# Aritmética modular

Temos que
$$j\ (\bmod d) = r,$$
com $r$ sendo o resto da divisão de $j$ por $d$. Ou seja
$$j = Rd + r,$$
com $R\in\mathbb{N}_0$. Mas não estaremos interessados no resultado da divisão, $R$, mas sim na sobra $r$.
Por exemplo
\begin{align}
& 2\ (\bmod 5) = 2\ \therefore\ 2=(0)(5)+2, \\
& 10\ (\bmod 5) = 0\ \therefore\ 10=(2)(5)+0, \\
& 13\ (\bmod 5) = 3\ \therefore\ 13=(2)(5)+3.
\end{align}
Vale observar que
$$ j < d \ \Rightarrow\ r=j.$$


## Adição modular

A aritmética modular pode ser pensada com a _"aritmética do relógio"_. A soma módulo $d$ será denotada aqui por
$$j(\bmod d)+ k(\bmod d) = (j+k)(\bmod d) =: j\oplus_d k.$$
Por exemplo, para $d=2$ temos
\begin{align}
& 0\oplus_2 0 = 0,\ 0\oplus_2 1 = 1,\\
& 1\oplus_2 0 = 1,\ 1\oplus_2 1 = 0.
\end{align}
Para $d=3$ temos
\begin{align}
0\oplus_3 0 = 0,\ 0\oplus_3 1 = 1,\ 0\oplus_3 2 = 2,\\
1\oplus_3 0 = 1,\ 1\oplus_3 1 = 2,\ 1\oplus_3 2 = 0,\\
2\oplus_3 0 = 2,\ 2\oplus_3 1 = 0,\ 2\oplus_3 2 = 1.   
\end{align}

### Propriedades da adição modular

* __Fechamento:__ Para $j\in\{0,1,\cdots,d-1\}$ e $k\in\{0,1,\cdots,d-1\}$ temos por definição que $j\oplus_d k\in\{0,1,\cdots,d-1\}.$

* __Associatividade:__ $(j\oplus_d k)\oplus_d l = j\oplus_d(k\oplus_d l).$

Exemplo: $(1\oplus_4 2)\oplus_4 3 = 3\oplus_4 3 = 2$ e $1\oplus_4 (2\oplus_4 3) = 1\oplus_4 1 = 2$.

* __Comutatividade:__ $j\oplus_d k = k\oplus_d j.$

Exemplo: $2\oplus_4 3 = 1$ e $3\oplus_4 2 = 1.$

* __Identidade:__ Existe o elemento identidade $0$ da soma modular tal que $j\oplus_d 0 = j\ \forall j.$

O elemento identidade é o número inteiro $0$.

* __Inverso:__ Para qualquer $j\in\{0,1,\cdots,d-1\}$ existe um elemento $k\in\{0,1,\cdots,d-1\}$, chamado de elemento inverso, tal que $j\oplus_d k =0.$

Se caminharmos no sentido anti-horário do relógio, denotamos o número com o sinal negativo. Por exemplo, para $d=4$, temos que $-3=1$ pois dando 3 passos no sentido anti-horário é equivalente a dar 1 passo no sentido horário. Dito isto, é fácil ver que o elemento inverso de $j$ é
$$k=-j=d-j.$$
Por exemplo para $d=4$ e $j=1$ temos que
$k=-1=4-1=3$
pois
$$1\oplus_4 3 = 0.$$

* __Distributividade:__ A propriedade $(j\oplus_d k)\oplus_d l = (j\oplus_d l) \oplus_d (k\oplus_d l)$ __não vale__ em geral para aritmética modular.

Exemplo: $(2\oplus_4 3)\oplus_4 1 = 1\oplus_4 1 = 2$ mas $(2\oplus_4 1)\oplus_4(3\oplus_4 1) = 3\oplus_4 0 = 3.$

## Subtração modular

A subtração modular é a soma com o negativo do número:
$$(j-k)(\text{mod}\ d) = j\ominus_d k = j\oplus_d(-k).$$
Também podemos entender a subtração modular usando a aritmética do relógio. Vale observar que a subtração modular não herda as mesmas propriedades da soma modular.

### Propriedades da subtração modular

* __Fechamento:__ Para $j\in\{0,1,\cdots,d-1\}$ e $k\in\{0,1,\cdots,d-1\}$ temos por definição que $j\ominus_d k\in\{0,1,\cdots,d-1\}.$

* __Associatividade:__ $(j\ominus_d k)\ominus_d l = j\ominus_d(k\ominus_d l)$ __não vale__ em geral.

Exemplo: $(1\ominus_4 2)\ominus_4 3 = (-1)\ominus_4 3 = (4-1)\ominus_4 3 = 3\ominus_4 3 = 0$ e $1\ominus_4 (2\ominus_4 3) = 1\ominus_4 (-1) = 1\ominus_4 (4-1) = 1\ominus_4 3 = -2 = 4-2 = 2$.

* __Comutatividade:__ $j\ominus_d k = k\ominus_d j$ __não vale__ em geral.

Exemplo: $7\ominus_{10} 5 = 2$ e $5\ominus_{10} 7 = -2 = 10 -2= 8.$

* __Identidade:__ Existe o elemento identidade $0$ da subtração modular tal que $j\ominus_d 0 = j\ \forall j.$

O elemento identidade nesse caso também é o número inteiro $0$.

* __Inverso:__ Para qualquer $j\in\{0,1,\cdots,d-1\}$ existe um elemento $k\in\{0,1,\cdots,d-1\}$, chamado de elemento inverso, tal que $j\ominus_d k =0.$

É fácil ver que o elemento inverso de $-j$ é o elemento $j.$ Por exemplo, para $d=4$ e $j=-2$ temos que
$k=2$ pois $-2\ominus_4 2 = 0.$

* __Distributividade:__ A propriedade $(j\ominus_d k)\ominus_d l = (j\ominus_d l)\ominus_d (k\ominus_d l)$ __não vale__ em geral para aritmética modular.

Exemplo: $(2\ominus_4 3)\ominus_4 1 = (-1)\ominus_4 1 = 3\ominus_4 1 = 2$ mas $(2\ominus_4 1)\ominus_4(3\ominus_4 1) = 1\oplus_4 2 = -1 = 3.$

Vemos assim que a similaridade de propriedade da subtração e soma na aritmética regular não se mantém na aritmética modular.

_OBS._ Na prática, a subtração é transformada em soma.

# Teoria de números

O conjunto de números inteiros é denotado por
$$\mathbb{Z} = \{\cdots,-3,-2,-1,0,1,2,3,\cdots\}.$$
O conjunto de números naturais é denotado por
$$\mathbb{N} = \{1,2,3,\cdots\}.$$
Para os naturais incluindo o zero usaremos
$$\mathbb{N}_0 = \{0,1,2,3,\cdots\}.$$

Seja $n,d\in\mathbb{Z}$. Dizemos que $d$ divide $n$ se exite um $k\in\mathbb{Z}$ tal que
$$n=kd.$$
Nesse caso, usamos a notação
$$d\mid n$$
e dizemos que $d$ é um fator ou divisor de $n$. Claro, também temos que $k\mid n.$ Se $d$ não divide $n$ usamos a notação
$$d\nmid n.$$
Por exemplo
$$3\mid 6,\ 5\mid 20,\ 3\nmid 5,\ 7\nmid 22.$$

Seguem alguns resultados relacionados.

__Transitividade.__ Se $a\mid b$ e $b\mid c$ então $a\mid c$, para $a,b,c\in\mathbb{Z}$.

Para demonstrar essa propriedade, notamos que se
\begin{align}
& a\mid b\ \therefore \exists\ k\in\mathbb{Z}\mid b=ka, \\
& b\mid c\ \therefore \exists\ l\in\mathbb{Z}\mid c=lb = lka=ma\ \text{com}\ lk=m\in\mathbb{Z}, \\
& \therefore\ a\mid c.
\end{align}
Acima usamos que o produto de dois números inteiros é um número inteiro.

__Combinação linear.__ Se $d\mid a$ e $d\mid b$ então $d\mid (ax+by)$ com $a,b,c,x,y\in\mathbb{Z}.$

Para demonstrar esse resultado, notamos que
$$d\mid a\ \therefore\ a=dk\ \text{e}\ d\mid b\ \therefore\ b=dl$$
com $k,l\in\mathbb{Z}.$ Vem assim que
\begin{align}
\frac{ax+by}{d} & = \frac{ax}{d} + \frac{by}{d} \\
& = \frac{a}{d}x + \frac{b}{d}y \\
& = kx + ly \\
& = m + n \\
& = p,
\end{align}
com $m,n,p\in\mathbb{Z}$. Acima usamos as propriedades do produto e da divisão. Vemos assim que se $d$ divide $a$ e divide $b$, então $d$ também divide qualquer combinação dinear de $a$ e $b$ com coeficientes inteiros, i.e.,
$$d\mid (ax+by).$$

__Ordenamento.__ Sejam $a,b\in\mathbb{N}.$ Temos que $a\mid b\ \Rightarrow\ a\le b.$ Por conseguinte, se $a\mid b$ e $b\mid a$ então $a=b.$

Para demonstrar esse resultado, começamos notando que $a\mid b\ \therefore\ b = ak\ \text{com}\ k\in\mathbb{N}.$ Teremos assim que
\begin{align}
& b-a = ak-a = a(k-1) \ge 0\ \text{pois}\ k\ge 1, \\
& b-a\ge 0\ \therefore\ b\ge a.
\end{align}
Do mesmo modo, vemos que
$$b\mid a\ \therefore\ b\le a.$$
Com isso, vem que
$$(a\mid b\ \text{e}\ b\mid a)\ \therefore\ (a\le b\ \text{e}\ b\le a)\ \therefore\ a=b.$$

__Números primos__ são números $p\in\mathbb{N}_{>1}$ que tem somente $1$ e $p$ como fatores, ou seja,
$$d\mid p\ \iff\ d=1\ \text{ou}\ d=p.$$
Vamos denotar o conjunto formado por todos os números primos por $\mathbb{P}.$

Uma outra forma de definir números primos é dizer que
$$p\in\mathbb{P}$$
se $p\in\mathbb{N}$ e $p$ tem exatamente _dois divisores_ ($1$ e $p$) em $\mathbb{N}.$ Essa última definição excluí $1$ automaticamente, pois $1$ tem um único divisor em $\mathbb{N},$ que é o próprio $1$.

__Teorema fundamental da aritmética.__ Seja $a\in\mathbb{N}_{>1}$. Esse número tem uma única fatoração em termos de números primos diferentes:
$$a=p_1^{a_1}p_2^{a_2}\cdots p_n^{a_n},$$
com $a_1,a_2,\cdots,a_n\in\mathbb{N}$ e $p_1,p_2,\cdots,p_n\in\mathbb{P}.$

_Prova._ Para $a,b\in\mathbb{N}$, se
$$p\in\mathbb{P}\ \text{e}\ p\mid(ab)\ \therefore\ p\mid a\ \text{ou}\ p\mid b.$$
Vamos supor que
$$p\nmid b\ \therefore\ b=cp+r$$
com $r,c\in\mathbb{N}$ e
$$r < p.$$
Por exemplo $8=(2)(3)+2$. Assim, temos que
\begin{align}
& p\mid(ab)\ \therefore\ p\mid(a(cp+r))\\
& \therefore\ p\mid(acp + ar)\\
& \therefore p\mid(ar) \\
& \therefore p\mid a,
\end{align}
pois $r < p$ e assim $p$ não pode dividir $r$.

Com isso, dado um número $n\in\mathbb{N}$ qualquer, vemos que existe $p\in\mathbb{P}$ tal que
$$n=pm$$
com $m\in\mathbb{N}.$ Do mesmo modo, existe $q\in\mathbb{P}$ tal que
$$m=qf\ \therefore\ n = pqf,$$
com $f\in\mathbb{N}.$ Claro, podemos ter $q=p$ ou $q\ne p$. Para completar a prova, seguimos aplicando essa ideia até que nos restam somente fatores primos.
<br> $\square$

OBS. Por causa deste último teorema é que se diz que os números primos são as unidades básicas (os átomos) dos números naturais e inteiros.

__Proposição.__ Existe um número infinito de números primos.

_Prova._ Vamos assumir que existe um número finito de números primos
$$p_1,p_2,\cdots,p_N\in\mathbb{P}_f.$$
Para qualquer número $p_j\in\mathbb{P}_f$, como
$$p_j\mid p_1\cdots p_{j-1}p_j p_{j+1}\cdots p_N,$$
temos que $p_j$ não divide
$$c=p_1\cdots p_{j-1}p_j p_{j+1}\cdots p_N +1$$
(sobra $1$). Então, ou $c\in\mathbb{P}$ e não está em $\mathbb{P}_f$ ou $c$ tem um fator primo que não está em $\mathbb{P}_f$. De qualquer forma, concluímos que os números no conjunto $\mathbb{P}_f$ não podem ser os únicos números primos que existem. Esse raciocínio pode ser aplicado para qualquer $N$. Com isso, concluímos que existem infinitos números primos.
<br> $\square$

__Maior divisor comum.__ O maior divisor comum de dois números inteiros $a$ e $b$ é o maior número inteiro, denotado por
$$\gcd(a,b),$$
que divide $a$ e divide $b$.

__Teorema.__ O $\gcd(a,b)$ é o menor inteiro que pode ser escrito na forma $xa+yb$, com $x,y\in\mathbb{Z}.$

_Prova._ Consideremos que
$$s=xa+yb$$
é o menor inteiro que pode ser escrito dessa forma. Da definição de maior divisor comum, temos que
\begin{align}
& \gcd(a,b)\mid a\ \text{e}\ \gcd(a,b)\mid b\ \therefore\ \gcd(a,b)\mid s\\
& \therefore\ \gcd(a,b)\le s.
\end{align}

Vamos supor agora que
$$s\nmid a\ \therefore\ a=ks+r$$
com $k\in\mathbb{N}$ e o resto da divisão é tal que
$$r\in[1,s-1]\ \therefore\ r< s.$$
Assim, podemos escrever
\begin{align}
r & = a - ks = a - k(xa+yb) \\
& = (1-kx)a + (-ky)b \\
& < s.
\end{align}
Ou seja, a suposição $s\nmid a$ implicaria que existe uma outra combinação linear $(1-kx)a + (-ky)b$ que é menor que $s=xa+yb$.
No entanto, isso contradiz nossa suposição inicial, de que a combinação linear $xa+yb$ é o menor inteiro que pode ser escrito nessa forma. Devemos ter portanto que nossa suposição inicial, $s\nmid a$, deve estar errada. Assim, concluímos que
$$s|a.$$

Da mesma forma, podemos mostrar que
$$s|b.$$
Por conseguinte $s=xa+yb$ é divisor comum de $a$ e de $b$. Como vimos que $\gcd(a,b)\le s$, e $s$ é o menor inteiro que pode ser escrito na forma $xa+yb$, temos que ter que o maior divisor comum de $a$ e de $b$ é dado por
$$\gcd(a,b)=s=xa+yb$$
com $x,y\in\mathbb{Z}$
<br>$\square$

Por _exemplo_, consideremos que $a=100$ e $b=350$. Temos que $\gcd(100,350)=50$. Também temos que $s=(-3)(100)+(1)(350)=50$.

__Corolário.__ Para $c\in\mathbb{Z}$, se $c\mid a$ e $c\mid b$, então $c\mid\gcd(a,b)$.

_Prova._ Como podemos escrever $\gcd(a,b)=xa+yb$ com $x,y\in\mathbb{Z}$, vem que
\begin{align}
c\mid a\ \text{e}\ c\mid b\ \therefore\ c\mid (xa+yb)\ \therefore\ c\mid \gcd(a,b).
\end{align}
$\square$

Por _exemplo_, para $a=100$ e $b=350$ temos que $\gcd(100,350)=50.$ Assim, e.g. $10\mid 100\ \text{e}\ 10\mid 350\ \therefore\ 10\mid 50$.

__Coprimos.__ Dois números $a,b\in\mathbb{Z}$ são ditos coprimos se
$$\gcd(a,b)=1.$$
Por exemplo, $9$ e $14$ são coprimos, pois seus divisores são, respectivamente, $1,\ 3$ e $1,\ 2,\ 7$. Já $10$ e $14$ não são coprimos, pois os divisores de $10$ são $1, 2,\ 5$ e assim $\gcd(10,14)=2\ne 1.$ <br>

Vale observar que todos os números primos são coprimos, mas dois números serem coprimos não implica que são primos.

__Inversa multiplicativa na aritmética modular.__ Dizemos que $b\in\mathbb{Z}$ é a inversa multiplicativa de $a\in\mathbb{Z}$ módulo $n\in\mathbb{Z}$ se
\begin{align}
& ab=1(\bmod n)\\
& \therefore\ (a(\bmod n))(b(\bmod n)) = 1(\bmod n).
\end{align}
Não é sempre que a inversa multiplicativa existe. Por exemplo
$$(2)(3)=1(\bmod 5),$$
e assim $3$ é a inversa multiplicativa de $2$ no módulo $5$, e vice versa. No entanto, $2$ não tem inversa multiplicativa módulo $4$.


__Corolário.__ Consideremos $n\in\mathbb{Z}_{>1}$ e $a\in\mathbb{Z}$. Existe a inversa multiplicativa, que denotaremos por $a^{-1}$, de $a$ módulo $n$ se e somente se $\gcd(a,n)=1$ (ou seja, se e somente se $a$ e $n$ são coprimos).

_Prova._ Supomos inicialmente que existe $a^{-1}$ tal que $a^{-1}a = 1(\bmod n)$. Teremos assim que
$$a^{-1}a = kn +1\ \therefore\ (a^{-1})a + (k)n = 1,$$
com $k\in\mathbb{Z}$. Temos assim que $\gcd(a,n)\le 1$ (pois $\gcd(a,b)$ é o menor inteiro que pode ser escrito como a combinação linear $xa+yb$ com $x,y\in\mathbb{Z}$). Mas como $1$ divide qualquer número, então
$$\gcd(a,n)=1.$$

Vamos assumir agora que $\gcd(a,n)=1.$ Do último teorema temos que existem números $a^{-1},-k\in\mathbb{Z}$ tais que
\begin{align}
& (a^{-1})a+(-k)n=1\\
& \therefore\ a^{-1}a = kn+1\\
& \therefore\ a^{-1}a=1(\bmod n),
\end{align}
ou seja, existe a inversa multiplicativa de $a$ módulo $n$.
$\square$

Exemplos:
\begin{align}
\gcd(7,12)=1\ \therefore\ (7)(7) = 49 = 1(\bmod 12),\\
\gcd(8,12)=4\ne 1\ \therefore\ \nexists 7^{-1} | (7)(7^{-1}) = 1(\bmod 12).
\end{align}

__Resultado.__ Para $p\in\mathbb{P}$, todos os inteiros
$$a\in[1,p-1]$$
possuem inversa multiplicativa módulo $p$. <br>

Para obter esse resultado, lembramos que $a$ possui inversa multiplicativa módulo $p$ se e semente se $a$ e $p$ são coprimos (iff $\gcd(a,p)=1$). Como $p$ é primo, sabemos que os seus únicos divisores são $1$ e $p$. No entanto $p>a$ não pode ser divisor de $a$, e $1$ divide qualquer número. Vemos assim que o único divisor comum de $p$ e $a$ no intervalo $[1,p-1]$ é $1$. Por conseguinte
$$\exists a^{-1}\ \forall a\in[1,p-1]$$
tal que
$$a^{-1}a=1(\bmod p).$$

Por exemplo, para $p=5$ temos que
\begin{align}
& 1^{-1}=1\ \text{pois}\ (1)(1) = 1(\bmod 5),\\
& 2^{-1}=3\ \text{pois}\ (3)(2) = 1(\bmod 5),\\
& 3^{-1}=2\ \text{pois}\ (2)(3) = 1(\bmod 5),\\
& 4^{-1}=4\ \text{pois}\ (4)(4) = 1(\bmod 5).
\end{align}

Relacionado a esse resultado, consideremos
$$a\in[1,p^2-1]$$
e olhemos para quais valores de $a$ não existe a inversa multiplicativa módulo $p^2$. Os únicos divisores de $p^2$ são $1,\ p,\ p^2$, com este último sendo maior que $a$ e portanto não divide $a$. Para
$$a\in[1,p-1],\ a\in[p+1,p^2-1]$$
só $1$ divide $a$ e $p^2$, e portanto
$$\exists a^{-1}|a^{-1}a=1(\bmod p^2).$$
Para $a=p$ não existe $a^{-1}$ pois $1$ e $p$ dividem $a$ e $p^2$.


__Corolário.__ A inversa multiplicativa módulo $n$ é única.

_Prova._ Se $b$ e $c$ são ambas inversas multiplicativas diferentes de $a$ módulo $n$, temos que
$$ab = 1(\bmod n),\ ac = 1(\bmod n).$$
Subtraindo essas equações, obtemos
$$ab - ac = a(b-c) = 0(\bmod n).$$
Mas como
$$a\nmid n$$
devemos ter que
$$(b-c)\mid n\ \therefore\ (b-c) = 0(\bmod n)\ \therefore\ b=c(\bmod n).$$
$\square$

__Teorema.__ Sejam $a,b\in\mathbb{Z}$ e $r$ o resto da divisão de $a$ por $b$. Então, se $r\ne 0$ vem que
$$\gcd(a,b)=\gcd(b,r).$$

_Prova._ Provamos este teorema provando que cada lado da igualdade divide o outro. Começamos notando que
$$a = kb+r\ \therefore\ r = a +(-k)b,$$
com $k\in\mathbb{Z}$. Como $\gcd(a,b)$ divide $a$ e $b$, este divide combinações lineares de $a$ e $b$ e portanto divide $r$. Por conseguinte
$$\gcd(a,b)|\gcd(b,r)$$
pois $\gcd(b,r)=xb+yr$ para $x,y\in\mathbb{Z}.$

Agora, temos que $\gcd(b,r)|b$ e $\gcd(b,r)|r$ implica que $\gcd(b,r)$ divide qualquer combinação linear de $b$ e $r$, e portanto divide $a=kb+r$. Temos assim que
$$\gcd(b,r)|b,\ \gcd(b,r)|a\ \therefore\ \gcd(b,r)|\gcd(a,b)$$
pois $\gcd(a,b)=za+wb$ com $z,w\in\mathbb{Z}.$
<br>$\square$

Exemplos:
\begin{align}
& \gcd(12,8)=4,\ 12 = (8)(1)+4,\ \gcd(8,4)=4\, \gcd(12,8)=\gcd(8,4),\\
& gcd(45,30)=15,\ 45 = (30)(1)+15,\ \gcd(30,15) = 15,\ \gcd(45,30)=\gcd(30,15).
\end{align}

__Algoritmo de Euclides.__ Para obter $\gcd(a,b).$ <br>
Os seguintes passos podem ser utilizados para obter o maior divisor comum de 2 números inteiros $a$ e $b$:
1. Ordena $a$ e $b$ tal que $a>b$.

2. Divide $a$ por $b$ para obter
$$a=k_1 b+r_1.$$
Do último teorema temos que
$$\gcd(a,b) = \gcd(b,r_1).$$

3. Divide $b$ por $r_1$ para obter
$$b=k_2 r_1 + r_2.$$
Do último teorema segue que
$$\gcd(b,r_1)=\gcd(r_1,r_2).$$

4. Divide $r_1$ por $r_2$ para obter
$$r_1=k_3 r_2 + r_3.$$
Do último teorema segue que
$$\gcd(r_1,r_2)=\gcd(r_2,r_3).$$

5. Continua esse processo até que o resto da divisão é nulo. Nesse caso
$$r_m = k_{m+2}r_{m+1}+0.$$
Obtemos assim
$$\gcd(a,b) = \gcd(r_m,r_{m+1}) = r_{m+1}.$$

In [None]:
def euclides_gcd(a,b):
    if b > a: # put in increasing order
        t = a; a = b; b = t
    if a == b or a%b == 0: # test equality or null remainder
        return b
    r = a%b
    print('a =', a, ', b =', b, ', k =', a//b, ', r =', r)
    while r != 0:
        a = b; b = r
        gcd = b
        r = a%b
        print('a =', a, ', b =', b, ', k =', a//b, ', r =', r)
    return b

In [None]:
import math
a = 6825; b = 1430; egcd = euclides_gcd(a,b)
print('euclides_gcd('+str(a)+','+str(b)+')=',egcd, ', python_gcd = ', math.gcd(a,b))

a = 6825 , b = 1430 , k = 4 , r = 1105
a = 1430 , b = 1105 , k = 1 , r = 325
a = 1105 , b = 325 , k = 3 , r = 130
a = 325 , b = 130 , k = 2 , r = 65
a = 130 , b = 65 , k = 2 , r = 0
euclides_gcd(6825,1430)= 65 , python_gcd =  65


__Algoritmo de Euclides.__ Para obter $x,y$ tais que $\gcd(a,b)=xa+yb$. <br>
Do exemplo acima, começando da penúltima linha do algoritmo acima e considerando as linhas sucessivas acima vemos que $\gcd(6825,1430) = 65$ pode ser escrito como
\begin{align}
& 65 = 325 + (-2)(130), \\
& 65 = 325 + (-2)(1105 + (-3)(325)) = (-2)(1105) + (1+6)(325), \\
& 65 = (-2)(1105) + (7)(1430 + (-1)(1105)) = (7)(1430) + (-2-7)(1105) , \\
& 65 = (7)(1430) + (-9)(6825 + (-4)(1430)) = (-9)(6825) + (7+36)(1430).
\end{align}
Assim
$$\gcd(6825,1430) = 65 = (-9)(6825) + (43)(1430).$$

In [None]:
-9*6825 + 43*1430 # ok!

Vamos tentar obter um algoritmo geral a partir das contas acima feitas em termos de variáveis em vez de números. Começamos com
\begin{align}
& a_0 = 6825,\ b_0=1430,\ k_0 = 4,\ r_0 = 1105, \\
& a_1 = 1430,\ b_1=1105,\ k_1 = 1,\ r_1 = 325, \\
& a_2 = 1105,\ b_2=325,\ k_2 = 3,\ r_2 = 130, \\
& a_3 = 325,\ b_3=130,\ k_3 = 2,\ r_3 = 65, \\
& a_4 = 130,\ b_4=65,\ k_4 = 3,\ r_4 = 0.
\end{align}
Notamos que
$$a_j = b_{j-1},\ b_j = r_{j-1}.$$

Temos assim que
\begin{align}
r_{3} & = a_3 + (-k_3)(b_3) \\
& = b_2 + (-k_3)(r_2) \\
& = r_1 + (-k_3)(a_2 + (-k_2)(b_2)) \\
& = (a_1 + (-k_1)(b_1)) + (-k_3)(a_2) + (-k_3)(-k_2)(b_2) \\
& = b_0 + (-k_1)(r_0) + (-k_3)(b_1) + (-k_3)(-k_2)(r_1) \\
& = b_0 + (-k_1)(a_0 +(-k_0)(b_0)) + (-k_3)(r_0) + (-k_3)(-k_2)(a_1+(-k_1)(b_1)) \\
& = b_0 + (-k_1)a_0 + (-k_1)(-k_0)(b_0) + (-k_3)(a_0+(-k_0)(b_0)) + (-k_3)(-k_2)(a_1) + (-k_3)(-k_2)(-k_1)(b_1) \\
& = b_0 + (-k_1)a_0 + (-k_1)(-k_0)(b_0) + (-k_3)(a_0) + (-k_3)(-k_0)(b_0) + (-k_3)(-k_2)(b_0) + (-k_3)(-k_2)(-k_1)(r_0) \\
& = b_0 + (-k_1)a_0 + (-k_1)(-k_0)b_0 + (-k_3)a_0 + (-k_3)(-k_0)b_0 + (-k_3)(-k_2)b_0 + (-k_3)(-k_2)(-k_1)(a_0+(-k_0)(b_0)) \\
& = b_0 + (-k_1)a_0 + (-k_1)(-k_0)b_0 + (-k_3)a_0 + (-k_3)(-k_0)b_0 + (-k_3)(-k_2)b_0 + (-k_3)(-k_2)(-k_1)a_0 + (-k_3)(-k_2)(-k_1)(-k_0)b_0 \\
& = a_0\big((-k_1) + (-k_3) + (-k_3)(-k_2)(-k_1)\big) + b_0\big(1 + (-k_1)(-k_0) + (-k_3)(-k_0) + (-k_3)(-k_2) + (-k_3)(-k_2)(-k_1)(-k_0)\big).
\end{align}
** Não consegui ver padrão, obter o algoritmo, aqui **

__Algoritmo de Euclides.__ Para a inversa multiplicativa. <br>
Vamos usar o fato que $a\in\mathbb{Z}$ tem inversa múltiplicativa módulo $n$ iff $a$ e $n$ são coprimos, i.e., iff $\gcd(a,n)=1.$ Podemos usar o algoritmo de Euclides para obter $x,y\in\mathbb{Z}$ tais que
$$xa+yn=1.$$
Teremos assim que
$$xa = (1-yn)=1(\bmod n).$$
Obtemos assim
$$a^{-1}=x.$$

A partir desse algoritmo para calcular inversar multiplicativas, pode-se resolver _sistemas de equações_. Suponha por exemplo que temos
$$xa + b = c(\bmod n)$$
para resolver para $x$, em que $a$ e $n$ são coprimos. Teremos assim que
$$x = a^{-1} ax = a^{-1}(c-b)(\bmod n).$$

__Complexidade computacional do algoritmo de Euclides.__

Esse algoritmo também tem complexidade computacional $\mathcal{O}(N^3).$

O teorema a seguir nos permite resolver sistemas de equações em aritmética modular.

__Teorema Chinês dos restos.__ Sejam $\{m_j\}_{j=1}^{n}\in\mathbb{N}$ tais que $m_j=1(\bmod m_k)\ \forall j\ne k$ ($m_j$ e $m_k$ são coprimos para $j\ne k$). Então o sistema de equações
\begin{align}
& x = a_1(\bmod m_1), \\
& x = a_2(\bmod m_2), \\
& \vdots \\
& x = a_n(\bmod m_n), \\
\end{align}
tem solução. Ademais, quaisquer duas soluções desse sistema de equações são iguais módulo $M=\Pi_{j=1}^{n}m_j.$

_Prova._ Define
$$M_j := \frac{M}{m_j}.$$
É fácil ver que $M_j = \cdots m_{j-1}m_{j+1}\cdots$ e $m_j$ são coprimos, i.e.,
$$\gcd(M_j,m_j)=\gcd(\cdots m_{j-1}m_{j+1}\cdots,m_j)=1.$$
Portanto $M_j$ possui inversa módulo $m_j$. Agora definimos a candidata a solução:
$$x = \sum_j a_j M_j M_j^{-1}.$$
Por definição temos que
$$M_j M_j^{-1} = 1(\bmod m_j).$$
Como $m_k\mid M_j$ para $k\ne j$, teremos que
$$M_j M_j^{-1} = 0(\bmod m_k)\ \text{para}\ k\ne j.$$


Segue assim que
$$x = \sum_j a_j M_j M_j^{-1} = a_k(\bmod m_k)$$
é solução do sistema de equações.

Quanto a possibilidades de soluções, consideremos duas soluções possíveis $x$ e $x'$. Teremos assim que
$$x-x' = 0(\bmod m_j)\ \forall j.$$
Ou seja
$$m_j \mid (x-x')\ \forall j\ \therefore\ M=\Pi_j m_j \mid (x-x')\ \therefore\ x =x'(\bmod M).$$
$\square$

Na sequência veremos resultados de teoria de números necessários para o protocolo RSA de criptografia.

__Lema.__ Se $p\in\mathbb{P}$ e $k\in\mathbb{Z}$ com $k\in[1,p-1]$, então $p\mid\binom{p}{k}.$

_Prova._ Temos que
\begin{align}
& \binom{p}{k} = \frac{p!}{k!(p-k)!} \\
& \therefore\ \binom{p}{k}k! = \frac{p!}{(p-k)!} \\
& \therefore\ \binom{p}{k}k(k-1)(k-2)\cdots(2)(1) = \frac{p(p-1)(p-2)\cdots(p-k+1)(p-k)(p-k-1)\cdots(2)(1)}{(p-k)(p-k-1)\cdots(2)(1)} \\
& \therefore\ \binom{p}{k}k(k-1)(k-2)\cdots(2)(1) = p(p-1)(p-2)\cdots(p-k+1).
\end{align}
Agora temos que $p$ divide o lado direito dessa última equação, e portanto também deve dividir o lado esquerdo. Com $p>k$, temos que $p\nmid k$ e não divide nenhum dos termos multiplicando $k$ pela direita, no lado esquerdo da igualdade. Devemos ter portanto que $p$ divide $\binom{p}{k}.$
<br>$\square$

_OBS._ Me parece que este último lema valeria tanto para $p$ primo quanto para $p$ um inteiro quailquer, pois durante a prova não usamos em momento algum o fato de $p$ ser primo, ou usamos?

Vamos considerar alguns exemplos
\begin{align}
& 7\mid\binom{7}{3} = \frac{7!}{3!(7-3)!} = \frac{7!}{3!4!} = \frac{(7)(6)(5)(4!)}{3!4!} = \frac{(7)(6)(5)}{6} = (7)(5), \\
& 5\mid\binom{5}{2} = \frac{5!}{2!(5-2)!} = \frac{5!}{2!3!} = \frac{(5)(4)(3!)}{(2)(3!)} = \frac{(5)(4)}{2} = (5)(2), \\
& 8\nmid\binom{8}{6} = \frac{8!}{6!(8-6)!} = \frac{8!}{6!2!} = \frac{(8)(7)(6!)}{6!2} = \frac{(8)(7)}{2} = (4)(7), ????  \\
\end{align}

__Pequeno teorema de Fermat.__ Para $p\in\mathbb{P}$ e $a\in\mathbb{Z}$, temos que $a^p = a(\bmod p).$ Ademais, se $p\nmid a$ então $a^{p-1}=1(\bmod p)$, ou seja, se $p\nmid a$ os números $a^{p-1}$ e $a$ são coprimos.

_Prova._ Vamos provar o teorema por indução. Notemos que a igualdade vale para $a=1$:
$$a^p = 1^p = 1 = a(\bmod p) = 1(\bmod p).$$
Seguindo, assumimos que vale para $a$:
$$a^p = a(\bmod p).$$
Finalmente verificamos que isso implica na validade para $a+1$. Nesse caso, usaremos a expansão binomial
$$(x+y)^n = \sum_{k=0}^n \binom{n}{k}x^{n-k}y^{k} = \sum_{k=0}^n \binom{n}{k}x^{k}y^{n-k}$$
para escrever
$$(a+1)^p = \sum_{k=0}^p \binom{p}{k}a^k.$$

Com isso, usando o fato que $p\mid\binom{p}{k}$ para $k\in[1,p-1]$ (provado no último lema), vem que
\begin{align}
(a+1)^p(\bmod p) & = \sum_{k=0}^p \binom{p}{k}a^k(\bmod p) \\
& = \binom{p}{0}a^0(\bmod p) + \sum_{k=1}^{p-1} \binom{p}{k}a^k(\bmod p) + \binom{p}{p}a^p(\bmod p) \\
& = 1(\bmod p) + \sum_{k=1}^{p-1} 0(\bmod p) + a^p(\bmod p) \\
& = 1(\bmod p) + a(\bmod p) \\
& = (1 + a)(\bmod p).
\end{align}
Como começamos com $a=1$, essa prova vale para qualquer $a\in\mathbb{N}$. A igualdade também vale, obviamente, para $a=0$.

Nos falta ainda provar a validade da igualdade $a^p = a(\bmod p)$ para $a\in\mathbb{Z}$ com $a<0$. Nesse caso, vamos fazer
$$a=(-1)b$$
com $b\in\mathbb{N}_0$. Teremos assim que
\begin{align}
a^p(\bmod p) & = ((-1)^p b^p)(\bmod p) \\
& = (-1)^p b(\bmod p) \\
& = ((-1)^{p-1})(- b)(\bmod p) \\
& = ((-1)^{p-1})a(\bmod p) \\
& = a(\bmod p).
\end{align}
Acima usamos que para $p\in\mathbb{P}$, e $p>2$, temos
$$(-1)^{p-1}=1.$$
Vemos que esse é o caso pelo seguinde. Os números inteiros são formados por uma sequência alternada de números pares e de números ímpares. Com exceção do números $2$, todos os números primos são números ímpares. Por conseguinte, se $p\in\mathbb{P}$ e $p>2$, então
$$p-1\ \text{é par}.$$

Por fim, sendo $a^p=a(\bmod p)$ para todo $a\in\mathbb{Z}$, com $a\ne 0$, podemos multiplicar a equação por $a^{-1}$ para obter
\begin{align}
& a^{-1}a^p(\bmod p) = a^{-1}a(\bmod p) \\
& a^{p-1}(\bmod p) = 1(\bmod p) \\
& a^{p-1} = 1(\bmod p).
\end{align}
Ou seja, $a^{p-1}$ e $p$ são coprimos para qualquer $p\in\mathbb{P}$ e $a\in\mathbb{Z}$.
<br>$\square$

Exemplos:
\begin{align}
& a,\ p,\ a(\bmod p),\ a^p(\bmod p),\ a^{p-1}(\bmod p) \\
& 64,\ 13,\ 12,\ 12,\ 1 \\
& -78,\ 17,\ 7,\ 7,\ 1 \\
& 126,\ 23,\ 11,\ 11,\ 1 \\
\end{align}

In [None]:
a = 126; p = 23; a%p, (a**p)%p, (a**(p-1))%p

__Função $\varphi$ de Euler.__ A função $\varphi(n)$ é definida como o número de números inteiros positivos menores que $n$ que são coprimos a $n$.

_Exemplo._ Para $n=10$ temos que temos os divisores $1,2,5,10$. Temos assim que
$$\gcd(10,3)=\gcd(10,7)=\gcd(10,9)=1.$$
Por conseguinte
$$\varphi(10)=3.$$

_Exemplo._ Consideremos números primos. Vimos que se $p\in\mathbb{P}$ então todos os números naturais menores que $p$ são coprimos a $p$. Então
$$\varphi(p)=p-1.$$

_Exemplo._ Para $\alpha\in\mathbb{N}$ os únicos inteiros que são coprimos a $p^\alpha$ são os múltiplos de $p$:
$$p,2p,3p,\cdots,(p^{\alpha-1}-1)p.$$
Teremos assim que
$$\varphi(p^\alpha)=(p^\alpha - 1) - (p^{\alpha-1}-1) = p^{\alpha-1}(p-1).$$

__Lema.__ Se $a$ e $b$ são coprimos, então
$$\varphi(ab)=\varphi(a)\varphi(b).$$

_Prova._ Consideremos o sistema de equações
\begin{align}
& x = x_a(\bmod a), \\
& x = x_b(\bmod b).
\end{align}
Relacionado ao teorema chinês dos restos, definimos
$$M=m_1 m_2=ab,\ M_1=M/a = b,\ M_2 = M/b=a,\ a_1=x_a,\ a_2=x_b.$$
A solução é
\begin{align}
x & = \sum_j a_j M_j M_j^{-1} = a_1 M_1 M_1^{-1} + a_1 M_1 M_1^{-1} \\
& = x_a b b^{-1} + x_b a a^{-1}.
\end{align}

Consideremos
$$1\le x_a< a,\ 1\le x_b< b,\ 1\le x < ab$$
com
$$\gcd(x_a,a) = \gcd(x_b,b) = \gcd(x,ab) = 1.$$
Existem $\varphi(a)\varphi(b)$ pares de valores $(x_a,x_b)$ e $\varphi(ab)$ valores $x$ que satisfazem as condições acima. Temos assim que $\varphi(ab)=\varphi(a)\varphi(b).$
<br>$\square$

** não entendi bem essa prova **

_Exemplo._ $a = 5,\ b = 8$. Para $a$ primo, temos $a-1$ números inteiros positivos coprimos a $a$ menores que $a$. Então nesse caso
$$\varphi(a)=\varphi(5)=4.$$
Para $b$ temos os coprimos
$$b=8: 1,\ 3,\ 5,\ 7\ \therefore\ \varphi(b)=\varphi(8)=4.$$
Para $ab$ temos os coprimos
$$ab=40: 1,\ 3,\ 7,\ 9,\ 11,\ 13,\ 17,\ 19,\ 21,\ 23,\ 27,\ 29,\ 31,\ 33,\ 37,\ 39\ \therefore\ \varphi(ab)=\varphi(40)=16.$$  

__Corolário.__ Seja
$$n=p_1^{\alpha_1}p_2^{\alpha_2}\cdots p_k^{\alpha_k},$$
então
$$\varphi(n) = \Pi_{j=1}^k p_j^{\alpha_j-1}(p_j-1).$$

_Prova._ Como números primos diferentes são também coprimos, a prova é consequência direta do lema anterior,
\begin{align}
\varphi(n) & = \varphi(p_1^{\alpha_1}p_2^{\alpha_2}\cdots p_k^{\alpha_k}) \\
& = \varphi(p_1^{\alpha_1})\varphi(p_2^{\alpha_2})\cdots \varphi(p_k^{\alpha_k}) \\
& = \Pi_{j=1}^k \varphi(p_j^{\alpha_j}),
\end{align}
e do exemplo anterior
$$\varphi(p_j^{\alpha_j}) = p_j^{\alpha_j-1}(p_j^{\alpha_j}-1).$$
$\square$

__Teorema.__ Uma generalização, devida a Euler, do pequeno teorema de Fermat é a seguinte. Se $a$ e $n$ são coprimos, então $a^{\varphi(n)}=1(\bmod n).$

_Prova._ Primeiramente, vamos mostrar por indução que
$$a^{\varphi(p^\alpha)}=1(\bmod p^\alpha)$$
para $p\in\mathbb{P}.$ É fácil ver que essa igualdade é válida para $\alpha=1$:
\begin{align}
a^{\varphi(p)} = a^{p-1} = 1(\bmod p),
\end{align}
em que a última igualdade segue do pequeno teorema de Fermat e usamos o resultado $\varphi(p)=p-1.$ Seguindo, vamos assumir que a igualdade
$$a^{\varphi(p^\alpha)}=1(\bmod p^\alpha)\ \therefore\ a^{\varphi(p^\alpha)} = kp^\alpha+1,\ k\in\mathbb{N},$$
é válida para qualquer $\alpha$. E, usando $\varphi(p^\alpha) = p^{\alpha-1}(p-1)$, vamos mostrar que isso implica na validade da igualdade para $\alpha+1:$
\begin{align}
a^{\varphi(p^{\alpha+1})} & = a^{p^{\alpha+1-1}(p-1)} = a^{p^{\alpha}(p-1)} = a^{pp^{\alpha-1}(p-1)} \\
& = a^{p\varphi(p^\alpha)} = \big(a^{\varphi(p^\alpha)}\big)^p \\
& = \big(1+kp^\alpha\big)^p \\
& = \sum_{j=0}^{p}\binom{p}{j}(kp^\alpha)^j \\
& = 1 + \sum_{j=1}^{p-1}\binom{p}{j}k^j p^{j\alpha} + \binom{p}{p}k^p p^{p\alpha} \\
& = 1(\bmod p^{\alpha+1}) + \sum_{j=1}^{p-1}\binom{p}{j}k^j p^{j\alpha}(0)(\bmod p^{\alpha+1}) + (0)(\bmod p^{\alpha+1}) \\
& = 1(\bmod p^{\alpha+1}).
\end{align}
Acima usamos que $p^{\alpha+1}|\binom{p}{j}p^{j\alpha}$ e $p^{\alpha+1}|p^{p\alpha}.$

Tendo esse resultado, partimos para
\begin{align}
a^{\varphi(n)} & = a^{\varphi(p_1^{\alpha_1}p_2^{\alpha_2}\cdots p_N^{\alpha_N})} \\
& = a^{\varphi(p_1^{\alpha_1})\varphi(p_2^{\alpha_2})\cdots\varphi(p_N^{\alpha_N})} \\
& = ...
\end{align}
$\square$

## Referências

1. P. W. Shor, “Algorithms for quantum computation: discrete logarithms and factoring,” in Proceedings 35th Annual Symposium on Foundations of Computer Science, Nov. 1994, pp. 124-134. doi: 10.1109/SFCS.1994.365700.

1. P. W. Shor, “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer,” SIAM J. Comput., vol. 26, no. 5, pp. 1484-1509, Oct. 1997, doi: 10.1137/S0097539795293172.

1. M. A. Nielsen and I. L. Chuang, Quantum Computation and Quantum Information (Cambridge University Press,Cambridge, 2000).

2. S. Aaronson, The Prime Facts: From Euclid to AKS, https://www.scottaaronson.com/writings/prime.pdf (2003).

1. M. A. Nielsen and I. L. Chuang, Quantum Computation and Quantum Information (Cambridge University Press, Cambridge, England, 2000).

1. Richard Cleve, Introduction to Quantum Information Processing (2023), https://cs.uwaterloo.ca/~cleve/courses/F11CS667/, https://youtube.com/playlist?list=PLgOc9DWm_Ey3cnHXjmu8f__ki5AJYd53p&si=etCdYsFeCUBTgclj.

1. Dave Bacon, Lecture Notes on Quantum Computing (2006), https://courses.cs.washington.edu/courses/cse599d/06wi/.

1. John Preskill, Lecture Notes on Quantum Computation, http://theory.caltech.edu/~preskill/ph219/index.html#lecture.

1. A. Javadi-Abhari et al., “Quantum computing with Qiskit.” arXiv, May 14, 2024. doi: 10.48550/arXiv.2405.08810.

1. minutephysics, How Quantum Computers Break Encryption - Shor's Algorithm Explained, https://youtu.be/lvTqbM5Dq4Q?si=jBT1wgktbrgmDtJ2.

1. minutephysics, How Shor's Algorithm Factors 314191, https://youtu.be/FRZQ-efABeQ?si=pKsbGrK25GkfJyxa.
