D´ efinitions et propri´ et´ es g´ en´ erales

D´efinition 2.22. Soit K un corps de caract´eristique 2 et soit d1, d2 deux ´el´ements

de K tels que d1 6= 0 et d2 6= d21 + d1. Nous d´efinissons alors la courbe binaire

d’Edwards Ed1,d2 comme ´etant la courbe affine d´efinie par :

Ed1,d2 : d1(x + y) + d2(x

2_{+ y}2_{) = xy + xy(x + y) + x}2_y2

De cette d´efinition, nous observons que la courbe est sym´etrique en x et y. Le th´eor`eme ci-dessous donne un r´esultat int´eressant dans le cadre d’application cryptographique des BEC.

Th´eor`eme 2.23 (Non-singuli`ere). Toutes les courbes binaires d’Edwards sont non-singuli`eres.

D´emonstration. Pour montrer que la courbe donn´ee par la d´efinition 2.22 n’est pas singuli`ere pour tout d1 et d2 tels que d1 6= 0 et d2 6= d21+ d1, il faut montrer que les

d´eriv´ees partielles en x et y de cette courbe ne s’annulent pas simultan´ement. Les d´eriv´ees partielles en x puis en y de Ed1,d2 sont ´egales `a d1 + y + y

2 _et

d1+ x + x2. Dans ce cas, un point singulier (x1, y1) devra v´erifier que d1+ y1+ y21 = 0

et d1+ x1+ x21 = 0, et donc que (x1+ y1)2 = x1+ y1 ce qui implique que x1 = y1 ou

que x1 = y1+ 1.

• Si x1 = y1, alors `a partir de l’´equation de la d´efinition 2.22, nous avons 0 =

x2₁ + x4₁ et donc que d2₁ = x2₁+ x4₁ = 0, ce qui est impossible vu la condition que d1 6= 0.

• Si x1 = y1+ 1, alors d1+ d2 = y21 + y14 et donc d1 = y21 + y14 = d1+ d2, ce qui

La clˆoture alg´ebrique de Ed1,d2 est donn´ee par :

d1(X + Y )Z3+ d2(X2+ Y2)Z2 = XY Z2+ XY (X + Y )Z + X2Y2

Les deux points `a l’infini : (1 : 0 : 0) et (0 : 1 : 0) sont des points singuliers. Pour ´

eviter ces singularit´es nous pouvons ´etudier le cas du point (1 : 0 : 0) et par sym´etrie nous pouvons nous ramener au point (0 : 1 : 0). Nous consid´erons alors la courbe affine d1(1 + y)z3+ d2(1 + y2)z2 = xyz2+ xy(x + y)z + x2y2. Les d´eriv´ees partielles

d1z3+ z2+ z et d1(1 + y)z2+ y(1 + y) s’annulent simultan´ement en (0, 0) ce qui nous

donne effectivement une singularit´e en ce point. Pour ´eviter cette singularit´e nous pouvons poser y = tz et en divisant par z2 _{nous obtenons la courbe :}

d1(1 + tz)z + d2(1 + t2z2) = tz + t(1 + tz) + t2

En substituant z par z´ero nous obtenons alors l’´equation d2 + t + t2 = 0 qui

admet deux racines distinctes dans la clˆoture alg´ebrique de K, qui sont exactement les points (1 : 0 : 0) et (0 : 1 : 0). Ainsi, ces deux points ne sont pas singuliers tant que la d´eriv´ee partielle d1z2+ z + 1 ne s’annule pas si z = 0. Cette mani`ere d’´eviter

une singularit´e aux points (1 : 0 : 0) et (0 : 1 : 0) est d´efinie sur la plus petite extension de K dans laquelle d2+ t + t2 = 0 admet ses racines.

Une propri´et´e importante de ce mod`ele de courbe est son ´equivalence biration- nelle avec le mod`ele de Weierstrass. Cette propri´et´e permet donc de passer d’un mod`ele `a l’autre et ainsi garantir une compatibilit´e des protocoles cryptographiques bas´es sur les BEC avec ceux bas´es sur le mod`ele de Weierstrass. Ainsi, le mod`ele de BEC donn´ee par la d´efinition 2.22 est birationnel `a la courbe de Weierstrass donn´ee par :

v2+ uv = u3+ a2u2+ a6

avec a6 6= 0. Nous pouvons d´efinir cette application Φ(x, y) → (u, v) par

u = d1(d21+ d1+ d2)  x + y xy + d1(x + y)  (2.11) v = d1(d21+ d1+ d2)  x xy + d1(x + y) + d1+ 1  (2.12) De plus la courbe de Weierstrass associ´ee est donn´ee par :

v2+ uv = u3+ (d2₁ + d2)u2+ d41(d 4 1+ d 2 1+ d 2 2) (2.13)

Il s’en suit que le j-invariant de la courbe est 1/(d4

1(d41+ d21+ d22)) et que l’appli-

cation inverse ϕ−1(u, v) → (x, y) de ϕ est donn´ee par les formules suivantes : x = d1(u + d 2 1+ d1+ d2) u + v + (d2 1+ d1)(d21+ d1+ d2) (2.14) y = d1(u + d 2 1+ d1+ d2) v + (d2₁+ d1)(d21+ d1+ d2) (2.15) Pour que ces deux applications ϕ et ϕ−1 soient pleinement d´efinies pour tous les points de la courbe Ed1,d2 nous devons les ´etendre au point (0, 0) de la mani`ere

suivante :

ϕ(0, 0) → O, ϕ−1(O) → (0, 0)

+ (0, 0) (1, 0) (0, 1) (1, 1) (0, 0) (0, 0) (1, 0) (0, 1) (1, 1) (1, 0) (1, 0) (1, 1) (0, 0) (0, 1) (0, 1) (0, 1) (0, 0) (1, 1) (1, 0) (1, 1) (1, 1) (0, 1) (1, 0) (0, 0)

Table 2.3 – Table d’addition du sous-groupe d’ordre 4 g´en´er´e par (1, 0) sur une courbe binaire d’Edwards avec d1 = d2

Loi de groupe

Le mod`ele de courbes elliptiques binaires d’Edwards admet aussi une loi de com- position interne qui permet de donner une structure de groupe `a l’ensemble des points de la courbe elliptique Ed1,d2. Nous pouvons alors d´efinir l’addition entre

deux points P = (x1, y1) et Q = (x2, y2), donnant le point R = (x3, y3), par :

x3 = d1(x1+ x2) + d2(x1+ y1)(x2+ y2) + (x1+ x21)(x2(y1+ y2 + 1) + y1y2)) d1+ (x1+ x21)(x2+ y2) (2.16) y3 = d1(y1+ y2) + d2(x1+ y1)(x2+ y2) + (y1+ y12)(y2(x1+ x2+ 1) + x1x2)) d1 + (y1+ y12)(x2+ y2) (2.17) En posant (x1, y1) = (0, 0) ou (x2, y2) = (0, 0), il s’en suit que le point (0, 0)

est l’´el´ement neutre de cette loi de groupe. De mˆeme nous avons (x1, y1) + (1, 1) =

(x1+ 1, y1+ 1) ce qui nous donne que (1, 1) + (1, 1) = (0, 0). Ainsi, le point (1, 1)

est un point d’ordre deux.

Dans le cas particulier o`u d1 = d2 nous avons qu’un seul param`etre d pour

d´efinir la courbe binaire d’Edwards, nous avons alors la condition que pour t dans K : d 6= t2+ t. Les formules de la loi de groupe donnent 2(1, 0) = (1, 1) et 2(0, 1) = (1, 1), les points (1, 0) et (0, 1) sont donc des points d’ordre 4. La table 2.3 d´etaille la loi d’addition dans le sous-groupe d’ordre 4 form´e par les points : (0, 0), (1, 0), (0, 1) e (1, 1). Ainsi, quel que soit le param`etre d de Ed, ce sous-groupe d’ordre 4 sera

pr´esent et donc le cardinal d’une courbe binaire d’Edwards avec d1 = d2sera toujours

divisible par quatre. Cette loi de groupe poss`ede certaines propri´et´es int´eressantes. Proposition 2.24. La loi de groupe d´efinie par les ´equations 2.16 et 2.17, sur la courbe binaire d’Edwards Ed1,d2, v´erifie les propri´et´es suivantes :

• si (x1, y1) + (x2, y2) = (0, 0), alors (x1, y1) = (x2, y2).

• si ϕ(x1, y1) = ϕ(x2, y2), alors (x1, y1) = (x2, y2).

• ϕ(y1, x1) = −ϕ(x1, y1).

• si (x1, y1) + (x2, y2) = (x3, y3), alors ϕ(x1, y1) + ϕ(x2, y2) = ϕ(x3, y3)

O`u (x1, y1), (x2, y2) et (x3, y3) sont des points de Ed1,d2 et ϕ est l’application d’´equiva-

lence birationnelle entre le mod`ele des courbes binaires d’Edwards et celui de Weiers- trass.

Pour les diff´erentes preuves de ces diff´erentes propri´et´es, nous renvoyons le lecteur `

Si la trace de d2 est ´egale `a 1, alors la loi de groupe est compl`ete, i.e. que les

d´enominateurs des ´equations 2.16 et 2.17 ne s’annulent jamais. Dans le cas o`u le corps K est une extension de F2 de degr´e sup´erieur ou ´egal `a 3 alors toute courbe binaire

d’Edwards admet une ´equivalence birationnelle avec une courbe binaire d’Edwards munie d’une loi de groupe compl`ete. Il s’en suit la d´efinition d’une courbe binaire d’Edwards compl`ete.

D´efinition 2.25 (Courbe binaire d’Edwards compl`ete). Soit K un corps de caract´eristique 2 et soient deux ´el´ements d1 et d2 de ce corps tels que d1 6= 0 et qu’il

n’existe pas d’´el´ement t de K v´erifiant l’´equation t2+ t = d2, i.e. la trace de d2 est

´

egale `a 1. Nous pouvons alors d´efinir la courbe binaire d’Edwards compl`ete donn´ee par l’´equation affine :

Ed1,d2 : d1(x + y) + d2(x

2_{+ y}2_{) = xy + xy(x + y) + x}2_y2

Dans la suite de ce chapitre, nous supposerons que toutes les courbes d’Edwards consid´er´ees sont compl`etes.