Calcul d’indices en petit degr´ e

Oq

^2−2/g

, `a g fix´e lorsqueq → ∞.

Par comparaison, si Jac

H

(_F

_q

) admet un sous-groupe d’ordre premier de taille comparable `a

# Jac

H

(_F

_q

)≈q

g

, la complexit´e d’une attaque g´en´erique sur le DLP est en ˜O(q

g/2

). Quand q tend

vers +∞, la variante “double large primes” du calcul d’indices est donc plus efficace d`es queg≥3.

On note cependant que la complexit´e de l’attaque est toujours exponentielle en la taille du groupe,

et que les attaques g´en´eriques restent les plus efficaces en genreg= 1 ou 2. Il faut aussi insister sur

le fait que ces complexit´es ne sont valables qu’asymptotiquement `a g fix´e : `a cause des constantes

cach´ees dans les notations de Landau, et en particulier du facteur eng! intervenant dans la phase

de recherche de relations, la valeur pratique optimale du param`etre α est en g´en´eral sup´erieure `a

celle donn´ee.

5.5 Calcul d’indices en petit degr´e

Plutˆot que de chercher `a d´ecomposer un multiple d’un diviseur donn´e, on peut essayer d’obtenir

des relations de la forme (4.5) ne faisant intervenir que des ´el´ements de la base de factorisation,

par exemple en consid´erant des diviseurs principaux associ´es `a des fonctions d’expression simple.

Sur ce principe, Diem propose dans [Die06] une m´ethode de r´esolution du logarithme discret

par-ticuli`erement efficace pour les jacobiennes de courbes planes de petit degr´e.

Soient C ⊂ _P

2

(F

q

) une courbe projective plane admettant une ´equation de degr´e d et C

⁰

une

courbe lisse qui lui est birationnellement ´equivalente ; on s’int´eresse au DLP dans la jacobienne de

C

0

. Comme les points lisses de C s’identifient naturellement `a des points de C

0

, on identifiera les

sommes formelles de points lisses deC avec des diviseurs de C

⁰

. On note [X :Y :Z] un syst`eme de

coordonn´ees homog`enes sur_P

²

. Le diviseur not´eD

∞

correspond `a l’intersection deCavec la droite

`

a l’infini, autrement dit D

∞

= z´eros(Z) =P

P

ord

_P

(Z/F

_P

) (P) o`uF

_P

est un polynˆome homog`ene

de degr´e 1 ne s’annulant pas enP de telle sorte queZ/F

_P

appartient au corps de fonctions deC;

en particulier, D

∞

est un diviseur de degr´e d. SoitO un point lisse deC(_F

q

), on d´efinit une base

de factorisation

F ={(P)−(O) :P ∈ C(_F

_q

) lisse} ∪ {d(O)−D

∞

} ⊂Jac

C0

(_F

_q

).

En dehors de la droite `a l’infini, on notex=X/Z ety=Y /Z les coordonn´ees affines. Pour trouver

des relations, on choisit deux points lisses P

1

, P

2

∈ C(F

q

) et on consid`ere la droite passant par P

1

etP

2

d’´equationf = 0, o`uf est de la formey−λx−µ(le casx−µse traite similairement). Cette

droite coupe la courbe en au plus d−2 autres points (compt´es avec multiplicit´e) que l’on peut

facilement d´eterminer. En rempla¸cant y parλx+µ dans l’´equation deC, on trouve un polynˆome

de degr´e ddont on connaˆıt d´ej`a deux racines ; `a l’aide des algorithmes de recherche des solutions

donn´es en section 1.2.2, on peut facilement d´eterminer si ce polynˆome est scind´e sur_F

_q

et trouver le

cas ´ech´eant lesd−2 autres pointsP

₃

, . . . , P

_d

de l’intersection de la droite avecC. Si tous ces points

sont lisses, alors on obtient une relation : en effet div(f) = (P

1

) + (P

2

) + (P

3

) +· · ·+ (P

d

)−D

∞

,

et on a

dans Jac

C0

(F

q

). On recommence ensuite `a partir d’un autre couple de points lisses jusqu’`a avoir

obtenu suffisamment de relations. Dans la phase de descente, on calcule le diviseur r´eduit de la

forme (P

₁

) +· · ·+ (P

_r

)−r(O) lin´eairement ´equivalent `a une combinaison [a]D

₁

+ [b]D

₂

des diviseurs

intervenant dans le DLP, jusqu’`a ce que les pointsP

1

, . . . , P

r

soient dans la partie lisse deC(F

q

).

Heuristiquement, la base de factorisation contient de l’ordre de q ´el´ements, de telle sorte que

la phase d’alg`ebre lin´eaire a une complexit´e en ˜O(d q

²

). Pour trouver une relation, il faut qu’un

polynˆome de degr´ed−2 soit scind´e dansF

q

, ce qui arrive avec une probabilit´e d’environ 1/(d−2)!,

et comme il faut de l’ordre de q relations, la phase de recherche de relations est en ˜O(q(d−2)!).

Encore une fois, il est naturel de vouloir ´equilibrer les deux phases avec une variation “double large

primes”. On choisit donc artificiellement une base r´eduite

¹

F de cardinalit´e q

^α

, et on consid`ere

la base compl´ementaireF

⁰

contenant le reste des ´el´ements de la base de factorisation initialement

choisie. Pour les ´equations des droites, on ne prend ´evidemment en compte que des couples de points

(P

₁

, P

₂

) tels que les diviseurs correspondants soient dansF. Pour obtenir une relation “double large

primes”, il faut que l’intersection deCavec la droite passant parP

1

, P

2

contienned−2 autres points

dont au plus deux sont dansF

0

, ce qui arrive avec une probabilit´e d’environq

^{(α−1)(d−4)}

/2(d−4)!.

Comme on a besoin de l’ordre de q relations pour ´eliminer les ´el´ements de F

⁰

, la complexit´e de

la phase de recherche de relations est en ˜O(q·q

^{(1−α)(d−4)}

) `a d fix´e lorsque q tend vers l’infini. La

complexit´e de l’alg`ebre lin´eaire est toujours en ˜O(q

^2α

) et asymptotiquement le meilleur choix pour

α est 1−1/(d−2), ce qui donne une complexit´e totale en

˜

O(q

^{2−2/(d−2)}

), `ag fix´e, lorsqueq → ∞.

Il est `a noter que le choix de α est en fait limit´e puisqu’il faut pouvoir g´en´erer suffisamment

de relations. On montre cependant qu’heuristiquement la plus petite taille de base de factorisation

permettant d’engendrer de l’ordre deqrelations est en ˜O(q

^{1−1/(d−2)}

), de telle sorte que la complexit´e

asymptotique ci-dessus reste valide.

Remarque 5.5.1. Cette m´ethode n’a d’int´erˆet que lorsqued≥4: en effet, sid= 2la courbe est de

genre0 et son groupe de Picard est trivial, et sid= 3, on ne peut pas appliquer la m´ethode “double

large primes” puisqu’une droite passant par P

₁

et P

₂

ne recoupe C qu’en un seul autre point.

Pour une courbe hyperelliptique, le degr´e minimal d’un mod`ele plan est ´egal `a 2g+ 1, ce qui

rend cette attaque beaucoup moins int´eressante que le calcul d’indices classique. Cependant, pour

une courbe suffisamment g´en´erale de genre g ≥ 3, on s’attend `a ce que le degr´e minimal d’un

mod`ele plan soit ´egal `ag+ 1, ce qui rend de fa¸con surprenante le DLP sur la jacobienne d’une telle

courbe plus fragile que celui sur la jacobienne d’une courbe hyperelliptique de mˆeme genre. Cela

est particuli`erement vrai en genre 3, o`u toute courbe non-hyperelliptique admet un mod`ele plan de

degr´e 4 qui correspond `a une complexit´e en ˜O(q) avec l’attaque de Diem, alors que l’on a vu que

la complexit´e du calcul d’indices sur la jacobienne d’une courbe hyperelliptique de mˆeme genre est

en ˜O(q

^4/3

) (`a comparer au ˜O(q

^3/2

) des attaques g´en´eriques).

La raison principale pour laquelle la complexit´e de l’attaque de Diem est meilleure repose sur

le fait que les petits diviseurs sont mieux exploit´es. En effet, le choix des droites garantit d´ej`a que

deux diviseurs de la d´ecomposition sont dans la petite base, ce qui am´eliore la probabilit´e qu’une

relation soit de type “double large primes”. Cette id´ee sera partiellement r´eexploit´ee pour l’analyse

asymptotique de la technique de crible que l’on propose en section 7.3.5.

1. Il peut ˆetre avantageux de commencer par la phase de descente et d’inclure dansFtous les ´el´ements apparaissant

dans les d´ecompositions obtenues.

Transfert du logarithme discret par

descente de Weil

En 1998, Frey propose pour la premi`ere fois dans [Fre98] d’appliquer le principe de descente de

Weil (ou restriction des scalaires) aux vari´et´es ab´eliennes sur lesquelles on peut d´efinir un probl`eme

de logarithme discret en vue d’applications cryptographiques. Ainsi, lorsqu’une vari´et´e ab´elienne

est d´efinie sur une extension de corps fini_F

_qn

, on peut transf´erer le probl`eme du logarithme discret

d´efini sur cette vari´et´e `a sa restriction de Weil d´efinie sur F

q

. L’id´ee consiste alors `a exploiter la

structure de cette restriction pour en d´eduire des informations sur le DLP.

Le premier int´erˆet de cette m´ethode est de mettre en ´evidence la fragilit´e du DLP sur certaines

courbes elliptiques ; plus pr´ecis´ement, lorsqu’il existe une application de transfert explicite de la

courbe elliptique `a la jacobienne d’une courbe de petit genre ou de petit degr´e pr´eservant le DLP, on

peut utiliser les m´ethodes de calculs d’indices disponibles sur celle-ci pour rendre plus vuln´erable

le DLP sur la courbe elliptique de d´epart. Le deuxi`eme int´erˆet est d’aider `a la construction de

cryptosyst`emes bas´es sur courbes hyperelliptiques. Pour s’assurer que la jacobienne de la courbe

admet bien un sous-groupe d’ordre un grand nombre premier, il est n´ecessaire d’en connaˆıtre la

cardinalit´e : une possibilit´e est d’utiliser la descente de Weil pour construire une courbe

hyperellip-tique dont la jacobienne est isog`ene `a la restriction de Weil d’une courbe elliptique, puis d’utiliser

des algorithmes polynomiaux de comptage de points sur courbes elliptiques pour faire le calcul.

Dans ce chapitre, on se concentre sur les nouvelles m´ethodes apport´ees par la descente de Weil,

pour attaquer le probl`eme du logarithme discret de courbes elliptiques d´efinies sur des extensions de

corps finis. Apr`es avoir d´etaill´e la construction de la restriction de Weil d’une vari´et´e alg´ebrique, on

explique comment construire explicitement l’application de transfert du logarithme discret avec la

technique GHS, dans le cas de la caract´eristique 2 [GHS02b] et de la caract´eristique impaire [Die03].

6.1 Restriction de Weil et recouvrement

6.1.1 D´efinition et propri´et´es

Soit _K une extension s´eparable de degr´e n d’un corps k. Par le proc´ed´e de restriction des

scalaires, on peut associer `a toute vari´et´e alg´ebrique V d´efinie sur _K de dimension d, une vari´et´e

alg´ebrique d´efinie sur k de dimension nd. La vari´et´e ainsi obtenue est appel´eerestriction de Weil

de V relativement `a l’extensionK/k et est not´eeW

_K/k

(V).

Lorsque la vari´et´eV est affine, on peut d´ecrire explicitement cette construction en utilisant les

coordonn´ees affines. SoitI l’id´eal de_K[X

₁

, . . . , X

_r

] tel queV =_V(I)⊂_K

r

, on notehf

₁

, . . . , f

_s

iune

famille de g´en´erateurs de cet id´eal. Soit{u

1

, . . . , u

n

}une base duk-espace vectorielK. On introduit

les variables X

i,j

telles que

∀i∈_J1;r_K, X

_i

=X

_i,1

u

₁

+. . .+X

_i,n

u

_n

.

En rempla¸cant X

_i

par cette expression dans les polynˆomesf

₁

, . . . , f

_s

, puis en r´ecup´erant les

coor-donn´ees des polynˆomes obtenus dans la base {u

1

, . . . , u

n

}, on obtient un syst`eme polynomial `a rn

variables et sn´equations d´efini sur k. La restriction de WeilW =W

_K/k

(V) de V est alors d´efinie

comme le sous-ensemble ferm´e de Zariski d´efini par ces ´equations. En particulier, il existe une

identification naturelle entre les points de V(K) et ceux de W(k), mais la topologie de Zariski sur

W(k) est plus fine que celle deV(_K). Pour obtenir la restriction de Weil d’une vari´et´e projective,

il est possible de faire une construction analogue dans les cartes affines deV, puis de “recoller” les

restrictions de Weil de chaque carte par les applications birationnelles de changement de cartes.

Dans le cas o`u l’extension <sub>K</sub>/k est galoisienne, on peut construire de fa¸con plus intrins`eque

la restriction de Weil. Pour tout k-automorphisme σ de _K, on d´efinit la vari´et´e V

^σ

, image de

V =V(f

1

, . . . , f

s

) par σ, par

V

^σ

=V(f

₁^σ

, . . . , f

_s^σ

)

o`u f

^σ

est le polynˆome obtenu `a partir de f en appliquantσ `a tous ses coefficients ; en particulier

σ(f(x)) = f

^σ

(σ(x)) et (V

^σ

)

^τ

= V

^τ◦σ

. Si P = (x

1

, . . . , x

r

) est un point de V, alors σ(P) =

(σ(x

1

), . . . , σ(x

r

)) est un point de V

^σ

. La restriction de Weil de V est alors la vari´et´e (a priori

d´efinie sur_K)

W

_K/k

(V) = ^Y

σ∈G

V

^σ

={(P

σ

)

σ∈G

:P

σ

∈V

^σ

}

o`u G= Gal(_K/k), munie de l’action “tordue” du groupe de Galois : soientP = (P

_σ

)

_σ∈G

un point

de W =W

_K/k

(V) et ¯τ ∈Gal(k/k), alors ¯τ(P) = (Q

σ

)

σ∈G

o`uQ

σ

= ¯τ(P

_τ−1◦σ

)∈V

^σ

etτ ∈Gest la

restriction de ¯τ `a_K. En particulier,W ´etant invariante par le groupe de Galois, elle est bien d´efinie

surk, et l’ensemble de ses points k-rationnels est

W(k) ={(σ(P))

_σ∈G

:P ∈V(_K)}

qui s’identifie naturellement `a V(K).

Propri´et´e 6.1.1. Soient V une vari´et´e alg´ebrique d´efinie sur _Kde dimension det W =W

_K/k

(V)

sa restriction de Weil relativement `a l’extension galoisienne _K/k. Alors

• W(k) =V(_K) et W(`) =V(L) pour toute extension alg´ebrique` de k telle que L=`_Ksoit

une extension de degr´en de `:

K

n

L=`_K

n

k `

• W(K) =Q

σ∈G

V

^σ

(K); on notepr la projection W(K)→V(K).

• (Propri´et´e universelle) Pour toute vari´et´eV

⁰

d´efinie surket tout_K-morphismeϕ:V

⁰

(_K)→

commute :

V

_|k^{0 ϕ}

//

ψ

V

_|K

W

_|k pr

O

O

• (Fonctorialit´e) Pour tout morphisme ϕ : V → V

⁰

de vari´et´es alg´ebriques d´efini sur _K, il

existe un morphisme ψ=W

_K/k

(ϕ) :W

_K/k

(V)→W

_K/k

(V

⁰

) d´efini surk tel que le diagramme

suivant commute :

V

|_K ϕ

//_V

0 |_K

W

_K/k

(V)

^ψ

//

pr

O

O

W

_K/k

(V

⁰

)

pr

O

O

et tel que W

_K/k

(ϕ◦ϕ

⁰

) =W

_K/k

(ϕ)◦W

_K/k

(ϕ

⁰

).

D´emonstration. Les deux premi`eres propri´et´es se lisent directement sur la description galoisienne

de W. Pour le troisi`eme point, on remarque que comme V

⁰

est d´efinie sur k,V

^0σ

=V

⁰

pour tout

σ ∈ G; en particulier, l’application ϕ

σ

obtenue en appliquant σ `a tous ses coefficients est un _K

-morphisme de V

⁰

dans V

^σ

. On pose doncψ(P) = (ϕ

^σ

(P))

σ∈G

; c’est un _K-morphisme de V

⁰

dans

W, qui commute avec tous les ´el´ements de G. Par cons´equent, ψ :V

⁰

→ W est en fait d´efini sur

k. Pour l’unicit´e, on note que si P ∈ V

⁰

(k), alors n´ecessairement ψ(P) = (σ(ϕ(P)))

_σ∈G

. Pour le

dernier point, `a chaque σ ∈ G, on peut associer le morphisme ϕ

^σ

: V

^σ

→ V

^0σ

; on pose alors

ψ((P

_σ

)

_σ∈G

) = (ϕ

^σ

(P

_σ

))

_σ∈G

, et on v´erifie que ψ est bien d´efini sur k.

L’avant-dernier point est en fait une propri´et´e universelle pouvant servir `a d´efinir la restriction

de Weil.

Dans le cas o`u V est une vari´et´e ab´elienne, l’identification naturelle des points de V(_K) et de

W(k) permet de transporter la loi de groupe. Comme la loi de groupe sur V est d´efinie par des

applications rationnelles r´eguli`eres, par fonctorialit´eW h´erite d’une structure de groupe alg´ebrique.

Propri´et´e 6.1.2. La restriction de Weil relativement `a l’extension galoisienne_K/k d’une vari´et´e

ab´elienne d´efinie surK est une vari´et´e ab´elienne d´efinie sur k.

6.1.2 Transfert du logarithme

SoientC une courbe de genreg≥1 d´efinie sur F

qn

(n >1) etA= Jac

C

(F

qn

) sa jacobienne, qui

est une vari´et´e ab´elienne de dimensiong. On s’int´eresse au probl`eme du logarithme discret surA:

soitD

₀

∈ Ad’ordre un grand nombre premier, ´etant donn´e un diviseurD∈ hD

₀

i, trouverdtel que

D= [d]D

₀

. Dans le but d’une attaque, on souhaite transf´erer ce probl`eme sur la jacobienne d’une

courbeC

⁰

d´efinie sur_F

q

. On propose `a cet effet deux m´ethodes : la premi`ere, bas´ee sur une approche

g´eom´etrique du probl`eme, consiste `a trouver une courbe de petit genre incluse dans la restriction

de Weil de Apuis `a construire un morphisme explicite entre les vari´et´es ab´eliennes donn´ees par la

jacobienne de cette courbe et la restriction deA; la deuxi`eme utilise l’existence d’un recouvrement

de la courbeCpar une courbeC

0

(que l’on obtient avec la th´eorie des corps de fonctions) pour faire

le transfert du DLP.

L’approche g´eom´etrique

On note W =W

_Fqn/Fq

(A) la restriction de Weil de A. Suivant [Fre98] et [GS99], d`es que l’on

se donne une courbe C

⁰

dans W, ou plus g´en´eralement une application r´eguli`ere ψ:C

⁰

→ W o`u C

⁰

est une courbe d´efinie sur _F

_q

, on peut transf´erer le DLP de la fa¸con suivante. Quitte `a composer

ψ par la translation par un ´el´ement de W, on peut supposer qu’il existe un point P

∞

∈ C

⁰

(_F

_q

)

tel que ψ(P

∞

) est l’´el´ement neutre de W. On consid`ere dans un premier temps le prolongement

naturel de ψ au produit sym´etrique C

0g

/S

_g

, qui au g-uplet non ordonn´e (P

₁

, . . . , P

_g

) associe le

point P

g

i=1

ψ(P

_i

), la somme ´etant prise pour la loi de groupe sur W induite par celle de A. Le

produit sym´etrique C

⁰g

/S

g

´etant birationnel `a la jacobienne de C

⁰

, on en d´eduit une application

r´eguli`ere ˜ψ : Jac

C0

(_F

_q

) → W(_F

_q

) [Mil86c]. Or, une propri´et´e fondamentale des vari´et´es ab´eliennes

est que toute application r´eguli`ere entre deux vari´et´es ab´eliennes envoyant l’´el´ement neutre sur

l’´el´ement neutre est aussi un morphisme de groupes [Mil86b] ; par cons´equent, ˜ψest un morphisme

de groupes de Jac

C0

(_F

_q

) versW(_F

_q

)' A(_F

_qn

). On peut alors tirer en arri`ere le DLP sur Jac

C0

(_F

_q

).

C

⁰

(_F

q

)

^ψ

//

 _

W(_F

q

)' A(_F

qn

)

Jac

C0

(_F

q

)

˜ ψ

6

6

Cette approche pr´esente deux difficult´es majeures. Premi`erement, pour que le DLP soit plus facile

`

a attaquer dans Jac

C0

(_F

_q

) que dans A(_F

_qn

), il faut que le genre deC

0

soit suffisamment petit. Une

id´ee naturelle est alors de chercher pour C

⁰

une courbe dans W(_F

_q

) de petit degr´e ; une fa¸con de

faire est d’intersecterW(_F

q

) parn−1 hyperplans (voir ci-dessous), mais mˆeme ainsi le genre obtenu

est en g´en´eral trop grand pour que le transfert soit int´eressant. La deuxi`eme difficult´e est li´ee au

calcul explicite d’ant´ec´edents deDetD

₀

par ˜ψ; cela revient `a ˆetre capable de d´ecomposerDetD

₀

en une somme d’au plusg points de l’imageψ(C

⁰

). Ce type de d´ecompositions, qui sera ´etudi´e plus

en d´etail dans le chapitre suivant, se ram`ene `a la r´esolution de syst`emes polynomiaux multivari´es.

Mais en pratique, ces syst`emes deviennent rapidement trop compliqu´es pour pouvoir ˆetre r´esolus,

ce qui limite la port´ee de cette approche.

On note que cette m´ethode s’applique `a toute vari´et´e ab´elienne, et qu’il n’est pas n´ecessaire de

se restreindre au cas o`uA est une vari´et´e jacobienne.

L’approche par recouvrement

Dans le cas o`u C est une courbe elliptique E, on a une identification naturelle entre la courbe

et sa jacobienne. D’apr`es la propri´et´e 6.1.1, il est alors ´equivalent de se donner un F

q

-morphisme

ψ : C

_|⁰

Fq

→ W

_Fqn/Fq

(E) ou de se donner un _F

qn

-morphisme π : C

_|⁰

Fq

(_F

qn

) → E(_F

qn

) ; on appelle

recouvrement de E un tel morphisme. Plus g´en´eralement, la donn´ee d’un recouvrement π :C

_|⁰

Fq

→

C

_|Fqn

permet de transf´erer efficacement le DLP de Jac

C

(F

qn

) dans Jac

C0

(F

q

). Pour cela, il suffit

de composer le tir´e en arri`ere π

^∗

: Jac

C

(_F

qn

) → Jac

C0

(_F

qn

) avec l’application trace Tr

_Fqn/Fq

:

Jac

C0

(_F

qn

)→Jac

C0

(_F

q

),D7→P

n−1 i=0

σ

ⁱ

(D).

C

0 π

Jac

C0

(_F

_qn

)

^Tr

//_Jac

_C0

(_F

_q

)

C Jac

C

(_F

_qn

)

π^∗

O

O 55

Cette application de transfert Tr◦π

^∗

appel´eeconorme-normedans [GHS02b], est facilement

calcu-lable si le degr´e deπ n’est pas trop gros. Pour que le transfert du DLP ait un int´erˆet, il faut d’une

part que le genre de la courbeC

0

soit suffisamment petit, et d’autre part que l’application

conorme-normepr´eserve un large sous-groupe d’ordre premier de Jac

C

(F

qn

), autrement dit que l’intersection

de ce sous-groupe avec le noyau de l’application soit triviale (un simple argument de cardinalit´e

impose alors g(C

0

) ≥ ng(C) dans la plupart des cas). G´en´eralement, cette derni`ere condition ne

pose pas de difficult´e ; par contre, la construction d’une courbeC

⁰

avec de bonnes propri´et´es reste

le principal obstacle.

Dans le document Attaques algébriques du problème du logarithme discret sur courbes elliptiques (Page 116-122)