Aritmetica modulare/Radici primitive

Template:Aritmetica modulare In questo modulo ci si concentrerà sul gruppo moltiplicativo dell'anello ${\displaystyle {\mathbb{Z}}_n}$.

Dal piccolo teorema di Fermat sappiamo che per ogni x ed n (con x ed n coprimi) si ha

${\displaystyle x^{\varphi (n)}\equiv 1modn}$

Può tuttavia esistere un numero ${\displaystyle h<\varphi (n)}$ tale che

${\displaystyle x^h\equiv 1modn}$

Se h è il minore intero possibile con questa caratteristica, si dice che h è l'ordine di x modulo n; se in particolare ${\displaystyle h=\varphi (n)}$, allora si dice che x è una radice primitiva modulo n (in teoria dei gruppi una radice primitiva viene denominata "generatore del gruppo"). Ad esempio 5 ha la radice primitiva 2, perché

${\displaystyle 2^1\equiv 2mod5,2^2\equiv 4mod5,2^3\equiv 3mod5,2^4\equiv 1mod5}$

mentre 8 non ne ha una, in quanto

${\displaystyle 1^2\equiv 1mod8,3^2\equiv 1mod8,5^2\equiv 1mod8,7^2\equiv 1mod8}$

mentre ${\displaystyle \varphi (8)=4}$. Sorge quindi il problema di stabilire quali n possiedono una radice primitiva e quali no.

Da ora in poi supporremo sempre n fissato e x coprimo con n, e porremo ${\displaystyle N=\varphi (n)}$.

Supponiamo che x abbia ordine h. Una prima proprietà, banale, è che h è un divisore di N. Suppooniamo infatti che MCD(h,N)= k < h. Allora la congruenza

${\displaystyle hy\equiv kmodN}$

è risolubile per un y >1. Quindi

${\displaystyle x^k\equiv x^{aN+hy}modn\equiv (x^N{)}^a(x^h{)}^{y}modn\equiv 1^a{1}^{y}modn\equiv 1modn}$

e quindi k dovrebbe essere l'ordine di x, essendo minore di h. Questo è assurdo, e h divide N.

Supponiamo ora che x e y abbiamo ordine rispettivamente h e k, e che h e k siano coprimi. Allora xy ha ordine hk. È infatti ovvio, da quanto detto prima, che ne è un divisore, perché

${\displaystyle (xy{)}^{hk}=(x^h{)}^k(y^k{)}^h\equiv 1^k{1}^{h}modn\equiv 1modn}$

Supponiamo ora che l'ordine di xy sia HK, dove H divide h e K divide k; H e K sono coprimi, essendo i loro multipli. Supponiamo h = Hj; elevando xy alla HjK, si ha

${\displaystyle (xy{)}^{HjK}=(x^h{)}^k{y}^{hK}\equiv y^{hK}modn}$

e anche ${\displaystyle (xy{)}^{HjK}=[(xy{)}^{HK}{]}^j\equiv 1modn}$

e quindi hK è un multiplo di k; essendo h coprimo con k, si deve avere che K è un multiplo di k, e quindi, essendone anche un divisore, k = K. Allo stesso modo h = H, e l'ordine di xy è hk.

Consideriamo ora il caso dell'ordine di un numero x rispetto a due moduli coprimi n ed m. Sia h l'ordine di x rispetto ad n e k l'ordine di x rispetto a m. Allora l'ordine di x rispetto a nm è il minimo comune multiplo tra h e k. Infatti, dire che

${\displaystyle x^l\equiv 1modnm}$

equivale a dire

${\displaystyle \{\begin{array}{c}{x}^l\equiv 1modn\\ x^l\equiv 1modm\end{array}}$

e questo è possibile solo se l è multiplo sia di h che di k, e in particolare vale per ogni multiplo comune di h e di k: quindi il loro multiplo comune più piccolo, cioè il loro m.c.m., è l'ordine di x rispetto a nm.

Supponiamo ora che n è un numero primo, e denotiamolo quindi con p. Dimostreremo che per ogni p esiste una radice primitiva.

${\displaystyle \varphi (p)=p-1}$, quindi gli ordini dei vari elementi sono divisori di p -1. Possiamo fattorizzare quest'ultimo numero, ottenendo

${\displaystyle p-1=q_1^{a_1}{q}_2^{a_2}\cdots q_s^{a_s}}$

Se riuscissimo a trovare un gruppo di elementi ${\displaystyle x_1,x_2,\dots ,x_s}$ tali che ${\displaystyle x_i}$ ha ordine ${\displaystyle a_i}$ per ogni i, allora il prodotto ${\displaystyle x_1{x}_2{x}_3\cdots x_s}$ avrebbe, per le proprietà dimostrate precedentemente, ordine esattamente p -1.

Un ${\displaystyle x_i}$ di ordine precisamente ${\displaystyle a_i}$ soddisfa la congruenza

${\displaystyle x^{q^{a_i}}\equiv 1modp}$

ma non

${\displaystyle x^{q^{a_i-1}}\equiv 1modp}$

Consideriamo il polinomio ${\displaystyle P(x)=x^{p-1}-1}$: per il piccolo teorema, ha esattamente p -1 zeri distinti (cioè tutti gli elementi di ${\displaystyle {\mathbb{Z}}_p}$ eccetto lo zero), e poniamo ${\displaystyle q_i=q,a_i=a}$. Si ha ${\displaystyle p-1=q^{a}w}$ per un m; ponendo ${\displaystyle x^{q^a}=y}$, risulta evidente che

${\displaystyle x^{p-1}-1=y^w-1=(y-1)(y^{w-1}+y^{w-2}+\cdots +y^1+1)}$

In x, i due polinomi a destra hanno grado rispettivamente ${\displaystyle q^a}$ e ${\displaystyle p-1-q^a}$, e quindi, poiché p è primo, hanno al massimo rispettivamente ${\displaystyle q^a}$ e ${\displaystyle p-1-q^a}$ soluzioni. Ma la somma del loro numero di soluzioni deve dare p -1, quindi ne hanno esattamente tante. Ma ora la congruenza

${\displaystyle x^{q^{a-1}}\equiv 1modp}$

ha al massimo ${\displaystyle q^{a-1}}$ soluzioni, che sono di meno di ${\displaystyle q^a}$; quindi esattamente ${\displaystyle q^a-q^{a-1}}$ elementi di ${\displaystyle {\mathbb{Z}}_p}$ hanno ordine ${\displaystyle q^a}$. Poiché questo avviene per ogni i, per quanto detto prima, esiste un elemento che ha ordine ${\displaystyle q_1^{a_1}{q}_2^{a_2}\cdots q_s^{a_s}=p-1}$, cioè una radice primitiva.

Esaminiamo ora il caso delle potenze dei numeri primi, e consideriamo il caso p =2. Per n =4, 3 è una radice primitiva. L'esempio all'inizio del capitolo mostra invece che 8 non ha una radice primitiva, perché ${\displaystyle a^2\equiv 1mod8}$ per ogni a dispari; questo implica che per ogni altra potenza di due non può esserci una radice primitiva: infatti supponiamo che questo avvenga per un ${\displaystyle 2^k}$, e che a sia la radice primitiva, tale che a è congruo a b modulo 8 (questa congruenza su una congruenza ha senso, perché ${\displaystyle 2^k}$ è, per ipotesi, multiplo di 8). Allora le potenze di a sono congrue, modulo 8, alternativamente a b e ad 1, mentre dovrebbero essere congrue anche alle altre due (se b =3, ad esempio, dovrebbero essere congrue anche a 5 e a 7); quindi una radice primitiva non può esistere.

Sia ora p un primo maggiore di 2, e a una sua radice primitiva. ${\displaystyle \varphi (p^2)=p(p-1)}$; inoltre, l'ordine di a modulo ${\displaystyle p^2}$ è un multiplo di p -1, perché per avere

${\displaystyle a^k\equiv 1mod{p}^2}$

si deve avere

${\displaystyle a^k\equiv 1modp}$

Gli unici multipli di p -1 che dividono p (p -1) sono i due estremi, cioè gli stessi p -1 e p (p -1): se è quest'ultimo, allora a è una radice primitiva modulo ${\displaystyle p^2}$; supponiamo invece che non lo sia, e consideriamo il numero (coprimo con p) p - a. Attraverso lo sviluppo del binomio di Newton si ha

${\displaystyle (p-a{)}^{p-1}={\displaystyle \sum _{i=0}^{p-1}}{\displaystyle (\genfrac{}{}{0ex}{}{p-1}{i})}(-1{)}^i{a}^i{p}^{p-1-i}}$

Modulo ${\displaystyle p^2}$, gli unici elementi che restano sono quelli con i =p -2 e i =p -1:

${\displaystyle (p-a{)}^{p-1}\equiv {\displaystyle (\genfrac{}{}{0ex}{}{p-1}{p-2})}(-1{)}^{p-2}{a}^{p-2}p+{\displaystyle (\genfrac{}{}{0ex}{}{p-1}{p-1})}(-1{)}^{p-1}{a}^{p-1}mod{p}^2\equiv (p-1)(-1)a^{-1}p+1mod{p}^2\equiv p{a}^{-1}+1mod{p}^2}$

che è congruo a 1 modulo ${\displaystyle p^2}$ se e solo se

${\displaystyle p{a}^{-1}\equiv 0mod{p}^2⟺a^{-1}\equiv 0modp}$

che è impossibile perché a è coprimo con p, essendone una radice primitiva. Quindi o a o p - a è una radice primitiva per ${\displaystyle p^2}$, o, detto in altri termini, questa esiste sempre.

Dimostreremo ora che, se a è una radice primitiva per ${\displaystyle p^2}$, allora è una radice primitiva anche per ${\displaystyle p^k}$ per ogni k >2. Procediamo per induzione: se k =2 questo è vero per ipotesi (abbiamo dimostrato prima che a esiste) e inoltre a è una radice primitiva modulo p. Supponiamo che il teorema sia valido per ogni k fino a K escluso. In questo caso l'ordine di a può essere solamente ${\displaystyle \varphi (p^{K-1})=p^{K-2}(p-1)}$ oppure ${\displaystyle \varphi (p^K)=p^{K-1}(p-1)}$. Inoltre abbiamo

${\displaystyle a^{\varphi (p^{K-2})}=1+l{p}^{K-2}}$

Elevando a alla ${\displaystyle \varphi (p^{K-1})}$ si ha

${\displaystyle a^{\varphi (p^{K-1})}=a^{p^{K-2}(p-1)}=(a^{p^{K-3}(p-1)}{)}^p=(a^{\varphi (p^{K-2})}{)}^p=(1+l{p}^{K-2}{)}^p={\displaystyle (\genfrac{}{}{0ex}{}{p}{0})}{p}^0+{\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}l{p}^{K-2}+{\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}{l}^2{p}^{2(K-2)}+\cdots }$

e calcolando modulo ${\displaystyle p^K}$

${\displaystyle a^{\varphi (p^{K-1})}\equiv 1+lp{p}^{K-2}mod{p}^K\equiv 1+l{p}^{K-1}mod{p}^K}$

Se ora l non è divisibile per p, abbiamo dimostrato che a è una radice primitiva modulo ${\displaystyle p^K}$; se invece a è divisible per p si ha

${\displaystyle a^{\varphi (p^{K-2})}=1+l_{1}p{p}^{K-2}\equiv 1mod{p}^{K-1}}$

e quindi a ha ordine ${\displaystyle \varphi (p^{K-2})}$ modulo ${\displaystyle p^{K-1}}$, contro l'ipotesi che a sia una radice primitiva, questo è assurdo, e quindi a è una radice primitiva modulo ${\displaystyle p^K}$. Per induzione, segue che a è una radice primitiva per ogni ${\displaystyle p^k}$, k >2.

Consideriamo ora un numero n che non è potenza di un numero primo, fattorizzandolo come ${\displaystyle n=p_1^{a^1}{p}_2^{a_2}\cdots p_s^{a_s}}$. La funzione di Eulero è moltiplicativa, quindi l'ordine necessario per essere una radice primitiva è ${\displaystyle \varphi (p_1^{a^1})\varphi (p_2^{a_2})\cdots \varphi (p_k^{a_k})}$; se x non è una radice primitiva modulo ${\displaystyle p^a}$ (qualunque p), a maggior ragione non lo potrà essere modulo n, perché vi sono degli elementi modulo ${\displaystyle p^a}$ che non genera (sia b uno di questi): se ${\displaystyle x^k}$ non è mai congruo a b modulo ${\displaystyle p^a}$, non lo potrà mai essere modulo n, e quindi x non è una radice primitiva.

Consideriamo ora un x che è una radice primitiva modulo ${\displaystyle p_i^{a_i}}$ per ogni i. Questa esiste, perché di ognuna esistono le radici primitive ${\displaystyle x_1,x_2,\dots ,x_s}$, e a questa s-upla è possibile assegnare un elemento di ${\displaystyle {\mathbb{Z}}_n}$ (vedi il capitolo sulle congruenze lineari). Affinché il suo ordine modulo n sia il prodotto degli ordini, questi devono essere tutti coprimi tra loro. Tuttavia, se p è un primo dispari, ${\displaystyle \varphi \left(p\right)=p-1}$ è pari, e così la funzione di Eulero delle sue potenze. Anche ${\displaystyle \varphi \left(2^k\right)}$, per k >1, è pari: quindi, per avere una radice primitiva, n può contenere nella sua fattorizzazione al massimo un primo dispari (eventualmente elevato a qualche potenza) e 2.

Ricapitolando, gli unici n che hanno una radice primitiva sono:

• 2 e 4;
• ${\displaystyle p^k}$ per p primo dispari e k qualsiasi;
• ${\displaystyle 2p^k}$ per p primo dispari e k qualsiasi.

Consideriamo ora una radice primitiva g per un numero primo p: per definizione, i numeri

${\displaystyle g,g^2,g^3,\dots ,g^{p-1}}$

corrispondono, in qualche ordine, ai numeri 1,2,...,p -1. Se ${\displaystyle x=g^k}$, k è dello l'indice di x rispetto alla radice primitiva g.

Sia ora ${\displaystyle x=g^a}$. Le potenze di x saranno i numeri

${\displaystyle g^a,g^{2a},g^{3a},\dots ,g^{(p-1)a}}$

dove gli esponenti possono essere ridotti modulo p -1. Fissato un altro numero y, la congruenza

${\displaystyle x^k\equiv ymodp}$

(dove l'incognita è k) è equivalente a

${\displaystyle g^{ak}\equiv g^{b}modp}$

ovvero, poiché possiamo ridurre modulo p -1 gli esponenti,

${\displaystyle ak\equiv bmod(p-1)}$

che è risolubile, come sappiamo, se e solo se l'MCD(a,p -1) divide b. In particolare, se a è coprimo con p -1, allora è risolubile per ogni b, e viceversa. In questo caso, le potenze di x corrispondono a tutte le potenze di g, ovvero a tutto ${\displaystyle {\mathbb{Z}}_p\setminus \{0\}}$, e quindi x è un'altra radice primitiva per p. Quindi esistono esattamente ${\displaystyle \varphi (p-1)}$ radici primitive.

Lo stesso ragionamento si può applicare agli altri numeri n per i quali esiste una radice primitiva: in questo caso esse sono in numero di ${\displaystyle \varphi (\varphi (n))}$. Template:Avanzamento