Realisierung der ElGamal-Verschlüsselung in quadratischen Zahlkörpern

Transkript

1 Realisierung der ElGamal-Verschlüsselung in quadratischen Zahlkörpern Diplomarbeit von Daniel Schielzeth ρ 1, 15) ρ 16, 17) ρ 19, 9) 11, 7) ρ, 9) ρ R a) 4, 31) ρ 3, 5) ρ ρ 6, 1) Angefertigt am Institut für Mathematik der Technischen Universität Berlin April 003

2

3 Danksagung Ich möchte mich an dieser Stelle bei Prof. Pohst für seine Hilfe bei der Auswahl des Themas und seine Betreuung bedanken. Weiterhin danke ich Detlef Hühnlein für seine hilfreichen Tips und Anregungen und Claus Fieker für seine Hilfe beim Umgang mit KASH. Ich danke Andreas Schöpp und Sebastian Freundt für das Korrekturlesen und deren Hinweise und Vorschläge zur Gestaltung der Arbeit. Vor allem aber möchte ich mich bei meinen Eltern bedanken, die mich immer bedingungslos unterstützt und gefördert haben.

4

5 Inhaltsverzeichnis Symbolverzeichnis vii 1 Einleitung Gliederung Komplexität von Algorithmen Formen 7.1 Formen und deren Klassen Reduzierte Formen Der Zyklus einer Formenklasse Zahlkörper Zahlkörper und Ordnungen Klassengruppe und Regulator Reduzierte Ideale Idealarithmetik Kryptographische Grundlagen Darstellung von Nachrichten Verschlüsselungsprotokolle Das RSA-Verfahren Der Diffie-Hellman Schlüsseltausch Die ElGamal-Verschlüsselung ElGamal für < Der Verschlüsselungsalgorithmus Sicherheit Der zyklische Anteil einer imaginärquadratischen Klassengruppe Die Glattheit einer imaginärquadratischen Klassenzahl Beispiel ElGamal für > Degertsche Zahlkörper Der Zyklus reduzierter Ideale

6 vi Inhaltsverzeichnis 6.3 Der Verschlüsselungsalgorithmus Sicherheit Die Größe einer Degertschen Klassengruppe Der zyklische Anteil einer Degertschen Klassengruppe Die Glattheit der Degertschen Klassenzahl Beispiel Anwendung Laufzeitverbesserungen Praktische Beispiele Zusammenfassung und Ausblick 97 A Berechnungen zu Degertschen Zahlkörpern 101 Tabellenverzeichnis 11 Algorithmenverzeichnis 113 Literaturverzeichnis 115 Stichwortverzeichnis 11

7 Symbolverzeichnis Grundlagen IN Menge der natürlichen Zahlen = {1,, 3,...} IP Z Q IR IM + M sign x M Menge der Primzahlen Menge der ganzen Zahlen Menge der gebrochenen Zahlen Menge der reellen Zahlen {m IM m > 0} IM { Z,Q, IR} Anzahl der Elemente der Menge M Vorzeichenfunktion Es existiert ein eindeutiges x M n, k Natürliche Zahlen expx) Exponentialfunktion expx) = e x ) lnx) log b x) Natürlicher Logarithmus = lnx) lnb) Logarithmus zur Basis b) O f) Größenordnung von f O-Notation)... o f) o-notation... L x [u, v] = exp v + o 1))ln x) u ln ln x) 1 u)... size g) Speicherplatz eines Objektes g...4 Asciiz) Ascii-Code eines Ascii-Zeichens z...44 Chark) Ascii-Zeichen eines Ascii-Codes k...44 Elementare Zahlentheorie Z n C n Die Faktorgruppe Z/n Z Zyklische Gruppe mit n Elementen rankg = k falls G = C p k mit p IP, sonst rankg = 0 α, β, γ Elemente einer Gruppe ord α = min{n IN α n = 1 G } Ordnung eines Gruppenelementes α

8 viii Symbolverzeichnis γ α) Z[x, y] = {γ, γ, γ 3,...} G Erzeugnis eines Gruppenelementes γ Das von α erzeugte Ideal Polynomring in zwei Variablen über Z SL n, Z) Gruppe der Matrizen M Z n n mit det M = 1 a b c Z : c a = b a teilt b) a b a b und a b a teilt b genau) p) α α k=1 1 p k ) p IN, p und α IN { } ζ s) ϕ n) a p r ) Riemannsche Zeta-Funktion = Z n Eulersche ϕ-funktion) 0 p a = 1 b Z p : b a mod p 1 b Z p : b a mod p = z Z mit r z < r + 1 Floor-Funktion) Legendre Symbol) Formen Diskriminante einer Form... 7 f = a, b, c) Darstellung von Formen... 7 f g Äquivalenz von Formen...8 Form ) Menge der Formen mit Diskriminante...9 Cl F ) Klassengruppe der Formen mit Diskriminante...9 h F ) Klassenzahl der Formen mit Diskriminante...9 s f) Korrekturterm für die Normalisierung von Formen...11 η f) Normalisierungsoperator ρ f) Reduktionsoperator... 1 R f) Zyklus reduzierter Formen...13 f Konjugierte Form f g Äquivalenz von konjugierten Formen Form ) = Form ) / π Projektion von f auf die Klasse πf) Form ) Zahlkörper D Quadratfreie Zahl Diskriminante eines Zahlkörpers...19 ) Q Eindeutiger Zahlkörper mit Diskriminante O K = O Maximalordnung zur Diskriminante...19

9 Symbolverzeichnis ix a, b, c Ideale einer Maximalordnung O σ Nichttrivialer Automorphismus von Q D ) /Q... 0 Nα) Norm eines Elementes...0 Na) Norm eines Ideals... 0 a Konjugiertes Ideal...34 R a) Zyklus reduzierter Ideale a, b) Standardrepräsentation eines Ideals... Cl ) Klassengruppe von O... 3 h ) Klassenzahl von O...3 Cl ) Klassen der Ordnung aus Cl ) h ) Anzahl der Klassen der Ordnung aus Cl )...61 Cl odd ) Klassen aus Cl ) mit ungerader Ordnung...61 h odd ) Anzahl der Klassen aus Cl ) mit ungerader Ordnung h cycl ) Größe der größten zyklischen Untergruppe von Cl ) O Einheitengruppe von O... 3 ε Grundeinheit von O... 4 Reg ) Regulator von O...4 P Menge der primitiven Ideale in O... 6 ψa, b)) = ax + bxy + b 4a y Funktion zwischen P und Form )) 6 η a) Normalisierungsoperator ρ a) Reduktionsoperator a b Äquivalenz von Idealen...3 a b Äquivalenz im engeren Sinne von Idealen...8 Cl ) + Klassengruppe von Idealen bezüglich der engeren Äquivalenz 8 [a] Klasse eines Ideals... 3 [a] + Klasse eines Ideals bezüglich der engeren Äquivalenz...8 ψ Cl [a]) = [ψa)] Bijektion zwischen Cl F ) und Cl ) Tabellen τ x) Anzahl der Primzahlen x M x) Anzahl der Primzahlen der Form n + 1 x...75 X Der Durchschnitt einer Zufallsvariablen X δ n) Produkt aller Primzahlen n µ N) = Reg ) h )) / mit = Q N + 1 )) λ N) = Reg ) h cycl ))/ mit = Q N + 1 ))...81 h N, p) Das Ideal p, 1) P mit p N, = Q N + 1 ))...8

10 x Symbolverzeichnis νn) Anzahl der Primfaktoren von hn + 1) P a Liste von Potenzen der Form [a] i von [a], i {1,...,M}...89 ωn) Gewicht einer natürlichen Zahl n B 1, B, B 3 {1000,..., 3000}, {4500,..., 6500} und {8000,..., 10000} /Reg ) u N) = log max{p IP p h )} ) Glattheitskriterium) 101

11 Kapitel 1 Einleitung Im Zeitalter des Computers und des Internets nimmt die Bedeutung der Kryptographie auch für den Normalbürger immer mehr zu. Sie ermöglicht zum Beispiel den sicheren Gebrauch von Kreditkarten und vertrauliche Kommunikation über das Internet. Die Sicherheit heute gebräuchlicher Kryptosysteme basiert auf mathematischen Problemen, die zur Zeit als schwer lösbar gelten, zum Beispiel die Berechnung des Logarithmus in endlichen Gruppen DLP) oder die Zerlegung einer großen natürlichen Zahl in ihre Primfaktoren IFP). Problematisch dabei ist, daß man bis jetzt noch nicht beweisen konnte, daß diese Probleme tatsächlich schwierig sind. Die letzten Jahrzehnte zeigen, daß immer wieder Durchbrüche auf der Suche nach schnelleren Algorithmen möglich sind, so zum Beispiel das Zahlkörpersieb. Neben Versuchen, die Schwierigkeit von mathematischen Problemen zu beweisen oder zu widerlegen, sucht man auch nach neuen Problemen und untersucht deren Verwendbarkeit für Kryptosysteme. Diese könnten dann unsicher gewordene Ansätze ersetzen. Im Zuge dieser Forschungen wurden Ende der siebziger Jahre Elliptische Kurven als mögliche Alternative entdeckt und inzwischen auch zunehmend verwendet. Seit Ende der achtziger Jahre wird auch die Idee untersucht, Klassengruppen quadratischer Zahlkörper für die Verschlüsselung zu verwenden. In dieser Arbeit wollen wir am Beispiel der ElGamal-Verschlüsselung zeigen, wie man Klassengruppen in der Kryptographie einsetzen kann und wovon die Sicherheit des Verfahrens abhängt. Wir betrachten dabei Klassengruppen imaginärquadratischer und reellquadratischer Zahlkörper und vergleichen diese untereinander und mit dem gängigen RSA-Verfahren. Es werden Algorithmen angegeben, die eine Implementation dieses Verfahrens in einem Computeralgebrasystem erlauben. 1.1 Gliederung In den Kapiteln und 3 werden wir uns mit Formen und Zahlkörpern beschäftigen. Dort untersuchen wir auch den Zusammenhang zwischen Formen und Idealen, sowie deren Reduktion und Arithmetik. Nach diesen zahlentheoretischen Grundlagen geht es in Kapitel 4 um die Grundlagen der Kryptographie. Wir stellen dort unter

12 Kapitel 1 Einleitung anderem auch die ElGamal-Verschlüsselung vor. In den Kapiteln 5 und 6 zeigen wir dann, wie das ElGamal-Verfahren in der Klassengruppe imaginärquadratischer bzw. reellquadratischer Zahlkörper realisiert werden kann, wovon dessen Sicherheit abhängt. In Kapitel 7 werden wir die praktische Seite etwas näher beleuchten und die vorgestellten Verfahren miteinander vergleichen. Das letzte Kapitel faßt die Ergebnisse dieser Arbeit zusammen und zeigt Perspektiven für das weitere Studium oder die weitere Forschung auf diesem Gebiet. 1. Komplexität von Algorithmen 1..1 Definition Eine Funktion f : IN IN heißt von der Größenordnung von g : IN IN : c IR + : f n) c g n) für fast alle n IN. Schreibweise: f = O g). 1.. Definition Es seien f, g : IR + IR + Funktionen. Wir schreiben f = o g), falls f x) lim x g x) = Definition Für x, u, v IR, x > exp1), u > 0, 0 v 1 definieren wir L x [u, v] := exp v + o 1)) ln x) u lnln x) 1 u) Definition Ein Algorithmus heißt i) polynomial oder auch effizient, wenn er einen Aufwand in der Größenordnung eines Polynoms in den Bitlängen der Eingabedaten hat, zum Beispiel L n [0, v]. ii) exponentiell, wenn er einen Aufwand in der Größenordnung einer Exponentialfunktion in den Bitlängen der Eingabedaten hat, zum Beispiel L n [1, v]. iii) subexponentiell, wenn er einen Aufwand in der Größenordnung einer Funktion zwischen den beiden obigen hat, also L n [u, v] mit 0 < u < 1.

13 1. Komplexität von Algorithmen 3 iv) probabilistisch, wenn sein Verlauf von Zufallsgrößen abhängt. Es besteht mit einer minimalen Wahrscheinlichkeit die Möglichkeit, daß er nicht terminiert, d. h. der Name Algorithmus ist eigentlich nicht gerechtfertigt. In der Praxis sind solche Verfahren allerdings meist schneller als deterministische Versionen, oft gibt es zu einem Problem nur vernünftige probabilistische Lösungen. Bei ihnen spricht man dann von einem erwarteten Aufwand Definition Ein MIPS-Jahr entspricht dem Arbeitsaufwand eines Rechners, der eine Million Operationen pro Sekunde verarbeiten kann und ein Jahr arbeitet. Das sind also = ,5 Operationen. Für einen guten PC werden wir hier 1000 MIPS veranschlagen, d.h. ein solcher Rechner würde für ein MIPS-Jahr knapp 9 Stunden arbeiten. Die Benutzung dieser Einheit ist nicht unumstritten, aber wegen ihrer Anschaulichkeit oft gebraucht. Für eine genauere Untersuchung empfehlen wir [Sil99] Bemerkung Bezüglich des Angriffs auf Verschlüsselungssysteme werden in dieser Arbeit sehr große Zahlen auftreten. Zum Beispiel schätzt man den Aufwand zur Faktorisierung einer 048-Bit-Zahl auf ca. 6, MIPS-Jahre, das heißt unser Computer würde dafür 6, Jahre benötigen. Geht man von einem geschlossenen Universum aus, so haben wir allerdings nur ca Jahre Zeit, dieses Problem zu lösen. Von solchen Zahlen sollte man sich nicht zu sehr beeindrucken lassen, da es nicht sicher ist, ob sich in den verbleibenden Jahren nicht noch ein schnellerer Algorithmus zur Lösung des Problems findet. Geht man weiterhin davon aus, daß man sich hin und wieder einen neuen Computer kauft, so kann man das Problem letztendlich wieder in Polynomialzeit lösen, da sich die Leistung von Computern momentan ebenfalls exponentiell entwickelt. Nimmt man zum Beispiel die gängige Zeit von 1,5 Jahren zur Verdopplung der Rechenleistung, so entwickelt sich der geleistete Arbeitsaufwand At) wie folgt: A t) = t x dx = ) ) ln ln exp t 1. 3 Also ergibt sich aus At) = 6, als benötigt Zeit: t ln 6, , 5 ln ) ) + 1 ) 38,3 Jahre. 3 ln Den meisten Geheimnissen genügt es allerdings, wenige Jahre geheim zu bleiben.

14 4 Kapitel 1 Einleitung 1..7 Definition Es sei 0 a Z. Die Bitlänge von a inklusive Vorzeichen) wird dann mit size a) := log a + bezeichnet. Wir setzen weiterhin size 0) = Primzahltests Der zur Zeit beste Algorithmus um zu testen, ob eine natürliche Zahl n eine Primzahl ist, ist Morains ECPP aus [AM93], ein probabilistischer Algorithmus der Elliptische Kurven benutzt. Es konnte bewiesen werden, daß dieser Algorithmus polynomial für fast alle Eingaben ist. Heuristisch wurde in [LL90] ein erwarteter Aufwand von O size n) 6+ε) mit ε > 0 ermittelt. Nach dem Primzahlsatz ist die Wahrscheinlichkeit, daß eine zufällige Zahl n eine Primzahl ist gerade ln n. Daher liegt der Aufwand, eine Primzahl mit einer bestimmten Bitlänge k zu finden, also bei O k 7+ε ). Nachdem in diesem Jahr in [AKS0] ein neuer Ansatz für einen deterministischen Primzahltest gefunden wurde, hat Daniel Bernstein in [Ber03] einen entsprechenden Primzahltest mit einem Aufwand von O size n) 4+o1)) vorgestellt. Dieser ist aber praktisch noch viel langsamer als ECPP, und daher keine Alternative. Es bleibt zu hoffen, daß die neuen Ideen in diesem Test zu verbesserten deterministische Tests führen Zufallszahlen Für die Erzeugung von kryptographisch sicheren Zufallszahlen n M IN werden wir den Monster-Algorithmus von G. Marsaglia [Mar00]) verwenden, er hat einen Aufwand von O size M)). Mit Hilfe der letzten beiden Aussagen und den Angaben in [MvOV97, Kap.3] haben wir in Tabelle 1.1 den Aufwand einiger Standardoperationen für ganze Zahlen zusammengetragen. Diese Erkenntnisse bilden die Grundlage für Aufwandsaussagen der meisten von uns entwickelten Algorithmen.

15 1. Komplexität von Algorithmen 5 Name Formel Aufwand Addition a ± b O max{size a), size b)}) Multiplikation ab O size a) size b)) Division mit Rest a = qb + r O size q)size b)) Euklidischer Algorithmus ggt a, b) O size a) size b)) Erweiterter Euklid. Algorithmus ggt a, b) = ua + vb O size a) size b)) Potenzieren modulo n a b mod n O size b) size n)) ) Invertieren modulo n a 1 mod n O size n) ) Quadratwurzel modulo n falls Faktorisierung von n bekannt a mod n O size n) 3 ) Legendre Symbol a n) O size n) ) Primzahltest ECPP) IsPrimen) O size n) 6+ε) Nächstgrößere Primzahl ECPP) NextPrimen) O size n) 7+ε) Zufallszahl n RandomIntn) O size n)) Tabelle 1.1: Aufwand einiger Standardoperationen für ganze Zahlen a, b, n.

16 6 Kapitel 1 Einleitung

17 Kapitel Formen Die Theorie der Formen geht im wesentlichen auf Carl Friedrich Gauß ) zurück und war eines der wichtigsten Werkzeuge der Zahlentheorie. Sie wurde aber bald von Eisensteins und Dedekinds idealtheoretischem Zugang zur Zahlentheorie, wie wir ihn heute kennen, verdrängt. Da moderne Literatur über Formen im Hinblick auf unsere Zwecke heute schwer zu finden ist, wollen wir hier eine etwas ausführlichere Einführung in diese Theorie geben. Sie wird uns helfen, effiziente Algorithmen für das Rechnen in der Klassengruppe zu finden..1 Formen und deren Klassen.1.1 Definition Ein homogenes Polynom zweiten Grades f = f x, y) = ax + bxy + cy Z[x, y], ac 0 heißt ganze binäre quadratische Form oder einfach Form. Sie wird durch a, b, c) dargestellt. Eine Form heißt primitiv : ggt a, b, c) = 1. Die Zahl heißt Diskriminante der Form f. := f) := b 4ac sign f) := sign a) heißt Vorzeichen von f. Dementsprechend nennen wir Formen positiv oder negativ. Im Folgenden heißen primitive ganze binäre quadratischen Formen einfach Formen..1. Definition Es sei f = a, b, c) eine Form. Dann ist size f) := size a) + size b) + size c).

18 8 Kapitel Formen.1.3 Bemerkung Es sei f = a, b, c) eine Form. Dann gilt: 4af x, y) = 4a x + 4abxy + 4acy = ax + by) b y + 4acy = ax + by) y f). Dies zeigt, daß f für f) > 0 positive und negative Werte annimmt. Für f) < 0 nimmt f entweder nur positive oder nur negative Werte an, abhängig davon, welches Vorzeichen a hat. Dies motiviert die folgende.1.4 Definition Eine Form f = a, b, c) heißt i) indefinit, falls f) > 0 ii) definit, falls f) < 0 iii) positiv definit, falls f) < 0 und sign f > 0 iv) negativ definit, falls f) < 0 und sign f < Definition Es seien f x, y) und g x, y) Formen und T = r s t u f heißt mittels T in g transformiert, falls ) SL, Z). f rx + sy, tx + uy) = g x, y)..1) Schreibweise: f T = g. In diesem Fall heißen f und g äquivalent f g)..1.6 Bemerkung Die Äquivalenz von Formen ist eine Äquivalenzrelation, da SL, Z) eine Gruppe ist..1.7 Bemerkung Für äquivalente Formen f = a, b, c) und g =.1) gilt: ã = ar + brt + ct = f r, t) b = ars + b ru + st) + ctu c = as + bsu + cu = f s, u). ) ã, b, c wie in Damit ergibt sich f) = g). Auch alle weiteren bisher genannten Eigenschaften einer Form wie Primitivität, Indefinitheit, positive und negative Definitheit bleiben unter Operationen aus SL, Z) unverändert.

19 . Reduzierte Formen Beispiel Es sei f = a, b, c) eine Form. i) Für M s) := ii) Für P := 1 s ) SL, Z) gilt: f M s) = a, b + as, as + bs + c) ) SL, Z) gilt: f P = c, b, a).1.9 Bemerkung Nach Bemerkung.1.7 zerfällt die Menge aller definiten Formen zu einer gegebenen Diskriminante in die zwei disjunkten Teilmengen der positiv und negativ definiten Formen. Diese Mengen verhalten sich wegen f ist positiv definit f ist negativ definit völlig symmetrisch und werden durch Operationen aus SL, Z) fest gelassen. Da für uns in dieser Arbeit nur indefinite und positive definite Formen wichtig sind, werden wir im Folgenden negative definite Formen nicht mehr betrachten Definition Es sei die Diskriminante einer Form. Wir definieren { {f Form mit f) = und sign f > 0} für < 0 Form ) := {f Form mit f) = } für > 0. Es heißen Cl F ) := Form ) / SL, Z) h F ) := Cl F ) Klassengruppe bzw. Klassenzahl von Form ).. Reduzierte Formen..1 Definition f = a, b, c) Form ) heißt normal, falls eine der folgenden Aussagen gilt: i) f ist positiv definit und a < b a ii) f ist indefinit, a und a < b a iii) f ist indefinit, a < und a < b <.

20 10 Kapitel Formen Das Normalisieren einer Form f = a, b, c) Form ), d.h. das Ersetzen von f durch eine äquivalente normale Form, ist denkbar einfach: Wir berechnen das eindeutige s f) Z, für das gilt. i) Es ist a < b + a s f) a bzw. a < b + a s f) < a < b + a s f) a a b a s f) < a a s f) b + a < a s f) + a sign a s f) a b < sign a s f) + 1 a a b sign a s f) = a a b s f) = sign a a ii) Es ist a < b + a s f) b a s f) < + a a s f) b + < a s f) + a b sign a s f) < sign a s f) + 1 a b sign a s f) = a b s f) = sign a a Wir wählen also folgende

21 . Reduzierte Formen 11.. Definition Es sei f = a, b, c) Form ). Dann sei a b für f positiv definit a s f) := sign a) a b für f indefinit und a a b sign a) für f indefinit und a < a. Nun kommt uns die schon oben betrachtete Matrix M s) zugute, denn sie transformiert f in eine äquivalente normale Form. Dies zeigt gleichzeitig auch, daß jede Form normalisiert werden kann. Wir definieren η f) := f M s f))...3 Definition Eine normale Form f = a, b, c) Form ) heißt reduziert, falls eine der folgenden Aussagen gilt: i) f ist positiv definit und a < c) oder a = c und b 0) ii) f ist indefinit und a < b...4 Bemerkung Eine sei f = a, b, c) eine indefinite Form Dann gilt: f ist reduziert a < b <...5 Lemma Wenn f = a, b, c) normal ist und a < Beweis: Es sei f normal und a < i) f positiv definit:, also 4a <. gilt, so ist f reduziert. < 0 = c = b + 4a 4a > 4a 4a = a. ii) f indefinit: Es gilt a < b da f normal ist. Wegen a < a > 0 also auch a < b. gilt Daher ist f in beiden Fällen reduziert.

22 1 Kapitel Formen..6 Lemma Es sei f = a, b, c) reduziert. Dann gilt: i) f positiv definit = a, b ii) f indefinit = a, b 3 Beweis: i) Es sei f = a, b, c) positiv definit und reduziert. Dann gilt nach Definition b a c, also = 4ac b 4a a = a 3. ii) Es sei f = a, b, c) indefinit und reduziert. Dann gilt a <, also muß a < gelten. Es ist 0 < b <, da f reduziert ist...7 Definition Die Abbildung heißt Reduktionsoperator...8 Bemerkung Es ist ρ : Form ) Form ) : a, b, c) η c, b, a)) ρ f) f f Form ), da ρ f) = η f P) = f P) M s f P)) Das Reduzieren einer Form f = a, b, c), also das Ersetzen von f durch eine äquivalente reduzierte Form, wird durch den folgenden Algorithmus aus [BB97] erreicht: Algorithmus FormReduce Eingabe : Eine Form f = a, b, c) Ausgabe: Eine äquivalente reduzierte Form 1: f := η f) : while f is not reduced do 3: f := ρ f) 4: end while 5: return f Aufwand: O size f) ) Zum Aufwand siehe [BB97].

23 .3 Der Zyklus einer Formenklasse Lemma Für f = a, b, c) Form ) normal gilt: i) a = c a ii) a < = f oder ρ f) ist reduziert. Beweis: [BB97, Lemma 4., S. 5-6]..10 Korollar FormReduce terminiert nach maximal log a ) + Schritten und ist korrekt. Beweis: [BB97, Theorem 4.3, S. 6] In den folgenden beiden Sätzen werden erste grundlegende Unterschiede zwischen definiten und indefiniten Formen sichtbar. Diese übertragen sich später auf Ideale in imaginärquadratischen und reellquadratischen Zahlkörpern...11 Satz Jede positiv definite Form ist äquivalent zu einer eindeutig bestimmten reduzierten Form. Beweis: [Coh95, Prop , S. 6]..1 Satz Für indefinite Formen f gilt: i) Ist f reduziert, dann ist auch ρ f) reduziert. ii) Alle reduzierten Formen äquivalent zu f lassen sich durch wiederholte Anwendung von ρ auf eine reduzierte Form f 1 f berechnen und deren Anzahl ist endlich. Beweis: [Coh95, Prop , S. 59].3 Der Zyklus einer Formenklasse.3.1 Definition Es sei > 0 und f Form ). Dann heißt die Menge {f 1,...,f k } der reduzierten Formen in [f] mit ihrer Struktur f 1 ρ f ρ... ρ f k ρ f 1 Zyklus von reduzierten Formen von f bzw. [f]. Dieser Zyklus ist eindeutig bis auf zyklische Vertauschungen der f i. Schreibweise: R f) = f 1,...,f k ).

24 14 Kapitel Formen.3. Lemma Es sei > 0. Dann gilt: i) Ist f Form ) reduziert, so alterniert deren Vorzeichen unter der Anwendung von ρ. ii) f Form ) h f : sign h) = 1. iii) R f) f Form ). Beweis: i) Es sei f = a, b, c) reduziert. Dann gilt: 0 a < b < = > b = b = 4ac > 0 = ac < 0. Wegen ρ f) = η c, b, a)) = ) c, b, ã wechselt das Vorzeichen von f mit jeder Anwendung von ρ. ii) f ist äquivalent zu einer reduzierten Form g. Wegen i) ist entweder sign g) = 1 oder sign ρ g)) = 1. iii) Es sei f Form ) und g f reduziert. Aus Satz..1 folgt: k IN : g = ρ k g). Wegen Teil i) ist aber sign g) = sign ρ k g) ) nur falls k gerade ist..3.3 Definition Es sei > 0 und f = a, b, c) Form ). Dann heißt f := a, b, c) Form ) konjugierte Form zu f..3.4 Lemma Es sei > 0. Dann gilt: i) f Form ) ist reduziert normal) f ist reduziert normal). ii) s f ) = s f) f Form ) iii) η f ) = η f) iv) ρ f ) = ρ f) f Form ) f Form ) v) FormReducef ) = FormReducef) f Form ).

25 .3 Der Zyklus einer Formenklasse 15 Beweis: i) f unterscheidet sich von f nur in den Vorzeichen von a und c. Da diese aber in der Definition von normalen und reduzierten Formen keine Rolle spielen, folgt die Behauptung. ii) Es sei f = a, b, c) Form ). Dann gilt: s f ) = s a, b, c)) sign a) a b a = b sign a) a sign a) = a b a b sign a) = s a, b, c)) = s f). iii) Es sei f = a, b, c) Form ). Dann gilt: a für a für a < für a für a < η f ) = η a, b, c)) = a, b as f ), as f ) + bs f ) c ) = a, b + as f), as f) bs f) c ) = a, b + as f),as f) bs f) c ) = η a, b, c)) = η f). iv) Es sei f = a, b, c) Form ). Dann gilt: v) Folgt aus Teil iii) und iv) ρ f ) = ρ a, b, c)) = η c, b, a)) = η c, b, a) ) = η c, b, a)) = ρ f)..3.5 Lemma Es sei > 0. Dann gilt: i) Ist R f) = f 1,...,f k ), so ist R f ) = f 1,..., f k ). ii) Ist R f) = R f ), also g g f 1 ρ f ρ... ρ f k In diesem Fall gilt k = R f). g [f], so hat R f) die Form ρ f 1 ρ f ρ... ρ f k ρ f 1.

26 16 Kapitel Formen Beweis: i) Folgt aus Lemma.3.4. ii) Ist ebenfalls klar nach Lemma.3.4. Wäre ) k gerade, so wäre nach Teil i) von Lemma.3. sign f 1 ) = sign ρ k f 1 ) = sign f1 ), was ein Widerspruch ist..3.6 Beispiel Wir wollen die beiden Möglichkeiten für konjugierte Zyklen an einem Beispiel veranschaulichen. f = 1, 15, 16) Form993): 1, 15, 16) ρ 16, 17, 11) 1, 15, 16) ρ 16, 17, 11) ρ ρ 19, 9,1) 11, 7, 6) ρ, 9, 19) R f) ρ 6, 1, 3) ρ ρ 19, 9, 1) 11, 7, 6) ρ, 9, 19) R f ) ρ 6, 1, 3) ρ 4, 31, ) ρ 3, 5, 4) ρ ρ 4, 31, ) ρ 3, 5, 4) ρ f = 83, 69, 17) Form10405) : 83, 69, 17) ρ ρ 3, 97, 83) 17, 101, 3) ρ Rf) = Rf ) ρ 17, 101, 3) 3, 97, 83) ρ ρ 83, 69, 17).3.7 Definition Es sei > 0. Die letzten beiden Lemmata.3.4 und.3.5 zeigen, daß sich f und f völlig symmetrisch verhalten. Wir definieren daher: f g : g {f, f }. Da eine Äquivalenzrelation ist, definieren wir Form ) := Form ) /

27 .3 Der Zyklus einer Formenklasse 17 und erhalten die Projektion auf die Klassen: π : Form ) Form ) : f πf). Wir weichen hier von der üblichen Schreibweise für Klassen ab, um Verwechslungen mit [f] zu vermeiden..3.8 Definition Wegen Lemma.3.4 und.3.5 sind die Eigenschaften normal und reduziert, der Zyklus R sowie die Abbildungen η und ρ nur von der Klasse bezüglich abhängig. Wir können diese Begriffe und Abbildungen also sinnvoll auf Form ) fortsetzen..3.9 Definition Wir setzen ebenfalls auf Form ) fort: f, g Form ). πf) πg) f g oder f g.3.10 Korollar Es sei > 0 und πf) Form ). Dann gilt: i) Ist πf) reduziert, dann ist auch ρ πf)) reduziert. ii) Alle reduzierten Formen äquivalent zu πf) lassen sich durch wiederholte Anwendung von ρ auf eine reduzierte Form πf 1 ) πf) berechnen und deren Anzahl ist endlich. Beweis: Folgt aus Satz Bemerkung Es sei f Form ). Die Zyklen reduzierter Formen vereinfachen sich wie folgt: i) Für ii) Für werden beide Zyklen zu einem: halbiert sich der Zyklus: R f ) R f) = f 1,...,f k ) R πf)) = R πf )) = πf 1 ),...,πf k )). R f ) = R f) = f 1,...,f k, f 1,...,f k ) R πf)) = πf 1 ),...,πf k )).

28 18 Kapitel Formen.3.1 Beispiel Dieses Beispiel zeigt, wie sich die Zyklen aus Beispiel.3.6 in Form ) vereinfachen. Wir schreiben dabei statt πf) immer den positiven Vertreter aus πf). f = 1, 15, 16) Form993) : 1, 15, 16) ρ 16, 17, 11) ρ ρ 19, 9, 1) 11, 7, 6) ρ, 9, 19) Rπf)) = Rπf )) ρ 6, 1, 3) ρ 4, 31, ) f = 83, 69, 17) Form10405): ρ 83, 69, 17) ρ 3, 5, 4) ρ Rπf)) ρ 3, 97, 83) 17, 101, 3) ρ

29 Kapitel 3 Zahlkörper Dieses Kapitel wiederholt zunächst die Grundlagen über Zahlkörper und deren Ordnungen, Ideale und Klassengruppen. In Abschnitt 3.3 betrachten wir den Zusammenhang zwischen Idealen und Formen, um die Theorie der Reduktion auch für Ideale zu nutzen. In Abschnitt 3.4 zeigen wir, wie man effizient mit Idealen bzw. deren Klassen rechnen kann. 3.1 Zahlkörper und Ordnungen Definition Es sei D Z, D 1 quadratfrei, das p D p IP. Dann heißt ) { K := Q D := a + b } D a, b Q quadratischer Zahlkörper. := K) := { D für D 1 mod 4, 4D für D, 3 mod 4. heißt Diskriminante von K. Im Folgenden ist stets D Z eine quadratfreie Zahl D ) D ) ) und die Diskriminante von Q. Statt Q werden wir nun auch Q schreiben, da den Zahlkörper eindeutig definiert Definition Es sei K ein quadratischer Zahlkörper mit Diskriminante. Dann heißt der Ring O K := O := { Maximalordnung von K bzw.. a + b + } a, b Z ) Q

30 0 Kapitel 3 Zahlkörper Bemerkung Es sind 1 und + linear unabhängig über Q, die obige Darstellung von Elementen aus O ist also eindeutig. ) Definition Ein quadratischer Zahlkörper Q, seine Maximalordnung O und seine Diskriminante heißen 1. reellquadratisch, falls > 0.. imaginärquadratisch, falls < 0. Bevor wir einen wichtigen Satz über die Darstellung von Idealen in O beweisen, führen wir eine wichtige Funktion ein: D ) Definition Es sei σ : Q D ) Q : x + y D x y D D ) das nichttriviale Element der Automorphismengruppe von Q /Q. Es sei α = x + y D ) D Q mit x, y Q. Dann heißt N α) := ασ α) = x + y ) D x y ) D = x y D. Norm von α. Diese Abbildung ist wegen Bemerkung wohldefiniert Lemma Es sei a ein Ideal von O. Dann ist der Faktorring O /a endlich. Beweis: [Nar74, Satz , S. 437] Definition Es sei a ein Ideal von O. heißt Norm von a. N a) := [O : a] = O /a) ) Lemma Es seien α, β Q und a, b Ideale in O. Dann gilt: i) Nα β) = N α) N β) ii) Na b) = Na) N b) iii) Nα a) = Nα) N a) iv) Nα)) = Nα). Beweis: [Nar74, Satz , , S. 437]

31 3.1 Zahlkörper und Ordnungen Satz Es sei {0} a O. Dann gilt: a ist ein Ideal a, m IN, b Z mit a = m a Z + b + ) Z, b 4a Z und s a, b, b 4a )) = 0 s wie in Definition..). Es gilt weiterhin N a) = m a. Beweis: Es sei a ein Ideal. Nach Proposition 5..1 in [Coh95] kann a durch eine Matrix ) x y A := mit x, y, z Z, z x, y und x, z > 0 0 z in Hermite-Normalform bezüglich einer Basis {1, ω} dargestellt werden, das heißt x Z + y + zω) Z. Dabei sind x, z eindeutig, y ist eindeutig modulo x. Für folgt damit ω = + a = x Z + y + zω) Z = x Z + y + z + ) Z y x = z z Z + + ) + ) z Z. Es sei nun a := x z, b := y z + und m := z. Nach Satz in [Nar74] gilt also N m N a) = det A, a Z + b + Z )) = xz = a m. Wir haben bis jetzt: a, m > 0 und b Z. a und m sind dabei eindeutig, da x und y eindeutig waren, b ist eindeutig modulo a, es gibt also genau ein b,

32 Kapitel 3 Zahlkörper )) welches s a, b, b 4a a ein Ideal ist, gilt = 0 erfüllt. Dazu bleibt zu zeigen, daß b 4a ω b + a. Es existieren also eindeutige u, v Z mit ua + v b + = ω b + = + = 1 4 b + b + + b + ) ) Z. Da 3.1) 3.) 3.3) = b + b + + b 4 3.4) Damit ist b = u Z. 4a ) Es sei a = m a Z + b+ Z eine wie in der Voraussetzung beschriebene Menge. Um einzusehen, daß a ein Ideal ist, genügt es zu zeigen, daß ωa und ω b+ a. Es ist ωa = a + a ) b = da 4 b also b und damit a, b Z. Wie in Gleichung 3.1) gesehen, gilt weiterhin: wegen b 4a ω b + und b+ Z. = b 4a a + b + a + a b + b + a, a Definition Es sei {0} a O ein Ideal, 0 α K. Dann heißt α a gebrochenes Ideal von O. Für b = α a Z + b + ) Z gemäß Satz heißt α a, b) Standardrepräsentation von b. b heißt primitiv, falls α = 1. Die Menge der primitiven Ideale wollen wir mit P bezeichnen. Im Folgenden wird mit a = a Z + b + Z = a, b) immer die eindeutige Darstellung eines primitiven Ideals a gemäß Satz gemeint.