Cas particulier des courbes elliptiques

Lorsque l’on recherche des relations sur une courbe elliptique d´efinie sur _F

qn

, on a tout int´erˆet

`

a utiliser les polynˆomes de sommation de Semaev pour simplifier les expressions polynomiales

obtenues. Ainsi lorsque l’on cherche une relation du type (7.4), autrement dit de la forme

R=±P

1

±P

2

±. . .±P

n

avec P

i

∈ F, (7.5)

on se ram`ene `a l’´equation ´equivalente

˜

f

_n+1

(e

₁

, . . . , e

_n

, x

_R

) = 0 (7.6)

o`u ˜f

n+1

∈_F

_qn

[X

1

, . . . , X

n+1

] est le (n+ 1)-i`eme polynˆome de sommation sym´etris´e, de degr´e total

2

ⁿ⁻¹

en les fonctions ´el´ementaires sym´etriquese

₁

, . . . , e

_n

des variablesx

_P1

, . . . , x

_Pn

. Les inconnues

e

₁

, . . . , e

_n

´etant dans_F

_q

, on obtient en triant (7.6) suivant les puissances det une expression de la

forme

n

X

i=0

ϕ

_i

(e

₁

, . . . , e

_n

)t

ⁱ

= 0,

o`u chacun des polynˆomesϕ

i

est `a coefficients dans_F

q

(d´ependants param´etriquement des

compo-santes de x

_R

). De cette restriction des scalaires, on d´eduit un syst`eme polynomial de degr´e total

2

ⁿ⁻¹

enn´equations etninconnues

ϕ

0

(e

1

, . . . , e

n

) = 0, ϕ

1

(e

1

, . . . , e

n

) = 0, . . . ϕ

n−1

(e

1

, . . . , e

n

) = 0. (7.7)

Une fois le (n+ 1)-i`eme polynˆome de Semaev calcul´e, ce syst`eme est donc facile `a ´ecrire mais

reste par contre difficile `a r´esoudre. Bien que le coˆut de la r´esolution soit d´elicat `a estimer, on

sait toutefois que la complexit´e du calcul est au moins polynomiale en le degr´e de l’id´eal z´

ero-dimensionnel correspondant ; or suivant l’analyse faite dans [Die11], on peut montrer que ce degr´e

est g´en´eriquement ´egal `a la borne de B´ezout 2

ⁿ⁽ⁿ⁻¹⁾

. En particulier, la recherche de relations devient

rapidement infaisable lorsque ncroˆıt, notamment d`es quen≥5.

Pour passer d’une solution de l’´equation (7.6) `a une relation de la forme (7.5), on doit d´eterminer

les solutions_F

_q

-rationnelles du polynˆome univari´eF(x) =x

n

−e

₁

x

n−1

+. . .+ (−1)

n

e

_n

, ce qui peut

se faire ais´ement en utilisant par exemple l’algorithme pr´esent´e en section 1.2.2. Lorsque F est

scind´e sur _F

_q

, il reste encore `a d´eterminer les points de F dont l’abscisse est solution de F, ainsi

que le signe `a apposer devant chacun de ces points pour obtenir une d´ecomposition de R. Le

coˆut de cette “d´esym´etrisation” reste n´egligeable compar´e au coˆut de la r´esolution des syst`emes

polynomiaux consid´er´es. On note cependant que lorsqueF est scind´e sur_F

q

, il est possible a priori

que certaines racines ne correspondent pas aux abscisses de points de F : c’est le cas notamment

lorsque l’ordonn´eeyest dans une extension quadratiqueF

(qn)2

mais pas dansF

qn

. N´eanmoins, tous

ces points sont dans le sous-groupeG

⁰

=ψ(E

⁰

(_F

qn

))⊂E(_F

_q2n

), o`uE

_|⁰

Fqn

est la tordue quadratique

deE etψest unF

q2n

-isomorphisme entreE

⁰

(F

q2n

) etE(F

q2n

) (cf. section 5.1.4). La d´ecomposition

de R est donc de la forme R = ±P

₁

±. . . ±P

_k

±P

_k+1

±. . .±P

_n

avec P

_i

∈ F si i ≤ k et

P

_i

∈G

⁰

si i > k; autrement dit on a R∓P

₁

∓. . .∓P

_k

=±P

_k+1

±. . .±P

_n

o`u le terme de gauche

est dans E(F

qn

) et le terme de droite est dans G

⁰

. Comme l’intersection de ces deux groupes est

r´eduite `a E(_F

_qn

)[2], on obtient en particulier une d´ecomposition en seulement n−k points d’un

point de 2-torsion deE(_F

_qn

). Bien que l’existence d’une telle d´ecomposition soit possible, elle reste

n´eanmoins tr`es improbable ; de fait, lorsque F est scind´e sur F

q

, on obtiendra en pratique toujours

une d´ecomposition dans F. On note que cette analyse est valable aussi bien en caract´eristique

impaire qu’en caract´eristique 2.

Analyse et complexit´e

Avant d’analyser la m´ethode, on s’assure que la base de factorisationF contient suffisamment de

points. D’un point de vue heuristique, il est assez clair que sa cardinalit´e est approximativementq/2,

on justifie ici rigoureusement cette analyse. L’objet g´eom´etrique correspondant `a F est la vari´et´e

projectiveC ={P ∈E(_F

qn

) :P = (x

P

, y

P

), x

P

∈_F

_q

} ∪ {O

_E

}, contenue dans la restriction de Weil

W =W

_Fqn/Fq

(E) deE relativement `a l’extension_F

_qn

/_F

_q

; il s’agit pr´ecis´ement de l’intersection de

W par des hyperplans que l’on consid`ere dans l’attaque GHS (voir section 6.2.1). Il est relativement

ais´e de d´eterminer que Cest une courbe (i.e. est irr´eductible) quand le nombre magiquemest ´egal

`

an, et de borner son genre grˆace `a la formule (6.4) ou (6.6) ; on pourra alors donner une estim´ee de

sa cardinalit´e grˆace `a la borne de Hasse. Suivant l’approche de Diem, on va supposer que la courbe

elliptiqueE satisfait la condition suivante, qui est une reformulation de la condition 2.7 de [Die11]

et implique directement que m=n:

Condition 7.2.2. Soit σ la fonction d’exponentiation par q. Il existe un point P ∈ E(F

qn

) de

2-torsion tel que pour tout 1 ≤ i ≤ n, σ

ⁱ

(x

_P

) 6= x

_P

et σ

ⁱ

(x

_P

) n’est pas l’abscisse d’un point de

2-torsion de E.

Rigoureusement parlant, cette condition porte sur l’´equation de Weierstrass de E et non sur

la courbe elle-mˆeme. Diem montre qu’il est toujours possible de trouver une ´equation de E pour

laquelle cette condition est satisfaite, et on suppose dans la suite que l’´equation deE choisie v´erifie

la condition 7.2.2. Le nombre de points deC est alors plus grand queq+ 1−n2

ⁿ⁺²

(^√q−1) ; d`es

que n ≤clog

₂

q o`u c <1/2, ce nombre est plus grand que q/2 pour q suffisamment grand. On a

donc la proposition suivante :

Proposition 7.2.3. Pour tout > 0, il existe une constante C > 0 telle que pour tout q > C et

tout n <(1/2−) log

₂

q, la base de factorisationF associ´ee `a une courbe elliptique d´efinie sur _F

_qn

satisfaisant la condition 7.2.2 contient plus deq/4 ´el´ements.

On note cependant que mˆeme lorsque n >log

₂

(q)/2, la base de factorisation F peut avoir un

nombre de points de l’ordre de q. En effet, les valeurs possibles pour la cardinalit´e d’une courbe

irr´eductible d´efinie sur _F

q

´etant principalement concentr´ees autour de q+ 1, il paraˆıt peu probable

qu’aucune des ´equations repr´esentant une courbe elliptique E

_|Fqn

donn´ee ne procure une base de

factorisation admettant suffisamment d’´el´ements.

Durant la premi`ere ´etape de la m´ethode de Gaudry et Diem, on doit collecter de l’ordre de

#F 'q/2 relations de la forme (7.5). Le (n+1)-i`eme polynˆome de sommation peut ˆetre calcul´e une

fois pour toute en Poly(e

⁽ⁿ⁺¹⁾²

log

₂

q) op´erations [Die11], et sa sym´etrisation s’obtient facilement

en calculant des bases de Gr¨obner pour un ordre d’´elimination (voir section 7.1.2). La probabilit´e

de d´ecomposition d’un point R∈E(_F

qn

) est heuristiquement en

#C

n

/S

n

#E(_F

_qn

) ^'

q

ⁿ

n!

1

q

n

= ¹

n!^;

cette approximation peut ˆetre justifi´ee rigoureusement en utilisant la th´eorie de l’intersection, voir

encore [Die11]. Le coˆut du test de d´ecomposition d’un point R en somme de n points de la base

de factorisation, not´e c(n, q), correspond au coˆut de la r´esolution d’un syst`eme polynomial en n

´

equations et nvariables, d´efini sur_F

_q

et de degr´e total 2

ⁿ⁻¹

. Comme on a besoin d’au moins #F

relations, le coˆut total de la phase de recherche de relations est

n!c(n, q)#F 'n!c(n, q)q/2.

L’estimation dec(n, q) n’est pas ´evidente dans la mesure o`u le coˆut de la r´esolution du syst`eme

polynomial d´epend de la m´ethode utilis´ee. La technique standard consiste `a calculer une base de

Gr¨obner pour l’ordre lexicographique de l’id´eal correspondant. On rappelle (voir section 1.2.1) que

la base de Gr¨obner attendue pour l’ordre lexicographique est de la forme :

{X

1

−g

1

(X

n

), . . . , X

n−1

−g

n−1

(X

n

), g

n

(X

n

)},

o`ug

n

est un polynˆome univari´e de degr´e ´egal au degr´e de l’id´eal, etg

1

, . . . , g

n−1

sont des polynˆomes

univari´es de degr´e strictement inf´erieur. Il devient alors facile de d´eterminer les solutions du syst`eme

correspondant en utilisant par exemple l’algorithme donn´e en section 1.2.2. Comme expliqu´e en

section 2.5, plutˆot que de faire un calcul direct tr`es coˆuteux de la base de Gr¨obner pour l’ordre

lexicographique, une strat´egie efficace consiste `a d’abord calculer une base de Gr¨obner pour l’ordre

grevlex puis `a faire un changement d’ordre. Dans la mesure o`u le nombre de syst`emes `a r´esoudre de la

forme (7.7) est important (de l’ordre den!q/2) et o`u les id´eaux correspondants sont g´en´eriquement

z´ero-dimensionnels, on a tout int´erˆet `a utiliser la variante de F4 pr´esent´ee en chapitre 3 pour faire

le calcul pour l’ordre grevlex, puis `a appliquer l’algorithme de changement d’ordre FGLM. Pour

d´eterminer une borne sup´erieure sur la complexit´e du calcul de la base de Gr¨obner pour l’ordre

grevlex du syst`eme z´ero-dimensionnel {ϕ

0

, . . . , ϕ

n−1

}, on peut utiliser les estim´ees donn´ees en

section 3.2.6. Si l’on fait l’hypoth`ese raisonnable que le syst`eme est r´egulier, le degr´e de r´egularit´e

du syst`eme homog´en´eis´e est plus petit que la borne de Macaulay d = P

n−1

i=0

(degϕ

_i

−1) + 1 =

n2

ⁿ⁻¹

−n+1, les polynˆomesϕ

i

´etant tous de degr´e 2

ⁿ⁻¹

. La complexit´e du calcul avec la variante F4

est ainsi major´ee par ˜O

ⁿ²ⁿ⁻_n¹⁺¹

ω

, o`u ω est l’exposant intervenant dans la complexit´e effective

du produit matriciel. Comme n est n´egligeable compar´e `a n2

ⁿ⁻¹

+ 1, en utilisant la formule de

Stirling, on obtient :

n2

ⁿ⁻¹

+ 1

n

∼ ⁽ⁿ²

n−1

)

ⁿ

n! ^∼2

n(n−1)

e

ⁿ

(2πn)

^−1/2

.

La complexit´e du calcul de la base de Gr¨obner pour l’ordre grevlex est donc ˜O 2

ⁿ⁽ⁿ⁻¹⁾

e

ⁿ

n

^−1/2

ω

.

En utilisant les estim´ees pr´ecises de la complexit´e de FGLM donn´ees en section 2.5.2 et le fait que

les id´eaux des syst`emes consid´er´es sont g´en´eriquement de degr´e 2

ⁿ⁽ⁿ⁻¹⁾

, on obtient une complexit´e

pour le changement d’ordre en ˜O(n2

^3n(n−1)

), qui reste le coˆut dominant du calcul de la base de

Gr¨obner pour l’ordre lex lorsqueω <3. En particulier, on a l’estimation suivante

La deuxi`eme ´etape de r´esolution des logarithmes discrets peut se faire avec des techniques

d’alg`ebre lin´eaire creuse (voir section 4.3.1) ; la complexit´e du calcul est alors en ˜O(nq

²

) op´erations

dans_Z/r_Z, o`urest l’ordre du pointP base du logarithme discret. Cette phase est donc dominante

d’un point de vue temps de calcul `an fix´e et q → ∞.

Afin d’am´eliorer la complexit´e asymptotique de l’algorithme, Gaudry propose d’´equilibrer le

coˆut de la construction de la matrice avec celui de l’alg`ebre lin´eaire, en utilisant les techniques

“large primes” pr´esent´ees en section 4.3.2 et 5.4.2 : la taille asymptotiquement optimale pour la

base des petits diviseurs est en q

^1−1/n

. On doit alors obtenir de l’ordre de q

^2−2/n

relations au lieu

deq, et le coˆut de la premi`ere ´etape de l’algorithme devientn!c(n, q)q

^2−2/n

. Par opposition, le coˆut

de l’alg`ebre lin´eaire se r´eduit ainsi `a ˜O(n q

^2−2/n

), ce qui devient n´egligeable par rapport au coˆut

de l’´etape pr´ec´edente. Finalement, le coˆut total de la r´esolution du DLP sur une courbe elliptique

d´efinie sur _F

_qn

, `a n fix´e, est en ˜O(q

^2−2/n

) lorsque q → ∞. D`es que n >2, cette attaque est donc

asymptotiquement plus performante que les attaques g´en´eriques dont la complexit´e est en ˜O(q

n/2

).

On note cependant que la constante cach´ee croˆıt de fa¸con super-exponentielle avecn. Une estim´ee

compl`ete de la complexit´e obtenue est donn´ee par

˜

O(n! 2

^3n(n−1)

q

^2−2/n

).

On remarque aussi que bien que la parall´elisation de la phase de recherche de relations soit

imm´ediate, elle est beaucoup plus difficile `a mettre en place pour l’alg`ebre lin´eaire. En

particu-lier, le choix optimal de la taille de la base de factorisation devrait d´ependre en pratique non

seulement de l’implantation choisie mais aussi de la puissance de calcul disponible.

Dans le document Attaques algébriques du problème du logarithme discret sur courbes elliptiques (Page 146-149)