de operacoes financeiras atraves dela, como o comercio eletronico e o
Internet banking, por exemplo, o uso da criptografia deixou de ser algo restrito aos
contextos mencionados acima e passou a ter uma relevancia central no cotidiano de
todos os usuarios de computadores.
1.2 Breve Panorama Historico

Um dos metodos conhecidos de criptografia mais antigos e o metodo denominado
Cifra de Cesar , que era utilizado pelo imperador romano Cesar para a troca de
mensagens com os seus generais em batalha.
Na Cifra de Cesar, assumimos que a mensagem e composta apenas de letras e
nao fazemos diferenciacao entre maiusculas e minusculas. Como consideramos o
alfabeto contendo 26 letras, a chave de encriptacao k sera um numero inteiro no
intervalo 1 k < 26. A encriptacao e realizada letra a letra ao longo da mensagem.
A encriptacao de uma letra e igual a letra que esta k posicoes mais adiante no
alfabeto em relacao a letra original. Por exemplo, se k = 3, entao a encriptacao da
letra A e igual a letra D. Para que este metodo de encriptacao possa funcionar
com todas as letras, independentemente de suas posicoes no alfabeto, consideramos
o alfabeto de forma circular, isto e, a letra seguinte ao Z e a letra A novamente.
Exemplo 1.1. Vamos encriptar a mensagem CESAR com a Cifra de Cesar,
utilizando a chave k = 4.
C E S A R

G I W E V
Logo, a mensagem encriptada e GIWEV.
O valor de k utilizado por Cesar para encriptar as mensagens deveria ser acor-
dado com o general que iria recebe-las antes que ele se deslocasse para o campo
de batalha. Assim, quando o mensageiro entrega uma mensagem encriptada ao
general, ele pode recuperar o seu conteudo original, ja que possui o valor de k que
foi utilizado na encriptacao. Para realizar a decriptacao da mensagem e recuperar
o conteudo original, ele deve proceder letra a letra, calculando a letra que esta k
posicoes para tras no alfabeto em relacao a cada letra da mensagem encriptada.
Vemos que o procedimento de decriptacao e extremamente simples para quem co-
nhece o valor de k. Por outro lado, se o mensageiro de Cesar for capturado durante
o seu trajeto ate o general, os inimigos terao acesso apenas a mensagem encriptada
e, nao conhecendo o valor de k, terao dificuldades em obter o seu conteudo.
A Cifra de Cesar possui uma fragilidade. Uma vez fixado o valor de k, todas as
letras A de uma mensagem serao encriptadas de uma mesma forma. O mesmo
acontecera com todas as letras B, todas as letras C e assim por diante. Desta
forma, a frequencia relativa das letras na mensagem original e preservada de certa
forma na mensagem encriptada. Como exemplo disto, vamos considerar que a
mensagem original foi escrita na Lngua Portuguesa. A letra que aparece com
maior frequencia em palavras da Lngua Portuguesa e a letra A. Desta forma,
se a mensagem original for longa o suficiente, e bastante provavel que a letra que
aparece com maior frequencia na mensagem tambem seja o A. Como todas as
4 Introducao
letras A sao encriptadas de uma mesma forma na mensagem encriptada, temos

entao que e bastante provavel que a letra que aparece com maior frequencia na
mensagem encriptada seja a encriptacao da letra A. Seguimos entao com este
processo analisando a segunda letra mais frequente, a terceira letra mais frequente
e assim por diante. Em diversas situacoes, esta analise estatstica pode ser suficiente
para descobrirmos o conteudo original da mensagem mesmo sem o conhecimento do
valor de k. Mesmo uma analise estatstica de apenas algumas poucas letras pode ja
fornecer indcios suficientes para elaborarmos uma lista de provaveis valores de k.
Esta analise estatstica e conhecida como metodo de contagem de frequencia.
Atualmente, com o advento dos computadores, o metodo de contagem de fre-
quencia pode ser completamente automatizado, de forma que a Cifra de Cesar nao
oferece mais nenhuma seguranca real no momento presente. E possvel ainda utili-
zar os computadores em uma abordagem mais radical. Dado que existem apenas 25
possveis valores para k, podemos programar um computador para testar exausti-
vamente todos estes valores, ate encontrarmos uma decriptacao que resulte em uma
mensagem que faz sentido do ponto de vista lingustico.
Como ultima observacao a respeito da Cifra de Cesar, podemos notar que ela
e um metodo de criptografia de chave privada, ja que a mesma chave utilizada
na encriptacao e utilizada tambem na decriptacao, o que significa que ela deve
permanecer privada, sendo de conhecimento apenas do remetente e do destinatario.
Diversos metodos de criptografia desenvolvidos posteriormente buscaram manei-
ras de contornar a fragilidade exibida pela Cifra de Cesar. Para isto, tais metodos
buscavam maneiras de dificultar o maximo possvel a aplicacao de tecnicas relacio-
nadas ao metodo de contagem de frequencia.
Um metodo que ficou famoso tanto por sua dificuldade em ser quebrado quanto
pelo seu papel historico e o metodo de criptografia implementado pela chamada
Maquina Enigma. Esta maquina foi desenvolvida pela Alemanha nazista para ser
utilizada na encriptacao das mensagens transmitidas pelos comandos militares da
marinha e da aeronautica alemas para seus navios, submarinos e avioes durante
a Segunda Guerra Mundial, entre 1939 e 1945. Assim como na Cifra de Cesar, a
encriptacao de uma mensagem e realizada letra a letra. Entretanto, o processo de
encriptacao de uma letra e consideravelmente mais complexo.
A Maquina Enigma e muito semelhante em aparencia a uma maquina de escre-
ver. Entretanto, alem do conjunto de teclas, sendo uma para cada letra, a maquina
tambem possui um painel de lampadas, sendo novamente uma para cada letra, e
um conjunto de 3 ou 4 rotores, sendo que cada um deles pode ser colocado em 26
posicoes diferentes.
Quando uma tecla da maquina e pressionada, uma das lampadas do painel
se acende. A letra correspondente a lampada que se acendeu representa a en-
criptacao da letra correspondente a tecla que foi pressionada. Alem do acendimento
de uma das lampadas, quando se pressiona uma das teclas, o primeiro rotor gira
uma posicao. Quando o primeiro rotor completa uma volta, o segundo rotor gira
uma posicao. Por sua vez, quando o segundo rotor completa uma volta, o terceiro
rotor gira uma posicao. Um processo analogo ocorre entre o terceiro e o quarto
rotores no caso de uma maquina com quatro rotores.
Antes do incio da encriptacao de uma mensagem, escolhe-se uma posicao inicial
para os rotores da maquina. Este posicionamento inicial dos rotores funciona como
chave de encriptacao, uma vez que ele ira determinar a encriptacao de todas as
letras da mensagem. A encriptacao de uma letra depende da posicao atual de
todos os rotores da maquina no momento em que a tecla correspondente aquela
letra e pressionada. Uma vez que o pressionamento de qualquer tecla gera uma
Mudanca de Paradigma: Chave Publica 5
movimentacao nos rotores, se a mesma tecla for pressionada duas vezes seguidas,
a letra correspondente a esta tecla sera encriptada pela maquina de duas formas
diferentes. Assim, o mapeamento entre letras na mensagem original e letras na
mensagem encriptada nao e mais fixo como na Cifra de Cesar, de modo que o metodo
de contagem de frequencias nao pode mais ser diretamente aplicado para burlar a
seguranca da criptografia da Maquina Enigma. Considerando que existem 263 ou
264 possveis posicionamentos dos rotores, nota-se que qualquer analise estatstica
com o objetivo de obter o conteudo da mensagem original a partir da interceptacao
de uma mensagem encriptada e sem o conhecimento da chave de encriptacao devera
ser consideravelmente mais refinada do que a analise estatstica utilizada no caso
da Cifra de Cesar.
Pode-se notar que, apesar de ser mais sofisticada do que a Cifra de Cesar, a
criptografia da Maquina Enigma tambem e um metodo de criptografia de chave
privada. Caso um intruso saiba a posicao inicial dos rotores da maquina (e possua
uma Maquina Enigma a disposicao), ele podera realizar a decriptacao das mensa-
gens.
Quando a Maquina Enigma comecou a ser utilizada pelos alemaes na Segunda
Guerra Mundial, acreditava-se que a criptografia implementada por ela era im-
possvel de ser quebrada. De fato, durante um bom tempo, os esforcos para acessar
o conteudo das mensagens encriptadas com a Enigma se mostraram inuteis. Isto,
por sua vez, se refletiu em uma grande vantagem da Alemanha sobre a Inglaterra e a
Franca. Em particular, os submarinos alemaes conseguiram impor grandes derrotas
a marinha britanica.
Com o passar do tempo, entretanto, a Maquina Enigma mostrou possuir vul-
nerabilidades. Um time de cientistas, matematicos e militares ingleses conseguiu
desenvolver um metodo para obter o conteudo original de mensagens encriptadas
com a Enigma. Como esperado, este metodo era baseado em analises estatsticas
extremamente sofisticadas. De fato, estas analises eram tao sofisticadas que foi
necessaria a construcao de computadores dedicados somente a realizar todos os
calculos necessarios para a obtencao do conteudo das mensagens. Devido a isso, a
quebra da criptografia da Maquina Enigma acabou por se tornar uma das primeiras
aplicacoes de grande porte da computacao.
Com a quebra da criptografia da Maquina Enigma, pouco a pouco a vantagem
militar alema foi sendo revertida. O momento da quebra desta criptografia coincide
aproximadamente com o momento da mudanca dos rumos da guerra, que passou a
tender para o lado dos aliados. Desta forma, o trabalho de quebra da criptografia
da Maquina Enigma teve relevancia fundamental para o momento que estava sendo
vivido na Europa.
O matematico ingles Alan Turing fazia parte do time que conseguiu a quebra da
criptografia da Maquina Enigma e teve um papel fundamental tanto na elaboracao
dos calculos necessarios para a obtencao do conteudo das mensagens como no projeto
e construcao dos computadores que passaram a realizar tais calculos. Alan Turing
e um dos pioneiros da Ciencia da Computacao, tendo desenvolvido, alem deste
trabalho fundamental na area de criptografia, trabalhos nas areas de Teoria da
Computacao, Inteligencia Artificial e Computacao Cientfica. Para maiores detalhes
sobre sua vida e suas diversas contribuicoes ao desenvolvimento da computacao, o
livro [9] pode ser consultado.
Para os leitores que se interessam pelo desenvolvimento historico dos metodos de
criptografia, recomendamos a consulta ao livro [11]. Este livro realiza uma analise
historica bastante detalhada e completa a respeito da evolucao dos metodos de
criptografia ao longo do tempo, desde a antiguidade ate os dias de hoje.
6 Introducao
1.3 Mudanca de Paradigma: Chave Publica

Todos os metodos de criptografia desenvolvidos e utilizados desde a antiguidade
ate a decada de 1970 pertenciam a categoria dos metodos de chave privada. Isto
comecou a mudar em 1976 com a publicacao do artigo New Directions in Crypto-
graphy (Novas Direcoes na Criptografia) [4] por Whitfield Diffie e Martin Hellman.
Este artigo, que se inicia com a profetica frase We stand today on the brink of
a revolution in cryptography (Estamos hoje no limiar de uma revolucao na cripto-
grafia), apresenta pela primeira vez os conceitos de criptografia de chave publica e
assinatura digital .
Em um metodo de criptografia de chave privada, o remetente e o destinatario
devem estabelecer uma chave de encriptacao e decriptacao antes de iniciarem a troca
de mensagens em um canal inseguro. Isto significa, em particular, que um nao pode
comunicar ao outro o valor da chave atraves deste canal, tendo que realizar esta
comunicacao pessoalmente ou atraves de algum meio confiavel. Tal requisito de pre-
comunicacao da chave atraves de um canal secundario (e seguro) passa a se mostrar
fortemente inconveniente em um mundo onde o uso de redes de computadores passa
a se difundir e as potenciais aplicacoes economicas e comerciais da computacao em
rede comecam a despertar interesse.
A mudanca de paradigma dos metodos de chave publica, em relacao aos metodos
anteriores de chave privada, e que eles nao dependem mais do segredo completo
da chave utilizada na encriptacao. Nos modelos de criptografia de chave publica,
a chave usada para encriptar uma mensagem pode ser de conhecimento publico
e apenas a chave utilizada para decripta-la deve ser mantida de forma privada
pelo destinatario da mensagem. Assim, qualquer um sera capaz de encriptar uma
mensagem, mas somente o destinatario legtimo dela possuira a chave que permite
decripta-la e le-la.
O desenvolvimento de metodos de criptografia de chave publica tambem possi-
bilitou o surgimento de outro conceito complementar, o de assinatura digital. Um
metodo de criptografia tem o objetivo de oferecer uma garantia de privacidade com
relacao a mensagem, isto e, garantir que o seu conteudo estara acessvel apenas
para o remetente e o destinatario legtimo da mensagem. Ja um metodo de assina-
tura digital tem o objetivo de oferecer uma garantia de autenticidade com relacao
a mensagem, isto e, garantir que uma determinada mensagem foi realmente criada
por seu suposto remetente. Desta forma, enquanto a criptografia prove seguranca
com relacao ao acesso no lado do destinatario, a assinatura digital prove seguranca
com relacao a origem no lado do remetente.
A partir desta ideia, nos modelos de assinatura digital, a chave de assinatura
devera ser mantida de forma privada pelo remetente da mensagem, enquanto a chave
utilizada na verificacao da autenticidade da assinatura pode ser de conhecimento
publico. Assim, ninguem alem do remetente sera capaz de assinar suas mensagens
em seu lugar, mas qualquer um sera capaz de verificar se uma assinatura em uma
mensagem foi realmente produzida pelo suposto remetente.
Estes novos modelos de criptografia e assinatura digital impoem novos desa-
fios teoricos, pois, para que eles sejam realmente seguros, nao deve haver nenhum
procedimento computacional simples para calcular o valor da chave privada (de
decriptacao ou de assinatura) a partir do valor conhecido da chave publica (de en-
criptacao ou de verificacao). Caso tal procedimento exista, entao o metodo nao
estara oferecendo seguranca nenhuma, porque qualquer um que possua a chave pri-
vada sera capaz de decriptar e ler as mensagens, mesmo nao sendo o seu destinatario
legtimo, no caso de um metodo de criptografia, ou sera capaz de falsificar assina-
Mudanca de Paradigma: Chave Publica 7
turas em mensagens, no caso de um metodo de assinatura digital. Desta forma, a

seguranca dos metodos de criptografia de chave publica e de assinatura digital se
baseia na dificuldade computacional de se resolver alguns problemas matematicos.
Em outras palavras, em um metodo de criptografia de chave publica ou de assi-
natura digital seguro, a tarefa de se calcular o valor da chave privada a partir do
valor conhecido da chave publica e equivalente a tarefa de se resolver um problema
matematico com altssima complexidade computacional.
Atualmente, os metodos de criptografia de chave publica e de assinatura digital
assumiram uma importancia muito grande com a difusao e popularizacao dos com-
putadores e da Internet. Os metodos de chave publica e de assinatura sao usados
massivamente em servicos de comercio eletronico, Internet banking e em protocolos
de autenticacao em paginas web assim como para a troca de dados sensveis atraves
da Internet. A seguranca destes metodos tornou-se entao um requisito fundamental
do ponto de vista comercial, economico e militar.
Dois dos metodos de criptografia de chave publica e de assinatura digital mais
utilizados atualmente sao o RSA [25], desenvolvido por Ron Rivest, Adi Shamir e
Leonard Adleman e o El Gamal [5], desenvolvido pelo pesquisador de mesmo nome.
No caso do RSA, o calculo do valor da chave privada a partir do valor conhecido
da chave publica e equivalente ao problema de fatorar um numero inteiro muito
grande, o que e um problema muito difcil de ser resolvido, mesmo com a ajuda de
um computador (nao ha algoritmos eficientes para a fatoracao de inteiros no caso
geral). Ja no caso do El Gamal, o calculo da chave privada a partir da chave publica
e equivalente a resolucao de uma instancia do Problema do Logaritmo Discreto, um
problema oriundo da teoria de grupos que estudaremos em detalhes mais adiante
neste livro. Este tambem e um problema muito difcil de ser resolvido, mesmo com
a ajuda de um computador (tambem nao ha algoritmos eficientes para ele no caso
geral).
Mesmo nao sendo conhecidos algoritmos eficientes para resolver estes problemas,
existem alguns algoritmos que, apesar de nao serem bons o suficiente para resolve-
los no caso geral, podem ser capazes de resolver algumas instancias do Problema da
Fatoracao ou do Problema do Logaritmo Discreto ate um certo limite de tamanho.
Isto impoe um tamanho mnimo que as chaves utilizadas devem possuir para que
o sistema seja seguro, isto e, para que nao seja possvel utilizar-se na pratica um
dos algoritmos conhecidos para realizar o calculo da chave privada. Conforme o
poder de processamento dos computadores vai aumentando ao longo do tempo, o
tamanho mnimo das chaves para que o sistema seja seguro tambem aumenta.
O aumento do tamanho das chaves para a manutencao da seguranca tambem
acarreta em um efeito colateral: dadas duas copias do mesmo sistema de criptografia
ou assinatura digital, uma que utiliza uma chave pequena e outra que utiliza uma
chave grande, o processamento de encriptacao e decriptacao ou de assinatura e
verificacao das mensagens por usuarios legtimos do sistema sera mais lento no caso
em que a chave e maior. Desta forma, o aumento do tamanho das chaves para a
manutencao da seguranca acaba acarretando em uma perda de desempenho para
os usuarios legtimos que utilizam o sistema.
O estudo dos metodos de criptografia de chave publica e de assinatura digi-
tal possui um lado construtivo e um lado destrutivo. No lado construtivo,
estudamos a fundamentacao matematica do metodo de criptografia ou assinatura
digital em consideracao, a seguranca deste metodo e a sua implementacao de forma
eficiente no computador. No lado destrutivo, estudamos os diversos algoritmos
existentes para a resolucao do problema matematico subjacente ao metodo de crip-
tografia de chave publica ou assinatura digital em questao. No caso especfico do
8 Introducao
metodo El Gamal, que sera o metodo estudado ao longo deste livro, devemos estudar
os algoritmos existentes para a resolucao do Problema do Logaritmo Discreto em
grupos finitos. Este estudo do lado destrutivo nao interessa apenas a pessoas mal
intencionadas. Ele e muito importante tambem para quem implementa o sistema e
para os usuarios legtimos dele. O conhecimento dos algoritmos disponveis para a
resolucao do problema matematico associado a um metodo de criptografia de chave
publica ou assinatura digital e importante do ponto de vista pratico, pois, mesmo
que este problema seja difcil de ser computacionalmente resolvido no caso geral, os
algoritmos existentes sao eficientes em alguns casos particulares. Tais casos devem
entao ser evitados durante a construcao dos sistemas, para que sua seguranca nao
seja comprometida.
Desta forma, tentando obter uma visao global dos varios aspectos envolvidos
na implementacao segura e eficiente de metodos de criptografia de chave publica e
de assinatura digital, estudaremos o problema matematico subjacente ao metodo
El Gamal, que e o Problema do Logaritmo Discreto em grupos finitos, como ele e
utilizado na construcao do metodo e tambem diversos algoritmos apresentados na
literatura para a resolucao de alguns casos deste problema matematico.
Encerramos esta secao apresentando alguns outros livros que tratam de metodos
de criptografia de chave publica e de assinatura digital, assim como dos problemas
matematicos subjacentes a eles. Para um estudo detalhado do metodo RSA, descrito
brevemente acima, o livro [3] e uma otima referencia em Lngua Portuguesa. Outros
livros que abordam estes topicos com um bom nvel de detalhe sao [16], [13] e [10].
1.4 Roteiro
Neste livro, temos o objetivo de estudar o metodo El Gamal de criptografia de chave
publica e de assinatura digital. De modo a delinear nosso caminho ate este objetivo,
apresentamos a seguir um roteiro dos assuntos que serao abordados no decorrer dos
proximos captulos.
Apos o panorama introdutorio apresentado ao longo deste captulo, iniciamos,
no Captulo 2, a apresentacao dos conceitos matematicos subjacentes a construcao
do metodo El Gamal.
No Captulo 2, apresentamos a chamada aritmetica modular, que sera utili-
zada em todos os calculos realizados pelo metodo El Gamal. A nocao central da
aritmetica modular e a nocao de relacao de congruencia modulo n, onde n e um
inteiro maior do que 1.
Iniciamos o captulo discutindo os conceitos basicos de divisibilidade entre nume-
ros inteiros. Um conceito muito importante que sera apresentado e o maximo divisor
comum entre dois inteiros positivos a e b. Iremos apresentar tambem um algoritmo
que, alem de calcular o maximo divisor comum, calcula simultaneamente outros
dois inteiros que serao uteis para nossas aplicacoes. Este e o Algoritmo Euclidiano
Estendido.
Em seguida, apresentamos o conceito de relacao de equivalencia para, logo apos,
discutirmos o caso particular de relacao de equivalencia que ira nos interessar pelo
restante do livro: a relacao de congruencia modulo n. Para podermos definir
esta relacao, utilizamos os conceitos de divisibilidade entre inteiros. Descrevere-
mos entao os conjuntos Zn , onde n > 1, dos inteiros modulo n, construdos a
partir das relacoes de congruencia modulo n. Explicaremos tambem como realizar
as operacoes aritmeticas de soma, diferenca, produto e potenciacao com elemen-
tos destes conjuntos e como calcular inversos multiplicativos destes elementos. Em
Roteiro 9
particular, as operacoes de potenciacao e de calculo de inversos multiplicativos sao

operacoes fundamentais para os calculos realizados durante a execucao do metodo
El Gamal. Mostraremos ainda que o Algoritmo Euclidiano Estendido e os valores
que ele calcula sao especialmente uteis no calculo de inversos multiplicativos de
elementos de um conjunto Zn .
Finalizando este captulo, discutimos o chamado Teorema Chines do Resto e o
seu algoritmo associado, que sao uteis para a resolucao de sistemas de congruencias
modulares.
No Captulo 3, continuamos a nossa apresentacao de conceitos matematicos
basicos necessarios para as nossas aplicacoes com uma pequena discussao a respeito
dos numeros primos.
Primeiramente, apresentamos os conceitos fundamentais de numero primo e
numero composto. Em seguida, descrevemos uma prova bastante simples de que
existem infinitos numeros primos. Certamente, este e um resultado de que ninguem
duvida. Mesmo assim, e importante termos uma prova formal dele, uma vez que
numeros primos sao necessarios para a construcao das chaves utilizadas pelo metodo
El Gamal. Portanto, a infinidade dos numeros primos nos garante que sempre
podemos construir novas chaves conforme seja necessario, isto e, o metodo El Gamal
nunca se tornara obsoleto pelo esgotamento dos numeros primos utilizados.
Outro resultado fundamental que apresentamos a respeito dos numeros primos
e o da unicidade da fatoracao de qualquer inteiro positivo n 2 em fatores primos.
Em seguida, apresentamos o crivo de Eratostenes, um metodo bastante sim-
ples para obter uma lista de todos os numeros primos ate um determinado limite
superior.
Retornando a aritmetica modular, apresentamos o Pequeno Teorema de Fermat,
um resultado muito util para calculos com inteiros modulares em um conjunto Zp ,
onde p e primo. Descrevemos tambem como utilizar o Pequeno Teorema de Fermat
em conjunto com o Algoritmo Chines do Resto para simplificar bastante o calculo
de potencias modulares em alguns casos.
Finalmente, encerrando nossa discussao sobre numeros primos, apresentaremos
o teste de Miller-Rabin, que e uma forma muito eficiente de testar computacional-
mente se um dado numero e ou nao primo sem a necessidade de obter a sua fa-
toracao. Como precisamos de numeros primos para construir as chaves do metodo
El Gamal, se nao possussemos uma forma eficiente de testar a primalidade de
numeros, entao nao teramos como utilizar o El Gamal na pratica.
No Captulo 4, apresentamos nosso ultimo topico entre os conceitos matemati-
cos basicos necessarios para as nossas aplicacoes, com a discussao da estrutura
algebrica conhecida como grupo.
Primeiramente, iremos apresentar a definicao formal do que e um grupo, sendo
que estaremos mais interessados em grupos finitos. Em seguida, descreveremos o
nosso foco principal, que sao grupos construdos a partir das relacoes de congruencia
modulo n. Tais grupos sao denotados por U (n) e seus elementos sao os elementos
de Zn que possuem inverso multiplicativo modulo n. Iremos tambem estudar de
maneira particular os grupos U (p), onde p e um primo, ja que os calculos do metodo
El Gamal sao realizados em grupos deste tipo.
Ao longo do captulo, apesar de nosso foco principal ser os grupos U (n) e U (p),
tambem apresentaremos algumas nocoes gerais oriundas da teoria de grupos. Entre
elas, discutiremos as nocoes de subgrupos e de grupos e subgrupos cclicos. Esta
ultima nocao tambem se mostrara muito importante para a construcao do metodo
El Gamal. Alem disso, completaremos nossa discussao apresentando e provando
alguns resultados fundamentais sobre grupos, como o Teorema de Lagrange e o
10 Introducao
Teorema da Raiz Primitiva, entre outros. De maneira mais ou menos explcita,

cada um destes resultados e importante na construcao do metodo El Gamal.
Finalmente, apresentamos tambem neste captulo a formulacao do Problema
do Logaritmo Discreto, um problema da teoria de grupos que esta intimamente
relacionado a seguranca do metodo El Gamal.
No Captulo 5, apos todos os conceitos matematicos necessarios a respeito dos
numeros inteiros, da aritmetica modular e da teoria de grupos terem sido apresen-
tados, estamos prontos para entender o funcionamento do metodo El Gamal.
Neste captulo, apresentamos o metodo El Gamal para criptografia e para assina-
tura digital, assim como o metodo DSA para assinatura digital, que e uma pequena
variacao do El Gamal. Mostraremos como construir as chaves de encriptacao e
decriptacao (ou chaves de assinatura e verificacao, no caso da assinatura digital) e
quais sao os calculos necessarios para encriptar e decriptar uma mensagem (ou para
assinar uma mensagem e verificar uma assinatura).
Discutiremos o funcionamento do metodo, mostrando que a mensagem original
sempre pode ser recuperada por quem possui a chave correta de decriptacao. Ana-
logamente, no caso da assinatura digital, mostramos tambem que uma assinatura
sempre pode ser produzida para qualquer mensagem por quem possui a chave cor-
reta de assinatura. Por outro lado, mostraremos que o metodo e bastante seguro,
mostrando que a unica maneira conhecida para um usuario nao autorizado calcu-
lar o valor da chave de decriptacao a partir apenas do conhecimento da chave de
encriptacao (ou o valor da chave de assinatura a partir da chave de verificacao)
envolve a resolucao do Problema do Logaritmo Discreto em um grupo finito, que
e um problema computacionalmente difcil. Desta forma, podemos concluir que o
metodo El Gamal e um metodo efetivo e seguro de criptografia de chave publica e
assinatura digital.
Encerrando o livro, apresentamos, no Captulo 6, alguns algoritmos para a
resolucao do Problema do Logaritmo Discreto em grupos finitos cclicos.
Este estudo e importante, pois, apesar da resolucao do Problema do Logaritmo
Discreto ser computacionalmente difcil no caso geral, existem casos particulares em
que os algoritmos conhecidos sao eficientes. Desta forma, e importante o conheci-
mento destes algoritmos e a analise de em quais casos eles sao eficientes para que, ao
implementarmos um metodo de criptografia ou assinatura digital baseado em gru-
pos, como o El Gamal e o DSA, possamos contornar e evitar tais casos, ja que estes
sao justamente os casos em que a seguranca dos metodos estara comprometida.
Neste captulo, estudaremos o chamado algoritmo ingenuo, tambem conhecido
como algoritmo de busca exaustiva ou algoritmo de forca bruta, o Algoritmo Baby-
Step/Giant-Step de Shanks, o Algoritmo Rho de Pollard, o Algoritmo de Pohlig-
Hellman e o Algoritmo do Calculo de Indices. Estes algoritmos, em conjunto com
algumas variantes, compoem a maioria dos metodos conhecidos para a resolucao
do Problema do Logaritmo Discreto, de forma que estaremos fazendo um estudo
bastante completo deste topico.
1.5 Exerccios
1. Qual e o objetivo principal da criptografia? O que torna a sua aplicacao
necessaria?
2. Explique as diferencas entre um metodo de criptografia de chave privada e
um metodo de criptografia de chave publica. De dois exemplos de metodos
pertencentes a cada categoria.
Exerccios 11
3. Explique as diferencas entre os objetivos de um metodo de criptografia de

chave publica e de um metodo de assinatura digital. Explique tambem as
diferencas entre os seus funcionamentos.
4. Explique o funcionamento da Cifra de Cesar. Ela e um metodo de chave
privada ou de chave publica? Por que?
5. Encripte o seu primeiro nome com a Cifra de Cesar, utilizando k = 6.
6. Sabendo que a mensagem OVQKWKV foi encriptada com a Cifra de Cesar
utilizando k = 10, decripte a mensagem e recupere o seu conteudo original.
7. Explique a fragilidade da Cifra de Cesar.

12 Introducao
Captulo 2
Aritmetica Modular
Apos o panorama introdutorio apresentado no captulo anterior, iniciamos, neste

captulo, a apresentacao dos conceitos matematicos subjacentes a construcao do
metodo El Gamal.
Neste captulo, apresentaremos a chamada aritmetica modular, que sera utili-
zada em todos os calculos realizados pelo metodo El Gamal. A nocao central da
aritmetica modular e a nocao de relacao de congruencia modulo n, onde n e um
inteiro maior do que 1.
Iniciamos o captulo discutindo os conceitos basicos de divisibilidade entre nume-
ros inteiros. Um conceito muito importante que sera apresentado e o maximo divisor
comum entre dois inteiros positivos a e b. Iremos apresentar tambem um algoritmo
que, alem de calcular o maximo divisor comum, calcula simultaneamente outros
dois inteiros que serao uteis para nossas aplicacoes. Este e o Algoritmo Euclidiano
Estendido.
Em seguida, apresentamos o conceito de relacao de equivalencia para, logo apos,
discutirmos o caso particular de relacao de equivalencia que ira nos interessar pelo
restante do livro: a relacao de congruencia modulo n. Para podermos definir esta
relacao, utilizamos o conceito de divisibilidade entre inteiros. Descreveremos entao
os conjuntos Zn , onde n > 1, dos inteiros modulo n, construdos a partir das
relacoes de congruencia modulo n. Explicaremos tambem como realizar as operacoes
aritmeticas de soma, diferenca, produto e potenciacao com elementos destes con-
juntos e como calcular inversos multiplicativos destes elementos. Em particular,
as operacoes de potenciacao e de calculo de inversos multiplicativos sao operacoes
fundamentais para os calculos realizados durante a execucao do metodo El Gamal.
Mostraremos ainda que o Algoritmo Euclidiano Estendido e os valores que ele cal-
cula sao especialmente uteis no calculo de inversos multiplicativos de elementos de
um conjunto Zn .
Finalizando este captulo, discutimos o chamado Teorema Chines do Resto e o
seu algoritmo associado, que sao uteis para a resolucao de sistemas de congruencias
modulares.
2.1 Divisibilidade
Nesta secao, apresentamos os conceitos basicos de divisibilidade entre numeros in-
teiros. Para isto, iniciamos pelas definicoes de quociente e resto de uma divisao
inteira.
14 Aritmetica Modular
Definicao 2.1 (Quociente e Resto). Dados dois inteiros a, chamado de dividendo,

e b > 0, chamado de divisor, definimos o quociente q e o resto r da divisao inteira
de a por b como os inteiros que satisfazem as seguintes condicoes:
a = bq + r e 0 r < b.
Tanto na definicao acima como no restante do texto, estaremos sempre consi-

derando que os divisores sao positivos, ja que este caso e suficiente para todas as
nossas necessidades. Em particular, ele e suficiente para a nossa definicao, mais
adiante neste captulo, da nocao de relacao de congruencia modulo n.
Em princpio, a definicao acima pode parecer fraca. Todos nos aprendemos na
escola como realizar o calculo de uma divisao inteira (tambem chamada de divisao
com resto) de forma a obter quociente e resto que satisfacam a definicao acima.
Entretanto, nao e tao obvio a partir dela que existira apenas um par de quociente e
resto que satisfaca as condicoes acima. Para um mesmo par de dividendo e divisor,
poderia haver outros pares de quociente e resto, diferentes daquele que calculamos,
que tambem satisfacam a definicao acima?
Felizmente, a resposta e nao. Para cada divisao inteira, existe realmente apenas
um par de quociente e resto satisfazendo as condicoes acima. Isto significa que,
nao importa quantos metodos diferentes possam existir para realizar este calculo,
caso os metodos efetivamente produzam o resultado correto do calculo, eles todos
retornarao os mesmos valores de quociente e resto.
Vamos provar este resultado no teorema abaixo. Este teorema e um bom exem-
plo inicial de um resultado de unicidade.
Teorema 2.1 (Unicidade do Quociente e Resto). Dados dois inteiros a e b > 0,
existe um unico par de inteiros q e r que satisfaz as condicoes da definicao acima.
Demonstracao: Suponha que, para um dado par de inteiros a e b > 0, existam dois
pares de inteiros (q, r) e (q 0 , r0 ) que satisfacam as condicoes acima. Nosso objetivo
e mostrar que q = q 0 e r = r0 . Temos entao
a = bq + r e a = bq 0 + r0 ,
onde 0 r, r0 < b. Vamos supor, sem perda de generalidade, que r0 r. Como

tanto r quanto r0 sao menores do que b, a sua diferenca tambem e menor do que b.
Temos entao 0 r0 r < b. Subtraindo as duas igualdades acima, obtemos
0 = b(q q 0 ) + (r r0 ),
o que significa que r0 r = b(q q 0 ). Como 0 r0 r < b, temos 0 b(q q 0 ) < b.

Como b 6= 0, isto e equivalente a 0 q q 0 < 1. Uma vez que q e q 0 sao inteiros e
o unico inteiro maior ou igual a 0 e menor do que 1 e 0, temos que q q 0 = 0. Isto
nos permite concluir que q = q 0 e, consequentemente, que r = r0 .
Apresentamos a seguir um algoritmo bem simples, embora extremamente ine-

ficiente no caso geral, para calcular o quociente e o resto de uma divisao inteira
quando o dividendo e o divisor sao ambos inteiros positivos. Apesar deste algo-
ritmo nao ter muita utilizacao pratica, a sua simplicidade torna-o um bom exemplo
para ilustrarmos como iremos apresentar os algoritmos ao longo deste livro.
Para descrever completamente um algoritmo, precisamos especificar tres coisas:
os dados que o algoritmo recebe como entrada, os dados que ele deve produzir como
sada e a sequencia de instrucoes que ele deve executar para conseguir isto.
Divisibilidade 15
Algoritmo 2.1: Algoritmo Simples para Divisao Inteira

Entrada: Dois numeros inteiros a, b > 0.
Sada: Dois numeros inteiros q e r tais que a = bq + r e 0 r < b.
Instrucoes:
1. q 0 # A variavel q armazena o valor 0
2. r a # A variavel r armazena o valor de a
3. Enquanto r b, faca:
3.1. q q + 1 # Soma-se 1 ao valor armazenado em q
3.2. r r b # Subtrai-se b do valor armazenado em r
4. Retorne q e r.
Antes de discutirmos o algoritmo em si, vamos observar as notacoes que estamos
utilizando na sua descricao acima. Estas mesmas notacoes serao utilizadas nos
outros algoritmos apresentados neste livro.
As instrucoes no formato
xt
significam que o valor t sera armazenado dentro da variavel x. Ao mencionarmos
variaveis em um algoritmo, e importante tambem lembrar que o termo variavel
tem significados distintos em um algoritmo e em uma equacao matematica. Em
um algoritmo, uma variavel e um rotulo para uma posicao de memoria onde iremos
armazenar valores. Desta forma, o valor armazenado em uma variavel pode ser
alterado durante a execucao de um algoritmo. Como exemplo, no algoritmo acima,
a expressao
q q+1
significa que iremos tomar o valor que esta armazenado em q, somar 1 a este valor
e entao armazenar o resultado desta soma de volta na variavel q. Com isso, o
valor armazenado em q e efetivamente alterado pela execucao desta instrucao. As
instrucoes neste formato sao chamadas de instrucoes de atribuicao, ja que atribuem
um novo valor a uma variavel, isto e, armazenam um novo valor na variavel. Em
uma instrucao de atribuicao, o lado direito da atribuicao (a expressao que aparece
a direita do smbolo ) e sempre totalmente calculado para so entao o resultado
deste calculo ser armazenado na variavel indicada no lado esquerdo da atribuicao.
Os algoritmos, em geral, apresentam instrucoes de repeticao e/ou instrucoes con-
dicionais. Uma instrucao de repeticao e uma instrucao que orienta o algoritmo a
repetir um determinado bloco de instrucoes enquanto uma determinada condicao se
mantiver verdadeira. Ja uma instrucao condicional e uma instrucao que orienta o al-
goritmo a executar um determinado bloco de instrucoes apenas se uma determinada
condicao for verdadeira. Temos tambem instrucoes condicionais mais elaboradas,
que orientam o algoritmo a executar um determinado bloco de instrucoes se uma
determinada condicao for verdadeira ou um outro bloco de instrucoes se esta mesma
condicao for falsa. Tais instrucoes condicionais funcionam como uma bifurcacao
no algoritmo.
Na nossa notacao para os algoritmos, os blocos de instrucoes que se encontram
dentro de instrucoes de repeticao ou de instrucoes condicionais aparecem com um
recuo maior em relacao a instrucao de repeticao ou instrucao condicional inicial
e com a numeracao de suas instrucoes se iniciando sempre com o mesmo numero
da instrucao inicial. Como exemplo, no algoritmo acima, temos a instrucao de
repeticao
3. Enquanto r b, faca:
3.1. q q + 1
3.2. r r b
Todas as instrucoes que fazem parte do bloco que deve ser repetido estao recua-
das em relacao a instrucao de repeticao inicial e comecam com o mesmo numero
da instrucao inicial (3). Desta forma, com esta notacao, e facil determinar quais
instrucoes devem ser repetidas ou quais instrucoes sao condicionalmente executadas.
Finalmente, encerrando por hora a discussao sobre a notacao que utilizamos para
descrever os algoritmos, vamos explicar o que significa o smbolo #. Quando este
smbolo aparece em alguma linha da sequencia de instrucoes, tudo o que vem depois
dele e um comentario, isto e, alguma explicacao ou auxlio sobre aquela instrucao.
Um comentario serve apenas para as pessoas que estao lendo o algoritmo, mas nao
afeta de forma alguma a execucao da instrucao onde ele aparece.
Vamos agora discutir especificamente o Algoritmo da Divisao que apresentamos
acima. Como ele possui uma instrucao de repeticao, e importante verificar que o
algoritmo nao fica repetindo eternamente o bloco de instrucoes dentro desta ins-
trucao de repeticao. Tambem e importante verificar, como em qualquer algoritmo,
que o resultado que ele produz ao final da execucao de todas as instrucoes e correto,
isto e, satisfaz a descricao dada pela sada do algoritmo. No caso particular do
Algoritmo da Divisao, precisamos nos certificar que o resultado final e realmente o
quociente e o resto da divisao inteira dos numeros fornecidos como entrada.
Para verificar estes dois pontos, vamos olhar a sequencia de valores armazenados
nas variaveis q e r ao longo da execucao do algoritmo. O valor armazenado nestas
variaveis e alterado a cada repeticao da instrucao de repeticao que destacamos
acima. A tabela abaixo exibe as sequencias de valores.
Repeticoes 0 1 2 3 ... u1 u
q 0 1 2 3 ... u1 u
r a a b a 2b a 3b . . . a (u 1)b a ub
Vemos que a variavel r assume a sequencia estritamente decrescente de valores

a > a b > a 2b > . . .. Enquanto o valor em r for maior ou igual a b, as repeticoes
continuam. Mas todos estes valores na sequencia sao inteiros distintos e existe uma
quantidade finita de inteiros menores do que a e maiores ou iguais a b. Logo, as
repeticoes tem que parar eventualmente.
Os ultimos valores armazenados nas variaveis q e r sao u e a ub, logo estes
sao os valores que o algoritmo retorna como quociente e resto, respectivamente. Se
o ultimo valor armazenado em r e a ub, isto significa que nao ocorreram mais
repeticoes no algoritmo apos este valor ser armazenado em r. Mas as repeticoes
so param quando o valor em r se torna menor do que b. Assim, o resto retornado
pelo algoritmo satisfaz a condicao de ser menor do que b. Alem disso, como o
quociente retornado e u e o resto retornado e a ub, eles tambem satisfazem a
condicao a = bq + r, ja que bu + (a ub) = a. A unica condicao que ainda
precisamos verificar e que o resto retornado e maior ou igual a zero. O penultimo
valor armazenado em r e a (u 1)b. Como ainda ocorre uma repeticao apos este
valor ser armazenado em r, isto significa que a (u 1)b b. Subtraindo b de
ambos os lados da inequacao, obtemos a ub 0. Mas a ub e o resto retornado
pelo algoritmo. Logo, ele e maior ou igual a zero. Podemos concluir entao que o
Algoritmo da Divisao descrito acima retorna o resultado correto.
Divisibilidade 17
O algoritmo que apresentamos so funciona quando o dividendo e um inteiro po-

sitivo, mas ele pode ser facilmente generalizado para um algoritmo que aceite como
dividendo qualquer numero inteiro. Deixamos esta generalizacao como exerccio
(Exerccio 1).
Este algoritmo e muito ineficiente no caso geral, pois o numero de repeticoes
que ele realiza e sempre igual ao quociente da divisao. Um algoritmo de divisao
inteira mais eficiente, mas que ainda e razoavelmente simples de ser programado,
conhecido como Algoritmo de Divisao Longa, pode ser encontrado em [12].
Agora que ja estamos bem familiarizados com a operacao de divisao inteira e
com as nocoes de quociente e resto, vamos apresentar uma definicao que e derivada
diretamente destas nocoes.
Definicao 2.2. Sejam a e b > 0 numeros inteiros. Dizemos que a e multiplo de
b, ou que a e divisvel por b, ou que b e divisor de a, ou que b divide a, ou que b
e fator de a, se a = ba0 , para algum a0 Z, isto e, se a divisao de a por b produz
resto 0.
Muitas vezes, apressadamente, uma pessoa pode dizer que x e divisvel por y
quando queria dizer que x divide y, ou vice-versa. E preciso sempre tomar muito
cuidado com estas nomenclaturas.
Exemplo 2.1. Os divisores do numero 12 sao os elementos do conjunto D =
{1, 2, 3, 4, 6, 12}.
Definicao 2.3. Um divisor proprio ou fator proprio de um numero inteiro a e um

fator de a diferente de 1 e do proprio a.
Exemplo 2.2. Os divisores proprios de 12 sao os elementos do conjunto D0 =
{2, 3, 4, 6}.
Vamos agora apresentar uma nocao muito importante no estudo da teoria dos
numeros inteiros: a nocao de maximo divisor comum entre dois inteiros positivos.
Definicao 2.4. Sejam a e b dois numeros inteiros positivos. Definimos o maximo
divisor comum entre a e b, denotado por mdc(a, b), como o maior inteiro que e
simultaneamente divisor de a e divisor de b.
Em muitas situacoes, precisaremos ser capazes de calcular o maximo divisor
comum entre dois inteiros positivos a e b. Uma das maneiras mais simples seria
calcular o conjunto de todos os divisores de a e o conjunto de todos os divisores de b
e entao buscar o maior numero que aparece em ambos os conjuntos. Entretanto, este
metodo e extremamente ineficiente na pratica quando a e b sao numeros grandes.
Vamos apresentar um algoritmo para o calculo do maximo divisor comum que e
bem mais eficiente do que a estrategia acima e que ainda oferece um benefcio extra:
dados dois inteiros positivos a e b, alem dele calcular d = mdc(a, b), ele tambem
calcula dois inteiros e tais que
a + b = d.
Neste momento, algumas perguntas surgem imediatamente. Por que calcular

dois inteiros que satisfacam a igualdade acima? Qual a utilidade destes dois inteiros?
Estas perguntas serao respondidas mais adiante neste livro. O que ja pode ser dito
neste momento e que tanto o calculo de mdc(a, b) quanto o calculo dos inteiros e
serao extremamente uteis para as nossas aplicacoes ao longo do livro.
O algoritmo que vamos apresentar e conhecido como Algoritmo Euclidiano Es-

tendido. Ele possui este nome porque estende o Algoritmo Euclidiano para o calculo
do maximo divisor comum com algumas contas a mais para calcular os inteiros e
.
Ja o Algoritmo Euclidiano para o calculo do maximo divisor comum tem este
nome pois foi apresentado por Euclides, um matematico da Grecia Antiga que viveu
em torno do ano 300 AC, no livro VII da sua coletanea matematica Elementos
[6]. Este e um dos mais antigos algoritmos a permanecer ainda em uso pratico.
O Algoritmo Euclidiano funciona atraves de divisoes inteiras sucessivas. Se que-
remos calcular o maximo divisor comum entre os inteiros positivos a e b, comecamos
realizando a divisao inteira de a por b, obtendo um quociente q1 e um resto r1 . Se
este resto for nulo, entao mdc(a, b) = b e o algoritmo termina. Caso contrario, o
divisor da ultima divisao sera usando como dividendo de uma nova divisao e o resto
da ultima divisao sera usado como divisor desta nova divisao. Isto e, dividiremos
b por r1 , obtendo um quociente q2 e um resto r2 . Caso o resto r2 nao seja nulo,
repetimos o processo descrito acima, dividindo r1 por r2 e assim por diante. O
algoritmo termina quando obtivermos um resto zero. Teremos entao que o maximo
divisor comum entre a e b sera o ultimo resto diferente de zero nesta sequencia de
divisoes.
O Algoritmo Euclidiano e resumido de forma esquematica nas duas primeiras
colunas da Figura 2.1.
a = bq1 + r1 0 < r1 < b 1 a + 1 b = r1

b = r1 q2 + r2 0 < r2 < r1 2 a + 2 b = r2
r1 = r2 q3 + r3 0 < r3 < r2 3 a + 3 b = r3
.. .. ..
. . .
rj2 = rj1 qj + rj 0 < rj < rj1 j a + j b = rj
rj1 = rj qj+1 + rj+1 0 < rj+1 < rj j+1 a + j+1 b = rj+1
rj = rj+1 qj+2 + rj+2 0 < rj+2 < rj+1 j+2 a + j+2 b = rj+2
.. .. ..
. . .
rn3 = rn2 qn1 + rn1 0 < rn1 < rn2 n1 a + n1 b = rn1
rn2 = rn1 qn + rn rn = 0
Figura 2.1: Forma Esquematica do Algoritmo Euclidiano Estendido
De acordo com os calculos na Figura 2.1, o resto rn e igual a zero e os restos

anteriores sao todos diferentes de zero. Assim, o algoritmo termina apos o calculo
de rn , sem realizar mais divisoes. Ja que rn = 0 e o Algoritmo Euclidiano nos diz
que mdc(a, b) e igual ao ultimo resto diferente de zero nesta sequencia de divisoes,
entao temos que mdc(a, b) = rn1 .
Analogamente ao que fizemos anteriormente para o Algoritmo da Divisao, preci-
samos mostrar que a sequencia de divisoes sucessivas do Algoritmo Euclidiano nao
pode continuar eternamente e tambem que o ultimo resto diferente de zero nesta
sequencia de divisoes e realmente o maximo divisor comum entre a e b.
Consultado a segunda coluna da Figura 2.1, notamos que os restos produzi-
dos pela sequencia de divisoes formam uma sequencia estritamente decrescente de
numeros inteiros: b > r1 > r2 > r3 > . . .. Como estes numeros sao todos inteiros e
distintos e existe uma quantidade finita de inteiros menores do que b e maiores do
Divisibilidade 19
que zero, eventualmente tera que aparecer na sequencia de divisoes um resto igual
a zero, fazendo o algoritmo terminar.
Vamos agora mostrar que o ultimo resto diferente de zero na sequencia de di-
visoes do Algoritmo Euclidiano e realmente o maximo divisor comum entre a e b.
Para isso, precisamos de um lema auxiliar.
Lema 2.1. Sejam a, b, s e t quatro numeros inteiros positivos tais que a = bs + t.

Entao, mdc(a, b) = mdc(b, t).
Demonstracao: Sejam d1 = mdc(a, b) e d2 = mdc(b, t).

Como d1 e o maximo divisor comum entre a e b, d1 divide a e d1 divide b.
Logo, a = d1 a0 , para algum a0 Z e b = d1 b0 , para algum b0 Z. Substituindo
na igualdade do enunciado, obtemos d1 a0 = d1 b0 s + t, que pode ser escrito como
d1 (a0 b0 s) = t. Esta igualdade implica que d1 divide t. Entao, d1 e um divisor
comum entre b e t. Como d2 e o maximo divisor comum entre b e t, temos que
d1 d2 .
Analogamente, como d2 e o maximo divisor comum entre b e t, d2 divide b e
d2 divide t. Logo, b = d2 b00 , para algum b00 Z e t = d2 t0 , para algum t0 Z.
Substituindo na igualdade do enunciado, obtemos a = d2 b00 s + d2 t0 , que pode ser
escrito como a = d2 (b00 s + t0 ). Esta igualdade implica que d2 divide a. Entao, d2
e um divisor comum entre a e b. Como d1 e o maximo divisor comum entre a e b,
temos que d2 d1 .
De d1 d2 e d2 d1 , podemos concluir que d1 = d2 .
Vamos agora olhar para a sequencia de divisoes na Figura 2.1 na ordem reversa,
comecando pela ultima. Como rn = 0, a ultima divisao pode ser escrita como
rn2 = rn1 qn . Isto significa que rn1 divide rn2 . Como rn1 tambem divide a si
proprio, temos que rn1 e um divisor comum entre rn2 e rn1 . Entretanto, rn1
nao pode possuir nenhum divisor maior do que si mesmo. Assim, nao pode haver
nenhum divisor comum entre rn2 e rn1 maior do que rn1 , o que significa que
mdc(rn2 , rn1 ) = rn1 .
Vamos observar agora a penultima divisao: rn3 = rn2 qn1 + rn1 . Aplicando
o lema acima a esta igualdade, temos que mdc(rn3 , rn2 ) = mdc(rn2 , rn1 ). Mas
acabamos de mostrar que mdc(rn2 , rn1 ) = rn1 , logo mdc(rn3 , rn2 ) = rn1 .
Se continuarmos aplicando o lema acima a todas as divisoes (de baixo para cima),
iremos concluir que, em todas elas, como nas duas que ja analisamos, o maximo
divisor comum entre o dividendo e o divisor e sempre igual a rn1 . Em particular,
da primeira divisao a = bq1 + r1 , conclumos que mdc(a, b) = rn1 . Logo, o ultimo
resto diferente de zero na sequencia de divisoes (rn1 ) e realmente o maximo divisor
comum entre a e b. Podemos concluir entao que o Algoritmo Euclidiano, conforme
esquematizado nas duas primeiras colunas da Figura 2.1, retorna o resultado correto.
Para obtermos o Algoritmo Euclidiano Estendido, estendemos os calculos re-
alizados pelo Algoritmo Euclidiano com os calculos descritos na terceira coluna da
Figura 2.1. A ideia do Algoritmo Euclidiano Estendido para calcular os inteiros
e tais que
a + b = mdc(a, b)
e bastante simples e efetiva. Uma vez que mdc(a,b) e um resto produzido na
sequencia de divisoes do Algoritmo Euclidiano, ao inves de tentar calcular direta-
mente os valores de e , o algoritmo calcula valores i e i tais que
i a + i b = ri ,
para cada resto ri , onde 1 i n 1. A motivacao por tras desta ideia e que
o valor de i possa ser calculado a partir dos valores j , com j < i, ja calculados
anteriormente, com um procedimento analogo para o valor de i . Assim, os valores
de i e i seriam calculados simultaneamente com os valores de qi e ri durante a
sequencia de divisoes. Como mdc(a, b) = rn1 , os valores de e que desejamos
como resposta do algoritmo serao n1 e n1 .
Vamos agora mostrar como calcular os valores de j+2 e j+2 assumindo que ja
foram calculados anteriormente os valores de j , j , j+1 e j+1 , tais que
j a + j b = rj e j+1 a + j+1 b = rj+1 ,
conforme as igualdades presentes na terceira coluna da Figura 2.1.
Da primeira coluna da Figura 2.1, temos a divisao
rj = rj+1 qj+2 + rj+2 ,
que pode ser escrita como
rj+2 = rj qj+2 rj+1 . (2.1.1)
Queremos calcular j+2 e j+2 satisfazendo a igualdade j+2 a + j+2 b = rj+2
(novamente, conforme ilustrado na terceira coluna da Figura 2.1).
Substituindo, na igualdade (2.1.1), rj , rj+1 e rj+2 pelos valores dados pelas
igualdades da terceira coluna da Figura 2.1, obtemos
j+2 a + j+2 b = (j a + j b) qj+2 (j+1 a + j+1 b),
que e equivalente a
j+2 a + j+2 b = (j qj+2 j+1 )a + (j qj+2 j+1 )b.
Esta ultima igualdade nos diz que, se tomarmos

j+2 = j qj+2 j+1 e
(2.1.2)
j+2 = j qj+2 j+1 ,
estes valores irao satisfazer a igualdade j+2 a + j+2 b = rj+2 . Assim, a medida
que formos produzindo os quocientes e restos das divisoes sucessivas, podemos si-
multaneamente calcular os valores de j+2 e j+2 , bastando para isso armazenar
os dois valores anteriores j e j+1 e os dois valores anteriores j e j+1 de forma
a utiliza-los nas formulas acima.
Nos resta ainda um problema final para podermos utilizar de fato o Algoritmo
Euclidiano Estendido. Sabemos calcular os valores parciais de e se conhecermos
os dois valores parciais anteriores de cada um. Mas como fazemos para calcular 1
e 1 ? Olhando novamente para o raciocnio acima, vemos que o que nos permitiu
obter j+2 e j+2 a partir dos valores anteriores foi a divisao
rj = rj+1 qj+2 + rj+2 ,
isto e, a divisao que produz o resto rj+2 . Portanto, para descobrirmos como calcular
1 e 1 , devemos observar a divisao que produz o resto r1 :
a = bq1 + r1 .
Se utilizarmos esta divisao no raciocnio que desenvolvemos acima, conseguiremos
calcular 1 e 1 a partir de valores
e, ,
e
b e b tais que:
(

ea + be = a e

ba + bb = b.
Divisibilidade 21
Mas, dadas estas equacoes, e imediato determinar que os valores e = 1, e = 0,
b = 0 e b = 1 vao satisfaze-la. Assim, sempre iniciamos o Algoritmo Euclidiano

Estendido com estes quatro valores pre-calculados para serem utilizados como
valores iniciais na aplicacao da formulas (2.1.2).
Abaixo, descrevemos o Algoritmo Euclidiano Estendido, levando em considera-
cao tudo o que discutimos sobre ele. A formulacao do Algoritmo Euclidiano Esten-
dido neste formato em que o apresentamos e devida a Donald Knuth [12].
Algoritmo 2.2: Algoritmo Euclidiano Estendido
Entrada: Dois numeros inteiros positivos a e b.
Sada: Um numero inteiro positivo d e dois numeros inteiros e tais que d =
mdc(a, b) e a + b = d.
Instrucoes:
1. x00 1, y 00 0, x0 0, y 0 1
2. q Quociente da divisao de a por b
3. r Resto da divisao de a por b
4. Enquanto r 6= 0, faca:
4.1. x (x00 q x0 )
4.2. y (y 00 q y 0 )
4.3. x00 x0 , y 00 y 0 , x0 x, y 0 y
4.4. a b, b r
4.5. q Quociente da divisao de a por b
4.6. r Resto da divisao de a por b
5. d b, x0 , y 0
6. Retorne d, e .
Exemplo 2.3. Vamos aplicar o Algoritmo Euclidiano Estendido a 1768 e 62.
Comecamos construindo uma tabela com quatro colunas: uma para os restos das
divisoes sucessivas (R), outra para os quocientes (Q) e as duas ultimas para as
diversas etapas dos calculos dos valores de e respectivamente.
R Q
Colocamos entao os valores 1768 e 62 nas duas primeiras linhas da tabela, na coluna
R. Preenchemos a primeira linha da coluna com o valor 1, a segunda linha desta
coluna com o valor 0, a primeira linha da coluna com o valor 0 e a segunda linha
desta coluna com o valor 1.
R Q
1768 1 0
62 0 1
Agora realizamos a divisao de 1768 por 62, os dois elementos da coluna R, obtendo
1768 = 62.28 + 32. Logo, o quociente e 28 e o resto e 32. Acrescentamos estes
valores nas colunas Q e R, respectivamente.
R Q
1768 1 0
62 0 1
32 28
Agora devemos calcular o valor parcial de e nesta linha. O valor parcial de

nesta linha sera igual ao valor parcial de duas linhas acima menos o produto do
quociente desta linha pelo valor parcial de na linha acima. Assim, o valor parcial
de nesta linha sera 1 28.0 = 1. O calculo do valor parcial de nesta linha e
inteiramente analogo, sendo 0 28.1 = 28.
R Q
1768 1 0
62 0 1
32 28 1 28
Realizamos agora a divisao de 62 por 32, os dois ultimos elementos na coluna R,
obtendo novamente o quociente e o resto e acrescentado estes valores na tabela como
anteriormente. Em seguida, calculamos os novos valores parciais de e , tambem
como anteriormente. Paramos este processo quando o valor 0 for acrescentado a
coluna R da tabela. O ultimo valor diferente de zero na coluna R e o mdc(1768, 62).
Os valores de e que aparecem na tabela na mesma linha do maximo divisor
comum sao os valores finais de e .
R Q
1768 1 0
62 0 1
32 28 1 28
30 1 1 29
2 1 2 57
0 15
Temos entao que mdc(1768, 62) = 2, = 2 e = 57. De fato, calculando

2.1768 57.62 = 2 = mdc(1768, 62).
Um erro muito comum e calcular os valores finais de e como se fossem os
valores que aparecem na tabela na mesma linha do zero na coluna R. Estes nao
sao os valores corretos. Os valores corretos aparecem uma linha acima, na mesma
linha do maximo divisor comum.
Exemplo 2.4. Vamos fazer mais um exemplo de Aplicacao do Algoritmo Eucli-
diano Estendido. Vamos aplicar o algoritmo a 76 e 2404. Comecamos fazendo o
preenchimento inicial da tabela da mesma forma que no exemplo anterior.
R Q
76 1 0
2404 0 1
Repare que, desta vez, o numero menor apareceu acima do numero maior na coluna
R, ao contrario do exemplo anterior. Vamos mostrar que a ordem em que colocamos
os numeros da tabela nao afeta a correcao do resultado. Dividindo 76 por 2404,
obtemos quociente 0 e resto 76.
R Q
76 1 0
2404 0 1
76 0
Vamos calcular os valores parciais de e nesta nova linha da tabela. O valor
parcial de nesta linha sera igual ao valor parcial de duas linhas acima menos
Divisibilidade 23
o produto do quociente desta linha pelo valor parcial de na linha acima. Assim,
o valor parcial de nesta linha sera 1 0.0 = 1. O calculo do valor parcial de
nesta linha e inteiramente analogo, sendo 0 0.1 = 0.
R Q
76 1 0
2404 0 1
76 0 1 0
Caso houvessemos colocado os numeros 76 e 2404 na coluna R na ordem inversa,

o incio da tabela ficaria da seguinte forma:
R Q
2404 1 0
76 0 1
Em ambas as tabelas, o proximo passo seria realizar a divisao de 2404 por 76. Da
em diante, os calculos nas duas tabelas seriam os mesmos. Vemos entao que as
unicas diferencas entre as tabelas e que a primeira tabela tera uma linha a mais (a
primeira linha) e as colunas e sao permutadas entre as duas. Assim, podemos
concluir que o algoritmo produz o resultado correto independentemente da ordem
com que colocamos os dois numeros na coluna R da tabela. Precisamos apenas
ficar atentos com os resultados produzidos nas colunas e . O resultado final na
coluna sempre sera o multiplicador do primeiro numero colocado na coluna R
e o resultado final produzido na coluna sempre sera o multiplicador do segundo
numero colocado nesta coluna. Se trocarmos a ordem dos numeros iniciais na coluna
R, os resultados das colunas e tambem serao permutados.
Vamos agora calcular o restante da nossa tabela original, com o valor 76 no
topo.
R Q
76 1 0
2404 0 1
76 0 1 0
48 31 31 1
28 1 32 1
20 1 63 2
8 1 95 3
4 2 253 8
0 2
Temos entao que mdc(76, 2404) = 4, = 253 e = 8. De fato, calculando
253.76 + 8.2404 = 4 = mdc(76, 2404).
Precisamos fazer apenas mais uma ultima observacao a respeito dos valores de
e . Se mdc(a, b) = d, os valores de e calculados pelo Algoritmo Euclidiano
Estendido nao sao os unicos que satisfazem a igualdade a + b = d. De fato, se
e satisfazem esta igualdade, entao temos tambem
( kb)a + ( + ka)b = d, para todo k Z,
o que significa que podemos calcular uma infinidade de pares de valores satisfazendo
a igualdade.
Encerramos esta secao com um lema muito importante que sera utilizado diver-
sas vezes ao longo deste livro para auxiliar a prova de varios resultados.
Lema 2.2. Sejam m e n dois numeros inteiros positivos tais que mdc(m, n) = 1 e
seja a um numero inteiro. Entao, as seguintes afirmacoes sao verdadeiras.
1. Se n divide am, entao n divide a.
2. Se m divide a e n divide a, entao mn divide a.
Demonstracao: (1) Como mdc(m, n) = 1, podemos utilizar o Algoritmo Euclidiano

Estendido para obter uma igualdade na forma m + n = 1. Multiplicando ambos
os lados desta igualdade por a, obtemos am + an = a. Como, por hipotese,
n divide am, temos am = nt, para algum t Z. Substituindo am na igualdade
anterior, obtemos nt + an = a, que e equivalente a n(t + a) = a. Esta ultima
igualdade implica que n divide a.
(2) Se m divide a, entao a = ma0 , para algum a0 Z. Como n divide a,
entao n divide ma0 . Como mdc(m, n) = 1 e n divide ma0 , o item anterior nos diz
que entao n divide a0 . Desta forma, a0 = na00 , para algum a00 Z. Mas entao
a = ma0 = (mn)a00 , o que implica que mn divide a.
2.2 Relacoes de Equivalencia

Nesta secao, apresentamos as chamadas relacoes de equivalencia. Ao longo de todo
o livro, estaremos constantemente lidando com um caso particular de relacao de
equivalencia. Por isso, e importante compreender bem os conceitos basicos a res-
peito destas relacoes.
Definicao 2.5 (Relacao Binaria). Dado um conjunto S, uma relacao binaria entre
elementos de S e um conjunto R S S. Para a, b S, dizemos que a esta
relacionado com b pela relacao binaria R se (a, b) R. Neste caso, tambem usamos
a notacao aRb.
Definicao 2.6 (Relacao de Equivalencia). Dado um conjunto S e uma relacao

binaria S S, dizemos que a relacao e uma relacao de equivalencia em S
se ela satisfaz as seguintes propriedades:
1. Reflexividade: para todo a S, a a;
2. Simetria: para todo a, b S, se a b, entao b a;
3. Transitividade: para todo a, b, c S, se a b e b c, entao a c.

0
Exemplo 2.5. Dadas duas fracoes ab e ab0 , nao precisamos ter a = a0 e/ou b = b0
para que as duas sejam iguais, isto e, para que representem a mesma razao. Fracoes
como 62 e 13 representam a mesma razao, apesar de serem visualmente diferentes.
0
Duas fracoes ab e ab0 sao iguais se e somente se ab0 = a0 b. Vamos mostrar que a
igualdade de fracoes e uma relacao de equivalencia:
a
Reflexividade: Como ab = ab, temos que b = ab .
0
Simetria: Se ab = ab0 , entao ab0 = a0 b. Mas a igualdade de inteiros e simetrica,
0
logo temos a0 b = ab0 , o que significa que ab0 = ab .
Relacoes de Equivalencia 25
0 0 00
Transitividade: Se ab = ab0 e ab0 = ab00 , entao ab0 = a0 b e a0 b00 = a00 b0 . Multiplicando
os dois lados da primeira igualdade por b00 , obtemos ab0 b00 = a0 bb00 , que pode
ser escrita como ab0 b00 = a0 b00 b. Pela segunda igualdade, podemos substituir
a0 b00 por a00 b0 , obtendo ab0 b00 = a00 b0 b. O denominador de uma fracao sempre
e diferente de zero, logo b0 6= 0. Podemos entao cancela-lo dos dois lados da
00
igualdade, obtendo ab00 = a00 b, o que nos permite concluir que ab = ab00 .
Exemplo 2.6. Se considerarmos uma caixa C com bolas coloridas e bolas a, b C,

a relacao a b se e somente se a e b tem a mesma cor e uma relacao de equivalencia.
Informalmente, uma relacao de equivalencia e uma relacao que considera dois

objetos como iguais se eles possuem uma determinada caracterstica fixada em
comum, como a razao que representam, no primeiro exemplo, ou a sua cor, no
segundo.
Vamos ver agora como uma relacao de equivalencia em um conjunto X define
subconjuntos particulares de X.
Definicao 2.7. Seja X um conjunto, uma relacao de equivalencia em X e a X.

A classe de equivalencia de a, denotada por a, e definida como
a = {b X : a b}.
Exemplo 2.7. De volta ao exemplo das bolas coloridas, as classes de equivalencia

podem ser pensadas como urnas rotuladas com o nome de uma cor, onde apenas as
bolas com a cor igual a do rotulo podem ser colocadas.
Uma observacao importante e que a nao e necessariamente a unica maneira

possvel de descrever a classe de equivalencia a que a pertence. Se existe outro
elemento u 6= a tal que u a, podemos descrever a classe de equivalencia tanto
como a quanto como u, isto e, as duas notacoes representam a mesma classe de
equivalencia. Em outras palavras, qualquer um dos elementos de uma classe de
equivalencia pode ser selecionado como representante da classe. Vamos mostrar
este resultado com cuidado.
Propriedade 2.1. Seja X um conjunto e a uma classe de equivalencia em X. Se

u X e u a, entao u = a.
Demonstracao: Se u a, entao, pela definicao de a, temos que a u. Para mostrar

que u = a, precisamos mostrar que, se c X, entao c u se e somente se c a.
Suponha que c u. Entao, pela definicao de u, temos que u c. Como e
uma relacao de equivalencia, por transitividade, como a u e u c, entao a c.
Isto, pela definicao de a, significa que c a.
Suponha agora que c a. Entao, temos que a c. Como e uma relacao de
equivalencia, por simetria, como temos a u, temos tambem u a. Agora, por
transitividade, como u a e a c, entao u c. Isto, pela definicao de u, significa
que c u.
E simples ver que X pode ser obtido como a uniao de todas as suas classes de
equivalencia. Entretanto, podemos obter um resultado mais forte do que este: as
classes de equivalencia formam uma particao do conjunto X, isto e, a uniao das
classes de equivalencia e disjunta.
Propriedade 2.2. Suponha que u a e u b. Entao, a = b.

Demonstracao: Se u a, entao a u. Se u b, entao b u e, por simetria, u b.

Por transitividade, como a u e u b, entao a b. Isto significa que b a. Pela
Propriedade 2.1, se b a, entao b = a.
Uma vez que as classes de equivalencia nos fornecem uma particao do conjunto
X e que todos os elementos dentro de uma mesma classe sao considerados, com
o perdao da redundancia, equivalentes, podemos construir um novo conjunto
tomando um representante de cada uma das classes de equivalencia.
Definicao 2.8. Seja X um conjunto e uma relacao de equivalencia em X. De-

finimos o conjunto quociente de X por , denotado por X/ , da seguinte forma:
X/ = {a : a X}.
Todas as classes de equivalencia estao presentes no conjunto acima. Por outro

lado, como elementos nunca aparecem repetidos dentro de um conjunto, cada classe
de equivalencia no conjunto acima sera representada por um unico elemento dela.
Qual representante escolhemos para cada classe no conjunto acima nao importa,
desde que todas as classes estejam representadas.
Exemplo 2.8. Retornando ao exemplo das fracoes tendo estudado estes resultados
basicos sobre relacoes de equivalencia, vemos que uma fracao nao e simplesmente
um par de inteiros (a, b) onde b 6= 0, como as vezes ouvimos na escola. Como
diversos pares diferentes representam a mesma fracao, uma fracao na realidade e
um elemento do conjunto quociente X/ , onde X e o conjunto de pares de inteiros
(a, b) onde b 6= 0 e e a relacao de igualdade de fracoes que estudamos no exemplo
acima. Em outras palavras, uma fracao e uma classe de equivalencia. Qual dos
elementos dessa classe nos escolhemos para representar a fracao nao importa. O
resultado das contas com fracoes nao depende desta escolha. Entretanto, a escolha
mais comum e pela chamada fracao reduzida, isto e, a fracao em que o maximo
divisor comum entre o numerador a e o denominador b e igual a 1.
2.3 Inteiros Modulo n

Nesta secao, apresentamos a relacao de congruencia modulo n, onde n 2 e um
inteiro, e a utilizamos para construir o conjunto dos inteiros modulo n, denotado
por Zn .
Vamos iniciar a apresentacao com um exemplo simples que motiva este estudo.
Exemplo 2.9. Se agora sao 4 horas da madrugada e perguntarmos a alguem que

horas serao daqui a 15 horas, a pessoa podera responder 19 horas ou 7 horas
da noite. Por outro lado, se agora sao 23 horas (11 horas da noite) e fizermos a
mesma pergunta, a pessoa podera responder 14 horas ou 2 horas da tarde, mas
sera muito improvavel que ela responda 38 horas, a soma direta de 23 com 15.
Vemos entao que a aritmetica das horas do dia nao e exatamente igual a aritmetica
basica da escola. Na aritmetica das horas do dia, 23 + 15 = 14 e 23 + 15 = 2 sao
resultados considerados corretos, apesar de serem totalmente estranhos do ponto de
vista da aritmetica tradicional. Isto se deve ao fato de que as horas do dia comecam
a se repetir apos um intervalo de 24 horas ou mesmo apos um intervalo de 12 horas,
se considerarmos a maneira como um relogio analogico tradicional exibe as horas.
Assim, para modelar corretamente os calculos com horas do dia, o modelo ideal nao
Inteiros Modulo n 27
e o da reta infinita dos numeros inteiros, mas sim o de um relogio circular fechado
com 12 ou 24 casas. A relacao de congruencia modulo n e a aritmetica modular
derivada dela sao uma generalizacao desta ideia: ao inves dos calculos serem feitos
sobre a reta infinita dos inteiros, eles sao feitos sobre um relogio circular fechado
com n casas.
Apos esta motivacao inicial, estamos prontos para definir a relacao de con-
gruencia modulo n.
Definicao 2.9. Seja n 2 um inteiro. Dados dois inteiros a e b, dizemos que a e

congruente a b modulo n, denotado por a b (mod n), se a b e multiplo de n. O
numero n e chamado de modulo da congruencia.
Repare que nao temos uma unica relacao de congruencia. Cada inteiro n 2
da origem a uma relacao de congruencia distinta.
Exemplo 2.10. Temos que 36 15 (mod 7) ja que 36 15 = 21 e 21 e multiplo de

7. Entretanto, 36 6 15 (mod 11), ja que 3615 nao e multiplo de 11. Vemos entao
que ao alterar o modulo, alteramos os pares de numeros que sao congruentes entre
si. Conclumos entao que nao faz sentido falar simplesmente de congruencia,
sem especificar qual e o modulo que estamos utilizando.
Exemplo 2.11. No caso das horas do dia, estamos trabalhando com a relacao de
congruencia modulo 24 ou com a relacao de congruencia modulo 12. Utilizando a
notacao de congruencias, temos:
1. 38 14 (mod 24), ja que 38 14 = 24, que e multiplo de si proprio, e
2. 38 2 (mod 12), ja que 38 2 = 36, que e multiplo de 12.
As congruencias acima justificam as respostas 14 horas e 2 horas apresentadas

no exemplo inicial.
Vamos mostrar agora que a relacao de congruencia modulo n e uma relacao de

equivalencia.
Teorema 2.2. Seja n 2 um inteiro. A relacao de congruencia modulo n e uma

relacao de equivalencia.
Demonstracao: Vamos mostrar que a relacao de congruencia modulo n satisfaz as

tres propriedades de uma relacao de equivalencia: reflexividade, simetria e transiti-
vidade.
Reflexividade: Seja a um inteiro. Temos que 0 e multiplo de n, o que significa

que a a e multiplo de n. Pela definicao de congruencia modulo n, temos
entao que a a (mod n).
Simetria: Sejam a e b inteiros tais que a b (mod n). Entao, pela definicao de
congruencia modulo n, temos que a b e multiplo de n. Podemos escrever
entao a b = nk, para algum k Z. Multiplicando esta ultima igualdade
por 1 em ambos os lados, obtemos b a = n(k), o que significa que b a
tambem e multiplo de n. Logo, pela definicao de congruencia modulo n, b a
(mod n).
Transitividade: Sejam a, b e c inteiros tais que a b (mod n) e b c (mod n).

Entao, pela definicao de congruencia modulo n, temos que a b e b c sao
multiplos de n. Temos entao a b = nk, para algum k Z, e b c = nk 0 ,
para algum k 0 Z. Se somarmos estas igualdades, obtemos a c = n(k + k 0 ),
o que significa que a c tambem e multiplo de n. Logo, pela definicao de
congruencia modulo n, a c (mod n).
Ja que a relacao de congruencia modulo n e uma relacao de equivalencia, pode-

mos pensar nas classes de equivalencia definidas por esta relacao.
Definicao 2.10. Sejam n 2 e a inteiros. A classe de equivalencia de a pela
relacao de congruencia modulo n, denotada por a, e definida como
a = {b Z : a b (mod n)}.
Conforme os resultados que estudamos na secao anterior, estas classes de equi-

valencia formam uma particao do conjunto Z dos numeros inteiros. Isto significa que
todo numero inteiro pertence a uma e apenas uma destas classes de equivalencia.
Precisamos agora determinar quais sao e quantas sao estas classes.
Propriedade 2.3. Sejam r e r0 dois inteiros distintos. Se 0 < r r0 < n, entao
r 6 r0 (mod n).
Demonstracao: Para que r r0 (mod n), precisaramos que r r0 fosse multiplo
de n. Isto significaria que r r0 = nk, para algum k Z. Como temos que
0 < r r0 < n, teramos entao 0 < nk < n. Dado que n 6= 0, isto e equivalente a
0 < k < 1. Mas k e inteiro e nao existe nenhum inteiro maior do que 0 e menor do
que 1. Logo, r r0 nao pode ser multiplo de n, nos permitindo concluir que r 6 r0
(mod n).
Propriedade 2.4. Seja n 2 e a inteiros. Entao a r (mod n), onde r e o resto

da divisao de a por n.
Demonstracao: Dividindo a por n, obtemos a = nq + r, onde 0 r < n. Podemos
escrever esta igualdade como a r = nq, o que significa que a r e multiplo de n.
Logo, pela definicao de congruencia modulo n, temos que a r (mod n).
A partir da Propriedade 2.4, vemos que todo inteiro sera congruente modulo n
a um dos inteiros no conjunto {0, 1, 2, . . . , n 1}, ja que estes sao os possveis restos
de uma divisao em que n e o divisor. Desta maneira, nao existem outras classes
de equivalencia alem das classes 0, 1, 2, . . . , n 1. Por outro lado, dados quaisquer
dois valores distintos do conjunto acima, a Propriedade 2.3 nos diz que eles nao
serao congruentes entre si modulo n. Desta maneira, as classes de equivalencia que
listamos sao todas distintas. Conhecemos entao todas as classes de equivalencia
de Z pela relacao de congruencia modulo n e sabemos que elas totalizam n classes
distintas. Podemos entao reun-las no conjunto quociente de Z pela relacao de
congruencia modulo n.
Definicao 2.11. Dado o conjunto Z dos numeros inteiros e a relacao de con-
gruencia modulo n, que nesta definicao abreviaremos como n , o conjunto quociente
de Z por n , denotado por Z/n , e definido da seguinte forma:
Z/n = {0, 1, 2, . . . , n 1}.

Operacoes Modulares 29
No caso especfico da relacao de congruencia modulo n, a nomenclatura con-

junto quociente e a notacao Z/n acabam nao sendo muito utilizadas. O conjunto
acima e normalmente denotado por Zn e chamado de conjunto dos inteiros modulo
n. Temos entao
Zn = {0, 1, 2, . . . , n 1}.
A nomenclatura e a notacao Zn nao deixam tao explcito, mas e importante sempre
lembrar que os elementos de Zn nao sao numeros inteiros, mas sim classes de equi-
valencia dos numeros inteiros de acordo com a congruencia modulo n. Escolhemos
como representantes das classes os numeros inteiros no intervalo 0 i < n, mas
todos os outros inteiros tambem estao includos em alguma das classes acima. Por
exemplo, n nao aparece explicitamente no conjunto acima, mas n = 0, isto e, a
classe de equivalencia de n e a mesma classe de equivalencia de 0.
Uma maneira intuitiva de pensar nestas classes de equivalencia e considerar um
relogio redondo com n casas, em que cada casa e rotulada, em sentido horario, pelos
numeros 0, 1, . . . , n 1, sendo que a casa com 0 fica no topo do relogio. Pegamos
entao a reta infinita dos inteiros, sobrepomos o 0 da reta com o 0 do relogio e entao
enrolamos a reta dos inteiros em volta do relogio, no sentido horario a semi-reta
dos inteiros positivos e no sentido anti-horario a semi-reta dos inteiros negativos.
Apos este processo, todos os inteiros que ficarem situados sobre a mesma casa do
relogio estao na mesma classe de equivalencia modulo n: todos que ficarem situados
sobre a casa rotulada com 0 estao em 0, todos que ficarem situados sobre a casa
rotulada com 1 estao em 1, e assim por diante ate n 1.
Todo numero inteiro a e congruente modulo n a algum numero no intervalo
0 i < n, o numero que corresponde ao resto da divisao de a por n, como vimos na
Propriedade 2.4. Este valor unico no intervalo 0 i < n que e congruente modulo
n ao inteiro a e chamado de forma reduzida de a modulo n e denotado por a mod n.
Exemplo 2.12. A forma reduzida de 19 modulo 5 e 4, ja que 4 e o resto da divisao

de 19 por 5. Na nossa notacao, escrevemos 19 mod 5 = 4.
2.4 Operacoes Modulares

Nesta secao, mostramos como realizar as operacoes aritmeticas de soma, subtracao,
produto e potenciacao em Zn . Mostramos tambem como determinar se um elemento
de Zn possui ou nao inverso multiplicativo e como calcular este inverso se ele existir.
Vamos iniciar este estudo da aritmetica do conjunto Zn pela operacao da soma.
Neste caso, e simples usarmos a analogia do relogio de n casas que vimos no final da
ultima secao para entender o que a soma de dois elementos de Zn deve representar.
Suponha que queremos calcular a + b, onde a, b Zn . Para fazer esta operacao
de soma com o nosso relogio de n casas, fazemos os seguintes passos. Primeiro,
colocamos o ponteiro do relogio na casa correspondente a a, isto e, na casa sobre a
qual o inteiro a fica quando a reta dos inteiros e enrolada em volta do relogio. Em
seguida, movemos o ponteiro b casas adiante, no sentido horario. A casa em que o
ponteiro parar corresponde ao resultado da soma a + b.
Na nossa notacao matematica, o procedimento acima pode ser descrito da se-
guinte forma:
a + b = a + b.
Isto significa que o resultado da soma de duas classes de equivalencia e igual a classe
de equivalencia da soma de seus representantes. Para que esta definicao realmente
faca sentido, precisamos nos certificar de que o resultado da soma sera sempre o
mesmo, independentemente de quais representantes sejam escolhidos para as duas
classes que estao sendo somadas. Formalizamos isto no teorema abaixo.
Teorema 2.3. Se a = a0 e b = b0 , entao a + b = a0 + b0 . Em outras palavras, o

resultado da soma e independente do representante que escolhemos para a primeira
classe (a ou a0 ) e a segunda classe (b ou b0 ) sendo somadas.
Demonstracao: Como estamos lidando com classes de equivalencia em Zn , se a = a0 ,

entao podemos concluir que a a0 (mod n). Analogamente, se b = b0 , entao b b0
(mod n). Destas duas congruencias, conclumos que a a0 e b b0 sao multiplos de
n. Logo, a a0 = nk, para algum k Z, e b b0 = nl, para algum l Z. Somando
estas duas ultimas igualdades, obtemos (a a0 ) + (b b0 ) = n(k + l), que pode ser
escrita como
(a + b) (a0 + b0 ) = n(k + l).
Temos entao que (a + b) (a0 + b0 ) e um multiplo de n. Logo, a + b a0 + b0
(mod n), o que significa que a + b = a0 + b0
Vemos entao que a operacao modular de soma e definida de maneira bem simples,
utilizando para o seu calculo a soma tradicional de inteiros.
Exemplo 2.13. Vamos calcular a soma de 13 e 17 em Z25 . Pela formula acima,

13 + 17 = 13 + 17 = 30. Podemos substituir 30 por sua forma reduzida, que sera o
resto da divisao de 30 por 25, ou seja, 5. Entao, 13 + 17 = 5 em Z25 .
No caso da subtracao, o procedimento e inteiramente analogo. Novamente uti-

lizando a nossa analogia do relogio de n casas, a operacao de subtracao e muito
parecida com a da soma, com a unica diferenca sendo que, na ultima etapa, ao
inves de mover o ponteiro b casas para frente, no sentido horario, movemos o pon-
teiro b casas para tras, no sentido anti-horario. Na notacao matematica, o que
temos e
a b = a b.
Novamente, precisamos nos certificar de que o resultado da subtracao sera sem-
pre o mesmo, independentemente de quais representantes sejam escolhidos para as
duas classes que estao sendo subtradas. Entretanto, esta verificacao e inteiramente
analoga ao que fizemos no teorema acima para o caso da soma. Deixamos entao
esta verificacao como exerccio (Exerccio 5).
Exemplo 2.14. Vamos calcular 9 13 em Z7 . Pela formula acima, 9 13 =

9 13 = 4. Calcular a forma reduzida de um numero negativo nao e tao imediato
quanto de um numero positivo. Entretanto, podemos sempre lembrar que, para
qualquer inteiro a, temos n + a a (mod n), como se pode verificar diretamente
da definicao de congruencia modulo n. Assim, para um numero negativo, podemos
somar n a ele quantas vezes for necessario ate obtermos um valor no intervalo
0 i < n. Este valor sera a forma reduzida do numero original. No caso do
numero 4, temos 4 + 7 = 3. Assim, 9 13 = 3 em Z7 .
Vamos agora analisar o caso da operacao de produto. Na aritmetica tradicional

dos inteiros, o produto a.b significa somar a com si mesmo b vezes. Para o produto
de dois elementos de Zn , vamos utilizar esta mesma ideia, realizando esta soma
repetida no nosso relogio de n casas. Comecamos com o ponteiro na casa do 0
e entao fazemos b vezes seguidas o movimento de avancar o ponteiro a casas para
frente, no sentido horario. A casa em que o ponteiro parar corresponde ao resultado

do produto a.b.
Na notacao matematica, este procedimento pode entao ser descrito da seguinte
forma:
a.b = a.b,
que e novamente muito semelhante as expressoes que obtivemos para as operacoes
anteriores. Mais uma vez, precisamos nos certificar de que o resultado do produto
sera sempre o mesmo, independentemente de quais representantes sejam escolhidos
para as duas classes que estao sendo multiplicadas. E isto que fazemos no teorema
abaixo.
Teorema 2.4. Se a = a0 e b = b0 , entao a.b = a0 .b0 . Em outras palavras, o resultado

do produto e independente do representante que escolhemos para a primeira classe
(a ou a0 ) e a segunda classe (b ou b0 ) sendo multiplicadas.
Demonstracao: Se a = a0 , entao podemos concluir que a a0 (mod n). Analo-

gamente, se b = b0 , entao b b0 (mod n). Destas duas congruencias, conclumos
que a a0 e b b0 sao multiplos de n. Logo, a a0 = nk, para algum k Z, e
b b0 = nl, para algum l Z. Estas igualdades podem ser escritas como a = a0 + nk
e b = b0 + nl. Multiplicando estas duas ultimas igualdades, obtemos
ab = (a0 + nk)(b0 + nl) = a0 b0 + n(a0 l + b0 k + nkl).
Temos entao que ab a0 b0 e um multiplo de n. Logo, ab a0 b0 (mod n), o que

significa que a.b = a0 .b0 .
Exemplo 2.15. Vamos calcular 4.5 em Z3 . Pela formula acima, 4.5 = 4.5 = 20.
A forma reduzida de 20 modulo 3 e 2, logo 4.5 = 2 em Z3 .
Podemos notar, a partir das definicoes acima, que as operacoes de soma e

produto satisfazem diversas propriedades da soma e produto tradicionais de intei-
ros. A soma modular satisfaz as propriedades de associatividade, comutatividade,
existencia de elemento neutro (o elemento 0) e existencia de inverso aditivo (o in-
verso aditivo de a e a = n a). Ja o produto modular satisfaz as propriedades
de associatividade, comutatividade e existencia de elemento neutro (o elemento 1).
Veremos mais adiante que so alguns elementos de Zn possuem inverso multiplica-
tivo. Alem destas propriedades, a soma e o produto modulares tambem satisfazem
a propriedade de distributividade, isto e, a.(b + c) = a.b + a.c.
Entretanto, existe uma propriedade do produto tradicional de inteiros que o
produto modular nem sempre satisfaz. Se a e b sao inteiros e a.b = 0, entao a = 0
ou b = 0. No produto modular, esta propriedade pode ser falsa. Como exemplo,
em Z6 , temos 2.3 = 2.3 = 6 = 0. Entretanto, tanto 2 6= 0 quanto 3 6= 0.
Trataremos agora da operacao de potenciacao modular. Assim como no caso
da potenciacao tradicional, a potenciacao at , onde t 0, significa multiplicar a
por si mesmo t vezes. Portanto, a maneira mais simples de realizar este calculo
seria realizar as operacoes de multiplicacao em sequencia, possivelmente calculando
a forma reduzida de cada resultado parcial antes de prosseguir com a proxima mul-
tiplicacao. Entretanto, este metodo e extremamente ineficiente quando o expoente
k e muito grande. Vamos apresentar a seguir um algoritmo bem mais eficiente para
a operacao de potenciacao modular.
Comecamos escrevendo o expoente t da seguinte forma:
t = t0 + t1 .2 + t2 .22 + . . . + tk1 .2k1 + tk .2k ,
onde ti {0, 1}, para todo 0 i < k e tk = 1. Dito de outra forma, t0 , t1 , . . . , tk

sao os algarismos da representacao de t na base 2, ordenados do menos significativo
para o mais significativo.
Tendo esta representacao de t, podemos escrever a potenciacao como
2
+...+tk1 .2k1 +tk .2k
at = at0 +t1 .2+t2 .2 =
2 k1 k
= (a)t0 .(a2 )t1 .(a2 )t2 . . . . .(a2 )tk1 .(a2 )tk .
Para calcular a potencia at , vamos entao calcular o produto das potencias acima,
calculando as potencias da esquerda para direita. Como os expoentes ti , 0 i k
i i i
sao iguais a 0 ou a 1, teremos (a2 )ti = 1, se ti = 0, ou (a2 )ti = a2 , se ti = 1.
Ou seja, para cada potencia, ou o resultado e 1 ou e a propria base. Uma outra
observacao e que cada uma das bases desta sequencia de potencias acima e igual
ao quadrado da base imediatamente a sua esquerda na sequencia. Por fim, temos
uma maneira simples de calcular a sequencia de expoentes t0 , t1 , . . . , tk . Basta
dividirmos repetidamente k por 2 e tomar os restos destas divisoes. A sequencia de
restos sera igual a sequencia t0 , t1 , . . . , tk .
Vamos reunir todas estas ideias no nosso algoritmo. Criamos uma variavel para
armazenar o resultado do produto das potencias acima. Ela comeca com o valor 1 e a
cada nova potencia calculada, multiplicamos o valor da variavel pelo resultado desta
nova potencia, calculando sempre a forma reduzida modulo n desta multiplicacao.
Ao final da sequencia de potencias, esta variavel contera a forma reduzida de at
modulo n.
Para calcular cada uma das potencias da sequencia, criamos uma variavel para
armazenar a base das potencias. O valor inicial desta variavel e a, a base da primeira
potencia. A cada nova potencia que formos calcular, elevamos ao quadrado o valor
desta variavel e calculamos sua forma reduzida modulo n. Finalmente, para calcular
a sequencia dos expoentes t0 , t1 , . . . , tk , armazenamos o expoente t em uma variavel
e, a cada potencia que formos calcular, armazenamos o quociente da divisao do valor
desta variavel por 2 de volta nesta variavel e utilizamos o resto desta divisao como
o proximo elemento da sequencia t0 , t1 , . . . , tk .
O algoritmo que implementa estas ideias e apresentado abaixo.
Algoritmo 2.3: Potenciacao Modular
Entrada: Dois numeros inteiros nao-negativos a e t e um numero inteiro n 2.
Sada: Forma reduzida de at mod n.
Instrucoes:
1. R 1, A a, E t
2. Enquanto E 6= 0, faca:
2.1. Se E for mpar, entao:
2.1.1. R (R A) mod n
2.1.2. E (E 1)/2
2.2. Senao, E E/2
2.3. A (A A) mod n
3. Retorne R.
19457
Exemplo 2.16. Vamos calcular a forma reduzida de 6 em Z33 . Em outras pa-
lavras, vamos calcular o resto da divisao de 619457 por 33. Comecamos construindo
uma tabela com uma coluna para cada variavel do algoritmo e uma quarta coluna
para avaliar quais comandos condicionais serao executados em cada etapa.
R A E E mpar?
1 6 19457 Sim
Como em qualquer etapa do algoritmo, devemos substituir 19457 pelo quociente
da sua divisao por 2 na variavel E e substituir o valor da variavel A pela forma
reduzida modulo 33 do quadrado deste valor. Entretanto, como 19457 e mpar,
devemos tambem multiplicar o valor atual de R pelo valor atual de A e calcular a
forma reduzida deste produto. O quociente de 19457 por 2 e 9728. 62 = 36 e 36 3
(mod 33). Finalmente, 1 multiplicado por 6 e 6, que ja esta reduzido modulo 33. A
tabela fica entao
R A E E mpar?
1 6 19457 Sim
6 3 9728 Nao
Agora, 9728 nao e mpar. Entao nao vamos alterar o valor de R, apenas o de A e
E. Construmos o restante da tabela de acordo com esta metodologia:
R A E E mpar?
1 6 19457 Sim
6 3 9728 Nao
6 9 4864 Nao
6 15 2432 Nao
6 27 1216 Nao
6 3 608 Nao
6 9 304 Nao
6 15 152 Nao
6 27 76 Nao
6 3 38 Nao
6 9 19 Sim
Neste momento, como 19 e mpar, alem de atualizar os valores de A e E, tambem
precisamos atualizar o valor de R. O valor de R sera a forma reduzida do produto
de 6 (valor atual de R) por 9 (valor atual de A). 54 21 (mod 33), logo o novo
valor de R sera 21. O restante da tabela sera entao:
R A E E mpar?
21 15 9 Sim
18 27 4 Nao
18 3 2 Nao
18 9 1 Sim
30 15 0 Nao
Assim, temos que 619457 30 (mod 33).
Vamos agora encerrar esta secao discutindo como determinar se um dado ele-
mento de Zn possui ou nao inverso multiplicativo e tambem como calcular este
inverso nos casos em que ele existe. Em primeiro lugar, vamos definir formalmente
o que e o inverso multiplicativo de um elemento de Zn .
Definicao 2.12. Seja a Zn . Dizemos que b e o inverso multiplicativo de a em

Zn se a.b = 1 em Zn , ou, dito de outra forma, se ab 1 (mod n).
O teorema abaixo nos da uma caracterizacao de quais elementos de Zn possuem
inverso multiplicativo. Ele tambem nos fornece uma outra caracterizacao, que nos
sera util mais adiante, a respeito de quais elementos de Zn possuem uma potencia
congruente a 1 modulo n. Tanto no caso do inverso multiplicativo quanto no caso
das potencias, a resposta e a mesma: os elementos a Zn tais que mdc(a, n) = 1.
Teorema 2.5 (Teorema da Inversao Modular). Sejam a e n 2 numeros inteiros.
As seguinte tres afirmativas sao equivalentes entre si:
1. a possui inverso multiplicativo em Zn .
2. mdc(a, n) = 1.
3. Existe um inteiro positivo k tal que ak 1 (mod n).
Demonstracao: (1 2) Suponha que a possui inverso multiplicativo em Zn . Entao,
existe um Zn tal que a 1 (mod n). Isto e equivalente a dizer que a 1 e
multiplo de n, isto e, a 1 = nt, para algum t Z. Seja d = mdc(a, n). Entao,
d divide a e d divide n, isto e a = da0 , para algum a0 Z e n = dn0 , para algum
n0 Z. Podemos reescrever a igualdade a 1 = nt como da0 1 = dn0 t, que e
equivalente a d(a0 n0 t) = 1. Esta ultima igualdade implica que d divide 1, ou
seja, d = 1.
(2 1) Suponha que mdc(a, n) = 1. Utilizando o Algoritmo Euclidiano Esten-
dido, obtemos a igualdade a + n = 1, que pode ser escrita como a 1 = ()n.
Esta igualdade e equivalente a dizer que a 1 (mod n), logo e o inverso multi-
plicativo de a em Zn .
(1 3) Suponha que a possui inverso multiplicativo em Zn . Vamos considerar
a sequencia de potencias a, a2 , a3 , . . ., todas reduzidas modulo n. Suponha, por
contradicao, que nenhuma delas e congruente a 1 modulo n. Entretanto, como Zn
e um conjunto finito, essa sequencia infinita de potencias nao pode conter para
sempre valores distintos entre si. Eventualmente, para algum inteiro positivo l, o
valor de al mod n sera igual ao de uma potencia anterior da sequencia, am mod n,
com m < l. Temos entao al am (mod n). Seja o inverso multiplicativo de a.
Multiplicando em ambos os lados da congruencia por m , temos al m am m , que
pode ser escrita como lm 1, o que e uma contradicao com a hipotese anterior
de que nenhuma potencia de a e congruente a 1.
(3 1) Suponha que existe um inteiro positivo k tal que ak 1 (mod n). Te-
mos entao aak1 1 (mod n), o que significa que ak1 e o inverso multiplicativo
de a modulo n.
A prova do teorema acima nos fornece um metodo tanto para determinar a

existencia do inverso multiplicativo de um elemento de Zn quando para calcular
este inverso quando ele existe: podemos realizar ambas as tarefas ao mesmo tempo
utilizando o Algoritmo Euclidiano Estendido.
Seja a Zn . Aplicando o Algoritmo Euclidiano Estendido a a e n, obteremos o
maximo divisor comum d = mdc(a, n) e dois inteiros e tais que
a + n = d.
Se d 6= 1, entao a nao possui inverso multiplicativo em Zn . Ja se d = 1, o inverso

multiplicativo de a existe e ja foi calculado pelo Algoritmo Euclidiano Estendido,
Sistemas de Congruencias 35
conforme nos mostrou a prova do teorema acima: a classe de equivalencia do inteiro

calculado pelo algoritmo () e o inverso multiplicativo de a em Zn . Nao existe
nenhuma garantia de que o valor retornado pelo algoritmo va estar no intervalo
0 i < n. Entretanto, se desejarmos um valor neste intervalo, basta calcularmos
a forma reduzida de modulo n. Deixamos como exerccio a descricao formal
deste algoritmo de teste de existencia e calculo do inverso multiplicativo modular
no formato dos outros algoritmos apresentados neste captulo (Exerccio 8).
Exemplo 2.17. Vamos verificar se 9 possui inverso multiplicativo em Z24 e calcular
quem ele e, caso exista. Para isso, vamos aplicar o Algoritmo Euclidiano Estendido
a 9 e 24.
R Q
9 1 0
24 0 1
9 0 1 0
6 2 2 1
3 1 3 1
0 2
Temos que mdc(9, 24) = 3 6= 1, logo 9 nao possui inverso em Z24 .
Exemplo 2.18. Vamos verificar se 9 possui inverso multiplicativo em Z32 e calcular
quem ele e, caso exista. Para isso, vamos aplicar o Algoritmo Euclidiano Estendido
a 9 e 32.
R Q
9 1 0
32 0 1
9 0 1 0
5 3 3 1
4 1 4 1
1 1 7 2
0 4
Temos que mdc(9, 32) = 1, logo 9 possui inverso em Z32 . Este inverso e = 7.
A forma reduzida de 7 modulo 32 e 25, entao tambem podemos escrever o inverso
de 9 como 25. De fato, 9.25 225 1 (mod 32).
2.5 Sistemas de Congruencias

Finalizamos este captulo apresentando um metodo que nos permite resolver o se-
guinte problema. Suponha que desejamos calcular a classe de equivalencia de um
inteiro x modulo u (ou, de modo equivalente, a forma reduzida de x modulo u),
mas que realizar este calculo diretamente seja muito trabalhoso. Se conhecermos
dois fatores m e n de u tais que u = mn e mdc(m, n) = 1, ao inves de realizar o
calculo diretamente, muitas vezes e mais eficiente calcular as classes de equivalencia
de x modulo m e modulo n e entao colar estas duas solucoes para obter a solucao
modulo u. Apresentamos nesta secao um resultado que nos permite realizar esta
colagem.
Este resultado e conhecido como Teorema Chines do Resto, pois sua descricao
mais antiga se encontra em um livro chines de Matematica publicado entre os seculos
III e V da era comum. O autor deste livro e conhecido apenas como Sunzi (ou Sun
Tzu), que significa Mestre Sun, e o livro e intitulado O Classico Matematico de
Sunzi [28].
Teorema 2.6 (Teorema Chines do Resto). Considere dois numeros inteiros m, n

2 tais que mdc(m, n) = 1 e dois numeros inteiros 0 a < m e 0 b < n. Entao, o
sistema de congruencias
xa (mod m)
xb (mod n)
tem exatamente uma solucao modulo mn.
Demonstracao: Primeiramente, vamos mostrar que a solucao existe. Em seguida,
mostraremos que ela e unica.
Para mostrar que a solucao existe, vamos mostrar como calcula-la. Escrevendo a
primeira congruencia como uma igualdade de inteiros, temos x = a+mk, para algum
k Z. Substitumos este valor de x na segunda congruencia, obtendo a + mk b
(mod n). Esta congruencia e equivalente a mk b a (mod n). Para isolarmos a
indeterminada k, precisamos multiplicar os dois lados da congruencia pelo inverso
de m modulo n. Como temos a hipotese de que mdc(m, n) = 1, este inverso existe
(Teorema 2.5). Seja o inverso de m modulo n. Temos entao k (b a)
(mod n). Escrevendo esta congruencia como uma igualdade de inteiros, obtemos
k = (b a) + nl, para algum l Z. Substituindo este valor de k de volta na
primeira igualdade, obtemos
x = a + mk = a + m((b a) + nl) = a(1 m) + bm + mnl.
Podemos manipular esta expressao um pouco mais, lembrando que e m estao
relacionados. Temos que e o inverso de m modulo n e pode ser obtido aplicando o
Algoritmo Euclidiano Estendido a m e n, que nos fornece a igualdade m + n = 1.
Logo, 1 m = n. Substituindo este valor de 1 m na expressao acima, ficamos
com x = an + bm + mnl, que e equivalente a congruencia
x an + bm (mod mn).
Desta forma, para determinar a solucao do sistema de congruencias, aplicamos o
Algoritmo Euclidiano Estendido aos modulos m e n, obtendo os valores e e
calculamos a solucao modulo mn de acordo com a congruencia acima.
Vamos agora mostrar que esta solucao e unica modulo mn. Suponha, por con-
tradicao, que x 6 y (mod mn) sejam ambos solucoes do sistema de congruencias.
Entao, temos
xa (mod m) ya (mod m)
xb (mod n); yb (mod n).
Subtraindo as duas congruencias modulo m, obtemos x y 0 (mod m). Ana-
logamente, temos x y 0 (mod n). Desta forma, tanto m quanto n dividem
x y. Como ambos dividem x y e mdc(m, n) = 1, entao mn divide x y (Lema
2.2), o que significa que x y (mod mn), contradizendo a hipotese anterior de que
x e y eram solucoes distintas modulo mn. Desta forma, a solucao do sistema de
congruencias e realmente unica.
Assim como vimos anteriormente no caso do Teorema 2.5, a prova do Teorema

Chines do Resto tambem nos fornece um algoritmo para calcular a classe de equi-
valencia de x modulo mn quando mdc(m, n) = 1 e conhecemos as classes de equi-
valencia de x modulo m e modulo n. O algoritmo envolve a aplicacao do Algoritmo
Euclidiano Estendido a m e n e o uso dos inteiros e retornados por ele para o
calculo da classe de equivalencia de x modulo mn atraves da formula
x an + bm (mod mn).
Sistemas de Congruencias 37
Esta formula nao garante o calculo de um valor no intervalo 0 i < mn. Entre-
tanto, se quisermos um valor neste intervalo, basta calcular a forma reduzida de
an + bm modulo mn. Este algoritmo derivado da prova do Teorema Chines do
Resto e conhecido como Algoritmo Chines do Resto. Deixamos como exerccio a
sua descricao formal no formato dos outros algoritmos apresentados neste captulo
(Exerccio 10).
Nao e difcil perceber que o Algoritmo Chines do Resto pode ser generalizado
para situacoes em que temos uma sequencia de congruencias
x ai (mod ni ) 1 i k,
onde k > 2 e mdc(ni , nj ) = 1, se i 6= j. Para isto, aplicamos a versao basica de

duas congruencias do Algoritmo Chines do Resto as duas primeiras congruencias
da sequencia. Ele dara como resposta uma congruencia x a0 (mod n1 n2 ). Agora,
como mdc(n1 , n3 ) = 1 e mdc(n2 , n3 ) = 1, entao mdc(n1 n2 , n3 ) = 1. Podemos entao
aplicar novamente a versao basica do algoritmo ao par de congruencias formado
pela terceira congruencia da sequencia e pela congruencia x a0 (mod n1 n2 ) que
calculamos na aplicacao anterior. Esta segunda aplicacao nos dara como resposta
uma congruencia x a00 (mod n1 n2 n3 ). Continuamos com este processo ate que
todas as congruencias da sequencia tenham sido utilizadas e obtenhamos a nossa
resposta final x b
a (mod n1 n2 . . . nk ). A formalizacao desta versao mais elaborada
do Algoritmo Chines do Resto tambem e deixada como exerccio (Exerccio 11).
Exemplo 2.19. Vamos resolver o seguinte sistema de congruencias utilizando o

Algoritmo Chines do Resto:

x 1 (mod 3)
x 5 (mod 11)
x 12 (mod 32).

Temos que mdc(3, 11) = 1, mdc(3, 32) = 1 e mdc(11, 32) = 1, logo podemos aplicar
o Algoritmo Chines do Resto para encontrar a classe de equivalencia de x modulo
3.11.32 = 1056. Comecamos resolvendo o sistema formado pelas duas primeiras
congruencias, aplicando o Algoritmo Euclidiano Estendido aos modulos 3 e 11.
R Q
3 1 0
11 0 1
3 0 1 0
2 3 3 1
1 1 4 1
0 2
Temos entao a confirmacao de que mdc(3, 11) = 1 e temos = 4 e = 1.

Aplicamos estes valores na formula
x an + bm (mod mn),
onde a e o valor do lado direito da primeira congruencia (1), b e o valor do lado

direito da segunda congruencia (5), m e o modulo da primeira congruencia (3) e n
e o modulo da segunda congruencia (11). Temos entao
x an + bm 1.11.(1) + 5.3.4 11 + 60 49 16 (mod 33).

Resolvemos agora o sistema formado pela terceira congruencia do sistema original

e pela congruencia que acabamos de obter:

x 12 (mod 32)
x 16 (mod 33).
Aplicamos o Algoritmo Euclidiano Estendido aos modulos 32 e 33.
R Q
32 1 0
33 0 1
32 0 1 0
1 1 1 1
0 32
Temos = 1 e = 1. Utilizamos novamente a formula dada pelo Teorema Chines

do Resto com os valores do sistema de congruencias atual.
x an + bm 12.33.1 + 16.32.(1) 396 512 116 940 (mod 1056).
Logo, a solucao para o nosso sistema original e x 940 (mod 1056).
2.6 Exerccios
1. Generalize algoritmo da divisao apresentado neste captulo para que o divi-
dendo possa ser qualquer inteiro.
2. Aplique o Algoritmo Euclidiano Estendido aos seguintes pares de inteiros po-
sitivos:
2.1. 2568 e 122
2.2. 78 e 1046
2.3. 1127 e 175
2.4. 112 e 2046
3. Uma equacao diofantina linear em duas variaveis e uma equacao
ax + by = c,
em que a, b e c sao inteiros e as variaveis x e y tambem so podem assumir

valores inteiros. Descreva como utilizar o Algoritmo Euclidiano Estendido
para testar se uma equacao diofantina possui solucao e para calcula-la, caso
exista.
4. Calcule as seguintes formas reduzidas:
4.1. 38 mod 14
4.2. 12 mod 8
4.3. 15 mod 4
4.4. 43 mod 27
5. Verifique que, se a = a0 e b = b0 , entao a b = a0 b0 .
Exerccios 39
6. Utilize as operacoes de aritmetica modular para provar os seguintes criterios

de divisibilidade:
6.1. Um numero e divisvel por 2 se e somente se o seu algarismo das unidades
e divisvel por 2.
6.2. Um numero e divisvel por 3 se e somente se a soma de seus algarismos
e divisvel por 3.
6.3. Um numero e divisvel por 5 se e somente se o seu algarismo das unidades
e divisvel por 5 (o algarismo das unidades e 0 ou 5).
6.4. Um numero e divisvel por 9 se e somente se a soma de seus algarismos
e divisvel por 9.
6.5. Um numero e divisvel por 11 se e somente se a soma alternada de seus
algarismos e divisvel por 11.
7. Determine a forma reduzida das seguintes potencias:
7.1. 71234 mod 14

7.2. 314593 mod 8
7.3. 123157 mod 20
7.4. 220017 mod 11
8. Escreva uma descricao formal do algoritmo para teste de existencia e calculo do
inverso multiplicativo modular no formato dos outros algoritmos apresentados
neste captulo.
9. Determine se os seguintes elementos possuem inversos multiplicativos e calcu-
le-os, caso existam:
9.1. 9 em Z20
9.2. 12 em Z75
9.3. 2 em Z101
9.4. 42 em Z147
10. Escreva uma descricao formal do Algoritmo Chines do Resto no formato dos
outros algoritmos apresentados neste captulo.
11. Escreva uma descricao formal da versao mais elaborada do Algoritmo Chines
do Resto apresentada no final deste captulo. Esta versao deve poder operar
com mais de duas congruencias.
12. Resolva, utilizando o Algoritmo Chines do Resto, o sistema

x 1 (mod 2)
x 2 (mod 5)
x 5 (mod 11).

13. Determine o menor inteiro positivo que deixa resto 2 na divisao por 7, resto
4 na divisao por 15 e resto 10 na divisao por 19.
Captulo 3
Numeros Primos
Neste captulo, continuamos a nossa apresentacao de conceitos matematicos basicos

necessarios para as nossas aplicacoes com uma pequena discussao a respeito dos
numeros primos.
Primeiramente, apresentamos os conceitos fundamentais de numero primo e
numero composto. Em seguida, descrevemos uma prova bastante simples de que
existem infinitos numeros primos. Certamente, este e um resultado de que ninguem
duvida. Mesmo assim, e importante termos uma prova formal dele, uma vez que
numeros primos sao necessarios para a construcao das chaves utilizadas pelo metodo
El Gamal. Portanto, a infinidade dos numeros primos nos garante que sempre
podemos construir novas chaves conforme seja necessario, isto e, o metodo El Gamal
nunca se tornara obsoleto pelo esgotamento dos numeros primos utilizados.
Outro resultado fundamental que apresentamos a respeito dos numeros primos
e o da unicidade da fatoracao de qualquer inteiro positivo n 2 em fatores primos.
Em seguida, apresentamos o crivo de Eratostenes, um metodo bastante sim-
ples para obter uma lista de todos os numeros primos ate um determinado limite
superior.
Retornando a aritmetica modular, apresentamos o Pequeno Teorema de Fermat,
um resultado muito util para calculos com inteiros modulares em um conjunto Zp ,
onde p e primo. Descrevemos tambem como utilizar o Pequeno Teorema de Fermat
em conjunto com o Algoritmo Chines do Resto para simplificar bastante o calculo
de potencias modulares em alguns casos.
Finalmente, encerrando nossa discussao sobre numeros primos, apresentaremos
o teste de Miller-Rabin, que e uma forma muito eficiente de testar computacio-
nalmente se um dado numero e ou nao primo sem a necessidade de obter sua fa-
toracao em primos. Como precisamos de numeros primos para construir as chaves
do metodo El Gamal, se nao possussemos uma forma eficiente de testar a primali-
dade de numeros, entao nao teramos como utilizar o El Gamal na pratica.
3.1 Conceitos e Resultados Fundamentais

Iniciamos esta secao com o conceito central deste captulo: o conceito de numero
primo. Apresentamos tambem o seu conceito dual, o de numero composto.
Nesta secao, apresentamos tambem alguns resultados fundamentais a respeito
dos numeros primos, como a infinidade dos primos, a chamada Propriedade Funda-
mental dos Primos e a unicidade da fatoracao em primos de um inteiro n 2.
42 Numeros Primos
Definicao 3.1 (Numeros Primos e Compostos). Seja n um numero inteiro positivo

maior do que 1. Dizemos que n e um numero primo caso seus unicos divisores
sejam 1 e o proprio n. Por outro lado, um numero inteiro positivo maior do que 1
que nao e primo e chamado de numero composto.
De acordo com a definicao de divisor proprio (Definicao 2.3), podemos definir
um numero primo como um inteiro n 2 que nao possui divisores proprios. Por
outro lado, um numero composto e um inteiro n 2 que possui divisores proprios.
Repare que nao classificamos o numero 1 nem como primo nem como composto.
Dentro do conjunto dos numeros inteiros positivos, o 1 e diferente de todos os outros
em um aspecto importante: ele e o unico que possui inverso multiplicativo neste
mesmo conjunto. Este fato faz com que 1 seja denominado uma unidade do conjunto
dos inteiros (sendo a unica outra unidade o inteiro negativo 1).
Exemplo 3.1. Os numeros 2, 3, 5, 7 e 11 sao os 5 menores numeros primos. O
numero 231 1 = 2147483647 tambem e primo, embora esta conclusao ja nao
seja imediata como nos numeros anteriores. Por outro lado, os numeros 4 = 2.2,
10 = 2.5, 21 = 3.7 e 223 1 = 8388607 = 47.178481 sao exemplos de numeros
compostos.
Definicao 3.2. Um divisor primo ou fator primo de um inteiro n 2 e um fator

f de n tal que f > 1 e f e um numero primo.
Apresentamos abaixo duas propriedade basicas a respeito dos numeros compos-
tos. Intuitivamente, a primeira propriedade esclarece a razao do nome composto
para estes numeros: estes numeros podem ser obtidos pela composicao de dois ou
mais numeros primos atraves da operacao de produto.
Propriedade 3.1. Seja n 2 um numero composto. Entao, n possui no mnimo
dois fatores que sao primos e proprios.
Demonstracao: Se n e composto, entao, pela definicao, n possui um conjunto nao-
vazio de fatores proprios. Seja f o menor destes fatores. Logo, n = f k, para algum
k Z. Suponha, por contradicao, que f seja composto. Entao, novamente pela
definicao, f possuira um conjunto nao-vazio de fatores proprios. Seja f 0 um destes
fatores. Logo, f = f 0 l, para algum l Z. Mas entao, podemos escrever n = f 0 (lk),
o que significa que f 0 divide n. Entretanto, 1 < f 0 < f , ja que f 0 e fator proprio
de f , o que e uma contradicao com a nossa escolha de f como o menor fator de n
maior do que 1. Assim, f deve ser primo.
Como n = f k e 1 < f < n, temos entao que 1 < k < n. Se k tambem for primo,
temos entao dois fatores primos e proprios de n (f e k) e a propriedade e verda-
deira. Caso k seja composto, ele tera um conjunto nao-vazio de fatores proprios.
Podemos repetir o raciocnio acima tomando o menor destes fatores de k, denotado
por k 0 . Temos entao que k = k 0 m, para algum m Z. Pelo raciocnio do paragrafo
anterior, k 0 tambem sera primo. De n = f k e k = k 0 m, temos que n = k 0 (f m).
Assim, k 0 divide n. Alem disso, 1 < k 0 < k < n, ja que k 0 e fator proprio de k. Isso
significa que k 0 tambem e fator proprio de n. Temos entao f e k 0 como dois fatores
primos e proprios de n.
Propriedade 3.2. Seja n

2 um numero composto. Entao, o menor fator f de
n e tal que f b nc, onde b nc denota a parte inteira da raiz quadrada positiva
de n.
Conceitos e Resultados Fundamentais 43
Demonstracao: Como f e fator de n, entao n = f k, para algum k Z. Temos entao

que k tambem e fator de n. Mas como f e o menor fator de n, entao devemos ter
2
f k. Multiplicando os dois
lados desta desigualdade por f , obtemos f f k = n.
Portanto, temos que f n. Como f e um numero inteiro, se f n, temos
necessariamente que f b nc.
Uma vez que estudamos algumas propriedades dos numeros compostos, passe-
mos agora ao estudo de algumas propriedades dos numeros primos.
Iniciamos este estudo com uma prova de que existem infinitos numeros primos
entre os inteiros positivos. Ao longo do tempo, dezenas de provas da infinitude
dos primos foram desenvolvidas por diversos matematicos diferentes. O livro [24]
realiza uma catalogacao de varias destas provas.
A prova que optamos por exibir abaixo e uma das provas mais simples, bastante
similar a prova original deste resultado elaborada por Euclides no livro IX da sua
coletanea Elementos [6].
Como primeiro passo antes de podermos descrever esta prova, precisamos da
definicao do primorial de um inteiro positivo.
Definicao 3.3 (Primorial). Definimos o primorial de um numero inteiro positivo
n 2, denotado por n# , como o produto de todos os numeros primos menores ou
iguais a n.
Exemplo 3.2. Temos 6# = 5# = 5.3.2 = 30. Por outro lado, 10# = 7.5.3.2 = 210.
Utilizando a nocao acima de primorial, podemos agora provar que existem infi-
nitos numeros primos.
Teorema 3.1 (Infinidade dos Primos). Existem infinitos numeros primos.
Demonstracao: Suponha, por contradicao, que exista uma quantidade finita de
numeros primos. Logo, existe um numero primo p que e o maior de todos os pri-
mos. O primorial de p, denotado por p# , sera entao o produto de todos os numeros
primos. Vamos considerar o numero n = p# + 1. Como n > p e p e o maior numero
primo, entao n e um numero composto. Desta forma, pela Propriedade 3.1, existe
um numero primo 1 < q < n que e divisor de n, isto e, n = qn0 , para algum n0 Z.
Por outro lado, como q e primo, q tambem e divisor de p# , isto e, p# = qk, para
algum k Z. Podemos entao escrever a igualdade n = p# + 1 como qn0 = qk + 1, o
que e equivalente a 1 = q(n0 k). Mas temos entao, por esta ultima igualdade, que
q e divisor de 1. Isto implica que q = 1, o que e uma contradicao com a hipotese
anterior de que q > 1.
Continuamos nosso estudo sobre os numeros primos com a chamada Propriedade

Fundamental dos Primos. Esta e uma propriedade muito util para a prova de
diversos resultados ao longo deste livro.
Propriedade 3.3 (Propriedade Fundamental dos Primos). Seja p um numero
primo e a e b numeros inteiros. Se p divide ab, entao p divide a ou p divide
b.
Demonstracao: Suponha que p e primo e que p divide ab. Se p divide a, nao
e necessario provar mais nada. Suponha entao que p nao divide a. Neste caso,
queremos mostrar que p divide b.
Como p e primo, os unicos divisores de p sao 1 e p. Desta forma, ou mdc(a, p) = 1
ou mdc(a, p) = p. Mas, como estamos supondo que p nao divide a, p nao e um di-
visor comum entre p e a. Assim, mdc(a, p) = 1. De acordo com o Lema 2.2, se p
44 Numeros Primos
divide ab e mdc(a, p) = 1, entao p divide b.
Finalmente, descrevemos abaixo como os numeros compostos e primos se rela-

cionam, mostrando que todo numero inteiro n 2 possui uma unica fatoracao em
primos.
Definicao 3.4 (Fatoracao em Primos). Dado um numero inteiro n 2, definimos a
sua fatoracao em primos, chamada tambem apenas de fatoracao, da seguinte forma:
n = pe11 pe22 . . . pekk ,
onde 1 < p1 < p2 < . . . < pk sao primos e ei 1, para todo 1 i k, chamados
de multiplicidades.
Teorema 3.2 (Unicidade da Fatoracao ou Teorema Fundamental da Aritmetica).

Seja n 2 um numero inteiro. Entao, a sua fatoracao em primos e unica.
Demonstracao: Suponha, por contradicao, que existam inteiros positivos que pos-
suam pelo menos duas fatoracoes em primos distintas. Seja n o menor destes
numeros. Escrevemos entao duas fatoracoes distintas de n:
n = pe11 pe22 . . . pekk = q1f1 q2f2 . . . qlfl ,
onde 1 < p1 < p2 < . . . < pk e 1 < q1 < q2 < . . . < ql sao primos, ei 1 , para todo
1 i k, e fj 1, para todo 1 j l.
Como temos n = p1 (pe11 1 p2e2 . . . pekk ), p1 divide n. Por outro lado, como n =
q1 q2 . . . qlfl , p1 divide este produto. Como p1 e primo, se p1 divide um produto,
f1 f2
entao ele divide ao menos um dos fatores, pela Propriedade Fundamental dos Primos
(Propriedade 3.3). Assim, existe qi , 1 i l, tal que p1 divide qi . Mas p1 e qi sao
ambos primos. A unica forma de um primo dividir outro e se ambos forem iguais.
Logo, qi = p1 . Substituindo qi por p1 na segunda fatoracao, obtemos
f f
i1 fi
n = pe11 pe22 . . . pekk = q1f1 q2f2 . . . qi1 i+1
p1 qi+1 . . . qlfl .
Temos entao que n = p1 n0 e podemos obter duas fatoracoes distintas para n0 elimi-
nando um dos fatores p1 de cada uma das fatoracoes acima. Temos entao
fi1 fi 1 f
n0 = pe11 1 pe22 . . . pekk = q1f1 q2f2 . . . qi1 p1 qi+1i+1
. . . qlfl .
Mas, como p1 > 1, temos que n0 < n. Entao, as duas fatoracoes distintas para n0
sao uma contradicao com a nossa escolha de n como o menor inteiro positivo que
possui pelo menos duas fatoracoes em primos distintas. Desta forma, a fatoracao
em primos de qualquer inteiro n 2 e unica.
Exemplo 3.3. Como exemplo, a fatoracao em primos de 18 e 18 = 2.32 . Ja a

fatoracao de 100 e 100 = 22 .52 . Finalmente, a fatoracao de 13230 = 2.33 .5.72 .
Conforme mostramos acima, estas fatoracoes sao unicas.
Resta-nos apenas descrever algum metodo para calcular a fatoracao em primos
de um numero n 2.
Existem varios algoritmos conhecidos na literatura para o calculo da fatoracao
de um inteiro positivo. Cada um deles e mais eficiente para fatorar numeros que
atendam determinadas caractersticas, mas todos eles sao bastante ineficientes no
Crivo de Eratostenes 45
caso geral. Devido a isso, o problema da fatoracao e considerado um problema

bastante complexo, mesmo com ajuda computacional.
A dificuldade computacional de se calcular a fatoracao de um inteiro no caso
geral e a base da seguranca do metodo de criptografia de chave publica RSA, que
possui este nome devido as iniciais dos sobrenomes de seus criadores (Ron Rivest,
Adi Shamir e Leonard Adleman). Para realizar o calculo da chave privada de uma
implementacao do RSA a partir somente do conhecimento de sua chave publica,
seria necessario o calculo eficiente da fatoracao de um numero inteiro, o que nao
conseguimos realizar, no caso geral, com os algoritmos de fatoracao conhecidos.
Tanto os detalhes do problema da fatoracao de inteiros quanto os algoritmos
para resolve-lo estao fora do escopo deste livro. Da mesma forma, tambem nao
trataremos aqui do metodo RSA. Mais adiante neste livro, descreveremos um outro
metodo de criptografia de chave publica, o El Gamal. Para maiores detalhes sobre o
problema da fatoracao de inteiros, sobre alguns algoritmos de fatoracao conhecidos
e sobre o metodo RSA, o livro [3] e uma otima referencia em Lngua Portuguesa.
Outras boas referencias, que apresentam alguns outros algoritmos de fatoracao, sao
os livros [10], [13] e [16]. A descricao original do metodo RSA foi feita no artigo
[25].
Um metodo simples, porem muito ineficiente, para determinar um fator primo
de um numero inteiro n 2 nos e dado pelas Propriedades 3.1 e 3.2. A prova da
Propriedade 3.1 nos mostra que se tentarmos encontrar um fator 2 f n de n
testando os valores deste intervalo um por um em ordem crescente, o menor fator
que encontrarmos sera necessariamente um fator primo. Alem disso, a Propriedade

3.2 nos garante que, caso nao tenhamos encontrado nenhum fator f b nc para n,
entao n nao possui nenhum fator proprio. Utilizamos estas duas ideias no algoritmo
abaixo, que calcula o menor fator primo de um inteiro n 2.
Algoritmo 3.1: Algoritmo Simples para Fatoracao
Entrada: Um numero inteiro n 2.
Sada: Um numero inteiro f que e o menor fator primo de n.
Instrucoes:
1. f 2

2. Enquanto f b nc, faca: #b nc = parte inteira de n
2.1. r Resto da divisao de n por f .
2.2. Se r = 0, entao retorne f .
2.3. Senao, f f + 1
3. Retorne n.
Este algoritmo calcula apenas o menor fator primo de um inteiro n 2, mas

podemos aplica-lo sucessivas vezes de forma a obter a fatoracao completa de n.
Apos aplicarmos o algoritmo pela primeira vez a n, obtemos o fator f1 . Calculamos
entao o quociente n0 da divisao de n por f1 (n = f1 n0 ) e aplicamos o algoritmo a
n0 , obtendo o fator f2 . Prosseguimos com este processo ate termos obtido todos os
fatores de n. Deixamos a formalizacao deste algoritmo para a fatoracao completa
como exerccio (Exerccio 1).
46 Numeros Primos
3.2 Crivo de Eratostenes

Nesta secao, apresentamos um algoritmo simples e bastante util para o calculo
da lista de todos os numeros primos ate um determinado limite superior. Este
algoritmo e o Crivo de Eratostenes.
O algoritmo possui este nome por ter sido descrito originalmente por Eratoste-
nes, um matematico da Grecia Antiga que viveu entre os seculos III e II AC. Apesar
de todos os escritos originais de Eratostenes terem se perdido, o crivo e descrito e
atribudo a Eratostenes por Nicomaco, um matematico que viveu entre os seculos I
e II DC, em seu livro Introducao a Aritmetica [20].
O Crivo de Eratostenes funciona como uma peneira ou um filtro, separando os
numeros compostos dos numeros primos. Dado um limite superior n, comecamos
com uma lista de todos os inteiros maiores ou iguais a 2 e menores ou iguais a n.
Apos uma passagem do crivo, alguns numeros compostos na lista sao identificados
e filtrados. Apos uma quantidade suficiente de passagens do crivo, restarao na
lista apenas os numeros primos. E importante notar que, em nenhum momento o
crivo filtra um numero primo. Desta forma, ao final do processo, obtemos uma
lista que contem todos os primos menores ou iguais ao limite superior n.
Uma primeira observacao que podemos fazer diz respeito aos numeros pares na
lista. Nao precisamos de nenhum metodo elaborado para determinar quais numeros
pares sao primos e quais sao compostos. Sabemos que o unico numero par que e
primo e o 2, sendo todos os outros pares compostos. Desta maneira, e desnecessario
passar os numeros pares da lista pelo processo do crivo. Podemos entao colocar na
nossa lista apenas os numeros mpares maiores ou iguais a 3 e menores ou iguais
a n. O unico cuidado necessario ao fazermos isto e lembrarmos que o primo 2 nao
estara includo na lista obtida diretamente pelo crivo, precisando ser acrescentado
a esta lista no final do processo.
Cada numero na nossa lista tera associado a ele um ndice, denotando a sua
posicao na lista. O primeiro numero da lista tera ndice 0. Como exemplo, cons-
trumos abaixo a lista de todos os mpares maiores ou iguais a 3 e menores ou iguais
a 13:
Indice 0 1 2 3 4 5
Numero 3 5 7 9 11 13
A partir deste exemplo, podemos notar que, dado um ndice i, o numero que
e armazenado na lista na posicao indicada por este ndice e j = 2i + 3. Recipro-
camente, dado um numero j armazenado na lista, ele e armazenado na posicao
indicada pelo ndice i = (j 3)/2. Repare que, como estamos armazenando ape-
nas numeros mpares na lista, j necessariamente e mpar. Logo j 3 e par, o que
significa que (j 3)/2 e um numero inteiro.
Conforme foi dito acima, a ideia principal do crivo e ir eliminando aos poucos
os numeros compostos que aparecem na lista ate que restem apenas os numeros
primos. Para isso, o procedimento de cada etapa e o seguinte:
1. Buscamos o primeiro elemento da lista que ainda nao utilizamos em passos

anteriores e que ainda nao foi eliminado. No incio da execucao do crivo, este
sera o primeiro elemento da lista.
2. Seja j o numero selecionado no passo anterior e i o seu ndice. Temos a

relacao j = 2i + 3 entre eles. A partir da posicao i da lista, iremos eliminar
numeros a cada j posicoes. Isto e, iremos eliminar os numeros nas posicoes
i + j, i + 2j, i + 3j, . . . ate que encontremos o final da lista.
O que este processo de eliminacao esta fazendo e eliminar todos os multiplos

de j que estao na lista, ja que, se sao multiplos de j, entao sao compostos.
Para realizar o processo de eliminacao de um numero, nao devemos simples-
mente exclu-lo da lista, pois isto mudaria o tamanho da lista e alteraria a
relacao entre os numeros e os ndices da lista, tornando a igualdade j = 2i + 3
falsa. A melhor forma de realizar a eliminacao de um numero e substitu-lo
por 0 na lista.
3. Repetimos este processo em uma nova etapa, ate que nao restem mais numeros
que possam ser selecionados no primeiro passo acima.
Podemos reparar pela descricao acima que o maior merito do Crivo de Eratoste-
nes e conseguir encontrar quais sao os numeros que possuem um determinado fa-
tor sem realizar nenhuma conta de divisao. As contas de divisao sao os calculos
aritmeticos mais custosos do ponto de vista computacional.
Exemplo 3.4. Vamos realizar os passos descritos acima na lista com os inteiros
mpares entre 3 e 40.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 9 11 13 15 17 19 21
Indice 10 11 12 13 14 15 16 17 18
Numero 23 25 27 29 31 33 35 37 39
Nossa primeira selecao sera o numero j = 3, com ndice i = 0. Iremos entao,

a partir da posicao 0, eliminar os elementos da lista de 3 em 3. Isto significa que
vamos eliminar os elementos nas posicoes 3, 6, 9, 12, 15 e 18, substituindo-os por 0.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 0 11 13 0 17 19 0
Indice 10 11 12 13 14 15 16 17 18
Numero 23 25 0 29 31 0 35 37 0
Este processo de eliminacao retirou da lista todos os multiplos de j = 3.

Realizamos agora uma nova etapa, com uma nova selecao de um numero. O
primeiro numero da lista que ainda nao utilizamos e que nao foi eliminado e j = 5,
com ndice i = 1. Iremos entao, a partir da posicao 1, eliminar os elementos da
lista de 5 em 5. Vamos eliminar os elementos nas posicoes 6, 11 e 16.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 0 11 13 0 17 19 0
Indice 10 11 12 13 14 15 16 17 18
Numero 23 0 0 29 31 0 0 37 0
Analogamente ao que ocorreu na etapa anterior, este processo de eliminacao reti-

rou da lista todos os multiplos de j = 5. Repare que o elemento na posicao 6 ja
havia sido eliminado antes. Vemos entao que, ocasionalmente, o crivo realiza eli-
minacoes redundantes. Nao e possvel evitar todas estas eliminacoes redundantes,
mas discutiremos mais adiante algumas maneiras de diminuir a ocorrencia delas.
O proximo numero selecionado e j = 7, com ndice i = 2. As eliminacoes
ocorreriam nas posicoes 9 e 16, mas elas sao ambas redundantes.
48 Numeros Primos
Em seguida, como o numero 9 ja foi eliminado na lista, o proximo numero

selecionado e j = 11, com ndice i = 4. A unica eliminacao ocorreria na posicao
15, mas ela e redundante.
Na proxima etapa, o numero selecionado e j = 13, com ndice i = 5. A unica
eliminacao ocorreria na posicao 18, mas ela e redundante.
Na sequencia, como o numero 15 ja foi eliminado na lista, o proximo numero
selecionado e j = 17, com ndice i = 7. Nenhuma eliminacao sera feita na lista ja
que a primeira posicao de eliminacao seria 24, uma posicao que nao existe nesta
lista. O mesmo fenomeno acontecera com todos os outros numeros maiores do que
17 que estao na lista.
Podemos concluir entao que o nosso processo de eliminacao esta encerrado. To-
dos os numeros que nao foram eliminados sao primos, ja que nao possuem nenhum
fator proprio. Assim, a lista de todos os primos menores ou iguais a 40 e formada
pelos numeros que nao foram eliminados na lista acima com a adicao do numero 2,
o unico primo par:
L = [2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37].
Vimos no exemplo que, ocasionalmente, o Crivo de Eratostenes realiza algumas

eliminacoes redundantes. Nao e possvel evita-las completamente, mas vamos dis-
cutir agora duas melhorias para o Crivo que causam a diminuicao de eliminacoes
redundantes.
A primeira melhoria e sugerida diretamente pela Propriedade 3.2. Ela nos diz
que se m e um numero composto que esta na lista do crivo, ele vai possuir um
fator menor ou igual a b mc. Mas todo numero na lista e menor
ou igual ao seu
limite superior n. De m n, podemos concluir que b mc b nc. Assim, todos
os numeros compostos da lista terao algum fator menor ou igual a b nc. Logo,
no momento em que ja houvermos realizado todas as eliminacoes com numeros
menores ou iguais a b nc, os numeros que restarem sem terem sido eliminados
sao necessariamente primos. Assim, podemos terminar o processo do crivo neste
momento.
Exemplo
3.5. No exemplo anterior, o nosso limite superior era n = 40. Temos que
b 40c = 6. Logo, apos as eliminacoes realizadas com os numeros 3 e 5, nao eram
necessarias mais eliminacoes. Apos estas duas eliminacoes, os numeros restantes ja
eram os primos que buscavamos. Isso esta de acordo com o que vimos no exemplo,
quando todas as eliminacoes que tentamos fazer com numeros maiores do que 6 se
mostraram redundantes.
Para a segunda melhoria, utilizamos um raciocnio semelhante ao que utilizamos

na prova da Propriedade 3.2.
Suponha que estamos realizando as eliminacoes com um inteiro j. Todos os
multiplos de j na lista serao eliminados. Se um destes multiplos de j possuir
tambem algum outro fator menor do que j, entao ele ja tera sido eliminado em
alguma etapa anterior do crivo e a eliminacao atual com j sera redundante.
Vamos tentar entao determinar alguma propriedade dos inteiros positivos que
possuem j como seu menor fator. Suponha que m e um inteiro positivo e que
j e o seu menor fator. Temos entao que m = jm0 , para algum m0 Z. Mas
como j e o menor fator de m, entao m0 j. Multiplicando esta igualdade por
j de ambos os lados obtemos m = jm0 j 2 . Conclumos entao que, se m e
um multiplo de j tal que m < j 2 , entao ele possui algum fator menor do que j,
o que torna a sua eliminacao com j no crivo redundante. Assim, quando estamos
eliminando com j no crivo, podemos iniciar nossa eliminacao pelo numero j 2 . Todos
os numeros anteriores que forem multiplos de j ja terao sido eliminados em alguma
etapa anterior do crivo.
Vamos denotar por k a posicao inicial do processo de eliminacao levando em
consideracao esta segunda melhoria. Temos que k deve ser o ndice de j 2 na lista.
Como temos a relacao de que o ndice i de um inteiro j na lista satisfaz a igualdade
i = (j 3)/2, o ndice k de j 2 sera k = (j 2 3)/2. Assim, ao inves de eliminarmos
os numeros de j em j na lista fazendo a primeira eliminacao na posicao i + j, onde
i e o ndice de j, continuamos eliminando os numeros de j em j, mas realizamos a
primeira eliminacao na posicao k = (j 2 3)/2.
Exemplo 3.6. No exemplo acima, se utilizarmos esta segunda melhoria, nao ha-
vera mudancas nas eliminacoes que realizamos com o 3, mas teremos diferencas nas
eliminacoes com o 5. Sem a melhoria, eliminamos os numeros nas posicoes 6, 11 e
16. Com a melhoria, a primeira eliminacao ocorreria na posicao k = (52 3)/2 =
11, prosseguindo de 5 em 5. Assim, nao seria feita a eliminacao na posicao 6, mas
seriam mantidas as eliminacoes nas posicoes 11 e 16. Pelo que vemos no exemplo
acima, a eliminacao na posicao 6 era justamente a eliminacao redundante que ocor-
ria com j = 5. Assim, esta segunda melhoria foi capaz de evitar esta eliminacao
redundante.
Exemplo 3.7. Vamos agora apresentar a aplicacao do crivo com as duas melhorias
acima para encontrar a lista de todos os primos menores ou iguais a 100.
De acordo com a primeira melhoria, so precisamos realizar eliminacoes com
numeros menores ou iguais a b 100c = 10.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 9 11 13 15 17 19 21
Indice 10 11 12 13 14 15 16 17 18 19
Numero 23 25 27 29 31 33 35 37 39 41
Indice 20 21 22 23 24 25 26 27 28 29
Numero 43 45 47 49 51 53 55 57 59 61
Indice 30 31 32 33 34 35 36 37 38 39
Numero 63 65 67 69 71 73 75 77 79 81
Indice 40 41 42 43 44 45 46 47 48
Numero 83 85 87 89 91 93 95 97 99
Nossa primeira selecao sera o numero j = 3, com ndice i = 0. Pela segunda
melhoria, iremos eliminar os numeros de 3 em 3 comecando a eliminacao na posicao
k = (32 3)/2 = 3.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 0 11 13 0 17 19 0
Indice 10 11 12 13 14 15 16 17 18 19
Numero 23 25 0 29 31 0 35 37 0 41
Indice 20 21 22 23 24 25 26 27 28 29
Numero 43 0 47 49 0 53 55 0 59 61
Indice 30 31 32 33 34 35 36 37 38 39
Numero 0 65 67 0 71 73 0 77 79 0
Indice 40 41 42 43 44 45 46 47 48
Numero 83 85 0 89 91 0 95 97 0
50 Numeros Primos
Em seguida, selecionamos o numero j = 5, com ndice i = 1. Novamente

utilizando a segunda melhoria, iremos eliminar os numeros de 5 em 5 comecando
a eliminacao na posicao k = (52 3)/2 = 11.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 0 11 13 0 17 19 0
Indice 10 11 12 13 14 15 16 17 18 19
Numero 23 0 0 29 31 0 0 37 0 41
Indice 20 21 22 23 24 25 26 27 28 29
Numero 43 0 47 49 0 53 0 0 59 61
Indice 30 31 32 33 34 35 36 37 38 39
Numero 0 0 67 0 71 73 0 77 79 0
Indice 40 41 42 43 44 45 46 47 48
Numero 83 0 0 89 91 0 0 97 0
Na sequencia, selecionamos o numero j = 7, com ndice i = 2. Iremos eliminar
os numeros de 7 em 7 comecando a eliminacao na posicao k = (72 3)/2 = 23.
Indice 0 1 2 3 4 5 6 7 8 9
Numero 3 5 7 0 11 13 0 17 19 0
Indice 10 11 12 13 14 15 16 17 18 19
Numero 23 0 0 29 31 0 0 37 0 41
Indice 20 21 22 23 24 25 26 27 28 29
Numero 43 0 47 0 0 53 0 0 59 61
Indice 30 31 32 33 34 35 36 37 38 39
Numero 0 0 67 0 71 73 0 0 79 0
Indice 40 41 42 43 44 45 46 47 48
Numero 83 0 0 89 0 0 0 97 0
Em seguida, como o numero 9 ja foi eliminado, selecionaramos o numero j =
11. Porem, a primeira melhoria nos diz que isto nao e necessario e que ja obtivemos
a lista de primos que buscavamos. A lista de primos sera formada por todos os
numeros que nao foram eliminados pelo crivo com a adicao do numero 2:
L = [2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41,
43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97].
Apresentamos abaixo a descricao formal do algoritmo do Crivo de Eratostenes
com as duas melhorias discutidas acima. Usamos a notacao de colchetes para re-
presentar listas.
E importante termos em mente de que o Crivo de Eratostenes nao e um teste de
primalidade e nao deve ser utilizado como tal. Quando fornecemos um inteiro n para
o Crivo de Eratostenes, ele ira calcular a lista de todos os primos menores ou iguais
a n, que pode ser uma lista grande se n for um inteiro grande. Muitas vezes, em um
teste de primalidade, desejamos testar numeros de mais de 100 algarismos. O Crivo
nao conseguira construir a lista de todos os numeros primos com ate 100 algarismos,
tanto pelo tempo necessario quanto pela memoria necessaria para armazenar tal
lista. Desta forma, o crivo nao pode ser usado como um substituto para os testes
de primalidade. A sua funcao e gerar listas de primos, sendo que ele e bastante
eficiente nesta funcao para limites superiores ate em torno de 100 milhoes, onde a
lista gerada tera em torno de 5 milhoes e meio de primos.
Pequeno Teorema de Fermat 51
Algoritmo 3.2: Crivo de Eratostenes
Entrada: Um numero inteiro n 3.
Sada: Uma lista L contendo todos os numeros primos menores ou iguais a n.
Instrucoes:
1. N [ ] # lista vazia
2. j 3
3. Enquanto j n, faca:
3.1. Adicione j a lista N .
3.2. j j + 2
4. t b(n 1)/2c # tamanho da lista
5. i 0

6. Enquanto (2 i + 3) b nc, faca: # primeira melhoria
6.1. j (2 i + 3)
6.2. k (j j 3)/2 # segunda melhoria
6.3. Enquanto k < t, faca:
6.3.1. N [k] 0
6.3.2. k k + j
6.4. i i + 1
6.5. Enquanto N [i] = 0, faca i i + 1.
7. L [2] # lista contendo apenas o 2
8. Adicione a L todos os elementos de N que sao diferentes de 0.
9. Retorne L.
3.3 Pequeno Teorema de Fermat

Nesta secao, apresentamos um resultado muito importante que permite simplificar
diversos calculos modulares quando o modulo que estamos utilizando e um numero
primo. Este resultado e conhecido como Pequeno Teorema de Fermat, pois este
teorema foi enunciado em 1640 pelo matematico frances Pierre de Fermat, que
nasceu na primeira decada do seculo XVII e faleceu em 1665.
Como era, de certa forma, costumeiro para Fermat, ele enunciou o teorema sem
apresentar uma prova (fez o mesmo com o resultado conhecido como Ultimo Teo-
rema de Fermat). Provas do Pequeno Teorema de Fermat foram inicialmente apre-
sentadas pelo matematico alemao Gottfried Leibniz (1646-1716) e pelo matematico
suco Leonhard Euler (1707-1783).
Teorema 3.3 (Pequeno Teorema de Fermat). Se p e primo e a e um numero inteiro

tal que a 6 0 (mod p), entao ap1 1 (mod p).
Demonstracao: Inicialmente, repare que se a 0 (mod p), entao todas as suas

potencias, incluindo ap1 serao tambem congruentes a zero modulo p. Vamos supor
entao que a 6 0 (mod p), o que significa que p nao divide a.
52 Numeros Primos
Vamos considerar a sequencia de numeros abaixo, todos reduzidos modulo p:
a, 2a, 3a, ..., (p 1)a (mod p).
Existem p 1 numeros inteiros nesta sequencia e todos estao no intervalo [1, p 1],
devido a reducao modulo p. Vamos mostrar que todos os numeros desta sequencia
sao diferentes entre si, o que significa que todos os numeros inteiros do intervalo
[1, p 1] aparecem nesta sequencia.
Suponha que tenhamos 1 i j p 1 e ia ja (mod p). Temos entao que
(j i)a 0 (mod p), o que significa que p divide (j i)a. Como, por hipotese, p
nao divide a, temos que p divide (j i). Entretanto, 0 j i < p 1, e o unico
inteiro neste intervalo que e divisvel pelo primo p e 0. Logo, temos j i = 0, o que
implica i = j. Desta forma, se i 6= j, ia 6 ja (mod p).
Como a sequencia de numeros acima contem exatamente os inteiros no intervalo
[1, p 1], o produto de todos os numeros na sequencia acima sera igual ao produto
de todos os inteiros neste intervalo. Desta forma,
a(2a)(3a) . . . (p 1)a (p 1)! (mod p),
o que implica
ap1 (p 1)! (p 1)! (mod p).
Como (p1)! 6 0 (mod p), podemos multiplicar a igualdade acima pelo seu inverso
em ambos os lados, obtendo ap1 1 (mod p).
Exemplo 3.8. O teorema nos diz que, sem precisarmos fazer nenhuma conta,
1218 1 (mod 19), 322 1 (mod 23) e 840 1 (mod 41), uma vez que 12 6 0
(mod 19), 3 6 0 (mod 23) e 8 6 0 (mod 41) e 19, 23 e 41 sao primos.
E muito importante manter sempre em mente as duas hipoteses do Pequeno
Teorema de Fermat. Podemos ter an1 6 1 (mod n) se n for composto. Alem
disso, se a 0 (mod p), entao qualquer potencia ak , k 0, tambem ira satisfazer
ak 0 (mod p), o que significa que ak 6 1 (mod p), ja que 0 6 1 (mod p).
Analisando com cuidado o Pequeno Teorema de Fermat, podemos ver que ele
nos fornece uma maneira de testar se um dado inteiro n > 2 e composto.
Suponha que n seja primo e seja b um inteiro tal que 2 b n 1. Como b e
menor do que n e diferente de zero, certamente b nao e multiplo de n. Assim, temos
que b 6 0 (mod n). Logo, como estamos supondo que n e primo, entao o Pequeno
Teorema de Fermat nos diz que bn1 1 (mod n).
Vamos entao observar este raciocnio no sentido inverso. Suponha que tenhamos
um valor de b no intervalo 2 b n 1 tal que bn1 6 1 (mod n). Se n fosse
primo, este ultimo resultado estaria contradizendo o resultado esperado a partir do
Pequeno Teorema de Fermat. Logo, neste caso, n e necessariamente composto.
Obtivemos entao o seguinte teste de composicionalidade, baseado no Pequeno
Teorema de Fermat.
Corolario 3.1. Seja n > 2 um inteiro. Se existe um inteiro b no intervalo 2
b n 1 tal que bn1 6 1 (mod n), entao n e um numero composto. Neste caso,
dizemos que b e uma testemunha de que n e composto.
Este teste e conhecido como Teste de Fermat. Repare que se o teste nos in-
forma que um numero e composto, podemos concluir com absoluta certeza que isto
e verdade, mesmo que nao saibamos nenhum de seus fatores proprios. Isto nos
mostra um dos resultados mais contra-intuitivos deste estudo dos numeros inteiros:
e possvel determinar que um numero e composto mesmo sem saber fatora-lo.
Como vimos anteriormente neste captulo, o problema da fatoracao e um pro-
blema muito difcil do ponto de vista computacional. Logo, e uma boa notcia que
o problema de determinar se um numero e composto e o problema de calcular a
fatoracao de um numero nao sejam equivalentes, apesar de parecerem ser a primeira
vista.
Se conseguimos encontrar um inteiro b no intervalo 2 b n1 tal que bn1 6 1
(mod n), entao sabemos que n e composto. Entretanto, para um valor fixado de b
neste intervalo, se bn1 1 (mod n), entao nao podemos concluir que n e primo.
Existem numeros n que sao compostos mas satisfazem a congruencia bn1 1
(mod n). Estes numeros sao conhecidos como pseudoprimos de Fermat, ou sim-
plesmente pseudoprimos, para a base b, ja que, apesar de serem compostos, eles
tem o mesmo comportamento que um primo teria com relacao a esta congruencia
com base b.
Exemplo 3.9. O numero 341 e composto, ja que 341 = 11.31. Entretanto, 2340 1
(mod 341). Logo, 341 e um pseudoprimo para a base 2.
A existencia de pseudoprimos nos mostra que, quando selecionamos uma base
b e executamos o Teste de Fermat com esta base, calculando a forma reduzida de
bn1 modulo n, o teste podera nos dar dois resultados: o numero n e composto, se
bn1 6 1 (mod n), ou o resultado do teste e inconclusivo, se bn1 1 (mod n). O
teste e inconclusivo neste ultimo caso porque tanto os numeros primos quanto os
pseudoprimos para a base b (que sao numeros compostos) satisfazem esta ultima
congruencia. Assim, o Teste de Fermat com uma base b e capaz de distinguir alguns
numeros compostos dos numeros primos, mas nao todos. Como consequencia, ao
aplicar o Teste de Fermat com uma base, poderemos em alguns casos concluir com
absoluta certeza que um numero e composto, mas nunca poderemos concluir com
esta mesma certeza que um numero e primo.
Se o Teste de Fermat com uma base fixada nao e suficiente para determinar se
um numero e primo, uma outra ideia poderia ser aplicar a recproca do Teste de
Fermat. Se n > 2 e um inteiro e, para todo inteiro b no intervalo 2 b n 1,
temos que bn1 1 (mod n), entao n e um numero primo?
A resposta e sim. Se n > 2 for um numero composto, a congruencia bn1 1
nao pode ser verdadeira para todos os inteiros no intervalo 2 b n 1. Se n
e composto, n possui um fator proprio 2 f n 1. Em particular, como f e
fator de n, temos que mdc(n, f ) 6= 1. Entao, pelo Teorema da Inversao Modular
(Teorema 2.5), podemos concluir que nao existe nenhum inteiro positivo k tal que
f k 1 (mod n). Assim, em particular, f n1 6 1 (mod n).
Vimos entao que, caso n seja composto, existirao sempre algumas bases no
intervalo 2 b n 1 tais que bn1 6 1. Desta forma, caso pudessemos testar
todas as bases no intervalo, poderamos concluir com absoluta certeza se n e primo
ou composto. Porem, quando n e um numero muito grande, como efetivamente
acontece na pratica, este teste atraves da varredura exaustiva de todas as bases no
intervalo e totalmente inviavel.
Outra ma notcia para a eficacia do Teste de Fermat em diferenciar totalmente
numeros primos e compostos e a existencia de uma famlia infinita de inteiros com-
postos, conhecidos como Numeros de Carmichael , para os quais as unicas bases
b em que temos bn1 6 1 sao justamente as bases que utilizamos no argumento
acima, isto e, as bases em que mdc(n, b) 6= 1. Para todos os inteiros b no intervalo
2 b n 1 em que mdc(n, b) = 1, teremos bn1 1 (mod n).
54 Numeros Primos
Assim, para conseguirmos determinar conclusivamente que um Numero de Car-

michael e composto atraves do Teste de Fermat, precisaramos testar sucessivamente
as bases no intervalo 2 b n 1 ate termos a sorte de encontrar uma para a qual
mdc(n, b) 6= 1, ja que apenas neste caso a congruencia bn1 6 1 (mod n) se verifi-
cara. Entretanto, encontrar uma base satisfazendo esta propriedade e equivalente a
efetivamente encontrar um fator de n, ja que se d = mdc(n, b) 6= 1, entao d e fator
de n. Assim, o Teste de Fermat para Numeros de Carmichael nao e mais eficiente
do que um processo tradicional de fatoracao.
Como os Numeros de Carmichael sao pseudoprimos para a maioria das bases no
intervalo 2 b n 1, o Teste de Fermat tera enorme dificuldade em diferencia-
los dos numeros primos. Desta forma, a existencia dos Numeros de Carmichael
nos mostra que o Teste de Fermat e inerentemente limitado na sua capacidade de
separar os numeros primos dos compostos, embora nao deixe de ser util em muitos
casos, nos dando uma certificacao de que determinado numero e composto.
Para mais informacoes sobre os Numeros de Carmichael, o livro [3] pode ser
consultado.
Na proxima secao, veremos um teste mais refinado que ameniza consideravel-
mente as limitacoes do Teste de Fermat, sendo muito utilizado na pratica.
Uma outra utilidade muito importante do Pequeno Teorema de Fermat e auxiliar
no calculo de potencias modulares quando o modulo e um numero primo p. Suponha
que queremos calcular a forma reduzida de ak modulo p, onde a 6 0 (mod p) e p e
primo. Sabemos, pelo Pequeno Teorema de Fermat, que ap1 1 (mod p). Assim,
se k p 1, podemos simplificar o calculo de ak com um raciocnio simples.
Comecamos dividindo k por p 1, obtendo k = (p 1)q + r, com 0 r < p 1.
Entao, temos
ak a(p1)q+r (ap1 )q ar (mod p).
Como ap1 1 (mod p), podemos substituir ap1 por 1 na congruencia acima:
(ap1 )q ar 1q ar ar (mod p).
Desta forma, conclumos que, quando o modulo p e primo, ak ar (mod p), onde r
e o resto da divisao de k por p 1. Podemos entao realizar o calculo de potenciacao
com o expoente menor r, ao inves de com o expoente maior k.
Exemplo 3.10. Vamos calcular a forma reduzida de 8293487559837 modulo 41. Como
41 e primo e 8 6 0 (mod 41), podemos utilizar o Pequeno Teorema de Fermat para
nos auxiliar, conforme explicado acima.
Comecamos dividindo 293487559837 por 40, obtendo
293487559837 = 40.7337188995 + 37.
Assim, 8293487559837 837 (mod 41). Podemos perceber a enorme diferenca no

tamanho dos dois expoentes. Aplicar o algoritmo de exponenciacao modular ao
segundo expoente e claramente vantajoso.
R A E E mpar?
1 8 37 Sim
8 23 18 Nao
8 37 9 Sim
9 16 4 Nao
9 10 2 Nao
9 18 1 Sim
39 37 0 Nao
Logo, a forma reduzida de 8293487559837 modulo 41 e 39, sendo que nao precisamos
realizar os calculos com o expoente 293487559837 para obtermos o resultado.
E sempre importante relembrar que o Pequeno Teorema de Fermat so pode ser

aplicado quando o modulo e primo. Logo, a simplificacao acima nao pode ser feita
da mesma forma se o modulo for composto.
O Pequeno Teorema de Fermat pode ser utilizado de outra maneira para sim-
plificar o calculo de potencias em alguns casos em que o modulo e composto. Neste
caso, ele e auxiliado pelo Teorema Chines do Resto. Os casos em que esta segunda
abordagem ira funcionar sao os casos em que o modulo n e um numero composto
que possui fatoracao na forma n = p1 p2 . . . pt , com 1 < p1 < p2 < . . . < pt . Em
outras palavras, temos que todos os primos distintos que ocorrem na fatoracao de
n possuem multiplicidade 1.
Neste caso, se queremos calcular a forma reduzida de ak modulo n, comecamos
calculando as formas reduzidas de ak modulo pi , 1 i t, onde pi sao os primos
distintos que ocorrem na fatoracao de n. Para estes calculos, podemos utilizar o
Pequeno Teorema de Fermat da forma que explicamos acima para obter simpli-
ficacoes, ja que os modulos pi sao primos. Vamos chamar de ai a forma reduzida
de ak modulo pi , 1 i t. Podemos entao construir o sistema de congruencias

x a1 (mod p1 )
x a2 (mod p2 )

.. .. .. ..

. . . .
x at (mod pt )

e resolve-lo atraves do Algoritmo Chines do Resto. O Teorema Chines do Resto

(Teorema 2.6) nos garante que ele possui uma unica solucao modulo o produto
p1 p2 . . . pt , que e exatamente o nosso modulo original n. Assim, a resolucao do
sistema nos dara a forma reduzida de ak modulo n.
Exemplo 3.11. Vamos calcular a forma reduzida de 64274623 modulo 3003. O

modulo 3003 nao e primo, logo nao podemos aplicar diretamente o Pequeno Teorema
de Fermat como fizemos no exemplo anterior.
Temos que 3003 = 3.7.11.13. Como todos os primos aparecem com multiplici-
dade 1 na fatoracao de 3003, podemos utilizar a estrategia acima para realizar o
calculo. Para isso, precisamos calcular as formas reduzidas de 64274623 modulo 3,
modulo 7, modulo 11 e modulo 13.
No caso do modulo 3, nao podemos aplicar o Pequeno Teorema de Fermat, pois
6 0 (mod 3). Entretanto, isto nao e um problema, ja que toda potencia 6k de 6
tambem sera congruente a 0 modulo 3. Assim, 64274623 0 (mod 3).
Para o modulo 7, como 6 6 0 (mod 7), podemos utilizar o Pequeno Teorema de
Fermat. Assim, temos que 66 1 (mod 7). Realizando a divisao de 4274623 por
6, obtemos resto 1. Assim, 64274623 6 (mod 7).
Vamos agora para o modulo 11. Podemos, novamente, utilizar o Pequeno Te-
orema de Fermat, ja que 6 6 0 (mod 11). Assim, temos que 610 1 (mod 11).
Realizando a divisao de 4274623 por 10, obtemos resto 3. Assim, 64274623 63 7
(mod 11).
Finalmente, vamos para o modulo 13. Temos que 6 6 0 (mod 13), assim, pelo
Pequeno Teorema de Fermat, 612 1 (mod 13). Realizando a divisao de 4274623
por 12, obtemos resto 7. Assim, 64274623 67 7 (mod 13).
56 Numeros Primos
Obtemos entao o sistema

x 0 (mod 3)
x 6 (mod 7)

x 7 (mod 11)
x 7 (mod 13).

Podemos resolve-lo com o Algoritmo Chines do Resto. Deixamos os detalhes da

resolucao deste sistema como exerccio (Exerccio 5), sendo 2295 a solucao encon-
trada. Assim, 64274623 2295 (mod 3003).
3.4 Teste de Miller-Rabin

Finalizando o captulo, nesta secao apresentamos um refinamento do Teste de Fer-
mat, apresentado na secao anterior. O teste que vamos apresentar e conhecido como
Teste de Miller-Rabin, pois foi originalmente proposto por Gary Miller no artigo
[17] em 1976 e depois melhorado por Michael Rabin no artigo [23] em 1980. Ele
e um dos testes mais utilizados atualmente para a distincao de numeros primos e
compostos. uma vez que ele nao e dependente de metodos de fatoracao (assim como
o Teste de Fermat), possui um baixo custo computacional e consegue distinguir pri-
mos e compostos com uma alta margem de seguranca e com a utilizacao de muito
menos bases do que o Teste de Fermat.
O Teste de Miller-Rabin se preocupa apenas com numeros n > 2 que sao mpares,
uma vez que qualquer numero par neste intervalo sera necessariamente composto,
sem a necessidade de nenhuma verificacao computacional.
Se n e mpar, entao n 1 e par. Podemos entao escrever n 1 na forma
n 1 = 2k q, onde k 1 e q e mpar. Para obter os valores de k e q, basta apenas
que facamos divisoes sucessivas de n 1 e dos quocientes que forem obtidos por
2, ate obtermos um quociente mpar. Este ultimo quociente sera q e o numero de
divisoes que houvermos feito sera k.
Suponha que n seja primo. Se b for um inteiro no intervalo 2 b n 1, entao
o Pequeno Teorema de Fermat nos diz que bn1 1 (mod n). Temos entao
k
1 bn1 b2 q
(mod p).
k
Pela definicao de congruencia, isto significa que n divide b2 q 1. Mas como k 1,
k k k1
entao b2 q 1 e uma diferenca de dois quadrados, sendo b2 q o quadrado de b2 q
k
e 1 o quadrado de si mesmo. Podemos entao escrever b2 q 1 como
k k1 k1
b2 q
1 = (b2 q
+ 1)(b2 q
1).
Pela Propriedade Fundamental dos Primos (Propriedade 3.3), como n e primo e n

k
divide b2 q 1, n deve dividir um dos termos do produto acima. Isto significa que
k1 k1
n divide b2 q + 1 ou n divide b2 q 1. No primeiro caso, temos que
k1
b2 q
1 (mod n).
Ja no segundo caso, temos que

k1
b2 q
1 (mod n).
Teste de Miller-Rabin 57
No segundo caso, temos uma congruencia semelhante a nossa congruencia original

k
b2 q 1 (mod n), apenas com a diminuicao em uma unidade do expoente de 2, que
passou de k para k 1.
Vamos entao denotar por j o menor expoente maior ou igual a zero tal que
j
b2 q 1 (mod n). Sabemos que j k, pelo exposto acima.
Se j = 0, obtemos
bq 1 (mod n). (3.4.1)
Por outro lado, se j 1, podemos repetir o raciocnio do paragrafo anterior.
Podemos escrever j j1 j1
b2 q 1 = (b2 q + 1)(b2 q 1).
j
Da mesma forma que anteriormente, como n e primo e divide b2 q 1, entao n divide
j1 j1
b2 q + 1 ou n divide b2 q 1. Mas agora o segundo caso nao e mais possvel. Se
j1 j1
n dividisse b2 q 1, teramos b2 q 1 (mod n) o que e uma contradicao com a
j
nossa escolha de j como o menor expoente tal que b2 q 1 (mod n). Logo, temos
j1
necessariamente que n divide b2 q + 1, o que significa que
j1
b2 q
1 (mod n). (3.4.2)
Vamos recapitular os resultados que obtivemos nas Equacoes (3.4.1) e (3.4.2).
Constatamos que, se n e primo e n 1 = 2k q, onde k 1 e q e mpar, entao uma
das seguintes coisas necessariamente acontece:
1. bq 1 (mod n) (Equacao (3.4.1)) ou
i
2. b2 q 1 (mod n), para algum i no intervalo 0 i k 1 (Equacao (3.4.2),
onde j 1 foi substitudo por i).
Vamos observar agora este raciocnio no sentido inverso. Seja n > 2 um inteiro
mpar e n 1 = 2k q, onde k 1 e q e mpar. Suponha que tenhamos um valor de
b no intervalo 2 b n 1 tal que bq 6 1 (mod n) e, para todo i no intervalo 0
i
i k 1, b2 q 6 1 (mod n). Se n fosse primo, estes ultimos resultados estariam
contradizendo os resultados esperados expostos no paragrafo anterior. Logo, neste
caso, n e composto.
A partir desta conclusao, descrevemos o Teste de Miller-Rabin. O teste consiste
no calculo de uma sequencia de potencias:
2 3 k1
bq , b2q , b2 q , b2 q , ..., b2 q
(mod n).
Se a primeira potencia nao for congruente nem a 1 nem a 1 modulo n e nenhuma
outra potencia for congruente a 1 modulo n, entao n e composto. Neste caso,
dizemos que b e uma testemunha de que n e composto. E importante observar
que nao precisamos calcular separadamente cada uma destas k potencias. Olhando
com atencao para a lista acima, vemos que cada potencia e o quadrado da potencia
anterior. Desta forma, precisamos apenas calcular a primeira potencia da lista,
sendo as outras obtidas elevando a potencia imediatamente anterior ao quadrado e
tomando sua forma reduzida modulo n.
Entretanto, analogamente ao que ocorria no Teste de Fermat, se para um valor
fixado de b no intervalo 2 b n 1 temos que bq 1 (mod n) ou temos que
i
b2 q 1 (mod n), para algum i no intervalo 0 i k 1, nao podemos concluir
que n e primo. Existem numeros n que sao compostos mas satisfazem alguma destas
congruencias. Estes numeros sao conhecidos como pseudoprimos fortes para a base
b, ja que, apesar de serem compostos, eles tem o mesmo comportamento que um
primo teria com relacao as congruencias do Teste de Miller-Rabin.
58 Numeros Primos
Exemplo 3.12. O numero n = 3277 e composto, ja que 3277 = 29.113. Entre-

tanto, ao realizarmos o Teste de Miller-Rabin com a base b = 2, ele nao e capaz de
determinar que este numero e composto.
Temos n 1 = 3276 = 22 .819, logo k = 2 e q = 819. Assim, comecamos
calculando a forma reduzida da potencia 2819 modulo 3277. Obtemos 2819 128
(mod 3277). Como 128 6= 1 (mod 3277) e 128 6= 1 (mod 3277), prosseguimos o
teste com a proxima potencia, que sera 22.819 . Temos que 22.819 (2819 )2 1282
3276 1 (mod 3277). Como esta segunda potencia e congruente a 1 modulo
3277, o Teste de Miller-Rabin com a base b = 2 nao e capaz de determinar que 3277
e composto. Logo, 3277 e um pseudoprimo forte para a base 2.
A existencia de pseudoprimos fortes nos mostra que, analogamente ao que acon-

tecia no Teste de Fermat, quando selecionamos uma base b e executamos o Teste de
Miller-Rabin com esta base, o teste podera nos dar dois resultados: o numero n e
i
composto, se bq 6 1 (mod n) e se b2 q 6 1, para todo 0 i k 1, ou o resultado
i
do teste e inconclusivo, caso contrario (bq 1 (mod n) ou b2 q 1, para algum
0 i k 1). O teste e inconclusivo no segundo caso porque tanto os numeros
primos quanto os pseudoprimos fortes para a base b (que sao numeros compostos)
satisfazem alguma destas ultimas congruencias. Assim, o Teste de Miller-Rabin com
uma base b e capaz de distinguir alguns numeros compostos dos numeros primos,
mas nao todos. Como consequencia, ao aplicar o Teste de Miller-Rabin com uma
base, poderemos em alguns casos concluir com absoluta certeza que um numero e
composto, mas nunca poderemos concluir com esta mesma certeza que um numero
e primo.
Parece entao que temos os mesmos problemas que tnhamos com o Teste de Fer-
mat para distinguir numeros primos de compostos em alguns casos. Entretanto, o
Teste de Miller-Rabin tem algumas vantagens bastante significativas na pratica. Em
primeiro lugar, existem menos pseudoprimos fortes para uma base b do que pseu-
doprimos de Fermat para esta mesma base. Isto ocorre porque todo pseudoprimo
forte tambem e necessariamente um pseudoprimo de Fermat, mas a recproca nao e
verdadeira. Deixamos a prova deste resultado como exerccio (Exerccio 7). Pode-
mos concluir entao que o Teste de Miller-Rabin consegue distinguir mais numeros
compostos do que o Teste de Fermat.
Em segundo lugar, nao existe nenhum analogo dos Numeros de Carmichael para
o Teste de Miller-Rabin, isto e, numeros que mesmo sendo compostos, retornam
resultado inconclusivo no teste para a grande maioria das bases. De fato, Rabin
mostra em seu artigo [23] que, se um inteiro mpar n 5 e composto, entao o Teste
de Miller-Rabin conseguira chegar ao resultado conclusivo com mais de 3/4 das bases
no intervalo 2 b n 1. Isso nos indica que, se o numero n que quisermos testar
for composto, temos uma probabilidade maior do que 3/4 de conseguir obter uma
resposta conclusiva no Teste de Miller-Rabin ao escolhermos uma base b ao acaso e
uma probabilidade menor do que 1/4 de que o teste retorne resultado inconclusivo.
Podemos tambem olhar este resultado de outra maneira. Considere inicialmente
que, se n for primo, o Teste de Miller-Rabin ira retornar resultado inconclusivo
para todas as bases. Por outro lado, ao testarmos um numero composto n com
uma dada base b, o teste retornara um resultado inconclusivo em menos de 1/4 dos
casos. Entao, se testarmos um numero n que nao sabemos se e primo ou composto
e o resultado do teste for inconclusivo, a probabilidade de n ser composto e menor
do que 1/4 e de n ser primo e maior do que 3/4.
Assim, podemos utilizar o Teste de Miller-Rabin com varias bases para testar
se um dado n e primo com uma margem de confianca tao grande quanto se queira.
Exerccios 59
Ao realizarmos o teste sucessivamente com t bases escolhidas ao acaso, se o teste

retornar o resultado de que n e composto com qualquer das bases, podemos encerrar
o teste e temos certeza absoluta de que n e realmente composto. Por outro lado, se o
teste retornar resultado inconclusivo para todas as t bases, a probabilidade de n nao
ser primo e menor do que 1/4t . Desta maneira, na pratica, o Teste de Miller-Rabin
nos fornece uma maneira eficiente de distinguir entre primos e compostos.
Como exemplo, se testarmos um numero n com 10 bases e o teste retornar re-
sultado inconclusivo para todas elas, a chance de n nao ser realmente um numero
primo e menor do que 1/410 , ou seja, menor do que uma em um milhao. Se aumen-
tarmos o numero de bases para 15, a chance passa a ser menor do que uma em um
bilhao.
E importante salientar que estas probabilidades levam em consideracao que as
t bases sao escolhidas ao acaso. Na pratica, costuma-se escolher como bases os t
menores primos. Assim, neste caso, as probabilidades acima passam a ser apenas
uma aproximacao. Tendo isto em mente, o procedimento que costuma ser utilizado
na pratica e aumentarmos o numero de bases usadas no teste conforme o numero
de algarismos de n aumenta.
Encerrando esta secao, apresentamos abaixo a descricao formal do Teste de
Miller-Rabin.
Algoritmo 3.3: Teste de Miller-Rabin
Entrada: Um numero inteiro mpar n 3 e um numero inteiro 2 b n 1.

Sada: Numero composto ou Resultado inconclusivo.
Instrucoes:
1. k 0, q n 1
2. Enquanto q for par, faca:
2.1. k k + 1
2.2. q q/2
3. t bq mod n
4. Se t = 1 ou t = n 1, entao retorne Resultado inconclusivo.
5. i 1
6. Enquanto i < k, faca:
6.1. t t2 mod n
6.2. Se t = n 1, entao retorne Resultado inconclusivo.
6.3. i i + 1
7. Retorne Numero composto.
3.5 Exerccios
1. Escreva uma descricao formal do algoritmo para a fatoracao completa de um
inteiro n 2 no formato dos outros algoritmos apresentados neste captulo.
O algoritmo devera obter a fatoracao conforme a descricao na Definicao 3.4.
Para isso, o algoritmo devera retornar duas listas: uma lista de fatores primos
distintos de n e uma lista das respectivas multiplicidades destes fatores na
fatoracao de n.
60 Numeros Primos
2. Determine a fatoracao dos seguintes numeros:

2.1. 952875
2.2. 171990
2.3. 1386000
3. Utilize o Crivo de Eratostenes com as duas melhorias propostas para construir
a lista de todos os primos menores do que 400.
4. Calcule a forma reduzida das seguintes potencias:
4.1. 3124755 mod 41

4.2. 5423744 mod 29
4.3. 6326532 mod 53
4.4. 2256364 mod 59
5. Desenvolva os detalhes da resolucao do sistema de congruencias do Exemplo
3.11 atraves do Algoritmo Chines do Resto.
6. Calcule a forma reduzida das seguintes potencias:
6.1. 4165234 mod 2121
6.2. 3734253 mod 1490
6.3. 6524187 mod 741
6.4. 10922531 mod 3445
7. Mostre que todo pseudoprimo forte para uma base b e tambem um pseudo-
primo de Fermat para esta mesma base. Em seguida, mostre que nem todo
pseudoprimo de Fermat para uma base b e um pseudoprimo forte para esta
base, mostrando que o numero 341, que e um pseudoprimo de Fermat para a
base 2, conforme o exemplo 3.9, nao e um pseudoprimo forte para esta base.
8. Aplique o Teste de Miller-Rabin com a base 2 aos numeros abaixo. Caso o
resultado retornado seja inconclusivo, aplique o teste novamente com a base
3.
8.1. 10027
8.2. 13823
8.3. 15841
8.4. 1373653
Captulo 4
Grupos
Neste captulo, apresentamos nosso ultimo topico entre os conceitos matematicos

basicos necessarios para as nossas aplicacoes, com a discussao da estrutura algebrica
conhecida como grupo.
Primeiramente, iremos apresentar a definicao formal do que e um grupo, sendo
que estaremos mais interessados em grupos finitos. Em seguida, descreveremos o
nosso foco principal, que sao grupos construdos a partir das relacoes de congruencia
modulo n. Tais grupos sao denotados por U (n) e seus elementos sao os elementos
de Zn que possuem inverso multiplicativo modulo n. Iremos tambem estudar de
maneira particular os grupos U (p), onde p e um primo, ja que os calculos do metodo
El Gamal sao realizados em grupos deste tipo.
Ao longo do captulo, apesar de nosso foco principal ser os grupos U (n) e U (p),
tambem apresentaremos algumas nocoes gerais oriundas da teoria de grupos. Entre
elas, discutiremos as nocoes de subgrupos e de grupos e subgrupos cclicos. Esta
ultima nocao tambem se mostrara muito importante para a construcao do metodo
El Gamal. Alem disso, completaremos nossa discussao apresentando e provando
alguns resultados fundamentais sobre grupos, como o Teorema de Lagrange e o
Teorema da Raiz Primitiva, entre outros. De maneira mais ou menos explcita,
cada um destes resultados e importante na construcao do metodo El Gamal.
Finalmente, apresentamos tambem neste captulo a formulacao do Problema
do Logaritmo Discreto, um problema da teoria de grupos que esta intimamente
relacionado a seguranca do metodo El Gamal.
4.1 Definicoes Basicas

A teoria de grupos, isto e, o estudo sistematico das estruturas algebricas conhecidas
como grupos, foi iniciada pelo matematico frances Evariste Galois (1811-1832), que
foi o primeiro a utilizar a nomenclatura grupo. Entretanto, muitos resultados da
teoria de grupos ja haviam sido apresentados por matematicos anteriores a Galois,
embora em contextos menos gerais e sem utilizar a notacao e a nomenclatura da
teoria de grupos. Em particular, diversos resultados relacionados ja haviam sido
desenvolvidos por matematicos como o suco Leonhard Euler (1707-1783), o franco-
italiano Joseph-Louis Lagrange (1736-1813) e o alemao Carl Friedrich Gauss (1777-
1855).
O trabalho de Gauss, em especial, foi de extrema importancia para a sedi-
mentacao de notacoes e resultados fundamentais. Em seu livro Disquisitiones
62 Grupos
Arithmeticae [7], escrito em Latim em 1798, quando ele tinha 21 anos, e publicado
em 1801, Gauss cataloga de maneira bastante completa resultados a respeito dos
numeros inteiros, de aritmetica modular e tambem resultados que acabaram incor-
porados a teoria de grupos, como o Teorema da Raiz Primitiva. Neste trabalho de
catalogacao, Gauss apresenta resultados de matematicos anteriores (como Euclides,
Fermat, Euler e Lagrange, entre outros), alem de acrescentar resultados e provas de
sua propria autoria. Em particular, a notacao de aritmetica modular que e utilizada
ate hoje, e que nos tambem utilizamos neste livro, e herdada das Disquisitiones
Arithmeticae.
Iniciamos o nosso estudo da teoria de grupos pela definicao mais basica, isto e,
a definicao de um grupo.
Definicao 4.1. Um grupo e um par G = (G, ), onde G e um conjunto e e uma
operacao : G G G (uma operacao que toma dois operandos em G e retorna
como resultado um elemento de G) que satisfaz as seguintes propriedades:
1. Associatividade: para todo a, b, c G, (a b) c = a (b c);
2. Existencia de elemento neutro: existe um elemento e G tal que, para todo
a G, a e = e a = a;
3. Existencia de inversos: para todo a G, existe um elemento a1 G tal que
a a1 = a1 a = e, onde e e o elemento neutro.
Quando estivermos falando de um grupo em um contexto generico, sempre uti-
lizaremos a notacao e para o elemento neutro do grupo.
Podemos reparar tambem que nao exigimos em um grupo que a operacao seja
comutativa no caso geral.
Definicao 4.2. Um grupo G = (G, ) e chamado de grupo comutativo ou grupo
abeliano se, alem das propriedades acima, ele satisfaz a seguinte propriedade:
4. Comutatividade: para todo a, b G, a b = b a.
A nomenclatura grupo abeliano e uma homenagem ao matematico noruegues
Niels Henrik Abel (1802-1829), outro pioneiro da teoria de grupos ao lado de Galois.
Tragicamente, tanto Abel quanto Galois morreram com menos de 30 anos de idade.
Vamos analisar agora alguns exemplos de pares de conjuntos e operacoes que
nao sao grupos e outros que sao grupos.
Exemplo 4.1. O par G = (N, +) nao e um grupo. A soma de naturais e associativa
e 0 e o elemento neutro da operacao, porem nem todos os naturais possuem um
inverso aditivo que tambem seja natural. Por exemplo, o inverso aditivo de 2 e 2,
mas 2 / N.
Exemplo 4.2. O par G = (Z, +) e um grupo. Neste caso, o inverso aditivo de
qualquer inteiro tambem e um numero inteiro.
Exemplo 4.3. O par G = (Zmpares , +), onde Zmpares representa o conjunto dos
inteiros mpares, nao e um grupo, pois neste caso a soma nem sequer atende a
nossa definicao de operacao. A operacao de um grupo deve ser necessariamente
uma funcao que toma dois elementos do conjunto e retorna um valor que tambem
pertenca ao conjunto. Mas no nosso exemplo atual, em que estamos trabalhando
com o conjunto dos inteiros mpares, isto nao acontece, ja que a soma de dois
inteiros mpares e um inteiro par.
Os Grupos Finitos U (n) 63
Exemplo 4.4. O par G = (Z, ), onde representa a operacao de produto, nao e um

grupo, pois nem todos os inteiros possuem um inverso multiplicativo que tambem
seja inteiro.
Exemplo 4.5. O par G = (Q , ), onde Q representa o conjunto dos racionais

diferentes de 0 e representa a operacao de produto e um grupo. Neste caso, o
inverso multiplicativo de qualquer racional diferente de zero tambem e um racional
diferente de zero.
Exemplo 4.6. Para um determinado n fixado, o par G = (Mn , ), onde Mn repre-

senta o conjunto das matrizes quadradas n por n e representa o produto matricial,
nao e um grupo. A operacao de produto matricial e associativa, a matriz identidade
n por n e o elemento neutro da operacao, porem nem toda matriz quadrada n por
n possui uma matriz inversa. Por outro lado, se tomarmos o par G 0 = (Mn , ),
onde Mn representa o conjunto das matrizes quadradas n por n com determinante
diferente de zero, teremos um grupo, ja que toda matriz quadrada n por n com
determinante nao-nulo possui uma inversa e esta inversa tambem e uma matriz
quadrada n por n com determinante nao-nulo. Repare que este e um exemplo de
grupo nao-abeliano ja que o produto de matrizes nao e uma operacao comutativa.
Apos estes exemplos, apresentamos outras definicoes basicas muito importantes:

a definicao da ordem de um grupo e a definicao de um grupo finito
Definicao 4.3. A ordem de um grupo G = (G, ) e definida como a cardinalidade

do conjunto G.
Definicao 4.4. Um grupo G = (G, ) e um grupo finito se a sua ordem e finita,

isto e, se G e um conjunto finito.
Encerramos esta secao com uma observacao importante. Seja G = (G, ) um

grupo e sejam a, b G. Como G e um grupo, entao, por definicao, a e b possuem
inversos em G com relacao a operacao . Sejam a1 e b1 estes inversos, respec-
tivamente. Por outro lado, tambem pela definicao, a b tambem e um elemento
de G e, desta forma, tambem deve ter um inverso em G. Mas quem seria entao o
inverso de a b em G? O impulso inicial seria acreditar que e a1 b1 . Entretanto,
veremos que isto so e verdade se o grupo for abeliano.
Vamos analisar entao quem seria o inverso de a b. Ele sera um elemento u G
tal que (a b) u = e. Por associatividade, podemos escrever esta igualdade como
a (b u) = e. Podemos operar os dois lados desta ultima igualdade com a1 , da
seguinte forma: a1 a (b u) = a1 e = a1 . Repare que colocamos a1 a
esquerda nas operacoes dos dois lados da igualdade. Como nao estamos supondo
que o grupo e abeliano e sim tratando do caso geral, operar com a1 a esquerda
ou a direita pode gerar resultados diferentes. Assim, nao podemos colocar a1 a
esquerda em um dos lados da igualdade e a direita no outro. Como a1 e o inverso
de a, temos que a1 a = e. Assim, a ultima igualdade pode ser escrita como
b u = a1 . Finalmente, podemos operar os dois lados desta ultima igualdade
com b1 , da seguinte forma: b1 b u = b1 a1 . Como b1 b = e, obtemos
u = b1 a1 .
Vemos entao que o inverso de a b em G e b1 a1 . Se o grupo for abeliano,
entao b1 a1 = a1 b1 , que foi o nosso palpite inicial acima. Entretanto, no
caso geral, teremos b1 a1 6= a1 b1 e o nosso palpite inicial se mostra incorreto.
64 Grupos
4.2 Os Grupos Finitos U (n)

Para as nossas aplicacoes, estamos especialmente interessados em grupos finitos que
sao obtidos a partir das relacoes de congruencia modulo n que estudamos anterior-
mente.
Se consideramos o conjunto Zn com a operacao de produto modulo n, nao ob-
temos um grupo. A operacao de produto modular e associativa, 1 e o seu elemento
neutro, porem nem todos os elementos de Zn possuem inverso multiplicativo. De
acordo com o Teorema da Inversao Modular (Teorema 2.5), um elemento a Zn
possui inverso multiplicativo em Zn se e somente se mdc(a, n) = 1.
Neste caso, para obtermos um grupo a partir dos elementos de Zn , devemos nos
restringir ao subconjunto dos seus elementos que possuem inverso multiplicativo.
Definimos entao o conjunto U (n) da seguinte forma:
U (n) = {a Zn : mdc(a, n) = 1}.
Este e o conjunto de todos elementos de Zn que possuem inverso multiplicativo.

Vamos mostrar que o par (U (n), ), onde representa o produto modulo n,
e efetivamente um grupo. Para isso, precisamos mostrar que o produto de dois
elementos de U (n) resulta em um elemento de U (n) e que 1 U (n). As outras
propriedades, a associatividade do produto e a existencia de inversos, sao imediatas.
Para todo inteiro n 2, temos que mdc(1, n) = 1, logo 1 U (n). Vamos agora
mostrar que, se a U (n) e b U (n), entao ab U (n). Se a U (n), entao existe
um elemento a1 que e o inverso de a e tambem pertence a U (n). Analogamente,
existe um elemento b1 que e o inverso de b em U (n). Como vimos na secao anterior,
b1 a1 (ou a1 b1 , ja que o produto modular e comutativo) sera o inverso de ab.
Assim, como ab possui inverso, entao ab U (n).
Podemos concluir entao que o par (U (n), ) e um grupo. Com algum abuso de
notacao, iremos escrever apenas U (n) para denotar o grupo (U (n), ).
Em geral, os elementos de um conjunto que possuem inverso multiplicativo sao
chamados de unidades deste conjunto. Assim, denotamos o nosso conjunto por
U (n) pois ele e o conjunto das unidades do conjunto Zn .
Vamos agora analisar como calcular a ordem de um grupo U (n), isto e, o numero
de elementos no grupo U (n) em funcao do valor de n 2. A funcao que nos da o
numero de elementos de U (n) a partir do valor de n e denotada por (n) e conhecida
como funcao de Euler . Esta funcao foi descrita inicialmente por Euler, embora
a notacao com a letra tenha sido sugerida por Gauss em suas Disquisitiones
Arithmeticae [7].
Em primeiro lugar, podemos perceber que, independentemente do valor de n,
o elemento 0 nunca pertencera a U (n). Como o produto de qualquer elemento de
Zn por 0 resulta em 0, entao 0 nao possui inverso multiplicativo (um elemento que
multiplicado por 0 resultaria em 1). Desta forma, para todo n 2, temos que
(n) n 1.
Vamos comecar analisando o caso de U (p), quando p e primo. Ja sabemos que
0 / U (p). Por outro lado, para qualquer numero a no intervalo 1 a p 1, temos
que mdc(a, p) = 1. Isto ocorre porque p e primo e, portanto, nao possui divisores
proprios. Assim,
U (p) = Zp {0},
o que significa que
(p) = p 1.
Os Grupos Finitos U (n) 65
Em oposicao ao caso acima, se n for composto, entao n possui algum fator

proprio 1 < f n 1. Assim, mdc(f, n) > 1, o que significa que, neste caso,
alem de 0
/ U (n), temos tambem que f / U (n). Logo, se n e composto, temos
que (n) < n 1. A partir disto e do caso acima, podemos concluir a propriedade
abaixo.
Propriedade 4.1. (n) = n 1 se e somente se n e primo.
Vamos agora considerar o caso em que n = pk , onde p e primo e k 1. Queremos
calcular quantos sao os numeros a no intervalo 0 a < pk tais que mdc(a, pk ) = 1.
Temos que mdc(a, pk ) = 1 se e somente se p nao divide a. Temos que contar entao
quantos sao os numeros no intervalo 0 a < pk que nao sao divisveis por p. Neste
caso, e mais simples fazer a contagem inversa: quantos sao os numeros que sao
divisveis por p. Se a e divisvel por p, entao a = pa0 , para algum a0 Z. Por outro
lado, como 0 a < pk , temos que 0 pa0 < pk , o que significa que 0 a0 < pk1 ,
ja que p 6= 0. Como existem pk1 numeros no intervalo 0 a0 < pk1 , entao
existem pk1 numeros no intervalo 0 a < pk que sao divisveis por p. Logo,
existem pk pk1 = pk1 (p 1) numeros no intervalo 0 a < pk que nao sao
divisveis por p. Estes sao os numeros tais que mdc(a, pk ) = 1. Portanto,
(pk ) = pk1 (p 1).
Podemos reparar que o valor de (p) que calculamos anteriormente e um caso par-
ticular da formula acima quando k = 1.
Vamos agora utilizar o resultado acima para determinar o valor de (n) para
qualquer valor de n 2. Para isso, precisaremos ainda de alguns resultados auxili-
ares.
Lema 4.1. Sejam m, n 2 tais que mdc(m, n) = 1 e seja x Zmn . Vamos denotar
por a a forma reduzida de x modulo m e por b a forma reduzida de x modulo n.
Entao, x U (mn) se e somente se a U (m) e b U (n).
Demonstracao: () Se x U (mn), entao existe x1 U (mn) tal que xx1 1
(mod mn). Logo, mn divide xx1 1. Como m divide mn, entao m divide xx1 1,
o que significa que xx1 1 (mod m). Como x a (mod m), entao ax1 1
(mod m), o que significa que a possui inverso multiplicativo modulo m, isto e,
a U (m). Um raciocnio inteiramente analogo nos mostra que b U (n).
() Se a U (m), entao existe a1 U (m) tal que aa1 1 (mod m). Ana-
logamente, se b U (n), entao existe b1 U (n) tal que bb1 1 (mod n). Como
mdc(m, n) = 1, podemos utilizar o Algoritmo Chines do Resto para calcular a
solucao unica modulo mn do sistema
y a1

(mod m)
y b1 (mod n).
Vamos mostrar agora que a solucao unica y deste sistema e o inverso multiplicativo
de x modulo mn. Como x a (mod m) e y a1 (mod m), entao xy aa1 1
(mod m). Assim, xy 1 e divisvel por m. Um raciocnio inteiramente analogo nos
mostra que xy 1 e divisvel por n. Como mdc(m, n) = 1, se m e n dividem xy 1,
entao mn divide xy 1, de acordo com o Lema 2.2. Assim, xy 1 (mod mn), o
que significa que x possui inverso multiplicativo modulo mn. Logo, x U (mn).
Teorema 4.1. Se m, n 2 e mdc(m, n) = 1, entao (mn) = (m)(n).

66 Grupos
Demonstracao: De acordo com o Lema 4.1, se mdc(m, n) = 1, cada elemento de

U (mn) possui uma forma reduzida modulo m que esta em U (m) e uma forma re-
duzida modulo n que esta em U (n). Assim, podemos contabilizar o numero de
elementos de U (mn) contando o numero de possveis pares que podemos formar
com o primeiro elemento do par vindo de U (m) e o segundo elemento do par vindo
de U (n). O numero de possveis pares sera entao (m)(n), o que nos permite
concluir que (mn) = (m)(n).
Dado um inteiro n 2, podemos entao calcular o valor de (n) a partir da

fatoracao de n. Se n = pe11 pe22 . . . pet t , entao
(n) = (pe11 p2e2 . . . pet t ) = (pe11 )(pe22 ) . . . (pet t ).
Na igualdade acima, aplicamos o Teorema 4.1, uma vez que o maximo divisor comum
entre potencias de primos distintos e sempre 1. Podemos agora aplicar a formula
que deduzimos anteriormente para (pk ), obtendo
(n) = pe11 1 pe22 2 . . . ptet 1 (p1 1)(p2 1) . . . (pt 1).
Finalmente, e importante salientar que nao e conhecida nenhuma maneira de

calcular a funcao (n) no caso geral sem o conhecimento ou a obtencao da fatoracao
de n.
Exemplo 4.7. Vamos calcular (120). A fatoracao de 120 e 120 = 23 .3.5. Logo,
(120) = 231 .311 .511 .(2 1).(3 1).(5 1) = 4.1.1.1.2.4 = 32.
Isto significa que existem 32 elementos com inverso multiplicativo em Z120 .
4.3 Subgrupos
Nesta secao, apresentamos a nocao de subgrupo, que se relaciona com a nocao de
grupo de forma analoga a relacao entre subconjunto e conjunto. Entretanto, como
um grupo possui uma estrutura interna dada por propriedades de sua operacao,
esta estrutura tambem precisa ser considerada na definicao de subgrupo.
Definicao 4.5. Se G = (G, ) e um grupo, dizemos que H = (H, ) e um subgrupo
de G se as seguintes propriedades sao satisfeitas:
1. H G (H e um subconjunto de G);
2. Para todo h, j H, temos que h j H;
3. e H, onde e e o elemento neutro da operacao ;
4. Para todo h H, existe um elemento h1 H tal que h h1 = h1 h = e.
A partir desta definicao, podemos notar que um subgrupo nao e obtido a partir
de qualquer subconjunto do grupo original. Para que H = (H, ) seja um subgrupo
de G = (G, ), ele deve satisfazer todas as propriedades de um grupo quando olhado
isoladamente. Desta forma, para que H = (H, ) seja um subgrupo de G = (G, ),
ele deve conter o elemento neutro da operacao, todos os elementos de H devem
possuir inversos que tambem pertencam a H e a operacao deve estar bem definida
quando restrita a H, isto e, quando operamos dois elementos de H, o resultado da
operacao tambem precisa pertencer a H.
Subgrupos 67
Exemplo 4.8. Dado o grupo U (18) = {1, 5, 7, 11, 13, 17}. O conjunto H = {1, 7,
13} com a operacao de produto modulo 18 forma um subgrupo de U (18), uma vez
que H e subconjunto de U (18), 1 H, o produto de quaisquer dois elementos de H
tambem resulta em um elemento de H e o inverso de todo elemento de H tambem
pertence a H (o inverso de 1 e ele proprio e 7 e 13 sao inversos um do outro).
Exemplo 4.9. Se considerarmos o conjunto H 0 = {5, 11} nao precisamos fazer

nenhum calculo para concluir que ele nao forma um subgrupo de U (18), uma vez
que o elemento neutro de U (18) (1) nao pertence a H 0 . Todo subgrupo de um grupo
deve necessariamente conter o elemento neutro do grupo.
Exemplo 4.10. Se considerarmos o conjunto H 00 = {1, 7, 11}, agora o elemento

neutro de U (18) faz parte do conjunto, mas ele tambem nao forma um grupo. Se
operarmos os elementos 7 e 11 de H 00 , obtemos 7.11 77 5 (mod 18), mas
5/ H 00 . Assim, a operacao entre dois elementos de H 00 resultou em um elemento
fora de H 00 , o que nao pode ocorrer em um subgrupo.
Pela definicao de subgrupo, vemos que qualquer grupo G = (G, ) possuira

ao menos dois subgrupos: ele proprio e ({e}, ), o subgrupo que contem como
elemento apenas o elemento neutro da operacao . Para excluir estes casos triviais
que ocorrem em qualquer grupo, definimos a nocao de subgrupo proprio.
Definicao 4.6. Dado um grupo G = (G, ) e um subgrupo H = (H, ), dizemos que

H e um subgrupo proprio de G se H 6= G e H 6= {e}, onde e e o elemento neutro
da operacao .
Vamos agora apresentar um teorema central que rege a inter-relacao entre um

grupo e seus subgrupos. Este teorema foi provado inicialmente por Lagrange para
um caso particular, em um momento anterior a criacao da teoria de grupos por
Galois. Posteriormente, ele foi generalizado para grupos finitos, mas o nome de
Lagrange foi mantido como autor do teorema.
Este teorema nos mostra que a relacao entre grupos e subgrupos e extremamente
mais rgida do que a relacao entre subconjuntos e conjuntos.
Teorema 4.2 (Teorema de Lagrange). Seja G = (G, ) um grupo finito e H =

(H, ) um subgrupo de G. Entao, a ordem de H divide a ordem de G.
Demonstracao: A ordem de H e a ordem de G sao, respectivamente, a quantidade

de elementos em H, denotada por |H|, e a quantidade de elementos em G, denotada
por |G|.
Se |H| = |G|, o teorema e claramente verdadeiro. Vamos supor entao que
|H| < |G|. Assim, existe ao menos um elemento g1 G H.
Seja H = {h1 , h2 , . . . , ht }. Vamos construir o conjunto g1 H da seguinte forma:
g1 H = {g1 h1 , g1 h2 , . . . , g1 ht }.
E importante notar que |g1 H| = |H|, pois, para i 6= j, temos g1 hi 6= g1 hj . De

fato, se tivessemos g1 hi = g1 hj , teramos g11 g1 hi = g11 g1 hj , obtendo
hi = hj , o que seria uma contradicao com a hipotese de que i 6= j.
Se G = H g1 H, encerramos a construcao neste ponto. Caso contrario, existe
ao menos um elemento g2 G (H g1 H). Construmos entao o conjunto g2 H de
maneira analoga a construcao de g1 H. Da mesma forma que no caso de g1 H, temos
|g2 H| = |H|. Se G = H g1 H g2 H, encerramos a construcao neste ponto. Caso
68 Grupos
contrario, continuamos a construcao com um elemento g3 G (H g1 H g2 H)

e assim por diante, ate finalmente obtermos
G = g0 H g1 H g2 H . . . gs H,
onde g0 = e, de forma que g0 H = H. Repare que, como G e finito, esta igualdade

e eventualmente obtida.
Temos entao
|G| = |g0 H g1 H g2 H . . . gs H|
|g0 H| + |g1 H| + |g2 H| + . . . + |gs H| = (s + 1)|H|.
So nos resta agora mostrar que todos os conjuntos na uniao g0 H g1 H g2 H
. . . gs H sao disjuntos, de forma que temos efetivamente a igualdade
|G| = (s + 1)|H|,
o que significa que a ordem de H divide a ordem de G, provando o teorema.

Suponha, por contradicao, que os conjuntos nao sao disjuntos. Assim, exis-
tem s i > j 0 e 1 k, l t tais que gi hk = gj hl . Mas entao temos
gi = gj hl h1 1
k . Como hk , hl H, temos que hl hk H. Entao, pela igualdade
1
gi = gj hl hk , gi gj H. Mas isto e uma contradicao com a hipotese de que i > j e
com a restricao de gi , que deve ser escolhido no conjunto G(H g1 H . . .gi1 H).
Desta forma os conjuntos sao realmente disjuntos e o teorema esta provado.
O Teorema nos diz que a ordem de um subgrupo sera um divisor da ordem do

grupo. Se a ordem do grupo e n, 1 e n sao divisores de n. Entretanto, como o
elemento neutro deve obrigatoriamente pertencer ao subgrupo, o unico subgrupo
possvel de ordem 1 e o subgrupo que contem apenas o elemento neutro. Por outro
lado, o unico subgrupo de ordem n possvel e o proprio grupo. Desta forma, a ordem
de um subgrupo proprio de um grupo sera um divisor proprio da ordem do grupo.
Exemplo 4.11. Vamos considerar o grupo U (20) = {1, 3, 7, 9, 11, 13, 17, 19}. Ve-
mos que este grupo tem ordem 8 (o que pode ser confirmado pelo calculo de (20) =
8. Se tomarmos o subconjunto H = {1, 7, 13, 17, 19}, nao precisamos fazer nenhum
calculo com elementos de H para determinar se H vai ou nao formar um subgrupo
de U (20). Pelo Teorema de Lagrange, a ordem de qualquer subgrupo de U (20) sera
um divisor da ordem de U (20). Como a ordem de U (20) e 8, seus subgrupos terao
ordem 1, 2, 4 ou 8, sendo que os subgrupos proprios terao ordem 2 ou 4. Como H
possui 5 elementos, ele nao pode formar um subgrupo de U (20).
O Teorema de Lagrange nos permite ainda fazer uma conclusao interessante
sobre grupos de ordem prima (grupos cuja quantidade de elementos e um numero
primo). Um numero primo nao possui divisores proprios, logo, a partir da ob-
servacao que fizemos acima, um grupo de ordem prima nao possui nenhum subgrupo
proprio.
4.4 Grupos e Subgrupos Cclicos

Nesta secao, vamos estudar outro conceito basico fundamental da teoria de grupos:
o conceito de grupos e subgrupos cclicos.
Seja G = (G, ) um grupo finito e a G um de seus elementos. Vamos utilizar
a seguinte notacao:
ak = a a . . . a (k vezes).
Grupos e Subgrupos Cclicos 69
Chamamos ak de k-esima potencia de a em G. Definimos tambem que a0 = e, onde

e e o elemento neutro de G.
Vamos calcular o conjunto H de todas as potencias de a, com k 0:
H = {e, a, a2 , a3 , . . .}.
Em um primeiro olhar, o conjunto H parece infinito, ja que os expoentes das

potencias podem crescer de forma ilimitada. Entretanto, como a G e a operacao
de dois elementos de G sempre produz um resultado que tambem pertence a G,
temos que ak G, para todo k 0. Assim, H e um subconjunto de G. Mas
como G e um grupo finito, G e um conjunto finito. Desta forma, H tambem e
necessariamente um conjunto finito.
Conclumos entao que a listagem que fizemos acima dos elementos de H deve
conter (muitas) redundancias, uma vez que H so contem uma quantidade finita de
elementos. Isto significa que existem elementos al e am , com l > m tais que al = am
em G. E simples percebermos que se a1 e o inverso de a em G, entao (a1 )m e
o inverso de am . Podemos escrever a igualdade al = am como alm am = am .
Operando entao esta igualdade em ambos os lados com (a1 )m a direita, obtemos
alm am (a1 )m = am (a1 )m , o que nos permite concluir que alm = e em G.
Assim, para que H seja um conjunto finito, algumas potencias de a deverao ser
iguais ao elemento neutro.
Definicao 4.7. Seja G = (G, ) um grupo finito e a G um de seus elementos.
Definimos a ordem de a em G como o menor inteiro positivo k tal que ak = e em
G.
Repare que a0 = e, mas na definicao de ordem estamos considerando apenas
expoentes positivos.
Ja havamos definido na secao inicial deste captulo um outro conceito intitu-
lado ordem: a ordem de um grupo. Parece entao uma pessima ideia nomear um
segundo conceito, relativo agora a um elemento de um grupo, com o mesmo termo.
Entretanto, conforme veremos mais adiante, a nocao de ordem de um elemento esta
intimamente relacionada a nocao de ordem de um grupo.
Seja k a ordem de a. Temos entao que ak = e. Operando com a dos dois lados
da igualdade, obtemos ak+1 = a, ak+2 = a2 , e assim por diante. Desta forma, se k
e a ordem de a, temos que al = ar , onde r e o resto da divisao de l por k. Podemos
concluir entao que o conjunto H pode ser escrito como
H = {e, a, a2 , . . . , ak1 }.
Vamos mostrar que todos estes elementos de H sao distintos. Suponha que
al = am , com 0 m l k 1. Entao, operando com (a1 )m dos dois lados da
igualdade, obtemos alm = e. Como m e l sao menores ou iguais a k 1, temos
que 0 l m k 1. Entretanto, k e o menor inteiro positivo tal que ak = e.
Logo, se l m < k e alm = e, a unica possibilidade e l m = 0, o que significa que
l = m. Assim, todos os elementos na descricao de H acima sao distintos. Podemos
concluir entao que, se a ordem de a e k, o conjunto H das potencias de a tera k
elementos.
Vemos que e H. Alem disso, para uma potencia al , com 1 l k 1, temos
que al akl = ak = e, logo akl e o inverso de al . Desta maneira, todo elemento
de H possui inverso tambem em H. Podemos concluir entao que (H, ) e um grupo
finito com ordem k. Alem disso, como H e um subconjunto de G, (H, ) e um
subgrupo de G.
70 Grupos
Dizemos que (H, ) e o grupo cclico gerado por a ou, alternativamente, o sub-
grupo cclico de G gerado por a. Dizemos que a e um gerador ou uma raiz primitiva
do grupo (H, ).
Vemos agora a relacao entre a nocao de ordem de um elemento a de um grupo
(menor inteiro positivo k tal que ak = e) e a nocao de ordem de um grupo (numero
de elementos do grupo). Um elemento a de ordem k gera um grupo cclico de ordem
k (um grupo com k elementos).
A partir dos conceitos de grupo cclico e de gerador ou raiz primitiva, pode-
mos definir um problema central para as aplicacoes de grupos em criptografia: o
Problema do Logaritmo Discreto.
Definicao 4.8 (Problema do Logaritmo Discreto). Definimos o Problema do Lo-

garitmo Discreto, abreviado como PLD, da seguinte forma: dados um grupo finito
cclico G = (G, ) de ordem n, um gerador g de G e um elemento h G, queremos
determinar o valor de x no intervalo 0 x < n tal que g x = h em G.
Repare que, se g e um gerador de G e este grupo possui ordem n, entao todos

os elementos deste grupo podem ser escritos como uma potencia de g com expoente
maior ou igual a zero e menor do que n. O objetivo do Problema do Logaritmo
Discreto e justamente determinar quem e este expoente para um dado elemento h
de G.
Conforme veremos no proximo captulo, a seguranca do metodo El Gamal esta
baseada justamente na dificuldade computacional da resolucao do Problema do Lo-
garitmo Discreto no caso geral. Varios algoritmos para a resolucao deste problema
serao estudados no ultimo captulo deste livro. Eles se mostram eficientes para a
obtencao da resposta em alguns casos particulares, mas nenhum deles e suficiente-
mente eficiente no caso geral.
Vamos prosseguir analisando mais propriedades dos grupos cclicos. Se G =
(G, ) e um grupo finito e a G, entao o grupo cclico gerado por a e um subgrupo
de G. Logo, o Teorema de Lagrange nos diz que a ordem deste subgrupo deve dividir
a ordem de G. Entretanto, a ordem deste subgrupo e justamente a ordem de a. A
partir deste raciocnio, obtemos o seguinte corolario do Teorema de Lagrange.
Corolario 4.1. Seja G um grupo finito de ordem n e seja a G. Entao a ordem

de a divide n.
Demonstracao: A ordem do subgrupo de G gerado por a e igual a ordem de a. Pelo

Teorema de Lagrange (Teorema 4.2), a ordem deste subgrupo divide n. Logo, a
ordem de a divide n.
Assim, sabemos que se G possui ordem n e l nao divide n, l certamente nao sera
o menor inteiro positivo tal que al = e.
Conforme vimos anteriormente, um grupo de ordem prima nao possui subgrupos
proprios. Assim, os unicos subgrupos de um grupo de ordem prima sao o proprio
grupo e o grupo que contem apenas o elemento neutro. Seja entao G = (G, ) um
grupo de ordem prima e seja a G tal que a 6= e. Vamos considerar o subgrupo de
G gerado por a. Como a1 = a 6= e, o subgrupo cclico gerado por a nao tem ordem
1. Por outro lado, se o subgrupo cclico gerado por a nao e o grupo que contem
apenas o elemento neutro, entao a unica opcao restante entre os subgrupos de G e
que ele seja o proprio grupo G. Desta forma, G e um grupo cclico gerado por a.
Podemos concluir entao que, se G = (G, ) e um grupo de ordem prima, entao ele e
um grupo cclico e todo elemento a G tal que a 6= e e um gerador de G.
E importante observarmos que a recproca do raciocnio acima e falsa. Todo

grupo de ordem prima e cclico, mas nem todo grupo cclico possui ordem prima.
Em particular, como veremos mais adiante no Teorema da Raiz Primitiva, se p e
primo, entao o grupo U (p) e cclico. Mas a ordem de U (p) e (p) = p 1, que e um
numero composto para todo primo p > 3.
Exemplo 4.12. Vamos calcular todos os subgrupos cclicos de U (20) = {1, 3, 7, 9,

11, 13, 17, 19}.
1
1. Como 1 = 1, o subgrupo gerado por 1 e H1 = {1}.
1 2 3 4
2. Temos 3 = 3, 3 = 9, 3 = 7 e 3 = 1. Logo, a ordem de 3 e 4 e o subgrupo
gerado por 3 e H2 = {1, 3, 7, 9}.
1 2 3 4
3. Temos 7 = 7, 7 = 9, 7 = 3 e 7 = 1. Logo, a ordem de 7 e 4 e o subgrupo
gerado por 7 e H2 = {1, 3, 7, 9}. Vemos entao que 3 e 7 sao geradores do
mesmo subgrupo.
1 2
4. Temos 9 = 9 e 9 = 1. Logo, a ordem de 9 e 2 e o subgrupo gerado por 9 e
H3 = {1, 9}.
1 2
5. Temos 11 = 11 e 11 = 1. Logo, a ordem de 11 e 2 e o subgrupo gerado por
11 e H4 = {1, 11}.
1 2 3 4
6. Temos 13 = 13, 13 = 9, 13 = 17 e 13 = 1. Logo, a ordem de 13 e 4 e o
subgrupo gerado por 13 e H5 = {1, 9, 13, 17}.
1 2 3 4
7. Temos 17 = 17, 17 = 9, 17 = 13 e 17 = 1. Logo, a ordem de 17 e 4 e
o subgrupo gerado por 17 e H5 = {1, 9, 13, 17}. Vemos entao que 13 e 17 sao
geradores do mesmo subgrupo.
1 2
8. Temos 19 = 19 e 19 = 1. Logo, a ordem de 19 e 2 e o subgrupo gerado por
19 e H6 = {1, 19}.
Como nenhum elemento de U (20) possui a mesma ordem de U (20), que e (20) = 8,
entao U (20) nao e um grupo cclico.
No exemplo acima, calculamos metodicamente todos os subgrupos cclicos de

um dado grupo. E importante, no entanto, observarmos que, no caso geral, este
metodo nao ira produzir uma lista exaustiva de todos os subgrupos de um grupo.
Isto ocorre porque nem todo subgrupo de um grupo precisa ser cclico. Isto e, alem
dos subgrupos cclicos do grupo, que podemos calcular como no exemplo acima, o
grupo pode possuir tambem alguns subgrupos nao-cclicos, isto e, subgrupos que
atendem a todas as propriedades na definicao de subgrupo, mas cujos elementos
nao podem ser todos escritos como potencias de um elemento gerador.
Exemplo 4.13. Vamos ilustrar a existencia de subgrupos nao-cclicos a partir

de um exemplo com o grupo U (16) = {1, 3, 5, 7, 9, 11, 13, 15}. O conjunto H =
{1, 7, 9, 15} com a operacao de produto modulo 16 forma um subgrupo de U (16).
De fato, H e um subconjunto de U (16), o elemento neutro 1 H, o produto de
qualquer par de elementos de H produz um elemento de H e todo elemento de H
possui um inverso que tambem pertence a H. Porem, H nao e um grupo cclico.
Temos que a ordem de 1 e 1 e as ordens de 7, 9 e 15 sao todas iguais a 2, ja que
72 Grupos
2 2 2
7 = 9 = 15 = 1. Como a ordem de H e 4 e nenhum de seus elementos tem
ordem 4, nenhum deles e um gerador de H.
Repare que a ordem de H e um numero composto. Isto nao e uma coincidencia,
uma vez que vimos anteriormente que todo grupo de ordem prima deve necessaria-
mente ser cclico.
Apresentamos agora um lema central a respeito de grupos finitos. Este lema
sera muito importante como um componente na prova de diversos resultados sobre
grupos.
Lema 4.2 (Lema Chave). Seja G = (G, ) um grupo finito e a G. Temos que
at = e se e somente se t e divisvel pela ordem de a em G.
Demonstracao: () Seja k a ordem de a em G e suponha que t seja divisvel por
k. Logo, t = kt0 , para algum t0 Z. Temos entao
0 0 0
at = akt = (ak )t = et = e.
() Suponha que at = e. Vamos dividir t por k, obtendo t = kq + r, com
0 r < k. Temos entao
e = at = akq+r = (ak )q ar = eq ar = ar .
Como k e a ordem de a, ele e o menor inteiro positivo tal que ak = e. Por outro
lado, pela igualdade acima, temos que ar = e, com r < k. Desta forma, o unico
valor possvel para r e r = 0, o que significa que t e divisvel por k.
Corolario 4.2. Seja G um grupo finito de ordem n e seja a G. Entao an = e em

G.
Demonstracao: Pelo Corolario 4.1, a ordem de a divide n. Isto, em conjunto com
o Lema Chave (Lema 4.2), nos permite concluir que an = e em G.
Vamos agora apresentar alguns resultados a respeito das razes primitivas de

grupos finitos cclicos. Comecamos com resultados que nos mostram que um grupo
cclico possui, em geral, mais do que uma raiz primitiva.
Teorema 4.3. Seja G um grupo finito cclico de ordem n e g uma raiz primitiva de
G. Entao, g m tambem e uma raiz primitiva de G se e somente se mdc(m, n) = 1.
Demonstracao: () Suponha que mdc(m, n) = 1 e seja k a ordem de g m . Entao,
(g m )k = g mk = e. Isto implica que a ordem de g, que e n (ja que g e uma raiz
primitiva de um grupo cclico de ordem n), divide mk. Como n divide o produto
mk e mdc(m, n) = 1, entao n divide k (Lema 2.2). Por outro lado, pelo Corolario
4.1, a ordem de g m , que e k, divide a ordem do grupo, que e n. Como n divide k e
k divide n, temos que k = n, o que significa que g m tambem e uma raiz primitiva
de G.
() Suponha que mdc(m, n) = d > 1. Podemos escrever m = dm0 , para algum
m Z, e n = dn0 , para algum n0 Z. Temos entao
0
0 0 0 0 0 0
(g m )n = (g dm )n = (g m )dn = (g m )n = e,
pelo Corolario 4.2, o que significa que a ordem de g m divide n0 , pelo Lema Chave
(Lema 4.2). Mas como d > 1, entao n0 < n. Logo, a ordem de g m e menor do que
n, o que significa que g m nao e uma raiz primitiva de G.
Corolario 4.3. Seja G um grupo finito de ordem n. Se G possui ao menos uma raiz
primitiva, entao G possui exatamente (n) razes primitivas. Em outras palavras, se
G e um grupo finito cclico de ordem n, G possui exatamente (n) razes primitivas.
Demonstracao: Suponha que g e uma raiz primitiva de G. Entao, o conjunto de to-
das as razes primitivas de G pode ser calculado como {g i : 1 i < n e mdc(i, n) =
1}, de acordo com o Teorema 4.3. O numero de elementos deste conjunto e igual a
quantidade de numeros no intervalo 1 i < n que satisfazem mdc(i, n) = 1. Mas
esta quantidade e dada justamente por (n).
Nosso proximo objetivo e mostrar um resultado central a respeito dos grupos

U (n) que construmos a partir das relacoes de congruencia modulo n. Este resultado
e conhecido como Teorema da Raiz Primitiva e diz que, se p e primo, entao o grupo
U (p) e cclico.
Para mostrar este resultado, precisamos de dois lemas auxiliares.
Lema 4.3. Seja G = (G, ) um grupo abeliano finito. Sejam a, b G tais que a
ordem de a e m e a ordem de b e n, onde mdc(m, n) = 1. Entao, a ordem de ab e
mn.
Demonstracao: Primeiramente, temos que (ab)mn = amn bmn , ja que o grupo e
abeliano. Prosseguindo os calculos, amn bmn = (am )n (bn )m = e. Logo, pelo Lema
Chave (Lema 4.2), a ordem de ab divide mn.
Por outro lado, suponha que k mn e (ab)k = e. Temos entao ((ab)k )n = en =
e. Mas ((ab)k )n = akn (bn )k = akn . Logo, akn = e. Pelo Lema Chave (Lema 4.2),
a ordem de a, que e m, divide kn. Como mdc(m, n) = 1, se m divide kn, m deve
dividir k (Lema 2.2). Um argumento analogo, desta vez elevando os dois lados da
igualdade (ab)k = e a m, mostra que n deve dividir k. Como m e n dividem k
e mdc(m, n) = 1, entao mn tambem divide k, pelo Lema 2.2, o que nos permite
concluir que k = mn.
O segundo lema, apresentado abaixo, foi provado inicialmente por Lagrange.

Optamos por apresentar uma prova por inducao para este lema.
Lema 4.4. Sejam p um primo e f (x) = ak xk + ak1 xk1 + . . . + a1 x + a0 um
polinomio tais que os coeficientes ai , 1 i k, sao inteiros, a variavel x tambem
assume valores inteiros e ak 6 0 (mod p) (isto e, f (x) tem grau k quando consi-
derado modulo p). Entao, a congruencia f (x) 0 (mod p) possui, no maximo k
solucoes distintas modulo p.
Demonstracao: A prova e feita por inducao em k. Para k = 0, a congruencia
f (x) 0 (mod p) assume a forma a0 0 (mod p). Entretanto, com k = 0, a
hipotese do enunciado impoe que a0 6 0 (mod p). Desta forma, fica claro que a
congruencia a0 0 (mod p) tera 0 solucoes, satisfazendo o lema para k = 0.
Vamos assumir agora que o lema e verdadeiro para todos os polinomios com grau
menor do que k que satisfazem as hipoteses do enunciado. Queremos mostrar entao
que o lema tambem e verdadeiro para os polinomios f (x) com grau igual a k que
satisfacam estas hipoteses. Se a congruencia f (x) 0 (mod p), onde f (x) tem grau
k, possuir menos de k solucoes distintas modulo p, o lema e satisfeito para f (x).
Suponha entao que a congruencia f (x) 0 (mod p) possui k solucoes distintas
modulo p, denotadas por s1 , s2 , . . . , sk . Vamos mostrar entao que a congruencia
nao possui nenhuma outra solucao modulo p distinta destas k solucoes listadas
anteriormente.
74 Grupos
Seja
g(x) = f (x) ak (x s1 )(x s2 ) . . . (x sk ).
Note que o grau de g(x) e menor do que k ja que o termo ak xk de f (x) e cancelado
pelo termo ak xk que aparece em ak (x s1 )(x s2 ) . . . (x sk ). Pela hipotese
de inducao, se g(x) satisfizer as hipoteses do enunciado, a congruencia g(x) 0
(mod p) tera menos de k solucoes distintas modulo p. Entretanto, temos que g(si )
0 (mod p) para todos os valores si , 1 i k. Logo, a hipotese do enunciado de
que o termo lder do polinomio nao e congruente a zero modulo p nao pode estar
sendo satisfeita por g(x). Isso significa que g(x) e o polinomio identicamente nulo
modulo p. Assim, a partir da equacao acima, obtemos
f (x) ak (x s1 )(x s2 ) . . . (x sk ) (mod p).
Desta forma, f (x) 0 (mod p) se e somente se p divide o produto ak (x s1 )(x

s2 ) . . . (x sk ). Como p e primo, se p divide um produto, ele divide um dos termos
deste produto (Propriedade 3.3). Por hipotese, p nao divide ak , ja que ak 6 0
(mod p). Desta forma, p divide x si , para algum 1 i k, o que significa que
x si (mod p). Portanto, f (x) 0 se e somente se x si (mod p), para algum
1 i k. Assim, todas as solucoes da congruencia f (x) 0 (mod p) sao congru-
entes a uma das k solucoes listadas anteriormente.
Com estes dois lemas acima, podemos agora provar o Teorema da Raiz Pri-
mitiva. Este teorema foi apresentado e provado por Gauss no artigo 55 de suas
Disquisitiones Arithmeticae [7]. A prova que apresentamos abaixo e a mesma
apresentada no texto de Gauss.
Teorema 4.4 (Teorema da Raiz Primitiva). Se p e primo, entao U (p) e um grupo
cclico.
Demonstracao: Como p e primo, U (p) = Zp {0}, de forma que a ordem de U (p) e
p1. Vamos fatorar p1, obtendo p1 = q1e1 q2e2 . . . qkek , onde 1 < q1 < q2 < . . . < qk
sao primos distintos e ei 1 para todo 1 i k.
Para cada potencia qiei , 1 i k, nesta fatoracao, e possvel encontrar um
elemento de U (p) que tenha ordem qiei . Para isso, comecamos buscando um elemento
(p1)/qi
ai U (p) tal que ai 6 1 (mod p). Este elemento precisa existir, ja que os
elementos u U (p) tais que u(p1)/qi 1 (mod p) sao solucoes da congruencia
x(p1)/qi 1 0 (mod p), que possui no maximo (p 1)/qi < p 1 solucoes
distintas modulo p, de acordo com o Lema 4.4.
e
(p1)/qi i
Uma vez encontrado o valor ai , calculamos hi ai (mod p). Temos que
ei
q
hi i ap1
i 1 (mod p),
de acordo com o Corolario 4.2, logo a ordem de hi divide qiei pelo Lema Chave
(Lema 4.2). Suponha entao que a ordem de hi seja qit , onde t < ei . Temos entao
e e t
qt (p1)/qi i q t (p1)/qi i
1 hi i (ai i) ai (mod p),
o que significa que a ordem de ai divide (p 1)/qiei t pelo Lema Chave (Lema 4.2).
Mas como ei t > 1, (p 1)/qiei t divide (p 1)/qi . Logo, a ordem de ai divide
(p1)/qi
(p 1)/qi , o que implica que ai 1 (mod p), tambem pelo Lema Chave.
Mas isto e uma contradicao com a escolha de ai . Desta forma, a ordem de hi e
igual a qiei .
Realizado este calculo para cada potencia qiei da fatoracao, obtemos elementos
h1 , h2 , . . . , hk U (p) tais que suas respectivas ordens sao q1e1 , q2e2 , . . . , qkek . Repare
que, como estas ordens sao potencias de primos distintos, se m e a ordem de hi e
n e a ordem Q de hj , com i 6= j, entao mdc(m,Q
n) = 1. Temos entao que o elemento
g, onde g 1ik hi (mod p) tem ordem 1ik qiei = p 1, de acordo com o
Lema 4.3. Logo, g e uma raiz primitiva de U (p), o que significa que U (p) e um
grupo cclico.
Corolario 4.4. Se p e primo, o grupo U (p) possui exatamente ((p)) = (p 1)

razes primitivas.
Demonstracao: Se p e primo, entao o Teorema da Raiz Primitiva (Teorema 4.4)
nos diz que U (p) e cclico. Como a ordem de U (p) e (p) = p 1, o Corolario 4.3
nos diz que U (p) possui exatamente ((p)) = (p 1) razes primitivas.
Um aspecto interessante da prova de Gauss para o Teorema da Raiz Primitiva

e que ela e uma prova construtiva, isto e, ela nao somente mostra que U (p) possui
uma raiz primitiva, mas tambem nos mostra explicitamente uma forma de calcular
tal raiz primitiva. Este metodo de calculo pode ser facilmente transformado em
um algoritmo para a obtencao de uma raiz primitiva de U (p). Dado que este
algoritmo e extrado diretamente da prova do teorema dada por Gauss, chamamos
este algoritmo de Algoritmo de Gauss.
No algoritmo, fatoramos o numero p 1 na forma p 1 = q1e1 q2e2 . . . qkek . Entao,
para cada primo qi , buscamos um valor ai tal que a(p1)/qi 6 1 (mod p). Calcula-
ei
(p1)/q
mos entao hi ai i
(mod p) e multiplicamos todos os valores de hi , 1 i k,
para obter uma raiz primitiva. Apresentamos a descricao formal deste algoritmo
abaixo.
Algoritmo 4.1: Algoritmo de Gauss
Entrada: Um numero primo p 3.

Sada: Uma raiz primitiva do grupo U (p).
Instrucoes:
1. Fatore p 1, obtendo p 1 = q1e1 q2e2 . . . qkek .
2. i 1, g 1
3. Enquanto i k, faca:
3.1. a 2
3.2. Enquanto a(p1)/qi 1 (mod p), faca a a + 1.
ei
3.3. h (a(p1)/qi ) mod p
3.4. g (g h) mod p
3.5. i i + 1
4. Retorne g.
O Algoritmo de Gauss retorna uma das razes primitivas de U (p), mas nao ha
garantias de que ele ira retornar a menor raiz primitiva. De qualquer forma, uma
vez que uma das razes primitivas e conhecida, todas as outras podem ser calculadas
utilizando-se o Teorema 4.3.
76 Grupos
Exemplo 4.14. Vamos utilizar o Algoritmo de Gauss para calcular uma raiz pri-
mitiva de U (41). Temos entao p = 41. Fatorando p 1 = 40, obtemos 40 = 23 .5,
logo q1 = 2, q2 = 5, e1 = 3 e e2 = 1.
Comecamos com q1 = 2. 2(p1)/q1 220 1 (mod 41), mas 320 40 6 1
e1
(mod 41). Calculamos entao h1 3(p1)/q1 35 38 (mod 41).
Prosseguimos agora com q2 = 5. Fazendo 2(p1)/q2 28 10 6 1 (mod 41).
e2
Calculamos entao h2 2(p1)/q2 28 10 (mod 41).
Uma raiz primitiva de U (41) sera entao a forma reduzida de h1 h2 modulo 41.
Temos h1 h2 38.10 380 11 (mod 41). Logo, 11 e uma raiz primitiva de
U (41).
Repare que existe ainda outra maneira diferente de escrever este algoritmo. Da
maneira que implementamos o algoritmo, para cada fator primo qi , buscamos um
elemento ai que fosse adequado. A outra maneira seria realizar a busca da forma
inversa: para cada valor a no intervalo 2 a p 1, buscar quais fatores primos
qi sao atendidos por a, isto e, quais fatores primos qi satisfazem a(p1)/qi 6 1
(mod p), e calcular todos os respectivos valores de hi utilizando este elemento a. Em
seguida, enquanto restarem primos qi que nao foram atendidos, incrementamos
o valor de a e repetimos o processo. Deixamos a descricao formal desta segunda
versao do Algoritmo de Gauss como exerccio (Exerccio 5).
4.5 Exerccios
1. Seja G um grupo. Mostre que, se o quadrado de qualquer elemento de G e
igual ao elemento neutro, entao o grupo e abeliano.
2. Dados os seguintes valores de n, calcule (n):
2.1. 16807
2.2. 9282
2.3. 30375
2.4. 694575
3. Determine todos os subgrupos cclicos dos grupos abaixo, com seus respectivos
geradores:
3.1. U (8)
3.2. U (18)
3.3. U (21)
3.4. U (25)
4. Utilizando o Algoritmo de Gauss, determine uma raiz primitiva para cada um
dos grupos abaixo. Em seguida, encontre todas as razes primitivas de cada
grupo utilizando o Teorema 4.3:
4.1. U (7)
4.2. U (13)
4.3. U (19)
4.4. U (53)
5. Escreva a descricao formal da segunda versao do Algoritmo de Gauss que foi
apresentada no final da Secao 4.4.
Captulo 5
O Metodo El Gamal
Neste ponto, apos todos os conceitos matematicos necessarios a respeito dos numeros
inteiros, da aritmetica modular e da teoria de grupos terem sido apresentados,
estamos prontos para entender o funcionamento do metodo El Gamal.
Neste captulo, apresentamos o metodo El Gamal para criptografia e para assina-
tura digital, assim como o metodo DSA para assinatura digital, que e uma pequena
variacao do El Gamal. Mostraremos como construir as chaves de encriptacao e
decriptacao (ou chaves de assinatura e verificacao, no caso da assinatura digital) e
quais sao os calculos necessarios para encriptar e decriptar uma mensagem (ou para
assinar uma mensagem e verificar uma assinatura).
Discutiremos o funcionamento do metodo, mostrando que a mensagem original
sempre pode ser recuperada por quem possui a chave correta de decriptacao. Ana-
logamente, no caso da assinatura digital, mostramos tambem que uma assinatura
sempre pode ser produzida para qualquer mensagem por quem possui a chave cor-
reta de assinatura. Por outro lado, mostraremos que o metodo e bastante seguro,
mostrando que a unica maneira conhecida para um usuario nao autorizado calcu-
lar o valor da chave de decriptacao a partir apenas do conhecimento da chave de
encriptacao (ou o valor da chave de assinatura a partir da chave de verificacao)
envolve a resolucao do Problema do Logaritmo Discreto em um grupo finito, que
e um problema computacionalmente difcil. Desta forma, podemos concluir que o
metodo El Gamal e um metodo efetivo e seguro de criptografia de chave publica e
assinatura digital.
5.1 Esquema Geral

Antes de discutirmos as especificidades do metodo El Gamal, vamos apresentar
nesta secao um esquema generico do funcionamento das diversas etapas dos metodos
de criptografia de chave publica e de assinatura digital.
Vamos utilizar, como e comum na literatura da area, os nomes de Alice e Ber-
nardo para as duas pessoas ou sistemas computacionais que querem se comunicar
atraves da troca de mensagens. O grande problema para a comunicacao entre Alice
e Bernardo e que o canal por onde trafegam as mensagens e um canal inseguro.
Isto significa que pessoas ou entidades mal-intencionadas podem ocasionalmente
observar, interceptar ou mesmo forjar mensagens que trafegam neste canal.
A inseguranca do canal produz uma serie de questoes que precisam se resolvidas.
De certa forma, podemos dizer que existem dois problemas principais de seguranca
78 O Metodo El Gamal
com relacao a uma mensagem trafegando em um canal inseguro: um problema

de seguranca com relacao ao destinatario da mensagem, que esta relacionado a
questao de privacidade, e um problema de seguranca com relacao ao remetente da
mensagem, que esta relacionado a questao de autenticidade.
Quando Alice envia uma mensagem para Bernardo, os dois gostariam que nin-
guem mais alem de Bernardo fosse capaz de ler o seu conteudo. Isto significa
que o conteudo da mensagem deveria ser privado entre os dois. Entretanto, se
Alice enviar a mensagem destinada a Bernardo diretamente no canal, sem nenhum
cuidado preliminar, este objetivo de privacidade e seguranca nao pode ser garantido.
Os metodos de criptografia buscam justamente lidar com esta situacao em que
uma mensagem deve ser enviada de forma segura por um canal inseguro. O objetivo
da criptografia e esconder o conteudo da mensagem enquanto ela trafega no canal, de
forma que qualquer pessoa ou entidade que consiga observar a mensagem enquanto
ela trafega no canal nao consiga determinar o seu conteudo original. Ou seja, alguem
que observe a mensagem no canal vera uma mensagem obscura e sem sentido.
Apenas Bernardo, com a sua chave de decriptacao, podera transformar de volta
esta mensagem sem sentido na mensagem original escrita por Alice.
No caso de um metodo de criptografia de chave publica, a chave de encriptacao
de Bernardo sera publica, permitindo a qualquer um, incluindo Alice, encriptar
mensagens para serem enviadas a Bernardo. Por outro lado, a chave de decriptacao
de Bernardo e privada, sendo de posse exclusiva dele. Assim, apenas Bernardo e
capaz de decriptar as mensagens que sao enderecadas a ele. Para que um sistema
nestes moldes seja seguro, Bernardo tem que garantir que a sua chave de decriptacao
permaneca efetivamente privada. Alem disso, uma vez que a chave de encriptacao
e publica e, portanto, esta acessvel a todos, o calculo da chave privada a partir da
chave publica deve ser extremamente complexo do ponto de vista computacional.
Podemos resumir entao os principais passos de um metodo de criptografia de
chave publica:
1. Geracao de chaves:
1.1. Um metodo de criptografia de chave publica exige que Bernardo realize
inicialmente uma escolha de valores para alguns parametros (estes valores
sao publicos apos sua escolha).
1.2. Bernardo cria um par de chaves de acordo com os valores dos parametros
selecionados anteriormente: uma chave publica de encriptacao e uma
chave privada de decriptacao.
1.3. Bernardo divulga sua chave publica para todos.
1.4. A partir deste momento, qualquer um (incluindo Alice) pode utilizar a
chave publica de Bernardo para encriptar mensagens destinadas a ele
antes de envia-las.
1.5. Por outro lado, apenas Bernardo pode decriptar com sua chave privada
tais mensagens e acessar seu conteudo original.
2. Encriptacao:
2.1. Se Alice quer enviar uma mensagem criptografada para Bernardo, o pri-
meiro passo para ela e obter a chave publica de encriptacao de Bernardo.
2.2. Em seguida, Alice executa o algoritmo de encriptacao oferecido pelo
metodo que esta sendo utilizando fornecendo como entradas a mensa-
gem que ela quer enviar e a chave publica de Bernardo. O algoritmo
produzira uma mensagem encriptada.
Esquema Geral 79
2.3. Alice envia entao a mensagem encriptada para Bernardo.
3. Decriptacao:
3.1. Ao receber a mensagem encriptada de Alice, Bernardo executa o al-

goritmo de decriptacao oferecido pelo metodo que esta sendo utilizado
fornecendo como entradas a mensagem recebida e a sua chave privada.
O algoritmo produzira uma mensagem decriptada.
3.2. A mensagem decriptada e igual a mensagem original elaborada por Alice.
Assim, Bernardo consegue recuperar a mensagem original destinada a ele.
Desta forma, um metodo de criptografia de chave publica deve nos oferecer tres
algoritmos: um algoritmo de geracao de chaves, um algoritmo de encriptacao e um
algoritmo de decriptacao.
Por outro lado, quando Alice envia uma mensagem para Bernardo, Bernardo
gostaria de ter alguma garantia de que a mensagem realmente foi criada por Alice,
e nao por outra pessoa.
Um exemplo classico da necessidade deste tipo de garantia de autenticidade
ocorre se Bernardo for o gerente responsavel pela conta bancaria de Alice. Se
ele receber uma mensagem de alguem dizendo ser Alice e pedindo para esvaziar a
sua conta bancaria, ele precisa ter alguma forma de se certificar se a mensagem
realmente foi criada por Alice ou se foi criada por outra pessoa tentando prejudicar
Alice em uma fraude bancaria.
Esta seguranca com relacao ao remetente da mensagem pode ser fornecida pelas
assinaturas digitais. Os metodos de assinatura digital buscam justamente lidar com
esta situacao em que todas as mensagens chegam atraves de um canal inseguro e
ha a necessidade de se verificar qual foi a origem de cada mensagem. O objetivo
da assinatura digital e impedir que uma pessoa ou entidade se aproveite do canal
inseguro para enviar mensagens fingindo que e outra pessoa.
Em um metodo de assinatura digital, a chave de assinatura de Alice sera pri-
vada, de maneira que apenas ela seja capaz de gerar assinaturas para as mensagens
que ela criar. Por outro lado, a chave de verificacao da assinatura sera publica, per-
mitindo a qualquer um, incluindo Bernardo, verificar a assinatura das mensagens
recebidas de forma a determinar se a pessoa que criou originalmente a mensagem
realmente e quem diz ser. Da mesma forma que na criptografia de chave publica,
para que um sistema nestes moldes seja seguro, Alice tem que garantir que a sua
chave de assinatura permaneca efetivamente privada. Alem disso, uma vez que a
chave de verificacao e publica e, portanto, esta acessvel a todos, o calculo da chave
privada a partir da chave publica deve ser extremamente complexo do ponto de
vista computacional.
Podemos resumir entao os principais passos de um metodo de assinatura digital:
1. Geracao de chaves:
1.1. Um metodo de assinatura digital exige que Alice realize inicialmente uma
escolha de valores para alguns parametros (estes valores sao publicos apos
sua escolha).
1.2. Alice cria um par de chaves de acordo com os valores dos parametros se-
lecionados anteriormente: uma chave privada de assinatura e uma chave
publica de verificacao.
1.3. Alice divulga sua chave publica para todos.
1.4. A partir deste momento, apenas Alice pode assinar digitalmente, utili-
zando sua chave privada, uma mensagem que foi criada por ela.
1.5. Por outro lado, qualquer um (incluindo Bernardo) pode utilizar a chave
publica de Alice para verificar assinaturas em mensagens que, ao menos
supostamente, foram criadas por ela.
2. Assinatura:
2.1. Para que Alice possa enviar uma mensagem assinada a Bernardo, ela
executa o algoritmo de assinatura oferecido pelo metodo que esta sendo
utilizado fornecendo como entradas a mensagem que ela quer enviar e a
sua chave privada. O algoritmo produzira uma assinatura para a men-
sagem.
2.2. Em seguida, Alice envia para Bernardo o par formado pela mensagem e
pela assinatura produzida pelo algoritmo.
3. Verificacao:
3.1. Se Bernardo quer verificar as assinaturas em mensagens que, ao menos

supostamente, foram criadas por Alice, o primeiro passo para ele e obter
a chave publica de verificacao de Alice.
3.2. Ao receber a mensagem assinada de Alice (o par formado por mensagem
e assinatura), Bernardo executa o algoritmo de verificacao oferecido pelo
metodo que esta sendo utilizado fornecendo como entradas a mensagem e
a assinatura que foram recebidas e a chave publica de Alice. O algoritmo
produzira uma resposta do tipo Sim/Nao, informando se a assinatura da
mensagem e valida, isto e, foi realmente feita por Alice, ou nao.
3.3. Caso a assinatura seja verificada como legtima, Bernardo pode ter se-
guranca a respeito da origem da mensagem. Caso contrario, Bernardo
descarta a mensagem, pois ela provavelmente foi criada por alguem ten-
tando se passar por Alice.
Desta forma, analogamente ao caso de um metodo de criptografia de chave

publica, um metodo de assinatura digital deve nos oferecer tres algoritmos: um
algoritmo de geracao de chaves, um algoritmo de assinatura e um algoritmo de
verificacao.
E possvel tambem a utilizacao combinada de criptografia e assinatura digital,
de maneira a fornecer seguranca a respeito dos dois lados da comunicacao. Neste
caso, Alice deve primeiro assinar a mensagem com a sua chave privada de assina-
tura. Em seguida, ela encripta o par formado pela mensagem e pela assinatura com
a chave publica de encriptacao de Bernardo. Finalmente, ela envia para Bernardo
esta ultima mensagem encriptada. Desta forma, ela esconde tanto a mensagem que
ela ira enviar como tambem a informacao de qual e a assinatura que corresponde
aquela mensagem. Quando Bernardo recebe uma mensagem encriptada, ele, primei-
ramente, decripta a mensagem aplicando a sua chave privada de decriptacao. Com
isso, ele obtem um par formado por uma mensagem e uma assinatura. Ele entao
realiza a verificacao desta assinatura usando a chave publica de verificacao de Alice.
Caso a assinatura nao seja legtima, ele descarta a mensagem. Caso contrario, ele
pode entao acessar o conteudo da mensagem original enviada por Alice.
E importante salientar que os valores dos parametros dos metodos de criptografia
de chave publica e de assinatura digital sao valores numericos. Analogamente, as
Criptografia El Gamal 81
chaves, tanto as publicas quanto as privadas, sao numeros ou conjuntos de numeros.

Por fim, os algoritmos de encriptacao, decriptacao, assinatura e verificacao sao
algoritmos que realizam calculos numericos.
Assim, para que sejamos capazes de processar as mensagens de nosso interesse
com estes algoritmos, e essencial que estas mensagens tambem estejam representa-
das de forma numerica. No caso de um numero de cartao de credito que queiramos
criptografar, por exemplo, ja temos a mensagem no formato desejado. Mas no caso
de mensagens textuais, precisamos realizar algum tipo de pre-processamento para
transformar a sequencia de caracteres em uma sequencia de numeros. Este proce-
dimento e conhecido como pre-codificacao. Na pre-codificacao, cada caractere da
mensagem original e transformado em uma sequencia de algarismos.
O remetente da mensagem aplica o procedimento de pre-codificacao de forma a
obter uma mensagem em formato numerico onde possam ser aplicados os algoritmos
de criptografia e/ou assinatura digital. Do outro lado do canal de comunicacao, o
destinatario, apos realizar a decriptacao da mensagem e/ou a verificacao da assina-
tura, deve desfazer o procedimento de pre-codificacao, de forma a obter novamente
o conteudo original da mensagem.
Para que este processo de reversao da pre-codificacao possa ser feito de modo
unico, e fundamental que a pre-codificacao nunca transforme duas mensagens di-
ferentes no mesmo valor numerico. Assim, caracteres distintos nunca podem ser
pre-codificados na mesma sequencia de algarismos e todos os caracteres devem ser
pre-codificados em sequencias de algarismos de mesmo tamanho.
Como exemplo da importancia deste ultimo requisito, vamos considerar um
pequeno exemplo. Suponha que o caractere A seja pre-codificado como 1, ja
que e a primeira letra do alfabeto, B seja pre-codificado como 2 e assim, por
diante. Entao, L sera pre-codificado como 12. Entretanto, se o destinatario
receber a mensagem 12, ele nao sabera se a mensagem original era AB ou L,
tornando o processo de reversao da pre-codificacao ambguo. Isto ocorreu porque,
neste exemplo, alguns caracteres foram pre-codificados em sequencias de 1 algarismo
enquanto outros foram pre-codificados em sequencias de 2 algarismos.
Uma maneira simples de realizar o processo de pre-codificacao e utilizar as mes-
mas tabelas de correspondencia utilizadas pelos sistemas operacionais e progra-
mas computacionais para armazenar caracteres textuais em formato numerico na
memoria interna do computador. Estas tabelas de correspondencia atendem ao re-
quisito de representar todos os caracteres como sequencias de algarismos de mesmo
tamanho. Como exemplo, podemos citar a tabela Unicode [27], a mais utilizada
por programas computacionais contemporaneos.
Como um segundo exemplo de tabela de pre-codificacao, para um caso mais
simples em que a mensagem contem apenas letras maiusculas, apresentamos a tabela
abaixo, em que todos os caracteres sao pre-codificados em sequencias distintas de
dois algarismos.
A B C D E F G H I J K L M
10 11 12 13 14 15 16 17 18 19 20 21 22
N O P Q R S T U V W X Y Z
23 24 25 26 27 28 29 30 31 32 33 34 35
5.2 Criptografia El Gamal

Nesta secao, apresentamos o metodo El Gamal de criptografia de chave publica.
Este metodo foi desenvolvido pelo cientista da computacao egpcio Taher El Gamal
em 1985 [5].
O metodo El Gamal de criptografia e um metodo baseado em grupos abelianos
finitos cclicos. Originalmente, ele foi desenvolvido a partir da utilizacao dos grupos
finitos U (p), onde p e primo, ja que o Teorema da Raiz Primitiva (Teorema 4.4) nos
garante que tais grupos sao necessariamente cclicos. No entanto, o metodo pode
ser generalizado para utilizar quaisquer outros grupos abelianos finitos cclicos.
Uma variante do metodo El Gamal que esta sendo largamente desenvolvida e
utilizada atualmente e conhecida como Criptografia com Curvas Elpticas. Ela opera
da mesma forma que o metodo El Gamal original apenas substituindo os grupos
U (p) por grupos de pontos em uma curva elptica. Nao trataremos desta variante
neste livro, mas [2] e uma boa referencia para seu estudo.
Conforme discutimos na secao anterior, um metodo de criptografia de chave
publica deve prover tres algoritmos: um algoritmo de geracao de chaves, um al-
goritmo de encriptacao e um algoritmo de decriptacao. Vamos entao analisar o
funcionamento destes tres algoritmos no caso do metodo El Gamal.
Para a geracao das chaves, sendo uma publica de encriptacao e uma privada de
decriptacao, precisamos inicialmente de um primo p, uma vez que todos os calculos
do metodo serao realizados em um grupo finito U (p), com p primo. Para selecio-
nar este primo, comecamos determinando um intervalo dos inteiros onde desejamos
procura-lo. Como veremos mais adiante, para que o metodo seja efetivamente se-
guro, uma condicao necessaria (mas que nao e suficiente sozinha) e que o primo
p selecionado seja grande. As recomendacoes atuais de seguranca indicam que p
deve ter pelo menos 2048 bits [19], o que significa que p sera um numero com
aproximadamente 600 algarismos.
Para encontrar um numero primo no intervalo definido, podemos testar sequen-
cialmente ou aleatoriamente diversos numeros mpares dentro do intervalo. Para
cada numero, testamos se ele e divisvel por algum fator primo pequeno (por exem-
plo, fatores primos menores que 100000, que podem ser obtidos com a utilizacao do
Crivo de Eratostenes). Se o numero nao for divisvel por nenhum destes primos,
aplicamos a ele o Teste de Miller-Rabin com uma quantidade razoavel de bases.
Caso o resultado seja inconclusivo em todas as bases, obtivemos o numero primo p
que precisamos com altssima probabilidade1 .
Uma vez selecionado o primo p, aplicamos o Algoritmo de Gauss para calcular
uma raiz primitiva g de U (p). Os valores de p e g sao entao os parametros publicos
da nossa implementacao do El Gamal. E interessante salientar que o parametro g
nao precisa ser necessariamente a raiz primitiva calculada pelo Algoritmo de Gauss.
Qualquer raiz primitiva de U (p) que seja escolhida como parametro g e valida.
Entretanto, o Algoritmo de Gauss nos fornece uma maneira generica de obter o
parametro g dado o valor do parametro p.
Resta agora gerar as chaves propriamente ditas. Para a chave privada de de-
criptacao, selecionamos um inteiro d no intervalo 1 < d < p 1. Em seguida,
calculamos a chave publica de encriptacao c como a forma reduzida de g d modulo
p.
1 Discutimos a probabilidade de um numero ser composto e retornar resultados inconclusivos no
Teste de Miller-Rabin com varias bases no Captulo 3 e mostramos que ela pode ser arbitrariamente
pequena conforme aumentamos o numero de bases.
Os valores de g, p e c serao todos publicos. Qualquer pessoa ou entidade que

deseje enviar mensagens criptografadas para a pessoa ou entidade que gerou as
chaves precisa apenas obter estes dados publicos para aplica-los no algoritmo de
encriptacao. Por outro lado, o valor de d deve permanecer privado, de posse exclu-
siva da pessoa ou entidade que gerou esta chave. Desta forma, apenas ele podera
decriptar as mensagens que lhe sao enderecadas. Caso alguem mais ganhe acesso a
esta chave privada, podera tambem decriptar as mensagens, violando a seguranca
pretendida com o uso do sistema criptografico.
A etapa da geracao das chaves costuma ser mais lenta do que as etapas de
encriptacao e decriptacao, uma vez que encontrar um primo grande nao e uma ta-
refa trivial. Isto pode ser notado pelo simples fato de que existem mais numeros
compostos do que primos. Para determinarmos o numero medio de tentativas que
precisamos fazer para encontrar um numero primo em um dado intervalo, preci-
saramos estudar a distribuicao e a densidade dos numeros primos entre os inteiros
em um intervalo fixado. Este estudo esta alem do escopo deste livro, mas exis-
tem funcoes que medem estes parametros e nos permitem calcular a probabilidade
associada de selecionarmos um primo. Para tais funcoes, [24] pode ser consultado.
De qualquer forma, o fato da geracao de chaves ser a etapa mais lenta nao e um
problema, uma vez que ela e a etapa menos frequente entre as tres. Apos criarmos
um par de chaves, podemos enviar muitas mensagens criptografadas utilizando este
par, de forma que o tempo gasto com a geracao das chaves e amortizado pelo longo
tempo de duracao destas chaves.
Descrevemos abaixo o algoritmo de geracao de chaves, de acordo com os proce-
dimentos que apresentamos.
Algoritmo 5.1: Algoritmo de Geracao de Chaves do Metodo de Criptografia El

Gamal
Entrada: Dois inteiros n1 e n2 .
Sada: Os parametros publicos p e g, onde n1 p n2 e primo e g e uma raiz

primitiva de U (p), a chave publica c de encriptacao e a chave privada d de
decriptacao.
Instrucoes:
1. Selecione um primo p tal que n1 p n2 .

2. Calcule, utilizando o Algoritmo de Gauss, uma raiz primitiva g de U (p).
3. Selecione d no intervalo 1 < d < p 1.
4. c g d mod p #c e a forma reduzida de g d modulo p
5. Retorne p, g, c e d.
Algumas questoes importantes podem ser observadas neste processo de geracao

das chaves. Primeiramente, nos descartamos as possibilidades d = 0, d = 1 e
d = p 1, pois elas resultam em chaves privadas fracas. Isto se deve ao fato de
que, nestes casos, a chave publica mostra explicitamente quem e a chave privada.
Se d = 0 ou d = p 1, entao c = g d mod p = 1 e se d = 1, entao c = g d mod p = g.
Por outro lado, como g e uma raiz primitiva de U (p) e este grupo tem ordem p 1,
as potencias de g com expoentes no intervalo 1 < d < p 1 resultam em elementos
distintos de U (p) e, em particular, tambem distintos de g 0 e g 1 . Desta forma, uma
pessoa que observe uma chave publica c = 1 sabera automaticamente que a chave
privada e d = 0 ou d = p 1, sendo que nao ha diferenca real entre os dois valores,

como pode ser visto mais adiante no algoritmo de decriptacao. Por outro lado, se
a chave publica e c = g, tambem se sabe automaticamente que a chave privada
e d = 1. Conclumos entao que, para estes valores, a chave nao permaneceria
efetivamente privada.
Outra observacao importante diz respeito a relacao entre a chave publica e a
chave privada. A chave publica e do conhecimento de todos. Assim, e crucial para
a seguranca do sistema que nao seja possvel do ponto de vista computacional a
realizacao do calculo da chave privada a partir do conhecimento da chave publica.
A chave publica e construda como c = g d mod p. Calcular a chave privada entao
significa calcular o valor de d no intervalo 1 < d < p1 tal que g d c (mod p), onde
todos os outros valores envolvidos, g, c e p, sao publicos. Isto significa que cacular
a chave privada a partir dos dados publicos de uma implementacao do El Gamal
envolve resolver uma instancia do Problema do Logaritmo Discreto (Definicao 4.8),
o que e computacionalmente complexo no caso geral. Assim, caso os parametros
publicos sejam escolhidos de acordo com as recomendacoes, torna-se inviavel na
pratica o calculo da chave privada a partir dos valores que sao de conhecimento
publico, mesmo com auxlio computacional.
Para que a resolucao do Problema do Logaritmo Discreto que permite calcular
a chave privada seja realmente inviavel, precisamos manter sempre em mente que
existem algoritmos para a resolucao do Problema do Logaritmo Discreto (veremos
alguns no proximo captulo) e que estes algoritmos sao eficientes em alguns casos.
Desta forma, precisamos escolher os parametros de forma a evitar instancias do
Problema do Logaritmo Discreto que possam ser resolvidas de forma eficiente por
algum dos algoritmos conhecidos. Conclumos a partir disto que o estudo dos al-
goritmos para a resolucao do Problema do Logaritmo Discreto nao e de interesse
apenas de pessoas maliciosas que buscam quebrar a seguranca do sistema. Ele e
crucial tambem para quem implementa o sistema, pois e ele que permite estabelecer
as diretrizes para a escolha dos parametros de forma a obter uma implementacao
segura.
No proximo captulo, quando estudarmos alguns algoritmos para a resolucao do
Problema do Logaritmo Discreto, iremos determinar algumas restricoes sobre os
parametros do El Gamal que sao impostas por cada um deles.
Prosseguimos agora com o algoritmo de encriptacao do metodo El Gamal. A
primeira observacao que devemos fazer sobre ele diz respeito a um limite existente
para as mensagens que podemos encriptar. Vamos considerar que a mensagem m ja
esta em formato numerico, isto e, que m e um inteiro. Para aplicarmos o algoritmo
de encriptacao a m, precisamos que m esteja no intervalo 0 < m < p, onde p e o
parametro do El Gamal. Caso a mensagem seja maior ou igual a p, o algoritmo de
decriptacao nao sera capaz de recuperar a mensagem original.
Para lidar entao com mensagens maiores ou iguais a p, devemos quebra-las em
blocos, onde cada bloco b deve estar no intervalo 0 < b < p. Entao, encriptamos e
enviamos cada bloco separadamente para o destinatario. Ele, por sua vez, decriptara
cada bloco separadamente e entao reunira os blocos ja decriptados para reconstruir
a mensagem original.
A quebra da mensagem em blocos pode ser feita de maneira razoavelmente
arbitraria, desde que seja respeitado o requisito de cada bloco estar no intervalo
0 < b < p e desde que nenhum bloco comece com um 0. A razao para esta se-
gunda restricao vem do fato de que um zero a esquerda em um numero nao tem
valor numerico. Assim, quando um bloco que comeca com 0 e encriptado e, pos-
teriormente, decriptado, ele e recuperado sem o algarismo 0 a esquerda. Entao,
quando ele for reunido aos outros blocos para recompor a mensagem original, uma
mensagem diferente sera obtida.
Exemplo 5.1. Suponha que p = 127 e a mensagem que queremos encriptar e
m = 110125. Como m p, temos que quebrar esta mensagem em blocos. Podemos
quebra-la como 1 101 25, como 1 10 125, como 110 125 e como 110 12 5,
dentre outras formas. Mas nao podemos quebra-la como 110125 ou 110125,
dentre outras formas, porque nestes casos um dos blocos esta comecando com um
zero a esquerda.
Para o algoritmo de encriptacao, vamos entao assumir que temos os parametros
p e g e a chave publica de encriptacao c e que a mensagem m ja e uma mensagem
que esta no intervalo 0 < m < p.
Para encriptar esta mensagem, comecamos selecionando aleatoriamente um va-
lor k no intervalo 1 < k < p 1. Este valor e conhecido como chave efemera,
uma vez que ele e descartado logo apos a finalizacao da encriptacao, sendo seleci-
onado um novo valor de k para cada novo processo de encriptacao. O uso de uma
chave efemera coloca o metodo de criptografia El Gamal na famlia dos chamados
metodos de encriptacao probabilstica. Em metodos de encriptacao probabilstica,
uma mesma mensagem pode ser encriptada de diversas formas diferentes, devido a
possibilidade de uso de chaves efemeras diferentes em cada processo de encriptacao.
E absolutamente essencial selecionar um novo valor aleatorio de k a cada nova
mensagem que quisermos encriptar. A repeticao do mesmo valor de k na encriptacao
de duas mensagens distintas pode abrir uma seria brecha de seguranca, conforme
notado pelo proprio El Gamal em seu artigo original [5].
Estudaremos com mais detalhes os problemas decorrentes da re-utilizacao de
valores de k em mensagens distintas ao estudarmos o metodo de assinatura digital El
Gamal, onde eles sao ainda mais serios e, portanto, mais simples de serem percebidos
e estudados.
Apos a escolha do valor de k, calculamos dois valores s e t, onde
s = g k mod p
e
t = mck mod p.
A mensagem encriptada sera entao o par (s, t), onde 0 < s, t < p.
Descrevemos abaixo o algoritmo de encriptacao, de acordo com os procedimentos
que apresentamos.
Algoritmo 5.2: Algoritmo de Encriptacao do Metodo de Criptografia El Gamal
Entrada: Um numero primo p, uma raiz primitiva g de U (p), uma chave publica
c e uma mensagem 0 < m < p.
Sada: Uma mensagem encriptada m
b = (s, t), onde 0 < s, t < p.
Instrucoes:
1. Selecione aleatoriamente um valor k no intervalo 1 < k < p 1.
2. s g k mod p #s e a forma reduzida de g k modulo p
3. t (m ck ) mod p
b (s, t)
4. m
5. Retorne m.
b
E importante reparar que a chave privada d nao e utilizada em nenhum momento

do processo de encriptacao. Este processo foi realizado apenas com o uso dos valores
publicos, de maneira que qualquer um pode encriptar mensagens e envia-las para
o destinatario, que se mantem como o unico portador do dado necessario para
decripta-las.
Outra observacao importante a respeito deste algoritmo de encriptacao e que a
mensagem encriptada possui aproximadamente o dobro do tamanho da mensagem
original. Assim, ha um custo envolvido nesta encriptacao ja que uma quantidade
maior de dados ira trafegar pelo canal de comunicacao.
Exemplo 5.2. Vamos realizar um exemplo de encriptacao com o metodo El Gamal.

Suponha que os parametros escolhidos sao p = 151 e g = 77 (a raiz primitiva de
U (151) obtida com o Algoritmo de Gauss). Vamos considerar tambem que a chave
publica que esta sendo utilizada e c = 3. Se desejamos encriptar a mensagem
m = 140, comecamos selecionando um valor aleatorio de k. Vamos supor que o
valor selecionado e k = 7. Calculamos entao s g k 777 115 (mod 151).
Finalmente, calculamos t mck 140.37 103 (mod 151). Logo a mensagem
encriptada e o par (115, 103).
Vamos agora para a ultima etapa do metodo de criptografia El Gamal, apresen-

tando o algoritmo de decriptacao. O requisito essencial deste algoritmo e que ele
reverta o procedimento feito pelo algoritmo de encriptacao. Suponha entao que
utilizamos os parametros p e g e a chave publica c para encriptar uma mensagem
m com o algoritmo de encriptacao do metodo El Gamal, obtendo a mensagem en-
criptada m.b Entao, se d e a chave privada associada a c, ao aplicar o algoritmo de
decriptacao do metodo El Gamal a m b utilizando a chave privada d e os mesmos
parametros p e g utilizados na encriptacao, devemos obter novamente a mensagem
m.
Dada uma mensagem encriptada m b = (s, t), comecamos o processo de de-
criptacao calculando o inverso de s modulo p, isto e, o valor s1 tal que ss1 1
(mod p). Para este calculo, utilizamos o Algoritmo Euclidiano Estendido. Em
seguida, calculamos o valor
s0 = (s1 )d mod p.
Para concluir, a mensagem decriptada m0 e obtida como
m0 = s0 t mod p.
Descrevemos abaixo o algoritmo de decriptacao, de acordo com os procedimentos

que apresentamos.
Algoritmo 5.3: Algoritmo de Decriptacao do Metodo de Criptografia El Gamal
Entrada: Um numero primo p, uma chave privada d e uma mensagem encriptada

mb = (s, t), onde 0 < s, t < p.
Sada: Uma mensagem 0 < m0 < p.
Instrucoes:
1. Calcule, utilizando o Algoritmo Euclidiano Estendido, o valor s1 tal

que ss1 1 (mod p). #s1 e o inverso de s modulo p
Assinatura Digital El Gamal 87
2. s0 (s1 )d mod p #s0 e a forma reduzida de (s1 )d modulo p

3. m0 (s0 t) mod p
4. Retorne m0 .
Resta-nos apenas mostrar que este processo de decriptacao realmente recupera
a mensagem original. Em outras palavras, queremos mostrar que m0 = m, onde m
e a mensagem original. Comecamos observando que s1 e o inverso de s modulo
p, entao (s1 )d e o inverso de sd modulo p, ja que (s1 )d sd (s1 s)d 1d 1
(mod p). Mas s e calculado na encriptacao como
s = g k mod p,
de forma que sd (g k )d (g d )k ck (mod p). Esta ultima congruencia segue
do fato de que, na geracao das chaves, a chave publica c e calculada como a forma
reduzida do parametro g elevado a chave privada d. Conclumos entao que s0
(s1 )d e o inverso de ck modulo p.
Estamos calculando a mensagem decriptada m0 como m0 = s0 t mod p. Uma vez
que t e calculado na encriptacao como
t = mck mod p,
temos que m0 s0 t s0 mck (mod p). Como o grupo U (p) e abeliano, podemos
comutar a ordem deste ultimo produto, de forma que m0 s0 ck m (mod p). Como
mostramos acima que s0 e o inverso de ck modulo p, temos que s0 ck 1 (mod p).
Assim, obtemos finalmente que m0 m (mod p). Entretanto, temos que 0 <
m, m0 < p. Assim, se ambas as mensagens m e m0 sao congruentes modulo p,
entao elas sao necessariamente iguais, isto e, m = m0 . Desta forma, o algoritmo de
decriptacao efetivamente recupera a mensagem original.
Exemplo 5.3. Vamos supor que nao conhecemos a mensagem original que foi en-
criptada no exemplo anterior. Conhecendo apenas a mensagem encriptada (115,
103) e a chave de decriptacao d = 21, vamos recuperar a mensagem original apli-
cando o algoritmo de decriptacao.
Primeiramente, podemos observar que a chave privada d = 21 e efetivamente
a chave privada correspondente a chave publica c = 3, ja que g d 772 1 3 c
(mod 151).
Para decriptar a mensagem (s, t) = (115, 103), comecamos calculando o inverso
de s modulo p = 151 atraves do Algoritmo Euclidiano Estendido.
R Q
115 1 0
151 0 1
115 0 1 0
36 1 1 1
7 3 4 3
1 5 21 16
0 7
Assim, 21 e o inverso de 115 modulo 151. Colocando 21 na forma reduzida,
temos s1 = 130.
Calculamos agora s0 , que e a forma reduzida de (s1 )d modulo 151. Temos
(s ) 1302 1 60 (mod 151), de modo que s0 = 60.
1 d
Finalmente, calculamos m0 , a mensagem recuperada, como a forma reduzida de

s t modulo 151. Temos s0 t 60.103 140 (mod 151), de modo que m0 = 140, que
0
e justamente a mensagem original que encriptamos no exemplo anterior.

5.3 Assinatura Digital El Gamal

O metodo El Gamal para assinatura digital foi desenvolvido por Taher El Gamal
e apresentado originalmente no mesmo artigo do metodo de criptografia El Gamal
[5]. Este metodo de assinatura digital tambem e baseado no uso de grupos abe-
lianos finitos cclicos, de forma analoga ao metodo de criptografia El Gamal. Em
particular, este metodo de assinatura digital tambem realiza os calculos em grupos
U (p), com p primo.
O algoritmo de geracao de chaves da assinatura El Gamal e praticamente identico
ao algoritmo de geracao de chaves da criptografia El Gamal. A distincao entre os
dois casos que precisa ser salientada e a inversao dos papeis do remetente e do
destinatario das mensagens no processo de geracao das chaves. Na criptografia,
a geracao das chaves deve ser feita por parte do destinatario das mensagens, que
mantera sob seu conhecimento privado a chave de decriptacao. Ja no caso da
assinatura digital, tanto a geracao das chaves quanto a posse da chave privada
ficam a cargo do remetente, uma vez que ele utilizara a chave privada para assinar
suas mensagens, isto e, certificar sua origem. A chave publica de verificacao podera
ser utilizada por qualquer destinatario para se certificar de que uma dada mensagem
foi efetivamente criada pelo remetente.
Apresentamos abaixo o algoritmo de geracao das chaves, de acordo com os mes-
mos procedimentos utilizados na criptografia El Gamal. Em particular, tambem no
caso da assinatura digital, o calculo da chave privada a partir dos dados publicos
envolve resolver uma instancia do Problema do Logaritmo Discreto.
Algoritmo 5.4: Algoritmo de Geracao de Chaves do Metodo de Assinatura

Digital El Gamal
Sada: Os parametros publicos p e g, onde n1 p n2 e primo e g e uma raiz

primitiva de U (p), a chave privada a de assinatura e a chave publica v de
verificacao.
Instrucoes:
1. Selecione um primo p tal que n1 p n2 .

2. Calcule, utilizando o Algoritmo de Gauss, uma raiz primitiva g de U (p).
3. Selecione a no intervalo 1 < a < p 1.
4. v g a mod p #v e a forma reduzida de g a modulo p
5. Retorne p, g, a e v.
Prosseguimos agora com o algoritmo de assinatura do metodo El Gamal. A

mensagem a ser assinada pelo algoritmo deve estar em um formato especfico. Ela
deve ser uma mensagem escrita no formato de uma sequencia de bits, isto e, uma
sequencia de 0s e 1s. A mensagem pode ter um comprimento arbitrario (em-
bora finito, obviamente), desde que esteja neste formato. O conjunto de todas as
mensagens neste formato e denotado por {0, 1} .
Como todos os calculos dos algoritmos de assinatura e verificacao sao relacio-
nados ao grupo U (p), precisamos de uma maneira de mapear as mensagens que
queremos assinar a elementos de U (p) ou Zp . Uma maneira de fazer isto e utili-
zar uma funcao h : {0, 1} Zp que, para cada mensagem no formato de uma
sequencia de bits, atribui um elemento do conjunto Zp . Uma funcao neste formato

e chamada de funcao hash. Como o conjunto {0, 1} e infinito e o conjunto Zp
e finito, uma funcao hash claramente nao e injetiva, o que significa que existirao
mensagens m 6= m0 tais que h(m) = h(m0 ).
Para que o metodo de assinatura seja efetivamente seguro contra a possibilidade
de terceiros forjarem assinaturas que nao sejam detectadas como invalidas pelo
destinatario, a funcao hash utilizada deve ser o que chamamos de funcao hash
criptograficamente segura.
Definicao 5.1. Uma funcao hash criptograficamente segura e uma funcao hash h
que satisfaz as seguintes propriedades:
1. Dificuldade de inversao: dado um valor t Zp , e muito difcil encontrar

uma mensagem m {0, 1} tal que h(m) = t. Mesmo no caso em que ja se
conheca inicialmente uma mensagem m {0, 1} tal que h(m) = t, ainda e
muito difcil encontrar uma segunda mensagem m0 {0, 1} tal que m0 6= m
e h(m0 ) = t.
2. Resistencia a colisoes: e muito difcil encontrar duas mensagens m, m0

{0, 1} tais que h(m) = h(m0 ).
Nao nos aprofundamos no estudo de funcoes hash criptograficamente seguras

neste livro. Para mais detalhes sobre elas e diversos exemplos de tais funcoes, o
livro [16] pode ser consultado.
Podemos concluir entao que uma funcao hash criptograficamente segura h devera
fazer parte dos parametros do metodo de assinatura do sistema em conjunto com
os parametros p e g. Esta funcao sera usada tanto no algoritmo de assinatura
quanto no algoritmo de verificacao. Obviamente, para que uma assinatura possa
ser corretamente verificada, a mesma funcao hash que foi utilizada no algoritmo de
assinatura devera ser utilizada no algoritmo de verificacao.
Vamos assumir entao que temos os parametros p e g, a chave privada de assina-
tura a e uma funcao hash criptograficamente segura h : {0, 1} Zp . Para assinar
uma mensagem m {0, 1} , comecamos selecionando aleatoriamente um valor k
no intervalo 1 < k < p 1 tal que mdc(k, p 1) = 1. Este valor de k e nossa chave
efemera para a assinatura. Dado que mdc(k, p 1) = 1, o valor de k selecionado
possui inverso modulo p 1.
Assim como no caso da encriptacao, e absolutamente essencial selecionar um
novo valor aleatorio de k a cada nova mensagem que queremos assinar. A repeticao
do mesmo valor de k na assinatura de duas mensagens distintas pode abrir uma
seria brecha de seguranca, como mostraremos mais adiante. Esta brecha ja havia
sido percebida pelo proprio El Gamal em seu artigo original [5].
Apos a escolha do valor de k, calculamos dois valores r e s, onde
r = g k mod p
e
s = (k 1 (h(m) ar)) mod p 1,
onde k 1 e o inverso de k modulo p1, isto e, kk 1 1 (mod p1). E fundamental
observar que o calculo de r e feito modulo p, mas o calculo de s e feito modulo p 1.
A assinatura da mensagem sera entao o par (r, s).
Descrevemos a seguir o algoritmo de assinatura, de acordo com os procedimentos
que apresentamos.
Algoritmo 5.5: Algoritmo de Assinatura do Metodo de Assinatura Digital El

Gamal
Entrada: Um numero primo p, uma raiz primitiva g de U (p), uma chave privada
a, uma mensagem m {0, 1} e uma funcao hash criptograficamente segura
h : {0, 1} Zp .
Sada: Uma assinatura Am = (r, s) para a mensagem m.
Instrucoes:
1. Selecione aleatoriamente um valor k no intervalo 1 < k < p 1 tal que

mdc(k, p 1) = 1.
2. r g k mod p #r e a forma reduzida de g k modulo p
3. Calcule, utilizando o Algoritmo Euclidiano Estendido, o valor k 1 tal
que kk 1 1 (mod p 1). #k 1 e o inverso de k modulo p 1
4. s (k 1 (h(m) ar)) mod p 1
5. Am (r, s)
6. Retorne Am .
Podemos reparar que o valor da mensagem m nao e usado diretamente no calculo

da assinatura, mas sim o valor de h(m). Esta e a razao para a necessidade de h
ser criptograficamente segura. Caso h nao atenda a este requisito, pode ser possvel
entao reutilizar uma assinatura produzida legitimamente para uma mensagem m
para assinar fraudulentamente uma outra mensagem m0 onde h(m0 ) = h(m).
Exemplo 5.4. Vamos realizar um exemplo de assinatura com o metodo El Gamal.

Suponha que os parametros escolhidos sao p = 191 e g = 57 (a raiz primitiva
de U (191) obtida com o Algoritmo de Gauss). Vamos considerar tambem que a
chave privada que esta sendo utilizada e a = 5. Finalmente, vamos supor que a
funcao h que estamos utilizando retorna a forma reduzida da quantidade de bits
1 em uma mensagem modulo 191. Esta funcao nao e criptograficamente segura,
mas sua simplicidade e apropriada para nosso exemplo. Se desejamos assinar a
mensagem m = 1110111, comecamos selecionando um valor aleatorio de k tal que
mdc(k, p 1) = 1. Vamos supor que o valor selecionado e k = 9. Calculamos entao
r g k 579 148 (mod 191). Em seguida, utilizando o Algoritmo Euclidiano
Estendido, calculamos o inverso de k modulo p 1 = 190, obtendo k 1 = 169.
Calculamos entao h(m) = 6 mod 191 = 6 e, finalmente, calculamos s k 1 (h(m)
ar) 169.(6 5.148) 169.(734) 169.26 4394 24 (mod 190). Logo, a
assinatura da mensagem m = 1110111 e o par (148, 24).
Vamos agora para a ultima etapa do metodo de assinatura digital El Gamal,

apresentando o algoritmo de verificacao de assinaturas. Dada uma mensagem m
{0, 1} e uma assinatura Am = (r, s), precisamos dos parametros p e g, da funcao h
e da chave publica v da pessoa ou entidade que supostamente assinou a mensagem.
O algoritmo entao devera determinar se a assinatura e valida, tendo sido realmente
produzida pelo suposto remetente da mensagem.
Para verificar a assinatura, comecamos verificando se r esta no intervalo 1
r p 1. Todas as assinaturas produzidas pelo algoritmo de assinatura acima
atendem a este requisito. Por outro lado, existe uma possibilidade de falsificacao
de assinaturas em que as assinaturas produzidas possuem r fora deste intervalo.
Desta forma, esta primeira verificacao do algoritmo impede este tipo de falsificacao.
Para mais detalhes sobre a necessidade desta verificacao para evitar uma potencial
brecha de seguranca, [16] pode ser consultado.
Em seguida, calculamos dois valores u1 e u2 , onde
u1 = (v r rs ) mod p
e
u2 = g h(m) mod p.
Temos entao que a assinatura e valida se e somente se u1 = u2 .
Descrevemos abaixo o algoritmo de verificacao de assinaturas, de acordo com os
procedimentos que apresentamos.
Algoritmo 5.6: Algoritmo de Verificacao do Metodo de Assinatura Digital El

Gamal
Entrada: Um numero primo p, uma raiz primitiva g de U (p), uma chave publica
v, uma mensagem m {0, 1} , uma assinatura Am = (r, s) para m e uma
funcao hash criptograficamente segura h : {0, 1} Zp .
Sada: Assinatura valida ou Assinatura invalida.
Instrucoes:
1. Verifique se r esta no intervalo 1 r p 1. Se nao estiver, retorne

Assinatura invalida.
2. u1 (v r rs ) mod p
3. u2 g h(m) mod p
4. Se u1 = u2 , retorne Assinatura valida.
5. Senao, retorne Assinatura invalida.
Podemos reparar que a chave privada a nao e utilizada em nenhum momento

do processo de verificacao da assinatura. Este processo e realizado apenas com
os valores publicos, de maneira que qualquer um pode realizar a verificacao de
assinaturas em mensagens, sendo que a chave utilizada para assinar estas mensagens
permanece de posse exclusiva do remetente legtimo.
Resta-nos agora mostrar que este processo de verificacao realmente detecta as
assinaturas validas. De maneira a simplificar os calculos, podemos comecar repa-
rando que, se g e uma raiz primitiva de U (p) e se x y (mod p 1), entao g x g y
(mod p). De fato, se x y (mod p 1), entao x = y + (p 1)l, para algum l Z.
Entao, g x g y+(p1)l g y (g p1 )l g y (mod p), uma vez que g p1 1 (mod p).
O valor u1 e calculado como u1 = (v r rs ) mod p. Vamos calcular v r e rs separa-
damente. Temos que v = g a mod p, de forma que
v r (g a )r g ar (mod p).
Para o calculo de rs , se r e s foram calculados apropriadamente pelo algoritmo de

assinatura, entao r = g k mod p e s = (k 1 (h(m) ar)) mod p 1. Entao,
rs (g k )s g ks (mod p).
Como s k 1 (h(m) ar) (mod p 1), entao ks kk 1 (h(m) ar) (mod p 1) e

1 1
g ks g kk (h(m)ar)
(g kk )h(m)ar (mod p).
1
Por outro lado, como kk 1 1 (mod p 1), entao g kk g (mod p). Logo,
1
rs g ks (g kk )h(m)ar g h(m)ar (mod p).
Desta forma, temos que
u1 v r rs g ar g h(m)ar g ar+h(m)ar g h(m) u2 (mod p).
Dado que, no algoritmo de verificacao, u1 e u2 sao calculados como formas

reduzidas modulo p, entao 0 u1 , u2 < p. Assim, se eles sao congruentes entre si,
eles sao necessariamente iguais. Desta forma, o teste realizado pelo algoritmo de
verificacao e correto em determinar a validade de uma assinatura.
Exemplo 5.5. Vamos aplicar o algoritmo de verificacao para testar a validade da
assinatura que produzimos no exemplo anterior. Temos a mensagem m = 1110111,
Am = (r, s) = (148, 24), h(m) = 6, p = 191, g = 57 e v = g a mod p = 575 mod
191 = 37. Calculamos entao
u1 v r rs 37148 .14824 36.170 8 (mod 191)
e
u2 g h(m) 576 8 (mod 191).
Como u1 = u2 , a assinatura e valida.
Encerramos esta secao mostrando a brecha de seguranca que se abre quando o
mesmo valor de k e utilizado na assinatura de duas mensagens distintas m1 e m2 ,
onde m1 6= m2 .
Seja Am1 = (r1 , s1 ) a assinatura produzida para m1 e Am2 = (r2 , s2 ) a assinatura
produzida para m2 . Pelo modo como uma assinatura e calculada no algoritmo de
assinatura, temos que
r1 = g k mod p

r2 = g k mod p,
ja que o mesmo valor de k foi usado nos dois processos de assinatura. Desta forma,
r1 = r2 . Uma vez que temos esta igualdade, denotaremos entao os dois por r daqui
em diante. Vemos entao que se duas assinaturas possuem o primeiro componente
igual, isto e um indicador de que o mesmo valor de k foi utilizado para produzir
ambas.
Por outro lado, temos
s1 = k 1 (h(m1 ) ar) mod p 1

s2 = k 1 (h(m2 ) ar) mod p 1,
sendo que estas igualdades podem ser escritas como

ks1 h(m1 ) ar (mod p 1)
ks2 h(m2 ) ar (mod p 1).
Uma vez que os dois modulos sao iguais, podemos subtrair as duas igualdades,
obtendo
k(s1 s2 ) (h(m1 ) h(m2 )) (mod p 1).
Se mdc(s1 s2 , p 1) = 1, o que possui uma chance realista de ocorrer, podemos

calcular (s1 s2 )1 , o inverso de (s1 s2 ) modulo p 1 e obter
k (s1 s2 )1 (h(m1 ) h(m2 ) (mod p 1).
Com o valor de k encontrado, podemos calcular
ar h(m1 ) ks1 (mod p 1).
Se mdc(r, p 1) = 1, o que tambem possui uma chance realista de ocorrer, podemos

calcular r1 , o inverso de r modulo p 1 e obter
a r1 (h(m1 ) ks1 ) (mod p 1).
Como a chave privada e um valor no intervalo 1 < a < p1, esta ultima congruencia
nos permite calcular a chave privada como a = (r1 (h(m1 ) ks1 )) mod p 1. Com
o conhecimento da chave privada, qualquer pessoa pode se fazer passar pelo reme-
tente original, assinando mensagens que serao validadas pelo algoritmo de veri-
ficacao.
Entretanto, mesmo que mdc(r, p1) 6= 1 e nao possamos calcular a chave privada
diretamente, ainda temos informacao suficiente para forjar assinaturas que serao
aceitas pelo algoritmo de verificacao. Como obtivemos o valor de k e conhecemos r,
temos agora os dois valores que satisfazem r = g k mod p. Podemos tambem calcular
k 1 , o inverso de k modulo p 1. Finalmente, tambem ja calculamos acima o valor
de ar modulo p 1.
Se queremos forjar uma assinatura valida para uma mensagem m, e precisamos
obter um valor se de forma que o par (r, se) seja uma assinatura valida para m e de
acordo com a chave privada de assinatura a (mesmo sem saber precisamente o valor
desta chave). Pela formula do algoritmo de geracao de assinatura, temos que
se = k 1 (h(m)
e ar) mod p 1.
Como conhecemos k 1 , h e o valor do produto ar modulo p 1, podemos calcular

se, forjando uma assinatura que sera considerada como valida pelo algoritmo de
verificacao.
Podemos concluir entao que e realmente essencial escolher um novo valor aleato-
rio para k a cada nova assinatura.
Exemplo 5.6. Suponha que temos o parametro p = 191, uma mensagem m1 com
h(m1 ) = 8 e assinatura Am1 = (r1 , s1 ) = (105, 143) e uma mensagem m2 com
h(m2 ) = 15 e assinatura Am2 = (r2 , s2 ) = (105, 40). Como r1 = r2 , sabemos que
o mesmo valor de k foi utilizado em ambas as assinaturas. Logo, podemos utilizar
o ataque descrito acima para forjar novas assinaturas que serao consideradas como
validas pelo algoritmo de verificacao.
De acordo com o ataque acima, temos k(s1 s2 ) h(m1 ) h(m2 ) (mod p 1).
Logo, k(143 40) 8 15 (mod 190), o que e equivalente a 103k 7 (mod 190).
Calculando o inverso de 103 modulo 190, obtemos 1031 107 (mod 190). Assim
k 7.107 11 (mod 190). Tendo o valor de k e sabendo, pela formula da
assinatura, que ks1 h(m1 ) ar (mod p 1), temos que ar h(m1 ) ks1
8 11.143 145 (mod 190).
Como mdc(r, p 1) 6= 1, nao podemos calcular explicitamente o valor da chave
privada a a partir do valor de ar. Entretanto, este valor ja e suficiente para for-
jarmos novas assinaturas. Suponha que queiramos forjar uma assinatura para uma
mensagem m3 com h(m3 ) = 13. Iremos utilizar o mesmo valor de r presente nas
assinaturas de m1 e m2 , isto e, r = 105. Vamos agora calcular o valor de s pela
formula da assinatura:
s k 1 (h(m3 ) ar) (mod p 1).
Como conhecemos k, h(m3 ), ar e p 1, este calculo pode ser feito diretamente.
s 111 (13 145) 121(13 145) 178 (mod 190).
Logo, a assinatura para m3 e o par (105, 178).
5.4 Assinatura Digital DSA

O metodo de assinatura digital DSA, abreviatura de Digital Signature Algorithm
e uma variacao do metodo de assinatura El Gamal. Ele foi desenvolvido pelo Na-
tional Institute of Standards and Technology (NIST), orgao governamental dos
Estados Unidos, tendo sido publicado no documento FIPS 186 deste instituto [18]
e patenteado pelo governo norte-americano [15].
O algoritmo de geracao de chaves do metodo DSA e muito semelhante ao do
metodo El Gamal. A unica diferenca importante e que, ao inves de um unico primo
p, o DSA trabalha com dois parametros p e q, onde p e q sao primos e p = tq + 1,
para algum inteiro t 2.
A ideia por tras disto e que a maioria dos calculos seja feito em um subgrupo
de ordem q de U (p). Desta forma, busca-se aumentar a velocidade dos processos
de assinatura e verificacao para os usuarios legtimos do sistema mantendo-se a se-
guranca contra tentativas de obtencao da chave privada de assinatura por parte de
terceiros. Isto ocorre porque os calculos de assinatura e verificacao sao feitos com
elementos de um subgrupo de ordem menor (ordem q) enquanto a instancia do
Problema do Logaritmo Discreto que deve ser resolvida para o calculo da chave pri-
vada por alguem tentando quebrar o sistema e descrita no grupo de ordem maior
(U (p)).
Como a ordem de U (p) e p 1 e q divide p 1, entao, pelo Teorema de Lagrange
(Teorema 4.2), pode existir um subgrupo de ordem q em U (p). Para mostrar que
um subgrupo de ordem q efetivamente existe, basta encontrarmos um elemento de
ordem q em U (p). As potencias deste elemento irao entao gerar um subgrupo cclico
de ordem q de U (p).
Para encontrarmos este elemento de ordem q, comecamos calculando uma raiz
primitiva g 0 de U (p) com o Algoritmo de Gauss. Em seguida, calculamos o elemento
g = (g 0 )(p1)/q mod p. Temos que g q (g 0 )p1 1 (mod p). Logo, pelo Lema
Chave (Lema 4.2), a ordem de g em U (p) divide q. Mas como q e primo, seus
unicos divisores sao 1 e p. A ordem de g nao pode ser 1, pois isto implicaria que
1 g (g 0 )(p1)/q (mod p). Entretanto, (p 1)/q < (p 1) e p 1 e o menor
inteiro positivo i tal que (g 0 )i 1 (mod p) (ja que g 0 e raiz primitiva de U (p)).
Desta forma, a ordem de g e q e g e um gerador de um subgrupo cclico de ordem
q de U (p).
O algoritmo de geracao de chaves comeca selecionando os valores do parametros
p e q, selecionando o primo q em um intervalo n1 < q < n2 dado como entrada e
selecionando p = tq +1 para algum inteiro t 2, de forma que p tambem seja primo.
Em seguida, o algoritmo encontra um elemento g de ordem q em U (p), calculando
Assinatura Digital DSA 95
uma raiz primitiva g 0 de U (p) com o Algoritmo de Gauss e, na sequencia, obtendo

g = (g 0 )(p1)/q mod p.
O algoritmo entao gera o par de chaves, selecionando como chave privada de
assinatura um inteiro a no intervalo 1 < a < q e calculando a chave publica v de
verificacao correspondente como v = g a mod p.
Descrevemos abaixo o algoritmo de geracao das chaves, de acordo com os pro-
cedimentos que apresentamos.
Algoritmo 5.7: Algoritmo de Geracao de Chaves do Metodo de Assinatura

Digital DSA
Sada: Os parametros publicos p, q e g, onde p e q sao primos, n1 q n2 , q

divide p 1 e g e um elemento de ordem q de U (p), a chave privada a de
assinatura e a chave publica v de verificacao.
Instrucoes:
1. Selecione um primo q tal que n1 p n2 .

2. Calcule p = tq + 1, para algum inteiro t 2, de forma que p seja primo.
3. Calcule, utilizando o Algoritmo de Gauss, uma raiz primitiva g 0 de U (p).
4. g (g 0 )(p1)/q mod p
5. Selecione a no intervalo 1 < a < q.
6. v g a mod p #v e a forma reduzida de g a modulo p
7. Retorne p, q, g, a e v.
Prosseguimos agora com o algoritmo de assinatura do metodo DSA. A mensa-

gem m a ser assinada pelo algoritmo deve estar no mesmo formato das mensagens
assinadas pelo metodo El Gamal, isto e, m {0, 1} . De maneira analoga, o al-
goritmo do metodo DSA tambem faz uso de uma funcao hash criptograficamente
segura h : {0, 1} Zq . E importante salientar que a imagem h(m) da mensagem
e um elemento de Zq , onde q e o primo menor dentro do par p e q.
Vamos assumir entao que temos os parametros p, q e g, a chave privada de
assinatura a e uma funcao hash criptograficamente segura h. Para assinar uma
mensagem m {0, 1} , comecamos selecionando aleatoriamente um valor k no
intervalo 1 < k < q. Este valor de k e a nossa chave efemera. Novamente, tambem
no caso do DSA e absolutamente essencial selecionar um novo valor aleatorio de
k a cada nova mensagem que queremos assinar. A repeticao do mesmo valor de k
na assinatura de duas mensagens distintas abre a mesma brecha de seguranca que
estudamos no caso da assinatura El Gamal.
Apos a escolha do valor de k, calculamos dois valores r e s, onde
r = (g k mod p) mod q
e
s = (k 1 (h(m) + ar)) mod q,
onde k 1 e o inverso de k modulo q. Como q e primo e 1 < k < q, para qualquer
valor selecionado de k teremos mdc(k, q) = 1, isto e, qualquer valor de k tera inverso
modulo q. A assinatura da mensagem sera entao o par (r, s).
E interessante notar a dupla reducao modular feita no calculo de r. Primeira-

mente, calculamos a forma reduzida de g k modulo o primo maior (p) e em seguida
calculamos a forma reduzida deste resultado modulo o primo menor (q). Tambem
e importante perceber uma pequena diferenca entre as formulas para o calculo de
s no algoritmo do metodo El Gamal e no algoritmo do metodo DSA. No algoritmo
do El Gamal, temos a expressao h(m) ar, enquanto no algoritmo do DSA temos
h(m) + ar.
Descrevemos abaixo o algoritmo de assinatura, de acordo com os procedimentos
que apresentamos.
Algoritmo 5.8: Algoritmo de Assinatura do Metodo de Assinatura Digital DSA
Entrada: Numeros primos p e q tais que q divide p 1, uma elemento g de ordem

q de U (p), uma chave privada a, uma mensagem m {0, 1} e uma funcao
hash criptograficamente segura h : {0, 1} Zq .
Sada: Uma assinatura Am = (r, s) para a mensagem m.
Instrucoes:
1. Selecione aleatoriamente um valor k no intervalo 1 < k < q.

2. r (g k mod p) mod q
3. Se r = 0, reinicie o algoritmo, selecionando um novo valor k.
4. Calcule, utilizando o Algoritmo Euclidiano Estendido, o valor k 1 tal
que kk 1 1 (mod q). #k 1 e o inverso de k modulo q
5. s (k 1 (h(m) + ar)) mod q
6. Se s = 0, reinicie o algoritmo, selecionando um novo valor k.
7. Am (r, s)
8. Retorne Am .
Exemplo 5.7. Vamos realizar um exemplo de assinatura com o metodo DSA. Su-
ponha que os primos escolhidos sao q = 131 e p = 2q + 1 = 263. O Algoritmo
de Gauss nos da g 0 = 259 como uma raiz primitiva de U (263). Calculamos entao
g = (g 0 )(p1)/q mod p = 2592 mod 263 = 16. Vamos assinar novamente a mensa-
gem m = 1110111, com a mesma funcao h que utilizamos nos exemplos anteriores.
Logo, temos que h(m) = 6. Vamos considerar que a chave privada que esta sendo
utilizada e a = 7 e que o valor de k selecionado e k = 10. Calculamos entao
r = (g k mod p) mod q = (1610 mod 263) mod 131 = 25 mod 131 = 25. Em seguida,
utilizando o Algoritmo Euclidiano Estendido, calculamos o inverso de k modulo q,
obtendo k 1 = 118. Finalmente, calculamos s k 1 (h(m)+ar) 118(6+7.25) 5
(mod 131). Logo, a assinatura da mensagem m = 1110111 e o par (25, 5).
Vamos agora para a ultima etapa do metodo DSA, apresentando o algoritmo

de verificacao de assinaturas. Dada uma mensagem m = {0, 1} e uma assinatura
Am = (r, s), comecamos verificando se r e s estao no intervalo 0 < r, s < q. Toda
assinatura produzida de acordo com o algoritmo ira satisfazer estes criterios e, ana-
logamente ao caso da assinatura El Gamal, com este teste evitamos alguns metodos
de falsificacao de assinaturas. Em seguida, utilizando o Algoritmo Euclidiano Es-
tendido, calculamos s1 , o inverso de s modulo q. Como q e primo e 0 < s < q,
temos que mdc(s, q) = 1, o que significa que este inverso existe.
Assinatura Digital DSA 97
No proximo passo, calculamos tres valores u1 , u2 e u3 , onde
u1 = (s1 h(m)) mod q,
u2 = (rs1 ) mod q
e
u3 = ((g u1 v u2 ) mod p) mod q.
Temos entao que a assinatura e valida se e somente se u3 = r.
Descrevemos abaixo o algoritmo de verificacao de assinaturas, de acordo com os
procedimentos que apresentamos.
Algoritmo 5.9: Algoritmo de Verificacao do Metodo de Assinatura Digital DSA
Entrada: Numeros primos p e q, tais que q divide p 1, uma elemento g de

ordem q de U (p), uma chave publica v, uma mensagem m {0, 1} , uma
assinatura Am = (r, s) para m e uma funcao hash criptograficamente segura
h : {0, 1} Zq .
Sada: Assinatura valida ou Assinatura invalida.
Instrucoes:
1. Verifique se r esta no intervalo 0 < r < q. Se nao estiver, retorne

2. Verifique se s esta no intervalo 0 < s < q. Se nao estiver, retorne
3. Calcule, utilizando o Algoritmo Euclidiano Estendido, o valor s1 tal
que ss1 1 (mod q). #s1 e o inverso de s modulo q
4. u1 (s1 h(m)) mod q
5. u2 (r s1 ) mod q
6. u3 ((g u1 v u2 ) mod p) mod q
7. Se u3 = r, retorne Assinatura valida.
8. Senao, retorne Assinatura invalida.
Novamente, podemos reparar que a chave privada a nao e utilizada em nenhum

momento do processo de verificacao da assinatura. Resta-nos mostrar que este
processo realmente detecta as assinaturas validas.
Inicialmente, temos que se g e um elemento de ordem q de U (p) e x y (mod q),
entao g x g y (mod p). De fato, se x y (mod q), entao x = y + ql, para algum
l Z. Entao g x g y+ql g y (g q )l g y (mod p), uma vez que g q 1 (mod p).
Vamos calcular a forma reduzida de g u1 v u2 modulo p. Como u1 s1 h(m)
(mod q) e u2 rs1 (mod q), entao
1
h(m) rs1
g u1 v u2 g s v (mod p).
Por outro lado, como v g a (mod p), temos

1
h(m) ars1 1
g u1 v u2 g s g (g s )(h(m)+ar) (mod p).
Temos que s k 1 (h(m) + ar) (mod q), o que e equivalente a ks h(m) + ar

(mod q). Assim,
1 1 1
g u1 v u2 (g s )(h(m)+ar) (g s )ks (g ss )k (mod p).
Finalmente, como ss1 1 (mod q), obtemos

1
g u1 v u2 (g ss )k g k (mod p).
Conclumos entao que a forma reduzida de g u1 v u2 modulo p e igual a forma

reduzida de g k modulo p, isto e, (g u1 v u2 ) mod p = g k mod p. Assim, se realizar-
mos uma reducao modulo q em ambos os lados desta ultima igualdade, obtemos
((g u1 v u2 ) mod p) mod q = (g k mod p) mod q. Mas agora o lado esquerdo e igual a
u3 e o lado direito e igual a r, o que significa que temos u3 = r. Desta forma, o
teste realizado pelo algoritmo de verificacao e correto em determinar a validade de
uma assinatura.
Exemplo 5.8. Vamos aplicar o algoritmo de verificacao para testar a validade da
assinatura que produzimos no exemplo anterior. Temos a mensagem m = 1110111,
Am = (r, s) = (25, 5), h(m) = 6, p = 263, q = 131, g = 16 e v = g a mod p =
167 mod 263 = 35. Comecamos calculando s1 , o inverso de s modulo q, obtendo
s1 = 105. Calculamos entao
u1 = s1 h(m) mod q = 105.6 mod 131 = 106,
u2 = rs1 mod q = 25.105 mod 131 = 5

e
u3 = ((g u1 v u2 ) mod p) mod q = ((16106 .355 ) mod 263) mod 131 =
= 25 mod 131 = 25.
Como u3 = r, entao a assinatura e valida.
No caso da assinatura DSA, tambem podemos mostrar que a repeticao de um
mesmo valor de k na assinatura de duas mensagens distintas abre uma brecha na
seguranca do metodo da mesma forma que estudamos no caso do metodo El Gamal.
Entretanto, como o desenvolvimento do ataque e muito semelhante ao que fizemos
no caso do El Gamal, deixamos o caso do metodo DSA como exerccio (Exerccio
7).
5.5 Exerccios
1. Dadas as mensagens, os parametros, as chaves publicas e as chaves efemeras
abaixo, encripte as mensagens com o metodo El Gamal.
1.1. p = 107, g = 103, c = 16, m = 38, k = 2
1.2. p = 163, g = 159, c = 99, m = 89, k = 3
1.3. p = 211, g = 155, c = 57, m = 102, k = 4
1.4. p = 241, g = 14, c = 100, m = 191, k = 5
2. Dadas as mensagens encriptadas, o parametro p e as chaves privadas a seguir,
decripte as mensagens levando em conta que elas foram encriptadas com o El
Gamal.
Exerccios 99
2.1. p = 107, d = 5, m
b = (43, 39)
2.2. p = 163, d = 9, m
b = (117, 67)
2.3. p = 211, d = 12, m
b = (192, 129)
2.4. p = 241, d = 19, m
b = (32, 134)
3. Dados os valores da funcao h para as mensagens, os parametros, as chaves

privadas e as chaves efemeras abaixo, produza assinaturas com o metodo El
Gamal.
3.1. p = 107, g = 103, a = 5, h(m) = 21, k = 3
3.2. p = 163, g = 159, a = 10, h(m) = 1, k = 5
3.3. p = 211, g = 155, a = 17, h(m) = 69, k = 11
3.4. p = 241, g = 14, a = 22, h(m) = 97, k = 7
publicas e as assinaturas abaixo, verifique se estas assinaturas sao validas
levando em conta que elas foram produzidas com o El Gamal.
4.1. p = 107, g = 103, v = 43, h(m) = 31, Am = (46, 21)
4.2. p = 163, g = 159, v = 117, h(m) = 5, Am = (12, 125)
4.3. p = 211, g = 155, v = 182, h(m) = 14, Am = (57, 10)
4.4. p = 241, g = 14, v = 32, h(m) = 50, Am = (105, 30)
privadas e as chaves efemeras abaixo, produza assinaturas com o metodo DSA.
5.1. p = 167, q = 83, g = 16, a = 5, h(m) = 21, k = 3
5.2. p = 179, q = 89, g = 173, a = 10, h(m) = 1, k = 5
5.3. p = 227, q = 113, g = 221, a = 17, h(m) = 69, k = 11
5.4. p = 347, q = 173, g = 341, a = 22, h(m) = 97, k = 7
publicas e as assinaturas abaixo, verifique se estas assinaturas sao validas
levando em conta que elas foram produzidas com o DSA.
6.1. p = 167, q = 83, g = 16, v = 89, h(m) = 31, Am = (5, 69)
6.2. p = 179, q = 89, g = 173, v = 142, h(m) = 5, Am = (11, 63)
6.3. p = 227, q = 113, g = 221, v = 161, h(m) = 14, Am = (20, 39)
6.4. p = 347, q = 173, g = 341, v = 205, h(m) = 50, Am = (38, 24)
7. Descreva o ataque que podemos realizar ao metodo DSA quando um mesmo
valor da chave efemera k e utilizado na assinatura de duas mensagens distintas,
mostrando que este ataque permite forjar assinaturas para novas mensagens.
Captulo 6
Resolucao do Problema do
Logaritmo Discreto
Encerrando o livro, apresentamos neste captulo alguns algoritmos para a resolucao

do Problema do Logaritmo Discreto em grupos finitos cclicos.
Este estudo e importante, pois, apesar da resolucao do Problema do Logaritmo
Discreto ser computacionalmente difcil no caso geral, existem casos particulares em
que os algoritmos conhecidos sao eficientes. Desta forma, e importante o conheci-
mento destes algoritmos e a analise de em quais casos eles sao eficientes para que, ao
implementarmos um metodo de criptografia ou assinatura digital baseado em gru-
pos, como o El Gamal e o DSA, possamos contornar e evitar tais casos, ja que estes
sao justamente os casos em que a seguranca dos metodos estara comprometida.
Neste captulo, estudaremos o chamado algoritmo ingenuo, tambem conhecido
como algoritmo de busca exaustiva ou algoritmo de forca bruta, o Algoritmo Baby-
Step/Giant-Step de Shanks, o Algoritmo Rho de Pollard, o Algoritmo de Pohlig-
Hellman e o Algoritmo do Calculo de Indices. Estes algoritmos, em conjunto com
algumas variantes, compoem a maioria dos metodos conhecidos para a resolucao
do Problema do Logaritmo Discreto, de forma que estaremos fazendo um estudo
bastante completo deste topico.
6.1 Algoritmo Ingenuo

Nesta secao, apresentamos o chamado algoritmo ingenuo para a resolucao do Pro-
blema do Logaritmo Discreto. Este algoritmo tambem e conhecido com algoritmo
de busca exaustiva ou algoritmo de forca bruta.
Antes, porem, vamos relembrar a definicao do Problema do Logaritmo Discreto,
tanto no caso geral de um grupo finito cclico G = (G, ) qualquer quanto no caso
particular dos grupos U (p), com p primo, que sao os grupos que utilizamos nos
metodos El Gamal e DSA.
Definicao 6.1 (Problema do Logaritmo Discreto Generico)). Definimos o Problema
do Logaritmo Discreto, abreviado como PLD, da seguinte forma: dados um grupo
finito cclico G = (G, ) de ordem n, um gerador g de G e um elemento h G,
queremos determinar o valor de x no intervalo 0 x < n tal que g x = h em G.
Definicao 6.2 (Problema do Logaritmo Discreto em U (p)). No caso particular do
grupo U (p), com p primo, o Problema do Logaritmo Discreto pode ser descrito da
102 Resolucao do Problema do Logaritmo Discreto
seguinte forma: dados um gerador g de U (p) e um elemento h U (p), queremos

determinar o valor de x no intervalo 0 x < p 1 tal que g x h (mod p).
E importante tambem relembrarmos como o Problema do Logaritmo Discreto
aparece no contexto da seguranca dos metodos El Gamal e DSA. No metodo de
criptografia El Gamal, temos um parametro publico p, que e um primo, outro
parametro publico g U (p), que e um gerador de U (p), e uma chave publica c de
encriptacao. A chave privada d de decriptacao pode entao ser calculada como a
solucao da seguinte instancia do Problema do Logaritmo Discreto em U (p): g x
c (mod p). Calculos analogos tambem podem ser utilizados para o calculo das
chaves privadas nos metodos de assinatura El Gamal e DSA. Assim, em resumo, a
chave privada e, em todos estes casos, a solucao de uma instancia do Problema do
Logaritmo Discreto construda a partir da chave publica.
Uma vez que sabemos que o valor de x que e a solucao de uma instancia do
Problema do Logaritmo Discreto esta no intervalo 0 x < p 1 para o grupo U (p)
ou no intervalo 0 x < n no caso geral de um grupo de ordem n, o que o algoritmo
ingenuo faz e testar todos os valores deste intervalo um por um, comecando pelo
valor 0 e incrementando enquanto for necessario.
Apresentamos abaixo o algoritmo ingenuo para o a resolucao do PLD em grupos
U (p). A generalizacao do algoritmo para a resolucao do PLD em grupos finitos
cclicos quaisquer, desde que a ordem n do grupo seja conhecida, e bastante simples.
Desta forma, ela e deixada como exerccio (Exerccio 1).
Algoritmo 6.1: Algoritmo Ingenuo
Entrada: Um numero primo p, um gerador g de U (p) e um inteiro 1 h < p.
Sada: Um numero inteiro 0 x < p 1 tal que g x h (mod p).
Instrucoes:
1. i 0
2. Enquanto g i 6 h (mod p), faca:
2.1. i i + 1
3. Retorne i.
Este algoritmo pode precisar executar, no pior caso, aproximadamente p passos
para encontrar a solucao. Se p for um primo muito grande, este algoritmo podera
nao ser capaz, na pratica, de encontrar a solucao desejada, pois ele podera precisar
de uma quantidade exorbitante de tempo para concluir sua execucao.
Entretanto, e importante notar que apenas a escolha de um primo p muito grande
nao previne completamente o uso pratico deste algoritmo para a quebra dos metodos
El Gamal e DSA. Caso a chave privada utilizada seja muito pequena, o algoritmo
acima conseguira encontra-la em uma quantidade de tempo admissvel. Assim,
para prevenir o uso do algoritmo acima como ferramenta de quebra dos metodos
que estudamos, devemos tomar duas precaucoes ao implementar tais metodos:
1. Selecionar um primo p muito grande. A recomendacao atual e que p possua
pelo menos 2048 bits, isto e, aproximadamente 600 algarismos de comprimento
[19].
2. Selecionar uma chave privada que nao seja muito pequena. Uma sugestao e
selecionar chaves privadas que estejam situadas na regiao central do intervalo
1 < x < p 1.
Algoritmo Baby-Step/Giant-Step de Shanks 103
6.2 Algoritmo Baby-Step/Giant-Step de Shanks

Nesta secao, apresentamos o Algoritmo Baby-Step/Giant-Step, abreviado como
BSGS. Este algoritmo foi proposto originalmente por Daniel Shanks no artigo [26].
O Algoritmo BSGS pode ser utilizado para a resolucao do PLD em qualquer
grupo finito cclico, nao apenas nos grupos U (p). Por esta razao, dizemos que ele
e um algoritmo generico para a resolucao do PLD. O algoritmo ingenuo da secao
anterior tambem pertence a esta categoria. Entretanto, existe tambem um segundo
grupo de algoritmos que sao especficos para a resolucao do PLD em grupos U (p).
Vamos explicar o funcionamento do Algoritmo BSGS no caso do grupo U (p),
pois este e o grupo em que trabalhamos nos metodos de criptografia e assinatura
digital que apresentamos. Entretanto, a generalizacao do algoritmo para grupos
finitos cclicos quaisquer e simples e direta.
Queremos encontrar o valor de x tal que g x h (mod p), onde conhecemos g, h
e p. A unica coisa que sabemos inicialmente sobre x e que ele pertence ao intervalo
0 x < p 1. Para encontrar x, vamos comecar calculando m = d p 1e =
b p 1c + 1, isto e, a parte inteira de p 1 mais 1. Dividindo x por m, obtemos
x = im + j,
onde i e o quociente e j o resto da divisao. Assim, temos que 0 j < m. Como o

dividendo x e nao-negativo e o divisor m e positivo, temos tambem i 0. Vamos
mostrar agora que, devido a estaescolha particular do valor de m, temos i < m.
Repare inicialmente que m > p 1, logo m2 > p1. Suponha, por contradicao
que i m. Entao, x = im + j m2 > p 1, o que e uma contradicao com o fato
de que x esta no intervalo 0 x < p 1. Assim, temos que 0 i, j < m.
Vamos agora escrever g x h (mod p) como g im+j h (mod p), que por sua
vez e equivalente a
g j h(g 1 )im (mod p). (6.2.1)
A partir desta congruencia, surge a ideia principal do Algoritmo BSGS: ao inves de
calcular o valor de x diretamente, vamos calcular primeiramente os valores de i e j
e entao determinar o valor de x atraves da igualdade x = im + j.
Sabemos que o valor de j esta no intervalo 0 j < m. Assim, construmos uma
lista com os valores de g j mod p para cada valor de j neste intervalo:
B = [g j mod p : 0 j < m].
Esta lista e chamada de lista dos baby-steps.

Em seguida, calculamos g 1 , o inverso de g modulo p, e t = (g 1 )m mod p.
Comecamos entao o calculo dos chamados giant-steps. Para cada valor de i no
intervalo 0 i < m, calculamos hti mod p e verificamos se este valor pertence a
lista B. Caso nao pertenca, incrementamos o valor de i e calculamos o proximo
giant-step. Mas caso este valor esteja na posicao j da lista B, entao encontramos
valores de i e j tais que g j hti (mod p), que e a mesma congruencia da Equacao
(6.2.1). Assim, estes sao os valores de i e j que buscamos e podemos calcular o
valor de x como x = im + j.
Apresentamos a seguir o Algoritmo BSGS para a resolucao do PLD em grupos
U (p). A generalizacao do algoritmo para grupos finitos cclicos quaisquer e deixada
como exerccio (Exerccio 1). O ponto menos imediato desta generalizacao e o
calculo do valor de m para um grupo qualquer. Ao inves de d p 1 e, deve ser
utilizado d n e, onde n e a ordem do grupo ou um limite superior para esta ordem,
caso ela nao seja conhecida com precisao.
Em particular, se g 0 e um gerador de um subgrupo de ordem n de U (p) e h e um

elemento deste subgrupo, podemos utilizar o BSGS para calcular o valor de x tal
que (g 0 )x h (mod p) utilizando o valor de m = d n e. Esta ideia sera importante
na construcao do Algoritmo de Pohlig-Hellman, que veremos mais adiante neste
captulo.
Algoritmo 6.2: Algoritmo Baby-Step/Giant-Step de Shanks
Instrucoes:

1. m d p 1 e #b p 1c + 1
2. j 0
3. B [ ] # lista vazia
4. Enquanto j < m, faca:
4.1. s g j mod p
4.2. Adicione s na posicao j da lista B.
4.3. j j + 1
5. Calcule, utilizando o Algoritmo Euclidiano Estendido, o inverso de g
modulo p. Vamos denota-lo por g 1 .
6. t (g 1 )m mod p
7. i 0
8. Enquanto i < m, faca:
8.1. s (h ti ) mod p
8.2. Se s B, entao:
8.2.1. Seja j a posicao de s em B.
8.2.2. x (i m + j)
8.2.3. Retorne x.
8.3. i i + 1
Este algoritmo pode precisar, no pior caso, construir duas listas de tamanho

aproximadamente p cada uma. Desta forma, no pior caso, o algoritmo ira executar

aproximadamente 2 p passos. Embora esta quantidade de passos ainda seja muito
elevada, caso p seja muito grande, ela e uma melhora substancial em relacao aos p
passos que o algoritmo ingenuo pode precisar executar.
Na pratica, se p for muito grande, nem o algoritmo ingenuo nem o BSGS serao
capazes de encontrar a solucao desejada. Entretanto, como a quantidade de passos
executada pelo BSGS e substancialmente menor do que a executada pelo algoritmo
ingenuo, a selecao de um primo p muito grande torna-se ainda mais crucial para a
seguranca dos metodos de criptografia e assinatura digital que estudamos.
Exemplo 6.1. Seja p = 241, g = 14 (a raiz primitiva de U (241) obtida com o

Algoritmo de Gauss) e h = 65. Vamos utilizar o Algoritmo BSGS para determinar
o valor de x tal que g x h (mod p).
Algoritmo Rho de Pollard 105

Comecamos calculando m = d p 1 e = d 240e = 16. Calculamos entao a
lista B dos baby-steps g j mod p = 14j mod 241, para 0 j < 16.
j 0 1 2 3 4 5 6 7
14j mod 241 1 14 196 93 97 153 214 104
j 8 9 10 11 12 13 14 15
14j mod 241 10 140 32 207 6 84 212 76
Em seguida, utilizando o Algoritmo Euclidiano Estendido, calculamos g 1 , o

inverso de g modulo p, obtendo g 1 = 155. Calculamos entao t = (g 1 )m mod p =
1551 6 mod 241 = 94. Finalmente, calculamos um por um os giant-steps hti mod
p = 65.94i , para 0 i < 16, ate encontrarmos um valor que aparece na lista acima.
i 0 1 2 3
65.94i 65 85 37 104
Esta em B? Nao Nao Nao Sim
Assim, temos i = 3. Por outro lado, o valor 104 aparece em B na posicao j = 7.

Logo, x = im + j = 3.16 + 7 = 55. De fato, 1455 65 (mod 241).
6.3 Algoritmo Rho de Pollard

Nesta secao, apresentamos o Algoritmo Rho, proposto originalmente por John
Pollard no artigo [22]. O algoritmo foi batizado de Rho porque ele realiza um
percurso entre os elementos do grupo que consiste de um segmento inicial seguido
de um ciclo do qual o percurso nao sai. Assim, o percurso se assemelha em formato
a letra grega rho ().
Assim como os dois algoritmos apresentados anteriormente, o Algoritmo Rho
tambem e um algoritmo generico para a resolucao do PLD.
Da mesma maneira que fizemos com os algoritmos anteriores, vamos explicar o
funcionamento do Algoritmo Rho no caso do grupo U (p). Ao longo da explicacao,
discutiremos alguns dos detalhes menos imediatos envolvidos na sua generalizacao
para trabalhar com grupos finitos cclicos quaisquer.
No Algoritmo BSGS, construmos duas listas de elementos de U (p) procurando
por um elemento comum entre elas. Este elemento comum nos fornece entao in-
formacoes para obter a resposta que procuramos. O maior problema desta aborda-
gem da maneira como e feita no Algoritmo BSGS e que uma das listas precisa ficar
completamente armazenada na memoria ate o fim do algoritmo. Assim, o Algoritmo
BSGS apresenta um consumo de memoria elevado.
O Algoritmo Rho parte da mesma ideia de construir duas listas buscando um
elemento comum entre elas, mas utiliza outra estrategia, que permite que apenas
um elemento de cada lista seja armazenado na memoria a cada passo. Assim, ao
inves de uma lista completa armazenada em memoria, o Algoritmo Rho armazena
apenas dois elementos de cada vez, sendo um de cada lista.
Chamaremos os elementos de uma das listas de yi e os elementos da outra lista
de zi , com i 0. O primeiro elemento de ambas as listas e 1, isto e, y0 = z0 = 1.
Utilizamos entao uma funcao f para calcular o proximo elemento das listas. Se yi
e um elemento da primeira lista, calculamos o proximo elemento desta lista como
yi+1 = f (yi ). Por outro lado, se zi e um elemento da segunda lista, calculamos o
proximo elemento desta lista como zi+1 = f (f (zi )).
Assim, se considerarmos a aplicacao de f como um passo dado em um percurso

pelos elementos de U (p), a cada passo dado no percurso da primeira lista, dois
passos sao dados no percurso da segunda lista. Como os dois percursos comecaram
no mesmo ponto, o numero 1, temos entao que, para todo i, zi = y2i .
A funcao f sugerida por Pollard para utilizacao no Algoritmo Rho e a seguinte:

gw mod p se 0 w < p/3,
f (w) = w2 mod p se p/3 w < 2p/3,
wh mod p se 2p/3 w < p.

Para generalizarmos esta funcao para a aplicacao do Algoritmo Rho em grupos

finitos cclicos G = (G, ) quaisquer, realizamos uma particao do conjunto G em 3
conjuntos disjuntos G1 , G2 e G3 e aplicamos a primeira regra da funcao acima para
os elementos de G1 , a segunda regra para os elementos de G2 e a terceira regra para
os elementos de G3 .
Em qualquer etapa do algoritmo, apenas o ultimo elemento de cada lista que foi
calculado ate o momento e armazenado. Os elementos anteriores sao descartados.
Pelo formato da funcao f acima, podemos concluir que um elemento da primeira
lista tem sempre o formato yi = g 1 h1 . O mesmo ocorre com os elementos da
segunda lista: zi = g 2 h2 .
Estes valores de 1 , 1 , 2 e 2 podem ser calculados em paralelo a aplicacao da
funcao f . Inicialmente, temos 1 = 1 = 2 = 2 = 0, ja que o primeiro elemento de
ambas as listas e 1. A partir da, a cada vez que aplicamos a primeira regra de f a
um elemento da primeira lista, incrementamos 1 em uma unidade. A cada vez que
aplicamos a segunda regra de f a um elemento da primeira lista, multiplicamos por
dois tanto 1 quanto 1 . Finalmente, a cada vez que aplicamos a terceira regra de f a
um elemento da primeira lista, incrementamos 1 em uma unidade. Procedimentos
analogos sao validos para a aplicacao das regras de f aos elementos da segunda
lista e a atualizacao dos valores de 2 e 2 , lembrando que o proximo elemento da
segunda lista e obtido apos duas aplicacoes sucessivas de f . Podemos entao definir
duas funcoes auxiliares , para a atualizacao de 1 e 2 , e , para a atualizacao de
1 e 2 :

+1 se 0 w < p/3,
(w, ) = 2 e (w, ) = 2 se p/3 w < 2p/3,
+1 se 2p/3 w < p.

Calculamos novos elementos das duas listas ate chegarmos a um valor de j tal
que yj = zj . Como temos que zj = y2j , temos yj = y2j , isto e, uma indicacao de
que um elemento da primeira lista ira se repetir. Como o proximo elemento de uma
lista e completamente determinado pela aplicacao da funcao f , se o elemento yj se
repete em y2j , entao a primeira lista passara a ter repeticoes dos elementos entre
yj e y2j1 para sempre. Temos entao o ciclo no percurso da primeira lista aludido
pela letra grega rho (), sendo que este ciclo possui comprimento j.
A partir da igualdade yj = zj , podemos concluir que g 1 h1 g 2 h2 (mod p),
para os valores de 1 , 1 , 2 e 2 calculados no decorrer das aplicacoes de f . Como
h g x (mod p), onde x e o valor que estamos tentando determinar, a congruencia
g 1 h1 g 2 h2 (mod p) pode ser escrita como
g 1 +x1 g 2 +x2 (mod p).
Esta congruencia pode ainda ser escrita como g (1 2 )+x(1 2 ) 1 (mod p).
Entao, o Lema Chave (Lema 4.2) nos permite concluir que a ordem de g, que e
Algoritmo Rho de Pollard 107
p 1, divide (1 2 ) + x(1 2 ). Isto significa que
(1 2 ) (2 1 )x (mod p 1).
Seja u = (1 2 ) mod p 1 e v = (2 1 ). Se v = 0, temos que 1 = 2 , o que

implica tambem em 1 = 2 . Desta forma, temos os mesmos expoentes aparecendo
de ambos os lados da congruencia g 1 h1 g 2 h2 (mod p), o que nao nos fornece
informacao suficiente para determinar o valor de x. Sendo assim, o algoritmo falha
em calcular x no caso em que v = 0.
Felizmente, a probabilidade de obtermos v = 0 e bem pequena. De qualquer
forma, caso este caso ocorra e o algoritmo falhe, podemos repetir a aplicacao do
algoritmo com um novo elemento inicial diferente de 1 nas duas listas. Para isso,
sorteamos aleatoriamente dois valores a e b tais que 0 a, b < p 1 e fazemos
y0 = z0 = (g a hb ) mod p.
Considerando entao que v 6= 0, se mdc(v, p 1) = 1, podemos calcular v 1 , o
inverso de v modulo p 1 e obter x como x = uv 1 mod p 1. Entretanto, isto
nem sempre acontece. No caso em que mdc(v, p 1) = d > 1, alguns calculos extras
sao necessarios para obter o valor de x.
Aplicando o Algoritmo Euclidiano Estendido a v e p1, obtemos v +(p1) =
d, que e equivalente a v d (mod p 1). Por outro lado, temos a congruencia
u vx (mod p 1). Multiplicando-a dos dois lados por , obtemos u vx
(mod p 1). Como v d (mod p 1), podemos escrever a congruencia anterior
como u dx (mod p 1). Entao, de forma equivalente, temos u = dx + (p 1)l
para algum l Z. Como d = mdc(v, p 1), temos p 1 = dm, para algum m Z.
Substituindo o valor de p 1 na igualdade acima, obtemos u = dx + dml =
d(x + ml). Esta igualdade nos permite concluir que d divide u. Assim, temos
u = dt, para algum t Z, o que nos da dt = d(x + ml). Como d 6= 0, esta ultima
igualdade e equivalente a t = x + ml, que pode ser escrita na forma de congruencia
como x t (mod m).
Desta forma, para obter o valor de x, calculamos m = (p 1)/d e t = ((u)/d)
mod m. Entretanto, se d > 1, existe mais de um valor de x no intervalo 0 x < p1
tal que x t (mod m). De fato, existem d possveis valores de x satisfazendo esta
congruencia. Eles sao dados pela lista
L = [t + m i : 0 i < d].
O que efetivamente obtemos entao e uma lista de valores que sao candidatos a
solucao x. Para encontrar efetivamente o valor de x, devemos testar cada valor da
lista para determinar qual deles satisfaz a congruencia g x h (mod p). O valor
de d usualmente e pequeno, de forma que ha poucos elementos na lista para serem
testados.
Apresentamos abaixo o Algoritmo Rho para a resolucao do PLD em grupos
U (p). A generalizacao do algoritmo para grupos finitos cclicos quaisquer nao e
complexa, levando em conta que ja discutimos acima o detalhe menos imediato
desta generalizacao, que e a adaptacao da funcao f . Desta forma, deixamos a
descricao do algoritmo generalizado como exerccio (Exerccio 1).
Algoritmo 6.3: Algoritmo Rho de Pollard
Sada: Um numero inteiro 0 x < p 1 tal que g x h (mod p) ou Insucesso.

Instrucoes:
1. y 1, z 1
2. 1 0, 1 0, 2 0, 2 0
3. 1 (y, 1 ), 1 (y, 1 )
4. y f (y)
5. 2 (f (z), (z, 2 )), 2 (f (z), (z, 2 ))
6. z f (f (z))
7. Enquanto y 6= z, faca:
7.1. 1 (y, 1 ), 1 (y, 1 )
7.2. y f (y)
7.3. 2 (f (z), (z, 2 )), 2 (f (z), (z, 2 ))
7.4. z f (f (z))
8. u (1 2 ) mod p 1
9. v (2 1 ) mod p 1
10. Se v = 0, entao retorne Insucesso.
11. Aplique o Algoritmo Euclidiano Estendido a v e p 1, obtendo v +
(p 1) = d, onde d = mdc(v, p 1).
12. m (p 1)/d
13. t (( u)/d) mod m
14. i 0
15. Enquanto i < d, faca:
15.1. s t + m i
15.2. Se g s h (mod p), entao retorne s.
15.3. i i + 1
A analise sobre a estimativa do numero de passos que este algoritmo precisa

executar ate encontrar a solucao do PLD e bem mais sofisticada do que a dos algo-
ritmos anteriores, uma vez que ela depende do estudo da probabilidade de ocorrer
uma coincidencia entre os valores mais recentes das duas listas apos um determinado
numero de passos. Nao apresentamos esta analise aqui, mas ela pode ser consultada

no livro [10]. Esta analise conclui que o algoritmo executa aproximadamente p
passos. Desta forma, o seu tempo de execucao e proximo do tempo do Algoritmo
BSGS, mas o seu consumo de memoria e radicalmente menor.

Algoritmo de Gauss) e h = 18. Vamos utilizar o Algoritmo Rho para determinar
o valor de x tal que g x h (mod p).
Comecamos calculando as listas yi e zi . Temos y0 = z0 = 1. Calculamos y1 =
f (y0 ) = f (1) = g = 3 e z1 = f (f (z0 )) = f (3) = 3.3 = 9. Em seguida, calculamos
y2 = f (x1 ) = f (3) = 9 e z2 = f (f (z1 )) = f (f (9)) = f (3.9) = f (27) = f (3.27) = 81.
Calculamos entao y3 = f (y2 ) = f (9) = 27 e z3 = f (f (y2 )) = f (f (81)) = f (3.81) =
f (243) = 243h mod p = 243.18 mod 257 = 5. Continuamos calculando os valores
Algoritmo de Pohlig-Hellman 109
das duas listas, assim como os valores dos expoentes 1 , 1 , 2 e 2 , ate encontrarmos
uma coincidencia entre os valores:
i yi zi 1 1 2 2
0 1 1 0 0 0 0
1 3 9 1 0 2 0
2 9 81 2 0 4 0
3 27 5 3 0 5 1
4 81 45 4 0 7 1
5 243 235 5 0 16 2
6 5 46 5 1 32 6
7 15 26 6 1 66 12
8 45 234 7 1 68 12
9 135 234 8 1 136 26
10 235 234 16 2 16 54
11 118 234 16 3 32 110
12 46 234 32 6 64 222
13 138 234 33 6 128 190
14 26 234 66 12 0 126
15 78 234 67 12 0 254
16 234 234 68 12 0 254
Calculamos entao u = 1 2 = 68 0 = 68 e v = 2 = 1 = 254 12 = 242.
Aplicando o Algoritmo Euclidiano Estendido a v = 242 e p 1 = 256, obtemos
= 55 e d = mdc(v, p 1) = 2. Em seguida, calculamos m = (p 1)/d =
256/2 = 128 e t = ((u)/d) mod m = (55.68)/2 mod 128 = 50. Temos entao
que x t (mod m), isto e, x 50 (mod 128). Como 0 x < p 1 = 256,
existem dois possveis valores candidatos a serem a solucao x: x0 = t = 50 e
x1 = t + m = 50 + 128 = 178. Precisamos verificar qual deles satisfaz a congruencia
g x h (mod p).
Comecamos testando x0 = 50. Temos g x0 = 350 18 h (mod 257). Logo, a
solucao para o PLD e x = 50.
6.4 Algoritmo de Pohlig-Hellman

Nesta secao, apresentamos o Algoritmo de Pohlig-Hellman, proposto originalmente
por Stephen Pohlig e Martin Hellman no artigo [21].
Da mesma forma que os algoritmos apresentados nas secoes anteriores, o Al-
goritmo de Pohlig-Hellman e um algoritmo generico para a resolucao do PLD em
grupos finitos cclicos. Vamos explica-lo no contexto dos grupos U (p), mas a sua
generalizacao nao oferece dificuldades.
A ideia principal do Algoritmo de Pohlig-Hellman e tentar decompor o PLD no
grupo U (p) de ordem p 1 em problemas mais simples em subgrupos de ordens
menores de U (p). Inicialmente, obtemos a fatoracao de p 1:
p 1 = q1e1 q2e2 . . . qkek .
Nosso objetivo entao e, para cada 1 i k, encontrar um elemento gi que seja
gerador de subgrupos de U (p) de ordem qiei . Em outras palavras, a ordem de gi
ei
deve ser qiei . Encontrar tal gi nao e difcil. Podemos tomar gi = (g (p1)/qi ) mod p.
Temos e
q i
gi i g p1 1 (mod p).
Assim, pelo Lema Chave (Lema 4.2), a ordem de gi divide qiei . Entretanto, se
0
t < qiei , entao t0 = ((p 1)/qiei )t < p 1. Desta forma, g t 6 1 (mod p), o que
significa que git 6 1 (mod p). Portanto, a ordem de gi e igual a qiei .
Como temos g x h (mod p), podemos elevar os dois lados a (p1)/qiei , obtendo
ei
gi hi (mod p), onde hi = (h(p1)/qi ) mod p. Esta nova congruencia nos da
x
um PLD em um subgrupo de U (p) de ordem qiei , ja que esta e a ordem de gi .

Podemos reparar a partir da congruencia que x tambem satisfaz este novo PLD.
Se buscarmos uma solucao para este segundo PLD, iremos calcular um valor xi no
intervalo 0 xi < qiei tal que gixi hi (mod p). Como x tambem satisfaz esta
congruencia, temos entao que x xi (mod qiei ). Desta forma, se conseguirmos
determinar os valores de xi para todo 1 i k, podemos encontrar o valor de x
resolvendo, com o Algoritmo Chines do Resto, o sistema
(mod q1e1 )

x x1

x x2 (mod q2e2 )

.. .. ..

. . .
(mod qkek ).

x xk

Como os modulos das congruencias do sistema sao potencias de primos distintos, o

Teorema Chines do Resto (Teorema 2.6) nos garante que a solucao do sistema e unica
modulo q1e1 q2e2 . . . qkek = p 1. Ou seja, a solucao do sistema e o valor 0 x < p 1
que estamos buscando como solucao do PLD original g x h (mod p).
Nesta primeira etapa, decompomos a resolucao do PLD em U (p) na resolucao
de k PLDs, sendo cada um em um subgrupo de ordem qiei , para 1 i k. Na
segunda etapa, vamos agora decompor um PLD em um subgrupo de ordem qiei em
ei PLDs em um subgrupo de ordem qi .
Para isso, comecamos com o PLD gixi hi (mod p) em um subgrupo de ordem
qi . Temos que 0 xi < qiei . Decompomos entao xi como
ei
xi = xi0 + xi1 qi + xi2 qi2 + . . . + xi(ei 1) qiei 1 .
Vamos agora elevar os dois lados da congruencia gixi hi (mod p) a qiei 1 , obtendo
ei 1 ei 1
q q
(gi i )xi hi i (mod p). Substitumos entao xi pela decomposicao acima, ob-
tendo
ei 1 ei 1 ei 1
q q
(gi i )xi0 +xi1 qi +...+xi(ei 1) qi hi i (mod p).
Esta congruencia pode ser escrita como
ei 1 ei ei 2 ei 1
q q q
(gi i )xi0 (gi i )xi1 +...+xi(ei 1) qi hi i (mod p).
ei
q
Entretanto, temos que gi i 1 (mod p), de forma que a congruencia acima pode
ser simplificada para
ei 1 ei 1
q q
(gi i )xi0 hi i (mod p).
ei 1 ei 1
q q
Se gi0 = (gi i ) mod p e hi0 = (hi i ) mod p, obtemos um novo PLD: (gi0 )xi0 hi0
e
qi i
(mod p). Temos que (gi0 )qi gi 1 (mod p). Logo, pelo Lema Chave (Lema 4.2),
a ordem de gi0 divide qi . Como qi e primo, a ordem de gi0 e 1 ou qi . Entretanto,
ei 1
q
gi0 6 1 (mod p), ja que gi i 6 1 (mod p). Assim, a ordem de gi0 e qi e temos o
0 xi0
PLD (gi ) hi0 (mod p) em um subgrupo de ordem qi . Resolvemos entao este
PLD com o Algoritmo BSGS, levando em conta que a ordem de gi0 e qi . Com isso,
obtemos o valor de xi0 .
Vamos utilizar um processo analogo para calcular o valor de xi1 . Elevamos os
dois lados do PLD gixi hi (mod p) a qiei 2 agora. Obtemos
ei 2 ei 1 ei ei 3 ei 2
q q q q
(gi i )xi0 (gi i )xi1 (gi i )xi2 +...+xi(ei 1) qi hi i (mod p).
ei
q
Novamente, como gi i 1 (mod p), a congruencia acima pode ser simplificada para
ei 2 ei 1 ei 2
q q q
(gi i )xi0 (gi i )xi1 hi i (mod p).
Finalmente, escrevemos esta congruencia como

ei 1 ei 2 ei 2
q q
(gi i )xi1 hi i ((gi1 )qi )xi0 (mod p),
ei 2 ei 2
q
onde o valor de xi0 ja e conhecido. Se hi1 = hi i ((gi1 )qi )xi0 mod p, obtemos
mais um PLD com a mesma base gi0 , isto e, mais um PLD em um subgrupo de
ordem qi : (gi0 )xi1 hi1 (mod p). Novamente, podemos utilizar o Algoritmo BSGS
para determinar o valor de xi1 .
Continuando este procedimento, para calcular o valor de xij , 0 j < ei , resol-
vemos o PLD (gi0 )xij hij (mod p), onde
ei 1j ei 1j j1
q
hij = hi i ((gi1 )qi )xi0 +xi1 qi +...+xi(j1) qi mod p.
Apos termos calculado os valores de xij para todo 0 j < ei , calculamos direta-
mente o valor de xi pela formula
xi = xi0 + xi1 qi + xi2 qi2 + . . . + xi(ei 1) qiei 1 .
E desta maneira que calculamos os valores de xi para todo 1 i k.

Em resumo, para calcular o valor de x do PLD original, primeiro calculamos os
valores de xi , 1 i k, que sao solucoes de PLDs em subgrupos de ordem qiei ,
respectivamente. Por sua vez, para resolver cada um estes PLDs, decompomos xi de
acordo com a formula acima e calculamos cada xij , 0 j < ei atraves da resolucao
de PLDs em subgrupos de ordem qi . Para a resolucao destes PLDs, utilizamos
o Algoritmo BSGS. Uma vez tendo obtido todos os valores de xij , calculamos xi
de acordo com a formula acima. Finalmente, uma vez obtidos todos os valores de
xi , calculamos o valor de x desejado a partir da aplicacao do Algoritmo Chines do
Resto.
Apresentamos abaixo o Algoritmo de Pohlig-Hellman para a resolucao do PLD
em grupos U (p), levando em consideracao os procedimentos e calculos que apresen-
tamos acima. Assim como nas secoes anteriores, deixamos a versao generalizada do
algoritmo como exerccio (Exerccio 1).
Algoritmo 6.4: Algoritmo de Pohlig-Hellman
Instrucoes:
1. Fatore p 1, obtendo p 1 = q1e1 q2e2 . . . qkek .

2. i 0
3. Enquanto i < k, faca:
ei
3.1. gi g (p1)/qi mod p
3.2. Utilizando o Algoritmo Euclidiano Estendido, calcule gi1 , o inverso
de gi modulo p.
ei
3.3. hi h(p1)/qi mod p
3.4. xi 0
ei 1
q
3.5. gi0 gi i mod p
3.6. j 0
3.7. Enquanto j < ei , faca:
ei 1j (ei 1j)xi
q
3.7.1. hij (hi i (gi1 )qi ) mod p
3.7.2. Utilizando o Algoritmo BSGS, calcule o valor xij que satisfaz
a congruencia (gi0 )xij hij (mod p), levando em conta que gi0
possui ordem qi .
3.7.3. xi xi + xij qij
3.7.4. j j + 1
3.8. i i + 1
4. Utilizando o Algoritmo Chines do Resto, encontre o valor de x que e
solucao do sistema
(mod q1e1 )

x x1
(mod q2e2 )

x x2

.. .. ..

. . .
(mod qkek ).

x xk

5. Retorne x.
Como vimos anteriormente, para resolver um PLD em U (p), o Algoritmo BSGS

pode precisar de aproximadamente p passos. Por outro lado, se p 1 = pe11 pe22 . . .
ek
pk , entao o Algoritmo de Pohlig-Hellman decompoe o problema em k PLDs em
subgrupos de ordem qiei , com 1 i k. Apos esta decomposicao, o Algoritmo
de Pohlig-Hellman ainda realiza uma segunda decomposicao de um PLD em um
subgrupo de ordem qiei em ei PLDs em um subgrupo de ordem qi . Sao estes ultimos
PLDs que sao finalmente resolvidos utilizando-se o Algoritmo BSGS. Desta forma,

como o Algoritmo BSGS precisa de aproximadamente qi passos para resolver um
PLD em um subgrupo de ordem qi , o Algoritmo de Pohlig-Hellman ira utilizar

aproximadamente e1 q1 + e2 q2 + . . . + ek qk passos para resolver o PLD original.

Este numero de passos e consideravelmente menor do que p, se p 1 puder ser
completamente decomposto em fatores relativamente pequenos quando comparados
com p.
Vemos entao que o fato de p ser um primo muito grande nao e suficiente para
garantir a seguranca dos metodos de criptografia e assinatura digital que estudamos
anteriormente. Se p for muito grande, mas p1 possuir apenas fatores relativamente
pequenos, o uso do Algoritmo de Pohlig-Hellman podera oferecer uma possibilidade
real de obtencao da chave privada. Desta forma, para prevenir o uso deste algo-
ritmo como ferramenta de quebra destes metodos, devemos sempre verificar que
p 1 possua ao menos um fator primo grande, preferencialmente de uma ordem

de grandeza bem proxima a do proprio p. Desta maneira, resolver o PLD atraves
do Algoritmo de Pohlig-Hellman se tornara praticamente equivalente a resolve-lo
diretamente atraves do Algoritmo BSGS.
Podemos reparar que esta preocupacao esta explicitamente presente na cons-
trucao das chaves do metodo DSA. Neste metodo, selecionamos dois primos p e q
de forma que q divida p 1. Assim, se ambos os primos escolhidos forem muito
grandes, o Algoritmo de Pohlig-Hellman nao servira como ferramenta efetiva para
a obtencao da chave privada de uma implementacao do DSA.
Algoritmo de Gauss) e h = 76. Vamos utilizar o Algoritmo de Pohlig-Hellman para
determinar o valor de x tal que g x h (mod p).
Comecamos fatorado p 1 = 432, obtendo 432 = 2e4 .33 . Primeiramente, tra-
1 4
balhamos com a potencia 24 . Calculamos g1e = g (p1)/q1 mod p = 126432/2 mod
1
433 = 12627 mod 433 = 183 e h1 = h(p1)/q1 mod p = 7627 mod 433 = 168. Uti-
lizando o Algoritmo Euclidiano Estendido, calculamos tambem g11 , o inverso de
e1 1
q
g1 modulo p, obtendo g11 = 168. Finalmente, calculamos g10 = g11 mod p =
3
1832 mod 433 = 432.
Vamos calcular o valor de x1 tal que g1x1 h1 (mod p). Sabemos que 0 x1 <
e1
p1 = 24 = 16. Escrevemos entao x1 = x10 + x11 2 + x12 22 + x13 23 . Comecamos
fazendo x1 = 0 e vamos incrementalmente atualizando o seu valor ao calcularmos
os valores de x10 , x11 , x12 e x13 :
1. Para determinar x10 , calculamos
e1 1j (e1 1j)x1 3 3
q
h10 = h11 (g11 )q1 mod p = 1682 .1682 .0
mod 433 = 432.
O valor de x10 sera a solucao do PLD (g10 )x10 h10 (mod p), isto e, 432x10
432 (mod 433). Fica claro entao que x10 = 1. Atualizamos o valor de x1 para
x1 = x10 = 1.
e1 1j (e1 1j)x1 2 2
q
h11 = h11 (g11 )q1 mod p = 1682 .1682 .1
mod 433 = 432.
x1 = x10 + x11 2 = 3.
e1 1j (e1 1j)x1 1 1
q
h12 = h11 (g11 )q1 mod p = 1682 .1682 .3
mod 433 = 432.
O valor de x12 sera a solucao do PLD (g10 )x12
h12 (mod p), isto e, 432x12
x1 = x10 + x11 2 + x12 22 = 7.
e1 1j (e1 1j)x1 0 0
q
h13 = h11 (g11 )q1 mod p = 1682 .1682 .7
mod 433 = 432.
O valor de x13 sera a solucao do PLD (g10 )x13
h12 (mod p), isto e, 432x13
432 (mod 433). Fica claro entao que x13 = 1. Calculamos o valor de x1 como
x1 = x10 + x11 2 + x12 22 + x13 23 = 15.
e2
Vamos agora trabalhar com a potencia 33 . Calculamos g2e= g (p1)/q2 mod p =
3 2
126432/3 mod 433 = 12616 mod 433 = 17 e h2 = h(p1)/q2 mod p = 7616 mod
433 = 3. Utilizando o Algoritmo Euclidiano Estendido, calculamos tambem g21 , o
e2 1
q
inverso de g2 modulo p, obtendo g21 = 51. Finalmente, calculamos g20 = g22 mod
2
p = 173 mod 433 = 198.
Vamos calcular o valor de x2 tal que g2x2 h2 (mod p). Sabemos que 0 x2 <
e2
p2 = 33 = 27. Escrevemos entao x2 = x20 + x21 3 + x22 32 . Comecamos fazendo
x2 = 0 e vamos incrementalmente atualizando o seu valor ao calcularmos os valores
de x20 , x21 e x22 .

e2 1j (e2 1j)x2 2 2
q
h20 = h22 (g21 )q2 mod p = 33 .513 .0
mod 433 = 198.
x2 = x20 = 1.

e2 1j (e2 1j)x2 1 1
q
h21 = h22 (g21 )q2 mod p = 33 .513 .1
mod 433 = 234.
234 (mod 433).
Utilizamos entao o Algoritmo BSGS para determinar o valor de x21, sabendo
que a ordem de g20 = 198 e p2 = 3. Comecamos calculando m = d 3e = 2 e
construmos a lista B de baby-steps.
l 0 1
198l mod 433 1 198
Agora, utilizando o Algoritmo Euclidiano Estendido, calculamos (g20 )1 , o

inverso de g20 modulo p, obtendo (g20 )1 = 234. Calculamos entao
t = ((g20 )1 )m mod p = 2342 mod 433 = 198.
Finalmente, calculamos um a um os giant-steps h21 ti mod p, com 0 k <

m = 2.
k 0 1
234.198i mod 433 234 1
Esta em B? Nao Sim
Temos entao x21 = km + l = 2. Atualizamos o valor de x2 para x2 = x20 +
x21 3 = 7.

e2 1j (e2 1j)x2 0 0
q
h22 = h22 (g21 )q2 mod p = 33 .513 .7
mod 433 = 234.
234 (mod 433). Como resolvemos este PLD no item anterior, sabemos que
x22 = 2. Calculamos o valor de x2 como x2 = x20 + x21 3 + x22 32 = 25.
Algoritmo do Calculo de Indices 115
Finalmente, podemos obter a solucao x como a solucao do sistema
(mod 24 )

x x1 15
x x2 25 (mod 33 ).
Aplicando o Algoritmo Euclidiano Estendido a 24 = 16 e 33 = 27, obtemos = 5

e = 3. A solucao dada pelo Algoritmo Chines do Resto sera entao
x = (15..27 + 25..16) mod 432 = 79.
De fato, 12679 76 (mod 433).
6.5 Algoritmo do Calculo de Indices

Nesta secao, apresentamos o Algoritmo do Calculo de Indices. A ideia principal do
algoritmo, o uso de um sistema linear para resolver um PLD, pode ser encontrada
no livro [14], mas a elaboracao do algoritmo propriamente dito foi apresentada por
Leonard Adleman (o A do RSA) no artigo [1].
Ao contrario dos algoritmos apresentados nas secoes anteriores, o Algoritmo do
Calculo de Indices e um algoritmo especfico para a resolucao do PLD em grupos
U (p).
Este algoritmo recebe uma entrada extra alem dos valores de g, h e p para os
quais se quer determinar x tal que g x h (mod p). O algoritmo recebe uma base
de primos P = [q1 , q2 , . . . , qk ], geralmente constituda pelos k menores primos. Tal
base pode ser construda utilizando-se o Crivo de Eratostenes.
Inicialmente, o algoritmo seleciona valores aleatorios de t no intervalo 0 t < p
1, buscando por valores da forma g t mod p que possam ser fatorados completamente
utilizando-se apenas os primos da base P . Numeros que atendem a este requisito
sao chamados de numeros P -suaves.
Em outras palavras, o algoritmo busca valores de t tais que g t q1e1 q2e2 . . . qkek
(mod p), onde ej 0 para todo 1 j k. Como g e um gerador de U (p), existem
valores x1 , x2 , . . . , xk tais que g xj qj (mod p), para todo 1 j k. A ideia do
algoritmo e calcular tais valores e entao utiliza-los para obter o valor x procurado.
Podemos escrever a congruencia g t q1e1 q2e2 . . . qkek (mod p) como
g e1 x1 +e2 x2 +...+ek xk g t (mod p).
Como temos duas potencias da mesma base congruentes entre si, entao os seus
expoentes devem ser congruentes modulo a ordem desta base, isto e, modulo p 1.
Desta forma,
e1 x1 + e2 x2 + . . . + ek xk t (mod p 1).
Para calcular os valores de x1 , . . . , xk , podemos construir um sistema de k con-
gruencias modulo p 1 como a congruencia acima. Para isso, precisamos obter
pelo menos k valores t1 , t2 , . . . , tk tais que g ti mod p seja um numero P -suave, para
todo 1 i k. A partir destes valores, construmos o seguinte sistema linear com
congruencias no mesmo formato da congruencia acima:

e11 e12 . . . e1k x1 t1
e21 e22 . . . e2k x2 t2
.. .. = .. (mod p 1).

.. .. ..
. . . . . .
ek1 ek2 . . . ekk xk tk
Para resolver este sistema linear, podemos utilizar o metodo da Eliminacao

Gaussiana [8] na matriz ampliada

e11 e12 . . . e1k t1
e21 e22 . . . e2k t2
.. (mod p 1),

.. .. .. ..
. . . . .
ek1 ek2 ... ekk tk
tomando cuidado apenas de adaptar o metodo para o nosso contexto em que o

sistema e modulo p 1. Em particular, todas as operacoes de soma e multiplicacao
que sao feitas durante o processo de Eliminacao Gaussiana deverao ser sempre
reduzidas modulo p 1.
Na Eliminacao Gaussiana tradicional, feita geralmente para sistemas com coe-
ficientes reais, precisamos escolher em cada coluna um pivo que seja inversvel. No
conjunto dos reais, qualquer numero diferente de zero e inversvel, de modo que
falharemos em encontrar um pivo para uma coluna somente se o valor da diagonal e
os abaixo da mesma forem todos nulos. No caso dos inteiros modulo p 1, a escolha
de pivos nao e tao simples. Se p > 3, entao p 1 e um numero composto, de forma
que nem todos os inteiros no intervalo 1 i < p 1 serao inversveis. Assim, o pivo
de uma coluna deve ser um elemento v tal que mdc(v, p 1) = 1, pois estes sao
os elementos inversveis de Zp1 . Desta forma, existe uma chance maior no caso
da Eliminacao Gaussiana modulo p 1 de nao encontrarmos nenhum pivo viavel
em uma coluna da matriz. Se isto acontecer, voltamos a etapa anterior e buscamos
mais valores t tais que g t mod p seja P -suave, adicionando novas linhas a matriz
acima.
Ao final do processo da Eliminacao Gaussiana modulo p 1 com a possvel
adicao de novas linhas a matriz, se tomarmos apenas as k primeiras linhas da
matriz ampliada, obtemos
1 0 . . . 0 t01

0 1 . . . 0 t02
. . (mod p 1),

.. .. . .
. . . .. ..
0 0 ... 1 t0k
onde t01 , t02 , . . . , t0k e a solucao do sistema. Isto e, x1 = t01 , x2 = t02 , . . . , xk = t0k . As
demais linhas da matriz ampliada obtida ao final do processo, se existirem, serao
nulas.
Na ultima etapa do algoritmo, calculamos g 1 , o inverso de g modulo p. Em
seguida, buscamos um novo valor de t, agora sob uma nova condicao. Desejamos que
h(g 1 )t mod p seja P -suave. Ao contrario da primeira etapa, em que precisamos de
varios valores de t, nesta ultima precisamos de apenas um valor. Temos entao
h(g 1 )t q1f1 q2f2 . . . qkfk (mod p),
onde fj 0 para todo 1 j k. Como h g x (mod p), a congruencia acima

pode ser escrita como
g x g t+f1 x1 +f2 x2 +...+fk xk (mod p),
o que nos permite concluir que
x t + f1 x1 + f2 x2 + . . . + fk xk (mod p 1).
Como conhecemos fj e xj , para todo 1 i k, obtemos a resposta desejada como

x = (t + f1 x1 + f2 x2 + . . . + fk xk ) mod p 1.
Apresentamos abaixo o Algoritmo do Calculo de Indices para a resolucao do
PLD em grupos U (p), levando em consideracao os procedimentos e calculos que
apresentamos acima.
Algoritmo 6.5: Algoritmo do Calculo de Indices
Entrada: Um numero primo p, um gerador g de U (p), um inteiro 1 h < p e uma

lista P = [q1 , q2 , . . . , qk ] contendo k primos.
Instrucoes:
1. Sejam A uma matriz de k colunas e b um vetor coluna inicialmente vazios.
2. Primeira Etapa:
2.1. Sorteie aleatoriamente valores de t no intervalo 0 t < p 1 ate que
g t mod p possa ser fatorado completamente utilizando-se apenas os
primos da lista P .
2.2. Seja g t mod p = q1e1 q2e2 . . . qkek , onde ej 0, para todo 1 j k.
2.3. Adicione t ao vetor b e os expoentes e1 , e2 , . . . , ek a linha correspon-
dente da matriz A.
2.4. O vetor b e a matriz A precisam conter no mnimo k linhas para que
se possa prosseguir para a segunda etapa.
3. Segunda Etapa:
3.1. Vamos considerar a matriz ampliada A0 = [A|b].
3.2. Aplicamos o processo de Eliminacao Gaussiana modulo p 1 a A0
para obter uma matriz na forma
I b0

,
0 0
onde I e a matriz identidade k k, 0 representa uma matriz ou vetor

nulo e as linhas nulas podem ou nao estar presentes.
3.3. Caso, em algum passo da Eliminacao Gaussiana, nao seja possvel
encontrar um pivo viavel para a continuacao do processo (os pivos
devem ser inversveis modulo p1), deve-se retornar a primeira etapa
para a adicao de mais linhas a matriz A e ao vetor b.
3.4. Caso a Eliminacao Gaussiana seja bem sucedida, os elementos b0j do
vetor b0 , com 1 j k sao,0 respectivamente, as solucoes dos PLDs
g x qj (mod p). Isto e, g bj qj (mod p).
4. Terceira Etapa:
4.1. Utilizando o Algoritmo Euclidiano Estendido, calcule g 1 , o inverso
de g modulo p.
4.2. Sorteie aleatoriamente valores de t no intervalo 0 t < p 1 ate
que h(g 1 )t mod p possa ser fatorado completamente utilizando-se
apenas os primos da lista P . Ao contrario do passo semelhante
realizado na primeira etapa, agora e necessario encontrar apenas um
valor de t.
4.3. Seja h(g 1 )t mod p = q1f1 q2f2 . . . qkfk , onde fj 0, para todo 1 j
k.
4.4. x (t + f1 b01 + f2 b02 + . . . + fk b0k ) mod p 1
4.5. Retorne x.
Um detalhe importante de se notar no algoritmo acima e que, para efeito pratico,

ele nao resolve apenas um PLD g x h (mod p). De certa forma, ele resolve todos
os PLDs com esta mesma base g e este mesmo modulo p. Reparando atentamente
nos passos do algoritmo, vemos que o valor de h so e utilizado na ultima etapa,
onde, alem deste valor, e utilizada tambem a solucao do sistema que e obtida na
etapa anterior. Assim, se armazenarmos esta solucao (o vetor b0 ), seremos capazes
de resolver o PLD g x h0 (mod p) para qualquer h0 U (p) aplicando apenas o
calculo feito na ultima etapa do algoritmo. Enquanto nos algoritmos anteriores, ao
mudar o valor de h, precisavamos executar novamente o algoritmo em sua totalidade
para resolver o novo PLD, no Algoritmo do Calculo de Indices isto nao acontece.
Para um dado U (p) e um dado gerador g, as duas primeiras etapas precisam ser
executadas apenas uma vez. A partir de entao, podemos resolver o PLD para
qualquer valor de h bastando apenas executar a ultima etapa do algoritmo.
A analise sobre a estimativa do numero de passos que este algoritmo precisa
executar ate encontrar a solucao do PLD e consideravelmente sofisticada e nao sera
detalhada aqui, podendo ser consultada no livro [10]. Esta analise depende de um
estudo da quantidade de numeros P -suaves dentro de um intervalo em funcao do
tamanho da base P .
Em um nvel mais basico de analise, o que podemos concluir sem muita dificul-
dade e que conforme a base de primos P aumenta, mais valores de t atenderao aos
criterios tanto da primeira etapa quanto da ultima. Desta forma, estas etapas ficam
mais rapidas conforme P aumenta. Por outro lado, o aumento de P tambem oca-
siona o aumento da dimensao da matriz que e processada na etapa da Eliminacao
Gaussiana. Assim, esta etapa fica mais lenta com o aumento de P . Desta forma, o
tamanho de P deve ser equilibrado de forma bastante delicada de maneira a obter
o melhor desempenho do algoritmo.
De todos os algoritmos que apresentamos, este e o mais eficiente para resolver o
PLD em grupos U (p). Entretanto, ele e especfico para tais grupos, nao podendo ser
utilizado em grupos de outros formatos. Este e um grande incentivo para o estudo
de variantes dos metodos El Gamal e DSA que utilizem outros grupos diferentes
do grupo U (p). Em tais sistemas, o Algoritmo do Calculo de Indices nao podera
ser utilizado como ferramenta para obtencao da chave privada, restando apenas o
uso dos algoritmos menos eficientes. Desta forma, a seguranca do sistema aumenta
pelo simples fato de que o algoritmo mais eficiente que poderia ser usado para a sua
quebra nao esta mais disponvel. Esta e a motivacao de metodos como a Criptografia
com Curvas Elpticas, em que o grupo utilizado nao e um grupo U (p), mas sim um
grupo de pontos em uma curva elptica [2].
Algoritmo de Gauss) e h = 217. Vamos utilizar o Algoritmo do Calculo de Indices
com base de primos P = [2, 3, 5] para determinar o valor de x tal que g x h
(mod p). Comecamos sorteando aleatoriamente valores de t buscando valores em
que g t mod p possa ser fatorado completamente com os primos 2, 3 e 5. Como
estamos utilizando uma base de primos com 3 elementos, precisamos de pelo menos
3 valores distintos de t. Os seguintes valores podem ser utilizados:
1. t1 = 235: g t1 mod p = 6235 mod 271 = 54 = 2.33 ;
2. t2 = 18: g t2 mod p = 618 mod 271 = 90 = 2.32 .5;

3. t3 = 231: g t3 mod p = 6231 mod 271 = 192 = 26 .3.
Estes valores de t nos permitem construir o sistema

1 3 0 x1 235
1 2 1 x2 = 18 (mod 270).
6 1 0 x3 231
As solucoes deste sistema sao tais que 6x1 2 (mod 271), 6x2 3 (mod 271) e
6x3 5 (mod 271).
Aplicamos entao a Eliminacao Gaussiana modulo 270 na matriz ampliada

1 3 0 235
1 2 1 18 .
6 1 0 231
para encontrar o valor de x1 , x2 e x3 . Para a primeira coluna, podemos utilizar

o elemento 1 na primeira linha como pivo. Para zerar os outros elementos desta
coluna, faremos a segunda linha menos a primeira e a terceira linha menos 6 vezes
a segunda, sendo que todos os calculos devem ser feitos modulo 270. Obtemos entao
a matriz
1 3 0 235
0 269 1 53 .
0 253 0 271
Agora, para a segunda coluna, podemos utilizar o elemento 269 na segunda linha
como pivo, ja que ele possui inverso modulo 270. O inverso de 269 e o proprio 269.
Multiplicamos entao a segunda linha por 269, obtendo a matriz

1 3 0 235
0 1 269 217 .
0 253 0 271
Para zerar os outros elementos desta coluna, fazemos a primeira linha menos tres
vezes a segunda e a terceira linha menos 253 vezes a segunda. Obtemos a matriz

1 0 3 124
0 1 269 217 .
0 0 253 80
Finalmente, para a terceira coluna, podemos utilizar o elemento 253 na terceira

linha como pivo, ja que ele possui inverso modulo 270. O inverso de 253 e 127.
Multiplicamos entao a terceira linha por 127, obtendo

1 0 3 124
0 1 269 217 .
0 0 1 170
Para zerar os outros elementos desta coluna, fazemos a primeira linha menos tres
vezes a terceira e a segunda linha menos 269 vezes a terceira, obtendo

1 0 0 154
0 1 0 117 .
0 0 1 170
Assim, x1 = 154, x2 = 117 e x3 = 170. De fato, 6154 2 (mod 271), 6117 3

(mod 271) e 6170 5 (mod 271).
Para concluir, calculamos g 1 , o inverso de g modulo 271, obtendo g 1 = 226.
Em seguida, selecionamos aleatoriamente um valor de t tal que h(g 1 )t mod p possa
ser completamente fatorado com os primos da base P . O valor t = 102 e apropriado,
ja que 217.226102 mod 271 = 128 = 27 . Assim, f1 = 7 e f2 = f3 = 0. Logo,
x = (t + f1 x1 + f2 x2 + f3 x3 ) mod p 1 = (102 + 7.154) mod 270 = 100.
6.6 Exerccios
1. Descreva formalmente as versoes generalizadas dos algoritmos ingenuo, Baby-
Step/Giant-Step, Rho e Pohlig-Hellman para o calculo do PLD em um
grupo finito cclico G = (G, ) de ordem n qualquer.
2. Resolva o Problema do Logaritmo Discreto g x h (mod p) utilizando o Al-
goritmo Baby-Step/Giant-Step nos casos abaixo:
2.1. g = 155, h = 181, p = 211
2.2. g = 33, h = 123, p = 269
3. Dados os parametros publicos g = 107 e p = 223 e a chave publica c = 86 de
uma implementacao do metodo de criptografia El Gamal, utilize o Algoritmo
Baby-Step/Giant-Step para obter a chave privada e decriptar a mensagem
m
b = (104, 202).
goritmo Rho nos casos abaixo:
4.1. g = 6, h = 2, p = 157
4.2. g = 78, h = 122, p = 193
5. Dados os parametros publicos g = 66 e p = 113 e a chave publica c = 29 de
uma implementacao do metodo de criptografia El Gamal, utilize o Algoritmo
Rho para obter a chave privada e decriptar a mensagem m b = (62, 45).

goritmo de Pohlig-Hellman nos casos abaixo:
6.1. g = 59, h = 51, p = 101
6.2. g = 57, h = 13, p = 109

goritmo do Calculo de Indices com base de primos P = [2, 3, 5] nos casos
abaixo:
7.1. g = 43, h = 42, p = 103 (sabendo que g 53 5 (mod 103), g 31 75
(mod 103), g 66 30 (mod 103) e h(g 1 )3 64 (mod 103))
7.2. g = 29, h = 30, p = 127 (sabendo que g 101 6 (mod 127), g 21 20
(mod 127), g 75 10 (mod 127) e h(g 1 )26 50 (mod 127))
Bibliografia
[1] ADLEMAN, L. M. A subexponential algorithm for the discrete logarithm pro-

blem with applications to cryptography. In: KOSARAJU, S. R. (Ed.). Anais do
20th Annual Symposium on Foundations of Computer Science. New York: IEEE,
1979. p. 5560.
[2] BLAKE, I. F.; SEROUSSI, G.; SMART, N. P. Elliptic Curves in Cryptography.

Cambridge: Cambridge University Press, 1999.
[3] COUTINHO, S. C. Numeros Inteiros e Criptografia RSA. Segunda edicao. Rio

de Janeiro: IMPA, 2013.
[4] DIFFIE, W.; HELLMAN, M. E. New directions in cryptography. IEEE Tran-

sactions on Information Theory, v. 22, n. 6, p. 644654, 1976.
[5] EL GAMAL, T. A public key cryptosystem and a signature scheme based on

discrete logarithms. IEEE Transactions on Information Theory, v. 31, n. 4, p.
469472, 1985.
[6] EUCLIDES. The Thirteen Books of the Elements, Volume 2: Books IIIIX :
Traduzido por T. L. Heath. Second edition. New York: Dover Publications, 1956.
[7] GAUSS, C. F. Disquisitiones Arithmeticae: Traduzido por A. A. Clarke. New

Haven: Yale University Press, 1965.
[8] GOLUB, G. H.; VAN LOAN, C. F. Matrix Computations. Fourth edition. Bal-
timore: Johns Hopkins University Press, 2012.
[9] HODGES, A. Alan Turing: The Enigma. Centennial edition. Princeton: Prince-
ton University Press, 2012.
[10] HOFFSTEIN, J.; PIPHER, J.; SILVERMAN, J. H. An Introduction to Mathe-

matical Cryptography. Heidelberg: Springer, 2008.
[11] KAHN, D. The Codebrakers. Revised and updated edition. New York: Scribner,
1996.
[12] KNUTH, D. E. The Art of Computer Programming, Volume 2: Seminumerical

Algorithms. Third edition. Reading: Addison-Wesley, 1997.
[13] KOBLITZ, N. A Course in Number Theory and Cryptography. Second edition.

Heidelberg: Springer, 1994.
[14] KRAITCHIK, M. Theorie des Nombres. Paris: Gauthier-Villars, 1922.
121
[15] KRAVITZ, D. Digital signature algorithm. 1993. US Patent 5,231,668. Dis-

ponvel em: <http://www.google.com/patents/US5231668>.
[16] MENEZES, A. J.; VAN OORSCHOT, P. C.; VANSTONE, S. A. Handbook of
Applied Cryptography. New York: CRC Press, 1996.
[17] MILLER, G. L. Riemanns hypothesis and tests for primality. Journal of Com-
puter and System Sciences, v. 13, n. 3, p. 300317, 1976.
[18] NATIONAL INSTITUTE OF STANDARDS AND TECHNO-
LOGY. Digital Signature Standard. 1993. FIPS 186. Disponvel em:
<http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf>.
[19] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Recom-
mendation for Key Management. 2012. Special Publication 800-57 Part 1 Revi-
sion 3. Disponvel em: <http://csrc.nist.gov/publications/nistpubs/800-57/sp800-
57 part1 rev3 general.pdf>.
[20] NICOMACO. Introduction to Arithmetic: Traduzido por M. L. DOoge. New

York: Macmillan Company, 1926.
[21] POHLIG, S. C.; HELLMAN, M. E. An improved algorithm for computing lo-
garithms over GF(p) and its cryptographic significance. IEEE Transactions on
Information Theory, v. 24, n. 1, p. 106110, 1978.
[22] POLLARD, J. M. Monte Carlo methods for index computation (mod p). Mathe-
matics of Computation, v. 32, n. 143, p. 918924, 1978.
[23] RABIN, M. O. Probabilistic algorithm for testing primality. Journal of Number
Theory, v. 12, n. 1, p. 128138, 1980.
[24] RIBENBOIM, P. Numeros Primos. Velhos Misterios e Novos Recordes. Rio de

Janeiro: IMPA, 2012.
[25] RIVEST, R. L.; SHAMIR, A.; ADLEMAN, L. M. A method for obtaining
digital signatures and public-key cryptosystems. Communications of the ACM,
v. 21, n. 2, p. 120126, 1978.
[26] SHANKS, D. Class number, a theory of factorization, and genera. In: LEWIS,
D. J. (Ed.). Anais do Symposia in Pure Mathematics. Providence: American
Mathematical Society, 1971. v. 20, p. 415440.
[27] UNICODE CONSORTIUM. Unicode 6.3 Character Code Charts. 2013. Dis-
ponvel em: <http://www.unicode.org/charts/>.
[28] YONG, L. L.; SE, A. T. Fleeting Footsteps: Tracing the Conception of Arithme-
tic and Algebra in Ancient China: Traducao de Sunzi Suanjing. Revised edition.
Singapore: World Scientific Publishing, 2004.
Indice
Abel, 62 Publica, 6
Adleman, 7, 45, 115 Privada, 2
Algoritmo Cifra de Cesar, 3
Baby-Step/Giant-Step, 104 Classe de Equivalencia, 25
Chines do Resto, 37 Congruencia Modulo n, 27
de Assinatura Conjunto Quociente, 26
DSA, 96 Criptografia
El Gamal, 89 com Curvas Elpticas, 82, 118
de Decriptacao El Gamal, 86 de Chave Publica, 6, 78
de Divisao Inteira, 14 de Chave Privada, 2
de Encriptacao El Gamal, 85 El Gamal, 82
de Fatoracao, 45 Decriptacao, 86
de Gauss, 75 Encriptacao, 85
de Geracao de Chaves Geracao de Chaves, 83
da Assinatura DSA, 95 Crivo de Eratostenes, 50
da Assinatura El Gamal, 88
da Criptografia El Gamal, 83 Decriptacao, 2
de Pohlig-Hellman, 111 El Gamal, 86
de Potenciacao Modular, 32 Diffie, 6
de Verificacao da Assinatura Dividendo, 13
DSA, 97 Divisao Inteira, 13
El Gamal, 91 Divisor, 13, 17
do Calculo de Indices, 117 Proprio, 17
do Crivo de Eratostenes, 50 Primo, 42
do Teste de Miller-Rabin, 59 DSA, 94
Euclidiano Estendido, 21 Assinatura, 96
Ingenuo para o PLD, 102 Geracao de Chaves, 95
Rho, 107 Verificacao, 97
Assinatura Digital, 6, 79
DSA, 94 El Gamal, 7, 82
Assinatura, 96 Metodo de Assinatura Digital, 88
Geracao de Chaves, 95 Assinatura, 89
Verificacao, 97 Geracao de Chaves, 88
El Gamal, 88 Verificacao, 91
Assinatura, 89 Metodo de Criptografia, 82
Geracao de Chaves, 88 Decriptacao, 86
Verificacao, 91 Encriptacao, 85
Geracao de Chaves, 83
Cesar, 3 Encriptacao, 2
Carmichael, 53 El Gamal, 85
Chave, 2 Probabilstica, 85
Efemera, 85 Enigma, 4
123
Eratostenes, 46 de um Grupo, 63
Euclides, 18, 43, 62
Euler, 51, 61 Pohlig, 109
Pollard, 105
Fator, 17 Potenciacao Modular, 31
Proprio, 17 Primorial, 43
Primo, 42 Problema do Logaritmo Discreto, 70, 101
Fatoracao em Primos, 44 Produto Modular, 30
Fermat, 51, 62 Propriedade
(n), 64 Fundamental dos Primos, 43
Forma Reduzida Modulo n, 29 Pseudoprimo, 53
Funcao de Fermat, 53
de Euler, 64 Forte, 57
Hash, 89
Criptograficamente Segura, 89 Quociente, 13
Galois, 61 Rabin, 56
Gauss, 61, 74 Raiz Primitiva, 70
Geracao de Chaves Relacao de Equivalencia, 24
da Assinatura DSA, 95 Resto, 13
da Assinatura El Gamal, 88 Rivest, 7, 45
da Criptografia El Gamal, 83 RSA, 45
Gerador, 70
Shamir, 7, 45
Grupo, 62
Shanks, 103
Abeliano, 62
Soma Modular, 29
Cclico, 70
Subgrupo, 66
Comutativo, 62
Cclico, 70
Finito, 63
Proprio, 67
U (n), 64
Subtracao Modular, 30
Hellman, 6, 109 Sunzi (Sun Tzu), 35
Teorema
Inteiros Modulo n, 29
da Inversao Modular, 34
Inverso Multiplicativo Modular, 33
Chines do Resto, 35
Lagrange, 61, 67 da Infinidade dos Primos, 43
Leibniz, 51 da Raiz Primitiva, 74
Lema Chave, 72 da Unicidade da Fatoracao, 44
de Fermat, 51
Maximo Divisor Comum, 17 de Lagrange, 67
Multiplo, 17 Fundamental da Aritmetica, 44
Miller, 56 Teste
de Fermat, 52
Numero de Miller-Rabin, 59
Composto, 41 Turing, 5
de Carmichael, 53
P -Suave, 115 U (n), 64
Primo, 41 Unicidade
Nicomaco, 46 da Fatoracao, 44
do Quociente e Resto, 14
Ordem
de um Elemento, 69

Livro 77 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Livro 77 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Livro 77 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Notas em Matematica Aplicada e-ISSN 2236-5915

Volume 77, 2014

Fernando Rodrigo Rafaeli (Editor Chefe)

Vanessa Avansini Botta Pirani (Editor Adjunto)

Alexandre Loureiro Madureira

Edson Luiz Cataldo Ferreira

Jorge Manuel Vieira Capela

Sandra Augusta Santos

Sociedade Brasileira de Matematica Aplicada e Computacional

Veja todos os ttulos publicados nesta serie na pagina

Sociedade Brasileira de Matematica Aplicada e Computacional

Luis Menasche Schechter

Departamento de Ciencia da Computacao

Sociedade Brasileira de Matematica Aplicada e Computacional

Sao Carlos - SP, Brasil

Coordenacao Editorial da Serie: Fernando Rodrigo Rafaeli

Capa: Matheus Botossi Trindade

Catalogacao elaborada pela Biblioteca do IBILCE/UNESP

1. Criptografia de Chave Publica 2. Metodo El Gamal

Gostaria de agradecer, em primeiro lugar, a Sociedade Brasileira de Matematica

6 Resolucao do Problema do Logaritmo Discreto 101

Estamos experimentando, de forma cada vez maior, o crescimento do trafego de

um conhecimento basico a respeito dos numeros inteiros e a respeito de numeros

Rio de Janeiro, 28 de fevereiro de 2014.

Luis Menasche Schechter

Nosso objetivo principal neste livro e estudar o metodo El Gamal de criptografia de

1.1 Objetivos da Criptografia

1. o canal de transmissao da mensagem e inseguro e

o uso de algum metodo de criptografia se faz necessario.

Historicamente, alem de aplicacoes militares como a que descrevemos no exemplo

1.2 Breve Panorama Historico

letras A sao encriptadas de uma mesma forma na mensagem encriptada, temos

1.3 Mudanca de Paradigma: Chave Publica

turas em mensagens, no caso de um metodo de assinatura digital. Desta forma, a

particular, as operacoes de potenciacao e de calculo de inversos multiplicativos sao

Teorema da Raiz Primitiva, entre outros. De maneira mais ou menos explcita,

3. Explique as diferencas entre os objetivos de um metodo de criptografia de

7. Explique a fragilidade da Cifra de Cesar.

Apos o panorama introdutorio apresentado no captulo anterior, iniciamos, neste

Definicao 2.1 (Quociente e Resto). Dados dois inteiros a, chamado de dividendo,

Tanto na definicao acima como no restante do texto, estaremos sempre consi-

onde 0 r, r0 < b. Vamos supor, sem perda de generalidade, que r0 r. Como

o que significa que r0 r = b(q q 0 ). Como 0 r0 r < b, temos 0 b(q q 0 ) < b.

Apresentamos a seguir um algoritmo bem simples, embora extremamente ine-

Algoritmo 2.1: Algoritmo Simples para Divisao Inteira

Vemos que a variavel r assume a sequencia estritamente decrescente de valores

O algoritmo que apresentamos so funciona quando o dividendo e um inteiro po-

Definicao 2.3. Um divisor proprio ou fator proprio de um numero inteiro a e um

Neste momento, algumas perguntas surgem imediatamente. Por que calcular

O algoritmo que vamos apresentar e conhecido como Algoritmo Euclidiano Es-

a = bq1 + r1 0 < r1 < b 1 a + 1 b = r1

Figura 2.1: Forma Esquematica do Algoritmo Euclidiano Estendido

De acordo com os calculos na Figura 2.1, o resto rn e igual a zero e os restos

Lema 2.1. Sejam a, b, s e t quatro numeros inteiros positivos tais que a = bs + t.

Demonstracao: Sejam d1 = mdc(a, b) e d2 = mdc(b, t).

Mas, dadas estas equacoes, e imediato determinar que os valores e = 1, e = 0,

b = 0 e b = 1 vao satisfaze-la. Assim, sempre iniciamos o Algoritmo Euclidiano

Agora devemos calcular o valor parcial de e nesta linha. O valor parcial de

Temos entao que mdc(1768, 62) = 2, = 2 e = 57. De fato, calculando