UCL Crypto Group Technical Report Series Introduction elementaire a la theorie des courbes elliptiques Marc Joye REGARDS GROUPE

Transcription

1 UCL Crypto Group Technical Report Series Introduction elementaire a la theorie des courbes elliptiques Marc Joye REGARDS GROUPE Technical Report Place du Levant, 3 B-1348 Louvain-la-Neuve, Belgium Phone: (+32) Fax: (+32)

2 Introduction elementaire a la theorie des courbes elliptiques Marc Joye 25 juin 1995 Departement de Mathematique (AGEL), Universite catholique de Louvain Chemin du Cyclotron, 2, B-1348 Louvain-la-Neuve, Belgium joye@agel.ucl.ac.be La theorie des courbes elliptiques a connu un recent regain d'inter^et gr^ace a l'emergence de la cryptographie. Tout a commence lorsque Lenstra a decouvert un algorithme de factorisation polynomial sur ces structures. Ensuite, en 1985, Koblitz et Miller ont propose independamment d'adapter les protocoles cryptographiques existant sur les courbes elliptiques. Ce rapport est organise comme suit. Les trois premieres parties fournissent les bases necessaires. Le lecteur ayant une certaine culture mathematique peut commencer la lecture a la partie IV. Celui-ci introduit la theorie des courbes elliptiques. Nous verrons qu'a toute courbe elliptique est associee une structure de groupe. Par ailleurs, nous montrerons qu'une courbe elliptique est birationnellement equivalente a une forme particuliere : les equations de Weierstrass. Enn, le derniere partie propose quelques applications liees aux courbes elliptiques. Nous verrons comment il est possible de tester la primalite d'un nombre et s'il n'est pas premier, comment le factoriser. Ces methodes sont basees sur le theoreme de Hasse qui donne une approximation de la cardinalite d'une courbe elliptique. Finalement, les schemas de Die-Helman et d'el Gamal seront adaptes pour pouvoir ^etre utilises sur les courbes elliptiques. Bonne lecture. c1995 by UCL Crypto Group For more informations, see

3 Table des matieres I Notions elementaires d'algebre superieure 4 I.1 Groupes I.2 Anneaux et corps I.3 Homomorphismes et isomorphismes II Corps nis 11 II.1 Corps et domaine euclidien II.2 Cardinalite d'un corps ni II.3 Le corps nifq (avec q = p m et p premier) III Plan projectif et courbes planes 17 III.1 Le plan projectifp III.2 Intersections et theoreme de Bezout IV Courbes elliptiques 29 IV.1 Denition IV.2 Equations de Weierstrass IV.3 Reduction d'une cubique IV.4 Loi de groupe V Applications 53 V.1 Test de primalite et factorisation V.2 Protocoles cryptographiques

4 Partie I Notions elementaires d'algebre superieure Resume. Dans cette partie seront revues les denitions d'un groupe, d'un anneau et d'un corps. Plusieurs theoremes importants sur ces structures seront egalement abordes. Enn, les denitions d'homomorphisme et d'isomorphisme seront rappelees. An de faciliter la comprehension, de nombreux exemples illustreront les denitions. I.1 Groupes Denition 1. Un groupe est un couple forme d'un ensemble G et d'une loi de composition (x; y) 7! xy sur l'ensemble G. Ces donnees doivent verier les trois conditions : 8x; y; z 2 G : (xy)z = x(yz) (associativite) ; 91 2 G tel que 8x 2 G : x1 = 1x = x (existence d'un element neutre) ; 8x 2 G; 9x 1 2 G tel que x 1 x = xx 1 = 1 (existence d'un element inverse pour tout element du groupe). Si la loi de groupe est commutative, le groupe est appele groupe commutatif (ou abelien). Pour un groupe commutatif, nous utilisons l'ecriture additive au lieu de l'ecriture multiplicative, i.e. la loi de composition est (x; y) 7! x + y. Dans cette notation, l'element neutre est habituellement note 0 et l'inverse d'un element x est note x. Exemple 1. L'ensemble des entiers muni de la loi de composition (x; y) 7! x + y, i.e. le groupe additifznote (Z; +), forme un groupe commutatif. Exemple 2. L'ensemble des reels non nuls muni de la loi de composition (x; y) 7! xy, i.e. le groupe multiplicatifr note (R ; ), forme un groupe commutatif. y y Lorqu'un ensemble est muni d'une asterisque, cela signie l'ensemble des elements inversibles de l'ensemble.

5 Introduction elementaire a la theorie des courbes elliptiques 4 Denition 2. Une partie H d'un groupe G est un sous-groupe de G si H est non vide et si (x 2 H; y 2 H ) xy 1 2 H). Exemple 3. Le groupe additifzest un sous-groupe du groupe additifr. mz Theoreme 3. Tout sous-groupe M du groupe addidifzest de la forme M = ou m est le plus petit entier positif de M. Preuve. (i) Si M = f0g, alors il sut de prendre m = 0. (ii) Nous pouvons donc supposer M 6= f0g. Soit d le plus entier strictement positif de M. Par l'absurde, si un element x de M n'est pas un multiple de d, alors 9k : kd < x < (k + 1)d. Mais alors y = x d d = x kd 2 M. Or 0 < y = x kd < d, ce qui contredit le fait que d est le plus entier positif de M. ut Remarque. Un sous-groupe commutatif dont la loi de composition est note additivement et dont l'element neutre est note 0 est appele un module. Le theoreme precedent peut alors se formuler : Tout module d'entiers M 6= f0g est genere par son plus petit entier strictement positif. Corollaire 4. Soient a; b et c des nombres entiers. L'equation diophantienne ax + by = c admet des solutions entieres si et seulement si le plus grand diviseur commun de a et de b divise c. Notation. Soient a et b deux entiers. Le plus grand commun diviseur de a et de b est note pgcd(a; b) ou encore (a; b). Si a divise b, alors nous ecrivons ajb. Preuve. Les entiers de la forme ax+by appartiennent a M dont le generateur est d = (a; b). Pour que ax+by = c ait des solutions entieres, il faut et il sut que c appartienne a M, c.-a-d. que c soit un multiple entier de (a; b). ut Corollaire 5 (Theoreme de Bezout). Les entiers a et b sont premiers entre eux si et seulement si 9u; v 2Z : au + bv = 1. Preuve. Trivial par le corollaire 4. ut Denition 6. Soit G un groupe comportant n elements. Alors G est un groupe ni si n est ni ; et dans ce cas, n designe l'ordre du groupe. Un element a de G est d'ordre l si l est le plus entier strictement positif tel que a l = 1.

6 Introduction elementaire a la theorie des courbes elliptiques 5 Theoreme 7 (Theoreme de Lagrange). Soit G un groupe ni d'ordre n. Tout element a de G satisfait a a n = 1. Preuve. Notons l l'ordre de l'element a. (i) Construisons l'ensemble C 0 = fa; a 2 ; a 3 ; : : : ; a l = 1g. Tous les elements de C 0 sont forcement distincts ; sinon il existerait 0 < s < t < l tels que a t s = 1, ce qui contredit la minimalite de l. Si G = C 0, alors n = l et le theoreme est demontre. (ii) Construisons le coensemble C 1 a partir d'un element b 1 2 GnC 0 : C 1 = fab 1 ; a 2 b 1 ; a 3 b 1 ; : : : ; a l b 1 = b 1 g: Tous les elements de C 1 sont distincts entre eux par la minimalite de l et sont distincts de ceux de C 0 car b 1 62 C 0. Si G = C 0 [ C 1, alors n = 2l et le theoreme est demontre. (iii) Nous recommencons de m^eme jusqu'a ce que G = C 0 [ C 1 [ : : : [ C h ou C i = fab i ; a 2 b i ; a 3 b i ; : : : ; a l b i = b i g avec b i 2 Gn [ i 1 C k=0 k. Nous obtenons donc n = (h + 1) l et le theoreme est demontre. ut Le theoreme de Lagrange montre que l'ordre d'un element divise toujours l'ordre de son groupe. S'il existe un element dont l'ordre est egal a celui de son groupe, alors le groupe est appele groupe cyclique et un tel element est appele generateur du groupe. I.2 Anneaux et corps Denition 8. Un anneau est un triplet forme d'un ensemble K et de deux lois de composition (x; y) 7! xy et (x; y) 7! x + y sur l'ensemble K. Ces donnees doivent verier les trois conditions suivantes : (K; +) est un groupe commutatif ; la loi de composition (x; y) 7! xy est associative et admet un element neutre 1 ; 8x; y; z 2 K : x(y + z) = xy + yz (distributivite). Si la loi de composition (x; y) 7! xy est commutative, alors l'anneau est commutatif. Exemple 4. L'ensemble des entiers muni des lois composition habituelles (addition et multiplication) forme un anneau commutatif : l'anneau des entiers rationnels.

7 Introduction elementaire a la theorie des courbes elliptiques 6 Denition 9. Une partie A d'un anneau K est un sous-anneau de K si A est un sous-groupe du groupe additif K, si (x; y 2 A ) xy 2 A) et si 1 2 A. Denition 10. Un anneau K est un domaine integral si pour x; y; z 2 K : (xy = xz et x 6= 0 ) y = z): Denition 11. Soit un anneau K. Nous dirons que K est un corps si tout element non nul de K est inversible. y L'ensemble des elements inversibles de K est note K. Si nous munissons cet ensemble K de la loi de composition (x; y) 7! xy, il designe le groupe multiplicatif de l'anneau K. Dans le cas ou K est un corps, alors nous avons K = Knf0g. Exemple 5. Les anneauxq etr sont des corps, appeles respectivement corps des nombres rationnels et corps des nombres reels. Exemple 6. Par contre, l'anneauzn'est pas un corps car les seuls elements non nuls qui sont inversibles sont 1 et 1, i.e.z = f1; 1g. Denition 12. Un anneau K est integre, ou encore K est un anneau d'integrite, si pour x; y 2 K : (xy = 0 ) x = 0 ou y = 0): Tous les anneaux ne sont pas integres. Si xy = 0 n'implique pas x = 0 ou y = 0, les elements x et y sont appeles diviseurs de zero. Exemple 7. L'anneau (Z=4Z) n'est pas integre car 2 2 = 0. Une equation de degre n peut par consequent avoir plus de n racines dans (Z=4Z). Proposition 13. Si K est un corps, alors K est un domaine integral et un anneau d'integrite. Preuve. (i) Montrons que K est un domaine integral. Soient x; y; z 2 K avec x 6= 0, alors xy = xz ) x 1 xy = x 1 xz ) y = z: (ii) Montrons que K est un anneau d'integrite. Soient x; y 2 K avec x 6= 0, alors xy = 0 ) x 1 xy = 0 ) y = 0: ut y Dans la denition du corps, il faut en plus exiger que 1 6= 0 ; au moins deux elements. un corps possede donc

8 Introduction elementaire a la theorie des courbes elliptiques 7 Denition 14. Une partie I d'un anneau K est un ideal a gauche de K si 1. I est un sous-groupe du groupe additif K ; 2. 8a 2 K; 8x 2 I : ax 2 I. De m^eme, un ideal a droite d'un anneau K est un sous-groupe du groupe additif K tel que 8a 2 K; 8x 2 I : xa 2 I. Si K est commutatif, on parle alors d'ideal bilateral ou tout simplement d'ideal. Proposition 15. Si K est un corps, alors les seuls ideaux a gauche de K sont f0g et K. Preuve. (i) I = f0g est un ideal a gauche de K, car 8a 2 K : a0 = 0 2 I. (ii) Supposons que I contienne un element non nul x. Alors x est inversible : x 1 x = 1 2 I. Par consequent, a1 = a pour tout a 2 K, d'ou I = K. ut Denition 16. Un anneau principal est un anneau d'integrite commutatif dont tous les ideaux sont principaux. y Remarque. En anglais, le mot eld est egalement utilise. Ce mot est parfois traduit par \champ" et designe un corps commutatif. I.3 Homomorphismes et isomorphismes Denition 17. Soient deux groupes G et H. L'application f : G! H est un homomorphisme de G dans H si 8x; y 2 G : f(xy) = f(x)f(y): (I.1) Si, dans la relation (I.1), nous prenons y = 1, alors f(1) = 1 et si nous prenons y = x 1, alors f(x 1 ) = (f(x)) 1. Remarque. Dans la denition, nous avons utilise l'ecriture multiplicative pour les groupes G et H. Si les groupes sont notes additivement, il faut bien s^ur adapter la denition en consequence. Par exemple, si le groupe G est note additivement et le groupe H multiplicativement, alors la relation (I.1) devient f(x + y) = f(x)f(y). y Dans un anneau commutatif K, un ideal principal est l'ensemble des multiples de x (2 K) dans K, i.e. I = xk.

9 Introduction elementaire a la theorie des courbes elliptiques 8 Exemple 8. Soient G le groupe additifz, H un groupe multiplicatif quelconque et a un element de H. L'application f :Z!H : n 7! a n est un homomorphisme dezdans H. En eet, f(n 1 + n 2 ) = a n 1+n 2 = a n 1 a n 2 = f(n 1 )f(n 2 ). Denition 18. Soient deux groupes G et H. Tout homomorphisme bijectif de G dans H est appele isomorphisme de G dans H. Nous disons alors que les groupes G et H sont isomorphes. Exemple 9. La fonction \logarithme" est un isomorphisme du groupe multiplicatifr + dans le groupe additifr : log(xy) = log(x) + log(y). Un isomorphisme d'un groupe G dans lui-m^eme est un automorphisme. Denition 19. Soient deux anneaux K et L. L'application f : K! L est un homomorphisme de K dans L si 8x; y 2 K f(x + y) = f(x) + f(y) et f(xy) = f(x)f(y): Denition 20. Soient deux anneaux K et L. Tout homomorphisme bijectif de K dans L est appele isomorphisme de K dans L. Nous disons alors que les anneaux K et L sont isomorphes.

10 Introduction elementaire a la theorie des courbes elliptiques 9 A retenir. I Un groupe est un ensemble muni d'une loi de composition appelee multiplication qui permet de multiplier deux elements de l'ensemble. Si la loi de composition est commutative, alors elle est appelee addition. I Un anneau est un ensemble muni de deux lois de composition appelees multiplication et addition telles que la multiplication est distributive par rapport a l'addition et qui permettent de multiplier et d'additionner des elements de l'ensemble. I Un anneau K est domaine integral si pour x; y; z 2 K : (xy = xz et x 6= 0 ) y = z). I Un corps est un anneau dont tous les elements non nuls sont inversibles. I Une application f d'un groupe G dans un groupe H est un homomorphisme de groupes si 8x; y 2 G : f(xy) = f(x)f(y). I Une application f d'un anneau K dans un anneau L est homomorphisme d'anneaux si 8x; y 2 K : f(xy) = f(x)f(y) et f(x + y) = f(x) + f(y). I Un isomorphisme est un homomorphisme bijectif.

11 Partie II Corps nis Resume. Cette partie a pour but de montrer comment construire un corps a partir d'un domaine euclidien. Ensuite, il sera demontre que la cardinalite d'un corps ni est toujours une puissance d'un nombre premier. En particulier, ce theoreme permettra de representer les elements de Fp m comme des m-uples de F p. II.1 Corps et domaine euclidien Denition 21. Un domaine euclidien est un domaine integral D muni de la fonction g : D!N; a 7! g(a), telle que g(a) g(ab) si b 6= 0 ; 8a; b 6= 0 2 D; 9q; r 2 D : a = qb + r avec r = 0 ou g(r) < g(b). Exemple 10. L'ensemble des entierszavec g(n) = jnj forme un domaine euclidien. Exemple 11. L'anneau des polyn^omes a une variable a coecients dans K, i.e. D = K[x], avec g(f(x)) = degre(f) forme un domaine euclidien. Theoreme 22. Soit B = fb 1 ; b 2 ; : : : ; b n g un sous-ensemble ni d'un domaine euclidien D, alors B a un plus grand commun diviseur d qui peut ^etre exprime comme une combinaison lineaire des b i : d = nx i=1 i b i : P n Preuve. (i) Construisons l'ensemble S = f i=1 ib i j i 2 Dg. Soit d un element non nul de S pour lequel g(d) est minimal. Comme d 2 S, n d = i=1 ib i. Montrons que ce d ainsi deni est un diviseur commun de B ; cela revient a montrer que djb i pour i = 1; 2; : : : ; n. Nous savons, par la denition 21, que b i = dq i +r i pour i = 1; 2; : : : ; n avec r i = 0 ou g(r i ) < g(d). Or comme g(d) est minimal, cela implique que r i = 0, c.-a-d. djb i pour i = 1; 2; : : : ; n. (ii) Il reste a montrer que c'est le plus grand diviseur. Par l'absurde, supposons qu'il existe e un diviseur commun de B, i.e. 9qi 0 tels que b i = eqi 0 pour i = P n 1; 2; : : : ; n. Or d est une combinaison lineaire des b i, donc d = i=1 ib i = n e i=1 iqi, 0 ce qui signie que d est un multiple de e. ut

12 Introduction elementaire a la theorie des courbes elliptiques 11 Le theoreme precedent permet d'etendre le theoreme de Bezout aux domaines euclidiens. Corollaire 23 (Theoreme de Bezout etendu). Les elements a et b d'un domaine euclidien D sont premiers entre eux si et seulement 9u; v 2 D : au + bv = 1. Preuve. Trivial. ut Theoreme 24. Soit D un domaine euclidien. Si p 2 D est premier, alors K = D mod p est un corps. Preuve. Soit a un element non nul de D. Comme p est premier, par le corollaire 23, 9u; v 2 D : au + pv = 1 ; et donc au 1 (mod p). Tout element non nul de D mod p est par consequent inversible. ut Nous sommes maintenant en mesure de construire des corps. Exemple 12. Si nous prenons D =Z et un quelconque nombre premier p, nous obtenons un corps ni qui contient exactement p elements f0; 1; : : : ; p 1g. Notation. Le corps ainsi deni est habituellement notefp ou encore GF (p). y Exemple 13. Prenons D =R[x], l'ensemble des polyn^omes a une variable a coecients reels et p = x 2 +1, un polyn^ome irreductible dansr. Les elements de D mod p sont des polyn^omes du premier degre. Soient f(x) = ax + b et f 0 (x) = a 0 + b 0 x deux elements de D mod p. L'addition de f(x) et de f 0 (x) donne f(x) + f 0 (x) = (a + a 0 ) + (b + b 0 )x: La multiplication, quant a elle, donne f(x)f 0 (x) = aa 0 + (ab 0 + a 0 b)x + bb 0 x 2 = (aa 0 bb 0 ) + (ab 0 + a 0 b)x: Nous voyons que si nous remplacons x par i, nous retrouvons les operations denies sur les nombres complexes. Nous avons donc construitc, le corps des nombres complexes. y GF pour Galois Field.

13 Introduction elementaire a la theorie des courbes elliptiques 12 II.2 Cardinalite d'un corps ni Theoreme 25. Soit un corps ni F. Alors le nombre q d'elements de F est une puissance d'un nombre premier p, i.e. q = p m. Preuve. (i) Construisons la suite fu i g dans F comme suit : u0 = 0 u n = u n 1 + 1; pour n 1 : (II.1) Comme F est ni, tous les elements u n ne sont pas distincts. Soit u k = u k+c, la premiere repetition rencontree, c.-a-d. les elements u 0 ; u 1 ; : : : ; u k+c 1 sont tous distincts. Or, par (II.1), u k+c = u k +u c, et donc u c = 0. Il s'ensuit que le premier element repete est 0 et que les elements de la suite fu 0 ; u 1 ; : : : ; u c 1 g sont tous distincts. Montrons que c est premier. Remarquons d'abord que c 2 par denition d'un corps. Par l'absurde, supposons que c = ab, avec 1 < a; b < c. La relation (II.1) implique que u c = u ab = u a u b, ce qui est impossible car u c = 0, u a 6= 0 et u b 6= 0. Etant donne que c est premier, nous allons le noter p. (ii) Le sous-ensemble F p = fu 0 ; u 1 ; : : : ; u p 1 g de F est un sous-corps de F car il est isomorphe au corpsfp = f0; 1; : : : ; p 1g. En eet, il sut de prendre l'application f : F p!fp : u i 7! i. (iii) Construisons l'ensemble W 1 = fu 0! 1 ; u 1! 1 ; : : : ; u p 1! 1 g = fu i! 1 j u i 2 F p g a partir d'un element! 1 2 F nf p. Cet ensemble possede p elements. Si q = p, alors la these est demontree. Sinon, nous construisons l'ensemble W 2 = fu i! 1 +u j! 2 j u i ; u j 2 F p et u i 6= u j g a partir d'un element! 2 2 F nw 1. L'ensemble W 2 comporte p 2 elements. Si q = p 2, alors la these est demontree. Sinon, nous recommencons de m^eme jusqu'a la construction de l'ensemble W m = fu i! 1 + u j! 2 + : : : + u t! m j u i ; u j ; : : : ; u t 2 F p et u i 6= u j 6= 6= u t g a partir d'un element! m 2 F nw m 1. Cet ensemble comporte p m elements, ce qui termine la demonstration. ut Denition 26. Le nombre p deni dans le theoreme 25 est appele la caracteristique du corps F. Remarque. Notons que dans un corps de caracteristique p, il est interdit de diviser par p. En eet, pu n = u n +u n + +u n = u n+n++n = u pn = u p u n = 0. II.3 Le corps ni F q (avec q = p m et p premier) II.3.1 Representation Le theoreme 25 nous permet de voir le corpsfq comme un espace vectoriel sur Fp. En eet, il sut de prendre f! 1 ;! 2 ; : : : ;! m g comme base. Tout element

14 Introduction elementaire a la theorie des courbes elliptiques 13 u defq peut se mettre sous la forme unique u = a 1! 1 + a 2! a m! m ; (II.2) avec a i 2Fp (i = 1; 2; : : : ; m). Nous representerons donc les elements defq par des m-uples (a 1 ; a 2 ; : : : ; a m ). Voyons a present comment construire =Z le corpsfq. Prenons pour domaine euclidien l'ensemble des polyn^omes a une variable a coecients dans le corps nifp mod p, i.e. D =Fp[x], avec p premier. Considerons un polyn^ome f(x) de degre m, irreductible dansfp. Par le theoreme 24, nous savons que D mod f est un corps. Notons provisoirement ce corpsfq. Comme f(x) est de degre m, les elements defq sont des polyn^omes de la forme a m 1 x m 1 + a m 2 x m a 1 x + a 0 ; (II.3) avec a i 2Fp (i = 0; : : : ; m 1). Le corpsfq est donc ni, ce qui justie la notation. Nous retrouvons une representation equivalente a (II.2). Notation. Les elements defpm seront representes comme un cha^ne de chires en base p, c.-a-d. tout element u defp m sera note [u m 1 u m 2 : : : u 1 u 0 ]. Cette notation est appelee representation en base polynomiale. II.3.2 Addition et multiplication L'addition de deux elements defq se fait simplement comme suit : [a m 1 a m 2 : : : a 1 a 0 ] + [a 0 m 1 a 0 m 2 : : : a 0 1 a 0 0] = [a m 1 + a 0 m 1 a m 2 + a 0 m 2 : : : a 1 + a 0 1 a 0 + a 0 0]: An de bien comprendre comment se fait la multiplication, nous allons travailler sur un exemple. La procedure utilisee reste neanmoins la m^eme quel que soit le corpsfq envisage. Exemple 14. Soient p = 2 et f(x) = x 3 + x + 1. Ce polyn^ome est irreductible surf2 car f(0) = f(1) = 1, f(x) n'a donc pas de zeros dansf2 ; et une cubique qui n'a pas de zeros dans un corps est irreductible sur ce corps. Comme f(x) est de degre 3, les elements def2 3 sont de la forme a 2x 2 +a 1 x+a 0 avec a i 2F2 pour i = 1; 2; 3.

15 Introduction elementaire a la theorie des courbes elliptiques 14 Multiplions deux elements def2 3 : (a 2 x 2 + a 1 x + a 0 )(a 0 2x 2 + a 0 1x + a 0 0) = a 2 a 0 2x 4 + (a 2 a a 1 a 0 2)x 3 + (a 2 a a 1 a a 0 a 0 2)x 2 + (a 1 a a 0 a 0 1)x + a 0 a 0 0 = (a 2 a a 2 a a 1 a a 0 a 0 2)x 2 + (a 2 a a 2 a a 1 a a 1 a a 0 a 0 1)x + a 2 a a 1 a a 0 a 0 0 car x 3 x + 1 (mod x 3 + x + 1) et, par consequent, x 4 x 2 + x (mod x 3 + x + 1): Nous obtenons ainsi [a 2 a 1 a 0 ] [a 0 2 a 0 1 a 0 0] = [a 2 a a 2 a a 1 a a 0 a 0 2 a 2 a a 2 a a 1 a a 1 a a 0 a 0 1 a 2 a a 1 a a 0 a 0 0]: Par exemple, [110] [111] = [342] = [100]: Nous pouvons egalement calculer le produit de deux elements en construisant une table de \logarithmes". Calculons les puissances successives de x : x 0 = 1; x 1 = x; x 2 = x 2 ; x 3 = x + 1; x 4 = x 2 + x; x 5 = x 3 + x 2 = x 2 + x + 1; x 6 = x 3 + x 2 + x = x 2 + 1; x 7 = x 3 + x = 1: Par consequent, = [010] est un generateur du groupe multiplicatiff 2 du 3 corpsf23. Tout element non nul def23 est donc une puissance de. Si nous supposons que log = k signie k = ;

16 Introduction elementaire a la theorie des courbes elliptiques 15 alors nous construisons la table suivante : log k k [000] [000] [001] 0 0 [001] [010] 1 1 [010] [011] 3 2 [100] [100] 2 3 [011] [101] 6 4 [110] [110] 4 5 [111] [111] 5 6 [101] Pour calculer [110] [111], nous regardons dans la table les valeurs de log [110] = 4 et de log [111] = 5 ; donc [110] [111] = 4+5 = 7 2 = 2 = [100]. A retenir. I Un domaine euclidien est un domaine integral D muni d'une fonction de mesure g : D!N telle que 8a; b 2 D : g(a) g(ab) si b 6= 0, 9q; r 2 D : a = qb + r avec r = 0 ou g(r) < g(b). I Si D est un domaine euclidien et si p est premier dans D, alors D mod p est un corps. I La cardinalite d'un corps ni est une puissance d'un nombre premier, appele caracteristique du corps. I Le corpsfp m peut ^etre considere comme un espace vectoriel surfp ; tout element u defp m est note comme une cha^ne de chires en base p, i.e. u = [u m 1 u m 2 : : : u 1 u 0 ] avec u i 2Fp.

17 Partie III Plan projectif et courbes planes Resume. Cette partie denira de plusieurs facons le plan projectif sur un corps. Ensuite, l'intersection de droites et de courbes du plan projectif sera analysee pour aboutir au theoreme de Bezout. III.1 Le plan projectif P 2 Denition 27. Soit un corps K. Le plan projectif P2(K) est l'ensemble des points P = (a; b; c) 6= (0; 0; 0) 2 K 3 de sorte que deux points P = (a; b; c) et P 0 = (a 0 ; b 0 ; c 0 ) sont consideres comme etant des points equivalents s'il existe t 2 K tel que (a; b; c) = t(a 0 ; b 0 ; c 0 ). Les nombres a; b et c sont appeles les coordonnees homogenes du point P. Plus generalement, nous denissons le n-espace projectif Pn(K) comme l'ensemble des classes d'equivalence des (n + 1)-uples suivants : Pn(K) = f(a 0; a 1 ; : : : ; a n ) 2 K n+1 j a 0 ; a 1 ; : : : ; a n non tous nulsg ; ou (a 0 ; a 1 ; : : : ; a n ) (a 0 0; a 0 1; : : : ; a 0 n) s'il existe t 2 K tel que (a 0 ; a 1 ; : : : ; a n ) = t(a 0 0; a 0 1; : : : ; a 0 n): Denition 28. Soit un corps K. Le degre d'un terme d'un polyn^ome p de l'anneau K[X 1 ; : : : ; X n ] est la somme des exposants des variables X i apparaissant dans ce terme. Le degre du polyn^ome p est le plus grand degre de ses termes. Exemple 15. Le polyn^ome p(x; Y; Z) = 3X 3 Y + 4X 2 Y 2 Z Y Z 2 est un polyn^ome de degre 5. Denition 29. Soit un corps K. Un polyn^ome p 2 K[X 1 ; : : : ; X n ] est un polyn^ome homogene de degre d si chacun de ses termes est de degre d. De plus, p est dit irreductible s'il ne peut pas s'ecrire comme le produit non trivial de deux polyn^omes de K[X 1 ; : : : ; X n ]. Notation. Si p est un polyn^ome homogene de degre d deni sur un corps K et a n variables, alors nous ecrirons p 2 K[X 1 ; : : : ; X n ] d.

18 Introduction elementaire a la theorie des courbes elliptiques 17 Proposition 30. Soient un corps K et un polyn^ome non nul p(x 1 ; : : : ; X n ) a coecients dans K. Alors, p est est un polyn^ome homogene de degre d > 0 si et seulement si, pour une variable auxiliaire t, p(tx 1 ; : : : ; tx n ) = t d p(x 1 ; : : : ; X n ): (III.1) Preuve. La condition necessaire est evidente. Demontrons la condition susante. Ecrivons p comme une somme de polyn^omes homogenes non nuls de degre d i : p = p d1 + p d2 + + p dk ; d 1 < d 2 < < d k : La relation (III.1) implique que t d 1 p d1 + t d 2 p d2 + + t d k p dk = t d p = t d p d1 + t d p d2 + + t d p dk ; et donc, t d i = t d pour tout i. Par consequent, k = 1 car d 1 < d 2 < < d k, et p = p d1 = p d. ut Corollaire 31 (Formule d'euler). Si F 2 K[X 1 ; : : : ; X n ] d est un polyn^ome homogene de degre d deni sur un corps K, alors nx i=1 i = d F: Preuve. La proposition 30 donne F (tx 1 ; : : : ; tx n ) = t d F (X 1 ; : : : ; X n ). En derivant par rapport a t, il vient que nx i=1 i (tx 1 ; : : : ; tx n ) = dt d 1 F (X 1 ; : : : ; X n ): Si nous prenons t = 1 dans la relation precedente, nous obtenons la these. Remarque. La derivee d'un polyn^ome se denit de maniere purement algebrique. Si p(x) = P n k=0 a kx k est un polyn^ome de l'anneau K[X], alors nx k=0 a k X k! 0 = nx k=1 a k kx k 1 : Denition 32. Soit un corps K. Une courbe C dep2(k) est l'ensemble des points qui satisfait a p(x; Y; Z) = 0; ou p 2 K[X; Y; Z] d est un polyn^ome homogene de degre d 1. Si d = 1, alors C est appelee une droite ; si d = 2, une conique ; si d = 3, une cubique, etc... Le nombre d est appele le degre de la courbe. ut

19 Introduction elementaire a la theorie des courbes elliptiques 18 Le plan usuel (x; y) sur un corps K, encore appele plan ane et note A2(K), est l'ensemble des point (x; y) 2 K 2. Si nous introduisons les coordonnes X; Y; Z telles que x = X=Z et y = Y=Z, alors a tout point (x; y) de A2(K) correspond le point (X; Y; Z) dep2(k). Reciproquement, si Z 6= 0, alors a tout point (X; Y; Z) dep2(k) correspond le point (x; y) dea2(k). Voyons a present ce qui se passe quand Z = 0. Considerons, dansa2(k), deux droites paralleles L : ax+by+c = 0 et L 0 : a 0 x+b 0 y+c = 0 ou a 0 = ta et b 0 = tb. En coordonnees homogenes, c.-a-d. dansp2(k), ces droites s'ecrivent L : ax + by + cz = 0 et L 0 : a 0 X + b 0 Y + c 0 Z = 0. L'intersection de ces droites a lieu en un point pour lequel Z = 0. Un tel point est appele point a l'inni. Cela permet de donner une nouvelle denition dep2(k) : P2(K) =A2(K) [ fl'ensemble des directions dansa2(k)g: Nous voyons donc que l'introduction des coordonnees homogenes n'oblige plus a faire la distinction entre droites paralleles ou non : deux droites distinctes s'intersectent en un point unique comme le montre la proposition 34. Figure 1: Intersection de droites paralleles. Lemme 33 (Theoreme du rang). Soient V un espace vectoriel de dimension nie, W un espace vectoriel quelconque et T : V! W une application lineaire. Alors, dim Ker T + dim Im T = dim V: Preuve. Dans la suite, nous avons uniquement besoin du cas ou W est de dimension nie ; nous allons donc uniquement demontrer le lemme avec cette hypothese supplementaire. Soient fv 1 ; : : : ; v p g et fw 1 ; : : : ; w q g des bases respectives de Ker T et de Im T. (i) Par denition de Im T, 9y i 2 V tel que T (y i ) = w i. Montrons que les

20 Introduction elementaire a la theorie des courbes elliptiques 19 vecteurs y 1 ; : : : ; y q sont lineairement independants. Par l'absurde, si 1 y q y q = 0, alors T qx i=1 i y i! = qx i=1 i T (y i ) = qx i=1 i w i = T (0) = 0: Par consequent, w 1 ; : : : ; w q sont lineairement dependants et ne forment pas une base. (ii) Montrons que fv 1 ; : : : ; v p ; y 1 ; : : : ; y q g est une base de V. L'independance lineaire de v 1 ; : : : ; v p ; y 1 ; : : : ; y q se demontre de la m^eme facon que pour y 1 ; : : : ; y q. Il reste a demontrer le caractere generateur de v 1 ; : : : ; v p ; y 1 ; : : : ; y q, P P p i.e. 8x 2 V; 9 i ; i tels que x = q i=1 iv 1 + i=1 iy i. Or, etant donne que fw 1 ; : : : ; w q g est une base de Im T, qx qx qx T (x) = i=1 i w i = i=1 i T (y i ) = T i=1 i y i! P q et donc x i=1 iy i 2 Ker T et est une combinaison lineaire de v 1 ; : : : ; v p ; ce qui signie que x est une combinaison lineaire de v 1 ; : : : ; v p ; y 1 ; : : : ; y q. ut Proposition 34. Soient un corps K et deux droites distinctes L : ax + by + cz = 0 et L 0 : a 0 X + b 0 Y + c 0 Z = 0 dep2(k). Alors L et L 0 ont un unique point d'intersection. De plus, deux points distincts dep2(k) denissent une et une seule droite. Preuve. (i) Considerons l'application lineaire T :P2(K)!P2(K); X Y Z 1 A 7! a b c a 0 b 0 c 0 X Y Z alors, comme L et L 0 sont distinctes, le rang de la matrice des coecients vaut 2, et donc le noyau est de dimension (3 2) = 1. (ii) Soient P 1 = (a 1 ; b 1 ; c 1 ) et P 2 = (a 2 ; b 2 ; c 2 ) deux points distincts de L et l'application lineaire 0 T :P2(K)!P2(K);@ a b c ; 1 A ; A a1 b 7! 1 c a b a 2 b 2 c 2 A : c Comme P 1 et P 2 sont distincts, la matrice des coordonnees des points est de rang 2, et donc le noyau est de dimension 1. ut

21 Introduction elementaire a la theorie des courbes elliptiques 20 Revenons a la denition dep2(k). Toute droite dea2(k) est parallele a une droite passant par l'origine de la forme L : ax = by. Cependant, si (a 0 ; b 0 ) = (ta; tb), alors la droite L 0 : a 0 x = b 0 y est la m^eme droite que L. Par consequent, l'ensemble des directions dea2(k) est donne par les points (a; b) de la droite projectivep1(k). Nous avons alors P2(K) =A2(K) [P1(K): III.2 III.2.1 Intersections et theoreme de Bezout Intersection d'une droite et d'une courbe Etudions l'intersection d'une droite L et d'une courbe C de degre d dansp2 denies sur un corps K. Dans un premier temps, nous allons supposer que K est un corps de caracteristique nulle y ou de caracteristique p > d. Fixons les notations : C : F (X; Y; Z) = 0: Nous savons que deux points distincts denissent une droite. Soient P 1 = (a 1 ; b 1 ; c 1 ) et P 2 = (a 2 ; b 2 ; c 2 ) deux points distincts de la droite L, alors L peut se parametriser sous la forme L : 8 < : X = sa 1 + ta 2 Y = sb 1 + tb 2 : Z = sc 1 + tc 2 Les points d'intersection de la droite et de la courbe sont donc donnes par F (sa 1 + ta 2 ; sb 1 + tb 2 ; sc 1 + tc 2 ) = 0: (III.2) Le point d'intersection P 1 correspond a s = 1 et t = 0. Considerons cette fonction comme une fonction de t et notons-la f(t). Le developpement en serie de Mac-Laurin donne f(t) = f(0) + f 0 (0) 1! t + f 00 (o) t f (d) 2! d! td : Denition 35. Nous dirons que L intersecte C en P 1 avec un ordre m si f (m) (0) 6= 0 et si f (l) (0) = 0 pour l < m. Notation. Si P est un point d'intersection d'ordre m entre une droite L et une courbe C, alors nous notons I(P; L; C) = m. Par convention, si P =2 L \ C, alors I(P; L; C) = 0. y Cela signie que K est inni.

22 Introduction elementaire a la theorie des courbes elliptiques 21 Supposons que P 1 soit un point d'ordre m 2. Cela signie que f 0 (0) = 0 et donc, par (III.2), a P b 2 c 2 = 0: (III.3) P P 1 Denition 36. Un point P d'une courbe C : F (X; Y; Z) = 0 est dit singulier @Z P P sinon P est dit non singulier ou simple. De plus, la courbe C est appelee courbe non singuliere si tous ses points sont simples. Supposons que P 1 soit un point non singulier. La relation (III.3) implique que le point P 2 = (a 2 ; b 2 ; c 2 ) appartient a la P P Y Z = 0: (III.4) P P 1 Par le corollaire 31, le point P 1 = (a 1 ; b 1 ; c 1 ) appartient egalement a cette droite. La relation (III.4) denit la tangente a la courbe C au point (simple) P 1. Si K est un corps de caracteristique p d, alors la formule de Mac- Laurin n'est plus applicable. En gardant les m^emes notations que ci-dessus, nous pouvons ecrire f comme un polyn^ome en T, i.e. f(t) = k 0 + k 1 t + + k d t d : La seule dierence avec ce qui precede est que nous ne pouvons plus exprimer les coecients k i sous la forme f (i) (0). Nous dirons que le point P i! 1 est un point d'ordre m si k m 6= 0 et si k l = 0 pour l < m ; les autres denitions restant les m^emes. Lemme 37. Soient un point P, une droite L et deux courbes C 1 et C 2. Alors I(P; L; C 1 C 2 ) = I(P; L; C 1 ) + I(P; L; C 2 ): Preuve. Trivial. Lemme 38. Soient un point P, une droite L et deux courbes C 1 C 1 et C 2 ont le m^eme degre et si C 1 + C 2 6= 0, alors ut et C 2. Si I(P; L; C 1 + C 2 ) minfi(p; L; C 1 ); I(P; L; C 2 )g:

23 Introduction elementaire a la theorie des courbes elliptiques 22 Preuve. Trivial. ut Proposition 39. Si F (X; 1; 0) est un polyn^ome en X et si L : Z = 0 est la droite a l'inni, alors I((r; 1; 0); L; F ) est egal a la multiplicite de r comme racine de F (X; 1; 0). Preuve. Soit la transformation lineaire T :P2!P2; X Y Z 1 A 7! X 0 Y 0 Z A 1 r X Y Z 1 A ; qui envoie le point (r; 1; 0) en (0; 0; 1) et dont l'inverse est donnee par Notons T 1 :P2!P2; X Y Z 1 A 7! X 0 Y 0 Z A 1 0 r X Y Z f(x; Y ) = F (T 1 (X; Y; 1)) = F (X + r; 1; Y ); l(x; Y ) = L(T 1 (X; Y; 1)) = Y: Donc, l(x; Y ) est de la forme bx ay avec b = 0 et a = 1 que nous at t pouvons parametriser par (t) = = et bt 0 f((t)) = f( t; 0) = F ( t + r; 1; 0): I((r; 1; 0); L; F ) est alors donne par l'ordre de la racine de f((t)) en t = 0, soit encore par l'ordre de la racine de F ( t + r; 1; 0) en t = 0, ce qui est egal a la multiplicite de r comme racine de F (X; 1; 0). ut III.2.2 Theoreme de Bezout 1 A : Le theoreme de Bezout appara^t sous plusieurs formes en geometrie algebrique. Nous allons uniquement presenter une version faible de ce theoreme.

24 Introduction elementaire a la theorie des courbes elliptiques 23 Denition 40. Soit un corps K. Le resultant, note R(f; g), de deux polyn^omes f et g 2 K[X] est le determinant si R(f; g) = a n a n 1 : : : : : : a 1 a 0 0 : : : : : : 0 0 a n a n 1 : : : a 2 a 1 a 0 0 : : : b m b m 1 : : : : : : b 1 b 0 0 : : : : : : 0 0 b m b m 1 : : : b 2 b 1 b 0 0 : : : f(x) = nx i=0 a i X i et g(x) = mx i=0 9 >= >; 9 >= >; b i X i : m lignes n lignes Lemme 41. Soit un corps K. Deux polyn^omes f et g 2 K[X] ont un facteur non constant en commun si et seulement si il existe des polyn^omes non nuls et 2 K[X] de degre respectivement strictement inferieur a celui de f et a celui de g tels que f = g. Preuve. ()) Si f et g ont un facteur commun h, alors f = h, g = h et f = g. (() Si f = g, alors tout facteur irreductible de g divise soit, soit f. Or, comme le degre de est strictement inferieur a celui de g, au moins un des facteurs irreductibles de g divise f. ut Theoreme 42. Soit un corps K. Deux polyn^omes f et g 2 K[X] donnes par f(x) = nx i=0 a i X i et g(x) = mx i=0 b i X i ont un facteur non constant en commun si et seulement si R(f; g) = a n a n 1 : : : : : : a 1 a 0 0 : : : : : : 0 0 a n a n 1 : : : a 2 a 1 a 0 0 : : : b m b m 1 : : : : : : b 1 b 0 0 : : : : : : 0 0 b m b m 1 : : : b 2 b 1 b 0 0 : : : = 0: ;

25 Introduction elementaire a la theorie des courbes elliptiques 24 Preuve. ()) Par le lemme precedent, 9 et 2 K[X] tels que f = g ou (X) = Xn 1 i=0 i X i et (X) = m 1 X i=0 avec au moins un i 6= 0 et un i 6= 0. Il s'ensuit que i X i a 0 0 = b 0 0 ; a a 0 1 = b b 0 1 ; a a a 0 2 = b b b 0 2 ;.. a n m 1 = b m n 1 : Si nous considerons ce systeme comme un systeme homogene de m + n equations a m + n variables, nous avons une solution non triviale ( 0 ; : : : ; m 1 ; 0 ; : : : ; n 1 ): Le determinant du systeme est donc nul et par consequent R(f; g) = 0. (() Si R(f; g) = 0, alors il existe un i ou un i dierent de 0. Si i 6= 0, alors 6= 0, et f = g avec 6= 0 et donc 6= 0. ut Lemme 43. Soit un corps K. Si F et G 2 K[X; Y; Z] sont deux courbes de degre respectif n et m vues comme des polyn^omes en l'unique variable Z a coecients dans l'anneau K[X; Y ], alors le resultant de F et de G par rapport a Z, note R(X; Y ), est soit nul, soit un polyn^ome homogene de degre mn. Preuve. Soient F (X; Y; Z) = A 0 (X; Y )Z n + A 1 (X; Y )Z n A n (X; Y ); G(X; Y; Z) = B 0 (X; Y )Z m + B 1 (X; Y )Z m B m (X; Y ); ou A i (X; Y ) et B i (X; Y ) sont des polyn^omes homogenes de degre i. Alors, R(tX; ty ) = A 0 ta 1 : : : t n A n 0 : : : 0 0 A 0 ta 1 : : : t n A n A 0 ta 1 (X; Y ) : : : t n A n B 0 tb 1 : : : t m B m 0 : : : 0 0 B 0 tb 1 : : : t m B m B 0 tb 1 : : : t m B m :

26 Introduction elementaire a la theorie des courbes elliptiques 25 Si nous multiplions la i ieme ligne par t i 1 et la (m + j) ieme ligne par t j 1, nous obtenons t R(tX; ty ) = A 0 ta 1 : : : t n A n 0 : : : 0 0 ta 0 t 2 A 1 : : : t n+1 A n t m 1 A 0 t m A 1 (X; Y ) : : : t n+m 1 A n B 0 tb 1 : : : t m B m 0 : : : 0 0 tb 0 t 2 B 1 : : : t m+1 B m t n 1 B 0 t n B 1 : : : t m+n 1 B m = t R(X; Y ); ou la deuxieme egalite est obtenue en mettant t i en evidence dans la (i+1) ieme colonne. Nous avons donc = ( (m 1)) + ( (n 1)) = (m 1)m 2 + (n 1)n 2 et (m + n 1)(m + n) = (m + n 1) = : 2 Comme = mn, R(tX; ty ) = t mn R(X; Y ), et donc, par la proposition 30, R(X; Y ) est soit un polyn^ome de degre mn, soit un polyn^ome nul. ut Theoreme 44 (Theoreme faible de Bezout). Soit un corps inni K. Si F 2 K[X; Y; Z] m et G 2 K[X; Y; Z] n sont deux courbes ayant plus de mn points communs, alors F et G ont un facteur non constant en commun. Preuve. Les courbes F et G ont au moins mn+1 points en commun ; joignons chaque paire de points par une droite. Comme le nombre de droites est ni et que K est inni, il existe un point P qui n'appartient a aucune de ces droites, ni a F, ni a G. Choisissons un systeme de coordonnees homogenes tel que P = (0; 0; 1). Nous pouvons considerer F et G comme des polyn^omes en Z : F (X; Y; Z) = A 0 (X; Y )Z m + A 1 (X; Y )Z m A m (X; Y ); G(X; Y; Z) = B 0 (X; Y )Z n + B 1 (X; Y )Z n B n (X; Y ); ou A i (X; Y ) et B i (X; Y ) sont des polyn^omes homogenes de degre i. Par le lemme 43, le resultant de F et de G par rapport a Z, i.e. R(X; Y ), est soit un polyn^ome nul, soit un polyn^ome de degre mn. Notons (a; b; c) un des

27 Introduction elementaire a la theorie des courbes elliptiques 26 mn + 1 points d'intersection. Ce point appartient a F \ G, ce qui signi- e que F (a; b; Z) et G(a; b; Z) ont une racine commune c. Par consequent, R(a; b) = 0. Comme aucun des couples (a; b) correspondant aux mn + 1 points d'intersection ne sont proportionnels (car ils ne sont pas colineaires a P = (0; 0; 1)), R(X; Y ) ne peut pas ^etre de degre mn. Il vient donc que R(X; Y ) = 0 et, par le theoreme 42, F et G ont un facteur non constant en commun. ut Figure 2: Intersection d'une courbe de degre 4 et d'une courbe de degre 2. Corollaire 45. Soit un corps P inni K. Si C 2 K[X; Y:Z] d est une courbe et si L est une droite telle que P 2L I(P; L; C) > d, alors L divise C. Preuve. Par l'absurde, supposons que L ne divise pas C. Par le theoreme 44, nous savons P que C et L ont un nombre ni de P points communs et, par consequent, (I; L; C) est ni. Montrons que P 2L P 2L I(P; L; C) d. Par une transformation projective, nous pouvons supposer que L est la droite a l'inni Z = 0. En faisant eventuellement une translation sur la variable Y, nous pouvons egalement supposer que tous les points d'intersection ont une coordonnee en Y non nulle. Notons P i = (r i ; 1; 0) les points d'intersection de C(X; 1; 0) avec L : Z = 0. Comme K est inni, il existe (r; 1; 0) qui n'appartient pas a C \L et donc, C(X; 1; 0) est un polyn^ome non nul. Ce polyn^ome a donc au plus d racines P comptees avec leur mutiplicite. Par consequent, par la proposition 39, P 2L I(P; L; C) d, ce qui est contraire a l'hypothese. ut

28 Introduction elementaire a la theorie des courbes elliptiques 27 A retenir. I Soit un corps K. Le n-espace projectif Pn(K) est l'ensemble des classes d'equivalence des (n + 1)-uples P(K) = f(a 0; a 1 ; : : : ; a n ) j a 0 ; a 1 ; : : : ; a n non tous nulsg ; ou (a 0 ; a 1 ; : : : ; a n ) (a 0 0; a 0 1; : : : ; a 0 n) si (a 0 ; a 1 ; : : : ; a n ) = t(a 0 ; a 1 ; : : : ; a n ) avec t 2 Knf0g. Si n = 2, alorsp2(k) est le plan projectif. I Une courbe dep2(k) est un polyn^ome homogene de degre d 1 de l'anneau K[X; Y; Z]. Si d = 1, alors c'est une droite ; si d = 2, une conique ; si d = 3, une cubique. I Un point P d'une courbe C : F (X; Y; Z) = 0 est un point singulier @Z P P Une courbe dont tous les points sont non singuliers est une courbe non singuliere. I Une courbe est irreductible si elle ne peut pas s'ecrire comme le produit non trivial de deux polyn^omes. P

29 Partie IV Courbes elliptiques Resume. Cette partie est le coeur de ce rapport. Elle denira ce qu'est une courbe elliptique et le groupe topologique d'une telle courbe. Il sera egalement montre qu'une courbe elliptique peut s'ecrire sous une forme particuliere appelee \equations de Weierstrass". IV.1 Denition Denition 46. Une courbe elliptique est une paire (E; O), ou E est une cubique irreductible non singuliere et O 2 E. La courbe elliptique E est denie sur un corps K si E est une courbe sur K et si O 2 E(K). IV.2 Equations de Weierstrass Theoreme 47. Si E est une courbe elliptique denie sur un corps K, alors il existe une application : E(K)!P2 (K) qui fournit un isomorphisme de E(K) sur une courbe C(K) donnee par l'equation de Weierstrass C : F (X; Y; Z) = Y 2 Z +a 1 XY Z +a 3 Y Z 2 X 3 a 2 X 2 Z a 4 XZ 2 a 6 Z 3 = 0; ou a 1 ; : : : ; a 6 2 K ; et tel que (O) = (0; 1; 0). Preuve. Voir section IV.3. ut Pour alleger les notations, nous allons ecrire l'equation de Weierstrass en coordonnees non homogenes : x = X=Z et y = Y=Z, E : y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 ; (IV.1) plus le point a l'inni O = (0; 1; 0). Remarquons que O est le seul point a l'inni et qu'il n'est pas singulier car (@F=@Z)(0; 1; 0) = 1 6= 0. Nous denissons egalement les quantites suivantes : b 2 = a a 2 ; b 4 = 2a 4 + a 1 a 3 ; b 6 = a a 6 ; b 8 = a 2 1a 6 + 4a 2 a 6 a 1 a 3 a 4 + a 2 a 2 3 a 2 4; c 4 = b b 4 et c 6 = b b 2 b 4 216b 6 :

30 Introduction elementaire a la theorie des courbes elliptiques 29 Denition 48. Le discriminant de l'equation de Weierstrass est la quantite = b 2 2b 8 8b b b 2 b 4 b 6 ; (IV.2) et le j-invariant de la courbe elliptique E est la quantite j(e) = c3 4 : (IV.3) Corollaire 49. Soit un corps K de caracteristique p. Une courbe E denie sur K donnee par une equation de Weierstrass prend alors une forme simpliee, 1. si p 6= 2 et p 6= 3, 2. si p = 2 et si j(e) 6= 0, y 2 = x 3 + a 4 x + a 6 ; = 16(4a a 2 6); 4a 3 4 j(e) = 1728 ; (IV.4) 4a a 2 6 y 2 + xy = x 3 + a 2 x 2 + a 6 ; = a 6 ; j(e) = 1=a 6 ; (IV.5) si p = 2 et si j(e) = 0, y 2 + a 3 y = x 3 + a 4 x + a 6 ; = a 4 3; j(e) = 0; (IV.6) 3. si p = 3 et si j(e) 6= 0, y 2 = x 3 + a 2 x 2 + a 6 ; = a 3 2a 6 ; j(e) = a 3 2=a 6 ; (IV.7) si p = 3 et si j(e) = 0, y 2 = x 3 + a 4 x + a 6 ; = a 3 4; j(e) = 0: (IV.8) Preuve. (i) Si p 6= 2, nous pouvons remplacer y par (y 1(a 2 1x + a 3 )). Nous obtenons alors y 2 = x 3 + b 2 4 x2 + b 4 x + b 6. De surcro^t, si p 6= 3, alors nous 2 4 remplacons x par (x b 2 ) pour obtenir 12 y2 = x 3 c 4 x c (ii) L'invariant (en caracteristique 2) de l'equation generale de Weierstrass y 2 +a 1 xy+a 3 y = x 3 +a 2 x 2 +a 4 x+a 6 vaut j(e) = a 12 1 =. Si j(e) = 0, et donc si a 1 = 0, alors la substitution x (x+a 2 ) donne y 2 +a 3 y = x 3 +(a 2 2+a 4 )x+ (a a 4 a 2 + a 6 ) ; sinon, nous remplacons (x; y) par ((a 2 1x + a 3 a 1 ); a 3 1y + a2 1 a 4+a 2 3 ) pour avoir y 2 + xy = x 3 + a 1a 2 +a 3 a 3 1 x 2 + a4 1 a2 4 +a4 3 +a5 1 a 3a 4 +a 3 1 a3 3 +a4 1 a 2a 2 3 +a6 1 a 6. a 12 1 (iii) En (i), nous avons montre que si p 6= 2, alors y 2 = x 3 + a 2 x 2 + a 4 x + a 6. L'invariant de cette courbe (en caracteristique 3) vaut j(e) = a 2 2=. Si j(e) = 0, alors a 2 = 0 et nous avons l'expression demandee ; sinon il sut de remplacer x par (x + a 4 a 2 ) pour obtenir y 2 = x 3 + a 2 x 2 + 2a2 2 a2 4 +a3 2 a 6+a 3 4. ut a 3 2 a 3 1

31 Introduction elementaire a la theorie des courbes elliptiques 30 Lemme 50. Soit un corps K et une courbe E donnee par l'equation de Weierstrass : E : f(x; y) = y 2 + a 1 xy + a 3 y x 3 a 2 x 2 a 4 x a 6 = 0 dont le discriminant vaut et le j-invariant, j(e). Le changement de variables (x; y) (u 2 x + r; u 3 y + u 2 sx + t) avec r; s; t; u(6= 0) 2 K (IV.9) transforme l'equation precedente en E 0 : f 0 (x; y) = y 2 + a 0 1xy + a 0 3y x 3 a 0 2x 2 a 0 4x a 0 6 = 0; ou les coecients sont donnes par ua 0 1 = a 1 + 2s; u 2 a 0 2 = a 2 sa 1 + 3r s 2 ; u 3 a 0 3 = a 3 + ra 1 + 2t; u 4 a 0 4 = a 4 sa 3 + 2ra 2 (t + rs)a 1 + 3r 2 2st: De plus, u 12 0 = et j(e 0 ) = j(e). Preuve. Il sut de remplacer x et y par leurs nouvelles expressions pour obtenir les relations desirees. ut Il est a noter que toutes les transformations eectuees dans la demonstration du corollaire 49 sont de la forme (IV.9). Theoreme 51. Soit K un corps de caracteristique p. Deux courbes donnees par leur equation de Weierstrass dont le discriminant est non nul sont isomorphes si et seulement si elles sont le m^eme j-invariant. Preuve. ()) Par le lemme precedent. (() Pour simplier les calculs, nous allons supposer que p 6= 2; 3. Soient deux courbes E et E 0 ayant le m^eme j-invariant dont les equations de Weierstrass sont donnees par Comme j(e) = a 3 4 4a a2 6 E : y 2 = x 3 + a 4 x + a 6 ; E 0 : y 02 = x 3 + a 0 4x + a 0 6: et j(e 0 ) = a 0 4 4a a sont egaux, cela implique que a 2 6a = a 3 4a Cherchons des isomorphismes de la forme (x; y)

32 Introduction elementaire a la theorie des courbes elliptiques 31 (u 2 x; u 3 y). 1 o Si a 4 = 0, alors a 6 6= 0 (car 6= 0) et donc a 0 4 = 0. Nous obtenons un isomorphisme en prenant u = (a 6 =a 0 6) 1=6. 2 o Si a 6 = 0, alors a 4 6= 0 (car 6= 0) et donc a 0 6 = 0. Nous obtenons un isomorphisme en prenant u = (a 4 =a 0 4) 1=4. 3 o Si a 4 a 6 6= 0, alors a 0 4a 0 6 6= 0. Nous obtenons un isomorphisme en prenant u = (a 4 =a 0 4) 1=6 = (a 6 =a 0 6) 1=4. Si p = 2 ou 3, la demonstration se fait de la m^eme facon en prenant les equations de Weierstrass correspondantes. ut Theoreme 52. Soit E une courbe donnee par une equation de Weierstrass. Alors E est non singuliere si et seulement si 6= 0. Preuve. (() Soit l'equation generale de Weierstrass : E : f(x; y) = y 2 + a 1 xy + a 3 y x 3 a 2 x 2 a 4 x a 6 = 0: Montrons d'abord que le point a l'inni O = (0; 1; 0) n'est jamais singulier. Regardons E comme une courbe dep2 : F (X; Y; Z) = Y 2 Z + a 1 XY Z + a 3 Y Z 2 X 3 a 2 X 2 Z a 4 XZ 2 a 6 Z 3 = 0: Comme (@F=@Z)(O) = 1 6= 0, O n'est pas un point singulier de E. Par l'absurde, supposons que E soit singuliere en un point P 0 = (x 0 ; y 0 ). Par le changement de variables (x; y) (x x 0 ; y y 0 ), nous ramenons le point P 0 en (0; 0). Par le lemme 50, cette transformation ne modie pas le discriminant (car u = 1). Nous avons alors a 6 = f(0; 0) = 0, a 4 = (@f=@x)(0; 0) = 0 et a 3 = (@f=@y)(0; 0) = 0. La courbe E a donc pour equation : E : f(x; y) = y 2 + a 1 xy x 3 a 2 x 2 = 0: Le discriminant de cette equation est nul, ce qui contredit l'hypothese. ()) Pour simplier les calculs, nous allons supposer que p 6= 2; 3. Soit alors la courbe E donnee par l'equation de Weierstrass : E : y 2 = x 3 + a 4 x + a 6 : Si la courbe est singuliere en un point P 0 = (x 0 ; y 0 ), alors 2y 0 = 0 ) y 0 = 0; 3x a 4 = 0 ) x 2 0 = a 4 3 : Or P 0 = (x 0 ; y 0 ) est un point de la courbe, par consequent, y 2 0 = 0 = x a 4 x 0 + a 6 = 2a 3 4x 0 + a 6. Il s'ensuit que x 2 0 = 9a2 6 = a 4a 2 4 et donc = (4a a 2 6) = 0. Si p = 2 ou 3, la demonstration se fait de la m^eme facon en prenant les equations de Weierstrass correspondantes. ut

33 Introduction elementaire a la theorie des courbes elliptiques 32 Les theoremes 47, 51 et 52 permettent de donner une denition alternative d'une courbe elliptique. Denition 53. Une courbe elliptique est une courbe isomorphe a la courbe donnee par une des equations de Weierstrass (IV.4) a (IV.8) ou 6= 0 plus le point a l'inni O = (0; 1; 0). IV.3 Reduction d'une cubique Soit un corps K de caracteristique dierente de 2. L'equation projective d'une cubique irreductible non singuliere est donnee par f(u; V; W ) = 0 ou f(u; V; W ) = s 1 U 3 + s 2 U 2 V + s 3 UV 2 + s 4 V 3 + (s 5 U 2 + s 6 UV + s 7 V 2 )W + (s 8 U + s 9 V )W 2 + s 10 W 3 : (IV.10) L'equation (IV.10) peut egalement ^etre vue comme un polyn^ome de degre 3 en W : f(u; V; W ) = c 0 W 3 + c 1 (U; V )W 2 + c 2 (U; V )W + c 3 (U; V ): (IV.11) Soit P 0 = (u 0 ; v 0 ; w 0 ) un point de la courbe. La tangente en P 0 intersecte la courbe en un troisieme point unique P 1 = (u 1 ; v 1 ; w 1 ). Cette tangente a (u 0; v 0 ; w 0 (u 0; v 0 ; w 0 (u 0; v 0 ; w 0 )W = 0: (IV.12) Sans perdre de generalites, nous pouvons supposer que w 1 6= 0 (nous pouvons toujours nous ramener a cette situation en permutant eventuellement W avec U ou avec V ). Faisons le changement de variables (U; V; W ) (U u 1 ; V v 1 ; Z). Le point P 1 a maintenant pour coordonnees (0; 0; 1). Etant donne que ce point appartient a la tangente, la derivee partielle de f par rapport a W en P 0 est nulle. Comme la courbe est non singuliere, les derivees partielles par rapport a U et a V en P 0 ne peuvent pas s'annuler simultanement. Pour xer les idees, supposons que la derivee partielle par rapport a V en P 0 soit non nulle (si cette derniere est nulle, nous permutons les variables U et V ). Le point P 1 = (0; 0; 1) appartient aussi a la courbe et donc s 10 = 0. Apres changement de variables, les equations (IV.10), (IV.11) et (IV.12) deviennent : f(u; V; W ) = s 1 U 3 + s 2 U 2 V + s 3 UV 2 + s 4 V 3 + (s 5 U 2 + s 6 UV + s 7 V 2 )W + (s 8 U + s 9 V )W 2 ; (IV.13)