Imprimer

Sujet 10: Couplage de Weil I

Table des matières

1. Points de torsion [Modifier]

2. Courbes ordinaires et supersingulières [Modifier]

3. Construction du couplage de Weil [Modifier]

4. Références [Modifier]

Rédacteur: Alessandro Izzo

Points de torsion [Modifier]

Définition Un \(P\in E\) est un point de torsion si il existe un \(n\in N\) tel que \(nP\) = \(\infty\). On définit donc \(E[n] = \{P\in E\) tels que \(nP = \infty \}\).

Pour le cas \(n = 2\); si \(K\) n'est pas de characteristique 2, on peut détérminer \(E[2]\): soit \(y^2 = (x - e_1)(x - e_2)(x - e_3)\), où \(e_1,e_2,e_3\in K\). Pour \(P\in E\), on a que \(2P = \infty\) si et seulement si la ligne tangente en \(P\) est vérticale. Donc, come vu dans la construction de l'addiction des points, on a forcement que \(y = 0\), et alors \(E[2] = \{\infty\ , (e_1,0), (e_2,0), (e_3,0) \}\).

Théorème 3.2 Soit \(E\) une courbe elliptique sur un corps et \(n\in N\). Si la charactéristique de \(K\) ne divise pas \(n\), où c'est \(0\), alors \(E[n]\simeq Z_n\oplus Z_n\). Si la charactéristique de K est \(p>0\) et \(p|n\), en écrivant \(n = p^rn'\)\(p\) ne divise pas \(n'\), alors \(E[n]\simeq Z_{n'}\oplus Z_{n'}\) ou \(E[n]\simeq Z_n\oplus Z_{n'}\)

En particulier:

Proposition 3.1 Si la charactéristique du corps \(K\) n'est pas \(2\), alors \(E[2]\simeq Z_2\oplus Z_2\). Si K est de charactéristique 2, alors \(E[2]\simeq 0\).

Courbes ordinaires et supersingulières [Modifier]

Définition Une courbe elliptique E est dite ordinaire si \(E[p]\simeq\mathbb{Z_p}\). D'autre part, E est dite supersingulière si \(E[p]\simeq0\).

Remarque Il faut distinguer le terme "supersingulier" de "singulier" (appliqué aux mauvais points de la courbe elliptique).

Construction du couplage de Weil [Modifier]

On veut construire une fonction de couplage \(e_n: E[n]\times E[n]\rightarrow µ_n\), où \(µ_n\) est l'ensembles des racines n-ièmes de l'unite de K.

Soit \(T\in E[n]\). On pose \(D := n[T] - n[\infty]\): on peut observer que: \(deg(D) = n - n = 0\), et que \(sum(D) = nT - n\infty = nT = \infty\).

Donc, par le théorème 11.2 (voir dans le polycopié de référence), il existe une fonction \(f\) telle que \(div(f) = D = n[T] - n[\infty]\).

On prends un point \(T'\in E[n^2]\) tel que \(nT' = T\). Soit \(D' := \sum_{R \in E[n]} ([T' + R] - [R])\). Dans \(E[n]\) on a exactement \(n^2\) points \(R\), donc on voit facilment que: \(sum(D') = \sum_{R \in E[n]} (T' + R - R) = \sum_{R \in E[n]} (T') = n^2T' = nT = \infty\); ensuite, on a que \(deg(D') = \sum (1 - 1) = 0\).

Donc, toujours par le théorème 11.2, on peut dire qu'il existe une application \(g\) telle que \(div(g) = D' = \sum_{R \in E[n]} ([T' + R] - [R])\)

On peut noter que \(g\) ne dépends pas du choix de \(T'\), car chaque choix de deux \(T'\) il y a une difference d'un élément \(R\in E[n]\). Donc on peut réécrire cette espression comme \(div(g) = \sum_{nT'' = T} ([T'']) - \sum_{R \in E[n]} ([R])\).

Soit \(f\circ n\) l'application qui commence avec un point P de la courbe elliptique, le multiplie par n et ensuite on lui applique la fonction f. Les points \(P = T' + R\) avec \(R\in E[n]\) sont les points tels que \(nP = T\). Alors, par le lemme 11.5 (voir le polycopié de la référence): \(div(f\circ n) = n(\sum_{R \in E[n]} [T' + R]) - n(\sum_{R \in E[n]} [R]) = div(g^n)\). Alors, on peut dire que \(f\circ n\) est un multiple constant de \(g^n\): en multipliant \(f\) par une constante adaptée, on va supposer sans perte de généralité que \(f\circ n = g^n\). Soient \(S\in E[n]\) et \(P\in E[K]\). Alors:

\(g(P + S)^n = f(n(P + S)) = f(nP) = g(P)^n \Rightarrow g(P + S)/g(P)\in µ_n\).

En effet: \(g(P + S)/g(P)\) est indépendente de P, car dans la topologie de Zariski, il est possible de démontrer que si \(g(P + S)/g(P)\) est une fonction continue de \(P\) et \(E\) est connexe, alors cette fonction est constante en \(µ_n\).

Finalment, on peut donner la définition suivante:

Définition le couplage de Weil est definit comme suit: \(e_n(S,T) = g(P + S)/g(P)\).

Remarques

  • Comme g est definie par un multiple scalaire de des diviseurs, \(e_n(S,T)\) est indépendant du choix de g.
  • \(e_n(S,T)\) est indépendant aussi par le choix du point P, comme vu avant.

Théorème Soit E une courbe elliptique définie sur un corps \(K\) et soit \(n\in N\). Supposons que la charactéristique de \(K\) ne divise pas n. Alors, on a les propriétés suivantes:

  1. \(e_n(S_1 + S_2,T) = e_n(S_1,T) + e_n(S_2,T)\) et \(e_n(S,T_1 + T_2) = e_n(S,T_1) + e_n(S,T_2)\) \(\forall S, T, S_1, S_2, T_1, T_2 \in E[n]\).
  2. Si \(e_n(S,T) = 1\) \(\forall T\in E[n]\), alors \(S=\infty\). De même, si \(e_n(S,T) = 1\) \(\forall S\in E[n]\), alors T=\(\infty\).
  3. \(e_n(S,T) = \infty\) \(\forall T\in E[n]\).
  4. \(e_n(T,S) = e_n(S,T)^{-1}\), \(\forall S,T\in E[n]\).

Références [Modifier]

[1] Lawrence C. Washington, Elliptic Curves: Number Theory and Cryptography, Sections 3.1, 3.3, 11.2.