Elementare Zahlentheorie. Vorlesung im Sommersemester 2012 TU-Kaiserslautern

Transkript

1 Elementare Zahlentheorie Vorlesung im Sommersemester 2012 TU-Kaiserslautern gehalten von C. Fieker Version vom 9. Juli 2012

2

3 Inhaltsverzeichnis Kapitel 1. Einführung 1 Kapitel 2. Lineare Diophantische Gleichungen 3 Kapitel 3. Multiplikative Funktionen 9 Kapitel 4. Kryptographie: RSA 17 Kapitel 5. Primitivwurzeln modulo N Quadratische Reste Rabin-Cryptosystem Das Quadratische Sieb 32 Kapitel 6. Quadratische Zahlkörper 35 Anhang A. Übungszettel 45 i

4 KAPITEL 1 Einführung Elementare Zahlentheorie ist nicht elementar. Das Wort elementar bedeutet, dass sie sich im wesentlichen mit dem Ring Z der ganzen Zahlen beschäftigt und nicht mit komplizierteren Ringen wie Z[i] z.b.. Andererseits werden viel, sehr viel komplizierte Techniken benutzt um Aussagen über Z zu zeigen. Fragen, die untersucht werden: Wie viele Primzahlen gibt es? Gibt es viele Primzwillinge, also Primzahlen p wo p + 2 auch Prim ist. Was ist mit Primdrillingen? Wie kann ich feststellen ob eine Zahl Prim ist? Wie viele ganze Lösungen hat der Satz von Pythargoras? (a 2 + b 2 = c 2 ) Gibt es x, y Z mit x 2 ± dy 2 = ±1? Gibt es (viele) Primzahlen mit p i mod N? Gibt es Zahlen mit der Eigenschaft, dass sie die Summe aller Teiler sind? Wie viele Zahlen < gibt es die quadratfrei sind, nur Primteiler < 20 haben,... Viele dieser Frage sind einfach zu stellen aber sehr schwer zu beantworten. Oft wollen wir die Frage auch explizit beantworten, z.b. wollen wir ein/alle x, y mit x 2 +dy 2 = 1 haben. Wie wir sehen werden so gibt es maximal endlich viele Lösungen für d > 0 und, wenn es überhaupt welche gibt, unendlich viele für d < 0. Wie wir auch sehen werden sind die Lösungen aber sehr groß, die kleinste Lösung kann etwa log x = d sein, also kann man das nicht sinnvoll durch ausprobieren lösen. (Andererseits: Prinzipiell kann man natürlich einfach alle Paare (x, y) Z 2 ausprobieren. Wenn es eine Lösung gibt, so werden wir sie finden.) Gleichungen bei denen nur ganze Lösungen gesucht werden heißen Diophantisch. Man kann zeigen (nicht elementar), dass es schon keinen Algorithmus geben kann, der nur für alle f Z[x, y] entscheiden kann ob es Lösungen gibt. Daher werden hier sehr viele Klassen von Problemen explizit direkt untersucht während theoretische Methoden untersucht werden die häufig klappen. 1

5

6 KAPITEL 2 Lineare Diophantische Gleichungen Beispiel 2.1: Seien A Z n m und b Z n beliebig. Gibt es x Z m mit Ax = b? Mit dem Gauß-Algorithmus kann man einfach testen, ob es solche x Q m gibt, aber Z? Hier werden wir nur den Fall n = 1 vollständig untersuchen. Definition 2.2: Es sei R ein (kommutativer) Ring (mit Eins). (1) a R heißt Nullteiler, falls es b 0 gibt mit ab = 0 (2) Falls R keine Nullteiler 0 hat, so heißt R Integritätsring. (3) Wir schreiben a b ( a teilt b ) falls es ein c R gibt mit ac = b (4) p R heißt Primelement, falls aus p ab immer p a oder p b folgt. (5) R := {x R y R : xy = 1} (6) p R heißt irreduzibel, falls aus p = ab immer a R oder b R folgt. Jedes Primelement ist irreduzibel. (7) a, b R heissen assoziiert falls es c R gibt mit a = bc. Dies ist äquivalent zu a b und b a. (8) R heißt Hauptidealring falls es für jedes Ideal A < R ein a R gibt mit A = (a) = ar. Satz 2.3: Es sei R ein Hauptidealring. Dann gilt (1) Jedes irreduzible Element ist prim. (2) Jedes a R \ {0} hat eine bis auf die Reihenfolge und bis auf Einheiten eindeutige Zerlegung in Primfaktoren. Also ist R ein ZPE oder faktorieller Ring. Bemerkung 2.4: In dieser Vorlesung sind Primzahlen immer positive Primelemente in Z. Also ist 2 eine Primzahl, 2 jedoch nicht. Andererseits ist 2 ein Primelement in Z. 1 ist keine Primzahl und auch kein Primelement. Mit dieser Vereinbarung hat jede positive ganze Zahl eine eindeutige Zerlegung in Primzahlen wenn wir diese nach der Größe sortieren. Die Menge der Primzahlen ist P oder P Z. Satz 2.5 (Division mit Rest): Seien a und b Z, b 0. Dann gibt es q und r Z mit a = qb + r und 0 r < b. (Also ist Z ein Euklidischer Ring). Satz 2.6 (ggt): Für a, b Z, nicht beide 0, gibt es 0 < g Z mit g = max{x : x a, x b}, g heißt der grösste gemeinsame Teiler (ggt) von a und b. a, b heissen teilerfremd falls ggt(a, b) = 1 gilt. Für a, b Z, nicht 0, gibt es 0 < k Z mit g = min{x : a x, b x}, k ist das kleinste gemeinsame Vielfache (kgv ) von a und b. Definition 2.7: Es sei 0 a Z und p eine Primzahl. Wir schreiben p l a falls p l a und p l+1 a, in diesem Fall n p (a) := l. Für p a gilt n p (a) = 0. Ferner n p (0) := und für a/b Q setzen wir n p (a/b) := n p (a) n p (b). 3

7 4 2. LINEARE DIOPHANTISCHE GLEICHUNGEN Bemerkung 2.8: Damit gilt für alle 0 a Q: Ferner gilt: a = p n p(a) p P (1) a b (a) (b) n p (a) n p (b) für alle p P (2) a b und b a (a) = (b) (3) g = ± ggt(a, b) (g) = (a, b) (4) n p (ggt(a, b)) = min(n p (a), n p (b)) (5) n p (kgv (a, b)) = max(n p (a), n p (b)) (6) ab = ggt(a, b) kgv (a, b) (7) ggt(a, b) = ggt(a, b + ac) für alle c Z (8) n p (ab) = n p (a) + n p (b) für a, b Q (9) n p (a + b) min(n p (a), n p (b)) für a, b Q. (10) Sei a Q. Dann gilt a Z n p (a) 0 für alle p P. Dies wurde (fast) alles schon in der AGS bewiesen. Es ist hier nur zur Wiederholung aufgezählt. Definition 2.9: Sei a, b Z, 0 < n Z. Wir schreiben a b (mod n) genau dann, wenn n (a b) gilt. (a kongruent b modulo n). Für jedes n > 0 definiert dies eine Äquivalenzrelation auf Z, a b a b (mod n) n (a b). Die Äquivalenzklassen ā = {a+kn k Z} bilden einen Ring mittels ā+ b := a + b und ā b = ab. In AGS wurde gezeigt, dass dies wohldefinierte Operationen sind. Zusätzlich haben wir die Projektion: π : Z Z/mZ : a ā einen surjektiven Ringhomomorphismus mit Kern ker π = nz. Es gilt (Z/nZ) = {ā ggt(a, n) = 1}. Z/nZ ist ein Körper genau dann, wenn n P gilt. Bemerkung 2.10: Etwas allgemeiner als oben gilt: φ : Z/nZ Z/mZ : ā = a + nz a + mz ist ein wohldefinierter surjektiver Ringhomomorphismus genau dann, wenn m n gilt. Satz 2.11 (Chinesischer Restsatz): Seien n i Z paarweise Teilerfremd. Dann gilt Z/( n i )Z Z/n i Z (wobei : ā = a (mod )n i (a (mod n) i ) i ein Ringisomorphismus ist.) Insbesondere gilt dann für n := n i das die Einheitengruppen ebenfalls isomorph sind: (Z/nZ) (Z/n i Z) Damit gibt es für alle b i Z ein x Z mit x b i (mod n) i für alle i. Dieses x ist modulo n eindeutig: sei x eine weitere Lösung, dann gilt x x (mod n). Beispiel 2.12: Wir suchen x mit x 1 (mod 6), x 2 (mod 5) und x 3 (mod 7). Zunächst berechnen wir Produkte und Inverse: 5 6 = 30 2 (mod 7), 6 7 = 42 2 (mod 5), 3 7 = 35 5 (mod 6), (mod 7), (mod 5) und (mod 6). Damit erhalten wir dann = (mod 6 7 5)

8 2. LINEARE DIOPHANTISCHE GLEICHUNGEN 5 Bemerkung 2.13: Der Chinesische Restsatz zeigt auch, dass Z/nZ Z/mZ als Gruppe zyklisch ist - falls ggt(n, m) = 1 gilt. Wir werden später versuchen die Einheitengruppe besser zu verstehen. Definition 2.14: Seien x i Z beliebig, nicht alle gleichzeitig 0. 0 < g Z heißt größter gemeinsamer Teiler (ggt) von x 1,..., x r genau dann, wenn g = max{0 < y y x 1,..., y x r } gilt. Die x i heissen teilerfremd, falls ggt(x 1,..., x r ) = 1 gilt. Bemerkung 2.15: In diesem Fall gibt es y 1,..., y r mit g = r i=1 x i y i. Die y i (und g) können z.b. mit dem Euklidischen Algorithmus induktiv gefunden werden: Sei x = (12, 15, 20). Dann gilt ggt(12, 15) = 3 = und ggt(3, 20) = 1 = , also 1 = ggt(12, 15, 20) = 7 ( ) 1 20 = Achtung: die Darstellung hängt von der Reihenfolge ab! Das Problem eine gute Darstellung zu finden ist nicht einfach. Es gilt auch: 1 = = Achtung: teilerfremd und paarweise teilerfremd sind verschieden! In dem Beispiel sind 12, 15, 20 teilerfremd (ggt = 1) aber nicht paarweise teilerfremd. Ähnlich wie in der AGS gilt auch hier (ggt(x 1,..., x r )) = (x 1,..., x r ) Bemerkung 2.16: Aufgabe: es gilt (kgv (a, b)) = (a) (b) und (a) (b) = (ab) genau dann, wenn (a) + (b) = (1) gilt. Satz 2.17: Seien a 1,..., a r Z, nicht alle Null und b Z beliebig. Dann ist die lineare Diophantische Gleichung r a i x i = b genau dann mit x i Z lösbar, falls ggt(a 1,..., a r ) b gilt. i=1 Beweis. Sei x eine Lösung. Dann gilt r i=1 x i a i = b und damit sofort b (a 1,..., a r ) = (ggt(a 1,..., a r )). Andererseits, falls ggt(a 1,..., a r ) b gilt, so können wir b = c ggt(a 1,..., a r ) schreiben und y i finden mit ggt(a 1,..., a r ) = r i=1 y i a i um eine Lösung zu finden. Ähnlich wie im Falle von normalen linearen Gleichungen kann man auch hier alle Lösungen parametrisieren. Es ist jedoch etwas komplizierter, da wir keine Vektorräume benutzen können. Daher werden wir hier eine (sehr spezielle) Klasse von Vektorräumen über Ringen untersuchen: Definition 2.18: Eine abelsche Gruppe M heißt Z-Modul falls es eine Abbildung Z M M : (z, m) zm gibt mit (1) Für alle a, b M, r Z gilt r(a + b) = ra + rb (2) Für alle a M, r, s Z gilt (r + s)a = ra + sa (3) Für alle a M, r, s Z gilt (r(sa)) = (rs)a (4) 1a = a für alle a M.

9 6 2. LINEARE DIOPHANTISCHE GLEICHUNGEN (Wie ein Vektorraum, aber über einem Ring) Beispiel 2.19: (1) Z n ist ein Z-Modul (2) Q n ist ein Z-Modul (3) Z[x] (4) {x Z n a i x i = 0} (5) Jede abelsche Gruppe ist ein Z-Modul Definition 2.20: Ein Z-Modul M heißt torsionsfrei falls für a M und r Z mit ra = 0 stets a = 0 oder r = 0 folgt. Eine Teilmenge S M eines Z-Moduls M heißt frei (linear unabhängig) falls aus xi s i = 0 mit s i S und x i Z immer x i = 0 folgt. Eine freie Teilmenge B M heißt Basis falls es für jedes y M eine Darstellung y = x i b i mit x i Z und nur endlich viele x i 0 gibt. Diese Darstellung ist dann natürlich eindeutig. Satz 2.21: Jeder endlich erzeugte torsionsfreihe Z-Modul M Z n besitzt eine Basis. Die Mächtigkeit der Basis ist eindeutig. Bemerkung 2.22: Falls M nicht torsionsfrei ist, so gibt es 0 a M und 0 r Z mit ra = 0. In jeder Basisdarstellung a = r i b i gilt dann auch ra = rr i b i = 0 was natürlich nicht geht. Endlich erzeugt bedeutet, dass es eine endliche Teilmenge A M gibt so, dass jedes m M in der Form m = r i a i mit a i A und r i Z dargestellt werden kann. Diese Darstellung braucht nicht eindeutig zu sein!. Der Satz gilt in einem allgemeineren Rahmen. Beweis. Da Z ein Teilring von Q ist, können wir M Z n Q n betrachten. In Q n setzen wir U := M den von M erzeugten Unterraum. Sei B eine Basis von U und u U. Dann gibt es r i Q, m i M Z n mit u = r i m i, speziell folgt das es ein d u Z gibt mit d u u M (gemeinsamer Hauptnenner der r i ). Also gibt es auch ein d Z mit B := d B M. Da B eine Basis (von U) ist, so gilt dies auch für B. Also ist B frei. (Frei heißt linear unabhängig, also aus r b b = 0 mit r b Q muss r b = 0 folgen. Damit ist auch sofort klar, dass frei über Z (r b Z) und frei über Q (r b Q) das selbe sind.) Jetzt brauchen wir Induktion über die Dimension von U. Sei dim U = 1, also B = {b} und setze A := {q Q qb M} Q Wegen M Z n gibt es d Z mit da Z (b = (b 1,..., b n ) Z n, q = r/t und qb M qb i = rb i /t Z, also rb i tz, damit t rb i. Wenn wir ggt(r, t) = 1 annehmen, folgt dann t b i ). Nun ist da Z ein Ideal, also da = (a). Damit gilt dann M = a/db: Sei m M, dann gilt m = qb für ein q Q. Sogar q A, damit dq (a), also q = ka/d mit k, a, d Z, m = qb = ka/db = k a/db wie behauptet. Sei nun dim U = #B =: r > 1. mit B = {b 1,..., b r }. Definiere φ : U Q : xi b i x 1 und setze A := φ(m). Wegen M endlich erzeugt gibt es d Z mit da Z. Da M ein Z-Modul ist und φ eine Q-lineare Abbildung ist da ebenfalls ein Z-Modul, also ein Ideal, daher gibt es a mit da = (a). Setze nun c 1 := a/db 1, und N := ker φ M = {m M φ(m) = 0}. Offenbar gilt dim N Q r 1 und N ist ein Z-Modul. Nach Induktionsvoraussetzung hat N eine Basis c 2,..., c r. Dann ist c 1,..., c r eine Basis für M. Offenbar ist dies eine Basis für M Q, also kann jedes

10 2. LINEARE DIOPHANTISCHE GLEICHUNGEN 7 m M als m = x i c i mit x i Q dargestellt werden. Nach Konstruktion gilt dann x 1 Z (siehe φ!) und damit m x 1 c 1 N, also auch x 2,..., x r Z. Die Aussage über die Mächtigkeit der Basis folgt sofort daraus, dass die jede Z-Basis für M eine Q-Basis für M Q ist. Lemma 2.23: Sei M Z n ein Z-Modul. Dann ist M endlich erzeugt. Beweis. Sei U := M der von U erzeugte Q-Vektorraum. Dann hat U eine Basis B mit # B n. Wie oben gibt es ein d > 0 mit B := d B M. B kann zu einer Q- Basis C von Q n fortgesetzt werden, ähnlich wie oben können wir C Z n und B C erreichen. Als Menge gilt nun M/ B Z Z n / C Z. Wenn nun Z n / C endlich ist, so sind wir fertig. Z n hat eine Basis e i, also kann jedes x Z n in der Form x i e i mit x i Z dargestellt werden. Da C = {c 1,..., c n } eine Q-Basis ist, gibt es c i,j Q mit e i = n j=1 c i,j c i. Via Hauptnenner gibt es nun e > 0 mit de i C Z für alle i. Also ex C Z für alle x Z n und damit #Z n / C Z e n. Bemerkung 2.24: Sei a i Z beliebig. Dann ist M := {x Z n x i a i = 0} ein solcher Z-Modul, also gibt es eine Basis c 1,..., c r und wir können M = Zc i schreiben. Falls nicht alle a i Null sind, folgt dann auch r = n 1 aus den Vektorräumen. Allerdings können wir die Basis noch nicht bestimmen. Über Q geht dies mit dem Gauß-Algorithmus, aber hier können wir nicht teilen. Bemerkung 2.25: Sei T i,j = (T i,j k,l ) k,l Z n n die Matrix mit T i,j k,k = 1 für 1 k n, k i, j, T i,j i,j = T i,j j,i = 1 und T i,j k,l = 0 sonst. Dann bewirkt die Multiplikation mit T i,j von rechts (links) das Vertauschen der i und jten Zeile (Spalte). Ferner gilt det T i,j = 1. Sei S i,j (a) = (S i,j (a) k,l ) k,l Z n n die Matrix mit S i,j (a) k,k = 1 für 1 k n, S i,j (a) i,j = a und S i,j (a) k,l = 0 sonst. Dann bewirkt die Multiplikation mit S i,j (a) von rechts (links), dass das a-fache der jten Zeile (Spalte) zur iten addiert wird. Es gilt det S i,j (a) = 1. Dies sind die elementaren Transformationen die wir nun benötigen. Satz 2.26 (Hermite Form): Sei A Z n m beliebig. Dann gibt es eine Matrix U Z m m mit det U = ±1 so, dass H := UA in Zeilen-Stufen-Form ist (ähnlich wie in GdM, aber hier sind keine 1en) Wir setzen Gl(m, Z) := {a Z m m det a = ±1}. Beweis. Per Induktion über die Spalten. Obda, sei die 1. Spalte von A nicht identisch 0. Zunächst skalieren wir die Zeilen mit ±1 um die 1. Spalte 0 zu erhalten. Die Zeilenvertauschung die das oberste Element A 1,1 minimiert ist in Gl(m, Z). Jetzt subtrahieren wir geeignete Vielfache der 1. Zeile von allen weiteren bis die Zeilenanfänge A i,1, i > 1 alle A 1,1 > A i,1 0 erfüllen. Die ist ebenfalls eine Elementartransformation in Z. Jetzt tauschen wir wieder das kleinste Element der 1. Spalte nach oben und wiederholen den Vorgang bis in der 1. Spalte genau ein von Null verschiedenes Element steht. Induktiv wird dies nun auf der Teilmatrix die durch das Entfernen der 1. Zeile und Spalte entsteht wiederholt.

11 8 2. LINEARE DIOPHANTISCHE GLEICHUNGEN Damit erhalten wir eine Matrix H als obere Dreiecksmatrix und eine Transformation Ũ Gl(m, Z). Indem wir nun noch geeignete Vielfache von den darüber liegenden Zeilen abziehen, können wir arangieren, dass die Diagonale die für die Spalte maximalen Einträge hat. Bemerkung 2.27: Die Matrix H die als Ergebnis da steht ist eindeutig. Ein analoges Verfahren kann natürlich auch auf den Spalten durchgeführt werden. Beispiel 2.28: Wir wollen (alle) Lösungen von 6x + 10y + 15z = 7 bestimmen. Dazu wenden wir den Algorithmus auf die Matrix (6, 10, 15) t an: So, von der 1. Zeile: = 1 (also = 7) und 6x + 10y + 15z = 0 (x, y, z) Z( 5, 3, 4) + Z(5, 0, 2). Damit haben wir alle Lösungen parametrisiert! Bemerkung 2.29: Wie wir gesehen haben ist ein einfach eine/alle Lösungen zu finden. Andererseits, kleine Lösugen zu finden ist ein hartes Problem an dem noch aktiv geforscht wird. Es gibt Verschlüsselungsverfahren die genau darauf beruhen, dass es schwer ist kleine Lösungen zu finden. Dies wird in der Gitterbasierten Kryptographie untersucht (Lattice Cryptography).

12 KAPITEL 3 Multiplikative Funktionen Definition 3.1: Eine Funktion α : Z >0 R heißt Zahlentheoretisch oder Arithmetisch. Eine zahlentheoretische Funktion α heißt multiplikativ genau dann, wenn für alle x, y Z >0 mit ggt(x, y) = 1 folgt α(xy) = α(x)α(y). Wir bezeichnen mit Z die Menge der multiplikativen Funktionen. Eine multiplikative Funktion α heißt vollständig multiplikativ falls α(xy) = α(x)α(y) für alle x, y Z >0 gilt. Beispiel 3.2: Die folgenden Funtionen sind multiplikativ, die letzten beiden sogar vollständig multiplikativ. (1) 0 : Z >0 R : x 0 1 x = 1 (2) o : Z >0 R : x 0 sonst (3) e : Z >0 R : x 1 (4) i : Z >0 R : x x Lemma 3.3: (1) Jedes α Z mit α 0 erfüllt α(1) = 1. (2) Eine Funktion α : Z >0 R ist genau dann multiplikativ wenn gilt α( p n p ) = α(p n p ) p P p P (3) Zwei multiplikative Funktionen sind genau dann gleich, wenn sie auf Primpotenzen übereinstimmen. (4) Eine multiplikative Funktion α ist genau dann vollständig multiplikativ wenn α(p n ) = α(p) n gilt. Beweis. (1) 1 ist koprim zu jedem x Z, also ggt(x, 1) = x, damit 1α(x) = α(x) = α(1x) = α(1)α(x) (2) Sei α 0 (sonst ist es trivial). Wenn α multiplikativ ist, so folgt die Identität sofort aus der Definition. Es gelte nun die Identität und es seien x, y Z >0 mit ggt(x, y) = 1 gegeben. und y = r i=l+1 p n i i und die p i sind paarwei- i. Aus der Identität folgt dann sofort das Daher gilt dann x = l i=1 p n i i se verschieden, also xy = r i=1 p n i α(x)α(y) = α(xy) ist. (3) Gilt α = β, so folgt sofort α(p n ) = β(p n ) für alle p P. Andererseits, falls α(p n ) = β(p n ) gilt, so folgt α = β aus (2). (4) Wenn α vollständig multiplikativ ist, so ist die Behauptung klar. Die Rückrichtung folgt aus (2). 9

13 10 3. MULTIPLIKATIVE FUNKTIONEN Definition 3.4: Für zwei arithmetische Funktionen α, β : Z >0 R definieren wir die Dirichlet Faltung als α β(z) := α(d)β( z d ) 1 d z d z Bemerkung 3.5: Wir können die Definition auch so schreiben: (α β)(n) = α(a)β(b) ab=n Wobei die Summe über alle Paare (a, b) Z 2 >0 mit ab = n läuft. Lemma 3.6: (1) Für zwei multiplikative Funktionen α, β ist auch α β multiplikativ. Die Faltung vollständig multiplikativer Funktionen ist in der Regel nicht vollständig multiplikativ. (2) Faltung ist assoziativ: (α β) γ = α (β γ) (3) Faltung ist kommutativ, α β = β α (4) Für o gilt α o = α Beweis. (1) Seien n, m teilerfremd. Für jede Faktorisierung cz = nm können wir c = ab, a n, b m und z = xy, x n, y m schreiben. Hier gilt dann ggt(a, x) = ggt(b, y) = 1. Damit (α β)(nm) = cz=nm = ax=n by=m = ax=n by=m = ab=n α(c)β(z) α(ax)β(by) α(a)α(x)β(b)β(y) α(a)β(b) xy=m = (α β)(n)(α β)(m) α(x)β(y) (2) (α β) γ(n) = (α β)(d)γ(c) dc=n = ( dc=n ab=d = abc=n α(a)β(b))γ(c) α(a)β(b)γ(c) (3) Die Kommutativität folgt sofort aus der vorherigen Bemerkung (4) (α o)(p n ) = i+j=n α(p i )o(p j ) = α(p n ), da o(p j ) = 0 für j > 0 gilt.

14 3. MULTIPLIKATIVE FUNKTIONEN 11 Satz 3.7: Für jede arithmetische Funktion mit α(1) 0 gibt es eine arithmetische Funktion β mit α β = o. Es gilt β(1)α(1) = 1 und für n > 1: β(n) = 1 α( n α(1) d )β(d) 1 d<n d n Falls α und α β multiplikativ sind, so gilt dies auch für β. Achtung: α vollständig multiplikativ impliziert nicht β vollständig multiplikativ. Beweis. Induktiv: Nach Definition gilt (α β)(1) = α(1)β(1) also ist, für α(1) 0 der Wert β(1) eindeutig bestimmt. Sei nun n > 1. Dann gelten 0 = o(n) = (α β)(n) = α(1)β(n) + Also, da β(b) für b < n bereits bestimmt sind, folgt β(n) = 1 α(1) ab=n b<n α(a)β(b) ab=n b<n α(a)β(b) Wir zeigen per Widerspruch: Wenn α und α β multiplikativ sind, so auch β. Angenommen, β ist nicht multipliaktiv. Dann gibt es n, m mit ggt(n, m) und β(nm) β(n)β(m). Wir fixieren nun ein solches Paar mit nm minimal. Falls nm = 1 gilt, so auch n = m = 1 und β(1) β(1)β(1) also β(1) 1. Wegen (α β)(1) = α(1)β(1) folgt dann auch α β(1) 1 also α β nicht multiplikativ. Also, nm > 1. Da nm minimal ist, folgt β(ab) = β(a)β(b) für alle ab < nm. Wie oben schreiben wir nun cz = nm, ab = c, xy = z, ax = n, bz = m und α β(nm) = ax=n by=m α(ax)β(by) Für by < nm haben wir die Multiplikativität. Damit α β(nm) = (α β(n))(α β(m)) β(n)β(m) + β(nm) also ist α β nicht multiplikativ. Wegen α β = o folgt die Multiplikativität von β aus der von α und o. Bemerkung 3.8: Damit haben wir gezeigt, dass die Menge der arithmetischen Funktionen 0 mit der Faltung eine Gruppe bilden. In dieser Gruppe bilden die multiplikativen Funktionen eine Untergruppe. Definition 3.9: Wir definieren die Möbius Funktion 1 z = 1 µ : Z >0 R : z 0 p P : p 2 z ( 1) #{p:p z} sonst Beispiel 3.10: z µ(z)

15 12 3. MULTIPLIKATIVE FUNKTIONEN Lemma 3.11: Die Möbius Fuktion is multiplikativ (aber nicht vollständig). Ferner gilt µ e = o also ist µ invers zu e. Beweis. Seien n, m Teilerfremd. Dann gilt {p P : p mn} = {p P : p n} {p P : p m} und damit die Multiplikativität. Da µ und e multiplikativ sind, so gilt dies auch für µ e. Also reicht es die Identität für Primpotenzen nachzuweisen: (µ e)(p n ) = ab=p n µ(a)e(b) = µ(1)e(p n ) + µ(p)e(p n 1 ) = µ(1) + µ(p) = 0 Definition 3.12: Sei α Multiplikativ. Dann definieren wir die Summatorfunktion β : Z >0 R : n d n α(d) wobei die Summe über alle (positiven) Teiler von n läuft. Satz 3.13: Ist α multiplikativ, so gilt dies auch für die Summatorfunktion β. Ferner gilt die Möbiussche Umkehrformel: α = β µ d.h. die Summatorfunktion β definiert α vollständig. Beweis. Offenbar gilt β = e α, also ist β multiplikativ. Aus dem Lemma folgt dann: α = α o = α (e µ) = β µ wie behauptet. Definition 3.14 (Eulersche φ-funktion): Die Eulersche φ-funktion ist definiert als φ(n) := #{0 < m < n : ggt(m, n) = 1} = #(Z/nZ) und φ(1) := 1. Satz 3.15: (1) Die Eulersche φ-funktion ist multiplikativ. (2) #(Z/p n Z) = (p 1)p n 1 = p n p n 1 (3) Sei n = p n p. Dann gilt φ(n) = φ(p n p ) = n p n(1 1). p Beweis. (1) Für n, m Teilerfremd folgt aus dem Chinesischen Restsatz sofort als Ringe und daher Z/(nm)Z Z/mZ Z/nZ (Z/(nm)Z) (Z/mZ) (Z/nZ) für die Einheitengruppe. (2) Wir betrachten (Z/p n Z) (Z/pZ) : x mod p n x mod p als Gruppenhomomorphismus. Er ist offensichtlich surjektiv mit Kern {1+px : 0 x < p n 1 } (Gruppe der 1-Einheiten). Da alle Mengen hier endlich sind, folgt die Aussage durch abzählen.

16 (3) Klar: p n p n 1 = p n (1 1 p ) 3. MULTIPLIKATIVE FUNKTIONEN 13 Beispiel 3.16: Aufgabe: (Um die Numerierung nicht zu ändern habe ich ein leeres Bsp eingebaut) Beispiel 3.17: z φ(z) Lemma 3.18: Für die Summatorfunktion der φ-funktion gilt: (φ e)(n) = d n φ(d) = n (Damit kann φ(n) rekursiv berechnet werden) Beweis. Da alle Funktionen multiplikativ sind, reicht es die Behauptung für p n zu zeigen. n n (φ e)(p n ) = φ(p i ) = 1 + p i p i 1 = p n i=0 Bemerkung 3.19: Das Lemma werden wir später verwenden um die folgende Aussage zu zeigen: Ein endliche Gruppe G ist genau dann zyklisch, wenn es für jeden Teiler d der Gruppenordnung n = #G genau eine Untergruppe U gibt mit #U = d. Satz 3.20 (Euler): Sei n > 1 und 0 k Z beliebig mit ggt(n, k) = 1. Dann gilt k φ(n) 1 mod n Beweis. ggt(n, k) = 1 impliziert k (Z/nZ). Aus AGS und dem Satz von Lagrange folgt damit ord k φ(n) = #(Z/nZ). Bemerkung 3.21: Falls φ(n) berechnet werden kann (oder einfach nur bekannt ist), kann dies auch zum Invertieren benutzt werden: k φ(n) 1 mod n k k φ(n) 1 1 mod n Also ist k φ(n) 1 invers zu k. Falls φ(n) klein ist, so ist dies manchmal Vorteilhaft. Auf dem Computer wird es jedoch nicht benutzt, da φ(n) schwer zu berechnen ist und es schneller geht einen ggt zu bestimmen, als die vielen Multiplikationen durchzuführen. Korollar 3.22 (Fermat): Sei p P Prim. Dann gilt für alle k Z: k p k mod p Beweis. Für p k ist es klar da auf beiden Seiten 0 steht. Für p k folgt es aus Eulers Satz und φ(p) = p 1. Bemerkung 3.23: Der (kleine) Satz von Fermat ist auch die Ausgangsbasis für (probabilistische) Primzahltests. Um zu untersuchen ob 0 < N Z prim ist, berechnet man für zufällige 0 < a < N einfach a N 1 mod N. Falls hier nicht 1 herauskommt, so ist dies ein Beweis dafür, dass N nicht prim ist. Leider kann man so schlecht beweisen, dass N prim ist. Ein Problem hier sind die Carmichael Zahlen: N ist Carmichael genau dann, wenn für alle ggt(n, a) = 1 auch a N 1 1 mod N folgt. 561 ist die kleinste Carmichael Zahl. Es gibt Varianten hiervon, die immer funktionieren. i=1

17 14 3. MULTIPLIKATIVE FUNKTIONEN Satz 3.24 (Wilson): Eine Zahl p Z >0 ist genau dann prim, wenn gilt. (p 1)! 1 mod p Bemerkung 3.25: Dies ist (leider) ein sehr schlechtes Kriterium um zu testen ob p prim ist: (p 1)! kann nicht (schnell genug) berechnet werden. Beweis. Angenommen, p = ab. Dann gilt a (p 1)!, da a p 1 also (p 1)! 0 mod a. Andererseits, (p 1)! 1 mod p also auch mod a. Sei nun p Prim, dann untersuchen wir f(x) := x p 1 1 F p [x]. Nach dem Satz von Euler/Fermat gilt f(a) 0 mod p für jedes 0 a F p. Da aus f(a) = 0 immer (x a) f folgt, so gilt 0 a F p (x a) f. Aus Gradgründen (beide Seiten haben Grad p 1 und sind normiert) folgt dann f = 0 a F p (x a). Speziell können wir uns den konstanten Term ansehen und erhalten 1 a (p 1)! (mod p). Jetzt wollen wir all dies anwenden um die Gleichung x 2 + y 2 = p zu untersuchen. Ziel ist der folgende Satz: Satz 3.26: Für n Z >0 sind äquivalent: (1) n = x 2 + y 2, also n ist Summe von zwei Quadraten. (2) Für p n und p 3 mod 4 gilt n p (n) ist gerade. Lemma 3.27: Seien a, b Z >0 beide Summen von zwei Quadraten. Dann gilt dies auch für ab. Beweis. Sei R := Z[i] := {a + ib a, b Z} und i 2 = 1 C. Dann ist R ein Teilring von C (AGS) und wir können den komplexen Betrag benutzen. Offenbar gilt a + ib 2 = (a + ib)(a ib) = a 2 + b 2 und damit ist eine Zahl n > 0 genau dann Summe von zwei Quadraten, wenn es ein x R gibt mit x 2 = n. Damit ist die Multiplikativität klar. Bemerkung 3.28: Der Ring R den wir hier benutzt haben, heißt auch Ring der Gauß schen ganzen Zahlen. Lemma 3.29 (Thue): Es sei n > 0 kein Quadrat und a Z beliebig. Dann gibt es ein (0, 0) (x, y) Z 2 mit ax y mod n und n < x, y < n Beweis. Der Beweis benutzt das Schubfachprinzip oder Taubenschlagprinzip. Setze A := {(x, y) Z 2 : 0 x, y < n} und betrachte die Abbildung α : A Z/nZ : (x, y) ax y. Offenbar gilt #A > (1 + n 1) 2 = n (1+ kommt von der 0, der Rest von x, y < n, also gibt es n > x n 1). Da #Z/nZ = n gilt, muss es (x, y) (x, y ) A geben mit α(a, x) = α(x, y ). Also ax y ax y, a(x x ) y y und x x, y y < n.

18 3. MULTIPLIKATIVE FUNKTIONEN 15 Leider ist der Beweis nicht konstruktiv, dh. wir wissen nicht, wie eine Lösung gefunden werden kann. Satz 3.30 (Fermat): Für eine ungerade Primzahl p P sind äquivalent: (1) Es gibt x, y Z mit x 2 + y 2 = p (2) Es gibt x F p mit x 2 1 mod p (3) p 1 mod 4 Beweis. Wir machen einen Ringschluss: 1 3: Sei x 2 + y 2 = p. Da p ungerade ist, können x und y weder beide gerade noch beide ungerade sein. ObdA: x ist gerade, y ungerade. Also x = 2k und y = 2l + 1. Damit p = x 2 + y 2 = 4k 2 + 4l 2 + 4l + 1 also p 1 mod : Wir haben p 1 mod 4 also ist n := (p 1)/2 gerade. Mit Wilson können wir nun schreiben: 1 (p 1)! mod p = n p 1 i i i=1 i=n+1 n p 1 i i p i=1 i=n+1 n n i i i=1 i=1 ( 1) n n! 2 = n! 2 Also ist n! 2 eine Nullstelle von x p 1 i=1 i (mod p) 2 1: Sei a mit a 2 1 mod p gegeben. Nach Thue gibt es dann p < x, y < p mit ax y mod p. Quadrieren ergibt nun (ax) 2 x 2 y 2 mod p, also x 2 + y 2 0 mod p, p (x 2 + y 2 ). Wegen x 2 + y 2 < 2p muss dann p = x 2 + y 2 gelten. Summe von Quadraten. Alles, was noch zu zeigen ist ist die folgende Aussage: Sei n = x 2 +y 2. Dann gilt für jedes p n mit p 3 mod 4: n p (n) 2Z. Angenommen, die Aussage ist falsch. Dann gibt es ein kleinstes n und eine Primzahl p mit n p (n) ungerade, speziell p n und n = x 2 + y 2. Wir unterscheiden die Fälle p x und p x. Für p x ist x eine Einheit in F p, also gibt es z Z mit xz 1 mod p und damit 1 (yz) 2 mod p. Mit Fermat s Lemma daher p 1 mod 4. Falls p x gilt, so folgt mit p n auch p y, aber dann ist auch n/p 2 = (x/p) 2 + (y/p) 2 Summe von Quadraten und n war nicht minimal. Zum Abschluss dieses Kapitels wollen wir noch zeigen, dass es viele Primzahlen p 1 mod 4 gibt. Ausgangspunkt ist die (triviale) Feststellung, dass für f Z[t] mit deg f > 0 und k Z gilt: #{r Z : f(r) = k} deg f (Dies gilt sicherlich in Q[t] da Q ein unendlicher Körper ist, also auch in Z). Satz 3.31: Sei f Z[x] mit deg f > 0 beliebig. Dann gibt es unendlich viele Primzahlen p so, dass f F p [t] eine Nullstelle hat.

19 16 3. MULTIPLIKATIVE FUNKTIONEN Bemerkung 3.32: Man kann mehr zeigen: die durchschnittliche Anzahl von Nullstellen in F p ist genau die Anzahl der Faktoren über Z, dh. für f = l i=1 f i erwarten wir l Nullstellen von f modulo jeder Primzahl. Beweis. Wir haben f = n i=0 a i x i mit a n 0. Falls f eine Nullstelle in Z hat, so hat f offenbar eine Nullstelle modulo p für jede Primzahl. Also obda, f hat keine Nullstelle in Z, damit gilt speziell a 0 0. Wir zeigen nun per Induktion, dass es Primzahlen p i (1 i n) gibt, so dass f eine Nullstelle modulo p i hat. Für i = 0 ist dies trivial. Seien nun p 1,..., p i gefunden mit f(r i ) 0 mod p i. Dann setzen wir g(x) := f(a 0 x p i ) Z[x]. Dies ist ein Polynom wo jeder Koeffizient durch a 0 teilbar ist, damit ist g := g/a 0 Z[t] mit konstantem Term 1. Nach dem Lemma gibt es nun z Z mit g(z) / {±1, 0}. Also gibt es eine Primzahl q mit q g(z). Da alle Koeffizienten von g (bis auf den konstanten Term) durch p i Teilbar sind, gilt q p i für alle i. Damit hat f dann ebenfalls eine Nullstelle in F q. Korollar 3.33: Es gibt unendlich viele Primzahlen mit p 1 mod 4 Beweis. Wende den Satz auf x an.

20 KAPITEL 4 Kryptographie: RSA Die Euler φ Funktion bildet auch die Grundlage für eines der bekanntesten und meistbenutzten Krypto-Systeme: das RSA Verfahren (nach Rivest, Shamir und Adleman die es in 1977 veröffentlicht haben). Bob (B) will Alice (A) eine Nachricht schicken und Eve (E) darf sie nicht lesen können. Die Idee ist, dass Bob einfach auf Alice Web-Seite geht um Ihren öffentlichen Schlüssel zu holen. Dieser öffentliche Schlüssel kann von jedem benutzt werden um Nachrichten zu schreiben die nur Alice lesen kann - und Eve nicht. Dieser Schlüssel kann dan auch benutzt werden um Alices elektronische Unterschrift zu überprüfen - und all das mit der φ-funktion. Alices öffentlicher Schlüssel besteht aus zwei (großen) Zahlen: (N, e). Bob nimmt seine Nachricht und zerlegt sie in Blöcke (Zahlen) 0 m < N und berechnet s := m e mod N. Diese s schickt er dann an Alice. Alice hat einen geheimen Schlüssel: d und berechnet jetzt schnell m = s d mod N und liesst die Nachricht. Wie geht das? Und warum? Grundlage ist der folgende Satz - der aus dem Chinesischen Restsatz und der φ-funktion kommt: Satz 4.1: Sei N = pq das Produkt zweier Primzahlen p q. Ferner sei 0 < e < N mit ggt(e, φ(n)) = 1, 0 < d < N mit de 1 mod φ(n). Dann gilt für jedes 0 m < N: (m e ) d m mod N. Beweis. Angenommen, ggt(m, N) = 1. Wegen de 1 mod φ(n) gibt es k Z mit 1 = ef + kφ(n). Wegen ggt(m, N) = 1 folgt m (Z/NZ) und daher m (Z/NZ) = m φ(n) 1 mod N aus Lagrange. Somit (m e ) d = m de = m 1 kφ(n) = m(m φ(n) ) k m mod N. Falls nun ggt(m, N) = p gilt, so benutzen wir den Chinesischen Restsatz: m 0 mod p implizert m ef m 0 mod p. Wegen q m folgt wie oben m q 1 1 und aus (p 1)(q 1) = φ(n) folgt dann ebenso m de m mod q. Mit dem Chinesischen Restsatz erhalten wir dann m de m mod N wie behauptet. Die Fälle ggt(m, N) = q und m = pq werden analog behandelt. Um nun das Verfahren zu benutzen geht Alice wie folgt vor: zuerst sucht sie zwei Primzahlen p q, die etwa 150 Dezimalstellen haben sollten. Als nächstest sucht sie ein e mit ggt(e, φ(n)) = 1 und benutzt dann den Euklidischen Algorithmus um d zu finden. Schliesslich veröffentlicht sie (e, N) und versteckt d. Sehr schön, es klappt. Aber was ist mit Eve? Klar ist, dass wenn p und q bekannt sind, Eve sofort d bestimmen und die Nachricht lesen kann. Sie kennt N, also kann sie, im Prinzip, p und q finden. In der Praxis kann sie es jedoch nur (in weniger als einem 17

21 18 4. KRYPTOGRAPHIE: RSA Jahr), falls pq < gilt. Für pq würde sie viele tausend Jahre und viele tausend Computer benötigen - oder eine neue Idee - oder einen Quantencomputer. Also: es ist nicht bekannt, dass irgend jemand diese RSA-Zahlen zerlegen kann. Aber es gibt auch keinen Beweis, dass es wirklich tausend Jahre dauern würde. Zusätzlich muss man noch auf vieles aufpassen: Falls p q zu klein ist, so kann N zerlegt werden Falls e oder d zu klein sind, so kann m gefunden werden Falls e klein ist und das selbe e für viele identische Nachrichten benutzt wird (Bobs Weihnachtskarten), so kann m gefunden werden Falls Eve weiß wie Alice Primzahlen sucht kennst sie p und q Falls Eve Bob Ihren Schlüssel anstellen von Alice s geben kann, so kann sie m lesen. Ich bin sicher, es werden noch mehr Einschränkungen gefunden werden... In der Kryptographie werden dieses und andere Verfahren näher untersucht.

22 KAPITEL 5 Primitivwurzeln modulo N Hier werden wir uns mit der Einheitengruppe von Z/NZ, also mit (Z/NZ) und ihrer Struktur beschäftigen. Es wird sich zeigen, dass ein wesentliches Hilfsmittel das Polynom f := t m 1 sein wird. Für jede Nullstelle α von f gilt nun α m = 1, also ist α eine m-te Wurzel von 1, eine Einheitswurzel. Definition 5.1: Sei R ein (kommutativer) Ring (mit 1). Ein α R heißt primitive n-te Einheitswurzel, falls α n = 1 und α k 1 für 0 < k < n gilt. Beispiel 5.2: (1) ζ n := exp(2πi/n) C ist eine primitive n-te Einheitswurzel (2) 2 Z/(2 n + 1)Z ist eine 2n-te Einheitswurzel. (3) 1 ist eine 2-te Einheitswurzel in Z, Q und R. (In diesen Ringen gilt auch x ist eine n-te Einheitswurzel genau dann, wenn n = 1, 2 und x {±1} gilt) Sei nun ζ n eine primitive n-te Einheitswurzel. Setze G := ζ n, dann gilt für jedes β G: (1) β = ζn k für 0 k < n geeignet (2) β n = 1, also ist β eine n-te Einheitswurzel - aber i.allg. nicht primitiv. (3) Sei β = ζn. k Dann gilt für die Ordnung ord(β), dass ord(β) = n/ ggt(n, k) gilt, also ist β eine primitive n/ ggt(n, k)-te Einheitswurzel. Denn: β r = ζn kr und daher β r = 1 genau dann, wenn n kr, also r = n/ ggt(k, n). (4) ζ n β genau dann, wenn β eine primitive n-te Einheitswurzel ist. Dies ist genau dann der Fall, wenn β = ζn k mit ggt(n, k) = 1 gilt. Die Aussage über die Ordnung folgt aus dem letzten Punkt. Falls ζ n = β r = ζn kr so folgt sofort 1 kr mod n. Andererseits, falls ggt(k, n) = 1 gilt, so gibt es s, t mit 1 = sk + tn und damit β s = ζn sk = ζn 1 tn = ζ n. (5) Es gibt genau φ(n) viele primitive Einheitswurzeln in G. (6) H := {x R : x n = 1} also die Menge der Nullstellen von x n 1 bildet eine Gruppe bzgl. der Multiplikation. Ist R ein Körper (oder wenigstens nullteilerfrei), so gilt H n. Achtung: in Z/8Z hat x Nullstellen: 1, 1 = 7, 3, 5 = 3. Also ist in diesem Fall die Gruppe nicht zyklisch. Wie wir gesehen haben, bilden die Einheitswurzeln i.allg. keine zyklische Gruppe. Um dies besser zu verstehen, werden wir zunächst diese Gruppen genauer untersuchen. Wir fangen mit Z/nZ an. Lemma 5.3: Sei U < Z/nZ eine Untergruppe (additiv). Dann gibt es ein d n mit U = d + nz = d. Andersrum: jedes d n definiert genau eine Untergruppe mittels U := d. 19

23 20 5. PRIMITIVWURZELN MODULO N Beweis. Setze π : Z Z/nZ die kanonische Projektion. Für eine Untergruppe U < Z/nZ betrachten wir π 1 (U) < Z (sogar Normalteiler, da Z abelsch ist). Dies ist eine Untergruppe von Z, also π 1 (U) = d mit d geeignet. Wegen nz π 1 (U) folgt dann d n. Andererseits, jedes d n definiert eine Untergruppe. Korollar 5.4: Sei G := Z/nZ. Dann hat G für jedes d n genau eine Untergruppe U := d. Diese Gruppe hat n/d Elemente und ist zyklisch. Andererseits, eine Untergruppe U < Z/nZ mit n/d Elementen ist von der Form d. Satz 5.5: Sei G eine endliche abelsche Gruppe. Dann sind äquivalent: (1) G ist zyklisch (2) Sei k eine Teiler von G. Dann hat G genau eine Untergruppe mit k Elementen. (3) Sei k eine Teiler von G. Dann hat G höchstens eine Untergruppe mit k Elementen. (4) Sei k ein Teiler von G. Dann hat G höchstens φ(k) Elemente der Ordnung k. (5) Sei k ein Teiler von G. Dann hat G genau φ(k) Elemente der Ordnung k. Damit gilt für jeden Teiler k von G, dass U := ζ n/k die eindeutige Untergruppe mit k Elementen ist. Ferner ist damit jede Untergruppe ebenfalls zyklisch. Beweis. 1 2: Sei G = ζ, und setze ψ : Z G : n ζ n. Dann gilt ker ψ = nz und G Z/nZ. Nach Korollar 5.4 hat Z/nZ und damit G genau die geforderten Untergruppen. 2 3: klar 3 4: Sei k n beliebig und α G mit Ordnung ord(α) = k. Dann ist U := α eine Untergruppe mit k Elementen. Da dies für jedes solche α gilt und es maximal eine solche Untergruppe geben kann, müssen alle Elemente β mit ord(β) = d bereits in U liegen. In U gibt es nun φ(d) viele Elemente der Ornung d, da ord(α k ) = d/ ggt(k, d) gilt und diese Elemente in Bijektion zu {0 k < n ggt(k, d) = 1} stehen. 4 5: Wir haben {α G ord(α) = d} φ(d) für alle d n. Mit Lagrange gilt: G = d n{α G ord(α) = d} und somit n = G d n φ(d) = n. Also muss = gelten. 5 1: G enthält φ(n) > 0 Elemente der Ordnung n. Also gilt G = α für eines dieser α. Damit können wir jetzt die Untergruppen der zyklischen Gruppe samt ihren Beziehungen einfach charakterisieren: Korollar 5.6: Sei G endlich, zyklisch und U, V < G Untergruppen. Dann gilt U < V genau dann, wenn U ein Teiler von V ist.

24 5. PRIMITIVWURZELN MODULO N 21 Beweis. Nach Lagrange ist sofort klar, dass U < V auch U V impliziert. Sei nun U =: d k := V. Dann gilt V = v := ζ n/k und U = u := ζ n/d also v k/d = u und somit U < V. Bemerkung 5.7: Seien G i zyklisch. Dann ist G i genau dann zyklisch, wenn die G i paarweise Teilerfremd sind. Denn: falls die G i teilerfremd sind, so folgt aus G i Z/ G i Z und dem chinesischen Restsatz sofort G i Z/( G i )Z also ist dies zyklisch. Seien nun die G i nicht koprim, obda: ggt( G 1, G 2 ) = d > 1. Dann gibt es in G i = a i jeweils φ(d) Elemente der Ordnung d, nämlich a j G i /d i für ggt(j, d) = 1. Also gibt es in G i mindestens φ(d) 2 solcher Elemente was nach Satz 5.5 verboten ist. Damit können wir nun F p = Z/pZ besser untersuchen. Es gilt: Satz 5.8: Ist G eine endliche Untergruppe von K wo K ein Körper ist, so ist G zyklisch. Damit folgt dann (Z/pZ) = a mit einer Primitivwurzel a. Beweis. Sei d #G beliebig und f := t d 1. Da K ein Körper ist und K d gilt, so hat f maximal d Nullstellen und G daher maximal d viele Elemente der Ordnung d. Diese bilden eine Untergruppe, womit G dann zyklisch ist nach Satz 5.5. Um nun eine Primitivwurzel der Ordnung d in G zu finden können wir so vorgehen: Wähle a G zufällig. Teste ord(a) = d. Um ord(a) = d zu testen können wir geschickter vorgehen, falls wir d = p np(d) kennen. In diesem Fall gilt ord a = d genau dann, wenn a d = 1 und a d/p 1 für jedes p d. In der Praxis ist das Problem die p d zu finden. Beispiel 5.9: Wir untersuchen F 17 wegen φ(17) = 16 = 2 4 müssen wir nur a 16 = 1 und a 8 1 testen. Da a 16 = 1 automatisch gilt, bleibt a 8 = ((a 2 ) 2 ) 2 1 zu testen, also 3 Multiplikationen. Versuchen wir a = 2: dann gilt also und 2 ist nicht primitiv. Wenn wir von Hand rechnen, so folgt damit auch, dass ±2, ±4, ±8 ±16 nicht primitiv sind. Versuchen wir nun a = 3. Dann gilt 3 2 9, und also ist 3 primitiv. Wenn wir nachzählen, so sehen wir, dass < 2 = 8 gilt und wir so acht nicht primitive Elemente haben. Es gibt 16 = 17 1 = φ(17) Elemente insgesamt, es muss φ(16) = 8 Primitive geben, also müssen die 8 übrigen primitiv sein. Für p > kann diese Liste natürlich nicht berechnet werden. Lemma 5.10: Sei p P, k > 0 und a Z mit ggt(a, p) = 1. Dann gilt entweder ord(a + Z/p k+1 Z) = ord(a + Z/p k Z) oder ord(a + Z/p k+1 Z) = p ord(a + Z/p k Z). Beweis. Wegen p k p k+1 ist der Ringhomomorphismus π : Z/p k+1 Z Z/pZ : x + p k+1 Z x + p k Z surjektiv und wohldefiniert, und induziert daher einen offensichtlich surjektiven Gruppenhomomorphismus (ebenfalls π genannt) (Z/p k+1 Z) (Z/p k Z). Für den Kern erhalten wir sofort ker π = φ(p k+1 )/φ(p k ) = p. Für die von a erzeugte Untergruppe erhalten wir dann ebenfalls, dass π : a + p k+1 Z a + p k Z

25 22 5. PRIMITIVWURZELN MODULO N wohldefiniert und surjektiv mit ker π < ker π ist und daher ord a+p k+1 Z {ord(a+ p k Z), p ord(a + p k Z)} wie behauptet. Damit können wir nun den nächsten Schritt zeigen: Lemma 5.11: Seien a Z, p P und k > 0 mit pk 3 und ggt(p, a) = 1. Falls ord(a + p k Z) = (p 1)p m und ord(a + p k+1 Z) = (p 1)p m+1 dann gilt auch ord(a + p k+2 Z) = (p 1)p m+2. Beweis. Wir schreiben die Ordnung um: ord(a + p k Z) = (p 1)p m heißt also a (p 1)pm 1 mod p k, a (p 1)pm = 1 + bp k mit b Z geeignet. Wegen ord(a + p k+1 Z) = (p 1)p k+1 kann p b nicht gelten. Mit dem binomischen Satz folgt nun ( ) p p a (p 1)pm+1 = (1 + bp k ) p = b i p ki = 1 + bp k+1 + ( ) p b i p ki + b k p kp i=0 i i>1 i Wegen p ( ( ) p i) für 1 < i < p und ik 2k k + 1 folgt dann p i b i p ki 0 mod p k+2. Wegen kp 3 erhalten wir auch kp k + 2 und somit auch b k p kp 0 mod p k+2. Also, wenn wir alles zusammensetzen: a (p 1)pm bp k+1 1 mod p k+2, also ist die Ordnung modulo p k+1 verschieden von der Ordnung modulo p k+1 und damit folgt die Behauptung aus dem letzten Lemma. Satz 5.12: Sei p P und a sei primitive Einheitswurzel modulo p. Dann ist a oder a + p primitiv modulo p 2. Insbesondere ist damit (Z/p 2 Z) immer zyklisch. Beweis. Ist a primitiv modulo p, so gilt speziell a Z/pZ und unser Lemma zeigt ord(a + p 2 Z) {(p 1), (p 1)p}. Angenommen ord(a + p 2 Z) = p 1, so folgt a p 1 1 mod p 2. Nehmen wir zusätzlich an ord i((a + p) + p 2 Z) = ord(a + p 2 Z), so folgt trivialerweise, dass a + p primitiv ist modulo p. Probieren wir modulo p 2 : p 1 ( ) 1 (a + p) p 1 = a p 1 + (p 1)pa p 2 + p 2 p 1 p i 2 a p 1 i i i=2 a p 1 + (p 1)pa p p(p 1)a p 2 mod p 2 Aber hieraus würde 0 p(p 1)a p 2 folgen also p a was nicht geht. Also war unsere Annahme falsch und die Behauptung ist richtig. Bemerkung 5.13: Nicht all Z/p k Z sind zyklisch! Es gilt (Z/8Z) = {±1, ±3} = {1, 3, 5, 7} und alle Elemente haben Ordnung 2. Beispiel 5.14: 2 ist primitiv modulo 5: 2 2 = 4 1. Modulo 25 erhalten wir 2 10 = (2 5 ) und 2 4 = 16 1, so dass 2 primitiv ist. Andererseits, probieren wir mal 7: wegen 7 2 mod 5 folgt 7 ist primitiv modulo 5. Aber 7 2 1, so dass ord(7 + 25Z) = 4 gilt, also ist 7 nicht primitiv modulo 25. Mit dem Satz folgt dann sofort, dass 12 = primtiv ist.

26 5. PRIMITIVWURZELN MODULO N 23 Satz 5.15: Sei a primitiv modulo p und p 2 für p > 2, p P. Dann ist a primitiv modulo p k für alle k. Beweis. Folgt per Induktion aus Lemma Was ist jetzt mit 2 k? Satz 5.16: Für k > 2 gilt ord(5 + 2 k Z) = 2 k 2 und (Z/2 k Z) = 1 5 Z/2Z Z/2 k 2 Z. Beweis. Der erste Teil ist einfach: ord(5 + 4Z) = 1 = 2 0, ord(5 + 8Z) = 2 = 2 1 also mit Lemma 5.11: ord(5 + 2 k Z) = 2 k 2. Zu zeigen bleibt: k Z k Z = 1. Es reicht also k Z 5 zu zeigen. Nehmen wir an, dass es m und b gibt mit 1 = 5 m + 2 k b so folgt sofort 1 = 5 m + b2 k 1 mod 4 wegen k > 2. Wenn wir uns jetzt noch die Gruppenordnungen ansehen, so folgt die Behauptung. Wenn wir jetzt alles zusammen setzen, so können wir genau klassifizieren wann es primitive Einheitswurzeln in Z/nZ gibt: Satz 5.17 (Gauß): Sei n > 0 beliebig. Dann gilt (Z/nZ) (Z/p n p(n) Z) ist zyklisch genau dann, wenn n {2, 4, p k, 2p k 2 p P, k > 0} gilt. In diesem Fall existieren dann φ(φ(n)) viele primitive Einheitswurzeln. Beweis. Wir haben bereits gezeigt, dass (Z/nZ) genau dann zyklisch ist, falls (1) (Z/p n p(n) Z) zyklisch ist (für alle p), und (2) die φ(p np(n) ) paarweise teilerfremd sind. Damit folgt dann, dass in den angegebenen Fällen die Gruppe zyklisch ist. Wenn wir nun die Gruppe als zyklisch annehmen, so kann es keine zwei verschiedene ungerade Primzahlen p q n geben, da φ(p) = p 1 und φ(q) = q 1 dann gerade sind und somit nicht teilerfremd. Ferner hat (Z/2 k Z) ungerade Ordnung (1) genau dann, wenn k < 2 gilt und ist zyklisch für k < 3. Der Rest ist dann einfach.

27 24 5. PRIMITIVWURZELN MODULO N 1. Quadratische Reste Am Anfang haben wir uns mit linearen Gleichungssystemen beschäftigt, später dann mit speziellen quadratischen (Summe von Quadraten) und mit der Einheitengruppe von Z/mZ. Nun wollen wir uns mit dem nächsten Fall beschäftigen: quadratische Gleichungen. Wie wir sehen werden ist es nicht schwierig die Lösbarkeit zu entscheiden, andererseits Lösungen zu finden ist oft (praktisch) unmöglich. Oft (aber nicht immer) gilt hier auch die pq-formel, also für x 2 + px + q 0 mod n mit 2 (Z/nZ) setzen wir D := (p/2) 2 q. Falls es nun y gibt mit y 2 D mod n, so sind p/2 ± y Lösungen. Um die abc-formel für ax 2 + bx + c zu verallgemeinern, muß man mehr aufpassen - i.allg. dürfen wir durch a nicht Teilen. Ebenfalls der Fall 2 n macht Schwierigkeiten, hier gibt es eine etwas andere Theorie, statt y 2 = d wird dann y 2 + y = d untersucht. Mit dem Chinesischen Restsatz gilt nun: Lemma 5.18: Sei n = p n i i und d Z beliebig. Dann gibt es y mit y 2 d mod n genau dann, wenn es y i gibt mit yi 2 d mod p n i i für alle p i. Beweis. Fall es y gibt, so können wir y i := y setzen. Wegen p n i i n folgt dann die Behauptung. Andererseits, wenn wir die y i haben, so können wir mit dem Chinesischen Restsatz ein y finden mit y 2 d mod p n i i = n. In der Praxis heißt die leider, dass y i nicht gefunden werden kann, da n i.allg. nicht faktoriesiert werden kann.... Wir werden sehen, dass es Fälle gibt wo Wurzelziehen genauso schwer ist wie Faktorisieren - zumindest modulo n. Wurzelziehen in Z ist trivial. Lemma 5.19: Sei p P, k > 0 und a = p m b Z mit ggt(b, p) = 1. Dann gilt: (1) Für m > k ist x 2 a mod p k immer Lösbar (2) Für 0 m < k sind equivalent: (a) Es gibt y Z mit y 2 a mod p k (b) 2 m und es gibt y Z mit y 2 b mod p k m Beweis. Im Fall (1) gilt a 0 mod n also ist y = 0 Lösung. Im Fall (2) sein nun y 2 a mod p k. Dann folgt p k y 2 a = y 2 p m b und p k p m, also p k y 2. Wenn wir jetzt y = p l ỹ einsetzen mit p ỹ so sehen wir sofort 2l = m. Andererseits, falls y 2 b mod p k m, so folgt ebenfalls y 2 p m bp m = a mod n. Wir wir sehen reicht es daher sich auf den Fall ggt(a, n) = 1 oder sogar auf den Fall n = p k zu beschränken. Die Übung zeigt sogar, dass k = 1 ausreicht. Definition 5.20: Sei n > 0 und a Z mit ggt(a, n) = 1. Die Zahl a heißt quadratischer Rest modulo n, falls es y Z gibt mit y 2 a mod n. Anderfalls heißt a quadratischer Nichtrest. Wie wir sehen werden ist es sehr einfach für Zahlen mit mehreren Tausend Stellen zu entscheiden ob sie quadratische Reste sind - aber oftmals ist es unmöglich eine Wurzel zu finden.

28 1. QUADRATISCHE RESTE 25 Die Verbindung mit Primitivwurzeln ist sehr eng (Erinnerung: eine Primitivwurzel ist eine primitive Einheitswurzel): Lemma 5.21: Sei 2 p P, a Z mit p a und k > 0. Dann sind äquivalent: (1) a ist quadratischer Rest modulo n (2) Für jede Primitivwurzel b modulo p k gibt es m mit a b 2m mod n (3) Es gibt eine Primitivwurzel b modulo p k und m mit a b 2m mod n (4) ord a + p k (p 1)/2p k 1, also a (p 1)/2pk 1 1 mod p k Damit gilt sofort für jede Primitivwurzel b modulo p k : {aist quadratischer Rest} = b 2 Beweis. (1) (2): Sei y 2 a mod n und b eine Primitivwurzel, also (Z/nZ) = b. Also gibt es m > 0 mit b m y mod n, also a b 2m mod n. (2) (3): trivial (3) (4): Es gilt ord b + p k = φ(p k ) und ord b 2 + p k = φ(k)/2. Wegen a b 2 folgt dann die Aussage. (4) (1): Sei b eine Primitivwurzel. Da ord a+p k 1/2 ord b+p k so folgt aus dem Satz über zyklische Gruppen a b 2, also a b 2m mod p k und (b m ) 2 a mod p k. Mit diesem Lemma und der Übung ist damit das Problem reduziert zu testen ob a quadratischer Rest ist modulo ungerader Primzahlen. Im Prinzip können wir dies mit (4) auch tun, aber für sehr große p ist dies viel zu aufwendig. Satz 5.22: Sei p eine ungerade Primzahl. Dann bildet die Menge der quadratischen Reste eine Untergruppe von (Z/pZ) und es gibt genau φ(p)/2 = (p 1)/2 quadratische Reste und Nichtreste. Beweis. Die Gruppe (Z/pZ) ist zyklisch und daher abelsch, so dass x x 2 eine Gruppenhomomorphismus ist. Offenbar ist das Bild genau die Menge der quadratischen Reste. Da p Prim ist, so hat das Polynom x 2 1 genau zwei Nullstellen ±1 und damit hat der Kern der Abbildung genau zwei Elemente {±1}. Damit folgt der Rest dann aus dem Homomorphiesatz. Wie immer, wenn wir nicht weiter kommen geben wir dem Problem einen einfachen Namen: Definition 5.23 (Legendre-Symbol): Sei p eine Primzahl und a Z beliebig. Wir definieren ( ) a := p 1 a ist quadratischer Rest 1 a ist quadratischer Nichtrest 0 sonst das Legendre Symbol. Oft wird auch (a p) statt ( ) ( ) a p geschrieben. Unser Ziel ist es nun a p schnell bestimmen zu können.

29 26 5. PRIMITIVWURZELN MODULO N Beispiel 5.24: p = 11, also φ(11) = 10 und es sollte 5 quadratische Reste und Nichtreste geben. Sammeln wir Quadrate: dies sind 5 Quadrate, also sind wir fertig. 1 1 = 1, 2 2 = 4, 3 2 = 9, 4 2 = 5, 5 2 = 3 ( a ) a Satz 5.25: Sei 2 p P und a Z. Dann gilt ( ) a a (p 1)/2 mod p p Beweis. Falls p a so sind beide Seiten 0. Anderfalls können wir Lemma 5.21.(4) benutzen: Wegen a p 1 1 mod p und p Prim folgt a (p 1)/2 {±1}. Mit Lemma 5.21.(4) folgt dann die Behauptung. Korollar 5.26: Seien p P und a, b Z. Dann gilt: (1) Falls a b mod p so folgt ( ) ( ) a p = a b. (2) Falls p a, so folgt ( ) a 2 p = 1 (3) p 2, so gilt ( ) ( ) ( ) ab a b = p p p ) eine multiplikative Funktion und ein Damit ist Z/pZ {±1} : a ( a p Gruppenhomomorphismus. Speziell sind die quadratischen Reste der Kern dieses Homomorphismuses. (4) Für a = p n i i und p 2 gilt ( a p ) = ( ) ni p i p Beweis. (1) und (2) sind klar nach Definition. Für (3) können wir Euler benutzen ( ) ( ) ( ) ab a b = (ab) (p 1)/2 = a (p 1)/2 b (p 1)/2 =. p p p Der Rest ist dann klar, bzw. folgt per Induktion über die Anzahl der Teiler. Damit erhalten wir auch den sog. 1. Ergänzungssatz zum Quadratischen Reziprozitätsgetz: Korollar 5.27: Sei p P, dann gilt ( ) 1 1 p = 2 = 1 p 1 mod 4 p 1 p 3 mod 4 Beweis. Für p = 2 klar, sonst beachte, dass (p 1)/2 gerade ist falls p 1 mod 4 gilt und sonst ungerade ist.

30 1. QUADRATISCHE RESTE 27 Für die weiteren Beweise benötigen wir noch ein paar technische Hilfsmittel. Definition 5.28: Sei sei 2 p P und k = (p 1)/2. Dann nennen wir MR p := { k,..., k} die Minimalreste modulo p. Für a Z mit p a und 1 n (p 1)/2 gibt es genau ein r a,n MR p mit na r a,n mod p. Wir definieren 1 r a,n > 0 ɛ a,n := 1 r a,n < 0 und ν a,p := {n ɛ a,n = 1, 1 n (p 1)/2} Beispiel 5.29: Sei p = 11 und a = 3. Dann gilt zunächst MR 11 = { 5,..., 5}. Ferner gilt r 3,1 = 3 ɛ 3,1 = r 3,2 = 5 ɛ 3,1 = r 3,3 = 2 ɛ 3,1 = r 3,4 = 1 ɛ 3,1 = r 3,5 = 4 ɛ 3,1 = 1 Damit folgt dann ν 3,11 = 2. Der Sinn dieser Definition liegt z.b. in dem folgenden Lemma: Lemma 5.30: Sei 2 p P und p Z mit p a. Dann gilt ( ) a (p 1)/2 = ɛ a,i = ( 1) ν a,p p Beweis. Setze k := (p 1)/2. Offenbar gilt na r a,n und i=1 µ a : (Z/pZ) (Z/pZ) : x xa ist bijektiv da a eine Einheit ist. Damit können wir MR p = {r a,n : 1 n k} { r a,n : 1 n k} zeigen (µ a ist bijektiv, also kommen alle Reste und alle x MR p im Bild vor. Die Bemerkung mit den Vorzeichen zeigt, dass es eine Symmetrie gibt. Abzählen der Möglichkeiten liefert dann den Rest). Damit folgt dann auch und damit Modulo p folgt dann { r a,n : 1 n k} = {1,..., k} k k! = r a,n. n=1 k!a k = na = r a,n = r a,n ɛ a,n = k! ɛ a,n Wegen k < p ist k! eine Einheit, also folgt k a k und die Behauptung aus Satz 5.25 ɛ a,n n=1