LOI DE GROUPE SUR UNE COURBE ELLIPTIQUE Introduction Le ...

Nous allons voir ci-dessous, que ce phénomène est général pour les courbes elliptiques, et tientdu fait que l’on peut les munir d’une loi de groupe. Dans ce cadre, le point (3,5) est un élémentd’ordre infini du groupe de la courbe elliptique.Un problème connexe On a vu dans le cas particulier de y 2 − x 3 = c que l’on connaissait àpeu près la forme que prenaient les solutions rationnelles, et on verra que cela ce généralise auxautres courbes. Une question naturelle à se poser est celle-ci : parmi les solutions rationnelles,lesquelles sont entières ? Ce problème, initié par Fermat dans les années 1650, avec la questionde savoir si l’équation y 2 − x 3 = −2 n’avait que les deux solutions (3, ±5), est autrement plusdifficile, et n’était pas résolu à son époque. On doit à Axel Thue, le résultat suivant : L’équationy 2 − x 3 = c n’a qu’un nombre fini de solutions entières, pour tout entier c non nul.2.2. Loi de groupe : tangentes et sécantes.On va chercher à étendre ce que l’on a fait pour les coniques aux cubiques : ce sont les courbesd’équations ax 3 + bx 2 y + cxy 2 + dy 3 + ex 2 + fxy + gy 2 + hx + iy + j = 0. Si cette équation estnon singulière (c’est-à-dire si les dérivées partielles ne sannulent pas simultanément en un pointde la courbe) on dit que la courbe est une courbe elliptique.On dit d’une cubique qu’elle est rationnelle si tous ses coefficients le sont. Malheureusement,en général une droite rencontre une cubique en trois points (en comptant les multiplicités), etnon deux comme avec les coniques. On ne peut donc pas étendre immédiatement le procédé quel’on a utilisé pour les coniques.En contrepartie, on a le fait suivant : si on connaît 2 points rationnels sur une cubiquerationnelle, on en connaît un troisième, le troisième point d’intersection de la droite passant parces points avec la cubique (si un polynôme rationnel a deux racines rationnelles, alors la troisièmel’est aussi). On peut donc construire géométriquement, partant de deux points rationnels P etQ d’une cubique rationnelle, un troisième point rationnel : P ∗ Q, troisième point d’intersectionde (P Q) avec la cubique.premiereloi.jpgImaginons que nous n’ayons qu’un seul point rationnel P , non singulier. Si on trace la tangenteen P à la cubique (droite passant par P et... P !), on obtient (en général !) un autre pointrationnel en prenant l’intersection avec la cubique. Ainsi, si on part de points rationnels, onpeut, en traçant des droites, en obtenir d’autres... On a construit une loi de composition internesur l’ensemble des points rationnels.Malheureusement, cette loi n’est pas une loi de groupe... (pas d’élément neutre !). Ce qui enfait une loi peu intéressante.On peut en fait modifier la loi ∗ pour en faire une loi de groupe (on supposera dorénavantla courbe elliptique). Fixons nous un point rationnel O, qui sera le neutre de notre groupe, etnotons + sa loi. On construit P + Q de la manière suivante : d’abord, obtenir le troisième pointd’intersection P ∗ Q, puis tracer la droite passant par O et P ∗ Q. Elle rencontre la cubique enun troisième point, le point P + Q.On a : P + Q = O ∗ (P ∗ Q). C’est un point rationnel car O est rationnel.4

loidegroupe.jpgLa loi ainsi obtenue est clairement commutative.O est l’élément neutre : en effet O, P et P ∗ O sont alignés, donc P + O = O ∗ (P ∗ O) = P .Comment obtenir les points opposés ? La construction est la suivante : tracer la tangente enO (la courbe est supposée elliptique), elle recoupe la cubique en S. La droite (P S) recoupe lacubique en un point, qui est −P .Vérifions que cette construction nous donne bien les opposés. Additionnons Q et −Q. Pour cefaire, prenons le troisième point d’intersection de la courbe avec la droite passant par Q et −Q :c’est S. Maintenant joignons S et O et prenons à nouveau le troisième point d’intersection S ∗O :c’est O car la droite passant par O et S est la tangente à la courbe en O (elle passe donc ”unefois” par S et ”deux fois” par O). Ainsi Q + (−Q) = O.elementneutre.jpgoppose.jpgLa dernière marche,et pas la moindre, pour montrer que l’on a effectivement à faire à une loide groupe est de prouver l’associativité de la loi2.3. Démonstration de l’associativité de la loi.Soient P, Q, R trois points de la courbe. Il faut montrer : (P + Q) + R = P + (Q + R).Cependant, par construction de la loi +, il suffit en fait de montrer : (P + Q) ∗ R = P ∗ (Q + R).Pour trouver P + Q, on prend le troisième point d’intersection de la droite passant par O etP ∗ Q avec la courbe. La droite joignant P + Q et R coupe la courbe en (P + Q) ∗ R. On faitde même pour obtenir P ∗ (Q + R) en échangeant le rôle de P et R dans les deux précédenteslignes.Ainsi sur le schéma ci-dessus, chacun des huit points de la courbe O, P, Q, R, P ∗ Q, Q ∗R, P + Q, Q + R appartient à une des droites en pointillé et à une des droites en trait continu.Considérons la droite en pointillé passant à travers P +Q et R ainsi que la droite en trait continupassant à travers Q + R et P . Leur intersection appartient-elle à la cubique ? Si oui, alors on aprouvé (P + Q) ∗ R = P ∗ (Q + R) et c’est terminé.Pour nous aider dans cette tâche, nous avons maintenant besoin de deux théorèmes forts engéométrie.Théorème 2.1. (de Bézout)Deux courbes planes de degrés m et n sans composantes communes ont exactement mn pointsd’intersection.5

Regardons rapidement un exemple : soit la courbe cubique d’équation y 2 = x 3 + 17 avec lesdeux points P 1 = (−1, 4) et P 2 = (2, 5). Pour calculer P 1 + P 2 , on calcule les coeeficients : λ = 1 3et ν = 13 3 . Ainsi, x 3 = − 8 9 et y 3 = 10927 d’où P 1 + P 2 = (− 8 9 , − 10927 ).Mais que ce passe-t-il si x 1 = x 2 ? Trois possibilités :- Soit y 1 ≠ y 2 et dans ce cas nécessairement y 1 = −y 2 . La droite qui joint les deux points estverticale, donc le troisième point P + Q est le point à l’infini.- Soit y 1 = y 2 ≠ 0 et dans ce cas P = Q n’est pas un point sur l’axe des abscisses. Donc oncherche P + P = 2P .Par la relation y 2 = f(x), on trouve :λ = dydx = f ′ (x)2ySi l’on substitue cette relation dans les formules précédentes, que l’on remplace y 2 par f(x) etque l’on met au même dénominateur, on obtient cette formule, appelée formule de duplication :abscisse de 2(x, y) = x4 − 2bx 2 − 8cx + b 2 − 4ac4x 3 + 4ax 2 + 4bx + 4c(on retrouve d’ailleurs la formule de Bachet en prenant a = b = 0)- Soit y 1 = y 2 = 0 et dans ce cas la tangente à la courbe en ce point est verticale donc le troisièmepoint P + Q est le point à l’infini.Si l’on reprend l’exemple précédent avec le point P 1 = (−1, 4), on trouve λ = 3 8 .Ainsi, 2P 1 = ( 13764 , − 2651512 ). 3. Applications et ouvertures3.1. Points d’ordre fini.Un point P est dit d’ordre m si mP = P + P + · · · + P = O et m ′ P ≠ O pour tout entier1 ≤ m ′ ≤ m.Si un tel m existe, P est d’ordre fini, sinon il est d’ordre infini.On va commencer l’étude par les points d’ordre 2 et 3. Pour ceci, on considère la courbecubique sous forme de Weierstrass, avec le point à l’infini comme élément neutre du groupe.Points d’ordre 2.Ce sont les points satisfaisant 2P = 0 et P ≠ O. La condition 2P = O équivaut à P = −P .Puisque −(x, y) = (x, −y), ces points vérifient alors y = 0. Ce sont donc les points :P 1 = (α 1 , 0) P 2 = (α 2 , 0) P 3 = (α 3 , 0)où α 1 , α 2 , α 3 sont les racines du polynôme cubique f(x) = x 3 + ax 2 + bx + c.Etudions alors la nature du sous-groupe G = {O, P 1 , P 2 , P 3 } des points d’ordre divisant 2 :- Si l’on travaille avec des coordonnées complexes, alors il y a trois points distincts (car courbenon singulière ) d’ordre 2 et ainsi G est le groupe de Klein Z/2Z × Z/2Z.- Si l’on travaille avec des coordonnées réelles, alors soit les trois racines précédentes sont réelleset G est aussi le groupe de Klein ; soit il n’y a qu’une seule racine réelle et alors G est Z/2Z.- Si l’on travaille avec des coordonnées rationelles, alors G est le groupe de Klein, le groupecyclique d’ordre 2 ou le groupe trivial suivant que f a 3, 1 ou 0 racines rationnelles.8

3racines.jpg1racine.jpgPoints d’ordre 3.Ce sont les points vérifiant 3P = O, ce qui équivaut à 2P = −P . Un point d’ordre 3 satisfaitdonc x(2P ) = x(−P ) = x(P ) (et réciproquement). Pour trouver ces points, on utilise la formulede duplication démontrée dans le 2.4. On doit avoir :x = x4 − 2bx 2 − 8cx + b 2 − 4ac4x 3 + 4ax 2 + 4bx + 4cCe qui, après calculs, donne :x est racine du polynôme g(x) = 3x 4 + 4ax 3 + 6bx 2 + 12cx + (4ac − b 2 ).Mais puisque x(2P ) = f ′ (x) 24f(x)−a−2x, une autre expression de g(x) est :g(x) = 2f(x)f ′′ (x) − f ′ (x) 2g a alors 4 racines (complexes) distinctes (sinon f et f ′ auraient des racines communes).Soient β 1 , β 2 , β 3 , β 4 ses 4 racines et pour chaque β i soit δ i = √ f(β i ).Alors l’ensemble (β 1 , ±δ 1 ), (β 2 , ±δ 2 ), (β 3 , ±δ 3 ), (β 4 , ±δ 4 ) est l’ensemble complet des points d’ordre3 sur la courbe.De plus, aucun δ i ne peut être égal à 0 (sinon les points seraient d’ordre 2), donc cet ensemblecontient 8 points distincts d’ordre 3.Ainsi l’ensemble des points complexes d’ordre divisant 3 forme un groupe d’ordre 9 : c’est legroupe Z/3Z × Z/3Z.Si l’on travaille avec des coordonnées réelles, le groupe des points d’ordre divisant 3 est le groupeZ/3Z.Si l’on travaille avec des coordonnées rationnelles, c’est soit le groupe cyclique d’ordre 3, soit legroupe trivial.Plus généralement.Le résultat le plus important est que tous les points à coordonnées rationnelles peuvent êtreconstruits par la méthode de la tangente et de la sécante à partir d’un nombre fini d’entre eux.Théorème 3.1. (Mordell-Weil)Le groupe des points rationnels, muni de la loi +, associé à une courbe elliptique est de type fini.Il est donc de la forme Z r × Z/α 1 Z × · · · × Z/α t Z. L’entier r est appelé le rang de la courbe.Exemples.- Soit la courbe d’équation y 2 = x 3 + 1.Son rang est nul et cette courbe a 6 points à coordonnées rationnelles :outre le point à l’infini, les points de coordonnées (2,3), (0,1), (-1,0), (0,-1), (2,-3). On peutprouver que ce groupe est cyclique d’ordre 6 et qu’il est engendré par le point (2, 3).On a ainsi : (0,1)=2(2,3) (dans le sens de (2,3)+(2,3) pour la loi d’addition sur la courbe),(-1,0)=3(2,3), (0,-1)=-2(2,3)=4(2,3) et (2,-3)=-(2,3)=5(2,3) ; le point à l’infini est égal à 6(2, 3).On voit ces relations sur le graphe réel de la courbe.9

Par exemple, la tangente à la courbe au point de coordonnées (2,3) passe par le point (0,-1)dont le symétrique est (0,1), donc (0,1)=2(2,3). Les points de coordonnées (-1,0), (0,-1) et (2,-3) sont alignés, donc la somme des deux premiers est égale au point (2,3)...etcexemple.jpg- Soit la courbe d’équation y 2 = x 3 + 109858299531561.Son rang est 5 et cette courbe a de plus trois points de torsion à coordonnées rationnelles, formantun groupe cyclique d’ordre 3. Son groupe de Mordell-Weil est donc isomorphe à Z 5 ×Z/3Z.Voici une liste de 5 points générateurs indépendants d’ordre infini (engendrant donc les 5 copiesde Z dans le groupe de Mordell-Weil) :(735532,630902573), (49704,15252915), (-4578,10476753), (-15260,10310419) et (197379,88314450).Les trois points de torsion à coordonnées rationnelles sont le point à l’infini, le point (0,10481331),d’ordre 3, et son opposé. Tous les points à coordonnées rationnelles de cette courbe s’obtiennentalors à partir des 6 points explicités.- Soit la courbe d’équation y 2 = x 3 − 36x.Son groupe de Mordell-Weil est isomorphe à Z×Z/2Z×Z/2Z. Autrement dit, elle a quatre pointsà coordonnées rationnelles d’ordre divisant 2 : le point à l’infini et les trois points d’intersectionavec l’axe des abscisses (0,0), (0,6), (0,-6).Son rang est 1. Le sous-groupe cyclique infini est engendré par le point (12, 36).À un changement de variable près, cette courbe est isomorphe à celle d’équation 6y 2 = x 3 − x,liée à la recherche de triangles rectangles à côtés de longueur entière (autrement dit de tripletspythagoriciens) de même aire.En effet, les côtés d’un tel triangle sont de la forme d(p 2 − q 2 ), 2dpq, d(p 2 + q 2 ), pour un entierd quelconque et des entiers p et q, p > q, de parité différente. L’aire du triangle est alorsd 2 pq(p 2 − q 2 ).La recherche de triangles rectangles d’aire 6, par exemple, revient donc à la recherche de solutionsrationnelles de l’équation 6y 2 = x 3 − x.3.2. Les ”gros” théorèmes.Théorème 3.2. (Mazur)Soit C une courbe elliptique et supposons qu’il existe un point fini d’ordre m sur C.Alors 1 ≤ m ≤ 10 ou m=12.Pus précisément, l’ensemble des points rationnels d’ordre fini forme un sous-groupe qui a l’unedes deux formes suivantes :(1) Z/NZ avec 1 ≤ N ≤ 10 ou N=12(2) Z/2Z × Z/2NZ avec 1 ≤ N ≤ 410

Théorème 3.3. (Nagell-Lutz)Soit la courbe elliptique d’équation y 2 = f(x) = x 3 + ax 2 + bx + c. Soit D le discriminant dupolynôme f(x),D = −4a 3 c + a 2 b 2 + 18abc − 4b 3 − 27c 2Soit P=(x,y) un point rationnel d’ordre fini.Alors x et y sont entiers et soit y=0 (et dans ce cas P est d’ordre 2), soit y divise D.Théorème 3.4. (Siegel)Une courbe elliptique n’a qu’un nombre fini de points à coordonnées entières.3.3. Application en cryptographie.L’étude de la loi de groupe sur les les courbes elliptiques a un intérêt pratique.En effet, tout le monde connaît le théorème fondamental de l’arithmétique qui dit que tout entier≥ 2 se factorise de manière unique en un produit de nombres premiers. Cependant si ce nombreentier est suffisamment grand (150 chiffres), on peut facilement savoir s’il n’est pas premier maisil est quasiment impossible de trouver en temps raisonnable la factorisation de celui-ci.Le système R.S.A., et plus généralement les systèmes de chiffrement à clé publique, se basentsur cette difficulté que l’on a à factoriser un grand nombre pour envoyer des messages secrets(télécommunications, banque, institutions financières...) que l’on ne peut décoder sans la factorisation.Cela explique l’intérêt qu’on y porte.Pour trouver la factorisation d’un grand nombre n, on peut essayer de le diviser par 2,3,...mais cela devient rapidement inefficace. (Pour un nombre à 100 chiffres, si on fait 1.000.000 decalculs à la seconde, il faudra environ 3, 2 × 10 37 années ! ! !)Ainsi, Lenstra a trouvé un algorithme probabiliste rapide qui emploie les courbes elliptiques.C’est une amélioration de la méthode de factorisation p-1 de Pollard.La factorisation de Lenstra tient compte du groupe d’une courbe elliptique aléatoire sur le corpsfini F p . L’ordre du groupe d’une courbe elliptique sur F p varie entre p + 1 − 2 √ p et p + 1 + 2 √ p(Théorème de Helmut-Hasse) aléatoirement.L’algorithme de factorisation de Lenstra permettant de trouver un facteur d’un nombre donnén fonctionne de la manière suivante :- Prendre une courbe elliptique aléatoire sur Z avec un point A sur elle. Alors, nous considéronsla loi de groupe sur cette courbe modulo n (ceci est possible comme la plupart des résidus modulon ont des inverses).- Calculer kA dans ce groupe (à l’aide des formules déjà évoquées), où k est le produit de petitsnombres premiers élevés aux petites puissances. Il peut donner un nombre premier en une fois,et est ainsi efficace.- Avec un peu de chance, kA est l’élément zéro du groupe de la courbe elliptique dans F p , maispas dans F q pour un autre diviseur premier q de n. Alors nous pouvons trouver un facteur den en prenant le PGCD de la première coordonnée de A et n, comme cette coordonnée sera zérodans F p .- Si cela ne marche pas, il suffit de recommencer avec une autre courbe et/ou un autre point dedépart.Références- J.H. Silverman, J.Tate, Rational points on elliptic curves, Springer-Verlag, New York, 1992- H. Cohen, G. Frey, R. Avanzi, C. Doche, T. Lange, K. Nguyen, F. Vercauteren, Handbookof Elliptic and hyperelliptic curve cryptography, Chapman and Hall/CRC, 2006- Site de Wikipédia, Courbe elliptique- Site de Wikipédia, Factorisation en courbe elliptique de Lenstra11