SKRYPT SYSTEMY KRYPTOGRAFICZNE

Transkrypt

1 SKRYPT SYSTEMY KRYPTOGRAFICZNE Wykonali: Jakub Paluch Tomasz Zalewski

2 Spis Treści:. Podstawowe pojęcia algebraiczne 4. Grupa 3. Pierścień 4.3 Ciało 5.4 Relacja podzielności w dziedzinie całkowitości 5.5 Relacja prostopadłości w DJR 8. Pierścienie Euklidesa i struktura ilorazowa 9. Pierścień Euklidesa 9. Grupa Jedności pierścienia.3 Struktury ilorazowe.4 Pierścień ilorazowy.5 Twierdzenie Chińskie 3 3. Pierścień funkcji wielomianowych na krzywej algebraicznej 4 3. Funkcje wielomianowe i wymierne na krzywej C 9 3. Pierścień lokalny 0 4. Krzywe eliptyczne afiniczne 0 4. Izomorfizm krzywych eliptycznych 3 4. Postacie normalne krzywych eliptycznych 4 5. Waluacje dyskretne 7 6. Krzywe eliptyczne rzutowe 3 6. Płaszczyzna rzutowa 3 6. Krzywe rzutowe Grupa dywizorów Grupa Picarda Zastosowania struktur dwuliniowych 4 7. Grupowe struktury dwuliniowe 4 7. System szyfrowanie ze wskazówką Podpis cyfrowy w strukturze dwuliniowej Podpis Schnorra w strukturze dwuliniowej System szyfrowania oparty na identyfikacji Problemy obliczeniowe w strukturze dwuliniowej Problem Diffe-Hellmana Redukcje MOV Problem jednokierunkowości Iloczyn Weila Grupa klas dywizorów krzywej eliptycznej Określenie iloczynu Weila Schematy hierarchiczne w grupie Diffe-Hellmana Ślepe podpisy cyfrowe w grupie GDH z luką 54

3 7.8 Podpis skumulowany Podpis pierścieniowy Metody uwierzytelniania Hasła Protokół wyzwanie odpowiedź Uwierzytelnianie w systemie z kluczem publicznym Protokół Lamporta Protokół Fiata-Shamira Kryptoanaliza systemy RSA Bezpieczeństwo semantyczne schematu szyfrowania 6. Polityka bezpieczeństwa w hierarchiach dostępu 64. Motywacje 64. Grafy skierowane 65.3 Q-aspekt 68.4 Dodawanie nowych wierzchołków dzielenie funkcji 68.5 Usuwanie wierzchołków i określenie k(v) 69.6 P-aspekt 70.7 Hierarchia potęgowa Diagram Hasse Faza generacji kluczy Faza obliczania kluczy Złożoność obliczeniowa 75. Systemy dowodzenia 75 3

4 . Podstawowe pojęcia algebraiczne Z zbiór liczb całkowitych Z * - zbiór liczb całkowitych dodatnich (bez zera) Z zbiór liczb całkowitych dodatnich z zerem * 0 Q zbiór liczb wymiernych. Grupa Jest to pewna struktura algebraiczna (zbiór z wyszczególnionym działaniem i elementem neutralnym) (G,*,e) (G,,) Gdzie: G zbiór * - działanie E element neutralny, zazwyczaj oznaczamy przez Aksjomaty, które spełnia Grupa: ) łączność, np. a*(b*c)(a*b)*c ) a* *a a 3) a G a' G ( a a' ) 4) Grupa jest abelowa (przemienna) jeśli a * b b * a dla każdego a i b G. Grupą multiplikatywną nazywamy grupę G z działaniem mnożenia ( ) i elementem neutralnym. Grupą addytywną nazywamy grupę G z działaniem (+) i elementem neutralnym 0. Przykłady: G(Z,+,0) G(Z \ {0},,). Pierścień P(P,+, ;0,) Klasy aksjomatów spełniane przez pierścień: ) P z działaniem + i elementem 0 to grupa abelowa (warunki -4) ) P z działaniem * i elementem spełnia warunki, i 4 3) Rozdzielność dodawania względem mnożenia 4

5 ( b + c) a, b, c P a a b + a c Strukturę spełniającą te trzy klasy warunków nazywana jest Pierścieniem przemiennym z jedynką. Neutralny element grupy multiplikatywnej nazywamy jedynką pierścienia. Neutralny element grupy addytywnej nazywamy zerem pierścienia. Przykład: (pierścień wielomianów naz Z): P(Z [x],+,*,0,).3 Ciało Jest to pierścień spełniający dodatkowy warunek: Dla każdego niezerowego elementu a z ciała K istnieje element a również należący do K, taki, że a * a tzn. każdy niezerowy element tego ciała posiada element odwrotny. Przykład: K (Q,+,*,0,) Def. Pierścień P nazywamy Dziedziną Całkowitości wtedy i tylko wtedy gdy zachodzi warunek a, b b 0 a 0 b 0 Pa (tzn. nie zawiera nietrywialnych dzielników zera)..4 Relacja podzielności ( ) w dziedzinie całkowitości. Własności relacji podzielności: ) zwrotność i przechodniość ) a b c a c b c a b a c b (a dzieli b) c P a b a c a b u + c v, 3) c v P 5

6 Def. 4) Jeśli a dzieli to element a jest odwracalny 5) Jeśli 0 dzieli a to ten element musi być równy 0 Elementy niezerowe a oraz b, należące do pierścienia P nazywamy stowarzyszonymi wtedy i tylko wtedy gdy a dzieli b oraz b dzieli a. Wniosek: Elementy są stowarzyszone wtedy i tylko wtedy gdy różnią się o element odwracalnym tzn. Dowód: u Pa u b a b b a c c Pa c b b c a a c c, a c c ) 0 ( ( c c ) 0 a Zatem c *c z czego wynika, że c oraz c są elementami odwracalnymi. Stowarzyszonym z 0 jest tylko 0, natomiast z wszystkie elementy odwracalne pierścienia P. Def. Element a należący do pierścienia P, który nie jest stowarzyszony ani z 0 ani z nazywamy nierozkładalnym wtedy i tylko wtedy gdy każdy dzielnik jest stowarzyszony z lub nim samym. Def. Element a należący do pierścienia P nazywamy pierwszym wtedy i tylko wtedy gdy: a, ba b c a b a c I element a nie jest stowarzyszony z 0 ani. 6

7 Wniosek: W dowolnej dziedzinie całkowitości P, każdy element pierwszy jest nierozkładalny. Dowód: Gdyby p P był rozkładem to p ab ab skąd ab a lub ab b i dalej b lub a co jest niemożliwe. Def. Dziedzinę całkowitości P nazywamy Dziedziną z Jednoznacznością Rozkładu (DJR) wtedy i tylko wtedy gdy: ) każdy element rozkładalny jest iloczynem pewnej liczby elementów pierwszych ) przedstawienie elementu rozkładalnego w postaci iloczynu elementów pierwszych jest jednoznaczne z dokładnością do porządku i stowarzyszenia. Przykład: (Z,+,,,0) 6 *3 3* 6 (-)*(-3) ale - jest stowarzyszone z. Tw. Jeśli P jest Dziedziną z Jednoznacznością Rozkładu to P[x] też jest Dziedziną z jednoznacznością Rozkładu. Wniosek: Każdy wielomian unormowany o współczynnikach całkowitych można przedstawić w postaci iloczynu unormowanych wielomianów nierozkładalnych nad Z. Def. Największym Wspólnym Dzielnikiem elementów a oraz b należących do pierścienia P jest taki element d należący do P że: ) d a d b ) c a c b c d c 7

8 Def. Najmniejszą Wspólną Wielokrotnością elementów a oraz b należących do pierścienia P jest taki element m należący do P że: ) a m b m ) a c b c m c c.5 Relacja prostopadłości ( ) w DJR Niech P dziedzina z jednoznacznością rozkładu, f,g P. Def. Powiemy, że f jest prostopadłe do g (f g) wtedy i tylko wtedy gdy NWD (f,g) Własność : h f * g h f h g Dowód: Implikacja jest oczywista. Dla dowodu załóżmy, że l h NWD(h, f * g) Wtedy h' ih' f g. Niech p będzie elementem pierwszym dzielących h. Wtedy p f lub p g i w konsekwencji p NWD(h,f) lub p NWD(h,g) przeczy założeniu i tym samym kończy dowód. Własność : H f * g h f h g Dowód: Niech α h p... α p r r będzie rozkładem h na iloczyn elementów pierwszych. α p i g, i Ponieważ h f więc i,..., r α p i α p g i i i w konsekwencji NWW Wprost z definicji wynikają następujące własności relacji podzielności i 8

9 prostopadłości: - relacja podzielności jest relacją zwrotną, antysymetryczną i przechodnią, oraz spełnia następujący warunek: Jeśli (a,b) R i a-k*b 0 to (a,a-k*b R) dla dowolnego k Z + - relacja prostopadłości spełnia warunki dualne tzn. jest anty zwrotna, symetryczna, nieprzechodnia oraz spełnia warunek: Jeśli a < b i (a,b) R to (a,b ± a) R Odwrotnie można powiedzieć, że powyższe warunki charakteryzują relacje podzielności ( ) i prostopadłości (jeśli R zawiera nietrywialną parę prostopadłą). Pierścienie Euklidesa i struktura ilorazowa. Pierścień Euklidesa Pierścieniem Euklidesowym nazywamy dziedzinie całkowitości R, w której zadane jest dzielenie z resztą (a przez b 0) oraz norma N:R N 0 spełniająca warunki: ) Dla każdego elementu a R i b R (b 0) istnieją elementy q, r R takie, że a bq + r, gdzie N(r) < N(b) i norma spełnia warunki poniższe: ) N(a)0 a 0 3) N(ab) N(a)N(b) q iloraz z dzielenia a przez b r- reszta z dzielenia a przez b Przykład: R Ζ (klasyczny algorytm dzielenia z resztą) Twierdzenie: W pierścieniu euklidesowym R zachodzi równoważność f g bg Dowód: a, b Paf + ) Wystarczy pokazać, że gdyby f g to nie zachodzi warunek af + bg 9

10 Zatem NWD(f,g)h, gdzie h nie jest elementem odwracalnym. Wtedy: f hf i g hg af + bg ahf + bhg h(af + bg ) Stąd h jest odwracalny a to przeczy założeniu. 3) NWD(f,g) f qg + r gdzie N(r) < N(g) g g r + r r g r + r 3 r k- q k r k + r k+ Skoro ciąg jest malejący to dojdzie do 0 i gdzieś się skończy ( r k 0, N(r k- )0 ) Czytając od dołu: r k r k- -q k- r k- r k- -q k- (r k-3 -q k-3 r k- ) r k- ( q k- q k- ) + r k-3 (-q k- ) NWD(r i,r i+ ) jest niezmiennicze NWD(f,g) NWD(r k,r k- ) NWD(r k,q k r k ) r k Co więcej r k α r k- + β r k- α r k-3 + β r k- α f + β g C.K.D. Przykład: R Z N(a) a f5,g a, b Z : 5 a b ( ) f + ( ) g Def. Ideałem pierścienia R nazywamy grupę addytywną (R,+,0) spełniającą warunek: Jeśli a I to ab I b R Lemat: W pierścieniu euklidesowym każdy ideał jest główny tzn. jest postaci: 0

11 I (f) { bf, b R } Dowód: Niech I 0 oraz g I będzie elementem o minimalnej normie. Pokażemy, że I (g). Niech f I. Wystarczy zauważyć, że fb*g dla pewnego b R, bo gdyby nie to f g*q + r Nr < Ng to by przeczyło założeniu minimalności normy g. C.K.D. Def. Idea I R nazywamy maksymalnym wtedy i tylko wtedy, gdy zachodzi implikacja J ( I J R J I lub J R Def. I R nazywamy głównym wtedy i tylko wtedy, gdy I (x), dla pewnego x R. Pierścień w którym ideał jest główny nazywamy pierścieniem ideałów głównych (PIG) Twierdzenie: W pierścieniu euklidesowym każdy ideał pierwszy jest maksymalny. Dowód: R i PIG zatem I (f) i f jest elementem pierwszym. Pokażemy, że (f) jest ideałem maksymalnym: Niech (f) J R i niech g J : J (g) zatem f gq dla pewnego q R Ponieważ f jest pierwszy, więc zachodzi implikacja: f gq f g lub f q f g (f) (g) (g) J (f) f q (f) (q) (g) R C.K.D.. Grupa Jedności pierścienia (elementów odwracalnych pierścienia R)

12 Uwaga Zbiór elementów odwracalnych pierścienia R ma strukturę grupy multiplikatywnej i jest oznaczany R *. nazywamy go grupą jedności pierścienia R..3 Struktury ilorazowe Def. Odwzorowanie ϕ : R R nazywamy homomorfizmem pierścieni R i R wtedy i tylko wtedy gdy ϕ zachowuje działanie tj. ϕ ( a * b) ϕ ( a) * ϕ ( b) a, b R ϕ ( a + b) ϕ ( a) + ϕ ( b) Jeśli ϕ jest wzajemnie jednoznaczne to ϕ nazywamy izomorfizmem pierścieni R i R. Jądrem homomorfizmu ϕ : R R nazywamy zbiór : ker ϕ {a R : ϕ (a) 0} Wniosek: Jądro homomorfizmu ϕ : R R jest ideałem pierścienia R..4 Pierścień ilorazowy Niech I będzie ideałem pierścienia R. Definiujemy relację (równoważności) ~ na zbiorze R x R. a ~ b a b I Na klasach abstrakcji [a][a] ~ mamy dobrze określone działania: [a] ~ +[b] ~ : [a+b] ~ [a] ~ *[b] ~ : [a*b] ~ Wtedy zbiór klas abstrakcji tako kreślonymi działaniami jest pierścieniem ilorazowym, który oznaczamy R/I Twierdzenie (o izomorfizmie): Niech ϕ : R R będzie homomorfizmem pierścieni takim, że ϕ ( R ) R.Wtedy pierścień ilorazowy R /ker ϕ jest izomorficzny z R Def.

13 Niech R,R dowolne pierścienie przemienne z. Na produkcie kartezjańskim R x R można zadać strukturę pierścienia w ten sposób, że działanie wykonujemy po współrzędnych ( a, b ) + ( a, b ) ( a + a, b + b ) ( a, b ) ( a, b ) Z elementem neutralnym (0,0) i jednością (,). Taki pierścień oznaczać będziemy R R. (R, +, ) pierścień ( a.5 Twierdzenie Chińskie a, b b ) Twierdzenie: Jeśli f g to R f g R f R g Dowód: Dla dowodu rozważymy homomorfizm pierścieni R R ϕ : R f g ϕ ( a(mod f g) : a(mod f ), a(mod g)) Pokażemy, że ten homomorfizm jest izomorfizmem, tzn. że jądro ker ϕ jest trywialne (ker ϕ 0). Mamy: ker ϕ { a(mod f g) : a(mod a(mod f g) : f g a 0 f ) 0 a(mod g) 0} { a(mod f g) : f a g a} Twierdzenie: Jeśli f g to (R fg) * (R f) * (R g) * Dowód: Dla dowodu rozważmy homomorfizm Φ * : R fg * Φ ( a (mod fg)) ( a(mod f ), a(mod g)) Ponieważ h fg h f i h g więc homomorfizm * Φ jest dobrze określony i R f R g 3

14 jest izomorfizmem. Fakt: R dziedzina całkowitości I element pierwszy Wtedy R/I jest ciałem Twierdzenie: R pierścień euklidesowy P element pierwszy (R p) * jest podgrupą grupy (R p a ) * Dowód: Ponieważ R p jest ciałem więc grupa jedności (R p) * jest generowana przez pewien element a (R p) *. Rozważamy homomorficzny naturalnie R R p i R R p a. Na mocy twierdzenia o izomorfizmie istnieje homomorfizm h:r p a R p I niech h* będzie jego obcięciem do odpowiednich grup jedności. Niech a będzie przeciwobrazem a przy działaniu h należącym do R p a. Wtedy rząd a jest wielokrotnością rzędu a. Zatem rząd a k* (R p) * w takim przypadku element ( a ) k generuje podgrup izomorficzną z grupą (R p)*. 3. Pierścień funkcji wielomianowych na krzywej algebraicznej Definicja: W tym rozdziale przypomnimy definicje dziedziny całkowitości; dziedziny z jednoznacznością rozkładu, a następnie zdefiniujemy pojęcia ciała ułamków pierścienia oraz pierścienia lokalnego. W drugiej części pokażemy przykłady związane z krzywymi algebraicznymi. R pierścień przemienny z jedynką R jest dziedziną całkowitości: wtt. gdy nie istnieją w nim właściwe dzielniki 4

15 zera. To znaczy, jeśli a b0 to a0 lub b0. Wniosek: Jeśli a ba c to a0 lub bc. Definicja: a b wtt. gdy a cb c R Wniosek: W dalszym ciągu R będziemy oznaczać grupę elementów odwracalnych (grupa jedności) pierścienia R; tzn. R {a R : a b } b R d R wtt. gdy a Definicja: Element a in R nazywamy pierwszym wtt. gdy zachodzi implikacja a b c a b luba c Definicja: Definicja: Element a R R 0 nazywamy nierozkładalnym wtt. gdy zachodzi implikacja ab c b R lubc R. Pierścień R nazywamy dziedziną z jednoznacznością rozkładu (DJR) wtt. każdy element a R R {0} można przedstawić jednoznacznie z dokładnością do porządku i odwracalności w postaci iloczynu elementów nierozkładalnych. Twierdzenie : Jeśli R dziedzina całkowitości to każdy element pierwszy jest nierozkładalny. Jeśli co więcej R jest DJR to zachodzi również odwrotna 5

16 implikacja, tzn. każdy element nierozkładalny jest pierwszy. Przykład: Pierścień wielomianów K[X, Y] nad ciałem K jest DJR Twierdzenie : Niech R pierścień (przemienny z jedynka), wtedy zachodzi implikacja: Jeśli a pierwszy to pierścień ilorazowy R/(a) jest ciałem. Jeśli a nierozkładalny to pierścień ilorazowy R/(a) jest D.C. Niech R D.C. Definiujemy relację (równoważności) r, s, r, s R r, s ~ r, s r s s r 0 Klasy abstrakcji tej relacji nazywamy ułamkami w R i oznaczamy: r s ; r s r s r s r r s s odpowiednio. Zbiór ułamków z działaniami Definicja: r s r s r s s r s r ma strukturę ciała. Nazywamy go ciałem ułamków pierścienia R. Ideał I pierścienia nazywamy maksymalnym wtt. gdy zachodzi implikacja I J R J I lub JR Pierścień R nazywamy lokalnym wtt. gdy posiada dokładnie jeden ideał maksymalny. Twierdzenie 3: Następujące warunki są równoważne:. R jest pierścieniem lokalnym. 6

17 Dowód Tw 3: Definicja Lemat:. Zbiór wszystkich elementów nieodwracalnych jest ideałem pierścienia R. tzn. że z () wynika () Niech S zbiór wszystkich elementów nieodwracalnych R. Wiemy, że S jest ideałem. Pokażemy, że S jest jedynym ideałem maksymalnym pierścienia R. W tym celu wystarczy zauważyć, że ideał generowany przez S i dowolny element a S jest całym pierścieniem R a to wynika stąd, że taki element a musi być odwracalny w R. tzn. że z () wynika () Niech I ideał maksymalny pierścienia R. Wystarczy pokazać, że suma elementów nieodwracalnych w R jest elementem nieodwracalnym w R. W tym celu rozważmy dwa ideały: a R, b R. Na mocy założenia a I, b I gdzie I jest jedynym ideałem maksymalnym pierścienia R. Ponieważ I jest grupą addytywna to a b I, zatem a b jest elementem nieodwracalnym w R. CKD K nazywamy ciałem algebraicznie domkniętym wtt. gdy każdy wielomian o współczynnikach w tym ciele posiada w nim także pierwiastki. Jeśli K - ciało algebraiczne domknięte to K Dowód: Wystarczy rozważyć wielomiany x p gdzie p przebiega liczby pierwsze i zauważyć, że jeśli x p oraz x p to x NWD p, p x. Definicja: A K przestrzeń afiniczna dwuwymiarowa A K K K Niech C krzywa algebraiczna płaska, tj. zbiór rozwiązań równania C X,Y 0 gdzie C K [X, Y ] 7

18 tzn. C{ x, y A K :C x, y 0 } Przykład: KR DY X 3 X EY X 3 X D E Wniosek : Jeśli K ciało algebraicznie domknięte, to krzywa algebraiczna płaska C K [ X, Y ] zawiera nieskończenie wiele punktów. Dowód: Definicja: x K C X, Y 0 ma rozwiązanie Y y na mocy algebraicznej domkniętości K. { x, y :C x, y 0 } na mocy wniosku. x K C A K, P x, y punkt leżący na krzywej C, P C powiemy, P jest punktem osobliwym wtt gdy że C x P C Y P 0 Krzywa C jest osobliwa wtt gdy posiada co najmniej jeden punkt osobliwy. Przykład: 8

19 Definicja: Wniosek: Uwaga: Definicja: Wniosek: D x 0, 0 3x x 0 D 0, 0 y0 y E x 0, 0 3x E 0, 0 y0 y Zatem punkt P (0, 0) jest punktem osobliwym krzywej D ale nie jest punktem osobliwym krzywej E. 3. Funkcje wielomianowe i wymierne na krzywej C Pierścieniem współrzędnych krzywej C nazywamy pierścień ilorazowy K[C] K[X, Y] / (C), w dalszym ciągu będziemy zakładać, że C[X, Y] jest wielomianem nierozkładalnym nad ciałem K. Na mocy twierdzeń i mamy, że: K[C] jest dziedziną całkowitości Elementy pierścienia współrzędnych K[C] są klasami abstrakcji relacji równoważności określonej następująco: [f] f + (C), gdzie (C) oznacza ideał generowany przez wielomian C(X, Y) Ciałem funkcji wymiernych na krzywej C nazywamy ciało ułamków pierścienia K[C], i oznaczamy je przez K(C). Elementy ciała funkcji wymiernych są postaci r f g gdzie f, g K [C ] 9

20 3. Pierścień lokalny Niech P C krzywa eliptyczna płaska K(C) - ciało funkcji wymiernych Definicja: r K C jest regularna w punkcie P jeśli istnieje reprezentacja : r f g, f, g k [C ] oraz g P 0 Definicja: Pierścień funkcji wymiernych regularnych w punkcie P nazywamy pierścieniem lokalnym krzywej C i oznaczamy O P C 4. Krzywe eliptyczne afiniczne Definicja Równaniem Weierstrassa nad ciałem K nazywamy równanie: E :Y a XY a 3 Y X 3 a X a 4 X a 6 gdzie a K,i, 6 Równanie to nazywamy osobliwym wtt. gdy układ E X E do E Definicja Uwaga Y 0 nie ma rozwiązań dla żadnego P (x, y) należącego Krzywą E zadaną przez powyższe równanie Weierstrassa, która jest nieosobliwą nazywamy krzywą eliptyczną afiniczna W dalszym ciągu będziemy identyfikować krzywą E z jej równaniem 0

21 Weiestrassa a także wielomianem E X, Y K [ X,Y ] E X, Y Y a XY a 3 Y X 3 a X a 4 X a 6 Definicja Stopniem funkcji wymiernej r f g r K X, nazywamy liczbę st r st f st g Zachodzą równości: st rs st r st s st st r r st r s min st r,st s Równość zachodzi wtt. gdy st r st s Twierdzenie Dowód Niech R dziedzina z jednoznacznością rozkładu, L ciało ułamków pierścienia R i niech a R[Y ] będzie elementem nierozkładalnym w R[Y]. Wtedy a R lub a jest nierozkładalny w L [Y ]. Załóżmy nie wprost, że a in R[Y] niestały i że a ma rozkład w L[Y]. Wtedy a f g f g gdzie f i, g i R[Y ] Gdyby istotnie p-element pierwszy dzielił g g, wtedy p f f p f lub p f a to niemożliwe bo f f g g zatem g g jest elementem odwracalnym w R[Y ] i wtedy a f f gdzie f, f R [Y ] co przeczy nierozkładalności a w R[Y ]. Twierdzenie Dowód Wielomian E X, Y występujący w równaniu Weierstrassa jest nierozkładalny w K [ X, Y ]. Niech R K [ X ] dziedzina z jednoznacznością rozkładu. Gdyby E był rozkładalny w K [ X, Y ] to także nie mamy powyższego twierdzenia w K x [Y ]L [K ] wtedy E Y r Y s gdzie

22 r, s K x Porównując współczynniki dostajemy: r sa X a 3 rs X 3 a X a 4 a 6 st r s st r s max str, sts 3 - sprzeczność Uwaga Dla dowolnego f K [ E ]oraz x, y P E definiujemy wartość f P f X,Y x, y f x, y która nie zależy od wyboru reprezentacji wielomianu f gdyż biorąc g f ce otrzymujemy g P f P ce P f P c 0 f P Ciało K(E) jest rozszerzeniem stopnia dwa ciała K(X). Automorfizm ciała K(E) na K(X) jest zadany przez odwzorowanie: :Y Y Y a X a 3 Dla dowolnego f K E definiujemy: f X, Y f X, Y gdzie Y jak wyżej Podobnie jeśli P x, y E to P x, y tez należy do E gdzie y y a X a 3 Wynika to z podstawienia y y w równaniu Weiestrassa Y a X Y a 3 Y Y a X a 3 Y a X a 3 Y Y Y a X a 3 Definiujemy funkcję normy i śladu: N : K E K X Tr : K E K X N f : f f f Tr f : f f Norma jest pożytecznym narzędziem przy redukcji wielomianów dwu zmiennych do jednej zmiennej. W szczególności pozwala udowodnić, że: Stwierdzenie K[E] jest pierścieniem funkcji wielomianowych na E tzn. zachodzi równoważność P E f P 0 wtt. gdy f 0 w K [ E ]

23 Przykład Wniosek Wniosek 4. Izomorfizm krzywych eliptycznych Krzywa E i E' zadane równaniami Weierstrassa E :Y a XY a 3 Y X 3 a X a 4 X a 6 E ' :Y a ' XY a ' 3 Y X 3 a ' X a ' 4 X a ' 6 nazywamy izomorficznymi wtt. gdy istnieje zamiana zmiennych : x y u gdzie u 0, 0 u s u 3 x y r t r, s, t dowolne elementy ciała K Przekształcenie nazywamy dopuszczalną zamianą zmiennych lub izomorfizmem. : X, Y X, Y X, Y a X a 3 Relacje izomorfizmu są relacją równoważności Przekształcenie odwrotne do zadane jest wzorem : x y u 0 3 x u s u y u r u 3 t rs Ściślej mówiąc przekształcenie zamienia układ współrzednych (X, Y) w którym zadana jest krzywa E E(X, Y) na układ (X', Y') w którym krzywa E ma postać E' tj. X Y X ' Y ' i macierz jest dana powyżej. Zatem E 'E i E ' P ' E P, gdzie P ' P E ' i jest równe. Naturalnym rozszerzeniem jest: : K E K E ' f f 3

24 Wniosek Izomorfizm krzywych E i E' jest jedynym w klasie transformacji afinicznych postaci: X Y X Y r t 4. Postacie normalnie krzywych eliptycznych Przykład Wtedy: Uwaga p razy Niech K - dowolne ciało. Jeśli istnieje p>0 takie że + +,, + 0 to ciało ma charakterystykę dodatnią. Najmniejsza taka liczba p jest nazywana charakterystyką ciała i oznaczana przez char(k). W przeciwnym przypadku ciało K ma charakterystykę zero i piszemy char(k)0 char( Z ), char( Z3 ) 3 Niech ψ - dopuszczalna zamiana zmiennych : ( X ', Y ') ( X, Y ) ψ. ψ : K ( E ) K ( E' ) takie, że ψ ( f ) f ψ (złożenie zadaje izomorfizm odpowiednich ciał) Wtedy odbicie ( ψ do pierścienia lokalnego) O P ( E ) indukuje odpowiednie przekształcenie ψ ~ OP ( E ) : OP ( E ) OP' ( E' ) Operacje sprzężenia - zadaje izomorfizm krzywej E w krzywą E E (automorfizm krzywej E), gdyż τ : E E P E P' E, a macierz τ wygląda następująco: τ X : Y X Y a X a3 a 0 Y 0 + Y a3 Automorfizm τ jest stały na ciele funkcji wymiernych K ( X ), Ponieważ ψ K ( E' ) K ( E ) wiec ψ τ ψ : K ( E' ) K ( E' ) jest to automorfizm stałym na K ( X ). Zatem ψ τ ψ musi być sprzężeniem na ciele K ( E' ) oznaczanym symbolem τ '. 4

25 Wniosek Izomorfizm ψ komutuje a automorfizmem sprzężenia tzn. τ ψ ψ τ ' Wniosek Wniosek 3 Dla dowolnej funkcji wymiernej zachodzi równość r K ( E ) ψ r ψ τ r τ ψ r ψ r ψ r ( ) ( ) ( ) ( ) ( ) ( ) ( ) ψ komutuje z operatorami normy N i ślady Tr tzn. ψ N ψ ψ Tr Tr ψ Dowód Dla normy: ( ψ ( f ) ) ( f ψ )( f ψ ) N N, ( f ) ψ ( Nf ) ψ ( ff ) ff ( ψ ) ( f ψ )( f ψ ) ( f ψ )( f ψ ) ψ N Dla śladu: Tr ψ ( f ) Tr ( ψ f ) Tr( f ψ ) ( f ψ ) + ( f ψ ) ( f ) ψ ( Trf ) ψ ( f + f ) ( f + f ) ψ f ψ + f ψ ( f ψ ) + ( f ψ ) ψ Tr Ostatnie przekształcenie zachodzi na mocy wniosku. Postacie normalne Dopuszczalna zamiana zmiennych ψ przeprowadza krzywą E na krzywą E E : Y E': Y gdzie : + a XY + + a' a Y X 3 XY + a' Y a, a' K, i,,6 3 3 X + 3 a X + a' + X a 4 X + + a' 4 a 6 X + i i są powiązane równościami a 6 5

26 ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) j j u c u c r b r b r rb b u b r b r rb b u b r rb b u b r b u b t r ta rta ra a r a u a st r sa a t rs ra a u a s r sa a u a t ra a u a s a u a ' ' ' ' 4 ' 6 ' ' ' 3 ' 3 ' ' ' Wniosek Krzywe izomorficzne mają ten sam j - niezmiennik. Ponieważ 0 u więc krzywe izomorficzne mają jednocześnie wyróżnik niezerowy lub zerowy. Klasyfikacja postaci normalnej wyróżnia dwa przypadki: Przypadek Podstawiając ( ) ( ) + 3,, a X a Y X Y X przeprowadzamy krzywą E na ' ' ' : ' a X a X a X Y E Dalej jeśli dodatkowo ( ) 3 K char to podstawiając ( ) Y a X Y X, ' 3, przeprowadzamy krzywą E na ' ' ' ' ': ' a X a X Y E + + Jeżeli ( ) 3 K char to ) Jeżeli 6 ' '. 0 ' a j tj a to E ma żądaną postać : ' ' ' ' a X a X Y + + ) W przeciwnym przypadku podstawienie ( ) + Y a a X Y X, ' ', 4 przeprowadza krzywą E na 6 3 ' ' ' ' ': ' a X a X Y E + + Przypadek ( char(k) ). Jeżeli 0, '. 0 a j tj a to podstawienie ( ) ( ) Y a X Y X,, + 6

27 przeprowadza E na postać : E ': Y + a' 3 Y X + a' 4 X + a' 6 a a a + a ) Jeżeli a 0 to podstawienie ( ) X, Y a + + X, Y 3 a a 3 przeprowadza krzywą E na E ': Y + XY X + a' X + a' 6 5.Waluacje dyskretne Kryterium nieosobliwości krzywej afinicznej C K [ X, Y ] Twierdzenie 0 Krzywa zadana równaniem Weierstrassa jest osobliwa tedy i tylko wtedy gdy Dowód Izomorfizm ϕ (dopuszczalna zmiana zmiennych zachowuje niezerowość wyróżnika ), więc wystarczy rozważać postać normalną krzywej. Załóżmy, że char ( K ) i char( K ) 3, wtedy: E + 3 ( 4a 7 ) 3 : Y X + a4 X + a0, 6 4 a6 Z drugiej strony na mocy wzorów CARDANO mamy, że wielomian 3 X + a4 X + a6 ma pierwiastki wielokrotne wtedy i tylko wtedy, gdy : 3 a 6 a4 + 0 tj. gdy 3 0 Zatem istnieje równanie układu δ E Y 0 δ Y δ E δ ( x x ) ( x x )( ) [ ( x x )( x x ) + ( x x ) ] δ X δ X Zatem punkt ( x,0 ) jest punktem osobliwym krzywej E. Odwrotnie jeśli punkt p jest punktem osobliwym krzywej E to 0. Niech: R- dowolny (przemienny z ) R* - oznacza grupą jedności pierścienia R 7

28 Definicja Wniosek Dowód Waluacje dyskretną pierścienia R nazywany funkcję addytywną ν : R ( 0, ] spełniającą następujący warunek trójkąta tzn. v a b min v a v b a, b R Waluacje ν spełnia następujące warunki: a) ν ( 0) b) a R * v a 0 )Z addytywności: Gdyby ν ( 0) < to ν ( 0 ) ν ( 0 a) ν ( a) ν ( 0) 0 ν ( a) dla dowolnego a R jest niemożliwe. Zatem ν ( 0) cbdo. )Mamy ν ( a ) 0 ( a ) ν ( a) + ν ( ) ν ( ) 0. Dalej jeżeli a R oraz istnieje b R takie, że ab, to wtedy 0 ν ( ) ν ( a b) ν ( a) + ν ( b) ν ( a) ν ( b) 0 cbdo.,co Definicja Jeżeli w pierścieniu istnieje element nieodwracalny n R \ { R * { 0} } taki że d dowolny s R \ { 0} można przedstawić w postaci s n t, d N0, t R *, to n nazywamy parametrem lokalnym. Wniosek Wartość d jest określona jednoznacznie. Dowód d d t dd dd s n t n wtedy u tt u tt co jest niemożliwe, gdyż lewa strona równania jest elementem nieodwracalnym w R a prawa strona równania jest elementem odwracalnym. Otrzymana sprzeczność dowodzi że d d. 8

29 Uwaga Definicja W pierścieniu lokalnym O p ( E ) dowolna prosta afiniczna, która nie jest styczna do krzywej E w punkcie P jest parametrem lokalnym. Punkt P E, P x, y jest punktem rzędu wtedy i tylko wtedy, gdy P P (sprzężone) tj. y y y ax a 3. Twierdzenie Każdy element gdzie n m P E. Gdzie: d r można przedstawić w postaci s n t, d N 0, t R * OP, m P E - ideał maksymalny pierścienia lokalnego O P ( E ) Jeśli f P 0 to f jest jednością pierścienia i () zachodzi dla d 0. Załóżmy więc, że f nie jest jednością tj. f(p) 0 Pokażemy,że u X x jest parametrem lokalnym w pierś O P E cieniu Każdy f K [ E ] można przedstawić w postaci: 0 f u x Y W x f K [ X,Y ] Niech f X x d X Y w X x d f g gdzie X x d jest maksymalną potęga dzielącą zarówno u x jak i w x Ponieważ f 0, więc v lub w 0. Jeśli f P 0 to f jedność to () zachodzi dla d d Jeśli f P 0 to f jedność oraz mamy: f N f f gdzie N f K [ X ] Zatem niech N f X x d f gdzie f jedność, wtedy () zachodzi dla d d d Pozostały przypadek to f P f P 0 (*) Pokażemy, że tak się nie może zdarzyć, w tym celu rozważmy układ równań postaci: 9

30 Wniosek Y Y P v w 0 0 który ma rozwiązanie niezerowe v, w na mocy (*) Ale wyznacznik macierzy wynosi Y P Y P 0 (gdyż P nie jest punktem rzędu ) co przeczy założeniu, że powyższy układ ma rozwiązanie niezerowe i tym samym kończy dowód twierdzenia. Dla dowolnego P E i f K [ E ] wartość d d f o której mowa w twierdzeniu, nazywamy rzędem funkcji f w punkcie P. Oznaczamy ord p f. Pojęcie rzędu rozszerzamy na dowolną funkcję wymierną r f g jak poniżej: ord p 0 f ord p g ord p f ord p g W dalszym ciągu będziemy rozważać rozszerzenie pojęcia waluacji dyskretnej : R (, ] spełniające warunek addytywności i trójkąta. Stwierdzenie Dowód Dla dowolnego P E ord P : K E Z { } jest waluacja dyskretną. Warunek addytywności jest rzeczywisty. Załóżmy teraz, że: s f f ud t u d t s' f ' f ' ud ' t ' u d ' t ' Wtedy: s s'u d d t t u d ' d ' t ' t ' u 6 t u d d t ' gdzie min d d, d ' d ' i d d d ' d ', t i t ' są jednościami. Zatem ord p s s' min ord p s, ord p s' C.N.D. 30

31 6. Krzywe eliptyczne rzutowe 6. Płaszczyzna rzutowa Niech k-ciało algebraiczne domknięte W zbiorze K 3 \{0} określającą relację równoważności, zadaje jak następuje x, y, z x, y, z wtt. exist K * x, y, z x, y, z Zbiór klas abstrakcji: K 3 oznaczamy P K \{0} nazywamy płaszczyzny rzutowe i Przykład Przestrzeń rzutowa P R można identyfikować dowolnym punktem na prostej y lub prostej y0 W zbiorze P K możemy wyodrębnić podzbiór "punktów skończonych" płaszczyzny rzutowej odpowiadająca cyklicznym kierunkom równoległych do płaszczyzny z0 Odwrotnie jeśli Q x, y, z P K to jego "odjednorodnienie" definiujemy. W ten sposób każdemu punktowi afinicznemu można przyporządkować jego ujednorodnienie Q P K a każdemu punktowi Q P K jego odjednorodnienie Q A K. Operację (*) nazywamy ujednorodnieniem i odjednorodnieniem odpowiednio. Niech : : A K P K Q Q : P K A K Q Q Wtedy mamy: Id A K Id U Gdzie U P K jest zbiorem punktów skończonych płaszczyzny rzutowej 3

32 Lemat P K (ze względu na ustalona współrzędną) Ujednorodnienie i odjednorodnienie wielomianów Operacje "*" p rzutuje się w sposób naturalny na wielomiany f K [ X,Y ] : K [ X, Y ] K [ X,Y, Z ] nom : f F F X,Y, Z f X Z, Y Z Z st f gdzie K [ X Y Z ] nom jest zbiorem wielomianów jednorodnch tzn spełniających warunek F X, Y, Z st F F X, Y,Z Podobnie definiujemy : : K [ X,Y, Z ] hom K [ X, Y ] F f f X,Y F X, Y, Z mamy równość: Id Id na odpowiednich dziedzinach zachodzi następująco: Mamy dla ) fg * f * g * ) FG *F *G * 3) f * * f 4) Jeśli Z *F to F * *F f K [X, Y ], F K [ X, Y, Z ] hom 6. Krzywe rzutowe Niech C -krzywa algebraiczna płaska. Zatem C [ X,Y ] jest wielomianem nieoznakowanym K [ X,Y ]. Krzywe rzutowe C definiujemy jako krzywe zadane przez ujednorodnienie C * [X, Y, Z ] wielomianami C [ X,Y ]. Zauważmy, że C * [X, Y, Z ] jest rozkładem wtedy i tylko wtedy gdy C [ X,Y ] Pierścień ilorazowy K [ X, Y, Z ]/C nazywamy pierścieniem współrzędnych dla krzywej rzutowanej C oznaczamy go K [C ]. 3

33 Aby funkcja wymierna r F G była dobrze określona na P K F i G muszą być wielomianami tego samego stopnia st(f)st(g). Zatem K C * r F G ;G, F K [Z, Y, Z ] hom/c *, st Fst G. Lokalizując K C * w punkcie P * C * otrzymujemy pierścień lokalny O P * C *, dokładniej O P * C * { r F G K C * ;G P 0 }. Analogicznie mamy : K C * K C aby r było dobrze zdefiniowane położymy F G F * G* F X, Y, Z G X,Y, Z st r FI F Z F F X G Z st Fst G Z, Y Z Z st G G X Z, Y Z F X Z, Y Z G X Z, Y Z,wtedy r x, y, z Wiosek F X Z, Y Z G X Z, Y Z F X Z, Y Z G X Z, Y Z r X, Y, Z więc r nie zależy od reprezentanta klasy abstrakcji relacji r Mamy równość: Id K C Id K C * Dowód r x, y F X Z, Y Z G X Z, Y Z r x, y więc r r X R x, y, z R x, y, R x y, y F z, Z, Y Z, G X Z, Y Z, Z st F F X, Y, Z Z st G G X, Y, Z R X, Y, Z wiec R R 33

34 Uwaga Ponieważ operacja (*) jest homomorfizmem więc x,y r, s x, y F G, F ' FF ' G ' GG' Definicja i podobnie R, S X,Y, Z FF ' GG' F X Z, Y Z F ' X Z, Y Z G X Z, Y Z G ' X Z, Y r s Z F X,Y, Z F ' X,Y, Z X,Y, Z R S G X,Y, Z G ' X, Y, Z Rzutowanym równaniem weiestrassa nazywamy równanie postaci : E * : X Z a XYZ a 3 XZ 3 x 3 a X Z a 4 XZ a 6 Z 3 a krzywą E* zadaną tym równaniem rzutowieniem krzywej afinicznej E (lub domknięciem E) rzutowym Powiedzmy, że dwie krzywe E, E zadane odpowiednim równaniem Weiestrassa są izomorficzne wtedy i tylko tedy gdy istnieje dopuszczalna zamiana zmiennych przeprowadzająca jedną krzywą w drugą x u X r y u 3 Y u sx z Definicja Wniosek Dowód z gdzie u,r, s,t K, u 0 z uwzględnieniem dzielenia obu stron równania przez u 6. Krzywą rzutową nazywamy nieosobliwą, jeżeli wyróżnik jest różny od 0 co jest zgodne z oryginalna definicja nieosobliwości (przez pochodne cząstkowe) E* - nazywamy krzywą eliptyczną rzutową wtedy i tylko wtedy gdy jest nieosobliwa to jest gdy 0 Krzywa Eliptyczna rzutowa E* składa się z punktów skończonych (które uzyskujemy przez odjednorodnienie E*) oraz punktu w nieskończoności 0,,. Odjednorodniając wielomian opisujący krzywą E* ze względu na z 0 34

35 otrzymujemy krzywą eliptyczną E (punkty skończone). Jeśli natomiast z0 to równanie E* wynika, że X 0, otrzymujemy punkt (0,Y,0)(0,,0) Twierdzenie Dowód Niech P * E * (E* - krzywa eliptyczna rzutowa), wtedy O P* E * jest pierścieniem z waluacją dyskretną. Jeżeli P* - skończony to było to już udowodnione, jeśli pokażemy, że parametrem lokalnym ze względu na zmienne Y jest P * to u X Y Dla dowolnej rozważmy odjednorodnienie E krzywe E* ze względu Y. E : Z a ZX a 3 Z 3 X 3 a X Z a 4 XZ a 6 Z 3 Wystarczy pokazać, że ux jest parametrem lokalnym krzywej E w punkcie (0,0) gdyż 0,,0 0, 0 Zauważmy że X jest dzielnikiem Z w pierścieniu O 0,0 E, gdyż Z Zx3 x Zx 3 3 Z... a 6 Z 3 x3 a x... a 6 x zatem x 3 Z więc x Z. Niech teraz f K [ E ] będzie zapisany w postaci f r Z s Z X t Z X. Wyciągniemy najwyższą potęgę Z w każdym wielomianie r, s, t i napiszemy f r Z Z i s Z Z j X t Z Z k X, gdzie ZXr lub ZXs lub ZXt lub r 0 lub s 0 lub t 0. Zastępując Z przez postać () dostaniemy, że: f r x3... s x3... X t x3... r X 3 s X 3j t X 3k gdzie r, s, t K E, każdy z nich jest albo regularny w punkcie (0, 0) albo tożsamościowo równy zero w K E. 35

36 Przykład Niech d będzie minimum z tych 3i,3j, 3k dla których odpowiednie r, s, t 0. Wtedy f x d f ' gdzie f ' jest funkcją regularną w punkcie (0, 0) c.k.d. Z Y Z x 3 r, r 0, 0 0. ma zero rzędu 3 w punkcie na E, Z ma zero rzędu 3 na E gdyż Zatem więc Y Z x xz Z i Z maja bieguny rzędu 3 w (0, 0) ponieważ ord p X Y X xz y Y Z ma biegun rzędu w punkcie 0 E. Przykład Wcześniej pokazaliśmy jakie zera (i rzędy zer) ma funkcja liniowa X x. Teraz w przestrzeni rzutowej ujednorodnienie funkcji X x to X X xz x Z Z jet równy 0.. W tym przypadku widać, że suma rzędów zer i biegunów 6.3 Grupa dywizorów Dla kontrolowania rzędów zer i biegunów funkcji wymiernych wygodnie jest haszować je jako współczynniki grupy abelowej wolnej generowanych przez punkty krzywej E. Niech P x, y E E - krzywa afiniczna mamy przypadki: ) Jeśli p x, y nie jest punktem rzędu (tzn y y ) to funkcja X x jest parametrem lokalnym i ma zera w punktach p x, y, P x, y oraz 0 rzędu zero w dowolnym innym punkcie krzywej E. ) char i P jest punktem rzędu na E i załóżmy, że E jest w postaci normalnej Y X x X x X x 3 gdzie x, x, x 3 - różne. Ponieważ Y jest parametrem lokalnym to X x ma zero rzędu w punkcie P x, y i zera rzędu zero we wszystkich pozostałych punktach krzywej. Podobnie x x i x x 3 36

37 Definicja Definicja Definicja 3) char K, p jest punktem rzędu na E wtedy sprowadzając E do postaci normalnej mamy E :Y xy X 3 a X a 6 i parametrem lokalnym jest Y a 6 gdyż X Y a 6 X a X Y Zatem funkcja X ma zero podwójne w punkcie p 0, a 6 i zerem rzędu zero we wszystkich pozostałych punktach. Grupę abelową generowana przez punkty krzywej E nazywamy grupą dywizorów krzywej E. Div E m P P gdzie m P 0 dla prawie wszystkich punktów P E. P E Działanie dodawania dywizorów wygląda następująco: m P P m P ' P m P m P ' P Stopień dywizora D iv E tożsamość deg m P P E Podgrupę dywizorów stopnia 0 nazywamy D iv 0 E Dywizorem głównym nazywamy (dywizor funkcji r) dywizor postaci D iv r ord P r P gdzie r K E W dalszym ciągu udowodnimy że dywizory główne stanowią podgrupę grupy D iv E Pokazaliśmy, że funkcja wymierna r X x Z ma dwa zera (licząc w krotnościach) i jeden biegun rzędu w nieskończoności na krzywej rzutowej E. To oznacza, że P x, y, E * jest reprezentantem klasy [ X, Y, Z ], natomiast P x 3, y a x a 3. Izomorfizm krzywych : E E * indukuje odpowiedni izomorfizm ciała funkcji wymiernych : K E K E * r r :r. W szczególności więc izomorfizm odpowiednich pierścieni lokalnych 37

38 Uwaga : P E P E ' a zatem i grup dywizonów : Prin E Prin E ' zadanych wzorem div r div r div r ord P r P Odwzorowanie div : K E * DIV E zadana wzorem div r orp P r P jest homorfizmem grupy gdyż ord P r, r ord P r ord P r. Szczególnym izomorfizmem jest sprzężenia który jest inwolucja, a więc. Stąd mamy, że div r div r div r oraz dir r dir r dir r tj. dir r dir r. Korzystając z faktu,że dowolna funkcja wielomianowa stopień N f zer (licząc z krotnościami), dowodzi się że f*ma biegun rzędu max st.v, st.w 3 w punkcie skończonym gdzie f v x Yw X. Wniosek f K [ E ] ma Jeśli f v X Yw x K [ E ] to st.n f max st. v, st.w Dowód N f v N Y w Tr Y w v gdzie st. Tr Y w st. w st.w st. N T st Y Y st. x 3 a 4 X a 6 3 c.k.d Wniosek Ponieważ powyższe maximum jest co najmniej równe otrzymujemy Każde niestałe funkcje krotnościami) f K E ma co najmniej zera (liczone z Wniosek Funkcja wymierna r K E * ma tyle zer co biegunów. Wiemy, że ujednorodnienie wielomianu f K [E ] może mieć biegun w punkcie nieskończonym ale nie w punkcie skończonym. Odwrotnie zachodzi. 38

39 Lemat Definicja Jeśli r K E nie ma biegunów w punktach skończonych to r * jest wielomianem. Z powyższych uwag wynika stwierdzenie : Funkcja wymierna należąca do K E zadająca dywizor główny jest wyznaczona jednoznacznie z dokładnością do stałej Grupa Picarda Grupą Picarda krzywej eliptycznej E nazywamy grupę ilorazową Pic E Div E Prin E dywizjonów głównych). (mierzymy odstępstwo grupy dywizionów od grupy Część zerowa grupy Picarda to grupa ilorazowa Pic 0 Div E E Prin E która jest izomorficzna z grupą punktów wymiernych na krzywej eliptycznej E / K D iv 0 E / Prin E. Zatem, każdy punkt P na krzywej E będziemy identyfikować z dywizorem (P) > (Q) stopnia 0 z dokładnością do dywizorów głównych. Co więcej A a P P jest dywizorem głównym, wtedy i tylko tedy gdy : { a P 0 oraz a P P w sensie struktury grupowej na E. Dywizor główny nazywamy często - dywizorem funkcji i oznaczamy f ord P f P Dywizory funkcji liniowych Niech l: ax + by + c 0 i niech P, Q, R będą punktami przecięcia krzywej E z prostą l, wtedy D iv l P Q P Q 3 39

40 Definicja Przykład: Jeśli b0 to l : x c0 wtedy dywizor D iv l P P Jeśli f jest funkcja na krzywej E oraz A a P P jest dywizorem to f A P A f P a P f x, y x x R A P Q f A x P x R x Q x R x P x R x Q x R f P Q f P f Q f P f Q Definicja Dwa dywizjony, nazywamy liniowo niezależnymi wtedy i tylko wtedy gdy ich warstwy modulo Prin(E) są identyczne tzn. : ~ Prin E Badanie dywizorów sprowadza się do badania dywizorów funkcji tj. funkcji postaci : l X Y gdzie lub 0. liniowych Lemat Jeżeli 0 to zachodzi : Niech ly mx b P x, y, E * C * wtedy ord P l * jest krotnością x jako zero wielomianu E X, mx b 40

41 Dowód Wystarczy przedstawić E X, T w postaci T Tr Y T N Y Y T Y T oraz wykorzystać reprezentację E X, mx b X x X x X x 3 l gdyż l y mx b Y mx b Y T Y T, gdzie T mx b Z powyższego lematu można otrzymać wzory na dodanie punktów na krzywej eliptycznej. Działania na krzywej E(K) Niech y x będzie sieczną przechodzącą przez punkty x, y, x, y krzywej E wtedy x x 3 Ax B. gdzie y y x x x x ; y x y y y x x x Ze wzorów Viete a x x x 3 skąd (#) {x 3 x x Jeśli x x dy dx Ponieważ: y y y 3 x 3 x x (sieczna jest styczną) to jej równanie ma postać y x gdzie układ (#) zachodzi z odpowiednimi wartościami i to mamy: Zatem jeśli y 0 to x 3 (styczna jest pionowa) to jest x 3, y 3 O. W ten sposób określiliśmy działanie na krzywej E(R). Te same wzory zadają działanie na krzywej nad dowolnym ciałem charakterystyki,3 (bo wtedy 4

42 Wniosek E zadaje się równaniem Weierstrassa ). y f x ) (E(K), +) jest grupą abelową. Przypuszczenie Poincare (900 r.) mówi, że dla ciał liczbowych K,(E(K),+) jest skończenie generowaną grupą abelową i zostało udowodnione przez Mordella w 98 r.. Natomiast w pełnej ogólności (dla rozmaitości abelowych) przez Weila. Mamy: E(K) Z' E (Mazur (977 r.) udowodnił, że dla KQ, E(Q) Z_m, m 0,..., m Lub E(Q) Z_m Z_ i wyznaczył dopuszczalne wartości m. 7. Zastosowania Struktur Dwuliniowych 7. Grupowe struktury dwuliniowe G,G - grupy skończone cykliczne o rzędzie będącym zadanym liczbą pierwszą Działanie dwuliniowe (iloczyn dwuliniowy) e:g G G spełniający warunki: G G, + G G, * )dwuliniowość e ap,bp e P,Q ab a,b Z P,Q G )nietrywialność (niezdegenerowalność) to oznacza, że e G G G, gdzie oznacza element neutralny grupy multiplikatywnej. 3)obliczalność e P, Q P, Q G istnieje efektywny obliczeniowo algorytm pozwalający obliczyć Wniosek Jeśli P jest generatorem G to element e P, P jest generatorem G Dowód Każdy element G jest postaci ap. Zatem niech Q, R takie punkty G, że e Q, R G, e P, P ab G e P, P G. Zatem e P, P - 4

43 generuje nietrywialną podgrupę w G rzędu dzielącego liczbę pierwszą P. Zatem jest całą grupą G. Trójkę G, G, e nazywamy strukturą z działaniem dwuliniowym Protokół Difiego-Helmana w strukturze dwuliniowej P,Q G punkty znane publicznie A ap - publ. aq prywatne a,b losowe B bp publ. bq prywante Każda strona wyznacza wspólny klucz wymiany obliczając e bp, aq e ap, bq - klucz wymiany e P, Q ba e P,Q ab k AB Analiza złożoności protokołu Niech T operacja transmisji, O operacja obliczeniowa Złożoność protokołu D-H dla struktury dwuliniowej wynosi T + 6O Teraz możemy wykorzystać klucz k AB e P, Q a, b do szyfrowania i deszyfrowania wiadomości m co daje łącznie 3T +8O operacji 7. System szyfrowanie ze wskazówką (odpowiada kryptosystemowi ElGamala) A m B rp - publ. bp publ. rq prywatne bq prywante (O+T) r losowe. [e bp, rq m,rp] otrzymuje dzieląc pierwszą współrzędną przekazu przez e rp, bq - koszt 4O+T + O B oblicza e rp, bq Łączny koszt to 8O +T 43

44 7.3 Podpis cyfrowy w strukturze dwuliniowej A B ap - publ. rp publ. aq prywatne rq prywante r losowe Podpis a, r m [ mr a,rp ] [m, a, r m ] B Weryfikacja Strona B sprawdza czy : e mr a Q, P e mq,rp e Q, ap Poprawność wynika z własności iloczynu Uzasadnienie Iloczyn ma własność e P Q, R e P, R e Q, R bo e mrq, P e aq, P e Q, P mr e Q, P a e mq, rp e Q, ap ckd 7.3. Podpis Schnorra w strukturze dwuliniowej A m B składa podpis weryfikuje podpis Podpisywanie wiadomości m (wybieramy losowe r i obliczamy) r, a m [r ah, rp ] gdzie hh m, rp jest publicznie znaną funkcją haszującą. Weryfikacja polega na sprawdzeniu czy zachodzi równość: (*) e r ah Q, P e Q, rp e Q, r ap h Poprawność: jeśli podpis przebiega prawidłowo to weryfikacja powiedzie się. Sprawdzamy (*) Na mocy własności dzielenia (dwuliniowości) mamy: lewa r ah Q, P rq, P ahq, P a,rp Q, P ah Q,rP Q, ap h prawa 44

45 Bezpieczeństwo podpisu r, a m sprowadza się odpowiednio do trudności obliczenia wartości a lub r, mając dane punkty ap lub rp na krzywej eliptycznej jest to problem logarytmu dyskretnego w grupie punktów wymiernych na krzywej eliptycznej E K, gdzie K ciało skończone. 7.4 System szyfrowania oparty na identyfikacji A m m k B kk Id B E publicznie znana krzywa PKG (private key generator) dostarcza klucz deszyfrujący m k P, Q zadane punkty na E H, H publicznie znane funkcje haszujące A B r - losowe Q ID H Id B [r, rp] sq poufne sq klucz deszyfrujący dla B sp klucz publiczny dla B s master key PKG Szyfrogram wiadomości m generowany przez A jest parą: r ] gdzie g ID Q ID, sp ; - dodawanie mod c[rp, m H g ID c [X, Y] Odbiorca używający kluczy sq oraz c[ X, Y ], najpierw oblicza H g r ID potem dodaje H t Y m H H m. Wystarczy pokazać, że R może obliczyć g ID, mianowicie 45

46 r g ID Q ID, sp r sq ID, rp co kończy wnioskowanie. 7.5 Problemy obliczeniowe w strukturze dwuliniowej 7.5. Problem Diffie-Hellmana Struktura (grupowa) dwuliniowa G, G, e, e:g G G, ord G ord G q, q liczba pierwsza. Problemy: ) Problem logarytmu dyskretnego DLG (ang. Discrete Logarithm Problem) ) Problem obliczeniowy Diffie-Hellmana CDH (ang. Computational Diffie- Hellman Problem) 3) Problem decyzyjny Diffie-Hellmana DDH (ang. Decisional Diffie-Hellman Problem) Założenia ) Problem DDL w G jest trudny ) Problem CDH w G jest trudny Problemy CDH w G : Dane [P, ap, bp ], obliczyć Q abp Problemy CDH w G : Dane [g,g a, g b ], obliczyć g ab Problem DDH w G : Czy czwórka [g, g a, g b, g c ] jest czwórka Diffiego Hellmana tzn. taką, że g c g ab Problem DDH w G : Czy czwórka [ P, ap, bp, cp] jest czwórką Diffiego Hellmana tzn. taką, że abpcp Twierdzenie 7.5. Redukcje MOV Redukcja MOV (Menezes, Okamoto, Vanstone) Niech G, G, e - struktura dwuliniowa. Wtedy problem DLG w G nie jest trudniejszy niż problem DLG w G 46

47 Dowód Niech P,Q G. Szukamy a : apq. Niech ge P, P, he P,Q. P,a generatory G. Pokażemy, że rozwiązując problem DLG w G, rozwiązujemy DLG w G. Dane : g, h G Znajdź : :g h Niech będzie rozwiązaniem tego problemu w G tzn. g h. Zauważmy, że a jest rozwiązaniem problemu DLG w G, bo jeśli Q P to he P, P e P, P g, cnd. Twierdzenie Problem jednokierunkowości Odwzorowania Q :G G zadane wzorem: Dowód Q P e P,Q jest homomorfizmem jednokierunkowym o ile problem DDH w G jest trudny. Załóżmy, że odwróciliśmy Q P tzn. Mając dany iloczyn e(p, Q) możemy wyznaczyć P. Pokażemy, że wtedy DDH w G jest łatwy. Zauważmy, że DDH w G jest łatwy bo dla stwierdzenia czy czwórka [ P, ap, bp, cp ] jest właściwą czwórką D-H wystarczy sprawdzić czy e P, cp e ap, bp e P, P c e P, P ab. Niech g,g a, g b, g c będzie dane. Mamy stwierdzić czy jest to czwórka D- H w G wiadomo, że jeśli g-generator G to e P, bp g c e P, cp. Korzystając z założenia można obliczyć ap,bp, cp. Jeśli [ P, ap, bp, cp ] jest czwórką D-H w G to stwierdzić można, że [ g, g a, g b, g c ] jest właściwą czwórką D-H w G. A zatem rozwiązanie problemu DDH w G jest niemożliwe bo założyliśmy, że jest on trudny. A zatem jest jednokierunkowe c.k.d. Problem BDH (dwuliniowy Diffie-Hellman) Niech P generator w G rzędu q 47

48 Definicja Dane: [P,aP, bp, cp] gdzie a, b, c Z q Obliczyć: e P, P abc Algorytm A ma przewagę w rozwiązaniu problemu BDH jeśli Pr [ A P, ap, bp, cp e P, P abc ] gdzie prawdopodobieństwo jest wyznaczane po losowych wyborach a, b, c Z q i losowych bitach algorytmu A. Generatorem parametrów (IG) dla struktury G, G, e nazywamy algorytm zrandomizowany spełniający warunki:. Na wyjściu dane k N. (IG) działa w czasie O k c 3. (IG) daje na wyjściu strukturę G, G, e taką, że G i q dla i,. oznacza ze generator parametrów ma na wyjściu parametr bezpieczeństwa złożony z k jedynek. IG k (IG) spełnia założenia BDH jeśli dowolny zrandomizowany i działający w czasie wielomianowym (od k) algorytm A rozwiązuje problem BDH z przewagą co najwyżej /f(k) dla dowolnego wielomianu f. 7.6 Iloczyn WEILA 7.6. Wprowadzenie W tym rozdziale zdefiniujemy działanie dwuliniowe spełniające warunki: nietrywialności i obliczalności. Definicja Niech EE / K ( K algebraicznie domknięte ciało) Wtedy E [n]{p E :np } nazywamy grupą punktów n-torsyjnych na krzywej E / K ( punkt neutralny w grupie). Dalej zakładamy, że e: E [n] E [n] K Definicja Iloczynem Weila nazywamy działanie dwuliniowe trywialne na przekątnej tzn. spełniające warunek : e P, P dla dowolnego P E n. 48

49 Twierdzenie Dowód Niech e : H H G będzie nietrywialnym działaniem dwuliniowym takim, że e P, P dla dowolnego P H oraz niech : H H G homomorfizm taki, że grupa P, P generowana przez P i P jest równa H. Wtedy odwzorowanie eh H G określone następująco: e P, Q e P, Q jest działaniem dwuliniowym nietrywialnym na przekątnej. Niech Q H takie, że P, Q Ponieważ < P, P >H to QaP b P. Zatem e P,Q e P, ap b P e P, P a e P, P b e P, P b c.k.d Grupa klas dywizorów krzywej eliptycznej Przypomnienie Niech E / K D iv 0 E /Prin E. Zatem, każdy punkt P na krzywej E będziemy identyfikować z dywizorem (P) - (Q) stopnia 0 z dokładnością do dywizorów głównych. Co więcej A a P P jest dywizorem głównym, wtedy i tylko tedy gdy : { a P 0 oraz a P P w sensie struktury grupowej na E. Dywizor główny nazywamy często - dywizorem funkcji i oznaczamy f ord P f P Dywizory funkcji liniowych Niech l: ax + by + c 0 i niech P, Q, R będą punktami przecięcia krzywej E z prostą l, wtedy D iv l P Q P Q 3 Jeśli b0 to l : x c0 wtedy dywizor D iv l P P Definicja 49

50 Przykład: Jeśli f jest funkcja na krzywej E oraz A a P P jest dywizorem to f A P A f P a P f x, y x x R A P Q f A x P x R x Q x R x P x R x Q x R f P Q f P f Q f P f Q Określenie iloczynu Weila Definicja Wnioski Dowód Iloczynem Weila e: E [n ] E [n ] K wzorem: e n P, Q f n p A Q f n Q A Q nazywamy przekształcenie zadane, gdzie f p n ~n P n A Q ~ Q f Q n ~n Q n A P ~ P Wartość e n P,Q nie zależy od wyboru reprezentantów klas dywizorów modulo dywizory główne. Niech A P będzie dywizorem równoważnym A P tzn. A P A P g g funkcja wymierna na krzywej E oraz f P n f P n g n div f n P g n div f n P n div g oraz A P ~ P g ( bo f n P ~ n A P ~ n[ P g ]n P n n g f n P g n ). bo Zatem mamy : 50

51 e n P,Q f n P Lemat Dowód A Q f Q n A P f P A Q g A Q n f Q A P f Q g f P A Q f Q A P g n A Q f Q g f P A Q ostatnia równość zachodzi na mocy wzoru wzajemności f Q A P g f n Q f Q g f A P Q f Q A P f g g f Istnieje efektywny algorytm D, który dla danych wejściowych f b A Q, f c A q oraz bp, cp, b c P b, c N oblicza wartość f b c A Q gdzie f a a {b, c,b c } jest funkcją wymierną której dywizor jest równoważny dywizorowi. A Q a P R a R ap Zdefiniujemy dwie funkcje liniowe g, g na krzywej E g : g bp cp b c P 3 g : g b c P b c P Zatem g jest prostą przechodzącą przez punkty bp, cp. Jeżli bc to g jest styczną do krzywej E w punkcie bp. Niech g x, y a x b y c. Dalej g jest prostą pionować przechodzącą przez punkt b c P. Niech g x, y x c. Z definicji mamy, że A b b P R b R bp A c c P R c R cp A c b b c P R b c P R [ b c P R ] Zatem otrzymujemy, że A c b A b A c g g f b c A Q f b A Q f c A Q g g skąd Wniosek n Jeśli p jest punktem n-torsyjnym, to dywizory funkcji f n i f P równoważne. są Dowód f p n ~n A P ~n P n. Z definicji A n wiemy, że f n jest dywizorem 5

52 Wniosek równoważnym A n ~n P R n P np, który jest równoważny dywizorowi n P n. Dla rekurencyjnego obliczenia f b c rozpoczniemy do obliczenia f takiego,że f P R R P ; taka funkcja jest ilorazem funkcji g ` x, y / g ` x, y gdzie g ` x, y jest prostą pionową przechodzącą przez P R natomiast g ` x, y jest prostą przechodzącą przez punkty P i R. Wniosek 3 Obliczanie iloczynu Weila e n P,Q wykonuje się w czasie O log c n gdzie c jest pewną stałą dodatnią Schematy hierarchiczne w grupie Diffie- Hellmana z LUKĄ Bardziej elastyczna wersja podpisów grupowych (np. zmiana progu) Bufor zmienności progu k- liczba podpisów częściowych(stopień wielomianu -) 5

53 D i -różne działy G D D D 3 M- zarządza(menadżer kontroluje uzupełnienie podpisów częściowych) Próg ustalony przez stopień wielomianu, przy zmianie progu wielomian się nie zmienia,ale trzeba go dopełniać. G D C podpisujący dopełniający(przez Menadżera) Def. G nazywamy grupą Diffie-Hellmana z luką, gdy: )Problem obliczeniowy jest trudny w grupie )problem decyzyjny D-H jest łatwy w grupie CDH DDH ad. )Dla danych (P, ap, bp) oblicz abp ad. )Dla danej (P, ap, Bp, cp) rozstrzygnij czy c ab( mod G ) Przykład: Przykładem takiej grupy jest struktura dwuliniowa (G, G, E P), e: G G jest iloczynem Weil a Wystarczy zauważyć,że jeśli e(p, cp)e(ap, bp) to (P, ap, Bp, cp) jest czwórką Diffie-Hellmana 53