Zahlentheorie - Lehrstuhl VI für Mathematik

Vorlesung an der Universität Mannheim
im Frühjahrssemester 2007
Zahlentheorie
Wolfgang K. Seiler
Biographische Angaben von Mathematikern beruhen größtenteils auf
den entsprechenden Artikeln im MacTutor History of Mathematics ar), von wo auch
chive (
die meisten abgedruckten Bilder stammen. Bei noch lebenden Mathematikern bezog ich mich, soweit möglich, auf deren eigenen Internetauftritt.
Falls genügend viele Hinweise eingehen, werde ich von Zeit zu Zeit
Listen mit Berichtigungen und Verbesserungen zusammenstellen. In
der online Version werden natürlich alle bekannten Fehler korrigiert.
Das Skriptum sollte daher mit Sorgfalt und einem gewissen Mißtrauen gegen seinen Inhalt gelesen werden. Falls Sie Fehler finden, teilen Sie mir dies bitte persönlich oder per e-mail ([email protected]) mit. Auch wenn Sie Teile des Skriptums unverständlich
finden, bin ich für entsprechende Hinweise dankbar.
Dieses Skriptum entsteht parallel zur Vorlesung und soll mit möglichst
geringer Verzögerung erscheinen. Es ist daher in seiner Qualität auf keinen Fall mit einem Lehrbuch zu vergleichen; insbesondere sind Fehler
bei dieser Entstehensweise nicht nur möglich, sondern sicher. Dabei
handelt es sich wohl leider nicht immer nur um harmlose Tippfehler,
sondern auch um Fehler bei den mathematischen Aussagen. Da mehrere
Teile aus anderen Skripten für Hörerkreise der verschiedensten Niveaus
übernommen sind, ist die Präsentation auch teilweise ziemlich inhomogen.
5: Anwendungen quadratischer Reste . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
a) Münzwurf per Telephon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
b) Akustik von Konzerthallen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
8: Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
7: Anwendungen bei SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6: DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
KAPITEL VI: QUADRATISCHE RESTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
1: Das LEGENDRE-Symbol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2: Das quadratische Reziprozitätsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . 129
3: Das JACOBI-Symbol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
4: Berechnung der modularen Quadratwurzel . . . . . . . . . . . . . . . . . . . 137
5: Verfahren mit diskreten Logarithmen . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5: Kettenbruchentwicklung quadratischer Irrationalitäten . . . . . . . . 116
6: Die PELLsche Gleichung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
4: Wie groß sollten die Primzahlen sein? . . . . . . . . . . . . . . . . . . . . . . . . . 46
38
38
40
41
44
3: Weitere Anwendungen des RSA-Verfahrens . . . . . . . . . . . . . . . . . . .
a) Identitätsnachweis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
b) Elektronische Unterschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
c) Blinde Unterschriften und elektronisches Bargeld . . . . . . . . . . . . . .
d) Bankkarten mit Chip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2: Das RSA-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
1: New directions in cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
KAPITEL V: QUADRATISCHE FORMEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
1: Summen zweier Quadrate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
2: Anwendung auf die Berechnung von . . . . . . . . . . . . . . . . . . . . . . . 104
3: Der Satz von LAGRANGE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4: Quadratische Formen und Matrizen . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
KAPITEL II: ANWENDUNGEN IN DER KRYPTOGRAPHIE . . . . . . . . . . . . . 30
6: Einheiten in quadratischen Zahlkörpern . . . . . . . . . . . . . . . . . . . . . . . . 92
7: Quaternionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7: Prime Restklassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
6: Der chinesische Restesatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
5: Kongruenzenrechnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4: Die multiplikative Struktur der ganzen Zahlen . . . . . . . . . . . . . . . . . 14
3: Der Aufwand des EUKLIDischen Algorithmus . . . . . . . . . . . . . . . . . . . 9
2: Der erweiterte EUKLIDische Algorithmus . . . . . . . . . . . . . . . . . . . . . . . 4
1: Der Euklidische Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
KAPITEL I: GANZE ZAHLEN UND IHRE PRIMZERLEGUNG . . . . . . . . . . . . 1
73
73
77
78
82
83
KAPITEL IV: QUADRATISCHE ZAHLKÖRPER . . . . . . . . . . . . . . . . . . . . . . . .
1: Grundbegriffe der Ringtheorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2: Die Elemente quadratischer Zahlkörper . . . . . . . . . . . . . . . . . . . . . . . .
3: Die Hauptordnung eines Zahlkörpers . . . . . . . . . . . . . . . . . . . . . . . . . .
4: Normen und Spuren in quadratischen Zahlkörpern . . . . . . . . . . . . .
5: EUKLIDische Ringe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inhalt
58
58
61
65
71
KAPITEL III: KETTENBRÜCHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1: Der Kettenbruchalgorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2: Geometrische Formulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3: Optimale Approximation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4: Eine kryptographische Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
KAPITEL VII: PRIMZAHLEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
1: Das Sieb des ERATOSTHENES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
2: Der FERMAT-Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
3: Der Test von MILLER und RABIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
4: Der Test von Agrawal, Kayal und Saxena . . . . . . . . . . . . . . . . . . . . . 161
KAPITEL VIII: FAKTORISIERUNGSVERFAHREN . . . . . . . . . . . . . . . . . . . . . 184
5: Die Verteilung der Primzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
1: Die ersten Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
a) Test auf Primzahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
b) Abdividieren kleiner Primteiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
2: Die Verfahren von POLLARD und ihre Varianten . . . . . . . . . . . . . . . 187
a) Die Monte-Carlo-Methode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
1)-Methode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
b) Die (
c) Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
3: Das Verfahren von Fermat und seine Varianten . . . . . . . . . . . . . . . 194
.
Das dem EUKLIDischen Algorithmus zugrunde liegende Prinzip der
Wechselwegnahme oder wechselseitigen Subtraktion war in der griechischen Mathematik spätestens gegen Ende des fünften vorchristlichen Jahrhunderts bereits wohlbekannt unter dem Namen Antanairesis
) oder auch Anthyphairesis ( `
), und auch
(`
der Algorithmus selbst geht mit ziemlicher Sicherheit, wie so vieles
in den Elementen, nicht erst auf EUKLID zurück: Seine Elemente waren das wohl mindestens vierte Buchprojekt dieses Namens, und alles
spricht dafür, daß er vieles von seinen Vorgängern übernommen hat. Seine Elemente waren dann aber mit Abstand die erfolgreichsten, so daß
die anderen in Vergessenheit gerieten und verloren gingen und EUKLID
schließlich als der Stoichist bekannt wurde nach dem griechischen Titel
˜ der Elemente.
Aus heutiger Sicht erscheint hier die Voraussetzung, daß die betrachteten
Größen nicht teilerfremd sein dürfen, seltsam. Sie erklärt sich daraus,
daß in der griechischen Philosophie und Mathematik die Einheit eine
Sonderrolle einnahm und nicht als Zahl angesehen wurde: Die Zahlen
begannen erst mit der Zwei. Dementsprechend führt EUKLID in Proposition 1 des siebten Buchs fast wörtlich dieselbe Konstruktion durch für
den Fall von teilerfremden Größen. Schon wenig später wurde die Eins
auch in Griechenland als Zahl anerkannt, und für uns heute ist die Unterscheidung ohnehin bedeutungslos. Wir können die Bedingung, daß
der ggT ungleich eins sein soll, also einfach ignorieren.
!
"
!
H
Z
B
E
+
A
aber AB nicht mißt, und man nimmt bei AB,
abwechselnd
Wenn
immer das kleinere vom größeren weg, dann muß (schließlich) eine Zahl
übrig bleiben, die die vorangehende mißt. Die Einheit kann nämlich nicht
übrig bleiben; sonst müßten AB
gegeneinander prim sein, gegen die
Voraussetzung. Also muß eine Zahl übrig bleiben, die die vorangehende
mißt.
lasse, indem es BE mißt, EA, kleiner als sich selbst übrig; und EA
lasse, indem es Z mißt, Z , kleiner als sich selbst übrig; und Z messe AE.
Wenn
hier AB mißt – sich selbst mißt es auch – dann ist
gemeinsames
AB. Und es ist klar, daß es auch das größte ist, denn keine Zahl
Maß von
größer
kann
messen.
B
A
Die zwei gegebenen Zahlen, die nicht prim, gegeneinander sind, seien
. Man soll das größte gemeinsame Maß von AB
finden.
AB
Zu zwei gegebenen Zahlen, die nicht prim gegeneinander sind, ihr größtes
gemeinsames Maß zu finden.
Bei EUKLID, in Proposition 2 des siebten Buchs seiner Elemente, wird
er so beschrieben:
§1: Der Euklidische Algorithmus
Da
AE mißt und AE Z, muß Z auch Z messen; es mißt aber auch
messen.
mißt aber BE; also mißt
sich selbst, muß also auch das Ganze
Z auch BE; es mißt aber auch EA, muß also auch das Ganze BA messen.
; Z mißt also AB und
; also ist Z gemeinsames
Und es mißt auch
Maß von AB,
. Ich behaupte, daß es auch das größte ist. Wäre nämlich
Z nicht das größte gemeinsame Maß von AB,
, so müßte irgendeine
messen. Dies geschehe; die Zahl
Zahl größer Z die Zahlen AB und
sei H. Da H dann
mäße und
mißt, mäße H auch BE; es soll aber
auch das Ganze BA messen, müßte also auch den Rest AE messen. AE mißt
aber Z; also müßte H auch Z messen; es soll aber auch das Ganze
messen, müßte also auch den Rest Z messen, als größere Zahl die kleinere;
dies ist unmöglich. Also kann keine Zahl größer Z die Zahlen AB und
messen; Z ist also das größte gemeinsame Maß von AB,
; dies hatte man
beweisen sollen.
Kapitel 1
Ganze Zahlen und ihre Primzerlegung
Kap. 1: Ganze Zahlen und ihre Primzerlegung
#'&
$%
#
(*)
!
#'&
$%
#
.#
-
,#
&
"
0
0
1
3
2
3
2
1
0
3 8
9
1
1
054
1
3
0
3
7
6
6
4
1
054
1
054
1
0
3 8
3 8
3 8
9
3 8
3 8
oder
+1
=
1
,
3 8
9
3 8
2 8
9
3 8
3 8
3 8
3 8
2 8
3 8
9
3 8
3 8
+1
1
3 8
3 8
9
so daß jeder gemeinsame Teiler von und +1 auch ein Teiler von
auch
ist und umgekehrt jeder gemeinsame Teiler von
1 und
+1
6
+
9
=
3 8
1
3 8
4
Da der Divisionsrest +1 stets echt kleiner ist als sein Vorgänger
und eine Folge immer kleiner werdender nichtnegativer ganzer Zahlen
notwendigerweise nach endlich vielen Schritten die Null erreicht, muß
der Algorithmus in der Tat stets enden. Daß er mit dem richtigen Ergebnis
endet, ist ebenfalls leicht zu sehen, denn im -ten Schritt ist
3 8
EUKLID behauptet, daß dieser Algorithmus stets endet und daß das Ergebniss der größte gemeinsame Teiler der Ausgangszahlen
ist, d.h.
die größte natürliche Zahl, die sowohl als auch teilt.
3 8
1: Falls
verschwindet, endet der Algorithmus mit
;
andernfalls
sei +1 der Rest bei der Division von
1
1
9
Schritt
ggT( ) =
durch .
3 8
= .
9
1
3 8
und
054
=
1
0
3 8
4
Schritt 0: Setze
3 8
.
9
Gegeben seien zwei natürliche Zahlen
3 8
Sobald man weiß, daß zwölf Deniers ein Sou sind (und zwanzig Sous
ein Pfund), kann man dies in ein lineares Gleichungssystem übersetzen:
CLAUDE GASPAR BACHET SIEUR DE MÉZIRIAC (15811638) verbrachte den größten Teil seines Lebens in seinem Geburtsort Bourg-en-Bresse. Er studierte bei den
Jesuiten in Lyon und Milano und trat 1601 in den Orden
ein, trat aber bereits 1602 wegen Krankheit wieder aus
und kehrte nach Bourg zurück. Sein Buch erschien 1612;
1959 brachte der Verlag Blanchard eine vereinfachte
Ausgabe heraus. Am bekanntesten ist BACHET für seine
lateinische Übersetzung der Arithmetika von DIOPHANTOS. In einem Exemplar davon schrieb FERMAT seine
Vermutung an den Rand. Auch Gedichte von BACHET
sind erhalten. 1635 wurde er Mitglied der französischen
Akademie der Wissenschaften.
(Bei einem Bankett sind 41 Personen, Männer, Frauen und Kinder, die
zusammen vierzig Sous ausgeben, aber jeder Mann zahlt vier Sous, jede
Frau drei Sous und jedes Kind 4 Deniers. Ich frage, wie viele Männer,
wie viele Frauen und wie viele Kinder es sind.)
Il y a 41 personnes en un banquet tant hommes que femmes et enfants
qui en tout dépensent 40 sous, mais chaque homme paye 4 sous, chaque
femme 3 sous, chaque enfant 4 deniers. Je demande combien il y a
d’hommes, combien de femmes, combien d’enfants.
Mehr als zwei Tausend Jahre nach der Entdeckung von Anthyphairesis und EUKLIDischem Algorithmus, 1624 in Bourg-en-Bresse, stellte
BACHET DE MÉZIRIAC in der zweiten Auflage seines Buchs Problèmes
plaisants et délectables qui se fonts par les nombres Aufgaben wie die
folgende:
§2: Der erweiterte Euklidische Algorithmus
1
EUKLIDs Konstruktion wird dann zu folgendem Algorithmus:
0 4
teilt. Somit haben
und
1 diesselben gemeinsamen Teiler wie
und +1 , insbesondere haben sie denselben größten gemeinsamen Teiler.
)
Durch Induktion folgt, daß in jedem Schritt ggT(
1 ) = ggT(
ist. Im letzten Schritt ist = 0; da jede natürliche Zahl Teiler der Null
), wie behauptet.
ist, ist dann
1 = ggT(
1 ) = ggT(
Kap. 1: Ganze Zahlen und ihre Primzerlegung
3 8
Wenn wir nicht mit Zirkel und Lineal arbeiten, sondern rechnen, können
wir die mehrfache Wegnahme“ einer Strecke von einer anderen einfa”
cher beschreiben durch eine Division mit Rest: Sind und die (als
natürliche Zahlen vorausgesetzten) Längen der beiden Strecken und ist
: = Rest , so kann man mal die Strecke von wegnehmen,
und übrig bleibt eine Strecke der Länge .
/
Es ist nicht ganz sicher, ob EUKLID wirklich gelebt hat;
es ist möglich, wenn auch sehr unwahrscheinlich, daß
EUKLID wie BOURBAKI einfach ein Pseudonym für eine
Autorengruppe ist. (Das nebenstehende Bild aus dem
18. Jahrhundert ist reine Phantasie.) EUKLID ist vor allem bekannt als Autor der Elemente, in denen er die Geometrie seiner Zeit systematisch darstellte und (in gewisser Weise) auf wenige Definitionen sowie die berühmten fünf Postulate zurückführte; sie entstanden um 300
v. Chr. EUKLID arbeitete wohl am Museion in Alexandrien; außer den Elementen schrieb er noch ein Buch
über Optik und weitere, teilweise verschollene Bücher.
Zahlentheorie SS 2007
:
3 8
3 8
;
>
=
<
<
Ist die Zahl der Männer, die der Frauen und
muß gelten + + = 41 und 4 + 3 + 13 = 40.
Zahlentheorie SS 2007
die der Kinder, so
>
=
<
=
>
>
11
8
79
+
=
3
3
3
11 + 8 = 79 .
=
<
=
<
=
Bei einer solchen Gleichung ist a priori nicht klar, ob es überhaupt
Lösungen gibt: Die Gleichung 10 + 8 = 79 beispielsweise kann keine
haben, denn für ganze Zahlen
ist 10 + 8 stets gerade. Allgemein
kann
+
= höchstens dann ganzzahlige Lösungen haben, wenn
der ggT von und Teiler von ist.
oder
Zur Lösung kann man zunächst die erste Gleichung nach auflösen und
in die zweite Gleichung einsetzen; dies führt auf die Gleichung
9
3 8
1
+
+1
,
9
3 8
3 8
9
3 8
3 8
2 8
2 8
3 8
9
3 8
<
3 8
1
3 8
0
1
0
=
<
=
< 4
?
?
1
1
0
<
=
0
0
1
3
3
=
< 4
1
0 4
1
0
<
=
1
0
=
=
= 1 und
und
1
1
+
=
0
.
= 0. Mit = 1
1
C 8
0
8
3 8
1
C 8
9
0
9
8
9
3 8
7
6
6
4
054
3 8
9
3 8
2 8
=
1
C 8
0
2 8
8
3 8
8
2 8
9
+1
0
=
+
C 8
.
9
1
1)
1
)
;
0
C 8
9
C 8
2 8
C 8
2 8
8
C 8
8
9
3 8
9
2 8
8
8
Genau wie oben folgt, daß der Algorithmus für alle natürlichen Zahlen
und endet und daß am Ende der richtige ggT berechnet wird; außerdem
und
1
9
+(
1
0
1)
)
C 8
1
+1
2 8
=(
+
3 8
(
3 8
=
.
.
mit dem Ergebnis
1
9
man setze also
1
9
+1
3 8
+
3 8
=
8
(
9
1
9
1
=
8
+1
+
9
Dann ist
1
0
3 8
mit Rest durch
1
=
C 8
)=
1
verschwindet, endet der Algorithmus mit
1
ggT(
1: Falls
3 8
1
Andernfalls dividiere man
Schritt
Diese Relationen werden in jedem der folgenden Schritte erhalten:
+
= ,
1
1
C
=
= ,
C
0
9
1
Schritt 0: Setze
ist dann
Algorithmisch sieht dies folgendermaßen aus:
so daß +1 eine ganzzahlige Linearkombination von und
1 ist. Da
entsprechend auch
Linearkombination von
1 und
2 ist, folgt
induktiv, daß der ggT von und als ganzzahlige Linearkombination
von und dargestellt werden kann.
=
=
3 8
6
ETIENNE BÉZOUT (1730-1783) wurde in Nemours in der
Ile-de-France geboren, wo seine Vorfahren Magistrate
waren. Er ging stattdessen an die Akademie der Wissenschaften; seine Hauptbeschäftigung war die Zusammenstellung von Lehrbüchern für die Militärausbildung. Im
1766 erschienenen dritten Band (von vier) seines Cours
de Mathématiques à l’usage des Gardes du Pavillon et
de la Marine ist die Identität von BÉZOUT dargestellt.
Seine Bücher waren so erfolgreich, daß sie auch ins
Englische übersetzt und als Lehrbücher z.B. in Harvard
benutzt wurden. Heute ist er vor allem auch bekannt
durch seinen Beweis, daß sich zwei Kurven der Grade
und in höchstens
Punkten schneiden können.
3 8
+1
1
3 8
BACHET DE MÉZIRIAC hat bewiesen, daß sie in diesem Fall auch stets
Lösungen hat; das Kernstück dazu ist seine Proposition XVIII, wo er
ganze Zahlen
konstruiert, für die
zu zwei teilerfremden Zahlen
= 1 ist: Deux nombres premiers entre eux estant donnéz, treuuer le moindre multiple de chascun d’iceux, surpassant de l’unité un
multiple de l’autre. Die Methode ist eine einfache Erweiterung des EUKLIDischen Algorithmus, und genau wie letzterer nach EUKLID benannt
ist, da ihn dieser rund 150 Jahre nach seiner Entdeckung in seinem Lehrbuch darstellte, heißt auch BACHETs Satz heute Identität von BÉZOUT,
weil dieser ihn 142 Jahre später, im Jahre 1766, in seinem Lehrbuch
beschrieb (und auf Polynome verallgemeinerte).
läßt sich umschreiben als
Die Gleichung
Zur Lösung von Problemen wie dem von BACHET wollen wir gleich allgemein den größten gemeinsamen Teiler zweier Zahlen als Linearkombination dieser Zahlen darstellen. Dazu ist nur eine kleine Erweiterung
des EUKLIDischen Algorithmus notwendig, so daß man oft auch einfach
vom erweiterten EUKLIDischen Algorithmus spricht.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
B
1
@
A
@
A
1
C 8
0
8
3 8
D
C 8
8
E
E
E
E
E
E
E
F
E
E
E
E
E
F
E
E
E
E
E
E
E
E
E
E
H
E
E
E
E
E
E
E
E
<
=
für zwei Unbekannte
+
=
1
=
<
0
K
K
K
J
0
?
=
0 4
4
1
< 4
054
1
?
L
<
J
=
< 4
E
?
Der größte gemeinsame Teiler = ggT( ) von und teilt offensichtlich jeden Ausdruck der Form
+ mit
; falls kein Teiler
von ist, kann es also keine ganzzahlige Lösung geben.
.
mit
L
E
E
E
E
E
E
E
E
E
C
J
0
L
L
0
C
=
3
Ist aber =
ein Vielfaches von und ist =
+ die lineare Darstellung des ggT nach dem erweiterten EUKLIDischen Algorithmus, so
und =
offensichtlich eine Lösung gefunden.
haben wir mit =
=
L
1
Im letzten Schritt wird daher drei durch zwei dividiert und wir sehen
erstens, daß der ggT gleich eins ist (was hier keine Überraschung ist), und
zweitens, daß gilt 1 = 3 2 = (1 11 1 8) ( 2 11+3 8) = 3 11 4 8.
1
Im nächsten Schritt dividieren wir acht durch drei mit dem Ergebnis zwei
Rest zwei, also ist 2 = 1 8 2 3 = 1 8 2 (1 11 1 8) = 2 11+3 8.
I
1 8.
H
Entsprechend kann der erweiterte EUKLIDische Algorithmus zur Lösung
anderer diophantischer Gleichungen verwendet werden kann, von Gleichungen also, bei denen nur ganzzahlige Lösungen interessieren. Wir
betrachten nur die einfache lineare Gleichung
E
1
Elf durch acht ist eins Rest drei, also ist 3 = 1 11
Zur Lösung des Problems von BACHET müssen wir die Gleichung
11 + 8 = 79 betrachten. Dazu stellen wir zunächst den ggT von
11 und 8 als Linearkombination dieser Zahlen dar.
I
Bei der Division von acht durch vier schließlich ist der Divisionsrest null;
damit ist vier der ggT von 148 und 200 und kann in der angegebenen
Weise linear kombiniert werden.
H
4 = 44 5 8 = (3 148 2 200) 5 (3 200 4 148) = 23 148 17 200 .
(316 + 11 ) 8 .
H
Wir müssen so wählen, daß sowohl die Anzahl 237 + 8 der Männer
als auch die Anzahl (316 + 11 ) der Frauen positiv oder zumindest
316
nicht negativ wird, d.h. 237
ganzzahlig sein muß,
8
11 . Da
kommt nur = 29 in Frage; es waren also fünf Männer, drei Frauen
und dazu noch 41 5 3 = 33 Kinder. Ihre Gesamtausgaben belaufen
sich in der Tat auf 5 4 + 3 3 + 33 13 = 40 Sous.
H
Im nächsten Schritt erhalten wir 44 = 5 8 + 4 und
E
4 148 .
79 = (237 + 8 ) 11
E
2 200) = 3 200
Entsprechend können wir auch ein beliebiges Vielfaches dieser Gleichung zur Darstellung von 79 addieren:
H
(3 148
H
1 148)
E
E
44 = (1 200
H
8 = 52
H
Auch 44 = 0; wir machen also weiter: 52 = 1 44 + 8 und
2 200 .
E
1 148) = 3 148
E
2 (1 200
H
(4 + 11 ) 8 = 1 .
E
(3 + 8 ) 11
148 = 2 52 + 44 und 44 = 148
316 8 .
Nun ist aber schon die obige Gleichung 1 = 3 11 4 8 nicht die
einzige Möglichkeit zur Darstellung der Eins als Linearkombination
von acht und elf: Da 8 11 11 8 verschwindet, können wir ein
beliebiges Vielfaches dieser Gleichung dazuaddieren und bekommen
die allgemeinere Lösung
E
Da auch 52 = 0, dividieren wir im zweiten Schritt 148 durch 52:
E
E
1 148 .
E
52 = 1 200
200 = 1 148 + 52 und
E
Im ersten Schritt dividieren wir, da 148 nicht verschwindet, 200 mit Rest
durch 148:
E
Dies ist allerdings nicht die gesuchte Lösung: BACHET dachte sicherlich
nicht an 237 Männer, 316 Frauen und 119 Kinder.
4 8) = 237 11
200 = 1 200 + 0 148 und 148 = 0 200 + 1 148 .
79 = 79 (3 11
Damit haben wir auch eine Darstellung von 79 als Linearkombination
von elf und acht:
Kap. 1: Ganze Zahlen und ihre Primzerlegung
E
Als Beispiel wollen wir den ggT von 200 und 148 als Linearkombination
darstellen. Im nullten Schritt haben wir 200 und 148 als die trivialen
Linearkombinationen
sind die
und so definiert, daß in jedem Schritt =
+
ist,
insbesondere ist also im letzten Schritt der ggT als Linearkombination
der Ausgangszahlen dargestellt.
Zahlentheorie SS 2007
G
3
3
<
?
E
E
E
E
E
E
M
N < 4
1
N <
)+ (
)=
= 0 oder
(
N <
)= (
1
(
N =
) eine weitere Lösung, so ist
).
1
=
N =
0
0
=
<
P
<
0
?
?
N =
=
N =
1
N <
<
Q
1
0
0
L
Q
Q
<
E
=
N =
1
L
E
N <
K
0
C
J
Q
0
Q
Q
<
E
L
3
=
1
E
L
3
1
0
1
0
1
0 4
7
3
3
2
7
1
1
= + = 3.
1
= 2 und
1
=1
Als nächstes suchen wir die kleinsten Zahlen
für die zwei Divisionen
notwendig sind. Ist der Rest bei der ersten Division, so ist : die
zweite Division. Für diese muß
1 und
2 sein, und = + ,
wobei der Quotient bei der ersten Division ist. Dieser ist mindestens
eins, die kleinstmöglichen Werte sind damit
3
T
3
3
4
9
1
0
7
3
0 U
9
1
1
0VU
1
3
1
1
054
3
1
=
+ =
1+
1
=
1+
2
9
0 U
9
0 U
9
1
U
U
0WU
9
3
1
U
0 U
0WU
9
1
U
4
1
3
9
U
1
1
0
E
0 U
Y
U
=1
und
=
1
+
2
für
2.
7
T
Y
U
9
Y
U
9
Y
U
4
FIBONACCI führte sie ein, um die Vermehrung einer Karnickelpopulation
durch ein einfaches Modell zu berechnen. In seinem 1202 erschienenen
Buch Liber abaci schreibt er:
1
Y
0
=0
Sie sind durch folgende Rekursionsformel definiert:
X
Da wir 1 = 2 und 1 = 1 kennen, können wir somit alle
und
berechnen; was wir erhalten, sind die sogenannten FIBONACCI-Zahlen.
und
U
=
7
1
U
=
Allgemeiner seien
und die kleinsten Zahlen, für die Divisionen
notwendig sind, und sei der Rest bei der ersten Division. Für die zweite
Division : ist dann
1 und
1 ; die kleinstmöglichen
Werte sind damit
2
Das erscheint zwar auf den ersten Blick als ein recht gutes Ergebnis;
wenn man aber bedenkt, daß der EUKLIDische Algorithmus heute in
der Kryptographie auf über 600-stellige Zahlen angewendet wird, verliert diese Schranke schnell ihre Nützlichkeit: Da unser Universum ein
geschätztes Alter von zehn Milliarden Jahren, also ungefähr 3 1018 Sekunden hat, ist klar, daß auch der schnellste heutige Computer, der zu
Beginn des Universum zu Rechnen begann, bis heute nur einen verschwindend kleinen Bruchteil von 10600 Divisionen ausgeführt hätte;
wenn 10600 eine realistische Aufwandsabschätzung wäre, so wäre es
hoffnungslos, an eine Anwendung des EUKLIDischen Algorithmus auf
600-stellige Zahlen auch nur zu denken.
0
3
Damit haben wir auch eine obere Schranke für den Rechenaufwand
zur Berechnung von ggT( ): Wir müssen höchstens Divisionen
durchführen.
1
Im Beweis, daß der EUKLIDische Algorithmus stets nach endlich vielen
Schritten abbricht, hatten wir argumentiert, daß der Divisionsrest stets
kleiner ist als der Divisor, so daß er irgendwann einmal null werden
muß; dann endet der Algorithmus.
.
Dies ist allerdings ein eher untypischer Fall, der sich insbesondere nicht
rekursiv verallgemeinern läßt, denn ab dem zweiten Schritt des EUKLIDischen Algorithmus ist der Divisor stets kleiner als der Dividend:
Ersterer ist schließlich der Rest bei der vorangegangenen Division und
letzterer der Divisor. Die kleinsten natürlichen Zahlen = , für die man
mit nur einer Division auskommt, sind offensichtlich = 2 und = 1.
F
§3: Der Aufwand des Euklidischen Algorithmus
mit
L
+
T
=
0
und
1
=
1
.
0
Die allgemeine Lösung der obigen Gleichung ist somit
O
0
1
=
054
= 1 sind offensichtlich = = 1 die kleinstmöglichen
Im Falle
Zahlen; wenn = ist, kommt man immer mit genau einer Division
aus.
1
=
Tatsächlich ist 10600 aber natürlich nur eine obere Schranke, von der wir
bislang noch nicht wissen, ob sie realistisch ist. Um dies zu entscheiden,
, für die Divisionen
suchen wir die kleinsten natürlichen Zahlen
notwendig sind; dies wird uns zurückführen auf ein Problem aus dem
13. Jahrhundert.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
T
und
= (
)= (
) ist also ein gemeinsames Vielfaches von und
und damit auch ein Vielfaches des kleinsten gemeinsamen Vielfachen
, es muß
von und . Dieses kleinste gemeinsame Vielfache ist
also eine ganze Zahl geben mit
Ist (
Zahlentheorie SS 2007
RS
R
R
schreiben; dann ist
Z
1
[
Y
U
Y
[
Y
U
[
Y
Z
U
Y
Y
Z
\U
9
9
U
\
]
]
=
1
2
]
`
]^
\
1
2
2
1
0
]
a
_
\
]
[
b
]
1;
.
b
\
1
9
]
1
=
1
U]
Z
[
Y
b
[
U
0
1
1
0
U]
2
1
1
0
Z
b
[
9
9
Z
9
9
b
\U
9
Z
Y
U
.
U
T
T
9
U]
1
U]
Y
1
054
7
T
1
Y
U
Y
U
0
U
1
0
1
und 1 =
0
]
=
]
0
]
Y
1
U
]
=1
=
=1=
1
]
P
0
a
]
1
=
=
1
5
a
]
2
2
1 618034
5+
5 und
a
2
0
U]
=
2
a
+
c
1+ 5
2
]
]
2
U]
=
0
0
1
+
.
1
2
5
5
a
1
1
a
Numerisch ist
]
0
2
.
=
2
1
.
0 618034
5
a
Also ist = 1
9
]
2)
+
1
1
=
]
, und die zweite Gleichung wird zu
0
2
]
(
0
0
1
]
Damit ist = 1
1=
+
Auch ohne die Matrix zu berechnen, wissen wir somit, daß sich
in der Form
= 1 1 + 2 1 darstellen läßt. Für = 1 und = 2
erhalten wir die beiden Bedingungen
=
Z
1
0
die Eigenwerte von sind daher 1 2 =
5. bezeichnet die
Matrix, deren Spalten aus den zugehörigen Eigenvektoren besteht, so ist
0
1
1
also =
und
0
2
)
\U
)(
[
) = (1
9
det(
U
ist
Y
1
9
0
Z
=
U
1
1
Z
Das charakteristische Polynom von
1
1 1
1 0
Y
=
=
Z
+1
[
[
GABRIEL LAMÉ (1795–1870) studierte von 1813 bis
1817 Mathematik an der Ecole Polytechnique, danach
bis 1820 Ingenieurwissenschaften an der Ecole des Mines. Auf Einladung Alexanders I. kam er 1820 nach
Rußland, wo er in St. Petersburg als Professor und Ingenieur unter anderem Vorlesungen über Analysis, Physik,
Chemie und Ingenierswissenschaften hielt. 1832 erhielt
er einen Lehrstuhl für Physik an der Ecole Polytechnique in Paris, 1852 einen für mathematische Physik und
Wahrscheinlichkeitstheorie an der Sorbonne. 1836/37
war er wesentlich am Bau der Eisenbahnlinien ParisVersailles und Paris–St. Germain beteiligt.
T
U
[
Y
, für die
Satz von Lamé (1844): Die kleinsten natürlichen Zahlen
2 Divisionen benötigt werden,
beim EUKLIDischen Algorithmus
sind = +2 und = +1 .
T
Y
b
Wie wir gerade gesehen haben, kann man mit den FIBONACCI-Zahlen
nicht nur Karnickelpopulationen beschreiben, sondern – wie GABRIEL
LAMÉ 1844 entdeckte – auch eine Obergrenze für den Aufwand beim
EUKLIDischen Algorithmus angeben:
7
Um die Zahlen
durch eine geschlossene Formel darzustellen, können
wir (genau wie man es auch für die rekursive Berechnung per Computer
tun würde) die Definitionsgleichung der FIBONACCI-Zahlen als
1
LEONARDO PISANO (1170–1250) ist heute vor allem unter seinem Spitznamen FIBONACCI bekannt; gelegentlich nannte er sich auch BIGOLLO, auf Deutsch Tunichtgut oder Reisender. Er ging in Nordafrika zur Schule,
kam aber 1202 zurück nach Pisa. Seine Bücher waren
mit die ersten, die die indisch-arabischen Ziffern in Europa einführten. Er behandelt darin nicht nur Rechenaufgaben für Kaufleute, sondern auch zahlentheoretische Fragen, beispielsweise daß man die Quadratzahlen
durch Aufaddieren der ungeraden Zahlen erhält. Auch
betrachtet er Beispiele nichtlinearer Gleichungen, die er
approximativ löst, und erinnert an viele in Vergessenheit
geratene Ergebnisse der antiken Mathematik.
0
=
F
(Für = 1 gilt der Satz nur, wenn wir zusätzlich voraussetzen, daß
2 ist dies automatisch erfüllt.)
ist; für
Kap. 1: Ganze Zahlen und ihre Primzerlegung
R
Ein Mann bringt ein Paar Karnickel auf einen Platz, der von allen Seiten
durch eine Mauer umgeben ist. Wie viele Paare können von diesem Paar
innerhalb eines Jahres produziert werden, wenn man annimmt, daß jedes
Paar jeden Monat ein neues Paar liefert, das vom zweiten Monat nach
seiner Geburt an produktiv ist?
Zahlentheorie SS 2007
4
d
4
d
4
Zahlentheorie SS 2007
T
T
Y
R
/
a
a
P
U]
Y
a
P
U]
4
d
und 5
2 236068; der Quotient 2
5 ist also für jedes kleiner
als 1 2. Daher können wir
auch einfacher berechnen als nächste
ganze Zahl zu 1
5. Insbesondere folgt, daß
exponentiell mit
wächst.
P
U
U
Die Gleichung 2
1 = 0 läßt sich umschreiben als (
1) = 1
oder : 1 = 1 : (
1). Diese Gleichung charakterisiert den goldenen
Schnitt: Stehen zwei Strecken und in diesem Verhältnis, so auch die
. Die positive Lösung 1 wird traditionell
beiden Strecken und
mit dem Buchstaben bezeichnet;
ist also der zur nächsten ganzen
Zahl gerundete Wert von
5.
]
]
]
]
1
0
0
]
]
]
1
Y
0
1
0
+
U
a
P
U+
1=
J
4
C
0
Y
Y
1
C
1
1
0
0
a
1
T
U
1
1
U
e
X
1
0
d
T
4
1
a
e
d
4
1
1
+
a
e
f
1
0
1
Beweis: Wir zeigen zunächst, daß sich jede natürliche Zahl überhaupt
als Produkt von Primzahlpotenzen schreiben läßt. Falls dies nicht der
Fall wäre, gäbe es ein minimales Gegenbeispiel . Dies kann nicht
die Eins sein, denn die ist ja das leere Produkt, und es kann auch keine
Primzahl sein, denn die ist ja das Produkt mit sich selbst als einzigem
Faktor. Somit hat
einen echten Teiler , d.h. 1
. Da
das minimale Gegenbeispiel war, lassen sich und
als Produkte
von Primzahlpotenzen schreiben, also auch
=
.
Satz: Jede natürliche Zahl läßt sich bis auf Reihenfolge eindeutig als
ein Produkt von Primzahlpotenzen schreiben.
also auch
1
Daraus folgt induktiv
C
teilbar, denn sowohl
.
K
durch
mit
1
Dann ist =
+
sind Vielfache von .
+
Beweis: Angenommen, die Primzahl sei kein Teiler von , teile aber .
Da der ggT von und Teiler von und ungleich ist, muß er notgedrungen gleich eins sein; es gibt also eine Darstellung
0
0
1
+
1
054
Tatsächlich gibt natürlich auch die hier berechnete Schranke nur selten
den tatsächlichen Aufwand wieder; fast immer werden wir mit erheblich
weniger auskommen. Im übrigen ist auch alles andere als klar, ob wir
den ggT auf andere Weise nicht möglicherweise schneller berechnen
können. Da wir aber für Zahlen der Größenordnung, die in heutigen
Anwendungen interessieren selbst mit der Schranke für den schlimmsten Fall ganz gut leben können, sei hier auf diese Fragen nicht weiter
eingegangen. Interessenten finden mehr dazu z.B. in den Abschnitten
4.5.2+3 des Buchs
DONALD E. KNUTH: The Art of Computer Programming, vol. 2: Seminumerical Algorithms, Addison-Wesley, 2 1981
1
Lemma: Wenn eine Primzahl das Produkt zweier natürlicher Zahlen
teilt, teilt sie mindestens einen der Faktoren.
1
Die beiden kleinsten Zahlen, für die wir Divisionen brauchen, sind
nach LAMÉ = +2 und = +1 . Aus der geschlossenen Formel für
die FIBONACCI-Zahlen folgt
ln 5
ln
log
5
1 = log + log
5 1=
+
1
ln
ln
2 078 ln + 0 672
Für beliebige Zahlen
können nicht mehr Divisionen notwendig
sein als für die auf folgenden nächstgrößeren FIBONACCI-Zahlen, also
gibt obige Formel für jedes eine obere Grenze. Die Anzahl der Divisionen wächst also nicht (wie oben bei der naiven Abschätzung) mit ,
sondern nur mit log . Für sechshundertstellige Zahlen
müssen wir
daher nicht mit 10600 Divisionen rechnen, sondern mit weniger als drei
Tausend, was auch für weniger leistungsfähige Computer problemlos
und schnell möglich ist.
R
Eine Primzahl ist bekanntlich eine natürliche Zahl , die genau zwei
Teiler hat, nämlich die Eins und sich selbst. Der erweiterte EUKLIDische
Algorithmus liefert eine wichtige Folgerung aus dieser Definition:
§4: Die multiplikative Struktur der ganzen Zahlen
Kap. 1: Ganze Zahlen und ihre Primzerlegung
:
g
i
h
g
h
g
h
i
P
h
P
h
g
g
g
hj
g
l
=1
p
kml
g
=1
r*s
no
=
=
Bleibt noch zu zeigen, daß die Produktdarstellung bis auf die Reihenfolge der Faktoren eindeutig ist. Auch hier gäbe es andernfalls wieder ein
minimales Gegenbeispiel , das somit mindestens zwei verschiedene
Darstellungen
g
2
q
q
8
8
R
;
hätte. Da die Eins durch kein Produkt dargestellt werden kann, in dem
wirklich eine Primzahl vorkommt, ist
1 und somit steht in jedem
der beiden Produkte mindestens eine Primzahl.
Zahlentheorie SS 2007
g
f
=
N <
<
g
N =
N <
`
=
<
N =
N <
=
<
=
Q
<
=
t
<
(
(
)
)
und
q
2
2
q
g
und eine natürliche Zahl bezeichmit
mod .
i
Q
<
I
3
Q
<
mod
ist also einfach der Divisionsrest bei der Division von
durch .
Definition: Für eine ganze Zahl
net mod jene ganze Zahl 0
Im folgenden wollen wir das Symbol mod“ nicht nur in Kongruenzen
”
mod
benutzen, sondern auch – wie in vielen Programwie
miersprachen üblich – als Rechenoperation:
)+
Q
<
2
q
g
1
<
v
Q
K
X4
X
X
4
4
K
Q
=
<
w
=
<
Q
=
=
x
<
<
Q
<
Q
J
=
< 4
Q
=
t
Q
=
<
Für
=
<
y
=
<
K
Q
<
=
>
Q
=
<
<
=
>
t
=
<
Q
Q
t
=
<
<
Q
Q
t
>
=
<
=
<
Q
>
<
K
< 4
Q
1
2
1
2
3
0
w
0
0
0
3
2
1
1
1
0
3
2
2
2
1
0
3
3
und
3
2
1
0
y
3
) mod
Q
0
0
0
0
0
= 4 haben wir also folgende Operationen:
=(
und entsprechend eine Multiplikation gemäß
Q
.
3
2
1
0
1
2
0
2
0
2
betrachten. Wir definieren eine Addition durch
+
falls +
= ( + ) mod =
+
sonst
u
def
= 0 1
Da nach dem gerade bewiesenen Lemma die Addition, Subtraktion und
Multiplikation mit Kongrenzen vertauschbar sind, können wir auf der
Menge aller Äquivalenzklassen Rechenoperationen einführen. Übersichtlicher wird das, wenn wir statt dessen die Menge
Q
P
1
2
3
0
3
i
Q
Q
Zwei Zahlen
liegen genau dann in derselben Äquivalenzklasse,
wenn sie bei der Division durch
denselben Divisionsrest haben; es
gibt somit Äquivalenzklassen, die den möglichen Divisionsresten
1 entsprechen.
0 1
<
<
Die Kongruenz modulo definiert offensichtlich eine Äquivalenzrela=0
tion auf : Jede ganze Zahl ist kongruent zu sich selbst, denn
ist durch jede natürliche Zahl teilbar; wenn
durch
teilbar ist,
so auch
= (
), und ist schließlich
mod
und
mod , so sind
und
durch teilbar, also auch ihre
Summe
, und damit ist auch
mod .
N =
`
= (
Q
N =
t
teilbar ist.
<
N <
durch
`
N =
<
wenn
=
`
3
,
t
=
N <
mod
<
Q
sind kongruent
t
N =
Q
<
Definition: Wir sagen, zwei ganze Zahlen
modulo für eine natürliche Zahl , in Zeichen
N <
)
Q
Zwei ganze Zahlen lassen sich im allgemeinen nicht durcheinander
dividieren. Trotzdem – oder gerade deshalb – spielen Teilbarkeitsfragen
in der Zahlentheorie eine große Rolle. Das technische Werkzeug zu ihrer
Behandlung ist die Kongruenzenrechnung.
N =
`
)=(
.
R
§5: Kongruenzenrechnung
Q
(
=
)
N <
teilbar, so auch
t
durch
mod
, so ist auch
N =
(
t
und
mod
N =
und
Q
mod
und
<
Beweis: Sind
N <
mod
Q
=
Da 1 Teiler von
ist, teilt es auch das rechtsstehende Produkt, also
nach dem gerade bewiesenen Lemma mindestens einen der Faktoren,
d.h. mindestens ein . Da eine Primzahl ist, muß dann 1 = sein.
Da
als minimales Gegenbeispiel vorausgesetzt war, unterscheiden
sich die beiden Produkte, aus denen dieser gemeinsame Faktor gestrichen wurde, höchstens durch die Reihenfolge der Faktoren, und damit
gilt dasselbe für die beiden Darstellungen von .
Lemma: Ist
Kap. 1: Ganze Zahlen und ihre Primzerlegung
B
Q
=
J
=
Q
4
4
X
X
X4
D
R
z
für alle
z
z
>
z{
=j
z j
<j
>
j
=
<j
j
J
<
|
|
J
>
=54
< 4
<
N j<
<
N <
<j
<j
<
|j
z
N <
J
z
J
|
z
J
<
}
Q
=
<
w
}
Q
<
}
=
<
}
K
z
~
z
J
=
~
< 4
<
=j
=
<j
z{
}

}
j
j<
}
P
Q
w
y
z
J
=
< 4
~
z{
~
}
z
}
=

}
<
}
~
=
z
K
y
Man beachte, daß
im allgemeinen kein Körper ist: In 4 beispielsweise ist 2 2 = 0, und in einem Körper kann ein Produkt nur
verschwinden, wenn mindestens einer der beiden Faktoren verschwindet.
j
E
4
E

<
P

J
<
<

J
>
E
= 4
< 4
=
<
{
=

<
E
E
=
E
>
E
=
<
Q
K
0

J
>
=54
< 4
E
=
>
<
>
<
>

J
J
=
>
>
< 4
=
<
=
<
>
=
<
E
=
E

{
}
Q

=
< 4

}
3
E
}

3
}
}
3

}
3
}

E
J
3
Q
E
0
Q
1
mod
t
0
k
<
4
<

}
der Soldaten.
Q
X
X
X
4
t
k
<
4X
X
X
4
bestimmten sie dann die Gesamtzahl
1
k
mod
Der Legende nach zählten chinesische Generäle ihre Truppen, indem
sie diese mehrfach antreten ließen in Reihen verschiedener Breiten
und jedesmal nur die Anzahl der Soldaten in der letzten
1
Reihe zählten. Aus den Relationen
§6: Der chinesische Restesatz
Im folgenden werden wir die Rechenoperationen in
einfach mit
+ und bezeichnen, wobei jedesmal aus dem Zusammenhang klar sein
sollte, ob wir von der Addition und Multiplikation in
oder der in
reden.
K

wobei + und auf der linken Seite jeweils die Operationen von bezeichnen und rechts die von . Auch hier reden wir von einem Isomorphismus, wenn bijektiv ist, und bezeichnen = als isomorph,
gibt.
wenn es einen Isomorphismus :
}
Da bezüglich + eine abelsche Gruppe ist, gilt somit dasselbe für
bezüglich : Wenn zwei ganze Zahlen gleich sind, sind schließlich auch
ihre Divisionsreste modulo gleich. Das Neutralelement ist (0) = 0,
und das additive Inverse ist ( ) =
( ). Auch die Eigenschaften
von folgen sofort aus den entsprechenden Eigenschaften der Multiplikation ganzer Zahlen; das Neutralelement ist (1) = 1.
<
Q
( ),

}
P
)= ( )
<
K
(
=
P
K
( + ) = ( ) + ( ) und
Q
}
d) Eine Abbildung :
zwischen zwei Ringen heißt (Ring-)
Homomorphismus, wenn für alle
gilt
( ).
Q
c) Ein Ring ist eine Menge
zusammen mit zwei Verknüpfungen
+ :
, so daß gilt
1.) Bezüglich + ist eine abelsche Gruppe.
2.) (
)
=
(
) ür alle
.
3.) Es gibt ein Element 1
, so daß 1
=
1 für alle
.
4.) ( + ) =
+
und ( + ) =
+
für alle
.
Der Ring heißt kommutativ, wenn zusätzlich noch gilt
5.)
=
für alle
.
}
zwischen zwei Gruppen und
mit
b) Eine Abbildung :
Verknüpfungen und heißt Homomorphismus, falls für alle
gilt: (
)= ( )
( ). Ist zusätzlich bijektiv, reden wir von
und
heißen isomorph, in
einem Isomorphismus. Die Gruppen
Zeichen = , wenn es einen Isomorphismus :
gibt.
<
)= ( )
}
.
(
y
für alle
z
und
w
=
K
=
{ <
( )
ein
P
4.)
}
( + )= ( )
und
y
Die Gruppe heißt kommutativ oder abelsch, wenn zusätzlich noch gilt
K{
Nach dem obigen Lemma ist
<
mod
K
.
= ist.
:
.
mit den Operationen
Q
=
Q
Beweis: Wir betrachten die Abbildung
J
=

K
P
.
P
ist
Q
zusammen mit einer
Lemma: Für jedes
Ring.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
R
Definition: a) Eine Gruppe ist eine Menge
Verknüpfung :
, für die gilt
)
=
(
) für alle
1.) (
2.) Es gibt ein Element
, so daß
=
gibt es ein
, so daß
3.) Zu jedem
Um diese Tabellen zu interpretieren, sollten wir uns an einige Grundbegriffe aus der Algebra erinnern:
Zahlentheorie SS 2007
G
k

{
}
R
M
X4
X
X
4
K
H
J
Q
k
E
E
E
<
I
Q
i
Q
H
<
k
Q
E
E
E
Mit den Begriffen aus dem vorigen Paragraphen läßt sich dies auch
anders formulieren: Die Zahl mod
können wir auffassen als Element von
, das -Tupel aus allen diesen Zahlen also als Element
von
. Man überlegt sich leicht, daß das kartesische
1
Produkt von zwei oder mehr Gruppen wieder eine Gruppe ist: Die Verknüpfung wird einfach komponentenweise definiert, und das Neutralelement ist dasjenige Tupel, dessen sämtliche Komponenten Neutralelemente der jeweiligen Faktoren sind. Genauso folgt, daß das kartesische
Produkt von zwei oder mehr Ringen wieder ein Ring ist.
=
<
P
3
P
Q
Q 8
K
P
j
k
K
jE
E
E
Q
K
3
<
P
Q
P
Q 8
Q

<
}
g
g
g
<
Q 8
( mod
1
j
1
E
E
Q
{ k
Q
{ <
E
E
E

K
X
4X
X
4
t
<
t
<
Zunächst ist
j
P
Q
K
jE
E
E
Q
K
K{

<
<
mod
)

<
Q
k
}
X
X4
X
4
<

{ <
Q
Q
E
Q 8
<
ein Ringhomomorphismus, denn nach dem Lemma aus dem vorigen
Paragraphen ist der Übergang zu den Restklassen modulo jeder der
Zahlen
mit Addition und Multiplikation vertauschbar. Da ( ) nur
von mod 1
abhängt, folgt daraus, daß auch ein Ringhomomorphismus ist.
1
k
( mod
P
1
Q
:
)
mod
<
Wir beweisen den Satz in dieser algebraischen Form:
1
jE
ist ein Isomorphismus von Ringen.
:
Chinesischer Restesatz (Algebraische Form): Die Abbildung
In algebraischer Formulierung haben wir dann die folgende Verschärfung des obigen Satzes:
Q 8
Q
k
Dieses Problem können wir dadurch umgehen, daß wir nur Moduln
zulassen, die paarweise teilerfremd sind. Dies hat auch den Vorteil, daß
jedes gemeinsame Vielfache der
Vielfaches des Produkts aller
sein muß, so daß wir modulo einer vergleichsweise großen Zahl kennen.
<
Q 8
K
dessen erste Gleichung nur gerade Lösungen hat, während die zweite nur
ungerade hat. Das Problem hier besteht darin, daß zwei ein gemeinsamer
Teiler von vier und sechs ist, so daß jede der beiden Kongruenzen auch
etwas über mod 2 aussagt, wobei diese beiden Aussagen hier einander
widersprechen.
<
J
P
3 mod 6 ,
t
genau eine Lösung mit
läst sich in der Form
k
Q
2 mod 4 und
0
K
k
Außerdem gibt es Relationen obiger Form, die unlösbar sind, beispielsweise das System
t
k
hat für paarweise teilerfremde Moduln
0
. Jede andere Lösung
1
+
schreiben
mit
.
1
mod
<
Wir wollen uns zunächst überlegen, unter welchen Bedingungen ein
solches Verfahren überhaupt funktionieren kann. Offensichtlich können
die obigen Relationen eine natürliche Zahl nicht eindeutig festlegen,
denn ist eine Lösung und
irgendein gemeinsames Vielfaches der
sämtlichen , so ist + offensichtlich auch eine –
ist schließlich
modulo aller
kongruent zur Null.
0
1
Q
1
mod
Chinesischer Restesatz: Das System von Kongruenzen
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Q
CH’IN CHIU-SHAO oder QIN JIUSHAO wurde 1202 in der Provinz Sichuan geboren. Auf
eine wilde Jugend mit vielen Affairen folgte ein wildes und alles andere als gesetztreues
Berufsleben in Armee, öffentlicher Verwaltung und illegalem Salzhandel. Als Jugendlicher studierte er an der Akademie von Hang-chou Astronomie, später brachte ihm ein
unbekannter Lehrer Mathematik bei. Insbesondere studierte er die in vorchristlicher Zeit
entstandenen Neun Bücher der Rechenkunst, nach deren Vorbild er 1247 seine deutlich
anspruchsvolleren Mathematischen Abhandlungen in neun Bänden publizierte, die ihn als
einen der bedeutendsten Mathematiker nicht nur Chinas ausweisen. Zum chinesischen Restesatz schreibt er, daß er ihn von den Kalendermachern gelernt habe, diese ihn jedoch nur
rein mechanisch anwendeten ohne ihn zu verstehen. CH’IN CHIU-SHAO starb 1261 in Meixian, wohin er nach einer seiner vielen Entlassungen wegen krimineller Machenschaften
geschickt worden war.
Ob es im alten China wirklich Generäle gab, die soviel Mathematik
konnten, sei dahingestellt; Beispiele zu diesem Satz finden sich jedenfalls bereits 1247 in den chinesischen Mathematischen Abhandlungen
in neun Bänden von CH’IN CHIU-SHAO (1202–1261), allerdings geht es
dort nicht um Soldaten, sondern um Reis.
Zahlentheorie SS 2007
S
Q 8
k
E
E
Q 8
Q 8
<
= mod
für
somit durch das
nur im Fall =
R
Q 8
6
}
<
=
Q 8
=
<
P
=
}
Q 8
Q
<
k
E
E
Q
E
K
J
=
< 4
<
}
Q 8
}
}
Q
Q
k
E
E
E
E
4
E
4
4
T
1
t
=
Q
0
t
<
C
Q
?
mod
1
Q
t
<
Q
T
Q
T
C
Q
Q
C
Q
2
2
1
,
2
3
Q
Q
?
Q
T
T
T
<
t
<
8 19
3
mod
3
2
1
kennen
teilerfremd
und so weiter, bis wir schließlich modulo dem Produkt aller
und somit das Problem gelöst haben.
Q
1
<
3
und
mod
lösen und die Lösung schreiben als
2
Q
mod
mod
mod
0
+
2
t
Q
0
1
C
das Problem.
=
Q 8
und da die
paarweise teilerfremd sind, ist auch
zu 3 . Mit EUKLID können wir daher das System
<
Q
also löst
17
8 2 = 9 17
2 = 19
Bei mehr als zwei Kongruenzen gehen wir rekursiv vor: Wir lösen die
ersten beiden Kongruenzen
1 mod
1 und
2 mod
2 wie
gerade besprochen; das Ergebnis ist eindeutig modulo 1 2 . Ist 2 eine
feste Lösung, so läßt sich die Lösung schreiben als Kongruenz
t
mod
mod
5 mod 19 .
152 1 + 153 5 = 613
<
?
0
1
=
0
Q
=
1 = 17
t
Q
Q
und 1
löst somit das Problem. Da 613 größer ist als 17 19 = 323, ist allerdings
nicht 613 die kleinste positive Lösung, sondern 613 323 = 290.
<
Q
mod
mod
E
<
Q
1
0
E
Also ist 9 17 = 153
0 mod 17 und
1 mod 19; außerdem ist
8 19 = 152 durch 19 teilbar und 1 mod 17. Die Zahl
17 : 2 = 8 Rest 1 =
19 : 17 = 1 Rest 2 =
t
Q
=
1 mod 17 und
Wir müssen als erstes den erweiterten EUKLIDischen Algorithmus auf
die beiden Moduln 17 und 19 anwenden:
<
c
E
?
1
.
) ;
Als Beispiel betrachten wir die beiden Kongruenzen
t
t
E
Q
mit zueinander teilerfremden Zahlen
und . Ihr ggT eins läßt sich
+
nach dem erweiterten EUKLIDischen Algorithmus als 1 =
schreiben. Somit ist
Q
E
mod
<
c
E
t
und
T
<
E
t
mod
C
t
0
Wir beginnen mit dem Fall zweier Kongruenzen
]
insbesondere ist die Lösung eindeutig modulo
Q
T
Dazu verhilft uns der erweiterte EUKLIDische Algorithmus:
0
) +(
Q
Aus Sicht der chinesischen Generäle ist dieser Beweis enttäuschend:
Angenommen, ein General weiß, daß höchstens Tausend Soldaten vor
ihm stehen. Er läßt sie in Zehnerreihen antreten; in der letzten Reihe
stehen fünf Soldaten. Bei Elferreihen sind es neun, bei Dreizehnerreihen sechs. Da 10 11 13 = 1430 größer ist als Tausend, weiß er, daß
dies die Anzahl eindeutig festlegt. Er weiß aber nicht, wie viele Soldaten nun tatsächlich vor ihm stehen. Als General hat er natürlich die
Möglichkeit, einige Soldaten abzukommandieren, die für jede Zahl bis
Tausend die Divisionsreste modulo 9 10 und 13 berechnen müssen, bis
sie auf das Tripel (5 9 6) stoßen. Wir als Mathematiker sollten jedoch
eine effizientere Methode finden.
+
]
0
E
Q
,
=
1
+(
T
1
Nun ist aber eine Abbildung zwischen endlichen Mengen, die beide
aus je 1
Elementen bestehen. Jede injektive Abbildung zwischen zwei gleichmächtigen endlichen Mengen ist zwangsläufig auch
surjektiv, also bijektiv, und somit ist ein Isomorphismus.
Es ist natürlich nicht die einzige Lösung; wenn wir ein gemeinsames
Vielfaches von und addieren, ändert sich nichts an den Kongruenzen. Da wir von teilerfremden Zahlen ausgegangen sind, ist das Produkt
das kleinste gemeinsame Vielfache; die allgemeine Lösung ist somit
Kap. 1: Ganze Zahlen und ihre Primzerlegung
ist injektiv, denn ist ( ) = ( ), so ist mod
alle ; da die
paarweise teilerfremd sind, ist
Produkt der
teilbar, was für
1
möglich ist.
Zahlentheorie SS 2007
Q 8
T

t
T

1
t
Q
0
T

<
t
/
5 mod 10
t
<
4
t
<
4
t
<
t
<
t
<
t
t
t
t
K
H
J
H
E
<
E
t
<
t
<
E
c
<
E
E
E
c
mod
1
2
3
2 110 6 =
.
2145 + 5850
1320 = 2385 .
= 11 13 = 143 1 = 43 10 3 143
= 10 13 = 130 1 = 59 11 + 5 130
= 10 11 = 110 1 = 17 13 2 110 ,
E
t
t
t
t
E
E
K
E
E
H
H
J
H
E
E
T
T
Lemma: Zu zwei gegebenen natürlichen Zahlen
, so daß
1 mod , wenn ggT(
dann ein
gibt es genau
) = 1 ist.
Wie wir gesehen haben, können wir auch in
im allgemeinen nicht
dividieren. Allerdings ist Division doch sehr viel häufiger möglich als in
den ganzen Zahlen. Dies wollen wir als nächstes genauer untersuchen:
§7: Prime Restklassen
Damit kennen wir nun auch zwei konstruktive Beweise des chinesischen
Restesatzes und wissen, wie man Systeme von Kongruenzen mit Hilfe
des erweiterten EUKLIDischen Algorithmus lösen kann.
Modulo 10 11 13 erhalten wir natürlich auch hier wieder 955.
E
E
=1
E
3 143 5 + 5 130 9
3
Q
E
Q
für
2
Q
=
also
1
= 10
= 11
= 13
Im obigen Beispiel wäre
Q
Q
E
K
mod
<
Q
P
Alternativ läßt sich die Lösung eines Systems aus Kongruenzen auch
in einer geschlossenen Form darstellen allerdings um den Preis einer
-maligen statt (
1)-maligen Anwendung des EUKLIDischen Algorithmus und größeren Zahlen schon von Beginn an: Um das System
Um
q
Q
E
Da 15 255 : 1 430 = 10 Rest 955 ist, hatte der General also 955 Soldaten
vor sich stehen.
<
E
.
q
E
mit
Q 8
C
E
110 13 = 15 255 + 1 430
Q
15 255 +
0 q
E
E
Die allgemeine Lösung ist
q
6 220 = 15 255 .
Q 8
Q 8
75 221
t
E
Also ist 17 13 = 221
1 mod 110 und
0 mod 13; genauso ist
2 110 = 220 1 mod 13 und 9 mod 110. Eine ganzzahlige Lösung
unseres Problems ist somit
C 8
2 110
0 8
2 6 = 17 13
Q 8
E
1 = 13
8
E
13 : 6 = 2 Rest 1 =
8 13
Q 8
E
6 = 110
0 8
E
110 : 13 = 8 Rest 6 =
t
Um es zu lösen, müssen wir zunächst die Eins als Linearkombination
von 110 und 13 darstellen. Hier bietet sich keine offensichtliche Lösung
an, also verwenden wir den erweiterten EUKLIDischen Algorithmus:
)
0 8
Natürlich wird hier – wie auch bei den obigen Formel – oft größer
sein als das Produkt der ; um die kleinste Lösung zu finden, müssen
wir also noch modulo diesem Produkt reduzieren.
= (1
Q 8
6 mod 13 .
C 8
=1
4
75 mod 110 und
8
=
,
C 8
Unser Ausgangssystem ist somit äquivalent zu den beiden Kongruenzen
q
. Die
Q
eine Lösung; die allgemeine Lösung ist 35 + 110 mit
kleinste positive Lösung ist 35 + 110 = 75.
Q 8
35
8q
9 10 =
q
= 5 11
8
Da 1 = 11 10, ist 11 0 mod 11 und 11 1 mod 10; entsprechend
ist 10 0 mod 10 und 10 1 mod 11. Also ist
Q
der sämtlichen übrigen
und bestimmen dazu ganze Zahlen
für die gilt
+
= 1 .Dann ist
=
l
9 mod 11 .
=
5 mod 10 und
6 mod 13
zu lösen, berechnen wir zunächst für jedes das Produkt
Kap. 1: Ganze Zahlen und ihre Primzerlegung
6
lösen wir also zunächst nur das System
9 mod 11
Im Beispiel des oben angesprochenen Systems
Zahlentheorie SS 2007
:
Q
Q
0 4
054
Q
t
<
0

J
<
3
3
4X
X
X
4
6
Q 8
t
0 8
<
;

J
=
Q
<
0
<
=
Q
0
<
0
=
Q
Q
0
Sind umgekehrt und teilerfremd, so gibt es nach dem erweiterten
EUKLIDischen Algorithmus
mit
+
= 1. Durch (gegebenenfalls mehrfache) Addition der Gleichung
= 0 läßt
sich nötigenfalls erreichen, daß positiv wird, und offensichtlich ist
1 mod .
Q
=
Q
Q
0
<
0
J
=
0
< 4
Q
0
Q
t
0
<
P
heißt prime Restklasse, wenn
0
Definition: Ein Element
ggT(
) = 1 ist.
K
<
0
Q
K
J
0
Q
P
Q
054
K
J
0
<
(
P
1) .
ist
T
Q
Q
T54
P
Q
no
k
no
Q
T
}
Q
9
8
0
Q
8
8
Q
}
0
j
P
8
Q
8
Q
K
Beweis: a) Eine Zahl ist genau dann teilerfremd zum Produkt
,
wenn mod teilerfremd zu und mod teilerfremd zu ist. Da
nach dem chinesischen Restesatz
ist, ist daher
=
auch (
) =(
)
(
) .
Q
P
P
P
K
K
K
T

Q
T
P
T
0
P
1
K
T
K

Q
T
K
Q
0
Q
1
1
n
n
n
n
n
n
n
0
}
K
0
J
Q
n
9
9
Q
Q
Q
0
Q
t
<
0
<
ist genau dann ein Körper, wenn
9
eine Primzahl ist.
P
P
K
Q
P
Q
Q
Q
}
Q
K
Q
Beweis: Das einzige, was
zu einem Körper eventuell fehlt, ist die
Existenz von multiplikativen Inversen für alle von null verschiedenen
Elemente. Dies ist offenbar äquivalent zur Formel ( ) =
1, und
die gilt nach dem Lemma genau dann, wenn prim ist.
Korollar:
b) Wegen a) genügt es, dies für Primzahlpotenzen zu beweisen. Eine
Zahl ist genau dann teilerfremd zu , wenn sie kein Vielfaches von
1
ist. Unter den Zahlen von 1 bis gibt es genau
Vielfache von ,
1
1
also ist ( ) =
=
(
1).
jT
K
J

1
<
{
054
1
}
K
Q
Q
}
0

P
K
Q
Definition: Die Gruppe (
) der primen Restklassen heißt prime
Restklassengruppe, ihre Ordnung wird mit ( ) bezeichnet. :
heißt EULERsche -Funktion.

k
=1
1

=1
Q
ist ( ) =
J
Beweis: Wir müssen uns zunächst überlegen, daß das Produkt zweier
primer Restklassen wieder eine prime Restklasse ist. Sind
beide teilerfremd zu , so auch , denn wäre ein gemeinsamer
Primteiler von
und , so wäre als Primzahl auch Teiler von
oder , also gemeinsamer Teiler von und
oder von und . Die
Eins ist natürlich eine prime Restklasse, und auch die Existenz von
,
Inversen ist kein Problem: Nach dem vorigen Lemma gibt es ein
so daß
1 mod ist, und die andere Richtung dieses Lemmas zeigt,
daß auch mod eine prime Restklasse ist. Das Assoziativgesetz der
Multiplikation gilt für alle Elemente von
, erst recht also für die
primen Restklassen.
}
=
T
b) Für
}
Lemma: Die primen Restklassen aus
tiplikation eine Gruppe.
Lemma: a) Für zwei zueinander teilerfremde Zahlen
( ) = ( ) ( ).

bilden bezüglich der Mul-
Nach dem gerade bewiesenen Lemma gibt es somit zu jeder primen
, so daß dort
= 1 ist. Damit ist das
Restklasse ein
folgende Lemma nicht verwunderlich:
LEONHARD EULER (1707–1783) wurde in Basel geboren und ging auch dort zur Schule und, im Alter von 14
Jahren, zur Universität. Dort legte er zwei Jahre später
die Magisterprüfung in Philosophie ab und begann mit
dem Studium der Theologie; daneben hatte er sich seit
Beginn seines Studium unter Anleitung von JOHANN
BERNOULLI mit Mathematik beschäftigt. 1726 beendete
er sein Studium in Basel und bekam eine Stelle an der
Petersburger Akademie der Wissenschaften, die er 1727
antrat. Auf Einladung FRIEDRICHS DES GROSSEN wechselte er 1741 an die preußische Akademie der Wissenschaften; nachdem sich das Verhältnis zwischen den
beiden dramatisch verschlechtert hatte, kehrte er 1766 nach St. Petersburg zurück. Im gleichen Jahr erblindete er vollständig; trotzdem schrieb er rund die Hälfte seiner zahlreichen
Arbeiten (Seine gesammelten Abhandlungen umfassen 73 Bände) danach. Sie enthalten
bedeutende Beiträge zu zahlreichen Teilgebieten der Mathematik, Physik, Astronomie
und Kartographie.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
Beweis: Wenn es ein solches gibt, gibt es dazu ein
, so daß
, d.h. 1 =
. Damit muß jeder gemeinsame Teiler
= 1+
von und Teiler der Eins sein, und sind also teilerfremd.
Zahlentheorie SS 2007
B
}
Zahlentheorie SS 2007
D

P
P
K

0
Q
}
Q
Satz (FERMAT): Für jede nicht durch die Primzahl
1
1 mod . Für alle
ist
Zahl ist
teilbare natürliche
mod .
Für eine Primzahl
= bezeichnet man diese Aussage auch als den
kleinen Satz von FERMAT:
h
k
0
K
J
0
t
0
9
0
0
3
0
z
0
Beweis: Die erste Aussage ist klar, da ( ) =
1 ist. Für die zweite
müssen wir nur noch beachten, daß für durch teilbare Zahlen sowohl
als auch kongruent null modulo sind.
t
}
Der französische Mathematiker PIERRE DE FERMAT
(1601–1665) wurde in Beaumont-de-Lomagne im Departement Tarn et Garonne geboren. Bekannt ist er
heutzutage vor allem für seine 1994 von ANDREW
WILES bewiesene Vermutung, wonach die Gleichung
+
=
für
3 keine ganzzahlige Lösung
= 0 hat. Dieser große“ Satzes von FERMAT,
mit
”
von dem FERMAT lediglich in einer Randnotitz behauptete, daß er ihn beweisen könne, erklärt den Namen
der obigen Aussage. Obwohl FERMAT sich sein Leben
lang sehr mit Mathematik beschäftigte und wesentliche
Beiträge zur Zahlentheorie, Wahrscheinlichkeitstheorie
und Analysis lieferte, war er hauptberuflich Jurist.
0
@

0
z

~
~
9

3
z
J
~

z
z

4X
4

X
X
54

0
0
3
|
Beweis: Da die multiplikative Gruppe eines Körpers mit Elementen aus
allen Körperelementen außer der Null besteht, hat sie die Ordnung
1,
d.h. nach LAGRANGE ist die Ordnung eines jeden Elements ein Teiler
Satz: Die multiplikative Gruppe eines endlichen Körpers ist zyklisch.

JOSEPH-LOUIS LAGRANGE (1736–1813) wurde als GIUSEPPE LODOVICO LAGRANGIA in Turin geboren und
studierte dort zunächst Latein. Erst eine alte Arbeit
von HALLEY über algebraische Methoden in der Optik weckte sein Interesse an der Mathematik, woraus
ein ausgedehnter Briefwechsel mit EULER entstand. In
einem Brief vom 12. August 1755 berichtete er diesem unter anderem über seine Methode zur Berechnung von Maxima und Minima; 1756 wurde er, auf
EULERs Vorschlag, Mitglied der Berliner Akademie;
zehn Jahre später zog er nach Berlin und wurde dort
EULERs Nachfolger als mathematischer Direktor der

0
Beweis: Die Potenzen des Elements bilden zusammen mit der Eins
eine Untergruppe von , deren Elementanzahl gerade die Ordnung
von ist. Wir führen auf eine Äquivalenzrelation ein durch die Vor1
schrift
, falls
in liegt. Offensichtlich besteht die Äquivalenzklasse eines jeden Elements
aus genau Elementen, nämlich
1
. Da
die Vereinigung aller Äquivalenzklassen ist,
muß die Gruppenordnung somit ein Vielfaches von sein.
t
Lemma (LAGRANGE): In einer endlichen Gruppe teilt die Ordnung eines jeden Elements die Gruppenordnung.
.
Q
Definition: Die Ordnung eines Elements einer (multiplikativ geschriebenen) Gruppe
ist die kleinste natürliche Zahl , für die
gleich dem Einselement ist. Falls es keine solche Zahl gibt, sagen wir,
habe unendliche Ordnung.
1 mod
054
Beweis: Klar, denn ( ) ist die Ordnung der primen Restklassengruppe
modulo .
)
ist
Q
Wir wollen uns als nächstes überlegen, daß die multiplikative Gruppe
dieses Körpers aus den Potenzen eines einzigen Elements besteht. Dazu
brauchen wir zunächst noch ein Lemma aus der Gruppentheorie:
u
(
Korollar: Für zwei zueinander teilfremde Zahlen
Akademie. 1787 wechselte er an die Pariser Académie des Sciences, wo er bis zu seinem
Tod blieb und unter anderem an der Einführung des metrischen Systems beteiligt war.
Seine Arbeiten umspannen weite Teile der Analysis, Algebra und Geometrie.
mit Elementen wird üblicherweise mit bezeichnet;
Der Körper
die zugehörige prime Restklassengruppe (
) =
0 entsprechend als
. Dabei steht das “ für finit. Im Englischen werden
”
endliche Körper gelegentlich auch als Galois fields bezeichnet, so daß
man hier auch die Abkürzung GF( ) sieht. Field ist das englische Wort
für Körper; das gelegentlich in Informatikbüchern zu lesende Wort Galoisfeld ist also ein Übersetzungsfehler.
Kap. 1: Ganze Zahlen und ihre Primzerlegung
G
2
2
2
Zahlentheorie SS 2007
von
Für jeden Primteiler
2
(
1)
_
¡
o
9
<
8
P
F
_
¡
o
9
0 8
8
0 8
8
0 8
P
2 8
=
1
F
¢ ¤ £o
¢o
£o
¡
¡o
= 1;
(
1)
¡o
9
0 8
8
0 8
2
8
9
0 8
8
die
ein
hat also die Ordnung . Da die verschiedenen Potenzen verschiedener Primzahlen sind, hat daher das Produkt aller das Produkt
aller als Ordnung, also
1. Damit ist die multiplikative Gruppe des
Körpers zyklisch.
2
2 8
= 1 und
1
8
=
=
¡
sei die größte Potenz von , die
(
1) -te Potenz von . Dann ist
2
_
1 teilt, und
höchstens (
1)
Lösungen im Körper; es gibt also zu jedem
( 1)
= 1.
Körperelement mit
=1
1 hat die Polynomgleichung
1. Wir müssen zeigen, daß es mindestens ein Element gibt,
von
dessen Ordnung genau
1 ist.
M
2
8
2 8
2 8
2
8
2 8
Definition: Ein Element eines endlichen Körpers
Wurzel, wenn es die zyklische Gruppe
erzeugt.
8

heißt primitive
H
H
8

Selbst im Fall der Körper
gibt es keine Formel, mit der man eine solche primitive Wurzel explizit in Abhängigkeit von angeben
kann. Üblicherweise wählt man zufällig ein Element aus und testet, ob
1 hat. Die Wahrscheinlichkeit dafür ist offenbar
es die Ordnung
(
1) : (
1), was für die meisten Werte von recht gut ist. Der
Test, ob die Ordnung gleich
1 ist, läßt sich allerdings nur dann effi1 bekannt sind, denn
zient durchführen, wenn die Primteiler von
dann kann man einfach testen, ob alle Potenzen mit den Exponenten
(
1)
von eins verschieden sind. Für große Werte von , wie sie in
der Kryptographie benötigt werden, kann dies ein Problem sein, so daß
man hier im allgemeinen von faktorisierten Zahlen ausgeht und dann
testet, ob + 1 prim ist. Im Kapitel über Primzahltests werden wir uns
näher damit beschäftigen.

}
3
P
8
3
Der Vorteil eines solchen Verfahrens wäre, daß jeder potentielle Empfänger nur einen einzigen Schlüssel bräuchte und dennoch sicher sein
könnte, daß nur er selbst seine Post entschlüsseln kann. Der Schlüssel
1976 publizierten MARTIN HELLMAN, damals Assistenzprofessor in
Stanford, und sein Forschungsassistent WHITFIELD DIFFIE eine Arbeit mit dem Titel New directions in cryptography (IEEE Trans. Inform. Theory 22, 644–654), in der sie vorschlugen, den Vorgang der
Verschlüsselung und den der Entschlüsselung völlig voneinander zu
trennen: Es sei schließlich nicht notwendig, daß der Sender einer verschlüsselten Nachricht auch in der Lage sei, diese zu entschlüsseln.
Der Nachteil eines symmetrischen Verfahrens besteht darin, daß in einem Netzwerk jeder Teilnehmer mit jedem anderen einen Schlüssel
vereinbaren muß. In militärischen Netzen war dies traditionellerweise
so geregelt, daß das gesamte Netz denselben Schlüssel benutzte, der in
einem Codebuch für jeden Tag im voraus festgelegt war; in kommerziellen Netzen wie beispielsweise einem Mobilfunknetz ist dies natürlich
unmöglich.
In der klassischen Kryptographie verläuft die Entschlüsselung entweder
genauso oder zumindest sehr ähnlich wie die Verschlüsselung; insbesondere kann jeder, der eine Nachricht verschlüsseln kann, jede andere entsprechend verschlüsselte Nachricht auch entschlüsseln. Man bezeichnet
diese Verfahren daher als symmetrisch.
§1: New directions in cryptography
Kapitel 2
Anwendungen in der Kryptographie
man von einem BAYESschen Gegner) bieten kann, denn die Verschlüsselungsfunktion ist eine bijektive Abbildung zwischen endlichen Mengen,
und jeder, der die Funktion kennt, kann zumindest im Prinzip auch ihre
Umkehrfunktion berechnen.
müßte nicht einmal geheimgehalten werden, da es ja (meistens) nichts
schadet, wenn jedermann Nachrichten verschlüsseln kann. In einem
Netzwerk mit Teilnehmern bräuchte man also nur Schlüssel, um es
jedem Teilnehmer zu erlauben, mit jeden anderen so zu kommunizieren,
und diese Schlüssel könnten sogar in einem öffentlichen Verzeichnis stehen. Bei einem symmetrischen Kryptosystem wäre der gleiche Zweck
nur erreichbar mit 12 (
1) Schlüsseln, die zudem noch durch ein
sicheres Verfahren wie etwa ein persönliches Treffen oder durch vertrauenswürdige Boten ausgetauscht werden müßten.
T
T
T
¨
§
¥
¥
¥¦
MARTIN HELLMAN wurde 1945 in New York geboren.
Er studierte Elektrotechnik zunächst bis zum Bachelor
an der dortigen Universität; für Master und Promotion
studierte er in Stanford. Nach kurzen Zwischenaufenthalten am Watson Research Center der IBM und am
MIT wurde er 1971 Professor an der Stanford University. Seit 1996 ist er emeritiert, gibt aber immer noch
Kurse, mit denen er Schüler für mathematische Probleme interessieren will. Seine home page findet man unter
.
§§
ª
©
¥¦
DIFFIE und HELLMAN machten nur sehr vage Andeutungen, wie so
ein System mit öffentlichen Schritten aussehen könnte. Es ist zunächst
einmal klar, daß ein solches System keinerlei Sicherheit gegen einen
Gegner mit unbeschränkter Rechenkraft (In der Kryptographie spricht
/
R
T
BAILEY WHITFIELD DIFFIE wurde 1944 geboren. Erst
im Alter von zehn Jahren lernte er lesen; im gleichen
Jahr hielt eine Lehrerin an seiner New Yorker Grundschule einen Vortrag über Chiffren. Er ließ sich von
seinem Vater alle verfügbare Literatur darüber besorgen, entschied sich dann 1961 aber doch für ein Mathematikstudium am MIT. Um einer Einberufung zu
entgehen, arbeitete er nach seinem Bachelor bei Mitre;
später, nachdem sein Interesse an der Kryptographie
wieder erwacht war, kam er zu Martin Hellman nach
Stanford, der ihn als Forschungsassistent einstellte. Seit
1991 arbeitet er als chief security officer bei Sun Microsystems. Seine dortige home page hat den URL
.
/
Erste Ideen dazu sind in einer auf Januar 1970 datierten Arbeit von
JAMES H. ELLIS zu finden, ein praktikables System in einer auf den
Tatsächlich aber gab es damals bereits Systeme, die auf solchen Funktionen beruhten, auch wenn sie nicht in der offenen Literatur dokumentiert waren: Die britische Communications-Electronics Security Group
(CESG) hatte bereits Ende der sechziger Jahre damit begonnen, nach
entsprechenden Verfahren zu suchen, um die Probleme des Militärs mit
dem Schlüsselmanagement zu lösen, aufbauend auf (impraktikablen)
Ansätzen von AT&T zur Sprachverschlüsselung während des zweiten
Weltkriegs. Die CESG sprach nicht von Kryptographie mit öffentlichen
Schlüsseln, sondern von nichtgeheimer Verschlüsselung, aber das Prinzip war das gleiche.
Natürlich hängt alles davon ab, ob es solche Einwegfunktionen mit
Falltür wirklich gibt. DIFFIE und HELLMAN gaben keine an, und es gab
unter den Experten einige Skepsis bezüglich der Möglichkeit, solche
Funktionen zu finden.
Damit hat man aber noch kein praktikables Kryptosystem, denn bei
einer echten Einwegfunktion ist es auch für den legitimen Empfänger
nicht möglich, seinen Posteingang zu entschlüsseln. DIFFIE und HELLMAN schlagen deshalb eine Einwegfunktion mit Falltür vor, wobei der
legitime Empfänger zusätzlich zu seinem öffentlichen Schlüssel noch
über einen geheimen Schlüssel verfügt, mit dem er (und nur er) diese
Falltür öffnen kann.
Wer im Gegensatz zum BAYESschen Gegner nur über begrenzte Ressourcen verfügt, kann diese Berechnung allerdings möglicherweise nicht
mit realistischem Aufwand durchführen, und nur darauf beruht die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln. DIFFIE und
HELLMAN bezeichnen eine Funktion, deren Umkehrfunktion nicht mit
vertretbarem Aufwand berechnet werden kann, als Einwegfunktion und
schlagen als Verschlüsselungsfunktion eine solche Einwegfunktion vor.
Kap. 2: Anwendungen in der Kryptographie
Zahlentheorie SS 2007
/
/
¯
¹
¶·
¸
¯
°
¯
°
«¬
¬ ®
±
µ ±
²³´µ
°5±
¥¦
§
§
¼§ »
¥¦
§
§
¼§
¥
¥ LEONARD ADLEMAN wurde 1945 in San Francisco geboren. Er studierte in Berkeley, wo er 1968 einen BS
in Mathematik und 1976 einen PhD in Informatik erhielt. Thema seiner Dissertation waren zahlentheoretische Algorithmen und ihre Komplexität. Von 1976 bis
1980 war er an der mathematischen Fakultät des MIT;
seit 1980 ist arbeitet er an der University of Southern
California in Los Angelos. Seine Arbeiten beschäftigen sich mit Zahlentheorie, Kryptographie und Molekularbiologie. Er führte nicht nur 1994 die erste Berechnung mit einem DNS-Computer“ durch, sondern
”
arbeitete auch auf dem Gebiet der Aidsforschung. Heute hat er einen Lehrstuhl für Informatik und Molekularbiologie.
h
n
n
{ <
{ <
mod fast genauso
Für eine natürliche Zahl ist die Funktion
einfach zu berechnen wie wie die Funktion
, ist aber erheblich
chaotischer. Damit ist zumindest vorstellbar, daß diese Funktion Grundlage einer kryptographischen Verschlüsselung sein könnte.
§
§2: Das RSA-Verfahren
ª
RSA ist übrigens identisch mit dem von COCKS vorgeschlagenen System, so daß einige Historiker auch Zweifel an den Behauptungen der
GCHQ haben. Die Beschreibung durch RIVEST, SHAMIR und ADLEMAN
erschien 1978 unter dem Titel A method for obtaining digital signatures
and public-key cryptosystems in Comm. ACM 21, 120–126.
º
ADI SHAMIR wurde 1952 in Tel Aviv geboren. Er studierte zunächst Mathematik an der dortigen Universität;
nach seinem Bachelor wechselte er ans Weizmann Institut, wo er 1975 seinen Master und 1977 die Promotion
in Informatik erhielt. Nach einem Jahr als Postdoc an
der Universität Warwick und drei Jahren am MIT kehrte
er ans Weizmann Institut zurück, wo er bis heute Professor ist. Außer für RSA ist er bekannt sowohl für die
Entwicklung weiterer Kryptoverfahren als auch für erfolgreiche Angriffe gegen Kryptoverfahren. Er schlug
auch einen optischen Spezialrechner zur Faktorisierung
großer Zahlen vor. Seine home page ist erreichbar unter
RIVEST, SHAMIR und ADLEMAN gründeten eine Firma namens RSA
Computer Security Inc., die 1983 das RSA-Verfahren patentieren ließ
und auch nach Auslaufen dieses Patents im September 2000 weiterhin
erfolgreich im Kryptobereich tätig ist. 2002 erhielten RIVEST, SHAMIR
und ADLEMAN für die Entdeckung des RSA-Systems den TURING-Preis
der Association for Computing Machinery ACM, eine jährlich vergebener Preis, der als eine der höchsten Auszeichnungen der Informatik
gilt.
Im akademischen Bereich gab es ein Jahr nach Erscheinen der Arbeit von DIFFIE und HELLMAN das erste Kryptosystem mit öffentlichen
Schlüsseln: Drei Wissenschaftler am Massachussetts Institute of Technology fanden nach rund vierzig erfolglosen Ansätzen 1977 schließlich
jenes System, das heute nach ihren Anfangsbuchstaben mit RSA bezeichnet wird: RON RIVEST, ADI SHAMIR und LEN ADLEMAN.
RONALD LINN RIVEST wurde 1947 in Schenectady
im US-Bundesstaat New York geboren. Er studierte
zunächst Mathematik an der Yale University, wo er
1969 seinen Bachelor bekam; danach studierte er in
Stanford Informatik. Nach seiner Promotion 1974 wurde er Assistenzprofessor am Massachussetts Institute of Technology, wo er heute einen Lehrstuhl hat.
Er arbeitet immer noch auf dem Gebiet der Kryptographie und entwickelte eine ganze Reihe weiterer Verfahren, auch symmetrische Verschlüsselungsalgorithmen und Hashverfahren. Er ist Koautor eines
Lehrbuchs über Algorithmen. Seine home page ist
Kap. 2: Anwendungen in der Kryptographie
/
20. November 1973 datierten Arbeit von CLIFF C. COCKS. Wie im
Milieu üblich, gelangte nichts über diese Arbeiten an die Öffentlichkeit; erst 1997 veröffentlichten die Goverment Communications
Headquarters (GCHQ), zu denen CESG gehört, einige Arbeiten aus
der damaligen Zeit; eine Zeitlang waren sie auch auf dem Server
zu finden, wo sie allerdings inzwischen
anscheinend wieder verschwunden sind.
Zahlentheorie SS 2007
:
h
<
<
¥
¥¦
§
©
/
40
80
100
;
h
H
L

½
¿
½¾
h
}

H
J
L
P
K
K
h
}
|
<

4
h
Â
Á
À
h
n
À
n
<
h
}
K
P
|
h
<
t

K
K
P

<
<
P
K
P
K
{
K
K
h
2
h
1) =
( + )+1
}
2
h
2
h
}
À
{
n
{ <

h
<
{ <
K
h

h
<
Zur praktischen Durchführung des RSA-Verfahrens wählt sich jeder
, die unbedingt geheim
Teilnehmer zwei verschiedene Primzahlen
äquivalent zur Kenntnis der Faktorisierung, denn wenn man Summe und
Produkt zweier Zahlen kennt, kann man auch die Zahlen selbst durch
Lösen einer quadratischen Gleichung bestimmen.
( )=(
1)(
1
Für eine Primzahl = kann natürlich jeder ganz einfach ( ) =
berechnen; ist
=
dagegen das Produkt zweier Primzahlen, so ist
die Bestimmung von
h
Die Beschränkung auf prime Restklassen ist für kryptographische Anwendungen ungünstig: Am einfachsten wäre es, wenn wir jede Bitfolge,
deren Länge kleiner ist als die der Binärdarstellung von , als Zahl
1 auffassen, verschlüsseln und übertragen könnten.
zwischen 0 und
h
zueinander invers.
Jeder, der und kennt, kann damit auch berechnen, allerdings muß
er dazu als erstes ( ) bestimmen. Nach der Formel aus Kapitel 1, 6 ist
das möglich, wenn er die Primfaktorzerlegung von kennt. Einfachere
alternative Verfahren sind nicht bekannt, und wie wir in Kapitel sechs
sehen werden, ist diese Primfaktorisierung für hinreichend große Zahlen
mit den derzeit bekannten Algorithmen nicht mit realistischem
Aufwand zu ermitteln.
|
)
|
(
t
)
L
}
h
(
}
h
und
8
h
)
}
(
8
)
h
h
(
{ <
Somit sind die Funktionen

<
.
n
mod
K
6
)
K{
h
h
(
h
L
1+

=
K
Beweis: Als quadratfreie Zahl ist
ein Produkt verschiedener Primzahlen , und ( ) ist das Produkt der zugehörigen ( ). Somit ist
auch
1 mod ( ) für alle , und nach dem chinesischen Restesatz genügt es, wenn wir den Satz für die einzelnen
beweisen. Ist
= prim, so ist Null das einzige Element von
, das keine prime Restklasse hat, und es wird von beiden Funktionen auf sich selbst
abgebildet.
{ <
K
( ) =
K
P
in 101
60
K{
h
8
3
P
<
Die Funktion
K
8
Dazu muß sie natürlich zunächst einmal injektiv sein. Da die Ordnung
) Teiler von ( ) ist, muß insbesondere
eines Elements von (
teilerfremd zu ( ) sein. Dann lassen sich mit dem erweiterten EUKLIDischen Algorithmus Zahlen
finden, so daß
( )=1
ist, d.h. für jedes zu teilerfremde ist
20
P
À
}
0
P
h
20
K
bijektiv und invers zueinander.
P
40
sind die beiden Funktio-
h
und
Satz: Für eine quadratfreie natürliche Zahl
nen
K
60
80
Der Empfänger könnte dann die Zahl entschlüsseln, als Bitfolge hinschreiben und daraus die Nachricht rekonstruieren. Zum Glück ist das
so möglich:
Kap. 2: Anwendungen in der Kryptographie
/
100
Zahlentheorie SS 2007
B
2
4
h
D
/
<
n
À
|
<
<
|
2
h
2
h
H
L
}
K
H
J
0
h
}
|
2
L
h
L
0
À
t

n
0
0
h
h
h
h
n
t
|
Jeder, der den öffentlichen Schlüssel (
) kennt, kann Nachrichten
verschlüsseln: Er bricht die Nachricht auf in Blöcke, die durch ganze
1 dargestellt werden können, berechnet für
Zahlen zwischen 0 und
jeden so dargestellten Block den Chiffretext
mod , der als Zahl
1 interpretiert und an den Inhaber des geheimen
zwischen null und
Schlüssels geschickt wird. Dieser berechnet mod
mod = ,
und da er dazu seinen geheimen Schlüssel braucht, kann dies niemand
außer ihm.
h
für alle , läßt sich damit die Entschlüsselung rückgängig machen.
<
Für große Exponenten ist es auch nicht mehr möglich, die Potenz
durch sukzessive Multiplikation mit zu berechnen, die benötigten
1 Multiplikationen lägen ebenfalls weit jenseits der Rechenleistung
selbst von Supercomputern.
h
mod
n
1)(
1) nach dem EUDes weiteren berechnet er zu ( ) = (
Algorithmus eine natürliche Zahl , so daß + ( ) = 1
ist für ein gewisses
. Diese Zahl ist sein geheimer Schlüssel; da
h
Bei der Berechnung von
mod und
mod darf man natürlich
bzw. berechnen und dann modulo reduzieren: Schon
nicht erst
für rund dreißigstellige Exponenten würde das zu Zwischenergebnissen
führen, mit denen selbst die leistungsfähigsten heutigen Supercomputer
nicht mehr fertig würden. Um die Länge der Zwischenergebnisse in
Grenzen zu halten, muß nach jeder Multiplikation sofort modulo
reduziert werden.
À
h
KLIDischen
Kap. 2: Anwendungen in der Kryptographie
/
gehalten werden müssen, und eine natürliche Zahl , die keinen gemeinsamen Teiler mit (
1)(
1) hat. Die Zahlen =
und sind sein
öffentlicher Schlüssel, der beispielsweise in einem Verzeichnis publiziert werden kann.
Zahlentheorie SS 2007
G
|
L
[
Æ

<
À
À
Ã
ZÅÄ
<
1
Im Gegensatz zu symmetrischen Kryptoverfahren endet die Nützlichkeit
des RSA-Verfahrens nicht mit der bloßen Möglichkeit einer Verschlüsselung; es erlaubt noch eine ganze Reihe weiterer Anwendungen:
Der private Exponent wird und sollte fast immer in der Größenordnung von sein; im nächsten Kapitel werden wir sehen, daß leicht
faktorisiert werden kann, wenn zu klein ist.
§3: Weitere Anwendungen des RSA-Verfahrens
h
1
für diese beiden Werte berechnen; sobald man ein ganzzahliges Ergebnis
bekommt, ist gefunden.
0
0
Entsprechend können wir für jede gerade Zahl = 2 die Potenz
als Quadrat von
berechnen. Für einen ungeraden Exponenten ist
1
berechnen,
1 gerade, wenn wir also
als Produkt von und
können wir zumindest im nächsten Schritt wieder die Formel für gerade
Exponenten verwenden. Somit reichen pro Binärziffer des Exponenten
ein bis zwei Multiplikationen; der Aufwand wächst also nur proportional
zur Stellenzahl von . Für den ebenfalls recht populären Verschlüsselungsexponenten = 216 + 1 = 65537 beispielsweise braucht man nur
17 Multiplikationen, nicht 65536.
4
n
<
mit nur fünf Multiplikationen (genauer: Quadrierungen) berechnen.
=
2
2 2
2 2
Ç
In der Praxis wird oft der öffentliche Exponent = 3 verwendet (was
natürlich voraussetzt, daß die verwendeten Primzahlen kongruent zwei
modulo drei sind), so daß zumindest die Verschlüsselung recht einfach
ist. Außerdem läßt sich dann der private Exponent sehr einfach bestimmen: Nach der allgemeinen Theorie gibt es Zahlen
, so daß
( ) = 1 ist. Durch Addition eines Vielfachen der Gleichung
( )
( ) = 0 läßt sich dabei erreichen, daß 1
1 ist.
Für = 3 kommen also nur = 1 und = 2 in Frage. Man muß daher
nur
1+ ( )
=
h
32
Zum Glück gibt es eine erheblich effizientere Alternative: Um beispielsweise 32 zu berechnen brauchen wir keine 31 Multiplikationen, sondern
wir können es über die Formel
<
U <
|
Q
n
9
<
T
<
n
<

|
<
|
|
H
L
|
4
H
L
I
L
I
|
H
h
}
H
|
h
|
}
h
}
H
h
}
|
|
L
Á
|
L
L
h
L
h
/
M
1
0
h
|
h
L
t
n
Hier geht es darum, in Zugangskontrollsystemen, vor Geldautomaten
oder bei einer Bestellung im Internet die Identität einer Person zu beweisen: Mit RSA ist das beispielsweise dadurch möglich, daß nur der
Inhaber des geheimen Schlüssels zu einer gegebenen Zahl eine Zahl
berechnen kann, für die
mod
ist. Letzteres wiederum kann
jeder überprüfen, der den öffentlichen Schlüssel (
) kennt.
a) Identitätsnachweis
Zahlentheorie SS 2007
1
1
3
0
1
4
Praktische Bedeutung hat vor allem eine andere Variante: die elektronische Unterschrift. Hier geht es darum, daß der Empfänger erstens
davon überzeugt wird, daß eine Nachricht tatsächlich vom behaupteten Absender stammt, und daß er dies zweitens auch einem Dritten
gegenüber beweisen kann. (In Deutschland sind solche elektronischen
Unterschriften, sofern gewisse formale Voraussetzungen erfüllt sind,
rechtsverbindlich.)
0
0
1
0
1
1
|
h
i
I
0
0
L
1
h
0
1
;
0
h
0
t
1
falls ja, akzeptiert er dies als unterschriebene Nachricht . Da er ohne
Kenntnis des geheimen Schlüssels nicht in der Lage ist, den Block
( ) zu erzeugen, kann er auch gegenüber einem Dritten beweisen, daß
der Absender die Nachricht unterschrieben hat.
054
n
mod
) an den Empfänger. Dieser überprüft, ob
mod
À
=
4
und sendet das Paar (
zu unterschreiben,
Um einen Nachrichtenblock mit 0
berechnet der Inhaber des öffentlichen Schlüsseln (
) mit seinem
geheimen Schlüssel die Zahl
h
Trotzdem ist das Verfahren in dieser Form nicht als Ersatz zur Übertragung von rechtlich bindender Information geeignet, da der Gegenüber
anhand des öffentlichen Schlüssels jederzeit zu einer willkürlich gewählten Zahl die Zahl = mod erzeugen kann um dann zu behaupten,
er habe als Antwort darauf empfangen. Daher kann der Inhaber des
geheimen Schlüssels zwar seine Identität beweisen, aber sein Gegenüber
kann später nicht beispielsweise vor Gericht beweisen, daß er dies (zum
Beispiel bei einer Geldabhebung oder Bestellung) getan hat. Falls dies
eventuell nötig werden könnte, ist das hier vorgestellte Verfahren also
ungeeignet; es funktioniert nur zwischen Personen, die einander vertrauen können.
n
9
Grundsätzlich bräuchte man hier kein Kryptosystem mit öffentlichen
Schlüsseln; in der Tat funktionierten die ersten Freund-/Feinderkennungssysteme für Flugzeuge zur Zeit des zweiten Weltkriegs nach diesem Prinzip, aber damals natürlich mit einem klassischen symmetrischen Kryptosystem, wobei alle Teilnehmer mit demselben Schlüssel
arbeiteten. Der Vorteil eines asymmetrischen Systems besteht darin,
daß sich keiner der Teilnehmer für einen anderen ausgeben kann, was
beispielweise wichtig ist, wenn man sich gegenüber weniger vertrauenswürdigen Personen identifizieren muß.
L
b) Elektronische Unterschriften
h
Falls also der jeweilige Gegenüber eine Zufallszahl erzeugt und als
Antwort das zugehörige verlangt, kann er anhand eines öffentlichen
Schlüsselverzeichnisses die Richtigkeit von überprüfen und sich so von
der Identität seines Partners überzeugen. Im Gegensatz zu Kreditkarteninformation oder Paßwörtern ist dieses Verfahren auch immun gegen
Abhören: Falls jedesmal ein neues zufälliges erzeugt wird, nützt ein
einmal abgehörtes nichts.
k
Eine mögliche Modifikation bestünde darin, daß man beispielsweise
noch zusätzlich verlangt, daß die Zahl eine spezielle Form hat, etwa
daß die vordere Hälte der Ziffernfolge identisch mit der hinteren Hälfte
ist. Ohne Kenntnis von hat man cwpratksich keine Chancen eine
Zahl zu finden, für die mod eine solche Gestalt hat: Bei Zahlen
mit 2 Ziffern liegt die Wahrscheinlichkeit dafür bei 10 .
Kap. 2: Anwendungen in der Kryptographie
:S
0
1
054
Für kurze Nachrichten ist dieses Verfahren in der vorgestellten Form
praktikabel; in vielen Fällen kann man sogar auf die Übermittlung von
verzichten, da mod für ein falsch berechnetes mit an Sicherheit
grenzender Wahrscheinlichkeit keine sinnvolle Nachricht ergibt.
L
1
h
n
h
n
1
1
0
1
1
Falls die übermittelte Nachricht geheimgehalten werden soll, müssen
und natürlich noch vor der Übertragung mit dem öffentlichen Schlüssel
des Empfängers oder nach irgendeinem anderen Kryptoverfahren verschlüsselt werden.
0
0
1
0
:
R
Q
<
E
Q
3
È
9
h
<
3
Q
mod
macht daraus eine Unterschrift unter
=
b
\
b
\
\
b
Es wir ausgegeben von einer Bank, die für jede angebotene Stückelung
) bekanntgibt. Eine Banknote ist eine
einen öffentlichen Schlüssel (
mit dem zugehörigen geheimen Schlüssel unterschriebene Seriennummer.
Digitales Bargeld will die Anonymität von Geldscheinen mit elektronischer Übertragbarkeit kombinieren und so ein anonymes Zahlungssystem z.B. für das Internet bieten.
Zahlungen im Internet erfolgen meist über Kreditkarten; die Kreditkartengesellschaften haben also einen recht guten Überblick über die Ausgaben ihrer Kunden und machen teilweise auch recht gute Geschäfte mit
Kundenprofilen.
Das angegebene Verfahren kann nicht nur von Trickbetrügern benutzt
werden; blinde Unterschriften sind auch die Grundlage von digitalem
Bargeld.
1
) mod
h
bekommt. Multiplikation mit
die Zahlungsverpflichtung .
=(
n
mod
À
=
À
Q
h
4
Die Seriennummer kann natürlich nicht einfach jede Zahl sein; sonst
eine Banknote. Andererseit dürfen die Seriwäre jede Zahl kleiner
ennummern aber auch nicht von der Bank vergeben werden, denn sonst
wüßte diese, welcher Kunde Scheine mit welchem Seriennummern hat.
Als Ausweg wählt man Seriennummern einer sehr speziellen Form:
Ist
10150 , kann man etwa als Seriennummer eine 150-stellige
Zahl wählen, deren Ziffern spiegelsymmetrisch zur Mitte sind, d.h. ab
der 76. Ziffer werden die vorherigen Ziffern rückwärts wiederholt. Die
Wahrscheinlichkeit, daß eine zufällige Zahl nach Anwendung des
öffentlichen Exponenten auf so eine Zahl führt, ist 10 75 und damit
vernachlässigbar.
|
Nun muß eine sinnlose Nachricht aber nicht unbedingt eine Zufallszahl
sein: Sie kann sorgfältig präpariert sein. Sei dazu etwa eine Nachricht,
) der öffentliche Schlüssel des
die ein Zahlungsversprechen enthält, (
3
3
So sollte es durch gutes Zureden nicht schwer sein, jemanden zu Demonstrationszwecken zum Unterschreiben einer sinnlosen Nachricht zu
bewegen: Eine Folge von Nullen und Einsen ohne sinnvolle Interpretation hat schließlich keine rechtliche Wirkung.
h
À
Einer der erfolgversprechendsten Ansätze zum Aushebeln eines Kryptosystems besteht darin, sich auf die Dummheit seiner Mitmenschen zu
verlassen.
n
mod
2. Dann wird
wie eine Zufallsfolge aussehen, für die man eine Unterschrift
=
h
h
c) Blinde Unterschriften und elektronisches Bargeld
3
Opfers und eine Zufallszahl zwischen 2 und
Kap. 2: Anwendungen in der Kryptographie
Eine wichtige Anwendung elektronischer Unterschriften ist übrigens
auch die Veröffentlichung von RSA-Schlüsseln: Falls es einem Angreifer gelingt, einem Teilnehmer einen falschen öffentlichen Schlüssel
von Teilnehmer unterzuschieben, kann (nur) der Angreifer die Nachrichten von an lesen, und er kann sich gegenüber mittels elektronischer Unterschrift als ausgeben. Daher sind öffentliche Schlüssel
meist unterschrieben von einer Zertifizierungsstelle, deren elektronische
Unterschrift jeder Teilnehmer kennt (weil sie beispielsweise im Mailoder Browserprogramm eingebaut ist).
Bei langen Nachrichten ist die Verdoppelung der Nachrichtenlänge nicht
mehr akzeptabel, und selbst, wenn man auf die Übertragung von verzichten kann, ist das Unterschreiben jedes einzelnen Blocks sehr aufwendig. Deshalb unterschreibt man meist nicht die Nachricht selbst, sondern
einen daraus extrahierten Hashwert. Dieser Wert muß natürlich erstens
von der gesamten Nachricht abhängen, und zweitens muß es für den
Empfänger (praktisch) unmöglich sein, zwei Nachrichten zu erzeugen,
die zum gleichen Hashwert führen. Bislang wurden dazu meist spezielle
kryptographische Hash-Funktionen verwendet, die einen 160 Bit langen
Wert lieferten, jedoch ist deren Sicherheit inzwischen umstritten, so daß
aufwendigere Funktionen, die Hashwerte von ca. 256 Bit liefern, ratsam
erscheinen.
Zahlentheorie SS 2007
:
9
<
h
h
f
Q
h
|
4
h
3
O
:
Q
È
h
/
Seriennummern werden von den Kunden zufällig erzeugt. Für jede solerzeugt der Kunde eine Zufallszahl , schickt
che Seriennummer
mod
an die Bank und erhält (nach Belastung seines Kontos)
eine Unterschrift für diese Nachricht zurück. Wie oben berechnet er
mod
daraus durch Multiplikation mit 1 die Unterschrift =
für die Seriennummer , und mit diesem Block kann er bezahlen.
Zahlentheorie SS 2007
À
9
n
Q
3
Q
3
h
n
h
Der Zahlungsempfänger berechnet mod ; falls dies die Form einer
gültigen Seriennummer hat, kann er sicher sein, einen von der Bank
unterschriebenen Geldschein vor sich zu haben. Er kann allerdings noch
nicht sicher sein, daß dieser Geldschein nicht schon einmal ausgegeben
wurde.
O
Bei 1075 möglichen Nummern liegt die Wahrscheinlichkeit dafür, daß
zwei Kunden, die eine (wirklich) zufällige Zahl wählen, dieselbe Nummer erzeugen, bei etwa 10 37 5 . Die Wahrscheinlichkeit, mit jeweils
einem Spielschein fünf Wochen lang hintereinander sechs Richtige im
5
Lotto zu haben, liegt dagegen bei 49
5 10 35 , also etwa um den
6
Faktor sechzig höher. Zwei gleiche Seriennummern sind also praktisch
auszuschließen, wenn auch theoretisch möglich.
Deshalb muß er die Seriennummer an die Bank melden, die mit ihrer Datenbank bereits ausbezahlter Seriennummern vergleicht. Falls sie darin
noch nicht vorkommt, wird sie eingetragen und der Händler bekommt
sein Geld; andernfalls verweigert sie die Zahlung.
9
9
d
E
9

Da digitales Bargeld nur in kleinen Stückelungen sinnvoll ist (Geldscheinen im Millionenwert wären auf Grund ihrer Seltenheit nicht wirklich
anonym und würden, wegen der damit verbundenen Möglichkeiten zur
Geldwäsche, auch in keinem seriösen Wirtschaftssystem akzeptiert),
wäre der theoretisch mögliche Verlust ohnehin nicht sehr groß.
Falls wirklich einmal zufälligerweise zwei gleiche Seriennummern erzeugt worden sein sollten, kann das System nur funktionieren, wenn
der zweite Geldschein mit derselben Seriennummer nicht anerkannt
wird, so daß der zweite Kunde sein Geld verliert. Dies muß als eine
zusätzliche Gebühr gesehen werden, die mit an Sicherheit grenzender
Wahrscheinlichkeit nie fällig wird, aber trotzdem nicht ausgeschlossen
werden kann.
:
Aus diesem Grund sind die Kontendaten auf dem Chip mit dem privaten RSA-Schlüssel des Konsortiums unterschrieben. Die Terminals
Da frei programmierbare Chipkarten relativ billig sind, muß dafür Sorge
getragen werden, daß ein solches System nicht durch einen Yes-Chip unterlaufen werden kann, der ebenfalls die Konteninformationen enthält,
ansonsten aber ein Programm, das ihn jede Geheimzahl akzeptieren läßt.
Das Terminal muß also, bevor es überhaupt eine Geheimzahl anfordert,
zunächst einmal den Chip authentizieren, d.h. sich davon überzeugen,
daß es sich um einen vom Bankenkonsortium ausgegebenen Chip handelt.
In Frankreich haben die entsprechenden Karten zusätzlich zum Magnetstreifen noch einen Chip, in dem ebenfalls die Kontendaten gespeichert
sind sowie, in einem auslesesicheren Register, Informationen über die
Geheimzahl. Dort wird die ins Lesegerät eingetippte Geheimzahl nicht
an den Zentralrechner übertragen, sondern an den Chip, der sie überprüft
und akzeptiert oder auch nicht.
Um eine Karte zu überprüfen, muß daher eine Verbindung zu einem
Zentralrechner aufgebaut werden, an den sowohl der Inhalt des Magnetstreifens als auch die vom Kunden eingetippte Zahl übertragen werden;
dieser wendet Triple-DES mit dem Systemschlüssel an und meldet dann,
wie die Prüfung ausgefallen ist.
Der Schlüssel, mit dem dieses arbeitet, muß natürlich streng geheimgehalten werden: Wer ihn kennt, kann problemlos die Geheimzahlen
fremder Karten ermitteln und eigene Karten zu beliebigen Konten erzeugen.
In Deutschland und den meisten anderen Ländern hat eine Bankkarte einen Magnetstreifen, auf dem die wichtigsten Informationen wie
Kontenname und -nummer, Bankleitzahl, Gültigkeitsdauer usw. gespeichert sind; dazu kommt verschlüsselte Information, die unter anderem
die Geheimzahl enthält, die aber auch von den obengenannten Daten
abhängt. Zur Verschlüsselung verwendet man hier ein konventionelles,
d.h. symmetrisches Kryptoverfahren; derzeit noch meist Triple-DES.
d) Bankkarten mit Chip
Kap. 2: Anwendungen in der Kryptographie
:
weiterhin nur über den 320-Bit-Modul mit inzwischen wohlbekannter
Faktorisierung geschützt“ sind.
”
kennen den öffentlichen Schlüssel dazu und können so die Unterschrift
überprüfen.
:
;
Blieb noch das Problem, den Modul zu faktorisieren. Dazu besorgte er
sich ein japanisches Programm aus dem Internet, das zwar eigentlich
für kleinere Zahlen gedacht war, aber eine Anpassung der Wortlänge ist
natürlich auch für jemanden, der den Algorithmus hinter dem Programm
nicht versteht, kein Problem. Nach sechs Wochen Laufzeit hatte sein PC
damit den Modul faktorisiert:
Diese Einzelheiten und speziell deren technische Implementierung wurden vom Bankenkonsortium zunächst streng geheimgehalten. Trotzdem
machte sich 1997 ein elsässischer Ingenieur namens SERGE HUMPICH
daran, den Chip genauer zu untersuchen. Er verschaffte sich dazu ein
(im freien Verkauf erhältliches) Terminal und untersuchte sowohl die
Kommunikation zwischen Chip und Terminal als auch die Vorgänge
innerhalb des Terminals mit Hilfe eines Logikanalysators. Damit gelang es ihm nach und nach, die Funktionsweise des Terminals zu entschlüsseln und in ein äquivalentes PC-Programm zu übersetzen. Durch
dessen Analyse konnte er die Authentizierungsprozedur und die Prüflogik entschlüsseln und insbesondere auch feststellen, daß hier mit RSA
gearbeitet wurde.

j
Seit November 1999 haben neu ausgegebene Bankkarten nun noch ein
zusätzliches Feld mit einer Unterschrift, die im Gegensatz zum obigen
320-Bit-Modul einen 768-Bit-Modul verwendet. Natürlich kann es nur
von neueren Terminals überprüft werden, so daß viele Transaktionen
Als er seine Ergebnisse über einen Anwalt dem Bankenkonsortium mitteilte, zeigte sich, was dieses sich unter Sicherheitsstandards vorstellt:
Es erreichte, daß HUMPICH wegen des Eindringens in ein DV-System zu
zehn Monaten Haft auf Bewährung sowie einem Franc Schadenersatz
plus Zinsen verurteilt wurde; dazu kamen 12 000 F Geldstrafe.
1917481702524504439375786268230862180696934189293
= 1113954325148827987925490175477024844070922844843
Offiziell geht bei den Empfehlungen allgemein um geeignete Algorithmen für elektronische Unterschriften sowie deren Schlüssellängen, aber
wie die Entwicklung der letzten Jahre zeigte, drehen sich die Diskussionen, die zu den jeweiligen Empfehlungen führen, tatsächlich fast
ausschließlich um die jeweils notwendige Schlüssellänge für RSA.
Da Rechner immer schneller und leistungsfähiger werden und auch auf
der mathematisch-algorithmischen Seite fast jedes Jahr kleinere oder
größere Fortschritte zu verzeichnen sind, gelten die jeweiligen Empfehlungen nur für etwa sechs Jahre. Für Dokumente, die länger gütlig sein
sollen, sind elektronische Unterschriften also nicht vorgesehen.
SigV steht für die aufgrund des Signaturgesetztes SigG erlassene Signaturverordnung; beide gemeinsam legen fest, daß elektronische Unterschriften in Deutschland grundsätzlich zulässig und rechtsgültig sind,
sofern gewisse Bedingungen erfüllt sind. Zu diesen Bedingungen gehört
unter anderem, daß das Verfahren und die Schlüssellänge gemeinsam
einen geeigneten Kryptoalgorihmus“ im Sinne der jeweils gültigen
”
Veröffentlichung der Bundesnetzagentur ist.
2
213598703592091008239502270499962879705109534182
6417406442524165008583957746445088405009430865999
Das Beispiel der französischen Bankkarten zeigt, daß RSA höchstens
dann sicher ist, wenn die Primzahlen und hinreichend groß gewählt
werden. Als erstes müssen wir uns daher die Frage stellen, wie groß eine
hinreichend große“ Zahl heute sein muß.
”
Ein treu sorgender Staat läßt seine Bürgern bei einer derart wichtigen
Frage natürlich nicht allein: Zwar gibt es noch keine oberste Bundesbehörde für Primzahlen, aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen publizieren jedes Jahr ein
Dokument mit dem Titel Geeignete Kryptoalgorithmen zur Erfüllung
der Anforderungen nach 17 Abs. 1 bis 3 SigG vom 22. Mai 2001 in
Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV vom 22. November 2001.
:
§4: Wie groß sollten die Primzahlen sein?
Kap. 2: Anwendungen in der Kryptographie
Zahlentheorie SS 2007
B
:
D
Bis Ende 2000 galten 768 Bit als ausreichende Größe für das Produkt
der beiden Primzahlen, jener Wert also, den die neueren französischen
Bankkarten verwenden und den ebenfalls nur die neueren Terminals
So ist beispielsweise zu erklären, daß es vieler Anläufe bedurfte, um
die Schlüssellänge für RSA auf einen Wert über 1024 Bit zu bringen,
denn es gab viele Chips mit Hardware-Implementierungen von RSA für
Schlüssellängen von bis zu 1024 Bit, während größere Schlüssellängen
zunächst vor allem in public domain Software wie PGP zu finden waren.
Das endgültige Ergebnis ist dann ein Kompromiss zwischen den verschiedenen Positionen.
Andererseits melden sich die Anwender von Kryptoverfahren zu Wort;
vor allem sind das Vertreter der Dachverbände des Kreditgewerbes.
Diese müssen für eine starke Kryptographie eintreten, denn falls die
Kryptographie einer von ihnen ausgegebenen Chipkarte geknackt wird,
könnte das für ihre Mitglieder sehr teuer werden. Teuer wird es aber
auch, wenn Chipkarten vor Ablauf ihrer Gültigkeit ausgetauscht werden
müssen, weil sie nicht mehr den aktuellen Anforderungen entsprechen.
Da Chipkarten ein bis zwei Jahre vor Ausgabe in Auftrag gegeben
werden müssen und dann im allgemeinen drei Jahre lang gültig sind,
versucht dieser Teil der Öffentlichkeit vor allem, die von den Kryptologen für notwendig erachteten Änderungen um ein bis zwei Jahre
hinauszuzögern.
Die interessierte Öffentlichkeit, von der die Kommentare zu den Entwürfen kommen, besteht einerseits aus Anbietern von Hardware und
Software für Kryptographie, und als erfahrene Experten für Datensicherheit wissen diese, daß ein Verfahren nur dann wirklich geeignet
sein kann, wenn es die eigene Firma im Angebot hat. (Am geeignetsten
sind natürlich die Verfahren, die keines der Konkurrenzunternehmen
anbietet.)
Nach diesem großen Kraftakt erschienen 2003 keine neuen Richtlinien
mehr; erst für 2004 gab es am 2. Januar 2004 neue Empfehlungen
(Bundesanzeiger Nr. 30 vom 13. Februar 2004, S. 2537–2538). Für den
Zeitraum bis Ende 2008 wurden die alten Empfehlungen beibehalten, bis
Ende 2009 aber 1536 Bit gefordert. Die nächsten Richtlinien für 2005
sahen in ihrem ersten Vorentwurf 2048 Bit bis Ende 2010 vor; nach
Einsprüchen der Banken, daß das Betriebssystem SECCOS der heute
üblichen Chipkarten nur mit maximal 1984 Bit-Schlüsseln umgehen
kann, wurde die Länge im zweiten Entwurf auf 1984 gesenkt; in den
endgültigen Richtlinien vom 2. Januar 2005 waren es schließlich nur
noch 1728.
Im April 2002 erschien der erste Entwurf für die 2002er Richtlinien;
darin war für 2006 und 2007 nur eine Mindestlänge von 2048 Bit wirklich sicher. Einsprüche führten im September 2002 zu einem revidierten
Entwurf, wonach 2006 doch noch 1024 Bit reichen, 2007 aber mindestens 1536 notwendig werden. Die Mindestlänge von 2048 Bit wurde
wieder zur Empfehlung“ zurückgestuft.
”
Am 2. Januar 2003 erschienen endlich die offiziellen Richtlinien des
Jahres 2002; veröffentlich wurden sie am 11. März 2003 im Bundesanzeiger Nr. 48, S. 4202–4203. Danach reichen 1024 Bit auch noch bis
Ende 2007, erst 2008 werden 1280 Bit erforderlich. Die 2048 Bit blieben
dringend empohlen.
Anbieterproteste führten dazu, daß nach den Richtlinien von 2001 eine
Schlüssellänge von 1024 dann doch noch bis Ende 2006 sicher war;
die Schlüssellänge 2048 war nur noch empfohlen“, also nicht mehr
”
verbindlich.
Die Richtlinien für 2000 erlaubten die 768 Bit ebenfalls noch bis zum
Ende des Jahres; für Dokumente mit einer längeren Gültigkeit verlangten sie bis Mitte 2005 eine Mindestgröße von 1024 Bit, danach bis
Ende 2005 sogar 2048 Bit.
lesen können. Schon in den Richtlinien für 1998 wurden 768 Bit jedoch ausdrücklich nur übergangsweise zugelassen; längerfristig, d.h.
bei Gültigkeit über 2000 hinaus, waren mindestens 1024 Bit vorgeschrieben.
Kap. 2: Anwendungen in der Kryptographie
:
Natürlich hat in einer Demokratie bei so einer wichtigen Frage auch
die Bevölkerung ein Mitspracherecht; deshalb beginnt das BSI jeweils
zunächst einen Entwurf, zu dem es um Kommentare bittet; erst einige Monate später wird die endgültige Empfehlung verkündet und im
Bundesanzeiger veröffentlicht.
Zahlentheorie SS 2007
G
h
:
M
2007 2008 2009
1024 1280 1536
2010 2012
1728 1976 Bit.
2
4
Ê
i
Ê 2
i
.
.
.
230
109
4
f
0
4
d
i
i
2
9
=
h
=
=
=
h
<
=
<
h
<
=
Als Körper verwendet man entweder Körper von Zweipotenzordnung,
die wir weiter unten betrachten werden, oder Körper von Primzahlordnung. Da es für viele interessante Körper von Zweipotenzordnung
bereits Chips gibt, die dort diskrete Logarithmen berechnen, dürften
Körper von Primzahlordnung bei ungefähr gleicher Elementanzahl wohl
etwas sicherer sein: Es gibt einfach viel mehr Primzahlen als Zweierpo-
h
h
<
Kurz nach der Veröffentlichung des RSA-Algorithmus fanden auch DIFFIE und HELLMAN ein Verfahren, das im Gegensatz zu RSA sogar ganz
ohne vorvereinbarte Schlüssel auskommt: Zwei Personen vereinbaren
0
h
§5: Verfahren mit diskreten Logarithmen
0
Die Berechnung der Potenzfunktion durch sukzessives Quadrieren und
Multiplizieren ist auch in endlichen Körpern einfach, für ihre Umkehrfunktion, den diskreten Logarithmus gibt es aber derzeit nur deutlich
schlechtere Verfahren. Die derzeit besten Verfahren zur Berechnung
von diskreten Logarithmen in Körpern mit
Elementen erfordern etwa denselben Aufwand wie die Faktorisierung eines RSA-Moduls der
Größenordnung . Diese Diskrepanz zwischen Potenzfunktion und Logarithmen kann kryptologisch ausgenutzt werden.

gelten, d.h. die beiden Primzahlen sollten zwar ungefähr dieselbe
Größenordnung haben, aber nicht zu nahe beieinander liegen. Der
Grund dafür ist ein von FERMAT entdecktes Faktorisierungsverfahren
auf Grundlage der dritten binomischen Formel: Falls für eine Zahl
und eine natürliche Zahl die Zahl + 2 eine Quadratzahl 2 ist, ist
2
= ( + )(
= 2
), womit zwei Faktoren gefunden sind.
Probiert man alle kleinen natürlichen Zahlen systematisch durch, führt
dieses Verfahren offensichtlich umso schneller zum Erfolg, je näher die
beiden Faktoren von beieinander liegen. Wir werden uns in Kapitel
sechs noch genauer damit befassen.
10
Ë
2
die kleinere der beiden Primzahlen, soll also
4
vorgeschlagen; ist
= 30
.
2
=
0
= 0 1 und
Ë
1
0
c
gilt. Als Anhaltspunkte werden dabei die Werte
<
2
{ <
log2
0
log2
Ì
Trotz dieser formalen Übereinstimmung gibt es es allerdings große Unterschiede zwischen reellen Logarithmen und ihren Analoga in endlichen Körpern: Während reelle Logarithmen sanft ansteigende stetige
Funktionen sind, die man leicht mit beliebig guter Genauigkeit annähern
kann, sieht der diskrete Logarithmus typischerweise so aus, wie es in
der Abbildung zu sehen ist. Auch ist im Reellen der Logarithmus zur
1 für jede positive Zahl definiert; in endlichen Körpern ist es
Basis
viel schwerer zu entscheiden, ob ein bestimmter Logarithmus existiert:
Modulo sieben etwa sind 2 4 und 1 die einzigen Zweierpotenzen, so daß
3 5 und 6 keine Zweierlogarithmen haben. Ein Satz aus der Algebra besagt allerdings, daß es stets Elemente gibt, für die jeden Wert außer
der Null annimmt, die sogenannten primitiven Wurzeln. In 7 wären
dies etwa drei und fünf.
=
1

Ausgangspunkt ist wieder das Potenzieren im Körper ; hier betrachten
wir aber die Exponentialfunktion
zu einer geeigneten Basis .
Ihre Umkehrfunktion bezeichnet man als Index oder diskreten Logarithmus zur Basis :
=
=
= log .
0
sollen zufällig und unabhängig voneinanDie beiden Primfaktoren
der erzeugt werden und aus einem Bereich stammen, in dem
über eine unsichere Leitung einen Schlüssel, den anschließend nur sie
kennen.
Kap. 2: Anwendungen in der Kryptographie
Ë
(1976 unterscheidet sich nicht wesentlich von 2048; der minimal kleinere Wert wurde in Hinblick auf die oben erwähnten Probleme mit SECCOS
gewählt.)
bis Ende
Minimallänge
Die neuesten Richtlinien stammen vom 12. April 2007 (Bundesanzeiger
Nr. 69 S. 3759). Sie empfehlen grundsätzlich schon heute 2048 Bit, aber
wirklich verbindlich sind
Zahlentheorie SS 2007
;S
;
40
80
100
Í
È
R
=
mod
mod ;
Ein Gegner, der den Datenaustausch abgehört hat, kennt die Zahlen
und ; um
mod zu finden, muß er den diskreten Logarithmus von oder berechnen.
Í
Ë
0
O
O
È
È
054
4

½
Falls sich allerdings die sogenannten Quantencomputer realisieren lassen, werden alle heute bekannten Verfahren der Kryptographie mit
öffentlichen Schlüsseln, egal ob mit diskreten Logarithmen, RSA oder
elliptischen Kurven, unsicher sein. Bislang können Quantencomputer
kaum mit acht Bit rechnen, und nicht alle Experten sind davon überzeugt, daß es je welche geben wird, die mit mehreren Tausend Bit
rechnen können.
Natürlich gibt es keine Garantie, daß kein Gegner mit einem besseren
als den bislang bekannten Verfahren diskrete Logarithmen oder Faktorisierungen auch in weitaus größeren Körpern berechnen kann. Dazu
bräuchte er allerdings einen Durchbruch entweder auf der mathematischen oder auf der technischen Seite, für den weit und breit keine
Grundlage zu sehen ist.
Mit den besten heute bekannten Algorithmen ist die möglich, wenn
eine Primzahl von bis zu etwa 200 Dezimalstellen ist; dies entspricht
etwa 665 Bit. Auch in diesem Fall dauert die Berechnung allerdings
selbst bei massiver Parallelisierung über das Internet mehrere Monate,
gefolgt von einer Schlußrechnung auf einem Supercomputer.
0
Ë
0
{ <
und B ent-
0
Als nächstes wählt Teilnehmer A eine Zufallszahl
Ë
Dazu einigen sie sich zunächst (über die unsichere Leitung) auf eine
Primzahl und eine natürliche Zahl derart, daß die Potenzfunktion
möglichst viele Werte annimmt.

beide haben also auf verschiedene Weise dieselbe Zahl berechnet, die
sie nun als Schlüssel in einem klassischen Kryptosystem verwenden
können, wobei sie sich wohl meist auf einen Teil der Bits beschränken
müssen, da solche Schlüssel typischerweise eine Länge von 128 bis
256 Bit haben, während die Primzahl erheblich größer sein muß.

Beim DIFFIE-HELLMAN-Verfahren, dem ältesten auf der Grundlage diskreter Logarithmen, geht es wie gesagt darum, daß zwei Teilnehmer, die
weder über gemeinsame Schlüsselinformation noch über eine sichere
Leitung verfügen, einen Schlüssel vereinbaren wollen.
O
0
Da Körper von Primzahlordnung auch einfacher sind als solche von
Primzahlpotenzordnung, wollen wir uns zunächst auf diese beschränken; die spätere Übertragung des Algorithmus auf Körper von Zweipotenzordnung sollte dem Leser keine Schwierigkeiten machen.
Í
O
Í
mod
in 101
60

0
0
Die Funktion log51
=
Í
Ë
Í
tenzen, und jeder Fall erfordert einen neue Hardwareentwurf. Falls man
die Primzahlen hinreichend häufig wechselt, dürfte sich dieser Aufwand
für kaum einen Gegner lohnen.
20
i
Ë
0
20

40
Ë
=
=
mod
0
mod
an B und erhält dafür
Ë
und B entsprechend
È
=
mod
Í
mod
=
Ë
Sodann berechnet A die Zahl
; A schickt
60
sprechend
=
mod .
Kap. 2: Anwendungen in der Kryptographie
;
80
100
Zahlentheorie SS 2007
i
<
;
/

2
Ë
<

2 4

=
Unterschreiben lassen sich mit diesem Verfahren Nachrichtenblöcke
mit 0
, insbesondere also 160 bzw. 224 Bit lange Hashwerte.
Dazu wählt man für jede Nachricht eine Zufallszahl mit 0
und berechnet
= ( mod ) mod .
2
2
H
i
H
2
Á

3
2
i
Q
I
2
H
2

mod
2
3
<
Q
t

ist; die Unterschrift unter die Nachricht besteht dann aus den beiden
160 Bit lagen Zahlen und . Sie kann nur berechnet werden von
jemanden, der den geheimen Schlüssel kennt.
2
H
H
+
Da eine Primzahl ist, hat ein multiplikatives Inverses modulo ; man
kann also durch dividieren und erhält eine Zahl , für die
i
Q
3
2
t
2
Î
H
Î
t

die Ordnung hat,
Î
mod ,
Î
2
Ï
3
<
t
Q
2

k
Ï
mod .
2
2

=
Ï
t

k
Ë
Ï

Á
t

3
in dieser Gleichung sind die linke wie auch die rechte Seite modulo
öffentlich bekannt, die Gleichung kann also modulo überprüft werden.
Die Unterschrift wird anerkannt, wenn beide Seiten modulo gleich
sind.
also, da
2
+
Überprüfen kann die Unterschrift allerdings jeder: Ist das multiplikative
Inverse zu modulo , so ist
<
Daß diese Zahlen (bis auf die unwesentliche Differenz zwischen 2048
und 1976) mit den RSA-Modullängen für die entsprechenden Jahre
übereinstimmen, ist kein Zufall: Auch wenn kein direkter Zusammenhang zwischen faktorisierung und der Berechnung diskreter Logarithmen bekannt ist, hat bislang doch jede neue Idee für einen Faktorisierungsalgorithmus auch zu einem Algorithmus zur Berechnung diskreter

9
Die so bestimmten Zahlen
und werden veröffentlicht und können
auch in einem ganzen Netzwerk global eingesetzt werden. Geheimer
Schlüssel jedes Teilnehmers ist eine Zahl zwischen eins und
1;
der zugehörige öffentliche Schlüssel ist =
mod .
Q
1 mod , für deZu dieser Primzahl sucht man eine Primzahl
ren Länge die Bundesnetzagentur bis Ende 2007 mindestens 1024 Bit
vorschreibt, bis Ende 2008 mindestens 1280, bis Ende 2009 mindestens
1536 und bis Ende 2012 mindestens 2048. Empfohlen“ sind auch hier
”
2048 Bit.
Für diese kleine Untergruppe wählt man eine Primzahl , die im ursprünglichen Standard eine Länge von mindestens 160 Bit haben sollte.
Laut Bundesnetzagentur sollte diese Länge auch noch bis Ende 2009
ausreichen, bis Ende 2012 sind allerdings nach dem Entwurf für 2007
mindestens 224 Bit vorgeschrieben, was wahrscheinlich mehr mit den
verwendeten Hashfunktionen als mit der Sicherheit der Unterschrift zu
tun hat.
2
2
Seine Sicherheit beruht auf diskreten Logarithmen, allerdings wird das
klassische Verfahren dadurch modifiziert, daß die Sicherheit zwar auf
dem diskreten Logarithmenproblem in einem großen Körper beruht, die
Rechenoperationen bei der Anwendung des Algorithmus aber nur eine
deutlich kleinere Untergruppe verwenden.
Als nächstes muß ein Element gefunden werden, dessen Potenzen im
Körper eine Gruppe der Ordnung bilden. Das ist einfach: Man starte
mit irgendeinem Element 0
0 und berechne seine (
1) 1
te Potenz. Falls diese ungleich eins ist, muß sie wegen 0
= 1 die
Ordnung haben; andernfalls muß ein neues 0 betrachtet werden.
P
Aus Sicht der amerikanischen Behörden hat DSA gegenüber RSA und
Verfahren wie DIFFIE-HELLMAN vor allem einen großen Vorteil: Es
läßt sich nur für elektronische Unterschriften benutzen, nicht zur Verschlüsselung.
DSA steht für Digital Signature Algorithm, ein Algorithmus der im Digital Signature Standard DSS der USA festgelegt ist und neben RSA
auch zu den von der Bundesnetzagentur empfohlenen Geeigneten Al”
gorithmen“ zählt.
Logarithmen geführt, und die auch Laufzeiten dieser Algorithmen sind
bei gleicher Zahlenlänge ungefähr gleich.
Kap. 2: Anwendungen in der Kryptographie
;
§6: DSA
Zahlentheorie SS 2007
:
2
;
;
Ein Angreifer müßte sich aus verschaffen, müßte also ein diskretes
Logarithmenproblem modulo der großen Primzahl lösen.
Zahlentheorie SS 2007
<
=
Die öffentlichen Schlüssel der gängigen Zertifizierungsstellen sind in
die Browserrprogramme eingebaut; bei weniger bekannten Zertifizierungsstellen wie etwa dem Rechenzentrum der Universität Mannheim
fragt der Browser den Benutzer, ob er das Zertifikat anerkennen will
oder nicht. Bei secure shell schließlich, wo die Gegenseite typischerweise keinerlei Zertifikat vorweisen kann, frägt das Programm beim
ersten Verbindungsaufbau zu einem server, ob dessen Schlüssel anerkannt werden soll und speichert dann einen sogenannten fingerprint
davon; dieser wird bei späteren Verbindungen zur Identitätsfeststellung
benutzt.
Da der Client nicht sicher sein kann, mit dem richtigen Server verbunden
zu sein, schickt er diesen Schlüssel meist zusammen mit einem Zertifikat,
das sowohl seine Identität als auch seinen RSA-Schlüssel enthält und
von einer Zertifizierungsstelle unterschrieben ist.
Am einfachsten wäre es, wenn der Client einen Schlüssel für ein solches Verfahren wählt und dann diesen mit dem RSA-Schlüssel des Servers verschlüsselt an diesen schickt – vorausgesetzt, er kennt diesen
RSA-Schlüssel. Letzteres ist im allgemeinen nicht der Fall; daher muß
zunächst der Server dem Client seinen Schlüssel mitteilen.
Natürlich ist RSA zu aufwendig, um damit eine längere Kommunikation wie beispielsweise eine secure shell Sitzung zu verschlüsseln;
tatsächlich dient RSA daher nur zur Übetragung eines Schlüssels für ein
konventionelles Kryptoverfahren wie AES, IDEA oder Triple-DES, auf
das sich die Beteiligten unter SSL/TLS ebenfalls einigen müssen.
Wie im Internet üblich, können dazu die verschiedensten Verfahren
benutzt werden; die auf Grundlage von RSA zählen derzeit zu den
populärsten.
SSL steht für secure socket layer, TLS für transport layer security;
Zweck ist jeweils der Aufbau einer sicheren Internetverbindung.
§7: Anwendungen bei SSL/TLS
;
Ð
(seither bekannt als RSA-129) und eine damit verschlüsselte Nachricht,
für deren Entschlüsselung die drei einen Preis von hundert Dollar ausgesetzt hatten. Sie schätzten, daß eine solche Entschlüsselung etwa vierzig
Quadrillionen (4 1025 ) Jahre dauern würde. (Heute sagt RIVEST, daß
dies auf einem Rechenfehler beruhte.) Tatsächlich wurde der Modul
1994 faktorisiert in einer gemeinsamen Anstrengung von 600 Freiwilligen, deren Computer immer dann, wenn sie nichts besseres zu tun hatten,
daran arbeiteten. Nach acht Monaten war die Faktorisierung gefunden:
5706935245733897830597123563958705058989075147599290026879543541
11438162575788886766923577997614661201021829672124236256256184293
Auf ewige Sicherheit kann man mit Verfahren wie RSA ohnehin nicht
hoffen: Als RSA 1977 von MARTIN GARDNER im Scientific American
vorgestellt wurde, bekam er von RIVEST, SHAMIR und ADLEMAN die
129-stellige Zahl
Mit Ausnahme von Verfahren wie dem one time pad gibt es für keines
der heute benutzten Kryptoverfahren einen Sicherheitsbeweis, nicht einmal in dem Sinn, daß man den Aufwand eines Gegners zum Knacken
des Verfahrens in irgendeiner realistischen Weise nach unten abschätzen
könnte. Seriöse Kryptographie außerhalb des Höchstsicherheitsbereichs
muß sich daher damit begnügen, daß die Verantwortlichen für den Einsatz eines Verfahrens und der Wahl seiner Parameter (wie den Primzahlen bei RSA) darauf achten, auf dem neuesten Stand der Forschung
zu bleiben und ihre Wahl so treffen, daß nicht nur die bekannten Angriffsmethoden versagen, sondern daß auch noch ein recht beträchtlicher
Sicherheitszuschlag für künftige Entwicklungen und für nicht publizierte Entwicklungen bleibt.
Dieses kurze Kapitel konnte selbstverständlich keine umfassende Übersicht über die Kryptographie oder auch nur die asymmetrische Kryptographie geben: Auch das RSA-Verfahren kann mit anderen Methoden
angegriffen werden als der direkten Faktorisierung des Moduls; gelegentlich werden wir auch im Laufe dieser Vorlesung darauf zurückkommen.
§8: Ausblick
Kap. 2: Anwendungen in der Kryptographie
B
E
D
;
32769132993266709549961988190834461413177642967992942539798288533 .
490529510847650949147849619903898133417764638493387843990820577
Die obige Zahl ist gleich
Zahlentheorie SS 2007

T
F
3
:
3
=
3
Q
Kapitel 3
Kettenbrüche
1
=
1
+
=
2
1
=
durch
=
3
2
3
3
3
=
1
2
2
+
3
3
2
=
=
1
.
0
+
1
1+
1 durch
0
+
1
2
1
.
1
2
2
c
c
3
2
+
1
3
3
2
,
2 dividiert:
+
dividiert:
=
1
+
2
2
=
0
3
3 8
Wir können die Konstruktion auch so formulieren, daß sie nur von der
abhängt: Der Quotient bei der Division mit Rest von
Zahl =
und so weiter. Die Konstruktion muß nach endlich vielen Schritten
abbrechen, denn die Folge der Reste beim EUKLIDischen Algorithmus
ist monoton fallend und muß daher schließlich Null erreichen. Damit
ist dargestellt als ein sogenannter Kettenbruch.
Rest
3
2
=
3
3
=
2
c
2 von Null verschieden, wird sodann
Rest
3
3
2
2
1
2
3
Ist auch noch
1
Q
3
c
3
:
Q
= 0 ist, wird im zweiten Schritt
=
c
Q
2
3
1
2
1
3
Q
1
Rest

0
T
3
2
STEVEN LEVY: crypto: how the rebels beat the government – saving
privacy in the digital age, Penguin Books, 2002
Falls
=
U
T
2
Q
Mehr über die Geschichte der Kryptographie mit öffentlichen Schlüsseln
ist (mathematikfrei) zu finden in
Q
:
Q
oder natürlich auch in der Kryptologie-Vorlesung des nächsten Semesters.
J
Der EUKLIDische Algorithmus läßt sich auch verwenden, um eine Zahl
durch Brüche zu approximieren. Beginnen wir der Einfachheit halber
mit
. Der erste Schritt des
mit einer rationalen Zahl =
EUKLIDischen Algorithmus dividiert durch :
§1: Der Kettenbruchalgorithmus
T54
BUCHMANN: Einführung in die Kryptographie, Springer, 3 2004
Wer mehr über Kryptographie wissen will, findet einen ersten Überblick
beispielsweise bei
Auch bei heute den heute als sicher geltenden symmetrischen Kryptoverfahren rechnet niemand ernsthaft damit, daß sie noch in hundert
Jahren sicher sind: Diese Verfahren werden üblicherweise so gewählt,
daß man auf eine Sicherheit für etwa dreißig Jahren hoffen kann – sicher
kann aber auch das niemand vorhersagen.
Mit dem Schema = 01 bis = 26 und Zwischenraum gleich 00 war
die Nachricht The Magic Words are Squeamish Ossifrage dann schnell
entschlüsselt.

3
3
U
T

;
M
2
Q
Q
1
mit
0
1
1.
2
8
i
I
?
6
6
7
8
P
8
?
?
?
E
E
E
+
..
.
1
1
+
?
?
?
+
1
?
k
k
?
9
k
k
?
k
k
3
3
1
3
Ô
?
k
a
a
Ò
?
?
a
2
=7
=
Õ
4
= 1+
2+
1.
1
2+
1
1
2
41
,
29
0 000420 ;
sind, gerundet
2+
1
=
Damit
7
= 1 4,
5
1=
0 002453 und
2
2
5 =
1
2
= 15 und
und
3
Ñ
a
a
9
= 1. Ein
0 99659976. Weiter
0 062513285 .
?
?
?
?
geht es mit 3 = 1, 4 = 292,
6 = 7 = 1, 8 = 2 und
Muster ist weder erkennbar, noch ist eines bekannt.
Im nächsten Schritt ist
=
Ô
2+1,
?
1
Õ
=
4
d
?
1
4
Als zweites Beispiel betrachten wir = ; hier erhalten wir zunächst
3 0 14159, sodann
0 = 3 und 1 =
a
4
4
a
2+1
=
1)( 2 + 1)
4
d
4
a
1
=
2 1 ( 2
4
d
1
4
0
4
2 = 1 und
0 085786 0 014214
4
=
17
= 1 416 und
12
4
verglichen mit den kleinen Nenner 1 2 5 12 und 29 haben wir also
erstaunlich gute Übereinstimmungen, und im übrigen ist auch die Kettenbruchentwicklung erheblich regelmäßiger als die Dezimalbruchdarstellung von 2.
0 414214
4
2. Hier ist
=
4
=
1
2+
2
1
U
Als Beispiel betrachten wir
2 1. Also ist
1 =
2+
1
4
was ungefähr gleich 1 4137931 ist. Die Fehler
auf sechs Nachkommastellen, die Zahlen
= 1+
4
2
.
2
3
=
.
= 0 abbricht, steht im untersten Bruch
+
?
1
1+
+
2
1
1
2+
2
1
a
4
So, wie der Algorithmus formuliert ist, können wir ihn aber auch auf
verschwinden, denn
irrationale Zahlen anwenden. Dann kann kein
sonst hätten wir ja eine Darstellung von als rationale Zahl. Wir können
aber nach dem -ten Schritt abbrechen und den Bruch betrachten, der
entsteht, wenn wir
= 0 setzen. Diesen Bruch bezeichnen wir als die
-te Konvergente der Kettenbruchentwicklung von .
1
1
+
Ó
Ó
Falls der Algorithmus mit
natürlich nur im Nenner.
?
1
?
0
Ó
+
1
8
=
=1+
Ó
0
? 8
1
+
1
4
=
8
+
4
0
2
1
2+
1
2
4
=
=
4
0
Ó
Die ersten Partialbrüche sind
1
=15
0 =1
1 =1+
2
2+
Ó
+
.
2+
1
E
0
+1
2+
1
E
E
=
+
2+
1
2=
Offensichtlich ist dann
? 8
=
?
1
1, bricht der Algorithmus ab, falls verschwindet;
Im -ten Schritt,
andernfalls wird definiert als größte ganze Zahl kleiner oder gleich
1
und +1 so, daß gilt
+
?
2=1+
2
0
Ñ
a
=
a
d.h. 1 = 1 + 2 = 2 und 2 = 1 +
wiederholt sich ab jetzt alles, d.h.
Ò
= [ ] und schreibe
Dies
a
0
0.
Kap. 3: Kettenbrüche
a
Setze zur Initialisierung
durch ist 0 = [ ], und der durch dividierte Rest ist
führt zu folgender Formulierung des Algorithmus:
Zahlentheorie SS 2007
B S
?
?
a
B
R
E
E
E
N 2
= (0 1).
=
,
ist
das Verlangte leistet. Man überlegt sich leicht, daß diese Formel auch
unterhalb der Geraden liegt.
gilt, wenn oberhalb und
N 2
4
7
9
Ó
9
E
4
9
E
4
9
E
4
4
4
2
+
1
.
Ó
Ó
U
9
? U
Ó
9
U
T
Ó
U
U
Ó
U
Ó
Ó
4
2 U
L
1
9
<
=
f
2
U
Õ
Ö ÖØÖ×Ö
×
L U
L U
Ö×
Ô ÖØÖ×Ö
9
0 U
U
U
<
genau dann, wenn
.
L U
Ö Ö
Ø
i
Ó
ÖØÖ
9
L U
ÖØÖ
0 U
Ö×Ö
9
2
4
=
K
Kj
J
2
4
+
U
7
2
Ó
=
1
U
9
0 U
Ö×Ö
L U
Ö Ö
×
i
9
L U
Ö Ö
×
9
L
Ó
1
2
U
1
Ó
+
9
2
2+
ist.
ÖØÖ
=
1
WU
Ist dagegen
1, und da
=
1
2 , so ist
auf derselben Seite der Geraden liegt wie
2 , ist auch
Somit verschwindet
=
2 U
2
Der gerichtete vertikale Abstand des Punktes
= (
Geraden =
ist
=
; damit ausgedrückt ist
U
U
U
Ó
1
) von der
auf derselben Seite der Geraden wie
Dann liegt
2 , für gerades
also unterhalb und für ungerades oberhalb – es sei denn, irgendwann
einmal liegt ein
auf der Geraden. In diesem Fall ist rational und
wir brechen die Konstruktion ab. Für irrationales erhalten wir eine
unendliche Folge von Punkten .
=
Ausgehend von =
=
2 = (1 0) und
1 = (0 1) definieren wir
für
0 mit dem gerade konstruierten =
aus
nun die Punkte
ihren beiden Vorgängern rekursiv als
Ó
Ó
Ó
4
9
Ó
Die folgende Konstruktion liefert solche Punkte . Sie liegen für geund für ungerades darüber.
rade stets unterhalb der Geraden =
?
NÓ
T
Dazu betrachten wir (im wesentlichen nach dem Ansatz von HAROLD
STARK in seinem Buch An Introduction to Number Theory, MIT Press,
1978) das Problem der rationalen Approximation von der geometrischen
Seite: Zur reellen Zahl
0 haben wir die Gerade =
durch
den Nullpunkt, und offensichtlich ist genau dann rational, wenn auf
dieser Geraden außer dem Nullpunkt noch ein weiterer Punkt ( ) mit
ganzzahligen Koordinaten liegt. Rationale Approximationen erhalten
wir durch Punkte ( )
, die in der Nähe der Geraden liegen.
J
i
?
?
Tatsächlich werden wir sehen, daß die Konvergenten der Kettenbruchentwicklung einer irrationalen Zahl stets die bei vorgegebener Größenordnung des Nenners bestmögliche rationale Approximation der Zahl
liefern.

f
? U
§2: Geometrische Formulierung
Ó
Ó
N Ö×
Ô Ö×ÖØÖ
NÓ
9
Auch hier haben wir wieder, verglichen mit der Größe des Nenners,
exzellente Approximationseigenschaften.
?
Liegt nämlich beispielsweise unterhalb der Geraden, so ist
0. Für den oberhalb der Geraden liegenden Punkt
also
entsprechend
0. Damit ist klar, daß
NÓ
10
2 4
Ó
5 8 10
Ó
Õ
Ö×Ö×ÖØÖ
N 2
2
7
Ó
2 7 10
Ó
9
Ó
?
2
5
1
9
NÓ
NÓ
NÓ
8 3 10
4
= (1 0) und
Ó
N 2 4
P
i
0 0013
2
4
N = ( ) und
= (
), die auf verschiedenen
Zu zwei Punkten
Seiten der Geraden liegen, gibt es stets eine nichtnegative ganze Zahl
+
entweder auf der Geraden liegt oder aber auf
0 , so daß
derselben Seite wie , während + ( + 1) auf der anderen Seite liegt.
Wir starten mit
Kap. 3: Kettenbrüche
0 14
beginnt ist somit
1
=3+
1
7+
1
15 +
1
1+
1
292 +
1
1+
1
1+
1
1+
1
2+
1+
Die ersten Partialbrüche und ihre Differenzen von sind
15
16
4687
1
3
3
3
3
3
7
106
113
33102
Die Kettenbruchentwicklung von
Zahlentheorie SS 2007
B
U
9
0 U
9
L
U
9
Õ
Ö×ÖØÖ×Ö
L U
L U
Ö×
Ô ÖØÖ×Ö
9
L
U
9
L
U
9
0WU
L
U
9
U
T
U
T
=
<
L
L
/
L
9
9
Ó
U
Ó
U
U
9
<
=
9
U
U
7
0 8
T
9
T
L
L
L
9
9
Ó
2 U
P
Ö×Ö
9
L U
Ö Ö
×
i
Ê
Ê
0
L
L
U
9
4
0 U
P
7
T
2 U
9
0 U
9
2 U
2 U
0
U
9
0 U
9
U
WU
2
2 U
Ê
2
P
P
2 U
U
Ê
L
U
Ö×ÖØÖ×Ö
U
2 U
Ö×ÖØÖ×Ö
7
T
WU
Ê
2 U
P
[
2 U
WU
9
2 U
U
9
2
L
L
WU
U
P
0 U
9
9
U
L
L
U
9
U
WU
9
2 U
9
2 U
9
9
2
U
2
9
U
2 U
9
U
9
2 U
9
2 U
T
2 U
9
U
9
ist
U
9
oder
1
=
2
+
+
1
1
+1
1
9
0 U
U
9
9
U
9
2 U
U
2 U
9
U
Für spätere Anwendungen wollen wir noch eine Formel herleiten, wie
aus
sowie den Konvergenten
sich
1
1 und
2
2
U
P
E
E
9
9
stets teilerfremd,
und
U
U
0VU
ist. Insbesondere sind die Zahlen
also ein gekürzter Bruch.
1
i
0
was zusammen mit
= [1
] und dem Induktionsanfang = 0 +
genau auf die zu Beginn des Abschnitts konstruierten Folgen der
und
führt.
+
0 U
= ( 1)
1;
T
1 1=
U
=0 0
1
U
U
1
=
U
+1
2
0 U
1
Z
U
1
Z
VU
4
daraus folgt induktiv, daß
0 U
9
9
2
WU
2 U
1
L
=
0 U
2
9
P
1
2 U
9
9
2
9
9
1
[
U
1
7
1
U
oder
9
+
L U L U
Ö×Ö×ÖØÖ
2
Ö×Ö×ÖØÖ
L
=
U
0 U
= 0 ist
0VU
2) .
L
1
=
=
L U
ÖØ
Ñ Ö
2
;
9
1
9
U
(
2
1
L
=
;
L
2
U
2
=
9
1
9
2
1
P
1
=
.
0 8
9 L À
1
1
2
Ò
ÖØÖ
Für
Z
[
1
=
zumindest für
1 ist dann
1. Wegen
ist dann
= [1
]. Division der Beziehung
durch
1 führt auf
U
wenden wir darauf den Multiplikationssatz für Determinanten an, erhalten wir die Formel
2 U
Dazu setzen wir
U
Wir können die obigen Rekursionsformeln zusammenfassen zur Matrixgleichung
2 U
L
1
Zuvor sollten wir uns aber noch überlegen, daß die hier betrachteten
Brüche
tatsächlich die Konvergenten der in 1 definierten Kettenbruchentwicklung sind und daß die hier betrachteten Zahlen mit
denen übereinstimmen, die der Kettenbruchalgorithmus liefert.
i
1
P
Ê 2
1
0
)
2
geben also immer bessere
+1
1
P
strikt monoton fällt. Die Brüche
Annäherungen an .
ÖØÖ×Ö×Ö
2
=
1 strikt
2 U
P
sehen wir daher, daß die Folge der
wie auch der
für
monoton ansteigt, während die Folge der Differenzen
2 U
1
ÖØÖ×Ö×Ö
2 U
+
2 U
2
2 U
=
9
und
2 U
2
Da die Folge der
strikt monoton ansteigt, konvergiert die Folge der
somit gegen , und dies sogar extrem gut: Ist
eine rationale
Approximation einer irrationalen Zahl , so kann der Fehler im allgemeinen bis zu 1 2 betragen; hier ist er höchstens 1 2 und tatsächlich
wohl, da wir recht grob abgeschätzt haben, meist deutlich kleiner. Wie
eine Konvergente der
wir gleich sehen werden, muß umgekehrt
1 2 2 ist.
Kettenbruchentwicklung von sein, wenn
0 U
1
VU
2 U
+
2 U
U
ÖØÖ×Ö×Ö
I
P
2
ÖØÖ×Ö×Ö
(
VU
ÖØÖ×Ö×Ö
1
1+
+1
2 U
+1
I
=
=
2 U
2 U
Aus den Beziehungen
U
2 U
+1
U
,
1
T
=
+1
VU
1
7
2 U
=
=
ÖØÖ×Ö×Ö
Der nächste Punkt ist 0 = (1 0 ) mit 0 = [ ], also ist 0 = [ ]
und der Betrag davon ist kleiner als 1 = 1. Somit ist für alle
der Koeffizient
von Null verschieden und
1 .
Ó
+1
U
+1
Ó
Die ersten beiden Abstände sind 2 =
und 1 = 1; es hängt von
ab, welche der beiden Zahlen den größeren Betrag hat.
<
Als nächstes wollen wir uns überlegen, daß die Folge dieser Brüche
gegen konvergiert. Da
und
+1 auf verschiedenen Seiten der
Geraden =
liegen, ist für
0
Kap. 3: Kettenbrüche
:
betragsmäßig kleiner als
1 . (Man beachte, daß
1 und
2 verschiedene Vorzeichen haben!) Falls daher für einen Index der Abstand
von
kleiner ist als der von
1 zur Geraden =
2 , gilt dasselbe
auch für alle folgenden Indizes, und ab dem Index sind alle
1.
B
Zahlentheorie SS 2007
B
P
P
2 U
WU
9
2 U
9
U
9
U
2 U
U
2 U
U
;
U
U
9
2 U
9
WU
9
9
9
L
2 U
WU
9
9
U
U
U
9
2 U
9
U
9
9
WU
U
9
2 U
9
2 U
U
9
VU
9
9
U
2 U
U
U

Í
â
ã
Ü
9
U
9
k
2 U
p

2 U
9
P
ÝáÞ ¤
9
9
2 U
WU
9
2 U
P
3

P
H
Á
P
U
U
Ó
2 U
2 U
P
P
7
T
P
u
P J
3

U
<
ä
Ë
VU
Ó
v
2 U
VU
4
2 U
9
9
U
i
H
=
ÝßÞ ¤
9
<
Ó
=

Ö×Ö×Ö
U
<
=
ÝáÞ ¤
9
9
VU
Ö×Ö×ÖØÖ
f
Ö×Ö×Ö
3

Ù
I

9
H

<
Ù
f
0. Dann muß
0 sein, denn
Als nächstes betrachten wir den Fall
sonst wäre die -Koordinate =
von
größer
als . Der
+
1
liegt
unterhalb
der
Geraden
Punkt
=
und
die
Gerade
nähert
1
sich dieser mit steigender Abszisse immer mehr an. Da der Punkt
entweder dieselbe Abszisse wie
1 hat oder eine kleinere, ist sein
Abstand somit höchstens gleich dem von
1 , der wiederum das ist.
Für
fache des Abstands von
2
erhalten wir damit die
1
gewünschte strikte Ungleichung. Für = 1 erhalten wir auch eine, denn
wegen der Vorraussetzung =
1 sein.
1 muß dann
<
I
2 U

3
Ö×Ö×ÖØÖ
9
2 U
Ó
H
Ó
H
U
4

Ó
U
4
2 U
U
3
=
4
H
9
2 U
=
H
Ó
2 U
9
Ó
H
Ù
Ó

Ó
H
U
9
9
2 U
9
U
<

Ó
U
Ó
U
U
H
U
9
Ó

9
Ó
U
9
U
U
9
9
Z
[
3
Z
[

Z
H
Ù
[
WU
U
9
2 U
2 U
9
Ó

F
7
Ù
Ù
7
Ù
Ó
H
9
F
U
U

U
I
2 U

U
Bleibt noch der Fall = 0. Dann ist =
, wobei = 1, da = .
Anderseits kann auch nicht größer als eins sein, denn
. Somit
kommt dieser Fall gar nicht vor.
<
F
U
9
ist, wie wir oben gesehen haben, gleich ( 1) 1 ; wenn wir es nach
der CRAMERschen Regel lösen, erhalten wir also eine ganzzahlige
Lösung ( ).
=
Ó
2 U
=
9
1
=

1
à
<
Wir schreiben als ganzzahlige Linearkombination =
1+
und
der Punkte
.
Das
ist
möglich,
denn
die
Determinante
des
1
linearen Gleichungssystems
i
)
Ý Þ
=
=(
Beweis: Wir betrachten die Punkte
1 = (
1
1 ),
und = ( ). Es genügt zu zeigen, daß der vertikale Abstand von
zur Geraden =
einen kleineren Betrag hat als der von .
<
.
U
1
H

1
U

1
Ó
<
Lemma:
seien die Konvergenten der Kettenbruchentwicklung
einer reellen Zahl . Falls irrational ist oder rational mit einem Nenner
echt größer ,
2, so ist für jede rationale Zahl
mit
und
H

Als nächstes wollen wir uns überlegen, daß Kettenbrüche in der Tat
bestmögliche Approximationen geben: Ist irgendein Bruch, dessen
Nenner zwischen den Nennern
zweier Konvergenten der
1 und
Kettenbruchentwicklung liegt, so ist
1
1 eine bessere Approximation als
:
9
.
H
U
1
;
9
Im Fall
0 liegt der Punkt
1
und damit die ganze Gerade zumindest ab dem Punkt
1 oberhalb der Geraden =
, und wegen der größeren Steigung von
steigt der Abstand zwischen den
beiden Geraden mit wachsendem .
=
Wir können den Abstand von zur
1
Geraden =
daher nach unten
abschätzen durch den Abstand des
von mit der Schnittpunkts
1
Achse. Dessen Abstand wiederum
1
können wir nach unten abschätzen,
indem wir = 1 setzen, denn in diesem Fall ist der Abstand von zur
Geraden =
am kleinsten. Der Punkt
1 hat (betragsmäßig)
denselben Abstand von =
wie
,
und
da
die Abszisse = 0
1
von größer ist als die von
, hat somit einen größeren Abstand
von =
als
0 ist damit die Behauptung bewiesen.
1 . Im Fall
Ó
§3: Optimale Approximation
2 U
=
9
U
1
2 U
+
2+
9
2
f
=
Ó
1)
H
+
f
2
U
Wir betrachten die Geraden durch
1 mit Steigungsvektor
nach unserer Annahme ist ihre Steigung somit größer als .
2 U
was durch Umordnung
+
2
1 führt. Also ist
P
1,
P
1
9
=
U
2)
2 U
Ó
2
.
9
2
i
2
i
{W Û
Damit ist (
der Terme auf (
L
=
1
U
geht völlig analog.
1
P
2 U
2
WU
Für das Folgende wollen wir uns auf den Fall
beschränken; der Fall
1
1
P
=
1
Kap. 3: Kettenbrüche
B
1
1
Zahlentheorie SS 2007
berechnet läßt: Nach Definition ist
B
B
Ù
Ú
H4
D
Zahlentheorie SS 2007
U
2 U
i
ÖØÖ×Ö×Ö
2 U
ÖØÖ×Ö×Ö
1
1
Ê
9
2 U
9
2 U
7
ÖØÖ
U
9
2 U
9
2 U
Ö Ö
Ø
a
Ñ
2 U
4
9
2 U
U
Ó
9
WU
4
2 U
Ó
<
=
Nach unserer Annahnme liegt der Punkt
1 =(
1
=(
) liegt darüber.
der Geraden = , und
1
P
Wir nehmen für den Beweis wieder an, daß
ist; der andere Fall geht völlig analog.
und
1
.
2
i
1 ) unterhalb
9
9
{ Û
U
U
a
c
a
a
9
{ Ó
Û
9
Ó
Ó
9
Û
9
2 U
U
Das Kreuzprodukt der Vektoren
hat als Betrag
1 und
die Fläche des davon aufgespannten Parallelogramms; das Dreieck
ist halb so groß. Wegen der Beziehung
mit Ecken
1 und
1
1)
=
(
ist die Fläche dieses Dreiecks daher
1
1
gleich 1 2.
U
Ó
a
0
U
U
U
U
4
9
U
2 U
P
4
=
T
Ó 8
6
P
å 8
Ó 8
2 8
4
0
c
a
a
4

<
Ó
1
2 8
9
9
Ó
Ó
9
å
Ist
der Schnittpunkt der Geraden =
mit der Verbindungs, so ist das
strecke von
1 und
Dreieck
die
Vereini1
gung der Dreiecke
1
1,
und
,
mi1
1
nus dem Dreieck
. Die
Dreiecke beiden
1
1 und
sind ähnlich, und da jede Konvergente eine bessere Approximation liefert als ihre Vorgänger,
8
1
<
2 8
=
Als nächstes betrachten wir zu den Punkten = (
) ihre Projektionen
=(
) in -Richtung auf die Gerade =
. Nach unserer
Annahme ist die Länge der Seite
für =
1 und = mindestens 1 2 . Die darauf senkrecht stehende Höhe ist , also ist die
Fläche des Dreiecks mindestens gleich 1 4.
U
6
U
U
a
E
Ò
4
4
U
Ó
Ý Þ
a
Ö×Ö×Ö×Ö
U
Ó
æ Þ
Í
2 8

9 å
U
Û
å
9
ä
U
ç
9 ç
Ó
=
Ó
a
E
E
i
a
4
4
i
0
d
4
Ö×Ö×Ö×Ö

U
Ó
U
å
U
Ó
ç
U
U
å
Ó
ç
Û

æ Þ¤
7
1
2 2
1
Ê
2
2 U
å
und
9
1
2 U
1
VU
i
T
2 ist mindestens eine
ÖØÖ×Ö×Ö
U
und jedes
7
2 U
2 U
9
Ö×ÖØÖ×Ö
i
U
9
Satz: a) Für eine irrationale Zahl
der beiden Relationen
1
1
2 2 1
1
i
P
Dafür gilt aber
2
Beweis: a) Angenommen, beide Ungleichungen sind falsch. Nach Multiplikation mit
haben wir dann die beiden Relationen
1 bzw.
Dies charakterisiert die Konvergenten allerdings noch nicht: Betrachten
wir etwa die Kettenbruchentwicklung von = 3. Der Algorithmus
3 = 1 und 1 = 3 1. Der Kehrwert davon
liefert zunächst 0 =
ist
1
3+1
3 1
=
.
=
1 = 1 und
2 =
2
2
3 1
Der Kehrwert davon ist
2
3 1= 1.
= 3+1=
2 = 2 und
3 =
3 1
Ab hier wiederholt sich also alles periodisch, d.h.
1
3=1+
.
1
1+
1
2+
1
1+
2+
Die ersten Konvergenten der Kettenbruchentwicklung sind
2
3
8
11
1 2 1
1
1
und 1 ;
3
4
11
15
da die Folge der Nenner monoton steigt, gibt es also keine Konvergente
mit Nenner sieben. Trotzdem ist
1
1
5
1
=
.
3 1
0 017765 0 2 =
7
50
49 72
ÖØÖ×Ö×Ö
2
.
eine Konvergente
2
2
1
, so ist
2 2
P
der Kettenbruchentwicklung von .
erfüllt.
b) Ist für eine rationale Zahl
Kap. 3: Kettenbrüche
B
1
Als nächstes wollen wir uns überlegen, wann gute Approximationen
Konvergenten der Kettenbruchentwicklung sein müssen. Wir wissen
bereits, daß für die Konvergenten gilt
B
G

U
9
U
9
U
ç
ç
Û
U
ç
U
Ë
ã
=
ÝßÞ ¤
P
2 8
å 8
Ü
2 U
Ö×ÖØÖ×Ö
i
T
WU
2 U
Ö×ÖØÖ×Ö
2 U
9
Ö×ÖØÖ×Ö
M
Zahlentheorie SS 2007
å
Ó
Ó
Û
Ó
U
ç
ç
å
Ó
Û
U
ç
Ó
Ó
æ
Ë
ä
P
P
U
Û
ç
U
U
9
9
U
9
U
P
P
Ó
Û

ç
Ó
Ó
Û
Ó
æ Þ
2
U

P
P
2 4
2 U
i
I
2
Ê
2 U
Ê
U
2
2 U

Ó
2 U
Ö×Ö
I
2
U
ç
2 U
Ó
Ó
Ý
ã
Ý Þ
Í
Ü
2 U
Ó
7
Û
Ó
ç
U
U
Û
ç
T
2 U
VU
2
P
Ó
F
U
2
2 U
å
å
Ó
2
E
Ö Ö
×
å
Ó
U
U
Ö×Ö
I
2
=
E
Ö×Ö
Ó U

Ö×Ö
2 U
2
E
Ö×Ö
Ó U

Ö×Ö
2 U
E
Ö×Ö
Ó U

Ö Ö
×
2 U
,
denn da zwischen
und +1 liegt, kann
nach obigem Lemma
keinen größeren Abstand von der Geraden =
haben als . Rechts
steht aber die Fläche des Dreiecks
, von der wir wissen, daß sie
höchstens gleich 1 4 ist, so daß auch dieser Fall nicht auftreten kann.
E
Ö×
å Ö
Ó
å
2
P
Ê
å
Ó
Ó
=
U
å
Ó
<
4
2 U
2
2 4
Ê 2
å
Ó
P
2 U
<
U
å
Ó
Û
ç
2 U
2 U
P
2
Bleibt noch der Fall, daß zwischen
und
liegt, und
also
auf verschiedenen Seiten der Geraden =
liegen. Dann schneidet
ihre Verbinungsstrecke
diese
=
Gerade in einem Punkt . Damit
sind wir in einer ähnlichen Situation wie beim Beweis von a): Das
Dreieck
ist gleich dem
Dreieck
plus dem Dreieck
plus
minus
. Die beiden letzteren Dreiecke sind ähnlich, und da
nicht kürzer sein kann als
ist das
subtrahierte Dreieck mindestens genauso groß wie
. Somit ist
die Fläche von
höchstens gleich der Summe der Flächen von
und
, also kleiner als 1 4 + 1 4 = 1 2. Damit haben
wir auch hier einen Widerspruch, d.h.
muß gleich
sein.
Ó
P
U
U
U
ç
Û
å
Û
Ó
P
ç
U
2
P
U
P
Ó
Ó
Ý
ç
Ó
Ó
Û
U
U
Ó
2 U
Ó
<
VU
æ
ä
Í
æ Þ
Ó
Ó
<
=
P
P
U
Û
ç
Ó
=
WU
2
Betrachten wir als erstes den Fall,
zwischen
und
daß
liegt. Dann liegt der Punkt
im
Innern des Dreiecks
, also
ist das gesamte Dreieck
imd Dreieck
enthalten. Da
ersteres mindestens die Fläche 1 2
hat, letzteres aber weniger als 1 4,
kann dieser Fall offensichtlich nicht
vorkommen.
2 U
U
Wir wollen uns überlegen, daß dann auch die Fläche des Dreiecks
kleiner als 1 2 sein muß, im Widerspruch zur obigen Rechnung. Die Geometrie hängt dabei stark davon ab, wie die Punkte
und
sowohl zueinander wie auch in Bezug auf die Gerade =
liegen.
Û
)=
U
(
Ó
+

Seien wieder
= (
) und
= (
) die Projektionen der
betrachteten Punkte auf die Gerade =
. Die Länge der Strecke
ist
, was nach Voraussetzung kleiner als 1 2 ist. Nach
dem Lemma zu Beginn dieses Paragraphen ist die Strecke
kürzer
als
, also ebenfalls kleiner als 1 2 und damit erst recht kleiner
als 1 2 . Somit haben beide Dreiecke
und
Flächen,
die kleiner sind als 1 4.
P
U
gleich
å
die Fläche des gesamten Dreiecks
Da die Folge der Nenner strikt monoton ansteigt, gibt es genau ein ,
=
ist.
so daß
+1 ist; wir müssen zeigen, daß
Andernfalls ist
= 0, also – da dies eine ganze Zahl ist –
1. Setzen wir
= ( ), so ist also die Fläche des
Dreiecks
mindestens gleich 1 2.
2
gekürzt ist,
b) Wir können natürlich voraussetzen, daß der Bruch
denn für jede nichtgekürzte Darstellung ist die Bedingung echt schärfer.
=
Ó
Als nächstes nehmen wir an,
liege zwischen und
. Dann
schneiden sich die Strecken
und
in einem Punkt , und das
Dreieck
ist die Vereinigung der beiden Dreiecke
und
. Zur Flächenberechnung gehen wir aus von der gemein; die darauf senksamen Kante
recht stehenden Höhen haben die
und
. Somit ist
Längen
Kap. 3: Kettenbrüche
P
ist das zweite dieser Dreiecke das kleinere. Daher ist die Fläche des
Dreiecks
größer als die Summe der Flächen der Dreiecke
1
und
, also größer als 1 4 + 1 4 = 1 2. Dies
1
1
ist ein Widerspruch zur obigen direkten Berechnung dieser Fläche.
B
DS

å
Ó
Ó
å
=
2
Ë
ã
å
Ý Þ
Ó
U
P
Í
å
Ó
Ë
ä
U

Ó
2
Ó
Ó
U
U
å
Ó
U
U

U
æ
U
P
P
Û
U
å

Ó
P
U
Ó
ç
Û
Ó
U
P
å
ç
Ó
Û
ç
Ü
2 U
ç
U
ç
P
P
2
ç
å
Ó
U
Û
U
å
ç
Ó
å
Û
Ó
ç
Û
P
Û
ç
ç
å
Û
Ó
ç
2 U
U
Ý
æ Þ
Ý Þ
U
Ü
D
R
|
Beim RSA-Verfahren wählt man den öffentlichen Exponenten oft
ziemlich klein, z.B. = 3 oder = 216 + 1. Dies hat den Vorteil,
daß zumindest die Verschlüsselung ziemlich schnell geht und man nur
zur Entschlüsselung mit einem Exponenten in der Größenordnung des
Moduls arbeiten muß.
|
|
}
L
=
h
1)
+
(
|
2
|
h
Ö×Ö×Ö×Ö
+
Ö×Ö×ÖØÖ
2
|
2
|
Ö×Ö×ÖØÖ
I
1)(
1)
(
1)(
1)
( +
1)
+
(
1)(
1)
(
a
1)(
Ö×Ö×Ö×Ö
L
H
L
L
1)
1)
.
1
1)(
2
L
2
2
h
|
2
h
Ö×Ö×Ö×Ö
h
2 U
1)
eine Konvergente der KettenFalls dies kleiner ist als 1 2 2 , muß
bruchentwicklung von
sein; um zu berechnen, müssen wir also
nur so lange Konvergenten
bestimmen, bis für einen der Nenner
die Exponentiation mit
modulo
invers ist zu der mit .
Falsche Kandidaten sollten dabei praktisch immer bereits beim ersten
Versuch erkannt werden.
1
1)(
(
L
=
(
|
1)(
|
(
P
P
P
L
H
L
P
L
P
2 U
2 U
h
VU
|
Eine einfache Abschätzung zeigt, daß dies für und von etwa gleicher
Größe funktioniert, sofern höchstens die Größenordnung von etwa 4
hat; neuere, etwas aufwendigere Untersuchungen zeigen, daß auch man
0 289
rekonstruieren kann. Fachleute erwarten,
auch noch für
unsicher sind.
daß möglicherweise sogar alle
h
a
h
L
i
L
h
É
L
i
L
L
h
}
H
|
Private Exponenten müssen also immer groß sein. Falls man von einem vorgegebenen öffentlichen Exponenten ausgeht, ist das für realistische mit an Sicherheit grenzender Wahrscheinlichkeit erfüllt; Vorsicht ist nur geboten, wenn man mit dem privaten Exponenten startet.
Daher verlangen auch die Vorschriften der Bundesnetzagentur, daß man
immer vom öffentlichen Exponenten ausgehen muß, und erst daraus
einen privaten Exponenten berechnet.
2
L
h
L
H
|
}
L
h
}
h
}
L
h
}
P
Falls sehr viel kleiner ist als ( ) haben wir hier einen Bruch mit
dem großen Nenner ( ) sehr gut angenähert durch einen Bruch mit
dem sehr viel kleineren Nenner . Für hinreichend kleines ist das nur
möglich, wenn
eine Konvergente der Kettenbruchentwicklung von
( ) ist.
h
}
2
( )
h
h
1
.
( )
2
|
2
a
=
h
( ) = 1, die wir umschreiben
h
h
Ö×Ö×Ö×Ö
L
H
Ausgangspunkt ist die Gleichung
können als
H
|
Trotzdem läßt sich hier nicht wesentlich sparen, denn ein Gegner kann
kurze private Exponenten nicht nur durch Ausprobieren bestimmen,
sondern auch wesentlich schneller nach dem Kettenbruchalgorithmus.
h
L
Andererseits geht man heute bei symmetrischen Kryptoverfahren davon aus, daß ein Verfahren sicher ist, falls ein Gegner mindestens
2128 Möglichkeiten durchprobieren muß, so daß gängige Verfahren wie
AES mit einer Schlüssellänge von 128 Bit auskommen. Verglichen damit erscheinen 2048 Bit für einen privaten Entschlüsselungsexponenten
recht hoch.
( + )+1
2
P
Natürlich kann man nicht = 3 oder = 216 + 1 wählen: Der private
Exponent muß schließlich geheim sein und es darf nicht möglich sein,
ihn durch Probieren zu erraten.
1) =
2
kennt. Dafür kennt aber jeder den Wert von , und wie die obige
Gleichung zeigt, liegt der recht nahe bei ( ): Die Primzahlen und
sind schließlich nur von der Größenordnung
. Damit sollte
auch
eine gute Approximation für
liefern, und in der Tat ist
1)(
2
( )=(
Für jemanden, der RSA hauptsächlich für elektronische Unterschriften
verwendet, würde sich möglicherweise anbieten, stattdessen den privaten Exponenten relativ klein zu wählen. Dann könnte er schnell viele
Dokumente unterschreiben, und falls jeder Empfänger nur eines davon
bekommt, fällt dessen höherer Aufwand bei der Überprüfung nicht so
sehr ins Gewicht.
L
Das mag zunächst harmlos erscheinen, denn die Sicherheit von RSA
beruht ja gerade darauf, daß niemand außer dem Inhaber des privaten
und damit den Wert von
Schlüssels die Faktorisierung =
Kap. 3: Kettenbrüche
§4: Eine kryptographische Anwendung
Zahlentheorie SS 2007
D
|
h
L
L
H
P
h
|
}
<
< 4

J
J
|
È
<
2
=

=
<
È
Ê È
<
Ê O
È
<
=
<
È

=
<
<
é
è
é

J
N |

J
2

J
<
=
|
J
< 4
=
|
=

J
|
K
Der Prototyp eines kommutativen Rings ist der Ring
der ganzen
Zahlen; er ist ein Integritätsbereich mit 1 als einzigen Einheiten. Zwei
ganze Zahlen sind somit genau dann assoziiert, wenn sie denselben
Betrag haben.
N |
K
P
1
Q
Q
Q
`
f
1
054
Q
K
Der Ring
ist genau dann nullteilerfrei, wenn eine Primzahl ist;
in diesem Fall ist er sogar ein Körper. Ist aber
=
eine Zerlegung
(in ) von in ein Produkt mit
1, so ist in
zwar
= 0,
aber
= 0.
1
0
P

K
Q
F
1
054
T
jT

3
2

=
3 4
=
2

[ ]=
Um
=0

0
0 8
4

J
<
>
<
=

1
J
Ö×Ö
8ê
0 8
8

ê
<
<
.
.
ein Integritätsbereich, so auch der Polynomring
ë
Seine Einheiten sind genau die Einheiten von
Lemma: Ist
bilden einen Ring, den Poly-
H
Auch die Polynome über einem Körper
nomring [ ]. Allgemeiner gilt sogar:
Der Menge aller
-Matrizen über einem Körper ist ein Beispiel
eines nichtkommutativen Rings. Er ist nicht nullteilerfrei, enthält aber
viele invertierbare Elemente.
0
Definition: a) Ein Ring ist eine Menge zusammen mit zwei Rechenoperationen +“ und “, so daß gilt:
”
”
1.)
bildet bezüglich +“ eine abelsche Gruppe.
”
erfüllt das Assoziativgesetz
2.) Die Verknüpfung “:
”
( ) = ( ) , und es gibt ein Element 1
, so daß 1 = 1 = .
+
und
3.) +“ und “ erfüllen die Distributivgesetze ( + ) =
”
”
( + ) =
+ .
È
Als erstes wollen wir uns überlegen, in welchen Zahlbereichen außer
wir noch sinnvoll von Teilbarkeit und eventuell auch Division mit Rest
reden können. Wir brauchen dazu selbstverständlich zumindest eine Addition und eine Multiplikation, d.h. einen der bereits im ersten Kapitel
definierten Ringe. Wenn wir eindeutige Quotienten wollen, müssen wir
aber noch zusätzlich voraussetzen, daß es keine sogenannten Nullteiler
, deren Produkt gleich null
gibt, d.h. von null verschiedene Elemente
ist. Ist nämlich = , so ist dann auch = ( + ) , was unserer
Vorstellung von Teilbarkeit mit eindeutig bestimmtem Quotienten widerspricht. Zur Bequemlichkeit des Lesers sei hier auch die Definition
von Ringen noch einmal wiederholt:
<
=
O
§1: Grundbegriffe der Ringtheorie

Ein Zahlkörper ist ein Körper , der den Körper
der rationalen
Zahlen enthält und als -Vektorraum betrachtet endlichdimensional ist.
Im zweidimensionalen Fall reden wir von quadratischen Zahlkörpern.
Die algebraische Zahlentheorie untersucht die (noch zu definierenden)
ganzen Zahlen eines solchen Zahlkörpers.
=
Kapitel 4
Quadratische Zahlkörper
D
b) Ein Ring heißt kommutativ, falls zusätzlich noch das Kommutativge=
der Multiplikation erfüllt ist.
setz
c) Ein Ring heißt nullteilerfrei wenn gilt: Falls ein Produkt verschwindet, muß mindestens einer der beiden Faktoren
verschwinden. Ein
nullteilerfreier kommutativer Ring heißt Integritätsbereich.
d) Wir sagen, ein Element eines Integritätsbereichs sei Teiler von
, in Zeichen
, wenn es ein
gibt, so daß = .
heißt größter gemeinsamer Teiler von und , wenn Teiler
e)
von und von ist und wenn für jeden anderen gemeinsamen Teiler
von und gilt:
.
f) Ein Element
heißt Einheit, falls es ein
gibt mit
= 1.
Die Menge aller Einheiten von bezeichnen wir mit
.
g) Zwei Elemente
heißen assoziiert, wenn es eine Einheit
gibt, so daß = .
Kap. 4: Quadratische Zahlkörper
:

J
<
>
<
=
<
>
=
<

{
j
E
E
>
>
=
=
E
>
<
>
=
<
D
;
=
>
<
ê

ì
<
Ê =
<
=
|
|
=
<
3
2
<
3
Ê =
<
ê

Um
2
<
Ê <
=
<
<
3
=
q
1
q

ê
8ê
0 8
8
d) Sind
zwei größte gemeinsame Teiler von
nition Teiler von und Teiler von , also sind
2 4
, so ist nach Defiund assoziiert.
Gilt umgekehrt
und
, so gibt es Elemente
mit =
und
= . Damit ist 1 = = ( ) , also = 1. Somit ist eine Einheit.
3
=
< 4
T
È
È
O
O
O
È 4
È
0 U
1

In Integritätsbereichen können wir somit einen Teilbarkeitsbegriff einführen, der den üblichen, von her gewohnten Regeln genügt. Manchmal können wir auch, wie in , von einer eindeutigen Primzerlegung
reden:
O
K

1
ì

0 U
ì
Q
ì
ì

Uê
ê
1

0 U

J
K
Definition: a) Ein Element eines Integritätsbereichs heißt irreduzibel, falls gilt: ist keine Einheit, und ist =
das Produkt zweier
Elemente aus , so muß oder eine Einheit sein.
b) Ein Integritätsbereich heißt faktoriell oder ZPE-Ring, wenn gilt:
Jedes Element
läßt sich bis auf Reihenfolge und Assoziiertheit eindeutig schreiben als Produkt =
mit einer Einheit
=1
, irreduziblen Elementen
und natürlichen Zahlen .
(ZPE steht für Zerlegung in Primfaktoren Eindeutig.)
>
=
<

4
no
<
k
=

<
>

>
=
>
| 8

8
È
8

J
8
<

J
<

J
È
=
<
<
=
< 4
Ê =
< 4
=
Ê <
=
Beweis: Wir wählen zunächst aus jeder Klasse assoziierter irreduzibler
Elemente einen Vertreter; für die Zerlegung eines Elements in ein Produkt irreduzibler Elemente reicht es dann, wenn wir nur irreduzible
Elemente betrachten, die Vertreter ihrer Klasse sind.
Lemma: In einem faktoriellen Ring gibt es zu je zwei Elementen
einen größten gemeinsamen Teiler.
< 4
Nì

F
>

<
ì
ì

ì
N |
|
2

r
s
k
p

J
O
È 4
2
q
q
O
=
3
no
Sind =
und =
mit
und
=1
=1
irreduzibel die entsprechenden Zerlegungen von und in Primfaktoren, so können wir, indem wir nötigenfalls Exponenten null einführen,
o.B.d.A. annehmen, daß = ist und = für alle . Dann ist offenbar
8
|
N | 4
N |
|
N |
Nì
ì
|
|
N |
Nì
|
J
|54
Nì
ì
N |
F
b) Ist ein Integritätsbereich und
= , so ist (
) = 0; da = 0
= 0, also = . Folgt umgekehrt aus
vorausgesetzt war, folgt
F
9
2
=
Beweis: a) Sind
Einheiten, so gibt es Elemente
mit
=
= 1. Damit ist ( )(
)= ( ) =
= 1, d.h. auch ist
eine Einheit. Außerdem ist jede Einheit invertierbar, denn offensichtlich
ist ein multiplikatives Inverses zu .
=
<
<
Lemma: a) Die Menge
aller Einheiten von
ist eine abelsche
Gruppe bezüglich der Multiplikation.
b) Ein kommutativer Ring ist genau dann ein Integritätsbereich, wenn
gilt: Ist
=
für ein Element = 0 und zwei beliebige Elemente
, so ist = .
c) Zwei Elemente
eines Integritätsbereich sind genau dann assoziert, wenn
und
.
d) Ein größter gemeinsamer Teiler, so er existiert, ist bis auf Assoziiertheit eindeutig bestimmt.
>
2
Allgemein gilt:
<
=
Ist
[ ] eine Einheit, so gibt es ein
[ ] mit
= 1; da das
konstante Polynom 1 den Grad null hat, muß dasselbe auch für und
gelten, d.h.
und damit in
.
=
die beide von Null verschieden sind. Wir können etwa annehmen, daß
und
so gewählt sind, daß
und
beide nicht verschwinden.
Da
Integritätsbereich ist, kann dann auch das Produkt
nicht
+
verschwinden, also ist der führende Term
von
von Null
selbst. Tatsächlich beweist dies sogar
verschieden und damit auch
etwas mehr als die Nullteilerfreiheit, denn wir wissen nun, daß sich bei
der Multiplikation zweier Polynome die Grade addieren.
=
,
=
=0
<
=
>
<
und

=0
<
c) Ist = , so ist ein Teiler von . Da Einheiten invertierbar sind,
ist auch = 1 , d.h.
.
=0
=
=
=
=
und = 0 stets = , so ist
= 0 , also = 0.
und = 0, so ist
F
nullteilerfrei, denn ist
Kap. 4: Quadratische Zahlkörper
D
Beweis: Wenn wir Addition und Multiplikation nach den üblichen Regeln definieren, ist klar, daß [ ] alle Ringaxiome erfüllt. Um zu zeigen,
daß [ ] nullteilerfrei ist, betrachten wir zwei Polynome
Zahlentheorie SS 2007
B
q
4
=
<
6
2 8
8

8
È
8
<

>
>
=
<
=
>
=
<
>
<
=
<
D
D
)
ì 8
I
8
âo
k

8
>
=
<
| 8
I
8
r o
no
8
ein ggT von und , denn =
ist genau dann
=1
Teiler von , wenn
für alle , und Teiler von , wenn
.
min(
k
=1
Zahlentheorie SS 2007
É
8
8
=
6
<
é
b
\
\
í
b
í
4
4
4
4
\
í
b
\
b
a
a
`
\
b
\
î
2
4
î
a
\
í
2
í
\
b
ï
b
K
î
2
í
\
í
b
è
a
î
3

î
3 4
î
w
é
è
î
é
è
î
é
J

î
a
a
é
é
é
w
î
a
È

O
3
î
O

È
3
î
a
O
È
a
î

3
)(
)(
)
=
)
+
È
3
a
3
2
O

2
î
+
3
2
+

2
.
2
=
25
2
2
2
4
ggT(
.
2
) = 1.
150 + 7 = 0 ;
4 225 7 = 16200.
225
Jede rationale Zahl ist Lösung einer linearen Gleichung
+ = 0 mit
ganzzahligen Koeffizienten
, von denen der erste nicht verschwinden
darf; sie ist genau dann eine ganze Zahl, wenn man = 1 wählen kann.
§3: Die Hauptordnung eines Zahlkörpers
= 1502
2
7
+
=0=
3
225
+
1
1
+
Entsprechend ist jedes Element
Polynomgleichung
054
( +
( +
2
1
+
3
9
1
=
und
bezeichnen wir als die Diskriminante von .
2
ñ
<
+
0
È
a
î
a
î
î
0
=0
mit
Lösung einer
,
K
0
1
+
eines Zahlkörpers
0
è
+
+
0
auch das Produkt. Für den Quotienten können wir wie bei den komplexen
Zahlen über die dritte binomische Formel argumentieren:
î
hier ist die Diskriminante
2
2
î
)
a
E
+
b
E
)+(
4
c
+
2
a
beispielsweise haben wir die quadratische Gleichung
= 0 mit ganzzahligen, teilerfremden Koeffizienten; somit ist
gleich 4 . Für = 31 + 51 2 haben wir die
die Diskriminante von
Gleichung
=
=
ñ
Für
Die Zahl
=
\
)=(
\
í
î
ê
)( +
b
î
1
( +
= 0 mit
í
\
a
Umgekehrt ist
für jedes quadratfreie
ein Körper, denn
natürlich liegen Summe und Differenz zweier Elemente wieder in diesem Vektorraum und wegen
3
b
ist mit einer quadratfreien Zahl , d.h. einer Zahl , die durch keine
Quadratzahl ungleich eins teilbar ist. Somit läßt sich in der Form
+
schreiben mit
. Da als -Vektorraum zweidimensional ist, läßt sich jedes Element von so schreiben, als Vektorraum
.
ist also =
+
4
=
+
\
`
4

4
Nach der Lösungsformel für quadratische Gleichungen ist
2
b
und
J
Jede Zahl aus = +
genügt einer quadratischen Gleichung,
)2 = 2 . Durch Multiplikation mit
zum Beispiel der Gleichung (
dem Hauptnenner der Koeffizienten und gegebenenfalls noch Kürzen
mit dem ggT erhalten wir eine Gleichung
b
2
î
3
a
=
f
a
J
\
4
é
î
í
í
2
î
è
K
\
2
a

4
2
ð
4
2
Wegen der Irrationalität von muß auch
4
irrational sein,
ist kein Quadrat einer rationalen Zahl. Wegen der Eind.h. 2 4
deutigkeit der Primzerlegung in können wir aber ganze Zahlen
und finden, so daß
è
î
.
i
\
2
î
b
2
î
í
4
é
=
î
Für
0 ist [
] ein Teilkörper von ; wir reden in diesem Fall von
0, gibt es in [
]
einem reellquadratischen Zahlkörper. Falls
auch imaginäre Elemente; hier reden wir von einem imaginärquadratischen Zahlkörper.
].
a
2
é
[
a
Ein quadratischer Zahlkörper ist ein Zahlkörper, der als -Vektorraum
betrachtet die Dimension zwei hat. Es gibt daher ein von der Eins line2
müssen aber
ar unabhängiges Element . Die drei Elemente 1
, so daß
linear abhängig sein; es gibt also rationale Zahlen
2
+
+
= 0 verschwindet. Nach der Lösungsformel für quadratische Gleichungen folgt
=
D
§2: Die Elemente quadratischer Zahlkörper
Wir bezeichnen diesen Körper kurz mit
Kap. 4: Quadratische Zahlkörper
G
J
0 8
ê
E
E
E
Uê
9
0 U
9
Uê
0 U
î
O
O
È
î
O
È
a
î
O
O
È
È
a
î

3
O
È
a
î

O
È
é
D
T
è
M
+
+
]
0
= 0 mit
.
é
]
1
J
] 8
U <
]òU
] 8
<
E
E
E
9
U <
9
]òU
è
<
0
ê
0
E
E
E
9
Uê
9
0VU
Uê
K
J
0 8
a
è
K
1
J
054

3
î
é

3
<
î

3
a
<
K
1
0
<
î
a

3
î

î
<
î
3
<

3
L
3
3
?
K
3
C ó
K
C ó
K
K
w
K
w
x
ö ó
î
î

3
J

é
è
6
î
ö
3
P
3
?
t
K6
C
K
9
P
î

3
ö
K
9
w
K
w
t
9
î
1 mod 4
.
1 mod 4
Dieses Beispiel wirft die Frage auf, ob unserere Definition ganzer Zahlen
wirklich so geschickt war: Wir hätten schließlich auch einfach definieren
9
4
a
C
|

0 mod 4 .
falls
) falls
î
2
= 21 (1 +
a
2
î
a
K
î
=
î
mit
t
2
ö
î
Beim Körper = [ ] der komplexen Zahlen mit rationalem Real- und
Imaginärteil ist
= 1
3 mod 4, also ist die Hauptordnung hier
=
einfach
,
die
sogenannten
ganzen GAUSSschen Zahlen.
1
Für = 3 1 mod 4 dagegen ist auch 3 = 12 (1 +
3) eine ganze
Zahl und
3 =
3.
=
î
2
C ó
F t
=
ö ó
2
1 mod 4 eine
+
é
2
1
î
Falls keine ganze Zahl ist, muß es wegen der ersten Bedingung von der
Form = 2 sein mit einer ungeraden Zahl . Notwendige Bedingung
2
für die Ganzheit von 2
ist dann, daß auch = 2 von dieser
Form ist. Dann ist
é
Für
ist die erste Bedingung trivialerweise erfüllt und die zweite
genau dann, wenn auch eine ganze Zahl ist: Da keinen Nenner hat,
2
ist der Nenner von 2
in diesem Fall das Quadrat des Nenners
von .
a
ganze Zahlen sein.
4
a
Die ganzen Zahlen in [
] bilden also in jedem Fall einen Ring;
von [
].
diesen Ring bezeichnen wir als die Hauptordnung =
Wie wir gerade gesehen haben, ist also
î
=
+
1 1+
=
+
=
4
4
2
liegt wieder in dieser Menge, da (
1) 4 im Fall
ganze Zahl ist.
1+2
P
Somit müssen = 2 und
<
î
2
î
a
t
2
a
î
) = 0.
Cõó
î
2
3 4
=
w
2

+(
J
2
K
2
î
î
2
t
der Gleichung
È
Cõó
ist, genügt
3
Côó
K
)+2
Côó
È 4
+

O
) =(
1+
J
2
eine ganze Zahl, und offensichtlich sind die ganzen Zahlen genau die
mit
schreiben lassen. Die Menge
Zahlen, die sich als +
der ganzen Zahlen ist also
. Auch dies ist ein Ring, denn
=
1 mod 4 ist +
auch noch dann ganz, wenn und
Im Fall
beide die Hälfte einer ungeraden Zahl sind. Insbesondere ist also auch
K
=( +
?
î
a
2
é
w
a
î
2
K
î
î
2
a
3
2
K

Als (in dieser Vorlesung einziges) Beispiel betrachten wir den quadratischen Zahlkörper = [
]. Ein Element = +
mit
ist genau dann ganz, wenn es einer Gleichung der Form 2 +
+ mit
genügt. Da
î
und höchstem Koeffizienten eins
î
a
mit ganzzahligen Koeffizienten
genügt.
3
=0

0
3
+
3
1

+
a
+
î
1

1
î
a
+
a
heißt ganz, wenn es
î
eines Zahlkörpers
î
In [
] ist ein Element +
daher für
1 mod 4 genau dann
ganz, wenn und beide ganz sind; die Menge der ganzen Zahlen ist
. Diese Menge ist offensichtlich eine abelsche Gruppe
also
bezüglich der Addition, und da das Quadrat von
die ganze Zahl
ist, ist sie auch abgeschlossen bezüglich der Multiplikation; die ganzen
Zahlen bilden also einen Ring.
F t
Definition: Eine Element
einer Polynomgleichung
î
Multiplikation mit dem Hauptnenner der Koeffizienten macht daraus
eine Polynomgleichung mit ganzzahligen Koeffizienten.
+
<
1
|
1
t
und sind ungerade Zahlen; ihre Quadrate sind also kongruent eins
2
modulo vier. Somit ist 2
genau dann ganz, wenn
1 mod 4
ist.
Kap. 4: Quadratische Zahlkörper
î
+
denn da nach Definition ein endlichdimensionaler -Vektorraum ist,
können die Potenzen von nicht allesamt linear unabhängig sein. Es
gibt also für irgendein eine lineare Abhängigkeit
Zahlentheorie SS 2007
G S
î
t
3
|
?
c
î
J
|
?

3
G

3
î
R
3
a

a
a
a
C
a
î
î
î
9

J
<

J
3 8
3
<
3
E
E
E
9

U <
9
3 U
U <
C

è
î
a
3
C
é
4

J
ê
Sp( )
î
4 a
é
î
î
a
a
é
J
é

<
P
<
2
+ N( ) = 0 .
J
<

J
T
ö ó
J
C
X
3
<
3
2
E
E

E
J
2
U <
9
U <
3 U
9
È
C
a
î
E
U 2
U
î
O

È
3

J
9
3 U
4X
X
4
U 2
3W÷
U 2
9
3
E
E
2
U 9
9
3 U
(
+
O
3
E
O

C
C
a
O
3
O
C
È
a

3
C
C
2
2
2

P
<
2
)
= N( ) N( ) .
)
C
=
.
+

=
î
)=
=(
=
.
liegen.
+
È
)=
È
N(
)
C
)(
+
a
b) Nach Definition ist
=(
î
)+(
î
=(
O
+
Beweis: a) Folgt sofort durch direktes Nachrechnen: Für
und = +
ist
] ist genau dann ganz, wenn N( ) und Sp( ) in
ist genau dann eine Einheit, wenn N( ) = 1 ist.
2
C
[
C
d)
e)
J
ê
Hier ist die rechte Seite durch teilbar, also auch die linke. Da und als
teilerfremd vorausgesetzt war, ist das nur möglich, wenn eine Einheit
ist, d.h. =
liegt in .
a
E
.
3
C
î
1

`
1
a
E
3
1
î
=2 .
3
C

1
+
a
=
î
Sp( ) =
î
macht daraus die Gleichung
a
ist
3
Lemma: a) Für
[
] ist
=
.
b) Für
[
] ist N( ) = N( ) N( ).
[
] ist Wurzel der quadratischen Gleichung
c)
c) Die Spur von
2
J
ist. Multiplikation mit
3
K
0
3
)=
w
1
)(
é
1

=( +
î
1
î
N( ) =
=
a
=

Definition: a) Für ein Elements = +
von
heißt =
das zu konjugierte Element.
b) Die Norm von ist
2
Bevor wir diese Frage beantworten können, müssen wir zunächst wissen,
ob möglicherweise die Faktoren auf der rechten Seite noch weiter zerlegt
werden können. Solche Fragen lassen sich oft entscheiden, indem man
die Normen der beteiligten Elemente betrachtet.

Beweis: Jedes Element des Quotientenkörpers eines Rings kann als
Quotient =
mit
dargestellt werden. Falls faktoriell ist,
können wir dabei annehmen, daß und teilerfremd sind. ist genau
dann ganz über , wenn es ein
und Elemente 0
1
gibt derart, daß
9
é
Satz: Ein faktorieller Ring ist ganzabgeschlossen.
K
ganze
w
é
genügt.
b) heißt ganzabgeschlossen oder normal, wenn jedes über
Element des Quotientenkörpers von in liegt.
K
9
= 0 mit
ö
0
+
a
1
E
+
î
+
E
nicht faktoriell ist?
a
1
ö
è
1
a
5
a
Folgt daraus, daß
è
+
é
Beginnen wir mit einem Beispiel: Die Hauptordnung von = [
5]
[
5], und dort haben wir die beiden Produktzerleist
5 =
gungen
6 = 2 3 = (1 +
5) (1
5) .
Integritätsbereiche, so heißt ein Element
Definition: a) Sind
ganz über , wenn es einer Gleichung
§4: Normen und Spuren in quadratischen Zahlkörpern
a
Einer der Gründe ist sicherlich, daß wir in nichtquadratischen Zahlhaben, und selbst
körpern keine ausgezeichneten Elemente wie
im quadratischen Fall ist
nicht immer das einzige ausgezeichnete
1
Element. Im Falle
= 3 beispielsweise ist
3) eine
3 = 2 (1 +
primitive sechste Einheitswurzel, und es gibt keinen Grund, diese als
weniger ganz“ oder weniger ausgezeichnet“ zu betrachten als
3.
”
”
Viel wichtiger ist aber, daß wir nur bei dieser Definition der Ganzheit
eine Chance auf eindeutige Primzerlegung in der Hauptordnung haben:
genau dann ganz heißen soll, wenn und ganze
Kap. 4: Quadratische Zahlkörper
können, daß +
Zahlen sind.
Zahlentheorie SS 2007
G
î
a
î
È
3
C
E
C
E
/
)(
)=
2
Sp( )
+ N( ) = 0 .
ê
ê
ê
ê
d) folgt sofort aus c) und der Definition der Ganzheit.
(
und
C
C

E
`
K
C
ö
ó
J
C
ö ó
J
=

J
3
2 4
`
E
`
!
Ê <
Ê
ì
<
!
( )
( ).
Das Standardbeispiel ist natürlich der Ring der ganzen Zahlen mit
( ) = . Ein anderes Beispiel ist der Polynomring [ ] über einem
Körper : Hier können wir ( ) für ein Polynom = 0 als den Grad
von definieren; dann erfüllt auch die Polynomdivision mit Rest die
Forderung an einen EUKLIDischen Ring.
ì
a
E
a
E
a
é
a
`
4
E
E
4
Wie angekündigt, gilt
H
`
`
1
0
a
1
0
<

J
=
< 4
Lemma: In einem EUKLIDischen Ring gibt es zu je zwei Elementen
einen ggT. Dieser kann nach dem EUKLIDischen Algorithmus
berechnet werden und läßt sich als Linearkombination mit Koeffizienten
aus von und darstellen
=
a
é
`
J
0
a
0
`
1
Beweis: In jedem Integritätsbereich folgt aus der Gleichung =
+
mit
, daß die gemeinsamen Teiler von und gleich denen
von und sind. Speziell in einem EUKLIDischen Ring können wir dabei als Divisionsrest wählen und, wie beim klassischen EUKLIDischen
Algorithmus, danach durch dividieren usw., wobei wir eine Folge ( )
von Divisionsresten erhalten mit der Eigenschaft, daß in jedem Schritt
die gemeinsamen Teiler von und gleich denen von
sind.
1 und
Außerdem ist stets entweder
= 0 oder ( )
( 1 ), so daß die
= 0 abbrechen muß.
Folge nach endlich vielen Schritten mit einem
Auch hier sind die gemeinsamen Teiler von
= 0 genau
1 und
die gemeinsamen Teiler von und . Da jede Zahl Teiler der Null ist,
sind die gemeinsamen Teiler von
1 und Null aber genau die Teiler

2
=
<
3
3
< 4
=
4
é
<
a
K
In Kapitel I bewiesen wir die eindeutige Primzerlegung in mit Hilfe des EUKLIDischen Algorithmus. Wenn wir beispiele für faktorielle
Ringe
suchen, liegt es daher nahe, nach Ringen zu suchen, in denen des einen EUKLIDischen Algorithmus gibt. Solche Ringe heißen
EUKLIDische Ringe.
<
<

3
§5: Euklidische Ringe
2
<
ì
5] nicht
=
=
F
[
=
ê
Damit haben wir gezeigt, daß die Hauptordnung von
faktoriell ist.
3
2
müßte für solche Elemente = 0 und 2 = 2 oder 3 sein, was für ein
offensichtlich nicht möglich ist. Somit sind die Elemente 2 3
und 1
5 allesamt irreduzibel, und die Zahl sechs läßt sich auf
zwei verschiedene Weisen als Produkt irreduzibler Elemente schreiben.
5 assoziiert sein können,
(Es ist klar, daß 2 und 3 nicht zu 1
denn die Normen assozierter Elemente unterscheiden sich höchstens im
Vorzeichen.)
= 0 oder
3
3
K
3

Wir schreiben auch : = Rest und bezeichnen als Divisionsrest
bei der Division von durch .
und
!
2 oder
!
3
H
Echte Primteiler einer dieser Zahlen müßten also Norm
haben. Wegen
N( +
5) = 2 + 5 2
<
3
5) = 1 + 5 = 6 .
I
!
!
N(1
!
=
N(3) = 3 3 = 9

+
=
N(2) = 2 2 = 4
u
=
Ê <
Das können wir beispielsweise anwenden auf die eingangs betrachteten
5) (1
5). In [
5] ist
Zerlegungen 6 = 2 3 = (1 +
v {
) = 1, wir haben also ein
< 4
(

1, so ist
=
=
J
i
Ist umgekehrt N( ) =
ganzes Inverses.

Definition: Ein EUKLIDischer Ring ist ein Integritätsbereich zusammen mit einer Abbildung :
0
, so ist
0 , so daß gilt: Ist
( )
( ), und zu je zwei Elementen
gibt es Elemente
mit

e) Ist
eine Einheit, so gibt es ein dazu inverses ganzes Element
, und wegen
= 1 ist auch N( ) N( ) = N( ) = 1.
Die Norm ist also eine Einheit von , d.h. N( ) = 1.
Wie wir gesehen haben, ist die Division mit Rest das wichtigste Werkzeug beim EUKLIDischen Algorithmus, und wie sich in diesem Abschnitt
herausstellen wird, brauchen wir kein weiteres. Wir definieren daher
Kap. 4: Quadratische Zahlkörper
:
c) Ist offensichtlich, denn nach dem Satz von VIÈTE sind
Nullstellen der Gleichung
G
Zahlentheorie SS 2007
G
=
3 8
<
3 8
3 8
9
3 8
9
i
3 8
3 U
!
3 U
3 U
9
!
=
=
3 U
3 8
ö ó
9
<
=

J
2 4
3
=54
3
;
=
<
3 U
9
4
!
9
3 U
3 U
9
<
2
=
<
<
È
<
=
!

!
J
È
=
3
>
3
<
<
i
>
È
<
!
3
!
=
=
<
ist auch Teiler von =
= (1
( ) sein. Genauso folgt, daß auch ( )
È
Als Teiler von
( )
( )
3
<
!
=
i
>
!
<
2
=
3
=
<
I
=
!
!
!
), also muß
( ) ist.
Nach Induktionsvoraussetzung lassen sich daher und als Produkte
von Einheiten und Potenzen irreduzibler Elemente schreiben, und damit
läßt sich auch =
so darstellen.
3
>
>
=
<
<
F
teilt, teilt es mindestens
=
<
=
<
=

<
<

v
u

+
C
=
<
<
C
<
C
<
<
=
=

{
als Linearkombination von und schreiben. Multiplikation mit
macht daraus =
+
, und hier sind beide Summanden auf der
rechten Seite durch teilbar: Bei
ist das klar, und bei
folgt es
daraus, daß nach Voraussetzung ein Teiler von
ist. Also ist Teiler
von , und die Zwischenbehauptung ist bewiesen.
1=
Zum Beweis betrachten wir den ggT von und . Dieser ist insbesondere
ein Teiler von , also bis auf Assoziiertheit entweder oder 1. Im ersten
Fall ist Teiler von und wir sind fertig; andernfalls können wir
Falls ein irreduzibles Element ein Produkt
einen der beiden Faktoren.
Als nächstes müssen wir uns überlegen, daß diese Darstellung bis auf
Reihenfolge und Einheiten eindeutig ist. Das wesentliche Hilfsmittel
hierzu ist die folgende Zwischenbehauptung:
=
=
J
T
!

I
T
!
<
F
<
3
2
!
<
<
<
<
i
3
!
3
!
<
2
<
ein Produkt
<
=
<
< 8
Falls ein irreduzibles Element
stens einen der Faktoren .
<
Induktiv folgt sofort:
k
8
=1
teilt, teilt es minde-
<
=
=
=
i
=
Für
1 unterscheiden wir zwei Fälle: Ist irreduzibel, so ist
eine Darstellung der gewünschten Form, und wir sind fertig.
>
3
>
Ist ( ) = 0, so ist eine Einheit: Bei der Division 1 : = Rest ist
nämlich entweder = 0 oder aber ( )
( ) = 0. Letzteres ist nicht
möglich, also ist
= 1 und eine Einheit. Diese kann als sich selbst
mal dem leeren Produkt von Potenzen irreduzibler Elemente geschrieben
werden.
!
!
>
2
0
I
È
>
des EUalle = 0
<
i
=
0
<
=
0
Dazu benutzen wir die Betragsfunktion :
KLIDischen Rings
und beweisen induktiv, daß für
mit ( )
in der gewünschten Weise darstellbar sind.
=
2
<
Beweis: Wir müssen zeigen, daß jedes Element = 0 aus bis auf Reihenfolge und Assoziiertheit eindeutig als Produkt aus einer Einheit und
geeigneten Potenzen irreduzibler Elemente geschrieben werden kann.
Wir beginnen damit, daß sich überhaupt in dieser Weise darstellen
läßt.
>
3
Satz: Jeder EUKLIDische Ring ist faktoriell.
=
Dazu dividieren wir mit Rest durch ; das Ergebnis sei Rest , d.h.
= + mit = 0 oder ( )
( ). Wäre = 0, wäre ein Vielfaches
von , es gäbe also ein
mit =
= ( ) = ( ) . Damit wäre
= 1, also eine Einheit, im Widerspruch zur Annahme. Somit ist
( )
( ).
>
Auch die lineare Kombinierbarkeit folgt wie im klassischen Fall: Bei
jeder Division mit Rest ist der Divisionsrest als Linearkombination von
Dividend und Divisor darstellbar; beim EUKLIDischen Algorithmus beginnen wir mit Dividend und Divisor , die natürlich beide als Linearkombinationen von und darstellbar sind, und induktiv folgt,
daß auch alle folgenden Dividenden und Divisoren sind als Reste einer
vorangegangenen Division Linearkombinationen von und sind, also
ist es auch ihr Divisionsrest. Insbesondere ist auch der ggT als letzter
nichtverschwindender Divisionsrest Linearkombination von und ,
und die Koeffizienten können wie in Kapitel I mit dem erweiterten EUKLIDischen Algorithmus berechnet werden.
<
Andernfalls läßt sich =
als Produkt zweier Elemente schreiben,
die beide keine Einheiten sind. Da und Teiler von sind, sind
( ) ( )
( ). Wir wollen uns überlegen, daß sie tatsächlich sogar
echt kleiner sind.
Kap. 4: Quadratische Zahlkörper
G
von
1 , und unter diesen gibt es natürlich einen größten, nämlich
1
selbst. Somit haben auch und einen größten gemeinsamen Teiler,
nämlich den nach dem EUKLIDischen Algorithmus berechneten letzten
von Null verschiedenen Divisionsrest
1.
G
Zahlentheorie SS 2007
B
< 8
<
<
<
f
T
Zahlentheorie SS 2007
D
I
<
!

J
T

é
Ö×ÖØÖ

T
T
3
ö ó
J
2
a
î
î
J
<
î
ö ó
a
é
i
Ê
2
<
Ê
r
s
<
p
k
<
2
q
l
O
q
no
8
l
<
È
<
8
Betrachten wir als Beispiel die Division von 23 + 5 durch 2 + 3 im
Ring [ ] der GAUSSschen Zahlen. In [ ] ist
23 + 9
(23 + 9 )(2 + 3 ) 19 87
=
.
=
+
2 3
13
13 13
Da 19 : 13 = 1 Rest 6 und 87 : 13 = 6 Rest 9 ist, liegt das Element 1 + 7
aus [ ] am nächsten bei dieser Zahl. Die Norm von
6
4
19 87
(1 + 7 ) =
+
13 13
13 13
ist (62 + 42 ) 132 = 52 169 und damit deutlich kleiner als eins. Somit ist
é
6
é
K
J
ì
| 8
4
6
6
6
6
6
6
2
ø

6
i
q
P
7
P
6
K
q
2
P
P
6
<
!
8
<
!
2
q
ø
<
<
8
<
8
2
q
q
ø
<
6
6
6
6
6
ù
ê
H
ù
ê
ê
K
K
K
ê
ê
4
6
6
6
6
denn auch die Norm von 3 ist kleiner als die von 2 + 3 . Da in der
Definition eines EUKLIDischen Rings von Eindeutigkeit keine Rede war,
ist dies kein Problem. (Auch beim EUKLIDischen Algorithmus wird nie
gebraucht, daß das Ergebnis der Division mit Rest eindeutig ist; in der
Tat läßt sich der sogar für gelegentlich dadurch etwas beschleunigen,
daß man bei der Division mit Rest auch negative Reste zuläßt und stets
das Ergebnis nimmt, bei dem der Betrag des Rests minimal ist.)
(23 + 9 ) : (2 + 3 ) = (1 + 6 ) Rest 3 ,
ein mögliches Ergebnis der Division mit Rest. Ein anderes wäre
P
2
6
(23 + 9 ) : (2 + 3 ) = (1 + 7 ) Rest
6

K
ö ó
Um zu sehen, in welchen der Ringe
eine solche Division mit Rest
stets möglich ist, betrachten wir die Situation geometrisch. Wir beschränken uns dabei zunächst auf den imaginärquadratischen Fall.
K
!
ö ó
J

3 4
a
î
é
ö ó
Falls die Hauptordnung
von [
] zusammen mit dieser Abbildung ein EUKLIDischer Ring ist, muß es zu je zwei Elementen
3
a

6
Für einen EUKLIDischen Ring brauchen wir zunächst eine Abbildung
nach 0 . Für konnten wir einfach den Betrag nehmen; für die Hauptordnung eines quadratischen Zahlkörpers können wir unser Glück versuchen mit dem Betrag der Norm.
Ö×ÖØÖ
Æ
2
<
Wir interessieren uns in diesem Kapitel vor allem für quadratische
Zahlkörper; daher wollen wir uns fragen, wann die Hauptordnung eines
solchen Körpers EUKLIDisch ist.
2
Ä
i
=
Bemerkung: Die Umkehrung dieses Satzes gilt nicht: Beispielsweise
sind nach einem Satz von GAUSS auch [ ] sowie Polynomringe in
mehr als einer Veränderlichen über oder einem Körper faktoriell, aber
keiner dieser Ringe ist EUKLIDisch, da sich weder der ggT eins von
in [ ] noch der ggT eins von
und
in [
] als
2 und
Linearkombination der Ausgangselemente schreiben läßt.
3
zwei Zerlegungen eines Elements
, wobei wir annehmen können,
daß alle
1 sind. Dann ist 1 trivialerweise Teiler des ersten
Produkts, also auch des zweiten. Wegen der Zwischenbehauptung teilt 1
also mindestens eines der Elemente , d.h. 1 =
ist bis auf eine
Einheit gleich . Da keine Einheit ist, ist (
)
( ); nach
Induktionsannahme hat also
= (
) eine bis auf Reihenfolge
und Einheiten eindeutige Zerlegung in irreduzible Elemente. Damit hat
auch diese Eigenschaft.
=1

2
=
P
Da sich jedes Element von [
] als so ein Quotient
darstellen
läßt, muß es also zu jedem
[
] ein
geben, so daß
N(
)
1 ist. Dies zeig auch, wie man im EUKLIDischen Fall
die Division mit Rest durchführt: Man berechnet den Quotienten
zunächst im Körper [
] und nimmt dann das bezüglich der Norm
nächstgelegene Element von
.
P
=1
J
Ê
N(1) = 1 .
i
=
F
ö ó
Ê
N
N( ) ist.

Seien nun
Ê
eine Einheit sein muß, und
Ê
)
Ê
mit = 0 ein Element
geben, so daß N(
Division durch macht daraus die Ungleichung
Ê
Für = 0 haben wir oben gesehen, daß
hier ist die Zerlegung = eindeutig.
Kap. 4: Quadratische Zahlkörper
G
Um den Beweis des Satzes zu beenden, zeigen wir induktiv, daß für
eine bis auf Reihenfolge und
jedes
0 alle Elemente mit ( )
Einheiten eindeutige Primfaktorzerlegung haben.
G
G
Zahlentheorie SS 2007
î
a
é
6
<
a
6
M
Um besser zu sehen, welche Terme in den folgenden Rechnungen positiv
und welche negativ sind, schreiben wir den Körper als [
] mit
0; seine Elemente lassen sich dann in der Form +
darstellen,
wobei =
1 die imaginäre Einheit bezeichnet.
G
î
f
ú
î
a
=
î
é
î
Ã
[
Z
2
F t
î
Ö×î Ö×Ö
a
6
a

3
Ö×Ö×Ö
î

3
î
a
6

3
a
î
6
3

ö
ö
2 ist, d.h.
=1
a
é
î
<
Ê
<
a
a
é
î
î
t
2
ö
Ê 2
Für
= 3 überdecken zwar die abgeschlossenen Kreisscheiben mit
Radius eins um die Gitterpunkte ganz , aber die gerade betrachteten
3], die in keiner offenen
Eckpunkte sind Elemente des Körpers [
Kreisscheibe um einen Gitterpunkt liegen. Das ist allerdings hier kein
Problem, denn in [
3] sind diese Eckpunkte ja selbst Gitterpunkte:
Für
1 mod 4 gibt es schließlich mehr ganze Zahlen in [
].
î
ó 9
ó 9
J
ó 9
ú
a
é
J
î
a
é
i
î
a
é
ú
î
6
`
`
é
`
<
ö
a
î
î
8
`
ö ó
ö ó
J
2
þ
2
ú
>
NÊ 2
Ê
>
I
Ê 2
Ê
>
J
ö
ó 9
N 2
ý
J
ü
û
2
ú
J
Ö×Ö
ú
J
>
þ
i
Ê 2
Ê
Ö×Ö
ú
>
J
ü
>
ÿ
>
û
2
a
é
Hier wird das Gitter
erzeugt von der Eins und von 12 (1 +
).
Der Nullpunkt hat somit sechs nächste Nachbarn, nämlich 1 und
1
. Die Wirkungsbereiche der Null und die von 1 werden
2
2
getrennt durch die Geraden = 12 , und auch für die vier anderen Punkte müssen wir die Mittelsenkrechte zur Verbindungsstrecke betrachten.
Diese geht durch den Streckenmittelpunkt, also durch 14 4
, und
sie steht senkrecht auf dieser Strecke.
a
î
ö
ó 9
Der Wirkungsbereich eines Gitterpunkts unterscheidet sich von dem
des Nullpunkts nur durch eine Verschiebung um ; entsprechendes gilt
auch für die Kreise mit Radius eins um die beiden Punkte. Daher reicht
es, zu untersuchen, wann der Wirkungsbereich des Nullpunkts ganz im
Innern des Einheitskreises liegt.
a
ú
folgt insbesondere, daß jedes Element von [
] im Innern einer
Kreisscheibe mit Radius eins um einen Gitterpunkt liegt: Dann ist der
Ring
EUKLIDisch.
3 4
î
1 ,
Ç
Dies ist genau dann echt kleiner als eins, wenn
oder = 2.
î
.
I
( )
a
1+
2
a
in mindestens einem dieser Wirkungs-
J
=
K
2
2
î
Offensichtlich liegt jedes
bereiche, und falls
a
:
( )=
3
î
Die Punkte aus
bilden ein Gitter in ; für jeden der Gitterpunkte
definieren wir dessen Wirkungsbereich oder VORONOI-Bereich
als den Abschluß der Menge aller
, die näher bei liegen als bei
jedem der anderen Gitterpunkte:
a
+

2
`
1
2
6
`
ist also
einfach das Quadrat des üblichen komplexen Betrags.
genau dann ein EUKLIDischer Ring mit der Norm als Betragsfunktion,
wenn es zu jedem Element
[
] ein
gibt, so daß
1 ist. Da [
] dicht in liegt, müssen dazu die Kreisscheiben mit Radius eins um die Punkte aus
die ganze komplexe
Zahlenebene überdecken. Bei den Punkten, die nur auf Rändern solcher Kreisscheiben liegen, muß zudem überprüft weden, daß sie nicht
in [
] liegen: Andernfalls sind das Körperelemente, für die obige
Ungleichung nicht erfüllt ist.
î
2
F t
+
î
=

2
ó 9
+
ö
2
8
)=
K
)(
)=( +
w
N( +
î
] als Teilmenge der komplexen Zahlenebene ;
K
Wir betrachten [
dann ist
î
mod 4: Falls
Die Struktur des Wirkungsbereichs hängt ab von
3
mod
4,
ist
[
1 mod 4, d.h.
=
]. In
der komplexen Zahlenebene bilden diese Punkte ein Rechteckgitter mit
zu
. Der Wirkungsbereich des
den Gitterpunkten = +
, und die am
Nullpunkts ist daher das Rechteck mit Ecken 12
2
weitesten von der Null entfernte Punkte sind die Ecken mit Abstand
Kap. 4: Quadratische Zahlkörper
MS
`
a
î
8
>
>
`
ó 9
`
Zahlentheorie SS 2007
M
R
6
ë
6
`
[
6
`
`
Z
2
=
J
<
>
ð
Î
Ö Ö×Ö
×
Î
J
Ç
a
î
Ã
î
a
î
a
P
`
a
î
`
`
<
u
2 3 5 6 7 11 13 17 19 21 29 33 37 41 57 73 .
4
ð
4
î
=
< 4
`
î
a
P
î
a
î
î
a
P
î
a
[
Z
EUKLIDisch bezüglich der Norm. Es gibt
Genau für diese ist also
zahlreiche weitere positive , für die
faktoriell ist; vermutungsweise
sind es sogar unendlich viele. Ob einige dieser Ringe möglicherweise
bezüglich einer anderen Abbildung :
0
0 EUKLIDisch sind,
ist nicht bekannt, und die Nichtexistenz einer solchen Abbildung ist
natürlich nur schwer zu beweisen.
Die letzten offenen Fälle wurden 1950 untersucht in H. CHATLAND,
H. DAVENPORT: Euclid’s algorithm in real quadratic fields, Canadian J.
Math. 2 (1950), 289–296; dort sind auch die weiteren Arbeiten zitiert,
aus denen zusammen schließlich das obige Ergebnis folgt.
J
v {
u

ö ó

!
î
î
î
î
î
î
i
î
î
î
i
î
î
î
i
î
a
P
a
î
t
î
§6: Einheiten in quadratischen Zahlkörpern

4
a
î
é
a
î
a
é
ö ó
K
î
2
3
7
11 ;
v
1
2
die Summe zweier positiver
Im imaginärquadratische Fall ist 2
Terme; hier kommt also nur der Wert +1 in Frage. Die einzigen ganzzahligen Lösungen sind offensichtlich (
) = ( 1 0), sowie im Fall
= 1 der GAUSSschen Zahlen (
) = (0 1). Für
1 mod 4
sind auch echt halbzahlige Werte für sowohl als auch zugelassen;
dies führt offensichtlich nur für = 3 zu weiteren Lösungen, nämlich
= 12 und = 12 . Damit haben wir gezeigt:
Es ist nicht bekannt, ob es andere
0 gibt, für die die Hauptordnung
bezüglich einer anderen Funktion :
0
0 EUKLIDisch ist.
Bekannt ist aber, daß die einzigen weiteren faktoriellen Hauptordnungen
die sind mit
19 43 67 163 : siehe H. STARK:
A complete determination of the complex fields of class numbers one,
Michigan J. of Math. 14 (1967), 1–27. Die Methoden seines Beweises
liegen deutlich über dem Niveau dieser Vorlesung.
<
von diesen wissen wir damit auch, daß ihre Hauptordnung faktoriell ist.
î
eine Einheit in
(man spricht auch kurz, aber schlampig,
Ist +
2
]), so muß die Norm 2
von einer Einheit des Zahlkörpers [
eine Einheit in sein, also gleich 1.
Die einzigen imaginärquadratischen Zahlkörper [
], deren Hauptordnung bezüglich der Norm EUKLIDsch ist, sind somit die mit
î
4
Die einzigen
3 mod 4, die dies erfüllen, sind
=3
= 7 und
= 11. Für diese ist auch 41 (
+1
) 1, so daß dann und nur
dann der gesamte Wirkungsbereich der Null im Einheitskreis liegt.
a
4
14 .
2
4
1
>
ö ó
+
<
4
oder
ÖØÖ
<
42 = 16
2
1
4
+
=
2+
3
a
dies ist genau dann kleiner als eins, wenn gilt
3
4
;
î
1
4
+

2+
=
4
1
4
a
4
=
O
î
¡
1
J
4
2+
ÖØ
î Ö

4
4+
2
1
4
ö ó
4
=
J
)2
i
4
1
16
>
die Menge
aller
Betrachten wir für festes = +
2
(
)
, für die = +
diese Ungleichung erfüllt, erhalten
wir also einen Bereich, der durch Hyperbeln begrenzt wird, und wir
müssen zeigen, daß die Vereinigung aller
für
ganz 2
ist. Durch mühsames Abhaken vieler Einzelfälle folgt aus einer ganzen
Reihe von Arbeiten, daß dies genau dann der Fall ist, wenn
ö ó
(
v
+
1.
2
¡
1
2
)2

2
(
ð
Der Abstand dieser Punkte vom Nullpunkt ist

2
î
2
.
)2
1 für
Zwei der Ecken des Wirkungsbereichs liegen (aus Symmetriegründen)
auf der imaginären Achse; Einsetzen in die Geradengleichungen ergibt,
+1
) sind. Die restlichen
daß deren Imaginärteile gleich 14 (
vier Ecken liegen auf den Geraden = 12 , haben also Realteil 12 ; hier
führt die Rechnung auf die Imaginärteile 14 (
1
).

+
3
(
a
1
2
Ê
)
Ê
Im reellquadratischen Fall wird die Ungleichung N(
= +
und = +
zu
M
Eine Drehung um 90 kann in der komplexen Zahlenebene realisiert
werden durch Multiplikation mit ; wir haben also die vier Geraden
Kap. 4: Quadratische Zahlkörper
u
î
J
4
=
4
4
4
`
=
<
î
t
`
î
=
î
i
=
4
`
=
4

<
< 4
=
< 4
<
î
v
v {
u

4
ö ó
4
!
4
u
î
J
ö ó
î
`
=
`
<
a
î
é
é
M
/
F
î
F
î
Lemma: In einem imaginärquadratischen Zahlkörper [
] gibt es
für = 1 und = 3 nur die Einheiten 1. In [ ] gibt es zusätzlich
noch die Einheiten , und in [
3] sind die Einheiten genau die
sechsten Einheitswurzeln 1 und 12 12
3.
Zahlentheorie SS 2007
6
`
a
a
`
é
`
6
`
`
î
<
`
=
`
<
î
î
<
=
)
)=(
3
4

I
3
T
J
T
C
]
]

3 4
T
3
4
T
U9
C

so daß auch dieser Punkt im Bild liegt. Nach Wahl von
0
; wegen der Minimalität von ist also
=
und = .
(
3
i
3
U
C
T
I

T
3
Damit haben wir bewiesen
),
ist aber
= 0, d.h.
a
é
è
K
J
T
U

ö ó
Satz: Falls es im reellquadratischen Zahlkörper
= [
] ein Element aus
gibt, dessen Norm größer als eins ist, gibt es auch ein
entsprechendes Element mit kleinster Norm, und die Einheiten von
sind genau die Elemente
mit
. Insbesondere ist dann die
Einheitengruppe unendlich.
î
ö
`
ó
Im nächsten Kapitel werden wir sehen, daß jeder reellquadratische
Zahlkörper eine solche Grundeinheit“ hat; die Einheitengruppe eines
”
reellquadratischen Zahlkörpers besteht also stets genau aus den Elemente der Form
mit
und eine geeignete Einheit
.

]
Ê
Ê
Ê
ð
]
4
Ê
Ê
{
ö ó
{

Ê
Ê
Ê
<
E
ö
U
`
ð
]
=
`
]
]
g

g
I
Ê
Ê
g
Ê
I
Ê
Ê
Das Bild von ist diskret, denn hat ( ) höchstens den Abstand vom
Nullpunkt, so ist log
und log
. Ist log = , so ist
2
also
und
. Damit ist Sp( )
2 und N( )
.

]
( )=(
T
T
= 1, das Bild von liegt also
Da eine Einheit Norm 1 hat, ist
auf der zweiten Winkelhalbierenden =
von 2 . Außerdem sind
und reell, so daß genau dann im Kern von liegt, wenn = 1 ist.
]
3 4
3
)
3
C
T
log
f

(log
4
)= ( )
(

) gibt es jedenfalls ein größtes
T
2
4
Für einen solchen Punkt ( ) = (
ist. Dann ist
0 , so daß

3
:
]
7

Mit der PELLschen Gleichung werden wir uns im nächsten Kapitel genauer beschäftigen, und wir werden sehen, daß sie stets unendlich viele
Lösungen hat. Als Vorbereitung dazu wollen wir uns hier etwas genauer
mit der Struktur der Einheitengruppe beschäftigen. Dazu betrachten wir
die Abbildung
4
JOHN PELL (1611–1685) wurde im englischen Sussex geboren und ging auch dort zur
Schule. Bereits 1624 begann er sein Studium an der Universität Cambridge; 1628 erhielt
er seinen Bachelor und 1630 seinen Master. Danach arbeitete er meist als Lehrer. Von
1654–1658 war er als Diplomat im Auftrag CROMWELLs in Zürich. In einem dort von
JOHANN HEINRICH RAHN (1622–1676) verfaßten Buch, an dem PELL wesentlich mitwirkte,
ist ein Beispiel der obigen Gleichung zu finden, weshalb sie EULER (1707–1783) nach
PELL benannte. Tatsächlich wurde sie wohl erstmalig von dem indischen Mathematiker
und Astronom BRAHMAGUPTA (598–670) untersucht; die vollständige Theorie dazu geht
zurück auf LAGRANGE (1736–1813), der die Gleichung als ein Problem bezeichnet, das
FERMAT den englischen Mathematikern stellte. Nach seiner Rückkehr aus Zürich wurde
PELL Priester. 1663 wählte ihn die Royal Society zum Mitglied, 1675 wurde er deren
Vizepräsident.
]

= 1 ist. Diese Gleichung
3 4
Betrachten wir zunächst den Fall, daß 2
bezeichnet man als die PELLsche Gleichung.

Somit gibt es im Bild von ein Element ( ) = (
) mit minimalem
0. Wir wollen uns überlegen, daß das jeder andere Punkt im Bild ein
) auch (
) im Bild
ganzzahliges Vielfaches davon ist. Da mit (
liegt, können wir uns dabei auf Punkte (
) mit
0 beschränken.
3
2
In reellquadratischen Körpern führt die Bedingung N( ) = 1 auf die
2
Gleichung 2
= 1 mit einem positiven ; hier können wir nicht
ausschließen, daß es unendlich viele Lösungen gibt.
M
Da Norm und Spur ganzzahlig sind, gibt es also für beide nur endlich
viele Möglichkeiten, und da für ein ganzes Element Norm und Spur
zusammen mit dem führenden Koeffizienten eins die Koeffizienten der
quadratischen Gleichung sind, gibt es auch nur endlich viele quadratische Gleichungen und damit nur endlich viele Möglichkeiten für .
Kap. 4: Quadratische Zahlkörper
:
ó
K
J
T
`
Bevor wir das im einzelnen untersuchen, wollen wir zum Abschluß
dieses Kapitels und zur Vorbereitung auf das nächste noch ein Beispiel
einer nichtkommutativen Variante eines Zahlkörpers betrachten.
J
Ê
I
Ê
Ê
I
Ê
Ê
Ê

Ê
I

I
M
;
ð
T
Uð
ð
T
ð
T
Nachdem durch die komplexen Zahlen 2 mit der Struktur eines Körpers
versehen wurde, versuchten viele Mathematiker ähnliches auch für 3
zu erreichen. Natürlich kann weder 3 noch sonst ein
mit
2
zu einem Körper gemacht werden, denn ein solcher Körper wäre eine
algebraische Erweiterung von ; da aber der algebraische Abschluß
von gleich ist, muß dann = 1 oder = 2 sein.
f
ð
ú
ð
Uð
j
T
0 1
1 0
[
Z
Z
4
^
Uð
Uð
{
I
T
4
4
T
=
^ è
0
T
T
ð
6
+
+
L
?
1
L
+
;
2 2

ú
J
[
6
?
L
6
6
0
1
^ 0
6
0
?
Z
1
L
è
?
0
0
.
ð
ð
4
4
mit
=
+
1
C
L
= +
.
Die Quaternionen entsprechen somit genau den komplexen 2
Matrizen der Form
2-
Da für Matrizen das Assoziativgesetz wie auch das Distributivgesetz gelten, ist klar, daß das Produkt zweier solcher Matrizen wieder von derselben Form ist und daß auch die Quaternionenmultiplikation Assoziativund Distributivgesetz erfüllt.
=
1
identifizieren mit der
H
+
+
+
=
=
+
4
+
=
+
und
[
wir können also die Quaternion
Matrix
2
und
=
0
0
6
2
[
è
=
6
2
=
=
[
HAMILTON wählte eine Basis von = 4 , die aus der Eins sowie drei
imaginären Einheiten“ i j k besteht, d.h. i2 = j2 = k2 = 1. Außerdem
”
postulierte er, daß ij = ji = k sein sollte; daraus lassen sich dann uber
das Assoziativgesetz auch die anderen Produkte imaginärer Einheiten
berechnen.
0
1
Z
1
0
è
erfüllen dieselben Relationen
=
Z
6
6
Für = 1 und 2 haben wir natürlich die reelle bzw. komplexe Multiplikation. Den Fall = 4 löste HAMILTON 1843: Er fand eine Multiplikation
auf 4 , die zwar nicht kommutativ ist, ansonsten aber alle Körperaxiome
erfüllt. Man spricht in so einem Fall von einem Schiefkörper oder, in der
neueren Literatur, einer Divisionsalgebra. HAMILTON bezeichnete seine
vierdimensionalen Zahlen als Quaternionen. Kurz danach konstruierte
ARTHUR CAYLEY (1821–1895) ein nicht-assoziatives Produkt auf 8 ;
die so erhaltenen Zahlen“ nannte er Oktaven.
”
j
Zum Glück fand CAYLEY 1858 einen einfacheren Weg: Die vier komplexen 2 2-Matrizen
ð
Erst 1940 konnte HEINZ HOPF (1894–1971) (auf dem Umweg über Vektorfelder auf Sphären) zeigen werden, daß das nicht möglich ist: Selbst
kann nur dann existieren,
eine bilineare Abbidlung
wenn eine Zweierpotenz ist, und 1958 zeigten dann unabhängig voneinander und mit verschiedenen Methoden JOHN MILNOR und MICHEL
KERVAIRE, daß auch noch
8 sein muß, so daß nur die vier Möglichkeiten = 1 2 4 und 8 in Frage kommen. Genau in diesen Fällen waren
auch bereits entsprechende Produkte bekannt:
Die damaligen Mathematiker waren jedoch bescheidener: Ihnen genügte
es, einfach irgendeine Art von Multiplikation zu finden, die nicht unbedingt den Körperaxiomen genügte – von Körpern sprach damals ohnehin
noch niemand.
WILLIAM ROWEN HAMILTON (1805–1865) wurde in Dublin geboren; bereits mit fünf Jahren sprach er Latein,
Griechisch und Hebräisch. Mit dreizehn begann er, mathematische Literatur zu lesen, mit 21 wurde er, noch als
Student, Professor der Astronomie am Trinity College
in Dublin. Er verlor allerdings schon bald sein Interesse für Astronomie und beschäftigte sich stattdessen mit
mathematischen und physikalischen Problemen. Am bekanntesten ist er für seine Entdeckung der Quaternionen, vorher publizierte er aber auch bedeutende Arbeiten
über Optik, Dynamik und Algebra.
Damit ist, wenn man die Gültigkeit des Distributivgesetzes postuliert,
eine Multiplikation auf 4 definiert; der Beweis, daß hierbei alle Körperaxiome außer der Kommutativität der Multiplikation erfüllt sind, enthält
wie üblich nur einen etwas schwierigeren Punkt, die Existenz von Inversen; der Rest ist mühsame Abhakerei.
Kap. 4: Quadratische Zahlkörper
M
§7: Quaternionen
Zahlentheorie SS 2007
B
j
6
?
6
4
0
[
C
C
Z
D
M
2
+
2
+
2
+
2
.
H
?
1
0
C
6
0
1
H
L
?
Z
=(
C
[
?
C
C
) .
^
C
Z
[
C
C
[
6
C
Z
P
eine reelle Zahl ist, die genau dann
Damit folgt insbesondere, daß
verschwindet, wenn = 0 ist. Wir bezeichnen diese Zahl wieder als die
Norm N( ) der Quaternion , und wieder ist N( ) das multiplikative
Inverse zu – sowohl für die Links- wie auch die Rechtsmultiplikation.
0
und
1
L
+
Definieren wir in Analogie zum Fall der quadratischen Zahlkörper wieder das konjugierte Element zu = + + +
als die Quaternion
=
, so entspricht der Matrix
=
C
+
Die Determinante dieser Matrix ist
Zahlentheorie SS 2007
L
C
+
2
mit
J
\
b
4
4
í
=
=
b
<
\
<
=
Y
< 4
J
=
< 4
;
< 4
=
<
)
Y
K
6
)(
6
)
=
<
6
<
=
T
<
=
ist die Norm von + . Eine ganze Zahl ist also genau dann als Summe zweier Quadrate darstellbar, wenn sie die Norm einer GAUSSschen
ganzen Zahl ist.
=( +
é
2
< 4
+
=
6
2
Der einfachste Fall ist die Form (
) = 2 + 2 . Er hängt eng zusammen mit der Hauptordnung [ ] von [ ], denn
§1: Summen zweier Quadrate
K
) = N( )N( ) .
+
í
N(
2
K
N( ) ist gleichzeitig die Determinante der zugeordneten Matrix; aus
dem Multiplikationssatz für Determinanten folgt daher sofort die Formel
)=
Y
die Zahlentheorie interessiert sich vor allem dafür, welche Werte (
für
annimmt.
(
Eine quadratische Form ist ein Ausdruck der Form
Kapitel 5
Quadratische Formen
=
6
Modulo vier ist 02
22
0 und 12
32
1; somit ist jede Summe zweier Quadrate kongruent null, eins oder zwei modulo vier. Eine
Zahl kongruent drei modulo vier kann somit nicht als Summe zweier
Quadratzahlen auftreten.
<
=
Auf der Suche nach positiven Ergebnissen können wir uns auf Primzahlen beschränken, denn wie FIBONACCI bereits im dreizehnten Jahrhundert zeigte, gilt:
t
t
t
t
T
Lemma: Sind zwei Zahlen
darstellbar als Summen zweier
.
Quadrate, so gilt dasselbe für ihr Produkt

Q
J
Q
T54
C
C
Q
M
M
Q
T
C
J
4
Beweis: Wenn und als Summen zweier Quadrate darstellbar sind,
[ ], so daß = N( ) und
= N( ) ist. Wegen der
gibt es
Multiplikativität der Norm ist dann
= N( ) ebenfalls eine Norm
und damit als Summe zweier Quadrate darstellbar.
Zahlentheorie SS 2007
T
K
6
Ä
Q
T
2
=
Q
t
<
È
4
<
Ê O
i
Q
Ê
4
i
Ê È
2
,
=
Q
O
=
È
<
Q
C
C
E
L
1
6
?
C
6
0
Ù
also gibt es eine natürliche Zahl , so daß
kleiner ist als 12 2 , ist
2 .
t
2
+
2
=
mod
und
mod .
2
2
Offensichtlich können nicht beide dieser Zahlen verschwinden, denn
teilbar, also wäre 2 + 2 =
sonst wären und beide durch
2
durch
.
teilbar. Das kann aber nicht sein, denn ist prim und
Weiter ist
2
2
+ 2
+ 2=
0 mod ,
Ê
t
Ù
O
<
È
6
È

i
Ù
Q
ist. Da
2
+
2
t

2
2
2
)(
O
È
t
0 mod
+
<
È
È
=
<
O
<
<
Q
Q
Ù
H

Q
K
0 mod
)2 .
,
=
<
t
O
=
È
<
<
H
J
H
)2
ù
Q
ê
ê
P
Q
Ù
ù
<
Ê <
Ê
Q
Q
Ù
Q
4
<
P
i

oder
, widerspricht dies der Minimalität von
)2 + (
.
=
ê
Q
t

Q
Ù
i
H
i
H
c
i
i
H
<
+
2
.
Q
H
i
H
I
Angenommen, es gibt zwei Darstellungen = 2 +
ist dann
= ( + )(
) = ( + )(
2
).
=
2
+
2
Damit haben wir gezeigt, daß = 1 sein muß, d.h. läßt sich als Summe
zweier Quadrate darstellen. Wir müssen uns noch überlegen, daß diese
Darstellung bis auf die Reihenfolge der Faktoren eindeutig ist.
2
teilbar. Somit gibt es natürliche Zahlen
t
Ù
2
=
Da
O
=(
)2 + (
2
+
=
)=
)=(
=
<
)(
2
=
und
+
<
(
2
O
beide Zahlen sind also durch
mit
+
Q
2
)=(
O
+
)(
=
Dabei ist
(
Nach der zu Beginn des Paragraphen zitierten Formel von FIBONACCI,
d.h. also durch explizite Berechnung von ( + )( + ) und Berechnung
der Norm davon, erhalten wir die Formel.
6
t
ù
O
. In [ ]
K
Zunächst ist klar, daß
eine ungerade Zahl sein muß, denn aus der
Formel 2 + 2 =
mit geradem folgt, daß und entweder beide
<
Q
Q
4
2
Es gibt also eine natürliche Zahl 1
, so daß
darstellbar ist als
Summe zweier Quadrate. Die kleinste solche Zahl sei ; wir müssen
zeigen, daß sie gleich eins ist.
=
È 4
Q
Q
=
.
Æ
O
<
È
=
Z
O
È
+1
<
Q
Q
+ 12 =
=
Q
2
=
Q
O
2
[
=
2
<
t
i
1 mod ist oder, anders ausIn gibt es daher Zahlen , für die 2
gedrückt, 2 + 1 =
für ein
. Da jede Restklasse modulo einen
Vertreter mit Betrag kleiner 2 enthält, können wir dabei annehmen,
daß
2 ist; dann ist mit einer geeigneten natürlichen Zahl
<
Q
Beweis: Aus Kapitel I, 7 wissen wir, daß die multiplikative Gruppe des
Körper
von einem einzigen Element erzeugt wird. Für = 4 + 1
4
ist dann
= 1, also 2 = 1. Somit ist 1 =
1 in
das Quadrat
von .
Q
7
Falls die Behauptung falsch wäre, müßte somit
3 sein. Wir definieren zwei neue Zahlen
durch die Bedingungen
+
2
=
Satz: Eine ungerade Primzahl ist genau dann darstellbar als Summe
zweier Quadrate, wenn
1 mod 4. Diese Darstellung ist eindeutig
bis auf die Reihenfolge der Summanden.
=
+ 2
=
+
2
2
im Widerspruch zur Minimalität von .
2
sind also gerade und
Q
Da 2 = 12 + 12 als Summe zweier Quadrate darstellbar ist, müssen wir
nur die ungeraden Primzahlen untersuchen, und hier wissen wir bereits,
daß die Primzahlen kongruent drei modulo vier nicht als solche Summen
auftreten.
`
2
RS
(FIBONACCI bewies dieses Lemma natürlich nicht mit Normen GAUSSsche
Zahlen; er fand eine explizite Formel für die Darstellung des Produkts
als Summe zweier Quadrate. Es handelt sich dabei um dieselbe Formel,
zu der wir durch Ausmultiplizieren der Gleichun N( ) N( ) = N( )
für = + und = + ) kämen.)
gerade oder beide ungerade sind;
Kap. 5: Quadratische Formen
S
6
È
=
6
O
<
È
6
O
È
6
=
<
6
=
<
Q
Q
<
=
Q
=
<
RS
R
6
`
`
K
6
K
6
O
=
È
<
K
Als erste Anwendung davon können wir die Primzahlen im Ring [ ]
der GAUSSschen Zahlen bestimmen:
6

K
6

3
6
`
3
Korollar: Eine Primzahl
ist genau dann irreduzibel in [ ], wenn
3 mod 4. Andernfalls zerfällt sie in das Produkt zweier konjugiert
komplexer irreduzibler Elemente
mit 2 + 2 = .
t
) zerfällt offensichtlich, und dies ist bereits
(1
) = 2 hat keine echten Teiler.
J

Beweis: = 2 = (1 + )(1
die Primzerlegung, denn
6
`
6
6
h
Falls eine ungerade Primzahl einen echten Teiler + hat, ist sie auch
durch
teilbar. Da die Norm von gleich 2 ist und
keine
Einheiten, muß (
) = sein. Damit folgt zunächst, daß
prim
sind, denn ein echter Teiler müßte als Norm einen echten Teiler von
haben. Außerdem folgt, daß sich ( + )(
) = 2 + 2 höchstens
durch eine Einheit von unterscheidet; da beides positive Zahlen sind,
muß diese aber gleich eins sein, d.h. die Primzerlegung von in [ ] ist
6
3
3

3
6
6
h

`
3

3
6

6
`
K
3

3
6
3
3
6
3

6
3

t
Ist umgekehrt
1 mod 4, so gibt es nach dem Satz zwei ganze Zahlen
, so daß = 2 + 2 ist, d.h. = ( + )(
) zerfällt in [ ], und das
Argument aus dem vorigen Abschnitt zeigt, daß dies die Primzerlegung
ist.

1 mod 4.
K
.
`

6
t

3 4
2
und
L
= ggT(
< 4
=
<
T
L
?
L
1
t
t
der Norm
dargestellt.
+
).
Q
O
È
L
=
<
Mit = , =
und = 2 ist dann = 2 + 2 , und enthält
genau dann einen Primteiler
3 mod 4 in ungerader Potenz, wenn
dies für der Fall ist. Sei ein solcher Primteiler. Dann ist ein Teiler
2
=
Q
6
2
t
=
T
1
054
In der Abbildung sind die GAUSSschen Primzahlen
höchstens 1000 durch Quadrate um den Punkt ( )
Umgekehrt sei
t
+
1 mod 4 und die Zwei, d.h.
6
Somit zerfallen genau die Primzahlen
genau die
3 mod 4 bleiben prim.
T
Nach dem Satz ist daher
3
6
2

+
6
2
T
)=
T
)(
Beweis: Zunächst ist die Bedingung hinreichend, denn da mit auch
jedes Produkt 2 als Summe zweier Quadrate darstellbar ist, können
3 mod 4 ignorieren. Nach dem gerade bewiesewir die Primteiler
nen Satz wissen wir, daß jede Primzahl
1 mod 4 Summe zweier
Quadrate ist, und natürlich gilt dies auch für 2 = 12 + 12 . Damit ist nach
dem obigen Lemma auch jedes Produkt solcher Primzahlen als Summe
zweier Quadrate darstellbar.
t
=( +
6
Satz: Eine natürliche Zahl läßt sich genau dann als Summe zweier
3 mod 4 mit einer gerader
Quadrate schreiben, wenn jede Primteiler
Potenz in der Primzerlegung von auftritt.
Kehren wir zurück zur Ausgangsfrage, wann eine beliebige natürliche
Zahl als Summe zweier Quadrate dargestellt werden kann:
Mancher Leser wird hier ein gelegentlich von Designern verwendetes
Muster erkennen.
Kap. 5: Quadratische Formen
RS
Alle Faktoren haben Norm und sind somit irreduzibel, und aus Kapitel IV, 5 wissen wir, daß [ ] ein EUKLIDischer, insbesondere also
faktorieller Ring ist. Daher unterscheiden sich die beiden Zerlegungen
nur durch Einheiten von [ ]. Auch diese kennen wir aus Kapitel IV:
Nach dem Lemma aus 6 sind es genau die Elemente 1 und . Somit
ist entweder 2 = 2 und 2 = 2 oder umgekehrt, womit die Eindeutigkeit bewiesen wäre.
Zahlentheorie SS 2007
Q
t
T
O
È
Q
0
ð
J
RS
2
+
2
=( +
)(
)
/
6
6
O
È
O
È
O
È
K
6
kml
q
n
6
K
6
6
6
s
q
q
O
È
O
È
K
kml
J
=
q
<
n
6
ì
=
ì

q
I
q
I
<
T
=1
,
sein soll, hat daher bis auf eine
ist; dann
mit 0
. Die Anzahl verschiedener Möglichkeiten ist somit
gleich dem Produkt der ( + 1), wobei hier allerdings die Darstellungen
= 2 + 2 und = 2 + 2 für = als verschieden gezählt werden.
F
t
T
L
6
t
T
q
T
=
K
T
6
T
K
6
T
K
=
3
+
5
7
+
9
<
<
<
<
<
<
P
K
11
+
13
+
;
3
5
7
9
11
13
15
falls es jemand nicht mehr weiß: Die Ableitung des Arcustangens ist
1 (1 + 2 ), und nach der Summenformel für die geometrische Reihe ist
arctan
Aus der Analysis I ist bekannt, daß gilt
§2: Anwendung auf die Berechnung von
15
Die im Vergleich zur Größe von meisten verschiedenen Darstellungen
gibt es offenbar dann, wenn ein Produkt verschiedener Primzahlen
ist, die allesamt kongruent eins modulo vier sind. In diesem Fall ist die
Anzahl der Darstellungen gleich zwei hoch Anzahl der Faktoren.
<
T
K
6
`
<
1
2
6
10
14
=1
.
+ 4
+ 8
+ 12
+
1+ 2
Durch gliedweise Integration folgt wegen arctan 0 = 0 die obige Formel.
Eine bekannte Anwendung davon ist der Spezialfall = 1:
<
<
<
<
<
<
<
<
<
=
Ê =
Ê
Ê <
Ê
6
T
6
`
6
6
=
6
6
E
1 1 1 1
1
1
1
.
+
+
+
+
4
3 5 7 9 11 13 15
Zur praktischen Berechnung von ist diese Formel allerdings völlig unbrauchbar und der Alptraum eines jeden Numerikers: Zunächst einmal
<
= arctan 1 = 1
3 mod 4 .
q
kml
<
T
1 mod 4
q
q
<
<
mit
T
T
E
2
â
p
2
r*s
l
Á
kml
n
q
T
=1
6
r
s
E
=1
K
Á
s9
Á
<
E
2
q
l
E
=2
l
p
=1
r
s
Á
E
nach den Kongruenz-
r
s
2
2Á
E
Wir sortieren daher in der Primzerlegung von
klassen modulo vier der Primfaktoren:
q
=1
â
â
= (1 + )
.
q
Ein Element
[ ], für das N( ) =
Einheit die Form
Eq
=1
Aus der Primzerlegung von in können wir leicht auf die Primzerlegung in [ ] schließen: Primzahlen kongruent drei modulo vier
bleiben nach obigem Korollar auch in [ ] irreduzibel, die kongruent
eins modulo vier sind Produkte zweier konjugierter Elemente
.
Die beiden Faktoren sind nicht assoziert, denn sonst wäre
=
und
= 2 + 2 wäre gerade. Die Zwei schließlich ist Produkt der beiden
irreduziblen Elemente 1
, und die sind assoziiert zueinander, denn
(1
) =1+ .
kml
=1
2
=
Für zusammengesetzte Zahlen ist die Darstellung als Summe zweier
Quadrate im allgemeinen nicht mehr eindeutig. Über die Primzerlegung
in [ ] läßt sich die Anzahl verschiedener Darstellungen leicht erkennen:
Natürlich entsprechen auch für eine beliebige natürliche Zahl die
Darstellungen als Summe zweier Quadrate den Darstellungen von als
Norm eines Elements von [ ], wobei assoziierte Elemente auf dieselbe
Zerlegung führen.
J
p
=1
6
(1 + )2
K
[ ] derart, daß
q
Somit ist in [ ] keine Primzahl; nach obigem Korollar muß daher
= 2 oder
1 mod 4 sein. Damit ist jeder Primteiler
3 mod 4
von zugleich ein Teiler von , tritt in also mit einer geraden Potenz
auf.
q
Für jedes wählen wir ein
ist in [ ] assoziiert zu
Kap. 5: Quadratische Formen
RS
im Ring [ ] der GAUSSschen Zahlen. Falls auch dort eine Primzahl ist, muß es mindestens einen der beiden Faktoren teilen; komplexe
Konjugation zeigt, daß es dann auch den anderen teilt. Damit teilt es
auch deren Summe 2 und Differenz 2 ; da ungerade ist und eine
Einheit, teilt also die zueinander teilerfremden Zahlen und , ein
Widerspruch.
von
Zahlentheorie SS 2007
:
E
E
E
t
Á
4
t
q
Á
q
Angenommen, wir haben für eine Zahl die verschiedenen Darstellungen
= 21 + 12 =
= 2+ 2
2
2
2
2
=
+
+
+
+
4 1 3 5 7 9 11 13 15
mit lauter positiven Gliedern. Die Summanden sind jedoch immer noch
monoton fallend, so daß die Rundungsfehler der ersten Additionen bei
hinreichend langer Summation größer sind als die hinteren Summanden.
Man muß also, wenn man eine endliche Teilsumme berechnen will, von
hinten nach vorne summieren und damit bereits vor Beginn der Rechnung die Anzahl der Terme festlegen. Bei jeder Erhöhung der Anzahl
der Summanden muß die gesamte Rechnung von vorne beginnen.
RS
;
in mehrere kleine Winkel, deren Tangens wir kennen, sollten bessere Ergebnisse zu erwarten sein. Genau das können wir mit solchen Zahlen
erreichen.
Kap. 5: Quadratische Formen
RS
sind alternierende Summen grundsätzlich problematisch, allerdings ist
das hier vergleichsweise harmlos: Wenn wir jeden negativen Summanden von seinem Vorgänger subtrahieren, bekommen wir eine Reihe
Zahlentheorie SS 2007
B
E
E
E
E
E
E
E

T
T
T
T
U
Â

U
Â
h
E
4
9
E
4
9
E
4

Â
h
4
4
=
9
E
4
9
E
4
9
E
4
9
E
4

Â
2
9
_
2 1
k

k
=0
= 8
Ó
_
2
2+1
_
k
Û
k
Ó 8
Ó 8

.
0
rechtwinklig, so daß uns die
bei der Berechnung der Win-
+
Ó
Û
Ó 8
+1
+1
1
T
8
Ó 8
Û
Ó 8
8
ç
Û
Ó 8
Ó 8
Leider ist keines der Dreiecke
ganzzahligen Koordiaten der (meisten)
kel
+1 nichts nützen.
=2
Ó 8
+1
=0
T 4
=
k
der Größe nach geordnet sind, ist
Û
2
T54
der
3
4
Zahlen mit einer großen Anzahl verschiedener Darstellungen als Summen von Quadraten können uns hier zu besseren Ergebnissen helfen:
Die Reihe für den Arcustangens konvergiert sicherlich umso besser, je
kleiner der Wert von ist. Wenn wir also den Winkel 4 aufteilen können
Ó 8
Da die -Koordinaten
å
O
4
Ó
Man muß also für jede weitere Dezimalstelle den Rechenaufwand ungefähr verzehnfachen. Angesichts der Tatsache, daß heute mehrere Billionen Ziffern von bekannt sind, kann das wohl kaum der beste Weg
zur Berechnung von sein.
å
1
5
Ó
8
h
9
10 000 000
6 4 10 8
å
1 000 000
6 26 10 7
Ó
å
2
a
3
<
100 000
6 25 10 7
=
Ó
6
h
10 000
6 25 10
å 8
Ó
5
< 8
a
1 000
6 24 10
< 8
= 8
4
4
=
< 8
100
6 19 10
8 9
k
6
Die Punkte
= (
) und
= (
) für = 1
liegen auf der Kreislinie 2 + 2 = 2 um den Nullpunkt , genauso
die drei Punkte 0 = (
0) 0 = (
0) und +1 = (0
).
=
= 8
3
E
Ó
10
5 68 10
E
Ó
Ó
8
T
i
4
die folgenden Fehler:
<
E
X
=0
=
< 8
X
so erhält man für die ersten Zehnerpotenzen
E
i
4X
=
E
als Summen von Quadraten, wobei 1
sei. Dann ist
=
, denn wir können ja in jeder Darstellung die Reihenfolge
der Faktoren vertauschen. Wir wollen außerdem voraussetzen, daß
nicht das Doppelte eines Quadrats ist, so daß stets = und somit
eine gerade Zahl ist.
E
F
a
1
,
(4 + 1)(4 + 3)
<
k
k
= 8
3
die Teilsummen
T
k
=
3
Dazu kommt, daß die Reihe extrem langsam konvergiert: Berechnet man
für
1
=
8
(4
+
1)(4
+ 3)
=0
3
=
T
Ó 8
Ó 8
Û
<
D
RS
Ó 8
Ó 8
NÓ
_
Ó 8
Ó 8
k
4
< 8
8
= 8
Ó
NÓ
9

8
Û
k
Ó 8
Ó 8
NÓ
NÓ
8
_
k
k
Ó
k
å 8
NÓ
_
NÓ
_
å
_
9

8
Ó
Û
k
k
k
8
å 8
h
E
E
4
=
7
6 10
2
1 10
13
5
8
2 10
3
4 10
14
7
9
8 10
4
1 10
9
E
4
Ó
Ó
4
10
3 10
5
5 10
17
10
Da der Satz vom Innenwinkel in Deutschland anscheinend nicht zum
Standardstoff im Geometrieunterricht der Schulen zählt, sei er hier noch
einmal genauer formuliert und bewiesen:
16
8
E
4
Ó
Ó
4
4
Ó
Ó
4
Ó
Ó
4
4
a
4
= ( 1105 0) sowie
1
9
Ó
0
1+
2
U
dazu kommen noch die beiden Randpunkte
1105).
9 = (0
11
4
Anhang: Der Satz vom Innenwinkel
U
= (23 24) ;
ñ
5
T
= (12 31) ,
U
E
6
ñ
9
= (9 32) ,
T
6
2 10
1
5 10
9
7
=
4
1
1
1
1
+ 2 arctan
+ 2 arctan
+ 2 arctan + arctan
.
33
13
21
5
47
E
E
= (4 33) ,
9
8
= arctan
4
33
Berechnen wir das Summation von 0 bis in der TAYLOR-Reihe, erhalten
wir folgende (auf eine geltende Ziffer gerundeten) Abweichungen
von :
4
9
= (24 23) ,
Û
E
E
4
Û
E
= (31 12) ,
Ó
9
3
Ó
9
= (32 9) ,
å
T
2
Ó
Die Summe aller dieser Winkel ist
Ó
4 4
Ó
E
= (33 4) ,
Û
= tan 2
Ó
9
1
Ó
<
9
zu denen natürlich auch noch vier mit vertauschten Faktoren kommen.
Wir haben also
=
E
1105 = 42 + 32 = 92 + 322 = 122 + 312 = 232 + 242 ,
Û
å
4 5
= tan 2
1
=
5
1
=
65
13
2
1
3
3
2
=
=
2 2 3 =
63
21
+
2
3
11 1
4
3
=
=
3 3 4 =
+
55
5
3
4
1
5
4
=
5 =
47
+
4
5
1 1 2
Ó
<
verschafft man sich leicht die vier Darstellungen
5 6
Ó
tan
6 7
1
und 17 = 12 + 42
Ó
=
13 = 22 + 32
Ó
ñ
5 = 12 + 22
Ó
= tan
Ó
<
Als Beispiel betrachten wir das kleinste Produkt dreier verschiedener
= 5 13 17 = 1105.
Primzahlen kongruent eins modulo vier, also
Aus den Darstellungen
Û
Û
3 4
tan
= tan 2
Ó
<
In dieser Darstellung sind die drei Punkte, die den Winkel bestimmen,
in allen Fällen die Eckpunkte eines rechtwinkligen Dreiecks, sie haben allesamt ganzzahlige Koordinaten, und zumindest die Katheten der
Dreiecke haben ganzzahlige Längen. Somit können wir alle auftretenden
Winkel ausdrücken durch Arcustangenswerte rationaler Zahlen.
.
= tan
Ó
2 3
Û
2+1
tan
=
Ó
2
.
8 9
å
2
2+1
= tan 2
= tan
Ó
=1
Ó 8
<
=
4
å
+
_
2
_
+1
NÓ
=
=
0
_
2 1
å 8
<
<
1+2
å 8
Ó
2
=
=
Ó 8
+2
Ó 8
+1
Ó
=1
Û
Ó
7 8
Ó
+4
= tan
Û
1 2
Ó
Ó
1
tan
Ó
0 1
Û
å
<
Division durch zwei macht daraus
Û
Ó
Ó
0
å 8
Ó
<
=2
I
tan
I
=
=
2
6
=
2 1
Ó 8
Die
für 1
8 unterscheiden sich von den
nur durch das
Vorzeichen der Abszisse. Damit können wir die Tangenten aller Winkel
bei berechnen:
Kap. 5: Quadratische Formen
RS
Nun lehrt uns aber ein Satz der Elementargeometrie, der (im Anhang zu
diesem Paragraphen bewiesene) Satz vom Innenwinkel, daß der Winkel
+1 doppelt so groß ist wie der Winkels
+1 . Letzterer
gehört zu einem rechtwinkligen Dreieck, denn natürlich ändert sich
nichts am Winkel, wenn wir den Punkt ersetzen durch die senkrechte
Projektion
= ( +1 ) von +1 auf die Gerade
. Somit ist
Zahlentheorie SS 2007
G
a
Ó
4
RS
M
å

å
seien Punkte auf einer Kreisline mit Mittelpunkt
=2
.

. Dann
und

å
Ó

\
Ó
4
4
auf derselben Seite des Durchmessers
liegen. Auch in diesem Fall erfüllen
wieder sowohl die Punkte
als auch die Punkte
die Voraussetzungen des Satzes, und beides
Mal sind wir in der Situation des eingangs bewiesenen Spezialfalls. Dieses
Mal führt die Subtraktion dieser beiden Ergebnisse zum gewünschten Resultat für die Ausgangssituation mit den
.
Punkten
R

Ó
å
Ó
g
4
Ó
4
4
g
å
4

4
4
g
Ó
g
C

4
4
4
g
g
å
g
å
Ó

Es ist nicht möglich, eine beliebige natürliche Zahl als Summe von
höchstens drei Quadratzahlen zu schreiben; das kleinste Gegenbeispiel
ist die Sieben. Wie EULER vermutete und LAGRANGE bewies, kommt
man aber immer mit höchstens vier Quadratzahlen aus.
§3: Der Satz von Lagrange
Damit ist der Satz vollständig bewiesen.
Ó
å

g
g
Der Beweis ist recht ähnlich zu dem des Zweiquadratesatzes aus 1;
statt mit dem Ring [ ] der GAUSSschen Zahlen arbeiten wir aber mit
dem Ring
i
j+
k
K
C
å
Ó
g

C
ç
å
C

Ó
å
Ó
C
g
C

Der allgemeine Fall kann auf diesen Spezialfall zurückgeführt werden: Liegen und auf verschiedenen
Seiten des Durchmessers durch , dessen anderer Endpunkt sei, so erfüllen
auch die Punkte
sowie die
Punkte
die Voraussetzung
des Satzes, und in beiden Fällen sind
wir in der Situation des bereits bewiesenen Spezialfalls. Addition der Ergebnisse für diese beiden Fälle liefert das
.
Ergebnis für die Punkte
Bleibt noch der Fall, daß
Kap. 5: Quadratische Formen
g
Beweis: Am einfachsten ist der Fall, daß
auf der Verbindungsstrecke
von mit einem der beiden Punkte
und liegt; wir nehmen an, er liege auf
. (Der andere Fall ist spiegelsymmetrisch dazu und geht genauso.) Dann
gleichschenkist das Dreieck
lig, d.h. wir haben bei
und bei
denselben Winkel . Der verbleibende
Dreieckswinkel bei ist somit
2 .
Andererseits ist dies aber der Komplementärwinkel zu =
, also ist
= 2 , wie behauptet.
Satz:
ist
Zahlentheorie SS 2007
RS
w
K
w
K
K
w
6
T
å

4
Ó
4
4
Ó
å
4

4
=
<
g
4
å
Ó
g

Lemma: Zu jeder Primzahl gibt es ganze Zahlen
natürliche Zahl
, so daß gilt:
= 2+ 2+
Zur Vorbereitung zeigen wir zunächst
der ganzen Quaternionen. Auch hier haben wir eine Normabbildung,
und eine ganze Zahl ist offensichtlich genau dann als Summe von
vier Quadraten darstellbar, wenn sie Norm einer ganzen Quaternion ist.
Wegen der Multiplikativität der Norm reicht es also wieder, wenn wir
Primzahlen betrachten.
K
< 4
2
und eine
K
J
>
=54
g

>
Q
i
Q

g
å
Ó
4
4
4
R
R
R
ungerade.
I
1
0
I
0
1
0
þ
1
I
0
0
I
Ö×Ö
0
ü
ü
0
i
1
054
I
þ
I
0
I
Ö×Ö
0
K
J
=
< 4
Q
=
<
i
Q
=
t
<
I
=
< 4
ê
<
û
ø
ø
å
2
4
H
i
Q
H
Q
i
H
H
+
>
=
ø

t
>
å
=
\
+
2
ø
+
2
i+
b
2
H
ù
=
ê
<
û
+
+
+
j+
2
+
k
2
=
< 4
=
2
+
2
+
2
=N
=
N(
2
H
>
ø 4
`
>
>
=
=
Z
<
`
<
ø
Æ
Ä
ø
)
H
[
å
2
H
î
í
b
\
H
=54
>
Æ
[
Ä
ø
ø
>
=
<
ø
H
[
=
>
<
Z
<
H
=
= 1 sein, und der Satz ist bewiesen.
H
Somit muß
Dies widerspricht aber der Minimalität von .
+
Z
2
0 mod
+
.
;
2
=
0 mod
N( )N( )
eine Quaternion mit ganzzahligen Koeffizienten, und
Somit ist
ù
4
+
û
+
ê
í
2
ungerade, und falls
=
+
+
)j + (
+
+
)k
+(
sind alle vier Klammern durch teilbar, denn modulo sind alle Großbuchstaben gleich den entsprechenden Kleinbuchstaben, so daß die Koeffizienten von i j k trivialerweise modulo verschwinden, und für den
Realteil haben wir
ù
H
2
7
im Widerspruch zur Minimalität von . Also ist
3 sein.
das Lemma falsch wäre, müßte
>
durch teilbar, und das sieht man am schnellsten
Tatsächlich ist
durch brutales Nachrechnen: In
=(
+
+
+ ) +(
+
+
)i
<
<
å
2
H
2

=
2
Ù

Ù
2
,
2
î
=
ø
å
>
=
2
ø
H
+
<
H
ø
+
6
H
H

+
=
ê
2
>
>
+
H
å
H
<
H
2
Ù
die Normen N( ) =
und N( ) = , ihre Produkt hat also die Norm
2
. Zumindest von der Norm her spricht also nichts dagegen, daß
dieses Produkt durch teilbar sein könnte.
=
å
+
2
H
û
û
å
2

und
+
. Andererseits ist aber
2
2
mit 1
+
2
=
û
t
+
û
6
=
H
2
û
ê
<
2
ê
+
2
>
ù
2
ù
+
Ù
+
ø
=
<
=
t
2
+
2
2
I

+
2
+

2
2
4
i
>
.
.
H
2
+
ù
2
2
=
Damit haben die Quaternionen
+
ê
2
2
+
Ù
=
2
ø 4
t
ù
ê
+
2
< 4
H
ù
Wäre eine gerade Zahl, so wäre auch die Summe der vier Quadrate
gerade, und dazu gibt es drei Möglichkeiten: Entweder alle Summanden
sind gerade oder alle sind ungerade oder zwei davon sind gerade, der
so
Rest ungerade. Im letzteren Fall wollen wir die vier Zahlen
anordnen, daß und gerade sind, und dagegen ungerade. Dann
sind in allen drei Fällen
und
gerade, und
H
+
2
ù
H
Beweis: Für = 2 wissen wir das; sei also wieder ungerade. Nach
dem vorigen Lemma gibt es eine natürliche Zahl
derart, daß
als Summe von sogar höchstens drei Quadraten darstellbar ist; sei
die kleinste natürliche Zahl, für die
als Summe von höchstens vier
.
Quadraten darstellbar ist. Natürlich ist dann auch
i
2
+

Lemma: Jede Primzahl läßt sich als Summe von höchstens vier Quadraten schreiben.
also ist
û
+
2
ê
+
+
i
keine zwei Elemente, die modulo kongruent sind. Da die beiden Mengen disjunkt sind und jede davon 12 ( + 1) Elemente hat, enthält ihre
Vereinigung + 1 Elemente; hier muß es also mindestens zwei Elemente geben, die modulo kongruent sind. Es gibt also Zahlen
2
mit
1 + 2 mod , d.h. 2 + 2 + 1 =
ist durch teilbar. Da
2
1
1),
ist
dabei
.
Da
1
=
1
(
ein
Quadrat ist, ist damit
2
das Lemma bewiesen.
H
E
2
2

1)
< 4
1
2(
= 4
2
i
Somit ist 0
Á
0
4
=54
2
>

= 1+
û
>
H
H
2
4
und
4
ê
1)
ù
1
2(

0
H
2
H
P
=
H
1
H
kongruenten ganzen Zahlen
Wir betrachten die modulo zu
vom Betrag kleiner 2. Wie schon beim Zwei-QuadrateSatz können diese nicht allesamt verschwinden, denn sonst wären
durch teilbar, also ihre Quadratsumme
durch 2 , was
für eine Primzahl nicht möglich ist.
wegen
ø 4
1
2(
R
2
= 2 ist 2 = 12 + 12 + 02 ; sei also
Kap. 5: Quadratische Formen
R
mit 0
Von den Zahlen
1) sind keine zwei kongruent
2
2
1
= ( + )(
), und falls 0
1
modulo , denn
2
sind beide Faktoren kleiner als . Damit gibt es auch in den Mengen
Beweis: Für
Zahlentheorie SS 2007
H
H
R
R
/
T
< 4
æ
ì
=
<
é
6
Offensichtlich ist eine Diagonalmatrix genau dann positiv semidefinit,
wenn beide Eigenwerte 0 sind und genau dann positiv definit, wenn sie
sogar echt positiv sind. Entsprechendes gilt für negativ (semi-)definite
Matrizen. Für eine positiv oder negativ semidefinite Matrix muß daher
die Determinante 0 sein; bei einer definiten Matrix muß sie positiv
sein. Ob sie positiv oder negativ definit ist, sagt uns dann die Spur, denn
da die beiden Eigenwerte (falls = 0) dasselbe Vorzeichen haben, ist dieses auch das Vorzeichen ihrer Summe, der Spur. Wenn die Determinante
1 2
positiv ist, müssen und dasselbe Vorzeichen haben; da
4
auch + gleich der Spur der Matrix ist, folgt
\
7
7
b
[
í
Z
\
å
[
Z
<
=
å
\
=
í
b
<
=
=
<
<
í
í
\
\
å
Lemma: a) Eine symmetrische 2 2-Matrix ist genau dann positiv
oder negativ definit, wenn ihre Determinante positiv ist. Sie ist positiv
definit, wenn der Eintrag links oben positiv ist, andernfalls ist sie negativ
definit.
2
+
b) Die quadratische Form
+ 2 ist genau dann definit, wenn
2
ihre Diskriminante
4
negativ ist. Im Falle
0 ist sie dann
positiv, sonst negativ definit.
í
í
j
å
b
\
b
í
\
\
í
b
<
Die Werte, die eine quadratische Form annehmen kann, hängen nicht
davon ab, in welcher Basis wir das Argument
darstellen; wir können
die Basis daher bei Bedarf beliebig ändern.
ì
=
1 2
; bis auf einen Faktor 4 ist
Die Determinante von
ist
4
2
das die Zahl
4
, die wir in Kapitel IV, 2 als Diskriminante
eines Elements eines quadratisches Zahlkörpers definiert haben. Wir
können also hoffen, daß uns die lineare Algebra via Determinantentheorie Aussagen über die Werte einer quadratischen Form sowie über
Zusammenhänge zwischen den Diskriminanten verschiedener Elemente
eines quadratischen Zahlkörpers gibt.
< 4
F
die quadratische Form kann also auch durch die symmetrische Matrix
beschrieben werden.

=
,
< 4
2
=
2
< 4
=
<
mit
=
=
=
Wie aus der linearen Algebra bekannt ist, gibt es zu einer symmetrischen
reellen Matrix stets eine Basis aus Eigenvektoren; bezüglich derer hat
die Matrix Diagonalgestalt, wobei in der Diagonale die beiden (reellen)
Eigenwerte stehen. Das Produkt dieser Eigenwerte ist die Determinante
der Matrix, ihre Summe die Spur.
å
2
æ
<
+
J
J
+
=
2
ð
Viele abstrakte Aussagen über quadratische Formen werden einfacher,
wenn wir sie in lineare Algebra übersetzen. In Matrixschreibweise ist
x
Nachdem wir in den vorigen Paragraphen gesehen haben, daß die spezielle quadratische Form 2 + 2 vielfältige Beziehungen sowohl zum
Zahlkörper [ ] als auch zu Anwendungen außerhalb der Zahlentheorie
haben, wollen wir uns nun etwas mit der allgemeinen Theorie dieser
Formen beschäftigen. In den nächsten Paragraphen werden wir sie dann
auf quadratische Zahlkörper und die PELLsche Gleichung anwenden.
ì
Í
definit, wenn zusätzlich (
Ë
)
å

(
ð
midefinit, wenn

finierte quadratische Form
2 2
x
sowie die dadurch depositiv
(
)=( )
heißen
senegativ
positiv
0 für alle
. Sie heißt
negativ
) = 0 nur gilt für = = 0.
Definition: Eine symmetrische Matrix
§4: Quadratische Formen und Matrizen
Beweis: Wie wir in Kapitel IV, 7 gesehen haben, läßt sich eine Zahl
genau dann als Summe von höchstens vier Quadraten schreiben, wenn
sie Norm einer ganzen Quaternion ist. Da wir gerade gesehen haben,
daß sich jede Primzahl als Summe von höchstens vier Quadraten schreiben läßt (und die Eins natürlich auch), folgt die Behauptung aus der
Multiplikativität der Norm.
R
Das ist zum Beispiel nützlich bei der Frage, wann eine quadratische
Form nur positive oder nur negative Werte annimmt:
Kap. 5: Quadratische Formen
R
Satz (LAGRANGE): Jede natürliche Zahl läßt sich als Summe von
höchstens vier Quadraten schreiben.
Zahlentheorie SS 2007
:
f
=
=
<
\
í
b
So nützlich der Wechsel zu einer Basis aus Eigenvektoren in diesem Fall
auch war, für die meisten zahlentheoretischen Fragen werden uns nur
\

Ë
Í
R
R
;
ð
!#"%$
[
Z
{
<
ð
[
Z
}
=
g
<
{
=
"%&
K
\
Ï
K
{
`
g

g
g
9
9
g
g
K
}
K
ÿ
K
}
9
g
`
g
g

g
9
g

Ë
g
Í
9

Ë
g
Í
det
1
det
= det
1
,
Die rationalen Zahlen sind genau diejenigen reellen Zahlen, deren Kettenbruchentwicklung nach endlich vielen Schritten abbricht. Wir wollen
sehen, daß wir auch quadratische Irrationalitäten, d.h. Elemente eines
quadratischen Zahlkörpers, die nicht in liegen, durch ihre Kettenbruchentwicklung charakterisieren können.
In den Beispielen der Kettenbruchentwicklungen von 2 und 3 kamen
wir in Kapitel III auf periodische Folgen. Wie sich zeigen wird, ist dies
charakteristisch für quadratische Irrationalitäten.
U
9
9
Nach der Formel am Ende von 2 von Kapitel III gilt für die Zahlen
aus dem Algorithmus zur Kettenbruchentwickung die Gleichung
2+
1
=
,
+
2
1
g

Ë
Ë
2 U
9
WU
2 U
g
Z
[
9
U
U
[
Z
<

g
Í

<
[
Z
<
=
g
å

g
Ï
E
E
=
Í
=
å
g
g

Ï
=

Ë
Í
Ë
{
Ë

=
T
U
g
K
Ï
1
mit
9
2
2
9
1
1
,
wobei und Zähler und Nenner der -ten Konvergente sind. Zähler
und Nenner des rechtsstehenden Bruchs sind die beiden Komponenten
des Vektors
U
å
das wir auch erhalten hätten, wenn wir
in die quadratische Form zur
Matrix
eingesetzt hätten. Da
eine Bijektion von
2
2
nach
definiert, nehmen die quadratischen Formen zu und zu
also dieselben Werte an. Deshalb definieren wir
`
,
1 ist.
Ï
)
g
=
= det
E
é
=(
g
= det
å
2
4 ist die Diskriminante gleich der Deter-
g
§5: Kettenbruchentwicklung quadratischer Irrationalitäten
da det
det
Beweis: Bis auf den Faktor
minante der Matrix und
a
in die
g
E
a
Setzen wir für so eine Matrix
das Bild
an Stelle von
quadratische Form ein, erhalten wir das Ergebnis
`
g
Hat umgekehrt eine Matrix
mit ganzzahligen Einträgen Determi1
ganzzahlige Einträge, denn die Spaltennante 1, so hat auch
1
sind die Lösungen der linearen Gleichungssysteme
vektoren von
1
= 0 und
= 01 , die wir nach der CRAMERschen Regel
ausdrücken können durch Brüche mit ganzzahligen Zählern und det
im Nenner.
å
å
Beweis: Da die Spaltenvektoren von die Bilder der Basisvektoren
und 01 sind, ist klar, daß ( 2 ) genau dann in 2 liegt, wenn alle Einträge von
ganzzahlig sind. Das Gleichheitszeichen gilt genau dann,
1 2
2
1
wenn auch
( )
ist, d.h. wenn auch
lauter ganzzahlige
1
beide ganzzahlig
Einträge hat. In diesem Fall sind det
und det
mit Produkt eins, also ist det
= 1.
Ï
å
1
0
g
2
, wenn alle Einträge der
definiert genau dann eine Bijektion 2
Matrix ganzzahlig sind und det
= 1 ist.
å
:
g
Lemma: Zwei äquivalente quadratische Formen haben dieselbe Diskriminante.
g
2
å
2
å
Lemma: Die lineare Abbildung
R
Definition: Die quadratischen Formen mit Matrizen 1 und 2 heißen
mit ganzzahligen Einträgen und
äquivalent, wenn es eine Matrix
det
= 1 gibt, so daß 2 =
.
1
Kap. 5: Quadratische Formen
R
solche Basiswechsel helfen, die ganzzahlige Punkte wieder in ganzzahlige Punkte überführen. Hier gilt
Zahlentheorie SS 2007
B
[
U
2 U
9
VU
Z
2 U
9
g
[
Z
2 U
g
U
g
Í
Í
å
g
Ï
K
å
g
g
D
R
R
2 U
9
2 U
9
VU
g

= ( 1)
.

äÞ
g
9
ä

Als quadratische Irrationalität genügt einer quadratischen Gleichung
2
+
+ = 0; der Vektor 1 wird also von der quadratischen
2
2
+
annulliert. Da mit
+
auch alle Vielfachen
Form
dieses Vektors dieselbe Gleichung erfüllen, gilt dasselbe für den dazu
proportionalen Vektor
1 .
proportional zueinander.
9
1
U
und
1
1
2
9
Somit sind die Vektoren
1
U
2

U
î
U
\
b
U
\
U
9
U
3

í
í
\
+
=0
genügen. Diese Gleichung können wir uns explizit verschaffen, indem
wir
2+
1
=
2+
1
+
b
9
Ë
ä

=
b
=
<
<
äÞ
g
9
Í
å
9
VU
2 U
U
U
å

ä
'
K
2
9
\
U
g
g
å
g
g
å
g
å
Ï
Ï
g
K
{
+
9
2
9
2
+
+
2
2
2 U
í
í
9
2
1
=
=
2 U
2
2
9
2
1
Z
ì
U
í
0
0
2 U
2 U
U
b
0
1
1
\
\
2
2
1
9
9
U
2 U
ì
2 U
9
2 U
9
9
2 U
9
VU
U
9
U
ì

.
Z
U
9
N
ì
[
ì
2 U
9

9
9
U
2 U
ì
U
f
T
1
1
9
P
Þ¤
¤
¡Þ
ì
Á
U
Á
Á
Á
WU
Á
H
9
U
Ê
2 U
NN
i
Ö×Ö×Ö
Ö×Ö×Ö
9
Á
9
9
9
2 U
Á
9
U
2 U
U
U
U
Á
9
2 U
Á
WU
Á
2 U
Á
U
U
9
U
2 U
U
U
9
9
9
2 U
9
NN
Ê
Ê
I
Ê
ì
Ê
Nì
Ê
Ê
I
Ê
Ê
\
U
Á
Á
U
ì
Ê
N
Ê
ì
.
( ) +
( ) . Somit
beschränkt durch eine
2
[
í
U
9
2 U
und
( ) .
1. Somit ist
2 U
T
I
í
Ê
\
9
U
Á
Á
U
9
9
T
U
í
U
\
WU
Á
Á
U
U
Wie wir oben gesehen haben, hat
dieselbe Diskriminante wie ; die
Diskriminante
= 2
4
hängt also nicht ab von . Daher
folgen aus der obigen Schranken für
und
auch Schranken für
2
= +4
, so daß auch der Betrag von
beschränkt ist.
Genauso zeigt man die Ungleichung
sind die Beträge der Koeffizienten
von unabhängige Konstante.
2
1
1
9
( ) +
1
( )
2
VU
1
+
[
1
1
9
Hierbei ist ( ) = 0, und
Z
ì
( )
NN
= ( )+
Z
1
1
eine quadratische Funktion ist, führt die TAYLOR-Entwicklung
auf die Formel
2
b
9
0
\
1
í
0
U
=
+
ì
1
9
Da
um
und
U
2
b
0
Z
=
in die Gleichung ( ) = 0 2 + 0 + 0 = 0 einsetzen und mit
dem Nenner multiplizieren. Zumindest für die Koeffizienten
und
ergeben sich einigermaßen erträgliche Formeln:
2 U
U
[
Daraus folgt die Gleichheit von (
2 +
1 )(
+
2 +
+
1)
und (
2 +
1 )(
+
2 +
+
1 ), und ausmultipliziert wird
dies zu einer quadratischen Gleichung für . Der Koeffizient von 2
ist
2 +
2 +
2 +
2 , was als Summe positiver Zahlen nicht
null sein kann; wir haben also eine echte quadratische Gleichung. Somit
läßt sich
in der Form = +
schreiben, und damit auch
+
2
1
.
=
2+
1
\
U
U
Beweis: Angenommen, hat eine periodische Kettenbruchentwicklung.
Dann gibt es ein und ein
0, so daß + =
ist. Nach der Formel
am Ende von 2 von Kapitel III ist daher
2+
1
+
+
2+
+
1
+
2+
+
1
=
=
.
=
+
+
+
2
1
+
+
2
+
1
+
2
+
1
b
U
\
[
Satz (LAGRANGE 1766): Die Kettenbruchentwicklung einer irrationalen Zahl ist genau dann periodisch, wenn eine quadratische Irrationalzahl ist.

2
í
í
Dies ist ein wesentlicher Schritt für den Beweis des folgenden Satzes:
í
Die Matrix zu dieser quadratischen Form sei . Wie wir aus dem vorigen
Paragraphen wissen, erfüllen die Komponenten von
dann die
1
quadratische Gleichung zur Form mit Matrix
, die zu der mit
äquivalent ist und somit dieselbe Diskriminante hat. Also haben alle
dieselbe Diskriminante wie , denn da Multiplikation mit
einen
2
definiert, sind die Einträge von genau dann
Isomorphismus 2
ganzzahlig und teilerfremd, wenn es die von
sind.
a
=
î
eine quadratische
Umgekehrt sei = +
mit quadratfreiem
Irrationalität, die der Gleichung 0 2 + 0 + 0 = 0 genüge. Dann zeigt
die Konstruktionsvorschrift für die , daß auch diese Zahlen sowie ihre
Inversen in entsprechender Form geschrieben werden können und damit
Gleichungen der Form
R
det
1
Kap. 5: Quadratische Formen
R
und wie wir ebenfalls aus Kapitel III wissen, ist
Zahlentheorie SS 2007
G
U
\
WU
U
9
9
2 U
9
í
b
9

3
U
2 U
9
2 U
9
U
U
U
WU
a
î
b
ñ
U
U
U
U
U
\
í
U
U
ñ
b
U
U
2 U
9
2 U
U
9
9
2 U
9
U
9
2 U
9
U
U
Zahlentheorie SS 2007
H
T54
í
R
R
M
\
b
7
Somit gibt es nur endlich viele Tripel (
), also auch nur endmit
lich viele verschiedene Werte für . Es muß daher zwei Zahlen
1 geben derart, daß
= + ist, und die Kettenbruchentwicklung
wird spätestens ab der -ten Stelle periodisch.
4
4
U
U
U
U
H
Á
U
U
T
E
a
a
E
E
E
E
E

9
?
Á
9

9
f
X
X
?
X
Q
?
Q
f
i
1
1
=
1
+
Umgekehrt habe eine rein periodische Kettenbruchentwicklung der
Periode mit Koeffizienten 0 1
. Wegen
= 0 ist dabei auch
mit
0
müssen
ja
positiv
sein. Somit ist
positiv,
denn
alle
0
insbesondere
1.
9
P
8
? 8
i
? 8
8
4
4
T
? U
f
H
?
?
Um zu sehen, daß zwischen 1 und 0 liegt, beachten wir, daß
dieselbe quadratische Gleichung erfüllt wie . Da diese Gleichung genau
f
?
1] .
Á
1+ =
1 ist, im Widerspruch zur
= 0, die Kettenbruchentwicklung von

Á
=[
Á
folgt dann aber, daß auch
Minimalität von . Somit ist
also rein periodisch.
?
?
?
0
Q

9
?
1 und
7
1
Á
9
?
0
Q
und

1
Q
?
9
?
0
Q

9
+

wird, da 0 eine rationale Zahl ist, durch
.
nach Voraussetzung zwischen 1
1 Da
7
Á
+
Q
1

+
?
=

1
1
U
ist. Aus den Gleichungen
]=

1
T
]=[

+
0 +
7
+

=[
Á
1
Á
+
?
0
0

Die Gleichung =
Konjugation zu =
und 0 liegt, ist somit
1
?
Beweis: Sei zunächst
1 und 1
0. Der Trick zum Beweis
der reinen Periodizität der Folge der besteht darin, die
= [1 ]
durch die konjugierten Elemente auszudrücken.
1
0.
Á
Satz: Die Kettenbruchentwicklung von
ist genau dann rein periodisch, wenn
1 ist und sein konjugiertes Element zwischen
1 und 0 liegt.
und
+1
1
0 gilt
0.
U
1
2+
bei denen das nicht der Fall ist. Für eine rein periodische Kettenbruchentwicklung brauchen wir also noch zusätzliche Bedingungen:
1+
? 8
1
6
2+
f
Daraus folgt nun leicht die Periodizität der Kettenbruchentwicklung
von : Wir wissen bereits, daß sie periodisch wird; es gibt also irgendeinen Index
0 und eine Periode , so daß
für alle
+ =
. Wir betrachten das minimale
mit dieser Eigenschaft. Die
Kettenbruchentwicklung von ist genau dann rein periodisch, wenn
= 0 ist. Für
1 können wir aber aus
und + =
+ =
folgern, daß auch
6
,
8
1
? 8
1+
? 8
P
1
+1
8
H
3=1+
+
8
folgt wie im Fall = 0, daß = [
+1 ] ist, und da die Koeffizienten
für
0 bei jeder Kettenbruchentwicklung mindestens gleich eins
sind, folgt auch die Ungleichung für 1 +1 genau wie dort.
=
oder
1
1. Aus
1
8
1
2+
? 8
2+
8
1
i
2+
und
6
1
+1 ]
Dazu nehmen wir an, dies gelte für
=[
8
8
2+
i
1
1
1
f
i
2+
1
6
i
1
7
1 folgt außerdem
R
2=1+
=[ ]
i
Der gerade bewiesene Satz charakterisiert Zahlen, deren Kettenbruchentwicklung periodisch wird; er besagt nicht, daß die Kettenbruchentwicklung einer quadratischen Irrationalität von Anfang an periodisch
ist, und in der Tat kennen wir ja Beispiele wie
?
0
i
Wir wollen induktiv zeigen, daß auch für alle
Wegen
Kap. 5: Quadratische Formen
S
i
i
R
R
H
=
?
4
?
0
1 = 0.
c
<
?
f
?
<
<
H
P
7
Á
Á
Á
Á
9
2
Á
Á
2
Á
9
2
9
2
9
Á
Á
9
Á
9
Á
9
9
i
2
Á
2
Á
9
Á
9
Á
9
9
Á
9
2
Á
2
2
2
Á
9
Á
9
Á
9
Á
9
Á
9
Á
9
Á
9
9
a
î
a
a
3
E
4
.
1
.
2 2
13 32 = 4
13 332 = 4 .
112
E
E
`
î
<
=
Zumindest a priori ist nicht klar, ob es überhaupt eine Konvergente gibt,
die auf eine Lösung der PELLschen Gleichung führt.
1 und 1192
4
13 52 =
13 22 =
182
72
4
13 = 3
4
42
4
=1
4
Umgekehrt liefert aber nicht jede Konvergente der Kettenbruchentwickeine Lösung der PELLschen Gleichung: Beispielsweise
lung von
hat
1
13 = 3 +
,
1
1+
1
1+
1
1+
1
1+
6+
die Brüche
7
11
18
119
4
1
2
3
5
33
als seine ersten Konvergenten, aber
E
2
nicht
somit eine Konvergente der
E
E
2
1
2
E
ö ó
î
=
<
Im letzten Kapitel hatten wir gesehen, daß eine Einheit +
von
2
die Gleichung 2
= 1 erfüllen muß. Hauptziel dieses Paragraphen ist die Lösung der PELLschen Gleichung
§6: Die Pellsche Gleichung
<
Ö×Ö×Ö
Damit ist der Satz vollständig bewiesen.
Dieser ist positiv, da sowohl die Folge der Zähler als auch die der Nenner
der Konvergenten von monoton steigt.
=
1) .
a
2
Ö×î Ö×Ö
+(
2)
<
1
=
=(
a
î
1
î
a
2
<
+
=
2
=
Í
1
a
Ë
0 an,
î

Í
2
<
Ë
Hier nimmt die quadratische Funktion bei 0 den Wert
und an der Stelle -1 den Wert
=
a
= 0.
a
î
1
î

2
=
Í
sein.
f
2
c
i
2
1
+
, also folgt
î
+(
=
a
=
2
<
î
Kettenbruchentwicklung von
Ë
a
Nach dem Satz aus Kapitel III, 3 muß
î
1
+
a
2
=
=
2
=
1
a
Í
=
=
a
i
Überkreuzmultiplikation macht daraus die quadratische Gleichung
=
<
î
Für
2 verwenden wir die bereits im vorigen Satz benutzte Formel
aus Kapitel III, 2, und beachten, daß
= 1 ist. Dies führt auf die
Gleichung
2+
1
2+
1
=
=
.
+
+
2
1
2
1
<
+
1
Wegen der Positivität der rechten Seite ist
=
a
1 nimmt an der Stelle 0 den
0; somit gibt es eine Nullstelle
0
) = 1,

Ë
2
+
)(
0
und damit ist
( +

Die quadratische Funktion
0
Wert 1 an, und bei = 1 den Wert 0
zwischen diesen beiden Punkten.
=
1
< 4
+
=
=
0
< 4
=
J
=
î
2

î
1
und
<
= 1 ist
J
oder –da es auf das Vorzeichen von
2
.
=
Für
K
)
2
R
Faktorisierung der linken Seite der PELLschen Gleichung führt auf
für (
)
ankommt– (
Kap. 5: Quadratische Formen
zwei Nullstellen hat und größer als eins ist, genügt es, wenn wir
zeigen, daß diese Gleichung im Intervall ( 1 0) eine Nullstelle hat. Das
wiederum folgt aus dem Zwischenwertsatz, wenn wir zeigen können,
daß die quadratische Funktion auf der linken Seite an den Stellen 0
und 1 Werte mit entgegengesetzten Vorzeichen annimmt.
Zahlentheorie SS 2007
î
<
=
î
R
/
î
a
Um hier mehr zu erfahren, müssen wir uns die Kettenbruchentwickim folgenden stets eine
lung von
genauer ansehen. Dabei sei
quadratfreie natürliche Zahl.
Zahlentheorie SS 2007
a
a
î
î
a
î
Ò
a
a
Ò
Ñ
î
f
H
î
î
a
Ñ
X
X
î
X
a
?
?
4
4
a
a
Ñ
Òî
î
Òî
a
Ñ
3
Òî
a
Ò
î
a
Ñ
Ñ
?
a
î
?
Á
7
6
? 8
î
?
1
= ( 1)
1
2
1
1 0
2
2
1
1
= ( 1)
+
1
2
1
.
1 0
1 0
.
<
X
X
X
?
4
4
?
a
î
Òî
a
Ñ
?
?
H
Á
P
9
U
9
T
2 U
VU
WU
2 U
U
U
?
?
P
9
2 U
9
a
î
H
U
?
T
3
X
X
X
Á4
?
Á
?
?
Á
4
4
k
î
4
k
Òî
Ñ
î
a
?
Á
k
a
13 1802 = 421 201
=
E

4
î
a

?
a
Á
k
a
Á
Á
Á
Á
13 32 400 = 421 201
421 200 = 1 .
Allgemein haben wir gezeigt, daß die PELLsche Gleichung für jedes
quadratfreie
eine Lösung hat; zusammen mit dem Satz aus Kapitel IV, 6 folgt, daß die Einheitengruppe eines jeden reellquadratischen
6492
Im Eingangsbeispiel
= 13 zeigt eine genauere Rechnung, daß sich
die Koeffizienten 1 1 1 1 6 periodisch wiederholen, wir haben also
die ungerade Periode fünf. Damit liefern die vierte, vierzehnte, vierundzwanzigste Konvergente der Kettenbruchentwicklung Lösungen der
2
= 1, was wir für die vierte bereits nachgerechnet
Gleichung 2
haben. Lösungen der PELLschen Gleichung liefern die neunte, neunzehnte usw. Konvergente. Die neunte Konvergente ist
649
1
13 = 3 +
=
,
1
180
1+
1
1+
1
1+
1
1+
1
6+
1
1+
1
1+
1
und in der Tat ist
î
X
X
4
î

?
9
k
Á
2
9
k
Á
2
9
k
k
2
k
î
2
Á
9
Á
Á
9
î
k
k
a
.
=
4
1
J
+

4
1 0)
Q
4
+
3
4
2
9
Im Falle einer geraden Periode ist somit (
1
1 ) für jedes
eine Lösung der PELLschen Gleichung ; für ungerade Perioden
liefern nur die geradzahligen Vielfachen von Lösungen, während die
2
= 1 führen.
ungeradzahligen zu Lösungen der Gleichung 2
k
î
=(
1
9
9
1
k
+
Á
k
Á
1 0)
1
1, erhalten wir die Gleichung
9
E
+
2
k
H
2
=
1
2
2
(
mit
H
Á
9
9
oder
9
Á
î
k
+
k

Á
0
k
9
?
k
<
1
2
2

H
+
9
Á
9
î
2
î
2

2
k
9
1
9
Á
k
+
k

î
4
0
9
k
Á
1
Á
2
9
=
+
9
9
Á
2
2
k
Á
2
=
Á

9
k
9
1
Á
k
k
+
+
2
Á
9
2
Á
9
?
=
=
Einsetzen in die obige Formel führt auf
Á
9
X
Ist speziell =
ein Vielfaches einer Periode, hat 1
eine Kettenbruchentwicklung mit Koeffizienten
; nach dem
+1
+2
gerade bewiesenen Satz stimmt das überein mit der Folge 2 0 1 2
,
d.h.
1
= 0+
=
+
.
k
Bezeichnet
wieder die -te Konvergente dieser Kettenbruchentwicklung, so ist nach der schon oft benutzten Formel
2+
1
.
=
2+
1
2
Á
Setzen wir dies ein in die aus Kapitel III, 2, bekannte Formel
und
2
Satz: Ist eine quadratfreie natürliche Zahl, so ist die Folge 0 1
der Koeffizienten der Kettenbruchentwicklung von
ab 1 periodisch.
Bezeichnet die Periode, so ist = 2 0 = 2
.
?
1 0
Die Kettenbruchentwicklung von
=
unterscheidet sich
von der von nur im ganzzahligen Anteil. Dieser ist im Falle von
gleich 2
, im Falle von
nur
. Danach folgen in beiden
1. Wegen = 0 = 2
gilt daher
Fällen die mit
1
?
Das konjugierte Element zu
ist
und somit kleiner als 1;
die Kettenbruchentwicklung von
ist also nicht rein periodisch.
=
+
, so ist natürlich
1. und
Betrachten wir aber
=
liegt zwischen 1 und 0. Somit hat eine rein
periodische Kettenbruchentwicklung. Die Periode sei und die Koeffi.
zienten seien 0 1
=
R
2
Durch Koeffizientenvergleich folgt:
Kap. 5: Quadratische Formen
:
î
a
î
a
Á
k
9
k
k
î
2
Á
k
9
9
Á
?
k
9
Á
k
9
Á
2
k
9
a
?
2
Á
k
9
k
9
ö ó
J
K
J
3
R
;
k
`
a
a
î
P
VU
î
+
geschrieben werden,
Natürlich kann auch in der Form
eine Konvergente der Kettenbruchentwicklung von
wobei
ist. Da Zähler und Nenner der Konvergenten strikt monoton ansteigen
, für die
mit , handelt es sich hier um die erste Konvergente
2
2
= 1 ist.
P
U
T
î
î
Æ
a
a
=
P
Ä
î
t
2 U
2 U
VU
2 U
2 U
U
`
î
Q

)

)
( ,
+
*(

k
`
a
î
K
î
é
K
w
a
ö ó
H
P
F t
î
`
î
<
=
3
H
H
a
î
î
K
a
2
J
H
3
H
2
î
gerade bzw. ungerade ist.
die Periode
a
î
HELMUT HASSE: Vorlesungen über Zahlentheorie, Springer, 2 1964.
Wie eine genauere Untersuchung zeigt, ist dies genau dann möglich,
wenn
5 mod 8, jedoch nicht für alle solche . Wenn es eine
,
Grundeinheit dieser Form gibt, liegt ihre dritte Potenz in
der Kettenbruchalgorithmus gibt dann also nur die dritte Potenz der
Grundeinheit. Einzelheiten findet man beispielsweise in 16, 5D des
Buchs
w
Bleibt die Frage, für welche
î
K
Wenn wir dieses Ergebnis akzeptieren, können wir die Einheitengruppe eines jeden reellquadratischen Zahlkörpers [
] explizit berech1 mod 4: Dann ist
=
, so daß
nen, zumindest für
die Einheiten genau den ganzzahligen Lösungen der beiden Gleichun2
= 1 entsprechen. Ist die Periode der Kettenbrugen 2
und
die (
1)-te Konvergente, so ist
chentwicklung von
= +
die Grundeinheit, und jede andere Einheit läßt als
mit einem
schreiben. Für gerades sind dies alles Einseinheiten,
für ungerades bekommen wir für gerade Einseinheiten und sonst
Einheiten der Norm 1.
<
K
im Kapitel über LAGRANGE im (nur im Inhaltsverzeichnis benannten) Paragraphen Lösung
der Fermatschen (Pellschen) Gleichung ab Seite 64. Es gibt zwar Rückverweise, aber wer
den obigen Beweis verstanden hat, muß nur einem wirklich folgen. Zu beachten sind die
ist
unterschiedlichen Bezeichnungen: Was hier heißt, ist dort , aber das dortige
. Die hießigen
werden dort mit
bezeichnet.
hier 1
î
+ 3 13 = 1 .
< 4
WINFRIED SCHARLAU, HANS OPOLKA: Von Fermat bis Minkowski – Eine Vorlesung über
Zahlentheorie und ihre Entwicklung, Springer, 1980
î
1
2 (11
E
N
=
Wer sich für diese Rechnungen interessiert, findet sie zum Beispiel in
Die zweite Frage ist: Was passiert für
1 mod 4? Wie wir wissen,
sind dann auch die Zahlen 12 ( +
) für ungerade ganze Zahlen
ganz, es kann also auch Einheiten dieser Form geben. In der Tat haben
wir beim Eingangsbeispiel = 13 bereits solche Fälle kennengelernt:
Für die dritte Konvergente 11 4 ist 112 13 32 = 4, d.h.
t
Mit Rechnungen, die sehr ähnlich zu den obigen sind, kann man zeigen,
2
daß die oben gefundenen Indizes
mit 2
= 1 tatsächlich
die einzigen sind mit dieser Eigenschaft. Da wir schon viel mit Kettenbrüchen gerechnet haben und es noch viele andere interessante Teilgebiete der Zahlentheorie zu entdecken gilt, möchte ich auf diese Rechnungen verzichten.
R
Diese Frage muß nicht nur in dieser Vorlesung unbeantwortet bleiben:
Es handelt sich hier um eines der vielen zahlentheoretischen Probleme,
die trotz jahrhundertelanger Bemühungen auch heute noch offen sind.
Kap. 5: Quadratische Formen
Zahlkörpers unendlich ist und daß es speziell für die Gruppe der Einheiten mit Norm eins (der sogenannten Einseinheiten) ein Element
gibt, so daß jede Einseinheit in der Form
mit einem
geschrieben werden kann. ist die kleinste Einseinheit größer eins.
Zahlentheorie SS 2007
B
2
{

<
{ <

v
u
4
0
Z
[
x

0
2
Elementen, den
=
1
1
t
0
<
J
<

Ì
1
1
1
1
9
=
<
0
0

054

Ì
?
0
?

J
0

E
?
<

0
L
?
1
[
Z
£¤

2
1
.
?
3
0
0

. Dann ist offensichtlich
Beweis: sei ein erzeugendes Element von
jede Potenz
mit geradem ein quadratischer Rest, und da es genau
1
2 verschiedene solcher Potenzen gibt, sind das auch alle quadratigenau dann ein quadratischer Rest, wenn
schen Reste. Somit ist
gerade ist.
=
L
ist
0
Lemma(EULER): Für ungerades
1
ist und
Trivialerweise ist das Produkt zweier quadratischer Reste wieder ein
quadratischer Rest. Ist = 2 ein quadratischer Rest und ein Nichtrest,
so ist auch
ein quadratischer Nichtrest, denn wäre
= 2 , wäre
1 2
=(
) ein quadratischer Rest. Da Multiplikation mit injektiv ist,
folgt, daß sich jeder quadratische Nichtrest in der Form darstellen läßt,
wobei ein quadratischer Rest ist. Damit folgt, daß das Produkt zweier
quadratischer Nichtreste ein quadratischer Rest ist, denn
= 2 ,
wobei und Quadrate in
sind.
hat den Kern +1 1 , also besteht das Bild aus
quadratischen Resten.
1
= 1 , und 1 = 12 ist ein quadratischer Rest.
u

L
ADRIEN-MARIE LEGENDRE (1752–1833) wurde in Toulouse oder Paris geboren; jedenfalls ging er in Paris zur
Schule und studierte Mathematik und Physik am dortigen Collège Mazarin. Ab 1775 lehrte er an der Ecole
Militaire und gewann einen Preis der Berliner Akademie für eine Arbeit über die Bahn von Kanonenkugeln.
Andere Arbeiten befaßten sich mit der Anziehung von
Ellipsoiden und der Himmelsmechanik. Ab etwa 1785
publizierte er auch Arbeiten über Zahlentheorie, in denen er z.B. das quadratische Reziprozitätsgesetz bewies
sowie die Irratinalität von und 2 .
2
v
ungerade. Der Homomorphismus
= 2 ist

Sei nun
Beweis: Für

9
1
Sind
zwei modulo kongruente natürliche Zahlen, so ist offensichtlich
=
. Wir haben daher auch für
ein wohldefiniertes
LEGENDRE-Symbol
, das durch die Vorschrift 0 = 0 auf ganz
fortgesetzt wird.

Im ersten Fall bezeichnen wir als quadratischen Rest modulo , andernfalls als quadratischen Nichtrest. Für eine durch teilbare Zahl
setzen wir
= 0.
E
"%&

mod
[
{ 0

2
!#"%$
{

gibt mit
Z
0
falls es ein
sonst
u

+1
1
Z
[
=
4
9
Für = 2 ist dies der triviale Homomorphismus, für ungerade ist er
surjektiv. Insbesondere gibt es dann jeweils 2 1 quadratische Reste und
Nichtreste.
v
Definition: Für eine Primzahl und eine nicht durch teilbare natürliche Zahl ist das LEGENDRE-Symbol
§1: Das Legendre-Symbol
R
Kapitel 6
Quadratische Reste
Lemma: Das LEGENDRE-Symbol definiert einen Gruppenhomomorphismus
+1 1
:
.
Kap. 6: Quadratische Reste
G

3
k
k

9
.
.
9

_
R
M
_
9

9
k

= ( 1)
k
0
£¤
k
Æ
£¤

Ä
£¤

0
0
t
x
Z
t
£¤
[
34
2
Z
4
Z
[
2
1
/
¢¤
£¤
[
2
2
0
68
5 7
bQ B
M a
M a
0
2
9
;
<
@<
??
=?
2=
=
??
<>=?
2
:
=
@
QB
<B
??
=
;CB =
A
B =?
P
0
P
0
B
0
A
=
(
<
<
B
=
1
2
+ )+
BK
M a
1
QB
DB
0
E
P
F
2
/B
0
A
=
=1
1
2
0
:
ist, d.h.
;
1
1
G
??
G =? A
=
H
E
I a
:
HJI
=
??
=?
M
MON
=1
M a
=1
= 1
( + 1)
=
2
<
H
E a
G
2
=1
= ( 1)
=
2
+
, ist also
+1
2
<
=
=
H I
=
??
H =?
=E
G
2
=
??
G 2 =?
+
ist
. Falls
+
=
+
Außerdem wissen wir aus dem ersten Schritt, daß
( + 1)
2
P
=1
0
0 K
@
L
=1
j
P
0 K
2
0
mod .
HU
L
P
; =?
( )= !
m
=1
0P
G
Andererseits ist
c
+
E a
=1
j
0
??
2
=
H I
KK
K
H E
G
KK
K
G
1
und
`
BK
=1
8
1
@<
1
P
=
P
=1
2
F0
0
Beweis: 1
seien die negativen Elemente von , die zu Elementen aus kongruent sind, 1
die positiven. Dann ist
; dann ist 0
=
( 1)
2
0
8
1
8
2
1
.
mod
=
+
+
modulo
= 2 zugelassen. Für
und
kongruent ist zu einem negativen Element
falls
0 ist dagegen = . Somit ist
sei
=
I a
2
kongruent sind zu einem negativen
=1
HU
H
P
von bezeichnet, die modulo
Element von .
0
h ]7 g
P i 7
]f
de
E a
.
=1
P
die Anzahl jener Elemente
2
P
j
G
= ( 1) , wobei
_
Yj
P
Primzahl. Dann ist
`
P
I a
;
.
H
1. Schritt (GAUSS): sei eine beliebige Primzahl und = eine ungerade
/B
P
k0
GU
2
Weiter sei =
verschiedene Elemente von
1
0
.
2
. Da und teilerfremd sind, haben zwei
verschiedene Restklassen modulo .
=
bQ B
MOa
P
h ]7 g d e :
l
P i 7
GU
B ]
Im Beweis sei zunächst auch noch der Fall
mit
c
QB
1
^ 7
\]
0
0
=
P
2
0
/
2
mit
H U
E
1
Q
0
1 1
H I
KK
K
34
Y
=
2
B
DB
= ( 1)
M
L
2
2. Schritt (GAUSS): Für zwei ungerade Primzahlen
[B
Vergleich mit der obigen Konguenz zeigt, daß dann
ist, also nach dem vorigen Lemma
= ( 1) .
!.
E
<
Zum Beweis betrachten wir ein zum Nullpunkt symmetrisches Vertrein , nämlich
tersystem von
= ( 1)
0
Quadratisches Reziprozitätsgesetz: Für zwei verschiedene ungerade
ist
Primzahlen
2 1
(
1)(
1)
2
= ( 1) 4
= ( 1) 8 .
und
G
H E
G
KK
K
G
1
Z = 0
Y
§2: Das quadratische Reziprozitätsgesetz
[B
L
HU
E
1 mod 4
.
3 mod 4
H
H U G P Z LB
P
G
P
H U
<
1
Y
+ 1 falls
1 falls
0 [Y
Z
<
0
2
<
Korollar: Für ungerades ist
1
1
= ( 1) 2 =
Z
genau dann gleich eins, wenn ein quadratischer Rest ist, und 1 sonst.

k
1
P
2
G
=
GU
1
Q
2
V
=( )
D
Natürlich sind und
für = zwei verschiedene Zahlen, genauso
=
sein, denn sonst wäre
auch und . Außerdem kann auch nie
,
einerseits + = 0, andererseits gäbe es aber Zahlen 1
so daß
und
mod . Also wäre ( + ) durch teilbar,
was nicht möglich ist, denn +
2 =
1. Damit sind die Beträge
der und der genau die Zahlen von 1 bis , d.h.
XX
XH X U
W GP
W
2
Kap. 6: Quadratische Reste
[
1
Da ein erzeugendes Element ist, kann ( 1) 2 nicht gleich eins sein;
1
= 1 ist,
da nach dem kleinen Satz von FERMAT aber sein Quadrat
( 1) 2
folgt
= 1. Für = ist somit
Zahlentheorie SS 2007
RST
<
P
P
BK
Q
P
P
P
P
P
<B
QB
P
P
G
E P
n
H
In
0
P
2
0
G
P
P
E a
BK
0
G
0F
`
`
2
P
P
0F
BK
2
B
`
F
h
2
Q
P
`
Y
B
i 7
L
L
2
verschwindet. Modulo zwei
1
mod 2 ,
8
so daß die Behauptung auch hier aus dem ersten Schritt folgt.
2
2
wird die obige Beziehung daher zu
_
<
für alle
2
= 0, da
E
= 2 ist
0
0
0
Z
2
<
=
Z<
und
=
=1
P
o
P
`
=
o
`
Z<
]7 =
Z
V
Y
Y
r 7 t P t P7 o
] s] 7 s ] `
q
Z<
Punkte. Darüber liegen
Punkte mit
Punkte. Somit ist
=
+ .
Punkte mit
x
+
= ( 1)
= ( 1)
2
1
2
1
.
FERDINAND GOTTHOLD MAX EISENSTEIN (1823–1852),
genannt Gotthold, wurde in Berlin geboren. Als einziges
seiner sechs Geschwister starb er nicht bereits während
der Kindheit an Meningitis. Im Alter von 17 Jahren,
noch als Schüler, besuchte er Mathematikvorlesungen
der Universität, unter anderem bei DIRICHLET. Ab 1842
las er die Disquisitiones arithmeticae von GAUSS, den
er 1844 in Göttingen besuchte. Trotz zahlreicher wichtiger Arbeiten erhielt er nie eine gut bezahlte Position
und überlebte vor allem dank der Unterstützung durch
ALEXANDER VON HUMBOLDT. 1847 habilitierte er sich
in Berlin und hatte dort unter anderem RIEMANN als
Studenten. Er starb 29-jährig an Tuberkulose.
y
B
`
Q
+ 1 falls
1 falls
1 mod 4 oder
3 mod 4
0
1
=
1 mod 4
.
Bemerkung: Die rechten Seiten der Gleichungen im quadratischen Reziprozitätsgesetz lassen sich auch durch Kongruenzbedingungen aus1) 2 ist genau dann gerade, wenn
1 mod 4, entspredrücken: (
chend für . Somit ist
0
2
keine Gitterpunkte. Unterhalb der Diagonalen liegen
und enthält
Y
=
Q
Die Diagonale des Rechtecks liegt auf der Geraden
und
.
<
L
Abszisse , insgesamt also
Ordinate , insgesamt also
2)
] = Y
=
7 =
V
= Q =
=
Beweis: Im Innern des Rechtecks mit Ecken (0 0) ( 2 0) (0
Gitterpunkte, nämlich die Punkte ( ) mit 1
( 2 2 ) liegen
und 1
.
.
=1
bQ B
MOa
c
=
=
p a
B
+
1
2
2
bQ 0
Dann ist
B
=
0
1
B
2
c
=
F0
und seien ungerade Primzahlen,
F
3. Schritt (EISENSTEIN):
0
Für
/B
CARL FRIEDRICH GAUSS (1777–1855) leistete wesentliche Beiträge zur Zahlentheorie, zur nichteuklidischen
Geometrie, zur Funktionentheorie, zur Differentialgeometrie und Kartographie, zur Fehlerrechnung und Statistik, zur Astronomie und Geophysik usw. Als Direktor der Göttinger Sternwarte baute er zusammen mit
dem Physiker Weber den ersten Telegraphen. Er leitete
die erste Vermessung und Kartierung des Königreichs
Hannover und zeitweise auch den Witwenfond der Universität Göttingen; seine hierbei gewonnene Erfahrung
benutzte er für erfolgreiche Spekulationen mit Aktien.
Seine 1801 veröffentlichten Disquisitiones arithmeticae
sind auchnoch heute fundamental für die Zahlentheorie.
2
Im Falle einer ungeraden Primzahl steht rechts eine gerade Zahl; damit
muß auch + gerade sein, d.h. ( 1) = ( 1) , und die Behauptung
folgt aus dem ersten Schritt.
B
=1
/0
.
1
) +2
2
= ( 1)
2
+
( 1)
_ K
1) = (
E a
=1
2
= ( 1)
v
(
+2
_
2
8
1
2
8
v
1
2
1
) +
pM
2
+
34
8
=(
Zum Beweis des quadratischen Reziprozitätsgesetzes müssen wir nun
nur noch alles kombinieren: Nach dem zweiten und dem dritten Schritt
ist
Kap. 6: Quadratische Reste
w4
oder
P
1
7f
2
und damit ist
= 8 1 + =1 . Setzen wir das alles in die obige
=1
Formel ein, erhalten wir die Beziehung
RS
R
2
Zahlentheorie SS 2007
RSu
L
B
L
L
0
LB
0
2
1
/B
0
/0
B
o
Q
z
Z
Z
RS
S
Z
j L
0
2
Ist
Z
2
1
=
2
^
Z
j z
Z
y
0
/
L
z
0
34
L
0
2
2
0
\
^
\
\
^
\
^
\
L
L
\
^
2
^
2
^
\
^
\
^
\
L
L
/
{
teiler-
1
eine zu
2
3
2
5
= ( 1)
32
2
e P
d~} 0 P
eine ungerade Zahl und
=
8
1
4
( 1)
52
2
8
1
= ( 1) ( 1) = 1 ,
aber zwei ist offensichtlich kein quadratischer Rest modulo 15: Sonst
müßte es schließlich erst recht quadratischer Rest modulo drei und modulo fünf sein, aber die entsprechenden LEGENDRE-Symbole sind 1.
In der Tat gibt es modulo 15 nur vier quadratische Reste: 1 4 6 und 10.
1
2
15
K
Das JACOBI-Symbol gibt daher keine Auskunft darüber, ob eine Zahl
quadratischer Rest ist oder nicht; lediglich wenn es gleich 1 ist, können
wir sicher sein, daß wir es mit einem quadratischen Nichtrest zu tun
haben, denn dann muß ja auch schon für mindestens einen Primteiler
=
=1
= 0.
stimmt das
Für eine Primzahl und ein nicht dadurch teilbares
JACOBI-Symbol natürlich mit dem LEGENDRE-Symbol überein, und man
kann sich fragen, ob man hier wirklich einen neuen Namen braucht.
Dieser ist gerechtfertigt, weil es einen ganz wesentlichen Unterschied
zwischen den beiden Symbolen gibt: Beispielsweise ist
4
2
=
=
F
/
/
1
2
Definition: Ist
|
|
K
2
Wie wir in 1 gesehen haben, definiert das LEGENDRE-Symbol in Bezug
auf seinen Zähler“ einen Homomorphismus; wir können versuchen, es
”
zu erweitern, indem wir dasselbe auch für den Nenner“ postulieren:
”
|
F
§3: Das Jacobi-Symbol
P
Das Problem bei dieser Vorgehensweise besteht darin, daß wir normalerweise nicht soviel Glück haben wie hier und als Reduktionen stets
Primzahlen erhalten. Wir sollten daher ein quadratisches Reziprozitätsgesetz haben, das auch funktioniert, wenn die beteiligten Zahlen nicht
prim sind.
P
nicht teilerfremd sind, setzen wir
.
\ I
Genauso können wir auch leicht feststellen, ob 13 quadratischer Rest
13
1 000 003
. Da
modulo 1 000 003 ist: Da 13 1 mod 4, ist 1 000
003 =
13
4
1 000 003 4 mod 13, ist dies gleich 13 , und das ist natürlich eins,
da 4 = 22 modulo jeder Primzahl ein Quadrat ist. Somit ist auch 13 ein
Quadrat modulo 1 000 003.
und
=1
^E
CARL GUSTAV JACOB JACOBI (1804–1851) wurde in
Potsdam als Sohn eines jüdischen Bankiers geboren
und erhielt den Vornamen Jacques Simon. Im Alter
von zwölf Jahren bestand er sein Abitur, mußte aber
noch vier Jahre in der Abschlußklasse des Gymnasiums
bleiben, da die Berliner Universität nur Studenten mit
mindestens 16 Jahren aufnahm. 1824 beendete er seine
Studien mit dem Staatsexamen für Mathematik, Griechisch und Latein und wurde Lehrer. Außerdem promovierte er 1825 und begann mit seiner Habilitation.
Etwa gleichzeitig konvertierte er zum Christentum, so
daß er ab 1825 an der Universität Berlin und ab 1826 in
Königsberg lehren konnte. 1832 wurde er dort Professor. Zehn Jahre später mußte er aus
gesundheitlichen Gründen das rauhe Klima Königsbergs verlassen und lebte zunächst in
Italien, danach für den Rest seines Lebens in Berlin. Er ist vor allem berühmt durch seine
Arbeiten zur Zahlentheorie und über elliptische Integrale.
Falls
=
RS
Das quadratische Reziprozitätsgesetz läßt sich gelegentlich dazu verwenden, um ein LEGENDRE-Symbol einfach zu berechnen. Wenn wir beispielsweise entscheiden wollen, ob sieben ein quadratischer Rest modu7
= 17
lo 17 ist, sagt es uns (da 17 1 mod 4), daß 17
7 ist. Letzteres ist
3
gleich 7 , da 17 3 mod 7. Hier haben wir zwei Primzahlen, die beide
7
1
1,
kongruent drei modulo vier sind, also ist 37 =
3 =
3 =
denn die Eins ist natürlich modulo jeder Primzahl ein quadratischer Rest.
Also ist sieben modulo 17 ein quadratischer Nichtrest.
0
2
z
8
L
= ( 1)

1 mod 8
.
3 mod 8
F
+ 1 falls
1 falls
d N
0
2
fremde Zahl, so ist das JACOBI-Symbol definiert als
Kap. 6: Quadratische Reste
/
F
2
j
1e
1
2
mod 16, also ist
= 8 + , so ist 2 = 64 2 + 16 + 2
2
1
1 mod 16. Für = 1 ist dies null, für = 3 acht.
Somit ist
Zahlentheorie SS 2007

2
|
F
|
RS
2
|
|
F=

|
2
4
4
F
2
|
F
U
}B
F
|
U
e P
d }0 P

|
F
BU
3e4

N
F

|
1
d N
F
|
1
2
/
U
P
/
1
n
3e4
=1
n
3 e4
e
/
w4
n
( 1)
1
w4
n
1
e

e
=1
2
.

2
2

e
3e4
=1
d N
( 1)
2
e
e
1
0
G
0
0
2
n e
2
Betrachten wir als Beispiel den Fall
^7 G
f \
2
P
.
y
+ 1 falls
1 falls
G

P
v
L
0
P
=
1 mod 3
,
2 mod 3
L
0
3
= 3. Hier ist ( 1)(
2
2
o
3 mod 4 und
2
G
können wir alle Faktoren weglassen, für die
1 mod 4. Das Produkt ist also gleich ( 1)
0
1) 2
f
ungerade .
gerade ist oder aber
mit
1
G
=

0
Q
= Anzahl der Indizes mit
2
3e4
=
0

1
0
2
2
2
/
G
2
=1
1
G
f
( 1)
4
( 1)
0
7
Im Produkt
.

1,
Für festes ist ( 1)( 1) 2 ein konstanter Wert, ( 1)( 1) 2 hängt nur
ab von mod 4, und
hängt ab von mod . Insgesamt hängt es
also nur ab von mod 4 , ob ein quadratischer Rest oder Nichtrest
modulo ist.
1
G
2
34
= ( 1)

Dies ist genau dann gleich +1, wenn mindestens einer der beiden Exponenten gerade ist; andernfalls ist es gleich 1.
=
2
2

e
=1
1

2
1
Für = 2 haben wir gesehen, daß 2 nur von der Kongruenzklasse mod 8 abhängt; wegen der Multiplikativität des JACOBI-Symbols
reicht es also, wenn wir ungerade betrachten. Nach dem gerade bewiesenen Gesetz ist dann
G
1
e
= ( 1)

e
=1
w4
2
n
2
1
w 4
2
G
( 1)
1
\
=1
U
^ 7
2
N
/
|
2
G
=1
1
U
3e4
=1
2
0
= ( 1)

G
=

1e
P
0/ B U
d N P
N
n
=1
F
1
z
Als Anwendung können wir uns überlegen, modulo welcher Primzahlen
eine vorgegebene Zahl quadratischer Rest ist. Modulo seiner Primteiler
verschwindet und ist somit ein Quadrat. Sei also kein Teiler von .
z
1
Ef
Damit ist
.
L
=1 =1
z
=
2
=1
^ E F
\
L
=
|
F
2 z
=1
|

Symbols und weil das LEGENDRE-Symbol bei festgehaltenem Nenner“
”
einen Homomorphismus definiert, ist dann
2
=1
|
2
2
4
z
1) 8
ist, denn dies ist +1 für
Genauso folgt auch, daß 2 = ( 1)(
1 mod 8 und 1 für
3 mod 8. Das Produkt zweier Primzahlen kongruent 1 modulo acht ist wieder kongruent 1, genauso
das zweier Primzahlen kongruent 3 modulo acht. Damit führt dieselbe
Argumentation wie oben zum Ziel.

. Nach Definition des JACOBI-

=
F
und
.
4
=
1
4
8
2
= ( 1)
^ E
\I F
Beweis: Sei
2
|
= ( 1)
F= 1
/
und
= ( 1)
\ I
Ist dies gleich +1, so ist die rechte Seite der Gleichung für
ebenfalls +1, andernfalls zeigt das gleiche Argument für , daß sie
gleich ( 1)( 1) 2 ist. In jedem Fall erhalten wir daher die gewünschte
Formel
1
1
= ( 1) 2 2 .
Ef
1
1

2
P e P
0 0
L
2
1
2
n e
3 e4

2
L
2
= ( 1)
e P
0
e
2
|
v
=1
2
2
) = 1 ist
P
( 1)
v
4
mit ggT(
L
L
^E
Satz: Für zwei ungerade Zahlen

Die Faktoren
sind genau dann kongruent eins modulo vier, wenn
1 mod 4 oder gerade ist, denn 32
1 mod 4. Andernfalls ist
3
1 mod 4. Somit ist auch
( 1) mod 4, also
L
Die Nützlichkeit des JACOBI-Symbols kommt in erster Linie daher, daß
auch dafür das quadratische Reziprozitätsgesetz gilt und es somit zur
Berechnung von LEGENDRE-Symbolen verwendet werden kann:
Kap. 6: Quadratische Reste
RS
des Nenners“ das LEGENDRE-Symbol gleich 1 sein, während ein
”
quadratischer Rest modulo einer Zahl erst recht quadratischer Rest
modulo eines jeden Teilers von sein muß.
Zahlentheorie SS 2007

2
0
L
0
2

L
P
P

RS
/
0

0
f
2
y
; = ; =
l l
@
0

0
/
@
0
2
y
1
G
@
=
=
; = ;
l l
=
=
=
0
0
2
0
G
L
0
0
G
r
0

B
BK
0
2

dI
|
j
@
0
7
f
6
5 7
??
68
5 7
l

=
=?
; =
68
5 7

d
Die Ordnung eines Elements
läßt sich leicht berechnen: Da
genau dann zu eins wird, wenn
1 den Exponenten
teilt, ist
für die Ordnung das kleinste gemeinsame Vielfache von und
1.
+
=
=
2
=
.
und 0
2
G

0
d
= ist genau dann ein quadratischer Rest, wenn eine gerade Zahl ist;
2
. Falls wir nur kennen, ist
die beiden Quadratwurzeln sind dann
dies allerdings nicht sonderlich nützlich zur Berechnung dieser Wurzeln,
denn erstens kennen wir im allgemeinen das Element nicht explizit, und
zweitens kennen wir auch den Exponenten nicht. Ersteres wäre kein
großes Problem, denn es gibt effiziente probabilistische Algorithmen,
um sich mögliche Werte für zu verschaffen, letzteres aber ist ein
diskretes Logarithmenproblem modulo , also nur dann effizient lösbar,
wenn die Primzahl ziemlich klein ist.
mit 0

q
besteht.
G
schreiben läßt.
=

zj
genau aus den Potenzen von
.
Da es bei Potenzen von nur auf den Exponenten modulo ankommt
und bei solchen von nur auf den Exponenten modulo 2 , heißt dies,
daß sich jedes Element von
in der Form
q
=1

j
Y
1

6
5 7
2
2

d
d
=
=
]
und entsprechend für jedes
Damit ist
q
kB
zyklisch ist, gibt es ein
=1

d
Y
modulo
+
d

k
Da die multiplikative Gruppe
Element
, so daß
=
]

in eine Zweierpotenz 2 und eine ungerade Zahl .
B
B
1=2

ist. Hierbei muß offensichtlich eine ungerade Zahl sein, denn sonst
wäre die Summe auf der linken Seite eine gerade Zahl.
2

q
Am einfachsten lassen sich Quadratwurzeln modulo zwei ziehen, denn
modulo zwei ist jede Zahl ihre eigene Quadratwurzel. Im folgenden sei
daher eine ungerade Primzahl; wir zerlegen
1)
die Ordnung 2 .
B

Das quadratische Reziprozitätsgesetz zeigt uns schnell, ob die Gleichung
2
mod für eine gegebene Primzahl und eine ganze Zahl lösbar
ist; es gibt uns aber keinen Hinweis darauf, wie wir diese Lösung finden
können. Darum soll es in diesem Paragraphen gehen.

§4: Berechnung der modularen Quadratwurzel
=
Da und 2 teilerfremd sind, gibt es nach dem erweiterten EUKLIDischen
Algorithmus ganze Zahlen
, so daß

1 3 7 9
.
11 13 17 19
und
die Ordnung hat und
q
mod 20
mod 20
folgt, daß
B
+ 1 falls
1 falls
; = ; =
l l
@
1 4
,
2 3
q
=
mod 5
mod 5

+ 1 falls
1 falls
2

=
2
= +1 und
=
1

5
1
]
5
2
= 5 ist ( 1)
ggT(

also
2
Speziell für die beiden Elemente
|

Für
@
@
5 7
.
1 11
=
j
0=
1) 2
1 mod 4
.
3 mod 4
2
(
0
mod 12
mod 12
0
+ 1 falls
1 falls
y
=
+ 1 falls
1 falls
0
L
2
3
=
Das kleinste gemeinsame Vielfache ist bekanntlich gleich dem Produkt,
dividiert durch den größten gemeinsamen Teiler. Damit ist die Ordnung
0
Somit ist
34
2
L
( 1)
y
1
Kap. 6: Quadratische Reste
RS
und wie wir bereits wissen ist
Zahlentheorie SS 2007

j
0
G
0
|
j
0
j
2
|
2
RS G

q
G

j
j

]
]
] q
]G
p
]G

2
@

2
??
=
=?
; =
l

=
B
Z
2
G
Z
p

]G
z
r
]G
r
G
G
p
]G
G
p
p

G
L
0
L
0
0
0
2
L
2
Z
B
0
B
2

p
G
Z
Z
Z

( +1) 4

=
,

34
+1) 2
p
1
B
7
2
=
(
4
1
+1) 2
=
( +3) 8
.
B
berechnen, erWenn wir die -te Potenz irgendeines Elements aus
halten wir ein Element, dessen Ordnung eine Zweierpotenz ist, die 2
teilt. Falls sie nicht gleich 2 ist, muß das Element Quadrat eines anderen sein; die Elemente von Zweipotenzordnung, die genaue Ordnung 2
haben, sind daher genau die quadratischen Nichtreste. Einen solchen
können wir uns verschaffen, wenn wir irgendeinen quadratischen Nichtrest modulo kennen: Da ungerade ist, ist dann auch dessen -te Potenz quadratischer Nichtrest, und wegen
1 = 2 muß diese Potenz
Zweipotenzordnung haben. Um zu finden, reicht es also, irgendeinen
quadratischen Nichtrest modulo zu finden.

(
Z
( +1) 2
Für = 2 sind die Wurzeln
, wobei wie oben definiert
und nicht explizit bekannt ist. ist nach Definition -te Potenz eines
primitiven Elements, und das gilt offenbar für jedes Element, dessen
Ordnung gleich 2 ist. (Hier ist natürlich = 2, aber das folgende
Argument gilt für jedes .)

=
( +1) 2

( +1) 2

]G
z
0
=
r
1 2
]G
z

6
5 7

1 2
=
= 0 können wir wie oben argumentieren: Dann ist

G
d.h. der oben definierte Exponent ist eins. Damit kommen für nur
die Werte = 0 und = 1 in Frage, und für einen quadratischen Rest
2
muß = 0 sein. Dann sind sowohl
als auch
gleich eins, also
sind die beiden Wurzeln aus einfach
Im Fall
Z
34

mit einer ungeraden Zahl ,

zG
B
1=2
=
7
1 ist zwar durch zwei,
=

Ist
3 mod 4, so ist
1 2 mod 4, d.h.
nicht aber durch vier teilbar. Mithin ist
= Z
Zumindest für die Hälfte“ aller Primzahlen haben wir damit überhaupt
”
kein Problem: Eine ungerade Zahl hat bei Division durch vier offensichtlich entweder Rest eins oder Rest drei; wir betrachten zunächst den
3 mod 4. (Solche Primzahlen werden in der Kryptologie
Fall, daß
gelegentlich als BLUMsche Primzahlen bezeichnet.)
2
2
Sobald wir den Wert
kennen, können wir also die Quadratwurzeln
von bestimmen, und wir wir gleich sehen werden, läßt sich dieser Wert
erheblich schneller berechnen als ein diskreter Logarithmus.
Z
d.h. = 2. Damit kann nun die vier Werte 0 1 2 3 annehmen; für
quadratische Reste gibt es die beiden Möglichkeiten = 0 und = 2.
2
.
B
)=
0
Z
= (
0
0
B
+1
L
mit einer ungeraden Zahl ,
0
1 = 4 = 22
L
=
Z
2
B
2

L
die beiden Quadratwurzeln des quadratischen Rests , denn
G
0
2
=
0
( +1) 2
r
L
=
r

Für
1 mod 4 ist entweder
1 mod 8 oder
5 mod 8. Zumindest im letzteren Fall können wir wieder eine explizite Formel für
die Quadratwurzeln aufstellen: In diesem Fall ist
1 4 mod 8, d.h.
1 ist zwar durch vier, nicht aber durch acht teilbar. Damit ist
G2
quadratischer Rest
r

G
und auch diese Zahl ist genau dann gerade, wenn
ist. Mit dieser Zahl sind dann
G
1 ,
7
2
GK
fG
nach dem Lemma von EULER. Ist also ein quadratischer Rest, so ist
2
1 2 = ; wendet man die Formel fälschlicherweise auf einen quadratischen Nichtrest an, ist 21 2 =
.
1) 2
7
0
0 1 2
(
GK
mod 2

( +1) 2
/
G
=
=
1
=
=
ist eine Potenz von ; es gibt also eine ganze Zahl
zwischen null und 2
1, so daß
= 1 ist, nämlich
2
1 2
was sich leicht berechnen läßt. Die Richtigkeit dieser Formel läßt sich
auch leicht direkt nachprüfen, denn
Kap. 6: Quadratische Reste
TR
Auch der etwas komplizierteren (und bislang ebenfalls nicht explizit
bekannten) Form =
können wir ansehen, wann quadratischer
Rest ist: Da eine ungerade Zahl ist, ist genau dann gerade, wenn auch
gerade ist, und das wiederum ist äquivalent dazu, daß =
mod 2
eine gerade Zahl ist.
Zahlentheorie SS 2007

B
2
0
B
0
zG
zG
]G
z

R
R
L

0
Z
=
f

( +3) 8
]
2(
7
7
7
f
r
K
zG

.
( +3) 8

7
G
¡
z
r
G
G

7
f
¡
5 7
G

2
=
2
zG
¡
G
G
G
7
fG
G
7
¡
0
K
G
G
0
=
. Da
1, also hat
.
|
2
B
2
¡

z
G
¡
7

0
]|

2
^ 7
\I
G2
2
f
¡
G
7
f
¡K
L
L
0

L
0
£

]f G
£

£
=
j
=
q
Z
Z
2
1
= 1,
G
4
H
2
4
q
r=
HG

q
r

G
HG
,
denn
= 2 2 = 2 , und die beiden hinteren Gleichungen bedeuten
nach EULER einfach, daß = quadratischer Nichtrest ist, aber (nach
Voraussetzung) quadratischer Rest.
1 und
0
=
=
2
£
G =
durchgeführt werden. Danach ist
r
2
2
G
=
H

1
1) 2
£
wobei alle Berechnungen modulo
(
Im zweiten Schritt werden einige Variablen initialisiert; wir setzen
0
Auch selbst ist im allgemeinen Fall schwerer zu finden: Während
wir für
5 mod 8 wissen, daß zwei ein quadratischer Nichtrest ist,
gibt es für
1 mod 8 keine entsprechende Wahl; hier ist 2 = 1,
und wir wissen nur, daß der kleinste quadratische Rest irgendeine Zahl
B
Im ersten Schritt wird dann ein quadratischer Nichtrest modulo
bestimmt, indem wir so lange Zufallszahlen mod erzeugen, bis
= 1 ist. Dann berechnen wir =
mod und wissen, daß
diese Restklasse genau die Ordnung 2 hat.
0
Bleibt noch der Fall, daß
1 mod 8. Dies ist der schwerste und
allgemeinste Fall, denn während
3 mod 4 äquivalent ist zu = 1
und
5 mod 8 zu = 2 kann hier jeden Wert größer oder gleich
drei annehmen. Damit ist auch die Anzahl 2 der möglichen Werte von
nicht mehr beschränkt; die Suche nach dem richtigen Exponenten wird
also aufwendiger.
0
Falls
= , sind die beiden Wurzeln
; andernfalls ist
zwei quadratischer Nichtrest ist, ist nach EULER 2( 1) 2 =
2( 1) 4 das Quadrat .
=
68
5 7
l
r
2
0
2
r
Indem wir
1 so lange wie möglich durch zwei dividieren (oder
die hinteren Bits betrachten) bestimmen wir zunächst die Zerlegung
1 = 2 mit einer ungeraden Zahl .
2
nach EULER, falls quadratischer Rest modulo ist. Damit ist

=
/
1) 2
f
(
z
1
2
¡
=
7
0
( +3) 4
0
r
=
0
G
sei eine beliebige ungerade Primzahl, und
sei ein quadratischer
Rest; der Algorithmus bestimmt unter dieser Voraussetzung ein Element
mit der Eigenschaft, daß und
Quadrat haben.
L
6
5 7
l
G
4
0
Auch dies läßt sich wieder direkt nachrechnen:
viel zu viele
Der folgende Algorithmus von SHANKS funktioniert für beliebige un3 mod 4 und
5 mod 8 ist es aber
gerade Primzahlen ; für
natürlich effizienter, die obigen Verfahren zu benutzen.
L
2
die beiden Quadratwurzeln. Andernfalls
falls = ist, sind 1 2 =
( 1) 4
multiplizieren wir
mit 2
; falls das Quadrat dieses Elements
gleich ist, sind die Quadratwurzeln 2( 1) 4 ; andernfalls
von
ist quadratischer Nichtrest.
;
0
2
Z
Z

=
Um das Ganze wirklich explizit zu machen, müssen wir nun nur noch die
beiden Fälle = 0 und = 2 algorithmisch voneinander unterscheiden,
aber das ist einfach: Wir berechnen zunächst
1) 4

1 2

= 2 ist somit
¢0
setzen. Für
ist, was für große Werte von
0
Leider gibt es keinen effizienten deterministischen Algorithmus zur
Bestimmung eines quadratischen Nichtrests modulo einer beliebigen
Primzahl; da wir aber wissen, daß die Hälfte aller Restklassen modulo quadratische Nichtreste sind, kann man in der Praxis leicht welche
finden, indem man einfach Zufallszahlen erzeugt und beispielsweise
nach der EULERschen Formel das LEGENDRE-Symbol ausrechnet. Die
Wahrscheinlichkeit mehr als zehn Versuche zu brauchen liegt dann bei
1 : 1024, die für mehr als zwanzig Versuche ist kleiner als eins zu einer
Million, usw.
zwischen eins und 1 +
Möglichkeiten läßt.
Kap. 6: Quadratische Reste
uR
Letzteres ist im Fall
5 mod 8 einfach: Hier ist zwei nach dem quadratischen Reziprozitätsgesetz quadratischer Nichtrest; daher können
wir
= 2 = 2( 1) 4
Zahlentheorie SS 2007

\
L
0
^ 7
L
0
r
G
S
R
Diese drei Gleichungen werden als Schleifeninvarianten durch den gesamten Algorithmus beibehalten; für = 1 besagen sie, daß eine
Quadratwurzel aus ist.
H
H
Im dritten Schritt testen wir daher, ob = 1 ist; falls ja, endet der
Algorithmus mit den Lösungen
. Andernfalls suchen wir die kleinste
natürliche Zahl , für die 2 = 1 ist; die dritte Schleifeninvariante
zeigt, daß es ein solches gibt und
1 ist.
F
F
2
H
1

4
2
zr
Im vierten Schritt setzen wir
2
Yj
F
£
j
¤ =
£
q
4
¤
£
=
q
Hq
£
2
H
H
¤~r =
£
r
F=

Die obigen Schleifeninvarianten gelten auch wieder nach den Zuweisun= 2 kommt das einfach daher, daß das
gen im vierten Schritt: Für
neue gleich dem alten mal ist, wohingegen das neue aus dem alten
durch Multiplikation mit = 2 entsteht. Die Gleichung 2 = 1 gilt
-te Potenz des alten ist, so daß seine
weiterhin, weil das neue die 2
-te Potenz gleich dem alten Wert von 2 ist; da das neue gleich ist,
folgt die Behauptung. Daß auch die dritte Schleifeninvariante erhalten
bleibt, folgt aus der Gültigkeit der zweiten.
und gehen zurück zum dritten Schritt.
r
HG ¤

F
q
j
E
¤ df
q q
r
F
q
0
B0
o
r
o
q
r
2
mod
o
mod
;H
B
L
L
q

0
q

@
2
. Nach
H
1
@
;G
lösen; die jeweiligen Lösungsmengen seien 1 2 und
dem chinesischen Restesatz kann er sich vier Elemente
mod
mit
1 2
mod
und
2
A kennt die Faktorisierung von ; nach dem Algorithmus aus dem
vorigen Paragraphen kann er also die Gleichungen
o
SHANKS schrieb außer seinem Buch Solved and unsolved problems in number theory über achtzig Arbeiten, vor allem auf dem Gebiet der algorithmischen Zahlentheomit
rie und der Primzahlverteilung, aber auch der Numerik. 1962 berechnete er
der für damals sensationellen Genauigkeit von 100 000 Dezimalstellen. Näheres findet man in seinem Nachruf in den Notices of the AMS vom August 1997, der unter
auch im Netz zu finden ist.
B
zwischen eins und
0
B wählt sich nun eine zufällige Zahl
deren Quadrat = 2 mod an A.
B
und schickt
Dazu wählt sich A zwei Primzahlen und die so groß sind, daß B das
Produkt
=
nicht mit einem Aufwand von nur wenigen Minuten
faktorisieren kann. ( und können also deutlich kleiner sein als bei
RSA, wo man mit Gegnern rechnen muß die monatelang rechnen.)
Dieses schickt er an B.
Mit Hilfe von quadratischen Resten läßt sich der Münzwurf so simulieren, daß beide den Ausgang überprüfen können und jeder mit der
gleichen Wahrscheinlichkeit gewinnt.
Stellen wir uns nun aber vor, A und B stehen nicht nebeneinander, sondern befinden sich an verschiedenen Orten und diskutieren per Telephon,
wer was machen soll. Auch hier könnte A wieder eine Münze werfen,
allerdings sieht jetzt nur A, wie sie zu Boden fällt; wenn er gewinnt,
muß B sehr viel Vertrauen in ihn haben, um das zu glauben.
A und B können sich nicht einigen, wer von ihnen eine dringend notwendige aber unangenehme Arbeit übernehmen soll. Also werfen Sie
eine Münze. Vorher entscheidet sich etwa A für Wappen“, B für Zahl“,
”
”
dann wirft A die Münze in die Luft. Sie mit Wappen nach oben auf den
Boden fällt, also hat A gewonnen.
a) Münzwurf per Telephon
o
DANIEL SHANKS (1917–1996) wurde in Chicago geboren, wo er zur Schule ging und 1937
einen Bachelorgrad in Physik der University of Chicago erwarb. Er arbeitete bis 1950
in verschiedenen Positionen als Physiker, danach als Mathematiker. 1949 begann er ein
graduate Studium der Mathematik an der University of Maryland, zu dessen Beginn er
der erstaunten Fakultät als erstes eine fertige Doktorarbeit vorlegte. Da zu einem graduate
Studium auch Vorlesungen und Prüfungen gehören, wurde diese noch nicht angenommen;
da er während seines Studiums Vollzeit arbeitete, dauerte es noch bis 1954, bevor er
alle Voraussetzungen erfüllte; dann wurde die Arbeit in praktisch unverändertet Form
akzeptiert. Erst 1977 entschloß er sich, eine Stelle an einer Universität anzunehmen; ab
dann bis zu seinem Tod war er Professor an der University of Maryland.
R
Zum Abschluß dieses Kapitels sollen kurz zwei Anwendungen quadratischer Reste vorgestellt werden:
§5: Anwendungen quadratischer Reste
Kap. 6: Quadratische Reste

Zahlentheorie SS 2007

o
R
2
o
L

q
U
P
PU
B kennt nun zwei Zahlen und , die beide das Quadrat haben.
Möglicherweise ist = ; in diesem Fall hat er keine neue Information
bekommen, und er hat verloren. Das gleiche gilt im Fall
mod ,
d.h. =
.
o
q
r
L
2

r
r

r
o

2
D
Ist aber =
, was mit 50%-iger Wahrscheinlichkeit eintritt, hat B
gewonnen und muß das nun gegenüber A beweisen.
zr

mod
=
folgen natürlich die entspreAus der Kongruenz 2
chenden Kongruenzen modulo und modulo ; es gibt daher Indizes
1 2 , so daß
mod und
mod . Falls sich A
genau für dieses Indexpaar entschieden hat, ist = ; falls er sich für
mod ,
das Paar ( ) mit = und = entschieden hat, ist
denn 1
2 mod und 1
2 mod .
o
r
B
o
L
B0
0
q
r
@
L
L

0
GÁÀ
r
; =
l
¿
¾=
D
DQ
2

HJÂ r
B L
r
B
V
¿ H
H2
L
¾
V
Q = L
G
G
0
2
Ã
¿
¾=
B=
0
V
Q =
r
Falls sich aber für ein Paar ( ) entschieden hat, in dem genau einer
der beiden Indizes gleich dem entsprechenden Index in (
) ist, sind
und modulo einer der beiden Primzahlen
kongruent, modulo
der anderen ist kongruent zu
. Um zu beweisen, daß dieser für ihn
günstige Fall eingetreten ist, kann B daher ggT(
) berechnen
und erhält einen der beiden Primfaktoren oder . (Der andere ist
ggT( +
).) Damit hat er
faktorisiert und schickt das Ergebnis
an A.
r

=
2
r B
0
2
o
o
r
=
Wenn B sich nicht an die Regeln hält und ein an A schickt, das kein
Quadrat modulo ist, merkt A dies bei der Berechnung der modularen
Quadratwurzeln; falls A ein schickt, dessen Quadrat von verschieden
ist, kann B dies leicht feststellen, denn wenn er verloren hat, muß =
oder =
sein. (Er kann natürlich auch 2 mod berechnen.)
q
q

o
r
o

2
r

Alte Konzerthallen waren zwangsläufig sehr hoch: Andernfalls wäre
die Luft während eines längeren Konzert bei voll besetztem Saal zu
b) Akustik von Konzerthallen
R
Da der Umgang mit den Additionstheoremen für trigonometrische Funktionen recht umständlich ist, schreibt man Wellen allerdings meist kommit der Maßgabe, daß nur der Realteil
plex in der Form ( ) =
Eine Welle hat eine räumliche wie auch zeitliche Periodizität. Zeitliche
periodische Funktionen sind beispielsweise Sinus und Kosinus; wie die
FOURIER-Analysis lehrt, läßt sich jede stückweise stetige zeitlich periodische Funktion (bis auf sogenannte Nullfunktionen) aus Sinus- und
Kosinusfunktionen zusammensetzen, so daß es reicht, solche Funktionen zu betrachten.
Der Einfachheit halber wollen wir uns eindimensionale Wellen beschränken und damit auch nur diffuse Reflektion in einer Richtung
betrachten, der Querrichtung des Konzertsaals.
Der Schall muß daher von der Decke reflektiert werden, darf die Ohren
der Zuhörer aber nicht von oben erreichen. Er sollte daher beispielsweise
möglichst diffus zu den Seitenwänden hin gestreut werden, so daß der
größte Teil der Energie die Zuhörer über die Seitenwände erreicht.
Eine mögliche Abhilfe bestünde darin, die Decken aus absorbierendem
Material zu bauen. Dem steht entgegen, daß in einem großen Konzertsaal aller Schall, der von der Bühne kommt, den Hörer auch wirklich
erreichen sollte: Ansonsten müßte der Schall aus Lautsprechern kommen und man könnte sich das Konzert genauso gut daheim per Radio
oder CD anhören.
Der Grund dafür ist intuitiv recht klar und wurde auch durch Messungen und Hörerbefragungen in einer Reihe von Konzertsälen experimentell bestätigt: Die Hörer bevorzugen Schall, der von den Seitenwänden
kommt und daher mit verschiedener Stärke bei den beiden Ohren eintrifft gegenüber Schall von oben, der beide Ohren mit gleicher Stärke
erreicht und somit keinen räumlichen Eindruck hinterläßt.
schnell verbraucht gewesen. Mit den Fortschritten der Lüftungstechnik
verschwand diese Notwendigkeit; dafür sorgten steigende Bau- und Heizungskosten für immer niedrigere Säle. Auf die Luftqualität hatte das
keinen nennenswerten Einfluß; die Akustik der Hallen allerdings wurde
deutlich schlechter.
Kap. 6: Quadratische Reste

zwischen null und
1 konstruieren, die allesamt die Kongruenz
2
mod
erfüllen. Er entscheidet sich zufällig für eine dieser
vier Möglichkeiten (dies entspricht dem Münzwurf) und schickt das
entsprechende =
an B.
Zahlentheorie SS 2007

PÆ Å
Ã
Ä
¤

R
È
Q
PÇ

È
Ã
¤É
H
G

P
P
cos
sin
sin

¤É
ÊË
P

ÊË

Auch die räumliche Periodizität läßt sich mit trigonometrischen oder
– besser – Exponentialfunktionen ausdrücken; hier schreiben wir entsprechend ( ) =
.
pP Í
Ì

r
Um einen räumlich und zeitlich periodischen Vorgang zu beschreiben,
kombinieren wir die beiden Ansätze und betrachten beispielsweise die
Funktion
(
)
(
)
.
( )=
=
ÏÆ f Ð
pP
Ã
pÍ
Æ
P Åf
Ã
Î
¤
r=
Î
Ñ
,
Å¤ Æ
2
r
Ô¤
É
Ó
Ò
É Z

die Ausbreitungsgeschwindigkeit der Welle ist; denn eine Änderung der
Zeit um
hat denselben Effekt wie eine Änderung des Orts um
.
2
Ñ
=
r=
=
¤
=
) nur ab von
Í
Wie man der zweiten Form ansieht, hängt (
was wir auch so interpretieren können, daß
Ô¤
K
¿Ó
Ó
É
Y
Y
¤
¿
x¿
¿Ó
É
Ñ
Ø
r
r
Ø
r
Ù
Ø
pP Í
Der Laufwegunterschied von sin entspricht einem Phasenfaktor
sin
. Wählen wir also die Phase im Nullpunkt als Referenz (die
wir in den zu ignorierenden Phasenfaktor der einfallenden Welle hineinziehen können), ist die Summe aller unter dem Winkel abgehenden
Ø
Ñ
xÓ
Z
Õ
Schallwellen breiten sich bei 20 C in Luft mit einer Geschwindigkeit
von etwa = 343 m/s aus; der hörbare Frequenzbereich beginnt bei
Ãf
Die Schallwellen die von zwei verschiedenen Punkten unter einem Winkel ausgehen haben, wie die Zeichnung zeigt, einen Laufwegunterschied von sin , wobei den Abstand der beiden Punkte bezeichnet.
¤É
In der räumlichen Dimension nimmt die Wellenlänge die Rolle der
zeitlichen Periode ein; dementsprechend muß hier = 2
gesetzt
werden. Diese Konstante wird als Wellenzahl bezeichnet.
Da es uns nur um den mittleren Schalldruck, nicht aber um seine Variation geht, können wir den -Term ignorieren und einfach mit der
arbeiten. Wir interessieren uns, wieviel Schall unter
Funktion
welchem Winkel reflektiert wird.
pP Í
Da Sinus und Kosinus die Periode 2 haben, müssen wir für eine Schwingung der Frequenz den Parameter gleich 2 wählen, denn dann
fallen 1 Perioden in das Intervall 0
1. Aus diesem Grund
wird = 2 als die Kreisfrequenz der Schwingung bezeichnet.
×
CHRISTIAAN HUYGENS (1629–1695) kam aus einer niederländischen Diplomatenfamilie. Dadurch und später
auch durch seine Arbeit hatte er Kontakte zu führenden europäischen Wissenschaftlern wie DESCARTES und
PASCAL. Nach seinem Studium der Mathematik und Jura arbeitete er teilweise auch selbst als Diplomat, interessierte sich aber bald vor allem für Astronomie und
den Bau der dazu notwendigen Instrumente. Er entwickelte eine neue Methode zum Schleifen von Linsen
und erhielt ein Patent für die erste Pendeluhr. Trotz des
französisch-niederländischen Kriegs arbeitete er einen
großen Teil seines Lebens an der Académie Royale des
Sciences in Paris, wo beispielsweise LEIBNIZ viel Mathematik bei ihm lernte. HUYGENS war ein scharfer
Kritiker sowohl von NEWTONs Theorie des Lichts als auch seiner Gravitationstheorie, die
er für absurd und nutzlos hielt. Gegen Ende seines Lebens beschäftigte er sich mit der
Möglichkeit außerirdischen Lebens.
r
ist, lassen sich auf diese Weise auch die Additionstheoreme auf einfache
Multiplikationen von Exponentialfunktionen zurückführen.
) = cos
Ñ
(
=
Bei einer Reflektion können wir nach HUYGENS annehmen, daß von
jedem Punkt der reflektierenden Fläche eine neue Welle ausgeht; ihre
Amplitude ist gleich der Amplitude der dort eintreffenden Welle mal
einem Reflektionsfaktor ( ), der im Idealfall gleich eins ist.
ÖG
=
Ñ
( + )
=
cos( + ) =
¿
beliebige komplexe Konstanten zuläßt,
+ sin als Realteile erhalten, und da
¿
lassen sich so, falls man für
alle Funktionen der Art cos
beispielsweise
R
= 16 Hz und kann bis zu etwa 20 kHz gehen. Die Wellenlängen, mit
denen wir es zu tun haben, variieren also zwischen etwa = 21 5 m und
= 1 75 cm. Der Kammerton mit 440 Hz hat eine Wellenlänge von
knapp 78 cm.
Kap. 6: Quadratische Reste

dieser Funktion physikalische Realität beschreibt. Aufgrund der EULERschen Formel
= cos + sin
Zahlentheorie SS 2007

R
;
r
Ø
WF
0
I
1
p
(
2
2
\ P If
Þ
7 a
f
7 a
f

Ø
r
Ú~Û
p
0
pP Í
2
=0
)
(
(
)
(
|
7
^
E
Z
If
pf
|
I
|
Wj
Z
ÙÜ
f r
×
)
)
.
r
Ú
f
WF
Ý
Wj
r
×
Ø
Z

0
I
×
7 a
f
Þ
f
0
2
I
p
2
7 a
f 7
E
pP
7 a
f
Þ
I
f
0
p
1
(2
7 a
f pP
Þ
(
2
)
Z
Þ
D

<
I
f
Z
MP Å
<
r
j

0
.
)2
<
1
4
( +1)
Z
7 a
f
=0
1
7
pP
7 a
f 7
pP
=
=1
4
7 a
=
7
pP I
7
pP I
=
=0
1
4
,
7
pP I
=0
4
k0
7 a
f
4
Für = 0 ist sowohl der Vorfaktor wie auch jeder der Summanden gleich
eins, wir erhalten also ingesamt . Für = 0 und
ist die Summe
aber gleich null, denn
.
7
pP I
=0
4
Die zweite Summe können wir schreiben als

2
2
7
p
pP I f
Þ
2
(
p
=0
1
=0
2
7
=0
1
)2

1
(
7 a
f 7
E
pP
=0
2
If
\ P If
Þ
1
2

1
p
=0
2
7
^ E
p
pf
If
\ P If
Þ
1
1
7 a
f
7 a
f
=0
1
^
=
1
2
=
( ) =
2
Die Summanden hängen nur ab von den Restklassen modulo der
alle diese
Indizes und , und für festes durchläuft mit auch
Restklassen. Daher können wir dies weiter ausrechnen als
=0
2
2
P II f
Þ
p
=0
1
=0
)

7f
E

1
(
=0
2
0
Bei den sogenannten SCHROEDER-Reflektoren werden die Abstände zur
Nullinie so gewählt, daß die Längen 2 gleich den quadratischen Resten modulo einer ungeraden Primzahl sind, die Decke ist also treppenförmig aufgebaut, wobei die -te Stufe eine Höhe proportional zu
2
mod hat. Das obige FOURIER-Integral läßt sich dann approximieren
I
7 a
f
7 a
f
=0
2
1
I
pf
pP
Þ
=
¢0
1
1
1
7
Eine Möglichkeit dazu sind das, was die Physiker als ReflektionsPhasengitter bezeichnen: Die Decke besteht aus einem Material mit konstantem, möglichst großem Reflektionsgrad, aber die Höhe der Decke
variiert stufenförmig mit dem Querschnitt. Wenn die Höhe der einer
festen Stelle um den Betrag über der Nullinie liegt, muß der dort reflektierte Schall gegenüber dem an der Nullinie reflektierten den zusätzlichen Weg 2 zurücklegen; dies kann man formal so ausdrücken, daß man
einfügt.
in der Reflektionsfunktion ( ) den zusätzlichen Faktor 2
j
Ý
Z
Wenn wir den Schall möglichst gleichmäßig verteilen wollen, müssen
wir die Funktion daher so wählen, daß ihre FOURIER-Transformierte
möglichst konstant ist.
F

1
)
1
E
das ist die sogenannte FOURIER-Transformierte von ( ), ausgewertet
im Punkt = sin .
I
7 a
f
=0
P II f
Þ
¢0
1
(

sin
¢0
K
7
E
=

1
2
7f
PI
Þ
7 a
f
f
E
( )
Ý
Þ
1
PI
¢0
I
2
ÆE
=
P II f
Þ

( ) =
2
7 a
f
Ihr Betragsquadrat ist
2
P II f
Þ
0
7 a
f
=0
2
E
7
sin
1
7
( )=
1
durch die diskrete FOURIER-Transformierte
Kap. 6: Quadratische Reste

Strahlen gleich
Zahlentheorie SS 2007
TR
Þ

Þ
Þ
Þ
Þ
É
|
|
0
I

I
I

Zahlentheorie SS 2007

pP 7
Þ
Ý

Wj
F
Die obige Abbildung zeigt den Querschnitt über ein solches Phasengitter,
hier für = 23. Entsprechende SCHROEDER-Reflektoren zu den verschiedensten Primzahlen gibt es in vielen Konzertsälen und Opernhäusern,
oft allerdings verborgen hinter schalldurchlässigem Material.
, wir haben also die gewünschte Diffusionseigenschaft.
WF
0
für alle
die Summe ändert also ihren Wert nicht, wenn man sie mit der von eins
multipliziert, und damit muß sie verschwinverschiedenen Zahl 4
den. Somit ist
1
2
( ) = 0
=1

R
R
0K
MANFRED ROBERT SCHROEDER wurde 1926 in Deutschland geboren. Er studierte Physik an der Universität
Göttingen, wo er 1952 promovierte. Danach arbeitete er bei den AT & T Bell Laboratories in Murray Hill, New Jersey auf dem Gebiet der Akustik;
diese Arbeit führte unter anderem zu 45 Patenten.
1969 wechselte er als Professor für Akustik an die
Universität Göttingen, wo er bis zu seiner Emeritierung lehrte. Er schrieb mehrere Bücher, unter anderem
Number theory in Science and Communication und Fractals, Chaos, Power Laws. Der
Inhalt dieses Abschnitts ist kurz im ersten dieser Bücher dargestellt sowie ausführlich in
M.R. SCHROEDER: Binaural dissimilarity and optimum ceilings for concert halls: More
lateral sound diffusion, J. Acoust. Soc. Am. 65 (4), 1979
0
finden
Wenn man alle Primzahlen kleiner oder gleich einer Zahl
möchte, schreibt man zunächst die Zahlen von Eins bis in eine Reihe.
Das klassische Verfahren zur Bestimmung aller Primzahlen unterhalb
einer bestimmten Schranke geht zurück auf ERATOSTHENES im dritten
vorchristlichen Jahrhundert. Es funktioniert folgendermaßen:
§1: Das Sieb des Eratosthenes
Kapitel 7
Primzahlen
o
¬
©
®á
¼³
¼ ¦ §
àº  §
±ª
¹ ß»
¦§
¦
¦
ª
Auch die echten Vielfachen der Drei sind keine Primzahlen, werden also
durchgestrichen. Auch dazu streichen wir wieder einfach jede dritte Zahl
aus der Liste durch, unabhängig davon, ob sie bereits durchgestrichen ist
Die erste nichtdurchgestrichene Zahl der Liste ist dann die Drei. Sie
muß eine Primzahl sein, denn hätte sie einen von eins verschiedenen
kleineren Teiler, könnte das nur die Zwei sein, und alle Vielfachen von
zwei (außer der Zwei selbst) sind bereits durchgestrichen.
Die echten Vielfachen von zwei sind natürlich keine Primzahlen; also
streichen wir sie durch. Dazu müssen wir nicht von jeder Zahl nachprüfen, ob sie durch zwei teilbar ist, sondern wir streichen einfach nach
der Zwei jede zweite Zahl aus der Liste durch.
Ansonsten ist eine Primzahl eine Zahl, die außer der Eins und sich selbst
keine Teiler hat. Damit muß zwei eine Primzahl sein.
Eins ist nach Definition keine Primzahl – für griechische Mathematiker
wie EUKLID war die Eins nicht einmal eine Zahl. Also streichen wir die
Eins durch.
o

R
S
Wir gehen aus von einer Liste 1
der ersten Primzahlen; dabei
wählen wir so, daß die Chancen auf nicht durch teilbare Zahlen im
Intervall [
] noch einigermaßen realistisch sind, d.h. wir gehen bis zu
einer Primzahl , die ungefähr in der Größenordnung der Intervallänge
liegt.
0
??
=?
j
H
0
r

d
G=
G
H
r

¢r

=
2
Nun können wir mit jeder der Primzahlen sieben wie im klassischen
Fall; wir müssen nur wissen, wo wir anfangen sollen.
d
0
r
0
r
r

=
r
¢r
Y
0
r
Dazu berechnen wir für jedes den Divisionsrest = mod . Dann
ist
durch teilbar, liegt allerdings nicht ims Intervall [
]. Die
erste Zahl, die wir streichen müssen, ist also
+ , und von da
an streichen wir einfach, ohne noch einmal dividieren zu müssen, wie
gehabt jede -te Zahl durch.
P
0
G
G=
P
0
j
0
j2
o
P
G
j2
P
P
P
0
o
o
0
Y
P
G
r
m
0
0
Was nach Durchgängen noch übrigbleibt, sind genau die Zahlen
], die durch keine der Primzahlen teilbar sind. Sie können
aus [
zwar noch größere Primteiler haben, aber wichtig ist, daß wir mit mini] gesehen haben,
malem Aufwand für den Großteil aller Zahlen aus [
daß sie keine Primzahlen sind. Für den Rest brauchen wir andere Verfahren, aber die sind allesamt erheblich aufwendiger als ERATOSTHENES,
so daß sich diese erste Reduktion auf jeden Fall lohnt.
P
0
j H
G=
G=
L
P
7G
f
G
0
Falls für eine natürliche Zahl 1
kann keine Primzahl sein.
1
1 mod ,
0
1 gilt
Nach dem kleinen Satz von FERMAT gilt für jede Primzahl und jede
1
nicht durch teilbare Zahl die Formel
1 mod . Im Umkehrschluß folgt sofort:
§2: Der Fermat-Test
H
0
Damit lassen sich leicht von Hand alle Primzahlen bis hundert finden, mit
etwas Fleiß auch die bis Tausend, aber sicher nicht die hundertstelligen.
G
0=
d
P H
ERATOSTHENES (Ερατοσθένες) wurde 276 v.Chr. in
Cyrene im heutigen Lybien geboren, wo er zunächst
von Schülern des Stoikers ZENO ausgebildet wurde. Danach studierte er noch einige Jahre in Athen, bis ihn 245
der Pharao PTOLEMAIOS III als Tutor seines Sohns nach
Alexandrien holte. 240 wurde er dort Bibliothekar der
berühmten Bibliothek im Museion.
Heute ist er außer durch sein Sieb vor allem durch seine Bestimmung des Erdumfangs bekannt. Er berechnete aber auch die Abstände der Erde von Sonne und
Mond und entwickelte einen Kalender, der Schaltjahre
enthielt. 194 starb er in Alexandrien, nach einigen Überlieferungen, indem er sich, nachdem er blind geworden
war, zu Tode hungerte.
Y0
=
0
0
Für das Sieb des ERATOSTHENES, angewandt auf die Zahlen von Eins
bis heißt das, daß wir aufhören können, sobald die erste nichtdurchgestrichene Zahl ein Quadrat 2
hat; denn dann können wir sicher
sein, daß jede zusammengesetzte Zahl
bereits einen kleineren
Primteiler als hat und somit bereits durchgestrichen ist. Die noch nicht
durchgestrichenen Zahlen in der Liste sind also Primzahlen.
,
Y
so können wir ERATOSTHENES auf dieses Intervall fast genauso anwen]:
den wie gerade eben auf das Intervall [1
G=
H
o
Wie lange müssen wir dieses Verfahren durchführen? Wenn eine Zahl
Produkt zweier echt kleinerer Faktoren
ist, können und nicht
beide größer sein als
: Sonst wäre schließlich =
größer als .
Also ist einer der beiden Teiler
kleiner oder gleich
, so daß
mindestens einen Teiler hat, dessen Quadrat kleiner oder gleich ist. Damit ist eine zusammengesetzte Zahl durch mindestens eine Primzahl
teilbar mit 2
.
0
Genauso geht es weiter mit der Fünf usw.; nach jedem Durchgang durch
die Liste muß offenbar die erste noch nicht durchgestrichene Zahl eine
Primzahl sein, denn alle Vielfache von kleineren Primzahlen sind bereits
durchgestrichen, und wenn eine Zahl überhaupt einen echten Teiler hat,
dann hat sie natürlich auch eine Primzahl als echten Teiler.
H
Trotzdem kann uns ERATOSTHENES helfen, zumindest zu zeigen, daß gewissen Zahlen nicht prim sind: Wenn wir Primzahlen in einem Intervall
[
] suchen, d.h. also Primzahlen mit
Kap. 7: Primzahlen

R
oder nicht. (Alle durch sechs teilbaren Zahlen sind offensichtlich schon
durchgestrichen.)
Zahlentheorie SS 2007

0
DL
7G
f
Y0
Y
2
G
0

R
20
â

ãf
1 mod
D
=
20
,
â
z
`
2
L
_f
`
5
â
â
L
ãf
feststellt.
â
m

â
|
= 22 + 1 als die -te FERMAT-Zahl, da
(Allgemein bezeichnet man
FERMAT 1650 behauptet hatte, er könne beweisen, daß alle diese Zahlen
prim seien. 0 = 3 1 = 5 2 = 17 3 = 257 und 4 = 65 537 sind
in der Tat prim, aber 1732 zeigte EULER, daß 5 durch 641 teilbar ist.
für 5
32 sowie viele andere
Inzwischen ist bekannt, daß
Werte von zusammengesetzt ist; FERMATsche Primzahlen mit
4
sind nicht bekannt.
5
â I
â
â
0
L
Y
Y
â
â
=
0
|
If G
|
m
0
G=
If G
â
Y
Y
|
=
â I
=
|
|
|
G
G
|
G
1 mod 323 aber 323 = 17 19 .
0
Bei großen Zahlen mit nur wenigen Primfaktoren ist die Chance, ein
solches zu erwischen, allerdings recht klein; wenn dies die einzigen
Gegenbeispiele sind, wird uns der FERMAT-Test also fast immer in die
Irre führen.
|
18322
2
Es kann nicht vorkommen, daß für eine zusammengesetzte Zahl und
1
alle 1
gilt
1 mod , denn ist ein Primteiler von ,
1
so ist für jedes Vielfache von natürlich auch
durch teilbar,
kann also nicht kongruent eins modulo des Vielfachen von sein.
Zumindest für die mit ggT(
)
1 kann die Gleichung also nicht
erfüllt sein.
0
|
So einfach es ist, auf diese Weise eine Zahl als zusammengesetzt zu
erkennen, so unmöglich ist es, umgekehrt so zu beweisen, daß sie prim
ist. So ist beispielsweise
0
wie man durch 32-faches Quadrieren modulo
,
0
5
0
2 863 311 531 mod
7G
f
32
L
= 32
G
1
fG
5
DL
3
0
Für FERMAT-Zahlen läßt sich also recht einfach entscheiden, ob sie prim
sind oder nicht; bei sonstigen Zahlen hat man das Problem, daß zunächst
1 faktorisiert werden muß. Falls Primfaktor eines sicheren RSAModuls werden soll, im Idealfall also über dreihundert Dezimalstellen
haben sollte, ist dies jedoch unrealistisch; hier braucht man alternative
Verfahren.
2
überprüfen: Hier ist zum Beispiel
0
0
= 22 + 1 = 232 + 1 = 2 863 311 531
G
5
`
7
Zur Not auch mit dem Taschenrechner läßt sich
2

keine Primzahl.
0È
Beispiel: Ist = 216 + 1 prim? Hier hat
1 = 216 nur die Zwei als
Primteiler; nach dem Satz ist also prim, falls wir eine Zahl finden
1
1 mod , aber ( 1) 2
1 mod . Für = 2
können, so daß
sind beide Potenzen eins, für = 3 aber ist die zweite gleich 1. Somit
ist eine Primzahl.
0È
2
67
0
G
also ist auch
B
0
,
0
2
{
k0
2
67
G DL
0 = ]
7
fG
Beweis: Offensichtlich muß dann die Ordnung von in (
) gleich
1 sein. Wie wir aus Kapitel 1, 7 wissen, hat (
) die Ordnung ( ), und für jede zusammengesetzte Zahl folgt aus der dort
angegebenen Formel leicht, daß ( )
1 ist. Also muß prim
sein.
0
81 868 480 399 682 966 751 mod
7G
f
0
13
0
9 6
x9 0 9
x9 0
G
1
1
zwar
1 mod , aber für
1 mod , so ist eine Primzahl.
L
6
67
Satz: Ist für zwei natürliche Zahlen
1 ( 1)
jeden Primteiler von
0
Ein anderes Beispiel, daß sich leicht mit einem Computeralgebrasystem
nachrechnen läßt, wäre 67 = 267 1. Hier ist
die Zahl ist also nicht prim. (Das Nachrechnen“ ist bei dieser 315 653”
stelligen Zahl natürlich keine Übungsaufgabe für Taschenrechner: 1988
brauchte eine Cray X-MP dazu 82 Stunden, eine Cray-2 immerhin noch
zehn; siehe Math. Comp. 50 (1988), 261–263. Die anscheinend etwas
weltabgewandt lebenden Autoren meinen, dies sei die teuerste bislang
produzierte 1-Bit-Information.)
1) 2
G
Zumindest theoretisch läßt sich der FERMAT-Test allerdings auch ausbauen zu einem echten Primzahlbeweis:
z
20
.
â
20
G
3(
= 1 mod
1 mod 323: Die
L
Nachrechnen zeigt, daß
ãf
1
G
20
Y
3
G z
323 mit 322
1 und = 18.

Immerhin gibt es nicht viele
einzigen Möglichkeiten sind =
Kap. 7: Primzahlen
R
Beispiel: Ist 20 = 22 + 1 eine Primzahl? Falls ja, ist nach dem kleinen
Satz von FERMAT insbesondere
Zahlentheorie SS 2007

|
G
K
L

R
G
|
|
L
If G
|
G=
|
0
0
2P
P
|
2
If G
0
ef P
0
e P
0È
|
L
Q
9 |
e P P e P
0 e x 0
d P 0 9
}
2
ef P P
G
0 0
| L
2
If G
2P
|
m
0

P
K
ç Y
0 æ
7e
=

P
0
0
P
L
P
0
0
P
L
7 ef
P
0
P
0
0
P 0
6
2P
G
2P
DL
P
9P
x9 0
|
2
ä
j
3
1080
8 46 10
10160
1 81 10
19
5
1090
1 70 10
10180
2 76 10
23
6
10100
2 77 10
10200
3 85 10
27
8
Selbst wenn wir noch mit 1024-Bit-Moduln arbeiten und somit etwa
155-stellige Primzahlen brauchen, liegt also die Fehlerwahrscheinlichkeit bei nur etwa 10 15 ; falls man sie erniedrigen möchte, testet man
einfach mit mehreren zufällig gewählten Basen und hat dann etwa bei
zwei verschiedenen Basen eine Wahrscheinlichkeit von höchsten etwa 10 30 , daß beide Tests das falsche Ergebnis liefern. Dies sollte für
die meisten Anwendungen genügen: Die Bundesnetzagentur empfiehlt
bei probabilistischen Primzahltests eine Irrtumswahrscheinlichkeit von
höchsten 2 80 8 27 10 25 zuzulassen, die hier deutlich unterschritten
wäre. Ab etwa zweihundertstelligen Primzahlen reicht sogar bereits ein
einziger FERMAT-Test.
ç
B0
|
B
|
2
B
0
2
2
B0
2
0
B
0
2
B
2
0
B
2
2
f
f
¤
¤
¤
|
Einige Leute reden bei Zahlen, die einen FERMAT-Test bestanden haben,
von wahrscheinlichen Primzahlen“. Das ist natürlich Unsinn: Eine Zahl
”
=
109
f
f
fK
73
=
(Sie geben natürlich auch eine allgemeine Formel an, jedoch ist diese
zu grausam zum Abtippen.)
K
für = 1 oder 294409 = 37
f
19
ç Y
0 æ
=
=
13
K
K
1729 = 7
=
10140
1 08 10
K
f
Als Beispiel können wir ein Produkt = (6 + 1)(12 + 1)(18 + 1) mit
drei primen Faktoren betrachten, z.B.
f
15
f
12
1070
2 87 10
=
10120
5 28 10
2
K
=
1 als auch durch
1 teilbar sein, also müßten
sowohl durch
1 und
1 durcheinander teilbar sein, d.h. = , was wir bereits
augeschlossen haben.
1060
7 16 10
geben folgende obere Schranke für die Fehlerwahrscheinlichkeit :
SU HEE KIM, CARL POMERANCE: The probability that a Random
Probable Prime is Composite, Math. Comp. 53 (1989), 721–741
f
K
1)
Für große Zahlen wird es zunehmend unwahrscheinlich, daß sie auch
nur für ein den FERMAT-Test bestehen, ohne Primzahl zu sein. Rechnungen von
G
=
f
1) + (
¤
0
K
=
1=(
|
2 ¤~=
f
K
1=
¤
=
f
=
¤
¤
K
3 ist. Wäre
¤
Die kleinste CARMICHAEL-Zahl ist 561 = 3 11 17; wie man inzwischen weiß, gibt es unendlich viele CARMICHAEL-Zahlen, auch wenn sie
ziemlich selten sind.
|
K
f
Schließlich müssen wir uns noch überlegen, daß
nur das Produkt zweier Primzahlen, müßte
¤
K
æ
1 kann dies aber nicht für alle zu primen der Fall sein,
Für
denn beispielsweise ist ( + 1)
1 mod 2 , so daß nicht gleichzeitig
1
2
( + 1)
1 mod
sein kann, denn die beiden Potenzen unterscheiden sich um den Faktor + 1 1 mod 2 . Daher muß = 1 sein,
und da es in (
) Elemente der Ordnung
1 gibt, ist
1 ein
Teiler von
1.
¤K
1
Beweis: Die Primzerlegung von sei
. Falls
1 mod
=1
1
ist, haben wir erst recht
1 mod
für jedes . Andererseits
wissen wir, daß die Ordnung von in
die Gruppenordnung
1
( )=
(
1) teilt, außerdem muß sie
1 teilen. Damit kann
1
sie auf keinen Fall ein Teiler von
sein, denn das ist ein Teiler
von . Also muß sie ein Teiler von
1 sein.
¤
Lemma: Eine CARMICHAEL-Zahl ist ein Produkt von mindestens drei
paarweise verschiedenen Primzahlen ; für jede davon ist
1 ein
Teiler von
1.
¤
ROBERT DANIEL CARMICHAEL (1879–1967) war ein amerikanischer Mathematiker, der
unter anderem Bücher über die Relativitätstheorie, über Zahlentheorie, über Analysis und
über Gruppentheorie veröffentlichte. Ab 1915 lehrte er an der University of Illinois.

für = 6. Hier ist
1 = 1296 3 + 396 2 + 36 = 36 (36 2 + 11 + 1)
offensichtlich durch 6 12 und 18 teilbar, ist also eine CARMICHAELZahl.
Kap. 7: Primzahlen
R
Definition: Eine natürliche Zahl
heißt CARMICHAEL-Zahl, wenn
sie keine Primzahl ist, aber trotzdem für jede natürliche Zahl mit
1
ggT(
) = 1 gilt:
1 mod .
Zahlentheorie SS 2007

å
å
¤
å
å

R
0
0 I
0
G
2
0
L
7G
f
0
Andernfalls quadrieren wir das Ergebnis bis zu -mal modulo . Falls
dabei nie eine Eins erscheint, folgt nach FERMAT, daß zusammenge1) verschiedene
setzt ist. Falls vor der ersten Eins eine von 1 (bzw.
Zahl erscheint, folgt das auch, denn im Körper
hat die Eins nur die
beiden Quadratwurzeln 1. In allen anderen Fällen erfahren wir nicht
mehr als bei FERMAT.
|
0
0
0
2
5 7
2
z
0
I
1 = 2
mit einer
Schritt 0: Wähle ein zufälliges , schreibe
ungeraden Zahl und berechne =
mod . Falls dies gleich Eins
ist, endet der Algorithmus und wir konnten nicht zeigen, daß eine
zusammengesetzte Zahl ist; sie kann prim sein.
0

2
0
G H
G

H
0
H
0
0
: Falls
1 mod , endet der Algorithmus
Schritt 1
und wir können nicht ausschließen, daß prim ist. Falls = 1 ist (was
frühestens im zweiten Schritt der Fall sein kann), ist zusammengesetzt
und der Algorithmus endet. Andernfalls wird durch 2 mod ersetzt
und es geht weiter mit Schritt + 1.
Q
L
Y
2
|
Y
Q =
±î ¯
¨
éí
¹ ¨³
±²
®ì
ëé ³«
® »¬
é° ß
½ ¨²è
¬
® «è
¼
¼ ³è §
¨¬
¹ ¨¬ê
ª¨ §
ª³¦§
¦
¦
Anscheindend wurde der Test von MILLER und RABIN bereits 1974, also
vor MILLERs Veröffentlichung, von SELFRIDGE verwendet; daher sieht
man gelegentlich auch die korrektete Bezeichnung Test von MILLER,
RABIN und SELFRIDGE.
§
H
H
0
Q
Schritt + 1: Der Algorithmus endet mit dem Ergebnis, daß zusammengesetzt ist.
L
MICHAEL O. RABIN wurde 1931 in Breslau geboren.
Die Familie wanderte nach Israel aus, wo er an der
hebräischen Universität von Jerusalem Mathematik studierte. Nach seinem Diplom 1953 ging er nach Princeton, wo er 1957 promovierte. Seit 1958 lehrt er an der
hebräischen Universität, wo er unter anderem auch Dekan der mathematischen Fakultät und Rektor war. Seit
1983 ist er zusätzlich Inhaber des THOMAS J. WATSONLehrstuhls für Informatik an der Harvard University.
Seine Forschungen, für die er u.a. 1976 den TURINGPreis erhielt, beschäftigen sich mit der Komplexität mathematischer Operationen und der
Sicherheit von Informationssystemen. Seine home page in Harvard ist zu finden unter
¬
±é ³
é©
® á
¼
³è §
± ²ª©è §
²¦ §
¦
¦
Algorithmisch funktioniert der Test also folgendermaßen:
G
GARY L. MILLER entwickelte diesen Test 1975 im Rahmen seiner Dissertation (in Informatik) an der Universität von Berkeley. Dabei ging es ihm nicht um einen
probabilistischen Test, sondern um einen Test, der immer die richtige Antwort liefert. Er konnte zeigen, daß
dies hier beim Test von hinreichend vielen geeigneten
Basen der Fall ist vorausgesetzt die bis heute immer
noch offene verallgemeinerte RIEMANN-Vermutung ist
richtig. Er lehrte später zunächst einige Jahre an der
University of Waterloo, inzwischen an der Carnegie
Mellon University. Seine späteren Arbeiten stammen
hauptsächlich aus dem Gebiet der rechnerischen Geometrie.
K
Der Test von MILLER und RABIN ist eine etwas strengere Version des
Tests von FERMAT: Um zu testen, ob eine Primzahl sein kann, schreiben wir
1 zunächst als Produkt 2 einer Zweierpotenz und einer
ungeraden Zahl; sodann berechnen wir
mod . Falls wir das Ergeb1
nis eins erhalten, ist erst recht
1 mod , und wir können nicht
folgern, daß zusammengesetzt ist.
Hätten wir allerdings mit = 87 gearbeitet, hätten wir im nullten Schritt
87123 1 mod 247 berechnet und hätten 247 = 13 19 nicht als zusammengesetzt erkannt.
L
§3: Der Test von Miller und Rabin
G
Beispiel: Ist 247 eine Primzahl? Wir wählen = 77, und da 77246 mod
247 = 1 ist, können wir mit FERMAT nicht ausschließen, daß 247 prim ist.
Da aber 77123 mod 247 = 77 ist, sagt uns der Algorithmus von MILLER
und RABIN im zweiten Schritt, wenn wir 772 1 mod 247 betrachten,
daß die Zahl zusammengesetzt sein muß.
Kap. 7: Primzahlen
TR
ist entweder sicher prim oder sicher zusammengesetzt; für Wahrscheinlichkeiten gibt es hier keinen Spielraum. Besser ist der ebenfalls gelegent
zu höherende Ausdruck industrial grade primes“, also Industrieprim”
”
zahlen“, der ausdrücken soll, daß wir zwar nicht bewiesen haben, daß
die Zahl wirklich prim ist, daß sie aber für industrielle Anwendungen
gut genug ist.
Zahlentheorie SS 2007

|
0

¼ñ
ð ²©»
¹»
¼ ³ï
®± ¯
é° ß
¨²
®½ è
¼
è
±³ §
¹ ° è¯ §
¨
©
´
µ¼ ñ
ò±
±é ¨
°
¼³
§
MANINDRA AGRAWAL, NEERAJ KAYAL, NITIN SAXENA: PRIMES
is in , Annals of Mathematics 160 (2004), 781-793.
ó
Selbstverständlich war dies nicht der erste Primzahltest, der deutlich
schneller als Probedivisionen zeigt, ob eine gegebene Zahl prim ist oder
nicht; es ist auch bei weitem nicht der schnellste solche Test. Er hat aber
gegenüber anderen solchen Tests zwei Besonderheiten:
1. Zu seinem Verständnis ist – nach einigen in der letzten Zeit gefundenen Vereinfachungen –nur elementare Zahlentheorie notwendig.
2. Es ist der bislang einzige Test, von dem man beweisen kann, daß
seine Laufzeit für -stellige Zahlen durch ein Polynom in begrenzt
werden kann.
|
|
®®
¯
®é á
±ö¯¦ §
²ª §
³¨»
³
¹ «©
¹°
° »ô
beschränkt, durch eine vergleichbare Schranke abgeschätzt werden
können, und natürlich sind die Zahlen, mit denen wir es üblicherwei-
®ª
dem dieser Paragraph im wesentlichen folgt, argumentiert SHOUP, daß
alternative Algorithmen, so man sich auf Zahlen von weniger als 2256 Bit
VICTOR SHOUP: A computational Introduction to Number Theory
and Algebra, Cambridge University Press, 2005,
é ¨¯
º ¨ß
® á
¼
ª³è §
±¹ ¨ §
°¨
©¦§
¦
¦
®®
° »ô
¹°
NITIN SAXENA wurde 1981 geboren. Er erhielt 2002 seinen Bachelor of Technology und 2006 seinen PhD bei
MANINDRA AGRAWAL am Indian Institute of Technology in Kanpur. Während der Arbeit an seiner Dissertation über die Anwendung von Ringhomomorphismen
auf Fragen der Komplexitätstheorie besuchte er jeweils
ein Jahr lang die Universitäten Princeton und Singapur.
Derzeit arbeitet er als Postdoc in der Gruppe Quantum
Computing and Advanced Systems Research am Centrum voor Wiskunde en Informatica in Amsterdam. Sein
Interesse gilt für algorithmischen Verfahren der Algebra
und Zahlentheorie sowie Fragen der Komplexitätstheorie.
®
Für uns ist vor allem der erste Punkt wichtig; der zweite ist zwar ein für
Komplexitätstheoretiker sehr interessantes Ergebnis, hat aber keinerlei
praktische Bedeutung: Im Buch
NEERAJ KAYAL wurde 1979 geboren. Er erhielt 2002
seinen BTech und 2006 seinen PhD bei MANINDRA
AGRAWAL am Indian Institute of Technology in Kanpur. Derzeit arbeitet er am Institute for Advances Study in Princeton, wo er bereits im akademischen Jahr
2003/2004 als visiting student research collaborator
war. Neuere Arbeiten beschäftigen sich mit der Komplexität des Isomorphieproblems bei endlichen Ringen
sowie der Lösbarkeit von bivariaten Polynomgleichungen über endlichen Körpern.
®¨
¼¬
±¯
¨¯
® ª©
ª¬
®³
± è¯ §
¨²
ºõ° §
±± §
ª³
²¦§
¦
¦
®®
° »ô
¹°
Im August 2002 stellten MANINDRA AGRAWAL, NEERAJ KAYAL und
NITIN SAXENA, zwei Bachelor-Studenten am Indian Institute of Technology in Kanpur und ihr Professor, einen Primzahltest vor, der ebenfalls
auf dem kleinen Satz von FERMAT beruht, aber (natürlich auf Kosten eines erheblich größeren Aufwands) immer die richtige Antwort liefert;
er ist inzwischen erschienen in
§4: Der Test von Agrawal, Kayal und Saxena
R
R
MANINDRA AGRAWAL erhielt 1986 seinen BTech und
1991 seinen PhD in Informatik am Indian Institute of
Technology in Kanpur, wo er –abgesehen von Gastaufenthalten in Madras, Ulm, Princeton und Singapur –
seither als Professor lehrt. Seine Arbeiten befassen sich
hauptsächlich mit der Komplexität von Schaltungen und
von Algorithmen. Für die Arbeit mit KAYAL und SAXENA erhielt er gemeinsam mit diesen unter anderem den
GÖDEL-Preis 2006 für die besten Zeitschriftenveröffentlichung auf dem Gebiet der Theoretischen Informatik.
Kap. 7: Primzahlen
uR
Der amerikanische Mathematiker JOHN L. SELFRIDGE
promivierte 1958 an der University of California in Los
Angelos. Bis zu seiner Emeritierung lehrte er an der
Northern Illinois University. Seine Arbeiten befassen
sich vor allem mit der analytischen sowie der konstruktiven Zahlentheorie. Vierzehn davon schrieb er mit PAUL
} S.
ERDO
Zahlentheorie SS 2007

S
R
÷
m
l
o
G
|
|
G
Iø
IG
ø
1|
ù
If
a
P
.
x9
P Iø f
Iø
ø
G
Q
P
IG
IG
Q
Y
|
|
G
IG
2
1|
ù
|
|
Q
Y
|
|
j|=
j
[
6
|
2
K
KK Q
2
|
Q
|
|
|
m
j|=
x9 j
Dies geschieht einfach dadurch, daß man die Zahlen = 2 3
allesamt durchprobiert, bis zum ersten mal eine der beiden Bedingungen
erfüllt ist. Die Bedingung über die Ordnung der Restklasse von in
(
) prüft man nach, indem man nacheinander ihre Potenzen ausrechnet, bis man entweder eine Eins gefunden hat oder aber der Exponent
größer als 4 ( )2 ist.
j
x9
|
Umgekehrt sei eine zusammengesetzte Zahl und ein Primteiler
von . Genauer sei =
mit einer zu teilerfremden Zahl .
Dann ist der Zähler von
genau durch
teilbar, denn die Faktoren
1)
(
1) sind allesamt teilerfremd zu , und der Nenner
(
|
2. Schritt: Finde die kleinste natürliche Zahl
1 mit der Eigenschaft,
daß entweder ggT(
) 1 ist oder aber ggT(
) = 1 ist und mod
in (
) eine größere Ordnung als 4 ( )2 hat.
m
durch teilbar, da Faktor des Zählers, nicht aber des Nenners ist.
Somit verschwinden in
alle diese Binomialkoeffizienten, und die
Gleichung aus dem Satz ist bewiesen.
keine Potenz einer anderen natürlichen
|
Das läßt sich beispielsweise dadurch bewerkstelligen, daß man die Quadratwurzel, Kubikwurzel usw. von soweit ausrechnet bis man erkennt,
daß es sich um keine natürliche Zahl handelt. Der ungünstigste Fall ist
offenbar der, daß eine Zweierpotenz sein könnte; man muß also bis
zur [log2 ]-ten Wurzel gehen.
1. Schritt: Stelle sicher, daß
Zahl ist.
sei die zu testende natürliche Zahl und ( ) = [log2 ] + 1 die Anzahl
ihrer Binärziffern.
|
Für eine Primzahl gilt nach dem kleinen Satz von FERMAT in
die
Gleichung
= . Außerdem ist für 1
1 der Binomialkoeffizient
(
1) (
+ 1)
=
!
=1
x9
|
1
|
+
|
Konkret geht ihr Algorithmus folgendermaßen vor:
2
+
|
F
[
|
+ ) =
x9
dø
|
(
0
IG
ø
Beweis: Nach dem binomischen Lehrsatz ist
p
j
+ .
^ 7
\I
F
+ ) =
|
|
(
0
In dieser Form führt der Satz allerdings noch nicht zu einem praktikablen Primzahltest: Das Ausmultiplizieren von ( + ) führt schließlich
auf + 1 Summanden, der Aufwand ist also proportional zu und damit vergleichbar damit, daß wir für jede natürliche Zahl 1
nachprüfen, ob ohne Rest durch
teilbar ist. Die wesentliche neue
Idee von AGRAWAL, KAYAL und SAXENA besteht darin zu zeigen, daß
es bereits reicht, Gleichungen der im Satz genannten Art modulo einem
geeigneten Polynom
1 mit einem relativ kleinen Grad nachzuprüfen.
^ 7
\I
| k
1 sei eine natürliche Zahl und
sei dazu teilerfremd.
Satz:
ist genau dann prim, wenn im Polynomring über
gilt:
0
7G
k
Die Grundidee des Algorithmus steckt im folgenden
Iøf
ø 7
Im folgenden wird es daher nur um eine mathematische Betrachtung des
Algorithmus von AGRAWAL, KAYAL und SAXENA gehen; für einen (kurzen und elementaren) Beweis der Komplexitätsaussage sei beispielsweise
auf das zitierte Buch von SHOUP verwiesen.
pf
(2256 liegt knapp über 1077 ; derzeitige Schätzungen für die Anzahl der
Nukleonen im Universum liegen bei etwa 1080 . Damit ist klar, daß
kein Computer, der mit irgendeiner Art von heute üblicher Technologie
arbeitet, je eine solche Zahl speichern kann, geschweige denn damit
rechnen.)
R
IG
1
teilbar, nicht
ist genau durch teilbar. Somit ist
zwar durch
aber durch
und damit erst recht nicht durch . Wenn wir ( + )
ausmultiplizieren, kann daher der Summand
nicht
über
verschwinden, und damit kann die Gleichung aus dem Satz nicht gelten.
Kap. 7: Primzahlen

se zu tun haben, deutlich kleiner. In der Praxis sind die alternativen
Algorithmen deutlich schneller.
Zahlentheorie SS 2007

|
??
=?
=
j
[
6
0
p
p
|
x9 j
F
0
0
0
F
|
0 ^\ I 7
2
|
02
|
|
|
=
??
2
=?

R
prim und der Algorithmus endet.
j|=
|
|
j
k
|
j
|
|
j
|
j
|
x9
¢j
[
[
=
??
V
=?
dø
|
Iø
IV
ø
|
2
V
L
ø
V
|
ø
|
IV
j
x9
falls
1) übergehen, ist dort also
[ ].
1
.
V
Iø
IV
ø
| dø
2
û
(
ü
ü
ø
) mod (

ý
5 7
Ýú p
|
ø

|
dø
Ýú p
,
ersetzt.
Lemma:
ist surjektiv und sein Kern besteht genau aus den Vielfachen des Polynoms
1.
überall durch
pø
die Variable
1)
2
die in jedem Polynom
:
:
[ ]
Um diese seltsame Relation genauer zu untersuchen, betrachten wir für
jede zu teilerfremde natürliche Zahl die Abbildung
+
Iø
+ ) =
V
dø
|
|
2
j
Z ÖZ
þp
pø
Ý úp
Beweis: Wir betrachten
nur für Indizes , die zu teilerfremd sind.
Zu jedem solchen Index gibt es daher ein , so daß
1 mod ist,
und modulo
1 ist damit
. Für ein beliebiges Polynom
[ ] und ( ) = (
) ist daher in
j
j
|
L
Z
þp
k
ø
2
dø <

:
þp

ø
|
pø
)= ( )= ,
ø
pø
<
<
Ý úp
ø
5 7
l

|
|
j
|
|
die Abbildung ist also surjektiv.
L
)= (
ø
( )= (
ÖZ
Das aus dem zweiten Schritt ist auf jeden Fall echt kleiner als ,
denn als zusammengesetzte Zahl hat insbesondere einen Teiler
.
Der Algorithmus kann daher nicht im dritten Schritt mit der Antwort
ist prim“ enden. Falls er im vierten Schritt endet, lieferte der zweite
”
Schritt einen Teiler von , und wir erhalten die richtige Antwort
ist
”
zusammengesetzt“.
IV
5 7
:
Z
pø
Sei also eine zusammengesetzte Zahl. Falls Potenz einer anderen
natürlichen Zahl ist, wird dies im ersten Schritt erkannt; wir können und
werden im folgenden daher annehmen, daß dies nicht der Fall ist.
L
2
Y
Nach den Kommentaren zu den einzelnen Schritten ist klar, daß der
Algorithmus für eine Primzahl stets das richtige Ergebnis liefert; wir
müssen zeigen, daß er auch zusammengesetzte Zahlen stets erkennt.
V
ø
V
Y
Dies zu beweisen ist die Hauptarbeit dieses Paragraphen.
|
Iø
x
dø
(
dø
2
[ ] (
1) in
V
=
+ mod (
5 7
[
eine
+ )
Y
Wenn wir zum Faktorring
(
ø
6. Schritt: Wenn alle Tests im fünften Schritt bestanden sind, ist
Primzahl.
[ ].
0
Falls nämlich eine Primzahl ist, stimmen ( + ) und
+ als
Polynome mit Koeffizienten aus
nach obigem Satz überein, sind
1).
also erst recht auch gleich modulo (
|
Y
Sobald ein gefunden wird, für das dies nicht erfüllt ist, endet der
Algorithmus mit dem Ergebnis ist zusammengesetzt.
j
Jede Kongruenz modulo ist erst recht eine Kongruenz modulo ; wir
können daher davon ausgehen, daß für alle mit 1
gilt
j
1) .
1) in
V
+ mod (
Y
[
+ )
V
Y
0
(
ø
] + 1, ob über
DL
= 2 ( )[
0
Wir nehmen an, das sei nicht der Fall, und betrachten einen Primteiler
von . Dieser muß größer als sein, denn sonst hätte der Algorithmus
bereits mit dem vierten Schritt spätestens bei = geendet.
+ mod (
Iø
def
IV
+ )
V
5. Schritt: Teste für = 1
[
(
dø
2
gefunden.
V
|
Denn dann haben wir einen Teiler von
j
und
x9
1
ø
4. Schritt: Falls im zweiten Schritt ein gefunden wurde, für das der
ggT von und größer als eins ist, muß zusammengesetzt sein und
der Algorithmus endet.
|j =
Für den Rest des Paragraphen können wir somit annehmen, daß der
) = 1 ist. Wir müssen
zweite Schritt auf ein führte, für das ggT(
zeigen, daß einer der Tests im fünften Schritt scheitert, daß es also eine
natürliche Zahl gibt mit
R
)=1
In der Tat: Dann haben wir für alle
überprüft, daß ggT(
ist. Wenn der Algorithmus etwas taugt, darf er natürlich höchstens für
sehr kleine Werte von mit diesem Schritt enden.
= , ist
Kap. 7: Primzahlen

3. Schritt: Falls
Zahlentheorie SS 2007

R
Ý úp
2
dø
p dø
2
2
dø
2
dø
2
L
Ý úp
<
dø
pø
ø
<
2
dø
2

:
2
þp
Ä
þp d
þp
<
þp
pø

ø
ø
2
Ä
ø
dø
þp d
2
ø
:
dø
ø
5 7
ø
2
Ýú p

:
Ý úp
dø
Ýú p
dø
:
2

dø
2 :

pú Ý ú p
2
0
¤
ø
5 7

úp
úp
Ýú p
:
:
j
:
2
:
:
ü
dø
úp pø
:
Z
ø
:
2
und
=(
) .
)=
( )
=
,
mit
Elementen. Einen
Als nächstes betrachten wir einen Körper
solchen Körper kann man konstruieren, indem man den Vektorraum
identifiziert mit dem Vektorraum aller Polynome vom Grad kleiner mit
Koeffizienten aus
und dort eine Multiplikation einführt, die zwei Polynomen deren Produkt modulo einem festen irreduziblen Polynom vom
Grad über
zuordnet. Man kann zeigen (siehe Algebra-Vorlesung
oder entsprechendes Lehrbuch), daß es für jedes ein solches Polynom
gibt, und daß zwei verschiedene irreduzible Polynome vom Grad zu
isomorphen Körpern führen.
0
5 7
úp
þp
pø
ú
ÿ
ÿ
ppþ
úp
úp
úp
þ
ø
úp
þ
pø
ø
:
ø
úp
p
ø
V
[
V
=
??
=?
ø
+ ) ,
|
x9 j
+ )=(
0
5 7
(
Der Rest des Beweises besteht darin, daß wir die Größe“ der Men”
ge ( ) auf zwei verschiedene Weisen abschätzen und daraus einen
Widerspruch herleiten zur Annahme, daß zusammengesetzt ist, aber
trotzdem vom Algorithmus als Primzahl klassifiziert wird. Wir definieren zunächst zwei neue Zahlen:
sei die Ordnung der Restklasse von in (
) . Dann ist ein
1, denn
1 mod .
Teiler von
sei die Ordnung der von den Restklassen von und erzeugten Untergruppe von (
) , d.h also die Ordnung der kleinsten
Untergruppe, die beide Restklassen enthält. Da diese Untergruppe
insbesondere die Restklasse von und deren Potenzen enthält, ist
ein Vielfaches von .

6
V
+ . Für

Ä =
l
L
V
+ ) =
pþ
úp

0
(
úp
úp
j
ist
úp
Z
Ä
úp
0

+ aus
Speziell für das Element
=1
ist andererseits auch
Ä
|
0
ersetzt.

x9 j
durch
( )=
þ
( )
p
pÄ
6
denn in allen drei Fällen wird im Endeffekt
þ
)=
(
úp
Ä
,
úp
p
|
=
Ä
j
=
)
¤
Unmittelbar aus der Definition folgt, daß die verschiedenen Automorphismen
miteinander kommutieren; genauer ist
Ä
úp
Da alle Vielfachen von
1 im Kern von
liegen, definiert
eine
Abbildung von nach , die jedem Polynom mod (
1) aus
das Element ( ) zuordnet; nach dem gerade bewiesenen Lemma hängt
dieses wirklich nur von der Restklasse mod (
1) ab. Außerdem
zeigt das Lemma, daß sowohl surjektiv als auch injektiv ist, denn der
Kern von
ist gleich dem Kern der Restklassenabbildung von [ ]
nach . Damit ist
ein bijektiver Homomorphismus von nach ,
ein sogenannter Automorphismus von . Wir haben damit für jede zu
teilerfremde natürliche Zahl einen Automorphismus :
, der
jedem Polynom in das entsprechende Polynom in
zuordnet. Da
wir in
rechnen, werden natürlich alle Polynome modulo
1
betrachtet.
Ä
( ) ist
\ p
ú
úp
(
l
( ) =
Ä
und für
^
( )=
Ä
( )
þp
( )=
Ä
Ä
1 sein, und genau
(
þp
In [ ] muß ( ) daher ein Vielfaches von
das war die Behauptung über den Kern von .
für alle
für alle
erfüllt
pÄ
1 = 0.
dø
ist dort
= 1 in
Z
þp
denn wegen
) = 0,
Z>=
ÖZ
1) (
p Ä
)=(
( )=
Z
l
)= (
Ä
l
x9 j
( )= (
( )=
:
6
Beide Mengen enthalten mit zwei Elementen auch deren Produkt, denn
für zwei Elemente
( ) ist
)
Ä p Ä
úp
XX Ä
6 úp
x 9 j XX
:
l l
Z Ä
(
Ä
( )=
( )=
( )=
úp
Umgekehrt sei irgendein Polynom aus dem Kern von . Dann ist
das Polynom ( ) = ( ) modulo
1 gleich dem Nullpolynom,
ist also ein Vielfaches von
1. Konkret sei = (
1) . Im
Faktorring ist dann
Wir wollen genauer untersuchen, wann die Gleichung
ist. Dazu definieren zwei Arten von Mengen:
Ä
1).
dø
1 mod (
1 = 0,
Ä
da
1) = 1
p
1) mod (
dø
2
1) = (
V
denn für diese wurde ja nach unserer Annahme der Test im fünften
Schritt bestanden.
R
(
1 und alle
Kap. 7: Primzahlen

Was ihren Kern betrifft, so enthält er auf jeden Fall
seine Vielfachen, denn
Zahlentheorie SS 2007

5 7
V
V
úp

R
6

6
0
2
j
û
ø
ü
ü
j

ý
5 7
Ý
d
Ý
dø
2
2
:
pÄ
Z
^
\
ü
|
Z
|
A
Ý
Æ
|
^
\
A
|
( )=
0
÷
|
þ
þ0
|
0|
Lemma:
enthält mindestens 2min(
.
)
erhalten wir
Ö
B Öl Ö =

=
Ö=

= =
0
[
??
=?
V
Ö
D
÷
Ö
D

= 0
¢ ¤
Y
Y
ó

=
XX
0|
^
=
¢¤
\
¤
U
5 7
ø
(
+ )
[ ] enthält daher 2
=1
0 1 und
1 Polynome.
2
6
=1
0
|
þ
þ0
|
ÖZ
Z
6
und
j
x9 j
0|
¤
( )=
( )
.
@ ó
ó
Ä
XX
Ä
l
^
ó
:
@ ó
l
Ä
X X
Ä
0 ó
ÖZ
Z
L
Da sowohl als auch in ( ) liegen und mit zwei Elementen auch
( ) = ( ) in .
deren Produkt, liegt ( ) in ( ) und damit
( )
ø
( )=
Aus diesen Polynomen können wir Elemente von bzw.
machen,
indem wir für die Variable die Restklasse = mod (
1) bzw.
das oben gewählte Element der Ordnung einsetzen; wir erhalten
Teilmengen
von
Beweis: Wegen der bestandenen Tests in Schritt 5 liegt ( + ) in ( )
für = 1
. Da
ist, sind die Zahlen von 1 bis
auch modulo paarweise verschieden. Die Teilmenge
1 Elemente.
Als untere Grenze für die Elementanzahl von
ÖZ
A
mj
E
2
Ö Æ
=
x9 j Ö = |
=
2[
Ä
A
m
; =
l
U
XXX

V
ø
E N
@
¢¤
definieren, für die also
höchstens gleich [ ]
]
als (sehr grobe) obere
ÖZ
¤
F
U
ø
)
L
ä
E a
U
:
|
ÖZ
j
aus geben, die dieselbe Restklasse in (
mod . Da die Exponenten
gilt:
sind und ein Teiler von ist, können wir
Schranke für und nehmen.
Ä
Ä
Æ
k
F
dø
=
Z þp
l
und
Z
ÖZ
Ä
2
F
=
j
p
| ø
2
Nun war aber definiert als die Ordnung der Untergruppe von (
) ,
die von den Restklassen von und von erzeugt wird; daher muß es
mindestens zwei Elemente
mod ist aber
dieselbe Abbildung wie
; daher ist
Wegen
=
für jedes
( ). Somit sind die Bilder ( ) aller
Nullstellen des Polynomes
. Dessen Grad ist das Maximum
von und , und da ( ) im Körper liegt, gibt es höchstens so viele
Nullstellen, wie der Grad angibt. Aufgrund der obigen Abschätzung für
und hat das Polynom daher höchstens 2[ ] Nullstellen, und damit
kann auch nicht mehr Elemente enthalten.
úp
ø
|
A
V
Elemente, und diese Zahl ist offensichtlich größer
úp
ø
|
2
ÖZ
þp
Æ
]+1
Ä
þ
l
mindestens [
als .
j
Beweis: Wir gehen davon aus, daß weder eine Primzahl noch eine
Primzahlpotenz ist; daher gibt es außer dem Primteiler noch mindestens einen weiteren Primteiler . Wenn wir (in ) Potenzen der Form
und
mit
0 betrachten, sind diese daher genau
dann gleich, wenn (
)=(
) ist: Ist nämlich = , so tritt in
der Primzerlegung der beiden Elemente mit verschiedenen Exponenten
auf, und ist = , aber = , so gilt entsprechendes für . Daher hat
die Menge
=
0
[ ]
Ä
úp
Elemente.
pÄ
und
Ä
]
0
Ä
( )=
Ä
2[
Ä
Ä
ú
þp
( ) hat höchstens
0
Ä
=
|
:
Lemma:
l
þp
1) =
1 verschwindet, induziert einen RinghomomorDa (
phismus :
. Die angekündigten Abschätzungen der Größe“
”
von ( ) beziehen sich auf die Mächtigkeit der Menge =
( ) :
|
.
:
|
( )
Ä
[ ]
Ä
5 7
Nun sei
ein Element von ( ). Nach Definition der Mengen
( ) und ( ) ist dann auch ein Element von ( ). Außerdem enthält
( ) stets die Eins und nach dem kleinen Satz von FERMAT auch die
Primzahl , denn Potenzieren mit ist über ein Homomorphismus. Da
mit zwei Elementen stets auch deren Produkt in ( ) liegt, liegen daher
die Restklassen modulo aller Elemente von in ( ). Insbesondere
sind daher und Elemente von ( ), d.h.
Ä
:
Kap. 7: Primzahlen
TR
Aus Kapitel 1 wissen wir, daß die multiplikative Gruppe jedes endlichen
Körpers zyklisch ist;
ist also eine zyklische Gruppe der Ordnung
1. Diese Zahl ist, wie wir gerade gesehen haben, ein Vielfaches
von ; somit gibt es in
(mindestens) ein Element der Ordnung .
Für irgendein solches Element definieren wir einen Homomorphismus
Zahlentheorie SS 2007

A
\
|
0
ó
ó
|
|
Z

R
R
ó
E
2
<

ó
<

^
\
\
^
<
0|
Z
Z
\<
p^
|
p^
0=
Z
<
\<

p^
p
p
<
\

p
2 p
p
^
2 p^
<
( ).
p^
2
¤
\
j
Z
2
\< p

2
\
j
<
0|
j
¤

2
<

2 2
E
<
¤ A
2
<

m
Æ
|
2
[
|
m
1
22
( )[
)
]
.
Æ
I
m
2
Æ
Da beide Exponenten natürliche Zahlen sind, genügt dazu wiederum,
daß min( )
2 ( )[ ] ist, denn wenn sich die Exponenten um
mindestens eins unterscheiden, ist die Differenz zwischen den Potenzen
|
2min(
log2 , genügt es zu zeigen, daß
.
Æ
Beweis: Da ( )
]
¤
2[
|
1
|
)
¤
Lemma: 2min(
|
Zum Abschluß des Beweises, daß der Test von AGRAWAL, KAYAL und
SAXENA stets die richtige Antwort liefert, müssen wir nun nur noch
zeigen, daß die Schranken aus den beiden letzten Lemmata, die ja unter
der Voraussetzung bewiesen wurde, daß eine zusammengesetzte Zahl als
prim erkannt wird, einander widersprechen, daß also die untere Schranke
größer ist als die obere:
|
Der Abstand zwei ist schon deutlich häufiger: Zwei ist beispielsweise
der Abstand zwischen fünf und drei, aber auch der zwischen den Primzahlen 1050 + 18307 und 1050 + 18309. Seit langer Zeit wird vermutet,
daß es unendlich viele solcher Primzahlzwillinge gibt; experimentelle
Untersuchungen deuten sogar darauf hin, daß ihre Dichte für Zahlen der
Größenordnung bei ungefähr 1 : (log )2 liegen sollte, aber bislang
konnte noch niemand beweisen, daß es wirklich unendlich viele gibt.
Natürlich sind die Abstände zwischen aufeinanderfolgenden Primzahlen sehr ungleichmäßig verteilt: Der kleinstmögliche Abstand zwischen
zwei verschiedenen Primzahlen ist offensichtlich eins, der Abstand zwischen zwei und drei. Er kommt nur an dieser einen Stelle vor, denn außer
der Zwei sind schließlich alle Primzahlen ungerade.
Wenn wir Primzahlen einer vorgegebenen Größenordnung suchen (z.B.
für einen RSA-Schlüssel), sollten wir zumindest ungefähr wissen, wie
die Primzahlen verteilt sind. Damit können wird dann beispielsweise
abschätzen, wie groß ein Intervall sein muß, damit wir eine einigermaßen
gute Chance haben, dort mindestens eine Primzahl zu finden.
§5: Die Verteilung der Primzahlen
Damit ist die Korrektheit des Algorithmus vollständig bewiesen.
x9 j
Da in die Ordnung hat, hängt nur von mod ab; die Anzahl
modulo hatten wir oben
verschiedener Restklassen der Form
mit bezeichnet. Somit hat die Differenz
mindestens Nullstellen.
Andererseits sind aber und und damit auch ihre Differenz Polynome
vom Grad höchstens
1, also muß
das Nullpolynom sein, d.h.
= . Somit enthält mindestens 2
1 Elemente, wie behauptet.
)
) = (
¤
m
(
¤
m
[
)
|
(
[
=
¢¤
( )
m
( )
0
Die Ungleichung
2 ( )[ ] ist sicherlich dann erfüllt, wenn sogar
2 ( )
ist, und dies wiederum ist äquivalent zur Ungleichung
4 ( )2 . Nun ist aber die Ordnung jener Untergruppe von (
) ,
die von den Restklassen von und erzeugt wird. Da wir im zweiten
Schritt des Algorithmus sichergestellt haben, daß dort allein die Ordnung
der Restklasse von schon größer ist als 4 ( )2 , ist auch die Ungleichung
für trivial.
¤
=
x9 j
|
( )
[
[
( )
¢j
|
[ 6
¢¤
( ) =
¤
[
0= ( )
j
Für = 2 ( )[ ] + 1 ist das klar, da die Ordnung einer Untergrupe
von (
) bezeichnet und damit auf jeden Fall kleiner als ist.
¢¤
6
Da ( ) = ( ), gilt für jedes solche
¤
als auch
[
Wie im vorigen Lemma folgt, da 1 und alle drei sowohl in
( )
als auch in
( ) liegen, daß alle natürlichen Zahlen der Form
=
in diesen beiden Mengen liegen.
mindestens zwei. Wir müssen daher zeigen, daß sowohl
größer sind als 2 ( )[ ].
[
|
Falls dies nicht der Fall wäre, müßte es in zwei verschiedene Polynome
und geben, für die ( ) = ( ) wäre. Wir müssen also zeigen, daß
( ) = ( ) nur dann gelten kann, wenn = ist.
( )
Kap. 7: Primzahlen
uR
Das Lemma ist daher bewiesen, sobald wir gezeigt haben, daß
mindestens 2
1 Elemente enthält.
Zahlentheorie SS 2007

|
|
¢¤
[
[
|
m
¤~=
S
R
Q
|
Q
ä
Y
|
Y
|
|
|
Q
0
÷
û
Y
ü
.
r
rý
Die Abbildungen auf der folgenden Seite zeigen ihn für die Intervalle
5. Wie man sieht, werden die Graphen
von null bis 10 für = 1
immer glatter, und bei den beiden letzten Bilder könnte man glauben, es
handle sich um den Graphen einer differenzerbaren Funktion; auf den
ersten Blick sieht sie sogar fast linear aus.
Ó
Anzahl der Primzahlen
0
ü
:
P
=
??
=?
Q
Sieht man sich allerdings die Zahlenwerte genauer an, so sieht man
schnell, daß ( ) etwas langsamer wächst als eine lineare Funktion; die
Funktion log ist eine deutlich bessere Approximation.
r
Ó
r
xr
Satz: Es gibt Konstanten
2
( )
k
r
k
= r
Ó
r
Beweis: Wir betrachten die neue Funktion
log
0
log ,
a
( )=
2
log
0, so daß gilt:
m
.
r
1
1
In der Tat können wir auch mit unseren sehr elementaren Mitteln eine
entsprechende Aussage beweisen:
r
r
Í7
0
log
log
log
log
=
( )
,
log
a
r
( )=
Dann ist einerseits
wobei ein Summationsindex hier wie stets in diesem Beweis bedeuten
soll, daß wir über alle Primzahlen mit der jeweils angegebenen Eigenschaft summieren.
9592
0
0
0
0
0
1229
168
25
20000
2000
200
20
2
40000
4000
400
40
4
60000
6000
600
60
6
80000
8000
800
80
8
100000
10000
1000
100
10
R
Um einen ersten Eindruck von der Verteilung der Primzahlen zu bekommen, betrachten wir den Graphen der Funktion
4
Kap. 7: Primzahlen

Eine obere Grenze für den Abstand zwischen zwei aufeinanderfolgenden
2 und 2
, so ist die Zahl ! +
Primzahlen gibt es nicht: Ist
durch teilbar und somit keine Primzahl. Der Abstand zwischen der
größten Primzahl kleiner oder gleich ! + 1 und ihrem Nachfolger ist
somit mindestens .
Zahlentheorie SS 2007

r
r
0
r
ä
0
a
Ó
Í7
0
Í7

R
a
a
r
¢r
k0
ä
r
^
0

Í7
r
\Ó
r
2
Ó
0
¢r
r
r
r
k
r
Ó
r
k
^r
¢
\Ó
2
r
¢r
k
k
m
=
r
0
a
0
Í7
r
r
3
N
|
0
I7
|
i 7
hI
0
i 7
hI
b
c
a
|
p
a
7
| p
a
7
p
I7
0
I7
|
Z
0
b
c
a
m
a
a
0
|
Y
| p
| p
0
a p
K
0
I7
0
0
p
I7
(
a
=
.
I7
1)
0
2
0
a
=
bù
c|
1
I7
2
b
2
2
c|
K
a
p
1
Damit ist
log =
( ).
(log ) ,
log +
|
= 2 log 2 +
= 2 log 2
1
2
+
|
1
log +
|
1
( ).
|
1
=
2 log +
( ).
|
1
log
0
nach der Summenformel für die geometrische Reihe:
log
(
1)
0
2
=
=2
1
3 2
.
deren Beweis für Leser, die sie noch nicht kennen, im Anhang zu diesem Paragraphen skizziert ist. Kombinieren wir dies mit der gerade
bewiesenen Formel, ist also
log ! =
a
log
1
|
=
a
0
|
0
0
( ).
( )=
2
0
2
p
2
b
| p
|
(2 )
1
c
b
c|
2
0
log
0
1 liefern dabei nur einen kleinen Beitrag:
log
(
1)
Dies können wir vergleichen mit der STIRLINGschen Formel
log ! =
|
log .
2
|
Die Summanden mit
¢r
2
1
:
Setzen wir dies in die Formel für log ! ein, erhalten wir nach allen
bislang bewiesenen Abschätzungen, daß
|
I7
|
log =
=2
1
3 2
1
für alle
1 konvergiert, konvergiert die rechts stehende
Da
=1
Summe für
gegen einen endlichen Wert (ungefähr 1,612375),
ist also (1), und damit ist
Ú P
n
P
|
log ! =
I7
|
a
0
und
ü
0
|
1
2
c|
|
=
0
teilbar,
0
m
p
durch
0
P
0
sind
Q
a
b
von !. Unter den natürlichen Zahlen bis
durch 2 , usw.; daher ist
2
a
2
p
|
!=
Q
|
Zum Beweis der ersten Aussage betrachten wir die Primzerlegung
I a
P
dann folgt die Behauptung des Satzes.
=
Q
3
2
Q
2
( )
Q
log
=
(
1)
2
Y
P
1
r
r
I a
Q
Wenn wir also zeigen können
1. Es gibt Konstanten 1 3 0, so daß
log
2.
= log + (1),
Ó
.
r
r
=1
k
Q
2 ( )
+
log
|
log
=
(
1)
log
(
1)
r
( )
Y
I a

2 ( )
+
log
m

und damit auch
\
^r
¢
¢r
( )
r
( )
\Ó
r
1
log( )
2
log
ä
=
log

log
^
( )=
R
|
Zur weiteren Abschätzung ersetzen wir die Summe über alle Primzahlen
kleiner oder gleich durch die Summe aller natürlicher Zahlen bis
und beachten, daß für alle reellen Zahlen
2 gilt
Kap. 7: Primzahlen

andererseits ist
Zahlentheorie SS 2007

|
|
|
0
2
0
I
7
2
2
0
02
7
0

R
k0
k
i 7
hI |
2
i 7 0
hI
2
2
1
a
|
c|
Y
|
c|
a
|
2
0
2
0
I
7
0
7
I
I
|
|
2
|
!

|
P
r

Ú a

2
(1) nicht von
1
Ó
wobei der Fehlerterm
(1) = log
+
r
log
Ó
= log
r
log
ç
r
1 ist daher
log
ÜÛ
.
Auch LEGENDRE versuchte, ( ) anhand experimenteller Daten anzunähern. Er stellte dazu eine Liste aller Primzahlen bis 400 000 zusammen, das sind immerhin 33 860 Stück, und suchte eine glatte Kurve,
die den Graphen von möglichst gut annähert. In seinem 1798 erschienenen Buch Essai sur la théorie des nombres gab er sein Ergebnis an
als
.
( )
log
1 08366
2
"
Für 0
r
def
Li( ) =
"
die natürlich auch dann gilt, wenn wir durch eine reelle Zahl ersetzen:
Der Term (1) schluckt alle dabei auftretenden zusätzlichen Fehler.
Ó
( )
Í
(1) ,
GAUSS kam 1792, im Alter von 15 Jahren also, durch seine Experimente
zur Vermutung, daß ( ) ungefähr gleich dem sogenannten Integrallogarithmus von sein sollte:
einer Zusammenstellung im Lexikonformat von interessanten Tatsachen
und auch bloßen Kuriosa aus dem Umkreis der Primzahlen.
r
log
denn wie wir gerade gesehen haben ist ( ) = ( ). Kürzen wir die
obige Formel durch , erhalten wir die gewünschte Aussage
I7
^
( ) =
( )+
log +
a
=
0
log
.
DAVID WELLS: Prime Numbers – The Most Mysterious Figurs in
Math, Wiley, 2005,
Ó
log +
( )
Ó
log =
(1), also ist
r
+

Der bewiesene Satz ist nur ein schwacher Abglanz dessen, was über die
Funktion ( ) bekannt ist. Zum Abschluß des Kapitels seien kurz einige der wichtigsten bekannten und vermuteten Eigenschaften von ( )
zusammengestellt. Diese knappe Übersicht folgt im wesentlichen dem
Artikel Primzahlsatz aus
r
=
log
r
Natürlich ist
r
Bevor wir uns der unteren Schranke zuwenden, beweisen wir zunächst
die zweite Aussage.
k
Í k
womit die obere Schranke für ( ) bewiesen wäre.
Í7
2
0
( ), womit auch die untere Schranke aus der ersten
Somit ist 10
Behauptung bewiesen wäre und damit der gesamte Satz.
Y
=1
a
Í
2
|
r
7
2

=1
Í
0

( ),
Í7
=
Y
0
=
r
+1
a
10
a
und ist dann
log
1
0
r
( )=

und für solche Werte von
m
durch eine
( ).
Die Formel (2 )
( ) = ( ) bleibt gültig, wenn wir
reelle Zahl ersetzen; somit ist
0
log =
2
i 7
hI
bù
b
2
ü x

m
r

0 gegen
geht, ist für hinreichend kleine Werte
für irgendein
2 beispielsweise
log
10 ,
log
Da log 1 für
von und
( )=
i 7
hI
stets entweder null oder eins; speziell für die
2 ist
= 0 und 2 = 1. Somit ist
m
0
(2 )
mit
2
R
Hier ist 2
Primzahlen
Kap. 7: Primzahlen

Zahlentheorie SS 2007

r
r
2
=
Ó

R
( )
log
r
lim
r
Ó x
r
#
Í
Ú
r
( )
k
k
mit
1
0 92 und
ç
r
K
r
K
log
2
1 105 .
ç
=
=
$
r
r
Ó
r
1896 schließlich zeigten der französische Mathematiker JACQUES SALOMON HADAMARD (1865–1963) und sein belgischer Kollege CHARLES
JEAN GUSTAVE NICOLAS BARON DE LA VALLÉE POUSSIN (1866–1962)
unabhängig voneinander die Aussage, die heute als Primzahlsatz bekannt ist:
( )
.
log
r
2
log
r
r
Ó
log
log
l
2 Í
G
r
G
r
xr
#
2
r
#
Ú
Í
G
r
xr
Í
Ú
2
Ú
r
xr
#
Í
Ú
l
G
r
Li( ) .
ü
@
;
%
r
r
r
$
r
Ó
G
r
r
$
Ó
2
(
( ) = Li( ) +
Nach einer berühmten Vermutung von RIEMANN haben alle diese Nullstellen den Realteil ein halb. Falls dies stimmt, ist
r
G
r
Wie DE LA VALLÉE POUSSIN zeigte, liefert der Wert = 1 unter allen
reellen Zahlen die beste Approximation an ( ), aber Li( ) liefert eine
( )
#
und
G
log
( )
&
log
=1
Li( )
ist. Nach dem Primzahlsatz ist daher auch für jedes
Etwas trickreicher, aber durchaus noch im Rahmen einer Vorlesung
Funktionentheorie I durchführbar, ist der Beweis, daß ( ) zu einer
1 forgesetzt werden kann. (Für = 1
analytischen Funktion auf
haben wir eine harmonische Reihe, und die divergiert bekanntlich, so
daß der von rechts kommende Limes von ( ) für
1 unendlich sein
muß.) Wie RIEMANN erkannte, hängt die Primzahlverteilung eng mit
der Frage zusammen, welche Nullstellen ( ) für jene Argumente hat,
deren Realteil zwischen null und eins liegt.
lim
= 1,
log
und es ist auch nicht schwer zu zeigen, daß
lim
=1
Es ist im wesentlichen eine Analysis I Übungsaufgabe zu zeigen, daß
1 konvergiert; wer mit komplexen Zahlen
diese Summe für reelle
umgehen kann, folgert daraus dann leicht, daß sie auch für alle komplexen mit Realteil größer eins konvergiert.
m
=1
= lim
2
I
)
r
Ó
Ú a
log
(log
Ó
r
lim
Ó
r
|
Offensichtlich ist für jedes
I I
Wenn wir genaue Aussagen über ( ) machen wollen, sollten wir also
etwas über die Differenz Li( )
( ) wissen. Hier kommen wir in das
Reich der offenen Fragen, und nach derzeitigem Verständnis hängt alles
ab von der RIEMANNschen Zetafunktion
1
( )=
.
Li( )
178
1 246
9 630
78 628
664 918
5 762 209
50 849 235
|
Dies bedeutet nun freilich nicht, daß damit die Formeln von GAUSS und
von LEGENDRE überflüssig wären: Die Tatsache, daß der Quotient zweier
Funktionen gleich eins ist, erlaubt schließlich immer noch beträchtliche
Unterschiede zwischen den beiden Funktionen: Nur der relative Fehler
muß gegen null gehen.
1 08366
172
1 231
9 588
78 534
665 138
5 769 341
50 917 519
If
1
10
104
105
106
107
108
109
log
1852 zeigte er dann ein deutlich schärferes Resultat als den oben bewiesenen Satz: Für hinreichend große Werte von ist
I If
( )
log
log
1
168
145
169
1 229
1 086
1 218
9 592
8 686
9 512
78 489
72 382
78 030
664 579
620 420
661 459
5 761 455 5 428 681 5 740 304
50 847 478 48 254 942 50 701 542
|
|
3
I
existiert, dann muß er den Wert eins haben.
r
noch bessere Approximation. Für kleine Werte von sieht man das auch
in der folgenden Tabelle, in der alle reellen Zahlen zur nächsten ganzen
Zahl gerundet sind. Wie kaum anders zu erwarten, liefert LEGENDREs
Formel für 104 und 105 die besten Werte:
Kap. 7: Primzahlen
TR
Über ein halbes Jahrhundert später gab es den ersten Beweis einer Aussage: PAFNUTIJ L’VOVIČ ČEBYŠĒV (1821–1894) zeigte 1851: Falls
Zahlentheorie SS 2007

¢r
log ) .
r
G
r
r
Ó
Ó

R
R
'
Ä
|
=
r
r
;
r
r
@r
r
r
r
Z
r
2
Z
2
@r
;
+1
p Û
Ä
2
Z
\r
^
ÖÄ
\;
Û
p
@r
p
p XXXX p
r
Ä
2
r
Ür
2
p
+1
Z =
r
Ür
.
(1) + ( )
+
2
1
+
1) + 1 +
1
+
1
log
2
log
2
1)
+
log
2
+
1
+
1
+1
1
2
=
1
2
1
2
Û
Z
@r
2
Ü
;
p Û
p Û
2
Ä
Ä
Z
Z
Ä
+
1
2
+
r
r
Ür
( )
( )
r
Z
( + 1) + ( )
=
2
Z
( )
|
,
1
2
( )
.
1
2
1
2
1
2
.
In dieser Formel stört noch das rechte Integral; dieses können wir wie
folgt abschätzen: Für eine natürliche Zahl ist
= (log
r
1
2)
|
|
2
=
1
log
Û
= (log
log ! =
I
r
2
( )
Ä
Ür
r
1
2
p
r
r
IXXXX
|
+1
Ür
|
I
2
r
+1
Ä
|
Für die Abschätzung von ! interessiert uns speziell der Fall, daß
( ) = log der natürliche Logarithmus ist; hier wird die EULERsche
Summenformel zu
1
+
r
|
I
@r
;Û
Ü
Partielle Integration führt auf die Gleichung
I a
Z
=1
ü
( )
Û Ä
( )=
Ä
I
r
r
+ 1).
Ä
|
2
Ü
aus dem Intervall [
1
( )
Satz (EULERsche Summenformel): Für eine differenzierbare Funkti, deren Definitionsbereich das Intervall [1 ] umfaßt,
on :
ist
Ä
I
@r
;Û
@r
;Û
2
für alle
;
Û \
womit man die Summe der ( ) berechnen kann:
2
;
Û \
Ü
r
=
@r
I
@r
2
r
ist somit
Ür
Z
^
ÖÄ
Zahl
r
Ä
=
def
^
ÖÄ
|
r
Ür
Für eine reelle Zahl bezeichnen wir weiterhin mit [ ] die größte ganze
Zahl kleiner oder gleich ; außerdem führen wir noch die Bezeichnung
=
[ ] ein für den gebrochenen Anteil von . Für eine ganze
p
=2
Ä
Ür
Die EULERsche Summenformel erlaubt es, eine endliche Summe auf ein
Integral zurückzuführen und dadurch in vielen Fällen erst rechnerisch
handhabbar zu machen. Wir betrachten eine reellwertige differenzierbare Funktion , deren Definitionsbereich das Intervall [1 ] enthält.
Ä
( )
2
r
Anhang: Die Eulersche Summenformel und die Stirlingsche Formel
If
a
Z
( )+
Ä
|
2
GEORG FRIEDRICH BERNHARD RIEMANN (1826-1866)
war Sohn eines lutherischen Pastors und schrieb sich
1946 auf Anraten seines Vaters an der Universität
Göttingen für das Studium der Theologie ein. Schon
bald wechselte an die Philosophische Fakultät, um dort
unter anderem bei GAUSS Mathematikvorlesungen zu
hören. Nach Promotion 1851 und Habilitation 1854 erhielt er dort 1857 einen Lehrstuhl. Trotz seines frühen
Todes initiierte er grundlegende auch noch heute fundamentale Entwicklungen in der Geometrie, der Zahlentheorie und über abelsche Funktionen. Wie sein Nachlaß
zeigte, stützte er seine 1859 aufgstellte Vermutung über
die Nullstellen der -Funktion auf umfangreiche Rechnungen.
1
I
(1)
+
2
Û Ä
1
I
=
1 liefert
uR
( )
=
|
2
1
2
= 1 bis
Z
Addition aller solcher Gleichungen von
Kap. 7: Primzahlen
Z
Die RIEMANNsche Vermutung ist eines der wichtigsten ungelösten Probleme der heutigen Mathematik; sie war 1900 eines der HILBERTschen
Probleme und ist auch eines der sieben Millennium problems, für deren Lösung das CLAY Mathematics Institute in Cambridge, Mass. einen
Preis von jeweils einer Million Dollar ausgesetzt hat.
Zahlentheorie SS 2007

r
Ü r
r
f
r
p
2
p
S
0
Û
r
Z
r
r
2 ^
ä
\Z
1
2
ä
2
=
2
1
2
1
4
2
2
(2 + 1)2
Z
Ü
r
2
p Û
@r
2
2
ä
2 ^
Ü
1 2
2
1
2
1
,
2 2
1
,
4 2
2
Û
\Z
;
ä
+
2
=
.
Z
Z
r
r
2
r
r
p
|
Z
I
If
@r
;Û
2
a
ä
Ü
2
ä
r
r
Z
x
|
@r
Ú ;Û
2
Ü
1
ü
Ó
r
r
|
(
761 838 257 287
`
2
|
|
|
|
die wir im Beweis des Satzes über ( ) verwendet haben.
|
|
|
( ),
67
.
r
z
auf die andere. Dieses Produkt rechnete er wortlos aus (nach der üblichen
Schulmethode zur schriftlichen Multiplikation), und als er dieselbe Zahl
erhielt, die auf der anderen Tafel stand, schrieb er ein Gleichheitszeichen
zwischen die beiden Zahlen und setzte sich wieder. Das Ergebnis, d.h.
die Faktorisierung von 67 , findet ein Computeralgebrasystem heute in
weniger als einer Sekunden; für die damalige Zeit war sie eine Sensation!
COLE gab später zu, daß er drei Jahre lang jeden Sonntag nachmittag
daran gearbeitet hatte. Er versuchte 67 in der Form 2 2 darzustellen,
wobei er mit Hilfe quadratischer Reste Kongruenzbedingungen für
modulo verschiedener relativ kleiner Primzahlen aufstellte und auch
verwendete, daß jeder Teiler von 67 kongruent eins modulo 67 und
kongruent 1 modulo acht sein muß. Dies führte zu einer ganzen Reihe
193 707 721
auf eine der beiden Tafeln und
r
log ! =
1 mod
q
log +
konvergiert; den Grenzwert wollen wir mit bezeichnen. Dann ist
log
log ! = (log
1) +
= +1,
+ + (1) mit
2
also folgt insbesondere die Abschätzung
67
1
FRANK NELSON COLE gab das Ergebnis am 31. Oktober 1903 auf einer
Sitzung der American Mathematical Society bekannt: Er schrieb die
Zahl
267 1 = 147 573 952 589 676 412 927
å
1
2
81 868 480 399 682 966 751 mod
2
Wie wohl jeder schon einmal in einer Analysis I Übungsaufgabe zeigen
mußte, konvergiert die rechtsstehende Summe (egal ob mit oder ohne
; wer mit FOURIER-Reihen vertraut ist,
vier im Nenner) für
weiß wahrscheinlich auch, daß der Grenzwert 2 24 ist. Auf jeden Fall
können wir folgern, daß das uneigentliche Integral
für das störende Integral aus der obigen Formel.
=1
p
1
2
1
4 2
_f
1
`
1
2
1
L
0
67
DL
`
Somit ist 67 ein Produkt von mindestens zwei nichttrivialen Faktoren.
Welche sind das?
13
67
= 267
Kapitel 8
Faktorisierungsverfahren
Wie wir in 2 des letzten Kapitels gesehen haben, ist
keine Primzahl, denn
{
`
denn wir können das Integral abschätzen durch das Produkt aus der
Länge des Integrationsintervalls und dem Minimum des Integranden.
1 schließlich gibt die Abschätzung
Summation von = 1 bis
0
\Z
+
1
2
1 2
2
2 ^
+1
1 2
2
2
`
0
r
2
+
und damit ist
2
2
ä
1 2
2
2
2
r
2
r
2
ist der Integrand monoton fallend, d.h.
0
2
r
0
2
Z
+
\Z
2 ^
1
2
1
2
r
+
Ü
+
!
1
2
Û
+
=
1
2
r
r
Im Intervall von 0 bis
R
=
1
2
Zahlentheorie SS 2007
Ü
2
2
`
`
|
Ó

R
r
1 160 932 384 mod 1 323 536 760
L
r
rp
`
å
ist tatsächlich
2
IG
|
Falls eine Zahl zusammengesetzt ist, hat sie mindestens einen Primteiler
[ ]. Bei kleinen Zahlen besteht die effizienteste Art
der Faktorisierung im allgemeinen darin, einfach alle diese Primzahlen
durchzuprobieren, indem man sie der Reihe nach so lange abdividiert,
wie es geht.
b) Abdividieren kleiner Primteiler
Der schlimmste Fall für praktisch jedes Faktorisierungsverfahren tritt
dann ein, wenn die zu faktorisierende Zahl eine Primzahl ist: Gerade bei
den fortgeschrittenen Verfahren gibt es oft kein anderes Abbruchkriterium als das Auffinden eines Faktors. Daher sollte (außer eventuell bei
ganz kleinen Zahlen) zu Beginn einer Faktorisierung immer ein Primzahltest stehen. Da auch das Testen auf Potenzen relativ einfach ist, läßt
sich eventuell auch das noch durchführen – es sei denn, daß von der
Situation her (beispielsweise bei RSA-Moduln) nicht mit einer Potenz
zu rechnen ist.
a) Test auf Primzahl
§1: Die ersten Schritte
|
2
?
>
>
=
7<
1 23
;: +
)
+
+
1 23 0
-
+9
7
584
* 0
456
+
1 23
+
-/.
-
.
)*
*+
,
.0
In diesem Kapitel soll es um zumindest einige der Verfahren gehen, mit
denen man heute das Problem der Faktorisierung von Zahlen wie 267 1
und auch erheblich größeren Zahlen behandelt.
z
Der Auftritt von COLE schlug selbst außerhalb der Mathematik so große
Wellen, daß seine Faktorisierung noch fast ein Jahrhundert später vorkommt in einer New Yorker (off-Broadway) Show von RINNE GROFF
mit dem Titel The five hysterical girls theorem. Dort bringt sich ein junger Mathematiker um, weil er in einem Beweis von der Primzahl 267 1
ausgeht und die Tochter des Professors die obige Faktorisierung an die
Tafel schreibt. Einzelheiten kann man, so man unbedingt möchte, unter
nachlesen.
FRANK NELSON COLE (1861–1926) wurde in Massachusetts geboren; 1878 ging er dort an die Harvard
University, wo er 1882 seinen Bachelor erhielt. Mit einem Stipendium konnte er dann drei Jahre lang nach
Deutschland gehen, wo er bei FELIX KLEIN in Leipzig
studierte. Mit einer von KLEIN betreuten Arbeit über
Gleichungen sechsten Grades wurde er 1886 in Harvard
promoviert. Nach verschiedenen Positionen in Harvard
und Michigan ging er 1895 als Professor an die Columbia University in New York, wo er bis zu seinem Tod
lehrte. Seine Arbeiten befassen sich hauptsächlich mit
Primzahlen und mit Gruppentheorie.
F. N. COLE: On the factoring of large numbers, Bull. Am. Math.
Soc. 10 (1903), 134–137
Für Einzelheiten siehe
= 193 707 721
287
380 822 274 783
2
761 838 257 287 .
= 381 015 982 504
r
67
=
r
2
= 287 in Frage kommt, und mit
Z
frühestens für
+ 1 160 932 384
Z
= 1 323 536 760
zusammenfassen konnte. Untersuchung quadratischer Reste zeigt, daß
R
Es gibt kein bestes“ Faktorisierungsverfahren; für Zahlen verschie”
dener Größenordnungen haben jeweils andere Verfahren ihre Stärken.
Auch Vorwissen über die zu faktorisierende Zahl kann bei der Wahl
eines geeigneten Verfahrens helfen: Bei einem RSA-Modul, der das
Produkt zweier Primzahlen ähnlicher Größenordung ist, wird man an1. Mehr noch
ders vorgehen als etwa bei einer Zahl der Form
als bei Primzahltests gilt, daß asymptotische Komplexitätsaussagen als
Auswahlkriterium nutzlos sind: Das für die Faktorsierung 150-stelliger
RSA-Moduln heute optimale Verfahren, das Zahlkörpersieb, wird beim
Versuch eine sechsstellige Zahl zu faktorisieren, oft nicht in der Lage
sein die Faktoren zu trennen, und selbst in den Fällen, in denen es erfolgreich ist, braucht es erheblich länger als einfache Probedivisionen.
Im folgenden sollen einige der einfachsten gebräuchlichen Verfahren
vorgestellt werden.
Kap. 8: Faktorisierungsverfahren

von Kongruenzen für , die er in
Zahlentheorie SS 2007

¢|
Y
@
2

Zahlentheorie SS 2007
o

R
o
¢|
|
o
1. Schritt: Bestimme nach ERATOSTHENES die Folge
Primzahlen
und setze = sowie 1 =
=
@
1
aller
@
=
??
=?
o
@
d
d
KK
K

|
F
YP
@
Q
x @F
F
P
Q

P
Q
P
j=
??
=? P F
@
F
F
@
@
r
@
@
@
o
d P
} F
e @ P
F
K
e @ P o
k
d P F
}
|
F
P
rU
2P
r
@
¢@
Y
@
|
F
|
F
F
¢@
r
r
P
7 Û
rU
P 2P
r
r
P
,
@
2
k
¢@
¢@
¢@
r
Ür
Dieses Problem können wir umgehen, indem wir keine echten Zufallszahlen verwenden, sondern algorithmisch eine Folge sogenannter Pseudozufallszahlen erzeugen. Typischerweise verwendet man dazu eine
was keine große Ersparnis ist. Dazu kommt, daß alle bereits berechneten
Folgeglieder gespeichert werden müssen, der Algorithmus hat also auch
einen Platzbedarf in der Größenordnung
.
0
¢@
ç
Q
=
In dieser Form ist das Verfahren allerdings noch nicht praktikabel: Wenn
wir ein neues mit
erzeugt haben, müssen wir für alle
den ggT von
berechnen, was noch einmal rund
Schritte sind,
so daß der Gesamtaufwand nicht proportional zu
ist, sondern eher
zu
o
V
o
Als etwas weniger systematische Alternative zum Abdividieren könnte
erzeugen und jeweils den
man auch eine Folge von Zufallszahlen
ggT von
mit der zu faktorisierenden Zahl
bilden. Dies hat zwar
den Nachteil, daß ein EUKLIDischer Algorithmus aufwendiger ist als
eine bloße Division mit Rest und daß der ggT möglicherweise eine
zusammengesetzte Zahl ist, daür testet man aber in vielen Schritten
mehrere Primzahlen auf einmal, und selbst ein zusammengesetzter Faktor ist nützlich, denn je kleiner eine Zahl ist, desto einfacher ist sie zu
faktorisieren. Eine weitere Optimierung wird dadurch erreicht, daß wir
mehrere modulo miteinander multiplizieren können und dann erst
den ggT des Produkts modulo mit bilden. Offensichtlich ist dieser
ggT genau dann durch eine Primzahl teilbar, wenn diese Teiler von
@
P
Q
a) Die Monte-Carlo-Methode
@
POLLARDs Idee zur Beschleunigung beruht auf dem Geburtstagsparadoxon: Die Wahrscheinlichkeit dafür, daß eine gegebene Zufallszahl
durch teilbar ist, liegt zwar nur bei 1 : , aber die Wahrscheinlichkeit, daß zwei der modulo gleich sind, steigt in der Nähe von etwa
Folgegliedern ziemlich steil von nahe null zu nahe eins. Wenn wir
also anstelle der größten gemeinsamen Teiler von mit den die mit
berechnen, haben wir bereits bei einer Folge
den Differenzen
der Länge um
gute Chancen, einen nichttrivialen ggT zu finden.
r
§2: Die Verfahren von Pollard und ihre Varianten
@
3. Schritt: Falls
= 1, ist =
faktorisiert; andernfalls ist
=1
=
mit
einer
Zahl
,
die
keinen
Primteiler
hat.
=1
2
, ist eine Primzahl, und ist ebenfalls komplett faktoFalls
risiert. Andernfalls teste man, ob nicht eventuell doch prim ist, womit
die Faktorisierung ebenfalls beendet ist. Im Falle eines zusammengesetzten
muß dieses mit einem anderen Verfahren weiter untersucht
werden.
o
2. Schritt: Führe für = 1
die folgenden Anweisungen aus:
Falls
nicht durch teilbar, geht es weiter mit dem nächsten ; andernfalls wird so lange durch
und durch + 1 ersetzt, bis
kein Teiler von mehr ist. Falls = 1, geht es weiter zu Schritt drei,
andernfalls geht es weiter mit dem nächsten .
o
Ist ein Primteiler von , so sollte bei echten Zufallszahlen etwa jede
-te durch teilbar sein; ist also der kleinste Primteiler von , so kann
man erwarten, daß nach Versuchen ein nichttrivialer Faktor gefunden
wird, der enthält. Dies ist kein Problem für vierstellige Faktoren (die
wir allerdings mindestens genauso schnell auch durch Abdividieren
bestimmen können), ist aber schon für achtstellige Faktoren viel zu
aufwendig.
o
= 0.
R
und von mindestens einem der Faktoren ist. Die Anzahl der Faktoren
darf natürlich nicht zu groß sein, denn sonst besteht die Gefahr, daß der
ggT einfach gleich ist. Wenn man aber die kleinen Primzahlen bereits
durch Abdividieren eliminiert hat, kann man i.a. relativ gefahrlos mit
der Zusammenfassung von etwa hundert Zufallszahlen arbeiten.

Für große Werte von ist [ ] zu groß; trotzdem sollte man auch da
zumindest alle Primteiler bis zu einer gewissen Schranke eliminieren.
Ein typischer Wert für PCs wäre etwa
= 215 oder
= 216 . Die
Vorgehensweise ist folgende:
Kap. 8: Faktorisierungsverfahren

o
o
o
o
r
P
@

Zahlentheorie SS 2007
o
R
A
r
P
r
P
A
o
q
r
Q
m
r
P
@
L
@
r
r
P
rU r
L
P
r
und = 2 ist; wir
simultan, ohne Zwischen-
q
=
r
r
r
r
r
q=
2
Q =
@
ä
j
rU
P
WV
WQ
@
Ó
@
rU
d
@
Pd
2
r
Q
r
P
P
P
Natürlich kann man auch bei dieser Form des Algorithmus mehrere ggTBerechnungen zusammenfassen: Sollen etwa jeweils Berechnungen
zusammengefaßt weden, so führt man eine neue Variable
ein mit
Anfangswert ein ersetzt im -ten Schritt durch
(
) mod .
Nur falls durch teilbar ist, wird anschließend der ggT von und
berechnet; andernfalls geht es gleich weiter mit dem ( + 1)-ten Schritt.
2
q
r
o
2
óK
Z
Q
Q
ó
j
Q
q
P
q
p
qp
Z
Die Monte-Carlo-Methode wird auch als -Methode bezeichnet, da die
Folge der
nicht von Anfang an periodisch sein muß. Sie muß aber,
da es nur Restklassen modulo gibt, schließlich periodisch werden,
d.h. sie beginnt auf dem unteren Ast des und mündet irgendwann in
den Kreis. Erfahrungsgemäs ist diese Methode sehr erfolgreich im Auffinden sechs- bis achtstelliger Faktoren; danach wird sie recht langsam,
und kleine Faktoren kann sie oft nicht trennen.
ó
ø
Q
j
äj
q
q
P
PÞ
[Ó
ROBERT W. FLOYD (1936–2001) beendete seine Schulausbildung bereits im Alter von 14 Jahren, um dann mit
einem Stipendium an der Universität von Chicago zu
studieren, wo er mit 17 einen Bachelor in liberal arts bekam. Danach finanzierte er sich durch Arbeit ein zweites Bachelorstudium in Physik, das er 1958 abschloß.
Damit war seine akademische Ausbildung beendet; er
arbeitete als Operator in einem Rechenzentrum, brachte
sich selbst Programmieren bei und begann einige Jahre
später mit der Publikation wissenschaftlicher Arbeiten
auf dem Gebiet der Informatik. Mit 27 wurde er Assistenzprofessor in Carnegie Mellon, fünf Jahre später
erhielt er einen Lehrstuhl in Stanford. Zu den vielen
Entwicklungen, die er initiierte, gehört die semantische
Verifikation von Programmen, Design und Analyse von
Algorithmen, Refactoring, dazu kommen Arbeiten über Graphentheorie und das FLOYDSTEINBERG dithering in der Computergraphik. 1978 erhielt er den TURING-Preis, die
höchste Auszeichnung der Informatik. Stanfords Nachruf auf FLOYD ist zu finden unter
.
r
o
q
In der Tat, ist + = für alle
, so können wir für jedes Vielfache
der Periode nehmen, das mindestens gleich ist.
A
Man beachte, daß hier im -ten Schritt
erzeugen also die Folge der und die der
ergebnisse zu speichern.
\A
ó
derart,
r
q
P
Wird eine Folge ( ) irgendwann periodisch, so gibt es Indizes
daß
= 2 ist.
A
r
Das Problem, Periodizität in einer Folge zu entdecken, tritt nicht nur in
der Zahlentheorie auf, sondern beispielsweise auch in der Zeitreihenanalyse und anderen Anwendungen. Ein möglicher Algorithmus zu seiner
Lösung, auch als Hase und Schildkröte Algorithmus bekannt, stammt
von FLOYD (1967) und beruht auf folgender Beobachtung:
^
Schritt 0: Man wähle ein quadratisches Polynom und einen Startwert 0 . Setze = = 0 .
Schritt
0: Ersetze durch ( ) und durch
( ) ; berechne dann ggT(
). Falls dieser weder eins noch ist, wurde ein
Faktor gefunden.
A
Wegen der speziellen Form der Rekursion hängt die Restklasse +1 mod
nur ab von mod ; insbesondere ist also +1
+1 mod , falls
mod , und entsprechend stimmen auch für jedes
0 die
Zahlen + und + modulo überein, d.h. die Folge wird modulo
periodisch mit einer Periode , die
teilt.
o
Damit sieht der Grobablauf der Monte-Carlo-Faktorisierung einer natürlichen Zahl folgendermaßen aus:
Rekursionsvorschrift der Form +1 = ( ) mod
mit einem quadratischen Polynom . (Die bei Simulationen sehr beliebten Pseudozufallsgeneratoren nach der linearen Kongruenzmethode sind für die
Monte-Carlo-Methode der Faktorisierung nicht geeignet.)
Kap. 8: Faktorisierungsverfahren
TR
o
×
@
P
@
b) Die ( – 1)-Methode
JOHN M. POLLARD ist ein britischer Mathematiker, der hauptsächlich bei British Telecom arbeitete. Er publizierte rund zwanzig mathematische Arbeiten, größtenteils auf
dem Gebiet der algorithmischen Zahlentheorie. Bekannt sind auch seine Beiträge zur
Kryptographie, für die er 1999 den RSA Award erhielt. Außer den hier vorgestellten
Faktorisierungsalgorithmen entwickelte er unter anderem auch das Zahlkörpersieb, eine
Variante des weiter hinten vorgestellten quadratischen Siebs, dessen Weiterentwicklungen
derzeit die schnellten Faktorisierungsalgorithmen für große Zahlen sind.
×
@
D
POLLARDs zweite Methode beruht auf dem kleinen Satz von FERMAT: Ist
ein Primteiler von und ein Vielfaches von
1, so ist
1 mod
L
dG
o
2
j
@
é
¹° ©
´¶´
©
®¯
·´·
®B ª
¦
® ³¯
¼
¼ ³è §
½ «¬
° ¨ª¯
§
± ²³
ª³¬ê
ª¦
¸
³¯
³«ê
§
±î ° ¸
¼«
«ß
®C
¶î ³¬
o
R
R
und
ist also
@
G
@
@
dG
@
@
2
@
Ì
@
j
2
Ì
2
Ì

B
2
o
dG
o
G
Ì
Ì
Y
B
Ì
@
2
o
x9
@
6
6
@
Wir rechnen in der primen Restklassengruppe (
) und damit im) für jeden Primteiler von
– egal ob wir ihn
plizit auch in (
kennen, oder nicht. In (
) ist für jedes Element die (
1)-te Potenz gleich dem Einselement; genau dasselbe gibt für jede -te Potenz,
für die der Exponent ein Vielfaches von (
1) ist. Bei der (
1)Methode wird ein berechnet, das durch alle Primzahlpotenzen bis zu
einer gewissen Schranke teilbar ist; falls in der Primzerlegung von
1
keine Primzahlpotenz oberhalb der Schranke liegt, ist ein Vielfaches
von
1.
o
o
o
G
Ì
@
x9 @
j
Ì
Y
B
B
xÌ
B

Ì
Y

B
o

]G
G
2
j
G
j
2
j
o
G=
2
o
E
j
x9 @
6
x9
Allgemeiner können wir statt in (
) und (
) auch in einem
anderen Paar von Gruppen rechnen: Wir gehen aus von einer endlichen Gruppe
, deren Elemente sich in irgendeiner Weise als -tupel
über (
) auffassen lassen; außerdem nehmen wir an, daß sich die
Gruppenmultiplikation für zwei so dargestellte Elemente auf Grundrechenarten über
zurückführen läßt. Dann können wir die Elemente
von
zu Tupeln über
reduzieren und die Menge aller so erhaltenen Tupel bildet eine Gruppe
. Wieder ist jede Rechnung in
implizit auch eine Rechnung in .
x9 @
6
E
o
I
@
x9
x9
@
2
E
@
2
Als Beispiel betrachten wir noch einmal 67 = 267 1. Wenn wir mit der
Basis = 17 und der Schranke = 3 000 arbeiten, wird modulo 67
6
@
Es ist klar, daß der Erfolg dieses Verfahrens wesentlich davon abhängt,
daß einen Primteiler hat mit der Eigenschaft, daß alle Primfaktoren
von
1 relativ klein sind. Ob dies der Fall ist, läßt sich im Voraus nicht
sagen; die (
1)-Methode liefert daher gelegentlich ziemlich schnell
sogar 20- oder 30-stellige Faktoren, während sie andererseits deutlich
kleinere Faktoren oft nicht findet.
Um diese Varianten zu definieren, empfiehlt es sich, zunächst die ( 1)Methode etwas abstrakter unter gruppentheoretischen Gesichtspunkten
zu betrachten.
@
2
Schritt 3: Berechne ggT(
). Falls ein Wert ungleich eins oder
gefunden wird, war das Verfahren erfolgreich, ansonsten nicht.
@
2
@
2
Schritt 2: Berechne für jede dieser Primzahlen den größten Exponenten derart, daß auch noch
ist, d.h. = [log
log ]. Ersetze
dann den aktuellen Wert von durch
mod .
= 193 707 721
Falls
1 nicht nur relativ kleine Primfaktoren hat, führt die (
1)Methode nicht zum Erfolg. In solchen Fällen hat dann aber vielleicht +1
oder irgendeine andere Zahl in der Nähe von nur kleine Primfaktoren.
1)-Methode zum Erfolg
In solchen Fällen können Varianten der (
führen.
c) Varianten
@
2
2
Schritt 1: Erstelle (z.B. nach ERATOSTHENES) eine Liste aller Primzahlen
.
G
@
.
=
@
und eine Basis zwischen 1 und
G
2
@
Schritt 0: Wähle eine Schranke
67 )
`
@
2
Insgesamt funktioniert POLLARDs (
1)-Methode zur Faktorisierung
einer natürlichen<Zahl also folgendermaßen:
1
?
Damit ist eine nichttriviale Faktorisierung gefunden, und ein Primzahltest zeigt, daß sowohl der gefundene Faktor als auch sein Komplement
prim sind.
= 111 153 665 932 902 146 348 mit ggT(
potenziert zum neuen
Kap. 8: Faktorisierungsverfahren
Natürlich ist
1 nicht bekannt, wir können aber hoffen, daß
1
nur durch vergleichsweise kleine Primzahlen teilbar ist. Sei etwa eine
Schranke mit der Eigenschaft, daß
1 durch keine Primzahlpotenz
größer
teilbar ist. Dann ist das Produkt aller Primzahlpotenzen
, die höchstens gleich
sind, sicherlich ein Vielfaches von
1,
wenn auch ein extrem großes, das sich kaum mit realistischem Aufwand
berechnen läßt. Für jedes konkrete kann
mod
jedoch verhältnismäßig einfach berechnet werden: Man potenziert einfach nacheinander für jede Primzahl
modulo
mit deren größter Potenz,
die immer noch kleiner oder gleich
ist; mit dem Algorithmus zur
modularen Exponentiation aus Kapitel 1 geht das auch für sechs- bis
siebenstellige Werte von noch recht flott.
mod
o
für jedes zu teilerfremde ; der ggT von
durch teilbar.
Zahlentheorie SS 2007
uR
I
o
E
7
E
7
x9 @
o
o
I
`
G
2
`
Ì
G
R
S
E
sei
( ).
o
o
@
7
E
I
j
@
E
o
2
j
7
G
@
@

Q
P
E I
H 2P |
l
H
H
P
q
q
r=
r
r=
@

P
H
@

H
2P
P
68
5 7
x
6 7
6 5
|
x9 E 7
o
@
@
@
E
I
2
2
@
=
3
(
3
+ ) .
2
@
@
o
q
r
E
E
2
@
@
I
6
68
5 7
@
@
I
|
x9 6
x9
|
E
E
x9
E
I
x9
l
2
|
r=
r
q
r
@
B
7
I
|
H
rG
q
q
r
2
2
2
q
r
o
o
G
Ô
H
G=
=
2
.
q
o
r
q
o
H
E
|
=
2
;
FERMAT berechnet für = 0 1 2
die Zahlen + 2 ; falls er auf ein
2
Quadrat stößt, hat er zwei Faktoren
gefunden.
2
@
zusammen mit obiger Formel folgt
B
+
Produkt zweier ungerader Primzahlen, so ist
+
und
= ( + )(
) mit
=
=
2
r
=
q
Ist
Die bisher betrachteten Verfahren funktionieren vor allem dann gut,
wenn die zu faktorisierende Zahl mindestens einen relativ kleinen Primteiler hat. Das hier beschriebene Verfahren von FERMAT führt genau
dann schnell ans Ziel, wenn sie sich als Produkt zweier fast gleich
großer Faktoren schreiben läßt. In seiner einfachsten Form beruht es auf
der
2
2
).
= ( + )(
§3: Das Verfahren von Fermat und seine Varianten
2
r
2
@
9 I
z
q
r
??
=?
=
=
q
r
o
Z
5 7
2
¢@
k
k
¢@
o
7
@
@
@
2
o
=
q
2
= ( + )(
r
),
o
Z
o
q
r
q
r
Z
q
o
H
G
@
o
2
q
o
r
2
und wenn man Glück hat, sind ggT(
) echte Faktoren von .
Wenn man Pech hat, sind dies die beiden Zahlen eins und , so daß
2
Anstelle der Zahlen + 2 kann man auch für ein festes die Zahlen
+ 2 betrachten. Falls dies eine Quadratzahl 2 ist, gilt entsprechend
q
und wie man inzwischen weiß, kann man auch für jeden Wert, der
diese Ungleichung erfüllt, Parameterwerte und finden, so daß ( )
gleich diesem Wert ist. Wenn man mit hinreichend vielen verschiedenen
Kurven arbeitet, ist daher die Chance recht groß, daß der Exponent
wenigstens für eine davon ein Vielfaches von ( ) ist.
F
q
B2
genügen, wobei
Elemente von
sind, für die
= 4 3 27 2
teilerfremd zu ist; dazu kommt ein weiterer Punkt , den wir formal
als (0 ) schreiben.
ist dann die entsprechende Punktmenge in 2
zusammen mit . Nach einem Satz von HELMUT HASSE (1898–1979)
ist
+1 2
( )
+1+2
,
2)
r=
Man kann zeigen, daß dies die Menge der Kurvenpunkte zu einer Gruppe
mit Neutralelement macht, in der man genauso vorgehen kann wie
bei der klassischen (
1)-Methode.
2
r
(
q
Derzeit am populärsten ist aber eine andere Wahl von
und
: Wir
nehmen für
eine elliptische Kurve über
. Dabei handelt es sich
um die Menge aller Punkte (
)
(
)2 , die einer vorgegebenen
Gleichung
2
= 3
r=
=
\r
2
1
= +1,
1
daher der Name ( + 1)-Methode. Zur Konstruktion vom
brauchen
wir zunächst eine Gruppe, die modulo auf
reduziert; dazu können
) nehmen.
wir eine geeignete quadratische Erweiterung von (
ist dann die Faktorgruppe dieser Gruppe nach (
) .
q
rF
2
r=
q
rF
( )=
rF
1)
1
r=
(
r
^
Bleibt nur noch das Problem, geeignete Gruppen zu finden. Bei der
1)-Methode ist
= (
) und ( ) =
1. Ein anderer
(
Vorschlag von POLLARD war
= 2
; hier ist
Die Multiplikation ist folgendermaßen definiert: Durch zwei Punkte
( 1 1 ) und ( 2 2 ) auf der Kurve geht genau eine Gerade; setzt man
deren Gleichung =
+ ein die Kurvengleichung ein, erhält man ein
Polynom dritten Grades in . Dieses hat natürlich die beiden Nullstellen
1
2 , und daneben noch eine dritte Nullstelle 3 . Der dritte Schnittpunkt der Geraden mit der Kurve ist somit ( 3
3 + ); als Summe der
beiden Punkte definiert man aber
Kap. 8: Faktorisierungsverfahren
R
Wir wählen irgendein Element von
und potenzieren es mit demselben
Exponenten , mit dem wir bei der
1-Methode die Zahl modulo
potenziert haben. Falls ein Vielfaches von ( ) ist, erhalten wir ein
Element
, dessen Reduktion modulo das Einselement von
ist. Ist daher die -te Koordinate von und die von , so muß die
durch teilbar sein, und mit etwas Glück können wir
Differenz
als ggT von und
bestimmen.
Die Elementanzahl von
Zahlentheorie SS 2007

z
q=
r
j
o
@
R
Z
Z
l
r=
q
o
L
r
q
Auch hier sind mit etwas Glück ggT(
) echte Faktoren von ,
wenn man Pech hat sind es einfach wieder eins und . In der Praxis wird
2
mod
man daher von vornherein gleich mehrere Paare (
) mit 2
suchen um die Chance zu erhöhen, daß zumindest ein Paar auf eine
nichttriviale Faktorisierung führt.
o
o
z
o
L
q
r
q
r=
q=
r
o
Ä
o

t o
¢
s
r
r
l
@
2

o
t o
¢

s
r
L
Ä
r
r
Ä
P
P7
rd
=
??
=?
r
r=
r
P
=0
für alle
.
Betrachten wir die
als Variablen, ist dies ein homogenes lineares
Gleichungssystem in Variablen mit soviel Gleichungen, wie es Primzahlen in der Faktorbasis gibt. Dieses Gleichungssystem hat nichttriviale
Lösungen, falls die Anzahl der Variablen die der Gleichungen übersteigt,
P
=1
d a
æ
P7
æ

P
r
d N P
L
P
r
Ä
d N P
eine Relation der gesuchten Art.
G
P
@
=1
P
æ
l
=1
P
d a
P
P7
mod
eP
r
æ

G
2
7
P7
P
+
3
für alle
gerade ist. Dies hängt natürlich nur ab von den mod 2
mod 2; wir können
und
daher als Elemente des
und den
Körpers mit zwei Elementen auffassen und bekommen dann über 2
die Bedingungen
5
( )
Ä
H
=1
=1
æ
finden können, für die das
Falls wir allerdings Werte 1 2
Produkt der ( ) eine Quadratzahl ist, dann ist
J
I
2
-te Primzahl
8 960 453
10 570 841
12 195 257
13 834 103
15 485 863
r
Für jedes ist dann ( )
+
mod , wobei links und
rechts verschiedene Zahlen stehen. Insbesondere steht links im allgemeinen keine Quadratzahl.
d N
@
genau dann ein Quadrat, wenn
N
.
P
=
7
( )
H
=1
Ä
r
I
n e
e
2
G
e @
so ist
3
J
+
N
Beim quadratischen Sieb interessieren nur -Werte, für die ( ) als
Produkt von Primzahlen aus (und eventuell auch Potenzen davon)
darstellbar ist. Ist
( )=
,
|
r
e
( )=
600 000
700 000
800 000
900 000
1 000 000
|
Im einfachsten Fall arbeiten wir ausschließlich mit dem Polynom
-te Primzahl
1 299 709
2 750 159
4 256 233
5 800 079
7 368 787
Ä
Hier soll nur kurz der Grundalgorithmus, das sogenannte quadratische
Sieb, beschrieben werden; die wirklich für Rekordfaktorisierungen benutzen Modifikationen sind teilweise mathematisch recht anspruchsvolle Varianten davon.
|
100 000
200 000
300 000
400 000
500 000
|
ist, und unter diesen Verfahren sind die besten derzeit bekannten zur
Faktorisierung großer Zahlen ohne kleine Primteiler.
9
mod
r
P
2
G
2
G
Es gibt allerdings eine ganze Reihe von Algorithmen, die ohne Rücksicht
auf einen konkreten Wert von einfach Zahlen
suchen, für die
Um die zu finden, betrachten wir eine Menge von Primzahlen, die
sogenannte Faktorbasis. Typischerweise enthält für die Faktorisierung einer etwa hundertstelligen Zahl etwa 100–120 Tausend Primzahlen, deren größte somit, wie die folgende Tabelle zeigt, im einstelligen
Millionenbereich liegt.
Kap. 8: Faktorisierungsverfahren
R
dies auf den ersten Blick keine Vorteile gegenüber dem klassischen
FERMAT-Verfahren hat, insbesondere da es keine offensichtliche Wahl
für gibt.
Zahlentheorie SS 2007

j
o
t o
¢
s
Zahlentheorie SS 2007

R
Ä
r
P
o
J
t o
¢
s

e
r
d N
J
d N
Ä
P
eP
r
P
o
o
L
r
q
æ
æ
P
P
e
mod
o
÷
o
Je
n e
e
.
t o
¢
q
3
N
@
r
I
H
7
3
2
2
2
L
7
3 11
7 11
3 72 11
K
L
K
L
K
K
r
72 mod 15 .
ggT(4
1 15) = 3 .
mod 15
mod 15
mod 15
mod 15
K
K
L
@
=
; =
G
=
=
K
K
462 15) = ggT(240 15) = 15
K
ggT(702
4622 mod 15. Da
(2 3 7 11)2 mod 15
K
2
=
(6 13 57)2
(2 3 72 11)2 mod 15
Wir erhalten auch dann rechts ein Quadrat, wenn wir das Produkt der
ersten, dritten und vierten Relation bilden; dies führt auf
ist, bringt das leider nichts.
oder 7022
(6 9 13)2
Multipliziert man die ersten drei dieser Relationen miteinander, folgt
62
92
132
542
K
K
L
die Primzahl fünf fehlt, da 3 5 = 15 ist und daher bei einer Faktorbasis,
die sowohl drei als auch fünf enthält, die Gefahr zu groß ist, daß die
linke wie auch die rechte Seite der Kongruenz durch fünfzehn teilbar
ist. Bei realistischen Anwendungen muß man auf solche Überlegungen
keine Rücksicht nehmen, denn dann sind die Elemente der Faktorbasis
höchstens siebenstellig und somit erheblich kleiner als die gesuchten
Faktoren.
ggT(4 + 1 15) = 5 und
L
K
= 2 3 7 11 ;
=
Da dies aber ein Zufall ist, der bei großen Werten von
so gut wie
nie vorkommt, wollen wir das ignorieren und mit den Relationen zu
= 3 6 10 und 51 arbeiten:
=
K
Als Faktorbasis verwenden wir die Menge
1 mod 15 und 82
Die zweite Relation ist nutzlos, denn 8 7 = 1 und 8 + 7 = 15. Die erste
dagegen führt zur Faktorisierung, denn
42
=
Zum besseren Verständnis des Verfahrens wollen wir versuchen, damit
die Zahl 15 zu faktorisieren. Dies ist zwar eine sehr untypische Anwendung, da das quadratische Sieb üblicherweise erst für mindestens etwa
vierzigstellige Zahlen angewandt wird, aber zumindestens das Prinzip
sollte auch damit klarwerden.
+
r
d N P
s
=1
J
=
r
L
und
r
=
mod
K
Die erste und die dritte Zeile sind selbst schon Relationen der gesuchten
Art, nämlich
K
2
=1
K
K
o
=
( ) Faktorisierung
1
21
3 7
49
72
66
2 3 11
154
2 7 11
3234 2 3 72 11
K
K
L
2
1
2
s
4
6
8
9
13
57
K
K
Da nur die Werte 0 und 1 annimmt, stehen in obigem Produkt natürlich
keine echten Potenzen: Man multipliziert einfach nur die Faktoren miteinander, für die = 1 ist. Außerdem interessieren nicht die links- und
rechtsstehenden Quadrate, sondern deren Quadratwurzeln; tatsächlich
also berechnet man (hier natürlich in 0 )
+
t o
¢
2
eine Relation der Form
mod , die mit einer Wahrscheinlichkeit von etwa ein halb zu einer Faktorisierung von
führt. Falls wir
zehn linear unabhängige Lösungen des Gleichungssystems betrachten,
führt also mit einer Wahrscheinlichkeit von etwa 99,9% mindestens eine
davon zu einer Faktorisierung.
r
1
3
5
6
10
54
r
Ä
=1
r
2
=
mod
=?
=1
P
2
r
+
??
=
=
( )
Ä
Für jede nichttriviale Lösung ist
Wir berechnen ( ) für = 1 2
bis wir einige Funktionswerte
haben, die über der Faktorbasis faktorisiert werden können. Die faktorisierbaren Werte sind in folgender Tabelle zusammengestellt:
R
falls es also mehr Zahlen gibt, für die ( ) über der Faktorbasis faktorisiert werden kann, als Primzahlen in der Faktorbasis.
Kap. 8: Faktorisierungsverfahren

K
K
K
L
K
K
R
L
=
=
2
Ä
r
Ä
@
r
Ä
@
L
r
Ä
Ä
Ä
r
@
L
q
r
@
@
q
L
r
Ä
L
r
Ä
9
Z
l
@
L
Z@
r
k
Y
@
Ä
r
@
2
r
@
@
r
Ä
o

t o
¢
s
r
5 7
s
r
Ä
r
2
KL
o

2
t o
¢
2
9
o
o
mod
Ä
L
2
5
und diese Gleichung ist genau dann lösbar, wenn es ein Element
gibt mit Quadrat , wenn also in
Z@
,
r

=
@
2
Ä
=0
@
2
@
( )=
r
r
@
o
Falls ( ) über der Faktorbasis komplett faktorisierbar ist, sollte dann
am Ende der entsprechende Feldeintrag bis auf Rundungsfehler gleich
null sein; um keine Fehler zu machen, untersucht man daher für alle
Feldelemente, die unterhalb einer gewissen Grenze liegen, durch Abdividieren, ob sie wirklich komplett faktorisieren, und man bestimmt auf
diese Weise auch wie sie faktorisieren. Damit läßt sich dann das oben
erwähnte Gleichungssystem über 2 aufstellen und, falls genügend viele Relationen gefunden sind, nichttrivial so lösen, daß eine der daraus
2
mod zu einer nichttrivialen Fakresultierenden Gleichungen 2
torisierung von führt.
@
2 Z
Dazu kann man auch als Polynom über dem Körper mit Elementen
betrachten und nach Nullstellen in diesem Körper suchen. Für Polynome
großen Grades und große Werte von kann dies recht aufwendig sein;
hier, bei einem quadratischen Polynom, müssen wir natürlich einfach
eine quadratische Gleichung lösen: In
wie in jedem anderen Körper
auch gilt
`
1 nach Werten zu suchen, für
Ä
@
Es genügt daher, im Bereich 0
die ( ) durch teilbar ist.
r
Für jede Primzahl aus der Faktorbasis berechnet man dann die beiden
Nullstellen 1 2 von modulo im Intervall von 0 bis
1 und
subtrahiert von jedem Feldelement mit Index der Form 1 +
oder
eine
ganzzahlige
Approximation
von
log
.
+
2
2
=
.
Ä
=?
für alle
Das eigentliche Sieben zum Auffinden der komplett über der Faktorbasis
zerlegbaren Funktionswerte ( ) geht dann folgendermaßen vor sich:
Man legt ein Siebintervall = 0 1
fest und speichert in einem
Feld der Länge
+ 1 für jedes eine ganzzahlige Approximation
von log2 ( ).
@
r
?? r
0 mod
Ä
=
)
r
`
( +
Ä
r
ist. Für ein Polynom mit ganzzahligen Koeffizienten ist offensichtlich
( )
( ) mod , falls
mod ist. Daher ist für ein mit
( ) 0 mod auch
@
5 7
0 mod
@
( )
o
Insbesondere kann also ( ) nur dann durch teilbar sein, wenn
modulo ein Quadrat ist; dies ist für etwa die Hälfte aller Primzahlen
der Fall. Offensichtlich sind alle anderen Primzahlen nutzlos, die Faktorbasis sollte also nur Primzahlen enthalten, für die
modulo ein
Quadrat ist. Mit Hilfe des quadratischen Reziprozitätsgesetzes läßt sich
leicht bestimmen, für welche Primzahlen dies der Fall ist. Für solche
kann man dann (z.B. mit dem Algorithmus von SHANKS) die beiden
Lösungen der Gleichung ( ) = 0 in
berechnen.
@
teilbar, wenn
r
¡
@
Der Funktionswert ( ) ist genau dann durch
;
u
Daher ist es wichtig, ein Verfahren zu finden, mit dem diese wenigen
Funktionswerte schnell und einfach bestimmt werden können. Das ist
zum Glück möglich:
r
andernfalls gibt es keine Lösung.
=
dann die beiden Nullstellen
T
Bei realistischen Beispielen sind die Funktionswerte ( ) deutlich
größer als die Primzahlen aus der Faktorbasis; außerdem liegen die
vollständig faktorisierbaren Zahlen viel dünner als hier: Bei der Faktorisierung einer hundertstelligen Zahl etwa muß man davon ausgehen, daß
nur etwa jeder 109 -te Funktionswert über der Faktorbasis zerfällt.
2 hat ( ) = 0 in
m
3234 15) = ggT(1212 15) = 3 ,
ist. Für
Ä
ggT(4446
32342 mod 15. Hier ist
Kap. 8: Faktorisierungsverfahren
s
5 7
t o
¢
z
womit wir die Zahl 15 faktorisiert haben – wenn auch nicht unbedingt
auf die einfachstmögliche Weise.
oder 44462
Zahlentheorie SS 2007
T
o
q
r
r
5 7
l
¡
@
L
¡