M´ethode arithm´etico-g´eom´etrique pour le comptage de points d’une courbe elliptique d´efinie sur F2

M´ ethode arithm´ etico-g´ eom´ etrique pour le comptage de points d’une courbe elliptique d´ efinie sur F

V. Vitse

UVSQ - MA²

Plan

Motivations

Approche standard du comptage de points

Algorithmique sur Z_q

Approche AGM en caract´eristique 2

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 2 / 37

Motivations

I Courbes elliptiques naturellement munies d’une loi de groupe o`u le probl`eme du log discret est difficile.

I ECC introduit par Miller (1985) puis Koblitz (1987) : syst`emes cryptographiques sur courbes elliptiques d´efinies sur des corps finis (protocole d’´echange de cl´es de Diffie-Hellman, signatures El Gamal plus courtes...)⇒ trouver des sous-groupes cycliques dont l’ordre est divisible par un grand nombre premier, calcul de cardinalit´e du groupe.

I Algorithmes de comptage de points :

I Shoof (1985) : 1er algo de complexit´e polynomialeO(n⁴⁺) puis am´eliorations apport´ees par Elkies et Atkin (SEA), Couveignes...

I En 2000, nouvelle famille d’algorithmes (Satoh, Vercauteren...) : m´ethodep-adiques, temps enO(n³⁺) et consommation m´emoire en O(n²)

I Etude de l’algorithme AGM dˆu `a Mestre.

Plan

Motivations

Approche standard du comptage de points

Algorithmique sur Z_q

Approche AGM en caract´eristique 2

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 4 / 37

Points rationnels

E courbe elliptique ordinaire d´efinie sur F_q,q =p^d,p premier, d ∈N^∗ Soit Φq∈End(E) leq-i`eme Frobenius,

Propri´et´e

Soit P ∈E un point de la courbe, alors P est rationnel surF_q si et seulement si Φq(P) =P.

En particulier,

#E(Fq) = # ker([1]−Φq) = deg([1]−Φq)

⇒ comptage de points ramen´es au calcul de deg([1]−Φq)

Action de Φ

sur le module de Tate

D´efinition

I Anneau des l -adiques :Z_l = lim←−Z/lⁿZ

I Module de Tate : T_l(E) = lim←−E[lⁿ] o`u E[lⁿ]groupe de lⁿ-torsion

Proposition

Si l 6=p premier, alors

T_l(E)'Z_l ×Z_l et il existe un morphisme naturel

End(E) → End(Tl(E))' M₂(Zl) ϕ 7→ ϕ_l

⇒χ(Φ_q,l)(X) =X²−Tr(Φ_q,l)X + det(Φ_q,l)∈Z_l[X]

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 6 / 37

Conjecture de Weil

Th´eor`eme

I det(Φq,l) = deg(Φq) =q etTr(Φq,l) = 1 +q−deg([1]−Φq).

I ∀n∈Z, deg([n]−Φq) =χ(Φq)(n) =n²−nTr(Φq) + det(Φq) dont on d´eduit le th´eor`eme de Hasse :

Th´eor`eme (Hasse)

|Tr(Φ_q)| ≤2p det Φ_q

En particulier, on peut approximer le nombre de points rationnels de la courbe E :

1 +q−2√

q ≤#E(Fq)≤1 +q+ 2√ q

Rel` evement canonique, q-adiques

E courbe elliptique ordinaire d´efinie sur F_q,q =p^d.

I Id´ee de Satoh : se placer sur une courbe d´efinie sur un corps local de caract´erique nulle qui “rel`eve bien” la courbe elliptiqueE

⇒ introduire q-adiques (Zq,Qq) et E le rel`evement canonique d´efini sur Q_q

I Calcul de la trace : Th´eor`eme (Satoh)

Soit E une courbe elliptique d´efinie sur un corps de caract´eristique 0, et soit ω une forme diff´erentielle holomorphe sur E. Pour tout f ∈End(E), on d´efinit λf = ^f∗_ω^(ω). Alors λf est une racine du polynˆome caract´eristique de f et en particulier,

Tr(f) =λ_f +deg(f) λ_f

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 8 / 37

Corps des p-adiques

Anneau desp-adiques

D´efinition

I Entier p-adique : x = (x₁,x₂, . . .)o`u x_n∈Z/pⁿZ, x_n+1=x_n mod pⁿ.

I Anneau des p-adiques :Z_p o`u somme/produit sont d´efinis coordonn´ees par coordonn´ees de mani`ere naturelle.

Propri´et´e

I Zp est un anneau de valuation discr`ete de corps r´esiduelFp et de caract´eristique 0.

I x ∈Z^∗_p, x =upⁿ o`u u ∈Z^∗_p et n∈N ν_p(x) =n est la valuation p-adique

Corps des p-adiques

Normep-adiques

D´efinition

I Corps des p-adiques :Qp =Frac(Zp)

I Valuation p-adique se prolonge sur Q_p :ν_p(_x¹) =−ν_p(x)

I Norme p-adique :

|.|_p:Qp→R+, x → |x|_p=p^−νp(x)

Proposition

I Z_p={x∈Q_p:|x|_p ≤1} anneau de valuation de Q_p

I Q_p est le compl´et´e de Qpour la norme |.|_p

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 10 / 37

Corps des q-adiques

D´efinition

Soit K =Qp[X]/(P) (P∈Zp[X] irr´eductible de degr´e d , de contenu1) une extension de Q_p de degr´e d .

K est dite non ramifi´ee, sideg(P) = deg(P_N), ∀N∈No`u P_N ∈(Z/p^NZ)[X]tels que P_N =Pmodp^N.

Proposition

Il existe une unique (`a isomorphisme pr`es) extension non ramifi´ee de degr´e d de Q_p, not´eeQ_q o`u q=p^d. Cette extension est galoisienne, de groupe de Galois cyclique.

ν_p et|.|_p se prolongent de fa¸con unique `aQ_q.

Entiers q-adiques, lien F

/Q

D´efinition

Z_q ={x ∈Q_q :|x|_p≤1}est l’anneau de valuation deQ_q. Propri´et´e

(i) Z_q est un anneau local, d’id´eal maximal pZ_q, son corps r´esiduel est Fq.

(ii) Zq est une extension deZp :Zq'Zp[X]/(P) (iii) Z_q= lim←−Z_q/p^NZ_q= lim←−(Z/p^NZ)[X]/(P_N) Th´eor`eme

Gal(Qq/Qp)'Gal(Fq/Fp) (donn´e par la r´eduction modulo p) Gal(F_q/F_p) =< σ > o`u σ :x 7→x^p (petit Frobenius)

⇒Gal(Q_q/Q_p) =<Σ>(Σ substitution de Frobenius).

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 12 / 37

Relev´ e canonique et substitution de Frobenius

D´efinition

Un relev´e canonique de la courbe elliptique ordinaire E d´efinie sur Fq est une courbe elliptique E d´efinie sur Q_q satisfaisant :

I la r´eduction deE modulo p est E ,

I End(E)'End(E) isomorphisme induit par la r´eduction modulo p.

En particulier, le q-i`eme FrobeniusΦq:E →E se rel`eve en un endomorphisme F_q:E → E, et on aTrF_q=TrΦq.

Th´eor`eme (Deuring)

Le relev´e canoniqueE de E existe et est unique `a isomorphisme pr`es.

Rel` evement p-i` eme Frobenius et calcul de la trace

E courbe elliptique d´efinie sur F_q'F_pd

I Le p-i`eme Frobenius Φ_p :E →E^σ induit un cycle d’isog´enie surE E−→^Φp,0E^σ−→^Φp,1E^σ2−→^Φp,2. . .^Φ−→^p,d−1E^σd =E

Th´eor`eme

Φ_p :E →E^σ se rel`eve en une isog´enieF<sub>p</sub> :E → E<sup>Σ</sup>, o`u Σ est la substitution de Frobenius.

En appliquant successivement ce r´esultat, on peut relever le cycle d’isog´enies

E−→^Φp,0E^σ−→^Φp,1E^σ2−→^Φp,2. . .^Φ−→^p,d−1E^σd =E en un cycle d’isog´enies

E−→ E^{Fp,0 Σ}−→ E^{Fp,1 Σ2}−→^Fp,2. . .^F−→ E^{p,d−1 Σd} =E et Tr(F_q) =Tr(F_p,d−1◦. . .◦ F_p,0).

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 14 / 37

Plan

Motivations

Approche standard du comptage de points

Algorithmique sur Z_q

Approche AGM en caract´eristique 2

Calculs ` a la pr´ ecision N

On suppose d´esormaisp = 2 et q= 2^d.

I Notion de pr´ecision :a∈Z₂ repr´esent´e par a_N =amod2^N (un

´

el´ement de Z2 `a la pr´ecisionN n´ecessite donc O(N) bits m´emoire)

I Choix d’impl´ementation : travail dans Z_q `a la pr´ecision N ↔ travail dans (Z/2<sup>N</sup>Z)[X]/(PN) o`uPN =Pmod2^N (un ´el´ement de Zq `a la pr´ecisionN n´ecessite donc O(dN) bits m´emoire).

I Complexit´e des op´erations usuelles :

I Addition :O(dN)

I Multiplication na¨ıve :O(d²N²)

I Acc´eleration des calculs moduloP_N : on part deP₁ ∈F₂[X]

polynˆome irr´eductible creux (trinomial ou pentanomial), qu’on rel`eve enP ∈Z2[X]

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 16 / 37

Biblioth` eques utilis´ ees

I Norme de s´ecurit´e : extensions de degr´e d '160, pr´ecision de l’ordre de 80 bits pour le calcul de la trace.

⇒ utilisation de GMP pour l’arithm´etique sur les grands entiers

I Calcul modulaire dansZ2[X] rendu possible avec NTL :

I pas de classe pr´eexistante pour lesq-adiques (pour le changement de pr´ecision), mais multiplications tr`es efficaces dans (Z/2^NZ)[X]/(PN) (Karatsuba, Sch¨onhage-Strassen) enO((dN)^µ)

I on utilise la classeZZ X (polynˆomes `a coeff grands entiers)

I on travaille avec des polynˆomes de degr´ed−1 `a coefficients dans J0; 2^N−1K.

I addition/multiplication moduloP_N de la classeZZ X, puis troncature des bits dans la classeZZ pour ramener les coeff dans l’intervalle J0; 2^N−1K.

I Autres op´erations usuelles (inverse, racine carr´ee) bas´ees sur un

Calcul d’inverse dans Z

Entr´ee :a∈Zq inversible, N ∈Nla pr´ecision Sortie : z l’inverse de a`a la pr´ecision N

1. si N= 1 alors

2. z ← ¹_a mod 2

3. sinon

4. z ←Inverse a,_N+1

2

5. z ←z+z(1−az) mod 2^N

6. fin si

7. retourner z Remarques :

I ligne 1 : dans AGM on s’´epargne le calcul d’inverse `a la pr´ecision 1 dans F_q (on prendra 1 comme inverse approch´e)

I algorithme donnant une preuve constructive du fait qu’un ´el´ement est inversible dans Z_q si et seulement si il est inversible (non nul) mod 2.

I Complexit´e :O((dN)^µ)

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 18 / 37

Calcul de racine carr´ ee dans Z

Entr´ee :a∈Z_q carr´e inversible, z₀ approximation initiale de ^√1_a `a l’ordre 2, N ∈Nla pr´ecision

Sortie : z l’inverse de la racine carr´ee de a`a la pr´ecision N

1. siN≤2alors

2. z←z0

3. sinon

4. N⁰←_N+2

2

5. z←RacineCarreeInverse(a,z₀,N⁰) 6. x←1−az²mod2^N+1

7. z←z+zx

2 mod 2^N 8. fin si

9. retourner z Remarques :

I approximation de ^√1_a `a l’ordre 2 non probl´ematique dans AGM

I un ´el´ement inversible est un carr´e dansZ_q si et seulement si il admet

Plan

Motivations

Approche standard du comptage de points

Algorithmique sur Z_q

Approche AGM en caract´eristique 2

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 20 / 37

Restriction du probl` eme

I En caract´eristique 2, une courbe elliptique ordinaire (j-invariant non nul) a pour ´equation :

E : y²+xy =x³+a2x²+a6 o`u a6 ∈F^∗_q et sonj-invariant ne d´epend que dea6

⇒ on se restreint aux courbes d’´equations

E⁰ : ˜y²+ ˜x˜y = ˜x³+a₆ o`ua₆ ∈F^∗_q

I Un isomorphisme entre E et E⁰ est de la forme (x= ˜x

y = ˜y+s˜x o`u s v´erifie s²+s−a2= 0 dans Fq

Deux cas possibles :

I E etE⁰ ont le mˆeme nombre de points dansFq

Contexte AGM

E : y²+xy =x³+c c ∈F^∗_q Th´eor`eme (Relev´e canonique de E)

Il existe un unique relev´e E, appel´e canonique, de E dansQq v´erifiant : (i) E admet une bonne r´eduction modulo 2

(ii) End(E)'End(E) En particulier,

I Φ₂ :E →E^σ ! F₂ :E → E^Σ

I Φ_2,k :E^σk →E^σk+1 !F_2,k :E^Σk → E^Σk+1.

I Φq∈End(E) !F_q∈End(E) tel que (F_2,d−1◦. . .◦ F_2,0=F_q

Tr(F_q) =Tr(Φ_q)

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 22 / 37

Action de F

sur la diff´ erentielle holomorphe de E

I Th´eor`eme (Satoh)

Soit c ∈Qq tel queF_q^∗ω =cω o`u ω est une diff´erentielle holomorphe sur E. Alors

Tr(F_q) =c+q c

I On suppose que E est isomorphe `a la courbeE_a,b d’´equation :

E_a,b: y² =x(x−a²)(x−b²) (1) ω= ^dx_y diff´erentielle holomorphe d´efinie surE_a,b.

I CalculF_q^∗(ω) =F_2,0^∗ ◦. . .◦ F_2,d−1^∗ (ω) ?

On introduit la suite arithm´etico-g´eom´etrique (a_k,b_k)k≥0 et un isomorphisme entre E^Σk et E : y²=x(x−a²)(x−b²)

Suite arithm´ etico-g´ eom´ etrique

Soient α, β∈Zq tels que







α, β ∈1 + 4Z_q α

β ∈1 + 8Zq (2)

On d´efinit r´ecursivement une suite arithm´etico-g´eom´etrique (α_k, β_k) par







(α₀, β₀) = (α, β) (αk+1, βk+1) =

α_k +β_k

2 ,p

αkβk

(3)

Lemme

I c ∈1 + 8Z_q⇒ ∃!e ∈1 + 4Z_q, e² =c

I Si (α_k, β_k) v´erifie (2), alors (α_k+1, β_k+1) v´erifie (2).

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 24 / 37

Suite arithm´ etico-g´ eom´ etrique

L’it´eration AGM donne des 2-isog´enies entre les courbes : Th´eor`eme

Soient α, β∈1 + 4Z_q et (α⁰, β⁰) =AGM(α, β).

Alors E_α,β :y² =x(x−α²)(x−β²) etE_α⁰_,β⁰ :y² =x(x−α⁰²)(x−β⁰²) sont 2-isog`enes :

ψ: E_α,β → E_α⁰_,β⁰ (x,y) 7→

(x+αβ)²

4x ,y(x−αβ)(x+αβ) 8x²

ψ^∗ dx⁰

y⁰

= 2dx y Le noyau de ψ est compos´e de deux points :

Lien AGM - relev´ e canonique

Proposition

Soit F₂:E_a,b→ E_a,b^Σ =E_Σ(a),Σ(b) le 2-i`eme morphisme de Frobenius, ψ:E<sub>a,b</sub>→ E<sub>a1,b1</sub> o`u (a1,b1) =AGM(a,b).

ker(F₂) = ker(ψ)

En particulier, il existe un unique isomorphisme λ:E_a1,b1 → E_Σ(a),Σ(b) tel que F₂=λ◦ψ:

E_a,b ^ψ //

FD2DDDDD""

DD E_a1,b1

λ

E_a,b^Σ

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 26 / 37

Calcul de la trace

Th´eor`eme

Soient (a_k,b_k) la suite AGM initialis´ee par (a,b), alors on a le diagramme commutatif suivant :

E_a,b ^ψ0 //

Id

E_a1,b1 ^ψ1 //

λ1

E_a2,b2 ^ψ2 //

λ2

. . . ^ψd−1//

E_ad,bd

λd

E₀ ^{F2,0 //}E₁ ^{F2,1 //}E₂ ^{F2,2 //}. . .^F2,d−1//E_d ' E₀

o`uE_k =E_Σk(a),Σ^k(b),F_2,k :E_k → E_k+1 (relev´e de Φ2) etλk :E_ak,bk → E_k sont des isomorphismes.

En particulier, λd :E_ad,bd → E_a0,b0 isomorphisme tel que

I λ_d(x⁰,y⁰) =

a0

ad

2

x⁰,±

a0

ad

3

y⁰

Calcul de la trace

Avec le th´eor`eme de Satoh, on en d´eduit le calcul de la trace avec une approximation suffisante (cf th. de Hasse) :

Th´eor`eme

Tr(F_q) =Tr(Φ_q) = a₀

a_d mod2d^d₂e+2

Remarques :

I il suffit de trouver a⁰₀ et a⁰_d approximant les valeursa₀ et a_d `a la pr´ecisionN−1 =_d

2

+ 2

I en pratique (lemme technique) : prendre a⁰₀,b⁰₀∈Zq tels que (a⁰₀,b₀⁰) = (a,b)mod2^N o`u N=_d

2

+ 3, alors (a⁰_k,b⁰_k) = (a_k,b_k)mod2^N−1 et _a^a0⁰⁰

d

= _a^a0

d mod2^N−1 (approximation suffisante pour le calcul de la trace)

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 28 / 37

Pr´ ecision n´ ecessaire pour l’approximation du relev´ e canonique

Deux probl`emes subsistent :

I comment trouver les approximations (a⁰₀,b⁰₀) `a la pr´ecision N de (a,b) ?

I justifier le fait que E est bien isomorphe `a une courbeE_a,b avec (a,b) v´erifiant (2)

Proposition

Soit n∈N^∗. Soient(α, β) et (α⁰, β⁰) v´erifiant les hypoth`eses (2).

Alors on a ´equivalence entre (i) j(E_α⁰_,β⁰) =j(E_α,β)mod2ⁿ (ii) ^α_β0⁰ =

α β

±1

mod2ⁿ⁺³

Pour initialiser le calcul de la trace, il suffit donc de trouver (a₀⁰,b₀⁰)

Approximation du relev´ e canonique

Th´eor`eme (Approximation du relev´e canonique)

Soient α0 = 1 etβ0= 1 + 8¯c o`u ¯c ∈Zq est un relev´e de c ∈F<sup>∗</sup><sub>q</sub>. On note (α<sub>k</sub>, β<sub>k</sub>)la suite AGM initialis´ee `a(α₀, β₀) etE_αk,βk la courbe elliptique correspondante.

Les courbes E_αk,βk approximent le relev´e canoniqueE de la courbe E :y²+xy =x³+c au sens suivant :

j(E_αk,βk) = Σ^k+1(j(E))mod2^k+1

⇒ on peut prendre (a⁰₀,b₀⁰) = (αN−4, βN−4).

Mieux : on peut encore limiter la pr´ecision du calcul de la premi`ere suite AGM (α_k, β_k), en prenant la suite (α⁰_k, β_k⁰) telle que :

((α⁰₀, β₀⁰) = (α0, β0)mod2⁴

(α⁰_k, β_k⁰) =AGM(α⁰_k−1, β_k−1⁰ )mod2^k+4

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 30 / 37

Remarques sur l’approximation

I Si on prend (a⁰₀,b⁰₀) = (αN−4, βN−4), E_a⁰

0,b⁰₀ approxime E^ΣN−3

⇒ on va calculer #(E^σN−3(F_q)) (non gˆenant puisque Φ^N−3₂ :E(Fq)→E^σN−3(Fq) est bijectif)

I Bien que la suite AGM ne converge pas, elle fournit une

approximation deE : on peut en extraire une sous-suite convergente (α_ϕ(k), β_ϕ(k)) telle que

klim→∞j(E_α

ϕ(k),β_ϕ(k)) =j(E) =j(E_α∞,β∞)

ce qui justifie l’hypoth`ese sur la forme du relev´e canonique faite en (1).

Algorithme AGM

Entr´ee : E:y²+xy=x³+c,c∈F^∗₂d

Sortie :nombre de points rationnels deE(F₂d)

Variables : N(pr´ecision),a,b∈Z₂d (AGM),t (trace) 1. N←_d

2

+ 3 2. a←1mod2⁴ 3. b←1 + 8cmod2⁴ 4. pouri= 5 `a Nfaire

5. (a,b)←

a+b 2 ,√

ab mod2ⁱ 6. fin pour

7. a₀←a

8. pouri= 0 `a d−1faire

9. (a,b)←

a+b 2 ,√

ab mod2^N 10. fin pour

11. t← ^a_a⁰mod2^N−1 12. sit²>2^d+2 alors

13. t←t−2^N−1

14. fin si

15. retourner 2^d+ 1−t

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 32 / 37

V´ erification des r´ esultats et complexit´ e

I on v´erifie que l’ordre d’un pointP rationnel de la courbe dont l’abscisse a ´et´e choisie al´eatoirement, est bien un diviseur du nombre de points rationnels trouv´e

I Complexit´e en m´emoire : on stockeO(1) ´el´ements deZq `a la

pr´ecisionN =O(d) (ayant doncd coefficients dans Z/2^NZ), soit une complexit´e enO(d²).

I Complexit´e en temps : on effectue de l’ordre de 2d calculs de racines carr´es et produits avec un coˆut enO((dN)^µ) =O(d^2µ), soit une complexit´e totale enO(d^2µ+1).

R´ esultats de l’impl´ ementation

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 34 / 37

R´ esultats de l’impl´ ementation

R´ esultats de l’impl´ ementation

V. Vitse (UVSQ - MA²) M´ethode AGM pour le comptage de points 36 / 37

Interpr´ etation des r´ esultats

I R´egression non lin´eaire sous Gnuplot : on retrouve bien la complexit´e end^3.148

I Plusieurs d´ecrochements de la courbe aux valeurs

d = 256,512,1024.... Cette perte de performance s’explique certainement par un saut dans la fa¸con de stocker les valeurs en m´emoire.

I Un d´ecrochement plus myst´erieux en d = 150, probablement dˆu `a un changement d’algorithme de multiplication dans NTL.