Calcul du nombre de points sur une courbe elliptique dans un corps fini : aspects algorithmiques

(1)

J

OURNAL DE

T

HÉORIE DES

N

OMBRES DE

B

ORDEAUX

F

RANÇOIS

M

ORAIN

Calcul du nombre de points sur une courbe elliptique

dans un corps fini : aspects algorithmiques

Journal de Théorie des Nombres de Bordeaux, tome

7, n

o

_{1 (1995),}

p. 255-282

<http://www.numdam.org/item?id=JTNB_1995__7_1_255_0>

L’accès aux archives de la revue « Journal de Théorie des Nombres de Bordeaux » (http://jtnb.cedram.org/) implique l’accord avec les condi-tions générales d’utilisation (http://www.numdam.org/conditions). Toute uti-lisation commerciale ou impression systématique est constitutive d’une infraction pénale. Toute copie ou impression de ce fichier doit conte-nir la présente mention de copyright.

Article numérisé dans le cadre du programme Numérisation de documents anciens mathématiques

(2)

Calcul

du

nombre

de

_points

sur une courbe

_elliptique

dans

un _corpsfini :

_aspects

_{algorithmiques}

par

FRANÇOIS

MORAIN

RÉSUMÉ. Nous décrivons dans cet article les

_algorithmes

néces-saires à une

_implantation

efficace de la méthode de

_{Schoof pour}

le calcul du nombre de

_points

sur une courbe

_elliptique

dans un _corps

fini. Nous tentons d’unifier pour cela les idées d’Atkin et d’Elkies.

En

_particulier,

nous décrivons le calcul

d’équations

_pour

X0 (l), l

premier,

ainsi _quele calcul efficace de facteurs des

_polynômes

de division d’une courbe

_elliptique.

ABSTRACT. We describe the

_algorithms

that are needed for an

efficient

_{implementation}

of Schoof’s method for

_computing

the number of

_points

on en

_elliptic

curve over a finite field. We _tryto

unify

the ideas of Atkin and Elkies. In

_particular,

we describe the

computation

of

_equations

for

_{X0(l), l a}

_prime

_number,

as well as

the efficient

_computation

of factors of the division

_polynomials

of

an

_elliptic

curve.

1. Introduction

Soit E une courbe

_elliptique

définie sur un _corpsfini K =

Fp.

de

caractéristique

p.

Depuis

le travail de Schoof

[20],

on sait

_qu’on

_peut

calculer

la cardinalité de

_E(K)

en

_temps

_polynomial

en la taille du _corps.

_Toutefois,

il a fallu les améliorations d’Atkin et d’Elkies _pourrendre

_{l’algorithme}

praticable

sur des _corpsde taille

_raisonnable,

en

_{caractéristique}

_p

_grande.

Ce n’est que tout

récemment,

grâce

aux travaux de

_Couveignes

_[6],

_que

l’algorithme

fonctionne en

_{petite caractéristique}

(voir

aussi

[14, 15]

_pour

les recherches en cours concernant

_{l’implantation}

efhcace de ces

_idées).

Cet article

_complète

l’article

_[21],

en donnant les versions les

_plus

optimi-sées de certains des

_{algorithmes qui}

y sont donnés. Nous renvoyons le

1991 Mathematics Subject Classlfication. 11G20, 11F11.

Key words and _phrases.Courbes _elliptiques,corps finis, algorithme de Schoof, formes

modulaires, équations modulaires, polynômes de division.

Manuscrit reçu le 1er janvier 1995, dernière version le 27 juin 1995.

L’auteur est mis à _dispositiondu LIX par la Délégation Générale pour l’Armement. Cette étude a été faite dans le cadre de la convention nOO044193 entre le CELAR et le LIX.

(3)

lecteur au même article _pour

_comprendre

_{les motivations de}ces calculs.

Nous tentons d’unifier dans cet article les travaux d’Atkin

_{[1, 2]}

et d’Elkies

[10] (voir

aussi

_[4]).

L’algorithme

de Schoof utilise de manière essentielle les

_polynômes

de 1-division de la courbe

_E,

_{pour 1 premier.}

Ces

_polynômes,

notés

sont de

_dégré

élevé

_(O(.~2)),

ce

_qui

rend l’utilisation directe de

l’algorithme

problématique.

La clef de la version

_pratique

de

_{l’algorithme}

de Schoof est

l’utilisation des

propriétés

des courbes

_{Xo (1) .}

Soit

_{4l«X, Y)}

une

_équation

de

Xo {.~)

et j (E)

l’invariant de E. La factorisation du

_polynôme

caractérise les sous-groupes

cycliques

de E et ainsi les

_degrés

des facteurs

du

_{polynôme fg.}

Il existe des cas favorables _pour

_{lesquels fi}

a un facteur

9i de

degré 4(.~),

ce

_qui

rend les calculs

pratiquables.

On trouve alors ce

facteur 9t

en utilisant une méthode

ingénieuse

due à Atkin.

L’architecture de cet article est la suivante. La deuxième section concerne

le calcul

_{d’équations}

_pour et _pour

_Xg(1),

le

_quotient

de

_{Xo (1)}

_par l’involution d’Atkin-Lehner. On décrit les

_algorithmes

de calcul dus en

partie

à Atkin _pourcela. La troisième section

_présente

des

_algorithmes

de calcul de facteur de

_polynômes

de torsion en utilisant ces

_{équations. Ensuite,}

on

présente

sous une forme condensée

l’algorithme

du calcul du nombre

de

_{points, appelé}

en

abrégé

SEA

(Schoof-Elkies-Atkin).

Les améliorations

récentes de

_{l’algorithme}

sont aussi

_évoquées.

Nous _nousconcentrons sur le cas de _corps

_premier

de

_grande

caractéristique,

_renvoyant

à

[6, 14, 15]

_pour

les autres cas. Nous illustrons nos _proposavec des

_{exemples numériques}

représentatifs,

tirés de notre _propre

_{implantation.}

Un

_exemple

commenté

est donné à la dernière section: il

_s’agit

du calcul du nombre de

_points

modulo un nombre

_premier

de 500 chiffres décimaux.

2. Calcul

_{d’équations}

modulaires

2.1.

_Rappels.

Les résultats donnés ici sont

_classiques.

On en trouvera les démonstrations dans

_[19]

par

exemple.

Dans tout ce

_qui

_suit,

on note 1-l =

tz

E

C,

_>

01

le

demi-plan

de

Poincaré. Pour T

E 1-£,

on

_{note q}

=

exp(2i7rT).

Nous

emploierons

la même

notation pour une fonction

f (q) = f (T)

qui

est en fait une fonction de _q.

On définit encore

t

le

compactifié

de C et

(4)

où les cn sont des entiers

positifs.

Ces coeSicients

peuvent

se calculer _parla

méthode donnée dans

_[16],

ou mieux encore en utilisant

_{l’expression}

_{de j (q)}

en fonction des fonctions de Weber et de la fonction _fi.De toute

_façon,

ces

calculs doivent être faits modulo de

petits

nombres

_premiers

comme nous

le verrons

_plus

loin.

Soit 1 un nombre

premier.

Le groupe

est un _sous-groupe

d’indice M

= 2 + 1 dans r. Les classes de

_r/Fo(1)

sont

engendrées

par

-et les

pour 0 k 1. On note

_Xo(2)

la surface de Riemann et

_g(1)

son _genre.

PROPOSITION 2.1. On a

On définit l’involution d’Atkin-Lehner wg associée à la matrice

Si

_{f ( q ~}

est une fonction

modulaire,

on notera

_{f *}

=

f lwt

=

f

o _wt.

Une des

_propriétés

intéressantes de Wt est la suivante.

PROPOSITION 2.2. L’involution w,~ normalise c’est-à-dire

(5)

L’involution Wl transforme les classes de par

multiplication

à

gauche

par

Wt

en

Nous noterons ces matrices

_Moo,

_{Mo, ... ,}

_MI,

-PROPOSITION 2.3. Soit h le nombre de classes de

_Q(

_-~~,

Le nombre de

points

fixes

de Wl est

On _pose

_{Xg (É)}

=

THÉORÈME

2.1. La courbe

_{Xô (.2)}

est encore une

surface

de Riemann de

genre

- ...

COROLLAIRE 2.1. E

_{41, 47, 59, 71}.}

2.2. Calcul

_{d’équation}

modulaire

_"canonique"

pour

Xo (1).

Nous

allons montrer comment calculer une

_équation

_pour

Xo (1) ,

c’est-à-dire une

équation polynomiale

du

_type

= 0 où

f

est _unefonction _sur

ra ~~).

Notons tout de suite

_{qu’on pourrait}

se contenter d’utiliser le fait que

j*

est une fonction sur

Xo(~).

L’équation liant j à j*,

notée encore

q)t(F, J),

a des coefficients énormes. Par

exemple,

Ces

_problèmes

sont liés essentiellement au fait _quela

_{fonction j *}

a un

pôle

d’ordre

_trop

_grand

à l’infini. Tout le but de cette section est de montrer comment trouver des fonctions d’ordre

_plus

_petit,

et ce de

_façon

_canonique.

(6)

On pose s =

12/pgcd(12, ~ - 1), v

=

s(B -1)/12

et _onchoisit

PROPOSITION 2.4. La

_fonction

_{f (T)}

est une

fonction

sur

On note

_{4)c (F, J)}

_{l’équation polynomiale}

liant

_{f (q)}

_{à j(q) :}

_{pour tout q,}

= 0. Ce

polynôme

_peut

s’écrire

"’-v

dont les coefficients sont des

_{polynômes en j ( q) .}

2.2.1. Un

_{premier algorithme. D’après}

la

_{proposition 2.2,}

la fonction

f *

= _est_{encore une}fonction _sur

Fo (1).

Le

polynôme

a donc aussi comme coefficients des

polynômes

en jq).

Par

suite,

on

_peut

écrire:

O 1

et

Les

_~’?,,

comme les

Ck

sont des

_polynômes

en J. _{Nous prouvons maintenant, :} PROPOSITION 2.5. Les

_fonctions

s,, sont à

coefficients

dans

C(q).

,

Démonstration. On

_{développe Ir}

en sërie :

Soit ~

une racine l-ième de l’unité. On a

(7)

La somme à l’intérieur est nulle sauf

_{quand 11}

n

auquel

cas elle vaut 1. Par smte :

00

Posons

, -v

On déduit de ce

_qui

précède :

’

COROLLAIRE 2.2. Pour tout r, la valuation de

s,,(q) (resp. c~(q)~

est

fvr/11 .

COROLLAIRE 2.3.

Pour tout r,1

r

_~+1,

on

On trouve les coefficients de ces

_polynômes

en

_comparant

leurs

dévelop-pements

en série avec ceux des

_puissances

de j ~q).

La connaissance des

Sr

pour 1

r + 1 permet

de reconstruire les coefficients

Ok (J)

à l’aide des

formules de Newton : avec

Co(j)

= 1 _on_a

pour tout r

_compris

entre 1 et 1 + 1.

’

Exemple.

Prenons 1 = 5. Dans ce _cas,on a s =

3, v

= 1. On _commence_par

calculer

Ajoutant

les

_puissances

de

_{f *(q),}

on obtient :

ce

_qui

conduit à

_’Si(?)

_{= j ~q) -}

750. De même :

(8)

et finalement

On utilise les formules de Newton et on trouve :

Faisant ~’ =

53/X,

_ontrouve

2.2.2. Amélioration de

_{l’algorithme.}

Une autre manière de

_procéder

consiste à reconstituer les coefficients du

_polynôme

à

_partir

des fonctions sr. Une fois cela

fait,

on calcule les coefficients de

P(Y, J)

en

développant

l’expression

{~- f *{q))Q{~,

q).

Cette

façon

de faire

est très économe en mémoire et très efficace

_{quand 1}

est

_grand.

Le calcul

des s,.

se fait à

_partir

du

développement

de

J(q)’-,

à l’ordre Iv + c, et les

séries

_qui

en résultent ont v termes. Le calcul des c,, se fait encore sur des

séries

_{ayant v}

_termes,

et celui des

Cr

également.

.Exemple.

Reprenons

le cas 1 = 5.

Après

avoir calculé

les si

_comme

précé-demment,

on obtient d’abord :

et on obtient

(9)

2.2.3. Un cas

_plus

_{simple : quand}

est de _{genre 0.}

_Quand

_{Xo (1)}

a _genre

_0,

_E

_{{2,3,5,7,13},}

on sait

qu’il

existe une

_équation

du

_type

On récrit cela comme

Faisant

_agir

Wt, on obtient:

Il suffit de

_{remplacer j*}

et

_f

_parleurs

_{développements}

en série _pourretrouver

les coefficients ck.

2.3. Calcul

_{d’équation}

pour

Xô (.~).

L’ordre des fonctions

canoniques,

v,

augmente

rapidement

avec 1 et cela conduit à stocker des

_polynômes

de

grand

degré

en J. Pour

pallier

cet

inconvénient,

on

_préfère

travailler avec

des fonctions sur =

Fo (1)

_U

wiro(l),

dont

ro(l)

_est_un

sous-groupe. Une telle fonction est encore une fonction sur

_{L’avantage,}

c’est

_qu’ü

est

_possible

de travailler avec des fonctions d’ordre très

petit

_par

_rapport

à

1.

2.3.1. Calcul de fonction sur la méthode d’Atkin. Pour

cer-taines valeurs

de 1,

on trouve des fonctions

_{particulières}

pour

Fj (1),

par

exemple

dans

_[11].

La manière

_classique

de

_procéder

est de chercher des formes modulaires de ₀même

_poids

sur et de les

_quotienter

pour obtenir

des fonctions.

À

titre

_d’exemple,

donnons une fonction sur

Xo*(11).

On _pose

Une fonction sur

X§ (11)

est _{donnée par}

L’implantation

des idées d’Elkies-Atkin nécessite la construction de fonctions

sur

_X~(1)

_{pour 1 premier jusqu’à}

1000. Il est alors souhaitable d’avoir un

algorithme

de

_génération

de ces fonctions. Atkin a mis au

_point

_pourcela

(10)

Cadcul de

_{l’équation}

_{supersingulière.}

On sait

_(cf.

_[22,

_p.

_137])

_qu’une

courbe

elliptique

E 1Ft,

supersingulière

est définie sur

_JFt,2.

On

_appelle

le

polynôme

de dont les racines sont _{les invariants des courbes}

super-singulières,

et le

polynôme

ne contenant _{que les}facteurs

_quadratiques

de

PROPOSITION 2.6. Le

_degré

de

_Hl

_(resp.

_{Hi) estg(2)}

_(resp.

_2g*(~)).

Introduisons la fonction

_{hypergéométrique}

où

_(k)n

=

k(k

₊

1) ... (k

_{+ n -}

1)

_estla

factoriedle

montante.

THÉORÈME

2.2

_(ATKIN).

Si 1 = 1

_{mod 4,}

on a

où G est un

_polynômes

d e

_degré

_g(l).

Si 1 == 3 mod

_4,

on a

Dans les deux cas

On trouvera dans

_[3,

p.

143-144]

une table donnant les

_polynômes

Hl (X)

pour 1

307.

Théorie. Pour ce

_qui

_suit,

on _pourrase

_reporter

à

[17]

ou

[7,

Th. 6.9 _pp.

DeRa -

_144].

Soit

_{f (q)}

une fonction sur

_Fi(1)

avec un

pôle

d’ordre m à

l’infini avec un

_{développement}

du

_type

+ ~ ~ . Alors

_f

est _congrue

à un

_{polynôme en j}

modulo 1. Notons

P(j)

ce

polynôme.

Soit

H(X)

un

facteur de

_{HÉ (X).}

Alors

où

_a(H)

E

_1Fi.

Autrement

_dit,

ou encore

P(X )

est _{dans le noyau de la matrice de}

_Berlekamp

associée à

F;(X).

Soit alors

_C~

la matrice dont la k-ième colonne contient les coefficients de mod

_{(HÉ (X ), 2)}

sur la base

(1,

_X,

X2, ... ).

Soit un

_polynôme

du _noyaude

_{l~ -}

I de

_degré

minimum. Une fonction

_{f (q)}

de

_plus

_petite

valence sur vérifie ainsi

(11)

et

Supposons

maintenant _que

_{(1 + 1)/24}

> v. On calcule

en

_prenant

_{pour les}_gnles

plus petits

résidus modulo 1. La

fonction g,

regardée

sur

_Z,

est une forme

_parabolique

de

_poids

1 _pourun certain

caractère ~.

_D’après

le théorème de

_{Serre-Deligne}

[8,

Th.

_9.1],

les coefficient

de

_{g ( q )}

vérifient :

où

_d«n)

_compte

le nombre de diviseurs de n

_premiers

avec 1.

_Donc,

les

coefficients

_{de 9}

trouvés modulo 1 sont considérés être les coefficients

_{de g}

dans

_Z,

du moins à l’ordre

_qui

nous intéresse. Il est alors

_possible

d’identifier

g comme étant une combinaison linéaire de fonctions theta binaires tordues

par certains caractères.

La fonction

_f

cherchée est alors

où c est une constante de que l’on

prend égale

à

go.

Remarque.

Les seuls cas _pour

lesquels 1

1000 et

₍₁

_+1)/24

> v sont

les suivants :

_(1,

_v)

_{6 {(11,1),}

_{(17, 1),}

_{(19,1), (37, 2), {43, 2),}

_{{67, 3),}

_(163,7)}.

D’un

_point

de vue

pratique,

on utilise

l’équation

_canonique

_{pour l}

_43,

et des fonctions ad hoc pour 67 et

_163,

obtenues _parcombinaison linéaire

d’opérateurs

de Hecke

_agissant

sur une fonction theta bien choisie.

Exemple.

Soit 1 = 73. On trouve :

soit

On calcule la matrice

_Q

dont la k-ième colonne contient les coefficients de

(12)

On recherche alors le _noyaude

_{Q -}

_I,

ce

_qui

nous donne

Seul

le deuxième vecteur nous intéresse. La fonction _quenous cherchons est

donc:

Maintenant,

on calcule

g(q)

= mod 73 :

On retranche alors le terme

_{-r¡(q)r¡(q73)}

_pourtrouver

soit

Soit

_{e(n, m)}

la fonction

_qui

vaut +1 si n mod 6 E

_{{0,1, 5}}

et -1 sinon. On

trouve que

x-37~z4+3g(q)

+ est _{congrue à la fonction}

2.3.2. Calcul du

_polynôme

minimal. La méthode décrite dans la section

2.2.1 est

_utilisable,

en

_particulier

la méthode décrite à la section 2.2.2.

Quand

on

dispose

de

beaucoup

de mémoire

centrale,

on

_peut

utiliser une

deuxième

_{méthode, proposée}

elle aussi par Atkin.

Soit

_{f {q~}

une fonction sur

r*(1).

Le

polynôme

minimal de

f

est :

avec

Cr {J)

E

_Q[J].

Par

_application

de l’involution

_{d’Atkin-Lehner,}

on a

également :

En utilisant le lemme

_2.2,

on trouve cette _{fois que}

(13)

On détermine d’abord

comme à la section

_{précédente.}

Il est facile _{de voir que}

ce

_qui

conduit à

_{C1(J) =}

-J" + ....

Une fois ceci

_fait,

on utilise le lemme suivant :

LEMME 2.1.

_{L’équation}

al + bv = _m,_{pour 0 m}

21v,

_{a au}

_plus

_une

seule sodution

_{(a, b)}

_vérifiant

0 a

_2v,

0 b 2. Cette solution est

donnée par b =

_{m/v mod 1}

et a =

(rn -

bv)/2

_quand

_cette

_quantité

_est

positive

ou nulle.

On calcule

_{Rl (q) -}

+

_Ci

comme une série en _q,ce

qui

nous donne

On cherche alors les termes

J*~F~

_qui

contiennent le terme Autrement

dit,

on cherche a et b tels _queal + bv = 2vl et

d’après

le

lemme,

_uneseule

solution

_existe,

_qui

est a =

_2v,

b = 0.

On calcule alors =

+ j(qt)2v

_{comme une}série _en

q et on

applique

le même

_principe

à la détermination du

coefficient

suivant.

Le calcul se

_poursuit

jusqu’à

la détermination des coefficients de

CI+,

(J).

À

la fin du

_calcul,

le

reste,

considéré comme une série en _q,doit avoir tous

ses coefficients

_nuls,

à l’ordre utilisé. Le lemme

_(2.1)

fournit de

_plus

un test

infaillible. Si la valuation de R _{est m,}mais que

l’équation

al + bv = m ne

donne pas de

solutions,

alors le calcul est faux.

Dans la

_pratique,

on

_précalcule

les

_puissances

de

_f

en tant _quesérie

dans un tableau et on effectue les à la

demande,

ce

qui

est relativement

_rapide

car la est _creuse,la distance entre

deux termes étant 1.

_Compte

tenu des

_paramètres,

les séries sont calculées à l’ordre

_{1(2v + 1).}

Exemple. Reprenons

le cas 1 = 11. On _commence_pardéterminer

ce

_qui

veut dire _queles

_premiers

termes de sont

F12 -

_{(J -}

_fi$4)F~1,

qui

sont

_rangés

dans P. On calcule

(14)

et

Le terme suivant ne

_peut

provenir

_quede

J*F~°,

c’est-à-dire

et

On continue ainsi

_jusqu’à

trouver

Finalement,

on obtient

La méthode décrite est

_efficace,

si on stocke les séries FI pour 1 a

_1,

ce

_qui

conduit à un

_stockage

de l’ordre de

1(1(2v

+

₁₎

+

_{c) =}

_{O (.~2 )}

ce

_qui

est énorme

_{quand 1}

_augmente.

2.3.3. Cas où est de _{genre 0.}Dans le cas où

Xg (1)

est _{de genre}

0,

i.e., .~

31 ou 1 E

_{{41,47,59,71},}

on sait _que

où le

_degré

en F est + 1 et le

_degré

en ~I est 2. Autrement dit :

avec S et P de

_{degré 1}

_{+ 1. On sait aussi que J}et J* sont les racines de

cette

_équation.

Autrement dit

Il suffit de

_{remplacer j(q)}

_{et j(qe)}

par leurs

développements

en série et

(15)

2.3.4.

_Remarque

sur les calculs. Les calculs

_{d’équations}

modulaires ne

sont _pasfaits en

_entiers,

mais

plutôt

modulo de

_petits

nombres

_premiers,

pour

lesquels

les

opérations

élémentaires se font

_rapidement.

Les coefficients

sont reconstruits l’un

_après

l’autre à l’aide du théorème chinois. Les séries

considérées

_ayant

beaucoup

de

termes,

il est nécessaire d’utiliser des

algo-rithmes de

_{multiplication rapide,}

comme

_{l’algorithme}

de Karatsuba et la FFT

_[12].

_{Notons que}

_{l’algorithme}

le

_{plus rapide,}

décrit à la section

_2.2.2,

calcule les

_quantités

_{f (q)~}

l’une

_après

l’autre. On économise de la mémoire

dans la FFT en

_gardant

en mémoire deux FFT consécutives.

Atkin recalcule à la volée les

_équations

nécessaires. Nous

_préférons

_quant

à nous

précalculer

ces

équations

et les stocker. Il faut 41 Moctets _pour stocker toutes les

_{équations correspondant}

à 1 500. Dans notre

implan-tation,

il a fallu 165 heures de

_temps

CPU sur

_DecAlpha

_{pour construire}

4> *

499

On

_peut

se demander comment nous _pouvonsvérifier les calculs faits.

La

_façon

la

_plus

convaincante est d’utiliser les

_propriétés

de factorisation

des

_{4l(F, J)}

modulo _p.Pour

_cela,

on calcule des nombres de

_points

sur des courbes E modulo de

_petits

nombres

_premiers

p et on choisit une valeur de

j

pour

laquelle

la

décomposition

est

_{remarquable :}

cela se fait en utilisant la

proposition

4.1 de

_[21],

en connaissant t. On factorise alors

_{16(X, j) modp}

et on _{compare les}résultats. Le

_type

de

décomposition

est si

_atypique

_que cela suffit pour se convaincre.

3.

_Implantation

de

_{l’algorithme}

SEA

L’algorithme

de Schoof utilise les

_propriétés

des

_points

de 1-torsion modulo

p. En

particulier,

tous les calculs doivent être faits modulo le

_polynôme

de 1-division noté L’idée d’Elkies est de

_remplacer

les calculs modulo

ce

polynôme

_pardes calculs modulo un facteur de ce

_polynôme,

_quand

cela

est

_possible.

3.1.

_Description

_{schématitque. L’algorithme}

_procède

ainsi. Pour 1

_L,

on effectue les

_opérations

suivantes.

(1)

On calcule une

équation

de soit

J) .

(2)

On recherche

_{si $(X)}

=

mod p

a des racines modulo p ;

si

_oui,

on

_peut

utiliser les idées d’Elkies et calculer un facteur

de _parla méthode d’Atkin

_(décrite

_{ci-dessous) ;}

on recherche

alors la valeur

_{propre k}

telle que

dans

_{IFp[X,Y]j(gl(X),y2 -}

_(X3

+ AX +

_B)),

ce

_qui

donne t

(16)

(3)

Si

_~(X)

_{n’a pas de racine modulo}p, on détermine les classes de t

possibles

en déterminant le

_type

de factorisation de

_~(X)

_{mod p.}

Le nombre 1 est dit nombre

_premier

On s’arrête

quand

le

_produit

des nombres

_{premiers 1 dépasse}

la borne 3.2. Utilisation de calculs sur les formes modulaires. On note

le réseau

_7GW1

+

ZúJ2

avec T =

w2/cy

_E7. Identifions la courbe

E à Comme

_expliqué

dans

_[21],

le calcul d’un facteur

du

_polynôme

de division

_ft(X)

se réduit essentiellement au calcul des

coefficients de la courbe

Ê

=

d’équation y2

=

x3

₊

Âx

₊

B,

ainsi

_qu’à

celui de

. -.,

Il est _{facile de voir que la courbe}

E

est

_isomorphe

à

E

=

Notons tout de suite

_{que j * = j .}

On utilise les notations de

_[21].

Soit la série d’Eisenstein d’ordre ~ . On a les formules

On fera désormais les conventions 2ix = 1 et

f’(q)

=

qdf

/dq.

Rappelons

les

formules :

Le but de cette section est de trouver des formules

_algébriques

pour les

(17)

3.2.1. Le cas

canonique.

On

rappelle

_que

est racine d’une

_équation

du

_type

On commence _par

calculer A

_par

On calcule ensuite

soit pi =

Détermination de

Ê4.

On différencie

_{l’équation}

On pose

On obtient

On

_remplace

alors J’ à l’aide de

₍₆₎

et F’ à l’aide

_{de (9) :}

ce _quel’on

_récrit,

en introduisant les notations

DF =

F8F,

D J

= _et

Eo

= _en

-On différencie cette relation et on obtient :

On

_remplace

de nouveau F’ et

_{J’ par}

leurs valeurs. On trouve

, ...

-Pour

_simplifier,

on _pose

(18)

Nous allons maintenant chercher une relation faisant intervenir

_E4

et

.Eo’,

ce

qui

nous donnera

Ë4

_après

élimination de

_Eo’.

Pour ce

faire,

on

commence _pardifférencier

On trouve

Mais _parailleurs:

en

_appliquant

deux fois

_(8).

Il ne reste

_{plus qu’à}

_reporter

la valeur de Z’ dans

₍₁₁₎

_pourfinalement trouver:

L’élimination de

_Eo’

entre

₍₁₀₎

et

₍₁₂₎

_permet

de trouver

Ê4.

Détermination de

_É6.

Notons _pourcommencer _quenous

avons j

à l’aide

de

_(5).

_Ensuite,

on différencie

’

ce

qui

donne

On écrit alors , et on trouve

ce

_qui

nous donne

Ë6.

.Exemple numérique.

On considère la

_{courbe y’ =}

~3

+ x + 1 mod 101 et on

choisit 1 = 7. Dans _ce

cas, on a v = 1 et s = 2.

Le

_{polynôme ~7}

a _pourvaleur :

On calcule J = 34. Modulo

_101,

_on_trouve

(19)

On choisit F = 20 _ce

_qui

donne immédiatement

F

=

72/20

= 58. On _en

déduit

A =

_{(F6A)/7 12}

= 87. On calcule alors

D’autre

_part,

on a

_E4

=

-1/3

=

_{67, Eo =}

-1/2

= 50. On obtient

d’abord Z =

64, puis

E4

= 72.

Enfin,

_ontrouve J = 90 _et

E6

= 45. D’où

l’équation

de la courbe

_isogène

A

_{= 19,}

B

= 26 et _p1=31.

3.2.2. Le cas de On

_part

cette fois d’une

_équation

du

_type

où F

_représente

une fonction sur

rô(f).

Notons tout de suite que par

application

de we, on obtient

Cette

_fois,

nous devons rechercher les racines de cette

_équation

de

_degré

/y 111 IV Y

2v - 1 en

J.

Pour

chaque

valeur de

j,

on calcule alors les

_quantités

_E4,

Ê6

et _{Z pour}finalement calculer le facteur de

_qu’il

faudra vérifier _par

les méthodes décrites

_plus

loin.

Détermination de

_Ê4

et

Ë6.

On différencie une

première

fois

(14) :

d’où l’on tire

On différencie ensuite

₍₁₅₎

d’où l’on obtient

Il ne reste

_{plus qu’à remplacer}

.F’ _parsa valeur

(16)

_pourtrouver la valeur de Une fois cela

_fait,

on calcule

Ê4

_par

(20)

Détermination

de pl.

On différencie

₍₁₄₎

une deuxième fois:

On calcule alors J" _pardifférenciation de

_{(6) :}

On

_injecte

cette valeur dans la relation

_précédente

et on

_remplace

J’ _par sa valeur. On trouve alors :

On utilise alors

₍₁₆₎

_pour

_simplifier

cette relation :

.

On effectue le même travail à

_partir

de

_{(15) :}

où il faut lire

(21)

Exemple numérique. Reprenons

la courbe

_{d’équation y2}

= X3

+ x + 1 mod 101. Prenons cette fois 1 = 23. On trouve

ce

_qui,

_après

substitution

de J =

34,

donne

pour racines .F = 20 _etF = 42.

Choisissant F =

20,

on en déduit

que j

est racine de

Or ~T = 34 _est_aussi_uneracine de _ce

polynôme,

donc i

= 2. On _trouve

alors F’ =

_{66, puis}

È,

=

_46,

É6

=

_5,

,Z = 62.

3.3. Calcul des coefficients de Posons d =

(1 - 1)/2.

On

peut

calculer

1 1 , ,

comme dans

[21,

Th.

5.3]

ou bien on

_peut

_développer

la _relation

_{considérée,}

comme dans

_{[10] (également [4]).}

Soient

_p(z)

et

_p(z)

les fonctions de

Weierstrass associées

_{respectivement}

aux courbes E et

Ê.

On a

avec les _uidans

_.Bj,

et de même pour

g3.

Avec les notations de

_[21],

on a

(22)

pour 1~ > 3 et _{de même pour}

_g5.

Posant

on montre alors que

pour k

> 1 et en

particulier

ce

_qui

_permet

de calculer les pi de

proche

en

_proche

et de terminer avec les sommes de Newton.

3.3.1. Vérification de La

_façon

la

_{plus simple}

de vérifier que

est bien un facteur de

fi

est de calculer

_{1(X, Y)}

dans

Si

_g~(X)

est bien un

facteur,

alors cette

quantité

doit valoir

Q,~.

Cette manière de

_procéder

est relativement couteuse. Une

_approche

proba-biliste consiste à remarquer que si gl est bien un

facteur,

alors les _pisont

les sommes de

_puissances

des racines

de 9i.

et elles doivent vérifier en

particulier :

pour tout i > 0. Si cette relation n’est _pasvraie pour une valeur de

_i,

alors

Bi n’est pas le facteur attendu.

En

_pratique,

on utilise d’abord cette idée

(typiquement

_pourtous les

i

_4),

_puis

on _{prouve que}le facteur est bon à l’aide de la

_première

méthode. 3.3.2.

_{Exemple numérique.}

Considérons

_toujours

_{E : y2}

= x3

+ x +

1 mod 101 et 1 = 7. On _{a vu}

que A

= 19,

B = 26 et _pi= 31. On _trouve

alors _que

qui

est bien un facteur de

f7(X).

(23)

3.4. Recherche des valeurs

_possibles

de t mod ~. Si 1 est un nombre

premier

d’Elkies,

dans le cas

_{général, 4l«F, J)}

a deux racines distinctes

_Fi

et

_.F2

et s facteurs de

_{degré r}

tel _{que rs}= ~ ~-1. D’autre

_part,

_d’après

_[21~,

s doit être tel _que

~ ’"

Si 1 est un nombre

premier d’Atkin,

4l(F, J)

se factorise comme un

produit

de s facteurs irréductibles de

_{degré r}

où r est l’ordre de

_a//3,

avec

a et

_{Q les}

racines de

X 2 -

tX

_{+ p ~}

0 mod 1 dans

_F12.

On a donc r s = 1 + 1

et on utilise aussi le fait _que

D’un

_point

de vue

_pratique,

on

_dispose

de

_Xp

= XP mod où %

est le

_polynôme

dont on a éventuellement enlevé les facteurs

linéaires. Avec

_cela,

r est le

_{plus petit}

entier

_compatible

avec les conditions

précédentes,

pour

lequel

Si 1 est un nombre

_{premier d’Atkin,}

on détermine un ensemble

T

de

valeurs

_possibles

de t mod ~. Ces informations

_peuvent

être utilisées avec

les autres valeurs de t connues, dans un _{processus de tri-recherche}décrit

dans

_[1].

Utiliser ces informations

_permet

de réduire notablement la taille

des 1 utilisés. Notons _queles 1 intéressants sont ceux _pour

lesquels 1

+ 1 a

beaucoup

de diviseurs et r est

petit.

Si r est

_trop

_grand,

l’ensemble

T

est

trop

grand

et les calculs à faire sont

_trop

nombreux.

3.5. Utilisation de

_{l’algorithme original}

de Schoof.

_Supposons

que

1 soit un nombre

premier

d’Atkin. Si 1 est

_petit,

on

_peut

_{songer à utiliser la}

formulation

_originale

de

_{l’algorithme}

_d’Atkin,

_i.e.,

chercher t mod 1 tel que

dans

_(X3

+ AX +

_{B) ~}

Soit r le

degré

du

plus petit

facteur de ~. Comme

remarqué

_par

Dewaghe

[9],

le

_polynôme

de 1 division a s facteurs de

degré

r(~ -1)/2.

On

_peut

calculer un de ces facteurs de la

façon

suivante. Soit

.P(X)

un facteur de

degré

r de ~. On utilise alors les formules d’Elkies en

_prenant

comme

racine de

_~,

la

_quantité

X mod

_P(X).

On calcule ainsi un facteur de

_degré

(l - 1)/2

de dans

_{Fpr ,}

d’où l’on déduit un facteur de

fi(X)

dans

_Fp

par

conjugaison.

Remarquons

qu’une façon agréable

de

_procéder

consiste à calculer les

_quantités

pi

pour i

r (~ -1 ) /2

et à calculer les

conjugués

de

(24)

3.fi. Recherche de la valeur _propre.Une fois r

_trouvé,

il est facile d’en

déduire les valeurs

_possibles

de t mod 1. Dans le cas des nombres

_premiers

d’Elkies,

d’en déduire les valeurs

_possibles

des valeurs propres, ce

_qui

réduit

les calculs de

_comparaison

de la

_phase

finale: on

_peut

alors chercher à

évaluer tous les

_Y)

_possibles

en cherchant une chaîne d’addition

_passant

par tous les k.

Une autre

_{stratégie possible}

consiste à utiliser

_{l’algorithme}

des _pasde

bébés et des pas de

géants

pour trouver

_k,

ce

_qui

donne une méthode en

0(B/Z),

qui

est rentable

_{pour 1}

assez

_grand.

Dans certains cas, il n’est pas nécessaire de comparer

(XP,

YP)

à

(Xk,

~ (X, Y),

mais seulement YP à

_Yk,

ce

_qui

économise le calcul de XP.

THÉORÈME

3.1

_(ATKIN).

On suppose

qu’on

a trouvé k tel _queYP =

Yk.

Alors k est la valeur _proprecherchée si l’une des deux conditions suivantes

est

_{satisfaite: 1}

= 2 mod 3 ou le

coefficients

de

degré

{~ - 3)/2

de

9t(X)

est

non nul.

Des améliorations récentes ont été

_apportées

_parMüller dans

_[18].

Ces améliorations sont d’autant

_plus

efficaces

_qu’on

les combine avec celles de

Dewaghe

[9].

4. Un

_exemple

commenté ,

Le record actuel

_{(janvier 1995)}

est dû à l’auteur et nous donnons

quelques

précisions

ci-dessous.

Soit p =

10499

₊153 _etsoit .E la courbe

d’équation

Le nombre de

_points

de E est

Les calculs ont été faits sur

plusieurs DecAlpha (du

LIX et à

_l’INRIA)

et

se sont terminés le

_{26 janvier}

1995. Il a fallu 2900 heures pour le calcul de

(25)

Dans le cas où 1 est de

_type

A

_(c’est

_par

_exemple

le cas de 1 =

271),

on

_peut

tenter de recourrir à

_{l’algorithme original}

de Schoof en utilisant

l’approche

de

_Dewaghe

_[9].

Dans les tableaux

_qui

_suivent,

on donne des

_{renseignements}

complémen-taires sur t mod In. Si 1 est de

_type

_E,

on donne les valeurs _propresde

4>

ainsi _queleurs ordres sous la forme

(t, l~l , d 1, k2 , d2 ) .

Dans le cas

_A,

on

donne le

_rapport

entre

_{~/(~ 2013 1)}

où n est le nombre de classes

possibles

de

t mod 1

_(plus

le

_rapport

est

_{petit, plus 1}

est

_utile).

Une étoile

_indique

_que

le nombre

_premier

a été retenu _{pour la}

_phase

de tri-recherche. Noter que

tous

les nombres

_premiers

ne sont _pas

_{présents :}

la recherche de toutes les

valeurs est

_parfois

coûteuse et n’est intéressante que si 1 + 1 a

_beaucoup

de

diviseurs.

5. Conclusion

Nous avons tenté de donner un _{aperçu des}

techniques

à mettre en oeuvre

pour

compter

le nombre de

_points

sur une courbe

_elliptique

modulo _p.

D’autres améliorations ont été

_{apportées récemment,}

en

particulier

en ce

qui

concerne l’utilisation des

puissances

des nombres

_premiers

d’Elkies. Nous renvoyons à

[5]

pour cela.

Signalons

pour finir que, dans le cas de la

caractéristique

2,

le record actuel est le calcul de la cardinalité d’une courbe

elliptique

dans

_F26o,,

détenu _parLercier. ’

Remerciements. L’auteur tient à remercier 0. Atkin _pourson aide

pré-cieuse lors de

_{l’implantation}

de

_{l’algorithme}

et _pourses

_réponses

aux

nom-breuses

_questions

_quel’auteur lui a

posées ;

B. Edixhoven _pourses

éclaircis-sements concernant les

_propriétés

de la courbe

Xo

(1) ;

R. Schoof pour de

fructueuses discussions concernant SEA et _{pour avoir}mis à sa

_disposition

son article

[21].

BIBLIOGRAPHIE

[1]

A. O. L.

_Atkin,

The number

_{of points}

on an

_elliptic

curve modulo a _prime,

Manuscrit,

1988.

[2]

A. O. L.

_Atkin,,

The number

_of

points

on an

_elliptic

curve modulo a

_prime

(ii),

Manuscrit,

1992.

[3]

B. J. Birch et W.

_Kuyk

_(Réd.),

Modular

_{functions of}

one variable

IV,

Lecture

Notes in

_Math.,

vol.

_476,

_Springer,

1975,

Proceedings

International Summer

School

_University

of

_{Antwerp, RUCA, July}

_17-Agust

_{3, 1972.}

[4]

L. S.

_Charlap,

R.

_Coley,

et D. P.

_Robbins,

Enumeration

_of

rational

_points

on

elliptic

curves over

finite fields,

Manuscrit,

1991.

[5]

J.-M.

_Couveignes

et F.

Morain,

Schoof ’s algorithm

and

_{isogeny cycles,}

ANTS-I

(L.

Adleman et M.-D.

_Huang,

_Réd.),

Lecture Notes in

_Comput.

_Sci.,

vol.

_877,

(26)

[6]

J.-M.

_{Couveignes, Quelques}

calculs en théorie des _nombres,

_Thèse,

Université de Bordeaux

_{I, juillet}

1994.

[7]

P.

_Deligne

et M.

_Rapoport,

Les schémas de modules de courbes

_elliptiques,

Modular functions of one variable II

_(P.

_Deligne

et W.

_Kuyk,

_Réd.),

Lecture Notes in

_Math.,

vol.

_349,

_{Springer, 1973, Proceedings}

International Summer School

University

of

_Antwerp,

_RUCA,

_July

_17-Agust

_{3, 1972,}

p. 143-316.

[8]

P.

_Deligne

et

_{J,-P, Serre,}

Formes modulaires de

poids

1, Ann. scient.

Éc.

Norm.

Sup.

7

_(1974),

507-530.

[9]

L.

_{Dewaghe, Remarques}

sur

_{l’algorithme SEA,}

en

_{préparation,}

décembre 1994.

[10]

Noam D.

_{Elkies, Explicit}

_isogenies,

_{Manuscrit, 1991.}

[11]

R.

_Fricke,

Lehrbuch der

_Algebra,

III,

F.

_Vieweg

and

_Sohn,

_{Braunschweig,}

1928.

[12]

D. E.

_Knuth,

The Art

_{of Computer Programming :}

Seminumerical

_algorithms,

Addison-Wesley,

1981.

[13]

F.

_Lehmann,

M.

_Maurer,

V.

_Müller,

et V.

_Shoup,

_Counting

the number

_of

points

on

elliptic

curves over

_{finite fields}

_of

characteristic _greaterthan

_three,

ANTS-I

_(L.

Adleman et M.-D.

_Huang,

_Réd.),

Lecture Notes in

_Comput.

_Sci.,

vol.

_877,

_{Springer-Verlag,}

_1994,

p. 60-70.

[14]

R. Lercier et F.

_Morain,

_Counting

points on

_elliptic

curves over

_Fpn

using

Couveignes’s algorithm, Rapport

de Recherche

_{LIX/RR/95/09,}

École

Polytechnique,

septembre

1995.

[15]

R. Lercier et F.

_Morain,

_Counting

the number

_of

_points

on

elliptic

curves over

finite fields:

_strategies

and

performances,

Advances in

Cryptology

-EUROCRYPT’95

_(L.

C. GUILLOU et J.-J.

_QUISQUATER,

_réd.),

Lecture Notes

in

_{Comput. Sci.,}

no.

_{921, 1995,}

_p.79-94.

[16]

K.

_Mahler,

On a class

of

non-linear

functionat

_equationsconnected with

modular

_functions,

J. Austral. Math. Soc. Ser. A

_{22 (1976),}

65-120.

[17]

B.

_Mazur,

Modular curves and the Eisenstein

ideal,

Inst. Hautes

Études

Sci.

Publ. Math. 47

_(1977),

33-186.

[18]

V.

_Müller,

_Looking

_for

the

_eigenvalue

in

_{Schoof’s algorithm,}

en

_{préparation,}

octobre 1994.

[19]

B.

_{Schoeneberg, Elliptic}

modular

_functions,

Die Grundlehren der mathema tischen Wissenschaften in

_{Einzeldarstellungen,}

vol. _203,

_{Springer-Verlag,}

1974.

[20]

R.

_Schoof,

_Elliptic

curves over

_{finite fields}

and the _{computation of}_{square roots}

mod p, Math.

Comp.

44

(1985),

483-494.

[21]

René

_Schoof,

_Counting

_points

on

_elliptic

curves over

_{finite fields,}

J. Théorie

des Nombres de

Bordeaux,

7

_(1995),

219-254.

[22]

J. H.

_Silverman,

The arithmetic

_of

_elliptic

curves, Graduate Texts in

(27)

(28)

(29)

François

MORAIN

Laboratoire

_{d’Informatique}

_(LIX)

École

Polytechnique

91128 Palaiseau

_Cedex,

France e-mail: