Caract´ eristique 2

/Jac

C0

(_F

_qd

)

Tr_F qd^/Fq

//Jac

C0

(_F

_q

)

Jac

H

(_F

_qn

)

π^∗

O

O

Tr_F qn /F_qd

/

/Jac

H

(_F

_qd

)

π^∗

O

O

Dans le cas contraire, le noyau de l’application de transfert ne comprend que des ´el´ements

d’ordre une puissance de 2, et donc ne peut pas contenir un sous-groupe d’ordre premier grand.

Proposition 6.2.3 ([Die03, Hes04]). On suppose que m = m et que σ se prolonge en un

auto-morphisme d’ordre n de F

⁰

. Si pour tout 1≤ i≤n−1, σ

ⁱ

(_F

_qn

(H)) 6=_F

_qn

(H), alors le noyau de

l’application conorme-norme est inclus dans Jac

_Fqn

(H)[2

^m−1

].

Il est `a noter toutefois que mˆeme si H est d´efinie sur un sous-corps, il est possible de faire

fonctionner l’attaque GHS en choisissant pourHune ´equation `a coefficients dans _F

_qn

et non dans

un sous-corps.

6.2.2 Caract´eristique 2

On commence par donner un encadrement des valeurs possibles du genre de la courbeC

⁰

obtenue

par l’attaque GHS, montrant que ce genre est n´ecessairement exponentiel en le “nombre magique”

m :

Proposition 6.2.4 ([Hes03, Th. 2]). On suppose que m ≥ 2 et que F

⁰

admet pour corps de

constantes_F

_qn

. Alors

2

^m−2

g(H) + 1≤g(F

⁰

)≤n(2

^m

−1)g(H).

Afin d’estimer plus pr´ecis´ement le genre de la courbe C

⁰

obtenue, on va expliciterm (resp.m).

On utilise `a cet effet la th´eorie des extensions d’Artin-Schreier. Quitte `a faire le changement de

variables y7→y/h

0

(x) dans (6.1), on se ram`ene `a une ´equation pourHde la formey

²

+y=h(x),

o`u h∈_F

_qn

(x).

On note ℘:f 7→f

²

+f l’op´erateur d’Artin-Schreier agissant sur le corps de fonctions_F

_qn

(x),

resp. F

q

(x), et on consid`ere le F

2

-espace vectoriel d´efini par P = F

qn

(x)/℘(F

qn

(x)) obtenu en

quotientant le corps des fonctions rationnelles par l’image de ℘, resp. P = _F

q

(x)/℘(_F

q

(x)). La

th´eorie d’Artin-Schreier permet de montrer (voir [GHS02b, Lemme 6]) que m est la dimension du

F

2

-sous-espace vectorielU ⊂ P engendr´e par les classes dansP deh, h

^σ

, . . . , h

^σn−1

, resp.mest celle

du sous-espace U ⊂ P correspondant. De plus, il existe une correspondance entre les extensions

interm´ediaires_F

_qn

(x)⊂H ⊂F

⁰

avec [H:_F

_qn

(x)] = 2

^d

et les_F

₂

-sous-espaces vectorielsU

⁰

deU de

dimensiond, donn´ee parH =_F

_qn

(x)(℘

⁻1

(V

⁰

)) o`u V

⁰

est un ensemble de repr´esentants deU

⁰

dans

F

qn

(x).

Le _F

₂

-espace vectoriel P, resp. P, poss`ede une structure suppl´ementaire de _F

₂

[t]-module, o`u

l’action d’un polynˆome de _F

₂

[t] sur un ´el´ement de P, resp. P, provient de l’action sur _F

_qn

(x)

donn´ee par (P

a

i

t

ⁱ

)·f(x) =P

a

i

f

^σi

(x). Il est alors naturel de s’int´eresser `a l’id´eal

I

_h

={P ∈_F

₂

[t] :P·h(x)∈℘(_F

qn

(x))}.

Le polynˆome minimalM

_h

de cet id´eal est de degr´e exactementmet v´erifieM

_h

|(t

ⁿ

+ 1) ; de plus, on

a un isomorphisme entreU etF

2

[t]/hM

h

i. Similairement, on trouve quemest le degr´e du polynˆome

M

_h

minimal tel que P ·h(x)∈℘(_F

q

(x)), etM

_h

divise n´ecessairementM

_h

.

Proposition 6.2.5 ([GS91]). Sous l’hypoth`ese que F

⁰

admet pour corps de constantes_F

_qn

, on a

g(F

⁰

) =

2m−1

X

i=1

g(F

i

),

o`u les F

_i

sont les corps interm´ediaires _F

_qn

(x)⊂F

_i

⊂F

⁰

tels que [F

_i

:_F

_qn

(x)] = 2.

Par la th´eorie d’Artin-Schreier, les F

_i

sont en correspondance avec les ´el´ements non nuls de

U '_F

₂

[t]/hM

h

i, et sont tous de la forme_F

qn

(x, z) o`uz

²

+z=P·hetP ∈_F

₂

[t]/hM

h

i. Connaissant

h etm, on peut alors en d´eduire le genre de F

⁰

.

Le fait queM

_h

diviset

ⁿ

+1 limite les valeurs possibles dem, et permet dans certains cas d’obtenir

une borne inf´erieure sur le genre deF

⁰

ne d´ependant que den. Par exemple, pournpremier impair,

en introduisant la d´ecomposition en facteurs irr´eductiblesQ

i

Φ

_n,i

dun-i`eme polynˆome cyclotomique

Φ

_n

, on a

t

ⁿ

+ 1 = (t+ 1)Φ

n

(t) = (t+ 1)^Y

i

Φ

n,i

(t).

Soit d

_n,i

le degr´e de Φ

_n,i

. Siζ est une racine de Φ

_n,i

, elle engendre le corps _F

_2dn,i

sur_F

₂

etd

_n,i

est

donc le plus petit entier d tel que σ

₂d

(ζ) = ζ

^2d

=ζ. Comme ζ est une racine primitive n-i`eme de

l’unit´e, on a ζ

^2d

=ζ si et seulement si 2

^d

= 1 modn; on obtient ainsi que le degr´e de chacun des

Φ

_n,i

est l’ordre de 2 dans (_Z/n_Z)

^∗

, not´e ϕ

₂

(n). Si Hn’est pas d´efinie sur _F

_q

, ceci implique que m

est de la forme kϕ

₂

(n) ou kϕ

₂

(n) + 1, avec k ∈_N

∗

. Or les valeurs de n pour lesquelles ϕ

₂

(n) est

petit sont relativement rares (tels les nombres de Mersenne ou les nombres de Fermat qui donnent

la valeur quasi-optimale pour m). En particulier, il n’y a qu’un nombre restreint de valeurs de n

pour lesquelles l’attaque GHS peut ˆetre efficace.

Il reste enfin `a d´eterminer l’´equation de C

⁰

, autrement dit ˜y tel que F =F

q

(x,y). Ceci impose˜

que F

⁰

= _F

qn

(x, y

0

, . . . , y

m−1

) =_F

qn

(x,y) et donc que le polynˆ˜ ome minimal de ˜y sur _F

qn

(x) (qui

est aussi le polynˆome minimal de ˜ysur_F

_q

(x)) soit de degr´e 2

^m

. Une possibilit´e est de prendre alors

pour ˜y :

˜

y=

n−1

X

i=0

σ

ⁱ

(θ)y

i

, avec{θ, σ(θ), . . . , σ

ⁿ⁻¹

(θ)}base normale deF

qn

.

On v´erifie alors sans difficult´e queσ(˜y) = ˜y(donc ˜y∈F). De plus #{τ(˜y) :τ ∈Gal(F

⁰

/F

qn

(x))}=

2

^m

= #Gal(F

⁰

/_F

qn

(x)) ; en effetτ(˜y) =P

n−1

i=0

σ

ⁱ

(θ)τ(y

i

) = ˜y+P

n−1

i=0

σ

ⁱ

(θ)(τ(y

i

)+y

i

) o`uτ(y

i

)+y

i

∈

F

2

, et τ(˜y) = ˜y si et seulement si τ(y

_i

) = y

_i

pour tout i, i.e. si et seulement si τ = Id. Le

polynˆome minimal de ˜y sur F

qn

(x) est ainsi ´egal `a Q

τ∈

Gal

(F0/_Fqn(x))

(T −τ(˜y)), de degr´e 2

^m

, et

fournit une ´equation de la courbe C

0

d´efinie sur _F

_q

. Pour trouver l’application de recouvrement

π : C

⁰

(F

qn

) → E(F

qn

), il faut exprimer y = y

0

en fonction de ˜y; cela peut se faire en calculant

la base de Gr¨obner pour un ordre d’´elimination de l’id´eal de _F

_qn

(x)[y

₀

, . . . , y

_n

,y] contenant les˜

´

Cas des courbes elliptiques

Soit E une courbe elliptique ordinaire d´efinie sur _F

_qn

(o`u q = 2

d

), d’´equation y

2

+xy =

x

³

+ax

²

+b. En rempla¸cant y par yx+^√b puis en divisant parx

²

, on obtient une ´equation de la

forme Artin-Schreiery

²

+y =x+a+^√b/x. Une forme plus g´en´erale est obtenue par un changement

de variablex7→λx,λ∈_F

_qn

, on a alors

E: y

²

+y=h(x) o`u h(x) =βx+α+γ/x. (6.3)

Un argument simple sur le degr´e montre que si P ∈_F

₂

[t] est tel queP·h=℘(f) pour un certain

f ∈_F

_qn

(x) ou_F

_q

(x), alors n´ecessairementP·β=P·γ = 0. R´eciproquement, si P·β =P ·γ = 0,

alorsP·h=P·α∈℘(_F

q

(x)) carP·α∈_F

_qn

⊂℘(_F

q

). On introduit alors les polynˆomes minimaux

M

_γ

et M

_β

des id´eaux {P : P ·γ = 0} et {P : P ·β = 0} de _F

₂

[t] ; on vient de montrer que

M

_h

=ppcm(M

_β

, M

_γ

). Pour d´eterminerM

_h

, on note que si Tr

_Fqn/F2

(α) = 0, alors P·αest toujours

dans℘(_F

qn

) ; si Tr

_Fqn/F2

(α) = 1, alorsP ·α∈℘(_F

qn

) si et seulement si (t+ 1)|P. Par cons´equent,

M

_h

=

(

ppcm(M

_β

, M

_γ

) si Tr

_Fqn/F2

(α) = 0,

ppcm(M

_β

, M

γ

, t+ 1) sinon.

En particulier, on am=msi et seulement si Tr

_Fqn/F2

(α) = 0 ou (t+ 1)|M

h

. Sinest impair, ceci

peut se reformuler en

m=m⇔Tr

_Fqn/F2

(α) = 0 ou Tr

_Fqn/Fq

(β)6= 0 ou Tr

_Fqn/Fq

(γ)6= 0.

Dans la suite, on suppose que m = m. Pour calculer le genre, on applique la Proposition 6.2.5.

Chacun des corpsF

_i

apparaissant dans la formule a une ´equation de la forme z

²

+z= (P

_i

·β)x+

P

_i

·α+ (P

_i

·γ)/xo`u P

_i

est de degr´e inf´erieur `a celui M

_h

. Le genre deF

_i

vaut 1 sauf si P

_i

·β = 0

ou P

i

·γ = 0, i.e. siM

β

|P

i

ou M

γ

|P

i

(commeM

h

=M

h

=ppcm(M

β

, M

γ

), on ne peut pas avoir les

deux conditions simultan´ement). On trouve alors que le genre de F

⁰

est

g(F

⁰

) = 2

^m

−1−(2

^m−degMβ

−1 + 2

^m−degMγ

−1) = 2

^m

−2

^m−degMβ

−2

^m−degMγ

+ 1. (6.4)

Lorsqueγ ∈_F

_q

ouβ ∈_F

_q

, il est facile de d´emontrer queC

⁰

est un recouvrement hyperelliptique.

Supposons par exemple que γ ∈_F

_q

(le raisonnement est identique lorsque β ∈ _F

_q

). CommeF

⁰

=

F

qn

(x, y

₀

, . . . , y

_m−1

) o`u les fonctions y

_i

v´erifient les ´equations suivantes















y

₀²

+y

₀

=βx+α+γ/x

..

.

y

_m²₋₁

+y

m−1

=σ

^m−1

(β)x+σ

^m−1

(α) +γ/x,

en posant z

_i

=y

_i

+y

₀

, on obtient le syst`eme d’´equations ´equivalent























y

₀²

+y

0

=βx+α+γ/x

z

₁²

+z

1

= (β+σ(β))x+α+σ(α)

..

.

z

_m²₋₁

+z

_m−1

= (β+σ

^m−1

(β))x+α+σ

^m−1

(α),

et F

⁰

= _F

_qn

(x, z

₁

, . . . , z

_m−1

)(y

₀

). Par cons´equent, F

⁰

est une extension de degr´e 2 du corps de

fonctions _F

_qn

(x, z

₁

, . . . , z

_m−1

) de genre 0 ;F

⁰

est donc un corps hyperelliptique.

Ainsi en caract´eristique 2, on peut toujours se ramener, quitte `a faire un changement de variable,

`

a un recouvrement hyperelliptique. Mais bien entendu, ce recouvrement ne sera pas n´ecessairement

celui pour lequel la valeur du nombre magique m sera minimal.

Exemple 6.2.6. On consid`ere la courbe elliptique d´efinie sur F

27

'_F

₂

(θ) o`u θ

⁷

+θ

⁶

+ 1 = 0 (de

telle sorte que θ engendre une base normale de _F

₂7

) d’´equation

E: y

²

+xy=x

³

+ (θ

²

+ 1).

En rempla¸cant y par yx+^√θ

2

+ 1, on obtient l’´equation sous forme d’Artin-Schreier

E: y

²

+y=x+ (θ+ 1)/x.

La d´ecomposition en facteurs irr´eductibles de X

⁷

+ 1 est (X + 1)(X

³

+X

²

+ 1)(X

³

+X + 1),

et l’ordre de 2 modulo 7 est ϕ

₂

(7) = 3, donc les valeurs possibles pour m sont 3,4,6 ou 7. Les

polynˆomes minimaux de β = 1 et γ = θ + 1 sont alors M

_β

= X + 1 et M

γ

= P

6

i=0

X

ⁱ

, en

particulier M

_h

= X

⁷

+ 1. Par cons´equent le genre du recouvrement obtenu par la m´ethode GHS

est g = 2

7

−2

6

−2 + 1 = 63. En posant y˜ = θy

₀

+θ

2

y

₁

+· · ·+θ

64

y

₆

, o`u y

_i

v´erifie l’´equation

y

_i²

+y

i

= x+ (θ

²ⁱ

+ 1)/x, on trouve qu’une ´equation de C

⁰

, donn´ee par le polynˆome minimal

Q

τ∈

Gal

(F0/_F27(x))

(T −τ(˜y)), est

x

¹⁶

(˜y

¹²⁸

+ ˜y) =x

⁸⁰

+x

⁴⁸

+x

³²

+x

²⁴

+x

²⁰

+x

¹⁸

+x

¹⁷

+x

⁸

+ 1.

Cependant cette ´equation masque le fait que la courbe C

0

est hyperelliptique puisque β ∈ _F

₂

. Le

sous-corps L

⁰

de genre 0 et d’indice 2 de F

⁰

est F

27

(x, z

1

, . . . , z

6

) o`uz

i

=y

i

+y

0

v´erifie l’´equation

z

_i²

+z

i

= (θ

²ⁱ

+θ)/x. On montre que L

⁰

=_F

₂7

(x, w) = _F

₂7

(w) o`u w est une racine du polynˆome

X

⁶⁴

+X

³²

+· · ·+X

²

+X+ 1/x∈_F

₂7

(x)[X], et que F

⁰

=_F

₂7

(w,y), o`¯ u y¯=y

₀

+· · ·+y

₆

v´erifie

¯

y

²

+ ¯y=x; une ´equation de C

⁰

est donc

¯

y

²

+ ¯y =

6

X

i=0

w

²ⁱ

!

−1

,

qui se ram`ene `a un changement de variables pr`es `a l’´equation ´equivalente

¯

y

²

+ (

6

X

i=0

w

²ⁱ

)¯y=

6

X

i=0

w

²ⁱ

.

En rempla¸cantx par (θ

⁵

+θ

⁴

)x, on obtient une nouvelle ´equation d’Artin-Schreier pour E :

E: y

²

+y= (θ

⁵

+θ

⁴

)x+ (θ

³

+θ

²

)/x.

Pour cette ´equation, les polynˆomes minimaux de β = θ

⁵

+θ

⁴

et γ = θ

³

+θ

²

sont M

β

= M

γ

=

X

³

+X+ 1, en particulier M

_h

=M

_h

=X

³

+X+ 1 (puisque α= 0) etm=m= 3. Pour trouver

l’´equation de la courbe C

0

d´efinie sur _F

₂

de genre 2

³

−2

⁰

−2

⁰

+ 1 = 7qui recouvre E, on consid`ere

encore y˜=θy

₀

+θ

2

y

₁

+· · ·+θ

64

y

₆

; la courbeC

⁰

(qui n’est pas hyperelliptique) est alors donn´ee par

x

²

(˜y

⁸

+ ˜y

⁴

+ ˜y) =x

⁶

+ 1.

Sur cet exemple, on voit que le choix de l’´equation de E a des grandes r´epercussions sur le type de

revˆetement obtenu.

Dans le document Attaques algébriques du problème du logarithme discret sur courbes elliptiques (Page 125-129)