Teoria Algebraica de Numeros - Carppintero, Tesis

Universidad de Oviedo
Facultad de Ciencias
Teoría algebraica de números
Darío Sánchez Carpintero
Tutora: Consuelo Martínez López
9 de julio de 2023
Índice general
Introducción 4
1. Problemas clásicos de Teoría de Números 6
1.1. Algunos resultados sobre primos . . . . . . . . . . . . . . . . . 6
1.1.1. Búsqueda de primos . . . . . . . . . . . . . . . . . . . 8
1.1.2. Primos de Mersenne . . . . . . . . . . . . . . . . . . . 9
1.1.3. Números de Fermat . . . . . . . . . . . . . . . . . . . . 11
1.1.4. Tests de primalidad. . . . . . . . . . . . . . . . . . . . 12
1.2. Ecuaciones diofánticas . . . . . . . . . . . . . . . . . . . . . . 14
1.2.1. La ecuación de Pitágoras . . . . . . . . . . . . . . . . . 14
1.2.2. Algunas formas cuadráticas . . . . . . . . . . . . . . . 15
1.2.3. La Ley de Reciprocidad Cuadrática . . . . . . . . . . . 21
1
1.3. Alternativa al Teorema fundamental de la Aritmética . . . . . 24
1.3.1. El TFA para ideales . . . . . . . . . . . . . . . . . . . 24
2. Fundamentos algebraicos de la teoría de números 28
2.1. Preliminares . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.1.1. Ideales fraccionarios . . . . . . . . . . . . . . . . . . . 29
2.1.2. Anillos de enteros . . . . . . . . . . . . . . . . . . . . . 29
2.1.3. Q-isomorfismos . . . . . . . . . . . . . . . . . . . . . . 31
2.1.4. Retículos en Rn . . . . . . . . . . . . . . . . . . . . . . 32
2.2. Anillos Noetherianos y de Dedekind. . . . . . . . . . . . . . . 33
2.3. Finitud del grupo de clases de ideales . . . . . . . . . . . . . . 40
2.4. Unidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.5. Descomposición de ideales primos en una extensión . . . . . . 43
2.5.1. Anillos de fracciones . . . . . . . . . . . . . . . . . . . 43
2.5.2. Descomposición de ideales primos . . . . . . . . . . . . 47
3. Aplicaciones a criptografía 50
3.1. Criptografía de clave pública . . . . . . . . . . . . . . . . . . . 51
2
3.1.1. RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.1.2. El problema del logaritmo discreto . . . . . . . . . . . 54
3.1.3. El problema de la mochila . . . . . . . . . . . . . . . . 57
3.2. Tests de primalidad en criptografía . . . . . . . . . . . . . . . 59
3.2.1. Pseudoprimos . . . . . . . . . . . . . . . . . . . . . . . 59
3.2.2. Pseudoprimos de Euler . . . . . . . . . . . . . . . . . . 60
3.2.3. Pseudoprimos fuertes . . . . . . . . . . . . . . . . . . . 61
3.2.4. Algoritmo AKS . . . . . . . . . . . . . . . . . . . . . . 62
Conclusiones 64
Bibliografía 65
3
Introducción
La Teoría de Números, también conocida como Aritmética, tuvo como ob-

jetivo fundamental en su inicio el estudio de los números enteros. Esto hizo
que resultara atractiva incluso para muchos aficionados sin estudios matemá-
ticos especializados. Hoy en día es una rama de las matemáticas que abor-
da numerosos problemas, que tiene notables aplicaciones, especialmente en
criptografía, utiliza variadas herramientas matemáticas -fundamentalmente
algebraicas y analíticas – y tiene fuertes conexiones con otras ramas de las
matemáticas, como la Combinatoria ó la Geometría Algebraica.
Siguiendo las ideas de Pierre Samuel en su libro “Teoría Algebraica de

Números” se ha tratado de mostrar en este trabajo la evolución de la teoría
y el importante papel desempeñado por los métodos algebraicos, dado que el
punto de vista algebraico parece el más apropiado para contextualizar la ma-
yoría de los problemas considerados. Por ejemplo, para encontrar soluciones
a la ecuación de Fermat: xn + y n = z n lo mas adecuado es trabajar en el cuer-
po ciclotómico con las n-raices de la unidad. √ Para otro tipo de ecuaciones,
como la de Pell, los cuerpos de la forma Q( d) parecen los mas adecuados.
Tanto cuerpos cuadráticos como raíces de la unidad parecen involucrados en
el estudio de la ley de reciprocidad cuadrática.
El estudio de problemas importantes de la teoría de números obligó a

salirse del marco tradicional de los enteros y su cuerpo de fracciones, los ra-
cionales, y considerar extensiones finitas de Q y los correspondientes anillos
de enteros algebraicos. Las herramientas algebraicas han mostrado su poten-
cia y utilidad en muchos problemas, pero quedan otros muchos por resolver
4
y, por supuesto, no puede esperarse que se resuelvan todos ellos sólo usando
métodos algebraicos.
En este trabajo se comienza planteando, en el Capítulo 1 problemas tra-

dicionales, la mayoría ligados a los números primos y a la búsqueda de solu-
ciones (enteras) de ecuaciones diofánticas. Al pasar a trabajar en el anillo de
enteros algebraicos de un cuerpo de números se plantea un nuevo problema:
algunos de los anillos que aparecen no son dominios de factorización única y
por tanto ya no se cumple el teorema fundamental de la aritmética.
Se llega así, de manera natural, a los anillos de Dedekind en los que se sus-
tituye la factorización única de elementos como producto de irreducibles por
una factorización de ideales como producto de ideales primos.
En el Capítulo 2 se explican los fundamentos algebraicos de la Teoría

de Números, lo que ha permitido usar los conocimientos y competencias
obtenidos en las asignaturas de Algebra I y II y ampliar el conocimiento de
estructuras algebraicas.
Finalmente, en el Capítulo 3, se incluyen aplicaciones de la Teoría de

Números en Criptografía, poniendo el énfasis en los resultados teóricos en los
que se sustentan los métodos desarrollados para construir algunos sistemas
de cifrados.
5
Capítulo 1
Problemas clásicos de Teoría de

Números
La teoría de números depende en gran medida de las propiedades que

poseen los números primos sobre Z por lo que no es de extrañar que su
estudio resulte fundamental para la resolución de un abundante número de
problemas, así como el interés en identificarlos de manera consistente. Es
natural entonces comenzar observando algunas de estas propiedades.
1.1. Algunos resultados sobre primos
Comenzamos el apartado estudiando la infinitud de los primos. Esta es

demostrada con el llamado Teorema de Euclides, con múltiples demostracio-
nes. La más simples hace uso del Teorema Fundamental de la Aritmética,
por reducción al absurdo:
Supongamos que existen n números primos distintos, a1 , a2 , . . . , an . Con-

sideramos ahora N = a1 · a2 · · · an + 1. Claramente, ninguno de los ai divide
a N , por lo que los únicos divisores de N serían 1 y N . En consecuencia,
6
N es un número primo distinto de los n dados, lo que lleva a contradicción.
CQD
También se puede demostrar comprobando la divergencia de la serie dada

por los inversos de los números primos. Dicha demostración se puede hacer
obteniendo como cota X
1/p ≤ loglogN − 2
p≤N
Se puede hacer uso también del siguiente resultado:
Postulado de Bertrand: ∀n ≥ 1, ∃ p primo tal que n < p ≤ 2n
Esto nos da a la vez, como resultado inmediato el teorema de Euclides, y

una cota inferior para el número de primos en un intervalo cualquiera:
En el intervalo
(1, 2N ] = (1, 2] ∪ (2, 4] ∪ · · · ∪ (2N −1 , 2N ]
hay por lo menos N primos, cada uno en uno de los intervalos (2n−1 , 2n ],
n ∈ {1, 2, . . . , N }.
Veamos ahora una demostración inductiva del Teorema Fundamental de

la Aritmética:
Teorema Fundamental de la Aritmética: Todo número natural tie-

ne una factorización como producto de primos, única salvo el orden de los
factores.
Demostración: Para n = 2 el resultado es cierto de forma trivial. Su-

pongamos que se verifica para todos los naturales n menores que algún a > 1.
Definimos
D = {d | d > 1, d|a}
el conjunto de divisores de a distintos de 1. D es no vacío por estar a en él, así
que tiene un elemento mínimo, p, que es primo. Si no fuera primo, habría un
elemento estrictamente menor que p que divide a p y por tanto a a. Entonces
a = pb, p primo, b < a
7
Por hipótesis de inducción, como b < a, tenemos las descomposiciones
b = p1 · · · ps , a = p · p1 · · · ps
y a no tiene otra descomposición en la que aparezca p.
Sea otra descomposición prima de a en la que no aparece p:
a = q1 · · · qr
Tenemos que q1 ̸= p. Por definición de p, p < q1 , pues q1 ∈ D. Dado c =
q2 · · · qr , se define
a0 = a − pc = p(b − c) = (q1 − p)c
Tenemos que 1 ≤ a0 < a, y los divisores (b − c), (q1 − p) y c son menores
que a. Por hipótesis de inducción, ellos y a0 tienen una única factorización
por primos, y p aparece en la de a0 , por lo que aparece en la de c o en la de
(q1 − p) .
No puede aparecer en la de (q1 − p), pues eso requeriría que p|q1 , y es impo-
sible por ser primos distintos. Pero hemos supuesto que tampoco está en la
descomposición de c. Suponer que hay dos descomposiciones de a distintas
nos lleva a contradicción. CQD
1.1.1. Búsqueda de primos
Un objetivo de la teoría algebraica de números es conseguir condiciones

necesarias y suficientes de primalidad, siendo de especial interés aquellas de
las que se deducen algoritmos que generan primos con eficiencia y las que
determinan la primalidad de un número. Un tal algoritmo es la criba de
Eratóstenes, que, en particular, permite obtener todos los primos menores
que cualquier valor dado, aunque pierde eficiencia como test de primalidad
al considerar valores grandes.
Como apoyo para la búsqueda de primos se tiene el siguiente resultado:
Pequeño Teorema de Fermat: Para todo primo p y cualquier entero

a,
ap ≡ a (mód p)
8
Demostración: Sin perder generalidad, suponemos que a es positivo.
Entonces, es posible usar el método de inducción. Para a = 1, es evidente.
Asumimos que es cierto para a = n, entonces:
p
p
X p
(n + 1) = ni = np + pnp−1 + · · · + pn + 1
i=0
i

p p!
Para 0 < i < p, = tiene numerador divisible por p y deno-
i i!(p − i)!
minador
no divisible por p. Por el Teorema Fundamental de la Aritmética,
p
es divisible por p para dichos i. Por tanto
i
(n + 1)p ≡ np + 1 ≡ n + 1 (mód p)
1.1.2. Primos de Mersenne
Definición: Se denota como primo de Mersenne a aquel de la forma

p
2 − 1 para algún primo p.
El concepto de primo de Mersenne se deriva de que, cuando se considera
un número compuesto en lugar de uno primo, la expresión anterior siempre
resulta ser compuesto. Se puede considerar la siguiente descomposición dado
n = ab:
2n − 1 = (2a − 1)(2n−a + 2n−2a + · · · + 2a + 1)
Esto mismo incita la pregunta de si siempre que el exponente es primo, se
obtiene un primo de Mersenne. Por desgracia, la respuesta es no: 211 − 1 es
compuesto, y aún no se sabe si existen infinitos números de Mersenne.
Existe relación entre los primos de Mersenne y los llamados números

perfectos, aquellos que son iguales a la suma de todos sus divisores propios
(incluyendo 1):
Proposición: Dado q = 2p −1 un primo de Mersenne, 2p−1 q es un número

perfecto.
9
Demostración: Los factores propios que dividen a 2p−1 q se pueden se-
parar según sean o no divisibles por q:
La suma de los factores no divisibles es
1 + 2 + 22 + · · · + 2p−1 = 2p − 1 = q
La de los divisibles es
q(1 + 2 + · · · + 2p−2 ) = q(2p−1 − 1)
Por tanto, la suma de todos es
q + q(2p−1 − 1) = q(2p−1 ) C.Q.D
Proposición: Todos los números perfectos pares son de la forma

(2 )(2p − 1).
p−1
Demostración:
Para este resultado se hace uso de la función suma de factores σ, que

verifica σ(ab) = σ(a)σ(b) para cualesquiera a y b coprimos.
Considerando el número perfecto 2n x tal que 2 no divide a x, se tiene que
2(2n x) = 2n+1 x = σ(2n x) = σ(2n )σ(x) = (2n+1 − 1)σ(x)
Por ser x el único factor impar de la expresión, se tiene que 2n+1 −1 (también
x
impar) divide a x. Consideramos entonces y = n+1 y dividiento en la
2 −1
n+1
expresión anterior por 2 − 1, se obtiene la identidad
2n+1 y = σ(x) = x + y + · · · = (2n+1 − 1)y + y + · · · = 2n+1 y + . . .
Para que esto se cumpla, no puede haber otros divisores. Entonces y = 1

y x es primo de la forma 2n+1 − 1, por ser divisor propio de x. CQD
Este par de resultados forman el Teorema de Euclides-Euler.
10
Teorema: Denotando Mn al n-ésimo número de Mersenne, 2n − 1, se
tiene que dado p primo y q divisor no trivial de Mp , q ≡ 1 (mód p).
Este resultado es de gran ayuda para factorizar Mp . Veamos la demostra-

ción apoyándonos en la teoría de grupos:
Consideramos G el grupo de residuos distintos de cero módulo q. Como

2 − 1 ≡ 0 (mód q), 2p ≡ 1 (mód q) y se tiene que 2 genera un subgrupo
p
cíclico de G de orden divisor de p. Como p es primo y 2 no es la identidad

de G, el orden es p. Sabiendo que el orden del subgrupo debe dividir al de G
(Teorema de Lagrange), p divide a (q − 1).
Aunque no se haya podido demostrar que la secuencia de los Mn genere

infinitos primos, sí se sabe que genera nuevos factores primos muy rápida-
mente. Se define un factor primitivo de Mn como un primo p que divide a
Mn , pero no divide a ningún número de Mersenne menor. La generación de
factores primos viene dada por los factores primitivos:
Teorema de Zsigmondy: Sea Mn = 2n − 1. Entonces

para todo n ̸= 6, n > 1, Mn tiene un factor primitivo
1.1.3. Números de Fermat
n
Se denota al n-ésimo número de Fermat como Fn = 22 + 1. Esta
expresión da como resultado un número primo cuando n toma valores entre
0 y 4. Euler probó que F5 es divisible por 641 y se sospecha que solo hay un
número finito de primos de Fermat.
Por otro lado, la factorización de los números de Fermat es bastante sencilla,
como nos muestra el siguiente resultado:
Proposición: Dado p un primo tal que p|Fn , se tiene que p = 2n+1 k + 1

para algún k ∈ N
11
n
Demostración: Sabemos que 22 ≡ −1 (mód p) y p es impar. Por tanto,
n+1
22 ≡1 (mód p)
Tomando d = mcd(2n+1 , p − 1) y obteniendo a y b según la Identidad de

Bezout tales que d = (2n+1 )a + (p − 1)b, deducimos que
n+1 )a+(p−1)b n+1
2d = 2(2 = (22 )a (2p−1 )b ≡ 1 (mód p)
aplicando el Pequeño Teorema de Fermat a 2p−1 ≡ 1 (mód p). Como d|2n+1 , d =

2c para algún c entre 0 y n + 1, ergo
c
2d = 22 ≡ 1 (mód p)
n
Pero sabemos que 22 ≡ −1 (mód p), y no es congruente con 1. Deducimos
que c = n + 1 y d = 2n+1 . Como d también divide a p − 1, se concluye que
p = 2n+1 k + 1 para algún k. CQD
1.1.4. Tests de primalidad.
Comprobar la primalidad de un número es tarea sencilla para valores

pequeños: basta con estudiar la divisibilidad por primos pequeños. La com-
plejidad de este método aumenta rápidamente con el tamaño, pues es análogo
a un método de factorización, problema que aún no se ha resuelto en tiempo
polinomial mediante herramientas clásicas.
Una alternativa es utilizar resultados de Teoría de Números que propor-

cionen condiciones necesarias o suficientes para determinar la primalidad. Un
ejemplo es el Pequeño Teorema de Fermat, que nos da una condición nece-
saria.
El siguiente resultado, en cambio, provee una condición necesaria y suficiente:
Teorema de Wilson: Un entero n > 1 es primo si y solo si:
(n − 1)! ≡ −1 (mód n)
Demostración
12
⇒ La demostración es trivial para n = 2. Sea n = p con p > 2 primo.
Si consideramos los enteros a tales que 1 < a < p − 1, todos tienen inver-
so multiplicativo módulo p. Como su unicidad es obvia, si cada inverso es
distinto del propio elemento, entonces se cancelarían todos los términos de
(p − 1)! (excepto el propio n − 1 ≡ −1) módulo p.
Supongamos que no se cumple, es decir, a2 ≡ 1 (mód p). Entonces
p|(a + 1)(a − 1), y por primalidad se sigue que a ≡ ±1 (mód p), esto es, a es
1 ó p − 1. CQD
⇐ Supongamos que n = ab, con 1 < a, b ≤ n − 1. Consideramos 2 casos:

a = b y a ̸= b
(Caso a = b) Si a = b = 2, se tiene que 3! = 6 no es congruente con -1

módulo 4. Consideramos entonces a > 2. Claramente a, 2a ≤ n − 1, y tanto
a como 2a son factores de (n − 1)!. Se sigue que (n − 1)! = 2a2 k = ab2k para
algún k y
(n − 1)! ≡ 0 (mód n)
(Caso a ̸= b) Claramente a y b son factores distintos que se encuentran en
(n − 1)!. Se deduce que (n − 1)! = kab para algún k, y la congruencia módulo
n es 0.
En ninguno de los casos la congruencia vale -1 CQD
Aunque este método proporcione un método infalible para determinar la

primalidad, en la práctica es imposible computar n! en tiempo polinomial, lo
que obliga a considerar otros métodos.
Por ejemplo, para comprobar la primalidad de un posible primo p, se puede
utilizar la congruencia dada por el Pequeño Teorema de Fermat,
ap−1 ≡ 1 (mód p) siempre que p sea primo
para cualquier natural a. Parece funcionar entonces como test escoger al azar
a con 1 < a < p y comprobar si la congruencia se verifica. Sin embargo, exis-
ten números compuestos tales que para toda base coprima con ellos se verifica
la congruencia del Pequeño Teorema de Fermat. Estos son conocidos como
números de Carmichael.
El hecho de que haya infinitos de ellos vuelve al test descrito anteriormente
13
poco válido como test de primalidad.
1.2. Ecuaciones diofánticas
1.2.1. La ecuación de Pitágoras
Las ecuaciones diofánticas son ecuaciones, generalmente polinomios de

coeficientes enteros, para las que se busca obtener soluciones enteras. Un
ejemplo es la ecuación dada por la longitud de los lados de un triángulo
rectángulo, la ecuación de Pitágoras:
x2 + y 2 = z 2
El objetivo es encontrar todas las soluciones enteras. Para ello, nos dedica-
remos a buscar soluciones primitivas, es decir, soluciones tales que x, y, z no
tengan factores primos comunes. Esto se deriva de que, dada una solución
con factores comunes, siempre se puede deducir una solución primitiva divi-
diendo en la ecuación por el cuadrado de dichos factores. Entonces, partimos
de una serie de suposiciones: sabemos que solo una de las incógnitas puede
ser par (si dos de ellas son pares, entonces la tercera también, y se tiene que
2 es divisor común de las tres incógnitas), y esta no puede ser z. Esto es
porque x2 + y 2 ≡ 0 (mód 4) no tiene solución para x e y impar. Suponemos
que x es par.
Consideramos entonces x = 2x′ y de la expresión x2 = z 2 − y 2 =

= (z + y)(z − y) obtenemos
z+yz−y
x′2 =
2 2
Como consideramos z e y impares, ambos factores (z ± y)/2 son enteros.
Podemos deducir que son coprimos (si no lo son, la suma y la diferencia tienen
un factor común, que también lo es de y y z) y por el Teorema Fundamental
de la Aritmética concluimos que son cuadrados:
z + y = 2m2 , z − y = 2n2 , m > n, z ≥ 0, y ≥ 0
14
Así, obtenemos las soluciones primitivas de la ecuación de Pitágoras,
x = 2mn, z = m2 + n2 , y = m2 − n2
con m > n, uno de ellos par y el otro impar.
1.2.2. Algunas formas cuadráticas
Es bien sabido que un anillo euclídeo es dominio de factorización única, es

decir, se cumple el TFA. Esto es debido a cómo se puede realizar un proceso
análogo al algoritmo euclídeo de la división con resto a partir de la norma
del anillo.
Definición: Un anillo E se denomina dominio euclídeo si es dominio

de integridad y existe una aplicación N : E \ {0} → N, llamada norma, que
cumple:
1. N (ab) = N (a)N (b) ∀a, b ∈ E
2. ∀a, b ∈ E, si b ̸= 0, ∃ q, r ∈ E tales que

a = bq + r, r = 0, o bien N (r) < N (b)
Vamos a considerar sobre el anillo R = Z[i] la norma dada por

N (x + iy) = x2 + y 2 como apoyo para buscar soluciones para la ecuación
n = x2 + y 2
para algún n fijo. En particular, sabemos encontrar las soluciones para n

primo.
Lema: Si p es 2 o congruente con 1 módulo 4, la congruencia
T2 + 1 ≡ 0 (mód p)
tiene solución en los enteros
15
Demostración: Para p=2 es evidente. Sea p = 4n + 1 para algún n > 0.
Por el teorema de Wilson
(p − 1)! = (p − 1)(p − 2) · · · 1 ≡ −1 (mód p)
Considerando
4n = p − 1 ≡ −1 (mód p)
4n − 1 = p − 2 ≡ −2 (mód p)
.
.
.
2n + 1 = p − 2n ≡ −2n (mód p)
En consecuencia,
(p − 1)! = (4n)! = 1 · 2 · · · (2n − 1)(2n)(2n + 1) · · · (4n) ≡
1 · 2 · · · (2n − 1)(2n)(−2n) · · · (−1) ≡ ((2n)!)2 (−1)2n ≡ −1 (mód p)
Tomando T = (2n)! obtenemos el resultado
Teorema: Un primo p puede escribirse como suma de dos cuadrados si

y solo si p = 2 o p ≡ 1 (mód 4)
Demostración: De nuevo, el caso 2 es trivial. Como los cuadrados mó-

dulo 4 son 0 o 1, p congruente con 3 no puede ser suma de 2 cuadrados.
Supongamos p ≡ 1 (mód 4). Por el lema anterior, en el anillo Z[i] se puede
escribir
kp = T 2 + 1 = (T + i)(T − i)
para algún par de enteros c y T .
Veamos que p no es reducible en R. Si suponemos lo contrario, p es primo
en R por darse en este el TFA. Entonces p dividiría a T ± i, pues divide
a su producto, pero esto es imposible porque p no divide al coeficiente de
i. Tenemos que p = ab es producto de dos no unidades de R. Tomando la
norma de p y ab,
p2 = N (ab) = N (a)N (b)
Como ni a ni b son unidades, se tiene que N (a) ̸= 1, N (b) ̸= 1. De nuevo, por
el TFA, N (a) = N (b) = p. Entonces, por definición de la norma dada sobre
Z[i], existen x e y enteros tales que a = x + iy, x2 + y 2 = p
16
En cuanto a las soluciones para n cualquiera, se tiene que n es suma de
dos cuadrados si y solo si cada uno de sus factores primos congruentes con 3
módulo 4 aparece en la factorización de n con exponente par.
Otro resultado clásico es el Teorema de los Cuatro Cuadrados de Lagran-

ge. Este enuncia que todo entero positivo se puede expresar como suma de
cuatro cuadrados enteros.
La demostración se obtiene como consecuencia inmediata de las propieda-
des: el producto de dos sumas de cuatro cuadrados es una suma de cuatro
cuadrados y todo primo se puede expresar como tal suma.
Proposición: El producto de dos sumas de cuatro cuadrados es una suma

de cuatro cuadrados
Demostración: Basta desarrollar a ambos lados de la expresión de la

identidad de los cuatro cuadrados de Euler
(a2 + b2 + c2 + d2 )(w2 + x2 + y 2 + z 2 ) =
= (aw + bx + cy + dz)2 + (ax − bw − cz + dy)2 + (ay + bz − cw − dz)2 +
+ (az − by + cx − dw)2
Para el otro resultado necesitaremos hacer uso del siguiente lema:
Lema: Dado p un primo impar, existen dos enteros a y b tales que a2 +

b2 + 1 ≡ 0 (mód p)
Demostración:
Definimos
los conjuntos
p − 1
A = a2 | 0 ≤ a ≤
2
2 p−1
B = −b − 1| 0 ≤ b ≤
2
Los elementos de A vistos como congruencia módulo p son distintos dos

a dos. Basta observar que las únicas raíces posibles del polinomio x2 − a son
a y −a = p − a. Como solo una de ellas puede ser menor que p−1 2
, concluimos
que los cuadrados son distintos.
17
Análogamente, los elementos de B módulo p también son distintos entre
sí. Como en A y en B hay p+1
2
elementos módulo p, por solo existir p enteros
módulo p entonces existen a2 ∈ A, −b2 − 1 ∈ B tales que
a2 + b2 + 1 ≡ 0 (mód p) CQD
Proposición: Todo primo es suma de cuatro cuadrados.
Demostración: Para p = 2, se tiene p = 12 + 12 + 02 + 02

Sea p un primo impar. Por el lema anterior, existen enteros m′ , a′ , b′ tales que
m′ p = a′2 + b′2 + 12 + 02 . En particular, existen enteros m, a, b, c, d tales que
mp = a2 + b2 + c2 + d2
Si m = 1, es el resultado deseado. Supongamos m > 1, buscaremos n < m

tal que np sea suma de cuatro cuadrados, de forma que se acaba llegando al
caso n = 1.
Si m es par, entonces un número par de los a, b, c, d es par. Agrupamos

los cuadrados en grupos de 2 de forma que los elementos de un grupo tengan
la misma paridad, sin perder generalidad (a2 + b2 ) + (c2 + d2 ). Tanto a2 + b2
como c2 + d2 son pares. Consideramos la siguiente 2
2 si 2n=2 x + y ,
identidad:
2
x+y x−y
entonces x e y tienen la misma paridad y n = + es suma
2 2
de dos cuadrados.
Aplicando esta identidad a (a2 + b2 ) y a (c2 + d2 ) (ambas expresiones pares),
a2 + b 2 c2 + d 2
entonces tanto como son sumas de dos cuadrados. Como
2 2
m
conclusión inmediata, p es suma de cuatro cuadrados.
2
Si m es impar, consideramos w ≡ a (mód m), x ≡ b (mód m), y ≡ c

(mód m), z ≡ d (mód m) tales que − m2 < w, x, y, z < m2 .
Se tiene que w2 + x2 + y 2 + z 2 < m2 y w2 + x2 + y 2 + z 2 ≡ 0 (mód m) por
verificarlo también a, b, c, d. Se concluye que w2 + x2 + y 2 + z 2 = km para
algún 0 < k < m. En la identidad de Euler
(a2 + b2 + c2 + d2 )(w2 + x2 + y 2 + z 2 ) =
= (aw + bx + cy + dz)2 + (ax − bw − cz + dy)2 + (ay + bz − cw − dz)2 +
+ (az − by + cx − dw)2
18
la parte de la izquierda es kpm2 . Como módulo m ax ≡ bw y cz ≡ dy,
ax − bw − cz + dy (y su cuadrado) es divisible por m2 . Se puede razonar de
forma análoga para ay + bz − cw − dz y az − by + cx − dw.
aw + bx + cy + dz ≡ w2 + x2 + y 2 + z 2 ≡ 0 (mód m), por lo que su cuadrado
es divisible por m2 .
Todo sumando de la expresión de la derecha, y en particular la expresión
2
entera,
2 m . Concluimos que kp es suma de cuatro cuadrados:
es divisible por
aw + bx + cy + dz
, etc. CQD
m
√
Cuando se elige un entero d > 1 libre de cuadrados, se tiene que Z[ d]
es un anillo con infinitas
√ unidades y en el que se puede definir una norma N
dada por N (x + y d) = x2 − dy 2 . Esto nos da una pista para la solución de
otra ecuación:
Teorema: Dado d > 1 entero libre de cuadrados, la ecuación
x2 − dy 2 = 1
tiene infinitas soluciones con x e y enteros.

√ En particular, cada solución se
corresponde con una unidad en R = Z[ d], con norma 1, y toda unidad con
norma 1 es de la forma ±un , n ∈ N siendo u una unidad fija y de norma 1.
Este resultado se obtiene fácilmente como corolario del Teorema de las

Unidades, que veremos en el capítulo siguiente.
√
En cambio, al considerar anillos Z[ −d] para resolver la ecuación
p = x2 + dy 2 hay problemas, en el sentido de que dicho anillo no siempre es
euclídeo.
Podemos también encontrar soluciones para las ecuaciones Diofánticas

del tipo
ax2 + bxy + cy 2 = n
buscando valores enteros de x e y con a,b,c,n enteros fijos. Para ello, defimos
el discriminante de la forma cuadrática ax2 + bxy + cy 2 como
∆ = b2 − 4ac
19
Tenemos el siguiente teorema:
Teorema [Lagrange]: Sea ∆ un entero no cuadrado. Podemos encontrar

una forma cuadrática ax2 + bxy + cy 2 de discriminante ∆ y con una solución
primitiva para
ax2 + bxy + cy 2 = n (A)
si y solo si la congruencia

2 ∆−ρ
z + ρz − ≡0 (mód n) (B)
4
1 − (−1)b
tiene una solución, siendo ρ =
2
Demostración: Supongamos que (α, β) es una solución primitiva de (A).

Podemos usar la identidad de Bezout y obtener enteros γ, δ tales que
αγ + βδ = 1

x α −δ X
Tomamos enteros X e Y tales que =
y β γ Y
α −δ
Notemos que det = 1, por lo que es una matriz inversible sobre los
β γ
enteros.
Sean
b+ρ
r = aαδ + cβδ +
2
s = aδ + bδγ + cγ 2
2
r es entero por compartir paridad ρ y b.

Sustituyendo x e y en (A) y operando, se obtiene
a(αX − δY )2 + b(αX − δY )(βX + γY ) + c(βX + γY )2 =
= nX 2 + (2r + ρ)XY + sY 2 = n
La ecuación nX 2 + (2r + ρ)XY +

2
sY = n (C)
tiene la solución X =
α α −δ 1
1, Y = 0, que se corresponde con =
β β γ 0
20
El discriminante de (C) es (2r + ρ)2 − 4sn =∆ (D),por lo cual tenemos
∆−ρ
una solución de (B) dada por z = r, r2 + ρr − = sn
4
Supongamos ahora que r es solución de (B). Podemos obtener s a partir de

la ecuación (D) y tenemos como solución para (C) X = 1, Y = 0. Entonces
tenemos una solución (primitiva) para la ecuación nx2 +(2r+ρ)xy+s2 y 2 = n,
que tiene discriminante ∆ CQD
Nótese que no estamos demostrando la existencia de solución (primitiva)

de una forma cuadrática de discriminante ∆, sino la existencia de una forma
cuadrática de discriminante ∆ y con solución (primitiva).
1.2.3. La Ley de Reciprocidad Cuadrática
La ley de reciprocidad cuadrática es el resultado más importante sobre

residuos cuadráticos. Esta ley estudia la existencia de soluciones de pares de
ecuaciones del tipo
x2 ≡ p (mód q), y 2 ≡ q (mód p)
En particular, existe solución para ambas si alguno de los dos es congruente
con 1 módulo 4, y si ambos son congruentes con 3, solo una congruencia del
par tiene solución. Como notación se introduce el símbolo de Legendre para
un primo impar p y un entero a,

 0 si p|a
a
= 1 si p ∤ a y x2 ≡ a (mód p) tiene solucion
p
−1 en otro caso

Estudiar las propiedades del símbolo de Legendre puede facilitar encon-

trar soluciones de ciertas ecuaciones Diofánticas.
Teorema [Criterio de Euler]: Sea p un primo impar.

a
≡ a(p−1)/2 (mód p)
p
21
Demostración: Es evidente si p es factor de a, así que suponemos que a y
p son coprimos.
Por ser coprimos, ap−1 ≡ 1 (mód p) y como las únicas raíces de 1 módulo p
son ±1, a(p−1)/2 ≡ ±1 (mód p)
Sea g un elemento generador de (Z/pZ)∗ , a ≡ g j (mód p) para algún j.

Supongamos que a es residuo cuadrático. Tenemos que j es par, j = 2j ′ para
algún j ′ . En consecuencia
a(p−1)/2 ≡ (g j )(p−1)/2 = (g p−1 )j ≡ 1 (mód p)

a
En conclusión, = 1 implica a(p−1)/2 ≡ 1 (mód p)
p
Veamos la implicación contraria. a(p−1)/2 ≡ 1 (mód p) y g j(p−1)/2 ≡ 1

(mód p). Como g tiene orden p − 1, tenemos que (p − 1)|j(p − 1)/2 y 2(p −
1)|j(p − 1).
Deducimos
entonces que j es par y a es residuo cuadrático módulo p, es
a
decir, =1 CQD
p
Como corolario inmediato, obtenemos que el símbolo de Legendre es mul-

tiplicativo respecto al primer término,

ab a b
=
p p p
Teorema [Ley de Reciprocidad Cuadrática]: Dados p, q primos im-

pares, si p ≡ q ≡ 3 (mód 4),

q p
=−
p q
Si al menos uno de los dos es congruente con 1 módulo 4, los símbolos son
iguales.
22
Este teorema junto con las propiedades vistas y el siguiente resultado
nos permitirá verificar de manera eficiente si un entero cualquiera es residuo
cuadrático de un primo cualquiera.
Teorema: Si p es un primo impar, entonces

2
= 1 si y solo si p ≡ ±1 (mód 8)
p
Veamos una demostración poco pulida:
Por ser p impar, 8 divide a p2 − 1. Siendo F el cuerpo con p2 elementos,
se tiene que F∗ es un grupo cíclico de orden p2 − 1, y existe un elemento de
orden 8 en él, ξ. Denotando G = ξ − ξ 3 − ξ 5 + ξ 7 , se puede comprobar, usando
ξ 4 = −1, que G2 = 8
Consideramos la función f dada por

0 si j es par
f (j) = (j 2 −1)/8
(−1) si j es impar
que cumple la propiedad f (p)f (pj) = f (j)∀j ∈ Z. Buscamos 2 expresiones
distintas para Gp :

p p−1 (p−1)/2 8 2
1: G = GG = G8 =G =
p p
2: Gp = ( 7j=0 f (j)ξ j )p = 7j=0 f (j)ξ pj = 7j=0 f (p)f (pj)ξ pj =

P P P
= f (p) 7j=0 f (pj)ξ pj = f (p) 7j=0 f (j)ξ j = f (p)G

P P

2
Concluimos que f (p) = por ser G distinto de 0, y f (p) es 1 si y solo
p
si p es congruente con ±1 módulo 8 CQD.
La demostración de la Ley de Reciprocidad Cuadrática se puede hacer de

forma similar a esta última y no se desarrollará, en parte por la pesadez de
la notación.
Con estos resultados estamos en posición de calcular rápidamente símbo-
23
los de Legendre. Tomemos como ejemplo:

1003 201 3 67 401 401
= = = (−1)2 =
401 401 401 401 3 67

2 66 2 3 11 67 67 1 1
= = (−1) = = =1
3 67 67 67 67 3 11 3 11
1.3. Alternativa al Teorema fundamental de la

Aritmética
1.3.1. El TFA para ideales
Se sabe que en los anillos que poseen una norma se puede definir un
algoritmo de división, y como consecuencia se prueba la existencia de un
TFA. Tal norma es relativamente intuitiva cuando se consideran algunos
anillos de enteros algebraicos sobre Z (es decir, anillos formados por las raíces
de polinomios mónicos con coeficientes enteros), como ya se ha visto. Sin
embargo, no todos esos anillos son euclídeos, y tampoco es posible obtener
factorizaciones en primos de sus elementos.
De este obstáculo surge otra idea para replantear el concepto de factori-

zación en un anillo de enteros: en lugar de obtener una descomposición en
factores primos, se podría intentar descomponer sus ideales en un producto
de ideales primos.
Desde
√ aquí hasta el fin del capítulo se va a trabajar en un cuerpo
K = Q( d) y en su anillo de enteros sobre Z, para algún d libre de cuadrados.
Denotamos
√ este anillo OK Consideramos entonces la norma y traza de α =
x+y d
N (α) = x2 − dy 2
T (α) = 2x
24
√
Caractericemos
√ el anillo de enteros sobre Q( √d). Si d ≡ 2 o 3 (mód 4)
éste es Z[ d], y si d ≡ 1 (mód 4), este es Z[(1 + d)/2]
√
Demostración: Por ser Q( d) extensión de grado 2, tenemos que en
particular todos los elementos de su anillo de enteros son solución de una
ecuación mónica de coeficientes enteros y de √grado 2, x2 + bx + c = 0.
−b ± b2 − 4c
Consideramos sus posibles soluciones . Podemos considerar
2
que el término de la raíz es distinto de 0 para buscar elementos fuera de Z.
Consideramos 2 casos:
1. d ̸≡ 1 (mód 4). En este caso no se puede cumplir la congruencia b2 ≡ 1

(mód 4). Estudiamos en su lugar (b2 −4c)/4 = d, resultado de introducir
el denominador 2 en la raíz. Si consideramos b = 2b′ par, entonces se
′ 2 ′2
pueden encontrar soluciones para ((2b√ ) − 4c)/4 = d, b − c = d.
b 4d √
Obtenemos elementos del tipo ± = b′ + d, b′ entero.
2 2
2. d ≡ 1 (mód 4), d = 4n + 1. Buscamos soluciones enteras para b2 − 4c =
= d = 4n + 1 para incógnitas b y c, lo que es equivalente a resolver la
congruencia b2 ≡ 1 (mód 4), que tiene solución siempre
√ que b es impar.
b d
Obtenemos entonces elementos de la forma ± con b impar. Si
2 2
consideramos el caso par, se reducen a elementos del tipo anterior.
Los elementos generadores de los anillo de enteros en cada caso son los
buscados.
√ √
Dado α = x+y d, definimos el conjugado de α, α∗ = x−y d. Dado I un
ideal, se define el ideal I ∗ como el conjunto de conjugados de los elementos
de I. Se tiene que el conjugado de la suma y producto de ideales es la suma
y producto de los ideales conjugados, respectivamente.
Consideramos δ ∈ OK verificando OK = Z[δ].
Teorema: Sea I un ideal en OK . Entonces existen α, β en I tales que

I = (α, β)
25
Añadimos como notación, para α1 , . . . , αk ∈ OK ,
(α1 , . . . , αk ) = (α1 ) + · · · + (αk )
Lema [Hurwitz]: Si α, β son elementos de OK y k ∈ Z divide a N (α),

N (β) y T (αβ ∗ ) (siendo T la aplicación traza), entonces k divide a αβ ∗ y α∗ β
en OK
Como corolario, sabemos que para todo I ideal en OK , II ∗ es un ideal

principal de Z, kZ.
Podemos entonces definir la norma de un ideal en OK :

N (I) = k para el entero positivo k tal que II ∗ = kZ.
Corolario: Si I ̸= {0}, J,K son ideales de OK y IJ=IK, entonces J=K.
Podemos pasar a definir el concepto de divisibilidad de ideales. Dados dos

ideales I,J en OK , decimos que I divide a J, I|J si existe un ideal K ⊆ OK tal
que J=IK. Además, se tiene como resultado que I|J si y solo si J ⊆ I.
Demostración:
Como el producto de ideales está contenido en su intersección, I|J implica
J=IK y J está contenido en I.
Sean J, I ideales, J ⊆ I. Entonces JI ∗ ⊆ II ∗ = (N (I)). Para todo elemento
a ∈ JI ∗ , N(I) divide a a. Podemos considerar
1
K= JI ∗
N (I)
ideal contenido en OK . Se tiene que
1 N (I)
IK = I(JI ∗ ) = J =J
N (I) N (I)
Por definición, I|J.
Ahora estamos en condiciones de probar el TFA para ideales:
Teorema Fundamental de la Aritmética para ideales: Todo ideal
26
propio no nulo de OK se puede escribir como producto de ideales primos,
siendo la factorización única salvo el orden.
Demostración: Si el ideal a considerar es maximal, entonces es primo.

Sea I un ideal no maximal. Sabemos que está contenido en un ideal maximal y
por tanto se puede escribir como producto de dos ideales. En particular, esos
dos ideales tienen norma menor que la de I. Si se continúa descomponiendo
los ideales no maximales, obtenemos ideales de norma cada vez estrictamente
menor, por lo que la secuencia de factores de I termina tras un número finito
de descomposiciones, y obtenemos una factorización en ideales maximales.
Como los ideales maximales son también primos, concluimos la demostración
notando que la unicidad se deriva de la propiedad cancelativa de ideales
propios no nulos comunes a dos productos.
27
Capítulo 2
Fundamentos algebraicos de la
teoría de números
El objetivo principal de este capítulo es intentar extender conceptos es-

tudiados en el capítulo anterior sobre extensiones cuadráticas de Q a anillos
más generales, en particular, a otros cuerpos de números (extensiones fini-
tas de Q). Entre estos conceptos nos enfocaremos en el TFA para ideales y
veremos una demostración para el teorema de clases de ideales.
2.1. Preliminares
En este apartado se exponen algunos conceptos y resultados fundamen-

tales sobre anillos e ideales, principalmente, que son necesarios para probar
importantes resultados.
28
2.1.1. Ideales fraccionarios
Dado un dominio de integridad A y su cuerpo de fracciones K, se llama

ideal fraccionario de A a cualquier I A-submódulo de K tal que dI ⊆ A
(I ⊆ d−1 A) para algún d ∈ A, es decir, tal que los elementos de I tienen un
denominador común d.
Los ideales de A son en particular fraccionarios para d = 1, y se pueden
denominar ideales enteros.
Se puede definir el producto de ideales fraccionarios de forma análoga al

producto de ideales que ya conocemos, II’ sería el conjunto de sumas finitas
xi yi con xi ∈ I, yi ∈ I ′ . La intersección, suma y producto de dos ideales
P
fraccionarios es a su vez un ideal fraccionario. Adicionalmente, si d y d′ son
sus denominadores comunes, el denominador común es d (o d′ ), dd′ y dd′
respectivamente.
2.1.2. Anillos de enteros
Dados un anillo R, A un subanillo de R y x ∈ R, se dice que x es entero

sobre A si cumple cualquiera de las siguientes condiciones equivalentes:
Existen a0 , . . . , an−1 ∈ A tales que

xn + an−1 xn−1 + · · · + a1 x + a0 = 0
es decir, x es raíz de un polinomio mónico con coeficientes en A
El anillo A[x] es un A-módulo de tipo finito
Existe un subanillo de R que contiene a A y a x y que es A-módulo de
tipo finito.
En las condiciones anteriores, el conjunto de los elementos de R enteros

sobre A es un subanillo de R que contiene a A.
Se definen también
29
Clausura entera de A en R: Dicho subanillo de los enteros de R
sobre A.
Clausura entera de A: La clausura entera de A en K, siendo A un

dominio de integridad y K el cuerpo de fracciones de A.
R es entero sobre A si todo elemento de R es entero sobre A.
Un anillo es íntegramente cerrado si es un dominio de integridad y

su clausura entera es él mismo.
Una propiedad básica es que la propiedad de un anillo de ser entero se

conserva por transitividad, es decir, si C es un anillo, B subanillo de C y A
subanillo de B tales que C es entero sobre B y B es entero sobre A, entonces
C es entero sobre A.
Sean A un anillo, E un A-módulo libre de rango finito, x un elemento de

E y mx el endomorfismo de E dado por la multiplicación por el elemento x,
se puede representar dada una base (ei ) por una matriz (aij ) en esta base.
Se definen:
Traza de x, T r(x) = T r(mx ) = ni=1 aii

P
Alternativamente, es el coeficiente del término de orden 1 del polinomio
característico de mx
Norma de x, N (x) = det(mx ) = det(aij )

Alternativamente, es el término independiente del polinomio caracte-
rístico de mx
Al trabajar sobre un cuerpo de característica 0 K y una extensión algebraica

finita suya, L, se denotan también T rL/K (x) y NL/K (x), respectivamente.
Cuando se toma x un elemento de L entero sobre A, entonces los coeficientes
del polinomio característico (en particular T rL/K (x) y NL/K (x)) son enteros
sobre A. Si además A es íntegramente cerrado, los coeficientes son elementos
de A.
30
Sean B un anillo y A un subanillo de B tal que B es A-módulo libre de
rango finito n. Para un sistema (x1 , . . . , xn ) ∈ B n , se define el discriminante
de (x1 , . . . , xn ) al elemento de A dado por D(x1 , . . . , xn ) = det(T r(xi xj ))
Proposición:
Pn Si (y1 , . . . , yn ) es otro sistema de elementos de B tal que
yi = i=1 aij xj , aij ∈ A, entonces D(y1 , . . . , yn ) = det(aij )2 D(x1 , . . . , xn )
Como consecuencia directa, los discriminantes de las bases son asociados,

y está bien definido el discriminante de B sobre A (DB/A ) como el ideal de
A engendrado por el discriminante de cualquier base de B sobre A.
Otro resultado es que un sistema (x1 , . . . , xn ) es base de B sobre A si y

solo si D(x1 , . . . , xn ) engendra DB/A .
Se tiene también que dados K cuerpo finito o de carecterística 0 y L una
extensión finita suya, el discriminante de cualquier base de L sobre K es
distinto de 0.
Se denomina cuerpo de números a cualquier extensión finita y alge-

braica K de Q. El grado de la extensión [K : Q] se llama grado de K.
Por abuso de notación, se llaman enteros de K a los elementos de K enteros
sobre Z, que forman un anillo A que es Z-módulo libre del mismo rango que
el grado de K.
Por un resultado anterior, sabemos que los discriminantes de las bases de A
como Z-módulo difieren entre sí por el cuadrado de un elemento inversible
en Z, esto es, el cuadrado de ±1. Se tiene entonces que para toda base del Z-
módulo A, su discriminante es único y se le llama discriminante absoluto
de K.
2.1.3. Q-isomorfismos
Dado K un cuerpo de números de grado n, sabemos que existen n Q-

isomorfismos distintos de K en C, es decir, n aplicaciones σi : K → C verifi-
cando que σi (Q) = Q. Además, si x es un elemento primitivo que genera la
extensión K, las aplicaciones quedan completamente determinadas por su ac-
31
ción sobre x, siendo esta σi (x) = xi , y siendo {xi }i=1,...,n el conjunto de raíces
del polinomio irreducible de x, que sabemos también que son distintas:
En efecto, si consideramos F (X) polinomio irreducible de grado n sobre

Q, sin perder generalidad mónico, F (X) = X n + an−1 X n−1 + · · · + a0 , si tiene
una raíz múltiple xi entonces el polinomio derivado F ′ (X) = nX n−1 + (n −
1)an−1 X n−2 + · · · + a1 tiene como raíz a xi . Por ser F (X) polinomio mínimo
para todas sus raíces, en particular lo es para xi , y por tener F ′ (X) menor
grado que el polinomio mínimo de xi , entonces F ′ (X) = 0. En particular,
nX n−1 = 0 y n · 1 = 0, lo que lleva a contradicción.
Si alguna de dichas raíces es compleja, sabemos que su conjugado es

también una raíz. Se tiene entonces que hay un número par de raíces con
parte imaginaria no nula, 2r2 , y con el número de raíces reales r1 , se tiene
que n = r1 + 2r2 . Además, exactamente r1 índices i verifican σi (K) ⊂ R
2.1.4. Retículos en Rn
Veremos conceptos y resultados que serán útiles a la hora de presentar

cotas para las normas de elementos e ideales, así como discriminantes.
Un subgrupo aditivo de Rn se dice discreto si para todo compacto K de

R , K ∩ Rn es finito.
n
Además, Zr , r ≤ n es el único subgrupo discreto de Rn salvo isomorfismo,

y está generado como Z-módulo por r verctores linealmente independientes
sobre R
En particular, si el subgrupo discreto H es de rango n, se le llama retículo

de Rn .
Dada una base e = (e1 , . . . , en ) de H, y designando µ la medida de Lebesgue,
llamamos volumen del retículo H,v(H), a la medida del conjunto
( n )
X
Pe = αi ei | 0 ≤ αi < 1
i=1
32
Se tiene que µ(Pe ) es independiente Pn de la base elegida. En efecto, sea f =
(f1 , . . . , fn ) otra base de H. fi = j=1 aij ej , aij ∈ Z. Sabemos que el deter-
minante de la matriz (aij ) de cambio de base es una unidad en Z por lo que,
considerando que µ(Pf ) = |det(aij )|µ(Pe ), y la igualdad es evidente al ver
que las únicas unidades de Z son ±1.
Sea K un cuerpo de números de grado n y sus Q-isomorfismos asociados,

σi , con r1 , r2 los enteros dados anteriormente. Ordenamos los σi de forma
que σi (K) ⊂ R, 1 ≤ i ≤ r1 , σj+r2 = σ̄i , r1 + 1 ≤ j ≤ r1 + r2 . Para x ∈ K,
definimos la aplicación σ(x) = (σ1 (x), . . . , σr1 +r2 (x)) ∈ Rr1 × Cr2 , y se llama
inmersión canónica de K en Rr1 × Cr2 .
Tenemos los siguientes resultados:
Proposición: Dados M un Z-submódulo de K y (xi )1≤i≤n una Z-base de

M, se tiene que σ(M ) es un retículo de Rn cuyo volumen es
v(σ(M )) = 2−r2 |det(σi (xj ))|
Proposición: Sean d el discriminante absoluto de K, A su anillo de

enteros y a un ideal de A (entero) no nulo. Entonces σ(A) y σ(a) son retículos
y sus volúmenes son:
v(A) = 2−r2 |d|1/2
v(a) = 2−r2 |d|1/2 N (a)
2.2. Anillos Noetherianos y de Dedekind.
Teorema: Dado A un anillo y M un A-módulo, los siguientes enunciados

son equivalentes:
a) Toda familia no vacía de submódulos de M contiene un elemento

maximal bajo la relación de inclusión.
b) Toda sucesión creciente (Mn )n≥0 de submódulos de M es estacionaria
33
c) Todo submódulo de M es de tipo finito
Demostración:
a ⇒ c) Sea E submódulo de M y Φ la familia de submódulos de tipo

finito de E, que es no vacía por incluir al submódulo cero. Por a), Φ tiene un
elemento maximal F. Para x ∈ E consideramos el submódulo F + Ax, que
es de tipo finito por ser generado por el sistema finito que genera a F más
{x}. Por ser F maximal, F + Ax ⊆ F , y x ∈ F . Se deduce que E=F y E es
de tipo finito.
c ⇒ b)
S Sea (Mn )n≥0 una sucesión creciente de submódulos de M. Enton-
ces E = n≥0 Mn es un submódulo de M. Por c), E admite un sistema gene-
rador finito, {x1 , . . . , xq }. Para cada i ∈ {1, . . . , q}, ∃n(i) tal que xi ∈ Mn(i) .
Sea n0 = max{n(1), . . . , n(q)}. Claramente, E ⊆ Mn0 y E = Mn0 . Se con-
cluye que para n ≥ n0 , Mn = Mn0 y la sucesión es estacionaria a partir de
n0 .
Para terminar el resultado, veamos la equivalencia de a) y b) con un

resultado sobre los conjuntos ordenados:
Lema: Sea T un conjunto ordenado. Son equivalentes:
a) Toda familia no vacía de elementos de T contiene un elemento maximal.
b) Toda sucesión creciente (tn )n≥0 de elementos de T es estacionaria
Demostración:
a ⇒ b) Si tomamos como elemento maximal de la sucesión a tq , por ser

esta creciente tn = tq para n mayor que q, y es sucesión estacionaria.
b ⇒ a) Consideramos S un subconjunto no vacío de T. Si suponemos

que no existe elemento maximal en S, ∀x ∈ S, ∃ x′ > x. Por el axioma
34
de elección, existe f : S → S tal que f (x) > x. Por ser S no vacío, existe
t0 ∈ S. Definimos una sucesión (tn )n≥0 tomando tn+1 = f (tn ), y resulta ser
una sucesión creciente y no estacionaria, lo que contradice b). CQD
Un A-módulo M se llama noetheriano si verifica las condiciones equi-

valentes del teorema anterior. Respectivamente, a un anillo A se le llama
noetheriano si lo es al considerarle como A-módulo.
Como corolario del teorema anterior, dado A un anillo de ideales princi-

pales, este es noetheriano (sus A-submódulos son sus ideales, que son de tipo
finito por ser engendrados por un solo elemento).
Proposición: Dados A un anillo, E un A-módulo y E’ submódulo de E,

entonces E es noetheriano si y solo si E’ y E/E’ son noetherianos.
Demostración:
⇒ Los conjuntos ordenados de submódulos de E’ y E/E’ son isomorfos a

los de submódulos de E contenidos en E’ o que contienen a E’, respectivamen-
te. Por a) del teorema anterior, se deduce que E’ y E/E’ son noetherianos.
⇐ Sea (Fn )n≥0 una sucesión creciente de submódulos de E. Por ser E’

noetheriando, existe un entero n0 tal que Fn ∩ E ′ = Fn+1 ∩ E ′ ∀n ≥ n0 .
De forma similar, por ser E/E’ noetheriano, existe un entero n1 tal que
(Fn + E ′ )/E ′ = (Fn+1 + E ′ )/E ′ ∀n ≥ n1 . Tomando n mayor que n0 y n1 ,
veamos que Fn = Fn+1 ; basta ver que Fn+1 ⊆ Fn . Sea x ∈ Fn+1 . Como
(Fn + E ′ )/E ′ = (Fn+1 + E ′ )/E ′ , existen y ∈ Fn , z, z ′ ∈ E ′ verificando
x + z = y + z ′ , y x − y = z ′ − z ∈ Fn+1 ∩ E ′ = Fn ∩ E ′ . Entonces x − y ∈ Fn
y x está en Fn por estarlo y. CQD
En conclusión, Fn+1 = Fn para n mayor que n0 y n1 y E es noetheriano.
Como corolario, el producto cartesiano de A-módulos noetherianos es

noetheriano, y para un anillo noetheriano B, cualquier B-módulo de tipo
finito es noetheriano.
35
Proposición: Dados A un anillo noetheriano íntegramente cerrado, K su
cuerpo de fracciones de característica 0, L una extensión finita de K y A’ la
clausura entera de A en L, se tiene que A’ es un A-módulo de tipo finito y
un anillo noetheriano.
Este resultado se puede aplicar a los números enteros, siendo Z anillo íntegra-
mente cerrado, y obtenemos que todo anillo de enteros sobre una extensión
de Q es noetheriano.
Definición: Se define un anillo de Dedekind como un anillo noethe-

riano, íntegramente cerrado y tal que todo ideal primo no nulo suyo sea
maximal.
Se puede obtener un resultado similar al anterior respecto a los anillos de

Dedekind
Teorema: Sean A anillo de Dedekind, K su cuerpo de fracciones y de

característica 0, L una extensión finita de K y A’ la clausura entera de A en
L. Se tiene que A’ es anillo de Dedekind y A-módulo de tipo finito.
Demostración: Por construcción, A’ es íntegramente cerrado, y es A-

módulo de tipo finito y noetheriano por la proposición anterior. Veamos que
todo ideal primo suyo no nulo p ̸= (0) es maximal. Sea x ∈ p, x ̸= 0. Tenemos
una ecuación de dependencia entera de x sobre A de grado mínimo,
xn + an−1 xn−1 + · · · + a1 x1 + a0 = 0 ai ∈ A
Por ser de grado mínimo, a0 ̸= 0 y a0 ∈ A′ x ∩ A ⊆ p ∩ A, y p ∩ A ̸= 0.

Como p ∩ A es un ideal primo de A, es también maximal por ser A de
Dedekind, y A/p ∩ A es un cuerpo. A su vez A/p ∩ A se identifica con un
subanillo de A′ /p y como A’ es entero sobre A, A′ /p es entero sobre A/p ∩ A.
Concluimos que A′ /p es un cuerpo y p es maximal en A’. CQD
De nuevo, trabajando sobre Z, se obtiene que el anillo de los enteros de un

cuerpo de numéros es de Dedekind, lo que se puede utilizar como sustituto
para la propiedad de dominio de ideales principales, que no siempre se da.
36
Con los siguientes teoremas se intenta obtener una descomposición en pro-
ducto de ideales primos de los ideales fraccionarios de los anillos de Dedekind.
Lema: Si un ideal primo contiene un producto de ideales, entonces con-

tiene a uno de ellos.
Lema: En un anillo noetheriano, todo ideal contiene un producto de

ideales primos. Si además es anillo íntegro, todo ideal no nulo suyo contiene
un producto de ideales primos no nulos.
Teorema: Sea A un anillo de Dedekind no cuerpo. Todo ideal maximal

de A es inversible en el monoide de los ideales fraccionarios de A (sobre su
cuerpo de fracciones K)
Demostración: Sea m ideal maximal de A, m ̸= (0) por no ser A un

cuerpo. Definimos el ideal
m′ = {x ∈ K | xm ⊆ A}
que es claramente un ideal fraccionario al admitir como denominador a cual-
quier elemento de A no nulo. Veamos que mm′ = A.
Se ve de forma inmediata que mm′ ⊆ A, por definición de m′ .
Se tiene que A ⊆ m′ y m = mA ⊆ mm′ . Por ser m maximal y m ⊆ mm′ ⊆

A, o bien m = mm′ o bien mm′ = A.
Supongamos que m = mm′ . Sea x ∈ m′ . Por hipótesis, xm ⊆ m, y toda

potencia xn verifica xn m ⊆ m y se puede tomar como denominador común
cualquier elemento no nulo de m, por lo que A[x] es un ideal fraccionario de
A. Por ser A noetheriano, A[x] es de tipo finito, x es entero sobre A y, por
ser A íntegramente cerrado, x ∈ A. Se concluye que m′ = A.
Ahora, sea a ∈ m, a ̸= 0. Aa contiene un producto de ideales primos

no nulos, p1 . . . pn , n mínimo (sin perder generalidad). Entonces m ⊇ Aa ⊇
p1 . . . pn . Por ser m primo, contiene a alguno de los pi y por ser este maximal,
m = pi . Suponemos i = 1. Si denotamos b = p2 . . . pn , entonces mb ⊆ Aa y
37
b ⊈ Aa por ser n mínimo. Entonces ∃b ∈ b tal que b ∈
/ Aa.
Como mb ⊆ Aa, mb ⊆ Aa y mba ⊆ A. Por definición, ba−1 ∈ m′ . Sin
−1
embargo, como b ∈/ Aa, entonces ba−1 ∈/ A, por lo que m′ ̸= A, lo que es

absurdo.
Como el absurdo proviene de suponer mm′ = m, concluimos que mm′ = A

CQD
Teorema: Sean A anillo de Dedekind y P el conjunto de ideales primos

no nulos de A:
a) Todo ideal fraccionario no nulo b de A se escribe de modo único como

producto (finito) de potencias enteras (en Z) de ideales de A:
Y
b= pnp (b)
p∈P
con np (b) ∈ Z casi todos nulos

b) El monoide de los ideales fraccionarios no nulos de A es un grupo
Demostración: Demostramos primero la existencia de una descomposi-

ción. Por ser b fraccionario, existe un elemento d en A tal que db ⊆ A, esto
es, db es ideal de A. Entonces b = (db).(Ad)−1 y nos reducimos al caso de
un ideal entero. Sea Φ la familia de ideales no nulos de A que no se pueden
expresar como producto de ideales primos. Supongamos que es no vacía: por
ser A noetheriano existe un elemento maximal a ̸= A por ser A producto
(vacío) de ideales primos de A. Existe un ideal maximal p que contiene a a,
se puede tomar un elemento maximal de la familia de ideales no triviales que
contienen a a (existe por ser A noetheriano).
Por el teorema anterior, se puede tomar p′ el ideal fraccionario inverso de p.
Se verifica ap′ ⊆ pp′ = A. Por darse p′ ⊋ A, se tiene que ap′ ⊋ a. En caso
contrario, si x ∈ p′ , para todo n entero xn a ⊆ a y x es entero sobre A, ergo
(A íntegramente cerrado) x ∈ A, lo que es imposible porque p′ ̸= A( si no,
p′ = A, p′ p = p ̸= A).
Por el carácter maximal de a en Φ, ap′ ∈ / Φ, y ap′ es producto de ideales pri-
mos p1 . . . pn . Multiplicando por p, se concluye que a es producto de ideales
primos.
38
Veamos ahora la unicidad. Supongamos p∈P pnp (b) = p∈P pmp (b) ,
Q Q
esto es, p∈P pnp (b)−mp (b) = A. Se separan los n(p) y los m(p) no nulos nega-
Q
tivos y positivos para obtener
pα1 1 . . . pαr r = qβ1 1 . . . qβl l
De exponentes positivos y pi ̸= qj , pi , qj ∈ P . Entonces p1 contiene al pro-

ducto de los qj y, por ser primo, contiene a uno de ellos, sin perder generalidad
q1 . Por ser p1 y q1 maximales, se deduce p1 = q1 , lo que lleva a contradicción.
b) es consecuencia directa de a) y de la existencia de ideal inverso para

un ideal primo. CQD
Hemos visto que la familia I(A) de ideales fraccionarios es grupo. Si con-

sideramos la familia de ideales fraccionarios principales F(A), de la forma
Ax, x ∈ K∗, podemos definir el grupo cociente C(A)=I(A)/F(A), que se
denomina el grupo de las clases de ideales de A.
Una vez vista la descomposición de ideales en anillos de Dedekind, esta-

mos en posición de estudiar el concepto de norma de un ideal entero sobre
un cuerpo de numéros K, de grado n y A su anillo de enteros.
Proposición: Dado x ∈ A, x ̸= 0, se tiene que |N (x)| = card(A/Ax)
Dado un ideal a de A entero y no nulo, se define la norma de a, N (a) =

card(A(a))
Se tiene que el número N (a) es finito: si se toma a ∈ a, Aa ⊆ a. Es evidente
que card(A/a) ≤ card(A/Aa). Además, como a ∈ A, se tiene que N (a) ∈ Z
por ser A el anillo de enteros de K (sobre Z). Por tanto, card(A/Aa) es finito
y card(A/a) también.
Como última parte de la sección, veamos que dados dos ideales enteros
no nulos de A, N (ab) = N (a)N (b).
Demostración: Es suficiente demostrarlo en el caso en que b es un ideal

maximal m.
39
card(A/am) = card(A/a)card(a/am). Veamos que card(a/am) = card(A/m).
Como a/am es un A-módulo anulado por m, es un espacio vectorial sobre A/m
cuyos subespacios son sus A-submódulos de la forma q/am, donde q es un
ideal tal que am ⊆ q ⊆ a. Por la descomposición en ideales maximales de am
y a, no existen ideales comprendidos estrictamente entre ambos. Se deduce
que no existen subespacios vectoriales propios de a/am sobre A/m, por lo
que la dimensión de a/am como espacio vectorial sobre A/m es 1. Por tanto,
card(a/am) = card(A/m). CQD
2.3. Finitud del grupo de clases de ideales
Proposición: Sean K un cuerpo de números de grado n, r1 , r2 los enteros

que determinan las raíces del polinomio mínimo de un elemento primitivo de
K, d su discriminante absoluto y a un ideal entero no nulo de K. Entonces,
tal ideal contiene un elemento no nulo x tal que
r2
4 n! 1/2
|NK/Q (x)| = |d| N (a)
π nn
Corolario: Con la misma notación, toda clase de ideales de K contiene

un ideal b entero tal que
r2
4 n! 1/2
N (b) ≤ |d|
π nn
Corolario: Sean K cuerpo de números de n−1n y d su discriminante

grado
π 3π n
absoluto. Para n ≥ 2 se tiene que |d| ≥ . Además, está
3 4 log|d|
acotado por una constante independiente de K.
Como consecuencia inmediata, se tiene que todo cuerpo de números

K ̸= Q tiene como discriminante absoluto d de K, |d| =
̸ 1
Teorema [Dirichlet]: Para todo cuerpo de números K, el grupo de clases

de ideales de K es finito.
40
Demostración: Como consecuencia directa del primer corolario, hay una
cantidad finita de enteros que se pueden corresponder con la norma de un
ideal b entero. Será suficiente ver que el conjunto de ideales enteros con norma
igual alguno de esos enteros es también finito. Sea b tal que card(A/b) = q
(con A el anillo de enteros de K), se sigue que q ∈ b; A/b es un grupo de orden
q, y q ∈ A. Se deduce fácilmente que en tal grupo cociente q se identifica con
0, por lo que q ∈ b.
Obtenemos entonces que b contiene a Aq, y por finitud de A/Aq (la norma de
todo ideal de A es finita), tenemos un número finito de ideales que contienen
a Aq. CQD
Teorema [Hermite]: En C hay un número finito de cuerpos de númeross

de discriminante d dado.
2.4. Unidades
Por unidades, nos referimos a los elementos del anillo de enteros de K

inversibles, que forman un grupo multiplicativo denotado A*.
Proposición: Sea K un cuerpo de números y x ∈ K. Para que x sea una

unidad en K, es necesario y suficiente que x sea un entero de K, de norma
±1.
Demostración: Se tiene que si x es un elemento entero inversible, x−1

también lo es y N (x), N (x−1 ) ∈ Z, y como 1 = N (1) = N (xx−1 ), se tiene
que N (x) = ±1.
Recíprocamente, si x es un entero de K con N (x) = ±1, se verifica que x
tiene un polinomio característico de la forma xn + an−1 xn−1 + · · · + a1 x ±
1 = 0, ai ∈ Z, se puede deducir ±(xn−1 + an−1 xn−2 + · · · + a1 )x = 1 y
±(xn−1 + an−1 xn−2 + · · · + a1 ) es el inverso de x y es un entero de K, por lo
que x es una unidad.
Teorema de las unidades: Sean K un cuerpo de números de grado n,

r1 y r2 los enteros dados por los isomorfismos de K y r = r1 + r2 − 1. El grupo
41
de las unidades de K A* es isomorfo a Zr × G, siendo G un grupo cíclico
formado por las raíces de la unidad contenidas en K.
Como caso particular, caracterizaremos completamente las unidades so-

bre cuerpos cuadráticos trabajando separadamente sobre cuerpos reales e
imaginarios.
Proposición: Si K es un cuerpo cuadrático imaginario, el grupo multi-

plicativo de las unidades de K está formado por:
1. El conjunto de las raíces cuartas de la unidad, {1,-1,i,-i}, si K = Q[i]

√ j
1 + −3
2. El conjunto de las raíces sextas de la unidad, ,
√ 2
j = 0, 1, . . . , 5, si K = Q[ −3]
3. ±1 en otro caso
Demostración: Por el teorema de las unidades, sabemos que las √

únicas
unidades de K forman un grupo finito cíclico. Consideramos K = Q[ −m]
con m > 0 sin factores cuadrados.
Si m ≡ 1√o 2 (mód 4), entonces

√ −m ≡ 2 o 3 (mód 4) y el anillo de enteros
sería Z + Z −m. Si x = a + b −m, N (x) = a + mb2 ≥ 0. Si x es unidad,
2
entonces N (x) = 1. Para m ≥ 2, esto solo es posible si b = 0, a = ±1. Si

m = 1 (K = Q[i]), entonces se tienen además las unidades a = 0, b = ±1.
√
En el caso m ≡ 3 (mód 4), el anillo de los enteros de K es Z + Z 1+ 2−m .
√ 2
mb2

1 + −m b
Para x = a+b , se tiene que N (x) = a + + (N (x) ∈ Z) y
2 2 4
vale 1 cuando x es unidad. Si m ≥ 7, entonces solo es posible
√ si b = 0, a = ±1.
±1 ± −m
Para m = 3, también existen las soluciones x =
2
Proposición: Si K es un cuerpo cuadrático real, las unidades positivas de

K forman un grupo multiplicativo isomorfo a Z. Entonces, este grupo admite
42
un único generador mayor que 1 denominado unidad fundamental de K
Demostración:
√
√ Consideramos K = Q[ d] con d ≥ 2 sin factores cuadrados y x = a +
b d una unidad √ de K. √ Sabemos que N(x) es una unidad en Z, entonces
N (x) = (a + b d)(a − b d)√= ±1. De esta igualdad se puede deducir que
x, −x, x−1 , −x−1 son ±a ± b d. Si x ̸= ±1, solo uno de ellos es mayor√que 1,
y las unidades mayores que 1 de K son las unidades de la forma a + b d con
a, b > 0. La existencia de un único generador es evidente por la isomorfía a
Z.
2.5. Descomposición de ideales primos en una

extensión
En general, los ideales primos sobre el anillo de enteros de un cuerpo de

números no son primos sobre el anillo de enteros de una extensión suya. Si
tenemos en cuenta que los anillos de enteros de cuerpos de números son ani-
llos de Dedekind, podemos obtener descomposiciones en producto de ideales
primos. Antes de estudiar estas descomposiciones, nos fijaremos en ciertos
subanillos del cuerpo que ayudarán a reducir los casos posibles a anillos prin-
cipales, viendo que se conserva la propiedad de anillo de Dedekind.
2.5.1. Anillos de fracciones
Sean A dominio de integridad, K su cuerpo de fracciones y S un conjunto

multiplicativo, es decir, un subconjunto de A cerrado para la multiplicación y
que contiene a 1 y no a 0. Se define el anillo de fracciones de A respecto
a S, S −1 A al conjunto cociente de A×S respecto a la relación de equivalencia
dada por (a, s)R(a′ , s′ ) si as′ = a′ s
43
a
Representando la clase de equivalencia de (a, s) podemos identificar
s
S −1 A con na o
∈ K | a ∈ A, s ∈ S
s
y es un subanillo de K que contiene a A
Proposición: Sean A dominio de integridad, S subconjunto multiplica-

tivo de A, y A′ = S −1 A.
1. Todo ideal b′ de A’ verifica (b′ ∩A)A′ = b′ , y la aplicación φ(b′ ) = b′ ∩A

es una aplicación inyectiva del conjunto los ideales de A’ en el de los
de A.
2. φ(p′ ) = p′ ∩ A es una biyección del conjunto ordenado (inclusión) de

los ideales primos de A’ sobre el de los ideales primos p de A tales que
p ∩ S = ∅. Su aplicación inversa viene dada por θ(p) = pA′
Demostración: Empezamos por 1).

Si b′ es un ideal de A’, b′ ∩ A ⊆ b′ y (b′ ∩ A)A′ ⊆ b′ por ser b′ ideal de A’.
a
Veamos la inclusión opuesta. Sea x ∈ b′ , x = . Entonces sx ∈ b′ , a ∈ b′
s
1
y a ∈ b ∩ A. Por tanto, x = · a ∈ A (b ∩ A). Deducimos b′ ⊆ A′ (b′ ∩ A).
′ ′ ′
s
La inyectividad de φ se deduce de la existencia de la aplicación θ(b) = A′ b,
que cumple θ ◦ φ = idA′ .
Veamos ahora 2).

Si p′ es ideal primo de A’, entonces p = A ∩ p′ es un ideal primo de A (es
evidente que A/p′ ∩ A es anillo íntegro por serlo A′ /p′ ). Además, p ∩ S = ∅.
1
Supongamos que s ∈ p ∩ S, entonces s ∈ p′ y 1 = · s ∈ A′ p′ = p′ y p′ = A′ ,
s
lo cual no es posible por ser p′ ideal primo.
Recíprocamente, si p es ideal primo de A con p ∩ S = ∅, veamos p′ = pA′

es ideal primo de A’ y p′ ∩ A = p.
44
np o
Veamos que pA′ = | p ∈ p, s ∈ S .
′
P asi
Sea x ∈ pA . x = pi , pi ∈ p, ai ∈ A, s ∈ S, suma finita. Se reduce a
si
P bi
x= pi , bi ∈ p, s el denominador común de los si . Como p es ideal de
s
p P p
A, x = , p = bi pi ∈ p. Como S ∩ p = ∅, entonces 1 ∈
/ p y 1 ̸= .
s s
a b ab
Sigue ver que p′ es primo: sean , ∈ A′ tales que ∈ pA′ . Se tiene
s t st
ab p
que = , p ∈ p, u ∈ S y se deduce abu = pst ∈ p. Como p ∩ S = ∅, u ∈ /p
st u
a
y por ser p ideal primo, o bien a o bien b son elementos de p, de donde o
s
b
bien son elementos de pA′ = p′
t
Por último, falta ver que p = (pA′ ) ∩ A. El contenido a la derecha es

trivial.
p
Para el otro contenido, sea x ∈ (pA′ ) ∩ A, x = . Entonces sx ∈ p y x ∈ p
s
por no ser s elemento de p.
Quedaría demostrar que las aplicaciones φ y θ son biyecciones (sobre los

conjuntos de primos definidos) inversas la una de la otra, lo que se ve de
inmediato al realizar las composiciones de las dos formas. CQD
Corolario: Dado un anillo noetheriano íntegro, todo anillo de fracciones

suyo es noetheriano.
Proposición: Dados R dominio de integridad, A subanillo de R, S sub-

conjunto multiplicativo de A, B la clausura entera de A en R. Entonces la
clausura entera de S −1 A en S −1 R es S −1 B.
Demostración: Tomamos un elemento de S −1 B de la forma

b
, b ∈ B, s ∈ S. Tomamos la ecuación de dependencia entera de b sobre A y
s
45
la modificamos dividiendo por sn para obtener
bn + an−1 bn−1 + · · · + a0 = 0
n n−1
b an−1 b a0
+ + ··· + n = 0
s s s s
b
y es entero sobre S −1 A. De forma similar, si xs es un elemento de S −1 R
s
entero sobre S −1 A, su ecuación de dependencia entera es
x n c x n−1 c0
n−1
+ + ··· + =0
s tn−1 s t0
para alguna colección finita de ci ∈ A, ti ∈ S. Si se multiplica la expresión
anterior por (t0 · t1 . . . tn−1 )n , se obtiene una ecuación de dependencia entera
x · t0 . . . tn−1
de con coeficientes en A, por lo que este es entero sobre A
s
x 1 x · t0 · t1 . . . tn−1
y pertenece a B. Para finalizar, = es un
s t0 · t1 . . . tn−1 s
elemento de S −1 B y se concluye que S −1 B es la clausura entera de S −1 A en
S −1 R. CQD
Corolario: Dado un anillo íntegramente cerrado, todo anillo de fracciones

suyo es íntegramente cerrado.
Corolario: Dado un anillo de Dedekind, todo anillo de fracciones suyo

es un anillo de Dedekind.
Proposición: Sean A anillo de Dedekind, p ideal primo no nulo suyo y

S = A − p. Entonces S −1 A es un anillo principal y existe un elemento primo
p de S −1 A tal que todos los ideales no nulos de S −1 A son los engendrados
por las potencias de p, (pn )n≥0 .
Demostración: El único ideal primo no nulo de A disjunto con S es

p. Entonces el único ideal primo de S −1 A es pS −1 A = B. Como S −1 A es
de Dedekind, todo ideal suyo es producto de ideales primos de la forma
Bn , n ≥ 0. Sea p ∈ B − B2 . El ideal (p) está contenido en B y no está
contenido en B2 . Por descomposición en producto de primos, (p) = B y
pn = Bn , n ≥ 0. En conclusión, S −1 A es dominio de ideales principales y sus
46
ideales son de la forma buscada. Además p es primo por ser generador de un
ideal primo. CQD
Proposición: Dados A y S en las condiciones de anillo de fracciones y

un ideal m maximal de A con S ∩ m = ∅, entonces S −1 A/mS −1 A ≃ A/m
2.5.2. Descomposición de ideales primos
De aquí en adelante, se consideran A un anillo de Dedekind, K su cuerpo

de fracciones, L una extensión de grado n de K y B la clausura entera de A
en L, también de Dedekind.
Dado p un ideal primo de A, se considera el ideal Bp de B, que posee una
descomposición en ideales primos
q
Y
Bp = Bei i
i=1
siendo Bi ideales primos de B y ei enteros positivos. Estos Bi quedan deter-

minados por el ideal p.
Proposición: Los Bi son los ideales primos D tales que D ∩ A = p
Demostración: Veamos que para un ideal primo D, D ∩ A = p si y solo

si D ⊇ pB
⇒ Se tiene que p ⊆ D, pB ⊆ DB = D
⇐ Por ser D ideal primo de B, D ∩ A es ideal primo de A y además

contiene a p, pues pB ⊇ p. Por ser p maximal, llegamos al resultado deseado.
Por la descomposición de ideales en anillos de Dedekind, basta fijarse en

que el exponente de un ideal primo de la descomposición de pB es mayor que
0 solo si pB está contenido en dicho ideal primo. CQD
A/p se puede identificar con un subanillo de B/Bi . Como sabemos que
47
B es un A-módulo de tipo finito y ambos A/p y B/Bi son cuerpos, se puede
considerar B/Bi como un espacio vectorial de dimensión finita sobre A/p,
denotando por fi a esta dimensión.
Cabe destacar que Bp ∩ A = p y B/Bp es también un espacio vectorial de
dimensión finita sobre A/p.
Definición: Se llama grado residual de Bi sobre A a fi e índice de

ramificación de Bi sobre A a ei .
Decimos que un ideal primo se ramifica en B si alguno de los índices de
ramificación cumple ei ≥ 2.
Lema: Sea A anillo íntegramente cerrado, K su cuerpo de fracciones (de

característica 0), L una extensión de grado n de K y A’ la clausura entera de
A en L. Entonces A’ es un A-submódulo de un A-módulo libre de rango n.
Además, si A es anillo principal, entonces A’ es A-módulo libre de rango n.
Pq
Teorema: i=1 ei fi = [B/Bp : A/p] = n
Demostración: Para la primera igualdad, consideramos la cadena de

ideales
B ⊃ B1 ⊃ B1 2 ⊃ · · · ⊃ B1 e1 . . . Bq eq ⊃ Bp
No hay ideales comprendidos entre dos términos consecutivos B y BBi , ergo
B/BBi es un espacio vectorial de dimensión 1 sobre B/B. Es además un es-
pacio vectorial de dimensión fi sobre A/p. Como para cada i hay ei cocientes
de términos de la forma B/BBi , se deduce quePla dimensión [B/Bp : A/p]
es igual a la suma de dichos cocientes, esto es, qi=1 ei fi .
Para la segunda igualdad, vamos a tratar de reducirnos a un anillo A’

principal y B’ A’-módulo libre de rango n. Para ello, consideramos S = A − p
subconjunto multiplicativo de A, y los anillos de fracciones A′ = S −1 A, B ′ =
S −1 B. A’ es un anillo principal cuyo único ideal maximal es pA′ y B’ es la
clausura entera de A’ en L. Tenemos entonces que [B ′ /pB ′ : A′ /pA′ ] = n.
En efecto, existe una base de B’ sobre A’ de n elementos y basta considerar
como base de B ′ /pB ′ sobre A′ /pA′ a la reducción de la anterior módulo pB ′
Qq
Vamos a estudiar la factorización del ideal pB ′ . De pB = i=1 Bei i , de-
48
ducimos que pB ′ = qi=1 (B ′ Bi )ei .
Q
Los B ′ Bi son ideales primos no nulos de B’, pues Bi ∩ S = ∅ por ser
Bi ∩ A = p.
De la primera parte del resultado, obtuvimos que

q
X
ei [B ′ /B ′ Bi : A′ /A′ p] = [B ′ /B ′ p : A′ /A′ p]
i=1
No obstante, A′ /A′ p ≃ A/p y B ′ /B ′ Bi ≃ B/Bi , y se sigue que
[B ′ /B ′ Bi : A′ /A′ p] = fi
En conclusión, n = [B ′ /B ′ p : A′ /A′ p] = qi=1 ei fi . CQD

P
Qq
Proposición: B/Bp es isomorfo a i=1 B/Bei i
Definición: Dados K y L cuerpos de números con K ⊆ L y A y B sus

respectivos anillos de enteros, se llama ideal discriminante de B sobre A (o
de K sobre L), DB/A (DL/K ) al ideal de A engendrado por el discriminante
de una base de L sobre K contenida en B.
Teorema: Un ideal primo p de A se ramifica en B si y solo si contiene

al ideal DB/A . Además, hay un número finito de ideales primos de A que se
ramifican en B.
La finitud de ideales primos que se ramifican es consecuencia directa de

la primera parte del teorema y de la descomposición del ideal discriminante
en producto finito de ideales primos.
Como consecuencia, al trabajar en un cuerpo de números K, se pueden

descomponer en él aquellos números primos p de Z tales que el ideal (p)
contenga al ideal discriminante DK/Q , es decir, aquellos que dividan al dis-
criminante (como elemento de Z).
49
Capítulo 3
Aplicaciones a criptografía
En la actualidad, como consecuencia de la creciente relevancia de la se-

guridad informática y la criptografía, se ha desarrollado un gran interés en el
estudio de métodos de cifrado de mensajes cuya clave de descifrado sea difícil
de obtener. Estas claves se relacionan con las llamadas funciones de una vía,
funciones inversibles, siendo la función inversa tal que la cantidad de tiempo
necesario para calcularla se considere suficientemente grande para ser segura.
Sin embargo, sigue siendo necesario obtener la función inversa para descifrar,
y será útil depender de información adicional para calcularla. Cuando existe
tal información, se denominará función de una vía con trampa. La principal
función de una vía con trampa que veremos es la exponenciación modular,
cuya función inversa es una raíz discreta.
Empezamos definiendo un criptosistema como una familia de transfor-

maciones que se aplican a un posible mensaje que se quiere transmitir, el
llamado texto en claro. La transformación particular que se elija iría asocia-
da a una única clave de cifrado y de descifrado, que se pueden considerar una
la "función inversa" de la otra. Los criptosistemas de clave pública tienen la
característica de que solo uno de los usuarios posee la clave de descifrado o
clave privada, que incluye la trampa, siendo solo este el que pueda descifrar
el texto en claro, mientras que la clave de cifrado (o clave pública) se hace
pública, incluyéndose posibles adversarios ajenos a la transmisión del mensa-
50
je. La seguridad se basa en parte de la dificultad de que el adversario pueda
llegar a obtener la clave privada.
Los criptosistemas más comunes hacen un gran uso de los resultados de

teoría de números, especialmente sobre congruencias modulares y números
primos.
En este capítulo veremos algunos criptosistemas de clave pública, los re-

sultados de primalidad y factorización que hacen que sean correctos y los
problemas en los que se basa la seguridad de los sistemas.
3.1. Criptografía de clave pública
El objetivo fundamental de la criptografía es la transmisión de mensajes

entre dos individuos, que se denotarán A y B en adelante, tal que un posible
adversario a la escucha de la transmisión no sea capaz de deducir los conte-
nidos del mensaje a partir de la información interceptada. Para este fin se
utilizan los criptosistemas, familias de claves que permiten cifrar y descifrar
la información a transmitir.
En función de si la clave de cifrado (la forma de cifrar el mensaje) se mantie-
ne oculta o no, se consideran dos tipos distintos de criptosistemas: de clave
privada o simétrica y de clave pública o asimétrica, respectivamente.
Como los criptosistemas de clave pública son significativamente más len-

tos que los de clave privada, se suele restringir su uso a situaciones específicas,
por ejemplo llegar a una decisión secreta entre A y B para elegir una clave
de un criptosistema de clave pública.
Sabemos que cualquier posible adversario conoce la clave de cifrado, y

la clave de descifrado se puede considerar como una función inversa de esta;
aparece el concepto de función de una vía, una función cuya inversa sea difícil
de computar. Se considerará que es difícil si no se tiene un algoritmo que lo
logre en un tiempo polinomial en el tamaño de la clave.
51
Utilizaremos funciones de una vía que posean una trampa, es decir, cuya
inversa se pueda computar fácilmente al conocer alguna información previa,
sin la cual se comportaría como una función de una vía. Nos centraremos en
ejemplos de algunos esquemas cuya seguridad está basada en distintos pro-
blemas computacionalmente difíciles de resolver, en particular los problemas
de factorización, logaritmo discreto y el problema de la mochila. La trampa
en este caso sería, trivialmente, el haber construido el problema a partir de
una información conocida.
3.1.1. RSA
La función de una vía con trampa utilizada en el RSA está justificada

por la dificultad computacional del problema de la factorización. El método
utilizado es como sigue: primero se eligen dos números primos grandes, p y q,
y se toma N = pq. Como conocemos la factorización de N , es sencillo calcular
φ(N ) = (p − 1)(q − 1) = pq − p − q + 1. Después, se elige al azar (o de forma
pseudoaleatoria) un número e tal que 1 ≤ e ≤ φ(N ) y e coprimo con φ(N ).
Por último, se calcula d = e−1 (mód φ(N )). Los números N y e forman la
clave pública, mientras que p, q y d constituyen la clave privada. e y d se
llaman exponente de cifrado y exponente de descifrado, respectivamente. La
razón por la que p y q se mantienen privados es que mientras no se conozca
la factorización de N es costoso calcular φ(N ), y por tanto obtener d.
Supongamos que un usuario, A, quiere mandar un mensaje al poseedor

de la clave privada, B, y que el texto en claro, P , es un elemento de Z/N Z.
Suponemos también que N es suficientemente grande para que no se pierda
información al hacer la congruencia, N > P . El proceso de transmisión del
mensaje es como sigue:
1. A realiza la operación C = P e (mód N ) se obtiene el texto cifrado, C,

y este es enviado a B
2. B descifra el texto en claro haciendo uso del exponente de descifrado,

P ′ = C d (mód N ) = P ed (mód N )
52
El resultado que nos garantiza que P ′ = P es una generalización del
Pequeño Teorema de Fermat
Proposición: Dados a, m ∈ N tales que mcd(a, m) = 1, entonces aφ(m) ≡

1 (mód m)
Demostración: Supongamos que m es potencia de algún primo p, m =

α
p . Utilizaremos inducción sobre α.
Si α = 1, el resultado se cumple por el Pequeño Teorema de Fermat. Suponga-
mos que se cumple para α−1 y α ≥ 2. φ(pα−1 ) = pα−1 −pα−2 , y por hipótesis
α−1 α−2
de inducción, ap −p = 1+bpα−1 para algún b. Si elevamos ambos lados de
α α α−1
la expresión a la potencia p, obtenemos φ(ap ) = ap −p = (1+bpα−1 )p . To-
dos los términos de la expresión obtenida del binomio de Newton (1+bpα−1 )p ,
excepto el 1, son divisibles por pα , pues el último es pp(α−1) ≥ pα y los co-
eficientes del binomio del resto son divisibles por p e incluyen al menos la
α α−1
primera potencia de pα . Por tanto, ap −p −1 ≡ 0 (mód ()pα ), y concluimos
este caso.
El el caso en el que m se descompone como producto de primos distintos,

hacemos uso de la multiplicatividad de φ. Sea pα una de estas potencias.
Consideramos m = pα q y
α α−1 α α−1
aφ(m) = a(p −p )φ(q) = (ap −p )φ(q) ≡ (1)φ(q) (mód pα ) ≡ 1 (mód pα )
Si utilizamos la propiedad "Dados x, y, n, n′ tales que x ≡ y (mód n),

x ≡ y (mód n′ ) y mcd(n, n′ ) = 1, entonces x ≡ y (mód nn′ )" aplicada a
a = b = 1, n y n′ potencias distintas de primos de la factorización de m, se
obtiene que aφ(m) ≡ 1 (mód m). CQD
Utilizando este resultado, concluimos que
P ′ = P ed = P 1+bφ(N ) = P (P φ(N ) )b ≡ P (mód N )
y el descifrado se realiza correctamente por tomarse P ′ como resto módulo

N y ser P < N .
Es importante disponer de métodos para generar de forma aleatoria los

primos p y q de manera que estos no se puedan replicar fácilmente, lo cual
53
desincentiva recurrir a tipos de primos especiales, como por ejemplo los de
Mersenne. Sería válido como método para generar un primo aleatorio generar
un entero aleatorio m y luego tomar el menor primo p tal que m ≥ p. Un
procedimiento similar podría utilizarse para obtener el exponente de cifrado
e, comprobando la coprimalidad con φ(N ) en lugar de la primalidad.
Como apunte, a la hora de escoger p y q es importante hacerlo de manera

que N no sea factorizado rápidamente por los algoritmos de factorización
más comunes, entre ellos:
El algoritmo por fuerza bruta: se comprueba la divisibilidad

√ de N por
todos los primos en orden creciente menores que N .
√
El método de Fermat: desde a = ⌈ N ⌉ hasta N se comprueba si la
diferencia a2 − N 2 es un cuadrado perfecto b2 , en cuyo caso N = (a +
b)(a − b))
Teniendo en cuenta estos algoritmos, se obtienen como condiciones adi-

cionales que p y q no sean demasiado pequeños (fuerza bruta) y que no estén
demasiado cerca entre ellos y por ende a la raíz cuadrada de N (Feramt).
Otra condición importante es que el mcd de p − 1 y q − 1 sea relativamente
pequeño y que cada uno tenga un factor primo grande.
Es buena idea además que el exponente de cifrado no sea demasiado

pequeño para evitar que al cifrar el texto el claro P , P e sea menor que N y
se pueda realizar el descifrado a partir de una raíz real.
3.1.2. El problema del logaritmo discreto
El logaritmo discreto en un grupo finito es una operación en Z/nZ análoga

al caso real; dado y que sabemos que es de la forma bx (mód n), entonces x es
el logaritmo discreto de y en base b, x = logb y. La exponenciación modular se
puede realizar rápidamente mediante el método de cuadrados sucesivos, pero
54
no se ha descubierto un método sencillo para la operación inversa. Algunos
algoritmos para la resolución de logaritmos discretos son
Cálculo por fuerza bruta.
Algoritmo paso enano-paso gigante, que es más rápido que el anterior

a costa de requerir una gran capacidad de almacenamiento.
Criba de cuerpos de números, se utiliza sobre cuerpos finitos Z/pZ y

es asintóticamente (para p) el mejor método conocido.
En este contexto planteamos el protocolo de intercambio de claves

de Diffie-Hellmann, un método para que dos individuos A y B compar-
tan una clave obtenida al azar y conocida únicamente por ellos mismos. El
procedimiento es el siguiente:
1. Se eligen un primo p (grande) y g una raíz primitiva módulo p, es decir,

g genera el grupo multiplicativo Z∗p .
2. A elige a ∈ {1, . . . , p − 1} y envía a B g a (mód p)
3. B elige b ∈ {1, . . . , p − 1} y envía a A g b (mód p)
4. A y B realizan (g b )a (mód p) y (g a )b (mód p) respectivamente. Ambos

conocen g ab , que es la clave que compartirán.
Al trabajar con el protocolo Diffie-Hellmann, aplicamos implícitamen-

te la hipótesis Diffie-Hellmann: conocidos g una raíz primitiva módulo
p, g a (mód p) y g b (mód p), no es computacionalmente factible obtener g ab
(mód p). Esta hipótesis es al menos tan fuerte como la dificultad del proble-
ma del logaritmo discreto, pues si este fuera fácil de resolver también sería
sencillo obtener ab a partir de a y b.
Definición: Definimos el sistema de clave pública ElGamal, basado en

el intercambio de claves Diffie-Hellmann, a partir de sus componentes y el
proceso de transmisión del mensaje:
55
Se eligen un primo p y g una raíz primitiva módulo p.
Clave pública: (p, g, g b (mód p)), para algún b tal que 0 ≤ b ≤ p − 2
Clave privada: (b)
Cifrado: Sea M el mensaje que se quiere transmitir. Fijando 0 ≤ a ≤

p − 2, el cifrado es la dupla (C1 , C2 ) = (g a (mód p), M (g b )a (mód p))
Descifrado: M = C2 (C1b )−1 (mód p) = M g ab ((g a )b )−1 (mód p) =

= M (mód p)
Tomando inspiración del procedimiento utilizado en Diffie-Hellman, es

posible diseñar sistemas criptográficos en los que no se requiere un intercam-
bio de claves previo. La idea es que A enviaría un mensaje cifrado por una
clave que sólo A conoce y sería cifrado de nuevo por B mediante un sistema
de cifrado independiente del anterior y sólo conocido por B. Para finalizar,
A devuelve a B el mensaje previo después de aplicar el descifrado de la clave
de A, tras lo que B puede descifrar el mensaje inicial utilizando su clave.
Este método es conocido como protocolo de tres envíos. Un ejemplo de
criptosistemas de este tipo es el siguiente:
Definición: Se define el criptosistema de Massey-Omura al siguiente

proceso:
1. Se elige un cuerpo finito Fq , de conocimiento público.
2. A y B eligen respectiva e independientemente eA , eB , 0 ≤ eA , eB ≤ q−1,

mcd(eA , q − 1) = mcd(eB , q − 1) = 1
3. A y B obtienen respectivamente dA = e−1 −1

A (mód q − 1), dB = eB
(mód q − 1)
4. M es el mensaje que se quiere enviar. A envía a B M eA (mód p)
5. B devuelve a A M eA eB (mód p)
6. A vuelve a mandar a B (M eA eB )dA (mód p) = M eB (mód p)
56
7. Por último, B descifra el mensaje, M (mód p) = M eB dB (mód p)
El protocolo de Diffie-Hellmann así como los criptosistemas que utilizan

el sistema de tres envíos son particularmente vulnerables a un tipo de ata-
ques conocido como ataque del hombre en el medio, en el que un adversario
suplanta simultáneamente a A y a B en sus envíos de mensajes con B y A
respectivamente. Por este motivo es de gran importancia acompañarlos de
firmas digitales para confirmar la legitimidad de los usuarios.
3.1.3. El problema de la mochila
El planteamiento del problema en su forma más básica es considerar la

forma de rellenar completamente una mochila de volumen V con un total de
k objetos cada uno de volumen vi .
Definición: La definición formal del problema de la mochila es la siguien-

te:
Dados un conjunto de k enteros {vi } y un entero V , encontrar una k-tupla
de ceros y unos, esto es, un entero de k bits n = (ϵk−1 ϵk−2 . . . ϵ0 ) donde los ϵi
determinan la expresión binaria de n, verificando
k−1
X
ϵi vi = V
i=0
si tal k-tupla existe.
Este problema puede tener una, varias o ninguna solución en función

de los enteros {vi } y V elegidos. Nos enfocaremos en un caso particular,
la que la sucesión de los {vi } es una sucesión
la mochila supercreciente, en P
supercreciente, es decir, vi ≥ i−1
j=0 vj , ∀1 ≤ i ≤ k.
A diferencia del problema general, el supercreciente se puede resolver fá-

cilmente, sin más que comprobar en orden decreciente de índices i si vi es
menor que el volumen restante en la mochila. Si esto se cumple se toma ϵi = 1
57
y en caso contrario ϵi = 0, y se considera que el volumen disponible se reduce
correspondientemente.
Esta diferencia de dificultad nos da una idea para un criptosistema de cla-
ve pública: el criptosistema knapsack (mochila en inglés) o sistema Merkle-
Hellman.
Definición: Suponemos que se quiere transmitir un mensaje M en su

expresión binaria de k bits. El criptosistema knapsack se construye de la
siguiente manera:
Pk−1
1. Se eligen una k-tupla supercreciente {vk−1 . . . v0 }, m ≥ i=0 vi y a un
entero coprimo con m y menor que m.
2. Se calculan b = a−1 (mód m) y la k-tupla {wi } dada por wi = avi
(mód m)
3. La clave pública es la k-tupla {wk−1 . . . w0 }
4. La clave privada es la tupla (b, m, {vi }k−1
i=0 )
5. El cifrado CPde un mensaje en claro M = (ϵk−1 . . . ϵ0 ) se realiza calcu-

k−1
lando C = i=0 ϵi wi (mód m)
Pk−1
6. El descifrado de C se obtiene calculando V = bC (mód m) = i=0 ϵi vi
Pk−1
(mód m) = i=0 ϵi vi y resolviendo el problema de la mochila super-
creciente para volumen de la mochila V y volumen de los objetos vi .
La resolución del problema devuelve evidentemente (ϵk−1 . . . ϵ0 ) = M .
a conocer los {wi } y tendría

Un adversario que esté a la escucha solo llegaP
que plantearse el problema de la mochila C = k−1 i=0 ϵi wi , que no es super-
creciente por realizarse un producto modular; a primera vista este sistema es
seguro. No obstante, el problema resultante es obtenido por una transforma-
ción simple de un problema supercreciente, por lo cual se pudo desarrollar
un algoritmo para resolverlo en tiempo polinomial (en k)
A pesar de que aún no se haya obtenido algoritmos en tiempo polinomial
para algunos ajustes del sistema anterior, se sigue cuestionando la viabilidad
de los criptosistemas de clave pública basados en el problema de la mochila,
desde el punto de vista de la seguridad.
58
3.2. Tests de primalidad en criptografía
En la sección anterior hemos indicado un método sencillo para obtener

primos de forma (pseudo)aleatoria, que es tomar un número al azar y tomar
el primer número mayor que él que se compruebe que sea primo; claramente,
si queremos que el sistema correspondiente sea viable, necesitamos que esta
comprobación sea rápida.
Históricamente, los métodos que garantizaban la primalidad no eran compu-

tacionalmente eficientes, había necesidad de un punto intermedio entre cer-
teza y tiempo: los tests probabilísticos, que dan condiciones suficientes para
que un número sea compuesto. Los números compuestos que estos tests no
cataloguen como tales se denominan pseudoprimos.
No fue hasta el año 2002 cuando se consiguió diseñar un algoritmo en

tiempo polinomial para determinar la primalidad: el algoritmo AKS.
3.2.1. Pseudoprimos
Definición: Si n es un número compuesto y a es un número coprimo con

n, se dice que n es pseudoprimo de base a si an−1 ≡ 1 (mód n), es decir,
pasa el test de primalidad dado por el Pequeño Teorema de Fermat.
Ya definimos un número de Carmichael como aquel que es pseudoprimo

de cualquier base coprima con él. Enunciaremos algunas propiedades de estos
números.
Proposición: Sea n un entero impar. Entonces:
Si n posee factores cuadrados entonces no es un número de Carmichael
Si n no posee factores cuadrados, es de Carmichael si y solo si p−1|n−1

∀ p divisor primo de n
59
Si n es número de Carmichael entonces es producto de al menos 3
números primos.
3.2.2. Pseudoprimos de Euler
Definición: Dados n y a enteros con n = p1 . . . pm la descomposición en

a a a
factores primos de n. Se define el símbolo de Jacobi = ... el
n p1 pm
producto de los símbolos de Legendre de a y los primos de la descomposición
de n.
a del símbolo de Legendre, sabemos que si n es primo

Por las propiedades
impar, entonces ≡ a(n−1)/2 (mód n).
n
Definición: Se denomina pseudoprimo de Euler de base b a cualquier

entero impar compuesto tal que mcd(n, b) = 1 y verifique la congruencia
anterior.
Se puede ver elevando al cuadrado ambos lados de la congruencia que un

pseudoprimo de Euler de base b es también pseudoprimo de base b.
Se podría esperar que hubiera un análogo a los números de Carmichael pa-

ra los pseudoprimos de Euler. Sin embargo, los siguientes resultados indican
que este no es el caso:
a
Fijado un entero impar n, denotamos la congruencia ≡ a(n−1)/2
n
(mód n) por (*) (consideramos mcd(a, n) = 1.
1. Si a verifica (*) y a′ no, entonces aa′ tampoco verifica la congruencia.

En consecuencia, si (*) es falso para algún a, entonces hay al menos
tantos a para los que la congruencia es falsa como para los que se
cumple.
60
2. Existe al menos un a para el que no se cumple (*).
Tenemos que para un entero impar n cualquiera, este es un pseudoprimo

de Euler para menos de la mitad de las posibles bases.
Tiene sentido utilizar (*) como test de primalidad para k bases menores que
n tomadas al azar. Este es el test de primalidad de Solovay-Strassen.
3.2.3. Pseudoprimos fuertes
El siguiente criterio está basado en que para un número primo p las únicas
raíces de la unidad módulo p son ±1.
Dada una base cualquiera a coprimo con n se tendría que an−1 ≡ 1 (mód n)
y se procedería a tomar las posibles raíces de esa potencia, las potencias
(n − 1)/2, (n − 1)/4, . . . , (n − 1)/2s , siendo n − 1 = 2s t con t impar. El
test en sí se realiza partiendo de at y elevando sucesivamente al cuadrado,
2 s
a2t , a2 t , . . . , a2 t . El test termina cuando se obtiene en uno de los cuadrados
s−1
−1, y el número n se declara compuesto si se llega a la potencia a2 t y esta
no es −1. Este es el llamado test de Miller-Rabin.
Definición: Sean n entero impar compuesto y a coprimo con n. Se denota

n − 1 = 2s t con t impar. Si se cumple alguna de las condiciones
at ≡ 1 (mód n)
r
∃r tal que 0 ≤ r < s y a2 t ≡ −1 (mód n)
entonces n es llamado pseudoprimo fuerte de base a.
Proposición: Sea n pseudoprimo fuerte de base a. Entonces n es pseu-

doprimo de Euler de base b. Además, si n ≡ 3 (mód 4), el recíproco es cierto.
Los números enteros impares (n), de forma similar a los pseudoprimos de

Euler, son pseudoprimos fuertes para, a lo sumo, un cuarto de las bases a
tales que 0 < a < n
61
3.2.4. Algoritmo AKS
Este algoritmo hace uso de un resultado similar al Pequeño Teorema de

Fermat, en anillos de polinomios sobre cuerpos finitos:
Proposición: Sean a y p enteros coprimos. Entonces p es primo si y solo

si (x − a)p ≡ (xp − a) (mód p)
Demostración: Si p es primo, para 0 < i < p, el coeficiente de xi es pi ,

que es 0 módulo p. La potencia de a es 1 por el Pequeño Teorema de Fermat.
Ahora supongamos que p es compuesto. Sea q un primo divisor de p y k

la mayor potencia de q tal que q k |p. Tenemos que q k no divide a pq y además
q k es coprimo con ap−q . Deducimos que el coeficiente de xq es distinto de 0
módulo p. En conclusión, (x − a)p ̸≡ (xp − a) (mód p). CQD
Esta comprobación por sí sola es computacionalmente pesada. Entonces se

considera como forma de facilitar los cálculos la reducción de la congruencia
módulo xr − 1 para algún r, además del módulo n: (x − a)n ≡ (xn − a)
(mód (n, xr − 1)). Se le pida al r elegido que sea
√ primo y que la factorización
de (r − 1) incluya un factor primo mayor que r.
El algoritmo aplicado a n es el siguiente:
1. Si n = ab para algún par de enteros a, b, n es COMPUESTO
2. Se busca el menor primo 2 ≤ r < n verificando:

mcd(r, n) = 1 (si no, es COMPUESTO);
Sea q el mayor factor primo de r − 1, comprobar que verifica
√ r−1
q ≥ 4 rlog(n) y n q ̸≡ 1 (mód r)
√
3. Para 1 ≤ a ≤ 2 r + 1log(n), si (x − a)n ̸≡ (xn − a) (mód n, xr+1 − 1),
n es COMPUESTO
4. Si se llega al final del bucle, n es primo.
62
La comprobación de la primalidad de los r en el primer bucle está justi-
ficada por el siguiente lema que acota los números con las condiciones que
exigimos:
Lema: Existen constantes positivas c1 y c2 tales que existe un r en√el inter-

valo [c1 log(n)6 , c2 log(n)6 ] tal que r − 1 tiene un factor primo q ≥ 4 rlog(n)
y q divide al orden de n módulo r.
Una cota logarítmica en función de n reduce drásticamente el tiempo de

ejecución del bucle.
63
Conclusiones
El objetivo de este trabajo ha sido mostrar algunos importantes proble-

mas clásicos de la Teoría de Números y cómo los esfuerzos por resolverlos han
llevado, no sólo a utilizar herramientas algebraicas, sino a construir nuevas
estructuras y a su correspondiente estudio.
También se ha querido hacer una ligera introducción a la Criptografía

para mostrar cómo estos conceptos están en la base de muchos diseños crip-
tográficos actuales, después de que, en un giro inesperado del desarrollo ma-
temático, una de las disciplinas mas teórica y “pura” pasara a ser una de
las ramas matemáticas con mayores aplicaciones en un campo tan actual y
esencial como la seguridad de la información.
64
Bibliografía
[1] Manindra Agrawal, Neeraj Kayal y Nitin Saxena, PRIMES in P

(Indian Institute of Technology Kanpur, 2002)
[2] N. Bourbaki, Algèbre (Hermann, 1965)
[3] N. Bourbaki, Algèbre conmutative (Hermann, 1948)
[4] T. ElGamal, A public key criptosystem and a signature scheme based

on discrete logarithms (IEEE Transactions on Information Theory IT-31,
1985)
[5] Graham Everest y Thomas Ward, An Introduction to Number Theory

(Springer, 2005)
[6] Larry C. Grove, Algebra (Dover Publications, Inc., 2004)
[7] M. E. Hellman, The mathematics of public key cryptography

(Scientific American, 1979)
[8] Thomas W. Hungerford, Algebra (Springer, 2003)
[9] Neal Koblitz, A Course in Number Theory and Cryptography

(Springer, 1991)
65
[10] E. Kranakis, Primality and Cryptography (John Wiley & Sons, 1986)
[11] P. Samuel, Théorie algébrique des nombres (Hermann, 1967)
[12] P. Samuel, O. Zariski, Commutative Algebra Vol. I

(Van Nostrand, 1958)
66

Teoria Algebraica de Numeros - Carppintero, Tesis

Cargado por

Copyright:

Formatos disponibles

Teoria Algebraica de Numeros - Carppintero, Tesis

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Teoria Algebraica de Numeros - Carppintero, Tesis

Cargado por

Copyright:

Formatos disponibles

Universidad de Oviedo

Teoría algebraica de números

Darío Sánchez Carpintero

Tutora: Consuelo Martínez López

1. Problemas clásicos de Teoría de Números 6

1.1. Algunos resultados sobre primos . . . . . . . . . . . . . . . . . 6

1.1.1. Búsqueda de primos . . . . . . . . . . . . . . . . . . . 8

1.1.2. Primos de Mersenne . . . . . . . . . . . . . . . . . . . 9

1.1.3. Números de Fermat . . . . . . . . . . . . . . . . . . . . 11

1.1.4. Tests de primalidad. . . . . . . . . . . . . . . . . . . . 12

1.2. Ecuaciones diofánticas . . . . . . . . . . . . . . . . . . . . . . 14

1.2.1. La ecuación de Pitágoras . . . . . . . . . . . . . . . . . 14

1.2.2. Algunas formas cuadráticas . . . . . . . . . . . . . . . 15

1.2.3. La Ley de Reciprocidad Cuadrática . . . . . . . . . . . 21

1.3.1. El TFA para ideales . . . . . . . . . . . . . . . . . . . 24

2. Fundamentos algebraicos de la teoría de números 28

2.1.1. Ideales fraccionarios . . . . . . . . . . . . . . . . . . . 29

2.1.2. Anillos de enteros . . . . . . . . . . . . . . . . . . . . . 29

2.2. Anillos Noetherianos y de Dedekind. . . . . . . . . . . . . . . 33

2.3. Finitud del grupo de clases de ideales . . . . . . . . . . . . . . 40

2.5. Descomposición de ideales primos en una extensión . . . . . . 43

2.5.1. Anillos de fracciones . . . . . . . . . . . . . . . . . . . 43

2.5.2. Descomposición de ideales primos . . . . . . . . . . . . 47

3.1. Criptografía de clave pública . . . . . . . . . . . . . . . . . . . 51

3.1.2. El problema del logaritmo discreto . . . . . . . . . . . 54

3.1.3. El problema de la mochila . . . . . . . . . . . . . . . . 57

3.2. Tests de primalidad en criptografía . . . . . . . . . . . . . . . 59

3.2.2. Pseudoprimos de Euler . . . . . . . . . . . . . . . . . . 60

3.2.3. Pseudoprimos fuertes . . . . . . . . . . . . . . . . . . . 61

3.2.4. Algoritmo AKS . . . . . . . . . . . . . . . . . . . . . . 62

La Teoría de Números, también conocida como Aritmética, tuvo como ob-

Siguiendo las ideas de Pierre Samuel en su libro “Teoría Algebraica de

El estudio de problemas importantes de la teoría de números obligó a

En este trabajo se comienza planteando, en el Capítulo 1 problemas tra-

En el Capítulo 2 se explican los fundamentos algebraicos de la Teoría

Finalmente, en el Capítulo 3, se incluyen aplicaciones de la Teoría de

Problemas clásicos de Teoría de

La teoría de números depende en gran medida de las propiedades que

1.1. Algunos resultados sobre primos

Comenzamos el apartado estudiando la infinitud de los primos. Esta es

Supongamos que existen n números primos distintos, a1 , a2 , . . . , an . Con-

También se puede demostrar comprobando la divergencia de la serie dada

Se puede hacer uso también del siguiente resultado:

Postulado de Bertrand: ∀n ≥ 1, ∃ p primo tal que n < p ≤ 2n

Esto nos da a la vez, como resultado inmediato el teorema de Euclides, y

(1, 2N ] = (1, 2] ∪ (2, 4] ∪ · · · ∪ (2N −1 , 2N ]

Veamos ahora una demostración inductiva del Teorema Fundamental de

Teorema Fundamental de la Aritmética: Todo número natural tie-

Demostración: Para n = 2 el resultado es cierto de forma trivial. Su-

a = pb, p primo, b < a

1.1.1. Búsqueda de primos

Un objetivo de la teoría algebraica de números es conseguir condiciones

Como apoyo para la búsqueda de primos se tiene el siguiente resultado:

Pequeño Teorema de Fermat: Para todo primo p y cualquier entero

1.1.2. Primos de Mersenne

Definición: Se denota como primo de Mersenne a aquel de la forma

Existe relación entre los primos de Mersenne y los llamados números

Proposición: Dado q = 2p −1 un primo de Mersenne, 2p−1 q es un número

q(1 + 2 + · · · + 2p−2 ) = q(2p−1 − 1)

La ecuación nX 2 + (2r + ρ)XY +