path: root/crypto-algebra/lectures/lecture10.tex

% Лекция 10 (13.11.23)
%% TODO: проверить рендеринг потому что maker не завёлся

%% NOTE: 7
\paragraph{Расширения конечных полей}

%% NOTE: 39
\begin{theorem}[Количество точек эллиптической кривой над конечным полем,
  свойство эндоморфизма Фробениуса]
  Пусть $E / \F_q$ --- эллиптическая кривая,
  \begin{equation*}
    \varphi : E \to E,\, (x, y) \to (x^q, y^q), ---
  \end{equation*}
  эндоморфизм Фробениуса степени $q$ и
  \begin{equation*}
    t = q + 1 - #E(\F_q).
  \end{equation*}
  \begin{enumerate}
    \item
      Пусть $\alpha, \beta \in \C$ --- корни полинома $T^2 - tT + q$. Тогда
      $\alpha$ и $\beta$ --- комплексно-сопряжённые, удовлетворяющие условиям
      $|\alpha| = |\beta| = \sqrt{q}$, и для любого $r \geq 1$
      \begin{equation*}
        #E(\F_q^r) = q^r + 1 - \alpha^r - \beta^r.
      \end{equation*}
    \item
      Эндоморфизм Фробениуса удовлетворяет условию
      \begin{equation*}
        \varphi^2 - t \varphi + q = 0 \text{в кольце эндоморфизмов } \fn{End}(E).
      \end{equation*}
  \end{enumerate}
  \label{thm:39}
\end{theorem}

\begin{theorem}[Теорема Вейля для эллиптических кривых, А. Вейль, 1949 г.]
  Пусть $E / \F_q$ --- эллиптическая кривая. Тогда существует $t \in \Z$ такое,
  что дзета-функция эллиптической кривой является рациональной функцией от $T$:
  \begin{equation*}
    Z(E/\F_q; T) = \frac{1 - tT + qT^2}{(1 - T)(1 - qT)}.
  \end{equation*}

  Более того $1 - tT + qT^2 = (1 - \alpha T)(1 - \beta T)$ с $|\alpha| = |\beta|
  = \sqrt{q}$.
\end{theorem}
\begin{proof}
  Логарифмируем равенство
  %% TODO: переписать
  \begin{equation*}
    \ln Z(E/\F_q; T) \bydef \sum_{r = 1}^\infty \frac{#E(\F_q^r) T^r}{r}
    =%_теорема 39 пункт а)
    \sum_{r = 1}^\infty \frac{(1 - \alpha^r - \beta^r + q^r) T^r}{r} =
    \sum_{r = 1}^\infty \frac{T^r}{r} - \sum_{r = 1}^\infty \frac{(\alpha T)^r}{r} -
\sum_{r = 1}^\infty \frac{(\beta T)^r}{r}
\sum_{r = 1}^\infty \frac{(q T)^r}{r}
=_*
используя тождество
ln(1 - x) = ln(1 + (-x)) = \sum_{r = 1}^\infty \frac{(-1)^{r + 1} (-x)^r}{r} = - \sum_{r = 1}^\infty \frac{x^r}{r},
получаем
=_* -ln(1 - T) + ln(1 - \alpha T) + ln(1 - \beta T) - ln(1 - qT) = ln \left( \frac{1 - \alpha T) (1 - \beta T)}{(1 - T) (1 - qT)} \right).
  \end{equation*}
  следовательно,
  \begin{equation*}
    Z(E/\F_q; T) = \frac{1 - \alpha T) (1 - \beta T)}{(1 - T) (1 - qT)}
  \end{equation*}

  По теореме \ref{thm:39}, пункт а) \alpha и \beta являются комплексно-сопряжёнными корнями полинома $T^2 - tT + q$, удовлетворяющие условиям
  $|\alpha| = |\beta| = \sqrt{q}$, тогда по теореме Виета
  \begin{equation*}
    \alpha + \beta = t \land \alpha \beta = q.
  \end{equation*}

  Имеем
  \begin{equation*}
    (1 - \alpha T)(1 - \beta T) = 1 - \beta T - \alpha T + \alpha \beta T^2 = 1 - (\alpha + \beta) T + (\alpha \beta) T^2 = 1 - tT + qT^2
  \end{equation*}

  Получаем
  \begin{equation*}
    Z(E/\F_q; T) = \frac{1 - tT + qT^2}{(1 - T)(1 - qT)}
  \end{equation*}

  Также
  \begin{equation*}
    t = \alpha + \beta = q + 1 - #E(\F_q) \in \Z.
  \end{equation*}
\end{proof}

Пусть $E/\F_q$ --- эллиптическая кривая. Величина
\begin{equation*}
  t = q+ 1 - #E(\F_q)
\end{equation*}
называется \emph{следом Фробениуса}.


Примечание --- К теореме Хассе. Из рассуждений имеем
\begin{equation*}
  |#E(\F_q) - (q + 1)| = |-t| = |t| = |\alpha + \beta| \leq |\alpha| + |\beta| \leq 2\sqrt{q}
\end{equation*}

Так как $\alpha$ и $\beta$ вместе с $t$ определяют значение $#E(\F_q)$, то число
точек над $\F_q$ однозначно определяет число точек над любым его расширением.

Таким образом, теорему Вейля для эллиптических кривых можно использовать, в
частности, для нахождения числа точек над расширениями высокой степени.

\begin{example}
  Вычислим число точек эллиптической кривой $y^2 + y = x^3$. Здесь есть три
  $\F_2$-рациональные точки: $(0; 0)$, $(0; 1$, $\mathcal{O}$ --- и дзета-функция
  данной эллиптической кривой над полем $\F_2$ вычисляется следующим образом:
  %% TODO: часть 1, 2, 3, 4
\end{example}

%% NOTE: 9
\paragraph{Скручивание эллиптических кривых}

Скручивание $E/F$ --- это гладкая кривая $E'/F$, изоморфная $E$ над $\overline{F}$.
Два скручивания эквивалентны, если они изоморфны над $F$.

%% TODO: \ref{8}
Пусть $E$ --- эллиптическая кривая, заданная уравнением (8) над конечным полем
$\F_q,\, v \in \F_q$ --- некоторый квадратичный невычет.

Эллиптическая кривая $E'$:
\begin{equation*}
  y^2 = x^3 + a'x + b'.
\end{equation*}
где $a' = v^2 a,\, b = v^3 b$, является скручиванием $E$ над полем $\F_q$.

%% NOTE: 41
\begin{theorem}[О порядках эллиптической кривой и её скручивания]
  Пусть $E$ --- эллиптическая кривая над $\F_q$, $E'$ --- скручивание эллиптической
  кривой $E$ над $\F_q$. Тогда
  \begin{equation*}
    #E(\F_q) + #E'(\F_q) = 2q + 2.
  \end{equation*}
\end{theorem}
\begin{proof}
  Пусть
  \begin{equation*}
    g(x) = x^3 + ax + b.
  \end{equation*}

  Тогда кривая $E$ задаётся уравнением
  \begin{equation*}
    y^2 = g(x),
  \end{equation*}
  для кривой $E'$ получаем
  \begin{equation*}
    y^2 = x^3 + a'x + b' = x^3 + v^2 ax + v^3 b = v^3 \left( \left(\frac{x}{v}\right)^3 + a \frac{x}{v} + b \right) =
    v^3 g \left( \frac{x}{v} \right),
  \end{equation*}
  то есть кривая $E'$ задаётся уравнением
  \begin{equation*}
    y^2 = v^3 g \left( \frac{x}{v} \right).
  \end{equation*}

  Когда $x$ пробегает все значения из $\F_q$, $\frac{x}{v}$ также пробегает все
  значения из $\F_q$. Таким образом, каждому корню полинома $g$ соответствует
  одна точка на каждой из эллиптических кривых $E$ и $E'$.

  Каждому значению $g$, которое является квадратичным вычетом, соответствуют две
  точки на $E$ и ни одной на $E'$, так как $v^3 g$ будет квадратичным невычетом.

  Обратно, каждому значению $g$, которое является квадратичным невычетом
  соотвествует две точки на $E'$ и ни одной на $E$, так как $v^3 g$ будет
  квадратичным вычетом.

  Поэтому каждое значение $g$ в сумме даёт две точки на кривых $E$ и $E'$.
  Поскольку всего имеется $a$ значений $g$ (с учётом кратности), то получаем
  аффинные $2q$ точки на кривых $E$ и $E'$.

  Так как каждая из этих кривых содержит $\mathcal{O}$, то общее количество
  элементов на $E$ и $E'$ равно $2q + 2$.
\end{proof}

Благодаря этому факту после того, как найден порядок кривой, порядок её скручивания
находится без вычисления.

\begin{example}
  Пусть $E: y^2 = x^3 + 9$ --- эллиптическая кривая над $\F_{29}$. Возьмём,
  например, $2 \in \F_{29}$ --- квадратичный невычет, так как сравнение $x^2 - 2
  \equiv 0 \pmod{29}$ не имеет решений.

  То есть скручивание $E'$:
  \begin{equation*}
    y^2 = x^3 + v^3 b = x^3 + 2^3 \cdot 9 = x^3 + 72
  \end{equation*}

  Тогда
  \begin{equation*}
    #E(\F_{29}) + #E'(\F_{29}) = 2 \cdot 29 + 2 = 60.
  \end{equation*}
\end{example}


%% NOTE: 9
\paragraph{Строение группы точек эллиптической кривой.}

%% NOTE: 42
\begin{theorem}[Строение группы точек эллиптической кривой, определённой над
  конечным полем].
  Пусть $E/\F_q$ --- эллиптическая кривая, заданная над конечным полем $\F_q$.
  Тогда $E(\F_q)$ либо является циклической группой, либо изоморфна произведению
  двух циклических групп:
  \begin{equation*}
    E(\F_q) \cong \Z_{d_1} \times \Z_{d_2},
  \end{equation*}
  где $d_1 | d_2$ и $d_1 | (q - 1)$.
\end{theorem}

Пусть $N = #E(\F_q)$. Разлагая каждую из циклических групп в произведение групп
порядков $p^n$ для разных простых, можно представить группу точек произвольной
эллиптической кривой единственным образом в виде произведения групп вида
\begin{equation*}
  \Z_{p^\alpha} \times \Z_{p^\beta},
\end{equation*}
где произведение берётся по всем простым делителям $N$ (здесь $\alpha \geq 1,\,
\beta \geq 0$).

Под \emph{типом} абелевой группы $\F_q$-рациональных точек на $E$ понимается
список $(\dots, p^\alpha, p^\beta, \dots)_{p|N}$ порядков циклических
$p$-примерных сомножителей в указанном представлении в виде произведения
(если $\beta = 0$, $p^\beta$ опускаем).