DISS - 2015 - Paulo Sérgio Lopes Da Silva

Universidade Federal de Mato Grosso
Instituto de Ciências Exatas e da Terra

Departamento de Matemática
Um Sistema de Criptografia de Chave Pública

Chamado ElGamal
Paulo Sérgio Lopes da Silva

Mestrado Profissional em Matemática: PROFMAT/SBM
Orientador: Prof. Dr. Martinho da Costa Araújo
Trabalho financiado pela Capes
Cuiabá - MT
Junho de 2015
Um Sistema de Criptografia de Chave Pública
Chamado ElGamal
Este exemplar corresponde à redação final da dis-

sertação, devidamente corrigida e defendida por
Paulo Sérgio Lopes da Silva e aprovada pela co-
missão julgadora.
Cuiabá, 10 de julho de 2015.
Prof. Dr. Martinho da Costa Araújo

Orientador
Banca examinadora:
Prof. Dr. Martinho da Costa Araújo

Prof. Dr. Moiseis dos Santos Cecconello
Prof. Dr. Lenimar Nunes de Andrade
Dissertação apresentada ao curso de Mestrado

Profissional em Matemática – PROFMAT, da Uni-
versidade Federal de Mato Grosso, como requisito
parcial para obtenção do tı́tulo de Mestre em
Matemática.
Dissertação de Mestrado defendida em 08 de Junho de 2015 e aprovada pela
banca examinadora composta pelos Professores Doutores
Prof. Dr. Martinho da Costa Araújo-UFMT
Prof. Dr. Lenimar Nunes de Andrade-UFPB
Prof. Dr. Moiseis dos Santos Cecconello-UFMT
iii
À minha doce amada.
iv
Agradecimentos
Ao término deste trabalho, deixo aqui meus sinceros agradecimentos:
– a Deus por tudo;
– à minha esposa e filhos por perdoarem os incontáveis fins de semana de ausência;
– ao Prof. Dr. Martinho da Costa Araújo, por toda dedicação, paciência e estı́mulo
em sua orientação;
– a todos os professores do Departamento de Matemática da UFMT;
– aos professores da banca pelas valiosas sugestões;
– a minha famı́lia, pelo incentivo e segurança que me passaram durante todo esse
perı́odo;
– aos amigos do PROFMAT pelo agradável convı́vio especialmente Jackson e Adilson;
– à gestão da Escola Estadual 29 de Novembro de Tangará da Serra pela paciência;
– a todos que direta ou indiretamente contribuı́ram para a realização deste trabalho;
– à Capes pelo auxı́lio financeiro.
v
“Sempre me pareceu estranho que to-
dos aqueles que estudam seriamente
esta ciência acabam tomados de uma
espécie de paixão pela mesma. Em
verdade o que proporciona o máximo
prazer não é o conhecimento e sim a
aprendizagem, não é a posse mas a
aquisição, não é a presença mas o ato
de atingir a meta ”
Carl F. Gauss
vi
Resumo
Neste trabalho trataremos do sistema de criptografia de chave pública de ElGamal. No

primeiro capı́tulo apresentamos todos os conceitos matemáticos envolvidos neste tema,
enfatizando o ı́ndice. No segundo capı́tulo trataremos do conceito desse sistema, fatos
relevantes para sua implementação e alguns fatos históricos. O método de codificação e
decodificação neste criptosistema é apresentado no terceiro capı́tulo. Finalizamos apre-
sentando no quarto e quinto capı́tulos a proposta didática de inserção do tema criptografia
no ensino regular de matemática.
Palavras chave: Grupos cı́clicos, logaritmo discreto, assinatura digital.
vii
Abstract
In this paper we will address public key cryptosystem ElGamal. In the first chapter
we present all the mathematical concepts addressed, especially the index. In the second
chapter we will talk about the system concepts studied in this paper, historical and
relevant facts that were important for its implementation. The coding and encoding
method in this cryptosystem is presented in the third chapter. In the fourth and fifth
chapter we finish presenting a didactic proposal to include encryption in the regular
teaching mathematics.
Keywords: Cyclic groups, discrete logarithm, digital signature.
viii
Sumário
Agradecimentos v
Resumo vii
Abstract viii
Introdução 1
1 Conceitos Básicos 2
1.1 Estrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Ordem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Obtendo uma Raiz Primitiva . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.4 A Aritmética dos Índices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 Noções de Criptografia 20
3 O Criptosistema de ElGamal 27
3.1 O Problema do Logaritmo Discreto . . . . . . . . . . . . . . . . . . . . . . 27
3.2 Usando o MAPLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.3 O processo de Codificação e Decodificação . . . . . . . . . . . . . . . . . . 29
3.4 Criando uma chave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.5 Codificando uma Mensagem . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.6 Decodificando a Mensagem . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.7 Exemplo Completo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.8 Resolvendo o PLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.9 Assinaturas Digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.9.1 Assinando uma Mensagem com ElGamal . . . . . . . . . . . . . . . 36
ix
3.9.2 Verificando a Assinatura . . . . . . . . . . . . . . . . . . . . . . . . 36
3.9.3 Segurança da Assinatura . . . . . . . . . . . . . . . . . . . . . . . . 37
3.9.4 Exemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4 Criptografia Na Sala da Aula 41

4.1 A Esteganografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2 Construindo um Disco Criptográfico . . . . . . . . . . . . . . . . . . . . . . 42
4.3 Construindo um cilindro de Thomas Jefferson . . . . . . . . . . . . . . . . 43
4.4 Criptografia e Funções Bijetivas . . . . . . . . . . . . . . . . . . . . . . . . 44
5 ElGamal Em Sala de Aula 46

5.1 Trabalhando com a função φ de Euler . . . . . . . . . . . . . . . . . . . . . 46
5.2 Definindo ordem de um número . . . . . . . . . . . . . . . . . . . . . . . . 48
5.3 Definindo raiz primitiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.4 Definindo o criptosistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.5 Criptografando uma mensagem . . . . . . . . . . . . . . . . . . . . . . . . 51
5.6 Decodificando um texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
x
Introdução
“The magic words are squeamish ossifrage ”

(RSA-129)
Suponha que você deseja mandar uma mensagem muito importante para alguém,
porém, você não queira que o mensageiro leia o que foi escrito. Este é um problema que a
humanidade enfrenta desde os primórdios da escrita, cuja solução é dada pela criptografia,
que a grosso modo é “a arte de criar mensagens secretas e enviá-las com segurança”.
Atualmente os principais interessados na solução deste problema são os diplo-
matas, militares e o comércio eletrônico, este último só desenvolveu o interesse após a
chegada das mensagens eletrônicas e a internet.
Nós vamos apresentar aqui um dos mais importantes métodos de criptografia,
porém menos conhecido que o RSA, o criptosistema de ElGamal. Para tanto será ne-
cessário, antes expor conceitos como grupos, teorema de Euler, ordem e o logaritmo
discreto.
Existem também a necessidade de saber se uma mensagem criptografada é ver-
dadeira ou não. Para suprir esta necessidade apresentaremos a assinatura digital, que
verifica a autenticidade de uma mensagem, sem necessariamente decodificá-la.
Por fim, apresentaremos uma sequência didática para aplicação dos conceitos aqui
apresentados no ensino básico.
1
Capı́tulo 1
Conceitos Básicos
Neste capı́tulo apresentaremos todos os conceitos para que possamos introduzir

as raı́zes primitivas, para tanto daremos uma definição para ordem.
1.1 Estrutura
O conjunto dos números naturais N é caracterizado1 da seguinte forma:
i) Exite uma função injetiva s : N → N. A imagem s(n) de cada número natural
n ∈ N é chamada sucessor de n.
ii) Existe um número natural 1 ∈ N tal que 1 6= s(n) para todo n ∈ N.
iii) Se um conjunto X ⊂ N é tal que 1 ∈ X e S(X) ⊂ X então X = N
Os axiomas acima citados permitem caracterizar a operação de adição que as-
socia cada par de naturais (m, n) a um único natural m + n chamado de soma. Defini-
mos o número zero, doravante 0, como sendo o elemento neutro desta operação, ou seja
n + 0 = n, ∀ n ∈ N. Definimos também o oposto do número natural n como sendo o
número −n de modo que n + (−n) = 0.
Definição 1 Seja −N o conjunto de todos os opostos dos números naturais. Então

Z = −N ∪ {0} ∪ N será chamado de números inteiros.
A estrutura algébrica que sustenta todo o conceito aqui empregado é a estrutura

de grupo, que definimos a seguir.
1
Essa caracterização é chamada de Axiomas de Peano, para uma leitura aprofundada recomendo Lima
(2007).
2
Definição 2 Um sistema composto por um conjunto G não vazio e uma operação binária
∗ é chamado de grupo se (G, ∗) tem as seguintes propriedades:
1. Associatividade: Dados a, b e c elementos de G temos (a ∗ b) ∗ c = a ∗ (b ∗ c)
2. Elemento neutro: Exite um elemento e ∈ G de modo que para todo a ∈ G temos

a∗e=e∗a=a
3. Inverso: Para todo a ∈ G existe um a0 ∈ G tal que a ∗ a0 = a0 ∗ a = e
Se um grupo G possui a propriedade
a∗b=b∗a
para todo a, b ∈ G então G é chamado de grupo abeliano ou grupo comutativo.
Exemplo 1
O conjunto Z dos inteiros com soma usual é um grupo.
Teorema 1 Dados dois inteiros a e b, b > 0, existem um único par de números inteiros
q e r tais que
a = qb + r, com 0 ≤ r < b
Prova A prova deste teorema pode ser encontrada em Santos (2009).

No teorema acima se tivermos r = 0 então diremos que b divide a e denotaremos
por b|a.
Definição 3 Dados inteiros a, b e m com m > 0 dizemos que a é congruente b módulo

m se a − b é um múltiplo de m. Em sı́mbolos escrevemos
a≡b (mod m) ⇔ m|(a − b)
Congruências possuem algumas propriedades que nos ajudarão a trabalhar com

números inteiros.
Proposição 2 Dados a, b, c e m inteiros com m > 0 e n ∈ N então:
i) a ≡ b (mod m) ⇔ a + c ≡ b + c (mod m)
3
ii) se a ≡ b (mod m) então a · c ≡ b · c (mod m)
iii) a ≡ b (mod m) ⇔ an ≡ bn (mod m)
Prova:
i) Notemos que a definição de congruência nos indica que a ≡ b (mod m) ⇔
m|(a − b) então
m|(a − b) ⇔ (a − b) = k · m ⇔ (a + c − c − b) = k · m ⇔ ([a + c] − [b + c]) =
k · m ⇔ m|([a + c] − [b + c]). Aplicando a definição de congruência temos a ≡ b
(mod m) ⇔ m|(a − b) ⇔ m|([a + c] − [b + c]) ⇔ a + c ≡ b + c (mod m).
ii) Para provar este item devemos salientar que se p|q então p|q ·r para qualquer r
sendo p, q, r inteiros. Notemos agora que m|(a−b) ⇒ m|(a−b)·c ⇒ m|(a·c−b·c) aplicando
a definição de congruência temos a ≡ b (mod m) ⇔ m|(a−b) ⇒ m|(a·c−b·c) ⇔ a·c ≡ b·c
(mod m)
iii) Provaremos usando indução sobre n.
Se n = 1 teremos a hipótese da proposição, Suponhamos que an ≡ bn (mod m) é
verdadeiro para algum n natural, então pela hipótese de indução temos
an+1 = a · an ≡ b · bn = bn+1 (mod m)
Definição 4 Diremos que um número natural d é um máximo divisor comum de dois

inteiros a e b não simultaneamente nulos, se possuir as seguintes propriedades:
i) d é um divisor comum de a e de b, e
ii) d é divisı́vel por todo divisor comum de a e de b.
A condição ii) acima pode ser reescrita como segue:

ii’) Se c é um divisor comum de a e de b então c|d
Denotaremos o máximo divisor comum dos inteiros a e b por (a, b) = mdc(a, b).
Definição 5 Chamamos de coprimos os números a e b tal que (a, b) = 1.
O próximo teorema é um dos mais importante da teoria dos números, o algoritmo

de Euclides.
4
Proposição 3 Sejam r0 = a e r1 = b inteiros não-negativos com b 6= 0. Se o algoritmo
da divisão for aplicado sucessivamente para se obter
rj = qj+1 rj+1 + rj+2 , 0 ≤ rj+2 < rj+1
para j = 0, 1, 2, 3, · · · , n − 1 e rn+1 = 0 então (a, b) = rn , o último resto não-nulo.
Prova Uma excelente prova desta proposição pode ser encontrada em Hefez (2013).
Definição 6 Dado um inteiro não nulo m e um inteiro 0 ≤ a < m definimos a classe

residual módulo m como sendo o conjunto [a] = a = {a + mk, k ∈ Z}
Exemplo 2
Note que 6 ≡ 1 (mod 5) pois, 5|6 − 1 no entanto 5|11 − 1, 5|16 − 1 e assim por diante. Em
geral podemos afirmar que, para todo inteiro k, 5k + 1 ≡ 1 (mod 5) já que 5|(5k + 1 − 1).
Generalizando, temos que 1 é o conjunto de todos os números inteiros que ao ser dividido
por 5 deixam resto 1, ou seja, a classe
[1] = 1 = {· · · , −9, −4, 1, 6, 11, · · · } = {1 + 5k, k ∈ Z}.
Todos os conceitos apresentados neste capı́tulo pode ser encontrado com mais
riqueza de detalhes em Santos (2009).
Definição 7 Definimos Zm como sendo o conjunto de todas as classes residuais módulo

m ou seja,
Zm = {[0], [1], · · · , [m − 1]}
Definição 8 Sejam [a] e [b] classes residuais módulo m então definiremos a operação
soma ⊕ de classes residuais como sendo [a] ⊕ [b] = [a + b].
Definição 9 Sejam [a] e [b] classes residuais módulo m, então definiremos a operação
multiplicação de classes residuais como sendo [a] [b] = [a · b]
Notemos que [a] = [a0 ] e [b] = [b0 ] dois representantes de cada classe residual
módulo m então a ≡ a0 (mod m) e b ≡ b0 (mod m) e certamente a+b ≡ a0 +b0 (mod m)
e a · b ≡ a0 · b0 (mod m) o que equivale a dizer que [a + b] = [a0 + b0 ] e [a · b] = [a0 · b0 ].
5
Esta observação nos diz que a soma e o produto de classes residuais estão bem definidas,
ou seja, não depende da escolha do representante da classe.
Doravante todo grupo cuja operação é uma adição se chamará grupo aditivo e
cuja operação é uma multiplicação será chamado de grupo multiplicativo.
Definição 10 Dado um grupo (G, ∗), tal que G é finito então (G, ∗) será chamado de
grupo finito. O número de elemento de G será chamado de ordem do grupo.
Proposição 4 O conjunto Zm com a operação de adição de classes residuais módulo m

formam um grupo, ou seja, (Zm , ⊕) é um grupo.
Prova: i)
[a] ⊕ ([b] ⊕ [c]) = [a] ⊕ [b + c]
= [a + (b + c)]
= [(a + b) + c]
= [a + b] ⊕ [c]
= ([a] ⊕ [b]) ⊕ [c]
ii) Afirmamos que a classe [0] é o elemento neutro da adição e de fato;
[a] ⊕ [0] = [a + 0] = [a] e [0] ⊕ [a] = [0 + a] = [a]
iii) Afirmamos também que a classe [m − a] é o elemento inverso da classe [a],
pois, [m − a] ⊕ [a] = [m − a + a] = [m] = [0] e [a] ⊕ [m − a] = [a + m − a] = [m] = [0]
Quando nos referimos ao fechamento de um conjunto A em relação a determi-

nada operação ∗, queremos dizer que ao tomarmos dois elementos a e b do conjunto A e
realizarmos a operação a ∗ b obtemos um elemento também pertencente a A.
Proposição 5 O conjunto Z∗m = Zm − [0] é fechado para a operação de multiplicação se,

e somente se, m é primo.
Prova: Suponhamos que m não seja primo, então exitem a e b com a, b < m tais
que a · b = m. Como na multiplicação de classes residuais não importa o representante
da classe residual, podemos afirmar que [a] [b] = [m] = [0] no entanto, [0] não faz parte
do conjunto G, contradição.
6
Reciprocamente, devemos ver que a única possibilidade de Zm não ser fechado
para a multiplicação módulo m é se existirem classes [a] e [b], tais que [a] · [b] = [0] o que
resultaria em a · b ≡ 0 (mod m), ou seja m|a · b mas por hipótese m é primo logo, m|a
ou m|b. Se m|a então a = mk portanto,
[a] = [m · k] = [m] [k] = [0] · [k] = [0]
que é absurdo, pois [a] ∈ Z∗m . De modo semelhante se m|b obtemos [b] = [0] que também
é absurdo.
Exemplo 3
Um conjunto que não é fechado com a operação de multiplicação é o conjunto (Z∗6 , ).

Basta observarmos que [2] · [3] = [6] = [0]. Logo não é um grupo multiplicativo.
Proposição 6 Se p um número primo então (Zp , ) é um grupo multiplicativo.
Prova: É fácil mostrar que a multiplicação de classes residuais é associativa e

que [1] é o elemento neutro. Portanto, só resta mostrar que para todo [a] ∈ Z∗m existe um
[b] ∈ Z∗m tal que [a] · [b] = [1] e de fato existe, pois,
[a][b] = [1] ⇒ a · b ≡ 1 (mod m) ⇒ a · b − km = 1
e a equação diofantina tem solução b e k pois (a, m) = 1.
Definição 11 Seja G um grupo multiplicativo. Se a ∈ G e n é um número inteiro, a

n-ésima potência de a é o elemento an definido por recorrência do seguinte modo:
se n = 0 então an = eG Elemento neutro de G
se n > 0 então an = an−1 ∗ a
se n < 0 então a−n = (a−1 )−n
7
Exemplo 4
Tomemos como exemplo o grupo (Z∗7 , ) e a classe residual [3]
[3]0 = [1]
[3]1 = [3]1−1 [3] = [1] [3] = [1 · 3] = [3]
[3]2 = [3]2−1 [3] = [3] [3] = [1 · 3] = [9] = [2]
[3]3 = [3]3−1 [3] = [2] [3] = [2 · 3] = [6]
[3]4 = [3]4−1 [3] = [6] [3] = [6 · 3] = [18] = [4]
[3]5 = [3]5−1 [3] = [4] [3] = [4 · 3] = [12] = [5]
[3]6 = [3]6−1 [3] = [5] [3] = [5 · 3] = [15] = [1]
[3]7 = [3]7−1 [3] = [1] [3] = [1 · 3] = [3]
Definição 12 Um grupo multiplicativo G é chamado de cı́clico se existir um a ∈ G de

modo que G = {an ; n ∈ Z}. Nestas condições a é o gerador de G e escrevemos < a >= G.
Exemplo 5
Podemos notar pelo exemplo 4 que o grupo G = (Z∗7 , ) é cı́clico pois, (Z∗7 , ) = {[3]n ; n ∈
Z}. Notemos também que [3] é um gerador de (Z∗7 , ), ou seja, (Z∗7 , ) =< [3] >.
1.2 Ordem
Antes de darmos a definição de ordem apresentaremos alguns conceitos que serão
necessários para demonstrarmos proposições e teoremas importantes.
Definição 13 Uma função aritmética é uma função definida em todos os inteiros positi-
vos.
Definição 14 Seja n um inteiro positivo. A função φ de Euler é definida como sendo a

função que associa cada n a quantidade de números inteiros positivos k menores que n e
coprimos com n.
Por exemplo:
As vezes escrevemos φ(n) = #{k, 1 ≤ k ≤ n tais que (k, n) = 1} onde # significa
o número de elementos de um conjunto.
8
n 2 3 4 5 7 10
φ(n) 1 2 2 4 6 4
Tabela 1.1:
Teorema 7 Para p primo e a um inteiro positivo temos:

i)φ(pa ) = pa − pa−1 = pa−1 (p − 1)
ii)φ(p) = p − 1
Prova i) Pela definição da função φ sabemos que φ(pa ) é o número de inteiros

positivos não-negativos menores que e igual a pa coprimos com pa . Mas os únicos números
não primos com pa menores do que ou iguais a pa são aqueles que são divisı́veis por p,
ou seja M = {1p, 2p, 3p, · · · pa−1 · p}, percebemos que o números de elementos M é pa−1
portanto, φ(pa ) = pa − pa−1 , o resultado segue.
ii) Este item é um caso particular de i).
Teorema 8 A função φ(n) é multiplicativa, isto é φ(n · m) = φ(n) · φ(m) para (n, m) = 1
Prova A prova pode ser encontrada em Santos (2009).
Teorema 9 Para n = pa11 pa22 · · · pann , temos
φ(n) = pa11 −1 pa22 −1 · · · pann −1 (p1 − 1)(p2 − 1) · · · (pn − 1)
Prova A prova deste teorema decorre da aplicação do teorema 8.
Exemplo 6
Desejamos calcular φ(31), φ(625), φ(15):

(i) Como 31 é primo temos φ(31) = 31 − 1 = 30;
(ii)φ(625) = φ(54 ) = 54−1 (5 − 1) = 500;
(iii)φ(15) = φ(3 · 5) = φ(3)φ(5) = (3 − 1)(5 − 1) = 8;
9
Definição 15 Um sistema reduzido de resı́duos módulo m, doravante SRRm , é o con-
junto de φ(m) inteiros, de modo que todos sejam coprimos com m e tomados quaisquer
dois elementos deste conjunto, estes não são incongruentes módulo m.
Exemplo 7
Calcularemos SRR10 e SRR5 .

Note que SRR10 = {1, 3, 7, 9} e SRR5 = {1, 2, 3, 4}.
Observação 1 Pela definição SRRm dado um SRRm = {r1 , r2 , · · · , rφ(m) } temos que
todos os elementos ri ; 1 ≤ i ≤ φ(n) são coprimos com m então concluı́mos que (r1 ·
r2 · · · rφ(m) , m) = 1.
Proposição 10 Seja SRRm = {r1 , · · · rφ(m) } e um inteiro a coprimo com m. Então o

conjunto {a · r1 , · · · , a · rφ(m) } também é SRRm .
Prova: Percebemos claramente que (a · ri , m) = 1. Suponhamos agora que existam i e j

com i 6= j e 1 ≤ i, j ≤ φ(m), tal que a · ri ≡ a · rj (mod m). Pela definição de congruência
temos m|(a · ri − a · rj ) ⇒ m|a(ri − rj ) porém, por hipótese, temos que (a, m) = 1, ou seja,
m 6 |a e deste modo somos levados a concluir que m|(ri − rj ), ou seja, ri ≡ rj (mod m)
que é um absurdo pois ri e rj são elementos do SRRm .
Observe que na proposição anterior a · ri é congruente à algum rj .
Teorema 11 (Euler) Seja a e m inteiros coprimos e m > 0, então
aφ(m) ≡ 1 (mod m)
Prova Pela observação feita na proposição 10 concluı́mos que

a · r1 · a · r2 · · · a · rφ(m) ≡ r1 · r2 · · · rφ(m) (mod m)
aφ(m) (r1 · r2 · · · rφ(m) ) ≡ (r1 · r2 · · · rφ(m) ) (mod m)
aφ(m) ≡ 1 (mod m)

Definição 16 Sejam a e n inteiros coprimos. Então, o menor inteiro positivo x tal que
ax ≡ 1 (mod n) é chamado de ordem de a módulo n
10
Vamos representar a ordem de a módulo n por ordn a,logo pelo teorema de Euler
podemos garantir a existência da ordem de a módulo n, pois sabemos que x pode assumir
o valor de φ(n).
Exemplo 8
Podemos encontrar de ord7 2 calculando. 21 ≡ 2 (mod 7), 22 ≡ 4 (mod 7),

23 ≡ 1 (mod 7), como vimos acima, a primeira potencia de 2 que é congruente a 1
módulo 7 é 23 , assim ord7 2 = 3
Exemplo 9
Agora tentaremos calcular ord121 2
21 ≡ 2 (mod 121) 211 ≡ 112 (mod 121)

22 ≡ 4 (mod 121) 212 ≡ 103 (mod 121)
23 ≡ 8 (mod 121) 213 ≡ 85 (mod 121)
24 ≡ 16 (mod 121) 214 ≡ 49 (mod 121)
25 ≡ 32 (mod 121) 215 ≡ 98 (mod 121)
26 ≡ 64 (mod 121) 216 ≡ 75 (mod 121)
27 ≡ 7 (mod 121) 217 ≡ 29 (mod 121)
28 ≡ 14 (mod 121) 218 ≡ 58 (mod 121)
29 ≡ 28 (mod 121) 219 ≡ 116 (mod 121)
210 ≡ 56 (mod 121) 220 ≡ 111 (mod 121)
Podemos ver no exemplo 9 que nem sempre é simples obter a ordem de a módulo
n. A proposição abaixo será destinada a facilitar esta procura. Neste caso veremos que a
ord121 2 = 110.
Proposição 12 Se a e n são inteiros coprimos e n > 0, então o inteiro positivo x será

solução da congruência ax ≡ 1 (mod n) se, e somente se, ordn a|x
Prova: i) Temos que o inteiro x é a solução da congruência ax ≡ 1 (mod n) pela divisão

euclidiana temos que x = k · ordn a + r com 0 ≤ r < ordn a então ax = ak·ordn a+r ≡ ar
(mod n) como por hipótese ax ≡ 1 (mod n) então ar ≡ 1 (mod n) pela definição de
ordem concluı́mos que r = 0, ou seja, ordn a|x
ii) Se ordn a|x então x = ordn a · k, assim
ax = aordn a·k = (aordn a )n ≡ 1n = 1 mod n
concluindo a prova.
11

Corolário 13 Se a e n são coprimos então ordn a|φ(n)
Prova: Pelo teorema Euler temos que aφ(n) ≡ 1 (mod n); o teorema anterior nos garante
que ordn a|φ(n)
Exemplo 10
Agora podemos retornar ao exemplo 9 e obter ord121 2. Como φ(121) = 110 os can-
didatos ao valor de ord121 2 são os divisores de 110 que são os elementos do conjunto
{1, 2, 5, 10, 11, 22, 55, 110}. Já sabemos que {1, 2, 5, 10, 11} não são, então tentaremos os
demais.
222 ≡ 81 (mod 121)
255 ≡ 120 (mod 121)
2110 ≡ 1 (mod 121)
Observemos que ord121 2 = 110 = φ(121), neste caso, o número 2 recebe o nome
de raı́z primitiva módulo 121, que definimos agora.
1.3 Obtendo uma Raiz Primitiva

Definição 17 Se ordm a = φ(m) dizemos que a é uma raiz primitiva módulo m
Exemplo 11
Afirmamos que 3 é raiz primitiva módulo 5, e de fato é pois 31 ≡ 3 (mod 5), 32 ≡ 4

(mod 5) e 34 ≡ 1 (mod 5).
Dado um natural n estamos interessados em obter todas as raı́zes primitivas
incongruentes módulo n, caso existam. Construiremos este resultado.
Proposição 14 Se a e n são inteiros coprimos com n > 0 e i, j inteiros não negativos,

então ai ≡ aj (mod n) se, e somente se i ≡ j (mod ordn a)
Prova: Por hipótese temos que (a, n) = 1 ⇒ (aj , n) = 1. Notemos agora que se divi-
dirmos os temos equivalentes na congruência ai ≡ aj (mod n) por aj obtemos ai−j ≡ 1
12
(mod n), pela proposição 12 concluı́mos que ordn a|(i − j) e pela definição de congruência
temos i ≡ j (mod ordn a).
Reciprocamente se i ≡ j (mod ordn a) então i = k · ordn a + j assim ai =
k
ak·ordn a+j = aordn a · aj ≡ aj (mod n), uma vez que aordn a ≡ 1 (mod m)
Proposição 15 Se ordn a = t e u é um inteiro positivo, então
t
ordn au =
(u, t)
Prova: Vamos definir ordn a = t, ordn au = s, (t, u) = d. Pela divisão euclidiana temos
u = d · u1 e t = d · t1 .
Notemos agora que
dt u1
(au )t1 = ad·u1 = at ≡1 (mod n)
de onde concluı́mos que ordn au = s divide t1 .

Por outro lado temos que (au )s = aus ≡ 1 (mod n). Sabemos agora que t|us,
pois t = ordn a então d · t1 |d · u1 · s que resulta em t1 |u1 · s. É fácil ver que (u1 , t1 ) = 1,
t
concluı́mos que t1 |s. Como s|t1 e t1 |s provamos que s = t1 . Ou seja, ordn au =
(u, t)

Proposição 16 Dados r e n inteiros positivos coprimos com n > 0, se r é uma raiz

primitiva módulo n, então os inteiros
r, r2 , , · · · , rφ(n)
formam um sistema reduzido de resı́duos módulo n.
Prova: Para provar que as primeiras φ(n) potência de uma raiz primitiva forma um
sistema reduzido de resı́duos módulo n, precisamos apenas mostrar que elas são coprimas
com n e não são congruentes duas a duas.
Pela hipótese de r ser raiz primitiva módulo n concluı́mos que (n, r) = 1. Con-
sequentemente (n, rk ) = 1 para todo k ∈ N, assim todas as potências de r são coprimas
com n.
13
Assumindo que ri ≡ rj (mod n), pela proposição 14 isso só ocorre se i ≡ j
mod ordn r, o que implica em i ≡ j mod φ(n) com 1 ≤ i ≤ φ(n) e 1 ≤ j ≤ φ(n). Pela
definição de congruência temos φ(n)|i − j que só ocorre se i − j = 0, pois i − j < φ(n).
Concluı́mos que ri ≡ rj (mod n) se, e só se, i = j.
Exemplo 12
Pelo exemplo 11, já sabemos que 3 é uma raiz primitiva módulo 5 então temos SRR5 =
{3, 32 , 33 , 34 }que podem ser SRR5 = {1, 2, 3, 4}
Proposição 17 Seja r uma raiz primitiva módulo n onde n é um inteiro maior que 1,
então ru é também raiz primitiva módulo n se, e só se, (u, φ(n)) = 1.
ordn a ordn r
Prova: Pela proposição 15 temos que ordn au = então ordn ru = =
(u, ordn a) (u, ordr n)
φ(n)
, consequentemente, ordn ru = φ(n), ou seja, ru será uma raiz primitiva módulo
(u, φ(n))
n se e só se (u, φ(n)) = 1.
Exemplo 13
Como φ(5) = 4 e (4, 1) = (4, 3) = 1 concluı́mos que 31 ≡ 3 (mod 5) e 33 ≡ 2 (mod 5)

são raizes primitivas módulo 5.
Proposição 18 Se um inteiro n tem uma raiz primitiva, então n tem exatamente φ(φ(n))
raı́zes primitivas incongruentes.
Prova: A proposição 16 nos garante que r, r2 , · · · , rφ(n) forma um sistema reduzido de

resı́duos módulo n e conforme a proposição 17 concluı́mos que apenas as i-potencias,
1 ≤ i ≤ φ(n), com (i, φ(n)) = 1 são raı́zes primitivas módulo n, então, existe φ(φ(n))
raı́zes primitivas módulo n.
14
Exemplo 14
Vamos obter as raı́zes primitivas módulo 11. Afirmamos que 2 é raiz primitiva módulo
11, e de fato é pois φ(11) = 11 − 1 = 10 e 21 ≡ 2 (mod 11), 22 ≡ 4 (mod 11),
25 ≡ 10 (mod 11) e 210 ≡ 1 (mod 11). Agora podemos obter as demais raı́zes primitivas,
e são elas: 21 ≡ 2 (mod 11), 23 ≡ 8 (mod 11), 27 ≡ 7 (mod 11) e 29 ≡ 6 (mod 11)
As raı́zes primitivas é um parte da teoria dos números importantı́ssima, po-
derı́amos escrever muitas páginas sobre este tópico, entretanto escaparı́amos e muito do
nosso objetivo neste trabalho. Para um estudo profundo deste tema recomendamos Rosen
(2005).
Todavia nosso objetivo é apresentar que todo primo tem raiz primitiva. Pra
alcançar esta meta lançamos mão de alguns teoremas cujas as demonstrações podem ser
encontradas em Rosen (2005).
Definição 18 Seja f (x) um polinômio de coeficientes inteiros. Dizemos que c é uma raiz
de f (x) módulo m se f (c) ≡ 0 (mod m).
É fácil ver que se c é uma raiz de f (x) módulo m então todo inteiro x congruente
a c módulo m também será raiz.
Exemplo 15
Afirmamos que f (x) = x2 + x + 1 tem exatamente duas raı́zes módulo 7, x ≡ 2 (mod 7)

e x ≡ 4 (mod m) e de fato, substituindo x = 0, 1, 2, 3, 4, 5, 6 em f (x), temos:
02 + 0 + 1 6≡ 0 (mod 7), 12 + 1 + 1 6≡ 0 (mod 7), 22 + 2 + 1 = 7 ≡ 0 (mod 7)
32 +3+1 6≡ 0 (mod 7), 42 +4+1 = 21 ≡ 0 (mod 7), 52 +5+1 6≡ 0 (mod 7), 62 +6+1 6≡ 0
(mod 7)
Exemplo 16
O polinômio g(x) = x2 + 2 não tem raı́zes módulo 5, pois,

02 + 2 6≡ 0 (mod 5), 12 + 2 6≡ 0 (mod 5), 22 + 2 6≡ 0 (mod 5), 32 + 2 6≡ 0 (mod 5),
42 + 2 6≡ 0 (mod 5).
15
Exemplo 17
O pequeno teorema de Fermat nos diz que caso p seja primo, então o polinômio h(x) =
xp−1 − 1 tem exatamente p − 1 raı́zes módulo p.
Teorema 19 Seja p um primo e seja d um divisor de p − 1. Então o polinômio xd − 1

tem exatamente d raı́zes incongruentes módulo p.
Prova A prova deste teorema pode ser encontrada em Rosen (2005).
Teorema 20 Seja p um primo e tomemos d um divisor de p − 1. Então o número de

inteiros incongruentes de ordem d módulo p é igual a φ(p).
Prova A prova deste teorema pode ser encontrada em Rosen (2005).
Teorema 21 Todo primo tem um raiz primitiva.
Prova: Seja p um primo. Pelo teorema 20, sabemos que existem

φ(p − 1) inteiros incongruentes de ordem p − 1 módulo p. Devido a este fato e pela
definição de raiz primitiva, p tem φ(p − 1) raı́zes primitiva.
A existência de raı́zes primitivas não está restrita aos números primos. Sabemos
que todos os números da forma 1, 2, 4, pt e 2pt com p primo e t inteiro positivo possuem
raiz primitiva. Para um justificativa ver Rosen (2005).
1.4 A Aritmética dos Índices

Com base na proposição 16 sabemos que os inteiros r, r2 , r3 , · · · , rφ(m) forma
um sistema reduzido de resı́duos módulo m. A partir deste fato percebemos que se a é
um inteiro coprimo com m estão existe um único x com 1 ≤ x ≤ φ(m) de modo que
a ≡ rx (mod m)
16
Definição 19 Seja m um inteiro positivo com uma raiz primitiva r e a é um inteiro
positivo com (a, m) = 1 então o inteiro x com 1 ≤ x ≤ φ(m) tal que rx ≡ a (mod m) é
chamado de ı́ndice de a na base r módulo m.
Neste caso escrevemos indr a para indicar o indice de a na base r módulo m.
Exemplo 18
5 é uma raiz primitiva módulo 18.

É fácil ver que
51 ≡ 5 (mod 18) 52 ≡ 7 (mod 18) 53 ≡ 17 (mod 18)

54 ≡ 13 (mod 18) 55 ≡ 11 (mod 18) 56 ≡ 1 (mod 18)
assim:
ind5 5 = 1 ind5 7 = 2 ind5 17 = 3

ind5 3 = 4 ind5 11 = 5 ind5 1 = 6
Observando a definição de indr a, vemos que este número é um expoente positivo e

que rindr a ≡ a (mod n) e ainda, indr a é o menor expoente positivo onde 1 ≤ indr a ≤ φ(n).
Suponha que a ≡ b (mod m) e que r é um raiz primitiva módulo m. Então
rindr a ≡ a (mod m) e rindr b ≡ b (mod m), logo rindr a ≡ rindr b (mod m). Pela proposição
14 temos indr a ≡ indr b (mod φ(n)), portanto
a ≡ b (mod m) ⇔ indr a ≡ indr b (mod φ(m)) (1.1)
Desta forma a propriedade rindr a ≡ a (mod m) nos faz lembrar o número real w
definido como logaritmo de u na base v com um u e v números reais positivos e v 6= 1, ou
seja, w = logv u. Equivalentemente v w = u e também sua propriedade de que v logv u = u
de modo semelhante 1.1 nos faz lembra que logv u = logv x ⇔ u = x. Veremos algumas
propriedades dos ı́ndices aritméticos.
Teorema 22 Seja m um inteiro positivo com raiz primitiva r e seja a e b inteiros copri-
mos com m. Então:
i) indr 1 ≡ 0 mod φ(m)
17
ii) indr (a · b) ≡ (indr a + indr b) (mod φ(m))
iii) indr ak ≡ k · indr a (mod φ(m)) para k natural
Prova i) Pelo teorema de Euler temos que rφ(m) ≡ 1 (mod m) como r é uma raiz primitiva
de m então φ(m) é a menor potência de r congruente a 1 então indr 1 = φ(m) ≡ 0
(mod φ(m)).
ii) Notemos que rindr (a·b) ≡ a · b (mod m) e rindr a+indr b = rindr a · rindr b ≡ a · b
(mod m) então rindr (a·b) ≡ rindr a+indr b (mod m), consequentemente indr (a · b) ≡ indr a +
indr b (mod φ(m))
k
iii) Inicialmente notemos que rindr a ≡ ak (mod m) e de fato indr ak = x ⇒
k k
rx ≡ ak (mod m) ⇒ rindr a ≡ ak (mod m) e rk·indr a ≡ rindr a ≡ ak (mod m) então
k
rindr a ≡ rk·indr a (mod m) e consequentemente indr ak ≡ k · indr a (mod φ(m)).
Por isso na definição 19 também dizemos que x é o logaritmo discreto de a na

base r, ou seja, rlogr a ≡ a (mod m). Logo o teorema 22 pode ser reescrito da seguinte
forma:
Teorema 23 Seja m um inteiro positivo com raiz primitiva r e seja a e b inteiros copri-
mos com m. Então:
i) logr 1 ≡ 0 mod φ(m)
ii) logr (a · b) ≡ (logr a + logr b) (mod φ(m))
iii) logr ak ≡ k · logr a (mod φ(m)) para k natural
Exemplo 19
Seja m = 7 temos que r = 3 é uma raiz primitiva módulo 7.

É fácil ver que
31 ≡ 3 (mod 7) 32 ≡ 2 (mod 7) 33 ≡ 6 (mod 7)

34 ≡ 4 (mod 7) 35 ≡ 5 (mod 7) 36 ≡ 1 (mod 7)
assim:
18
log3 1 = 6 log3 3 = 1 log3 5 = 5
log3 2 = 2 log3 4 = 4 log3 6 = 3
Exemplo 20
Considerando ainda m = 7 e r = 5 temos
51 ≡ 5 (mod 7) 52 ≡ 4 (mod 7) 53 ≡ 6 (mod 7)

54 ≡ 2 (mod 7) 55 ≡ 3 (mod 7) 56 ≡ 1 (mod 7)
log5 1 = 6 log5 3 = 5 log5 5 = 1

log5 2 = 4 log5 4 = 2 log5 6 = 3
Pelo exemplo 20 podemos notar que:
log5 1 = 6 ≡ 0 (mod φ(7))
e
log5 2 + log5 3 = 4 + 5 ≡ 3 = log5 6 (mod φ(7)).
19
Capı́tulo 2
Noções de Criptografia
Criptografia é a junção de duas palavras oriundas do grego, e são elas kryptós

que significa “escondido”, “oculto”, “obscuro” e gráphein de significado “descrever”, “es-
crever”; “escrita”, portanto, a grosso modo, podemos entender que criptografar um men-
sagem é escreve-la de modo difı́cil compreensão por uma pessoa que não saiba com des-
criptografá-la.
Acredita-se que a primeira mensagem criptografada foi usada pelo escriba do faraó
egı́pcio Khnumhotep II, por volta de 1900 antes de Cristo, que documentou em tabletes
de argila os segredos do tesouro de uma pirâmide e teve a ideia de substituir algumas
palavras ou alguns trechos do texto por códigos. Caso o documento fosse roubado, o
ladrão não encontraria o caminho que o levaria ao tesouro e morreria de fome, perdido
nas catacumbas da pirâmide.
Antes do avanço da criptografia usava-se a técnica de esconder a mensagem de
forma a não ser lida pelo inimigo, um exemplo cruel de esteganografia antiga é escolher
um escravo, rapava a cabeça e tatuava a mensagem no couro cabeludo. Após o cabelo ter
crescido novamente o enviava ao destinatário da mensagem.
Além do Egito, também existe registro dos primórdios da criptografia na China,
na Mesopotâmia e até na bı́blia, porém os gregos tiveram mais destaque principalmente
em dois métodos.
O primeiro deles é o sistema monoalfabético de Cesar que baseia em trocar cada
letra do alfabeto por uma outra, de tal forma que esta relação se mantenha fixa. Por
exemplo se usarmos a chave 5 a letra l será substituı́da pela letra l0 ≡ (l + 5) mod 26 logo
a primeira letra do alfabeto será substituı́da pela letra l0 ≡ (1 + 5) mod 26 ⇒ l0 = 6, assim
20
a letra F corresponderá a letra A. Repetindo os cálculos teremos que G corresponde a B,
H corresponde a C e assim por diante.
Este sistema parece eficiente, no entanto, um texto de uma determinada lı́ngua
as letras aparecem com determinada frequência e algumas regras de concordância tornam
este sistema frágil.
O segundo é conhecido atualmente como “quadrado de Polybius”, neste método
as letras do alfabeto eram distribuı́das em uma matriz quadrada de ordem 5 e seu valor
correspondente seria o número i · 10 + j, onde i é a linha e j é a coluna.
1 2 3 4 5
1 A B C D E
2 F G H I J
3 K L M N O
4 P Q R S T
5 U V W X Y/Z
Tabela 2.1: O quadrado de Polybius
Por exemplo se desejo escrever Isaac terei 2444111113.

A criptografia teve muita importância no decorrer da história humana.
Em 8 de fevereiro de 1587 era executada a rainha Maria Stuart da Escócia por
tramar a morte da rainha Elizabeth I da Inglaterra. A principal prova contra Maria era um
conjunto de cartas criptografadas interceptadas cujo conteúdo consistia num plano para
substituir Elizabeth por Maria. Nestas cartas continham a prova de que Maria estava
tramado a morte de Elizabeth, deste modo, Maria subiria ao trono já que era prima de
Elizabeth.
Durante a segunda guerra mundial a criptografia foi um dos principais fatores para
o desfecho. Quando a Inglaterra conseguiu decifrar os códigos produzidos pela máquina
Enigma dos Nazistas.
Podemos notar que a criptografia é tão antiga quanto a própria escrita. Entre-
tanto, só recentemente se tornou alvo de extenso estudo cientı́fico. Uma das grandes
motivações é a segurança de dados, como compras eletrônicas, assinatura digital de do-
cumentos, controle de acesso, transações de dinheiro eletrônico.
Um criptosistema moderno é uma coleção de cinco elementos (P, C, K, E, D) com
as seguintes propriedades:
21
P é um conjunto chamado de Espaço de texto comum. onde estão as informações
que podem ser lidas por todos, muitas vezes chamado de texto puro.
C é um conjunto chamado de Espaço de texto cifrado, onde estão todos os textos

criptografados.
K é um conjunto onde se encontram todas as chaves para codificar uma mensagem.
Devemos entender que “chave”neste texto é o nome dado ao objeto de codificação

e decodificação de um texto, nos métodos criptográficos recentes este objeto é um
número.
E= {Ek : k ∈ K} é uma famı́lia de funções Ek : P → C, cujos elementos são

chamados de funções de codificação criptográfica.
D = {Dk : k ∈ K} é uma famı́lia de funções Dk : C → P. Seus elementos são

funções de decodificação criptográfica.
Devemos perceber que as funções das famı́lias Ek e Dk são sobrejetivas, pois

todo texto P e C devem ser levados a algum elemento, para garantir a funcionalidade
do sistema. E certamente estas funções devem ser injetivas para evitar ambiguidade na
mensagem tornando o sistema criptográfico falho.
Observemos que a bijetividade das funções Ek e Dk nos garante que estas admitem
uma função inversa, no entanto estas inversas estão em conjuntos diferentes, ou seja, temos
que Ee ∈ E enquanto que a sua inversa Dd ∈ D. Em sı́mbolos ∀e ∈ K, ∃d ∈ K tal que
Dd (Ee (p)) = p para todo p ∈ P.
Notemos que os elementos dos conjuntos P e C são letras, então a primeira coisa
a fazer se desejarmos usar algum criptosistema numérico devemos converter a mensagem
em uma sequência de números. Suporemos, para simplificar, que a mensagem original é
um texto onde não haja números (caso tenha, basta escrevê-los usando o alfabeto e não
os algarismos), apenas palavras.
Na pré-codificação convertemos as letras em números usando a seguinte tabela
de conversão.
22
A B C D E F G H I J K L M
10 11 12 13 14 15 16 17 18 19 20 21 22
N O P Q R S T U V W X Y Z
23 24 25 26 27 28 29 30 31 32 33 34 35
Tabela 2.2: Pré Codificação de Textos
E o espaço entre duas palavras será substituı́do pelo número 99

Adotaremos aqui que cada letra corresponde a um número de dois algarismos,
afim de evitar ambiguidades. Podemos, agora, “escrever” numericamente uma mensagem
usando a tabela 2.2, por exemplo, pré-codificamos a mensagem “ teoria dos números” e
obtemos
29142427181099132428992302214272428
Se em um criptosistema a chave de codificação criptográfica e é sempre igual à

chave de decodificação criptográfica, então o criptosistema é chamado simétrico.
A principal vantagem é a simplicidade, esta técnica apresenta facilidade de uso
e rapidez para executar os processos criptográficos. Entenda que se as chaves utilizadas
forem complexas a elaboração de um algoritmo de chave privada se torna bastante fácil,
porém as possibilidades de interceptação são correlatas aos recursos empregados, entre-
tanto sua utilização é considerável no processo de proteção da informação, pois quanto
mais simples o algoritmo, melhor é a velocidade de processamento e facilidade de imple-
mentação.
Usuários de um sistema simétrico precisam trocar a chave secreta e antes de
começarem sua comunicação. A chave e precisa ser mantida secreta dado que qualquer um
que conheça e pode determinar a correspondente chave d de decodificação criptográfica.
Uma solução para problema de trocar a chave no sistema simétrico é o seguinte:
Seja R o remetente e D destinatário de uma mensagem secreta T P que será
enviada por um meio não seguro. O remetente R escolhe uma chave e1 e criptografa a
mensagem T P resultando em e1 (T P ) e envia para D, ao receber a mensagem e1 (T P ),
D escolhe uma outra chave e2 e criptografa a mensagem novamente resultando agora
em e2 (e1 (T P )) e retorna a mensagem para R. Desta vez R descriptografa a mensagem
usando a chave d1 do seguinte modo d1 (e2 (e1 (T P ))) = d1 (e1 (e2 (T P ))) = e2 (T P ) e retorna
a mensagem para D faltando agora apenas aplicar d2 e d2 (e2 (tp)) = tp.
Mas esta solução ainda contém dois problemas; o primeiro é que temos que enviar
23
a mensagem três vezes pelo canal de comunicação, que é um risco; e segundo, precisamos
que nosso criptosistema seja comutativo, ou seja, não importará a ordem que a mensagem
será criptografada e descriptografada. Estes dois problemas devem expor o sistema a
sérios riscos de se conhecer a chave secreta.
Os principais algoritmos criptográficos simétricos são:
AES
O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo
National Institute of Standards and Technology (NIST) em 2003.
DES
O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no
mundo, até a padronização do AES. Foi criado pela IBM em 1977.
3DES
O 3DES é uma simples variação do DES, utilizando-o em três ciframentos sucessivos.
IDEA
O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James
Massey e Xuejia Lai e possui patente da suı́ça ASCOM Systec.
Blowfish
Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segu-
rança ou desempenho através de chaves de tamanho variável. O autor aperfeiçoou
o no Twofish.
RC2
Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no
protocolo S/MIME, voltado para criptografia de e-mail corporativo.
CAST
É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e
Stafford Tavares.
Nos criptosistemas assimétricos, as chaves d e e são distintas e o cálculo de d

a partir de e é inviável. Em tais sistemas, a chave de codificação pode ser tornada
pública. Assim se eu desejar receber mensagens criptografadas, eu publico uma chave de
24
codificação criptográfica e e mantenho secreta a correspondente chave d de decodificação
criptográfica.
Este modelo de criptografia foi criado na década de 1970 - pelo matemático Clif-
ford Cocks que trabalhava no serviço secreto inglês, o GCHQ - Government Commu-
nications Headquarters- na qual cada parte envolvida na comunicação usa duas chaves
diferentes (assimétricas) e complementares, uma privada e outra pública.
A segurança deste modelo de criptografia é a dificuldade de obter e a partir de
d. Vejamos agora os exemplos mais conhecidos de criptosistemas assimétricos e no que se
baseia sua segurança.
RSA
O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores:
Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. Atu-
almente, é o algoritmo de chave pública mais amplamente utilizado, além de ser
uma das mais poderosas formas de criptografia de chave pública conhecidas até o
momento. A segurança do RSA consiste na facilidade de multiplicar dois números
primos para obter um terceiro número, mas muito difı́cil de recuperar os dois primos
a partir daquele terceiro número.
Diffie-Hellman
Baseado no problema do logaritmo discreto, é o criptosistema de chave pública mais
antigo ainda em uso. O conceito de chave pública, aliás foi introduzido pelos autores
deste criptosistema em 1976.
Curvas Elipticas
Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização
de curvas elı́pticas para sistemas criptográficos de chave pública. Eles não chegaram
a inventar um novo algoritmo criptográfico com curvas elı́pticas sobre corpos finitos,
mas implementaram algoritmos de chave pública já existentes, como o algoritmo de
Diffie-Hellman, usando curvas elı́pticas. Assim, os sistemas criptográficos de curvas
elı́pticas consistem em modificações de outros sistemas, que passam a trabalhar no
domı́nio das curvas elı́pticas, em vez de trabalharem no domı́nio dos corpos finitos.
ElGamal
Que é o principal objetivo. Cuja segurança também está baseada na dificuldade de
25
obter solução do problema do logaritmo discreto em grupo ciclı́co finito.
26
Capı́tulo 3
O Criptosistema de ElGamal
O ElGamal é um algoritmo de chave pública utilizado para gerenciamento de cha-

ves. Sua matemática difere da utilizada no RSA, mas também é um sistema comutativo.
O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Sua
segurança advém de algo denominado problema do logaritmo discreto. Assim, o ElGamal
obtém sua segurança na dificuldade de calcular logaritmos discretos em um grupo cı́clico
finito, o que lembra bastante o problema de escrever números inteiros em um produto de
fatores primos.
3.1 O Problema do Logaritmo Discreto

A segurança de várias técnicas criptográficas dependem da dificuldade de se obter
uma solução para o logaritmos discreto que definiremos agora.
Definição 20 (O problema do logaritmo discreto, PLD) Tome um primo p, um

gerador α de Z∗p , e um elemento β de Z∗p , encontrar um inteiro x tal que 0 ≤ x ≤ p − 2,
de modo que αx ≡ β (mod p)
A definição anterior por ser generalizada para um grupo cı́clico finito qualquer G
Definição 21 Tomemos um grupo cı́clico e finito G de ordem n, um gerador α de G e

um elementos de β ∈ G, encontrar um inteiro x, 0 ≤ x ≤ n − 1, de modo que αx = β
Apesar de ser intratável computacionalmente, o PLD tem algumas soluções que

apresentaremos no próximo capı́tulo.
27
Sem uma boa calculadora é muito difı́cil calcular a ordem de um número inteiro
módulo p, as raı́zes primitivas e mais ainda o logaritmos discreto, para auxiliar nesta
empreitada, uma poderosa ferramenta na resolução de alguns problemas é o software
Maple© um dos mais conhecidos no meio acadêmico.
3.2 Usando o MAPLE

Todos os cálculos apresentado para obter a ordem, a raiz primitiva, e até mesmo
o logaritmo discreto são simples porém, se desejarmos operar com valores muito altos não
será fácil.
Apresentamos uma ferramenta computacional para facilitar este processo.
O Maple é um software algébrico pago, desenvolvido inicialmente em 1981 na
universidade de Waterloo no Canadá. Todas os conceitos empregados aqui são obtidos
no manual fornecido em MapleSoft (2008). Existem inúmeros tutoriais disponı́veis na
internet.
Para efetuarmos as operações citadas anteriormente, primeiro devemos carregar
o pacote teoria dos números clicando em ferramentas → carregar pacotes → teoria dos
números.
Após carregado o pacote, podemos obter a ordem de um número usando o co-
mando: order(n,m) onde n é um inteiro qualquer e m é um inteiro positivo, de modo que
ni = 1 (mod m) caso queira saber a ordem de 30 módulo 999983 obteremos 999932. Caso
(m, n) 6= 1 o programa responderá a mensagem F AIL
Para calcularmos uma raiz primitiva de um número devemos, ainda com o pacote
carregado, inserir o comando primroot(n) e terá como resposta a menor raiz primitiva do
número n ou primroot(g,n) e terá como resposta a menor raiz primitiva módulo n maior
que g
E para obtermos o logaritmo discreto y da equação ay ≡ x (mod m) fornecemos
os dados no comando mlog(x,a,m), por exemplo se inserirmos mlog(963878,1002,999983)
teremos como resposta y = 452.
28
3.3 O processo de Codificação e Decodificação
Em cada etapa a seguir usaremos um exemplo para ilustrá-las. Posteriormente
este, apresentaremos um segundo exemplo mais amplo.
3.4 Criando uma chave

Deve-se, em primeiro lugar, escolher um número primo aleatório p em seguida
cálcula-se uma raiz primitiva g de p e depois deve-se escolher um número x aleatório com
x < p. Calcula-se
y ≡ gx (mod p)
A chave pública será [y, g, p], e a chave particular será o número x. Para garantir
a segurança do algoritmo, todos os números apresentados devem ter no mı́nimo 100 casas
decimais pois, a segurança do sistema esta relaciona à quantidade de algarismos dos
números.
Exemplo 21
Tomemos o número 10007 vamos verificar se este número é primo. Existem inúmeros
teste de primalidade de um inteiro, usaremos o método chamado de Crivo de Erastótenes,
por ser o mais simples e mais acessı́vel a iniciantes em teoria dos números.
√
Sabemos que 10007 ∼ = 100 e o conjunto dos primos p menores que 100 é
{2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97} vamos começar
os testes:
10007 = 244 · 41 + 3 ⇒ 41 6 |10007

10007 = 5003 · 2 + 1 ⇒ 2 6 |10007
10007 = 232 · 43 + 31 ⇒ 43 6 |10007
10007 = 3335 · 3 + 2 ⇒ 3 6 |10007
10007 = 212 · 47 + 43 ⇒ 47 6 |10007
10007 = 2001 · 5 + 2 ⇒ 5 6 |10007
10007 = 188 · 53 + 43 ⇒ 53 6 |10007
10007 = 1429 · 7 + 4 ⇒ 7 6 |10007
10007 = 169 · 59 + 36 ⇒ 59 6 |10007
10007 = 909 · 11 + 8 ⇒ 11 6 |10007
10007 = 164 · 61 + 3 ⇒ 61 6 |10007
10007 = 769 · 13 + 10 ⇒ 13 6 |10007
10007 = 149 · 67 + 24 ⇒ 67 6 |10007
10007 = 588 · 17 + 11 ⇒ 17 6 |10007
10007 = 140 · 71 + 67 ⇒ 71 6 |10007
10007 = 526 · 19 + 13 ⇒ 19 6 |10007
10007 = 137 · 73 + 6 ⇒ 73 6 |10007
10007 = 435 · 23 + 2 ⇒ 23 6 |10007
10007 = 126 · 79 + 53 ⇒ 79 6 |10007
10007 = 345 · 29 + 2 ⇒ 29 6 |10007
10007 = 120 · 83 + 47 ⇒ 83 6 |10007
10007 = 322 · 31 + 25 ⇒ 31 6 |10007
10007 = 112 · 89 + 39 ⇒ 89 6 |10007
10007 = 270 · 37 + 17 ⇒ 37 6 |10007
10007 = 103 · 97 + 16 ⇒ 97 6 |10007
29
Concluı́mos que 10007 é primo. Devemos agora obter uma raiz primitiva de
p = 10007, o faremos por tentativa e erros, no entanto é necessário ter em mente o
corolário 13.
Tentaremos inicialmente 2, calculamos φ(10007) = 10006 pelo corolário 13 sabe-
mos que os candidatos a ord10007 2 são os divisores de φ(10007) que são {1, 2, 5003, 10006}.
Calculando temos 21 ≡ 2 6≡ 1 (mod 10007), 22 ≡ 4 6≡ 1 (mod 10007), 25003 ≡ 1
(mod 10007) como ord10007 2 = 5003 6= 10006 = φ(10007) concluı́mos que 2 não é uma
raiz primitiva módulo 10007
Tentaremos agora 5, 51 ≡ 5 6≡ 1 (mod 10007), 52 ≡ 25 6≡ 1 (mod 10007),
55003 ≡ −1 (mod 10007) e 510006 ≡ 1 (mod 10007) como ord10007 5 = 10006 = φ(10007)
concluı́mos que 5 é uma raiz primitiva módulo 10007.
Basta agora escolher um número inteiro, digamos x = 1000, e calcularmos
y ≡ 51000 (mod 10007) ou seja y ≡ ((510 )10 )10 ≡ ((8800)10 )10 ≡ 823010 ≡ 5801 (mod 10007)
Logo temos a chave pública [5801, 5, 10007] e a chave privada x = 1000
3.5 Codificando uma Mensagem

Queremos criptografar a mensagem tp. Primeiro escolhe-se um número k com
0 ≤ k ≤ p − 2, tal que (k, p − 1) = 1. Então calculamos,
a ≡ gk (mod p)
b ≡ (tp · y k ) (mod p)
Então o texto criptografado será [a, b].
Exemplo 22
Vamos criptografar tp = 1516 com a chave pública [5801, 5, 10007]. Escolhemos

um número k = 30 então:
a ≡ 530 ≡ 3290 (mod 10007)

b ≡ (1516 · 580130 ) ≡ 4528 (mod 10007)
Assim o texto criptografado será [3290, 4528]
30
3.6 Decodificando a Mensagem
Agora para o receptor decodificar a mensagem ele toma o valor a e calcula
x
ξ ≡ a−1 (mod p)
e usará o resultado para calcular
tp ≡ (b · ξ) (mod p).
Exemplo 23
1000
Tomemos a chave privada x = 1000 e calcularmos ξ ≡ 3290−1 (mod 10007),
que faremos por partes. Um processo simples para obtermos o inverso 3290−1 módulo
10007 é resolver a congruência 3290 · a−1 ≡ 1 (mod 10007) que é o mesmo que resolver
a equação diofantina 3267 · a−1 − 10007 · z = 1, pelo algoritmo de Euclides estendido
teremos 1 = 3290 · 5040 − 10007 · 1657, ou seja, a−1 = 5040. Agora ξ ≡ 50401000 ≡ 5437
(mod 10007)
Teremos o texto puro será tp ≡ (4528 · 5437) (mod 10007) que será tp ≡ 1516
(mod 10007) retomando o texto original.
3.7 Exemplo Completo

Para ilustrar este fato, criaremos uma situação onde Jhon e Isaac desejam inter-
cambiar uma mensagem secreta por um meio inseguro. Vamos supor que a mensagem
seja tp = 251018.
Jhon escolhe os números p = 999983 g = 48732 e x = 532 e calcula
y ≡ 48732532 (mod 999983)
obtendo y = 532760 e divulga [532760, 48732, 999983]

Quando Isaac recebe a chave pública e escolhe k = 997, pois (997, φ(999983)) = 1
calcula
a ≡ 48732997 (mod 999983) e b ≡ 251018 · 532760997 (mod 999983)
31
obtendo a mensagem cifrada [831610, 658822], agora basta envia-la para Jhon.
Jhon recebe a mensagem enviada por Isaac e deseja decifrá-la, para tanto calcula
−1
ξ ≡ 831610532 (mod 999983)
obtendo ξ = 933484 e posteriormente calcula
tp ≡ 658822 · 933484 (mod 999983)
Chegando a tp = 251018 que realmente é a mensagem enviada por Isaac.

Em 1977 os criadores do RSA lançaram o desafio intitulado RSA-129, que con-
sistia em decifrar uma mensagem criptografada pelo método RSA com uma chave de 129
bits. Esse problema foi resolvido em 1993 por uma rede de 600 computadores coordena-
dos por Derek Atkins, Michael Graff, Arjen Lenstra e Paul Leyland cuja solução é “The
Magic Words are Squeamish Ossifrage”.
Em homenagem a este problema codificaremos “The Magic Words are Squea-
mish Ossifrage”pelo sistema criptográfico de ElGamal usando a chave pública [y, g, p] =
[15, 5, 227].
[5, 208] [125, 171] [174, 159] [35, 86] [125, 154] [174, 52]
[17, 7] [37, 149] [125, 175] [174, 78] [37, 165] [17, 169]
[128, 68] [17, 130] [37, 165] [17, 182] [174, 91] [37, 58]
[17, 182] [125, 154] [174, 185] [37, 110] [17, 137] [174, 112]
[198, 57] [37, 45] [198, 180] [125, 141] [5, 225] [198, 206]
[174, 156] [17, 208] [125, 134]
Tabela 3.1: Texto Criptografado
3.8 Resolvendo o PLD

Uma pergunta razoável é “Por que o criptosistema funciona?”. A resposta para
essa pergunta se dá em duas partes: A primeira diz respeito ao protocolo. Notemos que
32
b · ξ ⇒ (tp · y k ) · a−x (mod p)
⇒ tp · y k · (g k )−x (mod p)
⇒ tp · y k · y −k (mod p)
⇒ tp (mod p)
⇒ tp
o que garante que o protocolo funciona.

A segunda diz respeito à segurança. Ainda não existe um algoritmo eficiente para
resolver o problema do logaritmo discreto, apesar disto, apresentaremos alguns esquema
para obter o logaritmo discreto.
O primeiro e mais obvio método para solucionar o PLD é através da procura
exaustiva na sequência αx1 ≡ β1 (mod p), αx2 ≡ β2 (mod p), αx3 ≡ β3 (mod p), até
encontrar um βj = β obtendo a chave secreta. É notório que este esquema não é eficiente,
principalmente se tratando de criptografia onde a ordem de Zp é gigantesca.
O segundo método é conhecido como Baby-Step Giant-Step Menezes et al. (1996),
que funciona assim:
Estamos interessados em obter
logr a (mod p) ou rx ≡ a (mod p) (3.1)
p p
Tomemos m como sendo o maior inteiro mais próximo de ordp r = p − 1.
Em seguida devemos observar que pelo algoritmo de Euclides temos x = im + j
com i, j ∈ N e 0 ≤ j < m e substituindo em 3.1 teremos
rim+j ≡ a (mod m) ⇔
rim · rj ≡ a (mod m) ⇔
rj ≡ a · (rim )−1 (mod m) ⇔
que, implica em
33
m i
a· r−1 ≡ rj (mod m) (3.2)
Agora basta variar o valor de i até encontrar o valor de 0 ≤ j < m, recomenda-se

construir uma tabela com os valores de j e rj (mod p).
Por exemplo. Estamos interessado em calcular 15x ≡ 54 (mod 157)
Notemos que p = 157 é primo e 15 é uma raiz primitiva de 157 então ord157 15 =
l√ m
φ(157) = 156 logo m = 156 = 13 então
x = 13i + j (3.3)
e substituindo em 3.2 obtemos
13 i
15j = 54 15−1 (3.4)
realizando alguns cálculos temos que 15−1 ≡ 21 (mod 157) e 2113 ≡ 22 (mod 157),
trocando estas informações em 3.4 encontramos
15j = 54 · 22i (mod 157) (3.5)
Como nossa solução será alguma potência de 15 módulo 157 é interessante cons-
truir uma tabela com os possı́veis valores para estas potências. Como em 3.3 usamos o
algoritmo de Euclides então 0 ≤ j < 13
j 0 1 2 3 4 5 6 7 8 9 10 11 12
15j 1 15 68 78 71 123 118 43 17 98 57 70 108
Tabela 3.2:
Agora que tenho as possı́veis respostas basta variar o valor de 0 ≤ i < ∞ até
encontrar algum valor na tabela 3.2.
Iniciamos nossa busca, construindo uma nova tabela.
Para i = 0 temos
i 0
54 · 22i (mod 157) 54
Como 54 não consta na tabela 3.2 faremos o mesmo cálculo para i = 1
34
i 0 1
54 · 22i (mod 157) 54 89
Como 89 não consta na tabela 3.2 faremos o mesmo cálculo para i = 2, e assim
por diante, até encontrarmos algum número que conste na tabela 3.2
i 0 1 2 3 4 5 6 7
54 · 22i (mod 157) 54 89 74 58 20 126 103 68
Por fim encontramos um número, neste caso, i = 7 que consta na tabela 3.2 que
ocorre quando j = 2 pela equação 3.3 temos que x = 13 · 7 + 2 = 93 portanto
1593 ≡ 54 (mod 157)
Apesar do método baby-step Giant-step ser simples ele não é eficiente,pois a

procura para o valor de i para chave pública muito grande será exaustiva. Caso i seja
pequeno podemos obter a chave privada com facilidade que afetará a segurança do sistema.
Caso o leitor esteja interessado existem mais métodos para encontrar o logaritmo
discreto e podem ser encontrados em Menezes et al. (1996) e em ElGamal (1984).
3.9 Assinaturas Digitais

Assinatura digital é um par de números naturais (γ, s) que devem ser adicionados
ao texto cifrado de modo que apenas o emissor da mensagem pode obtê-la. Esse par de
número deve ser verificável sem a necessidade de saber o teor da mensagem, visto que em
caso de desacordo entre as partes com relação ao texto da mensagem, uma terceira pessoa
possa verificar a autoria da mensagem.
Assinaturas digitais têm muitas aplicações em segurança da informação, incluindo
autenticação e integridade de dados. Uma das aplicações mais importantes de assinatura
digital é a certificação de chaves públicas em grandes redes.
O conceito e utilidade de uma assinatura digital foram reconhecidos vários anos
antes que qualquer aplicação prática deste conceito estivesse disponı́vel. O primeiro
método descoberto foi o esquema de assinatura RSA, que permanece até hoje como uma
das técnicas mais práticas e versáteis disponı́veis.
35
3.9.1 Assinando uma Mensagem com ElGamal
Trataremos agora sobre assinaturas digitais pelo criptosistema de ElGamal. Su-

ponha que uma pessoa deseja assinar uma mensagem usando o criptosistema de ElGamal
e que também que essa pessoa tenha a chave pública [y, g, p] e a chave privada x de modo
que y ≡ g x (mod p).
Para assinar a mensagem tp, essa pessoa com a chave privada x fará o seguinte:
(i) Primeiro selecionará um inteiro k coprimo com p − 1, ou seja (k, p − 1) = 1, o que
garante a existência do inverso de k módulo p − 1;
(ii) em seguida calcula γ tal que γ ≡ g k (mod p) com 0 ≤ γ ≤ p − 1;
(iii) s ≡ (tp − x · γ)k −1 (mod p − 1), com 0 ≤ s ≤ p − 2;
(iv) A assinatura na mensagem será o par (γ, s) que será anexado ao texto tp.
3.9.2 Verificando a Assinatura
O sistema de criação de assinatura digital só terá efeito se a assinatura for ve-
rificável. Para verificar se a assinatura na mensagem tp é autêntica, devemos tomar a
chave pública [y, g, p] e a assinatura (γ, s) e calcular os verificadores V1 e V2 os quais não
dependem da chave privada:
V1 ≡ γ s y γ (mod p), 0 ≤ V1 ≤ p − 1
e
V2 ≡ g tp (mod p), 0 ≤ V2 ≤ p − 1.
Para que a assinatura seja verdadeira devemos obter V1 ≡ V2 (mod p), ou seja:
V1 ≡ γ s y γ (mod p)
−1
≡ γ (tp−x·γ)k y γ (mod p)
−1 tp−x·γ
≡ γk y γ (mod p)
≡ g tp−x·γ y γ (mod p)
x·γ −1
≡ g tp (g ) yγ (mod p)
≡ g tp (y γ )−1 y γ (mod p)
≡ g tp (mod p)
≡ V2 (mod p)
36
3.9.3 Segurança da Assinatura
Jamais podemos escolher o mesmo k para duas assinaturas diferentes. Se to-

marmos o mesmo valor de k para duas assinaturas (γ1 , s1 ) e (γ2 , s2 ), este valor pode ser
encontrado. De fato,para o mesmo k terı́amos duas assinaturas
s1 ≡ k −1 (tp1 − xγ) (mod p − 1)
e
s2 ≡ k −1 (tp2 − xγ) (mod p − 1),
multiplicando as duas congruências por k teremos
s1 k ≡ (tp1 − xγ) (mod p − 1)
e
s2 k ≡ (tp2 − xγ) (mod p − 1),
subtraindo as duas congruências teremos
k(s1 − s2 ) ≡ tp1 − tp2 (mod p − 1)
e finalizando, podemos calcular
k ≡ (tp1 − tp2 )(s1 − s2 )−1 (mod p − 1).
Uma vez conhecendo o valor de k em mãos temos
s1 ≡ k −1 (tp1 − xγ) (mod p − 1)
s1 k ≡ tp1 − xγ (mod p − 1)
xγ ≡ tp1 − s1 k (mod p − 1)
x ≡ γ −1 (tp1 − s1 k) (mod p − 1)
obtenmos a chave privada, colocando todo o processo em risco.
37
Caso alguém tente forjar uma assinatura na mensagem tp escolhendo um k e
usando a chave pública para calcular γ ≡ g k (mod p). Mas para calcular
s = (P − xγ)k −1 (mod p − 1)
seria necessário conhecer a chave privada x.
3.9.4 Exemplos
Exemplo 24 Queremos assinar o texto tp = 10 usando o criptosistema de ElGamal, com

as chaves pública [y, g, p] = [11, 2, 13] e a chave privada x = 7.
Para assinar este texto primeiro devemos escolher aleatoriamente um k = 5, mas

este k não pode ser qualquer número, este k deve ser maior que zero e menor que φ(13)
e coprimo com φ(13). Notemos que 5−1 ≡ 8 (mod 13)
Agora para obtermos a assinatura calculamos
γ ≡ 25 (mod 13)
facilmente chegamos a γ = 6 e
s ≡ (10 − 7 · 6) · 8 mod 12
obtendo s = 8 assim a nossa assinatura será o par (6, 8) e o texto será P = 10

Podemos verificar a validade da assinatura calculando
V1 ≡ 116 · 68 (mod 13)
o que implica que V1 = 10 e

V2 ≡ 210 (mod 13)
e resultando em V2 = 10 a assinatura é verdadeira devido o fato de V1 = V2 .
Exemplo 25
Assinaremos agora o texto cifrado no exemplo 21.
38
Temos como texto criptografado tc = [3290, 4528] então assinaremos cada um
individualmente com a chave pública [y, g, p] = [5801, 5, 10007] e a chave privada x = 1000.
Para assinarmos 3290 usaremos k = 197, calculemos
γ ≡ 5197 (mod 10007)
que resulta em
γ ≡ 5488 (mod 10007)
e calculando s:
s ≡ (3290 − 1000 · 5488) · 197−1 (mod 1006).
s ≡ 2380 (mod 10006);
portanto para o texto 3290 temos a assinatura [5488, 2380].

Agora assinando o texto 4528 escolhemos k = 167 então
γ ≡ 5167 ≡ 172 (mod 10007)
e
s ≡ (4528 − 1000 · 172) · 167−1 ≡ 9842 (mod 10006)
assim a assinatura para o texto 4528 é o par [172, 9842].

Quando enviarmos os texto criptografado tc = [3290, 4528] devemos enviar junto
as respectivas assinaturas digitais [5488, 2380] e [172, 9842]
Para verificarmos a confiabilidade da origem da mensagem que recebemos deve-
mos verificar a assinatura antes de decodificar a mensagem. Verificando
V1 ≡ 54882380 · 58015488 ≡ 6809 (mod 10007)
e
V2 ≡ 53290 ≡ 6809 (mod 10007)
V1 ≡ 1729842 · 5801172 ≡ 4420 (mod 10007)
39
e
V2 ≡ 53290 ≡ 4420 (mod 10007)
concluı́mos que a origem da mensagem é confiável.
Exemplo 26
Assinar a mensagem tp = 3517 usando a chave pública [y, g, p] = [18, 5, 37] e a chave
particular x = 7
Como o texto tp é maior que o primo p = 37 devemos inicialmente “quebrar”o
texto em textos menores que p. Agindo deste forma teremos tp1 = 35 e tp2 = 17.
Inicialmente estaremos assinando o texto tp1 escolhendo k = 5, calculando o valor de γ
temos
γ ≡ 55 ≡ 17 (mod 37)
e calculando
s ≡ (35 − 7 · 17)29 (mod 36)
ou seja
s ≡ 12 (mod 36).
Portanto a assinatura do texto tp1 = 35 é o par
(γ, s) = (17, 2).
Agora faremos o mesmo processo para assinar tp2 = 17 escolhemos k = 11,

calculando o γ chegamos em
γ ≡ 511 ≡ 2 (mod 37)
e calculando o s temos
s ≡ (35 − 7 · 2)23 (mod 36)
ou seja
s ≡ 15 (mod 36).
Então a assinatura do texto tp2 = 17 será (γ, s) = (2, 15).
40
Capı́tulo 4
Criptografia Na Sala da Aula
O nosso objetivo neste capı́tulo é dar um proposta de inserção de criptografia no

ensino regular de matemática. Primeiro daremos algumas atividades lúdicas e em seguida
apresentaremos uma sequência didática para o sistema ElGamal.
4.1 A Esteganografia
Sabemos que esteganografia (do grego “escrita escondida”) é o estudo e uso das
técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras,
esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma
escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido.
Esta técnica é mais aconselhada para os aluno do inicio de ensino médio, cujo
conhecimento em matemática não está preparado para cálculos avançados.
Um dos exemplos mais conhecido de esteganografia é a inserção de uma sı́laba
entre as sı́labas da palavra que desejamos transmitir. Por exemplo: fixamos como sı́laba
PE como a sı́laba de codificação, então se desejo transmitir a palavra MATEMÁTICA,
devo transmitir o código MAPETEPEMÁPETIPECA
Outro método que podemos usar é transformar o alfabeto em outros sı́mbolos,
vejamos um exemplo na figura 4.1
41
Figura 4.1: Chave Criptográfica
Neste modelo, cada letra será representada pela figura que a circunda com por
exemplo:
4.2 Construindo um Disco Criptográfico

O disco criptográfico é uma ferramenta para auxiliar no método criptografia de
César dado no primeiro capı́tulo deste trabalhos.
Os materiais necessários são:
duas folhas A4 ou papel cartão ou cartolina;
uma régua;
um esquadro;
um compasso;
uma tesoura e
um prendedor de saco plástico em pastas tipo ficheiro
Usando compasso construa dois cı́rculos concêntricos, em seguida construa um

novo cı́rculo de mesmo raio do menor. Usando construção geométrica1 divida estes cı́rculos
em 27 partes iguais e trace raios ligando essas partes ao centro.
Em cada parte escreva uma letra do alfabeto. Em seguida faça um furo no centro
de cada circunferência pequeno o suficiente para passar o prendedor sem folga.
1
Este tema não é contemplado neste trabalho, na internet existem vários vı́deos de como se fazer esta
construção, mas preferimos a referência Wagner (2009)
42
Agora já esta pronto o disco criptográfico, basta usá-lo como indicado no capı́tulo
1
.
4.3 Construindo um cilindro de Thomas Jefferson

Este é um método criptográfico criado por Tomas Jefferson, que foi o terceiro
presidente dos Estados Unidos e também inventor. Para construirmos uma réplica preci-
saremos de:
Folhas de papel A4
No máximo 27 copos descartáveis de mesmo tamanho;
tesoura;
cola branca;
régua;
caneta;
caneta para cd.
É incrivelmente simples confeccionar este cilindro. Primeiro use uma folha de A4

e corte um tira de 1 cm de largura e de comprimento total da folha em seguida enrole
esta o mais próximo da boca do copo possı́vel e retire o excesso; agora você tem uma tira
de papel de comprimento igual ao comprimento do circulo que forma boca deste copo.
Agora você deve desenhar 27 retângulos iguais de modo a não faltar nem sobrar
tira de papel neste processo, são nestes retângulos você deve escrever o alfabeto de forma
mais aleatória possı́vel, recomendo fazer um sorteio de cada letra. Faça 27 tiras exata-
mente iguais a primeira, porém o alfabeto deve estar em ordem diferente. Quando as tira
de papel estiverem prontas cole uma em cada copo, desta forma teremos 27 copos cada
um com um alfabeto aleatório colado.
Use a caneta para cd para numerar os copos de preferência no fundo e também
use números aleatórios.
43
Para criptografar mensagem devemos colocar os copos um dentro do outro de
forma que as tiras de papel se encaixem sem nenhuma sobrepor outra.
Se desejarmos criptografar a palavras Escola, escolhemos 6 copos, digamos os
copos c1 , c2 , c3 , c4 , c5 , c6 e giramos estes copos de modo a escreve a palavra Escola daı́
escolhemos uma das outras 26 palavras possı́veis para se formar com 6 letras do alfabeto
nas ordens dos copos escolhidos, suponha que tenha escolhido a palavra composta pelas
letras L1 , L2 , L3 , L4 , L5 , L6 , então a palavra Escola será o par
[L1 L2 L3 L4 L5 L6 , c1 − c2 − c3 − c4 − c5 − c6 ]
4.4 Criptografia e Funções Bijetivas

Um poderoso método para apresentação da criptografia como ramo da matemática
para os leigos é a função afim. A vantagem da função afim em relação as demais é o fato
de ser de fácil manipulação e principalmente por ser bijetiva em todo o seu domı́nio.
Exemplo 27
Separamos os alunos em duplas e em seguida pedimos para escolherem uma função afim
qualquer, digamos y = 2x + 3.
Um dos alunos escolhe um mensagem e a pré-codifica usando a tabela 1.1, su-
ponhamos que a mensagem seja 17241914 291422 10302110 ao passar cada número pelo
processo criptográfico o aluno terá 34483831 582847 20604223 que é uma mensagem crip-
tografada. O outro aluno da dupla que queira decodificar a mensagem calcula a inversa da
y−3
função criptográfica, neste caso x = e efetua o cálculo
2
34483831 − 3 582847 − 3 20604223 − 3
resultando 17241914 291422 10302110 que é a
2 2 2
mensagem “hoje tem aula”.
Este é um exemplo de criptografia onde se criptografa toda a palavra, no entanto
podemos criptografar letra por letra. Pode ser mais demorado para efetuar os cálculos,
porém é muito mais vantajoso quanto a gama de escolhas de funções criptográficas.
Podemos criptografar a mensagem
17 − 24 − 19 − 14 − 99 − 29 − 14 − 22 − 99 − 10 − 30 − 21 − 10
44
substituindo os espaços por 99 usando uma função de duas sentenças

2x − 24, se x ≥ 22

y=
x − 2, se x < 22

Resultando na mensagem criptografada 15 − 24 − 17 − 12 − 174 − 34 − 12 − 20 −

174 − 8 − 36 − 19 − 8.
E para descriptografar esta mensagem basta usar a sua inversa, que é dada por

 y + 24 , se x ≤ 20

x= 2
y + 2, se x > 20

Exemplo 28
Outra forma de estabelecer uma função criptográfica é através de funções do segundo

grau, como a função y = x2 + 5x − 50, é do conhecimento de todos que esta função não
é bijetiva, mas se restringirmos seu domı́nio ao conjunto D = {x ∈ N; 10 ≤ x ≤ 99} esta
função passa a ser bijetiva. Portanto devemos tomar muito cuidado ao escolhermos essa
função do segundo grau.
Criptografando a mesma mensagem do exemplo anterior temos,
324 − 646 − 406 − 216 − 10246 − 936 − 216 − 544 − 10246 − 100 − 1000 − 496 − 100
E para decodificar a mensagem acima basta usar a inversa

p
−5 + 25 + 4 · (50 + y)
x=
2
45
Capı́tulo 5
ElGamal Em Sala de Aula
Após a motivação dada pelo capı́tulo anterior poderemos apresentar um sistema

muito mais forte de criptografia porém menos acessı́vel aos alunos do ensino médio.
Faremos um roteiro de como deve ser esta apresentação, tentaremos fornecer o
máximo de exemplos e detalhes possı́vel.
5.1 Trabalhando com a função φ de Euler

O funcionamento da função φ depende do conceito de máximo divisor comum,
doravante MDC, que definimos agora.
Definição 22 : Máximo divisor comum de dois números inteiros a e b é o maior inteiro

m que divide esses dois números. Neste caso escrevemos m = M DC(a, b) = (a, b).
Pela definição 22 podemos dizer que m = (a, b) quando m satisfas as seguintes

condições:
i) m|a e m|b
ii) se existe um inteiro c de modo que c|a e c|b então c|m
Exemplo 29
Qual é o MDC(12,18)=?
Para resolver este problema devemos elencar o conjunto dos divisores de 12 e de
18 e são eles D(12) = {1, 2, 3, 4, 6, 12} e D(18) = {1, 2, 3, 6, 9, 18} e os divisores comuns
são os números {1, 2, 3, 6} e o maior deles é 6 consequentemente M DC(12, 18) = 6
46
Sabemos que este processo pode ser exaustivo, então daremos um outro método:
12, 18 2 ← Escolhemos um número primo que divida ambos os números
6, 9 3 ← repetimos o processo acima
2, 3 1 ← paramos quando somente o número 1 os divide
então o M DC(12, 18) = 2 · 3 · 1 = 6
Exemplo 30
Obter M DC(75, 105)

75, 105 5
15, 21 3
5, 7 1
concluı́mos que M DC(75, 105) = 5 · 3 · 1 = 15
Exemplo 31
Calcular M DC(462, 1155)

Repetindo o processo
462, 1155 3
154, 385 7
22, 55 11
2, 5 1
Portanto M DC(462, 1155) = 3 · 7 · 11 · 1 = 231
Agora que já estamos com ideia de máximo divisor comum estabelecido podemos
passar para a próxima definição.
Definição 23 Chamamos de coprimos os números a e b tal que M DC(a, b) = 1
Exemplo 32
Podemos afirmar que 10 e 12 são coprimos?

A resposta para essa pergunta é não, pois
10, 12 2
5, 6 1
concluı́mos que M DC(10, 12) = 2 · 1 = 2 e diferente de 1 que fere a definição de
números coprimos.
47
Exemplo 33
Os números 21 e 20 são coprimos?

Notemos que os divisores de 21 são D(21) = {1, 3, 7, 21} e de 20 são D(20) =
{1, 2, 4, 5, 10, 20} e o único elemento em comum neste conjuntos é o número 1 então
M DC(21, 20) = 1, então a resposta para a pergunta é sim. Os números 21 e 20 são
coprimos.
Definição 24 Dado um número natural n definiremos como φ(n) como sendo a quanti-
dade de números naturais k menores que n e coprimos com n
Existem dois métodos para se calcular o valor de φ(n) dado um natural n qual-
quer. O primeiro é fazer uma lista com todos os números menores que n e tirar da lista
os não coprimos e em seguida contar os que sobraram então φ(n) será esta quantidade.
É obvio que este método não é eficiente quando se trata de números muito grande.
O segundo método é mais eficiente e já conhecemos pelo teorema 9.
Exemplo 34
Calcular φ(19).
Notemos que 19 é primo, concluı́mos que φ(19) = 19 − 1 = 18 Para facilitar a
verificação dos próximos exemplos ampliaremos a tabela 1.1.
n 1 2 3 4 5 6 7 8 9
φ(n) 1 1 2 2 4 2 6 4 6
n 10 11 12 13 14 15 16 17 18 19
φ(n) 4 10 4 12 6 8 8 16 6 18
n 20 21 22 23 24 25 26 27 28 29 30
φ(n) 8 12 10 22 8 20 12 18 12 28 8
5.2 Definindo ordem de um número

Para termos noção de ordem de um número é preciso antes ter noção de con-
gruência, que daremos na próxima definição.
48
Definição 25 Dados os números inteiros a, b e m a única restrição para estes números
é m > 1. Dizemos que a é congruente a b módulo m, em sı́mbolos a ≡ b (mod m), se e
somente se b − a for divisı́vel por m.
Apesar de parecer ser de difı́cil compreensão, congruência é um dos tópicos mais

simples da matemática e também um dos mais fecundos. Para avaliarmos que dois
números são ou não congruentes módulo determinado número, basta verificar se a di-
ferença destes números é divisı́vel pelo terceiro.
Exemplo 35
Vamos verificar se 35 é congruente a 8 módulo 2

Notemos que 35 − 8 = 27 com 27 não é divisı́vel por 2 concluı́mos que 35 não é
congruente a 8 módulo 2, em sı́mbolos 35 6≡ 8 (mod 2)
Exemplo 36
Verificar se 45 é congruente a 6 módulo 3

Temos que 45 − 6 = 39 e 39 é divisı́vel por 3 então 45 é congruente 6 módulo 3,
em sı́mbolos 45 ≡ 6 (mod 3)
Nem sempre é possı́vel observar esta congruência apenas com uma subtração, nes-
tes caos, precisamos de algumas propriedades para facilitar este cálculo, estas propriedades
já foram mencionadas e provadas neste trabalho, mais especificamente na proposição 2
Segue um exemplo de como trabalhar com estas propriedades
Exemplo 37
2100 é congruente a quanto módulo 10?

Mesmo com uma boa calculadora é quase impossı́vel saber esta resposta usando
apenas uma subtração. Portanto devemos usar as propriedades. Sabemos que 24 = 16 e
que é fácil ver que 16 ≡ 6 (mod 10), devemos perceber agora que 65 = 7776 ou seja 65 ≡ 6
(mod 10) então (24 )5 ≡ 65 ≡ 6 (mod 10) e com (24 )5 = 220 temos 220 ≡ 6 (mod 10),
como nosso objetivo não foi alcançado devemos continuar o processo, (220 )5 ≡ 65 ≡ 6
(mod 10) ou seja 2100 ≡ 6 (mod 10).
Definição 26 Ordem de a módulo n é o menor número x que satisfaça a congruência

ax ≡ 1 (mod m) e M DC(a, m) = 1.
49
Para encontrar a ordem de um número módulo m basta testar todos os divisores
de φ(m).
Exemplo 38
Determinar a ordem de 5 módulo 19

Sabemos pelo exemplo 34 que φ(19) = 18 e os divisores de 18 são {1, 2, 3, 6, 9, 18},
agora basta testa cada um dos divisores de 18 na congruência 5x ≡ 1 (mod 19)
51 ≡ 5 (mod 19), 52 ≡ 6 (mod 19), 53 ≡ 11 (mod 19) 56 ≡ 7 (mod 19) 59 ≡ 1
(mod 19) concluimos que a ordem de 5 módulo 19 é 9. Simbolicamente ord19 5 = 9
Exemplo 39
Vamos determinar ord11 2

Antes de iniciarmos devemos calcular o valor de φ(11) que é dado por φ(11) =
11 − 1 = 10. Agora devemos encontrar os divisores de 10 que são {1, 2, 5, 10}, falta apenas
testar os divisores na congruência 2x ≡ 1 (mod 11) o primeiro que cumprir será a ordem.
21 ≡ 2 (mod 11), 22 ≡ 4 (mod 11), 25 ≡ 10 (mod 11) e 210 ≡ 1 (mod 11)
então concluı́mos que ord11 2 = 10
Exemplo 40
Obter ord13 6
Sabemos que φ(13) = 13 − 1 = 12 e os divisores de 12 são {1, 2, 3, 4, 6, 12} então
61 ≡ 6 (mod 13), 62 ≡ 10 (mod 13), 63 ≡ 8 (mod 13), 64 ≡ 9 (mod 13),
66 ≡ 12 (mod 13) e 612 ≡ 1 (mod 13) Portanto ord13 6 = 12
5.3 Definindo raiz primitiva

Definição 27 Dizemos que r é uma raiz primitiva de um número inteiro m com M DC(r, m) =
1 quando ordm r = φ(m).
Exemplo 41
Pelos exemplos 39 e 40 concluı́mos: 6 é uma raiz primitiva de 13 e que 2 é uma

raiz primitiva de 11
Exemplo 42
Pelo exemplo 38 podemos concluir que 5 não é uma raiz primitiva de 19.
50
5.4 Definindo o criptosistema
Como apresentado em todo esse trabalho, o criptosistema de ElGamal é muito
eficiente, tentaremos agora transpor esta ideia para o ensino médio.
Para criptografar uma mensagem devemos primeiro criar uma chave pública que
será divulgada, para que qualquer pessoa possa me enviar uma mensagem criptografada.
Para isso eu devo escolher um número primo p, um número natural x qualquer menor que
esse primo e encontra uma raiz primitiva g deste primo, em seguida calculamos y ≡ g x
(mod m). A chave pública será o trio [y, g, p] e a chave secreta será o número x
Exemplo 43
Crie uma chave pública e um chave privada no sistema criptográfico de ElGamal usando
o primo p = 37 e a raiz primitiva g = 5
Como já temos o primo p = 37 e a raiz primitiva g = 5, então agora falta apenas
escolher um número para ser a chave privada e calcularmos a chave pública. Escolhemos
o números x = 6, notemos que apesar de x = 6 ser um número pequeno os cálculos se
tornam complicados e é neste empecilho que se garante a segurança do criptosistema.
Vamos aos cálculos:
53 ≡ 14 (mod 37)
56 ≡ (53 )2 ≡ 142 ≡ 11 (mod 37).
Assim construı́mos a chave pública [11, 5, 37] para a chave privada x = 6

Este exemplo é muito rico, pois ele nos mostra que mesmo dado um número primo
e uma raiz primitiva, a chave pública e a chave privada não são únicas, portanto uma sala
pode ter o mesmo número primo e a mesma raiz primitiva e chave diferentes.
5.5 Criptografando uma mensagem

O processo de criptografia de uma mensagem é simples. Mais uma vez devemos
escolher um número natural k e resolver o seguinte par de congruências:
a ≡ gk (mod p)
b ≡ (tp · y k ) (mod p)
51
Onde tp é a mensagem já pré-codificada.
52
Exemplo 44
Codifique a mensagem tp = 10 usando k = 3 e a chave pública do exemplo 43.Dando

inı́cio aos cálculos
a ≡ 53 (mod 37),
ou seja,
a ≡ 14 (mod 37)
b ≡ (10 · 113 ) (mod 37)
b ≡ 13310 (mod 37)
b ≡ 27 (mod 37).
Portanto a mensagem criptografada será o par [a, b] = [14, 27]
Exemplo 45
Codifique a mensagem tp = 10 usando k = 7 e a chave pública do exemplo 43.

Calculando
a ≡ 57 (mod 37)
a ≡ 18 (mod 37)
b ≡ (10 · 117 ) (mod 37)
usando uma calculadora teremos,
117 ≡ 11 (mod 37)
o que resulta em
b ≡ 10 · 117 ≡ 10 · 11 ≡ 36 (mod 37).
A mensagem será [a, b] = [18, 36].
53
5.6 Decodificando um texto
Para decodificar a mensagem devemos tomar o valor a e calcular
x
ξ ≡ a−1 (mod p)
e usamos o resultado para calcular
tp ≡ (b · ξ) (mod p)
O grande problema que temos para decodificar uma mensagem é encontrar o

inverso a−1 , que definiremos agora.
Definição 28 O inverso módulo m de um inteiro a é o número inteiro a−1 de modo que

a · a−1 ≡ 1 (mod m).
Exemplo 46
Encontre o inverso de a = 7 módulo 13.

Basta encontrar a−1 de modo que 7 · a−1 ≡ 1 (mod 13). Iniciando os cálculos:
7·1 ≡7 (mod 13)
7 · 2 ≡ 1 (mod 13)
Concluı́mos que a−1 = 2, ou seja, que o inverso de 7 módulo 13 é 2.
Exemplo 47
Obtenha o inverso de a = 9 módulo 11

9 · 1 ≡ 9 (mod 11)
9·2 ≡7 (mod 11)
9·3 ≡5 (mod 11)
9·4 ≡3 (mod 11)
9 · 5 ≡ 1 (mod 11)
portanto a−1 = 5
Exemplo 48
Vamos obter o inverso de a = 14 módulo 37
54
14 · 1 ≡ 14 (mod 37)
14 · 2 ≡ 28 (mod 37)
14 · 3 ≡ 05 (mod 37)
14 · 4 ≡ 19 (mod 37)
14 · 5 ≡ 33 (mod 37)
14 · 6 ≡ 10 (mod 37)
14 · 7 ≡ 24 (mod 37)
14 · 8 ≡ 01 (mod 37)
Portanto a−1 = 8
Exemplo 49
Calcular o inverso de a = 18 módulo 37

18 · 1 ≡ 18 (mod 37)
18 · 2 ≡ 36 (mod 37)
18 · 3 ≡ 17 (mod 37)
.. .. ..
. . .
18 · 34 ≡ 20 (mod 37)
18 · 35 ≡ 01 (mod 37)
Exemplo 50
Decodifique a mensagem do exemplo 44.

Observando o exemplo 48 concluı́mos que
a−1 = 8.
Então, falta calcular

ξ ≡ 86 (mod 37)
para obtermos
ξ ≡ 36 (mod 37).
Finalizando temos
tp ≡ (27 · 36) (mod 37)
tp ≡ 972 (mod 37)
55
tp ≡ 10 (mod 37),
resultando que o texto original 10.
Exemplo 51
Decodifique a mensagem do exemplo 45.

Com o exemplo 49 já temos que
a−1 = 35
então, calculamos
ξ ≡ 356 (mod 37),
logo
ξ ≡ 27 (mod 37)
e o texto puro será

tp ≡ 36 · 27 (mod 37),
ou seja,
tp ≡ 10 (mod 37)
A sequência de exemplos que acabamos de apresentar nos sugere que a escolha

do k é indiferente no processo de criptografia do texto.
56
Conclusão
As denuncias Edward Joseph Snowden mostram que vivemos em um mundo onde

as informações trocadas via internet não estão em total segurança. Neste trabalho mostra-
mos que o sistema de criptografia de ElGamal é eficiente no que diz respeito a transmissão
de dados por um meio de comunicação, devido a dificuldade de se calcular o logaritmo
discreto.
A grande vantagem do sistema de criptografia de ElGamal, está no fato de se co-
dificar facilmente as mensagens e ser extremamente difı́cil de um intruso obter o logaritmo
discreto que é a chave privada do processo criptográfico, somente com o conhecimento da
chave pública, . Também tratamos técnicas já existentes de ataque ao logaritmo discreto
quando utilizamos números primos com a quantidade de dı́gitos pequena que servem para
a construção da chave pública. Deixamos duas referências que tratam de outras formas
de ataque.
Neste trabalho não nos preocupamos em expor técnicas de cálculo de raiz pri-
mitiva, consequentemente de logaritmos discretos através de algoritmos já existente, pois
preferimos evidenciar a segurança do sistema como também o seu funcionamento.
Apresentamos também a assinatura digital que é um par (γ, s) que deve ser
inserido ao texto para certificar a autenticidade da mensagem.
Expomos um passo a passo de como inserir o sistema de criptografia de ElGa-
mal para os alunos do ensino médio. A motivação para esta exposição é que os alunos
premiados pela Obmep que são destinados ao PIC, estudam criptografia em dois módulo,
porém, é dado enfase ao RSA. Após todo o estudo efetuado percebemos que o sistema
criptográfico de ElGamal requer conceitos matemáticos mais profundo e certamente seria
mais enriquecedor ao conhecimento destes alunos.
Concluı́mos que o sistema criptográfico de ElGamal é uma excelente porta de
entrada para a matemática avançada e devido a isso não podemos deixar de apresentá-lo
57
aos alunos do ensino básico na forma de estı́mulo aos que acreditam que a matemática do
ensino básico seja simplória.
Finalizamos afirmando que criptografia deveria fazer parte do currı́culo de ma-
temática do ensino médio e de maneira mais avançada no currı́culo das graduações em
matemática.
58
Referências Bibliográficas
ElGamal, T. (1984). A public key cryptosystem and a signature scheme based on

discrete logarithms. URL:http://groups.csail.mit.edu/cis/crypto/classes/6.857/papers
/elgamal.pdf Acesso em: 18/11/2014.
Hefez, A. (2013). Aritmética. Ed. SBM, R. Janeiro.
Lima, E. L. (2007). Análise Real. Ed. SBM, R. Janeiro.
MapleSoft (2008). Manual user guide. URL: www.maplesoft.com/view.aspx?sl=5883

Acesso em: 17/11/2014.
Menezes, A. J., van Oorschot, P. C., e Vanstone, S. A. (1996). Handbook of applied

cryptography. URL:http://citeseer.ist.psu.edu/viewdoc/download?doi=10.1.1.99.2838
&rep=rep1&type=pdf Acesso em: 20/07/2014.
Rosen, K. H. (2005). Elementary Number Theory and Its Applications. Pearson Addilson
Wesley, New York.
Santos, J. P. O. (2009). Introdução à Teoria dos Números . Ed. SBM, R. Janeiro.
Wagner, E. (2009). Construções Geométricas . Ed. SBM, R. Janeiro.
59

DISS - 2015 - Paulo Sérgio Lopes Da Silva

Enviado por

Direitos autorais:

Formatos disponíveis

DISS - 2015 - Paulo Sérgio Lopes Da Silva

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DISS - 2015 - Paulo Sérgio Lopes Da Silva

Enviado por

Direitos autorais:

Formatos disponíveis

Universidade Federal de Mato Grosso

Instituto de Ciências Exatas e da Terra

Um Sistema de Criptografia de Chave Pública

Paulo Sérgio Lopes da Silva

Orientador: Prof. Dr. Martinho da Costa Araújo

Trabalho financiado pela Capes

Este exemplar corresponde à redação final da dis-

Cuiabá, 10 de julho de 2015.

Prof. Dr. Martinho da Costa Araújo

Prof. Dr. Martinho da Costa Araújo

Dissertação apresentada ao curso de Mestrado

Prof. Dr. Martinho da Costa Araújo-UFMT

Prof. Dr. Lenimar Nunes de Andrade-UFPB

Prof. Dr. Moiseis dos Santos Cecconello-UFMT

Ao término deste trabalho, deixo aqui meus sinceros agradecimentos:

– a Deus por tudo;

– à minha esposa e filhos por perdoarem os incontáveis fins de semana de ausência;

– a todos os professores do Departamento de Matemática da UFMT;

– aos professores da banca pelas valiosas sugestões;

– aos amigos do PROFMAT pelo agradável convı́vio especialmente Jackson e Adilson;

– à gestão da Escola Estadual 29 de Novembro de Tangará da Serra pela paciência;

– a todos que direta ou indiretamente contribuı́ram para a realização deste trabalho;

– à Capes pelo auxı́lio financeiro.

Neste trabalho trataremos do sistema de criptografia de chave pública de ElGamal. No

Palavras chave: Grupos cı́clicos, logaritmo discreto, assinatura digital.

Keywords: Cyclic groups, discrete logarithm, digital signature.

4 Criptografia Na Sala da Aula 41

5 ElGamal Em Sala de Aula 46

“The magic words are squeamish ossifrage ”

Neste capı́tulo apresentaremos todos os conceitos para que possamos introduzir

Definição 1 Seja −N o conjunto de todos os opostos dos números naturais. Então

A estrutura algébrica que sustenta todo o conceito aqui empregado é a estrutura

1. Associatividade: Dados a, b e c elementos de G temos (a ∗ b) ∗ c = a ∗ (b ∗ c)

2. Elemento neutro: Exite um elemento e ∈ G de modo que para todo a ∈ G temos

3. Inverso: Para todo a ∈ G existe um a0 ∈ G tal que a ∗ a0 = a0 ∗ a = e

Se um grupo G possui a propriedade

para todo a, b ∈ G então G é chamado de grupo abeliano ou grupo comutativo.

O conjunto Z dos inteiros com soma usual é um grupo.

Prova A prova deste teorema pode ser encontrada em Santos (2009).

Definição 3 Dados inteiros a, b e m com m > 0 dizemos que a é congruente b módulo

a≡b (mod m) ⇔ m|(a − b)

Congruências possuem algumas propriedades que nos ajudarão a trabalhar com

Proposição 2 Dados a, b, c e m inteiros com m > 0 e n ∈ N então:

iii) a ≡ b (mod m) ⇔ an ≡ bn (mod m)

an+1 = a · an ≡ b · bn = bn+1 (mod m)

Definição 4 Diremos que um número natural d é um máximo divisor comum de dois

A condição ii) acima pode ser reescrita como segue:

Definição 5 Chamamos de coprimos os números a e b tal que (a, b) = 1.

O próximo teorema é um dos mais importante da teoria dos números, o algoritmo

rj = qj+1 rj+1 + rj+2 , 0 ≤ rj+2 < rj+1

para j = 0, 1, 2, 3, · · · , n − 1 e rn+1 = 0 então (a, b) = rn , o último resto não-nulo.

Definição 6 Dado um inteiro não nulo m e um inteiro 0 ≤ a < m definimos a classe

[1] = 1 = {· · · , −9, −4, 1, 6, 11, · · · } = {1 + 5k, k ∈ Z}.

Definição 7 Definimos Zm como sendo o conjunto de todas as classes residuais módulo

Proposição 4 O conjunto Zm com a operação de adição de classes residuais módulo m

Quando nos referimos ao fechamento de um conjunto A em relação a determi-

Proposição 5 O conjunto Z∗m = Zm − [0] é fechado para a operação de multiplicação se,

[a] = [m · k] = [m] [k] = [0] · [k] = [0]

Um conjunto que não é fechado com a operação de multiplicação é o conjunto (Z∗6 , ).

se n = 0 então an = eG Elemento neutro de G

se n > 0 então an = an−1 ∗ a

se n < 0 então a−n = (a−1 )−n