Kapitel 2. Elementare Zahlentheorie Primfaktorzerlegung

Transkript

1 Kapitel 2. Elementare Zahlentheorie 2.1. Primfaktorzerlegung Menge der ganzen Zahlen Z = {..., 3, 2, 1, 0, 1, 2, 3,...} Addition Inverse Multiplikation Z Z Z, Z Z, Z Z Z, (a, b) a + b a a (a, b) a b Ausgezeichnete Elemente 0, 1 Z 1

2 Rechenregeln: für a, b, c Z gelten (a + b) + c = a + (b + c) (+ ist assoziativ) a + b = b + a (+ ist kommutativ) a + 0 = 0 + a = a (0 ist neutrales Element bzgl. +) a + ( a) = ( a) + a = 0 (Inverse bzgl. +) (a b) c = a (b c) ( ist assoziativ) a b = b a ( ist kommutativ) a 1 = 1 a = a (1 ist neutrales Element bzgl. ) a (b + c) = a b + a c (Distributivgesetz) 2

3 Definition. Eine Menge R mit Abbildungen R R R, R R, R R R, a a (a, b) a + b (a, b) a b und ausgezeichneten Elementen 0, 1 R, welche die obigen Rechenregeln erfüllen, heißt ein kommutativer Ring. 3

4 Beispiel. Die Mengen Z = {ganze Zahlen} Q = {rationale Zahlen} R = {reelle Zahlen} mit den üblichen Verknüpfungen + und sind kommutative Ringe. 4

5 Definition. Sei R ein kommutativer Ring. R heißt Körper, falls 0 1 und für jedes a R \ {0} ein b R existiert mit a b = 1. Bemerkung. Das Element b heißt das (multiplikativ) Inverse von a. Beispiel. Z ist kein Körper Q und R sind Körper 5

6 Definition. Seien a, b Z. a teilt b, geschrieben a b, falls ein a Z existiert mit aa = b. Schreibweise: a b, falls nicht a b. Beispiel. 2 6, 6 12, 3 8 a 0, 1 a, a a für alle a Z 6

7 Behauptung. Aus a b und b c folgt a c. Behauptung. Für a, b Z gilt: a b und b a = a = b oder a = b. Folgerung. ist eine partielle Ordnung in N. Behauptung. Seien a, b, c, d Z. Dann (1) c a und c b = c (a + b) und c (a b) (2) c a = (cd) (ad) 7

8 Definition. Eine Primzahl ist eine ganze Zahl p mit p 2 und der Eigenschaft für alle a Z. a p und a > 1 = a = p Wir haben schon bewiesen (indirekter Beweis) Satz. (Euklid) Es gibt unendlich viele Primzahlen. Bemerkung. Die größte bis heute bekannte Primzahl (Sept. 2006) ist (mit Dezimalstellen) 8

9 Variante des Prinzips der vollständigen Induktion. Für jedes n N, n n 0, sei A(n) eine Aussage. Es gelte: Induktionsverankerung: A(n 0 ) ist wahr. Induktionsschritt: Für alle n N gilt: Ist A(k) wahr für alle n 0 k n, so ist A(n + 1) wahr. Dann ist A(n) wahr für alle n n 0. 9

10 Satz. Jede Zahl n N, n 2, ist ein Produkt von endlich vielen Primzahlen. Bemerkung. Die algorithmische Faktorisierung von ganzen Zahlen ist ein sehr schwieriges Problem. Darauf beruhen heute einige Kryptosysteme. 10

11 Satz. Die Zerlegung einer Zahl n N, n 2, in Primzahlen ist eindeutig bis auf die Reihenfolge der Primfaktoren. D.h. ist n = p 1 p 2... p r = q 1 q 2... q s mit r, s 1 und Primzahlen p 1,... p r, q 1,..., q s, so folgt r = s und es gibt eine bijektive Abbildung α: {1, 2,..., r} {1, 2,..., r}, sodass p i = q α(i) für 1 i r. Beweis später. 11

12 2.2 Darstellung ganzer Zahlen Definiere N 0 = {0, 1, 2, 3,...}. Satz. Zu (a, b) N 2 0 mit b > 0 gibt es genau ein Paar (q, r) N 2 0 mit a = qb + r und 0 r < b Bezeichnung: q heißt der Quotient und r der Rest bei der Division von a durch b: q = a quot b, r = a rem b. 12

13 Algorithmische Beschreibung Eingabe: a, b N 0, wobei b 2. Ausgabe: Liste R (b-adische Darstellung von a) R ( ) {leere Liste} while a 0 do r a rem b a a quot b leftappend r to R end-while end. 13

14 Definition. Sei b N, b 2. Seien a, l N. Ein Tupel (r l 1, r l 2,..., r 0 ) N l 0 mit r l 1 0 und r k < b für 0 k < l, heißt b-adische Darstellung von a N, falls a = r l 1 b l 1 + r l 2 b l r 1 b + r 0. Man schreibt auch und nennt b die Basis. a = (r l 1 r l 2... r 0 ) b b = 2 b = 8 b = 10 b = 16 Dual Oktal Dezimal Hexadezimal 14

15 Satz. Sei b N, b 2, a N 0. Dann hat a eine b-adische Darstellung und diese ist eindeutig bestimmt. Beispiel = = (3081) = = ( ) = = (C09) 16 (Man schreibt hier A, B, C, D, E, F statt 10, 11, 12, 13, 14, 15.) 15

16 2.3 GGT und Euklidischer Algorithmus Definition. Seien a, b Z. Eine Zahl c N 0 heißt größter gemeinsamer Teiler (ggt) von a und b, falls gilt: (1) c a und c b (2) d Z (d a und d b = d c) Bemerkung. Der ggt ist eindeutig bestimmt (falls er existiert). Bezeichnung c = ggt(a, b) Definition. a, b Z heißen teilerfremd, falls ggt(a, b) = 1. 16

17 Gibt es immer einen ggt? Wenn ja, wie berechnet man ihn (effizient)? Lemma. Sei a = qb + r, wobei a, b, q, r Z. Dann gilt ggt(a, b) = ggt(b, r). 17

18 Euklidischer Algorithmus Eingabe: (a, b) N 2 0 mit b 0. Ausgabe: ggt(a, b) while b 0 do q a quot b r a rem b a b b r end-while return(a) end. 18

19 Der Algorithmus terminiert, weil b bei jedem Schleifendurchgang kleiner wird. Der Algorithmus arbeitet korrekt (d.h. gemäß Spezifikation) aufgrund des Lemmas. 19

20 Definition. Der Absolutbetrag von a Z ist definiert als a falls a 0, a := a sonst. Bemerkung. ggt(a, b) = ggt( a, b ) für a, b Z. Folgerung. Für alle a, b Z existiert der ggt(a, b). 20

21 Zurück zum Beispiel a = 126, b = = = = =

22 = = ( 3) 35 = 21 (= ) ( 1) = 14 (= 35 21) ( 7) 35 = 7 (= 21 14) Also für a = 126, b = 35 Das geht allgemein! 2 a + ( 7) b = ggt(a, b) 22

23 Erweiterter Euklidischer Algorithmus Eingabe: (a, b) N 2 0 mit b 0 Ausgabe: (d, s, t) Z 3 mit d = ggt(a, b) und s a + t b = d r 0 a; r 1 b s 0 1; t 0 0 s 1 0; t

24 i 1 while r i 0 do q i r i 1 quot r i r i+1 r i 1 rem r i s i+1 s i 1 q i s i t i+1 t i 1 q i t i i i + 1 end-while return (r i 1, s i 1, t i 1 ) 24

25 Satz. Der Algorithmus durchlaufe bei Eingabe (a, b) N 2 0, b 0, genau l Schleifen (l N 0 ). Dann ist r l+1 = 0. Für 1 i l + 1 gilt: (1) r i < r i 1 falls i 2 (2) ggt(r i 1, r i ) = ggt(a, b) (3) s i a + t i b = r i Folgerung. (i) Der Algorithmus terminiert. (ii) Es gilt r l = ggt(a, b) und s l a + t l b = ggt(a, b). 25

26 Nachtrag: Eindeutigkeit der Primfaktorzerlegung. Lemma. Seien a, b, p Z und p eine Primzahl. Dann gilt p (ab) = (p a oder p b). Satz. Die Zerlegung einer Zahl n N, n 2, in Primzahlen ist eindeutig bis auf die Reihenfolge der Primfaktoren. D.h. gilt n = p 1 p 2... p r = q 1 q 2... q s mit r, s 1 und Primzahlen p 1,... p r, q 1,..., q s, so folgt r = s und es gibt eine bijektive Abbildung α: {1, 2,..., r} {1, 2,..., r} so dass p i = q α(i) für 1 i r. 26

27 2.4 Rechnen modulo n Definition. Sei m N, m 1. Zwei Zahlen a, b Z heißen kongruent modulo m, falls m (b a). Man schreibt dafür a m b oder a b (mod m). Lemma. (1) m ist eine Äquivalenzrelation in Z. (2) m ist eine Kongruenzrelation in Z, d.h. für a, b, a, b Z gilt: (a m a ) (b m b ) = (a + b m a + b ) (ab m a b ). 27

28 Definition. Für m, a Z, m 1, heißt die Äquivalenzklasse von a die Restklasse von a modulo m. [a] m := {x Z: x m a} Offensichtlich gilt a m a [a] m = [a ] m. Definition. Sei m N, m 1. Die Menge der Restklassen modulo m ist eine Partition von Z. Sie wird mit Z m (oder Z/(m)) bezeichnet. Also Z m = {[a] m : a Z}. 28

29 Lemma. Sei m N, m 1. Jede Restklasse modulo m enthält eine eindeutig bestimmte Zahl r {0, 1,..., m 1}, welche durch Division mit Rest gewonnen wird: a = qm + r, 0 r < m = a m r r m r 0 r, r < m = r = r Folgerung. Z m = {[0] m, [1] m,..., [m 1] m } und Z m = m. 29

30 Wir definieren folgende Operationen auf der Menge Z m (m N, m 1): +: Z m Z m Z m, ([a] m, [b] m ) [a + b] m : Z m Z m, [a] m [ a] m : Z m Z m Z m, ([a] m, [b] m ) [a b] m Behauptung. Diese Abbildungen sind wohldefiniert, d.h. sie hängen nicht von der Wahl der Repräsentanten der Äquivalenzklassen ab. 30

31 Satz. Sei m N, m 1. Die Menge Z m mit den Abbildungen +,, und den ausgezeichneten Elementen [0] m, [1] m ist ein kommutativer Ring. Man schreibt: [a] m + [b] m := [a + b] m [a] m := [ a] m [a] m [b] m := [a b] m 31

32 Beweis. Es müssen die folgenden Rechenregeln gezeigt werden: Für α, β, γ Z m gelten (α + β) + γ = α + (β + γ) (+ ist assoziativ) α + β = β + α (+ ist kommutativ) α + 0 = 0 + α = α (0 ist Neutralelement von +) α + ( α) = ( α) + α = 0 (Inverse bzgl. +) (α β) γ = α (β γ) ( ist assoziativ) α β = β α ( ist kommutativ) α 1 = 1 α = α (1 ist Neutralement von ) α (β + γ) = α β + α γ (Distributivgesetz) 32

33 Bemerkung. Sei m N, m 1. Die Abbildung f : Z Z m, a [a] m erfüllt folgende Eigenschaften für a, b Z: f(a + b) = f(a) + f(b) f( a) = f(a) f(a b) = f(a) f(b) f(0) = [0] m, f(1) = [1] m Allgemein nennt man eine Abbildung f : R S zwischen kommutativen Ringen mit diesen Eigenschaften einen Ringhomomorphismus. Das obige f ist also ein surjektiver Ringhomomorphismus. 33

34 Definition. Sei R ein kommutativer Ring, a R. (1) a heißt Einheit, falls es b R gibt mit a b = 1 (b heißt Inverses von a). (2) a heißt Nullteiler, falls es ein b R\{0} gibt mit a b = 0. Bemerkung. (1) Ist a R eine Einheit, so ist sein Inverses eindeutig bestimmt. Dieses wird mit a 1 bezeichnet. (2) Sind a, b Einheiten, so auch a 1 und a b. Ferner ist 1 eine Einheit. (3) 0 ist ein Nullteiler. Es gilt {a: a Einheit } {a: a Nullteiler } =. 34

35 Bemerkung. Sei R ein kommutativer Ring. Dann R ist ein Körper {a R: a Einheit } = R\{0}. Bezeichnung: R : = {a R: a Einheit } heißt die Einheitengruppe des Ringes R. Was sind die Einheiten in Z m? Für welche m ist Z m ein Körper? 35

36 Satz. Sei m N, m 1. Dann Z m = {[a] m : a Z, ggt(a, m) = 1}. Ergänzung. Der Beweis zeigt, dass die Inversen mittels des erweiterten Euklidischen Algorithmus berechnet werden können. 36

37 Satz. Sei m N, m 1. Der Restklassenring Z m ist genau dann ein Körper, wenn m eine Primzahl ist. Die endlichen Körper Z p sind außerordentlich wichtig in der Informatik. Andere Bezeichnung dafür: F p = Z p für eine Primzahl p. Sie haben Anwendungen in: - Codierungstheorie - Kryptographie - Komplexitätstheorie - usw. 37

38 2.5 Satz von Euler und effizientes Potenzieren Definition. Die Eulersche Phi-Funktion (L. Euler, ) ist definiert durch Gemäß unserer Beschreibung von Z m gilt ϕ(m) := Z m für m N, m 1. ϕ(m) = {a Z: 0 a < m, ggt(a, m) = 1}. Bemerkung. Für eine Primzahl p gilt ϕ(p) = p 1, da ggt(a, p) = 1 für 1 a < p. 38

39 Satz. Für eine Primzahl p und e N, e 1, gilt ϕ(p e ) = p e 1 (p 1). Bemerkung. Seien m, n teilerfremde Zahlen. Dann gilt ϕ(mn) = ϕ(m)ϕ(n). 39

40 Satz von Euler. Seien a, m Z teilerfremd und m 1. Dann gilt Für den Beweis holen wir etwas aus. a ϕ(m) m 1. 40

41 Definition. Eine Menge G mit Abbildungen G G G, G G, (a, b) a b a a und einem ausgezeichneten Element e G heißt Gruppe, falls folgende Rechenregeln für alle a, b, c G gelten: (a b) c = a (b c) (Assoziativität) a e = e a = a (neutrales Element) a a = a a = e (Inverse). Gilt zusätzlich das Kommutativitätsgesetz so heißt G abelsch (oder kommutativ). a b = b a für a, b G 41

42 Beispiel. Sei R ein kommutativer Ring. 1. R ist mit den Festsetzungen a b := a + b, a := a, e := 0 eine abelsche Gruppe. Diese heißt die additive Gruppe des Rings und wird mit (R, +) bezeichnet. Beispiel: (Z, +), (Q, +), (R, +), (Z m, +) 42

43 2. R = {a R: a Einheit in R} ist mit den Festsetzungen a b := a b, a := Inverse von a, e := 1 eine abelsche Gruppe. Diese heißt die Einheitengruppe des Rings und wird mit (R, ) bezeichnet. Beispiel: (Z = { 1, 1}, ), (Q = Q\{0}, ) Besonders interessant ist die Einheitengruppe Z m von Z m. 43

44 Man schreibt die Operation in G manchmal additiv: a b = a + b, e = 0 oder multiplikativ: a b = a b, e = 1. 44

45 Definition. Sei G eine Gruppe mit multiplikativ geschriebener Operation. Die Potenzen von g G werden rekursiv definiert durch g 0 : = 1 g n : = (g n 1 ) g für n N. Außerdem definiert man für n N und g G g n := (g) n. Bemerkung. g = g 1. Mit Induktion zeigt man leicht das Potenzgesetz g n g m = g n+m für n, m Z. 45

46 Bezeichnung. Eine Gruppe G heißt endlich, falls die Menge G endlich ist. Satz. Sei G eine endliche abelsche Gruppe (multiplikativ geschrieben). Dann gilt g G = 1 für alle g G. 46

47 Wenden diesen Satz auf die Gruppe G = Z m an. Satz von Euler. Seien a, m Z teilerfremd und m 1. Dann gilt a ϕ(m) m 1. Der Satz von Euler liefert für eine Primzahl m = p folgendes Ergebnis: Kleiner Satz von Fermat ( ). Für eine Primzahl p und a Z mit p a gilt a p 1 p 1. 47

48 Algorithmus Square and Multiply Eingabe: Gruppe G, g G, n N Ausgabe: g n x 1; y g; k n {Kommentar: g n = y k x} while k > 0 do end-while return(x) end. if 2 k then y y 2 ; k k/2 else x xy; y y 2 ; k (k 1) 2 end-if 48

49 Behauptung. Sei n = α l 1 2 l α α 0 mit a l 1 = 1, α i {0, 1}. Für 1 i l gilt nach dem i-ten Schleifendurchgang x = g α i 12 i α 0 y = g 2i k = α l 1 2 l 1 i α i α i Dies folgt leicht mit Induktion nach i. Insbesondere gilt nach dem l-ten Schleifendurchgang x = g α l 12 l α 0 = g n. Die Ausgabe des Algorithmus ist also tatsächlich g n. 49

50 2.6 Das RSA Kryptosystem Bob möchte Alice eine geheime Nachricht übers Internet schicken. Dazu wird der Klartext x von Bob verschlüsselt zum chiffrierten Text y. Dieser wird übers Internet verschickt. Anschließend entschlüsselt Alice den Text y. Traditionellerweise verwenden Alice und Bob zum Ver- und Entschlüsseln den gleichen geheimen Schlüssel. Der sichere Schlüsselaustausch kann problematisch sein. 50

51 Revolutionäre Idee von Diffi und Hellmann (1976) der asymmetrischen Kryptosysteme: Jeder Teilnehmer hat einen öffentlichen und einen privaten Schlüssel Ferner hat man in Abhängigkeit dieser Schlüssel eine Verschlüsselungsfunktion E (encrypt) Entschlüsselungsfunktion D (decrypt) Gewünschte Eigenschaften 1. Korrekte Entschlüsselung: Für jeden Klartext x gilt D(E(x)) = x. 2. Public Key Eigenschaft: Aus dem privaten Schlüssel kann der öffentliche Schlüssel effizient berechnet werden, aber nicht umgekehrt. 3. Die Funktion E und D sind effizient berechenbar. 51

52 Jeder Teilnehmer erzeugt für sich einen privaten Schlüssel und berechnet daraus den öffentlichen Schlüssel. Der öffentliche Schlüssel wird publiziert. Ist es überhaupt möglich, so ein System zu konstruieren? Ja! Mittels Zahlentheorie. 52

53 RSA System Seien p, q verschiedene Primzahlen, n = pq Sei d N mit ggt(d, ϕ(n)) = 1, d < ϕ(n). Privater Schlüssel: (p, q, d). Berechne e N mit ed ϕ(n) 1, e < ϕ(n), mittels dem erweiterten Euklidschen Algorithmus. Öffentlicher Schlüssel: (n, e). Verschlüsselungsfunktion E : Z n Z n, x x e Entschlüsselungsfunktion D : Z n Z n, y y d 53

54 Die Funktionen E und D können mittels des Algorithmus Square and Multiply effizient berechnet werden. Korrekte Entschlüsselung? Proposition. Seien e, d, n wie im RSA System. Dann gilt für alle x Z x ed n x. 54

55 Zur Sicherheit Satz. Die folgenden drei Probleme sind polynomialzeitäquivalent (gegeben n) (1) Faktorisierung von n (2) Berechnen von ϕ(n) (3) Berechnen von d Wir verzichten auf den Beweis. Die Faktorisierung von n = pq für Primzahlen p, q etwa gleicher Größe (z.b. 100 Dezimalstellen) gilt als sehr schwieriges Problem. Anderseits kann man leicht Primzahlen dieser Größe erzeugen. 55