Skriptum zur Vorlesung Elementare Zahlentheorie Sommersemester

Skriptum zur Vorlesung
Elementare Zahlentheorie
Sommersemester 2006
Prof. Dr. Helmut Maier
Dipl.-Math. Daniel Haase
Inhaltsverzeichnis
Einleitung
4
1.
1.1.
1.2.
Teilbarkeit
Teilbarkeit ganzer Zahlen
Primzahlen
5
5
8
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
Kongruenzen
Einleitung
Lösungen linearer Kongruenzen
Der Chinesische Restsatz
Polynomkongruenzen
Primitivwurzeln und Potenzreste
Das Quadratische Reziprozitätsgesetz
11
11
15
16
17
20
24
3.
3.1.
3.2.
Anwendungen in der Kryptologie, Primzahltests
Public-Key-Codes, RSA-Verfahren
Primzahltests
31
31
33
4.
4.1.
4.2.
Algebraische Zahlen
Algebraische Zahlen und ganzalgebraische Zahlen
Quadratische Zahlkörper
37
37
41
5.
5.1.
5.2.
5.3.
5.4.
Kettenbrüche und Diophantische Approximation
Endliche Kettenbrüche
Unendliche Kettenbrüche
Kettenbruchentwicklung quadratischer Irrationalitäten
Diophantische Gleichungen - Überblick
48
48
51
53
57
59
Index
3
Einleitung
Im Unterschied zur Analysis, deren Gegenstand die Körper R und C der reellen und komplexen Zahlen
sind, beschäftigt sich die Zahlentheorie mit Untermengen dieser Körper. Die rationale Zahlentheorie,
mit der wir uns in dieser Vorlesung vorwiegend befassen werden, untersucht die Menge N = {1, 2, 3, . . .}
der natürlichen Zahlen und einfache Erweiterungen, wie den Ring Z der ganzen Zahlen und den Körper
Q der rationalen Zahlen. Die algebraische Zahlentheorie untersucht Erweiterungsringe und -körper, die
man erhält, wenn man zu den obigen Mengen algebraische Zahlen hinzunimmt. Eine komplexe Zahl ist
algebraisch, wenn sie eine Nullstelle
√ eines vom Nullpolynom verschiedenen Polynoms mit rationalen
Koeffizienten ist, wie zum Beispiel 2 als Nullstelle von X 2 −2. Die Zahlentheorie ist heute ein riesiges
Gebiet, das aus etwa 200 Teildisziplinen besteht. Die Teildisziplinen können zum einen durch Objekte
definiert werden, die in ihnen studiert werden - wie zum Beispiel die algebraische Zahlentheorie, in
der algebraische Zahlen betrachtet werden - zum anderen auch durch die Methoden, die in ihnen zur
Anwendungen kommen - hauptsächlich Methoden der Algebra in der algebraischen Zahlentheorie,
und analytische Methoden in der analytischen Zahlentheorie.
Die Fragestellungen - auch in der elementaren Zahlentheorie - sind häufig schwieriger als die Fragestellungen der Analysis. Während zum Beispiel Fragen über die Lösbarkeit von Gleichungen in
der Analysis meist einfach zu beantworten sind, sind diese in der Zahlentheorie oft sehr schwierig.
Der Hintergrund liegt darin, dass viele Operationen - wie Division und Wurzeloperationen - in den
Körpern R und C fast uneingeschränkt durchführbar sind, während sie im Ring der ganzen Zahlen
nur in Ausnahmefällen funktionieren. Die Gleichung
(∗) ax = b
mit a, b ∈ R besitzt in R stets die Lösung x = ba−1 falls a 6= 0 ist. Sind hingegen a, b ∈ Z, und
betrachten wir (∗) als Diophantische Gleichung - nur ganzzahlige Lösungen sind zugelassen - so ist
(∗) nur in Ausnahmefällen lösbar. die Lösbarkeit dieser Gleichung führt auf den Begriff der Teilbarkeit.
Ist a 6= 0 und (∗) lösbar, so heißt b durch a teilbar, a ist ein Teiler von B, und b heißt Vielfaches von
a.
Viele Fragen über die Lösbarkeit von Diophantischen Gleichungen sind noch heute ungelöst. Eine
Diophantische Gleichung, deren Lösungen seit dem Altertum studiert werden, ist
(∗∗) x2 + y 2 = z 2 .
Die positiven Lösungen dieser Gleichung beschreiben nach dem Satz des Pythagoras die Längen der
Seiten eines rechtwinkligen Dreiecks. Sind diese Längen ganzzahlig, so spricht man auch von einem
pythagoräischen Dreieck. Das Bekannteste hat die Seitenlängen x = 4, y = 3 und z = 5. Man
kann relativ leicht die vollständige Lösungsmenge der Diophantischen Gleichung (∗∗) angeben. Der
Mathematiker Fermat (1601-1665), der vielfach als Begründer der modernen Zahlentheorie angesehen
wird, hat die Verallgemeinerung
xn + y n = z n (n ∈ N)
betrachtet und behauptet, dass diese Gleichung für n ≥ 3 nur triviale Lösungen (x · y · z = 0) besitzt.
Einen Beweis hat er nie veröffentlicht. Diese Fermatsche Vermutung konnte erst 1994 (Wiles,Taylor)
bewiesen werden. Auch in anderen Teilgebieten der Zahlentheorie gibt es noch zahlreiche ungelöste
Probleme. Während die Zahlentheorie früher als völlig reine Mathematik galt, haben sich vor allem
seit 1970 eine Reihe von wichtigen Anwendungen ergeben. In dieser Vorlesung soll dazu das Thema
der Public-Key-Codes zur Sprache kommen.
4
1. Teilbarkeit
1.1. Teilbarkeit ganzer Zahlen
Der Begriff eines Teilers, einer Primzahl und eines gemeinsamen Vielfachen ist mindestens seit der
Zeit Euklids (ca. 365 v.Chr.) bekannt. Um eine einfachere Formulierung der Sätze zu ermöglichen,
schließen wir in unsere Diskussion oft ganze (d. h. auch negative) Zahlen ein. Die Menge der ganzen
Zahlen bezeichnen wir mit Z.
Definition 1.1.1
Eine ganze Zahl b heißt durch eine ganze Zahl a 6= 0 teilbar, falls es ein x ∈ Z gibt, so dass b = ax ist,
und wir schreiben a|b. Falls b nicht durch a teilbar ist, schreiben wir a6 | b.
Satz 1.1.1
Es seien a, b, c ∈ Z, dann gilt:
(i)
(ii)
(iii)
(iv)
(v)
(vi)
a|b ⇒ a|bc,
a|b und b|c ⇒ a|c,
a|b und a|c ⇒ a|(bx + cy) für alle x, y ∈ Z,
a|b und b|a ⇒ a = ±b,
a|b und a, b > 0 ⇒ a ≤ b,
ist m 6= 0, so gilt a|b ⇔ ma|mb.
Beweis
Die Beweise folgen unmittelbar mit der Definition der Teilbarkeit. Beispielsweise
a|b ⇒ ∃x ∈ Z : b = ax ⇒ bc = acx ⇒ a|bc .
Bemerkung 1.1.1
Diese Regeln sind auch für die Extremfälle 1 und 0 zulässig, speziell gilt 1|a und a|0 für alle a ∈ Z.
Satz 1.1.2 (Division mit Rest)
Es seien a, b ∈ Z mit a > 0. Dann gibt es eindeutig bestimmte Zahlen q und r, so dass b = qa + r mit
0 ≤ r < a ist. Falls a6 | b, so ist 0 < r < a.
Beweis
Existenz: Wir setzen q := ab (mit [·] bezeichnen wir die Abrundung auf eine ganze Zahl). Dann gilt
qa ≤ ab a = b und (q + 1)a > ab a = b bzw. qa ≤ b < qa + a. Mit r = b − qa gilt dann 0 ≤ r < a. Ist
r = 0, so folgt a|b.
Eindeutigkeit: Es sei b = q1 a + r1 = q2 a + r2 mit 0 ≤ r1 < a, 0 ≤ r2 < a. Ohne Einschränkung
sei r2 < r1 , dann ist 0 < r1 − r2 < a. Andererseits ist 0 = (q1 − q2 )a + (r1 − r2 ), also a|(r1 − r2 ). Nach
Satz 1.1.1(v) ist a ≤ r1 − r2 , ein Widerspruch.
Bemerkung 1.1.2
Aus dem Beweis ergibt sich die Berechnung des Quotienten q und des Rests r zu q = ab und r = b−qa.
Definition 1.1.2
Die ganze Zahl a heißt gemeinsamer Teiler von b und c, falls a|b und a|c gilt. Da jede von 0 verschiedene Zahl nur endlich viele Teiler besitzt, gibt es nur endlich viele gemeinsame Teiler von b und c,
außer im Fall b = c = 0. Falls wenigstens eine Zahl b oder c ungleich 0 ist, heißt der größte ihrer
gemeinsamen Teiler der größte gemeinsame Teiler von b und c und wird mit ggT(b, c) oder kurz (b, c)
bezeichnet. Der größte gemeinsame Teiler der ganzen Zahlen a 1 , a2 , . . . , an , (nicht alle Null), wird mit
ggT(a1 , a2 , . . . , an ) bezeichnet.
5
Satz 1.1.3
Es seien a, b ∈ Z, dann gilt:
(i) Ist g = (a, b), dann gibt es ganze Zahlen x, y ∈ Z mit xa + yb = g.
(ii) Der ggT von a und b ist der kleinste positive Wert von xa + yb, wenn x und y über Z laufen.
(iii) (a, b) ist derjenige positive gemeinsame Teiler von a und b, der durch jeden gemeinsamen
Teiler teilbar ist.
Beweis
Zu (i): Es sei G = {xa + yb | x, y ∈ Z}. Diese Menge enthält positive und negative Zahlen, sowie die
Null. Es seien x0 , y0 ∈ Z so gewählt, dass l = x0 a + y0 b die kleinste positive Zahl der Menge G ist.
Wir wollen l = (a, b) zeigen. Dazu sei a = lq + r mit 0 ≤ r < l die Division mit Rest, dann haben
wir r = a − lq = a − q(x0 a + y0 b) = (1 − qx0 )a + (−qy0 )b. Damit ist r ∈ G, aber auch r < l, woraus
r = 0 folgt. Also ist (wegen dem verschwindenden Rest r) l|a, woraus auch l|b folgt. Da g = (a, b) ist
können wir a = ga0 und b = gb0 schreiben, sowie l = x0 + y0 b = g(x0 a0 + y0 b0 ). Damit gilt g|l, und
mit Satz 1.1.1(v) ist g ≤ l. Aber g < l ist unmöglich, da g der größte gemeinsame Teiler ist. Daher ist
g = l = x0 a + y0 b, und (ii) gilt nach Wahl von l. Zu (iii): Ist d ein gemeinsamer Teiler von a und b,
und g = x0 a + y0 b = (a, b), so ist nach Satz 1.1.1(iii) auch d|g. Ferner ist (a, b) durch die Eigenschaft
(ii) eindeutig bestimmt wegen 1.1.1(iv).
Eine Verallgemeinerung dieses Satzes erhalten wir mit
Satz 1.1.4
Sind a1 , . . . , an ∈ Z nicht alle Null mit dem größten gemeinsamen Teiler g, so gibt es x 1 , . . . , xn ∈ Z
mit
n
X
g = (a1 , . . . , an ) =
xk ak .
k=1
P
Ferner ist g der kleinste positive Wert von
xk ak , wenn die xk alle ganzen Zahlen durchlaufen, und
g ist derjenige positive gemeinsame Teiler von a 1 , . . . , an , der durch jeden gemeinsamen Teiler teilbar
ist.
Der Beweis verläuft analog zum vorigen Satz.
Satz 1.1.5
Für jede positive ganze Zahl m und alle a, b ∈ Z gilt (ma, mb) = m(a, b).
Beweis
Nach Satz 1.1.3 ist (ma, mb) der kleinste positive Wert von mxa + myb gleich dem m-fachen des
kleinsten positiven Werts von xa + yb, also gleich m(a, b).
Daraus folgt auch
Satz 1.1.6
Gilt d|a und d|b für eine natürliche Zahl d, so folgt ( ad , db ) = 1d (a, b). Ist (a, b) = g, so ist ( ag , gb ) = 1.
Satz 1.1.7
Ist (a, m) = (b, m) = 1, so ist (ab, m) = 1.
Beweis
Es seien x0 , y0 , x1 , y1 ∈ Z mit x0 a + y0 m = x1 b + y1 m = 1. Damit folgt x0 ax1 b = (1 − y0 m)(1 − y1 m) =
1 − y2 m mit y2 = y0 + y1 − y0 y1 m. Also (x0 x1 )ab + y2 m = 1. Jeder gemeinsame Teiler von ab und m
teilt daher 1, also (ab, m) = 1.
6
Definition 1.1.3
Wir sagen a und b sind teilerfremd, falls (a, b) = 1 gilt. Entsprechend nennt man a 1 , a2 , . . . , an teilerfremd, falls (a1 , a2 , . . . , an ) = 1 ist. Wir sagen a1 , a2 , . . . , an sind paarweise teilerfremd falls (a i , aj ) = 1
für i 6= j gilt.
Die Berechnung des ggT und der Koeffizienten geschieht mit Hilfe des Euklidischen Algorithmus, den
wir im Folgenden erläutern. Er basiert auf den folgenden Eigenschaften des ggT:
Lemma 1.1.8
Für alle a, b ∈ Z gilt (a, b) = (b, a) und (a, b) = (a, b − qa) für alle q ∈ Z.
Beweis
Die erste Behauptung ist klar. Ist q ∈ Z beliebig und d irgend ein gemeinsamer Teiler von a und b,
etwa a = a0 d und b = b0 d, so gilt b − qa = b0 d − qa0 d = d · (b0 − qa0 ), d. h. d ist auch ein Teiler von a
und b − qa für alle q ∈ Z. Teilt dagegen ein d die Zahlen a und b − qa, so auch b − qa + qa = b. Also
stimmen die Teiler überein und damit auch deren Maximum, der ggT.
Man kann den Euklidischen Algorithmus daher wie folgt beschreiben: die beiden Identitäten des Lemmas werden sukzessive angewendet, bis der Ausdruck (a, b) in die Form (g, 0) gebracht wurde, woraus
(a, b) = (g, 0) = g folgt. Für eine übersichtliche Rechnung auf dem Papier bietet sich eine tabellarische
Notation der Rechenschritte an. Dazu tauscht man ggf. die Zahlen, so dass a > b ist, und setzt a 1 = a
und a2 = b. Danach wendet man sukzessive den Rekursionsschritt
c
b aan−2
n−1
an := an−2 − qn · an−1
an. Die definierende Eigenschaft der Division mit Rest ist es,
mit dem größtmöglichen qn =
dass der Betrag des Rests an stets kleiner ist als der Betrag des Divisors a n−1 , d. h. die Beträge der
so konstruierten Folge sind streng monoton fallend, und nach endlich vielen Schritten ist a n = 0. Das
letzte nichttriviale Folgenglied ist dann der ggT.
Beispiel 1.1.1
Wir berechnen den ggT von 7 und 25. In der zugehörigen Tabelle werden der Übersicht halber die
Reste an sowie die Quotienten qn notiert:
n a n qn
1 25
2 7
3 4
3
4 3
1
5 1
1
6 0
3
Der Euklidische Algorithmus kann erweitert werden, so dass er auch die Koeffizienten x, y ∈ Z berechnet mit xa + yb = (a, b). Die beiden Operationen Tauschen“ und Modulus abziehen“ können
”
”
parallel zum ggT auch auf die Koeffizienten angewendet werden, es gilt dann in jedem Schritt der
Rechnung, dass xa + yb gerade der Rest der letzten Umformung ist, d. h. im vorletzten Schritt ist
xa + yb = (a, b). Die Werte der Koeffizienten werden wie die Reste als Folgen (x n ) und (yn ) aufgefasst
und in der Tabelle mitgeführt, dabei sind in jedem Schritt die Werte x n bzw. yn als Reste mit dem
Quotienten qn zu berechnen:
xn := xn−2 − qn · xn−1
yn := yn−2 − qn · yn−1
Der Quotient qn stammt aus der Division mit Rest der (a n )-Glieder des ursprünglichen Verfahrens.
Es wird x1 = 1 und y1 = 0 gesetzt, damit im ersten Schritt x 1 a1 + y1 a2 = a1 gilt, bzw. x2 = 0 und
y2 = 1, d. h. x2 a1 +y2 a2 = a2 . Wird die obige Rekursionsvorschrift angewendet, so gilt in jedem Schritt
7
xn a1 + yn a2 = an wie gewünscht. Für das vorige Beispiel ergibt sich die folgende Tabelle, in der die
Koeffizienten xn und yn in jeder Zeile den Rest an aus den ursprünglichen Zahlen a und b kombinieren:
n a n qn
1 25
2 7
3
3 4
4 3
1
5 1
1
6 0
3
xn
1
0
1
-1
2
-7
yn
0
1
-3
4
-7
25
Daraus ergibt sich die Linearkombination des ggT zu 2 · 25 + (−7) · 7 = 1.
Definition 1.1.4
Die ganzen Zahlen a1 , . . . , an , alle von Null verschieden, haben ein gemeinsames Vielfaches b, falls a i |b
gilt für i = 1 . . . n. Das kleinste der positiven Vielfachen heißt kleinstes gemeinsames Vielfaches, und
wird mit kgV(a1 , . . . , an ) oder auch kurz [a1 , . . . , an ] bezeichnet.
Die dualen Aussagen zu den entsprechenden Sätzen für den ggT fassen wir ohne Beweis zusammen:
Satz 1.1.9
Für das kgV gilt:
(i) Ist b ein gemeinsames Vielfaches von a 1 , . . . , an , so gilt [a1 , . . . , an ]|b.
(ii) Ist m > 0, so gilt [ma, mb] = m[a, b].
(iii) Es ist [a, b] · (a, b) = a · b.
1.2. Primzahlen
Definition 1.2.1
Eine natürliche Zahl p > 1 heißt Primzahl, falls es keinen Teiler d|p gibt mit 1 < d < p. Eine nat ürliche
Zahl a > 1, die keine Primzahl ist, heißt zusammengesetzt.
Beispiel 1.2.1
Die ersten Primzahlen sind 2, 3, 5, 7, 11, 13, 17, 19.
Die Primzahlen bilden die multiplikativen Bausteine der natürlichen Zahlen:
Satz 1.2.1
Jede natürliche Zahl n > 1 kann als Produkt von Primzahlen geschrieben werden.
Beweis
Induktion nach n: Für n = 2 ist der Satz klar. Wir nehmen nun an, dass er für m < n bereits bewiesen
wäre. Ist n = p eine Primzahl, so gilt der Satz für n. Ist n zusammengesetzt, so ist n = m 1 m2 mit
1 < m1 , m2 < n. Nach Induktionsannahme ist m1 = p1 · · · pr und m2 = q1 · · · qs für Primzahlen pi , qj
(nicht notwendig voneinander verschieden). Dann ist auch n = p 1 · · · pr · q1 · · · qs ein Produkt von
Primzahlen.
Satz 1.2.2
Falls p|ab und p eine Primzahl ist, so gilt p|a oder p|b. Allgemeiner, wenn p|a 1 a2 · · · an gilt, dann teilt
p mindestens einen Faktor ai des Produkts.
8
Beweis
Falls p6 | a, dann ist (a, p) = 1, und es gilt nach Satz 1.1.7 p|b. Für den allgemeinen Fall führen wir
eine Induktion über die Anzahl n ≥ 2 der Faktoren auf der rechten Seite. Wir nehmen an, der Fall
indem p ein Produkt von weniger als n Faktoren teilt, sei bereits bewiesen. Wenn p|a 1 a2 · · · an ist, so
gilt p|a1 c mit c = a2 a3 · · · an . Es folgt p|a1 oder p|c da der Fall für n = 2 schon gezeigt ist. Falls p|c
ist, so teilt p nach Induktionsannahme einen der Faktoren a 2 , . . . , an .
Satz 1.2.3 (Fundamentalsatz der Arithmetik)
Die Faktorisierung jeder natürlichen Zahl n > 1 in Primzahlen ist eindeutig, abgesehen von der Anordnung der Primzahlen.
Beweis
Angenommen n ∈ N hat zwei Faktorisierungen n = p 1 · · · pm = q1 · · · qn in Primzahlen. Wir kürzen
alle Primzahlen, die in beiden Faktorisierungen auftreten heraus, und können daher annehmen, dass
pi 6= qj für alle i, j ist. Nach dem vorigen Satz ist das aber ein Widerspruch, da p 1 das Produkt q1 · · · qn
teilt, und damit einen der Primfaktoren.
In Anwendungen des Fundamentalsatzes fassen wir meist gleiche Primzahlen zu Primzahlpotenzen
zusammen und schreiben a ≥ 1 in der Form
Y
pα(p)
a =
p prim
mit Exponenten α(p) ∈ N0 , von denen nur endlich viele von Null verschieden sind.
Satz 1.2.4
Es seien a, b ∈ N mit
a =
Y
pα(p) , b =
p
Dann gilt a|b ⇔ ∀p : α(p) ≤ β(p).
Y
pβ(p) .
p
Beweis
Q γ(p)
Es sei c =
p
mit γ(p) ≥ 0. Dann folgt β(p) = α(p) + γ(p)Qfür alle p, also β(p) ≥ α(p). Ist
umgekehrt α(p) ≤ β(p), so setzen wir γ(p) = β(p) − α(p) und c = pγ(p) . Dann gilt b = ac.
Satz 1.2.5
Q
Es seien ai = pαi (p) , für 1 ≤ i ≤ n, αi (p) ≥ 0. Dann gilt
Y
Y
ggT(a1 , . . . , an ) =
pmin(α1 (p),...,αn (p)) , kgV(a1 , . . . , an ) =
pmax(α1 (p),...,αn (p)) .
p
p
Beweis
Q min(α1 (p),...,αn (p))
Q β(p)
Es sei g =
p
, dann gilt nach Satz 1.2.4 g|ai für i = 1 . . . n. Ist t =
p
ein
gemeinsamer Teiler von a1 , . . . , an , so gilt nach Satz 1.2.4 β(p) ≤ αi (p) für i = 1 . . . n und damit
β(p) ≤ min(α1 (p), . . . , αn (p)). Wiederum folgt aus Satz 1.2.4 t|g. Da der Teiler t beliebig war folgt
aus g|ai und t|g nach Satz 1.1.4, dass g = (a1 , . . . , an ) ist. Der zweite Teil des Satzes wird analog
bewiesen.
Satz 1.2.6 (Euklid)
Es gibt unendlich viele Primzahlen.
Beweis
Angenommen es gibt nur r < ∞ Primzahlen, etwa p 1 , p2 , . . . , pr . Wir bilden die Zahl n = p1 p2 · · · pr +1.
Wegen n ≥ 2 muss n eine echte Primzahl als Faktor enthalten, aber jeder Primteiler von n ist von den
p1 , . . . , pr verschieden, ein Widerspruch.
9
Man kann nun nach schärferen Aussagen über die Verteilung der Primzahlen fragen. Euler betrachtete
die unendliche Reihe
X 1
p
p prim
über alle Primzahlen p und bewies, dass sie divergiert. Dies zeigt, dass es in gewissem
P 1Sinne mehr
Primzahlen als Quadratzahlen gibt, da die Reihe der Reziproken der Quadratzahlen
für k ∈ N
k2
bekanntlich konvergiert.
10
2. Kongruenzen
2.1. Einleitung
Die Division mit Rest ergibt eine Partition der Menge Z der ganzen Zahlen in Äquivalenzklassen,
Restklassen oder Kongruenzklassen genannt:
Definition 2.1.1
Es sei m ∈ N und a, b ∈ Z. Wir sagen, a ist kongruent zu b modulo m genau dann, wenn m|(b − a)
gilt, und schreiben a ≡ b mod m (bzw. a 6≡ b mod m falls m6 | (b − a) ist). Für die Menge aller b
mit a ≡ b mod m schreiben wir a mod m. In diesem Zusammenhang nennt man m den Modulus der
Kongruenz a ≡ b mod m.
Satz 2.1.1
Es seien a, b ∈ Z, m ∈ N und die Divisionen
a = q1 m + r1 mit 0 ≤ r1 < m
b = q2 m + r2 mit 0 ≤ r2 < m
durch m mit Rest vorgelegt. Dann gilt a ≡ b mod m genau dann, wenn r 1 = r2 ist.
Beweis
Richtung ⇒:
Ist ohne Einschränkung r1 ≤ r2 , so gilt
a ≡ b mod m ⇒ m | (b − a) = (q2 − q1 )m + (r2 − r1 ) ⇒ m|(r2 − r1 ) , 0 ≤ r2 − r1 < m
⇒
1.1.1(v)
Die Richtung ⇐ ist klar.
r2 = r 1 .
Bemerkung 2.1.1
Zwei Zahlen a, b ∈ Z sind also genau dann kongruent modulo m, wenn sie bei der Division durch m
den gleichen Rest lassen.
Aus Satz 2.1.1 ergibt sich sofort
Satz 2.1.2
Die Kongruenzrelation modulo m ist eine Äquivalenzrelation, d. h. sie erfüllt die folgenden Eigenschaften:
(i) Reflexivität: a ≡ a mod m für alle a ∈ Z,
(ii) Symmetrie: a ≡ b mod m ⇔ b ≡ a mod m für alle a, b ∈ Z,
(iii) Transitivität: a ≡ b mod m und b ≡ c mod m ⇒ a ≡ c mod m für alle a, b, c ∈ Z.
Definition 2.1.2
Zwei Zahlen gehören zur selben Kongruenzklasse oder Restklasse modulo m, falls sie modulo m kongruent sind.
Weiter ergibt sich aus Satz 2.1.1:
Satz 2.1.3
Es sei m ∈ N, dann gibt es genau m Kongruenzklassen modulo m. Jede ganze Zahl ist zu genau einer
der Zahlen 0, 1, . . . , m − 1 kongruent.
Beispiel 2.1.1
Die Kongruenzklassen modulo 2 sind
0 mod 2 = {. . . , −4, −2, 0, 2, 4, . . .} (gerade Zahlen),
1 mod 2 = {. . . , −3, −1, 1, 3, 5, . . .} (ungerade Zahlen) .
11
Die Kongruenzklassen modulo 10 sind
0 mod 10 = {. . . , −20, −10, 0, 10, 20, . . .} ,
1 mod 10 = {. . . , −19, −9, 1, 11, 21, . . .} ,
..
..
.
.
9 mod 10 =
{. . . , −11, −1, 9, 19, 29, . . .}
.
Allgemein sind Kongruenzklassen modulo m arithmetische Progressionen der Form
a mod m = {. . . , a − 3m, a − 2m, a − m, a, a + m, a + 2m, a + 3m, . . .} .
Definition 2.1.3
Es sei m ∈ N. Die Menge aller Restklassen modulo m bezeichnen wir mit Z/mZ.
Nach Satz 2.1.3 ist Z/mZ = {0 mod m, 1 mod m, . . . , (m − 1) mod m}, d. h. dass durch
R = {0, 1, . . . , m − 1}
jede Restklasse von Z/mZ genau einmal repräsentiert wird. Wir haben den Spezialfall eines Restsystems modulo n:
Definition 2.1.4
Ein vollständiges Restsystem modulo m ist eine Menge ganzer Zahlen, so dass jede ganze Zahl zu
genau einem Element des Restsystems kongruent modulo m ist.
Beispiel 2.1.2
Es sei m ∈ N. Das vollständige Restsystem R heißt die Menge der kleinsten nicht-negativen Reste
modulo m. Es sei m ∈ N ungerade. Unter der Menge der absolut kleinsten Reste versteht man
m−3 m−1
m−1 m−3
,−
, . . . , −1, 0, 1, . . . ,
,
.
−
2
2
2
2
Kongruenzen treten oft in Zusammenhang mit zyklischen Phänomenen auf. Bestimmt man die Tageszeit - auf Stunden gerundet - so kann man sich die Zeitgerade auf einen Kreis mit Umfang 24
aufgerollt denken. Alle ganzzahligen Punkte über demselben Punkt des Kreises gehören zur selben Tageszeit, d. h. zur selben Kongruenzklasse modulo 24. Eine Menge R von ganzen Zahlen bildet genau
dann ein vollständiges Restsystem modulo 24, wenn über jedem der ganzzahligen Punkte des Kreises
genau ein Element von R liegt. Analog wird bei der Bestimmung des Wochentags die Zeitgerade auf
einen Kreis mit Umfang 7 aufgerollt. Fragen wie Welcher Wochentag ist 3 Tage nach Freitag“ legen
”
nahe, dass man mit Kongruenzen rechnen kann:
Satz 2.1.4
Es seien a, b, c, d ∈ Z und m ∈ N mit a ≡ c mod m und b ≡ d mod m, dann gilt:
(i) a + b ≡ c + d mod m,
(ii) a − b ≡ c − d mod m,
(iii) a · b ≡ c · d mod m.
Beweis
Wir beweisen nur Teil (iii), der Beweis der übrigen Teile verläuft ähnlich. Nach Satz 2.1.1 gibt es
q1,1 , q1,2 , q2,1 , q2,2 ∈ Z und Reste r1 , r2 ∈ Z mit 0 ≤ r1 , r2 ≤ m − 1, so dass
a = q1,1 m + r1 , b = q2,1 m + r2 , c = q1,2 m + r1 , d = q2,2 m + r2
gilt. Dann ist
a · b = (q1,1 q2,1 m + q2,1 r1 + q1,1 r2 ) m + r1 r2 , c · d = (q1,2 q2,2 m + q2,2 r1 + q1,2 r2 ) m + r1 r2 ,
also nach Satz 2.1.1 m|(cd − ab), d. h. ab ≡ cd mod m.
12
Dieser Satz zeigt, dass die Restklassen (a+b) mod m sowie (a·b) mod m nicht von der speziellen Wahl
der Vertreter a und b, sondern nur von der Restklasse a mod m bzw. b mod m abhängen.
Beispiel 2.1.3
Es ist 2 mod 7 ≡ 9 mod 7 und 3 mod 7 ≡ −4 mod 7, also (2 · 3) mod 7 ≡ (9 · (−4)) mod 7 ≡ 6 mod 7.
Die beiden Wahlen von Repräsentanten ergeben daher die gleiche Restklasse. Wir können daher die
Restklasse 6 mod 7 als das Produkt der Restklassen 2 mod 7 und 3 mod 7 auffassen.
Wegen Satz 2.1.4 kann man Addition und Multiplikation auf Z/mZ vertreterweise definieren:
Definition 2.1.5
Es sei m ∈ N. Wir definieren Addition, Subtraktion und Multiplikation auf Z/mZ durch
(i) (a mod m) + (b mod m) = (a + b) mod m,
(ii) (a mod m) − (b mod m) = (a − b) mod m,
(iii) (a mod m) · (b mod m) = (a · b) mod m.
Satz 2.1.5
Z/mZ wird durch die in Definition 2.1.5 eingeführten Verknüpfungen zu einem kommutativen Ring.
Ohne Beweis
Satz 2.1.4 impliziert als Spezialfall, dass Kongruenzen mit einem gemeinsamen Faktor multipliziert
werden können: aus a ≡ b mod m folgt ac ≡ bc mod m für alle c ∈ Z. Es ist jedoch im Allgemeinen
nicht möglich, Kongruenzen zu kürzen:
Beispiel 2.1.4
Es ist 15 ≡ 6 mod 9 aber nicht 5 ≡ 2 mod 9.
Der gemeinsame Faktor kann jedoch gekürzt werden, wenn man zu einem anderen Modul übergeht:
Satz 2.1.6
Es seien a, b, c ∈ Z, m ∈ N und d = ggT(c, m) sowie ac ≡ bc mod m. Dann folgt a ≡ b mod m
d.
Die übliche Kürzungsregel ist ein Spezialfall davon: Ist ac ≡ bc mod m und ggT(c, m) = 1, so folgt
a ≡ b mod m.
Beweis
Nach Satz 1.1.6 ist ( dc , m
d ) = 1, also gilt
m
m
c
ac ≡ bc mod m ⇔
d | (b − a)c ⇒
| (b − a)
d
d
d
⇒
Satz 1.1.3
m
m
|(b − a) ⇒ a ≡ b mod
.
d
d
Satz 2.1.7
Ist a ≡ b mod m, dann ist ggT(a, m) = ggT(b, m).
Beweis
Es ist b = a − qm für ein q ∈ Z. Nach Lemma 1.1.8 ist ggT(a, m) = ggT(a − qm, m) = ggT(b, m).
Es macht somit Sinn, von teilerfremden Restklassen mod m zu sprechen. Eine Restklasse enthält
entweder lauter zu m teilerfremde Zahlen, oder keine.
Definition 2.1.6
Es sei m ∈ N. Die Anzahl der teilerfremden Restklassen mod m bezeichnen wir mit ϕ(m). Diese
Funktion heißt Eulersche ϕ-Funktion.
13
Definition 2.1.7
Ein reduziertes Restsystem modulo m ist eine Menge {a 1 , . . . , ak } ganzer Zahlen, so dass ai 6≡ aj mod
m ist für alle i 6= j, und zusätzlich ggT(aj , m) = 1 für j = 1 . . . k.
Man erhält ein reduziertes Restsystem mod m, indem man aus einem vollständigen Restsystem mod m
alle Restklassen streicht, die nicht teilerfremd zu m sind. Jedes reduzierte Restsystem mod m enthält
ϕ(m) Zahlen. Wenden wir diese Überlegungen auf das vollständige Restsystem {1, 2, . . . , m} an, so
erhalten wir
Satz 2.1.8
Es sei m ∈ N. Dann ist ϕ(m) die Anzahl der natürlichen Zahlen 1 ≤ a ≤ m, die zu m teilerfremd
sind.
Beispiel 2.1.5
Von dem vollständigen Restsystem mod 10 {1, 2, 3, 4, 5, 6, 7, 8, 9, 10} sind nur {1, 3, 7, 9} teilerfremd zu
10. Diese Menge bildet ein reduziertes Restsystem modulo 10, und es ist ϕ(10) = 4.
Satz 2.1.9
Für eine Primzahl p ist ϕ(p) = p − 1.
Beweis
Von den Zahlen 1, 2, . . . , p sind 1, 2, . . . , p−1 teilerfremd zu p. Die Behauptung folgt aus Satz 2.1.8.
Satz 2.1.10
Es seien a ∈ Z und m ∈ N mit ggT(a, m) = 1. Weiter sei {r 1 , r2 , . . . , rn } ein vollständiges (bzw.
reduziertes) Restsystem mod m. Dann ist auch {ar 1 , ar2 , . . . , arn } ein vollständiges (bzw. reduziertes)
Restsystem mod m.
Beweis
Nach Satz 2.1.6 folgt aus ari ≡ arj mod m die Kongruenz ri ≡ rj mod m, was nur für i = j möglich
ist. Durch {ar1 , . . . , arn } werden also gleichviele Restklassen repräsentiert wie durch {r1 , . . . , rn }.
Ist das Restsystem reduziert, gilt also zusätzlich ggT(rj , m) = 1 für alle j, so ist nach Satz 1.1.7
ggT(arj , m) = 1, also bildet auch {ar1 , . . . , arn } ein reduziertes Restsystem.
Beispiel 2.1.6
Da {1, 3, 7, 9} ein reduziertes Restsystem mod 10 bildet, ist auch die Menge {3, 9, 21, 27} ein reduziertes
Restsystem mod 10.
Satz 2.1.11 (Kleiner Satz von Fermat)
Es sei a ∈ Z und p eine Primzahl. Falls p6 | a ist, gilt a p−1 ≡ 1 mod p. Für alle a ∈ Z gilt ap ≡ a mod p.
Der kleine Satz von Fermat folgt unmittelbar aus dem allgemeineren
Satz 2.1.12 (Satz von Euler)
Es sei m ∈ N, a ∈ Z mit ggT(a, m) = 1. Dann ist a ϕ(m) ≡ 1 mod m.
Beweis
Es sei {r1 , r2 , . . . , rϕ(m) } ein reduziertes Restsystem mod m. Dann ist {ar 1 , ar2 , . . . , arϕ(m) } nach Satz
2.1.10 auch eins. Zu jedem i mit 1 ≤ i ≤ ϕ(m) gibt es daher genau ein j mit 1 ≤ j ≤ ϕ(m), so dass
ri ≡ arj mod m ist. Aufmultiplizieren ergibt
ϕ(m)
Y
i=1
und damit
ϕ(m)
ri ≡
Y
(arj ) mod m
j=1
ϕ(m)
aϕ(m) ·
Y
j=1
ϕ(m)
rj ≡
14
Y
j=1
rj mod m .
Nach der Kürzungsregel (Satz 2.1.6) folgt aϕ(m) ≡ 1 mod m.
2.2. Lösungen linearer Kongruenzen
Ein wichtiges Gebiet der Zahlentheorie ist das der Polynomkongruenzen. Es sei P k (x) = ak xk +
ak−1 xk−1 +· · ·+a0 ein Polynom k-ten Grades mit ganzzahligen Koeffizienten. Eine Polynomkongruenz
ist eine Kongruenz der Form Pk (x) ≡ 0 mod m für m ∈ N. Aus a ≡ b mod m folgt Pk (a) ≡ Pk (b) mod
m. Folglich sind entweder alle Elemente einer Restklasse a mod m Lösungen der Polynomkongruenz,
oder keines. Die angemessene Fragestellung lautet daher: wieviele paarweise inkongruente Lösungen
besitzt eine Kongruenz, oder: welche Restklassen mod m bilden die Lösungsmenge.
Beispiel 2.2.1
Es sei m = 7 und P2 (x) = x2 − 2. Ausprobieren der Zahlen {−2, −1, 0, 1, 2, 3, 4} ergibt: die Lösungsmenge von x2 −2 mod 7 besteht aus den Restklassen 3 mod 7 und 4 mod 7, d. h. es gibt zwei Lösungen
modulo 7.
In der Theorie der Polynomkongruenzen gibt es noch viele offene Fragestellungen. Sehr gut entwickelt ist die Theorie der Fälle k = 1 und k = 2, der linearen und quadratischen Kongruenzen. In
diesem Abschnitt werden wir die linearen Kongruenzen behandeln, die alle in der Form ax ≡ b mod m
geschrieben werden können.
Satz 2.2.1
Es seien a, b ∈ Z und m ∈ N mit d = ggT(a, m). Die Kongruenz ax ≡ b mod m ist genau dann lösbar,
wenn d|b ist.
Beweis
Die Kongruenz ax ≡ b mod m ist genau dann lösbar, wenn es x, y ∈ Z mit ax + my = b gibt. Nach
Satz 1.1.3(i) ist das genau dann der Fall, wenn d|b gilt.
Ist x0 eine spezielle Lösung, so ist ax ≡ ax0 mod m nach Satz 2.1.6 äquivalent zu x ≡ x0 mod
Lösungsmenge der Kongruenz ax ≡ b mod m ist daher {x 0 + k m
d | k ∈ Z}.
m
d.
Die
Definition 2.2.1
Es seien m ∈ N und a ∈ Z mit ggT(a, m) = 1, dann gibt es nach Satz 2.2.1 genau ein x mod m
mit ax ≡ 1 mod m. Dieses x mod m wird das Inverse von a mod m genannt, und mit a −1 mod m
bezeichnet.
Beispiel 2.2.2
Es sei m = 95 und a = 11. Die Zahl x = 26 löst die Kongruenz ax ≡ 1 mod m, da ax = 286 = 3 · 95 + 1
ist. Also gilt (11−1 mod m) = (26 mod m).
Definition 2.2.2
Die Menge der teilerfremden Restklassen mod m bezeichnen wir mit (Z/mZ) ∗ .
Aus den vorigen Überlegungen ergibt sich leicht
Satz 2.2.2
Die Menge (Z/mZ)∗ der teilerfremden Restklassen mod m bildet mit der Multiplikation als Verknüpfung eine abelsche Gruppe.
15
2.3. Der Chinesische Restsatz
Der Chinesische Restsatz besagt, dass mit Kongruenzen komponentenweise“ gerechnet werden kann.
”
Das wohl bekannteste Beispiel für komponentenweises Rechnen liefert die Vektoraddition im R n . In
der Situation, die im Chinesischen Restsatz betrachtet wird, ist ein Modulus m gegeben, der das
Produkt paarweise teilerfremder Moduli ist: m = m 1 m2 · · · mr . Die Restklassen mod m werden durch
die Zuordnung
Φ : a mod m 7−→ (a mod m1 , a mod m2 , . . . , a mod mr )
in Komponenten bzgl. der Teilmoduli zerlegt. Der Chinesische Restsatz besagt, dass diese Zuordnung
bijektiv ist, und gibt uns einen Algorithmus an die Hand, die Umkehrung Φ −1 zu berechnen. Bevor
wir den Restsatz formulieren, betrachten wir
Beispiel 2.3.1
Es sei m = 35 = k · l mit k = 7 und l = 5. Wir betrachten die Zuordnung
Φ : Z/35Z −→ (Z/7Z) × (Z/5Z) , a mod 35 7−→ (a mod 7, a mod 5) .
Wie folgende Tabelle zeigt, ist Φ bijektiv:
a mod 7
a mod 5
0 1 2 3
0 0 15 30 10
1 21 1 16 31
2 7 22 2 17
3 28 8 23 3
4 14 29 9 24
4
25
11
32
18
4
5
5
26
12
33
19
6
20
6
27
13
34
Wir berechnen als Beispiel das Produkt (13 mod 35) · (19 mod 35):
Φ(13 mod 35) = (6 mod 7, 3 mod 5) ,
Φ(19 mod 35) = (5 mod 7, 4 mod 5) ,
und komponentenweises Rechnen ergibt
(6 mod 7, 3 mod 5) · (5 mod 7, 4 mod 5) = (2 mod 7, 2 mod 5) .
Wir entnehmen der Tabelle das Resultat (13 mod 35) · (19 mod 35) = 2 mod 35.
Auch Polynomkongruenzen können komponentenweise gelöst werden. Wir betrachten beispielsweise
x2 ≡ 11 mod 35 .
(∗)
Die Abbildung Φ ordnet jeder Lösung x mod 35 eindeutig ein Paar (x mod 7, x mod 5) zu. Umgekehrt
ordnet Φ−1 jedem solchen Lösungspaar bzgl. der kleineren Teilmoduli eine Lösung bzgl. des Gesamtmoduls m = 35 zu. Die Gleichung (∗) kann also zerlegt werden in das System von Kongruenzen
(1) x21 ≡ 4 mod 7
(2) x22 ≡ 1 mod 5
mit den offensichtlichen Lösungen x1 = ±2 mod 7 sowie x2 = ±1 mod 5. Aus den vier Lösungspaaren
(±2 mod 7, ±1 mod 5) erhalten wir durch Nachschauen in der Tabelle
Φ−1 (2 mod 7, 1 mod 5) = 16 mod 35 , Φ−1 (2 mod 7, −1 mod 5) = 9 mod 35 ,
Φ−1 (−2 mod 7, 1 mod 5) = 26 mod 35 , Φ−1 (−2 mod 7, −1 mod 5) = 19 mod 35
und damit die gesuchte Lösungsmenge {9 mod 35, 16 mod 35, 19 mod 35, 26 mod 35} bzgl. des Gesamtmoduls 35. Die Abbildung Φ vermittelt auch eine Bijektion zwischen den teilerfremden Restklassen:
Φ : (Z/35Z)∗ −→ (Z/7Z)∗ × (Z/5Z)∗ .
Wir formulieren jetzt den
16
Satz 2.3.1 (Chinesischer Restsatz)
Es seien m1 , . . . , mr paarweise teilerfremde natürliche Zahlen und a1 , . . . , ar ∈ Z beliebig. Es sei
m = m1 · · · mr , dann besitzt das System der r Kongruenzen
(∗)
x ≡ a1 mod m1 , x ≡ a2 mod m2 , . . . , x ≡ ar mod mr
eine gemeinsame Lösung x0 . Diese ist modulo m eindeutig durch das System (∗) bestimmt, und die
Lösungsmenge des Systems ist die Restklasse x 0 mod m. Die Lösung von (∗) kann wie folgt berechnet
m
werden: man setzt Mj = m
und berechnet Lösungen M j der Kongruenz Mj M j ≡ 1 mod mj . Dann
j
ist
r
X
Mj M j aj
x0 =
j=1
eine Lösung des Systems (∗).
Beweis
Man zeigt zunächst, dass das angegebene x0 eine Lösung ist: wegen mi |Mj für alle i 6= j gilt Mj M j ≡
0 mod mi für i 6= j, und damit
x0 ≡ M1 M 1 a1 + · · · + Mr M r ar ≡ Mi M i ai ≡ ai mod mi
für i = 1 . . . r. Sind nun x0 und x1 zwei Lösungen des Systems (∗), so folgt: m i |(x0 − x1 ) für alle i,
und damit m|(x0 − x1 ), d. h. x0 ≡ x1 mod m, also ist x0 ist modulo m eindeutig bestimmt.
Satz 2.3.2 (Multiplikativität der ϕ-Funktion)
Es seien m1 , m2 ∈ N teilerfremd, dann ist ϕ(m2 · m2 ) = ϕ(m1 ) · ϕ(m2 ). Hat m die Faktorisierung
Y
m =
pα(p) ,
p|m
so gilt
ϕ(m) =
Y
p
α(p)
p|m
−p
α(p)−1
=
Y
p|m
p
α(p)−1
(p − 1) = m ·
Y
p|m
1
1−
p
.
Beweis
Die Zuordnung
Φ : (Z/mZ)∗ −→ (Z/m1 Z)∗ × (Z/m2 Z)∗
ist bijektiv nach Satz 1.1.7. Daher ist
ϕ(m) = |(Z/mZ)∗ | = |(Z/m1 Z)∗ | · |(Z/m2 Z)∗ | = ϕ(m1 ) · ϕ(m2 ) .
Φ
Es nun m = pα . Von den Zahlen 1, 2, . . . , pα sind genau die Vielfachen von p nicht teilerfremd zu p α ,
also gilt ϕ(pα ) = pα − pα−1 . Daraus folgt wegen der Multiplikativität die Behauptung für alle m. 2.4. Polynomkongruenzen
Wir wenden uns der allgemeinen Polynomkongruenz P k (x) ≡ 0 mod m (m ∈ N) zu.
Definition 2.4.1
Es sei Pk (x) = ak xk + ak−1 xk−1 + · · · + a0 ein Polynom mit ai ∈ Z. Falls ak 6≡ 0 mod m ist sagen wir,
der Grad der Kongruenz sei k. Falls a k ≡ 0 mod m ist, sei l der größte Index, für den al 6≡ 0 mod m
ist. Dann ist der Grad der Kongruenz gleich l. Sind alle a j ≡ 0 mod m, so hat die Kongruenz keinen
Grad.
Auch bei Polynomkongruenzen erlaubt der Chinesische Restsatz komponentenweises Rechnen“. Wir
”
hatten dies schon in Beispiel 2.3.1 gesehen.
17
Satz 2.4.1
Es sei Pk (x) = ak xk + ak−1 xk−1 + · · · + a0 mit ai ∈ Z. Für alle m ∈ N sei N (m) die Anzahl der
Lösungen der Kongruenz
(1)
Pk (x) ≡ 0 mod m .
Falls m = m1 m2 mit ggT(m1 , m2 ) = 1 ist, so gilt N (m) = N (m1 ) · N (m2 ). Es sei Sm die Menge der
Restklassen x mod m, die (1) lösen. Dann ist die Abbildung
Φ : Sm −→ Sm1 × Sm2 , (x mod m) 7−→ (x mod m1 , x mod m2 )
Q
Q
bijektiv. Hat m allgemeiner die Faktorisierung m = pα(p) , so ist N (m) = N (pα(p) ).
Beweis
Das folgt unmittelbar aus dem Chinesischen Restsatz 2.3.1.
Mittels Satz 2.4.1 ist die Frage nach der Lösungsmenge von Pk (x) ≡ 0 mod m zurückgeführt auf den
Fall, dass m eine Primzahlpotenz ist: m = p α . Wir geben zunächst einen allgemeinen Satz für den Fall
α = 1, in dem also der Modul m = p eine Primzahl ist:
Satz 2.4.2 (Satz von Lagrange)
Es sei p eine Primzahl und Pk (x) ≡ 0 mod p eine Kongruenz vom Grade k. Dann hat diese Kongruenz
höchstens k Lösungen modulo p.
Beweis
Wir führen den Beweis durch Induktion nach dem Grad k der Kongruenz
(1)
Pk (x) ≡ 0 mod p .
k = 0: Es ist P0 (x) = a0 mit a0 6≡ 0 mod p. Dann hat (1) offenbar 0 Lösungen.
k − 1 → k: Die Kongruenz (1) lautet nun
Pk (x) = ak xk + ak−1 xk−1 + · · · + a0 mit ak 6≡ 0 mod p .
Hat sie keine Lösung, so sind wir fertig. Ansonsten nehmen wir an, es sei P k (x0 ) ≡ 0 mod p für ein
x0 ∈ Z. Dann gilt
Pk (x) ≡ 0 mod p ⇔ ak (xk − xk0 ) + ak−1 (xk−1 − x0k−1 ) + · · · + a0 ≡ 0 mod p ⇔
(x−x0 )· ak (xk−1 + xk−2 x0 + · · · + x0k−1 ) + ak−1 (xk−2 + xk−3 x0 + · · · + x0k−2 ) + · · · + a1 ≡ 0 mod p
und damit (x − x0 ) · g(x) ≡ 0 mod p mit einem Polynom
g(x) = ak (xk−1 + xk−2 x0 + · · · + x0k−1 ) + ak−1 (xk−2 + xk−3 x0 + · · · + xk−2
0 ) + · · · + a1
vom Grad k − 1 wegen ak 6≡ 0 mod p. Da p eine Primzahl ist, folgt:
Pk (x) ≡ 0 mod p ⇔ [x − x0 ≡ 0 mod p oder g(x) ≡ 0 mod p] .
Nach Induktionsannahme hat g(x) ≡ 0 mod p dann r Lösungen modulo p mit r ≤ k − 1, diese seien
x ≡ x1 mod p, . . . , x ≡ xr mod p. Dann hat Pk (x) ≡ 0 mod p höchstens die r + 1 ≤ k Lösungen
x ≡ x0 mod p, x ≡ x1 mod p, . . . ,x ≡ xr mod p.
Für Kongruenzen nach Primzahlmoduln gibt es im allgemeinen keine schnellen Algorithmen. Eine
Ausnahme bilden die linearen Kongruenzen, die mittels des Euklidischen Algorithmus gelöst werden
können. Es ist auch in vielen Fällen möglich, Lösungen von Kongruenzen modulo pj aus den Lösungen
modulo p zu gewinnen. Das geschieht durch die Lösung von linearen Kongruenzen.
18
Definition 2.4.2
Die formale Ableitung eines Polynoms P (x) = a k xk + ak−1 xk−1 + · · · + a0 ist
P 0 (x) = ak kxk−1 + ak−1 (k − 1)xk−2 + · · · + a1 .
Satz 2.4.3 (Lemma von Hensel)
Es sei P (x) ein Polynom mit ganzzahligen Koeffizienten. Ist P (a) ≡ 0 mod p j für ein j ∈ N und
P 0 (a) 6≡ 0 mod p, so gibt es ein modulo p eindeutig bestimmtes t ∈ Z, so dass P (a + tp j ) ≡ 0 mod pj+1
ist. Dieses ist gegeben durch
P (a)
P 0 (a) · t ≡ − j mod p .
p
Beweis
Es sei
P (x) =
n
X
aν xν ,
ν=0
dann ist nach dem Satz von Taylor
P (a + tpj ) = P (a) + P 0 (a)tpj + · · · +
P (n) (a) n nj
t p .
n!
Das ist zunächst nur eine Aussage über R, aber tatsächlich ist
n X
P (k) (a)
ν
=
aν aν−k ∈ Z
k!
k
ν=k
für alle 0 ≤ k ≤ n. Damit folgt
P (a + tpj ) ≡ 0 mod pj+1 ⇔ P (a) + P 0 (a)tpj ≡ 0 mod pj+1 ⇔ P 0 (a)t ≡ −
P (a)
mod p .
pj
Die letzte Kongruenz besitzt nach Satz 2.2.1 wegen P 0 (a) 6≡ 0 mod p genau eine Lösung modulo p.
Beispiel 2.4.1
Man löse P (x) = x3 + 5x2 + x − 2 ≡ 0 mod 73 . Wir konstruieren nach dem in Satz 2.4.3 beschriebenen
Verfahren die Lösungen modulo pj+1 sukzessive aus den Lösungen modulo pj :
j = 1:
Durch Probieren findet man die einzige Lösung x ≡ 2 mod 7.
j = 2:
Wir lösen P 0 (2) · t ≡ − P p(2) mod 7: es ist P (2) = 28 und P 0 (2) ≡ −2 mod 7. Aus
P 0 (2)t ≡ −
P (2)
mod 7 ⇔ −2t ≡ −4 mod 7
7
ergibt sich t ≡ 2 mod 7. Wir erhalten damit die Lösung x ≡ 2 + 7 · 2 ≡ 16 mod 72 .
j = 3:
Wir lösen nun die Kongruenz
P (16)
mod 7 .
72
Wegen P (16) = 163 + 5 · 162 + 16 − 2 = 110 · 72 und P 0 (16) ≡ P 0 (2) ≡ −2 mod 7 ergibt sich
−2t ≡ 2 mod 7, also t ≡ −1 mod 7. Wir erhalten also die Lösung
P 0 (16) · t ≡ −
x ≡ 16 + 72 · (−1) ≡ −33 mod 73 .
19
Ist die Bedingung P 0 (a) 6≡ 0 mod p in Satz 2.4.3 nicht erfüllt, so kann man immer noch versuchen, eine
Lösung von P (a) ≡ 0 mod pj mittels b = a + tpj zu einer Lösung von P (x) modulo pj+1 fortzusetzen.
Es gibt in diesem Fall jedoch keine einfache Regel über die Fortsetzbarkeit.
Beispiel 2.4.2
Man löse P (x) = x2 + 27 ≡ 0 mod 3j :
j = 1:
Man findet die einzige Lösung x1 ≡ 0 mod 3.
j = 2:
Es sei x2 = 0 + 3t, dann ist P (0 + 3t) ≡ P (0) + 3tP 0 (0) mod 9. Wegen P 0 (0) = 2 · 0 = 0 ist also
P (0 + 3t) ≡ P (0) ≡ 0 mod 9 für t = 0, 1, 2. Die Lösung x ≡ 0 mod 3 lässt sich daher fortsetzen zu den
drei Lösungen
x2,1 ≡ 0 mod 9 , x2,2 ≡ 3 mod 9 , x2,3 ≡ 6 mod 9 .
j = 3:
Wir versuchen Fortsetzungen von allen drei Lösungen modulo 9 zu Lösungen modulo 27 zu bekommen:
Es sei x3 = x2,1 + 9t = 0 + 9t. Es gilt P (0 + 9t) ≡ P (0) + 9tP 0 (0) ≡ 0 mod 27 für t = 0, 1, 2. Dies führt
zu den drei Lösungen
x3,1 ≡ 0 mod 27 , x3,2 ≡ 9 mod 27 , x3,3 ≡ 18 mod 27 .
Es sei x3 = x2,2 +9t = 3+9t, dann gilt P (3+9t) ≡ P (3)+9tP 0 (3) ≡ P (3) 6≡ 0 mod 27. Daher lässt sich
x2,2 ≡ 3 mod 9 nicht zu einer Lösung modulo 27 fortsetzen. Es sei schließlich x 3 = x2,3 + 9t = 6 + 9t,
dann gilt P (6 + 9t) ≡ P (6) + 9tP 0 (6) ≡ P (6) 6≡ 0 mod 27. Auch x2,3 lässt sich nicht zu einer Lösung
modulo 27 fortsetzen.
j = 4:
Wir versuchen Fortsetzungen der drei Lösungen modulo 27 zu Lösungen modulo 81 zu bekommen: Es
sei x4 = x3,i + 27t, dann ist P (x3,i + 27t) ≡ P (x3,i ) + 27tP 0 (x3,i ) ≡ P (x3,i ) mod 81, da 81|27P 0 (x3,i )
für i = 0, 1, 2 gilt. Nun ist aber P (x3,i ) 6≡ 0 mod 81 für i = 1, 2, 3. Daher hat P (x) ≡ 0 mod 81 und
allgemeiner P (x) ≡ 0 mod 3j für j ≥ 4 keine Lösungen.
2.5. Primitivwurzeln und Potenzreste
Eine weitere Familie von Polynomkongruenzen P k (x) ≡ 0 mod m, über deren Lösungsmengen sehr
viel bekannt ist, sind die Fälle Pk (x) = xk − a mit k ∈ N und a ∈ Z.
Definition 2.5.1
Es sei k, m ∈ N und a ∈ Z mit ggT(a, m) = 1. a heißt k-ter Potenzrest modulo m, falls die Kongruenz
xk ≡ a mod m
lösbar ist, andernfalls k-ter Potenznichtrest. Im Fall k = 2 spricht man von quadratischen Resten bzw.
Nichtresten.
Beispiel 2.5.1
Es sei k = 3 und m = 7. Die 3. Potenzreste mod 7 lasse sich durch Berechnen der 3. Potenzen aller
Elemente eines reduzierten Restsystems bestimmen. Wir erhalten folgende Tabelle:
x mod 7 -3 -2 -1 1 2 3
x 3 mod 7 1 -1 -1 1 1 -1
Die 3. Potenzreste mod 7 bestehen also aus den Restklassen 1 mod 7, −1 mod 7. Die Kongruenz
x3 ≡ a mod 7 besitzt für a ≡ 1, −1 mod 7 jeweils 3 Lösungen mod 7, und sonst keine.
20
Die Theorie der Potenzreste mod m ist sehr übersichtlich, wenn Z/mZ eine Primitivwurzel besitzt.
Definition 2.5.2
Es sei m ∈ N und r ∈ Z. r heißt Primitivwurzel mod m, falls es zu jedem a ∈ Z mit ggT(a, m) = 1
ein j ∈ N0 gibt, so dass a ≡ r j mod m ist.
Beispiel 2.5.2
Für m = 7 und r = 3 finden wir die folgende Tabelle:
j
0 1 2 3 4 5 6
r j mod 7 1 3 2 6 4 5 1
Die Potenzen r j für 0 ≤ j ≤ 6 bilde also ein reduziertes Restsystem mod 7, die Bedingung von
Definition 2.5.2 ist erfüllt, d. h. r = 3 ist eine Primitivwurzel mod 7.
Für das Studium der Primitivwurzeln und auch der Potenzreste ist der Begriff der Ordnung von
zentraler Bedeutung:
Definition 2.5.3
Es sei m ∈ N und ggT(a, m) = 1. Dann heißt
n
o
ordm (a) = min l ∈ N | al ≡ 1 mod m
die Ordnung von a modulo m.
Beispiel 2.5.3
Es sei m = 7 und a = 2. Es ist
und damit ord7 (2) = 3.
21 ≡ 2 mod 7 , 22 ≡ 4 mod 7 , 23 ≡ 1 mod 7 ,
Satz 2.5.1
Es sei m ∈ N, a ∈ Z und ggT(a, m) = 1. Für l1 , l2 ∈ N gilt:
al1 ≡ al2 mod m ⇔ l1 ≡ l2 mod ordm (a) .
Die Potenzen al nehmen genau ordm (a) inkongruente Werte mod m an.
Beweis
Es sei ohne Einschränkung l1 ≤ l2 . Wir dividieren l2 −l1 durch ordm (a) mit Rest: l2 −l1 = q·ordm (a)+s
mit 0 ≤ s < ordm (a). Es folgt
al1 ≡ al2 mod m ⇔ al2 −l1 ≡ 1 mod m ⇔ (aq·ordm (a) ) · as ≡ 1 mod m ⇔ s = 0 .
Satz 2.5.2
Es sei m ∈ N, a ∈ Z und ggT(a, m) = 1. Dann gilt ord m (a)|ϕ(m). r mit ggT(r, m) = 1 ist genau
dann eine Primitivwurzel mod m, wenn ord m (r) = ϕ(m) ist. In diesem Fall bildet {r, r 2 , . . . , r ϕ(m) }
ein reduziertes Restsystem mod m.
Beweis
Die Teilung ordm (a)|ϕ(m) folgt aus dem Satz 2.1.12 von Euler und Satz 2.5.1. Nach Definition 2.5.2
ist r Primitivwurzel mod m genau dann, wenn die Potenzen r j genau ϕ(m) inkongruente Werte mod
m annehmen. Nach Satz 2.5.1 ist dies genau dann der Fall, wenn ord m (a) = ϕ(m) ist.
Satz 2.5.3
Es sei m ∈ N, a ∈ Z und ggT(a, m) = 1, sowie u ∈ N. Dann gilt
ordm (au ) =
ordm (a)
.
ggT(ordm (a), u)
21
Beweis
Nach Satz 2.5.1 ist
ordm (a)
(a ) ≡ 1 mod m ⇔ ordm (a)|ul ⇔
(ordm (a), u)
u l
Die Behauptung folgt nun aus Satz 2.5.1.
u
ordm (a)
·l ⇔
(ordm (a), u)
(ordm (a), u)
l.
Satz 2.5.4 (k-te Potenzreste)
Ein Modulus m ∈ N besitze eine Primitivwurzel. Es sei k ∈ N und d = ggT(k, ϕ(m)), dann gibt es
genau ϕ(m)
k-te Potenzreste mod m. Ist a ∈ Z ein k-ter Potenzrest mod m, d. h. es ist ggT(a, m) = 1
d
und
xk ≡ a mod m
(∗)
lösbar, so hat (∗) genau d Lösungen in x mod m. a ∈ Z ist ein k-ter Potenzrest genau dann, wenn
a
ϕ(m)
d
≡ 1 mod m ist.
Beweis
Es sei r eine Primitivwurzel mod m. Für jedes Paar (x, a) von ganzen Zahlen mit ggT(x, m) =
ggT(a, m) gibt es dann mod ϕ(m) eindeutig bestimmte Zahlen y, j mit
x ≡ r y mod m , a ≡ r j mod m .
Nach Satz 2.5.1 entsprechen die Lösungen x mod m von (∗) umkehrbar eindeutig den Lösungen y mod
ϕ(m) der linearen Kongruenz
(∗∗)
ky ≡ j mod ϕ(m) .
Nach Satz 2.2.1 ist (∗∗) genau dann lösbar, wenn d|j ist. Es gibt dann d Lösungen mod ϕ(m):
d|j ⇔ ϕ(m)|j
ϕ(m)
ϕ(m)
⇔ (r j ) d ≡ 1 mod m .
d
Die Lösbarkeit von (∗) ist also äquivalent zu a
Bedingungen d|j erfüllen.
ϕ(m)
d
≡ 1 mod m. Es gibt
ϕ(m)
d
Werte von j, welche die
Wir wollen jetzt diejenigen m ∈ N bestimmen, für die Primitivwurzeln existieren. Wir beweisen
zunächst, dass alle Primzahlen Primitivwurzeln besitzen. Zur Vorbereitung beweisen wir
Satz 2.5.5
Es sei p eine Primzahl und d ∈ N mit d|(p − 1). Dann besitzt die Kongruenz x d ≡ 1 mod p genau d
Lösungen mod p.
Beweis
Es sei p − 1 = dl, dann ist
x
p−1
d
− 1 = (x − 1) · x
d(l−1)
+x
d(l−2)
d
+ ··· + x +1
= (xd − 1) · g(x) .
Nach dem kleinen Satz von Fermat 2.1.11 ist jede der p − 1 Zahlen 1, 2, . . . , p − 1 eine Lösung der
Kongruenz xp−1 −1 ≡ 0 mod p. Jede dieser Zahlen, die keine Lösung von g(x) ≡ 0 mod p ist, muss eine
Lösung von xd − 1 ≡ 0 mod p sein. Nach dem Satz von Lagrange 2.4.2 hat g(x) ≡ 0 mod p höchstens
p − 1 − d Lösungen, also hat xd − 1 ≡ 0 mod p mindestens d Lösungen unter den Zahlen 1, 2, . . . , p − 1.
Nach dem Satz von Lagrange hat diese Kongruenz aber auch höchstens d Lösungen, und daher genau
d Lösungen.
Satz 2.5.6
Es sei p eine Primzahl und d|(p − 1), dann gibt es genau ϕ(d) inkongruente Zahlen mod p der Ordnung
d. Insbesondere gibt es ϕ(p − 1) = ϕ(ϕ(p)) inkongruente Primitivwurzeln mod p.
22
Beweis
Für d ∈ N mit d|(p − 1) sei F (d) die Anzahl der natürlichen Zahlen 1 ≤ a ≤ p − 1 mit ordp (a) = d. Es
gilt offenbar
X
(1)
p−1 =
F (d) .
d|(p−1)
Wir zeigen als nächstes, dass F (d) ≤ ϕ(d) ist. Dies ist klar, falls F (d) = 0 ist, wir können also
annehmen, dass es ein r ∈ Z gibt mir ord p (r) = d. Die Zahlen r, r 2 , . . . , r d sind alle inkongruent mod p.
Außerdem sind sie Lösungen der Kongruenz xd ≡ 1 mod p, die nach Satz 2.5.5 genau d Lösungen mod
p besitzt. Jede Lösung von xd ≡ 1 mod p ist somit zu genau einer der Zahlen r, r 2 , . . . , r d kongruent.
Jede ganze Zahl a mit 1 ≤ a ≤ p − 1 ist eine Lösung von xd ≡ 1 mod p, also zu genau einer der Zahlen
r, r 2 , . . . , r d kongruent mod p. Unter diesen gibt es nach Satz 2.5.5 genau ϕ(d) Zahlen der Ordnung d,
nämlich die r u mit ggT(u, d) = 1. Im Fall F (d) > 0 ergibt sich daher F (d) = ϕ(d). Insgesamt gilt also
(2)
F (d) ≤ ϕ(d) .
Nach Übungsaufgabe 20 gilt
(3)
p−1 =
X
ϕ(d) .
d|(p−1)
Wäre nun F (d) < ϕ(d) für ein d|(p − 1), so würde aus (1), (2) und (3) der Widerspruch
X
X
p−1 =
F (d) <
ϕ(d) = p − 1
d|(p−1)
d|(p−1)
folgen. Der Fall F (d) = 0 kann nicht eintreten, da F (d) = ϕ(d) sein muss für d|(p − 1).
Wir diskutieren als nächstes die Existenz von Primitivwurzeln modulo Primzahlpotenzen.
Satz 2.5.7
Es sei p eine Primzahl und r eine Primitivwurzel mod p. Dann ist r + tp für genau p − 1 Werte von
t mod p auch eine Primitivwurzel mod p 2 .
Beweis: Übungsaufgabe 21
Satz 2.5.8
Es sei p eine ungerade Primzahl und r eine Primitivwurzel mod p 2 . Dann ist r auch eine Primitivwurzel
mod pj für alle j ≥ 3.
Beweis: Übungsaufgabe 22
Satz 2.5.9
Es sei j ≥ 3, dann gibt es keine Primitivwurzel mod 2 j . Es ist ord2j (5) = 2j−2 . Die 2j−1 Zahlen
j−2
±5, ±52 , . . . , ±52
bilden ein reduziertes Restsystem mod 2 j . Ist a ungerade, so gibt es k und l aus
Z mit a ≡ (−1)k 5l mod 2j . Die Werte von k bzw. l sind mod 2 bzw. mod 2 j−2 eindeutig bestimmt.
Beweis
Wir zeigen zunächst durch vollständige Induktion: Ist r ≡ 1 mod 2 und l ≥ 1, dann gilt
l
r 2 ≡ 1 mod 2l+2 .
(1)
Induktionsanfang l = 1: Dieser Fall wird leicht direkt nachgerechnet, weil dann r ≡ 1, 3, 5, 7 mod 8 ist.
l
l
Induktionsschritt l → l + 1: r 2 ≡ 1 mod 2l+2 bedeutet r 2 = 1 + k2l+2 für ein k ∈ Z. Daraus
folgt
l+1
r2
≡ (1 + k2l+2 )2 ≡ 1 + k2l+3 ≡ 1 mod 2l+3 .
23
Damit gilt (1) für alle l ≥ 1. Aus (1) folgt, dass ord2j (r) ≤ 2j−2 < 2j−1 = ϕ(2j ) für j ≥ 3 ist, es gibt
also keine Primitivwurzel mod 2j für j ≥ 3. Wir zeigen als nächstes, dass für l ≥ 1 gilt:
(2)
l
l
52 ≡ 1 mod 2l+2 aber 52 6≡ 1 mod 2l+3 .
Induktionsanfang l = 1: kann wieder direkt nachgerechnet werden.
Induktionsschritt l → l + 1: Nach Induktionshypothese gilt
l
52 = 1 + k2l+2 mit k ≡ 1 mod 2
l+1
l
⇒ 52
≡ (52 )2 ≡ 1 + (· · · )2l+3 ≡ 1 mod 2l+3 .
0
0
Damit ist ord2j (5) = 2j−2 für alle j ≥ 3. Angenommen (−1)k 5l ≡ (−1)k 5l mod 2j für k, k 0 ∈ {0, 1}
und 1 ≤ l, l 0 ≤ 2j−2 , ohne Einschränkung mit l 0 ≤ l. Dann folgt
0
0
5l−l ≡ (−1)k −k mod 2j .
j−2
Wegen 5 ≡ 1 mod 22 folgt k = k 0 , und wegen ord2j (5) = 2j−2 ist l = l0 . Die Zahlen ±5, ±52 , . . . , ±52
sind also paarweise inkongruent mod 2 j , damit ist der Satz bewiesen.
Satz 2.5.10
Es gibt eine Primitivwurzel mod m genau dann, wenn m = 1, 2, 4, p j oder 2pj ist für eine ungerade
Primzahl p.
Ohne Beweis
2.6. Das Quadratische Reziprozitätsgesetz
Aus den Sätzen 2.5.4 und 2.5.6 folgt: es gibt genau p−1
2 quadratische Reste mod p (p 6= 2 Primzahl).
Unter den Zahlen 1, 2, . . . , p − 1 sind also genau die Hälfte quadratische Reste, die andere Hälfte
Nichtreste.
Definition 2.6.1
Es sei p eine ungerade Primzahl und

 1
a
:= −1

p
0
a ∈ Z. Dann definieren wir das Legendre-Symbol durch
falls a ein quadratischer Rest mod p ist
falls a quadratischer Nichtrest mod p ist .
falls
p ein Teiler von a ist
Beispiel 2.6.1
Es sei p = 7. Aus der Tabelle
x mod 7 ±3 ±2 ±1
x2 mod 7 2
4
1
entnehmen wir
a
7

 1 falls a ≡ 1, 2, 4 mod 7
= −1 falls a ≡ 3, 5, 6 mod 7 .

0 falls
a ≡ 0 mod 7
Satz 2.6.1
Es p eine ungerade Primzahl und a ∈ Z. Dann gilt
p−1
(i) ap ≡ a 2 mod p,
(ii) ap · pb = a·b
p ,
(iii) aus a ≡ b mod p folgt ap = pb ,
2 2
(iv) ist (a, p) = 1, so gilt ap = 1 und ap b = pb .
24
Beweis
Zu (i): Nach dem kleinen Satz von Fermat 2.1.11 ist
p−1
p−1
0 ≡ ap−1 − 1 ≡ a 2 − 1 · a 2 + 1 mod p ,
p−1
also a 2 ≡ ±1 mod p. (i) folgt dann aus Satz 2.5.4. Die anderen Teilaussagen sind einfache Folgerungen aus (i).
Sind p und q zwei verschiedene ungerade Primzahlen, so besteht zwischen den Legendre-Symbolen
( pq ) und ( pq ) ein enger Zusammenhang, der sich im quadratischen Reziprozitätsgesetz ausdrückt. Der
folgende Satz dient der Vorbereitung seines Beweises.
Satz 2.6.2 (Lemma von Gauß)
Es sei p eine ungerade Primzahl und ggT(a, p) = 1. Man betrachte die Zahlen a, 2a, 3a, . . . , p−1
2 a und
ihre kleinsten positiven Reste mod p. Ist s die Anzahl derjenigen Reste, die größer als p2 sind, so ist
( ap ) = (−1)s .
Beispiel 2.6.2
Es sei p = 7 und a = 3. Dann ist
Es ist also s = 1 und
( 73 )
a ≡ 3 mod 7 , 2a ≡ 6 mod 7 , 3a ≡ 2 mod 7 .
= (−1)s = −1.
Beweis zu Satz 2.6.2
Es seien u1 , u2 , . . . , us die Reste, die größer als p−1
2 sind und v1 , v2 , . . . , vt die übrigen Reste. Die ui sind
alle paarweise verschieden, ebenso die v i , da aus ak1 ≡ ak2 mod p die Kongruenz k1 ≡ k2 mod p folgt.
Es ist auch nie p − ui = vj : wäre nämlich ui = ka und vj = la für 1 ≤ k, l ≤ p−1
2 und p − ui = vj , so
wäre p−ka ≡ la mod p, also k +l ≡ 0 mod p, was unmöglich ist. Die Zahlen p−u1 , . . . , p−us , v1 , . . . , vt
sind also alle verschieden, mindestens Eins und kleiner als p2 . Ihre Anzahl ist s + t = p−1
2 . Daher stellen
p−1
diese Zahlen die Zahlen 1, 2, . . . , 2 in irgend einer Reihenfolge dar. Also
(p − u1 ) · (p − u2 ) · · · (p − us ) · v1 · v2 · · · vt = 1 · 2 · · ·
und deshalb
(−u1 )(−u2 ) · · · (−us )v1 v2 · · · vt ≡
⇒ (−1)s · a · 2a · · ·
s
⇒ (−1) · a
und damit a
p−1
2
p−1
2
·
p−1
a ≡
2
p−1
2
1
(p − 1) ! mod p
2
1
(p − 1) ! mod p
2
1
1
(p − 1) ! ≡
(p − 1) ! mod p
2
2
≡ (−1)s mod p. Nach Satz 2.6.1 ist a
p−1
2
≡ ( ap ) mod p, und deshalb ( ap ) = (−1)s .
Satz 2.6.3 (Quadratisches Reziprozitätsgesetz)
Es gilt:
(i) Sind p und q ungerade Primzahlen, so gilt
p2 −1
(ii) 2p = (−1) 8 .
p−1
= (−1) 2 .
(iii) −1
p
25
p−1 q−1
p
q
· 2
2
.
q · p = (−1)
Bemerkung 2.6.1
p−1 q−1
Zu (i): Der Ausdruck (−1) 2 · 2 ist 1 genau dann, wenn mindestens eine Primzahlen p oder q kongruent zu 1 ist mod 4. In diesem Fall besagt das quadratische Reziprozitätsgesetz also, dass die Kongruenzen x2 ≡ p mod q und x2 ≡ q mod p beide lösbar oder beide unlösbar sind. Ist p ≡ q ≡ 3 mod 4, so
besagt das quadratische Reziprozitätsgesetz, dass eine der beiden Kongruenzen lösbar ist, die andere
unlösbar.
Zu (ii): Es sei p = 8k + r, dann ist p2 = 64k 2 + 16kr + r 2 ≡ r 2 mod 8. Es ist also
p2 −1
1 falls p ≡ 1, 7 mod 8
.
(−1) 8 =
−1 falls p ≡ 3, 5 mod 8
Teil (ii) besagt also, dass x2 ≡ 2 mod p für eine ungerade Primzahl p genau dann lösbar ist, wenn
p ≡ 1, 7 mod 8 ist.
Zu (iii): Die Kongruenz x2 ≡ −1 mod p ist lösbar für p ≡ 1 mod 4 und unlösbar für p ≡ 3 mod 4.
Beweis zu Satz 2.6.3
Zu (i): Wir zeigen zunächst: ist (a, 2p) = 1, dann ist
a
= (−1)w mit w =
p
(∗)
1
(p−1)
2
X ja .
p
j=1
Dazu verwenden wir dieselben Bezeichnungen wie im Beweis von Satz 2.6.2. Es seien also u 1 , . . . , us die
p
kleinsten positiven Reste von a, 2a, . . . , p−1
2 a, die größer als 2 sind, und v1 , . . . , vt die übrigen Reste.
ja
Es ist ja = p[ p ] + rj , wobei rj eine der Zahlen u1 , . . . , us , v1 , . . . , vt ist. Daher ist
1
(p−1)
2
1
(p−1)
2
X
X
ja =
j=1
j=1
1
(p−1)
2
X
j =
j=1
j=1
Subtraktion ergibt
s
X
j=1
Daraus folgt
ja
p
p
(p − uj ) +
1
(p−1)
2
X
1
2
(a − 1)j = p · 
t
X
j=1
+
s
X
vj = sp −
p
vj und
j=1
j=1
(p−1) X
ja
j=1
t
X
uj +
s
X
uj +
− s + 2
vj .
j=1
j=1

t
X
s
X
uj .
j=1
1
(p−1)
2
w =
X ja ≡ s mod 2 .
p
j=1
Die Behauptung (∗) folgt daher aus dem Lemma von Gauß. Aus (∗) folgt nun
p
q
(∗∗)
·
= (−1)T1 +T2 mit
q
p
T1 =
Es sei nun
G =
1
(p−1)
2
1
(q−1)
2
j=1
j=1
X qj und T2 =
p
X pj .
q
q−1
p−1
, 1≤y≤
(x, y) | 1 ≤ x ≤
2
2
26
,
dann ist |G| =
p−1
2
·
q−1
2 .
Wir unterteilen nun die Menge G in zwei disjunkte Untermengen:
G1 = {(x, y) | qx > py} , G2 = {(x, y) | qx < py} ,
dann ist
1
(p−1)
2
|G1 | =
Also ist T1 + T2 =
p−1
2
·
q−1
2 ,
X qx = T1 , |G2 | =
p
x=1
1
(q−1)
2
X py = T2 .
q
y=1
und Teil (i) folgt aus (∗∗).
Zu (ii): Zur Bestimmung von ( 2p ) wenden wir das Lemma von Gauß 2.6.2 an. Es ist 2j < p2 für
p
p−1
j ≤ p4 . Unter den Zahlen 1 · 2, 2 · 2, . . . , p−1
·
2
gibt
es
daher
genau
s
=
−
2
2
4 Zahlen mit kleinsp
p−1
p2 −1
p
tem positiven Rest > 2 . Es bleibt zu zeigen, dass 2 − 4 ≡ 8 mod 2 ist. Wir haben schon in
2
2
der Bemerkung 2.6.1 gesehen, dass p 8−1 ≡ 0 mod 2 ist für p ≡ 1, 7 mod 8 und p 8−1 ≡ 1 mod 2 für
p ≡ 3, 5 mod 8. Es gilt
p
=
4k − 2k + 41
=
2k
≡ 0 mod 2
p = 8k + 1 ⇒ p−1
2 − 4
p = 8k + 3
⇒
p−1
2
−
p = 8k + 5
⇒
p−1
2
−
p = 8k + 7
⇒
p−1
2
−
p
4
p
4
p
4
= 4k + 1 − 2k + 43 = 2k + 1 ≡ 1 mod 2
= 4k + 2 − 2k + 45 = 2k + 1 ≡ 1 mod 2
= 4k + 3 − 2k + 47 = 2k + 2 ≡ 0 mod 2 .
Damit ist (ii) bewiesen. Teil (iii) folgt sofort Satz 2.5.4.
Das quadratische Reziprozitätsgesetz erlaubt es, Legendre-Symbole schnell zu berechnen, und damit
die Lösbarkeit quadratischer Kongruenzen zu entscheiden.
Beispiel 2.6.3
Es gilt
1753
4003
497 + 2 · 1753
497
7
71
=
=
=
=
·
4003
1753
1753
1753
1753
1753
=
1753
7
1753
3
49
7
1
·
=
·
= −
= −
= −1 .
71
7
71
3
3
Die Kongruenz x2 ≡ 1753 mod 4003 ist daher unlösbar.
Wie man sieht, schließt die Berechnung eines Legendre-Symbols mittels des quadratischen Reziprozitätsgesetzes auch Zerlegungen in Primfaktoren ein. Dies kann vermieden werden, wenn man eine
Verallgemeinerung des Legendre-Symbols verwendet:
Definition 2.6.2
Es sei n eine ungerade natürliche Zahl mit n = p1 · · · ps , wobei p1 , . . . , ps nicht notwendig verschiedene
Primzahlen sind. Dann definieren wir das Jacobi-Symbol durch
a
n
s
Y
a
,
:=
pj
j=1
wobei ( paj ) jeweils Legendre-Symbole sind.
27
Bemerkung 2.6.2
Falls n eine ungerade Primzahl ist, so stimmen Jacobi- und Legendre-Symbol überein. Ist a ein quadratischer Rest modulo n, so ist ( paj ) = 1 für 1 ≤ j ≤ n, also ( na ) = 1. Die Umkehrung gilt jedoch
nicht: aus ( na ) = 1 folgt nicht, dass a quadratischer Rest mod n ist. Es folgt lediglich, dass ( paj ) = −1
für eine gerade Anzahl der pj ist. Andererseits folgt aus ( na ) = −1 aber, dass n quadratischer Nichtrest
mod n ist.
Beispiel 2.6.4
Es ist
2
2
2
=
·
= 1,
15
3
5
aber 2 ist kein quadratischer Rest mod 15, da ( 32 ) = ( 52 ) = −1 ist, also bereits die Kongruenzen
x2 ≡ 2 mod 3 und x2 ≡ 2 mod 5 unlösbar sind.
Satz 2.6.4 (Rechenregeln für das Jacobi-Symbol)
Es seien n, n1 , n2 ungerade natürliche Zahlen, dann gilt
(i) na1 · na2 = n1a·n2 ,
(ii) an1 · an2 = a1n·a2 , 2
(iii) ist ggT(a, n) = 1, so ist an = na2 = 1,
2 a a
(iv) ist ggT(a1 a2 , n1 n2 ) = 1, so gilt n1 n22 = na11 ,
1 2
(v) aus a1 ≡ a2 mod n folgt an1 = an2 .
Beweis
Diese Regeln folgen alle aus der Definition des Jacobi-Symbols und den entsprechenden Regeln f ür das
Legendre-Symbol.
Die Bedeutung des Jacobi-Symbols liegt nun darin, dass auch für dieses ein Reziprozitätsgesetz gilt:
Satz 2.6.5 (Quadratisches Reziprozitätsgesetz für Jacobi-Symbole)
Es gilt:
(i) Sind m und n ungerade natürliche Zahlen mit ggT(m, n) = 1, so gilt
n2 −1
(ii) Es ist n2 = (−1) 8 .
n−1
(iii) Es ist −1
= (−1) 2 .
n
m
n
·
n
m
= (−1)
m−1 n−1
· 2
2
.
Beweis
Zu (i): Es sei m = p1 · · · pr und n = q1 · · · qs . Dann ist nach der Definition des Jacobi-Symbols und
nach dem quadratischen Reziprozitätsgesetz für Legendre-Symbole
r r s Y
s Y
m
n
Ps Pr pi −1 qi −1
Y
Y
pi −1 qi −1
qj
pi
· 2
2
=
=
· (−1)
=
· (−1) j=1 i=1 2 · 2 .
n
qj
pi
m
j=1 i=1
j=1 i=1
Sind a und b ungerade, so ist
a−1 b−1
ab − 1
(a − 1)(b − 1)
−
+
≡ 0 mod 2
=
2
2
2
2
und damit
ab − 1
a−1 b−1
+
≡
mod 2 .
2
2
2
Indem wir dies wiederholt anwenden, erhalten wir
r
s
X
X
pi − 1
qi − 1
m−1
n−1
≡
mod 2 ,
≡
mod 2
2
2
2
2
i=1
j=1
28
und damit
m
=
n
· (−1)
m−1 n−1
· 2
2
.
n
m
Zu (ii): Nach der Definition des Jacobi-Symbols und nach Satz 2.6.3 gilt
s qj2 −1
Ps
Y
2
2
j=1
8
.
=
= (−1)
n
qj
j=1
Sind nun a und b ungerade, so ist
2
a2 b2 − 1
(a2 − 1)(b2 − 1)
a − 1 b2 − 1
≡
−
+
≡ 0 mod 2
8
8
8
8
und deshalb
a2 b2 − 1
a2 − 1 b2 − 1
+
≡
mod 2 .
8
8
8
Wiederholte Anwendung dieser Kongruenz ergibt
s
X
qj2 − 1
n2 − 1
≡
mod 2
8
8
j=1
und somit
n2 −1
2
= (−1) 8 .
n
Zu (iii): Wie in Teil (i) ist
s
X
qj − 1
2
j=1
und damit
−1
n
≡
n−1
mod 2
2
= (−1)
n−1
2
.
Beispiel 2.6.5
Man entscheide, ob die Kongruenz x2 ≡ 1241 mod 4801 lösbar ist. Lösung: 4801 ist eine Primzahl.
Auch für große Zahlen gibt es Methoden, die schnell nachzuweisen. Wir brauchen nichts über die
Primfaktorzerlegung von 1241 zu wissen (es ist 1241 = 17 · 73). Wir berechnen das Legendre-Symbol
1241
( 4801
):
4801
−163
163
1241
1241
=
=
=
=
4801
1241
1241
1241
163
Jacobi
=
−63
163
=
Jacobi
7
163
=
Jacobi
163
7
2
=
= 1,
7
denn es ist 1241 = 8 · 163 − 63, 163 = 23 · 7 + 2. Die Kongruenz ist also lösbar.
Ist p eine ungerade Primzahl, so wissen wir, dass es unter den Zahlen 1, 2, . . . , p − 1 genau p−1
2 quadratische Reste und p−1
Nichtreste
gibt.
Man
kann
nun
nach
feineren
Eigenschaften
dieser
Verteilung
2
fragen. Zum Beispiel: Wie groß muss ein Intervall sein, so dass es garantiert quadratische Reste bzw.
Nichtreste enthält? Wie groß kann der kleinste positive quadratische Nichtrest sein? Eine Aussage zur
letzten Frage liefert
Satz 2.6.6
Es sei p eine ungerade Primzahl und n(p) der kleinste positive quadratische Nichtrest mod p. Dann
√
ist n(p) < p + 1.
29
Beweis
Es sei m die kleinste natürliche Zahl, für die m · n(p) > p und (m − 1) · n(p) ≤ p ist. Da n(p) ≥ 2 und
p eine Primzahl ist, gilt (m − 1) · n(p) < p. Daher ist 0 < m · n(p) − p < n(p). Da n(p) der kleinste
quadratische Nichtrest ist folgt
m · n(p) − p
= 1
p
und damit ( m
p ) = −1. Daher muss m ≥ n(p) sein, so dass
(n(p) − 1)2 < (n(p) − 1) · n(p) ≤ (m − 1) · n(p) < p
√
ist. Daraus folgt n(p) < p + 1.
30
3. Anwendungen in der Kryptologie, Primzahltests
3.1. Public-Key-Codes, RSA-Verfahren
Der Gegenstand der Kryptologie ist die Übermittlung geheimer Botschaften unter Verwendung von
Codes. Die Kryptologie besteht aus zwei Teilgebieten:
(i) In der Kryptographie wird der Entwurf von Geheimcodes untersucht.
(ii) In der Kryptoanalyse wird nach Methoden gesucht, diese zu knacken.
Bei der Übermittlung einer geheimen Nachricht wird zunächst eine Botschaft B in einen Geheimtext
E(B) umgeändert. Das Verfahren für die Umänderung bezeichnet man als Verschlüsselung E (von engl.
encryption“). Die verschlüsselte Botschaft wird dann an den Empfänger gesandt. Dieser benutzt ein
”
Entschlüsselungsverfahren D (von engl. decryption“), um die ursprüngliche Botschaft zurück zu ge”
winnen. Diese so genannten Chiffrierverfahren sind öffentlich bekannt. Das Verschlüsselungsverfahren
wird dabei meist durch einen Schlüssel K1 gesteuert, die Entschlüsselung durch einen Schlüssel K2 .
Die Übermittlung erfolgt also nach folgendem Schema:
Empfänger
Sender
6
D(E(B))=B
B
?
Verschlüsselung
K1
Entschlüsselung
K2
6
E(B)
E(B)
Störungen
?
?
Lauscher
6
Unsicherer Kanal
Ziel der Chiffrierverfahren ist es, die Nachricht B vor dritten Personen geheim zu halten, und gegen Veränderungen bei der Übertragung zu schützen. Dazu ist es erforderlich, den Schlüssel K2 vor
eventuellen Lauschern geheim zu halten. Bei den konventionellen Verfahren (den symmetrischen Chiffrierverfahren) ist es möglich, das Entschlüsselungsverfahren aus dem Verschlüsselungsverfahren zu
gewinnen (meist sind diese sogar identisch, und es gilt K 1 = K2 ). Also war auch K1 geheim zu halten.
In gewissen Umständen ist es jedoch wünschenswert, auf die Geheimhaltung von K 1 zu verzichten.
Haben wir zum Beispiel ein Netzwerk von sehr vielen Teilnehmern, so ist es wünschenswert, dass jeder
Teilnehmer Ti an jeden anderen Teilnehmer Tj eine Botschaft schicken kann, ohne sich zunächst bei
Tj nach dem Schlüssel zu erkundigen. Dazu veröffentlicht jeder Teilnehmer Tj seinen Schlüssel Sj für
die Verschlüsselung in einer Art Telefonbuch. Will ein anderer Teilnehmer T i eine Botschaft an Tj
senden, so benutzt er dazu den Schlüssel Sj . Es muss also ein System gefunden werden, bei dem es
unmöglich ist, den Schlüssel für die Entschlüsselung aus Sj zu berechnen. Einen solchen Code nennt
man Public-Key-Code oder auch asymmetrisches Chiffrierverfahren. Wir werden das RSA-System1
1Benannt nach Rivest, Shamir und Adleman, die es 1978 vorgeschlagen haben.
31
betrachten.
Der öffentliche Schlüssel S = (e, n) ist ein Zahlenpaar bestehend aus dem Exponenten e ∈ N und dem
Modulus n, so dass n = pq das Produkt zweier verschiedener Primzahlen ist, und ggT(e, ϕ(n)) = 1
ist. Während e und n allgemein zugänglich sind, ist die Faktorisierung n = pq und auch ϕ(n) nur dem
Empfänger bekannt, dem der öffentliche Schlüssel gehört. Das Verfahren gilt als sicher, wenn p und q
groß genug gewählt sind. Aktuelle2 Schlüssel sind von der Größenordnung 21024 . Wir beschreiben nun
das Verschlüsselungsverfahren: Jeder Buchstabe der Nachricht wird nach einem Standardverfahren in
eine Ziffernfolge umgewandelt. Eine feste Anzahl dieser Ziffernfolgen werden aneinander gehängt, so
dass sie eine Zahl B < n bilden. Dabei soll B jedoch von derselben Größenordnung wie n sein, d. h. in
etwa die gleiche Anzahl Stellen besitzen. Ist die Botschaft länger, kann sie in Blöcke unterteilt werden.
Der Absender berechnet dann die eindeutig bestimmte Zahl C mit
C ≡ B e mod n ,
0 <C <n.
Die Zahl C ist der Geheimtext, der an den Empfänger gesendet wird. Wir kommen zur Beschreibung
des nur dem Empfänger bekannten Entschlüsselungsverfahrens. Da der Empfänger die Faktorisierung
n = pq kennt, kann er auch ϕ(n) = (p − 1)(q − 1) einfach ausrechnen. Da ggT(e, ϕ(n)) = 1 ist,
kann der Empfänger ein d > 0 berechnen, so dass ed ≡ 1 mod ϕ(n) ist. Erhält er den Geheimtext
C ≡ B e mod n, so berechnet er die eindeutig bestimmte Zahl Q mit
Q ≡ C d mod n ,
0 <Q<n.
Dann ist ed = kϕ(n) + 1 für ein k ∈ N0 , also gilt
Q ≡ C d ≡ (B e )d ≡ B ed ≡ B kϕ(n)+1 ≡ (B ϕ(n) )k · B ≡ B .
Also ist wegen der Bedingung 0 < Q < n dann Q = B, d. h. der Empfänger hat die Originalnachricht
zurückgewonnen. Das Paar T = (d, n) wird als privater Schlüssel bezeichnet.
Bevor wir nun zur Diskussion der Qualität des RSA-Systems kommen, stellen wir zunächst folgende
Tatsache über die Häufigkeit der Primzahlen ohne Beweis fest:
Definition 3.1.1
Für x > 0 sei π(x) die Anzahl der Primzahlen p ∈ N, die kleiner oder gleich x sind.
Es gilt:
Satz 3.1.1 (Primzahlsatz)
π(x)
= 1,
x→∞ x/ log(x)
lim
was auch geschrieben werden kann als
π(x) ∼
x
.
log(x)
Die zweite Tatsache die wir wissen müssen und im nächsten Abschnitt diskutieren werden, ist, dass es
sehr schnelle Primzahltests gibt. Die Anzahl der Rechenschritte für einen Primzahltest ist für eine Zahl
der Größenordnung 2k nur von der Größenordnung k. Wir kommen nun zur angekündigten Diskussion
der Qualität des RSA-Systems:
2D.h. im Jahr 2005
32
(I) Ein öffentlicher Schlüssen (e, n) ist leicht zu konstruieren. Dazu wählt man irgend eine Zahl
p der Größenordnung ∼ 2k nach dem Zufallsprinzip. Die Wahrscheinlichkeit, dass p eine
Primzahl ist, beträgt nach dem Primzahlsatz
1
1
π(2k )
∼
∼
.
k
k
2
log(2 )
k
Ein Rechner benötigt daher im Schnitt k Versuche. um eine Primzahl p der gewünschten
Größenordnung zu finden. Der Teilnehmer T berechnet zwei verschiedene Primzahlen p und
q auf diese Weise, und veröffentlicht den Schlüssel (e, n) mit n = pq.
(II) Verschlüsselung und Entschlüsselung können leicht mit Computern durchgeführt werden, es
wird nur die Potenzierung mit einer natürlichen Zahl benötigt, die modulo n effizient durch
wiederholtes Quadrieren durchgeführt werden kann. Das Inverse d zu e kann mit dem Euklidischen Algorithmus berechnet werden wenn p und q bekannt sind.
(III) Es gibt zur Zeit kein Verfahren, das die Originalnachricht B aus C ≡ B e ohne Kenntnis
von ϕ(n) oder der Faktorisierung n = pq (welche die Kenntnis von ϕ(n) = (p − 1)(q − 1)
impliziert) mit akzeptablem Aufwand ausrechnen kann.
3.2. Primzahltests
Aus dem kleinen Fermatschen Satz wissen wir, dass für eine Primzahl n und beliebiges b ∈ Z die
Kongruenz
bn ≡ b mod n
gilt. Können wir umgekehrt eine Zahl b finden, so dass b n 6≡ b mod n ist, so wissen wir, dass n
zusammengesetzt ist.
Beispiel 3.2.1
Es sei n = 63 und b = 2. Es ist 26 ≡ 64 ≡ 1 mod n. Es ist 1 < 2l < 63 für 1 ≤ l ≤ 5 und daher
ord63 (2) = 6. Also nach Satz 2.5.1
263 ≡ 23 ≡ 8 mod 63 .
Insbesondere ist bn 6≡ b mod n für b = 2, also ist 63 zusammengesetzt.
Dies natürlich nicht der einfachste Weg um zu zeigen, dass n = 63 zusammengesetzt ist, da die
Faktoren 3 und 7 sehr schnell gefunden werden können. Doch ist die Methode für größere Werte
von n die erfolgreichste. Zum Beispiel ist 1963 (Selfridge&Hurwitz) bekannt, dass die Fermatzahl
14
F14 = 22 +1 + 1 mit 4933 Dezimalstellen zusammengesetzt ist. Jedoch ist bis heute kein Primfaktor
von F14 bekannt. Es wäre wünschenswert, wenn durch überprüfen der Kongruenz auch gezeigt werden
könnte, dass eine Zahl n eine Primzahl ist. Dies ist leider nicht möglich, da die Umkehrung des kleinen
Satzes von Fermat falsch ist.
Beispiel 3.2.2
Es sei n = 341 = 11 · 31. Durch den kleinen Satz von Fermat ist 2 10 ≡ 1 mod 11, also 2340 ≡ 1 mod 11.
Außerdem ist 2340 = (25 )68 ≡ 1 mod 31, also folgt 2341 ≡ 2 mod 341, obwohl 341 keine Primzahl ist.
Definition 3.2.1
Es sei b ∈ N. Ist n zusammengesetzt und b n ≡ b mod n, so heißt n eine Pseudo-Primzahl zur Basis b.
Pseudo-Primzahlen bzgl. einer Basis b sind viel seltener als Primzahlen. Insbesondere gibt es 455025512
Primzahlen ≤ 1010 , aber nur 14884 Pseudo-Primzahlen ≤ 10 10 zur Basis 2. Dennoch gibt es zu jeder
Basis unendlich viele Pseudo-Primzahlen.
Satz 3.2.1
Es gibt unendlich viele Pseudo-Primzahlen zur Basis 2.
33
Beweis: Übungsaufgabe 17
Es ist also nicht immer möglich, durch Überprüfen einer einzelnen Kongruenz bn ≡ b mod n zu zeigen,
dass n zusammengesetzt ist. Eine weitergehende Idee besteht darin, die Kongruenz f ür verschiedene
Basen b zu testen. So ist n = 341 beispielsweise eine Pseudo-Primzahl zur Basis 2, jedoch keine PseudoPrimzahl zur Basis 3, da 3341 ≡ 168 6≡ 3 mod 341 ist. Der Test mit der Basis b = 3 zeigt also, dass 341
zusammengesetzt ist. Es gibt jedoch auch Zahlen, die Pseudo-Primzahlen bzgl. jeder Basis sind.
Definition 3.2.2
Eine zusammengesetzte Zahl n, für die bn−1 ≡ 1 mod n für alle natürlichen Zahlen b mit ggT(b, n) = 1
gilt, heißt Carmichael-Zahl.
Es wurde 1992 von Alford, Granville und Pomerance gezeigt, dass es unendlich viele Carmichael-Zahlen
gibt.
Satz 3.2.2
Genau dann ist n eine Carmichael-Zahl, wenn n = p 1 p2 · · · pr mit r ≥ 3 und paarweise verschiedenen
ungeraden Primzahlen pi ist, für die (pi − 1)|(n − 1) für i = 1 . . . r gilt.
Beweis: Übungsaufgaben 18 und 32
Wir kommen nun zur Beschreibung von Primzahltests: Ist n eine Primzahl, so folgt aus der Kongruenz
n−1
bn−1 ≡ 1 mod n, dass b 2 ≡ ±1 mod n ist. Man kann also versuchen zu zeigen, dass n zusammengesetzt ist, indem man diese Kongruenz überprüft.
Beispiel 3.2.3
Es sei n = 561 = 3 · 11 · 17. Nach Satz 3.2.2 ist n eine Carmichael-Zahl. Also ist b = 5 b n ≡ b mod n
für b = 5. Es ist jedoch
561−1
5 2 = 5280 ≡ 67 mod 561 .
Dies zeigt, dass n = 561 zusammengesetzt ist.
Definition 3.2.3
Es sei n eine natürliche Zahl mit n − 1 = 2s t, s ∈ N0 und t eine ungerade natürliche Zahl. Wir sagen,
j
n besteht den Test von Miller für die Basis b, wenn entweder bt ≡ 1 mod n oder b2 t ≡ −1 mod n für
ein j mit 0 ≤ j ≤ s − 1 gilt.
Satz 3.2.3
Ist n prim und b eine natürliche Zahl mit n6 | b, dann besteht n den Test von Miller für die Basis b.
Beweis
Es sei n − 1 = 2s t mit s ∈ N0 und t eine ungerade natürliche Zahl. Wir setzen
xk = b
n−1
2k
= b2
s−k t
für k = 0, 1, 2, . . . , s. Da n eine Primzahl ist, gilt nach Fermat x 0 = bn−1 ≡ 1 mod n. Aus x21 =
bn−1 ≡ 1 mod n folgt n|(x21 − 1) = (x1 + 1)(x1 − 1), also x1 = −1 mod n oder x1 ≡ 1 mod n. Ist
x1 ≡ 1 mod n, so gilt wegen x22 = x1 ≡ 1 mod n nun x2 ≡ 1 mod n oder x2 ≡ 1 mod n. Induktiv folgt
aus x0 ≡ x1 ≡ · · · ≡ xk ≡ 1 mod n dann xk+1 ≡ −1 mod n oder xk+1 ≡ 1 mod n. Es gilt also entweder
xk ≡ 1 mod n für alle k = 0 . . . s, oder xk ≡ −1 mod n für ein k. Damit besteht n den Test von Miller
zur Basis b.
Dies führt zur folgenden Definition:
34
Definition 3.2.4
Ist n zusammengesetzt, und besteht n dennoch den Test von Miller für eine Basis b, so heißt n eine
starke Pseudo-Primzahl zur Basis b.
Obwohl starke Pseudo-Primzahlen sehr selten sind, gibt es wiederum unendlich viele zu jeder Basis b.
Es gibt jedoch kein Analogon der Carmichael-Zahlen zu starken Pseudo-Primzahlen: ist n zusammengesetzt, so kann man immer eine Basis b finden, für die n den Test von Miller nicht besteht, für die
also n keine starke Pseudo-Primzahl ist.
Satz 3.2.4
Es sei n eine ungerade zusammengesetzte Zahl. Dann besteht n den Test von Miller für höchstens
Basen b mit 1 ≤ b ≤ n − 1.
n−1
4
Beweis
Wir setzen n − 1 = 2s t mit s ∈ N0 und t ungerade. Falls n eine starke Pseudo-Primzahl zur Basis b
ist, gilt bn−1 ≡ 1 mod n. Es sei
n = pα1 1 · pα2 2 · · · pαr r
(1)
die Primfaktorzerlegung von n. Nach den Sätzen 2.5.4 und 2.5.10 hat die Kongruenz
e
xn−1 ≡ 1 mod pj j
e −1
e
genau Nj = ggT(n − 1, pj j (pj − 1)) = ggT(n − 1, pj − 1) Lösungen mod pj j . Nach dem Chinesischen
Restsatz 2.3.1 gibt es daher genau
N =
r
Y
j=1
inkongruente Lösungen von
xn−1
ggT(n − 1, pj − 1) =
r
Y
Nj
j=1
≡ 1 mod n.
Fall 1:
In (1) sei αk ≥ 2 für mindestens ein k. Es ist
pk − 1
1
1
1
1
2
= αk −1 − αk ≤ − 2 ≤ .
αk
pk
pk
3 3
9
pk
Daher ist
N =
r
Y
j=1
2
9n
r
2
2 ek Y
pj ≤ n .
ggT(n − 1, pj − 1) ≤ pk
9
9
j=1
j6=k
1
4 (n
n−1
4
≤
− 1) für n ≥ 9 ist folgt, dass N ≤
ist. Es gibt also höchstens
Da
1 ≤ b ≤ n, für die n eine starke Pseudo-Primzahl zur Basis b ist.
n−1
4
Zahlen b mit
Fall 2:
Es sei n = p1 · · · pr mit ungeraden und paarweise verschiedenen p i . Es sei pi −1 = 2si ti für i = 1, 2, . . . , r.
Wir nummerieren die pi so, dass s1 ≤ s2 ≤ · · · ≤ sr gilt, und betrachten die Kongruenz
(2)
x2
jt
≡ −1 mod pi .
Es sei di = ggT(2j t, pi − 1) = ggT(2j , 2si ) · ggT(t, ti ). Nach Satz 2.5.4 ist −1 ein (2j t)-ter Potenzrest
mod pi genau dann, wenn
(−1)
pi −1
di
≡ 1 mod pi
ist, also wenn 0 ≤ j ≤ si − 1 ist. Die Kongruenz (2) hat dann di = 2j Ti Lösungen mod pi mit
Ti = ggT(t, ti ). Nach dem Chinesischen Restsatz gibt es T 1 T2 · · · Tr inkongruente Lösungen von xt ≡
35
j
1 mod n, und 2jr T1 · · · Tr inkongruente Lösungen von x2 t ≡ −1 mod n, wenn 0 ≤ j ≤ s1 − 1 ist. Es
gibt daher insgesamt


sX
1 −1
2rs1 − 1
(3)
T 1 T2 · · · T r · 1 +
2jr  = T1 T2 · · · Tr · 1 + r
2 −1
j=0
Zahlen b mit 1 ≤ b ≤ n − 1, für die n eine starke Pseudo-Primzahl ist. Wir zeigen im Folgenden, dass
n−1
der Ausdruck (3) nicht größer als ≤ ϕ(n)
4 ≤ 4 ist. Wegen T1 T2 · · · Tr ≤ t1 t2 · · · tr genügt es zu zeigen,
dass
rs −1
1 + 22r1−1
1
(4)
≤
s
+s
+···+s
r
1
2
2
4
ist. Aus s1 ≤ s2 ≤ · · · ≤ sr folgt
rs −1
1 + 22r1−1
1
2rs1 − 1
2rs1 − 1
−rs1
·
2
=
≤
1
+
+
2s1 +s2 +···+sr
2r − 1
2rs1
2rs1 (2r − 1)
1
1
1
2r − 2
1
−
=
+
≤ r
.
rs
r
rs
r
r
rs
r
1
1
1
2
2 − 1 2 (2 − 1)
2 − 1 2 (2 − 1)
2 −1
Die Ungleichung (4) ist also erfüllt, wenn r ≥ 3 ist. Der verbleibende Fall ist r = 2, also n = p 1 p2
mit p1 − 1 = 2s1 t1 und p2 − 1 = 2s2 t2 (ohne Einschränkung s1 ≤ s2 ). Falls s1 < s2 ist folgt (4): es gilt
s1 ≥ 1 und s2 ≥ 2 (denn pj − 1 ist gerade), und damit
=
1
+
2s
1 + 2 31 −1
1
1 1
1
= 2−s1 −s2 + 2s1 −s2 − 2−s1 −s2 = 32 2−s1 −s2 + 13 2s1 −s2 ≤ 32 2−3 + 13 2−1 =
+ = .
s
+s
1
2
2
3
12 6
4
Falls s1 = s2 = s ist haben wir ggT(n − 1, p1 − 1) = 2s T1 und ggT(n − 1, p2 − 1) = 2s T2 . Es sei p1 > p2 ,
dann ist T1 6= t1 . Wäre T1 = t1 , also (p1 − 1)|(n − 1), so wäre n = p1 p2 ≡ p2 ≡ 1 mod p1 − 1, das ist
aber ein Widerspruch zu p1 > p2 . Wegen T1 6= t1 ist T1 ≤ 31 t1 . Analog folgt T2 ≤ 13 t2 falls p1 < p2 ist.
In beiden Fällen ist also T1 T2 ≤ 13 t1 t2 , mit
1
22s1 − 1
2−s1 ≤
1+
3
2
also
22s1 − 1
T1 T2 1 +
≤ t1 t2 · 61 2s1 = 16 ϕ(n) .
3
Damit ist (4) auch in diesem Fall bewiesen.
Satz 3.2.4 liefert die Grundlage für den probabilistischen Primzahltest von Rabin. Dieser Test liefert
keine vollständige Gewissheit, dass eine Zahl eine Primzahl ist, jedoch ist er für praktische Zwecke
ausreichend. Seine Formulierung verwendet das Konzept der Wahrscheinlichkeit.
Satz 3.2.5 (Probabilistischer Primzahltest von Rabin)
Es sei n ein natürliche Zahl. Man wähle nach dem Zufallsprinzip k natürliche Zahlen < n und führe
den Test von Miller mit n für jede dieser Basen durch. Wenn n zusammengesetzt ist, ist die Wahrscheinlichkeit, dass n alle k Tests besteht, kleiner als ( 14 )k .
Falls eine berühmte Vermutung aus der Zahlentheorie, die sogenannte Riemannsche Vermutung, richtig
2
ist, gilt sogar: zu jeder zusammengesetzten Zahl n gibt es eine Basis b mit b < 70( log(n)
log(2) ) , so dass
n den Test von Miller für die Basis b nicht besteht. Eine Konsequenz dieser Vermutung ist also die
Gültigkeit des folgenden Primzahltests: Es sei n eine ungerade natürliche Zahl. Besteht n den Test
2
von Miller für alle Basen b < 70( log(n)
log(2) ) , so ist n eine Primzahl.
36
4. Algebraische Zahlen
Algebraische Zahlen bilden den Gegenstand der algebraischen Zahlentheorie. Sie bilden auch eines der
wichtigsten Hilfsmittel bei der Behandlung von Diophantischen Gleichungen.
4.1. Algebraische Zahlen und ganzalgebraische Zahlen
Definition 4.1.1
Eine komplexe Zahl ξ heißt eine algebraische Zahl, falls ξ einer Gleichung P (ξ) = 0 gen ügt, wobei P
ein Polynom mit rationalen Koeffizienten ist, die nicht alle = 0 sind.
Beispiel 4.1.1
√
Jede rationale Zahl r ist algebraisch, denn es ist f (r) = 0 mit f (x) = x − r. Außerdem ist ξ = n d für
d ∈ Z und n√
∈ N algebraisch, denn es ist g(ξ) = 0 mit g(x) = x n − d. Insbesondere ist die imaginäre
Einheit i = −1 algebraisch. Eine komplexe Zahl, die nicht algebraisch ist, heißt transzendent. Die
wohl bekanntesten transzendenten Zahlen sind e und π.
Definition 4.1.2
Es sei ξ eine algebraische Zahl. Ein Polynom P (x) mit rationalen Koeffizienten und höchstem Koeffizienten 1 heißt Minimalpolynom von ξ, falls P (ξ) = 0 ist, und es kein Polynom kleineren Grades mit
dieser Eigenschaft gibt.
Satz 4.1.1
Es sei ξ eine algebraische Zahl mit Minimalpolynom f (x). g(x) sei irgend ein Polynom mit rationalen Koeffizienten und g(ξ) = 0. Dann gilt f (x)|g(x), d. h. es gibt ein Polynom h(x) mit rationalen
Koeffizienten, so dass g(x) = f (x) · h(x) ist.
Ohne Beweis
Daraus folgt wegen der Normierung des höchsten Koeffizienten auf Eins, dass jede algebraische Zahl
genau ein Minimalpolynom besitzt.
Definition 4.1.3
Der Grad einer algebraischen Zahl ist der Grad ihres Minimalpolynoms. Ein α ∈ C mit Grad 2 heißt
quadratische Irrationalität.
Beispiel
4.1.2
√
√
2 − 2 = 0, also hat
2 hat den
Grad
2.
Es
ist
nämlich
2 höchstens Grad 2. Hätte es den Grad 1,
x
√
√
so wäre a 2 + b = 0 für a, b ∈ Q und damit 2 = − ab ∈ Q, ein Widerspruch.
Definition 4.1.4
Eine algebraische Zahl ξ heißt ganzalgebraisch, falls sie eine Gleichung P (ξ) = 0 erf üllt mit P (x) =
xn + b1 xn−1 + · · · + bn , wobei bi ∈ Z ist.
Satz 4.1.2
Die ganzalgebraischen Zahlen unter den rationalen Zahlen sind gerade die ganzen Zahlen Z.
Beweis
Jede ganze Zahl m ist ganzalgebraisch, denn sie besitzt das Minimalpolynom P (x) = x−m mit m ∈ Z.
Andererseits gilt für eine ganzalgebraische Zahl m
q ∈ Q mit ggT(m, q) = 1:
n−1
m n
+ b1 m
+ · · · + bn = 0 ,
q
q
also
mn + + b1 qmn−1 + · · · + bn q n = 0 ,
und somit q|mn , so dass q = ±1 sein muss, also tatsächlich m
q ∈ Z.
37
Dieser Satz zeigt, dass die ganzalgebraischen Zahlen eine Verallgemeinerung der ganzen Zahlen darstellen. Wir können nun fragen, welche Eigenschaften der ganzen Zahlen sich auf ganzalgebraische
Zahlen übertragen lassen. Die ganzen Zahlen bilden zum Beispiel einen Ring: sind a, b ∈ Z, so auch
a + b und a · b. Wir werden sehen, dass auch die ganzalgebraischen Zahlen diese Eigenschaft besitzen.
Als Vorbereitung beweisen wir
Satz 4.1.3
Es sei n eine natürliche und ξ eine komplexe Zahl. Angenommen die komplexen Zahlen θ 1 , . . . , θn
(nicht alle = 0) genügen den Gleichungen
ξθj = aj,1 θ1 + aj,2 θ2 + · · · aj,n θn
für j = 1 . . . n mit rationalen Koeffizienten a j,k . Dann ist ξ eine algebraische Zahl. Sie die a j,k ganzzahlig, so ist ξ ganzalgebraisch.
Beweis
Wir können das obige System homogener linearer Gleichungen schreiben in der Form
(ξ − a1,1 )θ1
− a2,1 θ1
..
.
−
a1,2 θ2 − · · ·
+ (ξ − a2,2 )θ2 − · · ·
..
.
− an,1 θ1 −
an,2 θ2
− ···
−
−
a1,n θn
a2,n θn
..
.
= 0
= 0
+ (ξ − an,n )θn = 0
Anders ausgedrückt besitzt das homogene lineare Gleichungssystem
(ξ − a1,1 )x1
− a2,1 x1
..
.
−
a1,2 x2 − · · ·
+ (ξ − a2,2 )x2 − · · ·
..
.
− an,1 x1 −
an,2 x2
− ···
−
−
a1,n xn
a2,n xn
..
.
= 0
= 0
+ (ξ − an,n )xn = 0
die nichttriviale Lösung x1 = θ,. . . ,xn = θn . Wir aus der linearen Algebra bekannt ist, muss daher die
Determinante der Koeffizienten dieses Systems verschwinden, d. h.


(ξ − a1,1 )
a1,2 · · ·
a1,n

− a2,1 (ξ − a2,2 ) · · ·
a2,n 


det 
 = 0.
..
..
..


.
.
.
− an,1
an,2
···
(ξ − an,n )
Die Entwicklung dieser Determinanten liefert eine Gleichung ξ n + b1 ξ n−1 + · · · + bn = 0, wobei die bi
Polynome mit Koeffizienten aus Z in den a j,k darstellen. Die bi sind damit wie auch die aj,k aus Q,
und sie sind ganz, wenn die aj,k ganz sind.
Satz 4.1.4
Sind α, β algebraische Zahlen, so auch α + β und α · β. Für β 6= 0 ist auch αβ algebraisch. Die
algebraischen Zahlen bilden daher einen Körper. Sind α, β ganzalgebraisch, so sind auch α + β und
α · β ganzalgebraisch. Die ganzalgebraischen Zahlen bilden demzufolge einen Ring.
Beweis
Wir nehmen an, α und β genügen den Gleichungen
αm + a1 αm−1 + · · ·
+ am = 0
βr
+
+
b1 β r−1
+ ···
br
= 0
mit rationalen Koeffizienten ai und bj . Falls α, β ganzalgebraisch sind, können wir annehmen, dass die
ai und bj sogar in Z liegen. Es sei n = m · r. Wir definieren die komplexen Zahlen θ 1 , . . . , θn als die
38
Zahlen
1
β
..
.
α
αβ
α2
α2 β
···
···
β r−1 αβ r−1 α2 β r−1 · · ·
αm−1
αm−1 β
..
.
αm−1 β r−1
in irgend einer Reihenfolge. Die θn sind also die Produkte αs β t für s = 0, 1, . . . , m − 1 und t =
0, 1, . . . , r − 1. Für jedes θj gilt daher
eines der θk
falls s + 1 ≤ m + 1
s+1 t
.
αθj = α β =
(−a1 αm−1 − a2 αm−2 − · · · − am )β t falls s + 1 > m + 1
In jedem Fall gibt es also rationale Zahlen h j,1 , . . . , hj,n ∈ Q, so dass
αθj = hj,1 θ1 + · · · + hj,n θn
für j = 1 . . . n gilt. Falls α ganzalgebraisch ist, können die hj,i aus Z gewählt werden. Ebenso gibt es
rationale Zahlen kj,1 , . . . , kj,n ∈ Q, so dass
βθj = kj,1 θ1 + · · · + kj,n θn
ist mit kj,i ∈ Z falls β sogar ganzalgebraisch ist. Somit gilt
(α + β)θj = (hj,1 + kj,1 )θ1 + · · · + (hj,n + kj,n )θn .
Aus Satz 4.1.3 folgt, dass α + β algebraisch bzw. ganzalgebraisch ist, falls α und β jeweils algebraisch
bzw. ganzalgebraisch sind. Weiter ist
(αβ)θj = α · (kj,1 θ1 + · · · + kj,n θn ) = kj,1 αθ1 + · · · + kj,n αθn
= kj,1 (h1,1 θ1 + · · · + h1,n θn ) + · · · + kj,n (hn,1 θ1 + · · · + hn,n θn ) .
Damit ist (αβ)θj = cj,1 θ1 + · · · cj,n θn mit cj,i ∈ Q, oder sogar cj,i ∈ Z falls α und β ganzalgebraisch
sind. Aus Satz 4.1.3 folgt wiederum, dass αβ algebraisch bzw. ganzalgebraisch ist. Ist β 6= 0, so ist
β −r · β r + b1 β r−1 + · · · + br = 0 ,
also auch
br (β −1 )r + br−1 (β −1 )r−1 + · · · + 1 = 0 .
Damit ist auch β −1 algebraisch, und es ist alles bewiesen: die algebraischen Zahlen bilden einen Körper,
die ganzalgebraischen Zahlen einen Ring.
Der Begriff der Teilbarkeit aus dem Ring der ganzen Zahlen lässt sich auf einen allgemeinen Ring
übertragen, insbesondere auch auf den Ring der ganzalgebraischen Zahlen.
Definition 4.1.5
Sind α, β ganzalgebraische Zahlen, so sagen wir α 6= 0 teilt β (geschrieben α|β), falls es eine ganzalgebraische Zahl γ gibt mit α · γ = β.
Beispiel
√ 4.1.3
√
√
√ √
Es gilt 2| 6, denn es ist 6 = 3 · 2, und alle Zahlen sind ganzalgebraisch mit ganzzahligen
Minimalpolynomen x2 − 2, x2 − 3 und x2 − 6.
Als Nächstes könnte man versuchen, den Begriff der Primzahl auf den Ring der ganzalgebraischen
Zahlen zu übertragen. Es stellt sich jedoch heraus, dass es im Ring aller ganzalgebraischer Zahlen keine
unzerlegbaren Elemente gibt. In der algebraischen Zahlentheorie wird daher nicht der Körper Q aller
algebraischen Zahlen untersucht, sondern kleinere Körper, so genannte algebraische Zahlkörper und
die in ihnen enthaltenen Ringe der ganzalgebraischen Zahlen. Diese Zahlkörper besitzen ihr eigenes
Interesse. Darüber hinaus haben ihre Eigenschaften jedoch auch Konsequenzen für die Theorie der
gewöhnlichen ganzen Zahlen, also für die elementare Zahlentheorie.
39
Definition 4.1.6
Es sei ϑ eine algebraische Zahl. Unter Q(ϑ) verstehen wir den kleinsten Körper, der die rationalen
Zahlen und ϑ enthält. Die Körper Q(ϑ) heißen Zahlkörper. Unter I(ϑ) verstehen wir den Ring aller
ganzalgebraischen Zahlen in Q(ϑ).
Bemerkung 4.1.1
I(ϑ) enthält nach Satz 4.1.2 stets Z, den Ring der gewöhnlichen ganzen Zahlen. Für ϑ = 1 erhalten
wir die Objekte der rationalen Zahlentheorie: Q(1) = Q und I(1) = Z.
Satz 4.1.5
Ist ϑ algebraisch vom Grade n, so ist Q(ϑ) = {a 0 + a1 ϑ + a2 ϑ2 + · · · + an−1 ϑn−1 | aj ∈ Q}. Die aj
sind durch η ∈ Q(ϑ) eindeutig bestimmt.
Ohne Beweis
Definition 4.1.7
Die Zahl ε ∈ I(ϑ) heißt eine Einheit von I(ϑ), falls ε ein Teiler von 1 ist, d. h. falls es ein η ∈ I(ϑ)
gibt mit ε · η = 1. Zwei Zahlen α, β ∈ I(ϑ) heißen assoziiert, falls sie sich um einen Einheitsfaktor
unterscheiden, d. h. falls β = εα gilt für eine Einheit ε (schreibweise α ∼ β).
Bemerkung 4.1.2
1 und −1 sind stets Einheiten in jedem I(ϑ). In I(1) = Z sind dies auch die einzigen Einheiten. Die
Zahlen α und −α sind stets assoziiert.
Beispiel 4.1.4 √
1. Es sei ϑ = i = −1. Es gibt in I(i) die Einheiten i, i 2 = −1, i3 = −i und i4 = 1, also sind α = 1 + i
und β = 1 − i assoziiert,
denn es ist β =√(−i)α.
√
√
√
2. Es sei ϑ = 2. In I( 2) sind ε = 2 + 1 und ε−1 = 2 − 1 Einheiten. Außerdem
√ sind auch
m
2
alle Elemente der Form ±ε für m ∈ Z
+ 2 2. Es gibt
√ Einheiten, also beispielsweise η = ε = 3√
folglich √unendlich viele Einheiten in I( 2). Weiter ist beispielsweise 5 ∼ 15 + 10 2, denn es ist
15 + 10 2 = ε2 · 5.
Definition 4.1.8
Ein α ∈ I(ϑ) heißt irreduzibel oder unzerlegbar, falls α keine Einheit ist, und es keine Zerlegung der
Form α = α1 · α2 gibt mit Nichteinheiten α1 , α2 ∈ I(ϑ). Ein π ∈ I(ϑ) heißt Primelement, falls π keine
Einheit und nicht Null ist, und aus π|αβ stets π|α oder π|β für alle α, β ∈ I(ϑ) folgt.
Beispiel 4.1.5
Die Primzahlen von Z sind die positiven Zahlen p = 2, 3, 5, 7, . . ., die Primelemente von Z = I(1) sind
die Zahlen ±p.
Es stellt sich nun die Frage, ob und wie sich der Fundamentalsatz der Arithmetik 1.2.3 über die
eindeutige Zerlegung in Primfaktoren auf die größeren Ringe I(ϑ) übertragen lässt. Der Satz bedarf
sicherlich einer Umformulierung, wie schon das Beispiel Z = I(1) erkennen lässt. Die Zerlegung in Z
ist nur eindeutig, wenn wir nur positive Primelemente betrachten, eine Auswahl, die sich nicht auf den
allgemeinen Fall übertragen lässt. Lassen wir alle Primelemente als Faktoren zu, so ist die Zerlegung
nicht mehr eindeutig, beispielsweise ist 35 = 5 · 7 = (−5) · (−7). Die Zerlegung ist aber noch im
Wesentlichen eindeutig in dem Sinne, dass die Faktoren in den verschiedenen Zerlegungen zueinander
assoziiert sind: 5 ∼ −5 und 7 ∼ −7. Diese Beobachtung gibt Anlass zu
Definition 4.1.9
Wir sagen I(ϑ) ist faktoriell oder ein Ring mit eindeutiger Faktorisierung, falls jedes α ∈ I(ϑ), das von
Null verschieden ist, bis auf die Reihenfolge der Faktoren und bis auf Einheitsfaktoren eindeutig als
Produkt von Primelementen dargestellt werden kann, d. h. für zwei Darstellungen von α als Produkt
von Primelementen α = π1 · · · πr = %1 · · · %s gilt stets r = s und (nach eventueller Umnummerierung)
πi ∼ %i für 1 ≤ i ≤ r.
40
4.2. Quadratische Zahlkörper
Definition 4.2.1
Ein quadratischer Zahlkörper Q(ϑ) ist ein Zahlkörper, für den der Erzeuger ϑ den Grad 2 besitzt.
Definition 4.2.2
Eine ganze Zahl m heißt quadratfrei, falls es keine Primzahl p gibt mit p 2 |m.
Satz 4.2.1
√
Jeder quadratische Zahlkörper ist von der Form
√ positive oder negative quadratfreie und
√ Q( m) für eine
von Eins verschiedene Zahl m ∈ Z. Es ist Q( m) = {a + b m | a, b ∈ Q}. Die Koeffizienten
√ a, b sind
eindeutig durch η bestimmt. Der Ring der
ganzalgebraischen Zahlen in Q(ϑ) ist I(ϑ) = {a+b m|a, b ∈
√
Z} falls m ≡ 2, 3 mod 4, und {a + b 1+2 m | a, b ∈ Z} falls m ≡ 1 mod 4 ist.
Beweis
Es sei K = Q(ϑ) ein quadratischer Zahlkörper erzeugt von einer algebraischen Zahl ϑ vom Grad 2.
Das Minimalpolynom von ϑ sei P0 (x) = a2 x2 + a1 x + a0 mit aj ∈ Q. Dann ist
p
−a1 ± a21 − 4a0 a2
.
ϑ =
2a2
Wir setzen a21 − 4a0 a2 = l2 m mit l, m ∈ Z und m quadratfrei. Wegen ϑ ∈
/ Q ist m ∈
/ {0, 1}. Wegen
√
√
2a2 ϑ + a1
∈ Q( ϑ)
m = ±
l
√
√
√
√
folgt Q( m) ⊆ Q(ϑ), und wegen ϑ ∈ Q( m) folgt Q( m)
= Q( m).
√ = Q(ϑ). Also ist√K = Q(ϑ)
Umgekehrt ist für jedes quadratfreie m ∈ Z \ {0, 1} auch m ∈
/ Q, da aus m = rs für r ∈ Z und
s ∈ N mit ggT(r, s) = 1 folgt: s2 m = r 2 . Wegen der Eindeutigkeit der Primfaktorzerlegung (in√Z)
2
2
folgt s = 1 und
√ m = r , ein Widerspruch. Daher ist P1 (x) = x − m ein Minimalpolynom von m
und damit Q( m) ein quadratischer
Zahlkörper. Damit ist der
√ erste Teil
√ der Behauptung bewiesen.
√
Es sei nun
√ R(m) = {r0 + r1 m√| rj ∈ Q}. Es ist klar, dass R( m) ⊆ Q( m) gilt. Es bleibt zu zeigen,
dass R( m) ein Körper
√ ist. R( m) bildet
√ offensichlicht eine abelsche Gruppe bzgl. der Addition (mit
Nullelement 0 = 0 + 0 m. Auch ist R( m) abgeschlossen bzgl. der Multiplikation:
√
√
√
√
(r0 + r1 m) · (s0 + s1 m) = r0 s0 + mr1 s1 + (r0 s1 + r1 s0 ) m ∈ R( m) .
√
√
Es sei η = r0 + r1 m 6= 0, dann ist r02 − mr12 6= 0, da sonst m ∈ Q wäre, sowie
√
√
r1
r0
− 2
m ∈ R( m) .
η −1 = 2
2
2
r0 − mr1
r0 − mr1
√
√
√
√
R( m) ist also √ein Körper der m enthält,
nach Definition 4.1.6 also R( m) =√Q( m) = K.
√
Für η = r0 + r1 m ∈ Q(ϑ) sind wegen m √die ri eindeutig bestimmt. Die Wurzel m ist offenbar
ganzalgebraisch. Für m ≡ 1 mod 4 ist ω = 1+2 m ganzalgebraisch, da es die Nullstelle des ganzzahligen
√
2
ist. Die angegebenen Mengen {a+b m|a, b ∈ Z} (für m ≡ 2, 3 mod 4)
Polynoms P2√
(x) = x2 −x+ 1−m
4
bzw. {a + b 1 2m | a, b ∈ Z} (für m ≡ 1 mod 4) bestehen also aus ganzalgebraischen Zahlen und liegen
√
√
damit im Ring I( m). Es bleibt zu zeigen, dass I( m) keine anderen ganzalgebraischen Zahlen enthält.
Es seien
√
√
√
√
ξ = r0 + r1 m ∈ I( m) , ξ̄ = r0 − r1 m ∈ I( m) , P3 (x) = x2 + b1 x + b0 mit bj ∈ Z .
Wir können zunächst nur r0 , r1 ∈ Q annehmen. Es gilt
√
P3 (ξ) = (r02 + mr12 + b1 r0 + b0 ) + (2r0 r1 + b1 r1 ) m .
Damit
folgt aus P3 (ξ) = 0 auch P3 (ξ̄) = 0. Nach Satz 4.1.4 sind ξ + ξ¯ und ξ · ξ¯ auch Elemente von
√
I( m), und nach Satz 4.1.2 sogar aus Z. Aber es gilt ξ + ξ̄ = 2r0 und ξ · ξ¯ = r02 − mr12 , also folgt
2r0 , r02 − mr12 ∈ Z. Falls 2r0 ≡ 1 mod 2 ist folgt m ≡ 1 mod 4 und 2r1 ≡ 1 mod 4. In den anderen
Fällen ist r0 , r1 ∈ Z.
41
Definition 4.2.3
√
√
√
Ist α = a + b m ∈ Q( m) mit a, b ∈ Q, so nennen wir ᾱ = a − b m das Konjugierte von α (bzgl.
√
Q( m)). Die Norm N (α) ist definiert durch N (α) = α · ᾱ = a 2 − mb2 .
Bemerkung 4.2.1
Für m < 0 ist ᾱ das Konjugierte im Sinne der Funktionentheorie, und die Norm ist N (α) = α· ᾱ = |α| 2 .
√
Die Norm erlaubt die Übertragung der Eigenschaften von Elementen aus Q( m) auf die rationalen
Zahlen Q:
Satz 4.2.2
√
(α) · N (β). Es ist N (α) = 0 genau dann, wenn α = 0 ist. Ist
Sind α,
√β ∈ Q( m), so ist N (α · β) = N√
α ∈ I( m), so ist N (α) ∈ Z. Für γ ∈ I( m) ist N (γ) = ±1 genau dann, wenn γ eine Einheit ist.
Beweis
In Übungsaufgabe
37(a) wurde αβ = ᾱβ̄ gezeigt, daraus folgt N (αβ)√= αβαβ = αᾱβ β̄ =
√ N (α)N (β).
√
b m = 0, und
Ist α = a + b m und N (α) = 0, so ist α = 0 oder ᾱ = 0, also a + b m = 0 oder a − √
damit a = b = 0 bzw. α = 0 wegen der Eindeutigkeit der Koeffizienten. Es sei α ∈ I( √m). Aufgabe
37(d) zeigt, dass auch ᾱ ganz ist, wegen Satz 4.1.4 also auch N (α) = αᾱ. Ist√nun γ ∈ I( m), so folgt
aus N√
(γ) = ±1, dass γγ̄ = ±1 ist, also γ|1, d. h. γ ist eine Einheit von I( m). Ist nun umgekehrt
γ ∈ I( m) eine Einheit, so auch N (γ) = γγ̄ nach Aufgabe 37(e).
Satz 4.2.3
√
Es sei m < 0, dann hat Q( m) die Einheiten ±1, und dies sind die einzigen Einheiten außer in den
Fällen m = −1 und m = −3. Die Einheiten in I(i) = {a + √
ib | a, b ∈ Z} sind {±1, ±i} = {i 0 , i1 , i2 , i3 },
√
die Einheiten in I( −3) sind %j für 0 ≤ j ≤ 5 mit % = 1+ 2 −3 . Explizit ist
√
%0 = 1 , %3 = −1 , %j = ± 12 ± 21 −3 für die anderen j .
Beweis
√
√
Nach Satz 4.2.2 sind die Einheiten in I( m) gerade die γ ∈ I( m) mit N (γ) = ±1, und nach Bemerkung 4.2.1 ist N (γ) = −1 unmöglich.
Fall m ≡ 2, 3 mod 4:
√
Hier ist γ = a + b m mit a, b ∈ Z. Für m = −1 ist 1 = N (γ) = |γ|2 = a2 + b2 mit a, b ∈ Z nur für
a = ±1 und b = 0 oder a = 0 und b = ±1 möglich, wodurch gerade die Elemente γ = ±1, ±i charakterisiert sind. Für m < −1 ist dagegen N (γ) > 1 für b 6= 0, und damit N (γ) = 1 nur für γ = ±1 möglich.
Fall m ≡ 1 mod 4: √
2
Es ist γ = a + b 1+2 m mit a, b ∈ Z, also N (γ) = a2 + ab + 1−m
4 b . Ist m = −3, so erhalten wir
3 2
a 2
2
2
N (γ) = a + ab + b = (a + b ) + 4 b . Daraus folgt, dass N (γ) > 1 ist für |a| > 1 oder |b| > 1. Die
Überprüfung der restlichen neun Fälle a, b ∈ {−1, 0, 1} ergibt die angegebenen Einheiten. Ist m < −3,
2
so ist N (γ) = (a + 2b )2 − m
4 b , also N (γ) > 1 für b 6= 0. Dann ist N (γ) = 1 nur für γ = ±1 möglich. Satz 4.2.4
√
√
Ist α ∈ I( m) und gilt N (α) = ±p für eine Primzahl p, so ist α ein irreduzibles Element von I( m).
Beweis
√
Es sei α = β · γ mit β, γ ∈ I( m). Nach Satz 4.2.2 ist ±p = N (α) = N (β) · N (γ), also N (β) = ±1
oder N (γ) = ±1, damit ist mindestens einer der Faktoren β, γ eine Einheit und α irreduzibel.
Beispiel 4.2.1
In I(i) haben wir N (3 + 2i) = (3 + 2i)(3 − 2i) = 9 − 4i 2 = 13, also ist 3 + 2i irreduzibel in I(i).
42
Satz 4.2.5 √
Jedes √
α ∈ I( m), das keine Einheit und nicht Null ist, kann als Produkt von irreduziblen Elementen
von I( m) geschrieben werden.
Beweis
Wir beweisen den Satz durch Induktion nach |N (α)|. Ist |N (α)|√= 2, so folgt aus Satz 4.2.4, dass α
irreduzibel ist. Wir nehmen an, die Behauptung gilt für alle α ∈ I( m) mit |N (α)| < n. Es√sei |N (α)| =
n. Ist α irreduzibel, so sind wir fertig. Andernfalls ist α = β·γ mit Nichteinheiten β, γ ∈ I( m). Daraus
folgt 1 < |N (β)| < n und 1 < |N (γ)| √
< n. Nach Induktionsannahme kann man β = π 1 · · · πr und
γ = %1 · · · %s mit irreduziblen πi , %j ∈ I( m) schreiben, und es folgt α = π1 · · · πr %1 · · · %s .
Wie wir schon im letzten Abschnitt gesehen haben, kann die Zerlegung in irreduzible Elemente nur
bis auf Einheitsfaktoren eindeutig sein. In I(i) gilt beispielsweise 5 = (2 + i) · (2 − i). Durch Hinzuf ügen
von Einheitsfaktoren erhält man 5 = (i(2 + i)) · ((−i)(2 − i)) = (−1 + 2i) · (−1 − 2i). Wie man leicht
sieht, gibt es jedoch keine Zerlegung der Zahl 5, die von der Zerlegung 5 = (2√+ i) · (2 − i) wesentlich
verschieden ist (wir werden später sehen, dass I(i) faktoriell ist). Nicht alle I( m) sind faktoriell. Für
m < 0 gibt es nur endlich
viele, nämlich m = −1, −2, −3, −7, −11, −19, −43, −163. Es wird vermutet,
√
dass es unter den I( m) mit m > 0 unendlich viele faktorielle Ringe gibt.
Beispiel
4.2.2
√
In I( −5) gilt
√
√
9 = 3 · 3 = (2 + −5) · (2 − −5) .
√
√
√
√
Es ist N (3) =√N (2 + −5) = N (2 − −5) = 9. Wären√3 oder 2 ± −5 reduzibel in I( −5), so müsste
es ein γ ∈ Q( −5) geben mit N (γ) = 3, für γ = a + b −5 mit a, b ∈ Z also N (γ) = a2 + 5b2 = 3, was
offenbar unmöglich ist. Die Gleichung (∗) stellt
also zwei wesentlich verschiedene√Zerlegungen von 9
√
in irreduzible Faktoren dar, da 3 und 2 ± −5 nicht assoziiert sind: der Ring I( −5) ist also nicht
faktoriell.
(∗)
√
Wir wollen im Folgenden einige Ringe I( m) als faktoriell √
nachweisen. Eine hinreichende Bedingung
dafür ist die Existenz eines Euklidischen Algorithmus in I( m).
Definition 4.2.4
√
√
Ein quadratischer Zahlkörper Q( m) heißt Euklidisch,
√ falls für die Zahlen von I( m) ein
√ Euklidischer
Algorithmus existiert, d. h. wenn es für α, β ∈ I( m) mit β 6= 0 Zahlen γ, δ ∈ I( m) gibt mit
α = βγ + δ und |N (δ)| ≤ |N (β)|.
Satz 4.2.6
√
√
Ist Q( m) Euklidisch, so ist I( m) faktoriell.
Beweis
Dieser Satz wird ähnlich bewiesen wie der Fundamentalsatz der Arithmetik. Wir zeigen zunächst:
√
√
(1)
α, β ∈ I( m) teilerfremd =⇒ ∃λ0 , µ0 ∈ I( m) : αλ0 + βµ0 = 1 .
√
Wir nennen α, β teilerfremd, wenn sie außer
Einheiten
keine
gemeinsamen
Faktoren
aus
I(
m) besit√
zen. Dazu sei S = {αλ + βµ | λ, µ ∈ I( m)}, sowie ε = αλ1 + βµ1 ∈ S\{0} so gewählt, dass |N (ε)|
minimal ist. Dies ist möglich, da N (γ) ∈ Z ist√für γ ∈ S. Wir wenden den Euklidischen Algorithmus
auf α und ε an, d. h. wir bestimmen γ, δ ∈ I( m), so dass α = εγ + δ ist mit N |(δ)| < |N (ε)|. Dann
ist
δ = α − εγ = α − (αγ1 + βµ1 )γ = α(1 − γλ1 ) + β(−γµ1 ) ∈ S .
Da ε so gewählt war, dass |N (ε)| ∈ N minimal ist, muss |N (δ)| = 0 sein, und damit nach Satz √
4.2.2
δ = 0. Also α = εγ, und damit ε|α. Analog folgt ε|β. Demnach ist ε√eine Einheit, also ε −1 ∈ I(√m).
Damit ist (1) bewiesen. Es sei nun π ein irreduzibles Element von I( m) und π|αβ für α, β ∈ I( m).
Falls π6 | α, dann haben π und α außer Einheiten keine gemeinsamen Faktoren. Deshalb gibt es nach
43
√
(1) Koeffizienten λ0 , µ0 ∈ I( m) mit πλ0 + αµ0 = 1. Dann ist β = πβλ0 + αβµ0√und daher π|β. Durch
Induktion
folgt allgemeiner: ist π|α 1 , . . . , αn für ein irreduzibles Element π ∈ I( √m) und α1 , . . . , αn ∈
√
I( m), so teilt π mindestens einen Faktor α j des Produkts. Es folgt, dass in I( m) jedes irreduzible
Element auch ein Primelement ist. Von diesem Punkt an ist der Beweis des Satzes mit dem Beweis
von Satz 1.2.3 identisch.
Satz 4.2.7
√
√
Für m = −1, −2, −3, −7, −11, 2, 3, 5, 13 sind die Zahlkörper Q( m) Euklidisch und daher I( m)
faktoriell.
Beweis
Wir zeigen für die angegebenen Werte von m zunächst:
√
√
(1)
∀η ∈ Q( m) ∃γ ∈ I( m) : |N (η − γ)| < 1 .
√
Wir betrachten zuerst die Fälle m ≡ 2, 3 mod 4, also m = −1, −2, 2, 3. Es sei η = r 1 + r2 m
√ mit
1
1
r1 , r2 ∈ Q. Wir wählen u, v ∈ Z, so dass |r1 − u| ≤ 2 und |r2 − v| ≤ 2 ist, und setzen γ = u + v m ∈
√
I( m). Dann gilt
√
1
1
|N (η − γ)| = |N ((r1 − u) + (r2 − v) m)| = |(r1 − u)2 − m(r2 − v)2 | ≤ + |m| ≤ 1
4
4
√
und damit (1). Es sei nun m ≡ 1 mod 4, also m = −3, −7, −11, 5, 13, und η = r 1 + r2 m mit
r1 , r2 ∈ Q. Wir wählen v ∈ Z mit |v − 2r1 | ≤ 21 und dann u ∈ Z mit u ≡ v mod 2 und |u − 2r1 | ≤ 1,
√
√
und setzen γ = 21 (u + v m) ∈ I( m). Dann gilt
√
1
15
1
|N (η − γ)| = |N ( 2r12−u + 2r22−v m)| = (2r1 − u)2 − m(2r2 − v)2 ≤ (1 + 11 · 14 ) =
4
4
16
√
√
−1
und damit wiederum (1). Sind nun
√ α, β ∈ I( m) mit β 6= 0 gegeben, so setzen wir η = αβ ∈ Q( m).
Nach (1) wählen wir ein γ ∈ I( m) mit |N (η − γ)| < 1. Dann gilt mit α = βγ + δ die Gleichung
δ = α − βγ = α − βη + β(η − γ) = β(η − γ)
und damit
√
|N (δ)| = |N (β)| · |N (η − γ)| ≤ |N (β)| ,
d. h. es gibt in I( m) eine Division mit Rest, und damit einen Euklidischen Algorithmus.
Beispiel 4.2.3
Man bestimme den größten gemeinsamen Teiler von α = 22 + 9i und β = 6 + 7i im Ring I(i).
Lösungsweg 1:
Man führt die Schritte des Euklidischen Algorithmus durch:
195 100
(22 + 9i)(6 − 7i)
=
−
i.
85
85
85
Um die Abschätzung (1) aus dem vorigen Satz zu bekommen wählt man γ1 = 2 − i, und erhält
δ1 = 3 + i. Im nächsten Schritt ist die Division mit Rest für β = γ2 δ1 + δ2 durchzuführen. Man wählt
γ2 = 2 + i und erhält δ2 = 1 + 2i. Im dritten Schritt steht δ1 = γ3 δ2 + δ3 , und man erhält mit γ3 = 1 − i
schließlich δ3 = 0, d. h. die Division geht auf mit Rest Null. In der Tabellenform von Kapitel 1 schreibt
sich diese Rechnung
α = γ1 β + δ1 , η1 = αβ −1 =
n
αn
|N (αn )| θn
1 22+9i
565
2 6+7i
85
3
3+i
10
2-i
4 1+2i
5
2+i
0
0
1-i
5
44
Dabei gilt in jeder Zeile der Divisionsschritt α n = θn+1 αn+1 + αn+2 . Damit ist der größte gemeinsame
Teiler 1 + 2i. Wegen |N (1 + 2i)| 6= 1 ist er keine Einheit, d. h. die Elemente α und β sind in I(i) nicht
teilerfremd.
Lösungsweg 2:
Der größte gemeinsame Teiler δ von α und β muss auch ein Teiler von N (α) = αᾱ und N (β) = β β̄
sein. Es ist
N (α) = 222 + 92 = 565 , N (β) = 62 + 72 = 85 .
Der ggT der Normen ist 5 = (2 + i)(2 − i). Die beiden Faktoren sind prim (Satz 4.2.4), also δ ∼ 2 + i,
δ ∼ 2 − i, oder δ ∼ 1. Division durch 2 − i ergibt
2+i
1
α · (2 − i)−1 = α
= (22 + 9i)(2 + i) = 7 + 8i ∈ I(i) ,
5
5
1
2+i
= (6 + 7i)(2 + i) = 1 + 4i ∈ I(i) ,
β · (2 − i)−1 = β
5
5
damit ist δ = 2 − i der größte gemeinsame Teiler.
Bemerkung 4.2.2
Die beiden Lösungen aus dem Beispiel sind verschieden, aber assoziiert. Allgemein sind ggT und kgV in
faktoriellen Ringen nur bis auf Multiplikation mit Einheiten wohldefiniert, in nicht faktoriellen Ringen
sind sie dagegen nicht definiert. Die Sätze 1.2.4 und 1.2.5 gelten in beliebigen faktoriellen Ringen,
wenn man Primzahlen durch Primelemente ersetzt, und eine Einheit vor das Produkt schreibt.
Der Begriff der Norm ist auch bei der Bestimmung der Primelemente von Bedeutung:
Satz 4.2.8
√
√
Es sei I(√ m) faktoriell. Dann gibt es zu jedem Primelement π ∈ I( m) genau eine Primzahl p mit
π|p in I( m).
Beweis
Es gilt π|N (π), aber N (π) liegt in Z, d. h. es gibt positive ganze Zahlen, die von π geteilt werden. Es
sei n die kleinste davon, dann ist n eine Primzahl: ansonsten wäre n = n1 n2 , und aus π|n folgt π|n1
oder π|n2 mit n1 , n2 < n, ein Widerspruch. Wäre π der Teiler von zwei verschiedenen Primzahlen p
und q, so gäbe es x, y ∈ Z mit px + qy = 1 (Satz 1.1.3), also π|1, ein Widerspruch.
√
Satz 4.2.9
√ (Zerlegungsgesetz für Primzahlen in I( m))
Es sei I( m) faktoriell, dann gilt
√
(i) Jede Primzahl p ∈ N ist entweder ein Primelement von I(
√ m), oder das Produkt p = π1 π2
von nicht notwendig verschiedenen Primelementen
aus I( m). In diesem Fall ist π2 ∼ π̄1 .
√
m)
besteht
aus
den Primzahlen p, die auch Primele(ii) Die Menge aller
Primelemente
von
I(
√
mente von I( m) sind, und den in (i) beschriebenen Faktoren π 1 , π2 der übrigen Primzahlen,
sowie den Assoziierten all dieser Elemente.
√
(iii) Eine ungerade Primzahl p mit ggT(p, m) = 1 ist ein Primelement von I( m) genau dann,
wenn
m
= −1
p
√
ist, und ein Produkt π1 π2 von zwei Primelementen von I( m), falls
m
= 1
p
ist. Die Primelemente π1 und π2 sind dann nicht assoziiert.
45
(iv) Gilt 26 | m, so ist 2 zu dem Quadrat eines
Primelements assoziiert, falls m ≡ 3 mod 4 ist.
√
Die Zahl 2 ist ein Primelement in I( m), falls m ≡ 5 mod 8 ist, und das Produkt zweier
Primelemente, falls m ≡ 1 mod 8 ist.
√
(v) Gilt p|m für eine Primzahl p, so ist p zum Quadrat eines Primelements von I( m) assoziiert.
Bemerkung 4.2.3
Vor dem Beweis fassen wir die Aussage nochmal√in der folgenden Form zusammen: Für p 6= 2 gibt das
Legendre-Symbol ( m
p ) die Zerlegung von p in I( m) an:

1 ⇐⇒
p ∼ π 1 π2
mit π1 ∼ π̄2 aber π1 6∼ π2





m
0 ⇐⇒
p ∼ π2
.
=

p




−1 ⇐⇒ p Primelement
Beweis
Wir können zunächst annehmen,
√ dass m eine quadratfreie Zahl ist, da das Abdividieren von Quadraten sowohl am Zahlkörper Q( m) als auch am Legendre-Symbol ( m
p ) für p6 | m nichts ändert. Dann
bleiben nur die Fälle m ≡ 1, 2, 3 mod 4 übrig:
√
Zu√(i): Ist p kein Primelement von I( m), so ist p zerlegbar in p = π1 π2 mit Nichteinheiten π1 , π2 ∈
I( m). Es folgt N (p) = p2 = N (π1 )N (π2 ), also N (π1 ), N (π2 ) = ±p. Nach
√ Satz 4.2.4 sind π1
und π2 Primelemente und p = π1 π2 ist die eindeutige Zerlegung von p in I( m). Andererseits ist
π1 π̄1 = N (π1 ) = ±p, also π2 ∼ π̄1 .
√
Zu (ii): Nach Satz 4.2.8 gilt für jedes Primelement π ∈ I( m), dass π|p für genau eine Primzahl
p gilt. Ist p selbst ein√Primelement, so folgt p ∼ π. Andernfalls gilt nach Teil (i) p = π 1 π2 mit Primelementen π1 , π2 ∈ I( m). Es folgt π ∼ π1 oder π ∼ π2 .
Zu (iii): Es
√ sei p eine ungerade Primzahl mit ggT(p, m) = 1√und p = π 1 π2 mit Primelementen
π1 , π2 ∈ I( m). Es folgt
√ N (π1 ), N (π2 ) = ±p. Nun sei π1 = a + b m mit a, b ∈ Z, falls m ≡ 2, 3 mod 4
ist bzw. 2π1 = a + b m mit a ≡ b mod 2 für m ≡ 1 mod 4. Dann√ist N (π1 ) = a2 − mb2 ≡ 0 mod p.
Also ist stets a2 ≡ mb2 mod p. Da ggT(m, p) = 1 ist und p6 | (a + b m) folgt p6 | ab. Es gibt daher ein
b0 ∈ Z mit bb0 ≡ modp. Aus a2 ≡ mb2 mod p folgt (ab0 )2 ≡ m mod p, also
m
= 1
p
nach Definition des Legendre-Symbols. Es sei nun umgekehrt ( m
p ) = 1 und ggT(p, m) = 1 für eine
2
Primzahl
Dann gibt es x ∈ Z mit ggT(x,
√
√ p) = 1 derart, dass
√ x ≡ m mod p,√also
√ p angenommen.
oder p|(x + m),
p|(x + m)(x − m) gilt. Wäre p ein Primelement in I( m), so wäre p|(x − m) √
was offenbar falsch ist. Also ist p das Produkt von zwei Primelementen π 1 , π2 ∈ I( m) mit √
π2 ∼ π̄1
π̄1
nach Teil (i). Wäre π1 ∼ π2 , so auch π1 ∼ π̄1 , d. h. π1 wäre eine Einheit. Es sei π1 = a + b m mit
√
a, b ∈ Z falls m ≡ 2, 3 mod 4 ist, bzw. π1 = 21 (a + b m) mit a ≡ b mod 2 falls m ≡ 1 mod 4 ist. Es
folgt
√
√
a−b m
2ab √
a2 + mb2
π̄1
√
=
− 2
= 2
m ∈
/ I( m)
2
2
π1
a − mb
a − mb
a+b m
da p|(a2 − mb2 ) aber p6 | (2ab) ist. Daher sind π1 und π2 nicht assoziiert.
Die Punkte (iv) und (v) werden ähnlich bewiesen, wir verzichten auf die Einzelheiten.
Satz 4.2.9 hat wichtige Anwendungen in der Theorie der Diophantischen Gleichungen. Diese werden
wir in einem späteren Kapitel detailliert behandeln. Zunächst beschränken wir uns auf ein Beispiel:
46
Satz 4.2.10
Jede Primzahl p ≡ 1 mod 4 ist Summe zweier Quadratzahlen: p = x 2 + y 2 mit x, y ∈ Z. Die Zahlen x
und y sind eindeutig bestimmt, wenn man x > y > 0 fordert.
Beweis
Nach dem quadratischen Reziprozitätsgesetz 2.6.3 (Teil (iii)) ist ( −1
p ) = 1 falls p ≡ 1 mod 4 ist. Nach
Satz 4.2.9(iii) ist p kein Primelement von I(i). Nach 4.2.9(i) ist daher
(1)
p ∼ π1 · π̄1
mit Primelementen π1 = x + iy sowie π̄1 = x − iy und x, y ∈ Z. Es folgt
(2)
p = x2 + y 2 .
In (1) sind π1 und π̄1 bis auf die Reihenfolge und Einheitsfaktoren aus {i k | k = 0, 1, 2, 3} eindeutig
bestimmt. Von den 8 Zahlen ik π1 , ik π̄1 ist genau eine von der Form x + iy mit x > y > 0. Daher sind
x und y in (2) durch x > y > 0 eindeutig bestimmt.
47
5. Kettenbrüche und Diophantische Approximation
Das Grundproblem der Diophantischen Approximation besteht darin, zu einer gegebenen reellen Zahl
ξ eine rationale Näherung pq mit ggT(p, q) = 1 zu finden. Die Güte der Approximation wird gemessen,
indem die Differenz |ξ − pq | mit den Differenzen |ξ − rs | für s ≤ q verglichen wird. Die in diesem Sinn
bestem Diophantischen Approximationen werden durch die Kettenbruchentwicklung von ξ erhalten.
5.1. Endliche Kettenbrüche
Gegeben sei eine rationale Zahl r = ab mit ggT(a, b) = 1 und b > 0. Die Kettenbruchentwicklung von
r ergibt sich aus dem Euklidischen Algorithmus:
a
b
r1
..
.
=
=
=
q0 b
q 1 r1
q 2 r2
..
.
+
+
+
r1
r2
r3
..
.
mit
mit
mit
0 < r1 < b
0 < r 2 < r1
0 < r 3 < r2
rj−1 =
q j rj
+ rj+1 mit 0 < rj+1 < rj
rj = qj+1 rj+1 +
0
Daraus ergibt sich
r1
a
= q0 +
= q0 +
b
b
1
b
r1
= q0 +
1
q1 +
= q0 +
= q0 +
r2
r1
1
q1 +
1
r1
r2
= q0 +
1
q1 +
1
r
q 2 + r3
= ···
2
1
q1 +
1
q2 +
Definition 5.1.1
Ein endlicher Kettenbruch ist ein Ausdruck der Form
1
(1)
a0 +
a1 + a +
2
..
.
..
1
+
1
.+
1
qj+1
1
1
an−1 + a1
n
wobei a0 , a1 , . . . , an reelle Zahlen und a1 , . . . , an positiv sind. Die reellen Zahlen a1 , . . . , an heißen
Teilnenner. Der Kettenbruch heißt einfach, falls a 0 , a1 , . . . , an aus Z sind. Wir schreiben den Ausdruck
(1) kurz als [a0 , a1 , . . . , an ]. Für 0 ≤ k ≤ n heißt Ck = [a0 , a1 , . . . , ak ] der k-te Näherungsbruch oder
Konvergent des obigen Kettenbruchs.
Um Missverständnisse zu vermeiden bezeichne in diesem Abschnitt [a] stets den einstelligen Kettenbruch, und bac die Abrundung von a auf eine ganze Zahl.
Satz 5.1.1
Jede rationale Zahl kann als endlicher, einfacher Kettenbruch ausgedrückt werden. Umgekehrt ist jeder
solche Kettenbruch eine rationale Zahl.
Beweis
Der erste Teil des Satzes folgt aus der obigen Diskussion. Der zweite Teil kann durch Induktion nach
der Anzahl der Terme bewiesen werden, denn es gilt
1
.
[a0 , a1 , . . . , an ] = 1 +
[a1 , . . . , an ]
48
Beispiel 5.1.1
Man schreibe 391
173 als endlichen, einfachen Kettenbruch.
Lösung: Der Euklidische Algorithmus ergibt
391
173
45
38
7
3
=
=
=
=
=
=
2
3
1
5
2
3
· 173 + 45
· 45 + 38
· 38 + 7
· 7 + 3
· 3 + 1
· 1 + 0
Es folgt
391
= 2+
173
1
173
45
= 2+
1
3+
1
= 2+
1
3+
45
38
= 2+
1
1+
1
38
7
= 2+
1
3+
1
1+
5+
1
1
7
3
1
3+
1
1+
5+
1
1
2+ 1
3
a
und damit 391
173 = [2, 3, 1, 5, 2, 3]. Man sieht, dass eine Kettenbruchentwicklung von b aus der q-Spalte
des Schemas zum Euklidischen Algorithmus von Kapitel 1 direkt abgelesen werden kann. Es gilt wegen
1
1
391
3 = 2+ 1 aber auch 173 = [2, 3, 1, 5, 2, 2, 1].
1
Von dieser stets möglichen Modifikation abgesehen, ist die Kettenbruchentwicklung einer rationalen
Zahl jedoch eindeutig, wie aus dem nächsten Satz hervorgeht:
Satz 5.1.2 (Eindeutigkeit der Kettenbruchentwicklung)
Gilt [a0 , a1 , . . . , am ] = [b0 , b1 , . . . , bn ] für zwei einfache, endliche Kettenbrüche, und ist am > 1 sowie
bn > 1, so folgt m = n und aj = bj für 0 ≤ j ≤ m.
Beweis
Es sei k = min(m, n). Wir führen den Beweis durch vollständige Induktion über k:
Fall k = 0:
Angenommen [a0 ] = [b0 , b1 , . . . , bn ] = y für y ∈ Z mit n ≥ 1, dann ist
(∗)
[b0 , b1 , . . . , bn ] = b0 +
1
[b1 , . . . , bn ]
wegen [b1 , . . . , bn ] > 1 die eindeutige Zerlegung von y in den ganzen Anteil b 0 = byc und den gebrochenen Anteil aus [0, 1). Wegen dem positiven Bruch in (∗) ist y = [b 0 , b1 , . . . , bn ] nicht ganz, ein
Widerspruch. Es folgt n = 0, und damit auch a 0 = [a0 ] = [b0 ] = b0 .
Schritt k → k + 1:
Die Behauptung sei bereits für ein k ≥ 0 gezeigt, und [a0 , a1 , . . . , ak+1 ] = [b0 , b1 , . . . , bn ] = y eine
Gleichheit von Kettenbrüchen mit n ≥ k + 1. Mit dem gleichen Argument wie im Fall k = 0 ist
a0 = byc = b0 . Wegen
[a0 , a1 , . . . , ak+1 ] = a0 +
1
1
= b0 +
[a1 , . . . , ak+1 ]
[b1 , . . . , bn ]
folgt [a1 , . . . , ak+1 ] = [b1 , . . . , bn ], und damit nach Induktionsannahme n = k + 1 sowie a j = bj für
1 ≤ j ≤ k + 1.
Als Nächstes beweisen wir einige Formeln über die Konvergenten von Kettenbrüchen:
49
Satz 5.1.3
Es seien a0 , a1 , . . . , an ∈ R, und a1 , . . . , an positiv. Weiterhin seien die Folgen p 0 , p1 , p2 , . . . , pn und
q0 , q1 , q2 , . . . , qn rekursiv definiert durch
p0 = a 0
,
p 1 = a 0 a1 + 1
,
···
,
pk = ak pk−1 + pk−2
q0 = 1
,
q 1 = a1
,
···
,
qk = ak qk−1 + qk−2
für k = 2, 3, . . . , n. Dann gilt:
(i) Der k-te Näherungsbruch Ck = [a0 , a1 , . . . , ak ] berechnet sich zu Ck =
(ii) Es ist pk qk−1 − pk−1 qk = (−1)k−1 und
Ck − Ck−1 =
pk
qk .
(−1)k−1
.
qk qk−1
(iii) Es ist C0 < C2 < · · · < C5 < C3 < C1 .
Beweis
Zu (i): Wir führen den Beweis durch Induktion über k: Die Fälle k = 0, 1 sind klar wegen
C0 = [a0 ] =
p0
1
a0 a1 + 1
p1
a0
=
und C1 = [a0 , a1 ] = a0 +
=
=
.
1
q0
a1
a1
q1
Den Fall k = 2 zeigt die Gleichung
C2 = [a0 , a1 , a2 ] = [a0 , a1 +
1
a2 ]
=
1
a2 )
a1 + a12
a0 (a1 +
+1
·a2
=
·a2
a2 (a0 a1 + 1) + a0
p2
a2 p1 + p 0
=
.
=
a1 a2 + 1
a2 q1 + q 0
q2
Wir zeigen nun den Schritt k → k + 1, und dürfen die Aussage (i) für ein k ≥ 2 annehmen:
Ck+1 = [a0 , a1 , . . . , ak−1 , ak , ak+1 ] = [a0 , a1 , . . . , ak−1 , ak +
=
(i)
(ak +
(ak +
1
ak+1 )pk−1
1
ak+1 )qk−1
+ pk−2
+ qk−2
·ak+1
=
·ak+1
1
ak+1 ]
ak+1 (ak pk−1 + pk−2 ) + pk−1
ak+1 pk + pk−1
pk+1
=
=
.
ak+1 (ak qk−1 + qk−2 ) + qk−1
ak+1 qk + qk−q
qk+1
Zu (ii): Auch diese Aussage wird durch vollständige Induktion nach k bewiesen: Der Fall k = 1 ist
klar wegen p1 q0 − p0 q1 = (a0 a1 + 1) − a0 a1 = 1. Der Schritt k → k + 1 folgt aus
pk+1 qk −pk qk+1 = (ak+1 pk +pk−1 )qk −pk (ak+1 qk +qk−1) = pk−1 qk −pk qk−1 = −(−1)k−1 = (−1)k .
Weiter ist
Ck − Ck−1 =
pk
pk−1
pk qk−1 − pk−1 qk
(−1)k−1
−
=
=
.
qk
qk−1
qk qk−1
qk qk−1
Zu (iii): Es sei k > 2, dann ist
Ck − Ck−2 =
pk pk−2
pk qk−2 − pk−2 qk
−
=
.
qk
qk−2
qk qk−2
Weiter ist
pk qk−2 − pk−2 qk = (ak pk−1 + pk−2 )qk−2 − pk−2 (ak qk−1 + qk−2 )
= ak (pk−1 qk−2 − pk−2 qk−1 ) = ak (−1)k−2 ,
(ii)
also folgt
ak (−1)k
.
qk qk−2
Hieraus und aus (ii) folgt die Anordnung C 0 < C2 < · · · < C5 < C3 < C1 .
Ck − Ck−2 =
50
5.2. Unendliche Kettenbrüche
Satz 5.2.1
Es sei a0 , a1 , a2 , . . . eine unendliche Folge ganzer Zahlen mit a 1 , a2 , . . . positiv und Ck = [a0 , a1 , . . . , ak ].
Dann ist die Folge der Ck konvergent, d. h. es existiert der Grenzwert
C = lim Ck .
k→∞
Beweis
Wir verwenden die Bezeichnungen und Aussagen von Satz 5.1.3: Aus der Rekursionsvorschrift q 0 = 1,
q1 = a1 und qk = ak qk−1 + qk−2 für k = 2, 3, . . . folgt qk ≥ 2qk−2 und damit qk → ∞. Aus der
Ungleichungskette C0 < C2 < C4 < · · · < C5 < C3 < C1 und aus
(−1)k−1
qk qk−1
folgt, dass die Ck eine Cauchyfolge bilden, die nach dem Cauchykriterium konvergiert.
Ck − Ck−1 =
Definition 5.2.1
Es sei a0 , a1 , a2 , . . . eine unendliche Folge ganzer Zahlen mit a 1 , a2 , . . . positiv und Ck = [a0 , a1 , . . . , ak ].
Dann nennt man die nach dem vorigen Satz existierende Zahl C den Wert des unendlichen, einfachen
Kettenbruchs [a0 , a1 , a2 , . . .].
Satz 5.2.2
Der Wert eines unendlichen, einfachen Kettenbruchs [a 0 , a1 , a2 , . . .] ist irrational.
Beweis
Es sei θ = [a0 , a1 , a2 , . . .] der Wert und Ck = [a0 , a1 , . . . , ak ] = pqkk mit den pk bzw. qk aus Satz 5.1.3.
Nach diesem Satz liegt θ zwischen Ck und Ck+1 für alle k, so dass 0 < |θ − Ck | < |Ck+1 − Ck | gilt. Aus
1
|Ck − Ck−1 | =
qk qk−1
folgt
1
.
(1)
0 < |qk θ − pk | <
qk+1
Annahme: θ ∈ Q, etwa θ =
a
b
mit a, b ∈ Z und b > 0. Dann folgt aus (1)
0 < |qk a − pk b| <
b
qk+1
.
Wegen
lim
b
k→∞ qk+1
= 0
folgt 0 < |qk a − pk b| < 1 für hinreichend große k, ein Widerspruch, denn es ist |q k a − pk b| ∈ Z.
Satz 5.2.3
Zwei verschiedene, einfache, unendliche Kettenbrüche stellen verschiedene Zahlen dar.
Beweis
Es θ = [a0 , a1 , . . .] = [b0 , b1 , . . .]. Dann gilt wegen
1
1
= b0 +
,
θ = a0 +
[a1 , a2 , . . .]
[b1 , b2 , . . .]
[a1 , a2 , . . .], [b1 , b2 , . . . > 1 ,
dass bθc = a0 = b0 ist. Daraus folgt [a1 , a2 , . . .] = [b1 , b2 , . . .]. Eine Wiederholung des obigen Arguments
ergibt a1 = b1 . Durch vollständige Induktion folgt an = bn für alle n.
Wir zeigen nun die Umkehrung von Satz 5.2.3:
51
Satz 5.2.4
Jede irrationale Zahl ξ kann eindeutig als einfacher, unendlicher Kettenbruch [a 0 , a1 , . . .] geschrieben
werden. Die ai sind dabei rekursiv gegeben durch
1
, ai = bξi c (i = 1, 2, . . .) .
ξ0 = ξ , a0 = bξ0 c , ξi =
ξi−1 − ai−1
Beweis
Es ist ξ0 = a0 + (ξ0 − a0 ) = a0 +
Nach Satz 5.1.3 ist
1
ξ1
= [a0 , ξ1 ]. Wiederholung dieser Überlegung liefert
ξ = [a0 , ξ1 ] = [a0 , a1 , ξ2 ] = · · · = [a0 , a1 , . . . , an , ξn+1 ] .
ξ = [a0 , a1 , . . . , an , ξn+1 ] =
ξn+1 pn + pn−1
.
ξn+1 qn + qn−1
Wir erhalte nach Satz 5.1.3(iii)
pn
ξn+1 pn + pn−1 pn
−(pn qn−1 − pn−1 qn )
(−1)n
=
−
=
=
.
qn
ξn+1 qn + qn−1
qn
qn (ξn+1 qn + qn−1 )
qn (ξn+1 qn + qn−1 )
Wegen qn → ∞ folgt Cn → ξ für n → ∞, also
ξ − Cn = ξ −
ξ = lim Cn = [a0 , a1 , . . .] .
n→∞
Beispiel 5.2.1
√
Man finde die Kettenbruchentwicklung von ξ = 2.
Lösung:
√
2
,
a0 = bξ0 c = 1
√
1
1
=√
= 2+1
ξ0 − a 0
2−1
,
a1 = bξ1 c = 2
,
a2 = bξ2 c = 2
ξ0 =
ξ1 =
√
1
1
=√
= 2+1
ξ1 − a 1
2−1
√
also ai = 2 für i ≥ 1. Daher ist 2 = [1, 2, 2, 2, . . .].
ξ2 =
Der nächste Satz zeigt, dass die Näherungsbrüche der Kettenbruchentwicklung einer irrationalen Zahl
besonders gute rationale Approximationen ergeben.
Satz 5.2.5
p
Es sei ξ eine irrationale Zahl. Weiter seien C j = qjj für j = 1, 2, . . . die Näherungsbrüche des unendlichen, einfachen Kettenbruchs von ξ, wobei p j , qj wie in Satz 5.1.3 definiert sind. Dann gilt:
(i) Sind r, s ∈ Z mit s > 0 und ist k ∈ N, so dass |sξ − r| < |q k ξ − pk | gilt, dann ist s ≥ qk+1 .
(ii) Es ist |ξ − rs | ≥ |ξ −
pk
qk |,
falls s ≤ qk ist.
Beweis
Wir nehmen an, es gäbe r, s ∈ Z mit 0 < s < qk+1 , so dass |sξ − r| < |ξqk − pk | ist, und betrachten
das lineare Gleichungssystem
r
x
pk pk+1
xpk + ypk+1 = r
.
=
·
bzw.
s
y
qk qk+1
xqk + yqk+1 = s
Nach Satz 5.1.3(iii) ist
pk pk+1
= pk qk+1 − qk pk+1 = ±1 .
det
qk qk+1
52
Aus der Cramerschen Regel entnimmt man, dass dieses lineare Gleichungssystem eine ganzzahlige
Lösung (x, y) besitzt. Wäre x = 0, so wäre s = yqk+1 , woraus y 6= 0 und s ≥ qk+1 folgen würde, ein
Widerspruch. Wäre y = 0, so wäre r = xpk , s = xqk und
|ξs − r| = |ξxqk − xpk | = |x| · |ξqk − pk | ≥ |ξqk − pk | ,
da |x| ≥ 1 ist, ein Widerspruch. Es sind also x, y 6= 0. Wir zeigen nun, dass x und y verschiedene
Vorzeichen haben. Ist y < 0, so folgt aus xq k = s − yqk+1 , dass x > 0 ist. Ist y > 0, dann folgt aus
s < qk+1 ≤ yqk+1 , dass x < 0 ist. Da nach Satz 5.1.3 ξqk − pk und ξqk+1 − pk+1 entgegengesetzte
Vorzeichen besitzen, haben x(ξqk − pk ) und y(ξqk+1 − pk+1 ) das gleiche Vorzeichen. Daher gilt
|ξs − r| = |x(ξqk − pk ) + y(ξqk+1 − pk+1 )| = |x(ξqk − pk )| + |y(ξqk+1 − pk+1 )|
> |x(ξqk − pk )| = |x| · |ξqk − pk | ≥ |ξqk − pk | .
Das ist ein Widerspruch zur Annahme, also ist (i) bewiesen. Aus (i) folgt unmittelbar (ii).
Der nächste Satz zeigt, dass gewisse Approximationsgüten höchstens von den Näherungsbrüchen der
Kettenbruchentwicklung erreicht werden können:
Satz 5.2.6
Es sei ξ irrational. Gibt es r, s ∈ Z, s ≥ 1, so dass
r 1
ξ − <
s
2s2
ist, so ist rs ein Näherungsbruch der einfachen, unendlichen Kettenbruchentwicklung von ξ.
Beweis
p
Es genügt, die Behauptung für ggT(r, s) = 1 zu beweisen. Es seien C j = qjj die Näherungsbrüche
der Kettenbruchentwicklung von ξ. Wir nehmen an, dass rs kein Näherungsbruch sei. Der Index k sei
definiert durch qk < s < qk+1 . Dann ist nach Satz 5.2.5 die Ungleichung |ξs−r| < |ξq k −pk | unmöglich.
Es folgt
1
pk 1
|ξqk − pk | ≤ |ξs − r| <
=⇒ ξ − <
.
2s
qk
2sqk
Wegen rs 6= pqkk ist spk − rqk ∈ Z \ {0} und somit
pk
1
1
|spk − rqk |
r r 1
pk ≤
= − ≤ ξ − + ξ − <
+ 2.
sqk
sqk
qk
s
qk
s
2sqk 2s
Hieraus ergibt sich der Widerspruch s < q k .
5.3. Kettenbruchentwicklung quadratischer Irrationalit äten
Definition 5.3.1
Der unendliche, einfache Kettenbruch [a 0 , a1 , a2 , . . .] heißt periodisch, falls es natürliche Zahlen N und
k gibt, so dass an = an+k für alle n ≥ N gilt. Wir verwenden die Schreibweise
[a0 , a1 , a2 , . . . , aN −1 , aN , aN +1 , . . . , aN +k−1 ]
um den einfachen, unendlichen, periodischen Kettenbruch
[a0 , a1 , a2 , . . . , aN −1 , aN , aN +1 , . . . , aN +k−1 , aN , aN +1 , . . .]
auszudrücken.
Beispiel
√ 5.3.1
Es ist 2 = [1, 2, 2, 2, . . .] = [1, 2].
Satz 5.3.1
Der Wert eines periodischen Kettenbruchs ist stets eine quadratische Irrationalität.
53
Beweis
Wir betrachten zunächst β = [aN , aN +1 , . . . , aN +k−1 ]. Dann ist β = [aN , aN +1 , . . . , aN +k−1 , β] und
nach Satz 5.1.3 gilt
βpk + pk−1
,
β =
βqk + qk−1
wobei Ck =
pk
qk
der k-te Näherungsbruch ist. Dies ergibt sofort eine quadratische Gleichung für β:
β 2 qk + β(−pk + qk−1 ) − pk−1 = 0 .
Da β nach Satz 5.2.2 nicht rational ist folgt, dass der Grad von β genau 2 ist, d. h. β ist eine quadratische Irrationalität. Ist nun α = [a0 , a1 , . . . , aN −1 , aN , aN +1 , . . . , aN +k−1 ] = [a0 , a1 , . . . , aN −1 , β], so gilt
nach Satz 5.1.3
βpN −1 + pN −2
,
α =
βqN −1 + qN −2
was nach Satz 4.2.1 zeigt, dass auch α den Grad 2 besitzt.
Eines der Hauptergebnisse der Theorie der Kettenbrüche ist nun die von Lagrange bewiesene Tatsache,
dass auch die Umkehrung gilt: jede quadratische Irrationalität besitzt eine periodische Kettenbruchentwicklung. Wir beweisen zunächst eine vorbereitende Sätze:
Satz 5.3.2
Ist α ∈ R eine quadratische reelle Irrationalität, so lässt α sich in der Form
√
P+ d
α =
Q
darstellen, wobei P, Q, d ganze Zahlen sind mit Q 6= 0, und d > 0 keine Quadratzahl sowie Q|(d − P 2 ).
Beweis
√
Nach Satz 5.3.1 ist α = a+c b mit a, b, c ∈ Z und c 6= 0. Wir können b in dieser Darstellung quadratfrei
wählen, da α zudem reell ist muss b > 0 sein. Es folgt
√
a|c| + bc2
α =
.
c · |c|
Wir setzen P = a · |c|, Q = c · |c| und d = bc 2 . Offensichtlich sind dann P, Q, d ∈ Z, Q 6= 0, d > 0
(keine Quadratzahl) und
d − p2 = bc2 − a2 c2 = c2 (b − a2 ) = ±Q(b − a2 )
und damit Q|(d − P 2 ).
Satz 5.3.3
Es sei α eine quadratische Irrationalität mit
√
P0 + d
α =
Q0
mit P0 , Q0 , d ∈ Z, Q0 6= 0, d > 0 keine Quadratzahl und Q0 |(d − P02 ) nach dem vorigen Satz. Definiert
man rekursiv
√
2
d − Pk+1
Pk + d
, ak = bαk c , Pk+1 = ak Qk − Pk , Qk+1 =
αk =
Qk
Qk
für k = 0, 1, 2, . . ., so ist α = [a0 , a1 , a2 , . . .].
54
Beweis
Wir zeigen zunächst durch vollständige Induktion nach k, dass Pk , Qk ∈ Z, Qk 6= 0 sowie Qk |(d − Pk2 )
gilt für k = 0, 1, 2, . . .: der Fall k = 0 ist die Voraussetzung, und der Induktionsschritt ist
2
d − Pk+1
d − Pk2
d − (ak Qk − Pk )2
=
=
+ 2ak Pk − a2k Qk ∈ Z .
Qk
Qk
Qk
Qk+1 =
2
2
2 ). Weiter ist
Wegen d − Pk+1
6= 0 ist Qk+1 6= 0, und wegen Qk Qk+1 = d − Pk+1
gilt Qk+1 |(d − Pk+1
√
√
√
√
√
( d − Pk+1 ) · ( d + Pk+1 )
Pk + d
d − (ak Qk − Pk )
d − Pk+1
√
− ak =
=
=
αk − a k =
Qk
Qk
Qk
Qk ( d + Pk+1 )
=
2
d − Pk+1
1
Qk Qk+1
Qk+1
√
√
=
.
=
= √
αk+1
Qk ( d + Pk+1 )
Qk ( d + Pk+1 )
d + Pk+1
Also gilt
1
αk − a k
für k = 0, 1, 2, . . ., woraus mit Satz 5.2.4 folgt, dass [a 0 , a1 , a2 , . . .] die Kettenbruchentwicklung von α
ist.
αk+1 =
Satz 5.3.4
Der unendliche, einfache Kettenbruch einer irrationalen Zahl α ist genau dann periodisch, wenn α
eine quadratische Irrationalität ist.
Beweis
Eine Richtung ist schon in Satz 5.3.1 enthalten. Es sei nun α eine quadratische Irrationalität, die nach
Satz 5.3.2 als
√
P0 + d
α =
Q0
geschrieben werden kann mit P0 , Q0 , d ∈ Z, d > 0 keine Quadratzahl und Q0 |(d − P02 ). Nach Satz 5.3.3
ist α = [a0 , a1 , a2 , . . .] mit
√
2
d − Pk+1
Pk + d
αk =
, ak = bαk c , Pk+1 = ak Qk − Pk , Qk+1 =
Qk
Qk
für alle k. Da α = [a0 , a1 , . . . , ak−1 , αk ] ist, folgt aus Satz 5.1.3, dass
pk−1 αk + pk−2
α =
qk−1 αk + qk−2
ist. Indem wir auf beiden Seiten die Konjugierte bilden, erhalten wir mit Übungsaufgabe 37(a,b)
pk−1 ᾱk + pk−2
ᾱ =
qk−1 ᾱk + qk−2
oder
ᾱk
Die Näherungsbrüche
pk−2
qk−2
und
pk−1
qk−1
qk−2
= −
·
qk−1
ᾱ −
ᾱ −
pk−2
qk−2
pk−1
qk−1
!
.
streben für k → ∞ gegen α, so dass
pk−2 !
ᾱ − qk−2
lim
= 1
p
k→∞ ᾱ − k−1
qk−1
ist. Daher gibt es ein N , so dass ᾱk < 0 ist für k ≥ N . Da αk > 0 ist für k ≥ 1 gilt
√
√
√
2 d
Pk + d Pk − d
−
=
> 0,
αk − ᾱk =
Qk
Qk
Qk
55
2
so dass Qk > 0 ist für k ≥ N . Da Qk Qk+1 = d − Pk+1
ist sehen wir, dass
2
0 < Qk < Qk Qk+1 = d − Pk+1
≤ d
√
√
2
2
ist für k ≥ N . Für diese k gilt daher Pk+1
≤ d = Pk+1
− Qk Qk+1 , also − d < Pk+1 < d. Aus
√
√
den Ungleichungen 0 ≤ Qk ≤ d und − d ≤ Pk+1 ≤ d, die für k ≥ N gelten, sehen wir, dass für
die Paare (Pk , Qk ) nur eine endliche Anzahl von Werten in Frage kommt. Es gibt daher i, j ∈ N mit
i < j, so dass (Pi , Qi ) = (Pj , Qj ) ist. Aus der Definition der αi sehen wir, dass αi = αj ist, und daher
ai = aj , ai+1 = aj+1 , usw. Daraus ergibt sich
α = [a0 , a1 , a2 , . . . , ai−1 , ai , ai+1 , . . . , aj−1 , ai , ai+1 , . . .] = [a0 , a1 , a2 , . . . , ai−1 , ai , ai+1 , . . . , aj−1 ] .
Definition 5.3.2
Es sei d ∈ N keine Quadratzahl. Die Diophantische Gleichung
x2 − dy 2 = 1
heißt Pellsche Gleichung.
2
2
Die Pellsche Gleichung und die
√ eng damit verbundene Gleichung x − dy = −1 können mittels der
Kettenbruchentwicklung von d gelöst werden:
Satz 5.3.5
Es sei d ∈ N keine Quadratzahl, und Ck = pqkk der k-te Näherungsbruch der Kettenbruchentwicklung
√
von d mit k ∈ N. Ferner sei n die Periodenlänge des Kettenbruchs. Ist n gerade, so sind die positiven
Lösungen der Diophantischen Gleichung x 2 − dy 2 = 1 gegeben durch x = pjn−1 und y = qjn−1 . Die
Diophantische Gleichung x2 − dy 2 = −1 hat in diesem Fall keine Lösung. Ist n ungerade, so sind
die positiven Lösungen von x2 − dy 2 = 1 gegeben durch x = p2jn−1 und y = q2jn−1 , und die positive
Lösungen von x2 − dy 2 = −1 durch x = p(2j−1)n−1 und y = q(2j−1)n−1 .
Ohne Beweis
Korollar 5.3.6
Jeder reellquadratische Zahlkörper enthält unendlich viele Einheiten.
Beispiel 5.3.2
Man finde die kleinste positive Lösung von x2 − 59y 2 = ±1.
√
Lösung: Zuerst bestimmen wir die Kettenbruchentwicklung von α = 59. Wir verwenden dazu die
Rekursion von Satz 5.3.3. Es ist
√
P0 + d
α =
Q0
mit P0 = 0, Q0 = 1 und d = 59. Es ergibt sich
56
α0
a0
α1
a1
α2
a2
α3
a3
α4
a4
α5
a5
α6
a6
√
= √59
= b √
59c
7+ 59
=
10
= bα√1 c
= 3+5 59
= bα√2 c
= 7+2 59
= bα√3 c
= 7+5 59
= bα√4 c
= 3+10 59
= bα√5 c
= 7+1 59
= bα6 c
=
=
=
=
=
=
=
P1
7 Q1
P2
1 Q2
P3
Q
2
3
P4
7 Q4
P5
2 Q5
P6
1 Q6
P7
14 Q7
=
=
=
=
=
=
=
=
=
=
=
=
=
=
7·1 −0 =
59−72
=
1
1 · 10 − 7 =
59−32
=
10
2·5 −3 =
59−72
=
5
7·2 −7 =
59−72
=
2
2·5 −7 =
59−32
=
5
1 · 10 − 3 =
59−72
=
10
1 · 14 − 7 =
59−72
=
1
7
10
3
5
7
2
7
5
3
10
7
1
7
10
Damit ist (P7 , Q7 ) = (P1 , Q1 ) und der Kettenbruch somit periodisch, also
√
59 = 7, 1, 2, 7, 2, 1, 14 .
Wir kommen nun zur Lösung der Gleichung x2 − 59y 2 = ±1. Da die Periodenlänge n = 6 gerade ist,
hat die Gleichung x2 − 59y 2 = −1 keine Lösung. Die kleinste positive Lösung von x2 − 59y 2 = 1 ist
gegeben durch x = p5 und y = q5 . Es ist
p0
p1
p2
p3
p4
p5
=
=
=
=
=
=
7·1 +1
=
2·8 +7
=
7 · 23 + 8
=
2 · 169 + 23 =
361 + 169 =
7
8
23
169
361
530
q0
q1
q2
q3
q4
q5
=
=
=
=
=
=
2·1 +1 =
7·3 +1 =
2 · 22 + 3 =
47 + 22 =
1
1
3
22
47
69
Die kleinste positive Lösung von x2 − 59y 2 = 1 ist daher (x, y) = (530, 69). Die Zahl
√
ε59 = 530 + 69 59
√
ist die so genannte Grundeinheit von I( 59). Sämtliche Einheiten dieses Rings sind gegeben durch
η = ±εm
59 , m ∈ Z .
Dies ist ein Spezialfall des folgenden Satzes:
Satz 5.3.7
√
√
√
√
Es sei d > 1 quadratfrei. Die Menge E( d) = {η ∈ I( d) | η −1 ∈ I( d)} der Einheiten von I( d) ist
von der Form
√
E( d) = {±εm
d | m ∈ Z}
für eine Grundeinheit εd .
Ohne Beweis
5.4. Diophantische Gleichungen - Überblick
Die Theorie der letzten zwei Kapitel hat zahlreiche Anwendungen auf Diophantische Gleichungen:
Definition 5.4.1
Eine Darstellung n = x2 + y 2 heißt eigentlich, falls ggT(x, y) = 1 ist.
Eine Verallgemeinerung von Satz 4.2.10 ist gegeben durch
57
Satz 5.4.1
Es sei n eine natürliche Zahl, dann hat n eine eigentliche Darstellung als Summe von zwei Quadraten,
falls 46 | n ist, und für alle p|n gilt: p = 2 oder p ≡ 1 mod 4.
Der Beweis verwendet wie der von Satz 4.2.10 die Tatsache, dass I(i) faktoriell ist. Wir verzichten auf
die Einzelheiten und illustrieren stattdessen das Prinzip an einem Beispiel:
Beispiel 5.4.1
Es sei n = 1105 = 5 · 13 · 17. Die Zerlegung in Primelemente von I(i) ist gegeben durch
n = (2 + i)(2 − i) · (3 + 2i)(3 − 2i) · (4 + i)(4 − i) .
Die verschiedenen Darstellungen von n als Summe von zwei Quadratzahlen n = x 2j + yj2 = (xj +
iyj )(xj − iyj ) ergibt sich durch die verschiedenen Aufteilungen der Primelemente auf die Faktoren
xj + iyj und xj − iyj :
9 + 32i
⇒
1105 = 32 2 + 92
x2 + iy2 = (2 + i)(3 + 2i)(4 − i) = 23 + 24i
⇒
1105 = 24 2 + 232
x3 + iy3 = (2 + i)(3 − 2i)(4 + i) = 33 + 4i
⇒
1105 = 33 2 + 42
x4 + iy4 = (2 + i)(3 − 2i)(4 − i) = 31 + 12i
⇒
1105 =
x1 + iy1 = (2 + i)(3 + 2i)(4 + i) =
31 2 + 122
√
Eine ähnliche Anwendung ergibt sich in faktoriellen Ringen der Form I( d):
Beispiel 5.4.2
√
Die Zerlegung in Primelemente von n = 187 im Ring I( −2) ist gegeben durch
√
√
√
√
n = 11 · 17 = (3 + −2)(3 − −2) · (3 + 2 −2)(3 − 2 −2) .
Die Darstellungen in der Form n = x2j + 2yj2 ergeben sich durch
√
√
√
√ x1 + y1 √−2 = (3 + √−2) · (3 + 2√−2) = 5 + 9√−2
=⇒ n = 52 + 2 · 92 .
x1 − y1 −2 = (3 − −2) · (3 − 2 −2) = 5 − 9 −2
√
√
√
√ x2 + y2 √−2 = (3 + √−2) · (3 − 2√−2) = 13 − 3√−2
=⇒ n = 132 + 2 · 32 .
x2 − y2 −2 = (3 − −2) · (3 + 2 −2) = 13 + 3 −2
√
Da I( −2) faktoriell ist, sind dies sämtliche Darstellungen.
√
Bei Anwendung der Theorie der faktoriellen Ringe der Form I( d) mit d > 0 kommen auch Einheiten,
und damit die Pellsche Gleichung ins Spiel:
Beispiel 5.4.3
√
Der Ring
√ I( 59) ist nicht Euklidisch. Es kann jedoch mit fortgeschrittenen Methoden gezeigt werden,
dass I( 59) dennoch faktoriell ist. Wir betrachten die Gleichung
(∗)
x2 − 59y 2 = 5 .
Man findet die Lösung (x0 , y0 ) = (8, 1) durch Probieren. Die Zerlegung in Primelemente ist also
√
√
5 = (8 + 59) · (8 − 59) ,
√
welche wegen der Eindeutigkeit der Primzerlegung
im
Ring
I(
59) bis auf Einheitsfaktoren eindeutig
√
ist. Wir wissen, dass
sämtliche
Einheiten
von
I(
59)
von
der
Form
ε = (−1)k · εl59 sind für k, l ∈ Z
√
und ε59 = 530 + 69 59. Die (unendlich vielen) Lösungen von (∗) sind somit gegeben durch
√
√
√
x + y 59 = (−1)k · (8 ± 59) · (530 + 69 59)l für k, l ∈ Z .
58
Index
Modulus, 11
Modulus (RSA), 32
Äquivalenzrelation, 11
Ableitung (formal), 19
algebraisch, 37
Arithmetische Progression, 12
assoziiert, 40
Näherung (rational), 48
Näherungsbruch, 48
Norm, 42
Carmichael-Zahl, 34
Chiffrierverfahren, 31
Ordnung, 21
Pellsche Gleichung, 56
Periodizität (Kettenbruch), 53
Potenznichtrest, 20
Potenzrest, 20
Primelement, 40
Primitivwurzel, 21
Primzahl, 8
Primzahltest (Miller), 34
Primzahltest (Rabin), 36
Primzerlegung, 9
Pseudo-Primzahl (schwach), 33
Pseudo-Primzahl (stark), 35
Public-Key-Code, 31
Diophantische Approximation, 48
Diophantische Gleichung, 4, 57
Eigentliche Darstellung, 57
Einfachheit (Kettenbrüche), 48
Einheit, 40
Entschlüsselungsverfahren, 31
Euklidisch (Zahlkörper), 43
Euklidischer Algorithmus, 7
Eulersche Funktion, 13
Exponenten (RSA), 32
faktoriell, 40
Fundamentalsatz, 9
quadratfrei, 41
Quadratische Irrationalität, 37, 53
Quadratischer Nichtrest, 20
Quadratischer Rest, 20
Quadratisches Reziprozitätsgesetz, 25, 28
Quotient (einer Division), 5
ganzalgebraisch, 37
ggT, 5
Grad (einer Zahl), 37
Grad (Polynomkongruenz), 17
Grundeinheit, 57
Rest (einer Division), 5
Restklasse, 11
Restsystem (absolut kleinstes), 12
Restsystem (nicht-negativ), 12
Restsystem (reduziert), 14
Restsystem modulo m, 12
Ring (kommutativ), 13
Ring mit eindeutiger Faktorisierung, 40
RSA-System, 31
Inverse, 15
irreduzibel, 40
Jacobi-Symbol, 27
Kettenbruch (endlich), 48
Kettenbruch (unendlich), 51
kgV, 8
Kongruenzklasse, 11
Kongruenzrelation, 11
Konjugation, 42
Konvergent (Kettenbrüche), 48
Kryptoanalyse, 31
Kryptographie, 31
Kryptologie, 31
Satz von Euklid, 9
Satz von Euler, 14
Satz von Fermat (klein), 14
Satz von Lagrange, 18
Schlüssel, 31
Summe von zwei Quadraten, 58
Legendre-Symbol, 24
Lemma von Gauß, 25
Teilbarkeit, 5
Teilbarkeit (algebraisch), 39
Teilbarkeit (ganze Zahlen), 4
Minimalpolynom, 37
59
Teiler, 4
Teiler (gemeinsamer), 5
Teilerfremdheit, 7
Teilerfremdheit (paarweise), 7
Teilnenner (Kettenbrüche), 48
transzendent, 37
unzerlegbar, 40
Verschlüsselung, 31
Vielfaches, 4
Vielfaches (gemeinsames), 8
Wert (unendlicher Kettenbruch), 51
Zahlkörper, 40
Zahlkörper (quadratisch), 41
Zerlegungsgesetz, 45
zusammengesetzt, 8
60