summaryrefslogtreecommitdiff
path: root/crypto-algebra/lectures/lecture10.tex
diff options
context:
space:
mode:
Diffstat (limited to 'crypto-algebra/lectures/lecture10.tex')
-rw-r--r--crypto-algebra/lectures/lecture10.tex224
1 files changed, 224 insertions, 0 deletions
diff --git a/crypto-algebra/lectures/lecture10.tex b/crypto-algebra/lectures/lecture10.tex
new file mode 100644
index 0000000..c9da50d
--- /dev/null
+++ b/crypto-algebra/lectures/lecture10.tex
@@ -0,0 +1,224 @@
+% Лекция 10 (13.11.23)
+%% TODO: проверить рендеринг потому что maker не завёлся
+
+%% NOTE: 7
+\paragraph{Расширения конечных полей}
+
+%% NOTE: 39
+\begin{theorem}[Количество точек эллиптической кривой над конечным полем,
+ свойство эндоморфизма Фробениуса]
+ Пусть $E / \F_q$ --- эллиптическая кривая,
+ \begin{equation*}
+ \varphi : E \to E,\, (x, y) \to (x^q, y^q), ---
+ \end{equation*}
+ эндоморфизм Фробениуса степени $q$ и
+ \begin{equation*}
+ t = q + 1 - #E(\F_q).
+ \end{equation*}
+ \begin{enumerate}
+ \item
+ Пусть $\alpha, \beta \in \C$ --- корни полинома $T^2 - tT + q$. Тогда
+ $\alpha$ и $\beta$ --- комплексно-сопряжённые, удовлетворяющие условиям
+ $|\alpha| = |\beta| = \sqrt{q}$, и для любого $r \geq 1$
+ \begin{equation*}
+ #E(\F_q^r) = q^r + 1 - \alpha^r - \beta^r.
+ \end{equation*}
+ \item
+ Эндоморфизм Фробениуса удовлетворяет условию
+ \begin{equation*}
+ \varphi^2 - t \varphi + q = 0 \text{в кольце эндоморфизмов } \fn{End}(E).
+ \end{equation*}
+ \end{enumerate}
+ \label{thm:39}
+\end{theorem}
+
+\begin{theorem}[Теорема Вейля для эллиптических кривых, А. Вейль, 1949 г.]
+ Пусть $E / \F_q$ --- эллиптическая кривая. Тогда существует $t \in \Z$ такое,
+ что дзета-функция эллиптической кривой является рациональной функцией от $T$:
+ \begin{equation*}
+ Z(E/\F_q; T) = \frac{1 - tT + qT^2}{(1 - T)(1 - qT)}.
+ \end{equation*}
+
+ Более того $1 - tT + qT^2 = (1 - \alpha T)(1 - \beta T)$ с $|\alpha| = |\beta|
+ = \sqrt{q}$.
+\end{theorem}
+\begin{proof}
+ Логарифмируем равенство
+ %% TODO: переписать
+ \begin{equation*}
+ \ln Z(E/\F_q; T) \bydef \sum_{r = 1}^\infty \frac{#E(\F_q^r) T^r}{r}
+ =%_теорема 39 пункт а)
+ \sum_{r = 1}^\infty \frac{(1 - \alpha^r - \beta^r + q^r) T^r}{r} =
+ \sum_{r = 1}^\infty \frac{T^r}{r} - \sum_{r = 1}^\infty \frac{(\alpha T)^r}{r} -
+\sum_{r = 1}^\infty \frac{(\beta T)^r}{r}
+\sum_{r = 1}^\infty \frac{(q T)^r}{r}
+=_*
+используя тождество
+ln(1 - x) = ln(1 + (-x)) = \sum_{r = 1}^\infty \frac{(-1)^{r + 1} (-x)^r}{r} = - \sum_{r = 1}^\infty \frac{x^r}{r},
+получаем
+=_* -ln(1 - T) + ln(1 - \alpha T) + ln(1 - \beta T) - ln(1 - qT) = ln \left( \frac{1 - \alpha T) (1 - \beta T)}{(1 - T) (1 - qT)} \right).
+ \end{equation*}
+ следовательно,
+ \begin{equation*}
+ Z(E/\F_q; T) = \frac{1 - \alpha T) (1 - \beta T)}{(1 - T) (1 - qT)}
+ \end{equation*}
+
+ По теореме \ref{thm:39}, пункт а) \alpha и \beta являются комплексно-сопряжёнными корнями полинома $T^2 - tT + q$, удовлетворяющие условиям
+ $|\alpha| = |\beta| = \sqrt{q}$, тогда по теореме Виета
+ \begin{equation*}
+ \alpha + \beta = t \land \alpha \beta = q.
+ \end{equation*}
+
+ Имеем
+ \begin{equation*}
+ (1 - \alpha T)(1 - \beta T) = 1 - \beta T - \alpha T + \alpha \beta T^2 = 1 - (\alpha + \beta) T + (\alpha \beta) T^2 = 1 - tT + qT^2
+ \end{equation*}
+
+ Получаем
+ \begin{equation*}
+ Z(E/\F_q; T) = \frac{1 - tT + qT^2}{(1 - T)(1 - qT)}
+ \end{equation*}
+
+ Также
+ \begin{equation*}
+ t = \alpha + \beta = q + 1 - #E(\F_q) \in \Z.
+ \end{equation*}
+\end{proof}
+
+Пусть $E/\F_q$ --- эллиптическая кривая. Величина
+\begin{equation*}
+ t = q+ 1 - #E(\F_q)
+\end{equation*}
+называется \emph{следом Фробениуса}.
+
+
+Примечание --- К теореме Хассе. Из рассуждений имеем
+\begin{equation*}
+ |#E(\F_q) - (q + 1)| = |-t| = |t| = |\alpha + \beta| \leq |\alpha| + |\beta| \leq 2\sqrt{q}
+\end{equation*}
+
+Так как $\alpha$ и $\beta$ вместе с $t$ определяют значение $#E(\F_q)$, то число
+точек над $\F_q$ однозначно определяет число точек над любым его расширением.
+
+Таким образом, теорему Вейля для эллиптических кривых можно использовать, в
+частности, для нахождения числа точек над расширениями высокой степени.
+
+\begin{example}
+ Вычислим число точек эллиптической кривой $y^2 + y = x^3$. Здесь есть три
+ $\F_2$-рациональные точки: $(0; 0)$, $(0; 1$, $\mathcal{O}$ --- и дзета-функция
+ данной эллиптической кривой над полем $\F_2$ вычисляется следующим образом:
+ %% TODO: часть 1, 2, 3, 4
+\end{example}
+
+%% NOTE: 9
+\paragraph{Скручивание эллиптических кривых}
+
+Скручивание $E/F$ --- это гладкая кривая $E'/F$, изоморфная $E$ над $\overline{F}$.
+Два скручивания эквивалентны, если они изоморфны над $F$.
+
+%% TODO: \ref{8}
+Пусть $E$ --- эллиптическая кривая, заданная уравнением (8) над конечным полем
+$\F_q,\, v \in \F_q$ --- некоторый квадратичный невычет.
+
+Эллиптическая кривая $E'$:
+\begin{equation*}
+ y^2 = x^3 + a'x + b'.
+\end{equation*}
+где $a' = v^2 a,\, b = v^3 b$, является скручиванием $E$ над полем $\F_q$.
+
+%% NOTE: 41
+\begin{theorem}[О порядках эллиптической кривой и её скручивания]
+ Пусть $E$ --- эллиптическая кривая над $\F_q$, $E'$ --- скручивание эллиптической
+ кривой $E$ над $\F_q$. Тогда
+ \begin{equation*}
+ #E(\F_q) + #E'(\F_q) = 2q + 2.
+ \end{equation*}
+\end{theorem}
+\begin{proof}
+ Пусть
+ \begin{equation*}
+ g(x) = x^3 + ax + b.
+ \end{equation*}
+
+ Тогда кривая $E$ задаётся уравнением
+ \begin{equation*}
+ y^2 = g(x),
+ \end{equation*}
+ для кривой $E'$ получаем
+ \begin{equation*}
+ y^2 = x^3 + a'x + b' = x^3 + v^2 ax + v^3 b = v^3 \left( \left(\frac{x}{v}\right)^3 + a \frac{x}{v} + b \right) =
+ v^3 g \left( \frac{x}{v} \right),
+ \end{equation*}
+ то есть кривая $E'$ задаётся уравнением
+ \begin{equation*}
+ y^2 = v^3 g \left( \frac{x}{v} \right).
+ \end{equation*}
+
+ Когда $x$ пробегает все значения из $\F_q$, $\frac{x}{v}$ также пробегает все
+ значения из $\F_q$. Таким образом, каждому корню полинома $g$ соответствует
+ одна точка на каждой из эллиптических кривых $E$ и $E'$.
+
+ Каждому значению $g$, которое является квадратичным вычетом, соответствуют две
+ точки на $E$ и ни одной на $E'$, так как $v^3 g$ будет квадратичным невычетом.
+
+ Обратно, каждому значению $g$, которое является квадратичным невычетом
+ соотвествует две точки на $E'$ и ни одной на $E$, так как $v^3 g$ будет
+ квадратичным вычетом.
+
+ Поэтому каждое значение $g$ в сумме даёт две точки на кривых $E$ и $E'$.
+ Поскольку всего имеется $a$ значений $g$ (с учётом кратности), то получаем
+ аффинные $2q$ точки на кривых $E$ и $E'$.
+
+ Так как каждая из этих кривых содержит $\mathcal{O}$, то общее количество
+ элементов на $E$ и $E'$ равно $2q + 2$.
+\end{proof}
+
+Благодаря этому факту после того, как найден порядок кривой, порядок её скручивания
+находится без вычисления.
+
+\begin{example}
+ Пусть $E: y^2 = x^3 + 9$ --- эллиптическая кривая над $\F_{29}$. Возьмём,
+ например, $2 \in \F_{29}$ --- квадратичный невычет, так как сравнение $x^2 - 2
+ \equiv 0 \pmod{29}$ не имеет решений.
+
+ То есть скручивание $E'$:
+ \begin{equation*}
+ y^2 = x^3 + v^3 b = x^3 + 2^3 \cdot 9 = x^3 + 72
+ \end{equation*}
+
+ Тогда
+ \begin{equation*}
+ #E(\F_{29}) + #E'(\F_{29}) = 2 \cdot 29 + 2 = 60.
+ \end{equation*}
+\end{example}
+
+
+%% NOTE: 9
+\paragraph{Строение группы точек эллиптической кривой.}
+
+%% NOTE: 42
+\begin{theorem}[Строение группы точек эллиптической кривой, определённой над
+ конечным полем].
+ Пусть $E/\F_q$ --- эллиптическая кривая, заданная над конечным полем $\F_q$.
+ Тогда $E(\F_q)$ либо является циклической группой, либо изоморфна произведению
+ двух циклических групп:
+ \begin{equation*}
+ E(\F_q) \cong \Z_{d_1} \times \Z_{d_2},
+ \end{equation*}
+ где $d_1 | d_2$ и $d_1 | (q - 1)$.
+\end{theorem}
+
+Пусть $N = #E(\F_q)$. Разлагая каждую из циклических групп в произведение групп
+порядков $p^n$ для разных простых, можно представить группу точек произвольной
+эллиптической кривой единственным образом в виде произведения групп вида
+\begin{equation*}
+ \Z_{p^\alpha} \times \Z_{p^\beta},
+\end{equation*}
+где произведение берётся по всем простым делителям $N$ (здесь $\alpha \geq 1,\,
+\beta \geq 0$).
+
+Под \emph{типом} абелевой группы $\F_q$-рациональных точек на $E$ понимается
+список $(\dots, p^\alpha, p^\beta, \dots)_{p|N}$ порядков циклических
+$p$-примерных сомножителей в указанном представлении в виде произведения
+(если $\beta = 0$, $p^\beta$ опускаем).
+
generated by cgit v1.2.3 (git 2.25.1) at 2025-12-17 07:28:34 +0000