Analyse et comparaison avec la m´ ethode de Gaudry et Diem









100e

²₁

+ 32e

1

e

2

+ 55e

1

+e

²₂

+ 17e

2

+ 81 = 0

29e

²₁

+ 34e

₁

e

₂

+ 71e

₁

+ 83e

₂

+ 16 = 0

59e

²₁

+ 27e

1

e

2

+ 31e

1

+ 48e

2

+ 32 = 0.

Ce syst`eme n’ayant pas de solution, le point R (comme la plupart des points de la courbe) n’est pas

d´ecomposable.

Lorsqu’on essaye de d´ecomposer un autre multiple al´eatoire R = [580657]P = (16t

²

+ 94t+

21,80t

²

+ 34t+ 41), on obtient l’´equation suivante

(61t

²

+78t+59)e

²₁

+(69t

²

+14t+59)e

₁

e

₂

+(40t

²

+20t+57)e

₁

+e

²₂

+(40t

²

+89t+80)e

₂

+12t

²

+11t+77 = 0

qui produit le syst`eme











59e

2 1

+ 59e

₁

e

₂

+ 57e

₁

+e

2 2

+ 80e

₂

+ 77 = 0

78e

²₁

+ 14e

1

e

2

+ 20e

1

+ 89e

2

+ 11 = 0

61e

²₁

+ 69e

₁

e

₂

+ 40e

₁

+ 40e

₂

+ 12 = 0.

Cette fois, on trouve que le syst`eme a une unique solution (e

1

, e

2

) = (69,75). Pour d´eterminer la

d´ecomposition on consid`ere le trinˆome du second degr´eX

²

−69X+75, qui admet pour solutions6et

63∈_F

₁₀₁

correspondant respectivement aux pointsP

1

= (6,77t

²

+93t+35)etP

2

= (63, t

²

+66t+2)∈

F ∪ −F. En testant les 4 choix possibles de signes, on trouve alors que R = P

1

+P

2

. Comme

#(F ∪ −F) = 108, il reste encore54 relations de cette forme `a trouver avant de compl´eter la phase

de recherche de relations.

7.3.2 Analyse et comparaison avec la m´ethode de Gaudry et Diem

Pour pouvoir estimer la complexit´e de la varianten−1, il faut donner une borne sur la probabilit´e

qu’un point al´eatoire se d´ecompose en une somme den−1 points de F et d´eterminer le coˆut de la

r´esolution du syst`eme polynomial correspondant.

Dans la suite, on suppose v´erifi´ee l’hypoth`ese suivante :

Hypoth`ese 7.3.2. Le nombre de points de E(_F

_qn

) admettant une d´ecomposition en somme de

n−1 points de la base de factorisation F est en Ω(q

n−1

/(n−1)!).

Soit la courbe C = {P ∈ E(_F

qn

) : P = (x

_P

, y

_P

), x

_P

∈ _F

_q

} ∪ {O

_E

} d´ej`a introduite

pr´ec´edemment. Comme la cardinalit´e du quotient C

(n−1)

= C

n−1

/S

_n−1

est approximativement

q

ⁿ⁻¹

/(n−1)!, cette hypoth`ese signifie que la plupart des points deE ont pour pr´eimages par

l’appli-cation sommeς :C

(n−1)

→E(_F

qn

),(P

1

, . . . , P

n−1

)7→P

P

i

, un nombre fini, born´e ind´ependamment

de netq, de (n−1)-uplets non ordonn´es deC

(n−1)

.

En fait, on peut montrer de fa¸con plus pr´ecise que cette hypoth`ese est simplement un corollaire

de la conjecture suivante, `a condition que la cardinalit´e de F reste bien en Ω(q) (on a vu que ceci

est toujours vrai, du moment que l’´equation de la courbe de E satisfait la condition 7.2.2 et que

n≤clog

₂

q o`u c <1/2, voir section 7.2.2).

Conjecture.Soient C

(n−1)

=C

n−1

/S

n−1

le (n−1)-i`eme produit sym´etrique deC, et W

_Fqn/Fq

(E)

la restriction de Weil de E relativement `a l’extension _F

_qn

/_F

_q

. Soit ς : (P

₁

, . . . , P

_n−1

) 7→ P

i

P

_i

le

morphisme de sommation deC

(n−1)

→W

_Fqn/Fq

(E), d´efini sur _F

_q

. Alors

1. l’application ς est un morphisme de degr´e 1 deC

(n−1)

dans ς(C

(n−1)

)

2. la fibre ς

⁻1

(R) d’un point R∈ς(C

(n−1)

) a une dimension positive si et seulement si il existe

des points P

1

, . . . , P

n−3

∈ C tels que R=ς(P

1

, . . . , P

n−3

,O

_E

,O

_E

).

On note que commeC

(n−1)

est une vari´et´e projective, son image par le morphismeς est ferm´ee

dans W

_Fqn/Fq

(E). Le premier point de cette conjecture a ´et´e v´erifi´e formellement pour n= 3 avec

le logiciel Magma, et a toujours ´et´e satisfait dans les exemples pour les autres degr´es d’extension

consid´er´es. En pratique, pour tester si cette propri´et´e est v´erifi´ee pour une courbe donn´ee, il est

suffisant de trouver un pointR∈ς(C

(n−1)

) tel que la fibreς

⁻¹

(R) est une vari´et´e z´ero-dimensionnelle

de degr´e 1. Le deuxi`eme point est plus d´elicat `a v´erifier. Il est clair que si le pointRest de la forme

R = ς(P

₁

, . . . , P

_n−3

,O

_E

,O

_E

), autrement dit tel que R = P

n−3

i=1

P

_i

, alors la fibre correspondante

ς

⁻¹

(R) est de dimension au moins 1 : elle contient en effet tout les (n−1)-uplets de la forme

(P

1

, . . . , P

n−3

, Q,−Q). La r´eciproque est plus compliqu´ee, mais a ´et´e v´erifi´ee exp´erimentalement

par recherche exhaustive pour des petites courbes lorsque n= 5. Il est n´eanmoins raisonnable de

penser que, mˆeme si ce n’´etait pas le cas pour toutes les courbes elliptiques, une grande proportion

d’entre elles vont satisfaire cette conjecture (probablement `a un changement d’´equation pr`es). Dans

tous les cas, sous l’hypoth`ese 7.3.2, le nombre de tests de d´ecompositions `a faire en moyenne avant

d’obtenir une relation est en O((n−1)!q

²

).

Comme expliqu´e pr´ec´edemment, le coˆut d’un test de d´ecomposition, not´e ˜c(n, q), se ram`ene au

coˆut de la r´esolution d’un syst`eme surd´etermin´e de degr´e total 2

ⁿ⁻²

compos´e de n ´equations et

(n−1) variables. La complexit´e de la phase de recherche de relations est donc en

O((n−1)! ˜c(n, q)q

²

).

Pour donner une borne sup´erieure effective de ˜c(n, q), on fait une analyse similaire `a celle donn´ee

dans la section 7.2.2. G´en´eriquement, i.e. lorsque le point R que l’on d´ecompose n’est pas dans

l’image par ς de C

(n−1)

, le syst`eme surd´etermin´e correspondant n’admet pas de solution. La base

de Gr¨obner de l’id´eal associ´ee est alors{1}pour n’importe quel ordre, y compris grevlex. Dans les

autres cas, i.e. lorsqu’une d´ecomposition existe, le syst`eme admet g´en´eralement un petit nombre

de points, voir exactement un point si la conjecture pr´ec´edente est correcte. L’id´eal

correspon-dant est alors maximal et sa base de Gr¨obner contient seulement des polynˆomes lin´eaires ; trouver

les solutions correspondantes est donc imm´ediat. On note toutefois que mˆeme si l’id´eal est z´

ero-dimensionnel de degr´e strictement plus grand que 1, on s’attend `a ce que ce degr´e reste suffisamment

petit et donc que la r´esolution puisse encore se faire ais´ement. Exceptionnellement, la dimension de

la fibre est sup´erieure `a 1 (ce qui peut se voir ais´ement sur la base de Gr¨obner pour l’ordre grevlex,

voir section 1.1.5) ; il est bien sˆur toujours possible de d´eduire de ces points des relations utiles,

mais le plus simple est encore de ne pas comptabiliser ces rares d´ecompositions.

Remarque 7.3.3. On note que cette situation est en fort contraste avec celle de l’algorithme de

Gaudry et Diem, o`u le degr´e de l’id´eal est g´en´eriquement ´egal `a la borne de B´ezout 2

n(n−1)

. Ceci

signifie que l’ensemble des solutions contient g´en´eriquement 2

ⁿ⁽ⁿ⁻¹⁾

, mais que la plupart d’entre

elles sont dans la clˆoture alg´ebrique de _F

_q

, vu que la probabilit´e de trouver une d´ecomposition est

seulement en 1/n!. Dans leur approche, le calcul d’une base de Gr¨obner pour l’ordre grevlex n’est

donc pas suffisant pour r´esoudre le syst`eme et l’algorithme FGLM devient n´ecessaire ; le degr´e

doublement exponentiel en n de l’id´eal devient alors particuli`erement bloquant.

Pour obtenir une borne sup´erieure sur la complexit´e du calcul de la base de Gr¨obner pour l’ordre

grevlex du syst`eme (7.9), on fait l’hypoth`ese suivante

Hypoth`ese 7.3.4. Le degr´e maximal des polynˆomes qui apparaˆıt durant le calcul de la base de

Gr¨obner pour l’ordre grevlex du syst`eme (7.9)ϕ

0

, . . . , ϕ

n−1

est plus petit que la borne de Macaulay

d=P

n−1

i=0

(degϕ

_i

−1) + 1.

Cette hypoth`ese est en particulier v´erifi´ee d`es que le syst`eme est semi-r´egulier (cas g´en´erique,

cf. section 2.4.3), et a ´et´e satisfaite pour tous les syst`emes test´es en pratique.

Sachant que lesϕ

i

sont tous de degr´e 2

ⁿ⁻²

enn−1 variables, on obtient qued=n2

ⁿ⁻¹

−n+ 1.

Pour estimer le coˆut du calcul de la base de Gr¨obner, on peut alors comme pr´ec´edemment faire

appel aux r´esultats de la section 3.2.6 o`u l’on majore le coˆut du calcul par celui de la r´eduction de la

matrice de Macaulay jusqu’au degr´ed. La taille de cette matrice est au plus le nombre de monˆomes

en n−1 variables de degr´e inf´erieur ou ´egal `a d, soit

ⁿ_n²ⁿ₋⁻₁²

. On obtient avec des techniques de

r´eduction rapide la borne sup´erieure suivante :

˜

c(n, q) = ˜O

n2

ⁿ⁻²

n−1

ω

, (7.10)

o`u ω ≤ 3 est l’exposant de complexit´e effective de multiplication matricielle d´ej`a introduit en

section 2.2.2 (en pratique, ω = log

₂

(7) lorsque l’on utilise la multiplication de Strassen [Str69]).

Comme le nombre d’essais de d´ecompositions `a faire est de l’ordre de (n−1)!q

²

, la complexit´e de

la phase de recherche de relations est donc en

˜

O

(n−1)!

2

^{(n−1)(n−2)}

e

ⁿ

n

^−1/2

ω

q

²

.

La complexit´e de l’´etape d’alg`ebre lin´eaire est toujours en ˜O(nq

²

), donc n´egligeable par rapport `a

celle de l’´etape pr´ec´edente. Ceci implique le r´esultat suivant :

Th´eor`eme 7.3.5. Soit E une courbe elliptique d´efinie sur _F

qn

et G un sous-groupe du groupe

des points rationnels de la courbe. Lorsque les hypoth`eses 7.3.2 et 7.3.4 sont v´erifi´ees, il existe un

algorithme permettant de r´esoudre le DLP d´efini sur G avec une complexit´e en

˜

O

(n−1)!

2

^{(n−1)(n−2)}

e

ⁿ

n

^−1/2

ω

q

²

. (7.11)

Il est clair qu’`a cause de ce facteur en q

²

dans la complexit´e, les m´ethodes g´en´eriques telles que

Pollard-rho vont rester plus rapides que la varianten−1 lorsquen≤4. En revanche, pour n >4 il

existe une importante plage de valeurs deq pour lesquelles la varianten−1 est la plus efficace. En

effet, avec l’estim´ee (7.11) on peut d´ej`a voir qu’il existe une constantecpour laquelle cette variante

est asymptotiquement plus rapide que les m´ethodes g´en´eriques d`es que 5 ≤ n ≤ clog

₂

q. Plus

pr´ecis´ement, on peut voir que la varianten−1 est asymptotiquement plus rapide que l’algorithme de

Pollard lorsquen≤

₂¹_ω

−log

₂

q. De mˆeme, avec l’analyse de complexit´e faite en 7.2.2, on voit que

la varianten−1 est plus rapide que l’approche de Gaudry et Diem d`es quen≥

3

r

2

3−ω

+log

₂

q.

On note n´eanmoins que ces comparaisons n’ont de sens que du point de vue asymptotique (la

variante n−1 n’´etant pas pertinente lorsque n≤4).

Remarque 7.3.6.

La borne sup´erieure dec(n, q)˜ donn´ee en (7.10) (et donc l’estim´ee du th´eor`eme 7.3.5) est pratique

mais reste tr`es large (de fait, obtenir des bornes pr´ecises pour le coˆut du calcul de bases de Gr¨obner

est encore un probl`eme ouvert). En effet, et comme d´ej`a remarqu´e, on ne prend pas en compte le

fait que la matrice de Macaulay est une matrice creuse et fortement structur´ee. On constate ce

manque de pr´ecision en pratique. Par exemple pourn= 5, l’estimation (7.10) pr´edit de l’ordre de

10

¹⁴

multiplications dans _F

_q

pour faire le calcul de la base de Gr¨obner, alors que le calcul r´eel avec

F4 ne requiert que 10

¹⁰

multiplications (et3 fois moins avec la variante F4Remake).

log

₂

q

n

1 2 3 4 5 6

Dans le document Attaques algébriques du problème du logarithme discret sur courbes elliptiques (Page 155-158)