Endliche Körper und ihre Anwendungen Prof. Dr. Thomas Honold Wintersemester 2004/2005
Inhaltsverzeichnis 1
Struktur e...
382 downloads
1004 Views
805KB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Endliche Körper und ihre Anwendungen Prof. Dr. Thomas Honold Wintersemester 2004/2005
Inhaltsverzeichnis 1
Struktur endlicher Körper 1.1 Klassifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Automorphismen, Teilkörper, Minimalpolynome . . . . . . . . . . . . 1.3 Charakteristisches Polynom, Spur und Norm . . . . . . . . . . . . . . .
3 3 12 17
2
BCH-Codes und Reed-Solomon-Codes 2.1 Grundbegriffe der Codierungstheorie . . . . . . . . 2.2 Syndrom-Decodierung linearer Codes . . . . . . . 2.3 Zyklische Codes . . . . . . . . . . . . . . . . . . . 2.4 Faktorisierung von X n − 1 über Fq . . . . . . . . . 2.5 BCH-Codes . . . . . . . . . . . . . . . . . . . . . 2.6 Decodierung der BCH-Codes . . . . . . . . . . . . 2.7 Reed-Solomon-Codes und Secret Sharing Schemes
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
21 21 30 34 40 48 52 57
3
Exponentialsummen und Gleichungen 3.1 Charaktere endlicher abelscher Gruppen . . . . . . . 3.2 Additive und multiplikative Charaktere von Fq . . . . 3.3 Hadamard-Matrizen . . . . . . . . . . . . . . . . . . 3.4 Fouriertransformation und MacWilliams-Identität . . 3.5 Gaußsche und Jacobische Summen . . . . . . . . . . 3.6 Gegenseitig unverzerrte Basen des Hilbertraumes Cn 3.7 Diagonalgleichungen . . . . . . . . . . . . . . . . . 3.8 Allgemeine Sätze für Lösungsanzahlen . . . . . . . . 3.9 Quadratische Formen . . . . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
63 63 67 71 73 77 86 88 91 93
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
100 100 105 108 113 114
A Grundlagen A.1 Gruppen . . . . . . . . . A.2 Ringe und Körper . . . . A.3 Polynomringe . . . . . . A.4 Körpererweiterungen . . A.5 Vektorräume und Moduln
. . . . .
. . . . .
. . . . .
. . . . .
. . . . . 1
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
A.6 Elementare Zahlentheorie . . . . . . . . . . . . . . . . . . . . . . . . . 115 A.7 Gruppenoperationen . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
2
Kapitel 1 Struktur endlicher Körper 1.1 Klassifikation Unter einem endlichen Körper versteht man einen Körper F (im Sinne der Algebra) mit einer endlichen Anzahl |F| von Elementen. Die Zahl |F| heißt Ordnung von F. Für einen Körper F gilt wegen 0, 1 ∈ F und 1 6= 0 stets |F| ≥ 2. Durch ein bißchen Herumprobieren findet man schnell, daß es bis auf Isomorphie jeweils höchstens einen Körper F mit |F| ∈ {2, 3, 4} geben kann. Addition + und Multiplikation × sind ggf. durch die folgenden Wertetafeln gegeben: + 0 1 0 0 1 1 1 0
q=2:
q=3:
q=4:
+ 0 1 a b
0 0 1 a b
+ 0 1 a
0 0 1 a
1 1 a 0
1 1 0 b a
a a b 0 1
b b a 1 0
a a 0 1 × 0 1 a b
× 0 1 0 0 1 1 0 1
(1.1)
× 0 1 a
0 0 0 0
1 0 1 a
a 0 a 1
(1.2)
0 0 0 0 0
1 0 1 a b
a 0 a b 1
b 0 b 1 a
(1.3)
Im ersten Fall q = 2 ist vielleicht noch klar, daß die so definierte algebraische Struktur tatsächlich einen Körper bildet. Mit wachsendem q wird das Nachprüfen aller Körperaxiome jedoch zunehmend schwieriger. Vor allem die Assoziativ- und Distributivgesetze bereiten Mühe. Niemand wäre in der Lage, auf solche Weise alle endlichen Körper zu konstruieren und bis auf Isomorphie zu klassifizieren. 3
Wir beschreiten deshalb einen anderen Weg. Wir starten mit wohlbekannten kommutativen Ringen und betrachten endliche Faktorringe solcher Ringe. Die Gültigkeit der Ringaxiome kriegen wir dabei quasi geschenkt, und es bleibt nur noch nachzuprüfen, ob jedes Element x 6= 0 des Faktorrings ein multiplikatives Inverses besitzt. Der nachfolgende Satz zeigt, daß man sich das Leben noch weiter vereinfachen kann. Wir erinnern daran, daß man unter einem Integritätsring einen kommutativen, nullteilerfreien (d. h. aus xy = 0 folgt stets x = 0 oder y = 0) Ring mit Einselement 1 6= 0 versteht. Satz 1.1. Jeder endliche Integritätsring R ist ein Körper.
Beweis. Die Bedingung xy = 0 =⇒ (x = 0 ∨ y = 0) oder, äquivalent dazu, (xy = 0 ∧ x 6= 0) =⇒ y = 0 läßt sich auch so formulieren: Für jedes x ∈ R \ {0} ist die Abbildung `x : R → R, y 7→ xy (Linksmultiplikation mit x) ein Monomorphismus (injektiver Homomorphismus) der additiven Gruppe (R, +). Wegen |R| < ∞ ist `x dann aber auch surjektiv und es existiert ein y ∈ R mit xy = `x (y) = 1.
Als einfachstes Beispiel untersuchen wir die endlichen Faktorringe des Ringes Z der ganzen Zahlen. Diese haben bekanntlich die Form Zn := Z/nZ = {a + nZ; a ∈ Z} = {0 + nZ, 1 + nZ, . . . , n − 1 + nZ} mit n ∈ N und den Operationen (a + nZ) + (b + nZ) := a + b + nZ, (a + nZ)(b + nZ) := ab + nZ. Die Menge a + nZ ist die Äquivalenzklasse von a bezüglich der Kongruenzrelation x ≡ y ⇐⇒ x − y ∈ nZ oder, in der üblichen Notation, x ≡ y (mod n). Wenn n = p eine Primzahl ist, dann folgt aus (x + pZ)(y + pZ) = 0, d. h. xy ≡ 0 (mod p) oder p | xy („p teilt xy”), stets p | x oder p | y, d. h. x + pZ = 0 oder y + pZ = 0. Die Ringe Z p , p Primzahl, sind also nullteilerfrei und nach Satz 1.1 endliche Körper. Wenn n keine Primzahl und n = ab eine nichttriviale Faktorisierung ist, so gilt (a + nZ)(b + nZ) = n + nZ = 0, a + nZ 6= 0, b + nZ 6= 0. In diesem Fall hat Z n also Nullteiler und ist damit kein Körper; zusammengefaßt: Satz 1.2. Der Faktorring Zn = Z/nZ ist ein Körper genau dann, wenn n eine Primzahl ist. Der Beweis von Satz 1.1 beruht auf dem Dirichletschen Schubfachprinzip und ist damit nicht effektiv.1 Eine effektive (und effiziente) Version von Satz 1.2 erhält man mit Hilfe des Euklidischen Algorithmus zur Berechnung des größten gemeinsamen Teilers zweier natürlicher Zahlen. Die nachfolgend beschriebene Erweiterung des Euklidischen Algorithmus liefert zu a, b ∈ N ganze Zahlen x, y ∈ Z mit xa + yb = gcd(a, b). Bei Anwendung auf eine Primzahl b := p und a 6≡ 0 (mod p) ergibt sich wegen xa + yp = gcd(a, p) = 1 offenbar (a + pZ)−1 = x + pZ. 1 Auch wenn der Beweis
keinen Anhaltspunkt gibt, wie man das multiplikative Inverse einer Restklasse a + pZ 6= 0 in Z p findet, so ist die Inversenbestimmung natürlich effektiv durchführbar. Man braucht ja nur für alle ganzen Zahlen b ∈ {1, 2, . . . , p − 1} die Kongruenz ab ≡ 1 (mod p) zu testen.
4
Der Euklidische Algorithmus berechnet die durch r−1 := a, r0 := b und ri := ri−2 mod ri−1 für i ≥ 1 definierte Folge ganzer Zahlen r−1 ≥ r0 > r1 > · · · > rn−1 > rn = 0. Die Zahl x mod y ist per definitionem der Rest der ganzzahligen Division x durch y (erklärt durch x mod y := x − qy mit 0 ≤ x mod y < y). Wir setzen der Einfachheit halber a ≥ b ≥ 0 voraus. Die Schritte des Euklidischen Algorithmus lassen sich durch Zeilenumformungen mit Elementarmatrizen der Form 1 −q 1 0 a bzw. , angewandt auf den Vektor , (1.4) 0 1 −q 1 b deuten. Wendet man die Zeilenumformungen auf die erweiterte Matrix a 1 0 b 0 1
(1.5)
an, so erhält man am Ende des Algorithmus die Koeffizienten x, y einer Darstellung d := gcd(a, b) = xa + yb in der folgenden Form: 0 ∗ ∗ d x y . (1.6) oder d x y 0 ∗ ∗ Beispiel 1. Wir berechnen (503 + 2971Z)−1 im Körper Z2971 in der beschriebenen Weise: 2971 1 0 456 1 −5 456 1 −5 −→ −→ 503 0 1 503 0 1 47 −1 6 33 10 −59 33 10 −59 5 32 −189 −→ −→ −→ 47 −1 6 14 −11 65 14 −11 65 5 32 −189 1 107 −632 1 107 −632 −→ −→ −→ 4 −75 443 4 −75 443 0 −503 2971
Es gilt also 1 = 107 × 2971 − 632 × 503 und
(503 + 2971Z)−1 = −632 + 2971Z = 2639 + 2971Z.
Aufgabe 1. Finden Sie heraus, wie man die Rechnung in Beispiel 1 drastisch verkürzen kann. Sätzchen 1.3 (Kleiner Satz von Fermat). Es sei p Primzahl. Für jedes a ∈ Z p gilt dann a p = a. Beweis. Die multiplikative Gruppe Z∗p des Körpers Z p hat die Ordnung p − 1. Für jedes a ∈ Z∗p gilt also a p−1 = 1 bzw. a p = a. Trivialerweise gilt auch 0 p = 0. 5
Sätzchen 1.3 läßt sich auch so formulieren: Für jede Primzahl p und jede ganze Zahl a gilt a p ≡ a (mod p). Als nächstes betrachten wir endliche Faktorringe von Polynomringen Z p [X ] über den gerade betrachteten Körpern Z p . Aus der Algebra ist bekannt, daß jedes Ideal I von Z p [X ] ein Hauptideal ist, also abgesehen vom für uns uninteressanten Fall I = {0} (mit unendlichem Faktorring Z p [X ]/{0} ∼ = Z p [X ]) die Form I = ( f ) := Z p [X ] · f mit einem eindeutig bestimmten normierten Polynom f ∈ Z p [X ] hat. Wir setzen R := Z p [X ]/( f ) und bezeichnen mit d := deg f den Grad des Polynoms f . Mittels Polynomdivision überlegt man sich leicht, daß in jeder Nebenklasse a + ( f ) ∈ R genau ein Polynom vom Grad < d liegt. Daraus folgt |R| = {a ∈ Z p [X ]; dega < d} = pd . (1.7)
Insbesondere ist jeder nichttriviale Faktorring Z p [X ]/I, I 6= {0}, endlich. Um das Rechnen in R = Z p [X ]/( f ) zu vereinfachen, setzen wir α := X + ( f ). Für jedes Polynom a ∈ Z p [X ] gilt dann a(α) = a + ( f ) und speziell f (α) = f + ( f ) = 0. Folglich besitzt jedes Element x ∈ R genau eine Darstellung x = a(α) mit einem Polynom a ∈ Z p [X ] vom Grad < d oder, was dasselbe ist, genau eine Darstellung x = a0 +a1 α+a2 α2 +· · ·+ad−1 αd−1 mit Koeffizienten ai aus dem zu Z p isomorfen Teilkörper Z1 ⊆ R. Die Potenzen 1, α, α2 , . . . , αd−1 bilden also eine Basis des Z p -Vektorraums R. Das Polynom f ist das eindeutig bestimmte normierte Polynom kleinsten Grades in Z p [X ] mit f (α) = 0 (Minimalpolynom von α über Z p ). Die Tatsache, daß jedes Element von R die Form a(α) mit einem Polynom a ∈ Z p [X ] hat, drückt man durch die Schreibweise R = Z p [α] aus; vgl. Abschnitt A.4.
Satz 1.4. Der Faktorring R = Z p [X ]/( f ) ist ein Körper genau dann, wenn f in Z p [X ] irreduzibel ist. Beweis. Der Beweis verläuft ähnlich zum Beweis von Satz 1.2. Wenn f reduzibel und f (X ) = a(X )b(X ) eine nichttriviale Faktorisierung in Z p [X ] ist (d. h. 0 < deg a < d), dann besitzt R wegen a + ( f ) b + ( f ) = f + ( f ) = 0, a + ( f ) 6= 0, b + ( f ) 6= 0 Nullteiler, ist also kein Körper. Wenn dagegen f irreduzibel und a + ( f ) 6= 0, d. h. a kein Vielfaches von f ist, so liefert der erweiterte Euklidische Algorithmus für Polynome, angewandt aufa und f , eine Darstellung 1 = ggT(a, f ) = ua + v f mit u, v ∈ Z p [X ]. Das zeigt u + ( f ) a + ( f ) = 1 in R, d. h. jedes Element a + ( f ) ∈ R \ {0} ist invertierbar. Satz 1.4 und die Vorüberlegung zeigen, daß ein Körper der Ordnung p d immer dann existiert, wenn es ein irreduzibles Polynom f ∈ Z p [X ] vom Grad d gibt.
Beispiel 2. Das Polynom X 2 +X +1 ∈ Z2 [X ] ist irreduzibel, da es in Z2 keine Nullstelle, also in Z2 [X ] keinen Linearfaktor besitzt. Nach Satz 1.4 ist R := Z2 [X ]/(X 2 + X + 1) ein Körper der Ordnung 4. Mit a := X + (X 2 + X + 1), b := X + 1 + (X 2 + X + 1) = a + 1 6
rechnet man leicht nach, daß Addition und Multiplikation von R durch (1.3) gegeben sind. So gilt etwa a2 = a + 1 = b (wegen a2 + a + 1 = 0 und 1 = −1 in R) und a3 = ab = a2 + a = 1. Beispiel 3. Das Polynom X 3 + X + 1 ∈ Z2 [X ] ist irreduzibel, da es in Z2 keine Nullstelle hat.2 Nach Satz 1.4 ist R := Z2 [X ]/(X 3 + X + 1) ein Körper der Ordnung 8. Mit der üblichen Abkürzung α := X + (X 3 + X + 1) wollen wir nun exemplarisch 1/(α2 + α + 1) := (α2 + α + 1)−1 in R berechnen: Es gilt α2 + α + 1 = X 2 + X + 1 + (X 3 + X + 1). Analog zum Fall Z p lösen wir dazu die Kongruenz (X 2 + X + 1)b(X ) ≡ 1 (mod X 3 + X + 1) mit dem erweiterten Euklidischen Algorithmus zur Berechnung von gcd(X 2 + X + 1, X 3 + X + 1) in Z2 [X ]. Dazu sind 2 Polynomdivisionen nötig: (X 3 + X + 1) : (X 2 + X + 1) = X + 1 2
(X + X + 1) : X = X + 1
mit Rest
X;
mit Rest
1.
Mit unserem Schema aus Beispiel 1 ergibt sich 3 X 1 X +1 X 1 X +1 X +X +1 1 0 −→ −→ X2 + X + 1 0 1 1 X + 1 X2 X2 + X + 1 0 1 zuletzt wegen (X + 1)2 + 1 = X 2 + 1 + 1 = X 2 in Z2 [X ]. In Z2 [X ] gilt folglich 1 = (X + 1)(X 3 + X + 1) + X 2 (X 2 + X + 1), und b(X ) := X 2 löst die angegebene Kongruenz. Es gilt also 1/(α2 + α + 1) = b(α) = α2 . Da |R∗ | = 7 sehr klein ist, kann man sich für das Rechnen in R∗ ganz schnell eine Tabelle machen: α0 = 1 · 1 + 0 · α + 0 · α 2 α1 = 0 · 1 + 1 · α + 0 · α 2 α2 = 0 · 1 + 0 · α + 1 · α 2 α3 = 1 · 1 + 1 · α + 0 · α 2 α4 = 0 · 1 + 1 · α + 1 · α 2 α5 = 1 · 1 + 1 · α + 1 · α 2 α6 = 1 · 1 + 0 · α + 1 · α 2
sowie α7 = 1 und R = {0, 1, α, . . ., α6 }. Aufgaben wie die oben gestellte lassen sich nun leicht lösen: Nach der Tabelle ist 1/(α2 + α + 1) = α−5 = α2 . In Satz 1.6 wird gezeigt, daß jeder endliche Körper F ein Element α mit F ∗ = {1, α, α2 , . . . , αq−2 }, q = |F|, – ein sog. primitives Element – besitzt.
Unser eigentliches Ziel im ersten Abschnitt ist es, den folgenden, Ihnen vielleicht aus der Algebra-Vorlesung bekannten Klassifikationssatz für endliche Körper zu zeigen. Satz 1.5. 2 Hüten
(i) Die Ordnung jedes endlichen Körpers ist eine Primzahlpotenz q > 1. Sie sich vor einer Verallgemeinerung dieser Aussage auf Polynome vom Grad > 3 !
7
(ii) Zu jeder Primzahlpotenz q > 1 existiert ein Körper F mit |F| = q.
(iii) Je zwei Körper E, F mit |E| = |F| < ∞ sind isomorf.
Beweis von Satz 1.5 (i). Es sei F ein endlicher Körper der Ordnung q und p ∈ N die Ordnung von 1 = 1F in (F, +) (die sog. Charakteristik von F).3 Wegen 1 6= 0 gilt p > 1. Aus p = st mit s,t ∈ N folgt 0 = p1 = (st)1 = (s1)(t1), zusammen mit der Nullteilerfreiheit von F also s1 = 0 oder t1 = 0 und damit s = p oder t = p. Die Zahl p ist demnach eine Primzahl. Wegen px = (p1)x = 0 hat dann jedes Element x 6= 0 die Ordnung p in (F, +). Die Gruppe (F, +) ist also eine elementarabelsche p-Gruppe und somit über dem Körper Z p = Z/pZ. Mit n := dimZ p (F) gilt folglich Vektorraum ein n n q = Zp = p .
Man sieht ferner, daß der von 1 erzeugte Teilring Z1 ⊆ F isomorf zu Z p und damit zugleich der Primkörper von F ist. Zum Beweis der übrigen Aussagen von Satz 1.5 sind einige Vorbereitungen nötig. Satz 1.6. Die multiplikative Gruppe eines endlichen Körpers ist zyklisch.
Beweis. Die multiplikative Gruppe F ∗ = F \ {0} eines Körpers F der Ordnung q hat die Ordnung q − 1. Wir müssen zeigen, daß ein Element β ∈ F ∗ der Ordnung q − 1 existiert. Es sei q − 1 = ∏ri=1 pei i die Primfaktorisierung der natürlichen Zahl q − 1. Für i ∈ 1, r hat das Polynom X (q−1)/pi − 1 ∈ F[X ] höchstens (q−1)/pi < q−1 Wurzeln in F. Demnach existiert αi ∈ F ∗ mit αi
(q−1)/pi
e (q−1)/pi i
e pi i
e −1 pi i
q−1
(q−1)/p
6= 1.
i Für βi := αi gilt dann βi = αi = 1, βi = αi 6= 1. Das Element βi hat ei ei e j ∗ also die Ordnung pi in F . Wegen ggT(pi , p j ) = 1 für i 6= j hat dann β := β1 β2 . . . βr die Ordnung ∏ri=1 pei i = q − 1 in F ∗ (vgl. Blatt 1, Aufgabe 7).
Ein erzeugendes Element von F ∗ wird primitives Element von F genannt.
Aufgabe 2. Es sei f ∈ Z p [X ] irreduzibel. Zeigen Sie durch ein Gegenbeispiel, daß X + ( f ) ∈ Z p [X ]/( f ) kein primitives Element des Körpers Z p [X ]/( f ) zu sein braucht. Sätzchen 1.7. Für a, d, n ∈ N mit a ≥ 2 gilt 3 Die
ad − 1 | a n − 1
genau dann, wenn
d | n.
Zahl p ist also die kleinste natürliche Zahl mit p1 = 1 + 1 + · · · + 1 = 0. {z } | p-mal
8
Beweis. Die Richtung ⇐ folgt aus der bekannten Formel ade − 1 = (ad − 1)(1 + ad + a2d + · · · + a(e−1)d ). Umgekehrt gelte nun ad − 1 | an − 1. Wir schreiben n = de + r mit 0 ≤ r < d. Wegen an − 1 = ade+r − 1 = ar (ade − 1) + (ar − 1)
und nach dem ersten Teil des Beweises gilt dann ad − 1 | ar − 1. Wegen a ≥ 2 gilt andererseits ar − 1 < ad − 1. Beides zusammen impliziert ar − 1 = 0, d. h. r = 0 und damit d | n.
Sätzchen 1.8. Für jedes Polynom f ∈ Z p [X ] gilt f (X ) p = f (X p ).
Beweis. Da Z p [X ] die Charakteristik p hat und kommutativ ist, gilt ( f + g) p = f p + g p für alle Polynome f , g ∈ Z p [X ]. Außerdem gilt (a f ) p = a p f p = a f p für a ∈ Z p , f ∈ Z p [X ] nach Sätzchen 1.3. Beides zusammen besagt gerade, daß f 7→ f p ein Endomorphismus des Z p -Vektorraums Z p [X ] ist. Für f (X ) = ∑di=0 ai X i ∈ Z p [X ] gilt daher !p f (X ) p =
d
d
= ∑ ai X ip = f (X p ).
∑ ai X i
i=0
i=0
Satz 1.9. For jedes n ∈ N ist das Produkt aller normierten, irreduziblen Polynome f ∈ n Z p [X ] mit deg f | n gleich X p − X . n
n
Beweis. Die formale Ableitung des Polynoms X p − X ∈ Z p [X ] ist pn X p −1 − 1 = −1. n n Somit geht kein irreduzibles Polynom in X p − X quadratisch auf, denn aus X p − X = n f 2 g mit f , g ∈ Z p [X ] folgt −1 = (X p − X )0 = 2 f f 0 g + f 2 g0 = f (2 f 0 g + f g0 ), also deg f = 0. Es seien d ein Teiler von n und f ∈ Z p [X ] ein normiertes, irreduzibles Polynom vom Grad d. Nach Satz 1.4 ist F := Z p [X ]/( f ) ein Körper der Ordnung pd , dessen multiplikative Gruppe F ∗ dann wiederum nach Satz 1.6 die Ordnung pd − 1 hat. Im d Fall X + ( f ) ∈ F ∗ oder, damit gleichwertig, f 6= X folgt daraus X p −1 ≡ 1 (mod f ) und n n wegen pd − 1 | pn − 1 (vgl. Sätzchen 1.7) weiter X p −1 ≡ 1 (mod f ), d. h. f | X p −1 − 1 n n bzw. f | X p − X . Im Fall f = X gilt natürlich ebenfalls f | X p − X . Es bleibt zu zeigen, daß umgekehrt der Grad d jedes (normierten) irreduziblen Fakn tors f von X p − X in Z p [X ] ein Teiler von n ist. Wir arbeiten wieder mit dem Körper F := Z p [X ]/( f ) der Ordnung pd . Nach Satz 1.6 existiert ein Element a(X ) + ( f ) der n Ordnung pd − 1 in F ∗ . Wegen X p ≡ X (mod f ) und Sätzchen 1.8 gilt n
und folglich
n
a(X ) p = a(X p ) ≡ a(X ) (mod f )
a(X ) p
n −1
≡1
(mod f ).
Daraus folgt pd − 1 | pn − 1 und mit Sätzchen 1.7 schließlich wie gewünscht d | n. 9
Beispiel 4. Im Spezialfall n = 1 lautet Satz 1.9 p
X −X =
p−1
∏ (X − a).
a=0
In diesem Spezialfall ergibt sich die Produktformel auch unmittelbar aus dem Sätzchen 1.3 von Fermat. Als weiteres Beispiel verifizieren wir die Produktformel für p = 2 und n = 2, 3. Von den 4 (normierten) Polynomen X 2 , X 2 + 1 = (X + 1)2 , X 2 + X = X (X + 1), X 2 + X + 1 vom Grad 2 in Z2 [X ] ist nur X 2 + X + 1 irreduzibel. In Z2 [X ] gilt also
∏
f irreduzibel deg f ∈{1,2}
f (X ) = X (X + 1)(X 2 + X + 1) = X (X 3 + 1) = X 4 + X .
Die irreduziblen Polynome in Z2 [X ] vom Grad 3 sind X 3 + X + 1, X 3 + X 2 + 1, denn die Bedingung für ein irreduzibles Polynom f ∈ Z2 [X ] vom Grad 3 lautet f (0) = f (1) = 1. Es gilt also
∏
f irreduzibel deg f ∈{1,3}
f (X ) = X (X + 1)(X 3 + X + 1)(X 3 + X 2 + 1) = X (X + 1)(X 6 + X 5 + X 4 + 3X 3 + X 2 + X + 1) = X (X 7 + 1) = X 8 + X .
Die irreduziblen Polynome in Z2 [X ] vom Grad 4 sind X 4 + X + 1, X 4 + X 3 + 1 und X 4 + X 3 + X 2 + X + 1, denn die Bedingung für ein irreduzibles Polynom f ∈ Z2 [X ] vom Grad 4 lautet f (0) = f (1) = 1 und f 6= (X 2 + X + 1)2 = X 4 + X 2 + 1. Es gilt also
∏
f irreduzibel deg f ∈{1,2,4}
f (X ) = X (X + 1)(X 2 + X + 1)(X 4 + X + 1)(X 4 + X 3 + 1)(X 4 + X 3 + X 2 + X + 1) = X (X 5 + 1)(X 2 + X + 1)(X 8 + X 7 + X 5 + 3X 4 + X 3 + X + 1) = X (X 7 + X 6 + X 5 + X 2 + X + 1)(X 8 + X 7 + X 5 + X 4 + X 3 + X + 1) = X (X 15 + 1) = X 16 + X
Beweis von Satz 1.5 (ii), (iii). Wir beweisen zunächst für jede Primzahlpotenz q = p n > 1 die Existenz eines Körpers der Ordnung q. Wegen Satz 1.4 reicht dafür der Nachweis, daß für jede Primzahl p und jede natürliche Zahl n ein irreduzibles Polynom f ∈ Z p [X ] vom Grad n existiert. Für n ∈ N bezeichnen wir mit Nn die Anzahl der normierten, irreduziblen Polynome vom Grad n in Z p [X ]. Gradvergleich beider Seiten der Produktformel aus Satz 1.9 zeigt ∑ dNd = pn . d|n
10
Daraus folgt nNn ≤ pn für jedes n und weiter n
nNn ≥ p −
∑p
d|n d6=n
d
n
≥p −
n−1
∑ pd = p n −
d=1
pn − p >0 p−1
wie behauptet. Zum Beweis der letzten Behauptung seien F ein Körper der Ordnung p n und f ∈ Z p [X ] ein (normiertes) irreduzibles Polynom vom Grad n. Es genügt offenbar der Nachweis, daß F ∼ = Z p [X ]/( f ), den wir nachfolgend erbringen. n ∗ Da F die Ordnung pn − 1 hat, gilt a p −1 = 1 für jedes a ∈ F ∗ . Jedes a ∈ F ∗ ist also n Wurzel des Polynoms X p −1 − 1 ∈ Z p [X ], und es folgt n
X p − X = X (X p
n −1
− 1) = X ·
∏ (X − α) = ∏ (X − α)
α∈F ∗
α∈F
in F[X ].
Ein Vergleich mit der Produktformel aus Satz 1.9 zeigt, daß jedes irreduzible Polynom in Z p [X ], dessen Grad ein Teiler von n ist, und damit insbesondere unser Polynom f in F[X ] in Linearfaktoren zerfällt. Mit Hilfe dieser Beobachtung kann der Beweis nun leicht zu Ende geführt werden: Es sei α eine beliebige Wurzel von f in F. Wir betrachten die Abbildung Z p [X ]/( f ) → F, φ: a(X ) + ( f ) 7→ a(α).
Wegen f (α) = 0 ist φ ein wohldefinierter und offenbar von Null verschiedener, also notwendigerweise injektiver Körperhomomorphismus. Da Z p [X ]/( f ) und F beide die Ordnung pn haben, ist φ auch surjektiv, also ein Körperisomorphismus.
Wegen Satz 1.5 ist es gerechtfertigt, für Primzahlpotenzen q > 1 von dem endlichen Körper der Ordnung q zu sprechen und ihn mit Fq zu bezeichnen. Für Primzahlen p wird F p damit zum Synonym für Z p . Eine weitere, gebräuchliche Bezeichung ist GF(q) (Abkürzung für „Galois-Feld” der Ordnung q, benannt nach dem französischen Mathematiker E VARISTE G ALOIS (1811–1832), der als Begründer der Theorie der endlichen Körper gilt.4 Aufgabe 3. Es seien E1 /F1 , E2 /F2 Körpererweiterungen mit |F1 | = |F2 | = q, |E1 | = |E2 | = qn . Zeigen Sie, daß sich jeder Isomorphismus φ : F1 → F2 zu einem Isomorphismus Φ : E1 → E2 fortsetzen läßt,
4 Die moderne Theorie endlicher Körper, wie sie hier präsentiert wird, geht im wesentlichen auf den amerikanischen Mathematiker L EONARD E UGENE D ICKSON (1874–1954) zurück.
11
1.2 Automorphismen, Teilkörper, Minimalpolynome In diesem Abschnitt wollen wir einige grundlegende Eigenschaften von F q , q = pn , zusammenstellen. Wir arbeiten wieder mit einer Darstellung Fq = F p [X ]/( f ) mit einem normierten, irreduziblen Polynom f ∈ F p [X ] vom Grad n und setzen α := X + ( f ). Dann ist f das Minimalpolynom von α über F p , Fq = F p (α) = F p [α] eine einfache algebraische Erweiterung seines Primkörpers F p ; vgl. Abschnitt A.4. Zuerst bestimmen wir alle (Körper-)Automorphismen von Fq , d. h. bijektive Abbildungen φ : Fq → Fq mit φ(x+y) = φ(x)+φ(y) und φ(xy) = φ(x)φ(y) für alle x, y ∈ Fq . Es sei daran erinnert, daß die Automorphismen eines Körpers F bezüglich der Hintereinanderausführung von Abbildungen eine Gruppe bilden, die wir mit Aut F bezeichnen. Der Körper Fq , q = pn , besitzt in Gestalt von φ : Fq → Fq , x 7→ x p einen ausgezeichneten Automorphismus. Dieser Automorphismus wird Frobenius-Automorphismus von Fq genannt. Die Additivität (x + y) p = x p + y p folgt aus der Tatsache, daß Fq die Charakteristik p hat. Multiplikativität und Injektivität – also auch Surjektivität – von φ sind klar. Satz 1.10. Die Automorphismengruppe von Fq , q = pn , ist zyklisch von der Ordnung n. Sie wird vom Frobeniusautomorphismus φ : Fq → Fq , x 7→ x p erzeugt. n
Beweis. Es gilt φn (a) = a p = a für alle a ∈ Fq , also φn = id = 1Aut Fq . Für 1 ≤ m < n hat m das Polynom X p − X höchstens pm , also weniger als Fq Wurzeln in Fq . Für 1 ≤ m < n m existieren also Elemente a ∈ Fq mit a p 6= a. Beides zusammen zeigt, daß φ die Ordnung 2 n−1 n hat. Für den Beweis von Aut Fq = {1, φ, φ , . . . , φ } reicht nun der Nachweis der Ungleichung Aut Fq ≤ n. Für jedes σ ∈ Aut Fq gilt σ(0) = 0, σ(1) = 1 und damit auch σ(a) = a für alle a ∈ F p = Z1. Wegen Fq = F p [α] ist σ durch das Bild σ(α) ∈ Fq also bereits eindeutig festgelegt. Wir zeigen nun, daß σ(α) ebenfalls eine Wurzel des Minimalpolynoms f ∈ Z p [X ] von α ist. Da f höchstens n = deg f Wurzeln in Fq hat, beweist das die Ungleichung Aut Fq ≤ n. i Es sei f (X ) = ∑n−1 i=0 fi X . Dann gilt ! n−1 n−1 f σ(α) = ∑ fi σ(α)i = σ ∑ fi αi = σ f (α) = σ(0) = 0 i=0
i=0
wie behauptet.
Satz 1.11. Der Körper Fq , q = pn , besitzt zu jedem Teiler d von n genau einen Teilkörper E der Ordnung pd . Der Körper E ist der Fixkörper des Automorphismus φd : Fq → Fq , d a 7→ a p . Weitere Teilkörper von Fq gibt es nicht. 12
Beweis. Es sei d ein Teiler von n. Dann ist pd − 1 ein Teiler von pn − 1, und die zyklische Gruppe F∗q besitzt folglich genau eine Untergruppe U der Ordnung pd − 1. Es gilt offenbar d U ∪ {0} = {a ∈ Fq ; a p = a},
d. h. U ∪ {0} ist die Fixpunktmenge von φd . Nun ist aber leicht zu sehen, daß die Fixpunktmenge eines Körperautomorphismus stets ein Teilkörper („Fixköper”) ist. Nach Definition von U gilt |U ∪ {0}| = pd , also U ∪ {0} ∼ = F pd . ∼ Es sei nun E = F pd ein beliebiger Teilkörper von Fq . Dann ist die Ordnung pd − 1 der Untergruppe E ∗ von F∗q ein Teiler von |F ∗ | = pn − 1. Nach Sätzchen 1.7 folgt daraus, daß d ein Teiler von n und E ∗ = U die eindeutig bestimmte Untergruppe der Ordnung pd − 1 von F ∗ ist. Es gilt also E = U ∪ {0}, und auch die letzte Aussage des Satzes ist bewiesen.
Bemerkung 1. Daß die Ordnung jedes Teilkörpers E von Fq die Gestalt pd mit einem Teiler d von n hat, folgt auch aus dem Gradsatz für Körpererweiterungen: Mit d := [E : F p ] = dimF p (E), e := [Fq : E] gilt |E| = pd und n = [Fq : F p ] = [Fq : E] · [E : F p ] = ed.
F128
F2
F256
F16
F4
F4096
F1024?
}} }} } } }} }}
?? ?? ?? ?? ?
AA AA AA AA A
F32 A
F4
F2
F2
AA } AA }} AA } } AA } } AA } }} F64 PP F16 PPP PPP PPP PPP PPP PP F8 A F4 AA } } AA }} AA }} AA } } A }}
F2
Abbildung 1.1: Teilkörperverbände von F2n , n = 7, 8, 10, 12 Wegen den Sätzen 1.5 und 1.11 gibt es zu jeder Primzahlpotenz q > 1 und jeder natürlichen Zahl n bis auf Isomorphie (vgl. dazu auch Aufgabe 3) genau eine Körpererweiterung von Fq vom Grad n, nämlich Fqn /Fq . Viele der bisher nur für den Spezialfall q = p solcher Erweiterungen bewiesenen Aussagen bleiben auch in der allgemeinen Situation gültig. Die Beweise müssen dazu höchstens leicht modifiziert werden. So etwa besitzt der Körper Fqn die Darstellung Fqn = Fq [X ]/( f ) mit einem – sogar mit jedem beliebigen! – normierten, irreduziblen Polynom f ∈ Fq [X ] vom Grad n. Es 13
gilt ganz allgemein
n
Xq − X =
∏
f ∈Fq [X] f normiert, irreduzibel deg f |n
f,
(1.8)
Die Anzahlen Nn (q) der normierten, irreduziblen Polynome in Fq [X ] vom Grad n genügen den Gleichungen ∑ d · Nd (q) = qn (n ∈ N). d|n
Die sog. Galoisgruppe Aut(Fqn /Fq ) = {σ ∈ Aut Fqn ; σ|Fq = idFq }
(1.9)
der Erweiterung Fqn /Fq ist zyklisch von der Ordnung n und wird von φ : Fqn → Fqn , x 7→ xq erzeugt. Und zu jedem Teiler d von n gibt es genau einen Körper E mit F q ⊆ E ⊆ Fqn („Zwischenkörper der Erweiterung Fqn /Fq ”) und [E : Fq ] = d. Satz 1.12. Es sei f ∈ Fq [X ] ein normiertes, irreduzibles Polynom vom Grad n. Dann zerfällt f in Fqn [X ] in Linearfaktoren. Ist α ∈ Fqn irgendeine Wurzel von f , so gilt 2
f (X ) = (X − α)(X − αq )(X − αq ) · · · (X − αq
n−1
) in Fqn [X ].
(1.10)
Beweis. Daß f in Fqn eine Wurzel hat, folgt aus Fqn ∼ = Fq [X ]/( f ) und der Tatsache, daß 5 f in Fq [X ]/( f ) eine Wurzel, nämlich X + ( f ), hat. Da φ : Fqn → Fqn , x 7→ xq wegen xq = x für x ∈ Fq offenbar Fq -linear ist, folgt wie im 2 Beweis von Satz 1.10, daß mit α auch αq = φ(α), αq = φ2 (α), etc. Wurzeln von f sind. Da f das Minimalpolynom von α über Fq ist, gilt Fq (α) ∼ = Fq [X ]/( f ), also Fq (α) = qn und damit Fq (α) = Fqn . Folglich ist jeder Automorphismus σ ∈ Aut(Fqn /Fq ) durch das i Bild σ(α) bereits eindeutig festgelegt. Die φ die Ordnung n hat, gilt α q = φi (α) 6= α für i 1 ≤ i ≤ n − 1, d. h. die Elemente αq , 0 ≤ i ≤ n − 1, sind paarweise verschieden.6 Daraus ergibt sich unmittelbar die angegebene Faktorisierung von f . Mit Hilfe von Satz 1.12 kann man die Minimalpolynome µFq (α; X ) über Fq aller Elemente des Körpers Fqn genau angeben: Für jedes α ∈ Fqn gilt µFq (α; X ) = (X − 2
d−1
d
α)(X − αq )(X − αq ) · · · (X − αq ), wobei d die kleinste natürliche Zahl mit αq = α ist. Die Zahl d ist ein Teiler von n, und es gilt Fq (α) ∼ = Fqd . Die Wurzeln von µFq (α; X ) sind genau die Bilder von α unter den verschiedenen Automorphismen in Aut(F qn /Fq ). Man nennt sie deswegen auch die Konjugierten von α über Fq . 5 Man kann auch argumentieren, daß
n
f wegen f | X q −X = ∏a∈Fqn (X −a) in Fqn [X] in Linearfaktoren
zerfällt. 6 Wenn Ihnen das ein bißchen zu schnell gegangen ist: Aus φ i (α) = φ j (α) mit 0 ≤ i < j ≤ m − 1 folgt durch Anwenden von φ−i offenbar α = φ j−i (α).
14
Beispiel 5. Wir bestimmen die Minimalpolynome aller Elemente von F16 = F42 über F2 und F4 . Wir verwenden die Darstellung F16 = F2 (α) mit α4 + α + 1 = 0. Das Element α hat wegen α3 6= 1 und α5 = α2 + α 6= 1 die Ordnung 15 in F∗16 , ist also ein primitives Element von F∗16 . Die zweite Spalte der Tabelle (1.11) enthält die Koordinatenvektoren aller Elemente von F16 bezüglich der F2 -Basis B := (1, α, α2 , α3 ). Das Element ξ := α5 hat in F∗16 die Ordnung 3 = 4 − 1, erzeugt also den Teilkörper F4 ⊆ F16 . Genauer gilt F4 = {0, 1, ξ, ξ2 } = {0, 1, α5 , α10 }. Die Polynome µF4 (a; X ) können mit Satz 1.12 und der Tabelle für α j ↔ (α j )B leicht berechnet werden und sind in der vierten Spalte der Tabelle (1.11) angegeben. Beispielsweise gilt µ F4 (α; X ) = (X + α)(X +α4 ) = X 2 +(α+α4 )X +α5 = X 2 +X +ξ und µF4 (α3 ; X ) = (X +α3 )(X +α12 ) = X 2 + (α3 + α12 )X + α15 = X 2 + ξ2 X + 1 wegen α3 + α12 = 1 + α + α2 = α10 = ξ2 . Für die Bestimmung der Polynome µF2 (a; X ) ist fast gar keine Rechnung mehr nötig. Nach Definition von α gilt µF2 (α; X ) = µF2 (α2 ; X ) = µF2 (α4 ; X ) = µF2 (α8 ; X ) = X 4 + X + 1. Die Zuordnung der restlichen drei Polynome X 4 + X 3 + 1, X 4 + X 3 + X 2 + X + 1, X 2 + X + 1 (vgl. Beispiel 4) wird etwa durch die Beobachtungen erledigt, daß α 14 = α−1 Wurzel von X 4 + X 3 + 1 und α5 = ξ Wurzel von X 2 + X + 1 ist. a 0 1 α α2 α3 α4 α5 α6 α7 α8 α9 α10 α11 α12 α13 α14
(a)B 0000 1000 0100 0010 0001 1100 0110 0011 1101 1010 0101 1110 0111 1111 1011 1001
µF2 (a; X ) µF4 (a; X ) X X X +1 X +1 X4 + X + 1 X2 + X + ξ X4 + X + 1 X 2 + X + ξ2 X 4 + X 3 + X 2 + X + 1 X 2 + ξ2 X + 1 X4 + X + 1 X2 + X + ξ X2 + X + 1 X +ξ 4 3 2 2 X + X + X + X + 1 X + ξX + 1 X4 + X3 + 1 X 2 + ξX + ξ X4 + X + 1 X 2 + X + ξ2 X 4 + X 3 + X 2 + X + 1 X 2 + ξX + 1 X2 + X + 1 X + ξ2 X4 + X3 + 1 X 2 + ξ2 X + ξ2 X 4 + X 3 + X 2 + X + 1 X 2 + ξ2 X + 1 X4 + X3 + 1 X 2 + ξX + ξ X4 + X3 + 1 X 2 + ξ2 X + ξ2
(1.11)
Man nennt ein irreduzibles Polynom f ∈ Fq [X ] primitiv, wenn X + ( f ) ein primitives Element des Körpers Fq [X ]/( f ) ist. Von den drei irreduziblen Polynomen in F2 [X ] vom Grad 4 sind zwei primitiv, nämlich X 4 + X + 1 und X 4 + X 3 + 1. Die Wurzeln des Polynoms X 4 + X 3 + X 2 + X + 1 in F16 haben dagegen nur die Ordnung 5 in F∗16 . Sie erzeugen zwar die Körpererweiterung F16 /F2 , aber nicht die multiplikative Gruppe F∗16 . 15
Aufgabe 4. Es seien q = pn > 1 eine Primzahlpotenz und f = ∑dj=0 a j X j ∈ Fq [X ] irgendpi
ein Polynom. Die Polynome f i = ∑dj=0 a j X j , i = 0, 1, 2, . . ., nennt man die Konjugierten von f . Beweisen Sie: a) Es existiert ein Teiler d von n mit { f i ; i ∈ N0 } = { f0 , f1 , . . ., fd−1 } und fi 6= f j für 0 ≤ i < j ≤ d − 1;
b) ∏d−1 i=0 fi ∈ F p [X ].
c) Wenn f in Fq [X ] irreduzibel (primitiv) ist, so sind auch alle Konjugierten von f in Fq [X ] irreduzibel (bzw. primitiv).
d) Das Produkt der verschiedenen Konjugierten von µFq (α; X ) ist µF p (α; X ). Satz 1.13. Die Anzahl Nn (q) der normierten, irreduziblen Polynome f ∈ Fq [X ] vom Grad n ist durch n 1 Nn (q) = ∑ µ qd (1.12) n d|n d gegeben, wobei µ : N → Z die Möbiussche µ-Funktion (vgl. Abschnitt A.6, Beispiel 37).
Beweis. Aus (1.8) folgt durch Gradvergleich
∑ d · Nd (q) = qn d|n
für
n ∈ N.
Anwendung der Möbiusschen Inversionsformel (Satz A.8) auf f (n) := n·Nn (q), g(n) := qn zeigt (1.12). Beispiel 6. Für die Anzahlen N5 (2) und N6 (2) der irreduziblen Polynome in F2 [X ] vom Grad 5 bzw. 6 gilt 1 5 d 1 5 N5 (2) = ∑ µ 2 = 2 − 21 = 6, 5 d|5 d 5 1 6 d 1 6 N6 (2) = ∑ µ 2 = 2 − 23 − 22 + 21 = 9. 5 d|6 d 6 Das und die entsprechenden Formeln für N2 (3), N3 (3) helfen bei der Lösung von Blatt 1, Aufgabe 4.
16
1.3 Charakteristisches Polynom, Spur und Norm Es seien E/F eine Körpererweiterung vom Grad n = [E : F] < ∞ und α ∈ E. Die Abbildung `α : E → E, x 7→ αx (Multiplikation mit α) ist ein Endomorphismus des ndimensionalen F-Vektorraums E. Charakteristisches Polynom χ`α , Spur T(`α ) und Determinante det(`α ) von `α sind also im Sinne der Linearen Algebra erklärt und geben Anlaß zu folgender Definition: χE/F (α; X ) := χ`α (X ),
(charakteristisches Polynom von α)
TE/F (α) := T(`α ),
(Spur von α)
NE/F (α) := det(`α ),
(Norm von α)
Bekanntlich besteht zwischen diesen drei Größen der folgende Zusammenhang: χE/F (α; X ) = X n − TE/F (α)X n−1 + an−2 X n−2 + · · · + a1 X + (−1)n NE/F (α).
Satz 1.14. Für jedes α ∈ Fnq gilt
2
χFqn /Fq (α; X ) = (X − α)(X − αq )(X − αq ) . . . (X − αq q2
TE/F (α) = α + αq + α + · · · + α q2
NE/F (α) = ααq α · · · α
qn−1
qn−1
,
.
n−1
)
(1.13) (1.14) (1.15)
Beweis. Gleichungen (1.14) und (1.15) folgen unmittelbar aus (1.13) und (1.3). Wir brauchen also nur (1.13) zu beweisen. Es gilt n = st mit s := [Fq (α) : Fq ], t := [Fqn : Fq (α)]. Es sei {β1 , β2 , . . . , βt } eine Basis von Fqn über Fq (α)]. Dann ist B := {αi β j ; 0 ≤ i < s, 1 ≤ j ≤ t} eine Basis der Erweiterung Fqn /Fq und wir können χFqn /Fq (α; X ) über die Matrix von `α bezüglich B ausrechnen. Wegen der speziellen Gestalt der Basis B ist jeder der t Teilräume V j := hαi β j ; 0 ≤ i < siFq , 1 ≤ j ≤ t, unter `α invariant und die Matrizen der Restriktionen `α |V j sind alle gleich. Zusammen mit V1 = Fq (α) zeigt das χFqn /Fq (α; X ) = χ`α|Fq (α) (X )t = χFq (α)/Fq (α; X )t . Die Matrix von `α |Fq (α) bezüglich {1, α, . . ., αs−1 } ist 0 . . . . . . 0 −a0 .. .. . 1 . −a1 . .. 0 . . . . . ... . , . . . .. .. . . . . . 0 0 . . . 0 1 −as−1
(1.16)
wobei µFq (α; X ) = X s + as−1 X s−1 + · · · + a1 X + a0 . Man rechnet schnell nach, daß ihr charakteristisches Polynom gerade µFq (α; X ) ist (Stichwort Begleitmatrix!). Es gilt also χFqn /Fq (α; X ) = µFq (α; X )t . 17
Die wir die Faktorisierung von µFq (α; X )t kennen, läßt sich Beweis nun schnell zu Ende führen: χFqn /Fq (α; X ) = µFq (α; X )t s−1 i t = ∏ X − αq i=0 s−1 t−1
= ∏ ∏ X − αq i=0 j=0
= wie gewünscht.
st−1
∏
k=0
X − αq
k
js+i
s
(wegen αq = α)
Satz 1.15. (i) Die Abbildung TFqn /Fq : Fqn → Fq ist eine von Null verschiedene Linearform des Fq -Vektorraums Fqn . Für α ∈ Fqn gilt TFqn /Fq (α) = 0 genau dann, wenn ein β ∈ Fqn existiert mit α = βq − β.
(ii) Die Abbildung NFqn /Fq : Fqn → Fq induziert einen Gruppenepimorphismus von F∗qn auf F∗q . Für α ∈ F∗qn gilt NFqn /Fq (α) = 1 genau dann, wenn ein β ∈ F∗qn existiert mit α = βq /β.
Beweis. Wegen `aα+bβ = a`α + b`β , `αβ = `α ◦ `β (α, β ∈ Fqn , a, b ∈ Fq ) folgen die Fq Linearität von TFqn /Fq und die Multiplikativität von NFqn /Fq aus den entsprechenden Eigenschaften von Spur und Determinante linearer Abbildungen, die ihnen aus der Linea2 n−1 ren Algebra sicher bekannt sind. Da das Polynom X + X q + X q + · · · + X q höchstens qn−1 verschiedene Wurzeln in Fqn hat, gilt TFqn /Fq 6= 0. Die Menge H := ker(TFqn /Fq ) = {α ∈ Fqn ; TFqn /Fq = 0} ist also eine Hyperebene (n − 1-dimensionaler Teilraum) des F q Vektorraums Fqn . Zum Beweis der letzten Aussage in (i) betrachten wir die Abbildung f : F qn → Fqn , β 7→ βq − β. Die Abbildung f ist Fq -linear mit ker f = {β ∈ Fqn ; βq = β} = Fq , also dimFq (im f ) = n − 1 = dimFq (H). Außerdem gilt 2
TFqn /Fq (βq ) = βq + βq + · · · + βq = TFqn /Fq (β) für
n−1
n
2
+ βq = βq + βq + · · · + β q
n−1
β ∈ F qn ,
+β
(1.17)
d. h. βq −β ∈ ker(TFqn /Fq ) und damit im f ⊆ ker(TFqn /Fq ). Aus Dimensionsgründen muß dann aber im f = ker(TFqn /Fq ) gelten, wie in der letzten Aussage von (i) behauptet. Zum Beweis der übrigen Aussagen von (ii) stellen wir zunächst fest, daß NFqn /Fq (α) = α1+q+···+q
n−1
18
qn −1
= α q−1
für
α ∈ F qn .
(1.18)
Ist α ein primitives Element von Fqn , so hat demnach NFqn /Fq (α) die Ordnung q − 1 in F∗q , ist also ein primitives Element von Fq . Daraus folgt die Surjektivität von NFqn /Fq : F∗qn → F∗q . Schließlich folgt aus den Eigenschaften endlicher zyklischer Gruppen, daß qn −1
{α ∈ F∗qn ; α q−1 = 1} = {α ∈ F∗qn ; ∃β ∈ F∗qn mit α = βq−1 },
(1.19)
und das zeigt die letzte Behauptung.
Bemerkung 2. Der Beweis von Satz 1.15 zeigt auch noch, daß das Polynom X + X q + 2 n−1 X q + · · · + X q in Fqn [X ] in Linearfaktoren zerfällt: 2
X + Xq + Xq + ···+ Xq
n−1
∏
=
α∈Fqn TF n /Fq (α)=0
(X − α).
(1.20)
q
Für Elemente α1 , α2 , . . . , αn einer Körpererweiterung E/F mit [E : F] = n < ∞ sei ∆E/F (α1 , α2 , . . . , αn ) := det TE/F (αi α j ) . (Diskriminante von α1 , α2 , . . ., αn )
Mit Hilfe der Diskriminante kann man entscheiden, ob α1 , α2 , . . ., αn ∈ Fqn eine Basis der Körpererweiterung Fqn /Fq bilden.7 Diese und andere wichtige Eigenschaften der Bilinearform (x, y) 7→ TFqn /Fq (xy) faßt der folgende Satz zusammen. Satz 1.16. (i) Die Abbildung Fqn × Fqn → Fq , (x, y) 7→ TFqn /Fq (xy) ist eine symmetrische, nichtausgeartete Bilinearform des Fq -Vektorraums Fqn . (ii) Zu jeder Linearform f des Fq -Vektorraums Fqn existiert ein eindeutig bestimmtes Element α ∈ Fqn mit f (x) = TFqn /Fq (αx) für alle x ∈ Fqn . (iii) Die Menge {α1 , α2 , . . . , αn } ⊆ Fqn ist eine Basis von Fqn /Fq genau dann, wenn ∆Fqn /Fq (α1 , α2 , . . . , αn ) 6= 0. (iv) Zu jeder Basis {α1 , α2 , . . . , αn } von Fqn /Fq existiert eine eindeutig bestimmte Basis {β1 , β2 , . . . , βn } von Fqn /Fq mit ( 1 für i = j, TFqn /Fq (αi β j ) = (1.21) 0 für i 6= j. Die Basis {β1 , β2 , . . . , βn } aus Satz 1.16 (iv) heißt die zu {α1 , α2 , . . ., αn } duale Basis. Man nennt eine Basis selbstdual, wenn sie mit ihrer dualen Basis übereinstimmt. 7 Diskriminanten spielen
in der Theorie endlicher Körper eine untergeordnete Rolle – ganz im Gegensatz etwa zur Algebraischen Zahlentheorie.
19
Beweis von Satz 1.16. Daß (x, y) 7→ TFqn /Fq (xy) eine symmetrische Bilinearform des Fq -Vektorraums Fqn ist, folgt aus der Fq -Linearität von TFqn /Fq und der Kommutativität der Multiplikation von Fqn . Zu jedem x ∈ Fqn \ {0} existiert wegen Fqn = {xy; y ∈ Fqn } und TFqn /Fq 6= 0 ein y ∈ Fqn \ {0} mit TFqn /Fq (xy) 6= 0. Daher ist (x, y) 7→ TFqn /Fq (xy) nicht ausgeartet. Damit ist (i) bewiesen. Die übrigen Aussagen sind eine Konsequenz der Aussage (i), wie in der Linearen Algebra gezeigt wird. Man nennt eine Basis von Fqn /Fq eine Normalbasis, wenn sie aus den Konjugierten 2 n−1 α, αq , αq , . . . , αq eines Elements α ∈ Fqn besteht. Die Wurzeln α, α2 , α4 von X 3 + X 2 + 1 ∈ F2 [X ] bilden beispielsweise eine Normalbasis von F8 /F2 (im wesentlichen8 wegen α + α2 + α4 = 1 6= 0), während die Wurzeln α3 , α5 , α6 des andern irreduziblen Polynoms X 3 + X + 1 keine Normalbasis bilden (wegen α3 + α5 + α6 = 0). Eine Normalbasis B hat gegenüber den bisher betrachteten Potenzbasen {1, α, α 2 , . . ., αn−1 } den Vorteil, daß die Abbildung x 7→ xq in B-Koordinaten eine sehr einfache Darstellung besitzt (zyklischer Shift der Koordinatenvektoren). Mit Methoden aus der Linearen Algebra kann man zeigen, daß jede Erweiterung Fqn /Fq wenigstens eine Normalbasis besitzt; vgl. Aufgabe 14 von Blatt 2.
8 Prüfen
6= 0 sind!
Sie nach, daß Linearkombinationen von ein oder zwei Elementen aus {α, α 2 , α4 } ebenfalls
20
Kapitel 2 BCH-Codes und Reed-Solomon-Codes In diesem Kapitel machen wir einen Abstecher in die Codierungstheorie, die eine der wichtigsten Anwendungen der endlichen Körper darstellt und aus der modernen Kommunikationstechnik – Computertechnik, Internet, Mobilfunk, Unterhaltungselektronik – nicht mehr wegzudenken ist. Wir beschreiben zunächst ein vereinfachtes, aber in den wesentlichen Gesichtspunkten durchaus vollständiges mathematisches Modell eines Kommunikationssystems:
2.1 Grundbegriffe der Codierungstheorie Es soll eine Folge x1 x2 . . . xN von N Binärzeichen xi ∈ {0, 1} möglichst fehlerfrei über einen Kanal übertragen werden, der jedes Zeichen mit einer gewissen Wahrscheinlichkeit stört, also eventuell anstelle von xi das entgegengesetzte Binärzeichen xi = 1 − xi ausgibt. x1 x2 . . . xN −→
Kanal
−→ y1 y2 . . . yN
Wir nehmen an, daß für die vom Kanal ausgegebene Zeichenfolge y 1 y2 . . . yN gilt: yi ∈ {0, 1} (Eingabe- und Ausgabezeichenvorrat des Kanals stimmen überein), ( p ∈ 0, 12 , falls xi = yi , p(yi |xi ) = 1 − p, falls xi 6= yi , (im Kanal wird jedes Zeichen unabhängig vom Sendezeitpunkt mit der konstanten Wahrscheinlichkeit p < 1/2 in das entgegengesetzte Binärzeichen verfälscht), sowie p(y1 y2 . . . yN |x1 x2 . . . xN ) = p(y1 |x1 )p(y2 |x2 ) · · ·p(yN |xN ) 21
(2.1)
(die Kanalstörungen zu verschiedenen Zeitpunkten sind unabhängig voneinander). Dieser Kanal wird als binärer symmetrischer Kanal der Fehlerwahrscheinlichkeit p, i. Z. BSC(p), bezeichnet; vgl. Abbildung 2.1.
1-p
0
0
p p
1
1-p
1
Abbildung 2.1: Binary Symmetric Channel Auf der Menge {0, 1}N der möglichen Eingabezeichenfolgen legen wir als Wahrscheinlichkeitsverteilung die Gleichverteilung, d. h. p(x1 x2 . . . xN ) = 1/2N für alle x1 x2 . . . xN ∈ {0, 1}N , zugrunde. Alle diese Annahmen sind, wie man zunächst einwenden könnte, in der Praxis unrealistisch. So treten Kanalstörungen häufig als Fehlerbündel (burst errors) auf, die ganze Folgen von Eingabezeichen verfälschen und damit die Annahme der Unabhängigkeit für die Übergangswahrscheinlichkeiten p(yi |xi ) zunichte machen. Außerdem sind die Eingabezeichenfolgen, wenn man etwa einen zu übertragenden deutschen Text in ASCII-codierter Form betrachtet, in der Regel nicht alle gleichwahrscheinlich. 1 Solchen berechtigten Einwänden begegnet man durch geeignete Aufbereitung des Datenstroms: Durch (auch aus anderen Gründen nützliche) Datenkompression der Eingabequelle erreicht man, daß die Eingabezeichenfolge näherungsweise gleichverteilt ist. Durch sog. Interleaving (zeilenweises Einlesen in eine Matrix und spaltenweises Auslesen) vor der Übertragung und entsprechendes Deinterleaving nach der Übertragung erreicht man, daß Fehlerbündel im Kanal entzerrt werden und damit zumindest in kürzeren Teilzeichenfolgen die Störungen einzelner Zeichen näherungsweise voneinander unabhängig sind. Bei der erwähnten „ungesicherten” Übertragung von N Zeichen über den Kanal BSC(p) erwarten wir in der Ausgabezeichenfolge im Mittel N p fehlerhafte Zeichen. Für die angesprochenen Anwendungen ist diese Fehleranzahl viel zu hoch. Zum Beispiel müssen beim Brennen und späteren Lesen einer Daten-CD offenbar N > 2 37 Bits 1 Im
Gegenteil: Aus der Häufigkeitsverteilung der einzelnen Buchstaben in einem typischen Text läßt sich ein (hinreichend langer) Text auch dann rekonstruieren, wenn die Buchstaben des Texts zuvor zum Zwecke der „Verschlüsselung” mit einer beliebigen Permutation des Alphabets durcheinandergewürfelt wurden (die ihren Zweck damit also völlig verfehlt).
22
fehlerfrei „übertragen” werden, obwohl die Fehlerrate der Laserelektronik in der Größenordnung von 10−6 liegt.2 x1 x2 . . . xk −→
Kanalcodierer ↓
x1 . . . xk xk+1 . . . xk+r ↓ Kanal ↓ y1 . . . yk yk+1 . . . yk+r ↓ Kanaldecodierer
−→ y1 y2 . . . yk
Die Grundidee der Codierungstheorie besteht darin, zur Erhöhung der Übertragungssicherheit zusätzlich zu der Folge x1 x2 . . . xN gewisse Kontrollinformation mit über den Kanal zu übertragen, die am Kanalausgang dazu benützt werden kann, die gesendete Zeichenfolge x1 x2 . . . xN aus der empfangenen Zeichenfolge y1 y2 . . . yN (on the fly) zu rekonstruieren. Für gewisse noch zu bestimmende Zahlen k, r ∈ N zerhacken wir die Folge x1 x2 . . . xN in Wörter x(1) = x1 x2 . . . xk , x(2) = xk+1 xk+2 . . . x2k , etc. der Länge k und fügen z. B. vor der Übertragung an jedes solche Informationswort x ∈ {0, 1} k ein (nur von x abhängiges) Kontrollwort ck+1 ck+2 . . . ck+r ∈ {0, 1}r an. Wir legen also zunächst eine geeignete injektive Codierung γ : {0, 1}k → {0, 1}n mit n = k + r fest und übertragen dann anstelle von x(1) x(2) x(3) . . . die Folge c(1) c(2) c(3) . . . der Codewörter c(i) = γ(x(i) ) über den Kanal. Die Menge C := γ {0, 1}n = im(γ) heißt der zu γ gehörige Code, die Zahl n seine Länge. Eine Codierung γ : {0, 1}k → {0, 1}n der speziellen Form γ(x1 x2 . . . xk ) = x1 x2 . . . xk xx+1 . . . xn nennt man systematisch. Am Kanalausgang wenden wir auf jedes Wort y(i) der empfangenen Folge y(1) y(2) y(3) . . . eine geeignete Decodierregel δ : {0, 1}n → C an mit dem Ziel, das ursprünglich gesendete Codewort c(i) ∈ C und damit auch das Informationswort x(i) = γ−1 (c(i) ) zu rekonstruieren, und geben die Folge der Wörter γ−1 δ(y(i) ) am Ausgang des Kommunikationssystems aus. Für die (ebenfalls vom Sendezeitpunkt unabhängige) Decodierfehler2 500 000
Fehler auf einer einzigen CD sind keine Seltenheit!
23
wahrscheinlichkeit ergibt sich unter den bestehenden Annahmen die Formel pde = p x 6= δ(y) = 1 − p x = δ(y) = 1−
= 1−
∑
x∈{0,1}k y∈{0,1}n x=δ(y)
p(x)p(y|x)
(2.2)
1 p y|δ(y) . ∑ 2k y∈{0,1}n
Da ein Decodierfehler δ(y) 6= x = x1 x2 . . . xk höchstenfalls k falsche Zeichen in der Ausgabezeichenfolge des Kanaldecodierers verursacht, ist p de gleichzeitig eine obere Schranke für die Fehlerrate des aus Kanalcodierer, Kanal und Kanaldecodierer bestehenden Gesamtsystems. Die, wie wir gleich sehen werden, durch eine geschickte Systemwahl mögliche beträchtliche Reduktion der Fehlerwahrscheinlichkeit (p de << p) erkauft man sich mit einer um den Faktor n/k längeren Übertragungsdauer. Die Zahl k/n = log2 |C| /n, die ein Maß für die in jedem über den Kanal gesendeten Zeichen enthaltene Information ist, heißt Informationsrate des Codes C. Für je zwei Wörter x, y ∈ {0, 1}n nennt man die Zahl (2.3) dHam (x, y) := {i ∈ 1, n; xi 6= yi }
den Hamming-Abstand von x und y. Die Abbildung dHam : {0, 1}n ×{0, 1}n → R ist eine Metrik, hat also die Eigenschaften dHam (x, y) = 0 ⇐⇒ x = y, dHam (y, x) = dHam (x, y) und dHam (x, z) ≤ dHam (x, y) + dHam (y, z) (für alle x, y, z ∈ {0, 1}n ). Für die Übergangswahrscheinlichkeiten des binären symmetrischen Kanals gilt offenbar n
p(y|x) = ∏ p(yi |xi ) = p i=1
dHam (x,y)
(1− p)
n−dHam (x,y)
p = (1− p) × 1− p n
dHam (x,y)
(2.4)
Unsere eingangs getroffene Vereinbarung p < 1/2 oder, damit gleichwertig, p/(1 − p) < 1 sorgt dafür, daß die Übergangswahrscheinlichkeit p(y|x) eine streng monoton fallende Funktion der Fehleranzahl dHam (x, y) ist. Eine Decodierregel δ : {0, 1}n → C minimiert deshalb die Decodierfehlerwahrscheinlichkeit pde genau dann, wenn dHam y, δ(y) ≤ dHam (y, c) für alle y ∈ {0, 1}n und c ∈ C. (2.5)
Eine solche optimale („ideale”) Decodierregel nennt man Maximum-Likelihood-Decodierregel oder Decodierregel des dichtesten Codewortes. Beispiel 7. Als sehr einfaches (und praxisirrelevantes) Beispiel betrachten wir ein Kommunikationssystem, in dem zur Erhöhung der Übertragungssicherheit jedes Zeichen 24
dreimal hintereinander gesendet wird. Der Kanalcodierer codiert also etwa die Folge 01011 als 000|111|000|111|111. Der zugehörige Code ist C = {000, 111}, die Informationsrate 1/3. Die (eindeutig bestimmte) Decodierregel des dichtesten Codewortes besteht in einer Mehrheitsentscheidung ( 0, falls y1 y2 y3 ∈ {000, 100, 010, 001}, (2.6) δ(y1 y2 y3 ) := 1, falls y1 y2 y3 ∈ {111, 110, 101, 011},
für das in y1 y2 y3 häufiger vorkommende Binärzeichen 0 oder 1. Offenbar wird das gesendete Codewort genau dann korrekt decodiert, wenn höchstens eines der Zeichen y 1 , y2 , y3 falsch ist. Es gilt also pde = 3p2 (1 − p) + p3 = 3p2 − 2p3 ≈ 3p2 für kleine p.
Die Fähigkeit zur automatischen Korrektur eines Übertragungsfehlers des „DreifachWiederholungscodes” C = {000, 111} aus Beispiel 7 beruht darauf, daß die beiden Codewörter von C den Hamming-Abstand 3 haben. Sätzchen 2.1. Wenn je zwei verschiedene Codewörter eines Codes C den Hammingabstand mindestens d haben, so werden bei Verwendung einer Decodierregel δ des dichtesten Codewortes bis zu b(d − 1)/2c Übertragungsfehler innerhalb eines Codewortes automatisch korrigiert.3 Beweis. Es seien c ∈ C und y ∈ {0, 1}n mit t := dHam (c, y) ≤ b(d − 1)/2c < d/2. (Wir stellen uns vor, daß c gesendet und y empfangen wurde.) Für jedes andere Codewort c0 ∈ C gilt nach der Dreiecksungleichung dHam (c, y) + dHam (c0 , y) ≥ dHam (c, c0 ) ≥ d
also dHam (c, y) < d/2 < dHam (c0 , y). Daraus folgt δ(y) = c wie behauptet. Die Zahl d = dHam (C) := min dHam (c, c); c, c0 ∈ C, c 6= c0 heißt Minimalabstand des Codes C, die Zahl b(d − 1)/2c seine Unfehlbarkeitsgrenze. Entsprechend spricht man von einem t-fehlerkorrigierenden Code, wenn d ≥ 2t + 1. Länge n, Informationsgehalt k := log2 |C| und Minimalabstand d nennt man zusammen die Parameter des binären Codes C und spricht von C als einem binären [n, k, d]Code.4 Beispiel 8. Der Code n-fach-Wiederholungscode {00 · 0, 11 · 1 ⊆ {0, 1} n (siehe Beispiel 7 für den Fall n = 3) ist ein (binärer) [n, 1, n]-Code. Der sog. Even-Weight-Code {x ∈ {0, 1}n ; dHam (x, 0) ≡ 0 (mod 2) ⊆ {0, 1}n ist ein [n, n − 1, 2]-Code (Übungsaufgabe), und {0, 1}n selbst ist ein [n, n, 1]-Code. 3 Für
a ∈ R bezeichnen bac und dae die größte ganze Zahl ≤ a bzw. die kleinste ganze Zahl ≥ a. := γ {0, 1}k eines binären Codes als Bild einer Codierung ist k = log2 |C| natürlich eine ganze Zahl. Davon abweichend versteht man unter einem binären Code häufig einfach irgendeine Teilmenge von {0, 1}n. Für solche Codes ist eher die Bezeichung (n, M, d)Code (runde Klammern!) mit M := |C| üblich. 4 Gemäß unserer (impliziten) Definition C
25
C LAUDE E. S HANNON begründete im Jahr 1948 die Informations- und Codierungstheorie in seiner bahnbrechenden Arbeit A Mathematical Theory of Communication. Sein berühmter Kanalcodierungssatz besagt unter anderem die Existenz binärer Codes, deren Informationsrate beliebig nahe bei der Kanalkapazität C(p) := 1 + p log 2 p + (1 − p) log2 (1 − p) des BSC(p) (vgl. Abbildung 2.2) liegt und für die gleichzeitig die Decodierfehlerfehlerwahrscheinlichkeit (bei Verwendung der Decodierregel des dichtesten Codewortes) beliebig klein ist. In Shannons Arbeit steht jedoch nichts über die explizite Konstruktion solcher Codes, geschweige denn, wie man sie mit vertretbarem Aufwand decodieren könnte. 1
0.8
0.6
C(p) 0.4
0.2
0
0
0.2
0.4
p
0.6
0.8
1
Abbildung 2.2: Kanalkapazität von BSC(p) R ICHARD W. H AMMING zeigte 1950 anhand der nach ihm benannten HammingCodes, daß 1-fehlerkorrigierende Codes selbst mit hoher Informationsrate leicht zu beschreiben und zu decodieren sind. Zur Konstruktion, die wir nachfolgend beschreiben, wird nur etwas Lineare Algebra über F2 benötigt. Wir identifizieren unseren binären Zeichenvorrat {0, 1} mit den Elementen des Körpers F2 . Ein binärer Code der Länge n ist dann also eine Teilmenge des n-dimensionalen Standardvektorraums Fn2 über F2 . Der Code C heißt linear, wenn er ein Untervektorraum von Fn2 ist. Angesichts der ziemlich trivialen Skalarmultiplikation eines F2 -Vektorraums bedeutet das einfach, daß (neben 0 ∈ C) mit je zwei Codewörtern x, y ∈ C auch deren binäre Summe x + y (‘XOR’ im Computerjargon) in C liegt. Wenn C linear ist, so gilt |C| = 2dim(C) , also k = log2 |C| = dim(C). Für den Hammingabstand zweier Wörter x, y ∈ Fn2 gilt dHam (x, y) = dHam (x+y, 0) = wHam (x + y), wobei wHam (x) := {i ∈ 1, n; xi 6= 0} = {i ∈ 1, n; xi = 1} (2.7)
das Hamming-Gewicht von x ∈ Fn2 bezeichnet. Für einen linearen Code C ⊆ Fn2 folgt daraus dHam (C) = min wHam (c); c ∈ C, c 6= 0 . (2.8) 26
Wir wollen nun die systematischen, linearen Codierungen γ : Fk2 → Fn2 beschreiben, deren zugehöriger (dann natürlich linearer) Code C := γ(Fk2 ) den Minimalabstand mindestens 3 hat (also 1-fehlerkorrigierend ist). Eine solche Abbildung γ hat die Form γ(x) = xG mit einer binären k × n-Matrix der speziellen Form G = [Ik A]. Dabei ist A ∈ Fk×r und wieder n = k + r. Die Matrix G heißt Generatormatrix des Codes C. 5 2 Man nennt zwei binäre, lineare Codes C, D ⊆ Fn2 äquivalent, wenn eine Permutation π ∈ sym(n) existiert mit D = {cπ(1) cπ(2) . . . cπ(n) ; c ∈ C}, d. h. wenn sich C und D nur um eine Permutation der Koordinaten (oder die betreffenden Generatormatrizen nur um eine Permutation der Spalten) unterscheiden. Äquivalente Codes sind vom codierungstheoretischen Standpunkt aus gesehen isomorf, also im wesentlichen gleich. Näheres zum Isomorphiebegriff von Codes steht in der weiter unten folgenden Bemerkung 4. Da jede k × n-Matrix bekanntlich mindestens eine invertierbare k × k-Untermatrix besitzt, ist jeder binäre, lineare Code zu einem Code in systematischer Form äquivalent. Satz 2.2. Der von G = [Ik A] erzeugte Code C ist genau dann 1-fehlerkorrigierend, wenn (i) jede Zeile von A das Hamming-Gewicht mindestens 2 hat und (ii) die Zeilen von A paarweise verschieden sind. Ein binärer 1-fehlerkorrigierender linearer [k + r, k]Code existiert genau dann, wenn k und r die Ungleichung k ≤ 2 r − 1 − r erfüllen.
Beweis. Offenbar kommen als Kandidaten für Codewörter in C vom Hamming-Gewicht < 3 nur Linearkombinationen von weniger als 3 Zeilen von G in Frage. Die Bedingung (i) besagt, daß jede Zeile von G das Hamming-Gewicht mindestens 3 hat, und (ii) besagt, daß die Summe zweier verschiedener Zeilen von G in den letzten r Positionen mindestens eine Eins, also insgesamt das Hamming-Gewicht mindestens 3 hat. Damit ist die erste Aussage bewiesen. Da es in Fr2 genau 2r − 1 − r Wörter vom HammingGewicht ≥ 2 gibt, ist, existiert eine Matrix A ∈ Fk×r mit den Eigenschaften (i) und (ii) 2 r genau im Fall k ≤ 2 − 1 − r. Das beweist die zweite Aussage.
Besonders erwähnenswert ist der Spezialfall k = 2r − 1 − r in Satz 2.2. In diesem Fall besteht die gesuchte Matrix A aus allen Wörtern in Fr2 vom Hamming-Gewicht ≥ 2, und G = [Ik A] ist bis auf Spaltenvertauschungen eindeutig bestimmt.
Definition 1. Der bis auf Äquivalenz eindeutig bestimmte binäre [2r − 1, 2r − 1 − r, 3]Code heißt Hamming-Code der Ordnung r und wird mit Ham(r, 2) bezeichnet. Beispiel 9. Generatormatrizen für die binären Hamming-Codes Ham(2, 2), Ham(3, 2) C.
5 Allgemeiner nennt man jede Matrix, deren Zeilen eine Basis
27
von C bilden, eine Generatormatrix von
und Ham(4, 2) sind G2 =
G4 =
1 0 0 0 0 0 0 0 0 0 0
0 1 0 0 0 0 0 0 0 0 0
1 0 G3 = 0 0 0 0 1 0 0 0 0 0 0 0 0
0 0 0 1 0 0 0 0 0 0 0
0 0 0 0 1 0 0 0 0 0 0
0 1 0 0 0 0 0 0 0 1 0 0 0 0 0
1 1 1 ,
0 0 1 0
0 0 0 1
1 1 0 1
1 0 1 1
0 0 0 0 0 0 1 0 0 0 0
0 0 0 0 0 0 0 1 0 0 0
0 0 0 0 0 0 0 0 1 0 0
0 0 0 0 0 0 0 0 0 1 0
(2.9) 0 1 , 1 1
0 0 0 0 0 0 0 0 0 0 1
1 1 1 0 0 0 1 1 1 0 1
(2.10)
1 0 0 1 1 0 1 1 0 1 1
0 1 0 1 0 1 1 0 1 1 1
0 0 1 0 1 1 0 1 1 1 1
.
(2.11)
Man nennt eine binäre (n − k) × n-Matrix H Kontrollmatrix (oder Parity-CheckMatrix) des binären linearen [n, k]-Codes C, wenn C = {y ∈ Fn2 ; HyT = 0}.6 Die Kontrollmatrizen von C sind also gerade die Generatormatrizen des zu C bezüglich des Standardskalarproduktes x · y := x1 y1 + x2 y2 + · · · + xn yn orthogonalen Codes C ⊥ := {y ∈ Fn2 ; x · y = 0 für alle x ∈ C}.
In der Codierungstheorie spricht man allerdings nicht vom „orthogonalen” Code, sondern vom dualen Code. Wenn man bereits eine „systematische” Generatormatrix G = [Ik A] des systematischen Codes C ⊆ Fn2 kennt, so kann man eine Kontrollmatrix für C leicht angeben: H = [AT In−k ]. Die Bedingung c00 = c0 A für c = (c0 c00 ) = xG = (x xA) ∈ C ist nämlich mit AT c0 T + c00 T = 0 gleichwertig. Eine Kontrollmatrix des Hamming-Codes Ham(r, 2) erhält man also einfach durch spaltenweises Aneinanderreihen aller Vektoren h ∈ F r2 \ {0} zu einer r ×(2r −1)-Matrix Hr . Der von Hr erzeugte binäre lineare [2r −1, r]-Code heißt Simplex-Code der Ordnung r und wird mit Sim(r, 2) bezeichnet. 6 Die
Bezeichnung rührt daher, daß man die Bedingung y ∈ C mit Hilfe der „Paritätsgleichungen” ≡ 0 (mod 2), i ∈ 1, n − k, für die Komponenten y j ∈ {0, 1} von y testen kann.
∑nj=1 hi j y j
28
Beispiel 10. Kontrollmatrizen für die binären Hamming-Codes Ham(2, 2), Ham(3, 2) und Ham(4, 2) sind 1 0 1 , (2.12) H2 = 0 1 1
1 0 H4 = 0 0
0 1 0 0
1 0 0 1 1 0 1 H3 = 0 1 0 1 0 1 1 , 0 0 1 0 1 1 1 0 0 1 0
0 0 0 1
1 1 0 0
1 0 1 0
1 0 0 1
0 1 1 0
0 1 0 1
0 0 1 1
1 1 1 0
1 0 1 1
(2.13) 1 1 0 1
1 1 1 0
1 1 . 1 1
(2.14)
Aufgabe 5. a) Zeigen Sie, daß für zwei verschiedene Codewörter c, c 0 ∈ Sim(r, 2) stets dHam (c, c0 ) = 2r−1 gilt. (Die Simplex-Codes sind also äquidistante, lineare, binäre [2r − 1, r, 2r−1 ]-Codes.)
b) Zeigen Sie, daß jeder binäre, lineare [2r − 1, r, 2r−1 ]-Code äquivalent zu Sim(r, 2) ist. Als nächstes wollen wir uns überlegen, daß die Ungleichung aus Satz 2.2 für die Parameter 1-fehlerkorrigierender Codes für alle binären Codes (d. h. auch für nichtlineare Codes) gilt. Dazu beweisen wir allgemeiner den folgenden, auch an anderer Stelle sehr nützlichen
Satz 2.3 (Hamming-Schranke). Wenn ein binärer t-fehlerkorrigierender Code C der Länge n und Kardinalität M = |C| existiert, so gilt t n ≤ 2n (2.15) |M| · ∑ i i=0 Beweis. Die Hamming-Fußbälle Bt (c) := {y ∈ Fn2 ; dHam (c, y) ≤ t} vom Radius t um die Codewörter c ∈ C sind paarweise disjunkt und haben das „Volumen” |Bt (c)| = ∑ti=0 ni . Es gilt also [ t n M·∑ = Bt (c) ≤ 2n . c∈C i=0 i
Man nennt einen binären t-fehlerkorrigierden Code C perfekt, wenn für ihn in (2.15) das Gleichheitszeichen gilt. In diesem Fall ist also Fn2 disjunkte Vereinigung der HammingFußbälle vom Radius t um die Codewörter von C und (abgesehen vom Trivialfall M = 1) dHam (C) = 2t + 1. 29
Für 1-fehlerkorrigierende Codes besagt die Hamming-Schranke gerade 2 k (n + 1) ≤ oder, anders geschrieben, k ≤ 2r − 1 − r (mit k := log2 |C|, r := n − k). Die HammingCodes Ham(r, 2), r = 2, 3, 4, . . ., sind also perfekte, 1-fehlerkorrigierende Codes, und binäre nichtlineare 1-fehlerkorrigierende Codes können auch nicht besser als die in Satz 2.2 konstruierten linearen Codes sein.7
2n
2.2 Syndrom-Decodierung linearer Codes Wir haben vorhin gesehen, daß sich die Mitgliedschaft ‘y ∈ C’ in einem binären linearen Code C leicht mit Hilfe der Kontrollmatrix H testen läßt: y ∈ C ⇐⇒ HyT = 0. Darr aus kann man leicht eine effiziente Implementierung des ML-Decodierers δ : F 22 −1 → Ham(r, 2) für den Hamming-Code der Ordnung r ableiten: Es wird zunächst das sog. r Syndrom s(y) des empfangenen Wortes y ∈ F22 −1 berechnet. Im Fall s(y) = 0, d. h. y ∈ Ham(r, 2), wird sofort δ(y) = y unverändert ausgegeben. Andernfalls existiert genau eine Spalte h j , j ∈ 1, 2r − 1, von H mit s(y) = h j = he j = s(e j ) oder, damit gleichwertig, ein Standardeinheitsvektor e j mit s(y + e j ) = 0, d. h. y + e j ∈ Ham(r, 2). In diesem Fall gilt offenbar δ(y) = y + e j . Der Decodierer bestimmt also diejenige Spalte Nr. j von H, die mit dem Syndrom s(y) übereinstimmt, „flippt” y j in das entgegengesetzte Bit y j und gibt das geänderte Wort y aus.8 Der ML-Decodierer für Ham(r, 2) ist wegen der Perfektion von Ham(r, 2) eindeutig bestimmt und begeht einen Decodierfehler genau dann, wenn sich das empfangene Wort vom gesendeten Codewort in mindestens zwei Positionen unterscheidet. Die Decodierfehlerwahrscheinlichkeit der Hamming-Codes besitzt also die explizite Darstellung n n i n n−1 p (1 − p)n−i . (2.16) pde = 1 − (1 − p) − np(1 − p) =∑ i i=2 Im allgemeinen Fall eines binären, linearen [n, k, d]-Codes C parametrisieren die wegen Syndrome s(y) ∈ Fn−k 2 T s(y1 ) = s(y2 ) ⇐⇒ HT (yT 1 − y2 ) = 0 ⇐⇒ y1 − y2 ∈ C
(2.17)
gerade die Nebenklassen y + C = {y + c; c ∈ C} ∈ Fn2 /C. Es ist die Aufgabe des Decodierers, aus dem empfangenen Wort y ∈ Fn2 , das sich auf 2k Weisen als y = c + e mit einem Codewort c ∈ C und einem zugehörigen Fehlervektor e ∈ F n2 schreiben läßt, das
7 Daß es binäre nichtlineare 1-fehlerkorrigierende perfekte Codes „wie Sand am Meer” oder, noch zutreffender, „wie Bäume in Sibirien” gibt, ist ein anderes Thema, auf das in dieser Vorlesung nicht eingegangen wird. 8 Indizierung der Koordinaten von F2r −1 mit den entsprechenden Syndromen, etwa über Binärdarstel2 lung der Zahlen j ∈ 1, 2r − 1 macht die Decodierung wirklich sehr fix.
30
tatsächlich gesendete Codewort (oder, äquivalent dazu, den tatsächlich passierten Fehlervektor) zu rekonstruieren. Die möglichen Fehlervektoren sind offenbar gerade die Vektoren aus der Nebenklasse y + C. Eine ML-Decodierregel erhält man also, wenn man aus jeder Nebenklasse y +C einen Vertreter e minimalen Hamminggewichts, einen sog. Nebenklassenanführer von y+C, auswählt und jedes Wort z ∈ y+C in δ(z) := z+e decodiert. Beim Decodierverfahren der Syndromdecodierung wird eine Liste e (0) , e(1) , n−k T . . . , e(2 −1) aller Nebenklassenanführer und ihrer Syndrome s(i) = He(i) „offline” vorausberechnet. Im konkreten Einsatz decodiert der Syndromdecodierer das empfangene Wort y dann nach der Regel δ(y) := y + e(i) ,
falls s(y) = s(i) .
Die Berechnung des Syndroms s(y) und des zugehörigen Index i mit s(y) = s (i) lassen sich effizient implementieren. Rechenaufwand (für die Vorausberechnung der Nebenklassenanführer) und Speicheraufand (für die Tabelle der Nebenklassenanführer und ihrer Syndrome) der gesamten Syndromdecodierung steigen aber exponentiell mit der Codimension n − k des Codes. Daher wird die Syndromdecodierung – abgesehen von speziellen Anwendungen, die mit Codes wie den Hamming-Codes auskommen – in der Praxis nicht benützt. Eine auf der Hand liegende Verallgemeinerung der Hamming-Codes zu zwei oder mehr Fehler korrigierenden Codes gibt es nicht. Tatsächlich liegt fast ein ganzes Jahrzehnt zwischen Hammings Arbeit über 1-fehlerkorrigierende Codes und der Entdeckung der nach ihren Entdeckern R.C. B OSE, D.K.R AY-C HAUDHURI und A. H OCQUENG HEM benannten, mehrfache Fehler korrigierenden BCH-Codes im Jahre 1959. Wir versetzen uns nun einmal in Gedanken in die Zeit vor 1959 zurück und überlegen, wie man von den Hamming-Codes zu 2-fehlerkorrigierenden Codes gelangen könnte.9 Es sei H eine Kontrollmatrix eines linearen Codes C ⊆ Fn2 , und es seien y ∈ Fn2 , c ∈ C, e ∈ Fn2 mit y = c + e und wHam (e) ≤ 2. (Wir stellen uns vor, daß c gesendet und y empfangen wurde, und daß höchstens 2 Übertragungsfehler passiert sind.) Das dem Decodierer zur Verfügung stehende Syndrom s(y) = HyT = HeT ist dann eine Linearkombination (im binären Fall einfach eine Summe) von höchstens 2 Spalten von H. Wenn sich aus s(y) die Positionen dieser Spalten (und damit e und c) berechnen lassen, so ist C offenbar 2-fehlerkorrigierend und es gilt dHam (C) ≥ 5. Bemerkung 3. Dieses Argument liefert auch ein Kriterium, wie man den Minimalabstand eines beliebigen linearen Codes C ⊆ Fn2 an seinen Kontrollmatrizen H ablesen kann. Es bezeichne h j die j-te Spalte von H. Für x ∈ Fn2 gilt dann nach Definition der 9 Der
Hinweis auf die Simplex-Codes der Längen 15, 31, 63, etc. in diesem Zusammenhang ist deplaziert. Es geht nicht um irgendwelche 2-fehlerkorrigierenden Codes, sondern um solche mit großer Informationsrate.
31
Matrizenmultiplikation x1 h11 h12 . . . h1n h21 h22 . . . h2n x2 HxT = .. .. .. .. = x1 h1 + x2 h2 + · · · + xn hn . . . . . xn hn−k,1 hn−k,2 . . . hn−k,n
(2.18)
Codewörter c ∈ C vom Hamming-Gewicht wHam (c) = r liefern wegen HcT = 0 also eine Darstellung des Nullvektors 0 ∈ Fn−k als Summe von genau r Spalten von H. 2 Diese Zuordnung ist umkehrbar eindeutig und zeigt, daß d Ham (C) die kleinste Zahl r ist derart, daß je r − 1 Spalten von H linear unabhängig (über F2 ) sind, aber r linear abhängige Spalten von H existieren. Ein naheliegender Ansatz zur Lösung unseres Problems besteht darin, an eine Kontrollmatrix Hr eines Hamming-Codes in geeigneter Weise Zeilen anzufügen mit dem Ziel, daß der durch die entstehende größere Kontrollmatrix definierte Code kleinerer Dimension die oben genannte Bedingung erfüllt. Da die Spalten von H r genau die Vektoren h ∈ Fr2 \ {0} sind, können wir sagen, daß unsere Aufgabe unter anderem darin besteht, aus der Summe h j1 + h j2 = s(y) ∈ Fr2 \ {0} (2.19)
zweier Spalten die beiden Summanden h j1 , h j2 ∈ Fr2 \ {0} zu rekonstruieren. Mit der Matrix Hr allein ist das natürlich unmöglich. Wenn man aber Hr und eine weitere binäre r ×(2r −1)-Matrix H0r ohne Nullspalten, die aus Hr durch spaltenweises Anwenden einer noch festzulegenden Abbildung f : Fr2 \ {0} → Fr2 \ {0} entsteht, zu einer Matrix (2r)×(2r −1) zusammensetzt, erhält man aus dem Syndrom HyT ∈ F2r H ∈ F2 2 zwei TeilT r 0 0 T r syndrome s(y) = Hr y ∈ F2 , s (y) = Hr y ∈ F2 und damit zwei Gleichungen h j1 + h j2 = s(y) f (h j1 ) + f (h j2 ) = s0 (y)
(2.20)
für die beiden Unbekannten h j1 und h j2 , bei deren Lösung wenigstens Aussicht auf Erfolg besteht. Die Idee, die schließlich zum Durchbruch führte, bestand darin, die Vektoren aus F r2 als die Elemente des Körpers F2r zu interpretieren. Damit stand die Arithmetik von F2r zur Verfügung und erlaubte die Angabe einer geeigneten Abbildung f und geeigneter Rekonstruktionsformeln. Wir behandeln als Beispiel den Fall r = 4 und gehen dann über zu der heute üblichen Definition der BCH-Codes als spezieller zyklischer Codes. Es sei α ∈ F16 eine Wurzel des primitiven Polynoms X 4 + X + 1 ∈ F2 [X ]. Wir identifizieren die Vektoren von F42 mit den Elementen von F16 vermöge a = (a0 , a1 , a2 , a3 ) 7→
32
a0 + a1 α + a2 α2 + a3 α3 oder umgekehrt x 7→ (x)B mit B := (1, α, α2 , α3 ). Als Kontrollmatrix von Ham(4, 2) wählen wir H4 : = (1)B (α)B (α2 )B . . . (α14 )B 1 0 0 0 1 0 0 1 1 0 1 0 1 1 1 (2.21) 0 1 0 0 1 1 0 1 0 1 1 1 1 0 0 = 0 0 1 0 0 1 1 0 1 0 1 1 1 1 0 0 0 0 1 0 0 1 1 0 1 0 1 1 1 1 Wir suchen dann eine Abbildung f : F∗16 → F∗16 derart, daß Gleichungssysteme der Bauart x + y = s (2.22) f (x) + f (y) = s0 eine eindeutige Lösung besitzen. Es ist irgendwie naheliegend, Potenzfunktionen f (x) = xk auszuprobieren. Die Funktionen f (x) := x und f (x) := x2 führen jeweils auf zwei abhängige Gleichungen, aber die nächste Wahl f (x) := x3 leistet das Gewünschte, wie sich gleich zeigen wird. Wir schreiben das zu f (x) = x3 gehörige Syndrom in der später ij 10 üblichen Form (s, s0 ) = (s1 , s3 ) mit si = si (y) = ∑14 j=0 α y j . Zu lösen ist dann x + y = s1 x3 + y 3 = s 3
(2.23)
Umformen liefert s31 = (x + y)3 = x3 + y3 + xy(x + y) = s3 + xys1 . Wir zeigen nun, wie y unter der bestehenden Annahme von höchstens 2 Übetragungsfehlern korrekt decodiert werden kann: (i) s1 = 0 : Da die Summe von ein oder zwei (verschiedenen) Elementen aus F ∗16 stets 6= 0 ist, ist kein Übertragungsfehler passiert: Der Decodierer gibt y aus.
(ii) s1 6= 0 ∧ s31 = s3 : In diesem Fall ist wegen xys1 = s31 + s3 = 0, d. h. x = 0 ∨ y = 0, genau ein Übertragungsfehler in Position s1 passiert: Der Decodierer flippt das entsprechende Bit von y und gibt das geänderte Wort y aus. (iii) s1 6= 0 ∧ s31 6= s3 . In diesem Fall sind genau zwei Übertragungsfehler passiert, deren Positionen x, y die beiden Lösungen der quadratischen Gleichung (X + x)(X + y) = X 2 + s1 X + (s31 + s3 )/s1
(2.24)
sind. Der Decodierer löst (2.24) durch Probieren, flippt die entsprechenden Bits von y und gibt das geänderte Wort y aus. 10 Syndrome
werden jetzt also als Elemente von F16 und nicht mehr als deren Koordinatenvektoren bezüglich B geschrieben. Die Unterscheidung ist ohnehin artefiziell, da man genauso gut aus F 42 durch „Rüberziehen” der Operationen + und × längs x 7→ (x)B einen Körper F42 ∼ = F16 machen kann.
33
Die spezielle Wahl (2.21) der Kontrollmatrix von Ham(4, 2) hat den Vorteil, daß man damit eine zyklische Version von Ham(4, 2) erhält, d. h. einen Code, der nicht nur ein Untervektorraum von F15 2 ist, sondern auch noch unter der zyklischen Verschiebung (c0 , c1 , c2 , . . ., c14 ) 7→ (c14 , c0 , c ist: In der Tat folgt für c = 1 , . . ., c13 ) invariant 14 T j j 15 (c0 , c1 , c2 , . . . , c14 ) ∈ F2 aus H4 c = ∑ j=0 α c j = 0, d. h. ∑14 j=0 α c j = 0, stets auch B
H4 (c14 , c0 , . . . , c13 )T = c14 + αc0 + · · · + α14 c13
14
B
=
α ∑ α jc j j=0
!
= 0.
(2.25)
B
Der gerade konstruierte 2-fehlerkorrigierende Code ist ebenfalls zyklisch. Zyklische Codes haben den Vorteil, daß sie sich – wenigstens im binären Fall – sehr effizient mit elektronischen Schaltkreisen implementieren lassen. Ihnen ist der Rest dieses Abschnitts gewidmet.
2.3 Zyklische Codes Wir erweitern unseren Horizont und betrachten anstelle binärer Codes nun Codes über einem beliebigen endlichen Körper Fq . Ein Code der Länge n über Fq ist einfach eine nichtleere Teilmenge von Fnq .11 Der Code heißt linear, wenn er ein Fq -Untervektorraum von Fnq ist. Hamming-Metrik und Hamming-Gewicht auf Fnq werden durch (2.3) bzw. die erste Gleichung in (2.7) erklärt. Anstelle eines binären symmetrischen Kanals wird ein q-närer symmetrischer Kanal verwendet, der durch Ein- und Ausgabezeichenvorrat Fq , die Übergangswahrscheinlichkeiten ( 1 − p, falls y = x, p(y|x) = (2.26) p falls y 6= x, q−1 , und die Unabhängigkeitsbedingung (2.1) definiert ist. Unter der üblichen Annahme 1 − p > p/(q − 1) oder, damit gleichwertig, p < 1 − 1/q bleibt alles, was über den Zusammenhang von Decodierfehlerwahrscheinlichkeit, ML-Decodierung und Decodieralgorithmus des dichtesten Codewortes gesagt wurde, sinngemäß gültig. Bemerkung 4. Man nennt zwei Codes C, D ⊆ Fnq isomorf, wenn eine Isometrie (den Hamming-Abstand erhaltende Abbildung) f : Fnq → Fnq existiert mit f (C) = D (ein sog. Codeisomorphismus von C auf D). Beachten Sie bitte, daß in Definition des Begriffs Codeisomorphismus auch das Abbildungsverhalten auf Nichtcodewörtern eingeht, die ja auch die Fehlerkorrektureigenschaften eines Codes mit beeinflussen. Spezielle Codeisomorphismen sind die sog. Äquivalenzabbildungen, d. h. Permutationen der Koordinaten, die wir im binären Fall schon besprochen haben. Im Fall q > 2 kommen unter 11 Man
spricht auch von einem q-nären Code.
34
anderem noch die sog. Konfigurationen, das sind n voneinander unabhängige Permutationen des Zeichenvorrats in jeder Koordinate, hinzu. Näheres dazu finden Sie in [1, Kap. 1.7]. Definition 2. Ein linearer Code C ⊆ Fnq heißt zyklischer Code, wenn aus (c0 , c1 , c2 , . . ., cn−1 ) ∈ C stets (cn−1 , c0 , c1 , . . . , cn−2 ) ∈ C folgt.12 In Fq [X ] gilt
X (a0 + a1 X + · · · + an−1 X n−1 ) = a0 X + a1 X 2 + · · · + an−1 X n
≡ an−1 + a0 X + a1 X 2 + · · · + an−2 X n−1
(mod X n − 1) (2.27) n Rechnet man im Restklassenring Fq [X ]/(X − 1) mit Vertretern kleinstes Grades bzw. 2 mit Koordinatenvektoren bezüglich der Fq -Basis B := (1, X, X , . . . , X n−1 ), X := X + (X n − 1), so kann man die zyklischen Codes der Länge n über F q wegen (2.27) als Fq -Teilräume von Fq [X ]/(X n − 1) auffassen, die unter der Multiplikation mit X invariant sind; angesichts von Fq [X ]/(X n − 1) = Fq [X] also einfach als die Ideale von Fq [X ]/(X n − 1). Die Eigenschaft „Hauptidealring” vererbt sich von Fq [X ] auf den Restklassenring Fq [X ]/(X n − 1) : Nach dem Homomorphiesatz für Ringe wird jeder zyklische Code C ⊆ Fq [X ]/(X n − 1) von einem eindeutig bestimmten normierten Teiler g ∈ Fq [X ] von X n − 1 erzeugt.13 Das Polynom g heißt Generatorpolynom von C, das Polynom h := (X n − 1)/g Kontrollpolynom von C. Die Dimension von C über Fq läßt sich am Grad des Generatorpolynoms bzw. Kontrollpolynoms ablesen. Ist deg(g) = r, so gilt C = a(X)g(X); deg(a) < 2 n−r−1 g(X) bilden eine Basis von C; insbesonn − r}, und g(X), Xg(X), X g(X), . . . , X 12 Beachten
Sie, daß wir die Linearität eines zyklischen Codes stets implizit voraussetzen, obwohl Definition 2 auch für nichtlineare Codes Sinn hätte. 13 Diese Aussage spiegelt den Standpunkt eines Codierungstheoretikers wider, der mit Repräsentanten kleinsten Grades in Fq [X]/(X n − 1) rechnet. Ein Algebraiker würde dagegen zunächst sagen: „. . . von der Restklasse eines eindeutig bestimmten normierten Teilers g ∈ Fq [X] von X n − 1 erzeugt.” Beide Standpunkte lassen sich unter einen Hut bringen, wenn man die Menge der Repräsentanten kleinsten Grades selbt zu einem Ring macht, indem man die Multiplikation von Restklassen durch die Multiplikation der Repräsentanten mit anschließender Polynomdivision modulo X n − 1 ersetzt. Unter denselben Hut bringen läßt sich selbstverständlich auch das Rechnen in Fnq (mit Koordinatenvektoren bezüglich X). Das ist völlig analog zu dem jüngst erwähnten Beispiel der drei Darstellungen F 16 = F2 [X]/(X 4 + X + 1) bzw. F16 = F2 (α) mit α4 + α + 1 = 0 bzw. F16 = F42 mit (x)B (y)B := (xy)B und B = (1, α, α2 , α3 ) oder, um noch ein weiteres Beispiel zu nennen, zu den beiden Auffassungen Z n = Z/nZ = {a + nZ; a ∈ Z} mit (a + nZ)(b + nZ) = ab + nZ, und Zn = {0, 1, . . . , n − 1} mit (a, b) 7→ ab mod n.
35
dere ist k := dim(C) = n − r = deg(h).14 Eine Generatormatrix von C ist damit g0 g1 . . . gr−1 1 0 ... 0 . .. . .. 0 g0 g1 . . . gr−1 1 (n−r)×n . (2.28) . . ∈ Fq . . . . .. .. .. .. .. . . 0 0 ... 0 g0 g1 . . . gr−1 1
Eine Kontrollmatrix von C ist 1 hk−1 . . . h1 h0 0 ... 0 . . 1 hk−1 . . . h1 h0 . . .. 0 (2.29) . . ∈ Fqr×n , .. .. .. .. .. .. . . . . 0 0 ... 0 1 hk−1 . . . h1 h0 wie man an der Darstellung C = c(X); c(X )h(X ) ≡ 0 (mod X n − 1) in Verbindung mit (c0 + c1 X + · · · + cn−1 X n−1 )(h0 + h1 X + · · · + hn−1 X n−1 ) ≡ ≡
n−1
∑
i=0
∑
j,k∈0,n−1 j+k≡i (mod n)
i c j hk X
(mod X n − 1) (2.30)
erkennt. Man sieht daran ferner, daß der zu einem zyklischen Code C duale Code C ⊥ := {y ∈ Fnq ; x · y := x0 y0 + x1 y1 + · · · + xn−1 yn−1 = 0 für alle x ∈ C}
(2.31)
selbst ein zyklischer Code ist und von der normierten Reversion g ⊥ (X ) := 1/h0 + k −1 (hk−1 /h0 )X + (hk−2 /h0 )X 2 + · · · + (h1 /h0 )X k−1 + X k = h−1 0 X h(X ) des Kontrollpolynoms h(X ) von C erzeugt wird. Beispiel 11 (Binäre zyklische Codes der Länge 7). Das Polynom X 7 + 1 = (X + 1)(X 3 + X + 1)(X 3 + X 2 + 1) besitzt 8 verschiedene Teiler in F2 [X ]. Es gibt also genau 8 verschiedene binäre zyklische Codes der Länge 7, die in Abbildung 2.3 in der 14
Um dem Leser das (zugegebenermaßen nicht ganz leichte) „Flüggewerden” als Codierungstheoretiker zu erleichtern, erläutern wir diese Aussage noch einmal – allerdings das letzte Mal! – ganz ausführlich: Von Standpunkt des Algebraikers betrachtet, besteht C aus allen Restklassen modulo X n − 1 der Polynome a(X)g(X) mit a(X) ∈ Fq [X]. Polynomdivision von a(X) durch h(X) zeigt a(X) ≡ r(X) mod h(X) mit einem Polynom r(X) ∈ Fq [X] vom Grad degr(X) < D n − r und nach MultiplikationE mit h(X) weiter a(X)g(X) ≡ r(X)g(X) mod X n − 1, d. h. a(X)g(X) ∈ g(X), Xg(X), . . . , X
n−r−1
g(X)
Fq
. Andererseits
ist klar, daß die Polynome g(X), Xg(X), X 2 g(X), . . . , X n−r−1 g(X) modulo X n − 1 linear unabhängig sind, da sie alle den Grad < n haben. Sie bilden damit also eine Basis von C.
36
für Hauptideale eines Ringes üblichen Schreibweise C = g(X ) mit ihrem Generatorpolynom g(X ) dargestellt sind. Alle diese Codes haben wir eigentlich schon kennengelernt. Neben (1) = F72 , (X 7 + 1) = {0}, dem Even-Weight-Code (X + 1) und dem 7-fach-Wiederholungscode (X 6 + X 5 + X 4 + X 3 + X 2 + X + 1) handelt es sich um zwei zyklische Versionen des Hamming-Codes Ham(3, 2) und zwei zyklische Versionen des Simplex-Codes Sim(3, 2). Die beiden zyklischen Hamming-Codes enthalten jeweils ihren dualen Simplex-Code, wie man etwa den Generatormatrizen 1 1 0 1 0 0 0 0 1 1 0 1 0 0 G= 0 0 1 1 0 1 0 , 0 0 0 1 1 0 1 1 0 1 1 1 0 0 H = 0 1 0 1 1 1 1 0 0 1 0 1 1 1
der Codes (X 3 + X + 1) bzw. (X 4 + X 3 + X 2 + 1) entnimmt, die die Bedingung GHT = 0 ←−−− ←−−−−−−− erfüllen, oder anhand Implikation g(X ) = X 3 +X +1 =⇒ g⊥ (X ) = X + 1· X 3 + X 2 + 1 = (X + 1)(X 3 + X + 1) = X 4 + X 3 + X 2 + 1 nachprüft. iii (1) UUUUUUU iiii UUUU i i i UUUU ii i i i UUUU ii i i UUUU i i i i UU ii
(X 3 + X + 1)U
UUUU iii UUUU iiii UUiUiUiiii ii UUUUU iiii UUUU iiii
(X 4 + X 3 + X 2 + 1)
(X + 1) UU
(X 6 + X 5 + X 4 + X 3 + X 2 + X + 1)
UUUU UUUU UUUU UUUU UUUU UUU
(X 3 + X 2 + 1)
UUUU jjjj UUUU UUjUjUjjjjj jj UUUUU jjjj UUUU jjjj
(X 7 + 1)
(X 4 + X 2 + X + 1)
jj jjjj j j j jjjj jjjj j j j jjj
Abbildung 2.3: Binäre zyklische Codes der Länge 7 und ihre Generatorpolynome Beispiel 12 (Zyklische Darstellung der binären Hamming- und Simplex-Codes). Wir übertragen die zyklische Darstellung von Ham(4, 2) (vgl. (2.21) auf den allgemeinen Fall der binären Hamming-Codes (und Simplex-Codes). Es seien g(X ) = X r + i ∼ ∑r−1 i=0 gi X ∈ F2 [X ] ein primitives Polynom vom Grad r ∈ N, α := X + (g) ∈ F 2 [X ]/(g) = 37
r F2r , B := (1, α, α2 , . . . , αr−1 ) und H := (1)B (α)B (α2 )B . . . (α2 −2 )B . Da α ein primitives Element von F2 [X ]/(g) ist, sind die Spalten von H paarweise verschieden, und H ist Kontrollmatrix eines zum Hamming-Code r-ter Ordnung äquivalenten Codes C. Die j-te Spalte (h0 j , h1 j , . . ., hr−1, j ) = (α j )B von H erhält man, indem man das Polynom X j mit Rest durch g(X ) dividiert: r−1
X j = q j (X )g(X ) + ∑ hi j X i i=0
mit hi j ∈ F2
(2.32)
Das erkennt man durch nachträgliches Einsetzen von α in (2.32) unter Beachtung von g(α) = 0. Für a = (a0 , a1 , . . . , a2r −2 ) ∈ Fn2 , gilt ! 2r −2 2r −2 T j Ha = = 0 ⇐⇒ ∑ a j X j ≡ 0 (mod g(X )). (2.33) ∑ a jα j=0
B
j=0
Der Code C ist demnach der binäre zyklische Code der Länge 2 r − 1 mit dem Generatorpolynom g(X ). Die hier angegebene Kontrollmatrix H von C hat gegenüber der Kontrollmatrix (2.29) den Vorteil, daß sie systematisch ist (und damit in der bekannten Weise – vgl. die unten folgende Bemerkung – auch eine Generatormatrix von C liefert). Der zum Simplex-Code r-ter Ordnung äquivalente Code C ⊥ ist, wie wir gesehen haben, ebenfalls zyklisch. Sein Generatorpolynom läßt sich sogar direkt an H ablesen: Die erste Zeile von H liegt in C ⊥ und hat die Bauart (1, 0, . . ., 0, h0r , . . ., h0,n−1 ). Durch | {z } r−1
zyklisches Verschieben ergibt sich (h0r , . . . , h0,n−1 , 1, 0, . . ., 0) ∈ C ⊥ . Da das Generator| {z } r−1
C⊥
polynom von das eindeutig bestimmte normierte Polynom vom Grad r in C ⊥ ist, n−r−1 n−r muß X + ∑ j=0 h0, j+r X j ∈ C ⊥ das Generatorpolynom von C ⊥ sein. Beispielsweise entnimmt man (2.21), daß 1 + X 3 + X 4 + X 6 + X 8 + X 9 + X 10 + X 11
(2.34)
das Generatorpolynom des zum Hamming-Code C := (X 4 + X + 1) ⊆ F15 2 orthogonalen Simplex-Codes ist. Das Kontrollpolynom von C ist demnach die Reversion X 11 + X 8 + X 7 + X 5 + X 3 + X 2 + X + 1 von (2.34). In der Tat prüft man leicht nach, daß X 15 + 1 = (X 4 + X + 1)(X 11 + X 8 + X 7 + X 5 + X 3 + X 2 + X + 1). Die Konstruktion aus Beispiel 12 läßt sich leicht auf den Fall beliebiger zyklischer Codes verallgemeinern und liefert eine einfache Methode zur Berechnung systematischer Generatormatrizen zyklischer Codes. Wir benötigen dazu noch zwei einfache Tatsachen über systematische Generatorund Kontrollmatrizen linearer bzw. zyklischer Codes: Wenn G = (I k , A) eine systematische Generatormatrix eines linearen [n, k]-Codes über Fq ist, so ist H = (−AT , In−k ) 38
wegen GHT = Ik (−A) + AIn−k = −A + A = 0 eine Kontrollmatrix von C. Wenn C zyklisch ist, so erhält man durch Vertauschen des linken und rechten Blocks von H, was einem zyklischen Shift um n − k Positionen nach rechts entspricht, die systematische Kontrollmatrix (In−k , AT ) von C. j n Nun sei g(X ) = X r + ∑r−1 j=0 g j X ∈ Fq [X ] ein normierter Teiler von X − 1. Wir berechnen zunächst mit Hilfe der Relation X r ≡ −g0 − g1 X − · · · − gr−1 X r−1 für j := r, r + 1, . . ., n − 1 den Repräsentanten h j (X ) vom Grad < r der Restklasse X j + (g) ∈ i Fq [X ]/(g). Für die Koeffizienten hi j in h j (X ) = ∑r−1 i=0 hi j X erhält man die einfache Rekursionsformel 0 . . . . . . 0 −g 0 h0, j+1 −g0 hr−1, j h0, j .. . h1, j+1 1 .. . −g1 h1, j h0, j − g1 hr−1, j h2, j+1 . . . . .. .. h2, j = h1, j − g2 hr−1, j = 0 . . . . .. .. .. . . . . . . . .. .. . . . . 0 hr−1, j+1 hr−2, j − gr−1 hr−1, j hr−1, j 0 . . . 0 1 −gr−1 (2.35) Wie in Beispiel 12 beweist man, daß 1 0 . . . 0 h0,r h0,r+1 . . . h0,n−1 . . .. . . h1,r h1,r+1 . . . h1,n−1 0 1 I B H = . . = r .. .. .. .. . . . . . 0 . . . 0 ...
und von C und damit 1 0 ... .. . 0 1 G = . . . .. . . . . 0 ... 0
0
1 hr−1,r hr−1,r+1 . . . hr−1,n−1
0 −h0,r −h1,r . . . hr−1,r .. . −h0,r+1 −h1,r+1 . . . −hr−1,r+1 = In−r −BT .. .. .. 0 . . . 1 −h0,n−1 −h1,n−1 . . . −hr−1,n−1
eine Generatormatrix von C ist. Die Koeffizienten der Generatorpolynome von C und r−1 C ⊥ stehen in der ersten Spalte bzw. Zeile der Matrix B: g(X ) = X r − ∑i=0 hi,r X i bzw. j−r . Das Kontrollpolynom h von C ist die normierte Reverg⊥ (X ) = X n−r + ∑n−1 j=r h0, j X n−r + h n−r−1 + · · · + h sion von g⊥ , d. h. h(X ) = h−1 0,r+1 X 0,n−1 . 0,r h0,r X Aufgabe 6. Charakterisieren Sie diejenigen Matrizen A ∈ Fk×r q , für die der lineare Code mit Generatormatrix (Ik , A) zyklisch ist.
39
2.4 Faktorisierung von X n − 1 über Fq
Wie wir gesehen haben, entsprechen die zyklischen Codes der Länge n über F q umkehrbar eindeutig den normierten Teilern von X n − 1 in Fq [X ]. Deshalb ist es für uns sehr wichtig, eine Übersicht über die Primfaktorisierung von X n − 1 in Fq [X ] zu haben. Das ist das Ziel dieses Abschnitts. Es sei pe die höchste Potenz der Charakteristik p von Fq , die in n aufgeht. Dann gilt e also n = mpe mit p - m und X n − 1 = (X m − 1) p . Somit reicht es, die Primfaktorisierung von X n − 1 im Fall p - n zu bestimmen. Dies setzen wir im folgenden stets voraus. Es sei nun m die Ordnung von q + nZ in der primen Restklassengruppe Z ∗n , also die kleinste natürliche Zahl mit qm ≡ 1 (mod n). Im Erweiterungskörper Fqm von Fq existiert dann ein Element α der multiplikativen Ordnung n, eine sog. primitive n-te Einheitswurzel über Fq . Nach Wahl von m gilt Fqm = Fq (α). Wie im Fall der komplexen Zahlen hat man die Faktorisierung Xn − 1 =
n−1
∏ (X − α j ) j=0
(2.36)
in Fqm [X ].
Nach Satz 1.12 und der anschließenden Bemerkung haben die irreduziblen Faktoren von X n − 1 in Fq [X ] die Bauart 2
t−1
m j (X ) := (X − α j )(X − α jq )(X − α jq ) · · · (X − α jq
),
(2.37)
wobei t ∈ N die kleinste Zahl mit jqt ≡ j (mod n) ist. Die Menge C j := { j, jq, jq2 , . . . , jqt−1 } ⊆ Zn
(2.38)
nennt man die q-näre Kreisteilungsklasse von j modulo n. Dabei schließen wir uns der Auffassung Zn = {0, 1, 2, . . ., n − 1} an und wählen zur Indizierung der Kreisteilungsklassen stets deren kleinste Vertreter. Die Zahl n j := gcd(nj,n) nennt man die Ordnung der Kreisteilungsklasse C j . Die Ordnung von C j ist nach einem wohlbekannten Satz über endliche zyklische Gruppen gleichzeitig die gemeinsame Ordnung in F ∗qm aller Wurzeln des Polynoms m j (X ) aus (2.37). Ferner ist die Zahl t = C j = deg(m j ) gleichzeitig die Ordnung von q + n j Z in der primen Restklassengruppe Z∗n j , denn die Gleichung jqx ≡ j (mod n) ist – elementare Zahlentheorie! – mit qx ≡ 1 (mod n j ) gleichwertig. Bemerkung 5. In der Sprache der Gruppenoperationen (vgl. Abschnitt A.7) sind die Kreisteilungklassen die Bahnen der zyklischen Untergruppe hq + nZi ≤ Z ∗n auf Zn bezüglich der Multiplikation als Gruppenoperation.
40
Beispiel 13. Die binären Kreisteilungsklassen modulo 15 sind C0 = {0}, C1 = {1, 2, 4, 8}, C3 = {3, 6, 9, 12}, C5 = {5, 10}, C7 = {7, 11, 13, 14}.
(2.39)
Die Klassen C1 und C7 sind primitiv (d. h. sie haben die Ordnung 15), C3 hat die Ordnung 5, C5 die Ordnung 3 und C0 die Ordnung 1.15 Wählt man als primitive 15-te Einheitswurzel in F2m = F16 eine Wurzel α des primitiven Polynoms X 4 + X + 1 ∈ F2 [X ], so gilt m0 (X ) = X − α0 = X − 1,
m1 (X ) = (X − α)(X − α2 )(X − α4 )(X − α8 ) = X 4 + X + 1,
m3 (X ) = (X − α3 )(X − α6 )(X − α9 )(X − α12 ) = X 4 + X 3 + X 2 + X + 1,
(2.40)
m5 (X ) = (X − α5 )(X − α10 ) = X 2 + X + 1,
m7 (X ) = (X − α7 )(X − α11 )(X − α13 )(X − α14 ) = X 4 + X 3 + 1; vgl. Beispiel 5. An diesem Beispiel erkennt man auch gut, was passiert, wenn man α durch eine andere primitive n-te Einheitswurzel β = αk , gcd(k, n) = 1, ersetzt. Die Polynome m j werden dadurch gemäß der Vorschrift m j 7→ m jk permutiert. In Beispiel 13 führt die Wahl einer Wurzel des anderen primitiven Polynoms X 4 + X 3 + 1, also β = α7 , α11 , α13 oder α14 , zur Vertauschung von m1 und m7 . Alles andere bleibt beim alten. Definition 3. Unter der Ordnung eines Polynoms f ∈ Fq [X ] mit f (0) 6= 0 versteht man die kleinste natürliche Zahl n ∈ N mit f | X n − 1. Die Ordnung von f wird mit ord( f ) bezeichnet. Die Bedingung f (0) 6= 0 ist mit gcd(X , f ) = 1 und mit der (multiplikativen) Invertierbarkeit von X + ( f ) in Fq [X ]/( f ) gleichwertig, und ord( f ) ist die Ordnung von X + ( f ) in der Einheitengruppe des Ringes Fq [X ]/( f ).16 Da der Ring Fq [X ]/( f ) und damit auch seine Einheitengruppe endlich ist, ist ord( f ) stets wohldefiniert. Es gilt f | xn − 1 genau dann, wenn ord( f ) ein Teiler von n ist. 15 Vielleicht
wäre es besser gewesen, Z15 = {1, 2, . . ., 15} und C15 anstelle von C0 zu schreiben. ord( f ) ist nicht die Ordnung von f im Sinne der Gruppentheorie! Das Polynom X (Repräsentant der Restklasse) wird festgehalten, und der Restklassenring wird variiert. 16 Vorsicht:
41
Sätzchen 2.4. Es sei f ∈ Fq [X ] ein irreduzibles Polynom vom Grad d mit f (0) 6= 0 (d. h. nicht von der Bauart f = aX mit a ∈ F∗q ). Dann ist ord( f ) ein Teiler von qd − 1, und jede Wurzel α ∈ F∗qd von f hat die multiplikative Ordnung ord( f ). Beweis. Nach Definition von ord( f ) hat α := X +( f ) ∈ Fq [X ]/( f ) ∼ = Fqd die multiplika2
tive Ordnung ord( f ). Die weiteren Wurzeln von f in Fq [X ]/( f ) sind αq , αq , . . . , αq Alle diese Elemente haben wegen gcd(q, qd − 1) = 1 ebenfalls die Ordung ord( f ).
d−1
.
Die primitiven Polynome in Fq [X ] vom Grad d sind offenbar die irreduziblen Polynome vom Grad d der maximalen Ordnung qd − 1. Aus Sätzchen 2.4 folgt, daß die Ordnung des irreduziblen Teilers m j (X ) von X n − 1 mit der Ordnung der korrespondierenden Kreisteilungsklasse C j übereinstimmt. Die explizite Bestimmung aller irreduziblen Faktoren m j (X ) ∈ Fq [X ] von X n − 1, d. h. die Berechnung aller Koeffizienten der Polynome m j (X ), wird mit wachsendem n schnell sehr aufwendig. Sie muß außerdem für jedes q einzeln durchgeführt werden. Durch Zusammenfassen der Polynome m j (X ) gleicher Ordnung erhält man eine gröbere Zerlegung von X n − 1, die gewissermaßen gar nicht von Fq abhängt und sich leichter berechnen läßt. Das ist die Faktorisierung von X n −1 in die sog. Kreisteilungspolynome, die wir nun besprechen wollen. Satz 2.5 (Kreisteilungspolynome). Es sei F einer der Körper Q oder F p . Dann existiert genau eine Folge (Qn )n∈N von Polynomen Qn ∈ F[X ] mit X n − 1 = ∏ Qd (X ) für alle n ∈ N. d|n
(2.41)
Definition 4. Das Polynom Qn heißt n-tes Kreisteilungspolynom mit Koeffizienten in F. Beweis von Satz 2.5. Da F[X ] nullteilerfrei ist, ist Qn durch die übrigen Faktoren der Gleichung X n − 1 = Qn (X ) · ∏ Qd (X ) d|n d6=n
eindeutig bestimmt. Mit vollständiger Induktion nach n folgt, daß es höchstens eine solche Folge (Qn )n∈N gibt. Es bleibt zu zeigen, daß aus der Gültigkeit aller Identitä0 ten X n − 1 = ∏d|n0 Qd (X ), 1 ≤ n0 < n, stets folgt, daß ∏d|n,d6=n Qd (X ) ein Teiler von X n − 1 in F[X ] ist. Denn dann können wir Qn als den Quotienten von X n − 1 und ∏d|n,d6=n Qd (X ) erklären. Wir beweisen diese Aussage nur für den Fall F = Q, weil wir in diesem Fall die (noch zu beweisende) Teilerfremdheit der Polynome Q d benützen können, und verwenden im Fall F = F p ein anderes Argument. Zunächst ist für jeden echten Teiler d von n das Polynom Qd wegen Qd | X d − 1 und X d − 1 | X n − 1 ein Teiler von X n − 1. Nun seien d, d 0 verschiedene echte Teiler von n. 42
Wir nehmen d 0 < d an und müssen dann zwei Fälle unterscheiden: (i) d 0 | d. In diesem Fall gilt nach Induktionsvoraussetzung X d − 1 = Qd (X )Qd 0 (X )h(X ) mit h(X ) ∈ Q[X ]. Wegen gcd X d − 1, (X d − 1)0 = gcd(X d − 1, dX d−1 ) = 1 ist X d − 1 quadratfrei, und damit gilt gcd(Qd , Qd 0 ) = 1. (ii) d 0 - d. In diesem Fall sind d und d 0 bezüglich der Teilbarkeitsrelation auf N 0 0 unvergleichbar. Nach Aufgabe 7 gilt gcd(X d − 1, X d − 1) = X gcd(d,d ) − 1, und deshalb sind 0 Xd − 1 Xd − 1 = ∏ Qδ (X ) und = ∏ Qδ (X ) 0 0 X gcd(d,d ) − 1 δ|d X gcd(d,d ) − 1 δ|d 0 δ-d 0
δ-d
teilerfremd. Im vorliegenden Fall teilt Qd das linke Produkt und Qd 0 das rechte Produkt. Die Polynome Qd und Qd 0 sind also auch in diesem Fall teilerfremd. Wir haben damit gezeigt, daß für je zwei verschiedene echte Teiler d, d 0 von n stets gcd(Qd , Qd 0 ) = 1 gilt. Folglich ist auch ∏d|n,d6=n Qd (X ) ein Teiler von X n − 1, und damit ist die Aussage des Satzes für den Fall F = Q bewiesen. An (2.41) erkennt man leicht, daß alle Kreisteilungspolynome Q n ∈ Q[X ] normiert sind und ganzzahlige Koeffizienten haben. Da jede der Abbildungen Z[X ] → F p [X ], ∑di=0 ai X i 7→ ∑di=0 (ai + pZ)X i (koeffizientenweise Reduktion modulo p) ein Ringepimorphismus ist, erhält man durch koeffizientenweise Reduktion der Gleichung (2.41) in Z[Z] die entsprechende Gleichung in F p [X ]. Das beweist die Aussage für den Fall F = F p. Aufgabe 7. Es sei F ein beliebiger Körper. Beweisen Sie, daß im Polynomring F[X ] für alle m, n ∈ N stets gcd(X m − 1, X n − 1) = X gcd(m,n) − 1
gilt; vgl. dazu Sätzchen 1.7. Gilt entsprechendes auch für das kleinste gemeinsame Vielfache?
Bemerkung 6. Unser Beweis von Satz 2.5 zeigt, daß man die „lokalen” Kreisteilungspolynome Qn ∈ F p [X ] aus dem entsprechenden „globalen” Kreisteilungspolynom Q n ∈ Z[X ] durch koeffizientenweise Reduktion erhält. Man braucht also nur die globalen Kreisteilungspolynome zu berechnen. In der Algebra wird gezeigt, daß diese Polynome in Q[X ] irreduzibel sind. Das gilt für die lokalen Kreisteilungspolynome nur in Ausnahmefällen. Bemerkung 7. Die Existenz der Folge (Qn )n∈N kann auch mit Hilfe der Linearfaktorisierung der Polynome X n − 1 in einem algebraischen Abschluß F von F bewiesen werden. Bezeichnet αn ∈ F ein erzeugendes Element der (zyklischen) Gruppe Wn der
43
n-ten Einheitswurzeln von F, so gilt Xn − 1 =
n−1
∏ (X − αnj ) = ∏ ∏ j=0
=∏ d|n
d|n
0≤ j
(X − αnj ) = ∏ d|n
∏ 0
0≤ j
(X − αdn j ) 0
j0
∏ 0
0≤ j
(X − αn/d ) = ∏ Qn/d (X ) = ∏ Qd (X ) d|n
d|n
j
mit Qd (X ) := ∏0≤ j
(iv) deg(Qn ) = ϕ(n); dabei ist φ die Euler-Funktion aus Beispiel 36. (v) Für n ≥ 2 ist Qn reversiv, d. h. X ϕ(n) · Qn (X −1 ) = Qn (X ).
Beweis. Die Aussage (i) folgt aus (2.41) durch Anwenden der verallgemeinerten Möbiusschen Inversionsformel (vgl. die Bemerkung im Anschluß an den Beweis von Satz A.8) auf die Funktionen f : N → G, n 7→ Qn und g : N → G, n 7→ X n − 1. Dabei ist G die Einheitengruppe des Ringes F[[X ]]. Zum Beweis von (ii) wenden wir (i) an: Qnp (X ) =
∏ (X np/d − 1)µ(d)
d|np
= ∏(X np/d − 1)µ(d) · ∏ (X np/d − 1)µ(d) d|np d-n
d|n
= Qn (X p ) · ∏ (X np/d − 1)µ(d) . d|np d-n
17 Man
kann diese Formel auch als Identität zwischen formalen rationalen Funktionen auffassen. Allerdings brauchen wir beim späteren Anwenden der Formel die explizite Entwicklung von (X d − 1)−1 in eine formale Potenzreihe.
44
Ist n = mpe mit p - m, so sind die Zahlen d ∈ N mit d | np, d - n genau die Zahlen der Form d = d 0 pe+1 mit einem Teiler d 0 von m. Im Fall e ≥ 1 gilt für jede solche Zahl p2 | d, also µ(d) = 0, und damit ∏d|np,d-n (X np/d − 1)µ(d) = 1. Im Fall e = 0 gilt (X np/d p − 1)µ(d p) = ∏(X n/d − 1)−µ(d ) = Qn (X )−1 . ∏ (X np/d − 1)µ(d) = ∏ 0 0 0
d|np d-n
0
0
0
d |n
d |n
Damit ist (ii) bewiesen. Zum Beweis von (iii) verwenden wir (ii): 2d µ(n/d) X −1 Qn (X 2 ) =∏ Q2n (X ) = = ∏(X d + 1)µ(n/d) d −1 Qn (X ) X d|n d|n µ(n/d) (falls n ≥ 3) = ∏ (−X )d − 1 d|n
= Qn (−X ),
denn die Anzahl der quadratfreien Teiler jeder natürlichen Zahl n > 1 ist gerade. Zum Beweis von (iv) vergleichen wir die Gräder beider Seiten in (2.41): Es ergibt sich n = ∑d|n deg(Qd ) = ∑d|n ϕ(d) für alle n ∈ N. Mittels Möbius-Inversion folgt daraus deg(Qn ) = ϕ(n) für alle n ∈ N. Schließlich gilt X ϕ(n) ·Qn (X −1 ) = X ϕ(n) · ∏(X −d −1)µ(n/d) = ∏(1−X d )µ(n/d) = ∏(1−X d )µ(n/d) = Qn (X ) d|n
d|n
d|n
für n ≥ 2, wobei wiederum verwendet wurde, daß die Anzahl der quadratfreien Teiler von n gerade ist. Mit der ersten Formel in Satz 2.6 (ii) läßt sich die Berechnung von Qn auf den Fall quadratfreier natürlicher Zahlen n reduzieren: Ist n = ∏ri=1 pei i die Primfaktorzerlegung von n, so gilt n Qn (X ) = Q p1 p2 ···pr X p1 p2 ···pr .
Beispiel 14. Für jede Primzahl p gilt
Xp−1 = X p−1 + X p−2 + · · · + X 2 + X + 1 X −1 und für Primzahlpotenzen pe > 1 allgemein Q p (X ) =
Q pe (X ) = X (p−1)p
e−1
+ X (p−2)p
e−1
+ · · · + X 2p
e−1
− X (p−2)p
e−1
± · · · + X 2p
sowie im Fall p > 2 stets Q2pe (X ) = X (p−1)p
45
e−1
+Xp
e−1
−Xp
(2.42)
e−1
+1
(2.43)
e−1
+ 1.
(2.44)
n Qn (X ) 1 X −1 2 X +1 3 X2 + X + 1 4 X2 + 1 5 X4 + X3 + X2 + X + 1 6 X2 − X + 1 7 X6 + X5 + X4 + X3 + X2 + X + 1 8 X4 + 1 6 9 X + X3 + 1 10 X4 − X3 + X2 − X + 1 11 X 10 + X 9 + X 8 + X 7 + X 6 + X 5 + X 4 + X 3 + X 2 + X + 1 12 X4 − X2 + 1 Abbildung 2.4: Kreisteilungspolynome für kleine Zahlen n
Für die Berechnung der Polynome Qn (X ) im quadratfreien Fall verwendet man am besten die Formel Satz 2.6 (i) und entwickelt jeden Faktor mit negativem Exponenten in eine geometrische Reihe. Wegen Satz 2.6 (v) genügt es, die Koeffizienten von Q n bis zur Potenz X ϕ(n)/2 auszurechnen. Man darf also in F[[X ]] modulo X ϕ(n)/2+1 rechnen, was eine gewaltige Vereinfachung bedeutet. Beispiel 15. Wir berechnen als erstes Q15 . Es gilt ϕ(15) = ϕ(3)ϕ(5) = 2 · 4 = 8, also rechnen wir modulo X 5 , und es ergibt sich (1 − X 15 )(1 − X ) Q15 (X ) = (1 − X 3 )(1 − X 5 )
≡ (1 − X )(1 + X 3) = 1 − X + X 3 − X 4
(mod X 5 ),
also Q15 (X ) = X 8 − X 7 + X 5 − X 4 + X 3 − X + 1.
Analog berechnet man mit ϕ(21) = ϕ(3·7) = 6·2 = 12, ϕ(35) = ϕ(5·7) = 4·6 = 24, ϕ(105) = ϕ(3 · 5 · 7) = 2 · 4 · 6 = 48 unschwer Q21 (X ) =
(1 − X 21 )(1 − X ) (1 − X 3 )(1 − X 7 )
≡ (1 − X )(1 + X 3 + X 6 ) ≡ 1 − X + X 3 − X 4 + X 6
46
(mod X 7 ),
d. h. Q21 (X ) = X 12 − X 11 + X 9 − X 8 + X 6 − X 4 + X 3 − X + 1, Q35 (X ) =
(1 − X 35 )(1 − X ) (1 − X 5 )(1 − X 7 )
≡ (1 − X )(1 + X 5 + X 10 )(1 + X 7 )
≡ 1 − X + X 5 − X 6 + X 7 − X 8 + X 10 − X 11 + X 12
(mod X 13 ),
d. h. Q35 (X ) = X 24 − X 23 + X 19 − X 18 + X 17 − X 16 + X 14 − X 13 + X 12 − X 11 + X 10 − X 8 + X 7 − X 6 + X 5 − X + 1, Q105 (X ) =
(1 − X 105 )(1 − X 3 )(1 − X 5 )(1 − X 7 ) (1 − X )(1 − X 15 )(1 − X 21 )(1 − X 35 )
≡ (1 + X + X 2 )(1 − X 5 )(1 − X 7 )(1 + X 15 )(1 + X 21 )
≡ (1 + X + X 2 )(1 − X 5 − X 7 + X 12 + X 15 − X 20 + X 21 − X 22 ) ≡ 1 + X + X 2 − X 5 − X 6 − 2X 7 − X 8 − X 9 + X 12 +
+ X 13 + X 14 + X 15 + X 16 + X 17 − X 20 − X 22 − X 24
(mod X 25 ),
d. h. Q105 (X ) = X 48 + X 47 + X 46 − X 43 − X 42 − 2X 41 − X 40 − X 39 + X 36 + X 35 + X 34 + X 33 + X 32 + X 31 − X 28 − X 26 − X 24 − X 22 − X 20 + X 17 + X 16 + X 15 + X 14 + X 13 + X 12 − X 9 − X 8 − 2X 7 − X 6 − X 5 + X 2 + X + 1. Damit wird insbesondere mit dem weit verbreiteten Irrglauben aufgeräumt, daß die Polynome Qn nur die Koeffizienten 0, ±1 hätten. Satz 2.7. Es seien q = pe > 1 ein Primzahlpotenz und n ∈ N mit gcd(n, p) = 1.
(i) Das Polynom Qn (X ) ∈ Fq [X ] ist das Produkt aller normierten, irreduziblen Polynome f ∈ Fq [X ] mit ord( f ) = n. Ist m die Ordnung von q + nZ in der primen Restklassengruppe Z∗n , so zerfällt Qn in Fq [X ] in ϕ(n)/m irreduzible Polynome vom Grad m. r
r
(ii) Für r ≥ 1 gilt Qnpr (X ) = Qn (X )ϕ(p ) = Qn (X ) p −p
r−1
in Fq [X ].
Die Spezialisierung des Satzes auf den Fall q ≡ 1 (mod n) (m = 1) besagt in Verbindung mit Sätzchen 2.4, daß die Wurzeln von Qn gerade die primitiven n-ten Einheitswurzeln in F∗q sind und alle die Vielfachheit 1 haben. Diese Aussage behält natürlich allgemeiner im Fall gcd(n, p) = 1 ihre Gültigkeit, wenn man gewillt ist, die Faktorisierung von Qn in einem Erweiterungskörper von Fq zu betrachten. Im Fall gcd(n, p) > 1 dagegen hat Qn gemäß (ii) mehrfache Wurzeln. Beweis von Satz 2.7. Für n ∈ N mit gcd(n, p) = 1 ist das Polynom X n − 1 ∈ F p [X ] qua-
47
dratfrei. Daher gilt
Xn − 1 =
∏
f ∈Fq [X] f normiert, irreduzibel ord( f )|n
f (X ) = ∏ d|n
∏
f ∈Fq [X] f normiert, irreduzibel ord( f )=d
f (X ) .
Da für alle zu p teilerfremden natürlichen Zahlen n andererseits auch X n −1 = ∏d|n Qd (X ) gilt, ergibt sich die erste Aussage in (i) mit transfiniter Induktion über die geordnete Menge N \ pZ ⊂ N (bezüglich der göttlichen Ordnung).18 Nach Sätzchen 2.4 sind die Wurzeln jedes irreduziblen Faktors von Qn in Fq [X ] primitive n-te Einheitswurzeln. Daß die Minimalpolynome primitiver n-ter Einheitswurzeln über Fq den Grad m haben, wurde schon bei der Einführung der Kreisteilungsklassen gesagt. Wegen deg(Q n ) = ϕ(n) hat Qn also genau ϕ(n)/m irreduzible Faktoren. Damit ist Teil (i) bewiesen. Teil (ii) ergibt mit Hilfe von Satz 2.6 (ii) wie folgt: Qnpr (X ) = Qnp (X
pr−1
r
r
Qn (X p ) Qn (X ) p pr −pr−1 )= = . r−1 r−1 = Qn (X ) p p Qn (X ) Qn (X )
Dabei wurde verwendet, daß die Koeffizienten von Qn im Primkörper F p von Fq liegen.
2.5 BCH-Codes Wir betrachten in diesem Abschnitt ausschließlich zyklische Codes C ⊆ F q [X ]/(X n − 1) mit gcd(n, q) = 1. In diesem Fall ist, wie wir gesehen haben, das Polynom X n − 1 ∈ Fq [X ] und damit auch das Generatorpolyom jedes zyklischen Codes C ⊆ F q [X ]/(X n −1) quadratfrei, also durch seine Nullstellenmenge {α j ; j ∈ J} ⊆ {1, α, α2 , . . ., αn−1 } eindeutig bestimmt. Dabei bezeichnet α eine fest gewählte primitive n-te Einheitswurzel 18 Wenn Sie mit dem Begriff „tranfinite Induktion” oder „die Jagd nach dem kleinsten Verbrecher” nicht
vertraut sind: Die Menge N \ pZ ist ebenso wie N wohlgeordnet, d. h. jede nichtleere Teilmenge besitzt ein kleinstes Element. Angenommen, die Menge aller n ∈ N \ pZ, für die Qn (X) 6=
∏
f ∈Fq [X] f normiert, irreduzibel ord( f )=d
f (X),
(2.45)
sei nicht leer. Dann gibt es einen „kleinsten Verbrecher” n ∈ N \ pZ mit der Eigenschaft (2.45). Wie beim Beweis der Eindeutigkeitsaussage in Satz 2.5 folgt aber aus der Gültigkeit des Gleichheitszeichens in der entsprechenden Formel für alle n0 ∈ N \ pZ mit n0 < n, daß auch in (2.45) das Gleichheitszeichen steht. Widerspruch!
48
in Fqm ⊇ Fq . Die Menge J ⊆ Zn ist Vereinigung gewisser q-närer Kreisteilungsklassen modulo n. Die Nullstellen des Generatorpolynoms g(X ) bzw. des Kontrollpolynoms h(X ) = (X n − 1)/g(X ) eines zyklischen Codes C nennt man auch die Nullstellen bzw. Nichtnullstellen von C.19 Definition 5. Es seien b und δ ganze Zahlen mit 2 ≤ δ ≤ n. Der zyklische Code C ⊆ Fq [X ]/(X n − 1) mit dem Generatorpolynom g(X ) := lcm mb (X ), mb+1(X ), . . ., mb+δ−2 (X ) (2.46) heißt BCH-Code mit dem Entwurfsabstand δ. Im Fall b = 1 nennt man C einen BCHCode im engeren Sinn. Im Fall n = qm − 1 – wenn also α ein primitives Element von Fqm ist – nennt man C einen primitiven BCH-Code, und im noch spezielleren Fall n = q − 1 einen R EED-S OLOMON-Code.
Das Polynom g(X ) in (5) ist offenbar der kleinste Teiler von X n − 1 in Fq [X ] mit g(αb ) = g(αb+1 ) = · · · = g(αb+δ−2 ) = 0. Ein BCH-Code mit dem Entwurfsabstand δ ist deshalb maximal unter allen zyklischen Codes mit den vorgeschriebenen Nullstellen αb , αb+1 , . . . , αb+δ−2 . Die Bezeichung „Entwurfsabstand” wird durch den folgenden Satz gerechtfertigt, gemäß dem der Minimalabstand eines BCH-Codes vom Entwurfsabstand δ tatsächlich ≥ δ ist.
Satz 2.8 (BCH-Schranke). Es seien C ⊆ Fq [X ]/(X n − 1) ein zyklischer Code und α ∈ Fqm eine primitive n-te Einheitswurzel. Wenn ganze Zahlen b und δ mit 2 ≤ δ ≤ n existieren derart, daß αb , αb+1 , . . ., αb+δ−2 Nullstellen des Codes C sind, dann gilt dHam (C) ≥ δ. Beweis. Es sei c(X ) ein von Null verschiedenes Codewort von C. Die Gleichungen c(αb ) = c(αb+1 ) = · · · = c(αb+δ−2 ) = 0 besagen, daß c(X ) ein Codewort des linearen Codes über Fqm mit der Kontrollmatrix 1 αb α2b ... α(n−1)b 1 αb+1 α2b+2 ... α(n−1)b+n−1 (d−1)×n H = . ∈ F qm .. .. .. . . . . . b+δ−2 2b+2(δ−2) (n−1)b+(n−1)(δ−2) 1 α α ... α
ist. Wenn man für j ∈ 0, n − 1 die Spalte Nr. j von H durch α jb dividiert, so entsteht aus H eine Matrix, deren sämtliche (δ − 1) × (δ − 1)-Untermatrizen Vandermonde-Gestalt haben und daher invertierbar sind. Je δ − 1 Spalten von H sind also linear unabhängig, und das zeigt wHam c(X ) ≥ δ. 19 Man
beachte, daß auch mit den Nichtnullstellen stets nur n-te Einheitswurzeln gemeint sind.
49
Satz 2.9. Es seien n ∈ N ungerade und m die multiplikative Ordnung von 2 modulo n. Dann existiert für jede natürliche Zahl t ≤ bn/mc ein binärer, zyklischer, t-fehlerkorrigierender [n, k]-Code mit k ≥ n − mt. Beweis. Der BCH-Code C ⊆ F2 [X ]/(X n + 1) im engeren Sinn vom Entwurfsabstand δ = 2t + 1 hat die verlangte Eigenschaft: Wegen ms (X ) = m2s (X ) gilt g(X ) = lcm m1 (X ), m2(X ), . . ., m2t (X ) = lcm m1 (X ), m3(X ), . . ., . . . , m2t−1 (X ) , also dim(C) = n − deg(g) ≥ n − ∑ts=1 deg(m2s−1 ) ≥ n − mt.
Beispiel 16. Wir verwenden die Bezeichnungen aus Beispiel 13. Die primitiven BCHCodes C1 ,C2 ,C3 , ⊆ F2 [X ]/(X 15 +1) im engeren Sinn mit den Entwurfsabständen δ := 3, 5 bzw. 7 haben die Generatorpolynome g1 (X ) : = m1 (X ) = X 4 + X + 1, g2 (X ) : = m1 (X )m3 (X ) = (X 4 + X + 1)(X 4 + X 3 + X 2 + X + 1) = X 8 + X 7 + X 6 + X 4 + 1, g3 (X ) : = m1 (X )m3 (X )m5(X ) = (X 4 + X + 1)(X 4 + X 3 + X 2 + X + 1)(X 2 + X + 1) = X 10 + X 8 + X 5 + X 4 + X 2 + X + 1. Die Parameter von C1 ,C2 ,C3 sind [15, 11, 3], [15, 7, 5] bzw. [15, 5, 7]. In allen drei Fällen hat das Generatorpolynom bereits das gemäß der BCH-Schranke kleinstmögliche Hamminggewicht, der Entwurfabstand stimmt daher jeweils mit dem Minimalabstand überein. Durch sog. Verkleinern, d. h. Rausschmeißen aller Codewörter ungeraden Gewichts, erhält man aus Ci einen BCH-Code Ci0 mit Generatorpolynom (X +1)gi (X ) = m0(X )gi(X ) und einem um Eins größeren Entwurfsabstand, der in allen drei Fällen wiederum mit dem Minimalabstand des Codes übereinstimmt. Die Parameter der Codes C10 ,C20 ,C30 sind [15, 10, 4], [15, 6, 6] bzw. [15, 4, 8]. Beispiel 17 (Binäre G OLAY-Codes). Wir betrachten binäre zyklische Codes der Länge n = 23. Die multiplikative Ordnung von 2 modulo 23 ist 11, wie man schnell nachrechnet, d. h. 2 erzeugt die Untergruppe Q der Quadrate in F∗23 . Mit N := F∗23 \ Q bezeichnen wir die Menge der Nichtquadrate in F∗23 . C0 = {0}, C1 = Q = {1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18}, C5 = N = {5, 7, 10, 11, 14, 15, 17, 19, 20, 21, 22}. 50
Mit einiger Mühe20 berechnet man die Primfaktorisierung von X 23 + 1 in F2 [X ] als X 23 + 1 = (X + 1)Q23 (X ) = (X + 1)m1 (X )m5(X ) = (X + 1)(X 11 + X 9 + X 7 + X 6 + X 5 + X + 1)(X 11 + X 10 + X 6 + X 5 + X 4 + X 2 + 1). (2.47) Es sei α ∈ F211 = F2048 eine Wurzel des ersten Faktors vom Grad 11 in (2.47). Dann ist α eine primitive 23-te Einheitswurzel. Die binären zyklischen [23, 12]-Codes CQ , CN mit Generatorpolynom gQ (X ) : = m1 (X ) = ∏ (X − αi ) = X 11 + X 9 + X 7 + X 6 + X 5 + X + 1, i∈Q
gN (X ) : = m5 (X ) = ∏ (X − αi ) = X 11 + X 10 + X 6 + X 5 + X 4 + X 2 + 1. i∈N
haben nach der BCH-Schranke den Minimalabstand mindestens 5. Tatsächlich gilt aber dHam (CQ ) = dHam (CN ) = 7, wie wir nun zeigen wollen: Der zyklische Code CQ⊥ wird von der Reversion (X + 1)gQ (X ) des Kontrollpolynoms (X + 1)gN (X ) von CQ erzeugt. ⊥ Es gilt also CQ = c ∈ CQ ; wHam (c) ≡ 0 (mod 2) . Der Code CQ ist sozusagen „beinahe selbstdual” und wird, wie man sich nun leicht überlegt, durch Anhängen der Paritätssumme c∞ := c(1) = ∑22 i=0 ci an jedes Codewort c = c(X ) ∈ CQ zu einem selbstdualen b Code CQ := (c, c∞ ); c ∈ CQ . Für das erweiterte Generatorpolynom gbQ = (gQ , g∞ ) gilt offenbar wHam (b gQ ) = 8. Der Code CbQ besitzt also eine Basis aus Codewörtern vom Gewicht 8 und ist folglich doppeltgerade; vgl. Aufgabe 21 von Blatt 3. Das zeigt in Verbindung mit der BCH-Schranke dHam (CbQ ) = 8 und dann natürlich dHam (CQ ) = 7. Das gleiche Argument, angewandt auf den zweiten Code CN , liefert auch dHam (CN ) = 7.21 Der [23, 12, 7]-Code CQ und der [24, 12, 8]-Code CbQ werden nach ihrem Entdecker G OLAY-Codes genannt und hier mit Gol(23) bzw. Gol(24) bezeichnet. Sie haben viele schöne Eigenschaften. Zum Beispiel ist Gol(23) wegen 23 23 23 12 2 × 1+ + + = 223 1 2 3 ein perfekter Code, der einzige binäre perfekte Code, der mehr als einen Fehler korrigieren kann, und die Automorphismengruppe von Gol(24) ist die sporadische M ATHIEUGruppe M24 . 20 Man
kann die Faktorisierung von Q23 (X) in der Form Q23 (X) = X 22 + X 21 + · · · + X + 1 = (X 11 + 8 7 6 5 4 3 2 11 10 9 8 7 a9 8 X + a7 X + a6 X + a5 X + a4 X + a3 X + a2 X + X + 1)(X + X + a2 X + a3 X + a4 X + 6 5 4 3 2 a5 X +a6 X +a7 X +a8 X +a9 X +1) ansetzen, da die beiden irreduziblen Faktoren von Q23 zueinander revers sind und bei X 10 verschiedene Koeffizienten 0 bzw. 1 haben. 21 Der Code C ist einfach die Reversion von C , also zu C äquivalent und braucht daher eigentlich N Q Q nicht extra betrachtet zu werden. X9 + a
51
Ein binärer zyklischer Code von Primzahllänge n, dessen Nullstellenmenge gerade die Menge Q der Quadrate in F∗23 ist, existiert für jede Primzahl n ≡ ±1 (mod 8).22 Solche Codes nennt man Quadratische-Rest-Codes. Sie sind besonders interessant, weil sie die „begehrte ” Informationsrate ≈ 12 haben und ihr Minimalabstand der sog. Quadrat√ wurzelschranke d ≥ n, einer wesentlichen Verschärfung der BCH-Schranke, genügt.
2.6 Decodierung der BCH-Codes Es sei C ⊆ Fq [X ]/(X n − 1) ein zyklischer Code mit den 2t aufeinanderfolgenden Nullstellen αb , αb+1 , . . . , αb+2t−1 . Nach der BCH-Schranke ist dann d = dHam (C) ≥ 2t + 1, der Code C also t-fehlerkorrigierend. In diesem Abschnitt geben wir einen Decodieralgorithmus an, der jedes Fehlermuster aus τ ≤ t Übertragungsfehlern korrigiert. Wir erlauben dem Decodierer, im Fall von τ > t Übertragungsfehlern entweder falsch oder gar nicht zu decodieren. Es handelt sich im allgemeinen also nicht um einen MLDecodierer. Die Aufgabe des Decodierers besteht darin, aus einem Wort y(X ) = c(X ) + e(X ) mit c(X ) ∈ C und wHam e(X ) = τ ≤ t, d. h. e(X ) =
τ
∑ e r X jr
r=1
mit 0 ≤ j1 < j2 < · · · < jτ ≤ n − 1 und
er ∈ F∗q ,
(2.48)
die Anzahl τ der Fehler, die Fehlerpositionen j1 , . . ., jτ und im Fall q > 2 die zugehörigen Einträge e1 , . . . , eτ des Fehlerpolynoms e(X ) zu rekonstruieren.23 Für b ≤ i ≤ b + 2t − 1 gilt y(αi ) = c(αi ) + e(αi ) = e(αi ). Der Decodierer verfügt ij also über die 2t Syndrome si := e(αi ) = y(αi ) = ∑n−1 j=0 y j α , b ≤ i ≤ b + 2t − 1, die sich mit ηr := α jr auch in der Form si = ∑τr=1 er (αi ) jr = ∑τr=1 er (α jr )i = ∑τr=1 er ηir schreiben lassen. Der Decodierer muß also das Gleichungssystem e1 ηb1 e1 ηb+1 1
+ e2 ηb2 + e2 ηb+1 2
+ . . . + eτ ηbτ + . . . + eτ ηb+1 τ
= sb = sb+1 .. .
(2.49)
+ . . . + eτ ηb+2t−1 = sb+2t−1 + e2 ηb+2t−1 e1 ηb+2t−1 τ 2 1 lösen, das linear in e1 , . . . , eτ , aber nichtlinear in η1 , . . ., ητ ist und dessen Spaltenanzahl τ er obendrein nicht kennt. 22 Die
Bedingung hierfür ist, daß 2 ein Quadrat modulo n ist; vgl. Aufgabe ??. Wort y ∈ Fn2 , für das ein Codewort c ∈ C mit dHam (y, c) ≤ t existiert, in eben dieses Codewort c decodiert wird. Das braucht im konkreten Einsatz nicht unbedingt das gesendete Coderwort zu sein. Der Decodierer kann das „gute” Codewort nicht von den „schlechten” Codewörtern unterscheiden. 23 Wir verlangen also, daß jedes
52
Das Gleichungssystem kann mit folgendem Kunstgriff gelöst werden: Wir definieren zunächst das sog. Lokatorpolynom σ(X ) ∈ Fqm [X ] durch σ(X ) =
τ
τ
i=0
r=1
∑ σiX i := ∏(1 − ηr X ).
(2.50)
−1 Es gilt deg(σ) = τ, und die Nullstellen von σ sind die Elemente η−1 1 , . . . , ητ . Das Lokatorpolynom enthält damit alle Informationen, um aus (2.49) ein lineares (also mit Standardmethoden lösbares) Gleichungssystem zu machen. Durch Aufsummieren von je τ + 1 aufeinanderfolgenden Gleichungen in (2.49) mit den passenden Koeffizienten von σ(X ) erhalten wir !
στ si + στ−1 si+1 + · · · + σ0 si+τ =
=
τ
∑ er
r=1 τ
τ
j ∑ στ− j ηi+ r
j=0
−1 ∑ er ηi+τ r σ(ηr ) = 0
r=1
(b ≤ i ≤ b + 2t − 1 − τ).
(2.51) Die Gleichungen in (2.51) sind auch als verallgemeinerte Newtonsche Identitäten bekannt. Die ersten τ Gleichungen besagen wegen σ0 = 1, daß die Koeffizienten σ1 , . . . , στ des Lokatorpolynoms Lösung des linearen Gleichungssystems sb+τ στ sb sb+1 . . . sb+τ−1 sb+τ+1 sb+1 sb+2 . . . sb+τ στ−1 (2.52) .. .. .. .. = − .. . . . . . σ1 sb+2τ−1 sb+τ−1 sb+τ . . . sb+2τ−2 sind. Die folgende Satz zeigt unter anderem, daß dieses Gleichungssystem eine eindeutige Lösung besitzt. Satz 2.10. Die durch
sb
sb+1 . . . sb+2 . . . .. .
sb+i−1 sb+i .. .
sb+1 Si := .. . sb+i−1 sb+i . . . sb+2i−2
(2.53)
24 für 0 ≤ i ≤ t erklärte Matrix Si ∈ Fi×i qm ist für i = τ regulär und für τ+1 ≤ i ≤ t singulär. 24 Die
leere Matrix S0 wird dabei als regulär angesehen.
53
Beweis. Die Matrix Si besitzt die Faktorisierung 1 1 ... 1 e1 ηb1 η1 η2 . . . η τ e2 ηb2 Si = .. .. .. .. . . . . ηi−1 ηi−1 . . . ηi−1 τ 1 2
1 η1 .. .
1 η2 .. .
... ...
1 ητ .. .
T
,
ηi−1 ηi−1 . . . ηi−1 τ 1 2 (2.54) Im Fall i = τ sind die drei Faktoren von Sτ quadratisch und regulär und damit auch Sτ . Für i > τ ist Si natürlich singulär, da die drei Faktoren den Rang τ haben und damit S i höchstens den Rang τ hat. eτ ηbτ
Satz 2.10 ermöglicht offenbar die Berechnung der Anzahl τ der Fehler aus den Syndromen sb , sb+1 , . . ., sb+2t−1 und führt schließlich zu dem folgenden Decodieralgorithmus für BCH-Codes, der nach seinen Erfindern P ETERSON-G ORENSTEIN-Z IERLERAlgorithmus heißt. ij 1. Berechne für i := b, b + 1, . . . , b + 2t − 1 die Syndrome si := y(αi ) = ∑n−1 j=0 y j α ∈ F qm .
2. Bestimme die größte Zahl i ∈ 0,t, für die die Matrix Si aus (2.53) regulär ist; setze τ := i. 3. Berechne die Koeffizienten σ1 , . . ., στ des Lokatorpolynoms σ(X ) = 1+ ∑τi=1 σi X i ∈ Fqm [X ] durch Lösen des linearen Gleichungssystems (2.52). 4. Bestimme durch Einsetzen von α− j , j ∈ 0, n − 1, in das Lokatorpolynom σ(X ) die Exponenten 0 ≤ j1 < · · · < jτ ≤ n−1 mit σ(α− j1 ) = σ(α− j2 ) = · · · = σ(α− jτ ) = 0.
5. Im Fall q = 2 setze e(X ) := ∑τr=1 X jr . Im Fall q > 2 setze ηr := α jr für r ∈ 1, τ und bestimme zunächst die Lösung (e1 , e2 , . . . , eτ ) des aus den ersten τ Gleichungen in (2.49) bestehenden (eindeutig lösbaren) linearen Gleichungssystems. Setze dann e(X ) := ∑τr=1 er X jr . 6. Gib y(X ) − e(X ) aus.
Der Algorithmus liefert, wie wir bei seiner Herleitung gezeigt haben, im Fall w e(X ) ≤ Ham t das richtige Codewort c(X ). Im Fall wHam e(X ) > t liefert er entweder ein falsches Codewort oder gerät in einen unbewachten Zustand. Die zweite Möglichkeit muß natürlich bei einer Implementierung des Algorithmus durch entsprechende Modifikationen augeschlossen werden.25 Eine relativ leicht zu bewerkstelligende Variante termi25 Wenn
beispielsweise das Lokatorpolynom σ(X) weniger als τ Nullstellen in der Menge {1, α, . . . , αn−1 } hat, so gilt mit Sicherheit wHam e(X) > t. Dies muß bei einer Implementierung bewacht werden, etwa durch Terminierung des Programms mit einer entsprechenden Fehlermeldung.
54
niert immer dannmit einer Fehlermeldung, wenn zu y(X ) kein Codewort c(X ) ∈ C mit dHam y(X ), c(X ) ≤ t existiert (Übungsaufgabe ??). Der P ETERSON-G ORENSTEIN-Z IERLER -Algorithmus ist gut geeignet zur Decodierung von BCH-Codes mit kleinem Entwurfabstand oder generell zur Decodierung von BCH-Codes, wenn man sich auf die Korrektur einer kleinen Anzahl von Fehlern beschränkt. Bei großem τ wird Schritt Nr. 3 des Algorithmus zu aufwendig. In diesem Fall sind schnellere Decodieralgorithmen bekannt, die auf dem Euklidischen Algorithmus zur Bestimmung des größten gemeinsamen Teilers zweier Polynome oder auf dem B ER LEKAMP-M ASSEY-Algorithmus zur Bestimmung des Minimalpolynoms einer linearen Rekursionsfolge basieren. Beispiel 18. Es sei C2 der [15, 7, 5]-BCH-Code aus Beispiel 16. Wir decodieren das empfangene Wort y = (110001100110000) ∈ F15 2 oder, in Polynomschreibweise, y(X ) = 5 6 9 10 1+X +X +X +X +X . Zum Rechnen in F16 verwenden wir die F2 -Basis (1, α, α2 , α3 ) und die folgende Tabelle: a (a)B a (a)B 0 0000 α7 1101 1 1000 α8 1010 α 0100 α9 0101 α2 0010 α10 1110 α3 0001 α11 0111 α4 1100 α12 1111 α5 0110 α13 1011 α6 0011 α14 1001 Schritt 1 produziert die Syndrome s1 = 1 + α + α5 + α6 + α9 + α10 = α2 , s2 = s21 = α4 ,
s3 = 1 + α3 + α15 + α18 + α27 + α30 = α11 , s4 = s22 = α8 .
Die relevanten „Syndrommatrizen” sind
2
S1 = s1 = (α ),
2 α α4 s1 s2 . = S2 = s2 s3 α4 α11
Da S2 regulär ist, sind mindestens 2 Fehler passiert. Wir setzen daher τ := 2. Um das Lokatorpolynom σ(X ) = 1 + σ1 X + σ2 X 2 zu bestimmen, lösen wir 2 11 s1 s2 σ2 −s3 α α4 σ2 α = , d. h. = 4 11 s2 s3 σ1 −s4 σ α α α8 1 55
(Schritt 3). Es ergibt sich σ2 = α14 , σ1 = α2 , also σ(X ) = 1+α2 X +α14 X 2 . Die Wurzeln von σ(X ) sind α11 und α5 , woraus wir η1 = α4 , η2 = α10 und damit die Fehlerpositionen j1 = 4, j2 = 10 erhalten (Schritt 4). Da es sich um einen binären Code handelt, entfällt Schritt 5 des Algorithmus, und wir decodieren y(X ) in y(X ) + X 4 + X 10 = 1 + X + X 4 + X 5 + X 6 + X 9 = (1 + X )g2 (X ) (Schritt 6); vgl. Beispiel 16. Als nächstes versuchen wir y(X ) = 1 + X 2 + X 8 zu decodieren. Hier ergibt sich s1 = s2 = s4 = 0, s3 = α10 , also 0 0 S1 = 0 , S2 = . 0 α10 In Schritt 2 ergibt sich daher τ = 0. Da nicht alle Syndrome Null sind, ist y(X ) aber kein Codewort. Es müssen also mehr als 2 Fehler passiert sein, d. h. es gibt kein Codewort c(X ) ∈ C2 mit dHam y(X ), c(X ) ≤ 2.
Beispiel 19. Es sei C3 der [15, 5, 7]-BCH-Code aus Beispiel 16. Wir decodieren nochmal das Wort y(X ) = 1 + X + X 5 + X 6 + X 9 + X 10 , dessen Syndrome s1 , s2 , s3 , s4 wir schon in Beispiel 18 berechnet haben. Der Code C3 hat die vorgeschriebenen Nullstellen α1 , α2 , . . . , α6 . Zusätzlich zu berechnen sind also s5 = 1 + α5 + α25 + α30 + α45 + α50 = α5 , s6 = s23 = α7 .
Da die Matrix
2 α α4 α11 s1 s2 s3 S3 = s2 s3 s4 = α4 α11 α8 s3 s4 s5 α11 α8 α5
regulär ist26 , setzen wir τ := 3 und lösen das lineare Gleichungssystem 8 2 α α α4 α11 σ3 α4 α11 α8 σ2 = α5 . σ1 α7 α11 α8 α5
Die Lösung ist (α6 , α9 , α2 ), d. h. als Lokatorpolynom ergibt sich σ(X ) = 1 + α2 X + α9 X 2 + α6 X 3 . Durch Einsetzen findet man σ(α−1 ) = σ(α−7 ) = σ(α−13 ) = 0,27 also 26 Man
berechnet etwa det(S3 ) = α8 6= 0. Es ist aber schlauer, sofort das Gleichungssystem in Schritt 3 mit dem Gauß-Algorithmus zu lösen und den Lösungsversuch ggf. abzubrechen, wenn sich die Singularität von St herausstellt. 27 Die Rechnung wird – wenigstens wenn man händisch rechnet – etwas vereinfacht, wenn man das Lokatorpolynom durch die Linearfaktoren 1 − ηr X der bereits gefundenen Nullstellen dividiert. Zum Beispiel erhält man hier wegen σ(α−1 ) = 0 durch Dvision σ(X) = 1 + α2 X + α9 X 2 + α6 X 3 = (1 + αX)(1 + α5X + α5 X 2 ) und braucht dann nur noch 1 + α5X + α5 X 2 auf weitere Nullstellen testen.
56
e(X ) = X + X 7 + X 13 und y(X ) + e(X ) = 1 + X 5 + X 6 + X 7 + X 9 + X 10 + X 13 = (1 + X + X 3 )g3 (X ) ∈ C3 . Das Wort y(X ) wird in das Codewort 1 + X 5 + X 6 + X 7 + X 9 + X 10 + X 13 decodiert. Unser zweites Beispielwort y(X ) = 1 + X 2 + X 8 wird - das sagt die Theorie – durch den Peterson-Gorenstein-Zierler-Decodierer für C3 in das Nullwort 0 ∈ C3 decodiert. In der Tat ergibt sich in diesem Fall s5 = 1, s6 = α5 , also 0 0 α10 S3 = 0 α10 0 , α10 0 1 10 10 α 0 α5 0 σ3 s4 α σ2 = S−1 s5 = 0 α5 0 1 = α5 , 3 σ1 s6 α5 0 α5 0 0 σ(X ) = 1 + α5 X 2 + α10 X 3 , σ(α0 ) = σ(α−2 ) = σ(α−8 ) = 0 und damit e(X ) = 1 + X 2 + X 8.
2.7 Reed-Solomon-Codes und Secret Sharing Schemes Unter einem Reed-Solomon-Code versteht man einen q-nären BCH-Code der Länge n = q − 1.28 Der Körper Fq enthält in diesem Fall schon eine primitive n-te Einheitswurzel α, und das Polynom X n − 1 zerfällt bereits in Fq [X ] in Linearfaktoren. Es sei nun C ⊆ Fq [X ]/(X n − 1) der BCH-Code vom Entwurfsabstand δ mit vorgeschriebenen Nullstellen αb , αb+1 , . . . , , αb+δ−2 . Das Generatorpolynom von C ist einfach das Polyj nom g(X ) = ∏b+δ−2 j=0 (X − α ). Wegen δ ≤ dHam (C) ≤ wHam (g) ≤ deg(g) + 1 = δ gilt dHam (C) = δ. Der Code C hat also die Parameter [n, k, d] = [n, n − δ + 1, δ]. Offenbar gilt d = n−k +1, d. h. C hat unter allen q-nären [n, k]-Codes den nach der sog. SingletonSchranke (vgl. Sätzchen 2.11) größtmöglichen Minimalabstand. Solche Codes werden MDS-Codes genannt.29 Jeder Reed-Solomon-Code ist also ein MDS-Code. 28 Es
gibt also keine binären Reed-Solomon-Codes, sondern nur Reed-Solomon-Codes über Erweiterungskörpern von F2 wie etwa F28 = F256 , die sich natürlich genauso gut zur für die Implementierung eignen. 29 „MDS-Code” steht für “Maximum Distance Separable Code”. Die MDS-Codes sind für die Singleton-Schranke also das, was die perfekten Codes für Hamming-Schranke (Satz 2.3) sind. Beide Schranken lassen sich nur asymptotisch miteinander vergleichen. Perfekte Codes und MDS-Codes haben wenig miteinander zu tun.
57
Sätzchen 2.11 (Singleton-Schranke). Für die Parameter [n, k, d] eines linearen Codes C ⊆ Fnq gilt stets d ≤ n − k + 1. Beweis. Wir betrachten die Projektion pr : Fnq → Fqn−d+1 , x1 x2 . . . xn 7→ x1 x2 . . . xn−d+1 . Für zwei verschiedene Codewörter x, y ∈ C gilt pr(x) 6= pr(y), denn x und y stimmen we gen dHam (x, y) ≥ d in höchstens n−d Positionen überein. Daraus folgt |C| ≤ Fqn−d+1 = qn−d+1 , also k = logq |C| ≤ n − d + 1, d. h. d ≤ n − k + 1.30 Es seien nun α1 , α2 , . . ., αq−1 irgendeine Aufzählung der Elemente von F∗q und r ∈ 1, q − 1. Dann ist 1 1 ... 1 α1 α2 . . . αq−1 2 2 2 α α . . . α 2 q−1 (2.55) H= 1 .. .. .. . . . αr−1 αr−1 . . . αr−1 1 2 q−1
eine Kontrollmatrix des im wesentlichen (vgl. Aufgabe 8) eindeutig bestimmten [q − 1, q − 1 − r, r + 1]-Reed-Solomon-Codes. Das in CD-Playern zur Fehlerkorrektur verwendete CIRC-Schema31 besteht aus zwei in bestimmter Weise verketteten sog. verkürzten Reed-Solomon-Codes über F28 mit den Parametern [28, 24, 5] und [32, 28, 5], deren Kontrollmatrizen aus der Matrix H in (2.55) (mit r = 4 und q = 2 8 ) durch das Wegstreichen einer geeigneten Anzahl von Spalten entstehen. Sie können mit einem Verfahren decodiert werden, das dem weiter vorne beschriebenen Verfahren zur Decodierung eines binären [15, 7, 5]-Codes sehr ähnlich – nur unwesentlich aufwendiger – ist. q−1
Aufgabe 8. Es sei Cr ⊆ Fq der [q − 1, q − 1 − r, r + 1]-Code mit der Kontrollmatrix H aus (2.55) (Reed-Solomon-Code). Für ein festes n ∈ 1, q − 1 seien weiter H 0 ∈ Fr×n die q 0 n Matrix, die aus den ersten n Spalten von H besteht, und Cr ⊆ Fq der lineare Code mit Kontrollmatrix H0 (verkürzter Reed-Solomon-Code). 1. Geben Sie eine Generatormatrix von Cr an. Begründen Sie, daß auch Cr⊥ ein ReedSolomon-Code ist. 2. Bestimmen Sie die Parameter des Codes Cr0 . 3. Ist auch C ⊥ ein verkürzter Reed-Solomon-Code? Singletonschranke gilt in der Form |C| ≤ qn−d+1 auch für nichtlineare Codes. Die Größe q des zugrunde liegenden Alphabets braucht dazu auch keine Primzahlpotenz zu sein. 31 „CIRC” steht für Cross Interleaved Reed-Solomon Code (CIRC). 30 Die
58
Unter einem Secret Sharing Scheme versteht man, zunächst ganz informell, ein Verfahren, vertrauliche Informationen („Schlüssel”) zur Authorisierung einer Operation auf mehrere Personen zu verteilen mit dem Ergebnis, daß die Operation nur beim Zustandekommen eines „Quorums” ausgeführt werden kann. Man stelle sich etwa vor, daß es in der Filiale einer Bank drei leitende Angestellte gibt, die Zugang zum Tresor haben. Da die Bank keinem der drei allein über den Weg traut und andererseits auch bei Abwesenheit von einem der drei Zugriff auf den Tresor haben will, wird es so eingerichtet, daß zum Öffnen des Tresors mindestens zwei der drei Angestellten anwesend sein müssen. Dazu wird der Tresor mit 3 Schlössern verschlossen und jeder Angestellte erhält eines der 3 Paare von je zwei 2 verschiedenen Schlüsseln. Wir befassen uns ausschließlich mit Secret Sharing Schemes im Sinne der mathematischen Kryptographie, deren Sicherheit nicht auf mechanischem Schutz beruht, sondern darauf, daß ein erfolgreicher Angriff zu unwahrscheinlich ist oder zu viele Ressourcen benötigt. Ein solches System arbeitet mit einer großen Menge theoretisch möglicher Schlüssel, von denen einer (das sog. Secret) für den praktischen Einsatz zufällig ausgewählt wird. Die Teilnehmer (Participants) des Secret Sharing Schemes erhalten Teilinformationen (sog. Shares) über den Schlüssel. Authorisierte Gruppen von Teilnehmern können aus der Gesamtheit ihrer Shares das Geheimnis eindeutig bestimmen, nichtauthorisierte Gruppen von Teilnehmern können das dagegen nicht. Ein Secret Sharing Scheme wird perfekt (perfect) genannt, wenn nicht-authorisierte Gruppen von Teilnehmern aus ihren Shares keine Information über das Geheimnis erhalten. Um bei unserem Beispiel zu bleiben, nehmen wir an, daß der Banktresor durch Eingabe der richtigen Kombination aus 3 Dezimalziffern geöffnet wird, die zuvor frei programmiert werden kann. Um je 2 der 3 Angestellten das Öffnen des Tresors zu er3 möglichen, kann die Bank etwa aus den 100 möglichen Kombinationen xyz ∈ 0, 9 mit x + y + z ≡ 0 (mod 10) eine zufällig auswählen und als Shares die Ziffern x, y und z an die drei Angestellten aushändigen. Offenbar können dann je 2 der 3 Angestellten aus ihren Shares die dritte Ziffer und damit die Kombination bestimmen, während ein Angestellter aus der ihm bekannten Ziffer die Kombination nur raten kann. Er hat dabei die gegenüber dem Raten der Kombination ohne jede Vorabinformation erhöhte Erfolgswahrscheinlichkeit 1/10, das Secret Sharing Scheme dieses Beispiels ist also nicht perfekt. Es seien K, P, Pb und S endliche Mengen mit Pb \ P = {d}. Unter einem Secret Sharing Scheme mit Geheimnismenge (oder Schlüsselmenge) K, Teilnehmermenge P, Dealer d und Menge S von Shares verstehen wir eine Folge f 1 , f2 , . . ., fM von Abbildungen (distribution rules) fi : Pb → K ∪ S mit fi (d) ∈ K und fi (P) ⊆ S für i ∈ 1, M. Wir stellen uns vor, daß der Dealer nach Festlegung eines Geheimnisses k ∈ K zufällig einen Index i ∈ 1, M mit fi (d) = K auswählt und an den Teilnehmer p ∈ P den Share f i (p) weitergibt. Die Distribution Rules f i sind jedem Teilnehmer bekannt. Jedes Secret Sha59
ring Scheme kann man durch eine M × (|P| + 1)-Matrix darstellen, deren Spalten mit den Teilnehmern indiziert sind, wobei die Spalte Nr. 0 zum Dealer gehört, und in deren Zeilen die Distribution Rules stehen. Eine Menge Γ ⊆ 2P (also eine Menge von Teilmengen von P) nennen wir eine Zugriffsstruktur, wenn Γ in folgendem Sinn monoton ist: (G ∈ Γ ∧ G ⊆ H ⊆ P) =⇒ H ∈ Γ. (Wir stellen uns eine Menge G ∈ Γ als authorisierte Gruppe von Teilnehmern vor und eine Menge G ∈ 2P \ Γ als eine nicht-authorisierte Gruppe.) Die Menge ∂Γ der bezüglich ⊆ minimalen Elemente von Γ nennt man Basis von Γ. Es ist klar, daß über die Zuordnung Γ 7→ ∂Γ Zugriffsstrukturen Γ ⊆ 2P und Antiketten32 von (2P , ⊆) miteinander korrespondieren. Wir sagen, daß das Secret Sharing Scheme ( f 1 , f2 , . . . , fM ) die Zugriffsstruktur Γ realisiert, wenn für G ⊆ P die folgenden Aussagen äquivalent sind: (i) G ∈ Γ;
(ii) Aus fi (p) = f j (p) für alle p ∈ G folgt fi (d) = f j (d) (1 ≤ i, j ≤ M).
Zu jeder Menge G ∈ 2P \ Γ („nicht-authorisierte Gruppe”) gibt es dann mindestens zwei Distribution Rules fi 6= f j , die auf G übereinstimmen ( f i (p) = f j (p) für alle p ∈ G), aber zu verschiedenen Geheimnissen f i (d) 6= f j (d) gehören. Im Fall |P| = w und Γ = {G ⊆ P; |G| ≥ t} nennt man ein Γ realisierendes Secret Sharing Scheme ein (t, w)-Schwellenschema. Ein Secret Sharing Scheme ( f 1 , f2 , . . . , fM ), das eine Zugriffsstruktur Γ ⊆ 2P realisiert, heißt perfekt, wenn für jede Menge G ∈ 2P \ Γ, jede Abbildung f : G → S und jedes Geheimnis k ∈ K die Anzahl λ(G, f , k) := {i ∈ 1, M; (∀p ∈ G)( fi (p) = f (p)) ∧ fi (d) = k}
nicht von k abhängt, d. h. λ(G, f , k) = λ(G, f , k 0 ) für alle k, k0 ∈ K. Bei einem perfekten Secret Sharing Scheme erhält eine nicht authorisierte Gruppe von Teilnehmern aus der Gesamtheit der ihr zur Verfügung stehenden Shares keine zusätzliche Information über das Geheimnis. Man kann zeigen, daß bei einem perfekten Secret Sharing Scheme abgesehen vom Trivialfall Γ = 2P stets |S| ≥ |K| gelten muß. Im Fall |S| = |K| spricht man von einem idealen perfekten Secret Sharing Scheme.
Beispiel 20. Die folgende Matrix stellt ein Secret Sharing Scheme ( f 1 , f2 , . . ., f12 ) mit P = {p1 , p2 , p3 , p4 , p5 , p6 }, K = {0, 1} und S = {0, 1, 2} dar, das eine Zugriffsstruktur Γ ⊆ 2P realisiert, deren Basis ∂Γ = {p1 , p2 }, {p2 , p3 }, {p3 , p4 }, {p4 , p5 }, {p5 , p6 }, {p6 , p1 } ∼ = 32 A ⊆ 2P
heißt Antikette, falls für S, T ∈ A aus S ⊆ T stets S = T folgt.
60
C6 ein 6-Zyklus (im graphentheoretischen Sinn) ist: f1 f2 f3 f4 f5 f6 f7 f8 f9
f10 f11 f12
d p 1 p2 p3 p4 p5 p6 0 0 0 1 1 2 2 0 0 0 2 2 1 1 0 1 1 2 2 0 0 0 1 1 0 0 2 2 0 2 2 0 0 1 1 0 2 2 1 1 0 0 1 0 1 1 2 2 0 1 0 2 2 1 1 0 1 1 2 2 0 0 1 1 1 0 0 2 2 1 1 2 0 0 1 1 2 1 2 1 1 0 0 2
(2.56)
Man rechnet mit einiger Mühe nach, daß ( f 1 , f2 , . . . , f12 ) perfekt ist. Wegen |K| = 2, |S| = 3 ist ( f1 , f2 , . . . , f12 ) nicht ideal.
Beispiel 21 (Adi Shamirs Interpolationsschema). Adi Schamir hat 1979 für beliebige natürliche Zahlen t ≤ w ein ideales perfektes (t, w)-Schwellenschema angegeben, das auf der Polynominterpolation über einem endlichen Körper beruht. Man wählt dazu zunächst eine Primzahl p ≥ w + 1 und setzt K := S := F p , P := {1, 2, . . ., w} und d := 0. i Als Distribution Rules nimmt man alle Funktionen f : {0, 1, . . ., w} → F p , x 7→ ∑t−1 i=0 ai x mit ai ∈ F p , also die Restriktionen auf {0, 1, . . ., w} ⊆ F p aller Polynomfunktionen von F p nach F p vom Grad < t. Betrieben wird das System wie folgt: Der Dealer wählt zu einem Geheimnis a 0 ∈ F p zufällig (um genau zu sein: auf Basis der Gleichverteilung auf Ft−1 p ) die übrigen Koeffizienten a1 , . . ., at−1 ∈ F p von f aus und schickt dem Teilnehmer Nr. r als Share i das Element f (r) = ∑t−1 i=0 ai r ∈ F p . Da ein Polynom vom Grad < t durch seine Werte an t verschiedenen Stellen eindeutig bestimmt ist, kann jede Gruppe G ⊆ P von mindestens t Teilnehmern aus ihren Shares yr = f (r), r ∈ G, die Koeffizienten ai von f und damit insbesondere das Geheimnis a0 mittels Polynominterpolation rekonstruieren. Jede Gruppe G von s < t Teilnehmern besitzt dagegen keinerlei Information über das Geheimnis a 0 , da es zu jedem a ∈ F p genau pt−s−1 Polynomfunktionen g : F p → F p vom Grad < t gibt mit g(r) = yr für r ∈ G und g(0) = a. Das beweist, daß Shamirs Interpolationsschema ein perfektes (t, w)-Schwellenschema ist. Wegen S = K ist das Schema auch ideal. Ein analoges, also ebenfalls ideales perfektes (t, w)-Schwellenschema kann man von einem t-dimensionalen verkürzten Reed-Solomon-Code C ⊆ Fw q mit q ≥ w + 1 ableiten, 61
der stets eine Generatormatrix der Bauart 1 1 α1 α 2 2 α2 α H= 1 2 .. .. . . t−1 t−1 α1 α2
... ... ...
1 αw α2w .. .
. . . αt−1 w
(2.57)
mit w verschiedenen Elementen α j ∈ F∗q besitzt. Zu einem gegebenen Geheimnis a0 ∈ Fq werden wie vorhin a1 , . . . , at−1 ∈ Fq zufällig ausgewählt und es wird dann die j-te i Komponente ∑t−1 i=0 ai α j des Wortes (a0 , a1 , . . . , at−1 )H =
t−1
t−1
i=0
i=0
∑ aiαi1, . . . , ∑ aiαiw
!
∈ Fw q
als Share an Teilnehmer Nr. j geschickt. Die Distribution Rules sind also einfach die Codewörter (c1 , c2 , . . . , cw ) von C, jeweils ergänzt um das zugehörige Geheimnis c0 . Diese codierungstheoretische Betrachtungsweise des Interpolationsschemas eröffnet Wege, auch weitergehende Forderungen an ein Secret Sharing Scheme wie zum Beispiel Robustheit gegenüber absichtlichen oder unabsichtlichen Fehlern bei der Kommunikation innerhalb authorisierter Gruppen von Teilnehmern zu berücksichtigen. Eine detaillierte Übersicht über die recht ausgefeilte mathematische Theorie der Secret Sharing Schemes und über den hier nicht näher behandelten Zusammenhang zwischen idealen perfekten Secret Sharing Schemes und Endlicher Geometrie (Matroiden) finden Sie in [2].
62
Kapitel 3 Exponentialsummen und Gleichungen 3.1 Charaktere endlicher abelscher Gruppen Es sei G eine (multiplikativ geschriebene) endliche abelsche Gruppe. Unter einem Charakter von G versteht man einen Gruppenhomomorphismus χ : G → C ∗ von G in die multiplikative Gruppe der komplexen Zahlen. Die Menge der Charaktere von G wird b bezeichnet. mit G b gilt χ(g)|G| = χ(g|G| ) = χ(1) = 1, d. h. die Werte jedes ChaFür g ∈ G und χ ∈ G rakters von G sind |G|-te Einheitswurzeln. b bildet bezüglich der durch (χψ)(g) := χ(g)ψ(g) für g ∈ G erklärten Die Menge G b b → G, b (χ, ψ) 7→ χψ eine abelsche Gruppe. Das Einselement von G b Multiplikation G × G b g ∈ G gilt χ−1 (g) = χ(g)−1 = χ(g), ist der Einscharakter G → C∗ , g 7→ 1, und für χ ∈ G, also χ−1 = χ. b b G und insbesondere |G| = Satz 3.1. Für jede endliche abelsche Gruppe gilt G ∼ = G .
Beweis. Wir benützen zum Beweis den Hauptsatz über endliche abelsche Gruppen (Fakt A.2), der insbesondere besagt, daß G ∼ = G1 ⊗ · · · ⊗ Gr isomorf zu einem direkten Produkt zyklischer Gruppen Gi ist. Ist ni := |Gi |, so existieren also g1 , . . . , gr ∈ G derart, daß jedes g ∈ G genau eine Darstellung g = gk11 gk22 · · · gkr r mit 0 ≤ ki < ni besitzt. Wir definieren b durch nun χi ∈ G (3.1) χi (g) = χi (gk11 gk22 · · · gkr r ) := e2πiki /ni . Es gilt dann χi (gi ) = e2πi/ni und χi (g j ) = 1 für j 6= i.1 Offenbar ist ord(χi ) = ni . Für b existieren wegen χ(gi )ni = 1 eindeutig bestimmte einen beliebigen Charakter χ ∈ G 1 Wenn
man so will, entsteht χi durch multiplikative Fortsetzung von gi 7→ e2πi/ni , g j 7→ 1 für j 6= i.
63
Zahlen mi ∈ 0, ni − 1 mit χ(gi ) = e2πimi /ni = χi (gi )mi für 1 ≤ i ≤ r. Es folgt χ(g) = χ(gk11 gk22 · · · gkr r ) = χ(g1 )k1 χ(g2 )k2 · · · χ(gr )kr = χ1 (g1 )m1 k1 χ(g2 )m2 k2 · · · χr (gr )mr kr = χ1 (gk11 )m1 χ2 (gk22 )m2 · · · χr (gkr r )mr = χ1 (g)m1 χ2 (g)m2 · · · χr (g)mr ,
(3.2)
mr 1 m2 d. h. χ = χm 1 χ2 · · · χr . Die Zahl mi ist, wie oben erwähnt, modulo ni eindeutig beb∼ stimmt. Es gilt also G = hχ1 i ⊗ · · · ⊗ hχr i ∼ = hg1 i ⊗ · · · ⊗ hgr i ∼ = G.
Beispiel 22. Für die sog. Kleinsche Vierergruppe G := Z2 ⊗ Z2 = {1, g, h, gh} (mit g := b = {1, χ, ψ, χψ} (1, 0), h := (0, 1) und multiplikativer statt additiver Schreibweise) gilt G gemäß folgender Tabelle: b 1 G g h gh 1 1 1 1 1 (3.3) χ 1 −1 1 −1 1 −1 −1 ψ 1 χψ 1 −1 −1 1
b= Beispiel 23. Für eine zyklische Gruppe G = {1, g, g2 , . . . , gn−1 } der Ordnung n gilt G 2 n−1 k k 2πi/n hχi = {1, χ, χ , . . ., χ } mit χ(g ) := ζ , ζ := e ; siehe die folgende Tabelle: b G 1 χ χ2 .. .
1 1 1 1 .. .
g 1 ζ ζ2 .. .
g2 1 ζ2 ζ4 .. .
. . . gn−1 ... 1 n−1 ... ζ . . . ζ2(n−1) .. .. . . 2 (n−1) ... ζ
(3.4)
χn−1 1 ζn−1 ζ2(n−2) Eine Matrix der Bauart M = χi (g j ) ∈ C|G|×|G| , wobei G = {g1 , g2 , . . . , g|G| } und b = {χ1 , χ2 , . . . , χ|G| }, nennt man Charaktermatrix oder Charaktertafel der endlichen G abelschen Gruppe G. b Satz 3.2. Es seien H eine Untergruppe der endlichen abelschen Gruppe G und ψ ∈ H. 2 b Dann existiert χ ∈ G mit χ(h) = ψ(h) für h ∈ H. b → H, b χ 7→ χ|H surBeweis. Zu zeigen ist, daß der Restriktionshomomorphismus ρ : G b χ|H = 1}. Jedem Charakter χ ∈ G b mit χ|H = 1 entspricht jektiv ist. Es gilt ker ρ = {χ ∈ G; [ und umgekehrt. Daher vermöge χ0 (gH) := χ(g) für gH ∈ G/H ein Charakter χ0 ∈ G/H b ∼ [ gilt ker ρ = G/H, also |ker ρ| = |G| / |H| und damit |im ρ| = |G| / |ker ρ| = |H| = H . Daraus folgt die Surjektivität von ρ. 2 Der
Charakter χ : G → C ist eine Fortsetzung von ψ : H → C auf G.
64
Korollar 3.3. Zu jedem Element g 6= 1 einer endlichen abelschen Gruppe G existiert b mit χ(g) 6= 1. ein Charakter χ ∈ G
Beweis. Ist ord(g) = n > 1, so wird durch χ0 (gk ) := e2πik/n 6= 1 für k ∈ 0, n − 1 ein b von χ0 . Charakter χ0 : hgi → C definiert. Nach Satz 3.2 existiert eine Fortsetzung χ ∈ G Der Charakter χ hat die gewünschte Eigenschaft.
Satz 3.4 (Orthogonalitätsrelationen). Es seien G eine endliche abelsche Gruppe und b ihre Charaktergruppe. G b gilt (i) Für χ, ψ ∈ G
(ii) Für g, h ∈ G gilt
( 0, ∑ χ(g)ψ(g) = |G| , g∈G
falls χ 6= ψ, falls χ = ψ.
( 0, falls g 6= h, ∑ χ(g)χ(h) = |G| , falls g = h. b χ∈G
(3.5)
(3.6)
Beweis. (i) Wegen χ(g)ψ(g) = χ(g)ψ−1 (g) = (χψ−1 )(g) genügt es, die Aussage für den Spezialfall ψ = 1 zu beweisen. Wir setzen S := ∑g∈G χ(g). Im Fall χ = 1 gilt offenbar S = |G|. Andernfalls existiert g ∈ G mit χ(g) 6= 1. Wegen χ(g)S = χ(g) ∑ χ(h) = h∈G
∑ χ(gh) = ∑ χ(x) = S
h∈G
x∈G
gilt dann notwendigerweise S = 0. (ii) Wegen χ(g)χ(h) = χ(gh−1 ) genügt es wieder, die Aussage für den Fall h = 1 zu b beweisen. Wir setzen nun S := ∑χ∈Gb χ(g) und haben im Fall g = 1 wieder S = G = |G|. b mit χ(g) 6= 1 und es folgt Im Fall g 6= 1 existiert nach Korollar 3.3 ein χ ∈ G χ(g)S = χ(g)
also S = 0 wie behauptet.
∑ ψ(g) = ∑ (χψ)(g) = ∑ η(g) = S,
b ψ∈G
b ψ∈G
b η∈G
Bemerkung 8. Die beiden Orthogonalitätsrelationen besagen, daß die (bis auf eine Permutation ihrer Zeilen und Spalten eindeutig bestimmte) Charaktermatrix M einer endlichen abelschen Gruppe G die Bedingungen MMT = |G| · I|G| bzw. MT M = |G| · I|G| p erfüllt, also bis auf den Skalierungsfaktor |G| eine unitäre |G| × |G|-Matrix ist. Man hätte daher beim Beweis von Satz 3.4 (ii) auch an den Ihnen aus der Linearen Algebra bekannten Sachverhalt appellieren können, daß aus der Orthonormalität der Zeilen einer Matrix stets auch die Orthonormalität der Spalten folgt. 65
Auf dem C-Vektorraum CG aller Abbildungen f : G → C wird durch h f , gi :=
∑
x∈G
f (x)g(x)
(3.7)
ein inneres Produkt (positiv definite hermitesche Form) erklärt. Satz p3.4 (ii) besagt, daß |G| eine Orthonordie Charaktere von G bis auf den gemeinsamen Skalierungsfaktor 2 G malbasis des unitären Raums L (G) := C , h , i bilden. Jedes f ∈ CG besitzt daher die Darstellung f = |G|−1 ∑χ∈Gbh f , χiχ. Eine weitere Orthonormalbasis von L2 (G) wird offenbar von den durch ( 1, falls y = x, (3.8) δx (y) := 0, falls y 6= x, erklärten Deltafunktionen δx : G → C, x ∈ G, gebildet. Die zugehörige Entwicklung von f ∈ CG ist f = ∑x∈G f (x)δx .
Definition 6 (Fouriertransformation). Es sei G eine endliche abelsche Gruppe. Unter b der Fouriertransformation von G versteht man die Abbildung F : C G → CG , f 7→ fb, definiert durch b fb(χ) := h f , χi = ∑ f (x)χ(x) für χ ∈ G. (3.9) x∈G
Die Fouriertransformation für endliche abelsche Gruppen besitzt ähnliche Eigenschaften wie die Fouriertransformation der Reellen Analysis. Wir gehen darauf erst im nächsten Abschnitt ein, wenn wir den Spezialfall G = (Fq , +) und eine für unsere Bedürfnisse besser geeignete, modifizierte Fouriertransformation betrachten.
Definition 7 (Gruppenalgebra). Es sei G eine endliche Gruppe. Unter der Gruppenalgebra (oder dem Gruppenring) von G über C versteht man den C-Vektorraum C G zusammen mit der durch ( f ∗ g)(z) :=
∑
x,y∈G xy=z
f (x)g(y) =
∑
x∈G
f (x)g(x−1 z) (z ∈ G)
für f , g ∈ CG erklärten Multiplikation (Faltung von Funktionen).
(3.10)
Man rechnet leicht nach, daß für Deltafunktionen die Multiplikationsregel δ x ∗ δy = δxy gilt und (3.10) schlicht die bilineare Fortsetzung dieser auf der Basis {δ x ; x ∈ G} von CG erklärten Operation ist. Zusammen mit der Assoziativität der Operation von G liefert das auch die Begründung dafür, daß (CG , ∗) tatsächlich eine assoziative C-Algebra mit Einselement (vgl. ??) ist. Der C-Vektorraum CG bildet offenbar noch auf eine zweite Art eine assoziative C-Algebra mit Einselement, nämlich zusammen mit der punktweisen Multiplikation ( f · g)(x) := f (x)g(x) (x ∈ G) von Funktionen f , g ∈ CG . 66
Bemerkung 9. Offenbar ist ∆ := {δx ; x ∈ G} eine zu G isomorfe Untergruppe von (CG , ∗). Viele Autoren identifizieren einfach δx mit x und schreiben f ∈ CG als f = ∑x∈G fx x mit fx = f (x) („formale Summe von Elementen aus G”) und das Faltungsprodukt f ∗ g als f g. Die Gruppenalgebra von G über C wird entsprechend mit CG bezeichnet. Wir schließen uns dieser Aufassung in der Vorlesung über endliche Körper nicht an – vor allem deswegen, weil im für uns interessanten Fall G = (F q , +) Verwechslungsgefahr mit der Multiplikation von Fq besteht.
3.2 Additive und multiplikative Charaktere von Fq Unter einem additiven Charakter von Fq (oder einem Additivcharakter von Fq ) versteht man einen Charakter der additiven Gruppe (Fq , +), also eine Abbildung ψ : Fq → C∗ mit ψ(x + y) = ψ(x)ψ(y) für alle x, y ∈ Fq . Unter einem multiplikativen Charakter von Fq versteht man entsprechend einen Charakter χ der multiplikativen Gruppe F ∗q , der durch die Vereinbarung χ(0) := 0 zu einer Abbildung χ : Fq → C fortgesetzt wird.3 \ Wenn q = p eine Primzahl ist, so ist (F p , +) zyklisch mit erzeugendem Charakter
e1 : F p → C, x = x · 1 7→ (e2πi/p )x = e2πix/p . Der Charakter e1 heißt kanonischer Additivcharakter von F p . Er ist durch e1 (1) = e2πi/p ausgezeichnet.4 Jeder additive Charakter von F p hat die Bauart ea : x = x · 1 7→ (e2πia/p )x = e2πiax/p = e1 (ax), läßt sich also in einfacher Weise durch e1 und die Multiplikation von F p beschreiben. Mit Hilfe der Spur TFq /F p übertragen wir diese Beobachtungen nun auf einen beliebigen endlichen Körper Fq = F pr . Satz 3.5. Es sei q = pr > 1 eine Primzahlpotenz. Die Abbildung e1 : Fq → C, x 7→ exp 2πi · TFq /F p (x)/p ist ein Additivcharakter von Fq . Zu jedem Additivcharakter ψ von Fq existiert genau ein a ∈ Fq mit ψ(x) = exp 2πi · TFq /F p (ax)/p = e1 (ax) für alle x ∈ Fq . Wir bezeichnen die Abbildung Fq → C, x 7→ exp 2πiTFq /F p (ax)/p wieder wie im Fall q = p mit ea . Beweis von Satz 3.5. Daß jede Abbildung ea ein Additivcharakter von Fq ist, folgt einfach aus der Additivität der Spur TFq /F p : Fq → F p und der Funktionalgleichung der 3 Beim
Einscharakter χ = 1 wird ausnahmsweise χ(0) := 1 vereinbart, weil das für einige Anwendungen praktischer ist und man dann auch nicht zwischen additivem und multiplikativem Einscharakter zu unterscheiden braucht. 4 Im Gegensatz dazu besitzt eine beliebige endliche abelsche Gruppe G zunächst keinen ausgezeichneten Charakter. Man kann freilich nach Wahl einer Basis B von G (einer Menge {g 1 , g2 , . . . , gr } wie b dadurch auszeichnen, daß er gi auf e2πi/ni abbildet. im Beweis von Satz 3.1) einen Charakter χB ∈ G Verschiedene Basen von G führen allerdings auch zu verschiedenen Charakteren χ B .
67
Exponentialfunktion. Ebenso erkennt man, daß die Zuordnung a 7→ e a einen Homomor\ phismus von (Fq , +) in (F q , +) definiert. Aus ea = 1 folgt offenbar TFq /F p (ax) = 0 für alle x ∈ Fq . Das impliziert a = 0 (vgl. Satz 1.16). Die Abbildung a 7→ ea ist also injektiv \ und wegen (Fq , +) = q dann auch surjektiv. c∗ der multiplikativen Charaktere Da die Gruppe F∗q zyklisch ist, ist auch die Gruppe F q von Fq zyklisch. Ist α ein primitives Element von Fq , so wird durch χ(αk ) := e2πik/(q−1) c∗ ein multiplikativer Charakter der Ordnung q − 1 von Fq erklärt, der also die Gruppe F q erzeugt. Da es in Fq kein „kanonisches primitives Element” gibt, gibt es – im Gegensatz zur Situation bei den additiven Charakteren – auch keinen kanonischen Multiplikativcharakter von Fq . Wenn q > 1 eine ungerade Primzahlpotenz ist, so existiert in der zyklischen Gruppe ∗ c der Ordnung q − 1 ≡ 0 (mod 2) genau ein Element η der Ordnung 2. Der Charakter F q η heißt der quadratische Charakter von Fq . Bezeichnen Q := {x2 ; x ∈ F∗q }, N := F∗q \ Q die Mengen der Quadrate bzw. Nichtquadrate von Fq , so gilt falls x ∈ Q, 1, η(x) = −1, falls x ∈ N, (3.11) 0, falls x = 0.
Zwischen dem quadratischen Charakter η von F p , p Primzahl, und dem LegendreSymbol p (vgl. Abschnitt A.6, Beispiel 38) besteht der Zusammenhang η(a + pZ) = a p , a ∈ Z. Aus jedem multiplikativen Charakter von F p entsteht durch „Liften” längs der kanonischen Projektion Z → F p , a 7→ a+ pZ (oder, wenn man so will, p-periodisches Fortsetzen auf Z) ein p-periodischer, multiplikativer Charakter von Z (Dirichlet-Charakter; vgl. Beispiel 38). Für den quadratischen Charakter von Fq besagt die Orthogonalitätsrelation ∑x∈Fq η(x) = ∑x∈F∗q η(x) = 0 (Gleichung (3.5) angewandt auf G := F∗q , χ := η, ψ := 1) gerade, daß es gleich viele Quadrate wie Nichtquadrate in Fq gibt. Unter einer Charaktersumme versteht man einen Ausdruck der Form ∑x∈S χ f (x) , wobei S eine Teilmenge von Fq , χ ein additiver oder multiplikativer Charakter von Fq und f (x) ∈ Fq [X ] ein Polynom ist. Die Charaktersumme heißt vollständig bzw. unvollständig je nachdem, ob S = Fq bzw. S $ Fq gilt. Charaktersummen sind – in gewissem 2πixn reeller Folgen (x , x , . . . , x ). Sinn – Spezialfälle von Exponentialsummen ∑N N 1 2 n=1 e Als Anwendung der Orthogonalitätsrelationen zeigen wir, daß sich Charaktersum men ∑x∈Fq χ f (x) in bestimmten Spezialfällen elementar auswerten lassen, und geben anschließend ein paar Beispiele für den Nutzen solcher Auswertungen. Satz 3.6. (i) Es seien q > 1 eine (gerade oder ungerade) Primzahlpotenz, a, b ∈ F q mit a 6= 0 und χ irgendein (additiver oder multiplikativer) Charakter von F q . Dann 68
gilt
( 0, falls χ 6= 1, ∑ χ(ax + b) = q, falls χ = 1. x∈Fq
(3.12)
(ii) Es seien q > 1 eine ungerade Primzahlpotenz, a, b, c ∈ Fq mit a 6= 0 und η der quadratische Charakter von Fq . Dann gilt ( −η(a) = ±1, falls b2 − 4ac 6= 0, 2 (3.13) η(ax + bx + c) = ∑ (q − 1)η(a) = ±(q − 1), falls b2 − 4ac = 0. x∈Fq
Beweis. Die Aussage (i) folgt aus Satz 3.4 (i) (mit ψ := 1) und der Tatsache, daß mit x auch ax + b ganz Fq genau einmal durchläuft. Für multiplikative Charaktere χ von Fq wurde die Konvention χ(0) = 0 im Fall χ 6= 1 und χ(0) = 1 im Fall χ = 1 gerade so getroffen, daß auch die Summe ∑x∈Fq χ(x) = χ(0) + ∑x∈F∗q χ(x) den gewünschten Wert 0 bzw. q hat. Zum Beweis von (ii) ergänzen wir zunächst quadratisch:
∑ η(ax2 + bx + c) = η(4a) ∑ η(4a2x2 + 4abx + 4ad) x∈Fq
x∈Fq
= η(a) = η(a)
∑η
x∈Fq
(2ax + b)2 − D
∑ η(y2 − D)
y∈Fq
mit D := b2 − 4ac, unter Beachtung von η = η−1 = η und η(4) = η(22 ) = 1. Im Fall D = 0 gilt ∑y∈Fq η(y2 − D) = ∑y∈F∗q η(y2 ) = q − 1. Andernfalls formen wir die Summe ∑y∈Fq η(y2 − D) unter Beachtung der Tatsache, daß zu jedem z ∈ Fq genau 1 + η(z) Elemente y ∈ Fq mit y2 = z existieren, weiter um: ∑ η(y2 − D) = ∑ 1 + η(z) η(z − D) y∈Fq
z∈Fq
=
∑ η(z − D) + ∑ η
z∈Fq
= 0+ = =
z∈Fq
∑∗ η
z∈Fq
z(z − D)
∑∗ η(1 − Dz−1)
z(z − D)
z∈Fq
∑ ∗ η(w) = −η(1) = −1.
w∈Fq w6=1
Damit ist Aussage (ii) auch im Fall D 6= 0 bewiesen. 69
(η(z2 ) = 1 für z 6= 0)
Beispiel 24. Es sei f (X ) = aX 2 +bX +c ∈ Fq [X ], a 6= 0, ein quadratisches Polynom. Wir wissen aus der Schule, daß f null, eine oder zwei Nullstellen in Fq hat je nachdem, ob für D := b2 − 4ac gilt D ∈ N, D = 0 bzw. D ∈ Q. Mit Hilfe des quadratischen Charakters von Fq können wir die Anzahl der Nullstellen von f in Fq kompakt als 1 + η(b2 − 4ac) angeben. Wir wollen nun zeigen, daß f (x) im Fall D = b2 − 4ac 6= 0 im wesentlichen gleich oft ein Quadrat wie ein Nichtquadrat ist.5 Offenbar gilt {x ∈ Fq ; f (x) ∈ Q} = 1 ∑ 1 + η f (x) − 1 + η(D) 2 x∈Fq 2 =
q − 1 − η(D) 1 + ∑ η f (x) , 2 2 x∈Fq
Nach Satz 3.6 (ii) gilt im vorliegenden Fall ∑x∈Fq η f (x) = ±1. Es folgt q − 1 q + 1 q − 3 {x ∈ Fq ; f (x) ∈ Q} ∈ , , , 2 2 2 n q−3 q−1 q+1 o und ebenso {x ∈ Fq ; f (x) ∈ N} ∈ 2 , 2 , 2 .
(3.14)
Beispiel 25. Es seien q > 1 eine ungerade Primzahlpotenz und d ∈ F q . Wir berechnen die Anzahl N(X 2 +Y 2 = d) der Lösungen (x, y) ∈ Fq × Fq der Gleichung X 2 +Y 2 = d; vgl. auch Blatt 1, Aufgabe 5. Dazu schreiben wir die Gleichung in der Form Y 2 = d − X 2 und sehen, daß für festes x ∈ Fq genau 1 + η(d − x2 ) Elemente y ∈ Fq mit x2 + y2 = d existieren. Demnach gilt N(X 2 +Y 2 = d) = ∑ 1 + η(d − x2 ) x∈Fq
= q+
∑ η(d − x2 ).
x∈Fq
= q + η(−1)
∑ η(x2 − d)
x∈Fq
( q − η(−1), falls d 6= 0, = q + (q − 1)η(−1), falls d = 0. Zusammen mit η(−1) =
(
1, falls q ≡ 1 (mod 4), −1, falls q ≡ 3 (mod 4),
5 Legt man auf F
(Satz 3.6 (ii))
(3.15)
q die Gleichverteilung zugrunde, so ist also f (x) jeweils mit Wahrscheinlichkeit ≈ 1/2 ein Quadrat bzw. Nichtquadrat.
70
(siehe etwa Aufgabe 5c) von Blatt 1) ergibt sich insgesamt N(X 2 +Y 2 = d) q ≡ 1 (mod 4) q ≡ 3 (mod 4) d 6= 0 q−1 q+1 d=0 2q − 1 1
(3.16)
3.3 Hadamard-Matrizen Unter einer Hadamard-Matrix der Ordnung n versteht man eine reelle n × n-Matrix H mit Einträgen hi j = ±1, deren Zeilen (und dann natürlich auch Spalten) paarweise orthogonal sind: HHT = HT H = In . Beispiele sind 1 1 1 1 1 −1 1 1 1 −1 . H0 = 1 , H1 = , H2 = 1 1 −1 1 −1 −1 1 −1 −1 1
Diese Reihe läßt sich fortsetzen zu einer Folge (Hr ) von Hadamard-Matrizen Hr der r r Ordnung 2r . Man überlegt sich nämlich leicht, daß mit Hr ∈ R2 ×2 auch die Matrix r+1 r+1 Hr Hr ∈ R2 ×2 (3.17) Hr+1 = Hr −Hr
eine Hadamard-Matrix ist (Sylvestersche Konstruktion). Aus einem etwas anderen Blickwinkel betrachtet handelt es sich bei der Matrix Hr um die Charaktermatrix einer elementarabelschen Gruppe der Ordnung 2r ; vgl. Übungsaufgabe ??.6 Aus jeder HadamardMatrix kann man durch Multiplikation gewisser Zeilen und Spalten mit −1, was die Orthogonalität offenbar nicht zerstört, eine Hadamard-Matrix herstellen, deren erste Zeile und Spalte aus lauter Einsen bestehen (sog. normalisierte Hadamard-Matrix). Sätzchen 3.7. Für die Ordnung n jeder Hadamard-Matrix gilt n = 1, n = 2 oder 4 | n.
Beweis. Im Fall n > 2 betrachten wir eine normalisierte Hadamard-Matrix H mit den ersten drei Zeilen h1 = (h1 j ) = (11 . . .1), h2 = (h2 j ) und h3 = (h3 j ). Wegen ∑nj=1 h2 j = h1 · h2 = 0 enthält h2 gleich viele Einträge 1 und −1; insbesondere ist n eine gerade Zahl. Dasselbe gilt auch für h3 (und alle übrigen Zeilen von H)). Es seien nun n1 , n2 , n3 , n4 die Anzahlen der Indizes j ∈ 1, n mit (h2 j , h3 j ) = (1, 1), (1, −1), (−1, 1) bzw. (−1, −1). Dann gilt n1 + n2 + n3 + n4 = n, n1 + n2 = n1 + n3 = n/2 und n1 − n2 − n3 + n4 = h2 · h3 = 0.
Daraus folgt n1 = n2 = n3 = n4 = n/4, also n = 4m mit m ∈ N. 6 Die
Orthogonalitätsrelationen für Charaktere (vgl. Satz 3.4) liefern damit einen zweiten Beweis für die Orthogonalität (bis auf einen Skalierungsfaktor) von Hr .
71
Ein herausragendes ungelöstes Problem der Kombinatorik ist der Beweis (oder Gegenbeweis) der folgenden Vermutung von H ADAMARD. Hadamardsche Vermutung. Zu jeder natürlichen, durch 4 teilbaren Zahl n existiert eine Hadamard-Matrix der Ordnung n. Satz 3.8. Es seien q ≡ 3 (mod 4) eine ungerade Primzahlpotenz, F q = {a1 , a2 , . . . , aq }. Dann ist die durch falls i = 0 oder j = 0, 1, (3.18) hi j := −1, falls i = j > 0, η(a j − ai ), sonst erklärte reelle Matrix H = (hi j )0≤i, j≤q eine Hadamard-Matrix der Ordnung q + 1.
Man spricht im Fall der durch (3.18) erklärten Matrix von einer Hadamard-Matrix vom Paley-Typ. PALEY (1933) hat eine weitere Konstruktion von Hadamard-Matrizen der Ordnung 2(q + 1) für Primzahlpotenzen q ≡ 1 (mod 4) angegeben; vgl. Übungsaufgabe ??. Gegenwärtig sind Hadamard-Matrizen aller Ordnungen n = 4m < 668 bekannt. Beweis von Satz 3.8. Für i ∈ 1, q gilt
q
h0 · hi = 1 · 1 + 1 · (−1) + ∑ η(a j − ai ) = j=1 j6=i
Für 1 ≤ i < j ≤ q gilt weiter hi · h j = hi0 h j0 + hii h ji + hi j h j j +
q
∑
k=1 k6=i, j
∑ η(x) = 0.
x∈F∗q
hik h jk
= 1 − η(ai − a j ) − η(a j − ai ) +
q
∑
k=1 k6=i, j
η(ak − ai )η(ak − a j )
= 1 − η(ai − a j ) − η(−1)η(ai − a j ) + = 1 − η(ai − a j ) + η(ai − a j ) + = 0,
∑η
x∈Fq
∑
x∈Fq \{ai ,a j }
η x − ai )(x − a j )
x − ai )(x − a j )
vorletzteres wegen η(−1) = −1 (hier braucht man q ≡ 3 (mod 4)), η(a i − ai ) = η(a j − a j ) = 0 und letzteres wegen Satz 3.6 (ii) (mit a := 1, b2 − 4ac = (ai − a j )2 6= 0). 72
Beispiel 26. Wegen 11 ≡ 3 (mod 4) existiert eine Hadamard-Matrix H der Ordnung 12 vom Paley-Typ. Mit der Anordnung F11 = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10} (d. h. ai = i − 1) ergibt sich wegen ( 1 für x = 1, 3, 4, 5, 9, η(x) = −1 für x = 2, 6, 7, 8, 10 die Hadamard-Matrix 1 1 1 1 −1 1 1 −1 −1 1 1 −1 1 −1 1 1 −1 −1 1 −1 −1 1 1 −1 1 1 1 1 1 1 1 −1 1 1 1 −1
1 −1 1 −1 −1 1 −1 −1 −1 1 1 1
1 1 −1 1 −1 −1 1 −1 −1 −1 1 1
1 1 1 −1 1 −1 −1 1 −1 −1 −1 1
1 1 1 1 −1 1 −1 −1 1 −1 −1 −1
1 −1 1 1 1 −1 1 −1 −1 1 −1 −1
1 −1 −1 1 1 1 −1 1 −1 −1 1 −1
1 −1 −1 −1 1 1 1 −1 1 −1 −1 1
1 1 −1 −1 −1 1 1 1 −1 1 −1 −1
1 −1 1 −1 −1 −1 1 1 1 −1 1 −1
.
(3.19)
3.4 Fouriertransformation und MacWilliams-Identität In diesem Abschnitt führen wir zunächst die Fouriertransformation auf F q ein, die ähnliche Eigenschaften wie die Ihnen aus der Analysis bekannte kontinuierliche Fouriertransformation hat. Anschließend zeigen wir, wie man einen der herausragenden Sätze der Codierungstheorie, die sog. MacWilliams-Identität, als Anwendung der Fouriertransformation und damit der Theorie der additiven Charaktere von F q beweisen kann. \ Die kanonische Identifikation a 7→ ea von (Fq , +) und (F q , +) ermöglicht es,die Fouriertransformation von (Fq , +) als Endomorphismus von L2 Fq = CFq , h , i zu erklären:
Definition 8 (Fouriertransformation). Unter der Fouriertransformation von F q (im engeren Sinn) versteht man die Abbildung F : CFq → CFq , f 7→ fb, definiert durch fb(x) := h f , ex i =
∑
y∈Fq
f (y)ex (y) =
∑
y∈Fq
f (y)e−2πi·TFq /F p (xy)/p
für
x ∈ Fq .
(3.20)
Satz 3.9. (i) Für gi = q · h f , gi, d. h. F ist eine Isometrie f , g : Fq → C gilt hF f , F √ von L2 Fq mit dem Skalierungsfaktor q.7 7 Es
seid daran erinnert, daß Länge von f und Abstand von f , g durch k f k := k f − gk erklärt sind.
73
p
h f , f i bzw. d( f , g) :=
(ii) Für f : Fq → C und x ∈ Fq gilt (F 2 f )(x) = q · f (−x).
(iii) Für f , g : Fq → C gilt F ( f ∗ g) = (F f )(F g), d. h. F ist ein Isomorphismus von der Gruppenalgebra (CFq , ∗) auf die Funktionenalgebra (CFq , ·).
Beweis. Für Deltafunktionen δa , a ∈ Fq , gilt δba (x) = ex (a) = e1 (−ax) = e−a (x) für x ∈ Fq , also F δa = e−a . Die Aussage (i) folgt daher aus der C-Linearität von F und ( ( 1, falls a = b, q, falls a = b, hδa , δb i = und hea , eb i = 0, falls a 6= b, 0, falls a 6= b; vgl. (3.5). Aussage (ii) folgt aus (F 2 f )(x) = hF f , ex i = hF f , F δ−x i = qh f , δ−x i = q · f (−x). Schließlich gilt ! ! b f (x) · gb(x) = h f , ex ihg, ex i = ∑ f (y)ex (y) ∑ g(z)ex(z) z∈Fq
y∈Fq
=
= =
∑
y,z∈Fq
∑
w∈Fq
f (y)g(z)ex (y + z)
∑
y,z∈Fq y+z=w
f (y)g(z) ex (w)
∑ ( f ∗ g)(w) · ex(w)
w∈Fq
= h f ∗ g, ex i = fd ∗ g(x),
womit auch die dritte Aussage bewiesen ist.
2 Ein Spezialfall von Satz 3.9 (i) ist die Parseval-Identität ∑x∈Fq fb(x) = q ∑x∈Fq | f (x)|2 .
Satz 3.9 (ii) läßt sich auch als (F −1 f )(x) = q−1 (F f )(−x) aussprechen und liefert die Rekonstruktionsformel f (x) = q−1 h fb, e−x i = q−1 ∑y∈Fq fb(y)ex (y) für eine Funktion f : Fq → C mit gegebenem fb: Fq → C. Satz 3.9 (iii) schließlich zeigt, daß die Gruppenalgebra (CFq , ∗) eine Darstellung als direkte Summe von 1-dimensionalen Idealen Ix ∼ = C, x ∈ Fq , besitzt. Diese Aussage gilt allgemeiner für jeden Körper F (anstelle von C), der eine primitive p-te Einheitswurzel enthält; vgl. Aufgabe ??. Unter dem Gewichtszeiger eines Codes C ⊆ Fnq versteht man das Polynom AC (Z) :=
∑ Z wHam (c) ∈ C[Z].
c∈C
Offenbar gilt AC (Z) = ∑ni=0 Ai Z i ∈ C[Z] mit Ai := c ∈ C; wHam (c) = i . 74
(3.21)
Satz 3.10 (MacWilliams-Identität). Für die Gewichtszeiger AC (Z) und AC⊥ (Z) eines linearen [n, k]-Codes C ⊆ Fnq und seines dualen [n, n − k]-Codes C ⊥ gilt n 1 1−Z AC⊥ (Z) = k 1 + (q − 1)Z A . (3.22) 1 + (q − 1)Z q
n n Der Beweis wird mit Hilfe der Fouriertransformation F : C[Z]Fq → C[Z]Fq , f 7→ fb geführt, die in Analogie zu (3.20) durch
fb(x) :=
∑n f (y)e−2πiTFq/Fp (x·y)/p
y∈Fq
für
f : Fnq → C[Z]
und x ∈ Fnq
(3.23)
erklärt wird. In L2 Fnq gilt wieder fb(x) = h f , ex i mit ex : Fqn → C, y 7→ e2πiTFq /F p (x·y)/p , \ n , +) die Bauart χ = e mit und es läßt sich leicht zeigen, daß jeder Charakter χ ∈ (F x q n einem eindeutig bestimmten Wort x ∈ Fq hat. Alle Aussagen aus Satz 3.9 gelten daher sinngemäß auch für Funktionen f , g : Fnq → C. Wenn man die komplexe Konjugation auf C[Z] koeffizientenweise (d. h. ∑di=0 ai Z i 7→ ∑di=0 ai Z i ) erklärt,8 so gelten alle Aussagen des Satzes schließlich auch für C[Z]-wertige Funktionen f , g auf Fnq . Das folgende Lemma ist für den Beweis der MacWilliams-Identität entscheidend. Zur Formulierung benötigen wir den Begriff der charakteristischen Funktion δ S : Fnq → C einer Teilmenge S ⊆ Fnq , die durch ( 1, falls x ∈ S, (3.24) δS (x) := 0, falls x ∈ Fnq \ S, erklärt ist.
Lemma 3.11. Es sei C ⊆ Fnq ein linearer [n, k]-Code.
(i) Für die charakteristische Funktion δC von C gilt F (δC ) = qk δC⊥ .
(ii) Für jede Funktion f : Fnq → C[Z] und jeden linearen [n, k]-Code C ⊆ Fnq gilt
∑
f (x) =
x∈C⊥
Beweis. Für x ∈ Fnq ist
8 Die
1 ∑ fb(x). qk x∈C
( qk , falls ex |C = 1, δc C (x) = ∑ δC (y)ex (−y) = ∑ ex (−y) = 0, falls ex |C 6= 1. y∈C y∈Fnq
(3.25)
durch h f , gi = ∑x∈Fnq f (x)g(x) erklärte Sesquilinearform ist dann natürlich keine hermitesche Form im strengen Sinne mehr.
75
Die Restriktion auf C des Charakters ex ist genau dann der Einscharakter von C, wenn TFq /F p (w) = 0 für alle w ∈ W := {x · y; y ∈ C}. Da C ⊆ Fnq linear ist, gilt entweder W = / C ⊥ ). Im zweiten Fall gilt wegen TFq /F p 6= 0 {0} (falls x ∈ C ⊥ ) oder W = Fq (falls x ∈ offenbar ex |C 6= 1. Das beweist die Aussage (i). Zum Beweis von (ii) verwenden wir (i) und Satz 3.9 (i):
∑
x∈C⊥
f (x) = h f , δC⊥ i =
1 bd qn−k b 1 h f , δ i = h f , δC i = k ∑ fb(x), ⊥ C n n q q q x∈C
n−k δ n−k δ . vorletzteres wegen δd C C⊥ = q (C⊥ )⊥ = q
Beweis von Satz 3.10. Wir wenden Lemma 3.11 auf die Funktion f : F nq → C[Z], x 7→ Z wHam (x) an. Die linke Seite von (3.25) lautet in diesem Fall ∑x∈C⊥ Z wHam (x) = AC⊥ (Z). Weiter gilt fb(x) =
=
=
∑n Z wHam (y)ex (−y)
y∈Fq
∑
y1 ,...,yn ∈Fq
∑
y1 ∈Fq
Z wHam (y1 )+···+wHam (yn ) e1 (−x1 y1 ) · · · e1 (−xn yn )
Z wHam (y1 ) e1 (−x1 y1 ) · · ·
= 1 + (q − 1)Z letzteres wegen
∑
y∈Fq
!
n−wHam (x)
Z wHam (y) e1 (−xy) =
(
∑
yn ∈Fq
Z wHam (yn ) e1 (−xn yn )
(1 − Z)wHam (x) ,
∑y∈Fq Z wHam (y) = 1 + (q − 1)Z, falls x = 0, falls x 6= 0. 1 + Z ∑y0 ∈F∗q e1 (y0 ) = 1 − Z,
Es folgt n−wHam (x) 1 1 + (q − 1)Z (1 − Z)wHam (x) ∑ k q x∈C wHam (x) n 1−Z 1 = k 1 + (q − 1)Z ∑ q x∈C 1 + (q − 1)Z n 1 1−Z = k 1 + (q − 1)Z A 1 + (q − 1)Z q
AC⊥ (Z) =
wie behauptet.
!
76
Beispiel 27 (Gewichtszeiger der Hamming-Codes). Der Simplex-Code Sim(r, 2) ist ein äquidistanter linearer [2r − 1, r, 2r−1 ]-Code über F2 , hat also den Gewichtszeiger r−1 ASim(r,2) (Z) = 1 + (2r − 1)Z 2 . Mit der MacWilliams-Identität läßt sich daraus der 2r −1 Gewichtszeiger AHam(r,2) (Z) = ∑i=0 Ai Z i von Ham(r, 2) = Sim(r, 2)⊥ berechnen: 1−Z 1 2r −1 · ASim(r,2) AHam(r,2) (Z) = r (1 + Z) 2 1+Z r r−1 r−1 1 = r (1 + Z)2 −1 + (2r − 1)(1 + Z)2 −1 (1 − Z)2 2 1 r r−1 = r (1 + Z)2 −1 + (2r − 1)(1 − Z 2 )2 −1 (1 − Z) 2
oder explizit
r−1 r 2 −1 2 −1 1 i r , + (−1) (2 − 1) A2i = r i 2i 2 r r−1 1 2 −1 2 −1 i+1 r A2i+1 = r + (−1) (2 − 1) 2 2i + 1 i für 0 ≤ i ≤ 2r−1 − 1.
Bemerkung 10. Die MacWilliams-Identität kann mit Bi := c ∈ C ⊥ ; wHam (c) = i in der Form n−ν ν n− j n− j k−ν (3.26) ∑ ν A j = q ∑ n − ν B j für 0 ≤ ν ≤ n j=0 j=0
geschrieben werden und ermöglicht es in vielen interessanten Fällen, den Gewichtszeiger eines linearen Codes C (und seines dualen Codes C ⊥ ) auszurechnen. Ferner ist die MacWilliams-Identität häufig das einzige bekannte Hilfsmittel, um die Nichtexistenz linearer Codes mit speziellen Parametern zu zeigen.
3.5 Gaußsche und Jacobische Summen Definition 9. Unter einer Gaußschen Summe von Fq versteht man einen Ausdruck der Form G(χ, ψ) = ∑ χ(x)ψ(x), (3.27) x∈Fq
wobei χ ein multiplikativer Charakter und ψ ein additiver Charakter von F q sind. Da jeder additive Charakter ψ von Fq die Bauart ψ = ea mit einem eindeutig bestimmten a ∈ Fq hat, ist es sinnvoll, die Abkürzungen Ga (χ) := G(χ, ea ) und G(χ) := 77
G1 (χ) := G(χ, e1 ) zu benützen. Wegen Ga (χ) =
∑ χ(x)ea (x) = ∑ χ(x)e1 (ax) = ∑ χ(a−1y)e1 (y) = χ(a) ∑ χ(y)e1(y)
x∈Fq
x∈Fq
y∈Fq
y∈Fq
= χ(a) · G(χ) für a ∈
F∗q
genügt es in der Regel, die speziellen Gaußschen Summen G(χ) =
∑ χ(x)e2πiTFq/Fp (x)/p ,
c∗ , χ∈F q
x∈Fq
(3.28) (3.29)
zu betrachten. Offenbar gilt G(1, 1) = q, G(χ, 1) = G(1, ψ) = 0, falls χ 6= 1, ψ 6= 1. Wenn χ und √ ψ beide nichttrivial sind, so hat G(χ, ψ) stets den Absolutbetrag q, wie der folgende, fundamentale Satz zeigt. Satz 3.12. Für jeden multiplikativen Charakter χ 6= 1 von Fq gilt |G(χ)|2 = q.
(3.30)
Beweis. Wir benützen, daß die Gaußschen Summen Ga (χ), a ∈ Fq , die Fourierkoeffizienten des Charakters χ sind: Ga (χ) =
∑ χ(x)e−a(x) = hχ, e−ai = bχ(−a).
x∈Fq
Gleichung (3.28) zeigt |Ga (χ)| = |G(χ)| für alle a ∈ F∗q . Außerdem gilt G0 (χ) = 0. Daher liefert die Parseval-Identität (q − 1) |G(χ)|2 =
∑
a∈Fq
|Ga (χ)|2 =
∑
a∈Fq
Der Satz ist damit bewiesen.
|b χ(a)|2 = q
∑
a∈Fq
|χ(a)|2 = q(q − 1).
Wir stellen einige weitere, einfach zu beweisende Eigenschaften Gaußscher Summen zusammen: Sätzchen 3.13. Für Gaußsche Summen in Fq , q = pr , gilt (i) G (χ) = χ(−1)G(χ); (ii) G(χ)G (χ) = χ(−1)q, falls χ 6= 1;
(iii) G(χ p ) = G(χ).
78
Beweis. Übungsaufgabe 36 auf Blatt 6. Wenn q > 1 eine ungerade Primzahlpotenz ist, so folgt aus Sätzchen 3.13 (ii) insbesondere, daß die Gaußsche Summe G(η) zum quadratischen Charakter η von F q der quadratischen Gleichung G(η)2 = η(−1)q genügt. Zusammen mit (3.15) folgt also ( √ ± q, falls q ≡ 1 (mod 4), (3.31) G(η) = √ ±i q, falls q ≡ 3 (mod 4). Satz 3.14. Es sei q = ps Potenz einer ungeraden Primzahl p. Dann gilt ( √ (−1)s−1 q, falls p ≡ 1 (mod 4), G(η) = √ s−1 s (−1) i q, falls p ≡ 3 (mod 4).
(3.32)
Der Beweis von Satz 3.14 ist schwierig. Er beruht zum einen auf der Bestimmung des Vorzeichens der Gaußschen Summen im Fall q = p, die Carl Friedrich Gauß mehr als 4 Jahre seines Lebens (mehr oder weniger) in Anspruch nahm, zum anderen auf einer Formel von H ELMUT H ASSE und H AROLD DAVENPORT für Gaußsche Summen von Erweiterungskörpern von Fq , die durch „Liften” Gaußscher Summen von Fq enstehen (vgl. den später folgenden Satz ??). Im Fall q = p besagt Satz 3.32, daß (√ p−1 p, falls p ≡ 1 (mod 4), x 2πix/p G(η) = ∑ (3.33) e = √ i p, falls p ≡ 3 (mod 4). x=0 p
Wegen
G(η) =
∑ e2πix/p − ∑ e2πix/p = ∑ e2πix/p − x∈N
x∈Q
= 1+2 ∑ e
2πix/p
x∈Q
x∈Q
= 1+
p−1
∑e
−1 −
∑ e2πix/p
x∈Q
!
(3.34)
2πix2 /p
x=0
p−1
(beachte ∑x=0 e2πix/p = 0) ist in diesem Fall G(η) gerade die Spur der in Aufgabe 32 betrachteten Matrix S p = (e2πixy/p )0≤x,y≤p−1 . Gauß’ Problem der Vorzeichenbestimmung von G(η) im Fall q = p ist daher Teil von Aufgabe 32 b). Die Idee, dazu die Matrix S p zu betrachten, geht auf I SSAI S CHUR zurück. Satz 3.15. Es seien q > 1 eine Primzahlpotenz und a, b, c ∈ Fq mit a 6= 0. (i) Wenn q ungerade ist, so gilt
∑ e1(ax
x∈Fq
2
+ bx + c) = e1
∆ − η(a)G(η) 4a
wobei ∆ := b2 − 4ac und η der quadratische Charakter von Fq ist. 79
(3.35)
(ii) Wenn q gerade ist, so gilt ( e1 (c)q, falls a = b2 , 2 e (ax + bx + c) = ∑ 1 0, falls a 6= b2 . x∈Fq
(3.36)
Beweis. (i) Mit quadratischer Ergänzung ergibt sich ! 2 ∆ b ∑ e1 (ax2 + bx + c) = ∑ e1 a x + 2a − 4a x∈Fq x∈Fq ∆ = e1 − ∑ e1(ay2 ). 4a y∈F q
Wir kehren nun die Rechnung (3.34) gewissermaßen um und erhalten ∑ e1 (ay2) = ∑ e1 (az) {y ∈ Fq ; y2 = z} y∈Fq
z∈Fq
=
∑
z∈Fq
1 + η(z) e1 (az)
∑ e1(az)
=
z∈Fq
!
+ Ga (η)
= 0 + η(a)G(η) = η(a)G(η), womit Teil (i) bewiesen ist. (ii) Im Fall q = 2s gilt TF2s /F2 (ax2 + bx) = TF2s /F2 (ax2 ) + TF2s /F2 (bx)
= TF2s /F2 (ax2 ) + TF2s /F2 (bx)2 = TF2s /F2 (a + b2 )x2 .
∑ e1 (ax2 + bx + c) = e1 (c) ∑
x∈Fq
x∈F2s
= e1 (c) =
(
∑
x∈F2s
e1 (ax2 + bx)
e1 (a + b2 )x2
e1 (c) ∑x∈F2s e1 (0) = e1 (c)q, falls a = b2 , falls a 6= b2 , e1 (c) ∑y∈F2s e1 (y) = 0,
wobei im zweiten Fall die Bijektivität der Frobenius-Abbildung x 7→ x2 verwendet wurde. 80
Definition 10. Unter einer Jacobischen Summe von Fq versteht man einen Ausdruck der Form Ja (χ1 , χ2 , . . . , χk ) : = =
∑
x∈Fkq x1 +x2 +···+xk =a
∑
x∈Fqk−1
χ1 (x1 )χ2 (x2 ) · · ·χk (xk )
χ1 (x1 ) · · · χk−1 (xk−1 )χk (a − x1 − x2 − · · · − xk−1 )),
(3.37)
wobei χ1 , χ2 , . . ., χk multiplikative Charaktere in Fq sind und a ∈ Fq .
In Analogie zu den Gaußschen Summen gilt Ja (1, 1, . . ., 1) = qk−1 und Ja (χ1 , χ2 , . . ., χk ) = 0, wenn mindestens einer, aber nicht alle der Charaktere χ1 , χ2 , . . ., χk der Einscharakter sind: Zum Beweis der zweiten Aussage beachte man, daß sich J a (χ1 , χ2 , . . . , χk ) im Fall χk = 1 in die Summen ∑x∈Fq χi (x), 1 ≤ i ≤ k − 1, faktorisieren läßt, von denen mindestens eine geich Null ist. Mit Hilfe der Substitution xi = ayi in (3.37) ergibt sich leicht Ja (χ1 , χ2 , . . ., χk ) = (χ1 χ2 . . . χk )(a) · J1 (χ1 , χ2 , . . . , χk ) für a ∈ F∗q . Daher betrachten wir nur noch JacobiSummen der beiden Typen J0 und J := J1 und setzen zudem voraus, daß die Charaktere χ1 , . . . , χk alle nichttrivial (d. h. 6= 1) sind. Im Fall k = 1 gilt offenbar J0 (χ1 ) = 0, J(χ1 ) = 1. Satz 3.16. Es seien χ1 , χ2 , · · · , χk (k ≥ 2) nichttriviale multiplikative Charaktere von Fq . (i) Im Fall χ1 χ2 · · · χk 6= 1 gilt
J0 (χ1 , χ2 , · · · , χk ) = 0, G(χ1 )G(χ2 ) · · · G(χk ) J(χ1 , χ2 , · · · , χk ) = . G(χ1 χ2 · · · χk )
(3.38) (3.39)
(ii) Im Fall χ1 χ2 · · · χk = 1 gilt J0 (χ1 , χ2 , · · · , χk ) = (q − 1)χk (−1) · J(χ1, χ2 , · · · , χk−1 ), J(χ1 , χ2 , · · · , χk ) = −χk (−1) · J(χ1, χ2 , · · · , χk−1 ).
81
(3.40) (3.41)
Beweis. Wegen χk (0) = 0 gilt J0 (χ1 , χ2 , · · · , χk ) = = =
∑∗
a∈Fq
∑
a∈F∗q
∑
x∈Fqk−1 x1 +···+xk−1 =−a
χ1 (x1 ) · · · χk−1 (xk−1 ) χk (a)
J−a (χ1 , · · · , χk−1 )χk (a)
∑∗ Ja(χ1, · · · , χk−1)χk (−a)
a∈Fq
= χk (−1) · J(χ1 , · · · , χk−1 )
∑∗(χ1χ2 . . . χk )(a)
a∈Fq
Daraus folgen zusammen mit ( 0, falls χ1 χ2 · · · χk 6= 1, ∑∗(χ1χ2 . . . χk )(a) = q − 1, falls χ1χ2 · · · χ = 1, k a∈Fq die beiden J0 (χ1 , χ2 , · · · , χk ) betreffenden Aussagen in (i) bzw. (ii). Weiter gilt. ! !
G(χ1 )G(χ2 ) · · · G(χk ) =
=
∑
x1 ∈Fq
=
∑
xk ∈Fq
χk (xk )e1 (xk )
∑
χ1 (x1 )χ2 (x2 ) · · · χk (xk )e1 (x1 + x2 + · · · + xk )
∑
∑
Ja (χ1 , χ2 , · · · , χk )e1 (a)
x∈Fkq
=
χ1 (x1 )e1 (x1 ) · · ·
a∈Fq
a∈Fq
∑
x∈Fkq x1 +x2 +···+xk =a
χ1 (x1 )χ2 (x2 ) · · · χk (xk ) e1 (a)
= J0 (χ1 , χ2 , · · · , χk ) + J(χ1 , χ2 , · · · , χk ) ·
∑ (χ1χ2 · · · χk )(a)e1(a).
a∈F∗q
Im Fall χ1 χ2 · · · χk 6= 1 ergibt sich daraus zusammen mit der schon bewiesenen Aussage J0 (χ1 , χ2 , · · · , χk ) = 0 und ∑a∈F∗q (χ1 χ2 · · · χk )(a)e1 (a) = G(χ1 χ2 · · · χk ) die Formel für J(χ1 , χ2 , · · · , χk ) in (i). Im Fall χ1 χ2 · · · χk = 1 ergibt sich wegen ∑a∈F∗q e1 (a) = −e1 (0) = −1 stattdessen G(χ1 )G(χ2 ) · · · G(χk ) = J0 (χ1 , χ2 , · · · , χk ) − J(χ1 , χ2 , · · · , χk ) = (q − 1)χk (−1) · J(χ1 , χ2 , · · · , χk−1 ) − J(χ1 , χ2 , · · · , χk ). 82
Wegen χ1 χ2 · · · χk−1 = χ−1 k 6= 1 gilt andererseits
G(χ1 )G(χ2 ) · · · G(χk ) = G(χ1 )G(χ2 ) . . .G(χk−1 ) G(χk ) = J(χ1 , . . . , χk−1 )G(χ1 χ2 · · · χk−1 )G(χk ) = J(χ1 , . . . , χk−1 )G(χ−1 k )G(χk ) = J(χ1 , . . . , χk−1 ) · χk (−1)q.
(Aufgabe 36b))
Beides zusammen impliziert die Reduktionsformel für J(χ1 , χ2 , · · · , χk ) in (ii). Der Satz ist damit vollständig bewiesen. Korollar 3.17. Es seien χ1 , χ2 , · · · , χk (k ≥ 2) nichttriviale multiplikative Charaktere von Fq . Dann gilt ( 0, falls χ1 χ2 · · · χk 6= 1, |J0 (χ1 , χ2 , · · · , χk )| = (3.42) (k−2)/2 (q − 1)q , falls χ1 χ2 · · · χk = 1, ( q(k−1)/2 , falls χ1 χ2 · · · χk 6= 1, (3.43) |J(χ1 , χ2 , · · · , χk )| = q(k−2)/2 , falls χ1 χ2 · · · χk = 1.
Beweis. Im Fall χ1 χ2 · · · χk 6= 1 gilt nach Satz 3.16 (i) und Satz ?? √ k G(χ1 )G(χ2 ) · · ·G(χk ) = √q = q(k−1)/2 . |J(χ1 , χ2 , · · · , χk )| = G(χ1 χ2 · · · χk ) q
Die Aussagen im Fall χ1 χ2 · · · χk = 1 folgen hieraus und aus den Reduktionsformeln in Satz 3.16 (ii). Zu beachten ist dabei nur, daß wegen χk 6= 1 und χ1 χ2 · · · χk = 1 glücklicherweise χ1 χ2 · · · χk−1 6= 1 gilt.
Der folgende, in der Vorlesung nicht behandelte Satz verallgemeinert die Gleichung G(η)2 = η(−1)q für die Gaußsche Summe des quadratischen Charakters von F q auf multiplikative Charaktere höherer Ordnungen. Satz 3.18. Es sei χ ein multiplikativer Charakter der Ordnung d ≥ 2 von F q . Dann gilt G(χ)d = χ(−1)q · J(χ, χ)J(χ, χ2) · · · J(χ, χd−2 ).
Beweis. Nach Satz 3.16 (i) gilt
J(χ, χ j ) =
G(χ)G(χ j ) G(χ j+1 )
für
1 ≤ j ≤ d − 2.
Zusammenmultiplizieren dieser Gleichungen liefert d−2
∏ J(χ, χ j ) = j=1
G(χ)d G(χ)d−1 G(χ)d = = G(χd−1 ) G(χ)G(χ−1 ) χ(−1)q
wie behauptet. 83
(3.44)
Jacobische Summen sind ein mächtiges Werkzeug zur Behandlung spezieller Gleichungen über endlichen Körpern. Später werden wir mit ihrer Hilfe die Anzahl der Nullstellen quadratischer Formen und die Lösungsanzahlen von sog. Diagonalgleichungen explizit darstellen. Im Augenblick betrachten wir nur ein kleines (aber feines!) Beispiel. Beispiel 28. Wir untersuchen die Anzahl N = N(x3 + y3 = 1) der Lösungen (x, y) ∈ F p × F p der Gleichung x3 + y3 = 1 für Primzahlen p ≡ 1 (mod 3).9 Es sei χ ein multiplikativer Charakter der Ordnung 3 von F p . Für a ∈ F p gilt ∗ 3 3, falls ∃b ∈ F p mit a = b , 1 + χ(a) + χ2 (a) = 1, falls a = 0, 0 sonst. Die Anzahl N(x3 = a) der Lösungen der Gleichung x3 = a in F p besitzt daher die Darstellung N(x3 = a) = 1 + χ(a) + χ2 (a); vgl. auch die Lösung zu Aufgabe 37 von Blatt 6. Damit ergibt sich N= =
= =
∑
a,b∈F p a+b=1
N(x3 = a) · N(y3 = b)
∑
a,b∈F p a+b=1
1 + χ(a) + χ2 (a) 1 + χ(b) + χ2 (b)
∑
∑
J(χ , χ )
0≤i, j≤2
0≤i, j≤2
∑
a,b∈F p a+b=1 i j
χi (a)χ j (b)
= p − 2 + J(χ, χ) + J(χ, χ). wegen J(1, 1) = p, J(1, χ) = J(1, χ2 ) = 0, J(χ, χ2 ) = −χ(−1) = −(−1)(p−1)/3 = −1 und J(χ2 , χ2 ) = J(χ, χ) = J(χ, χ). √ Da J(χ, χ) eine Summe von dritten Einheitswurzeln 1, ω := e2πi/3 = 12 (−1 + i 3), √ ω2 = ω = −1 − ω = 12 (−1 − i 3) ist, existieren a, b ∈ Z mit J(χ, χ) = a + bω = Nach Korollar 3.17 gilt |J(χ, χ)| =
√
p, also
(2a − b)2 + 3b2 = |2J(χ, χ)|2 = 4p
9 Das
2a − b b √ + · i 3. 2 2
und N = p − 2 + A mit A := 2a − b.
entsprechende Problem für Primzahlen p ≡ 2 (mod 3) ist trivial.
84
Es gilt gcd(a, p) = gcd(b, p) = gcd(A, p) = 1.10 Die erste Gleichung zeigt also, daß −3 für Primzahlen p ≡ 1 (mod 3) stets ein Quadrat modulo p ist.11 Nun benützen wir ein wenig die Arithmetik des Ringes Z[ω]. Der Ring Z[ω] ist faktoriell und besitzt genau 6 Einheiten, nämlich ±1, ±ω, ±ω2 . Die allgemeine Theorie sagt, daß für Primzahlen p ≡ 1 (mod 3) die Gleichung xx = p in Z[ω] genau 12 Lösungen besitzt, von denen sich je 6 nur um eine Einheit unterscheiden. Daher bilden die 6 miteinander assozierten Elemente ±(a + bω), ±ω(a + bω) = ∓ b + (b − a)ω , ±ω2 (a + bω) = ∓(a − b + aω) zusammen mit ihren Konjugierten ∓(b − a + bω), ∓ a + (a − b)ω , ±(b + aω) die Gesamtheit der Lösungen von xx = p. Die miteinander assoziierten Lösungen lassen sich modulo 3 unterscheiden, da jede Lösung x = a 0 + b0 ω zu genau einer der Zahlen ±1, ±ω, ±ω2 = ∓(1 + ω) modulo 3 kongruent ist, d. h. (a0 , b0 ) ≡ (±1, 0), (0, ±1) bzw. ±(1, 1) mod 3. √ Jeder Lösung x = a 0 + b0 ω von xx = p 0 0 0 entspricht vermöge y = 2x = (2a − b ) + b · i 3 genau eine Lösung der Gleichung yy = 4p, für die das Paar (2a0 − b0 , b0 ) dann zu (∓1, 0), ±(−1, 1) bzw. ±(1, 1) modulo 3 kongruent ist. Satz 3.19. Es sei p ≡ 1 (mod 3) eine Primzahl. Dann existieren eindeutig bestimmte Zahlen A, B ∈ Z mit 4p = A2 + 27B2 , A ≡ 1 (mod 3), B > 0, und es gilt N(x3 + y3 = 1) = p − 2 + A.
(3.45)
Beweis. Gemäß den Vorbemerkungen müssen wir zeigen, daß J(χ, χ) = a+bω ≡ −1 mod 3Z[ω], d. h. a ≡ −1 (mod 3) und b ≡ 0 (mod 3). Denn dann gilt für A := 2a − b = J(χ, χ) + J(χ, χ), B := |b/3| offenbar A ≡ 1 (mod 3), B > 0 und A2 + 27B2 = (2a − b)2 + 3b2 = 4p, und das Paar (A, B) ∈ Z2 ist das einzige Paar mit diesen Eigenschaften. Dazu betrachten wir die Darstellung J(χ, χ) = ∑ χ x(1 − x) x∈F p \{0,1}
und überlegen uns, welche Summanden mehrfach auftreten. Für y := 1 − x gilt natürlich χ y(1 − y) = χ x(1 − x) . Dasselbe gilt aber auch für y := x−1 wegen χ x−1 (1 − x−1 ) = χ x−3 x(x − 1) = χ(−1)χ(x−3 )χ x(1 − x) = χ x(1 − x)
und dann natürlich auch für y := 1/(1 − x). Die gebrochen-lineare Transformation x 7→ 1/(1 − x) hat, wie man leicht nachprüft, die Ordnung 3. Die Menge F p \ {0, 1} zerfällt daher unter der Operation der Gruppe hx 7→ 1/(1 − x)i in Bahnen der Länge 3, auf denen 10 An
den Gleichungen a2 − ab + b2 = p, A2 + 3b2 = 4p erkennt man, daß p entweder keine oder alle drei Zahlen a, b, A teilt. Im zweiten Fall ergibt sich aber der Widerspruch p 2 | p. 11 Daraus folgt zusammen mit Aufgabe 5c) von Blatt 1, daß 3 ∈ Q für Primzahlen p ≡ 1 (mod 12) und 3 ∈ N für Primzahlen p ≡ 7 (mod 12). Allgemeiner kann man zeigen, daß 3 ∈ Q für p ≡ ±1 (mod 12) und 3 ∈ N für p ≡ ±7 (mod 12).
85
χ x(1 − x) konstant ist und die daher nichts zu J(χ, χ) mod 3 beitragen, sowie evtl. einige Fixpunkte. Die Bedingung x = 1/(1 − x) führt auf die quadratische Gleichung x2 − x + 1 = 0, deren Diskriminante −3 ein Quadrat in F p ist und die daher genau 2 Lösungen in F p besitzt.12 Es gibt also genau 2 Fixpunkte x1 , x2 von x 7→ 1/(1 − x). Wegen x1 (1 − x1 ) = x2 (1 − x2 ) = 1 ergibt sich insgesamt J(χ, χ) = χ x1 (1 − x1 ) + χ x2 (1 − x2 ) ≡ 1 + 1 ≡ 2 (mod 3Z[ω]) wie behauptet.
√ Aus Satz 3.19 folgt wegen |A| < 2 p stets die Einschachtelung √ √ p − 2 − 2 p < N(x3 + y3 = 1) < p − 2 + 2 p.
(3.46)
Das zeigt, daß x3 + y3 = 1 für große p sehr viele Lösungen (nämlich ≈ p Lösungen) hat. p A B 7 1 1 13 −5 1 19 7 1 31 4 2 37 −11 1 43 −8 2
N 6 6 24 33 24 33
(3.47)
3.6 Gegenseitig unverzerrte Basen des Hilbertraumes Cn Definition 11. Zwei Orthonormalbasen B = {u1 , u2 , . . . , un } und C = {v1 , v2 , . . . , vn } des (mit dem Standardskalarprodukt hx, yi = x1 y1 + x2 y2 + · · · + xn yn versehenen) Hilbertraums Cn heißen gegenseitig unverzerrt (mutually unbiased), wenn hui , v j i 2 = 1 n
für alle
i, j ∈ 1, n gilt.
Damit gleichwertig ist, daß die Koeffizienten λi j ∈ C in der Darstellung ui = ∑nj=1 λi j v j √ alle den gleichen Absolutbetrag 1/ n haben. Eine im Augenblick für die Quanteninformationstheorie und die Quantenkryptographie ungeheuer interessante und in ihrer Allgemeinheit noch unbeantwortete Frage ist die Bestimmung der maximalen Anzahl Nmax (n) paarweise gegenseitig unverzerrter Orthonormalbasen (oder kurz MUBs für mutually unbiased bases) von C n . 12 Das
Polynom X 2 − X + 1 = Q6 (X) ist das 6-te Kreisteilungspolynom in F p [X]. Die Lösbarkeit der Gleichung x2 − x + 1 = 0 folgt auch daraus, daß F p wegen p ≡ 1 (mod 6) die primitiven 6-ten Einheitswurzeln enthält.
86
Man kann mit einiger Mühe (vgl. Aufgabe 45, der Sie sich unbedingt widmen sollten, da sie dem Dozenten viel Mühe bereitet hat) zeigen, daß für n ≥ 2 stets 3 ≤ Nmax (n) ≤ n + 1 gilt. Wir zeigen nachfolgend als Anwendung von Satz 3.15, daß für ungerade Primzahlpotenzen q > 1 stets Nmax (q) ≥ q + 1 und zusammen mit der erwähnten oberen Schranke dann Nmax (q) = q + 1 gilt. Die Aussage Nmax (q) = q + 1 stimmt auch im Fall q = 2s , der Beweis hierfür erfordert aber etwas mehr Aufwand. Dagegen sind die Zahlen Nmax (n) für alle Nichtprimzahlpotenzen n unbekannt. Im kleinsten ungelösten Fall n = 6 weiß man außer der schon erwähnten Schranke 3 ≤ Nmax (6) ≤ 7 nichts. Er seien q > 1 eine ungerade Primzahlpotenz und Fq = {α1 , α2 , . . . , αq }. Wir setzen (k) (k) (k) B(0) := {e1 , e2 , . . . , eq } (Standardbasis von Cq ) und erklären B(k) = {u1 , u2 , . . . , uq } durch 1 (k) u j : = √ e1 (αk α2i + α j αi ) 1≤i≤q q (3.48) 1 2πi·TFq /F p (αk α2i +α j αi )/p . =√ e q 1≤i≤q Satz 3.20. B(0) , B(1) , . . ., B(q) sind paarweise unverzerrte Orthonormalbasen von Cq . Beweis. Für k, j, j0 ∈ 1, q gilt D
u j , u j0 (k)
(k)
E
1 q ∑ e1 (αk α2i + α j αi) · e1(αk α2i + α j0 αi) q i=1 1 = ∑ e1 (αk x2 + α j x − αk x2 − α j0 x) q x∈Fq
=
1 e1 (α j − α j0 )x ∑ q x∈Fq ( 1, falls j = j0 , = 0, falls j 6= j0 . =
Das zeigt, daß jedes B(k) eine Orthonormalbasis von Cn ist. Da die Einträge von u j √ alle den Absolutbetrag 1/ q haben, sind für jedes k ∈ 1, q die Basen B(0) und B(k)
(k)
87
gegenseitig unverzerrt. Schließlich gilt für k, k 0 , j, j0 ∈ 1, q mit k 6= k0 stets D
(k0 )
u j , u j0 (k)
und damit wie behauptet.
E
1 q ∑ e1(αk α2i + α j αi) · e1(αk0 α2i + α j0 αi) q i=1 1 = ∑ e1 (αk − αk0 )x2 + (α j − α j0 )x q x∈Fq ! (α j − α j0 )2 1 η(αk − αk0 )G(η) = · e1 − q 4(αk − αk0 )
=
(Satz 3.15 (i))
√ D E q √ (k) (k0 ) |G(η)| = = q u j , u j0 = q q
Beispiel 29. Man erkennt unmittelbar, daß die Spalten der 3 unitären Matrizen 1 1 1 1 i 1 1 0 √ √ , , (3.49) 0 1 2 1 −1 2 1 i 3 MUBs in C2 definieren. Vier MUBs in C3 findet man mit Satz 3.20. Mit der Reihenfolge 0, 1, 2 von F3 ergibt sich: 1 1 1 1 1 1 1 1 1 1 0 0 0 1 0 , √1 1 ω ω2 , √1 ω ω2 1 , √1 ω2 1 ω . 3 1 ω2 ω 3 ω 1 ω2 3 ω2 ω 1 0 0 1
(3.50) Bei einer von Satz 3.20 unabhängigen Verifikation, daß die Spalten dieser Matrizen tatsächlich 4 MUBs in C3 bilden, hilft die Beobachtung, daß eine Summe von 3 dritten √ Einheitswurzeln genau dann den Absolutbetrag 3 hat, wenn ein Summand doppelt aber nicht dreifach vorkommt (wie etwa in 1 + 2ω).
3.7 Diagonalgleichungen Unter einer Diagonalgleichung über Fq versteht man eine Gleichung der Form a1 X1d1 + X2d2 + · · · + an Xndn = b
(3.51)
wobei a1 , a2 , . . ., an ∈ F∗q , b ∈ Fq und d1 , d2 , . . ., dn ∈ N. Da sich die Menge der di -ten Potenzen in Fq und damit die Lösungsanzahl der Gleichung (3.51) nicht ändert, wenn man di durch gcd(di , q − 1) ersetzt, dürfen wir von jetzt an stets voraussetzen, daß die 88
Zahlen d1 , d2 , . . . , dn allesamt positive Teiler von q − 1 sind. Wir setzen zur Abkürzung Nb := N(a1 X1d1 + X2d2 + · · · + an Xndn = b) für b ∈ Fq und T := 1, d1 − 1 × 1, d2 − 1 × · · · × 1, dn − 1. Die Menge T besteht also aus allen Multiindizes j = ( j1 , j2 , . . ., jn ) ∈ Nn mit 1 ≤ ji ≤ di − 1 für 1 ≤ i ≤ n. Satz 3.21. Für i ∈ 1, n sei χi ein multiplikativer Charakter der Ordnung di von Fq . j j j Ferner seien T0 := {j ∈ T ; χ11 χ22 · · · χnn = 1} und T1 := T \ T0 . Dann gilt N0 = qn−1 +
∑ χ1j1 (a1)χ2j2 (a2) · · · χnjn (an) · J0(χ1j1 , χ2j2 , . . . , χnjn )
(3.52)
j∈T0
und j
j
j
j
j
j
Nb = qn−1 + ∑ χ11 (a1 )χ22 (a2 ) · · · χnjn (an )(χ11 χ22 · · · χnjn )(b) · J(χ11 , χ22 , . . . , χnjn ) j∈T
(3.53)
für b ∈ F∗q .
Beweis. Für a, b ∈ Fq mit a 6= 0 und d ∈ N mit d | q − 1 gilt d
d
N(aX = b) = N(X = a
−1
b) =
d−1
∑ χ j (a−1b)
j=0
mit einem beliebig gewählten multiplikativen Charakter der Ordnung d von F q , wie man durch Ausrechnen beider Seiten in den drei zu unterscheidenden Fällen a −1 b = 0, a−1 b ∈ {xd ; x ∈ F∗q } bzw. a−1 b ∈ F∗q \ {xd ; x ∈ F∗q } verifiziert; vgl. dazu Blatt 1, Aufgabe 3 und die Lösung zu Blatt 6, Aufgabe 37. Damit ergibt sich Nb =
=
=
∑n
b∈Fq b1 +b2 +···+bn =b
∑
b∈Fnq b1 +b2 +···+bn =b
∑n
N(a1 X d1 = b1 )N(a2 X d2 = b2 ) · · · N(an X dn = bn ) d1 −1
∑
j=0
j χ1 (a−1 1 b1 )
∑n
!
d2 −1
∑
j=0
j χ2 (a−1 2 b2 )
!
···
dn −1
∑
j=0
χnj (a−1 n bn )
j2 −1 j jn −1 χ11 (a−1 1 b1 )χ2 (a2 b2 ) · · · χn (an bn )
j∈N0 b∈Fq b1 +b2 +···+bn =b 0≤ ji ≤di −1 j2 j1 j2 −1 j jn jn −1 = χ11 (a−1 1 )χ2 (a2 ) · · · χn (an ) · Jb (χ1 , χ2 , . . . , χn ) n j∈N0 0≤ ji ≤di −1 j1 j2 j2 −1 j jn jn −1 χ11 (a−1 = qn−1 + 1 )χ2 (a2 ) · · ·χn (an ) · Jb (χ1 , χ2 , . . . , χn ), j∈T
∑
∑
89
!
j
j
j
letzteres wegen J(1, 1, . . ., 1) = qn−1 und Jb (χ11 , χ22 , . . . , χnn ) = 0, falls mindestens ein j χi i = 1 oder, damit gleichwertig, mindestens ein Index ji = 0 ist. Nach Satz 3.16 (i) gilt j j j J0 (χ11 , χ22 , . . ., χnn ) = 0 für j ∈ T1 , woraus sich schon (3.52) ergibt. Gleichung (3.53) erj j j hält man unter Verwendung der für b ∈ F∗q gültigen Transformationsformel Jb (χ11 , χ22 , . . ., χnn ) = j j j j j j (χ11 χ22 . . . χnn )(b) · J(χ11 , χ22 , . . . , χnn ). Korollar 3.22. Für die Lösungsanzahlen Nb von (3.51) gelten die Schranken N0 − qn−1 ≤ |T0 | (q − 1)q(n−2)/2 ≤ (d1 − 1)(d2 − 1) · · · (dn − 1)(q − 1)q(n−2)/2
(3.54) (3.55)
und Nb − qn−1 ≤ (d1 − 1)(d2 − 1) · · · (dn − 1) − (1 − q−1/2 ) |T0 | · q(n−1)/2 ≤ (d1 − 1)(d2 − 1) · · · (dn − 1)q(n−1)/2
(3.56) (3.57)
für b ∈ F∗q .
j j j Beweis. Für die Jacobi-Summen in (3.52) gilt nach Korollar 3.17 stets J0 (χ11 , χ22 , . . . , χnn ) =
(q − 1)q(k−2)/2 . Daraus folgt (3.54). Für b ∈ F∗q liefern (3.53) und Korollar 3.17 die Abschätzung Nb − qn−1 ≤ |T1 | q(n−1)/2 + |T0 | q(n−2)/2 = |T | − |T0 | q(n−1)/2 + |T0 | q(n−2)/2 = (d1 − 1)(d2 − 1) · · · (dn − 1) − (1 − q−1/2 ) |T0 | · q(n−1)/2 .
Das ist (3.56). Die Schranken (3.55) und (3.57) sind Vergröberungen von (3.54) bzw. (3.56). Korollar 3.22 zeigt insbesondere Nb = N(a1 X1d1 + X2d2 + · · · + an Xndn = b) = qn−1 + O(qn/2 ) für
q → ∞.
(3.58)
(egal, ob b = 0 oder b 6= 0). Für große Primzahlpotenzen q haben Diagonalgleichungen in n ≥ 2 Variablen also stets (sogar sehr viele) Lösungen (nichttriviale Lösungen im Fall b = 0).
90
3.8 Allgemeine Sätze für Lösungsanzahlen In diesem Abschnitt betrachten wir Gleichungen der Form f (x1 , x2 , . . . , xn ) = 0 mit
f ∈ Fq [X1 , X2 , . . . , Xn ].
(3.59)
Wir bezeichnen mit N( f ) die Anzahl der Lösungen von (3.59) in F nq (Nullstellen von f in Fnq ). Wegen xq = x für x ∈ Fq ändert sich die durch f bestimmte (Polynom-)Funktion n Fq → Fq , (x1 , . . ., xn ) 7→ f (x1 , . . ., xn ) und damit insbesondere N( f ) nicht, wenn man jeden in f = ∑ ai1 i2 ,...in xi11 xi22 · · · xinn vorkommenden Exponenten is durch seinen kleinsten positiven13 Rest modulo q − 1 ersetzt. Aus f ensteht dadurch ein Polynom f∗ =
∑
0≤i1 ,i2 ,...,in ≤q−1
a∗i1 i2 ,...in xi11 xi22 · · · xinn ,
(3.60)
dessen Grad deg f ∗ = max{i1 + i2 + · · · + in ; a∗i1 i2 ,...in 6= 0} höchstens n(q − 1) ist. Lemma 3.23. Für f ∈ Fq [X1 , . . . , Xn ] mit deg f < n(q − 1) gilt
∑
x∈Fnq
f (x1 , x2 , . . . , xn ) = 0.
Beweis. Aus Linearitätsgründen genügt es, die Aussage für Monome X1i1 X2i2 · · · Xnin zu zeigen. Hier gilt ! ! !
∑n xi11 xi22 · · · xinn =
x∈Fq
∑
x1 ∈Fq
xi11
∑
x2 ∈Fq
xi22 · · ·
∑
xn ∈Fq
xinn
= 0,
weil wegen i1 + i2 + · · · + in < n(q − 1) mindestens ein Exponent is < q − 1 ist und ( 0, falls 0 ≤ i ≤ q − 1, (3.61) ∑ xi = −1, falls i = q − 1. x∈Fq Das Lemma ist damit bewiesen. Satz 3.24 (Chevalley-Warning). Es sei q > 1 eine Potenz der Primzahl p. Für f ∈ Fq [X1 , . . . , Xn ] mit deg f < n gilt
13 Vorsicht:
N( f ) ≡ 0 (mod p). „kleinster nichtnegativer Rest”wäre hier falsch!
91
(3.62)
Beweis. Für das Polynom F := 1 − f q−1 gilt deg F < n(q − 1) sowie ( 1, falls f (x1 , . . . , xn ) = 0, F(x1 , . . . , xn ) = 1 − f (x1 , . . . , xn )q−1 = 0, falls f (x1 , . . . , xn ) 6= 0. Die durch F dargestellte Polynomfunktion ist also die F p -wertige charakteristische Funktion der Nullstellenmenge von f . Zusammen mit Lemma 3.23 folgt N( f ) =
∑
x∈Fnq
F(x1 , . . . , xn ) = 0 in F p ,
d. h. N( f ) ≡ 0 (mod p).
Korollar 3.25. Es sei f ein homogenes14 Polynom vom Grad d mit 0 < d < n. Dann besitzt f eine nichttriviale Nullstelle. Beweis. Jedes homogene Polynom vom Grad d ≥ 1 in Fq [X1 , . . . , Xn ] besitzt die Nullstelle (0, 0, . . ., 0). Die Behauptung folgt daher aus Satz 3.24. Bemerkung 11. Die Aussage von Satz 3.24 ist bestmöglich in dem Sinn, daß ein Polynom f ∈ Fq [X1 , . . ., Xn ] vom Grad n mit nur einer einzigen Nullstelle in Fnq existiert: Es seien {α1 , α2 , . . . , αn } eine Basis von Fqn /Fq und n−1
qj
qj
j
f (X1 , . . ., Xn ) := ∏ (α1 X1 + α2 X2 + · · · + αqn Xn ). j=0
(3.63)
Es gilt deg f = n, f (0, . . ., 0) = 0, und für x = (x1 , . . ., xn ) ∈ Fnq \ {0} gilt f (x1 , . . . , xn ) =
n−1
qj
qj
j=0
n−1
=
j
∏ (α1 x1 + α2 x2 + · · · + αqn xn ) ∏ (α1x1 + α2x2 + · · · + αn xn)q
j
j=0
= NFqn /Fq (α1 x1 + α2 x2 + · · · + αn xn ) 6= 0 wegen α1 x1 +α2 x2 +· · ·+αn xn 6= 0. Da f offenbar ein Fixpunkt des durch ∑ ai1 i2 ...in xi11 xi22 · · · xinn 7→ q i i ∑ ai1 i2 ...in x11 x22 · · · xinn erklärten Ring-Automorphismus von Fqn [X1 , . . . , Xn ] ist, liegen die Koeffizienten von f in Fq . in f kommen nur Monome xi11 xi22 · · · xinn gleichen Grades i1 + i2 + · · · + in vor, oder geschwollen ausgedrückt: Aus ai1 i2 ...in a j1 j2 ... jn 6= 0 folgt i1 + i2 + · · · + in = j1 + j2 + · · · + jn . 14 d. h.
92
Bemerkung 12. Eine Verallgemeinerung von Satz 3.24 besagt, daß die Lösungsmenge V ⊆ Fnq eines Gleichungssystems f i (x1 , x2 , . . . , xn ) = 0, 1 ≤ i ≤ m aus m Polynomen fi ∈ Fq [X1 , . . . , Xn ] im Fall ∑m i=1 deg f i < n stets die Bedingung |V | ≡ 0 (mod p) erfüllt. q−1 q−1 q−1 Der Beweis hierfür benützt das Polynom F := (1 − f 1 )(1 − f2 ) · · ·(1 − fm ) und ist ansonsten identisch mit dem Beweis von Satz 3.24. Als nächstes geben wir eine elementare obere Schranke für die Nullstellenanzahl eines beliebigen Polynoms an. Satz 3.26. Für f ∈ Fq [X1 , . . . , Xn ] mit deg f = d ≥ 0 gilt N( f ) ≤ dqn−1 .
Beweis. Die Aussage gilt für n = 1 (ein Polynom vom Grad d in einer Variablen hat höchstens d Nullstellen) und für d = 0 (ein konstantes Polynom 6= 0 hat überhaupt keine Nullstelle). Wir zeigen sie nun durch transfinite Induktion („doppelte Induktion” nach n, d) für beliebige Paare (n, d) ∈ N × N. Dazu unterscheiden wir zwei Fälle: (i) Es existiert c ∈ Fq mit X1 − c | f . Dann gilt f (X1 , . . . , Xn ) = (X1 − c)g(X1 , . . ., Xn ) mit einem Polynom g ∈ Fq [X1 , . . . , Xn ] vom Grad d − 1, das nach Induktionsvoraussetzung höchstens (d − 1)qn−1 Nullstellen in Fnq hat. Für jede Nullstelle (x1 , . . . , xn ) ∈ Fnq von f gilt entweder x1 = c (qn−1 Möglichkeiten) oder g(x1 , . . ., xn ) = 0 (höchstens (d − 1)qn−1 Möglichkeiten). Daraus folgt N( f ) ≤ qn−1 + (d − 1)qn−1 = dqn−1 . (ii) Für alle c ∈ Fq gilt X1 −c - f oder, gleichwertig damit, f c (X2 , . . . , Xn ) := f (c, X2 , . . ., Xn ) 6= 0 in Fq [X2 , . . ., Xn ]. Die Polynome fc ∈ Fq [X2 , . . . , Xn ], c ∈ Fq , haben alle den Grad höchstens d, also nach Induktionsvoraussetzung höchstens dq n−2 Nullstellen in Fqn−1 . Für jede Nullstelle (x1 , . . . , xn ) ∈ Fnq von f ist (x2 , . . . , xn ) ∈ Fn−1 Nullstelle von fx1 , wofür q n−2 es bei festem x1 höchstens dq Möglichkeiten gibt. Da es q Möglichkeiten für x1 gibt, ergibt sich auch hier N( f ) ≤ q(dqn−2 ) = dqn−1 . Auch die Aussage von Satz 3.26 ist im nichttrivialen Fall d < q bestmöglich: Sind a1 , a2 , . . . , ad ∈ Fq paarweise verschieden, so hat das Polynom f (X1 , . . . , Xn ) := (X1 − a1 )(X1 − a2 )(X1 − ad ) ∈ Fq [X1 , . . ., Xn ] den Grad d und genau dqn−1 Nullstellen in Fnq .
3.9 Quadratische Formen Definition 12. Unter einer quadratischen Form über Fq in n Unbestimmten versteht man ein homogenes Polynom f ∈ Fq [X1 , . . . , Xn ] vom Grad 2. Zwei quadratische Formen f , g ∈ Fq [X1 , . . . , Xn ] heißen äquivalent, i. Z. f ∼ g, wenn eine invertierbare Matrix S = (si j ) ∈ Fn×n existiert mit q ! g(X1 , X2 , . . ., Xn ) = f
n
n
n
j=1
j=1
j=1
∑ s1 j X j , ∑ s2 j X j , . . . , ∑ sn j X j . 93
(3.64)
Eine quadratische Form f in Fq [X1 , . . . , Xn ] besitzt also eine Darstellung f=
∑
1≤i≤ j≤n
ai j Xi X j
mit ai j ∈ Fq .
(3.65)
Sie bestimmt vermöge x 7→ f (x) := ∑ni, j=1 ai j xi x j eine Abbildung Fnq → Fq (Einsetzabbildung), die der Bedingung f (λx) = λ2 f (x) (x ∈ Fnq , λ ∈ Fq ) und insbesondere f (0) = 0 genügt. Wegen f (ei ) = aii , f (ei + e j ) = aii + ai j + a j j für 1 ≤ i ≤ j ≤ n sind die Koeffizienten ai j und damit f durch die Einsetzabbildung eindeutig bestimmt. Sind f und g äquivalent mit transformierender Matrix S im Sinn von Definition 12, so gilt g(x) = f (Sx). Das führt zu dem einfachen, aber sehr nützlichen Sätzchen 3.27. Es seien f ∈ Fq [X1 , . . ., Xn ] eine quadratische Form und a ∈ Fq . Wenn x ∈ Fnq \ {0} mit f (x) = a existiert, so ist f äquivalent zu einer Form g = ∑ bi j Xi X j mit b11 = a. Beweis. Jede invertierbare Matrix S ∈ Fn×n mit erster Spalte x transformiert f in g = q b X X mit b = g(e ) = f (Se ) = f (x) = a. ∑ ij i j 11 1 1 Definition 13. Man nennt eine quadratische Form f ∈ Fq [X1 , . . . , Xn ] ausgeartet (degenerate), wenn f zu einer quadratischen Form in weniger als n Unbestimmten äquivalent ist. Die kleinste Zahl r mit f ≡ g(X1 , . . . , Xr ) heißt der Rang von f .
Die quadratische Form f = (X1 + X2 + · · · + Xn )2 ∼ X12 hat beispielsweise den Rang 1, ist also ausgeartet, falls n ≥ 2.15
Bemerkung 13. Für die Einsetzabbildung Fnq → Fq , x 7→ f (x) gilt neben f (λx) = λ2 f (x) auch noch, daß (x, y) 7→ f (x, y) − f (x) − f (y) eine (symmetrische) Bilinearform ist. Umgekehrt kann man leicht zeigen, daß zu jeder Abbildung φ : F nq → Fq mit diesen beiden Eigenschaften genau eine quadratische Form f ∈ Fq [X1 , . . . , Xn ] existiert derart, daß φ die Einsetzabbildung von f ist. Die entsprechende Aussage gilt auch für Abbildungen φ : V → Fq auf einem beliebigen n-dimensionalen Fq -Vektorraum V , wenn man eine Basis (v1 , . . . , vn ) von V auszeichnet und die Einsetzabbildung in der Form x1 v1 + · · · + xn vn 7→ ∑ ai j xi x j , d. h. koordinatenweise erklärt. Viele Autoren nehmen das zum Anlaß, quadratische Formen als spezielle Abbildungen φ : V → F q zu definieren und nicht als Polynome vom Grad 2. Bemerkung 14. Im Fall q ≡ 1 (mod 2) existiert zu jeder quadratischen Form f ∈ Fq [X1 , . . . , Xn ] eine eindeutig bestimmte symmetrische Matrix A ∈ Fqn×n mit f (x) = xT Ax für alle x ∈ Fnq (darstellende Matrix von f ). Die quadratische Form g aus (3.64) wird dann durch die Matrix B = ST AS dargestellt. Die Determinante det A nennt man 15 Man
beachte f = X12 + X22 + · · · + Xn2 im Fall q = 2s .
94
Determinante (oder Diskriminante) der quadratischen Form f und bezeichnet sie mit det f . Es gilt rk f = rk A, und die Form f ist nicht ausgeartet genau dann, wenn det f 6= 0. Das Bild von det A in F∗q /Q ist wegen det B = det S2 · det A eine Invariante der Äquivalenzklasse von f . Anders formuliert: η(det f ) ist eine Invariante der Äquivalenzklasse von f . Wir befassen uns in diesem Abschnitt hauptsächlich mit zwei Dingen: Mit der Klassifikation quadratischer Formen f bis auf Äquivalenz und mit den Lösungsanzahlen n N f (x) = b = x ∈ Fq ; f (x) = b der Gleichungen f (x) = f (x1 , . . . , xn ) = b, b ∈ Fq . In beiden Fällen genügt es, nicht ausgeartete quadratische Formen zu betrachten: Ist f ∼ g(X1 , . . . , Xr ) und r = rk( f ), so ist g nicht ausgeartet und durch f bis auf Äquivalenz eindeutig bestimmt. Offenbar gilt N f (x1 , x2 , . . . , xn ) = b = qn−r · N g(x1 , x2 , . . ., xr ) = b . (3.66) Außerdem ist klar, daß N f (x) = b nur von der Äquivalenzklasse von f abhängt. Wir klassifizieren zunächst alle nicht ausgearteten quadratischen Formen in höchstens 2 Variablen bis auf Äquivalenz. Satz 3.28. Die folgende Tabelle enthält Repräsentanten für die Äquivalenzklassen quadratischer Formen in einer und zwei Variablen über Fq . n=1 n=2 2 2 q ≡ 1 (mod 2) X1 , νX1 X1 X2 , X12 − νX22 q ≡ 0 (mod 2) X12 X1 X2 , X12 + X1 X2 + τX22
(3.67)
Dabei bezeichnen ν ein festes Nichtquadrat in Fq , q ≡ 1 (mod 2), und τ ein festes Element in Fq mit TFq /F2 (τ) = 1, q = 2s . Für eine nicht ausgeartete quadratische Form f ∈ Fq [X1 , X2 ] gilt f ∼ X1 X2 genau dann, wenn die Gleichung f (x1 , x2 ) = 0 eine nichttriviale Lösung, d. h. eine Lösung 6= (0, 0), besitzt.
Beweis. Eine nicht ausgeartete quadratische Form in Fq [X1 ] hat die Form f = aX12 mit a ∈ F∗q . Im Fall q = 2s existiert ein b ∈ Fq mit b2 = a. Es gilt dann f = (bX1 )2 ∼ X12 . Im Fall q ≡ 1 (mod 2) existiert entweder ein b ∈ Fq mit b2 = a (falls a ∈ Q) oder ein b ∈ Fq mit νb2 = a (falls a ∈ N). Im ersten Fall gilt f ∼ X12 , im zweiten Fall f = ν(bX1 )2 ∼ νX12 . Es sei nun f = aX12 + bX1 X2 + cX22 ∈ Fq [X1 , X2 ] nicht ausgeartet. Im Fall a = 0 gilt f = (bX1 + cX2 )X2 ∼ X1 X2 .16 Wenn a 6= 0 und das Polynom f (X1 , 1) = aX12 + bX1 + c ∈ Fq [X1 ] reduzibel ist, so gilt f (X1 , 1) = a(X1 − α)(X1 − β) in Fq [X1 ], also ebenfalls f (X1 , X2 ) = a(X1 − αX2 )(X1 − βX2 ) ∼ X1 X2 . Es bleibt der Fall eines irreduziblen, quadratischen Polynoms f (X1 , 1) = aX12 + bX1 + c zu behandeln. Im Fall q ≡ 1 (mod 2) zeigen die Umformung f (X1 , X2 ) ∼ 16 Beachte
dazu b 6= 0. Im Fall b = 0 wäre f ausgeartet.
95
f (2X1 , 2X2 ) = 4 f (X1 , X2 ) = (2aX1 + bX2 )2 − (b2 − 4ac)X22 und b2 − 4ac ∈ N, daß f zu X12 − νX22 äquivalent ist. Im Fall q = 2s existiert a0 ∈ Fq mit a = a0 2 . Die Umformung f = (a0 X1 )2 + (a0 X1 )(ba0 −1 X2 ) + (ca0 2 b−2 )(ba0 −1 X2 )2 ∼ X12 + X1 X2 + ca0 2 b−2 X22 zeigt, daß f zu einer Form X12 + X1 X2 + τ0 X22 äquivalent ist. Mit f (X1 , 1) ist auch X12 + X1 + τ0 irreduzibel, d. h. die Gleichung x2 + x = τ0 hat keine Lösung in Fq . Nach Satz 1.15 gilt dann TFq /F2 (τ0 ) 6= 0, also TFq /F2 (τ0 ) = 1 und TFq /F2 (τ + τ0 ) = 1. Wiederum nach Satz 1.15 existiert ξ ∈ Fq mit ξ2 + ξ = τ + τ0 . Damit ergibt sich f ∼ X12 + X1 X2 + τ0 X22 = (X1 + ξX2 )2 + (X1 + ξX2 )X2 + τX22 ∼ X12 + X1 X2 + τX22 . Daß die beiden angegebenen Formen jeweils tatsächlich inäquivalent sind, folgt daraus, daß die reduzible quadratische Form X1 X2 nichttriviale Nullstellen in F2q besitzt, die irreduziblen Formen X12 − νX22 bzw. X12 + X1 X2 + τX22 dagegen nicht.
Lemma 3.29. Es sei f ∈ Fq [X1 , . . ., Xn ] eine nicht ausgeartete quadratische Form. Wenn die Gleichung f (x) = 0 eine nichttriviale Lösung besitzt, so gilt f ∼ X1 X2 +g(X3 , . . . , Xn ) mit einer nicht ausgearteten quadratischen Form g in n − 2 Variablen. Beweis. Nach Satz 3.28 gilt n
n
i=3
i=3
f ∼ X1 X2 + ∑ b1i X1 Xi + ∑ b2i X2 Xi +
∑
3≤i≤ j≤n
bi j Xi X j
= X1 X2 + X1 · k(X3 , . . ., Xn ) + X2 · l(X3 , . . . , Xn ) + h(X3 , . . . , Xn ) = X1 + l(X3 , . . . , Xn ) · (X2 + k(X3 , . . . , Xn ) + g(X3 , . . . , Xn )
mit den Linearformen k := ∑ni=3 b1i Xi , l := ∑ni=3 b2i Xi und den quadratischen Formen h := ∑3≤i≤ j≤n bi j Xi X j , g := h − kl. Mit f ist natürlich auch g nicht ausgeartet.
Satz 3.30. Die folgende Tabelle enthält Repräsentanten für die Äquivalenzklassen quadratischer Formen in n Variablen über Fq . q mod 2 n mod 2 0 0 0 1
1 0
1
1
Bez. (00H ) (00E ) (01) (10H ) (10E ) (11Q ) (11N )
f X1 X2 + X3 X4 + · · · + Xn−3 Xn−2 + Xn−1 Xn 2 +X 2 X1 X2 + X3 X4 + · · · + Xn−3 Xn−2 + Xn−1 n−1 Xn + τXn 2 X1 X2 + X3 X4 + · · · + Xn−2 Xn−1 + Xn X1 X2 + X3 X4 + · · · + Xn−3 Xn−2 + Xn−1 Xn 2 − νX 2 X1 X2 + X3 X4 + · · · + Xn−3 Xn−2 + Xn−1 n X1 X2 + X3 X4 + · · · + Xn−2 Xn−1 + Xn2 X1 X2 + X3 X4 + · · · + Xn−2 Xn−1 + νXn2
Dabei bezeichnen ν ein festes Nichtquadrat in Fq , q ≡ 1 (mod 2), und c ein festes Element in Fq mit TFq /F2 (τ) = 1, q = 2s . Für eine nicht ausgeartete quadratische Form f ∈ Fq [X1 , X2 ] gilt f ∼ X1 X2 genau dann, wenn die Gleichung f (x1 , x2 ) = 0 eine nichttriviale Lösung, d. h. eine Lösung 6= (0, 0), besitzt. 96
Beweis. Nach Korollar 3.25 besitzt jede quadratische Form über F q in mindestens 3 Variablen eine nichttriviale Nullstelle. Wenn also f ∈ Fq [X1 , . . . , Xn ] nicht ausgeartet ist, so ist f nach Lemma 3.29 zu einer Form der Bauart X1 X2 + X3 X4 + · · · + Xn−3 Xn−2 + g(Xn−1 , Xn ) (für gerades n) bzw. X1 X2 + X3 X4 + · · · + Xn−2 Xn−1 + g(Xn ) (für ungerades n) mit einer nicht ausgearteten Form g äquivalent. Zusammen mit den in Satz 3.28 bestimmten Möglichkeiten für g folgt, daß f zu einer der in der Tabelle angegebenen Formen äquivalent ist. Da diese Formen, wie wir anschließend zeigen werden, verschiedene Lösungsanzahlen N f (x) = b) haben, sind sie tatsächlich inäquivalent. Wir bestimmen abschließend die Lösungsanzahlen der quadratischen Formen aus der Tabelle in Satz 3.30. Bei vorgegebener Form f ∈ Fq [X1 , . . . , Xn ] schreiben wir zur Abkürzung Nb := N f (x) = b). Offenbar gilt ∑b∈Fq Nb = qn . Wegen f (λx) = λ2 f (x) ist b 7→ Nb konstant auf F∗q , falls q ≡ 0 (mod 2), bzw. auf Q und N, falls q ≡ 1 (mod 2). Es genügt daher, die Lösungsanzahlen N0 , N1 (q gerade) bzw. N0 , N1 , Nν (q ungerade) zu betrachten. Satz 3.31. Die folgende Tabelle enthält die Lösungsanzahlen N0 , N1 , Nν für die quadratischen Formen aus Satz 3.30. Bez. (00H ) (00E ) (01) (10H ) (10E ) (11Q ) (11N )
N0 qn−1 + (q − 1)q(n−2)/2 qn−1 − (q − 1)q(n−2)/2 qn−1 + (q − 1)q(n−2)/2 qn−1 − (q − 1)q(n−2)/2 qn−1 qn−1
qn−1
N1 Nν qn−1 − q(n−2)/2 qn−1 + q(n−2)/2
qn−1 − q(n−2)/2 qn−1 + q(n−2)/2 qn−1 + q(n−1)/2 qn−1 − q(n−1)/2 qn−1 − q(n−1)/2 qn−1 + q(n−1)/2
Beweis. Die folgende Tabelle enthält die Zahlen N0 , N1 , Nν für die quadratischen Formen kleinster Dimension n0 des jeweiligen Typs: Bez. n0 N0 N1 Nν (00H ) 0 1 0 (00E ) 2 1 q+1 (01) 1 1 (10H ) 0 1 0 (10E ) 2 1 q+1 (11Q ) 1 1 2 0 (11N ) 1 1 0 2 Beweisbedürftig sind nur die Einträge für die Formen vom Typ (00 E ) und (10E ), d. h. für die Repräsentanten X12 + X1 X2 + τX22 , X12 − νX22 der 2-dimensionalen definiten quadratischen Formen. Für diese Formen gilt N0 = 1 (vgl. den Beweis zu Satz 3.28). Im 97
ersten Fall (q gerade) folgt N1 = q + 1 aus der Gleichung N0 + (q − 1)N1 = q2 . Im zweiten Fall (q ungerade) müßten wir dazu erst N1 = Nν zeigen.17 Stattdessen berechnen wir Nb für n 6= 0 direkt mit Hilfe von Jacobi-Summen: N(x21 − νx22 = b) =
=
∑
a1 ,a2 ∈Fq a1 +a2 =b
∑
a1 ,a2 ∈Fq a1 +a2 =b
N(x21 = a1 ) · N(−νx22 = a2 )
1 + η(a1 ) 1 + η(−a2 /ν)
= q − η(−1)η2 (b) · J(η, η) = q+1
denn es gilt J(η, η) = −η(−1) nach Satz 3.16 (ii). Nun behandeln wir den allgemeinen Fall einer n-dimensionalen Form f . Hier gilt n = n0 + 2k und f = ∑ki=1 X2i−1 X2i + g, wobei g eine der n0 -dimensionalen Formen aus obiger Tabelle ist. Der Typ (01) ist am einfachsten zu erledigen: Hier kann man x1 , x2 , . . . , x2k ∈ Fq frei wählen, und xn = x2k+1 ist dann durch die Gleichung ∑ki=1 x2i−1 x2i + x22k+1 = b eindeutig bestimmt. Es folgt Nb = q2k = qn−1 für alle b ∈ Fq . Die Typen (00H ), (10H ) sind ebenfalls schnell erledigt: Bei fester Wahl von (x1 , x3 , . . . , x2k−1 ) ∈ Fkq \ {0} definiert ∑ki=1 x2i−1 x2i = b eine affine Hyperebene in {(x2 , x4 , . . ., x2k ); xi ∈ Fq } = Fkq , besitzt also qk−1 Lösungen. Hinzu kommen im Fall b = 0 noch die qk Lösungen mit x1 = x3 = · · · = x2k−1 = 0. Es folgt N0 = (qk − 1)qk−1 + qk = q2k−1 + (q − 1)qk−1 = qn−1 + (q − 1)q(n−2)/2 , Nb = (qk − 1)qk−1 = q2k−1 − qk−1 = qn−1 − q(n−2)/2
für b 6= 0.
Die Typen (00E ), (10E ) behandeln wir in ähnlicher Weise: Bei festem (x1 , x3 , . . . , x2k−1 ) ∈ Fkq \ {0} und (x2k+1 , x2k+2 ) ∈ F2q gibt es unabhängig von b wieder qk−1 Lösungen, da ∑ki=1 x2i−1 x2i = b − g(x2k+1 , x2k+2 ) eine affine Hyperebene in {(x2 , x4 , . . . , x2k ); xi ∈ Fq } definiert. Hinzu kommen im Fall b = 0 noch die qk Lösungen mit x1 = x3 = · · · = x2k−1 = 0 und x2k+1 = x2k+2 = 0 und im Fall b 6= 0 die (q + 1)qk Lösungen mit x1 = x3 = · · · = x2k−1 = 0 und g(x2k+1 , x2k+2 ) = b. Es folgt N0 = (qk − 1)qk+1 + qk = q2k+1 − (q − 1)qk = qn−1 − (q − 1)q(n−2)/2 , Nb = (qk − 1)qk+1 + (q + 1)qk = q2k+1 + qk = qn−1 + q(n−2)/2
für
b 6= 0.
Schließlich sind noch (11Q ), (11N ) zu behandeln. Hier müssen wir bei den Lösungen mit x1 = x3 = · · · = x2k−1 = 0 gleich 3 Fälle unterscheiden: Wir betrachten zunächst 17 Es
νx22
ist aber auch nicht besonders schwer, eine Bijektion von {x ∈ F 2q ; x21 − νx22 = 1} auf {x ∈ F2q ; x21 − = ν} anzugeben.
98
eine Form vom Typ (11Q ). Im Fall b = 0 gibt es dann qk solche Lösungen (Bedingung x2k+1 = 0), im Fall b ∈ Q offenbar 2qk solche Lösungen (Bedingung x22k+1 = b) und im Fall b ∈ N gar keine Lösung dieser Art. Es folgt N0 = (qk − 1)qk + qk = q2k = qn−1 ,
N1 = (qk − 1)qk + 2qk = q2k + qk = qn−1 + q(n−1)/2 ,
Nν = (qk − 1)qk = q2k − qk = qn−1 − q(n−1)/2 .
Bei der Form vom Typ (11N ) vertauschen ‘b ∈ Q’ und ‘b ∈ N’ die Rollen und damit auch N1 und Nν . Wie angekündigt zeigen die jeweils verschiedenen Lösungsanzahlen in Satz 3.31, daß die Formen (00H ), (00E ) bzw. (10H ), (10E ) bzw. (11Q ) und (11N ) nicht äquivalent sind. Auch der Beweis von Satz 3.30 ist damit vollständig erbracht. Satz 3.30 läßt die Frage offen, ob man den Typ einer vorgegebenen, nicht ausgearteten quadratischen Form f ∈ Fq [X1 , . . . , Xn ] auf einfache Weise bestimmen kann. Im Fall q ≡ 1 (mod 2) kann das mit Hilfe des quadratischen Charakters von F q und der Determinante von f (vgl. Bemerkung 14) geschehen, denn für eine Form f vom Typ 2 − νX 2 ) = −ν, (10H ), (10E ), (11Q ) bzw. (11N ) gilt wegen det(X2i−1 X2i ) = −1, det(Xn−1 n det(Xn2 ) = 1, det(νXn2 ) = ν und der Blockdiagonalgestalt der f darstellenden Matrix offenbar η(det f ) = η (−1)n/2 = η(−1)n/2 bzw. η(det f ) = η (−1)(n−2)/2 (−ν) = η (−1)n/2 ν = −η(−1)n/2 bzw. η(det f ) = η(−1)(n−1)/2 bzw. η(det f ) = −η(−1)(n−1)/2 . Man erkennt daran, daß zwei nicht ausgeartete quadratische Formen f und g in derselben Anzahl von Variablen genau dann äquivalent sind, wenn η(det f ) = η(det g). Beispiel 30. Die Form f = X12 + X22 + · · · + Xn2 hat wegen η(det f ) = 1 im Fall q ≡ 1 (mod 4) den Typ (10H ) bzw. (11Q ) je nachdem, ob n gerade oder ungerade ist. Im Fall q ≡ 3 (mod 4) hat sie dagegen den Typ (10H ), (11Q ), (10E ), (11N ) je nachdem, ob n ≡ 0, 1, 2 bzw. 3 (mod 4).
99
Anhang A Grundlagen A.1 Gruppen Unter einem Monoid versteht man ein Paar (G, E) bestehend aus einer Menge G und einer Abbildung E : G × G → G, (x, y) 7→ xy := E(x, y) (binäre Operation, multiplikative Schreibweise), die den folgenden beiden Axiomen genügt: (G1) (xy)z = x(yz) für alle x, y, z ∈ G;
(Assoziativgesetz)
(G2) es existiert e ∈ G derart, daß ex = xe = x für alle x ∈ G.
Das sog. neutrale Element e in (G2) ist, wie man sich leicht überlegt, eindeutig bestimmt. Es wird bei der vorliegenden multiplikativen Schreibweise xy := E(x, y) oder x · y := E(x, y) oft mit ‘1’ („Einselement”) bzw. bei additiver Schreibweise x + y := E(x, y) mit ‘0’ („Nullelement”) bezeichnet. Beide Schreibweisen dienen vor allem der Übersichtlichkeit1 und werden verwendet, wenn aus dem Zusammenhang klar ist, um welche Operation E es sich handelt. Ebenso schreibt man anstelle von (G, E) oft einfach G. Beispiel 31. Beispiele für Monoide sind etwa (i) (N0 , +), (ii) (N0 , ×), (iii) (N, ×) jeweils mit der üblichen Addition bzw. Multiplikation natürlicher Zahlen, (iv) die Menge X X aller Selbstabbildungen f : X → X einer Menge X bezüglich der Hintereinanderausführung von Abbildungen und (v) die Menge Σ∗ aller Wörter („Strings”) endlicher Länge über einer Menge („Zeichenvorrat”) Σ bezüglich der Operation Konkatenation („Aneinanderhängen”). Schließlich bildet (vi) für jedes Monoid G die Menge G X aller Abbildungen f : X → G selbst ein Monoid bezüglich der durch ( f g)(x) := f (x)g(x) für x ∈ X „punktweisen” Operation. 1 Das
Assoziativgesetz lautet ausgeschrieben E E(x, y), z = E x, E(y, z) .
100
Zwei Monoide G1 und G2 werden isomorf genannt, in Zeichen G1 ∼ = G2 , wenn eine bijektive Abbildung φ : G1 → G2 existiert mit φ(xy) = φ(x)φ(y) für alle x, y ∈ G1 .2
(A.1)
Eine nicht notwendigerweise bijektive Abbildung φ : G1 → G2 mit der Eigenschaft (A.9) heißt (Monoid-)Homomorphismus; Epimorphismus, wenn φ surjektiv ist; Monomorphismus, wenn φ injektiv ist; Isomorphismus, wenn φ bijektiv ist; Automorphismus, wenn φ bijektiv und außerdem G1 = G2 ist. Beispiel 32. Das Monoid N0 aus Beispiel 31 (i) ist isomorph zu den Monoiden Σ∗ = {1, a, aa, aaa, . . .} mit |Σ| = 1 aus Beispiel 31 (v). Die Monoide X X und Y Y aus Beispiel 31 (iv) sind isomorf genau dann, wenn |X | = |Y |. Entsprechendes gilt für die Monoide X ∗ und Y ∗ aus Beispiel 31 (v). Für die Monoide X aus Beispiel 31 (vi) gilt GX1 1 ∼ = G2 2 zumindest dann, wenn G1 ∼ = G2 und |X | = |Y |. Etwas schwieriger zu beweisen ist die Aussage, daß das Monoid (N, ×) aus Beispiel 31 (iii) isomorf zu einem Teilmonoid eines Monoids vom Typ GN , G = (N0 , +), aus Beispiel 31 (vi) ist; näheres dazu finden Sie in Beispiel 33. Aufgabe 9. Zeigen Sie ausführlich alle in Beispiel 32 gemachten Aussagen. Ein Element x eines Monoids G heißt invertierbar, wenn ein y ∈ G existiert mit xy = yx = 1 (x + y = y + x = 0 bei additiver Schreibweise). Das Element y, das sog. Inverse von x, ist gebenenfalls eindeutig bestimmt und wird mit x −1 (−x bei additiver Schreibweise) bezeichnet. Wenn jedes Element von G invertierbar ist, so nennt man G eine Gruppe. Gruppen werden also durch (G1), (G2) und das folgende Axiom gekennzeichnet: (G3) Zu jedem x in G existiert ein y ∈ G mit xy = yx = e.
Ein Monoid (G, E) heißt kommutativ oder abelsch, wenn zusätzlich zu (G1) und (G2) das folgende Axiom gilt: (G4) xy = yx für alle x, y ∈ G.
(Kommutativgesetz)
Bemerkung 15. Monoide, Gruppen und andere algebraische Strukturen (Ringe, Körper, Vektorräume) aber auch Graphen, geordnete Mengen, etc. sind Spezialfälle sogenannter Relationalstrukturen. Unter einer Relationalstruktur versteht man ein Tupel (X , E1 , E2 , . . . , Er ), bestehend aus einer Menge X und Relationen Ei ⊆ X ni := X | ×X × {z· · · × X} ni -mal
für 1 ≤ i ≤ r. Eine Gruppe (G, E) kann man als Relationalstruktur der Bauart r = 1, 2 Ausführlich geschrieben:
Zwei Monoide(G1 , E1 ) und (G2 , E2 ) heißen isomorf, wenn eine Bijektion φ : G1 → G2 mit φ E1 (x, y) = E2 φ(x), φ(y) existiert.
101
n1 = 3 mit gewissen Zusatzeigenschaften definieren. Dazu ersetzt man die Operation E : (x, y) 7→ xy durch die ternäre Relation E1 := (x, y, xy); x, y ∈ G ⊆ G3 . Im Fall eines gerichteten Graphen hat man r = 1, n1 = 2; die Menge X ist die Eckenmenge des Graphen und die binäre Relation E1 seine Kantenmenge. Ungerichtete Graphen erhält man, wenn man E1 als symmetrisch ((x, y) ∈ E1 =⇒ (y, x) ∈ E1 ) voraussetzt.
Aufgabe 10. Erklären Sie die verschiedenen Typen von Morphismen für Relationalstrukturen in einer Weise, daß sich bei Spezialisierung auf Gruppen und Graphen jeweils die vertrauten Begriffe ergeben.
Ein Monoid (G0 , E 0 ) heißt Teilmonoid von (G, E), wenn G0 ⊆ G und E 0 die Restriktion von E auf G0 × G0 ist. In Kurzform: Eine Teilmenge G0 ⊆ G ist Teilmonoid von G genau dann, wenn aus x, y ∈ G0 stets xy ∈ G0 folgt und G0 bezüglich der induzierten Operation G0 × G0 → G0 , (x, y) 7→ xy selbst ein Monoid ist. Zum Nachweis der Monoideigenschaft von G0 ⊆ G braucht man neben x, y ∈ G0 =⇒ xy ∈ G0 nur zu zeigen, daß G0 ein Einselement besitzt. Für einen Homomorphismus φ : G → H ist ker φ := {x ∈ G; φ(x) = 1} („Kern von φ”) ein Teilmonoid von G, und im φ := φ(x); x ∈ G ist ein Teilmonoid von H. Beispiel 33. Das Monoid (i) aus Beispiel 31 ist ein Teilmonoid der Gruppe (Z, +) (additive Gruppe der ganzen Zahlen). Die Monoide (ii) und (iii) aus Beispiel 31 sind Teilmonoide des Monoids (Z, ×). Die Menge sym X aller bijektiven Abbildungen f : X → X („Permutationen von X ”) ist ein Teilmonoid des Monoids X X aus Beispiel 31 (iv) und als solches sogar eine Gruppe; siehe Aufgabe 12. Schließlich bildet die Menge aller Abbildungen f : X → G mit endlichem Träger Supp f := {x ∈ X ; f (x) 6= 1} ein Teilmonoid GXfin des Monoids GX aus Beispiel 31 (vi). Der Fundamentalsatz der Arithmetik (Satz von der Existenz und Eindeutigkeit der Primfaktorisierung natürlicher Zahlen) und der Satz von Euklid über die Existenz unendlich vieler Primzahlen besagen zusammen, daß das Monoid (N, ×) aus Beispiel 31 (ii) isomorf ist zu (N0 , +)N fin („mit Nullen aufgefüllte” endliche Folgen nichtnegativer ganzer Zahlen mit der komponentenweisen Addition). Aufgabe 11. Führen Sie den Beweis von (N, ×) ∼ = (N0 , +)N fin in allen Einzelheiten aus.
Aufgabe 12. Zeigen Sie, daß die Menge der invertierbaren Elemente eines Monoids bezüglich der induzierten Operation eine Gruppe bildet.3 Eine Relation R ⊆ G × G auf einem Monoid (G, E) heißt linksinvariant (rechtsinvariant), wenn aus (x, y) ∈ R stets (ax, ay) ∈ R für alle a ∈ G (bzw. (xa, ya) ∈ R für alle a ∈ G) folgt. Sie heißt invariant, wenn sie sowohl linksinvariant als auch rechtsinvariant ist. Eine Äquivalenzrelation R auf G ist genau dann invariant, wenn aus (x, x 0 ) ∈ R und 3 Diese
Aussage ist keine Banalität, sondern beweisbedürftig!
102
(y, y0 ) ∈ R stets (xy, x0 y0 ) ∈ R folgt, d. h., wenn die Äquivalenzklasse [xy]R eines Produktes xy nur von den Äquivalenzklassen [x]R und [y]R (und nicht von der speziellen Wahl von x, y innerhalb der jeweiligen Äquivalenzklasse) abhängt. Man nennt eine invariante Äquivalenzrelation auf G deshalb auch mit der Operation E verträglich oder eine Kongruenzrelation. Die mit einer Kongruenzrelation R korrespondierende Partition G/R := [x]R ; x ∈ G von G wird durch die Definition [x]R [y]R := [xy]R zu einem Monoid, dem sog. Faktormonoid von G modulo R. Die Abbildung π : G → G/R, x 7→ [x] R ist ein Monoidepimorphismus. Kongruenzrelationen werden in Anlehnung an die elementare Zahlentheorie häufig mit ‘≡’ bezeichnet, man schreibt also x≡ y anstelle von (x, y) ∈ R. Für jeden Monoidhomomorphismus φ : G → H ist Kφ := (x, x0 ); φ(x) = φ(x0 ) eine Kongruenzrelation, und es gilt G/Kφ ∼ = φ(G) (Homomorphiesatz für Monoide).4 Wie schon in Bemerkung 15 angedeutet, stecken hinter den bislang nur für Monoide erklärten Begriffen „Morphismus”, „Teilmonoid”, „Kongruenzrelation”, „Faktormonoid” universelle Konzepte der Algebra, die gleichermaßen auf andere algebraische Strukturen spezialisiert werden können. Zum Beispiel entspricht dem Begriff „Teilmonoid” in der Gruppentheorie der folgendermaßen erklärte Begriff „Untergruppe” 5 : Eine Gruppe (G0 , E 0 ) heißt Untergruppe von (G, E), wenn G0 ⊆ G und E 0 die Restriktion von E auf G0 × G0 ist. Während die Definition von Teilstrukturen für Monoide und Gruppen praktisch dieselbe ist, so ergeben sich in der Theorie doch ganz wesentliche Unterschiede; z. B. haben eine Gruppe und alle ihre Untergruppen stets dasselbe Einselement, während das für Monoide im allgemeinen nicht gilt. Weitere Unterschiede werden nachfolgend erwähnt. Wir erwähnen zunächst das so wichtige Konzept des Erzeugendensystems, das Ihnen aus der Theorie der Vektorräume längst bekannt ist: Für jede Teilmenge S ⊆ G einer Gruppe G ist der Durchschnitt H aller Untergruppen U von G mit S ⊆ U selbst wieder eine Untergruppe von G. Die Untergruppe H heißt die von S erzeugte Untergruppe und wird mit hSi := H bezeichnet. Umgekehrt heißt S Erzeugendensystem von G, wenn G = hSi. Aufgabe 13. Für Monoide geht die vorstehende Definition eines Erzeugendensystems schief; z. B. sind U1 := (N, ×), U2 := {0}, × Teilmonoide des Monoids (N0 , ×) aus Beispiel 31 (ii), aber U1 ∩U2 = 0/ ist kein Teilmonoid von (N0 , ×). Wie würden Sie das Konzept „Erzeugendensystem” für Monoide definieren? Man nennt G zyklisch, wenn G = hxi von einem einzigen Element erzeugt wird. Dann ist entweder G = {1, x±1 , x±2 , . . . } ∼ = (Z, +) (nämlich dann, wenn kein n ∈ N 4 Die
Relation Kφ wird gelegentlich auch als Kern von φ bezeichnet. Das verträgt sich allerdings nicht mit der oben gegebenen Definition des Kerns kerφ eines Monoidhomomorphismus, denn bei Monoiden – anders als bei Gruppen – läßt sich Kφ im allgemeinen nicht durch das Teilmonoid {x ∈ G; φ(x) = 1} beschreiben. 5 Niemand sagt „Teilgruppe”.
103
mit xn = 1 existiert) oder G = {1, x, x2 , . . . , xn−1 } ∼ = (Zn , +) für ein n ∈ N (nämlich das kleinste n ∈ N, für das xn = 1 gilt). Anders als bei Monoiden läßt sich jede linksinvariante Äquivalenzrelation R auf einer Gruppe G einer eindeutig bestimmten Untergruppe von G zuordnen: Man sieht leicht, daß in diesem Fall U := x ∈ G; (x, 1) ∈ R eine Untergruppe von G ist und daß (x, y) ∈ R ⇐⇒ x−1 y ∈ U sowie [x]R = xU := {xu; u ∈ U } („Linksnebenklasse von U ”) für x ∈ G. Entsprechendes gilt für rechtsinvariante Äquivalenzrelationen auf G. Die Kongruenzrelationen auf G und damit auch die Faktorgruppen von G entsprechen den Untergruppen N mit xN = Nx für alle x ∈ G (Normalteilern von G). Faktorgruppen besitzen also die gegenüber Faktormonoiden vereinfachte Darstellung G/N := {xN; x ∈ G} mit zugehöriger Operation (xN)(yN) := xyN (bzw. G/N := {x + N; x ∈ G} und (x + N) + (y + N) := x + y + N bei additiver Schreibweise). Aufgabe 14. Zeigen Sie: Eine Untergruppe N einer Gruppe G ist genau dann ein Normalteiler, wenn ein Gruppenhomomorphismus φ : G → H existiert mit N = ker φ.
Von zentraler Bedeutung – nicht nur für die Gruppentheorie, sondern in entsprechend amgepaßter Form auch für andere algebraische Strukturen wie Ringe, Vektorräume und Moduln – ist der folgende Satz: Fakt A.1. [Homomorphiesatz für Gruppen] Es seien G und H Gruppen, und φ : G → H sei ein Epimorphismus (d. h. wie bei Monoiden eine surjektive, multiplikative Abbildung). Dann gilt: (i) G/ ker φ ∼ = H; (ii) U 7→ φ(U ) bildet die Menge der ker φ enthaltenden Untergruppen (Normalteiler) von G bijektiv auf die Menge der Untergruppen (bzw. Normalteiler) von H ab. Wir stellen nun noch einige, für diese Vorlesung wichtige Eigenschaften endlicher Gruppen zusammen, ohne jedoch tief in die Gruppentheorie einzusteigen. Die Ordnung |U | jeder Untergruppe einer endlichen Gruppe G ist ein Teiler von |G|.6 Insbesondere ist die als kleinste natürliche Zahl n mit xn = 1 definierte Ordnung ord(x) von x ∈ G ein Teiler von |G|, denn es gilt ja ord(x) = |hxi|. Zur Formulierung des nachfolgenden wichtigen Satzes benötigen wir das Konzept des direkten Produkts zweier oder mehrerer Gruppen. Unter dem äußeren direkten Produkt G = G1 ⊗ G2 ⊗ · · ·⊗ Gr der Gruppen G1 , G2 , . . . , Gr versteht man die Menge G aller r-Tupel g = (g1 , g2 , . . . , gr ) mit gi ∈ Gi für i ∈ 1, r zusammen mit der komponentenweisen Operation gh := (g1 h1 , g2 h2 , . . ., gr hr ).7 Ein kurzer Blick genügt, um zu sehen, daß G eine Gruppe ist. Bei additiver Schreibweise wird wieder ‘⊕’ anstelle von ‘⊗’ verwendet. 6 Das erkennt man an der Partition G = {xU; x ∈ G}. Jede Nebenklasse xU
hat wegen der in G gültigen Kürzungsregel xy = xz =⇒ y = z die gleiche Anzahl von Elementen wie U selbst. 7 Das ist eine leichte Verallgemeinerung des in Beispiel 31 (vi) erklärten Monoids G X mit X := 1, r.
104
Fakt A.2 (Hauptsatz für endliche abelsche Gruppen). Zu jeder endlichen abelschen Gruppe G existieren bis auf die Reihenfolge eindeutig bestimmte Primzahlpotenzen q1 , q2 , . . . , qr > 1 mit G∼ = Z/q1 Z ⊕ Z/q2 Z ⊕ · · · ⊕ Z/qr Z.
Insbesondere ist jede endliche abelsche Gruppe G direktes Produkt zyklischer Gruppen, deren Ordnungen allerdings nur durch die zusätzliche Voraussetzung „Primzahlpotenzordnung” eindeutig festgelegt sind.
A.2 Ringe und Körper Unter einem Ring (mit Einselement) versteht man ein Tripel (R, E1 , E2 ) bestehend aus einer Menge R und zwei binären Operationen E1 : R × R → R, (x, y) 7→ x + y := E1 (x, y) („Addition”), E2 : R × R → R, (x, y) 7→ xy := E2 (x, y) („Multiplikation”), die den folgenden Axiomen genügen: (R1) (R, E1 ) ist eine abelsche Gruppe; (R2) (R, E2 ) ist Monoid; (R3) (x + y)z = xz + yz und x(y + z) = xy + xz für alle x, y, z ∈ G; (Distrubutivgesetze).
Gilt zusätzlich zu (R1), (R2), (R3) das Axiom (R4) xy = yx für alle x, y ∈ R,
so nennt man (R, E1 , E2 ) einen kommutativen Ring. Man schreibt oft wieder kurz R anstelle von (R, E1 , E2 ). Für die Gruppe (R, E1 ) („additive Gruppe von R”) verwendet man stets die additive, für das Monoid (R, E 2 ) stets die multiplikative Schreibweise. So wird z. B. das neutrale Element von (R, E 1 ) („Nullelement des Ringes R”) stets mit ‘0’, das neutrale Element von (R, E2 ) („Einselement von R”) stets mit ‘1’ bezeichnet.8 Aufgabe 15. Gibt es neben dem Nullring {0} weitere Ringe (R, E1 , E2 ), für die auch (R, E2 , E1 ) ein Ring ist? Die weiter oben für Monoide oder Gruppen erklärten Konzepte werden sinngemäß auf Ringe übertragen. Man nennt etwa zwei Ringe R und R0 isomorf, wenn eine bijektive Abbildung φ : R → R0 existiert mit φ(x + y) = φ(x) + φ(y) und φ(xy) = φ(x)φ(y) für alle x, y ∈ R.
8 Manchmal
(A.2)
schreiben wir 1R ’ anstelle von ‘1’, etc., wenn Verwechslungsgefahr mit der ganzen Zahl 1 = 1Z ∈ Z besteht.
105
Ein Element x ∈ R heißt Einheit des Ringes R, wenn es im Multiplikationsmonoid (R, E2 ) invertierbar ist, d. h. wenn ein y ∈ R mit xy = yx = 1 existiert. Die Einheiten von R bilden eine Gruppe (vgl. Aufgabe 12), die mit R∗ bezeichnet wird und Einheitengruppe von R heißt. Unter der Charakteristik eines Ringes R versteht man im Falle ihrer Existenz die kleinste natürliche Zahl n mit n1R = 1R + 1R + · · · + 1R = 0R . Wenn kein solches n exi{z } | n Summanden
stiert, sagt man R habe die Charakteristik 0. Die Charakteristik von R wird mit char(R) bezeichnet. Der Teilring Z1R von R ist im Fall char(R) = n zu Zn isomorph, im Fall char(R) = 0 dagegen zu Z. Im Fall char(R) = n gilt außerdem nx = n(1 R x) = (n1R )x = 0 für x ∈ R. Die additive Ordnung jedes Elements x ∈ R ist dann also ein Teiler von n. Unter einer Kongruenzrelation auf einem Ring R versteht man eine bezüglich beider Operationen E1 und E2 invariante Äquivalenzrelation auf R. Mit dem Symbol ‘≡’ geschrieben lautet die Bedingung also (x ≡ x0 ∧ y ≡ y0 ) =⇒ (x + y ≡ x0 + y0 ∧ xy ≡ x0 y0 ). Die Kongruenzrelationen auf R entsprechen umkehrbar eindeutig den additiven Untergruppen I von R mit RI := {ax; a ∈ R, x ∈ I} ⊆ I und IR ⊆ I (Idealen des Ringes R). Für jedes Ideal I von R ist R/I := {x + I; x ∈ R} mit Operationen (x + I) + (y + I) := x + y + I, (x + I)(y + I) := xy + I ein Ring (Faktorring von R modulo I) und π : R → R/I, x 7→ x + I ein Ringepimorphismus. Aufgabe 16. Gegeben sei eine Kongruenzrelation auf einem Ring R. Zeigen Sie, daß I := {x ∈ R; x ≡ 0} ein Ideal des Ringes R ist und daß x ≡ y ⇐⇒ x − y ∈ I sowie [x] := {y; y ≡ x} = x + I. Tip : Benützen Sie, daß x · 0 = 0 · x = 0 für jedes x ∈ R.
Man nennt einen Ring R 6= {0} einfach, wenn {0} und R seine einzigen Ideale sind. 9 Ist R ein einfacher Ring und φ : R → S ein Ringepimorphismus, so gilt entweder S = {0} (und φ ist die Nullabbildung) oder S ∼ = R (und φ ist bijektiv); salopp ausgedrückt: Ein einfacher Ring besitzt außer dem Nullring und sich selbst keine homomorphen Bilder (Faktorringe). Das Standardbeispiel für einen einfachen Ring bildet der Matrizenring M(n, F) über einem Körper F. Aufgabe 17. Unter der äußeren direkten Summe R1 ⊕R2 ⊕· · ·⊕Rr der Ringe R1 , R2 , . . ., Rr versteht man die Menge R1 × R2 × · · · × Rr aller r-Tupel x = (x1 , x2 , . . . , xr ), xi ∈ Ri , zusammen mit der durch x + y := (x1 + y1 , x2 + y2 , . . ., xr + yr ), xy := (x1 y1 , x2 y2 , . . . , xr yr ) erklärten Addition bzw. Multiplikation. Beweisen Sie: 1. R1 ⊕ R2 ⊕ · · · ⊕ Rr ist ein Ring;
2. (R1 ⊕ R2 ⊕ · · · ⊕ Rr )∗ = R∗1 ⊗ R∗2 ⊗ · · · ⊗ R∗r .
9 Dazu
äquivalent ist natürlich, daß die Gleichheit auf R und die „Allrelation” R × R die einzigen Kongruenzrelationen auf R sind.
106
3. Für einen Ring R gilt gilt R ∼ = RT 1 ⊕R2 ⊕· · ·⊕Rr genau dann, wenn Ideale I1 , I2 , . . ., Ir in R existieren mit Ii ∼ R , I ∩ = i i j6=i I j = {0} und R = I1 + I2 + · · · + Ir .
Ein Ring R heißt nullteilerfrei, wenn aus xy = 0 stets x = 0 oder y = 0 folgt. Abgesehen vom pathologischen Fall des Nullringes R = {0}, des einzigen Ringes, in dem 1 = 0 gilt, ist das gleichwertig damit, daß R \ {0} ein multiplikatives Monoid (Teilmonoid von (R, E2 )) ist. Ein kommutativer, nullteilerfreier Ring mit 1 6= 0 heißt Integritätsring. Nach dem Homomorphiesatz für Ringe (analog zu Fakt A.1) ist Schließlich nennt man R einen Schiefkörper oder Divisionsring (bzw. einen Körper), wenn R \ {0} eine Gruppe (bzw. eine kommutative Gruppe) ist. 10 Ein kommutativer Ring ist ein Körper genau dann, wenn er einfach ist. Nach dem Homomorphiesatz für Ringe (analog zu Fakt A.1) ist ein Faktorring R/I eines kommutativen Ringes R genau dann ein Körper, wenn I ein sog. maximales Ideal in R (I 6= R und es existiert kein Ideal J mit I $ J $ R) ist. Aufgabe 18. Es sei I ein Ideal eines Ringes R. Zeigen Sie, daß der Faktorring R/I genau dann ein Schiefkörper ist, wenn I ein maximales Linksideal ist.11 In der Theorie der Körpererweiterungen wird häufig von dem folgenden Spezialfall der weiter oben für Ringhomomorphismen φ : R → S mit einfacher Quelle R getroffenen Aussage Gebrauch gemacht: Sind E, F Körper und φ : E → F ein (Körper)Homomorphismus, so ist entweder φ = 0 oder φ ist injektiv. Jeder Integritätsring R läßt sich in einen Körper, den sog. Quotientenkörper von R, einbetten. Die nachfolgende Konstruktion des Quotientenkörpers von R ist der Konstruktion des Körpers Q der rationalen Zahlen aus Paaren ganzer Zahlen („Brüchen”) nachempfunden: Auf R × (R \ {0}) werden eine Relation, eine Addition und eine Multiplikation erklärt durch (a, b) ∼ (a0 , b0 ) : ⇐⇒ ab0 = ba0 , (a, b) + (c, d) := (ad + bc, bd) bzw. (a, b)(c, d) := (ac, bd). In der Algebra-Vorlesung wird gezeigt, daß ∼ eine mit Addition und Multiplikation verträgliche Äquivalenzrelation ist und daß die Faktorstruktur F einen Körper bildet.12 Zum Beispiel gilt 0 = [(0, 1)], [(a, b)] = 0 ⇐⇒ a = 0, −[(a, b)] = [(−a, b)], 1 = [(1, 1)], [(a, b) = 1 ⇐⇒ a = b und 1/[(a, b)] = [(b, a)] für a, b ∈ R \ {0}, wobei wie üblich [(a, b)] := (a0 , b0 ); (a, b) ∼ (a0 , b0 ) . Weiter wird gezeigt, daß die Abbildung φ : R → F, a 7→ [(a, 1)] ein Ringmonomorphismus ist und jedes Element von F Quotient zweier Elemente des zu R isomorphen Rings φ(R) ⊆ F ist. Ein wichtiges Beispiel für einen Quotientenkörper sind die in Abschnitt A.3 und A.4 behandelten Körper der rationalen Funktionen (in einer Unbestimmten). 10 Ich
folge also der nicht von allen Autoren geteilten Auffassung, daß ein Körper per definitionem kommutativ ist. 11 Ein Linksideal eines Ringes R ist eine additive Untergruppe I von R, für die RI ⊆ I gilt. Ein maximales Linksideal ist ein Linksideal I $ R, für das kein Linksideal J mit I $ J $ R existiert. 12 Beim Nachweis der Transitivität der Relation ∼ braucht man die Kürzungsregel (xy = xz∧x 6= 0) =⇒ y = z), die aus der Nullteilerfreiheit von R folgt.
107
A.3 Polynomringe In Einführungsvorlesungen über Analysis werden Polynome mit – sagen wir – reellen Koeffizienten häufig als Polynomfunktionen, d. h. Abbildungen f : R → R der speziellen Bauart x 7→ a0 + a1 x + a2 x2 + · · ·+ ad xd mit a0 , a1 , . . . , ad ∈ R erklärt, die man punktweise addiert und multipliziert. Im weiteren Verlauf der Vorlesung wird dann gezeigt, daß eine solche Funktion die Folge ihrer Koeeffizienten eindeutig bestimmt (Identitätssatz für Polynome) und man daher vor bösen Überraschungen beim Rechnen mit Polynomfunktionen (wie etwa der Mehrdeutigkeit des Grades deg f ) selbst dann sicher ist, wenn man die zugrunde liegenden algebraische Strukturen (Polynomringe) gar nicht oder nur unzureichend verstanden hat. Wenn man es anstelle von R mit einem endlichen Koeffizientenring R wie etwa Z 2 zu tun hat, so versagt die Definition von Polynomen durch Polynomfunktionen völlig. In diesem Fall gibt es ja nur endlich viele Abbildungen f : R → R, also erst recht nur endlich viele Polynomfunktionen f : R → R, während es offenbar unendlich viele verschiedene mögliche Koeffizientenfolgen gibt, die bei einer sinnvollen Definition auch verschiedene Polynome definieren müssen.13 Die elegante Lösung des Problems besteht darin, die Koeffizientenfolgen selbst als Polynome zu bezeichnen und für solche Folgen Addition und Multiplikation in einer Weise zu erklären, daß die Menge R[X ] all dieser Folgen einen Ring (Ring der Polynome in einer Unbestimmten über R) bildet, der in Spezialfällen wie etwa R = R zum oben betrachteten Ring der Polynomfunktionen isomorf ist. Von da ist es dann ein kleiner Schritt zu Polynomringen in mehreren Unbestimmten, zu Potenzreihen und allgemeineren Objekten, die aus vielen Teilgebieten der Mathematik heute nicht mehr wegzudenken sind. Definition 14. Es sei R ein kommutativer Ring. Unter einem Polynom mit Koeffizienten in R versteht man eine Folge a = (a0 , a1 , a2 , . . .) ∈ RN0
mit endlichem Träger
Supp f := {i ∈ N0 ; ai 6= 0}.
Polynome werden addiert bzw. multipliziert nach den beiden Vorschriften
(a0 , a1 , a2 , . . . ) + (b0 , b1 , b2 , . . .) := (a0 + b0 , a1 + b1 , a2 + b2 , . . .), (a0 , a1 , a2 , . . . ) × (b0 , b1 , b2 , . . .) := (a0 b0 , a0 b1 + a1 b0 , a0 b2 + a1 b1 + a2 b0 , . . . ), (A.3) i d. h. (a + b)i := ai + bi , (ab)i := ∑ j=0 a j bi− j . Der Ring aller Polynome mit Koeffizienten in R wird üblicherweise mit R[X ] bezeichnet.14 Die Zahl deg a := max{i; ai 6= 0} heißt Grad des Polynoms a ∈ R[X ] \ {0}. Zum Beispiel ist gilt für die Polynomfunktionen Z2 → Z2 , x 7→ xi offenbar 1 6= x = x2 = x3 = · · · =. Mit solchen Dingern kann man überhaupt keine sinnvolle Mathematik treiben. 14 Eine Erklärung für diese Schreibweise folgt weiter unten. 13
108
Diese Definition wird noch um deg 0 := −∞ ergänzt. Das Polynom a heißt normiert, falls ad = 1 ist. Man prüft leicht nach, daß deg(a+b) ≤ max{deg a, deg b} und deg(ab) ≤ deg a + deg b für a, b ∈ R[X ]. Wenn R ein Integritätsring ist, so ist auch R[X ] ein Integritätsring und es gilt stets deg(ab) = deg a + degb. Die Polynome a = (a0 , 0, 0, . . .) vom Grad 0, die sog. konstanten Polynome, bilden einen zu R isomorphen Teilring von R[X ] und dürfen deshalb mit den Elementen von R (in der naheliegenden Weise) identifiziert werden. In diesem Sinne ist dann R ein Teilring von R[X ]. Für das spezielle Element X := (0, 1, 0, 0, . . .) ∈ R[X ] und i ∈ N0 gilt, wie man leicht nachrechnet, X i = (0, 0, . . ., 0, 1, 0, 0, . . .) | {z } i Nullen
für a ∈ R. Folglich gilt
sowie aX i = (a, 0, 0, . . .)X i = (0, 0, . . ., 0, a, 0, 0, . . .) | {z } i Nullen
a = (a0 , 0, 0, . . .) + (0, a1 , 0, 0, . . .) + (0, 0, a2, 0, 0, . . .) + · · · + (0, 0, . . ., 0, ad , 0, 0, . . .) = a0 + a1 X + a2 X 2 + · · · + a d X d
für jedes a ∈ R[X ] mit deg a = d. Dies rechtfertigt die Bezeichnung „Polynom” für a und die Schreibweise a = a(X ), und es erklärt auch die Bezeichung R[X ] : Der Ring R[X ] wird von R und X erzeugt in dem Sinne, daß R[X ] keinen echten Teilring S mit R ∪ {X } ⊆ S enthält. Eine ganz wichtige Eigenschaft des Polynomrings R[X ] ist die Tatsache, daß man jeden Ringhomomorphismus φ : R → S durch beliebige Auswahl von φ(X ) := α ∈ S zu einem Ringhomomorphismus φ : R[X ] → S fortsetzen kann. Im Spezialfall R ⊆ S, φ = idR erhält man die sog. Einsetzhomomorphismen φα : R[X ] → S, ∑di=0 ai X i 7→ ∑di=0 ai αi (α ∈ S) oder, prägnant formuliert, φα : a(X ) 7→ a(α). Wir betrachten ab jetzt den Polynomring F[X ] über einem Körper F, der sich durch ein paar schöne Zusatzeigenschaften gegenüber dem allgemeinen Fall.auszeichnet. In F[X ] gilt der folgende Satz von der Division mit Rest: Zu a, b ∈ F[X ] mit a 6= 0 existieren eindeutig bestimmte Polynome q, r ∈ F[X ] mit 0 ≤ deg r < deg b. 15 Damit zeigt man leicht, daß jedes Ideal I von F[X ] die Gestalt I = (b) := F[X ] · b = {qb; q ∈ F[X ]} mit einem im Fall I 6= {0} eindeutig bestimmten normierten Polynom b ∈ F[X ] hat, das sich durch deg b = min{deg a; a ∈ I} auszeichnet.16 Ein Polynom f ∈ F[X ] heißt irreduzibel, wenn f ∈ / F (d. h. deg f ≥ 1) und aus f = ab mit a, b ∈ F[X ] stets a ∈ F oder b ∈ F folgt. In F[X ] gilt ein zum Fundamentalsatz der Arithmetik analoger Satz, in dem die normierten, irreduziblen Polynome die Rolle der Primzahlen spielen: Zu jedem normierten Polynom f ∈ F[X ] existieren bis auf die Reihenfolge eindeutig bestimmte 15 Beachte
deg0 = −∞ < degb für b ∈ F[X] \ {0}. in denen jedes Ideal ein sog. Hauptideal (a) := Ra ist (wie im vorliegenden Fall), werden Hauptidealringe genannt. 16 Integritätsringe,
109
normierte, irreduzible Polynome h1 , h2 , . . . , hr und Exponenten e1 , e2 , . . . , er ≥ 1 mit f (X ) = h1 (X )e1 h2 (X )e2 · · · hr (X )er .17
(A.4)
Die Polynome hi (X ), i ∈ 1, r, sind genau die normierten irreduziblen Teiler („Primteiler”) von f in F[X ]. Nullstellen von f in F, d. h. Elemente a ∈ F mit f (a) = 0, entsprechen Linearfaktoren h(X ) = X − a in (A.4). Daran erkennt man, daß ein Polynom f ∈ F[X ] vom Grad d höchstens d Nullstellen haben kann.18
Aufgabe 19. Es seien R ein beliebiger kommutativer Ring, f ∈ R[X ] und a ∈ R. Beweisen Sie: Es gilt X − a | f ⇐⇒ f (a) = 0. Folgern Sie daraus, daß im Falle eines Integritätsringes R das Polynom f höchstens deg f Nullstellen in R haben kann.
Wie beim Fundamentalsatz der Arithmetik bereitet der Beweis der Eindeutigkeit der Darstellung (A.4) größere Mühe als der Beweis der Existenz (mindestens) einer solchen Darstellung. Die halbe Miete für den Eindeutigkeitsbeweis ist der Nachweis der folgenden Primzahleigenschaft irreduzibler Polynome. Aufgabe 20. Es seien F ein Körper und h ∈ F[X ] ein irreduzibles Polynom. Beweisen Sie: Aus f | gh in F[X ] folgt f | g oder f | h.
Man nennt f quadratfrei, wenn in (A.4) ei = 1 für alle i ∈ 1, r gilt. Ob f quadratfrei ist, kann man mit Hilfe der formalen Ableitung D : F[X ] → F[X ], f 7→ f 0 = (∑di=0 fi X i )0 := ∑di=1 i fi X i−1 , die den aus der Analysis bekannten Rechenregeln genügt, testen: Aus f = h2 g folgt f 0 = 2hh0 g + h2 g0 = h(2h0g + hg0 ), also h | gcd( f , f 0 ). Aus f = hg mit h - g folgt f 0 = h0 g + hg0 , also h - gcd( f , f 0 ) oder h|h0 . Aus Gradgründen kann h0 | h nur im Fall h0 = 0 gelten. Man nennt einen Körper F unvollkommen, wenn es in F[X ] irreduzible Polynome mit der seltsamen Eigenschaft h0 = 0 gibt (gewissermaßen konstante irreduzible Polynome, eigentlich ein Unding!). Wir haben gerade gezeigt:
Fakt A.3. Wenn f und f 0 teilerfremd sind, so ist f ∈ F[X ] quadratfrei. Bei vollkommenem Koeffizientenkörper F gilt auch die Umkehrung. Aufgabe 21. Zeigen Sie, daß ein Körper F genau dann unvollkommen ist, wenn er die Charakteristik p hat und F p := {a p ; a ∈ F} $ F gilt. Tip : Wenn F die Charakteristik p hat, so gilt ker D = g(X p); g ∈ F[X ] , und h := X p − a ist im Fall a ∈ / F p irreduzibel über F. 17
Integritätsringe mit dieser Eigenschaft werden faktorielle Ringe, Gaußsche Ringe oder ZPE-Ringe genannt. Dreimal dürfen Sie raten, woher die Bezeichnung „ZPE-Ring” kommt. 18 Diese Aussage gilt auch für Integritätsringe, weil sie sich stets in einen Körper, ihren sog. Quotientenkörper (vgl. Abschnitt A.2), einbetten lassen. Sie ist falsch für Ringe mit Nullteilern wie z. B. Z 6 (betrachte X 2 − X).
110
Satz A.4. Der Faktorring R = F[X ]/( f ) ist ein Körper genau dann, wenn f in F[X ] irreduzibel ist. Beweis. Wenn f reduzibel und f (X ) = a(X )b(X ) eine nichttriviale Faktorisierung in F[X ] ist (d. h. 1 ≤ deg a ≤ d −1), dann besitzt R wegen a+( f ) b+( f ) = f +( f ) = 0, a + ( f ) 6= 0, b + ( f ) 6= 0 Nullteiler, ist also kein Körper. Wenn dagegen f irreduzibel und a + ( f ) 6= 0, d. h. a kein Vielfaches von f ist, so liefert der erweiterte Euklidische Algorithmus für Polynome, angewandt auf a und f , eine Darstellung 1 = ggT(a, f ) = ua + v f mit u, v ∈ F[X ]. Das zeigt u + ( f ) a + ( f ) = 1 in R, d. h. jedes Element a + ( f ) ∈ R \ {0} ist invertierbar. Wir besprechen abschließend kurz rationale Funktionen, formale Potenzreihen und formale Laurentreihen in einer Unbestimmten über einem Körper F und die Verallgemeinerung dieser Strukturen auf den Fall von mehr als einer Unbestimmten. Es sei F ein Körper. Unter einer rationalen Funktion in einer Unbestimmten über F versteht man ein Element des Quotientenkörpers von F[X ]. Der Quotientenkörper von F[X ] wird mit F(X ) bezeichnet. Die Elemente von F(X ) haben die Form f (X ) = a(X) b(X) mit a ∈ F[X ] und b ∈ F[X ] \ {0}. Hierin sind a, b eindeutig bestimmt, wenn man
zusätzlich b als normiert und gcd(a, b) = 1 voraussetzt.19 Es sei R ein kommutativer Ring. Addition und Multiplikation beliebiger Folgen a, b ∈ RN0 nach den Vorschriften (A.3) macht RN0 zu einem kommutativen Ring, dem mit R[[X ]] bezeichneten Ring der formalen Potenzreihen in einer Unbestimmten über R. Die Rolle der Gradfunktion f 7→ deg f übernimmt dabei der durch mindeg(a) := min{i; ai 6= 0} für a ∈ R[[X ]] \ {0} und mindeg(0) := +∞ erklärte Minimalgrad. Unter Verwendung von mindeg( f g) = mindeg f + mindeg g beweist man leicht, daß sich die Eigenschaft der Nullteilerfreiheit von R auch auf R[[X ]] vererbt. Die in R[X ] gültige Identität a = a0 + a1 X + · · · + ad X d , d = deg a, wird ersetzt durch a = a0 + a1 X + · · · + an X n + rn (X ) mit
mindegrn (X ) > n (n = 0, 1, 2, . . .).
Man führt nun auf R[[X ]] einen Konvergenzbegriff ein durch f n → f : ⇐⇒ mindeg( fn − f ) → +∞ und erhält für jedes a ∈ R[[X ]] wegen rn (X ) → ∞ die Darstellung a = (a0 , a1 , a2 , . . . ) = lim (a0 + a1 X + · · · + an X n ) = n→∞
∞
∑ an X n .
n=0
Wir setzen ab jetzt voraus, daß R = F ein Körper ist. In diesem Fall ist a ∈ F[[X ]] genau dann invertierbar, wenn mindeg a = 0, analog zur Situation in F[X ]. Die Einheitengruppe des Ringes F[[X ]] ist aber viel größer, z. B. besitzt jedes Polynom a = 19 Man kann auch sagen, daß jede rationale Funktion f ∈ F(X) \ {0} genau eine „gekürzte” Darstellung f = c · he11 he22 · · · her r mit c ∈ F \ {0}, normierten, irreduziblen Polynomen hi ∈ F[X] und ganzzahligen Exponenten ei ∈ Z \ {0} besitzt.
111
a0 + a1 X + · · · + ad X d ∈ F[X ] mit d ≥ 1 und a0 ad 6= 0 eine reziproke Potenzreihe 1/a ∈ F[[X ]], ist aber in F[X ] nicht invertierbar. Das Paradebeispiel ist die reziproke Pon tenzreihe von 1 − X , die „geometrische Reihe” (1 − X )−1 = ∑∞ n=0 X . Der Ring F[[X ]] besitzt neben (0) nur die Ideale (X n ), n ∈ N0 , ist also ein faktorieller Ring sehr einfacher Bauart (ein sog. diskreter Bewertungsring). Die Vorschriften (A.3) zur Addition und Multiplikation von Folgen lassen sich sogar noch weiter ausdehnen auf „beidseitig unendliche Folgen” a, b ∈ R Z , sofern – das betrifft natürlich nur die Multiplikation – die Träger Supp f und Supp g ein kleinstes Element besitzen.20 Wenn F ein Körper ist, so wird die Menge solcher Folgen auf diese Weise zu einem Körper F((X )), der F[[X ]] enthält und auf natürliche Weise zum Quotientenkörper von F[[X ]] isomorph ist. Die Elemente von F((X )) bezeichnet man in Anlehnung an die Funktionentheorie als formale Laurentreihen in einer Unbestimmten über F.21 Polynomringe in zwei Unbestimmten, die das Rechnen mit Polynomen in zwei Variablen unter Berücksichtigung des Indentitätssatzes präzisieren, werden wie folgt erklärt: Es seien R ein kommutativer Ring und G := N0 × N0 das mit der komponentenweisen Addition i+j := (i1 + j1 , i2 + j2 ) und der Ordnungsrelation i ≤ j : ⇐⇒ (i1 ≤ j1 ∧ i2 ≤ j2 ) versehene (geordnete) Monoid. Der Ring R[X ,Y ] besteht aus allen Abbildungen a : G → R, a 7→ ai = ai1 i2 mit endlichem Träger Supp a := {i; ai 6= 0}, die nach den Vorschriften (a + b)i := ai + bi und (ab)i := ∑j∈G;j≤i aj bi−j addiert bzw. multipliziert werden. Mit X := χ{(1,0)} (charakteristische Funktion der einelementigen Menge {(1, 0)}), Y := χ{(0,1)} , d1 := max{i; ∃ j mit ai j 6= 0}, d2 := max{ j; ∃i mit ai j 6= 0} und d = (d1 , d2 ) erhält man wie im Fall einer Unbestimmten die Darstellung a = ∑i∈G;i≤d ai1 i2 X i1Y i2 , die die Bezeichung „Polynom” für a und die Schreibweise a = a(X ,Y ) rechtfertigt. Wenn der Koeffizientenring R = F ein Körper ist, so ist F[X ,Y ] ein Integritätsring, in dem der Satz von der Existenz und Eindeutigkeit der Primfaktorisierung gilt (faktorieller Ring), aber kein Hauptidealring. Die Verallgemeinerungen auf formale Potenzreihen in zwei Unbestimmten und auf Polynome und Potenzreihen in mehr als zwei Unbestimmten liegen auf der Hand und werden nicht weiter besprochen. Zu beachten ist allerdings, daß der Quotientenkörper von F[[X ,Y ]] keine so nette Darstellung durch formale Laurentreihen wie im Fall einer Unbestimmten besitzt. 20 Gleichwertig
damit ist die Existenz einer ganzen Zahl n0 mit an = 0 für n < n0 und analog für b. einem beliebigen kommutativen Ring R erhält man auf diese Weise immerhin einen Ring R((X)), dessen arithmetische Struktur mit derjenigen von R völlig übereinstimmt. 21 Ausgehend von
112
A.4 Körpererweiterungen Wenn F Teilkörper22 eines Körpers E ist, so nennt man E (Körper-)Erweiterung von F und schreibt dafür E/F. Der Körper E bildet in diesem Fall in natürlicher Weise einen F-Vektorraum bezüglich der Operationen E × E → E, (α, β) 7→ α + β (Vektoraddition), F × E → E, (a, α) 7→ aα (Skalarmultiplikation). Die (Kardinal-)Zahl dimF (E) heißt Grad der Körpererweiterung E/F und wird mit [E : F] bezeichnet. Für α ∈ E bezeichnet man den kleinsten Teilkörper (Teilring) von E, der F und α enthält, mit F(α) (bzw. F[α]) und sagt, F(α) entstehe aus F durch Körperadjunktion (bzw. F[α] entstehe aus F durch Ringadjunktion) des Elements α ∈ E. Entsprechend werden F(α 1 , α2 , . . ., αr ) und F[α1 , α2 , . . . , αr ] (kleinster Teilkörper bzw. Teilring von E, der F und α1 , α2 , . . . , αr enthält) und allgemeiner F(A), F[A] für beliebiges A ⊆ E definiert.23 24 25 Der Durchschnitt P aller Teilkörper eines Körpers F ist selbst ein Körper und heißt Primkörper von F. Man überzeugt sich leicht davon, daß P ∼ = Z p im Fall char(F) = p ∼ und P = Q im Fall char(F) = 0. Im Fall dimF (E) < ∞ heißt die Erweiterung E/F endlich. Für geschachtelte Körpererweiterungen F ⊆ E ⊆ D hat man Fakt A.5 (Gradsatz). Für drei Körper E, F, K mit F ⊆ K ⊆ E Körper gilt [E : F] = [E : K] · [K : F].
Insbesondere sind für jeden Zwischenkörper K einer endlichen Erweiterung E/F die Zahlen [K : F] und [E : K] Teiler von [E : F]. Ein Element α ∈ E heißt algebraisch über F, wenn ein Polynom f ∈ F[X ] \ {0} existiert mit f (α) = 0, andernfalls transzendent über F. Eine Betrachtung des Einsetzhomomorphismus F[X ] → E, f (X ) 7→ f (α) zeigt im ersten Fall F(α) = F[α] ∼ = F[X ]/(h), wobei h ∈ F[X ] das eindeutig bestimmte normierte Polynom minimalen Grades mit h(α) = 0 (Minimalpolynom von α über F) ist,26 und im zweiten Fall F(α) ∼ = F(X ). Im ersten Fall gilt [F(α) : F] = deg h < ∞, im zweiten Fall [F(α) : F] = ℵ0 .27 22
Wir verkneifen uns den ordinären Ausdruck „Unterkörper” und schlagen für den nicht minder ordinären „Oberkörper” als Ersatz „Mutterkörper” vor. 23 Merkregel: Runde Klammern stehen für Körperadjunktion, eckige Klammern für Ringadjunktion. Bei der Ringadjunktion brauchen F und E keine Körper, sondern nur Ringe zu sein. 24 Diese Bezeichnungen sind konsistent mit den Bezeichungen F[X , . . . , X ] bzw. F(X , . . . , X ) für 1 r 1 r Polynomringe bzw. rationale Funktionenkörper. 25 Bei der Ringadjunktion in nullteilerhaltigen Ringen ist Vorsicht geboten, da in diesem Fall der Durchschnitt von Teilringen nicht unbedingt wieder ein Teilring ist. (Der Durchschnitt braucht nämlich nicht unbedingt ein Einselement zu enthalten.) Bei den hier vorliegenden Integritätsringen passieren solche Schweinereien nicht: Wegen e2 = e =⇒ e = 1 enthalten alle Teilringe das Einselement des Mutterrings. 26 Wegen der Nullteilerfreiheit von E ist h irreduzibel in F[X] (vgl. den Beweis von Satz A.4). Nach Satz A.4 ist der Erweiterungsring F[α] ∼ = F[X]/(h) ein Körper, d. h. es gilt F(α) = F[α]. 27 Das Symbol ℵ steht für die kleinste unendliche Kardinalzahl (Mächtigkeit von N). 0
113
Eine Körpererweiterung E/F heißt algebraisch, wenn jedes Element α ∈ E algebraisch über F ist. Nach den bisherigen Ausführungen ist klar, daß alle endlichen Erweiterungen von F algebraisch über F und von der Bauart E = F(α1 , α2 , . . . , αr ) mit über F algebraischen Elementen α1 , α2 , . . . , αr sind.28
A.5 Vektorräume und Moduln Es sei R ein Ring. Unter einem (unitären) Linksmodul über R (oder einem R-Linksmodul) versteht man ein Tripel (M, E1 , E2 ) bestehend aus einer Menge M und zwei binären Operationen E1 : M × M → M, (x, y) 7→ x + y := E1 (x, y) („Vektoraddition”), E2 : R × M → M, (α, x) 7→ αx := E2 (α, x) („Skalarmultiplikation”), die den folgenden Axiomen genügen: (M1) (R, E1 ) ist eine abelsche Gruppe; (M2) (αβ)x = α(βx) für alle α, β ∈ R, x ∈ M;
(M3) (α + β)x = αx + βx, α(x + y) = αx + αy für alle α, β ∈ R, x, y ∈ M; (M4) 1x = x für alle x ∈ M.
Oft schreibt man kurz R M oder noch kürzer M anstelle von (M, E1 , E2 ). Rechtsmoduln über R werden mit Hilfe einer „Skalarmultiplikation von rechts”, E 2 : M × R → M, (x, α) 7→ xα := E2 (x, α), und den analogen Axiomen definiert und zur Abkürzung mit MR (oder M) bezeichnet.29 Man spricht von Linksvektorräumen (bzw. Rechtsvektorräumen) anstelle von Linksmoduln (Rechtsmoduln), wenn R ein Schiefkörper ist. Aus einem Linksmodul M über R entsteht durch die Festsetzung xα := αx ein Rechtsmodul M ◦ über dem zu R entgegengesetzten Ring R◦ , der sich von R durch die Multiplikation (α, β) 7→ βα (anstelle von (α, β) 7→ αβ) unterscheidet. Die (umkehrbar eindeutige) Zuordnung M 7→ M ◦ erlaubt es, sich beim Studium von Moduln auf Linksmoduln zu beschränken. Wenn R kommutativ ist, so ist jeder Modul M ◦ auch ein Modul über R, und man braucht deshalb nicht zwischen R-Linksmoduln und R-Rechtsmoduln zu unterscheiden. Man spricht in diesem Fall also stets von R-Moduln ohne den Zusatz „Links-” oder „Rechts-”. Zwei Linksmoduln M1 und M2 über demselben Ring R werden isomorf genannt, wenn eine bijektive Abbildung φ : M1 → M2 existiert mit φ(x + y) = φ(x) + φ(y) und φ(αx) = αφ(x) 28 Umgekehrt ist
29 „Modul” ohne
für alle x, y ∈ M1 und α ∈ R.30 (A.5)
jede solche Erweiterung E = F(α1 , α2 , . . . , αr ) endlich, wie man sich leicht überlegt. den Zusatz „Links-” oder „Rechts-” bedeutet Links- oder Rechtsmodul.
114
Eine nicht notwendigerweise bijektive Abbildung φ : M1 → M2 mit den Eigenschaften in (A.5) heißt Homomorphismus (von R-Moduln) oder R-lineare Abbildung. Die Begriffe „Epimorphismus”, „Monomorphismus”, „Isomorphismus”, „Automorphismus” haben ihre übliche Bedeutung. Bemerkung 16. Die hier angegebene Definition von R-Moduln und ihren Morphismen setzt den Ring R als bekannte Größe voraus. Deswegen wird auch nicht näher auf die Beziehungen zwischen Moduln über verschiedenen Ringen eingegangen. Ein anderer Weg bestünde darin, die Struktur des Ringes R in die Definition eines Moduls einzubauen, also etwa R-Linksmoduln als Sextupel (M, R, E1 , E2 , E3 , E4 ) zu definieren, wobei E1 , E2 für die Operationen in R und E3 , E4 für Vektoraddition und Skalarmultiplikation stehen. Die zugehörigen Morphismen bestünden dann jeweils aus zwei Abbildungen φ : M1 → M2 und σ : R1 → R2 , die den Bedingungen φ(x + y) = φ(x) + φ(y), σ(α + β) = σ(α) + σ(β), σ(αβ) = σ(α)σ(β) und φ(αx) = σ(α)φ(x) für x, y ∈ M, α ∈ R genügen (sog. semilinearen Abbildungen). Viele aus der Linearen Algebra bekannte Konzepte wie etwa Teilraum, Faktorraum, lineare Unabhängigkeit, Erzeugendensystem, lineare Hülle, Basis, Kern und Bild einer linearen Abbildung lassen sich zwar unmittelbar auf Moduln übertragen. Generell ist die Situation in der Modultheorie aber viel verwickelter als in der Linearen Algebra. Es werden viele zusätzliche Begriffe gebraucht wie z. B. der des halbeinfachen Moduls oder des freien Moduls,31 , und man hat mit vielen Tücken zu kämpfen wie etwa, daß nicht jeder Modul eine Basis besitzt oder daß ein Modul Basen verschiedener Mächtigkeit haben kann.
A.6 Elementare Zahlentheorie Am Anfang der elementaren Zahlentheorie steht der Ihnen sicherlich wohlbekannte Satz A.6 (Fundamentalsatz der Arithmetik). Zu jeder natürlichen Zahl n existieren bis auf die Reihenfolge eindeutig bestimmte Primzahlen p1 , p2 , . . . , pr und Exponenten ei ≥ 1 mit n = pe11 pe22 · · · per r .
Für je zwei natürliche Zahlen m, n ∈ N bezeichnen wir mit gcd(m, n) und lcm(m, n) den größten gemeinsamen Teiler bzw. das kleinste gemeinsame Vielfache von m, n. 32 Die Zahlen a = gcd(m, n) ∈ N, b = lcm(m, n) ∈ N sind durch die Eigenschaften (∀x ∈ N)((x | m ∧ x | n) =⇒ x | a) bzw. (∀d ∈ N)((m | x ∧ n | x) =⇒ b | x) gekennzeichnet. Sind 31 Ein
Modul M heißt halbeinfach, wenn zu jedem Untermodul U von M ein Untermodul V von M („Komplement”) existiert mit U +V = M und U ∩V = {0}. Ein Modul M heißt frei, wenn er eine Basis besitzt. 32 Die Symbole ‘gcd’, ‘lcm’ stehen für greatest common divisor bzw. least common multiple.
115
f
m = ∏ri=1 pei i , n = ∏ri=1 pi i die Primfaktorisierungen von m und n, so gilt gcd(m, n) = min(ei , fi ) max(ei , fi ) , lcm(m, n) = ∏ri=1 pi ∏ri=1 pi Fakt A.7 (Chinesischer Restsatz). Es seien n1 , n2 , . . . , nr paarweise teilerfremde natürliche Zahlen und n := n1 n2 · · · nr . Dann ist die Abbildung Z n → Z n1 ⊕ Z n2 ⊕ · · · ⊕ Z nr , (A.6) γ: x + nZ 7→ (x + n1 Z, x + n2 Z, . . . , x + nr Z) ein Ringisomorphismus.33
Die Abbildung γ aus Fakt A.7 induziert natürlich einen Gruppenisomorphismus Z∗n ∼ = Z∗n1 ⊗ Z∗n2 ⊗ · · · ⊗ Z∗nr zwischen den jeweiligen Einheitengruppen. Ist n = ∏ri=1 pei i die Primfaktorisisierung von n, so gilt also insbesondere Zn ∼ = Z pe 1 ⊕ 1 ∗ ∗ ∗ ∗ ∼ Z pe2 ⊕ · · · ⊕ Z per r und Zn = Z pe1 ⊗ Z pe2 ⊗ · · · ⊗ Z per (vgl. Aufgabe 17). 2
1
r
2
Die Einheitengruppe Z∗n des Ringes Zn = Z/nZ der ganzen Zahlen modulo n wird oft prime Restklassengruppe genannt. Die Struktur von Z∗n im Sinne von Fakt A.2 kann mit Hilfe von Fakt A.7 und ( Z(p−1)pe−1 , falls p > 2, Z∗pe ∼ (A.7) = Z2 ⊕ Z2e−2 , falls p = 2, e ≥ 3 bestimmt werden.34 Unter einer arithmetischen Funktion (zahlentheoretischen Funktion) versteht man einfach eine Abbildung f : N → C. Man nennt eine solche Abbildung multiplikativ, wenn f (mn) = f (m) f (n) für alle m, n ∈ N mit gcd(n, m) = 1, (A.8)
und vollständig multiplikativ, wenn
f (mn) = f (m) f (n) für alle m, n ∈ N.
(A.9)
Für eine multiplikative arithmetische Funktion f 6= 0 gilt stets f (1) = 1.35 Eine multiplikative (vollständig multiplikative) arithmetische Funktion f 6= 0 kann man nach dem Fundamentalsatz der Arithmetik durch Vorgabe der Funktionswerte auf allen Primzahlpotenzen (bzw. auf allen Primzahlen) definieren. 33 Die
Surjektivität der Abbildung γ in (A.6) läßt sich auch so aussprechen: Zu beliebigen Zahlen a1 , a2 , . . . , ar ∈ Z existiert stets eine gemeinsame (ganzzahlige) Lösung der r Kongruenzen x ≡ a i (mod ni ). 34 Für Primzahlen p gilt Z∗ ∼ Z p = p−1 gemäß Satz 1.6. Außer dieser Tatsache benötigt man zur Herleitung von (A.7) im wesentlichen noch, daß 1 + p modulo pe im Fall p > 2 die (multiplikative) Ordnung pe−1 hat bzw. daß 5 modulo 2e die Ordnung 2e−2 hat. 35 Zunächst folgt aus f (1) = f (12 ) = f (1)2 entweder f (1) = 0 oder f (1) = 1. Aus f (1) = 0 folgt aber f (n) = f (1 · n) = f (1) f (n) = 0 für alle n ∈ N, d. h. f = 0.
116
Beispiel 34. Die durch ζ(n) := 1 für alle n ∈ N erklärte Funktion ζ : N → C heißt Zetafunktion. Sie ist offenbar vollständig multiplikativ. Die durch ε(1) := 1, ε(n) := 0 für n > 1 bzw. ι(n) := n für alle n ∈ N erklärten Abbildungen ε : N → C und ι : N → C sind weitere (ziemlich triviale) Beispiele vollständig multiplikativer arithmetischer Funktionen. Beispiel 35. Für n ∈ N bezeichne τ(n) die Anzahl der positiven Teiler von n. Sind m, n ∈ N teilerfremd, so läßt sich jeder Teiler d von mn auf genau eine Weise als Produkt d = d1 d2 mit d1 | m und d2 | n schreiben. Deshalb ist τ multiplikativ (aber nicht vollständig multiplikativ!). Ist n = ∏ri=1 pei i die Primfaktorisierung von n, so gilt τ(n) = τ(pe11 )τ(pe22 ) · · ·τ(per r ) = (e1 + 1)(e2 + 1) · · · (er + 1).
Beispiel 36 (Eulersche ϕ-Funktion). Die Eulersche ϕ-Funktion ist erklärt durch ϕ(n) := |Z∗n | = {x ∈ 1, n; gcd(x, n) = 1} für n ∈ N. (A.10)
Wegen Z∗mn ∼ = Z∗m ⊗ Z∗n im Fall gcd(m, n) = 1 (vgl. Fakt A.7) ist ϕ multiplikativ. Für Primzahlpotenzen n = pe gilt ϕ(pe ) = pe − pe−1 , da von den Zahlen x ∈ 1, pe genau pe−1 durch p teilbar und damit nicht teilerfremd zu pe sind. Beispiel 37 (Möbiussche µ-Funktion). Die Möbiussche µ-Funktion µ : N → C ist erklärt durch ( −1, falls e = 1, (A.11) µ(1) := 1, µ(pe ) := 0, falls e ≥ 2,
und multiplikative Fortsetzung auf N wie oben beschrieben. Es gilt µ(n) = (−1) r , falls n = p1 p2 . . . pr Produkt von r paarweise verschiedenen Primzahlen ist, und µ(n) = 0 sonst.
Beispiel 38 (Dirichlet-Charaktere). Unter einem Dirichlet-Charakter versteht man eine vollständig multiplikative arithmetische Funktion χ 6= 0, die eine endliche Periode hat, d. h. es gibt n ∈ N mit χ(x + n) = χ(x) für alle x ∈ N. Gilt zusätzlich χ(x) = 0 für alle x ∈ N mit gcd(x, n) > 1, so nennt man χ einen Dirichlet-Charakter modulo n. 36 Jeder Dirichlet-Charakter χ modulo n induziert vermöge Z∗n → C∗ , x + nZ 7→ χ(x) einen Gruppenhomomorphismus von Z∗n in die multiplikative Gruppe C∗ der komplexen Zahlen,37 und ist durch diesen Gruppenhomomorphismus wegen χ(x) = 0 für x + nZ ∈ 36 Die
Bedingung χ(x) = 0 für alle x ∈ N mit gcd(x, n) > 1 ist offenbar mit χ(p) = 0 für alle Primteiler p von n gleichwertig. Wenn ein Primteiler p mit χ(p) 6= 0 existiert, so hat χ wegen χ(p)χ(x) = χ(px) = χ(px + n) = χ(p)χ(x + n/p) auch noch die kleinere Periode n/p. Die Beschränkung auf Dirichlet-Charaktere modulo n bedeutet also keine wesentliche Einschränkung. Die Zetafunktion etwa ist n-periodisch für jedes n ∈ N, aber nur modulo 1 ein Dirichlet-Charakter. 37 Zu x + nZ ∈ Z∗ existieren a, b ∈ Z mit ax = 1 + bn. Da mit (a, b) auch (a 0 , b0 ) = (a + kn, b + kx) n die Gleichung a0 x = 1 + b0n erfüllt, kann man a, b ∈ N vorausssetzen und hat dann χ(a)χ(x) = χ(ax) = χ(1 + bn) = χ(1) = 1, also χ(x) 6= 0 wie behauptet.
117
Zn \ Z∗n eindeutig festgelegt. Es macht daher keinen Unterschied, ob man mit DirichletCharakteren modulo n oder Gruppenhomomorphismen von Z ∗n in C∗ (Charakteren der Gruppe Z∗n ) arbeitet. Als Beispiel betrachten das sog. Legendre-Symbol. Es seien p > 2 eine Primzahl, Q := {a2 ; a ∈ Z∗p }, N := Z∗p \ Q. Durch falls x + pZ ∈ Q, 1, x := −1, falls x + pZ ∈ N, (A.12) p 0, falls x ∈ pZ. wird ein Dirichlet-Charakter χ : N → C, x 7→ xp erklärt, das sog. Legendre-Symbol modulo p. Wir kommen nun zu einer wichtigen binären Operation auf der Menge der arithmetischen Funktionen, der sog. Dirichlet-Faltung. Die Dirichlet-Faltung zweier arithmetischer Funktionen f , g : N → C wird erklärt durch f ∗ g(n) := ∑ f (d)g(n/d) für d|n
n ∈ N.
(A.13)
In (A.13) wird über alle positiven Teiler d von n summiert. Man rechnet leicht nach, daß die Operation ∗ kommutativ und assoziativ ist und außerdem ein neutrales Element besitzt, nämlich die Funktion ε aus Beispiel 34. Weiter gilt offenbar ( f + g) ∗ h = f ∗ h + g ∗ h für beliebige arithmetische Funktionen f , g, h ∈ CN . Die Menge aller arithmetischen Funktionen bildet mit der punktweisen Addition und der Dirichlet-Faltung als Multiplikation einen kommutativen Ring D, der Ring der arithmetischen Funktionen oder Ring der formalen Dirichletreihen über C genannt wird. Bemerkung 17 (Formale Dirichletreihen). Das Konzept einer formalen Dirichletreihe ist völlig analog zu dem der formalen Potenzreihe. Unter einer Dirichletreihe mit Koeffizienten an (n ∈ N) versteht man in der Funktionentheorie bekanntlich eine auf an einer geeigneten Teilmenge S ⊆ C erklärte Funktion der Bauart s 7→ f (s) = ∑∞ n=1 ns . an ∞ bn Sind f (s) = ∑∞ n=1 ns und g(s) = ∑n=1 ns zwei solche Dirichletreihen, −s so gilt dort, wo a b beide Reihen absolut konvergieren, f (s)g(s) = ∑∞ ∑ d|n d n/d n . Die (nach dem n=1 für Dirichletreihen gültigen Identitätssatz eindeutig bestimmte) Koeffizientenfolge des Produkts f g ist also durch die Dirichlet-Faltung der Koeffizientenfolgen von f und g gegeben. Wie im Fall der Potenzreihen kann man die Menge der Koeffizientenfolgen a = (a1 , a2 , . . .) über einem beliebigen Ring R direkt mit der Operation der DirichletFaltung versehen und Symbole ‘N −s ’ und einen Konvergenzbegriff so einführen, daß die −s eine präzise Bedeutung erhält. Die geeignete GradfunktiDarstellung a = ∑∞ n=1 an N on für solche formalen Dirichletreihen ist mindeg(a) := min{d ∈ N, a d 6= 0}. Mit Hilfe der leicht zu verifizierenden Formel mindeg(ab) = mindeg(a) mindeg(b) folgt wieder, 118
daß mit R auch der Ring der formalen Dirichletreihen über R ein Integritätsring ist. Man kann ferner zeigen, daß der Ring der formalen Dirichletreihen über einem Körper faktoriell ist. Die Einheitengruppe D∗ des Ringes D besteht aus allen arithmetischen Funktionen f : N → C mit f (1) 6= 0.38 Die von Null verschiedenen multiplikativen arithmetischen Funktionen bilden eine Untergruppe von D∗ .39 Satz A.8 (Möbiussche Inversionsformel). Für arithmetische Funktionen f , g : N → C gilt ! (∀n ∈ N) g(n) = ∑ f (d)
(A.14)
d|n
genau dann, wenn (∀n ∈ N)
!
f (n) = ∑ g(d)µ(n/d) . d|n
(A.15)
Beweis. Die zu beweisende Aussage bedeutet g = f ∗ζ ⇐⇒ g∗µ = f und folgt offenbar aus ζ ∗ µ = ε. Da sowohl ζ ∗ µ als auch ε multiplikativ sind, genügt es, die Identität ζ ∗ µ(n) = ε(n) für Primzahlpotenzen n zu verifizieren: Es gilt ζ ∗ µ(1) = ζ(1)µ(1) = 1 · 1 = 1 = ε(1) und e
e
ζ ∗ µ(p ) = ∑ ζ(pi )µ(pe−i ) = ζ(pe−1 )µ(p) + ζ(pe )µ(1) = 1 · (−1) + 1 · 1 = 0 = ε(pe ) i=0
für Primzahlpotenzen pe > 1 wie behauptet. Die Gleichung ζ ∗ µ = ε lautet ausgeschrieben ( 1, falls n = 1, ∑ µ(d) = 0, falls n > 1. d|n
(A.16)
Man kann die Möbiussche Inversionsformel (A.15) natürlich auch direkt mit Hilfe von (A.16) beweisen. Die Möbiussche Inversionsformel gilt allgemeiner für Funktionen f , g : N → G in eine beliebige abelsche Gruppe G, wie die direkte Rechnung zeigt. 40
38 Zum Beweis überlegt man sich, daß die Gleichung f ∗ x = ε, d. h. f (1)x(1) = 1, ∑d|n f (d)x(n/d) = 0 für n > 1, genau im Fall f (1) 6= 0 eine Lösung besitzt. 39 Mit f , g sind auch f ∗ g und die inverse arithmetische Funktion f −1 multiplikativ, wie direktes Nachrechnen mit Hilfe von (A.13) und der Tatsache, daß sich im Fall gcd(m, n) = 1 jeder Teiler d von mn eindeutig in der Form d = d1 d2 mit d1 | m, d2 | n schreiben läßt, zeigen. 40 Das Produkt g(d)µ(n/d) = ±g(d) ist dabei als Skalarmultiplikation von g(d) ∈ G mit µ(n/d) ∈ Z im Z-Modul G aufzufassen.
119
A.7 Gruppenoperationen Es seien G eine Gruppe und X eine Menge. Wir erinnern daran, daß die Menge der bijektiven Abbildungen f : X → X zusammen mit der Operation ( f , g) 7→ f ◦ g : X → X , x 7→ f g(x) (Hintereinanderausführung von g und f in dieser Reihenfolge, d. h. f ◦ g wird von rechts nach links gelesen) eine Gruppe bildet, die „symmetrische Gruppe von X ” genannt und (in dieser Vorlesung) mit sym X bezeichnet wird. Unter einer Operation von G auf X versteht man einen Gruppenhomomorphismus π : G → sym X .41 Wenn keine Verwechslungsgefahr mit einer anderen Operation von G auf X besteht, so schreibt man anstelle von π(g)(x) einfach gx („g angewandt auf x”). Es gelten dann die Axiome (O1) 1x = x für alle x ∈ X ;
(O2) (gh)x = g(hx) für alle g, h ∈ G und alle x ∈ X . Aus (O1), (O2) folgt, daß durch
x ∼ y : ⇐⇒ ∃g ∈ G mit y = gx
(A.17)
eine Äquivalenzrelation auf X definiert wird. Die Äquivalenzklassen Gx := {gx; g ∈ G}, x ∈ X , von ∼ nennt man die Bahnen von G auf X . Man sagt, G operiere transitiv auf X , wenn es nur eine einzige Bahn gibt, d. h. wenn zu je zwei Elementen x, y ∈ X stets ein g ∈ G mit gx = y existiert. Für x ∈ X heißt die Untergruppe42 Gx := {g ∈ G; gx = x} der Stabilisator von x in G. Man spricht von einer treuen Operation, wenn π injektiv ist, von einer fixpunktfreien oder semiregulären Operation, wenn G x = {1} für alle x ∈ X , und von einer scharf transitiven oder regulären Operation, wenn G zusätzlich transitiv operiert, d. h. wenn zu je zwei Elementen x, y ∈ X genau ein g ∈ G mit gx = y existiert. Wenn G endlich ist, so hat man für Länge einer Bahn und Anzahl aller Bahnen die Formeln |Gx| = |G| / |Gx | (x ∈ X ) bzw. Fakt A.9 (Cauchy-Frobenius-Lemma). Die Anzahl der Bahnen von G auf X ist gleich dem arithmetischen Mittel der Fixpunktanzahlen aller Elemente von G : |{Gx; x ∈ X }| =
1 · ∑ |fix(g)| |G| g∈G
mit
41 Ein
fix(g) := {x ∈ X ; gx = x}.
(A.18)
Gruppenhomomorphismus π : G → sym X wird auch Permutationsdarstellung von G genannt. „Darstellung” ohne Zusatz steht im allgemeinen für einen Homomorphismus ρ : G → GL(V ) in die allgemeine lineare Gruppe eines Vektorraums V . 42 Man überzeugt sich leicht davon, daß die nachfolgend definierte Menge G tatsächlich eine Unterx gruppe von G ist.
120
Literaturverzeichnis [1] W. Heise and P. Quattrocchi. Informations- und Codierungstheorie. SpringerVerlag, Berlin, 3rd edition, 1995. [2] D. R. Stinson. An explication of secret sharing schemes. Designs, Codes and Cryptography, 2:357–390, 1992.
121