Folien der 14. Vorlesungswoche

Ein Beispiel: Z6

Im allgemeinen ist der Ring Zm kein Korper. Wie uns aus der —

allerdings nichtkommutativen — Situation der Matrixringe Mn(R)

schon bekannt ist, kann das Auftreten von Nullteilern die Korperei-

genschaft verhindern.

Dieser Effekt ist auch bei den Ringen Zm zu beobachten. Wir be-

trachten hier den Fall m = 6 = 2 · 3. Es gilt [2]6 6= [0]6 6= [3]6, da

weder 2 noch 3 ganzzahlige Vielfache von 6 sind. Aber

[2]6 · [3]6 = [2 · 3]6 = [0]6.

Folglich ist Z6 kein Korper .

1

Der Korper Fp

Satz. Der Ring Zm ist genau dann ein Korper, wenn m eine Primzahl

ist.

Zur Hervorhebung schreiben wir Fp fur den Korper Zp (p prim).

Beweis. (a) Zunachst sei m = p eine Primzahl und 0 6= [x]p ∈ Zp. Dann ist xnicht durch p teilbar, folglich g.g.T.(x, p) = 1. Somit gibt es eine Darstellungα ·x+β ·p = 1 mit ganzen Zahlen α und β. Ubergang zu Restklassen liefert wegen[p]p = [0]p, dass [α]p · [x]p = [1]p und [x]p und somit in Zp ein multiplikativ Inversesbesitzt.

(b) Nunmehr sei Zm ein Korper. Wir nehmen m = a · b mit a, b ≥ 1 an. Es folgt[0]m = [a · b]m = [a]m · [b]m. Wegen der Korpereigenschaft ist einer Faktoren Null,sagen wir [a]m = [0]m. Folglich gilt m|a, was zusammen mit a|m den Schluss m = aund dann b = 1 liefert. Folglich ist m prim. �

2

Einordnung: Endliche Korper

Neben den Korpern Fp (p prim) gibt es noch fur jede Primzahlpotenz

q = pn Korper Fq mit q Elementen. Fur n > 1 werden diejenigen

jedoch nach einem anderen Verfahren, d.h. nicht durch Kongruenzen

modulo q, konstruiert. Bis auf Isomorphie ist Fq durch q eindeutig

bestimmt. Fur naturliche Zahlen n, die keine Primzahlpotenzen sind,

gibt es keine Korper der Elementezahl n.

Endliche Korper — auch Vektorraume uber endlichen Korpern —

spielen fur verschiedene informatiknahe Fragestellungen eine wich-

tige Rolle, so die Kryptographie und die Kodierungstheorie.

3

Die Einheitengruppe Z∗m

Satz. Die hinsichtlich der Multiplikation invertierbaren Elemente von

Zm bilden bezuglich der Multiplikation von Zm eine kommutative

Gruppe, die sogenannte Einheitengruppe von Z∗m.

Fur eine Primzahl m = p haben wir Z∗p = Zp \ {[0]p}.

Beweis. Da ein Produkt von zwei invertierbaren Elementen a und b stets istwieder invertierbar ist — namlich mit Inversem — b−1 · a−1 ist durch das Produkttatsachlich eine Verknupfung Z∗m × Z∗m → Z∗m, ([x]m, [y]m) 7→ [x · y]m erklart.

Wir mussen daher noch die Bedinungen (A1)–(A4) in multiplikativer Notationnachweisen. Assoziativitat (A1) und Kommutativitat (A2) sind klar, da sie fur dieMultiplikation in Zn gelten. Mit [1]m hat Z∗m ein neutrales Element, es gilt folglich(A3). Nach Definition von Z∗m gilt schließlich (A4). �

4

Kennzeichnung der Mitglieder von Z∗m

Satz. Fur [x]m ∈ Zm sind aquivalent:

(1) [x]m gehort zu Z∗m.

(2) x und m sind teilerfremd.

(3) Es gibt ganze Zahlen α, β mit α · x + β ·m = 1.

Beweis. Die Aquivalenz (2) ⇔ (3) kennen wir schon.

(3) ⇒ (1): Es gelte α · x + β · m = 1. Ubergang zu Restklassen

modulo m liefert dann — wegen [m]m = [0]m — die Beziehung

[α]m · [x]m = [1]m. Damit ist [α]m zu [x]m invers .

(1) ⇒ (3): Es sei [y]m zu [x]m invers, somit [x · y]m = [1]m. Es folgt

x · y − 1 ∈ Z ·m, somit eine Darstellung der Form (3). �

5

Die Eulersche Funktion

Definition. Die Anzahl |Z∗m| der Einheiten von Zm wird mit ϕ(m)

bezeichnet; die resultierende Funktion ϕ : N>0 → N, m 7→ ϕ(m),

heißt Eulersche Funktion oder auch ϕ-Funktion.

Der vorangehende Satz zeigt: Es ist ϕ(m) die Anzahl der zu m teilerfremdenZahlen im Bereich 0,1, . . . , m−1, oder — was aufs selbe hinauslauft — im Bereich1,2, . . . , m.

Fur eine Primzahl p sind im Bereich 1,2, . . . , p alle Zahlen bis auf die letzte zu p

teilerfremd und es folgt daher ϕ(p) = p− 1 .

Allgemeiner behaupten wir, dass fur eine Primzahlpotenz q = pn die Beziehung

ϕ(pn) = pn − pn−1 gilt: Ist die ganze Zahl a mit 1 ≤ a ≤ pn nicht zu pn teilerfremd,

so haben a und pn den gemeinsamen Teiler p, somit a = p · b mit 1 ≤ b ≤ pn−1.Fur b und damit fur a gibt es daher genau pn−1 Moglichkeiten. �

6

Chinesischer Restsatz

Satz. Seien m, n > 0 teilerfremde naturliche Zahlen. Dann ist die

Abbildung h : Zm·n → Zm × Zn, [x]m·n 7→ ([x]m, [x]n) ein Isomorphis-

mus von Ringen.

Beweis. (1) Die Definition macht Sinn: Gilt namlich [x]m·n = [x′]m·n, so wirddie Differenz x′ − x durch m · n und dann auch durch m und n geteilt. Es folgt:[x]m = [x′]m und [x]n = [x′]n.

(2) h ist ein Ringhomomorphismus, d.h. ist vertraglich mit Summen- und Pro-duktbildung.

(3) h ist injektiv. Ist namlich h([x]m·n) = ([0]m, [0]n), so ist [x]m = [0]m und[x]n = [0]n. Folglich wird x sowohl durch m als auch durch n geteilt. Da m und nteilerfremd sind, ist dann m · n ein Teiler von x und somit [x]m·n = [0]m·n.

Wegen |Zm·n| = m·n = |Zm|·|Zn| folgt hieraus die Bijektivitat von h und zusammenmit (2) die Behauptung. �

7

Berechnung von ϕ(n)

Satz. Die Werte der Eulerschen Funktion sind durch die folgenden

Bedingungen eindeutig bestimmt:

(a) ϕ ist multiplikativ, d.h. ϕ(m · n) = ϕ(m) · ϕ(n) , falls m, n teiler-

fremd sind.

(b) ϕ(pn) = pn − pn−1 , falls p prim ist.

Beweis. Die Eigenschaft (b) haben wir schon nachgewiesen.

Zu (a): Seien m, n teilerfremd. Aus der Ringisomorphie Zm·n∼= Zm×Zn des chine-

sischen Restsatzes folgt durch Ubergang zu den Einheitengruppen die Gruppeni-somorphie Z∗m·n ∼= Z∗m ×Z∗n und dann durch Ubergang zu den Anzahlen ϕ(m · n) =ϕ(m) · ϕ(n).

Da jede naturliche Zahl n > 0 eine eindeutige Darstellung n =∏r

i=1 pei

i mit paarwei-se verschiedenen Primzahlen p1, p2, . . . , pr besitzt, sind die Faktoren pei

i paarweiseteilerfremd und es folgt

ϕ(n) = ϕ(r∏

i=1

pei

i ) =r∏

i=1

ϕ(pei

i ) =r∏

i=1

(pei

i − pei−1i ). �

8

Vorschau

Als nachstes Thema steuern wir die Satze von Euler bzw. Fermatan.

Der Eulersche Satz sagt, dass stets xϕ(m) ≡ 1 (m) gilt, falls x und

m teilerfremd sind. Der (kleine) Fermatsche Satz ist ein Spezialfall

des Eulerschen Satzes und sagt, dass xp−1 ≡ 1 (p) fur jede Primzahl

p und durch p nicht teilbare Zahl x gilt.

Die RSA-Verschlusselung fußt auf beiden Satzen. Beide Satze sindihrerseits (einfache) Folgerungen des Satzes von Lagrange, nachdem die Ordnung einer Untergruppe stets die Ordnung der ganzenGruppe teilt.

Wir betrachten nachfolgend die Nebenklassenzerlegung nach einerUntergruppe, aus welcher der Satz von Lagrange sofort folgt.

9

Nebenklassenzerlegung nach einer Untergruppe

Sei (H,+) eine kommutative∗ Gruppe, hier in additiver Notation. U sei eine Unter-gruppe von H. Fruhere Betrachtungen verallgemeinernd, sagen wir, dass x, y ∈ Hbezuglich U kongruent sind (Schreibweise x ≡ y), falls x− y zu U gehort. Fernerbezeichnen wir mit

[x] = {y ∈ H| y − x ∈ U}

die Menge der zu x kongruenten Elemente y und nennen dies die Nebenklasse

von x nach U . Suggestiver gilt: [x] = x + U . Es gelten die drei Eigenschaften:

(N1) Fur jedes x ∈ H gilt x ∈ [x].

(N2) Zwei Nebenklassen [x] und [y] sind entweder gleich oder dis-

junkt.

(N3) Die Abbildung g : U → x+U , u 7→ x+u, ist bijektiv; insbeson-

dere |[x]| = |U | fur jedes x ∈ H.

∗Die Kommutativitat wird eigentlich nicht gebraucht, erleichtert jedoch die Argu-mente. Wir sprechen in den folgenden Formulierungen daher haufig von Gruppe.

10

Nebenklassenzerlegung, Beweis

Zunachst machen wir uns klar, dass [x] = [y] und x− y ∈ U aquiva-

lente Aussagen sind:

(a) Falls [x] = [y] gilt x + U = y + U , daher hat x die Form y + u

mit u ∈ U und x− y ∈ U folgt.

(b) Falls umgekehrt x = y + u mit u ∈ U gilt, so folgt x + U =

y + (u + U) = y + U , somit [x] = [y].

Zu (N1): Wegen 0 ∈ U ist x ∈ x + U gelegen.

Zu (N2): Falls [x] und [y] ein gemeinsames Element z haben, gilt

z − x ∈ U und z − y in U . Nach Vorbemerkung folgt dann [z] = [x]

und [z] = [y], also [x] = [y].

Zu (N3): Ersichtlich ist g surjektiv. Falls ferner g(x) = g(y), also

x + u = y + u gilt, liefert Addition mit −u, dass x = y ist. �

11

Der Satz von Lagrange

Definition. H sei eine Gruppe und U eine Untergruppe. Die Menge

{[x]|x ∈ H} aller Nebenklassen von H nach U bezeichnen wir mit

H/U und nennen die Anzahl [H : U ] aller Nebenklassen von H nach

U den Index H nach U .

Satz von Lagrange. Falls H eine endliche Gruppe und U eine Un-

tergruppe von H ist, gilt |H| = |U | · [H : U ] .

Insbesondere sind sowohl die Ordnung |U | der Untergruppe U als

auch der Index [H : U ] Teiler der Gruppenordnung |H| von H.

Beweis. Wegen (N1) und (N2) ist H disjunkte Vereinigung der [H : U ] Neben-klassen [x] ∈ H/U . Ferner haben nach (N3) alle Nebenklassen [x], x ∈ H, dieselbeElementezahl |U |. Es folgt |H| = [H : U ] · |U |. �

12

Die Ordnung eines Elements

Im Interesse spaterer Anwendungen verwenden wir von nun an multiplikative No-

tation. Das neutrale Element bzgl. der Multiplikation bezeichnen wir mit 1.

Satz. (H, ·) sei eine endliche Gruppe. Zu x ∈ H gibt es dann einen

Exponenten n ≥ 1 mit xn = 1. Der kleinste derartige Exponent n

heißt die Ordnung von x.

Die Ordnung von x teilt die Gruppenordnung |H| .Mit m = |H| gilt ferner xm = 1.

Beweis. Da H endlich ist, gibt es Exponenten 1 ≤ a < b mit xa = xb. Mit n = b−afolgt dann xn = 1.

Die Teilmenge U ={1, x, x2, . . . , xn−1

}ist wegen xn = 1 bezuglich der Multipli-

kation von H abgeschlossen; ferner ist zu xi ∈ U das Element xn−i invers. Daherist U eine Untergruppe von H.Falls n zusatzlich minimal gewahlt ist, sind die Potenzen 1, x, x2, . . . , xn−1 paarwei-se verschieden, also gilt n = |U |. Der Satz von Lagrange zeigt, dass n = |U | dieOrdnung von H teilt. Mit m = |H| gilt somit m = n ·a und dann xm = (xn)a = 1. �

13

Der Satz von Euler

Wir wenden den vorangehenden Satz auf die multiplikative Gruppe

Z∗m an und erhalten:

Satz von Euler. Sei m > 1 eine naturliche Zahl und die ganze Zahl

x zu m teilerfremd. Dann gilt

xϕ(m) ≡ 1 (m).

Beweis. Da x zu m teilerfremd ist, gehort [x]m zur Einheitengruppe Z∗m, derenOrdnung ϕ(m) ist. Folglich gilt in Z∗m die Beziehung

[xϕ(m)]m = [x]ϕ(m)m = [1]m.

Durch Ubergang zu den Reprasentanten folgt xϕ(m) ≡ 1 (m). �

Wir werden eine Variante des Satzes von Euler fur m = p · q (p, q prim) fur dieRSA-Verschlusselung verwenden.

14

Der Satz von Fermat

Als Spezialfall des Satzes von Euler erhalten wir fur m = p prim, den sogenannten

kleinen Satz von Fermat.

Satz von Fermat. Es sei p eine Primzahl. Fur jede nicht durch p

teilbare ganze Zahl x gilt dann

xp−1 ≡ 1 (p).

Beweis. Wir wenden den Eulerschen Satz an und berucksichtigen ϕ(p) = p−1. �

Folgerung Es sei p eine Primzahl und x eine ganze Zahl. Dann gilt

xp ≡ x (p).

Beweis. Fur die nicht durch p teilbaren ganzen Zahlen ergibt sich die Behauptungaus dem Satz von Fermat durch Multiplikation mit x. Fur eine durch p teilbareZahl x sind andererseits sowohl x als auch xp kongruent 0 modulo p. �

15

Primzahlen und Satz von Fermat: Kommentar I

(1) Der Satz von Fermat ist — aus dem rechten Blickwinkel be-trachtet — außerordentlich bemerkenswert: Mit seiner Hilfe kannnamlich bewiesen werden, dass eine Zahl n zusammengesetzt istohne uberhaupt eine Faktorisierung angeben zu mussen.

(2) Das Fermatsche Kriterium ist allerdings nur eine notwendige,jedoch keine hinreichende Bedingung. Es ist 561 = 3 · 11 · 17 diekleinste Zahl, welche das Fermatsche Kriterium erfullt, jedoch nichtprim ist.

(3) In dieselbe Richtung geht der Primzahltest von Wilson∗: p istgenau dann prim, wenn (p− 1)! ≡ −1 (p) gilt.Die Rechenzeit fur den Wilsonschen Test ist — wegen der involvier-ten Fakultat — allerdings außerordentlich lang. In der Praxis wendetman stattdessen alternative schnelle Primzahltests an.∗Denselben behandeln wir hier nicht, obwohl sein Beweis nicht schwierig ist.

16

Primzahlen und Satz von Fermat: Kommentar II

(4) Zur theoretischen Dimension: Der indische Mathematiker M.Agraval und seine Studenten N. Kayal und N. Saxena haben Au-gust 2002 einen schnellen einfachen Primzahltest angekundigt, derin polynomialer Laufzeit operiert.

(5) Dagegen sind keine effektiven Verfahren zur Faktorisierung großerZahlen bekannt. Allgemein gilt das Auffinden von Primfaktoren (furZahlen von 100 und mehr Dezimalstellen) als ein sehr schwierigesProblem.Fur das Faktorisieren hinreichend großer Zahlen haben die amerikanischen RSA

Laboratories Preise im Bereich von 10.000 $ (bei 174 Dezimalstellen) bis 200.000 $

(bei 617 Dezimalstellen) ausgesetzt (Stand Januar 2003).

(6) Andererseits ist kein Nachweis bekannt, dass die Faktorisierungganzer Zahlen wirklich ein so schweres Problem ist, dass es nichtdurch Algorithmen gelost werden konnte, die in polynomialer Lauf-zeit einen (echten) Faktor liefern.

17

Leonhard Euler (1707–1783)

Euler hat bahnbrechende Ergebnisse in Analysis, Geometrie und

Zahlentheorie erzielt. Viele mathematische Konzepte sind nach ihm

benannt. Euler ist auch Schopfer der Graphentheorie.

18

Joseph-Louis Lagrange (1736–1813)

Lagrange ist durch bemerkenswerte Leistungen in Analysis, Him-

melsmechanik und Zahlentheorie hervorgetreten.

19

Pierre de Fermat (1601–1665)

Fermat war Anwalt und hoher franzosischer Staatsbeamter. In Differential-

und Integralrechnung, geometrischer Optik und Zahlentheorie hat

er als Amateur gleichwohl Großes geleistet. Das Fermatsche Pro-

blem (=großer Fermatscher Satz) wurde erst 1994 durch Andrew

Wiles gelost.

20

Die Rolle der Zahlentheorie

Zahlentheorie, insbesondere die Beschaftigung mit Primzahlen, galt

lange Jahre als nutzlose Spekulation oder — positiv gewandt — als

Mathematik reinsten Wassers. Die Verhaltnisse haben sich drastisch

geandert.

Inzwischen haben zahlentheoretische Verfahren Konjunktur; clevere

Algorithmen der Zahlentheorie haben hohen okonomischen Wert.

Derartige Anwendungen liegen vornehmlich in der Kodierungstheorie

und der Kryptographie.

Wir werden anschließend eine derartige Anwendung, die

RSA-Verschlusselung∗ untersuchen.∗Die RSA-Verschlusselung wird u.a. fur Kreditkarten und sichere Internetubertra-gungen eingesetzt.

21

Die RSA-Verschlusselung

Es handelt sich um ein asymmetrisches Verschlusselungsverfahren∗

mit offentlichem Schlussel, benannt nach Ronald Rivest, Adi Shamirund Leonard Adleman, die dieses Verfahren 1977 entwickelten.

Wir beschreiben zunachst das RSA-Verfahren und gehen dann aufden mathematischen Hintergrund ein: Alice (Sender) will eine Nach-richt an Bob (Empfanger) senden, den Eva (Lauscher) nicht verste-hen soll. Wir unterstellen, dass Eva alles mitlesen kann, was Alicean Bob sendet.

Wir konnen ohne Einschrankung annehmen, dass die zu sendendeNachricht aus einer Zahl x besteht. (Warum?)∗Die popularen Darstellungen von S. Singh: Geheime Botschaften, Hauser 2000,und von A. Beutelspacher: Geheimsprachen, Beck 1997, thematisieren auch diehistorische und gesellschaftliche Bedeutung der Kryptographie.

22

Ein asymmetrisches Verschlusselungsverfahren

Alice mochte die Nachricht x verschlusselt an Bob senden. Wie folgt

gelingt es ihr, Eva auszutricksen:

(1) Alice beschafft sich aus einer Art “Telefonbuch” Bobs offentli-

chen Schlussel (n, e).

(2) Alice berechnet die Potenz xe und schickt an Bob den Rest

y = xe mod n , den xe nach Division durch n lasst.

(3) Alice schickt die Mitteilung y an Bob uber einen ungeschutzten

Kanal.

(4) Bob greift auf seinen geheimen Schlussel (n, d) zuruck, den nur

er kennt! Er berechnet yd und ermittelt den Rest yd mod n. Dies

ist gerade x, die ursprungliche Nachricht.

23

Einfaches Beispiel: Verschlussln

Sei p = 3, q = 11, also n = 33 und ϕ(n) = 20. Wir wahlen e = 7

als zu ϕ(n) teilerfremde Zahl und erhalten — etwa durch den erwei-

terten euklidischen Algorithmus — die modulo ϕ(n) — zu e inverse

Zahl d = 3 . Zur Kontrolle: e · d ≡ 1 (20).

Offentlicher Schlussel: (n, e) = (33,7) .

Geheimer Schlussel des Empfangers: (n, d) = (33,3) .

Zu ubermittelnde Nachricht: x = 2 .

Verschlusselung von x:

27 = 128 (33)

= 29 (33)

Alice verschickt xe mod n = 29 .

24

Einfaches Beispiel: Entschlusseln

Aus der empfangenen Nachricht y = 29 bildet Bob mit Hilfe des

geheimen Schlussels (n, d) = (33,3) die Zahl z = yd mod (n).

Dies sieht zunachst nach umfangreicher Rechnung aus, ist in modularer Arithme-

tik jedoch schnell zu ermitteln, da namlich 29 ≡ −4 (33). Also

y3 ≡ (−4)3 (33)

≡ −64 (33)

≡ 2 (33)

Wir sehen, dass Bob mit z = 2 die Nachricht korrekt entschlusselt

hat.

Vorfuhren eines großeren Beispiels per MuPAD-Notebook!

25