LeGauss: O algoritmo de Berlekamp

A teoria de corpos finitos é bastante importante, tanto em questões teóricas, ligadas principalmente à Teoria dos Números, bem como em aplicações práticas envolvendo criptografia e códigos corretores de erros. Frequentemente, é necessário saber se um dado polinômio sobre um corpo finito é irredutível (por exemplo, para construir explicitamente outros corpos finitos) ou até mesmo encontrar uma fatoração completa para tal polinômio. Neste último caso, uma aplicação corrente é para resolver o problema do logaritmo discreto, essencial em criptografia: certos algoritmos envolvem fatorações de elementos de um corpo finito, cujos elementos podem ser representados como classes de equivalência de polinômios sobre o corpo primo, daí a utilidade de um algoritmo para fatorar polinômios.

Em geral, em se tratando de um corpo qualquer, testar irredutibilidade é uma tarefa complicada, e fatorar um polinômio em irredutíveis é mais complicado ainda. No entanto, em se tratando de corpos finitos, existe um algoritmo bastante simples e inteligente! Neste post vou explicar a ideia deste algoritmo, como sempre, do ponto de vista matemático, sem me envolver com questões de implementação (embora não seja difícil) ou de complexidade.

Vale ressaltar que, atualmente - ou seja, se você está lendo este post depois de 1981-, existe um algoritmo mais eficiente que o algoritmo de Berlekamp. Além disso, utilizando truques engenhosos, algoritmos para fatorar polinômios em corpos finitos também são utilizados para fatorar polinômios em $\inline \mathbb{Q}[X]$ , por exemplo.

Os requisitos para entender o que se sucede são:

Linguagem básica de teoria de anéis (morfismos, ideais, ideais principais, fatoração única, etc).
Uma certa familiaridade com anéis de polinômios (coisas básicas, como noção de coprimo).
Um pouco de teoria de corpos (extensões de corpos, etc) e noções de corpos finitos (na verdade, tudo o que você precisa saber é que, para $\inline p$ primo, $\inline \mathbb{Z}/p\mathbb{Z}$ é um corpo, que denotamos $\inline \mathbb{F}_p$ ).

1. Teolema Chinês dos Lestos

O algoritmo de Berlekamp se baseia em duas ferramentas algébricas: o teorema chinês dos restos e o morfismo de Frobenius. Por "teorema chinês dos restos", entendemos a sua versão mais geral, envolvendo ideais. Aqui, precisaremos apenas de um caso particular, no anel de polinômios de um corpo.

Teorema. Seja $\inline k$ um corpo e $\inline P_1,\ldots,P_r \in k[X]$ polinômios dois a dois coprimos entre si. Se $\inline P = P_1\cdots P_r$ , então o mapa natural

$\begin{align*} \frac{k[X]}{(P)} &\to \frac{k[X]}{(P_1)} \times \cdots \times \frac{k[X]}{(P_r)}\\ Q \pmod P &\mapsto (Q \pmod{P_1}, \ldots, Q \pmod{P_r}) \end{align*}$

é um isomorfismo de anéis.

Se quiser, pule esta demonstração, está um pouco curta e grossa porque não é o objetivo do post. ;-)

Demonstração. O mapa é injetivo pois $\inline P_1,\ldots,P_r$ são coprimos entre si e estamos num domínio de fatoração única. Para mostrar que o mapa é sobrejetivo, basta mostrar que, para cada $\inline i \in \{1,\ldots,r\}$ , existe $\inline Q_i\in k[X]$ tal que $\inline Q_i \equiv 1 \pmod{P_i}$ , e $\inline Q_i \equiv 0 \pmod{P_j}$ , $\inline j\neq i$ . Note que, se $\inline j\neq i$ , então $\inline P_j$ é invertível módulo $\inline P_i$ (pois são coprimos); logo existe $\inline U_i \in k[X]$ tal que $\inline (\prod_{j\neq i}P_j)U_i \equiv 1 \pmod{P_i}$ . Basta tomar $\inline Q_i = (\prod_{j\neq i}P_j)U_i$ . $\inline \square$

2. O morfismo de Frobenius

Lembremos rapidamente que temos a noção de característica de um anel. Dado um anel $\inline A$ qualquer, existe sempre um único morfismo de anéis $\inline f_A:\mathbb{Z} \to A$ que leva $\inline 1$ na identidade multiplicativa $\inline 1_A$ de $\inline A$ . Como os ideais de $\inline \mathbb{Z}$ são todos principais, existe $\inline n\in \mathbb{N}$ tal que $\inline \ker f_A = (n)$ . Dizemos então que $\inline A$ tem característica $\inline n$ . Em outras palavras, $\inline n$ é o menor natural tal que $\inline n\cdot 1_A = 0$ em $\inline A$ .

Observação: Se $\inline A$ é um domínio, por exemplo um corpo, o núcleo de $\inline f_A$ é um ideal primo e, portanto é igual a $\inline (0)$ ou $\inline (p)$ com $\inline p$ primo.

Observação: Se $\inline A$ é um anel de característica $\inline p$ , então $\inline \ker f_A = (p)$ e o morfismo $\inline f_A$ induz um morfismo injetivo $\inline \mathbb{F}_p=\mathbb{Z}/p \mathbb{Z} \to A$ . Neste caso, identificando $\inline \mathbb{F}_p$ com a sua imagem, podemos pensar $\inline \mathbb{F}_p\subset A$ . Por exemplo, se $\inline A= \mathbb{F}_p \times \mathbb{F}_p$ , então a cópia de $\inline \mathbb{F}_p$ dentro de $\inline A$ é dada pela "diagonal": $\inline \{(x,x)\in A \mid x\in \mathbb{F}_p\}$ .

Mesmo quando $\inline A$ não é um domínio, a noção de característica só se torna realmente relevante quando ela é $\inline 0$ ou um número primo e estamos interessados aqui no segundo caso.

Proposição. Se $\inline A$ é um domínio de característica $\inline p$ primo, o mapa $\inline \varphi:A \to A$ , dado por $\inline x\mapsto x^p$ , é um morfismo, denominado morfismo de Frobenius.

Demonstração. É claro que $\inline \varphi(1)=1$ e que, dados $\inline x,y\in A$ , $\inline \varphi(xy)=\varphi(x)\varphi(y)$ . Resta mostrar que $\inline \varphi(x+y) = \varphi(x)+\varphi(y)$ . Para isto é só utilizarmos o fato (trivialmente verificável) que $\inline p \mid \binom{p}{i}$ se $\inline 1\le i \le p-1$ , donde

$\varphi(x+y) = (x+y)^p = \sum_{i=0}^p \binom{p}{i} x^{p-i} y^i = x^p + y^p = \varphi(x) + \varphi(y)$ $\square$

Observação: O fato de que, num anel de característica

, termos

é usualmente conhecido em inglês como "freshman's dream". Em português, a denominação corrente (???) é o "sonho de todo estudante".

Apesar de parecer inocente, a primeira vista, o morfismo de Frobenius não deve ser subestimado! É graças a ele, por exemplo, que conseguimos compreender com bastante detalhes a Teoria de Galois dos corpos finitos. Na verdade, é praticamente uma heresia falar de corpos finitos sem falar do morfismo de Frobenius!

Exemplo. Considere $A=\mathbb{F}_p$ . Então o morfismo de Frobenius $\varphi: \mathbb{F}_p \to \mathbb{F}_p$ é a identidade. Isto é apenas uma outra formulação do Pequeno Teorema de Fermat (ou o Teorema de Lagrange): todo elemento não nulo $x \in \mathbb{F}_p$ é tal que $x^{p-1} = 1$ , multiplicando por

obtemos

, que também é verdade para x=0

. Logo, para todo $x\in \mathbb{F}_p$ , $\varphi(x) = x^p = x$ .

Exemplo. Se A=K

é um corpo de característica

e $\varphi: K \to K$ é o morfismo de Frobenius, então $\mathbb{F}_p = K^{\varphi} \stackrel{\rm def}{ = } \{x\in K \mid \varphi(x)=x\}$ . De fato, pelo exemplo anterior, temos já a inclusão $\mathbb{F}_p\subset K^{\varphi}$ . Por outro lado $x\in K^{\varphi}$ se, e somente se,

é raiz do polinômio $X^p -X \in K[X]$ que (aqui usamos que

é um corpo) possui no máximo

raízes. Logo devemos ter a igualdade.

3. Testando irredutibilidade

Considere o corpo finito $\inline \mathbb{F}_p = \mathbb{Z}/p\mathbb{Z}$ . Dado um polinômio $\inline P \in \mathbb{F}_p[X]$ queremos decidir se $\inline P$ é irredutível ou não.

Atenção! Vamos nos restringir, primeiramente, ao caso onde $\inline P$ não tem fator quadrado, ou seja, não existe $\inline Q\in \mathbb{F}_p[X]$ tal que $\inline Q^2 \mid P$ . Isto é somente uma restrição técnica, que mostraremos no final que não é um grande problema.

Com a hipótese acima, podemos supor que a fatoração de $\inline P$ em irredutíveis é da forma $\inline P=P_1\cdots P_r$ , $\inline P_i \in \mathbb{F}_p[X]$ irredutível, $\inline i=1,\ldots,r$ . Observamos desde já que $\inline P$ é irredutível se, e somente se $\inline r=1$ . A ideia do algoritmo consiste "linearizar o problema" para determinar $\inline r$ .

Considere a álgebra $\inline A = \mathbb{F}_p[X]/(P)$ . Pelo teorema chinês dos restos, sabemos que temos um isomorfismo de anéis

$A \stackrel{\sim}{\to} K_1\times \cdots \times K_r$

onde cada $K_i = \mathbb{F}_p[X]/(P_i)$ é um corpo (pois P_i

é irredutível), que é uma extensão finita de $\mathbb{F}_p$ . Agora observamos que o número

é exatamente o número de corpos que aparece na decomposição acima. Como determiná-lo?

Aqui entra a ideia simples e genial. Note que $\inline A$ é um anel de característica $\inline p$ . Considere o morfismo de Frobenius $\inline \varphi:A \to A$ . Quem são os pontos fixos de $\inline \varphi$ ? Temos:

$A^{\varphi} = (K_1 \times \cdots \times K_r)^{\varphi} = K_1^{\varphi} \times \cdots \times K_r^{\varphi} = \mathbb{F}_p \times \cdots \times \mathbb{F}_p$

onde a última igualdade é devida ao último exemplo da seção anterior. Em outras palavras, $r = \dim_{\mathbb{F}_p}A^{\varphi}$ . Ora, $\varphi$ é um mapa linear e $A^{\varphi}$ não é nada mais que $\ker(\varphi - {\rm id})$ . Assim, para calcular

, basta computar a matriz do mapa linear $\varphi - {\rm id}$ e encontrar a dimensão do seu núcleo, por exemplo, utilizando eliminação de Gauss!

Exemplo. Vamos fazer um exemplo com um caso pequeno para ver como funciona. Suponha p = 5

e considere $P = X^3 + X + 1 \in \mathbb{F}_5[X]$ . É fácil checar que este polinômio é irredutível (basta verificar que ele não possui raiz em $\inline \mathbb{F}_5$ ), mas mostremos o mesmo fato utilizando Berlekamp. Primeiro consideramos a álgebra $\inline A = \mathbb{F}_5[X]/(P)$ . Se $\inline x$ denota a classe de $\inline X$ em $\inline A$ , temos que uma base para $\inline A$ como $\inline \mathbb{F}_5$ espaço vetorial é: $\inline (1,x,x^2)$ . Em geral, para implementar o algoritmo de fato, usamos uma base como esta.
Vamos calcular a matriz $\inline M$ de $\inline \varphi - {\rm id}$ nesta base: observe que temos a relação $\inline x^3 = -x - 1$ . Em particular,

$\begin{align*} x^5 &= x^2x^3 = x^2(-x-1)=-x^3 - x^2 = -(-x-1)-x^2=-x^2 + x +1 \\ &=4x^2 + x +1 \end{align*}$

$\begin{align*} x^{10} &= (x^5)^2 = (-x^2 + x +1)^2 = x^4 + x^2 + 1^2 -2x^3-2x^2 + 2x \\ &= x^3(x-2) - x^2 + 2x + 1 = -(x+1)(x-2) - x^2 + 2x + 1 \\ &= -(x^2-x-2) -x^2+2x+1 = -2x^2+3x+3\\ &= 3x^2 + 3x + 3 \end{align*}$

Assim,

$\begin{align*} (\varphi - {\rm id})(1) = 1^5 - 1 = 0\cdot 1 + 0 \cdot x + 0 \cdot x^2\\ (\varphi - {\rm id})(x) = x^5 - x = 1\cdot 1 + 0 \cdot x + 4 \cdot x^2 \\ (\varphi - {\rm id})(x^2) = x^{10} - x^2 = 3\cdot 1 + 3 \cdot x + 2 \cdot x^2 \end{align*}$

e a matriz $\inline M$ fica

$\begin{align*} M= \left[\begin{array}{ccc} 0 & 1 & 3 \\ 0 & 0 & 3 \\ 0 & 4 & 2 \end{array}\right] \end{align*}$

e é claro que as duas últimas colunas são linearmente independentes. Logo a dimensão do núcleo desta matriz é $\inline 1$ , ou seja, $\inline P$ é irredutível.

Bem, deu para perceber que uma ideia melhor é usar um computador. ;-)

4. Fatorando completamente

O algoritmo de Berlekamp não para por aí. Vejamos o que acontece caso $\inline r = \dim_{\mathbb{F}_p} A^{\varphi}$ é maior que $\inline 1$ . Neste caso, existe um "vetor não-constante" em $\inline \ker(\varphi - {\rm id})$ , ou seja, existe $\inline Q \in \mathbb{F}_p[X]$ , com $\inline 0 < \deg Q < \deg P$ tal que sua imagem em $\inline A$ pertence a $\inline A^{\varphi} = \ker(\varphi - {\rm id})$ . Ou seja,

$Q^p - Q \equiv 0 \pmod{P}$

Agora note que o polinômio $X^p-X \in \mathbb{F}_p[X]$ se fatora completamente neste anel (de novo estamos utilizando o fato que o morfismo de Frobenius é a identidade), isto é, $\inline X^p - X = \prod_{a \in \mathbb{F}_p}(X-a)$ . Substituindo

e usando a equação acima, obtemos

$\prod_{a\in \mathbb{F}_p}(Q - a) \equiv 0 \pmod{P}$

Agora afirmamos que existe $\inline a \in \mathbb{F}_p$ tal que $\inline {\rm mdc}(Q-a,P)$ é um polinômio não-constante, em particular, um fator não-trivial de $\inline P$ ! De fato, como $\inline P$ divide $\inline \prod_{a\in \mathbb{F}_p}(Q - a)$ , temos

$P = {\rm mdc}(\prod_{a\in \mathbb{F}_p}(Q - a),P)$

Se $\inline a,b \in \mathbb{F}_p$ , $\inline a \neq b$ , então $\inline Q-a$ e $\inline Q-b$ são primos entre si, pois diferem de um elemento de $\inline \mathbb{F}_p$ .

Lema. Se $\inline A$ é um domínio de fatoração única, $\inline a,b,c \in A$ , com $\inline a$ e $\inline b$ primos entre si, então $\inline {\rm mdc}(ab,c) = {\rm mdc}(a,c)\cdot {\rm mdc}(b,c)$ .

Demonstração. Exercício. ;-)

Logo, como os fatores do produto $\inline \prod_{a\in \mathbb{F}_p}(Q - a)$ são dois a dois primos entre si, temos portanto

$P = \prod_{a\in \mathbb{F}_p}{\rm mdc}(Q - a,P)$

Observe que, para todo $\inline a \in \mathbb{F}_p$ , $\inline {\rm deg} (Q-a)={\rm deg}(Q) < {\rm deg} P$ . Além disso, existe pelo menos um $\inline a \in \mathbb{F}_p$ tal que $\inline R = {\rm mdc}(Q-a,P)$ não é constante (caso contrário $\inline P$ seria constante). Pronto, $\inline R$ é um fator não trivial de $\inline P$ !

Resumindo, na prática, encontramos o polinômio $\inline Q$ que corresponde a um elemento não-constante de $\inline \ker(\varphi - {\rm id})$ e vamos alterando o seu termo constante até achar um a tal que $\inline R = Q-a$ divide $\inline P$ . O argumento acima garante que sempre vamos encontrar um tal $\inline a$ .

Depois disso, fazemos uma recorrência, aplicando o algoritmo aos polinômios $\inline R$ e $\inline P/R$ , até encontrar os fatores irredutíveis (em geral, $\inline R$ não será irredutível).

5. Ajuste final

Estamos sempre trabalhando sobre a hipótese de que $\inline P$ não possui fatores quadrados. Qual é o problema? Neste caso, a fatoração em irredutíveis de $\inline P$ é da forma geral $\inline P = Q_1^{d_1}\cdots Q_r^{d_r}$ , com $\inline d_i \ge 1$ inteiro, $\inline i=1,\ldots,r$ . Eventualmente, algum $\inline d_i$ pode ser maior que um. Agora o número $\inline r$ não diz nada sobre a redutibilidade de $\inline P$ . Isto é, $\inline P$ poderia ser da forma $\inline P=Q^d$ , com $\inline Q$ irredutível, $\inline d\ge 2$ . Se tentarmos aplicar o mesmo método, temos $\inline A = \mathbb{F}_p/(P) = \mathbb{F}_p/(Q^d)$ e (demonstre!) $\inline A^{\varphi} = \mathbb{F}_p$ , ou seja, $\inline \dim_{\mathbb{F}_p}A^{\varphi} = 1$ , muito embora $\inline P$ seja redutível.

Em resumo, não há esperança de fazer um argumento parecido que também funcione com polinômios com fator quadrado. Mas nem tudo está perdido. Na realidade, este caso é bastante fácil de ser tratado.

Suponha que existe $\inline Q \in \mathbb{F}_p[X]$ , $\inline \deg Q \ge 1$ , tal que $\inline Q^2 \mid P$ . Isto é, podemos escrever $\inline P=Q^2R$ , com $\inline R \in \mathbb{F}_p[X]$ . Então $\inline P' = 2QR + Q^2R' = Q(2R+QR')$ . Portanto, $\inline \deg {\rm mdc}(P,P') \ge \deg Q \ge 1$ . Assim, $\inline {\rm mdc}(P,P')$ , facilmente calculado com o algoritmo de Euclides, é um candidato a fator não-trivial de $P$, mas pode acontecer de $\inline {\rm mdc}(P,P')= P$ . Separamos em dois casos:

Se $\inline \deg {\rm mdc}(P,P') = \deg P$ (ou, equivalentemente, $\inline {\rm mdc}(P,P') = P$ ), então $\inline P' = 0$ , pois $\inline \deg P' < \deg P$ e $\inline {\rm mdc}(P,P') = P \mid P'$ . Neste caso, é fácil verificar, todos os monômios que aparecem em $\inline P$ têm grau múltiplo de $\inline p$ , isto é, podemos escrever $\inline P = \sum_{i=0}^n a_iX^{pi}\in \mathbb{F}_p[X]$ . Como, para cada $\inline i$ , $\inline a_i = a_i^p$ , obtemos $\inline P = (\sum_{i=0}^n a_i X^i)^p$ (estamos usando aqui que $\inline \varphi: \mathbb{F}_p[X] \to \mathbb{F}_p[X]$ é um morfismo). Em particular, o polinômio $\inline \sum_{i=0}^n a_i X^i$ é um fator não-trivial de $\inline P$ .
Se $\inline \deg {\rm mdc}(P,P') <\deg P$ , o polinômio $\inline {\rm mdc}(P,P')$ é um fator não-trivial de $\inline P$

Encontrado um fator não-trivial de $\inline P$ , fazemos uma recorrência até atingir polinômios separáveis e, depois, usamos o algoritmo de Berlekamp acima. Desta maneira, fatoramos completamente o nosso polinômio. Yay!

6. Um comentário e links pra galera

Aqui tomamos sempre como corpo base o corpo $\inline \mathbb{F}_p$ , mas poderíamos ter considerado qualquer corpo finito. Em geral, um corpo finito é sempre da forma $\inline \mathbb{F}_{p^n}$ , $\inline n \ge 1$ inteiro, e o morfismo de Frobenius a ser considerado é a composta de $\inline \varphi$ $\inline n$ vezes, isto é: $\inline x \mapsto x^{p^n}$ . Todo o resto funciona igual.

Se você quiser dar mais uma lida sobre o assunto, aqui vão umas sugestões:

Página da Wikipédia sobre o Algoritmo. Contém um link no final com o paper original do Berlekamp que parece ser fácil de ler (apesar de eu só ter passado o olho rapidamente). Essencialmente, ele explica a mesma coisa deste post, com menos detalhes. A vantagem de lê-lo é que você pode tirar uma onda com as garotas, dizendo que já lê artigos recentes de álgebra.
Página da Wikipédia contendo informações gerais sobre fatoração de polinômios.
Página profissional do próprio Berlekamp. Ele ainda tá na ativa!

terça-feira, 11 de dezembro de 2012

O algoritmo de Berlekamp

Nenhum comentário: