Zahlentheorie - Lehrstuhl VI für Mathematik

Vorlesung an der Universität Mannheim
im Frühjahrssemester 2009
Zahlentheorie
Wolfgang K. Seiler
Biographische Angaben von Mathematikern beruhen größtenteils auf
den entsprechenden Artikeln im MacTutor History of Mathematics ar), von wo auch
chive (
die meisten abgedruckten Bilder stammen. Bei noch lebenden Mathematikern bezog ich mich, soweit möglich, auf deren eigenen Internetauftritt.
Falls genügend viele Hinweise eingehen, werde ich von Zeit zu Zeit
Listen mit Berichtigungen und Verbesserungen zusammenstellen. In
der online Version werden natürlich alle bekannten Fehler korrigiert.
Das Skriptum sollte daher mit Sorgfalt und einem gewissen Mißtrauen gegen seinen Inhalt gelesen werden. Falls Sie Fehler finden, teilen Sie mir dies bitte persönlich oder per e-mail ([email protected]) mit. Auch wenn Sie Teile des Skriptums unverständlich
finden, bin ich für entsprechende Hinweise dankbar.
Dieses Skriptum entsteht parallel zur Vorlesung und soll mit möglichst
geringer Verzögerung erscheinen. Es ist daher in seiner Qualität auf keinen Fall mit einem Lehrbuch zu vergleichen; insbesondere sind Fehler
bei dieser Entstehensweise nicht nur möglich, sondern sicher. Dabei
handelt es sich wohl leider nicht immer nur um harmlose Tippfehler,
sondern auch um Fehler bei den mathematischen Aussagen. Da mehrere
Teile aus anderen Skripten für Hörerkreise der verschiedensten Niveaus
übernommen sind, ist die Präsentation auch teilweise ziemlich inhomogen.
4: Die multiplikative Struktur der ganzen Zahlen . . . . . . . . . . . . . . . . . 18
5: Kongruenzenrechnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2: Die Elemente quadratischer Zahlkörper . . . . . . . . . . . . . . . . . . . . . . . 164
3: Die Hauptordnung eines Zahlkörpers . . . . . . . . . . . . . . . . . . . . . . . . . 166
4: Normen und Spuren in quadratischen Zahlkörpern . . . . . . . . . . . . 169
5: EUKLIDische Ringe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
6: Einheiten in quadratischen Zahlkörpern . . . . . . . . . . . . . . . . . . . . . . . 180
7: Quaternionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
8: Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7: Anwendungen bei SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6: DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5: Verfahren mit diskreten Logarithmen . . . . . . . . . . . . . . . . . . . . . . . . . . 58
KAPITEL VI: QUADRATISCHE ZAHLKÖRPER . . . . . . . . . . . . . . . . . . . . . . . 161
1: Grundbegriffe der Ringtheorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
5: Eine kryptographische Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
4: Wie groß sollten die Primzahlen sein? . . . . . . . . . . . . . . . . . . . . . . . . . 54
46
46
47
49
52
4: Kettenbrüche und Kalender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
3: Weitere Anwendungen des RSA-Verfahrens . . . . . . . . . . . . . . . . . . .
a) Identitätsnachweis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
b) Elektronische Unterschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
c) Blinde Unterschriften und elektronisches Bargeld . . . . . . . . . . . . . .
d) Bankkarten mit Chip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3: Optimale Approximation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
2: Das RSA-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2: Geometrische Formulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
1: New directions in cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
KAPITEL V: KETTENBRÜCHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
1: Der Kettenbruchalgorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
KAPITEL II: ANWENDUNGEN IN DER KRYPTOGRAPHIE . . . . . . . . . . . . . 36
7: Prime Restklassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3: Das Verfahren von FERMAT und seine Varianten . . . . . . . . . . . . . . 122
6: Der chinesische Restesatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2: Die Verfahren von POLLARD und ihre Varianten . . . . . . . . . . . . . . . 112
a) Die Monte-Carlo-Methode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
b) Die (
1)-Methode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
c) Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
3: Der Aufwand des EUKLIDischen Algorithmus . . . . . . . . . . . . . . . . . . 13
2: Der erweiterte EUKLIDische Algorithmus . . . . . . . . . . . . . . . . . . . . . . . 8
KAPITEL IV: FAKTORISIERUNGSVERFAHREN . . . . . . . . . . . . . . . . . . . . . . 107
1: Die ersten Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
a) Test auf Primzahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
b) Abdividieren kleiner Primteiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
5: Der Test von AGRAWAL, KAYAL und SAXENA . . . . . . . . . . . . . . . . . . 95
1: Der Euklidische Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4: Der Test von MILLER und RABIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
0: Rationale und irrationale Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3: FERMAT-Test und FERMAT-Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
KAPITEL I: GANZE ZAHLEN UND IHRE PRIMZERLEGUNG . . . . . . . . . . . . 1
2: Das Sieb des ERATOSTHENES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Inhalt
KAPITEL III: PRIMZAHLEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
1: Die Verteilung der Primzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
KAPITEL VII: QUADRATISCHE FORMEN . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
2: Anwendung auf die Berechnung von
3: Der Satz von LAGRANGE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
. . . . . . . . . . . . . . . . . . . . . . . 191
1: Summen zweier Quadrate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
4: Quadratische Formen und Matrizen . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
5: Kettenbruchentwicklung quadratischer Irrationalitäten . . . . . . . . 205
KAPITEL VIII: QUADRATISCHE RESTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
6: Die PELLsche Gleichung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
1: Das LEGENDRE-Symbol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
2: Das quadratische Reziprozitätsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . 217
3: Das JACOBI-Symbol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
4: Berechnung der modularen Quadratwurzel . . . . . . . . . . . . . . . . . . . 225
KAPITEL IX: DIE FERMAT-VERMUTUNG FÜR ZAHLEN
UND FÜR POLYNOME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
5: Anwendungen quadratischer Reste . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
a) Münzwurf per Telephon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
a) Quadratische Formen und quadratische Reste . . . . . . . . . . . . . . . . . 232
b) Münzwurf per Telephon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
c) Akustik von Konzerthallen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
1: Zahlen und Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
2: Pythagoräische Tripel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
3: Der Satz von MASON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
4: Die abc-Vermutung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
5: Die FREY-Kurve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
.
Wäre 2 als Verhältnis
zweier natürlicher Zahlen darstellbar, so
könnten wir ohne Beschränkung der Allgemeinheit annehmen, daß mindestens eine der beiden Zahlen und ungerade ist: Andernfalls müßten
wir einfach so lange durch zwei kürzen, bis dies der Fall ist.
= 2, so erhalten wir
Quadrieren wir beide Seiten der Gleichung
die neue Gleichung 2 2 = 2; demnach müßte 2 = 2 2 eine gerade
Zahl sein. Damit müßte aber auch gerade sein, denn das Quadrat einer
ungeraden Zahl ist ungerade. Wenn aber durch zwei teilbar ist, ist
2
= 2 2 durch vier teilbar, also wäre auch 2 und damit auch gerade,
ein Widerspruch. Somit ist 2 keine rationale Zahl.
Umso größer war der Schock, als um 450 v.Chr. einer von ihnen, wahrscheinlich HIPPASSOS VON METAPONT, herausfand, daß es in der Geometrie Längenverhältnisse gibt, die sich nicht so beschreiben lassen.
Schlimmer noch: Ein Beispiel dafür bietet ausgerechnet das Wahrzeichen der Pythagoräer, das Pentagramm. HIPPASSOS VON METAPONT
nahm deshalb auch ein schlimmes Ende: Nach einigen Überlieferungen
wurde er von den erzürnten Pythagoräern ertränkt, nach anderen ließen
ihn die Götter als Strafe für seine Schandtat bei einem Schiffsuntergang
ertrinken.
Wir wollen uns hier zunächst mit einem einfacheren Fall als dem Pentagramm beschäftigen, beschäftigen, dem Verhältnis zwischen der Diagonale und der Seite eines Quadrats. In einem Quadrat der Seitenlänge
kann die Diagonale aufgefaßt werden als Hypothenuse eines gleichschenkligen rechtwinkligen Dreiecks mit Katheten der Länge ; sie hat
daher nach dem Satz des PYTHAGORAS (der tatsächlich wohl einige hun2, und das
dert Jahre älter als PYTHAGORAS sein dürfte) die Länge
gesuchte Verhältnis ist 2.
Die Zahlentheorie unterscheidet sich dadurch von anderen Teilen der
Mathematik, daß es dort vor allem um ganze Zahlen geht, oft sogar
. Die frühe griechische
einfach um die natürlichen Zahlen 1 2 3
Philosophie der Pythagoräer beispielsweise stand unter dem Motto Alles ist Zahl. Sie konnten die musikalischen Harmonien auf einfache
Verhältnisse natürlicher Zahlen zurückführen und waren überzeugt, daß
dies auch für alle anderen Proportionen galt.
Die Zahlentheorie beschäftigt sich, wie schon ihr Name sagt, mit Zahlen. Nun würde allerdings eine Umfrage wohl ergeben, daß sich nach
Ansicht eines Großteils der Bevölkerung die gesamte Mathematik mit
Zahlen beschäftigt – auch wenn beispielsweise im neunbändigen Analysislehrbuch von JEAN DIEUDONNÉ abgesehen von den dreiteiligen Abschnittsnummern praktisch keine Zahlen außer 0, 1 und 2 vorkommen.
§0: Rationale und irrationale Zahlen
Kapitel 1
Ganze Zahlen und ihre Primzerlegung
PYTHAGORAS VON SAMOS lebte etwa von 569 bis 475.
Als ungefähr 18-Jähriger besuchte er Thales in Milot
und ging auf dessen Rat 535 nach Ägypten, um mehr
über Mathematik und Astronomie zu lernen. Im Tempel
von Diospolis wurde er nach der dafür vorgesehen Ausbildung in die Priesterschaft aufgenommen. 525, bei der
persischen Invasion Ägyptens, geriet er in Gefangenschaft und wurde nach Babylon gebracht, was er nutzte
er, um die dortige Mathematik zu erlernen. 520 kam er
frei und kehrte zurück nach Samos, zog aber schon bald
weiter nach Croton in Süditalien, wo er eine religiöse
und philosophische Schule gründete, die Pythagoräer.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Auch das Verhältnis zwischen Umfang und Durchmesser eines Kreises,
für das wir heute die Bezeichnung verwenden, ist nicht rational, allerdings erfordert der Beweis dafür etwas mehr Arbeit. Ich möchte ihn
trotzdem hier vorstellen, denn er zeigt sehr schön, wie zahlentheoretische Aussagen teilweise nur auf Umwegen über andere Gebiete der
Mathematik bewiesen werden können. Beim folgenden Beweis führt
!
"
'
#
%%
$
!
"
!
"
!
'
&
&
&
"
!
"
!
"
"
"
"
$
"
$
"
"
%$
"
%$
"
(
"
"
%$
%%
"
$
"
%(
"
"
*
"
"
$
%%
"
$
)
"
!
%%
"
$
'+
$
!
%%
"
"
!
"
"
%(
"
!
"
$
"
'
$
"
&
$
&
&
"
!
%$
"
%% !
(
!
"
"
"
,.$
$
"
(
"
(
"
/
"
!
"
"
"
=
1
!
= 0.
=0
'+
6
"
#
#
"
E
"
#
"
!
@D
B
$
B
die -te Ableitung verschwindet also für
= +
ist
1
( )
(0) =
(
!
7
'
1 2
.
! (4 )
)
+
;
an der Stelle Null. Für
(
) ( + )!
#
'
!
#
!
#
ebenfalls eine ganze Zahl, da der Nenner ! Teiler von ( + )! ist und
ansonsten nur ganze Zahlen dastehen.
#F@
"
$
(0) .
'
?
$
( )+
=
#A@
#
=
2
BC
#
"
"
!
"
0
( ) sin
)
#
?
, -
0
!
!
#
=
'
(
'
( )=
?
@
G
#
0
Somit ist also
für jedes
eine positive ganze Zahl. Der Limes
einer Folge positiver ganzer Zahlen kann aber unmöglich Null sein,
H
/
'
def
lim
$
Andererseits ist aber
= (0) + ( ), was in diesem Fall wegen der
Symmetrie von
einfach 2 (0) ist. Wir wollen uns überlegen, daß
(0) eine ganze Zahl ist. Dazu reicht es zu zeigen, daß alle Ableitungen
von ( ) an der Stelle Null ganzzahlige Werte annehmen. Nach der
binomischen Formel ist
!
'>=
@
wir erhalten
'
6
;
0
0
'+
)
)
1 2
! (4 )
und sehen, daß
für
gegen Null geht; denn ! wächst stärker
als jede Potenz einer reellen Zahl. Somit ist
#
7
!
9
? "
(
!
$
'
( )=
:
?
sei eine rationale Zahl und wenden die
Wir nehmen nun an, =
gerade bewiesene Formel an auf das spezielle Polynom
3
'
'
1.
4
0
;<
=
"
Schätzen wir das Integral ab durch Intervallänge mal Maximum des
Integranden, erhalten wir daher die Ungleichung
#
= 0, cos 0 = 1 und cos
8
$
?
denn sin 0 = sin
!
5
'
0
&
0
(0) ,
"
3
#
( )+
"
4
(0) =
'
= ( )
'
( ) sin
"
6
#
Formel von Hermite:
'
!
'
eine Stammfunktion von
7
( ) cos
#
( ) sin
Somit ist ( ) =
( ) sin , und wir erhalten die
'
(4)
In
( )=
( )
+ ( 1) 1 (2 ) ( ) kommen bis auf
( )+
( ) genau dieselben Terme vor wie in ( ), allerdings mit dem
jeweils anderen Vorzeichen. Daher ist
( ) + ( ) = ( ) und
( ) = ( ) sin .
"
'
( ) sin .
!
( )+
"
=
*
5
( ) sin
'
"
an derselben Stelle angenommen
); wegen ( ) =
2 handelt
2 = 2, und der Funktionswert
( ) cos +
2
'
( ) cos
"
( ) sin +
( )=
"
%
als die alternierende Summe der Ableitungen gerader Ordnung von .
Weiter betrachten wir die Funktion ( ) =
( ) sin
( ) cos ;
ihre Ableitung ist
Das Maximum von in (0 ) wird
wie das der Funktion ( ) = (
es sich dabei um die Intervallmitte
dort ist
1
=
2
! 2
"
( )
)
"
(2 )
4
(
+ ( 1)
'
( ) =
'
( )
!
=
(4)
)
( )+
(
'
)
"
( )
0
3
)=(
'
(
"
'
( )=
"
( ) ist im Intervall (0 ) genau wie die Sinusfunktion überall positiv;
daher ist auch
0. Außerdem ist ( ) symmetrisch zu 2, denn
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Wir gehen zunächst aus von einem beliebigen Polynom ( ) mit reellen
Koeffizienten von einem geraden Grad 2 . Dazu definieren wir das
Polynom
dieser Umweg über die relle Analysis:
Zahlentheorie
1
'
"
"
I
also führt die Annahme,
=
Widerspruch, d.h. ist irrational.
sei eine rationale Zahl, zu einem
Zahlentheorie
L
M
L
M
M
LO
L
L
M
L
L
L
M
L
L
M PQ
M
M
L
L
L
L
M
L
L
J
M
M
K
L
K
L
M
Das dem EUKLIDischen Algorithmus zugrunde liegende Prinzip der
Wechselwegnahme oder wechselseitigen Subtraktion war in der griechischen Mathematik spätestens gegen Ende des fünften vorchristlichen Jahrhunderts bereits wohlbekannt unter dem Namen Antanairesis
Aus heutiger Sicht erscheint hier die Voraussetzung, daß die betrachteten
Größen nicht teilerfremd sein dürfen, seltsam. Sie erklärt sich daraus,
daß in der griechischen Philosophie und Mathematik die Einheit eine
Sonderrolle einnahm und nicht als Zahl angesehen wurde: Die Zahlen
begannen erst mit der Zwei. Dementsprechend führt EUKLID in Proposition 1 des siebten Buchs fast wörtlich dieselbe Konstruktion durch für
den Fall von teilerfremden Größen. Schon wenig später wurde die Eins
auch in Griechenland als Zahl anerkannt, und für uns heute ist die Unterscheidung ohnehin bedeutungslos. Wir können die Bedingung, daß
der ggT ungleich eins sein soll, also einfach ignorieren.
L
L
M
L
M
M
L
M K
L
M
L
M
M
L
L
L
Wenn
aber AB nicht mißt, und man nimmt bei AB,
abwechselnd
immer das kleinere vom größeren weg, dann muß (schließlich) eine Zahl
M
L
Wenn
hier AB mißt – sich selbst mißt es auch – dann ist
gemeinsames
AB. Und es ist klar, daß es auch das größte ist, denn keine Zahl
Maß von
größer
kann
messen.
M
M
L
B
L
L
M
M
A
M
L
L
Die zwei gegebenen Zahlen, die nicht prim, gegeneinander sind, seien
. Man soll das größte gemeinsame Maß von AB
finden.
AB
M
M
Zu zwei gegebenen Zahlen, die nicht prim gegeneinander sind, ihr größtes
gemeinsames Maß zu finden.
L
Da
AE mißt und AE Z, muß Z auch Z messen; es mißt aber auch
sich selbst, muß also auch das Ganze
messen.
mißt aber BE; also mißt
Z auch BE; es mißt aber auch EA, muß also auch das Ganze BA messen.
; Z mißt also AB und
; also ist Z gemeinsames
Und es mißt auch
Maß von AB,
. Ich behaupte, daß es auch das größte ist. Wäre nämlich
Z nicht das größte gemeinsame Maß von AB,
, so müßte irgendeine
messen. Dies geschehe; die Zahl
Zahl größer Z die Zahlen AB und
mäße und
mißt, mäße H auch BE; es soll aber
sei H. Da H dann
auch das Ganze BA messen, müßte also auch den Rest AE messen. AE mißt
aber Z; also müßte H auch Z messen; es soll aber auch das Ganze
messen, müßte also auch den Rest Z messen, als größere Zahl die kleinere;
dies ist unmöglich. Also kann keine Zahl größer Z die Zahlen AB und
messen; Z ist also das größte gemeinsame Maß von AB,
; dies hatte man
beweisen sollen.
B
L
L
Bei EUKLID, in Proposition 2 des siebten Buchs seiner Elemente, wird
er (in der Übersetzung von CLEMENS THAER in Oswalds Klassikern der
exakten Wissenschaft) so beschrieben:
K
H
Z
E
M
§1: Der Euklidische Algorithmus
L
A
M
Wenn man schon dabei ist, kann man leicht auch noch viele anderere
wichtige Zahlen als irrational erkennen; auf dem ersten Übungsblatt ist
ein Beweis für die Irrationalität der EULERschen Zahl skizziert, und
mit nur wenig mehr Aufwand als im Fall der Quadratwurzel aus zwei
läßt sich auch leicht zeigen, daß jede Quadratwurzel einer natürlichen
Zahl entweder ganzzahlig oder irrational ist. Dasselbe gibt für höhere
Wurzeln und sogar für Nullstellen gewisser Polynome mit ganzzahligen Koeffizienten, allerdings brauchen wir für allgemeine Beweis einen
Satz, den zwar fast jeder kennt, dessen Beweis man aber nur selten sieht:
Die eindeutige Primzerlegung der natürlichen Zahlen. Der Beweis dieses
Satzes wiederum verwendet eine Konstruktion, die wahrscheinlich bereits den Pythagoräern bekannt war und die wir heute als EUKLIDischen
Algorithmus bezeichnen. Wie sich zeigen wird, ist er zusammen mit
einer ganzen Reihe von Varianten ein nicht nur in der Zahlentheorie allgegenwärtiges Werkzeug; es lohnt sich also, ihn gleich jetzt zum Beginn
der Vorlesung etwas ausführlicher zu betrachten.
M
übrig bleiben, die die vorangehende mißt. Die Einheit kann nämlich nicht
gegeneinander prim sein, gegen die
übrig bleiben; sonst müßten AB
Voraussetzung. Also muß eine Zahl übrig bleiben, die die vorangehende
mißt.
lasse, indem es BE mißt, EA, kleiner als sich selbst übrig; und EA
lasse, indem es Z mißt, Z , kleiner als sich selbst übrig; und Z messe AE.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
N
VZY
[]\
^
ST
R
VZY
SVWX
ST
(`
) oder auch Anthyphairesis ( `
), und auch
der Algorithmus selbst geht mit ziemlicher Sicherheit, wie so vieles
in den Elementen, nicht erst auf EUKLID zurück: Seine Elemente waren das wohl mindestens vierte Buchprojekt dieses Namens, und alles
spricht dafür, daß er vieles von seinen Vorgängern übernommen hat.
Seine Elemente waren dann aber mit Abstand die erfolgreichsten, so
daß die anderen in Vergessenheit gerieten und verloren gingen; EUKLID
wurde schließlich als der Stoichist bekannt nach dem griechischen Titel
˜ der Elemente.
Zahlentheorie
STU
SVWX
aV
S
_V`
U
Y
+
?
c ?
?
b
?
c +
c
+
c
c
?
c
?
+
c
?
c
?
c
?
c +
?
?
c
c
?
c +
c
b
c
b
c
c
@
(Bei einem Bankett sind 41 Personen, Männer, Frauen und Kinder, die
zusammen vierzig Sous ausgeben, aber jeder Mann zahlt vier Sous, jede
Frau drei Sous und jedes Kind 4 Deniers. Ich frage, wie viele Männer,
wie viele Frauen und wie viele Kinder es sind.)
Il y a 41 personnes en un banquet tant hommes que femmes et enfants
qui en tout dépensent 40 sous, mais chaque homme paye 4 sous, chaque
femme 3 sous, chaque enfant 4 deniers. Je demande combien il y a
d’hommes, combien de femmes, combien d’enfants.
Mehr als zwei Tausend Jahre nach der Entdeckung von Anthyphairesis und EUKLIDischem Algorithmus, 1624 in Bourg-en-Bresse, stellte
BACHET DE MÉZIRIAC in der zweiten Auflage seines Buchs Problèmes
plaisants et délectables qui se fonts par les nombres Aufgaben wie die
folgende:
§2: Der erweiterte Euklidische Algorithmus
?
?
c +
@D
c
c
?
c
?
?
c +
?
EUKLID behauptet, daß dieser Algorithmus stets endet und daß das Erist, d.h.
gebnis der größte gemeinsame Teiler der Ausgangszahlen
?
+
1: Falls
verschwindet, endet der Algorithmus mit
;
andernfalls
sei +1 der Rest bei der Division von
1
1
c
?
Schritt
ggT( ) =
durch .
?
= .
?
1
,
?
und
c
=
0
1
b
c
Schritt 0: Setze
=
c ?
+
c
.
?
+1
c
c
so daß jeder gemeinsame Teiler von und +1 auch ein Teiler von
1
auch +1
ist und umgekehrt jeder gemeinsame Teiler von
1 und
teilt. Somit haben
und
1 diesselben gemeinsamen Teiler wie
und +1 , insbesondere haben sie denselben größten gemeinsamen Teiler.
Durch Induktion folgt, daß in jedem Schritt ggT(
)
1 ) = ggT(
ist. Im letzten Schritt ist = 0; da jede natürliche Zahl Teiler der Null
ist, ist dann
), wie behauptet.
1 = ggT(
1 ) = ggT(
oder
c
?
Gegeben seien zwei natürliche Zahlen
c
+1
?
EUKLIDs Konstruktion wird dann zu folgendem Algorithmus:
+
?
=
c
1
?
Wenn wir nicht mit Zirkel und Lineal arbeiten, sondern rechnen, können
wir die mehrfache Wegnahme“ einer Strecke von einer anderen einfa”
cher beschreiben durch eine Division mit Rest: Sind und die (als
natürliche Zahlen vorausgesetzten) Längen der beiden Strecken und ist
: = Rest , so kann man mal die Strecke von wegnehmen,
und übrig bleibt eine Strecke der Länge .
@
?
Es ist nicht ganz sicher, ob EUKLID wirklich gelebt hat;
es ist möglich, wenn auch sehr unwahrscheinlich, daß
EUKLID wie BOURBAKI einfach ein Pseudonym für eine
Autorengruppe ist. (Das nebenstehende Bild aus dem
18. Jahrhundert ist reine Phantasie.) EUKLID ist vor allem bekannt als Autor der Elemente, in denen er die Geometrie seiner Zeit systematisch darstellte und (in gewisser Weise) auf wenige Definitionen sowie die berühmten fünf Postulate zurückführte; sie entstanden um 300
v. Chr. EUKLID arbeitete wohl am Museion in Alexandrien; außer den Elementen schrieb er noch ein Buch
über Optik und weitere, teilweise verschollene Bücher.
als auch teilt.
c
Da der Divisionsrest +1 stets echt kleiner ist als sein Vorgänger
und eine Folge immer kleiner werdender nichtnegativer ganzer Zahlen
notwendigerweise nach endlich vielen Schritten die Null erreicht, muß
der Algorithmus in der Tat stets enden. Daß er mit dem richtigen Ergebnis
endet, ist ebenfalls leicht zu sehen, denn im -ten Schritt ist
die größte natürliche Zahl, die sowohl
Kap. 1: Ganze Zahlen und ihre Primzerlegung
d
?
k
"
g
g
f
"
f
g
f
"
?
c
c ?
+1
,
?
c
?
c
?
c
?
c ?
b
?
b
c
?
+
c
"
+
?
?
c
?
c
"
h
f
"
g
f
f
"
f
"
f
" h
f
Schritt 0: Setze
ist dann
c
c
f
" f
"
+
S
1
=
= 1 und
und
1
1
+
0
.
= 0. Mit = 1
?
?
S
?
c
m
?
+
?
S
?
c +
+
c
@
)=
1
=
1
+
1
.
verschwindet, endet der Algorithmus mit
?
ggT(
1: Falls
@
Schritt
Diese Relationen werden in jedem der folgenden Schritte erhalten:
1
=
m
0
S
m
=
= ,
+
1
m
1
= ,
+
0
?
Algorithmisch sieht dies folgendermaßen aus:
+
=
so daß +1 eine ganzzahlige Linearkombination von und
1 ist. Da
entsprechend auch
Linearkombination von
und
ist,
folgt
1
2
induktiv, daß der ggT von und als ganzzahlige Linearkombination
von und dargestellt werden kann.
1
+
?
+1
=
=
1
c
läßt sich umschreiben als
Die Gleichung
c
BACHET DE MÉZIRIAC hat bewiesen, daß sie in diesem Fall auch stets
Lösungen hat; das Kernstück dazu ist seine Proposition XVIII, wo er
zu zwei teilerfremden Zahlen
ganze Zahlen
konstruiert, für die
= 1 ist: Deux nombres premiers entre eux estant donnéz, treuuer le moindre multiple de chascun d’iceux, surpassant de l’unité un
multiple de l’autre. Die Methode ist eine einfache Erweiterung des EUKLIDischen Algorithmus, und genau wie letzterer nach EUKLID benannt
ist, da ihn dieser rund 150 Jahre nach seiner Entdeckung in seinem Lehrbuch darstellte, heißt auch BACHETs Satz heute Identität von BÉZOUT,
weil dieser ihn 142 Jahre später, im Jahre 1766, in seinem Lehrbuch
beschrieb (und auf Polynome verallgemeinerte).
l
Zur Lösung von Problemen wie dem von BACHET wollen wir gleich allgemein den größten gemeinsamen Teiler zweier Zahlen als Linearkombination dieser Zahlen darstellen. Dazu ist nur eine kleine Erweiterung
des EUKLIDischen Algorithmus notwendig, so daß man oft auch einfach
vom erweiterten EUKLIDischen Algorithmus spricht.
k
Zur Lösung kann man zunächst die erste Gleichung nach auflösen und
in die zweite Gleichung einsetzen; dies führt auf die Gleichung
8
79
11
+
=
oder 11 + 8 = 79 .
3
3
3
Bei einer solchen Gleichung ist a priori nicht klar, ob es überhaupt
Lösungen gibt: Die Gleichung 10 + 8 = 79 beispielsweise kann keine
haben, denn für ganze Zahlen
ist 10 + 8 stets gerade. Allgemein
kann
+
= höchstens dann ganzzahlige Lösungen haben, wenn
der ggT von und Teiler von ist.
ETIENNE BÉZOUT (1730-1783) wurde in Nemours in der
Ile-de-France geboren, wo seine Vorfahren Magistrate
waren. Er ging stattdessen an die Akademie der Wissenschaften; seine Hauptbeschäftigung war die Zusammenstellung von Lehrbüchern für die Militärausbildung. Im
1766 erschienenen dritten Band (von vier) seines Cours
de Mathématiques à l’usage des Gardes du Pavillon et
de la Marine ist die Identität von BÉZOUT dargestellt.
Seine Bücher waren so erfolgreich, daß sie auch ins
Englische übersetzt und als Lehrbücher z.B. in Harvard
benutzt wurden. Heute ist er vor allem auch bekannt
durch seinen Beweis, daß sich zwei Kurven der Grade
und in höchstens
Punkten schneiden können.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
l
Sobald man weiß, daß zwölf Deniers ein Sou sind (und zwanzig Sous
ein Pfund), kann man dies in ein lineares Gleichungssystem übersetzen:
Ist die Zahl der Männer, die der Frauen und die der Kinder, so
muß gelten + + = 41 und 4 + 3 + 13 = 40.
e
CLAUDE GASPAR BACHET SIEUR DE MÉZIRIAC (15811638) verbrachte den größten Teil seines Lebens in seinem Geburtsort Bourg-en-Bresse. Er studierte bei den
Jesuiten in Lyon und Milano und trat 1601 in den Orden
ein, trat aber bereits 1602 wegen Krankheit wieder aus
und kehrte nach Bourg zurück. Sein Buch erschien 1612;
1959 brachte der Verlag Blanchard eine vereinfachte
Ausgabe heraus. Am bekanntesten ist BACHET für seine
lateinische Übersetzung der Arithmetika von DIOPHANTOS. In einem Exemplar davon schrieb FERMAT seine
Vermutung an den Rand. Auch Gedichte von BACHET
sind erhalten. 1635 wurde er Mitglied der französischen
Akademie der Wissenschaften.
Zahlentheorie
ij
m
?
+
S
?
+
c
?
+
@D
i
i
?
c
?
m
?
S
?
?
+
?
?
+
S
?
.
m
?
?
m ?
b
+
m
?
?
S ?
m
+
c ?
b
?
S
?
c +
?
S
+
?
b
?
S ?
b
+
S
?
?
S
?
c
m
?
?
&
&
&
&
&
&
&
n
(4 + 11 ) 8 = 1 .
Entsprechend können wir auch ein beliebiges Vielfaches dieser Gleichung zur Darstellung von 79 addieren:
&
&
&
&
&
&
n
&
B
&
&
79 = (237 + 8 ) 11
(316 + 11 ) 8 .
B
8
8
&
B
&
&
&
&
Wir müssen so wählen, daß sowohl die Anzahl 237 + 8 der Männer
als auch die Anzahl (316 + 11 ) der Frauen positiv oder zumindest
316
nicht negativ wird, d.h. 237
ganzzahlig sein muß,
8
11 . Da
kommt nur = 29 in Frage; es waren also fünf Männer, drei Frauen
und dazu noch 41 5 3 = 33 Kinder. Ihre Gesamtausgaben belaufen
sich in der Tat auf 5 4 + 3 3 + 33 13 = 40 Sous.
B
&
&
&
&
&
&
&
&
&
&
&
Bei der Division von acht durch vier schließlich ist der Divisionsrest null;
damit ist vier der ggT von 148 und 200 und kann in der angegebenen
Weise linear kombiniert werden.
(3 + 8 ) 11
&
&
4 = 44 5 8 = (3 148 2 200) 5 (3 200 4 148) = 23 148 17 200 .
316 8 .
Nun ist aber die obige Gleichung 1 = 3 11 4 8 nicht die einzige
Möglichkeit zur Darstellung der Eins als Linearkombination von acht
und elf: Da 8 11 11 8 verschwindet, können wir ein beliebiges Vielfaches dieser Gleichung dazuaddieren und bekommen die allgemeinere
Lösung
B
Im nächsten Schritt erhalten wir 44 = 5 8 + 4 und
4 8) = 237 11
Dies ist allerdings nicht die gesuchte Lösung: BACHET dachte sicherlich
nicht an 237 Männer, 316 Frauen und 119 Kinder.
&
B
4 148 .
79 = 79 (3 11
&
2 200) = 3 200
&
&
(3 148
1 148)
&
44 = (1 200
&
&
B
8 = 52
Auch 44 = 0; wir machen also weiter: 52 = 1 44 + 8 und
&
B
2 200 .
&
1 148) = 3 148
&
&
&
2 (1 200
148 = 2 52 + 44 und 44 = 148
&
&
Da auch 52 = 0, dividieren wir im zweiten Schritt 148 durch 52:
1 148 .
&
52 = 1 200
&
&
200 = 1 148 + 52 und
&
Damit haben wir auch eine Darstellung von 79 als Linearkombination
von elf und acht:
&
Im ersten Schritt dividieren wir, da 148 nicht verschwindet, 200 mit Rest
durch 148:
&
Im letzten Schritt wird daher drei durch zwei dividiert und wir sehen
erstens, daß der ggT gleich eins ist (was hier keine Überraschung ist), und
zweitens, daß gilt 1 = 3 2 = (1 11 1 8) ( 2 11+3 8) = 3 11 4 8.
200 = 1 200 + 0 148 und 148 = 0 200 + 1 148 .
1 8.
&
Als Beispiel wollen wir den ggT von 200 und 148 als Linearkombination
darstellen. Im nullten Schritt haben wir 200 und 148 als die trivialen
Linearkombinationen
Im nächsten Schritt dividieren wir acht durch drei mit dem Ergebnis zwei
Rest zwei, also ist 2 = 1 8 2 3 = 1 8 2 (1 11 1 8) = 2 11+3 8.
Elf durch acht ist eins Rest drei, also ist 3 = 1 11
Genau wie oben folgt, daß der Algorithmus für alle natürlichen Zahlen
und endet und daß am Ende der richtige ggT berechnet wird; außerdem
sind die
und so definiert, daß in jedem Schritt =
+
ist,
insbesondere wird also im letzten Schritt der ggT als Linearkombination
der Ausgangszahlen dargestellt.
1
m
=
b
m ?
b
) ;
)
&
+1
S
1
+
?
) +(
(
?
und
c
1
?
)
?
1
m
1
c ?
+
&
=(
b
1
=
c +
?
=(
&
+1
1
&
man setze also
=
Zur Lösung des Problems von BACHET müssen wir die Gleichung
11 + 8 = 79 betrachten. Dazu stellen wir zunächst den ggT von
11 und 8 als Linearkombination dieser Zahlen dar.
"
+1
c
+1
mit dem Ergebnis
f
Dann ist
c +
.
=
1
?
+
mit Rest durch
1
Kap. 1: Ganze Zahlen und ihre Primzerlegung
i
Andernfalls dividiere man
Zahlentheorie
B
&
&
B
i
=
f
"
o
/
o
o
G
f
" h
/
G
f
" f
"
Der größte gemeinsame Teiler = ggT( ) von und teilt offensichtlich jeden Ausdruck der Form
+ mit
; falls kein Teiler
von ist, kann es also keine ganzzahlige Lösung geben.
.
mit
h
für zwei Unbekannte
+
h
m
G
/
/
/
S
m
f
S
c
% "
% "
)+ (
)=
(
% "
)= (
).
f
% f
% f
f
"
"
h
h
% f
f
% f
% "
"
p
q
/
q
q
"
&
f
% f
/
&
% "
=
mit
/
m
G
q
q
q
"
&
/
c
f
&
/
S
c
D
c
c
Dc
b
#
c
b
'
Allgemeiner seien
und die kleinsten Zahlen, für die Divisionen
notwendig sind, und sei der Rest bei der ersten Division. Für die zweite
= + = 3.
= 2 und
=1
Damit haben wir auch eine obere Schranke für den Rechenaufwand
zur Berechnung von ggT( ): Wir müssen höchstens Divisionen
durchführen.
c
Als nächstes suchen wir die kleinsten Zahlen
für die zwei Divisionen
notwendig sind. Ist der Rest bei der ersten Division, so ist : die
zweite Division. Für diese muß
1 und
2 sein, und = + ,
wobei der Quotient bei der ersten Division ist. Dieser ist mindestens
eins, die kleinstmöglichen Werte sind damit
n
c
Im Beweis, daß der EUKLIDische Algorithmus stets nach endlich vielen
Schritten abbricht, hatten wir argumentiert, daß der Divisionsrest stets
kleiner ist als der Divisor, so daß er irgendwann einmal null werden
muß; dann endet der Algorithmus.
.
o
+
Dies ist allerdings ein eher untypischer Fall, der sich insbesondere nicht
rekursiv verallgemeinern läßt, denn ab dem zweiten Schritt des EUKLIDischen Algorithmus ist der Divisor stets kleiner als der Dividend:
Ersterer ist schließlich der Rest bei der vorangegangenen Division und
letzterer der Divisor. Die kleinsten natürlichen Zahlen = , für die man
mit nur einer Division auskommt, sind offensichtlich = 2 und = 1.
§3: Der Aufwand des Euklidischen Algorithmus
und
#
=
Die allgemeine Lösung der obigen Gleichung ist somit
.
=
= 1 sind offensichtlich = = 1 die kleinstmöglichen
Im Falle
Zahlen; wenn = ist, kommt man immer mit genau einer Division
aus.
=
Tatsächlich ist 10600 aber natürlich nur eine obere Schranke, von der wir
bislang noch nicht wissen, wie realistisch sie ist. Um dies zu entscheiden,
suchen wir die kleinsten natürlichen Zahlen
, für die Divisionen
notwendig sind; dies wird uns zurückführen auf ein Problem aus dem
13. Jahrhundert.
#
und
= (
)= (
) ist also ein gemeinsames Vielfaches von und
und damit auch ein Vielfaches des kleinsten gemeinsamen Vielfachen
von und . Dieses kleinste gemeinsame Vielfache ist
, es muß
also eine ganze Zahl geben mit
= 0 oder
(
"
c
) eine weitere Lösung, so ist
h
c
Ist (
Ist aber =
ein Vielfaches von und ist =
+ die lineare Darstellung des ggT nach dem erweiterten EUKLIDischen Algorithmus, so
haben wir mit =
und =
offensichtlich eine Lösung gefunden.
&
Das erscheint zwar auf den ersten Blick als ein recht gutes Ergebnis;
wenn man aber bedenkt, daß der EUKLIDische Algorithmus heute in
der Kryptographie auf über 600-stellige Zahlen angewendet wird, verliert diese Schranke schnell ihre Nützlichkeit: Da unser Universum ein
geschätztes Alter von zehn Milliarden Jahren, also ungefähr 3 1018 Sekunden hat, ist klar, daß auch der schnellste heutige Computer, der zu
Beginn des Universum zu Rechnen begann, bis heute nur einen verschwindend kleinen Bruchteil von 10600 Divisionen ausgeführt hätte;
Wäre 10600 eine realistische Aufwandsabschätzung, könnten wir an eine Anwendung des EUKLIDischen Algorithmus auf 600-stellige Zahlen
nicht einmal denken.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
i
Entsprechend kann der erweiterte EUKLIDische Algorithmus zur Lösung
anderer diophantischer Gleichungen verwendet werden, von Gleichungen also, bei denen nur ganzzahlige Lösungen interessieren. Wir betrachten nur die einfache lineare Gleichung
Zahlentheorie
1
'
c
i
I
D
'
c
=
Dc
c
+ =
1+
1
=
1+
2
'+
c
'+
'+
'+
'+
'
'
'+
'
'+
r
r
=1
und
=
1
+
2
für
2.
'
D#
r
'+
r
'+
r
'
D#
#
=
6
'
r
7
'
r
r
'
'+
6
s
7
r
r
'
r
0
6
s
'+
'+
s
1=
1
2
1
2
2
1
1
0
.
1;
x
t
t
tu
s
w
s
t
v
x
7
t
s
x+
t
1
=
1
7
7
r
'
r
0
1
'+
t
1
6
6
=
1
0
'+
t
2
1
1
0
6
1
0
.
die Eigenwerte von sind daher 1 2 =
5. Bezeichnet die
Matrix, deren Spalten aus den zugehörigen Eigenvektoren besteht, so ist
0
1
1
also =
und
0
2
)
t
)(
t
) = (1
s
'+
det(
ist
=
7
Das charakteristische Polynom von
6
1
1
0
1
1
6
1
r
1
=
7
=
r
'
1
s
schreiben; dann ist
7
=
6
+1
mit
durch eine geschlossene Formel darzustellen, können
Um die Zahlen
wir (genau wie man es auch für die rekursive Berechnung per Computer
tun würde) die Definitionsgleichung der FIBONACCI-Zahlen als
r
7
Wie wir gerade gesehen haben, kann man mit den FIBONACCI-Zahlen
nicht nur Karnickelpopulationen beschreiben, sondern – wie GABRIEL
LAMÉ 1844 entdeckte – auch eine Obergrenze für den Aufwand beim
EUKLIDischen Algorithmus angeben:
'
LEONARDO PISANO (1170–1250) ist heute vor allem unter seinem Spitznamen FIBONACCI bekannt; gelegentlich nannte er sich auch BIGOLLO, auf Deutsch Tunichtgut oder Reisender. Er ging in Nordafrika zur Schule,
kam aber 1202 zurück nach Pisa. Seine Bücher waren
mit die ersten, die die indisch-arabischen Ziffern in Europa einführten. Er behandelt darin nicht nur Rechenaufgaben für Kaufleute, sondern auch zahlentheoretische Fragen, beispielsweise daß man die Quadratzahlen
durch Aufaddieren der ungeraden Zahlen erhält. Auch
betrachtet er Beispiele nichtlinearer Gleichungen, die er
approximativ löst, und erinnert an viele in Vergessenheit
geratene Ergebnisse der antiken Mathematik.
(Für = 1 gilt der Satz nur, wenn wir zusätzlich voraussetzen, daß
ist; für
2 ist dies automatisch erfüllt.)
'
n
Ein Mann bringt ein Paar Karnickel auf einen Platz, der von allen Seiten
durch eine Mauer umgeben ist. Wie viele Paare können von diesem Paar
innerhalb eines Jahres produziert werden, wenn man annimmt, daß jedes
Paar jeden Monat ein neues Paar liefert, das vom zweiten Monat nach
seiner Geburt an produktiv ist?
FIBONACCI führte sie ein, um die Vermehrung einer Karnickelpopulation
durch ein einfaches Modell zu berechnen. In seinem 1202 erschienenen
Buch Liber abaci schreibt er:
1
'
0
=0
Sie sind durch folgende Rekursionsformel definiert:
#
GABRIEL LAMÉ (1795–1870) studierte von 1813 bis
1817 Mathematik an der Ecole Polytechnique, danach
bis 1820 Ingenieurwissenschaften an der Ecole des Mines. Auf Einladung Alexanders I. kam er 1820 nach
Rußland, wo er in St. Petersburg als Professor und Ingenieur unter anderem Vorlesungen über Analysis, Physik,
Chemie und Ingenierswissenschaften hielt. 1832 erhielt
er einen Lehrstuhl für Physik an der Ecole Polytechnique in Paris, 1852 einen für mathematische Physik und
Wahrscheinlichkeitstheorie an der Sorbonne. 1836/37
war er wesentlich am Bau der Eisenbahnlinien ParisVersailles und Paris–St. Germain beteiligt.
Da wir 1 = 2 und 1 = 1 kennen, können wir somit alle
und
berechnen; was wir erhalten, sind die sogenannten FIBONACCI-Zahlen.
und
'+
1
Satz von Lamé (1844): Die kleinsten natürlichen Zahlen
, für die
2 Divisionen benötigt werden,
beim EUKLIDischen Algorithmus
sind = +2 und = +1 .
r
=
die kleinstmöglichen
r
1
1;
D
=
und
1
Kap. 1: Ganze Zahlen und ihre Primzerlegung
i
Division : ist dann
Werte sind damit
Zahlentheorie
N
7
7
x
6
x+
'+
s
6
'+
R
i
r
#
'+
t
r
'
x
t
+
2
.
t
t
t
'
t
t
t
t
2
t
r
5
5
.
'
#
#
#
z
t
'
t
r
z
r
'
t
z
'
'
t
'
Die Gleichung 2
1 = 0 läßt sich umschreiben als (
1) = 1
oder : 1 = 1 : (
1). Diese Gleichung charakterisiert den goldenen
Schnitt: Stehen zwei Strecken und in diesem Verhältnis, so auch die
. Die positive Lösung 1 wird traditionell
beiden Strecken und
ist also der zur nächsten ganzen
mit dem Buchstaben bezeichnet;
Zahl gerundete Wert von
5.
1
t
=
5
1+ 5
1
1 618034
0 618034
2 =1
1 =
2
2
und 5
2 236068; der Quotient 2
5 ist also für jedes kleiner
als 1 2. Daher können wir
auch einfacher berechnen als nächste
ganze Zahl zu 1
5. Insbesondere folgt, daß
exponentiell mit
wächst.
.
'
1
y
=
5 und
2
=
1
t
Numerisch ist
t
1
t
t
t
t
Lemma: Wenn eine Primzahl das Produkt zweier natürlicher Zahlen
teilt, teilt sie mindestens einen der Faktoren.
t
t
t
r
^
'
'
^
r
r
m
G
S
m
S
#
'
z
#
m
S
^
^
{
'
{
{
z
2
Daraus folgt induktiv
teilbar, denn sowohl
.
also auch
Dann ist =
+
sind Vielfache von .
mit
o
durch
1=
+
Beweis: Angenommen, die Primzahl sei kein Teiler von , teile aber .
Da der ggT von und Teiler von und ungleich ist, muß er notgedrungen gleich eins sein; es gibt also eine Darstellung
Für beliebige Zahlen
können nicht mehr Divisionen notwendig
sein als für die auf folgenden nächstgrößeren FIBONACCI-Zahlen, also gibt obige Formel für jedes eine obere Grenze. Die Anzahl der
Eine Primzahl ist bekanntlich eine natürliche Zahl , die genau zwei
Teiler hat, nämlich die Eins und sich selbst. Der erweiterte EUKLIDische
Algorithmus liefert eine wichtige Folgerung aus dieser Definition:
§4: Die multiplikative Struktur der ganzen Zahlen
Tatsächlich gibt natürlich auch die hier berechnete Schranke nur selten
den tatsächlichen Aufwand wieder; fast immer werden wir mit erheblich
weniger auskommen. Im übrigen ist auch alles andere als klar, ob wir
den ggT auf andere Weise nicht möglicherweise schneller berechnen
können. Da wir aber für Zahlen der Größenordnung, die in heutigen
Anwendungen interessieren, selbst mit der Schranke für den schlimmsten Fall ganz gut leben können, sei hier auf diese Fragen nicht weiter
eingegangen. Interessenten finden mehr dazu z.B. in den Abschnitten
4.5.2+3 des Buchs
DONALD E. KNUTH: The Art of Computer Programming, vol. 2: Seminumerical Algorithms, Addison-Wesley, 2 1981
Die beiden kleinsten Zahlen, für die wir Divisionen brauchen, sind
nach LAMÉ = +2 und = +1 . Aus der geschlossenen Formel für
die FIBONACCI-Zahlen folgt
ln 5
ln
log
5
1 = log + log
5 1=
+
1
ln
ln
2 078 ln + 0 672
Also ist = 1
und 1 =
1
+
(
=
'+
t
t
, und die zweite Gleichung wird zu
1
2
=
5+ 2 =1=
=
2) + 2 =
5
0
2
+
t
Damit ist = 1
0
1
1=
Divisionen wächst daher nicht (wie oben bei der naiven Abschätzung)
wie , sondern höchstens wie log . Für sechshundertstellige Zahlen
müssen wir daher nicht mit 10600 Divisionen rechnen, sondern mit weniger als drei Tausend, was auch für weniger leistungsfähige Computer
problemlos und schnell möglich ist.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
i
Auch ohne die Matrix zu berechnen, wissen wir somit, daß sich
in der Form
= 1 1 + 2 1 darstellen läßt. Für = 1 und = 2
erhalten wir die beiden Bedingungen
Zahlentheorie
d
i
e
}C
|
}
|
|
}
|
}
}
C
|
|
|
}~
'+
'+
b
'
'+
b
1
1
1
21
+
+
0
0
0
0
1
= 0,
=0
).
sein, was wegen der Eindeutigkeit der
Damit muß Teiler von
Primfaktorzerlegung von
sowie der vorausgesetzten Teilerfremdheit
von und nur für = 1 der Fall sein kann. Somit ist eine ganze
Zahl, wie behauptet.
'
|
b
b

>
|

?
?
|
2
|
b

b
|
|
durch
"
teilbar ist.
,
seien kongruent
"
q

f
"
g
f
f
q
q
f
"
Die Kongruenz modulo definiert offensichtlich eine Äquivalenzrelation auf : Jede ganze Zahl ist kongruent zu sich selbst, denn
=0
ist durch jede natürliche Zahl teilbar; wenn
durch
teilbar ist,
so auch
= (
), und ist schließlich
mod
und
mod , so sind
und
durch teilbar, also auch ihre
Summe
, und damit ist auch
mod .
wenn
mod
Definition: Wir sagen, zwei ganze Zahlen
modulo für eine natürliche Zahl , in Zeichen
Zwei ganze Zahlen lassen sich im allgemeinen nicht durcheinander
dividieren. Trotzdem – oder gerade deshalb – spielen Teilbarkeitsfragen
in der Zahlentheorie eine große Rolle. Das technische Werkzeug zu ihrer
Behandlung ist die Kongruenzenrechnung.
§5: Kongruenzenrechnung
w

q
f
"
"
o
"
&
&
&
'
'+
"
"
"
'+
entweder ganzzahlig oder irrational.
b
&
Dann ist
'
&
&
= 0.
&
q
0
&
q
+
" 1
&
&
f
+
b
f
+
1
'+
1
b
G
1
b
1
b
1
&
&
'+
1
'+
1
1
= (
'+

o
"
+
'
'
'+
=
+
erfülle die Gleichung
b
+
&
b
Satz: Die reelle Zahl
'+
1
Als erste Anwendung dieses Satzes können wir zeigen
'+
b
"
Da 1 Teiler von
ist, teilt es auch das rechtsstehende Produkt, also
nach dem gerade bewiesenen Lemma mindestens einen der Faktoren,
d.h. mindestens ein . Da eine Primzahl ist, muß dann 1 = sein.
Da
als minimales Gegenbeispiel vorausgesetzt war, unterscheiden
sich die beiden Produkte, aus denen dieser gemeinsame Faktor gestrichen wurde, höchstens durch die Reihenfolge der Faktoren, und damit
gilt dasselbe für die beiden Darstellungen von .
6
7
b
1
&
b
b
hätte. Da die Eins durch kein Produkt dargestellt werden kann, in dem
wirklich eine Primzahl vorkommt, ist
1 und somit steht in jedem
der beiden Produkte mindestens eine Primzahl.
'
'
=1
6
1
also ist
'+
7
b
+
&
+
6
führt auf die Gleichung
+
7
'
'+
=
mit
1
1
=1
b
+
b
=
"
Beweis: Ist eine rationale Zahl, so können wir es als Quotient =
zweier zueinander teilerfremder ganzer Zahlen
schreiben. Multiplikation der Gleichung
"
Bleibt noch zu zeigen, daß die Produktdarstellung bis auf die Reihenfolge der Faktoren eindeutig ist. Auch hier gäbe es andernfalls wieder ein
minimales Gegenbeispiel , das somit mindestens zwei verschiedene
Darstellungen
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Beweis: Wir zeigen zunächst, daß sich jede natürliche Zahl überhaupt
als Produkt von Primzahlpotenzen schreiben läßt. Falls dies nicht der
Fall wäre, gäbe es ein minimales Gegenbeispiel . Dies kann nicht
die Eins sein, denn die ist ja das leere Produkt, und es kann auch keine
Primzahl sein, denn die ist ja das Produkt mit sich selbst als einzigem
Faktor. Somit hat
einen echten Teiler , d.h. 1
. Da
das minimale Gegenbeispiel war, lassen sich und
als Produkte
von Primzahlpotenzen schreiben, also auch
=
.
Satz: Jede natürliche Zahl läßt sich bis auf Reihenfolge eindeutig als
ein Produkt von Primzahlpotenzen schreiben.
Zahlentheorie
j
q
"
q
q

g
"
f
"
f
q
g
"

g
f
b

"
Zahlentheorie
q
i
o
q
G
f
" q
q
"
q
% f
w
% "

f
w
"
q
% f
f
% "
"
% f
w
% "
= (
% "
)=(

(
% f
"
% f
f
% "
w
"
(
(
)
w
"
% f
% "
f
"
f
)
und
% f
% "
"
% f
f

f~
~
q
f

G
J
"~

g
G
"
~
f
"~
q
q
c

"
q
"
8
cC
"
q
=
für alle
"
f~
f
"~
"
q
q
.

G
f

" 9

G
f
" 2
0
2
1
2
3
0
3
.
=
=
für alle
zusammen mit einer
.
= ist.
b) Eine Abbildung :
zwischen zwei Gruppen und
mit
Verknüpfungen und heißt (Gruppen-)Homomorphismus, falls für
alle
gilt: (
)= ( )
( ). Ist zusätzlich bijektiv, reden
wir von einem Isomorphismus. Die Gruppen und heißen isomorph,
in Zeichen = , wenn es einen Isomorphismus :
gibt.
4.)

"
f
~"

c) Ein Ring ist eine Menge
zusammen mit zwei Verknüpfungen
+ :
, so daß gilt
1.) Bezüglich + ist eine abelsche Gruppe.
2.) (
)
=
(
) für alle
.
3.) Es gibt ein Element 1
, so daß 1
=
1 = für alle
.
4.)
( + )=
+
und ( + ) =
+
für alle
.
Der Ring heißt kommutativ, wenn zusätzlich noch gilt
=
für alle
.
5.)
"
"
G
g

~
&

o
q
f

"
9

"
q
f
"
f
"

f
"
.
% "
Die Gruppe heißt kommutativ oder abelsch, wenn zusätzlich noch gilt
G
f
"
&
g
f

"
g
"
f " g
f

"
g
g
&
"
&
f
"
g
&
f
&
"
f

"
q
) mod
g

G
=(
9
~J

und entsprechend eine Multiplikation gemäß

"
"
falls +
sonst
f
+
+
" "~

=
~
"~

= ( + ) mod
Definition: a) Eine Gruppe ist eine Menge
Verknüpfung :
, für die gilt
)
=
(
) für alle
1.) (
2.) Es gibt ein Element
, so daß
=
3.) Zu jedem
gibt es ein
, so daß
g
% "
9
betrachten. Wir definieren eine Addition durch
3
2
1
0
"

1
0
0
0
G
% ~"

= 0 1
3
2
1
J
"

def
und
0
2
"
Da nach dem gerade bewiesenen Lemma die Addition, Subtraktion und
Multiplikation mit Kongrenzen vertauschbar sind, können wir auf der
Menge aller Äquivalenzklassen Rechenoperationen einführen. Übersichtlicher wird das, wenn wir statt dessen die Menge
2
1
0
0

J
mod
ist also einfach der Divisionsrest bei der Division von
durch .
1
0
3
0
1
G
und eine natürliche Zahl bezeichmit
mod .
0
3
2
3
0

Definition: Für eine ganze Zahl
net mod jene ganze Zahl 0
3
2
1
2
3
Um diese Tabellen zu interpretieren, sollten wir uns an einige Grundbegriffe aus der Algebra erinnern:
3
2
1
1
2

Im folgenden wollen wir das Symbol mod“ nicht nur in Kongruenzen
”
mod
benutzen, sondern auch – wie in vielen Programwie
miersprachen üblich – als Rechenoperation:
)+
)
teilbar, so auch
"
durch
.
q
)
q
mod
, so ist auch
0
1
(
f
und

und
% f
mod
mod
q
f
Beweis: Sind
% "
mod
0
0
= 4 haben wir also folgende Operationen:

Lemma: Ist
Für
q

und
Zwei Zahlen
liegen genau dann in derselben Äquivalenzklasse,
denselben Divisionsrest haben; es
wenn sie bei der Division durch
gibt somit Äquivalenzklassen, die den möglichen Divisionsresten
0 1
1 entsprechen.
Kap. 1: Ganze Zahlen und ihre Primzerlegung

G
g
f " "
&
&
&
&

G
G
f
&
" &
"
g
f
f
&
"

f
"
&
f
&
q
Cf
q
f
"
Zahlentheorie

(
G
f
"

9
( + ) = ( ) + ( ) und
( ),

&
c

(
&
(

(

9
q
H
o
G
q

q
o
9
o

q
f
"

9
"

"
f

f
"

o
o
q
"

Wir wollen uns zunächst überlegen, unter welchen Bedingungen ein
solches Verfahren überhaupt funktionieren kann. Offensichtlich können
die obigen Relationen eine natürliche Zahl nicht eindeutig festlegen,
denn ist eine Lösung und
irgendein gemeinsames Vielfaches der
sämtlichen
, so ist +
auch eine –
ist schließlich modulo
aller
kongruent zur Null.
CH’IN CHIU-SHAO oder QIN JIUSHAO wurde 1202 in der Provinz Sichuan geboren. Auf
eine wilde Jugend mit vielen Affairen folgte ein wildes und alles andere als gesetztreues
Berufsleben in Armee, öffentlicher Verwaltung und illegalem Salzhandel. Als Jugendlicher studierte er an der Akademie von Hang-chou Astronomie, später brachte ihm ein
unbekannter Lehrer Mathematik bei. Insbesondere studierte er die in vorchristlicher Zeit
entstandenen Neun Bücher der Rechenkunst, nach deren Vorbild er 1247 seine deutlich
anspruchsvolleren Mathematischen Abhandlungen in neun Bänden publizierte, die ihn als
einen der bedeutendsten Mathematiker nicht nur Chinas ausweisen. Zum chinesischen Restesatz schreibt er, daß er ihn von den Kalendermachern gelernt habe, diese ihn jedoch nur
rein mechanisch anwendeten ohne ihn zu verstehen. CH’IN CHIU-SHAO starb 1261 in Meixian, wohin er nach einer seiner vielen Entlassungen wegen krimineller Machenschaften
geschickt worden war.
|
c
"
q

o
q

o
o
q
Im folgenden werden wir die Rechenoperationen in
einfach mit
+ und bezeichnen, wobei jedesmal aus dem Zusammenhang klar sein
sollte, ob wir von der Addition und Multiplikation in
oder der in
reden. Der Malpunkt wird dabei, wie üblich, oft weggelassen.
Man beachte, daß
im allgemeinen kein Körper ist: In 4 beispielsweise ist 2 2 = 0, und in einem Körper kann ein Produkt nur
verschwinden, wenn mindestens einer der beiden Faktoren verschwindet.
Da bezüglich + eine abelsche Gruppe ist, gilt somit dasselbe für
bezüglich : Wenn zwei ganze Zahlen gleich sind, sind schließlich auch
ihre Divisionsreste modulo gleich. Das Neutralelement ist (0) = 0,
und das additive Inverse ist ( ) =
( ). Auch die Eigenschaften
von folgen sofort aus den entsprechenden Eigenschaften der Multiplikation ganzer Zahlen; das Neutralelement ist (1) = 1.
( ).
)= ( )

(
"
( ) und

( + )= ( )
Nach dem obigen Lemma ist
.
mod
Ob es im alten China wirklich Generäle gab, die soviel Mathematik
konnten, sei dahingestellt; Beispiele zu diesem Satz finden sich jedenfalls bereits 1247 in den chinesischen Mathematischen Abhandlungen
in neun Bänden von CH’IN CHIU-SHAO (1202–1261), allerdings geht es
dort nicht um Soldaten, sondern um Reis.
der Soldaten.
"
:
mod

Beweis: Wir betrachten die Abbildung
bestimmten sie dann die Gesamtzahl
"
ein

mit den Operationen
q
1
ist
q

Lemma: Für jedes
Ring.
q

1
c
mod
Der Legende nach zählten chinesische Generäle ihre Truppen, indem
sie diese mehrfach antreten ließen in Reihen verschiedener Breiten
und jedesmal nur die Anzahl der Soldaten in der letzten
1
Reihe zählten. Aus den Relationen
q
und
wobei + und auf der linken Seite jeweils die Operationen von bezeichnen und rechts die von . Auch hier reden wir von einem Isomorphismus, wenn bijektiv ist, und bezeichnen = als isomorph,
wenn es einen Isomorphismus :
gibt.
)= ( )
§6: Der chinesische Restesatz
(
d) Eine Abbildung :
zwischen zwei Ringen heißt (Ring-)
gilt
Homomorphismus, wenn für alle
Kap. 1: Ganze Zahlen und ihre Primzerlegung
1
|
"
q
?
q
?
&
o
q
2 mod 4 und
3 mod 6 ,
Außerdem gibt es Relationen obiger Form, die unlösbar sind, beispielsweise das System
|

"
I
"

&
&
?
q
q
"
q
?
q
?
"
ist injektiv, denn ist ( ) = ( ), so ist mod
alle ; da die
paarweise teilerfremd sind, ist
Produkt der
teilbar, was für
1
möglich ist.
&
&
o
f
G
f

" "

q
?
?
q
@

q
q
q

"
= mod
für
somit durch das
nur im Fall =
Nun ist aber eine Abbildung zwischen endlichen Mengen, die beide
aus je 1
Elementen bestehen. Jede injektive Abbildung zwischen zwei gleichmächtigen endlichen Mengen ist zwangsläufig auch
surjektiv, also bijektiv, und somit ist ein Isomorphismus.
q
q

?
q
8
q
&
&
"C
B
q
"

&
q
&
&
"
o
G
f
o
G
B

&
q

q
&
&
&
Aus Sicht der chinesischen Generäle ist dieser Beweis enttäuschend:
Angenommen, ein General weiß, daß höchstens Tausend Soldaten vor
ihm stehen. Er läßt sie in Zehnerreihen antreten; in der letzten Reihe
stehen fünf Soldaten. Bei Elferreihen sind es neun, bei Dreizehnerreihen sechs. Da 10 11 13 = 1430 größer ist als Tausend, weiß er, daß
dies die Anzahl eindeutig festlegt. Er weiß aber nicht, wie viele Soldaten nun tatsächlich vor ihm stehen. Als General hat er natürlich die
Möglichkeit, einige Soldaten abzukommandieren, die für jede Zahl bis
Tausend die Divisionsreste modulo 9 10 und 13 berechnen müssen, bis
sie auf das Tripel (5 9 6) stoßen. Wir als Mathematiker sollten jedoch
eine effizientere Methode finden.

&
?
q
"
c
o
o
o
q
q
?
~&
&
&
~
q

&
q
~
q
q
q

q
o
~&
&
&
q
9
"

"
&
&
&

o
mod
und
mod
Wir beginnen mit dem Fall zweier Kongruenzen
Dazu verhilft uns der erweiterte EUKLIDische Algorithmus:
ist ein Isomorphismus von Ringen.

&
&
)
"
"

"
mod
o
"
q
1
9
( mod
9
f
1
"
?
1
o
f
:
q
q
"
Chinesischer Restesatz (Algebraische Form): Die Abbildung
&
f
In algebraischer Formulierung haben wir dann die folgende Verschärfung des obigen Satzes:
&
?
Mit den Begriffen aus dem vorigen Paragraphen läßt sich dies auch
können wir auffassen als Eleanders formulieren: Die Zahl mod
ment von
, das -Tupel aus allen diesen Zahlen also als Element
von
. Man überlegt sich leicht, daß das kartesische
1
Produkt von zwei oder mehr Gruppen wieder eine Gruppe ist: Die Verknüpfung wird einfach komponentenweise definiert, und das Neutralelement ist dasjenige Tupel, dessen sämtliche Komponenten Neutralelemente der jeweiligen Faktoren sind. Genauso folgt, daß das kartesische
Produkt von zwei oder mehr Ringen wieder ein Ring ist.
q
genau eine Lösung mit
läst sich in der Form
ein Ringhomomorphismus, denn nach dem Lemma aus dem vorigen
Paragraphen ist der Übergang zu den Restklassen modulo jeder der
mit Addition und Multiplikation vertauschbar. Da ( ) nur
Zahlen
von mod 1
abhängt, folgt daraus, daß auch ein Ringhomomorphismus ist.
q
hat für paarweise teilerfremde Moduln
0
. Jede andere Lösung
1
+
schreiben mit
.
1
~&

mod
)
q
1
"
mod

mod
o
1
"
1
~

( mod
1
q
:

Chinesischer Restesatz: Das System von Kongruenzen
Zunächst ist
Wir beweisen den Satz in dieser algebraischen Form:
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Dieses Problem können wir dadurch umgehen, daß wir nur Moduln
zulassen, die paarweise teilerfremd sind. Dies hat auch den Vorteil, daß
jedes gemeinsame Vielfache der
Vielfaches des Produkts aller
sein muß, so daß wir modulo einer vergleichsweise großen Zahl kennen.
dessen erste Gleichung nur gerade Lösungen hat, während die zweite nur
ungerade hat. Das Problem hier besteht darin, daß zwei ein gemeinsamer
Teiler von vier und sechs ist, so daß jede der beiden Kongruenzen auch
etwas über mod 2 aussagt, wobei diese beiden Aussagen hier einander
widersprechen.
Zahlentheorie
N
#

f
q

"
?

R
m
#
q
#
q
S

q
S
#
m
m
q
q
q

#
q
S
#
#

m
q

#
S
#
"
"
#
q
m
"

t
t
q
S
#
"
q
#

"
&
y
&
&
y

"
13 : 6 = 2 Rest 1 = 1 = 13 2 6 = 17 13 2 110
Also ist 17 13 = 221
1 mod 110 und
0 mod 13; genauso ist
2 110 = 220 1 mod 13 und 9 mod 110. Eine ganzzahlige Lösung
unseres Problems ist somit
75 221 6 220 = 15 255 .
Die allgemeine Lösung ist
15 255 + 110 13 = 15 255 + 1 430
mit
.
Da 15 255 : 1 430 = 10 Rest 955 ist, hatte der General also 955 Soldaten
vor sich stehen.

&
&
&
&
"
&
B
&
q

"
,

y
q
q
q

h
"
2
"

1
mod

&
2
&
"
Bei mehr als zwei Kongruenzen gehen wir rekursiv vor: Wir lösen die
ersten beiden Kongruenzen
1 mod
1 und
2 mod
2 wie
gerade besprochen; das Ergebnis ist eindeutig modulo 1 2 . Ist 2 eine
feste Lösung, so läßt sich die Lösung schreiben als Kongruenz
"

löst somit das Problem. Da 613 größer ist als 17 19 = 323, ist allerdings
nicht 613 die kleinste positive Lösung, sondern 613 323 = 290.
152 1 + 153 5 = 613

&
=

Unser Ausgangssystem ist somit äquivalent zu den beiden Kongruenzen
75 mod 110 und
6 mod 13 .
Um es zu lösen, müssen wir zunächst die Eins als Linearkombination
von 110 und 13 darstellen. Hier bietet sich keine offensichtliche Lösung
an, also verwenden wir den erweiterten EUKLIDischen Algorithmus:
110 : 13 = 8 Rest 6 = 6 = 110 8 13
&
Also ist 9 17 = 153
0 mod 17 und
1 mod 19; außerdem ist
8 19 = 152 durch 19 teilbar und 1 mod 17. Die Zahl
q
8 19
"
"
8 2 = 9 17
h
1 = 17

17 : 2 = 8 Rest 1 =
"
B
17
h
G
2 = 19

B
19 : 17 = 1 Rest 2 =
q
o
Wir müssen als erstes den erweiterten EUKLIDischen Algorithmus auf
die beiden Moduln 17 und 19 anwenden:
"

5 mod 19 .
q
1 mod 17 und
q

Als Beispiel betrachten wir die beiden Kongruenzen
?
q
.
"
Insbesondere ist die Lösung eindeutig modulo
q
q
"
) .

Im Beispiel des oben angesprochenen Systems
5 mod 10
9 mod 11
6 mod 13
lösen wir also zunächst nur das System
5 mod 10 und
9 mod 11 .
Da 1 = 11 10, ist 11 0 mod 11 und 11 1 mod 10; entsprechend
ist 10 0 mod 10 und 10 1 mod 11. Also ist
= 5 11 9 10 = 35
eine Lösung; die allgemeine Lösung ist 35 + 110 mit
. Die
kleinste positive Lösung ist 35 + 110 = 75.
) +(
q
q
+
q
+(
?
ist natürlich nicht die einzige Lösung; wenn wir ein gemeinsames
Vielfaches von und addieren, ändert sich nichts an den Kongruenzen. Da wir von teilerfremden Zahlen ausgegangen sind, ist das Produkt
das kleinste gemeinsame Vielfache; die allgemeine Lösung ist daher
q
und da die
paarweise teilerfremd sind, ist auch 1 2 teilerfremd
zu 3 . Mit EUKLID können wir daher das System
und
2 mod
1 2
3 mod
3
lösen und die Lösung schreiben als
3 mod
1 2 3
und so weiter, bis wir schließlich modulo dem Produkt aller
kennen
und somit das Problem gelöst haben.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
mit zueinander teilerfremden Zahlen
und . Ihr ggT eins läßt sich
+
nach dem erweiterten EUKLIDischen Algorithmus als 1 =
schreiben. Somit ist
1 mod
0 mod
1
=
und 1
=
,
0 mod
1 mod
also löst
mod
=
+
mod
das Problem.
Zahlentheorie
d
o
B
G
&
B
&
&
y
&
&

&
&
h
q
q
"
c
e
#
#
c

"
@
?
q
?
m
S
@

q
?
S
q
?
?
q
q
?
q
?
?

?
m
?
?
q
?
q
"
?
S
?
?
q
?
?
m
?

'>=
m
"

heißt prime Restklasse, wenn
bilden bezüglich der Mul-
q
q
Beweis: Wir müssen uns zunächst überlegen, daß das Produkt zweier
primer Restklassen wieder eine prime Restklasse ist. Sind
beide teilerfremd zu , so auch , denn wäre ein gemeinsamer
Primteiler von
und , so wäre als Primzahl auch Teiler von
oder , also gemeinsamer Teiler von und
oder von und . Die
Eins ist natürlich eine prime Restklasse, und auch die Existenz von
,
Inversen ist kein Problem: Nach dem vorigen Lemma gibt es ein
so daß
1 mod ist, und die andere Richtung dieses Lemmas zeigt,
daß auch mod eine prime Restklasse ist. Das Assoziativgesetz der
Multiplikation gilt für alle Elemente von
, erst recht also für die
primen Restklassen.
Lemma: Die primen Restklassen aus
tiplikation eine Gruppe.
q
&
&
&
&
&
&
q
q
q
q
q
&
&
&
&
&
&
&
&
&
"

"
&
&
o
G
H
"
9
H

q
o
q

q
q
"
o
o
q

Definition: Die Gruppe (
) der primen Restklassen heißt prime
Restklassengruppe, ihre Ordnung wird mit ( ) bezeichnet. :
heißt EULERsche -Funktion.
q
q
Wie wir gesehen haben, können wir auch in
im allgemeinen nicht
dividieren. Allerdings ist Division doch sehr viel häufiger möglich als in
den ganzen Zahlen. Dies wollen wir als nächstes genauer untersuchen:
G
q
§7: Prime Restklassen
"
"
Damit kennen wir nun auch zwei konstruktive Beweise des chinesischen
Restesatzes und wissen, wie man Systeme von Kongruenzen mit Hilfe
des erweiterten EUKLIDischen Algorithmus lösen kann.
G
o
Modulo 10 11 13 erhalten wir natürlich auch hier wieder 955.

o
1320 = 2385 .
q
Nach dem gerade bewiesenen Lemma gibt es somit zu jeder primen
Restklasse ein
, so daß dort
= 1 ist. Damit ist das
folgende Lemma nicht verwunderlich:
2145 + 5850
q
q
2 110 6 =
3 143 5 + 5 130 9
"
G
q
=
" also
o
o
3
f
2
q
q
3
q
2
q
Definition: Ein Element
ggT(
) = 1 ist.
o
"
= 11 13 = 143 1 = 43 10 3 143
= 10 13 = 130 1 = 59 11 + 5 130
= 10 11 = 110 1 = 17 13 2 110 ,
Sind umgekehrt und teilerfremd, so gibt es nach dem erweiterten
EUKLIDischen Algorithmus
mit
+
= 1. Durch (gegebenenfalls mehrfache) Addition der Gleichung
= 0 läßt
sich nötigenfalls erreichen, daß positiv wird, und offensichtlich ist
1 mod .
1
q
"
= 10
= 11
= 13
"
1
f
Im obigen Beispiel wäre
q
Natürlich wird hier – wie auch bei den obigen Formel – oft größer
sein als das Produkt der ; um die kleinste Lösung zu finden, müssen
wir also noch modulo diesem Produkt reduzieren.
"
.
H
q
mod
f
)
G
= (1
"
q
=1

=
"
q
,
q
=
q
f
der sämtlichen übrigen
und bestimmen dazu ganze Zahlen
für die gilt
+
= 1 .Dann ist
f
Beweis: Wenn es ein solches gibt, gibt es dazu ein
, so daß
= 1+
, d.h. 1 =
. Damit muß jeder gemeinsame Teiler
von und Teiler der Eins sein, und sind also teilerfremd.
G
=
zu lösen, berechnen wir zunächst für jedes das Produkt
=1
gibt es genau
) = 1 ist.
q
für
G
Lemma: Zu zwei gegebenen natürlichen Zahlen
, so daß
1 mod , wenn ggT(
dann ein
Kap. 1: Ganze Zahlen und ihre Primzerlegung
q
H
mod
Alternativ läßt sich die Lösung eines Systems aus Kongruenzen auch
in einer geschlossenen Form darstellen allerdings um den Preis einer
-maligen statt (
1)-maligen Anwendung des EUKLIDischen Algorithmus und größeren Zahlen schon von Beginn an: Um das System
Zahlentheorie
j
i
H

#
q

)

G
q
# ?
+ ?
?
q

?
.
?
q
G
¢

£+

£
#
+
¢

q
#
q
q
q
o
~#
o
q
o
#

q
#
o
~
o
#

q
o
#

JOSEPH-LOUIS LAGRANGE (1736–1813) wurde als GIUSEPPE LODOVICO LAGRANGIA in Turin geboren und
studierte dort zunächst Latein. Erst eine alte Arbeit
von HALLEY über algebraische Methoden in der Optik weckte sein Interesse an der Mathematik, woraus
ein ausgedehnter Briefwechsel mit EULER entstand. In
einem Brief vom 12. August 1755 berichtete er diesem unter anderem über seine Methode zur Berechnung von Maxima und Minima; 1756 wurde er, auf
EULERs Vorschlag, Mitglied der Berliner Akademie;
zehn Jahre später zog er nach Berlin und wurde dort
EULERs Nachfolger als mathematischer Direktor der

+
+

o
q
q
q
q

q
o
q
Beweis: Das einzige, was
zu einem Körper eventuell fehlt, ist die
Existenz von multiplikativen Inversen für alle von null verschiedenen
Elemente. Dies ist offenbar äquivalent zur Formel ( ) =
1, und
die gilt nach dem Lemma genau dann, wenn prim ist.
Beweis: Die Potenzen des Elements bilden zusammen mit der Eins
eine Untergruppe von , deren Elementanzahl gerade die Ordnung
von ist. Wir führen auf eine Äquivalenzrelation ein durch die Vor1
in liegt. Offensichtlich besteht die Äquivaschrift
, falls
aus genau Elementen, nämlich
lenzklasse eines jeden Elements
1
. Da
die Vereinigung aller Äquivalenzklassen ist,
muß die Gruppenordnung somit ein Vielfaches von sein.
Lemma (LAGRANGE): In einer endlichen Gruppe teilt die Ordnung eines jeden Elements die Gruppenordnung.
c
eine Primzahl ist.
Definition: Die Ordnung eines Elements einer (multiplikativ geschriebenen) Gruppe
ist die kleinste natürliche Zahl , für die
gleich dem Einselement ist. Falls es keine solche Zahl gibt, sagen wir,
habe unendliche Ordnung.
c
ist genau dann ein Körper, wenn

c
Korollar:

b) Wegen a) genügt es, dies für Primzahlpotenzen zu beweisen. Eine
Zahl ist genau dann teilerfremd zu , wenn sie kein Vielfaches von
1
Vielfache von ,
ist. Unter den Zahlen von 1 bis gibt es genau
1
1
also ist ( ) =
=
(
1).

Beweis: a) Eine Zahl ist genau dann teilerfremd zum Produkt
,
wenn mod teilerfremd zu und mod teilerfremd zu ist. Da
nach dem chinesischen Restesatz
ist, ist daher
=
auch (
) =(
)
(
) .
1) .

(

1
Wir wollen uns als nächstes überlegen, daß die multiplikative Gruppe
dieses Körpers aus den Potenzen eines einzigen Elements besteht. Dazu
brauchen wir zunächst noch ein Lemma aus der Gruppentheorie:
o
=1
ist ( ) =

c
=1
o
¡
=

b) Für

Der Körper
mit Elementen wird üblicherweise mit bezeichnet;
) =
0 entspredie zugehörige prime Restklassengruppe (
chend als
. Dabei steht das “ für finit. Im Englischen werden
”
endliche Körper gelegentlich auch als Galois fields bezeichnet, so daß
man hier auch die Abkürzung GF( ) sieht. Field ist das englische Wort
für Körper; das gelegentlich in Informatikbüchern zu lesende Wort Galoisfeld ist also ein Übersetzungsfehler.

ist
Kap. 1: Ganze Zahlen und ihre Primzerlegung

Lemma: a) Für zwei zueinander teilerfremde Zahlen
( ) = ( ) ( ).
LEONHARD EULER (1707–1783) wurde in Basel geboren und ging auch dort zur Schule und, im Alter von 14
Jahren, zur Universität. Dort legte er zwei Jahre später
die Magisterprüfung in Philosophie ab und begann mit
dem Studium der Theologie; daneben hatte er sich seit
Beginn seines Studium unter Anleitung von JOHANN
BERNOULLI mit Mathematik beschäftigt. 1726 beendete
er sein Studium in Basel und bekam eine Stelle an der
Petersburger Akademie der Wissenschaften, die er 1727
antrat. Auf Einladung FRIEDRICHS DES GROSSEN wechselte er 1741 an die preußische Akademie der Wissenschaften; nachdem sich das Verhältnis zwischen den
beiden dramatisch verschlechtert hatte, kehrte er 1766 nach St. Petersburg zurück. Im gleichen Jahr erblindete er vollständig; trotzdem schrieb er rund die Hälfte seiner zahlreichen
Arbeiten (Seine gesammelten Abhandlungen umfassen 73 Bände) danach. Sie enthalten
bedeutende Beiträge zu zahlreichen Teilgebieten der Mathematik, Physik, Astronomie
und Kartographie.
Zahlentheorie
¢

¢
¢
¢ q
q

¥
¤
?
?
?
b

q
?
b
?
?
q
}
=
1
?
¢
n
¬
= 1;
=
(
?
¢
?
 ¯ ®
® ?
¢
b
¬+
?
¢
b
?
b
?
b
1)
die
hat also die Ordnung . Da die verschiedenen Potenzen verschiedener Primzahlen sind, hat daher das Produkt aller das Produkt
aller als Ordnung, also
1. Damit ist die multiplikative Gruppe des
Körpers zyklisch.
= 1 und

1
=
1 teilt, und
?
b
?

o
G

+
?
¢
b
?
b
?
?
¢
Definition: Ein Element eines endlichen Körpers
Wurzel, wenn es die zyklische Gruppe
erzeugt.

heißt primitive
B

c
B

?
Selbst im Fall der Körper
gibt es keine Formel, mit der man eine solche primitive Wurzel explizit in Abhängigkeit von angeben
kann. Üblicherweise wählt man zufällig ein Element aus und testet, ob
es die Ordnung
1 hat. Die Wahrscheinlichkeit dafür ist offenbar
(
1) : (
1), was für die meisten Werte von recht gut ist. Der
Test, ob die Ordnung gleich
1 ist, läßt sich allerdings nur dann effizient durchführen, wenn die Primteiler von
1 bekannt sind, denn
dann kann man einfach testen, ob alle Potenzen mit den Exponenten
(
1)
von eins verschieden sind. Für große Werte von , wie sie
in der Kryptographie benötigt werden, kann dies ein Problem sein, so
daß man hier im allgemeinen von faktorisierten Zahlen ausgeht und
dann testet, ob + 1 prim ist. Im Kapitel über Primzahlen werden wir
geeignete Tests kennenlernen.
¢

ª
k
§
©
§
¨
«
¦
©
¨
¦
Beweis: Da die multiplikative Gruppe eines Körpers mit Elementen aus
allen Körperelementen außer der Null besteht, hat sie die Ordnung
1,
d.h. nach LAGRANGE ist die Ordnung eines jeden Elements ein Teiler

Satz: Die multiplikative Gruppe eines endlichen Körpers ist zyklisch.
?
¬+
¬+
Der französische Mathematiker PIERRE DE FERMAT
(1601–1665) wurde in Beaumont-de-Lomagne im Departement Tarn et Garonne geboren. Bekannt ist er
heutzutage vor allem für seine 1994 von ANDREW
WILES bewiesene Vermutung, wonach die Gleichung
+
=
für
3 keine ganzzahlige Lösung
= 0 hat. Dieser große“ Satzes von FERMAT,
mit
”
von dem FERMAT lediglich in einer Randnotitz behauptete, daß er ihn beweisen könne, erklärt den Namen
der obigen Aussage. Obwohl FERMAT sich sein Leben
lang sehr mit Mathematik beschäftigte und wesentliche
Beiträge zur Zahlentheorie, Wahrscheinlichkeitstheorie
und Analysis lieferte, war er hauptberuflich Jurist.
v
¬
Beweis: Die erste Aussage ist klar, da ( ) =
1 ist. Für die zweite
müssen wir nur noch beachten, daß für durch teilbare Zahlen sowohl
als auch kongruent null modulo sind.
v
teilbare natürliche
mod .
n
sei die größte Potenz von , die
(
1) -te Potenz von . Dann ist
ein
?
Satz (FERMAT): Für jede nicht durch die Primzahl
1
1 mod . Für alle
ist
Zahl ist
"
1)
Lösungen im Körper; es gibt also zu jedem
höchstens (
( 1)
Körperelement mit
= 1.
=1
Für eine Primzahl
= bezeichnet man diese Aussage auch als den
kleinen Satz von FERMAT:
1)

Beweis: Klar, denn ( ) ist die Ordnung der primen Restklassengruppe
modulo .
b
.
¬+
1 mod
(
1 hat die Polynomgleichung
)
von
v
(
b
Für jeden Primteiler
ist
von
1. Wir müssen zeigen, daß es mindestens ein Element gibt,
1 ist.
dessen Ordnung genau
Kap. 1: Ganze Zahlen und ihre Primzerlegung
b
Korollar: Für zwei zueinander teilfremde Zahlen
Akademie. 1787 wechselte er an die Pariser Académie des Sciences, wo er bis zu seinem
Tod blieb und unter anderem an der Einführung des metrischen Systems beteiligt war.
Seine Arbeiten umspannen weite Teile der Analysis, Algebra und Geometrie.
Zahlentheorie
1
c
?
b
b
³
²
°
°
°±
MARTIN HELLMAN wurde 1945 in New York geboren.
Er studierte Elektrotechnik zunächst bis zum Bachelor
an der dortigen Universität; für Master und Promotion
studierte er in Stanford. Nach kurzen Zwischenaufenthalten am Watson Research Center der IBM und am
MIT wurde er 1971 Professor an der Stanford University. Seit 1996 ist er emeritiert, gibt aber immer noch
Kurse, mit denen er Schüler für mathematische Probleme interessieren will. Seine home page findet man unter
.
²²
µ
´
°±
DIFFIE und HELLMAN machten nur sehr vage Andeutungen, wie so ein
System mit öffentlichen Schlüsseln aussehen könnte. Es ist zunächst
einmal klar, daß ein solches System keinerlei Sicherheit gegen einen
Gegner mit unbeschränkter Rechenkraft (In der Kryptographie spricht
man von einem BAYESschen Gegner) bieten kann, denn die Verschlüsselungsfunktion ist eine bijektive Abbildung zwischen endlichen Mengen,
#
Der Vorteil eines solchen asymmetrischen Verfahrens wäre, daß jeder
potentielle Empfänger nur einen einzigen Schlüssel bräuchte und dennoch sicher sein könnte, daß nur er selbst seine Post entschlüsseln kann.
Der Schlüssel müßte nicht einmal geheimgehalten werden, da es ja
1976 publizierten MARTIN HELLMAN, damals Assistenzprofessor in
Stanford, und sein Forschungsassistent WHITFIELD DIFFIE eine Arbeit mit dem Titel New directions in cryptography (IEEE Trans. Inform. Theory 22, 644–654), in der sie vorschlugen, den Vorgang der
Verschlüsselung und den der Entschlüsselung völlig voneinander zu
trennen: Es sei schließlich nicht notwendig, daß der Sender einer verschlüsselten Nachricht auch in der Lage sei, diese zu entschlüsseln.
Der Nachteil eines solchen Verfahrens besteht darin, daß in einem Netzwerk jeder Teilnehmer mit jedem anderen einen Schlüssel vereinbaren
muß. In militärischen Netzen war dies üblicherweise so geregelt, daß
das gesamte Netz denselben Schlüssel benutzte, der in einem Codebuch
für jeden Tag im voraus festgelegt war; in kommerziellen Netzen wie
beispielsweise einem Mobilfunknetz ist so etwas natürlich unmöglich.
#
In der klassischen Kryptographie verläuft die Entschlüsselung entweder
genauso oder zumindest sehr ähnlich wie die Verschlüsselung; insbesondere kann jeder, der eine Nachricht verschlüsseln kann, jede andere entsprechend verschlüsselte Nachricht auch entschlüsseln. Man bezeichnet
diese Verfahren daher als symmetrisch.
#
§1: New directions in cryptography
#
BAILEY WHITFIELD DIFFIE wurde 1944 geboren. Erst
im Alter von zehn Jahren lernte er lesen; im gleichen
Jahr hielt eine Lehrerin an seiner New Yorker Grundschule einen Vortrag über Chiffren. Er ließ sich von
seinem Vater alle verfügbare Literatur darüber besorgen, entschied sich dann 1961 aber doch für ein Mathematikstudium am MIT. Um einer Einberufung zu
entgehen, arbeitete er nach seinem Bachelor bei Mitre;
später, nachdem sein Interesse an der Kryptographie
wieder erwacht war, kam er zu Martin Hellman nach
Stanford, der ihn als Forschungsassistent einstellte. Seit
1991 arbeitet er als chief security officer bei Sun Microsystems. Seine dortige home page hat den URL
.
Kapitel 2
Anwendungen in der Kryptographie
(meistens) nichts schadet, wenn jedermann Nachrichten verschlüsseln
kann. In einem Netzwerk mit Teilnehmern bräuchte man also nur
Schlüssel, um es jedem Teilnehmer zu erlauben, mit jedem anderen
sicher zu kommunizieren. Die Schlüssel könnten sogar in einem öffentlichen Verzeichnis stehen. Bei einem symmetrischen Kryptosystem wäre
1) Schlüsseln, die auf eider gleiche Zweck nur erreichbar mit 12 (
nem sicheren Weg wie etwa bei einem persönliches Treffen oder durch
vertrauenswürdige Boten ausgetauscht werden müßten.
Kap. 2: Anwendungen in der Kryptographie
N
Å
ÂÃ
¼
Á ¼
¾¿ÀÁ
»½¼
º
»
º
»
¶·
· ¸¹
RIVEST, SHAMIR und ADLEMAN gründeten eine Firma namens RSA
Computer Security Inc., die 1983 das RSA-Verfahren patentieren ließ
und auch nach Auslaufen dieses Patents im September 2000 noch erfolgreich im Kryptobereich tätig ist. 2002 erhielten RIVEST, SHAMIR und
ADLEMAN für die Entdeckung des RSA-Systems den TURING-Preis der
Association for Computing Machinery ACM, ein jährlich vergebener
Preis, der als eine der höchsten Auszeichnungen der Informatik gilt.
Im akademischen Bereich gab es ein Jahr nach Erscheinen der Arbeit von DIFFIE und HELLMAN das erste Kryptosystem mit öffentlichen
Schlüsseln: Drei Wissenschaftler am Massachusetts Institute of Technology fanden nach rund vierzig erfolglosen Ansätzen 1977 schließlich
jenes System, das heute nach ihren Anfangsbuchstaben mit RSA bezeichnet wird: RON RIVEST, ADI SHAMIR und LEN ADLEMAN.
Ä
Natürlich hängt alles davon ab, ob es solche Einwegfunktionen mit
Falltür wirklich gibt. DIFFIE und HELLMAN gaben keine an, und es gab
º
DIFFIE und HELLMAN bezeichnen eine Funktion, deren Umkehrfunktion
nicht mit vertretbarem Aufwand (im obigen Sinne) berechnet werden
kann, als Einwegfunktion und wollen solche Funktionen zur Verschlüsselung verwenden. Das allein führt allerdings noch nicht zu einem praktikablen Kryptosystem, denn bei einer echten Einwegfunktion ist es
auch für den legitimen Empfänger nicht möglich, seinen Posteingang zu
entschlüsseln. DIFFIE und HELLMAN schlagen deshalb eine Einwegfunktion mit Falltür vor, wobei der legitime Empfänger zusätzlich zu seinem
öffentlichen Schlüssel noch über einen geheimen Schlüssel verfügt, mit
dem er (und nur er) diese Falltür öffnen kann.
Einige Stellen, darunter auch das Bundesamt für Sicherheit in der Informationstechnik, halten derzeit noch eine 100-Bit-Sicherheit für ausreichend. Dieser Auffassung schließen sich unsere Banken an: Bei den
derzeit in Deutschland üblichen Bankkarten für Geldautomaten ist die
Geheimzahl mit dem sogenannten Triple-DES geschützt, dessen Sicherheit bei knapp 112 Bit liegt.
Erste Ideen dazu sind in einer auf Januar 1970 datierten Arbeit von
JAMES H. ELLIS zu finden, ein praktikables System in einer auf den
20. November 1973 datierten Arbeit von CLIFF C. COCKS. Wie im
Milieu üblich, gelangte nichts über diese Arbeiten an die Öffentlichkeit; erst 1997 veröffentlichten die Government Communications
Headquarters (GCHQ), zu denen CESG gehört, einige Arbeiten aus
der damaligen Zeit; eine Zeitlang waren sie auch auf dem Server
zu finden, wo sie allerdings inzwischen
anscheinend wieder verschwunden sind.
Tatsächlich aber gab es damals bereits Systeme, die auf solchen Funktionen beruhten, auch wenn sie nicht in der offenen Literatur dokumentiert waren: Die britische Communications-Electronics Security Group
(CESG) hatte bereits Ende der sechziger Jahre damit begonnen, nach
entsprechenden Verfahren zu suchen, um die Probleme des Militärs mit
dem Schlüsselmanagement zu lösen, aufbauend auf (impraktikablen)
Ansätzen von AT&T zur Sprachverschlüsselung während des zweiten
Weltkriegs. Die CESG sprach nicht von Kryptographie mit öffentlichen
Schlüsseln, sondern von nichtgeheimer Verschlüsselung, aber das Prinzip war das gleiche.
Wer im Gegensatz zum BAYESschen Gegner nur über begrenzte Ressourcen verfügt, kann diese Berechnung allerdings möglicherweise nicht mit
realistischem Aufwand durchführen, und nur darauf beruht die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln. Da Computer
immer leistungsfähiger werden und auch immer neue und bessere Algorithmen gefunden werden, sind solche Systeme insbesondere nicht für
die Ewigkeit gedacht, sondern nur für die einigermaßen überschaubare Zukunft. Derzeit geht man in der Kryptologie davon aus, daß kein
Gegner 2128 oder gar mehr Entschlüsselungsversuche durchführen kann
und bezeichnet ein System daher als sicher, wenn trotz intensiver Untersuchung kein Angriff bekannt ist, der mit geringerem Aufwand und
einer nicht vernachlässigbaren Erfolgsaussicht Entschlüsselungen liefert. Man spricht dann von 128-Bit-Sicherheit, wobei diese Sicherheit
natürlich nicht bewiesen ist.
Kap. 2: Anwendungen in der Kryptographie
unter den Experten einige Skepsis bezüglich der Möglichkeit, solche
Funktionen zu finden.
R
und jeder, der die Funktion kennt, kann zumindest im Prinzip auch ihre
Umkehrfunktion berechnen.
Zahlentheorie
d
Æ
µ
²
e
RONALD LINN RIVEST wurde 1947 in Schenectady
im US-Bundesstaat New York geboren. Er studierte
zunächst Mathematik an der Yale University, wo er 1969
seinen Bachelor bekam; danach studierte er in Stanford
Informatik. Nach seiner Promotion 1974 wurde er Assistenzprofessor am Massachusetts Institute of Technology, wo er heute einen Lehrstuhl hat. Er arbeitet immer
noch auf dem Gebiet der Kryptographie und entwickelte eine ganze Reihe weiterer Verfahren, auch symmetrische Verschlüsselungsalgorithmen und Hashverfahren.
Er ist Koautor eines Lehrbuchs über Algorithmen. Seine
home page ist
Zahlentheorie

9
"
9
"
°±
40
3
60
"

J
"
9
²
²
Ç
°±
È² ° È²
°
101
80
o
}
9
o
Ë
Ð
"
Ë Ó
ÑÒ
ÊË Ì

9
Ð
"
Ð
ÍÏÎ
100
Dazu muß sie natürlich zunächst einmal injektiv sein. Da die Ordnung
) Teiler von ( ) ist, muß insbesondere
eines Elements von (
20
}
0

20
40
"
60
80
"
100
É
²
²
LEONARD ADLEMAN wurde 1945 in San Francisco geboren. Er studierte in Berkeley, wo er 1968 einen BS
in Mathematik und 1976 einen PhD in Informatik erhielt. Thema seiner Dissertation waren zahlentheoretische Algorithmen und ihre Komplexität. Von 1976 bis
1980 war er an der mathematischen Fakultät des MIT;
seit 1980 arbeitet er an der University of Southern California in Los Angelos. Seine Arbeiten beschäftigen
sich mit Zahlentheorie, Kryptographie und Molekularbiologie. Er führte nicht nur 1994 die erste Berechnung mit einem DNS-Computer“ durch, sondern ar”
beitete auch auf dem Gebiet der Aidsforschung. Heute hat er einen Lehrstuhl für Informatik und Molekularbiologie.
ADI SHAMIR wurde 1952 in Tel Aviv geboren. Er studierte zunächst Mathematik an der dortigen Universität;
nach seinem Bachelor wechselte er ans Weizmann Institut, wo er 1975 seinen Master und 1977 die Promotion
in Informatik erhielt. Nach einem Jahr als Postdoc an
der Universität Warwick und drei Jahren am MIT kehrte
er ans Weizmann Institut zurück, wo er bis heute Professor ist. Außer für RSA ist er bekannt sowohl für die
Entwicklung weiterer Kryptoverfahren als auch für erfolgreiche Angriffe gegen Kryptoverfahren. Er schlug
auch einen optischen Spezialrechner zur Faktorisierung
großer Zahlen vor. Seine home page ist erreichbar unter
"
Für eine natürliche Zahl ist die reelle Funktion
für positive
monoton ansteigend und bijektiv; ihre Umkehrfunktion
läßt
sich mit etwa demselben Aufwand berechnen wie die Funktion selbst.
Betrachten wir
allerdings als Funktion von
, so
erhalten wir einen sehr chaotisch aussehenden Graphen und können uns
daher Hoffnungen machen, daß diese Funktion vielleicht als Grundlage
einer kryptographischen Verschlüsselung brauchbar sein könnte.
§2: Das RSA-Verfahren
RSA ist übrigens identisch mit dem von COCKS vorgeschlagenen System, so daß einige Historiker auch Zweifel an den Behauptungen der
GCHQ haben. Die Beschreibung durch RIVEST, SHAMIR und ADLEMAN
erschien 1978 unter dem Titel A method for obtaining digital signatures
and public-key cryptosystems in Comm. ACM 21, 120–126.
Kap. 2: Anwendungen in der Kryptographie
1j
}

o
o
}
°
°±
²
´
1
i
B
/
}

J
}
}
Ô

(
o
"
(
)

}
o
Ô
"
"
o
o

9
o
}
o
"
}
9
9

"
}
o
}
Õ

}

"
"
9
}
b
}
b
}

}
}

o
o
o
o
o
9
o
o
}
2
}
( )
*
+
"
}

}
)
}
"

b
"
"
9
}

9
"
"
= 0.
}
?
Ô
"
9
}
"

}
/
Zur praktischen Durchführung des RSA-Verfahrens wählt sich daher
jeder Teilnehmer zwei verschiedene Primzahlen
, die unbedingt geheim gehalten werden müssen, und eine natürliche Zahl , die keinen
gemeinsamen Teiler mit (
1)(
1) hat. Die Zahlen
=
und
sind sein öffentlicher Schlüssel, der beispielsweise in einem Verzeichnis
publiziert werden kann.
Auch bei Produkten von mehr als drei Primzahlen ist keine Methode zur
Berechnung der EULERschen -Funktion bekannt, die effizienter wäre
als der Umweg über die Faktorisierung, allerdings wird die Faktorisierung bei konstanter Größenordnung von tendenziell einfacher, wenn
die Anzahl der Faktoren steigt, da wir es dann zumindest teilweise mit
kleineren Faktoren zu tun haben.
+1
)=

)(
}
(
b
}
J
?
?
o
@
}
?

J
?
}
Ö
o
/
Jeder, der und
kennt, kann auch mit berechnen, allerdings muß
er dazu als erstes ( ) bestimmen. Nach der Formel aus Kapitel 1, 6
Beweis: Als quadratfreie Zahl ist
ein Produkt verschiedener Primzahlen , und ( ) ist das Produkt der zugehörigen ( ) =
1.
Somit ist auch
1 mod ( ) für alle , und nach dem chinesischen
Restesatz genügt es, wenn wir den Satz für die einzelnen beweisen.
Ist = prim, so ist die Null das einzige Element von
, das nicht
in (
) liegt, und sie wird von beiden Funktionen auf sich selbst
abgebildet.

äquivalent zur Kenntnis der Faktorisierung: Kennt man nämlich das
=
sowie die Summe
+1
( ) = + der beiProdukt
den Primzahlen, so kann man sie einfach berechnen als Lösungen der
quadratischen Gleichung
( + )+1
b
bijektiv und invers zueinander.
}
1) =
und
b
( )=(
sind die beiden Funktio-
}
1)(
1
Für eine Primzahl = kann natürlich jeder ganz einfach ( ) =
berechnen; ist
=
dagegen das Produkt zweier Primzahlen, so ist
die Bestimmung von
ist das möglich, wenn er die Primfaktorzerlegung von kennt. Einfachere alternative Verfahren sind nicht bekannt, und wie wir im Kapitel über Faktorisierungsalgorithmen sehen werden, ist diese Zerlegung
mit heutigen Mitteln für ein Produkt zweier gut gewählter Primzahlen
nicht mehr mit realistischem Aufwand möglich, wenn dieses Produkt
mehr als etwa 200 Dezimalstellen hat. Natürlich wird diese Schranke
im Laufe der Jahrzehnte ansteigen, und wahrscheinlich können die Geheimdienste schon heute etwas mehr als der Rest der Welt. Es ist aber
unwahrscheinlich, daß bei einem schon seit Jahrhunderten untersuchten
Problem wie der Faktorisierung ganzer Zahlen ausgerechnet einem Geheimdienst ein Durchbruch gelingen sollte, von dem der Rest der Welt
nichts bemerkt. Die Effekte einer leistungsfähigeren Hardware lassen
sich durch großzügige Sicherheitszuschläge kompensieren.
}
Satz: Für eine quadratfreie natürliche Zahl
nen
Die Beschränkung auf prime Restklassen ist für kryptographische Anwendungen ungünstig: Am einfachsten wäre es, wenn wir jede Bitfolge,
deren Länge kleiner ist als die der Binärdarstellung von , als Zahl
zwischen 0 und
1 auffassen, verschlüsseln und übertragen könnten. Der Empfänger könnte dann die Zahl entschlüsseln, als Bitfolge
hinschreiben und daraus die Nachricht rekonstruieren. Zum Glück ist
das zumindest für quadratfreie Zahlen , d.h. Zahlen, die durch kein
Primzahlquadrat teilbar sind, auch möglich:
)
zueinander invers.
¤
und
E
.
J
)

(
mod
o
)
)

(
(
"
Somit sind die Funktionen
G
1+
B
=
H
}
( ) =
/
KLIDischen Algorithmus Zahlen
Kap. 2: Anwendungen in der Kryptographie
teilerfremd zu ( ) sein. Dann lassen sich mit dem erweiterten EUfinden, so daß
( )=1
ist, d.h. für jedes zu teilerfremde ist
Zahlentheorie
1
J
b
}
b
b
}
}
J

/
}
B
B
/

o
G
mod
}

J
b
/
}

Ô
)
*

&
g
f

o
}
J
×
}
"

J
f
|

}
"
f
Ô

Ø
g
f
}
}
}

Ô
}
f
h
"
}
|
}
}

f
}
o

f
g
}

"
h
}

g
f
&

g
h
Ø
g
f
"
×D
}
J
/
/
B
/
J
B
8
8
B
B
*
}
B

J
J
}
J

J
}
}
B
/

)
E
/
Falls eine Nachricht an mehrere Empfänger geschickt wird, müssen
Um diese Attacke zu verhindern, muß bei 128-Bit-Sicherheit
128
sein, die übermittelten Nachrichten müssen also mindestens 256 Bit lang
sein. Auch dann sind wir allerdings noch nicht unbedingt auf der sicheren Seite, denn wenn nur wenige Nachrichten in Frage kommen, kann
ein Gegner die einfach alle mit dem öffentlichen Schlüssel chiffrieren
und schauen, wann das Ergebnis mit dem Chiffretext übereinstimmt.
Beim praktischen Einsatz von RSA werden daher nie einfach die zu
übermittelnden Nachrichten übertragen, sondern Blöcke eines vorher
festgelegten Formats. Diese Formate sehen vor, daß alle unbenutzten
Positionen mit Zufallsbits gefüllt werden und daß jeder Block mindestens 128 Zufallsbits enthält. Auf dem Niveau der 128-Bit-Sicherheit ist
dann jede Entschlüsselung durch systematisches Probieren ausgeschlossen, denn Nachrichtenlängen größer 256 Bit sind bei den heute üblichen
Parameterwerten ohnehin selbstverständlich.
b
Bei so vielen Vorteilen muß es auch Nachteile geben, darunter einen
ganz offensichtlichen: Ist nämlich die Nachricht kleiner als die dritte Wurzel aus , so ist 3
, d.h. der Chiffretext ist einfach 3 .

Beispielsweise wird in der Praxis oft der öffentliche Exponent = 3
verwendet (was natürlich voraussetzt, daß die verwendeten Primzahlen
kongruent zwei modulo drei sind), so daß zumindest die Verschlüsselung
recht schnell geht. Außerdem läßt sich dann der private Exponent sehr
, so
einfach bestimmen: Nach der allgemeinen Theorie gibt es Zahlen
daß
( ) = 1 ist. Durch Addition eines Vielfachen der Gleichung
( )
( ) = 0 läßt sich dabei erreichen, daß 1
1 ist.
Für = 3 kommen also nur = 1 und = 2 in Frage. Man muß daher
nur
= 1 + ( ) 3 für diese beiden Werte berechnen, und erhält
als das ganzzahlige der beiden Ergebnisse.

}
Nehmen wir an, unsere Nachricht habe höchstens 2 Bit, sei also
kleiner als 22 . Dann gibt es eine nicht vernachlässigbare Chance, daß
als Produkt zweier Zahlen darstellen läßt, die beide kleiner
sich =
als 2 (oder als eine etwas größere Schranke
) sind. Wir können
für alle Zahlen von Null bis
deren Verschlüsselung
mod
berechnen und die Ergebnisse in einer Tabelle notieren. Um nun vom
Chiffretext =
mod auf zurückzuschließen, berechnen wir für
jedes dieser Ergebnisse in
den Quotienten
. (Falls sich dieser
Quotient nicht bilden läßt, ist
nicht teilerfremd zu
= , und wir
erhalten sogar eine Faktorisierung von ; das ist aber für gut gewählte,
große
extrem unwahrscheinlich.) Falls einer dieser Quotienten als
Eintrag mod in unserer Tabelle auftaucht, haben wir eine Relation
der Form
= ( ) mod gefunden, und damit kennen wir
= .
g
Es wäre allerdings verfrüht, daraus schon auf die Sicherheit des RSAVerfahrens zu schließen: Der Gegner, vor dem eine Nachricht geschützt
werden soll, ist schließlich frei in der Wahl seiner Mittel und kann
sich auch andere Formen der Attacke überlegen. Soweit entsprechende
Strategien bekannt sind, muß man sich auch dagegen schützen. In der
bislang dargestellten sogenannten Lehrbuchversion“ bietet RSA, wie
”
wir im Verlauf der Vorlesung noch mehrfach sehen werden, eine ganze
Reihe von Angriffsmöglichkeiten, die gelegentlich erheblich schneller
ans Ziel führen als die Faktorisierung des Moduls .

Jeder, der den öffentlichen Schlüssel (
) kennt, kann damit Nachrichten verschlüsseln: Er bricht die Nachricht auf in Blöcke, die durch
1 dargestellt werden können, berechganze Zahlen zwischen 0 und
net für jeden so dargestellten Block den Chiffretext =
mod und
schickt diesen an den Inhaber des geheimen Schlüssels. Dieser berechnet
mod =
mod = , und da er dazu seinen geheimen Schlüssel
braucht, kann dies niemand außer ihm auf diese Weise berechnen.
Auch für größere Exponenten sind kurze Nachrichten problematisch.
Ein Grund liegt darin, daß die Verschlüsselungsfunktion mit der Multiist ( )
.
plikation verträglich ist: Auch im Ring
Die Kubikwurzel aus dieser ganzen Zahl kann natürlich leicht gezogen
werden.
für alle , läßt sich damit die Entschlüsselung rückgängig machen.
KLIDischen
Kap. 2: Anwendungen in der Kryptographie
1
1)(
1) nach dem EUDes weiteren berechnet er zu ( ) = (
Algorithmus eine natürliche Zahl , so daß + ( ) = 1
ist für ein gewisses
. Diese Zahl ist sein geheimer Schlüssel; da
1
Zahlentheorie
1
"
"
}
}
C
"
1
I
J
}
"
?
}
"
"
"
?
"
"
}
?
J
/
}
/
Ô
}
}
}

}
"
}
"
Ô

"
"

"
J
/
"
Grundsätzlich bräuchte man hier kein Kryptosystem mit öffentlichen
Schlüsseln; in der Tat funktionierten die ersten Freund-/Feinderkennungssysteme für Flugzeuge zur Zeit des zweiten Weltkriegs nach diesem Prinzip, aber damals natürlich mit einem klassischen symmetrischen Kryptosystem, wobei alle Teilnehmer mit demselben Schlüssel
arbeiteten. Der Vorteil eines asymmetrischen Systems besteht darin,
'
J
Ú
7
4
*
6
3
)
"
Ù
"
Entsprechend können wir für jede gerade Zahl = 2 die Potenz
als Quadrat von
berechnen. Für einen ungeraden Exponenten ist

Falls also der jeweilige Gegenüber eine Zufallszahl erzeugt und als
Antwort das zugehörige verlangt, kann er anhand eines öffentlichen
Schlüsselverzeichnisses die Richtigkeit von überprüfen und sich so von
der Identität seines Partners überzeugen. Im Gegensatz zu Kreditkarteninformation oder Paßwörtern ist dieses Verfahren auch immun gegen
Abhören: Falls jedesmal ein neues zufälliges erzeugt wird, nützt ein
einmal abgehörtes nichts.
mit nur fünf Multiplikationen (genauer: Quadrierungen).
}
Hier geht es darum, in Zugangskontrollsystemen, vor Geldautomaten
oder bei einer Bestellung im Internet die Identität einer Person zu beweisen: Mit RSA ist das beispielsweise dadurch möglich, daß nur der
Inhaber des geheimen Schlüssels zu einer gegebenen Zahl eine Zahl
berechnen kann, für die
mod
ist. Letzteres wiederum kann
) kennt.
jeder überprüfen, der den öffentlichen Schlüssel (
a) Identitätsnachweis
Im Gegensatz zu symmetrischen Kryptoverfahren endet die Nützlichkeit
des RSA-Verfahrens nicht mit der bloßen Möglichkeit einer Verschlüsselung; es erlaubt noch eine ganze Reihe weiterer Anwendungen:
/
2
2 2
2 2
J
=
J
32
J
Zum Glück gibt es eine erheblich effizientere Alternative: Um beispielsweise 32 zu berechnen brauchen wir keine 31 Multiplikationen, sondern
erhalten das Ergebnis über die Formel
J
}
Für große Exponenten ist es auch nicht mehr möglich, die Potenz
durch sukzessive Multiplikation mit zu berechnen, die benötigten
1 Multiplikationen lägen ebenfalls weit jenseits der Rechenleistung
selbst von Supercomputern.
"
§3: Weitere Anwendungen des RSA-Verfahrens
"
Bei der Berechnung von
mod und
mod darf man natürlich
bzw. berechnen und dann modulo reduzieren: Schon
nicht erst
für rund dreißigstellige Exponenten würde das zu Zwischenergebnissen
führen, mit denen selbst die leistungsfähigsten heutigen Supercomputer
nicht mehr fertig würden. Um die Länge der Zwischenergebnisse in
Grenzen zu halten, muß nach jeder Multiplikation sofort modulo
reduziert werden.

"
Bei der Wahl der Schlüsseldaten geht man stets aus vom öffentlichen
Exponenten und berechnet dann dazu nach dem EUKLIDischen Algorithmus den privaten Exponenten . Dadurch ist praktisch sichergestellt,
daß dieser in der Größenordnung von liegen wird, und das muß auch
so sein: Im Kapitel über Kettenbrüche werden wir sehen, daß leicht
faktorisiert werden kann, wenn zu klein ist.
+
1
berechnen,
1 gerade, wenn wir also
als Produkt von und
können wir zumindest im nächsten Schritt wieder die Formel für gerade
Exponenten verwenden. Somit reichen pro Binärziffer des Exponenten
ein bis zwei Multiplikationen; der Aufwand wächst also nur proportional
zur Stellenzahl von . Für den ebenfalls recht populären Verschlüsselungsexponenten = 216 + 1 = 65537 beispielsweise braucht man nur
17 Multiplikationen, nicht 65536.
Kap. 2: Anwendungen in der Kryptographie
1
– vor allem bei kleinen Verschlüsselungsexponenten wie = 3 – die
Zufallsbits für jeden Empfänger neu erzeugt werden, denn wenn jedes
Mal derselbe Block verschlüsselt wird und dabei – wie dies häufig
in der Praxis der Fall ist – stets mit drei potenziert wird, kennt ein
Gegner anschließend 3 mod
für die Moduln
der sämtlichen
Empfänger, kann also nach dem chinesischen Restesatz 3 modulo dem
Produkt der
berechnen, und da dieses Produkt bei mindestens drei
Empfängern größer ist als 3 , kennt er 3 und damit auch .
Zahlentheorie
N
"
q
#
¥
"
1
R

}

Falls die übermittelte Nachricht geheimgehalten werden soll, müssen
und natürlich noch vor der Übertragung mit dem öffentlichen Schlüssel
des Empfängers oder nach irgendeinem anderen Kryptoverfahren verschlüsselt werden.
Für kurze Nachrichten ist dieses Verfahren in der vorgestellten Form
praktikabel; in vielen Fällen kann man sogar auf die Übermittlung von
verzichten, da mod für ein falsch berechnetes mit an Sicherheit
grenzender Wahrscheinlichkeit keine sinnvolle Nachricht ergibt.
}
#

+
}
/

c
}
J
/
Eine wichtige Anwendung elektronischer Unterschriften ist übrigens
auch die Veröffentlichung von RSA-Schlüsseln: Falls es einem Angrei-
Bei langen Nachrichten ist die Verdoppelung der Nachrichtenlänge nicht
mehr akzeptabel, und selbst, wenn man auf die Übertragung von verzichten kann, ist das Unterschreiben jedes einzelnen Blocks sehr aufwendig. Deshalb unterschreibt man meist nicht die Nachricht selbst,
sondern einen daraus extrahierten Hashwert. Dieser Wert muß natürlich
erstens von der gesamten Nachricht abhängen, und zweitens muß es für
den Empfänger (praktisch) unmöglich sein, zwei Nachrichten zu erzeugen, die zum gleichen Hashwert führen. Letzteres bedeutet wegen des
sogenannten Geburtstagsparadoxons, daß für -Bit Sicherheit Hashwerte der Länge 2 erforderlich sind. Die immer noch recht verbreiteten
Hashalgorithmen, die 160 Bit liefern, haben somit nur eine Sicherheit
von etwa 80 Bit, was heute nicht mehr als wirklich sicher gelten kann.
Neuere Hashalgorithmen liefern Werte mit 224 oder 256 Bit, was einer
112- oder 128-Bit Sicherheit entspricht. Die Algorithmen funktionieren
ähnlich wie symmetrische Kryptoverfahren; sie versuchen durch Konfusion und Diffusion ein Ergebnis zu berechnen, dessen sämtliche Bits in
einer nicht offensichtlichen Weise von jedem einzelnen Nachrichtenbit
abhängen.
#
C
8
Ô
mod
=

Um einen Nachrichtenblock mit 0
zu unterschreiben,
berechnet der Inhaber des öffentlichen Schlüssels (
) mit seinem
geheimen Schlüssel die Zahl

/
Praktische Bedeutung hat vor allem eine andere Variante: die elektronische Unterschrift. Hier geht es darum, daß der Empfänger erstens
davon überzeugt wird, daß eine Nachricht tatsächlich vom behaupteten Absender stammt, und daß er dies zweitens auch einem Dritten
gegenüber beweisen kann. (In Deutschland sind solche elektronischen
Unterschriften, sofern gewisse formale Voraussetzungen erfüllt sind,
rechtsverbindlich.)
b) Elektronische Unterschriften
}
Eine mögliche Modifikation bestünde darin, daß man beispielsweise
noch zusätzlich verlangt, daß die Zahl eine spezielle Form hat, etwa
daß die vordere Hälfte der Ziffernfolge identisch mit der hinteren Hälfte
ist. Ohne Kenntnis von hat man praktisch keine Chancen eine Zahl
zu finden, für die
mod
eine solche Gestalt hat: Bei Zahlen mit
2 Ziffern liegt die Wahrscheinlichkeit dafür bei 10 .
;
falls ja, akzeptiert er dies als unterschriebene Nachricht . Da er ohne
Kenntnis des geheimen Schlüssels nicht in der Lage ist, den Block
( ) zu erzeugen, kann er auch gegenüber einem Dritten beweisen, daß
der Absender selbst die Nachricht unterschrieben hat.
mod
) an den Empfänger. Dieser überprüft, ob
1
Trotzdem ist das Verfahren in dieser Form nicht als Ersatz zur Übertragung von rechtlich bindender Information geeignet, da der Gegenüber
anhand des öffentlichen Schlüssels jederzeit zu einer willkürlich gewählten Zahl die Zahl = mod erzeugen kann um dann zu behaupten,
er habe als Antwort darauf empfangen. Daher kann der Inhaber des
geheimen Schlüssels zwar seine Identität beweisen, aber sein Gegenüber
kann später nicht beispielsweise vor Gericht beweisen, daß er dies (zum
Beispiel bei einer Geldabhebung oder Bestellung) getan hat. Falls dies
eventuell nötig werden könnte, ist das hier vorgestellte Verfahren also
ungeeignet; es funktioniert nur zwischen Personen, die einander vertrauen können.
und sendet das Paar (
Kap. 2: Anwendungen in der Kryptographie
daß sich keiner der Teilnehmer für einen anderen ausgeben kann, was
beispielsweise wichtig ist, wenn man sich gegenüber weniger vertrauenswürdigen Personen identifizieren muß.
Zahlentheorie
d
}
}
Zahlentheorie
s
1
e
s
x
x
s
fer gelingt, einem Teilnehmer einen falschen öffentlichen Schlüssel
von Teilnehmer unterzuschieben, kann (nur) der Angreifer die Nachrichten von an lesen, und er kann sich gegenüber mittels elektronischer Unterschrift als ausgeben. Daher sind öffentliche Schlüssel
meist unterschrieben von einer Zertifizierungsstelle. Auch deren Unterschrift muß natürlich gegen Manipulationen gesichert sein, beispielsweise indem sie von der nächsthöheren Zertifizierungsstelle unterschrieben
ist. An der Spitze der Zertifizierungshierarchie stehen Stellen, deren
elektronische Unterschrift jeder Teilnehmer kennen sollte, weil es sich
entweder um staatliche Stellen handelt, deren elektronische Unterschriften auf leicht zugänglichen Webseiten verifiziert werden können, oder
aber – in der Praxis häufiger – weil die Unterschriften dieser Stellen in
Mail- und Browserprogramme eingebaut sind. Letzteres bietet selbstverständlich keine Sicherheit gegen manipulierte Browserprogramme
aus dubiosen Quellen, die möglicherweise auch die Mafia als Zertifizierungsstelle anerkennen.
q
}
}
J
c

}
c
q
"
&
Ô
Ô

=
mod
q
p
q
}
Û
}
q
c
}
c
q
}
q
c
}
"
Û
}

Der Zahlungsempfänger berechnet mod ; falls dies die Form einer
gültigen Seriennummer hat, kann er sicher sein, einen von der Bank
+c
macht daraus eine Unterschrift unter
) mod
Ô
1
}
bekommt. Multiplikation mit
die Zahlungsverpflichtung .
=(

mod
2
Ô
=
}
c
wie eine Zufallsfolge aussehen, für die man eine Unterschrift
}
mod
"
Seriennummern werden von den Kunden zufällig erzeugt. Für jede solerzeugt der Kunde eine Zufallszahl , schickt
che Seriennummer
mod
an die Bank und erhält (nach Belastung seines Kontos)
eine Unterschrift für diese Nachricht zurück. Wie oben berechnet er
daraus durch Multiplikation mit 1 die Unterschrift =
mod
für die Seriennummer , und mit diesem Block kann er bezahlen.
+
=
Nun muß eine sinnlose Nachricht aber nicht unbedingt eine Zufallszahl
sein: Sie kann sorgfältig präpariert sein. Sei dazu etwa eine Nachricht,
die ein Zahlungsversprechen enthält, (
) der öffentliche Schlüssel des
Opfers und eine Zufallszahl zwischen 2 und
2. Dann wird
So sollte es durch gutes Zureden nicht schwer sein, jemanden zu Demonstrationszwecken zum Unterschreiben einer sinnlosen Nachricht zu
bewegen: Eine Folge von Nullen und Einsen ohne sinnvolle Interpretation hat schließlich keine rechtliche Wirkung.
Die Seriennummer kann natürlich nicht einfach jede Zahl sein; sonst
wäre jede Zahl kleiner eine Banknote. Andererseits dürfen die Seriennummern aber auch nicht von der Bank vergeben werden, denn sonst
wüßte diese, welcher Kunde Scheine mit welchen Seriennummern hat.
Als Ausweg wählt man Seriennummern einer sehr speziellen Form:
Ist
10150 , kann man etwa als Seriennummer eine 150-stellige
Zahl wählen, deren Ziffern spiegelsymmetrisch zur Mitte sind, d.h. ab
der 76. Ziffer werden die vorherigen Ziffern rückwärts wiederholt. Die
Wahrscheinlichkeit, daß eine zufällige Zahl nach Anwendung des
öffentlichen Exponenten auf so eine Zahl führt, ist 10 75 und damit
vernachlässigbar.
Einer der erfolgversprechendsten Ansätze zum Aushebeln eines Kryptosystems besteht darin, sich auf die Dummheit seiner Mitmenschen zu
verlassen.
Es wir ausgegeben von einer Bank, die für jede angebotene Stückelung
) bekanntgibt. Eine Banknote ist eine
einen öffentlichen Schlüssel (
mit dem zugehörigen geheimen Schlüssel unterschriebene Seriennummer.
Digitales Bargeld will die Anonymität von Geldscheinen mit elektronischer Übertragbarkeit kombinieren und so ein anonymes Zahlungssystem z.B. für das Internet bieten.
}
J
c) Blinde Unterschriften und elektronisches Bargeld
x
Zahlungen im Internet erfolgen meist über Kreditkarten; die Kreditkartengesellschaften haben also einen recht guten Überblick über die Ausgaben ihrer Kunden und machen teilweise auch recht gute Geschäfte mit
Kundenprofilen.
Das angegebene Verfahren kann nicht nur von Trickbetrügern benutzt
werden; blinde Unterschriften sind auch die Grundlage von digitalem
Bargeld.
Kap. 2: Anwendungen in der Kryptographie
Ij
p
+c
q
I
i
Bei 1075 möglichen Nummern liegt die Wahrscheinlichkeit dafür, daß
zwei Kunden, die eine (wirklich) zufällige Zahl wählen, dieselbe Nummer erzeugen, bei etwa 10 37 5 . Die Wahrscheinlichkeit, mit jeweils
einem Spielschein fünf Wochen lang hintereinander sechs Richtige im
5
Lotto zu haben, liegt dagegen bei 49
5 10 35 , also etwa um den
6
Faktor sechzig höher. Zwei gleiche Seriennummern sind also praktisch
auszuschließen, wenn auch theoretisch möglich.
z
&
+*
Ü
)
die es kommerziell vermarkten sollte. Zu deren Kunden gehörte beispielsweise auch die Deutsche Bank, die allerdings nur 27 Kunden
fand, die Zahlungen damit akzeptierten. DigiCash wurde 1998 zahlungsunfähig; derzeit gibt es meines Wissens keine ähnlichen Zahlungssysteme.
Digitales Bargeld der gerade beschriebenen Form wurde 1982 von DAVID CHAUM vorgestellt; 1990 gründete er eine Firma namens DigiCash,
Da digitales Bargeld nur in kleinen Stückelungen sinnvoll ist (Geldscheinen im Millionenwert wären auf Grund ihrer Seltenheit nicht wirklich anonym und würden wegen der damit verbundenen Möglichkeiten
zur Geldwäsche auch in keinem seriösen Wirtschaftssystem akzeptiert),
wäre der theoretisch mögliche Verlust ohnehin nicht sehr groß.
Falls wirklich einmal zufälligerweise zwei gleiche Seriennummern erzeugt worden sein sollten, kann das System nur funktionieren, wenn
der zweite Geldschein mit derselben Seriennummer nicht anerkannt
wird, so daß der zweite Kunde sein Geld verliert. Dies muß als eine
zusätzliche Gebühr gesehen werden, die mit an Sicherheit grenzender
Wahrscheinlichkeit nie fällig wird, aber trotzdem nicht ausgeschlossen
werden kann.
+
+
Aus diesem Grund sind die Kontendaten auf dem Chip mit dem privaten RSA-Schlüssel des Konsortiums unterschrieben. Die Terminals
Da frei programmierbare Chipkarten relativ billig sind, muß dafür Sorge
getragen werden, daß ein solches System nicht durch einen Yes-Chip unterlaufen werden kann, der ebenfalls die Konteninformationen enthält,
ansonsten aber ein Programm, das ihn jede Geheimzahl akzeptieren läßt.
Das Terminal muß also, bevor es überhaupt eine Geheimzahl anfordert,
zunächst einmal den Chip authentisieren, d.h. sich davon überzeugen,
daß es sich um einen vom Bankenkonsortium ausgegebenen Chip handelt.
In Frankreich haben die entsprechenden Karten zusätzlich zum Magnetstreifen noch einen Chip, in dem ebenfalls die Kontendaten gespeichert
sind sowie, in einem auslesesicheren Register, Informationen über die
Geheimzahl. Dort wird die ins Lesegerät eingetippte Geheimzahl nicht
an den Zentralrechner übertragen, sondern an den Chip, der sie überprüft
und akzeptiert oder auch nicht.
Um eine Karte zu überprüfen, muß daher eine Verbindung zu einem
Zentralrechner aufgebaut werden, an den sowohl der Inhalt des Magnetstreifens als auch die vom Kunden eingetippte Zahl übertragen werden;
dieser wendet Triple-DES mit dem Systemschlüssel an und meldet dann,
wie die Prüfung ausgefallen ist.
Der Schlüssel, mit dem dieses arbeitet, muß natürlich streng geheimgehalten werden: Wer ihn kennt, kann problemlos die Geheimzahlen
fremder Karten ermitteln und eigene Karten zu beliebigen Konten erzeugen.
In Deutschland und den meisten anderen Ländern hat eine Bankkarte einen Magnetstreifen, auf dem die wichtigsten Informationen wie
Kontenname und -nummer, Bankleitzahl, Gültigkeitsdauer usw. gespeichert sind; dazu kommt verschlüsselte Information, die unter anderem
die Geheimzahl enthält, die aber auch von den obengenannten Daten
abhängt. Zur Verschlüsselung verwendet man hier ein konventionelles,
d.h. symmetrisches Kryptoverfahren; derzeit noch meist Triple-DES.
d) Bankkarten mit Chip
Kap. 2: Anwendungen in der Kryptographie
I
Deshalb muß er die Seriennummer an die Bank melden, die mit ihrer Datenbank bereits ausbezahlter Seriennummern vergleicht. Falls sie darin
noch nicht vorkommt, wird sie eingetragen und der Händler bekommt
sein Geld; andernfalls verweigert sie die Zahlung.
unterschriebenen Geldschein vor sich zu haben. Er kann allerdings noch
nicht sicher sein, daß dieser Geldschein nicht schon einmal ausgegeben
wurde.
Zahlentheorie
gen 320-Bit-Modul einen 768-Bit-Modul verwendet. Natürlich können
damit erzeugte Unterschriften nur von neueren Terminals überprüft werden, so daß viele Transaktionen weiterhin nur über den 320-Bit-Modul
mit inzwischen wohlbekannter Faktorisierung geschützt“ sind.
”
kennen den öffentlichen Schlüssel dazu und können so die Unterschrift
überprüfen.
I
Blieb noch das Problem, den Modul zu faktorisieren. Dazu besorgte er
sich ein japanisches Programm aus dem Internet, das zwar eigentlich
für kleinere Zahlen gedacht war, aber eine Anpassung der Wortlänge ist
natürlich auch für jemanden, der den Algorithmus hinter dem Programm
nicht versteht, kein Problem. Nach sechs Wochen Laufzeit hatte sein PC
damit den Modul faktorisiert:
213598703592091008239502270499962879705109534182
6417406442524165008583957746445088405009430865999
Diese Einzelheiten und speziell deren technische Implementierung wurden vom Bankenkonsortium zunächst streng geheimgehalten. Trotzdem
machte sich 1997 ein elsässischer Ingenieur namens SERGE HUMPICH
daran, den Chip genauer zu untersuchen. Er verschaffte sich dazu ein
(im freien Verkauf erhältliches) Terminal und untersuchte sowohl die
Kommunikation zwischen Chip und Terminal als auch die Vorgänge
innerhalb des Terminals mit Hilfe eines Logikanalysators. Damit gelang es ihm nach und nach, die Funktionsweise des Terminals zu entschlüsseln und in ein äquivalentes PC-Programm zu übersetzen. Durch
dessen Analyse konnte er die Authentisierungsprozedur und die Prüflogik entschlüsseln und insbesondere auch feststellen, daß hier mit RSA
gearbeitet wurde.
¡
~
Seit November 1999 haben neu ausgegebene Bankkarten noch ein
zusätzliches Feld mit einer Unterschrift, die im Gegensatz zum obi-
SERGE HUMPICH: Le cerveau bleu, Xo, 2001
Als er seine Ergebnisse über einen Anwalt dem Bankenkonsortium mitteilte, zeigte sich, was dieses sich unter Sicherheitsstandards vorstellt:
Es erreichte, daß HUMPICH wegen des Eindringens in ein DV-System
zu zehn Monaten Haft auf Bewährung sowie einem Franc Schadenersatz plus Zinsen verurteilt wurde; dazu kamen 12 000 F Geldstrafe.
Einzelheiten findet man in seinem Buch
1917481702524504439375786268230862180696934189293
Offiziell geht es bei den Empfehlungen allgemein um geeignete Algorithmen für elektronische Unterschriften sowie deren Schlüssellängen,
Da Rechner immer schneller und leistungsfähiger werden und auch auf
der mathematisch-algorithmischen Seite fast jedes Jahr kleinere oder
größere Fortschritte zu verzeichnen sind, gelten die jeweiligen Empfehlungen nur für etwa sechs Jahre. Für Dokumente, die länger gültig sein
sollen, sind elektronische Unterschriften also nicht vorgesehen.
SigV steht für die aufgrund des Signaturgesetzes SigG erlassene Signaturverordnung; beide gemeinsam legen fest, daß elektronische Unterschriften in Deutschland grundsätzlich zulässig und rechtsgültig sind,
sofern gewisse Bedingungen erfüllt sind. Zu diesen Bedingungen gehört
unter anderem, daß das Verfahren und die Schlüssellänge gemeinsam
einen geeigneten Kryptoalgorihmus“ im Sinne der jeweils gültigen
”
Veröffentlichung der Bundesnetzagentur ist.
b
= 1113954325148827987925490175477024844070922844843
Das Beispiel der französischen Bankkarten zeigt, daß RSA höchstens
dann sicher ist, wenn die Primzahlen und hinreichend groß gewählt
werden. Als erstes müssen wir uns daher die Frage stellen, wie groß eine
hinreichend große“ Zahl heute sein muß.
”
Ein treu sorgender Staat läßt seine Bürgern bei einer derart wichtigen
Frage natürlich nicht allein: Zwar gibt es noch keine oberste Bundesbehörde für Primzahlen, aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen publizieren jedes Jahr ein
Dokument mit dem Titel Geeignete Kryptoalgorithmen zur Erfüllung
der Anforderungen nach 17 Abs. 1 bis 3 SigG vom 22. Mai 2001 in
Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV vom 22. November 2001.
I
§4: Wie groß sollten die Primzahlen sein?
Kap. 2: Anwendungen in der Kryptographie
Zahlentheorie
1
Bis Ende 2000 galten 768 Bit als ausreichende Größe für das Produkt
der beiden Primzahlen, jener Wert also, den die neueren französischen
Bankkarten verwenden und den ebenfalls nur die neueren Terminals
lesen können. Schon in den Richtlinien für 1998 wurden 768 Bit jedoch ausdrücklich nur übergangsweise zugelassen; längerfristig, d.h.
bei Gültigkeit über 2000 hinaus, waren mindestens 1024 Bit vorgeschrieben.
aber wie die Entwicklung der letzten Jahre zeigte, drehen sich die Diskussionen, die zu den jeweiligen Empfehlungen führen, tatsächlich fast
ausschließlich um die jeweils notwendige Schlüssellänge für RSA.
I
I
So ist beispielsweise zu erklären, daß es vieler Anläufe bedurfte, um
die Schlüssellänge für RSA auf einen Wert über 1024 Bit zu bringen,
denn es gab viele Chips mit Hardware-Implementierungen von RSA für
Schlüssellängen von bis zu 1024 Bit, während größere Schlüssellängen
zunächst vor allem in public domain Software wie PGP zu finden waren.
Das endgültige Ergebnis ist dann ein Kompromiss zwischen den verschiedenen Positionen.
Andererseits melden sich die Anwender von Kryptoverfahren zu Wort;
vor allem sind das Vertreter der Dachverbände des Kreditgewerbes.
Diese müssen für eine starke Kryptographie eintreten, denn falls die
Kryptographie einer von ihnen ausgegebenen Chipkarte geknackt wird,
könnte das für ihre Mitglieder sehr teuer werden. Teuer wird es aber
auch, wenn Chipkarten vor Ablauf ihrer Gültigkeit ausgetauscht werden
müssen, weil sie nicht mehr den aktuellen Anforderungen entsprechen.
Da Chipkarten ein bis zwei Jahre vor Ausgabe in Auftrag gegeben
werden müssen und dann im allgemeinen drei Jahre lang gültig sind,
versucht dieser Teil der Öffentlichkeit vor allem, die von den Kryptologen für notwendig erachteten Änderungen um ein bis zwei Jahre
hinauszuzögern.
Die interessierte Öffentlichkeit, von der die Kommentare zu den Entwürfen kommen, besteht einerseits aus Anbietern von Hardware und
Software für Kryptographie, und als erfahrene Experten für Datensicherheit wissen diese, daß ein Verfahren nur dann wirklich geeignet
sein kann, wenn es die eigene Firma im Angebot hat. (Am geeignetsten
sind natürlich die Verfahren, die keines der Konkurrenzunternehmen
anbietet.)
}
Natürlich hat in einer Demokratie bei so einer wichtigen Frage auch
die Bevölkerung ein Mitspracherecht; deshalb beginnt das BSI jeweils
zunächst mit einen Entwurf, zu dem es um Kommentare bittet; erst
einige Monate später wird die endgültige Empfehlung verkündet und im
Bundesanzeiger veröffentlicht.
I
Nach diesem großen Kraftakt erschienen 2003 keine neuen Richtlinien
mehr; erst für 2004 gab es am 2. Januar 2004 neue Empfehlungen
(Bundesanzeiger Nr. 30 vom 13. Februar 2004, S. 2537–2538). Für den
Zeitraum bis Ende 2008 wurden die alten Empfehlungen beibehalten, bis
Ende 2009 aber 1536 Bit gefordert. Die nächsten Richtlinien für 2005
sahen in ihrem ersten Vorentwurf 2048 Bit bis Ende 2010 vor; nach
Einsprüchen der Banken, daß das Betriebssystem SECCOS der heute
üblichen Chipkarten nur mit maximal 1984 Bit-Schlüsseln umgehen
Im April 2002 erschien der erste Entwurf für die 2002er Richtlinien;
darin war für 2006 und 2007 nur eine Mindestlänge von 2048 Bit wirklich sicher. Einsprüche führten im September 2002 zu einem revidierten
Entwurf, wonach 2006 doch noch 1024 Bit reichen, 2007 aber mindestens 1536 notwendig werden. Die Mindestlänge von 2048 Bit wurde
wieder zur Empfehlung“ zurückgestuft.
”
Am 2. Januar 2003 erschienen endlich die offiziellen Richtlinien des
Jahres 2002; veröffentlicht wurden sie am 11. März 2003 im Bundesanzeiger Nr. 48, S. 4202–4203. Danach reichen 1024 Bit auch noch bis
Ende 2007, erst 2008 werden 1280 Bit erforderlich. Die 2048 Bit blieben
dringend empfohlen.
Anbieterproteste führten dazu, daß nach den Richtlinien von 2001 eine
Schlüssellänge von 1024 dann doch noch bis Ende 2006 sicher war;
die Schlüssellänge 2048 war nur noch empfohlen“, also nicht mehr
”
verbindlich.
Die Richtlinien für 2000 erlaubten die 768 Bit ebenfalls noch bis zum
Ende des Jahres; für Dokumente mit einer längeren Gültigkeit verlangten sie bis Mitte 2005 eine Mindestgröße von 1024 Bit, danach bis
Ende 2005 sogar 2048 Bit.
Kap. 2: Anwendungen in der Kryptographie
Zahlentheorie
N
R
I
2015
1976 Bit.
b
Ý
Ý Cb
C
a
a
a
10
230
109
2
z
Cb
C
+
Die Berechnung der Potenzfunktion durch sukzessives Quadrieren und
Multiplizieren ist auch in endlichen Körpern einfach, für ihre Umkehrfunktion, den diskreten Logarithmus gibt es aber derzeit nur deutlich
schlechtere Verfahren. Die derzeit besten Verfahren zur Berechnung
von diskreten Logarithmen in Körpern mit
Elementen erfordern etwa denselben Aufwand wie die Faktorisierung eines RSA-Moduls der
Größenordnung . Diese Diskrepanz zwischen Potenzfunktion und Logarithmen kann kryptologisch ausgenutzt werden.

}
"
f
gelten, d.h. die beiden Primzahlen sollten zwar ungefähr dieselbe
Größenordnung haben, aber nicht zu nahe beieinander liegen. Der
Grund dafür ist ein von FERMAT entdecktes Faktorisierungsverfahren
auf Grundlage der dritten binomischen Formel: Falls für eine Zahl
und eine natürliche Zahl die Zahl + 2 eine Quadratzahl 2 ist, ist
2
= ( + )(
= 2
), womit zwei Faktoren gefunden sind.
Probiert man alle kleinen natürlichen Zahlen systematisch durch, führt
dieses Verfahren offensichtlich umso schneller zum Erfolg, je näher die
beiden Faktoren von beieinander liegen. Wir werden uns in Kapitel
über Faktorisierung noch genauer damit befassen.
2
die kleinere der beiden Primzahlen, soll also
Þ
vorgeschlagen; ist
a
= 30
f
2
= 0 1 und
Þ
1
y
gilt. Als Anhaltspunkte werden dabei die Werte
"
2
log2
9
log2
ß
Trotz dieser formalen Übereinstimmung gibt es es allerdings große Unterschiede zwischen reellen Logarithmen und ihren Analoga in endlichen Körpern: Während reelle Logarithmen sanft ansteigende stetige
Funktionen sind, die man leicht mit beliebig guter Genauigkeit annähern
kann, sieht der diskrete Logarithmus typischerweise so aus, wie es in
der Abbildung zu sehen ist. Auch ist im Reellen der Logarithmus zur
1 für jede positive Zahl definiert; in endlichen Körpern ist es
Basis
viel schwerer zu entscheiden, ob ein bestimmter Logarithmus existiert:
Modulo sieben etwa sind 2 4 und 1 die einzigen Zweierpotenzen, so daß
3 5 und 6 keine Zweierlogarithmen haben. Ein Satz aus der Algebra besagt allerdings, daß es stets Elemente gibt, für die jeden Wert außer
der Null annimmt, die sogenannten primitiven Wurzeln. In 7 wären
dies etwa drei und fünf.
f
1

sollen zufällig und unabhängig voneinanDie beiden Primfaktoren
der erzeugt werden und aus einem Bereich stammen, in dem
"
(1976 unterscheidet sich nicht wesentlich von 2048; der minimal kleinere Wert wurde in Hinblick auf die oben erwähnten Probleme mit SECCOS
gewählt.)
2008 2009 2010
1280 1536 1728
Ausgangspunkt ist wieder das Potenzieren im Körper ; hier betrachten
wir aber die Exponentialfunktion
zu einer geeigneten Basis .
Ihre Umkehrfunktion bezeichnet man als Index oder diskreten Logarithmus zur Basis :
=
=
= log .
Þ
bis Ende
Minimallänge
Kurz nach der Veröffentlichung des RSA-Algorithmus fanden auch DIFFIE und HELLMAN ein Verfahren, das im Gegensatz zu RSA sogar ganz
ohne vorvereinbarte Schlüssel auskommt: Zwei Personen vereinbaren
über eine unsichere Leitung einen Schlüssel, den anschließend nur sie
kennen.
§5: Verfahren mit diskreten Logarithmen
Kap. 2: Anwendungen in der Kryptographie
I
Die neuesten Richtlinien stammen vom 17. November 2008 und wurden
am 27. Januar 2009 im Bundesanzeiger Nr. 13, S. 346 veröffentlicht. Sie
empfehlen grundsätzlich schon heute 2048 Bit, aber wirklich verbindlich
sind
kann, wurde die Länge im zweiten Entwurf auf 1984 gesenkt; in den
endgültigen Richtlinien vom 2. Januar 2005 waren es schließlich nur
noch 1728.
Zahlentheorie
d
}
f
}
f
"
f
"
Als Körper verwendet man entweder Körper von Zweipotenzordnung,
die wir weiter unten betrachten werden, oder Körper von Primzahlord-
}
f
}
f
"
}
I
40
80
100
)
Þ
p
=
*
)
Þ
á
Û
mod
mod ;
beide haben also auf verschiedene Weise dieselbe Zahl berechnet, die
sie nun als Schlüssel in einem klassischen Kryptosystem verwenden
können, wobei sie sich wohl meist auf einen Teil der Bits beschränken
müssen, da solche Schlüssel typischerweise eine Länge von 128 bis
256 Bit haben, während die Primzahl erheblich größer sein muß.
mod
á

e
Ein Gegner, der den Datenaustausch abgehört hat, kennt die Zahlen
und ; um
mod zu finden, muß er den diskreten Logarithmus von oder berechnen.
á
Þ
à
p
p
Û
Û
Mit den besten heute bekannten Algorithmen ist die möglich, wenn
eine Primzahl von bis zu etwa 200 Dezimalstellen ist; dies entspricht
etwa 665 Bit. Auch in diesem Fall dauert die Berechnung allerdings
selbst bei massiver Parallelisierung über das Internet mehrere Monate,
gefolgt von einer Schlußrechnung auf einem Supercomputer.
Trotzdem gibt es einen verhältnismäßig einfachen Angriff auf den
Schlüsselaustausch nach DIFFIE und HELLMAN, die sogenannte man
in the middle attack. Dabei unterbricht der Angreifer die Verbindung
Natürlich gibt es keine Garantie, daß kein Gegner mit einem besseren
als den bislang bekannten Verfahren diskrete Logarithmen oder Faktorisierungen auch in weitaus größeren Körpern berechnen kann. Dazu
bräuchte er allerdings einen Durchbruch entweder auf der mathematischen oder auf der technischen Seite, für den weit und breit keine
Grundlage zu sehen ist.
Dazu einigen sie sich zunächst (über die unsichere Leitung) auf eine
á
=
=
mod
*
und B entsprechend
mod
Þ
á
Beim DIFFIE-HELLMAN-Verfahren, dem ältesten auf der Grundlage diskreter Logarithmen, geht es wie gesagt darum, daß zwei Teilnehmer, die
weder über gemeinsame Schlüsselinformation noch über eine sichere
Leitung verfügen, einen Schlüssel vereinbaren wollen.
p
Þ
=
Û
Da Körper von Primzahlordnung auch einfacher sind als solche von
Primzahlpotenzordnung, wollen wir uns zunächst auf diese beschränken; die spätere Übertragung des Algorithmus auf Körper von Zweipotenzordnung sollte dem Leser keine Schwierigkeiten machen.
á
Þ
in 101
60
á
mod
Die Funktion log51
Cf
Sodann berechnet A die Zahl
nung. Da es für viele interessante Körper von Zweipotenzordnung bereits Chips gibt, die dort diskrete Logarithmen berechnen, dürften Körper
von Primzahlordnung bei ungefähr gleicher Elementanzahl wohl etwas
sicherer sein: Es gibt einfach viel mehr Primzahlen als Zweierpotenzen,
und jeder Fall erfordert einen neuen Hardwareentwurf. Falls man die
Primzahlen hinreichend häufig wechselt, dürfte sich dieser Aufwand für
kaum einen Gegner lohnen.
20
"
und B entAls nächstes wählt Teilnehmer A eine Zufallszahl
; A schickt
=
mod an B und erhält dafür
sprechend
=
mod .
20
9
C"
40
Þ
Þ
60
Primzahl und eine natürliche Zahl derart, daß die Potenzfunktion
möglichst viele Werte annimmt.
Kap. 2: Anwendungen in der Kryptographie
80
100
Zahlentheorie
N j
N
i
+
¢
¢

G
¢
b
Þ
"
¢
f
¢
b Unterschreiben lassen sich mit diesem Verfahren Nachrichtenblöcke
mit 0
, insbesondere also 160 bzw. 224 Bit lange Hashwerte.
Dazu wählt man für jede Nachricht eine Zufallszahl mit 0
und berechnet
= ( mod ) mod .
b
q
BC
E
c
b
qC
8
b
b
C
B

b
¢
B
B
b
B
mod
b
c
"
q

ist; die Unterschrift unter die Nachricht besteht dann aus den beiden
160 Bit lagen Zahlen und . Sie kann nur berechnet werden von
jemanden, der den geheimen Schlüssel kennt.
+
Da eine Primzahl ist, hat ein multiplikatives Inverses modulo ; man
kann also durch dividieren und erhält eine Zahl , für die
b
q
Zu dieser Primzahl sucht man eine Primzahl
1 mod , für deren Länge die Bundesnetzagentur bis Ende 2007 mindestens 1024 Bit
vorschreibt, bis Ende 2008 mindestens 1280, bis Ende 2009 mindestens
1536 und bis Ende 2012 mindestens 2048. Empfohlen“ sind auch hier
”
2048 Bit.
und werden veröffentlicht und können
Die so bestimmten Zahlen
auch in einem ganzen Netzwerk global eingesetzt werden. Geheimer
Schlüssel jedes Teilnehmers ist eine Zahl zwischen eins und
1;
der zugehörige öffentliche Schlüssel ist =
mod .
Für diese kleine Untergruppe wählt man eine Primzahl , die im ursprünglichen Standard eine Länge von mindestens 160 Bit haben sollte.
Laut Bundesnetzagentur sollte diese Länge auch noch bis Ende 2009
ausreichen, bis Ende 2012 sind allerdings nach dem Entwurf für 2007
mindestens 224 Bit vorgeschrieben, was wahrscheinlich mehr mit den
verwendeten Hashfunktionen als mit der Sicherheit der Unterschrift zu
tun hat.
b
b
Seine Sicherheit beruht auf diskreten Logarithmen, allerdings wird das
klassische Verfahren dadurch modifiziert, daß die Sicherheit zwar auf
dem diskreten Logarithmenproblem in einem großen Körper beruht, die
Rechenoperationen bei der Anwendung des Algorithmus aber nur eine
deutlich kleinere Untergruppe verwenden.
Als nächstes muß ein Element gefunden werden, dessen Potenzen im
Körper eine Gruppe der Ordnung bilden. Das ist einfach: Man starte
mit irgendeinem Element 0
0 und berechne seine (
1) te Potenz. Falls diese ungleich eins ist, muß sie wegen 0 1 = 1 die
Ordnung haben; andernfalls muß ein neues 0 betrachtet werden.
Aus Sicht der amerikanischen Behörden hat DSA gegenüber RSA und
Verfahren wie DIFFIE-HELLMAN vor allem einen großen Vorteil: Es
läßt sich nur für elektronische Unterschriften benutzen, nicht zur Verschlüsselung.
DSA steht für Digital Signature Algorithm, ein Algorithmus der im Digital Signature Standard DSS der USA festgelegt ist und neben RSA
auch zu den von der Bundesnetzagentur empfohlenen Geeigneten Al”
gorithmen“ zählt.
§6: DSA
Daß diese Zahlen (bis auf die unwesentliche Differenz zwischen 2048
und 1976) mit den RSA-Modullängen für die entsprechenden Jahre übereinstimmen, ist kein Zufall: Auch wenn kein direkter Zusammenhang
zwischen Faktorisierung und der Berechnung diskreter Logarithmen
bekannt ist, hat bislang doch jede neue Idee für einen Faktorisierungsalgorithmus auch zu einem Algorithmus zur Berechnung diskreter Logarithmen geführt, und auch die Laufzeiten dieser Algorithmen sind bei
gleicher Zahlenlänge ungefähr gleich.
Kap. 2: Anwendungen in der Kryptographie
zwischen A und B und gibt sich gegenüber A als B aus und umgekehrt.
So kann er mit beiden Teilnehmern je einen Schlüssel vereinbaren, und
die damit verschlüsselte Kommunikation kann (nur) von ihm gelesen
und gegebenenfalls manipuliert werden. In der vorgestellten Form funktioniert das Verfahren also nur, wenn man sicher sein weiß, mit wem
man kommuniziert.
Zahlentheorie
N
c
b

b
b
+
mod ,
Überprüfen kann die Unterschrift allerdings jeder: Ist das multiplikative
Inverse zu modulo , so ist
"
â
b
â
â
c
"
â

q
B

die Ordnung hat,
Zahlentheorie
ã
b
b
b
¥
ã
f
ã

Þ
ã
¥
¢

¢
E

¢
c
in dieser Gleichung sind die linke wie auch die rechte Seite modulo
öffentlich bekannt, die Gleichung kann also modulo überprüft werden.
Die Unterschrift wird anerkannt, wenn beide Seiten modulo gleich
sind.
¢

mod .
b
Ein Angreifer müßte sich aus verschaffen, müßte also ein diskretes
Logarithmenproblem modulo der großen Primzahl lösen.
"
f
Die öffentlichen Schlüssel der gängigen Zertifizierungsstellen sind in
die Browserprogramme eingebaut; bei weniger bekannten Zertifizierungsstellen wie etwa dem Rechenzentrum der Universität Mannheim
Da der Client nicht sicher sein kann, mit dem richtigen Server verbunden
zu sein, schickt er diesen Schlüssel meist zusammen mit einem Zertifikat,
das sowohl seine Identität als auch seinen RSA-Schlüssel enthält und
von einer Zertifizierungsstelle unterschrieben ist.
Am einfachsten wäre es, wenn der Client einen Schlüssel für ein solches Verfahren wählt und dann diesen mit dem RSA-Schlüssel des Servers verschlüsselt an diesen schickt – vorausgesetzt, er kennt diesen
RSA-Schlüssel. Letzteres ist im allgemeinen nicht der Fall; daher muß
zunächst der Server dem Client seinen Schlüssel mitteilen.
Natürlich ist RSA zu aufwendig, um damit eine längere Kommunikation wie beispielsweise eine secure shell Sitzung zu verschlüsseln;
tatsächlich dient RSA daher nur zur Übertragung eines Schlüssels für
ein konventionelles Kryptoverfahren wie AES, IDEA oder Triple-DES,
auf das sich die Beteiligten unter SSL/TLS ebenfalls einigen müssen.
Wie im Internet üblich, können dazu die verschiedensten Verfahren
benutzt werden; die auf Grundlage von RSA zählen derzeit zu den
populärsten.
SSL steht für secure socket layer, TLS für transport layer security;
Zweck ist jeweils der Aufbau einer sicheren Internetverbindung.
§7: Anwendungen bei SSL/TLS
5706935245733897830597123563958705058989075147599290026879543541
11438162575788886766923577997614661201021829672124236256256184293
Auf ewige Sicherheit kann man mit Verfahren wie RSA ohnehin nicht
hoffen: Als RSA 1977 von MARTIN GARDNER im Scientific American
vorgestellt wurde, bekam er von RIVEST, SHAMIR und ADLEMAN die
129-stellige Zahl
Mit Ausnahme von Verfahren wie dem sogenannten one time pad gibt es
für keines der heute benutzten Kryptoverfahren einen Sicherheitsbeweis,
nicht einmal in dem Sinn, daß man den Aufwand eines Gegners zum
Knacken des Verfahrens in irgendeiner realistischen Weise nach unten
abschätzen könnte. Seriöse Kryptographie außerhalb des Höchstsicherheitsbereichs muß sich daher damit begnügen, daß die Verantwortlichen
für den Einsatz eines Verfahrens und der Wahl seiner Parameter (wie
den Primzahlen bei RSA) darauf achten, auf dem neuesten Stand der
Forschung zu bleiben und ihre Wahl so treffen, daß nicht nur die bekannten Angriffsmethoden versagen, sondern daß auch noch ein recht
beträchtlicher Sicherheitszuschlag für künftige Entwicklungen und für
nicht publizierte Entwicklungen bleibt.
Dieses kurze Kapitel konnte selbstverständlich keine umfassende Übersicht über die Kryptographie oder auch nur die asymmetrische Kryptographie geben: Auch das RSA-Verfahren kann mit anderen Methoden
angegriffen werden als der direkten Faktorisierung des Moduls. Eine
dieser Methoden werden wir im Kapitel über Kettenbrüche kennenlernen, und auch sonst werden im weiteren Verlauf der Vorlesungen noch
gelegentlich Themen aus der Kryptologie angeschnitten werden.
§8: Ausblick
fragt der Browser den Benutzer, ob er das Zertifikat anerkennen will
oder nicht. Bei secure shell schließlich, wo die Gegenseite typischerweise keinerlei Zertifikat vorweisen kann, fragt das Programm beim
ersten Verbindungsaufbau zu einem Server, ob dessen Schlüssel anerkannt werden soll und speichert dann einen sogenannten fingerprint
davon; dieser wird bei späteren Verbindungen zur Identitätsfeststellung
benutzt.
Kap. 2: Anwendungen in der Kryptographie
1
also, da
N
N
ä
32769132993266709549961988190834461413177642967992942539798288533 .
490529510847650949147849619903898133417764638493387843990820577
STEVEN LEVY: crypto: how the rebels beat the government – saving
privacy in the digital age, Penguin Books, 2002
I
(seither bekannt als RSA-129) und eine damit verschlüsselte Nachricht,
für deren Entschlüsselung die drei einen Preis von hundert Dollar ausgesetzt hatten. Sie schätzten, daß eine solche Entschlüsselung etwa vierzig
Quadrillionen (4 1025 ) Jahre dauern würde. (Heute sagt RIVEST, daß
dies auf einem Rechenfehler beruhte.) Tatsächlich wurde der Modul
1994 faktorisiert in einer gemeinsamen Anstrengung von 600 Freiwilligen, deren Computer immer dann, wenn sie nichts besseres zu tun hatten,
daran arbeiteten. Nach acht Monaten war die Faktorisierung gefunden:
Die obige Zahl ist gleich
&
Kap. 2: Anwendungen in der Kryptographie
N
Zahlentheorie
N
N
Mehr über die Geschichte der Kryptographie mit öffentlichen Schlüsseln
ist (mathematikfrei) zu finden in
oder natürlich auch in der hier immer wieder angebotenen KryptologieVorlesung.
BUCHMANN: Einführung in die Kryptographie, Springer, 3 2004
Wer mehr über Kryptographie wissen will, findet einen ersten Überblick
beispielsweise bei
Falls sich sogenannte Quantencomputer realisieren lassen, werden
alle heute bekannten Verfahren der Kryptographie mit öffentlichen
Schlüsseln, egal ob mit diskreten Logarithmen, RSA oder elliptischen
Kurven, unsicher sein. Bislang können Quantencomputer kaum mit acht
Bit rechnen, und nicht alle Experten sind davon überzeugt, daß es je welche geben wird, die mit mehreren Tausend Bit rechnen können.
Auch bei den heute als sicher geltenden symmetrischen Kryptoverfahren
rechnet niemand ernsthaft damit, daß sie noch in hundert Jahren sicher
sind: Diese Verfahren werden üblicherweise so gewählt, daß man auf
eine Sicherheit für etwa dreißig Jahren hoffen kann – sicher kann aber
auch das niemand vorhersagen.
Mit dem Schema = 01 bis = 26 und Zwischenraum gleich 00 war
die Nachricht The Magic Words are Squeamish Ossifrage dann schnell
entschlüsselt.

Õ
=

/
#
"
#
1

"
"
9
"
'
C
"
å
2

1
1
.

1
2

1
æ
.
0 ist

H
und alle reellen
1
prim
Õ
b) Für alle

1 ist ( ) =
å
Satz: a) Für
=

}
G
prim

#
'
}
}
}D
8
1
1
1
.
Beweis: Wir beginnen mit b). Für
= 1 steht hier die triviale Formel
1 1; sei also
2, und seien 1
die sämtlichen Primzahlen
kleiner oder gleich . Nach der Summenformel für die geometrische
Reihe ist
1
1
=
,
1
1
=0
=1
1
Einen Zusammenhang mit Primzahlen liefert der folgende
=
1+
1
1 wohldefiniert.
< -
1
'
Somit ist ( ) für alle
1
8
=1+
=2
=
1+
=1+

Ø
<
'
!
?
!
!
!
?
=
Ø
æéè

c
und das Produkt der rechtsstehenden Reihen über = 1 bis ist wegen
der Eindeutigkeit der Primzerlegung die Summe über alle jene 1
, für
die keinen Primteiler größer
hat. Darunter sind insbesondere alle
, womit b) bewiesen wäre.
E
B
#
#

}
}

2
å
}

}
8
å

#
Die Differenz zwischen ( ) und dem Produkt auf der rechten Seite
von b) ist gleich der Summe über alle 1
, für die mindestens einen
Primteiler größer haben. Diese Summe ist natürlich höchstens gleich
der Summe aller 1
mit
, und die geht wegen der Konvergenz
von ( ) gegen null für
. Damit ist auch a) bewiesen.
#
2

<
å

=
#
'
Als erstes müssen wir uns überlegen, daß diese Reihe konvergiert. Da
alle Summanden positiv sind, müssen wir dafür nur zeigen, daß es eine

#
ç

Õ
.
"

1
#

æ
( )=
1 die unendliche Reihe
"
Dazu betrachten wir für eine reelle Zahl
#
Um nicht ganz auf dem Stand von vor rund zweieinhalb Jahrtausenden stehen zu bleiben, wollen wir uns noch einen zweiten, auf EULER
zurückgehenden Beweis ansehen.
8
Als erstes stellt sich die Frage, wie viele Primzahlen es gibt. Die Antwort
finden wir schon in EUKLIDs Elementen; der dort gegebene Beweis dürfte
immer noch der einfachste sein: Es gibt unendlich viele Primzahlen,
denn gäbe es nur endlich viele Primzahlen 1
, so könnten wir
deren Produkt bilden und die Primzerlegung von + 1 betrachten. Da
durch alle teilbar ist, ist + 1 durch kein teilbar, im Widerspruch
zur Existenz der Primfaktorzerlegung. Somit muß es noch weitere, also
unendlich viele Primzahlen geben.
8
§1: Die Verteilung der Primzahlen
2
<
"
Wie wir aus dem ersten Kapitel wissen, sind Primzahlen die Grundbausteine für die multiplikative Struktur der ganzen Zahlen, und aus
Kapitel zwei wissen wir, daß sie auch wichtige Anwendungen außerhalb der Zahlentheorie haben. Es lohnt sich also auf jeden Fall, sie etwas
genauer zu untersuchen.
8
/

=1
1

Õ
"
Kapitel 3
Primzahlen
N
gemeinsame obere Schranke für alle Teilsummen gibt. Da die Funktion
1
für
0 monoton fallend ist, haben wir für
1
die Abschätzung 1
1 , d.h.
Kap. 3: Primzahlen
d
#
#
9
:
}
#
Zahlentheorie

}
e
Auch daraus folgt, daß es unendlich viele Primzahlen gibt: Gäbe es
nämlich nur endlich viele, so stünde auf der rechten Seite von b) für
jedes hinreichend große das Produkt über die sämtlichen Primzahlen.
Da es nur endlich viele Faktoren hat, wäre es auch für = 1 endlich,
und damit müßte
1
N
<
=
}
'
}
"
}
H
}
G
Õ
Õ
-
/
v

/
"
C
Õ
=
"
C
-
}
êë
8
8
7+
6

êë
}
å

}
"
#
'
"
®
®
®
®
C
,
Õ
9
:
}
}
.
Mit diesen Bemerkungen fängt allerdings die Nützlichkeit der Funktion
( ) für das Verständnis der Funktion ( ) gerade erst an: Ein Jahrhundert nach EULER erkannte RIEMANN, daß die Funktion ( ) ihre wahre
Nützlichkeit für das Studium von ( ) erst zeigt, wenn man sie auch für
komplexe Argumente betrachtet. Jeder, der sich ein bißchen mit Funktionen einer komplexer Veränderlichen auskennt, kann leicht zeigen, daß
( ) auch für komplexe Zahlen mit Realteil größer ein konvergiert: Der
å
Õ
8
æ

=
C

êë
®
#
®
}
'
}
C
}
D
Wie wir bald sehen werden, ist das allerdings eine sehr schwache
Abschätzung.
log log( + 1)
.
log 2
v
®
( )
1
Þ
und damit
®
prim
"
prim
=4
êë
prim
41
Þ
Da log( + 1) für
gegen unendlich geht, muß somit auch die
Summe der inversen Primzahlen divergieren.
1
ì
®
prim
1
1
Þ
+ 1)
6
log(
Zur Abschätzung der rechten Seite beachten wir einfach, daß der Faktoren 1 (1 1 ) für = 2 gleich zwei ist, ansonsten aber kleiner. Somit
ist
1
1
2 ( )
log( + 1)
1
1
=1
1
9
=1

"
1
7+
und damit
8
.
"
= 1 + log
8
1+
1
Zum Beweis fehlt uns nur noch eine Analysis I Übungsaufgabe: Wir
1
wollen uns überlegen, daß für alle 0
)
1 4 .
2 gilt (1
An den Intervallenden stimmen beide Funktionen überein und 1
ist
eine lineare Funktion. Es reicht daher, wenn wir zeigen, daß 1 4 eine
konkave Funktion ist, daß also ihre zweite Ableitung überall im Intervall
positiv ist. Das ist aber klar, denn die ist einfach log(1 4)2 4 . Für jede
Primzahl ist daher
1
1
1
41
"
+ 1) =

log(
2
8
+1

"
Zunächst einmal können wir Teil b) für = 1 zu einer quantitativen Abschätzung bezüglich der Anzahl ( ) der Primzahlen kleiner
oder gleich umformulieren: Wie oben im Konvergenzbeweis für ( )
können wir aus der Monotonie der Funktion
1 folgern, daß für
alle
gilt
2
für alle
1, insbesondere also konvergiert die Summe der inversen
Quadratzahlen. EULER konnte mit seiner Methode zeigen, daß die Summe der inversen Primzahlen divergiert, so daß die Primzahlen zumindest
in diesem Sinne dichter liegen als die Quadratzahlen und alle anderen
Potenzen mit (reellem) Exponenten
1.
'
Verglichen mit dem Beweis aus EUKLIDs Elementen ist EULERs Methode erheblich komplizierter. Um trotzdem ihre Existenzberechtigung
zu haben, sollte sie uns daher auch mehr Informationen liefern. In welchem Maße sie dies tatsächlich leistet, geht wahrscheinlich sogar noch
deutlich über alles hinaus, was EULER seinerzeit träumen konnte.
=
=1
#
kleiner oder gleich dieser Zahl sein, im Widerspruch zur Divergenz der
harmonischen Reihe.
å

=1
<
( )=
1
EULERs Methode erlaubt uns auch, die Dichte der Primzahlen zu vergleichen mit der Dichte beispielsweise der Quadratzahlen: Wie wir oben
gesehen haben, konvergiert
Kap. 3: Primzahlen
Rj
å

}
}

R
i
å

RIEMANNs wesentliche Erkenntnis war, daß sich ( ) fortsetzen läßt
zu einer analytischen Funktion auf der gesamten Menge der komplexen
Zahlen mit Ausnahme der Eins (wo die -Funktion wegen der Divergenz
der harmonischen Reihe keinen endlichen Wert haben kann).
å
GEORG FRIEDRICH BERNHARD RIEMANN (1826-1866)
war Sohn eines lutherischen Pastors und schrieb sich
1946 auf Anraten seines Vaters an der Universität
Göttingen für das Studium der Theologie ein. Schon
bald wechselte an die Philosophische Fakultät, um dort
unter anderem bei GAUSS Mathematikvorlesungen zu
hören. Nach Promotion 1851 und Habilitation 1854 erhielt er dort 1857 einen Lehrstuhl. Trotz seines frühen
Todes initiierte er grundlegende auch noch heute fundamentale Entwicklungen in der Geometrie, der Zahlentheorie und über abelsche Funktionen. Wie sein Nachlaß zeigte, stützte er seine 1859 aufgestellte Vermutung
über die Nullstellen der -Funktion auf umfangreiche
Rechnungen.
#
%$
$C
$
$
%$
#
í
Der Abstand zwei ist schon deutlich häufiger: Zwei ist beispielsweise
der Abstand zwischen drei und fünf, aber auch der zwischen den Primzahlen 10100 + 35737 und 10100 + 35739. Seit langer Zeit wird vermutet,
daß es unendlich viele solcher Primzahlzwillinge gibt; experimentelle
Untersuchungen deuten sogar darauf hin, daß ihre Dichte für Zahlen der
Größenordnung bei ungefähr 1 : (log )2 liegen sollte, aber bislang
konnte noch niemand auch nur beweisen, daß es unendlich viele gibt.
Bei den Primzahlen ist die Situation leider sehr viel unübersichtlicher:
EULER meinte sogar, die Verteilung der Primzahlen sei ein Geheimnis,
das der menschliche Verstand nie erfassen werde. Der kleinstmögliche Abstand zwischen zwei verschiedenen Primzahlen ist offensichtlich
eins, der Abstand zwischen zwei und drei. Er kommt nur an dieser
einen Stelle vor, denn außer der Zwei sind schließlich alle Primzahlen
ungerade.
#
Für Leser, die nicht mit dem Konzept der analytischen Fortsetzung vertraut sind, möchte ich ausdrücklich darauf hinweisen, daß dies selbstverständlich nicht bedeutet, daß die definierende Summe der -Funktion
für reelle Zahlen kleiner eins oder komplexe Zahlen mit Realteil kleiner
oder gleich eins konvergiert: Analytische Fortsetzung besteht darin, daß
eine differenzierbare Funktion (die im Komplexen automatisch beliebig oft differenzierbar ist und um jeden Punkt in eine TAYLOR-Reihe
entwickelt werden kann) via TAYLOR-Reihen über ihren eigentlichen
Definitionsbereich hinweg ausgedehnt wird. Man kann beispielsweise
1
1 gültige
ist. Setzt man = 1 in die für
zeigen, das ( 1) = 12
Reihe ein, erhält man die Summe aller natürlicher Zahlen, die selbst1
verständlich nicht gleich 12
ist, sondern divergiert. Entsprechend hat
( ) Nullstellen bei allen geraden negativen Zahlen, obwohl auch hier
die entsprechenden Reihen divergieren. Diese Nullstellen bezeichnet
man als die sogenannten trivialen Nullstellen der -Funktion, da sie
sich sofort aus einer bei der Konstruktion der analytischen Fortsetzung
zu beweisenden Funktionalgleichung ablesen lassen. Für die Primzahl-
Die Folge der Abstände zwischen zwei aufeinanderfolgenden Quadrat2
zahlen ist einfach die Folge der ungeraden Zahlen, denn ( + 1)2
=
2 + 1. Zwei aufeinanderfolgende Quadratzahlen
haben daher
die Differenz
=2
1.
Wie wir gerade gesehen haben, liegen die Primzahlen zumindest in
einem gewissen Sinne dichter als die Quadratzahlen. Zur Einstimmung
auf das Problem der Primzahlverteilung wollen wir uns kurz mit der
(deutlich einfacheren) Verteilung der Quadratzahlen beschäftigen.
verteilung spielen vor allem die übrigen, die sogennannten nichttrivialen
Nullstellen, eine große Rolle.
Kap. 3: Primzahlen
Imaginärteil des Exponenten führt schließlich nur zu einem Faktor vom
Betrag eins.
Zahlentheorie
R
#
Eine obere Grenze für den Abstand zwischen zwei aufeinanderfolgenden
2
Primzahlen gibt es genauso wenig wie bei den Quadratzahlen: Ist
und 2
, so ist die Zahl ! + durch teilbar und somit keine
Primzahl. Der Abstand zwischen der größten Primzahl kleiner oder
gleich ! + 1 und ihrem Nachfolger ist somit mindestens .
#
#
@
@
#
#
8
@
8
å
#
å
2

:
0
H
9
9
Anzahl der Primzahlen
0
.
Um einen ersten Eindruck von der Verteilung der Primzahlen zu bekommen, betrachten wir den Graphen der Funktion
D#
8
"
"
îðï
R
80000
100000
ñ
60000
40000
"
20000
ç
*
"
)
ñ

"
4
=
ç
D
=
ç

"
Þ
Þ
Þ

*
)
ò ó
"
3
ñ
"
2 ( )
+
log
3
"
2 ( )
+
log
( )
,
log
( )
)
( )
Þ
"
. Wenn wir also
"
2
"
und damit auch ( )
zeigen können
=
Þ
log
=
1
log( )
2
ç
*
=
log
=
log
D
"
( )=
log
log
andererseits ist
log
log
ñ
( )=
Dann ist einerseits
"
"
0
10000
.
4
9592
8000
log
log ,
2
wobei ein Summationsindex hier wie stets in diesem Beweis bedeuten
soll, daß wir über alle Primzahlen mit der jeweils angegebenen Eigenschaft summieren.

Þ
6000
"
( )=
ñ
ç
4000
"
=
2000
0
( )
0, so daß gilt:
"
Beweis: Wir betrachten die neue Funktion
log
2
"
1229
1000
h
1
1
C
800
"
"
600
400
h
C
200
"
Satz: Es gibt Konstanten
"
h
h
0
100
80
10
?
"
60
8
@
40
6
20
4
0
2
2
"
168
0
Auf den ersten Blick sieht diese Funktion fast linear aus.; sieht man
sich allerdings die Zahlenwerte genauer an, so sieht man schnell, daß
( ) etwas langsamer wächst als eine lineare Funktion; die Funktion
log ist eine deutlich bessere Approximation. In der Tat können wir
auch mit unseren sehr elementaren Mitteln eine entsprechende Aussage
beweisen:
}
25
Die Abbildungen auf der vorigen Seite zeigen ihn für die Intervalle von
5. Wie man sieht, werden die Graphen immer
null bis 10 für = 1
glatter, und bei den beiden letzten Bilder könnte man glauben, es handle
sich um den Graphen einer differenzierbaren Funktion; daher auch die
Schreibweise ( ) statt – wie bisher – ( ).
Kap. 3: Primzahlen
R
4
Zahlentheorie
1
"
"
* C
C
"
)
"
"
R
I
h
h
ô
=
( )
"
"
"C
2
"
ç

#
'
#
õ
ö
'

ù
E
ø
=

#
ø
#
E
=
J
E÷
=
ç
J
=
ç
E÷
'

'
#

=
ú
2
B
ù
#
ø
=
ç
ü
#
E
=
=
E
=
'
#
ç
8
E÷
ç

'
ý
E÷
&
û
'

&
=
E
#
ñ
#

E÷
#
<
#
=
"
ñ
"
2
ñ
ñ
2 +1
"
?
ñ
?
"
"
=
=0
v
( ).
2
=
( ).
durch eine
log =
( ),
'
D"
"
"
C
"
"
"
=
v
=
@
'>=
@
'>=
ú
ù
#
#
@
8
?
@
@
?
@
@
?
ç

'
ì<
#
log +
ý
=
ç
ø
#
=
=
?æ
'
û
ç
ç
*

ô
)
ô
'
2
ì

9
:
#
?
ô
ñ
#
( ) =
#
( ),
ô
#
( )+
#
log +
ü
=

log +

log =
'
log
Bevor wir uns der unteren Schranke zuwenden, beweisen wir zunächst
die zweite Aussage. Natürlich ist =
+ (1), also ist
womit die obere Schranke für ( ) bewiesen wäre.
=0
3
( )=
3
?
ô
1
Da
für alle
1 konvergiert, konvergiert die rechts stehende
=1
Summe für
gegen einen endlichen Wert (ungefähr 1,612375), ist
1
also (1), und damit ist
= ( ). Setzen wir dies in die Formel
2
#
4
.
'
ó
"
'
3 2
ñ
3
õ
=2
ñ
ó
4
ö
=2
C#
'
ô
=1
ñ
ô
4
1
?
log
(
1)
=
#
?
log
=
(
1)
8

"
log
=
(
1)
ç
<
:
'
Ù
=
1
6
"
3 2
Die Formel (2 )
( ) = ( ) bleibt gültig, wenn wir
reelle Zahl ersetzen; somit ist
2
Ú
=
=
2
2
2
log
#
#
ô
log
(
1)
( )=
(2 )
Zur weiteren Abschätzung ersetzen wir die Summe über alle Primzahlen
kleiner oder gleich durch die Summe aller natürlicher Zahlen bis
und beachten, daß für alle reellen Zahlen
2 gilt
.

1)
ç
(
õ

=
'
'
2
ö
=
1
6

ø
1
õ
#
2
'
2
C
stets entweder null oder eins; speziell für die
2 ist
= 0 und 2 = 1. Somit ist
#
1
ö

( )=
'
ø
1
=
õ
ù
1
ø
ö

=
#
#
õ
ù
1
ù
#
'
7
(2 )

ö
nach der Summenformel für die geometrische Reihe:
ø
#
#
2
ù
#
#
ô
1
'
2
ù
= 2 log 2 +
2 log +
( ).
#
mit
log = 2 log 2
#
2
log +
#
Hier ist 2
Primzahlen
ç
2
7
2
2
log =
#
ô
=
(log ) ,
log
( ).
#
log
(
1)
+
#
1 liefern dabei nur einen kleinen Beitrag:
Damit ist
=
log .
ø
1
log +
#
ô
2
'
#
log
õ
ô
Die Summanden mit
ö
#
log =
#
ù
log ! =
log
#
deren Beweis für Leser, die ihn noch nicht kennen, im Anhang zu diesem Paragraphen skizziert ist. Kombinieren wir dies mit der gerade
bewiesenen Formel, ist also
log ! =
#
und
#
1

#
ô
=
ç
teilbar,
=
'
durch
sind
#
#
von !. Unter den natürlichen Zahlen bis
durch 2 , usw.; daher ist
2
ø
Dies können wir vergleichen mit der STIRLINGschen Formel
log ! =
ô
!=
#
für log ! ein, erhalten wir nach allen bislang bewiesenen Abschätzungen, daß
#
Zum Beweis der ersten Aussage betrachten wir die Primzerlegung
3
ù
ô
dann folgt die Behauptung des Satzes.
h
1
C
(1),
0, so daß
ñ
3
h
1
Kap. 3: Primzahlen
R
1. Es gibt Konstanten
log
2.
= log +
Zahlentheorie
N
#
ô

#
'

ô
#
è
E÷

ô
ñ
R
R
#
log
#
#
=
= log +
ô
"
#
ç

'
#
ô
=
SC
C
S
S
"
ô
ç
Þ
Þ
ó þ
2
h
:
9
S
S
2
h
þ
S
"
2
=
ç
Þ
ó þ
Þ
ñ
;<
Þ
h
C
"
=
S
=
ç
ó þ
Þ
.
"
8
S
þ
ç
ó þ
"
Þ
8
S
Þ
ñ
"
S
"C
( )
h
C
h
&
"
C
&
log
1
0 92 und
z
"
"
"
"
"
2
1 105 .
1896 schließlich zeigten der französische Mathematiker JACQUES SALOMON HADAMARD (1865–1963) und sein belgischer Kollege CHARLES
JEAN GUSTAVE NICOLAS BARON DE LA VALLÉE POUSSIN (1866–1962)
unabhängig voneinander die Aussage, die heute als Primzahlsatz bekannt ist:
( )
.
log
2
"
log
h
1
"
mit
1852 bewies er dann ein deutlich schärferes Resultat: Für hinreichend
große Werte von ist
existiert, dann muß er den Wert eins haben.
"
h
"

"
Dies bedeutet nun freilich nicht, daß damit die Formeln von GAUSS und
von LEGENDRE überflüssig wären: Die Tatsache, daß der Quotient zweier
"
einer Zusammenstellung im Lexikonformat von interessanten Tatsachen
und auch bloßen Kuriosa aus dem Umkreis der Primzahlen.
DAVID WELLS: Prime Numbers – The Most Mysterious Figures in
Math, Wiley, 2005,
( )
log
"
z
Der bewiesene Satz ist nur ein schwacher Abglanz dessen, was über die
Funktion ( ) bekannt ist. Zum Abschluß des Kapitels seien kurz einige der wichtigsten bekannten und vermuteten Eigenschaften von ( )
zusammengestellt. Diese knappe Übersicht folgt im wesentlichen dem
Artikel Primzahlsatz aus
lim
"
Somit ist 10
( ), womit auch die untere Schranke aus der ersten
Behauptung bewiesen wäre und damit der gesamte Satz.
.
( )
"
log
z
und ist dann
log
1
"
und für solche Werte von
"
Über ein halbes Jahrhundert später gab es den ersten Beweis einer Aussage: PAFNUTIJ L’VOVIČ ČEBYŠĒV (1821–1894), in der Numerik meist
bekannt in der Schreibweise Tschebytscheff, zeigte 1851: Falls
10 ,
log
"
10
S
0 gegen
geht, ist für hinreichend kleine Werte
für irgendein
2 beispielsweise
Da log 1 für
von und
abhängt.
"
(1) nicht von
ô
wobei der Fehlerterm
ô
(1) ,
"
+
1
(1) = log
"
+
z
log
"
1 ist daher
log
= log
-
2
Þ
log
ÿ
Auch LEGENDRE versuchte, ( ) anhand experimenteller Daten anzunähern. Er stellte dazu eine Liste aller Primzahlen bis 400 000 zusammen, das sind immerhin 33 860 Stück, und suchte eine glatte Kurve,
die den Graphen von möglichst gut annähert. In seinem 1798 erschienenen Buch Essai sur la théorie des nombres gab er sein Ergebnis an
als
.
( )
log
1 08366
def
Li( ) =
/
Für 0
( )
ÿ
die natürlich auch dann gilt, wenn wir durch eine reelle Zahl ersetzen:
Der Term (1) schluckt alle dabei auftretenden zusätzlichen Fehler.
(1) ,
"
GAUSS kam 1792, im Alter von 15 Jahren also, durch seine Experimente
zur Vermutung, daß ( ) ungefähr gleich dem sogenannten Integrallogarithmus von sein sollte:
Kap. 3: Primzahlen
R
denn wie wir gerade gesehen haben ist ( ) = ( ). Kürzen wir die
obige Formel durch , erhalten wir die gewünschte Aussage
Zahlentheorie
d
R
e
;<
Þ
"
îG
"
"
"
"
;<
Þ
îG
"
"
;<
Þ
;<
"
"
Þ
"
"

"
"

"
"
"
"
B
=
für alle
aus dem Intervall [
+1
E
"
"
'
'
'
"
#
=
)
)
"
/
%5
"
"
*

-
'+
Ü
"
E
5
B
B
#
'+
'
#
-
5
5
B
'+
/
%5

'
)

.
( )
( )
"
-
"
#
=
E
5
B
"
"
*
"
å
,
Satz (EULERsche Summenformel): Für eine differenzierbare Funktion :
, deren Definitionsbereich das Intervall [1 ] umfaßt,
1
womit man die Summe der ( ) berechnen kann:
#
( )
2
5
( )+
+ 1).
1 liefert
'
=2
B
B
1
E
1
B
#
(1)
+
2
=
5
( )
5
( )
5
1
2
=
+1
"
= 1 bis
+1
E
( + 1) + ( )
2
+1
E
=
"
( )
5
( )
1
2)
E
"
Addition aller solcher Gleichungen von
1
2
Partielle Integration führt auf die Gleichung
ist somit

Zahl
"
"
/
"
"
"

log ) .

def
Für eine reelle Zahl bezeichnen wir weiterhin mit [ ] die größte ganze
Zahl kleiner oder gleich ; außerdem führen wir noch die Bezeichnung
=
[ ] ein für den gebrochenen Anteil von . Für eine ganze
Die EULERsche Summenformel erlaubt es, eine endliche Summe auf ein
Integral zurückzuführen und dadurch in vielen Fällen erst rechnerisch
handhabbar zu machen. Wir betrachten eine reellwertige differenzierbare Funktion , deren Definitionsbereich das Intervall [1 ] enthält.

"
/
ô
(
· ¸¹
E
"
( ) = Li( ) +
¶·
5
"
/
Wenn wir genaue Aussagen über ( ) machen wollen, sollten wir also
etwas über die Differenz Li( )
( ) wissen. Hier kommen wir in das
Reich der offenen Fragen, und nach derzeitigem Verständnis hängt alles
ab von der oben erwähnten RIEMANNschen Zetafunktion. Nach einer
berühmten Vermutung von RIEMANN haben alle nichttrivialen Nullstellen von ( ) den Realteil ein halb. Falls dies stimmt, ist
º
"
5
172
1 231
9 588
78 534
665 138
5 769 341
50 917 519
º »
B
103
104
105
106
107
108
109
»
"
"
Li( )
178
1 246
9 630
78 628
664 918
5 762 209
50 849 235
» ¼
"
E
1 08366
¾
"
B
log
B
( )
log
log
1
168
145
169
1 229
1 086
1 218
9 592
8 686
9 512
78 489
72 382
78 030
664 579
620 420
661 459
5 761 455 5 428 681 5 740 304
50 847 478 48 254 942 50 701 542
· ¼
#
Wie DE LA VALLÉE POUSSIN zeigte, liefert der Wert = 1 unter allen
reellen Zahlen die beste Approximation an ( ), aber Li( ) liefert eine
noch bessere Approximation. Für kleine Werte von sieht man das auch
in der folgenden Tabelle, in der alle reellen Zahlen zur nächsten ganzen
Zahl gerundet sind. Wie kaum anders zu erwarten, liefert LEGENDREs
Formel für 104 und 105 die besten Werte:
Á
Li( ) .
Â
und
¶
Anhang: Die Eulersche Summenformel und die Stirlingsche Formel
º
log
Ä
¿
( )
Die RIEMANNsche Vermutung ist eines der wichtigsten ungelösten Probleme der heutigen Mathematik; sie war 1900 eines der HILBERTschen
Probleme und ist auch eines der sieben Millennium problems, für deren
Lösung das CLAY Mathematics Institute in Cambridge, Mass. 2000 einen
Preis von jeweils einer Million Dollar ausgesetzt hat; für Einzelheiten
.
siehe
Kap. 3: Primzahlen
º
( )
Offensichtlich ist für jedes
log
log
lim
=1
lim
= lim
(log
)
log
log
und es ist auch nicht schwer zu zeigen, daß
log
lim
=1
Li( )
ist. Nach dem Primzahlsatz ist daher auch für jedes
= 1,
Funktionen asymptotisch gleich eins ist, erlaubt schließlich immer noch
beträchtliche Unterschiede zwischen den beiden Funktionen: Nur der
relative Fehler muß gegen null gehen.
Zahlentheorie
d j
î9
5
"
"
"
"
'
i
5
5
-
=
1
-
1
1
2
"
%5
'
5
( )
.
/

/
5
B
"
*
"
#
"
"
E
"
"
'
/

#
#
/
'
-
#

"
"
'
'
"

#
"
"
"

"
'

#
1
/
"
1
2
.
"
/
"
#
"
"
"
#
"
B
"
E
"
Ù
B
B
+
Ú
"
"
"
1 2
2
2
)
"
D
B
D
)
B
+
1
2
1 2
2
1
4
=
2
(2 + 1)2
1
ist der Integrand monoton fallend, d.h.
"
+
)
2
"
*
1 2
2
"
+
2

-
0
"
2
/
.
1
,
2 2
"
0

1
2
-
1
,
4 2
1
4
=1
2
1
( ),
Das klassische Verfahren zur Bestimmung aller Primzahlen unterhalb
einer bestimmten Schranke geht zurück auf ERATOSTHENES im dritten
vorchristlichen Jahrhundert. Es funktioniert folgendermaßen:
§2: Das Sieb des Eratosthenes
Eins ist nach Definition keine Primzahl – für griechische Mathematiker
wie EUKLID war die Eins nicht einmal eine Zahl. Also streichen wir die
Eins durch. Die Zwei ist prim, aber ihre echten Vielfachen sind natürlich
keine Primzahlen, werden also durchgestrichen. Dazu müssen wir nicht
von jeder Zahl nachprüfen, ob sie durch zwei teilbar ist, sondern wir
streichen einfach nach der Zwei jede zweite Zahl aus der Liste durch.
Um alle Primzahlen kleiner oder gleich einer Zahl zu finden, schreibe
man zunächst die Zahlen von Eins bis in eine Reihe.
}
Im Intervall von 0 bis
B
1
2
2
"
+
"
+
B
1
2
2
/
+
E
/
"
0
/
=
0
}
=
#
1
2
#
1
2
#
+
+
#
#
1
2
#
die wir im Beweis des Satzes über ( ) verwendet haben.
log +
#
1
2
#
log ! =
ô
=
=1
1
4 2
#
1
2
1
0
für das störende Integral aus der obigen Formel. Da die Summe rechts
konvergiert, konvergiert auch das Integral für
gegen einen
Grenzwert . Somit ist
log
+ + 1 + (1) ,
1) +
log ! = (log
2
also folgt insbesondere die Abschätzung
1
2
#
1
2
2
_
+1
D
+
"
log
2
-
1
"
1) + 1 +
0
'

:
In dieser Formel stört noch das rechte Integral; dieses können wir wie
folgt abschätzen: Für eine natürliche Zahl ist
5
9
= (log
D

D"
1
E
1
/
E
1
2
#
=
+
B
B
log
2
"
2
+
"
1)
B
= (log
"
'+
1
)
B
1
/
*
E
+
log
+
"
<
=
log ! =

D"
1
2
-
0
2
"
1 2
2
2
B
log
+
2
=
1
2
denn wir können das Integral abschätzen durch das Produkt aus der
Länge des Integrationsintervalls und dem Minimum des Integranden.
Summation von = 1 bis
1 schließlich gibt die Abschätzung
0
1
2
Kap. 3: Primzahlen
/
=1
'
)
( )
+1
E
(1) + ( )
+
+
2
und damit ist

( )=
Zahlentheorie
Für die Abschätzung von ! interessiert uns speziell der Fall, daß
( ) = log der natürliche Logarithmus ist; hier wird die EULERsche
Summenformel zu
ist
d
d
B
D
B
*
"
*
Zahlentheorie
}
8
so können wir ERATOSTHENES auf dieses Intervall fast genauso anwen]:
den wie gerade eben auf das Intervall [1
,
Trotzdem kann uns ERATOSTHENES helfen, zumindest zu zeigen, daß gewissen Zahlen nicht prim sind: Wenn wir Primzahlen in einem Intervall
] suchen, d.h. also Primzahlen mit
[
8
Wir gehen aus von einer Liste 1
der ersten Primzahlen; dabei
wählen wir so, daß die Chancen auf nicht durch teilbare Zahlen im
Intervall [
] noch einigermaßen realistisch sind, d.h. wir gehen bis zu
einer Primzahl , die ungefähr in der Größenordnung der Intervallänge
liegt.

c
"
"
Û
p

"
?
p
"
"
p
Û
"
p
Û Û "
"
8
"
Dazu berechnen wir für jedes den Divisionsrest = mod . Dann
ist
durch teilbar, liegt allerdings nicht im Intervall [
]. Die
erste Zahl, die wir streichen müssen, ist also
+ , und von da
an streichen wir einfach, ohne noch einmal dividieren zu müssen, wie
gehabt jede -te Zahl durch.
Nun können wir mit jeder der Primzahlen sieben wie im klassischen
Fall; wir müssen nur wissen, wo wir anfangen sollen.

?
?
c
?
c
?
?
?
?
c
?
Was nach Durchgängen noch übrig bleibt, sind genau die Zahlen
aus [
], die durch keine der Primzahlen teilbar sind. Sie können
zwar noch größere Primteiler haben, aber wichtig ist, daß wir mit minimalem Aufwand für den Großteil aller Zahlen aus [
] gesehen haben,
daß sie keine Primzahlen sind. Für den Rest brauchen wir andere Verfahren, aber die sind allesamt erheblich aufwendiger als ERATOSTHENES,
so daß sich diese erste Reduktion auf jeden Fall lohnt.
Für das Sieb des ERATOSTHENES, angewandt auf die Zahlen von eins
ERATOSTHENES (Ερατοσθένες) wurde 276 v.Chr. in
Cyrene im heutigen Lybien geboren, wo er zunächst
von Schülern des Stoikers ZENO ausgebildet wurde. Danach studierte er noch einige Jahre in Athen, bis ihn 245
der Pharao PTOLEMAIOS III als Tutor seines Sohns nach
Alexandrien holte. 240 wurde er dort Bibliothekar der
berühmten Bibliothek im Museion.
Heute ist er außer durch sein Sieb vor allem durch seine Bestimmung des Erdumfangs bekannt. Er berechnete aber auch die Abstände der Erde von Sonne und
Mond und entwickelte einen Kalender, der Schaltjahre
enthielt. 194 starb er in Alexandrien, nach einigen Überlieferungen, indem er sich, nachdem er blind geworden
war, zu Tode hungerte.
"
}
Wie lange müssen wir dieses Verfahren durchführen? Wenn eine Zahl
Produkt zweier echt kleinerer Faktoren
ist, können und nicht
beide größer sein als
: Sonst wäre schließlich =
größer als .
kleiner oder gleich
, so daß
Also ist einer der beiden Teiler
mindestens einen Teiler hat, dessen Quadrat kleiner oder gleich ist. Damit ist eine zusammengesetzte Zahl durch mindestens eine Primzahl
teilbar mit 2
.
2
Genauso geht es weiter mit der Fünf usw.; nach jedem Durchgang durch
die Liste muß offenbar die erste noch nicht durchgestrichene Zahl eine
Primzahl sein, denn alle Vielfache von kleineren Primzahlen sind bereits
durchgestrichen, und wenn eine Zahl überhaupt einen echten Teiler hat,
dann ist sie natürlich auch durch eine echt kleinere Primzahl teilbar.
}
Damit lassen sich leicht von Hand alle Primzahlen bis hundert finden, mit
etwas Fleiß auch die bis Tausend, aber sicher nicht die hundertstelligen.
8
Auch die echten Vielfachen der Drei sind keine Primzahlen, werden also
durchgestrichen. Auch dazu streichen wir wieder einfach jede dritte Zahl
aus der Liste durch, unabhängig davon, ob sie bereits durchgestrichen ist
oder nicht. (Alle durch sechs teilbaren Zahlen sind offensichtlich schon
durchgestrichen.)
}
bis heißt das, daß wir aufhören können, sobald die erste nichtdurchgestrichene Zahl ein Quadrat 2
hat; dann können wir sicher
bereits einen kleineren
sein, daß jede zusammengesetzte Zahl
Primteiler als hat und somit bereits durchgestrichen ist. Die noch nicht
durchgestrichenen Zahlen in der Liste sind also Primzahlen.
Kap. 3: Primzahlen
1
Die erste nichtdurchgestrichene Zahl der Liste ist dann die Drei. Sie
muß eine Primzahl sein, denn hätte sie einen von eins verschiedenen
kleineren Teiler, könnte das nur die Zwei sein, und alle Vielfachen von
zwei (außer der Zwei selbst) sind bereits durchgestrichen.
d
d
?
c
I

+
n
+
8
8

&
r
r
w

v
+
r
+
#
'+

@
?
?
o

#
'+
?

?
#
o

+ ?

?
+ ?
?
#

r
?
1 kann dies aber nicht für alle zu primen der Fall sein,
Für
denn beispielsweise ist ( + 1)
1 mod 2 , so daß nicht gleichzeitig
1
2
( + 1)
1 mod
sein kann, denn die beiden Potenzen unterscheiden sich um den Faktor + 1 1 mod 2 . Daher muß = 1 sein,
#
?

2
?

eine Primzahl ist,
1 mod . So ist
#

o
1
1
. Falls
)
in (
Beweis: Die Primzerlegung von sei =
=1
1
gleich eins ist, gilt auch
1 mod
für jedes . Andererseits
wissen wir, daß die Ordnung von in
die Gruppenordnung
1
( )=
(
1) teilt, außerdem muß sie
1 teilen. Damit kann
1
sie auf keinen Fall ein Teiler von
sein, denn das ist ein Teiler
von . Also muß sie ein Teiler von
1 sein.
?

Umgekehrt können wir leider nicht folgern, daß
wenn für ein
mit 1
1 gilt
Lemma: Eine CARMICHAEL-Zahl ist ein Produkt von mindestens drei
paarweise verschiedenen Primzahlen ; für jede davon ist
1 ein
Teiler von
1.
?
Damit war gezeigt, daß 20 keine Primzahl ist. (Die anscheinend etwas
weltabgewandt lebenden Autoren meinten, dies sei die aufwendigste bis
dahin produzierte 1-Bit-Information.)
ROBERT DANIEL CARMICHAEL (1879–1967) war ein amerikanischer Mathematiker, der
unter anderem Bücher über die Relativitätstheorie, über Zahlentheorie, über Analysis und
über Gruppentheorie veröffentlichte. Ab 1915 lehrte er an der University of Illinois. Er
zeigte 1910, daß 561 die gerade definierte Eigenschaft hat und publizierte auch später
noch eine Reihe von Arbeiten über solche Zahlen.
#
JEFF YOUNG, DUNCAN A. BUELL: The Twentieth Fermat Number is
Composite, Math. Comp. 50 (1988), 261–263.
Nachrechnen zeigt, daß dies nicht der Fall ist, allerdings ist das Nach”
rechnen“ bei dieser 315 653-stelligen Zahl natürlich keine Übungsaufgabe für Taschenrechner: 1988 brauchte eine Cray X-MP dazu 82 Stunden,
der damals schnellste Supercomputer Cray-2 immerhin noch zehn; siehe
.
8
20
8
'+
1 mod
#
heißt CARMICHAEL-Zahl, wenn
Definition: Eine natürliche Zahl
sie keine Primzahl ist, aber trotzdem für jede natürliche Zahl mit
1
ggT(
) = 1 gilt:
1 mod .
#
1) 2
20

3(
'+
also
20

#
#
= 1 mod
#
1

2
20
#
3
20
'+
Keine Kopfrechenaufgabe ist die Frage, ob 20 = 22 + 1 eine Primzahl
ist. Falls ja, wäre nach dem kleinen Satz von FERMAT insbesondere
Dieses Ergebnis hätten wir natürlich auch durch Probedivisionen leicht
gefunden: Da 129 die Quersumme 12 hat, ist die Zahl durch drei teilbar;
ihre Primzerlegung ist 129 = 3 43.
#
Bei großen Zahlen mit nur wenigen Primfaktoren ist die Chance, ein
solches zu erwischen, recht klein; wenn dies die einzigen Gegenbeispiele sind, wird uns der FERMAT-Test also fast immer in die Irre führen.
also hat die Zwei in ( 129) die Ordnung 14. Da 14 kein Teiler von 128
ist, kann 2128 mod 129 nicht eins sein. (Wegen 128
2 mod 14 ist
2128 22 = 4 mod 129.) Somit ist 129 keine Primzahl.
w
1 mod 129 ,
#
27 = 128
#
Beispiel: Ist = 129 eine Primzahl? Falls ja, ist nach dem kleinen Satz
von FERMAT 2128 1 mod 129. Tatsächlich ist aber
1 mod ,
8
1
1 gilt
w
Es kann nicht vorkommen, daß für eine zusammengesetzte Zahl und
1
alle 1
gilt
1 mod , denn ist ein Primteiler von ,
1
durch teilbar,
so ist für jedes Vielfache von natürlich auch
kann also nicht kongruent eins modulo des Vielfachen von sein.
)
1 kann die Gleichung also nicht
Zumindest für die mit ggT(
erfüllt sein.
Falls für eine natürliche Zahl 1
kann keine Primzahl sein.
&
Nach dem kleinen Satz von FERMAT gilt für jede Primzahl und jede
1
nicht durch teilbare Zahl die Formel
1 mod . Im Umkehrschluß folgt sofort:

beispielsweise 18322 1 mod 323, aber 323 = 17 19 ist zusammengesetzt. Immerhin gibt es nicht viele
323 mit 322 1 mod 323: Die
einzigen Möglichkeiten sind = 1 und = 18.
Kap. 3: Primzahlen
d
§3: Fermat-Test und Fermat-Zahlen
d
Zahlentheorie
N
J
?
?
?

?
?
?

+
J
?

+
C
C
H
G

o
R
o
?
?
#
b
#
Dc
b
b
b
#
a
b
b
b
&
8
a
â
â
#
55
123
+
+
&
+
+
&
z
8
a
â
~
~
â
~
~
262
102000
8 6 10
68
10600
1 7 10
27
397
103000
3 8 10
82
10700
1 8 10
10200
3 85 10
â
â
#
Selbst wenn wir noch mit 1024-Bit-Moduln arbeiten und somit etwa
155-stellige Primzahlen brauchen, liegt also die Fehlerwahrscheinlichkeit bei nur etwa 10 15 ; falls man sie erniedrigen möchte, testet man
einfach mit mehreren zufällig gewählten Basen und hat dann etwa bei
zwei verschiedenen Basen eine Wahrscheinlichkeit von höchsten etwa 10 30 , daß beide Tests das falsche Ergebnis liefern. Dies sollte für
die meisten Anwendungen genügen: Die Bundesnetzagentur empfiehlt
bei probabilistischen Primzahltests eine Irrtumswahrscheinlichkeit von
höchsten 2 80 8 27 10 25 zuzulassen, die hier deutlich unterschritten
wäre. Ab etwa zweihundertstelligen Primzahlen reicht sogar bereits ein
einziger FERMAT-Test.
(Sie geben natürlich auch eine allgemeine Formel an, jedoch ist diese
zu grausam zum Abtippen.)
101000
1 2 10
&
+
&
z
â
â
&
â
#
â
â
â
â
â &
+
+
&
Einige Leute reden bei Zahlen, die einen FERMAT-Test bestanden haben, von wahrscheinlichen Primzahlen“. Das ist natürlich Unsinn: Eine
”
Zahl ist entweder sicher prim oder sicher zusammengesetzt; für Wahrscheinlichkeiten gibt es hier keinen Spielraum. Besser ist der ebenfalls
gelegentlich zu hörende Ausdruck industrial grade primes“, also In”
”
dustrieprimzahlen“, der ausdrücken soll, daß wir zwar nicht bewiesen
haben, daß die Zahl wirklich prim ist, daß sie aber für (manche) indu”
strielle Anwendungen“ gut genug ist.
+
"
"
v
"
SU HEE KIM, CARL POMERANCE: The probability that a Random
Probable Prime is Composite, Math. Comp. 53 (1989), 721–741
z
+
Für große Zahlen wird es zunehmend unwahrscheinlich, daß sie auch
nur für ein den FERMAT-Test bestehen, ohne Primzahl zu sein. Rechnungen von
+
gibt es unendlich viele. Konkret zeigen sie, daß die Anzahl der
CARMICHAEL-Zahlen kleiner oder gleich für große Zahlen mindestens gleich 2 7 ist. Die tatsächliche Anzahl dürfte wohl deutlich
größer sein, ist aber immer noch sehr viel kleiner als die der Primzahlen.
a
8
W.R. ALFORD, ANDREW GRANVILLE, CARL POMERANCE: There are
infinitely many Carmichael numbers, Ann. Math, 140 (1994), 703–722
z
&
&
Eine größte CARMICHAEL-Zahl gibt es nicht, denn nach
&
Natürlich muß nicht jede CARMICHAEL-Zahl von dieser Form sein; die
kleinste CARMICHAEL-Zahl beispielsweise ist 561 = 3 11 17 und hat
keinen einzigen Primfaktor kongruent eins modulo sechs.
+
&
&
1 = 1296 3 + 396 2 + 36 = 36 (36 2 + 11 + 1)
für = 6. Hier ist
offensichtlich durch 6 12 und 18 teilbar, ist also eine CARMICHAELZahl.
+
109
+
73
8
&
&
für = 1 oder 294409 = 37
+
+
19
+
+
13
z
+
1729 = 7
&
&
109
+
10900
1 0 10
+
96
&
10800
5 4 10
&
&
10500
2 3 10
23
+
10180
2 76 10
+
42
10400
5 7 10
&
&
29
19
10160
1 81 10
8
10100
2 77 10
+
10300
5 8 10
15
6
1090
1 70 10
&
10140
1 08 10
5
1080
8 46 10
+
Als Beispiel können wir ein Produkt = (6 + 1)(12 + 1)(18 + 1) mit
drei primen Faktoren betrachten, z.B.
12
3
1070
2 87 10
10120
5 28 10
2
1060
7 16 10
&
sowohl durch
1 als auch durch
1 teilbar sein, also müßten
1 und
1 durcheinander teilbar sein, d.h. = , was wir bereits
ausgeschlossen haben.
1)
?
1) + (
geben folgende obere Schranke für die Wahrscheinlichkeit , daß eine
zufällig gewählte Zahl der angegebenen Größenordnung den FERMATTest mit einem vorgegebenen besteht und trotzdem keine Primzahl
ist:
1=(
=
1 ein
Kap. 3: Primzahlen
a
1=
3 ist. Wäre
1 gibt, ist
Schließlich müssen wir uns noch überlegen, daß
nur das Produkt zweier Primzahlen, müßte
) Elemente der Ordnung
Zahlentheorie
d
und da es in (
Teiler von
1.
d
d
e
Zahlentheorie

+
n
v

¬
+
b

o
o

o
o
C

#
#
#
#
#

+
n
+

+
v

+
"
v
v
mod .
r
r
.
31
Für 5 = 232 + 1 = 429 4967 297 müssen wir 2 mod 5 berechnen,
brauchen also schon 31 Quadrierungen. Für = 2 erhalten wir wieder die
nutzlose Eins, für = 3 aber das Ergebnis 10 324 303, das sich offenbar
'
"

+
g
"
+
f
sein, und
3
1 mod
=
mod
1 mod

Wenn eine Primzahl ist, muß offensichtlich
wenn dies gilt, ist auch ( 1) 1 mod .
n
1) 3
v
(
r
=
1) 2
gibt mit
Für 4 = 216 + 1 = 65 537 ist (
1) 2 = 215 , wir müssen also
15
ein finden, so daß 2
1 mod 4 ist. Für = 2 bekommen wir
nach 15 Quadrierungen das nutzlose Ergebnis eins, für = 3 aber die
gewünschte 1. Damit ist 4 als Primzahl erkannt – was auch FERMAT
wußte.
2(
ist genau dann eine Primzahl, wenn es ein
'
und
Lemma:
Für 0 = 3 1 = 5 2 = 17 sieht man das mit bloßem Auge und
mit auch 3 = 129 gibt es keine nennenswerten Schwierigkeiten. Für
größere Werte von können wir den obigen Test anwenden; da 2 der
einzige Primteiler von
1 ist, wird er hier einfach einfach zur
folgenden Aussage:
r
mod
= 22 + 1 ,
bei denen der Exponent eine Zweierpotenz ist. Sie heißen FERMATZahlen, weil FERMAT zwischen 1630 und 1640 in mehreren Briefen,
unter anderem an PASCAL und an MERSENNE, die Vermutung äußerte,
diese Zahlen seien allesamt prim.
r
2
f
r
=
#
mod
c
r
1) 3
c
r
'

(
Û
r
+
=
c
v
mod , sodann
p
r
=
g
'

ist. Dazu berechnen wir am besten zunächst
"
r
1 mod

1) 6

(
Û
1) 3
(
2
r
und
c

1 mod

'
1) 2
(

1 mod
2

1
1 = 244 nur 2 und 3 als Primteiler, wir müssen also eine
Hier hat
Zahl finden, so daß

= 24 + 1 = 331 777 .
g
4
Bei kleinen Zahlen geraden Zahlen mit wenigen Primfaktoren gibt es
gelegentlich Chancen, daß + 1 eine Primzahl ist, allerdings kommt
auch das nur selten vor. Ein Beispiel wäre etwa

Wie sieht es aus mit den Zahlen 2 +1? Falls
1 eine ungerade Zahl ist,
muß diese Zahl durch drei teilbar sein, denn 2
2
1 mod 3. Auch
wenn nur durch eine ungerade Zahl
1 teilbar ist, kann 2 + 1 nicht
( 1)
1 mod 2 + 1 ,
prim sein, denn ist = , so ist 2 = (2 )
so daß 2 + 1 ein nichttrivialer Teiler ist. Die einzigen Kandidaten für
Primzahlen sind daher die Zahlen
Die einfachsten Kandidaten für sind natürlich Primzahlpotenzen =
; für eine ungerade Primzahl ist allerdings + 1 gerade und somit
keine Primzahl. Auf den Fall = 2 werden wir gleich zurückkommen.
"
Der Nachteil dieses Satzes ist natürlich, daß wir alle Primteiler von
1
kennen müssen; wenn wir Primzahlen mit mehreren hundert Dezimalstellen suchen, ist das meist keine sehr realistische Annahme. Für Zahlen
spezieller Bauart kann dieser Test jedoch sehr nützlich sein: Wenn wir
von einer Zahl mit wenigen, uns bekannten Primteilern ausgehen, läßt
sich so testen, ob + 1 eine Primzahl ist.
"
Beweis: Offensichtlich muß dann die Ordnung von in (
) gleich
1 sein. Wie wir aus Kapitel 1, 7 wissen, hat (
) die Ordnung ( ), und für jede zusammengesetzte Zahl folgt aus der dort
1 ist. Also muß prim
angegebenen Formel leicht, daß ( )
sein.
1
zwar
1 mod , aber für
1 mod , so ist eine Primzahl.
Für = 2 erhalten wir = 92553 = 239223 und = 1; das beweist
nichts. Für = 3 ist sogar bereits = 1, aber für = 5 wird = 92554,
= 92553 und = 331776
1 mod . Dies beweist, daß eine
Primzahl ist.
Kap. 3: Primzahlen
f
Satz: Ist für zwei natürliche Zahlen
1 ( 1)
jeden Primteiler von
Zumindest grundsätzlich läßt sich der FERMAT-Test allerdings auch ausbauen zu einem echten Primtest:
d
ej
r
r

+
e
i
r
r
w
r
r
&
'+
Û

'
r
'

22
1
+1
mod
2
22 = (
2 )2
Auch wenn er nie etwas darüber publiziert hat, hätte er auch beweisen
können und bewies vielleicht auch, daß sein Kofaktor = 6 700 417
ebenfalls eine Primzahl ist: Da jeder Primteiler von insbesondere
1 mod 128 sein, und wenn es einen echten Teiler
auch 5 teilt, muß
gibt, gibt es auch einen der kleiner ist als
2588 5. Es gibt nur
zwanzig Zahlen der Form 128 + 1 unterhalb von
, und nur fünf
davon sind prim: Neben den bereits bekannten Kandidaten 257 und 641
sind das noch 769, 1153 und 1409. Fünf einfache Divisionen mit Rest
zeigen, daß durch keine dieser Zahlen teilbar ist; somit haben wir
bewiesen, daß auch prim sein muß.
B

'
'

'
'
'

b
B

b
b
r
B

'
r
B
Die Suche nach FERMAT-Primzahlen sowie nach Faktoren von FERMATZahlen beschäftigt auch heute noch eine ganze Reihe von Mathematikern; die jeweils neuesten Ergebnisse sind zum Beispiel auf den Webseiten von
zu finden. Unter anderem ist bewiesen,
daß
für 5
32 sowie viele andere Werte von zusammengesetzt ist; oft sind auch zumindest einige Faktoren bekannt. FERMATsche
4 wurden bislang keine gefunden, allerdings ist
Primzahlen mit
z
¶
·À
¿
»
r
kongruent eins mo-
&
Mit dieser Verschärfung seines Lemmas hätte sich EULER auf Primzahlen der Form 128 + 1 beschränken können und hätte bereits im zweiten
Anlauf (nach einem vergeblichen Versuch mit 257) seinen Faktor gefunden.
b
von
.
(2 )2 =
f
3 ist jeder Primteiler
= (2 )
ein Quadrat in
+2
2=2
f
&
Lemma: Für
dulo 2 +2 .
+1
p b
Tatsächlich aber machte er sich trotzdem zuviel Arbeit, denn wie der
französische Mathematiker EDOUARD LUCAS (1842–1891) fand, gilt
sogar
)
b
Somit wußte EULER, daß jeder Primteiler von 5 die Form = 64 + 1
haben muß; Primzahlen dieser Form gibt es nur 209 unterhalb von 215 ,
was das Problem schon viel handhabbarer erscheinen läßt. Dazu kam,
daß er Glück hatte: Schon für = 10 bekam er einen Teiler. Nach 193,
257, 449 und 577 ist 641 bereits die fünfte Primzahl dieser Form!
¯
f
Beweis: Aus 22
1 mod
folgt insbesondere, daß 22
1 mod
+1
ist, also 22
1 mod . Die Ordnung der Zwei in
ist somit ein
Teiler von 2 +1 , also eine Zweierpotenz. Wäre diese kleiner als 2 +1 ,
wäre sie ein Teiler von 2 , so daß 22
+1 mod sein müßte. Somit
ist 2 +1 die genaue Ordnung. Diese muß aber nach dem Satz von LA+1
1, was
teilt
GRANGE ein Teiler der Gruppenordnung sein, d.h. 2
die Behauptung beweist.
*

f
&
.
1
¯
= 22 + 1 + 22
"
+1
2

Û
p
ist kongruent eins modulo 2
+1
¯
haben wir zunächst eine Zahl gefunden mit 2 2 mod , wobei
= 2 1 + 1 eine ungerade Zahl ist. Mit dem erweiterten EUKLIDischen
finden mit +2 = 1.
Algorithmus können wir daher ganze Zahlen
Damit ist auch
1
von

'
'
Lemma: Jeder Primteiler

r
r
Stattdessen benutzte EULER den kleinen Satz von FERMAT, um zunächst
Aussagen über mögliche Teiler von FERMAT-Zahlen zu bekommen. Er
fand

22
'
"
Der erste, der dies erkannte, war EULER, den GOLDBACH in Sankt Petersburg auf FERMATs Vermutung aufmerksam machte. Nachdem EULERs
Beweisversuche erfolglos blieben, fand er 1732 schließlich die Faktorisierung 5 = 641 6 700 417. Obwohl EULER viel rechnete, fand er diese
Faktorisierung natürlich nicht durch systematisches Ausprobieren aller
Primzahlen bis zur Quadratwurzel von 5 : dafür hätte er im schlimmsten
Fall immerhin durch 6542 Primzahlen dividieren müssen!

Beweis: Wir gehen genauso vor wie EULER, suchen aber ein Element
von
, dessen Ordnung 2 +2 ist. Ein solches Element haben wir gefunden, wenn wir in
ein finden mit 2 = 2. Wegen der Beziehung
Kap. 3: Primzahlen
e
auch modulo 5 deutlich von 1 unterscheidet. Somit ist 5 keine
Primzahl und FERMATs obige Vermutung ist widerlegt. Sie ist übrigens
die einzige seiner vielen Vermutungen, die sich als falsch erwies.
Zahlentheorie
#
Â
Á
¾ ¼
¿
8
#
2
8
#
»½¼
»
'
r
'
D#
'
e
r
r
r
r
r
r
²
'
Û

+
#

w
MICHAEL O. RABIN wurde 1931 in Breslau geboren.
Die Familie wanderte nach Israel aus, wo er an der
hebräischen Universität von Jerusalem Mathematik studierte. Nach seinem Diplom 1953 ging er nach Princeton, wo er 1957 promovierte. Seit 1958 lehrt er an der
hebräischen Universität, wo er unter anderem auch Dekan der mathematischen Fakultät und Rektor war. Seit
1983 ist er zusätzlich Inhaber des THOMAS J. WATSONLehrstuhls für Informatik an der Harvard University.
Seine Forschungen, für die er u.a. 1976 den TURING-
µ
'
Û
Û

Schritt 1
: Falls
1 mod , endet der Algorithmus
und wir können nicht ausschließen, daß prim ist. Falls = 1 ist (was
GARY L. MILLER entwickelte diesen Test 1975 im Rahmen seiner Dissertation (in Informatik) an der Universität von Berkeley. Dabei ging es ihm nicht um einen
probabilistischen Test, sondern um einen Test, der immer die richtige Antwort liefert. Er konnte zeigen, daß
dies hier beim Test von hinreichend vielen geeigneten
Basen der Fall ist vorausgesetzt die bis heute immer
noch offene verallgemeinerte RIEMANN-Vermutung ist
richtig. Er lehrte später zunächst einige Jahre an der
University of Waterloo, inzwischen an der Carnegie
Mellon University. Seine späteren Arbeiten stammen
hauptsächlich aus dem Gebiet der rechnerischen Geometrie.
Schritt 0: Wähle ein zufälliges , schreibe
1 = 2
mit einer
ungeraden Zahl und berechne =
mod . Falls dies gleich Eins
ist, endet der Algorithmus und wir konnten nicht zeigen, daß eine
zusammengesetzte Zahl ist; sie kann prim sein.
Hätten wir allerdings mit = 87 gearbeitet, hätten wir im nullten Schritt
87123 1 mod 247 berechnet und hätten 247 = 13 19 nicht als zusammengesetzt erkannt.
²
² Algorithmisch funktioniert der Test also folgendermaßen:
Beispiel: Ist 247 eine Primzahl? Wir wählen = 77, und da 77246 mod
247 = 1 ist, können wir mit FERMAT nicht ausschließen, daß 247 prim ist.
Da aber 77123 mod 247 = 77 ist, sagt uns der Algorithmus von MILLER
und RABIN im zweiten Schritt, wenn wir 772 1 mod 247 betrachten,
daß die Zahl zusammengesetzt sein muß.
#

Andernfalls quadrieren wir das Ergebnis bis zu -mal modulo . Falls
dabei nie eine Eins erscheint, folgt nach FERMAT, daß zusammengesetzt ist. Falls vor der ersten Eins eine von 1 (bzw.
1) verschiedene
Zahl erscheint, folgt das auch, denn im Körper
hat die Eins nur die
beiden Quadratwurzeln 1. In allen anderen Fällen erfahren wir nicht
mehr als bei FERMAT.
@
&
Der Test von MILLER und RABIN ist eine etwas strengere Version des
Tests von FERMAT: Um zu testen, ob eine Primzahl sein kann, schreiben wir
1 zunächst als Produkt 2 einer Zweierpotenz und einer
ungeraden Zahl; sodann berechnen wir
mod . Falls wir das Ergeb1
nis eins erhalten, ist erst recht
1 mod , und wir können nicht
folgern, daß zusammengesetzt ist.
Schritt + 1: Der Algorithmus endet mit dem Ergebnis, daß zusammengesetzt ist.
§4: Der Test von Miller und Rabin
Der oben angegebene Beweis von LUCAS zeigt übrigens auch, warum
wir beim Primzahltest für 4 mit der Basis zwei keinen Erfolg hatten: Da
2 modulo 4 ein Quadrat ist, muß die Potenz mit Exponent ( 4 1) 2
gleich eins sein, denn sie ist schließlich die ( 4 1)-te Potenz der
Wurzel aus 2. Aus diesem Grund auch wurde bei der Überprüfung
von 20 nicht mit = 2 gearbeitet, obwohl dies rechnerisch sehr viel
effizienter gewesen wäre. Wie wir im Kapitel über quadratische Reste
sehen werden, konnten sich die Autoren vor Beginn ihrer Rechnung
leicht davon überzeugen, daß drei modulo 20 keine Quadratzahl ist, so
daß es hier die Chancen auf eine eindeutige Entscheidung gab.
frühestens im zweiten Schritt der Fall sein kann), ist zusammengesetzt
und der Algorithmus endet. Andernfalls wird durch 2 mod ersetzt
und es geht weiter mit Schritt + 1.
Kap. 3: Primzahlen
e
auch noch nicht bewiesen, daß es unendlich viele FERMAT-Zahlen gibt,
die keine Primzahlen sind.
Zahlentheorie
1

8
#
@
@
8
e
I
´
²
È²
°
²
Æ
Der amerikanische Mathematiker JOHN L. SELFRIDGE
promovierte 1958 an der University of California in Los
Angelos. Bis zu seiner Emeritierung lehrte er an der
Northern Illinois University. Seine Arbeiten befassen
sich vor allem mit der analytischen sowie der konstruktiven Zahlentheorie. Vierzehn davon schrieb er mit PAUL
} S.
ERDO
Anscheinend wurde der Test von MILLER und RABIN bereits 1974, also
vor MILLERs Veröffentlichung, von SELFRIDGE verwendet; daher sieht
man gelegentlich auch die korrektere Bezeichnung Test von MILLER,
RABIN und SELFRIDGE.
°±
´
°
°
²
² ² µ
°±
NITIN SAXENA wurde 1981 geboren. Er erhielt 2002 seinen Bachelor of Technology und 2006 seinen PhD bei
MANINDRA AGRAWAL am Indian Institute of Technology in Kanpur. Während der Arbeit an seiner Dissertation über die Anwendung von Ringhomomorphismen
auf Fragen der Komplexitätstheorie besuchte er jeweils
ein Jahr lang die Universitäten Princeton und Singapur.
Derzeit arbeitet er als Postdoc in der Gruppe Quantum
Computing and Advanced Systems Research am Centrum voor Wiskunde en Informatica in Amsterdam. Sein
Interesse gilt für algorithmischen Verfahren der Algebra
und Zahlentheorie sowie Fragen der Komplexitätstheorie.
!
Selbstverständlich war dies nicht der erste Primzahltest, der deutlich
schneller als Probedivisionen zeigt, ob eine gegebene Zahl prim ist oder
nicht; es ist auch bei weitem nicht der schnellste solche Test. Er hat aber
gegenüber anderen solchen Tests zwei Besonderheiten:
1. Zu seinem Verständnis ist – nach einigen in der letzten Zeit gefundenen Vereinfachungen –nur elementare Zahlentheorie notwendig.
2. Es ist der bislang einzige Test, von dem man beweisen kann, daß
seine Laufzeit für -stellige Zahlen durch ein Polynom in begrenzt
werden kann.
MANINDRA AGRAWAL, NEERAJ KAYAL, NITIN SAXENA: PRIMES
is in , Annals of Mathematics 160 (2004), 781-793.
Im August 2002 stellten MANINDRA AGRAWAL, NEERAJ KAYAL und
NITIN SAXENA, zwei Bachelor-Studenten am Indian Institute of Technology in Kanpur und ihr Professor, einen Primzahltest vor, der ebenfalls
auf dem kleinen Satz von FERMAT beruht, aber (natürlich auf Kosten eines erheblich größeren Aufwands) immer die richtige Antwort liefert;
er ist inzwischen erschienen in
NEERAJ KAYAL wurde 1979 geboren. Er erhielt 2002
seinen BTech und 2006 seinen PhD bei MANINDRA
AGRAWAL am Indian Institute of Technology in Kanpur. Derzeit arbeitet er am Institute for Advances Study in Princeton, wo er bereits im akademischen Jahr
2003/2004 als visiting student research collaborator
war. Neuere Arbeiten beschäftigen sich mit der Komplexität des Isomorphieproblems bei endlichen Ringen
sowie der Lösbarkeit von bivariaten Polynomgleichungen über endlichen Körpern.
§5: Der Test von Agrawal, Kayal und Saxena
MANINDRA AGRAWAL erhielt 1986 seinen BTech und
1991 seinen PhD in Informatik am Indian Institute of
Technology in Kanpur, wo er –abgesehen von Gastaufenthalten in Madras, Ulm, Princeton und Singapur –
seither als Professor lehrt. Seine Arbeiten befassen sich
hauptsächlich mit der Komplexität von Schaltungen und
von Algorithmen. Für die Arbeit mit KAYAL und SAXENA erhielt er gemeinsam mit diesen unter anderem den
GÖDEL-Preis 2006 für die besten Zeitschriftenveröffentlichung auf dem Gebiet der Theoretischen Informatik.
Kap. 3: Primzahlen
e
Preis erhielt, beschäftigen sich mit der Komplexität mathematischer Operationen und der
Sicherheit von Informationssystemen. Seine home page in Harvard ist zu finden unter
Zahlentheorie
N
µ
²
°
°±
Für uns ist vor allem der erste Punkt wichtig; der zweite ist zwar ein für
Komplexitätstheoretiker sehr interessantes Ergebnis, hat aber keinerlei
#
#
R
e

#
#
#
#
E
#
o
#

#
#
Konkret geht ihr Algorithmus folgendermaßen vor:
H
2
#
#
G
'
'
keine Potenz einer anderen natürlichen
#
#
#
}
?
o
?
'+
7
6
'+
#
@
=
?
'
'
'
o
#
7
#
'
6
2. Schritt: Finde die kleinste natürliche Zahl
) 1 ist oder aber ggT(
daß entweder ggT(
1 mit der Eigenschaft,
) = 1 ist und mod
Das läßt sich beispielsweise dadurch bewerkstelligen, daß man die Quadratwurzel, Kubikwurzel usw. von soweit ausrechnet bis man erkennt,
daß es sich um keine natürliche Zahl handelt. Der ungünstigste Fall ist
offenbar der, daß eine Zweierpotenz sein könnte; man muß also bis
zur [log2 ]-ten Wurzel gehen.
1. Schritt: Stelle sicher, daß
Zahl ist.
sei die zu testende natürliche Zahl und ( ) = [log2 ] + 1 die Anzahl
ihrer Binärziffern.
#
#
#
8
@
#
Für eine Primzahl gilt nach dem kleinen Satz von FERMAT in
die
Gleichung
= . Außerdem ist für 1
1 der Binomialkoeffizient
(
1) (
+ 1)
=
!
q
q
×
.
'

#
=1
)
#
1
#
+
'
+
*

+ ) =
'
C
(
)
'
)
c
Beweis: Nach dem binomischen Lehrsatz ist
*
Cq
+ .
E
E +
*
#
+ ) =
'+
#
(

1 sei eine natürliche Zahl und
sei dazu teilerfremd.
Satz:
ist genau dann prim, wenn im Polynomring über
gilt:
In dieser Form führt der Satz allerdings noch nicht zu einem praktikablen Primzahltest: Das Ausmultiplizieren von ( + ) führt schließlich
auf + 1 Summanden, der Aufwand ist also proportional zu und damit vergleichbar damit, daß wir für jede natürliche Zahl 1
nachprüfen, ob ohne Rest durch
teilbar ist. Die wesentliche neue
Idee von AGRAWAL, KAYAL und SAXENA besteht darin zu zeigen, daß
es bereits reicht, Gleichungen der im Satz genannten Art modulo einem
geeigneten Polynom
1 mit einem relativ kleinen Grad nachzuprüfen.
Die Grundidee des Algorithmus steckt im folgenden
E
'
Im folgenden wird es daher nur um eine mathematische Betrachtung des
Algorithmus von AGRAWAL, KAYAL und SAXENA gehen; für einen (kurzen und elementaren) Beweis der Komplexitätsaussage sei beispielsweise
auf das zitierte Buch von SHOUP verwiesen.
#
q
(2256 liegt knapp über 1077 ; derzeitige Schätzungen für die Anzahl der
Nukleonen im Universum liegen bei etwa 1080 . Damit ist klar, daß
kein Computer, der mit irgendeiner Art von heute üblicher Technologie
arbeitet, je eine solche Zahl speichern kann, geschweige denn damit
rechnen.)
o
Umgekehrt sei eine zusammengesetzte Zahl und ein Primteiler
von . Genauer sei
=
mit einer zu teilerfremden Zahl .
Dann ist der Zähler von
genau durch
teilbar, denn die Faktoren
(
1)
(
+ 1) sind allesamt teilerfremd zu , und der Nenner
1
teilbar, nicht
ist genau durch teilbar. Somit ist
zwar durch
aber durch
und damit erst recht nicht durch . Wenn wir ( + )
über
ausmultiplizieren, kann daher der Summand
nicht
verschwinden, und damit kann die Gleichung aus dem Satz nicht gelten.
#
dem dieser Paragraph im wesentlichen folgt, argumentiert SHOUP, daß
alternative Algorithmen, so man sich auf Zahlen von weniger als 2256 Bit
beschränkt, durch eine vergleichbare Schranke abgeschätzt werden
können, und natürlich sind die Zahlen, mit denen wir es üblicherweise zu tun haben, deutlich kleiner. In der Praxis sind die alternativen
Algorithmen deutlich schneller.
VICTOR SHOUP: A computational Introduction to Number Theory
and Algebra, Cambridge University Press, 2005,
#
durch teilbar, da Faktor des Zählers, nicht aber des Nenners ist.
Somit verschwinden in
alle diese Binomialkoeffizienten, und die
Gleichung aus dem Satz ist bewiesen.
Kap. 3: Primzahlen
e
praktische Bedeutung: Im Buch
Zahlentheorie
d
c
#
2
8
#
c
c
# 2
c
# @
#
&
&
&
@
#
@
e
e

) eine größere Ordnung als 4 ( )2 hat.
#
c
#
×
o
c
#
×

o
c
prim und der Algorithmus endet.
c
# #
#
c
In der Tat: Dann haben wir für alle
)=1
überprüft, daß ggT(
ist. Wenn der Algorithmus etwas taugt, darf er natürlich höchstens für
sehr kleine Werte von mit diesem Schritt enden.
3. Schritt: Falls
#
cC
#
#
c
×
8
8
#
×
#
×
'
c
#
1) in
[ ].
#
o
c

'
+ )
#
'
#
'
'

#
1

'
o
#
'
8
8
c

.
:

B
Y
#
) mod (
E
9
9
¢
¢

¢
E
#
die Variable
(

die in jedem Polynom
[ ]
,
ersetzt.
E
überall durch
1)
Um diese seltsame Relation genauer zu untersuchen, betrachten wir für
jede zu teilerfremde natürliche Zahl die Abbildung
falls
+

+ ) =
[ ].
1) übergehen, ist dort also
(
[ ] (
1) in

Wenn wir zum Faktorring
+ mod (
'
(
Jede Kongruenz modulo ist erst recht eine Kongruenz modulo ; wir
können daher davon ausgehen, daß für alle mit 1
gilt

×
Nach den Kommentaren zu den einzelnen Schritten ist klar, daß der
Algorithmus für eine Primzahl stets das richtige Ergebnis liefert; wir
müssen zeigen, daß er auch zusammengesetzte Zahlen stets erkennt.
'
c
8
Dies zu beweisen ist die Hauptarbeit dieses Paragraphen.
c
8
eine
n
6. Schritt: Wenn alle Tests im fünften Schritt bestanden sind, ist
Primzahl.
×
Falls nämlich eine Primzahl ist, stimmen ( + ) und
+ als
Polynome mit Koeffizienten aus
nach obigem Satz überein, sind
also erst recht auch gleich modulo (
1).
Sobald ein gefunden wird, für das dies nicht erfüllt ist, endet der
Algorithmus mit dem Ergebnis ist zusammengesetzt.
'
+ mod (
# 1) .
+ )
Wir nehmen an, das sei nicht der Fall, und betrachten einen Primteiler
von . Dieser muß größer als sein, denn sonst hätte der Algorithmus
bereits mit dem vierten Schritt spätestens bei = geendet.
(
+ mod (
und

+ )
#
1
c
(
c
] + 1, ob über
#
o
= 2 ( )[
c
#
def
#
5. Schritt: Teste für = 1
#
gefunden.
cC
Für den Rest des Paragraphen können wir somit annehmen, daß der
zweite Schritt auf ein führte, für das ggT(
) = 1 ist. Wir müssen
zeigen, daß einer der Tests im fünften Schritt scheitert, daß es also eine
natürliche Zahl gibt mit
#
Denn dann haben wir einen Teiler von
Das aus dem zweiten Schritt ist auf jeden Fall echt kleiner als ,
.
denn als zusammengesetzte Zahl hat insbesondere einen Teiler
Der Algorithmus kann daher nicht im dritten Schritt mit der Antwort
ist prim“ enden. Falls er im vierten Schritt endet, lieferte der zweite
”
Schritt einen Teiler von , und wir erhalten die richtige Antwort
ist
”
zusammengesetzt“.
#
4. Schritt: Falls im zweiten Schritt ein gefunden wurde, für das der
ggT von und größer als eins ist, muß zusammengesetzt sein und
der Algorithmus endet.
#
#
= , ist
Dies geschieht einfach dadurch, daß man die Zahlen = 2 3
allesamt durchprobiert, bis zum ersten mal eine der beiden Bedingungen
erfüllt ist. Die Bedingung über die Ordnung der Restklasse von in
(
) prüft man nach, indem man nacheinander ihre Potenzen ausrechnet, bis man entweder eine Eins gefunden hat oder aber der Exponent
größer als 4 ( )2 ist.
#
Sei also eine zusammengesetzte Zahl. Falls Potenz einer anderen
natürlichen Zahl ist, wird dies im ersten Schritt erkannt; wir können und
werden im folgenden daher annehmen, daß dies nicht der Fall ist.
Kap. 3: Primzahlen
ij
in (
Zahlentheorie
j
ij
i

Y
E
c
B
Y
%B
E
E

E
E
£

G
¢
E
¢
£
£
c

B
¢

¢
E
E
¢
Y
E

Y
E

E
¢
c
o
B
5
E

( )=
E
5

Y
!
( )=
G
B
E
¢
£

%B
B
5
G
ersetzt.
+ . Für
für alle
für alle
(
)
( )=
und
erfüllt
E
£
5
E
E
£
E
E
¢
)
G
5
5
5
E
¢

E
Y
Y
Y
E
Y
E
E
( )=
5
E
E
E
B
5

5
Y
¢

E
E
) .
=
5
c
#
5
E
E
5
5
¢
5
¢
#
c
¢
Y
Y
E
Y
E
¢
E
G
¢
,
Der Rest des Beweises besteht darin, daß wir die Größe“ der Men”
ge ( ) auf zwei verschiedene Weisen abschätzen und daraus einen
Widerspruch herleiten zur Annahme, daß zusammengesetzt ist, aber
trotzdem vom Algorithmus als Primzahl klassifiziert wird. Wir definieren zunächst zwei neue Zahlen:
sei die Ordnung der Restklasse von in (
) . Dann ist ein
Teiler von
1, denn
1 mod .
sei die Ordnung der von den Restklassen von und erzeug) , d.h also die Ordnung der kleinsten
ten Untergruppe von (
=(
( )
E
( )
Y
)=
5
(
Y
( ) ist
5
)=
Y
und für
*
( ) =
E
( )=
5
( )
E
( )=
(
Beide Mengen enthalten mit zwei Elementen auch deren Produkt, denn
für zwei Elemente
( ) ist
"5
E

Y
¢
Y

¢
Da alle Vielfachen von
1 im Kern von
liegen, definiert
eine
Abbildung von nach , die jedem Polynom mod (
1) aus
das Element ( ) zuordnet; nach dem gerade bewiesenen Lemma hängt
dieses wirklich nur von der Restklasse mod (
1) ab. Außerdem
zeigt das Lemma, daß sowohl surjektiv als auch injektiv ist, denn der
Kern von
ist gleich dem Kern der Restklassenabbildung von [ ]
nach . Damit ist
ein bijektiver Homomorphismus von nach ,
ein sogenannter Automorphismus von . Wir haben damit für jede zu
teilerfremde natürliche Zahl einen Automorphismus :
, der
jedem Polynom in das entsprechende Polynom in
zuordnet. Da
)
Y
E
1 sein, und genau
(
( )=
( )=
"5
E
In [ ] muß ( ) daher ein Vielfaches von
das war die Behauptung über den Kern von .
+ ) ,
+ ) =
Wir wollen genauer untersuchen, wann die Gleichung
ist. Dazu definieren zwei Arten von Mengen:
!
B
1 = 0.
+ )=(
(
durch
5
ist dort
5
G
= 1 in
G
denn wegen
E
o
) = 0,

1) (
E
c
)=(
denn für diese wurde ja nach unserer Annahme der Test im fünften
Schritt bestanden.
E
Y
)= (
Y
5

( )= (
×
5
Umgekehrt sei irgendein Polynom aus dem Kern von . Dann ist
das Polynom ( ) = ( ) modulo
1 gleich dem Nullpolynom,
ist also ein Vielfaches von
1. Konkret sei = (
1) . Im
Faktorring ist dann
1).
(

1 mod (
%B
E
da
E
Y
E
1 = 0,
E
1) = 1
1) mod (
Y
1) = (
Y
E
(
E
1 und alle
Y
Was ihren Kern betrifft, so enthält er auf jeden Fall
seine Vielfachen, denn
Y
E
ist
Y
E
Speziell für das Element
+ aus
=1
ist andererseits auch
E
denn in allen drei Fällen wird im Endeffekt
,
E
E
die Abbildung ist also surjektiv.
=
E
)= ( )= ,
Y
=
Unmittelbar aus der Definition folgt, daß die verschiedenen Automormiteinander kommutieren; genauer ist
phismen
)= (
1
( )= (

Beweis: Wir betrachten
nur für Indizes , die zu teilerfremd sind.
Zu jedem solchen Index gibt es daher ein , so daß
1 mod ist,
und modulo
1 ist damit
. Für ein beliebiges Polynom
[ ] und ( ) = (
) ist daher in

wir in
rechnen, werden natürlich alle Polynome modulo
betrachtet.
Kap. 3: Primzahlen
ij
Lemma:
ist surjektiv und sein Kern besteht genau aus den Vielfachen des Polynoms
1.
Zahlentheorie

E
Y

Y
E
Y
Y
c
o

Y
¢
E
E

E
o
c
#
#
c

9
E
E

B
â

)
%B

definieren, für die also
höchstens gleich [ ]
]
als (sehr grobe) obere
Û #

#
%B
c
B

B
5
#
c
%B

G
5

$
c
$
å

E
5
9
( )=
5
( )=
#
und
Nun sei
ein Element von ( ). Nach Definition der Mengen
( ) und ( ) ist dann auch ein Element von ( ). Außerdem enthält
( ) stets die Eins und nach dem kleinen Satz von FERMAT auch die
Primzahl , denn Potenzieren mit ist über ein Homomorphismus. Da
mit zwei Elementen stets auch deren Produkt in ( ) liegt, liegen daher
die Restklassen modulo aller Elemente von in ( ). Insbesondere
sind daher und Elemente von ( ), d.h.
0
Y
E
Y
5

G
5
5
U
ò
ã
#
Y
5
G
E
c
#
B
%B

B
5
E
B
c
å

¢
9
¢

å
U
Wegen
mod ist aber
dieselbe Abbildung wie
; daher ist
=
für jedes
( ). Somit sind die Bilder ( ) aller
Nullstellen des Polynoms
. Dessen Grad ist das Maximum
von und , und da ( ) im Körper liegt, gibt es höchstens so viele
Nullstellen, wie der Grad angibt. Aufgrund der obigen Abschätzung für
und hat das Polynom daher höchstens 2[ ] Nullstellen, und damit
kann auch nicht mehr Elemente enthalten.
E
E
U
#
*
)
(
U
$
9
#
E
E
5
5
5
#
¢
U
ò
ã
#
*

)
(
#
U
#
Beweis: Wir gehen davon aus, daß weder eine Primzahl noch eine
Primzahlpotenz ist; daher gibt es außer dem Primteiler noch mindestens einen weiteren Primteiler . Wenn wir (in ) Potenzen der Form
und
mit
0 betrachten, sind diese daher genau
)=(
) ist: Ist nämlich = , so tritt in
dann gleich, wenn (
der Primzerlegung der beiden Elemente mit verschiedenen Exponenten
auf, und ist = , aber = , so gilt entsprechendes für . Daher hat
die Menge
=
0
[ ]
% Û
ã
Elemente.
0
]
â
p
5
2[
#
o
p
E
( ) hat höchstens
c
5
$
5
U
%B
(
%B
B
b
G
% p
% p
% Û
% Û
Û #
Ø
p )
1 Elemente.
ã Ü
% p
n
p
p
Û % Û
Û
q
(
Beweis: Wegen der bestandenen Tests in Schritt 5 liegt ( + ) in ( )
für = 1
. Da
ist, sind die Zahlen von 1 bis
enthält mindestens 2min(
(
erhalten wir
Lemma:
Als untere Grenze für die Elementanzahl von
E
=
=
#
aus geben, die dieselbe Restklasse in (
gilt:
mod . Da die Exponenten
sind und ein Teiler von ist, können wir
Schranke für und nehmen.
und
%
Y
Lemma:
B
=
%B

5
Da (
1) =
1 verschwindet, induziert einen Ringhomomorphismus :
. Die angekündigten Abschätzungen der Größe“
”
von ( ) beziehen sich auf die Mächtigkeit der Menge =
( ) :
â
5
.
â
ò
( )
#
â
[ ]
Elemente, und diese Zahl ist offensichtlich größer
:
*
o
Nun war aber definiert als die Ordnung der Untergruppe von (
) ,
die von den Restklassen von und von erzeugt wird; daher muß es
mindestens zwei Elemente
2
c
Aus Kapitel 1 wissen wir, daß die multiplikative Gruppe jedes endlichen
Körpers zyklisch ist;
ist also eine zyklische Gruppe der Ordnung
1. Diese Zahl ist, wie wir gerade gesehen haben, ein Vielfaches
(mindestens) ein Element der Ordnung .
von ; somit gibt es in
Für irgendein solches Element definieren wir einen Homomorphismus
)
]+1
mindestens [
als .
Kap. 3: Primzahlen
ij

Als nächstes betrachten wir einen Körper
mit
Elementen. Einen
solchen Körper kann man konstruieren, indem man den Vektorraum
identifiziert mit dem Vektorraum aller Polynome vom Grad kleiner mit
Koeffizienten aus
und dort eine Multiplikation einführt, die zwei Polynomen deren Produkt modulo einem festen irreduziblen Polynom vom
zuordnet. Man kann zeigen (siehe Algebra-Vorlesung
Grad über
oder entsprechendes Lehrbuch), daß es für jedes ein solches Polynom
gibt, und daß zwei verschiedene irreduzible Polynome vom Grad zu
isomorphen Körpern führen.
ij

Untergruppe, die beide Restklassen enthält. Da diese Untergruppe
insbesondere die Restklasse von und deren Potenzen enthält, ist
ein Vielfaches von .
Zahlentheorie
1
#
q
U
H
Dâ
2
2
c
×
#
H
0
% Û
n
Û
"â
8
p
8
Û #
!
ij
I
G
J
¥

q
$
J

&
c
$

'
!
G
5
å
!
5
å
!
å

!
!
'
G
&
5
!
5
&
(
*
!
#
#
!
#
&
¥
å
!
å
!
&
)
U
!
£
¢
( )[
#
£
¢
å
£
å
¢
å
£
å
¢
â
#
â
#
×
)
*
#
2
2
â
)
â
â
&
¢
*
£
#
B
å
E
#
&
å
£
¢
*
B
)
E
E
B
E
£
*
U
)
*
)
£
E
å
£
å
&
U
*
)
¢
&
¢
]
.
Damit ist die Korrektheit des Algorithmus vollständig bewiesen.
#
&
&
c
â
¢
c
U
B
E
å
£
E
*
E
U
)
E
E
)
£
*
U
U
E
å
¢
&
&
¢
å
å
£
#
c
â
¢
£
¢
¢
â
¥
£
(
$
£
¢
Zum Abschluß des Beweises, daß der Test von AGRAWAL, KAYAL und
SAXENA stets die richtige Antwort liefert, müssen wir nun nur noch
22
×
Da in die Ordnung hat, hängt nur von mod ab; die Anzahl
verschiedener Restklassen der Form
modulo hatten wir oben
mit bezeichnet. Somit hat die Differenz
mindestens Nullstellen.
Andererseits sind aber und und damit auch ihre Differenz Polynome
vom Grad höchstens
1, also muß
das Nullpolynom sein, d.h.
= . Somit enthält mindestens 2
1 Elemente, wie behauptet.
1

Die Ungleichung
2 ( )[ ] ist sicherlich dann erfüllt, wenn sogar
2 ( )
ist, und dies wiederum ist äquivalent zur Ungleichung
4 ( )2 . Nun ist aber die Ordnung jener Untergruppe von (
) ,
die von den Restklassen von und erzeugt wird. Da wir im zweiten
Schritt des Algorithmus sichergestellt haben, daß dort allein die Ordnung
der Restklasse von schon größer ist als 4 ( )2 , ist auch die Ungleichung
für trivial.
×
( ).
c
)
o
) = (
(
×

)
#
Für = 2 ( )[ ] + 1 ist das klar, da die Ordnung einer Untergruppe
von (
) bezeichnet und damit auf jeden Fall kleiner als ist.
×
c
(
â 2
=
â
( )
×
×
( )
2
#
=
#
#
×
( )
×
â
â
( )
2
â
( ) =
#
â
0= ( )
Da ( ) = ( ), gilt für jedes solche
ã Ü
c
Wie im vorigen Lemma folgt, da 1 und alle drei sowohl in
( )
als auch in
( ) liegen, daß alle natürlichen Zahlen der Form
=
in diesen beiden Mengen liegen.
)
â
Da beide Exponenten natürliche Zahlen sind, genügt dazu wiederum,
daß min( )
2 ( )[ ] ist, denn wenn sich die Exponenten um
mindestens eins unterscheiden, ist die Differenz zwischen den Potenzen
mindestens zwei. Wir müssen daher zeigen, daß sowohl als auch
größer sind als 2 ( )[ ].
2min(
×
Falls dies nicht der Fall wäre, müßte es in zwei verschiedene Polynome
und geben, für die ( ) = ( ) wäre. Wir müssen also zeigen, daß
( ) = ( ) nur dann gelten kann, wenn = ist.
.
Da sowohl als auch in ( ) liegen und mit zwei Elementen auch
deren Produkt, liegt ( ) in ( ) und damit
( ) = ( ) in .
Das Lemma ist daher bewiesen, sobald wir gezeigt haben, daß ( )
1 Elemente enthält.
mindestens 2
]
Ø
.
×
2
( )
ã Ü
'
( )=
Ø
und
#
log2 , genügt es zu zeigen, daß
2[
#
Beweis: Da ( )
1
2
ã
( )
Ø
)
ã
ò
( )=
Lemma: 2min(
zeigen, daß die Schranken aus den beiden letzten Lemmata, die ja unter
der Voraussetzung bewiesen wurde, daß eine zusammengesetzte Zahl als
prim erkannt wird, einander widersprechen, daß also die untere Schranke
größer ist als die obere:
ò
machen,
Aus diesen Polynomen können wir Elemente von bzw.
indem wir für die Variable die Restklasse = mod (
1) bzw.
das oben gewählte Element der Ordnung einsetzen; wir erhalten
Teilmengen
1 Polynome.
=
=1
C
[ ] enthält daher 2
0 1 und
%
von
+ )

(

=1
¥
=
paarweise verschieden. Die Teilmenge
Kap. 3: Primzahlen
ij
auch modulo
Zahlentheorie
N
o
c
|
67
1 mod
67 .
»½¼
º
»
º
¶·
· ¸¹
|
n

(+
¶
Â
3++, .
,*
,- .
*+
,2/.
++
,1, .
,
º0
,,.
*
,-/.
º *+
Ä
)
À
¸
» ¼
º
»
º
»
¶·
· ¸¹
|
~
Der Auftritt von COLE schlug selbst außerhalb der Mathematik so große
Wellen, daß seine Faktorisierung noch fast ein Jahrhundert später vorkommt in einer New Yorker (off-Broadway) Show von RINNE GROFF
mit dem Titel The five hysterical girls theorem. Dort bringt sich ein
junger Mathematiker um, weil er in einem Beweis von der Primzahl
267 1 ausgeht und die Tochter des Professors die obige Faktorisierung
an die Tafel schreibt. Einzelheiten kann man, so man unbedingt möchte,
unter
nachlesen. (Die Show verschwand nach zwei Monaten Ende Mai 2000 in der
Versenkung; sie wurde seither nur noch zweimal von Amateurgruppen
aufgeführt.)
FRANK NELSON COLE (1861–1926) wurde in Massachusetts geboren. 1882 erhielt er seinen Bachelor in
Mathematik von der Harvard University; danach konnte er dank eines Stipendiums drei Jahre lang bei FELIX
KLEIN in Leipzig studieren. Mit einer von KLEIN betreuten Arbeit über Gleichungen sechsten Grades wurde er
1886 in Harvard promoviert. Nach verschiedenen Positionen in Harvard und Michigan bekam er 1895 eine
Professor an der Columbia University in New York, wo
er bis zu seinem Tod lehrte. Seine Arbeiten befassen
sich hauptsächlich mit Primzahlen und mit der Gruppentheorie.
º
¿ ¼
"
f
"
auf die andere. Dieses Produkt rechnete er wortlos aus nach der üblichen
Schulmethode zur schriftlichen Multiplikation, und als er dieselbe Zahl
erhielt, die auf der anderen Tafel stand, schrieb er ein Gleichheitszeichen
zwischen die beiden Zahlen und setzte sich wieder. Das Ergebnis, d.h.
die Faktorisierung von 67 , findet ein Computeralgebrasystem heute in
weniger als einer Sekunde; für die damalige Zeit war sie eine Sensation!
COLE gab später zu, daß er drei Jahre lang jeden Sonntag nachmittag
daran gearbeitet hatte. Er versuchte 67 in der Form 2 2 darzustellen,
wobei er mit Hilfe quadratischer Reste Kongruenzbedingungen für
modulo verschiedener relativ kleiner Primzahlen aufstellte und auch
verwendete, daß jeder Teiler von 67 kongruent eins modulo 67 und
kongruent 1 modulo acht sein muß. Dies führte zu einer ganzen Reihe
»
¶·
761 838 257 287
À ¼ 193 707 721
Á
auf eine der beiden Tafeln und
Â
FRANK NELSON COLE gab das Ergebnis am 31. Oktober 1903 auf einer
Sitzung der American Mathematical Society bekannt: Er schrieb die
Zahl
267 1 = 147 573 952 589 676 412 927
º
F. N. COLE: On the factoring of large numbers, Bull. Am. Math.
Soc. 10 (1903), 134–137
oder
Für Einzelheiten siehe
761 838 257 287 .
ist tatsächlich
2
380 822 274 783
287
Somit ist 67 ein Produkt von mindestens zwei nichttrivialen Faktoren.
Welche sind das?
81 868 480 399 682 966 751 mod
|
1
67
1
= 193 707 721
= 381 015 982 504
~
13
= 2
|
67
2
=
+ 1 160 932 384
= 287 in Frage kommt, und mit
B
67
= 1 323 536 760
E
frühestens für
"
"
Wie wir in 2 des letzten Kapitels gesehen haben, ist
keine Primzahl, denn
"
zusammenfassen konnte. Untersuchung quadratischer Reste zeigt, daß

B
"
67
"
1 160 932 384 mod 1 323 536 760
ij
Kapitel 4
Faktorisierungsverfahren
von Kongruenzen für , die er in
Kap. 4: Faktorisierungsverfahren
d
*77
5
|
6
-4¶
¸
¸
¸
º
¼
¸
Â
¾
À¸
· ¼
¾
|
|
w
ij
e
|
|
w
Es gibt kein bestes“ Faktorisierungsverfahren; für Zahlen verschiedener
”
Größenordnungen haben jeweils andere Verfahren ihre Stärken. Auch
Vorwissen über die zu faktorisierende Zahl kann bei der Wahl eines
geeigneten Verfahrens helfen: Bei einem RSA-Modul, der das Produkt
zweier Primzahlen ähnlicher Größenordung ist, wird man anders vor1. Mehr noch als bei Primzahlgehen als bei einer Zahl der Form
tests gilt, daß asymptotische Komplexitätsaussagen als Auswahlkriterium nutzlos sind: Das für die Faktorsierung 150-stelliger RSA-Moduln
heute optimale Verfahren, das Zahlkörpersieb, wird beim Versuch eine sechsstellige Zahl zu faktorisieren, oft nicht in der Lage sein die
Faktoren zu trennen, und selbst in den Fällen, in denen es erfolgreich
ist, braucht es erheblich länger als einfache Probedivisionen. Es gibt
definitiv kein bestes“ Faktorisierungsverfahren; je nach Größe der zu
”
faktorisierenden Zahl und auch nach Größe der zu erwartenden Faktoren
können ganz verschiedene Strategien angebracht sind, die oft nur in der
Kombination zur vollständigen Primzerlegung führen.
'
'
w
;
;
<
;>
durch
= 2.
und
= 1 234 567 890 und
= 2 initialisiert.
;
Im zweiten Schritt ist nun = 2. Da
eine gerade Zahl ist, können wir
durch dividieren; wir notieren also die Zwei als Faktor und ersetzen
durch
2 = 617 283 945. Diese Zahl ist ungerade; also geht es weiter
Im ersten Schritt werden
Als Beispiel wollen wir die Zahl 1 234 567 890 faktorisieren:
;
;
Der schlimmste Fall für praktisch jedes Faktorisierungsverfahren tritt
dann ein, wenn die zu faktorisierende Zahl eine Primzahl ist: Gerade bei
<
<
3. Schritt: Falls
= 1, sind alle Faktoren gefunden, und der Algorithmus endet. Ansonsten wird auf die nächste Primzahl gesetzt. Ist dann
2
, muß
prim sein und wird als weiterer Faktor notiert; sodann
endet auch in diesem Fall der Algorithmus. Andernfalls geht es zurück
zum zweiten Schritt.
teilbar ist, ersetze
<
<
a) Test auf Primzahl
durch
;
§1: Die ersten Schritte
2. Schritt: Solange
notiere als Faktor.
gleich der zu faktorisierende Zahl und
;
1. Schritt: Setze
Die genaue Vorgehensweise ist folgende: Wir nehmen an, daß eine Liste
der Primzahlen bis zu einer gewissen Grenze zur Verfügung steht; gegebenenfalls muß diese zunächst nach ERATOSTHENES erzeugt werden.
:
<
=; <
Im folgenden sollen einige der einfachsten gebräuchlichen Verfahren
vorgestellt werden.
:
Bei kleinen zusammengesetzten Zahlen besteht die effizienteste Art
der Faktorisierung im allgemeinen darin, einfach alle Primzahlen nacheinander durchzuprobieren, indem man sie der Reihe nach so lange
abdividiert, wie es geht. Sobald der Quotient kleiner ist als das Quadrat
der gerade betrachteten Primzahl, kann man sicher sein, daß auch er eine
Primzahl ist und hat vollständig faktorisiert.
b) Abdividieren kleiner Primteiler
den fortgeschrittenen Verfahren gibt es oft kein anderes Abbruchkriterium als das Auffinden eines Faktors. Daher sollte (außer eventuell bei
ganz kleinen Zahlen) zu Beginn einer Faktorisierung immer ein Primzahltest stehen. Da auch das Testen auf Potenzen relativ einfach ist, läßt
sich eventuell auch das noch durchführen – es sei denn, daß von der
Situation her (beispielsweise bei RSA-Moduln) nicht mit einer Potenz
zu rechnen ist.
Kap. 4: Faktorisierungsverfahren
8
COLE konnte für seine Faktorisierung von 67 auf bekannte Tatsachen
über die Struktur von Faktoren der MERSENNE-Zahlen zurückgreifen
und auch bei den von ihm selbst gefundenen Eigenschaften potentieller
Faktoren konnte er die spezielle Struktur von 67 ausnutzen. Ähnlich
arbeiten auch heutige Mathematiker an der Faktorisierung spezieller
Zahlen, beispielsweise im Rahmen des Cunningham-Projekts zur Fak1 für kleine Basen . Für die
torisierung von Zahlen der Form
Faktorisierung von RSA-Moduln kann man natürlich nicht mit solchen
Techniken arbeiten. In diesem Kapitel soll es um Verfahren gehen, mit
denen man eine zufällig gegebene Zahl ohne spezielle Struktur faktorisieren kann.
Zahlentheorie
89
;
<
<
=;
vom Arbeitsspeicher und der Geschwindigkeit des verwendeten Computers; ein minimaler Wert wäre etwa 216 = 65 536; bei etwas besseren
Computern läßt sich auch das Abdividieren bis zu einer Million und bei
derzeit aktuellen schnellen Computern auch einer Milliarde oder etwa
230 in weniger als einer Sekunde durchführen.
zum dritten Schritt, wo offensichtlich keines der Abbruchkriterien erfüllt
ist. Somit wird = 3 und es geht zurück zum zweiten Schritt.
8
8
8
<
=;
;
ist durch drei teilbar, genauso der Quotient
3 =
Das neue
205 761 315. Also wird nochmals durch drei dividiert, und wir erhalten den nicht mehr durch drei teilbaren Quotienten 68 587 105. Somit
werden zwei Faktoren drei notiert und es geht weiter zum dritten Schritt.
Dort wird = 5 gesetzt, und es geht wieder zurück zu Schritt 2.
<
=;
Das aktuelle
= 68 587 105 ist durch fünf teilbar mit Quotient
5=
13 717 421. Dieser wird das neue ; und da er nicht durch fünf teilbar
ist, notieren wir nur einen Faktor fünf.
;
;
;
, also ist
=;
2
<
;
<
;>
<
?
?
?
?
Um Abdividieren statt zur vollständigen Faktorisierung nur zur Identifikation kleiner“ Primfaktoren zu verwenden, ist lediglich eine kleine
”
Modifikation des dritten Schritts notwendig: Wir legen eine Suchgrenist.
ze fest und brechen im dritten Schritt auch dann ab, wenn
Im letzteren Fall können wir selbstverständlich nicht behaupten, daß das
verbleibende
eine Primzahl ist;
muß dann mit anderen Verfahren
weiter bearbeitet werden. Die Größe von hängt natürlich etwas ab
Es ist klar, daß wir schon eine zwanzigstellige Zahl nur mit viel Glück
auf diese Weise mit vertretbarem Aufwand vollständig faktorisieren
können. Trotzdem ist Abdividieren selbst für noch viel größere Zahlen
ein sinnvoller erster Schritt, denn die auf größere Faktoren spezialisierten
Verfahren schaffen es im allgemeinen nicht, auch kleine Primfaktoren
voneinander zu trennen.
ist vollständig faktorisiert.
1 234 567 890 = 2 32 5 3 607 3 803
eine Primzahl, und
;
Dort ist nun offensichtlich
Im dritten Schritt wird wieder erhöht und es geht zurück zum zweiten
Schritt. Dort passiert nun allerdings lange Zeit nichts, denn keine der
Primzahlen zwischen sieben und 3 593 teilt das aktuelle . Erst wenn
im dritten Schritt auf 3 607 gesetzt wird, finden wir wieder einen Faktor.
Wir notieren ihn, ersetzen durch
3 607 = 3803, was offensichtlich
nicht durch 3 607 teilbar ist, und gehen weiter zum dritten Schritt.
N
UF D
K
OH T
RG S
D
IJOQM K
P
N OME
M
FLF JJ K
GH F IJ
C DE
Bei den in diesem und dem nächsten Paragraphen vorgestellten Verfahren besteht das Ziel immer darin, irgendeinen Faktor zu finden; sobald
dies erreicht ist, bricht das Verfahren ab und der gefundene Faktor sowie
sein Kofaktor werden für sich weiter untersucht – wobei natürlich immer
an erster Stelle ein Primzahltest stehen sollte.
JOHN M. POLLARD ist ein britischer Mathematiker, der hauptsächlich bei British Telecom arbeitete. Er veröffentlichte zwischen 1971 und 2000 rund zwanzig mathematische
Arbeiten, größtenteils auf dem Gebiet der algorithmischen Zahlentheorie. Bekannt ist er
auch für seine Beiträge zur Kryptographie, für die er 1999 den RSA Award erhielt. Außer
den hier vorgestellten Faktorisierungsalgorithmen entwickelte er unter anderem auch das
Zahlkörpersieb, eine Variante des weiter hinten vorgestellten quadratischen Siebs, dessen
Weiterentwicklungen derzeit die schnellsten Faktorisierungsalgorithmen für große Zahlen sind. Seine home page, um die er sich auch jetzt im Ruhestand noch kümmert, ist
.
In den Jahren um 1975 entwickelte der britische Mathematiker JOHN
M. POLLARD mehrere recht einfache Algorithmen zur Faktorisierung
ganzer Zahlen sowie zur Berechnung diskreter Logarithmen, die auch
heute noch (teils in verbesserter Form) zu den Standardwerkzeugen der
algorithmischen Zahlentheorie gehören. In diesem Paragraphen sollen
die beiden bekanntesten vorgestellt werden; außerdem möchte ich zumindest kurz auf mathematisch anspruchsvollere Verallgemeinerungen
eingehen. Die hier behandelten Verfahren haben im Gegensatz zu denen des nächsten Paragraphen die Eigenschaft, daß sie umso schneller
zum Erfolg führen, je kleiner die gesuchten Primfaktoren sind, daß sie
allerdings sehr kleine Primfaktoren oft nicht finden. Sie sind also die
Verfahren der Wahl für die Weiterverarbeitung eines durch Abdividieren erhaltenen Rests“, von dem man weiß, daß er keine allzu kleinen
”
Primfaktoren mehr hat.
8
§2: Die Verfahren von Pollard und ihre Varianten
Kap. 4: Faktorisierungsverfahren
Zahlentheorie
8B
@
@
A
<
@
;
;
8
8V
W
[
XY
Dieses Problem können wir umgehen, indem wir keine echten Zufallszahlen verwenden, sondern algorithmisch eine Folge sogenannter Pseudozufallszahlen erzeugen. Typischerweise verwendet man dazu eine
Rekursionsvorschrift der Form +1 = ( ) mod
mit einem quadratischen Polynom . (Die bei Simulationen sehr beliebten Pseudozufallsgeneratoren nach der linearen Kongruenzmethode sind für die
Monte-Carlo-Methode der Faktorisierung nicht geeignet.) Meist nimmt
man einfach Polynome der Form ( ) = 2 + , wobei allerdings = 0
und = 2 sein sollte, denn eine genauere Untersuchung zeigt, daß
diese Wahlen keine guten Pseudozufallszahlen liefern. Daß die anderen
Wahlen von stets gute Generatoren liefern ist zwar nicht bewiesen,
aber die praktischen Erfahrungen sind positiv.
XY
YZ
W]\
W
W
XY
W
<
<
i
<
<
XY W
W
XY
j
X
X
i
j
k\
j
=<
<
<
<
=<
Wegen der speziellen Form der Rekursion hängt die Restklasse von +1
modulo nur ab von mod ; insbesondere ist also +1
+1 mod ,
falls
mod , und entsprechend stimmen auch für jedes
0
die Zahlen + und + modulo überein, d.h. die Folge wird modulo
periodisch mit einer Periode , die
teilt.
j
XY
<
l
n
< l
m
X_
XY
qb
<
XY <
q` \
<
p
X_
X_ XY
o
o
XY
W
<
<
XY
<
X_
X \Y
^<
XY
^<
s
m
`
rY
rY
rt
rY
rt
vp
In der Tat, ist + = für alle
, so können wir für jedes Vielfache
der Periode nehmen, das mindestens gleich ist.
derart,
s
Wird eine Folge ( ) irgendwann periodisch, so gibt es Indizes
daß
= 2 ist.
Das Problem, Periodizität in einer Folge zu entdecken, tritt nicht nur in
der Zahlentheorie auf, sondern beispielsweise auch in der Zeitreihenanalyse und anderen Anwendungen. Ein möglicher Algorithmus zu seiner
Lösung, auch als Hase und Schildkröte Algorithmus bekannt, stammt
von FLOYD (1967) und beruht auf folgender Beobachtung:
<
Auch in dieser Form ist das Verfahren noch nicht praktikabel: Wenn wir
ein neues mit
erzeugt haben, müssen wir für alle
den
berechnen, was noch einmal rund
Schritte sind, so
ggT von
X
k
POLLARDs Idee zur Beschleunigung beruht auf dem im Anhang genauer
erklärten Geburtstagsparadoxon: Die Wahrscheinlichkeit dafür, daß eine
gegebene Zufallszahl durch teilbar ist, liegt zwar nur bei 1 : , aber die
Wahrscheinlichkeit, daß zwei der modulo gleich sind, steigt in der
Nähe von etwa
Folgegliedern ziemlich steil von nahe null zu nahe
eins. Wenn wir also anstelle der größten gemeinsamen Teiler von mit
den die mit den Differenzen
berechnen, haben wir bereits bei
einer Folge der Länge um
gute Chancen, einen nichttrivialen ggT
zu finden.
hX
i
Beim einfachen Abdividieren finden wir , nachdem wir alle Primzahlen
bis einschließlich durchprobiert haben; wie wir im letzten Kapitel
gesehen haben, sind dies etwa log Stück. Für jede davon brauchen
wir eine Division, verglichen mit den durchschnittlich 2 EUKLIDischen
Algorithmen bei der obigen Methode, die nicht einmal eine Garantie
dafür bieten, den Faktor zu finden. Von daher hat die neue Methode
zumindest in der bislang betrachteten Form ausschließlich Nachteile
und ist keine sinnvolle Alternative zum Abdividieren.
,
^<
Für einen Primteiler von
können wir erwarten, daß im Mittel jedes -te
durch teilbar ist und wir somit einen durch teilbaren
ggT mit
erhalten, der allerding möglicherweise auch noch andere
Primteiler enthält.
0
d egf
2
<
was keine große Ersparnis ist. Dazu kommt, daß alle bereits berechneten
Folgeglieder gespeichert werden müssen, der Algorithmus hat also auch
.
einen Platzbedarf in der Größenordnung
=
^<
Eine ähnliche Idee läßt sich auch für die Faktorisierung einer ganzen
zufällig gewählZahl verwenden: Ausgehend von einer Folge ( )
1) bildet man jeweils den
ter Zahlen zwischen 1 und (oder 0 und
ggT von mit in der Hoffnung, einen nichttrivialen Teiler zu finden.
Monte Carlo ist ein Stadtteil von Monaco, der vor allem für seine Spielbank bekannt ist. An deren Spieltischen sollen Roulette-Schüsseln idealerweise rein zufällig für jedes Spiel von neuem eine Zahl zwischen 0
und 36 bestimmen.
ist, sondern eher zu
8
daß der Gesamtaufwand nicht proportional zu
Kap. 4: Faktorisierungsverfahren
8
a) Die Monte-Carlo-Methode
Zahlentheorie
c
`a
n
m
u
`
b>
^<
^<
X_
X Y X \Y
8
8w
N
H O}
UF D
K
G F y
JH
R J
Oz
OD
R J{S
R ~
Q
R OxS
HK
|z
F PJS
QK
G OI
Oz{
QQ y
OxS
W
i
X
X
i

i
i
r
i
X
X
`
W
r
X
X
r
W
A
`
r
X\
X

Y
XY X
`
r
XY
X
XY
Um diese Frage wirklich beantworten zu können, müßte man die (recht
inhomogene) Verteilung der Geburtstage über das Jahr kennen; wir
Angenommen, in einem Raum befinden sich Personen. Wie groß ist die
Wahrscheinlichkeit dafür, daß zwei davon am gleichen Tag Geburtstag
haben?
Anhang: Das Geburtstagsparadoxon
X
:
X
XY
W
\Y
zu
Y <
Als Beispiel wollen wir die sechste FERMAT-Zahl 6 = 264 + 1 =
18 446 744 073 709 551 617 betrachten. Mit dem quadratischen Polynom ( ) = 2 + 1, dem Startwert 0 = 2 und einem EUKLIDischen Algorithmus nach jeweils hundert Folgegliedern findet ein handelsüblicher
PC nach 900 Iterationen in Sekundenbruchteilen den Faktor 274 177, der
übrigens genau wie sein Kofaktor 67 280 421 310 721 prim ist. Damit
ist 6 vollständig faktorisiert.

Eine Strategie dazu besteht darin, jeweils mehrere Differenzen 2
aufzumultiplizieren und dann erst für das Produkt den ggT des mit
`
<
Das Teuerste an diesem Algorithmus sind die EUKLIDischen Algorithmen zur ggT-Berechnung; da wir (sofern wir kleine Primfaktoren zuvor
ausgeschlossen haben) nicht wirklich erwarten, daß hier häufig ein nichttriviales Ergebnis herauskommt, liegt es nahe, deren Anzahl möglichst
zu reduzieren.
`
W

2
`

ist; wir
(Hase)

2
X\
?
Man beachte, daß hier im -ten Schritt =
und =
(Schildkröte) und die der
erzeugen also die Folge der
simultan, ohne Zwischenergebnisse zu speichern.

Die Monte-Carlo-Methode wird auch als -Methode bezeichnet, da die
Folge der
nicht von Anfang an periodisch sein muß. Sie muß aber,
da es nur Restklassen modulo gibt, schließlich periodisch werden,
d.h. sie beginnt auf dem unteren Ast des und mündet irgendwann in
den Kreis. Erfahrungsgemäs ist diese Methode sehr erfolgreich im Auffinden sechs- bis achtstelliger Faktoren; danach wird sie recht langsam,
und kleine Faktoren kann sie oft nicht trennen.
r
Schritt 0: Man wähle ein quadratisches Polynom und einen Startwert 0 . Setze = = 0 .
0: Ersetze durch ( ) und durch
( ) ; berechSchritt
ne dann ggT(
). Falls dieser weder eins noch ist, wurde ein
Faktor gefunden.
einführen mit
Praktisch bedeutet das, daß wir eine neue Variable
(
) mod
Anfangswert eins und dann im -ten Schritt durch
ersetzen. Nur falls durch die gewisse Anzahl“
teilbar ist, wird
”
anschließend der ggT von und berechnet; andernfalls geht es gleich
weiter mit dem ( + 1)-ten Schritt.
W
W
Damit sieht der Grobablauf der Monte-Carlo-Faktorisierung einer natürlichen Zahl folgendermaßen aus:
8
berechnen. Die gewisse Anzahl“ darf nicht zu groß sein, denn sonst be”
steht die Gefahr, daß das Produkt nicht nur durch einen, sondern gleich
durch mehrere Primteiler von teilbar ist, es sollte aber aus Effizienzgründen auch nicht zu klein sein. Wenn alle kleinen Primteiler bereits
ausgeschlossen sind, zeigt die Erfahrung, daß die Zusammenfassung von
etwa hundert Differenzen ein guter Kompromiß ist; wenn bereits bei den
kleinen“ Faktoren mit einer hohen Suchgrenze gearbeitet wurde, bieten
”
sich auch höhere Werte an.
Kap. 4: Faktorisierungsverfahren
8
ROBERT W. FLOYD (1936–2001) beendete seine Schulausbildung bereits im Alter von 14 Jahren, um dann mit
einem Stipendium an der Universität von Chicago zu
studieren, wo er mit 17 einen Bachelor in liberal arts bekam. Danach finanzierte er sich durch Arbeit ein zweites Bachelorstudium in Physik, das er 1958 abschloß.
Damit war seine akademische Ausbildung beendet; er
arbeitete als Operator in einem Rechenzentrum, brachte
sich selbst Programmieren bei und begann einige Jahre
später mit der Publikation wissenschaftlicher Arbeiten
auf dem Gebiet der Informatik. Mit 27 wurde er Assistenzprofessor in Carnegie Mellon, fünf Jahre später
erhielt er einen Lehrstuhl in Stanford. Zu den vielen
Entwicklungen, die er initiierte, gehört die semantische
Verifikation von Programmen, Design und Analyse von
Algorithmen, Refactoring, dazu kommen Arbeiten über Graphentheorie und das FLOYDSTEINBERG dithering in der Computergraphik. 1978 erhielt er den TURING-Preis, die
höchste Auszeichnung der Informatik. Stanfords Nachruf auf FLOYD ist zu finden unter
.
Zahlentheorie

8
8
:
1
s
\

t
s
A
:
:
<
:

s
<
\

<
\

e a
\
<
s

a
s <
\
e
t

a
s <
\

t
=0
1
e
t
=
(
2
1)
.

=0
<
=

1
=0
a
¡
1

gilt

1
<\
1
e
o
und für nicht zu große Werte von
.
Natürlich ist
1 nicht bekannt, wir können aber hoffen, daß
1
nur durch vergleichsweise kleine Primzahlen teilbar ist. Sei etwa eine
Schranke mit der Eigenschaft, daß
1 durch keine Primzahlpotenz
teilbar ist. Dann ist das Produkt aller Primzahlpotenzen
größer
, die höchstens gleich
sind, sicherlich ein Vielfaches von
1,
wenn auch ein extrem großes, das sich kaum mit realistischem Aufwand
berechnen läßt. Für jedes konkrete kann
mod
jedoch verhältnismäßig einfach berechnet werden: Man potenziert einfach nacheinander für jede Primzahl
modulo
mit deren größter Potenz,
die immer noch kleiner oder gleich
ist; mit dem Algorithmus zur
modularen Exponentiation aus Kapitel 1 geht das auch für sechs- bis
siebenstellige Werte von noch recht flott.
o \
,
<
m
1
2 ln
POLLARDs zweite Methode beruht auf dem kleinen Satz von FERMAT:
Für einen Primteiler von , ein Vielfaches von
1 und eine
zu teilerfremde natürliche Zahl ist
1 mod ; der ggT von
(
1) mod und ist also durch teilbar.
W
ist dann auch
:
b) Die ( – 1)-Methode

<\
ist; für nicht zu große Werte von
=
Für
= 1 1000 ergibt sich
3 717 , für
= 999 1000 entsprechend
0 0447 . Die Wahrscheinlichkeit dafür, daß es unter
Zufallszahlen zwei mit derselben Restklasse modulo gibt, wechselt
von sehr unwahrscheinlich zu sehr
also bei der Größenordnung
wahrscheinlich.
a:
<
W
1
<
=

W
1

^<
a:
<
1

und

<
^<
l
o
1
\

<\ <
1
a:
m
Da wir uns für einigermaßen große Werte von interessieren (die kleinen
haben wir schon abdividiert), können wir davon ausgehen, daß

^<
.
^
<
1
ln
:

=0
e
\
a
<
=
:
=

2
\

=
1
2
<

Bei einer guten Folge von Zufallszahlen sollten die Restklassen modulo in sehr guter Näherung gleichverteilt sein; die Wahrscheinlichkeit
dafür, daß unter Zufallszahlen keine zwei in der gleichen Restklasse
liegen, ist somit
=
:\ :
:
^<
Nachrechnen ergibt für = 23 ungefähr den Wert 0,4927; bei 23 Personen liegt also die Wahrscheinlichkeit für zwei gleiche Geburtstage
bei 50,7%. Tatsächlich dürfte sie noch deutlich höher liegen, denn bei
Geburtstagen ist die Annahme einer Gleichverteilung sicherlich falsch.
2

Damit liegt
bei etwa 50%, falls
2 ln 2
1 177
ist; für
= 365 ergibt dies die immer noch recht gute Näherung 22 494.
2
:

denn für eine Person ist das überhaupt keine Bedingung, und jede weitere
Person muß die Geburtstage der schon betrachteten Personen vermeiden.
(Da der Faktor mit = 365 verschwindet, wird die Wahrscheinlichkeit
für
365 zu null, wie es nach dem DIRICHLETschen Schubfachprinzip
auch sein muß.)
,

365
<
=0
<
Wenn wir im Exponenten noch den Term (
1) durch 2 approximieren, können wir abschätzen, für welches die Wahrscheinlichkeit
einen vorgegebenen Wert erreicht:
0 499998 für

1
a
23
8
Für = 365 etwa ergibt dies den Näherungswert
den korrekten Wert 0,4927.
Kap. 4: Faktorisierungsverfahren
8
beschränken uns stattdessen auf ein grob vereinfachtes Modell ohne
Schaltjahre mit 365 gleich wahrscheinlichen Geburtstagen. Dann ist die
Wahrscheinlichkeit dafür, daß von Personen keine zwei am gleichen
Tag Geburtstage haben,
Zahlentheorie

<\
W
W

\
s
t
e
\

8
8¢
W
<\
.
W

¤£
¡

=
W

W
W
\

W
<
<\
<\
=¦ <
¨
\
;

=¦
=¦
W
;

;
¥

W
¨
¨ e
sei
( ).

W
W
<
und potenzieren es mit demselben
Wir wählen irgendein Element von
Exponenten , mit dem wir bei der
1-Methode die Zahl modulo
potenziert haben. Falls ein Vielfaches von ( ) ist, erhalten wir ein
Element
, dessen Reduktion modulo das Einselement von
ist. Ist daher die -te Koordinate von und die von , so muß die
Die Elementanzahl von
¨ e ¨ e
W
m
?
?
?
?
?
?
?
?
?
Für jede Schranke
2 677 ist also der erste Faktor ein Teiler des
1, aber für
8 539 ist der zweite Faktor keiner.
endgültigen
<\
W
29 67 2 551 8 539 .
=¦
761 838 257 286 = 2 3
m
=¦ <
Allgemeiner können wir statt in (
) und (
) auch in einem
anderen Paar von Gruppen rechnen: Wir gehen aus von einer endlichen Gruppe
, deren Elemente sich in irgendeiner Weise als -tupel
) auffassen lassen; außerdem nehmen wir an, daß sich die
über (
Gruppenmultiplikation für zwei so dargestellte Elemente auf Grundrezurückführen läßt. Dann können wir die Elemente
chenarten über
zu Tupeln über
reduzieren und die Menge aller so erhalvon
tenen Tupel bildet eine Gruppe
. Wieder ist jede Rechnung in
implizit auch eine Rechnung in .
m
2
=¦ <
m
¨
193 707 720 = 23 33 5 67 2 677 und
=¦ <
§
Warum die Methode Erfolg hatte, sehen wir an der Faktorisierung der
um eins verminderten Faktoren:
§
<\
Damit ist (in Sekundenbruchteilen auf einem Standard-PC) eine nichttriviale Faktorisierung gefunden, und ein Primzahltest zeigt, daß sowohl
der gefundene Faktor als auch sein Komplement prim sind.
<
§
= 193 707 721
§

67 )
W
m
1
=¦
W
<\
= 111 153 665 932 902 146 348 mit ggT(
<\ m
Wir rechnen in der primen Restklassengruppe (
) und damit implizit auch in (
) für jeden Primteiler von
– egal ob wir ihn
kennen, oder nicht. In (
) ist für jedes Element die (
1)-te Potenz gleich dem Einselement; genau dasselbe gibt für jede -te Potenz,
für die der Exponent ein Vielfaches von (
1) ist. Bei der (
1)Methode wird ein berechnet, das durch alle Primzahlpotenzen bis zu
einer gewissen Schranke teilbar ist; falls in der Primzerlegung von
1
keine Primzahlpotenz oberhalb der Schranke liegt, ist ein Vielfaches
von
1.
<\
Als Beispiel betrachten wir noch einmal 67 = 267 1. Wenn wir mit der
Basis = 17 und der Schranke = 3 000 arbeiten, wird modulo 67
potenziert zum neuen
§
Es ist klar, daß der Erfolg dieses Verfahrens wesentlich davon abhängt,
daß einen Primteiler hat mit der Eigenschaft, daß alle Primfaktoren
1 relativ klein sind. Ob dies der Fall ist, läßt sich im Voraus nicht
von
sagen; die (
1)-Methode liefert daher gelegentlich ziemlich schnell
sogar 20- oder 30-stellige Faktoren, während sie andererseits deutlich
kleinere Faktoren oft nicht findet.
<\
<\
1 ). Falls ein Wert ungleich eins oder
Schritt 3: Berechne ggT(
gefunden wird, war das Verfahren erfolgreich, ansonsten nicht.
<\
Um diese Varianten zu definieren, empfiehlt es sich, zunächst die ( 1)Methode etwas abstrakter unter gruppentheoretischen Gesichtspunkten
zu betrachten.
<
Schritt 2: Berechne für jede dieser Primzahlen den größten Exponenten derart, daß auch noch
ist, d.h. = [log
log ]. Ersetze
dann den aktuellen Wert von durch
mod .
<
Falls
1 nicht nur relativ kleine Primfaktoren hat, führt die (
1)Methode nicht zum Erfolg. In solchen Fällen hat dann aber vielleicht +1
oder irgendeine andere Zahl in der Nähe von nur kleine Primfaktoren.
In solchen Fällen können Varianten der (
1)-Methode zum Erfolg
führen.
<\
Schritt 1: Erstelle (z.B. nach ERATOSTHENES) eine Liste aller Primzahlen
.
und eine Basis zwischen 1 und
c) Varianten
Kap. 4: Faktorisierungsverfahren
8B
Schritt 0: Wähle eine Schranke
Insgesamt funktioniert POLLARDs (
1)-Methode zur Faktorisierung
einer natürlichen Zahl also folgendermaßen:
Zahlentheorie
9
¨ e

<
<
¨ <\

Y
©
m
`
¨ ©Y
©ª
>
n
\
8B
8
< Y
© \Y
Y
:
© \Y
<
Bleibt nur noch das Problem, geeignete Gruppen zu finden. Bei der
(
1)-Methode ist
=(
) und ( ) =
1.
durch teilbar sein, und mit etwas Glück können wir
und
bestimmen.
§
X
X
<\
W
=¦
<
:
¨
<\
¯
<
o<
3
(
3
+ ) .
¬
« e
m
o
=¦ <
<
« e
§« e
<
§« e
m
<\
W
< W
« e
<\ §
« e
=
< §« e
¨ e
¨
=¦
¨
=¦
X\
X
¨ e
©
:
r
:
ªr
X ©
X \
X\
®
¯
:
°
©
\
¯

« e
W
r
X\
¦
¨ e
W
^<
<
><
^ ><
= ( + )(
)
mit
=
©

<
2

<
r
X\
r
X
W
.
r
=
2
<\
W
+
=
;

2
und
FERMAT berechnet für = 0 1 2
die Zahlen + 2 ; falls er auf ein
2
gefunden. Da gleich der
Quadrat stößt, hat er zwei Faktoren
halben Differenz der beiden Faktoren ist, kommt er umso schneller ans
Ziel, je näher die beiden Faktoren beieinander liegen; dies erklärt die
r
X
Die Multiplikation ist folgendermaßen definiert: Durch zwei Punkte
( 1 1 ) und ( 2 2 ) auf der Kurve geht genau eine Gerade; setzt man
deren Gleichung =
+ in die Kurvengleichung ein, erhält man ein
Polynom dritten Grades in . Dieses hat natürlich die beiden Nullstellen
W
Ausmultiplizieren führt auf die Beziehung
<
und wie man inzwischen weiß, kann man auch für jeden Wert, der
diese Ungleichung erfüllt, Parameterwerte und finden, so daß ( )
gleich diesem Wert ist. Wenn man mit hinreichend vielen verschiedenen
Kurven arbeitet, ist daher die Chance recht groß, daß der Exponent
wenigstens für eine davon ein Vielfaches von ( ) ist.
<
\
r
+
2
Die bisher betrachteten Verfahren funktionieren vor allem dann gut,
wenn die zu faktorisierende Zahl mindestens einen relativ kleinen Primteiler hat. Das hier beschriebene Verfahren von FERMAT führt genau dann
schnell ans Ziel, wenn sie sich als Produkt zweier fast gleich großer Faktoren schreiben läßt. In seiner einfachsten Form beruht es auf der dritten
2
= ( + )(
): Ist = Produkt zweier
binomischen Formel 2
ungerader Primzahlen, so ist
§3: Das Verfahren von Fermat und seine Varianten
Unter den Faktorisierungsmethoden, deren Rechenzeit von der Größe
des zu findenden Faktors abhängt, ist die Faktorisierung mit elliptischen
Kurven die für große Zahlen derzeit beste bekannte Methode; sie fand
schon Faktoren mit bis zu 67 Stellen. Produkte zweier ungefähr gleich
großer Primzahlen wie beispielsweise RSA-Moduln sind für solche Methoden allerdings der schlechteste Fall; hierfür sind andere Methoden,
deren Aufwand nur von der Größe der zu faktorisierenden Zahl abhängt,
meist besser geeignet.
<\
,
r
+1+2
±
X
( )
=
r
2
2)
\
X
+1
2
X
und
: Wir
Derzeit am populärsten ist eine andere Wahl von
nehmen für
eine elliptische Kurve über
. Dabei handelt es sich
um die Menge aller Punkte (
)
(
)2 , die einer vorgegebenen
2
3
genügen, wobei
Elemente von
Gleichung
=
sind, für die
= 4 3 27 2 teilerfremd zu ist; dazu kommt ein
weiterer Punkt , den wir formal als (0 ) schreiben.
ist dann die
entsprechende Punktmenge in 2 zusammen mit . Nach einem Satz
von HELMUT HASSE (1898–1979) ist
(
X X
j
Speziell für = 2 hat der Körper 2 eine multiplikative Gruppe 2 der
Ordnung 2 1 = ( + 1)(
1). Sie hat
als Untergruppe und die
Faktorgruppe
= 2
hat die Ordnung ( ) = +1. Das Rechnen
in dieser Gruppe mit Reprässentanten modulo ist etwas trickreich und
benutzt die hier nicht behandelten LUCAS-Sequenzen.
1)

Man kann zeigen, daß dies die Menge der Kurvenpunkte zu einer Gruppe
mit Neutralelement macht, in der man genauso vorgehen kann wie
bei der klassischen (
1)-Methode.
1
X
(
Der dritte Schnitt); als Summe der
+
3
3.
j
Für die ( + 1)-Methode benutzt POLLARD die Tatsache, daß es nicht
nur zu jeder Primzahl , sondern auch zu jeder Primzahlpotenz
einen Körper mit entsprechender Elementanzahl. Dieser Körper
ist natürlich verschieden vom Ring
; er ist ein -dimensionaler
Vektorraum über
mit geeignet definierter Multiplikation.
X
1
2 , und daneben noch eine dritte Nullstelle
punkt der Geraden mit der Kurve ist somit ( 3
beiden Punkte definiert man aber
Kap. 4: Faktorisierungsverfahren
8B
Differenz
als ggT von
Zahlentheorie
B
r
X
r
m
W
<
W
r
²
¥¥
r
r
X
¥

r
X
j X
X
r r
X
X
8B
V
s
W
s
r
W
r
W
X
r
X\
r
X
r
s
X\
W
W
W
W
l
²
W
r
r
X
r
W
X
²
X
r
X
X r
¶· W
^
³
X
\
µ
´ X
2
W
W
µ
¶· W
^
´ X
l
³
Für jedes ist dann ( )
+
mod , wobei links und
rechts verschiedene Zahlen stehen. Insbesondere steht links im allgemeinen keine Quadratzahl.
X
X
-te Primzahl
8 960 453
10 570 841
12 195 257
13 834 103
15 485 863
¹ Ze
½»
o
³
³
( )
=
º
=1
ª<
Xo
¥¥
¥
X
X
XY
º
Ze
¾Y
Ye ¾ Y
o Y
XY
Y
Ye
¾Y
genau dann ein Quadrat, wenn
für alle
gerade ist.
=1
Dies hängt natürlich nur ab von den mod 2 und den
mod 2; wir
daher als Elemente des Körpers mit zwei Elementen
können und
=1
¸
´ X
o
l Y
XY
³
o
Y
eine Relation der gesuchten Art.
XY

mod
600 000
700 000
800 000
900 000
1 000 000
» ¼ <
½»
» ¼
=1
.
X
=1
-te Primzahl
1 299 709
2 750 159
4 256 233
5 800 079
7 368 787
³
Beim quadratischen Sieb interessieren nur -Werte, für die ( ) als
Produkt von Primzahlen aus (und eventuell auch Potenzen davon)
darstellbar ist. Ist ( ) =
, so ist
100 000
200 000
300 000
400 000
500 000
¸
¬ »
<
2
2
zu finden, betrachten wir eine Menge von PrimUm geeignete
zahlen, die sogenannte Faktorbasis. Typischerweise enthält für die
Faktorisierung einer etwa hundertstelligen Zahl zwischen 100 und 120
Tausend Primzahlen, deren größte somit, wie die folgende Tabelle zeigt,
im einstelligen Millionenbereich liegt.
:
X
+
+
:
( )
+2
³
Falls wir allerdings Werte 1 2
finden können, für die das
Produkt der ( ) eine Quadratzahl ist, dann ist
µ
¶W
^
.
X
:
2
X
XY
+
W
:
( )=
^
¸
In seiner einfachsten Variante wählen wir uns ein quadratisches Polynom, z.B. das Polynom
µ
W
¸
Der Grundalgorithmus zum Finden solcher Paare ist das sogenannte
quadratische Sieb, mit dem wir uns als nächstes beschäftigen wollen.
\
) echte Faktoren von .
und wenn man Glück hat, sind ggT(
Wenn man Pech hat, sind es freilich einfach die beiden Zahlen eins
und . Trotzdem lassen sich darauf sehr effiziente Faktorisierungsverfahren aufbauen, denn die obige Gleichung besagt ja auch, daß wir nur
2
mod
irgendwie zwei Zahlen
finden müssen mit 2
und
dann eine Chance haben, daß ggT(
) uns zwei Faktoren von
liefert. Je mehr solche Paare (
) wir finden, desto größer sind die
Erfolgschancen.
2
W
Für -Werte, die deutlich kleiner als
sind (und nur mit solchen
werden wir es im folgenden zu tun haben) liegen beide Zahlen in der
Größenordnung
; bei den meisten anderen Polynomen, die ein Quaproduzieren, wäre entweder die zu quadrierende Zahl
drat minus
oder deren Funktionswert deutlich größer. Natürlich kann anstelle von
genauso gut eine andere Zahl ähnlicher Größenordnung verwendet werden; es kommt nur darauf an, daß ihr Quadrat in der Nähe von
liegt.
=
X
W
),
¶· W
^
^
= ( + )(
³
X
=
2
µ
2
´ X
+
W
\
2
X
µ
¶W
^
( )=
¶W
^
¶W
^
Anstelle der Zahlen + kann man auch für ein festes die Zahlen
+ 2 betrachten. Falls dies eine Quadratzahl 2 ist, gilt entsprechend
µ
Diese Strategie erklärt die Wahl des Polynoms : Wir betrachten sowohl
als auch
die Zahlen +
³
W
2
Kap. 4: Faktorisierungsverfahren
8B
Vorschrift der Bundesnetzagentur, daß die beiden Faktoren eines RSAModuls zwar ungefähr gleich groß sein sollten, daß sie aber doch einen
gewissen Mindestabstand einhalten müssen.
Zahlentheorie
c
Ye
W
¶· W
^
µ
8B
w
= 0 für alle
oÀ¿
ª<
³
¾Y
Ye
Y
¾Y m
XY
XY
W
½»
¶· W
^
µ
´ X
o
½»
o
³
Y
XY
Y
W
W
l
X
r
¾Y
Á
¾Y
=
´ X
o
½»
¶· W
^
µ
W
.
W
mod

<
X
º
Y
¬ »
» ¼
½»
Ze
3
2
2
2
7
3 11
7 11
3 72 11
? ? ?
? ? ? ?
l l l l
X
1 15) = 3 .
mod 15
mod 15
mod 15
mod 15
(6 9 13)2
(2 3 7 11)2 mod 15
Multipliziert man die ersten drei dieser Relationen miteinander, folgt
62
92
132
572
?
Ã

Â
¸
= 2 3 7 11 ;

Da dies aber ein Zufall ist, der bei großen Werten von
so gut wie
nie vorkommt, wollen wir das ignorieren und mit den Relationen zu
= 3 6 10 und 51 arbeiten:
ggT(4
\
Als Faktorbasis verwenden wir die Menge
ggT(4 + 1 15) = 5 und
W
Zum besseren Verständnis des Grundprinzips wollen wir versuchen, damit die Zahl 15 zu faktorisieren. Dies ist zwar eine sehr untypische
Anwendung, da das quadratische Sieb üblicherweise erst für mindestens etwa vierzigstellige Zahlen angewandt wird, aber zumindestens
das Prinzip sollte auch damit klarwerden.
+
72 mod 15 .

=1
1 mod 15 und 82
Die zweite Relation ist nutzlos, denn 8 7 = 1 und 8 + 7 = 15. Die erste
dagegen führt zur Faktorisierung, denn
42
l
und
X
mod
?
=
? ?
\
=1
?
l
1
2
?
?
Die erste und die dritte Zeile sind selbst schon Relationen der gesuchten
Art, nämlich
4
6
8
9
13
57
X
?
Da nur die Werte 0 und 1 annimmt, stehen in obigem Produkt natürlich
keine echten Potenzen: Man multipliziert einfach nur die Faktoren miteinander, für die = 1 ist. Außerdem interessieren nicht die links- und
rechtsstehenden Quadrate, sondern deren Quadratwurzeln; tatsächlich
also berechnet man (hier natürlich in 0 )
X
1
3
5
6
10
54
¶ W
^
µ
2
eine Relation der Form 2
mod , die mit einer Wahrscheinlichkeit von etwa ein halb zu einer Faktorisierung von
führt. Falls wir
zehn linear unabhängige Lösungen des Gleichungssystems betrachten,
führt also mit einer Wahrscheinlichkeit von etwa 99,9% mindestens eine
davon zu einer Faktorisierung.
mod
?
( ) Faktorisierung
1
21
3 7
49
72
66
2 3 11
154
2 7 11
3234 2 3 72 11
³
=1

( )
¥¥
=1
+
X
2
¥
bis wir einige Funktionswerte
Wir berechnen ( ) für = 1 2
haben, die über der Faktorbasis faktorisiert werden können. Die faktorisierbaren Werte sind in folgender Tabelle zusammengestellt:
³
X
Für jede nichttriviale Lösung ist
die Primzahl fünf fehlt, da 3 5 = 15 ist und daher bei einer Faktorbasis,
die sowohl drei als auch fünf enthält, die Gefahr zu groß ist, daß die
linke wie auch die rechte Seite der Kongruenz durch fünfzehn teilbar
ist. Bei realistischen Anwendungen muß man auf solche Überlegungen
keine Rücksicht nehmen, denn dann sind die Elemente der Faktorbasis
höchstens siebenstellig und somit erheblich kleiner als die gesuchten
Faktoren.
?
+
Betrachten wir die
als Variablen, ist dies ein homogenes lineares
Gleichungssystem in Variablen mit soviel Gleichungen, wie es Primzahlen in der Faktorbasis gibt. Dieses Gleichungssystem hat nichttriviale
Lösungen, falls die Anzahl der Variablen die der Gleichungen übersteigt,
falls es also mehr Zahlen gibt, für die ( ) über der Faktorbasis faktorisiert werden kann, als Primzahlen in der Faktorbasis.
.
¸
=1
die Bedingungen
«
2
Kap. 4: Faktorisierungsverfahren
8B
auffassen und bekommen dann über
Zahlentheorie

?
?
?
l
?
?

l
8B
ggT(702

\
?
?
l
?
?
?
l

\
³
X
³
X
³
<
<
l
X
³
l
³
³
<
r
X
<
l
³
l
X
<\
<
r
X
³
X
X
¦
sª
l
s<
X
X
<
<
³
<

s<
X
<
<\
¡
>X
³
<
X
³
³
Falls ( ) über der Faktorbasis komplett faktorisierbar ist, sollte dann
am Ende der entsprechende Feldeintrag bis auf Rundungsfehler gleich
s<
<
Dazu kann man auch als Polynom über dem Körper mit Elementen
betrachten und nach Nullstellen in diesem Körper suchen. Für Polynome
;
Für jede Primzahl aus der Faktorbasis berechnet man dann die beiden
Nullstellen 1 2 von modulo im Intervall von 0 bis
1 und
oder
subtrahiert von jedem Feldelement mit Index der Form 1 +
eine
Approximation
von
log
.
+
2
2
X
1 nach Werten zu suchen, für
Das eigentliche Sieben zum Auffinden der komplett über der Faktorbasis
zerlegbaren Funktionswerte ( ) geht dann folgendermaßen vor sich:
Man legt ein Siebintervall = 0 1
fest und speichert in einem
Feld der Länge
+ 1 für jedes eine Approximation von log2 ( ) .
<
X

Es genügt daher, im Bereich 0
die ( ) durch teilbar ist.
Im Kapitel über quadratische Reste werden wir sehen, daß sich auch für
große und leicht und schnell entscheiden läßt, ob modulo ein
Quadrat ist; der Aufwand entspricht ungefähr dem eines auf
und
angewandten EUKLIDischen Algorithmus. Wir werden dort auch sehen,
daß sind für solche Quadrate relativ schnell die beiden Quadratwurzeln
modulo berechnen lassen.
W
³
X
.
;
,
Insbesondere kann also ( ) nur dann durch teilbar sein, wenn
modulo ein Quadrat ist; dies ist für etwa die Hälfte aller Primzahlen
der Fall. Offensichtlich sind alle anderen Primzahlen nutzlos, und sollten
daher gar nicht erst in die Faktorbasis aufgenmmen werden.
<
<
¥
¥¥
für alle
<
X
;
0 mod
X
³
q
)
\
qX
³
( +
X
W
ist. Für ein Polynom mit ganzzahligen Koeffizienten ist offensichtlich
( )
( ) mod , falls
mod ist. Daher ist für ein mit
( ) 0 mod auch
A
µ
W
0 mod
³
=
mod
dann die beiden Nullstellen
« e
Ä
<
( )
W
2 hat ( ) = 0 in
Ä
¶W
^
²
andernfalls gibt es keine Lösung.
ist. Für
2
l
<
teilbar, wenn
=
ªÄ
<
Der Funktionswert ( ) ist genau dann durch
X
W
Daher ist es wichtig, ein Verfahren zu finden, mit dem diese wenigen
Funktionswerte schnell und einfach bestimmt werden können. Das ist
zum Glück möglich:
2
« e
Bei realistischen Beispielen sind die Funktionswerte ( ) deutlich
größer als die Primzahlen aus der Faktorbasis; außerdem liegen die
vollständig faktorisierbaren Zahlen viel dünner als hier: Bei der Faktorisierung einer hundertstelligen Zahl etwa muß man davon ausgehen, daß
nur etwa jeder 109 -te Funktionswert über der Faktorbasis zerfällt.
³
<
womit wir die Zahl 15 faktorisiert haben – wenn auch nicht unbedingt
auf die einfachstmögliche Weise.
´ X
W
3234 15) = ggT(1212 15) = 3 ,
¶· W
^
\
¦
ggT(4446
W
32342 mod 15. Hier ist

oder 44462
+
´ X

und diese Gleichung ist genau dann lösbar, wenn es ein Element
gibt mit Quadrat , wenn also in
=0
¶· W
^
(2 3 72 11)2 mod 15
2
W
(6 13 57)2
µ
+
« e
( )=
µ
Wir erhalten auch dann rechts ein Quadrat, wenn wir das Produkt der
ersten, dritten und vierten Relation bilden; dies führt auf
großen Grades und große Werte von kann dies recht aufwendig sein;
hier, bei einem quadratischen Polynom, müssen wir natürlich einfach
wie in jedem anderen Körper
eine quadratische Gleichung lösen: In
auch gilt
<
ist, bringt das leider nichts.
462 15) = ggT(240 15) = 15
4622 mod 15. Da
Kap. 4: Faktorisierungsverfahren
8B
oder 7022
Zahlentheorie

X
<
«
8B
¢
null sein; um keine Fehler zu machen, untersucht man daher für alle
Feldelemente, die betragsmäßig unterhalb einer gewissen Grenze liegen,
durch Abdividieren, ob sie wirklich komplett faktorisieren, und man
bestimmt auf diese Weise auch wie sie faktorisieren. Damit läßt sich
dann das oben erwähnte Gleichungssystem über 2 aufstellen und, falls
genügend viele Relationen gefunden sind, nichttrivial so lösen, daß
2
mod zu einer
eine der daraus resultierenden Gleichungen 2
nichttrivialen Faktorisierung von führt.
Zahlentheorie
? ?
?
? ?
?
? ?
l
r
X
W
W
W
«
0
0
0
0
0
0
0
1
1
0
1
1
0
0
Å ª¾
1
1
0
1
1
1
0
0
0
0
1
0
0
0
1
0
1
0
1
0
0
0
0
0
0
1
1
0
1
1
0
1
0
1
0
1
0
1
0
0
0
0
0
0
1
1
0
0
0
0
1
1
1
0
0
0
1
1
0
0
1
0
1
0
0
1
0
1
0
0
1
0
0
0
0
0
0
1
0
1
1
0
1
0
0
1
0
0
0
1
0
0
0
1
1
0
0
1
XY
Æ
ÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÇÈ
Ã

Â
¸

³
<
l
X
Ã
<
Ã
Ã
Â
Â
Â
Ã
Â
Ã
Â
Ã
Ã
Ã
Â
<
Â

Ã
Â

Ã
Â
Ã
Â

Ã
Â
Â
Â
Â

Ã
Ã

³
1
0
1
0
0
1
1
0
0
1
0
1
0
0
1
0
1
1
0
0
0
1
1
0
0
0
1
0
1
0
0
1
1
0
1
0
1
0
0
0
0
1
?
?
?
`
XY
(
+
+
+
+
+
+
+
+ +
+
+
Der GAUSS-Algorithmus führt auf die Lösungen
1
0
1
1
0
0
0
1
0
1
0
0
0
0
³
1
0
0
0
1
0
1
0
0
0
0
0
0
1
¹
½»
Faktorisierung
3 17 23 89
3 11 13 31 43
3 11 17 59 83
3 5 13 17 19 53
31 41 53 59
3 5 13 19 31 43
11 13 41 43 53
3 5 17 23 43 59
3 31 43 53 83
? ?
( )
104397
571857
2747217
3338205
3974417
4938765
13361777
14879505
17591601
?
23
121
533
635
741
895
2013
2185
2477
? ?
1
2
3
4
5
6
7
8
9
? ?
? ?
Wenn wir damit das Intervall der natürlichen Zahlen von 1 bis 20 000
sieben, erhalten wir 18 Zahlen, die über der Faktorbasis komplett zerfallen:
?
?
23
0 20
89
23 68
? ?
? ?
19
2 8
83
35 70
? ?
?
17
6 9
59
2 33
?
? ?
13
4 11
53
39 52
? ?
?
11
0 5
43
26 35
? ?
? ?
5
0 4
41
3 4
?
?
?
=
3
Lösungen 1 2
=
31
Lösungen 27 28
?
? ?
Ð
? ?
+
+
Ï
Ì Ð
Ï Î
Î Ì
Í
Ì Î
Í
Í Ì

Ï
Í Ð

Í Í
Ì Ï
+
+
1
0
1
0
0
1
1
0
0
0
1
0
0
1
1
0
0
0
1
0
1
0
1
1
0
0
1
0
1
1
1
1
0
1
0
0
0
0
1
0
1
0
1
1
1
0
0
0
1
1
1
0
0
0
0
1
Î
Ì

Ì
Ï

Í
Ì
? ?
? ?
? ?
?
?
?
?
?
«
ªÎ
Ì

Ï
Í
Ð
Î

Ï
Ì
? ?
? ?
?
? ?
?
? ?
?
?
?
?
= (1 1 1 1 1 1 1 1 0 0 0 1 1 1 0 0 1 0) .
.
ÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊÊË
Í
Ð
mit sechs freien Parametern
2 . Setzen wir zunächst
= = = 1, = = = 0, so erhalten wir die Lösung
)
1
1
1
0
1
1
0
0
0
0
0
1
0
1
É
dann 14 Elemente enthält. Für jedes davon müssen wir die quadratische Gleichung ( ) 0 mod lösen, was hier natürlich selbst durch
Ausprobieren recht schnell möglich wäre. Die Lösungsmengen sind
?
? ?
2
«
= 3 5 11 13 17 19 23 31 41 43 53 59 83 89
19268945
5 19 43 53 89
36586077
3 11 19 23 43 59
45256497
3 11 13 31 41 83
55643601
3 13 17 23 41 89
68023857
3 11 19 23 53 89
171643917
3 17 23 41 43 83
179281245 3 5 11 13 19 53 83
279852045 3 5 11 17 19 59 89
429286605 3 5 11 23 31 41 89
8V
18
Ein Vektor
( ) ein Quadrat ist, löst daher über
2 , für den
das lineare Gleichungssystem mit Matrix
2649
4163
4801
5497
6253
10991
11275
14575
18535
?
?
Als zwar immer noch untypisch kleines Beispiel, das besser und schneller durch Abdividieren faktorisiert werden könnte, betrachten wir die
= 5 352 499. Wir nehmen als Faktorbasis alle Primzahlen kleiZahl
ner hundert modulo derer ein Quadrat ist; Nachrechnen zeigt, daß
10
11
12
13
14
15
16
17
18
Kap. 4: Faktorisierungsverfahren
9

Å¾
?
?
?
?
?
?
?
XY
8V
8

mod
» ¼
½»
X
º
Ze
´ X
o
r
Y
= 854 237 und
= 3 827 016 .
= 1 statt
= 0, so erhalten wir
Ï
Ï

Å¾
¬ »

<
X
+
º
= 4 093 611
W
» ¼
½»
½»
¶· W
^
µ
Ze
´ X
o
r
Y
4327
gleich 1 237, womit wir die
W
Ñ
Bei realistischen Anwendungen wird der überwiegende Teil der Rechenzeit für das Sieben gebraucht. Dies läßt sich relativ einfach parallelisieren, indem man das Sieben für verschiedene Teilintervalle auf verschiedene Computer verteilt. Auf diese Weise können mehrere Tausend
Dabei verwendet man das quadratische Sieb meist nicht in der hier vorgestellten Einfachstsversion, sondern mit verschiedenen Optimierungen.
Natürlich hätte uns jede der bisher behandelten Methoden dieses Ergebnis mit erheblich geringerem Aufwand und auch erheblich schneller
geliefert; das quadratische Sieb entwickelt seine Stärken erst bei erheblich größeren Zahlen, für die es dann oft tagelang rechnet.
gefunden haben. In diesem Fall sind die beiden Faktoren sogar bereits
Primzahlen; das wird natürlich im allgemeinen nicht der Fall sein – es
sei denn, man startet wie hier mit dem Produkt zweier Primzahlen.
liefert. Nun ist der ggT der Differenz mit
Faktorisierung
5 352 499 = 1237
mod
= 1 020 903 und
W
=1
mod
Ab etwa 120 bis 130 Stellen wird eine Variante schneller, bei der auch
mit komplizierteren als nur quadratischen Polynomen gearbeitet wird,
das sogenannte Zahlkörpersieb. Es hat seinen Namen daher, daß die
dahinterstehende Theorie mit algebraischen Zahlkörpern arbeitet; konkret gerechnet wird allerdings weiterhin mit ganzen Zahlen. Dieses
Zahlkörpersieb ist die derzeit beste bekannte Methode zur Faktorisierung von Zahlen, die Produkte zweier Primzahlen ähnlicher Größenordnung sind; von diesem Verfahren geht also die größte Gefahr für RSA
aus. Der derzeitige Rekord für dieses Verfahren ist die Faktorisierung
einer zweihundertstelligen challenge number der Firma RSA.
³
=
=1
Eine weitere Verbesserung, die zu kürzeren Suchintervallen und damit
auch kleineren Zahlen führt, besteht darin, anstelle des einen Polynoms mehrere Polynome zu verwenden. Auch diese können wieder
auf verschiedene Computer verteilt werden. Falls einige der Polynome
auch negative Werte annehmen können, muß auch das berücksichtigt
werden, indem man bei der Faktorisierung der nach dem Sieben übrig
gebliebenen Zahlen auch noch die 1 als zusätzliche Primzahl“ in die
”
Faktorbasis aufnimmt.
Computer jeweils ein Teilintervall sieben und anschließend die gefundenen Faktorisierungen an eine Zentrale melden. Sobald genügend viele
eingegangen sind, kann diese ein lineares Gleichungssystem aufstellen
und dieses lösen.
\
=
1
2
= (1 1 1 1 1 0 1 1 1 1 0 1 0 1 1 0 1 0) ,

die uns die Zahlen
.
W
Setzen wir in einem zweiten Versuch
die weitere Lösung
Leider ist die Differenz dieser beiden Zahlen teilerfremd zu
mod
½»
¶· W
^
µ
=1
=1
¬ »
+
<
W
=
1
2
W
=
Kap. 4: Faktorisierungsverfahren
8V
Sie führt auf die beiden Zahlen
Zahlentheorie
B
Á
Ó
Ò

:
k
m
=
m

m
m
Ò
m
1
=
m
=
=
m

+
+
1

m
m
m
m
,
Ò
3
m

2
+
1
=[
0
jo
¥
¥¥
j
j
m
..
.
1
+
.
1
1
+
1
2+
+
1
2
1
;
].
So, wie der Algorithmus formuliert ist, können wir ihn aber auch auf
irrationale Zahlen anwenden. Dann kann kein
verschwinden, denn
sonst hätten wir ja eine Darstellung von als rationale Zahl. Wir können
aber nach dem -ten Schritt abbrechen und den Bruch betrachten, der
entsteht, wenn wir
= 0 setzen. Diesen Bruch bezeichnen wir als die
-te Konvergente der Kettenbruchentwicklung von .
Òo
Ò
mY
Ò
m
Wir können die Konstruktion auch so formulieren, daß sie nur von der
abhängt: Der Quotient bei der Division mit Rest von
Zahl =
+
1
1
= 0 abbricht, steht im untersten Bruch
Falls der Algorithmus mit
natürlich nur im Nenner, und wir schreiben den Kettenbruch kurz als
[ 0 1
].
jo
2
2
+
Da diese Darstellung sehr viel Platz verbraucht, verwendet man dafür
oft auch die kompaktere Schreibweise
Ò
1
1
1+
1
0
jo
¥¥
¥
j
j
und so weiter. Die Konstruktion muß nach endlich vielen Schritten
abbrechen, denn die Folge der Reste beim EUKLIDischen Algorithmus
ist monoton fallend und muß daher schließlich Null erreichen. Damit
ist dargestellt als ein sogenannter Kettenbruch.
0

2
3
.
+
1
=
Òo
2
+

2
m
=
m
3
2
2 dividiert:
+
m
Rest
1

m
1 durch
+
?
2
0
??
=
=

1
=
m
1
+
0
1
1+
j
2

1
=
+
.
j o
1
=
=
0
+1
jo
2 von Null verschieden, wird sodann
=
m
2
1
1.
Òo
Ist auch noch
Rest

:
Ò
m
2
dividiert:
1
1
j
:
: :

durch

= 0 ist, wird im zweiten Schritt
.
=
+
j
1
ª
:
1
0
=
j
Falls

m
+
Ò
0
j
j
=
+
Ò
0
j
=
ÒY
=
1
ÒY
Ò
=
=
jY
1
ÒY
Offensichtlich ist dann
jY
j
Rest
`
`
n
j
0
Ò
Ò
=
j
1, bricht der Algorithmus ab, falls verschwindet;
Im -ten Schritt,
andernfalls wird definiert als größte ganze Zahl kleiner oder gleich
1
und +1 so, daß gilt
mit 0
ÒY
:
Ò
ÒY
Der EUKLIDische Algorithmus läßt sich auch verwenden, um eine Zahl
durch Brüche zu approximieren. Beginnen wir der Einfachheit halber
mit
. Der erste Schritt des
mit einer rationalen Zahl =
EUKLIDischen Algorithmus dividiert durch :
j
¡
>Ò
1
Ò\
§1: Der Kettenbruchalgorithmus
+
0
Ò
=
= [ ] und schreibe
0
Dies

Kapitel 5
Kettenbrüche

Setze zur Initialisierung
0.
8V
durch ist 0 = [ ], und der durch dividierte Rest ist
führt zu folgender Formulierung des Algorithmus:
Kap. 5: Kettenbrüche
c
Òo
Ò
Ò
Òo
m
:
Ó
Ò
8V
w
^
^ \
Ò
^ \
^ \
^
Ô
Õ
Ò
^
Ò
??
?
^

2+
1
1
2
sind, gerundet
2+
1
0 002453 und 0 000420 ;
^ \
0 085786 0 014214
2
2+

0 414214
was ungefähr gleich 1 4137931 ist. Die Fehler
auf sechs Nachkommastellen, die Zahlen
= 1+

1
2+
2
¥¥
und

1
5
2 7 10
7
5 8 10
10
4687
33102
Dazu betrachten wir (im wesentlichen nach dem Ansatz von HAROLD
STARK in seinem Buch An Introduction to Number Theory, MIT Press,
1978) das Problem der rationalen Approximation von der geometrischen
0 haben wir die Gerade =
durch
Seite: Zur reellen Zahl
den Nullpunkt, und offensichtlich ist genau dann rational, wenn auf
dieser Geraden außer dem Nullpunkt noch ein weiterer Punkt ( ) mit
ganzzahligen Koordinaten liegt. Rationale Approximationen erhalten
, die in der Nähe der Geraden liegen.
wir durch Punkte ( )
Wir wollen uns zunächst überlegen, daß die Konvergenten der Kettenbruchentwicklung einer irrationalen Zahl stets die bei vorgegebener
Größenordnung des Nenners bestmögliche rationale Approximation dieser Zahl liefern.
§2: Geometrische Formulierung
A

verglichen mit den kleinen Nenner 1 2 5 12 und 29 haben wir also
erstaunlich gute Übereinstimmungen, und im übrigen ist auch die Kettenbruchentwicklung erheblich regelmäßiger als die Dezimalbruchdarstellung von 2.
8 3 10
3
sind
].
9
= 1. Ein
0 99659976. Weiter
Auch hier haben wir wieder, verglichen mit der Größe des Nenners,
exzellente Approximationseigenschaften.

2+
0 0013
\

= 1+
0 14

3
41
=
,
29
p
?
1

17
=
= 1 416
12

\
1

7
= 1 4,
5

Die ersten Partialbrüche und ihre Differenzen von
15
16
1
3
3
3
3
7
106
113
= [3 7 15 1 292 1 1 1 2 1
ist somit
p

?
1
2+
2
j

1
j

=1+
Ò j
Die Kettenbruchentwicklung von

p
?
2
3

Die ersten Partialbrüche sind
1
=15
0 =1
1 =1+
2
= 15 und
0 062513285 .
¥
] = [1 2] .
2
5 =
1
2
¥¥
2 = [1 2 2 2
=
j
2+
2
und
j
geht es mit 3 = 1, 4 = 292,
6 = 7 = 1, 8 = 2 und
Muster ist weder erkennbar, noch ist eines bekannt.
Im nächsten Schritt ist
=7
j
1
2+
In Analogie zu periodischen Dezimalbrüchen schreibt man dies auch
kurz in der Form
j
1
^ \
2+
^ \
1
j
2+
Damit
p\
j
.
1.
3
×
1
1=
1
aÒ
2+
2
=

1
2=
1

j
2=1+
^
2
^
Ö
d.h. 1 = 1 + 2 = 2 und 2 = 1 +
wiederholt sich ab jetzt alles, d.h.
Ò
j
2+1,
Ò
aÒ
1
Ò
Ö
2+1
=
1)( 2 + 1)
Ò
Als zweites Beispiel betrachten wir = ; hier erhalten wir zunächst
3 0 14159, sodann
0 = 3 und 1 =
p\
1
=
2 1 ( 2
2 = 1 und
a
×
=
=
j
0
p
1
^
Ô
Õ
2. Hier ist
^
=
Kap. 5: Kettenbrüche
8V
Als Beispiel betrachten wir
2 1. Also ist
1 =
Zahlentheorie

XÒ
<

r
Ò
¦
Ò
¦

^
Ñ

ª<

8V
=
<

<
:
1
r
XÒ
2
:

Ø<
Ø
Ø

Á
ªj
Ø
j
j
Ò
= > <
> Ò
<\
Ø

A
Ø
Ò
Ø <\
Ù× ÙÙØ Ù
Ò Ò
<\ Ø <\
ÙÖ ÙÙÙ
j
Ø

j
j

j
<

Ò
X

1
Ò
< \ Ø Ò

<
<
Ø

Ø
Ø <\
XÒ
r

q
h
q
=
ÙÙ ÙÙ <
<
Ò\
ÙÙÙÙ
Ò

n
:

j
j

1
1
1 strikt
+
2
,
1

1
=

1
0
< <
j
2
1

2
1
;

1
Wir können die obigen Rekursionsformeln zusammenfassen zur Matrixgleichung
strikt monoton fällt. Die Brüche
Annäherungen an .
=

geben also immer bessere
Aus den Beziehungen
=
=
2 +
1 und
sehen wir daher, daß die Folge der
wie auch der
für
monoton ansteigt, während die Folge der Differenzen
h
<
j
:
Ò

Dann liegt
auf derselben Seite der Geraden wie
2 , für gerades
also unterhalb und für ungerades oberhalb – es sei denn, irgendwann
einmal liegt ein
auf der Geraden. In diesem Fall ist rational und
wir brechen die Konstruktion ab. Für irrationales erhalten wir eine
unendliche Folge von Punkten .
1
1
2
2+
ist.
Der nächste Punkt ist 0 = (1 0 ) mit 0 = [ ], also ist 0 = [ ]
und der Betrag davon ist kleiner als 1 = 1. Somit ist für alle
der Koeffizient von Null verschieden und
1 .
\
.

h
Die ersten beiden Abstände sind 2 =
und 1 = 1; es hängt von
ab, welche der beiden Zahlen den größeren Betrag hat.
r
Ò
Ò

<
1
XÒ
h

:
n
+
h
:
ÙÙ
h
ÙÙ
q>
h
q

j
2
2
+
h h

h
n
\Ò :
=
+
2
h
Ò
Ausgehend von =
=
2 = (1 0) und
1 = (0 1) definieren wir
für
0 mit dem gerade konstruierten =
aus
nun die Punkte
ihren beiden Vorgängern rekursiv als
=
Ù× ÙÙÙ
h h
ÙÖ ÙÙÙ h

1
2
1
h
j
:
jY
Ò
Zähler und Nenner des obigen Bruchs lassen sich einfach geometrisch
) hat dieselbe -Koordinate wie
= ( ) und
interpretieren: (
liegt auf der Geraden = ; daher ist
der (gerichtete) vertikale
entsprechend der von .
Abstand von zur Geraden und
1
+
1
h
×ÙÙÙÙ
h h
ÙÖ ÙÙÙ
n
das Verlangte leistet. Man überlegt sich leicht, daß diese Formel auch
unterhalb der Geraden liegt.
gilt, wenn oberhalb und
2
h
=
.

j
betragsmäßig kleiner als
1 . (Man beachte, daß
1 und
2 verschiedene Vorzeichen haben!) Falls daher für einen Index der Abstand
von
kleiner ist als der von
1 zur Geraden =
2 , gilt dasselbe
auch für alle folgenden Indizes, und ab dem Index sind alle
1.
=
2
h
h
=
h
Liegt nämlich beispielsweise unterhalb der Geraden, so ist
also
0. Für den oberhalb der Geraden liegenden Punkt
entsprechend
0. Damit ist klar, daß
genau dann, wenn
1
2
Ist dagegen
1, und da
=
1
2 , so ist
auf derselben Seite der Geraden liegt wie
,
ist
auch
2
Daher verschwindet
=
ÙÙ
h
ÙÙ
Ù> Ù
h

Ù
×ÙÙÙÙ Ù
n
h h
j
ÙÖ ÙÙÙ
j
ÙÙ
h
j ÙÙ
Ù> Ù
h
ÙÙ
,
ist
Zu zwei Punkten
= ( ) und
= (
), die auf verschiedenen
Seiten der Geraden liegen, gibt es stets eine nichtnegative ganze Zahl
+
entweder auf der Geraden liegt oder aber auf
0 , so daß
derselben Seite wie , während + ( + 1) auf der anderen Seite liegt.

= (0 1).
<

h
<
\
= (1 0) und
Ò
den gerichteten vertikalen Abstand
, so ist nach obiger
) von der Geraden =
r
Wir starten mit
=
XÒ
Die folgende Konstruktion liefert solche Punkte . Sie liegen für geund für ungerades darüber.
rade stets unterhalb der Geraden =
Bezeichnen wir mit
des Punktes
=(
Formel
Kap. 5: Kettenbrüche
8V
(Die Reihenfolge der Koordinaten mag auf den ersten Blick verwundern; wir interessieren uns jedoch in erster Linie für die Steigung des
Ortsvektors zum Punkt ( ), und die ist der Bruch
.)
Zahlentheorie

< <
Ò
8V
¢
(

<
<

\ =
\
<
<

<
<

\ \ \

<
<
<

:
<
?
\
\

Ò
n

XÒ
r
:
=
+1
=
(
+1
)
¡
2
1
.

=
=
<
Ò

=
<

=
= <
Ò
=

q >
=<
q
Ò
Ò\
=
<

;
n =Ò
:

j
j h h
h
h h
1
j h
=
+
+1
Wir schreiben
der Punkte
1
1
)

als ganzzahlige Linearkombination =
1 +
und . Das ist möglich, denn die Determinante des
ß
1
h
ÙÔ Ù h
1
hÜÛ
j
oder
ÙÕ Ù

=h
+
ß
Ý
1
m
r
=
XÒ
+1
.
<

s
oder

Beweis: Wir betrachten die Punkte
=(
1 = (
1
1 ),
und = ( ). Es genügt zu zeigen, daß der vertikale Abstand von
einen kleineren Betrag hat als der von .
zur Geraden =
1
1
ÙÙÙÙ
<
1
1
Ò\
ÙÙA ÙÙ
Ùm ÙÙ
Ý
Ã
Ò
\
Ò
= ÙÙÙ
<
Ò n
:

=
=
<

Â<
=
=Þª Ým
1
Lemma:
seien die Konvergenten der Kettenbruchentwicklung
einer reellen Zahl . Falls irrational ist oder rational mit einem Nenner
echt größer ,
2, so ist für jede rationale Zahl
mit
und
=ÞÝm
ß
+
jY
1
was durch Umordnung
1 führt. Also ist

v
2
2
2
.
+
1,
Ý
+
1
1
2
<

=
Ú
=
=
+
2+
2
1
=

zumindest für
1 ist dann
1. Wegen
ist dann
= [1
]. Division der Beziehung
durch
1 führt auf
2
h h
\
ÙÙÙÙ >
Ò
h h
ÙÙÙÙ
Ò
2
1
1)
2
1
Nach den Vorbereitungen im letzten Paragraphen können wir nun beweisen, daß Kettenbrüche in der Tat bestmögliche Approximationen geben:
Ist
irgendein Bruch, dessen Nenner zwischen den Nennern
1
zweier Konvergenten der Kettenbruchentwicklung liegt, so ist
und
:
1
1 eine bessere Approximation als

=ÞÝm =
<
=
=
Ý
1
=
2)
2
1
=ÞÝm
=
+
=
<
¡
Dazu setzen wir
Ò
§3: Optimale Approximation
2
2
1

Zuvor sollten wir uns aber noch überlegen, daß die hier betrachteten
Brüche
tatsächlich die Konvergenten der in 1 definierten Kettenbruchentwicklung sind und daß die hier betrachteten Zahlen mit
denen übereinstimmen, die der Kettenbruchalgorithmus liefert.
2
=
< <
Ò
<
Ò Ò Ò
Ò

Ò
Da die Folge der
strikt monoton ansteigt, konvergiert die Folge der
somit gegen , und dies sogar extrem gut: Ist
eine rationale
Approximation einer irrationalen Zahl , so kann der Fehler im allgemeinen bis zu 1 2 betragen; hier ist er höchstens 1 2 und tatsächlich
wohl, da wir recht grob abgeschätzt haben, meist deutlich kleiner. Wie
wir gleich sehen werden, muß umgekehrt
eine Konvergente der
Kettenbruchentwicklung von sein, wenn
1 2 2 ist.
Ò\
ÙÙÙÙ
1
1+
+1
ÙÙ ÙÙ
<

\
<
ÙÙÙÙ
ÙÙ ÙÙ
<
\
<
ÙÙ¡ ÙÙ
ÙÙ ÙÙ
<
1
+1
Damit ist (
der Terme auf (
Ò
+1
Ò
Ò Ò

\ \ Ò
< < \
\
<
h h
<
\
\
Ò
Ò
Ò
=
<
.

+1
Für spätere Anwendungen wollen wir noch eine Formel herleiten, wie
sich
aus
sowie den Konvergenten
1
1 und
2
2
berechnet läßt: Nach Definition ist

=
<
+1
Ò
=
Als nächstes wollen wir uns überlegen, daß die Folge dieser Brüche
und
gegen konvergiert. Da
+1 auf verschiedenen Seiten der
liegen, ist für
0
Geraden =
j
1
2) .
Ò
= 0 0 1 1 = 1; daraus folgt induktiv
= ( 1) 1 . Insbesondere sind die Zahlen
ist also ein gekürzter Bruch.
1
Ò
2
2
1
Ò j
Für = 0 ist 1 2
1
die Formel
1
und stets teilerfremd,
1
\
1
j
was zusammen mit = [1
] und dem Induktionsanfang = 0 +
genau auf die zu Beginn des Abschnitts konstruierten Folgen der
und
führt.
=
1
Kap. 5: Kettenbrüche
8
=
wenden wir darauf den Multiplikationssatz für Determinanten an, erhalten wir die Formel
Zahlentheorie
c9

Ò
j
Ò
Ò
\
Ò
\
j
c
8
8

1
m Ý
s v
<
<
s
ß
v

\
à
s
=
<

>Ò
=
>

< =
<
A
Ò
A

=
<
â
\\ ¯
s
Ò

á
2
1
.
Als nächstes wollen wir uns überlegen, wann gute Approximationen
Konvergenten der Kettenbruchentwicklung sein müssen. Wir wissen
bereits, daß für die Konvergenten gilt
Ý
^ \

s á

ÙÙ > ÙÙ
<
Ò\
ÙÙÙÙ
j
è
é
^
Õ
Ô
á
ê
X
äå
ìí
ë
j
^
^ \
r
XÒ
s>
= 2 und
^ \

ß
X
s Ò
^
j
^ \
r
@
r
ã
äæå ç

s
äæå ç
t

=
2+
^
á

\
äæå ç
X
\ Ò
@
1+
1
?

1=
= [1 1 2] .
??
á

XÒ s >
\
r

r
r
XÒ
1
2+
1

X
v
@
s
A
s

Ý
X
s

1
2
1
2
3
1
3
4
1
8
11
und 1
11
;
15
Die ersten Konvergenten der Kettenbruchentwicklung sind
1+
^ \
3=1+
1
Ab hier wiederholt sich also alles periodisch, d.h.
3
Ò
2
Ò
3+1=

2
=
3 1
Ò
Der Kehrwert davon ist
Ò
3
1
.
Dies charakterisiert die Konvergenten allerdings noch nicht: Betrachten
wir etwa die Kettenbruchentwicklung von = 3. Der Algorithmus
liefert zunächst 0 =
3 = 1 und 1 = 3 1. Der Kehrwert davon
ist
1
3+1
3 1
=
=
.
1 = 1 und
2 =
2
2
3 1
^
Ò
ß
á
¡
ß
Als nächstes betrachten wir den Fall
0. Dann muß
0 sein, denn
sonst wäre die -Koordinate =
von größer als . Der
1 +
Punkt
und die Gerade nähert
1 liegt unterhalb der Geraden =
sich dieser mit steigender Abszisse immer mehr an. Da der Punkt
entweder dieselbe Abszisse wie
1 hat oder eine kleinere, ist sein
ß

Im Fall
0 liegt der Punkt
1
und damit die ganze Gerade zumindest ab dem Punkt
1 oberhalb der Geraden =
, und wegen der größeren Steigung von
steigt der Abstand zwischen den
beiden Geraden mit wachsendem .
=
Wir können den Abstand von zur
1
Geraden =
daher nach unten
abschätzen durch den Abstand des
Schnittpunkts
von mit der 1
Achse. Dessen Abstand wiederum
1
können wir nach unten abschätzen,
indem wir = 1 setzen, denn in diesem Fall ist der Abstand von zur
Geraden =
am kleinsten. Der Punkt
1 hat (betragsmäßig)
,
und
da
die Abszisse = 0
wie
denselben Abstand von =
1
von größer ist als die von
, hat somit einen größeren Abstand
von =
als
0 ist damit die Behauptung bewiesen.
1 . Im Fall

;
v

Bleibt noch der Fall = 0. Dann ist =
, wobei = 1, da = .
Anderseits kann auch nicht größer als eins sein, denn
. Somit
kommt dieser Fall gar nicht vor.

Wir betrachten die Geraden durch
1 mit Steigungsvektor
nach unserer Annahme ist ihre Steigung somit größer als .
n
v
1
k
k
¡
1
s
ß
geht völlig analog.

k
Für das Folgende wollen wir uns auf den Fall
beschränken; der Fall
1
1
n
s
v
ist, wie wir oben gesehen haben, gleich ( 1) 1 ; wenn wir es nach
der CRAMERschen Regel lösen, erhalten wir also eine ganzzahlige
Lösung ( ).
s
Abstand somit höchstens gleich dem von
1 , der wiederum das 2
erhalten wir damit die
ist.
Für
fache des Abstands von
1
gewünschte strikte Ungleichung. Für = 1 erhalten wir auch eine, denn
wegen der Voraussetzung =
1 sein.
1 muß dann
s
1
Kap. 5: Kettenbrüche
8
linearen Gleichungssystems
Zahlentheorie
cB

XÒ
v
r
s

cV
8
>

>
^ \
ÙÙÙÙ
Ò

ÙÙa ÙÙ

ÙÙ> ÙÙ
<
Ò\
ÙÙÙÙ

<
<
Ò

= <
n
q
<
Ò\

=
<
n
Ù Ù
<
Ò\

Ù Ù

n ¯
q ï
<
< \
q

=
<
>Ò
ï
<
=
Ò X
Ò

i
<
Ò

i
q
i
Seien wieder
= (
) und
= (
) die Projektionen der
betrachteten Punkte auf die Gerade =
. Die Länge der Strecke
ist
, was nach Voraussetzung kleiner als 1 2 ist. Nach
dem Lemma zu Beginn dieses Paragraphen ist die Strecke
kürzer
als
, also ebenfalls kleiner als 1 2 und damit erst recht kleiner
als 1 2 . Somit haben beide Dreiecke
und
Flächen,
die kleiner sind als 1 4.
i

=
r
XÒ
r

Ò \

â
\\ ¯

â
\
< \\ ¯
\

i
=
ï
i
¯

=
q<
=

¯ <
\ =

<
Wir wollen uns überlegen, daß dann auch die Fläche des Dreiecks
kleiner als 1 2 sein muß, im Widerspruch zur obigen Rechnung. Die Geometrie hängt dabei stark davon ab, wie die Punkte
und
sowohl zueinander wie auch in Bezug auf die Gerade =
liegen.
¯
iîY
Y
XÒ
<Y r
Y
Y
=(
) ihre ProjekAls nächstes betrachten wir zu den Punkten
tionen
= (
) in -Richtung auf die Gerade =
und die
Dreiecke
. Nach Voraussetzung ist die Länge der Seite
für =
1 und = mindestens 1 2 . Die darauf senkrecht stehende
Höhe ist , also ist die Fläche jedes der beiden Dreiecks mindestens 1 4.
=
<
Das Kreuzprodukt der Vektoren
hat als Betrag
1 und
die Fläche des davon aufgespannten Parallelogramms; das Dreieck
mit Ecken
ist halb so groß. Wegen der Beziehung
1 und
1
1)
=
(
ist die Fläche dieses Dreiecks daher
1
1
gleich 1 2.
>
unterhalb
\
<
1)
k
Nach unserer Annahme liegt der Punkt
1 = (
1
=(
) liegt darüber.
der Geraden = , und
Da die Folge der Nenner strikt monoton ansteigt, gibt es genau ein ,
so daß
=
ist.
+1 ist; wir müssen zeigen, daß
= 0, also – da dies eine ganze Zahl ist –
Andernfalls ist
1. Setzen wir
= ( ), so ist also die Fläche des
Dreiecks
mindestens gleich 1 2.

1
¯
¡
1
ï
:
Wir nehmen für den Beweis wieder an, daß
ist; der umgekehrte Fall geht völlig analog.
ã
i

1
ë
ï
¯
2
ìí
ï

¯
1
.
2
i

und
@
1
i

1
=
= <
1
=
b) Wir können natürlich voraussetzen, daß der Bruch
gekürzt ist,
denn für jede nichtgekürzte Darstellung ist die Bedingung echt schärfer.
=
Beweis: a) Angenommen, beide Ungleichungen sind falsch. Nach Mulhaben wir dann die beiden Relationen
tiplikation mit
1 bzw.
ðå ê
eine Konvergente der Kettenbruchentwicklung von .
1
, so
2 2
@
i @
i
i i
¯
@
ï ï
ï
ï

ist
Ù Ù> ÙÙ
<
Ò\
ÙÙ > ÙÙ ÙÙÙÙ
<
die Ungleichung
äæå ç
b) Erfüllen zwei ganze Zahlen
:
1
n
1
ð åç
1
.
2 2
ï
und
¯
2
Ò\
ÙÙÙÙ
1
ï
2
äå
i

1
r
2 mindestens eine
@
erfüllt für jedes

XÒ ï¯
Satz: a) Eine irrationale Zahl
der beiden Ungleichungen

Ist
der Schnittpunkt der Geraden =
mit der Verbindungsstrecke von
, so ist das
1 und
Dreieck
die
Vereini1
gung der Dreiecke
1
1,
1
und
,
mi1
1
nus dem Dreieck
. Die
=
Dreiecke beiden
1
1 und
sind
ähnlich,
und
da je1
de Konvergente eine bessere Approximation liefert als ihre Vorgänger,
ist das zweite dieser Dreiecke das kleinere. Daher ist die Fläche des
Dreiecks
größer als die Summe der Flächen der Dreiecke
1
und
, also größer als 1 4 + 1 4 = 1 2. Dies
1
1
ist ein Widerspruch zur obigen direkten Berechnung dieser Fläche.
8
Dafür gilt aber
Kap. 5: Kettenbrüche
c
da die Folge der Nenner monoton steigt, gibt es also keine Konvergente
mit Nenner sieben. Trotzdem ist
1
1
1
5
3 1
0 017765 0 2 =
= 2.
7
50
49 7
Zahlentheorie
c

ï
¯

iY `
Y Y
¯
ï
iîY
:\ Y
`
Ò Y
XÒ
r
=

=
=
:
Y
r
=
cw
8
= <
i ¯
ï
¯
Ò
ï

=
<
ìí
ðå

ï
i
¯
ð
¯
=
ðå
=
= <
ìí ê
äå
ã
=

ä
äå
ë
ã
= <

=
<
i

¯
ï
@
Ò

ï
ð
ìí
¯
ðå
¯
@

ï
@
ê

ä
äå
ë
ã
\
Ù?Ù

@
ÙÙ

Ù?Ù

@
ÙÙ

Ùi ?Ù

Ù ¡ Ù

i
?

\ Ù i Ù
¯
ï
¯
ï XÒ
Ù¡ Ù

?ÙÙ

@
=
ÙÙ

Definitiv vom Mond abgeleitet ist der Monat. Dieser dreht sich bekanntlich um die Erde; die Zeit für einen vollständigen Umlauf beträgt ungefähr 27,3 Tage. Dieser sogenannte siderische Monat spielt allerdings
für die Kalenderrechnung keine Rolle; für die Zeitbestimmung wurden
seit Alters her die gut und einfach zu beobachtenden Mondphasen verwendet. Da der Mond nicht selbst leuchtet, sondern das Sonnenlicht
Als nächstgrößere Einheit führten wahrscheinlich die Babylonier die
Woche ein; ob sie sich dabei vom ungefähren Abstand zwischen zwei
Mondphasen leiten ließen, ist unbekannt; vielleicht wurde die Dauer von
sieben Tagen auch einfach deshalb gewählt, weil die Sieben als heilige
Zahl galt.
Der Tag als Zeiteinheit ist ein so selbstverständlicher Teil unseres Lebensrhythmus, daß er als Zeiteinheit nie zur Debatte stand. Ebenso
selbstverständlich war, daß als Tag nicht die Dauer einer vollen Drehung der Erde um ihre Achse genommen wurde, sondern der etwa vier
Minuten längere Zeitraum, bis sie der Sonne wieder dieselbe Stelle
zuwendet.
Schon in den ältesten bekannten Kulturen richtete sich die Zeitrechnung
nach astronomischen Gesetzmäßigkeiten: dem Umlauf der Erde um die
Sonne, dem Umlauf des Mondes um die Erde sowie der Drehung der
Erde um sich selbst.
=

=
< XÒ
= <
Bleibt noch der Fall, daß zwischen
und
liegt, und
also auf verschiedenen Seiten der Geraden =
liegen. Dann schneidet ihre Verbinungsstrecke
diese Gerade in einem Punkt . Damit
sind wir in einer ähnlichen Situation wie beim Beweis von a): Das
Dreieck
ist gleich dem Dreieck
plus dem Dreiplus
minus
. Die beiden letzteren Dreieck
ë
¯
denn da zwischen
und +1 liegt, kann
nach obigem Lemma
haben als . Rechts
keinen größeren Abstand von der Geraden =
steht aber die verdoppelte Fläche des Dreiecks
, von der wir
wissen, daß sie höchstens gleich 1 2 ist, so daß auch dieser Fall nicht
auftreten kann.
ï

,
ð
ï
=
<
)=
ä
i
=
§4: Kettenbrüche und Kalender
i

@ ï¯
ï
(
i
nicht
ecke sind ähnlich, und da
kürzer sein kann als
ist das
subtrahierte Dreieck mindestens genauso groß wie
. Somit ist
die Fläche von
höchstens
gleich der Summe der Flächen von
und
, also kleiner
als 1 4 + 1 4 = 1 2. Damit haben
wir auch hier einen Widerspruch,
d.h.
muß gleich
sein.
i

+
i
Als nächstes nehmen wir an,
liege zwischen und
. Dann
schneiden sich die Strecken
=
und
in einem Punkt , und das
Dreieck
ist die Vereinigung der beiden Dreiecke
und
. Zur Flächenberechnung gehen wir aus von der gemeinsamen Kante
; die darauf senkrecht stehenden Höhen haben die
Längen
und
. Somit ist
die verdoppelte Fläche des gesamten Dreiecks
gleich
8
=
Kap. 5: Kettenbrüche
c
Betrachten wir als erstes den Fall,
und
daß
zwischen
liegt. Dann liegt der Punkt
im
Innern des Dreiecks
, also
ist das gesamte Dreieck
im Dreieck
enthalten. Da
ersteres mindestens die Fläche 1 2
hat, letzteres aber weniger als 1 4,
kann dieser Fall offensichtlich nicht
vorkommen.
Zahlentheorie

Ò
@
i

r
ï
¯
i
ï

¯ i
ï

ï
@

ï
¯

Kap. 5: Kettenbrüche
oder dem Durchgang der Sonne durch den Frühlingspunkt. Das ist (im
Mittel) das sogenannte tropische Jahr mit einer Länge von 356,2422
Tagen. Der Unterschied zum siderischen Jahr ist zwar gering, aber – wie
wir gleich sehen werden – trotzdem relevant.
Zahlentheorie
reflektiert, hängen diese ab vom Winkelabstand zwischen Sonne und
Mond; für den Kalender relevant ist daher der sogenannte synodische
Monat von 29,53 Tagen, nach dem sich dieser Winkelabstand wiederholt. (Der tatsächliche Abstand zwischen zwei Neumonden ist wegen der
komplizierten Mondbewegung keine Konstante; erst im Mittel kommt
man auf den synodischen Monat.)

8
Ein Jahr, das wirklich synchron zu den Jahreszeiten ist, sollte allerdings
nicht anhand des Fixsternhimmels definiert werden, sondern anhand jahreszeitlicher Phänomene wie beispielsweise der Tag- und Nachtgleiche
Für Regionen mit ausgeprägten Jahreszeiten oder jährlich wiederkehrenden Ereignissen ist die Synchronisation des Kalenders mit der Sonne
wichtiger als die mit dem Mond. Das wohl älteste Beispiel eines reinen
Sonnenjahrs bietet der ägyptische Kalender. Da die für die Landwirtschaft fundamentalen jährlichen Nilüberschwemmungen ungefähr mit
der ersten Sichtung des Sterns Sirius übereinstimmten, wurde dieses
Ereignis als Beginn des neuen Jahrs genommen. Dies ist das sogenannte
siderische Jahr mit einer Länge von 365,256 Tagen. Obwohl die Ägypter wußten, daß diese Länge ungefähr 365 14 Tage beträgt, legten Sie
doch fest, daß jedes Jahr genau 365 Tage haben sollte, verteilt auf zwölf
Monate zu jeweils dreißig Tagen sowie fünf Zusatztagen.
Es ist klar, daß bei einer solchen Festlegung die Länge der Monate
sowohl innerhalb eines Jahres als auch von Jahr zu Jahr schwankt, außerdem sind die Jahre nicht synchron zum Umlauf der Erde um die
Sonne. Da der Kalender auf der arabischen Halbinsel entstand, wo Jahreszeiten keine Rolle spielen und auch die Landwirtschaft das ganze Jahr
über konstante Bedingungen vorfindet, ist letzteres dort kein Nachteil.
Einer der einfachsten und zugleich einer der jüngsten dieser Kalender ist
der islamische: Sobald mindestens zwei vertrauenswürdige Männer den
neuen Mond gesehen haben, beginnt ein neuer Monat, bei bewölktem
Himmel unabhängig davon dreißig Tage nach dem letzten Monatsanfang. Alle zwölf Monate beginnt ein neues Jahr.
Um die Neuerung des Gregorianischen Kalenders zu verstehen, betrach-
Dabei blieb es bis ins sechzehnte Jahrhundert. Bis dahin hatte das astronomisch etwas zu lange Julianische Jahr zu einer Verschiebung beispielsweise der Frühjahrssonnenwende um rund elf Tage geführt. Um dies
zu korrigieren, setzte Papst GREGOR XIII (UGO BONCOMPAGNI, 1502–
1585, Papst ab 1572) eine Kommission ein, auf Grund von deren Empfehlungen in den Jahren, die durch hundert aber nicht durch vierhundert
teilbar sind, auf den Schalttag verzichtet wird. Dieser Gregorianische
Kalender trat in den katholischen Ländern am Freitag, dem 15. Oktober
1582 in Kraft; um die bis dahin akkumulierten Fehler des Julianischen
Kalenders zu kompensieren, folgte dieser Tag auf den noch Julianischen
Donnerstag, den 4. Oktober 1582. In nichtkatholischen Ländern galt
der Julianische Kalender noch länger, wurde aber schließlich (mit den
verschiedensten Übergangsregeln) überall durch den Gregorianischen
ersetzt – zuletzt 1927 in der Türkei.
Viel bedeutender als dieser Unterschied war aber zunächst einmal die
Tatsache, daß ein Jahr mit exakt 365 Tagen natürlich im Laufe der Jahrhunderte zu einem Verlust der Synchronisation des Kalenders mit den
Jahreszeiten führt. Aus diesem Grund beauftragte GAIUS JULIUS CAESAR
(100–44) den alexandrinischen Astronomen SOSIGENES mit einer Kalenderreform, die die damit verbundene Verschiebung des Jahresanfang (die
sich in nur 120 Jahren auf einen Monat summiert) kompensieren sollte. Das Ergebnis, der Julianischer Kalender wurde offiziell eingeführt
zum 1. Januar des Jahres 709 ab urbe condita, d.h. nach Gründung der
Stadt Rom. In unserer heutigen Zeitrechnung handelt es sich dabei um
das Jahr 45 v.Chr. Die Monatsnamen und -längen des Julianischen Kalenders sind die heute noch gebräuchlichen. Er unterscheidet sich vom
klassischen ägyptischen Kalender durch die zusätzliche Regel, daß in
jedem vierten Jahr ein Schalttag eingeführt wird, der 29. Februar.
8
Da 29,53 keine ganze Zahl ist, lassen sich Monate nicht einfach als eine
feste Anzahl von Tagen definieren sondern müssen in einem lunaren
Kalender mal 29, mal 30 Tage haben.
c
c¢
8
¥¥
¥

1
7
8
31
132
365 365
365
365
365
365
.
4
29
33
128
545
Der Julianische Kalender verwendet die einfach zu realisierende Konvergente 365 41 . Unter den folgenden Konvergenten finden wir keine
mit einem Nenner, der sich gut für eine einfache Kalenderregel eignen
würde. Am ehesten kommt vielleicht noch der Nenner 33 in Frage, da
er ungefähr ein Drittel von hundert ist. Arbeitet man mit der Appro8
ximation 365 33
, so sollten unter 33 Jahren acht Schaltjahre sein, also
24 pro 99 Jahre. Nimmt man stattdessen 24 Schaltjahre pro Jahrhundert, was der Regel entspricht, daß durch hundert teilbaren Jahre keine
Schaltjahre sind, so sorgt der Unterschied zwischen 99 und 100 dafür,
daß nach jeweils 400 Jahren eine Vierjahresperiode fehlt. Auch diese hat
Anspruch auf ein Schaltjahr, daher die Gregorianische Regel, daß durch
hundert teilbare Jahre keine Schaltjahre sind, es sei denn, die Jahreszahl
sei sogar durch vierhundert teilbar. Innerhalb einer jeden Periode von
400 Jahren gibt es also 100 3 = 97 Schaltjahre; das Gregorianische
97
Jahr hat somit eine Länge von 365 400
Tagen, eine praktikable Zahl in
8
der Nähe der Konvergente 365 33 .
und hat die Konvergenten
[365 4 7 1 3 4 1 1 1 2]
\
ò\
=
ò\
ò
ò\
=
=
=
1) 100] + [(
ò\
ò\
ò\
\
ò\
ò\
;
ñ
ò
1) 400] + .
Um den zugehörigen Wochentag zu finden, müssen wir nun nur noch
den Wochentag des Tags Nummer eins bestimmen. Dazu können wir
von irgendeinem bekannten Datum ausgehen: Donnerstag, der 2. April
2009 ist der (31 + 28 + 31 + 2) = 92-te Tag des Jahres 2009, hat also die
Nummer
365 2009 + 502 20 + 5 + 92 = 733 499 .
[(
`
?
`
`
Diese Zahl ist kongruent vier modulo sieben; somit war Tag eins ein
Montag. Geben wir den Wochentagen, wie es die DIN- und ISO-Normen
vorsehen, von Montag ausgehend die Nummern eins bis sieben, so fällt
\
Um auch die Abhängigkeit vom Jahr noch zu berücksichtigen, ist es am
einfachsten, die Tage nicht vom 1. Januar des jeweils betrachteten Jahres
aus zu zählen, sondern ab irgendeinem festen Datum. Historisch sinnvoll
wäre hier beispielsweise das Datum der Einführung des Gregorianischen
\
=
1) 4]
`
Alle Wochen haben exakt sieben Tage, die Jahre haben nach einer relativ klaren Regel 365 oder 366 Tage; es ist daher relativ einfach, den
Wochentag für den -ten Tag des Jahres zu berechnen, sofern man ihn
für irgendeneinen anderen Tag dieses Jahres kennt: er hängt innerhalb
eines Jahres schließlich nur ab von mod 7.
=
1) + [(
ò\
365(
ò\
Beginnen wir mit dem einfachsten Problem, den Wochentagen, und
überlegen wir uns, auf welchen Wochentag der -te Tag des -ten
Monats im Jahr fällt.

Wenn wir dem fiktiven 1. Januar 0 die Nummer eins geben, können
1 folgendermaßen
wir die Nummer des 31. Dezembers des Jahres
berechnen: Bis dahin sind
1 Jahre verflossen, von denen jedes
mindestens 365 Tage hatte; damit kommen schon einmal 365( 1) Tage
zusammen. Was noch fehlt sind die Schalttage: Im Julianischen Kalender
hätte es davon [(
1) 4] gegeben, im Gregorianischen sind aber die
durch 100, nicht aber durch 400 teilbaren Jahre keine Schaltjahre, also
müssen wir [(
1) 100] [(
1) 400] subtrahieren. Der -te Tag
des Jahres hat somit die Nummer
Für die Mathematik ist es unerheblich, ob zum fiktiven Anfangspunkt
bereits der Gregorianische Kalender in Gebrauch war oder nicht; wir
können daher beispielsweise ausgehen von einem 1. Januar eines fiktiven
Jahres Null. (Die Zählung der Jahre ab Christi Geburt wurde im sechsten
Jahrhundert initiiert von DIONYSIUS EXIGUUS, der allerdings ein falsches
Geburtsjahr 1 berechnete, auf das wir uns heute noch beziehen. Jahre
davor interessierten ihn nicht; der erste der auch Jahre zuvor in Bezug
auf Christi Geburt datierte, war wohl der angelsächsische Theologe
und Historiker BEDA VENERABILIS ( 673–735), der – da er keine Null
kannte – das Jahr vor dem Jahr eins nach Christus als eins vor Christus
bezeichnete.)
Kalenders; da hier aber Jahr, Monat und Tag krumme“ Zahlen sind,
”
würde dies zu unnötig komplizierten mathematischen Formeln mit zu
vielen willkürlich erscheinenden Konstanten führen.
Kap. 5: Kettenbrüche
8w
ten wir die Kettenbruchentwicklung von 365,2422; sie ist
Zahlentheorie
9
`
8w
8
`
ñ
;
Ýô
óõô
;
óöô Ý ô
ñ
;
ò
=
=
=
ñ
óõô
ò\
ò\
\
ò\
ò\
ò
Ýô
óõô
?
Ýô
óõô
;
óõô Ý ô
Für ihn wäre die am wenigsten irreguläre Verteilung der Monatslängen
wohl die, bei der Tag eines Jahres mit Tagen genau dann im -ten
Monat liegt, wenn gilt
(
1)
12
1
,
oder
12
12
Schöner wäre es freilich, wenn wir eine Formel hätten, die ohne Wertetabelle auskommt. Um eine solche zu finden, ignorieren wir zunächst einmal die historisch überkommenen Monatslängen und tun so, als könnte
ein Mathematiker am grünen Tisch festlegen, wie er 365 Tage auf zwölf
Monate verteilt.

1 2 3 4 5 6 7 8 9 10 11 12
0 3 3 6 1 4 6 2 5 0 3 5
1 4 4 0 2 5 0 3 6 1 4 6

=
mod 7 =
mod 7 =

modulo sieben falls kein Schaltjahr ist; andernfalls muß
durch
ersetzt werden. Da es uns nur auf Restklassen modulo sieben ankommt,
kann der Faktor 365 auch weggelassen werden: 365 = 52 7 + 1. Auch
genügt es natürlich, die Zahlen
oder
modulo 7 einzusetzen. Die
entsprechenden Zahlen sind

Die Anzahl der Tage vor dem Ersten des -ten Monats wäre in unserem
hypothetischen Kalender einfach gleich [367
12]; durch die zyklische
Verschiebung wird diese Formel freilich zerstört. Sie kann aber gerettet
werden durch eine Verschiebung im Zähler: Wie explizites Nachrechnen
zeigt, sind in einem Jahr mit 367 Tagen, in dem der Februar dreißig Tage
362) 12] Tage
hat, vor dem Ersten des -ten Monats gleich [(367
(Kurioserweise gab es 1712 in Schweden sogar ein Jahr mit 367 Tagen
und einem 30. Februar: 1699 wurde beschlossen, langsam zum Gregorianischen Kalender überzugehen und dazu als erstes den Schalttag
1700 zu streichen. Danach wurde der Beschluß aufgegeben, und um
wieder synchron zum Julianischen Kalender zu werden, gab es 1712
einen 30. Februar als zweiten Schalttag. 1753 wurde der Gregorianische
Kalender dann endgültig und abrupt eingeführt.)
wir haben also wie im wirklichen Kalender an zwei Stellen aufeinanderfolgende Monate mit 31 Tagen. Im Kalender sind dies Juli/August
und Dezember/Januar, hier sind es die Monate 6 und 7 sowie 11 und 12.
Wenn wir zyklisch um eine Position verschieben, so daß die hintere 31
an der ersten Stelle steht, stimmen die beiden Positionen überein, und
abgesehen vom Februar, der hier dreißig Tage hat, haben wir genau die
Folge der Monatslängen.
30 31 30 31 30 31 31 30 31 30 31 31 ,
Trotzdem läßt sich auch unser chaotisches Monatssystem fast auf eine
solche Formel bringen: Nehmen wir an, wir hätten ein Jahr mit 367
Tagen und zwölf Monaten. Dann liefert uns die obige Vorgehensweise
Monate der Längen

+
W

1) 400] +

1) 100] + [(

[(

1) 4]

1) + [(

365(

auf den Wochen-

-ten Monats des Jahrs

Dann fällt der -te Tag des
tag mit der Nummer

1 2 3 4 5
6
7
8
9 10 11 12
0 31 59 90 120 151 181 212 243 273 304 334
0 31 60 91 121 152 182 213 244 274 305 335

führen, in einem Schaltjahr mit = 366 hätten alle ungeraden Monate
dreißig und alle geraden Monate 31 Tage. Ein Februar mit 28 oder
29 Tagen kann bei einer derartigen Strategie natürlich nie vorkommen.

=
=
=
s
30 30 31 30 31 30 30 31 30 31 30 31
. Für ein Jahr
W
=`
d.h. ist die kleinste ganze Zahl größer oder gleich 12
mit = 365 Tagen würde dies auf die Monatslängen
Kap. 5: Kettenbrüche
8w
Um den Wochentag zu einem vorgegebene Datum bestimmen zu
können, müssen wir nun nur noch berechnen, der wievielte Tag des
Jahres der -te Tag des -ten Monats ist. Eine sehr einfache Methode
besteht darin, daß wir zählen, wie viele Tage vor dem Ersten des jeweiligen Monats bereits vergangen sind. Dabei müssen wir natürlich zwischen Schaltjahren und gewöhnlichen Jahren unterscheiden: Für letztere
Tage, für erste
. Dann haben wir folgende Tabelle:
seien dies
der Tag mit Nummer also auf den Wochentag mit Nummer mod 7,
wobei die Null dem normgemäß mit 7 bezeichneten Sonntag entspricht.
Zahlentheorie
B
=
;\
=;
;
;
s
s
`
W
`
s
s\
¡
`
W
>
s\
W
¡
W >
8w
V
ô
÷

Ô
ô
Ô

362
ô
÷

Ô
óõô
Ýô
ñ
Ö
× \
ò\
ò\
1
+
100
+
ist somit
ñ
øô
;\
ò ò
ò\
;
ò\
¡
ù
n n
; ;
\ \
øô
365 2422 : 29 5306
a

[12 2 1 2 1 1 4 1 81]
solchen Zykeln. Die Kettenbruchentwicklung dieses Quotienten ist
12 3679
Die mittlere Zeitspanne zwischen zwei Neumonden, die synodische
Umlaufzeit des Mondes, beträgt etwa 29,5306 Tage; ein tropisches Jahr
mit seinen 365 2422 Tagen besteht also aus
Wir brauchen Informationen über die Wochentage, über die Mondphasen und über die Tag-Nacht-Gleiche im Frühling. Letztere ist, da der
Gregorianische Kalender das tropische Jahr recht genau approximiert,
noch recht lange konstant am 21. März jedes Jahres; bei der bei der
Berechnung des Osterdatums geht man daher stets von diesem Tag aus.
Wie man Wochentage bestimmt, haben wir uns gerade überlegt; bleibt
also noch das Problem mit den Mondphasen.
Der erste Vollmond am oder nach der Frühlings-Tag-und-Nacht-Gleiche
nicht einfach nach einer ähnlichen Regel wie der Monatsanfang im islamischen Kalender bestimmt werden, also etwa dann, wenn ihn mindestens zwei vertrauenswürdige Kardinäle gesehen haben, denn der
österliche Festkreis beginnt bereits siebzig Tage vor Ostern. Das Datum mußte daher im Voraus berechnet werden. Der Mathematiker und
Informatiker DONALD E. KNUTH sagt in Abschnitt 1.3.2, Aufgabe 14
seiner Art of Computer Programming: There are many indications that
the sole important application of arithmetic in Europe during the Middle
Ages was the calculation of the Easter date, and so such algorithms are
historically significant. Schauen wir uns also an, wie Papst Gregor das
Osterdatum berechnen ließ.

¥¥
¥

mit Konvergenten
1
3
4
7
32
39
12 12
12
12
12
12
12
.
3
8
11
19
87
106
Für einen Kalender, der sowohl mit der Sonne als auch mit dem Mond
synchronisiert ist, könnte man also Jahre mit 12 und 13 Monaten kombinieren, wobei in erster Näherung jedes dritte Jahr 13 Monate hätte.

Mindestens genauso wichtig wie eine verbesserte Schaltjahrregel war
für Papst Gregor das Datum des Osterfests; auch darum sollte sich seine
Kommission kümmern. Damit kam nun plötzlich auch der Mond in den
Kalender, denn 325 beschloß das Konzil von Nicäa (bei Konstantinopel),
daß Ostern stets am ersten Sonntag nach dem ersten Vollmond am oder
nach der Frühlings-Tag-und-Nacht-Gleiche zu feiern sei. (Man beachte,
Als beispielsweise der amerikanische Naturwissenschaftler, Philosoph
und Politiker BENJAMIN FRANKLIN geboren wurde, zeigten die Kalender
in seiner Heimatstadt Boston den 6. Januar 1705. Massachusetts war zu
der Zeit noch britische Kolonie, und da Großbritannien den Gregorianischen Kalender erst 1752 einführte, ist das ein Julianisches Datum.
Gregorianisch ist sein Geburtstag elf Tage später, d.h. am 17. Januar.
Allerdings handelt es sich dabei nicht um den 17. Januar 1705, sondern
um den des Jahres 1706: In Großbritannien begann das neue Jahr damals nämlich nicht am ersten Januar, sondern am 25. März. Auf den 31.
Dezember 1705 folgte also der 1. Januar 1705 und auf den 24. März
1705 der 25. März 1706. Solche Besonderheiten bei der Interpretation
alter Datumsangaben gibt es viele; hier ist also Vorsicht geboten.
=
0 falls
2
1 falls
3 und Schaltjahr
.
2 falls
3 und kein Schaltjahr
Diese Formel gilt selbstverständlich nur für Daten nach dem Gregorianischen Kalender; bei älteren Daten muß man zunächst wissen, auf
welchem Kalender und welchem Jahresanfang sie beruhen.
modulo sieben mit
1
Ö
×
Ö
1
367
362
+
+
400
12
Õ \
;
×
Ö
4
n
×
1) +
;
-ten Monat des Jahrs
und
ò
(
2
.
3
¡
12
für
1 für
;
367
Õ \ Õ
362
n
12
;
367
2
3
¡
12
für
2 für
daß das erste nach im Sinne eines >, das zweite im Sinne eines
definiert ist. Der Grund für das > lag darin, daß so Ostern nur sehr selten
gleichzeitig mit dem jüdischen Pascha-Fest begangen wird.)
n
Der Wochentag des -ten Tags im
=
Ô
362

12
Õ
367
362
;
=
ô
367
Kap. 5: Kettenbrüche
8w
vergangen. Somit ist für unseren realen Kalender
Zahlentheorie
c

8w
w
?

Damit brauchen wir nur noch für ein Jahr des Metonischen Zyklus
den tatsächlichen Wert der Mondphase des fünften Aprils kennen, um
den verschobenen Epakt allgemein berechnen zu können. Die vor der
Gregorianischen Reform gebräuchliche Formel berechnet ihn für das
Jahr als
= 14 + 11 ( mod 19) mod 30 .
Die Länge eines lunaren Zyklus liegt bei ungefähr 29,5 Tagen; zum
einfacheren Rechnen sollten wir das zumindest für den einen Zyklus,
in den Ostern fällt, auf den ganzzahligen Wert 30 runden. Der erste
Vollmond nach dem 21. März ist dann der letzte Vollmond vor dem
19. April, und sein Abstand zum 19. April ist, wenn wir den Vollmond
als Tag mit Mondphase 14 betrachten, gleich dem Abstand des letzten
Neumonds vor dem 5. April zum 5. April, also die Mondphase des
5. Aprils. Somit bietet sich an, als verschobenen Epakt die Mondphase
des 5. Aprils zu nehmen. Gemäß unserer vereinfachenden Annahmen
sollte auch sie sich alle 19 Jahre wiederholen und sollte sich zumindest
innerhalb eines Metonischen Zyklus von Jahr zu Jahr modulo 30 um elf
verschieben.
ò

ú
?
Der erste Vollmond am oder nach dem 21. März lag somit Tage vor
dem 19. April, und Ostern war der (echt) darauf folgende Sonntag. So
ò

Wenn jedes Jahr genau 365 Tage hätte, könnten wir einfach mit den
Die wesentliche Größe, mit der die Mondphasen in unseren an der Sonne orientierten Kalender gebracht werden, ist der sogenannte Epakt. Mit
diesem Wort bezeichneten die Griechen die Anzahl der Tage, die an
Neujahr seit dem letzten Neumond des alten Jahres vergangen waren.
Gemäß dem Metonischen Zyklus sollte diese Zahl sich alle 19 Jahre wiederholen; in der Kalenderrechnung wird daher die um eins vermehrte
Restklasse modulo 19 der Jahreszahl als die Goldene Zahl“ bezeich”
net. (Die Addition der Eins kommt natürlich daher, daß zur Zeit ihrer
Einführung die Null in der europäischen Mathematik noch nicht vorkam.)
Der Gregorianische Kalender geht deshalb bei der Bestimmung des
Osterdatums nicht von astronomischen Beobachtungen aus, sondern
von Metonischen Zykeln, allerdings mit einer Korrektur für den akkumulierten Fehler. Ebenfalls unberücksichtigt bleiben die Irregularitäten
der realen Mondbewegung; gerechnet wird mit einer Approximation der
mittleren Mondbewegung. Auf den ersten Blick seltsam erscheinen mag
auch die Tatsache, daß bei der Fehlerkorrektur mit der Julianischen Jahreslänge von 365 14 Tagen gerechnet wird; der Grund lag wohl vor allem
darin, daß Papst Gregor bisherige Praktiken nicht mehr als unbedingt
notwendig ändern wollte.
der Fehler pro Zyklus liegt also bei nur etwa zwei Stunden. Seit
Einführung des Gregorianischen Kalenders sind etwas über 22 Metonische Zykeln vergangen; der akkumulierte Fehler liegt also noch unter
zwei Tagen.
Da die Schalttage Ende Februar eingeführt werden, wir uns aber für den
Vollmond am oder nach dem 21. März interessieren, sollten wir nicht
mit dem klassischen Epakt, der Mondphase des 1. Januar, rechnen: Sonst
gäbe es schließlich algorithmisch unangenehme Fallunterscheidungen
für die Schaltjahre. Aus Effizienzgründen bietet sich an, stattdessen mit
einem verschobenen Epakt zu rechnen, d.h. mit der Mondphase eines
geeigneten Datums, das näher bei Ostern liegt.
Eine der vielen Vereinfachungen in der Berechnung des Osterdatums
liegt darin, daß man innerhalb des aktuellen Metonischen Zyklus im
wesentlichen von dieser Formel ausgeht, die Schalttage also ignoriert.

19 365 2422 = 6939 6018 und 235 29 5306 = 6939 691 ,
Ñ
12 29 5 = 354 Tagen eines Mondjahrs vergleichen und wüßten dann,
daß sich die Mondphase an einem festen Datum jedes Jahr um elf Tage
verschiebt. Als Mondphase bezeichnen wir dabei die Anzahl von Tagen,
die seit dem letzten Neumond vergangen sind.
Kap. 5: Kettenbrüche
8w
Tatsächlich war man im fünften vorchristlichen Jahrhundert bereits erheblich weiter: Der um 440 v.Chr. lebende Athener Mathematiker und
Astronomen METON verwendete die Konvergente mit Nenner 19. Ein
Metonischer Zyklus besteht besteht demnach aus 19 Jahren, darunter
zwölf Gemeinjahren aus zwölf Monaten und sieben Schaltjahren aus
13 Monaten. Die Monate hatten teils 29, teils 30 Tage. Der darauf basierende Kalender wurde in Griechenland bis 46 v.Chr. verwendet. Die
Synchronisation zwischen Sonnen- und Mondzykeln ist fast perfekt:
Zahlentheorie

8w
?
?

100
19

0 059

=ò
û
û

a
Ñ

Tage pro Jahrhundert. Die Gregorianische Osterformel approximiert
dies durch 8 25 = 0 32, addiert allerdings im -ten Jahrhundert nicht
[8 25], sondern (5 + 8 ) 25 . Diese Modifikation soll in erster Linie
dafür sorgen, daß Ostern möglichst selten mit dem jüdischen Paschafest
zusammenfällt. Für das Jahrhundert wird dabei die gleiche Konvention
benutzt wie für die Feier des Jahrtausendanfangs am 1. Januar 2000: Das
-te Jahrhundert beginnt mit dem Jahr 100(
1), d.h. = [ 100] + 1.
0 31
Õ

=
=û
û\
û
Ô
=
û
=û

Ö
Ö
×û
×û \

ò
ú
?
Tatsächlich gibt es noch eine weitere Modifikation, die dafür sorgen
soll, daß die 19 Epakte eines Metonischen Zyklus alle verschieden sind
und
= 0 nicht auftritt: Falls
= 0 ist oder falls
= 1 ist und
mod 19 10, wird um eins erhöht. Der (berechnete) Vollmond ist
dann Tage vor dem 19. April, und Ostern wird weiterhin am darauf
folgenden Sonntag gefeiert.
mod 30 .

=
Für jemanden, der RSA hauptsächlich für elektronische Unterschriften
verwendet, würde sich anbieten, stattdessen den privaten Exponenten
relativ klein zu wählen. Dann könnte er schnell viele Dokumente unterschreiben, und falls jeder Empfänger nur eines davon bekommt, fällt
dessen höherer Aufwand bei der Überprüfung nicht so sehr ins Gewicht.

Natürlich kann man nicht = 3 oder = 216 + 1 wählen: Der private
Exponent muß schließlich geheim sein und es darf nicht möglich sein,
ihn durch Probieren zu erraten.
Trotzdem läßt sich hier nicht wesentlich sparen, denn ein Gegner kann
kurze private Exponenten nicht nur durch Ausprobieren bestimmen,
sondern auch wesentlich schneller nach dem Kettenbruchalgorithmus.
Andererseits geht man heute bei symmetrischen Kryptoverfahren davon aus, daß ein Verfahren sicher ist, falls ein Gegner mindestens
2128 Möglichkeiten durchprobieren muß, so daß gängige Verfahren wie
AES mit einer Schlüssellänge von 128 Bit auskommen. Verglichen damit erscheinen 2048 Bit für einen privaten Entschlüsselungsexponenten
recht hoch.
h
3
4
mod 30
Beim RSA-Verfahren wählt man den öffentlichen Exponenten oft
ziemlich klein, z.B. = 3 oder = 216 + 1. Dies hat den Vorteil,
daß zumindest die Verschlüsselung ziemlich schnell geht und man nur
zur Entschlüsselung mit einem Exponenten in der Größenordnung des
Moduls arbeiten muß.
§5: Eine kryptographische Anwendung

h
5+8
14 + 11 ( mod 19) +
25
63
4
= 159 mod 30 = 9 ,
denn die letzte Regel findet hier offensichtlich keine Anwendung. Der
rechnerische Vollmond ist also am 10. April. (Der tatsächliche ist schon
am 9. April). Der 10. April 2009 ist ein Freitag; also ist Ostern 2009 am
12. April.
173
25

h
Da der Gregorianische Kalender bei der Korrektur der Metonischen Zyklen mit Julianischen Jahren arbeitet, am Ende aber ein Gregorianisches
Datum braucht, müssen als nächstes die unterschiedlichen Anzahlen
von Schalttagen berücksichtigt werden, d.h. die ausfallenden“ Schalt”
tage des Gregorianischen Kalenders müssen subtrahiert werden. Das
sind drei Stück pro 400 Jahre, also wird [3 4] subtrahiert. Dies ergäbe
die neue Formel
ú
hier beträgt die Differenz also 0 059 Tage pro Zyklus und

und 235 29 5306 = 6939 691 ;
?
14 + 11 14 +
× \
19 365 25 = 6939 750
ò
Ö
Ö
×

=
14 mod 19.
l
Der Gregorianische Kalender modifiziert diese Formel durch drei zusätzliche Terme: Zunächst berücksichtigt er, daß der Metonische Zyklus
nicht wirklich exakt ist, insbesondere dann nicht, wenn man mit dem
Julianischen Jahr arbeitet:
= 21. Jahrhundert und 2009
û
Das Jahr = 2009 liegt im
Somit ist
Kap. 5: Kettenbrüche
8w
wird Ostern noch heute in fast allen orthodoxen Kirchen berechnet; die
einzige Ausnahme ist die finnische.
Zahlentheorie

ú
ú
ú
A
ú
ò
ú

W
8w
¢
s
s
h
Wir gehen aus von einem öffentlichen RSA-Schlüssel (
) sowie
dem zugehörigen privaten Exponenten . Dann gibt es bekanntlich eine natürliche Zahl , so daß
( ) = 1 ist. Dies können wir
umschreiben als
1
=
.
( )
( )
Falls sehr viel kleiner ist als ( ) haben wir hier einen Bruch mit
dem großen Nenner ( ) sehr gut angenähert durch einen Bruch mit
dem sehr viel kleineren Nenner . Für hinreichend kleines ist das nur
möglich, wenn
eine Konvergente der Kettenbruchentwicklung von
( ) ist.
Zahlentheorie
h
sýü
h \
s
h
W
W
hü
h
\
W
W
ü
ü
h
W
ü
=h
W
= ü
h
<
W
W
< =h
s

<
W\
\
<\
ü
W
(
<\
h
Ù ÙÙÙ
<
\ \ \

\
<\
<\
W
<\
\W
ÙÙÙÙ ÙÙ¡ ÙÙ
Ùs ÙÙh Ù

1
1)(
<\
1)
.
1
1)(
1)
1)

\
\
h
\
<
W
<\
\
h
= =W

<\
Falls dies kleiner ist als 1 2 2 , muß
eine Konvergente der Kettenbruchentwicklung von
sein; um zu berechnen, müssen wir also
nur so lange Konvergenten
bestimmen, bis für einen der Nenner
die Exponentiation mit
modulo
invers ist zu der mit .
Falsche Kandidaten sollten dabei praktisch immer bereits beim ersten
Versuch erkannt werden.
\W
Ù ÙÙÙ
(
\
+

1)(
Ùs ÙÙh Ù
=
+
\
1)(
1)
(
1)(
1)
( +
1)
+
(
1)(
1)
(
(
=
W
1)
ü
1)(
W
(
W ^
=
W
= hs h

=
<

Eine einfache Abschätzung zeigt, daß dies für und von etwa gleicher
Größe funktioniert, sofern höchstens die Größenordnung von etwa
Private Exponenten müssen also immer groß sein. Falls man von einem vorgegebenen öffentlichen Exponenten ausgeht, ist das für realistische mit an Sicherheit grenzender Wahrscheinlichkeit erfüllt; Vorsicht ist nur geboten, wenn man mit dem privaten Exponenten startet.
Daher verlangen auch die Vorschriften der Bundesnetzagentur, daß man
immer vom öffentlichen Exponenten ausgehen muß, und erst daraus
einen privaten Exponenten berechnet.
h
kennt. Dafür kennt aber jeder den Wert von , und wie die obige
Gleichung zeigt, liegt der recht nahe bei ( ): Die Primzahlen und
sind schließlich nur von der Größenordnung
. Damit sollte
auch
eine gute Approximation für
liefern, und in der Tat ist
h>
( + )+1
Wþ
1) =
h>
1)(
W
W
( )=(
^
hat; neuere, etwas aufwendigere Untersuchungen zeigen, daß man
0 289
auch noch für
rekonstruieren kann. Fachleute erwarten,
unsicher sind.
daß möglicherweise sogar alle
8
Das mag zunächst harmlos erscheinen, denn die Sicherheit von RSA
beruht ja gerade darauf, daß niemand außer dem Inhaber des privaten
und damit den Wert von
Schlüssels die Faktorisierung =
^
4
Kap. 5: Kettenbrüche
9

<
h
X
ß
ß
ªX
ª
r
ß
X
q
X
r
X
q
X
§ß
Ø ª
ß
ª
ß
ß
ª
ß
ªr ?
X r
X
r
ß
ª
ÿ
¦
²
Der Prototyp eines kommutativen Rings ist der Ring
der ganzen
Zahlen; er ist ein Integritätsbereich mit 1 als einzigen Einheiten. Zwei
ganze Zahlen sind somit genau dann assoziiert, wenn sie denselben
Betrag haben.
?

©
=
¦
©
=¦
ist genau dann nullteilerfrei, wenn prim ist; in diesem
Der Ring
Fall ist er sogar ein Körper. Ist aber = eine Zerlegung (in ) von
in ein Produkt mit
1, so ist in
zwar = 0, aber
= 0.
k
Á ©
©
A

Die Menge aller
-Matrizen über einem Körper ist ein Beispiel
eines nichtkommutativen Rings. Er ist nicht nullteilerfrei, enthält aber
viele invertierbare Elemente.

Ñ
:
Auch die Polynome über einem Körper
nomring [ ]. Allgemeiner gilt sogar:
:
¦
s
ß
ù
¿
0
ª Y
Á
ß

ª:
ÙÙ
Y
Y
ß
Ým

Ým r
r
Ý
.
r

und
ß
Y
¿
³
r
X?
X
=0
Ó ¿
=0
,
_
=
=
Beweis: Wenn wir Addition und Multiplikation nach den üblichen Regeln definieren, ist klar, daß [ ] alle Ringaxiome erfüllt. Um zu zeigen,
daß [ ] nullteilerfrei ist, betrachten wir zwei Polynome
.
ß
Seine Einheiten sind genau die Einheiten von
=0
Y
[ ]=
ein Integritätsbereich, so auch der Polynomring

Lemma: Ist
bilden einen Ring, den Poly-
s
Definition: a) Ein Ring heißt nullteilerfrei wenn gilt: Ist
= 0,
so muß mindestens einer der beiden Faktoren
verschwinden. Ein
nullteilerfreier kommutativer Ring heißt Integritätsbereich (englisch domain).
ß
Ø
Als erstes wollen wir uns überlegen, in welchen Zahlbereichen außer
wir noch sinnvoll von Teilbarkeit und eventuell auch Division mit Rest
reden können. Wir brauchen dazu selbstverständlich zumindest eine Addition und eine Multiplikation, d.h. einen der bereits im ersten Kapitel
definierten Ringe. Wenn wir eindeutige Quotienten wollen, müssen wir
aber noch zusätzlich voraussetzen, daß es keine sogenannten Nulltei, deren Produkt gleich
ler gibt, d.h. von null verschiedene Elemente
null ist. Ist nämlich = , so ist dann auch = ( + ) , was unserer Vorstellung von Teilbarkeit mit eindeutig bestimmtem Quotienten
widerspricht.
?

§1: Grundbegriffe der Ringtheorie
Ein Zahlkörper ist ein Körper , der den Körper der rationalen Zahlen
enthält und als -Vektorraum endlichdimensional ist. Im zweidimensionalen Fall reden wir von quadratischen Zahlkörpern. Die algebraische
Zahlentheorie untersucht die (noch zu definierenden) ganzen Zahlen
eines solchen Zahlkörpers. In dieser Vorlesung geht es zwar eher um
elementare als um algebraische Zahlentheorie, jedoch werden wir im
nächsten Kapitel sehen, daß ein Umweg über quadratische Zahlen auch
bei rein ganzzahligen Problemen gelegentlich hilfreich sein kann.
8
Kapitel 6
Quadratische Zahlkörper
b) Wir sagen, ein Element eines Integritätsbereichs sei Teiler von
, wenn es ein
gibt, so daß =
.
, in Zeichen
c)
heißt größter gemeinsamer Teiler von und , wenn Teiler
von und von ist und wenn für jeden anderen gemeinsamen Teiler
von und gilt:
.
heißt Einheit, falls es ein
gibt mit
= 1.
d) Ein Element
Die Menge aller Einheiten von bezeichnen wir mit
.
e) Zwei Elemente
heißen assoziiert, wenn es eine Einheit
gibt, so daß =
.
Kap. 6: Quadratische Zahlkörper
B
©_
á
_
Y
Y

ß
V
8
© Ó
³á
Ó
© Ó

ß
und
assoziiert.
Definition: a) Ein Element eines Integritätsbereichs heißt irreduzibel, falls gilt: ist keine Einheit, und ist =
das Produkt zweier
Elemente aus , so muß oder eine Einheit sein.
b) Ein Integritätsbereich heißt faktoriell oder ZPE-Ring, wenn gilt:
Jedes Element
läßt sich bis auf Reihenfolge und Assoziiertheit eindeutig schreiben als Produkt =
mit einer Einheit
=1
, irreduziblen Elementen
und natürlichen Zahlen .
(ZPE steht für Zerlegung in Primfaktoren Eindeutig.)
¦ ¦
Y
r
© Ó

ß
³á

ß
³ª
X
o¹ Y
X ß
X
r ß
X ß
á
³
³á
ªá
§ß
ß
ªá
³
ª< Y
ß
ªX
§ß
ª
ß
§ß
X
ª
r
X
ß
r
X
Beweis: Wir wählen zunächst aus jeder Klasse assoziierter irreduzibler
Elemente einen Vertreter; für die Zerlegung eines Elements in ein Produkt irreduzibler Elemente reicht es dann, wenn wir nur irreduzible
Elemente betrachten, die Vertreter ihrer Klasse sind.
Lemma: In einem faktoriellen Ring gibt es zu je zwei Elementen
einen größten gemeinsamen Teiler.
» < Y
r
k
ß
ß
r
X
X
r qr
X
q rX
Ø³
Ø
r
Ø

Ø
Ø³
³

Ø
Ø³
ß ³
³ª
Beweis: a) Sind
Einheiten, so gibt es Elemente
mit
=
= 1. Damit ist ( )(
)= ( ) =
= 1, d.h. auch ist
eine Einheit. Außerdem ist jede Einheit invertierbar, denn offensichtlich
ist ein multiplikatives Inverses zu .
b) Ist ein Integritätsbereich und
= , so ist (
) = 0; da = 0
vorausgesetzt war, folgt
= 0, also = . Folgt umgekehrt aus
=
und = 0 stets = , so ist nullteilerfrei, denn ist
=0
und = 0, so ist
= 0 , also = 0.
c) Ist = , so ist ein Teiler von . Da Einheiten invertierbar sind,
ist auch = 1 , d.h.
.
Gilt umgekehrt
und
, so gibt es Elemente
mit =
und
= . Damit ist 1 = = ( ) , also = 1. Somit ist eine Einheit.
d) Sind
zwei größte gemeinsame Teiler von
, so ist nach Defi-
Lemma: a) Die Menge
aller Einheiten von
ist eine abelsche
Gruppe bezüglich der Multiplikation.
b) Ein kommutativer Ring ist genau dann ein Integritätsbereich, wenn
und = 0 die
die folgende Kürzungsregel erfüllt ist: Gilt für
= , so ist = .
Gleichung
c) Zwei Elemente
eines Integritätsbereich sind genau dann assoziiert, wenn
und
.
d) Ein größter gemeinsamer Teiler, so er existiert, ist bis auf Assoziiertheit eindeutig bestimmt.
Teiler von , also sind
ß
Allgemein gilt:
und
Ist
[ ] eine Einheit, so gibt es ein
[ ] mit
= 1; da das
konstante Polynom 1 den Grad null hat, muß dasselbe auch für und
gelten, d.h.
und damit in
.
Teiler von
8
In Integritätsbereichen können wir somit einen Teilbarkeitsbegriff einführen, der den üblichen, von her gewohnten Regeln genügt. Manchmal können wir auch, wie in , von einer eindeutigen Primzerlegung
reden:
nition
Kap. 6: Quadratische Zahlkörper
c
die beide von Null verschieden sind. Wir können etwa annehmen, daß
so gewählt sind, daß
und
und
beide nicht verschwinden.
Da
Integritätsbereich ist, kann dann auch das Produkt
nicht
+
verschwinden, also ist der führende Term
von
von Null
verschieden und damit auch
selbst. Tatsächlich beweist dies sogar
etwas mehr als die Nullteilerfreiheit, denn wir wissen nun, daß sich bei
der Multiplikation zweier Polynome die Grade addieren.
Zahlentheorie

< Y
§ß
ª
_
¹ _
r
» < Y
o¹ Y
X
und =
mit
und
Sind =
=1
=1
irreduzibel die entsprechenden Zerlegungen von und in Primfaktoren, so können wir, indem wir nötigenfalls Exponenten null einführen,
o.B.d.A. annehmen, daß = ist und = für alle . Dann ist offenbar
min(
)
ein ggT von und , denn =
ist genau dann
=1
=1
Teiler von , wenn
für alle , und Teiler von , wenn
.
_
r
X
³
Ø

`
³
Ø³
Ø
é» < Y r
o¹ Y
Y
<Y
r `
Ý
X
m
¡

»
» þ
X\
r
Y
áY
X
<Y
o¹ Y
k
X
r
ß
X
ß
X
r
X\ X
r
k
rX
r kr
r
X
X

Ein quadratischer Zahlkörper ist ein Zahlkörper, der als -Vektorraum
betrachtet die Dimension zwei hat. Es gibt daher ein von der Eins linear
2
unabhängiges Element . Die drei Elemente 1
müssen aber linear
§2: Die Elemente quadratischer Zahlkörper
³ Y
¡
áY
Ò
Ò

Ò
rX
r
X
m
r
X
X qr
qr

r
X
r
r qX
X
r
Xm
r
X
m
X
m
X
X

w
8

Ò m
m
<
<

Ò
Ò

^
m
Ò

\
Ò
²
\
^
^
¦
Ò
®
ø
Ò
\
\

\
Ò
Ò\
Ò
Ò\
Ò
Ò\

®
?
?
\
®
^
®
^
¦
Ò
^
i
®
ÿ
¦
ª
i
^
m
m
Ý
i
®
Ò
ÿ
ªÝ
^
ÿ
±
^
±
^
^
^
Ý
m
Ý
m
m
Ý
^
( +
( +
)(
)(
^
)
=
)
^
=
+
m
m
Ý
2
Ý
2
+
+
m
2
Ý
2
.
Definition: Ein Element
einer Polynomgleichung
+
1
+
0
=0
+
1
+
0
mit
= 0 mit
1
1
+
+
Lösung einer
,
.
+
0
=0
heißt ganz, wenn es
Man kann relativ einfach zeigen, daß die ganzen Zahlen in einem
Zahlkörper
einen Ring bilden; da wir uns hier aber auf quadratische Zahlkörper beschränken, bei denen wir dies ganz explizit sehen
können, sie hier auf einen solche Beweis verzichtet.
und höchstem Koeffizienten eins
1
eines Zahlkörpers
mit ganzzahligen Koeffizienten
genügt.
+

+
+
+

ª Y
auch das Produkt. Für den Quotienten können wir wie bei den komplexen
Zahlen über die dritte binomische Formel argumentieren:
1
X

¦
)
Ð
Multiplikation mit dem Hauptnenner der Koeffizienten macht daraus
eine Polynomgleichung mit ganzzahligen Koeffizienten.
1
X
?
+
X
Ð
+
?
??
)+(
ÿ
??

denn da nach Definition ein endlichdimensionaler -Vektorraum ist,
können die Potenzen von nicht allesamt linear unabhängig sein. Es
gibt also für irgendein eine lineare Abhängigkeit

:
X

)=(

X
Ð
ÿ
)( +
?
Ð
ÐY
( +
+
??
Ðª Y
für jedes Nichtquadrat
ein Körper, denn
Umgekehrt ist
natürlich liegen Summe und Differenz zweier Elemente wieder in diesem Vektorraum und wegen
1
eines Zahlkörpers
ª Y
Wegen der Irrationalität von muß auch
irrational sein, d.h. ist
kein Quadrat. Wegen der Eindeutigkeit der Primzerlegung in können
finden, so daß = 2 und
=
wir ganze Zahlen
ist mit einer quadratfreien Zahl , d.h. einer Zahl , die durch keine
Quadratzahl ungleich eins teilbar ist. Somit läßt sich in der Form
+
schreiben mit
. Da als -Vektorraum zweidimensional ist, läßt sich jedes Element von so schreiben, als Vektorraum
ist also =
.

+
1
Entsprechend ist jedes Element
Polynomgleichung
X

4 225 7 = 16200.
150 + 7 = 0 ;

= 1502
Ò
¦
hier ist die Diskriminante somit
ª
2

225
©
2
7
+
=0=
3
225

ÿ
2

2
=
25

2
1
+
3
9
©
+ = 0 mit
Jede rationale Zahl ist Lösung einer linearen Gleichung
ganzzahligen Koeffizienten
, von denen der erste nicht verschwinden
darf; sie ist genau dann eine ganze Zahl, wenn man = 1 wählen kann.
2
§3: Die Hauptordnung eines Zahlkörpers
A
= 2 4
unter der Wurzel bezeichnen wir als
Den Ausdruck
die Diskriminante von . Für =
mit
beispielsweise ist
=1
= 0 und =
, also = 4 . Für = 31 + 15 2 haben wir
die Gleichung
.
2
>
2
Für
0 ist [
] ein Teilkörper von ; wir reden in diesem Fall von
0, gibt es in [
]
einem reellquadratischen Zahlkörper. Falls
auch imaginäre Elemente; hier reden wir von einem imaginärquadratischen Zahlkörper.
^
4
ÿ
2
].
^
=
[
^
=
8
Nach der Lösungsformel für quadratische Gleichungen folgt
Wir bezeichnen diesen Körper kurz mit
Kap. 6: Quadratische Zahlkörper

2
+
abhängig sein; es gibt also rationale
, so daß
+ vermultiplizieren,
schwindet. Indem wir mit dem Hauptnenner von
erhalten wir eine entsprechende Gleichung mit ganzzahligen Koeffizienten, und wenn wir dann noch durch deren ggT dividieren, erhalten wir
2
teilerfremde ganze Zahlen
, so daß
+
+ = 0 ist.
Zahlentheorie

ÿ
^
Ý
^
^
\
\
m
\
\

8
^
ªÝ ©
m X
m
Ò
Ý
X
ÿ
^
Ý
m
X
Ý
Ý
mÝ
m
X
m\
Xm
X\
h
Ý
m\
m
j
¦
ªm
Ý
¦
±
Ý
m\
Ý
ÿ
=j
m m
l

\
Ý
m\
¦

1 mod 4 eine
+
= 21 (1 +
falls
) falls
1 mod 4
.
1 mod 4
Dieses Beispiel wirft die Frage auf, ob unsere Definition ganzer Zahlen
wirklich so geschickt war: Wir hätten schließlich auch einfach definieren
genau dann ganz heißen soll, wenn und ganze
können, daß +
Zahlen sind.
¦
±
^
=
Ý
m

j\
m
Ý
ª
Ý
m\
j

Einer der Gründe ist sicherlich, daß wir in nichtquadratischen Zahlhaben, und selbst
körpern keine ausgezeichneten Elemente wie
im quadratischen Fall ist
nicht immer das einzige ausgezeichnete
1
= 3 beispielsweise ist
3) eine
Element. Im Falle
3 = 2 (1 +
primitive sechste Einheitswurzel, und es gibt keinen Grund, diese als
weniger ganz“ oder weniger ausgezeichnet“ zu betrachten als
3.
”
”
Viel wichtiger ist aber, daß wir nur bei dieser Definition der Ganzheit
eine Chance auf eindeutige Primzerlegung in der Hauptordnung haben:
l
l

j\
¦
m\
Ý
^
^
^
\
kl
^
Ý
m ^
¦
¦
±
^
m
Ý
Ý
m
l
@
ß
@
ªX
ß
^
1
1
+
¡
+
+
m
1
+
m
0
= 0 mit
Definition: a) Sind
Integritätsbereiche, so heißt ein Element
ganz über , wenn es einer Gleichung

2
¦
\ ¦`
±
¦
1+
¦
`

^
^ \
^ \
=
÷
±
l
m
Ý
m
Im Fall
1 mod 4 ist +
auch noch dann ganz, wenn und
beide die Hälfte einer ungeraden Zahl sind. Insbesondere ist also auch
Ý
In [
] ist ein Element +
daher für
1 mod 4 genau dann
ganz, wenn und beide ganz sind; die Menge der ganzen Zahlen ist
also
. Diese Menge ist offensichtlich eine abelsche Gruppe
die ganze Zahl
bezüglich der Addition, und da das Quadrat von
ist, ist sie auch abgeschlossen bezüglich der Multiplikation; die ganzen
Zahlen bilden also einen Ring.
¦
^ \
2
2
=
0 mod 4 .
4
und sind ungerade Zahlen; ihre Quadrate sind also kongruent eins
2
modulo vier. Somit ist 2
genau dann ganz, wenn
1 mod 4
ist.
2
mit
^
2
^
Beim Körper = [ ] der komplexen Zahlen mit rationalem Real- und
= 1
3 mod 4, also ist die Hauptordnung hier
Imaginärteil ist
einfach
, die sogenannten ganzen GAUSSschen Zahlen.
1 =
Für = 3 1 mod 4 dagegen ist auch 3 = 12 (1 +
3) eine ganze
Zahl und
3 =
3.
=
=
l
2
kl
2
4
1
Falls keine ganze Zahl ist, muß es wegen der ersten Bedingung von der
Form = 2 sein mit einer ungeraden Zahl . Notwendige Bedingung
2
für die Ganzheit von 2
ist dann, daß auch = 2 von dieser
Form ist. Dann ist
^
Für
ist die erste Bedingung trivialerweise erfüllt und die zweite
genau dann, wenn auch eine ganze Zahl ist: Da keinen Nenner hat,
2
ist der Nenner von 2
in diesem Fall das Quadrat des Nenners
von .
=
^
Die ganzen Zahlen in [
] bilden also in jedem Fall einen Ring;
diesen Ring bezeichnen wir als die Hauptordnung =
von [
].
Wie wir gerade gesehen haben, ist also
\
ganze Zahlen sein.
2
=
2
1+
2
1) 4 im Fall
+
l
=
1
Somit müssen = 2 und
) = 0.
+(
^
2
=
\
2
+
2
1+2
4
4
liegt wieder in dieser Menge, da (
ganze Zahl ist.
=
2
©ª

2
\
der Gleichung
¦
)+2
^
2
+
ist, genügt
¦
¦ ±
¦
2
)2 = (
¦
=( +
ª
^
2
8
eine ganze Zahl, und offensichtlich sind die ganzen Zahlen genau die
Zahlen, die sich als +
mit
schreiben lassen. Die Menge
der ganzen Zahlen ist also
. Auch dies ist ein Ring, denn
Kap. 6: Quadratische Zahlkörper

Wir betrachten also einen quadratischen Zahlkörper
= [
]. Ein
mit
ist genau dann ganz, wenn es einer
Element = +
Gleichung der Form 2 +
+ mit
genügt. Da
Zahlentheorie

ß
ªm Y
X
?
??
X
m
X
ß
¢
8
genügt.
b) heißt ganzabgeschlossen oder normal, wenn jedes über
Element des Quotientenkörpers von in liegt.
Zahlentheorie
ß
ß
ÿ
ß
ß
ß

<
=
X
<
ß
X ª
<
ß
ª:
ª

X m
¥¥
¥
m
Á
X
m
\
X
)+(
Ý
m
Ò
m
X\
m
?
^
Ò
m
\
Ý
m\
ß
<

?? \
\
\
<
<
m
\
m
Ò
Ò?
Ò
Ò
Ò
Ò
?
Ò
(
+

m
\
<
m
?? \
?

ß
= <
X
)(
)=
2
Sp( )

+ N( ) = 0 .
Ò
Ò
\
Ò
\
Ò
\
d) folgt sofort aus c) und der Definition der Ganzheit.
(
)
= N( ) N( ) .
)
=
c) Ist offensichtlich, denn nach dem Satz von VIÈTE sind
Nullstellen der Gleichung
=
=
.
+
Ý
)=
=(
N(
b) Nach Definition ist
Ý
^
)=
)
)(
+
=(
+
=(
^
\
?
ÿ
^ \
¦
±
¦

Ò
¦
§
ªÒ ª
+
liegen.
und
^ \
^ \
?
\
^ \
?

Ò
1, so ist
(
Ò
) = 1, wir haben also ein
²
²
Ò
Ò?
²
Ò
Ò
Ò
?

^
^
ÿ
\

?
?
^
Ò
Ò
Ý
Ò
m\
2 oder
5) = 1 + 5 = 6 .
^ \
²
Echte Primteiler einer dieser Zahlen müßten also Norm
haben. Wegen
N( +
5) = 2 + 5 2
^ \
N(1
?
N(2) = 2 2 = 4
^ \
N(3) = 3 3 = 9
3
Das können wir beispielsweise anwenden auf die eingangs betrachteten
5) (1
5). In [
5] ist
Zerlegungen 6 = 2 3 = (1 +
Ist umgekehrt N( ) =
ganzes Inverses.
?
=
e) Ist
eine Einheit, so gibt es ein dazu inverses ganzes Element
, und wegen
= 1 ist auch N( ) N( ) = N( ) = 1.
Die Norm ist also eine Einheit von , d.h. N( ) = 1.
^ \
±
Ý
m
^
^
Ò
Ý
m\
Ò
Ò
Ò
+
+ N( ) = 0 .
Beweis: a) Folgt sofort durch direktes Nachrechnen: Für
und = +
ist
ªÒ ªÒ
Ò
.
ªÒ
^
m
2
^
Ò
2
Ý
)=
=2 .
\
] ist genau dann ganz, wenn N( ) und Sp( ) in
ist genau dann eine Einheit, wenn N( ) = 1 ist.
Ò
Ò
Ò
=( +
)(
ist
Sp( ) =
Ò
Ò
N( ) =
c) Die Spur von
^
ª
Ò
Ò
²
^
=
Ò

[
Ò ^
?
d)
e)
ª
Sp( )
Ò
Ò
Definition: a) Für ein Elements = +
von
heißt =
das zu konjugierte Element.
b) Die Norm von ist
m
Ý
Bevor wir diese Frage beantworten können, müssen wir zunächst wissen,
ob möglicherweise die Faktoren auf der rechten Seite noch weiter zerlegt
werden können. Solche Fragen lassen sich oft entscheiden, indem man
die Normen der beteiligten Elemente betrachtet.
Ò
Ò
2
¦
Beginnen wir mit einem Beispiel: Die Hauptordnung von = [
5]
ist
[
5], und dort haben wir die beiden Produktzerle5 =
gungen
6 = 2 3 = (1 +
5) (1
5) .
Folgt daraus, daß
5 nicht faktoriell ist?
Lemma: a) Für
[
] ist
=
.
[
b) Für
] ist N( ) = N( ) N( ).
[
] ist Wurzel der quadratischen Gleichung
c)
8
^
§4: Normen und Spuren in quadratischen Zahlkörpern
^
Ò?
Beweis: Jedes Element des Quotientenkörpers eines Rings kann als
Quotient =
mit
dargestellt werden. Falls faktoriell ist,
können wir dabei annehmen, daß und teilerfremd sind. ist genau
dann ganz über , wenn es ein
und Elemente 0
1
gibt derart, daß
1
=
1
1
0
ist. Multiplikation mit
macht daraus die Gleichung
1
1
=
.
1
1
Hier ist die rechte Seite durch teilbar, also auch die linke. Da und als
teilerfremd vorausgesetzt war, ist das nur möglich, wenn eine Einheit
ist, d.h. =
liegt in .
Satz: Ein faktorieller Ring ist ganzabgeschlossen.
ganze
Kap. 6: Quadratische Zahlkörper
9
²
²
©

^ \
©

ª
Ý
m\
m
Ò
Ý
Ò
Ò
m
Ò

8
8
^ \
²

©
ª
^ \
²
^ \
¦
X
m
r
ß
m
Auch die lineare Kombinierbarkeit folgt wie im klassischen Fall: Bei
jeder Division mit Rest ist der Divisionsrest als Linearkombination von
Dividend und Divisor darstellbar; beim EUKLIDischen Algorithmus beginnen wir mit Dividend und Divisor , die natürlich beide als Linearkombinationen von und darstellbar sind, und induktiv folgt,
daß auch alle folgenden Dividenden und Divisoren sind als Reste einer
vorangegangenen Division Linearkombinationen von und sind, also
ist es auch ihr Divisionsrest. Insbesondere ist auch der ggT als letzter
nichtverschwindender Divisionsrest Linearkombination von und ,
und die Koeffizienten können wie in Kapitel I mit dem erweiterten EUKLIDischen Algorithmus berechnet werden.
X
r
r
X X
ß q rX
ß
Á
Ã
Â
ß
ªr
X
â
Ï
Ï
¡ ß
X ªm
Ï
r
r
Ï
>m
Ï
m
m
r
X
X
r
m
m

r
X
¦

s k
Ï
X
X
ß
X
k
³
qX s
q
³
Beweis: Wir müssen zeigen, daß jedes Element = 0 aus bis auf Reihenfolge und Assoziiertheit eindeutig als Produkt aus einer Einheit und
Satz: Jeder EUKLIDische Ring ist faktoriell.
r
Wie angekündigt, gilt
mY
r
r
Das Standardbeispiel ist natürlich der Ring der ganzen Zahlen mit
( ) = . Ein anderes Beispiel ist der Polynomring [ ] über einem
Körper : Hier können wir ( ) für ein Polynom = 0 als den Grad
von definieren; dann erfüllt auch die Polynomdivision mit Rest die
Forderung an einen EUKLIDischen Ring.
ªm m

r
X r
X
m
Wir schreiben auch : = Rest und bezeichnen als Divisionsrest
bei der Division von durch .
m
r
( ).
r
m
( )
Ï
m m
mY
= 0 oder
>
m
und
X
mY mY
Ï
+
X
r
=
ß
mY
m
Definition: Ein EUKLIDischer Ring ist ein Integritätsbereich zusammen mit einer Abbildung :
0
, so ist
0 , so daß gilt: Ist
( )
( ), und zu je zwei Elementen
gibt es Elemente
mit
X
mY
Wie wir gesehen haben, ist die Division mit Rest das wichtigste Werkzeug beim EUKLIDischen Algorithmus, und wie sich in diesem Abschnitt
herausstellen wird, brauchen wir kein weiteres. Wir definieren daher
r
In Kapitel I bewiesen wir die eindeutige Primzerlegung in mit Hilfe des EUKLIDischen Algorithmus. Wenn wir Beispiele für faktorielsuchen, liegt es daher nahe, nach Ringen zu suchen, in
le Ringe
denen es einen EUKLIDischen Algorithmus gibt. Solche Ringe heißen
EUKLIDische Ringe.
m
§5: Euklidische Ringe
r
+
Beweis: In jedem Integritätsbereich folgt aus der Gleichung =
mit
, daß die gemeinsamen Teiler von und gleich denen
von und sind. Speziell in einem EUKLIDischen Ring können wir dabei als Divisionsrest wählen und, wie beim klassischen EUKLIDischen
Algorithmus, danach durch dividieren usw., wobei wir eine Folge ( )
von Divisionsresten erhalten mit der Eigenschaft, daß in jedem Schritt
die gemeinsamen Teiler von und gleich denen von
sind.
1 und
Außerdem ist stets entweder
= 0 oder ( )
( 1 ), so daß die
Folge nach endlich vielen Schritten mit einem
= 0 abbrechen muß.
Auch hier sind die gemeinsamen Teiler von
= 0 genau
1 und
die gemeinsamen Teiler von und . Da jede Zahl Teiler der Null ist,
sind die gemeinsamen Teiler von
1 und Null aber genau die Teiler
von
,
und
unter
diesen
gibt
es
natürlich
einen größten, nämlich
1
1
selbst. Somit haben auch und einen größten gemeinsamen Teiler,
nämlich den nach dem EUKLIDischen Algorithmus berechneten letzten
von Null verschiedenen Divisionsrest
1.
ß
5] nicht
ªr
X
Damit haben wir gezeigt, daß die Hauptordnung von
faktoriell ist.
ß
Lemma: In einem EUKLIDischen Ring gibt es zu je zwei Elementen
einen ggT. Dieser kann nach dem EUKLIDischen Algorithmus
berechnet werden und läßt sich als Linearkombination mit Koeffizienten
aus von und darstellen
Kap. 6: Quadratische Zahlkörper
8
[
müßte für solche Elemente = 0 und 2 = 2 oder 3 sein, was für ein
offensichtlich nicht möglich ist. Somit sind die Elemente 2 3
und 1
5 allesamt irreduzibel, und die Zahl sechs läßt sich auf
zwei verschiedene Weisen als Produkt irreduzibler Elemente schreiben.
5 assoziiert sein können,
(Es ist klar, daß 2 und 3 nicht zu 1
denn die Normen assoziierter Elemente unterscheiden sich höchstens
im Vorzeichen.)
Zahlentheorie
B
X
³
Ï
V
8
X
Â
Ã
ß
k
Á Á
â
X
m

ª:
Ï
ß
¡
Ï
X
:
Ï
X
X
X
Ï
>m
Ï
X
X m
X
X
X
A
X
:
ein Produkt
=1
teilt, teilt es minde-
Um den Beweis des Satzes zu beenden, zeigen wir induktiv, daß für
eine bis auf Reihenfolge und
jedes
0 alle Elemente mit ( )
Einheiten eindeutige Primfaktorzerlegung haben.
Falls ein irreduzibles Element
stens einen der Faktoren .
ª:
:
X
r
r
X
X
¡
Ï
Ï
Ï
r
r
Seien nun
X
X
=
o

r
m
X
X
Ï
r
X
=1
eine Einheit sein muß, und

=1
Ï
_
» < Y
m
X
ªX
Y
X
n
³ _
Y
zwei Zerlegungen eines Elements
, wobei wir annehmen können,
daß alle
1 sind. Dann ist 1 trivialerweise Teiler des ersten
Produkts, also auch des zweiten. Wegen der Zwischenbehauptung teilt 1
also mindestens eines der Elemente , d.h. 1 =
ist bis auf eine
Einheit gleich . Da keine Einheit ist, ist (
)
( ); nach
Induktionsannahme hat also
= (
) eine bis auf Reihenfolge
und Einheiten eindeutige Zerlegung in irreduzible Elemente. Damit hat
auch diese Eigenschaft.
=
Für = 0 haben wir oben gesehen, daß
hier ist die Zerlegung = eindeutig.
Á
X
ß
m
r
r
X
r
>m ß
Ï ª
m
X
Ï
>m
Ï
<

X
Ï
r
\ >
X
Ï
r\
m
r
X
X
Ï
>m
¡
Ï
r
Ï
Ä _
_
= <X Y
<Y
_
Ä
r
X
r
X
Bemerkung: Die Umkehrung dieses Satzes gilt nicht: Beispielsweise
sind nach einem Satz von GAUSS auch [ ] sowie Polynomringe in
mehr als einer Veränderlichen über oder einem Körper faktoriell, aber
=X
¦
teilt, teilt es mindestens
r
XY
<
Falls ein irreduzibles Element ein Produkt
einen der beiden Faktoren.
<
Ï
X
>
Ä _ = < Y
X
Ï
<
Als nächstes müssen wir uns überlegen, daß diese Darstellung bis auf
Reihenfolge und Einheiten eindeutig ist. Das wesentliche Hilfsmittel
hierzu ist die folgende Zwischenbehauptung:
r
<
:
X
_
Nach Induktionsvoraussetzung lassen sich daher und als Produkte
von Einheiten und Potenzen irreduzibler Elemente schreiben, und damit
läßt sich auch =
so darstellen.
<
¡
), also muß
( ) ist.
X< <
Ò
Induktiv folgt sofort:
< r
X
<
Y
ist auch Teiler von =
= (1
( ) sein. Genauso folgt, daß auch ( )
X
Ò
XY
Als Teiler von
( )
( )
<Ò
X
X<
o ¹
Dazu dividieren wir mit Rest durch ; das Ergebnis sei Rest , d.h.
= + mit = 0 oder ( )
( ). Wäre = 0, wäre ein Vielfaches
mit =
= ( ) = ( ) . Damit wäre
von , es gäbe also ein
= 1, also eine Einheit, im Widerspruch zur Annahme. Somit ist
( )
( ).
rX
Andernfalls läßt sich =
als Produkt zweier Elemente schreiben,
die beide keine Einheiten sind. Da und Teiler von sind, sind
( ) ( )
( ). Wir wollen uns überlegen, daß sie tatsächlich sogar
echt kleiner sind.
X
<
=
<
rX
Für
1 unterscheiden wir zwei Fälle: Ist irreduzibel, so ist
eine Darstellung der gewünschten Form, und wir sind fertig.
Ist ( ) = 0, so ist eine Einheit: Bei der Division 1 : = Rest ist
nämlich entweder = 0 oder aber ( )
( ) = 0. Letzteres ist nicht
möglich, also ist
= 1 und eine Einheit. Diese kann als sich selbst
mal dem leeren Produkt von Potenzen irreduzibler Elemente geschrieben
werden.
+
r
als Linearkombination von und schreiben. Multiplikation mit
macht daraus =
+
, und hier sind beide Summanden auf der
rechten Seite durch teilbar: Bei
ist das klar, und bei
folgt es
daraus, daß nach Voraussetzung ein Teiler von
ist. Also ist Teiler
von , und die Zwischenbehauptung ist bewiesen.
1=
0
des EUalle = 0
0
X
0
Dazu benutzen wir die Betragsfunktion :
KLIDischen Rings
und beweisen induktiv, daß für
mit ( )
in der gewünschten Weise darstellbar sind.
<
Zum Beweis betrachten wir den ggT von und . Dieser ist insbesondere
ein Teiler von , also bis auf Assoziiertheit entweder oder 1. Im ersten
Fall ist Teiler von und wir sind fertig; andernfalls können wir
8
geeigneten Potenzen irreduzibler Elemente geschrieben werden kann.
Wir beginnen damit, daß sich überhaupt in dieser Weise darstellen
läßt.
Kap. 6: Quadratische Zahlkörper

Zahlentheorie
c

¦
rX
<
s

w
8
keiner dieser Ringe ist EUKLIDisch, da sich weder der ggT eins von
in [ ] noch der ggT eins von
und
in [
] als
2 und
Linearkombination der Ausgangselemente schreiben läßt.

Á
¦
^
Ï
ªÝ
q
m q
q
k
ª
Ý
Ý
q >
Ý
m\
q
ÙÙÙ
^
q
Ù Ù> Ù · ^ ª
X
\
´m Ý
q
q >
X\
^
^ \
m
`Ý
^ \
m
`Ý
= rX
=ÞÝm
ª
2
+
2
=
+
2
einfach das Quadrat des üblichen komplexen Betrags.
ist also
genau dann ein EUKLIDischer Ring mit der Norm als Betragsfunktion,
wenn es zu jedem Element
[
] ein
gibt, so daß
1 ist. Da [
] dicht in liegt, müssen dazu die Kreisscheiben mit Radius eins um die Punkte aus
die ganze komplexe
Zahlenebene überdecken. Bei den Punkten, die nur auf Rändern solcher Kreisscheiben liegen, muß zudem überprüft werden, daß sie nicht
in [
] liegen: Andernfalls sind das Körperelemente, für die obige
Ungleichung nicht erfüllt ist.
)=
^
`
\
`
`
¦`
ª
^ \
ªX
q
`

q >
`
`
`
`
\
`
`
`\
`
\
¦`
^ \
X\
ª
=
=
Die Punkte aus
bilden ein Gitter in ; für jeden der Gitterpunkte
definieren wir dessen Wirkungsbereich oder VORONOI-Bereich

2
^
`Ý
3 ) = (1 + 7 ) Rest
m\
^
)(
m

(23 + 9 ) : (2
Ý
ist (62 + 42 ) 132 = 52 169 und damit deutlich kleiner als eins. Somit ist
`
(23 + 9 )(2 + 3 ) 19 87
23 + 9
=
.
=
+
2 3
13
13 13
Da 19 : 13 = 1 Rest 6 und 87 : 13 = 6 Rest 9 ist, liegt das Element 1 + 7
aus [ ] am nächsten bei dieser Zahl. Die Norm von
6
19 87
4
(1 + 7 ) =
+
13 13
13 13
^ \
Ù ÙÙ
^
`Ý
ÙÙm Ù
3 im
X
`r
)=( +
] als Teilmenge der komplexen Zahlenebene ;
Betrachten wir als Beispiel die Division von 23 + 9 durch 2
Ring [ ] der GAUSSschen Zahlen. In [ ] ist
A
N( +
^
Wir betrachten [
dann ist
^ \
Da sich jedes Element von [
] als so ein Quotient
darstellen
läßt, muß es also zu jedem
[
] ein
geben, so daß
N(
)
1 ist. Dies zeigt auch, wie man im EUKLIDischen Fall
die Division mit Rest durchführt: Man berechnet den Quotienten
zunächst im Körper [
] und nimmt dann das bezüglich der Norm
nächstgelegene Element von
.
Ý
Um besser zu sehen, welche Terme in den folgenden Rechnungen positiv
] mit
und welche negativ sind, schreiben wir den Körper als [
0; seine Elemente lassen sich dann in der Form +
darstellen,
wobei =
1 die imaginäre Einheit bezeichnet.
Um zu sehen, in welchen der Ringe
eine solche Division mit Rest
stets möglich ist, betrachten wir die Situation geometrisch. Wir beschränken uns dabei zunächst auf den imaginärquadratischen Fall.
¦
N(1) = 1 .
`
N
\
`
von [
] zusammen mit dieser AbbilFalls die Hauptordnung
dung ein EUKLIDischer Ring ist, muß es zu je zwei Elementen
mit = 0 ein Element
geben, so daß N(
)
N( ) ist.
Division durch macht daraus die Ungleichung
`
Für einen EUKLIDischen Ring brauchen wir zunächst eine Abbildung
nach 0 . Für konnten wir einfach den Betrag nehmen; für die Hauptordnung eines quadratischen Zahlkörpers können wir unser Glück versuchen mit dem Betrag der Norm.
`
denn auch die Norm von 3 ist kleiner als die von 2 + 3 . (Der Rest wurde
jeweils als Dividend minus Divisor mal Quotient berechnet.) Da in der
Definition eines EUKLIDischen Rings von Eindeutigkeit keine Rede war,
ist dies kein Problem. (Auch beim EUKLIDischen Algorithmus wird nie
gebraucht, daß das Ergebnis der Division mit Rest eindeutig ist; in der
Tat läßt sich der sogar für gelegentlich dadurch etwas beschleunigen,
daß man bei der Division mit Rest auch negative Reste zuläßt und stets
das Ergebnis nimmt, bei dem der Betrag des Rests minimal ist.)
3 ) = (1 + 6 ) Rest 3 ,
8
Wir interessieren uns in diesem Kapitel vor allem für quadratische
Zahlkörper; daher wollen wir uns fragen, wann die Hauptordnung eines
solchen Körpers EUKLIDisch ist.
(23 + 9 ) : (2
ein mögliches Ergebnis der Division mit Rest. Ein anderes wäre
Kap. 6: Quadratische Zahlkörper

Zahlentheorie

`
\
`
`
`
\

\
q
q
\

Ø ª
Ù Ù
ª
ª
1 ,
( )
q¡ in mindestens einem dieser Wirkungs-
Øq
Offensichtlich liegt jedes
bereiche, und falls
ª
:
liegen als bei

( )=
, die näher bei
als den Abschluß der Menge aller
jedem der anderen Gitterpunkte:
q >
\
qÙ Ù
ª

^ \
folgt insbesondere, daß jedes Element von [
] im Innern einer
Kreisscheibe mit Radius eins um einen Gitterpunkt liegt: Dann ist der
Ring
EUKLIDisch.

kl
kl\

^
²
+
2
2
.
²
^ \
¦
±
¦
¦
ªÝ
m
m
`Ý

²
²
^
Y²
²
^
^

²
²
X
"
!
¡
&
)2
=
1
4
'
4+
2+
=
^

\
\
1
42 = 16 oder
+
1
+
2+
14 .
1
4
'
2+
=
\
1
=
1
16
+
dies ist genau dann kleiner als eins, wenn gilt
(
^
+
1
2
2
Der Abstand dieser Punkte vom Nullpunkt ist
^
1
;
Zwei der Ecken des Wirkungsbereichs liegen (aus Symmetriegründen)
auf der imaginären Achse; Einsetzen in die Geradengleichungen ergibt,
daß deren Imaginärteile gleich 14 (
+1
) sind. Die restlichen
vier Ecken liegen auf den Geraden = 12 , haben also Realteil 12 ; hier
1
).
führt die Rechnung auf die Imaginärteile 14 (
2
^
=
^ \
Für
= 3 überdecken zwar die abgeschlossenen Kreisscheiben mit
Radius eins um die Gitterpunkte ganz , aber die gerade betrachteten
Eckpunkte sind Elemente des Körpers [
3], die in keiner offenen
Kreisscheibe um einen Gitterpunkt liegen. Das ist allerdings hier kein
Problem, denn in [
3] sind diese Eckpunkte ja selbst Gitterpunkte:
3 mod 4 gibt es schließlich mehr ganze Zahlen in [
].
Für
`
^
^
=1
1
2
!%$
2 ist, d.h.
²
Y²

^
Dies ist genau dann echt kleiner als eins, wenn
oder = 2.

.
^
ù
^
²
2
X
#
`
1+
2
²
`
"
óª
Ùó ÙÙ
=
²
+

Y²
2
^
Eine Drehung um 90 kann in der komplexen Zahlenebene realisiert
werden durch Multiplikation mit ; wir haben also die vier Geraden
` ²
1
2
2
²
Hier wird das Gitter
erzeugt von der Eins und von 12 (1 +
).
Der Nullpunkt hat somit sechs nächste Nachbarn, nämlich 1 und
1
. Die Wirkungsbereiche der Null und von 1 werden getrennt
2
2
durch die Geraden = 12 , und auch für die vier anderen Punkte müssen
wir die Mittelsenkrechte zur Verbindungsstrecke betrachten. Diese geht
durch den Streckenmittelpunkt, also durch 14
, und sie steht
4
senkrecht auf dieser Strecke.
^
Die Struktur des Wirkungsbereichs hängt ab von
mod 4: Falls
1 mod 4, d.h.
3 mod 4, ist
=
[
]. In
der komplexen Zahlenebene bilden diese Punkte ein Rechteckgitter mit
zu
. Der Wirkungsbereich des
den Gitterpunkten = +
Nullpunkts ist daher das Rechteck mit Ecken 12
, und die am
2
weitesten von der Null entfernte Punkte sind die Ecken mit Abstand
8
Der Wirkungsbereich eines Gitterpunkts unterscheidet sich von dem
des Nullpunkts nur durch eine Verschiebung um ; entsprechendes gilt
auch für die Kreise mit Radius eins um die beiden Punkte. Daher reicht
es, zu untersuchen, wann der Wirkungsbereich des Nullpunkts ganz im
Innern des Einheitskreises liegt.
Kap. 6: Quadratische Zahlkörper

Zahlentheorie

>
>
^ \
^ \
l
¢
8

^
=
^
l
>
^
\
\
\
Â\
ª
\
Á
Ã
>
â
Ã
Â
\
Ï
\
\
Â\
ª
q
^
²
²
k\
r
²
X
^
Ý
m

X
r
r\
m
X\
ÙÙ
\
k\
q \
(
\
Ù > Ù
^
ª
Ý
m ^

r
X
ªr
X
£
ª
(
£
r
X\
Betrachten wir zunächst den Fall, daß 2
bezeichnet man als die PELLsche Gleichung.
²
2
In reellquadratischen Körpern führt die Bedingung N( ) = 1 auf die
2
Gleichung 2
= 1 mit einem positiven ; hier können wir nicht
ausschließen, daß es unendlich viele Lösungen gibt.
`²
= 1 ist. Diese Gleichung
X
Ã
X\

Â
ª

JOHN PELL (1611–1685) wurde im englischen Sussex geboren und ging auch dort zur
Schule. Bereits 1624 begann er sein Studium an der Universität Cambridge; 1628 erhielt
er seinen Bachelor und 1630 seinen Master. Danach arbeitete er meist als Lehrer. Von
1654–1658 war er als Diplomat im Auftrag CROMWELLs in Zürich. In einem dort von
JOHANN HEINRICH RAHN (1622–1676) verfaßten Buch, an dem PELL wesentlich mitwirkte,
ist ein Beispiel der obigen Gleichung zu finden, weshalb sie EULER (1707–1783) nach
PELL benannte. Tatsächlich wurde sie wohl erstmalig von dem indischen Mathematiker
und Astronom BRAHMAGUPTA (598–670) untersucht; die vollständige Theorie dazu geht
r
Genau für diese ist also
EUKLIDisch bezüglich der Norm. Es gibt
zahlreiche weitere positive , für die
faktoriell ist; vermutungsweise
sind es sogar unendlich viele. Ob einige dieser Ringe möglicherweise
\
^ \
²
^ \ ²
²
Die letzten offenen Fälle wurden 1950 untersucht in H. CHATLAND,
H. DAVENPORT: Euclid’s algorithm in real quadratic fields, Canadian J.
Math. 2 (1950), 289–296; dort sind auch die weiteren Arbeiten zitiert,
aus denen zusammen schließlich das obige Ergebnis folgt.
`
Lemma: In einem imaginärquadratischen Zahlkörper [
] gibt es
für = 1 und = 3 nur die Einheiten 1. In [ ] gibt es zusätzlich
3] sind die Einheiten genau die
noch die Einheiten , und in [
sechsten Einheitswurzeln 1 und 12 12
3.
2 3 5 6 7 11 13 17 19 21 29 33 37 41 57 73 .
\
²
Betrachten wir für festes = +
die Menge
aller
2
, für die = +
(
)
diese Ungleichung erfüllt, erhalten
wir also einen Bereich, der durch Hyperbeln begrenzt wird, und wir
müssen zeigen, daß die Vereinigung aller
für
ganz 2
ist. Durch mühsames Abhaken vieler Einzelfälle folgt aus einer ganzen
Reihe von Arbeiten, daß dies genau dann der Fall ist, wenn
X\
X
r
1.
X
X
)2
X
r
r
r

(
¦
²
)2
²
r
^
(
²
1 für
l
)
X\
2
die Summe zweier positiver
Im imaginärquadratischen Fall ist 2
Terme; hier kommt also nur der Wert +1 in Frage. Die einzigen ganzzahligen Lösungen sind offensichtlich (
) = ( 1 0), sowie im Fall
= 1 der GAUSSschen Zahlen (
) = (0 1). Für
1 mod 4
sind auch echt halbzahlige Werte für sowohl als auch zugelassen;
dies führt offensichtlich nur für = 3 zu weiteren Lösungen, nämlich
= 12 und = 12 . Damit haben wir gezeigt:
r
Im reellquadratischen Fall wird die Ungleichung N(
= +
und = +
zu
^
0 gibt, für die die Hauptordnung
Es ist nicht bekannt, ob es andere
bezüglich einer anderen Funktion :
0
0 EUKLIDisch ist.
Bekannt ist aber, daß die einzigen weiteren faktoriellen Hauptordnundie sind mit
19 43 67 163 : siehe H. STARK:
gen
A complete determination of the complex fields of class numbers one,
Michigan J. of Math. 14 (1967), 1–27. Die Methoden seines Beweises
liegen deutlich über dem Niveau dieser Vorlesung.
Ist +
eine Einheit in
(man spricht auch kurz, aber schlampig,
2
von einer Einheit des Zahlkörpers [
]), so muß die Norm 2
eine Einheit in sein, also gleich 1.
^
von diesen wissen wir damit auch, daß ihre Hauptordnung faktoriell ist.
Ã
11 ;
§6: Einheiten in quadratischen Zahlkörpern
Ï
7
ß
3
2
Ã
â
1
Á
bezüglich einer anderen Abbildung :
0
0 EUKLIDisch sind,
ist nicht bekannt, und die Nichtexistenz einer solchen Abbildung ist
natürlich nur schwer zu beweisen.
8
Die einzigen imaginärquadratischen Zahlkörper [
], deren Hauptordnung bezüglich der Norm EUKLIDsch ist, sind somit die mit
Kap. 6: Quadratische Zahlkörper
Â
Die einzigen
3 mod 4, die dies erfüllen, sind
=3
= 7 und
= 11. Für diese ist auch 41 (
+1
) 1, so daß dann und nur
dann der gesamte Wirkungsbereich der Null im Einheitskreis liegt.
Zahlentheorie
9

8
8
ù
¦
ª:
Ò
²
q
§
â
Ð
Ð
qÒ
qÒ qÒ \
q q? r
qÒ
q
â
Ò)
X

:
Ò
²
Ò
Ð
²
Ò
Ò
Ð
Ð
Nachdem durch die komplexen Zahlen 2 mit der Struktur eines Körpers
versehen war, versuchten viele Mathematiker ähnliches auch für 3 zu
erreichen. Natürlich kann weder 3 noch sonst ein
mit
2
zu einem Körper gemacht werden, denn ein solcher Körper wäre eine
algebraische Erweiterung von ; da aber der algebraische Abschluß
von gleich ist, muß dann = 1 oder = 2 sein.
§7: Quaternionen
Bevor wir das im einzelnen untersuchen, wollen wir zum Abschluß
dieses Kapitels und zur Vorbereitung auf das nächste noch ein Beispiel
einer nichtkommutativen Variante eines Zahlkörpers betrachten.
ªÒ
;
;
¡ qÒ
qÒ
Ò q q
;
¡ ß
qÒ ¡
q qÒ
q
Das Bild von ist diskret, denn hat ( ) höchstens den Abstand vom
Nullpunkt, so ist log
und log
. Ist log = , so ist
2
.
also
und
. Damit ist Sp( )
2 und N( )
Da Norm und Spur ganzzahlig sind, gibt es also für beide nur endlich
viele Möglichkeiten, und da für ein ganzes Element Norm und Spur
zusammen mit dem führenden Koeffizienten eins die Koeffizienten der
quadratischen Gleichung sind, gibt es auch nur endlich viele quadratische Gleichungen und damit nur endlich viele Möglichkeiten für .
Da eine Einheit Norm 1 hat, ist
= 1, das Bild von liegt also
auf der zweiten Winkelhalbierenden =
von 2 . Außerdem sind
und reell, so daß genau dann im Kern von liegt, wenn = 1 ist.
§
)
Ò
§
log
Ò
²
Ò
(log
ª:
2
¦
:
ÿ
Im nächsten Kapitel werden wir sehen, daß jeder reellquadratische
Zahlkörper eine solche Grundeinheit“ hat; die Einheitengruppe eines
”
reellquadratischen Zahlkörpers besteht also stets genau aus den Elemenmit
und
.
te der Form
Mit der PELLschen Gleichung werden wir uns im nächsten Kapitel genauer beschäftigen, und wir werden sehen, daß sie stets unendlich viele
Lösungen hat. Als Vorbereitung dazu wollen wir uns hier etwas genauer
mit der Struktur der Einheitengruppe beschäftigen. Dazu betrachten wir
die Abbildung
^
Satz: Falls es im reellquadratischen Zahlkörper
= [
] ein Element aus
gibt, dessen Norm größer als eins ist, gibt es auch ein
entsprechendes Element mit kleinster Norm, und die Einheiten von
sind genau die Elemente
mit
. Insbesondere ist dann die
Einheitengruppe unendlich.
Kap. 6: Quadratische Zahlkörper
8
zurück auf LAGRANGE (1736–1813), der die Gleichung als ein Problem bezeichnet, das
FERMAT den englischen Mathematikern stellte. Nach seiner Rückkehr aus Zürich wurde
PELL Priester. 1663 wählte ihn die Royal Society zum Mitglied, 1675 wurde er deren
Vizepräsident.
Zahlentheorie
B
ß
¡
; q
Ò
ß q
qÒ
Ò
ß
¡
Ð
A
m
\
Ý Ý
\
Ý
Ý
Ý
Ð
)=(
Á
ª:
¡
m:
Ý\
m
m\
:
\
Ý
¡Ý
m:
Ð

Ð
\
\
Ý
Ð:
Ò
\
Ò
:

m Ò
> m:
¡Ý
\ m:
Ý
Damit haben wir bewiesen
m: \
ist aber
= 0, d.h.
Ý
so daß auch dieser Punkt im Bild liegt. Nach Wahl von
0
; wegen der Minimalität von ist also
=
und = .
(
Ý
)

( )=(

)= ( )
Ò
Ý

(
m\
n
Für einen solchen Punkt ( ) = (
ist. Dann ist
0 , so daß
Ð
m
Ý
Ý
\
),
Erst 1940 konnte HEINZ HOPF (1894–1971) (auf dem Umweg über
Vektorfelder auf Sphären) zeigen, daß das nicht möglich ist: Selbst eine
bilineare Abbildung
kann nur dann existieren, wenn
eine Zweierpotenz ist, und 1958 zeigten dann unabhängig voneinander
und mit verschiedenen Methoden JOHN MILNOR und MICHEL KERVAIRE,
daß auch noch
8 sein muß, so daß nur die vier Möglichkeiten
= 1 2 4 und 8 in Frage kommen. Genau in diesen Fällen waren auch
bereits entsprechende Produkte bekannt:
) gibt es jedenfalls ein größtes
:
Die damaligen Mathematiker waren jedoch bescheidener: Ihnen genügte
es, einfach irgendeine Art von Multiplikation zu finden, die nicht unbedingt allen Körperaxiomen genügte – von Körpern sprach damals
ohnehin noch niemand.
¡
:
Somit gibt es im Bild von ein Element ( ) = (
) mit minimalem
0. Wir wollen uns überlegen, daß das jeder andere Punkt im Bild ein
ganzzahliges Vielfaches davon ist. Da mit (
) auch (
) im Bild
liegt, können wir uns dabei auf Punkte (
) mit
0 beschränken.
q
ß
A
:
â
Ñ
:

:
m:
Ý\
m
V
8
:
:
\
*

\
Ñ

`
`
ÿ
`
ò

ú
+
ò
`
+
\

ú
ÿ
ò
+
;
ÿ
=

=
,
und
,
.
2
=
+
+
2
+
2
+
2
= +
.
.
2-
=(
+
) .
N(
N( ) ist gleichzeitig die Determinante der zugeordneten Matrix; aus
dem Multiplikationssatz für Determinanten folgt daher sofort die Formel
,
=
Ò
Damit folgt insbesondere, daß
eine reelle Zahl ist, die genau dann
verschwindet, wenn = 0 ist. Wir bezeichnen diese Zahl wieder als die
Norm N( ) der Quaternion , und wieder ist N( ) das multiplikative
Inverse zu – sowohl für die Links- wie auch die Rechtsmultiplikation.
\
2

,
=
b j\
,
,
2
=
=
Ò
2
,
Ò
,
ø,
) = N( )N( ) .
ø
erfüllen dieselben Relationen
©` \ Ò \
\
und
sh
,
0
Ò
,
Definieren wir in Analogie zum Fall der quadratischen Zahlkörper wieals die Quaternion
der das konjugierte Element zu = + + +
=
, so entspricht der Matrix
+
Ò

=,
0
mit
Die Determinante dieser Matrix ist
\
,

,
=
2 2
Die Quaternionen entsprechen somit genau den komplexen 2
Matrizen der Form

Ò
\
Ò
und

Ò
Ò

bj
0
©+
©
©`

0
ú
j

j
sh
=
ò
Da für Matrizen das Assoziativgesetz wie auch das Distributivgesetz gelten, ist klar, daß das Produkt zweier solcher Matrizen wieder von derselben Form ist und daß auch die Quaternionenmultiplikation Assoziativund Distributivgesetz erfüllt.
ÿ
\
h`

Ò
Ò
0 1
1 0
h
`j
h
Ò
=
©
\
©
1 0
0 1

h`
ú
=
+
identifizieren mit der
ª
`j
©
h`
`j
Zum Glück fand CAYLEY 1858 einen einfacheren Weg: Die vier komplexen 2 2-Matrizen
bj
Ñ
WILLIAM ROWEN HAMILTON (1805–1865) wurde in Dublin geboren; bereits mit fünf Jahren sprach er Latein,
Griechisch und Hebräisch. Mit dreizehn begann er, mathematische Literatur zu lesen, mit 21 wurde er, noch als
Student, Professor der Astronomie am Trinity College
in Dublin. Er verlor allerdings schon bald sein Interesse an der Astronomie und beschäftigte sich stattdessen mit mathematischen und physikalischen Problemen.
Am bekanntesten ist er für seine Entdeckung der Quaternionen, vorher publizierte er aber auch bedeutende
Arbeiten über Optik, Dynamik und Algebra.
+
+
+
§
Damit ist, wenn man die Gültigkeit des Distributivgesetzes postuliert,
eine Multiplikation auf 4 definiert; der Beweis, daß hierbei alle Körperaxiome außer der Kommutativität der Multiplikation erfüllt sind, enthält
wie üblich nur einen etwas schwierigeren Punkt, die Existenz von Inversen; der Rest ist mühsame Abhakerei.

=
©`
+
+
sh
+
+
8
+
wir können also die Quaternion
Matrix
Kap. 6: Quadratische Zahlkörper
c
Für = 1 und 2 haben wir natürlich die reelle bzw. komplexe Multiplikation. Den Fall = 4 löste HAMILTON 1843: Er fand eine Multiplikation
auf 4 , die zwar nicht kommutativ ist, ansonsten aber alle Körperaxiome
erfüllt. Man spricht in so einem Fall von einem Schiefkörper oder, in der
neueren Literatur, einer Divisionsalgebra. HAMILTON bezeichnete seine
vierdimensionalen Zahlen als Quaternionen. Kurz danach konstruierte
ARTHUR CAYLEY (1821–1895) ein nicht-assoziatives Produkt auf 8 ;
die so erhaltenen Zahlen“ nannte er Oktaven.
”
HAMILTON wählte eine Basis von = 4 , die aus der Eins sowie drei
imaginären Einheiten“ i j k besteht, d.h. i2 = j2 = k2 = 1. Außerdem
”
postulierte er, daß ij = ji = k sein sollte; daraus lassen sich dann über
das Assoziativgesetz auch die anderen Produkte imaginärer Einheiten
berechnen.
Zahlentheorie

,
\
\
\
¦

rX
X
r
X
die Zahlentheorie interessiert sich vor allem dafür, welche Werte (
für
annehmen kann.
;
¦
ªr
X
r
X

X
¦`
)(
\
\
« e tá
X
X\
`r
`r
X
r
X
vª = <
X
¦
:
`r
X
<
>
<
v<
v ><
=<
q >X
q
l
l
l
l
.
=
4
2
, so daß
Summe zweier Quadrate ist. Das
; wir müssen zeigen, daß = 1 ist.
2
<
+1
v>
X
v>
Es gibt also ein
kleinste solche sei
X
2
Á
+1=
l\
X
2
<

v<
<

v
Zunächst ist klar, daß
eine ungerade Zahl sein muß, denn aus der
Formel 2 + 2 =
mit geradem folgt, daß und entweder beide
gerade oder beide ungerade sind;
sind also gerade und
2
2
2
+
+ 2
+
=
,
=
2
2
2
2
im Widerspruch zur Minimalität von .

X
r
²
r
X

<
r

:
Lemma: Sind zwei Zahlen
darstellbar als Summen zweier
.
Quadrate, so gilt dasselbe für ihr Produkt
<\
v
Auf der Suche nach positiven Ergebnissen können wir uns auf Primzahlen beschränken, denn wie FIBONACCI bereits im dreizehnten Jahrhundert zeigte, gilt:
« e
In gibt es daher Zahlen , für die 2
1 mod ist oder, anders
ausgedrückt, 2 +1 = für ein
. Da jede Restklasse modulo einen
Vertreter mit Betrag kleiner 2 enthält, können wir dabei annehmen,
daß
2 ist; dann ist mit einer geeigneten natürlichen Zahl
<
Modulo vier ist 02
22
0 und 12
32
1; somit ist jede Summe zweier Quadrate kongruent null, eins oder zwei modulo vier. Eine
Zahl kongruent drei modulo vier kann somit nicht als Summe zweier
Quadratzahlen auftreten.
<
ist die Norm von + . Eine ganze Zahl ist also genau dann als Summe zweier Quadrate darstellbar, wenn sie die Norm einer GAUSSschen
ganzen Zahl ist.
=( +
r
)
r
`
2
tá
+
Ú
á
2
<
s
Beweis: Aus Kapitel I, 7 wissen wir, daß die multiplikative Gruppe des
Körper
von einem einzigen Element erzeugt wird. Für = 4 + 1
ist dann 4 = 1, also 2 = 1. Somit ist 1 =
1 in
ein Quadrat.
<
Der einfachste Fall ist die Form (
) = 2 + 2 . Er hängt eng zusammen mit der Hauptordnung [ ] von [ ], denn
Satz: Eine ungerade Primzahl ist genau dann darstellbar als Summe
zweier Quadrate, wenn
1 mod 4. Diese Darstellung ist eindeutig
bis auf die Reihenfolge der Summanden.
Da 2 = 12 +12 als Summe zweier Quadrate darstellbar ist, müssen wir nur
die ungeraden Primzahlen untersuchen, und hier wissen wir bereits, daß
Zahlen kongruent drei modulo vier nicht als solche Summen auftreten.
l
§1: Summen zweier Quadrate
)
Ò
Ò
?
mit
ª
+
Ò
+
`
: ¦
Ò
)=

(
:
2
Ò :
(FIBONACCI bewies dieses Lemma natürlich nicht über den Umweg
mit Normen GAUSSscher Zahlen; er fand eine explizite Formel für die
Darstellung des Produkts als Summe zweier Quadrate. Es handelt sich
dabei um dieselbe Formel, zu der wir auch durch Ausmultiplizieren der
Gleichung N( ) N( ) = N( ) für = + und = + kämen.)

©`
j
2
Ò
h`
Eine quadratische Form ist ein Ausdruck der Form
Kapitel 7
Quadratische Formen
8
Beweis: Wenn und als Summen zweier Quadrate darstellbar sind,
gibt es
[ ], so daß = N( ) und
= N( ) ist. Wegen der
Multiplikativität der Norm ist dann
= N( ) ebenfalls eine Norm
und damit als Summe zweier Quadrate darstellbar.
Kap. 7: Quadratische Formen

<
X
r

X\
r
X
X
ª
:

8
n
ª

l
q
q
q >
r
r
X
q >
r

X
>
X
<

<
r
l
X

m
`r
X
`
m
Ó
>m

r
X
<

m
l
X
r
X
l
l
X
\

r
X
r

oder
<m
+
.

m
Ó
<
>m
<

Ý
m
<
Ým

<
Somit zerfallen genau die Primzahlen
genau die
3 mod 4 bleiben prim.
1 mod 4 und die Zwei, d.h.
m\
`Ý
m
l
r
<
X
l
©`
<
`
`r
`r
<
X
In der Abbildung sind die GAUSSschen Primzahlen + der Norm
2
dargestellt.
höchstens 1000 durch Quadrate um den Punkt ( )
Mancher Leser wird hier ein gelegentlich von Designern verwendetes
Muster erkennen.
<
¦`
`
\
X\
Alle Faktoren haben Norm und sind somit irreduzibel, und aus dem
vorigen Kapitel 5 wissen wir, daß [ ] ein EUKLIDischer, insbesondere
also faktorieller Ring ist. Daher unterscheiden sich die beiden Zerlegungen nur durch Einheiten von [ ]. Auch diese kennen wir aus Kapitel 6:
`Ý
).
m\
l
. In [ ]
`Ý
<
2
l
+
m
2
.
¦`
Ist umgekehrt
1 mod 4, so gibt es nach dem Satz zwei ganze Zahlen
, so daß = 2 + 2 ist, d.h. = ( + )(
) zerfällt in [ ], und das
Argument aus dem vorigen Abschnitt zeigt, daß dies die Primzerlegung
ist.
2
Ý
=
+
<
2
m
1 mod 4.
2
¦`
Angenommen, es gibt zwei Darstellungen = 2 +
ist dann
= ( + )(
) = ( + )(
<
Nach dem Satz ist daher
)=
<
Damit haben wir gezeigt, daß = 1 sein muß, d.h. läßt sich als Summe
zweier Quadrate darstellen. Wir müssen uns noch überlegen, daß diese
Darstellung bis auf die Reihenfolge der Faktoren eindeutig ist.
.
=
)(
`Ý
, widerspricht dies der Minimalität von
)

) +(
=( +
m\
2
r
rX \
`Ý
Da
Xr
=(
\
l
)=

)(
m
(
X
<
2
<
2
m
`Ý
2
m\
2
`Ý
2
`² Ý
teilbar. Somit gibt es natürliche Zahlen
,
m
Ý
beide Zahlen sind also durch
mit
0 mod
r
und
)2 .
0 mod
)2 + (
<
+
+
<
+
)=(
W
und
2
`Ý
2
+
`² Ý `² Ý
m
m
2
2
) zerfällt offensichtlich, und dies ist bereits
(1
) = 2 hat keine echten Teiler.
<
Dabei ist nach Definition von
)(
<
Falls eine ungerade Primzahl einen echten Teiler + hat, ist sie auch
durch
teilbar. Da die Norm von gleich 2 ist und
keine
Einheiten, muß (
) = sein. Damit folgt zunächst, daß
prim
sind, denn ein echter Teiler müßte als Norm einen echten Teiler von
haben. Außerdem folgt, daß sich ( + )(
) = 2 + 2 höchstens
durch eine Einheit von unterscheidet. Da beides positive Zahlen sind,
muß diese gleich eins sein, d.h. die Primzerlegung von in [ ] ist
`
2
ª<
` W
\
`²
+
<
Beweis: = 2 = (1 + )(1
die Primzerlegung, denn
m
2
`² Ý
)=(
m
)(
Ý
m
(
<
Nach der zu Beginn des Paragraphen zitierten Formel von FIBONACCI,
d.h. also durch explizite Berechnung von ( + )( + ) und Berechnung
der Norm davon, erhalten wir die Formel.
2
<
+
<
2
¦`
Korollar: Eine Primzahl
ist genau dann irreduzibel in [ ], wenn
3 mod 4. Andernfalls zerfällt sie in das Produkt zweier konjugiert
komplexer irreduzibler Elemente
mit 2 + 2 = .
l
ist. Da
X
=
Als erste Anwendung davon können wir die Primzahlen im Ring [ ]
der GAUSSschen Zahlen bestimmen:
r
2
Ú
Á
+
2
²
Nach dem Lemma aus 6 sind es genau die Elemente 1 und . Somit
ist entweder 2 = 2 und 2 = 2 oder umgekehrt, womit die Eindeutigkeit bewiesen wäre.
`²
¦`
also gibt es eine natürliche Zahl , so daß
kleiner ist als 12 2 , ist
2 .
8
mod
und
mod .
2
2
Offensichtlich können nicht beide dieser Zahlen verschwinden, denn
teilbar, also wäre 2 + 2 =
sonst wären und beide durch
2
teilbar. Das kann aber nicht sein, denn ist prim und
durch
.
Weiter ist
2
2
+ 2
+ 2=
0 mod ,
Kap. 7: Quadratische Formen

Falls die Behauptung falsch wäre, müßte somit
3 sein. Wir defidurch die Bedingungen
nieren dann zwei neue Zahlen
Zahlentheorie

<
Ú
©ª

¦`
¦`
¢
8
`
<
:
h
¦`
l
<
:
Für zusammengesetzte Zahlen ist die Darstellung als Summe zweier
Quadrate im allgemeinen nicht mehr eindeutig. Über die Primzerlegung
in [ ] läßt sich die Anzahl verschiedener Darstellungen leicht erkennen:
Natürlich entsprechen auch für eine beliebige natürliche Zahl die
Darstellungen als Summe zweier Quadrate den Darstellungen von als
Norm eines Elements von [ ], wobei assoziierte Elemente auf dieselbe
Zerlegung führen.
<
<
¦`
² qr
X q
qX
q
¦`
:
²
¦`
`
r
X
:
l
`?
`
<
<
:
\
j
:
:
l
l
<
<
o
=1
é-

t
<_
t
_
:
¦`
ªp _
<_ `
¦
:
h
¦`
r
h
X
r
X
h
r

X
:
h
:
l
<

o
é.
p_
.
p_
.
o
`
`
`
<
t
p_
=1
=
ist; dann
3 mod 4 .
p_
?
=1
2
t
=1
<_
(1 + )2
l
[ ] derart, daß
1 mod 4

Für jedes wählen wir ein
ist in [ ] assoziiert zu
mit
l
=1
:
=2
2
Wir sortieren daher in der Primzerlegung von
klassen modulo vier der Primfaktoren:
`
nach den Kongruenz-
Aus der Primzerlegung von in können wir leicht auf die Primzerlegung in [ ] schließen: Primzahlen kongruent drei modulo vier
bleiben nach obigem Korollar auch in [ ] irreduzibel, die kongruent
eins modulo vier sind Produkte zweier konjugierter Elemente
.
Die beiden Faktoren sind nicht assoziiert, denn sonst wäre
=
und
= 2 + 2 wäre gerade. Die Zwei schließlich ist Produkt der beiden
, und die sind assoziiert zueinander, denn
irreduziblen Elemente 1
(1
) =1+ .
¦`
¦
`r
Umgekehrt sei = 2 + 2 und = ggT(
). Mit =
, =
und = 2 ist dann
= 2 + 2 , und
enthält genau dann einen
Primteiler
3 mod 4 in ungerader Potenz, wenn dies für der Fall ist.
Ein solcher Primteiler teilt auch 2 + 2 = ( + )(
) im Ring [ ]
der GAUSSschen Zahlen. Falls auch dort eine Primzahl ist, muß es
<
<
Beweis: Zunächst ist die Bedingung hinreichend, denn da mit auch
jedes Produkt 2 als Summe zweier Quadrate darstellbar ist, können
wir die Primteiler
3 mod 4 ignorieren. Nach dem gerade bewiesenen Satz wissen wir, daß jede Primzahl
1 mod 4 Summe zweier
Quadrate ist, und natürlich gilt dies auch für 2 = 12 + 12 . Damit ist nach
dem obigen Lemma auch jedes Produkt solcher Primzahlen als Summe
zweier Quadrate darstellbar.
Somit ist in [ ] keine Primzahl; nach obigem Korollar muß daher
= 2 oder
1 mod 4 sein. Damit ist jeder Primteiler
3 mod 4
von zugleich ein Teiler von und tritt in daher mit einer geraden
Potenz auf.
l
: :
Satz: Eine natürliche Zahl läßt sich genau dann als Summe zwei3 mod 4 mit einer
er Quadrate schreiben, wenn jeder Primteiler
geraden Potenz in der Primzerlegung von auftritt.
`
mindestens einen der beiden Faktoren teilen; komplexe Konjugation
zeigt, daß es dann auch den anderen teilt. Damit teilt es auch deren
Summe 2 und Differenz 2 ; da ungerade ist und eine Einheit, teilt
also die zueinander teilerfremden Zahlen und , ein Widerspruch.
Kap. 7: Quadratische Formen
8¢
Kehren wir zurück zur Ausgangsfrage: Wann kann eine vorgegebene
natürliche Zahl als Summe zweier Quadrate dargestellt werden?
Zahlentheorie
9
<_
t
_
_
:
\
<
Ò
¦`
ªÒ
Ein Element
[ ], für das N( ) =
Einheit die Form
8¢
8
:

/ o
o
=1
=1
t

/ p_
`
Ò
_
,
é- t
p_
_
k
³ _ X
r
³ _
¡
û_
¡
mit 0
. Die Anzahl verschiedener Möglichkeiten ist somit
gleich dem Produkt der ( + 1), wobei hier allerdings die Darstellungen
= 2 + 2 und = 2 + 2 für = als verschieden gezählt werden.
=1
:
X
r
:
X
r
:
:
5
9
11
+
13
0
X
X
+
+
;
8
10 000
5 0 10 5
10 000 000 100 000 000
5 0 10 8
5 0 10 9
1 000 000
5 0 10 7

??
?
X
X
\
X
X
\
X
\
X\
X

@2
100 000
5 0 10 6
4
1 000
5 0 10

W
p\

?
?

@2
p\
Einer davon benutzt Zahlen mit einer großen Anzahl verschiedener Darstellungen als Summen zweier Quadrate. Die Reihe für den Arkustangens konvergiert sicherlich umso besser, je kleiner der Wert von ist.
Wenn wir also den Winkel 4 aufteilen können in mehrere kleine Winkel,
deren Tangens wir kennen, sollten bessere Ergebnisse zu erwarten sein.
Genau das können wir mit solchen Zahlen erreichen.

1
1 1 1 1
1
1
.
+
+
+
+
4
3 5 7 9 11 13 15
Zur praktischen Berechnung von ist diese Formel allerdings völlig unbrauchbar und der Alptraum eines jeden Numerikers: Zunächst einmal
sind alternierende Summen grundsätzlich problematisch, allerdings ist
das hier vergleichsweise harmlos: Wenn wir jeden negativen Summanden von seinem Vorgänger subtrahieren, bekommen wir eine Reihe
X

Für eine zusätzliche Dezimalstelle muß also der Rechenaufwand ziemlich genau verzehnfacht werden. Angesichts der Tatsache, daß heute
mehrere Billionen Ziffern von bekannt sind ist klar, daß es bessere
Wege zur Berechnung von geben muß.
=
?
1
2
6
10
14
+ 4
+ 8
+ 12
+
.
=1
1+ 2
Durch gliedweise Integration folgt wegen arctan 0 = 0 die obige Formel.
Eine bekannte Anwendung davon ist der Spezialfall = 1:
3

?
8
2
100
5 0 10
10
4 5 10
die folgenden Fehler:

3
5
7
9
11
13
15
falls es jemand nicht mehr weiß: Die Ableitung des Arkustangens ist
1 (1 + 2 ), und nach der Summenformel für die geometrische Reihe ist
7
W
+
@2
3
p
=
2

arctan

¿
=0
:
so erhält man für die ersten Zehnerpotenzen
:
W
Aus der Analysis I ist bekannt, daß gilt
1
,
(4 + 1)(4 + 3)
¿
=
:
§2: Anwendung auf die Berechnung von
1
die Teilsummen
:
15
Die im Vergleich zur Größe von meisten verschiedenen Darstellungen
gibt es offenbar dann, wenn ein Produkt verschiedener Primzahlen
ist, die allesamt kongruent eins modulo vier sind. In diesem Fall ist die
Anzahl der Darstellungen gleich zwei hoch Anzahl der Faktoren.
Dazu kommt, daß die Reihe extrem langsam konvergiert: Berechnet man
für
1
=
8
(4 + 1)(4 + 3)
=0
mit lauter positiven Gliedern. Die Summanden sind jedoch immer noch
monoton fallend, so daß die Rundungsfehler der ersten Additionen bei
hinreichend langer Summation größer sind als die hinteren Summanden.
Man muß also, wenn man eine endliche Teilsumme berechnen will, von
hinten nach vorne summieren und damit bereits vor Beginn der Rechnung die Anzahl der Terme festlegen. Bei jeder Erhöhung der Anzahl
der Summanden muß die gesamte Rechnung von vorne beginnen.
Kap. 7: Quadratische Formen
8¢
= (1 + )
sein soll, hat daher bis auf eine
Zahlentheorie
B
X
X
\
X
X
X\
X
X\
X
\
X
p
\
\
\
\
p
2
2
=
+
+
+
+
4 1 3 5 7 9 11 13 15
?
2
??
Angenommen, wir haben für eine Zahl die verschiedenen Darstellungen
= 21 + 12 =
= 2+ 2
u
?
2
p
= arctan 1 = 1
p
X
m
ro
:
Xo
??
?
r
X
:
??
?
??
?
?
?
?
p
: m
ro
>?
??
8¢
V
Y
r o
als Summen von Quadraten, wobei 1
sei. Dann ist
=
, denn wir können ja in jeder Darstellung die Reihenfolge
der Faktoren vertauschen. Wir wollen außerdem voraussetzen, daß
nicht das Doppelte eines Quadrats ist, so daß stets = und somit
eine gerade Zahl ist.
Zahlentheorie
>
r
XY
k
rY
XY
m
X Y
\
i Y
¥ ¯

`
rY
r
:
r Y X ^
X Y

Y
i
rY
i
i
r
p
o ¿
3
=0
2 1
+1
+
3
¯
¯
2+1

o
o
2
.
+
2
2
2
2
2+1
.
2+1
.
5 = 12 + 22
und 17 = 12 + 42

1
= (33 4) ,
o ¿

Y
6
= (12 31) ,

Y
Y
Y
Y
Y
ï
¯
dazu kommen noch die beiden Randpunkte
1105).
9 = (0
= (9 32) ,

7
= (31 12) ,

= (4 33) ,
3
= (24 23) ,
= (23 24) ;

= ( 1105 0) sowie
5
^
0
4

2
= (32 9) ,
zu denen natürlich auch noch vier mit vertauschten Faktoren kommen.
Wir haben also
1105 = 42 + 332 = 92 + 322 = 122 + 312 = 232 + 242 ,
verschafft man sich leicht die vier Darstellungen
13 = 22 + 32
Als Beispiel betrachten wir das kleinste Produkt dreier verschiedener
Primzahlen kongruent eins modulo vier, also = 5 13 17 = 1105. Aus
den Darstellungen

Y
Y
Y
3
Y
¯
Y
Y
r

i Y
Die
für 1
8 unterscheiden sich von den
nur durch das
Vorzeichen der Abszisse. Damit können wir die Tangenten aller Winkel
bei berechnen:
4
1
tan
=
0 1 = tan
8 9 =
33
1
`
Nun lehrt uns aber ein Satz der Elementargeometrie, der (im Anhang zu
diesem Paragraphen bewiesene) Satz vom Innenwinkel, daß der Winkel
+1 doppelt so groß ist wie der Winkels
+1 . Letzterer
gehört zu einem rechtwinkligen Dreieck, denn natürlich ändert sich
nichts am Winkel, wenn wir den Punkt ersetzen durch die senkrechte
+1
+2
. Somit ist

Leider ist keines der Dreiecke
+1 rechtwinklig, so daß uns die
bei der Berechnung der
ganzzahligen Koordinaten der (meisten)
nichts
nützen.
Winkel
+1
+1
Y
3
¯

der Größe nach geordnet sind, ist
o

2
i

=2
^:
\

=
:

der
:
^

Da die -Koordinaten
¥¥
:
0
3
In dieser Darstellung sind die drei Punkte, die den Winkel bestimmen,
in allen Fällen die Eckpunkte eines rechtwinkligen Dreiecks, sie haben allesamt ganzzahlige Koordinaten, und zumindest die Katheten der
Dreiecke haben ganzzahlige Längen. Somit können wir alle auftretenden
Winkel ausdrücken durch Arkustangenswerte rationaler Zahlen.
Y
O
o ¿
=1
2 1
3
?
1
p
4
+2
Ø Y
iîY
?
1
3

Ø
¯
1
Y
2
Y
0
Ø Y
i Y
=
Y
2
p
3
3
3
Division durch zwei macht daraus
+1
3

o
Ø o

i o
3
o ¿
=1
auf die Gerade

o
Ø o

i o
4
Ø Y

Ø
¯
0
2 1
+1
8¢
5
XY

1+4
) von
rY
2
+1
Y
=2
=(
Y
iY
Die Punkte
= (
) und
= (
) für = 1
liegen auf der Kreislinie 2 + 2 =
um den Nullpunkt , genauso
0
0 und +1 = 0
.
die drei Punkte 0 =
0 =
Projektion
Kap. 7: Quadratische Formen
c
¡
3
3
3
Y
¯
Y
X
¯
¯

¡
¯
Y
Y
iY
Y
8¢
w

3
3
¯

i
4
=
X

p
p

: ®

?
?
: ®

19
7 7 10
16
@

?
?

?
: ®
i
;

;
4
Ò

i
Ò
Ò
@
W
@
;
i

?
ñ

ñ
@ ;

ñ
@2 W
:
Da der Satz vom Innenwinkel in Deutschland anscheinend nicht zum
Standardstoff im Geometrieunterricht der Schulen zählt, sei er hier noch
einmal genauer formuliert und bewiesen:
p\
Der allgemeine Fall kann auf diesen Spezialfall zurückgeführt werden: Liegen und auf verschiedenen
Seiten des Durchmessers durch , dessen anderer Endpunkt sei, so erfüllen
auch die Punkte
sowie die
Punkte
die Voraussetzung
des Satzes, und in beiden Fällen sind
wir in der Situation des bereits bewiesenen Spezialfalls. Addition der Ergebnisse für diese beiden Fälle liefert das
.
Ergebnis für die Punkte
Anhang: Der Satz vom Innenwinkel
i
Die Verbesserung gegenüber der Berechnung via 4 = arctan 1 ist in
der Tat dramatisch: Die oben betrachtete Teilsumme
entspricht der
Auswertung des TAYLOR-Polynoms vom Grad = 4 + 3, und selbst
wenn wir auf hundert Millionen setzen, haben wir noch einen Fehler
von 5 10 7 . Mit dem neuen Ansatz kommen wir bereits mit TAYLORPolynome vom Grad neun auf einen Fehler, der gerade mal ein Zehntel
davon beträgt. An Stelle von hundert Millionen Summanden mußten wir
dazu nur fünf TAYLOR-Polynome mit jeweils fünf Summanden auswerten.
;
17
2 1 10

13
4
;
15
6 10
;
10
ï
13
4 9 10
@
10
i
11
5 10
@
8
4
9
1 4 10
7
@
7
4 4 10
;
5
@ i
5
1 4 10

Beweis: Am einfachsten ist der Fall, daß
auf der Verbindungsstrecke
von mit einem der beiden Punkte
und liegt; wir nehmen an, er liege auf
. (Der andere Fall ist spiegelsymmetrisch dazu und geht genauso.) Dann
gleichschenkist das Dreieck
lig, d.h. wir haben bei
und bei
denselben Winkel . Der verbleibende
Dreieckswinkel bei ist somit
2 .
Andererseits ist dies aber der Komplementärwinkel zu =
, also ist
= 2 , wie behauptet.
;
4

3
5 2 10
i
1
2 5 10
.
;
2
Die Summe aller dieser Winkel ist
4
1
1
1
1
= arctan
+ 2 arctan
+ 2 arctan
+ 2 arctan + arctan
.
4
33
13
21
5
47
Approximieren wir dies, indem wir jede der TAYLOR-Reihen durch das
TAYLOR-Polynom vom Grad ersetzen, erhalten wir die folgenden betragsmäßigen Abweichungen
zwischen und dem Vierfachen dieser
Summe:
3

X
5

4
+
r\ X
5
+
r
=
3
4
r\ X
4 4 5
=
r
= tan 2
3
i
3 3 4
+
seien Punkte auf einer Kreislinie mit Mittelpunkt
=2
.

4 5
i

= tan 2
3

2
3
r\ X
5 6
=

2 2 3
Satz:
Dann ist
Ò
tan
3
¯

X
= tan

r
3 4
i
= tan 2
r\ X
6 7
3

X
= tan
+
=
1
5
=
65 13
2
1
3
2
=
=
63 21
3
11 1
3
=
=
55 5
4
1
47
1
i

1
2
i
2 3
=

1 1 2
@
tan
3
= tan 2
r
7 8
i
tan
= tan
@
1 2
Kap. 7: Quadratische Formen
8¢
tan
Zahlentheorie

;
i

@
@
ñ
i
i

;
@

8¢
;
ñ

@ ;
ñ
i
@
i

@
auf derselben Seite des Durchmessers
liegen. Auch in diesem Fall erfüllen
wieder sowohl die Punkte
als auch die Punkte
die Voraussetzungen des Satzes, und beides
Mal sind wir in der Situation des eingangs bewiesenen Spezialfalls. Dieses
Mal führt die Subtraktion dieser beiden Ergebnisse zum gewünschten Resultat für die Ausgangssituation mit den
Punkten
.
@

<
;
;
ñ
i
< ¡
r
X
l
X

ñ
@
\
<
1
2(
1)
1)
Lemma: Jede Primzahl läßt sich als Summe von höchstens vier Quadraten schreiben.
r
Beweis: Für = 2 wissen wir das; sei also wieder ungerade. Nach
dem vorigen Lemma gibt es eine natürliche Zahl
derart, daß
als Summe von sogar höchstens drei Quadraten darstellbar ist; sei
die kleinste natürliche Zahl, für die
als Summe von höchstens vier
Quadraten darstellbar ist. Natürlich ist dann auch
.
<
<
Ú
r ²
²
X
Ä
¦`
¦
¦
±
¦
¦
±
±
:
<

+
2
2

X
2
Ä

Ä\

X
2
r\
2
=
2
+
+
2
X
Ä
s
r
Ä
¦
s
2
+
2
=
2
ungerade, und falls
2
r
s
im Widerspruch zur Minimalität von . Also ist
das Lemma falsch wäre, müßte
3 sein.
2
r
+
2
+

+
2
Wäre eine gerade Zahl, so wäre auch die Summe der vier Quadrate
gerade, und dazu gibt es drei Möglichkeiten: Entweder alle Summanden
sind gerade oder alle sind ungerade oder zwei davon sind gerade, der
Rest ungerade. Im letzteren Fall wollen wir die vier Zahlen
so
anordnen, daß und gerade sind, und dagegen ungerade. Dann
sind in allen drei Fällen
und
gerade, und
<
s
und eine
<
<
<\
s<
Ä
r
X
2
5
X
<
r
X
Lemma: Zu jeder Primzahl gibt es ganze Zahlen
natürliche Zahl
, so daß gilt:
= 2+ 2+
<
r
s>
r
X
,
s
Zur Vorbereitung zeigen wir zunächst
\
keine zwei Elemente, die modulo kongruent sind. Da die beiden Mengen disjunkt sind und jede davon 12 ( + 1) Elemente hat, enthält ihre
Vereinigung + 1 Elemente; hier muß es also mindestens zwei Elemente geben, die modulo kongruent sind. Es gibt also Zahlen
2
mit
1 + 2 mod , d.h. 2 + 2 + 1 == 2 + 2 + 12 =
ist
1
(
durch teilbar. Da
1),
ist
dabei
und
das
Lemma
ist
2
bewiesen.
ÙÙ

<
<
der ganzen Quaternionen. Auch hier haben wir eine Normabbildung,
und eine ganze Zahl ist offensichtlich genau dann als Summe von
vier Quadraten darstellbar, wenn sie Norm einer ganzen Quaternion ist.
Wegen der Multiplikativität der Norm reicht es also wieder, wenn wir
Primzahlen betrachten.
5
¡

>
k
\

¡
>
<
j+
©
<\
X
<
s
i
r
Einer der vielen Beweise dieses Satzes ist recht ähnlich zu dem des
Zweiquadratesatzes aus 1; statt mit dem Ring [ ] der GAUSSschen
Zahlen arbeiten wir aber mit dem Ring
ÙÙ

0
¡
2
1
2(
<\
= 1+
0
<
<
ªr
X
Es ist nicht möglich, eine beliebige natürliche Zahl als Summe von
höchstens drei Quadratzahlen zu schreiben; das kleinste Gegenbeispiel
ist die Sieben. Wie EULER vermutete und LAGRANGE bewies, kommt
man aber immer mit höchstens vier Quadratzahlen aus.

2
©
und
¡

=
¡
\
¡
1
©>

¡
§3: Der Satz von Lagrange
ungerade.
<\
1
Von den Zahlen 2 mit 0
1) sind keine zwei kongruent
2(
2
2
1
modulo , denn
), und falls 0
1)
= ( + )(
2(
sind beide Faktoren kleiner als . Damit gibt es auch in den Mengen
<\ ©
¦
Damit ist der Satz vollständig bewiesen.
<
= 2 ist 2 = 12 + 12 + 02 ; sei also
<
und
Beweis: Für
Kap. 7: Quadratische Formen
8¢
Bleibt noch der Fall, daß
Zahlentheorie

<
n
ª
<
<
<
>
Zahlentheorie
8¢
¢
s
(

r
X
Ä = s
s
s
s<

Ä
r
X
s>
>

+
+
2
+
2
+
+
(
2
2
+
=

i
(
=
+
+
.
;
s
(

b
`
s
br
`X
Ä

i
vs
s<
die Normen N( ) =
und N( ) = , ihre Produkt hat also die Norm
2
. Zumindest von der Norm her spricht also nichts dagegen, daß
dieses Produkt durch teilbar sein könnte.
+
0 mod
. Andererseits ist aber
2
2
mit 1
vs
und
+
X
+
2
r
+
=
Ä
2
2
2
v>
¡
+
+
4
l
=
2
l
s
Damit haben die Quaternionen
+
2
>
(
2
+
?
2
2
t
2

2
2
s
s
also ist
<
+
<
2
s

v<
s
i
(

\
(
s
Tatsächlich ist
durch teilbar, und das sieht man am schnellsten
durch brutales Nachrechnen: In
=(
+
+
+ ) +(
+
+
)i

i
X

r
\
(
Ä
(

r
X
Ä
\
X
\
Ä
r
s
\
\

s<
Ä
r
X
Ä

(
i
r
X
s
+
2
=N
=
N(
2
)
2
=
.
i
\
s
s

2
2
,
Die reellen Werte, die eine quadratische Form annehmen kann, hängen
nicht davon ab, in welcher Basis des 2 wir das Argument
darstellen;
wir können die Basis daher bei Bedarf beliebig ändern.
\
s
s
= 1 sein, und der Satz ist bewiesen.
s
N( )N( )
Ú
í
Somit muß
=
=
\
Dies widerspricht aber der Minimalität von .
2
i
+

i
2
i
+
l
2
eine Quaternion mit ganzzahligen Koeffizienten, und

l
k
j+
i+
mit
1 2
; bis auf einen Faktor 4 ist das
Die Determinante von ist
4
2
4
, die wir in Kapitel 6, 2 als Diskriminante eines Eledie Zahl
ments eines quadratisches Zahlkörpers definiert haben. Wir können also
hoffen, daß uns die lineare Algebra via Determinantentheorie Aussagen
über die Werte einer quadratischen Form sowie über Zusammenhänge
zwischen den Diskriminanten verschiedener Elemente eines quadratischen Zahlkörpers gibt.
+
s

=
s
s
.
X
0 mod
=
r
2
X
+
r
2
+
6
X r
i
7
r
X
2
=
i
Somit ist
r
8
+
2

die quadratische Form kann also auch durch die symmetrische Matrix
beschrieben werden.
+

2
+

+
2
8
+
`
i
+
X
Viele abstrakte Aussagen über quadratische Formen werden einfacher,
wenn wir sie in lineare Algebra übersetzen. In Matrixschreibweise ist
Nachdem wir in den vorigen Paragraphen gesehen haben, daß die spezielle quadratische Form 2 + 2 vielfältige Beziehungen sowohl zum
Zahlkörper [ ] als auch zu Anwendungen außerhalb der Zahlentheorie
haben, wollen wir uns nun etwas mit der allgemeinen Theorie solcher
Formen beschäftigen. In den nächsten Paragraphen werden wir sie dann
auf quadratische Zahlkörper und die PELLsche Gleichung anwenden.
§4: Quadratische Formen und Matrizen
r
+(
+
+
)j + (
+
+
)k
sind alle vier Klammern durch teilbar, denn modulo sind alle Großbuchstaben gleich den entsprechenden Kleinbuchstaben, so daß die Koeffizienten von i j k trivialerweise modulo verschwinden, und für den
Realteil haben wir
:
Beweis: Wie wir in Kapitel 6, 7 gesehen haben, läßt sich eine Zahl
genau dann als Summe von höchstens vier Quadraten schreiben, wenn
sie Norm einer ganzen Quaternion ist. Da wir gerade gesehen haben,
daß sich jede Primzahl als Summe von höchstens vier Quadraten schreiben läßt (und die Eins natürlich auch), folgt die Behauptung aus der
Multiplikativität der Norm.
Ú
Somit ist 0
B
Satz (LAGRANGE): Jede natürliche Zahl läßt sich als Summe von
höchstens vier Quadraten schreiben.
9
kongruenten ganzen Zahlen
Wir betrachten die modulo zu
vom Betrag kleiner 2. Wie schon beim Zwei-QuadrateSatz können diese nicht allesamt verschwinden, denn sonst wären
durch teilbar, also ihre Quadratsumme
durch 2 , was
für eine Primzahl nicht möglich ist.
wegen
Kap. 7: Quadratische Formen
9

ë
v<
B
9
8
íi
X
³ð
9
÷
÷

rë
X
r
>
ªr
r
X
: ;=<
X
³ð
r
³
X
r
X
r
X\
\
r
X\
i
X
r
\
X
r
X\
r
X
3
6
6
4
.

i
i

i
\
\

ÅÄ
Å
§
Åi
?
?
2
=
1( 1
2)
=
1
(
2 2)
?
Å
Ð Å
Å
Å
Ð
Ð
2) .
=
2( 1
2) .
können 1 ( 1 2 ) und 2 ( 1 2 ) nur dann gleich sein,
verschwindet,
d.h. 1 und 2 stehen senkrecht aufeinander.
2
k
Å
?
Ð Å
?
Å
iª

i
Auch ein weiteres allgemeines Resultat aus der Linearen Algebra läßt
sich hier einfach und direkt beweisen: Das Produkt aller Eigenwerte
einer
-Matrix ist gleich der Determinante und die Summe gleich
der Spur, der Summe der Diagonalelemente also.
2,
Å
?
Da 1 =
wenn 1
(
Å
1
Åi
2
=
Å ?
i
1)
ÅÄ
Å
Å

2
1 1)
i
(
@
i
Å
Ð
Ñ
©
:
:
©
i
j
Für symmetrische 2 2-Matrizen folgt dies sofort aus den obigen Formeln für die beiden Eigenwerte: Bei der Addition fällt die Wurzel weg,
:
)
i
?
@
i
Ð\
j\
Ð
)(
=(
Å
2
Å
Ð
?
i
ÙÙÙÐ Ù
©
j\
Ð
©
\
ÙÙÙÙ
ú
Ð
i\
=(
Å
1)
Eigenvektoren dazu, so ist
Å
i
?
)=
Å
2
Å
Ð
?
Å
Ð
det(
1
Å
@
Å
hat das charakteristische Polynom
(
und sind
?
=
2
i
Die Matrix
=
Å
Für Leser, die diesen sogenannten Spektralsatz nicht kennen, sei kurz
ein Beweis für den Spezialfall = 2 skizziert.
1
i
Satz: Alle Eigenwerte einer symmetrischen Matrix
sind
reell und ihre geometrische Vielfachheit stimmt mit der algebraischen
überein. Eigenvektoren zu verschiedenen Eigenwerten stehen senkrecht
eine Orthonormalbasis aus Eigenvekaufeinander; insbesondere hat
toren von .
.
ÅÄ
Andererseits ist (wie man nötigenfalls leicht nachrechnet) für je zwei
Vektoren
und eine Matrix
das Skalarprodukt ( )
gleich
dem Skalarprodukt (
), wobei
die zu transponierte Matrix
bezeichnet. Für eine symmetrische Matrix ist =
, also
Ist
Ð
=
k
Ð
3
2
?
Für ein allgemeines Kriterium, wann eine Matrix positiv oder negativ (semi-)definit ist, erinnern wir uns an einen Satz aus der linearen
Algebra:
und

1 1
1 1

=
j
Å
2
:
1 0
0 0
+
2
Für = 2 gibt es genau dann einen Eigenwert mit algebraischer Vielfachheit ungleich eins, wenn die beiden Nullstellen des charakteristischen Polynoms gleich sind, wenn also der Ausdruck unter der Wurzel
verschwindet, d.h. = und = 0. In diesem Fall ist = 0 0 eine
Diagonalmatrix, der Eigenraum ist also der gesamte 2 , so daß auch die
geometrische Vielfachheit des Eigenwerts zwei ist.
©
=

?
1
²

Beispiele von positiv semidefiniten, aber nicht positiv definiten Formen
4 )2 mit zugehörigen Matrizen
sind etwa 2 ( + )2 oder (3
2
2
;
j
Da die Summe zweier Quadrate reeller Zahlen nicht negativ sein kann,
ist die Wurzel reell, und damit haben wir auch reelle Eigenwerte.
+
2
2
+
j \
Ein typisches Beispiel einer positiv definiten quadratischen Form ist
2
+ 2 ; hier ist einfach die Einheitsmatrix. Die negative Einheitsmatrix
2
2
führt auf die negativ definite Form
, die Diagonalmatrix mit
2
2
Einträgen +1 und 1 auf
, was sowohl positive als auch negative
Werte annehmen kann.
Ð\

=
Ð
) nur für
9
\
0 für alle
=
\
j

j
1 2
2
2
©
definit, wenn zusätzlich (
iª
&

)

(
\
Ð
die Eigenwerte sind also
2
+
2
©
definit, wenn
§
)

j
)=(
j \
\
j
\
(
\
´Ð
2

+
2
2
\
+
2
·j
©
nierte quadratische Form
Ð
=
´
=
2
©
( + ) +
·j

und die dadurch defipositiv
heißen
seminegativ
positiv
. Sie heißen
negativ
= 0 verschwindet.
2
B
2 2
=
Kap. 7: Quadratische Formen
9
Definition: Eine symmetrische Matrix
Das ist zum Beispiel nützlich bei der Frage, wann eine quadratische
Form nur positive oder nur negative Werte annimmt:
Zahlentheorie
B
Ñ
©
\
B
9
V
j

2
A
+
2

+
=
2
i
©
B

·j
´

Å
í
ë

Å
@
Å
@
Å
@
Å
+
Ð
Ð
2
+
1
2
)
1
+
· Å
@
´ Å
2
2
2
1 1
+
2 2
2
2
.
· Å
@
´ Å
· Å
@
´ Å
Å_
?
ÅY b
k
`
Å_
@
ÅY
Ð
X
2
Å
Å
Å
Ð
i
2
)
r
DGH
ü
Å
r
X
r
2
definiert genau dann eine Bijektion 2
, wenn alle Einträge der
= 1 ist.
Matrix ganzzahlig sind und det
¦
?
?
ÅY
Å
Å
Beweis: Da die Spaltenvektoren von
die Bilder der Basisvektoren
1
0
2
)
genau
dann in 2 liegt, wenn alle
und
sind,
ist
klar,
daß
(
0
1
Einträge von
ganzzahlig sind. Soll ( 2 ) = 2 sein, muß zusätzlich
1 2
2
1
( )
sein, d.h. auch
darf nur ganzzahlige Einträge haben.
1
In diesem Fall sind det
beide ganzzahlig mit Produkt
und det
eins, also ist det
= 1.
;
¦
;
¦
¦
ü
ü
;

Ð
Ð
;
;
;

²
;
¦
¦
ü
i
¡
n
Hat umgekehrt eine Matrix
mit ganzzahligen Einträgen Determi1
ganzzahlige Einträge, denn die Spaltennante 1, so hat auch
1
vektoren von
sind die Lösungen der linearen Gleichungssysteme
1
= 0 und
= 01 , die wir nach der CRAMERschen Regel
ausdrücken können durch Brüche mit ganzzahligen Zählern und det
im Nenner.
¦
Für eine positiv oder negativ semidefinite Matrix muß daher die Determinante 0 sein; bei einer definiten Matrix muß sie positiv sein. Ob
sie positiv oder negativ definit ist, sagt uns dann die Spur, denn da die
beiden Eigenwerte (falls = 0) dasselbe Vorzeichen haben, ist dieses auch
2
das Vorzeichen ihrer Summe, der Spur. Wenn die Determinante
â
â ²
Damit ist klar, daß die quadratische Form genau dann nur nichtnegative
Werte annimmt, wenn 1 und 2 beide positiv sind; genau dann, wenn
beide negativ sind, nimmt sie nur nichtpositive Werte an. Die Matrix
und die zugehörige quadratische Form sind also genau dann positiv bzw.
negativ semidefinit, wenn beide Eigenwerte 0 bzw. 0 sind. Sie sind
positiv bzw. negativ definit, wenn beide echt positiv bzw. negativ sind.
CEDGF
1
:

1
2,
X
r
¦
wobei die Skalarprodukte der mit sich selbst natürlich positiv sind.
Falls wir 1 und 2 als Einheitsvektoren wählen, sind sie eins und können
ganz weggelassen werden.
Y

2
1+
â
2
2
;
=
2

)
Lemma: Die lineare Abbildung
X
(
Das Matrixprodukt
ist gleich dem üblichen Skalarprodukt
;
da die aufeinander senkrecht stehen, verschwindet es für = , d.h.
2
· Å
@
´ Å
1
Ð
1
· Å
i
Ð
1
+
Å
2
Å
@
Å
1
Å
@
1
Å
´
=(
Å
Ð
2
=

Å Y X r Åi
r
i
X
´ r
X
@
Å
+
Å
1
i
)
@
@
· Å
Ð
2
\
+
So nützlich der Wechsel zu einer Basis aus Eigenvektoren in diesem Fall
auch war, für die meisten zahlentheoretischen Fragen werden uns nur
solche Basiswechsel helfen, die ganzzahlige Punkte wieder in ganzzahlige Punkte überführen. Hier gilt
1
ÅY
2)
rX
=(
ë
+
r
1
@
) (
A
2
X
+
1

=(
Ñ
)
(
Lemma: a) Eine symmetrische 2 2-Matrix ist genau dann positiv
oder negativ definit, wenn ihre Determinante positiv ist. Sie ist positiv
definit, wenn der Eintrag links oben positiv ist, andernfalls ist sie negativ
definit.
2
b) Die quadratische Form
+ 2 ist genau dann definit, wenn
+
2
4
negativ ist. Im Falle
0 ist sie dann
ihre Diskriminante
positiv, sonst negativ definit.

.
j
= det

Ist 1 ein Eigenvektor zu 1 und 2 einer zu 2 , so können wir jeden
aus 2 als Linearkombination
= 1 + 2 schreiben.
Vektor
Der Zeilenvektor ( ) ist dann die entsprechende Linearkombination
gehörigen Zeilenvektoren , und
1 +
2 der zu den
2
+
j
2
2
positiv ist, müssen und dasselbe Vorzeichen haben; da auch
gleich der Spur der Matrix ist, folgt
Kap. 7: Quadratische Formen
B
9
so daß wir Summe + erhalten, und das Produkt ist nach der dritten
binomischen Formel gleich
Zahlentheorie
c
;
;

;

í;

;
²
í;
n
ë

ë
©
k
j \

B
9
w
í
í;
;
ë
X

@
ë
X

X r
;

@
;
i

X
r
;
i?
r
r
;

í
í;

ë
@
í
i
â
r
Ò

;
¦
rX
X
@
ì

ë
)
ë
;
¦
i
;
;
i
i
2
2
+
+
1
1
,
2
2
Die Matrix zur quadratischen Form
+
+
sei . Wie wir
aus dem vorigen Paragraphen wissen, erfüllen die Komponenten von
.
1 dann die quadratische Gleichung zur Form mit Matrix
1
=
(
Nach Kapitel 5, 2 ist det
=
1)
;
die
2
1
2
1
neue quadratische Form ist also zu der mit äquivalent und hat insbedieselbe Diskrimisondere dieselbe Diskriminante. Also haben alle
nante wie , denn da die Multiplikation mit
einen Isomorphismus
2
2
definiert, sind die Einträge von genau dann ganzzahlig und
teilerfremd, wenn es die von
sind.
å
ì;
r
rX
<

X
\
; i
;
@
;
i
;
²
Ò
i
@
\

<
i
@
;
Ú
Ò
å
ì;
¦
i
;
²
@
;
;
â
¦
i
;
?
?
i
i
;
;
Satz (LAGRANGE 1766): Die Kettenbruchentwicklung einer irrationalen Zahl wird genau dann periodisch, wenn eine quadratische
Irrationalzahl ist.
Dies ist ein wesentlicher Schritt für den Beweis des folgenden Satzes:
;
I
Ò
Beweis: Angenommen, hat eine periodische Kettenbruchentwicklung.
Dann gibt es ein und ein
0, so daß + =
ist. Nach der Formel
am Ende von 2 von Kapitel 5 ist daher
2+
1
+
+
2+
+
1
+
2+
+
1
=
=
=
.
+
+
+
2
1
+
+
2
+
1
+
2
+
1
Ò
Ò
Ò
Ò
s
t
:

t t t
<

t t t

<
Ò Ò Ò
A
t t
<
t t
Ò Ò
Ú
^
<
<
Ò Ò
Ò
^
Ú
Daraus folgt die Gleichheit von (
2 +
1 )(
+
2 +
+
1)
und (
+
)(
+
),
und
ausmultipliziert
wird
2
1
+
2
+
1
dies zu einer quadratischen Gleichung für . Der Koeffizient von 2
ist
2 +
2 +
2 +
2 , was als Summe positiver Zahlen nicht
t t
<
<
Nach der Formel am Ende von 2 von Kapitel 5 gilt für die Zahlen
aus dem Algorithmus zur Kettenbruchentwicklung die Gleichung
2+
1
,
=
2+
1

\
In den Beispielen der Kettenbruchentwicklungen von 2 und 3 kamen
wir in Kapitel 5 auf periodische Folgen. Wie sich zeigen wird, ist dies
charakteristisch für quadratische Irrationalitäten.
ì

Die rationalen Zahlen sind genau diejenigen reellen Zahlen, deren Kettenbruchentwicklung nach endlich vielen Schritten abbricht. Wir wollen
sehen, daß wir auch quadratische Irrationalitäten, d.h. Elemente eines
quadratischen Zahlkörpers, die nicht in
liegen, durch ihre Kettenbruchentwicklung charakterisieren können.
=
sind also proportional zueinander.
Ò
;
§5: Kettenbruchentwicklung quadratischer Irrationalitäten
Ò
ë
;
4 ist die Diskriminante gleich der Deterdet 1 det
= det 1 , da
2 = det
1
1
Als quadratische Irrationalität genügt einer quadratischen Gleichung
2
+ = 0; der Vektor 1 wird also von der quadratischen Form
+
2
2
+
annulliert. Da mit einem Vektor
+
auch alle seine
Vielfachen von dieser Form annuliert werden, gilt dasselbe für den zu
1 proportionalen Vektor
1 .
1
ist
í
i
Beweis: Bis auf den Faktor
minante der Matrix und det
det
= det
= 1 ist.
;
und
ì
<
die Vektoren
1
<
1

å
ì;

@
i
Lemma: Zwei äquivalente quadratische Formen haben dieselbe Diskriminante.
2
Ò
;
2
<
Ò Ò
Definition: Die quadratischen Formen mit Matrizen 1 und 2 heißen
äquivalent, wenn es eine Matrix
mit ganzzahligen Einträgen und
det
= 1 gibt, so daß 2 =
.
1

<
in die quadratische Form zur
das wir auch erhalten hätten, wenn wir
Matrix
eingesetzt hätten. Da
eine Bijektion von
2
nach 2 definiert, nehmen die quadratischen Formen zu und zu
also dieselben Werte an. Deshalb definieren wir
<
=

Zähler und Nenner der -ten Konvergente sind. Mit
:

,
und
B
)
wobei
Kap. 7: Quadratische Formen
9
=(
in die

Setzen wir für so eine Matrix
das Bild
an Stelle von
quadratische Form ein, erhalten wir das Ergebnis
Zahlentheorie

Ò
<
Ò
t
< <
Ò
t
<
Ò
<

Ò
Ò
t

<
Ò
<
Ò Ò

B
9
^
Ý
m
Ò
Ò
<
Ò Ò
Ò
^
<

Ò
m
Ý
Ò
Ò Ò

Ò
X

X
³
X
X
<
<
Ò Ò
Ò

+
<
<
+

<
2

<
2
=
2

0
2
2
2

2
2
.

³
Ò
Ò
¡

=
qÒ
( ) .
und
\
ÒY
\
jY
Ò
qÒ
Ø³
q
qÒ
Ø³
q
¡
q
q
1
1. Aus
1
>
und
+1 ]
1
+1
ÒY
`\
jY
Dazu nehmen wir an, dies gelte für
1
= + +1 und
=[
1
0
0.
0 gilt
>
( ) +
( ) . Somit
beschränkt durch eine
Ò
Wir wollen induktiv zeigen, daß auch für alle
Ò Ò
1. Somit ist
\
A
Genauso zeigt man die Ungleichung
sind die Beträge der Koeffizienten
von unabhängige Konstante.
1
1
\
( ) +
Ò
2
<
\
1
Ø³
q
\
ÙÙ> Ù q Ò
< ç ç Ø
³

e å £ å q¡
Ò
Ò\
Ø³
Ù ÙÙ q
q
Ò
³
Ò

³
<

³
1
j
`
1
=[ ]
n
0
j
Hierbei ist ( ) = 0, und
.
>
1
2
> Ò
1
1
>j
1
( )
2
Ø³
+

1
Ò\
Ò Ò \
>
j j
Ò
( )
j
= ( )+
jY
1.
Ò
1
ÒY
1
>Ò
wird, da 0 eine rationale Zahl ist, durch
Da nach Voraussetzung zwischen 1
1 und 0 = [ 1 ]. Wegen
1
0
1
1 folgt außerdem 1
0.
Ò
Die Gleichung = 0 +
Konjugation zu = 0 +
und 0 liegt, ist somit 0
jY
eine quadratische Funktion ist, führt die TAYLOR-Entwicklung
auf die Formel
2
Beweis: Sei zunächst
1 und 1
0. Der Trick zum Beweis der
reinen Periodizität der Folge der besteht darin, die = [1 ] durch
die konjugierten Elemente +1 auszudrücken und so von der Gleichheit
zweier Koeffizienten auch auf die ihrer Vorgänger zu schließen.
ÒY
Da
um

0
Satz: Die Kettenbruchentwicklung einer quadratischen Irrationalzahl
ist genau dann rein periodisch, wenn
1 ist und ihr konjugiertes
Element zwischen 1 und 0 liegt.
\
=

1
1

1
=

2
<

1
<

2
Der gerade bewiesene Satz charakterisiert Zahlen, deren Kettenbruchentwicklung periodisch wird; er besagt nicht, daß die Kettenbruchentwicklung einer quadratischen Irrationalität von Anfang an periodisch ist,
und in der Tat kennen wir Beispiele wie 2 = [1 2] oder 3 = [1 1 2],
bei denen das nicht der Fall ist. Für eine rein periodische Kettenbruchentwicklung brauchen wir also noch zusätzliche Bedingungen:
=
und
A
0
s
Ò
>
+

n
\
1
®
Ò
1

A
0

^
+

1
®
^
2

\
Ò :

Ò t
Ò
Ò
=
), also auch nur endSomit gibt es nur endlich viele Tripel (
lich viele verschiedene Werte für . Es muß daher zwei Zahlen
mit
1 geben derart, daß
= + ist, und die Kettenbruchentwicklung
wird spätestens ab der -ten Stelle periodisch.

ein und multiplizieren mit dem Hauptnenner. Zumindest für die Koeffiund
ergeben sich einigermaßen erträgliche Formeln:
zienten

genügen. Um diese Gleichung zu bestimmen, betrachten wir die Funktion ( ) = 0 2 + 0 + 0 , die für = verschwindet, setzen
2+
1
=
+
2
1

=0
Ò

+
:
+
:
s
2
Ò
Umgekehrt sei = +
mit quadratfreiem
eine quadratische
Irrationalität, die der Gleichung 0 2 + 0 + 0 = 0 genüge. Dann zeigt
die Konstruktionsvorschrift für die , daß auch diese Zahlen sowie ihre
Inversen in entsprechender Form geschrieben werden können und damit
Gleichungen der Form
B
Wie wir oben gesehen haben, hat
dieselbe Diskriminante wie ; die
= 2
Diskriminante
4
hängt also nicht ab von . Daher
folgen aus der obigen Schranken für
und
auch Schranken für
2
= +4
, so daß auch der Betrag von
beschränkt ist.
Kap. 7: Quadratische Formen
9
null sein kann; wir haben also eine echte quadratische Gleichung. Somit
in der Form = +
schreiben, und damit auch
läßt sich
+
2
1
=
.
2+
1
Zahlentheorie

\
> ÒY
>
\
ÒY
ÒY

:
B
9
¢
`
`
folgt wie im Fall = 0, daß = [
+1 ] ist, und da die Koeffizienten
0 bei jeder Kettenbruchentwicklung mindestens gleich eins
für
sind, folgt auch die Ungleichung für 1 +1 genau wie dort.
Zahlentheorie
ÒY
\
=
jY
A
jY
ÒY
Ò
n
n
:
jÓ

jÓ
t ÒÓ
ÒÓ
\
Ò
Ò
n

tÓ
Ò
\
Ò
t Ó
j
Ò
Ó
Ò
tÓ
t
t Ó
j
t Ó
Ò
1+ =
1 ist, im Widerspruch zur
= 0, die Kettenbruchentwicklung von
ÒÓ
Ò

.
2
2)
1
= 0.
+
2
1
=(
1
2)
+(
2
1) .
0 an,
Dieser ist positiv, da sowohl die Folge der Zähler als auch die der Nenner
der Konvergenten von monoton steigt.
2
2
X
X
Im letzten Kapitel hatten wir gesehen, daß eine Einheit +
von
2
die Gleichung 2
= 1 erfüllen muß. Hauptziel dieses Para2
graphen ist die Lösung der PELLschen Gleichung 2
= 1 für
2
)
(
oder –da es auf das Vorzeichen von und nicht ankommt–
2
(
)
.
§6: Die Pellsche Gleichung
r
Ó
Ó
²
r
X\
¦
Á
ªr ªr
X X
j
jt
¥¥
¥
j A
j :
Ò
j
A
s
j
Ò
und damit ist
r
^
Ò
1
X\
X \ r

=
X
+
r
)(
^
^
\
Ò

\
Ò
Ò
\
í
X
r
r
X\
s

Ò
j
Ò
2
ë
1
+
^
^
X
r
>
^
í
r ë
Ú
r
X\
Ù ÙÙ
^
r
X\
ÙÙÙ
í
.
1
.
2 2
somit eine Konvergente der
\
Ò\
j
Ò\
ì
j
A
X\ j
j
X\
s
ë
n
^
=
Ú
sein.
1
>
Kettenbruchentwicklung von
A
2
2
1
+
r
Nach dem Satz aus Kapitel 5, 3 muß
, also folgt
^
Wegen der Positivität der rechten Seite ist
2
rë
=
^
=
í
=
) = 1,
^
=
( +
Faktorisierung der linken Seite der PELLschen Gleichung führt auf
X\ r
^

Òt
Für
2 verwenden wir die bereits im vorigen Satz benutzte Formel
= 1 ist. Dies führt auf die
aus Kapitel 5, 2, und beachten, daß
1
r
2
Für = 1 ist = 0 + 1 = 0 + 1 =
1 = 0. Die quadratische
0
2
Funktion
1
nimmt
an
der
Stelle
0
den
Wert 1 an, und bei
0
= 1 den Wert 0
0; somit gibt es eine Nullstelle zwischen diesen
beiden Punkten.
+(
Ò
Um zu sehen, daß zwischen 1 und 0 liegt, beachten wir, daß
dieselbe quadratische Gleichung erfüllt wie . Da diese Gleichung genau
zwei Nullstellen hat und größer als eins ist, genügt es, wenn wir
zeigen, daß diese Gleichung im Intervall ( 1 0) eine Nullstelle hat. Das
wiederum folgt aus dem Zwischenwertsatz, wenn wir zeigen können,
daß die quadratische Funktion auf der linken Seite an den Stellen 0
und 1 Werte mit entgegengesetzten Vorzeichen annimmt.
1
^
Umgekehrt habe eine rein periodische Kettenbruchentwicklung der
Periode mit Koeffizienten 0 1
. Wegen
= 0 ist dabei auch
mit
0
müssen
ja
positiv
sein. Somit ist
positiv,
denn
alle
0
insbesondere
1.
folgt dann aber, daß auch
Minimalität von . Somit ist
also rein periodisch.
Ó
ÒÓ j
+
t
1
t
jÓ
1
Ò
=

1
t
und
s
\
+
Ò
t
+
t
<t
\
<t
1
2
Ò
Hier nimmt die quadratische Funktion bei 0 den Wert
und an der Stelle -1 den Wert
1
t
+
Ò
\
=
<t t
Òt Òt
<t
t
\
t
1
+
2+
2
<t t
<t
Ò\
+
=
<t t
<t
\
<t
\
<t
1
<t t
1
1
Ò
>
1
+
2+
2
Ò
Überkreuzmultiplikation macht daraus die quadratische Gleichung
=
B
Daraus folgt nun leicht die Periodizität der Kettenbruchentwicklung
von : Wir wissen bereits, daß sie periodisch wird; es gibt also irgendeinen Index
0 und eine Periode , so daß
für alle
+ =
. Wir betrachten das minimale
mit dieser Eigenschaft. Die
Kettenbruchentwicklung von ist genau dann rein periodisch, wenn
= 0 ist. Für
1 können wir aber aus
und + =
+ =
folgern, daß auch + 1 = [
]
=
[
]
=
+
1 ist. Aus den
Gleichungen
Gleichung
Kap. 7: Quadratische Formen
89
Ò
B
8
8
¥

\
\
^
?
\

?
\

ot
\

Ò ot
?
\
\
?

ot
^
ot
j

ot
^
und

< ot
j

< ot
\
1 0
2
=
1
1 0)
+
j

ot Ú

< ot
^
^
\ ^
mit
=

<Ó
Ó

Ó
<Ó
\
A
^
^
Ò
Õ
^
^
Ô
Ò
1

ot
<
s m\
Õ \
ot
\
\
<
\
Ô
Ò
¥¥
j
¥
j
1

1
2
1
.

ot ot
= ( 1)
1 0

< ot
t
<t
\

ot s
ot

< ot

Á
ªm
Ò
s
^
^
Ô
1 0
.
.
Im Falle einer geraden Periode ist somit (
1
1 ) für jedes
eine Lösung der PELLschen Gleichung ; für ungerade Perioden
liefern nur die geradzahligen Vielfachen von Lösungen, während die
2
= 1 führen.
ungeradzahligen zu Lösungen der Gleichung 2
1
ot
=
j\
2
2
2
Ó
1 0
1
j
1
+
= ( 1)
1, erhalten wir die Gleichung
1
\
2
\
1
1

ot
\

< ot
Setzen wir dies ein in die aus Kapitel 5, 2, bekannte Formel
1
+
j
2
2

< ot
=
Durch Koeffizientenvergleich folgt:
=(

ot
+
+
0
1
+
ot
2
+
0
1
+
2
ot
j
1 0)
=
<
ot

o
o
Õ
Ò\
^
Ô
^
Ò Õ
^
Ô
`
r
s
X\
Ò
Õ
Õ ^Ô
j
jt
n
jY
Im Eingangsbeispiel
= 13 zeigt eine genauere Rechnung, daß sich
die Koeffizienten 1 1 1 1 6 periodisch wiederholen, wir haben also
die ungerade Periode fünf. Damit liefern die vierte, vierzehnte, vierundzwanzigste Konvergente der Kettenbruchentwicklung Lösungen der
2
= 1, was wir für die vierte bereits nachgerechnet
Gleichung 2
haben. Lösungen der PELLschen Gleichung liefern die neunte, neunzehnte usw. Konvergente. Die neunte Konvergente ist
649
[3 1 1 1 1 6 1 1 1] =
,
180
\

j
^
r
¥¥
j
¥
j
^
Õ
Ô
j
jt
s
<
:
^
=
<
Bezeichnet
wieder die -te Konvergente dieser Kettenbruchentwicklung, so ist nach der schon oft benutzten Formel
2+
1
.
=
2+
1
Ò ot
+
<

Satz: Ist eine quadratfreie natürliche Zahl, so ist die Folge 0 1
der Koeffizienten der Kettenbruchentwicklung von
ab 1 periodisch.
Bezeichnet die Periode, so ist = 2 0 = 2
.
2

< ot ot
1
1
j

< ot
(
oder
+
2+
2
^
=
unterscheidet sich
Die Kettenbruchentwicklung von
von der von nur im ganzzahligen Anteil. Dieser ist im Falle von
gleich 2
, im Falle von
nur
. Danach folgen in beiden
1. Wegen = 0 = 2
gilt daher
Fällen die mit
:
^
ist
und somit kleiner als 1;
Das konjugierte Element zu
die Kettenbruchentwicklung von
ist also nicht rein periodisch.
=
+
, so ist natürlich
1. und
Betrachten wir aber
=
liegt zwischen 1 und 0. Somit hat eine rein
periodische Kettenbruchentwicklung. Die Periode sei und die Koeffizienten seien 0 1
.
¥
Um hier mehr zu erfahren, müssen wir uns die Kettenbruchentwickgenauer ansehen. Dabei sei
im folgenden stets eine
lung von
quadratfreie natürliche Zahl.
sm
Ò ot

Zumindest a priori ist nicht klar, ob es überhaupt eine Konvergente gibt,
die auf eine Lösung der PELLschen Gleichung führt.
j
<
=
Õ
13 332 = 4 .
Einsetzen in die obige Formel führt auf
1 und 1192
^
Ô
^
13 52 =
13 32 = 4
^
112
j
182
3

13 22 =
^
72
¥¥
Ist speziell =
ein Vielfaches einer Periode, hat 1
eine Kettenbruchentwicklung mit Koeffizienten
;
nach
dem
+1
+2
gerade bewiesenen Satz stimmt das überein mit der Folge 2 0 1 2
,
d.h.
1
= 0+
=
+
.
Ò ¥¥ j
=
¥

j ot

j ot
13 = 3
119
33
j
42
18
5
¥¥
7
11
4
1
2
3
als seine ersten Konvergenten, aber
Kap. 7: Quadratische Formen
B
Umgekehrt liefert aber nicht jede Konvergente der Kettenbruchentwicklung von
eine Lösung der PELLschen Gleichung: Beispielsweise
] die Brüche
hat 13 = [3 1 1 1 1 6
Zahlentheorie
8B

<
Ò Ò
B
8V
\
421 200 = 1 .
X\
¦
?
\
?
\
s
\
ªm
Ú
ªÒ
oÒ
²
Ò
Die zweite Frage ist: Was passiert für
1 mod 4? Wie wir wissen, sind dann auch die Zahlen 21 ( +
) für ungerade ganze Zahlen
ganz, es kann also auch Einheiten dieser Form geben. In der Tat
haben wir beim Eingangsbeispiel
= 13 bereits solche Fälle ken2
nengelernt: Für die dritte Konvergente 11
13 32 = 4, d.h.
4 ist 11
1
N 2 (11 + 3 13 = 1. Wie eine genauere Untersuchung zeigt, ist dies
genau dann möglich, wenn
5 mod 8, jedoch nicht für alle solche . Wenn es eine Grundeinheit dieser Form gibt, liegt ihre dritte
, der Kettenbruchalgorithmus gibt dann also nur die
Potenz in
dritte Potenz der Grundeinheit. Einzelheiten findet man beispielsweise
in 16, 5D des Buchs
Bleibt die Frage, für welche die Periode gerade bzw. ungerade ist.
Diese Frage muß nicht nur in dieser Vorlesung unbeantwortet bleiben:
Es handelt sich hier um eines der vielen zahlentheoretischen Probleme,
die trotz jahrhundertelanger Bemühungen auch heute noch offen sind.
¦
ªm
^
^
X
^
r
l
^
r
X
=
<

<
Ò
=
<

\
<

^
¦

<
\Ó
¦
±
Ú
HELMUT HASSE: Vorlesungen über Zahlentheorie, Springer, 2 1964.
l
²
KML
K
J
N
PL
OL
JL
Wenn wir dieses Ergebnis akzeptieren, können wir die Einheitengruppe
eines jeden reellquadratischen Zahlkörpers [
] explizit berechnen,
zumindest für
1 mod 4: Dann ist
=
, so daß die
Einheiten genau den ganzzahligen Lösungen der beiden Gleichungen
= <
im Kapitel über LAGRANGE im (nur im Inhaltsverzeichnis benannten) Paragraphen Lösung
der Fermatschen (Pellschen) Gleichung ab Seite 64. Es gibt zwar Rückverweise, aber wer
den obigen Beweis verstanden hat, muß nur einem wirklich folgen. Zu beachten sind die
ist
unterschiedlichen Bezeichnungen: Was hier heißt, ist dort , aber das dortige
. Die hiesigen
werden dort mit
bezeichnet.
hier 1
m
\
WINFRIED SCHARLAU, HANS OPOLKA: Von Fermat bis Minkowski – Eine Vorlesung über
Zahlentheorie und ihre Entwicklung, Springer, 1980
r
s
s
?
Wer sich für diese Rechnungen interessiert, findet sie zum Beispiel in
^

Mit Rechnungen, die sehr ähnlich zu den obigen sind, kann man zeigen,
2
daß die oben gefundenen Indizes
mit 2
= 1 tatsächlich
die einzigen sind mit dieser Eigenschaft. Da wir schon viel mit Kettenbrüchen gerechnet haben und es noch viele andere interessante Teilgebiete der Zahlentheorie zu entdecken gilt, möchte ich auf diese Rechnungen verzichten.
²
Natürlich kann auch in der Form
+
geschrieben werden,
wobei
eine Konvergente der Kettenbruchentwicklung von
ist. Da Zähler und Nenner der Konvergenten strikt monoton ansteigen
mit , handelt es sich hier um die erste Konvergente
, für die
2
2
= 1 ist.
s\
Allgemein haben wir gezeigt, daß die PELLsche Gleichung für jedes
eine Lösung hat; zusammen mit dem Satz aus Kapiquadratfreie
tel 6, 6 folgt, daß die Einheitengruppe eines jeden reellquadratischen
Zahlkörpers unendlich ist und daß es speziell für die Gruppe der Einheiten mit Norm eins (der sogenannten Einseinheiten) ein Element
gibt, so daß jede Einseinheit in der Form
mit einem
geschrieben werden kann. ist die kleinste Einseinheit größer eins.
13 32 400 = 421 201
s
13 180 = 421 201
Ò o² Ò
<
= 1 entsprechen. Ist die Periode der Kettenbruchentwickdie (
1)-te Konvergente, so ist = +
lung von
und
die Grundeinheit, und jede andere Einheit läßt sich als
mit einem
schreiben. Für gerades sind dies alles Einseinheiten, für ungerades bekommen wir für gerade Einseinheiten und sonst Einheiten
der Norm 1.
2
^
649
2
2
Kap. 7: Quadratische Formen
B
8
2
und in der Tat ist
Zahlentheorie
c
^
^
¦
¦
±
kl
<

<
mod
Ã
Â
l
Á

X
ªX
\

<
<

? e
©j

e
ª
? e
?
§« e

h
j
©
2
1
.
©

=
m
e

<
§« e
ª
<
§« e
. Dann ist offensichtlich
Beweis: sei ein erzeugendes Element von
jede Potenz
mit geradem ein quadratischer Rest, und da es genau
1
2 verschiedene solcher Potenzen gibt, sind das auch alle quadratigenau dann ein quadratischer Rest, wenn
schen Reste. Somit ist
gerade ist.
Lemma (EULER): Für ungerades ist und
h©
ist
Trivialerweise ist das Produkt zweier quadratischer Reste wieder ein
quadratischer Rest. Ist = 2 ein quadratischer Rest und ein Nichtrest,
so ist auch
ein quadratischer Nichtrest, denn wäre
= 2 , wäre
1 2
=(
) ein quadratischer Rest. Da Multiplikation mit injektiv ist,
folgt, daß sich jeder quadratische Nichtrest in der Form darstellen läßt,
wobei ein quadratischer Rest ist. Damit folgt, daß das Produkt zweier
quadratischer Nichtreste ein quadratischer Rest ist, denn
= 2 ,
wobei und Quadrate in
sind.
2
r
ADRIEN-MARIE LEGENDRE (1752–1833) wurde in Toulouse oder Paris geboren; jedenfalls ging er in Paris zur
Schule und studierte Mathematik und Physik am dortigen Collège Mazarin. Ab 1775 lehrte er an der Ecole
Militaire und gewann einen Preis der Berliner Akademie für eine Arbeit über die Bahn von Kanonenkugeln.
Andere Arbeiten befaßten sich mit der Anziehung von
Ellipsoiden und der Himmelsmechanik. Ab etwa 1785
publizierte er auch Arbeiten über Zahlentheorie, in denen er z.B. das quadratische Reziprozitätsgesetz bewies
sowie die Irrationalität von und 2 .
2
1
= 1 , und 1 = 12 ist ein quadratischer Rest.
X
Sind
zwei modulo kongruente natürliche Zahlen, so ist offensichtlich
=
. Wir haben daher auch für
ein wohldefiniertes
LEGENDRE-Symbol
, das durch die Vorschrift 0 = 0 auf ganz
fortgesetzt wird.
2
e
Im ersten Fall bezeichnen wir als quadratischen Rest modulo , andernfalls als quadratischen Nichtrest. Für eine durch teilbare Zahl
setzen wir
= 0.
÷
2
<
ungerade. Der Homomorphismus
= 2 ist
<
Sei nun
Beweis: Für
<
§«
ù
gibt mit
<
Â
§« e
â
falls es ein
sonst
?
Ã
§« e
â
+1
1

DGH
e
=
\ <
Â
â
â
)
§« e
Für = 2 ist dies der triviale Homomorphismus, für ungerade ist er
surjektiv. Insbesondere gibt es dann jeweils 2 1 quadratische Reste und
Nichtreste.
Ã
Definition: Für eine Primzahl und eine nicht durch teilbare natürliche Zahl ist das LEGENDRE-Symbol
CSDGF
<
§1: Das Legendre-Symbol
B
Kapitel 8
Quadratische Reste
8
Lemma: Das LEGENDRE-Symbol definiert einen Gruppenhomomorphismus
+1 1
:
.
Kap. 8: Quadratische Reste

m
oá
oá
á
e
R
R
e á

B
8
á
e á
oá
\
e á
o
o
·
\
ç
´¼ á
¼ç o
á
¼ç

\
l l
< <
÷
<
\
¼ç
\

\
<
¼

< <

T
¼ç
ç
\

<
<
¦
§« e
/
¿
<\
û
Ãû
û
Â \
ß
(
+
¿
< Y
`
Y
¥¥
¥

\ ¥
¥¥
Ã @
û
¥¥
¥

Â
@
<

<
k
Y
<
û
û
/

¿
=
1
2
?

?
`
Y

Ó
\

=1
=
¿
=1
=
= 1
( + 1)
=
2
û
Ó ¿
=1
+
1
=
+
=
Außerdem wissen wir aus dem ersten Schritt, daß
( + 1)
2
+ )+
Y
=1
=
Andererseits ist
=1
=1
×
Ö`
<\
û
ß
/
û
=1
mY
<
Y
Ã
©
¥¥
¥
©

Ó
\ ¥
¥¥

??
?

1
A
<
ist
= ( 1)
=1
8
<\
8
1
Ãû
1
mY
¿

Beweis: 1
seien die negativen Elemente von , die zu Elementen aus kongruent sind, 1
die positiven. Dann ist
=1
>m Y
©Y
kongruent sind zu einem negativen
<
mY
<\
von bezeichnet, die modulo
Element von .
\
YÔ e
<?
<
` \
;
1
Y
die Anzahl jener Elemente
ô
Õ£
<
2
1
8
.
mod
+
=1
.

¿
<
Ó ¿
Y
1. Schritt (GAUSS): sei eine beliebige Primzahl und = eine ungerade

<
Im Beweis sei zunächst auch noch der Fall = 2 zugelassen. Für
sei =
; dann ist 0
und =
+ . Falls
modulo kongruent ist zu einem negativen Element
, ist also
= + ; falls
0 ist dagegen = . Somit ist
=
/

¿
2
Weiter sei =
verschiedene Elemente von

mit
×
Ö`
<
YÔ e ª _
<?
`
.
2
. Da und teilerfremd sind, haben zwei
verschiedene Restklassen modulo .
e

Õ£
1
£
\
\
mY ß
=
Ó
<

`
mit
© Ó

??
?

2. Schritt (GAUSS): Für zwei ungerade Primzahlen
( 1)

Vergleich mit der obigen Kongruenz zeigt, daß dann
ist, also nach dem vorigen Lemma
= ( 1) .
<
Zum Beweis betrachten wir ein zum Nullpunkt symmetrisches Vertrein , nämlich
tersystem von
Y
Ó
Quadratisches Reziprozitätsgesetz: Für zwei verschiedene ungerade
ist
Primzahlen
2 1
(
1)(
1)
2
= ( 1) 4
= ( 1) 8 .
und
©Y
Y
!.
s <
¡
§2: Das quadratische Reziprozitätsgesetz
©_
1 mod 4
.
3 mod 4
©_
© _ Y sl
û
1
¡
+ 1 falls
1 falls
l
©_
< ¡
v
s
= ( 1)
û
Ó
1
<\
û
Korollar: Für ungerades ist
1
1
= ( 1) 2 =
s
genau dann gleich eins, wenn ein quadratischer Rest ist, und 1 sonst.
b
= ( 1)
Y
1
_
v
2
`
=
k
1
ÙÙ
Ù© Ù _
q Y
q
v
2
v
=( )
B
Natürlich sind und
für = zwei verschiedene Zahlen, genauso
=
sein, denn sonst wäre
auch und . Außerdem kann auch nie
,
einerseits + = 0, andererseits gäbe es aber Zahlen 1
so daß
und
mod . Also wäre ( + ) durch teilbar,
was nicht möglich ist, denn +
2 =
1. Damit sind die Beträge
der und der genau die Zahlen von 1 bis , d.h.
û
2
Kap. 8: Quadratische Reste
8
1
Da ein erzeugendes Element ist, kann ( 1) 2 nicht gleich eins sein;
1
= 1 ist,
da nach dem kleinen Satz von FERMAT aber sein Quadrat
( 1) 2
folgt
= 1. Für = ist somit
Zahlentheorie

`
Ó
e
©Y
Y

;

<\
1) = (
Ó ¿
<\
Y
Ó ¿
<
;
\
?
?
<\
Y
Y
<

;
\

Für = 2 ist
= 0, da 2 für alle
wird die obige Beziehung daher zu
û
ô
`
Õ
YÔ e
¡

l
l
<\
s
<\
û
\

sû
und
=
=1
Y
<
Y

W
;
£
e b
`

`
¡
¡
sû
e
s
b
¡
¡
Abszisse , insgesamt also
Ordinate , insgesamt also
û
W
X
£ e ¶ £ e ¶ Ye £
;
µY µ
r
sû
Punkte. Darüber liegen
Punkte mit
Punkte. Somit ist
=
+ .
Punkte mit
= ( 1)
2
1
2
1
.
FERDINAND GOTTHOLD MAX EISENSTEIN (1823–1852),
genannt Gotthold, wurde in Berlin geboren. Als einziges
seiner sechs Geschwister starb er nicht bereits während
der Kindheit an Meningitis. Im Alter von 17 Jahren,
noch als Schüler, besuchte er Mathematikvorlesungen
der Universität, unter anderem bei DIRICHLET. Ab 1842
las er die Disquisitiones arithmeticae von GAUSS, den
er 1844 in Göttingen besuchte. Trotz zahlreicher wichtiger Arbeiten erhielt er nie eine gut bezahlte Position
und überlebte vor allem dank der Unterstützung durch
ALEXANDER VON HUMBOLDT. 1847 habilitierte er sich
in Berlin und hatte dort unter anderem RIEMANN als
Studenten. Er starb 29-jährig an Tuberkulose.
÷
<\

;
`
+ 1 falls
1 falls
1 mod 4 oder
3 mod 4
<

=
l
keine Gitterpunkte. Unterhalb der Diagonalen liegen
=
1 mod 4
.
Bemerkung: Die rechten Seiten der Gleichungen im quadratischen Reziprozitätsgesetz lassen sich auch durch Kongruenzbedingungen aus1) 2 ist genau dann gerade, wenn
1 mod 4, entspredrücken: (
chend für . Somit ist
<
und enthält

=
und
£
2)
.
\
Die Diagonale des Rechtecks liegt auf der Geraden

Beweis: Im Innern des Rechtecks mit Ecken (0 0) ( 2 0) (0
Gitterpunkte, nämlich die Punkte ( ) mit 1
( 2 2 ) liegen
und 1
.
.
=1
¿
=
;
=
W
+
1

2
/
=
t ¿
Dann ist
1
<
×
Ö`
2
×<
Ö`
=
<
und seien ungerade Primzahlen,

3. Schritt (EISENSTEIN):
mod 2 ,
8
so daß die Behauptung auch hier aus dem ersten Schritt folgt.
;
1
\
2
Ó
verschwindet. Modulo zwei

Im Falle einer ungeraden Primzahl steht rechts eine gerade Zahl; damit
muß auch + gerade sein, d.h. ( 1) = ( 1) , und die Behauptung
folgt aus dem ersten Schritt.
?\
CARL FRIEDRICH GAUSS (1777–1855) leistete wesentliche Beiträge zur Zahlentheorie, zur nichteuklidischen
Geometrie, zur Funktionentheorie, zur Differentialgeometrie und Kartographie, zur Fehlerrechnung und Statistik, zur Astronomie und Geophysik usw. Als Direktor der Göttinger Sternwarte baute er zusammen mit
dem Physiker Weber den ersten Telegraphen. Er leitete
die erste Vermessung und Kartierung des Königreichs
Hannover und zeitweise auch den Witwenfond der Universität Göttingen; seine hierbei gewonnene Erfahrung
benutzte er für erfolgreiche Spekulationen mit Aktien.
Seine 1801 veröffentlichten Disquisitiones arithmeticae
sind auch noch heute fundamental für die Zahlentheorie.
= ( 1)
\
=1
Y
.
<
) +2
+
/
+
ô
(
2
1

=1
\
= ( 1)
ô
( 1)
2
= ( 1)
\
8
+2

8
1
t
2
2
¼ç
ç
oder
Y
) +

=(
T
8
1
Y
2
B
Zum Beweis des quadratischen Reziprozitätsgesetzes müssen wir nun
nur noch alles kombinieren: Nach dem zweiten und dem dritten Schritt
ist
Kap. 8: Quadratische Reste
B
und damit ist
= 8 1 + =1 . Setzen wir das alles in die obige
=1
Formel ein, erhalten wir die Beziehung
B
8¢
2
Zahlentheorie
9
l
l

l
<
l
`

<
\

<
<

W
²
s
s
s
B
B
8
<
s
<
2
Ist
\
m s
l

=
l
²
m s
÷
¼

ç
8

² ²
l l
< <
\
\
<

l
l

\
\

l
l
Ú
teiler-

eine zu
=
2
3

2
5
= ( 1)
32
8
1
( 1)
52
8
1
= ( 1) ( 1) = 1 ,
aber zwei ist offensichtlich kein quadratischer Rest modulo 15: Sonst
müßte es schließlich erst recht quadratischer Rest modulo drei und modulo fünf sein, aber die entsprechenden LEGENDRE-Symbole sind 1.
In der Tat gibt es modulo 15 nur vier quadratische Reste: 1 4 6 und 10.

2
15
\
» < Y
o ¹
eine ungerade Zahl und
= 0.
stimmt das
Für eine Primzahl und ein nicht dadurch teilbares
JACOBI-Symbol natürlich mit dem LEGENDRE-Symbol überein, und man
kann sich fragen, ob man hier wirklich einen neuen Namen braucht.
Dieser ist gerechtfertigt, weil es einen ganz wesentlichen Unterschied
zwischen den beiden Symbolen gibt: Beispielsweise ist
ç
?\
Das JACOBI-Symbol gibt daher keine Auskunft darüber, ob eine Zahl
quadratischer Rest ist oder nicht; lediglich wenn es gleich 1 ist, können
wir sicher sein, daß wir es mit einem quadratischen Nichtrest zu tun
haben, denn dann muß ja auch schon für mindestens einen Primteiler

:
=1

=
:
:
\
\
Definition: Ist
:
?\
Wie wir in 1 gesehen haben, definiert das LEGENDRE-Symbol in Bezug
auf seinen Zähler“ einen Homomorphismus; wir können versuchen, es
”
zu erweitern, indem wir dasselbe auch für den Nenner“ postulieren:
”
Y

§3: Das Jacobi-Symbol

Das Problem bei dieser Vorgehensweise besteht darin, daß wir normalerweise nicht soviel Glück haben wie hier und als Reduktionen stets
Primzahlen erhalten. Wir sollten daher ein quadratisches Reziprozitätsgesetz haben, das auch funktioniert, wenn die beteiligten Zahlen nicht
prim sind.
<Y
nicht teilerfremd sind, setzen wir
.
Ó
Genauso können wir auch leicht feststellen, ob 13 quadratischer Rest
13
1 000 003
. Da
modulo 1 000 003 ist: Da 13 1 mod 4, ist 1 000
003 =
13
4
1 000 003 4 mod 13, ist dies gleich 13 , und das ist natürlich eins,
da 4 = 22 modulo jeder Primzahl ein Quadrat ist. Somit ist auch 13 ein
Quadrat modulo 1 000 003.
und
=1
B
CARL GUSTAV JACOB JACOBI (1804–1851) wurde in
Potsdam als Sohn eines jüdischen Bankiers geboren
und erhielt den Vornamen Jacques Simon. Im Alter
von zwölf Jahren bestand er sein Abitur, mußte aber
noch vier Jahre in der Abschlußklasse des Gymnasiums
bleiben, da die Berliner Universität nur Studenten mit
mindestens 16 Jahren aufnahm. 1824 beendete er seine
Studien mit dem Staatsexamen für Mathematik, Griechisch und Latein und wurde Lehrer. Außerdem promovierte er 1825 und begann mit seiner Habilitation.
Etwa gleichzeitig konvertierte er zum Christentum, so
daß er ab 1825 an der Universität Berlin und ab 1826 in
Königsberg lehren konnte. 1832 wurde er dort Professor. Zehn Jahre später mußte er aus
gesundheitlichen Gründen das rauhe Klima Königsbergs verlassen und lebte zunächst in
Italien, danach für den Rest seines Lebens in Berlin. Er ist vor allem berühmt durch seine
Arbeiten zur Zahlentheorie und über elliptische Integrale.
Falls
´
= ( 1)
=
·
1 mod 8
.
3 mod 8
o
+ 1 falls
1 falls
B
Das quadratische Reziprozitätsgesetz läßt sich gelegentlich dazu verwenden, um ein LEGENDRE-Symbol einfach zu berechnen. Wenn wir beispielsweise entscheiden wollen, ob sieben ein quadratischer Rest modu7
= 17
lo 17 ist, sagt es uns (da 17 1 mod 4), daß 17
7 ist. Letzteres ist
3
gleich 7 , da 17 3 mod 7. Hier haben wir zwei Primzahlen, die beide
7
1
1,
kongruent drei modulo vier sind, also ist 37 =
3 =
3 =
denn die Eins ist natürlich modulo jeder Primzahl ein quadratischer Rest.
Also ist sieben modulo 17 ein quadratischer Nichtrest.
<\

1
fremde Zahl, so ist das JACOBI-Symbol definiert als
Kap. 8: Quadratische Reste

2
m
»
2
2
mod 16, also ist
= 8 + , so ist 2 = 64 2 + 16 + 2
2
1
1 mod 16. Für = 1 ist dies null, für = 3 acht.
Somit ist
Zahlentheorie
B
\
:

Y
B
B
V
\
:
:
´
´
U
·
·:
åç
1
.
\

:
¹

» < Y
o ¹
:
Y
_
_
·
.

´
·:
o

´
:

Y
_
:
Ú
.
»
<Y _

o
Y

_
_
_
( 1)
\

V
T

¬ ¼
T

=1
ç

»ç
ç
»
=1
.
¥
»
\
\
¼
¬¼
»
»ç
»ç
1

\
o
»
\
<

<
<
Y
Y
( 1)
(
1)
.
¼ç
W
l
<Y
2
2
1
¼ç
\
= ( 1)
=
= 3. Hier ist (
+ 1 falls
1 falls
÷
ç
2
1
Betrachten wir als Beispiel den Fall

2
\
W
ungerade .
2
<\
1) 2 = 1, also
1 mod 4
,
3 mod 4
l
3 mod 4 und

\
`
= Anzahl der Indizes mit
»
gerade ist oder aber
mit
<
?
=1
\ e

=
können wir alle Faktoren weglassen, für die
1 mod 4. Das Produkt ist also gleich ( 1)
.
<
Für festes ist (
1) 2 ein konstanter Wert, (
1) 2 hängt nur ab von
mod 4, und
hängt ab von mod . Insgesamt hängt es also nur ab
von mod 4 , ob ein quadratischer Rest oder Nichtrest modulo ist.
=
1
<
2
= ( 1)
\
( 1)

ç
=
W
2
¼ç
2
1

=1
1
<
( 1)
2

1
1
=
Im Produkt

Dies ist genau dann gleich +1, wenn mindestens einer der beiden Exponenten gerade ist; andernfalls ist es gleich 1.
=
1
.
»
=1
V
2

=1
1

Für = 2 haben wir gesehen, daß 2 nur von der Kongruenzklasse mod 8 abhängt; wegen der Multiplikativität des JACOBI-Symbols
reicht es also, wenn wir ungerade betrachten. Nach dem gerade bewiesenen Gesetz ist dann

e
= ( 1)
1
»
=1
=1
.
<
2
= ( 1)
1

2
»ç
1

´ \

»
_
o
ç
»
Y
¬ ¼ »
· :
´
\
·:
´
¼
2
ç
2
T
( 1)
»
·
=1
¬
¼
=1
V
»ç
=
Tç
2
1
<Y
1

_
2

1
\ ²
Als Anwendung können wir uns überlegen, modulo welcher Primzahlen
eine vorgegebene Zahl quadratischer Rest ist. Modulo seiner Primteiler
verschwindet und ist somit ein Quadrat. Sei also kein Teiler von .
²
1
.
=1 =1
2
Ó
Nach dem quadratischen Reziptozitätsgesetz aus 2 ist daher
»
=
l
und
\
²
=1 =1
2
²
1) 8
ist, denn dies ist +1 für
Genauso folgt auch, daß 2 = ( 1)(
1 mod 8 und 1 für
3 mod 8. Das Produkt zweier Primzahlen kongruent 1 modulo acht ist wieder kongruent 1, genauso
das zweier Primzahlen kongruent 3 modulo acht. Damit führt dieselbe
Argumentation wie oben zum Ziel.
Ó
=

=1
:
\ ²l
Ó

=
´

Symbols und weil das LEGENDRE-Symbol bei festgehaltenem Nenner“
”
einen Homomorphismus definiert, ist dann
·
2
= ( 1)
\
. Nach Definition des JACOBI-
8
´

=1
ç
·:
=
:
åç
=1

ç
ç
und
U
U
=
2
= ( 1)

Beweis: Sei
:
= ( 1)

2
\
und
»
»ç
1
¬¼
»
2
\
= ( 1)
\
1
1
2
2
l\
:
=1
Ó
Ist dies gleich +1, so ist die rechte Seite der Gleichung für
ebenfalls +1, andernfalls zeigt das gleiche Argument für , daß sie
gleich ( 1)( 1) 2 ist. In jedem Fall erhalten wir daher die gewünschte
Formel
( 1)
2
2
< Y » < Y
åç
= ( 1)
l
l

) = 1 ist
l\
Ó
mit ggT(
» < Y

Satz: Für zwei ungerade Zahlen
Y
Die Faktoren
sind genau dann kongruent eins modulo vier, wenn
1 mod 4 oder gerade ist, denn 32
1 mod 4. Andernfalls ist
3
1 mod 4. Somit ist auch
( 1) mod 4, also
l
Die Nützlichkeit des JACOBI-Symbols kommt in erster Linie daher, daß
auch dafür das quadratische Reziprozitätsgesetz gilt und es somit zur
Berechnung von LEGENDRE-Symbolen verwendet werden kann:
Kap. 8: Quadratische Reste
B
B
des Nenners“ das LEGENDRE-Symbol gleich 1 sein, während ein
”
quadratischer Rest modulo einer Zahl erst recht quadratischer Rest
modulo eines jeden Teilers von sein muß.
Zahlentheorie
c
<
l
<
\
\
Y
l
<Y
B
B
w
÷

<
\
A

Â Â
ª ª
<
<
<
÷
\
<
=
\
Ã Ã
Â Â
ª ª
< <
\
<
<
l

<
<
X

<
ì r

?
<\
o
<
Ã
e á
§« e
á
¥
§« e
ªá
¥¥
Âá
§« e
á
á m
:
:
m
o á <\
Die Ordnung eines Elements
läßt sich leicht berechnen: Da
genau dann zu eins wird, wenn
1 den Exponenten
teilt, ist
für die Ordnung das kleinste gemeinsame Vielfache von und
1.
Das kleinste gemeinsame Vielfache ist bekanntlich gleich dem Produkt,
dividiert durch den größten gemeinsamen Teiler. Damit ist die Ordnung
1
.
=
ggT(
1)
>Ò
besteht.
Z
=
.
und 0
2

á
<
= ist genau dann ein quadratischer Rest, wenn eine gerade Zahl ist;
2
. Falls wir nur kennen, ist
die beiden Quadratwurzeln sind dann
dies allerdings nicht sonderlich nützlich zur Berechnung dieser Wurzeln,
denn erstens kennen wir im allgemeinen das Element nicht explizit, und
zweitens kennen wir auch den Exponenten nicht. Ersteres wäre kein
großes Problem, denn es gibt effiziente probabilistische Algorithmen,
um sich mögliche Werte für zu verschaffen, letzteres aber ist ein
diskretes Logarithmenproblem modulo , also nur dann effizient lösbar,
wenn die Primzahl ziemlich klein ist.
m
genau aus den Potenzen von
mit 0
schreiben läßt.
=
r
§« e
¡
=1
2
Da es bei Potenzen von nur auf den Exponenten modulo ankommt
und bei solchen von nur auf den Exponenten modulo 2 , heißt dies,
daß sich jedes Element von
in der Form
oá
1
m
r
2
á
X

o
=
á
=
=
á
o
zyklisch ist, gibt es ein
£Y
Y o
¡
>
modulo
+
£Y á
Da die multiplikative Gruppe
, so daß
Element
2
¤X
r
in eine Zweierpotenz 2 und eine ungerade Zahl .
=
¤X
und entsprechend für jedes
Damit ist
Y 1=2
=1

Am einfachsten lassen sich Quadratwurzeln modulo zwei ziehen, denn
modulo zwei ist jede Zahl ihre eigene Quadratwurzel. Im folgenden sei
daher eine ungerade Primzahl; wir zerlegen
X
Das quadratische Reziprozitätsgesetz zeigt uns schnell, ob die Gleichung
2
mod für eine gegebene Primzahl und eine ganze Zahl lösbar
ist; es gibt uns aber keinen Hinweis darauf, wie wir diese Lösung finden
können. Darum soll es in diesem Paragraphen gehen.
+

ist. Hierbei muß offensichtlich eine ungerade Zahl sein, denn sonst
wäre die Summe auf der linken Seite eine gerade Zahl.
2
§4: Berechnung der modularen Quadratwurzel

÷
=
<
5
Ã
1 4
,
2 3

Da und 2 teilerfremd sind, gibt es nach dem erweiterten EUKLIDischen
Algorithmus ganze Zahlen
, so daß
mod 5
mod 5
r

+ 1 falls
1 falls

=
l
1) 2 = 2 gerade, also
r
5
<
á
die Ordnung 2 .
=
die Ordnung hat und
und
B
= 5 ist (
folgt, daß
¤
2
£á
1 11
.
5 7
=
Speziell für die beiden Elemente
B
Für
1 mod 3
.
2 mod 3
Kap. 8: Quadratische Reste
mod 12
mod 12
+ 1 falls
1 falls
l
=
3
3
Somit ist für eine Primzahl
3
+ 1 falls
=
1 falls
und
Zahlentheorie

m
²á
<
oá

:
Auch der etwas komplizierteren (und bislang ebenfalls nicht explizit
bekannten) Form =
können wir ansehen, wann quadratischer
Rest ist: Da eine ungerade Zahl ist, ist genau dann gerade, wenn auch
á
Z

m
ì r

<\
m
<\
<\ m
:

B
B
m
m

Z
£
£
Z
£ì r
£
t£ \
Ã
\
¥¥
s
\
¥

Â
ª

t
£
²
X
t

t£

£
X t

l
<
l

<\
<\
<

s
<\
s
s

e
²
( +1) 4
¼ç
£
²
²
X

setzen. Für
s
<
?
e
?
e
= 2 ist somit
<

X
X
Ist also ein quadratischer Rest, so ist 21 2 = ; wendet man die Formel
fälschlicherweise auf einen quadratischen Nichtrest an, ist 21 2 =
.
=

1) 2
<
(
l
=

( +1) 2
<
( +3) 8
.
=
e

£
e
²

( +3) 8
e
1) 4
.

X
\

1 2

2(
Letzteres ist im Fall
5 mod 8 einfach: Hier ist zwei nach dem quadratischen Reziprozitätsgesetz quadratischer Nichtrest; daher können
wir
= 2 = 2( 1) 4
<\
=
=

2
1 2
+1) 2
was sich leicht berechnen läßt. Die Richtigkeit dieser Formel läßt sich
auch direkt nachprüfen, denn nach dem Lemma von EULER ist
s
t
=

+1) 2
s
1
2

berechnen, erWenn wir die -te Potenz irgendeines Elements aus
halten wir ein Element, dessen Ordnung eine Zweierpotenz ist, die 2
teilt. Falls sie nicht gleich 2 ist, muß das Element Quadrat eines anderen sein; die Elemente von Zweipotenzordnung, die genaue Ordnung 2
haben, sind daher genau die quadratischen Nichtreste. Einen solchen
können wir uns verschaffen, wenn wir irgendeinen quadratischen Nichtrest modulo kennen: Da ungerade ist, ist dann auch dessen -te Po1 = 2 muß diese Potenz
tenz quadratischer Nichtrest, und wegen
Zweipotenzordnung haben. Um zu finden, reicht es also, irgendeinen
quadratischen Nichtrest modulo zu finden.
(
²
=
²
£
( +1) 2
1

=
4

§« e
1 2
(
( +1) 2
, wobei wie oben definiert
Für = 2 sind die Wurzeln
und nicht explizit bekannt ist. ist nach Definition -te Potenz eines
primitiven Elements, und das gilt offenbar für jedes Element, dessen
Ordnung gleich 2 ist. (Hier ist natürlich = 2, aber das folgende
Argument gilt für jedes .)
=

Ist
3 mod 4, so ist
1 2 mod 4, d.h.
1 ist zwar durch zwei,
nicht aber durch vier teilbar. Mithin ist
1 = 2 mit einer ungeraden
Zahl , d.h. der oben definierte Exponent ist eins. Damit kommen für
nur die Werte = 0 und = 1 in Frage, und für einen quadratischen
2
als auch
Rest muß = 0 sein. Dann sind sowohl
gleich eins,
also sind die beiden Wurzeln aus einfach
( +1) 2
¼ç
²
Zumindest für die Hälfte“ aller Primzahlen haben wir damit überhaupt
”
kein Problem: Eine ungerade Zahl hat bei Division durch vier offensichtlich entweder Rest eins oder Rest drei; wir betrachten zunächst den
3 mod 4. (Solche Primzahlen werden in der Kryptologie
Fall, daß
gelegentlich als BLUMsche Primzahlen bezeichnet.)

1 2
e
²
2
Sobald wir den Wert
kennen, können wir also die Quadratwurzeln
von bestimmen, und wir wir gleich sehen werden, läßt sich dieser Wert
erheblich schneller berechnen als ein diskreter Logarithmus.
X
.
=
= 0 können wir wie oben argumentieren: Dann ist
£
)=
Im Fall
s

= (

+1
s

2
<\
s
die beiden Quadratwurzeln des quadratischen Rests , denn
<
2
s
d.h. = 2. Daher kann nun die vier Werte 0 1 2 3 annehmen; für
quadratische Reste gibt es die beiden Möglichkeiten = 0 und = 2.
<\
s
( +1) 2
mit einer ungeraden Zahl ,

quadratischer Rest
1 = 4 = 22

und auch diese Zahl ist genau dann gerade, wenn
ist. Mit dieser Zahl sind dann
1 ,
<
2
<\
0 1 2
l
l
mod 2
<
=
=
ist eine Potenz von ; es gibt also eine ganze Zahl
zwischen null und 2
1, so daß
= 1 ist, nämlich
l
Für
1 mod 4 ist entweder
1 mod 8 oder
5 mod 8. Zumindest im letzteren Fall können wir wieder eine explizite Formel für
1 4 mod 8, d.h.
die Quadratwurzeln aufstellen: In diesem Fall ist
1 ist zwar durch vier, nicht aber durch acht teilbar. Somit ist
l
=
mod 2
B
=
Kap. 8: Quadratische Reste
B
gerade ist, und das wiederum ist äquivalent dazu, daß
eine gerade Zahl ist.
Zahlentheorie

?
B
B
¢
s
s
;

e
²
Ä
²
X

e
Ä
« e

2
=
2
e

Ä
²
Ä

?
e

<
:
<\

Ä
£:

\
\
e
Ä

e
Ä?
\
e
l
l
l
<
[
[

[

s
<
<

s
¬ç
2
1
= 1,

©
l
,
= , und die beiden hinteren Gleichungen bedeuten
=
denn
nach EULER einfach, daß = quadratischer Nichtrest ist, und damit
auch = 2 aber (nach Voraussetzung) quadratischer Rest.
X
r
X
<

e
l
<
<
^<
Diese drei Gleichungen werden als Schleifeninvarianten durch den gesamten Algorithmus beibehalten; für = 1 besagen sie, daß eine
Quadratwurzel aus ist.
2
1 und
¬ç
2 2
=
<
durchgeführt werden. Danach ist

2
[

wobei alle Berechnungen modulo
(
Im zweiten Schritt werden einige Variablen initialisiert; wir setzen
<
Leider gibt es keinen effizienten deterministischen Algorithmus zur Bestimmung eines quadratischen Nichtrests modulo einer beliebigen Primzahl; da wir aber wissen, daß die Hälfte aller Restklassen modulo quadratische Nichtreste sind, kann man in der Praxis leicht welche finden,

<
Auch selbst ist im allgemeinen Fall schwerer zu finden: Während wir
für
5 mod 8 wissen, daß zwei ein quadratischer Nichtrest ist, gibt
es für
1 mod 8 keine entsprechende Wahl; hier ist 2 = 1, und
man weiß nur, daß der kleinste quadratische Nichtrest irgendeine Zahl
zwischen eins und 1 +
ist, was für große Werte von viel zu viele
Möglichkeiten offenläßt.

Im ersten Schritt wird dann ein quadratischer Nichtrest modulo
bestimmt, indem wir so lange Zufallszahlen mod erzeugen, bis
= 1 ist. Dann berechnen wir =
mod und wissen, daß
diese Restklasse genau die Ordnung 2 hat.
<
Bleibt noch der Fall, daß
1 mod 8. Dies ist der schwerste und
allgemeinste Fall, denn während
3 mod 4 äquivalent ist zu = 1
und
5 mod 8 zu = 2 kann hier jeden Wert größer oder gleich
drei annehmen. Damit wird auch die Anzahl 2 der möglichen Werte
von deutlich größer; die Suche nach dem richtigen Exponenten wird
also aufwendiger.
ªX
=
. Da
1, also hat
.
§« e
= , sind die beiden Wurzeln
Falls
; andernfalls ist
zwei quadratischer Nichtrest ist, ist nach EULER 2( 1) 2 =
2( 1) 4 das Quadrat .
=
<\
2
X
2
\
Indem wir
1 so lange wie möglich durch zwei dividieren (oder
die hinteren Bits betrachten) bestimmen wir zunächst die Zerlegung
1 = 2 mit einer ungeraden Zahl .

nach EULER, falls quadratischer Rest modulo ist. Damit ist

1) 2

(
Ä
2
<
=
X
( +3) 4
<
ª
=
<
§« e
4
l
sei eine beliebige ungerade Primzahl, und
sei ein quadratischer
Rest; der Algorithmus bestimmt unter dieser Voraussetzung ein Element
mit der Eigenschaft, daß und
Quadrat haben.
<
Auch dies läßt sich wieder direkt nachrechnen:
Der folgende Algorithmus von SHANKS funktioniert für beliebige un3 mod 4 und
5 mod 8 ist es aber
gerade Primzahlen ; für
natürlich effizienter, die obigen Verfahren zu benutzen.
l
2
die beiden Quadratwurzeln. Andernfalls
falls = ist, sind 1 2 =
( 1) 4
; falls das Quadrat dieses Elements
multiplizieren wir
mit 2
von
gleich ist, sind die Quadratwurzeln 2( 1) 4 ; andernfalls
ist quadratischer Nichtrest.
e
2
( +3) 8

=
B
indem man einfach Zufallszahlen erzeugt und nach der EULERschen Formel oder dem quadratischen Reziprozitätsgesetz das LEGENDRE-Symbol
berechnet. Die Wahrscheinlichkeit, mehr als zehn Versuche zu brauchen,
liegt dann bei 1 : 1024, die für mehr als zwanzig Versuche ist kleiner
als eins zu einer Million, usw.
Kap. 8: Quadratische Reste
V
Um das Ganze wirklich explizit zu machen, müssen wir nun nur noch die
beiden Fälle = 0 und = 2 algorithmisch voneinander unterscheiden,
aber das ist einfach: Wir berechnen zunächst
Zahlentheorie
9
©

©
Im dritten Schritt testen wir daher, ob = 1 ist; falls ja, endet der
. Andernfalls suchen wir die kleinste
Algorithmus mit den Lösungen
X
<
²X
Zahlentheorie
B
V
8
U
¡

natürliche Zahl , für die 2 = 1 ist; die dritte Schleifeninvariante
1 ist.
zeigt, daß es ein solches gibt und

U
¬ç
2
©
[
m\

[
ó
m
ó
[
[
r
ç

©r
[
©
óX
X

¬
Die obigen Schleifeninvarianten gelten auch wieder nach den Zuweisun= 2 kommt das einfach daher, daß das
gen im vierten Schritt: Für
neue gleich dem alten mal ist, wohingegen das neue aus dem alten
durch Multiplikation mit = 2 entsteht. Die Gleichung 2 = 1 gilt
weiterhin, weil das neue die 2
-te Potenz des alten ist, so daß seine
-te Potenz gleich dem alten Wert von 2 ist; da das neue gleich
ist, folgt die Behauptung. Daß auch die dritte Schleifeninvariante erhalten bleibt, folgt aus der Gültigkeit der zweiten, und der Algorithmus
endet nach endlich vielen Iterationen, da bei jeder Wiederholung des
vierten Schritt um mindestens eins kleiner wird und = 1 äquivalent ist
zu = 1.
und gehen zurück zum dritten Schritt.
2
©
X
© ó
X
¬
\
r
m
m
X

modulo
r
2
(
+
(
2
),
teilerfremd sind, lassen sich nach dem erweiterten EUAlgorithmus ganze Zahlen
finden, für die
+
=1
ist. Setzt man diese in obige Formel ein, vereinfacht sich diese zu
und
X
KLIDischen
Da
die der Leser durch Ausmultiplizieren nachrechnen soll. Da es wohl
kaum falsch sein kann, einem Ratschlag von GAUSS zu folgen, möchte
ich diese Aufforderung auch an die Leser dieses Skriptums weitergeben.
)(
©
2
+
2
j
(
\
)

+
(
2
)
)(
j
+
2
= ( (
+

+2
(
Sein Beweis startet mit der für beliebige Zahlen
rX j
gültigen Formel
+ 2 für zwei zueinander teilerfremde ganze
ein quadratischer Rest modulo .
;
r
Zum Abschluß dieses Kapitels sollen kurz noch einige Anwendungen
quadratischer Reste vorgestellt werden:
r
Q^
X
X
§5: Anwendungen quadratischer Reste
i
rX
?
:
r
SHANKS schrieb außer seinem Buch Solved and unsolved problems in number theory über achtzig Arbeiten, vor allem auf dem Gebiet der algorithmischen Zahlentheomit
rie und der Primzahlverteilung, aber auch der Numerik. 1962 berechnete er
der für damals sensationellen Genauigkeit von 100 000 Dezimalstellen. Näheres findet man in seinem Nachruf in den Notices of the AMS vom August 1997, der unter
auch im Netz zu finden ist.
+
rj

DANIEL SHANKS (1917–1996) wurde in Chicago geboren, wo er zur Schule ging und 1937
einen Bachelorgrad in Physik der University of Chicago erwarb. Er arbeitete bis 1950
in verschiedenen Positionen als Physiker, danach als Mathematiker. 1949 begann er ein
graduate Studium der Mathematik an der University of Maryland, zu dessen Beginn er
der erstaunten Fakultät als erstes eine fertige Doktorarbeit vorlegte. Da zu einem graduate
Studium auch Vorlesungen und Prüfungen gehören, wurde diese noch nicht angenommen;
da er während seines Studiums Vollzeit arbeitete, dauerte es noch bis 1954, bevor er
alle Voraussetzungen erfüllte; dann wurde die Arbeit in praktisch unveränderter Form
akzeptiert. Erst 1977 entschloß er sich, eine Stelle an einer Universität anzunehmen; ab
dann bis zu seinem Tod war er Professor an der University of Maryland.
X
+2
Q
im Gegensatz zu unserer bisherigen (auf LAGRANGE zurückgehenden)
Praxis beschränkt er sich also auf Formen, bei denen der Koeffizient des
gemischten Terms gerade ist. Die Matrix
=
zu einer solchen
Form hat nur ganzzahlige Einträge, und auf Grund früherer Resultate
von LAGRANGE wußte er, daß er für solche Formen bessere Ergebnisse
erwarten konnte. In Abschnitt 154 seines zahlentheoretischen Hauptwerks Disquisitiones Arithmeticae zeigt er den folgenden
2
©
(
)=
Im ersten Paragraphen des Kapitels über quadratische Formen haben wir
uns überlegt, welche natürliche Zahlen sich als Summe zweier Quadrate
darstellen lassen. Allgemeiner kann man sich fragen, welche ganzen
Zahlen sich durch irgendeine vorgegebene Quadratische Form darstellen
lassen. GAUSS untersucht diese Frage für die quadratische Formen
B
1
V
Im vierten Schritt setzen wir
a) Quadratische Formen und quadratische Reste
Kap. 8: Quadratische Reste
B
j
©\
\
j
©\
:
i
B
V
V
j
r
X
:
r
X
\
©\
:
\
r
X
X
r
mod
<
l
r
l
<
2
mod
lösen; die jeweiligen Lösungsmengen seien 1 2 und
dem chinesischen Restesatz kann er sich vier Elemente
mod
mit
1 2
mod
und
Â
<
Ú
<
<
l
<

<
÷

<
e

Y © _
W\
l
_Y
W
und schickt
1
2
. Nach
zwischen null und
1 konstruieren, die allesamt die Kongruenz
2
mod
erfüllen. Er entscheidet sich zufällig für eine dieser
vier Möglichkeiten (dies entspricht dem Münzwurf) und schickt das
an B.
entsprechende =
Â
bª
`
l
r
Y_
B kennt nun zwei Zahlen und , die beide das Quadrat haben.
Möglicherweise ist = ; in diesem Fall hat er keine neue Information
bekommen, und er hat verloren. Das gleiche gilt im Fall
mod ,
d.h. =
.
Y_
l\
X
X
X
W\
k
Ist aber =
, was mit 50%-iger Wahrscheinlichkeit eintritt, hat B
gewonnen und muß das nun gegenüber A beweisen.
X
Aus der Kongruenz 2
mod
=
folgen natürlich die entsprechenden Kongruenzen modulo und modulo ; es gibt daher Indizes
1 2 , so daß
mod und
mod . Falls sich A
genau für dieses Indexpaar entschieden hat, ist = ; falls er sich für
das Paar ( ) mit = und = entschieden hat, ist
mod ,
mod
mod
denn 1
und
.
2
1
2
²X
X

Ï
Í

<
b
`
X
Falls sich aber für ein Paar ( ) entschieden hat, in dem genau einer
der beiden Indizes gleich dem entsprechenden Index in (
) ist, sind
und modulo einer der beiden Primzahlen
kongruent, modulo
der anderen ist kongruent zu
. Um zu beweisen, daß dieser für ihn
) berechnen
günstige Fall eingetreten ist, kann B daher ggT(
W
Dazu wählt sich A zwei Primzahlen und die so groß sind, daß B das
Produkt
=
nicht mit einem Aufwand von nur wenigen Minuten
faktorisieren kann. ( und können also deutlich kleiner sein als bei
2
r

r
Mit Hilfe von quadratischen Resten läßt sich der Münzwurf so simulieren, daß beide den Ausgang überprüfen können und jeder mit der
gleichen Wahrscheinlichkeit gewinnt.
r
l
Ã
Ã
W
Stellen wir uns nun aber vor, A und B stehen nicht nebeneinander, sondern befinden sich an verschiedenen Orten und diskutieren per Telephon,
wer was machen soll. Auch hier könnte A wieder eine Münze werfen,
allerdings sieht jetzt nur A, wie sie zu Boden fällt; wenn er gewinnt,
muß B sehr viel Vertrauen in ihn haben, um das zu glauben.
X

A und B können sich nicht einigen, wer von ihnen eine dringend notwendige aber unangenehme Arbeit übernehmen soll. Also werfen sie eine
Münze. Vorher entscheidet sich etwa A für Wappen“, B für Zahl“,
”
”
dann wirft A die Münze in die Luft. Wenn sie mit Wappen nach oben
auf den Boden fällt, hat er gewonnen, andernfalls B.
W
A kennt die Faktorisierung von ; nach dem Algorithmus aus dem
vorigen Paragraphen kann er also die Gleichungen
W

Â©
©
b) Münzwurf per Telephon
zwischen eins und
X
Ã
Das wissen natürlich bereits aus 1 des vorigen Paragraphen; für beliebige quadratische Formen aber ist obiger Satz von GAUSS der Ausgangspunkt für eine genauere Untersuchung. Details dazu führen sehr schnell
weit in die algebraische Zahlentheorie und können daher im Rahmen
dieser Vorlesung nicht behandelt werden.
B wählt sich nun eine zufällige Zahl
deren Quadrat = 2 mod an A.
W
Ist eine Primzahl = 2 + 2 als Summe zweier Quadrate darstellbar, so
sind und automatisch teilerfremd, also muß 1 = 1 sein. Nach dem
Korollar am Ende von 1 ist dies für ungerades genau dann der Fall,
wenn
1 mod 4 ist; für = 2 ist 21 = 12 = 1. Somit kann eine
Primzahl
3 mod nicht als Summe zweier Quadrate geschrieben
werden.
W
RSA, wo man mit Gegnern rechnen muß, die monatelang rechnen.)
Dieses schickt er an B.
Kap. 8: Quadratische Reste
B
V
Als Beispiel können wir nochmals die quadratische Form (
) =
2
+ 2 betrachten. Hier ist 2
= 1, falls sich eine natürliche
Zahl als Summe zweier teilerfremder Quadrate darstellen läßt, muß
also 1 modulo ein Quadrat sein.
Zahlentheorie
c
W
W
<

X\
\
X

<
B
V
w
W
W
X

Wenn B sich nicht an die Regeln hält und ein an A schickt, das kein
Quadrat modulo ist, merkt A dies bei der Berechnung der modularen
Quadratwurzeln; falls A ein schickt, dessen Quadrat von verschieden
ist, kann B dies leicht feststellen, denn wenn er verloren hat, muß =
oder =
sein. (Er kann natürlich auch 2 mod berechnen.)
r
r
W
X
W\
X
W
Yd
óe
©
óe

) = cos
cos
\
Ò
Yì
Y
f g
ì
Y
f g
Ò
sin
sin
Auch die räumliche Periodizität läßt sich mit trigonometrischen oder
– besser – Exponentialfunktionen ausdrücken; hier schreiben wir entsprechend ( ) =
.
ist, lassen sich auf diese Weise auch die Additionstheoreme auf einfache
Multiplikationen von Exponentialfunktionen zurückführen.
(
X
á
tY
ó
h
tí
c
Y b
X
h
c
®ó
X\
X
e
Ð
e
p
ñ
s
®ó
die Ausbreitungsgeschwindigkeit der Welle ist; denn eine Änderung der
hat denselben Effekt wie eine Änderung des Orts um
.
Zeit um
2
Ð
=
ó
=
ó
=
-
) nur ab von
í
Wie man der zweiten Form ansieht, hängt (
was wir auch so interpretieren können, daß
c
,
Um einen räumlich und zeitlich periodischen Vorgang zu beschreiben,
kombinieren wir die beiden Ansätze und betrachten beispielsweise die
Funktion
(
)
(
)
=
.
( )=
tY í

i
b
Der Schall muß daher von der Decke reflektiert werden, darf die Ohren
der Zuhörer aber nicht von oben erreichen. Er sollte daher beispielsweise
möglichst diffus zu den Seitenwänden hin gestreut werden, so daß der
größte Teil der Energie die Zuhörer über die Seitenwände erreicht.
ó
Z
Ò
Eine mögliche Abhilfe bestünde darin, die Decken aus absorbierendem
Material zu bauen. Dem steht entgegen, daß in einem großen Konzertsaal aller Schall, der von der Bühne kommt, den Hörer auch wirklich
erreichen sollte: Ansonsten müßte der Schall aus Lautsprechern kommen und man könnte sich das Konzert genauso gut daheim per Radio
oder CD anhören.
³
ü
( + )
Y b
ü
cos( + ) =
c
Z
=
Da der Umgang mit den Additionstheoremen für trigonometrische Funktionen recht umständlich ist, schreibt man Wellen allerdings meist kommit der Maßgabe, daß nur der Replex in der Form ( ) =
alteil dieser Funktion physikalische Realität beschreibt. Aufgrund der
EULERschen Formel
= cos + sin lassen sich so, falls man
für beliebige komplexe Konstanten zuläßt, alle Funktionen der Art
cos + sin als Realteile erhalten, und da beispielsweise
Eine Welle hat eine räumliche wie auch zeitliche Periodizität. Zeitlich
periodische Funktionen sind beispielsweise Sinus und Kosinus; wie die
FOURIER-Analysis lehrt, läßt sich jede stückweise stetige zeitlich periodische Funktion (bis auf sogenannte Nullfunktionen) aus Sinus- und
Kosinusfunktionen zusammensetzen, so daß es reicht, solche Funktionen zu betrachten.
`
Der Grund dafür ist intuitiv recht klar und wurde auch durch Messungen und Hörerbefragungen in einer Reihe von Konzertsälen experimentell bestätigt: Die Hörer bevorzugen Schall, der von den Seitenwänden
kommt und daher mit verschiedener Stärke bei den beiden Ohren eintrifft gegenüber Schall von oben, der beide Ohren mit gleicher Stärke
erreicht und somit keinen räumlichen Eindruck hinterläßt.
Alte Konzerthallen waren zwangsläufig sehr hoch: Andernfalls wäre
die Luft während eines längeren Konzert bei voll besetztem Saal zu
schnell verbraucht gewesen. Mit den Fortschritten der Lüftungstechnik
verschwand diese Notwendigkeit; dafür sorgten steigende Bau- und Heizungskosten für immer niedrigere Säle. Auf die Luftqualität hatte das
keinen nennenswerten Einfluß; die Akustik der Hallen allerdings wurde
deutlich schlechter.
c) Akustik von Konzerthallen
B
Der Einfachheit halber wollen wir uns auf eindimensionale Wellen beschränken und damit auch nur diffuse Reflektion in einer Richtung
betrachten, der Querrichtung des Konzertsaals.
Kap. 8: Quadratische Reste
V
und erhält einen der beiden Primfaktoren oder . (Der andere ist
).) Damit hat er
faktorisiert und schickt das Ergebnis
ggT( +
an A.
Zahlentheorie

?
Ð
Ïp
Ï

B
V
=Ï
Da Sinus und Kosinus die Periode 2 haben, müssen wir für eine Schwingung der Frequenz den Parameter gleich 2 wählen, denn dann
1. Aus diesem Grund
fallen 1 Perioden in das Intervall 0
wird = 2 als die Kreisfrequenz der Schwingung bezeichnet. In der
räumlichen Dimension nimmt die Wellenlänge die Rolle der zeitlichen Periode ein; dementsprechend muß hier = 2
gesetzt werden.
Diese Konstante wird als Wellenzahl bezeichnet.
Zahlentheorie
p
¡
¡
Ð
ó
e
Ïp
k
=p
s
e
#

Ð
Ï
Ï
Ø

Ð
j
X
j
X
j
X
k
tY í
Der Laufwegunterschied von sin entspricht einem Phasenfaktor
sin
. Wählen wir also die Phase im Nullpunkt als Referenz (die
wir in den zu ignorierenden Phasenfaktor der einfallenden Welle hineinziehen können), ist die Summe aller unter dem Winkel abgehenden
Strahlen gleich
sin
( )
;
j
tY í
1

das ist die sogenannte FOURIER-Transformierte von ( ), ausgewertet
im Punkt
= sin . Wenn wir den Schall möglichst gleichmäßig
verteilen wollen, müssen wir die Funktion daher so wählen, daß ihre
FOURIER-Transformierte möglichst konstant ist.

X
s
Eine Möglichkeit dazu sind das, was Physiker als Reflektions-Phasengitter bezeichnen: Die Decke besteht aus einem Material mit konstantem,
möglichst großem Reflektionsgrad, aber die Höhe der Decke variiert
stufenförmig mit dem Querschnitt. Wenn die Höhe der einer festen
Stelle um den Betrag über der Nullinie liegt, muß der dort reflektierte
Schall gegenüber dem an der Nullinie reflektierten den zusätzlichen
Weg 2 zurücklegen; dies kann man formal so ausdrücken, daß man in
der Reflektionsfunktion ( ) den zusätzlichen Faktor 2
einfügt.
j
Da es uns nur um den mittleren Schalldruck, nicht aber um seine Variation geht, können wir den -Term ignorieren und einfach mit der
arbeiten. Wir interessieren uns, wieviel Schall unter
Funktion
sin
j
CHRISTIAAN HUYGENS (1629–1695) kam aus einer niederländischen Diplomatenfamilie. Dadurch und später
auch durch seine Arbeit hatte er Kontakte zu führenden europäischen Wissenschaftlern wie DESCARTES und
PASCAL. Nach seinem Studium der Mathematik und Jura arbeitete er teilweise auch selbst als Diplomat, interessierte sich aber bald vor allem für Astronomie und
den Bau der dazu notwendigen Instrumente. Er entwickelte eine neue Methode zum Schleifen von Linsen
und erhielt ein Patent für die erste Pendeluhr. Trotz des
französisch-niederländischen Kriegs arbeitete er einen
großen Teil seines Lebens an der Académie Royale des
Sciences in Paris, wo beispielsweise LEIBNIZ viel Mathematik bei ihm lernte. HUYGENS war ein scharfer
Kritiker sowohl von NEWTONs Theorie des Lichts als auch seiner Gravitationstheorie, die
er für absurd und nutzlos hielt. Gegen Ende seines Lebens beschäftigte er sich mit der
Möglichkeit außerirdischen Lebens.
X
X
0
j
Bei einer Reflektion können wir nach HUYGENS annehmen, daß von
jedem Punkt der reflektierenden Fläche eine neue Welle ausgeht; ihre
Amplitude ist gleich der Amplitude der dort eintreffenden Welle mal
einem Reflektionsfaktor ( ), der im Idealfall gleich eins ist.
B
Schallwellen breiten sich bei 20 C in Luft mit einer Geschwindigkeit
von etwa = 343 m/s aus; der hörbare Frequenzbereich beginnt bei
= 16 Hz und kann bis zu etwa 20 kHz gehen. Die Wellenlängen, mit
denen wir es zu tun haben, variieren also zwischen etwa = 21 5 m und
= 1 75 cm. Der Kammerton mit 440 Hz hat eine Wellenlänge von
knapp 78 cm.
V
Die Schallwellen die von zwei verschiedenen Punkten unter einem Winkel ausgehen haben, wie die Zeichnung zeigt, einen Laufwegunterschied von sin , wobei den Abstand der beiden Punkte bezeichnet.
welchem Winkel reflektiert wird.
Kap. 8: Quadratische Reste

/
Yb
X
û
m
û
óe
tY í

B
V
¢
<
e
¿
l

m
^<

(
)
(
2

1
2
q
qm
1
=0
1
=0
=0
1
2
2
)
e
=0
)
Ó
Ó
s
:
s
:\
l
q
qm
e ¿
e ¿ t
<
<

e
=0
1
2
eÓ
t uY
¿

<t
2
1
=0
¿
e
2
4
(
)2
2
)
e
t uY
t uY
.
.
e
t

t
uY
Die zweite Summe können wir schreiben als
(2
2

=0
eÓ
t uY
¿

2
uY
1

=0
e
(

1
2

=0
1
e
t
=
t
2
Ó
1
)2
e
=
¿
e
¿
e
=0
(

1
2
t
=0
2
t
( ) =
1
:
1
s
1
=1
4
=
=0
1
4
, wir haben also die gewünschte Diffusionseigenschaft.
,
MANFRED ROBERT SCHROEDER wurde 1926 in Deutschland geboren. Er studierte Physik an der Universität
Göttingen, wo er 1952 promovierte. Danach arbeitete er bei den AT & T Bell Laboratories in Murray Hill, New Jersey auf dem Gebiet der Akustik;
diese Arbeit führte unter anderem zu 45 Patenten.
1969 wechselte er als Professor für Akustik an die
Universität Göttingen, wo er bis zu seiner Emeritierung lehrte. Er schrieb mehrere Bücher, unter anderem
Number theory in Science and Communication und Fractals, Chaos, Power Laws. Der
Inhalt dieses Abschnitts ist kurz im ersten dieser Bücher dargestellt sowie ausführlich in
M.R. SCHROEDER: Binaural dissimilarity and optimum ceilings for concert halls: More
lateral sound diffusion, J. Acoust. Soc. Am. 65 (4), 1979
<
2
=
Die obige Abbildung zeigt den Querschnitt über ein solches Phasengitter,
hier für = 23. Entsprechende SCHROEDER-Reflektoren zu den verschiedensten Primzahlen gibt es in vielen Konzertsälen und Opernhäusern,
oft allerdings verborgen hinter schalldurchlässigem Material.
für alle

<
Die Summanden hängen nur ab von den Restklassen modulo der
Indizes und , und für festes durchläuft mit auch
alle diese
Restklassen. Daher können wir dies weiter ausrechnen als
l

(
e
1
)

1
=0

t
eÓ
¿

t
uY
e
t
^<

?
e

Ó
e
t
Ó

uY
uY
uY

¿
¿
t e
t
¿
e
¿
e < ¿

^
e
e
<
<
=0
(
q
l m
q
=
e
uY
2
:
Ó
^<
1
¿

1
c
)
( +1)
<
=
e
(
Ó

uY
2
e

1
e
1

( )2=
4
?
<
die Summe ändert also ihren Wert nicht, wenn man sie mit der von eins
multipliziert, und damit muß sie verschwinverschiedenen Zahl 4
den. Somit ist
1
2
( ) = 0
=1

.
=0
1
e
t uY
=0
)
=

=0
(
e
t uY

2
4
e
t uY

Ihr Betragsquadrat ist
:
¿
1
¿
e
=0
1
e

1
4
t uY

=
<
e

2
û
e ¿
2
s
s
e
t uY

2
k
¿
e
1
s>
Für = 0 ist sowohl der Vorfaktor wie auch jeder der Summanden gleich
eins, wir erhalten also ingesamt . Für = 0 und
ist die Summe
aber gleich null, denn
<
e
t uY
( )=
Kap. 8: Quadratische Reste
B
1
Bei den sogenannten SCHROEDER-Reflektoren werden die Abstände zur
Nullinie so gewählt, daß die Längen 2 gleich den quadratischen Resten modulo einer ungeraden Primzahl sind, die Decke ist also treppenförmig aufgebaut, wobei die -te Stufe eine Höhe proportional zu
2
mod hat. Das obige FOURIER-Integral läßt sich dann approximieren
durch die diskrete FOURIER-Transformierte
Zahlentheorie
c9
Qz
D
Rn
H OM K
HM
x
m K
G]
UQ
Ex K
x
x

n
Ú
Die direkte Verallgemeinerung auf Polynomringe ist sicherlich falsch:
ist zumindest für konstante Polynome über
Die Gleichung + =
einem algebraisch abgeschlossenen Körper immer lösbar: Für beliebig
vorgegebene Konstanten
muß man einfach =
+
setzen. Das sind allerdings, wenn wir uns wirklich für Polynome interessieren, uninteressante Lösungen, vergleichbar den Lösungen
+0 =
der klassischen FERMAT-Gleichung.
:
û
á
s
X
s ³ª

X\
Die Zerlegung in irreduzible Elemente ist bekanntlich nur eindeutig bis
auf Einheiten, und die Einheiten eines Polynomrings sind nach 1 aus
Kapitel 6 gerade die des Koeffizientenrings, hier also die von Null verschiedenen Elemente von . Durch Multiplikation mit einem solchen
Element kann man den höchsten Koeffizienten eines jeden Polynoms zu
eins machen; die irreduziblen Polynome über einem algebraisch abgeschlossenen Körper sind also bis auf Assoziiertheit genau die Polynome
mit
und sie entsprechen eindeutig den Elementen
der Form
von .
für
3 keine Lösung in ganzen Zahlen habe – außer natürlich den trivialen Lösungen, bei denen eine der beiden Variablen verschwindet. (Die
französische Übersetzung der Arithmetik, die er dabei benutzte, stammt
übrigens von BACHET DE MÉZIRIAC, denn wir bereits als Entdecker des
erweiterten EUKLIDischen Algorithmus kennen. Bekannt wurde FERMATs Randbemerkung erst, als dessen Sohn CLÉMENT-SAMUEL DE FERMAT 1670 die Arithmetik mit den Randbemerkungen seines fünf Jahre
zuvor gestorbenen Vaters veröffentlichte.)
=
r
Besonders einfach ist die Situation, wenn der Grundkörper algebraisch
abgeschlossen ist: Dann hat jedes nichtkonstante Polynom
[ ] eine
Nullstelle und ist damit durch
teilbar. In diesem Fall sind also
alle irreduziblen Polynome linear.
X
+

Zum Beweis der eindeutigen Primzerlegung in der Hauptordnung eines
Zahlkörpers mußten wir nur nachweisen, daß diese ein EUKLIDischer
Ring ist, denn wie wir aus Kapitel 6, 5 wissen, ist jeder EUKLIDische
Ring faktoriell. Da der Polynomring in einer Veränderlichen über einem
Körper EUKLIDisch ist, gilt also auch dort das Gesetz von der eindeutigen Primzerlegung, wobei die irreduziblen Polynome die Rolle der
Primzahlen einnehmen.
Als Beispiel für Parallelen und Unterschiede zwischen den beiden Situationen wollen wir die FERMAT-Vermutung betrachten. FERMAT schrieb
bekanntlich um 1637 an den Rand seiner Arithmetik des DIOPHANTOS
von Alexandrien, daß die Gleichung
Natürlich gibt es – zum Teil beträchtliche – Unterschiede zwischen
und dem Polynomring über einem Körper, aber gerade das macht die
Analogie so interessant: Da es für jeden der beiden Ringe ein eigenes
Instrumentarium gibt, kann man versuchen die damit bewiesenen Resultate auf den jeweils anderen Fall zu übertragen, was idealerweise zu
neuen Sätzen und sonst zumindest zu interessanten Vermutungen führt.
s
§1: Zahlen und Funktionen
¦
Den Primzahlen von entsprechen daher im Polynomring über einem
algebraisch abgeschlossenen Körper die Punkte der affinen Geraden
über , wir können also geometrisch argumentieren.
B
Es ist nic
möglich, e
Kubus in
Kuben ode
Biquadrat
zwei Biqu
und ganz
mein irgen
der unend
vielen Pot
zen jenseit
Quadrats
zwei eben
che zu teil
Ich habe
wunderbar
Beweis hi
gefunden,
der Rand
schmal, u
zu fassen.
¦
Kapitel 9
Die Fermat-Vermutung für Zahlen
und für Polynome
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
cB
á

^³
å
û

X
s
ªá
³
³
s
Auch wenn wir verlangen, daß die Grade aller beteiligter Polynome
positiv sein sollen, gibt es triviale Lösungen: Ist irgendein beliebiges
Polynom und sind
so, daß gilt + = , ist natürlich auch
( ) + ( ) = ( ) . Was wir höchstens erwarten können ist also das
folgende Analogon zur klassischen FERMAT-Vermutung:
X
³
j
©

s
ªj
©
³j

³©
³
Ú
s
ª

X\
s
û
cV
B
mit
n
û
³
á
:
á
³
<
á
³
<
n
:
eá
³
eá
e³
³
á
û
á
û\
á
û
û
á
û\
³
³
á
û
á
á
û\
á
û
á
û
³
û\
á
û\
á
á
á û
ª

û
.
³
û
á
û\
á
³
X
=
Für eine primitive Lösung (
) müssen bereits und teilerfremd
sein, denn ist ein gemeinsamer Teiler von und , so sind 2 und 2
beide durch 2 teilbar, also auch ihre Summe 2 . Wegen der eindeutigen
\
und
X
\
2
r
=
r
X
r
=
2
X
+
2
\
2
r
2
).
2
= ( + )(
r
r
ist, d.h.
2
=
2
r
\
und
=
Hier können wir leider nicht mehr ohne weiteres folgern, daß + und
teilerfremd und damit Quadrate sind: Sind und beide ungerade,
so sind ihre Summe und ihre Differenz beide gerade, also durch zwei
teilbar. Wir müssen uns also zunächst über die Paritäten von und
klarwerden.
2
=
.
r
2
2
Wie im Fall der Polynome gehen wir aus von einem primitiven Tripel
) und wenden die dritte binomische Formel an:
(
r
X
+
X
) als primitiv, wenn sie sich nicht als
Wir bezeichnen das Tripel (
Vielfaches eines anderen schreiben läßt, wenn also die Zahlen
keinen gemeinsamen Teiler haben. Sobald wir alle primitiven Lösungen
kennen, können wir daraus die gesamte Lösungsmenge konstruieren,
denn jede nichtprimitive Lösung ist Vielfaches einer primitiven.
r
r
=
+1
Versuchen wir das gleiche auch für den klassischen Fall! Wegen des Satzes von PYTHAGORAS bezeichnet man ein Tripel (
) ganzer Zahlen
mit 2 + 2 = 2 als pythagoräisches Tripel; für jedes solche Tripel gibt
es ein rechtwinkliges Dreieck mit Seitenlängen
und .
r
X
2
2
q
Wenn wir die Zerlegung von 2 in irreduzible Faktoren vergleichen mit
folgt somit, daß jeder irreduzible Faktor von
der von + und
entweder in + oder in
in gerader Potenz auftreten muß. Da
jede komplexe Zahl ein Quadrat ist, können wir auch eine eventuell
auftretende Einheit als Quadrat schreiben; somit gibt es zwei Polynome
[ ] derart, daß
=
qX
Wenn wir und als teilerfremd voraussetzen, sind auch und
teilerfremd und somit auch + und
, denn jeder gemeinsame
Teiler dieser beiden Polynome wäre auch ein Teiler ihrer Summe 2
sowie ihrer Differenz 2 .
2
+1;
= 2, ist also
q
).
1
=
2
qr
= ( + )(
X
r
X
2
X
2

2
á
\
X
(2 )2 +
1 und
X
Hier erhalten wir also mit geringem Aufwand eine vollständige Übersicht über alle Lösungen.
in der Tat ist
³
X\
=
= 2 und
=4
2
û
q
=

q
2
³
X
Betrachten wir zunächst den Fall der Polynome, wobei wir uns der
Einfachheit halber gleich auf Polynome mit komplexen Koeffizienten
beschränken wollen. Ist 2 + 2 = 2 , so ist
ª
á
Nehmen wir als ein einfaches Beispiel
û
§2: Pythagoräische Tripel
X
Für Körper positiver Charakteristik ist selbst das noch falsch: Über
+
= ( + )
einen Körper der Charakteristik ist schließlich
für beliebige Polynome und , und dasselbe gilt auch wenn man
den Exponenten durch eine seiner Potenzen ersetzt. Wir können also
höchstens für Körper der Charakteristik null erwarten, daß diese Ver3 richtig ist, und genau das werden wir
mutung für alle Exponenten
im übernächsten Paragraphen (zumindest für den Körper der komplexen
Zahlen) auch beweisen. Zunächst aber wollen wir schauen, was im bei
FERMAT ausgeschlossenen Fall des Exponenten zwei passiert.
B
Starten wir umgekehrt mit zwei beliebigen teilerfremden Polynomen
[ ], erhalten mit Hilfe dieser Formeln Lösungen der Gleichung 2 + 2 = 2 . Damit kennen wir alle teilerfremden Lösungen,
und die restlichen erhalten wir, indem wir alle drei Polynome mit einem
gemeinsamen Faktor multiplizieren.
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
c
Für
3 gibt es keine paarweise teilerfremden Polynome
positivem Grad, so daß
+
=
ist.
Zahlentheorie
c
r
X
r
X
r
X
h
h
³
á

r
X
h
h
cw
B
X
r
2
+4 +1
2 mod 4 ,
l
r
X
X
r
X
X
r
r
r
X
r
r
X
\
r
\
r
r
r
\
X

´
\
·r
?
X
·r
?
wobei die beiden Klammern teilerfremd sind, gibt es ganze Zahlen
so daß
+
+
2
2
=
=
und 2 =
2
2
ist, also
2
2
und
.
=2
= 2
= 2
,
û
á
³
³
û
³
á
:
:
´
³
´
û
·r
á
û
³á
deg ) + 1 .
á
³
n
:

X
Bevor wir diesen Satz beweisen, wollen wir uns zunächst überlegen, daß
daraus wirklich die FERMAT-Vermutung für Polynome folgt:
)
max(deg
á
û
0(
³
deg
Satz: Bezeichnet 0 ( ) die Anzahl verschiedener (komplexer) Nullstellen eines Polynoms , so gilt für drei nichtkonstante, teilerfremde
Polynome
mit + =
³

\
\
r

Umgekehrt definieren diese Formeln für beliebige ganze Zahlen und
ein primitives pythagoräisches Tripel, und bis auf die Reihenfolge von
³
,
:
2
á
+
2
: û ªá
³
³
= 22
X
û
2
Jetzt können wir wieder die eindeutige Primzerlegung anwenden: Da
³
á
und
dieselben
Der Beweis beruht darauf, daß die Polynome
Nullstellen wie
und haben, aber mit -facher Vielfachheit. Ist
+
= , so hat auch die Summe dieser beiden Potenzen im Vergleich zum Grad relativ wenige Nullstellen, diese aber mit mindestens
-facher Vielfachheit. Nach einem 1983 von R.C. MASON bewiesenen
Satz können in einer solchen Situation aber
und
nicht zu
wenige verschiedene Nullstellen haben:
á
Dividieren wir aber durch zwei, so können wir wie oben argumentieren,
) teilerfremd sind, denn jeder gemeinsame Teiler
daß 12 ( + ) und 12 (
wäre Teiler ihrer Summe und ihrer Differenz .
û
In diesem Abschnitt wollen wir, wie bereits angekündigt, sehen, daß es
für
3 keine zueinander teilerfremden Polynome positiven Grades
[ ] gibt mit
+
= .
§3: Der Satz von Mason
n
rechts das Produkt zweier gerader Zahlen. Im Gegensatz zur Situation
bei den Polynomen haben wir hier also keine teilerfremden Faktoren.
= ( + )(
2
X
2
r
=

B.L. VAN DER WAERDEN: Geometry and algebra in ancient civilizations,
Springer, 1983
Für so ein Tripel steht in der Gleichung
)
Somit muß in einem primitiven pythagoräischen Tripel (
) eine der
beiden Zahlen
gerade sein und die andere ungerade. Da mit (
)
auch (
) ein primitives pythagoräisches Tripel ist, genügt es, wenn
wir diejenigen Tripel betrachten, in denen gerade ist und ungerade.
Offensichtlich ist dann auch ungerade.
was unmöglich ist, da modulo vier nur null und eins Quadrate sind.
+4 +1+4
r
= (2 + 1)2 + (2 + 1)2 = 4
X
2
2
Insbesondere können daher und nicht beide gerade sein; mindestens
eine der beiden Zahlen muß ungerade sein. Andererseits können aber
auch nicht beide Zahlen ungerade sein: Wäre nämlich = 2 + 1 und
= 2 + 1, so wäre
B
und erhalten wir so auch jedes dieser Tripel, für = 2 und = 1
etwa das seit Jahrtausenden bekannte Tripel (4 3 5). Da sich in alten
Sakralbauten und -anlagen auch deutlich kompliziertere pythagoräische
Tripel nachweisen lassen, steht zu vermuten, daß die obige Konstruktion
möglicherweise bereits in einigen steinzeitlichen Kulturen zumindest
teilweise bekannt waren; entsprechende Thesen vertritt beispielsweise
bekannte algebraische Geometer B.L. VAN DER WAERDEN (1903–1996),
der nach seiner Emeritierung auch mehrere Bücher über die Geschichte
der Mathematik veröffentlichte. Mit pythagoräischen Tripel beschäftigt
er sich ausführlich in
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
c
Zerlegbarkeit einer natürlichen Zahl in Primfaktoren ist dann auch
und .
durch teilbar, d.h. ist ein gemeinsamer Teiler von
Zahlentheorie

³
:
³
n
³
û

:
û
á
³
á

³
:
:
û
³
û
á

û
Ä
á
¡

X
X
X
¡
û
û
á û
á

³ ³
:
n

á
³

X
û
³
á
³
û á\ :
û á\
¿
Øá \ á
@
\ Y
:Y
X\
oÀ¿
_
t
=1
<t
Y
Ø= ß
ß
=³ á
\
c
¿
_
\
¿
t
á û
@
³
û
ß
@
ß
á ³
=1
=1
.
jt
X\
=1
,
<t
=1
0
=
jt
<t
X\
¿
=
und
\ Y
:Y
X\
o ¿
t
c
=
)
jt
<t
X\
¿
=
(
c
=
=1
û
t
=
0
û
=
=
(

so ist also
(
o
0

=
c
Um
als Quotienten zweier neuer Polynome auszudrücken, schreiben
wir zunächst
=
mit
=
und
= .
Ø
)
,
e-
Zu einem vollständigen Beweis der FERMAT-Vermutung für Polynome fehlt nun nur noch der Beweis des Satzes von MASON. Die Idee
dazu ist folgende: Ist + = , so betrachten wir den Quotienten
im rationalen Funktionenkörper ( ). Da
und teilerfremd
sind, ist das ein gekürzter Bruch. Falls wir diesen auch in der Form
=
schreiben können mit Polynomen
vom Grad höchstens
) 1 schreiben können, so haben auch und höchstens den
0(
Grad 0 (
) 1. Wegen + = gilt dasselbe auch für , und damit
wäre der Satz bewiesen.
+1,
)
deg
(
deg
also
max deg
+
die logarithmische Ableitung eines Produkts ist also einfach die Summe
der logarithmischen Ableitungen der Faktoren. Daraus folgt sofort, daß
die logarithmische Ableitung eines Quotienten gleich der Differenz aus
logarithmischer Ableitung des Zählers und logarithmischer Ableitung
des Nenners ist. Schreiben wir
) =
Ø
Ø
(
die bei nichtkonstanten Polynomen nur für
2 gelten kann. Somit
gibt es für
3 keine nichtkonstanten teilerfremden Polynome, für die
+
=
ist.
á ³
Ø
0
ß
deg
\
Ø
Ø
deg
ß
Rechts stehen die logarithmischen Ableitungen von und
und Nenner, und damit lassen sich gut die Nullstellen von
Spiel bringen: Nach der LEIBNIZ-Regel ist bekanntlich
@
=Ø
@
á
³
3 max deg
.
û
Damit haben wir insgesamt die Ungleichung
ß
3 max deg ( ) deg ( ) deg ( ) ,
@
=
@
denn die Anzahl verschiedener Nullstellen einer Potenz eines Polynoms
ist gleich der Anzahl verschiedener Nullstellen des Polynoms selbst,
und die Nullstellenanzahl eines Polynom kann nicht größer sein als der
Grad.
=
+
ß
deg + deg + deg
û
Ø=
0
ß
=
=
@
0
Øß
folgt die neue Darstellung
+
Ø@
Andererseits ist aber

ß
+1.
á û
deg
Øß
deg

+1
der Ableitungen verschwindet
Ø@
@
max deg
³
á
deg
+
Øß
=
û
deg
ß
Dabei ist + = 1, die Summe
also. Aus der Gleichung
@
max deg
=
Ø@
0
³
+
B
mit
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
c
Für drei nichtkonstante teilerfremde Polynome
ist nach dem Satz von MASON
Zahlentheorie

û
³á
:
),
û\
³á
:
jt
X\
? t
©_
X\
o
o
? _
Y
X\
Y
so erhalten wir im Zähler wie auch im Nenner Summen von Polynomen
) 1, als Polynome vom Grad höchstens 0 (
) 1,
vom Grad 0 (
wie gewünscht. Damit ist der Satz von MASON bewiesen.
(

=1
û á\
³
:
³
³
:
³
W
³
»
o
Y
X\
³
³
³
Y
Y
X\
Y
W
W
³
:
³
,
o
W
W
o
:
:
Betrachten wir etwa die Gleichung 8 + 1 = 9. Offensichtlich sind die
drei Summanden teilerfremd zueinander, aber sowohl 8 als auch 9 sind
größer als 0 (8 1 9) = 2 3 = 6. Ganz so einfach geht es also nicht.
Angesichts der Komplexität des WILESschen Beweises fällt es schwer,
an einen so einfachen Beweis zu glauben, und in der Tat ist die obige
Aussage in dieser Form falsch:
:
<Y
Y
³
» < Y
Y
0 ( ) läßt sich der Satz von MASON folgender-
n
Mit Hilfe der Polynome
maßen umformulieren:
rX
.
=1

def
X
) =
X
r
r
0(
>
3 offensichtlich nicht möglich ist.
setzen wir
X
W
)3 ,
. Damit wäre
rX
=1
r
(
,
=

was für
r
rX
Der Vorteil des Polynoms 0 ( ) besteht darin, daß wir eine analoge
Definition leicht auch für natürliche Zahlen hinschreiben können: Für

) =
rX
(
)
wäre kleiner als
0(
rX
) gerade die im vorigen Paragraphen definierte
)=
0(
X
W
d.h. jede der drei Zahlen
0(

so daß der Grad von
Zahl 0 ( ) ist.
=1
o
=1
),
X
(
r
r
X
def

W
) =
:
0(
n
sei
r
X
)
¡
(
j
Damit haben wir eine sinnvolle Aussage über natürliche Zahlen gefunden, die – falls sie korrekt ist – sofort die FERMAT-Vermutung impliziert:
mit der Eigenschaft, daß
Gibt es nämlich drei natürliche Zahlen
+ =
für ein
3, so gibt es auch drei zueinander teilerfremde
Zahlen
mit dieser Eigenschaft: Wir müssen einfach die drei Zahlen durch ihren größten gemeinsamen Teiler kürzen. Alsdann muß, falls
kleiner sein
obige Aussage richtig ist, jede der drei Potenzen
als 0 (
). Nun ist aber

X
0
©
r
=
W

Dazu ordnen wir einem Polynom anstelle der Anzahl 0 ( ) seiner
(verschiedenen) Nullstellen ein Polynom 0 ( ) dazu, das genau diese
Nullstellen mit jeweils der Vielfachheit eins haben soll: Für
©j
A1: Ist = + für drei zueinander teilerfremde natürliche Zahlen
so ist jede der drei Zahlen kleiner als 0 ( ).
j
©

Da natürliche Zahlen weder Grade noch Nullstellen haben, müssen wir
dazu den Satz von MASON zunächst einmal so umformulieren, daß wir
eine Aussage bekommen, die ein sinnvolles Analogon für natürliche
Zahlen hat.
Der Erfolg des Satzes von MASON beim Beweis der FERMAT-Vermutung
für Polynome legt es nahe, etwas ähnliches auch im klassischen Fall zu
versuchen.
Gemäß dieser Philosophie können wir nun probeweise die folgende
Aussage formulieren:
Á
§4: Die abc-Vermutung
In dieser Formulierung kommt immer noch der Grad vor, für den wir
bei natürlichen Zahlen keine Verwendung haben. Betrachten wir aber
den Grad lediglich als eine Methode, einem Polynom eine Zahl aus 0
zuzuordnen, so können wir, wenn wir bereits natürliche Zahlen haben,
einfach ganz auf ihn verzichten; falls wir ganze Zahlen betrachten, liegt
es nahe, ihn durch den Betrag zu ersetzen.
û
³á
W
(
³
á
=1
û
(
³
Gilt für drei teilerfremde Polynome
und die Gleichung + = ,
so hat jedes der drei Polynome einen kleineren Grad als das Polynom 0 (
).
á
=1
B
=
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
w
û
Erweitern wir Zähler und Nenner mit dem Hauptnenner aller Summan)
den erweitern, d.h. mit dem Polynom vom Grad + + = 0 (
Zahlentheorie
9
?
?
?
W
W
B
w
8
Da der Grad eines Polynoms nicht durch konstante Faktoren beeinflußt
wird, könnte man versuchen, als richtiges“ Analogon zum Satz von MA”
SON eine abgeschwächte Aussage zu nehmen, die nur eine Abschätzung
bis auf einen konstanten Faktor enthält, etwa
Zahlentheorie
©
j

j
©

ÿ
© j
W
ÿ?
©
ÿ

j
©
j
©
ÿ

j
j
©

j
©

:
å
å

å \

W
ÿ
¡
å \
W
1 = 32
1
åç
+ 1 32
p
åç
å
åç

å \

Wir wollen uns überlegen, daß sie zumindest für große Exponenten
die FERMAT-Vermutung impliziert.
Diese Vermutung ist, im Gegensatz zur FERMAT-Vermutung, bis heute
offen.
© j
W
1
0 gibt es
abc-Vermutung von MASSER und OESTERLÉ: Zu jedem
eine Konstante ( ), so daß für alle teilerfremden natürlichen Zahlen
mit + = gilt: Jede der drei Zahlen
ist kleiner oder gleich
( )
)1+ .
0(

32 = 32
1 .
Auf der Suche nach einem Analogon für den Satz von MASON müssen
wir daher noch weiter abschwächen. Eine Möglichkeit dazu ist die 1986
aufgestellte
j ½
1) abzuschätzen, beachten wir, daß gilt
1) .
2
j
©

2
0 (3
2
0 (3
1)
¾
Um

Falls A3 korrekt wäre, müßte nach Gleichung ( ) also gelten
3
32
(32
1) für alle .
2
Das kann aber unmöglich der Fall sein, denn für hinreichend große
ist der Faktor 32 kleiner als eins, so daß 32 echt kleiner als sich selbst
sein müßte.
å
¡
A
Wäre sie richtig, müßte für jedes
1
32
1 32
1
,
=
2 +1
2
denn das Produkt aller ungerader Primteiler kann höchstens gleich
1) 2 sein.
(32
2
0 (3
å \
W

= 32 . ( )
å \
=
ÿ
å \
= 1 und

å \
?
¡
1
?
\
å
å
= 32
??
åç
p
mit
¥
¥¥
:
=

å \
: W

å \
+
åç
32 + 1 31 + 1 31

In der letzten Zeile steht ein Produkt aus + 1 geraden Zahlen; somit ist
32
1 durch 2 +1 teilbar. Das Produkt 0 (32
1) aller verschiedener
Primteiler von 32
1 erfüllt daher die Ungleichung
+1

\
:
Betrachten wir die Gleichung
åç
+ 1 32
\

Wie wir gleich sehen werden, würde hieraus die FERMAT-Vermutung
zumindest für alle hinreichend großen Exponenten folgen, allerdings
ist die Aussage, so wie sie dasteht, leider immer noch falsch:
1
åç
= 32
3
åç
+ 1 32
1

A3: Es gibt eine Konstante , so daß gilt: Ist = + für drei zueinander
teilerfremde natürliche Zahlen
, so ist jede der drei Zahlen kleiner
(
als
).
0
åç

+1 3
3
B
Wir müssen die Aussage also noch einmal umformulieren:
åç

+1 3

= 3
2
w
Diese Aussage ist trivialerweise richtig: Wir müssen nur eine Konstante
wählen, die größer ist als das Maximum von
und . Leider
ist sie auch völlig nutzlos, denn solange die Konstante von
und
abhängen darf, haben wir keine Chance, damit die FERMAT-Vermutung
zu beweisen.
2

2
2
\
2
+ 1 32
1
åç

= 32
åç

2
2

=
1
åç

\
+ 1 32
+ 1 32

1
1

,
A2: Ist = + für drei zueinander teilerfremde natürliche Zahlen
so gibt es eine Konstante derart, daß jede der drei Zahlen kleiner ist
).
als
0(
å \
32
åç

1 = 32
erhalten wir
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
B
:
Zahlentheorie
r
A
B
w
V
ÿ

r
X
W
¾
ÿ
3 3
¡
)
½
rX
( )3 .
¾
ÿ
ÿ
¾
½
¡

rX
½
rX
¾

¡
r
X
( )3 ist eine feste Zahl; es gibt daher einen Exponenten derart, daß
2
( )3 ist. Da das Produkt
auf jeden Fall nicht kleiner als
3 3
oder
+3+3
zwei sein kann, ist dann für
insbesondere
(
) 3 3
( )3 .
oder (
¾
)
)1+

ÿ
¾
ÿ Ó
A
A
A
¾

¾
ÿ
rX
\
:\
½

¾
A

rX
+ 3 + 3 kann daher die FERMAT-Gleichung
Für Exponenten
keine Lösung in natürlichen Zahlen haben.
r
A
¾
:

X
r
X
ÿ
r
:
\
X
¾
¾
Ú
³
Falls 3 ( ) nur zwei verschiedene Nullstellen hat, muß eine der Nullstellen doppelt sein, und bei diesem -Wert überkreuzt sich die Kurve;
wir reden dann von einer Knotenkurve.
X
Hat schließlich 3 ( ) nur eine, dafür aber dreifache Nullstelle, entsteht
eine Spitzenkurve.
X
³
© j
X
r
X
r
:
:
v
n

z
s
{}
z|
{
z
wyx
vw
v
w
rs
s tu

~
~
{

=
der FERMAT-Gleichung mit teilerfremden natürlichen Zahlen
und
5. (Den Fall = 4 hat, wie wir gesehen haben, bereits FERMAT
selbst gelöst, den Fall = 3 nicht viel später EULER.) Wenn es eine
solche Lösung gibt, dann gibt es auch eine Lösung für einen Primzahlexponenten , denn ist ein Primteiler von und =
, so ist auch
+
=
FREY betrachtete eine (hypothetische) Lösung
X
v
-Vermutung
Da die FERMAT-Vermutung seit 1994 bewiesen ist, die
aber immer noch offen, mußte der Beweis der FERMAT-Vermutung
³
X

§5: Die Frey-Kurve
n
X
Der Artikel ist (wie die gesamte Zeitschrift Elemente der Mathematik)
unter
frei zugänglich.
³
-Vermutung, Elemente der Mathematik 48 (1993),
³
A
SERGE LANG: Die
89-99
X
Für weitere Informationen zu 3 und S4 sei auf einen Vortrag verwiesen,
den SERGE LANG in Zürich vor einem allgemeinen“ Publikum hielt und
”
dem ich hier im wesentlichen gefolgt bin:
³
Ob und gegebenenfalls welche konkreten Schranken für man damit
erreichen kann, hängt natürlich davon ab, wie ( ) von abhängt. Dazu
gibt es im Augenblick nicht einmal Vermutungen.
Elliptische Kurven sind ebene Kurven, die durch eine Gleichung der
Form 2 = 3 ( ) beschrieben werden mit einem Polynom 3 ( ) vom
Grad drei mit drei verschiedenen Nullstellen. Da das Quadrat einer
reellen Zahl nicht negativ sein kann, gibt es im Reellen nur Punkte
mit -Koordinaten, für die 3 ( )
0 ist. Im Falle 3 ( )
0 erfüllt
die obige Gleichung, die Kurve ist also symmetrisch zur
mit auch
-Achse.
Der Anstoß kam 1984 von GERHARD FREY, damals Professor an der
Universität Saarbrücken, wo er auf dem Gebiet der Arithmetik elliptischer Kurven arbeitete. Heute leitet er die Arbeitsgruppe Zahlentheorie
am Institut für experimentelle Mathematik der (inzwischen mit Duisburg
vereinigten) Universität Essen und beschäftigt sich mit der Anwendung
elliptischer (und anderer) Kurven in der Kryptologie.

)3(1+
W
( )(
natürlich andere Wege gehen. Die meisten dieser Wege führen in Gebiete, die weit jenseits dessen liegen, was selbst ein guter auf Zahlentheorie spezialisierter Diplom-Mathematiker im Laufe seines Studiums
lernen kann, aber zumindest die Grundidee der
-Vermutung, daß
man nämlich Summenbeziehungen zwischen großen Zahlen nicht ohne
ein gewisses Minimum an verschiedenen Primfaktoren realisieren kann,
spielt in modifizierter Weise in der Tat eine große Rolle.
©j
( )3 (
½
¾
sind. Für ihr Produkt gilt daher
)1+
ÿ
0(
¾
( )
¾
0(
X
( )
B
w
Dazu betrachten wir eine Lösung
+
=
mit o.B.d.A. teilerfremund wählen uns irgendein
0. Nach
den natürlichen Zahlen
der
-Vermutung gibt es dazu eine Konstante ( ), so daß
und
allesamt höchstens gleich
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
c
Ó
j
Ó
X

:
B
w
w
0.5
1
2 )(
<
®
®
(
r

®
3)
©

\
®

\
<
)
stets von Null verschieden; modulo verschwindet sie genau dann, wenn
ein Teiler von ist, d.h., wenn eine der drei Zahlen
teilt.
)=

(
+
)( + ) ist die Diskriminante

)
=

)(0
= (
X

= (0
2
<
X\

)
Speziell für die FREY-Kurve

y2 = x3
®
von Null verschieden ist. Modulo definiert sie eine elliptische Kurve,
wenn auch modulo noch von Null verschieden ist, wenn also kein
Teiler von ist.
X\
©
© j
-2
2
X
X

-1
1.5
X
X\
1
r
X
Die obige Gleichung definiert genau dann eine elliptische Kurve, wenn
alle drei Nullstellen verschieden sind, wenn also die sogenannte Diskriminante
=( 1
2 )( 1
3 )( 2
3)
X
X
0.5
1 )(
<
X\
<
0
)
X
X
1
)( +
X
Spitzenkurve
=(
r
X
2
2
X\
eine Kurvengleichung mit ganzen Zahlen 1 2 3 , so können wir für
und auch ganze Zahlen einsetzen und diese Gleichung modulo
betrachten. Wir sprechen wieder von einer elliptischen Kurve, einer
Knotenkurve oder einer Spitzenkurve je nachdem wie viele der Nullstellen 1 2 und 3 modulo noch verschieden sind.
Ist allgemein
X
y2 = x(x-2)2
r
<
-2
3.5
X
X\
-1
3
X\
X
2.5
= (

zu, die er aber nicht nur über den reellen oder komplexen Zahlen betrachtet, sondern auch über den ganzen Zahlen modulo einer Primzahl :
2
X
X\
2
:

X
0
:
Zur obigen Lösung definiert FREY die elliptische Kurve
v
Knotenkurve
v
2
:
-2
v
y2
4
<
1
3
= x(x-2)(x-3)
2
n
-1
1
v
0
©

j
1
v
eine Lösung, und auch
sind teilerfremd. Auch für genügt es, den
5 zu betrachten, denn wenn wir für den größten Primteiler
Fall
von nehmen, bedeutet = 2, daß eine Zweierpotenz sein muß,
was für = 2 kein Widerspruch zur FERMAT-Vermutung ist und für
= 4 und damit auch jede höhere Zweierpotenz nach FERMATs Beweis
ausgeschlossen ist. Für den Fall = 3 kann wieder auf EULER verwiesen
werden.
B
Elliptische Kurve
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome
w
2
Zahlentheorie

j
©

© j
< <
v
Da die Diskriminante als -te Potenz von
verglichen mit
ziemlich groß ist, heißt das, daß es im Verhältnis zur Größe der Diskriminante
j
©

B
w
© j
Einen Anhaltspunkt zum Beweis dieser Nichtexistenz liefert eine Vermutung, die auf um 1955 durchgeführte Rechnungen und Spekulationen des japanischen Mathematikers TANIYAMA zurückgeht und heute
je nach Autor mit irgendeiner Kombination der drei Namen TANIYAMA, SHIMURA und WEIL bezeichnet wird. Danach sollte es zu einer
mit ganzzahligen Koeffizienten eine surjektive
elliptischen Kurve
Abbildung 0 ( )
von einer sogenannten Modulkurve 0 ( )
auf geben, wobei im wesentlichen das Produkt aller Primzahlen
ist, modulo derer keine elliptische Kurve mehr ist. Wie FREYs Rechnungen zeigen, hat seine Kurve vor diesem Hintergrund sehr seltsame
Eigenschaften.
W
ú
ú
<

â W
W

ú
ú
SERRE stellte jedoch noch zusätzlich seine sogenannte -Vermutung auf,
SERRE erhielt übrigens 2002 den ersten der vom norwegischen Parlament gestifteten ABELPreise, die seither zur Erinnerung an den norwegischen Mathematiker NIELS HENRIK ABEL
(1802–1829) jedes Jahr in gleicher Weise und gleicher Ausstattung wie die Nobel-Preise
für hervorragende Leistungen auf dem Gebiet der Mathematik vergeben werden.

1987 verschärfte der französische Mathematiker JEAN-PIERRE SERRE
die TANIYAMA-Vermutung, und aus dieser stärkeren Vermutung folgt
in der Tat, daß die FREY-Kurve nicht existieren kann. Leider ist die
SERREsche Vermutung bis heute noch nicht bewiesen.

Damit war also die FERMAT-Vermutung zurückgeführt auf die TANIDiese Vermutung schließlich (die für die weitere mathematische Forschung erheblich wichtiger ist als die FERMATVermutung) bewies WILES 1994.

GERHARD FREY: Links between stable elliptic curves and certain diophantine equations, Annales Universitatis Saraviensis, Series Mathematicae, 1 (1), 1986

YAMA-Vermutung.

Als er damals hier in Mannheim über seine Resultate vortrug, meinte er
noch, er glaube nicht, daß die FERMAT-Vermutung so bewiesen werde;
er veröffentlichte sein Ergebnis auch nicht in einer der großen internationalen Fachzeitschriften, sondern als Band 1, Heft 1 einer gerade
neu gestarteten Schriftenreihe der Universität Saarbrücken, in einfachster Aufmachung xerographiert mit einem nur schwarz-weiß gestalteten
Karton als Umschlag:

und auch aus der TANIYAMA-Vermutung zusammen mit der -Vermutung
folgt die Nichtexistenz der FREY-Kurve und damit die FERMAT-Vermutung. Diese -Vermutung bewies KENNETH RIBET von der Universität
Berkeley 1990. Die Grundidee seines Beweises läßt sich interpretieren als eine Art zweidimensionale Version eines Beweises von ERNST
EDUARD KUMMER (1810–1893), der die FERMAT-Vermutung 1846 für
sogenannte reguläre Primzahlen als Exponenten bewies. (Eine Primzahl
heißt regulär, wenn die Hauptordnung des Körpers [ ] der -ten
Einheitswurzeln faktoriell ist.) Der Beweis von RIBET ist allerdings erheblich aufwendiger.
Kap. 9: Die Fermat-Vermutung für Zahlen und für Polynome

erstaunlich wenige Primzahlen gibt, modulo derer wir keine elliptische
Kurve erhalten; wir sind also wieder einer ähnlichen Situation wie bei
-Vermutung. Die FREYsche Kurve sieht damit so aus, als sei sie
der
fast zu schön, um wirklich zu existieren.
Zahlentheorie