Einführung in die Zahlentheorie

1.6
Peter Hellekalek
Einführung in die Zahlentheorie
Ent
w
3. August 2006
urf
Skriptum
urf
Ent
w
1.6
1
1.6
Inhaltsverzeichnis
Teilbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2 Division mit Rest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.3 Größter gemeinsamer Teiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
1.4 Euklidischer Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
1.5 Fundamentalsatz der Zahlentheorie . . . . . . . . . . . . . . . . . . . . . . . 13
2
urf
1.6 Primzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Zahlentheoretische Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.1 Das größte Ganze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.2 Multiplikative Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.3 Die Möbiussche µ-Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.4 Die Eulersche ϕ-Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3
Kongruenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.1 Grundlegende Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Ent
w
3.1.1 Ausflug in die Ringtheorie . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.2 Lineare Kongruenzen und der chinesische Restsatz . . . . . . . . . . 67
3.3 Die Sätze von Fermat und Euler . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.3.1 Ausflug in die Kryptographie . . . . . . . . . . . . . . . . . . . . . . 76
3.3.2 Das RSA-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
3.4 Algebraische Kongruenzen und ein Satz von Lagrange . . . . . . . 86
3.5 Untergruppen und der Satz von Lagrange . . . . . . . . . . . . . . . . . 89
3.6 Zyklische Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.7 Die Struktur der primen Restklassengruppe . . . . . . . . . . . . . . . . 95
VI
4
Inhaltsverzeichnis
Diophantische Approximation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
1.6
4.1 Die b-adische Entwicklung natürlicher Zahlen . . . . . . . . . . . . . . 101
4.1.1 Primzahlen mit vorgegebener Stellenanzahl . . . . . . . . . . 103
4.2 Die b-adische Entwicklung reeller Zahlen . . . . . . . . . . . . . . . . . . . 106
4.2.1 Die Cantormenge C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4.3 Kettenbrüche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Ent
w
urf
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
1.1 Grundlagen
Wir verwenden folgende Bezeichnungen:
N = {1, 2, 3, . . . }
1.6
1 Teilbarkeit
Menge der natürlichen Zahlen
Z = {. . . , −1, 0, 1, . . . }
p
Q=
: p ∈ Z, q ∈ N
q
Menge der ganzen Zahlen
C = {a + ib : a, b ∈ R}
Menge der komplexen Zahlen
urf
R = {?}
Menge der rationalen Zahlen
Menge der reellen Zahlen
Die Eigenschaften von N werden in dieser Vorlesung nicht hinterfragt. Grundlage des Rechnens mit natürlichen Zahlen bilden die Peano-Axiome.
Das Fragezeichen bei den reellen Zahlen steht zu Recht. Es ist nicht einfach,
die reellen Zahlen präzise einzuführen. Die Klärung dieser Frage ist nicht
Gegenstand der Zahlentheorie.
Bemerkung 1.1 (Peano-Axiome)
Für Details wird auf das Buch von Forster[10] verwiesen.
Ent
w
Unter den natürlichen Zahlen verstehen wir eine Menge N mit einem ausgezeichneten Element 1 ∈ N und einer Abbildung ν : N → N, Nachfolgefunktion
genannt, so daß folgende Axiome gelten:
1. ν ist injektiv
2. ν(N) = N \ {1}
3. Axiom der vollständigen Induktion:
Sei M ⊂ N mit 1 ∈ M und x ∈ M ⇒ ν(x) ∈ M , dann gilt M = N.
Für natürliche Zahlen x und y mit ν(x) = y sagen wir, y ist der Nachfolger
von x und x der Vorgänger von y.
Bemerkung 1.2 Es gilt dann (erstaunlicherweise, bei so wenigen Axiomen!)
2
1 Teilbarkeit
1. Das Element 1 hat keinen Vorgänger.
x<y
x=y
1.6
2. Die natürlichen Zahlen sind angeordnet, d.h. für beliebige x, y ∈ N gilt
genau eine der folgenden Beziehungen:
x>y
wobei x < y“ folgendermaßen definiert ist:
”
∃t∈N: x+t=y
3. Es folgen noch weitere Eigenschaften von N aus den Peano-Axiomen, unter anderem lassen sich Addition und Multiplikation in N erklären:
Addition:
n + ν(x) := ν(n + x)
n + 1 := ν(n)
Multiplikation:
n · ν(x) := n · x + n
urf
n · 1 := n
Satz 1.3 (Wohlordnungsprinzip)
Sei M eine nichtleere Teilmenge von N. Dann besitzt M ein kleinstes Element.
1.2 Division mit Rest
Definition 1.4 (Teiler, Primzahl, zusammengesetzte Zahl)
Seien a, b, c ∈ Z.
Ent
w
1. Eine von Null verschiedene Zahl b teilt a (in Kurzschreibweise: b | a), wenn
eine Zahl c existiert, sodaß a = b · c ist. Man sagt, b ist ein Teiler von a
und a ein Vielfaches von b.
b | a :⇔ ∃ c mit a = b · c
2. Die Zahl b heißt ein echter Teiler von a, wenn b | a und 1 < |b| < |a|.
3. Eine natürliche Zahl p > 1 heißt eine Primzahl, wenn 1 und p die einzigen
natürlichen Zahlen sind, die p teilen.
4. Das Produkt zweier ganzer Zahlen, die dem Betrage nach größer als 1
sind, heißt eine zusammengesetzte Zahl.
Beispiel 1.5 Es gilt
1. Die Zahl 220996011 − 1 ist prim.
(Frage: Wie kommt man auf so ein Resultat?)
1.2 Division mit Rest
3
1.6
2. Die Zahl 2220996011 − 1 ist nicht prim.
(Gleiche Frage)
3. Die Zahl 101001000100001000001 ist zusammengesetzt.
(Warum?)
4. Die folgende Zahl
12301866845301177551304949583849627207728535695953
34792197322452151726400507263657518745202199786469
38995647494277406384592519255732630345373154826850
79170261221429134616704292143116022212404792747377
94080665351419597459856902143413
ist angeblich zusammengesetzt und soll nur zwei Primfaktoren besitzen.
Wie lauten diese?
Die Antwort ist zur Zeit noch USD 50.000,- wert, siehe den Link
www.rsasecurity.com/rsalabs/challenges/factoring/numbers.html
urf
Definition 1.6 Sei α ∈ R, dann bezeichnet
[α] := max{g ∈ Z : g ≤ α}
das größte Ganze von α. In der Informatik verwendet man in diesem Zusammenhang die Funktionen floor und ceiling:
⌊α⌋ := max{g ∈ Z : g ≤ α}
⌈α⌉ := min{h ∈ Z : α ≤ h}
Bemerkung 1.7
∀α∈R:
[α] ≤ α < [α] + 1
Ent
w
Der folgende Satz ist einfach zu beweisen, jedoch von großer Bedeutung für
die Arithmetik ganzer Zahlen.
Satz 1.8 (Division mit Rest)
Für a ∈ Z und b ∈ N gibt es eindeutig bestimmte ganze Zahlen q und r mit
a = q · b + r,
0 ≤ r < b.
Beweis. Zur Existenz von q und r:
hai
a hai
0≤ −
<1 ⇒ 0≤a−
· b < b.
b
b
b
Wir wählen q = [a/b] und r = a − [a/b] · b. Damit ist die Existenz der
gewünschten Darstellung gezeigt.
4
1 Teilbarkeit
1.6
Zur Eindeutigkeit von q und r:
Seien zwei Zahlenpaare q, r und q ′ , r′ gegeben, die jeweils die oben genannten
Eigenschaften besitzen. Dann gilt
a = bq + r = bq ′ + r′ .
Es folgt unmittelbar:
b(q − q ′ ) = r′ − r.
Es gilt also: b teilt die Differenz r′ − r. Da aber |r′ − r| < |b| gilt (wegen
0 ≤ r < b und 0 ≤ r′ < b), erhalten wir die Gleichheit r = r′ . Es folgt q = q ′
und damit die Eindeutigkeit der Darstellung.
2
Satz 1.9 (Division mit absolut kleinstem Rest)
Für a ∈ Z und b ∈ N gibt es eindeutig bestimmte ganze Zahlen q und r,
sodaß a = q · b + r und −b/2 ≤ r < b/2 gilt.
2
urf
Beweis. Übungsaufgabe
1.3 Größter gemeinsamer Teiler
Definition 1.10 (Größter gemeinsamer Teiler)
Seien a und b zwei von Null verschiedene ganze Zahlen. Dann heißt eine
natürliche Zahl d ein größter gemeinsamer Teiler (ggT) von a und b, wenn
gilt:
1. d ist gemeinsamer Teiler von a und b, also d | a und d | b.
Ent
w
2. Jeder andere gemeinsame Teiler von a und b teilt d.
(In Symbolen: e | a ∧ e | b ⇒ e | d)
Frage 1.11
1. Gibt es überhaupt eine solche Zahl (a, b)?
2. Wenn ja, ist diese eindeutig bestimmt?
Bemerkung 1.12 Wenn ein größter gemeinsamer Teiler von a und b existiert, dann ist er eindeutig bestimmt.
Denn: Seien d und d′ zwei größte gemeinsame Teiler von a und b. Dann gilt
d | a und d | b. Da d′ ein größter gemeinsamer Teiler von a und b ist, folgt d | d′ .
Auf analoge Weise erhalten wir d′ | d. Da d und d′ natürliche Zahlen sind,
folgt d = d′ .
1.3 Größter gemeinsamer Teiler
5
1.6
Bemerkung 1.13 (Bezeichnung)
Wir bezeichnen den größten gemeinsamen Teiler von a und b mit dem Symbol
(a, b).
Definition 1.14 (Modul)
Eine nichtleere Teilmenge M von Z, die bezüglich Addition und Subtraktion
abgeschlossen ist, heißt ein Modul in Z. Die Menge {0} heißt Nullmodul.
Bemerkung 1.15 Wir merken an:
1. Ein Modul in Z ist also eine Untergruppe der additiven Gruppe (Z, +).
2. Das Element 0 ist in jedem Modul enthalten.
3. Für a, b ∈ Z sind
und insbesondere
Moduln.
{ma + nb : m, n ∈ Z}
{ma : m ∈ Z}
urf
4. Ist M ein Modul und gilt a, b ∈ M , dann folgt ma + nb ∈ M für beliebige
ganze Zahlen m und n.
Proposition 1.16 Zu jedem Modul M 6= {0} existiert eine eindeutig bestimmte Zahl d ∈ N, sodaß
M = {kd : k ∈ Z}.
Beweis. Existenz von d:
Sei d = min{g ∈ N : g ∈ M }. Für ein beliebiges Element n ∈ M gilt dann
nach Satz 1.8 (Division mit Rest): es gibt ganze Zahlen q und r mit
n = qd + r und 0 ≤ r < d.
Ent
w
Da M ein Modul ist, liegt qd und damit auch die Differenz n − qd = r in M .
Wäre r ≥ 1, so stünde dies im Widerspruch zur Minimalität von d (wegen
r < d). Somit ist r = 0. Es folgt M = {kd : k ∈ Z}.
Eindeutigkeit:
Seien d und e zwei natürliche Zahlen mit der Eigenschaft, daß beide den
gleichen Modul M erzeugen, M = {kd : k ∈ Z} = {je : j ∈ Z}. Dann gilt
d = min{g ∈ N : g ∈ M } = min{je : j ∈ N} = e.
2
Korollar 1.17 Zu je zwei ganzen Zahlen a und b, die nicht beide gleich Null
sind, existiert ein größter gemeinsamer Teiler (a, b). Wie wir bereits wissen,
ist (a, b) dann eindeutig bestimmt.
6
1 Teilbarkeit
a = sd
und
1.6
Beweis. Zu M = {ma + nb : m, n ∈ Z} 6= {0} gibt es laut vorangegangener
Proposition eine eindeutig bestimmte natürliche Zahl d, sodaß M = {kd :
k ∈ Z}. Da a und b selbst in M liegen, gibt es ganze Zahlen s und t mit
b = td.
Folglich ist d ein gemeinsamer Teiler von a und b. Sei nun e ∈ N ein weiterer
gemeinsamer Teiler von a und b. Dann gilt e | ma + nb für alle m, n ∈ Z und
daher e | d. Daraus folgt d = (a, b).
2
Bemerkung 1.18 (Zusammenfassung zum ggT)
Für den größten gemeinsamen Teiler (a, b) gilt:
1. Teilt e zwei Zahlen a und b, dann teilt e auch (a, b).
2. Für beliebige m, n ∈ Z gilt: (a, b) | ma + nb.
3. Es gibt m0 , n0 ∈ Z, sodaß (a, b) = m0 a + n0 b.
urf
4. Dividiert man zwei Zahlen a und b durch ihren ggT, so gilt für die daraus
resultierenden Quotienten a∗ := a/(a, b) und b∗ := b/(a, b) die Aussage
(a∗ , b∗ ) = 1.
Definition 1.19 (Relativ prim, teilerfremd)
Zwei Zahlen heißen teilerfremd oder relativ prim, wenn ihr größter gemeinsamer Teiler gleich Eins ist.
Definition 1.20 (Lineare diophantische Gleichung)
Unter einer linearen diophantischen Gleichung in zwei Variablen verstehen
wir eine Gleichung der Form
ax + by = c
mit gegebenen ganzen Zahlen a, b und c.
Ent
w
Proposition 1.21 (Lösbarkeitsbedingung)
Die lineare diophantische Gleichung ax + by = c mit Parametern a, b, c ∈ Z
besitzt genau dann eine ganzzahlige Lösung, wenn die folgende Lösbarkeitsbedingung erfüllt ist:
(a, b) | c.
Beweis. Wenn eine der beiden Zahlen a oder b (oder beide) gleich Null sein
sollte, dann ist die Gleichung uninteressant. Seien daher beide Zahlen a und
b von Null verschieden und sei (x0 , y0 ) eine ganzzahlige Lösung der diophantischen Gleichung. Wegen (a, b) | ax0 + by0 gilt (a, b) | c.
Sei umgekehrt (a, b) | c vorausgesetzt. Es gibt also g ∈ Z mit c = g · (a, b).
Wir wissen, daß sich (a, b) für geeignete m0 , n0 ∈ Z schreiben läßt als
1.3 Größter gemeinsamer Teiler
7
(a, b) = m0 a + n0 b.
1.6
Wir multiplizieren in dieser Gleichung beide Seiten mit g. Damit haben wir
mit (gm0 , gn0 ) eine ganzzahlige Lösung der linearen diophantischen Gleichung gefunden:
c = g · (a, b) = (gm0 ) · a + (gn0 ) · b
2
Wir wissen nun, wann eine lineare diophantische Gleichung lösbar ist. Wie
in der linearen Algebra reicht es aus, eine partikuläre Lösung zu kennen, um
alle Lösungen zu berechnen:
Proposition 1.22 Sei (a, b) = 1 und sei (x0 , y0 ) eine ganzzahlige Lösung
von ax + by = c.
Dann hat jede Lösung dieser Gleichung die Gestalt
urf
(x0 − tb, y0 + ta), mit t ∈ Z.
Beweis. Wir subtrahieren die beiden Gleichungen:
ax0 + by0 = c
⇒ a(x0 − x) = b(y − y0 )
ax + by = c
Da a und b teilerfremd sind, muß a | y − y0 gelten und es gibt ein t ∈ Z mit
y = y0 + ta. Der Teil für die x-Koordinate der Lösung verläuft analog. 2
Bemerkung 1.23 Wie lösen wir eine diophantische Gleichung der Gestalt
ax + by = c ?
(1.1)
Ent
w
Die Schritte sind wie folgt:
1. Wir überprüfen die Lösbarkeitsbedingung (a, b) | c.
2. Wir betrachten die gekürzte Gleichung, in der durch (a, b) dividiert wurde:
a ∗ x + b ∗ y = c∗ ,
(1.2)
wobei a∗ = a/(a, b), b∗ = b/(a, b), c∗ = c/(a, b) und damit (a∗ , b∗ ) = 1.
3. Bemerkung.
Jede Lösung (x, y) dieser Gleichung ist eine Lösung der ursprünglichen
Gleichung (1.1) und umgekehrt.
4. Wenn wir eine Lösung (m0 , n0 ) der Gleichung
a∗ x + b ∗ y = 1
(1.3)
8
1 Teilbarkeit
x = x0 − t · b∗
y = y 0 + t · a∗
Damit ist die Aufgabe gelöst.
1.6
finden können, so erhalten wir durch Multiplikation mit c∗ sofort eine
Lösung (x0 , y0 ) = (m0 c∗ , n0 c∗ ) der gekürzten Gleichung (1.2). Nach Proposition 1.22 können wir damit die Gesamtheit aller Lösungen der Gleichung (1.2) angeben:
(t ∈ R).
Frage 1.24 Wir wissen bereits von der Diskussion des größten gemeinsamen
Teilers her, daß wegen (a∗ , b∗ ) = 1 zwei ganze Zahlen m0 und n0 existieren
mit
a∗ m0 + b∗ n0 = (a∗ , b∗ ) = 1.
Wie finden wir solche Zahlen m0 , n0 ?
Antwort: Mit Hilfes des Euklidischen Algorithmus (siehe Kapitel 1.4).
urf
Definition 1.25 Seien a1 , a2 , . . . , an ganze, von Null verschiedener Zahlen.
Unter dem größten gemeinsamen Teiler von a1 , a2 , . . . , an verstehen wir die
folgende rekursiv definierte natürliche Zahl
(a1 , a2 , . . . , an ) := ((a1 , a2 , . . . , an−1 ), an ).
Wir nennen a1 , a2 , . . . , an relativ prim oder teilerfremd, falls
(a1 , a2 , . . . , an ) = 1.
Bemerkung 1.26 Analog zum Fall des größten gemeinsamen Teilers zweier
ganzer Zahlen kann man zeigen:
Ent
w
1. Es gibt Zahlen m1 , . . . , mn ∈ Z, sodaß sich der größte gemeinsame Teiler
als Linearkombination schreiben läßt:
(a1 , . . . , an ) = m1 a1 + · · · + mn an .
2. Die lineare diophantische Gleichung in n Variablen
a1 x1 + a2 x2 + · · · + an xn = c
ist lösbar genau dann, wenn die Bedingung (a1 , . . . , an ) | c erfüllt ist.
1.4 Euklidischer Algorithmus
9
1.6
1.4 Euklidischer Algorithmus
Die Berechnung des größen gemeinsamen Teilers zweier ganzer Zahlen a und
b sowie seine Darstellung als ganzzahlige Linearkombination war für die Berechnung einer einzelnen Lösung (und damit der Gesamtheit aller Lösungen)
der linearen diophantischen Gleichung wichtig.
Es stellen sich also zwei Fragen:
Frage 1.27
1. Wie finden wir (a, b) (möglichst effizient)?
2. Für welche m0 , n0 gilt die Darstellung (a, b) = m0 a + n0 b?
Die Antwort auf diese beiden Fragen ist mehr als zweitausend Jahre alt und
bis heute, selbst für die Supercomputer der NSA (siehe www.nsa.gov) aktuell.
Satz 1.28 (Euklidischer Algorithmus)
Seien a und b zwei natürliche Zahlen mit a ≥ b. Dann gilt:
urf
1. Die durch den folgenden Algorithmus festgelegten Zahlen qi und ri sind
eindeutig bestimmt.
2. Der Algorithmus bricht nach endlich vielen Schritten ab.
3. Der letzte nicht verschwindende Rest rk ist der größte gemeinsame Teiler
von a und b.
Algorithmus:
r0 = a
0 < r2 < b
b = q3 r2 + r3
r2 = q4 r3 + r4
..
.
0 < r3 < r2
0 < r4 < r3
..
.
Ent
w
r1 = b
a = q2 b + r2
rk−2 = qk rk−1 + rk
rk−1 = qk+1 rk
0 < rk < rk−1
rk+1 = 0
Beweis. Wir wenden die Division mit Rest (siehe Satz 1.8) schrittweise an.
Damit ist die Existenz und Eindeutigkeit der Zahlen qi und ri gezeigt.
Offen ist noch, warum der Euklidische Algorithmus nach endlich vielen
Schritten abbricht. Dies liegt an der Beziehung der Reste ri zueinander. Wir
fügen die Ungleichungen zusammen und sehen, daß gilt:
10
1 Teilbarkeit
1.6
b = r1 > r2 > r3 > · · · > 0.
Es gibt nur endlich viele solcher Zahlen ri zwischen 0 und b. Daher gilt nach
endlich vielen Schritten, daß rk+1 = 0 gelten muß.
Sei rk der letzte nicht verschwindende Rest, das heißt es gilt rk > 0 und
rk+1 = 0. Wir erhalten aus dem Euklidischen Algorithmus schrittweise folgende Teilbarkeitsaussagen:
rk−1 = qk+1 rk ⇒ rk | rk−1
⇒ rk | rk−2
..
.
⇒ rk | b
⇒ rk | a
⇒ rk | (a, b)
urf
Wir schließen nun in der anderen Richtung:
(a, b) | a
⇒ (a, b) | r0
(a, b) | b
⇒ (a, b) | r1
..
.
⇒ (a, b) | rk
Insgesamt folgt rk = (a, b).
2
Ent
w
Bemerkung 1.29 Der Euklidische Algorithmus besitzt viele Anwendungen.
Besonders wichtig ist er zum Beispiel in Zusammenhang mit Faktorisierungsalgorithmen.
Weitere Hinweise:
1. Zur Definition des Euklidischen Algorithmus können wir auch die Division mit absolut kleinstem Rest verwenden. Damit erhöht sich die Effizienz
des Algorithmus.
2. Implementationen und genauere Informationen zur Komplexität des Euklidischen Algorithmus finden sich in Bressoud [3], Forster[10] und in der
Monographie von Bach und Shallit[2].
Beispiel 1.30
1. Finde (6172530,6279) und bestimme m0 , n0 .
1.4 Euklidischer Algorithmus
11
6172530 = 983 · 6279 + 273
1.6
6279 = 23 · 273
273 ist der letzte nicht verschwindende Rest und damit der größte gemeinsame Teiler von 6172530 und 6279. Als Linearkombination ergibt
sich aus obiger Berechnung:
273 = 1 · 6172530 + (−983) · 6279
2. Finde (111,39) und bestimme m0 , n0 .
111 = 2 · 39 + 33
39 = 1 · 33 + 6
33 = 5 · 6 + 3
6 = 2·3
urf
Damit ist (111, 39) = 3. Für die Bestimmung von m0 und n0 scheint eine
etwas länglichere Rückeinsetzung leider unumgänglich:
3 = 33 − 5 · 6 =
= 33 − 5 · (39 − 33) =
= (−5) · 39 + 6 · 33 =
= (−5) · 39 + 6 · (111 − 2 · 39) =
= 6 · 111 + (−17) · 39
Es ist jedoch eine Variante des Euklidischen Algorithmus bekannt, bei der die
Rückeinsetzung entfällt, der sogenannte erweiterte Euklidische Algorithmus.
Satz 1.31 (Erweiterter Euklidischer Algorithmus)
Seien a und b zwei natürliche Zahlen mit a ≥ b. Dann gilt:
Ent
w
1. Die durch den folgenden Algorithmus festgelegten Zahlen qi , ri , mi und
ni sind eindeutig bestimmt.
2. Der Algorithmus bricht nach endlich vielen Schritten ab.
3. Für den letzten nicht verschwindenden Rest rk gilt
rk = (a, b) = mk a + nk b.
Algorithmus:
Die Startwerte des Algorithmus sind wie folgt definiert:
r0 = a
m0 = 1
n0 = 0
r1 = b
m1 = 0
n1 = 1
12
1 Teilbarkeit
Beweis. Es ist nur die Behauptung
1.6
Die weiteren Zahlen qi (k ≥ 2) und ri sind wie in Satz 1.28 definiert. Die
Zahlen mi und ni sind wie folgt definiert:
ri−2 ri = ri−2 − qi ri−1 ,
wobei qi =
ri−1
mi = mi−2 − qi mi−1 ,
ni = ni−2 − qi ni−1 .
rk = mk a + nk b
für den letzten nicht verschwindenden Rest rk zu zeigen.
Wir führen den Nachweis mittels Induktion nach i.
Induktionsanfang
i = 0 r0 = m0 a + n0 b = a.
i = 1 r1 = m1 a + n1 b = b.
urf
Induktionsschritt
Sei die Behauptung für alle j < i richtig. Dann gilt
ri = ri−2 − qi ri−1
= (mi−2 a + ni−2 b) − qi (mi−1 a + ni−1 b)
= (mi−2 − qi mi−1 )a + (ni−2 − qi ni−1 )b
= mi a + ni b.
2
Bemerkung 1.32 Aus dem Euklidischen Algorithmus gewinnen wir eine
wichtige Darstellung der rationalen Zahl a/b:
Ent
w
r2
a
= q2 +
=
b
b
1
= q2 +
=
b/r2
1
= q2 +
=
1
q3 +
r2 /r3
1
= q2 +
1
q3 +
1
q4 +
r3 /r4
1.5 Fundamentalsatz der Zahlentheorie
13
Nach fortgesetzter Anwendung dieses Verfahrens erhalten wir:
1
1.6
a
= q2 +
b
1
q3 +
q4 + . . .
1
qk+1
Diese Darstellung als eine Kette“ von Brüchen heißt eine Kettenbruchent”
wicklung von a/b. Wir werden auf die Bedeutung der Kettenbruchentwicklung für die Approximation reeller Zahlen durch rationale Zahlen in Kapitel
4 näher eingehen.
Wir werden dort folgende Fragen beantworten:
Frage 1.33
1. Für welche reelle Zahlen existiert eine solche Kettenbruchentwicklung?
2. Ist diese Entwicklung im Fall der Existenz auch schon eindeutig bestimmt?
urf
3. Welche Eigenschaften einer rationalen oder reellen Zahl lassen sich aus
der Kettenbruchentwicklung ablesen?
1.5 Fundamentalsatz der Zahlentheorie
Satz 1.34 (Satz von Euklid)
Wenn eine Primzahl das Produkt ab zweier ganzer Zahlen a und b teilt, dann
teilt sie mindestens einen der Faktoren.
Ent
w
Beweis. Sei ab 6= 0 und sei p eine Primzahl mit p | ab und p ∤ a. Dann sind p
und a teilerfremd, (p, a) = 1. Daher existieren ganze Zahlen m0 und n0 , für
die gilt:
1 = m0 p + n0 a.
Durch Multiplikation mit b erhalten wir b = m0 bp + n0 ab. Da p die rechte
Seite dieser Gleichung teilt, muß p auch die linke Seite der Gleichung teilen.
Damit gilt p | b.
2
Bemerkung 1.35 Dieses unscheinbare Resultat von Euklid wird uns von
großem Nutzen sein, wenn wir den Begriff der Primzahl vom Ring Z der ganzen Zahlen auf einen beliebigen Integritätsbereich übertragen wollen. Die
Schlüsselwörter bei dieser Verallgemeinerung von Konzepten wie Teilbarkeit, Primzahl und Primfaktorzerlegung heißen Primelement und irreduzibles
Element (siehe die Vorlesung über Algebraische Strukturen, Skriptum unter
http://random.mat.sbg.ac.at/~peter/students ).
14
1 Teilbarkeit
1.6
Bemerkung 1.36 Sei c ∈ N und (a, b) = d. Dann gilt (ac, bc) = dc.
Beweis. Es gibt ganze Zahlen m0 und n0 mit d = m0 a + n0 b. Wir multiplizieren mit c und erhalten
dc = m0 (ac) + n0 (bc)
Also gilt (ac, bc) | dc. Umgekehrt haben wir dc | ac und dc | bc (wegen d | a und
d | b), folglich gilt dc | (ac, bc).
2
Satz 1.37 (Fundamentalsatz der Zahlentheorie)
Sei n eine natürliche Zahl ungleich Eins. Dann gilt:
1. Es existieren paarweise verschiedene Primzahlen p1 , p2 , . . . , ps und Exponenten α1 , α2 , . . . , αs ∈ N mit der Eigenschaft
n=
s
Y
i
pα
i .
urf
i=1
2. Diese Darstellung ist eindeutig bis auf die Reihenfolge der Faktoren.
Beweis.
Existenz der Darstellung.
Für den Fall n prim gibt es nichts zu zeigen, sei daher n eine zusammengesetzte Zahl. Dann besitzt n einen kleinsten positiven echten Teiler q1 . Dieser
ist prim, denn ein echter Teiler von q1 wäre auch ein echter Teiler von n und
noch dazu kleiner als q1 . Dies wäre ein Widerspruch zur Minimalität von q1 .
Es folgt
n = q1 · n1 ,
Ent
w
mit q1 prim. Falls n1 prim ist, sind wir fertig. Andernfalls existiert ein kleinster positiver echter Teiler q2 von n1 . Die Zahl q2 ist prim, auf Grund desselben Arguments wie für q1 . Es gilt
n = q1 · q2 · n2 .
Wenn wir dieses Verfahren fortsetzen, dann erhalten wir nach k Schritten
n = q1 · q2 · · · · · qk · nk ,
wobei die Zahlen qi prim sind und 1 < nk < nk−1 < · · · < n1 < n gilt. Aus
dieser Kette von Ungleichungen folgt, daß das Verfahren nach höchstens n−2
Schritten beendet ist. Damit gilt:
n = q1 · q2 · · · · · qt ,
1.5 Fundamentalsatz der Zahlentheorie
15
n=
s
Y
1.6
wo die qi zwar prim, aber nicht notwendigerweise verschieden sind. Indem
wir gleiche Faktoren qi zusammenfassen, kommen wir auf die Darstellung
i
pα
i ,
i=1
wobei die pi Primzahlen sind mit pi 6= pj für verschiedene Indizes i und j.
Eindeutigkeit der Darstellung
Wir führen den Nachweis mittels Induktion nach n.
Induktionsanfang
Für n = 2 ist die Behauptung trivialerweise erfüllt.
Induktionsvoraussetzung
Die Behauptung gelte für alle k < n.
Induktionsschritt
Sei n = p1 · p2 · · · · · ps = q1 · q2 · · · · · qr mit Primzahlen pi und qj . Aus
p1 | q1 · · · · · qr folgt mit Hilfe von Satz 1.34 (Satz von Euklid):
urf
p1 | q1 oder p1 | q2 · · · · · qr .
Trifft letzteres zu, so bedeutet dies, daß p1 | q2 oder p1 | q3 · · · · · qr usw. Daher
gilt p1 | qt für irgendein t. Da beides Primzahlen sind, muß p1 = qt sein. Sei
o.B.d.A. t = 1, also p1 = q1 (was durch Umnummerierung der qj leicht zu
erreichen ist). Wir erhalten
p2 · · · · · ps = q2 · · · · · qr < n.
Mithilfe der Induktionsvoraussetzung folgt r = s und bis auf die Reihenfolge
der Faktoren stehen links und rechts dieselben Primzahlen gleich oft.
2
Ent
w
Definition 1.38 (Primfaktorzerlegung)
Sei n eine von Eins verschiedene natürliche Zahl. Die in Satz 1.37 angegebene
Darstellung
s
Y
i
n=
pα
pi prim, αi ∈ N,
i
i=1
heißt die Primfaktorzerlegung von n. Es ist in dieser Darstellung üblich, die
Primzahlen aufsteigend geordnet anzuschreiben, also p1 < p2 < · · · < ps zu
wählen.
Bemerkung 1.39 Für einige Anwendungen des Hauptsatzes der Zahlentheorie ist es praktisch, die folgende Form der Primfaktorzerlegung zu verwenden:
n=
∞
Y
i=1
i
pα
i
16
1 Teilbarkeit
1.6
Dabei sind die Exponenten αi nichtnegative ganze Zahlen und pi bezeichnet
die i-te Primzahl, also p1 = 2, p2 = 3, p3 = 5, usw.
Bemerkung 1.40 (Fundamentalproblem der Arithmetik)
Für große Zahlen n ist es extrem rechenaufwändig, die Primfaktorzerlegung
von n zu finden. “Groß” bedeutet hier ab etwa 150 Dezimalstellen.
Auf genau dieser Schwierigkeit, große natürliche Zahlen zu faktorisieren, beruht die Hypothese der Sicherheit wichtiger kryptographischer Verfahren wie
RSA (siehe Kapitel 3). Literaturempfehlungen zu diesem Thema sind Ertl[8],
Buchmann[4] und Stinson[21]. Die mathematischen Stichwörter zu Faktorisierungsalgorithmen lauten Pollard-Rho, Zahlenkörpersieb und ECM (Elliptic
Curve Method), siehe Bressoud[3], Forster[11] und Riesel[18].
√
Proposition 1.41 Für p prim ist p irrational.
urf
√
√
Beweis. Wir führen einen indirekten Beweis. Sei p rational, p = a/b,
2 2
mit a und b aus N. Es folgt p = a /b und daraus die Gleichung p · b2 = a2 .
Dies ergibt einen Widerspruch zur Eindeutigkeit der Primfaktorzerlegung:
Auf der linken Seite der Gleichung steht eine ungerade Anzahl und auf der
rechten eine gerade Anzahl an Primfaktoren.
2
Definition 1.42 (Quadratfreie Zahlen)
Eine ganze Zahl b heißt quadratfrei, wenn für alle natürlichen Zahlen a 6= 1
gilt, daß a2 kein Teiler von b ist, also a2 ∤ b.
Beispiel 1.43
1. 18 ist nicht quadratfrei, denn 32 | 18.
2. 32 ist nicht quadratfrei, denn 22 | 32.
3. 30 ist quadratfrei, denn 30 = 2 · 3 · 5.
Ent
w
4. 154 ist quadratfrei, denn 154 = 2 · 7 · 11.
Proposition 1.44 Die Quadratwurzel einer quadratfreien Zahl größer als
Eins ist irrational.
Beweis. Analog zu Proposition 1.41.
2
Bemerkung
Für zwei
Zahlen a und b mit PrimfaktorzerlegunQ 1.45
Q ganze
βi
i
gen a = i∈N pα
und
b
=
p
,
wobei αi , βi ≥ 0, ist der größte gemeini
i∈N i
same Teiler (a, b) bestimmt durch
Y min{α ,β }
i
i
(a, b) =
pi
.
i∈N
1.5 Fundamentalsatz der Zahlentheorie
Q
i∈N
min{αi ,βi }
pi
. Dann teilt d sowohl a als auch b und damit
Wegen (a, b) | a und (a, b) | b gilt (a, b) =
aus folgt, daß (a, b) ein Teiler von d ist.
Q
1.6
Beweis. Sei d :=
auch (a, b).
17
i∈N
pγi i mit γi ≤ min{αi , βi }. Dar2
Definition 1.46 Seien a und b natürliche Zahlen. Ein gemeinsames Vielfaches von a und b ist eine ganze Zahl, die sowohl durch a als auch durch b
teilbar ist. Unter dem kleinsten gemeinsamen Vielfachen (kgV) von a und
b verstehen wir die kleinste natürliche Zahl, die ein gemeinsames Vielfaches
von a und b ist.
Wir bezeichnen diese Zahl mit dem Symbol [a, b].
BemerkungQ1.47 Für zwei ganze
a und b mit den PrimfaktorzerleQ Zahlen
βi
i
gungen a = i∈N pα
p
,
wobei
αi , βi ≥ 0, ist die Zahl [a, b]
i und b =
i
i∈N
bestimmt durch
[a, b] =
∞
Y
max{αi ,βi }
pi
.
urf
i=1
Beweis. Trivial: Analog zur entsprechenden Identität für (a, b).
2
Bemerkung 1.48 Für a, b ∈ N gilt die Beziehung
a · b = (a, b) · [a, b].
Beweis. Trivial.
2
Definition 1.49 (Teilersumme)
Für natürliche n ist σ(n) definiert als die Summe der positiven Teiler von n.
Ent
w
Beispiel 1.50
1. σ(4) = 1 + 2 + 4 = 7
2. σ(6) = 1 + 2 + 3 + 6 = 12
3. σ(12) = 1 + 2 + 3 + 4 + 6 + 12 = 28
Bemerkung 1.51 Für die Funktion σ gilt σ(n) = 1 + n genau dann, wenn
n prim ist.
Qs
i
Proposition 1.52 Sei n = i=1 pα
i die Primfaktorzerlegung von n.
1. Es gilt die Identität
σ(n) =
s
Y
pαi +1 − 1
i
i=1
pi − 1
.
18
1 Teilbarkeit
2. Für teilerfremde Zahlen m und n gilt
1.6
σ(mn) = σ(m) · σ(n).
Diese Eigenschaft nennt man die Multiplikativität der Funktion σ, siehe
Kapitel 2.
Beweis. Q
Zur ersten Behauptung:
Qs
s
δi
i
Sei n = i=1 pα
i mit αi ∈ N. Jeder Teiler d von n hat die Form d =
i=1 pi ,
mit δi ∈ {0, 1, . . . , αi }. Die Zuordnung d 7→ (δ1 , δ2 , . . . , δs ) ist bijektiv.
Somit gilt:
σ(n) =
X
d=
δ1 =0 δ2 =0
d|n
=
α1
X
pδ11
δ1 =0
!
·
···
α2
X
δ2 =0
αs
X
pδ11 pδ22 . . . pδss =
δs =0
pδ22
!
·····
αs
X
pδss
δs =0
!
=
1 +1
2 +1
pα
− 1 pα
−1
pαs +1 − 1
1
· 2
····· s
.
p1 − 1
p2 − 1
ps − 1
urf
=
α1 X
α2
X
Die zweite Behauptung folgt direkt aus der ersten.
2
Definition 1.53 (Vollkommene Zahlen)
Eine natürliche Zahl n heißt vollkommen, wenn σ(n) = 2n.
Beispiel 1.54 Die folgenden vollkommenen Zahlen sind jeweils von der Form
2n−1 (2n − 1), wobei 2n − 1 prim ist. Sie waren bereits vor Christi Geburt
bekannt.
6=2·3
28 = 4 · 7
496 = 16 · 31
8128 = 64 · 127
Ent
w
Definition 1.55 (Mersennesche Primzahlen)
Eine Primzahl der Form 2n − 1 heißt eine Mersennesche Primzahl.
Proposition 1.56 Ist 2n −1 eine Mersennesche Primzahl, dann folgt n prim.
Beweis. Wir führen einen indirekten Beweis. Sei n zusammengesetzt, n = k·l.
Dann gilt
l−1
l−2
+ 2k
+ ··· + 1
2n − 1 = 2k − 1 · 2k
Wegen k > 1 gilt 2k − 1 > 1. Damit ist die Zahl 2k − 1 ein echter Teiler von
2n − 1.
2
Proposition 1.57 Ist an − 1 eine Primzahl, dann folgt daraus a = 2 und n
prim.
1.5 Fundamentalsatz der Zahlentheorie
19
1.6
Beweis. Für a > 2 ist an − 1 = (a − 1) · an−1 + an−2 + · · · + 1 , also zusammengesetzt. Es bleibt daher nur der Fall a = 2 zu behandeln. Dies ist aber
in der vorhergehenden Bemerkung geschehen.
2
Es existieren umfangreiche Tabellen von Mersenneschen Primzahlen. Zum
Beispiel ist Mp := 2p − 1 prim für
p = 2, 3, 5, 7, 13, 17, 19, 31, 61, 89, 107, 127, . . .,
19937, . . . , 44497, . . . , 3021377, . . .?
Es ist möglich, sich an der Suche nach Mersenneschen Primzahlen zu beteiligen, siehe die Webseite http://www.utm.edu/research/primes. Auf dieser interessanten Seite finden Sie die aktuellen Resultate zu Mersenneschen
Primzahlen (und vieles mehr).
Frage 1.58 In Zusammenhang mit vollkommenen Zahlen sind einige Fragen
ungelöst.
1. Gibt es unendlich viele gerade vollkommene Zahlen?
urf
2. Gibt es ungerade vollkommene Zahlen?
Die Suche nach geraden vollkommenen Zahlen läßt sich auf die Suche nach
Mersenneschen Primzahlen zurückführen, wie wir gleich zeigen werden.
Das erste Resultat des folgenden Satzes wurde bereits von Euklid erwähnt,
der zweite Teil stammt von Euler.
Satz 1.59 Es gilt
1. Für 2n − 1 prim ist 2n−1 (2n − 1) eine vollkommene Zahl.
2. Jede gerade vollkommene Zahl ist von dieser Form.
Ent
w
Beweis. Sei m := 2n−1 (2n − 1) mit 2n − 1 prim. Dann gilt
σ(m) = σ 2n−1 (2n − 1) = σ 2n−1 · σ (2n − 1) =
2n − 1 n
· 2 = 2 2n−1 (2n − 1) = 2m.
=
2−1
Sei a eine gerade vollkommene
Zahl, d.h. a = 2n−1 ·b mit n ≥ 2 und b ungera
n−1
de. Es ist σ(a) = σ 2
· σ(b) = (2n − 1) · σ(b). Wegen der Vollkommenheit
n−1
gilt σ(a) = 2a = 2 · 2
· b. Wir setzen diese beiden Resultate gleich und
erhalten
2n
b
σ(b) = n
·b = b+ n
.
2 −1
2 −1
Daraus folgt nun, daß b/(2n −1) = 1 sein muß. Aus der Beziehung σ(b) = b+1
folgt, daß b = 2n − 1 eine Primzahl ist.
2
20
1 Teilbarkeit
Ent
w
urf
1.6
Bemerkung 1.60 Nach Satz 1.59 wird die Suche nach geraden vollkommenen Zahlen auf die Suche nach Mersenneschen Primzahlen zurückgeführt. Es
ist nicht bekannt, ob es unendlich viele Mersennesche Primzahlen gibt. Zu
ungeraden vollkommenen Zahlen wissen wir nicht, ob es überhaupt solche
Zahlen gibt, aber falls n eine ungerade und vollkommene Zahl ist, dann muß
n > 10300 gelten. Weiters muß n mindestens acht verschiedene Primfaktoren
besitzen.
1.6 Primzahlen
21
1.6
1.6 Primzahlen
Ein berühmter, mehr als 2000 Jahre alter Satz ist der folgende:
Satz 1.61 (Euklid) Es gibt unendlich viele Primzahlen.
Beweis. Angenommen, wir kennen bereits n Primzahlen p1 , p2 , . . . , pn . Wir
setzen p := p1 · p2 · · · · · pn + 1. Dann ist p entweder eine Primzahl oder besitzt
zumindest einen Primteiler q, 1 < q < p, letzteres nach dem Fundamentalsatz.
Im ersten Fall (d.h. p prim) haben wir zu unseren n Primzahlen eine neue
gefunden, denn p 6= pi für 1 ≤ i ≤ n. Im Fall, dass p zusammengesetzt ist,
gilt für den Primteiler q, dass er nicht in der Liste p1 , p2 , . . . , pn vorkommen
kann, denn sonst gilt
n
Y
q p −
pi = 1.
i=1
urf
Dies ist ein Widerspruch zu q prim. Daher haben wir zu n gegebenen Primzahlen eine neue Primzahl gefunden.
2
Frage 1.62 Wie finden wir Primzahlen (systematisch)?
Proposition 1.63 Ist die natürliche Zahl n zusammengesetzt,
dann gibt es
√
eine Primzahl, die n teilt und kleiner oder gleich n ist.
Beweis. Sei n zusammengesetzt. Dann gibt es natürliche Zahlen a und b mit
√
n = a·b. Wie
√ sich (mittels indirektem Beweis) leicht zeigen läßt, muß a ≤ n
oder b ≤ n gelten.
2
Bemerkung 1.64 (Sieb des Eratosthenes)
Sei eine positive reelle Zahl x gegeben. Wir finden alle Primzahlen kleiner
oder gleich x mittels der folgenden Siebmethode:
Ent
w
1. Wir schreiben nacheinander alle natürlichen Zahlen kleiner oder gleich x
an, beginnend mit 2.
2. Wir streichen
der Reihe nach die Vielfachen jeder Zahl, die kleiner oder
√
gleich x ist und noch nicht selbst gestrichen wurde. Die erste solche Zahl
ist 2, gefolgt von 3, dann 5 (weil 4 als Vielfaches von 2 schon gestrichen
wurde) usw.
3. Die verbleibenden, nicht gestrichenen Zahlen sind genau die Primzahlen
kleiner oder gleich x.
√
Beispiel 1.65 Für x = 300 ist x = 17, 32 . . . , also streichen wir alle Vielfachen der Zahlen 2, 3, 5, 7, 11, 13, 17.
n
Proposition 1.66 Sei pn die n-te Primzahl, dann ist pn ≤ 22 .
22
1 Teilbarkeit
Beweis. Wir definieren Q := p1 · · · · · pn + 1. Dann gilt
1 ≤ i ≤ n.
1.6
pi < Q und pi ∤ Q,
Es folgt daraus, daß die nächste Primzahl pn+1 ≤ Q ist. Denn falls Q prim ist,
gilt klarerweise pn+1 ≤ Q. Andernfalls ist Q zusammengesetzt, also existiert
eine Primzahl q mit q | Q. Wegen pi ∤ Q kann q nicht unter den ersten n
Primzahlen sein. Daher gilt pn+1 ≤ q < Q.
n+1
Mittels vollständiger Induktion zeigen wir dann Q ≤ 22
.
2
Im folgenden diskutieren wir einige Eigenschaften der Primzahlen, die ihre Unregelmäßigkeiten aufzeigen. Als Erstes suchen wir eine möglichst einfache Formel, um die Menge der Primzahlen zu erzeugen. Können wir die
Primzahlen als Werte eines Polynoms darstellen? Wir betrachten dazu einige
Beispiele.
Beispiel 1.67
1. p(x) := x2 + x + 17
urf
Der Wert von p(x) ist für die ersten sechzehn nichtnegativen ganzen Zahlen x = 0, 1, 2, . . . , 15 stets eine Primzahl.
p(0) = 17
p(1) = 19
..
.
p(15) = 257
2. p(x) := x2 + x + 41
Ent
w
Hier ist der Wert von p(x) sogar für die ersten vierzig nichtnegativen
ganzen Zahlen x = 0, 1, 2, . . . , 39 jeweils eine Primzahl.
Die Suche nach einem Polynom in einer Variablen, das alle Primzahlen erzeugt, bleibt aber hoffnungslos:
Bemerkung 1.68 Sei p(x) ein Polynom mit ganzzahligen Koeffizienten und
sei p(k) prim für alle nichtnegativen ganzen Zahlen k. Dann ist p(x) ein
konstantes Polynom mit p(x) = q für alle x, wo q eine feste Primzahl ist.
Beweis. Sei k ≥ 0 fest gewählt. Dann gilt für alle ganzen Zahlen t ≥ 0
p(k) | p(k + tp(k)) − p(k).
Es folgt p(k) | p(k+tp(k)). Da beide Zahlen Primzahlen sind, müssen sie gleich
sein, es gilt also
1.6 Primzahlen
p(k) = p(k + tp(k)),
23
∀ t ∈ Z, t ≥ 0.
2
1.6
Damit ist p(x) aber ein konstantes Polynom.
Bemerkung 1.69 Wie der russische Mathematiker V. Matijasewitsch (englische Schreibweise: Matiyasevich) 1970 gezeigt hat, gibt es Polynome in mehreren Variablen mit der folgenden Eigenschaft: Setzen wir für die Variablen
beliebige nichtnegative ganze Zahlen ein und ergibt sich dafür ein positiver
Wert des Polynoms, so ist dieser Wert prim! Erstaunlicherweise gilt sogar,
daß wir auf diese Weise alle Primzahlen erhalten können.
n
Definition 1.70 Eine Primzahl der Form 22 +1 heißt Fermatsche Primzahl.
Es ist unbekannt, ob es unendlich viele Fermatsche Primzahlen gibt. Ob ein
regelmäßiges n-Eck mit Zirkel und Lineal konstruiert werden kann, hängt eng
mit Fermatschen Primzahlen zusammen:
urf
Satz 1.71 (Gauß)
Sei n > 2 eine natürliche Zahl. Das regelmäßige n-Eck ist genau dann mit
Zirkel und Lineal konstruierbar, wenn gilt:
n = 2 m · p1 · p2 · · · · · pr
wo m ≥ 0 eine ganze Zahl und p1 , p2 , . . . , pr paarweise verschiedene Fermatsche Primzahlen sind.
Beweis. Siehe zum Beispiel das Lehrbuch von Fischer und Sacher[9, Kap.
III].
2
Bemerkung 1.72 Zu jeder natürlichen Zahl n ≥ 3 gibt es eine Primzahl p
mit n < p < n!.
Ent
w
Beweis. Setze N := n!−1. Sei p prim mit p | N , dann ist p < n!. Angenommen,
es gilt p ≤ n, so ist p ein Teiler von n! und damit auch ein Teiler der Differenz
n! − N = 1. Dies ist ein Widerspruch.
2
Korollar 1.73 Es gibt unendlich viele Primzahlen.
Eine wesentliche Verschärfung von Bemerkung 1.72 gibt der folgende Satz:
Satz 1.74 (Bertrandsches Postulat)
Zu jeder natürlichen Zahl n ≥ 3 gibt es eine Primzahl p mit n < p < 2n.
24
1 Teilbarkeit
1.6
Beweis. Das Bertrandsche Postulat wurde von Tschebyscheff bewiesen. Wir
verweisen auf entsprechende Literatur, etwa Hua[14, Ch. 5.7] oder Hardy and
Wright[12, Ch. 22.3].
2
Die Lücken zwischen aufeinanderfolgenden Primzahlen können beliebig groß
werden:
Bemerkung 1.75 Sei n ≥ 2 eine natürliche Zahl. Keine der n − 1 aufeinanderfolgenden Zahlen n! + 2, n! + 3, . . . , n! + n ist prim.
Beweis. Jedes k mit 2 ≤ k ≤ n ist ein Teiler von n! + k.
2
Bemerkung 1.76 Wir können Primzahlen zwar nicht als die Werte eines
Polynoms in einer Variablen darstellen (siehe Bemerkung 1.68), aber nach
Mills (1947)1 gilt:
urf
Es existiert eine reelle Zahl α > 1, sodaß für alle natürlichen Zahlen n gilt:
h ni
α3
ist prim.
Der folgende Satz von Euler markiert den Beginn eines bedeutenden Teilbereichs der Zahlentheorie, der sogenannten analytischen Zahlentheorie. In
diesem Gebiet studiert man zahlentheoretische Fragen mit Methoden der
Analysis (siehe dazu die Monographie von Apostol[1]).
Satz 1.77 (Euler, 1737)
Für jede reelle Zahl x ≥ 2 gilt:
X1
> log log x − 1.
p
p≤x
p≤x
die Summation über alle Primzahlen p ≤ x.
Ent
w
Es bezeichnet dabei
P
Beweis. Sei x ≥ 2 eine reelle Zahl.
1
=
1 − 1/p
p≤x
X
Y
′1
1
1
=
1 + + 2 + ... =
p p
n
n
P (x) :=
Y
p≤x
P
wobei ′n die Summe
Q über alle n ∈ N, deren Primfaktoren p alle kleiner oder
gleich x sind, und p≤x das Produkt über alle Primzahlen p ≤ x bezeichnet.
1
W.H. Mills, Bull. AMS 53 (1947)
1.6 Primzahlen
>
X 1
=
n
n≤[x]
X Z
n≤[x]
n+1
n
n
n≤[x]
dt
=
t
n+1
25
dt
>
n
1.6
P (x) ≥
X Z
Z
[x]+1
1
dt
=
t
= log ([x] + 1) > log x.
Also ist P (x) > log x. Weiters gilt:
log P (x) =
X
p≤x
1
1
log 1 + + 2 + . . .
p p
Mit log(1 + t) < t für alle t > 0 folgt:
X
X 1
1
1 X
1
log P (x) <
+ 2 + ... =
+
p p
p
p(p − 1)
p≤x
p≤x
p≤x
p≤x
urf
Wir schätzen den zweiten Summanden nach oben ab:
∞
∞ X
X
X
1
1
1
1
<
=
−
=1
p(p − 1) n=1 (n + 1)n n=1 n n + 1
Daraus folgt letztendlich die Behauptung:
X1
> log P (x) − 1 > log log x − 1
p
p≤x
2
Korollar 1.78 Es gibt unendlich viele Primzahlen.
Ent
w
Bemerkung 1.79 (Exkurs: Landau-Symbole)
Die Landau-Symbole o (“Klein-O”), O (“Groß-O”) und das Symbol ∼ dienen
dazu, das Wachstum von Funktionen zu vergleichen.
Definition 1.80 (Landau-Symbole; asymptotisch gleich)
Sei f : R → R. Die Funktion f heißt beschränkt, wenn eine positive Konstante
C existiert mit
|f (x)| ≤ C ∀ x.
Seien f, g : R → R.
Wir schreiben f (x) = O(g(x)) (x → ∞), wenn eine positive Konstante C
und eine Schranke x0 existieren so, dass
|f (x)| ≤ C |g(x)|
∀ x ≥ x0 .
26
1 Teilbarkeit
Man sagt “f(x) ist ein Groß-O von g(x)”.
lim
x→∞
f (x)
= 0.
g(x)
Man sagt “f(x) ist ein Klein-O von g(x)”.
Wir schreiben f (x) ∼ g(x) (x → ∞), wenn
lim
x→∞
1.6
Wir schreiben f (x) = o(g(x)) (x → ∞), wenn
f (x)
= 1.
g(x)
Man sagt “f(x) ist asymptotisch gleich g(x)”.
Bemerkung 1.81 Es sind auch folgende Bezeichnungen üblich:
f (x) ∈ O(g(x)),
f ∈ O(g),
f = O(g),
analog für das Symbol Klein-O.
urf
Die Bezeichnung O(g) steht für eine Klasse von Funktionen. Daher bedeutet
die Aussage f = O(g), dass die Funktion f in der Klasse jener Funktionen
liegt, die nicht rascher als die Funktion Cg wachsen, C eine beliebige positive
Konstante.
Bemerkung 1.82 Man kann elementar zeigen:
X1
1
= log log x + C + O
.
p
log x
p≤x
mit einer Konstanten C (siehe Apostol[1, Th. 4.12], Hardy and Wright[12,
Par. 22.20] oder Hlawka et al. [13, Kap. 5, Th. 2]).
Ent
w
Frage 1.83 Wir bezeichnen die Anzahl der Primzahlen kleiner oder gleich
x mit π(x),
X
π(x) :=
1.
(1.4)
p≤x
Wie wir bereits wissen, gilt
lim π(x) = ∞.
x→∞
Wie schnell wächst diese Funktion? Als Lektüre zu dieser Frage möchte ich
hier Don Zagier[22] und Ribenboim[17] empfehlen.
Wir betrachten nun einige numerische Ergebnisse zum Wachstum von π(x),
siehe Tabelle 1.1.
1.6 Primzahlen
π(10x )
1
4
2
25
3
168
4
1229
5
9592
6
78498
7
664579
8
5761455
9
50847534
10 455052511
11 4118054813
12 37607912018
10x
π(10x )
2.5
4.0
6.0
8.1
10.4
12.7
15.0
17.4
19.7
22.0
24.3
26.6
x
π(10x )
1
4
2
25
3
168
4
1229
5
9592
6
78498
7
664579
8
5761455
9
50847534
10 455052511
11 4118054813
12 37607912018
10x / log 10x
π(10x )
1.09
0.87
0.86
0.88
0.91
0.92
0.93
0.94
0.95
0.95
0.96
0.96
1.6
x
27
Tabelle 1.1. Zum Wachstum von π(x).
urf
Bemerkung 1.84 Auf der Grundlage von Tabellen ähnlich Tabelle 1.1 vermutete Legendre um 1808
π(x)
= 1,
x→∞ x/(log x − B)
lim
wobei B eine Konstante ist. Der Wert für B lag seiner Schätzung nach bei
etwa 1.08366. Gauß postulierte
lim
x→∞
π(x)
= 1.
li x
Ent
w
In diesem Zusammenhang bezeichnet li x den sogenannten Logarithmus In”
tegralis“:
Z x
dt
dt.
li x :=
2 log t
Es besteht folgende Beziehung:
lim
x→∞
x
log x−B
li x
= 1.
Bemerkung 1.85 Der Logarithmus Integralis läßt sich etwas allgemeiner
definieren, mit Hilfe des sogenannten Cauchyschen Hauptwertes:
Z 1−ε
Z x
dt
dt
li0 x := lim
+
ε→0
log t
0
1+ε log t
Wir könnten an Stelle von li x im Folgenden stets die Funktion li0 (x) verwenden, dies macht keinen Unterschied bei unseren Aussagen.
28
1 Teilbarkeit
1.6
Es ist inzwischen bekannt, dass der optimale Wert für B Eins beträgt (de
la Vallée-Poussin) und dass die Funktion li x eine bessere Approximation für
π(x) liefert als x/(log x − 1).
Der nächste Satz ist eines der berühmtesten Ergebnisse der Zahlentheorie.
Satz 1.86 (Primzahlsatz; Hadamard und de la Vallée-Poussin 1896)
Es gilt
π(x)
lim x = 1.
x→∞
log x
(1.5)
Beweis. Hadamard und de la Vallée-Poussin zeigten im Jahr 1896 unabhängig
voneinander die Aussage
√
π(x) = li(x) + O xe−C log x ,
wobei C eine positive Konstante ist.
2
urf
Bemerkung 1.87 Der russische Mathematiker Tschebyscheff zeigte schon
1848: wenn obiger Limes existiert, dann hat er notwendigerweise den Wert
1. Das Problem war also, die Existenz des Grenzwertes zu beweisen. Der
Beweis des Primzahlsatzes von Hadamard und de la Vallée-Poussin sowie
alle modernen Varianten in den Lehrbüchern beruhen auf funktionentheoretischen Hilfsmitteln, die Riemann 1859 bei seinen Untersuchungen über die
Zetafunktion entwickelt hat:
ζ(s) =
∞
X
1
ns
n=1
(s ∈ C, Re s > 1).
Wir können den Beweis hier nicht führen und verweisen auf die Literatur: Korevaar (1982)2 , Hlawka et al. [13], Brüdern, J: Einführung in die analytische
Zahlentheorie. Springer-Verlag 1995 und Bundschuh[5].
Ent
w
Die Funktion ζ(s) läßt sich auf ganz C definieren, mit Hilfe einer Funktionalgleichung, in der die Eulersche Gammafunktion auftritt (siehe zum Beispiel
Apostol[1] oder Kramer(2002)3) In diesem Zusammenhang möchte ich auf die
berühmte Riemannsche Vermutung hinweisen, die besagt, dass sich abgesehen
von den “trivialen” Nullstellen s = −2, −4, −6, . . . von ζ(s) sämtliche weitere
Nullstellen auf der sogenannten kritischen Geraden {s ∈ C : Re s = 1/2}
befinden. Diese Vermutung ist bis heute ungelöst.
Bemerkung 1.88 Im Jahr 1949 gaben Selberg und Erdös unabhängig voneinander einen Beweis des Primzahlsatzes an, der ohne Funktionentheorie
2
3
Korevaar, J. : On Newman’s quick way to the Prime Number Theorem. Mathematical Intelligence 4 (1982), 108-115
Kramer, J.: Die Riemannsche Vermutung. Elem. Math. 57(2002), 90–95.
1.6 Primzahlen
29
1.6
auskommt. Diese elementaren“ Beweise des Primzahlsatzes sind wesentlich
”
schwieriger als funktionentheoretische Beweise, obwohl sie elementare Beweise des Primzahlsatzes genannt werden.
Satz 1.89 (Tschebyscheff, ca. 1850)
Es gibt positive Konstante C und D, sodaß für hinreichend große n gilt:
C·
n
n
< π(n) < D ·
.
log n
log n
Beweis. (Nach Tschebyscheff) Wir definieren die Hilfsfunktion θ(x) als die
Summe der Logarithmen aller Primzahlen kleiner oder gleich x,
X
θ(x) :=
log p.
p≤x
Sei n eine natürliche Zahl. Dann gilt:
X
θ(n) =
log p ≥
Es folgt
X
log p.
n2/3 <p≤n
urf
p≤n
X
n2/3 <p≤n
log p > log n2/3 · π(n) − π n2/3
≥
Insgesamt haben wir erhalten:
θ(n) >
2
log n · π(n) − n2/3 .
3
2
2
log n · π(n) − log n · n2/3 .
3
3
Ent
w
Daraus läßt sich eine obere Schranke für π(n) · log n/n angeben:
π(n) ·
log n
3 θ(n) log n
< ·
+ 1/3 .
n
2
n
n
Wir werden nun θ(n)/n nach oben abschätzen. Dazu verwenden wir den
folgenden Trick, der sich aus den Rechenregeln für den Logarithmus ergibt:
Y
θ(2n) − θ(n) = log
p
n<p≤2n
Für n < p ≤ 2n ist p ein Primteiler des Binomialkoeffizienten 2n
. In der
n
2n
Primfaktorzerlegung von n kommt also jede dieser Primzahlen vor. Wir
folgern:
1 Teilbarkeit
Y
p≤
n<p≤2n
X
2n 2n
2n
<
= 22n .
n
k
k=0
1.6
30
Wir logarithmieren beide Seiten und erhalten
θ(2n) − θ(n) < 2 log 2 · n.
Daraus leiten wir ab:
θ 2k+1
=
k
X
i=0
θ 2i+1 − θ 2i <
< 2 log 2 · 1 + 2 + · · · + 2k < 4 log 2 · 2k .
Zu jedem n gibt es eine eindeutig bestimmte Zahl k mit 2k < n ≤ 2k+1 .
Daraus folgt
θ(n) ≤ θ 2k+1 < 4 log 2 · n
urf
Wie gut ist unsere Abschätzung? Rosser und Schönfeld zeigten 1975, daß für
alle x > 0 die folgende Ungleichung gilt:
θ(x) < 1.001102 x.
Beachte im Vergleich, daß 4 log 2 ≈ 2.77 ist.
Wir setzen nun die obere Schranke für θ(n) in die Abschätzung von π(n) ·
log n/n ein und erhalten:
π(n) ·
log n
log n
< 6 log 2 + 1/3 .
n
n
Ent
w
Wie groß wird der Ausdruck log n/n1/3 maximal? Dazu betrachten wir die
folgende Funktion f auf dem Intervall [1, ∞) und analysieren ihre Ableitung:
log x
x1/3
1
1
f ′ (x) = − · x−4/3 · log x + x−1/3 ·
3
x
−4/3 3 − log x
=x
·
3
f (x) =
Die erste Ableitung ist genau dann Null, wenn x = e3 . Für x < e3 ist sie
positiv und für x > e3 negativ. Also hat f (x) an der x = e3 das Maximum
mit zugehörigem Funktionswert f (e3 ) = 3/e. Somit gilt:
π(n) ·
log n
3
< 6 log 2 + ≈ 5, 2625.
n
e
1.6 Primzahlen
31
1.6
Die Abschätzung nach unten.
Dazu stellen wir uns eine Frage zur Primfaktorzerlegung von n!: Wie oft tritt
eine Primzahl p in der Primfaktorzerlegung von n! auf?
n
#{k, 1 ≤ k ≤ n : p | k} =
p
n
#{k, 1 ≤ k ≤ n : p2 | k} =
p2
..
.
Wir setzen Aj := {k, 1 ≤ k ≤ n : pj | k}. Dann gilt folgende Eigenschaft
dieser Mengen:
A1 ⊇ A2 ⊇ A3 ⊇ . . .
urf
Mit welchem Exponenten kommt p in n! vor? Die Elemente der Mengen Ai
liefern dazu jeweils ihren Beitrag: A1 trägt [ np ] bei, A2 trägt [ pn2 ] bei, A3 fügt
[ pn3 ] hinzu, und so weiter. Der Exponent von p in n! muß daher lauten:
∞ X
n
n
n
n
+ 2 + 3 + ··· =
p
p
p
pi
i=1
Somit läßt sich mit αp :=
anschreiben:
P∞ n i=1 pi
n! =
die Primfaktorzerlegung von n! wie folgt
Y
pαp .
p≤n
Ent
w
Wie sich leicht zeigen läßt, gilt für jede natürliche Zahl n:
2n
n
.
2 ≤
n
Wir logarithmieren beide Seiten:
n log 2 ≤ log(2n)! − 2 log n!.
Nun schreiben wir statt n! und (2n)! ihre Primfaktorzerlegungen an und verwenden anschließend die Rechenregeln für den Logarithmus, um das Ergebnis
zu vereinfachen.
1 Teilbarkeit
log
Y
p
P∞
2n
i=1 [ pi ]
p≤2n
=
X
p≤2n
log p ·
=
X
− 2 log
∞ X
2n
i=1
p≤2n
pi
log p ·
−2
i=1
p
P∞
n
i=1 [ pi
]
=
p≤n
X
p≤n
2n
[ log
log p ] X
Y
1.6
32
log p ·
∞ X
n
i=1
pi
=
2n
n
−2 i
pi
p
Eine grundlegende Eigenschaft der Gaußklammer ist [x] ≤ x < [x]+1, woraus
sofort 2[x] ≤ 2x < 2[x] + 2 folgt. Da 2x echt kleiner als die ganze Zahl
2[x] + 2 ist, kann deren ganzzahliger Anteil höchstens 2[x] + 1 betragen, d.h.
es gilt 2[x] ≤ [2x] ≤ 2[x] + 1. Demnach kann [2x] − 2[x] nur Werte aus {0, 1}
annehmen, womit wir schreiben können:
X
log 2n
n log 2 ≤
log p ·
≤ π(2n) · log 2n
log p
p≤2n
urf
Für gerade Argumente können wir π folglich√schon nach unten abschätzen,
nämlich mittels der Ungleichung π(2n) ≥ log 2 · 2n/ log 2n. Den ungeraden
Fall können wir leicht auf den geraden zurückführen:
2n
>
log 2n
2n
1
2n + 1
> 0.25 ·
≥ ·
log 2n
6 log(2n + 1)
π(2n + 1) ≥ π(2n) ≥ 0.3466 ·
Also haben wir für n ≥ 2 die beiden Ungleichungen:
1
2n
·
4 log 2n
1
2n + 1
π(2n + 1) > ·
6 log(2n + 1)
π(2n) >
Ent
w
In jedem Fall (ob gerades oder ungerades Argument) gilt:
π(n) >
n
1
·
6 log n
Damit haben wir gezeigt, daß für hinreichend große natürliche Zahlen n die
Ungleichung 1/6 < π(n) · log n/n < 6 log 2 + 3/e gilt.
2
Bemerkung 1.90 In diesem Zusammenhang ist auch das folgende Resultat
von Felgner(1990)4 interessant:
0.91 · n log n < pn < 1.7 · n log n.
4
Felgner: Estimates for the sequence of primes. Elemente Math. 46 (1990), 17-25.
1.6 Primzahlen
33
2n
1.6
Bemerkung 1.91 Mittels genauerer Abschätzung von n könnten wir unsere Abschätzung von π(2n) noch etwas verbessern. Ein möglicher Startpunkt
dazu wäre der folgende (siehe Hua[14, Theorem 71, p.82]):
1
2n
1
2n
·2 <
< · 22n .
2n
n
n
Wir führen nun einige berühmte Fragen und Ergebnisse zu Primzahlen an.
Bemerkung 1.92 (Primzahlen in arithmetischen Progressionen)
Eine arithmetische Progression ist definiert als
w(a, b) := (a + bk)∞
k=1
Notwendig dafür, daß in der Folge w(a, b) überhaupt Primzahlen auftreten,
ist offensichtlich
(a, b) = 1.
urf
Man kann recht einfach zeigen, daß es unendlich viele Primzahlen der Form
4k + 3, 6k + 5, usw. gibt. Der Beweis verläuft ähnlich dem von Satz 1.61.
Schwieriger ist es, diese Aussage für Primzahlen der Form 4k + 1, 6k + 1, usw.
zu zeigen. Ein berühmter Satz von Dirichlet besagt, daß es zu teilerfremden
Zahlen a und b unendlich viele Primzahlen der Form a + kb gibt (k ∈ Z).
Sei (a, b) = 1 und sei
π(x; a, b) = ♯{p prim : ∃k : p = a + kb und p ≤ x}.
(1.6)
Dann gilt die Beziehung
π(x; a, b) ∼
π(x)
,
ϕ(x)
Ent
w
wobei ϕ die Eulersche Phi-Funktion bezeichnet.
(Zur Eulerschen Phi-Funktion siehe Kapitel 2, zum Resultat von Dirichlet
siehe zum Beispiel Apostol[1])
Bemerkung 1.93 (Primzahlzwillinge)
Ein Paar (p, p+2), wo p und p+2 Primzahlen sind, heißt ein Primzahlzwilling.
Beispiele dafür sind (3, 5), (5, 7), (11, 13), usw.
Sei
π2 (x) = ♯{p ≤ x : p und p + 2 prim}.
Dann ist bekannt (V. Brun, 1919):
π2 (x) = O
Es läßt sich zeigen:
x
(log x)2
.
34
1 Teilbarkeit
Satz 1.94 Sei P2 = {p : p und p + 2 prim }. Dann gilt
p∈P2
1.6
X 1
1
) < ∞.
( +
p p+2
(siehe dazu zum Bespiel Indlekofer[15, Kapitel 30.III])
Eine der berühmtesten offenen Fragen der Zahlentheorie (und der gesamten
modernen Mathematik) lautet: Gibt es unendlich viele Primzahlzwillinge?
Bemerkung 1.95 (Goldbachsche Vermutung)
Jede gerade Zahl größer gleich Sechs ist Summe zweier Primzahlen.
6=3+3
8=3+5
10 = 5 + 5
12 = 5 + 7
14 = 7 + 7
...
urf
Der chinesische Mathematiker Chen zeigte 1974, daß jede genügend große
gerade Zahl als Summe zweier Zahlen darstellbar ist, wobei die erste Zahl
prim ist und die zweite höchstens zwei Primfaktoren besitzt.
Ent
w
Weitere Fragen und Resultate zu Primzahlen finden Sie in den ausgezeichneten Büchern Crandall und Pomerance [6] und Ribenboim [17].
2.1 Das größte Ganze
1.6
2 Zahlentheoretische Funktionen
Diese Funktion (in Schulbüchern auch Gaußklammer genannt) kennen wir
bereits von Kapitel 1. Es gilt, wie man leicht nachrechnet:
[x + y] ≥ [x] + [y]
∀ x ∈ R, ∀ m ∈ Z
∀ x ∈ R, ∀ m ∈ N.
urf
[x + m] = [x] + m
h x i [x] =
m
m
∀ x, y ∈ R
Definition 2.1 (Bruchteil)
Für x ∈ R bezeichne {x} = x − [x] der Bruchteil von x.
Die folgende Proposition ist uns bereits vom Kapitel über Primzahlen bekannt (siehe Beweis von Satz 1.89).
Ent
w
Proposition 2.2 Sei n ∈ N, sei p prim, und sei λ := max{i ∈ Z, i ≥ 0 :
pi | n!}. Dann gilt:
∞ X
n
λ=
pi
i=1
n
λ≤
p−1
Satz 2.3 Sei n ∈ N, k ∈ Z, 0 ≤ k ≤ n. Dann gilt
n
∈ Z.
k
n!
Beweis. Wir gehen von der Darstellung nk = k! (n−k)!
aus und verwenden
die vorhergehende Proposition. Für jede Primzahl p gilt:
n
k
n−k
≥
+
pi
pi
pi
2
36
2 Zahlentheoretische Funktionen
2.2 Multiplikative Funktionen
1.6
Korollar 2.4 Sei n ∈ N, sei ki ∈ Z, ki ≥ 0, 1 ≤ i ≤ τ , und sei k1 + . . . + kτ =
n. Dann gilt
n!
∈ Z.
k1 ! . . . kτ !
Definition 2.5 (Zahlentheoretische Funktion, Multiplikativität)
Unter einer zahlentheoretischen Funktion verstehen wir eine Funktion
f : N → C.
Eine zahlentheoretische Funktion f heißt multiplikativ, wenn gilt:
f (m · n) = f (m) · f (n)
∀ m, n : (m, n) = 1.
Eine zahlentheoretische Funktion f heißt vollständig multiplikativ, wenn gilt:
∀ m, n ∈ N.
urf
f (m · n) = f (m) · f (n)
Bemerkung 2.6 Die Multiplikativität einer zahlentheoretischen Funktionen erlaubt es, den Fundamentalsatz der Zahlentheorie zu verwenden und
zahlreiche Untersuchungen nicht für beliebige ganze Zahlen, sondern nur für
Primzahlpotenzen durchzuführen zu müssen. Beispiele zu dieser Art der Beweisführung werden wir in Kürze kennen lernen.
Definition 2.7 (Summenfunktion)
Unter der Summenfunktion Sf zu einer zahlentheoretischen Funktion f verstehen wir die Funktion
X
f (d).
Sf (n) =
d|n
Ent
w
Proposition 2.8 f multiplikativ ⇒ Sf multiplikativ
Beweis. Sei (m, n) = 1. Dann gilt
d | m · n ⇒ ∃ d1 , d2 : · d = d1 · d2
· d1 | m, d2 | n
· d1 und d2 eindeutig
Beweis der Existenz von d1 und d2 :
d
Sei d1 := (d, m), d2 := d1
. Dann gilt d1 | m, d2 | n:
d = d1 · d2 | m · n ⇒ d2 |
Wegen
m
·n
d1
2.3 Die Möbiussche µ-Funktion
m
, d2
d1
=
m d
,
d1 d1
folgt d2 | n.
37
=1
1.6
Zur Eindeutigkeit:
Sei d = d1 ·d2 = d′1 ·d′2 mit d1 , d′1 | m und d2 , d′2 | n. Dann gilt wegen (m, n) = 1
d′i | di , di | d′i und daher di = d′i , i = 1, 2.
Mit Hilfe dieser Darstellung des Teilers d von m · n erhalten wir
X
Sf (m · n)
=
f (d)
d | m·n
=
X X
d1 | m d2 | n
f multipl.
=
X X
d1 | m d2 | n
=
f (d1 · d2 )
f (d1 ) · f (d2 )
Sf (m) · Sf (n).
urf
2
Definition 2.9 (Teileranzahl, Teilersumme)
Unter der Teileranzahl verstehen wir die zahlentheoretische Funktion
X
1,
τ (n) =
d|n
unter der Teilersumme die Funktion
σ(n) =
X
d.
d|n
Ent
w
Korollar 2.10 Die Funktionen τ und σ sind multiplikativ. Dies ist leicht einzusehen, da τ die Summenfunktion zur Funktion f (n) = 1, n ∈ N, und σ die
Summenfunktion zur Funktion g(n) = n, n ∈ N, ist. Beide Funktionen sind
multiplikativ. Nach Proposition 2.8 gilt dies auch für die Summenfunktionen,
also für τ und σ.
2.3 Die Möbiussche µ-Funktion
Definition 2.11 (Möbiussche µ-Funktion)
Unter der Möbiusschen µ-Funktion verstehen wir die folgende zahlentheoretische Funktion:
µ(1) := 1
2 Zahlentheoretische Funktionen
Für n > 1, n =
r
Q
i=1
i
pα
i , αi ∈ N, definieren wir
µ(n) :=
(
(−1)r
0
1.6
38
falls α1 = . . . = αr = 1
sonst.
Bemerkung 2.12 Es gilt:
1. µ : N → {−1, 0, 1}
2. µ(n) = 0 ⇔ n hat einen quadratischen Faktor größer als 1
3. Eine kleine Tabelle:
n
µ(n)
1
1
2
−1
3
−1
4
0
5
−1
Proposition 2.13 Es gilt
Beweis.
1. Trivial
7
−1
8
0
9
0
urf
1. µ ist multiplikativ
(
1 n=1
2. Sµ (n) =
0 sonst
6
1
10
1
2. Wegen der Multiplikativität können wir uns auf Primzahlpotenzen beschränken.
X
p prim ⇒ Sµ (p) =
µ(d) = µ(1) + µ(p) = 1 + (−1) = 0
d|p
p prim, α ∈ N ⇒ Sµ (pα ) = µ(1) + µ(p) + µ(p2 ) + µ(p3 ) + . . . = 0
| {z } | {z }
Ent
w
=0
=0
Korollar 2.14 Es gilt für alle n ∈ N:
X
d|n
(
1
1
µ(d) = Sµ (n) =
=
n
0
n=1
sonst
Satz 2.15 (Möbiussche Umkehrformel)
Sei f eine zahlentheoretische Funktion. Dann gilt:
1. Die Funktion f besitzt die folgende Darstellung:
X
n
f (n) =
µ(d) Sf ( ) ∀ n ∈ N.
d
d|n
2
2.3 Die Möbiussche µ-Funktion
d|n
dann folgt g = Sf .
1.6
2. Diese Darstellung ist eindeutig. Wenn gilt:
X
n
f (n) =
µ(d) g( ) ∀ n ∈ N,
d
Beweis. Zur ersten Behauptung:
n X
X
X
=
µ(d)
f (e)
µ(d) Sf
d
d|n
e | (n/d)
d|n
X
=
µ(d) f (e)
d,e
d·e | n
=
X
f (e)
e|n
=
X
X
f (e) Sµ
n
e
urf
= f (n)
wobei gilt:
µ(d)
d | (n/e)
e|n
n
⇔ d · e | n,
d
n
e | n und d |
⇔ d · e | n.
e
d | n und e |
Ent
w
Zur zweiten Behauptung:
39
2 Zahlentheoretische Funktionen
Sf (n)
X
=
∗
f (d) =
d|n
X n
f
e
e|n
1.6
40
∗ denn: {d ∈ N : d | n} =
Vorauss.
=
=
Teil 1
=
∈ N : e|n
o
e
n
d | n ⇒ n = d · e ⇒ d = ; analog für e
n e
X X
′
µ(d ) g ′
d ·e
e | n d′ | (n/e)
X X
n
µ ′
g(d′ )
d
·
e
e | n d′ | (n/e)
X n g(d′ )
µ ′
d
·
e
′
e,d
e·d′ | n
X
=
nn
g(d′ )
d′ | n
n d′ · e
e | (n/d′ )
|
{z
}
X
µ
Sµ (n/d′ )
g(n).
urf
=
2
Korollar 2.16 Die Abbildung f 7→ Sf ist bijektiv auf der Menge der zahlentheoretischen Funktionen.
2.4 Die Eulersche ϕ-Funktion
Ent
w
Definition 2.17 (Eulersche ϕ-Funktion)
Unter der Eulerschen ϕ-Funktion verstehen wir die zahlentheoretische Funktion
ϕ:N→N
ϕ(n) = #{m, 1 ≤ m ≤ n : (m, n) = 1}.
Beispiel 2.18 Es gilt
1. ϕ(1) = 1, ϕ(2) = 1
2. p prim ⇒ ϕ(p) = p − 1
3. p prim, k ∈ N ⇒ ϕ(pk ) = pk − pk−1 ,
denn:
2.4 Die Eulersche ϕ-Funktion
41
#{m, 1 ≤ m ≤ pk : (m, pk ) = 1}
1.6
= #{m, 1 ≤ m ≤ pk : (m, p) = 1}
= pk − #{m, 1 ≤ m ≤ pk : (m, p) > 1}
= pk − #{p, 2p, . . . , pk−1 · p}
= pk − pk−1
Proposition 2.19
1. Sϕ (n) = n
P
2. ϕ(n) =
µ(d) ·
d|n
n
d
=
P
d|n
µ( nd ) · d
Beweis. Es ist nur Teil 1 zu zeigen, Teil 2 folgt aus der Möbiusschen Umkehrformel. Es gilt die Beziehung
1=
k=1
(k,n)=1
n X
k=1
X
n
n
X
X
1
=
Sµ ((n, k)) =
µ(d).
(n, k)
k=1
k=1 d | (n,k)
urf
ϕ(n) =
n
X
Wir beachten nun die Äquivalenz d | (n, k) ⇔ d | n und d | k und die Beziehung
d : d | n und d | k, 1 ≤ k ≤ n ⇔ d : d | n und k = j · d, 1 ≤ j ≤
Damit erhalten wir
n
X
X
k=1
µ(d) =
d:d | n
und d | k
n/d
XX
µ(d) =
d | n j=1
X
d|n
µ(d) ·
n
.
d
n X n
=
µ
·e
d
e
e|n
Nach der Möbiusschen Umkehrformel Teil 2. folgt:
∀n∈N
Ent
w
Sϕ (n) = n
Satz 2.20
1. ϕ(n) = n ·
Q
(1 − p1 )
p|n
2. ϕ ist multiplikativ
3. ϕ(n) ist gerade ∀ n ≥ 3
∀n∈N
2
42
2 Zahlentheoretische Funktionen
Sei nun n ≥ 2 und n =
r
Q
i=1
i
pα
i die Primfaktorzerlegung von n. Es folgt
Y
r Y
1
1
1−
=
1−
p
pi
i=1
p|n
=
1.6
Beweis. Zu 1.
Q
Der Fall n = 1 ist trivial: ϕ(1) = 1, wobei p | 1 (1 − 1p ) = 1 gesetzt wird.
1−
−
=1+
r
X 1
X
1
+
−
p
pi · pj
i=1 i
i6=j
X
1
(−1)r
+ ...+
pi · pj · pk
p1 · p2 · . . . · pr
i<j<k
r X
X
t=1
(−1)t
Y 1
,
pi
i∈S
S⊆I,
♯S=t
urf
wobei I = {1, 2, . . . , r}. Die Summation läuft hier über alle t-elementigen
Teilmengen S der Indexmenge I, 1 ≤ t ≤ r.
P
1
Es gilt also: Jede Summe
pi ·pj ·pk . . . usw. läuft über die verschiedenen
Primfaktoren pi , pj , pk , . . . von n.
Jeder Summand in diesen Summen hat daher die Gestalt
Wenn wir
µ(d)
d
mit d | n.
X µ(d)
d|n
d
Ent
w
bilden, dann erhalten wir genau die gleiche Summe. Die Begründung ist einfach, da µ(d) 6= 0 nur für quadratfreie Zahlen d gilt, also d von der Form
d = pi · pj · pk · . . . mit verschiedenen Primzahlen pi , pj , pk , . . . Somit erhalten
wir
X
Y
1
n Prop.2.19
Teil 2.
n·
1−
=
µ(d) ·
= ϕ(n).
p
d
p|n
d|n
Zu 2.
Sei (m, n) = 1. Dann gilt: p | m · n ⇒ p | m oder p | n, aber nicht beide gleichzeitig. Es folgt
2.4 Die Eulersche ϕ-Funktion
43
1.6
Y 1
ϕ(m · n) = m · n ·
1−
p
p | m·n
Y
Y
1
1
=m·n·
1−
·
1−
p
p
p|m
p|n
Y
Y
1
1
=m·
1−
·n ·
1−
p
p
p|m
p|n
|
{z
} |
{z
}
ϕ(m)
ϕ(n)
Zu 3.
Sei n ≥ 3. Dann ist n = 2k (k ≥ 2) oder n = pk · m mit einer ungeraden
Primzahl p, k ∈ N und (p, m) = 1. Es folgt
1
ϕ(2k ) = 2k · (1 − ) = 2k−1 .
2
Weiters gilt
urf
ϕ(pk · m) = ϕ(pk ) · ϕ(m)
1
= pk · (1 − ) · ϕ(m)
p
= pk−1 · (p − 1) ·ϕ(m).
| {z }
gerade
Bemerkung 2.21 Eine kleine Tabelle:
1
1
2
1
3
2
4
2
5
4
Ent
w
n
ϕ(n)
6
2
7
6
8
4
9
6
10
4
2
urf
Ent
w
1.6
3.1 Grundlegende Definitionen
1.6
3 Kongruenzen
Definition 3.1 (Kongruente Zahlen)
Seien a und b zwei ganze Zahlen und sei m ∈ N, m ≥ 2. Die Zahl a heißt
kongruent zu b modulo m, wenn gilt:
m | b − a.
Schreibweise:
urf
Die Zahl m heißt der Modul der Kongruenz.
a ≡ b (mod m)
a ≡ b (m).
Proposition 3.2 (Rechenregeln für Kongruenzen)
Sei a ≡ b (mod m) und c ≡ d (mod m). Dann gilt:
1. a · r + c · s ≡ b · r + d · s (mod m)
2. a · c ≡ b · d (mod m)
∀n∈N
Ent
w
3. an ≡ bn (mod m)
∀ r, s ∈ Z
4. f (a) ≡ f (b) (mod m) ∀ f ∈ Z[X]
(f bezeichnet also ein Polynom mit Koeffizienten aus Z.)
5. falls t | m, t ∈ Z ⇒ a ≡ b (mod |t|)
6. k 6= 0, a ≡ b (mod m) ⇔ a · k ≡ b · k (mod m · |k|)
7. a · c ≡ b · c (mod m), d := (c, m) ⇒ a ≡ b mod
m
d
Spezialfall: d = 1:
a · c ≡ b · c (mod m) ⇔ a ≡ b (mod m)
8. a ≡ b (mod m) ⇔ a und b lassen bei der Division durch m denselben
Rest
46
3 Kongruenzen
9. a ≡ b (mod mi ), 1 ≤ i ≤ s ⇔ a ≡ b (mod [m1 , . . . , ms ])
1.6
Spezialfall: (mi , mj ) = 1 für i 6= j (d.h. paarweise teilerfremd)
a ≡ b (mod mi ) ⇔ a ≡ b (mod m1 · . . . · ms )
Beweis. Die Aussagen 1. - 6. sind leicht nachzurechnen.
Zu 7.
m
c
m|b · c − a · c ⇒
| (b − a) ·
hd m c d i
⇒ da
,
=1
d d
m
|b − a
d
Zu 8.
a = q · m + r, b = q ′ · m + r′ , 0 ≤ r, r′ < m
⇒ b − a = (q ′ − q) · m + (r′ − r)
⇒ [da m | b − a] r′ − r = 0
Zu 9.
mi | b − a
urf
Umgekehrt gilt: r = r′ ⇒ m | b − a
∀ i ⇔ [m1 , . . . , ms ] | b − a
Genauer Beweis mit Induktion nach s:
s = 2: klar
s ⇒ s + 1 : m1 , . . . , ms , ms+1 | b − a
⇔ [m1 , . . . , ms ] | b − a und ms+1 | b − a
s=2
⇐⇒ [m1 , . . . , ms+1 ] | b − a
[m1 , . . . , ms , ms+1 ] = [[m1 , . . . , ms ], ms+1 ]
Ent
w
Proposition 3.3 Sei m ∈ N gegeben. Dann gilt:
Die Relation a ≡ b (mod m) ist eine Äquivalenzrelation auf Z.
Beweis.
Reflexivität: a ≡ a (mod m)
Symmetrie:
a ≡ b (mod m) ⇒ b ≡ a (mod m)
)
a ≡ b (mod m)
Transitivität:
⇒ a ≡ c (mod m)
b ≡ c (mod m)
denn: )
m|b − a
⇒ m | (c − b) + (b − a) = c − a
m|c − b
2
3.1 Grundlegende Definitionen
47
1.6
2
Definition 3.4 (Restklassen)
Sei m ∈ N, a ∈ Z. Unter der Restklasse zu a modulo m verstehen wir die
Menge
a = {b ∈ Z : b ≡ a (mod m)}.
Unter einem Repräsentanten der Restklasse a verstehen wir ein Element a′
von a. Die Menge aller Restklassen modulo m bezeichnen wir mit Zm .
Bemerkung 3.5 Für zwei ganze Zahlen a und b gilt:
1. a ≡ b (mod m) ⇔ a und b lassen bei der Division durch m denselben
Rest.
2. a ≡ b (mod m) ⇔ a = b
3. a ≡ b (mod m) ⇔ a und b liegen in derselben Restklasse mod m
4. Zm = {0, 1, . . . , m − 1}
urf
5. Die Mengen a, 0 ≤ a ≤ m − 1, sind nicht leer, paarweise disjunkt und
ihre Vereinigung ergibt Z. Die Restklassen modulo m bilden also eine
Partition von Z.
Definition 3.6 (Vollständiges Restsystem)
Unter einem vollständigen Restsystem modulo m verstehen wir eine Teilmenge von Z, die aus jeder Restklasse genau ein Element enthält.
Beispiel 3.7 Ein vollständiges Restsystem modulo m besitzt genau m Elemente.
Die Menge {0, −5, 26} ist ein vollständiges Restsystem modulo 3.
)
{0, 1, −12, 10, 18, −9, 20}
sind zwei vollständige Restsysteme modulo 7
{0, 1, 2, 3, 4, 5, 6}
Ent
w
Proposition 3.8 Es gilt:
1. {r1 , . . . , rm } vollständiges Restsystem mod m ⇔ ri 6≡ rj (mod m)
2. Sei a ∈ Z : (a, m) = 1 und sei b ∈ Z beliebig. Dann gilt:
{a · r1 + b, . . . , a · rm + b}
ist ein vollständiges Restsystem mod m.
Beweis.
1. ri ≡ rj (mod m) ⇔ ri und rj gehören derselben Restklasse an
3 Kongruenzen
2. a · ri + b ≡ a · rj + b (mod m)
⇔
(a,m)=1
a · ri ≡ a · rj
⇐⇒ ri ≡ rj (mod m)
1.6
48
2
Bemerkung 3.9 Wir definieren zwei innere Verknüpfungen auf der Menge
Zm :
a + b := a + b
a · b := a · b
Diese Definitionen sind sinnvoll, das heißt unabhängig von Repräsentanten:
a′ ∈ a, b′ ∈ b
⇒
⇒
a′ + b′ ≡ a + b (mod m)
a′ + b ′ = a + b
Der Beweis für das Produkt verläuft analog.
Satz 3.10 Für (Zm , +, ·) gelten folgende algebraische Eigenschaften:
urf
1. (Zm , +, ·) ist ein kommutativer Ring mit Einselement, im Allgemeinen
nicht nullteilerfrei
2. (Zm , +, ·) Integritätsbereich ⇔ m prim
Beweis. Zur ersten Behauptung:
(Zm , +) ist eine abelsche Gruppe, wie man durch einfaches Nachrechnen sieht.
Nullelement: 0
Einselement: 1
Der Nachweis der übrigen Behauptungen ist ebenfalls einfach und beruht im
Wesentlichen auf den Ringeigenschaften von Z.
(Z6 , +) ist nicht nullteilerfrei:
aber 2, 3 6= 0.
Ent
w
2 · 3 = 0,
Derartige Aussagen lassen sich für jedes zusammengesetzte m herleiten, daher
gilt:
(Zm , +, ·) nullteilerfrei ⇒ m prim .
Andererseits gilt für m prim:
a·b = 0
⇒
a · b ≡ 0 (mod m)
⇒
a ≡ 0 (mod m) oder b ≡ 0 (mod m)
⇒
⇒
m|a · b
[m prim] m | a oder m | b
2
3.1 Grundlegende Definitionen
49
Ent
w
urf
1.6
Bemerkung 3.11 Der Ring (Zm , +) ist der Prototyp eines kommutativen
Ringes, insbesondere der Prototyp eines Integritätsbereiches und auch der
Prototyp eines ZPE-Ringes (faktoriellen Ringes).
50
3 Kongruenzen
1.6
3.1.1 Ausflug in die Ringtheorie
Als Erstes eine kurze Wiederholung der Gruppentheorie.
Beispiel 3.12 Für das Rechnen mit ganzen Zahlen gilt:
(G1) ∀ a, b ∈ Z :
a+b∈Z
(G2) Es gilt das sogenannte Assoziativgesetz,
∀ a, b, c ∈ Z.
a + (b + c) = (a + b) + c
(G3) Es existiert ein sogenanntes neutrales Element in Z,
∃e∈Z:
a+e = e+a = a
Dies ist natürlich die Zahl 0.
∀ a ∈ Z.
(G4) Zu jedem a ∈ Z existiert ein sogenanntes inverses Element −a in Z,
∃ −a∈Z:
∀ a ∈ Z.
urf
a + (−a) = (−a) + a = e
(G5) Es gilt das sogenannte Kommutativgesetz,
∀ a, b ∈ Z.
Beispiel 3.13 Wenn wir die Menge Zm = 0, 1, . . . , m − 1 der Restklassen
modulo m betrachten (m ∈ Z, m ≥ 2), dann gilt:
a + b = b+ a
(G1) ∀ a, b ∈ Zm :
a + b ∈ Zm
(G2) Es gilt das Assoziativgesetz,
Ent
w
a + (b + c) = (a + b) + c
∀ a, b, c ∈ Zm .
(G3) Es existiert ein neutrales Element in Zm ,
∃ e ∈ Zm :
a+e = e+a = a
∀ a ∈ Zm .
Dies ist natürlich die Restklasse 0.
(G4) Zu jedem a ∈ Zm existiert ein inverses Element −a in Zm ,
∃ − a ∈ Zm :
a + (−a) = (−a) + a = e
(G5) Es gilt das Kommutativgesetz,
a + b = b+ a
∀ a, b ∈ Zm .
∀ a ∈ Zm .
3.1 Grundlegende Definitionen
51
1.6
Beachten Sie: jede Restklasse a ist eine Menge mit unendlich vielen Elementen. Es ist erstaunlich, daß man mit solchen Mengen wie mit ganzen Zahlen
rechnen kann, siehe die Eigenschaften (G1) bis (G5).
Beispiel 3.14 Wenn wir die Menge der stetigen, reellwertigen Funktionen
vom Intervall [0, 1] in die reellen Zahlen mit dem Symbol C([0, 1]) bezeichnen
und die “Summe” f +g zweier Funktionen f, g ∈ C([0, 1]) durch die Definition
(f + g)(x) := f (x) + g(x),
festlegen, dann gilt:
(G1) ∀ f, g ∈ C([0, 1]) : f + g ∈ C([0, 1]).
(G2) Es gilt das Assoziativgesetz:
x ∈ [0, 1]
∀ f, g, h ∈ C([0, 1]).
f + (g + h) = (f + g) + h
(G3) Es existiert ein neutrales Element in C([0, 1]),
f +e = e+f = f
∀ f ∈ C([0, 1]).
urf
∃ e ∈ C([0, 1]) :
(G4) Zu jedem f ∈ C([0, 1]) existiert ein inverses Element −f in C([0, 1]),
∃ − f ∈ C([0, 1]) :
∀ f ∈ C([0, 1]).
f + (−f ) = (−f ) + f = e
(G5) Es gilt das Kommutativgesetz,
f + g = g+ f
∀ f, g ∈ C([0, 1]).
Beispiel 3.15 Wenn wir die Menge der regulären 2 × 2-Matrizen über R
mit GL(2, R) bezeichnen und auf der Menge GL(2, R) das Produkt zweier
Matrizen betrachten, dann gilt:
Ent
w
(G1) ∀ A, B ∈ GL(2, R) : A · B ∈ GL(2, R).
(G2) Es gilt das Assoziativgesetz,
A · (B · C) = (A · B) · C
∀ A, B, C ∈ GL(2, R).
(G3) Es existiert ein neutrales Element in GL(2, R),
∃ E ∈ GL(2, R) :
A·E = E·A = A
∀ A ∈ GL(2, R).
10
Dies ist natürlich die Einheitsmatrix E =
.
01
(G4) Zu jedem A ∈ GL(2, R) existiert ein inverses Element A−1 in GL(2, R),
∃ A−1 ∈ GL(2, R) :
A · A−1 = A−1 · A = E
∀ A ∈ GL(2, R).
52
3 Kongruenzen
(G5) Das Kommutativgesetz gilt allerdings nicht:
A · B 6= B · A.
1.6
∃ A, B ∈ GL(2, R) :
Bemerkung 3.16 Wir haben in Beispiel 3.12 mit ganzen Zahlen gerechnet
und die Eigenschaften (G1) bis (G5) festgestellt. In Beispiel 3.13 haben wir
mit Mengen (Restklassen sind ja Mengen!) und in Beispiel 3.14 mit Funktionen gerechnet, wie wenn es sich um Zahlen handeln würde. In Beispiel 3.15
haben wir als Grundmenge die Menge GL(2, R) gewählt und ebenfalls einen
Großteil dieser Eigenschaften wiedergefunden, allerdings war in Gegensatz zu
den anderen Beispielen die Eigenschaft (G5) nicht erfüllt.
Menge
urf
Die Vorgangsweise war in all diesen Beispielen die gleiche: wir haben zwei
beliebige Elemente a, b einer Grundmenge G genommen und diesen beiden
Elementen ein drittes Element mit Namen a + b (siehe die ersten Beispiele)
oder mit Namen a · b (siehe Beispiel 3.15) zugeordnet. Das neue Element lag
wieder in der Grundmenge G, siehe dazu jeweils die Eigenschaft (G1). Man
sagt dazu: die Elemente a und b wurden miteinander verknüpft und nennt die
Operation (bei uns “+” beziehungsweise “·”) die Verknüpfungsvorschrift. Wir
konnten dann mit diesen Elementen (Zahlen, Mengen, Funktionen, Matrizen)
im Wesentlichen wie mit ganzen Zahlen “rechnen”.
Z
Zm
C([0, 1])
GL(2,
„ R)«
10
Neutrales Element 0
0
Nullfunktion E =
01
Inverses Element −a −a = −a
−f
A−1
inverse Matrix
abelsch
ja
ja
ja
nein
Tabelle 3.1. Beispiele von Mengen
Ent
w
Dieses allgemeine Prinzip, einem Paar (a, b) von zwei Elementen einer Grundmenge G ein Element von G zuzuordnen, führt uns zu folgenden abstrakten
Begriffen.
Definition 3.17 (Halbgruppe, Monoid, Gruppe)
Sei G 6= ∅. Unter einer inneren Verknüpfung (manchmal auch: binäre Operation) auf G verstehen wir eine Abbildung von G × G in G, (a, b) 7→ a · b,
a, b ∈ G.
Für das Paar (G, ·) können verschiedene Eigenschaften erfüllt sein:
(G1) ”·” ist eine innere Verknüpfung auf G.
(G2) Es gilt das Assoziativgesetz,
a · (b · c) = (a · b) · c
∀ a, b, c ∈ G.
3.1 Grundlegende Definitionen
53
(G3) Es existiert ein neutrales Element in G,
a·e = e·a = a
∀ a ∈ G.
1.6
∃e ∈ G :
(G4) Zu jedem a ∈ G existiert ein inverses Element a−1 in G,
∃a−1 ∈ G :
a · a−1 = a−1 · a = e
(G5) Es gilt das Kommutativgesetz,
∀ a, b ∈ G
∀ a ∈ G.
a · b = b· a
Das Paar (G, ·) heißt
• eine Halbgruppe, wenn (G1) und (G2) erfüllt sind.
• ein Monoid, wenn (G1), (G2) und (G3) erfüllt sind.
• eine Gruppe, wenn (G1), (G2), (G3) und (G4) erfüllt sind.
urf
• eine abelsche oder kommutative Gruppe, wenn (G1) bis (G5) erfüllt sind.
Die Ordnung der Gruppe (G, ·) ist definiert als die Anzahl der Elemente in
der Menge G. Wir bezeichnen diese Zahl mit dem Symbol |G|.
Eine Gruppe (G, ·) heißt endlich, wenn |G| < ∞ sonst heißt sie unendlich.
Beispiel 3.18 Die folgenden Paare (H, ·) sind Halbgruppen:
(N, +), (N, ·), (R, max), wobei x max y := max{x, y}.
Sei M 6= ∅ und sei P(M ) die Potenzmenge von M , dann sind (P(M ), ∩) und
(P(M ), ∪) Halbgruppen.
Ent
w
Beispiel 3.19 Wichtige Beispiele für Gruppen sind:
abzählbar unendliche abelsche Gruppen: (Z, +), (Q, +)
überabzählbar unendliche abelsche Gruppen: (R, +), (C, +)
endliche abelsche Gruppen: (Zm , +)
überabzählbar unendliche nichtabelsche Gruppen: Wir wählen als Beispiel
M2×2 (R). Abzählbare oder endliche nichtabelsche Gruppen sind ebenfalls
leicht anzugeben: M2×2 (Q) oder M2×2 (Zm ).
Bemerkung 3.20 Es existiert also zu jeder gegebenen natürlichen Zahl m
eine abelsche Gruppe mit m Elementen, nämlich die Gruppe (Zm , +), die
additive Gruppe der Restklassen modulo m. Können Sie zu jedem m auch
eine nichtabelsche Gruppe mit m Elementen angeben?
Für die Bezeichnung der inneren Verknüpfung einer Gruppe können wir
natürlich ein beliebiges Symbol auswählen. Wir könnten also schreiben
(G, ♣), oder (G, 3), oder (G, 1), . . . (usw.) Da man aber stillschweigend an
54
3 Kongruenzen
1.6
Rechenoperationen denkt, wie wir sie vom Rechnen mit Zahlen gewohnt sind,
werden meist nur die Bezeichnungen (G, +) und (G, ·) verwendet.
Genauso willkürlich ist die Bezeichnung des inverses Elementes. Wenn wir
die Gruppe in der Form (G, +) schreiben, dann wird traditionell das inverse Element zu a mit −a bezeichnet. Man spricht dann von einer additiven
Gruppe. (Man hat stillschweigend an Gruppen wie (Z, +) gedacht)
Wenn wir die Gruppe in der Form (G, ·) schreiben, dann wird das inverse
Element zu a mit a−1 bezeichnet. Man spricht dann von einer multiplikativen
Gruppe. (Man hat stillschweigend an Gruppen wie (R, ·) gedacht)
Wir betrachten nun Mengen R mit zwei inneren Verknüpfungen.
Beispiel 3.21 Für das Rechnen mit ganzen Zahlen gilt:
(R1) (Z, +) ist eine kommutative Gruppe.
(R2) (Z, ·) ist eine Halbgruppe (d.h. (G1) und (G2) gelten).
(R3) Es gilt das Distributivgesetz,
∀ a, b, c ∈ Z.
urf
a · (b + c) = a · b + a · c
Weiters existiert bezüglich der Multiplikation ein neutrales Element in Z,
nämlich die ganze Zahl 1. Außerdem kann es uns nie passieren, dass für eine
ganze Zahl a 6= 0 die Summe na = a + a + · · · + a (n Summanden, n ∈ N)
gleich Null ist.
Beispiel 3.22 Wenn wir die Menge Zm = 0, 1, . . . , m − 1 der Restklassen
modulo m betrachten (m ∈ Z, m ≥ 2), dann gilt für das Rechnen mit diesen
Objekten:
(R1) (Zm , +) ist eine kommutative Gruppe.
(R2) (Zm , ·) ist eine Halbgruppe (d.h. (G1) und (G2) gelten).
(R3) Es gilt das Distributivgesetz,
Ent
w
a · (b + c) = a · b + a · c
∀ a, b, c ∈ Zm .
Weiters existiert bezüglich der Multiplikation ein neutrales Element in Zm ,
nämlich die Restklasse 1. Außerdem gilt, dass für jedes Element a von Zm
die Summe ma = a + a + · · · + a gleich Null ist.
Beispiel 3.23 Sei M eine beliebige nichtleere Menge und sei P(M ) die Potenzmenge von M , also die Menge aller Teilmengen von M . Wir definieren
auf P(M ) zwei Verknüpfungen:
A + B = (A \ B) ∪ (B \ A),
A · B = A ∩ B,
A, B ∈ P(M ). Dann gilt
3.1 Grundlegende Definitionen
55
(R1) (P(M ), +) ist eine kommutative Gruppe.
(R3) Es gilt das Distributivgesetz,
A · (B + C) = A · B + A · C
1.6
(R2) (P(M ), ·) ist eine Halbgruppe (d.h. (G1) und (G2) gelten).
∀ A, B, C ∈ P(M ).
Weiters existiert bezüglich der Multiplikation ein neutrales Element in P(M ),
nämlich die Menge M . Außerdem gilt, dass für jedes Element A von P(M )
die Summe 2A = A + A gleich Null ist.
Derartige Beispiele von Mengen mit zwei inneren Verknüpfungen führen uns
zu der folgenden Definition.
Definition 3.24 (Ring, Nullelement, Charakteristik eines Ringes)
Unter einem Ring verstehen wir ein Tripel (R, +, ·) mit den Eigenschaften:
(R1) (R, +) ist eine abelsche Gruppe.
urf
(R2) (R, ·) ist eine Halbgruppe, d.h. die innere Verknüpfung · ist assoziativ.
(R3) Es gelten das linke Distributivgesetz
a · (b + c) = a · b + a · c
und das rechte Distributivgesetz
(a + b) · c = a · c + b · c,
für beliebige a, b, c ∈ R.
Ein Ring (R, +, ·) heißt kommutativ, wenn die innere Verknüpfung · kommutativ ist.
Ent
w
Das neutrale Element der additiven Gruppe (R, +) wird das Nullelement des
Rings genannt und mit 0 bezeichnet.
Unter der Charakteristik eines Ringes (R, +, ·) versteht man die kleinste
natürliche Zahl n mit der Eigenschaft
n · a = a+ a+ ··· + a = 0
|
{z
}
n mal
für alle a ∈ R. Sie wird mit char R bezeichnet. Wenn keine solche natürliche
Zahl existiert, definiert man char R = 0.
In der Anlehnung an die Prototypen eines Ringes, nämlich (Z, +, ·) und
(Zm , +, ·), sind folgende Bezeichnungen üblich.
56
3 Kongruenzen
1.6
Definition 3.25 (Einselement, R∗ )
Sei (R, +, ·) ein Ring. Falls die Halbgruppe (R, ·) ein neutrales Element
besitzt, so wird dies das Einselement des Rings (R, +, ·) genannt und mit 1
bezeichnet.
Unter einem Ring mit Einselement verstehen wir einen Ring (R, +, ·), in dem
ein neutrales Element bezüglich · existiert.
Die Menge R\{0} der Ringelemente ungleich dem Nullelement wird mit R∗
bezeichnet.
Beispiel 3.26
1. Der Ring (Z, +, ·) ist der Prototyp eines Ringes. Es gilt char Z = 0.
2. (h2i, +, ·) ist ein kommutativer Ring ohne Einselement, h2i = {2k : k ∈
Z} ⊆ Z. Auch dieser Ring hat die Charakteristik 0.
3. Sei R = C([−1, 1]) = {f : [−1, 1] → R stetig } und sei auf diese Menge
Addition und Multiplikation wie folgt definiert:
f + g : (f + g)(x) = f (x) + g(x)
(f · g)(x) = f (x) · g(x)
∀ x ∈ [−1, 1].
urf
f ·g :
∀ x ∈ [−1, 1]
Dann ist (R, +, ·) ein kommutativer Ring mit Einselement.
Seien die Funktionen f, g : [−1, 1] → R definiert als
f (x) = max{0, x},
g(x) = max{0, −x}.
Die beiden Funktionen f und g sind stetig, daher liegen sie in R. Weiters
sind sie ungleich der Nullfunktion 0, die das Nullelement des Rings R ist.
Jedoch gilt
f · g = 0.
Ent
w
4. Sei (R, +, ·) = (Zm , +, ·), mit m ≥ 2 ganz. Diesen Ring nennen wir den
Restklassenring modulo m. Er hat die Charakteristik m, siehe Satz 3.35.
Wenn wir speziell (Z6 , +, ·) betrachten, Z6 = {0, 1, 2, 3, 4, 5}, so gilt
2 6= 0 und 3 6= 0, jedoch für das Produkt folgt
2 · 3 = 6 = 0.
Lemma 3.27 Sei (R, +, ·) ein Ring und seien r, s, t ∈ R, beliebig. Dann
gilt:
1. 0 · r = r · 0 = 0
2. r · (−s) = (−r) · s = −(r · s)
3. (−r) · (−s) = r · s
3.1 Grundlegende Definitionen
57
1.6
Beweis.
Zu 1. Es gilt die Beziehung
0 · r = (0 + 0) · r = 0 · r + 0 · r
Wir addieren auf beiden Seiten −(0·r) und erhalten 0 = 0·r. Die Behauptung
r · 0 = 0 wird analog bewiesen.
Zu 2. Es gilt die Beziehung
0 = r · 0 = r · (s − s) = r · s + r · (−s)
Wir addieren auf beiden Seiten −(r · s) und erhalten
−(r · s) = r · (−s).
Zu 3. Wegen 2. gilt
(−r) · (−s) = −((−r) · s) = (−(−r)) · s = r · s.
2
urf
Definition 3.28 (Nullteiler, Integritätsbereich)
Unter einem Nullteiler eines Ringes (R, +, ·) versteht man ein Element a 6= 0
mit der Eigenschaft ∃ b 6= 0 sodass a · b = 0. Der Ring (R, +, ·) heißt
nullteilerfrei, wenn R keine solchen Elemente besitzt.
Unter einem Integritätsbereich verstehen wir einen kommutativen, nullteilerfreien Ring mit Einselement.
Achtung! In manchen Büchern sind Integritätsbereiche als kommutative nullteilerfreie Ringe definiert. Die Existenz eines Einselements wird dabei nicht
vorausgesetzt.
Beispiel 3.29
1. (Z, +, ·) ist ein Integritätsbereich.
Ent
w
2. Sei
R=
a11 a12
:
a21 a22
aij ∈ C
mit der Matrizenaddition für + und der Matrizenmultiplikation für · gegeben. Dann ist (R, +, ·) ein nichtkommutativer Ring mit Nullteilern
und mit Einselement.
3. (Z6 , +, ·) ist ein kommutativer Ring mit Einselement, aber mit Nullteilern.
4. Wenn p prim ist, dann ist (Zp , +, ·) ein Integritätsbereich (siehe dazu
auch Satz 3.35). Die Nullteilerfreiheit ist leicht nachgewiesen. Denn angenommen a · b = 0, dann müsste p | a · b gelten. Da p prim ist, folgt p|a
oder p|b. Daher gilt a = 0 oder b = 0.
58
3 Kongruenzen
a · b = a · c,
b · a = c · a,
a 6= 0
a 6= 0
1.6
Lemma 3.30 Der Ring (R, +, ·) ist nullteilerfrei genau dann, wenn die beiden Bedingungen
⇒
⇒
b=c
b=c
erfüllt sind, also genau dann, wenn wir in R kürzen können.
Beweis. Sei (R, +, ·) nullteilerfrei und sei a · b = a · c. Dann folgt aus dem
Distributivgesetz a · (b − c) = 0. Nun ist a 6= 0. Wegen der Nullteilerfreiheit
folgt, dass b − c = 0 sein muss. Wir erhalten b = c.
Der Fall b · a = c · a wird analog bewiesen.
Seien umgekehrt die beiden Kürzungsbedingungen des Lemmas erfüllt. Sei
a · b = 0 und sei a 6= 0. Dann gilt die Beziehung a · b = 0 = a · 0. Wir kürzen
nun durch a, das ja ungleich 0 ist, und erhalten b = 0. Im Falle, dass b 6= 0
vorausgesetzt wird, kürzen wir von rechts durch b und erhalten a = 0.
2
urf
Definition 3.31 (Schiefkörper, Körper)
Ein Ring (R, +, ·) heißt Schiefkörper (oder Divisionsring), wenn (R∗ , ·) eine
Gruppe ist.
Kommutative Schiefkörper werden Körper genannt.
Satz 3.32
1. Jeder Schiefkörper –und damit jeder Körper– ist nullteilerfrei.
2. (Satz von Wedderburn)
Jeder endliche Schiefkörper ist ein Körper.
3. Jeder endliche Integritätsbereich ist ein Körper.
Ent
w
4. Die Charakteristik eines Integritätsbereiches ist entweder 0 oder eine
Primzahl.
Beweis.
Zu 1.
Seien a, b, c ∈ R, sei a 6= 0 und sei weiters a · b = a · c. Da R ein Schiefkörper
ist, gibt es ein Inverses a−1 zu a in R. Wir multiplizieren von links mit a−1
und erhalten b = c. Wir können also von links kürzen. Analog zeigen wir, dass
wir auch rechts kürzen können. Aus Lemma 3.30 folgt die Nullteilerfreiheit
von R.
Zu 2.
Ohne Beweis.
Zu 3.
Es ist nur mehr die Existenz des Inversen zu zeigen. Sei dazu a ∈ R∗ , beliebig.
3.1 Grundlegende Definitionen
59
1.6
Dann gilt trivialerweise aR = {a · r : r ∈ R} ⊆ R. Sei nun a · r = a · s. Dann
gilt wegen Lemma 3.30, dass r = s. Damit enthalten die Mengen aR und R
gleich viele Elemente. Es folgt aR = R. Es muss also ein r ∈ R geben, mit
a · r = 1. Das Element r ist dann das gesuchte multiplikative Inverse zu a.
Zu 4.
Sei R ein Integritätsbereich. Wenn char R = 0 gilt, dann ist nichts zu zeigen.
Sei n = char R ∈ N. Wir nehmen an, dass n zusammengesetzt ist, n = n′ · n′′
mit 1 < n′ , n′′ < n. Dann ist n′ · 1 6= 0, denn wäre n′ · 1 = 0, dann wäre
n′ · a = 0 für jedes a ∈ R. Das ist aber unmöglich, da n die kleinste Zahl
ist, die diese Eigenschaft besitzt. Dasselbe gilt für n′′ : n′′ · 1 6= 0. Da wir
vorausgesetzt haben, dass R ein Integritätsbereich ist, es also keine Nullteiler
gibt, erhalten wir
(n′ · 1)(n′′ · 1) = n · 1 6= 0.
Dies ist aber ein Widerspruch dazu, dass n die Charakteristik von R ist. 2
Beispiel 3.33 Die Addition zweier komplexer Zahlen a + ib und a′ + ib′ ,
a, b, a′ , b′ ∈ R, ist einfach,
urf
(a + ib) + (a′ + ib′ ) = (a + a′ ) + i(b + b′ ).
Bei der Multiplikation können wir die beiden Ausdrücke a + ib und a′ + ib′
wie reelle Zahlen miteinander multiplizieren, sofern wir beachten, dass für
das “Symbol” i die Regel i2 = −1 gilt:
(a + ib) · (a′ + ib′ ) = (aa′ − bb′ ) + i(ba′ + ab′ ).
Somit bildet R = {a + ib : a, b ∈ R, i2 = −1} einen Körper, eben den Körper
der komplexen Zahlen. Sonst schreiben wir dafür natürlich immer C. Gibt
es nun einen Erweiterungskörper von C, in dem Addition und Multiplikation so definiert werden können, dass für die Elemente von C die gewohnten
Verknüpfungen gelten?
Ent
w
Dazu überlegen wir Folgendes. Wir können C mit R2 identifizieren. Jeder
komplexen Zahl a + ib, wobei a, b ∈ R, entspricht umkehrbar eindeutig das
Paar (a, b) reeller Zahlen. Wir übertragen nun die Addition und die Multiplikation, die wir in C betrachtet haben, auf R2 :
(a, b) + (a′ , b′ ) = (a + a′ , b + b′ ),
(a, b) · (a′ , b′ ) = (aa′ − bb′ , ba′ + ab′ ).
Dann gilt also, dass (R2 , +, ·) ein Körper ist. Wir fragen nun: wie müssen
wir auf R3 eine Addition und eine Multiplikation definieren, dass für die
Elemente von R3 der Gestalt (a, b, 0) –sie entsprechen den Elementen von R2 –
die “neuen” Operationen genau die “alten”, oben definierten Verknüpfungen
ergeben? Interessanterweise ist dieser Versuch hoffnungslos, man kann zeigen,
60
3 Kongruenzen
1.6
dass wir R3 auf diese Weise nicht zu einem Körper machen können. Die
Definition der Addition ist nicht das Problem,
(a, b, c) + (a′ , b′ , c′ ) = (a + a′ , b + b′ , c + c′ )
ist die geeignete Erweiterung von R2 auf den Fall des R3 . Es gibt aber keine
passende Definition der Multiplikation, wie man beweisen kann.
Ein gewisser Lord William R. Hamilton hat hier nicht aufgegeben und es
mit R4 probiert. Hamilton versuchte, den Körper der komplexen Zahlen zu
einem größeren Körper von “hyperkomplexen” Zahlen zu erweitern. Er hat
dazu die Menge R = {a + ib + jc + kd : a, b, c, d ∈ R} betrachtet, mit den
folgenden Vereinbarungen für das Rechnen mit den Symbolen i, j und k:
·
i
j
k
i
-1
-k
j
j
k
-1
-i
k
-j
i
-1
urf
Tabelle 3.2. Die Festlegungen von Hamilton
Wir addieren die Elemente von R wie komplexe Zahlen. Die Multiplikation wird nach den obigen Regeln ausgeführt. Man rechnet dann leicht nach:
(R, +, ·) ist zwar kein Körper, aber ein Schiefkörper. Man kann sogar zeigen, dass man es nicht besser machen kann als Hamilton und mit diesem
Schiefkörper zufrieden sein muss, wenn man C auf diese Weise erweitern will.
Wenn wir die Elemente von R als Elemente von R4 schreiben, dann erhalten
wir die folgenden innere Verknüpfungen:
(a, b, c, d) + (a′ , b′ , c′ , d′ ) = (a + a′ , b + b′ , c + c′ , d + d′ )
(a, b, c, d) · (a′ , b′ , c′ , d′ ) = (aa′ − bb′ − cc′ − dd′ , ba′ + ab′ − dc′ + cd′ ,
Ent
w
ca′ + db′ + ac′ − bd′ , da′ − cb′ + bc′ + ad′ ).
Die Verallgemeinerung der Verknüpfungen von R2 auf R4 ist damit offensichtlich, ebenso überzeugt man sich leicht vom Verlust der Kommutativität.
Ein empfehlenswertes Buch zu diesem Thema ist Ebbinghaus, H.-D. et al.:
“Zahlen”, 3. Auflage, Springer-Verlag 1992. Über den Link
http://www.maths.tcd.ie/pub/HistMath/People/Hamilton/Quaternions.html
erhalten Sie weitere, auch historisch interessante Informationen.
Definition 3.34 (Quaternionen)
Der Schiefkörper in Beispiel 3.33 heißt der Schiefkörper der Quaternionen.
Satz 3.35 Für alle m ∈ N mit m ≥ 2 sind folgende Aussagen äquivalent.
1. (Zm , +, ·) ist ein Integritätsbereich.
3.1 Grundlegende Definitionen
61
3. m ist prim.
Beweis. (1) ⇒ (2) folgt aus Satz 3.32(3).
1.6
2. (Zm , +, ·) ist ein Körper.
(2) ⇒ (3)
Für alle a ∈ Zm gilt m · a = ma = 0. Deshalb muss char Zm ≤ m sein.
Sei n = char Zm , dann gilt im Speziellen
n1 = 0
⇒ n=0
⇒ m | n.
Also muss auch m ≤ char Zm sein, woraus schliesslich char Zm = m folgt.
Nach Satz 3.32(4) ist m prim.
urf
(3) ⇒ (1)
Wir müssen zeigen dass (Zm , +, ·) ein Integritätsbereich ist, falls m prim
ist, dass also keine Nullteiler in Zm enthalten sind. Dies haben wir bereits in
Beispiel 3.29 überlegt.
2
Definition 3.36 (Unterring, Teilring)
Sei (R, +, ·) ein Ring und sei S eine nichtleere Teilmenge von R. Wenn
(S, +, ·) ein Ring ist, dann heißt (S, +, ·) ein Unterring (oder: Teilring) von
(R, +, ·).
Schreibweise: S ≤ R
Wenn zusätzlich S 6= R ist, dann heißt (S, +, ·) ein echter Unterring (echter
Teilring) von (R, +, ·).
Schreibweise: S < R
Ent
w
Lemma 3.37 Sei (R, +, ·) ein Ring und sei S eine nichtleere Teilmenge von
R. S ist genau dann ein Unterring von R, wenn die beiden Bedingungen
(UR1) ∀ a, b ∈ S :
(UR2) ∀ a, b ∈ S :
a−b ∈ S
a·b ∈ S
gelten.
Beweis. Zu zeigen ist nur, dass die Bedingungen (UR1) und (UR2) äquivalent
sind dazu, dass (S, +) eine abelsche Gruppe und (S, ·) eine Halbgruppe ist.
Dies ist leicht nachzuweisen. Die restlichen Ringeigenschaften sind für S automatisch erfüllt, da sie für alle Elemente von R gelten.
2
62
3 Kongruenzen
Beispiel 3.38
1.6
1. {0} und R sind die trivialen Unterringe von R.
2. Es gilt
2Z ≤ Z ≤ Q ≤ R ≤ C
mit der üblichen Addition und Multiplikation in der jeweiligen Zahlenmenge.
Betrachten wir 2 Z ≤ Z, so sehen wir, dass ein Unterring eines Rings mit
Einselement kein Einselement enthalten muss.
Weiters ist Z ≤ Q ein Beispiel dafür, dass ein Unterring eines Körpers
kein Körper sein muss.
3. Sei N 6= ∅ eine Menge und M eine nichtleere Teilmenge von N . Sei
P(N ) = {A : A ⊆ N } die Potenzmenge von N und P(M ) die Potenzmenge zu M . Dann ist (P(N ), +, ·) ein kommutativer Ring mit Einselement, siehe Beispiel 3.23. Es gilt die Beziehung
urf
P(M ) ≤ P(N ).
Definition 3.39 (Vielfaches, Teiler, Assoziiertheit, Irreduzibilität)
Sei (R, +, ·) ein Integritätsbereich und seien a, b ∈ R. Wir sagen, b teilt a,
wenn
∃ c ∈ R : a = b · c.
Wir nennen a ein Vielfaches von b und b einen Teiler von a, Schreibweise:
b | a.
Ein Element a heißt eine Einheit von R, wenn a | 1.
Zwei Elemente a und b heißen assoziiert, wenn es eine Einheit ǫ gibt mit
a = b· ǫ,
Schreibweise: a ∼ b.
Ent
w
Das Element b heißt ein echter Teiler von a, wenn b | a, weiters b keine Einheit
und auch nicht assoziiert zu a ist.
Das Element q ∈ R heißt irreduzibel, wenn q weder das Nullelement noch
eine Einheit von R ist und wenn weiters gilt, dass jedes Element b ∈ R, das
q teilt, eine Einheit oder assoziiert zu q ist.
Der Begriff des irreduziblen Elementes ist der Versuch, das Konzept der Primzahl in Integritätsbereichen zu definieren. Wir können diesen Begriff auch so
formulieren: ein irreduzibles Element q ist ein nichttriviales Ringelement (d.h.
q 6= 0, q ∤ 1), das keine echten Teiler besitzt.
Beispiel 3.40 Wir untersuchen im Ring (R, +, ·) = (Z, +, ·) die oben definierten Begriffe.
3.1 Grundlegende Definitionen
63
1.6
• Die Einheiten von Z
Wenn für a ∈ Z gilt, dass a | 1, dann folgt a ∈ {1, −1}. Wegen der
Beziehungen 1 | 1 und −1 | 1 sind die Einheiten von Z genau die Elemente
1 und −1.
• Assoziierte Elemente
Wir benötigen dazu die soeben gefundenen Einheiten von Z. Wenn a ∼ b,
dann muss a = b · 1 = b oder a = b · (−1) = −b gelten. Das heißt, zu a sind
nur die Elemente a und −a assoziiert.
• Beispiele irreduzibler Elemente
Laut Definition ist a 6= 0, a ∤ 1, ein irreduzibles Element genau dann, wenn
a keine echten Teiler besitzt. In Z bedeutet das, dass |a| keine echten Teiler
hat, also |a| eine Primzahl ist. Die Menge der irreduziblen Elemente in Z
ist daher die Menge
{±p : p prim} = {±2, ±3, ±5, ±7, . . .}.
urf
Beispiel 3.41 (Die Gaußschen ganzen Zahlen)
Sei
Z[i] = {a + ib : a, b ∈ Z},
√
mit i = −1, die Menge der komplexen Zahlen z mit ganzzahligem Realund Imaginärteil. Wir übernehmen Addition und Multiplikation vom Körper
(C, +, ·). Für zwei Elemente a + ib, c + id ∈ Z[i] definieren wir daher
(a + ib) + (c + id) = (a + c) + i(b + d)
(a + ib) · (c + id) = (ac − bd) + i(bc + ad)
Mit diesen beiden Operationen ist (Z[i], +, ·) ein kommutativer Ring mit
Einselement. Das Nullelement ist 0 + i0 = 0. Das Einselement ist 1 + i0 = 1.
Wir betrachten nun die Abbildung
N :
Z[i]
−→
N ∪ {0}
N (a + ib) = a + b2 .
Ent
w
2
Die Funktion N wird uns bei Teilbarkeitsuntersuchungen in Z[i] eine große
Hilfe sein. Aus der Beziehung
N (a + ib) = |a + ib|2 ,
wobei | . | den Betrag einer komplexen Zahl bezeichnet, ergeben sich folgende Eigenschaften der Funktion N (wobei (N3) eine einfache Folgerung aus
Eigenschaft (N1) ist):
(N1) N (a + ib) · (c + id) = N (a + ib) · N (c + id),
(N2)
N (a + ib) = 0 ⇔ a + ib = 0 .
(N3)
a + ib | c + id ⇒ N (a + ib) | N (c + id).
64
3 Kongruenzen
1.6
Tatsächlich ist (Z[i], +, ·) sogar ein Integritätsbereich. Um diese Behauptung
zu beweisen, müssen wir nur noch die Nullteilerfreiheit nachweisen. Sei dazu
(a + ib) · (c + id) = 0. Wegen (N1) gilt
N (a + ib) · (c + id) = N (a + ib) · N (c + id) = 0.
Es muss somit N (a + ib) = 0 oder N (c + id) = 0 gelten, woraus wegen (N 2)
folgt, dass a + ib = 0 oder c + id = 0 ist. Es gibt also keine Nullteiler in Z[i].
Wir bestimmen nun die Einheiten von (Z[i], +, ·). Sei dazu a + ib | 1. Wir
wenden wieder die Funktion N an:
N (a + ib) | N (1) = 1
⇒ a2 + b 2 = 1
⇒ (a2 = 1 und b2 = 0)
oder
(a2 = 0 und b2 = 1)
⇒ a + ib ∈ {1, −1, i, −i}
urf
Die Einheiten von Z[i] sind also 1, −1, i, −i.
Ein Beispiel für ein irreduzibles Element ist 1 + i, denn es besitzt nur die
trivialen Teiler. Sei dazu a + ib | 1 + i. Dann folgt
N (a + ib) = a2 + b2 N (1 + i) = 2
⇒ a2 + b2 = 1 oder a2 + b2 = 2
⇒ a + ib ∈ {1, −1, i, −i} oder a + ib ∈ {±1 ± i}.
Die Elemente 1, −1, i, −i sind Einheiten, also keine echten Teiler von 1 + i.
Die restlichen Kandidaten scheiden aus, da sie zu 1 + i assoziiert sind:
−1 − i = (−1) · (1 + i)
⇒
1−i∼1+i
⇒ −1 + i ∼ 1 + i
Ent
w
1 − i = (−i) · (1 + i)
−1 + i = i · (1 + i)
1+i∼1+i
⇒ −1 − i ∼ 1 + i
Somit existieren keine echten Teiler von 1 + i, das Element 1 + i ist daher
irreduzibel.
Bemerkung 3.42 (Z, +, ·) ist ein Unterring von (Z[i], +, ·). 2 ist irreduzibel in Z, aber nicht mehr in Z[i], denn
2 = (1 + i)(1 − i).
Definition 3.43 (Größter gemeinsamer Teiler)
Sei (R, +, ·) ein Integritätsbereich und seien a, b ∈ R. Unter einem gemeinsamen Teiler von a und b verstehen wir ein Element e ∈ R mit
3.1 Grundlegende Definitionen
e | a und
65
e | b.
d|a
d|b
e|a
und
e|b
1.6
Unter einem größten gemeinsamen Teiler von a und b verstehen wir ein Element d mit den Eigenschaften
⇒
Schreibweise: (a, b)
e | d.
Lemma 3.44 Sei (R, +, ·) ein Integritätsbereich und seien a, b ∈ R mit
a 6= 0 und b 6= 0. Dann gilt:
a|b
und b | a
⇒
a ∼ b.
Beweis. Aus der Voraussetzung folgt, dass es c, d ∈ R gibt mit
b = a·c
urf
a = b ·d.
Wir setzen für b in der zweiten Zeile ein und erhalten
a = a·c·d
⇒
1 = c ·d,
daher gilt c | 1 und d | 1. Die Elemente c und d sind also Einheiten. Damit
sind a und b assoziierte Elemente.
2
Korollar 3.45 Sei (R, +, ·) ein Integritätsbereich und seien a, b ∈ R, nicht
beide gleich Null. Falls ein größter gemeinsamer Teiler (a, b) existiert, dann
ist er bis auf Multiplikation mit Einheiten eindeutig bestimmt.
Ent
w
Beispiel 3.46 Wir betrachten die Teilmenge der komplexen Zahlen
√
√ Z −5 = a + −5 b : a, b ∈ Z .
Wie im Fall von Z[i] übernehmen wir auch hier Addition
√ und Multiplikation von C. Es ist leicht nachzurechnen, dass Z −5 , +, · ein Inte√ √
gritätsbereich ist. Das Nullelement von Z −5 ist 0 + −5 · 0 = 0, das
√
Einselement ist 1 + −5 · 0 = 1. Wie im Fall Z[i] definieren wir eine geeignete
Normfunktion N ,
√ → N ∪ {0},
N : Z −5
√
N (a + b −5) = a2 + 5 b2 .
Es gelten wiederum die Eigenschaften (N1), (N2) und (N3).
66
3 Kongruenzen
√
1.6
−5 :
√
√
a + −5 b 1 ⇒ N a + −5 b N (1) = 1
Die Einheiten von Z
⇒ a2 = 1 und b2 = 0
√
⇒ a + −5 b ∈ {1, −1}
Die Einheiten sind also 1 und −1.
Einige Beispiele irreduzibler
√ Elemente:
Die Elemente 2, 3, 1 + −5 sind irreduzibel. Wir zeigen diese Behauptung
für das Element 2, der Nachweis für die
√ anderen Elemente erfolgt analog.
Angenommen 2 hätte einen Teiler a + −5 b:
√
√
a + −5 b 2 ⇒ N a + −5 b = a2 + 5 b2 N (2) = 4.
⇒
⇒
a2 + 5 b2 ∈ {1, 2, 4}
b = 0 und
a2 ∈ {1, 4}.
gilt:
urf
Es folgt, dass das Element 2 nur durch Einheiten und durch assoziierte Elemente teilbar ist. Es besitzt also keine echten Teiler.
√ Bemerkung 3.47 Im Integritätsbereich (Z −5 , +, ·) tritt folgendes interessante Phänomen auf. Wegen
√ √ 6 = 2 · 3 = 1 + −5 · 1 − −5
Ent
w
1. Die Zerlegung in irreduzible Elemente ist in diesem Integritätsbereich
nicht eindeutig.
√
2. Das irreduzible Element 1 + −5 teilt das Produkt 2 · 3, aber keinen der
beiden Faktoren,
√
1 + −5 ∤ 2,
√
1 + −5 ∤ 3 .
√ 3. Die beiden Elemente 6 und 3· 1 + −5 besitzen keinen größten gemeinsamen Teiler,
√
√
1, 2, 3, 1 + −5, 1 − −5, 6
sind die Teiler von 6, bis auf Assoziierte. Die Elemente
√
√ 1, 3, 1 + −5, 3 · 1 + −5
√ sind die Teiler von 3 · 1 + −5 , bis auf Assoziierte.
Die gemeinsamen Teiler lauten daher
3.2 Lineare Kongruenzen und der chinesische Restsatz
67
√
1, 3, 1 + −5,
1.6
bis auf Assoziierte. Ein größter gemeinsamer Teiler müsste sich also (bis
auf Assoziierte) unter diesen Elementen verstecken. Aber:
√ 1 6= 6, 3 · 1 + −5 ,
denn sonst gilt 3 | 1, was ein Widerspruch ist.
√ 3 6= 6, 3 · 1 + −5 ,
√ denn sonst gilt 1 + −5 3. Dies ist ebenfalls ein Widerspruch.
√
√ 1 + −5 6= 6, 3 · 1 + −5 ,
√
denn sonst gilt 3 | 1 + −5, was wieder auf einen Widerspruch führt.
urf
Keiner der gemeinsamen Teiler oder der Assozierten zu ihnen
ist also ein
√ größter gemeinsamer Teiler. Dies bedeutet, dass 6, 3 · 1 + −5 nicht existiert.
Die Suche nach Ringen, in denen die Zerlegung in irreduzible Elemente im
Wesentlichen eindeutig ist, führt zu den sogenannten faktoriellen Ringen.
Integritätsbereiche, in denen die Division mit Rest möglich ist, sind ein wichtiges Beispiel für faktorielle Ringe. Man nennt sie euklidische Ringe. Mehr
zu diesem Thema finden Sie in Remmert, R. und Ullrich, P.: “Elementare
Zahlentheorie”, Birkhäuser, Basel 1995.
3.2 Lineare Kongruenzen und der chinesische Restsatz
Ent
w
Definition 3.48 (Lineare Kongruenz)
Eine Kongruenz der Form
a · x ≡ b (mod m)
mit gegebenen ganzen Zahlen a und b heißt eine lineare Kongruenz in einer
Variablen.
Mit einer einzigen Lösung x0 der Kongruenz kennen wir sofort unendlich
viele Lösungen: wenn a · x0 ≡ b (mod m), dann ist jede Zahl x = x0 + k · m
ebenfalls Lösung, k ∈ Z beliebig.
Wir sind daher nur an den modulo m inkongruenten Lösungen der Kongruenz
interessiert.
68
3 Kongruenzen
1. a · x ≡ b (mod m) lösbar ⇔ (a, m) | b
1.6
Satz 3.49
2. Wenn die Kongruenz a · x ≡ b (mod m) lösbar ist, dann besitzt sie genau
(a, m) inkongruente Lösungen modulo m.
Spezialfall: (a, m) = 1 ⇒ ∃ genau eine Lösung x0 mit 0 ≤ x0 < m, d.h.
eine eindeutige Lösung modulo m.
Beweis. Zu 1.
x0 löst a · x ≡ b (mod m)
⇔ ∃ y0 ∈ Z : −a · x0 + b = y0 · m
⇔ ∃ y0 ∈ Z : a · x0 + m · y0 = b
⇔ die lineare diophantische Gleichung a · x + m · y = b ist lösbar
⇔ (a, m) | b
urf
Zu 2. Sei also (a, m) | b erfüllt.
Es gilt dann: x0 löst a · x ≡ b (mod m) ⇔ x0 löst die Kongruenz
a
b
m
·x ≡
mod
(a, m)
(a, m)
(a, m)
(3.1)
Sei d := (a, m). Wir beschränken uns auf die letzte Kongruenz. Wenn x0 eine
Lösung dieser Kongruenz ist, dann auch jede Zahl der Form
m
x0 +
· t, t ∈ Z.
d
Wie viele dieser (von x0 erzeugten) Zahlen sind inkongruent modulo m? Wegen der Beziehung
t = q · d + r, 0 ≤ r < d,
(Division mit Rest) sind dies die d = (a, m) Zahlen
m
x0 +
· i, 0 ≤ i < d,
d
m
denn x0 + m
d · t ≡ x0 + d · r (mod m), 0 ≤ r < d.
Ent
w
Sei y0 eine weitere Lösung der Kongruenz (3.1). Dann gilt also
b m
a
· x0 ≡
mod
d
d
d
a
b m
· y0 ≡
mod
d
d
d
Es folgt
a
m
· (y0 − x0 ) ≡ 0 mod
d
h
a m d i m
⇒
wegen
,
=1
y0 − x0
d d
d
m
⇒ y0 = x0 +
· t, t ∈ Z.
d
3.2 Lineare Kongruenzen und der chinesische Restsatz
69
x0 +
1.6
Somit haben wir gezeigt: Ist x0 eine beliebige Lösung von a · x ≡ b (mod m),
so sind alle modulo m inkongruenten Lösungen unter den folgenden Zahlen
zu finden:
m
m
m
· 2, . . . , x0 +
· (d − 1).
x0 , x0 + , x0 +
d
d
d
Nun gilt aber:
m
m
· i ≡ x0 +
· j (mod m) ,
d
d
m
· (i − j) ≡ 0 (mod m)
d
⇔ i−j =0
m
m
· d = m)
( denn: · (i − j) <
d
d
⇔
0 ≤ i, j < d
urf
Somit gilt:
x0 Lösung von a · x0 ≡ b (mod m)
⇒ · jede der Zahlen x0 + m
d · i, 0 ≤ i < d, ist eine Lösung
· diese Zahlen sind paarweise inkongruent modulo m
· dies sind bereits alle modulo m inkongruenten Lösungen
2
Lösungsmethode:
Gegeben sei die lineare Kongruenz
a · x ≡ b (mod m)
(3.2)
Es sind alle modulo m inkongruenten Lösungen zu bestimmen.
1. Wir überprüfen, ob die Lösbarkeitsbedingung (a, m) | b erfüllt ist.
2. Wir bestimmen eine Lösung der linearen diophantischen Gleichung
a·x−m·y = b
(3.3)
Ent
w
Nach Kapitel 1.3 bestimmen wir dazu eine Lösung (x′0 , y0′ ) der Gleichung
a′ · x − m′ · y = 1,
wobei
a′ :=
a
,
(a, m)
m′ :=
m
.
(a, m)
Wir verwenden dazu den Euklidischen Algorithmus. Durch Multiplikation
mit der Zahl b/d erhalten wir eine Lösung (x0 , y0 ) = (x′0 · b/d, y0′ · b/d)
der Gleichung
b
(3.4)
a′ · x − m ′ · y = .
d
Dann ist aber (x0 , y0 ) auch eine Lösung der Gleichung (3.3).
70
3 Kongruenzen
x0 , x0 +
1.6
3. Aus dieser Lösung (x0 , y0 ) von (3.3) erhalten wir die Gesamtheit der
inkongruenten Lösungen modulo m der linearen Kongruenz (3.2):
m
m
m
, x0 +
· 2, . . . , x0 +
· (d − 1).
d
d
d
Beispiel 3.50
Löse die lineare Kongruenz
14 · x ≡ 24 (mod 34) .
1. Es gilt (14, 34) = 2 = d. Daher ist die Lösbarkeitsbedingung erfüllt.
2. Weiters wissen wir wegen (14, 34) = 2, dass es zwei inkongruente Lösungen
modulo 34 gibt.
3. Wir betrachten die zugeordnete lineare diophantische Gleichung 7 · x −
17 · y = 12 zur linearen Kongruenz 7 · x ≡ 12 (mod 17) und wenden die
Lösungsmethode für lineare diophantische Gleichungen an:
⇒
7=2·3+1
⇒
1 = 7 − 2 · 3 = 7 − 2 · (17 − 27)
1 = 5 · 7 − 2 · 17
urf
7 · x − 17 · y = 1
17 = 2 · 7 + 3
⇒ x′0 = 5.
⇒ x0 = 5 · 12 = 60 löst 7 · x ≡ 12 (mod 17)
⇒ x0 = 9 löst 7 · x ≡ 12 (mod 17)
Es folgt:
Die Gesamtheit der modulo 34 inkongruenten Lösungen von 14x ≡ 24 (mod 34)
lautet
34
x0 ≡ 9, 9 +
= 26 (mod 34) .
2
Ent
w
Satz 3.51
Es gilt die folgende wichtige Beziehung:
(Zm , +, ·) Körper ⇔ m prim.
Beweis. (Zm , +, ·) Körper ⇒ Integritätsbereich ⇒ m prim.
Umgekehrt: Sei m prim.
⇒
⇒
∀ a ∈ {1, . . . , m − 1} ist die Kongruenz a · x ≡ b (mod m) lösbar
∀ a ∈ Zm \{0} ist die Gleichung a · x = b lösbar, b ∈ Zm \{0}
Daraus folgt sofort: ∀ a 6= 0 existiert ein Inverses bezüglich der Multiplikation.
Wir wenden uns nun Systemen linearer Kongruenzen zu:
2
3.2 Lineare Kongruenzen und der chinesische Restsatz
a1 · x ≡ b1 (mod m1 )
71
wobei (a1 , m1 ) = 1
a2 · x ≡ b2 (mod m2 )
..
.
ar · x ≡ br (mod mr )
1.6
(a2 , m2 ) = 1
..
.
(ar , mr ) = 1
Die Einschränkung (ai , mi ) = 1 ist nicht wesentlich, wie wir bei unserem
Studium der linearen Kongruenz gesehen haben.
Solche Systeme von Kongruenzen sind nicht immer lösbar, wie die folgenden
Beispiele zeigen:
x ≡ 1 (mod 3)
ist unlösbar!
x ≡ 2 (mod 3)
x ≡ 1 (mod 2)
ist unlösbar!
x ≡ 0 (mod 4)
Wir werden sofort sehen, daß die Teilerfremdheit der Moduln mi für die
Lösbarkeit ausreicht.
urf
Satz 3.52 (Chinesischer Restsatz)
Seien mi ∈ N, 1 ≤ i ≤ r, und sei (mi , mj ) = 1 für i 6= j. Seien bi ∈ Z,
1 ≤ i ≤ r. Dann gilt
1. Das System x ≡ bi (mod mi ), 1 ≤ i ≤ r, ist lösbar.
2. Die Lösung ist eindeutig modulo m1 · . . . · mr .
Beweis. Nach C. F. Gauß
Zur Existenz einer Lösung: Wir definieren
M :=
r
Y
mi
i=1
M
,
mj
1 ≤ j ≤ r.
Ent
w
Mj :=
Dann gilt (mj , Mj ) = 1.
Aus Satz 3.49 folgt die Existenz einer Lösung cj der Kongruenz
Mj · cj ≡ 1 (mod mj ) .
Es folgt
x0 = b1 · M1 · c1 + b2 · M2 · c2 + . . . + br · Mr · cr
löst das System x ≡ bj (mod mj ), ∀ j, 1 ≤ j ≤ r.
Zur Eindeutigkeit modulo M : Seien
72
3 Kongruenzen
x0 ≡ bj (mod mj )
∀j
∀j
1.6
y0 ≡ bj (mod mj )
zwei Lösungen der Kongruenz. Dann gilt nach den Rechenregeln für Kongruenzen:
x0 ≡ y0 (mod [m1 , . . . , mr ]).
|
{z
}
=M
2
Beispiel 3.53
x ≡ 2 (mod 3)
x ≡ 3 (mod 5)
x ≡ 2 (mod 7)
M1 = 35
M = 3 · 5 · 7 = 105
35 · c1 ≡ 1 (mod 3)
21 · c2 ≡ 1 (mod 5)
15 · c3 ≡ 1 (mod 7)
urf
M2 = 21
M3 = 15
⇒
⇒ 2 · c1 ≡ 1 (mod 3)
wählen
c2 ≡ 1 (mod 5)
c3 ≡ 1 (mod 7)
c1 = −1
c2 = 1
c3 = 1
x ≡ 2 · 35 · (−1) + 3 · 21 · 1 + 2 · 15 · 1 (mod 105)
x ≡ 23 (mod 105)
Ent
w
Satz 3.54
Seien mi ∈ N mit (mi , mj ) = 1 für i 6= j, seien bi ∈ Z und seien ai ∈ Z:
(ai , mi ) = 1. Dann gilt:
1. Das System ai · x ≡ bi (mod mi ), 1 ≤ i ≤ r, ist lösbar.
2. Die Lösung ist eindeutig modulo m1 · . . . · mr .
Beweis. (ai , mi ) = 1 ⇒ ∃ di : ai · di ≡ 1 (mod mi )
Somit:
ai · x ≡ bi (mod mi ) ⇔ (ai · di ) · x ≡ bi · di (mod mi )
⇔ x ≡ bi · di (mod mi )
2
3.3 Die Sätze von Fermat und Euler
73
1.6
3.3 Die Sätze von Fermat und Euler
Wir beweisen nun zwei der wichtigsten Sätze der Zahlentheorie.
Definition 3.55 (Prime Restklassen)
Unter einer primen Restklasse modulo m verstehen wir eine Restklasse a ∈
Zm mit (a, m) = 1.
Die Menge der primen Restklassen modulo m bezeichnen wir mit Z∗m .
Unter einem primen (manchmal auch: reduzierten) Restsystem modulo m
verstehen wir eine Teilmenge von Z, die aus jeder primen Restklasse modulo
m genau ein Element enthält.
Beispiel 3.56
1. Die primen Restklassen modulo 12 lauten:
1, 5, 7, 11
urf
Prime Restsysteme modulo 12: {1, 5, 7, 11}
{−11, 17, 31, −1}
..
.
2. Die primen Restklassen modulo 5:
1, 2, 3, 4
Primes Restsystem modulo 5: {1, 2, 3, 4}
Bemerkung 3.57
Da es genau ϕ(m) Zahlen im Bereich {1, 2, . . . , m} gibt, die zu m teilerfremd
sind, existieren genau ϕ(m) prime Restklassen modulo m. Jedes prime Restsystem modulo m besitzt also ϕ(m) Elemente.
Ent
w
Bemerkung 3.58
{r1 , . . . , rϕ(m) } primes Restsystem modulo m, (a, m) = 1
⇒ {a · r1 , . . . , a · rϕ(m) } ist ebenfalls ein primes Restsystem modulo m
Beweis. Es gilt
a · ri ≡ a · rj (mod m) ⇔ ri ≡ rj (mod m) und (a · ri , m) = (ri , m) = 1
Damit ist die Abbildung ri 7→ a · ri bijektiv auf der Menge der primen Restklassen modulo m.
2
Satz 3.59 (Satz von Euler)
Sei m ∈ N, m ≥ 2 und sei a ∈ Z: (a, m) = 1. Dann gilt
aϕ(m) ≡ 1 (mod m) .
74
3 Kongruenzen
1.6
Beweis.
Sei {r1 , r2 , . . . , rϕ(m) } ein primes Restsystem modulo m.
⇒ [Bemerkung 3.58] {a · r1 , . . . , a · rϕ(m) } primes Restsystem
⇒ r1 · r2 · . . . · rϕ(m) ≡ (a · r1 ) · (a · r2 ) · . . . · (a · rϕ(m) ) (mod m)
⇒ [Kürzungsregel]
1 ≡ aϕ(m) (mod m) .
2
Korollar 3.60
1. p prim, p ∤ a ⇒ ap−1 ≡ 1 (mod p)
2. Kleiner Fermatscher Satz:
p prim, a ∈ Z, bel.
⇒ ap ≡ a (mod p)
Proposition 3.61
Es gibt unendlich viele Primzahlen der Form 4 · k + 1, k ∈ Z.
urf
Beweis.
Wir zeigen: ∀ n ∈ N, n ≥ 2, existiert ein p > n, prim und p ≡ 1 (mod 4)
Denn: Sei N := (n!)2 + 1 und sei p der kleinste Primfaktor von N . Dann gilt
p > n.
(Sonst: p | n! ⇒ p | N − (n!)2 = 1 Widerspruch!)
p | N ⇒ (n!)2 ≡ −1 (mod p)
⇒ (n!)p−1 ≡ (−1)
p−1
p ∤ n! ⇒ (n!)
p−1
p−1
2
(mod p)
≡ 1 (mod p)
= 2·k ⇒p= 4·k+1
Ent
w
Somit: (−1) 2 ≡ 1 (mod p)
p−1
⇒ (−1) 2 = 1 ⇒ p−1
2 gerade,
p−1
2
2
Satz 3.62
Für die primen Restklassen gilt:
1. Die Einheiten des Ringes (Zm , +, ·) sind genau die primen Restklassen
modulo m.
2. Die primen Restklassen modulo m bilden bezüglich der Multiplikation
eine abelsche Gruppe, die prime Restklassengruppe modulo m.
Bemerkung 3.63 (Bezeichnung)
Für die prime Restklassengruppe modulo m schreibt man aus Bequemlichkeit
meist nicht (Z∗m , ·), sondern kurz nur Z∗m .
3.3 Die Sätze von Fermat und Euler
75
1.6
Beweis. Zu 1.
a eine prime Restklasse modulo m ⇒ (a, m) = 1
⇒ a · x ≡ 1 (mod m) lösbar
⇒ ∃ x0 : a · x0 ≡ 1 (mod m)
⇒ ∃ x0 : a · x0 = 1
Umgekehrt: a | 1 ⇒ ∃ x0 ∈
Z∗m
⇒ a|1
: a · x0 = a · x0 = 1
⇒ ∃ x0 ∈ Z : a · x0 ≡ 1 (mod m)
⇒ Lösbarkeitsbedingung erfüllt: (a, m) | 1
⇒ (a, m) = 1
Zu 2.
Es gelten folgende Eigenschaften:
• (a, b) 7→ a · b binäre Operation auf Z∗m :
urf
(a · b, m) = 1, da (a, m) = (b, m) = 1
∗
• Assoziatives Gesetz: gilt bereits in der Obermenge Zm von Zm
• Neutrales Element: 1
• Inverses Element zu a ∈ Z∗m :
(a, m) = 1 ⇒ die lineare Kongruenz a · x ≡ 1 (mod m) ist lösbar
⇒ ∃ x0 ∈ Z : a · x0 ≡ 1 (mod m)
⇒ a · x0 = 1; d.h. x0 ist das Inverse zu a
Ent
w
• Kommutativgesetz: gilt sogar für die Elemente von Zm
2
76
3 Kongruenzen
1.6
3.3.1 Ausflug in die Kryptographie
Definition 3.64 (Kryptologie)
Kryptologie ist die Wissenschaft vom Geheimhalten von Geheimnissen. Sie
bietet Methoden an, sogenannte Geheimschriften, um die Vertraulichkeit von
Daten sicherzustellen. Wir unterscheiden zwischen den folgenden Teilgebieten
der Kryptologie:
Kryptologie
(Wissenschaft von der Geheimhaltung)
Steganographie
(versteckte Geheimschriften)
eigentliche Kryptologie
(offene Geheimschriften)
Kryptographie
Kryptanalyse
urf
Bemerkung 3.65
In diesem Kapitel geht es ausschließlich um Ideen der Kryptographie und
nicht um Steganographie. Beispiele für steganographische Verfahren gibt es
seit der Antike (rasierte Schädel von Sklaven, Wachstafeln: siehe Vortrag),
effizientere Methoden sind unsichtbare Tinten, der Microdot (siehe 2. Weltkrieg), sowie die modernen Verfahren, die Daten in Bildern oder Sound- und
Video-Dateien verstecken.
Link: http://www.jjtc.com/Security/
Definition 3.66 (Verschlüsselungsverfahren, engl.: cryptosystem)
Unter einem Verschlüsselungsverfahren oder Kryptosystem verstehen wir ein
Quintupel (P, C, K, E, D) mit den folgenden Eigenschaften:
Ent
w
1. P ist eine nichtleere endliche Menge und wird der Klartextraum genannt.
Die Elemente von P heißen Klartextelemente (engl.: plaintext elements).
2. C ist eine nichtleere endliche Menge und wird der Chiffretextraum genannt. Die Elemente von C heißen Chiffretextelemente (engl.: ciphertext
elements). Oft sagt man auch: Geheimtextraum bzw. Geheimtextelemente
3. K ist eine nichtleere endliche Menge und wird der Schlüsselraum genannt.
Die Elemente von K heißen Schlüssel (engl.: keys).
4. E = {ek : k ∈ K} ist eine Familie von Funktionen mit der Eigenschaft:
∀k∈K:
ek : P 7→ C
bijektiv.
Die Elemente von E heißen Verschlüsselungsfunktionen (engl.: encryption
functions).
3.3 Die Sätze von Fermat und Euler
77
5. D = {dk : k ∈ K} ist eine Familie von Funktionen mit der Eigenschaft:
dk : C 7→ P
bijektiv
1.6
∀k∈K:
Die Elemente von D heißen Entschlüsselungsfunktionen (engl.: decryption
functions).
6. Es gilt folgende Beziehung zwischen den Elementen von E und D, die
sogenannte Haupteigenschaft:
∀k∈K
∃ k′ ∈ K :
dk′ (ek (p)) = p
∀p∈P
Bemerkung 3.67
Definition 3.66 erfaßt die meisten, aber nicht alle Kryptosysteme. Es wäre an
dieser Stelle zu umständlich, eine “universelle” Definition zu geben.
Ein Klartextelement beziehungsweise ein Chiffretextelement kann aus einem
einzelnen Zeichen oder einem Zeichenblock bestehen, zum Beispiel:
. . . einzelne Zeichen
01101010|0110110
. . . Zeichenblöcke
urf
1|0|1|0|0|1|1|0|1|1
Mit den Methoden der klassischen (dh. symmetrischen) Kryptographie können die vier Grundaufgaben der Kryptographie nur unzureichend erfüllt werden:
1. Vertraulichkeit
Die Nachricht wird verschlüsselt, um die Vertraulichkeit des Inhalts zu
gewährleisten. Der Inhalt der Nachricht soll geheim bleiben.
2. Authentifikation
Sie ermöglichst den Identitätsnachweis des Senders der Nachricht.
Ent
w
3. Integrität
Die Inhalte der Nachrichten bleiben bei der Übertragung unverändert.
4. Verbindlichkeit
Die Nachricht ist verbindlich. Der Sender kann nicht abstreiten, eine bestimmte Nachricht zu einer bestimmten Zeit abgeschickt zu haben.
Die Inhalte von Nachrichten lassen sich durch moderne symmetrische Verschlüsselungsverfahren wie DES und AES sehr gut geheim halten, aber die
Übermittlung der Schlüssel ist umständlich und natürlich riskant.
Auch die Verwaltung der Schlüssel ist aufwendig: Sollen in einem Rechnernetz mit n Computern je zwei Computer über einen gemeinsamengeheimen
Schlüssel verschlüsselt kommunizieren können, dann sind dafür n2 = O(n2 )
Schlüssel erforderlich. Alle diese Schlüssel müssen auf sicherem Weg übermittelt werden.
78
3 Kongruenzen
1.6
In der Praxis ist also schon die erste Grundaufgabe der Kryptographie
ein nicht geringes Problem, wenn wir nur symmetrische Kryptographie zur
Verfügung haben. Speziell die zweite und die vierte Aufgabe sind mit symmetrischer Verschlüsselung nur recht umständlich zu lösen.
Ein Hinweis auf die praktischen Dimensionen: bei der Fluglinie Lufthansa
mußten diese Aufgaben vor kurzem (im Jahr 2001) für etwa 60000 Computerarbeitsplätze gelöst werden. In derart großen Dimensionen wäre die klassische
Kryptographie überfordert.
Allerdings: vor mehr als einem Vierteljahrhundert wurde die Kryptographie durch ein revolutionär neues Konzept total verändert. Im Jahr 1976
präsentierten Whitfield Diffie und Martin E. Hellman in ihrer berühmten Arbeit New Directions in Cryptography“ [7] das Konzept der asymmetrischen
”
oder Public Key-Verschlüsselung.
Wir geben die ursprüngliche Definition von Diffie und Hellman wieder, angepaßt an unsere Notation.
urf
Definition 3.68 (Asymmetrisches oder Public Key-Verschlüsselungssystem)
Unter einem asymmetrischen oder Public Key-Verschlüsselungssystem verstehen wir ein Verschlüsselungssystem (P, C, K, E, D) mit P = C =: M, für das
gilt:
1. Für k ∈ K ist die Funktion ek ∈ E die inverse Abbildung zu dk ∈ D,
dk ◦ ek = ek ◦ dk = Identität.
2. Für k ∈ K und m ∈ M sind die Werte ek (m) und dk (m) leicht zu
berechnen.
3. Für fast alle k ∈ K ist jeder leicht zu berechnende und zur Funktion dk
äquivalente Algorithmus nur mit Hilfe von ek praktisch nicht zu berechnen.
Ent
w
4. Für jedes k ∈ K ist es praktisch möglich, inverse“ Paare von Funktionen
”
(ek , dk ) laut Punkt 1 zu finden.
Bemerkung 3.69
Bei einem Public Key-Verfahren wählt jeder Benutzer einen Schlüssel k ∈ K
aus und erzeugt die Verschlüsselungsfunktion ek und die dazu gehörige Entschlüsselungsfunktion dk . Nach Punkt 4 von Definition 3.68 ist dies möglich.
Wegen der dritten Forderung in Definition 3.68 darf die Verschlüsselungsfunktion ek eines Benutzers öffentlich gemacht werden, ohne dass dadurch
ein Angreifer die Entschlüsselungsfunktion dk finden kann.
Man nennt ek den öffentlichen Schlüssel des Benutzers und dk den geheimen
Schlüssel des Benutzers (Englisch: public key und private key).
3.3 Die Sätze von Fermat und Euler
79
1.6
Bemerkung 3.70 (Kryptographisches Protokoll)
Unter einem kryptographischen Protokoll versteht man eine endliche Folge
von Schritten, um ein kryptographisches Problem zu lösen. Es gilt:
1. Mindestens zwei Personen sind am Protokoll beteiligt (Alice, Bob, . . . ).
2. Der nächste Schritt des Protokolls kann erst getan werden, wenn der
vorhergehende beendet wurde.
3. Jeder am Protokoll Beteiligte muß das Protokoll kennen, insbesondere
jeden der nächsten Schritte.
4. Jeder am Protokoll Beteiligte hält sich an das Protokoll.
5. Jeder Schritt des Protokolls ist eindeutig festgelegt.
6. Das Protokoll muß vollständig sein. Das heißt, jede mögliche Situation
muß berücksichtigt sein.
7. Das Protokoll verwendet kryptographische Methoden.
urf
Bemerkung 3.71 (Protokoll einer Public Key-Verschlüsselung)
Sei (P, C, K, E, D) ein asymmetrisches Verfahren. Sei dAlice der geheime und
eAlice der öffentliche Schlüssel des Benutzers Alice. Analog gelte diese Bezeichnung für Bob, Eve, . . .
Die zu lösende Aufgabe ist jene der Vertraulichkeit der Nachricht. Alice
möchte an Bob eine Nachricht m schicken, die so verschlüsselt werden soll,
dass nur Bob die Nachricht lesen kann und niemand anderer.
1. Alice besorgt sich den öffentlichen Schlüssel eBob von Bob.
2. Alice verschlüsselt den Klartext, also die Nachricht m, mit dem öffentlichen
Schlüssel eBob von Bob und erhält den Geheimtext c,
c = eBob (m).
Ent
w
3. Alice versendet den Geheimtext c über den unsicheren Kanal an Bob.
(Dort liegt Eve auf der Lauer und führt einiges im Schilde)
4. Bob entschlüsselt den Geheimtext c mit seinem privaten Schlüssel,
dBob (c) = dBob (eBob (m)) = m.
Es ist das Grundproblem der Public Key-Verschlüsselung sicherzustellen, dass
der öffentliche Schlüssel von eBob zu Bob gehört und zu niemandem anderen. Es könnte sich sonst Eve (im Internet) als Bob ausgeben und mit Alice
vertrauliche Nachrichten austauschen, die Alice eigentlich an Bob schicken
möchte. Um genau dieses Problem zu lösen, ist eine sogenannte Public KeyInfrastruktur (PKI) notwendig. Zum Beispiel wird in der Signaturverordnung
zum österreichischen Signaturgesetz festgelegt, wie diese PKI auszusehen hat.
80
3 Kongruenzen
1.6
Weitere Informationen erhalten Sie von der Telekom Control Kommission, der
österreichischen Aufsichtsstelle für digitale Signaturen, unter
http://www.signatur.rtr.at/de/index.html
Informationen zu einem lokalen Zertifizierungsdienst finden Sie zum Beispiel
unter https://a-cert.argedaten.at/
Der öffentliche Schlüssel eines Benutzers ist auf der Homepage des Benutzers oder auch von einem public key server wie zum Beispiel pgp.mit.edu
verfügbar. Diese Server müssen gegenüber Hackerattacken besonders gut
geschützt sein.
An Hand eines “Fingerabdruckes” (Englisch: fingerprint) des öffentlichen
Schlüssels von Bob kann Alice sicherstellen, dass es sich wirklich um den
öffentlichen Schlüssel von Bob handelt. Bob und Alice können den Fingerabdruck zum Beispiel per Telephon kontrollieren.
urf
Wegen Eigenschaft 3 in Definition 3.68 kann kein Angreifer aus dem öffentlichen
Schlüssel eBob von Bob den privaten Schlüssel dBob berechnen. Daher kann
nur Bob und niemand sonst den Geheimtext c entschlüsseln, den ihm Alice
geschickt hat, denn nur Bob verfügt über die passende Umkehrfunktion zu
eBob :
dBob (c) = dBob (eBob (m)) = m.
Jeder Angreifer, wie zum Beispiel Eve, scheitert an dieser Stelle, denn
dEve ◦ eBob =
6 Identität,
dAlice ◦ eBob =
6 Identität,
dHermann ◦ eBob 6= Identität,
dMallory ◦ eBob 6= Identität,
Ent
w
Einzig für dBob gilt die gewünschte Beziehung dBob ◦ eBob = Identität.
Bemerkung 3.72 (Protokoll zur digitalen Signatur)
Sei (P, C, K, E, D) ein asymmetrisches Verfahren. Sei dAlice der geheime und
eAlice der öffentliche Schlüssel des Benutzers Alice, analog für Bob, Eve, . . .
Die Aufgabe lautet wie folgt: Alice möchte an Bob eine signierte Nachricht
m schicken. Die digitale Signatur soll sicherstellen (i) dass die Nachricht nur
von Alice stammen kann und nicht von jemandem anderen und (ii) dass die
Nachricht bei der Übertragung nicht verändert wurde (Datenintegrität). Bob
soll die digitale Signatur von Alice und die Integrität der Nachricht einfach
überprüfen können.
1. Alice signiert den Klartext m mit ihrem privaten Schlüssel. Dies ist nichts
anderes als eine Verschlüsselung mit dem Schlüssel dAlice . Alice erhält
3.3 Die Sätze von Fermat und Euler
81
1.6
c = dAlice (m).
2. Alice versendet das Paar(m, c) über den unsicheren Kanal an Bob.
3. Bob besorgt sich den öffentlichen Schlüssel eAlice von Alice.
4. Bob überprüft die digitale Signatur von Alice. Dazu wendet er eAlice auf
c an und kontrolliert, ob die Gleichung
m = eAlice (c)
(3.5)
gilt. Wenn dies der Fall ist, dann betrachtet Bob das Dokument m als von
Alice signiert. Wenn m 6= eAlice (c), dann wurde entweder der Klartext m
bei der Übertragung verändert oder es stimmt die Signatur nicht.
Durch die Anwendung des öffentlichen Schlüssels eAlice auf die erhaltene
Nachricht c überprüft Bob die Signatur von Alice. Wegen der Eigenschaft
3 in Definition 3.68 erzeugt nur die Funktion eAlice aus der empfangenen
Nachricht c den ursprünglichen Klartext m und keine andere Funktion,
urf
eAlice (c) = eAlice (dAlice (m)) = m.
Jeder Angreifer, wie zum Beispiel Eve, scheitert an dieser Stelle, denn
eEve ◦ dAlice =
6 Identität,
eHermann ◦ dAlice =
6 Identität,
eMallory ◦ dAlice 6= Identität,
Einzig für eAlice gilt die gewünschte Beziehung eAlice ◦ dAlice = Identität.
Ent
w
Bemerkung 3.73
Das hier vorgestellte Verfahren zur digitalen Signatur ist ein theoretisches
Konzept, das in dieser (Roh-) Form noch nicht für die Praxis geeignet ist.
Für große Datenmengen ist das Public Key-Verfahren zu langsam.
In der Praxis erzeugt Alice zuerst den Hashwert h(m) des Klartextes m,
signiert dann den Hashwert mittels ihres privaten Schlüssels,
γ = dAlice (h(m)),
und versendet dann das Paar (m, γ) an Bob.
Bob empfängt ein Paar (m′ , γ). Wir gehen hier davon aus, dass Eve eventuell
m bei der Übertragung verstümmelt hat, nicht aber γ. (Der Fall, dass auch
γ verstümmelt wurde, verläuft analog)
Bob wendet eAlice auf γ an,
eAlice (γ) = eAlice (dAlice (h(m))) = h(m).
82
3 Kongruenzen
1.6
Im nächsten Schritt erzeugt Bob selbst den Hashwert der empfangenen Nachricht m′ und erhält den Wert h(m′ ). Wenn die Gleichung
h(m) = h(m′ )
gilt, dann akzeptiert Bob das Dokument m als ein von Alice digital signiertes
Dokument, mit allen Rechtsfolgen für Alice (z.B. Steuererklärung, Kaufvertrag, . . . ).
Stimmen die beiden Hashwerte h(m) und h(m′ ) nicht überein, dann muß
Bob davon ausgehen, dass (i) jemand das Dokument m bei der Übertragung
verändert hat oder (ii) eine technische Störung vorliegt, die entweder m oder
γ verändert hat oder (iii) das Dokument nicht von Alice signiert wurde.
Er wird also das empfangene Dokument m′ ablehnen und sich mit Alice in
Verbindung setzen. Bob ist also gewarnt.
urf
Bemerkung 3.74
Hashfunktionen ordnen einer Datei beliebiger Größe einen Wert fester Grösse
zu. In der Praxis sind Hashwerte meist 128 oder 160 Bit lang. Kryptographische Hashfunktionen sind so konstruiert, dass es praktisch unmöglich ist,
zu einem gegebenen Hashwert H ein Dokument m mit Hashwert h(m) = H
zu finden und dass es äußerst unwahrscheinlich ist, dass zwei verschiedene
Dokumente m 6= m′ den gleichen Hashwert besitzen. Hashfunktionen sind
wichtiger Teil der digitalen Signatur. Wir verweisen auf Schneier [20] für Details zu Hashfunktionen.
-----BEGIN PGP PUBLIC KEY BLOCK----Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>
Ent
w
mQGiBDoQ8UkRBAD5HgWVsgJt00HzZl65tkjG73H4pT1h4PE9NHEZOCnojgKY5T1n
G2gDMiPeKXAG22PMbHWG6eDGco/SYo/cQyRQvUBtLjlopowYh+o4iGIlASgBcN7x
/6Kgb/+vrS0EZ/rGmB+ORELaU9DkHnuebeYMf9DZTz2U/H2hUcfAgP8xZQCg/wDe
rPTEjQNaXjvWZ0dk0tIxeTkD/RUxxu71VGS4Cldbxm4+X/9qFYJu5VQOugKMCnYI
P6fNglK2D6V6sGsb6vr9O2SmWkFaJ/UdiV3gf6QJ7z92C5ftFK6rlB0KCO1AopVL
... (und so weiter)
PZeAEIyJAEYEGBECAAYFAjoQ8UoACgkQoTwz1Sp6LJDdfACfXnAMrVQbalJaNvxT
ncGO9JqhltUAoK8sglIB45ajkvv23HkFxZgUmoH+
=171C
-----END PGP PUBLIC KEY BLOCK----Abbildung 3.1. Teil eines öffentlichen Schlüssels zu PGP
3.3 Die Sätze von Fermat und Euler
83
1.6
3.3.2 Das RSA-Verfahren
Nachdem Diffie und Hellman ihr revolutionäres Konzept der asymmetrischen
Verschlüsselung vorgestellt hatten, begann eine intensive Suche nach geeigneten Algorithmen für die Implementierung.
Im Jahr 1977 stellten Ron Rivest, Adi Shamir und Leonard Adleman das sogenannte RSA-Verfahren vor und ließen es als US Patent No. 4 405 829 patentieren, obwohl Pohlig und Hellman mehr als ein Jahr vor ihnen ein vergleichbares
Verfahren präsentiert hatten (siehe http://www.cyberlaw.com/rsa.html).
Das RSA-Patent ist am 20.9.2000 abgelaufen. Der Unterschied zwischen RSA
und Pohlig-Hellman liegt darin, dass bei RSA der Modul n = p · q eine zusammengesetzte Zahl ist, anstelle von n = p bei Pohlig-Hellman.
Bemerkung 3.75 (Schlüsselerzeugung)
Jeder Benutzer des RSA-Verfahrens erzeugt seinen öffentlichen und privaten
Schlüssel auf die folgende Weise:
urf
1. Zuerst wählt der Benutzer zwei große Primzahlen p 6= q mit vorgeschriebener Bitlänge L. (Typische Werte für L liegen in der Praxis zwischen
384 und 1024)
2. Er bildet das Produkt n = p · q.
3. Als nächstes berechnet er ϕ(n) = ϕ(p) · ϕ(q) = (p − 1) · (q − 1) und wählt
eine beliebige Zahl e mit den Eigenschaften
1 < e < ϕ(n)
und
(e, ϕ(n)) = 1.
(In der Praxis muß hier aufgepaßt werden)
4. Er berechnet die eindeutig bestimmte Lösung d (1 < d < ϕ(n)) der
linearen Kongruenz
e · d ≡ 1 (mod ϕ(n)) .
Ent
w
5. Abschließend vernichtet der Benutzer die beiden Zahlen p und q und
veröffentlicht das Paar (e, n). Die Zahl d wird geheimgehalten.
Definition 3.76 (Öffentlicher und privater Schlüssel)
Das Paar (e, n) heißt der öffentliche Schlüssel des Benutzers. Die Zahl d heißt
der geheime Schlüssel des Benutzers.
Beispiel 3.77 Es seien p = 47 und q = 59, also n = 2773 und ϕ(n) =
46 · 58 = 2668. Wir wählen e = 17 und berechnen d,
17d ≡ 1 (mod 2668) .
Dazu lösen wir die entsprechende diophantische Gleichung 17d + 2668b = 1
mit dem Euklidischem Algorithmus,
84
3 Kongruenzen
17 = 16 + 1
1.6
2668 = 17 · 156 + 16
Also gilt 1 = 17 · 157 − 2668 und damit d = 157. Der Benutzer veröffentlicht
den öffentlichen Schlüssel (17, 2773) und hält den geheimen Schlüssel 157
geheim.
Bemerkung 3.78 (Verschlüsselung)
Sei der Klartext m eine ganze Zahl mit 0 ≤ m < n. Dann lautet das zugehörige Geheimtextelement c
c ≡ me (mod n) .
Bemerkung 3.79 (Entschlüsselung)
Sei c das gegebene Geheimtextelement, also eine ganze Zahl mit 0 ≤ c < n.
Dann lautet das zugehörige Klartextelement
m ≡ cd (mod n) .
urf
Bemerkung 3.80
Warum gilt die Beziehung
cd ≡ (me )d ≡ med ≡ m (mod n)?
Proposition 3.81
Seien p, q, n, e und d wie vorhin erklärt. Dann gilt für alle Klartextelemente
m ∈ Z:
c ≡ me (mod n) ⇒ cd ≡ m (mod n) .
Ent
w
Beweis. Wir merken zunächst an, dass ed ≡ 1 (mod ϕ(n)) ist. Es existiert
also eine ganze Zahl k, für die ed = 1 + k · ϕ(n) ist. Weiters bemerken wir,
dass gilt:
(
1 (mod p) , falls (m, p) = 1
p−1
m
≡
0 (mod p) , falls (m, p) > 1
Erheben wir nun mp−1 zur k · (q − 1)-ten Potenz, so erhalten wir:
(
1 (mod p) , falls (m, p) = 1
mk·ϕ(n) ≡
0 (mod p) , falls (m, p) > 1
Nun ist (m, p) > 1 genau dann, wenn (m, p) = p, wegen der Primeigenschaft
von p. Es folgt in diesem Fall m ≡ 0 (mod p). Auf analoge Weise läßt sich
zeigen, dass die Äquivalenz (m, q) > 1 ⇔ m ≡ 0 (mod q) gilt. Damit folgt
med ≡ m1+k·ϕ(n) ≡ m (mod p)
med ≡ m (mod q) .
3.3 Die Sätze von Fermat und Euler
85
1.6
Mit Hilfe der Rechnenregeln für Kongruenzen erhalten wir med ≡ m (mod p ·
q), also med ≡ m (mod n).
2
Korollar 3.82
Die Abbildung m 7→ med ist bijektiv auf der Menge Zn , denn aus med ≡
aed (mod n) folgt m ≡ a (mod n).
Damit wir bei der Entschlüsselung des Geheimtextes c genau die Nachricht
m bekommen und nicht nur eine Zahl m′ (mod n), muß 0 ≤ m < n gelten.
Es sei n gegeben. Wir ermitteln die eindeutig bestimmte Zahl i mit 10i <
n < 10i+1 . Der Klartext wird nun in eine Folge von dekadischen Ziffern
verwandelt, wobei jedem Klartextelement die gleiche Anzahl von Ziffern
zugeordnet wird (z.B. mit a 7→ 00, b 7→ 01, . . . , z 7→ 25). Die Folge
wird anschließend in Blöcke der Länge i aufgeteilt, sodaß jeder Ziffernblock
b0 b1 . . . bi−1 ∈ {0, 1, . . . , 9}i als dekadische Darstellung einer Zahl m mit
0 ≤ m < 10i angesehen wird,
m = b0 · 100 + b1 · 101 + · · · + bi−1 · 10i−1 .
urf
Wegen 0 ≤ m < 10i < n liegt m im gewünschten Zahlenbereich {0, 1, . . . , n −
1}. Beim RSA-Verfahren erhalten wir daher beim Entschlüsseln wieder die
Zahl m.
Beispiel 3.83
In der Praxis wird RSA als eine Art Blockchiffre angewendet. Wir sehen
uns das Konzept an einem Sandkastenbeispiel mit p = 47 und q = 59 an.
Diese Werte für p und q kennen wir aus Beispiel 3.77, n = 2773, e = 17 und
d = 157. Wir bestimmen die passende Blocklänge. Es gilt 103 < 2773 < 104 ,
also wäre die Blocklänge nach unserer Festlegung 3. Da aber gilt: je größer
die Blocklänge, umso schneller ist die Verschlüsselung, überlegen wir uns, daß
in diesem Fall auch die Blocklänge 4 funktioniert.
Ent
w
Dazu legen wir Die Zuordnung Text → Zahlen wie folgt fest:
a 7→ 00
b 7→ 01
c 7→ 02
usw.
z→
7 25
7→ 26
Die Zuordnung in Blöcken zu je vier Ziffern funktioniert folgendermaßen:
h a s t a
l a
v ista
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ...
07 00 18 19 00 26 11 00 26
Die größtmögliche Zahl, die hier auftreten kann, ist die Zahl 2626. Sie ist damit kleiner als der Modul n = 2773. Daher gilt stets 0 ≤ m < n, wir können
86
3 Kongruenzen
1.6
daher mit der Blocklänge 4 arbeiten, ohne die Bijektivität zu gefärden. Die
blockweise Verschlüsselung liefert abschließend die Folge der Geheimtextblöcke:
0700 1819 0026 1100
↓
↓
↓
↓ ...
0761 0818 1445 0778
Bemerkung 3.84 (Sicherheit von RSA)
Die Sicherheit von RSA beruht darauf, dass die Berechnung der Zahl ϕ(n)
schwierig ist. Man benötigt nach dem derzeitigen Stand des Wissens die Faktorisierung der Zahl n. Public Key-Verfahren sind ein großes Geschäft. Die
Firma RSA hat Preise ausgesetzt für diejenigen, die große Zahlen faktorisieren können (siehe http://www.rsalabs.com).
urf
3.4 Algebraische Kongruenzen und ein Satz von
Lagrange
Definition 3.85 (Algebraische Kongruenz)
Sei f ∈ Z[X]. Unter einer algebraischen Kongruenz verstehen wir eine Kongruenz der Form
f˜(x) ≡ 0 (mod m)
wobei f˜ : Z → Z die zugeordnete Polynomfunktion ist.
Unter dem Grad einer algebraischen Kongruenz f˜(x) ≡ 0 (mod m) verstehen
wir den größten Index k, für den der Koeffizient von xk inkongruent 0 modulo
m ist.
Ent
w
Bemerkung 3.86 Auf Grund der Rechenregeln für Kongruenzen ist klar,
daß wir nur an den modulo m inkongruenten Lösungen interessiert sind. Die
Kandidatenmenge ist also {0, 1, . . . , m − 1}.
Beispiel 3.87 Wir betrachten einige Beispiele:
1.
x3 − x ≡ 0 (mod 6)
(3.6)
Kandidaten: 0, 1, 2, 3, 4, 5
∀ a ∈ Z : a3 − a = (a − 1) · a · (a + 1)
Somit:
• das Produkt zweier aufeinanderfolgender ganzer Zahlen ist durch 2
teilbar
3.4 Algebraische Kongruenzen und ein Satz von Lagrange
87
⇒∀ a ∈ Z : 2 | a3 − a
3 | a3 − a
⇒∀ a ∈ Z : a3 − a ≡ 0 (mod 6)
1.6
• das Produkt dreier aufeinanderfolgender ganzer Zahlen ist durch 3 teilbar
⇒x ≡ 0, 1, 2, 3, 4, 5 sind die modulo 6 inkongruenten Lösungen von (3.6)
2. Sei p prim gegeben.
(x − 1) · (x − p − 1) ≡ 0 mod p2
(3.7)
Kandidaten: 0, 1, 2, . . . , p2 − 1
x0 = 1 ist eine Lösung. Sei nun x0 > 1 eine Lösung. Dann muß gelten:
p | x0 − 1 oder p | x0 − p − 1 ⇒ p | x0 − 1
Somit: die notwendige Bedingung für eine Lösung x0 lautet:
urf
x0 = 1 oder,andernfalls, p | x0 − 1
⇒ x0 ∈ {1, p + 1, 2p + 1, 3p + 1, . . . , (p − 1) · p + 1}
Umgekehrt ist jede dieser Zahlen eine Lösung von (3.7).
Daher gilt:
x0 löst (3.7) ⇔ x0 ≡ 1, p + 1, 2p + 1, . . . , (p − 1) · p + 1 mod p2
3. x2 + 1 ≡ 0 (mod 3)
Kandidaten: 0, 1, 2
⇒ Es gibt keine Lösung
Ent
w
Bemerkung 3.88 Sei f ∈ Z[x], f = an · xn + . . . + a1 · x + a0 . Dann gilt:
x0 ∈ Z löst f˜(x) ≡ 0 (mod m)
⇔
x0 ist eine Nullstelle des Polynoms
an · xn + an−1 · xn−1 + . . . + a1 · x + a0 ∈ Zm [x]
Proposition 3.89 Sei f ∈ Z[X], f = an · xn + an−1 · xn−1 + . . . + a0 , an 6= 0
[d.h. deg f = n]
1. Falls ein a ∈ Z mit f˜(a) = 0 existiert, dann gilt:
∃ g ∈ Z[X] : f = (x − a) · g mit deg(g) = n − 1
88
3 Kongruenzen
2. Sind a1 , . . . , ak paarweise verschiedene Nullstellen von f, dann gilt:
d.h. ∃ g ∈ Z[X]: f =
k
Q
i=1
(x − ai ) · g
1.6
(x − a1 ) · (x − a2 ) · . . . · (x − ak ) teilt f in Z[X]
3. f hat in Z höchstens n = deg(f ) Nullstellen
Beweis. Siehe Skriptum zur Algebra (gleicher Webserver).
2
Korollar 3.90 Die Behauptung von Proposition 3.89 (2) gilt auch für Integritätsbereiche R: f ∈ R[X], f = an · xn + . . . + a0 mit an 6= 0.
a1 , . . . , ak seien paarweise verschiedene Nullstellen von f ⇒
k
Y
i=1
|
(x − ai ) | f
{z
∈R[X]
}
urf
Satz 3.91 (Satz von Lagrange)
Sei p prim, f ∈ Z[X]: f = an · xn + . . . + a1 · x + a0 , und es gelte p ∤ an .
⇒ f˜(x) = an · xn + an−1 · xn−1 + . . . + a0 ≡ 0 (mod p) hat höchstens n
inkongruente Lösungen modulo p
Beweis. Wir wissen bereits, daß {0, 1, . . . , p − 1} die Kandidatenmenge für
die modulo p inkongruenten Lösungen ist. Weiters wissen wir, daß
an · xn0 + . . . + a1 · x0 + a0 ≡ 0 (mod p) ⇔ an · x0 n + . . . + a1 · x0 + a0 = 0
Ent
w
d.h. x0 ist eine Nullstelle von f genau dann, wenn x0 eine Nullstelle des
Polynoms
an · xn + . . . + a1 · x + a0 ∈ Zp [x]
ist. p ist prim, daher ist Zp ein Integritätsbereich und wir können Satz ??
anwenden.
2
Bemerkung 3.92 Sei p prim.
1. xp−1 − 1 ≡ (x − 1) · (x − 2) · . . . · (x − (p − 1)) (mod p)
2. Falls d | p-1, dann gilt: die Kongruenz xd − 1 ≡ 0 (mod p) hat genau d
inkongruente Lösungen modulo p.
3.5 Untergruppen und der Satz von Lagrange
89
Beweis.
⇒ ap−1 ≡ 1 (mod p)
∀ a : a = 1, 2, . . . , p − 1
1.6
Satz von Euler
⇒ 1, 2, . . . , p − 1 sind paarweise verschiedene
Korollar 3.90
Nullstellen von xp−1 − 1 ∈ Zp [x]
p−1
Y
⇒
(x − a) xp−1 − 1
a=1
Koeffizientenvergleich
⇒
d.h.
p−1
Y
(x − a) = xp−1 − 1 in Zp [x]
a=1
p−1
Y
(x − a) = xp−1 − 1 ∀ x ∈ Zp
a=1
⇒
p−1
Y
(x − a) ≡ xp−1 − 1 (mod p)
a=1
urf
Es gilt
xd − 1 ≡ 0 (mod p) ⇔ xd − 1 = 0 in Zp
⇔ Nullstelle von xd − 1 ∈ Zp [x]
xd −1 hat höchstens d Nullstellen in Zp , d.h. xd −1 ≡ 0 (mod p) hat höchstens
d inkongruente Lösungen modulo p
d | p − 1 ⇒ xp−1 − 1 = (xd − 1) · g
mit g ∈ Zp [x], deg(g) = p − 1 − d
xp−1 − 1 hat genau p − 1 Nullstellen in Zp (siehe Teil 1)
g hat höchstens p − 1 − d Nullstellen in Zp
Ent
w
⇒ xd − 1 hat mindestens p − 1 − (p − 1 − d) = d Nullstellen in Zp .
2
Korollar 3.93 (Satz von Wilson)
(p − 1)! ≡ −1 (mod p)
Denn: setzen x = 0 in Teil 1 von Bemerkung 3.92.
3.5 Untergruppen und der Satz von Lagrange
Definition 3.94 (Untergruppe)
Sei (G, ·) eine Gruppe. Unter einer Untergruppe von (G, ·) verstehen wir eine
nichtleere Teilmenge H von G, für die (H, ·) eine Gruppe ist.
90
3 Kongruenzen
Beispiel 3.95
1.6
1. ({1, 5}, ·) ist eine Untergruppe von (Z∗12 , ·)
2. (3Z, +) ist eine Untergruppe von (Z, +)
Bemerkung 3.96
(G, ·) Gruppe, H ⊆ G, H 6= ∅. Dann gilt:
H Untergruppe von G ⇔ ∀ a, b ∈ H : a · b−1 ∈ H
Beweis.
Sei H eine Untergruppe von G. Dann gilt trivialerweise ∀ a, b ∈ H : a · b−1 ∈
H.
Sei ∀ a, b ∈ H : a · b−1 ∈ H. Sei e das neutrale Element von G und sei a ∈ H.
Dann gilt: a · a−1 = e ∈ H. Weiters gilt: a ∈ H ⇒ a−1 · e = a−1 ∈ H.
2
urf
Definition 3.97 (Ordnung einer Gruppe)
Sei (G, ·) eine Gruppe. Unter der Ordnung von G verstehen wir die Anzahl
der Elemente in G. Bezeichnung: |G|
Satz 3.98 (Satz von Lagrange)
Sei (G, ·) eine endliche Gruppe, d.h. |G| < ∞.
H Untergruppe von G ⇒ |H| |G|
Beweis. Sei H ⊂ G und H = {h1 , . . . , hm }. Somit gilt:
⇒ H ∩ a1 H = ∅
[Sonst: hi = a1 · hj ⇒ hi · h−1
j = a1 ∈ H Wid.!]
∃ a1 ∈ G\H
Ent
w
Weiters gilt: |H| = |a1 H|
[Denn die Abbildung h 7→ a1 · h ist bijektiv von H auf a1 H]
Falls G = H ∪ a1 H: fertig!
Falls
( G ⊃ H ∪ a1 H: ∃ a2 ∈ G\(H ∪ a1 H)
H ∩ a2 H = ∅
[hi = a2 · hj ⇒ a2 = hi · h−1
j ∈ H Wid!]
⇒
a1 H ∩ a2 H = ∅ [a1 · hi = a2 · hj ⇒ a1 · hi · h−1
j = a2 ∈ a1 H Wid.!]
Weiters: |H| = |a1 H| = |a2 H|
Falls G = H ∪ a1 H ∪ a2 H: fertig!
Falls G ⊃ H ∪ a1 H ∪ a2 H: ∃ a3 ∈ G\(H ∪ a1 H ∪ a2 H)
usw.
3.6 Zyklische Gruppen
91
Da G endlich ist, folgt nach endlich vielen Schritten
(disjunkt)
1.6
G = H ∪ a1 H ∪ a2 H ∪ . . . ∪ ak H
⇒ |H| |G|
Beispiel 3.99
2
1. G = Z∗12 ⇒ |G| = ϕ(12) = 4
Somit existieren nur Untergruppen der Ordnungen 1, 2, 4
|H| = 1 ⇒ H = {1}
|H| = 4 ⇒ H = G = Z∗12
|H| = 2 ⇒ Da das neutrale Element 1 in H liegen muß, gilt notwendig:
H = {1, 5}
H = {1, 7}
H = {1, 11}
2. G = Z∗7 ⇒ |G| = 6
urf
ist die Gesamtheit der Untergruppen der Ordnung 2
|H| = 1, |H| = 6 . . . dies sind die trivialen Fälle
|H| = 2: {1, 6}
|H| = 3: {1, 2, 4}
1
=3
=3·3=2
=3·3·3 = 6
=3·3·3·3= 4
=5
=1
Ent
w
Beobachten: 3
2
3
3
3
4
3
5
3
6
3
Die Potenzen von 3 erzeugen also die Gruppe (Z∗7 , ·).
3.6 Zyklische Gruppen
Definition 3.100 (Ordnung eines Elementes)
Sei (G, ·) eine Gruppe mit neutralem Element e. Für a ∈ G und k ∈ Z, k ≥ 0,
bezeichne
92
3 Kongruenzen
1.6

falls k = 0
e
ak = a · a · . . . · a falls k ∈ N
{z
}
|
k-mal
Unter der Ordnung ordG (a) eines Elementes a ∈ G verstehen wir die Zahl
(
min{k ∈ N : ak = e} falls diese Menge nichtleer ist
ordG (a) :=
∞
sonst
Beispiel 3.101
1. G = Z∗12
ordG (1) = 1
ordG (5) = ordG (7) = ordG (11) = 2
2. G = (Z, +)
3. G = Z∗7
urf
ordG (0) = 1
ordG (a) = ∞ ∀ a ∈ Z\{0}
ordG (6) = 2
ordG (2) = 3
0
1
ordG (3) = 6
ordG (4) = 3
ordG (5) = 6
Ent
w
Bemerkung 3.102
Sei (G, ·) eine endliche Gruppe. Dann gilt
1. ordG (a) < ∞ ∀ a ∈ G
2. ordG (a) = ordG (a−1 ) ∀ a ∈ G
Beweis.
1. ak 6= al ∀ k, l ≥ 0
⇒ |G| = ∞ W!
⇒ ∃ k > l : ak = al
⇒ ak−l = e
⇒ ordG (a) < ∞
2
3
2 = 1, 2 = 2, 2 = 4, 2 = 1
3.6 Zyklische Gruppen
93
1.6
2. a · a−1 = e; sei k = ordG (a), k ′ = ordG (a−1 )
⇒ (a · a−1 )k = ak · (a−1 )k = (a−1 )k = e ⇒ k ′ ≤ k
′
Analog für (a · a−1 )k ⇒ k ≤ k ′
2
Bemerkung 3.103
Sei (G, ·) eine Gruppe und a ∈ G. Dann gilt:
{ak : k ∈ Z} ist eine Untergruppe von G [a−n := (a−1 )n für n ∈ N]
Beweis. ak · (al )−1 ist stets wieder in dieser Teilmenge von G ⇒ Untergruppe
2
Definition 3.104 (Von a erzeugte Untergruppe)
Sei (G, ·) eine Gruppe und sei a ∈ G. Unter der von a erzeugten Untergruppe
von G verstehen wir die Untergruppe {ak : k ∈ Z}.
Wir bezeichnen diese Untergruppe mit < a >.
urf
Beispiel 3.105
1. G = Z∗12
< 5 >= {1, 5}, < 7 >= {1, 7}, < 11 >= {1, 11}
2. G = (Z, +)
< 1 >= Z, < a >= aZ 6= Z für a ∈ Z\{−1, 1}
3. G = Z∗7
< 2 >= {1, 2, 4}, < 3 >= Z∗7 =< 5 >, < 6 >= {1, 6}
Bemerkung 3.106
In allen diesen Beispielen hat gegolten: Die Ordnung des Elementes a ist
gleich der Ordnung der von a erzeugten Untergruppe, ordG (a) = | < a > |.
Ent
w
Proposition 3.107
(G, ·) Gruppe und a ∈ G beliebig. Dann gilt: Die Ordnung des Elementes a
ist gleich der Ordnung der von a erzeugten Untergruppe G,
ordG (a) = | < a > |
Beweis. Falls ordG (a) = ∞ ⇒ | < a > | = ∞
Denn: falls ∃ i, j mit i > j: ai = aj ⇒ ai−j = e, also muß ordG (a) < ∞
gelten!
Sei nun ordG (a) =: t < ∞, k ∈ Z beliebig
⇒ [Division mit Rest] k = q · t + r mit 0 ≤ r < t
⇒ ak = (at )q · ar = ar
Somit: < a >= {e = a0 , a, a2 , . . . , at−1 } mit t := ordG (a)
2
94
3 Kongruenzen
Beispiel 3.109
1. (Z, +) ist zyklisch: Z =< 1 >
2. (Z∗12 , ·) ist nicht zyklisch, denn:
< 5 > ⊂ Z∗12
< 7 > ⊂ Z∗12
< 11 > ⊂ Z∗12
3. (Z∗7 , ·) ist zyklisch: Z∗7 =< 3 >
4. (Zm , +) ist zyklisch: Zm =< 1 >
Proposition 3.110 (Folgerungen
aus
1.6
Definition 3.108 (Zyklische Gruppe)
Eine Gruppe (G, ·) heißt eine zyklische Gruppe, wenn ein Element a ∈ G
existiert mit < a >= G.
dem
Satz
von
Lagrange)
urf
1. Sei (G, ·) eine endliche Gruppe und a ∈ G beliebig

ordG (a) | |G|
⇒
a|G| = e
2. Sei (G, ·) eine endliche Gruppe und |G| prim
⇒ (G, ·)
ist zyklisch
3. Sei m ∈ N und a ∈ Z, (a, m) = 1
⇒ aϕ(m) ≡ 1 (mod m)
Ent
w
Beweis.
. . . Satz von Euler
1. < a > ist eine Untergruppe von G ⇒ | < a > ||G|.
Wegen | < a > | = ordG (a) folgt die Behauptung.
a|G| = (at )|G|/t = e, wobei wir t := ordG (a) gesetzt haben.
2. |G| prim ⇒ |G| ≥ 2. Sei a ∈ G mit a 6= e ⇒ | < a > ||G|.
Wegen a 6= e ist | < a > | ≥ 2 und somit gilt | < a > | = |G|, also
< a >= G.
3. (a, m) = 1 ⇒ a ∈ Z∗m ⇒ aϕ(m) = 1 ⇒ aϕ(m) ≡ 1 (mod m)
2
3.7 Die Struktur der primen Restklassengruppe
95
Im Folgenden sei m ∈ Z, m ≥ 2.
1.6
3.7 Die Struktur der primen Restklassengruppe
Wir haben bereits gesehen: (G, ·) Gruppe, |G| < ∞, a ∈ G
⇒ ordG (a) = min{k ∈ N : ak = e} = | < a > |.
Speziell: m ∈ N, a ∈ Z: (a, m) = 1 ⇒ a ∈ Z∗m
ordZ∗m (a) = | < a > | |Z∗m | = ϕ(m)
Definition 3.111 (Ordnung)
Sei m ∈ N und a ∈ Z, (a, m) = 1. Unter der Ordnung von a modulo m
verstehen wir die natürliche Zahl
ordm (a) := min{k ∈ N : ak ≡ 1 (mod m)}
urf
Bemerkung 3.112
Zwischen der Ordnung einer ganzen Zahl und der Ordnung der zugeordneten
primen Restklasse besteht der folgende Zusammenhang:
ordm (a) = ordZ∗m (a).
Beispiel 3.113
1. ord12 (23) = ord12 (11) = 2, denn:
23 ≡ 11 (mod 12)
⇒ 23k ≡ 11k (mod 12)
∀k∈Z
⇒ ord12 (23) = ord12 (11) = 2
Ent
w
2. ord7 (2) = 3
ord7 (3) = 6
Definition 3.114 (Primitivwurzel modulo m)
Sei m ∈ N. Unter einer Primitivwurzel modulo m verstehen wir eine ganze
Zahl a mit den Eigenschaften
1. (a, m) = 1
[⇒ a ∈ Z∗m ]
2. ordm (a) = ϕ(m) [⇒< a >= Z∗m ]
Bemerkung 3.115
Es gilt:
1. a ist eine Primitivwurzel modulo m genau dann, wenn die Restklasse a
die prime Restklassengruppe Z∗m erzeugt.
96
3 Kongruenzen
2. Nicht für jeden Modul m existieren Primitivwurzeln modulo m:
1.6
∃ Primitivwurzeln modulo m ⇔ Z∗m zyklisch
Denn:
a Primitivwurzel modulo m ⇒< a >= Z∗m ⇒ Z∗m zyklisch
Umgekehrt:
Z∗m zyklisch ⇒ ∃ a :< a >= Z∗m ⇒ a Primitivwurzel
Beispiel:
Z∗12 ist nicht zyklisch (Kleinsche Vierergruppe) und daher gibt es modulo
12 keine Primitivwurzeln.
3. p prim ⇒ Z∗p zyklisch.
Daher gibt es mindestens eine Primitivwurzel modulo p.
urf
Lemma 3.116
Seien m ∈ N und a ∈ Z, (a, m) = 1. Dann gilt:
1. Falls ak ≡ 1 (mod m), k ∈ N, dann folgt
ordm (a) | k
2. Für t := ordm (a) ist
ordm (ai ) =
Beweis.
t
(i, t)
Ent
w
1. ak ≡ 1 (mod m) ⇔ ak = 1 in Z∗m
Sei t := ordZ∗m (a). Dann gilt (Division mit Rest)
k =q·t+r
0≤r<t
Falls r > 0 wäre:
ak = (at )q · ar = 1 ⇒ ar = 1
Wid.! zu t = min{s ∈ N : as = 1}
Somit: t | k
Wegen t = ordZ∗m (a) = ordm (a) folgt die Behauptung.
2. Sei ki := ordm (ai ). Dann gilt klarerweise
(ai )ki = ai·ki ≡ 1 (mod m)
also folgt
3.7 Die Struktur der primen Restklassengruppe
97
Wegen at ≡ 1 (mod m) folgt
i
(a )
Somit: ki =
t
(t,i) ,
t
(t,i)
=a
i
t· (t,i)
1.6
t t | i · ki ⇒
ki
(t, i) t
≡ 1 (mod m) ⇒ ki (t, i)
ki = ordm (ai ), t = ordm (a)
2
urf
Satz 3.117
Sei m ∈ N so, dass Primitivwurzeln modulo m existieren. Dann gibt es genau
ϕ(ϕ(m)) inkongruente Primitivwurzeln modulo m. Anders ausgedrückt (in
der “Sprache” der Restklassen): Wenn (Z∗m , ·) zyklisch ist, dann gibt es genau
ϕ(ϕ(m)) erzeugende Elemente a in Z∗m .
Spezialfall: m = p prim ⇒ ∃ ϕ(p − 1) inkongruente Primitivwurzeln modulo
p (da wir ja bereits wissen, daß (Z∗p , ·) zyklisch ist)
Beweis. Sei a eine Primitivwurzel modulo m. Da a die prime Restklassengruppe Z∗m erzeugt, hat jede andere Primitivwurzel b modulo m die Eigenschaft
b ≡ ai (mod m) bzw. b = ai
für ein bestimmtes i, 1 ≤ i < ϕ(m).
Nun wissen wir:
ordm (ai ) =
ordm (a)
(ordm (a), i)
Wegen ordm (a) = ϕ(m) und dem Wunsch, daß ai auch eine Primitivwurzel
sein soll, folgt:
Ent
w
#{i, 1 ≤ i < ϕ(m) : ai ist eine Primitivwurzel modulo m}
=#{i, 1 ≤ i < ϕ(m) : (ϕ(m), i) = 1}
=ϕ(ϕ(m))
2
Frage: Zu welchem Modul m existieren Primitivwurzeln?
Die Antwort stammt von Gauß:
Satz 3.118
Es existieren genau dann Primitivwurzeln modulo m, wenn der Modul m von
der folgenden Form ist:
m = 2, 4, pα , 2 · pα mit ungerader Primzahl p, α ∈ N
98
3 Kongruenzen
1.6
Beweis. Eine Beweisvariante findet sich in Bundschuh[5, Kap.2]. Die andere
Beweisvariante verwendet eine Fortsetzungstechnik“ von Primitivwurzeln
”
modulo p zu Primitivwurzeln modulo pα (siehe Hua[14]).
2
Ent
w
urf
Wir wissen also nun, wann (Z∗m , ·) eine zyklische Gruppe ist. Nach dem
Hauptsatz über endliche abelsche Gruppen von Frobenius und Stickelgruber ist also in jedem Fall (Z∗m , ·) ein direktes Produkt zyklischer Gruppen;
diese sind durch die Primfaktorzerlegung von m bestimmt. Für einen Beweis
siehe zum Beispiel Hlawka et al.[13].
1.6
4 Diophantische Approximation
Ein klassisches Problem der Zahlentheorie ist das folgende:
Frage 4.1 Wie können wir eine gegebene reelle Zahl α möglichst gut durch
rationale Zahlen p/q approximieren (p ∈ Z, q ∈ N)?
Da für α die Darstellung
α = [α] + {α}
urf
mit [α] ∈ Z und {α} ∈ [0, 1[ gilt, können wir uns bei diesem Approximationsproblem auf reelle Zahlen α im Intervall [0, 1[ beschränken.
Eine Möglichkeit der Approximation liegt auf der Hand: wir entwickeln α zur
Basis 10 (“dekadische Entwicklung”) und brechen nach endlich vielen Stellen
ab. Auf diese Weise erzeugen wir rationale Zahlen, die α approximieren.
Wenn wir an die Zahl α = π denken, so werden uns sofort einige rationale
Approximationen einfallen:
314
100
314159
∼ 3.14159 =
100000
22
∼
7
Ent
w
π ∼ 3.14 =
Die ersten beiden Approximationen von π sind über die dekadische Entwicklung entstanden, die Approximation durch 22/7 fällt für den Moment vom
Himmel.
Welche dieser Approximationen ist die bessere und wie kommen wir zu
möglichst guten Approximationen? Was bedeutet in diesem Zusammenhang
“gut”? Warum ist die Approximation von π durch 22/7 so gut und warum
ist sie besser als zum Beispiel jene durch 31/10 oder 314/100?
Diese Fragen werden wir in diesem Kapitel diskutieren.
Als Erstes beschäftigen wir uns mit der b-adischen Entwicklung, b ≥ 2 eine
feste natürliche Zahl. Wir verallgemeinern hier die Binärentwicklung (b = 2)
und die dekadische Entwicklung (b = 10).
100
4 Diophantische Approximation
1.6
Bemerkung 4.2 (Hinweis zum Inhalt)
Teilkapitel 1.1 und 1.2 sind nur in Rohfassung vorhanden und zählen nicht
zum Prüfungsstoff. Sie dienen nur zu Ihrer Information.
Ent
w
urf
Teilkapitel 1.3 ist für die Vorlesungsprüfung zu lernen.
4.1 Die b-adische Entwicklung natürlicher Zahlen
101
1.6
4.1 Die b-adische Entwicklung natürlicher Zahlen
Sei b ∈ N, b ≥ 2. Wir nennen die Zahl b die Basis der Entwicklung.
Satz 4.3
Für jede ganze Zahl n ≥ 0 gilt:
n=
∞
X
j=0
nj · b j
mit nj ∈ {0, 1, . . . , b − 1},
wobei nj 6= 0 nur für endlich viele Indizes j gilt. Die Zahlen nj sind eindeutig
bestimmt.
Beweis.
Zur Existenz der Darstellung.
Sei n = 0. Dann wählen wir nj = 0 für alle j.
Sei n ∈ N. Dann gilt:
bs ≤ n < bs+1
urf
∃ s ∈ Z, s ≥ 0 :
⇒ n = ns · bs + rs
rs = ns−1 · bs−1 + rs−1
rs−1 = ns−2 · bs−2 + rs−2
..
.
rs−t = ns−t−1 · bs−t−1 + rs−t−1
Ent
w
..
.
1 ≤ ns < b
0 ≤ rs < bs
0 ≤ ns−1 < b
0 ≤ rs−1 < bs−1
0 ≤ ns−t−1 < b
0 ≤ rs−t−1 < bs−t−1
r1 = n0 · b0
Somit folgt:
n = ns · bs + ns−1 · bs−1 + . . . + n0
Zur Eindeutigkeit:
Sei
n = n s · b s + . . . + n 0 = mt · b t + . . . + m0
und sei o.B.d.A. s ≤ t. Es folgt
102
4 Diophantische Approximation
n0 − m0 = mt · bt + . . . + (ms − ns ) · bs + . . . + (m1 − n1 ) · b
1.6
⇒ b | n 0 − m0
⇒ n 0 = m0 .
Falls m1 − n1 6= 0, dann folgt auf die gleiche Weise:
b | n 1 − m1 ⇒ n 1 = m1
und so fort.
2
Definition 4.4 Sei b ∈ Z, b ≥ 2 gegeben. Sei n ∈ Z, n ≥ 0. Die Darstellung
n=
∞
X
j=0
nj · b j ,
nj ∈ {0, 1, . . . , b − 1},
heißt die b-adische Entwicklung (Darstellung) von n. Die Zahlen nj heißen
die Ziffern der b-adischen Entwicklung von n. Die Zahl b wird die Basis der
Entwicklung genannt.
1. n = 27, b = 2:
urf
Beispiel 4.5
24 ≤ 27 < 25
27 = 1 · 24 + 11
11 = 1 · 23 + 3
3 = 1 · 21 + 1
1 = 1 · 20
27 = 24 + 23 + 22 + 1 = [1, 1, 0, 1, 1]2
2. n = 93, b = 5: 52 ≤ 93 < 53 = 125
Ent
w
93 = 3 · 52 + 18
18 = 3 · 51 + 3
3 = 3 · 50
93 = [3, 3, 3]5
3. n = 1024, b = 13, 132 ≤ 1024 < 133
1024 = 6 · 132 + 10
10 = 10 · 130
1024 = [6, 0, 10]13
4.1 Die b-adische Entwicklung natürlicher Zahlen
103
1.6
4.1.1 Primzahlen mit vorgegebener Stellenanzahl
Korollar 4.6
Wir geben eine Abschätzung für die Anzahl der Primzahlen mit L Binärstellen,
also mit L Bits.
Für eine reelle Zahl x bezeichnet
π(x) = Anzahl der Primzahlen ≤ x.
Für die Anzahl der Primzahlen mit L Bits gilt folgende Beziehung: Die Anzahl
der Primzahlen mit L Bits ist gegeben durch die Zahl
π(2L ) − π(2L−1 ).
Diese Formel ist einfach zu beweisen, denn jede Primzahl p mit L Bits erfüllt
die Ungleichung 2L−1 < p < 2L .
urf
Bemerkung 4.7 (Verteilung der Primzahlen)
Wie wir bereits wissen, ist die Funktion π(x) seit Jahrhunderten Objekt
intensiver zahlentheoretischer Forschung. Es gilt der berühmte Primzahlsatz:
lim
x→∞
π(x)
x
log x
= 1.
(Hadamard, de la Vallée-Poussin, 1896)
Auf Tschebyscheff geht die Ungleichung
0.92 ·
x
x
< π(x) < 1.11 ·
log x
log x
zurück, die für alle hinreichend großen x erfüllt ist.
Ent
w
Wir werden im Folgenden eine Ungleichung von Rosser und Schoenfeld verwenden, die eine sehr genaue Abschätzung liefert:
x
x
< π(x) <
log x − 1/2
log x − 3/2
∀ x > 67.
(Rosser und Schoenfeld [19])
Korollar 4.8 Auf Grund des Resultates von Rosser und Schoenfeld gilt
2L
2L−1
−
< π(2L ) − π(2L−1 )
log 2L − 1/2 log 2L−1 − 3/2
und die obere Abschätzung
π(2L ) − π(2L−1 ) <
2L
2L−1
−
log 2L − 3/2 log 2L−1 − 1/2
4 Diophantische Approximation
log2 x
log2 e
mus zur Basis 2)
∀ x ∈ R, x > 0 folgt ( log2 bezeichnet den Logarith-
Wegen log x =
2
L−1
· log2 e ·
1.6
104
2
1
−
L − 1/2 · log2 e L − 1 − 3/2 · log2 e
< π(2L ) − π(2L−1 )
2
1
L−1
<2
· log2 e ·
−
,
L − 3/2 · log2 e L − 1 − 1/2 · log2 e
und somit
2L−1 · log2 e ·
L − 2 − 5/2 · log2 e
(L − 1/2 · log2 e) · (L − 1 − 3/2 · log2 e)
< π(2L ) − π(2L−1 )
< 2L−1 · log2 e ·
L − 2 + 1/2 · log2 e
(L − 3(2 · log2 e) · (L − 1 − 1/2 · log2 e)
urf
Korollar 4.9 Sei pL die Wahrscheinlichkeit, daß eine ungerade ganze Zahl
mit L Bits in ihrer Binärdarstellung prim ist. Dann gilt:
pL =
π(2L ) − π(2L−1 )
2L−2
Mit Hilfe der Abschätzung von Folgerung 4.8 erhalten wir die Abschätzung
L − 2 − 5/2 · log2 e
< pL
(L − 1/2 · log2 e) · (L − 1 − 3/2 · log2 e)
L − 2 + 1/2 · log2 e
< 2 · log2 e ·
(L − 3/2 · log2 e) · (L − 1 − 1/2 · log2 e)
2 · log2 e ·
Ent
w
Dieses Resultat hat praktische Bedeutung: Für gegebenes L (z.B. L = 512)
können wir abschätzen, wie lange wir bei der Schlüsselerzeugung von RSA
und ähnlichen Verfahren warten müssen, bis die benötigten Primzahlen gefunden sind.
Also zusammenfassend:
Aufgabe: Wie groß ist die Wahrscheinlichkeit pL , daß eine ungerade Zahl mit
L Stellen in der dyadischen Entwicklung prim ist?
Abschätzungen für pL :
Es gilt
aL < p L < b L
4.1 Die b-adische Entwicklung natürlicher Zahlen
mit
L − 2 − 5/2 · log2 e
(L − 1/2 · log2 e) · (L − 1 − 3/2 · log2 e)
bL = 2 · log2 e ·
L − 2 + 1/2 · log2 e
(L − 3/2 · log2 e) · (L − 1 − 1/2 · log2 e)
und
1.6
aL = 2 · log2 e ·
105
Wir haben dabei die Funktion π(x) durch x/(ln x − 1/2) nach unten und
durch x/(ln x − 3/2) nach oben abgeschätzt. Diese Abschätzung stammt von
Rosser und Schoenfeld (1962) und gilt für x ≥ 67.
Eine Tabelle mit einigen Werten:
Ent
w
urf
L
aL
bL
256 0.011194 0.011387
384 0.007480 0.007565
512 0.005616 0.005664
640 0.004496 0.004527
768 0.003749 0.003770
1024 0.002813 0.002825
2048 0.001408 0.001411
4096 0.000704 0.000705
106
4 Diophantische Approximation
Für jede Zahl α ∈ R gilt
1.6
4.2 Die b-adische Entwicklung reeller Zahlen
α = [α] + {α}
mit [α] ∈ Z und {α} ∈ [0, 1[.
Wir können nichtnegative ganze Zahlen bereits b-adisch darstellen. Daher
fehlt uns zur b-adischen Darstellung einer reellen Zahl α nur mehr die badische Darstellung des Bruchteils {α}.
Aus diesem Grund studieren wir nun die b-adische Darstellung von Zahlen,
die im Intervall [0, 1[ liegen:
Satz 4.10 (b-adische Transformation)
Sei b ∈ Z, b ≥ 2. Sei
T : [0, 1[ 7→ [0, 1[
T x = {bx}
Dann gilt:
αj := [b · T j x],
j = 0, 1, 2, . . .
urf
Für α ∈ [0, 1[ sei
1. αj ∈ {0, 1, . . . , b − 1} ∀ i
2. Für unendlich viele Indizes j gilt αj 6= b − 1.
3. α =
∞
X
j=0
αj b−j−1
4. Diese Entwicklung ist eindeutig bestimmt.
Beweis. Wir iterieren die Abbildung T . Sei dazu x ∈ [0, 1[. Dann gilt
T j x := T (T j−1 x)
Ent
w
T 0 x := x
Es folgt
T x = bx − [bx]
T k x = bk x − [bk x] ∀ k ≥ 0
denn mit Induktion nach k sehen wir:
T k+1 x = {b · T k x}
IV
= b · (bk x − [bk x]) − [b · (bk x − [bk x])]
= bk+1 x − b · [bk x] − [bk+1 x] + b · [bk x]
= bk+1 x − [bk+1 x]
4.2 Die b-adische Entwicklung reeller Zahlen
107
(Der Induktionsanfang ist trivial.)
[b · T j α] ∈ {0, 1, . . . , b − 1}
Indirekter Beweis.
Sei αj = b − 1 ∀ j ≥ j0
⇒
⇒
b − 1 ≤ b · T jα < b
1
1 − ≤ T jα < 1
b
∀ j ≥ j0
∀ j ≥ j0
∞
[
1
1
1
[1 − , 1[ =
[1 − a , 1 − a+1 [
b
b
b
a=1
1
1
= [1 − , 1 − 2 [ ∪
b
b
Sei nun 1 −
[1 −
1
1
≤ T j0 α < 1 − a+1
a
b
b
1
1
,1− 3[ ∪
b2
b
1
1
T j0 +1 α = {b · T j0 α} < b · 1 − a+1 − b · 1 − a+1
b
b
1
1
=− a − − a
b
b
| {z }
=−1
1
=1− a
b
1
ba
1
T j0 +2 α < 1 − a−1
b
usw.
1
T j0 +a α < 1 −
b
αj0 +a = [b · T j0 +a α] < b − 1 Widerspruch!
Ent
w
Also: T j0 +1 α < 1 −
⇒
⇒
...
urf
⇒
1.6
T j α ∈ [0, 1[ ⇒
Wir zeigen:
α−
k−1
X
j=0
αj b−j−1 =
1
1
· T kα < k
k
b
b
∀k∈N
Induktion nach k:
k = 1:
α−
α0
1
1
= · (bα − [bα]) = · T 1 α
b
b
b
4 Diophantische Approximation
k ⇒ k + 1:
α−
k
X
αj b
−j−1
=
j=0

1
· b
bk+1
Noch zu zeigen:
k
X
bk+1 ·
j=0
k+1
α−b
t = 1:
t ⇒ t + 1:

·
αj b
j=0
−j−1 
αj b−j−1 = [bt α]
j=0
∀t∈N
α0
Def.
= [bα] = [b · T 0 α] = α0
b
urf
b·
t−1
X
k+1
αj b−j−1 = [bk+1 α] ∀ k ≥ 0
Induktion nach t ∈ N:
bt ·
k
X
1.6
108
bt+1 ·
= b · bt ·
IV
t
X
αj b−j−1
j=0
t−1
X
j=0
αj b−j−1 + bt+1 ·
αt
bt+1
= b · [bt α] + αt
Def.
= b · [bt α] + [b · T t α]
= b · [bt α] + [b · bt α − b · [bt α]]
= b · [bt α] + [bt+1 α] − b · [bt α]
Ent
w
= [bt+1 α]
Damit ist∞die Induktion ∞
nach t beendet und auch der Beweis von Teil 3.
X
X
−j−1
αj b
=
βj b−j−1
Sei α =
j=0
j=0
mit αj , βj ∈ {0, 1, . . . , b − 1},
unendlich viele αj =
6 b−1
unendlich viele βj =
6 b−1
Sei j0 := min{j : αj 6= βj }, wobei wir also annehmen, daß mindestens ein j
mit αj 6= βj existiert (sonst ist ja nichts zu zeigen).
Sei o.B.d.A. αj0 > βj0
4.2 Die b-adische Entwicklung reeller Zahlen
1
bj0 +1
∞
X
αj0 − βj0
=
(βj − αj ) · b−j−1
bj0 +1
j=j0 +1
∞
X
b−1
1
−j−1
<
(b − 1) · b
= j0 +2 · 1 + + . . .
b
b
j=j +1
≤
1.6
⇒
109
0
b−1
1
= j0 +2 ·
b
1−
=
1
b
1
bj0 +1
Widerspruch!
2
Definition 4.11 Sei b ≥ 2 eine feste ganze Zahl und α ∈ [0, 1[. Die Darstellung von Satz 4.10,
α=
∞
X
αj
,
j+1
b
j=0
αj 6= b − 1
αj ∈ {0, 1, . . . , b − 1},
für unendlich viele j
urf
heißt die b-adische Entwicklung (b-adische Darstellung) von α. Die Zahlen
αj heißen die Ziffern von α in dieser Entwicklung. Die Zahl b nennt man die
Basis der Entwicklung.
Bemerkung 4.12 (Eindeutigkeitsbedingung)
Von Satz 4.10, Teil 4. wissen wir:
α=
∞
X
αj b−j−1
j=0
αj ∈ {0, 1, . . . , b − 1}
unendlich viele αj 6= b − 1
⇒ die Ziffern αj sind eindeutig bestimmt
Ent
w
Die Bedingung
αj 6= b − 1 für unendlich viele j
nennt man daher die Eindeutigkeitsbedingung der b-adischen Entwicklung.
Satz 4.13 Für α ∈ [0, 1[ sei
α=
∞
X
j=0
αj b−j−1 =
∞
X
βj b−j−1
j=0
mit Zahlen
αj , βj ∈ {0, 1, . . . , b − 1}
Dann gilt
110
4 Diophantische Approximation
entweder: αj = βj
∀j
1.6
oder: ∃ Index j0 ≥ 0 sodaß
für j ≤ j0
falls αj0 > βj0
αj = βj
αj0 = βj0 + 1
∀ j > j0
∀ j > j0
αj = 0
βj = b − 1
Wenn βj0 > αj0 sein sollte, dann ist im Obigen die Rolle von αj und βj zu
vertauschen, d.h.
αj0 + 1 = βj0
αj = b − 1
βj = 0
∀ j > j0
∀ j > j0
Korollar 4.14 Eine Zahl α besitzt genau dann zwei verschiedene b-adische
Darstellungen, wenn
a
bk
urf
α=
mit a, k ∈ Z : 0 ≤ a < bk , k ≥ 0
4.2.1 Die Cantormenge C
Aufgabe: konstruiere eine Menge reeller Zahlen, die Länge 0 hat und trotzdem viele Elemente enthält.
Geometrische Beschreibung:
Länge = 1
Cn = . . .
Länge =
Ent
w
C0 = [0, 1]
2
1
∪ ,1
C1 = 0,
3
3
1
2 1
2 7
8
C2 =
0,
∪ ,
∪
,
∪ ,1
9
9 3
3 9
9
..
.
C :=
∞
\
n=0
Analytische Beschreibung:
Cn
. . . abgeschlossen
2
3
2
2
Länge =
3
Länge =
n
2
3
4.2 Die b-adische Entwicklung reeller Zahlen
111
1.6
1
= {0.0x1 x2 . . . : xi beliebig}
3
2
, 1 = {0.2x1 x2 . . . : xi beliebig}
3
0,
⇒ C1 = {x ∈ [0, 1] : x kann in der Form x = 0.x0 x1 x2 . . .
mit x0 ∈ {0, 2} dargestellt werden}
1
= {0.00x2 x3 . . .}
0,
9
x2
x3
1
2
2 3
1
denn 0 ≤ 3 + 4 + . . . ≤ 3 2 + + . . . = 3 =
3
3
3
3
3 2
9
2 1
,
= {0.02x2 x3 . . .}
9 3
..
. usw.
urf
Allgemein:
Cn = {x = 0.x0 . . . xn−1 xn . . .
wobei x0 , x1 , . . . , xn−1 ∈ {0, 2}, xj beliebig ∀ j ≥ n}
Damit:
1. C = {x ∈ [0, 1] : es gibt eine Darstellung von x
in der Form x = 0.x0 x1 x2 . . . mit xj ∈ {0, 2}}
∞
\
n
2
folgt: Wenn wir C in sinnvoller
3
n=0
Weise eine Länge λ(C) zuordnen können, dann muß
n
2
0 ≤ λ(C) ≤
∀n∈N
3
und Länge(Cn ) =
Ent
w
2. Wegen C =
gelten ⇒ λ(C) = 0. C ist also von seiner Länge her klein!
3. C ist überabzählbar.
f : C → [0, 1]
x0
x1
f (0.x0 x1 . . .) :=
+ 2 + ...
2
2
∈ [0, 1] mit
xi :=
(
Diese Abbildung ist surjektiv, also ist C überabzählbar.
0
1
xi = 0
xi = 2
112
4 Diophantische Approximation
1.6
4.3 Kettenbrüche
Frage 4.15
Wir wollen –wie bereits angedeutet– eine gegebene reelle Zahl α möglichst
gut durch rationale Zahlen p/q approximieren, p ∈ Z, q ∈ N.
Bemerkung 4.16 (Eine erste Antwort)
Wir betrachten dazu die b-adische Entwicklung von α:
α = [α] +
∞
X
αj b−j−1 = [α] + 0.α0 α1 α2 . . .
j=0
wobei αj ∈ {0, 1, . . . , b − 1}, j = 0, 1, . . . die Ziffern der Entwicklung sind und
für unendlich viele Indizes j die Bedingung αj 6= b − 1 gilt.
Wir definieren für k ∈ N die folgende Zahl α(k), die durch Abschneiden der
Entwicklung entsteht:
k−1
X
αj b−j−1 = 0.α0 α1 α2 . . . αk−1 .
urf
α(k) = [α] +
j=0
Dann ist α(k) eine rationale Zahl der Form
α(k) =
ak
bk
mit geeignetem ak ∈ Z, ak ≥ 0. Es gilt, wie man leicht nachrechnet, die
Beziehung
ak
1
0 ≤ α − α(k) = α − k < k .
b
b
Für k → ∞ streben die rationalen Zahlen α(k) = ak /bk gegen α.
Ent
w
Bemerkung 4.17 (Approximationsfehler)
Es ist nicht sinnvoll, den Approximationsfehler bei der Approximation von α
durch die rationale Zahl p/q durch die Differenz
α − p q
zu messen. Wir wollen ja zwischen rationalen Zahlen p/q und p′ /q ′ mit verschieden großen Nennern q und q ′ unterscheiden können.
Deswegen ist die Größe
|q · α − p|
ein besseres Maß für die Güte der Approximation von α durch p/q.
4.3 Kettenbrüche
113
1.6
Definition 4.18 (Beste Approximationen)
Eine rationale Zahl p/q heißt eine beste Approximation von α ∈ R \ Z, wenn
für alle anderen rationalen Zahlen p′ /q ′ mit Nenner q ′ mit 1 ≤ q ′ ≤ q und
p′ /q ′ 6= p/q gilt:
|qα − p| < |q ′ α − p′ |.
Bemerkung 4.19
Die besten Approximationen sind sozusagen “weltmeisterliche” Brüche p/q:
kein Bruch p′ /q ′ mit einem kleineren Nenner q ′ und auch kein anderer Bruch
p′ /q 6= p/q mit gleichem Nenner q approximiert α so gut wie p/q.
Weiters folgt: wenn p/q eine beste Approximation ist, dann gilt p′ /q ′ mit q ′
mit 1 ≤ q ′ ≤ q und p′ /q ′ 6= p/q die Ungleichung
p
q′
p′
p′
|α − | <
|α − ′ | ≤ |α − ′ |
q
q
q
q
Frage 4.20
Wie findet man beste Approximationen?
urf
Betrachten wir dazu die rationalen Zahlen α(k) = ak /bk , die aus der badischen Entwicklung von α entstehen. Es gilt
k
b α − ak < 1.
Ist diese b-adische Approximation weltmeisterlich? Genauer gefragt: gibt es
Brüche p/q mit q < bk , sodass
|q α − p| < bk α − ak ?
Betrachten wir dazu α = π = 3.14159265 . . . und b = 10. Wenn wir k = 1
wählen, dann gilt:
α(1) = 3.1 und a1 = 31.
Ent
w
Es folgt die Abschätzung
k
10 π − ak = 101 π − 31 ∼ 0.4159265
Wenn wir k = 2 wählen, dann gilt:
α(2) = 3.14 und a2 = 314.
Es folgt
k
10 π − ak = 102 π − 314 ∼ 0.159265
Das ist aber alles viel schlechter als der Bruch 22/7, obwohl dieser Bruch den
kleinen Nenner 7 hat:
|7 π − 22| ∼ 0.0088514
Diese numerischen Beispiele sind kein Zufall: die b-adische Entwicklung liefert
im Allgemeinen keine besten Approximationen einer gegebenen irrationalen
Zahl.
114
4 Diophantische Approximation
1.6
Bemerkung 4.21
In Zusammenhang mit π stellt sich natürlich die Frage, ob wir mittels der
dekadischen Entwicklung jemals unseren “Weltmeisterbruch” 22/7 schlagen
werden können. Dazu müssten wir entweder mehr über das Verhalten der
Bruchteile {bk π}, k = 1, 2, . . . wissen (Stichwort: normale Zahlen) oder eine
andere Art von Approximation von π wählen (Stichwort: Kettenbruchentwicklung).
Das nächste Resultat gibt eine Idee, wie gut man approximieren kann.
Satz 4.22 (Approximationssatz von Dirichlet)
Sei α ∈ R und sei N ∈ N gegeben. Dann gilt: ∃ p, q : p ∈ Z, q ∈ N, 1 ≤ q ≤ N :
|qα − p| <
1
N
Korollar 4.23
Sei α ∈ R\Q. Dann existieren unendlich viele Brüche p/q mit der Eigenschaft
α − p < 1 .
q q2
urf
Bemerkung 4.24
Mit Hilfe der b-adischen Entwicklung erhalten wir nur Brüche p/q mit
α − p < 1 .
q q
(p/q = α(k) = ak /bk , also q = bk )
Frage 4.25
Geht es besser als mit q 2 ? Können wir eine noch höhere Konvergenzgeschwindigkeit erreichen, als mit dem Quadrat des Nenners?
Bemerkung 4.26
Es sind folgende Resultate bekannt:
Ent
w
• Hurwitz
1. α ∈ R\Q ⇒ ∃ unendlich viele rationale Zahlen p/q:
α − p < √ 1
q
5 · q2
√
2. 5 kann durch keine größere Zahl ersetzt werden.
• Liouville
α ∈ R\Q algebraisch vom Grad n ⇒ ∃ c = c(α):
α − p > c ∀ p ∈ Q
q qn
q
(Daraus ergibt sich ein Konstruktionsverfahren für transzendente Zahlen.)
4.3 Kettenbrüche
115
1.6
Frage 4.27
Jede irrationale Zahl ist entweder algebraisch oder transzendent. Durch das
Resultat von Hurwitz sehen wir, dass wir im Allgemeinen nicht mehr erreichen können als die Approximationsgüte q 2 . Wir fragen nun danach, wie wir
solche Approximationen finden können.
Bemerkung 4.28 (Kettenbruchalgorithmus)
Mit dem sogenannten Kettenbruchalgorithmus finden wir zu einer gegebenen
Zahl α ∈ R \ Z eine Folge von Brüchen pk /qk , die bemerkenswerte Eigenschaften besitzt, wie wir später sehen werden.
Der gegebenen Zahl α ∈ R\Z wird zunächst eine Folge (ai )i≥0 von ganzen und
eine Folge (αi )i≥1 von reellen Zahlen zugeordnet. In einem weiteren Schritt
werden dann die sogenannten Näherungsbrüche gebildet.
Sei α ∈ R \ Z. Der Kettenbruchalgorithmus ist wie folgt definiert:
1
α1
1
α1 = a1 +
α2
..
.
1
αn = an +
αn+1
α = a0 +
mit α1 > 1, a0 := [α]
urf
mit α2 > 1, a1 := [α1 ]
mit αn+1 > 1, an = [αn ]
Abbruchbedingung des Algorithmus: wenn αn ∈ Z.
Bemerkung 4.29 (Schreibweisen)
Für die Kettenbruchentwicklung sind die folgenden Schreibweisen üblich:
α = [a0 ; a1 , a2 , . . . , αn+1 ]
1
= a0 +
Ent
w
a1 +
1
1
αn+1
1 1
1
1
= a0 +
...
a1 + a2 +
ai + αi+1
a2 + · · ·
Beispiel√4.30 (Kettenbruchentwicklung einer irrationalen Zahl)
Sei α = 2.
116
4 Diophantische Approximation
√
1
= 1+ √
2+1
√
1
2+1 = 2+ √
2+1
√
·
⇒
2
= [1; 2]
1.6
2
1
= 1+
1
2+
2+
1
2 + ···
Der Algorithmus bricht nicht ab und die Folge (ai )i≥0 ist periodisch.
·
(Beachten Sie die Schreibweise 2, die die Periodizität andeutet)
Wir stellen durch Nachrechnen fest:
[1; 2] =
3 1
<
2 22
7 1
<
5 52
17 1
<
12 122
41 1
<
29 292
urf
[1; 2, 2] =
√
⇒ 2 −
√
⇒ 2 −
√
⇒ 2 −
√
⇒ 2 −
3
2
7
5
17
12
41
29
[1; 2, 2, 2] =
[1; 2, 2, 2, 2] =
Beispiel 4.31 (Kettenbruchentwicklung einer rationalen Zahl)
67
α = 24
19
24
5
= 1+
19
4
= 3+
5
1
= 1+
4
= 2+
Ent
w
67
24
24
19
19
5
5
4
⇒
(Abbruch, denn 4 ∈ Z)
67
= [2; 1, 3, 1, 4]
24
Für die Approximationsfehler gilt:
4.3 Kettenbrüche
117
1.6
67
− [2; 1] = 67 − 3 < 1
24
24
67
− [2; 1, 3] = 67 − 11 = 1 < 1
24
24
4
24
42
..
. usw.
Bemerkung 4.32 (Charakterisierungen)
√
Es ist kein Zufall, dass die Kettenbruchentwicklung der irrationalen Zahl 2
unendlich ist und jene der rationalen Zahl 67/24 endlich.
Man kann zeigen: Die Kettenbruchentwicklung von α ist endlich genau dann,
wenn α rational ist.
Man kann weiters zeigen, dass die Kettenbruchentwicklung genau dann unendlich und periodisch ist, wenn α eine quadratische Irrationalzahl ist, also
eine irrationale Zahl, die Nullstelle eines quadratischen Polynoms mit Koeffizienten aus Z ist.
urf
Bemerkung 4.33
Wir beachten, dass wir in beiden Beispielen die Fehlerschranke
α − p < 1
q q2
erhalten haben. Ist dies ein Zufall oder steckt dahinter ein allgemeines Prinzip?
Definition 4.34 (Unvollständige Quotienten, Teilnenner)
Sei α ∈ R \ Z und seien a0 , a1 , . . . und α1 , α2 , . . . die der Zahl α mittels des
Kettenbruchalgorithmus zugeordneten eindeutig bestimmten Zahlenfolgen.
Die Zahlen ai , i ≥ 0, nennt man die unvollständigen Quotienten von α. Die
Zahlen αi (i ≥ 1) nennt man die vollständigen Quotienten von α.
Ent
w
Zu einem gegebenen endlichen oder unendlichen Kettenbruch [a0 ; a1 , a2 , . . .]
nennt man die Zahlen ai , i ≥ 0, die Teilnenner des Kettenbruches.
Zu einem gegebenen endlichen oder unendlichen Kettenbruch [a0 ; a1 , a2 , . . .]
nennt man den Bruch [a0 ; a1 , a2 , . . . , an ] den n-ten Näherungsbruch.
Wir verwenden im Folgenden für den n-ten Näherungsbruch die Bezeichnung
[a0 ; a1 , a2 , . . . , an ] =
pn
,
qn
n ≥ 0.
Die Zahl pn nennt man einen Näherungszähler, die Zahl qn einen Näherungsnenner des Kettenbruches [a0 ; a1 , a2 , . . . , an ].
Bemerkung 4.35 (Rekursionsformel für Näherungsbrüche)
Wie berechnet man aus der Kettenbruchentwicklung
118
4 Diophantische Approximation
α = [a0 ; a1 , a2 , . . .]
√
2 denken,
1.6
von α die Näherungsbrüche pn /qn ? Wenn Sie an das Beispiel α =
so war diese Berechnung zwar elementar, aber doch mühsam.
Es gilt nun: Sei [a0 ; a1 , a2 , . . .] ein Kettenbruch. Dann besteht zwischen den
Näherungszählern und Näherungsnennern folgender Zusammenhang:
p−2 := 0
q−2 := 1
p−1 := 1
p−1 := 0
Dann gilt
pn = an · pn−1 + pn−2
qn = an · qn−1 + qn−2
(4.1)
(4.2)
Mit Hilfe dieser Rekursionsformeln können die Näherungsbrüche sehr rasch
berechnet werden.
Beispiel 4.36 (Näherungsbrüche zu π)
Die Näherungsbrüche von π = [3; 7, 15, 1, 292, . . .]
urf
pi
qi
i
ai
pi
qi
-2
-1
0
1
2
3
4
0
1
1
0
3
3
1 3/1 = 3
7
22
7 22/7
15 333 106 333/106
1
355 113 355/113
292 . . .
Beispiel 4.37 (Näherungsbrüche zu e)
Die Näherungsbrüche von e (diese Entwicklung stammt von Euler):
Ent
w
e = [2; 1, 2, 1, 1, 4, 1, 1, 6, 1, . . .] = [2; 1, 2k, 1]∞
k=1
lauten:
i ai pi qi
-2
-1
0
1
2
3
4
5
0 1
1 0
2
1
2
1
1
4
pi
qi
4.3 Kettenbrüche
119
1.6
Bemerkung 4.38 (Eigenschaften)
Die Kettenbruchentwicklung einer irrationalen Zahl α besitzt interessante
Eigenschaften:
1. Die besten Approximationen von α sind genau die Näherungsbrüche
pn /qn .
2. Für jeden Näherungsbruch pn /qn gilt:
α − pn < 1 .
qn qn2
urf
3. Für mindestens einen von drei aufeinanderfolgenden Näherungsbrüchen
pn /qn gilt:
α − pn < √ 1 .
qn 5qn2
. . . Satz von Hurwitz
√
√
4. Sei C > 5. Dann gibt es irrationale Zahlen α (z.B. α = ( 5 + 1)/2),
für welche die Ungleichung
α − p < 1
q
Cq 2
√
nur endlich viele Lösungen p/q besitzt. Die Konstante 5 im Satz von
Hurwitz kann also nicht verbessert werden.
5. Die Zahl α ist eine quadratische Irrationalzahl genau dann, wenn die
Kettenbruchentwicklung von α periodisch ist.
Ein Standardwerk zur Theorie der Kettenbrüche ist Perron[16]. Dort finden
sich die Beweise der zitierten Resultate.
Bemerkung 4.39 (Kettenbruchtransformation)
Genau so wie bei der b-adischen Entwicklung, so steht auch hinter der Kettenbruchentwicklung eine Transformation T : [0, 1[→ [0, 1[:
Ent
w
T : [0, 1[ → [0, 1[
( 1
x 6= 0
x
Tx =
0
x=0
1
für i = 1, 2, . . . (sofern T i−1 α 6= 0 gilt).
T i−1 α
Wir erhalten durch Iteration der Abbildung T die Ziffern der Kettenbruchentwicklung von α.
Für α ∈ [0, 1[ sei ai (α) :=
(Kommentar: Zahlentheoretische und ergodentheoretische Eigenschaften dieser und damit verwandter Abbildungen werden von F. Schweiger und M.
Thaler studiert.)
urf
Ent
w
1.6
1.6
Literatur
Ent
w
urf
1. T. M. Apostol. Introduction to Analytic Number Theory. Springer, New York,
1986. [Good presentation of the subject].
2. E. Bach and J. Shallit. Algorithmic Number Theory. MIT Press, 1996.
3. D. M. Bressoud. Factorization and Primality Testing. Springer, New York,
1989. [Sehr gutes Buch zu diesem Thema].
4. J. Buchmann. Einführung in die Kryptographie. Springer Verlag, 1999.
5. P. Bundschuh. Einführung in die Zahlentheorie. Springer, Heidelberg, dritte auflage edition, 1996. [Ziffernentwicklungen, diophantische Approximation,
Primzahlsatz].
6. R. Crandall and C. Pomerance. Prime Numbers. A computational perspective.
Springer-Verlag, New York, 2001.
7. W. Diffie and M. E. Hellman. New directions in cryptography. IEEE Trans.
Inform. Theory, IT-22:644–654, 1976.
8. W. Ertel. Angewandte Kryptographie. Vieweg, Braunschweig, 2001.
9. G. Fischer and R. Sacher. Einführung in die Algebra. B. G. Teubner, Stuttgart,
1983. [Der Titel kann ernst genommen werden].
10. O. Forster. Algorithmische Zahlentheorie. Vieweg-Verlag, Braunschweig, 1996.
[Gute Darstellung der klassischen Zahlentheorie, teilweise etwas abstrakt, die
Betonung liegt auf den Algorithmen, mit Software (auf Diskette)].
11. O. Forster. Algorithmische Zahlentheorie. Vieweg, 1996.
12. G.H. Hardy and E.M. Wright. Introduction to the Theory of Numbers. Oxford
Univ. Press, Oxford, 1979. [Das Referenzwerk zur Zahlentheorie].
13. E. Hlawka, J. Schoißengeier, and R. Taschner. Geometric and Analytic Number
Theory. Springer, Berlin, 1991. [Auch auf Deutsch vorhanden; zur diophantischen Approximation, zur Geometrie der Zahlen, Beweis des Primzahlsatzes].
14. Loo Keng Hua. Introduction to Number Theory. Springer, Berlin, 1982. [Ein
klassisches Referenzwerk zur Zahlentheorie, bes. auch additive Zahlentheorie].
15. K.-H. Indlekofer. Zahlentheorie. Eine Einführung. Birkhäuser Verlag, Stuttgart, 1978.
16. O. Perron. Irrationalzahlen. Walter de Gruyter, Berlin, 1960.
17. P. Ribenboim. The New Book of Prime Number Records. Springer, New York,
1996. [Sehr unterhaltsame Darstellung der diversen Resultate zu Primzahlen,
toll geschrieben, mit vielen Literaturhinweisen].
18. H. Riesel.
Prime Numbers and Computer Methods for Factorization.
Birkhäuser, Boston, second edition, 1994.
19. J. B. Rosser and L. Schönfeld. Approximate formulas for some functions of
prime numbers. Illinois J. Math., 6:64–94, 1962.
20. B. Schneier. Applied Cryptography. Wiley, New York, second edition, 1996.
122
Literatur
Ent
w
urf
1.6
21. D. R. Stinson. Cryptography. CRC Press, Boca Raton, 1995.
22. D. Zagier. Die ersten 50 Millionen Primzahlen. In W. et al. Borho, editor,
Mathematische Miniaturen, Bd. I. Birkhäuser, Basel, 1981. [Überblicksartikel
zur Primzahltheorie].