Vous êtes sur la page 1sur 77

UCL Crypto Group Technical Report Series

Introduction elementaire a la theorie des courbes elliptiques


Marc Joye
R EG AR D S

GROUPE

http://www.dice.ucl.ac.be/crypto/

Technical Report CG{1995/1


Place du Levant, 3 B-1348 Louvain-la-Neuve, Belgium Phone: (+32) 10 472541 Fax: (+32) 10 472598

Introduction elementaire a la theorie des courbes elliptiques


Marc Joye

25 juin 1995
Departement de Mathematique (AGEL), Universite catholique de Louvain Chemin du Cyclotron, 2, B-1348 Louvain-la-Neuve, Belgium E-mail: joye@agel.ucl.ac.be

La theorie des courbes elliptiques a connu un recent regain d'inter^t e gr^ce a l'emergence de la cryptographie. Tout a commence lorsque Lensa tra a decouvert un algorithme de factorisation polynomial sur ces structures. Ensuite, en 1985, Koblitz et Miller ont propose independamment d'adapter les protocoles cryptographiques existant sur les courbes elliptiques. Ce rapport est organise comme suit. Les trois premieres parties fournissent les bases necessaires. Le lecteur ayant une certaine culture mathematique peut commencer la lecture a la partie IV. Celui-ci introduit la theorie des courbes elliptiques. Nous verrons qu'a toute courbe elliptique est associee une structure de groupe. Par ailleurs, nous montrerons qu'une courbe elliptique est birationnellement equivalente a une forme particuliere : les equations de Weierstrass. En n, le derniere partie propose quelques applications liees aux courbes elliptiques. Nous verrons comment il est possible de tester la primalite d'un nombre et s'il n'est pas premier, comment le factoriser. Ces methodes sont basees sur le theoreme de Hasse qui donne une approximation de la cardinalite d'une courbe elliptique. Finalement, les schemas de Di e-Helman et d'El Gamal seront adaptes pour pouvoir ^tre utilises sur les courbes elliptiques. e Bonne lecture.

CG{1995/1

c 1995 by UCL Crypto Group For more informations, see

http://www.dice.ucl.ac.be/crypto/techreports.html

Table des matieres


I Notions elementaires d'algebre superieure II Corps nis
I.1 Groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.2 Anneaux et corps . . . . . . . . . . . . . . . . . . . . . . . . . I.3 Homomorphismes et isomorphismes . . . . . . . . . . . . . . .

4 6 8

II.1 Corps et domaine euclidien . . . . . . . . . . . . . . . . . . . . 11 II.2 Cardinalite d'un corps ni . . . . . . . . . . . . . . . . . . . . 13 II.3 Le corps ni F q (avec q = pm et p premier) . . . . . . . . . . . 13 III.1 Le plan projectif P2 . . . . . . . . . . . . . . . . . . . . . . . . 17 III.2 Intersections et theoreme de Bezout . . . . . . . . . . . . . . . 21 IV.1 De nition . . . . . . . . IV.2 Equations de Weierstrass IV.3 Reduction d'une cubique IV.4 Loi de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

III Plan projectif et courbes planes IV Courbes elliptiques

17

29

29 29 33 36

V Applications

V.1 Test de primalite et factorisation . . . . . . . . . . . . . . . . 53 V.2 Protocoles cryptographiques . . . . . . . . . . . . . . . . . . . 68

53

CG{1995/1

Partie I

Notions elementaires d'algebre superieure


Resume. Dans cette partie seront revues les de nitions d'un groupe,
d'un anneau et d'un corps. Plusieurs theoremes importants sur ces structures seront egalement abordes. En n, les de nitions d'homomorphisme et d'isomorphisme seront rappelees. A n de faciliter la comprehension, de nombreux exemples illustreront les de nitions.

I.1 Groupes

De nition 1. Un groupe est un couple forme d'un ensemble G et d'une loi


de composition (x y) 7! xy sur l'ensemble G. Ces donnees doivent veri er les trois conditions : 8x y z 2 G : (xy)z = x(yz) (associativite) 91 2 G tel que 8x 2 G : x1 = 1x = x (existence d'un element neutre) 8x 2 G 9x;1 2 G tel que x;1x = xx;1 = 1 (existence d'un element inverse pour tout element du groupe). Si la loi de groupe est commutative, le groupe est appele groupe commutatif (ou abelien ). Pour un groupe commutatif, nous utilisons l'ecriture additive au lieu de l'ecriture multiplicative, i.e. la loi de composition est (x y) 7! x + y. Dans cette notation, l'element neutre est habituellement note 0 et l'inverse d'un element x est note ;x.
Exemple 1. L'ensemble des entiers muni de la loi de composition (x y) x + y, i.e. le groupe additif Z note (Z +), forme un groupe commutatif.

7!

Exemple 2. L'ensemble des reels non nuls muni de la loi de composition (x y) 7! xy, i.e. le groupe multiplicatif R note (R ), forme un groupe commutatif.y
Lorqu'un ensemble est muni d'une asterisque, cela signi e l'ensemble des elements inversibles de l'ensemble.
y

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques non vide et si (x 2 H y 2 H ) xy;1 2 H ).

De nition 2. Une partie H d'un groupe G est un sous-groupe de G si H est


Exemple 3. Le groupe additif Z est un sous-groupe du groupe additif R .

Theoreme 3. Tout sous-groupe M du groupe addidif Z est de la forme M =


mZ ou m est le plus petit entier positif de M .
Preuve. (i) Si M = f0g, alors il su t de prendre m = 0. (ii) Nous pouvons donc supposer M 6= f0g. Soit d le plus entier strictement positif de M . Par l'absurde, si un element x de M n'est pas un multiple de d, alors 9k : kd < x < (k + 1)d. Mais alors y = x ; d ; ; d = x ; kd 2 M . Or 0 < y = x ; kd < d, ce qui contredit le fait que d est le plus entier positif de M . t u Remarque. Un sous-groupe commutatif dont la loi de composition est note additivement et dont l'element neutre est note 0 est appele un module. Le theoreme precedent peut alors se formuler : Tout module d'entiers M 6= f0g est genere par son plus petit entier strictement positif.

Corollaire 4. Soient a b et c des nombres entiers. L'equation diophantienne


ax + by = c
admet des solutions entieres si et seulement si le plus grand diviseur commun de a et de b divise c. Notation. Soient a et b deux entiers. Le plus grand commun diviseur de a et de b est note pgcd(a b) ou encore (a b). Si a divise b, alors nous ecrivons ajb. Preuve. Les entiers de la forme ax + by appartiennent a M dont le generateur est d = (a b). Pour que ax + by = c ait des solutions entieres, il faut et il su t que c appartienne a M , c.-a-d. que c soit un multiple entier de (a b). t u entre eux si et seulement si 9u v 2 Z : au + bv = 1. Preuve. Trivial par le corollaire 4. groupe ni si n est ni et dans ce cas, n designe l'ordre du groupe.

Corollaire 5 (Theoreme de Bezout). Les entiers a et b sont premiers De nition 6. Soit G un groupe comportant n elements. Alors G est un
Un element a de G est d'ordre l si l est le plus entier strictement positif tel que al = 1.
CG{1995/1

t u

Introduction elementaire a la theorie des courbes elliptiques


Tout element a de G satisfait a an = 1.

Theoreme 7 (Theoreme de Lagrange). Soit G un groupe ni d'ordre n.


Preuve. Notons l l'ordre de l'element a. (i) Construisons l'ensemble C0 = fa a2 a3 : : : al = 1g. Tous les elements de C0 sont forcement distincts sinon il existerait 0 < s < t < l tels que at;s = 1, ce qui contredit la minimalite de l. Si G = C0, alors n = l et le theoreme est demontre. (ii) Construisons le coensemble C1 a partir d'un element b1 2 GnC0 :

C1 = fab1 a2 b1 a3b1 : : : al b1 = b1 g: Tous les elements de C1 sont distincts entre eux par la minimalite de l et sont distincts de ceux de C0 car b1 62 C0 . Si G = C0 C1, alors n = 2l et le theoreme est demontre. (iii) Nous recommencons de m^me jusqu'a ce que G = C0 C1 : : : Ch ou e Ci = fabi a2 bi a3 bi : : : al bi = big avec bi 2 Gn ik;1 Ck . Nous obtenons donc =0 n = (h + 1) l et le theoreme est demontre. t u
Le theoreme de Lagrange montre que l'ordre d'un element divise toujours l'ordre de son groupe. S'il existe un element dont l'ordre est egal a celui de son groupe, alors le groupe est appele groupe cyclique et un tel element est appele generateur du groupe.

I.2 Anneaux et corps

De nition 8. Un anneau est un triplet forme d'un ensemble K et de deux

lois de composition (x y) 7! xy et (x y) 7! x + y sur l'ensemble K . Ces donnees doivent veri er les trois conditions suivantes : (K +) est un groupe commutatif la loi de composition (x y) 7! xy est associative et admet un element neutre 1 8x y z 2 K : x(y + z) = xy + yz (distributivite). Si la loi de composition (x y) 7! xy est commutative, alors l'anneau est commutatif.
Exemple 4. L'ensemble des entiers muni des lois composition habituelles (addition et multiplication) forme un anneau commutatif : l'anneau des entiers rationnels.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

De nition 9. Une partie A d'un anneau K est un sous-anneau de K si A

est un sous-groupe du groupe additif K , si (x y 2 A ) xy 2 A) et si 1 2 A. De nition 10. Un anneau K est un domaine integral si pour x y z 2 K : (xy = xz et x 6= 0 ) y = z): De nition 11. Soit un anneau K . Nous dirons que K est un corps si tout element non nul de K est inversible.y L'ensemble des elements inversibles de K est note K . Si nous munissons cet ensemble K de la loi de composition (x y) 7! xy, il designe le groupe multiplicatif de l'anneau K . Dans le cas ou K est un corps, alors nous avons K = K nf0g. Exemple 5. Les anneaux Q et R sont des corps, appeles respectivement corps des nombres rationnels et corps des nombres reels. Exemple 6. Par contre, l'anneau Z n'est pas un corps car les seuls elements non nuls qui sont inversibles sont 1 et ;1, i.e. Z = f1 ;1g. De nition 12. Un anneau K est integre, ou encore K est un anneau d'integrite, si pour x y 2 K : (xy = 0 ) x = 0 ou y = 0): Tous les anneaux ne sont pas integres. Si xy = 0 n'implique pas x = 0 ou y = 0, les elements x et y sont appeles diviseurs de zero. Exemple 7. L'anneau (Z=4Z) n'est pas integre car 2 2 = 0. Une equation de degre n peut par consequent avoir plus de n racines dans (Z=4Z). Proposition 13. Si K est un corps, alors K est un domaine integral et un anneau d'integrite. Preuve. (i) Montrons que K est un domaine integral. Soient x y z 2 K avec x 6= 0, alors xy = xz ) x;1 xy = x;1 xz ) y = z: (ii) Montrons que K est un anneau d'integrite. Soient x y 2 K avec x 6= 0, alors xy = 0 ) x;1 xy = 0 ) y = 0:
Dans la de nition du corps, il faut en plus exiger que 1 6= 0 un corps possede donc au moins deux elements.
y

t u

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

De nition 14. Une partie I d'un anneau K est un ideal a gauche de K si


1. I est un sous-groupe du groupe additif K 2. 8a 2 K 8x 2 I : ax 2 I . De m^me, un ideal a droite d'un anneau K est un sous-groupe du groupe e additif K tel que 8a 2 K 8x 2 I : xa 2 I . Si K est commutatif, on parle alors d'ideal bilateral ou tout simplement d'ideal.

Proposition 15. Si K est un corps, alors les seuls ideaux a gauche de K


sont f0g et K . Preuve. (i) I = f0g est un ideal a gauche de K , car 8a 2 K : a0 = 0 2 I . (ii) Supposons que I contienne un element non nul x. Alors x est inversible : x;1 x = 1 2 I . Par consequent, a1 = a pour tout a 2 K , d'ou I = K . t u

De nition 16. Un anneau principal est un anneau d'integrite commutatif


dont tous les ideaux sont principaux.y
Remarque. En anglais, le mot eld est egalement utilise. Ce mot est parfois traduit par \champ" et designe un corps commutatif.

De nition 17. Soient deux groupes G et H . L'application f : G ! H est


un homomorphisme de G dans H si

I.3 Homomorphismes et isomorphismes


8x y 2 G : f (xy) = f (x)f (y):

(I.1)

Si, dans la relation (I.1), nous prenons y = 1, alors f (1) = 1 et si nous prenons y = x;1 , alors f (x;1 ) = (f (x));1.
Remarque. Dans la de nition, nous avons utilise l'ecriture multiplicative pour les groupes G et H . Si les groupes sont notes additivement, il faut bien s^r u adapter la de nition en consequence. Par exemple, si le groupe G est note additivement et le groupe H multiplicativement, alors la relation (I.1) devient f (x + y) = f (x)f (y).
x (2 K )
y

Dans un anneau commutatif dans K , i.e. I = xK .

K,

un ideal principal est l'ensemble des multiples de

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

Exemple 8. Soient G le groupe additif Z, H un groupe multiplicatif quelconque et a un element de H . L'application f : Z ! H : n 7! an est un homomorphisme de Z dans H . En e et, f (n1 + n2) = an1+n2 = an1 an2 = f (n1 )f (n2).

De nition 18. Soient deux groupes G et H . Tout homomorphisme bijectif


de G dans H est appele isomorphisme de G dans H . Nous disons alors que les groupes G et H sont isomorphes.
Exemple 9. La fonction \logarithme" est un isomorphisme du groupe multiplicatif R + dans le groupe additif R : log(xy) = log(x) + log(y).

De nition 19. Soient deux anneaux K et L. L'application f : K ! L est


un homomorphisme de K dans L si 8x y 2 K

Un isomorphisme d'un groupe G dans lui-m^me est un automorphisme. e

f (x + y) = f (x) + f (y) et f (xy) = f (x)f (y):

De nition 20. Soient deux anneaux K et L. Tout homomorphisme bijectif


de K dans L est appele isomorphisme de K dans L. Nous disons alors que les anneaux K et L sont isomorphes.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

I Un groupe est un ensemble muni d'une loi de composition appelee

A retenir.

multiplication qui permet de multiplier deux elements de l'ensemble. Si la loi de composition est commutative, alors elle est appelee addition. I Un anneau est un ensemble muni de deux lois de composition appelees multiplication et addition telles que la multiplication est distributive par rapport a l'addition et qui permettent de multiplier et d'additionner des elements de l'ensemble. I Un anneau K est domaine integral si pour x y z 2 K : (xy = xz et x 6= 0 ) y = z). I Un corps est un anneau dont tous les elements non nuls sont inversibles. I Une application f d'un groupe G dans un groupe H est un homomorphisme de groupes si 8x y 2 G : f (xy ) = f (x)f (y ). I Une application f d'un anneau K dans un anneau L est homomorphisme d'anneaux si 8x y 2 K : f (xy ) = f (x)f (y ) et f (x + y ) = f (x) + f (y). I Un isomorphisme est un homomorphisme bijectif.

CG{1995/1

Partie II

Corps nis
Resume. Cette partie a pour but de montrer comment construire un corps a partir d'un domaine euclidien. Ensuite, il sera demontre que la cardinalite d'un corps ni est toujours une puissance d'un nombre premier. En particulier, ce theoreme permettra de representer les elements de F pm comme des m-uples de F p .

II.1 Corps et domaine euclidien

De nition 21. Un domaine euclidien est un domaine integral D muni de la

fonction g : D ! N a 7! g(a), telle que g(a) g(ab) si b 6= 0 8a b 6= 0 2 D 9q r 2 D : a = qb + r avec r = 0 ou g(r) < g(b). Exemple 10. L'ensemble des entiers Z avec g (n) = jnj forme un domaine euclidien. Exemple 11. L'anneau des polyn^mes a une variable a coe cients dans K , o i.e. D = K x], avec g(f (x)) = degre(f ) forme un domaine euclidien. Theoreme 22. Soit B = fb1 b2 : : : bng un sous-ensemble ni d'un domaine euclidien D, alors B a un plus grand commun diviseur d qui peut ^tre exprime e comme une combinaison lineaire des bi :

d=

n X i=1

i bi :

Preuve. (i) Construisons l'ensemble S = f n=1 ibi j i 2 Dg. Soit d i un element non nul de S pour lequel g(d) est minimal. Comme d 2 S , P d = n=1 ibi . Montrons que ce d ainsi de ni est un diviseur commun de i B cela revient a montrer que djbi pour i = 1 2 : : : n. Nous savons, par la de nition 21, que bi = dqi + ri pour i = 1 2 : : : n avec ri = 0 ou g(ri) < g(d). Or comme g(d) est minimal, cela implique que ri = 0, c.-a-d. djbi pour i = 1 2 : : : n. (ii) Il reste a montrer que c'est le plus grand diviseur. Par l'absurde, supposons qu'il existe e un diviseur commun de B , i.e. 9qi0 tels que biP eqi0 pour = i = 1 2 : : : n. Or d est une combinaison lineaire des bi , donc d = n=1 ibi = i P e n=1 iqi0 , ce qui signi e que d est un multiple de e. t u i
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

11

Le theoreme precedent permet d'etendre le theoreme de Bezout aux domaines euclidiens.

Corollaire 23 (Theoreme de Bezout etendu). Les elements a et b d'un


domaine euclidien D sont premiers entre eux si et seulement 9u v au + bv = 1. Preuve. Trivial.

2D: t u

Theoreme 24. Soit D un domaine euclidien. Si p 2 D est premier, alors


K = D mod p est un corps.
Preuve. Soit a un element non nul de D. Comme p est premier, par le corollaire 23, 9u v 2 D : au + pv = 1 et donc au 1 (mod p). Tout element non nul de D mod p est par consequent inversible. t u

Nous sommes maintenant en mesure de construire des corps.


Exemple 12. Si nous prenons D = Z et un quelconque nombre premier p, nous obtenons un corps ni qui contient exactement p elements f0 1 : : : p ; 1g. Notation. Le corps ainsi de ni est habituellement note F p ou encore GF (p).y Exemple 13. Prenons D = R x], l'ensemble des polyn^mes a une variable a o coe cients reels et p = x2 +1, un polyn^me irreductible dans R . Les elements o de D mod p sont des polyn^mes du premier degre. Soient f (x) = ax + b et o f 0(x) = a0 + b0 x deux elements de D mod p. L'addition de f (x) et de f 0(x) donne f (x) + f 0(x) = (a + a0) + (b + b0 )x: La multiplication, quant a elle, donne

f (x)f 0(x) = aa0 + (ab0 + a0b)x + bb0 x2 = (aa0 ; bb0 ) + (ab0 + a0 b)x:

Nous voyons que si nous remplacons x par i, nous retrouvons les operations de nies sur les nombres complexes. Nous avons donc construit C , le corps des nombres complexes.
y GF

pour Galois Field.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

12

II.2 Cardinalite d'un corps ni

une puissance d'un nombre premier p, i.e. q = pm. Preuve. (i) Construisons la suite fui g dans F comme suit : u0 = 0 (II.1) un = un;1 + 1 pour n 1 : Comme F est ni, tous les elements un ne sont pas distincts. Soit uk = uk+c, la premiere repetition rencontree, c.-a-d. les elements u0 u1 : : : uk+c;1 sont tous distincts. Or, par (II.1), uk+c = uk + uc, et donc uc = 0. Il s'ensuit que le premier element repete est 0 et que les elements de la suite fu0 u1 : : : uc;1g sont tous distincts. Montrons que c est premier. Remarquons d'abord que c 2 par de nition d'un corps. Par l'absurde, supposons que c = ab, avec 1 < a b < c. La relation (II.1) implique que uc = uab = uaub, ce qui est impossible car uc = 0, ua 6= 0 et ub 6= 0. Etant donne que c est premier, nous allons le noter p. (ii) Le sous-ensemble Fp = fu0 u1 : : : up;1g de F est un sous-corps de F car il est isomorphe au corps F p = f0 1 : : : p ; 1g. En e et, il su t de prendre l'application f : Fp ! F p : ui 7! i. (iii) Construisons l'ensemble W1 = fu0!1 u1!1 : : : up;1!1g = fui!1 j ui 2 Fpg a partir d'un element !1 2 F nFp. Cet ensemble possede p elements. Si q = p, alors la these est demontree. Sinon, nous construisons l'ensemble W2 = fui!1 +uj !2 j ui uj 2 Fp et ui 6= uj g a partir d'un element !2 2 F nW1. L'ensemble W2 comporte p2 elements. Si q = p2, alors la these est demontree. Sinon, nous recommencons de m^me jusqu'a la construction de l'ensemble e Wm = fui!1 + uj !2 + : : : + ut !m j ui uj : : : ut 2 Fp et ui 6= uj 6= 6= utg a partir d'un element !m 2 F nWm;1. Cet ensemble comporte pm elements, ce qui termine la demonstration. t u De nition 26. Le nombre p de ni dans le theoreme 25 est appele la caracteristique du corps F . Remarque. Notons que dans un corps de caracteristique p, il est interdit de diviser par p. En e et, pun = un +un + +un = un+n+ +n = upn = upun = 0.

Theoreme 25. Soit un corps ni F . Alors le nombre q d'elements de F est

II.3 Le corps ni F q (avec q = pm et p premier)


Le theoreme 25 nous permet de voir le corps F q comme un espace vectoriel sur F p . En e et, il su t de prendre f!1 !2 : : : !m g comme base. Tout element
CG{1995/1

II.3.1 Representation

Introduction elementaire a la theorie des courbes elliptiques

13

u de F q peut se mettre sous la forme unique


avec ai 2 F p (i = 1 2 : : : m). Nous representerons donc les elements de F q par des m-uples (a1 a2 : : : am). Voyons a present comment construire le corps F q . Prenons pour domaine euclidien l'ensemble des polyn^mes a une variable o a coe cients dans le corps ni F p = Z mod p, i.e. D = F p x], avec p premier. Considerons un polyn^me f (x) de degre m, irreductible dans F p . Par o le theoreme 24, nous savons que D mod f est un corps. Notons provisoirement ce corps F q . Comme f (x) est de degre m, les elements de F q sont des polyn^mes de la forme o avec ai 2 F p (i = 0 : : : m ; 1). Le corps F q est donc ni, ce qui justi e la notation. Nous retrouvons une representation equivalente a (II.2).
Notation. Les elements de F pm seront representes comme un cha^ne de chi res en base p, c.-a-d. tout element u de F pm sera note um;1 um;2 : : : u1 u0]. Cette notation est appelee representation en base polynomiale.

u = a1 !1 + a2 !2 +

+ am !m

(II.2)

am;1 xm;1 + am;2 xm;2 +

+ a1x + a0

(II.3)

II.3.2 Addition et multiplication

L'addition de deux elements de F q se fait simplement comme suit :

am;1 am;2 : : : a1 a0 ] + a0m;1 a0m;2 : : : a01 a00] = am;1 + a0m;1 am;2 + a0m;2 : : : a1 + a01 a0 + a00]:
A n de bien comprendre comment se fait la multiplication, nous allons travailler sur un exemple. La procedure utilisee reste neanmoins la m^me e quel que soit le corps F q envisage.
Exemple 14. Soient p = 2 et f (x) = x3 + x + 1. Ce polyn^me est irreductible o sur F 2 car f (0) = f (1) = 1, f (x) n'a donc pas de zeros dans F 2 et une cubique qui n'a pas de zeros dans un corps est irreductible sur ce corps. Comme f (x) est de degre 3, les elements de F 23 sont de la forme a2 x2 +a1 x+a0 avec ai 2 F 2 pour i = 1 2 3.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques Multiplions deux elements de F 23 :

14

(a2 x2 + a1x + a0)(a02 x2 + a01 x + a00 ) = a2a02 x4 + (a2a01 + a1 a02 )x3 + (a2 a00 + a1 a01 + a0 a02 )x2 + (a1a00 + a0 a01)x + a0 a00 = (a2a02 + a2 a00 + a1 a01 + a0a02 )x2 + (a2 a02 + a2 a01 + a1 a02 + a1 a00 + a0 a01 )x + a2 a01 + a1a02 + a0 a00 car x3 x + 1 (mod x3 + x + 1) et, par consequent, x4 x2 + x (mod x3 + x + 1): Nous obtenons ainsi a2 a1 a0] a02 a01 a00 ] = a2 a02 + a2a00 + a1 a01 + a0 a02 a2 a02 + a2 a01 + a1 a02 + a1a00 + a0 a01 a2 a01 + a1 a02 + a0 a00]: Par exemple, 110] 111] = 342] = 100]: Nous pouvons egalement calculer le produit de deux elements en construisant une table de \logarithmes". Calculons les puissances successives de x :

x0 = 1 x1 = x x2 = x2 x3 = x + 1 x4 = x2 + x x5 = x3 + x2 = x2 + x + 1 x6 = x3 + x2 + x = x2 + 1 x7 = x3 + x = 1:
Par consequent, = 010] est un generateur du groupe multiplicatif F 23 du corps F 23 . Tout element non nul de F 23 est donc une puissance de . Si nous supposons que log = k signi e k =

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

15

alors nous construisons la table suivante : k log k 000] ; ; 000] 0 001] 001] 0 010] 1 1 010] 011] 3 2 100] 100] 2 3 011] 101] 6 4 110] 110] 4 5 111] 6 101] 111] 5 Pour calculer 110] 111], nous regardons dans la table les valeurs de log 110] = 4 et de log 111] = 5 donc 110] 111] = 4+5 = 7 2 = 2 = 100].

I Si D est un domaine euclidien et si p est premier dans D, alors

A retenir. I Un domaine euclidien est un domaine integral D muni d'une fonction de mesure g : D ! N telle que 8a b 2 D : g(a) g(ab) si b = 0, 6 9q r 2 D : a = qb + r avec r = 0 ou g(r) < g(b).

D mod p est un corps. I La cardinalite d'un corps ni est une puissance d'un nombre premier, appele caracteristique du corps. I Le corps F pm peut ^tre considere comme un espace vectoriel sur F p e tout element u de F pm est note comme une cha^ne de chi res en base p, i.e. u = um;1 um;2 : : : u1u0] avec ui 2 F p .
CG{1995/1

Partie III

Plan projectif et courbes planes


Resume. Cette partie de nira de plusieurs facons le plan projectif
sur un corps. Ensuite, l'intersection de droites et de courbes du plan projectif sera analysee pour aboutir au theoreme de Bezout.

III.1 Le plan projectif P2

De nition 27. Soit un corps K . Le plan projectif P2 (K ) est l'ensemble des

points P = (a b c) 6= (0 0 0) 2 K 3 de sorte que deux points P = (a b c) et P 0 = (a0 b0 c0) sont consideres comme etant des points equivalents s'il existe t 2 K tel que (a b c) = t(a0 b0 c0). Les nombres a b et c sont appeles les coordonnees homogenes du point P . Plus generalement, nous de nissons le n-espace projectif Pn (K ) comme l'ensemble des classes d'equivalence des (n + 1)-uples suivants : f(a0 a1 : : : an) 2 K n+1 j a0 a1 : : : an non tous nulsg P (K ) =
n

ou (a0 a1 : : : an) (a00 a01 : : : a0n) s'il existe t 2 K tel que (a0 a1 : : : an) = t(a00 a01 : : : a0n):

De nition 28. Soit un corps K . Le degre d'un terme d'un polyn^me p de o

l'anneau K X1 : : : Xn] est la somme des exposants des variables Xi apparaissant dans ce terme. Le degre du polyn^me p est le plus grand degre de ses o termes.

Exemple 15. Le polyn^me p(X Y Z ) = 3X 3Y + 4X 2 Y 2Z ; Y Z 2 est un poo lyn^me de degre 5. o

De nition 29. Soit un corps K . Un polyn^me p 2 K X1 : : : Xn] est un o


polyn^me homogene de degre d si chacun de ses termes est de degre d. De o plus, p est dit irreductible s'il ne peut pas s'ecrire comme le produit non trivial de deux polyn^mes de K X1 : : : Xn]. o
Notation. Si p est un polyn^me homogene de degre d de ni sur un corps K o et a n variables, alors nous ecrirons p 2 K X1 : : : Xn]d.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

17

Proposition 30. Soient un corps K et un polyn^me non nul p(X1 : : : Xn) o


a coe cients dans K . Alors, p est est un polyn^me homogene de degre d > 0 o si et seulement si, pour une variable auxiliaire t, p(tX1 : : : tXn) = tdp(X1 : : : Xn): (III.1) Preuve. La condition necessaire est evidente. Demontrons la condition su sante. Ecrivons p comme une somme de polyn^mes homogenes non nuls de o degre di : p = pd1 + pd2 + + pdk d1 < d2 < < dk : La relation (III.1) implique que td1 pd1 + td2 pd2 + + tdk pdk = td p = td pd1 + tdpd2 + + td pdk et donc, tdi = td pour tout i. Par consequent, k = 1 car d1 < d2 < < dk , et p = pd1 = pd. t u homogene de degre d de ni sur un corps K , alors
n X @F Xi @X = d F: i i=1

Corollaire 31 (Formule d'Euler). Si F 2 K X1 : : : Xn]d est un polyn^me o

Preuve. La proposition 30 donne F (tX1 : : : tXn ) = td F (X1 : : : Xn). En derivant par rapport a t, il vient que

Si nous prenons t = 1 dans la relation precedente, nous obtenons la these. u t Remarque. La derivee d'un polyn^me se de nit de maniere purement algeo P brique. Si p(X ) = n=0 ak X k est un polyn^me de l'anneau K X ], alors o k
n X k=0

n X @F Xi @X (tX1 : : : tXn) = dtd;1F (X1 : : : Xn): i i=1

ak X

!0 X n k
=
k=1

ak kX k;1:

De nition 32. Soit un corps K . Une courbe C de P2 (K ) est l'ensemble des


points qui satisfait a

p(X Y Z ) = 0 ou p 2 K X Y Z ]d est un polyn^me homogene de degre d 1. Si d = 1, o alors C est appelee une droite si d = 2, une conique si d = 3, une cubique, etc. . . Le nombre d est appele le degre de la courbe.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

18

Le plan usuel (x y) sur un corps K , encore appele plan a ne et note A 2 (K ), est l'ensemble des point (x y ) 2 K 2 . Si nous introduisons les coordonnes X Y Z telles que x = X=Z et y = Y=Z , alors a tout point (x y) de A 2 (K ) correspond le point (X Y Z ) de P2 (K ). Reciproquement, si Z 6= 0, alors a tout point (X Y Z ) de P2 (K ) correspond le point (x y) de A 2 (K ). Voyons a present ce qui se passe quand Z = 0. Considerons, dans A 2 (K ), deux droites paralleles L : ax + by + c = 0 et L0 : a0x + b0 y + c = 0 ou a0 = ta et b0 = tb. En coordonnees homogenes, c.-a-d. dans P2 (K ), ces droites s'ecrivent L : aX + bY + cZ = 0 et L0 : a0X + b0Y + c0Z = 0. L'intersection de ces droites a lieu en un point pour lequel Z = 0. Un tel point est appele point a l'in ni. Cela permet de donner une nouvelle de nition de P2 (K ) :
P2 (

K ) = A 2 (K ) fl'ensemble des directions dans A 2 (K )g: Nous voyons donc que l'introduction des coordonnees homogenes n'oblige plus a faire la distinction entre droites paralleles ou non : deux droites distinctes s'intersectent en un point unique comme le montre la proposition 34.

Figure 1: Intersection de droites paralleles.

Lemme 33 (Theoreme du rang). Soient V un espace vectoriel de dimenPreuve. Dans la suite, nous avons uniquement besoin du cas ou W est de dimension nie nous allons donc uniquement demontrer le lemme avec cette hypothese supplementaire. Soient fv1 : : : vpg et fw1 : : : wq g des bases respectives de Ker T et de Im T . (i) Par de nition de Im T , 9yi 2 V tel que T (yi) = wi. Montrons que les
CG{1995/1

sion nie, W un espace vectoriel quelconque et T : V ! W une application lineaire. Alors, dim Ker T + dim Im T = dim V:

Introduction elementaire a la theorie des courbes elliptiques vecteurs y1 : : : yq sont lineairement independants. Par l'absurde, si + q yq = 0, alors

19
1 y1 +

q X i=1

i yi

! X q
=
i=1

i T (yi ) =

q X i=1

i wi

= T (0) = 0:

Par consequent, w1 : : : wq sont lineairement dependants et ne forment pas une base. (ii) Montrons que fv1 : : : vp y1 : : : yq g est une base de V . L'independance lineaire de v1 : : : vp y1 : : : yq se demontre de la m^me facon que pour e y1 : : : yq . Il reste a demontrer le P caractere generateur de v1 : : : vp y1 : : : yq , P i.e. 8x 2 V 9 i i tels que x = p=1 iv1 + q=1 i yi. Or, etant donne que i i fw1 : : : wqg est une base de Im T ,

T (x) =

q X i=1

i wi

q X i=1

i T (yi ) = T

q X i=1

i yi

et donc x ; q=1 iyi 2 Ker T et est une combinaison lineaire de v1 : : : vp i ce qui signi e que x est une combinaison lineaire de v1 : : : vp y1 : : : yq . u t

Proposition 34. Soient un corps K et deux droites distinctes

L : aX + bY + cZ = 0 et L0 : a0 X + b0 Y + c0Z = 0 de P2 (K ). Alors L et L0 ont un unique point d'intersection. De plus, deux points distincts de P2 (K ) de nissent une et une seule droite. Preuve. (i) Considerons l'application lineaire 0X 1 0X 1 abc T : P2 (K ) ! P2 (K ) @ Y A 7! a0 b0 c0 @ Y A Z Z
alors, comme L et L0 sont distinctes, le rang de la matrice des coe cients vaut 2, et donc le noyau est de dimension (3 ; 2) = 1. (ii) Soient P1 = (a1 b1 c1) et P2 = (a2 b2 c2) deux points distincts de L et l'application lineaire 0a1 0a1 T : P2 (K ) ! P2 (K ) @ b A 7! a1 b1 c1 @ b A : a2 b2 c2 c c Comme P1 et P2 sont distincts, la matrice des coordonnees des points est de rang 2, et donc le noyau est de dimension 1. t u
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

20

Revenons a la de nition de P2 (K ). Toute droite de A 2 (K ) est parallele a une droite passant par l'origine de la forme L : ax = by. Cependant, si (a0 b0) = (ta tb), alors la droite L0 : a0x = b0y est la m^me droite que L. Par e consequent, l'ensemble des directions de A 2 (K ) est donne par les points (a b) de la droite projective P1 (K ). Nous avons alors P2 (K ) = A 2 (K ) P1 (K ):

III.2 Intersections et theoreme de Bezout


Etudions l'intersection d'une droite L et d'une courbe C de degre d dans P2 de nies sur un corps K . Dans un premier temps, nous allons supposer que K est un corps de caracteristique nulley ou de caracteristique p > d. Fixons les notations : C : F (X Y Z ) = 0: Nous savons que deux points distincts de nissent une droite. Soient P1 = (a1 b1 c1) et P2 = (a2 b2 c2) deux points distincts de la droite L, alors L peut se parametriser sous la forme 8 X = sa + ta < 1 2 L : : Y = sb1 + tb2 : Z = sc1 + tc2 Les points d'intersection de la droite et de la courbe sont donc donnes par F (sa1 + ta2 sb1 + tb2 sc1 + tc2 ) = 0: (III.2) Le point d'intersection P1 correspond a s = 1 et t = 0. Considerons cette fonction comme une fonction de t et notons-la f (t). Le developpement en serie de Mac-Laurin donne 0 (0) 00 ( (d) f (t) = f (0) + f 1! t + f 2!o) t2 + + fd! td: De nition 35. Nous dirons que L intersecte C en P1 avec un ordre m si f (m) (0) 6= 0 et si f (l)(0) = 0 pour l < m.
Notation. Si P est un point d'intersection d'ordre m entre une droite L et une courbe C , alors nous notons I (P L C ) = m. Par convention, si P 2 L \ C , = alors I (P L C ) = 0.
y

III.2.1 Intersection d'une droite et d'une courbe

Cela signi e que K est in ni.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

21

Supposons que P1 soit un point d'ordre m 2. Cela signi e que f 0(0) = 0 et donc, par (III.2), que @F a + @F b + @F c = 0: (III.3) @X P1 2 @Y P1 2 @Z P1 2

De nition 36. Un point P d'une courbe C : F (X Y Z ) = 0 est dit singulier


si

@F = @F = @F = 0 @X P @Y P @Z P sinon P est dit non singulier ou simple. De plus, la courbe C est appelee courbe non singuliere si tous ses points sont simples.
Supposons que P1 soit un point non singulier. La relation (III.3) implique que le point P2 = (a2 b2 c2) appartient a la droite @F X + @F Y + @F Z = 0: (III.4) @X P1 @Y P1 @Z P1 Par le corollaire 31, le point P1 = (a1 b1 c1) appartient egalement a cette droite. La relation (III.4) de nit la tangente a la courbe C au point (simple) P1 . Si K est un corps de caracteristique p d, alors la formule de MacLaurin n'est plus applicable. En gardant les m^mes notations que ci-dessus, e nous pouvons ecrire f comme un polyn^me en T , i.e. o

f (t) = k0 + k1t + + kdtd : La seule di erence avec ce qui precede est que nous ne pouvons plus exprimer (i) les coe cients ki sous la forme f i!(0) . Nous dirons que le point P1 est un point d'ordre m si km 6= 0 et si kl = 0 pour l < m les autres de nitions restant les m^mes. e

Lemme 37. Soient un point P , une droite L et deux courbes C1 et C2 . Alors


I (P L C1C2) = I (P L C1) + I (P L C2):
Preuve. Trivial.

Lemme 38. Soient un point P , une droite L et deux courbes C1 et C2. Si


C1 et C2 ont le m^me degre et si C1 + C2 6= 0, alors e I (P L C1 + C2) minfI (P L C1) I (P L C2)g:
CG{1995/1

t u

Introduction elementaire a la theorie des courbes elliptiques


Preuve. Trivial.

22

t u

Proposition 39. Si F (X 1 0) est un polyn^me en X et si L : Z = 0 est la o


droite a l'in ni, alors I ((r 1 0) L F ) est egal a la multiplicite de r comme racine de F (X 1 0). Preuve. Soit la transformation lineaire

0 X 1 0 X 0 1 0 1 ;r 0 1 0 X 1 T : P2 ! P2 @ Y A 7! @ Y 0 A = @ 0 0 1 A @ Y A
Z Z0
0 1 0

qui envoie le point (r 1 0) en (0 0 1) et dont l'inverse est donnee par

0 X 1 0 X0 1 0 1 0 r 1 0 X 1 T ;1 : P2 ! P2 @ Y A 7! @ Y 0 A = @ 0 0 1 A @ Y A :
Z Z0
010

Notons

Donc, l(X Y ) est de la forme bX ; aY avec b = 0 et a = ;1 que nous pouvons parametriser par (t) = at = ;t et bt 0

f (X Y ) = F (T ;1(X Y 1)) = F (X + r 1 Y ) l(X Y ) = L(T ;1(X Y 1)) = Y:

f ( (t)) = f (;t 0) = F (;t + r 1 0):

I ((r 1 0) L F ) est alors donne par l'ordre de la racine de f ( (t)) en t = 0, soit encore par l'ordre de la racine de F (;t + r 1 0) en t = 0, ce qui est egal a la multiplicite de r comme racine de F (X 1 0). t u

III.2.2 Theoreme de Bezout

Le theoreme de Bezout appara^t sous plusieurs formes en geometrie algebrique. Nous allons uniquement presenter une version faible de ce theoreme.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques lyn^mes f et g 2 K X ] est le determinant o an an;1 : : : : : : a1 a0 0 : : : : : : 0 0 an an;1 : : : a2 a1 a0 0 : : : 0 0 0 ... ... ... ... ... 0 R(f g) = bm bm;1 : : : : : : b1 b0 0 : : : : : : 0 0 bm bm;1 : : : b2 b1 b0 0 : : : 0 0 0 ... ... ... ... ... 0 si

23

De nition 40. Soit un corps K . Le resultant, note R(f g), de deux po-

9 > > = > m lignes > 9 > > = > n lignes >

f (X ) =

n X i=0

ai X i

et g(X ) =

m X i=0

biX i:

Lemme 41. Soit un corps K . Deux polyn^mes f et g 2 K X ] ont un facteur o


non constant en commun si et seulement si il existe des polyn^mes non nuls o et 2 K X ] de degre respectivement strictement inferieur a celui de f et a celui de g tels que f = g . Preuve. ()) Si f et g ont un facteur commun h, alors f = h , g = h et f = g. (() Si f = g, alors tout facteur irreductible de g divise soit , soit f . Or, comme le degre de est strictement inferieur a celui de g, au moins un des facteurs irreductibles de g divise f . t u Theoreme 42. Soit un corps K . Deux polyn^mes f et g 2 K X ] donnes par o

f (X ) =

n X i=0

aiX i

et g (X ) =

m X i=0

bi X i

ont un facteur non constant en commun si et seulement si an an;1 : : : : : : a1 a0 0 : : : : : : 0 0 an an;1 : : : a2 a1 a0 0 : : : 0 0 0 ... ... ... ... ... 0 R(f g) = b b = 0: m m;1 : : : : : : b1 b0 0 : : : : : : 0 0 bm bm;1 : : : b2 b1 b0 0 : : : 0 0 0 ... ... ... ... ... 0
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques


Preuve. ()) Par le lemme precedent, 9 et
n;1 X i=0

24

2 K X ] tels que
m;1 i=0

(X ) =

Xi

et

(X ) =

f = g ou

iX

avec au moins un i 6= 0 et un i 6= 0. Il s'ensuit que a0 0 = b0 0 a1 0 + a0 1 = b1 0 + b0 1 a2 0 + a1 1 + a0 2 = b2 0 + b1 1 + b0 2 ... ... an m;1 = bm n;1: Si nous considerons ce systeme comme un systeme homogene de m + n equations a m + n variables, nous avons une solution non triviale ( 0 : : : m;1 0 : : : n;1): Le determinant du systeme est donc nul et par consequent R(f g) = 0. (() Si R(f g) = 0, alors il existe un i ou un i di erent de 0. Si i 6= 0, alors 6= 0, et f = g avec 6= 0 et donc 6= 0. t u

Lemme 43. Soit un corps K . Si F et G

de degre respectif n et m vues comme des polyn^mes en l'unique variable Z o a coe cients dans l'anneau K X Y ], alors le resultant de F et de G par rapport a Z , note R(X Y ), est soit nul, soit un polyn^me homogene de degre o mn. Preuve. Soient

2 K X Y Z ] sont deux courbes

F (X Y Z ) = A0 (X Y )Z n + A1 (X Y )Z n;1 + + An(X Y ) G(X Y Z ) = B0 (X Y )Z m + B1(X Y )Z m;1 + + Bm(X Y ) ou Ai(X Y ) et Bi(X Y ) sont des polyn^mes homogenes de degre i. Alors, o A0 tA1 : : : tnAn 0 ::: 0 n An 0 A0 tA1 : : : t 0 ... ... ... . . . ... nA 0 0 A0 R(tX tY ) = B tB : 0 : tm B tA1(X Y ) :: :: :: t 0 n : 0 0 1 : m m Bm 0 B0 tB1 : : : t 0 ... ... ... . . . ... 0 0 0 B0 tB1 : : : tmBm
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

25

Si nous multiplions la iieme ligne par ti;1 et la (m + j )ieme ligne par tj;1, nous obtenons A0 tA1 : : : tnAn 0 ::: 0 0 tA0 t2A1 : : : tn+1 An 0 ... ... ... ... ... m;1 m n+m;1 0 0 t R(tX tY ) = B tB : 0 : ttm BA0 t A1 (X Y ) :: :: :: t 0 An 0 0 1 : m 2B m+1 Bm 0 tB0 t 1 : : : t 0 ... ... ... ... ... 0 0 0 tn;1B0 tnB1 : : : tm+n;1 Bm = t R(X Y ) ou la deuxieme egalite est obtenue en mettant ti en evidence dans la (i +1)ieme colonne. Nous avons donc = (1 + 2 + + (m ; 1)) + (1 + 2 + + (n ; 1)) = (m ; 1)m + (n ; 1)n 2 2 et = 1 + 2 + + (m + n ; 1) = (m + n ;21)(m + n) : Comme ; = mn, R(tX tY ) = tmnR(X Y ), et donc, par la proposition 30, R(X Y ) est soit un polyn^me de degre mn, soit un polyn^me nul. u o o t

Theoreme 44 (Theoreme faible de Bezout). Soit un corps in ni K . Si


F
points communs, alors F et G ont un facteur non constant en commun.

2 K X Y Z ]m et G 2 K X Y Z ]n sont deux courbes ayant plus de mn

Preuve. Les courbes F et G ont au moins mn+1 points en commun joignons chaque paire de points par une droite. Comme le nombre de droites est ni et que K est in ni, il existe un point P qui n'appartient a aucune de ces droites, ni a F , ni a G. Choisissons un systeme de coordonnees homogenes tel que P = (0 0 1). Nous pouvons considerer F et G comme des polyn^mes o en Z :

F (X Y Z ) = A0 (X Y )Z m + A1(X Y )Z m;1 + + Am(X Y ) G(X Y Z ) = B0 (X Y )Z n + B1 (X Y )Z n;1 + + Bn (X Y )


ou Ai (X Y ) et Bi (X Y ) sont des polyn^mes homogenes de degre i. Par le o lemme 43, le resultant de F et de G par rapport a Z , i.e. R(X Y ), est soit un polyn^me nul, soit un polyn^me de degre mn. Notons (a b c) un des o o
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

26

mn + 1 points d'intersection. Ce point appartient a F \ G, ce qui signie que F (a b Z ) et G(a b Z ) ont une racine commune c. Par consequent, R(a b) = 0. Comme aucun des couples (a b) correspondant aux mn + 1 points d'intersection ne sont proportionnels (car ils ne sont pas colineaires a P = (0 0 1)), R(X Y ) ne peut pas ^tre de degre mn. Il vient donc que e R(X Y ) = 0 et, par le theoreme 42, F et G ont un facteur non constant en commun. t u

Figure 2: Intersection d'une courbe de degre 4 et d'une courbe de degre 2.

Corollaire 45. Soit un corps in ni K . Si C 2 K X Y:Z ]d est une courbe et P


si L est une droite telle que
P 2L I (P

L C ) > d, alors L divise C .

Preuve. Par l'absurde, supposons que L ne divise pas C . Par le theoreme 44, nous savons que C et L ont un nombre ni de points communs et, par P P consequent, P 2L(I L C ) est ni. Montrons que P 2L I (P L C ) d. Par une transformation projective, nous pouvons supposer que L est la droite a l'in ni Z = 0. En faisant eventuellement une translation sur la variable Y , nous pouvons egalement supposer que tous les points d'intersection ont une coordonnee en Y non nulle. Notons Pi = (ri 1 0) les points d'intersection de C (X 1 0) avec L : Z = 0. Comme K est in ni, il existe (r 1 0) qui n'appartient pas a C \ L et donc, C (X 1 0) est un polyn^me non nul. Ce polyn^me a o o donc au plus d racines comptees avec leur mutiplicite. Par consequent, par la P proposition 39, P 2L I (P L C ) d, ce qui est contraire a l'hypothese. u t

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

27

I Soit un corps K . Le n-espace projectif


classes d'equivalence des (n + 1)-uples
P(

A retenir.

Pn (

K ) est l'ensemble des

K ) = f(a0 a1 : : : an) j a0 a1 : : : an non tous nulsg


(a0 a1 : : : an) = t(a0 a1 : : : an)

ou (a0 a1 : : : an) (a00 a01 : : : a0n) si avec t 2 K nf0g. Si n = 2, alors P2 (K ) est le plan projectif. I Une courbe de P2 (K ) est un polyn^me homogene de degre d 1 de o l'anneau K X Y Z ]. Si d = 1, alors c'est une droite si d = 2, une conique si d = 3, une cubique. I Un point P d'une courbe C : F (X Y Z ) = 0 est un point singulier si @F = @F = @F = 0: @X P @Y P @Z P Une courbe dont tous les points sont non singuliers est une courbe non singuliere. I Une courbe est irreductible si elle ne peut pas s'ecrire comme le produit non trivial de deux polyn^mes. o

CG{1995/1

Partie IV

Courbes elliptiques
Resume. Cette partie est le coeur de ce rapport. Elle de nira ce qu'est
une courbe elliptique et le groupe topologique d'une telle courbe. Il sera egalement montre qu'une courbe elliptique peut s'ecrire sous une forme particuliere appelee \equations de Weierstrass".

IV.1 De nition

De nition 46. Une courbe elliptique est une paire (E O), ou E est une
cubique irreductible non singuliere et O 2 E . La courbe elliptique E est de nie sur un corps K si E est une courbe sur K et si O 2 E (K ).

IV.2 Equations de Weierstrass


il existe une application

Theoreme 47. Si E est une courbe elliptique de nie sur un corps K , alors

: E (K ) ! P2 (K ) qui fournit un isomorphisme de E (K ) sur une courbe C (K ) donnee par l'equation de Weierstrass C : F (X Y Z ) = Y 2Z + a1XY Z + a3 Y Z 2 ; X 3 ; a2 X 2 Z ; a4 XZ 2 ; a6 Z 3 = 0 ou a1 : : : a6 2 K et tel que (O) = (0 1 0). Preuve. Voir section IV.3. t u Pour alleger les notations, nous allons ecrire l'equation de Weierstrass en coordonnees non homogenes : x = X=Z et y = Y=Z , E : y2 + a1 xy + a3y = x3 + a2x2 + a4 x + a6 (IV.1) plus le point a l'in ni O = (0 1 0). Remarquons que O est le seul point a l'in ni et qu'il n'est pas singulier car (@F=@Z )(0 1 0) = 1 6= 0. Nous de nissons egalement les quantites suivantes : b2 = a2 + 4a2 b4 = 2a4 + a1 a3 b6 = a3 + 4a6 1 3 b8 = a2 a6 + 4a2a6 ; a1a3 a4 + a2a2 ; a2 1 3 4 c4 = b2 ; 24b4 et c6 = ;b3 + 36b2 b4 ; 216b6 : 2 2
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques tite = ;b2 b8 ; 8b3 ; 27b2 + 9b2 b4b6 2 4 6 et le j -invariant de la courbe elliptique E est la quantite 3 j (E ) = c4 :

29

De nition 48. Le discriminant de l'equation de Weierstrass est la quan(IV.2)

(IV.3) Corollaire 49. Soit un corps K de caracteristique p. Une courbe E de nie sur K donnee par une equation de Weierstrass prend alors une forme simpli ee, 1. si p 6= 2 et p 6= 3, y2 = x3 + a4 x + a6 = ;16(4a3 + 27a2) 4 6 3 j (E ) = 1728 4a3 4a4 a2 (IV.4) 4 + 27 6 2. si p = 2 et si j (E ) 6= 0, y2 + xy = x3 + a2x2 + a6 = a6 j (E ) = 1=a6 (IV.5) si p = 2 et si j (E ) = 0, y2 + a3y = x3 + a4x + a6 = a4 j (E ) = 0 (IV.6) 3
3. si p = 3 et si j (E ) 6= 0, y2 = x3 + a2x2 + a6 = ;a3 a6 j (E ) = ;a3 =a6 2 2 si p = 3 et si j (E ) = 0, y2 = x3 + a4 x + a6 = ;a3 j (E ) = 0: 4

(IV.7) (IV.8)

1 Preuve. (i) Si p 6= 2, nous pouvons remplacer y par (y ; 2 (a1 x + a3 )). Nous b2 x2 + b4 x + b6 . De surcro^t, si p 6= 3, alors nous obtenons alors y2 = x3 + 4 2 4 b2 c4 c6 remplacons x par (x ; 12 ) pour obtenir y2 = x3 ; 48 x ; 864 . (ii) L'invariant (en caracteristique 2) de l'equation generale de Weierstrass y2 + a1 xy + a3y = x3 + a2 x2 + a4 x + a6 vaut j (E ) = a12 = . Si j (E ) = 0, et donc 1 si a1 = 0, alors la substitution x (x + a2 ) donne y2 + a3y = x3 +(a2 +2a4)x2+ 2 3 + a a + a ) sinon, nous remplacons (x y ) par ((a2 x + a3 ) a3 y + a1 a4 +a3 ) (a2 4 2 6 1 a1 1 a3 1 a1 a2 +a3 x2 + a4 a2 +a4 +a5 a3 a4 +a3 a3 +a4 a2 a2 +a6 a6 . 2 + xy = x3 + 1 4 3 1 1 3 1 3 1 pour avoir y a3 a12 1 1 2 = x3 + a x2 + a x + a . (iii) En (i), nous avons montre que si p 6= 2, alors y 2 4 6 2 = . Si L'invariant de cette courbe (en caracteristique 3) vaut j (E ) = a2 j (E ) = 0, alors a2 = 0 et nous avons l'expression demandee 2 2sinon il 3su t 3 a4 t de remplacer x par (x + a2 ) pour obtenir y2 = x3 + a2 x2 + 2a2 a4 +aa32 a6 +a4 . u 2

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques


Weierstrass :

30

Lemme 50. Soit un corps K et une courbe E donnee par l'equation de


E : f (x y) = y2 + a1 xy + a3y ; x3 ; a2x2 ; a4 x ; a6 = 0 dont le discriminant vaut et le j -invariant, j (E ). Le changement de variables

(x y)

(u2x + r u3y + u2sx + t) avec r s t u(6= 0) 2 K

(IV.9)

transforme l'equation precedente en ou les coe cients sont donnes par

E 0 : f 0(x y) = y2 + a01 xy + a03 y ; x3 ; a02x2 ; a04 x ; a06 = 0 ua01 = a1 + 2s u2a02 = a2 ; sa1 + 3r ; s2 u3a03 = a3 + ra1 + 2t u4a04 = a4 ; sa3 + 2ra2 ; (t + rs)a1 + 3r2 ; 2st: 0 = et j (E 0 ) = j (E ).

De plus, u12

Preuve. Il su t de remplacer x et y par leurs nouvelles expressions pour obtenir les relations desirees. t u

Il est a noter que toutes les transformations e ectuees dans la demonstration du corollaire 49 sont de la forme (IV.9).

Theoreme 51. Soit K un corps de caracteristique p. Deux courbes donnees par leur equation de Weierstrass dont le discriminant est non nul sont isomorphes si et seulement si elles sont le m^me j -invariant. e
Preuve. ()) Par le lemme precedent. (() Pour simpli er les calculs, nous allons supposer que p 6= 2 3. Soient deux courbes E et E 0 ayant le m^me j -invariant dont les equations de Weierstrass e sont donnees par

E : y2 = x3 + a4x + a6 E 0 : y02 = x3 + a04x + a06 :


3

a4 a4 Comme j (E ) = 1728 4a34+27a2 et j (E 0) = 1728 4a04 34+27a06 2 sont egaux, cela im4 6 plique que a2 a043 = a3 a062 . Cherchons des isomorphismes de la forme (x y) 6 4

03

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

31

(u2x u3y). 1o Si a4 = 0, alors a6 6= 0 (car 6= 0) et donc a04 = 0. Nous obtenons un isomorphisme en prenant u = (a6 =a06)1=6 . 2o Si a6 = 0, alors a4 6= 0 (car 6= 0) et donc a06 = 0. Nous obtenons un isomorphisme en prenant u = (a4 =a04)1=4 . 3o Si a4a6 6= 0, alors a04 a06 6= 0. Nous obtenons un isomorphisme en prenant u = (a4 =a04)1=6 = (a6 =a06)1=4 . Si p = 2 ou 3, la demonstration se fait de la m^me facon en prenant les e equations de Weierstrass correspondantes. t u Theoreme 52. Soit E une courbe donnee par une equation de Weierstrass. Alors E est non singuliere si et seulement si 6= 0. Preuve. (() Soit l'equation generale de Weierstrass : E : f (x y) = y2 + a1xy + a3 y ; x3 ; a2 x2 ; a4x ; a6 = 0: Montrons d'abord que le point a l'in ni O = (0 1 0) n'est jamais singulier. Regardons E comme une courbe de P2 : F (X Y Z ) = Y 2 Z + a1 XY Z + a3 Y Z 2 ; X 3 ; a2X 2Z ; a4 XZ 2 ; a6 Z 3 = 0: Comme (@F=@Z )(O) = 1 6= 0, O n'est pas un point singulier de E . Par l'absurde, supposons que E soit singuliere en un point P0 = (x0 y0). Par le changement de variables (x y) (x ; x0 y ; y0 ), nous ramenons le point P0 en (0 0). Par le lemme 50, cette transformation ne modi e pas le discriminant (car u = 1). Nous avons alors a6 = f (0 0) = 0, a4 = (@f=@x)(0 0) = 0 et a3 = (@f=@y)(0 0) = 0. La courbe E a donc pour equation : E : f (x y) = y2 + a1xy ; x3 ; a2 x2 = 0: Le discriminant de cette equation est nul, ce qui contredit l'hypothese. ()) Pour simpli er les calculs, nous allons supposer que p 6= 2 3. Soit alors la courbe E donnee par l'equation de Weierstrass : E : y2 = x3 + a4 x + a6 : Si la courbe est singuliere en un point P0 = (x0 y0), alors 2y0 = 0 ) y0 = 0 3x2 + a4 = 0 ) x2 = ; a4 : 0 0 3
2 Or P0 = (x0 y0) est un point de la courbe, par consequent, y0 = 0 = x3 + 0 2 2 a x + a . Il s'ensuit que x2 = 9a6 = ; a4 et donc a4 x0 + a6 = 3 4 0 6 = 0 3 4a2 4 3 + 27a2 ) = 0. Si p = 2 ou 3, la demonstration se fait de la m^me ;16(4a4 6 e facon en prenant les equations de Weierstrass correspondantes. t u

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

32

Les theoremes 47, 51 et 52 permettent de donner une de nition alternative d'une courbe elliptique.

De nition 53. Une courbe elliptique est une courbe isomorphe a la courbe
donnee par une des equations de Weierstrass (IV.4) a (IV.8) ou le point a l'in ni O = (0 1 0).

6= 0 plus

IV.3 Reduction d'une cubique


Soit un corps K de caracteristique di erente de 2. L'equation projective d'une cubique irreductible non singuliere est donnee par f (U V W ) = 0 ou

f (U V W ) = s1 U 3 + s2U 2 V + s3 UV 2 + s4 V 3 + (s5U 2 + s6 UV + s7 V 2 )W + (s8 U + s9 V )W 2 + s10W 3: (IV.10)


L'equation (IV.10) peut egalement ^tre vue comme un polyn^me de degre e o 3 en W :

f (U V W ) = c0W 3 + c1(U V )W 2 + c2 (U V )W + c3 (U V ):

(IV.11)

Soit P0 = (u0 v0 w0) un point de la courbe. La tangente en P0 intersecte la courbe en un troisieme point unique P1 = (u1 v1 w1). Cette tangente a pour equation @f (u v w )U + @f (u v w )V + @f (u v w )W = 0: (IV.12) @U 0 0 0 @V 0 0 0 @W 0 0 0 Sans perdre de generalites, nous pouvons supposer que w1 6= 0 (nous pouvons toujours nous ramener a cette situation en permutant eventuellement W avec U ou avec V ). Faisons le changement de variables (U V W ) (U ; u1 V ; v1 Z ). Le point P1 a maintenant pour coordonnees (0 0 1). Etant donne que ce point appartient a la tangente, la derivee partielle de f par rapport a W en P0 est nulle. Comme la courbe est non singuliere, les derivees partielles par rapport a U et a V en P0 ne peuvent pas s'annuler simultanement. Pour xer les idees, supposons que la derivee partielle par rapport a V en P0 soit non nulle (si cette derniere est nulle, nous permutons les variables U et V ). Le point P1 = (0 0 1) appartient aussi a la courbe et donc s10 = 0. Apres changement de variables, les equations (IV.10), (IV.11) et (IV.12) deviennent :

f (U V W ) = s1U 3 + s2 U 2 V + s3 UV 2 + s4V 3 + (s5U 2 + s6UV + s7 V 2 )W + (s8U + s9V )W 2 (IV.13)


CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

33 (IV.14) (IV.15)

f (U V W ) = c1(U V )W 2 + c2 (U V )W + c3 (U V ) V = U ou =
@f @U P0 @f @V P0

de plus, P0 = (u0 ; u1 v0 ; v1 w0) et P1 = (0 0 1). Theoreme 54. Avec les notations precedentes et nos hypotheses de travail, si nous notons d(U V ) = c2(U V ) ; 4c1(U V )c3 (U V ) 2 et d(U U + 1) = AU 4 + BU 3 + CU 2 + DU + E et si P0 n'est pas un point a l'in ni, i.e. w0 6= 0, alors 1. A = 0 et B 6= 0 2. la transformation X = V BU U ; B Y = (V ; U )2 (2c3(U V ) + c2(U V ))
est une transformation birationnelle dont l'inverse est donnee par X+ U = X BY2c;(c2 (XX + B )B ) 3 X X+ V = ( X + B ) BY2c;(c2(XX + B )B ) 3 X

3. l'application birationnelle precedente transforme l'equation de la cubique en l'equation de Weierstrass Y 2 = X 3 + CX 2 + BDX + B 2E:
@d Preuve. (i) Si nous calculons d(1 ) et @V (1 ), nous obtenons d(1 ) = (s5 + s6 + s2 2)2 ; 4(s8 + s9 )(s1 + s2 + s3 2 + s4 3) 7 et

@d (1 ) = 2c (1 ) @c2 (1 ) ; 4c (1 ) @c3 (1 ) ; 4 @c1 (1 )c (1 ) 2 1 3 @V @V @V @V = 2(s5 + s6 + s7 2)(s6 + 2s7 ) ; 4(s8 + s9 )(s2 + 2s3 + 3s4 2) ;4s9(s1 + s2 + s3 2 + s4 3)

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

34

Developpons ensuite d(U U + 1) : d(U U + 1) = c2(U U + 1) ; 4c1(U U + 1)c3(U U + 1) 2 = (s5 + s6 + s7 2)U 2 + (s6 + 2s7 )U + s7]2 ; 4 (s8 + s9 )U + s9] (s1 + s2 + s3 2 + s4 3)U 3 + (s2 + 2s3 + 3s4 2)U 2 + (s3 + 3s4 )U + s4] = (s5 + s6 + s7 2)2 ; 4(s8 + s9 )(s1 + s2 + s3 2 + s4 3)]U 4 + 2(s5 + s6 + s7 2)(s6 + 2s7 ) ; 4(s8 + s9 )(s2 + 2s3 + 3s4 2) ;4s9(s1 + s2 + s3 2 + s4 3)]U 3 + ]U 2 + ]U + ] = d(1 )U 4 + @d (1 )U 3 + ]U 2 + ]U + ]: @V Le point P0 est un point de la tangente, il a donc pour coordonnees ( 1) avec 6= 0 car P0 6= P1. Le point P0 est une racine double de f . En resolvant par rapport a U dans (IV.14), nous avons c1 ( ) + c2 ( )+ 2 c (1 )] = 0 c3 ( ) = c1(1 )+ c2(1 )+ 3 = 0 correspond a P1 et 2 c (1 ) = 0 correspond a la valeur double en P . Cette c1 (1 )+ c2(1 )+ 3 0 racine etant double, il s'ensuit que le discriminant est nul, i.e. d(1 ) = 0 et que c3(1 ) 6= 0. Nous trouvons = ; c2 (1 ) : 2c3 (1 ) Comme d(1 ) = 0, nous avons demontre que A = 0. Il reste a montrer que B 6= 0. Calculons : @f ( 1) @V = @c1 ( ) + @c2 ( ) + @c3 ( ) @V @V @V = @c1 (1 ) + @c2 (1 ) + 2 @c3 (1 ) @V @V @V 2 (1 ) @c1 (1 ) ; 2c (1 )c (1 ) @c2 (1 ) + c2 (1 ) @c3 (1 ) 4c 2 3 2 @V @V @V = 3 2 (1 ) 4c3 car = ; 2cc2(1 )) 3 (1 @c1 (1 ) + 2c (1 ) @c2 (1 ) ; 4c (1 ) @c3 (1 ) ;4c (1 ) @V 2 1 @V @V =; 3 4c3(1 ) 2 (1 ) ; 4c (1 )c (1 ) = 0 car A = d(1 ) = c2 1 3 @d (1 ) B @V = ; 4c (1 ) = ; 4c (1 ) 6= 0 3 3
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

35

car la derivee partielle par rapport a V en P0 est non nulle par hypothese. (ii) Par substitution, nous voyons que si B 6= 0, les applications (U V ) ! (X Y ) et (X Y ) ! (U V ) sont les inverses l'une de l'autre. (iii) En remplacant U et V par leurs expressions respectives, nous obtenons B 2Y 2 = d(X X + B ): Or, comme d(U V ) est un polyn^me homogene de degre 4, nous voyons o immediatement que d(X X + B ) = B (BX 3) + C (B 2 X 2) + D(B 3X ) + E (B 4 ): Pour s'en convaincre, il su t de regarder le developpement de d(U U + 1) (voir p. 34). Nous avons nalement B 2Y 2 = B 2 (X 3 + CX 2 + DBX + EB 2 ) ce qui termine la demonstration. t u

IV.4 Loi de groupe


IV.4.1 Regle de la \secante-tangente"
Proposition 55. Soient une cubique irreductible non singuliere C et une
droite L de nies sur un corps K . Si la cubique C a deux points d'intersection (comptes avec leur multiplicite) avec la droite L, alors C a trois points d'intersection (comptes avec leur multiplicite) avec la droite L. Preuve. Comme C est irreductible, C \ L a un nombre ni de points. Soit la droite L : aX + bY + cZ = 0 ou, par symetrie, nous supposons c 6= 0. Les points d'intersection de C et de L sont les racines du polyn^me o q(X Y ) = p(X Y ; aX + bY ) 2 K X Y ]3:

c Notons P1 = (a1 b1 c1) et P2 = (a2 b2 c2) (avec eventuellement P1 = P2), deux points d'intersection de C avec L, alors, comme q(a1 b1 ) = q(a2 b2) = 0, il vient que q(X Y ) = v(X Y )
2 Y

Le troisieme point d'intersection de C avec L est alors donne par P3 = (a3 b3 ; aa3 + bb3 ) c ou (a3 b3 ) est l'unique racine de v(X Y ).
CG{1995/1

i=1

(bi X ; aiY ) ou v(X Y ) 2 K X Y ]1:

t u

Introduction elementaire a la theorie des courbes elliptiques

36

Cette proposition permet de de nir la loi de composition de la secantetangente : 1. Si P Q 2 C (K ) et si P 6= Q, alors nous de nissons L = PQ, la droite secante qui passe par P et Q. Par la proposition precedente, nous savons qu'il existe un troisieme point unique (en comptant les multiplicites) qui appartient a C \ L, nous notons ce troisieme point P Q. 2. Si P 2 C (K ), alors nous de nissons L = PP , la droite tangente a C qui passe par P . Par la proposition precedente, nous savons qu'il existe un troisieme point unique (en comptant les multiplicites) qui appartient a C \ L, nous notons ce troisieme point P P .

Figure 3: Regle de la secante-tangente.

Proposition 56. Soient un corps in ni K et une cubique irreductible non


singuliere C . Pour tous points P1 P2 Q1 et Q2 2 C (K ), nous avons

(P1 P2 ) (Q1 Q2) = (P1 Q1) (P2 Q2):


Preuve. Construisons les matrices

(IV.16)

0 P 1 M = @ Q1

P2 P1 P2 A Q2 Q1 Q2 P1 Q1 P2 Q2 (P1 Q1 ) (P2 Q2 )

et

Q1 P1 Q 1 A Q2 P2 Q 2 P1 P2 Q1 Q2 (P1 P2) (Q1 Q2 ) f ou les elements de la ligne i de M (respectivement M ) sont des points de e C (K ) de la droite Li (respectivement Li ) passant par ces elements. Nous
CG{1995/1

0 P 1 f M = @ P2

Introduction elementaire a la theorie des courbes elliptiques

37

f devons montrer que M = M t . e (i) Considerons d'abord le cas ou Li et Lj ont uniquement un point d'intersection (c'est ce que nous appellerons l'hypothese de travail (i)). e eee Posons L = L1 L2 L3 et L = L1 L2L3 . Choisissons ensuite a1 a2 et a3 non tous nuls tels que ( e a1 C (R1 ) + a2L(R1 ) + a3 L(R1 ) = 0 (IV.17) e a1 C (R2 ) + a2L(R2 ) + a3 L(R2 ) = 0 avec R1(6= P1 P2 et P1 P2 ) 2 L1 et R2 62 L. Remarquons que R1 et R2 existent car K est in ni. Construisons la cubique

e C0 = a1 C + a2L + a3 L: a) Par l'absurde, supposons que C0 6= 0. (1) Notons M1j un element quelconque de la premiere ligne de la matrice M . Par le lemme 37, e e e e I (M1j L1 L) = I (M1j L1 L1 ) + I (M1j L1 L2 ) + I (M1j L1 L3 ) 1: Or, par le lemme 38, e I (M1j L1 C0) minfI (M1j L1 C ) I (M1j L1 L) I (M1j L1 L)g 1: Par (IV.17), R1 est un point de C0 et donc I (R1 L1 C0) 1 P car R1 2 L1 . Nous avons nalement que P 2L1 I (P L1 C0) 4 et, par consequent, par le corollaire 45, C0 = FL1 ou F est une conique. (2) Notons M2k un element quelconque de la deuxieme ligne de la matrice M . 1o Par le lemme 38, e I (M2k L2 C0) minfI (M2k L2 C ) I (M2k L2 L) I (M2k L2 L)g 1: De plus, par le lemme 37, I (M2k L2 C0) = I (M2k L2 F ) + I (M2k L2 L1) 1: Si M2k 62 L1 , alors I (M2k L2 L1 ) = 0 et donc I (M2k L2 F ) 1. 2o Sinon, si M2k 2 L1 , alors 9j tel que M2k = M1j et donc M2k 2

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

38

e Nous avons nalement I (M2k Lj F ) 1 M2k est donc un point de F et I (M2k L2 F ) 1. 3o Comme I (M2k L2 FP 1 independamment du fait que M2k 2 ) L1 ou non, nous avons P 2L2 I (P L2 F ) 3 et, par consequent, par le corollaire 45, F = DL2 ou D est une droite. (3) 1o Considerons le cas ou P1 Q1 = P2 Q2 . Appelons ce point commun M3 . Alors, par l'hypothese de travail (i), I (M3 L3 L1 ) = I (M3 L3 L2) = 0. En e et, si P1 Q1 = P2 Q2 = P1 P2 (les autres cas sont triviaux ou symetriques), alors Q1 Q2 = P1 P2 et e les droites L3 et L3 ont alors deux points communs. Par le lemme 38, e I (M3 L3 C0) minfI (M3 L3 C ) I (M3 L3 L) I (M3 L3 L) 2: Or, par le lemme 37, I (M3 L3 C0) = I (M3 L3 D) + I (M3 L3 L2) + I (M3 L3 L1 ) 2 et donc I (M3 L3 D) 2. Ce qui signi e, par la corollaire 45, que D = kL3 ou k est une constante non nulle. 2o Supposons que le point M31 = P1 Q1 apparaisse n fois dans e Lj . Alors, par le lemme 38, e e e e e I (M31 Lj C0) minfI (M31 Lj C ) I (M31 Lj L) I (M31 Lj L)g n: De plus, par le lemme 37, e e e I (M31 Lj C0) = I (M31 Lj D) + I (M31 Lj L1L2 ):

e e Lj . Par l'hypothese de travail (i), L2 \ Lj = M2j et par consequent e j = k. M2k appara^t donc deux fois dans Lj car M2k = M1j = M1k . Nous avons alors, par le lemme 38, e e e e e I (M2k Lj C0) minfI (M2k Lj C ) I (M2k Lj L) I (M2k Lj L)g 2: e Par l'hypothese de travail (i), I (M2k Lj L1 ) = 1. Par le lemme 37, e e e I (M2k Lj C0) = I (M2k Lj F ) + I (M2k Lj L1 ) 2:

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

39

b) Montrons que a1 6= 0. Par l'absurde, supposons que a1 = 0, alors a2 6= 0 ou a3 6= 0. Par e symetrie, supposons que a2 6= 0, alors L divise L, et donc 9i j tels e que Li est la m^me droite que Lj , ce qui est contraire a l'hypothese de e travail (i). Nous avons demontre que e C = b1 L + b2 L (IV.18) avec b1 = a2 =a1 et b2 = a3 =a1. e c) Notons T le point d'intersection entre L3 et L3 . Par (IV.18), C (T ) = 0 T est donc un point de C . Comme T 2 L3 \ C , T est egal a P1 Q1 P2 Q2 ou (P1 Q1 ) (P2 Q2 ): (IV.19) e Et comme T 2 L3 \ C , T est egal a P1 P2 Q1 Q2 ou (P1 P2) (Q1 Q2 ): (IV.20) Par l'hypothese de travail (i), les deux premiers points de (IV.19) sont di erents des deux premiers de (IV.20). En e et, si, par exemple, P1 e Q1 = T = P1 P2, alors les droites L1 et L1 ont deux points communs. Il reste donc les cas (P1 Q1 ) (P2 Q2) = T = (P1 P2) (Q1 Q2 ) (IV.21) P1 Q1 = T = (P1 P2) (Q1 Q2 ) (IV.22) P1 P2 = T = (P1 Q1 ) (P2 Q2 ) P2 Q2 = T = (P1 P2) (Q1 Q2 ) Q1 Q2 = T = (P1 Q1 ) (P2 Q2 ):
CG{1995/1

Or, par le lemme 37 et compte tenu de l'hypothese de travail (i), e I (M31 Lj L1L2 ) = n ; 1 e et donc I (M31 Lj D) 1. Cela signi e que M31 2 D. Comme le m^me argument est valable pour le point M32 = P2 Q2, nous e avons que M32 2 D. La droite D a par consequent deux points distincts communs avec L3 et donc, D = kL3 ou k est une constante non nulle. Finalement, nous avons C = kL1 L2 L3 = kL ou k est une constante non nulle. Or, par hypothese, C (R2) = 0 et L(R2 ) 6= 0, ce qui est impossible car k 6= 0. Nous avons donc e a1C + a2 L + a3L = 0:

Introduction elementaire a la theorie des courbes elliptiques

40

Si la relation (IV.21) est veri ee, alors la demonstration est terminee. Les quatre dernieres relations etant symetriques, nous allons uniquement montrer que la relation (IV.22) n'est jamais veri ee ou implique la relation (IV.21). Considerons le point M33 = (P1 Q1) (P2 Q2 ). Ce point appartient a C \ L3 . Donc, comme c2 6= 0 (car sinon C serait e e e e reductible), M33 2 L, c.-a-d. M33 est un point de L1 L2 et/ou L3 . o Si M 2 L , alors M 2 L \ L et est donc egal a P Q , i.e. 1 33 e 1 33 3 e1 1 1 (P1 Q1 ) (P2 Q2 ) = P1 Q1 : Ce qui, remis dans (IV.22), termine la demonstration. e e 2o Si M33 2 L2, alors M33 2 L3 \ L2 et est donc egal a P2 Q2, i.e. (P1 Q1 ) (P2 Q2 ) = P2 Q2 : (IV.23) Si P2 Q2 = P1 Q1 , alors nous avons un cas equivalent a 1o . Sinon, par (IV.18) et par le lemme 38, e I (P1 Q1 L3 C ) minfI (P1 Q1 L3 L) I (P1 Q1 L3 L)g 2 e car, par (IV.22), I (P1 Q1 L3 L) 2. De plus, comme P1 Q1 6= P2 Q2 , par (IV.23), Q L C 2 PI (P2 I (P2 L 3 C )) = 4 : ce qui signi e, par le coNous avons nalement P 2L3 3 rollaire 45, que L3 divise C , ce qui est impossible car C est irreductible. e e 3o Si M33 2 L3, alors M33 2 L3 \ L3 et est donc egal a T , i.e. (P1 Q1 ) (P2 Q2 ) = T = (P1 P2) (Q1 Q2) ce qui termine la demonstration. e (ii) Considerons a present le cas ou 9i j tels que Li = Lj . Par symetrie, les seuls cas a envisager sont P1 = Q2 P1 = Q1 Q2 (et donc P1 Q1 = Q2 ) P1 P2 = P1 Q1 (et donc P2 = Q1): La relation (IV.16) devient alors respectivement (P1 P2) (Q1 P1) = (P1 Q1 ) (P2 P1) (P1 P2) P1 = Q2 (P2 Q2 ) (P1 P2) (P2 Q2) = (P1 P2) (P2 Q2): Comme la deuxieme relation se reduit a P2 = P2 et que les deux autres relations sont immediates, le theoreme est demontre. t u
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques


de nie sur K , alors l'operation

41

Theoreme 57. Soit un corps in ni K . Si (E O) est une courbe elliptique


de nit une structure de groupe commutatif ayant O comme element neutre. De plus, si O0 est un autre point de la courbe elliptique, alors l'operation

P + Q = O (P Q)

(IV.24)

P +0 Q = O0 (P Q)

de nit une structure de groupe isomorphe au premier. Preuve. (i) a) Vu la de nition de la loi de composition de la secante-tangente, la commutativite est evidente : P + Q = O (P Q) = O (Q P ) = Q + P . b) O est l'element neutre, car P + O = O (P O) = O (O P ) = O + P = P . c) L'element symetrique d'un element Q est de ni par :

;Q = (O O )

Q:

(IV.25)

Figure 4: Symetrique d'un element Q. Ce qui est bien le symetrique, car

Q + (;Q) = O (Q ((O

O)

Q)) = O (O

O) = O + O = O O) = O + O = O:

et

;Q + Q = O

(((O

O)

Q) Q) = O (O

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques d) Il reste a montrer l'associativite. Calculons : P (Q + R) = P (O (Q R)) = ((P Q) Q) (O (Q R)) car P = (P Q) Q = ((P Q) O) (Q (Q R)) par la relation (IV.16) = ((P Q) O) R car Q (Q R) = R = (O (P Q)) R = (P + Q) R:

42

En appliquant O sur les deux membres de l'egalite, nous trouvons P + (Q + R) = (P + Q) + R. (ii) Construisons l'application bijective : (E +) ! (E +0) P 7! P ; O0 alors (P + Q) = (P + Q) ; O0
CG{1995/1

Figure 5: Veri cation de l'associativite.

Introduction elementaire a la theorie des courbes elliptiques = O (O (P Q)) ((O O) = O (O (O O)) ((P Q) = O O (P +0 Q)] = P +0 Q = (P ) +0 (Q): L'application est donc un isomorphisme.

43

O0)] O0)]

par (IV.16)

t u

Figure 6: Loi de groupe sur une courbe elliptique.

IV.4.2 Theoreme de Poincare

Le theoreme 57 peut ^tre generalise a un corps de caracteristique quelconque. e


une courbe elliptique de nie sur K , alors l'operation

Theoreme 58 Theoreme de Poincare. Soit un corps K . Si (E O) est


de nit une structure de groupe commutatif ayant O comme element neutre. De plus, si O0 est un autre point de la courbe elliptique, alors l'operation

P + Q = O (P Q)

P +0 Q = O0 (P Q)

de nit une structure de groupe isomorphe au premier.

Nous allons demontrer ce theoreme dans le cas ou K = F q . Pour cela, nous avons besoin d'introduire l'application reduction modulo q.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

44

IV.4.3 L'application \reduction modulo q"

Notons P2 (Q ), l'ensemble des points rationnels dans P2 . Un point P = (a b c) est normalise si a b et c sont des entiers sans facteur commun. Exemple 16. Le point (1=2 ;2=3 3=4) est represente par (6 ;8 9) en coordonnees normalisees. Si x represente le residu de x modulo q, i.e. x = x mod q, alors a chaque e e point normalise P = (a b c) de P2 (Q ) correspond, au signe pres, un et un e abc seul point P = (e e e) de P2 (F q ), car au moins un des trois nombres a b ou c n'est pas un multiple de q.

De nition 59. L'application reduction modulo q est l'application


Soit C 2 Q X Y Z ]d une courbe de nie sur Q dont les coe cients sont normalises, nous dirons que C est normalisee. Alors, nous associons la courbe e C 2 F q X Y Z ]d en reduisant les coe cients de C modulo q.

e ' : P2 (Q ) ! P2 (F q ) P 7! P:

(IV.26)

Proposition 60. Avec les notations precedentes, si P

e C (F q ).

e 2 C (Q ), alors P 2

Corollaire 61. Si C1 et C2 sont deux courbes, alors


(C1(Q^ 2 (Q )) )\C
Preuve. Trivial.

Preuve. Comme : Z ! F q x 7! x est un homomorphisme de groupe, la e these est immediate. t u

f f C1(F q ) \ C2 (F q ):

Lemme 62. Soit une droite normalisee L 2 P2 (Q ) donnee par


L : aX + bY + cZ = 0:
Alors il existe une tranformation lineaire

t u

t31 t32 t33 Z compatible avec la reduction modulo q qui transforme L en la droite a l'in ni L0 : Z 0 = 0.
CG{1995/1

0 X 1 0 X0 1 0 t t t 1 0 X 1 11 12 13 T : P2 (Q ) ! P2 (Q ) @ Y A 7! @ Y 0 A = @ t21 t22 t23 A @ Y A


Z Z0

Introduction elementaire a la theorie des courbes elliptiques

45

Preuve. Notons d = pgcd(b c). Par le corollaire 4, 9r s 2 Z tels que rc ; sb = d. Remarquons que r et s sont necessairement premiers entre eux. De plus, comme L est en coordonnees normalisees, pgcd(a d) = 1, et donc, par le corollaire 5, 9t u 2 Z tels que td + ua = 1. Comme pgcd(r s) = 1, 9v w 2 Z : vs ; wr = u. De nissons la matrice (tij ) :

ab c Le determinant de cette matrice vaut 1 par les hypotheses sur r s t u v et w. Par consequent, la matrice (mij ) = (tij );1 aura des elements entiers. Les matrices reduites (eij ) et (mij ) sont donc inverses l'une de l'autre, fournissant t e un changement de coordonnees correspondant modulo q. t u Proposition 63. Soient une cubique irreductible non singuliere C et une droite L de nies sur Q . Alors, si C \ L = fP1 P2 P3 g en coordonnees nore e e e fff malisees et si L n'est pas une composante de C , C \ L = fP1 P2 P3g. Preuve. (i) Supposons que L soit la droite a l'in ni Z = 0. Notons Pi = (ai bi 0) (i = 1 2 3), les trois points d'intersection de C et de L en coordonnes normalisees et F (X Y Z ) = 0, l'equation de C . Alors, F (X Y 0) = k
3 Y

0 t v w1 (tij ) = @ 0 r s A :

e e avec k 6= 0 car C est irreductible. Comme L n'est pas une composante de C , e(X Y 0) 6= 0 8X Y . Par ailleurs, etant donne que les points il s'ensuit que F Pi sont en coordonnees normalisees, (ai bi) 6= (0 0) et donc e 6= 0. Nous ee k pouvons par consequent reduire (IV.27) modulo q : Y e e F (X Y 0) = e (aiY ; bi X ) k e
3

i=1

(aiY

; biX )

(IV.27)

e e fff et donc, C \ L = fP1 P2 P3g. (ii) Si L n'est pas la droite a l'in ni, alors nous l'y ramenons par la transformation de nie par le lemme 62. t u
IV.4.4 Demonstration du theoreme de Poincare
CG{1995/1

i=1

Par le theoreme 57, nous savons que si (E O) est une courbe elliptique de nie sur Q , alors l'operation P + Q = O (P Q) de nit une structure de groupe.

Introduction elementaire a la theorie des courbes elliptiques

46

e e Nous devons donc demontrer que, si (E O) est une courbe elliptique de nie e e sur F q , l'application modulo q : E (Q ) ! E (F q ) P 7! P est un homomorphisme de groupe.
Preuve. Soient P et Q deux points de E (Q ) tels que P + Q = R. Notons respectivement L1 et L2, les droites PQ et (P Q)R et donc

E \ L1 = fP Q P Qg et E \ L2 = fP Q R

Og:
e Og

Par la proposition 63,

e ^ e e et donc R = P + Q = P + Q.

e f ee^ e f ^e E \ L1 = fP Q P Qg et E \ L2 = fP Q R

t u

Il reste a montrer que cette structure de groupe est independante du choix e e de O 2 E (F q ).


Preuve. Construisons l'application bijective

e e e e f : (E +) ! (E +0) P 7! P ; O0

alors, par le theoreme 57 et comme l'application modulo q est un homomore phisme de E (Q ) dans E (F q ),
^ e e f e e f e e ^ (P + Q) = (P + Q) = (P + Q) ; O0 = (P + Q) ; O0 = P +0 Q e e = (P ) +0 (Q):

L'application est donc un isomorphisme.

t u

IV.4.5 Formules explicites

Nous allons a present donner les formules explicites pour additionner deux points P et Q et pour doubler un point P sur une courbe elliptique donnee par l'equation de Weierstrass ou nous prenons, comme element neutre, le point a l'in ni O = (0 1 0). Etant donne que O est le seul point a l'in ni, nous allons travailler en coordonnees non homogenes. Soient P = (p1 p2) et Q = (q1 q2 ) deux points distincts de E .
CG{1995/1

E : f (x y) = y2 + a1 xy + a3 y ; x3 ; a2 x2 ; a4x ; a6 = 0

(IV.28)

Introduction elementaire a la theorie des courbes elliptiques

47

Figure 7: Addition de deux points sur une courbe de Weierstrass. Calculons ;P = (x(;P ) y(;P )), l'inverse du point P . Ce point appartient a la droite L : x = p1, car O O = O. En substituant dans (IV.28), nous obtenons

f (p1 y) = y2 + a1p1 y + a3 y ; p3 ; a2p2 ; a4p1 ; a6 1 1 = c(y ; p2)(y ; y(;P )) = cy2 ; c(p2 + y(;P ))y + cp2y(;P ):

Si nous egalons les coe cients, nous avons c = 1 et a1 p1 + a3 = c(p2 + y(;P )), et donc ;P = (p1 ;p2 ; a1p1 ; a3): (IV.29)

Addition des points P et Q (i) Si p1 = q1 et si q2 = ;p2 ; a1 p1 ; a3 , alors


P + Q = O:
(ii) Notons R = (r1 r2), la somme de P et de Q. Remarquons que R n'est pas le point a l'in ni (cas (i)). Supposons que q2 6= ;p2 ; a1 p1 ; a3 . a) Si p1 6= q1 , posons q ;p = q2 ; p2 et = p2 ; p1 : 1 1 La secante passant par P et Q a pour equation y = x + . En substituant dans (IV.28), nous avons
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

48

x+ ) = ( x + )2 + a1x( x + ) + a3 ( x + ) ; x3 ; a2x2 ; a4 x ; a6 = ;x3 + (;a2 + 2 + a1 )x2 + (;a4 + 2 + a1 + a3 )x ;a6 + 2 + a3 = c(x ; p1)(x ; q1 )(x ; r1) = cx3 ; c(p1 + q1 + r1)x2 + c(q1 r1 + p1q1 + p1 r1)x ; cp1 q1r1 : Si nous egalons les coe cients, nous avons c = ;1 et ;c(p1 + q1 + r1) = ;a2 + 2 + a1 , et donc r1 = ;a2 + 2 + a1 ; p1 ; q1 (IV.30) r2 = ;( r1 + ) ; a1 r1 ; a3 : (IV.31) b) Si p1 = q1 , alors P = Q. L'addition de P et de Q revient alors a doubler le point P . Doublement du point P Les formules vues ci-dessus restent valables, si ce n'est que maintenant represente le coe cient angulaire de la tangente a la courbe en P : @f (p p ) 2 dy 2 1 4 @x = dx = ; @f 1 2 = 3p1 +p2a+pa + a+ ; a1 p2 : 2 2 1p1 a3 P @y (p1 p2 )
Exemple 17. Soit la courbe elliptique

f (x

y2 = x3 + x + 1 de nie sur F 23 . Les seuls points de cette courbe sont (0 1) (0 22) (1 7) (1 16) (3 10) (3 13) (4 0) (5 4) (5 19) (6 4) (6 19) (7 11) (7 12) (9 7) (9 16) (11 3) (11 20) (12 4) (12 19) (13 7) (13 16) (17 3) (17 20) (18 3) (18 20) (19 5) (19 18) plus le point a l'in ni O. Prenons P = (3 10) et Q = (9 7). Calculons R = P + Q. Les formules precedentes donnent = 79; 10 = ;3 = ;1 = 11 2 F 23 et = 10 ; 11 3 = ;23 = 0 2 F 23 ;3 6 2 r1 = ;0 + 112 + 0 11 ; 3 ; 9 = 109 = 17 2 F 23 r2 = ;(11 17 + 0) ; 0 17 ; 0 = ;187 = ;3 = 20 2 F 23 :
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

49

Par consequent, (3 10) + (9 7) = (17 20). Calculons maintenant R = 2P . Les formules precedentes donnent 2+ 3 5 1 = 3 3 2 2 0 0 + 1 ; 0 10 = 28 = 20 = 4 = 6 10 + 3 + 0 20 = 10 ; 6 3 = ;8 = 15 r1 = ;0 + 62 + 0 6 ; 3 ; 3 = 30 = 7 r2 = ;(7 6 + 15) ; 0 6 ; 0 = ;57 = ;11 = 12: : Par consequent, 2(3 10) = (7 12).
Exemple 18. Soient le corps F 24 genere par la racine du polyn^me irreduco tible sur F 2 donne par f (x) = x4 + x + 1 et la courbe elliptique

y2 + xy = x3 + 4x2 + 1
de nie sur F 24 . Avant toute chose, calculons les puissances successives de
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

= = = = = = = = = = = = = = = =

0001] 0010] 0100] 1000] + 1 = 0011] 2 + = 0110] 3 + 2 = 1100] 4 + 3 = 3 + + 1 = 1011] 4 + 2 + = 2 + 1 = 0101] 3 + = 1010] 4 + 2 = 2 + + 1 = 0111] 3 + 2 + = 1110] 4 + 3 + 2 = 3 + 2 + + 1 = 1111] 4 + 3 + 2 + = 3 + 2 + 1 = 1101] 4 + 3 + = 3 + 1 = 1001] 4 + = 1 = 0001]:

Remarquons que pour ^tre coherent avec nos notations, nous aurions d^ e u ecrire l'equation de la courbe sous la forme 0001]y2 + 0001]xy = 0001]x3 + 0011]x2 + 0001]
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

50

mais comme 0001] est l'identite multiplicative, la premiere ecriture est correcte. Les seuls points de cette courbe sont plus le point a l'in ni O. Prenons P = ( 6 R = P + Q. Par les formules precedentes, =
13 3

(0 1)
6

14 ) ( 9

(1

6) (1 13 ) ( 3 8 ) ( 3 13 ) ( 5 3 ) ( 5 11 ) ( 6 10 ) ( 9 13 ) ( 10 1 ) ( 10 8 ) ( 12 0) ( 12 12 ) 8)

8)

et Q = (
3 2

13 ).

Calculons

= 8 ; 6 = 8 + 7 = ( 2) + ( 3 + + 1) = 3 + 2 + = 11 8 r = ; 4 + 2 + 1 ; 6 ; 3 = ( + 1) + 2 + + ( 3 + 2) + 3 <1 : : r2 = 1 ( 1 + 11) ; 1 1 ; 0 = 3 + 2 + 1 = 13 =; Par consequent, ( 6 8) + ( 3 13 ) = (1 13) ou de facon equivalente, ( 1100] 0101]) + ( 1000] 1101]) = ( 0001] 1101]): Calculons maintenant R = 2P . Par les formules precedentes, =3 = 8 ; 3 6 = ( 2 + 1) + ( 3 + ) = 12 r1 = ; 4 + 6 + 1 3 ; 6 ; 6 = 4 + 6 + 3 = 2 + + 1 = 10 : r2 = ;( 3 10 + 12) ; 1 10 ; 0 = 13 + 12 + 10 = 2 + 1 = 8 Par consequent, 2( 6 8) = ( 10 8) ou de facon equivalente, 2( 1100] 0101]) = ( 0111] 0101]):
12 + 2 4 6 + 0 1 2 8+1 6+0

; ;

8 6

3 2 2 = ( + 3 + 1)3+ ( 2 + 1) = ( )+( + )

12 + 8 6

=+ 6+

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

51

I Soit un corps K . Une courbe elliptique est une cubique irreductible


non singuliere de P2 (K ) qui possede un point O. I Une courbe elliptique est une courbe birationnellement equivalente aux points de l'equation de Weierstrass

A retenir.

plus le point a l'in ni O = (0 1 0). I Si (E O) est une courbe elliptique, alors l'operation P + Q = O (P Q) de nit a un isomorphisme pres une structure de groupe commutatif dont O est l'element neutre ou la loi de composition P Q de nit le troisieme point d'intersection de la droite passant passant par P et Q avec la courbe elliptique. I Si une courbe elliptique est donnee par une equation de Weierstrass plus le point a l'in ni O, alors l'addition de deux points P = (p1 p2) et Q = (q1 q2) vaut O si q1 = p1 et si q2 = ;p2 ; a1p1 ; a3 R = (r1 r2) ou

y2 + a1 xy + a3 y = x3 + a2 x2 + a4 x + a6

q ;p = q2 ; p2 si p1 6= q1 1 1 2 + 2a p + a ; a p 2 1 4 1 2 si p1 = q1 = 3p1 2p2 + a1 p1 + a3 et = p2 ; p1: Remarquons que y = x + est soit la secante passant par P et Q, soit la tangente a la courbe si P = Q.

avec

r1 = ;a2 + 2 + a1 ; p1 ; q1 r2 = ;( r1 + ) ; a1 r1 ; a3

CG{1995/1

Partie V

Applications
Resume. Le domaine d'applications des courbes elliptiques est tres vaste. Dans cette partie, nous allons uniquement voir comment d'une part, il est possible de prouver la primalite d'un nombre et d'autre part, comment il est possible de factoriser un nombre compose a l'aide des courbes elliptiques. Finalement, nous allons voir que les courbes elliptiques sont egalement utiles en cryptographie.

V.1 Test de primalite et factorisation


V.1.1 Introduction
Les problemes de primalite et de factorisation sont intimement lies, c'est pourquoi nous allons les traiter simultanement.

Proposition 64 (Petit theoreme de Fermat). Soit un nombre premier


p. Tout entier a satisfait a ap a (mod p). De plus, si a n'est pas divisible par p, alors ap;1 1 (mod p).
Preuve. (i) Considerons d'abord le cas ou p - a, alors a 2 F p . Par consequent, par le theoreme 7 ou nous prenons G = F p , nous avons ap;1 1 (mod p). Si nous multiplions les deux membres par a, nous obtenons la these. (ii) Si p j a, alors a 0 (mod p) et la these est triviale. t u

Le petit theoreme de Fermat permet d'introduire la notion de nombres pseudo-premiers.

De nition 65. Un nombre pseudo-premier en base b est un nombre compose


impair n qui ne divise pas b et tel que

bn;1 1 (mod n):


Notation. Un nombre n pseudo-premier en base b sera note \psp(b)".

(V.1)

Cependant, il existe des nombres n qui sont pseudo-premiers pour toute base b, ce sont les nombres de Carmichael.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

53

De nition 66. Soit p un nombre premier impair qui ne divise pas a. S'il
existe un entier x tel que a x2 (mod p), alors a est appele residu quadratique modulo p sinon a est appele un non-residu quadratique modulo p. Notation. Legendre a introduit la notation suivante : 8 0 si p divise a, a = < +1 si a est un residu quadratique modulo p, : ;1 sinon: p

Par la suite, Jacobi a etendu le symbole de Legendre a un nombre impair Q n = ti=1 pei : i t a = Y a ei : n i=1 pi

Proposition 67 (Critere d'Euler). Si p est un nombre premier impair qui


ne divise pas b, alors

b (mod p): p Preuve. Soit g un generateur du groupe F p . Cherchons les valeurs de s pour lesquelles gs ;1 (mod p). Si gs ;1 (mod p), alors il faut que g2s 1 (mod p). Cette condition signi e que 2s doit ^tre un multiple de p ; 1, e i.e. s = 0 (p ; 1)=2 p ; 1 : : : Or, comme g g2 : : : gp;1 modulo p constituent tous les elements de F p et que gp;1 1 (mod p), on obtient nalement s = (p ; 1)=2. Si on represente b par b gt mod p, alors g(p;1)k 1 (mod p) si t = 2k b(p;1)=2 gt(p;1)=2 g(p;1)k g(p;1)=2 ;1 (mod p) si t = 2k + 1: b
p ;1
2

t u

ers.

Ce critere d'Euler introduit une nouvelle sorte de nombres pseudo-premi-

compose impair n qui ne divise pas b et tel que b (mod n): 2 (V.2) b n;1 n Notation. Un nombre n pseudo-premier d'Euler en base b sera note \epsp(b)".
CG{1995/1

De nition 68. Un nombre pseudo-premier d'Euler en base b est un nombre

Introduction elementaire a la theorie des courbes elliptiques

54

En n, Miller et Rabin ont propose un test de pseudo-primalite meilleur que ceux de Fermat ou d'Euler (voir proposition 70) et qui, de surcro^t, \arr^te" les nombres de Carmichael. Leur methode repose sur la notion de e nombres pseudo-premiers forts.

De nition 69. Un nombre pseudo-premier fort en base b est un nombre

compose impair n = 2st + 1 (avec t impair et s > 0) qui ne divise pas b et tel que bt 1 (mod n) ou 9r 0 r < s t.q. b2r t ;1 (mod n): Notation. Un nombre n pseudo-premier fort en base b sera note \spsp(b)".

Proposition 70. Si N est spsp(b) ou epsp(b), alors N est psp(b).


Preuve. (i) Soient N = 2st + 1 (avec s > 0 et t impair), un nombre pseudopremier fort et b, une base telle que pgcd(b N ) = 1. Alors,

bN ;1 ; 1 b2s t ; 1 (bt ; 1)(bt + 1)(b2t + 1) bN ;1 b N


2

(b2s;1 t + 1) 0 (mod N ):

(ii) Si N est epsp(b), alors

1 (mod N ):

t u

Selfridge a demontre qu'un nombre spsp(b) est egalement epsp(b). Il y a par consequent davantage de nombres pseudo-premiers (simples) et pseudopremiers d'Euler que de nombres pseudo-premiers forts. C'est donc ces derniers qui seront consideres dans les tests de pseudo-primalite. L'algorithme de Miller-Rabin consiste a veri er qu'un candidat premier N est spsp(b) pour b = 2 3 5 7 11 : : : La probabilite que ce test echoue est inferieure a 4;s ou s est le nombre de bases pour lesquelles N est pseudopremier fort. En pratique, nous e ectuerons 10 tests de Miller-Rabin la probabilite que N est compose sera alors inferieure a 9 5 10;7. Il existe de vrais tests de primalite, mais ceux-ci sont plus co^teux. Un test de pseudou primalite sera donc e ectue avant d'utiliser un tel test. Il est a noter que les tests de pseudo-primalite constituent egalement des tests de composition : si un nombre ne passe pas a travers un tel test, alors il est compose. Dans la suite, nous noterons N le candidat premier ou le nombre dont nous cherchons la decomposition premiere et p un nombre premier. Mais avant tout, nous allons demontrer le theoreme de Hasse qui encadre la cardinalite d'un courbe elliptique de nie sur F q . Nous allons uniquenment demontrer ce theoreme dans le cas ou q = p est un nombre premier. Il faut toutefois retenir que ce theoreme reste valable si q est une puissance d'un nombre premier p.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

55

V.1.2 Theoreme de Hasse


nie sur F p , alors

Theoreme 71 (Theoreme de Hasse). Si E est une courbe elliptique de Preuve. Notons m = #E (F p ). (i) Si p = 2 ou p = 3, alors la these devient respectivement 1 m 5 et 1 m 7 ce qui est trivialement respecte car O 2 E (F p ) et, que vu les relations (IV.5) a (IV.8), nous voyons qu'a chaque abscisse x correspond au plus deux ordonnees y. (ii) Supposons que la courbe elliptique E soit donnee par l'equation de Weierstrass E : y2 = x3 + ax + b O = (0 1 0): 1) Considerons la courbe elliptique 3 + Y 2 = X 3 + aX+ bb O = (0 1 0) (V.3) x + ax avec X et Y 2 F p (x), le corps des fractions rationnelles a coe cients dans F p . Par le theoreme 57, l'ensemble des solutions de (V.3) forme 1 un groupe commutatif et comme (x 1) et (xp (x3 + ax + b) 2 (p;1)) sont solutions de (V.3), il s'ensuit que
1 Zn = (xp (x3 + ax + b) 2 (p;1) ) + n(x 1) (V.4) veri e egalement (V.3). De nissons dn : 8 d = 0 si Z = O <n n dn = max(deg(numerateur(Xn)) deg(denominateur(Xn)))y : si Zn = (Xn Yn) 6= O ou Xn est ecrit de facon telle que pgcd(numerateur(Xn) denominateur(Xn)) = 1: D'abord, calculons l'analogue des formules (IV.29), (IV.30) et (IV.31) pour une courbe elliptique donnee sous la forme 3 + aX + E 0 : F (X Y ) = Y 2 ; X 3 + ax + bb : (V.5) x
y

jp + 1 ; #E (F p )j 2pp:

Si f 2 K x], alors deg(f (x)) designe le degre du polyn^me f . o

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

56

2) Montrons que d;1 ; d0 = m ; p. Par (V.4), nous avons immediatement que d0 = p: (V.10) Il reste a montrer que d;1 = m. Par (V.6) et (V.7), 2 X;1 = (xp (x3 + ax + b) 1 (p;1) ) + (x ;1) ! ;1 ; (x3 + ax + b) 12 (p;1) 2 (x3 + ax + b) ;xp ; x: = x ; xp {z } | L
CG{1995/1

Soient P = (P1 P2 ) et Q = (Q1 Q2 ) deux points distincts de E 0, tous deux di erents de O et tels que R = (R1 R2) = P + Q 6= O. L'inverse de point P est donne par ;P = (P1 ;P2) (V.6) celui-ci s'obtient immediatement par des arguments similiaires a ceux utilises pour obtenir la formule (IV.29). Notons X + la secante passant par P et Q avec Q ;P = Q2 ; P2 et = P2 ; P1 : 1 1 En substituant dans (V.5), nous avons a ;X 3 F (X X + ) = x3 + ax + b + 2X 2 + 2 ; x3 + ax + b X b + 2 ; x3 + ax + b = c(X ; P1)(X ; P2)(X ; P3) = cX 3 ; c(P1 + Q1 + R1)X 2 +c(Q1 R1 + P1 Q1 + P1R1 )X ; cP1Q1 R1 : Par consequent c = ;(x3 + ax + b);1 et ;c(P1 + Q1 + R1 ) = 2 , et R1 = 2 (x3 + ax + b) ; P1 ; Q1 (V.7) R2 = ;( R1 + ): (V.8) Remarquons que si P = Q, alors la secante devient tangente et @F (P P ) 2 = ; @X 1 2 = 2P (3P1 + a + b) : (V.9) @F (P P ) 2 x3 + ax @Y 1 2

Introduction elementaire a la theorie des courbes elliptiques

57

Simpli ons la fraction L. Dans (Z=pZ), le denominateur de L se factorise par la proposition 64 en (x ; xp)2 =

ou le degre de R(x) est strictement inferieur a 2p + 1 donc deg(numerateur(X;1)) = deg(denominateur(X;1)) + 1 et d;1 = deg(denominateur(L)) + 1 = m. 3) Montrons que dn;1 + dn+1 = 2dn + 2 8n 2 Z. 1o Considerons d'abord le cas ou Zn;1, Zn ou Zn+1 est le point O. Si Zn;1 = O, alors dn;1 = 0 et, par (V.7) et (V.9), 4 2 bx 2 Zn = (x 1) et Zn+1 = (x 1) + (x 1) = x ; 2ax+ ; 8+ b+ a Yn+1 4(x3 ax ) et donc dn = 1 et dn+1 = 4 et la formule est veri ee. Si Zn = O, alors dn = 0 et Zn+1 = (x 1) et Zn;1 = ;(x 1) = (;x 1)
CG{1995/1

Les facteurs de la forme (x ; u) du numerateur de L sont ceux pour lesquels ce numerateur s'annulle en u. Cela appara^t quand 3 p;1 (u3 + ax + b) 2 = ;1 () u + au + b = ;1 p par la proposition 67, et quand 3 3 + ax + b = 0 () u + au + b = 0: u p Apres simpli cation, les facteurs restants dans le denominateur sont 3 3 (x ; u)2 si u + au + b = 1, et (x ; u) si u + au + b = 0 p p ce qui correspond au nombre de solutions a nes de E (F p ) et donc deg(denominateur(L)) = m ; 1: Or, 2p+1 + X;1 = x (x ; xR)(2x) p

u2(Z=pZ)

(x ; u)2:

Introduction elementaire a la theorie des courbes elliptiques

58

et donc dn+1 = dn;1 = 1 et la formule est veri ee. Si Zn+1 = O, alors dn+1 = O et Zn = ;(x 1) = (;x 1) et

Zn;1 = (;x 1) ; (x 1) = 2(;x 1) 4 + 14 2 + 8 2 = 17x 4(x3 axax + bx + a Yn;1 + b)


et donc dn = 1 et dn;1 = 4 et la formule est veri ee. 2o Supposons maintenant que Zn;1, Zn et Zn+1 sont tous trois di erents de O. Notons C A Xn;1 = B Xn = P Xn+1 = D Q de sorte que les numerateurs et les denominateurs n'aient pas de facteur commun, i.e. pgcd(A B ) = pgcd(P Q) = pgcd(C D) = 1: Par les formules (V.6) et (V.7), nous avons alors
3 2 3 ax + b 2 Qx Xn;1 = Q (1 + Yn) (x + (Qx ;)P;2(Q ; P ) (P + Qx) (V.11) ) 3 (1 ; Y )2 (x3 + ax + b) ; (Qx ; P )2 (P + Qx) n Xn+1 = Q : (V.12) (Qx ; P )2Q En multipliant et en additionnant les deux egalites precedentes, nous obtenons apres calculs )2 bQ( AC Xn;1Xn+1 = (Px ; aQQx; 4P )2 Qx + P ) = BD (V.13) ( ; 2 + P 2 x + axQ2 + 2bQ2 + aPQ] (Xn;1 + Xn+1) = 2 PQx (Qx ; P )2 = AD + BC : (V.14) BD Soit S = pgcd(AC BD), alors par (V.13) et (V.14),

AC = S (Px ; aQ)2 ; 4bQ(Qx + P )] (V.15) 2 BD = S (Qx ; P ) (V.16) 2 + P 2 x + axQ2 + 2bQ2 + aPQ]: (V.17) AD + BC = 2S PQx

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

59

Si F est un facteur premier de S , alors, par les relations precedentes, Supposons que F j B (le cas F divise D est symetrique), alors F - A car pgcd(A B ) = 1. De plus, comme F j AC , il vient que F j C et donc F j BC . En n, comme F j (AD + BC ), il s'ensuit que F j AD et F j D car F - A. Nous avons donc montre que F j C et F j D, par consequent F = 1 car pgcd(C D) = 1. Par les equations (V.15),(V.16) et (V.17), cela implique que

F j AC

F j BD et F j (AD + BC ):

(V.18)

AC = (Px ; aQ)2 ; 4bQ(Qx + P ) (V.19) 2 BD = (Qx ; P ) (V.20) AD + BC = 2 PQx2 + P 2x + axQ2 + 2bQ2 + aPQ]: (V.21)

Nous devons demontrer que dn;1 + dn+1 = 2dn + 2 ou de facon equivalente que max(deg(A) deg(B )) + max(deg(C ) deg(D)) = 2 max(deg(P ) deg(Q)) + 2: ( ) Si dn;1 = deg(A) et si dn+1 = deg(C ), alors, par (V.19),

dn;1 + dn+1 = deg(AC ) = deg (Px ; aQ)2 ; 4bQ(Qx + P )]:


deg(BD) = 2 deg(Q) + 2:

Par l'absurde, supposons que deg(P ) < deg(Q). Alors, par (V.20), De plus, deg(AC ) max(2 deg(P ) + 2 2 deg(Q) 2 deg(Q) + 1 deg(PQ)) = 2 deg(Q) + 1 < deg(BD) ce qui est impossible. Donc, deg(P ) deg(Q) et deg(AC ) = deg(Px2) = dn + 2 ce qui demontre le point 3). ( ) Si dn;1 = deg(B ) et si dn+1 = deg(D), alors, par (V.20),

dn;1 + dn+1 = deg(BD) = deg (Qx ; P )2]:

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

60

Par l'absurde, supposons que deg(Q) < deg(P ). Alors, par (V.19), deg(AC ) = deg(P 2x2 ) > deg(P 2) deg(BD) ce qui est impossible. Donc, deg(Q) deg(P ) et deg(BD) = deg(Q2 x2 ) = dn + 2 ce qui demontre le point 3). ( ) Si dn;1 = deg(A) et si dn+1 = deg(D) avec deg(A) > deg(B ) | sinon, c'est le cas ( ) | et deg(D) > deg(C ) | sinon, c'est le cas ( ) |, alors, par (V.21), deg(AD) = deg(AD + BC ) car deg(AD) > deg(BC ) = degf2 PQx2 + P 2x + axQ2 + 2bQ2 + aPQ]g = deg(PQx2): Si deg(P ) deg(Q), alors deg(AD) deg(P 2x2) = deg(AC ) ce qui est impossible. Sinon, si deg(P ) < deg(Q), alors deg(AD) < deg(Q2 x2 ) = deg(BD) ce qui est impossible. Le cas ( ) ne se rencontre donc jamais. ( ) Si dn;1 = deg(B ) et si dn+1 = deg(C ) avec deg(B ) > deg(A) | sinon, c'est le cas ( ) | et deg(C ) > deg(D) | sinon, c'est le cas ( ) |, alors, par (V.21), deg(BC ) = deg(AD + BC ) car deg(BC ) > deg(AD) = degf2 PQx2 + P 2x + axQ2 + 2bQ2 + aPQ]g = deg(PQx2 ): Si deg(P ) deg(Q), alors deg(BC ) deg(P 2x2 ) = deg(AC ) ce qui est impossible. Sinon, si deg(P ) < deg(Q), alors deg(BC ) < deg(Q2x2 ) = deg(BD) ce qui est impossible. Le cas ( ) ne se rencontre donc jamais.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

61

4) Par induction, prouvons que dn = n2 ; (d;1 ; d0 ; 1)n + d0. Pour n = ;1 et n = 0, la relation est trivialement veri ee. Supposons que dn;2 = (n ; 2)2 ; (d;1 ; d0 ; 1)(n ; 2) + d0 et que dn;1 = (n ; 1)2 ; (d;1 ; d0 ; 1)(n ; 1) + d0, alors par 3),

dn = 2dn;1 ; dn;2 + 2 = 2 (n ; 1)2 ; (d;1 ; d0 ; 1)(n ; 1) + d0] ; (n ; 2)2 ; (d;1 ; d0 ; 1)(n ; 2) + d0] + 2 = n2 ; (d;1 ; d0 ; 1)n + d0: dn = n2 + apn + p

En remplacant d;1 et d0 par leurs valeurs calculees en 2), nous obtenons ou ap = p + 1 ; m. Considerons la fonction : R ! R r 7! r2 + apr + p. Si cette fonction a deux racines distinctes r1 et r2 avec r1 < r2, alors 8r 2 ]r1 r2 : f (r) < 0 car f 00 (r) > 0. Or comme r2 ; r1 = = a2 ; 4p > 0 et que ap est entier, p nous avons que r2 ; r1 1. Il existe donc un entier n tel que dn 2 ]r1 r2 car deux dn consecutifs ne peuvent pas s'annuller simultanement. Cela implique que dn < 0, ce qui est impossible car dn est le degre d'un polyn^me. Par o consequent, = a2 ; 4p 0 et donc japj = jp + 1 ; #E (F p )j 2pp. t u p (V.22)

V.1.3 Test de primalite


de N ; 1 =

Le test de primalite utilisant les courbes elliptiques est une variante du test de Pocklington dans (Z=N Z) .y

Theoreme 72. Soitj N un entier positif. Notons pi un des facteurs premiers Qn e


aNi ;1 1 (mod N ) et pgcd(a(pN ;1)=pi ; 1 N ) = 1: p i
j =1 pj

et supposons qu'il existe un entier api tel que

(V.23)

Alors, si d est un facteur de N , d 1 (mod pei ). i Preuve. Comme tout facteur d de N est le produit de nombres premiers, il su t de demontrer le theoreme pour tout facteur premier q de N . Comme aNi ;1 1 (mod N ), il s'ensuit que uN + aNi ;2 api = 1. Par le corollaire p p 4, cela signi e que pgcd(api N ) = 1 et pgcd(api q) = 1. Nous avons donc
Nous utilisons la notation (Z=N Z) et non FN , car a priori nous ne savons pas que (Z=N Z) est un corps.
y

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

62

aq;1 1 (mod q) par la proposition 64. Notons oi, l'ordre de pi modulo pi q, alors la relation precedente implique que oi j q ; 1. D'autre part, comme aN ;1 1 (mod N ) et pgcd(a(pN ;1)=pi ; 1 N ) = 1, nous avons i n n aNi ;1 1 (mod q) p ei Y pej et o - pei ;1 Y pej i i j a(pN ;1)=pi 6 1 (mod q) ) oi j pi j=1 j i j =1

j 6=i

oi = pei M i

et

oi = pei;1M i

j 6=i

ou M =

n Y j =1 j 6=i

pej j

alors N est premier. Preuve. Voir corollaire suivant ou nous prenons F = q. t u Le critere de Pocklington a ete a ne par Lehmer de la maniere suivante : Corollaire 74 (Critere de Pocklington-Lehmer). Si nous pouvons ecrip re N ; 1 = FU avec pgcd(F U ) = 1 et F > N ; 1 et si pour tout facteur premier pi de F , il existe un api qui satisfait a (V.23), alors N est premier. Preuve. Par la proposition precedente, tout facteur de N congrue a 1p modulo F . Les facteurs de N sont donc de la forme F +1. Or, comme F > N ; 1, N n'a pas de facteur premier inferieur a sa racine carree et, par consequent, N est premier. t u Voyons a present comment le critere de Pocklington peut ^tre adapte e aux courbes elliptiques. Remarquons que nous devons pas travailler avec l'equation generale de Weierstrass. En e et, un simple calcul de pgcd peut nous assurer que N est relativement premier avec 6. Nous allons donc restreindre notre etude a la courbe elliptique E donnee par l'equation de Weierstrass y2 = x3 + ax + b plus le point a l'in ni O que nous prendrons comme element neutre. Supposons que N soit premier. A n d'etablir l'analogue du critere de Pocklington, comparons les groupes F N et (E O) :
CG{1995/1

) 6= pi ) pei i j oi: Finalement, nous avons pei j oi j q ; 1, et donc q 1 (mod pei ). t u i i Corollaire 73 (Critere de Pocklington). Si q est un facteur premier de p N ; 1 strictement superieur a N ; 1 et s'il existe un entier a tel que aN ;1 1 (mod N ) et pgcd(a(N ;1)=q ; 1 N ) = 1

Introduction elementaire a la theorie des courbes elliptiques Elements Loi de comp. Element neutre Cardinalite (E O) f1 2 : : : N ; 1g f(x2 y) 23F N j y = x + ax + bg O (groupe multiplicatif) + (groupe additif) 1 O = (0 1 0) p N ;1 m avec jm ; (N + 1)j 2 N
FN

63

Soit P un point de la courbe elliptique. La condition aN ;1 1 (mod N ) devient mP = O la condition pgcd(a(N ;1)=q ; 1 N ) = 1 peut s'ecrire a(N ;1)=q 6 1 (mod N ) et devient m P 6= O. L'hypothese q facteur premier q pN ; 1 demande un peu plus de re exion. Cette hypothese de N ; 1 et q > est necessaire pour assurer la primalite de N . Si N avait un facteur premier pN , alors q serait strictement superieur a p;1. De la m^me maniere dans p e (E O), un facteur premier q de m doit ^tre superieur a quelque chose, et ce e quelque chose doit ^tre necessaire pour assurer la primalite de N . Supposons e pN . que N ne soit pas premier, alors N possede un facteur premier p L'equivalent de la condition q > p ; 1 deviendrait q > m0 ou m0 est la cardinalite de la courbe E modulo p. Cette derniere condition est satisfaite si q > (N 1=4 + 1)2 car, par le theoreme 71, m0 p + 1 + 2pp = (pp + 1)2 (N 1=4 + 1)2 < q. Rassemblons toutes ces idees dans la proposition suivante :

Proposition 75 (Critere de Goldwasser-Kilian). Soit N un entier relativement premier avec 6. S'il existe un entier m et un point P de la courbe elliptique E : y2 = x3 + ax + b (mod N ) O tels que 1. il existe un facteur premier q de m strictement superieur a (N 1=4 +1)2, 3. m P = (x y z) avec z 2 (Z=N Z) , q alors N est premier. Preuve. Par l'absurde, supposons que N a un facteur premier p. Notons E 0 la courbe E modulo p, m0 la cardinalite de E 0 et P 0 le point de E 0 correspondant au point P de E . Par hypothese, mP = O et m P 6= O sur E et donc, q 2. mP = O = (0 1 0),

mP 0 = O car p j N m P 0 6= O car z 2 (Z=N Z) q

(V.24) (V.25)

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

64

p q m0 p + 1 + 2pp = (pp + 1)2 par le theoreme 71 (N 1=4 + 1)2 car p N ce qui contredit l'hypothese.

sur E 0. Les relations (V.24) et (V.24) impliquent que q divise l'ordre de P 0 comme point de E 0 et, par le theoreme 7, q divise m0. Il s'ensuit que

t u

Remarque. Nous faisons tous les calculs comme si N etait premier. Si l'algorithme de Schoofy n'aboutit pas, alors cela signi e que N est compose. De m^me, dans le calcul de mP et de m P , il est possible que le denominateur e q de ne soit pas inversible. Cela signi e que (Z=N Z) n'est pas un corps, i.e. (Z=N Z) 6= F N , et donc que N est compose. Nous avons alors prouve que N n'etait pas premier. Exemple 19. Supposons que nous voulions prouver la primalite de 1283 qui a passe avec succes le test de Miller-Rabin. Comme 1283 est relativement premier avec 6, considerons la courbe y2 = x3 + ax + b (mod 1283). Choisissons, par exemple, x = 121, y = 30 et a = ;1. Nous calculons alors b = 302 ; 1213 + 21 mod 1283 = 0. Le point P = (121 30) appartient donc a la courbe E : y2 = x3 ; x (mod 1283) O: Remarquons que cette courbe est non singuliere car = 64 6= 0. Nous devons maintenant calculer le nombre de points de cette courbe. Il n'est pas necessaire d'utiliser l'algorithme de Schoof, car nous pouvons voir que

((;x)3 ; (;x)) = (;1) (x3 ; x) = ; (x3 ; x)z

car 1283 3 mod 4 et donc

x2F1283

(x3 ; x) = (0) = 0:

La cardinalite m de la courbe vaut donc 1283 + 1 = 1284. Comme m = 1284 = 12 107, veri ons les hypotheses de la proposition avec q = 107 : 1. 107 est premier et 107 > ((1283)1=4 + 1)2 ' 49 2. 1284P = 2(2(P + 2(2(2(2(2(2(P + 2(2P ))))))))) = = O
Cet algorithme permet de calculer la cardinalite d'une courbe elliptique. est le caractere quadratique de (Z=N Z) , i.e. (x) = 1 si x est un carre modulo N et (x) = ;1 sinon. Nous etendons cette notion a (Z=N Z) en prenant (0) = 0. Remarquons que si N est premier, alors est le symbole de Legendre.
y z

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques 3.


1284 P 107

65

= 12P = 2(2(P + 2P )) = 2(2((121 30) + (1066 377))) = 2(2(1083 1155)) = 2(704 284) = (903 1038) 6= O. Comme toutes les hypotheses sont veri ees, nous avons prouve que 1283 est un nombre premier. Dans cet exemple, nous avons eu la chance que m P 6= O. Si ce n'etait q pas le cas, nous aurions d^ considerer un autre point P ou une autre courbe u elliptique. Le gros avantage de la methode de Goldasser-Kilian par rapport a celle de Pocklington est qu'il est toujours possible, par le theoreme 71, de trouver une courbe elliptique dont la cardinalite m veri e le critere.

V.1.4 Factorisation

La factorisation sur une courbe elliptique est inspiree d'une methode de factorisation dans F p : l'algorithme p ; 1 de Pollard. Rappelons brievement cet algorithme. De nition 76. Un entier N est B -lisse si tous les facteurs premiers de N sont inferieurs ou egaux a B . L'entier N est B -superlisse si toutes les puissances premieres divisant N sont inferieures ou egales a B . Supposons que le nombre compose N ait un facteur premier p tel que p ; 1 soit B -superlisse, alors, par la proposition 64, appcm(1 2 ::: B) 1 (mod p) 8a 2 N tel que pgcd(a N ) = 1y car p ; 1 divise le plus petit commun multiple des nombres 1 a B . Par consequent, nous avons l = pgcd(appcm(1 2 ::: B) ; 1 N ) > 1: Si l 6= N , alors nous avons trouve un facteur non trivial de N , sinon nous calculons l pour une autre valeur de a. Si l = 1, alors nous augmentons la valeur de B . Exemple 20. Supposons que nous voulions factoriser le nombre compose N = 540143. Prenons, par exemple, B = 8 et a = 2 (qui est relativement premier avec N ). Le ppcm de (1 2 : : : 8) est egal a 23 3 5 7 = 840. Calculons pgcd((2840 ; 1) mod 540143 540143) = pgcd(53046 540143) = 421: Nous avons donc 540143 = 421 1283.
y

ppcm denote le plus petit commun multiple.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

66

Le desavantage de cette methode est qu'il faut que N ait un facteur p tel que p ; 1 soit B -superlisse. Cet inconvenient ne se retrouve pas dans la methode proposee par Lenstra, basee sur les courbes elliptiques. Supposons que le nombre compose N ait un facteur premier impair p > 3. Nous allons travailler avec la courbe elliptique E :

E : y2 = x3 + ax + b

O = (0 1 0)

telle que E (F p ) soit non singuliere. Cette condition est veri ee en calculant le pgcd du discrimant = ;16(4a3 + 27b2) et de N . Si pgcd( N ) > 1, alors soit N j et nous prenons une autre courbe elliptique, soit et N ont un facteur commun et nous avons trouve un facteur non trivial de N . Sans perdre de generalites, nous pouvons donc supposer que pgcd( N ) = 1 et par consequent que mod p 6= 0. Dans la methode de p ; 1 de Pollard, nous avons suppose que la cardinalite du groupe F p soit B -superlisse de m^me pour la methode de Lenstra, nous supposons que la cardinalite m du e groupe E (F p ) soit B -superlisse. Considerons un point P 6= O 2 E (Z=N Z) et de nissons k = ppcm(1 2 : : : B ): Par le theoreme 7, nous savons que kP = O dans E (F p ) car m j k et P 2 E (F p ) (puisque p j N ). Le calcul de kP se fait par la methode de l'additiondoublement telle qu'utilisee dans l'exemple de la page 64. Il su t d'ecrire k en base 2, i.e. k = (kn;1kn;2 : : : k0)2 avec kn;1 = 1 le calcul de kP se fait alors comme suit : Q=P pour i = n ; 2 jusque 0 Q 2Q si ki = 1 alors Q Q + P kP = Q Comme le facteur p est inconnu, le calcul de kP se fait dans E (Z=N Z) et non dans E (F p ). Il se peut donc, dans le calcul de kP , que ne soit pas inversible dans (Z=N Z). Alors, soit le denominateur de est egal a N et nous prenons alors un autre point P ou une autre courbe elliptique E , soit nous trouvons un facteur non trivial de N en calculant le pgcd du denominateur de et de N . Si le calcul de kP aboutit, alors nous choisissons un autre point P ou une autre courbe elliptique E . Le seul point delicat de cette methode est le choix de la courbe elliptique E et de la borne de lissite B . Nous allons montrer sur un exemple comment choisir judicieusement ces parametres.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

67

Exemple 21. Factorisons a nouveau le nombre N = 540143 par la methode de Lenstra. Soit la famille de courbes parametrees par a

Le point P = (0 1) 6= O appartient toujours a Ea pour toute valeur de a. Le discriminant vaut ;16(4a3 + 27). Prenons a = 1, alors pgcd( N ) = 1 et la courbe E1 est bien un courbe elliptique sur F p ou p est un facteur premier de N . Nous savons que tout facteur premier p de N est inferieur a pN ' 735. De plus par le theoreme 71, le nombre de points de E (Fp ) est majore par p + 1 + 2pp < 792. Nous allons donc prendre B = 792 et, par exemple, k = 29 36 = 373248 qui est 792-superlisse. Nous calculons ensuite kP par la methode de l'addition-doublement. Si le calcul aboutit, alors nous augmentons a d'une unite (ou nous augmentons la valeur de B , par exemple, B = 29 36 54 ) et nous recommencons la procedure, sinon nous avons trouve un facteur non trivial de N . L'avantage de cette methode est que nous allons nir par trouver une courbe elliptique Ea dont la cardinalite est B -superlisse, alors que la methode de Pollard imposait que p ; 1 soit B -superlisse. Il a ete montre que la complexite de cet algorithme est en

Ea : y2 = x3 + ax + 1

O:

O(e(1+") log N log log N )


ce qui le place en t^te des algorithmes de factorisation. e

V.2 Protocoles cryptographiques


V.2.1 Introduction
Les courbes elliptiques permettent d'implementer des protocoles cryptographiques semblables a celui propose par El Gamal. La securite de ces systemes repose sur la di culte de calculer un logarithme discret. Mais, contrairement a F q , il n'existe aucun algorithme subexponentiel pour resoudre le probleme du logarithme dans E (F q ). Cela permet, pour une securite equivalente, d'utiliser des cles plus petites. Par ailleurs, sur un corps choisi, il est possible de construire une multitude de courbes elliptiques. En particulier, si nous travaillons sur une courbe elliptique de nie sur F 2m , les calculs se font tres rapidement. Les avantages des courbes elliptiques sont donc multiples.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

68

V.2.2 Schema de Di e-Helman

Supposons qu'Alice et Bob veuillent echanger une cle pour pouvoir l'utiliser dans un protocole cryptographique quelconque. Ils se mettent d'accord sur un nombre premier p et sur un element g de F p qu'ils rendent publique. Alice choisit alors un nombre x 2 F p et Bob, un nombre y 2 F p . Les nombres x et y sont respectivement les cles secretes d'Alice et de Bob. Ensuite, ils calculent respectivement X et Y , qui constituent les cles publiques d'Alice et de Bob, pour obtenir une cle K commune comme l'illustre le schema suivant. Alice Bob pg x y X X = gx mod p ;! Y; Y = gy mod p K = Y x mod p K 0 = X y mod p Figure 8: Schema de Di e-Helman classique. Alice et Bob ont bien la m^me cle car e K Y x (gy )x (gx)y X y K 0 (mod p): Si Ca n est un espion qui observe ce qui se passe (Ca n conna^t p g X et Y ), il ne peut pas obtenir la cle car il n'est pas capable de calculer des logarithmes discrets en un temps raisonnable. Sur les courbes elliptiques, le schema est identique si ce n'est qu'Alice et Bob rendent publique une courbe elliptique E de nie sur F q et un point P 2 E (F q ). Alice

Y = yP K = xY K 0 = yX Figure 9: Schema de Di e-Helman elliptique. Ici aussi, nous pouvons veri er que la cle est identique car K = xY = x(yP ) = y(xP ) = yX = K 0
CG{1995/1

x X = xP

E P 2E
Fq

Bob

X ;! Y;

Introduction elementaire a la theorie des courbes elliptiques

69

et un espion ne peut pas calculer la cle K sans resoudre le probleme du logarithme.

V.2.3 Codage d'El Gamal

Supposons maintenant qu'Alice veuille envoyer un message a Bob sous forme codee de sorte que Bob soit le seul a pouvoir dechi rer le message. Avec les notations du paragraphe precedent, notons m 2 F p le message a coder. Alice choisit secretement un nombre k et calcule a = gk mod p. Ensuite, avec la cle publique Y de Bob, Alice calcule G = Y k mod p et b = Gm mod p. Le message chi re c est la paire (a b) qu'elle envoie a Bob. Pour dechi rer le message, Bob calcule G = ay mod p a l'aide de sa cle secrete y et ensuite retrouve m = bG;1 mod p. Alice

mk a = gk mod p G = Y k mod p b = Gm mod p c = (a b)

pgY

Bob

G0 = ay mod p m0 = b(G0);1 mod p Figure 10: Codage d'El Gamal classique.

c ;!

Montrons que Bob retrouve bien le message original m :

m0 b(G0);1 Gm(ay );1 Y k m((gk )y );1 (gy )k m((gk )y );1 m (mod p):
La securite de ce systeme repose sur le probleme du logarithme en e et, Bob est la seule personne capable de calculer G. Avec les m^mes notations qu'auparavant, l'analogue sur les courbes ellie tiques est illustre par le schema qui suit. Le message m0 calcule par Bob est bien le message m envoye par Bob car

m0 = b ; G0 = b ; ya = m + G ; ya = m + kY ; ykP = m + kyP ; ykP = m:

Si le message est plus long que les elements du groupe sur lequel nous travaillons, nous le divisons en plusieurs parties m de la taille des elements du groupe. Pour chaque partie m, nous e ectuons alors la procedure decrite plus haut.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques Alice

70

G0 = ya m0 = b ; G0 Figure 11: Codage d'El Gamal elliptique.


Le desavantage du codage d'El Gamal est que le message chi re est deux fois plus long que le message clair. Pour parer a cet inconvenient, d'autres methodes ont ete propose dont le celebre RSAy. Le RSA est base sur la notion de trappes. Nous n'allons pas presenter ce type de methodes car il n'y a pas d'analogue, au sens propre, sur les courbes elliptiques : aucune trappe n'est connue pour calculer de maniere relativement rapide un logarithme sur une courbe elliptique. Le lecteur desireux d'en apprendre plus consultera 17].

mk a = kP G = kY b=m+G c = (a b)

E P 2E Y
Fq

Bob

c ;!

V.2.4 Representation d'un message

Dans le codage d'El Gamal, nous n'avons pas expliquer comment representer le message m sur la courbe elliptique E . Il n'existe aucune methode deterministe pour representer un message neanmoins, il est possible de xer la probabilite d'echec. Pour xer les idees, notons

E : y2 = x3 + ax + b O la courbe elliptique sur F q et k tel que 2;k est la probabilite qu'on ne puisse pas representer le message m. Supposons que (i) m < M et (ii) q > Mk: Nous representons le message m comme un element de F q par x = mk + j 1 j k: e Remarquons que x (M ; 1)k + k = Mk < q. Nous choisissons alors y tel e e que y = x3 + ax + b e e e
y

RSA pour les initiales de ses inventeurs : Rivest, Shamir et Adleman.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

71

soit un carre en essayant j = 1 2 : : : k. Pour retrouver le message m, Bob calcule x ; 1 = m: e k Comme il y a approximativement une chance sur deux pour que y soit un e ;k . carre, la probabilite d'echec est de l'ordre de 2

I (Theoreme de Hasse) Si E est une courbe elliptique de nie sur F q ,


alors

A retenir.

q + 1 ; 2pq #E (F q ) q + 1 + 2pq: I Les tests de primalite sur les courbes elliptiques tirent parti du theoreme de Hasse et aboutissent la ou les tests \classiques" echouent. I Les courbes elliptiques permettent de factoriser en un temps polynomial. Cependant, elles permettent seulement de trouver des facteurs premiers ayant moins de 70 chi res decimaux (les methodes \classiques" sont limitees a 20 chi res decimaux). I Tous les protocoles cryptographiques classiques existants peuvent ^tre adaptes avec plus ou moins de succes sur les courbes elliptiques. Le e gros avantage de ces dernieres est que la taille des cles est plus petite pour une securite equivalente et qu'il est possible de travailler sur F 2m .
CG{1995/1

Conclusion
Nous voila arrives au terme du rapport. La presentation et les demonstrations ont ete faites dans le but d'^tre comprehensibles par quiconque ayant un bae gage minimum en mathematiques. Des demonstrations plus concises et plus elegantes peuvent ^tre trouvees dans le livre de Silverman 19] qui s'est ime pose comme etant la \bible" sur le sujet. Je recommande donc tres vivement de le consulter pour decouvrir davantage sur les courbes elliptiques. Un autre livre qu'il est utile de consulter est celui de Husemoller 9] qui, bien qu'etant moins complet que le premier, est plus facile a lire.

CG{1995/1

Remerciements
N'etant pas un specialiste dans le domaine des courbes elliptiques, je n'aurai pas pu e ectuer un tel travail sans le soutien professionnel et moral de plusieurs personnes et institutions. Je ne saurais trop remercier Jean-Jacques Quisquater, mon promoteur, pour m'avoir fait decouvrir la cryptologie et la theorie des nombres. Je le remercie plus particulierement de m'avoir donne l'opportunite de suivre le cours de theorie algorithmique des nombres a l'Ecole Polytechnique (Palaiseau) 6] et d'assister a Eurocrypt '95.y Merci egalement a Francis Borceux, mon copromoteur, pour l'excellent travail de fond qu'il a fait. Je me suis en e et tres fortement inpire de ses notes 2] pour l'elaboration de ce rapport. Par ailleurs, je remercie l'unite AGEL pour avoir pu assister au colloque de theorie algebrique des nombres a Besancon. En n, je remercie le departement de mathematiques et d'informatique de l'Ecole Normale Superieure (Paris) pour son accueil lors de mes sejours et en particulier Jean-Marc Couveignes pour avoir su m'expliquer patiemment ce qu'il connaissait sur les courbes elliptiques. Marc Joye.

Avec la collaboration de Beno^t Macq.

CG{1995/1

References
1] Francis Borceux. Invitation a la geometrie. Ciaco, Louvain-la-Neuve, 1986. Ce livre presente tous les aspects de la geometrie de la "prehistoire" a nos jours. Le chapitre XII (La naissance de la geometrie algebrique) est particulierement interessant. 2] Francis Borceux and Jean-Jacques Quisquater. Number theory and cryptology. To appear. La troisieme partie de ce livre (Elliptic curves) presente la theorie des courbes elliptiques d'un point de vue geometrique. Il constitue une excellente introduction a ce memoire, qui s'en est d'ailleurs tres fortement inspire. 3] David M. Bressoud. Factorization and primality testing. Undergraduate Texts in Mathematics. Springer-Verlag, 1989. Ce livre couvre de facon elementaire presque tous les algorithmes de pseudo-primalite, de primalite et de fatorisation. On y trouve egalement un resume sur les courbes elliptiques sur les corps nis. 4] Robert D. Carmichael. Introduction to the theory of groups of nite order. Dover Publications, Inc., 1956. Ce livre introduit la theorie des groupes et en demontre les theoremes fondamentaux. 5] Henri Cohen. A course in computational algebraic number theory. Number 138 in Graduate Texts in Mathematics. Springer-Verlag, 1993. Ce livre couvre tous les domaines de la theorie algebrique des nombres d'un point de vue algorithmique. Tous les algorithmes vus dans ce memoire y sont decrits et ont ete implementes dans Pari qui est disponible par ftp anonyme a ftp.inria.fr. 6] Jean-Marc Couveignes and Francois Morain. Theorie algorithmique des nombres. Notes de cours. Ce cours est semblable a 2], si ce n'est que l'accent est davantage mis sur l'aspect algorithmique.

CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

75

7] William Fulton. Algebraic curves. W. A. Benjamin, Inc., 1969. La lecture de ce livre est necessaire comme introduction a 19]. En particulier, le chapitre 8 (Riemann-Roch theorem) permet de demontrer par la theorie des diviseurs qu'a toute cubique non singuliere peut ^tre e associee une structure de groupe. 8] Roger Godement. Cours d'algebre. Hermann, 3rd edition, 1966. Ce livre constitue un excellent resume d'algebre, il est a la fois precis et facile a lire. 9] Dale Husemoller. Elliptic curves. Number 111 in Graduate Texts in Mathematics. Springer-Verlag, 1987. Ce livre est tres bien ecrit et couvre quasi tous les domaines ayant trait aux courbes elliptiques. Certains chapitres sont neanmoins di ciles. 10] W. E. Jenner. Rudiments of algebraic geometry. Oxford University Press, 1963. Ce petit livre introduit de maniere tres elementaire les notions de geometrie algebrique. 11] Anthony W. Knapp. Elliptic curves. Number 40 in Mathematical Notes. Princeton University Press, 1992. La plupart des chapitres utilisent des arguments de nature geometrique. Les demonstrations sont par consequent assez faciles mais pas toujours tres eclairantes. 12] Neal Koblitz. Introduction to elliptic curves and modular forms. Number 97 in Graduate Texts in Mathematics. Springer-Verlag, 1984. Ce livre fournit plusieurs outils necessaires pour traiter les courbes elliptiques et les formes modulaires. 13] Neal Koblitz. A course in number theory and cryptography. Number 114 in Graduate Texts in Mathematics. Springer-Verlag, 2nd edition, 1994. Ce livre fait un tour d'horizon de la theorie des nombres et de ses applications liees a la cryptographie. 14] Serge Lang. Elliptic functions. Addison-Wesley Publishing Company, Inc., 1973. Ce livre constitue une excellente introduction aux fonctions elliptiques.
CG{1995/1

Introduction elementaire a la theorie des courbes elliptiques

76

15] Reynald Lercier and Francois Morain. Counting the number of points on elliptic curves over nite elds: strategies and performances. In Louis C. Guillou and Jean-Jacques Quisquater, editors, Advances in Cryptology { EUROCRYPT '95, number 921 in Lecture Notes in Computer Science, pages 79 { 94. Springer-Verlag, 1995. Cet article presente l'etat de l'art pour calculer le nombre de points sur une courbe elliptique de nie sur un corps ni. 16] Robert J. Mc Eliece. Finite elds for computer scientists and engineers. Number 23 in Kluwer international series in engineering and computer science. Kluwer Academic Publishers, 1987. Ce livre est semblable a 4] si ce n'est qu'il est illustre par de nombreux exemples tournes vers l'ingenieur. 17] Alfred Menezes, Minghua Qu, and Scott Vanstone. IEEE P1363, chapter 6. Available via anonymous ftp at ftp.rsa.com. April 1995. Ce papier constitue une proposition de standardisation des protocoles cryptographiques appliques aux courbes elliptiques. Une annexe mathematique introduit de facon succinte les notions elementaires sur les courbes elliptiques. 18] Hans Riesel. Prime numbers ans computer methods for factorization, volume 57 of Progress in mathematics. Birkhauser, 1985. Ce livre est comparable a 3]. La presentation est cependant davantage tournee vers l'implementation. 19] Joseph H. Silverman. The arithmetic of elliptic curves. Number 106 in Graduate Texts in Mathematics. Springer-Verlag, 1986. Ce livre est la reference dans le domaine. Neanmoins, de nombreuses lectures complementaires s'imposent car le niveau est assez eleve. 20] Joseph H. Silverman and John Tate. Rational points on elliptic curves. Undergraduate Texts in Mathematics. Springer-Verlag, 1992. Sans doute le livre le plus facile a lire sur les courbes elliptiques. Il doit ^tre lu avant de s'attaquer a un ouvrage plus serieux comme 9] ou 19]. e 21] Robert J. Walker. Algebraic curves. Springer-Verlag, 1950. Ce livre presente de maniere relativement simple la theorie des courbes algebriques.
CG{1995/1

Vous aimerez peut-être aussi