Cấu trúc của đường cong elliptic

20 1.2 Ứng dụng Maple thực hiện một số thuật toán đối với đường cong elliptic trên trường Zp... Các đường cong này có mặt trongnhiều lĩnh vực khác nhau của toán học vì nó rất phong phú v

BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI

PHẠM HỒNG ANH

CẤU TRÚC CỦA ĐƯỜNG CONG ELLIPTIC

LUẬN VĂN THẠC SĨ TOÁN HỌC

HÀ NỘI, NĂM 2017

BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI

PHẠM HỒNG ANH

CẤU TRÚC CỦA ĐƯỜNG CONG ELLIPTIC

Chuyên ngành : ĐẠI SỐ VÀ LÝ THUYẾT SỐ

LUẬN VĂN THẠC SĨ TOÁN HỌC

Người hướng dẫn khoa học: TS Phạm Đức Hiệp

HÀ NỘI, NĂM 2017

Mục lục

1.1 Cấu trúc nhóm trên đường cong elliptic 6

1.1.1 Phương trình đường cong elliptic 6

1.1.2 Luật nhóm 10

1.1.3 Tự đồng cấu, đẳng cấu, tự đẳng cấu của đường cong elliptic 13 1.1.4 Đường cong elliptic trong tọa độ xạ ảnh 18

1.1.5 Số đường cong elliptic trên Zp 20

1.1.6 Cấp của nhóm 20

1.2 Ứng dụng Maple thực hiện một số thuật toán đối với đường cong elliptic trên trường Zp 27

1.2.1 Tìm và tính số điểm của đường cong elliptic trên Zp 27

1.2.2 Phép cộng điểm và nhân đôi điểm trên đường cong elliptic 28 1.2.3 Phép nhân vô hướng trên đường cong elliptic 31

2 Một số ứng dụng của đường cong elliptic 34 2.1 Mật mã đường cong elliptic 34

2.1.1 Mật mã và những vấn đề cơ bản 34

2.1.2 Hệ thống đường cong elliptic 39

2.1.3 Tại sao sử dụng mật mã đường cong elliptic? 44

2.1.4 Ví dụ 44

2.2 Phân tích một số nguyên thành nhân tử 49

2.2.1 Thuật toán 492.2.2 Ví dụ 542.3 Phép thử tính chất nguyên tố của một số nguyên 55

LỜI CẢM ƠN

Với tất cả lòng kính trọng, tôi xin được gửi lời cảm ơn sâu sắc đến thầygiáo, TS Phạm Đức Hiệp, người đã trực tiếp hướng dẫn và tận tình chỉ bảo tôitrong suốt quá trình thực hiện hoàn thành luận văn này

Qua đây, tôi cũng xin được gửi lòng biết ơn chân thành đến thầy giáo, TS.Lưu Bá Thắng, người đã cho tôi ý tưởng đề tài luận văn này và góp ý, hướngdẫn tôi trong quá trình nghiên cứu đề tài

Tôi xin được gửi lời cảm ơn đến quý thầy cô khoa Toán - Tin trường Đạihọc Sư phạm Hà Nội, những người đã dạy dỗ tôi trong thời gian qua

Cuối cùng, tôi gửi sự trân trọng và biết ơn đến tất cả người thân, bạn bè

vì sự quan tâm, động viên, giúp đỡ cho tôi trong suốt quá trình học tập nghiêncứu

Tác giả

Phạm Hồng Anh

LỜI MỞ ĐẦU

Từ khoảng ba, bốn thập kỉ gần đây, đường cong elliptic đã và đang đóngvai trò ngày càng quan trọng trong toán học Các đường cong này có mặt trongnhiều lĩnh vực khác nhau của toán học vì nó rất phong phú về mặt cấu trúc.Một mặt, nó là đường cong không kỳ dị (tức là các đa tạp một chiều), mặt kháctập hợp các điểm của đường cong lập thành nhóm Abel Vì thế hầu như mọicông cụ của toán học đều được áp dụng vào nghiên cứu đường cong elliptic.Những kết quả về đường cong elliptic có ý nghĩa rất quan trọng đối với nhiềuvấn đề khác nhau [3] Trong số học, từ những năm 80 của thế kỉ XX, đườngcong elliptic đã được ứng dụng trong việc phân tích một số nguyên thành thừa

số nguyên tố [10] và được sử dụng để thử tính chất nguyên tố của một số nguyênlớn [17] Sau đó, định lý cuối của Fermat cũng đã được chứng minh (trong côngtrình của Andrew Wiles) bằng cách chứng minh giả thuyết Taniyama - Weil vềcác đường cong elliptic Về mặt ứng dụng, đường cong elliptic được dùng trongviệc xây dựng một số hệ mã hóa công khai mà đã được Koblits [9] và Miller [12]nghiên cứu vào những năm giữa thập niên 80 của thế kỷ XX Đây là sự khẳngđịnh mạnh mẽ nhất của toán học hiện đại trong công nghệ mã hóa Hiện nay,

hệ mã hóa công khai dùng đường cong elliptic đã trở thành một hệ mã hóa côngkhai thông dụng, được nhiều người trên thế giới quan tâm

Nghiên cứu về đường cong elliptic hiện vẫn đang là một vấn đề mới, nó đòihỏi sự kết hợp giữa lý thuyết số và hình học đại số Để nghiên cứu việc ứngdụng đường cong này vào các mục đích nêu trên, trước hết ta cần tìm hiểu vềcấu trúc của đường cong elliptic Do đó, cùng với sự hướng dẫn nhiệt tình củangười hướng dẫn khoa học, tôi quyết định chọn đề tài “Cấu trúc của đườngcong elliptic” để làm đề tài luận văn

Vấn đề được nghiên cứu trọng tâm trong luận văn này là cấu trúc nhóm củađường cong elliptic và một số ứng dụng của đường cong này.

Bố cục của luận văn được trình bày gồm 2 chương:

Chương I : Đường cong elliptic

Tác giả trình bày các khái niệm cơ bản, cấu trúc, các phép toán của đườngcong elliptic trên trường hữu hạn và ứng dụng Maple để thực hiện một số tínhtoán trên đường cong

Chương II : Một số ứng dụng của đường cong elliptic

Ở chương này, tác giả đề cập đến ba ứng dụng của đường cong elliptic:

• Hệ thống mật mã sử dụng đường cong elliptic

• Thuật toán phân tích một số nguyên thành thừa số

• Phép thử tính chất nguyên tố của một số nguyên

Chương 1

Đường cong elliptic

1.1.1 Phương trình đường cong elliptic

Định nghĩa 1.1 Đường cong elliptic E trên trường K được định nghĩa bởiphương trình:

E : y2+ a1xy + a3y = x3+ a2x2+ a4x + a6 (1.1)với a1, a2, a3, a4, a6 ∈ K, ∆ 6= 0, với ∆ là biệt thức của E và được xác định nhưsau:

(i) Phương trình (1.1) được gọi là phương trình Weierstrass

(ii) Ta nói rằng E được định nghĩa trên K vì các hệ số a1, a2, a3, a4, a6 đều làcác phần tử của K Đôi khi ta có thể viết E/K để nhấn mạnh rằng E đượcđịnh nghĩa trên K và K được gọi là trường cơ sở Chú ý rằng nếu E đượcđịnh nghĩa trên K thì E cũng định nghĩa được trên trường mở rộng của K

Hình 1.1: Đường cong elliptic trên R.

(iii) Điều kiện ∆ 6= 0 để đảm bảo rằng đường cong elliptic là trơn (smooth), tức

là không có điểm nào trên đường cong có hai hay nhiều tiếp tuyến phânbiệt

(iv) Điểm ∞ là điểm trên đường thẳng ở vô cực thỏa mãn các tính chất củaphương trình Weierstrass

(v) Các điểm L - hữu tỷ trên E là các điểm (x, y) thỏa mãn phương trìnhđường cong và các tọa độ x, y thuộc L Điểm ở vô cực được xét là mộtđiểm L - hữu tỷ với mọi trường mở rộng L của K

Ví dụ 1.3 Đường cong elliptic trên R

Xét hai đường cong elliptic:

Định nghĩa 1.4 Hai đường cong elliptic E1 và E2 định nghĩa trên K được chobởi phương trình Weierstrass:

E1 : y2 + a1xy + a3y = x3+ a2x2+ a4x + a6,

E2 : y2+ a1xy + a3y = x3+ a2x2+ a4x + a6được gọi là đẳng cấu trên K nếu tồn tại u, r, s, t ∈ K, u 6= 0 sao cho phép đổibiến

(x, y) 7−→ (u2x + r, u2sx + u3y + t) (1.3)biến đổi phương trình E1 thành phương trình E2 Phép đổi biến (1.3) được gọi

là phép đổi biến chấp nhận được (admissiable change of variables)

Một phương trình Weierstrass:

E : y2+ a1xy + a3y = x3+ a2x2+ a4x + a6được định nghĩa trên K có thể được đơn giản hóa bằng việc áp dụng một phépđổi biến chấp nhận được Ta xét các trường hợp riêng với trường cơ sở K có đặc

2 Nếu đặc số của K là 2, thì ta có hai trường hợp để xét:

TH1: a1 6= 0 thì phép đổi biến chấp nhận được:



biến E thành đường cong:

y2+ xy = x3+ ax2+ b (1.5)

với a, b ∈ K Đường cong có dạng trên được gọi là không suy biếnmạnh (non-supersingular) (định nghĩa 1.19) và có biệt thức ∆ = b.TH2: a1 = 0, thì phép đổi biến:

(x, y) 7−→ (x + a2, y)biến E thành đường cong

với a, b ∈ K Đường cong như vậy được gọi là suy biến mạnh và cóbiệt thức ∆ = −a3

Cấp của một trường hữu hạn là số phần tử trong trường ấy Tồn tại mộttrường hữu hạn có cấp là q khi và chỉ khi q là lũy thừa của một số nguyên tố(q = pm với p là số nguyên tố, m là số nguyên dương, khi đó p được gọi là đặc

số của trường) Ta kí hiệu trường đó là Fq Khi p là số nguyên tố thì Fp đẳngcấu với Zp Với mọi số nguyên tố p và số nguyên dương n, tồn tại trường hữuhạn có cấp pn, kí hiệu là Fp n

Từ phần này trở đi, luận văn chủ yếu nghiên cứu và đưa các ví dụ minh họa

về đường cong elliptic có phương trình dạng (1.4) trên trường hữu hạn K = Fq

mã đường cong elliptic

Quy tắc cộng được diễn tả tốt nhất thông qua hình học Cho P = (x1, y1)

và Q = (x2, y2) là hai điểm phân biệt trên đường cong elliptic E Tổng R của

P và Q được xác định như sau: đầu tiên vẽ đường thẳng đi qua hai điểm P và

Q, đường thẳng này cắt đường cong E tại điểm thứ ba Lấy R là điểm đối xứngcủa điểm đó qua trục hoành Điều này được mô tả ở hình 1.2(a)

Điểm nhân đôi R của P được xác định như sau: đầu tiên vẽ tiếp tuyến củađường cong E tại P , đường này cắt E tại điểm thứ hai Lấy R là điểm đối xứngcủa điểm đó qua trục hoành Điều này được mô tả ở hình 1.2(b)

Từ mô tả hình học ở trên, ta xây dựng được công thức đại số của phép toántrên các đường cong elliptic E có dạng phương trình Weierstrass đơn giản (1.4)trong tọa độ affine với trường cơ sở K hữu hạn có đặc số khác 2 và 3 (ví dụ như

K = Zp với p > 3 là số nguyên tố) như sau:

1 Phần tử trung hòa là ∞: P + ∞ = ∞ + P = P với mọi P ∈ E(K)

2 Phần tử đối: Nếu P = (x, y) ∈ E(K) thì (x, y) + (x, −y) = ∞

Hình 1.2: Mô tả hình học phép cộng và phép nhân đôi điểm trên đường cong elliptic.

Điểm (x, −y) được kí hiệu là −P , được gọi là phần tử đối của P ; chú ýrằng −P cũng là một điểm thuộc E(K) Ta cũng có −∞ = ∞

3 Phép cộng điểm: Cho P (x1, y1) ∈ E(K) và Q(x2, y2) ∈ E(K), và P 6= ±Q

4 Nhân đôi điểm: Cho P = (x1, y1) ∈ E(K), với: P 6= −P Ta có 2P = (x3, y3)với

x3 =  3x2

1+ a2y1

2

− 2x1 và y3 =  3x2

1+ a2y1

(x1− x3) − y1

Ví dụ 1.5 Đường cong elliptic trên trường nguyên tố Z29

Cho p = 29, a = 4 và b = 20, xét đường cong elliptic

E : y2 = x3+ 4x + 20định nghĩa trên Z29 Chú ý rằng ∆ = −16(4a3+27b2) = −176896 6= 0 (mod 29),

vì vậy E thực sự là một đường cong elliptic Ta có các điểm trên Z29 như sau:

∞ (2, 6) (4, 19) (8, 10) (13, 23) (16, 2) (19, 16) (27, 2)

(0, 7) (2, 23) (5, 7) (8, 19) (14, 6) (16, 27) (20, 3) (27, 27)(0, 22) (3, 1) (5, 22) (10, 4) (14, 23) (17, 10) (20, 26)

(1, 5) (3, 28) (6, 12) (10, 25) (15, 2) (17, 19) (24, 7)

(1, 24) (4, 10) (6, 17) (13, 6) (15, 27) (19, 13) (24, 22)

Ví dụ phép cộng điểm trên đường cong: (5, 22) + (16, 27) = (13, 6);

phép nhân đôi điểm: 2(5, 22) = (14, 6)

b Phép nhân vô hướng

Phần này ta xét phương pháp để tính kP với k là một số nguyên và P là mộtđiểm trên đường cong elliptic E định nghĩa trên trường Fq Phép toán này đượcgọi là phép nhân vô hướng và chi phối thời gian thực hiện chương trình mã hóacủa các đường cong elliptic

Để tìm bội của các điểm trên đường cong elliptic, ta sử dụng phương phápnhân đôi liên tiếp

Ta có điểm P (5, 22) thuộc E Tính được 10P = 2(2.2P + P ) = (8, 19).

1.1.3 Tự đồng cấu, đẳng cấu, tự đẳng cấu của đường cong

elliptic

Định nghĩa 1.9 Cho E là một đường cong elliptic định nghĩa trên trường hữuhạn K Một tự đồng cấu φ của E trên K là một đồng cấu φ : E −→ E thỏamãn φ(∞) = ∞ và φ(P ) = (R1(P ), R2(P )) với mọi P ∈ E (tức là φ(x, y) =(R1(x, y), R2(x, y)) với mọi (x, y) ∈ E(K)), R1 và R2 là hàm hữu tỷ với hệ sốtrên K Tập hợp tất cả các tự đồng cấu của E trên K là một vành, gọi là vành

tự đồng cấu của E trên K

Ví dụ 1.10 Cho đường cong elliptic E định nghĩa trên trường K được cho bởiphương trình y2 = x3+ ax + b Xét φ : E −→ E được cho bởi φ(P ) = 2P ta có

φ là một đồng cấu và

φ(x, y) = (R1(x, y), R2(x, y)),

2!

− y

Vì vậy, φ là một tự đẳng cấu của E

Xét đường cong elliptic E : y2 = x3+ ax + b và R(x, y) là một hàm hữu tỷvới hệ số trên K Vì y2 = x3+ ax + b với mọi (x, y) ∈ E(K) nên ta có thể thaycác lũy thừa bậc chẵn của y bởi một đa thức của x và thay các lũy thừa bậc lẻcủa y bởi y nhân với đa thức của x và thu được hàm hữu tỷ giống với R(x, y)trên E(K) Do vậy, ta giả sử R(x, y) có dạng:

R(x, y) = p1(x) + p2(x)y

p3(x) + p4(x)yHơn nữa, ta có thể nhân cả tử và mẫu của R(x, y) với p3(x) − p4(x)y sau đóthay y2 bởi x3+ ax + b, điều đó kéo theo

R(x, y) = q1(x) + q2(x)y

Xét một tự đồng cấu của E được cho bởi

φ(x, y) = (R1(x, y), R2(x, y))như trên Vì φ là đồng cấu nên

φ(x, −y) = φ(−(x, y)) = −φ(x, y)

Điều đó có nghĩa là

R1(x, −y) = R1(x, y) và R2(x, −y) = −R2(x, y)

Do đó, nếu R1 được viết ở dạng (1.9) thì q2(x) = 0 và nếu R2 được viết ở dạng(1.9) thì tương ứng q1(x) = 0 Vì vậy, ta giả sử được rằng

φ(x, y) = (r1(x), r2(x)y)với các hàm hữu tỷ r1(x), r2(x)

Bây giờ, ta xét đến việc điều gì xảy ra nếu một trong các hàm hữu tỷ khôngxác định tại một điểm Ta viết:

r1(x) = p(x)/q(x)với p(x), q(x) không có nhân tử chung Nếu q(x) = 0 với điểm (x, y) nào đó thì

ta giả sử φ(x, y) = ∞ Nếu q(x) 6= 0 thì r1(x) được xác định; do đó φ cũng xácđịnh

Ta định nghĩa bậc của φ:

deg(φ) = max {deg p(x), deg q(x)}

nếu φ không tầm thường Khi φ = 0, đặt deg(0) = 0

Vì vậy, deg(φ) = 4

Đa thức đặc trưng của tự đồng cấu φ là một đa thức lồi f (X) có bậc nhỏnhất trong Z[X] thỏa mãn f (φ) = 0, nghĩa là f (φ)(P ) = ∞ với mọi P ∈ E.Nếu E là đường cong elliptic không suy biến mạnh thì đa thức đặc trưng của φ

có bậc 1 hoặc 2

Ví dụ 1.12 Tự đồng cấu của đường cong elliptic

(i) Cho E là đường cong elliptic định nghĩa trên Fq Với mỗi số nguyên m,ánh xạ nhân [m] : E −→ E được xác định bởi:

[m] : P 7−→ mP

là một tự đồng cấu của E định nghĩa trên Fq Một trường hợp đặc biệt làánh xạ đối xác định bởi P 7−→ −P Đa thức đặc trưng của [m] là X − m

(ii) Cho E là đường cong elliptic định nghĩa trên Fq Ánh xạ lũy thừa thứ q:

φ : E −→ E xác định bởi:

φ : (x, y) 7−→ (xq, yq), φ : ∞ 7−→ ∞

là một tự đồng cấu của E định nghĩa trên Fq, được gọi là tự đồng cấuFrobenius Đa thức đặc trưng của φ là X2− tX + q với t = q + 1 − #E(Fq)(với #E(Fq) là số điểm trong E(Fq))

(iii) Cho p ≡ 1 (mod 4) là một số nguyên tố, xét đường cong elliptic

E : y2 = x3+ axđịnh nghĩa trên Fp Cho i ∈ Fp là một phần tử có cấp 4 thì ánh xạ φ :

E xác định bởi:

φ : (x, y) 7−→ (βx, y), φ : ∞ 7−→ ∞

là một tự đồng cấu của E trên Fp Chú ý rằng φ(P ) có thể được tính chỉ

sử dụng một phép nhân Đa thức đặc trưng của φ là X2+ X + 1

Lớp đẳng cấu

Nhớ lại định nghĩa đẳng cấu đường cong elliptic (định nghĩa 1.4), ta có quan

hệ đẳng cấu là một quan hệ tương đương trên tập hợp các đường cong ellipticđịnh nghĩa trên trường hữu hạn K Nếu hai đường cong elliptic E1 và E2 là đẳngcấu trên K thì nhóm E1(K) và E2(K) của các điểm K - hữu tỷ cũng đẳng cấu.Tuy nhiên, điều ngược lại không đúng (điều này được chỉ ra trong ví dụ 1.14 và1.15)

Định lý 1.13 (Lớp đẳng cấu của đường cong elliptic) Cho K = Fq là mộttrường hữu hạn với char(K) 6= 2, 3.

Hai đường cong elliptic:

E1 : y2 = x3+ ax + b, (1.10)

E2 : y2 = x3+ ax + b (1.11)định nghĩa trên K được gọi là đẳng cấu trên K nếu và chỉ nếu tồn tại u ∈ K∗thỏa mãn u4a = a và u6b = b Nếu a, u tồn tại thì phép đổi biến chấp nhận được:

(x, y) → (u2x, u3y)biến phương trình (1.10) thành phương trình (1.11)

Ví dụ 1.14 (Lớp đẳng cấu của đường cong elliptic trên Z5) Bảng 1.1 liệt kê

12 lớp đẳng cấu của đường cong elliptic trên Z5 Chú ý rằng nếu nhóm E1(Fq)

và E2(Fq) của các điểm Fq - hữu tỷ là đẳng cấu thì không kéo theo đường congelliptic E1 và E2 đẳng cấu trên Fq Ví dụ, đường cong elliptic E1 : y2 = x3+ 1

và E2 : y2 = x3 + 2 là không đẳng cấu trên Z5 nhưng E1(Z5) và E2(Z5) đều cócấp là 6 và do đó cả hai nhóm cùng đẳng cấu với Z6

Lớp đẳng cấu #E(Z5) Cấu trúc nhóm của E(Z5){y2 = x3+ 1, y2 = x3+ 4} 6 Z6

Ví dụ 1.15 Cho p = 73 Dễ dàng sử dụng định lý 1.13 để kiểm tra rằng haiđường cong elliptic:

E1 : y2 = x3+ 25x

E2 : y2 = x3+ 53x + 55định nghĩa trên Zp là không đẳng cấu trên Zp Tuy nhiên, nhóm E1(Zp) và

E2(Zp) của các điểm Zp - hữu tỷ đẳng cấu với nhau

Dễ dàng chứng minh được kết quả sau:

(i) Nếu a = 0 và K∗ có một phần tử ρ cấp 6 thì ρ sinh ra nhóm Aut(E) và

#Aut(E)=6;

(ii) Nếu b = 0 và K∗ có một phần tử i cấp 4 thì i sinh ra nhóm Aut(E) và

#Aut(E)=4;

(iii) Trong các trường hợp còn lại thì Aut(E)= {1, −1} và #Aut(E)=2

1.1.4 Đường cong elliptic trong tọa độ xạ ảnh

Tập hợp tất cả các điểm xạ ảnh được kí hiệu:

P2K= {(X : Y : Z)|X, Y, Z không đồng thời bằng 0}

Chú ý rằng nếu (X0, Y0, Z0) ∈ (X : Y : Z) thì (X0 : Y0 : Z0) = (X : Y : Z),

có nghĩa là một phần tử bất kì của lớp tương đương đều có thể đóng vai trò

là đại diện của lớp Đặc biệt, nếu Z 6= 0 thì (X/Z, Y /Z, 1) là một đại diện củađiểm xạ ảnh (X : Y : Z), thực tế đó là đại diện duy nhất với toạ độ Z bằng 1.Như vậy chúng ta có phép tương ứng 1 − 1 giữa tập hợp các điểm xạ ảnh:

Dạng xạ ảnh của phương trình Weierstrass (1.1) của một đường cong elliptic

E định nghĩa trên trường K thu được bằng việc thay x bởi X/Z, y bởi Y /Z vàquy đồng bỏ mẫu Nếu (X, Y, Z) ∈ K3\ {(0, 0, 0)} thỏa mãn phương trình xạảnh thì mọi điểm (X0, Y0, Z0) ∈ (X : Y : Z) cũng thỏa mãn phương trình Vì thế

ta có thể nói rằng điểm xạ ảnh (X : Y : Z) nằm trên E Vậy ta có sự tương ứng

1 − 1 giữa các điểm affine trong A(K) nằm trên E với các điểm xạ ảnh trong

P2K∗ nằm trên E Điểm xạ ảnh có Z = 0 nằm trên E chính là điểm ở vô cực củaE

Dạng xạ ảnh của phương trình Weierstrass

E : y2+ a1xy + a3y = x3+ a2x2+ a4x + a6định nghĩa trên trường K là:

Y2Z + a1XY Z + a3Y Z2 = X3+ a2X2Z + a4XZ2+ a6Z3

Chỉ có một điểm duy nhất trên đường thẳng ở vô cực cũng nằm trên E là(0 : 1 : 0) Điểm xạ ảnh này tương ứng với điểm ∞ trong định nghĩa ở phần đầucủa chương

Đường cong elliptic E : y2 = x3+ ax + b

Phần này ta xét hệ tọa độ và công thức cộng cho đường cong elliptic E : y2 =

x3+ ax + b định nghĩa trên trường hữu hạn K với đặc số khác cả 2 và 3 Điểm

xạ ảnh (X : Y : Z), Z 6= 0 tương ứng với điểm affine (X/Z, Y /Z) Phương trình

xạ ảnh của đường cong elliptic là:

Y2Z = X3+ aXZ2+ bZ3.Điểm ở vô cực ∞ tương ứng với điểm (0 : 1 : 0), với phần tử đối của (X : Y : Z)

là (X : −Y : Z)

1.1.5 Số đường cong elliptic trên Zp

Xét K = Zp với p là một số nguyên tố lớn hơn 3 Số đường cong ellipticđịnh nghĩa bởi phương trình (1.4) trên Zp là số cặp (a, b) ∈ Zp × Zp thỏa mãn4a3+ 27b2 6= 0 trong Zp

Ta có, số tất cả các cặp (a, b) ∈ Zp × Zp là p2 Mà 4a3− 27b2

= 0 trong Zp khi

và chỉ khi tồn tại c ∈ Zp sao cho a = −3c2, b = 2c3 (ta thấy c xác định duy nhấtbởi a, b : c = −3b/(2a) nếu a 6= 0) Do đó có chính xác p cặp (a, b) thỏa mãn4a3+ 27b2 = 0 Vậy số phương trình đường cong elliptic trên Zp là p2− p.Tiếp theo ta tính số lớp đẳng cấu của đường cong elliptic trên trường Zp.Gọi số đường cong đẳng cấu với một đường cong E cho trước trên Zp là m Dễthấy:

Cho E là một đường cong elliptic định nghĩa trên Fq Số điểm trong E(Fq),

kí hiệu là #E(Fq), được gọi là cấp của E trên Fq Do phương trình Weierstrass(1.1) có nhiều nhất hai nghiệm với mỗi x ∈ Fq nên ta có #E(Fq) ∈ [1, 2q + 1].Định lý Hasse cho ta giới hạn chặt hơn của #E(Fq)

Định lý 1.16 (Hasse) Cho E là đường cong elliptic định nghĩa trên Fq Ta có:

q + 1 − 2√

q ≤ #E(Fq) ≤ q + 1 + 2√

q

Trước khi chứng minh định lý 1.16 ta cần tìm hiểu định nghĩa và bổ đề sauđây:

Định nghĩa 1.17 Một isogeny φ từ E1 −→ E2 là một đồng cấu thỏa mãnφ(∞) = ∞ Bậc của một isogeny φ là lực lượng của ker(φ), kí hiệu deg(φ) =

# ker(φ)

Bổ đề 1.18 Cho A là một nhóm Abel, d : A −→ Z là một dạng toàn phươngxác định dương Ta có:

∀α, β ∈ A : |d(α − β) − d(α) − d(β)| ≤ 2pd(α)d(β)Phần chứng minh định lý 1.16 dưới đây được tham khảo trong [16]

Chứng minh Xét tự đồng cấu Frobenius của E trên Fq với q là số nguyên tố,cho bởi:

φ : (x, y) 7−→ (xq, yq)Theo định lý Fermat nhỏ ta có xq ≡ x (mod q) Do đó ta có:

| deg(φ − 1) − deg(φ) − deg(1)| ≤ 2pdeg(φ) deg(1)

Mà deg(φ − 1) = #E(Fq), deg(φ) = q, deg(1) = 1 Từ đó suy ra

q; t được gọi là vết của E trên Fq Vì 2√

q nhỏ so với q nên ta có

#E(Fq) ≈ q

Cấp của E(Fq) có thể được sử dụng để định nghĩa tính suy biến mạnh củamột đường cong elliptic

Định nghĩa 1.19 Cho p là đặc số của Fq Một đường cong elliptic E địnhnghĩa trên Fq là suy biến mạnh nếu p chia hết t, với t là vết Nếu p không chiahết t thì E là không suy biến mạnh.

Nếu E là một đường cong elliptic định nghĩa trên Fq, thì E cũng định nghĩađược trên trường mở rộng Fq n của Fq Nhóm E(Fq) của các điểm Fq - hữu tỷ làmột nhóm con của nhóm E(Fq n) của các điểm Fq n - hữu tỷ và do đó #E(Fq)chia hết #E(Fq n) Nếu #E(Fq) đã biết thì #E(Fq n) có thể xác định bởi kết quảsau:

Định lý 1.20 Cho E là đường cong elliptic định nghĩa trên Fq và #E(Fq) =q+1−t Nếu ta viết X2−tX +q = (X −α)(X −β) thì #E(Fq n) = qn+1−(αn+βn)với mọi n ≥ 1

Định lý 1.21 Cho E là đường cong elliptic định nghĩa trên Fq Gọi t là vếtcủa E trên Fq φq là tự đồng cấu Frobenius của E Ta có:

φ2q − tφq + q = 0như một tự đồng cấu của E và t là số nguyên k duy nhất thỏa mãn:

φ2q − kφq + q = 0

Định lý 1.21 được chứng minh cụ thể trong [17]

Bổ đề 1.22 Đặt sn = αn + βn Ta có s0 = 2, s1 = t, sn+1 = tsn − qsn−1 vớimọi n ≥ 1

Chứng minh Hiển nhiên s0 = α0+ β0 = 2 Do α và β là hai nghiệm của phươngtrình đã cho nên theo Viet ta có s1 = α+β = t Do α là nghiệm của phương trình

X2− tX + q = 0 nên ta có α2− tα + q = 0 Nhân cả hai vế của với αn−1 ta được

αn+1−tαn+qαn−1 = 0 Làm tương tự đối với β thu được βn+1−tβn+qβn−1 = 0.Cộng 2 vế của hai đẳng thức vừa nhận được ta có:

αn+1+ βn+1 − t(αn+ βn) + q(αn−1+ βn−1)

Từ đó suy ra: sn+1 = tsn + qsn−1

Quay lại chứng minh định lý 1.20

Chứng minh Từ bổ đề 1.22 ta thấy hiển nhiên sn = αn + βn là các số nguyênvới mọi n ≥ 0.

Đặt f (X) = (Xn − αn)(Xn − βn) = X2n − (αn + βn)Xn + qn Ta có f (X)chia hết cho biểu thức X2− tX + q = (X − α)(X − β) được thương là đa thứcQ(X) có hệ số bậc cao nhất là 1 Do đó, với φq là tự đồng cấu Frobenius của Ecó:

f (φq) = (φnq)2− (αn+ βn)(φqn) + qn = Q(φq)(φ2q− tφq+ q) = 0 (do định lý 1.21).Chú ý rằng φnq = φqn,từ đó ta có: φ2qn − (αn + βn)φqn + qn = 0 Cũng theo định

lý 1.21, số nguyên k duy nhất thỏa mãn φ2qn − kφqn + qn = 0 là vết của E trên

Fq n Tức là k = qn+ 1 − #E(Fq n) Vì vậy, ta suy ra:

+1 nếu t2 ≡ x (mod p) có nghiệm t 6≡ 0 (mod p),

−1 nếu t2 ≡ x (mod p) không có nghiệm t,

Chứng minh Với x0 cho trước, ta có hai điểm (x, y) ∈ E(Fq) với hoành độ

x = x0 nếu x30+ ax0+ b là một bình phương khác không trong Fq, có một điểmnếu x30+ ax0+ b = 0 và không có điểm nào nếu x30+ ax0+ b không phải một bìnhphương Vì vậy, số điểm trên E có hoành độ x = x0 bằng 1 + x3

0+ ax0+ b

Fq

.Tính tất cả các giá trị x0 ∈ Fq và thêm một điểm ∞ ta được:

(do Fq có đúng q phần tử)

Ví dụ 1.25 Xét đường cong elliptic y2 = x3+ 1 trên trường Z5 Ta có:

#E(Z5) = 5 + 1 +

4Px=0

+ 45

+ 35

+ 05



= 6 + 1 − 1 + 1 − 1 = 6Cấu trúc nhóm

Định lý 1.26 mô tả cấu trúc nhóm của E(Fq)

Định lý 1.26 (Cấu trúc nhóm của đường cong elliptic) Cho E là một đườngcong elliptic định nghĩa trên Fq Ta có E(Fq) là đẳng cấu với Zn 1 ⊕ Zn 2 với n1

và n2 là các số nguyên dương xác định duy nhất thỏa mãn n2 chia hết cả n1 và

q − 1

Chú ý rằng #E(Fq) = n1n2 Nếu n2 = 1 thì E(Fq) là một nhóm cyclic Nếu

n2 > 1, thì E(Fq) được gọi là có hạng bằng 2 Định lý trên có nghĩa là, hoặc E

là một nhóm cyclic hoặc E đẳng cấu với tích của hai nhóm cyclic

Ví dụ 1.27 (Cấu trúc nhóm) Đường cong elliptic E : y2 = x3 + 4x + 20 địnhnghĩa trên Z29 có #E(Z29) = 37 Vì 37 là số nguyên tố nên E(Z29) là một nhómcyclic và ta có bất kì điểm nào của E(Z29) ngoại trừ ∞ đều là một phần tử sinhcủa E(Z29) Bảng dưới đây cho ta thấy, các bội của điểm P = (1, 5) sinh ra tất

cả các điểm của E(Z29).

0P = ∞ 8P = (8, 10) 16P = (0, 22) 24P = (16, 2) 32P = (6, 17)1P = (1, 5) 9P = (14, 23) 17P = (27, 2) 25P = (19, 16) 33P = (15, 2)2P = (4, 19) 10P = (13, 23) 18P = (2, 23) 26P = (10, 4) 34P = (20, 26)3P = (20, 3) 11P = (10, 25) 19P = (2, 6) 27P = (13, 6) 35P = (4, 10)4P = (15, 27) 12P = (19, 13) 20P = (27, 27) 28P = (14, 6) 36P = (1, 24)5P = (6, 12) 13P = (16, 27) 21P = (0, 7) 29P = (8, 19)

Chứng minh Trước hết ta chứng minh #E = p + 1

Với p ≡ 2 (mod 3), xét ánh xạ x 7−→ x3 là một đẳng cấu của Zp Do đó, vớimỗi b ∈ Z∗p có chính xác p−12 số x ∈ Zp thỏa mãn x3+ b ∈ QR(p) Với mỗi x nhưvậy có 2 điểm trên E là (x, y) và (x, −y) với y2 ≡ x3 + b (mod p) Cùng với O

P = −P nhưng trên E chỉ có 2 phần tử là P = O và P = (p(−b), 0) là thỏa3

mãn −P = P Vậy E không đẳng cấu với tích của hai nhóm cyclic, do đó Ephải là nhóm cyclic

Định lý 1.29 Cho p là một số nguyên tố lớn hơn 3 và p ≡ 3 (mod 4) Khi đóvới a ∈ Z∗p, đường cong elliptic E : y2 = x3+ ax trên Zp có #E = p + 1 Hơn nữa

E là cyclic nếu a ∈ QR(p), các trường hợp còn lại E đẳng cấu với Zp+1

2 × Z2

Chứng minh Đặt f (x) = x3+ ax Vì f (−x) = −f (x) nên f (x) là hàm lẻ Do

p ≡ 3 (mod 4) kéo theo với mỗi x ∈ Z∗p thì chỉ có chính xác một trong hai

số x hoặc −x thuộc QR(p) Chú ý rằng −1 6∈ QR(p) Ta xét cặp [x, −x] với

0 < x ≤ p−12 Với mỗi cặp [x, −x] như trên, hoặc f (−x) = f (x) = 0, hoặc

f (x) ∈ QR(p), hoặc f (−x) ∈ QR(p) Ở mỗi trường hợp, ta có 2 điểm trên Etương ứng (±x, 0), (x, ±pf(x)), (−x, p−(f(x))) Từ đó ta có p − 1 điểm trên

Theo định lý thặng dư Trung Hoa, ta có một đẳng cấu vành:

Zn 1 n 2 ' Zn 1 ⊕ Zn 2

được cho bởi:

x mod n1n2 ←→ (x mod n1, x mod n2)

Từ đó, ta có một song ánh giữa bộ ba trong Zn 1 n 2 với một cặp bộ ba, một trong

Ta chứng minh ψ là đồng cấu Cho P1, P2 ∈ E(Zn1n2) và đặt P3 = P1+ P2 Dễdàng kiểm tra được điểm P3 (mod ni) là tổng của P1 (mod ni) và P2 (mod ni).Điều đó kéo theo ψ(P3) = ψ(P1) + ψ(P2), vậy ψ là một đồng cấu.

Như vậy, ψ là một đẳng cấu

1.2.1 Tìm và tính số điểm của đường cong elliptic trên Zp

Kiểm tra lại ví dụ 1.5, ta tìm và tính số điểm của đường cong y2 = x3+4x+20trên trường Z29

Bước 1: Nhập dữ liệu bài toán: gồm có số nguyên tố p = 29, liệt kê các phần

tử của trường Zp = Z29 và phương trình đường cong elliptic y2 = x3+ 4x + 20.Bước 2: Với mỗi x ∈ Zp ta giải phương trình đồng dư f (x, y) (mod p) = 0 đểtìm y Nếu với x = a nào đó phương trình có nghiệm thì máy cho danh sách:

[{x = a}, {y = b}, {y = −b}]

tương ứng với hai điểm trên đường cong có cùng hoành độ x và các tung độ b,

−b; nếu phương trình vô nghiệm thì máy chỉ cho ra [{x = a}]

Thực hành trên Maple bằng các lệnh sau:

p := 29; Zp := [seq(i, i = 0 p − 1)];

f := (x, y) −→ y2− x3− 4x − 20;

sols := seq([x = Zp[i], msolve(f (Zp[i], y), p)], i = 1 nops(Zp));

Kết quả hiện trên màn hình Maple:

p := 29

Zp = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20,

21, 22, 23, 24, 25, 26, 27, 28]

f := (x, y) −→ y2− x3 − 4x − 20sols := [{x = 0}, {y = 7}, {y = 22}], [{x = 1}, {y = 5}, {y = 24}],

[{x = 2}, {y = 6}, {y = 23}], [{x = 3}, {y = 1}, {y = 28}],

A[1] := 5 mod 29; A[2] := 22 mod 29; B[1] := 16 mod 29; B[2] := 27 mod 29;

A := (A[1], A[2]) : f (A[1], A[2]) mod 29;

Thực hiện các lệnh sau trên Maple:

λ := (B[2] − A[2])/(B[1] − A[1]) mod 29;

x[S] := λ2− A[1] − B[1] mod 29;

y[S] := λ.(A[1] − x[S]) − A[2] mod 29;

Kết quả hiện trên Maple là:

λ := 11

x[S] := 13

y[S] := 6

Vậy ta có (5, 22) + (16, 27) = (13, 6)

Phép nhân đôi điểm

Để tính R = 2P = (x[R], y[R]) ta cũng sử dụng các công thức trong 1.1.2.Bước 1: Tính λ = 3A[1]

2+ 42A[2] .Bước 2: Tính tọa độ R = 2P

Thực hiện các lệnh sau trên Maple:

λ := (3A[1]2+ 4)/(2A[2]) mod 29;

x[R] := λ2− 2A[1] mod 29;

y[R] := λ(A[1] − x[R]) − A[2] mod 29;

Kết quả hiện trên Maple là: