Das Jacobi-Symbol

(1)

Das Jacobi-Symbol

Definition Jacobi-Symbol

Sei n∈Nungerade mit Primfaktorzerlegung n=Qs

i=1p_i^rⁱ. Wir definieren das Jacobi-Symbol _n^a

:=Qs i=1

a p_i

r_i

.

Anmerkungen:

Falls a quadratischer Rest mod n ist, dann gilt a≡b²modn und (^a_n) = (^b_n²) =Qs

i=1(^b_p²

i)^rⁱ =Qs i=1(_p^b

i)^2rⁱ =1.

Falls(^a_n) =1, dann muss a kein quadratischer Rest mod n sein.

Es gilt z.B.(₁₅²) = (²₃)(²₅) = (−1)²=1.

Nach CRT müsste jede Lösung von x²≡2mod15 auch eine Lösungen von x²≡2mod3 und x²≡2mod5 sein.

Beide Kongruenzen besitzen aber keine Lösungen.

Übung:

(â_n)ist multiplikativ in a und n. D.h. für a=a₁a₂und n=n₁n₂gilt (â_n) = (_nâ

1)(_n^a

2) = (^a_n¹

1)(^a_n²

1)(^a_n¹

2)(^a_n²

2).

(2)

Reziprozität für Jacobi-Symbol

Satz Reziprozität

Seien m6=n≥3 ungerade natürliche Zahlen. Dann gilt

1 (⁻_n¹) = (−1)ⁿ⁻¹² .

2 (²_n) = (−1)ⁿ²⁸⁻¹.

3 (^m_n) = (−1)^m−1² ^·ⁿ⁻¹² (_mⁿ).

Beweis:

Obige Identitäten gelten für prime n,m. Die linken Seiten sind multiplikativ in n,m, können also in die Primteiler zerlegt werden.

Genügt zu zeigen: Die rechten Seiten sind multiplikativ in n,m.

Sei n=n₁n₂ungerade, d.h. n₁,n₂sind ebenfalls ungerade.

(1) Wir zeigen(−1)ⁿ¹ⁿ²²⁻¹ = (−1)ⁿ¹⁻¹² ·(−1)ⁿ²²⁻¹. Dies ist äquivalent zu

n₁n₂−1

2 ≡ ⁿ¹⁺ⁿ₂²⁻²mod2

⇔ n₁n₂−n₁−n₂+1= (n₁−1)(n₂−1)≡0mod4 Da n₁−1 und n₂−1 beide gerade sind, folgt die Korrektheit.

(3)

Reziprozität für Jacobi-Symbol

Beweis: (Fortsetzung) (2) zu zeigen:(−1)

n21n22−1

8 = (−1)

n21−1

8 (−1)

n22−1

8 . Dies ist äquivalent zu

n²₁n²₂−1

8 ≡ ⁿ²¹₈⁻¹+ⁿ²²₈⁻¹ mod2⇔n²₁n²₂−n²₁−n²₂+1≡0mod16.

Wir formen weiter um zu

(n²₁−1)(n²₂−1) = (n1+1)(n1−1)(n2+1)(n2−1)≡0mod16.

Die Korrektheit folgt, da alle vier Terme n₁±1, n₂±1 gerade sind.

(3) Aus (1) folgt die Multiplikativität von

(−1)^m−1² ^·ⁿ⁻¹² =

(−1)^m−1² ⁿ⁻¹₂

in n und m.

Anmerkung: Für ungerades n und m=2^km^′mit ungeradem m^′gilt

m n

= ²_nk

·

m^′ n

= ²_nk

·(−1)^(m^{′ −}¹⁾⁽ⁿ⁴ ⁻¹⁾ _mⁿ_′ .

(4)

Rekursive Berechnung des Jacobi Symbols

Definition amodn

Sei a∈Zund n∈N. Dann bezeichnen wir mit amodn dasjenige b∈Zmit b ≡amodn und 0≤b <n. D.h. b=a− ⌊^a_n⌋ ·n.

Algorithmus Jacobi-Symbol

EINGABE: m,n mit n ungerade undggT(m,n) =1.

1 Falls m=1, Ausgabe 1.

2 Sei m=2^km^′ mit m^′ ungerade.

3 Ausgabe(−1)^k(n2⁸⁻¹⁾·(−1)^(m^′−¹⁾⁽ⁿ⁴ ⁻¹⁾·Jacobi-Symbol(nmodm^′,m^′) AUSGABE: ^m_n

Laufzeit:

Analog zum Euklidischen Alg. erhalten wirO(log max{m,n}) rekursive Aufrufe, jeder dieser benötigtO(log²max{m,n}).

D.h. die Gesamtlaufzeit istO(log³max{m,n}).

(5)

Berechnung von Wurzeln für p ≡ 3 mod 4

Bsp: Berechnung von(²²₃₉)

(²²₃₉) = (₃₉²)·(¹¹₃₉) =−(³⁹₁₁) =−(₁₁⁶) =−(₁₁²)·(₁₁³) =−(¹¹₃) =−(²₃) =1.

Ziel: Falls x²≡d modp mit(^d_p) =1, berechne beide Lösungen.

Satz Wurzeln für p ≡3mod4

Sei p ∈Pmit p≡3mod4 und d ∈Zmit(^d_p) =1. Dann sind die Lösungen von x²≡d modp von der Form±d^p+1⁴ .

Beweis:

Es gilt(±d^p+1⁴ )²=d^p+1² =d^p⁻²¹ ·d ≡(^d_p)·d =d modp.

Es gilt d^p+1⁴ 6≡ −d^p+1⁴ modp, da d^p+1⁴ ∈U_p und p>2.

DaF_pein Körper ist, sind dies die einzigen beiden Lösungen.

(6)

Berechnen allgemeiner Quadratwurzel

Idee des Algorithmus von Tonelli und Shanks:

Sei p−1=2^s·q mit q ungerade.

Erster Ansatz: Berechne a≡d^q+1² modp. Dann gilt a²≡(d^q+1² )²=d^q·d modp.

Falls d^q≡1modp, dann ist a bereits die gesuchte Quadratwurzel.

Es gilt U_p ∼=Z/ϕ(p)Z∼=Z/2^sZ×Z/qZ. Wir schreiben x ∼= (x1,x₂).

Für die Abbildung f :U_p→U_p,x 7→x^qgilt

f(x) =x^q ∼=q(x₁,x₂) = (qx₁,qx₂) = (qx₁,0)∈Z/2^sZ×0.

D.h. q-ten Potenzen sind in einer Untergruppe H der Ordnung 2^s. Wir wollen nun einen Erzeuger g von H konstruieren.

Sei z ∈U_p mit(^z_p) = (−1). Dann gilt g :≡z^qmodp∈H und g²^s⁻¹ ≡z^q2^s⁻¹ =z^p⁻²¹ ≡(−1)modp und g²^s ≡z^p⁻¹≡1modp.

D.h. g ist Generator von H und d^q≡g^ℓmodq für ein 0≤ℓ <2^s. ℓist gerade, da g^ℓ ≡d^q≡ ^a_d² modp quadratischer Rest ist. Es folgt

(a·g⁻^ℓ²)²≡d modp.

Damit ist a·g⁻^ℓ² unsere gesuchte Quadratwurzel.

(7)

Berechnen des Diskreten Logarithmus modulo 2

^s

Lemma Berechnen des Diskreten Logarithmus modulo 2^s Sei p prim mit p−1=2^sq, q ungerade. Sei H =hgi ⊆U_pmit ord(g) =2^s. Für x =g^ℓ∈H kannℓinO(log⁴p)berechnet werden.

Beweis:

Wir schreibenℓ=Ps−1

i=0 ℓ_i·2ⁱ und berechnenℓ₀, . . . , ℓ_s₋₁. Berechnung vonℓ₀: Wir berechnen x²^s⁻¹ modq. Es gilt

x²^s−1≡g^ℓ^·²^s−1 =g^P^s−1ⁱ⁼⁰ ^ℓⁱ^·²^s−1+i ≡g^ℓ⁰²^s−1 modp.

Da x²^s ≡1modp, muss x²^s⁻¹ ≡ ±1modp gelten.

Falls x²^s−1 ≡(−1)modp, dann istℓ0=1, sonst istℓ0=0.

Sei nunℓ₀, . . . , ℓ_j₋₁bekannt. Wir wollenℓ_j berechnen.

Berechnung vonℓ_j: Es g

Ps−1 i=j ℓ_i2ⁱ

≡xg⁻^P^j−1ⁱ⁼⁰^ℓⁱ²ⁱ :=x^′. Damit ist (x^′)²^s⁻¹⁻^j ≡g

Ps−1

i=j ℓ_i·2^s−1−j+i

≡g^ℓ^j²^s⁻¹ modp.

Damit gilt analog wie zuvorℓ_j =1 gdw(x^′)²^s−1−j ≡(−1)modp.

Jedesℓj kann in ZeitO(log³p)berechnet werden.