MPI - 5. přednáška. 1.1 Eliptické křivky

Transkript

1 MPI - 5. přednáška vytvořeno: 3. října 2016, 10:06 Doteď jsem se zabývali strukturami, které vzniknou přidáním jedné binární operace k neprázdné množině. Jako grupu jsme definovali takovou strukturu, kde má daná operace něco jako svou inverzi, což je analogie k tomu co známe z klasických množin čísel: odečítání je přičítání inverze podobně jako dělení je násobení inverzí. Ovšem abychom měli aritmetiku kompletní, potřebujeme stejně jako na (reálných) číslech jak sčítání s odečítáním, tak také násobení s dělením, abychom mohli definovat například už tak základní pojem jako je polynom. Proto se v této přednášce, po krátkém výletě po eliptických křivkách, budeme věnovat právě strukturám se dvěma binárními operacemi, zejména okruhům a tělesům, které jsou právě zobecněním reálných čísel s dobře definovaným sčítáním a násobením i operacemi k nim obrácenými. počítání nad eliptickými křivkami Co bude v dnešní přednášce tělesa, okruhy konečná tělesa obecně tělesa neprvočíselného řádu 1.1 Eliptické křivky Na eliptických křivkách se v kryptografii počítá s body (x, y), kde x a y jsou zbytkové třídy po dělení nějakým prvočíslem p. Operace, která se tradičně (ovšem bez zvláštního důvodu) značí + je definována následovně: Definice 1. Pro dva body P = (x 1, y 1 ) a Q = (x 2, y 2 ) definujeme P + Q = (x 3, y 3 ) takto: x 3 s 2 x 1 x 2 (mod p) y 3 s(x 1 x 3 ) y 1 (mod p), Počítání na eliptických křivkách 1

2 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 2 kde y 2 y 1 x s = 2 x 1 (mod p) pokud P Q, 3x 2 1 +a 2y 1 (mod p) pokud P = Q. Parametr a je převzat z rovnice dané eliptické křivky y 2 x 3 + ax + b (mod p), a, b Z p, kterou musí všechny body splňovat. Neutrální prvek O je uměle dodefinován tak, aby měl vlastnosti neutrálního prvku. Názorněji se dá vysvětlit počítání nad eliptickými křivkami, pokud bereme body (x, y) ze spojité roviny R 2. Eliptické křivky nad tělesem reálných čísel (1 ze 3) Definice 2. Eliptickou křivkou rozumíme množinu bodů splňující rovnici y 2 = x 3 + ax + b, kde pro reálné koeficienty a, b platí, že 4a b 2 0. Grupovou operaci sčítání pak lze definovat geometricky: viz Wolfram Demonstrations Project. Sčítáme-li dva body P = (x 1, y 1 ) a Q = (x 2, y 2 ), musíme najít průniky přímky procházející těmito body a danou eliptickou křivkou. Platí-li P Q, má přímka procházející body P a Q rovnici y = y 2 y 1 x 2 x 1 (x x 1 ) + y 1 = y 2 y 1 x 2 x 1 (x x 2 ) + y 2. Je-li P = Q = (x 1, y 1 ), má tečna směrnici danou derivací křivky v bodě x 1, což je y = x 3 + ax + b 3x 2 + a 2 x 3 + ax + b = {pro x = x 1} = 3x2 1 + a, 2y 1 Eliptické křivky nad tělesem reálných čísel (2 ze 3) a rovnice je tedy 3x a 2y 1 (x x 1 ) + y 1.

3 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 3 Při sčítání bodů tedy hledáme průsečíky nějaké přímky y = sx + d, kde s je směrnice a d R, a eliptické křivky y 2 = x 3 + ax + b. To vede na řešení rovnice (sx + d) 2 = x 3 + ax + b, což je polynomiální rovnice 3. stupně a ta, jak víme, může mít 1 až 3 reálné kořeny (jedno řešení máme vždy ze zadání). Např. situace, kdy pro různé P a Q dostaneme pouze dva kořeny, odpovídá tomu, že Q = P a výsledkem součtu je neutrální prvek O. Obecně řešení této rovnice získáme takto: Definice 3. Pro dva body P = (x 1, y 1 ) a Q = (x 2, y 2 ) definujeme P + Q = (x 3, y 3 ) takto: x 3 = s 2 x 1 x 2 y 3 = s(x 1 x 3 ) y 1, y 2 y 1 x kde s = 2 x 1 pokud P Q, 3x 2 1 +a 2y 1 pokud P = Q. Eliptické křivky nad tělesem reálných čísel (3 ze 3) Na předchozích třech slidech (spisovně fóliích) jsme ukázali, jak se tvoří grupa nad množinou bodů roviny R R. Obecně ale místo množiny R můžeme vzít libovolné těleso, např. těleso Z p vede na konečnou cyklickou grupu popsanou na prvním slidu této sekce, ve které je problém diskrétního logaritmu těžko řešitelný. Eliptické křivky nad libovolným tělesem Co je to těleso si právě teď ukážeme: slovy řečeno je to množina s dvěma operacemi nazývanými tradičně sčítání a násobení, které umožňují definovat obdobu běžných aritmetických operací, jako jsou odečítání, dělení, mocnění, logaritmus, Okruhy a tělesa Neprázdná množina M s binární operací (resp. + při aditivním zápisu). Množiny s jednou binární operací

4 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 4 (M, ) resp. (M, +) grupoid pologrupa monoid grupa Abelovská grupa asociativita neutrální prvek inverzní prvky komutativita Pro většinu operací s čísly potřebujeme jak sčítat tak násobit. K aditivní grupě (M, +) přidáme ještě operaci násobení. Množiny s dvěma binárními operacemi (M, +, ) okruh / ring obor integrity / integral domain těleso / field Definice okruhu Definice 4 (Okruh / Ring). Buďte M neprázdná množina a + a binární operace. Řekneme, že R = (M, +, ) je okruh, pokud platí: (M, +) je Abelovská grupa, (M, ) je pologrupa, platí (levý a pravý) distributivní zákon: ( a, b, c M) (a(b + c) = ab + ac (b + c)a = ba + ca).

5 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 5 Dodržujeme standardní konvenci, že násobení má vyšší prioritu než sčítání. Názvosloví Buď R = (M, +, ) okruh. Je-li komutativní, je R komutativní okruh, (M, +) se nazývá aditivní grupa okruhu R, (M, ) se nazývá multiplikativní pologrupa okruhu R, neutrální prvek grupy (M, +) se nazývá nulový prvek a značí se 0, inverzní prvek k a M pak značíme a, v okruhu můžeme definovat odečítání předpisem a b := a + ( b). Příklady (N, +, ) není okruh, neb (N, +) není grupa, (Z, +, ) je okruh, triviální okruh je ({0}, +, ) (platí-li 0 0 = 0), množina (R n,n, +, ) čtvercových reálných matic se sčítáním po složkách a maticovým násobením je okruh, nulový prvek je nulová matice, množina všech polynomů (s komplexními / reálnými / celočíselnými koeficienty) je okruh, nulový prvek je nulový polynom p(x) = 0. V libovolném okruhu (M, +, ) platí: Základní vlastnosti okruhu Levý i pravý distributivní zákon pro odečítání, tj. c(b a) = cb ca. Vskutku: ca + c(b a) = c(a + b a) = cb c(b a) = cb ca.

6 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 6 Že násobení nulovým prvkem dává opět nulový prvek, tj. ( a M)(a 0 = 0 0 a = 0). Vskutku: a 0 = a(a a) = aa aa = 0. Obor integrity Definice 5 (dělitelé nuly). Buď R = (M, +, ) okruh. Libovolné nenulové prvky a, b M takové, že a b = 0, se nazývají dělitelé nuly. Definice 6 (obor integrity / integral domain). Komutativní okruh bez dělitelů nuly se nazývá obor integrity. Příklady integrity oborů (Z, +, ) je obor integrity, každý číselný okruh (M, +, ), kde M C a + a jsou klasické, je obor integrity, okruh (R n,n, +, ) není oborem integrity pro n 2, neboť např. ( ) ( ) = ( ) Definice tělesa Definice 7 (těleso / field). Okruh T = (M, +, ) se nazývá těleso, jestliže (M \ {0}, ) je grupa. Tuto grupu nazýváme multiplikativní grupou tělesa T.

7 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 7 Proč musíme vyjmout nulový prvek? Protože k nule neexistuje inverzní prvek, tj. nelze dělit nulou: 0 1 =?!. Všemi jinými prvky tělesa dělit umíme! dělení = násobení inverzním prvkem a b := a b 1 pro b 0. Příklady těles Okruh celých čísel (Z, +, ) není těleso, neb v (Z \ {0}, ) chybí inverzní prvky. Okruh racionálních čísel (Q, +, ) je těleso. Dokonce nejmenší číselné těleso (s obvyklými aritmetickými operacemi). Nejmenší těleso je tzv. triviální těleso ({0, 1}, +, ) s operacemi danými násl. tabulkami: a První tabulka odpovídá bitové operaci XOR a druhá AND, nebo také sčítání a násobení modulo 2. V každém tělese máme definované všechny obvyklé aritmetické operace: [0.1cm] sčítání, odčítání, násobení, dělení a všechny z nich odvozené, jako mocnění, odmocňování, logaritmování,... Triviální těleso nám tyto všechny operace definuje nad jedním bitem. Později si ukážeme, jak je rozšířit nad libovolný počet bitů. Věta 8. Každé komutativní těleso je obor integrity. Důkaz. Jelikož je multiplikativní grupa tělesa (M \ {0}, ) uzavřená vůči násobení, platí pro všechna nenulová a, b, že jejich součin a b M \ {0} je opět nenulový. Některé vlastnosti

8 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 8 Homomorfismus a izomorfismus Definice 9. Zobrazení h z okruhu (resp. tělesa) R 1 do okruhu (resp. tělesa) R 2 je homomorfismus, jestliže je h homomorfismem příslušných aditivních a multiplikativních grupoidů (resp. grup). Je-li navíc h bijekce (prosté a na ), jedná se o izomorfismus. Izomorfní tělesa jsou v podstatě totožná. 1.3 Konečná tělesa Konečná tělesa Těleso, které má konečný počet prvků, se nazývá konečné. Základní příklad konečného tělesa je množina (zbytkových tříd modulo p) Z p = {0, 1,..., p 1} s operacemi modulo prvočíslo p (viz minulé přednášky). Např. pro p = 5 dostáváme těleso s násl. operacemi a Aditivní (Z p, +) grupa Řád aditivní grupy (Z p, +) je prvočíslo p. Každý nenulový prvek je generátor a má tedy řád p (to platí pro všechny grupy s prvočíselným řádem). (Z p, +) je grupou i pro p, které není prvočíslo. Multiplikativní grupa (Z p \ {0}, ) Řád grupy Z p je p 1 a to není nikdy prvočíslo!

9 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 9 Z p je cyklická (tj. existuje v ní generátor). Počet generátorů závisí na p 1, a je roven počtu čísel nesoudělných s p 1, tedy ϕ(p 1). Nechť k < p dělí p 1, pak v Z p právě ty prvky, pro které a k = 1. existuje podgrupa řádu k a obsahuje Z p je grupou pouze pro prvočíselné p, jinak obsahuje dělitele nuly. Odbočka: Z n pro obecné n (1 ze 3) Násobení modulo neprvočíselné n netvoří s množinou {1, 2, 3,..., n} grupu: Skutečně, pokud existuje k > 1, které dělí n, tedy n = kl pro nějaké l, není tato množina uzavřená vůči násobení, neb kl = n 0 (mod n). Musíme tedy z množiny vyhodit všechny dělitele n. Dostaneme tak grupu? Nikoli nezbytně: uvažujme jakékoli číslo k soudělné s n, potom existují α, β Z tak, že αk + βn = gcd(k, n) = d > 1 a tedy αk + βn d (mod n). To ale znamená, že výsledek násobení αk je opět mimo množinu, ze které jsme museli vyhodit dělitele n a tedy i d! Musíme tedy z množiny vyhodit nejen všechny dělitele n ale i čísla soudělná. Stačí to už na grupu? Věta 10. Ano stačí. Jinými slovy: pro celé číslo n > 1 tvoří množina {k N 1 k < n, gcd(k, n) = 1} s operací násobení modulo n grupu. Tuto grupu značíme Z n. Odbočka: Z n pro obecné n (2 ze 3)

10 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 10 Důkaz. Uzavřenost: (sporem) buďte k a l nesoudělná s n a d = kl (mod n) nechť je s n soudělné, potom existuje j N tak, že kl = jn + d. Jelikož d je soudělné s n, existuje prvočíslo dělící jak d tak n, které musí dělit i k nebo l, což je spor. Asociativita je jasná (je to vlastnost operace, nikoli množiny!), neutrální prvek je 1. Inverze: je-li k nesoudělné s n, existují α, β Z tak, že αk + βn = 1 a tedy αk = 1 βn 1 (mod n), neboli α (mod n) je hledaná inverze k 1. Z 8 má řád 4 a obsahuje čísla 1, 3, 5, 7. Platí, že (mod 8). Tedy žádný prvek není generátor a grupa Z 8 není cyklická. Odbočka: Z n pro obecné n (3 ze 3) Z 10 má řád 4 a obsahuje čísla 1, 3, 7, 9. Platí, že 32 9 (mod 10) a (mod 10). Tedy 3 je generátor a Z 10 je cyklická. Pro jaká n je tedy grupa Z n cyklická? Věta 11. Grupa Z n je cyklická právě když je n rovno 2, 4, p k nebo 2p k pro nějaké liché prvočíslo p a celé k > 0. Zatím jsme si ukázali pouze konstrukci konečných těles řádu p, kde p je prvočíslo. Existují tělesa libovolného řádu? Tělesa kterých řádů existují? Věta 12. Řádem konečného tělesa musí být mocnina prvočísla, tedy číslo zapsatelné jako p n, kde p je prvočíslo a n je přirozené číslo. Prvočíslo p se nazývá charakteristika. Navíc platí, že všechna tělesa řádu p n jsou navzájem izomorfní. Důsledek: neexistuje těleso s 6, 10, 12, 14,... prvky. Vezmeme-li p = 2 a n = 8, získáme těleso umožňující nám počítat v rámci jednoho bytu!

11 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA Binární tělesa Při šifrované výměně delšího textu, jsou asymetrické šifry (RSA, Diffie-Hellman a spol.) neefektivní. Symetrické šifrování (více v předmětu MI-BHW) Proto se používá symetrické šifrování, kde se předpokládá, že Alice a Bob znají nějaký společný soukromý klíč, který nikdo jiný nezná a který šifrování výrazně usnadní. Asymetrické šifry se použijí pouze k výměně tohoto společného soukromého klíče. Nejpoužívanější metoda je bloková šifra (block cipher) zvaná Advanced Encryption Standard (AES). Zde se seznámíme s matematickým podhoubím této metody. Kódovaný text si rozdělíme na bloky o (např.) 8 bitech. Ty zašifrujeme pomocí klíče tak, že dešifrování lze snadno provést pouze se znalostí toho samého klíče. Toto šifrování v AES je založeno na tom, že operace s n = 8 bity lze chápat jako aritmetické operace v konečném tělese s 2 n prvky pro n = 8. Tělesa s 2 n prvky zveme binární tělesa a značíme GF (2 n ) (jako Galois Fields). Ukážeme si, jak v takovýchto tělesech zavést operace sčítání a násobení. Bloková AES šifra Uvažujme těleso GF (2 8 ). Každý prvek lze reprezentovat jako 8 bitů, tedy např , , atd. Kudy cesta nevede Sčítání: sčítání lze zavést po složkách modulo 2. Tj = (1 + 0 mod 2)(1 + 1 mod 2) (0 + 1 mod 2) = Neutrální (nulový) prvek je a každý prvek je sám sobě inverzní: máme aditivní grupu. Násobení: násobení po složkách zavést nelze. V takovém případě by musel být jednotkový prvek roven a neexistovala by inverze např. k

12 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 12 Násobení musíme definovat jinak! Abychom mohli sčítat, odčítat a násobit polynomy ve tvaru a i x i, potřebujeme pouze vědět jak sčítat, odčítat a násobit koeficienty. Obecně tedy můžeme vybudovat okruh polynomů podobný tomu, který známe z reálných resp. komplexních čísel, nad libovolným okruhem či tělesem. Věta 13. Buď K okruh. Potom množina polynomů s koeficienty z tohoto okruhu spolu s operacemi sčítání a násobení definovanými jako n n n a i x i + b i x i = (a i + b i )x i i=0 i=0 i=0 ( n ) ( m ) a i x i n+m b i x i = a j b k x i i=0 i=0 i=0 j+k=i tvoří komutativní okruh polynomů nad okruhem K. Tento okruh značíme K[x]. Okruh polynomů nad okruhem / tělesem po- Ireducibilní lynom Definice 14. Buď P (x) K[x] stupně alespoň 1. Řekneme, že P (x) je ireducibilní nad K, jestliže pro každé dva polynomy A(x) a B(x) z K[x] platí A(x) B(x) = P (x) (stupeň A(x) = 0 stupeň B(x) = 0). Ireducibilní polynomy jsou prvočísla mezi polynomy! Také jsou naprosto analogicky definovány a mají stejné vlastnosti. Příklad: x je ireducibilní nad Q, x 2 1 = (x + 1)(x 1) není. Poznámka: x je ireducibilní nad tělesem Q, ale není ireducibilní nad tělesem Z 2, kde se koeficienty počítají modulo 2! Neboť x 2 +1 = (x+1)(x+1) = x 2 + 2x + 1. Zavedeme počítání modulo polynom takto: A(x) (mod P (x)) = zbytek po dělení A(x) polynomem P (x). Výsledek je tedy polynom stupně ostře menšího než je stupeň modulu P (x). Ireducibilní polynom jako modul

13 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 13 Příklad: pro A(x) = x 3 a P (x) = x máme A(x) = x(x 2 + 1) + ( x) a tedy x 3 x (mod x 2 + 1). Je-li P (x) ireducibilní (s ohledem na těleso, ze kterého bereme koeficienty), tvoří zbytky po dělení P (x) grupu (pokud opět vyjmeme nulový polynom). Těleso GF (2 4 ) Prvky GF (2 4 ) reprezentujeme jako polynomy stupně nanejvýš 3 s koeficienty h i z tělesa Z 2 : h 3 x 3 + h 2 x 2 + h 1 x + h 0 (h 3 h 2 h 1 h 0 ) 2. Sčítání definujeme po složkách modulo 2: (x 3 + x + 1) + (x 2 + x + 1) = x 3 + x 2. Násobení zavádíme jako násobení modulo zvolený ireducibilní polynom, např. x 4 + x + 1. Příklad: násobení A(x) B(x) pro A(x) = x 3 + x a B(x) = x 2 + x 1. vynásobím A(x) B(x) klasicky a koeficienty výsledku přepočtu modulo 2: A(x) B(x) = x 5 +2x 4 +x 3 +x 2 +x = {koef. (mod 2)} = x 5 +x 3 +x 2 +x Těleso GF (2 4 ) násobení 2. najdu zbytek po dělení P (x). Jelikož x 5 = x(x 4 + x + 1) + (x 2 + x), platí x 5 x 2 + x (mod x 4 + x + 1) z čehož dostáváme x 5 + x 3 + x 2 + x (x 2 + x) + (x 3 + x 2 + x) x 3 (mod x 4 + x + 1). Neboli jsme spočítali, že = Dle specifikace AES se násobení počítá modulo x 8 + x 4 + x 3 + x + 1. K reprezentaci prvků se tedy používá 8 (= stupeň polynomu výše) bitů. AES v tělese GF (2 8 )

14 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA Konečná tělesa shrnutí Řekli jsme si, že konečná tělesa mohou být pouze řádu p n, kde p je prvočíslo a n je kladné přirozené číslo. Jak zkonstruovat těleso řádu p n pro konkrétní p a n? Konstrukce všech možných konečných těles Případ n = 1: těleso prvočíselného řádu zkonstruujeme snadno, vezmeme množinu Z p s operacemi sčítání a násobení modulo p. Všechna ostatní tělesa řádu p jsou s tímto tělesem izomorfní. Případ n > 1: těleso neprvočíselného řádu p n zkonstruujeme jako množinu polynomů z okruhu Z p [x] stupně nejvýše n 1 s binárními operacemi Sčítání po složkách modulo p. Násobení v okruhu Z p [x] modulo zadaný polynom stupně n ireducibilní nad Z p. Co víme o aditivní grupě tělesa GF (p n ): GF (p n ): aditivní grupa Má řád p n. Neutrální prvek je 00 0 = 0 n. Inverze k prvku b 1 b 2 b n je (p b 1 )(p b 2 ) (p b n ). Není cyklická, dokonce pro každý prvek x platí, že p x = x. Co víme o multiplikativní grupě tělesa GF (p n ): GF (p n ): multiplikativní grupa Má řád p n 1. Neutrální prvek je 00 1 = 0 n 1 1. Inverzi ke každému prvku umíme nalézt pomocí EEA v polynomiálním čase. Je vždy cyklická (důkaz není moc složitý, ale zabral by nám moc času).

15 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 15 Abychom zkonstruovali těleso GF (p n ), potřebujeme alespoň jeden polynom stupně n ireducibilní nad Z p. Ireducibilní polynomy: co o nich víme Otázka: Existuje pro každé přirozené n > 1 a prvočíslo p polynom stupně n ireducibilní nad Z p? Odpověď: Ano, dokonce se přesně ví, kolik jich je. Věta 15 (Jacobson 2009). Mějme přirozené n > 1 a prvočíslo p. Označme N(p, n) počet monických polynomů stupně n ireducibilních nad Z p. Potom N(p, n) = 1 n d n µ(d)p n 1 d p n n q n,q prvoč. p n q. Ireducibilní polynomy: co o nich víme Kde µ je Möbiova funkce definovaná pro přirozené n > 0 takto: 1 pokud n neobsahuje čtverec prvočísla a má sudý počet prvoč. faktorů, µ(n) = 1 pokud n neobsahuje čtverec prvočísla a má lichý počet prvoč. faktorů, 0 pokud n obsahuje čtverec prvočísla. a monický polynom je takový polynom, který má za koeficient u nejvyšší mocniny jedničku. Otázka: Jak najít ireducibilní polynom? Ireducibilní polynomy: co o nich víme Poznat, jestli je daný polynom ireducibilní je snazší, než poznat jestli dané číslo je prvočíslo: Dokonce existují polynomiální algoritmy, které nejen rozhodnou o ireducibilitě, ale dokonce najdou rozklad na ireducibilní polynomy (obdoba prvočíselného rozkladu). Jedná se o Berlekampův a Cantor Zassenhausův algoritmus: detaily např. v D. Knuth, The Art of Computer Programming, Vol. 2, sekce 4.6.

16 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA Něco o polynomech Lemma 16 (o dělení polynomů). Buď T komutativní těleso a f, g T [x] nenulové polynomy. Pek existují jednoznačně určené polynomy q, r T [x] takové, že f = qg + r, kde r je buď nulový nebo ostře menšího stupně než g. Důkaz. Zřejmé (tj. za domácí úkol). Něco o polynomech (1 ze 2) Buďte f, g T [x]. Potom polynom h T [x] nazveme největší společný dělitel polynomů f a g jestliže Něco o polynomech (2 ze 2) h dělí f i g, každý polynom, který dělí f i g, dělí také h. Tento polynom značíme gcd(f, g). Věta 17 (Bezoutova rovnost pro polynomy). Buďte f a g nenulové polynomy nad tělesem T. Pak existují polynomy u, v T [x] tak, že gcd(f, g) = uf + vg. Důkaz se provádí indukcí na součet stupňů polynomů f a g (lze aplikovat i na čísla, kde jsme to dokazovali jinak!!) a využívá faktu (rozmyslet!!), že pro libovolný polynom q T [x] platí gcd(f, g) = gcd(f qg, g). Označme stupeň f jako s a stupeň g jako t a předpokládejme bez újmy na obecnosti, že s t a že oba polynomy jsou monické 1. Je-li s + t = 0, je gcd(f, g) = 1, a tedy můžeme zvolit u(x) = 0 a v(x) = 1. Buď nyní s + t = n. Předpokládejme, že pro polynomy, jejichž součet stupňů je menší než n, tvrzení platí (= indukční předpoklad). Pokud g dělí f, je gcd(f, g) = g, a tedy můžeme opět zvolit u(x) = 0 a v(x) = 1. Předpokládejme tedy, že g nedělí f. Potom existují polynomy q, r T [x] takové, že f = qg + r, 1 U nejvyšší mocniny mají jednotkový prvek tělesa T. Takový polynom získáme vynásobením původního polynomu inverzí (pro násobení v tělese T ) k číslu u nejvyšší mocniny x.

17 KAPITOLA 1. MPI - 5. PŘEDNÁŠKA 17 kde r je ostře menšího stupně než g. Dle indukčního předpokladu (součet stupňů r a g je menší než n) existují ũ a ṽ tak, že gcd(r, g) = gcd(f qg, g) = ũr + ṽg = ũ(f qg) + ṽg, a proto můžeme položit u = ũ a v = ṽ ũq. Tím je věta dokázána.