Arithm´ etique des courbes elliptiques et hyperelliptiques

equivalent `a un unique diviseur, dit r´eduit, de la forme (P

₁

) +· · ·+ (P

_r

)−r(O

_H

) avec r minimal.

On a n´ecessairement P

_i

6= ι(P

_j

) pour tout i 6= j, sinon on pourrait simplifier l’´ecriture de D en

utilisant la fonction x−x

Pi

de diviseur (P

i

) + (ι(P

i

))−2(O

_H

). On associe alors `aDles polynˆomes

u(x) =Q

(x−x

_Pi

) etv(x) tel quev(x

_Pi

) =y

_Pi

pour toutide 1 `a r, degv < retu|(v

²

+vh

0

−h

1

).

SiP

_i

6=P

_j

pour touti6=j,v(x) s’obtient directement par interpolation de Lagrange ; la condition

de divisibilit´e sert juste `a d´eterminer v dans le cas o`uu a des racines multiples.

Proposition 5.1.4. L’ensemble des pointsk-rationnels de la jacobienne de Hest en bijection avec

les paires de polynˆomes (u, v)∈k[x]

²

tels queu est unitaire,deg(v)<deg(u)≤g, et u|(v

²

+vh

0

−

h

₁

).

5.2 Arithm´etique des courbes elliptiques et hyperelliptiques

On explicite dans cette section les lois de composition interne d´efinies sur les courbes elliptiques

et les jacobiennes de courbes hyperelliptiques. On d´etaille aussi la structure du groupe des points

F

q

-rationnels pour une courbe d´efinie sur un corps fini.

5.2.1 Genre 1

SoitE une courbe elliptique d’´equation de Weierstrassy

²

+a

1

xy+a

3

y=x

³

+a

2

x

²

+a

4

x+a

6

.

Pour d´eterminer la loi de groupe sur E= Jac

_E

, on consid`ere les diviseurs associ´es `a des ´equations

de droites.

1. Si f = x−c, la droite verticale d’´equation f = 0 coupe E en deux points (compt´es avec

multiplicit´e), et on a div (f) = (P

1

)+(P

2

)−2(O). En particulier, (P

2

)−(O)∼ −((P

1

)−(O)).

2. Si f = y −(λx+µ), la droite d’´equation f = 0 coupe E en trois points (compt´es avec

multiplicit´e), et on a div (f) = (P

₁

) + (P

₂

) + (P

₃

)−3(O). En particulier, ((P

₁

)−(O)) +

((P

₂

)−(O))∼ −((P

₃

)−(O)).

On rappelle que E est isomorphe `a Jac

E

' Pic

⁰

(E) via l’identification ψ

O

: P 7→ (P)−(O). On

d´eduit de ce qui pr´ec`ede les formules suivantes : pourP

1

= (x

1

, y

1

) et P

2

= (x

2

, y

2

), on a

−P

1

= (x

1

,−y

1

−a

1

x

1

−a

3

) et P

1

+P

2

= (x

3

, y

3

) o`u

(

x

₃

=λ

2

+a

₁

λ−a

₂

−x

₁

−x

₂

y

3

=λ(x

1

−x

3

)−y

1

−a

1

x

3

−a

3

avec λ=











y

2

−y

1

x

₂

−x

₁

^six

¹

^6=x

²

^,

3x

²₁

+ 2a

₂

x

₁

+a

₄

−a

₁

y

₁

2y

1

+a

1

x

1

+a

3

siP

₁

=P

₂

.

P_•

Q

•

−(P+Q)_•

P+Q^•

Figure5.1 – Exemple d’addition de points sur une courbe elliptique.

En pratique, on travaille avec des ´equations r´eduites o`u les coefficients a

i

sont tous nuls sauf

un ou deux, ce qui simplifie ces formules. Il existe de nombreuses m´ethodes pour acc´el´erer ces

calculs en utilisant le moins possible de multiplications et surtout d’inversions, comme par exemple

l’utilisation de coordonn´ees projectives, jacobiennes, de Chudnovsky, mixtes, d’Edwards... (voir la

base de donn´ees disponible surhttp://hyperelliptic.org/EFD/ pour plus de d´etails).

Soient E

₁

et E

₂

deux courbes elliptiques. Une isog´enie ϕ de E

₁

dans E

₂

est un morphisme

(i.e. une application rationnelle r´eguli`ere) tel queϕ(O

₁

) =O

₂

o`u O

₁

etO

₂

sont les points `a l’infini

deE

₁

etE

₂

respectivement. Une propri´et´e fondamentale est qu’une isog´enie est aussi un morphisme

de groupes :

ϕ(P+Q) =ϕ(P) +ϕ(Q), ∀P, Q∈E

1

.

Cela d´ecoule directement de la commutativit´e du diagramme suivant :

E

₁ ^ϕ

//

o ψO₁

E

₂ o ψO₂

Pic

⁰

(E

1

)

^ϕ∗

//_Pic

0

(E

2

)

Une isog´enie φ : E → E est appel´ee endomorphisme. En it´erant la loi de groupe, on d´efinit

l’application de multiplication par un scalairem∈_Z, que l’on note habituellement [m] :P 7→[m]P;

c’est un endomorphisme de E de degr´e m

²

. On appelle point de m-torsion un ´el´ement du noyau

de [m], et on note leur ensemble E[m] ={P ∈E : [m]P =O}; on note aussi E(k)[m] l’ensemble

des points k-rationnels de m-torsion. Soit p = char(K) la caract´eristique du corps ; le fait que

la multiplication par m soit de degr´e m

²

permet de montrer que E[m] ' (_Z/m_Z)

²

si p = 0 ou

m∧p= 1, et queE[p

^α

]'_Z/p

^α

_Zou {O}si p6= 0.

Si E est d´efinie sur un corps fini F

q

, l’ensemble de ses points rationnels forme un groupe

commutatif fini E(_F

q

) ; en particulier tous ses ´el´ements sont de torsion. En utilisant le th´eor`eme

de structure des groupes commutatifs finis ainsi que la forme des groupes de torsion, on obtient un

isomorphisme

E(F

q

)'_Z/n

1

Z×_Z/n

2

Z, avec n

1

|n

2

etp-n

1

.

On peut de plus montrer `a l’aide du couplage de Weil (voir section 5.3.1) quen

1

|(q−1).

5.2.2 Genre sup´erieur

SoitHune courbe hyperelliptique de genreg admettant un mod`ele imaginaire de la formey

²

+

h

₀

(x)y=h

₁

(x), avec deg(h

₁

) = 2g+1 et deg(h

₀

)≤g. On rappelle le principe de la repr´esentation de

Mumford : `a tout diviseurD∈Div

⁰

(H) de la forme (P

1

)+. . .+(P

r

)−r(O

_H

) tel queι(P

i

)6=P

j

pour

tout i6=j, on associe l’unique couple de polynˆomes (u, v) tels que u =Q

(x−x

_Pi

),v(x

_Pi

) = y

_Pi

,

degv < degu et u|(v

²

+vh

₀

−h

₁

) ; cette repr´esentation est valable y compris pour des diviseurs

qui ne sont pas minimaux. Avec cette repr´esentation, on peut d´ecrire l’algorithme d’addition dans

Jac

H

dˆu `a Cantor [Can87], qui reprend des techniques de composition et r´eduction de formes

quadratiques remontant `a Gauss et Lagrange.

Soient D

1

= (u

1

, v

1

) et D

2

= (u

2

, v

2

) deux diviseurs r´eduits sous forme de Mumford ; pour

simplifier, on va supposer que u

1

∧u

2

= 1. La premi`ere ´etape consiste `a trouver la repr´esentation

de Mumford (u

₃

, v

₃

) de D

₃

=D

₁

+D

₂

. Clairement, on a u

₃

= u

₁

u

₂

; pour trouver v

₃

, on calcule

avec l’algorithme d’Euclide ´etendu les polynˆomes a

1

et a

2

tels que a

1

u

1

+a

2

u

2

= 1 et on pose

v

3

=a

1

u

1

v

2

+a

2

u

2

v

1

mod u

3

. La deuxi`eme ´etape consiste `a r´eduire le diviseur D

3

= (P

1

) +· · ·+

(P

_m

)−m(O

_H

) sim > g. L’id´ee est d’utiliser pour cela le diviseur principal associ´e `ay−v

₃

, de la

forme (P

₁

)+· · ·+(P

_m

)+(Q

₁

)+· · ·+(Q

_`

)−(m+`)(O

H

) avec` < m, pour remplacerD

₃

par le diviseur

lin´eairement ´equivalentD

4

= (ιQ

1

)+· · ·+(ιQ

_`

)−`(O

_H

). Pour trouver la repr´esentation de Mumford

de D

₄

, on constate que (y−v

₃

)(y+h

₀

+v

₃

) =h

₁

−v

₃

h

₀

−v

₃²

=Q

m

i=1

(x−x

_Pi

) Q

`

i=1

(x−x

_Qi

) =

u

₃

Q

`

i=1

(x−x

_ι(Qi)

). On a doncu

₄

= (h

₁

−v

₃

h

₀

−v

²₃

)/u

₃

etv

₄

=−v

₃

−h

₀

mod u

₄

. On recommence

ce processus avecD

4

jusqu’`a obtenir un diviseur r´eduit. On donne en algorithme 20 le pseudo-code

de cette m´ethode d’addition, en prenant en compte le cas o`u u

1

et u

2

ne sont pas premiers entre

eux.

Algorithme 20:Algorithme de Cantor

Entr´ees: Deux diviseurs sous forme de MumfordD

₁

= (u

₁

, v

₁

) et D

₂

= (u

₂

, v

₂

),

les polynˆomesh

0

eth

1

d´efinissant la courbeH:y

²

+h

0

y=h

1

.

Sortie :D

₃

= (u

₃

, v

₃

) diviseur r´eduit lin´eairement ´equivalent `a D

₁

+D

₂

1.

Calculer avec Euclide ´etendua

₁

, a

₂

, a

₃

, dtels que

d=u

1

∧u

2

∧(v

1

+v

2

+h

0

) =a

1

u

1

+a

2

u

2

+a

3

(v

1

+v

2

+h

0

);

2.

u

₃

←u

₁

u

₂

/d

²

;

3.

v

₃

←(a

₁

u

₁

v

₂

+a

₂

u

₂

v

₁

+a

₃

(v

₁

v

₂

+h

₁

))/d modu

₃

;

4.

tant quedegu

3

> g faire

5.

u

₃

←(h

₁

−v

₃

h

₀

−v

₃²

)/u

₃

;

6.

v

₃

← −v

₃

−h

₀

mod u

₃

;

P

₁

•

P

₂

•

P

₃

•

P

₄

•

Q

1

•

ι(Q

₁

)

•

Q

2

•

ι(Q

₂

)

•

Figure 5.2 – Exemple d’addition de points sur une courbe hyperelliptique de genre 2.

On montre qu’en utilisant des techniques classiques pour la multiplication et le pgcd de

po-lynˆomes, la complexit´e du calcul de la loi de groupe est enO(g

²

) op´erations dans le corps de base

F

q

. Il existe un certain nombre d’am´eliorations `a l’algorithme de Cantor. On peut simplifier son

d´eroulement pour certaines entr´ees sp´ecifiques, typiquement lorsqueD

1

=D

2

o`u les calculs de pgcd

sont facilit´es. Quand le genre est grand, on peut jouer sur la phase de r´eduction pour l’acc´el´erer,

et on peut utiliser des algorithmes de calcul du produit et du pgcd de deux polynˆomes `a base de

transform´ee de Fourier rapide, pour une complexit´e asymptotique enO(glog

²

glog logg) op´erations

dans _F

q

. Il existe aussi des optimisations sp´ecifiques aux genres 2 et 3, et pour certains types de

courbes ; on renvoie `a [BSS05, chapitre VII] pour plus de d´etails.

Similairement au cas elliptique, si H est une courbe hyperelliptique de genre g d´efinie sur

F

q

, l’ensemble des points _F

q

-rationnels de sa jacobienne forme un groupe commutatif fini dont la

structure est

Jac

H

(_F

_q

)'_Z/n

₁

_Z× · · · ×_Z/n

_2g

_Z,

o`u n

_i

|n

_i+1

pour 1≤i <2g etn

_i

|(q−1) pouri≤g.

Dans le document Attaques algébriques du problème du logarithme discret sur courbes elliptiques (Page 108-111)