Wiki du cours

Rédacteur: Julien Python

A traiter [modifica]

(On suivra principalement [1].)

• Définition du couplage modifié de Tate-Lichtenbaum.
• Mentionner le couplage original de Tate-Lichtenbaum.
• Preuve du Théorème 3.17. Pour la preuve de la non-dégénérescence, comprenez le dernier paragraphe de 11.7, en citant les résultats nécessaire sans preuve.
• Avantage du couplage de Tate-Lichtenbaum sur le couplage de Weil.

Définition du couplage modifié de Tate-Lichtenbaum. [modifica]

Notations:
\(e_n\) : le nième couplage de Weil
\( \phi = \mathbb{ \phi }_{q} \) : la q-ème puissance de l’endomorphisme de Froebenius (ie sur \( \mathbb{F}_{q} \), \(\mathbb{ \phi }_{q}(x,y)=(x^q,y^q) \) )
\( \phi(R) = \phi R\)

Motivation: Pourquoi ne pas se contenter du couplage de Weil ? La réponse à cette question est qu’il y a des cas auxquels le couplage de Weil n'est pas défini . Par exemple, si les points de torsions n’appartiennent pas à la courbe elliptique.

Ainsi, on définit le couplage modifié de Tate-Lichtenbaum \( \tau_n \);

Théorème: Soit E une courbe elliptique sur \( \mathbb{F}_{q} \). Soit \( n \) un entier tel que \( n \) divise \( (q-1)\).
Soit \( P\in E(\mathbb{F}_{q})[n], Q \in E(\mathbb{F}_{q})\) et prenons \(R\in E(\overline{ \mathbb{F}_{q}})\) qui satisfait \( nR=Q \).
On définit \(\tau_n (P,Q)= e_n (P, R-\phi R) \).
Alors \( \tau_n : E(\mathbb{F}_{q})[n]\times E(\mathbb{F}_{q})/nE(\mathbb{F}_{q}) \longrightarrow \mu_n \) est bien définie, non-dégénérée et bilinéaire.

Le couplage original de Tate-Lichtenbaum. [modifica]

Remarque: le couplage original de Tate-Lichtenbaum est

\( \quad \quad \mathbb{\langle\cdot,\cdot\rangle}_{n} : E(\mathbb{F}_{q})[n] \times E(\mathbb{F}_{q})/nE(\mathbb{F}_{q}) \longrightarrow \mathbb{F}_{q}^\times /(\mathbb{F}_{q}^ \times )^n \)

Notons que le couplage original de Tate-Lichtenbaum est obtenu en prenant la n-ème racine de \(\tau_n\).

On remarque que le domaine d’arrivée est un coset dans \(\mathbb{F}_{q}^\times \) modulo à la n-ème puissance, ce qui n’est pas pratique pour l’implémentation informatique. Ainsi, on préférera l'utilisation du couplage modifié de Tate-Lichtenbaum qui nous donne une solution qui n'est pas dans une classe d'équivalence. (si on calcule deux fois le même input, on souhaite que le résultat soit deux fois le même, et non pas que le résultat 1 soit égal au résultat 2 à l'aide d'une relation d'équivalence)

Preuve du Théorème 3.17 [modifica]

i) Montrons que \(\tau_n (P,Q) \) est indépendant du choix de \( R \):

Puisque \( nR=Q \in E(\mathbb{F}_{q})\) on a \( \infty =Q-\phi Q=n(R-\phi R)\) (car \( \phi\) fixe les points de E) donc \( R-\phi R \in E[n] \)

Prenons \( P \in E[n] \), le couplage de Weil \(e_n(P, R-\phi R) \) est bien défini car \(R-\phi R\) est automatiquement un point de torsion d'ordre n, ce qui est nécéssaire car le couplage de Weil n'est défini que sur ces points de torsion.

Supposons que \( nR’=Q \) où \( R’ \ne R \).

Soit \(T=R’-R \) (ie \( T+R=R’ \) ) alors \( nT=Q-Q=\infty \) donc \( T \in E[n] \). Ainsi, \( e_n(P, R’- \phi R)=e_n(P,R- \phi R+T- \phi T) = \frac{e_n(P,R- \phi R)e_n(P,T)}{e_n(P, \phi T)} \)

Mais puisque \(P \in E(\mathbb{F}_{q}) \), on a \( P=\phi P \), donc \( e_n(P,\phi T)=e_n(\phi P,\phi T)=\phi e_n(P,T)=e_n(P,T) \) (car \( e_n(P,T)\in \mu_n \subset \mathbb{F}_{q}) \)

Ainsi \( e_n(P,R’-\phi R)=e_n(P,R-\phi R) \) donc on a bien que \( \tau_n \) ne dépend pas du choix de \( R \). Ceci conclut la première partie.

ii)Montrer que la valeur de \( \tau_n \) ne dépend pas du choix du représentant:

Ainsi, supposons que \( Q’-Q=nU \in nE(\mathbb{F}_{q}) \)

Soit \( nR=Q, R’=R+U => nR’=Q’\) (car \( nR’=nR+nU=nR+Q’-Q=Q’ \))

On a \( e_n(P,R’-\phi R’)=e_n(P,R-\phi R+U-\phi U)=e_n(P,R-\phi R) \) (car \( U=\phi U \) où \( U\in E(\mathbb{F}_{q})\))

Donc la valeur ne dépend pas du choix du coset représentant, ce qui conclut la deuxième partie.

Remarque: en utilisant le résultat du point ii) et le fait que le second argument de \( e_n \) dans la définition est bien un point de torsion d'ordre n (car le couplage de Weil n'est définit que sur ces points de torsion), on a que \( \tau_n \) est bien défini.

iii) Montrons que \(\tau_n(P,Q)\) est bilinéaire:

Bilinéarité dans \( P \) : clair par la bilinéarité pour \( e_n \)

Bilinéarité dans \( Q \) : supposons \(nR_1=Q_1, nR_2=Q_2 \)

\( \quad \) Alors \( n(R_1+R_2)=Q_1+Q_2 \)

\(\quad \) Donc \( \tau_n(P,Q_1+Q_2)=e_n(P,R_1+R_2-\phi R_1-\phi R_2)=e_n(P,R_1-\phi R_1)e_n(P,R_2-\phi R_2)=\tau_n(P,Q_1)\tau_n(P,Q_2) \)

iv) Montrons la non-dégénérescence:

Afin de démontrer cette dernière partie, nous allons utiliser des résultats (sans les démontrer) de la section 11.7 de “Elliptic Curves: Number Theory and Cryptography”.

Commençons par énumérer les résultats :

• 11.27: Si le couplage \( B \times A \longrightarrow \mu_n \) est non dégénéré dans A, et si \( \# A=\# B\) alors le couplage est aussi non dégénéré dans B.
  
• 11.29: Soit \( M \) un groupe abélien fini, posons \( \alpha : M \longrightarrow M \) un homomorphisme, alors \( \#Ker \alpha = \#M/\#\alpha(M) \)
  
• On pose \( \psi : E[n] \longrightarrow \prod_{P\in E(\mathbb{F}_{q})[n]} \mu_n, Q \longrightarrow (..., e_n(P,Q),..) \)
  
• 11.31: Soit \( \phi \) la q-ème puissance de l’endomorphisme de Frobenius de \(E\). Alors \( Ker \psi =(\phi -1)E[n] \).

A l'aide de cela, nous pouvons maintenant montrer la non-dégénérescence;

Soit \( Q \in E(\mathbb{F}_{q}) \).Supposons que \( \tau_n (P,Q)=e_n(P,R-\phi R)=1 \forall P\in E(\mathbb{F}_{q})[n] \). Montrons que \( Q \in nE(\mathbb{F}_{q}) \) :

Réécrivons \( Q=nR \) où \( R\in E(\overline{ \mathbb{F}_{q}})\).

Alors \( R-\phi R \in Ker\psi = (\phi -1)E[n] \) par 11.31. Donc \(\exists T \in E[n]\) tel que \(R-\phi R=\phi T-T \), ce qui donne \(\phi (R+T)=R+T \).

Mais les points fixés par \( \phi \) ont coordonnées dans \( \mathbb{F}_{q} \) ce qui implique que \(R+T\in E(\mathbb{F}_{q}) \).

Puisque \( Q=nR=n(R+T) \), on a \( Q \in nE(\mathbb{F}_{q}) \), et donc que \( \tau_n \) est non dégénérée pour la seconde variable.

Par 11.29, \( E(\mathbb{F}_{q})[n]\) et \( E(\mathbb{F}_{q})/nE(\mathbb{F}_{q})\) ont le même ordre. On peut donc maintenant utiliser 11.27 qui nous dit que \( \tau_n \) est aussi non dégénérée pour la première variable.

Avantage du couplage de Tate-Lichtenbaum sur le couplage de Weil. [modifica]

Le couplage de Weil a besoin \( E[n]\in E(\mathbb{F}_{q}) => \mu_n\in \mathbb{F}_{q}^\times \) (par Cor. 3.11)

Le couplage de Tate-Lichtenbaum nécessite que \(\mu_n \in \mathbb{F}_{q}^\times \), mais a seulement besoin d’un point d’ordre n (même aucun si \( E(\mathbb{F}_{q})[n] \) est trivial). Donc il n’a pas besoin que tous les points de \(E[n] \) soient dans \( E(\mathbb{F}_{q})\).

Références [modifica]

[1] Lawrence C. Washington, Elliptic Curves: Number Theory and Cryptography, Section 3.4.
[2] Craig Costello, Pairings for beginners, Section 5.2