Dispense - Dipartimento di Matematica e Informatica

Appunti del Corso di
Teoria dell’Informazione II:
Codici lineari,
Codici algebrico-geometrici,
Crittografia su Curve Ellittiche.
Massimo Giulietti

Capitolo 1
Nozioni Preliminari
1.1 Campi Finiti
1.1.1 Esistenza e unicità
In questa sezione verranno brevemente richiamate alcune nozioni sui campi finiti.
Sia K un campo finito di cui denotiamo con u l’unità. Sia p il più piccolo intero positivo
tale che sia
u
+ u +
. . . + u
= 0 .
p volte
Tale intero si dice caratteristica di K. Se K è un campo non finito, allora un tale intero
p può anche non esistere (è il caso ad esempio di Q, R e C), e in tal caso il campo si
dirà di caratteristica zero.
Teorema 1.1. Sia p la caratteristica di un campo finito K. Allora
• p è un numero primo;
• l’intersezione di tutti i sottocampi di K è un campo isomorfo a Zp, il campo delle
classi di resto modulo p.
Esercizio 1. Provare il Teorema 1.1.
1

CAPITOLO 1. NOZIONI PRELIMINARI 2
Esercizio 2. Provare che se p è la caratteristica di un campo F , allora
per ogni elemento a di F .
a
+ a +
. . . + a
p volte
Sia F un campo (non necessariamente finito) di caratteristica p. Denotiamo con σ
l’applicazione
σ : F → F , x ↦→ x p .
= 0
Esercizio 3. Provare che σ è un omomorfismo di F .
L’omomorfismo σ viene detto omomorfismo di Frobenius del campo F . Come ogni
omomorfismo di campi, l’omomorfismo di Frobenius è iniettivo. Chiaramente se F è
finito, allora σ è automorfismo.
Teorema 1.2. Ogni campo finito ha ordine p h , ove p è la caratteristica di K.
Dimostrazione. Sia q la cardinalità di K. Il campo K può considerarsi come spazio
vettoriale, di dimensione finita h, sul suo campo fondamentale Zp. Sia (e1, e2, . . . , eh)
una base dello spazio vettoriale K su Zp. Allora ogni elemento a ∈ K può scriversi in
uno ed un sol modo come combinazione lineare a coefficienti in Zp di (e1, e2, . . . , eh):
a = a1e1 + . . . + aheh, ai ∈ Zp .
Poiché ai varia in p modi in Zp, i = 1, 2, . . . , h, si ha allora che:
q = #K = p h .
Il prossimo obiettivo è stabilire, dati un primo p e un intero positivo h, se e quanti
campi finiti con p h elementi esistono. A tale scopo ricordiamo la definizione di chiusura
algebrica di un campo.
Definizione 1.3. Sia F un campo. Un campo L contenente K si dice chiusura
algebrica di F se:

CAPITOLO 1. NOZIONI PRELIMINARI 3
• ogni elemento di L è algebrico su F ;
• ogni polinomio a coefficienti in L di grado d > 0 è prodotto di d polinomi di
primo grado a coefficienti in L.
Come dovrebbe essere ben noto al lettore, C è chiusura algebrica di R. Un risultato
fondamentale di algebra afferma che per un qualsiasi campo F , esiste sempre una sua
chiusura algebrica. Tale chiusura algebrica è unica a meno di isomorfismi che fissano
F elemento per elemento. La chiusura algebrica di F si denota con ¯ F .
Ora possiamo dimostrare il seguente risultato.
Teorema 1.4. Per ogni primo p e per ogni intero positivo h esiste un campo finito con
p h elementi.
Dimostrazione. Sia K il seguente sottoinsieme di ¯ Zp:
K = {x ∈ ¯ Zp | σ h (x) = x} ,
dove con σ si indica l’omomorfismo di Frobenius di ¯ Zp. Essendo σ h omomorfismo di
¯Zp, le seguenti proprietà sono di facile dimostrazione (lasciata pertanto al lettore):
• K è chiuso rispetto alla somma e al prodotto;
• 0, 1 ∈ K;
• K è chiuso rispetto al passaggio all’inverso.
Ciò prova che K è sottocampo di ¯ Zp. Resta da dimostrare che #K = ph . Osserviamo
che K coincide con l’insieme degli zeri del polinomio Xph − X. Ora, essendo
¯Zp algebricamente chiuso, per definizione il polinomio Xph − X si spezza in ph fattori
lineari:
X ph
− X = (X − a1)(X − a2) · · · (X − aph), con a, a1, . . . , aph ∈ ¯ Zp. Osserviamo che ai = aj per ogni 1 ≤ i < j ≤ ph . Infatti un
polinomio ha fattori lineari ripetuti solo se ha una radice in comune con la sua derivata,
e nel nostro caso la derivata D(X ph − X) non ha radici essendo
D(X ph
− X) = p h X ph −1 − 1 = −1 .

CAPITOLO 1. NOZIONI PRELIMINARI 4
Chiaramente,
e la dimostrazione è conclusa.
K = {a1, . . . , a p h} ,
Naturalmente se si vuole costruire concretamente un campo finito con p h elementi non
si può utilizzare la dimostrazione precedente. La seguente costruzione ha il vantaggio
di partire invece che dalla chiusura algebrica di Zp, da un oggetto molto più concreto:
un polinomio irriducibile su Zp di grado opportuno.
Teorema 1.5. Sia g(X) un polinomio irriducibile di grado h a coefficienti in Zp. Sia
(g) l’ideale principale di Zp[X] generato da g(X). Allora l’anello quoziente
è un campo con p h elementi.
Zp[X]/(g)
Ometteremo la dimostrazione di tale risultato, procedendo invece al suo utilizzo per la
costruzione concreta di un campo finito.
Esempio 1.6. Si vuole un campo finito con 4 elementi. Si ha subito che in Z2[X] esiste
un solo polinomio irriducibile, ovvero g(X) = X 2 + X + 1. Gli elementi dell’anello
quoziente
K = Z2[X]/(X 2 + X + 1)
possono essere rappresentati da polinomi di grado minore o uguale di 1. Ovvero i
quattro elementi di K saranno
0 = [0], 1 = [1], a1 = [X], a2 = [1 + X] .
Per costruire le tabelle additiva e moltiplicativa dovremo ragionare nell’anello quoziente.
La tabella additiva è immediata, in quanto sommando due polinomi il loro grado
non cresce. Pertanto avremo ad esempio
1 + a1 = a2, a1 + a2 = 1, a1 + a2 = 0 .
La tabella moltiplicativa è più riposta. Se ad esempio volessimo calcolare a1a2, il
prodotto dei loro rappresentanti darebbe X 2 + X, che apparentemente non figura nei

CAPITOLO 1. NOZIONI PRELIMINARI 5
quattro elementi di K. Per stabilire il risultato dovremo allora dividere X 2 + X per
g(X): il resto della divisione sarà un polinomio di grado minore del grado di g(X) e
che sarà nella stessa classe di X 2 + X. Nel nostro caso,
e pertanto a1a2 = 1.
X 2 + X = 1 · g(X) + 1
Tale procedimento costruttivo si può applicare sempre, valendo il seguente risultato di
cui omettiamo la dimostrazione.
Lemma 1.7. Per ogni intero positivo h, nell’anello di polinomi Zp[X] esiste almeno
un polinomio g(X) irriducibile e di grado h.
Esercizio 4. Si costruiscano le tabelle additiva e moltiplicativa di un campo finito con
9 elementi.
Come conseguenza del fatto che la chiusura algebrica di un campo è unica a meno di
automorfismi, si ha il seguente risultato.
Teorema 1.8. Due campi finiti della stessa cardinalità sono isomorfi.
Dimostrazione. Sia K un campo finito di ordine p h , e sia L una sua chiusura algebrica.
Essendo K estensione finita di Zp, si ha che L è anche chiusura algebrica di Zp.
Osserviamo che ogni elemento non nullo a ∈ K è tale che a ph −1 = 1, in quanto p h − 1
è l’ordine del gruppo moltiplicativo di K. Pertanto
a ph
= a per ogni a ∈ K ,
e K coincide necessariamente con il campo delle radici di Xph − X in L.
Ora sia K ′ un altro campo finito di ordine ph . Come sopra, ogni sua chiusura algebrica
L ′ è anche chiusura algebrica di Zp, e K ′ coincide necessariamente con il campo delle
radici di Xph − X in L ′ .
Essendo L e L ′ chiusure algebriche dello stesso campo Zp, si ha che esiste un isomorfismo
φ : L → L ′ . Tale isomorfismo induce per restrizione un isomorfismo di K in K ′ . Infatti,
per ogni a ∈ K, si ha che φ(a) ∈ K ′ essendo
φ(a) ph
= φ(a ph
) = φ(a) .

CAPITOLO 1. NOZIONI PRELIMINARI 6
Per questo motivo d’ora in poi parleremo del campo finito di ordine p h . Solitamente
porremo q = p h , e con Fq indicheremo il campo finito con q elementi.
1.1.2 Il gruppo moltiplicativo
Una caratteristica fondamentale dei campi finiti è che il loro gruppo moltiplicativo è
un gruppo ciclico. Come è usuale, indicheremo con F ∗ l’insieme degli elementi non
nulli di un campo F .
Teorema 1.9. Il gruppo moltiplicativo (F ∗ q, ·) di un campo finito Fq è ciclico.
Dimostrazione. Sia S un ℓ-sottogruppo di Sylow di F ∗ q. Sia a ∈ S un elemento di ordine
massimo ℓj . Gli elementi 1, a, a2 , . . . , aℓj−1 j ci danno ℓ radici distinte del polinomio
Xℓj − 1. Si noti essendo ℓj il grado di Xℓj − 1, in F∗ q non possono esservi altre radici
di questo polinomio. Sia ora b un qualunque elemento in S. Sia ℓk l’ordine di b.
Chiaramente si ha che k ≤ j. Pertanto bℓj = (bℓk) ℓj−k = 1. Questo ci dice che anche
b è radice di Xℓj − 1, e pertanto dovrà essere potenza di a. Per arbitrarietà di b, S è
gruppo ciclico generato da a.
Siano ℓ1, . . . , ℓr i divisori primi distinti di #F ∗ q = q − 1. Essendo F ∗ q abeliano, si ha che
F ∗ q è prodotto diretto dei suoi sottogruppi di Sylow
Sℓ1, Sℓ2, . . . , Sℓr ,
ciascuno dei quali è ciclico per quanto detto sopra. Sia Sℓi =< ai >. Si lascia come
facile esercizio per il lettore dimostrare che a1a2 · · · ar ha ordine ℓ1ℓ2 · · · ℓr, e pertanto
è un generatore di F ∗ q.
Un generatore del gruppo moltiplicativo di Fq si dice elemento primitivo di Fq.
Esercizio 5. Si descriva il campo finito con 8 elementi, individuando un suo elemento
primitivo.
Per ogni intero positivo d, l’elevamento a d-ma potenza definisce un omomorfismo del
gruppo moltiplicativo di Fq in sè, che indicheremo con ψd:
ψd : F ⋆ q → F ⋆ q, x ↦→ x d .

CAPITOLO 1. NOZIONI PRELIMINARI 7
Lemma 1.10. Il nucleo di ψd consiste di (d, q − 1) elementi.
Dimostrazione. Sia w un elemento primitivo di Fq. Si denoti con e il massimo comun
divisore (d, q−1) di d e q−1 . Proviamo che Ker(ψd) è generato da w q−1
e . Chiaramente
w q−1
e
d
=
w d
e
q−1 = 1 ,
e quindi w q−1
e ∈ Ker(ψd). Sia ora a ∈ Ker(ψd). Essendo w elemento primitivo, esiste
s tale che a = w s . Pertanto si ha che w sd = 1. L’ordine di w è q − 1, e pertanto q − 1
divide sd. Ne segue che
e ·
q − 1
e
| sd,
da cui, non avendo d e (q − 1)/e divisori in comune, si ha che q−1
e
Ker(ψd) =< w q−1
q−1
i e >= {w e | i = 1, . . . , e} .
Come conseguenza immediata abbiamo questo risultato.
Teorema 1.11. Sia d un intero positivo minore di q. Allora
divide s. Pertanto
(A) Le radici d-me dell’unità in Fq formano un gruppo ciclco di ordine (d, q − 1).
(B) Le potenze d-me non nulle in Fq sono in numero di
q−1
(d,q−1) .
(C) Se un elemento a ∈ F ∗ q ha una radice d-ma in Fq, allora ha esattamente (d, q − 1)
radici d-me in Fq.
Dimostrazione. (A) semplicemente è una formulazione diversa del Lemma. (B) e (C)
seguono dal fatto che Im(ψd) è isomorfo al quoziente F ∗ q/Ker(ψd)
Corollario 1.12. In un campo finito di ordine dispari, esattamente la metà degli elementi
non nulli è un quadrato. In un campo finito di ordine pari, tutti gli elementi
sono quadrati.

CAPITOLO 1. NOZIONI PRELIMINARI 8
Esercizio 6. Provare che in un campo finito di ordine dispari q, per ogni elemento
primitivo w si ha
−1 = w q−1
2
Esercizio 7. Provare che −1 è un quadrato in Fq, q dispari, se e solo se q ≡ 3 (mod 4).
Esercizio 8. Nel campo finito con 11 elementi, esibire il gruppo delle radici quarte
dell’unità. Si ripeta l’esercizio nel campo finito di ordine 13.
1.1.3 Sottocampi
Proviamo il seguente teorema.
Teorema 1.13. Un campo finito con q ′ elementi é sottocampo di Fq se e solo se q =
(q ′ ) r per qualche intero positivo r.
Dimostrazione. Supponiamo che un campo finito H con q ′ elementi sia sottocampo di
Fq. Allora Fq è estensione finita di H, e pertanto l’ordine di Fq deve essere una potenza
dell’ordine di H.
Viceversa, se q = (q ′ ) r , allora
q − 1 = (q ′ ) r − 1 = (q ′ − 1)((q ′ ) r−1 + (q ′ ) r−2 + . . . + q ′ + 1).
Sia w generatore del gruppo moltiplicativo di Fq, e sia
α = ω (q′ ) r−1 +(q ′ ) r−2 +...+q ′ +1 .
Allora si vede facilmente che il sottoinsieme di Fq
H = {α i | i = 1, . . . , q ′ − 1} ∪ {0}
consiste di q ′ radici distinte del polinomio Xq′ − X. Pertanto H è campo finito con q ′
elementi.

CAPITOLO 1. NOZIONI PRELIMINARI 9
1.1.4 Automorfismi di un campo finito
Il gruppo di automorfismi di un campo finito si può facilmente determinare.
Teorema 1.14. Sia q = p h , h primo. Allora il gruppo degli automorfismi di Fq è il
gruppo ciclico di ordine h generato da
σ : x ↦→ x p .
Dimostrazione. Si è già visto come σ sia automorfismo di ogni campo finito di
caratteristica p > 0. Si noti che la i-ma potenza di σ è
σ i : x ↦→ x pi
.
L’ordine di σ è uguale a h: chiaramente σh = id, ed inoltre se fosse σi = id per i < h
si avrebbero q > pi radici del polinomio Xpi − X.
Proviamo ora che non ci sono automorfismi diversi dalle h potenze di σ. Osserviamo
che ogni automorfismo φ di Fq fissa Zp elemento per elemento, dovendo essere φ(1) = 1,
φ(1+1) = φ(1)+φ(1) = 1+1, e così via. Sia w un generatore del gruppo moltiplicativo
di Fq, e sia m(x) il suo polinomio minimo su Zp. Chiaramente il grado di m è minore o
uguale di h, il grado dell’estensione Fq : Zp (in realtà si può dimostrare che deg(m) = h).
Si osservi che φ(w) deve essere ancora una radice di Pw dato che φ ne fissa i coefficienti.
Essendo il numero di tali radici minore o uguale a h, l’asserto è dimostrato.
1.2 Spazi proiettivi sopra un campo
Sia P r (F ) uno spazio proiettivo di dimensione r sopra un campo F . L’insieme dei suoi
punti è costituito da tutte le (r + 1)-ple di elementi di F , P = (x0 : x1 : . . . : xr), non
tutti nulli, definite a meno di un fattore di proporzionalità non nullo. Un insieme di n
punti si dice indipendente se mai uno di tali punti è combinazione lineare dei rimanenti,
dipendente in caso contrario.
Una retta si ottiene come combinazione lineare a coefficienti in F di due punti distinti
R e Q, cioè essa è l’insieme dei punti
P = λR + µQ, λ, µ ∈ F, (λ, µ) = (0, 0) .

CAPITOLO 1. NOZIONI PRELIMINARI 10
Un piano si ottiene considerando le combinazioni lineari di tre punti indipendenti. In
generale, un sottospazio di dimensione d è costituito dai punti le cui coordinate sono
combinazione lineare a coefficienti in F di d + 1 punti indipendenti. Il sottospazio
generato da un insieme di punti è il più piccolo sottospazio che contiene tale insieme.
È facile verificare che un sottospazio di dimensione d e un iperpiano che non lo contiene
si incontrano in un sottospazio di dimensione d−1. Invece un sottospazio di dimensione
d e un punto non in esso contenuto generano un sottospazio di dimensione d + 1.
Un iperpiano può descriversi con un’equazione omogenea di primo grado nelle coordinate
omogenee x0, . . . , xn. Similmente un sottospazio di dimensione d può descriversi
con r − d equazioni omogenee di primo grado indipendenti.
Definizione 1.15. Una collineazione di uno spazio proiettivo P r (F ) è una biiezione
dell’insieme dei punti dello spazio che muta rette in rette.
Una classe importante di collineazioni è data dalle collineazioni lineari, o proiettività.
Definizione 1.16. Una proiettività di uno spazio proiettivo P r (F ) è una collineazione
indotta da una matrice invertibile A di ordine r + 1 a coefficienti in F , secondo la legge
(x0 : . . . : xr) ↦→ (x0 : . . . : xr) · A .
Si noti che due matrici distinte possono indurre la stessa trasformazione. Precisamente
questo accade se e solo se le una matrice si ottiene dall’altra per moltiplicazione rispetto
a una matrice scalare λ · Ir+1, λ ∈ F , λ = 0.
Teorema 1.17. Ogni collineazione φ : P r (F ) → P r (F ) è tale che esistono una matrice
invertibile A di ordine r + 1 a coefficienti in F , ed un automorfismo η del campo F ,
tali che
φ(x0 : . . . : xr) = (η(x0) : . . . : η(xr)) · A .
Esercizio 9. Esistono collineazioni del piano proiettivo reale che non sono proiettività?
E nel piano proiettivo complesso? E nel piano proiettivo sopra il campo finito con 9
elementi?
Infine ricordiamo il cosiddetto Teorema Fondamentale della Geometria Proiettiva.

CAPITOLO 1. NOZIONI PRELIMINARI 11
Teorema 1.18. Siano (P1, . . . , Pr+2) e (Q1, . . . , Qr+2) insiemi ordinati di r + 2 punti
di P r (K) tali che r + 1 punti comunque scelti nello stesso insieme sono indipendenti.
Allora esiste un’unica proiettività φ tale che ψ(Pi) = Qi per ogni i = 1, . . . , n + 2.
Esercizio 10. Si costruisca la proiettività ψ del piano proiettivo reale tale che
1.2.1 Lo spazio P G(r, q)
ψ(0 : 0 : 1) = (2 : 3 : 0), ψ(0 : 1 : 0) = (1 : 1 : 0),
ψ(1 : 0 : 0) = (1 : 1 : 1), ψ(1 : 1 : 1) = (1 : 0 : 1).
Esaminiamo ora in maggiore dettaglio il caso in cui F sia un campo finito Fq. In tal
caso lo spazio proiettivo Pr (F ) si denota con P G(r, q). Porremo inoltre, per ogni intero
non negativo d,
d
θd = q i
.
Teorema 1.19. In P G(r, q) un sottospazio di dimensione d contiene esattamente θd
punti. In particolare i punti di P G(r, q) sono q r + q r−1 + . . . + q + 1.
Dimostrazione. Per definizione un sottospazio di dimensione d è costituito dai punti
le cui coordinate omogenee si ottengono come combinazione lineare di quelle di d + 1
punti indipendenti, ovvero
i=0
P = λ0P0 + . . . + λdPd , (λ0, . . . , λd) = (0, . . . , 0) .
Le possibilità per la (d + 1)-pla ordinata (λ0, . . . , λd) chiaramente sono q d − 1. Inoltre,
essendo i punti indipendenti, due di tali (d + 1)-ple danno luogo allo stesso punto
se e solo se esse differiscono per un fattore di proporzionalità non nullo. Essendo gli
elementi non nulli di Fq in numero di q −1, si ha che il numero dei punti del sottospazio
è
q d − 1
q − 1 = qd + q d−1 + . . . + 1 .

CAPITOLO 1. NOZIONI PRELIMINARI 12
Esercizio 11. Si determinino i punti di P G(2, 5) appartenenti alla retta di equazione
3x0 + 2x1 − x2 = 0.
Esercizio 12. Quante sono le proiettività della retta proiettiva sopra il campo finito
con 3 elementi? Quante sono le proiettività del piano proiettivo sopra il campo finito
con 7 elementi?
Il gruppo delle proiettività di uno spazio proiettivo sopra un campo finito P G(r, q) è un
ovviamente un gruppo finito. Per quanto detto nella sezione precedente, tale gruppo è
isomorfo al quoziente
P GL(r + 1, q) = GL(r + 1, q)/{λ · Ir+1 | λ ∈ Fq, λ = 0} ,
dove GL(r + 1, q) è il gruppo delle matrici invertibili di ordine r + 1 a coefficienti in Fq.
Esercizio 13. Si calcoli il numero di proiettività di uno spazio proiettivo P G(r, q).

Capitolo 2
Codici Lineari
2.1 Codici e loro parametri
In questo capitolo definiamo le nozioni principali della teoria dei codici correttori. Sia
A un insieme finito, che chiameremo alfabeto. L’insieme A n = A × · · · × A è dotato
della cosiddetta metrica di Hamming: la distanza d(a, b) è il numero di coordinate in
cui a e b differiscono:
d((a1, . . . , an), (b1, . . . , bn)) = #{i | ai = bi} .
Con q indichiamo la cardinalità dell’alfabeto. Ogni insieme non vuoto C ⊆ A n si dice
codice q-ario di lunghezza n. La cardinalità di C è M, mentre la cardinalità logaritmica
si definisce come k = log q(M) ∈ R. La distanza minima è
d = min{d(a, b) | a, b ∈ C, a = b} .
Un codice con questi parametri si dice [n, k, d]q codice. Gli elementi di C sono detti parole
codice. La qualità di un codice è misurata in prima istanza dai seguenti parametri
relativi: il tasso di informazione R = k
d
, e la distanza relativa δ = . Chiaramente si
n n
ha che 0 ≤ R ≤ 1 e 0 ≤ δ ≤ 1.
Spieghiamo brevemente perché i codici sono detti correttori di errori. Si consideri un
messaggio sufficientemente lungo e scritto nell’alfabeto A. Quando il messaggio viene
trasmesso attraverso un canale, può essere soggetto a distorsioni. Come risolvere tale
13

CAPITOLO 2. CODICI LINEARI 14
situazione? Sia C un [n, k, d]q-codice, e si supponga per semplicità che k sia intero. Si
definisca una funzione (codifica) E : A k → C ⊆ A n iniettiva che associa ad ogni parola
di lunghezza k un elemento di C. Si suddivida il messaggio in blocchi di lunghezza
k, e invece di inviare tali blocchi a ∈ Ak si trasmetta la parola corrispondente E(a)
volte più lenta. Il destinatario
di lunghezza n. La trasmissione in questo modo è 1
R
riceverà una parola distorta E(a) ′ ∈ An , che trasformerà nella parola di C più vicina
secondo la metrica di Hamming, diciamo E(a) ′′ . Questa procedura è basata sul fatto
che se il numero di posizioni di E(a) che sono mutate per effetto delle distorsioni è al
più d−1
2 , allora E(a)′′ = E(a). Naturalmente se il numero di errori che intervengono
è maggiore di d−1
2 , non potremo in nessun modo garantire che E(a)′′ = E(a). Sia
t = ⌊ d−1
2
⌋. Un buon codice è un codice con n grande e con R e δ più grandi possibili.
Sia per la costruzione di codici buoni, che per quella di efficienti algoritmi di codifica e
decodifica, i codici su un alfabeto arbitrario si rivelano di struttura troppo povera. È
possibile arricchire tale struttura andando a considerare i codici lineari.
Sia ora A = Fq, con q = p m . Un codice lineare C di lunghezza n è un sottospazio
vettoriale C ⊆ F n q ; per codici lineari, k = dimFq(C). Inoltre, la distanza minima può
essere vista come il peso minimo di una parola non nulla.
Esercizio 14. Si provi che per un codice lineare
dove a = #{i | ai = 0} è il peso di a.
d = min{ a | a ∈ C, a = 0} ,
D’ora in poi considereremo soltanto codici lineari.
Definizione 2.1. Una matrice generatrice di un [n, k, d]q-codice è una matrice di tipo
(k × n) a coefficienti in Fq le cui righe sono una base di C.
Esercizio 15. Sia G una matrice generatrice di un [n, k, d]q-codice C. Si provi che
C = {x · G | x ∈ F k q } .
Definizione 2.2. Sia C un [n, k, d]q-codice. Il codice duale C ⊥ di C è il codice di
lunghezza n definito da
C ⊥ = {a ∈ F n q |< a, x >= 0 per ogni x ∈ C},
dove con < ·, · > si intende il prodotto scalare ordinario.

CAPITOLO 2. CODICI LINEARI 15
D’ora in avanti si denoti con 0 il vettore nullo di F n q .
Esercizio 16. Sia G una matrice generatrice di un [n, k, d]q-codice C. Si provi che
C ⊥ = {x ∈ F n q | G · x t = 0} .
Esercizio 17. Si provi che dimFq(C ⊥ ) = n − k.
Esercizio 18. Si provi che (C ⊥ ) ⊥ = C.
Definizione 2.3. Una matrice di controllo di parità di un [n, k, d]q-codice è una matrice
di tipo (n − k) × n a coefficienti in Fq che è una matrice generatrice di C ⊥ .
Pertanto, se H è matrice di controllo di parità di un [n, k, d]q-codice C, si ha
C = {x ∈ F n q | H · x t = 0} .
Esercizio 19. Sia H la matrice di controllo di parità di un [n, k, d]q-codice C. Si provi
che comunque si scelgano d−1 colonne di H tali colonne sono linearmente indipendenti,
e che esistono d colonne di H linearmente dipendenti. Suggerimento: se si denotano
H 1 , H 2 , . . . , H n le colonne di H, e se x = (x1, . . . , xn), allora
H · x t = x1H 1 + x2H 2 + . . . + xnH n .
Una domanda naturale è la seguente: che relazione esiste fra due matrici generatrici di
uno stesso codice?
Proposizione 2.4. Siano G = (gi,j) e G ′ = (g ′ i,j) due matrici generatrici di due
[n, k, d]q-codici C e C ′ . Allora C = C ′ se e solo se esiste N ∈ GL(k, q) tale che
G ′ = NG .
Dimostrazione. Supponiamo che C = C ′ . Siano G1, . . . , Gk le righe di G, e analoga-
} sono basi di C.
mente G ′ 1, . . . , G ′ k le righe di G′ . Sia {G1, . . . , Gk} che {G ′ 1, . . . , G ′ k
Sia M la matrice del cambiamento di base da {G ′ 1, . . . , G ′ k } a {G1, . . . , Gk}. Ovvero,
sia M = (mjl) la matrice invertibile tale che per ogni l = 1, . . . , k
G ′ l =
k
j=1
mjlGj .

CAPITOLO 2. CODICI LINEARI 16
Scrivendo l’eguaglianza precedente elemento per elemento si ha
Ponendo N = M t si ha l’asserto.
g ′ l,i =
Supponiamo ora che G ′ = NG. Allora
k
j=1
mjlgj,i .
C ′ = {x · N · G | x ∈ F k q} .
Essendo N invertibile si ha che l’insieme x · N descrive tutto F k q, e quindi
C ′ = {y · G | y ∈ F k q} = C .
Un analogo risultato vale per una matrici di controllo di parità.
Proposizione 2.5. Siano H = (hi,j) e H ′ = (h ′ i,j) due matrici di controllo di parità
di uno stesso [n, k, d]q-codice C. Allora esiste N ∈ GL(n − k, q) tale che
H ′ = NH .
Dimostrazione. Si noti che H e H ′ sono due matrici generatrici del codice duale di C.
Allora l’asserto segue dalla Proposizione 2.4.
2.2 Equivalenze e automorfismi
Ingenuamente si potrebbe pensare che, essendo tutti i sottospazi vettoriali di F n q di
dimensione k isomorfi, tutti gli [n, k, d]q-codici siano equivalenti. Così non è, dato che
in generale un isomorfismo lineare non conserva il peso di un vettore.
Gli isomorfismi che sono considerati equivalenze di [n, k, d]q-codici sono le restrizioni di
quegli automorfismi di F n q rappresentati da matrici monomiali. Una matrice monomiale
è una matrice invertibile contenente in ogni riga e in ogni colonna un unico elemento
non nullo (equivalentemente, una matrice si dice monomiale se è il prodotto di una
matrice di permutazione per una matrice diagonale). Si noti che se M è una matrice
monomiale, allora:

CAPITOLO 2. CODICI LINEARI 17
• il peso di x ∈ F n q é lo stesso di x · M;
• una matrice B con n colonne a coefficienti in Fq viene trasformata dal prodotto
B · M in una matrice che ha colonne proporzionali a quelle di B, eventualmente
permutate.
Sia A il gruppo costituito da automorfismi di F n q rappresentati da matrici monomiali.
Esercizio 20. Si dimostri che #A = (q − 1) n · n!
Definizione 2.6. Due [n, k, d]q-codici C e C ′ si dicono equivalenti se esiste A ∈ A tale
che C ′ = A(C).
Vediamo ora come esprimere il concetto di equivalenza in termini di matrici generatrici
e di controllo di parità.
Lemma 2.7. Due [n, k, d]q-codici C e C ′ sono equivalenti se e solo se i loro duali lo
sono.
Dimostrazione.
È sufficiente provare un’implicazione, dato che l’altra segue da
(C ⊥ ) ⊥ = C. Siano dunque C e C ′ equivalenti. Allora esiste una matrice monomiale
M tale che
x ∈ C ⇔ xM ∈ C ′ .
Ricordando la nota formula di aggiunzione
< xM, y >= x · M · y t = y · M t · x t =< yM t , x >=< x, yM t > ,
si ha la seguente catena di equivalenze:
y ∈ (C ′ ) ⊥ ⇔< x, y >= 0 per ogni x ∈ C ′
⇔< xM, y >= 0 per ogni x ∈ C ⇔< x, yM t >= 0 per ogni x ∈ C ⇔ yM t ∈ C ⊥ .
Essendo M t chiaramente monomiale, si ha che (C ′ ) ⊥ è equivalente a C ⊥ .
Proposizione 2.8. Siano G e G ′ due matrici generatrici di due [n, k, d]q-codici C e
C ′ . Allora C e C ′ sono equivalenti se e solo se esistono una matrice n × n monomiale
M, ed una matrice k × k invertibile N tali che
G ′ = NGM .

CAPITOLO 2. CODICI LINEARI 18
Dimostrazione. Sia C ′ equivalente a C. Allora esiste una matrice monomiale M che
trasforma i vettori di C in quelli di C ′ . In particolare, GM è una matrice generatrice
di C ′ . Dalla Proposizione 2.4 si ha quindi che
G ′ = NGM .
Viceversa, se G = NGM dalla Proposizione 2.4 segue che G ′ e GM sono matrici generatrici
dello stesso codice C ′ . Chiaramente il codice che ha come matrice generatrice
GM è il codice che ha come matrice generatrice G, trasformato secondo la matrice
monomiale M. Pertanto, C ′ è equivalente a C.
Proposizione 2.9. Siano H e H ′ due matrici di controllo di parità di due [n, k, d]qcodici
C e C ′ . Allora C e C ′ sono equivalenti se e solo se esistono una matrice n × n
monomiale M, ed una matrice (n − k) × (n − k) invertibile N tali che
H ′ = NHM .
Dimostrazione. L’asserto segue dalla Proposizione 2.8 e dal Lemma 2.7.
Definizione 2.10. Sia C un [n, k, d]q-codice. Il gruppo Aut(C) degli automorfismi di
C è il gruppo degli elementi A ∈ A tali che A(C) = C.
2.3 Codici e sistemi proiettivi
La nozione di codice lineare può essere riformulata in termini di sottoinsiemi di spazi
proiettivi di Galois.
Premettiamo che nel seguito con l’espressione insieme di n punti (non necessariamente
distinti) di uno spazio proiettivo P G(r, q) intenderemo un elemento del quoziente di
P G(r, q) n rispetto alla relazione d’equivalenza
(P1, . . . , Pn) ∼ (Q1, . . . , Qn) ⇔ esiste α ∈ Sn tale che Qi = Pα(i) .
Per brevità , talvolta chiameremo n-insieme un insieme di n punti (non necessariamente
distinti) di uno spazio proiettivo finito.
Definizione 2.11. Un [n, k, d]q-sistema proiettivo è un n-insieme P di P G(k − 1, q)
tale che

CAPITOLO 2. CODICI LINEARI 19
• non esiste un iperpiano contenente tutti i punti di P;
• d = n − max{#P ∩ H | H iperpiano di P G(k − 1, q)}.
Due [n, k, d]q-sistemi proiettivi P e P ′ sono detti equivalenti se esiste una proiettività
di P G(k − 1, q) che manda P in P ′ . Inoltre diremo che un codice lineare C ⊂ F n q è
degenere se è contenuto in un sottospazio vettoriale di equazione xi = 0.
Proposizione 2.12. Sia k ≥ 1, d ≥ 1. C’è una corrispondenza biiettiva fra le classi di
equivalenza di [n, k, d]q-codici non-degeneri e le classi di equivalenza di [n, k, d]q-sistemi
proiettivi.
Dimostrazione. Sia G una matrice generatrice di un [n, k, d]q-codice non-degenere con
d ≥ 1 e k ≥ 1. Osserviamo che ogni colonna di G è un vettore non nullo di F k q,
e pertanto definisce un punto di P G(k − 1, q) (si noti che la colonna nulla è esclusa
dalla condizione di non degenericità del codice). Sia PG l’n-insieme di tali punti, che
indicheremo con P1, . . . , Pn. Osserviamo che per definizione di matrice generatrice ogni
parola codice non nulla è di tipo
x = (< a, P1 >, . . . , < a, Pn >)
per qualche a = (a0, . . . , ak−1) ∈ F k q, a = (0, . . . , 0). Il numero di componenti non nulle
di x è pertanto il numero di punti di PG non appartenenti all’iperpiano di equazione
a0X0 + a1X1 + . . . + ak−1Xk−1 = 0 .
Da qui segue che PG è un [n, k, d]q-sistema proiettivo.
Proviamo ora che se due matrici G e G ′ generano due codici C e C ′ equivalenti, allora
PG e PG ′ sono sistemi proiettivi equivalenti. Dalla Proposizione 2.8 si ha che C e C′
sono equivalenti se e solo se
G ′ = N · G · M
per qualche matrice N invertibile k × k e per qualche matrice M monomiale n × n.
L’osservazione chiave è che PG·M = PG, ovvero le colonne di G·M definiscono lo stesso
sistema proiettivo di G. Infatti M agisce su tali colonne semplicemente permutandole
e moltiplicandole per scalari non nulli; quindi l’insieme di punti di P G(k − 1, q)
corrispondente non varia. A questo punto è immediato verificare che PG ′ è l’insieme

CAPITOLO 2. CODICI LINEARI 20
ottenuto da PG·M = PG mediante l’azione della proiettività di P G(k − 1, q) definita da
N.
Pertanto abbiamo costruito un’applicazione fra le classi di equivalenza di [n, k, d]qcodici
non-degeneri e le classi di equivalenza di [n, k, d]q-sistemi proiettivi.
Si lascia come esercizio la dimostrazione della biiettività di tale applicazione.
Presentiamo ora un approccio ancora diverso.
Definizione 2.13. Un [n, k, d]q-sistema proiettivo duale è un n-insieme Q di P G(n −
k − 1, q) tale che
• non esiste un iperpiano contenente tutti i punti di Q;
• d è il minimo numero di punti linearmente dipendenti di Q.
Proposizione 2.14. Sia k ≥ 1 e d > 1. C’è una corrispondenza biiettiva fra le classi
di equivalenza di [n, k, d]q-codici e le classi di equivalenza di [n, k, d]q-sistemi proiettivi
duali.
Dimostrazione. Sia H una matrice di controllo di parità di un [n, k, d]q-codice con d > 1
e k ≥ 1. Osserviamo che d > 1 implica che ogni colonna di H è un vettore non nullo
di F n−k
q , e pertanto definisce un punto di P G(n − k − 1, q). Sia QH l’n-insieme di
tali punti, che indicheremo con Q1, . . . , Qn. Osserviamo che per definizione di matrice
di controllo di parità (si veda anche l’Esercizio 19), d è il minimo numero di punti
linearmente dipendenti di QH. Inoltre, nessun iperpiano può contenere QH in quanto
il rango della matrice H è n − k, e quindi esistono n − k punti di QH linearmente
indipendenti. Pertanto, QH è un [n, k, d]q-sistema proiettivo duale.
Proviamo ora che se due matrici G e G ′ generano due codici C e C ′ equivalenti, allora
QH e QH ′ sono sistemi proiettivi equivalenti. Dalla Proposizione 2.9 si ha che C e C′
sono equivalenti se e solo se
H ′ = N · H · M
per qualche matrice N invertibile k × k e per qualche matrice M monomiale n × n. A
questo punto la dimostrazione prosegue come nella Proposizione 2.12.

CAPITOLO 2. CODICI LINEARI 21
Riassumendo, ad un [n, k, d]q-codice C si possono associare due classi di n-insiemi di
spazi proiettivi finiti. La prima è quella che si ottiene considerando l’insieme PC dei
punti le cui coordinate sono le colonne di una matrice generatrice di C; si ha che PC
è contenuto in P G(k − 1, q) e che il massimo numero di punti di PC contenuti in uno
stesso iperpiano è n−d. La seconda è quella dell’insieme QC dei punti le cui coordinate
sono le colonne di una matrice di controllo di parità di C; si noti che QC è contenuto
in P G(n − k − 1, q) e che il minimo numero di punti linearmente dipendenti di QC è d.
Viceversa, un n-insieme I di P G(r, q) che non sia contenuto in un iperpiano può essere
visto sia come sistema proiettivo che come sistema proiettivo duale. Nel primo caso si
associa a I la classe del codice CI definito come quel codice la cui matrice generatrice
ha come colonne le coordinate dei punti di I; tale codice ha parametri k = r + 1, e
d = n − MI, dove MI indica il massimo numero di punti di I contenuti in uno stesso
iperpiano. Nel secondo caso si associa a I la classe del codice C ⊥ I , duale di CI, la cui
matrice di controllo di parità ha come colonne le coordinate dei punti di I; i parametri
di I sono k = n − (r + 1) e d = mI, dove mI indica il minimo numero di punti di I
dipendenti.
Si noti che, in virtù delle Proposizioni 2.12 e 2.14,
• il codice CPC
• il codice C ⊥ QC
è equivalente a C;
è equivalente a C;
• il codice CQC è equivalente a C⊥ .
Le seguenti definizioni torneranno utili in seguito.
Definizione 2.15. Sia I un n-insieme di P G(r, q). Allora
• I si dice M-completo se non esiste I ′ (n + 1)-nsieme di P G(r, q) contenente I e
tale che MI ′ = MI.
• I si dice m-completo se non esiste I ′ (n+1)-insieme P G(r, q) contenente I e tale
che mI ′ = mI.
Si lascia come esercizio dimostrare che le seguenti definizioni sono equivalenti alle
precedenti:

CAPITOLO 2. CODICI LINEARI 22
• I è M-completo se l’insieme degli iperpiani di P G(r, q) che incontrano I in MI
punti costituisce un ricoprimento di P G(r, q).
• I è m-completo se l’insieme dei sottospazi di dimensione mI − 3 generati da
mI − 2 punti indipendenti di I costituisce un ricoprimento di P G(r, q).
Esercizio 21. Sia A un insieme di n punti di P G(r, q) a r + 1 a r + 1 indipendenti,
detto n-arco di P G(r, q). Si studino i parametri di A come sistema proiettivo e come
sistema proiettivo duale.
Esercizio 22. Sia A un insieme di n punti di P G(r, q) a 3 a 3 non allineati, detto
n-calotta di P G(r, q). Si fornisca una stima dei parametri di A come sistema proiettivo
duale.
Esercizio 23. Sia A un insieme di n punti di P G(2, q) a s a s non allineati, e tale che
esistono s + 1 punti allineati in A, detto (n, s)-arco di P G(2, q). Si fornisca una stima
dei parametri di A come sistema proiettivo.
Esercizio 24. Si provi che un n-arco di P G(r, q) è M-completo se e solo se è mcompleto.
Esercizio 25. Si rappresenti F4 come {0, 1, ω, ω + 1 | ω 2 = ω + 1}. Si consideri il
seguente 5-insieme di P G(2, 4):
I = {(1 : 0 : 0), (1 : 1 : 1), (1 : ω : ω + 1), (1 : ω + 1 : ω), (0 : 0 : 1)}
• si provi che I è un 5-arco;
• si stabilisca se I è m-completo.
2.4 Limitazioni
2.4.1 Disuguaglianza di Singleton
Fissati n e k, i migliori codici lineari sono chiaramente quelli con d più grande possibile.
La seguente proposizione stabilisce una limitazione superiore per d.

CAPITOLO 2. CODICI LINEARI 23
Proposizione 2.16. Sia C un [n, k, d]q-codice lineare. Allora
d ≤ n − k + 1 .
Dimostrazione. Sia Q un sistema proiettivo duale associato a C. Essendo Q un insieme
di punti di P G(n − k − 1, q), ogni sottoinsieme di cardinalità n − k + 1 è costituito
necessariamente da punti dipendenti.
Un codice tale che d = n − k + 1 viene detto ottimale, o MDS (Maximum Distance
Separable). Osserviamo che, attraverso la corrispondenza con i sistemi proiettivi duali,
i codici MDS corrispondono agli n-archi di P G(r, q).
Esercizio 26. Si dimostri che il codice duale C ⊥ di un codice MDS C è ancora un
codice MDS. Suggerimento: si consideri un sistema proiettivo associato a C, e si ragioni
sul fatto che esso è un sistema proiettivo duale associato a C ⊥ .
Si definisce difetto di Singleton ∆C di un [n, k, d]q-codice C l’intero
∆C = n − k + 1 − d .
Chiaramente ∆C = 0 se e solo se C è MDS. I codici con difetto di Singleton pari a 1
sono detti codici Almost MDS (AMDS). Ovviamente a parità di n e k i codici migliori
sono quelli con difetto di Singleton più basso. A parità invece di difetto di Singleton,
generalmente i codici considerati migliori sono quelli con con n più grande.
2.4.2 Lemma di Impoverimento
Il lemma seguente ci dice sostanzialmente che a partire da un codice se ne può sempre
definire uno peggiore (ovvero con difetto di Singleton più grande, oppure con lo stesso
difetto di Singleton ma con lunghezza minore).
Lemma 2.17. Sia C un [n, k, d]q-codice con k > 1, n > d ≥ 2. Allora esistono codici
con i seguenti parametri:
(a) [n + 1, k, d]q;
(b) [n − 1, k − 1, d]q;

CAPITOLO 2. CODICI LINEARI 24
(c) [n − 1, k, d − 1]q;
(d) [n, k − 1, d]q;
(e) [n, k, d − 1]q.
Dimostrazione. (a) Sia P un sistema proiettivo associato a C. Si consideri un iperpiano
di P G(k − 1, q) che incontra P nel massimo numero di punti. Sia P ′ il sistema
proiettivo ottenuto da P aggiungendo un ulteriore punto su tale iperpiano.
Allora P ′ è un [n + 1, k, d]q-sistema proiettivo.
(b) Sia Q un sistema proiettivo duale associato a C. Si considerino d punti di Q
linearmente dipendenti. Sia Q ′ il sistema proiettivo duale ottenuto da Q rimuovendo
uno dei punti distinti da quei d, scelti secondo il seguente criterio: i punti
di Q rimanenti non devono essere contenuti in un iperpiano (tale criterio si può
applicare: d − 1 di quei d punti sono indipendenti; è possibile aggiungere altri
n − k − d + 1 punti di Q fino ad arrivare a n − k indipendenti, per il teorema della
base incompleta; quindi ne esiste uno da eliminare non appena n−d > n−k−d+1,
ovvero k > 1). Allora Q ′ è un [n − 1, k − 1, d]q-sistema proiettivo duale.
(c) Sia P un sistema proiettivo associato a C. Si consideri un iperpiano di P G(k −
1, q) che incontra P nel massimo numero di punti. Sia P ′ il sistema proiettivo
ottenuto da P rimuovendo uno qualunque dei punti non appartenenti a tale
iperpiano. Allora P ′ è un [n − 1, k, d − 1]q-sistema proiettivo.
(d) Si usino (b) e (a).
(e) Si usino (c) e (a).
Esercizio 27. Sia I è un [n, k, d]q sistema proiettivo di P G(r, q). Sia I non Mcompleto.
Si provi che esiste un [n + 1, k, d + 1]q codice.
Esercizio 28. Sia I è un [n, k, d]q sistema proiettivo duale di P G(r, q). Sia I non
m-completo. Si provi che esiste un [n + 1, k + 1, d]q codice.

CAPITOLO 2. CODICI LINEARI 25
2.4.3 Disuguaglianza di Hamming
Definizione 2.18. In F n q , il numero di vettori la cui distanza di Hamming da una
fissata parola x è minore o uguale di r si indica con Vq(n, r).
Esercizio 29. Si provi che
Vq(n, r) =
r
i=0
n
(q − 1)
i
i .
Suggerimento: si consideri che l’insieme delle parole la cui distanza di Hamming da x
è minore o uguale di r è unione disgiunta dei sottoinsiemi di vettori la cui distanza da
x è esattamente i, con i = 0, . . . , r.
Teorema 2.19. Sia C un [n, k, d]q-codice. Sia t = ⌊ d−1⌋.
Allora
2
q n−k ≥ Vq(n, t) .
Dimostrazione. Si è notato come le sfere di centro parole codice e raggio t siano
disgiunte. Essendo tali sfere in numero di q k , necessariamente si ha
q k Vq(n, t) ≤ #F n q = q n .
Nel Teorema precedente vale l’uguaglianza se e solo se le sfere di raggio t centrate in
parole codice costituiscono una partizione dello spazio F n q . In tal caso il codice si dice
perfetto.
Possiamo definire in modo equivalente un codice perfetto. Chiamiamo raggio ricoprente
ρC di un [n, k, d]q-codice C il minimo intero positivo tale che le sfere centrate in parole
di C e raggio ρ ricoprono l’intero F n q . Chiaramente t ≤ ρC, e l’uguaglianza vale per
tutti e soli i codici perfetti.
Dimostriamo il seguente risultato relativo al calcolo di ρC a partire da un sistema
proiettivo duale associato a C.
Proposizione 2.20. Sia I = n-insieme di P G(r, q). Se I è m-completo, allora ρ C ⊥ I ≤
d − 2, essendo d = mI la minima distanza di C ⊥ I .

CAPITOLO 2. CODICI LINEARI 26
Dimostrazione. Sia
⎛
H = ⎝
| | | |
P1 . . . . . . Pn
| | | |
matrice le cui colonne sono coordinate dei punti di I. Sia v ∈ F n q , e si ponga w = Hv t .
Dalla m-completezza di I segue che ogni vettore di P G(r, q) è combinazione lineare di
mI = d − 2 punti di I. In particolare, w è combinazione lineare di d − 2 punti di I:
⎞
⎠
w = ai1Pi1 + . . . + aid−2Pid−2 .
Ovvero, w = He t , essendo e = (a1, . . . , an) con aℓ = 0 se ℓ = ij per ogni j. Allora ne
segue che
Hv t = He t ⇔ H(v − e) t = 0 ⇔ v − e = c ∈ C ⊥ I .
Essendo il peso di e minore o uguale di d − 2, si ha che v appartiene alla sfera di centro
c ∈ C⊥ I e raggio d − 2. Per arbitrarietà di v si ha che il raggio ricoprente di C⊥ I è al
più d − 2.
Sfortunatamente i codici lineari perfetti sono oggetti molto rari, già completamente
classificati. Un codice quasi-perfetto è un codice per cui ρ = t + 1.
Esercizio 30. Sia I l’insieme di tutti i punti di P G(r, q). Si provi che il codice C⊥ I
associato è un [ qr+1−1 q−1 , qr+1−1 q−1 − r − 1, 3]q-codice perfetto. Suggerimento: si utilizzi la
Proposizione 2.20.
Esercizio 31. Sia I un insieme di n punti di P G(r, q) tale che mI = 4. Si provi che
se I è m-completo, allora C⊥ I è quasi-perfetto.
Daremo il seguente teorema senza dimostrazione.
Teorema 2.21. Sia C un [n, k, d]q-codice perfetto. Allora uno dei seguenti casi sussiste:
• k = n,
• q = 2, k = 1, n dispari, d = n.
• C è il codice dell’Esercizio 30,
• C è un [23, 12, 7]2-codice,

CAPITOLO 2. CODICI LINEARI 27
• C è un [11, 6, 5]3-codice.
Esercizio 32. Sia I un insieme di n punti di P G(r, q) a 3 a 3 non allineati. Si
supponga che ogni altro punto di P G(r, q) sia allineato con due punti di I. Si dimostri
che mI = 4, a meno che n = 11, q = 3, r = 4, oppure n = 5, q = 2, r = 3.
correggerebbe t ≥ 2 errori;
Suggerimento: si consideri che se fosse mI > 4 il codice C⊥ I
si calcoli poi il raggio ricoprente di C⊥ I .
2.4.4 Disuguaglianza di Griesmer
La disuguaglianza di Singleton afferma che per un [n, k, d]q-codice vale la disuguaglianza
n ≥ d + k − 1. In questa sezione proveremo un risultato più forte, che tiene conto della
cardinalità del campo base Fq.
Adotteremo la seguente notazione: dati x = (x1, . . . , xn1) ∈ Fn1 q , y = (y1, . . . , yn2) ∈
Fn2 q poniamo
(x1 | x2) = (x1, . . . , xn1, y1, . . . , yn2) ∈ F n1+n2
q .
Lemma 2.22. Sia C un [n, k, d]q-codice con k ≥ 2. Allora esiste un [n − d, k −
1, d ′ ]q-codice con d ′ ≥ ⌈ d
q ⌉.
Dimostrazione. Il lettore può facilmente verificare che dato un qualunque vettore di
peso d è sempre possibile trovare una trasformazione monomiale che lo trasformi in
a = (1, . . . , 1, 0, 0, . . . , 0) = (1 | 0),
essendo 1 = (1, . . . , 1) ∈ Fd q, 0 = (0, . . . , 0) ∈ Fn−d q .
Pertanto, a meno di equvalenza, possiamo supporre che a ∈ C. Consideriamo ora un
matrice generatrice di C che abbia come prima riga proprio il vettore a. Scriviamo le
successive k − 1 righe di G come ci = (ui | vi), con ui ∈ Fd q, vi ∈ Fn−d q .
Sia C ′ il codice di lunghezza n − d generato da v1, . . . , vk−1.
Dimostriamo che la dimensione di C ′ è k−1. Se per assurdo i vettori v1, . . . , vk−1 fossero
linearmente indipendenti, allora esisterebbero λ1, . . . , λk−1 in Fq e non tutti nulli tali

CAPITOLO 2. CODICI LINEARI 28
che k−1
i=1 λivi = 0. Consideriamo il vettore c = k−1
i=1 λici. Tale vettore ovviamente
appartiene a C. Inoltre
k−1
k−1
k−1
c = λici = λi(ui | vi) = ( λiui | 0). (2.1)
i=1
Sia µ l’elemento di Fq nella prima posizione di c. Allora chiaramente
i=1
c − µa = ((0, . . .) | 0)
è un elemento di C di peso minore di d, e ciò è chiaramente impossibile.
Dimostriamo ora che la distanza minima d ′ di C ′ è maggiore o uguale di ⌈ d⌉.
Essendo
q
d ′ intero, è sufficiente provare che d ′ ≥ d
q . Sia v = k−1 i=1 λivi un vettore di C ′ di peso
d ′ . Sia quindi c come in (2.1). Sia inoltre u = (u1, . . . , ud) ∈ Fd q tale che c = (u | v).
Per ogni elemento λ ∈ Fq definiamo
Siccome c − λa ∈ C si ha che
i=1
δλ = #{i ∈ [1..d] | ui = λ}.
d ≤ w(c−λa) = w((u | v)−(λ1 | 0)) = w(u−λ1 | v) = w(u−λ1)+w(v) = d−δλ +d ′ ,
e pertanto
Finalmente l’asserto segue da
δλ ≤ d ′ .
d =
δλ ≤
λ∈Fq
λ∈Fq
d ′ = qd ′ .
Nota 2.23. È possibile dare una dimostrazione geometrica del Lemma 2.22. Sia C un
[n, k, d]q codice, e sia I un n-insieme di P G(k − 1, q) tale che C = CI. Allora esiste
un iperpiano H di P G(k − 1, q) tale che incontra I in esattamente n − d punti. Sia
I ′ l’insieme di tali punti. Identificando H con P G(k − 2, q), è possibile vedere I ′ come
(n − d)-insieme di P G(k − 2, q). Sia C ′ = CI ′.

CAPITOLO 2. CODICI LINEARI 29
Proviamo che la dimensione di C ′ è k −1, ovvero che i punti di I ′ generano H. Se così
non fosse, I ′ sarebbe contenuto in un sottospazio H ′ di dimensione k − 3. Per ogni L
iperpiano di P G(k − 1, q) contenente H ′ si avrebbe allora che L ∩ I = I ′ , in quanto il
numero di punti di L ∩ I non può superare n − d = MI. Dato che questi iperpiani L
ricoprono P G(k − 1, q), si avrebbe allora n = n − d, che ovviamente è impossibile.
Per valutare la distanza minima di C ′ occorre stabilire le possibili intersezioni di I ′ con
gli iperpiani di P G(k − 2, q). Sia H ′ un iperpiano di P G(k − 2, q) e sia e = #(I ′ ∩ H ′ ).
H ′ corrisponde a un sottospazio di dimensione k − 3 in P G(k − 1, q) contenuto in H.
Osserviamo che P G(k−1, q)\H può essere ripartito in q insiemi di tipo L\H ′ , essendo
L uno dei q iperpiani di P G(k − 1, q) contenenti H ′ e diversi da H. Visto che L \ H
può contenere al massimo n − d − e punti di I \ H, si ha allora che
d ≤ q(n − d − e) = (q + 1)(n − d) − qd ′ .
Essendo e ≤ MI ′ si ha ovviamente (n − d − e) = n′ − e ≥ n ′ − MI ′ ≥ d′ , e quindi
d ′ ≥ d/q.
Teorema 2.24 (Disuguaglianza di Griesmer). Sia C un [n, k, d]q-codice. Allora
k−1
n ≥ ⌈ d
⌉.
qi i=0
Dimostrazione. L’asserto segue da una ripetuta applicazione del Lemma 2.22.
Consideriamo una sequenza di k codici
C0, C1, . . . , Ck−1
tale che C0 = C e Ci è ottenuto da Ci−1 mediante il Lemma 2.22. Pertanto, se Ci ha
parametri [ni, ki, di] si ha
e, per i = 1, . . . , k − 1,
n0 = n, k0 = k, d0 = d
ki = ki−1 − 1 = k − i, ni = ni−1 − di−1, di ≥ ⌈ di−1
q ⌉.

CAPITOLO 2. CODICI LINEARI 30
È facile vedere che di ≥ ⌈ d
q i ⌉. Inoltre Ck−1 ha dimensione 1. La differenza fra lunghezza
nk−1 e distanza minima dk−1 deve essere non negativa, e pertanto
k−2
k−1
0 ≤ nk−1 − dk−1 ≤ (n − di) − dk−1 ≤ n − ⌈ d
⌉.
qi i=0
Osserviamo che la disuguaglianza di Griesmer implica quella di Singleton. Ciò segue
dal fatto che per ogni i = 1, . . . , k − 1 si ha ⌈ d
q i ⌉ ≥ 1.
Esercizio 33. Sia I l’insieme di tutti i punti di P G(r, q). Provare che i i parametri
del codice CI è soddisfano l’uguaglianza nel Teorema 2.24.
Esercizio 34. Dato un n-insieme proprio I di P G(2, q) con n ≤ q 2 . Provare che
i parametri del codice CI è soddisfano l’uguaglianza nel Teorema 2.24 se e solo se
n > q(MI − 2) + MI.
2.4.5 Disuguaglianza di Plotkin
Definizione 2.25. Fissati n, d, e q, la massima cardinalità M = q k di un [n, k, d]qcodice
si denota con Aq(n, d).
Teorema 2.26. Sia θ = 1 − 1.
Allora se d > θn si ha
q
Aq(n, d) ≤
d
d − θn .
Dimostrazione. Sia C un [n, k, d]q-codice e sia M = qk il numero delle parole di C.
Definiamo
S =
d(x, y) .
(x,y)∈C 2 ,x=y
Da un lato, essendo d la distanza minima, si ha che
i=0
S ≥ d#{(x, y) ∈ C 2 , x = y} = dM(M − 1) .

CAPITOLO 2. CODICI LINEARI 31
Una limitazione superiore per S può invece ottenersi in questo modo. Ricordiamo che
il simbolo di Kronecker δ(a, b) è definito da δ(a, b) = 0 se a = b, δ(a, b) = 1 se a = b.
Pertanto,
S = n
δ(xi, yi),
x∈C y∈C,y=x i=1
dove x = (x1, . . . , xn), y = (y1, . . . , yn). Per la proprietà commutativa possiamo scrivere
n
S =
δ(xi, yi) .
i=1
x∈C y∈C,y=x
Sia i0 il valore in 1, 2, . . . , n tale che l’intero fra parentesi è massimo. Allora
S ≤ n
δ(xi0, yi0) .
x∈C y∈C,y=x
Per ogni α ∈ Fq, sia mα il numero di x in C tali che xi0 = α. Allora
S ≤ n
δ(α, yi0) = n
δ(α, yi0) = n
mα(M − mα) ,
e quindi
α∈Fq x∈C,xi =α y∈C
0
α∈Fq
mα
y∈C
S ≤ n(M 2 −
m 2 α).
Applicando il noto trucco della varianza (ovvero sviluppando la disuguaglianza
α (mα
− ) 2 ≥ 0), si ha
1
q
e quindi
α mα
q
α∈Fq
L’asserto finalmente segue da
mα 2 ≥
S ≤ n M 2 −
α∈Fq
α∈Fq mα
q
2
= M 2
q ,
2 M
= nM
q
2 θ .
dM(M − 1) ≤ S ≤ nM 2 θ .
α∈Fq

CAPITOLO 2. CODICI LINEARI 32
Il codice CI associato ad un 4-arco I di P G(2, 4) è un [4, 1, 4]4 codice per il quale
4 = d > θn = 3 e vale l’uguaglianza
q k = 4 =
Corollario 2.27. Sia n ′ = ⌊ d−1⌋
≤ n. Allora
θ
d
d − θn .
Aq(n, d) ≤ dq n−n′
.
Dimostrazione. Sia C un [n, k, d]q-codice. Proviamo che
q k ≤ dq n−n′
. (2.2)
Se k ≤ n−n ′ , allora l’asserto è banale. Si assuma quindi k > n−n ′ . Grazie al Lemma di
impoverimento, esiste un [n ′ , k −n+n ′ , d]q-codice C ′ . Risulta inoltre d ≥ θn ′ +1 > θn ′ .
Applicando la disuguaglianza di Plotkin a C ′ si ha che
ovvero
q k−n+n′
≤
d
≤ d ,
d − θn ′
q k ≤ dq n−n′
Esercizio 35. Provare che vale l’uguaglianza in (2.2) per i codici C = CI, dove I è
un 6-arco di P G(2, 4).
2.4.6 Disuguaglianza di Gilbert-Varshamov
Finora abbiamo visto risultati che affermavano l’impossibilità di avere un codice troppo
buono. Il prossimo teorema invece in un certo senso assicura l’esistenza di un codice
abbastanza buono.
Lemma 2.28. Sia I un n-insieme di P G(r, q). Se
allora I non è m-completo
Vq(n, mI − 2) < q r+1 .
.

CAPITOLO 2. CODICI LINEARI 33
Dimostrazione. I vettori non nulli che sono combinazione lineare di al più mI −2 punti
di I sono in numero minore o uguale di
mI−2
i=1
n
(q − 1)
i
i = Vq(n, mI − 2) − 1 .
Siccome a q − 1 a q − 1 tali vettori corrispondono allo stesso punto, si ha che I non
può essere completo se
da cui l’asserto.
Vq(n, mI − 2) − 1
q − 1
< #P G(r, q) = qr+1 − 1
q − 1 ,
Teorema 2.29. Siano q, n, d, k tali che d ≤ n − k + 1, k ≥ 1, d ≥ 2 e
Allora esiste un [n, k, d]q-codice.
Vq(n − 1, d − 2) < q n−k .
Dimostrazione. Consideriamo le coppie (n ′ , k ′ ) con n ′ = n − k + k ′ , k ′ = 1, . . . , k.
Dimostriamo per induzione su k ′ che esiste un [n ′ , k ′ , d]q-codice.
Per k ′ = 1 basta osservare che un [n−k+1, 1, d]q-codice senz’altro esiste: basta prendere
il sottospazio di Fn−k+1 q generato da un qualunque vettore di peso d, che esiste essendo
d ≤ n − k + 1.
Proviamo ora che l’esistenza di un [n − k + k ′ − 1, k ′ − 1, d]q-codice C implica quella di
un [n − k + k ′ , k ′ , d]q-codice. Si ponga I = QC. Allora I è un (n − k + k ′ − 1)-insieme
proprio di P G(n − k − 1, q) tale che d = mI. Si osservi che, essendo k ′ ≤ k, si ha
n − k + k ′ − 1 ≤ n − 1 e quindi
Vq(n − k + k ′ − 1, mI − 2) ≤ Vq(n − 1, d − 2) < q n−k .
Pertanto, per il Lemma 2.28, I non è m-completo, e quindi esiste un (n − k + k ′ )insieme
I ′ di P G(n − k − 1, q) tale che d = mI ′. Il codice corrispondente C⊥ I ′ è un
[n − k + k ′ , k ′ , d]q-codice.
L’ultimo passo dell’induzione, ovvero k ′ = k, fornisce allora un [n, k, d]q-codice.

CAPITOLO 2. CODICI LINEARI 34
Corollario 2.30. Dati n, d, q, sia k l’intero tale che
n − log q Vq(n − 1, d − 2) − 1 ≤ k < n − log q Vq(n − 1, d − 2) . (2.3)
Allora esiste un [n, k, d]q-codice.
Dimostrazione. Da k < n − log q Vq(n − 1, d − 2) segue
ovvero
q k <
q n
Vq(n − 1, d − 2) ,
q n−k > Vq(n − 1, d − 2) .
L’asserto quindi segue dal Teorema precedente.
Corollario 2.31. Dati n, d, q, si ha
Aq(n, d) ≥
q n−1
Vq(n − 1, d − 2) .
Esercizio 36. Si provi che un n-arco completo di P G(2, q) consiste di almeno √ 2q
punti.
2.5 Problemi asintotici
In estrema sintesi, lo scopo della teoria dei codici è trovare codici che ottimizzano gli
invarianti R e δ.
Sia q una potenza di un primo, e sia δ ∈ R con 0 ≤ δ ≤ 1. Si ponga
Rq(n, δ)
uguale al massimo R per cui esiste un [n, k, d]q-codice con d/n = δ. Equivalentemente,
Si ponga inoltre
Rq(n, δ) = 1
n log q Aq(n, δn).
αq(δ) = lim sup
n→+∞
1
n log q Aq(n, ⌊δn⌋) .

CAPITOLO 2. CODICI LINEARI 35
In altre parole, αq(δ) è il massimo R per cui esiste una sequenza di codici lineari definiti
su Fq tale che la distanza relativa tende a δ e il tasso di informazione tende a R.
Una diversa interpretazione della funzione αq è la seguente. Sia Uq ⊂ [0, 1] 2 l’insieme
dei punti limite delle coppie (δ(C), R(C)) associate a codici lineari su Fq. La regione
Uq è limitata nel quadrato unitario dai lati del quadrato sugli assi e dal grafico della
funzione αq : [0, 1] → [0, 1].
Si può dimostrare che αq è continua, decrescente, e che per (q − 1)/q ≤ δ ≤ 1 si ha
αq(δ) = 0. Per 0 < δ < (q − 1)/q, il valore esatto di αq(δ) è sconosciuto, ma alcune
limitazioni inferiori e superiori sono state dimostrate.
La funzione entropia q-aria Hq : [0, 1 − 1
q ] → R è definita da Hq(0) = 0 e
Hq(x) = x log q(q − 1) − x log q(x) − (1 − x) log q(1 − x)
per 0 ≤ x ≤ 1 − 1.
Questa funzione è rilevante in teoria dei codici in quanto è legata
q
alla cardinalità di sfere di Hamming.
Lemma 2.32. Per ogni λ con 0 ≤ λ ≤ 1 − 1
q
si ha
1
Hq(λ) = lim
n→+∞ n logq Vq(n, ⌈λn⌉) .
Proposizione 2.33. (a) (Disuguaglianza di Plotkin asintotica) Per 0 ≤ δ ≤ (q −
1)/q,
αq(δ) ≤ 1 − q
δ .
q − 1
(b) (Disuguaglianza di Hamming asintotica) Per 0 ≤ δ ≤ 1,
δ
αq(δ) ≤ 1 − Hq .
2
(c) (Disuguaglianza di Gilbert-Varshamov asintotica) Per 0 ≤ δ ≤ (q − 1)/q,
Dimostrazione.
αq(δ) ≥ 1 − Hq(δ) .

CAPITOLO 2. CODICI LINEARI 36
(a) Sia C un [n, k, d]q-codice con δ < θ. Sia n ′ = ⌊ d−1
n ′
n
θ ⌋. Si noti che n′ < n, essendo
1 d − 1
= ≤
n θ
1 d 1 1 δ
− < < 1.
n θ n θ θ
Per il Corollario 2.27 si ha Aq(n, d) ≤ dqn−n′ , e quindi
1
αq(δ) ≤ lim supn→+∞ n logq(δnqn−n′ )
= lim sup n→+∞
= 1 − limn→+∞ n′
n
= 1 − δ
θ
logq δ
n + logq n
n
(b) Dal limite di Hamming si ha immediatamente che
Passando al massimo limite si ha
da cui l’asserto.
Aq(n, δn) ≤
αq(δ) ≤ lim sup n→+∞ 1
n
= 1 − lim sup n→+∞ 1
q n
Vq(n, ⌈ δn−1
2 ⌉).
n′ + 1 −
n − logq(Vq(n, ⌈ δn−1
2 ⌉))
n logq(Vq(n, ⌈ δn−1⌉))
, 2
(c) Dalla limitazione di Gilbert-Varshamov (2.3) segue che
Aq(n, δn) ≥
q n−1
Vq(n − 1, δn − 2) .
Passando al massimo limite segue che
n − 1 − logq(Vq(n − 1, δn − 2))
αq(δ) ≥ lim sup n→+∞ 1
n
= 1 − lim sup n→+∞ n−1
n
1
= 1 − lim supn→+∞ n−1 log
q Vq
= 1 − Hq(δ) .
1
n−1 logq(Vq(n − 1, δn − 2))
δ−2
n − 1, δ + (n − 1) n−1
n

CAPITOLO 2. CODICI LINEARI 37
Nota 2.34. Esistono altre limitazioni superiori su αq(δ), molto più difficili da dimostrare.
Ricordiamo soltanto la limitazione di Bassalygo-Elias Bound e quella di Mc-
Eliece-Rodemich-Rumsey-Welch, che sono più precise rispetto a quelle di Hamming e
Plotkin.
2.6 Codici Reed-Solomon
Questa importante classe di codici è ben nota in teoria dei codici da molto tempo.
Come vedremo, i codici di Goppa sono una loro generalizzazione molto naturale.
Sia q una potenza di un primo, n e k siano interi con 1 ≤ k ≤ n ≤ q. Sia Fq[X] l’anello
dei polinomi in una indeterminata con coefficienti in Fq. Poniamo
Lk := {f ∈ Fq[X] : deg(f) ≤ k − 1} ∪ {0} ,
e per n elementi distinti P1, . . . , Pn di Fq, consideriamo la seguente applicazione:
e = eP1,...,Pn : Lk → F n q
f ↦→ (f(P1), . . . , f(Pn)) .
Osserviamo innanzitutto che e è lineare. Inoltre e è iniettiva, dato che un polinomio
non nullo in Lk può avere al massimo k − 1 zeri. Pertanto il codice C := e(Lk) ha
dimensione k. Il codice C è detto codice Reed-Solomon (codice RS in breve). Sia
x = (f(P1), . . . , fn(P )) ∈ C e assumiamo che w(x) = w. Allora f ha n − w zeri, e
quindi n − w ≤ k − 1. In particulare, n − d ≤ k − 1, dove d è la distanza minima di C.
Quindi n − k ≤ d − 1, e questo significa che C è un codice MDS. Si noti che siccome
1, X, . . . , X k−1 è una base di Lk, una matrice generatrice di C è:
⎛
⎜
⎝
1 1 . . . 1
P1 P2 . . . Pn
P 2 1 P 2 2 . . . P 2 n
.
P k−1
1
.
.
P k−1
2 . . . P k−1
n
.
⎞
⎟
⎠

CAPITOLO 2. CODICI LINEARI 38
Diamo ora una prima generalizzazione della costruzione precedente. Sia v =
(v1, . . . , vn), dove gli vi sono elementi non nulli (non necessariamente distinti) di Fq.
Allora il codice che consiste dei vettori
(v1f(P1), . . . , vnf(Pn))
con f ∈ Fq[X] e deg(f) ≤ k − 1, è detto codice Reed Solomon Generalizzato (GRS in
breve). Si noti che per v = (1, 1, . . . , 1) tale codice è il codice Reed Solomon.

Capitolo 3
Curve algebriche piane
3.1 Definizioni
Le definizioni e le proprietà fondamentali riguardanti le curve algebriche piane reali o
complesse dovrebbero essere già note al lettore dai corsi del primo e del secondo anno.
In questa sezione tali nozioni saranno rapidamente riviste in un contesto più genererale,
ovvero quello delle curve algebriche definite su un campo qualsiasi.
Nel corso di questo capitolo per K intenderemo un campo algebricamente chiuso,
generalmente coincidente con la chiusura algebrica di un campo finito Fq.
In questo corso per curva algebrica definita su K intenderemo una classe di proporzionalità
di polinomi omogenei in tre indeterminate a coefficienti in K. Per indicare che
la curva X è rappresentata dal polinomio F (X0, X1, X2) scriveremo usualmente
X : F (X0, X1, X2) = 0 .
L’idea intuitiva di curva intesa come insieme di punti si realizza nella definizione di
supporto.
Definizione 3.1. Sia X : F (X0, X1, X2) = 0 una curva algebrica defnita su K. Il
supporto di X si definisce come l’insieme dei punti del piano proiettivo P 2 (K) le cui
coordinate omogenee (X0 : X1 : X2) soddisfano l’equazione
F (X0, X1, X2) = 0 .
39

CAPITOLO 3. CURVE ALGEBRICHE PIANE 40
Si noti che due curve distinte possono avere lo stesso supporto; si pensi ad esempio alle
curve algebriche
X : X1 = 0, Y : X 2 1 = 0 .
Osserviamo che essendo le coordinate di un punto definite a meno di proporzionalità ,
l’omogeneità di F è necessaria altrimenti si potrebbe avere
F (X0, X1, X2) = 0, F (λX0, λX1, λX2) = 0 .
Se il polinomio F (o un suo multiplo scalare) è tale che i suoi coefficienti appartengono
ad un sottocampo L di K, diremo che X è una curva definita su L. Si noti comunque
che anche se una curva è definita su un sottocampo (possibilmente non algebricamente
chiuso, come ad esempio un campo finito), per definizione nell’insieme dei punti del
suo supporto includiamo anche i punti con coordinate nella chiusura algebrica ¯ L.
Con abuso di linguaggio spesso indicheremo il supporto di una curva X :
F (X0, X1, X2) = 0 con lo stesso simbolo X ; inoltre con l’espressione punto di una
curva X intenderemo il concetto di punto del supporto di una curva X .
Esempio 3.2. Si consideri la curva X : X 2 0 + 2X 2 1 = 0 definita sopra il campo finito
con 5 elementi F5. Se ci limitassimo ai soli punti con coordinate in F5, X sarebbe
costituita dal solo (0 : 1 : 0). Nella chiusura algebrica di F5 esiste però un elemento
γ tale che γ 2 = −2. E allora ad esempio anche il punto di coordinate (γ : 1 : 0) è un
punto di X .
Definizione 3.3. Sia X : F (X0, X1, X2) = 0 una curva algebrica. Il grado d del
polinomio F si dice ordine di X .
Definizione 3.4. Una curva algebrica si dice irriducibile se è definita da un polinomio
F irriducibile su K[X0, X1, X2].
Si noti che l’irriducibilità di F su un sottocampo di K non è sufficiente per garantire
l’irriducibilità della curva. Si consideri ad esempio la curva reale X : F (X0, X1, X2) = 0,
con F = X 2 0 + X 2 1. Chiaramente F è irriducibile su R, ma in C[X0, X1, X2] si ha
X 2 0 + X 2 1 = (X0 + iX1)(X0 − iX1) ,

CAPITOLO 3. CURVE ALGEBRICHE PIANE 41
pertanto X si compone delle due rette di equazioni X0 + iX1 = 0 e X0 − iX1 =
0. Geometricamente, una curva X è irriducibile se e solo se non esiste una curva
propriamente contenuta in X .
Supponiamo ora che X : F (X0, X1, X2) non sia irriducibile. Ricordiamo che
K[X0, X1, X2] è dominio a fattorizzazione unica, e scriviamo il polinomio F come
prodotto di potenze di fattori irriducibilli (a due a due non proporzionali)
F = F r1
1 · F r2
2 · · · F rs
s .
Diremo allora che le curve Xi : Fi(X0, X1, X2) = 0 sono le componenti irriducibili di
X , e che ri è la molteplicità di Xi come componente di X . Chiaramente l’insieme dei
punti di X è l’unione degli insiemi dei punti delle curve Xi.
Per praticità di calcolo, si preferisce in molte situazioni fare uso di coordinate non
omogenee per i punti e di polinomi non omogenei per le curve.
Sia ℓ∞ la retta di P 2 (K) di equazione X0 = 0. Per ogni punto P di P 2 (K) non su ℓ∞
di coordinate omogenee (X0 : X1 : X2), si ponga
X = X1
, Y = X2
X0
(ciò è possibile essendo X0 = 0). La coppia (X, Y ) è detta la coppia delle coordinate
affini di P . Scrivendo P = (X, Y ) intenderemo che P è il punto di coordinate omogenee
(1 : X : Y ). I punti di P ∈ P 2 (K) \ ℓ∞ vengono detti punti affini di P 2 (K).
Se il punto P ∈ P2 (K) \ ℓ∞ appartiene a una curva X : F (X0 : X1 : X2) = 0, si avrà
F (1, X, Y ) = F 1, X1
,
X0
X2
= F (X0, X1, X2) = 0 .
X0
Si ponga F∗(X, Y ) = F (1, X, Y ). Il polinomio F∗ si dice il disomogeneizzato di F , e
l’equazione F∗(X, Y ) = 0 si chiama equazione affine di X .
Il processo si può anche invertire. Se si ha un polinomio non omogeneo F (X, Y ) di
grado positivo d, il suo omogeneizzato F ∗ (X0, X1, X2) si definisce come
.
X0
F ∗ (X0, X1, X2) = X d
X1
0 F ,
X0
X2
X0

CAPITOLO 3. CURVE ALGEBRICHE PIANE 42
Esercizio 37. Con K = C, sia F = X 2 − Y 3 + 3XY + 5. Si calcoli F ∗ . Sia F = X 2 .
Si calcoli F ∗ .
Esercizio 38. Provare che (F ∗ )∗ = F . Provare che in generale non è vero che (F∗) ∗ =
F .
Si può dimostrare il seguente teorema.
Teorema 3.5. L’applicazione di omogeneizzazione stabilisce una biiezione fra i polinomi
in K[X, Y ] di grado d, e i polinomi in K[X0, X1, X2] omogenei di grado d che
non sono divisi da una potenza di X0.
In virtù di tale risultato, le curve che non hanno ℓ∞ come componente sono in biiezione
con i polinomi irriducibili in due indeterminate X, Y ; gli zeri di tali polinomi
corrispondono alle coordinate affini dei punti della curva che non giacciono sulla retta
ℓ∞. Scrivendo X : F (X, Y ) = 0, F irriducibile, intenderemo la curva di equazione
omogenea F ∗ (X0, X1, X2) = 0.
Concludiamo questa sezione osservando che le proiettività di P 2 (K) agiscono in modo
naturale sulle curve algebriche. Sia φ la proiettività φ indotta dalla matrice A, e sia
X : F (X0, X1, X2) una curva algebrica. Allora definiamo φ(X ) come la curva algebrica
definita dal polinomio
F A (X0, X1, X2) := F ((X0, X1, X2) · A −1 ).
Osserviamo che i punti di φ(X ) sono i trasformati dei punti di X mediante φ. Infatti,
se
(Y0, Y1, Y2) = (X0, X1, X2) · A
con (X0 : X1 : X2) ∈ X , allora
F A (Y0, Y1, Y2) = F ((Y0, Y1, Y2) · A −1 ) = F ((X0, X1, X2) · A · A −1 ) = F (X0, X1, X2) = 0,
e quindi (Y0 : Y1 : Y2) ∈ φ(X ).
3.2 Punti semplici e singolari
Sia X : F (X0, X1, X2) = 0 una curva di ordine d definita su K, e sia P = (x0 : x1 : x2)
un punto di X . Sia ℓ una qualunque retta passante per P che non sia una componente

CAPITOLO 3. CURVE ALGEBRICHE PIANE 43
di X . Se Q = (y0 : y1 : y2) è un qualunque punto di ℓ distinto da P , avremo che il
generico punto di ℓ avrà coordinate omogenee
(λx0 + µy0 : λx1 + µy1 : λx2 + µy2) , λ, µ ∈ K, (λ, µ) = (0, 0).
Sia FP,Q(λ, µ) il polinomio omogeneo
FP,Q = F (λx0 + µy0 : λx1 + µy1 : λx2 + µy2) .
Chiaramente gli zeri di FP,Q corrispondono ai punti comuni di X e ℓ. Si noti che FP,Q
non può essere identicamente nullo in quanto ℓ non è contenuta in X . Pertanto FP,Q
ha grado d. Essendo K algebricamente chiuso si avrà
FP,Q = aΠ d i=1(aiλ − biµ) ,
per qualche ai, bi ∈ K, i = 1, . . . , d. Si noti quindi che le coppie non proporzionali di
zeri di FP,Q sono al massimo d, e pertanto i punti comuni a X e ℓ saranno al più d. Si
è pertanto provata la seguente proposizione.
Proposizione 3.6. Una curva algebrica di ordine d e una retta che non sia una sua
componente si incontrano in al più d punti.
Definizione 3.7. Si definisce molteplicità di intersezione di X e ℓ nel punto P il
massimo intero m per cui µ m divide FP,Q.
Si può dimostrare che tale intero m non dipende dalla scelta di Q ma solo da ℓ e P .
Inoltre, se ℓ è componente di X , diremo che la molteplicità di intersezione di X e ℓ nel
punto P è infinita.
Nel caso in cui il punto P sia affine, i calcoli si possono semplificare di molto. Sia
X : F (X, Y ) = 0 e sia P = (x, y) un punto affine di X . Sia ℓ una retta per P . Se
Q = (a, b) è un altro punto affine di ℓ, il generico punto affine di ℓ avrà coordinate
affini
(x + t(a − x), y + t(b − y)) .
La molteplicità di intersezione di X e ℓ nel punto P si può allora calcolare come
molteplicità di t = 0 come radice del polinomio in t
F (x + t(a − x), y + t(b − y)) .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 44
Esercizio 39. Con K = C, sia X : XY 2 + 3X 2 + 2X 2 Y 2 , P = (0, 0), ℓ : X + 3Y = 0.
Si calcoli la molteplicità di intersezione di X e ℓ nel punto P .
Esercizio 40. Con K = C, sia X : X 3 0 + 3X 2 0X1 + 2X 3 1 − 4X1X 2 2, P = (0 : 0 : 1),
ℓ : X0 + X1 = 0. Si calcoli la molteplicità di intersezione di X e ℓ nel punto P .
Vale il seguente teorema.
Teorema 3.8. Sia P un punto di una curva algebrica X di ordine d. Allora esiste un
intero s, 1 ≤ s ≤ d, tale che:
• la generica retta per P incontra X in P con molteplicità maggiore o uguale di s;
• esistono al più s rette per P che incontrano X in P con molteplicità maggiore s.
L’intero s del Teorema precedente si indica con mP (X ). Se mP (X ) = 1, allora P si
dice punto semplice di X . Altrimenti, P si dice punto singolare di molteplicità mP (X ).
Le rette per P che incontrano la curva X con molteplicità maggiore di mP (X ) in P si
dicono tangenti principali (o semplicemente tangenti) di X in P .
Esercizio 41. Si dimostri che il punto affine O = (0, 0) è punto semplice di una curva
X : F (X, Y ) = 0 se e solo se il grado minimo dei monomi di F è esattamente 1.
L’esercizio precedente si può generalizzare nel seguente modo. Sia X : F (X, Y ) = 0
una curva di ordine d passante per O = (0, 0). Si scriva
F (X, Y ) = Fd(X, Y ) + Fd−1(X, Y ) + . . . + Fm(X, Y ),
con Fi(X, Y ) polinomio omogeneo di grado i. Allora mO(X ) = m. Inoltre, scrivendo
φm come prodotto di m polinomi di primo grado (non necessariamente distinti), si ha
che le tangenti principali di X in O sono le rette corrispondenti a tali polinomi.
Per la ricerca dei punti singolari di una curva algebrica si danno i seguenti criteri.
Teorema 3.9. Sia X : F (X, Y ) = 0 una curva e sia P = (a, b) un punto di X . Allora
P è singolare se e solo se
FX(a, b) = FY (a, b) = 0 .
Se P è semplice, un’equazione della retta tangente a X in P è
FX(a, b)(X − a) + FY (a, b)(Y − b) = 0 .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 45
La versione in coordinate omogenee è la seguente.
Teorema 3.10. Sia X : F (X0, X1, X2) = 0 una curva e sia P = (a : b : c) un punto
di X . Allora P è singolare se e solo se
FX0(a, b, c) = FX1(a, b, c) = FX2(a, b, c) = 0 .
Se P è semplice, un’equazione della retta tangente a X in P è
FX0(a, b, c)X0 + FX1(a, b, c)X1 + FX2(a, b, c)X2 = 0 .
Si noti che se la caratteristica del campo base è 0, allora la condizione che P = (a : b : c)
sia un punto della curva è automaticamente soddisfatta se (a, b, c) annulla le tre derivate
parziali di F . Ciò segue dal Teorema di Eulero sui polinomi omogeneei di grado m:
mF = X0FX0 + X1FX1 + X2FX2.
Esempio 3.11. Sia K un campo di caratteristica 2 e sia X : X 2 1X2 − X 3 0 + X 2 0X2. In
tal caso FX0 = X 2 0, FX1 = 0, FX2 = X 2 1 − X 2 0 = (X1 − X0) 2 . Pertanto P = (a : b : c) è
singolare se e solo se a = 0, b = a. Quindi P = (0 : 0 : 1) è l’unico punto singolare di
X .
Esempio 3.12. Sia X : X 5 0 +X 5 1 +X 5 2. Si vede che FX0 = 5X 4 0, FX1 = 5X 4 1, FX2 = 5X 4 2.
Se la caratteristica p di K è diversa da 5, allora X è non singolare. Altrimenti, ogni
punti di X è singolare. Per p = 5, X è infatti riducibile essendo F = (X0 + X1 + X2) 5 .
Esempio 3.13 (quartica di Klein). Sia K di caratteristica 2, e sia X : X 3 0X1 +X 3 1X2 +
X 3 2X0. Si vede che FX0 = X 2 0X1 + X 3 2, FX1 = X 2 1X2 + X 3 0, FX2 = X 2 2X0 + X 3 1.
Assumiamo che P = (a : b : c) sia singolare. Allora (i) a 2 b = c 3 e (ii) a 3 b+b 3 c+c 3 a = 0
implicano b 3 c = 0. Se b = 0, allora (i) implica c = 0 e quindi (iii) FX1(P ) = 0 a sua
volta implica a = 0. Se c = 0, allora b = 0 da (i), e di nuovo a = 0 da (iii). Ciò significa
che X è non singolare.
Esempio 3.14 (curva Hermitiana ). Sia X la curva definita su Fq da F = X q
0X2 +
X0X q
2 −X q+1
1
. Siccome FX0 = X q
2, FX1 = −X q
1 e FX2 = X q
0, la curva X è non singolare.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 46
3.3 Risultante di due polinomi
Ricordiamo rapidamente la definizione e le principali proprietà del risultante di due
polinomi.
Sia D un dominio a fattorizzazione unica, e sia D[T ] l’anello dei polinomi su D. Siano
f(T ) = a0 +a1T +. . .+anT n e g(T ) = b0 +b1T +. . .+bmT m due polinomi a coefficienti
in D di grado rispettivo n e m (ovvero supponiamo che anbm = 0). Si definisce
risultante di f e g l’elemento di D calcolato come determinante della seguente matrice
(m + n) × (m + n)
⎛
a0
⎜ 0
⎜ .
⎜ 0
RT (f, g) = det ⎜ b0
⎜
0
⎜
⎝ .
a1
a0
. . .
b1
b0
. . .
a1
. . .
b1
. . .
. . .
a0
an
a1
bm
0
an
. . .
0
bm
. . .
0
. . .
0
. . .
. . .
0
0
.
an
0
0
.
⎞
⎟
⎠
0 . . . b0 b1 . . . bm
le cui prime m righe sono i coefficienti a0, . . . , an, mentre le successive n righe sono
formate dai coefficienti b0, . . . , bn.
Teorema 3.15. Esistono un polinomio p1 di grado minore o uguale di m e un polinomio
p2 di grado minore o uguale di n, entrambi a coefficienti in A, non entrambi nulli, tali
che
RT = p1f + p2g .
Dimostrazione. Notiamo che per ogni a ∈ A, due polinomi p ′ 1 di grado minore o uguale
di m e p ′ 2 di grado minore o uguale di n tali che
a = p ′ 1f + p ′ 2g .
corrispondono alle un sistema lineare a coefficienti in A, le cui incognite sono i
coefficienti di p ′ 1 e p ′ 2 e la cui matrice ha come determinante proprio RT (f, g).
Se RT (f, g) = 0, il rango della matrice del sistema omogeneo
0 = p ′ 1f + p ′ 2g

CAPITOLO 3. CURVE ALGEBRICHE PIANE 47
è minore di (m + n), per cui tale sistema ha una soluzione non nulla nel campo dei
quozienti di A. Eliminando i denominatori si ottiene la relazione voluta.
Supponiamo quindi che RT (f, g) = 0. Il sistema
1 = p ′ 1f + p ′ 2g .
ha una e una sola soluzione p ′ 1, p ′ 2 nel campo dei quozienti di A. Ponendo p1 =
RT (f, g)p ′ 1 e p2 = RT (f, g)p ′ 2 si ha che p1 e p2 hanno coeffienti in A per la regola
di Cramer. Chiaramente RT = p1f + p2g, e la dimostrazione è conclusa.
Siano ora F, G polinomi in r indeterminate a coefficienti in un campo K, diciamo F, G ∈
K[X1, X2, . . . , Xr]. Ponendo A = K[X1, . . . , Xr−1], è possibile vedere F e G come
polinomi in A[Xr], e quindi calcolarne il risultante RXr(F, G), che sarà un elemento
di K[X1, . . . , Xr−1]. Si noti in virtù del Teorema 3.15, per ogni r-pla (a1, . . . , ar) di
elementi di K che annulla sia F che G, si ha che (a1, . . . , ar−1) annulla RXr(F, G).
3.4 Intersezione di due curve
Per studiare l’intersezione di due curve algebriche X e Y definite su un campo K
iniziamo dal considerare la parte affine delle due curve. Sia quindi X : F (X, Y ) = 0,
Y : G(X, Y ).
Teorema 3.16. L’insieme dei punti affini comuni a due curve prive di componenti
comuni è un insieme finito.
Dimostrazione. Si calcoli RY (F, G), polinomio in K[X]. Se RY (F, G) è identicamente
nullo allora dal Teorema 3.15 segue che
p1(X)F (X, Y ) = p2(X)G(X, Y )
per due polinomi p1, p2 non identicamente nulli. Essendo G ed F senza fattori in
comune, ne segue che G(X, Y ) divide p1(X) e F (X, Y ) divide p2(X). Quindi sia F che
G sono polinomi in X privi di radici in comune, e l’asserto segue immediatamente.
Supponiamo allora che RY (F, G) non sia identicamente nullo. Sia quindi
RY (F, G) = aΠ r i=1(X − ai) .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 48
Per quanto detto alla fine della sezione precedente, ogni punto di intersezione di X e
Y dovrebbe trovarsi su una retta di equazione affine X = ai per qualche i. Ma allora,
ancora grazie alla Proposizione 3.6, il numero di punti comuni a X e Y sarebbe al più
dr, ove d è l’ordine di X .
Corollario 3.17. I punti comuni a due curve prive di componenti comuni sono in
numero finito.
Dimostrazione. L’asserto segue immediatamente dal teorema precedente e dalla
Proposizione 3.6 applicata alla retta ℓ∞.
Il concetto di molteplicità di intersezione di una curva e una retta si generalizza grazie
al teorema seguente.
Teorema 3.18. Esiste ed è unica una applicazione I che associa a due curve X :
F (X0, X1, X2) = 0 e Y : G(X0, X1, X2) = 0 e ad un punto P un elemento I(P, X ∩Y) ∈
Z≥0 ∪ {∞} con le seguenti proprietà :
1. I(P, X ∩ Y) è un intero non negativo se e solo se X e Y non hanno componenti
comuni passanti per P ;
2. I(P, X ∩ Y) = 0 se e solo se P /∈ X ∩ Y;
3. I(P, X ∩ Y) = 1 se X e Y sono rette distinte per P ;
4. I(P, X ∩ Y) = I(P, Y ∩ X );
5. Se P è affine, I(P, X ∩ Y) = I(P, X ∩ Z), dove Z : HF∗ + G∗ = 0 per qualche
H ∈ K[X, Y ];
6. Se Z : GH = 0, allora I(P, X ∩Z) = I(P, X ∩Y)+I(P, X ∩Y ′ ), dove Y ′ : H = 0;
7. I è invariante per proiettività .
Non ci preoccuperemo della dimostrazione di questo risultato, ma piuttosto del
ricordare un efficiente procedimento di calcolo dell’intero I(P, X ∩ Y).
A meno di proiettività , è possibile supporre che le curve prive di componenti comuni
X : F (X, Y ) = 0 e Y : G(X, Y ) = 0 ed il punto P soddisfino le seguenti proprietà :

CAPITOLO 3. CURVE ALGEBRICHE PIANE 49
• P = (a, b) sia affine;
• Y∞ = (0 : 0 : 1) non sia punto nè di X , nè di Y;
• su ogni retta di equazione X = a vi sia al più un punto di X ∩ Y;
• nessuna tangente a X o Y in un punto di X ∩ Y sia di equazione X = a.
Allora I(P, X ∩ Y) è la molteplicità di a come radice del risultante RY (F, G).
Esempio 3.19.
Talvolta il calcolo di I(P, X ∩ Y) può risultare semplificato. Si può infatti dimostrare
questo teorema.
Teorema 3.20. Siano X e Y due curve prive di componenti in comune. Allora
I(P, X ∩ Y) ≥ mP (X )mP (Y);
inoltre l’uguaglianza vale se e solo se ogni tangente a X in P non è tangente a Y in
P .
Un metodo ancora più veloce per il calcolo di I(P, X ∩ Y) si può descrivere nel caso in
cui P sia un punto semplice di una delle due curve, diciamo X . Sia X : F (X, Y ) = 0
e Y : G(X, Y ) = 0. A meno di proiettività possiamo supporre che P coincida con
O = (0, 0), e che la tangente di X in O sia la retta di equazione X = 0. Se tale retta
non è tangente principale di Y in O, allora possiamo utilizzare il teorema precedente e
concludere che I(O, X ∩ Y) = mO(Y). Altrimenti, si avrà :
F (X, Y ) = Fd(X, Y )+. . .+F2(X, Y )+X, G(X, Y ) = Ge(X, Y )+. . .+XGm−1(X, Y )
dove d è l’ordine di X , e è l’ordine di Y, m = mO(Y), Fi (risp. Gj) è omogeneo di
grado i (risp. j). Ora, poniamo H = G − Gm−1F e consideriamo la curva Z : H = 0.
Dalla proprietà 6 della molteplicità di intersezione segue che
I(O, X ∩ Y) = I(O, X ∩ Z) .
Scriviamo H come somma di polinomi omogenei di grado decrescente:
H = Hl + . . . + Hm ′ .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 50
Per costruzione, m ′ > m. A questo punto avremo due possibilità . Se X non divide
Hm ′, allora possiamo concludere dal Teorema 3.20 che I(O, X ∩ Z) = m′ . Se invece
X divide Hm ′, allora iteriamo il procedimento. L’algoritmo dovrà concludersi dopo un
numero finito di passi in quanto è noto a priori che I(O, X ∩Y) è finito, e ad ogni passo
cresce l’intero m tale che I(O, X ∩ Y) > m.
Esercizio 42. Con K = C, si calcoli la molteplicità di intersezione nel punto (0, 0)
delle seguenti coppie di curve:
• X : Y 3 − X 2 = 0, Y : 6Y 5 − 2Y 5 X + 4X 2 − 2Y 2 + 2X = 0;
• X : 3X 2 + 2XY − 3X, Y : X 3 + 5X 3 Y − 6Y 4 .
Concludiamo questa sezione riportando il famoso Teorema di Bézout, di cui omettiamo
la dimostrazione.
Teorema 3.21. Due curve algebriche prive di componenti comuni di ordine rispettivo
m e n si incontrano in esattamente mn punti, contati con molteplicità .
3.5 Il campo delle funzioni razionali
D’ora in avanti in questo capitolo supporremo sempre che una curva algebrica X :
F (X0, X1, X2) sia priva di punti singolari. Va precisato che tale restrizione è molto
forte, tuttavia limitarsi alle curve non-singolari è l’unico modo per introdurre in modo
rapido i Codici Algebrico-Geometrici. Per studiare in modo appropriato i Codici
Algebrico-Geometrici su curve qualsiasi è necessaria una preparazione di base molto
forte in Geometria Algebrica (quale potrebbe essere quella di un intero corso semestrale
ad essa dedicato).
Cominciamo osservando che una curva non-singolare è necessariamente irriducibile. In
caso contrario, dalla proprietà 6 della molteplicità di intersezione, avremmo che ogni
punto comune a due sue componenti (non necessariamente distinte) sarebbe un punto
singolare per la curva.
Sia allora X : F (X, Y ) = 0, con F polinomio irriducibile a coefficienti in K. Con (F )
denoteremo l’ideale principale di K[X, Y ] generato da F .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 51
Definizione 3.22. L’anello delle coordinate affini di X è definito come l’anello
quoziente
K[X ] = K[X, Y ]/(F )
Si noti che siccome un elemento α = G + (F ) ∈ K[V ] a meno di polinomi che si
annullano du X , esso induce una funzione ben definita ¯α : X \ ℓ∞ → K, ¯α(a1, a2) =
f(a1, a2). Con un piccolo abuso di notazione scriveremo spesso α invece di ¯α. Inoltre,
notiamo che K[X ] è un dominio di integrità siccome (F ) è un ideale primo. Pertanto
si può considerare il suo campo dei quozienti.
Definizione 3.23. Il campo delle funzioni razionali K(X ) di X è il campo dei quozienti
di K[X ].
Una descrizione esplicita di K(X ) è
G + (F )
K(X ) =
H + (F )
dove G1 + (F )
H1 + (F ) = G2 + (F )
H2 + (F ) se F | G1H2 − G2H1.
| G, H ∈ K[X, Y ], H /∈ (F )
Nota 3.24. Si noti che K(X ) = K(¯x, ¯y) dove ¯x = X + (F ), ¯y = Y + (F ). Infatti, sia
α ∈ K(X ), α = . Allora semplicemente per definizione di somma e prodotto
G(X,Y )+(F )
H(X,Y )+(F )
in K[X ], α = G(¯x,¯y)
H(¯x,¯y)
. Questo prova che K(X ) ⊂ K(¯x, ¯y). L’altra inclusione è ovvia.
Notiamo che G ∈ (F ) implica G(¯x, ¯y) = 0.
Diversamente dagli elementi di K[X ], una funzione razionale α ∈ K(X ) può non dar
luogo a una funzione genuina sui punti affini di X , dato che il suo denominatore può
annullarsi in qualche punto. Se per P = (a1, a2) ∈ X esistono G, H ∈ K[X, Y ],
G + (F )
H(a1, a2) = 0, tali che α = , la funzione razionale α si dice regolare (or
H + (F )
definita) in P . In questo caso α(P ) = G(a1, a2)
è ben definito.
H(a1, a2)
Esempio 3.25. Sia F (X, Y ) = X+X 2 +Y 2 +Y 3 . Sia α ∈ K(X ), α = X + X2 + (F )
, e
Y + (F )
si ponga P = (0, 0). Apparentemente, α non è regolare in P , ma siccome X+X 2 +(F ) =
−Y 2 − Y 3 + (F ), α = −Y 2 − Y 3 + (F )
=
Y + (F )
−Y − Y 2 + (F )
. Quindi α è definita in P
1 + (F )
e α(P ) = 0.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 52
Il campo delle funzioni razionali K(X ) può essere rappresentato in modo equivalente
a partire dall’equazione omogenea di X . Sia quindi F (X0, X1, X2) omogeneo, e sia
K h (X ) = K[X0, X1, X2]/(F ) .
Essendo F irriducibile Kh (X ) è dominio di integrità . Consideriamo allora il seguente
sottocampo L del campo dei quozienti di Kh (X ):
G + (F )
L =
H + (F ) | G, H ∈ K[X0,
X1, X2] omogenei, deg(H) = deg(G), H /∈ (F ) .
Proposizione 3.26. Se X non è la retta ℓ∞, allora il campo L è isomorfo a K(X ).
Dimostrazione. Ricordiamo che un’equazione affine di X è F∗(X, Y ) = 0, e pertanto
G + (F∗)
K(X ) =
| G, H ∈ K[X, Y ], H /∈ (F∗) .
H + (F∗)
Si definisca un’applicazione ψ : L → K(X ) ponendo
G + (F )
ψ
=
H + (F )
G∗ + (F∗)
H∗ + (F∗) .
Si lascia al lettore la verifica che ψ è ben definita, e che è un isomorfismo di campi.
D’ora in avanti useremo indifferentemente le due rappresentazioni, affine e omogenea,
del campo delle funzioni razionali di X . Osserviamo che:
• nella rappresentazione omogenea si chiede sempre che numeratore e denominatore
di una funzione razionale abbiano lo stesso grado;
• nella rappresentazione omogenea il concetto di funzione razionale definita in un
punto si estende anche ai punti di X ∩ ℓ∞.
3.6 Valutazioni
Richiamiamo innanzitutto alcuni concetti di Algebra.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 53
Un anello commutativo R si dice Noetheriano se ogni ideale di R è generato da un
numero finito di elementi di R. Si può dimostrare che R è Noetheriano se e solo se
per ogni catena ascendente di ideali I1 ⊂ I2 ⊂ I3 ⊂ . . . in R, esiste n ≥ 1 tale che
In+1 = In+2 = In+3 = . . . . Un campo K è sempre Noetheriano dato che K non contiene
ideali non banali.
Teorema 3.27 (Teorema della Base di Hilbert). Sia R un anello Noetheriano. Allora
l’anello dei polinomi R[X] è Noetheriano.
Corollario 3.28. Sia K un campo. Allora K[X1, . . . , Xn] è Noetheriano.
Dimostrazione. Si usi il Teorema della Base di Hilbert, e si proceda per induzione su
n.
Le seguenti condizioni sono equivalenti per un anello R:
1) L’insieme degli elementi non invertibili di R forma un ideale.
2) R ha un unico ideale massimale che contiene tutti gli ideali propri di R.
L’affermazione segue dal fatto che ogni ideale contenente un elemento invertibile deve
coincidere con l’intero anello. Un anello che soddisfa le condizioni appena descritte si
dice anello locale.
Torniamo ora alle curve algebriche. Sia X : F (X, Y ) = 0 e sia P = (a1, a2) un punto
affine di X .
Definizione 3.29. L’ anello locale di X in P è il sottoanello K[X ]P di K(X ) costituito
dalle funzioni di K(X ) che sono definite in P .
Proposizione 3.30. L’anello K[X ]P è un dominio locale Noetheriano.
Dimostrazione. Chiaramente K[X ]P è un dominio essendo contenuto nel campo K(X ).
Per provare che K[X ]P è Noetheriano, si fissi un ideale I ⊂ K[X ]P . Sia I ′ = I ∩
K[X ]. Dato che K[X ] è Noetheriano (essendo per definizione un quoziente di un anello
Noetheriano), I ′ =< g1 + (F ), . . . , gs + (F ) > in K[X ] per qualche gi ∈ K[X, Y ]. Sia
α ∈ I. Allora c’è un polinomio b ∈ K[X, Y ], b(a1, a2) = 0, tale che (b + (F ))α ∈

CAPITOLO 3. CURVE ALGEBRICHE PIANE 54
K[X ] ∩ I = I ′ . Pertanto (b + (F ))α = (b1g1 + . . . + bsgs) + (F ) per qualche polinomio
b1, . . . , bs, ovvero
α = b1 + (F )
b + (F ) g1 + . . . + bs + (F )
b + (F ) gs .
Questo dimostra che I =< g1 + (F ), . . . , gs + (F ) > in K[X ]P .
Proviamo ora che K[X ]P è anello locale. Sia I = {α ∈ K[X ]P | α(P ) = 0}. Chiaramente
I è un ideale proprio. Supponiamo che esista un ideale J K[X ]P non
contenuto in I e sia x ∈ J \ I. Si noti che x è invertibile in K[X ]P , dato che x(P ) = 0
implica che x−1 = 1
è definita in P . Pertanto l’ideale < x > contiene l’intero anello
x
K[X ]P , dato che ogni α ∈ K[X ]P può essere scritto come α
x. Ma ciò contraddice
x
< x >⊂ J K[X ]P .
L’insieme delle funzioni razionali di K(X ) che si annullano in P sarà denotato MP .
Dalla dimostrazione precedente, MP è l’ideale massimale dell’anello locale K[X ]P .
Proposizione 3.31. Sia X una curva algebrica e sia P ∈ X . Se P è semplice, allora
MP è un ideale principale.
Dimostrazione. Senza restrizione sia P = (0, 0), e la retta tangente di X in P sia
Y = 0. Si può immediatamente verificare che MP =< ¯x, ¯y >. Inoltre, f(X, Y ) =
Y + ¯ f(X, Y ) dove tutti i monomi di ¯ f hanno grado maggiore o uguale di 2. Si scriva
¯f = Y h(Y ) + Xs(X, Y ) con s(0, 0) = 0, h(0) = 0. Allora f(¯x, ¯y) = 0 implica
s(¯x, ¯y)
¯y = −¯x
.
1 + h(¯y)
s(¯x, ¯y)
Si noti che
1 + h(¯y) ∈ K[X ]P siccome h(0) = 0, pertanto ¯y ∈< ¯x > e < ¯x, ¯y >=< ¯x >.
La dimostrazione è così conclusa.
Definizione 3.32. Sia P punto semplice di una curva algebrica X . Un parametro
locale di X in P è un generatore di MP .
I risultati seguenti seguono dalla Proposizione 3.31.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 55
Corollario 3.33. Sia X una curva algebrica, e P ∈ X un punto semplice. Sia l :
aX +bY +c = 0 una retta per P , distinta dalla tangente a X in P . Allora t = a¯x+b¯y+c
è un parametro locale di X in P .
In termini proiettivi, si ha un risultato analogo.
Corollario 3.34. Sia X una curva algebrica di equazione F (X0, X1, X2) = 0, e P un
suo punto semplice. Sia l1 : aX0 + bX1 + cX2 = 0 una retta per P , distinta dalla
tangente a X in P . Sia inoltre l2 : a ′ X0 + b ′ X1 + c ′ X2 = 0 una qualsiasi retta non
passante per P . Allora
t = aX0 + bX1 + cX2 + (F )
a ′ X0 + b ′ X1 + c ′ X2 + (F )
è un parametro locale di X in P .
Un dominio locale Noetheriano tale che il suo ideale massimale è principale si dice anello
di valutazione discreta (DVR). La seguente proposizione spiega come una funzione
ordine su K(X ) possa essere associata a P .
Proposizione 3.35. Sia X una curva algebrica e sia t un parametro locale di X in
P . Allora per ogni α ∈ K[X ]P , α = 0, esiste un unico m ∈ Z, m ≥ 0, e un unico
u ∈ K[X ]P invertibile, tali che α = ut m .
Dimostrazione. Supponiamo che tali m e u non esistano. Ciò implica che se α = ut i ,
i ≥ 0, u ∈ K[X ]P , allora u non è invertibile, i.e. u ∈ MP . In particolare, α ∈ MP
dato che α = αt 0 . Definiamo induttivamente una sequenza di elementi ui ∈ K[X ]P .
Sia u1 ∈ K[X ]P con α = u1t, e per i > 1 sia ui ∈ K[X ]P tale che ui−1 = uit. Un tale
ui esiste dato che α = ui−1t i−1 , e quindi ui−1 ∈ MP . Si noti che < ui−1 >< ui >,
altrimenti ui = βui−1 = βuit per qualche β ∈ K[X ]P , e t sarebbe invertibile essendo
βt = 1. Pertanto la catena ascendente di ideali
< u1 >< u2 > . . . < ui > . . .
dà luogo a una contraddizione essendo K[X ]P Noetheriano.
Per provare l’unicità si assuma ut m = vt s with m < s. Pertanto u = vt s−m ∈ MP , che
contraddice il fatto che u è invertibile in K[X ]P .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 56
Corollario 3.36. Sia X una curva algebrica, e sia t un suo parametro locale in un
suo punto semplice P . Allora per ogni α ∈ K(X ), α = 0, esiste un unico m ∈ Z, e un
unico u ∈ K[X ]P invertibile, tali che α = ut m .
Dimostrazione. Ogni α ∈ K[X ]P , α = 0, si può scrivere come quoziente β
con β, γ
γ
in K[X ]P . Dalla Proposizione 3.35, β = ut m , γ = vt s per due interi m, s e per due
elementi invertibili u, v ∈ K[X ]P . Pertanto α = (uv −1 )t m−s . L’unicità può essere
dimostrata come nella dimostrazione della Proposizione 3.35.
Esercizio 43. Si provi che l’intero m del Corollario 3.6 non dipende dalla scelta del
parametro locale t.
Definizione 3.37. Sia P punto di una curva algebrica non singolare X , e sia α ∈ K(X ),
α = 0. L’ ordine ordP (α) di α in P è l’intero m tale che α = ut m , con u invertibile in
K[X ]P e t parametro locale in P . Per α = 0 si ponga ordP (0) = ∞.
Si noti che K[X ]P coincide con l’insieme {α ∈ K(X ) | ordP (α) ≥ 0}, mentre MP =
{α ∈ K(X ) | ordP (α) > 0}.
Gli ordini di funzioni razionali hanno le seguenti proprietà elementare, la cui
dimostrazione è lasciata come esercizio.
Proposizione 3.38. Sia X una curva algebrica non singolare, e sia P un punto di X .
Allora
1. ordP (αβ) = ordP (α) + ordP (β) per ogni α, β ∈ K(X ) (e quindi ordP (α m ) =
m · ordP (α) per ogni intero m);
2. ordP (α + β) ≥ min{ordP (α), ordP (β)} per ogni α, β ∈ K(X ); se ordP (α) =
ordP (β) allora vale l’uguaglianza;
3. ordP (a) = 0 per ogni a ∈ K.
Definizione 3.39. Un punto P di una curva algebrica non singolare X è detto zero
di molteplicità m per α ∈ K(X ) se ordP (α) = m > 0, polo di molteplicità −m se
ordP (α) = m < 0.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 57
Esempio 3.40. Sia X : Y = 0. I punti affini di X sono Pa = (a, 0), dove a varia
in K. Sia α = X 2 + (F ) ∈ K(X ). Chiaramente α è definito in Pa per ogni a, e
α(Pa) = a 2 . Pertanto tra i punti Pa, l’unico zero di α è P0. Per il corollario 3.33 la
funzione t = X + (F ) è parametro locale in P0. Dato che α = t 2 , si ha ordP0(α) =
ordP0(t 2 ) = 2ordP0(t) = 2, cioè P0 è uno zero di α di molteplicità due.
Esempio 3.41. Sia K = C e sia X : X 2 + Y 2 − 1 = 0. Sia α = X(X − 1)2 + (F )
(Y − 1) 2 + (F ) .
Calcoliamo gli ordini di α nei punti P1 = (1, 0) e P2 = (0, 1). Si scriva α = Xu 2 , dove
X − 1 + (F )
u =
Y − 1 + (F ) . Dato che X è definita in P1 e X(P1) = 1, si ha che ordP1(X) = 0.
Per calcolare ordP1(u) si noti che in K(X ) si ha:
(X − 1)(X + 1) + (F )
(Y − 1) 2 + (F )
=
Y 2 + (F )
(Y − 1) 2 + (F ) ,
Y + (F )
ovvero u = h1h2 dove h1 =
Y − 1 + (F ) , h2
Y + (F )
= . Per il Corollario 3.33 sia
X + 1 + (F )
h1 che h2 sono parametri locali in P1, e pertanto ordP1(α) = ordP1(X)+2ordP1(h1h2) =
0 + 2 + 2 = 4, cioè P1 è uno zero di α di molteplicità 4.
Per il Corollario 3.33 ¯x è un parametro locale in P2. Si noti che
(Y − 1)(Y + 1) + (F )
(X − 1) 2 + (F )
=
X2 + (F )
(X − 1) 2 + (F ) ,
cioè u−1 = g1g2 dove g1
X + (F )
= −
X − 1 + (F ) , g2 =
X + (F )
.
Y + 1 + (F )
Possiamo usare di
nuovo il Corollario 3.33 per affermare che sia g1 che g2 sono parametri local in P2.
Riassumento, ordP2(α) = ordP2(X) + ordP2(g −2
1 g −2
2 ) = 1 − 2 − 2 = −3. Pertanto P2 è
un polo di α di molteplicità 3.
Il prossimo teorema, di cui omettiamo la dimostrazione, fornisce una diversa prospettiva
sulla molteplicità di una funzione in un punto, e, soprattutto, un algoritmo per il suo
calcolo. Nell’enunciato si usa la rappresentazione omogenea di K(X ).
Teorema 3.42. 3.6 Sia α una funzione razionale della curva non singolare X :
F (X, Y ) = 0, e sia P un punto affine di X . Si scriva α come classe di un quoziente
di due polinomi:
α =
G + (F )
H + (F ) .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 58
Siano inoltre Y e Z le curve di equazione Y : G(X, Y ) = 0, Z : H(X, Y ) = 0. Allora
ordP (α) = I(P, Y ∩ X ) − I(P, Z ∩ X ) .
Dimostrazione. Supponiamo per semplicità che P sia affine. Sia aX + bY + c = 0
l’equazione di una retta passante per P non tangente a X in P , e sia t = aX +
bY + c + (F ) il parametro locale di X in P corrispondente. Si ponga inoltre m =
ordP (α). Per definizione di ordine, esiste u ∈ K[X ]P , u invertibile, tale che α = t m u.
Dall’invertibilità di u segue che
u = G1 + (F )
H1 + (F )
per qualche G1, H1 che non si annullano in P . Da
α = G1(aX + bY + c) m + (F )
H1 + (F )
segue che F divide GH1 − G1HG1(aX + bY + c) m , ovvero esiste un polinomio Q ∈
K[X, Y ] tale che
QF + G1H(aX + bY + c) m = GH1.
Dalla proprietà 5 della molteplicità di intersezione segue che
I(P, X ∩ {GH1 = 0}) = I(P, X ∩ {G1H(aX + bY + c) m = 0}),
e quindi dalla proprietà 6 si ha che I(P, X ∩ {G = 0}) + I(P, X ∩ {H1 = 0}) coincide
con
I(P, X ∩ {G1 = 0}) + I(P, X ∩ {H = 0}) + mI(P, X ∩ {aX + bY + c = 0}).
Dato che l’equazione aX + bY + c = 0 rappresenta una retta per P non tangente, si ha
I(P, X ∩ {aX + bY + c = 0}) = 1. Inoltre, dato che G1, H1 che non si annullano in P ,
si ottiene I(P, X ∩ {G1}) = I(P, X ∩ {H1}) = 0. Pertanto l’asserto è dimostrato.
La versione proiettiva del Teorema è la seguente
Teorema 3.43. Sia α una funzione razionale della curva non singolare X :
F (X0, X1, X2) = 0, e sia P un punto di X . Si scriva α come classe di un quoziente di
due polinomi omogenei dello stesso grado:
α =
G + (F )
H + (F ) .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 59
Siano inoltre Y e Z le curve di equazione Y : G(X0, X1, X2) = 0, Z : H(X0, X1, X2) =
0. Allora si ha che
ordP (α) = I(P, Y ∩ X ) − I(P, Z ∩ X ) .
Teorema 3.44. Sia X una curva algebrica non singolare. Allora ogni funzione α ∈
K(X ) non nulla ha lo stesso numero di zeri e di poli, contati con molteplicità .
Dimostrazione. L’asserto segue dal Teorema precedente e dal Teorema di Bézout.
Il numero di zeri (o di poli) di una funzione può essere interpretato algebricamente nel
modo seguente.
Teorema 3.45. Sia α ∈ K(X ), α /∈ K. Allora il numero di zeri di α coincide con il
grado dell’estensione di campi
K(X ) : K(α) .
Esercizio 44. Sia X : F (X, Y ) = 0. Si dimostri il teorema precedente per α = ¯x.
(Suggerimento: si ricordi che K(X ) = K(¯x, ¯y), e che F (¯x, ¯y) = 0).
3.7 Divisori
Sia X una curva algebrica piana non singolare.
Il gruppo abeliano libero generato dai punti di X è chiamato il gruppo dei divisori di
X . I suoi elementi sono detti divisori di X . In altre parole, un divisore D è una somma
formale finita di punti di X , ovvero D =
P ∈X npP , dove nP è un intero, diverso da
0 solo per un numero finito di punti di X .
Il supporto di D si definisce come supp(D) := {P ∈ X | nP = 0}. Due divisori
D =
P ∈X npP e D ′ =
P ∈X n′ pP si sommano in modo naturale
D + D ′ :=
P ∈X
(np + n ′ P )P .
L’elemento neutro del gruppo dei divisori è
P ∈X nP P con nP = 0 per ogni P ∈ X .
Sarà denotato come 0.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 60
Un ordine parziale nel gruppo dei divisori è definito da
D ≤ D ′ ⇔ nP ≤ n ′ P per ogni P ∈ X .
Se nP ≥ 0 per ogni P ∈ X diremo che D è positivo o effettivo. Il grado di D è la somma
degli interi nP , ovvero deg(D) =
P ∈X np.
Ad ogni funzione razionale f non nulla si associa in modo naturale un divisore: (f) :=
ordP (f)P . Tale divisore è il divisore nullo se e solo se f è costante. Se viceversa
f /∈ K, allora (f) si può scrivere come differenza di due divisori effettivi: (f) =
(f)0 − (f)∞, dove (f)0 =
ordP (f)>0 ordP (f)P è il divisore degli zeri di f, e (f)∞ =
ordP (f)

CAPITOLO 3. CURVE ALGEBRICHE PIANE 61
ϕ è K-lineare e la sua immagine è contenuta in L(D ′ ): ordP (xz) = ordP (x) +
per ogni P ∈ X . Inolte ϕ è biiettiva dato che
ordP (z) ≥ −nP + ordP (z) = −n ′ P
ψ : L(D ′ ) → L(D), x ↦→ xz−1 è una sua inversa.
2. Supponiamo che esista x ∈ L(D) con x = 0. Allora D ′ := D + (x) è effettivo e
linearmente equivalente a D. Pertanto 0 ≤ deg(D ′ ) = deg(D), in contraddizione
con l’ipotesi.
3. Chiaramente K è contenuto in L(0). D’altro canto ogni elemento in L(0) non ha
poli, e quindi è necessariamente costante.
Una limitazione superiore alla dimensione di L(D) si può dimostrare abbastanza
facilmente.
Proposizione 3.48. Sia D un divisore tale che D ≥ 0. Allora
dimK(L(D)) ≤ deg(D) + 1 .
Dimostrazione. Proviamo l’asserto per induzione su deg(D). Se deg(D) = 0, allora
D ≥ 0 implica D = 0. Dal Lemma 3.47 segue dunque che
dimK(L(D)) = dimK(L(0)) = dimK(K) = 1 = deg(D) + 1 .
Supponiamo allora che deg(D) > 0. Allora esiste P ∈ X tale che nP > 0. Sia
D ′ = D − P . Essendo D ′ ≥ 0 e deg(D ′ ) = deg(D) − 1, per ipotesi induttiva si
ha dimK(L(D ′ )) ≤ deg(D). Per completare la dimostrazione rappresenteremo L(D ′ )
come nucleo di una applicazione lineare di L(D) in K. Sia t parametro locale di X in
P . Osserviamo che per ogni α in L(D) si ha ordP (t nP α) = nP + ordP (α) ≥ 0, ovvero
t nP α è definita in P . Pertanto l’applicazione
Φ : L(D) → K, α ↦→ (t nP α)(P )
è ben definita. Si verifica immediatamente che Φ è lineare. Inoltre, α ∈ Ker(Φ) se e
solo se P è uno zero di t nP α, ovvero
ordP (t nP α) > 0 ⇔ ordP (α) ≥ (nP − 1) ⇔ (α) + D ′ ≥ 0.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 62
Pertanto, Ker(Φ) coincide con L(D ′ ). Essendo
dimK(L(D)) = dimK(Ker(Φ)) + dimK(Im(Φ))
l’asserto segue da dimK(Ker(Φ)) ≤ deg(D) e dimK(Im(Φ)) ≤ 1.
Nota 3.49. Si noti che la condizione D ≥ 0 nella proposizione precedente può essere
facilmente sostituita da deg(D) ≥ 0. Infatti se dimK(L(D)) = 0, allora non c’è niente
da dimostrare essendo 0 < deg(D) + 1; altrimenti esiste una funzione razionale α tale
che (α) + D ≥ 0. Dal Lemma 3.47 si ha allora che i divisori (α) + D e D oltre ad
avere lo stesso grado sono tali che L(D) e L((α) + D) sono isomorfi. Pertanto
dimK(L(D)) = dimK(L((α) + D)) ≤ deg(D) + 1 .
Esempio 3.50. Esaminiamo la curva X definita su F2 da X3 1 + X3 2 + X3 0. Sia D = 2P ,
con P = (1 : 0 : 1) ∈ X . Cerchiamo elementi in L(D), ovvero funzioni razionali
che hanno un polo di molteplicità al più 2 in P , e che sono definite in tutti gli altri
punti. Chiaramente ogni costante è contenuta in L(D). Esistono funzioni razionali non
costanti in L(D)? Osserviamo che la retta tangente a X in P è la retta X0 + X2 = 0;
tale retta incontra X nel solo punto P , con molteplicità 3. Osserviamo allora che ogni
funzione di tipo
α = L(X0, X1, X2)
,
X0 + X2
con L polinomio di primo grado, ha polo solo in P , e tale polo ha molteplicità al
massimo 3. Per far sì che ordP (α) sia maggiore o uguale di −2 basterà fare in modo
che L rappresenti una retta passante per P diversa dalla tangente. Ad esempio, si ha
che
α :
X1
X2 + X0
∈ L(D) .
Dato che α e 1 sono chiaramente linearmente indipendenti su K, la dimensione di L(D)
è almeno 2. Vedremo in seguito che in realtà vale l’uguaglianza.
Esempio 3.51. Sia X : F (X0, X1, X2) = 0 una curva algebrica non singolare di ordine
d > 3. Sia D∞ il divisore
D∞ =
I(P, X ∩ ℓ∞)P .
P ∈ℓ∞

CAPITOLO 3. CURVE ALGEBRICHE PIANE 63
Si ponga W = (d−3)D∞. Si osservi che il grado di W è d(d−3). Inoltre, ogni funzione
αi0,i1,i2 = Xi0 0 X i1
1 X i2
2
X d−3
0
= ¯x i1 ¯y i2
con i0, i1, i2 non negativi, i0 + i1 + i2 = d − 3, appartiene a L(W ). Le possibilità per
gli indici i0, i1, i2 sono in numero di
1 + 2 + . . . + (d − 2) =
(d − 1)(d − 2)
2
Inoltre le funzioni αi0,i1,i2 sono linearmente indipendenti su K, altrimenti F dovrebbe
dividere un polinomio di grado d − 3. Pertanto la dimensione di L(W ) è almeno
. Vedremo in seguito che vale l’uguaglianza.
(d−1)(d−2)
2
3.7.1 Il Teorema di Riemann-Roch
Il Teorema di Riemann-Roch è uno dei teoremi più famosi della Geometria Algebrica.
Sia X : F (X0, X1, X2) e sia d il grado di X . Poniamo g = (d − 1)(d − 2)/2; tale
intero si dice il genere di X 1 . Diremo che un divisore W è un divisore canonico se
deg(W ) = 2g − 2 e ℓ(W ) = g.
Teorema 3.52 (Teorema di Riemann-Roch). Dato un divisore D di una curva
algebrica X ,
ℓ(D) = deg(D) + 1 − g + ℓ(W − D)
dove W è un qualsiasi divisore canonico.
Calcolare ℓ(W − D) in generale non è facile. Se però il grado di D è sufficientemente
grande, tale intero risulta essere uguale a zero
Corollario 3.53. Per ogni divisore D tale che deg(D) ≥ 2g − 1, si ha
ℓ(D) = deg(D) + 1 − g
1 Il genere di una curva algebrica è il più importante invariante birazionale. Nel caso di curve
singolari o di curve non piane, la definizione di genere è più complessa
.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 64
Dimostrazione. Dal Teorema di Riemann-Roch segue ℓ(D) = deg(D)+1−g+ℓ(W −D),
essendo W un divisore canonico. Siccome deg(D) ≥ 2g − 1 e deg(W ) = 2g − 2,
abbiamo che deg(W − D) < 0. Da (2) del Lemma 3.47 segue che ℓ(W − D) = 0, da
cui l’asserto.
Nel caso di curve non singolari è facile descrivere i divisori canonici.
Lemma 3.54. Sia D tale che deg(D) = 0. Allora ℓ(D) ≤ 1.
Dimostrazione. L’asserto segue dalla Nota 3.49.
Proposizione 3.55. Il divisore D = (d − 3)D∞, dove
D∞ =
I(P, X ∩ ℓ∞)P ,
è un divisore canonico
P ∈ℓ∞
Dimostrazione. Osserviamo innanzitutto che il grado di D è uguale a d(d−3) = 2g −2.
Dal Teorema di Riemann-Roch allora si ha che
ℓ(D) = 2g − 2 + 1 − g + ℓ(W − D),
dove W è un qualsiasi divisore canonico. Essendo deg(W − D) = 0, dal Lemma 3.54
segue che ℓ(D) ≤ g. Nell’esempio 3.51 si è dimostrato che ℓ(D) ≥ g, da cui ℓ(D) = g
e quindi l’asserto.
Esercizio 45. Si provi che utti i divisori canonici di una curva algebrica sono linearmente
equivalenti. (Suggerimento: si dimostri che, per due divisori canonici W1 e W2,
si ha ℓ(W1 − W2) = 1).
Esempio 3.56. z Sia q una potenza di un primo, e sia X : F = 0, F = X2, K = ¯ Fq.
Conserviamo la notazione usata nell’Esempio 3.40. Per un intero k, 1 ≤ k ≤ q, sia
D = (k − 1)P∞. Proveremo che L(D) coincide con lo spazio vettoriale
f(X0, X1) + (F )
V =
X k−1
0
+ (F )
| f(X0, X1) ∈ Fq[X0, X1], omogeneo, deg(f) = k − 1
.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 65
Mostriamo innanzitutto che V ⊆ L(D). Per una funzione f ∈ V si scriva
f = (a0X k−1
0
+ a1X1X k−2
0
+ . . . + ak−1X k−1
1 )/X k 0 .
Allora f = a0f0 + a1f1 + . . . + ak−1fk−1, dove fi = (X1/X0) i . Siccome per il Corollario
3.33 f −1
1 è un parametro locale in P∞, la Proposizione 3.38 implica ordP∞(f) = −i0,
essendo
i0 = max{0 ≤ i ≤ k − 1 | i = 0} .
Tenendo conto del fatto che f è definita in ogni punto di X diverso da P∞, si ha che
(f)∞ = −i0P∞, e pertanto f ∈ L(D). Per provare l’asserto ora è sufficiente mostrare
che dim(V ) = ℓ(D). Chiaramente dim(V ) = k. Siccome il genere di X è uguale a 0,
per il Corollario 3.53 si che anche ℓ(D) è uguale a k.
Esempio 3.57. Sia X come nell’esempio 3.56. Siano P1 = (1 : a1 : 0), . . . , Pn =
(1 : an : 0) punti distinti di X . Per n elementi non nulli v1, v2, . . . , vn di Fq, sia
U ∈ Fq[X] tale che deg(U) ≤ n − 1 e U(ai) = vi per ogni i, 1 ≤ i ≤ n. Si scriva
U = u0 + u1X + . . . + un−1X n−1 ; sia u la funzione razionale su X definita da u =
(u0X n−1
0
+ u1X1X n−2
0
+ . . . + un−1X n−1
1 )/X n−1
0 . Ora si consideri lo spazio L(D) con
D = (k − 1)P∞ − (u). Affermiamo che l’insieme
uf0, uf1, . . . , ufk−1,
con fi = (X1/X0) i , costituisce una base di L(D). Dall’ Esempio 3.56 sappiamo che
(fi) = iP0 − iP∞. Pertanto
(ufi) + D = (u) + (fi) + ((k − 1)P∞ − (u)) = iP0 + (k − 1 − i)P∞ ≥ 0
cioè ufi ∈ L(D) per ogni i, 0 ≤ i ≤ k − 1. Si lascia come esercizio dimostrare che
le funzioni ufi sono linearmente indipendenti. Per il Corollario 3.53, la dimensione di
L(D) è uguale a k, e pertanto l’asserto è dimostrato.
3.7.2 Divisori one-point
In questa sezione consideriamo divisori di tipo D = mP , m > 0. Le funzioni di L(D)
sono quelle f ∈ K(X ) tali che (f)∞ = lP , l ≤ m. Sia H(P ) il seguente insieme di
interi non negativi:
H(P ) := {l| esiste f ∈ K(X ) con (f)∞ = lP }.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 66
Si vede facilmente che H(P ) è un semigruppo (cioè un insieme chiuso rispetto alla
somma), chiamato il semigruppo di Weierstrass in P . Gli elementi di H(P ) sono
chiamati non-gaps di P , mentre ogni intero s ∈ N \ H(P ) è detto gap.
Lemma 3.58. Un intero i è un non-gap in P se e solo se
L((i − 1)P ) L(iP )
Dimostrazione. Chiaramente ogni α per cui (α)∞ = −iP appartiene a L(iP ) ma non
a L((i − 1)P ).
In virtù della dimostrazione della Proposizione 3.48, vale anche la caratterizzazione
seguente.
Lemma 3.59. Un intero i è un non-gap in P se e solo se
ℓ((i − 1)P ) = ℓ(iP ) − 1 .
Proposizione 3.60. La dimensione di L(mP ) coincide con il numero di non-gaps in
P minori o uguali di m.
Dimostrazione. Si consideri la catena di spazi vettoriali L(0) ⊆ L(P ) ⊆ L(2P ) ⊆ . . . ⊆
L(mP ). Dal lemma precedente, per ogni i, 0 ≤ i ≤ m, la differenza ℓ(iP ) − ℓ((i − 1)P )
è al più 1. Inoltre da (3) del Lemma 3.47 si ha che dimL(0) = 1. Questo completa la
dimostrazione.
Proposizione 3.61. Siano i0 = 0, i1, . . . , ir tutti i non-gaps in P minori o uguali di m.
Siano f0, f1, . . . , fr ∈ K(X ) tali che ordP (fi) = −ii. Allora f0, f1, . . . , fr costituiscono
una base di L(mP ).
Dimostrazione. Dalla dimostrazione della proposizione precedente segue
L(0) L(i1P ) L(i2P ) . . . L(irP ) = L(mP ) ,
dove ℓ(ijP ) = ℓ(ij−1P )+1. Pertanto, dato che fj ∈ L(ijP )\L(ij−1P ), si ha L(ijP ) =<
L(ij−1P ), fj >. Segue allora che f0, f1, . . . , fr sono linearmente indipendenti, e che
L’asserto è dunque provato.
L(mP ) =< f0, f1, . . . , fr > .

CAPITOLO 3. CURVE ALGEBRICHE PIANE 67
Proposizione 3.62. Ogni intero i ≥ 2g è un non-gap in ogni punto P ∈ X .
Dimostrazione. Essendo 2g − 1 ≤ i − 1 < i, dal Teorema di Riemann-Roch segue che
Pertanto
ℓ((i − 1)P ) = i − 1 + 1 − g, ℓ(iP ) = i + 1 − g .
ℓ((i − 1)P ) = ℓ(iP ) − 1.
Proposizione 3.63. Ci sono esattamente g gaps in ogni punto P ∈ X .
Dimostrazione. Il Corollario 3.53 implica che ℓ(2gP ) = g + 1. Dalla Proposizione 3.60
il numero di non-gaps in P che sono minori o uguali di 2g is g + 1. Pertanto, dalla
Proposizione 3.62 il numero di gaps in P è g.
Corollario 3.64. Se g ≥ 1 allora esiste almeno un gap in ogni punto P ∈ X . Inoltre
1 è un gap in ogni P ∈ X .
Esempio 3.65. Fissiamo le notazioni come nell’Esempio 3.50. Siccome il genere di X
è uguale 1, il solo gap in P è 1. Dalla Proposizione 3.60 segue ℓ(2P ) = 2.
3.7.3 La curva Hermitiana
Sia X : X q+1
1
− X q
2X0 − X q
0X2 = 0 curva definita sopra la chiusura algebrica del campo
finito Fq. Tale curva si dice curva Hermitiana, e vedremo nel prossimo capitolo che è
un oggetto molto rilevante in teoria dei codici. In questa sezione ne vedremo alcune
proprietà preliminari.
Si verifica facilmente che X è non singolare. Il suo genere g è quindi uguale a q(q−1)/2.
Si vede anche direttamente che l’unico punto di X appartenente alla retta ℓ∞ : X0 = 0
è il punto P∞ = (0 : 0 : 1). Si vede facilmente che la tangente a X in P∞ è proprio la
retta all’infinito ℓ∞, e che
I(P∞; X ∩ ℓ∞) = q + 1 .
Definiamo x = X1 X2 , y = . Osserviamo che
X0 X0
ordP∞(x) = I(P∞; X ∩ X1 = 0) − I(P∞; X ∩ ℓ∞) = 1 − (q + 1) = −q,

CAPITOLO 3. CURVE ALGEBRICHE PIANE 68
e
ordP∞(y) = I(P∞; X ∩ X2 = 0) − I(P∞; X ∩ ℓ∞) = 0 − (q + 1) = −q − 1.
Inoltre dato che X0 non si annulla in nessun altro punto di X si ha che x e y hanno un
unico polo in P∞; pertanto
(x)∞ = qP∞, (y)∞ = (q + 1)P∞ .
Proposizione 3.66. Sia r un intero positivo. Una base di L(mP∞) è costituita dalle
funzioni
{x i y j | iq + j(q + 1) ≤ m, i ≥ 0, 0 ≤ j ≤ q − 1} .
Dimostrazione. Osserviamo innanzitutto che due elementi dell’insieme {x i y j | iq +
j(q + 1) ≤ m, i ≥ 0, 0 ≤ j ≤ q − 1} hanno ordine diverso in P∞. Infatti, se fosse
iq + j(q + 1) = i ′ q + j ′ (q + 1), supponendo senza restrizione j ′ ≥ j, si avrebbe
(j ′ − j)(q + 1) = (i − i ′ )q .
Essendo j ′ − j un intero minore di q, ed essendo MCD(q, q + 1) = 1, non è possibile
che q divida il primo membro a meno che j = j ′ , nel qual caso si deve però anche avere
i = i ′ .
Basterà ora provare che il semigruppo di Weierstrass H(P∞) coincide con l’insieme
{iq + j(q + 1) | i ≥ 0, 0 ≤ j ≤ q − 1} .
A tale scopo, osserviamo intanto che nell’insieme {iq + j(q + 1) | i ≥ 0, 0 ≤ j ≤ q − 1}
si trovano almeno (q 2 − q)/2 = g elementi e minori o uguali di 2g − 1 = q(q − 1) − 1 =
q 2 − q − 1. Ciò dipende dal fatto che le somme iq + j(q + 1) con 0 ≤ i + j ≤ q − 2 sono
in numero di (q 2 − q)/2.
Resta quindi da dimostrare che ogni intero n maggiore di 2g − 1 = q 2 − q − 1 si
può esprimere come combinazione di q e q + 1. Procediamo per induzione su n. Se
n = iq + j(q + 1) con i > 0, allora n + 1 = (i − 1)q + (j + 1)(q + 1); se n = j(q + 1)
con j = q − 1, allora n + 1 = q 2 = iq con i = q (se n = j(q + 1) con j < q − 1, allora
n ≤ (q − 2)(q − 1) < 2g − 1).
Esercizio 46. Sia X la curva definita sopra il campo finito con 49 elementi da X 7 2X0 +
X2X 7 0 − X 8 1. Sia P = (0 : 0 : 1). Si trovino basi degli spazi L(10P ), L(20P ) e L(30P ).

CAPITOLO 3. CURVE ALGEBRICHE PIANE 69
Esercizio 47. Si consideri la quartica di Klein sopra F4, ovvero la curva algebrica di
equazione affine X : X 3 Y +Y 3 +X = 0. Sia P = (0, 0). Si calcoli una base dello spazio
L(nP ) per ogni intero positivo n. Suggerimento: si calcoli innanzitutto l’ordine in P
delle funzioni ¯x e ¯y; successivamente si considerino le funzioni ¯y i /¯x j con j > i ≥ 0 e si
determini il semigruppo H(P ).
Esercizio 48. Si calcoli esplicitamente la dimensione dello spazio L(nP ) per la curva
Hermitiana sopra il campo finito con 16 elementi, ove P = (0 : 0 : 1).
Esercizio 49. Sia X : X 7 + Y 7 − 1 = 0 sopra il campo finito con 16 elementi. Sia
P = (0, 1). Si calcoli L(nP ) per ogni intero n. Suggerimento: si considerino le funzioni
¯x i¯y j
.
(¯y + 1) i+j
3.8 Morfismi di curve algebriche
Siano X : F (X0, X1, X2) = 0 e Y : G(X0, X1, X2) = 0 due curve algebriche piane
irriducibili.
Definizione 3.67. Una mappa razionale di X in Y è un elemento
ϕ = (α0 : α1 : α2)
di P 2 (K(X )) , con la seguente proprietà : per ogni punto P ∈ X in cui α0, α1, α2 sono
definite si ha
ϕ(P ) = (α0(P ) : α1(P ) : α2(P )) ∈ Y
(a meno che αi(P ) = 0 per ogni i).
Si noti che una mappa razionale ϕ non è necessariamente una funzione definita in tutti
i punti di X . Comunque talvolta è possibile calcolare ϕ(P ) anche in punti P di X
dove qualche αi non è definita, semplicemente rimpiazzando ogni αi con λαi per un
opportuno λ ∈ K(X ) non nullo.
Definizione 3.68. Una mappa razionale
ϕ : X → Y, ϕ = (α0 : α1 : α2)
è regolare (o definita) in P ∈ X se esiste una funzione λ ∈ K(X ), λ = 0 tale che

CAPITOLO 3. CURVE ALGEBRICHE PIANE 70
(i) ogni λαi è definita in P ,
(ii) per qualche i0, (λαi0)(P ) = 0.
Se una tale funzione λ esiste, si ponga
Definizione 3.69. Una mappa razionale
ϕ(P ) = ((λα0)(P ) : (λα1)(P ) : (λα2)(P )).
ϕ : X → Y, ϕ = (α0 : α1 : α2)
che è regolare in ogni punto P ∈ X si dice morfismo.
Proposizione 3.70. Sia P ∈ X un punto non singolare, e ϕ : X → Y una mappa
razionale. Allora ϕ è definita in P . In particolare, se X è non singolare, allora ϕ è un
morfismo.
Dimostrazione. Si scriva ϕ = (α0 : α1 : α2) con αi ∈ K(X ) e si scelga un parametro
locale t in P . Siano eP = −mini=0,1,2{ordP (αi)} e i0 l’intero tale che eP = −ordP (αi0).
Sin noti che ϕ = (t eP α0 : t eP α1 : t eP α2) e ordP (t eP αi) = eP + ordP (αi) ≥ 0. Siccome
ordP (t eP αi0) = 0, entrambe le condizioni della Definizione 3.68 sono soddisfatte e
pertanto l’asserto è dimostrato.
Esercizio 50. Sia X : Y − X 2 = 0, e sia Y : Y = 0. Si consideri il morfismo di X in Y
Si calcoli ϕ(1 : 0 : 0).
ϕ = (1 : ¯x
¯y
: 0) .
Riportiamo il seguente teorema senza dimostrazione.
Teorema 3.71. Sia ϕ : X → Y un morfismo di curve, con X non singolare. Allora ϕ
è costante o suriettiva.
Esempio 3.72. Sia X una curva non singolare, e sia α ∈ K(X ), α non costante. Sia
Y : Y = 0. Allora ϕ = (1 : α : 0) è un morfismo di X in Y. Si noti che
• gli zeri di α sono tutti e soli i punti P di X tali che ϕ(P ) = (1 : 0 : 0);

CAPITOLO 3. CURVE ALGEBRICHE PIANE 71
• i poli di α sono tutti e soli i punti P di X tali che ϕ(P ) = (0 : 1 : 0).
Sia ϕ : X → Y una morfismo non costante. Comporre una funzione razionale con ϕ
induce la seguente applicazione:
ϕ ⋆ : K(Y) → K(X ), ϕ ⋆ (f) = f ◦ ϕ .
Chiaramente ϕ ⋆ è un omomorfismo di campi, essendo
(f + g) ◦ ϕ = (f ◦ ϕ) + (g ◦ ϕ), (fg) ◦ ϕ = (f ◦ ϕ)(g ◦ ϕ) .
Inoltre è immediato che gli elementi di K, ovvero le funzioni costanti, sono fissate da
ϕ⋆ . L’omomorfismo ϕ⋆ si dice pull-back di ϕ. Supponiamo ora che Y non sia la retta
di equazione X0 = 0. Sia Y : G = 0, e sia ϕ = (α0 : α1 : α2) con α0 = 0. Indichiamo
con ¯x e ¯y le funzioni corrispondenti alle coordinate affini di Y, ovvero ¯x = X1+(G)
X0+(G) ,
¯y = X2+(G)
. Allora chiaramente si ha
X0+(G)
ϕ ⋆ (¯x) = α1
, ϕ ⋆ (¯y) = α2
.
α0
Ricordiamo inoltre che ogni elemento f di K(Y) si può scrivere come rapporto
f =
g(¯x, ¯y)
h(¯x, ¯y)
con g e h polinomi a coefficienti in K. Allora,
Nota 3.73. Si noti che
ϕ ⋆ (f) =
g
h
ϕ ⋆ (K(Y)) = K
α1
α0
α1
α0
α2 , α0
, α2
α0
α1
.
,
α0
α2
α0
Esempio 3.74. Sia ϕ come nell’Esempio 3.72. Allora ϕ ⋆ (K(Y)) = K(α). Si noti come
per il Teorema 3.45 il numero di controimmagini di (1 : 0 : 0) e di (0 : 1 : 0) mediante
ϕ coincide con il grado dell’estensione di campi
α0
.
K(X ) : K(α) = K(X ) : ϕ ⋆ (K(Y)) .
In seguito vedremo che questa osservazione si generalizza ad ogni morfismo.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 72
Esempio 3.75. Sia ϕ come nell’Esercizio 50. Allora ϕ⋆ è una applicazione da K(Y)
in K(X ) definita in questo modo: sia β(¯x) una funzione di K(Y) (c’è dipendenza dalla
sola ¯x in quanto ¯y = 0); allora ϕ⋆ (β) = β( ¯x ). Inoltre
¯y
ϕ ⋆
¯x
(K(Y)) = K ⊂ K(¯x, ¯y).
¯y
Esempio 3.76. Siano X : X 6 + Y 6 + 1 = 0, Y : X 2 + Y 3 + 1 = 0. Sia ϕ=(1 : ¯x 3 : ¯y 2 ).
Allora ϕ ⋆ (K(X )) = K(¯x 3 , ¯y 2 ) ⊂ K(X ) = K(¯x, ¯y).
Enunciamo ora una proprietà molto importante del pull-back di una mappa razionale.
Teorema 3.77. Sia ϕ : X → Y una mappa razionale non costante. Allora l’estensione
di campi K(X ) : ϕ ⋆ (K(Y)) è finita.
Il grado dell’estensione K(X ) : ϕ ⋆ (K(Y)) è detto grado di ϕ e si denota con deg(ϕ).
Proposizione 3.78. Siano ϕ : X → Y e ψ : Y → Z mappe razionali non costanti.
Allora deg(ψ ◦ ϕ) = deg(ϕ)deg(ψ).
Dimostrazione. Si noti che (ψ ◦ ϕ) ⋆ (K(Z)) coincide con ϕ ⋆ (ψ ⋆ (K(Z))). Infatti, (ψ ◦
ϕ) ⋆ = ϕ ⋆ ◦ ψ ⋆ dato che
per ogni α ∈ K(Z). Pertanto,
(ψ ◦ ϕ) ⋆ (α) = α ◦ (ψ ◦ ϕ) = (α ◦ ψ) ◦ ϕ = ϕ ⋆ (ψ ⋆ (α))
[K(X ) : (ψ ◦ ϕ) ⋆ (K(Z))] = [K(X ) : ϕ ⋆ (ψ ⋆ (K(Z)))] =
= [K(X ) : ϕ ⋆ (K(Y))][ϕ ⋆ (K(Y)) : ϕ ⋆ (ψ ⋆ (K(Z)))].
Infine si noti che [ϕ ⋆ (K(Y)) : ϕ ⋆ (ψ ⋆ (K(Z)))] = [K(Y) : ψ ⋆ (K(Z))] dato che ϕ ⋆ è
iniettiva come ogni omomorfismo di campi non costante.
Definizione 3.79. Due curve algebriche X , Y si dicono birazionalmente equivalenti se
esistono due mappe razionali ϕ : X → Y, ψ : Y → X tali che ψ ◦ ϕ = idX , ϕ ◦ ψ = idY.
In tal caso, ψ si denota con ϕ −1 .
Se inoltre esistono due morfismi che definiscono una equivalenza birazionale, allora le
curve sono dette isomorfe.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 73
Esercizio 51. Si mostri che X : X0X2 − X 2 1 = 0 e Y : X2 = 0 sono isomorfe.
(Suggerimento: si provi che ϕ dell’Esercizio 50 è un isomorfismo).
Definizione 3.80. Sia ϕ : X → Y mappa razionale non costante. Allora ϕ si dice
separabile se l’estensione K(X ) : ϕ ⋆ (K(Y)) lo è .
Nota 3.81. Ricordiamo che un’estensione algebrica di campi L : K si dice separabile
se per ogni elemento a ∈ L il polinomio minimo di a su K non ha radici multiple (nella
chiusura algebrica di L). Un esempio di estensione non separabile è il seguente. Sia K
campo algebricamente chiuso di caratteristica p, e sia z un elemento non appartenente
a K. Allora
K(z) : K(z p )
è non separabile, in quanto il polinomio minimo di z su K(z p ) è T p − z p , che ha una
sola radice contata p volte.
Il seguente teorema può essere visto come una generalizzazione del fatto che il numero
di zeri di una funzione razionale coincide con il grado di una estensione di campi ad
essa associata.
Teorema 3.82. Sia ϕ : X → Y mappa razionale non costante fra curve non singolari.
Sia d = [K(X ) : ϕ⋆ (K(Y))]. Allora per ogni punto Q ∈ Y,
eP = d ,
P ∈ϕ −1 (Q)
dove eP = ordP (ϕ ⋆ (t)), con t un qualsiasi parametro locale di Y in Q. Inoltre, se ϕ
è separabile, allora eP = 1 tranne che per al più un numero finito di punti P ∈ X (e
#ϕ −1 (Q) = d per tutti tranne un numero finito di Q ∈ Y).
Si può dimostrare che se il grado di una mappa razionale non è diviso dalla caratteristica
di K, allora la mappa razionale è separabile e pertanto si può applicare il Teorema 3.82.
Esempio 3.83. Sia X una curva definita su Fq. Allora
Φ = (1 : x q : y q )
è una mappa razionale di X in sé. L’estensione
K(X ) : Φ ⋆ (K(X ))

CAPITOLO 3. CURVE ALGEBRICHE PIANE 74
è l’estensione K(x, y) : K(x q , y q ). Dimostriamo che il grado di tale estensione è
maggiore o uguale di q.
Lemma 3.84. L’estensione K(x, y) : K(x q , y q ) è non separabile e di grado maggiore
o uguale di q.
Dimostrazione. Preliminarmente, si dimostri come esercizio che K(x q , y q ) = {α q | α ∈
K(x, y)}. Sia ora t un qualunque parametro locale di X in un suo punto P . Si noti
che il polinomio
h(T ) = T q − t q = (T − t) q
è un polinomio a coefficienti in K(x q , y q ) di cui t è radice. Pertanto il polinomio minimo
mt(T ) di t su K(x q , y q ) divide h(T ). Ciò evidentemente implica che
mt(T ) = (T − t) i
per qualche 1 ≤ i ≤ q. Si noti che (−t) i è il termine noto di mt(T ), e pertanto
appartiene a K(x q , y q ). Ovvero, (−t) i è potenza q-ma di un’altra funzione razionale,
diciamo α. Ma allora
i = ordP ((−t) i ) = ordP (α q ) = q · ordP (α).
Essendo ordP (α) intero, ed essendo 1 ≤ i ≤ q, si deve necessariamente avere i = q,
ovvero h(T ) è il polinomio minimo di t su K(x q , y q ). Dato che h(T ) ha una sola radice
contata q volte, t non è separabile su K(x q , y q ). Inoltre, si ha che il grado dell’estensione
K(x q , y q )(t) : K(x q , y q ) è esattamente q. Essendo K(x q , y q )(t) chiaramente contenuto
in K(x, y) si ha che K(x, y) : K(x q , y q ) ha grado almeno q.
Si osservi che q non può essere la cardinalità della generica controimmagine ϕ −1 (P ),
in quanto il sistema
x q = a
y q = b
ha un’unica soluzione nella chiusura algebrica di Fq, essendo l’elevamento alla q-ma
potenza un automorfismo del campo.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 75
Esercizio 52. Siano X : X 9 + Y 9 + 1 = 0, Y : X 9 + X 6 + Y 9 = 0 curve definite su un
campo algebricamente chiuso di caratteristica diversa da 3. Sia
ϕ = (1 : ¯x 3 : ¯x 2 ¯y) .
Si dimostri che il grado di tale morfismo è 3. Si dimostri che la controimmagine di un
punto consiste di una terna di tipo
(1 : a : b), 1 : λa : b
λ2
, 1 : λ 2 a : b
λ
dove λ è radice cubica primitiva dell’unità .
3.9 Curve definite su campi finiti
In questa sezione pertanto supporremo che X : F (X0, X1, X2) = 0 una curva algebrica
irriducibile definita sul campo Fq.
Definiamo le seguenti mappe.
1. σK : K → K , x ↦→ x q ;
2. σX : X → X , (a0 : a1 : a2) ↦→ (σK(a0) : σK(a1) : σK(a2));
3. σK[X0,X1,X2] : K[X0, X1, X2] → K[X0, X1, X2] ,
ai0i1i2X i0
0 X i1
1 X i2
2 ↦→ a q
i0i1i2 Xi0 0 X i1
1 X i2
2 ;
4. σK(X ) : K(X ) → K(X ) ,
5. σD : Div(X ) → Div(X ) ,
G + (F )
H + (F ) ↦→ σK[X0,X1,X2](G) + (F )
σK[X0,X1,X2](H) + (F ) ;
nP P ↦→ nP σX (P ).
Si lascia come esercizio dimostgrre che le applicazioni in 2) e 4) sono ben definite dato
che X è definita su Fq.
Con abuso di notazione scriveremo σ per ciascuna delle applicazioni di cui sopra,
quando il loro dominio sarà chiaro dal contesto.

CAPITOLO 3. CURVE ALGEBRICHE PIANE 76
Definizione 3.85. Sia X una curva proiettiva non singolare definita su Fq.
• L’insieme dei punti Fq-razionali di X , denotato con X (Fq), è l’insieme dei punti
P ∈ X tali che σ(P ) = P . Equivalentemente, è l’insieme dei punti P = (a0 : a1 :
a2) di X per cui esiste λ ∈ K con λa0, λa1, λa2 ∈ Fq.
• L’insieme delle funzioni Fq-razionali di X , denotato con Fq(X ), è l’insieme delle
funzioni α ∈ K(X ) tali che σ(α) = α.
• L’insieme dei divisori Fq-razionali di X , denotato con DivFq(X ), è l’insieme dei
divisori D ∈ Div(X ) tali che σ(D) = D.
Sia Y : G(X0, X1, X2) = 0 un’altra curva algebrica irriducibile definita sul campo Fq.
Definizione 3.86. Una mappa razionale ϕ : X → Y è definita su Fq se ϕ = (α0 : α1 :
α2) per qualche αi ∈ Fq(X ).
Inotlre, X e Y sono dette Fq-birazionalmente equivalenti (risp. Fq-isomorfe) se la mappa
razionale che dà luogo alla equivalenza birazionale (risp. isomorfismo) è definita su Fq.
La seguente proposizione tornerà utile nel seguito.
Proposizione 3.87. Sia D ∈ DivFq(X ). Allora esiste una base dello spazio L(D)
costituita da elementi in Fq(X ).
Denotiamo con LFq(D) lo spazio vettoriale su Fq che consiste delle funzioni di L(D) ∩
Fq(X ). Come conseguenza immediata della proposizione precedente si ha il seguente
risultato.
Corollario 3.88. Sia D ∈ DivFq(X ). Allora dimFqL(D) = ℓ(D).
Esercizio 53. Si provi che se α ∈ Fq(X ) allora il divisore principale (α) appartiene a
DivFq(X ).

CAPITOLO 3. CURVE ALGEBRICHE PIANE 77
3.10 Il gruppo di Picard di una curva algebrica
piana
Sia X : F (X0, X1, X2) una curva algebrica piana non-singolare definita su Fq.
Denotiamo con Div 0 (X ) il sottogruppo di Div(X ) costituito dai divisori di grado 0, e
con P il sottogruppo dei divisori principali. Dato che ogni divisore principale ha grado
zero (ricordiamo che ogni funzione ha lo stesso numero di zeri e di poli), si ha che P è
un sottogruppo di Div 0 (X ).
Il gruppo quoziente
P ic 0 (X ) = Div 0 (X )/P
si definisce come il gruppo di Picard della curva X .
Il sottogruppo di P ic 0 (X ) degli elementi fissati dall’applicazione di Frobenius (definita
in modo naturale) costituisce un gruppo abeliano finito.

Capitolo 4
Codici Algebrico-Geometrici
4.1 Costruzioni
In tutto il capitolo faremo uso delle seguenti notazioni.
• X sarà una curva definita sopra Fq.
• Fq(X ) (risp. DivFq(X )) denoterà il campo delle funzioni razionali definite su Fq
(risp. il gruppo degli Fq-divisori) di X .
• Per f ∈ Fq(X ) \ {0}, (f) indicherà il divisore associato a f e (f)0 (risp. (f)∞) il
divisore degli zeri (risp. dei poli) di f.
• Per G ∈ DivFq(X ), LFq(G) denoterà lo spazio vettoriale associato a G, ovvero
LFq(G) = {f ∈ Fq(X ) \ {0} : G + (f) ≥ 0} ∪ {0} .
Per semplicità in questo capitolo indicheremo L(G) lo spazio vettoriale LFq(G). Inoltre,
per evitare confusione, un vettore x ∈ F n q sarà indicato sempre come x.
Siano P1, . . . , Pn punti Fq-razionali distinti di X , e sia G = nP P ∈ DivFq(X ) tale
che il nPi = 0 per ogni i = 1, . . . , n. Sia
e = eP1,...,Pn : L(G) → F n q
f ↦→ (f(P1), . . . , f(Pn)) .
78

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 79
Si noti che tale applicazione è Fq-lineare. Si ponga D := P1 + . . . + Pn.
Definizione 4.1. Il codice di Goppa associato a D e G è CD,G := e(L(G)).
Esercizio 54. Si provi che il codice Reed-Solomon è un codice di Goppa costruito
dalla curve X : Y = 0, e associato ai divisori D = P1 + . . . + Pn e G = (k − 1)P∞ (cf.
Esempio 3.56).
Esercizio 55. Si provi che il codice Reed-Solomon Generalizzato è un codice di Goppa
costruito dalla curva X : Y = 0 e associato ai divisori D = P1 + . . . + Pn e G =
(k − 1)P∞ + (u) (cf. Esempio 3.57).
Lemma 4.2. Sia k := dim(CD,G) e d la distanza minima di CD,G. Allora
(1) k = ℓ(G) − ℓ(G − D);
(2) d ≥ n − deg(G).
Dimostrazione. (1) L’applicazione e è suriettiva L(G) su CG,D per definizione. Pertanto
k = ℓ(G) − dimKer(e). Si osservi che Ker(e) = L(G − D). Infatti α ∈ Ker(e) se e solo
se
α(Pi) = 0 ⇔ ordPi (α) ≥ 1 ,
ovvero (α) + G ≥ (P1 + . . . + Pn) ⇒ (α) + G − D ≥ 0. Pertanto (1) è dimostrata.
(2) Sia x = (α(P1), . . . , α(Pn)) tale che w(x) = d. Allora esistono n − d punti, diciamo
Pi1, . . . , Pin−d , tali che α(Pij ) = 0. In altri termini, ordPi j (α) ≥ −(−1). Pertanto
α ∈ L(G − Pi1 − . . . − Pin−d ).
Il fatto che L(G − Pi1 − . . . − Pin−d ) non è vuoto implica che
cioè
deg(G − Pi1 − . . . − Pin−d ) ≥ 0,
deg(G) ≥ n − d.
Proposizione 4.3. Sia CD,G un [n, k, d]q-codice di Goppa. Sia g il genere di X .

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 80
(1) Se n > deg(G), allora k = ℓ(G). In particolare, k ≥ deg(G) + 1 − g. Inoltre una
matrice generatrice di CD,G è
⎛
f1(P1)
⎜
M := ⎝ .
. . .
.
⎞
f1(Pn)
⎟
. ⎠ ,
fk(P1) . . . fk(Pn)
dove f1, . . . , fk è una base di L(G) su Fq.
(2) Se n > deg(G) > 2g − 2, allora k = deg(G) + 1 − g.
Dimostrazione. (1) Si ha che L(D − G) = 0, e quindi (1) segue dal Lemma 4.2(1) e dal
Teorema di Riemann-Roch.
(2) L’affermazione segue da (1) e dal Corollario 3.53.
Nota 4.4. La disuguaglianza di Singleton, insieme con (1) of della Proposizione 4.3,
per un codice C = CD,G con n > deg(G) implica
n + 1 − g ≤ d + k ≤ n + 1 .
In particolare, se la curva X ha genere 0, allora C è MDS.
Nota 4.5. In generale è un problema molto difficile ottenere limitazioni inferiori alla
distanza minima di una classe di codici. Una delle ragioni di interesse dei codici di
Goppa è proprio che per questi codici una limitazione inferiore per d si può provare
facilmente.
Esercizio 56. La curva X : X 3 +Y 3 +1 = 0 definita sopra il campo finito di ordine 16 ha
9 punti razionali P0, P1, . . . , P8, tutti definiti sul campo finito di ordine 4. Si costruisca
una matrice generatrice per il codice CD,5P0, dove P0 = (0, 1), D = P1 + . . . + P8.
Esercizio 57. La quartica di Klein X : X 3 Y +Y 3 +X = 0 definita sopra il campo finito
di ordine 16 ha 17 punti razionali P0, P1, . . . , P16. Si costruisca una matrice generatrice
per il codice CD,9P0, dove P0 = (0, 0), D = P1 + . . . + P16.
Esercizio 58. La quartica X : X 4 − X 2 − Y 3 + Y = 0 definita sopra il campo finito
di ordine 3 ha 10 punti razionali P0, P1, . . . , P9. Si costruisca una matrice generatrice
per il codice CD,8P0, dove P0 = (0 : 0 : 1), D = P1 + . . . + P9. Si calcoli inoltre il valore
esatto della distanza minima del codice.

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 81
Esercizio 59. La quintica X : X 4 + X + Y 5 + Y 2 = 0 definita sopra il campo finito
di ordine 4 ha 17 punti razionali P0, P1, . . . , P16. Si costruisca una matrice generatrice
per il codice CD,15P0, dove P0 = (0 : 1 : 0), D = P1 + . . . + P16. Si calcoli inoltre il
valore esatto della distanza minima del codice.
4.2 Codici BCH
I codici Reed-Solomon non sono i soli codici classici che si possono interpretare come
codici di Goppa. In questa sezione vedremo come anche i codici BCH rientrano in
questa categoria.
I codici BCH sono usualmente definiti come segue (si faccia attenzione al fatto che il
codice è definito su un sottocampo Fq ′ di Fq e non su Fq).
Sia q = q ′m e sia n un divisore di q − 1. Si fissi inoltre un elemento primitivo ω di Fq,
e si ponga η = ω q−1
n .
Definizione 4.6. Si fissino due interi l e ∆, con ∆ ≥ 2. Sia C(n, l, ∆) il codice avente
come matrice di controllo di parità
⎛
⎜
⎝
η l η 2l . . . η (n−1)l 1
η l+1 η 2(l+1) . . . η (n−1)(l+1) 1
.
.
η l+∆−2 η 2(l+∆−2) . . . η (n−1)(l+∆−2) 1
.
.
.
⎞
⎟
⎠
(4.1)
Il codice ottenuto intersecando C(n, l, ∆) con Fn q ′ si dice codice BCH di distanza
designata ∆.
È ben noto che il codice BCH appena definito è un [n, k, d]q ′-codice con distanza minima
d ≥ ∆. Noi proveremo questo risultato utilizzando la nozione di codice di Goppa.
Sia ora X la curva di equazione X2 = 0. Si ponga P∞ = (0 : 1 : 0) e P0 = (1 : 0 : 0).
Lemma 4.7. Siano a e b due interi con b > 0 e a + b > 0. Lo spazio L(aP0 + bP∞)
ha dimensione a + b, e una sua base é
x −a , x −a+1 , . . . , x b

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 82
Dimostrazione. L’affermazione sulla dimensione segue dal Corollario del Teorema di
Riemann-Roch, tenuto conto che g = 0 e a + b > 0 > 2g − 2. Si osservi che una
funzione xi i =
ha come divisore iP0 − iP∞. Pertanto −a ≤ i ≤ b equivale a
X1+(X2)
X0+(X2)
ordP0(x i ) = i ≥ −a, ordP0(x i ) = −i ≥ −b,
ovvero x i ∈ L(aP0 + bP∞). Resta da provare che le a + b funzioni
x −a , x −a+1 , . . . , x b
sono linearmente indipendenti. Supponiamo per assurdo che una loro combinazione a
coefficienti in K sia nulla in K(X ). Allora esiste un polinomio in x a coefficienti in K
che si annulla su tutti i punti di X . Ma ciò è chiaramente impossibile dato che ogni
polinomio ha un numero finito di radici.
Supponiamo ora che K sia la chiusura algebrica ¯ Fq di Fq, e siano n, ω e η come sopra.
Si ponga
Pi = 1 : η i : 0
per ogni i := 1, . . . , n. Sia inoltre
D = P1 + . . . + Pn.
Proposizione 4.8. Siano a e b due interi tali che n > a + b > 0, b > 0. Allora
C ⊥ D,aP0+bP∞
= CD,−(a+1)P0+(n−b−1)P∞.
Dimostrazione. Sia C1 = CD,aP0+bP∞ e C2 = CD,−(a+1)P0+(n−b−1)P∞. Si noti che C1 e C2
sono codici di lunghezza n, e di dimensione rispettiva a + b + 1 e n − (a + b + 1). Per
provare l’asserto basta quindi dimostrare che C2 ⊆ C ⊥ 1 . Si osservi che ogni potenza di
η è radice n-ma dell’unità in Fq. Dal Lemma precedente una base di C1 è
mentre una base di C2 è
B1 = {(η j , η 2j , . . . , η (n−1)j , 1) | j ∈ [−a, b]}
B2 = {(η k , η 2k , . . . , η (n−1)k , 1) | k ∈ [a + 1, n − b − 1]}.

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 83
Calcolando il prodotto scalare di due qualsiasi elementi delle due basi si ottiene
che, essendo j + k < n, coincide con
Questo prova l’asserto.
η j+k + η 2(j+k) + . . . + η (n−1)(j+k) + 1,
(η j+k ) n − 1
η j+k − 1
Proposizione 4.9. Il codice C(n, l, ∆) della Definizione 4.6 coincide con il codice di
Goppa CD,(l−1)P0+(n−∆−l+1)P∞.
Dimostrazione. Nella dimostrazione della Proposizione precedente si è evidenziato che
= 0.
{(η j , η 2j , . . . , η (n−1)j , 1) | j ∈ [−a, b]}
è una base di CD,aP0+bP∞. Pertanto una matrice generatrice di CD,aP0+bP∞ è proprio la
matrice (4.1) dove si sostituiscono l con −a, e ∆ con a+b+2. Ciò significa che il codice
C(n, l, ∆) coincide con il duale del codice CD,aP0+bP∞ con a = −l e b = ∆ − a − 2. Ma
dalla Proposizione precedente tale codice è proprio CD,(l−1)P0+(n−∆−l+1)P∞.
Teorema 4.10. La distanza minima di un codice BCH è maggiore o uguale della sua
distanza designata.
Dimostrazione. Dalla Proposizione precedente si ha che un codice BCH di distanza
designata ∆ è l’intersezione di un codice CD,(l−1)P0+(n−∆−l+1)P∞ con Fn q ′. La distanza
minima del codice di Goppa CD,(l−1)P0+(n−∆−l+1)P∞ soddisfa la usuale limitazione
d ≥ n − deg(G) = n − deg((l − 1)P0 + (n − ∆ − l + 1)P∞) = ∆.
Intersecando il codice con F n q ′ il peso minimo di un vettore (non nullo) non può certo
diminuire. Pertanto l’asserto è dimostrato.

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 84
4.3 Estensione ai punti del supporto di G
In questa sezione vediamo come condizione vPi (G) = 0 può essere rimossa nella
costruzione di codici algebrico geometrici.
Siano P1, . . . , Pn punti Fq-razionali distinti di X e sia G = nP P ∈ DivFq(X ). Sia
nPi = bi. Per ogni punto Pi si scelga un parametro locale ti, e si noti che per ogni
φ ∈ L(G), la funzione t bi
i · φ è regolare in Pi essendo
Sia
ordPi (tbi
i · φ) = bi + ordPi (φ) ≥ bi + (−bi) = 0.
e ′ = e ′ P1,...,Pn : L(G) → Fnq f ↦→ ((t b1
1 f)(P1), . . . , (t bn
n f)(Pn)) ,
che è una mappa Fq-lineare. Si denoti D := P1 + . . . + Pn.
Definizione 4.11. Il codice di Goppa C ′ D,G associato a D e G è e′ (L(G)).
Si noti che C ′ D,G è un’estensione di CD ′ ,G, dove D ′ è la somma di quei punti Pi tali che
nPi = 0. Mostriamo ora che i parametri di tale codice continuano a soddisfare le stesse
limitazioni. Le dimostrazioni necessitano solo di piccole modifiche.
Lemma 4.12. Sia k := dim(C ′ D,G ) e d denoti la distanza minima di C′ D,G . Allora
(1) k = ℓ(G) − ℓ(G − D);
(2) d ≥ n − deg(G).
Dimostrazione.
(1) Sia f ∈ L(G). Allora si ha uno zero in i-ma posizione della parola codice e ′ (f) se e
solo se Pi è uno zero di t bi
i f. Pertanto f ∈ Ker(e′ ) se e solo se ordP (f) > −bi ≥ −(b1−1)
per ogni i, ovvero, f ∈ L(G − D).

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 85
(2) Supponiamo che una parola codice e ′ (f) abbia n − d zeri, che senza restrizione
possiamo supporre corrispondenti a P1, . . . , Pn−d. Ciò significa che ordP (f) > −bi per
ogni i = 1, . . . , n − d, ovvero
Pertanto deg(G) − n + d ≥ 0.
f ∈ L(G − (P1 + . . . + Pn−d)).
Proposizione 4.13. Sia C ′ D,G un [n, k, d]q-codice. Sia g il genere di X .
(1) Se n > deg(G), allora k = ℓ(G). Inoltre una matrice generatrice di C ′ D,G è
⎛
t
⎜
M := ⎝
b1
1 f1(P1) . . . tbn ⎞
n f1(Pn)
⎟
. . . ⎠ ,
t b1
1 fk(P1) . . . t bn
n fk(Pn)
dove f1, . . . , fk è una base di L(G) sopra Fq.
(2) Se n > deg(G) > 2g − 2, allora k = deg(G) + 1 − g.
Dimostrazione. (1) Si ha che L(D − G) = 0 e quindi (1) segue dal Lemma 4.12(1) e
dal Teorema di Riemann-Roch.
(2) L’affermazione segue da (1) e dal Corollario 3.53.
4.4 Codici di Goppa duali
Consideriamo ora i codici duali dei codici di tipo CD,G.
Sia X una curva algebrica di genere g sopra Fq. Siano P1, . . . , Pn punti Fq-razionali
distinti di X , e sia G = nP P ∈ DivFq(X ) tale che nPi = 0 per i = 1, . . . , n. Poniamo
al solito D = P1 + . . . + Pn.
Proposizione 4.14. Sia C = C ⊥ D,G il codice duale di CD,G. Se deg(G) > 2g − 2, allora
C è un [n, k, d]q-codice con
(a) k = n − deg(G) + g − 1 + ℓ(G − D),

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 86
(b) d ≥ deg(G) − 2g + 2.
Dimostrazione. (a) Segue direttamente da (1) del Lemma 4.2, e da ℓ(G) = deg(G) −
g + 1 per deg(G) > 2g − 2.
(b) Sia x = (x1, . . . , xn) una parola codice non nulla di C. Senza restrizione si
ordinino i punti P1, . . . , Pn in modo tale che xj = 0 per j = 1, . . . , w, e xj = 0 per
w < j ≤ n. Supponiamo per assurdo che w < deg(G)−2g +2. Sia Bi = i
j=1 Pj.
Il grado di G − Bw, come quello di G − Bw−1 è allora maggiore di 2g − 2. Dal
Teorema di Riemann-Roch allora si ha che
ℓ(G − Bw−1) = ℓ(G − Bw) + 1 ,
ovvero esiste φ ∈ L(G − Bw−1) \ L(G − Bw). Questo implica che φ(Pj) = 0 per
j = 1, . . . , w−1 e φ(Pw) = 0. Poichè G−Bw−1 ≤ G, si ha che φ ∈ L(G), ed inoltre
il prodotto scalare di e(φ) per x coincide con φ(Pw) · xw = 0, contraddicendo
l’ipotesi che x appartenga al duale di CD,G.
Corollario 4.15. Se 2g − 2 < deg(G) < n, allora
(a) k = n − deg(G) + g − 1,
(b) d ≥ deg(G) − 2g + 2.
Dimostrazione. L’asserto è immediata conseguenza del fatto che per un qualsiasi
divisore A, deg(A) < 0 implica ℓ(A) = 0.
Enunciamo un forte legame fra un codice di Goppa e il suo duale.
Proposizione 4.16. Esiste un divisore canonico W tale che
C ⊥ D,G = CD,D−G+W .

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 87
4.5 Stime sulla distanza minima di Codici di Goppa
duali e Codici di Goppa modificati
In questa sezione prenderemo in esame una modifica della costruzione di Goppa, proposta
da Feng e Rao nei primi anni ’90 relativamente al caso D = mP . La rilevanza di
tale variante sta nel fatto che la limitazione inferiore alla distanza minima del codice
duale (cf. Proposizione 4.14) viene talvolta migliorata.
Sia P un punto Fq-razionale di X e sia
H(P ) = {ρ1 = 0 < ρ2 < . . .}
il semigruppo di Weierstrass di X in P . Si ponga ρ0 = 0. Siano inoltre P1, . . . , Pn
punti di X diversi da P .
Denotiamo con Cℓ il codice
essendo
Cℓ = C ⊥ D,G
G = ρℓP D = P1 + . . . + Pn.
Supponiamo che n > ℓ + 1. Ciò garantisce che
Inoltre, dato che L(ρℓ) L(ρℓ+1), si ha
dim(Cℓ) = n − ℓ.
Cℓ Cℓ+1.
Per ogni ℓ ≥ 1 sia fℓ una funzione razionale tale che (fℓ)∞ = ρℓP . Poniamo
hℓ = (fℓ(P1), fℓ(P2), . . . , fℓ(Pn)) ∈ F n q .
Lemma 4.17. Esistono n vettori hℓ1, . . . , hℓn linearmente indipendenti su Fq.
Dimostrazione. Sia k il massimo numero di vettori di tipo hℓ linearmente indipendenti.
Siano hℓ1, . . . , hℓk linearmente indipendenti. Supponiamo per assurdo che k sia minore
di n. Senza restrizione di generalità possiamo supporre che la matrice le cui righe

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 88
sono hℓ1, . . . , hℓk sia una matrice a scala i cui pivot siano in posizioni (1, 1), (2, 2),
. . ., (k, k) (ricordiamo che le operazioni dell’eliminazione di Gauss lasciano invariato lo
spazio generato dalle righe della matrice). Sia m tale che m > 2g − 2 + k + 1. Allora
m − (k + 1) > 2g − 2, e per il Teorema di Riemann-Roch esiste
f ∈ L(mP − (P1 + . . . + Pk)) \ L(mP − (P1 + . . . + Pk+1)).
Pertanto f(P1) = . . . = f(Pk) = 0 ma f(Pk+1) = 0. Il vettore
h = (f(P1), f(P2), . . . , f(Pn))
è quindi linearmente indipendente con hℓ1, . . . , hℓk . Essendo f una funzione che ha polo
solo in P , si ha necessariamente che h = hℓ per qualche ℓ. E quindi abbiamo raggiunto
una contraddizione.
Per ogni intero ℓ ≥ 0 si definisca
νℓ = #{(i, j) | i ≥ 1, j ≥ 1, ρi + ρj = ρℓ+1}.
Si osservi ad esempio che ν0 = 1, dato che ρ1 = 0 e 0 può essere ottenuto unicamente
come somma 0 + 0 = ρ1 + ρ1. Analogamente ν1 = 2, dato che ρ2 può essere ottenuto
solo in due modi, precisamente come somma ρ1 + ρ2 e ρ2 + ρ1.
Lemma 4.18. Sia x un vettore del codice Cℓ ma non di Cℓ+1. Allora il peso di x è
maggiore o uguale di νℓ.
Dimostrazione. Sia N tale che l’insieme di vettori h1, . . . , hN abbia rango n (N esiste
dal Lemma 4.17). Sia H la matrice N × n le cui righe sono h1, . . . , hN. Osserviamo
quindi che, essendo il rango di H pari a n, per ogni x = (x1, . . . , xn) ∈ F n q si ha che il
peso di x è pari al rango della matrice
⎛
x1
⎜ 0
S = H ⎜
⎝ .
0
x2
.
0
0
.
. . .
. . .
.
0
0
.
⎞
⎟
⎠
0 0 0 . . . xn
Ht .
Osserviamo che nella matrice S l’elemento Si,j di posizione (i, j) lo si può calcolare
come
< x, hihj >,

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 89
essendo hihj il vettore
hihj = (fi(P1)fj(P1), fi(P2)fj(P2), . . . , fi(Pn)fj(Pn)) = ((fifj)(P1), (fifj)(P2), . . . , (fifj)(Pn)).
Supponiamo x ∈ Cℓ. Si ha che
• se ρi + ρj ≤ ρℓ, allora Si,j = 0.
Infatti ρi + ρj ≤ ρℓ implica fifj ∈ L(ρℓP ), e quindi hihj appartiene al codice duale di
Cℓ.
Supponendo inoltre x /∈ Cℓ+1, abbiamo che
• se ρi + ρj = ρℓ+1, allora Si,j = 0.
Infatti, ρi+ρj = ρℓ+1 implica che fifj è uguale a fℓ+1 (a meno di una costante non nulla)
e pertanto hihj è vettore del duale di Cℓ+1. Quindi se fosse Si,j = 0, x apparterrebbe
a Cℓ+1.
Pertanto esistono νℓ coppie (i, j) tali che Si,j = 0. Elenchiamo tali coppie
(i1, j1), (i2, j2), . . . , (iνℓ , jνℓ )
dimodoché i1 < i2 < . . . < iνℓ . È evidente allora che j1 > j2 > . . . > jνℓ . Fissato k
compreso fra 1 e νℓ, osserviamo che Sik,jr = 0 per ogni r compreso fra 1 e jk −1; infatti,
ρik + ρjr < ρik + ρjk = ρℓ+1 implica ρik + ρjr ≤ ρℓ. Pertanto le righe corrispondenti a
i1, . . . , iνℓ e le colonne corrispondenti a j1, . . . , jνℓ individuano una sottomatrice di S di
ordine νℓ triangolare superiore di rango νℓ. Pertanto il peso di x è almeno νℓ.
Proposizione 4.19. La distanza minima di Cℓ è almeno pari a
dORD(Cℓ) := min{νm | m ≥ ℓ}.
Dimostrazione. Sia N tale che l’insieme di vettori h1, . . . , hN abbia rango n.
Consideriamo la catena di inclusioni
CN = (0, . . . , 0) CN−1 . . . Cr+1 Cr . . . Cℓ+1 Cℓ.
Per ogni x ∈ Cℓ esiste m ≥ ℓ tale che x ∈ Cm \ Cm+1. Per il lemma precedente il peso
di x è almeno νm. L’asserto segue quindi dall’arbitrarietà di x.

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 90
Il calcolo di νℓ può essere facilitato dal seguente risultato.
Lemma 4.20. Sia µℓ il numero di interi i in [0, ρℓ+1] tali che sia i che ρℓ+1 − i non
appartengono a H(P ). Allora
In particolare,
Dimostrazione. Osserviamo che
essendo
e
νℓ = 2ℓ + 1 − ρℓ+1 + µℓ.
νℓ ≥ 2ℓ + 1 − ρℓ+1 ≥ ℓ + 1 − g.
{(i, j) ∈ N 2 | ρi + ρj = ρℓ+1} = {(a, b) ∈ N 2 0 | a + b = ρℓ+1} \ (A ∪ B)
A = {(a, b) ∈ N 2 0 | a + b = ρℓ+1, a /∈ H(P )}
B = {(a, b) ∈ N 2 0 | a + b = ρℓ+1, b /∈ H(P )}
Chiaramente la cardinalità di A e di B sono entrambe uguali a ρℓ+1+1−(ℓ+1) = ρℓ+1−ℓ.
La cardinalità dell’intersezione è invece pari a µℓ. Pertanto segue
νℓ = ρℓ+1 + 1 − 2(ρℓ+1 − ℓ) + µℓ = 2ℓ + µℓ + 1 − ρℓ+1
Lemma 4.21. Se ℓ ≥ 3g, allora νℓ = ℓ + 1 − g.
Dimostrazione. Osserviamo che ℓ ≥ 3g implica ρℓ+1 = ℓ + g ≥ 4g. Essendo quindi
1
2ρℓ+1 ≥ 2g, allora per ogni intero i maggiore o uguale di 1
2ρℓ+1 si ha che i ∈ H(P ).
D’altro canto, per ogni intero i minore o uguale di 1
2ρℓ+1 si ha ρℓ+1 − i ∈ H(P ). Ciò
dimostra che µℓ = 0, e quindi l’asserto segue dal lemma precedente.
Come immediata conseguenza dei due lemmi precedenti si ha il seguente risultato.
Teorema 4.22. Si ha dORD(ℓ) ≥ ℓ + 1 − g, e si ha l’uguaglianza se ℓ ≥ 3g.
Osserviamo che se ℓ ≥ 3g, allora la Proposizione 4.19 coincide con la stima della
distanza minima della Proposizione 4.14. Infatti da ℓ > g segue ρℓ = ℓ + g − 1.
Pertanto dORD(ℓ) = ℓ + 1 − g = ρℓ + 2 − 2g = deg(G) − 2g + 2.

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 91
4.5.1 Codici di Goppa modificati
Per ogni d > 1 si ponga
Sia inoltre
˜C(d) = {x ∈ F n q |< x, hi+1 >= 0 per ogni i ≥ 0 tale che νi < d}.
rd := #{i tale che νi < d}.
Teorema 4.23. Il codice ˜ C(d) è un codice [n, k, d ′ ]q dove
• k ≥ n − rd;
• d ′ ≥ d.
Se inoltre n > d + g, allora k = n − rd.
Dimostrazione. La prima affermazione segue dal fatto che ˜ C(d) è definito da rd equazioni
lineari omogenee. Calcoliamo ora il peso di un generico vettore non nullo x ∈ ˜ C(d).
Sia ℓ il minimo intero tale che < x, hℓ+1 >= 0. Per la definizione del codice si ha che
νℓ ≥ d. (4.2)
Da d > 1 segue allora che ℓ ≥ 0. Inoltre, per minimalità di ℓ si ha che x ∈ Cℓ \ Cℓ+1.
Per il Lemma 4.18 si ha che il peso di x è almeno νℓ. Da (4.2) segue l’asserto.
Supponiamo ora n < d + g. Osserviamo che, dalla relazione νi ≥ i + 1 − g, l’insieme
{i tale che νi < d} è costituito da interi i minori di d + g − 1. Pertanto i vettori di
tipo hi+1 che definiscono ˜ C(d) corrispondono a valutazioni di funzioni (linearmente
indipendenti) appartenenti a L((d + g)P ) su n punti. Da n > d + g segue che i vettori
di tipo hi+1 sono linearmente indipendenti.
La seguente Proposizione dimostra che i codici di Goppa modificati possono dar luogo a
stime migliori di quelle viste finora. Precisamente, ˜ C(dORD(ℓ)) ha una distanza minima
garantita di dORD(ℓ) come il codice Cℓ, ma rispetto a Cℓ potrebbe avere dimensione
maggiore.
Proposizione 4.24. Cℓ ⊆ ˜ C(dORD(ℓ))

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 92
Dimostrazione. In Cℓ troviamo tutti i vettori x tali che < x, hi+1 >= 0 per ogni i + 1 ≤
ℓ. Osserviamo adesso che se vi < dORD(ℓ), per definizione di dORD(ℓ) necessariamente
si ha che i < ℓ, e quindi i + 1 ≤ ℓ. Pertanto tutte le condizioni di appartenenza a
˜C(dORD(ℓ)) sono soddisfatte da x.
Osserviamo che nella Proposizione precedente può valere l’inclusione stretta solo se
esiste i ≤ ℓ con νi−1 > min{νm | m ≥ ℓ}.
Enunciamo i seguenti risultati, omettendone la dimostrazione.
Proposizione 4.25. Se d ≥ 2g − 4, allora
rd = ρ⌊d/2⌋ + ⌈d/2⌉
Proposizione 4.26. Se H(P ) è un semigruppo di Arf (ovvero ρi + ρj − ρk ∈ H(P )
per ogni i ≥ j ≥ k), allora per ogni d ≥ 1
rd = ρ⌊d/2⌋ + ⌈d/2⌉
4.6 Codici buoni dalla Geometria Algebrica
Nota 4.27. In questa sezione per curva intenderemo una curva algebrica proiettiva
irriducibile e non singolare ma non necessariamente piana. Dato che il concetto di
curva algebrica di uno spazio di dimensione diversa da due non è stato affrontato in
questi appunti, quanto si dirà è da ritenersi puramente informativo.
Consideriamo i parametri asintotici di un codice algebrico-geometrico. Si è dimostrato
che data una curva di genere g definita su Fq, e costruito su di essa un codice CD,G, con
deg(D) = n e 2g − 2 < deg(G) < n, si ha che tale codice ha lunghezza n, dimensione
e
k = deg(G) + 1 − g e distanza minima d ≥ n − deg(G). Pertanto R = deg(G)+1−g
n
δ ≥ 1 − deg(G)
. Osserviamo allora che
n
R + δ ≥ 1 g
− + 1 , (4.3)
n n
e che cambiando il grado del divisore G possiamo ottenere molte coppie distinte (R, δ)
che soddisfino (4.3).

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 93
Per ogni q e per ogni intero positivo g definiamo
Nq(g) := max{#X (Fq) | X curva di genere g sopra Fq} .
Determinare Nq(g) è uno dei problemi aperti più studiati, e più difficili, dell’attuale
ricerca in Geometria Algebrica sopra campi finiti. Il risultato più famoso riguardo
Nq(g) è la limitazione di Hasse-Weil, che di seguito riportiamo.
Teorema 4.28.
Sia
Nq(g) ≤ q + 1 + 2g √ q
A(q) := lim sup
g→+∞
Nq(g)
.
g
Teorema 4.29. Sia q potenza di un primo tale che A(q) > 2. Allora per ogni δ ∈
(0, 1 − 2 ) si ha
A(q)
αq(δ) ≥ −δ + 1 − 1
A(q) .
Dimostrazione. Sia Xi una sequenza di curve di genere gi tale che gi tenda a più
infinito, e #Xi(Fq)
tenda a A(q). gi
infinito, essendo A(q) > 0.
Chiaramente anche #Xi(Fq) dovrà tendere a più
Sia
Xi(Fq) = {P i 0, P i 1, . . . , P i ni }
l’insieme dei punti Fq-razionali di Xi. Fissiamo un numero reale ɛ > 0 compreso fra
2
A(q) e 1, e costruiamo una successione di interi ri tale che 2gi − 2 < ri < ni e
Sia infine
ri
lim
i→+∞ ni
Di = P i 1 + . . . + P i ni
= ɛ.
Gi = riP0 .
Il codice CDi,Gi è quindi un codice di lunghezza ni e di parametri (Ri, δi) tali che
Ri = ri + 1 − gi
, δi ≥ 1 − ri
.
ni
ni

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 94
Pertanto
lim
i→+∞ ni = +∞, lim
i→+∞ Ri = ɛ − 1
, lim
A(q) i→+∞ δi ≥ 1 − ɛ .
Sia δ = 1 − ɛ, δ ′ = limi→+∞ δi ≥ δ. Per definizione,
αq(δ ′ ) ≥ ɛ − 1
A(q)
= −δ + 1 − 1
A(q) .
Inoltre, essendo αq decrescente, si ha αq(δ) ≥ αq(δ ′ ), e quindi
Dall’arbitrarietà di ɛ segue l’asserto.
L’equazione R = −δ + 1 − 1
A(q)
αq(δ) ≥ −δ + 1 − 1
A(q) .
definisce una retta con coefficiente angolare negativo,
che intersecherà il grafico di R = 1−Hq(δ) in 0, 1 o 2 punti. Se l’ultimo caso si verifica,
allora avremo per qualche δ un miglioramento della limitazione di Gilbert-Varshamov
). Vediamo pertanto ciò che è noto riguardo A(q).
in un sottointervallo di (0, 1 − 2
A(q)
Teorema 4.30 (Drinfeld-Vladut). Per ogni q potenza di un primo si ha
A(q) ≤ √ q − 1.
Per quanto riguarda limitazioni inferiori, il risultato seguente è dovuto a Tsfasman,
Vladut e Zink per m = 1 e m = 2, e a Ihara per il caso generale.
Teorema 4.31. Sia q = p 2m quadrato. Allora esiste una successione di curve Xi
definite su Fq di genere gi e con Ni punti Fq-razionali, tale che
Ni
lim = +∞ , lim
i→+∞ i→+∞ gi
= √ q − 1
Pertanto, si ha che se q è un quadrato, allora A(q) = √ q − 1. Si può inoltre provare
con calcoli diretti che se q ≥ 49, allora la retta R = −δ + 1 − 1
√ q−1 incontra il grafico
di R = 1 − Hq(δ) esattamente in due punti.
Pertanto, un miglioramento della limitazione di Gilbert-Varshamov è stato ottenuto
grazie ai codici algebrico-geometrici. Questo spiega perchè negli ultimi anni molta
attività di ricerca sulle curve algebriche è concentrata sulla problematica di stimare
Nq(g) e A(q).

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 95
4.7 Codici Hermitiani
Riprendiamo lo studio della curva Hermitiana, iniziato nel capitolo precedente. Sia q
un quadrato, e sia X : X √ q+1
1
3.7.3 abbiamo dimostrato che
• X è non singolare (e di genere √ q( √ q − 1)/2);
− X √ q
0 X2 − X0X √ q
2 , e sia P∞ = (0 : 0 : 1). Nella sezione
• P∞ è l’unico punto di X appartenente alla retta X0 = 0;
• una base di L(rP∞) è costituita dalle funzioni
{x i y j | i √ q + j( √ q + 1) ≤ m, i ≥ 0, 0 ≤ j ≤ √ q − 1} .
Per valutare i parametri dei codici di Goppa costruiti da tale curva è necessario conoscerne
il numero di punti razionali. Tale numero è il massimo possibile, ovvero viene
raggiunta la limitazione superiore di Hasse-Weil. Questo rende la curva Hermitiana di
importanza cruciale, sia per la teoria (si congettura che ogni curva che massimale sia
un quoziente della curva Hermitiana), che per le applicazioni.
Proposizione 4.32. Il numero di punti razionali di X è q √ q + 1 = q + 1 + 2g √ q.
Dimostrazione. Sia ϕ1 l’omomorfismo additivo
ϕ1 : Fq → F √ q, t ↦→ t √ q + t.
Si lascia al lettore la verifica della bontà della definizione e della additività di ϕ1. Si
osservi che il nucleo di ϕ1 ha almeno cardinalità pari a √ q, dato che √ q è il rapporto
fra la cardinalità del dominio e quella del codominio. Ma essendo tale nucleo costituito
dagli zeri di un polinomio di grado √ q, la sua cardinalità non può superare √ q.
Pertanto,
1) per ogni a ∈ F √ q esistono √ q elementi y ∈ Fq tali che y √ q + y = a.
Consideriamo ora l’omomorfismo moltiplicativo ϕ2
ϕ2 : F ∗ q → F ∗ √ q, t ↦→ t √ q+1 .

CAPITOLO 4. CODICI ALGEBRICO-GEOMETRICI 96
Di nuovo si lascia al lettore la verifica della bontà della definizione e del fatto che ϕ2
è omomorfismo. Si osservi che il nucleo di ϕ2 ha almeno cardinalità pari a √ q + 1,
essendo √ q + 1 il rapporto fra la cardinalità del dominio e quella del codominio. Il
nucleo è costituito dagli zeri di un polinomio di grado √ q+1, e quindi la sua cardinalità
non può superare √ q + 1. Pertanto,
2) per ogni a ∈ F √ q, a = 0, esistono √ q + 1 elementi x ∈ Fq tali che x √ q+1 = a.
Da 1) e 2) segue quindi che per ogni a ∈ F √ q, a = 0, esistono √ q( √ q+1) coppie ordinate
(x, y) tali che x √ q+1 = y √ q + y = a. In tutto abbiamo già ( √ q − 1)(q + √ q) punti
razionali. A questi vanno aggiunti i punti di coordinate affini (0, y) con y √ q + y = 0.
Per 1), tali punti sono in numero di √ q. Considerando anche l’unico punto all’infinito,
abbiamo in totale
( √ q − 1)(q + √ q) + √ q + 1 = q √ q + 1
punti razionali di X .

Capitolo 5
Codici Lineari MDS e Archi di
Piani Proiettivi di Galois
5.1 Codici MDS
Due dei più importanti pronblemi sui codici MDS sono: (a) trovare la massima lunghezza
di un codice MDS di fissata dimensione, (b) caratterizzare i codici MDS aventi
questa massima lunghezza. In questo capitolo tali problemi saranno affrontati da un
punto di vista geometrico, in termini di archi di spazi proiettivi finiti.
La massima lunghezza n di un [n, r+1, d]q-codice MDS, uguale alla massima cardinalità
di un n-arco in P G(r, q), si denota con m(r, q). La congettura che segue è nota come
la congettura principale sui codici MDS:
Congettura 5.1.
⎧
⎨ r + 2 se r > q − 1,
m(r, q) = q + 2
⎩
q + 1
se q è pari e r ∈ {2, q − 2},
in tutti gli altri casi.
97

CAPITOLO 5. CODICI MDS E ARCHI 98
5.2 Codici MDS di dimensione 3: gli n-archi di
P G(2, q)
La congettura principale sui codici MDS è stata provata per r = 2. E’ un classico
risultato di geometria combinatoria che risale agli anni ’50. Un m(2, q)-arco di P G(2, q),
q dispari, è detto ovale e un m(2, q)-arco di P G(2, q), q pari, è detto iperovale.
Ricordiamo preliminarmente che un n-arco A di P G(2, q) è un sottoinsieme di punti
a 3 a 3 non allinati; un n-arco si dice completo se non è contenuto in un (n + 1)-arco.
Osserviamo che, per il teorema di Bézout, ogni conica irriducibile è un (q + 1)-arco.
Dati un n-arco A e una retta l, la cardinalità dell’insieme A ∩ l può essere solo 0, 1, 2;
nel primo caso l si dice esterna a A, nel secondo tangente di A, nel terzo corda di A.
Proposizione 5.2. Dato un n-arco A ed un suo punto P , per P passano esattamente
t = q − n + 2 tangenti a A. Quindi, essendo t ≤ (q + 1), si ha
n ≤ (q + 2).
Dimostrazione. Le rette per P possono essere solo tangenti o secanti; e le secanti sono
esattamente quanti i punti di A diversi da P (infatti in una secante per P non può
esserci più di un punto di A distinto da P , essendo A un arco). Quindi q + 1 − t =
n − 1.
Proposizione 5.3. Sia A un (q + 2)-arco di P G(2, q). Allora q è pari.
Dimostrazione. Sia P un punto non di A. Per l’osservazione precedente, non esistono
tangenti di A; quindi tutti i punti di A giacciono su secanti per P , precisamente due
per ogni secante. Allora n = q + 2 è pari e tale è q.
Proposizione 5.4. Sia q dispari; allora la massima cardinalità di un n-arco in
P G(2, q) è (q + 1).
Dimostrazione. Dall’osservazione precedente, essendo q dispari, la cardinalità non può
essere superiore a q +1; e tale valore è raggiunto nel caso di una conica irriducibile.
Nel seguito avremo bisogno dei seguenti semplici risultati.

CAPITOLO 5. CODICI MDS E ARCHI 99
Lemma 5.5. Sia f ∈ Fq[X], f = a0X n + a1X n−1 + . . . + an. Siano α1, α2, . . . , αn le
radici di f(non necessariamente tutte in Fq). Allora
Dimostrazione. Si ha
n
ı=1
αı = an
a0
(−1) n .
a0X n + a1X n−1 + . . . + an = a0(X − α1)(X − α2) . . . (X − αn).
Uguagliando i termini noti di ambo i membri segue l’asserto.
Proposizione 5.6. Gli elementi α1, α2, . . . , αq−1 di F ∗ q soddisfano la relazione
q−1
αı = −1.
ı=1
Dimostrazione. Basta applicare il Lemma 5.5 al polinomio f = X q−1 − 1 e considerare
che nel caso q pari si ha −1 = 1.
Proposizione 5.7. In P G(2, q) le tre rette di equazione X2 = k0X1, X0 = k1X2,
X1 = k2X0, passano per uno stesso punto se e solo se k0k1k2 = 1.
Dimostrazione. La dimostrazione consiste di una verifica diretta, ed è lasciata come
esercizio.
Il risultato chiave per la classificazioni di (q + 1)-archi in P G(2, q), q dispari, è il
cosiddetto Lemma delle Tangenti.
Proposizione 5.8. (Lemma delle Tangenti) Sia A un n-arco di P G(2, q), sia t =
q − n + 2, e siano P0, P1, P2 tre punti di A. Fissato come triangolo di riferimento T
quello i cui vertici sono P0, P1, P2, consideriamo le 3t tangenti a A passanti per essi;
tali tangenti abbiano le seguenti equazioni: X2 = k0,sX1, X0 = k1,sX2, X1 = k2,sX0
con s = 1, . . . t. Allora
kr,s = −1.
r=0,1,2, s=1,...,t

CAPITOLO 5. CODICI MDS E ARCHI 100
Dimostrazione. Definiamo gli insiemi
dalla Proposizione 5.6 segue
e analogamente k1,s
{β0,1, β0,2, . . . , β0,n−3} = F ∗ q \ {k0,s | s = 1, . . . , t},
{β1,1, β1,2, . . . , β1,n−3} = F ∗ q \ {k1,s | s = 1, . . . , t},
{β2,1, β2,2, . . . , β2,n−3} = F ∗ q \ {k2,s | s = 1, . . . , t};
s=1,...,t
k0,s
s ′ =1,...,n−3
β1,s ′ = k2,s
Proviamo ora che
r=0,1,2, s ′ =1,...,n−3
β 0,s ′ = −1 , (5.1)
β2,s ′ = −1. (5.2)
βr,s ′ = 1. (5.3)
Fissiamo un punto Q in A ma non in T . Per Q passano tre secanti di A che intersecano
l’insieme dei vertici di T . Tali secanti siano
l2(Q) : X2 = β0,QX1, l0(Q) : X0 = β1,QX2, l1(Q) : X1 = β2,QX0.
Allora per la Proposizione 5.7 si ha
Osserviamo a questo punto che le terne
β0,Qβ1,Qβ2,Q = 1. (5.4)
{l0(Q), l1(Q), l2(Q)}Q∈A\T
costituiscono una partizione dell’insieme delle secanti di A passanti per uno ed un solo
vertice di T . Infatti evidentemente ogni secante di questo tipo deve essere una lr(Q) per
qualche Q. Inoltre lr(Q) e lr ′(Q′ ) non possono coincidere se Q = Q ′ perchè altrimenti
avremmo 3 punti allienati in A.
Pertanto moltiplicando la (5.4) al variare di Q si ha la (5.3). Ora tiriamo le somme:
−1 = (−1)(−1)(−1) =

CAPITOLO 5. CODICI MDS E ARCHI 101
(dalla (5.1) e dalla (5.2))
(dalla (5.3))
=
=
k0,s
k0,s
=
β0,s ′
k1,s
k1,s k2,s
r=0,1,2, s=1,...,t
kr,s
β1,s ′
β0,s ′
k2,s
β1,s ′
r=0,1,2, s ′ =1,...,n−3
= kr,s.
Esercizio 60. Si consideri il seguente 5-arco di P G(2, 5):
β2,s ′
β2,s ′
βr,s ′ =
=
=
A = {(1 : 0 : 0), (0 : 1 : 0), (0 : 0 : 1), (1 : 1 : 1), (1 : 2 : 4)}.
Si scrivano le equazioni delle rette tangenti e secanti di A passanti per i punti (1 : 0 :
0), (0 : 1 : 0), (0 : 0 : 1). Si verifichi la tesi del Lemma delle Tangenti.
Una variante del Lemma delle Tangenti si applica ai cosiddetti archi focalizzati.
Definizione 5.9. Un n-arco A di P G(2, q) si dice focalizzato se esiste una retta ℓ
esterna all’arco tale che le secanti di A incontrano ℓ in esattamente n punti. In tal caso
ℓ si dice retta fuoco di A.
Sia A un n-arco focalizzato e sia ℓ una sua retta fuoco. Sia Sℓ l’insieme dei punti di ℓ
che appartengono ad almeno una secante di A. Sia P un punto di A. Per esso passano
t = q + 2 − n tangenti di A, ma solo una di queste incontra Sℓ: infatti ogni retta che
unisce P ad uno dei q + 1 − n punti di ℓ \ Sℓ è una tangente di A. Chiameremo tale
retta tangente privilegiata in P rispetto a ℓ.
Proposizione 5.10. Sia A un n-arco focalizzato di P G(2, q), e sia ℓ una sua retta
fuoco. Siano P0, P1, P2 tre punti di A. Fissato come triangolo di riferimento T quello
i cui vertici sono P0, P1, P2, consideriamo le 3 tangenti privilegiate passanti per essi;
tali tangenti abbiano le seguenti equazioni X2 = k0X1, X0 = k1X2, X1 = k2X0. Allora
k0k1k2 = −1 .

CAPITOLO 5. CODICI MDS E ARCHI 102
Dimostrazione. La dimostrazione è analoga a quella del lemma delle tangenti. Basta
far variare il punto Q nei punti di A ∪ (ℓ \ Sℓ) diversi da P0, P1, P2.
Si noti che, se q è dispari, ogni (q + 1)-arco è focalizzato; basta prendere come retta
fuoco una qualsiasi retta esterna all’arco. In tal caso le tangenti privilegiate sono
esattamente le tangenti all’arco.
Definizione 5.11. Due triangoli T = {P0, P1, P2} e T ′ = {Q0, Q1, Q2} di P G(2, q) si
dicono prospettivi se le rette passanti per P0Q0, P1Q1 e P2Q2 sono concorrenti.
Corollario 5.12. Sia A un n-arco focalizzato di P G(2, q), q dispari. Sia T un qualunque
triangolo inscritto in A, e sia T ′ il corrispondente triangolo circoscritto (ovvero il
triangolo i cui lati sono le tangenti privilegiate per i vertici di T ). Allora T e T ′ sono
prospettivi.
Dimostrazione. Supponiamo senza restrizione che i vertici P0, P1, P2 di T siano i punti
del triangolo di riferimento, ovvero P0 = (1 : 0 : 0), P1 = (0 : 1 : 0), P2 = (0 : 0 : 1).
Inoltre sia U = (1 : 1 : −1) il punto comune alle tangenti all’arco passanti per P0 e
P1. Allora i lati di T ′ sono le rette X1 + X2 = 0, X0 + X2 = 0, e, per il Lemma delle
tangenti, la retta X1 + X0 = 0. (Osserviamo che l’ipotesi q dispari è necessaria perché
altrimenti T ′ non sarebbe un triangolo: se fosse q pari da −1 = 1 seguirebbe che i lati
di T ′ sarebbero concorrenti per il Lemma 5.7). I vertici di T ′ sono
e le rette PiQi
Q0 = (−1 : 1 : 1), Q1 = (1 : −1 : 1), Q2 = (1 : 1 : −1),
P0Q0 : X2 = X1, P1Q1 : X0 = X2, P2Q2 : X1 = X0.
L’asserto segue dal Lemma 5.7.
Teorema 5.13. In P G(2, q), q dispari, ogni (q + 1)-arco consiste dei punti di una
conica irriducibile.
Dimostrazione. Sia A un (q + 1)-arco di P G(2, q). Siano P0, P1 e P2 tre punti di A, e
sia U il punto comune alle tangenti all’arco passanti per P0 e P1. Supponiamo senza
restrizioni che P0 = (1 : 0 : 0), P1 = (0 : 1 : 0), P2 = (0 : 0 : 1), U = (1 : 1 : −1).

CAPITOLO 5. CODICI MDS E ARCHI 103
Allora la tangente ad A in P0 è la retta X1 + X2 = 0, mentre quella in P1 ha equazione
X0 + X2 = 0. Dal Lemma delle tangenti segue immediatamente che la tangente in P2
è la retta X1 + X0 = 0.
Si consideri ora un ulteriore punto P = (y0 : y1 : y2) di A. Sia ℓ : d0X0 + d1X1 + d2X2
la tangente a A per P . Si applichi Corollario 5.12 al triangolo P P1P2. I vertici del
triangolo circoscritto sono allora i punti Q = (1 : −1 : −1), Q1 = (d2 : −d2 : d1 − d0),
Q2 = (d1 : d2 − d0 : −d1). Si ha inoltre che P Q : (y2 − y1)X0 + (y0 + y2)X1 + (−y0 −
y1)X2 = 0, P1Q1 : (d1 − d0)X0 − d2X2 = 0, P2Q2 : (d2 − d0)X0 − d1X1 = 0. Dal
Corollario 5.12 segue quindi
⎛
⎞ ⎛
⎞
y2 − y1 y0 + y2 −y0 − y1
0 y0 + y2 −y0 − y1
det ⎝
ovvero
d1 − d0 0 −d2
d2 − d0 −d1 0
⎠ = det ⎝
d1 − d0 + d2 0 −d2
d2 − d0 + d1 −d1 0
(d0 − d1 − d2)[d1(y0 + y1) − d2(y0 + y2)] = 0.
⎠ = 0 ,
Dato che ℓ non può passare per Q, il punto comune alle tangenti per P1 e P2, (mai tre
tangenti ad un (q + 1)-arco sono concorrenti per q dispari), si ha che d0 − d1 − d2 = 0.
Pertanto
d1(y0 + y1) = d2(y0 + y2).
Analogamente, considerando i triangoli P P0P1 e P P0P2 si ha che
d2(y1 + y2) = d0(y1 + y0)
d0(y0 + y2) = d1(y1 + y2).
In altre parole i tre minori di ordine due della matrice
d0 d1 d2
y1 + y2 y0 + y2 y0 + y1
sono tutti nulli. Allora il rango di
y0d0 y1d1 y2d2
y0y1 + y0y2 y1y0 + y1y2 y2y0 + y2y1
è uguale a 1. Dato che la somma degli elementi della prima riga è d0y0+d1y1+d2y2 = 0,
si ha che anche gli elementi della seconda riga hanno somma zero, ovvero
2(y0y1 + y0y2 + y1y2) = 0.

CAPITOLO 5. CODICI MDS E ARCHI 104
Essendo q dispari si ha che 2 = 0, e pertanto il punto P appartiene alla conica di
equazione
X1X2 + X0X2 + X0X1 = 0.
I q + 1 punti di tale conica sono quindi tutti e soli i punti di A.
Si lascia come esercizio dimostrare la seguente generalizzazione del Teorema di Segre,
dovuta a Wettl.
Teorema 5.14. In P G(2, q), q dispari, ogni n-arco focalizzato è contenuto in una
conica irriducibile.
Corollario 5.15. Tutti i codici MDS di dimensione 3 e lunghezza q+1 sopra un campo
di ordine dispari sono isomorfi.
Dimostrazione. Si può dimostrare che tutte le coniche irriducibili di P G(2, q) sono
proiettivamente equivalenti. Pertanto dal Teorema 5.13 segue che tutti i (q+1)-archi di
P G(2, q) sono sistemi proiettivi equivalenti. Dalla Proposizione 2.12 segue l’asserto.
Per q pari, una conica più il suo nucleo (ovvero il punto di intersezine delle sue tangenti)
è un (q+2)-arco. I (q+2)-archi di P G(2, q) sono detti iperovali. Un iperovale costituito
da una conica e dal suo nucleo si dice regolare. Come mostrato da Segre, per q = 2, 4, 8,
ogni iperovale è regolare. Per q = 2 h , h ≥ 4, esistono iperovali irregolari. Diverse classi
infinite di iperovali sono conosciute. Il problema della classificazione degli iperovali è
tuttavia molto lontano dall’essere risolto. L’esempio più semplice di classe infinita di
iperovali irregolari è il seguente.
Proposizione 5.16. Sia q = 2 m . L’insieme di punti di P G(2, q)
{(1 : t : t 2s ) | t ∈ Fq} ∪ {(0 : 1 : 0), (0 : 0 : 1)}
è un (q + 2)-arco di P G(2, q) se e solo se (m, s) = 1.
Esercizio 61. Sia A un n-arco di P G(2, q) e sia ℓ una retta disgiunta da A. Si provi
che il numero di punti di ℓ che appartiene ad almeno una secante di A è maggiore o
uguale di n − 1.

CAPITOLO 5. CODICI MDS E ARCHI 105
Esercizio 62. Sia A un n-arco di P G(2, q) e sia ℓ una retta disgiunta da A. L’arco A
si dice iperfocalizzato rispetto a ℓ se il numero di punti di ℓ che appartiene ad almeno
una secante di A è esattamente n − 1. Si provi che se q è dispari, allora non esistono
n-archi iperfocalizzati con n > 2. (Suggerimento: si ammetta l’esistenza di un narco
iperfocalizzato con n > 2, e lo si privi di un punto Q; si ottiene cosi’ un arco
focalizzato A ′ , le cui tangenti privilegiate sono le rette che uniscono i punti di A ′ a Q;
ciò è assurdo perchè le tangenti privilegiate di un arco focalizzato non possono essere
concorrenti dalla Proposizione 5.10).
Esercizio 63. Sia A un n-arco focalizzato di P G(2, q), q pari. Si dimostri che A è
contenuto in un (n + 1)-arco iperfocalizzato. (Suggerimento: dalla Proposizione 5.10
segue che le tangenti privilegiate di A sono concorrenti in un punto Q; allora A ∪ {Q}
è un arco iperfocalizzato.)
Esercizio 64. Nel 2004 due ricercatori statunitensi hanno congetturato che ogni n-arco
iperfocalizzato di P G(2, q), q pari, con n > √ q + 2 fosse contenuto in un (q + 2)-arco.
Di recente è stato provato che tale congettura non è vera. Lo studente particolarmente
motivato può provare a cimentarsi nella ricerca di un controesempio (è un esercizio
difficile, ma non impossibile).
5.2.1 Il Teorema di Menelaus
Sia K la chiusura algebrica di Fq. É di verifica immediata che tre punti (c2 : 1 : 0),
(1 : 0 : c1), (0 : c0 : 1) di P 2 (K) sono allineati se e solo se c0c1c2 = −1. Questa
osservazione si generalizza nel seguente teorema classico di Geometria Algebrica.
Proposizione 5.17. (di Menelaus) Siano fissati 3n punti di P 2 (K), non necessariamente
distinti, (0 : c0,s : 1), (1 : 0 : c1,s), (c2,s : 1 : 0) (s = 1, . . . , n) distinti da
A0 = (1 : 0 : 0), A1 = (0 : 1 : 0), A2 = (0 : 0 : 1). Allora condizione necessaria e
sufficiente affinché esista una curva X di ordine n passante per quei 3n punti (e per
nessuno degli Ai) è che
r=0,1,2, s=1,...,n
cr,s = (−1) n . (5.5)

CAPITOLO 5. CODICI MDS E ARCHI 106
Dimostrazione. Sia X una curva di ordine n passante per i punti (0 : c0,s : 1), (1 : 0 :
c1,s), (c2,s : 1 : 0) (s = 1, . . . , n). Sia
X : aijkX i 0X j
1X k 2 = an00X n 0 + a0n0X n 1 + a00nX n 2 + . . . = 0 .
Allora an00a0n0a00n = 0 dato che X non passa per nessuno dei vertici del triangolo
fondamentale. Imponendo il passaggio per i punti (0 : c0,s : 1) si ha che
a0n0c n 0,s + a0(n−1)0c n−1
0,s . . . + a00n = 0, per ogni s = 1, . . . , n;
ovvero gli elementi c0,s sono tutte e sole le radici di un polinomio
Dal Lemma 5.5 si ha quindi che
a0n0T n + . . . + a00n = 0 .
s=1,...,n
c0,s = (−1) n a00n/a0n0 .
Applicando lo stesso argomento ai punti (1 : 0 : c1,s) e (c2,s : 1 : 0) si ottiene
da cui (5.5).
s=1,...,n
c1,s = (−1) n an00/a00n,
s=1,...,n
c2,s = (−1) n a0n0/an00,
Ora supponiamo che la condizione (5.5) sia soddisfatta. Sia P = (0 : c0,1 : 1). Sia LP
l’insieme delle curve di ordine n passanti per i restanti 3n − 1 punti. Chiaramente i
polinomi che definiscono le curve in LP costituiscono un K-sottospazio vettoriale dello
spazio vettoriale K[X, Y ]≤n dei polinomi di K[X, Y ] di grado minore o uguale di n.
Sia d la dimensione di LP . Osserviamo che la dimensione di K[X, Y ]≤n è uguale a
n + 2
2
Inoltre si noti che imporre il passaggio per un punto equivale ad imporre una condizione
lineare in K[X, Y ]≤n. Pertanto si ha che
n + 2
2
.
− (3n − 1) ≤ d

CAPITOLO 5. CODICI MDS E ARCHI 107
n + 2
n − 1
Si noti che che
− (3n − 1) = 1 + . Inoltre si osservi che le
2
2
curve di grado n che contengono le rette del triangolo fondamentale corrispondono alle
curve di grado
n − 3, e pertanto costituiscono un sottospazio vettoriale di dimensione
n − 1
< d. Ciò implica che LP contiene una curva X che non passa per nessun
2
vertice del triangolo fondamentale: infatti se così non fosse ogni curva di LP dovrebbe
contenere i tre assi del triangolo per il Teorema di Bézout.
Per completare la dimostrazione occorre provare che X passa per P . Osserviamo
intanto che, sempre per il Teorema di Bézout, X passa per un ulteriore punto Q = (0 :
e : 1) con e = 0 del triangolo fondamentale. Pertanto, per quanto sopra dimostrato, X
soddisfa la condizione (5.5) dove a c0,1 si sostituisca e, ovvero
⎛
⎞
e ⎝
⎠ = (−1) n
r=0,1,2, s=1,...,n,(r,s)=(0,1)
Ma questo, messo a sistema con (5.5) medesimo, implica che c0,1 = e, e quindi P = Q.
Il teorema di Menelaus è stato generalizzato da B. Segre nel seguente modo.
Proposizione 5.18. Sia fissato un qualunque poligono in P 2 (K) di n lati a 3 a 3 non
concorrenti; si fissino n punti, non necessariamente distinti, in ogni lato, nessuno dei
quali coincidente con i vertici del poligono. Allora esiste una curva di ordine n passante
per i punti dati (e non per i vertici del poligono) se e solo se per ogni terna di lati del
poligono è soddisfatta la condizione del teorema precedente per i 3n punti giacenti su
di essa.
Si tenga presente che, anche in questo caso, le uniche intersezioni della curva con i lati
del poligono sono costituite dai punti di partenza.
5.2.2 Curve e inviluppi
Sia K la chiusura algebrica del campo finito Fq. Denotiamo con P 2 (K) ∗ l’insieme delle
rette di P 2 (K).
cr,s

CAPITOLO 5. CODICI MDS E ARCHI 108
Definizione 5.19. L’applicazione
D : P 2 (K) ∗ → P 2 (K)
che associa alla retta di equazione l0X0 +l1X1 +l2X2 = 0 associa il punto di coordinate
(l0 : l1 : l2) si dice applicazione duale.
L’applicazione duale è chiaramente ben definita e biiettiva, dato che due rette l0X0 +
l1X1 + l2X2 = 0 e l ′
0X0 + l ′
1X1 + l ′
2X2 = 0 coincidono se e solo se le terne (l0 : l1 : l2)
e (l ′
0 : l ′
1 : l ′
2) sono coordinate omogenee di uno stesso punto. La terna (l0 : l1 : l2),
definita a meno di proporzionalità , si dice la terna delle coordinate pluckeriane della
retta l0X0 + l1X1 + l2X2 = 0.
Si considerino l’insieme dei punti di una retta ℓ di P 2 (K). La controimmagine di questi
punti rispetto all’applicazione duale consiste delle rette di un fascio. Più precisamente,
è immediato verificarela controimmagine dei punti della retta di equazione a0X0 +
a1X1 + a2X2 = 0 consiste delle rette del fascio di centro il punto (a0 : a1 : a2).
Più in generale, una famiglia di rette che sono la controimmagine di una curva algebrica
di P 2 (K) rispetto all’applicazione duale si dice inviluppo di P 2 (K) ∗ . Un fascio di rette
è l’esempio più semplice di inviluppo.
Definizione 5.20. Un inviluppo di classe t, denotato con Γ t , è un sottoinsieme di
rette di P 2 (K) le cui coordinate pluckeriane (l0 : l1 : l2) soddisfano un equazione
G(l0, l1, l2) = 0, essendo G(X0, X1, X2) un polinomio omogeneo di grado t.
Naturalmente tutte le proprietà delle curve algebriche possono essere interpretate in
termini di inviluppi. Ad esempio, sia Γ t un inviluppo algebrico definito dal polinomio
G:
• se il punto P = (a : b : c) è tale che il polinomio aX0 + bX1 + cX2 non divide G,
allora t rette di Γ t passano per P (opportunamente contate);
• se il punto P = (a : b : c) è tale che il polinomio aX0 + bX1 + cX2 divide G, allora
ogni retta per P appartiene a Γ t ;
• il numero massimo di fasci di rette contenute in Γ t è t.

CAPITOLO 5. CODICI MDS E ARCHI 109
Si osservi inoltre che con l’espressione tangente di un inviluppo si deve intendere un
fascio di rette (che incontra l’inviluppo in una sua retta non singolare con molteplicità
maggiore di uno).
Dualizzando il teorema di Menelaus otteniamo i seguenti risultati.
Proposizione 5.21. (Teorema di Ceva) Sia T il triangolo di riferimento i cui vertici
sono A0 = (1 : 0 : 0), A1 = (0 : 1 : 0), A2 = (0 : 0 : 1). Siano fissate 3t rette di P 2 (K),
non necessariamente distinte, diverse dai lati di T , di equazione
X2 = k0,sX1, X0 = k1,sX2, X1 = k2,sX0.
Allora condizione necessaria e sufficiente affinché esista un inviluppo Γt contenente
quelle 3t rette (e non i lati di T ) è che
kr,s = 1.
r=0,1,2, s=1,...,t
Dimostrazione. Basta osservare che una retta di equazione X2 = k0,ıX1 ha coordinate
pluckeriane (0 : −k0,ı : 1) (e similmente per gli altri due casi). Quindi, applicando il
Teorema di Menelaus, la condizione necessaria e sufficiente è
(−kr,s) = (−1) t ,
ovvero
(−1) 3t kr,s = (−1) t .
Ma (−1) 3t = (−1) t , e quindi l’asserto è provato.
La versione più generale è la seguente.
Proposizione 5.22. Siano fissati n punti di P 2 (K) a 3 a 3 non allineati; si scelgano
per ciascuno di tali punti t rette, non necessariamente distinte, passanti per esso e per
nessuno degli altri punti. Allora esiste un inviluppo di classe t contenente le rette scelte
(e nessuna altra retta per quei punti) se e solo se per ogni terna di punti e per le 3t
scelte rette passanti per essi è soddisfatta la condizione del teorema precedente.
Si tenga presente che le uniche rette appartenenti all’inviluppo passanti per uno degli
n punti dati P sono quelle scelte e passanti per P .

CAPITOLO 5. CODICI MDS E ARCHI 110
Nota 5.23. Per il teorema di Bézout, se nt > t 2 esiste al più un inviluppo irriducibile
contenente le nt rette fissate.
Riportiamo ora una limitazione superiore al numero dei punti razionali di una curva
algebrica, più debole rispetto al Teorema di Hasse-Weil ma molto semplice da
dimostare.
Proposizione 5.24. Sia R il numero di punti Fq-razionali di una curva algebrica piana
di X ordine m definita su Fq e priva di componenti lineari Fq-razionali. Allora
R ≤ (m − 1)q + m .
Dimostrazione. Sia P un punto Fq-razionale di X . Dal Teorema di Bézout segue che
ogni retta per P incontra X in al più m − 1 punti distinti da P . Pertanto,
da cui l’asserto.
R ≤ (q + 1)(m − 1) + 1 ,
5.2.3 n-archi completi di P G(2, q) con n < q + 1
Conseguenze immediate del Lemma delle tangenti e del Teorema di Ceva sono le due
seguenti proposizioni.
Proposizione 5.25. Sia q pari e sia A un n-arco di P G(2, q). Allora esiste un inviluppo
Γ t di classe t = q − n + 2, non contenente nessuno dei fasci di rette di centro
punti di A, tale che le nt tangenti di A sono tutte e sole le rette di Γ t passanti per punti
di A.
Dimostrazione. Basta applicare il teorema di Ceva nella versione più generale e tenere
presente che, essendo q pari, −1 = 1.
Proposizione 5.26. Sia q dispari e sia A un n-arco di P G(2, q). Allora esiste un
inviluppo ∆ 2t di classe 2t = 2(q − n + 2), non contenente nessuno dei fasci di rette di
centro punti di A, tale che le nt tangenti di A sono tutte e sole le rette di ∆ 2t passanti
per punti di A, ciascuna contata due volte.

CAPITOLO 5. CODICI MDS E ARCHI 111
Dimostrazione. Contando ogni tangente di A due volte, il prodotto di tutti i coefficienti
del tipo kr,s diventa (−1) 2 = 1; quindi siamo nelle condizioni del teorema di Ceva che
garantiscono l’esistenza di un inviluppo di classe 2t.
Corollario 5.27. Sia q dispari. Le q + 1 tangenti a una conica irriducibile C sono le
rette di un inviluppo Γ di classe 2. Inoltre le tangenti di Γ corrispondono ai fasci di
rette centrati nei punti di C.
Dimostrazione. L’asserto segue dalla Proposizione 5.26 applicata ai (q + 1)-archi, che
per q dispari sono tutte e sole le coniche irriducibili.
Trovare i valori di n per cui un n-arco piano è sempre contenuto in un ovale per q
dispari, o in un iperovale per q pari, è di estrema importanza per risolvere problemi
relativi agli archi di spazi di dimensione superiore (si veda la sezione successiva). In
questo contesto lo studio dell’inviluppo associato ad un n-arco si rivela decisivo. Per
prendere confidenza con la nozione di inviluppo di un arco dimostriamo il seguente
lemma, valido sia per q pari che per q dispari.
Lemma 5.28. Sia Γ inviluppo di un n-arco A di P G(2, q). Se Γ ha una componente
di classe 1, allora A è contenuto in un (n + 1)-arco.
Dimostrazione. Sia Q il centro del fascio di rette corrispondente alla componente lineare
di Γ. Si noti che essuna retta per Q è una secante dell’arco (visto che ogni secante non
appartiene all’inviluppo). Pertanto A ∪ {P } è ancora un insieme di punti a tre a tre
non allineati.
Proposizione 5.29. Sia q pari, A un n-arco di P G(2, q) e Γt un inviluppo associato
a A. Se
n > q − q + 1 3
+
4 2
allora Γ t ha una componente di classe 1.
Dimostrazione. Si osservi che dalla Proposizione 5.25 segue che il numero S di rette
semplici Fq-razionali di Γ t è maggiore o uguale del numero di tangenti di A, ovvero
S ≥ nt = n(q − n + 2). Supponiamo ora che Γ t non contenga le rette di un fascio

CAPITOLO 5. CODICI MDS E ARCHI 112
centrato in un punto di P G(2, q). Ciò equivale ad affermare che Γ t non ha componenti
Fq-razionali di ordine 1. Per la Proposizione 5.24 si ha allora che
n(q − n + 2) = nt ≤ S ≤ (t − 1)q + t = q(q − n + 1) + q − n + 2 .
Pertanto q ≤ t(t − 1), in contraddizione con n > q −
q + 1 3 + 4 2 .
In realtà è possibile dimostrare, con strumenti più sofisticati, che la condizione n >
q −
q + 1 3 + 4 2 può essere sostituita dalla più semplice n > q − √ q + 1.
Per q dispari dimostriamo un risultato decisamente più debole. Premettiamo i seguenti
tre lemmi.
Lemma 5.30. Sia A un n-arco di P G(2, q), q dispari. Supponiamo che l’inviluppo Γ 2t
di A abbia una componente Γ 2 di classe 2 definita su Fq. Sia C la conica le cui tangenti
sono le rette di Γ 2 . Allora
#(A ∩ C) ≥ 2n − q − 1; .
Dimostrazione. Osserviamo innanzitutto che il fascio di rette centrato in un punto P
di A incontra Γ 2 in due rette (tangenti dell’arco A). Queste due rette coincidono se e
solo se il fascio per P è tangente a Γ, ovvero se e solo se P è un punto della conica C.
Allora per ogni punto di A ∩ C passa una tangente di A appartenente a Γ; per ogni
punto di A \ C ne passano due. Siccome Γ ha q + 1 rette razionali in tutto, si ha
#(A ∩ C) + 2#(A \ C) ≤ q + 1 .
Essendo #(A \ C) = n − #(A ∩ C), l’asserto segue.
Lemma 5.31. Sia X una curva algebrica irriducibile di ordine d definita sulla chiusura
algebrica di Fq, ma non su Fq. Allora il numero di punti Fq-razionali di X è al massimo
d 2 .
Dimostrazione. Sia X := F = 0, dove
F (X0, X1, X2) =
i+j+k=d
aijkX i 0X j
1X k 2 .

CAPITOLO 5. CODICI MDS E ARCHI 113
Sia X (1) la curva di equazione F (1) = 0, dove
F (1) (X0, X1, X2) =
i+j+k=d
a q
ijk Xi 0X j
1X k 2 .
Si ha che X e X (1) sono curve distinte (dello stesso grado d), dato che X non è definita
su Fq. Inoltre ogni punto P di X che sia Fq-razionale è anche punto di X (1) . Infatti,
se P = (a : b : c) con a, b, c ∈ Fq, allora
F (1) (a, b, c) =
=
i+j+k=d
i+j+k=d
a q
ijk ai b j c k =
aijka i b j c k
i+j+k=d
Dal Teorema di Bézout si ha allora che #X (Fq) ≤ d 2 .
q
a q
ijk aqi b qj c qk =
= (F (a, b, c)) q = 0 .
Lemma 5.32. Sia X una curva algebrica definita su Fq. Il numero di componenti di
X di un fissato grado d non definite su Fq è 0 o strettamente maggiore di 1.
Dimostrazione. Sia X := F (X0, X1, X2) = 0. Sia Y :
i+j+k=d aijkX i 0X j
1X k 2 = 0 una
componente di X non definita su Fq. Allora
F (X0, X1, X2) = H(X0, X1, X2) aijkX i 0X j
1X k
2 ,
e quindi
F (X0, X1, X2) q = H(X0, X1, X2) q
i+j+k=d
i+j+k=d
a q
ijk Xi 0X j
1X k 2
Ma essendo X definita su Fq si ha F (X0, X1, X2) q = F (X0, X1, X2), cioè
Y (1) :
a q
ijkXi 0X j
1X k 2 = 0
i+j+k=d
è ancora una componente di X , distinta da Y.
Proposizione 5.33. In P G(2, q), q dispari, q ≥ 49, ogni q-arco è contenuto in una
conica.
.

CAPITOLO 5. CODICI MDS E ARCHI 114
Dimostrazione. L’inviluppo dell’arco ∆ 2t è di classe 4 e consiste di almeno nt = 2q
rette Fq-razionali. Sia ∆ 2t irriducibile. Allora per il Teorema di Hasse-Weili
che è chiaramente impossibile per q ≥ 49.
2q ≤ q + 1 + 6 √ q ,
Supponiamo che ∆ 2t abbia solo componenti non Fq-razionali. Essendo ∆ 2t definita su
Fq, per il Lemma 5.32 ciò è possibile solo se ∆ 2t consiste di due componenti non Fqrazionali
di classe 2, oppure di quattro componenti non Fq-razionali di classe 1. Allora
dal Lemma 5.31, il numero di rette Fq-razionali di Γ 2t sarebbe al massimo 8, ma ciò è
evidentemente impossibile essendo 2q > 8.
Se Γ 2t ha una componente Fq-razionale di classe 1, dal Lemma 5.28 A è contenuto in
un (q + 1)-arco, ovvero una conica.
Resta ora da esaminare la possibilit’à che ∆ 2t consista di due componenti Fq-razionali
di classe due. Dal Lemma 5.30 in tal caso esiste una conica C avente 2q − q − 1 = q − 1
punti in comune con A. Consideriamo le q − 1 rette che uniscono P agli altri punti
dell’arco. Chiaramente solo due di queste possono incontrare C in un ulteriore punto.
Si avrebbero così almeno q − 3 tangenti a C passanti per uno stesso punto. Ma ciò
per q dispari è impossibile, dato che per il Lemma delle Tangenti tre tangenti a un
(q + 1)-arco non sono mai concorrenti.
Segnaliamo che il Teorema precedente può essere raffinato e combinato con risultati
ottenuti al computer, in modo tale da poter eliminare l’ipotesi q ≥ 49.
Esercizio 65. Si provi il seguente risultato: In P G(2, q), q dispari, q > 83, ogni
(q − 1)-arco è contenuto in una conica. (Suggerimento: si segua la dimostrazione della
Proposizione 5.33).
In riferimento all’esercizio precedente, si noti che il problema di stabilire se esistono
(q − 1)-archi non contenuti in una conica per q minore o uguale di 83 e maggiore di 29
è ancora un problema aperto e di grande interesse.
Per q dispari vale una proposizione analoga alla Proposizione 5.29. La riportiamo
senza dimostrazione. Diremo soltanto che un ruolo decisivo è giocato dal Teorema di
Hasse-Weil.

CAPITOLO 5. CODICI MDS E ARCHI 115
Proposizione 5.34. Sia q dispari, A un n-arco di P G(2, q) e ∆ 2t un inviluppo asso-
ciato a A. Se n > q − 1√
7 q + 4 4 , allora ∆2t contiene un inviluppo conico irriducibile ∆2 come componente semplice. In questo caso, la conica C associata a ∆ 2 contiene A.
Si denoti con m ′ (2, q) la seconda più grande cardinalità di un arco completo di P G(2, q).
Chiaramente si ha che per q dispari ogni arco di cardinalità maggiore di m ′ (2, q) è
contenuto in una conica.
A parte piccoli valori di q, m ′ (2, q) è stato determinato solo per q è un quadrato pari.
In tal caso, m ′ (2, q) = q − √ q + 1.
5.3 Codici MDS di dimensione superiore: n-archi
di P G(r, q)
La problematica principale in materia è trovare una limitazione superiore alla cardinalità
di un n-arco di P G(r, q), con r ≥ 3. La situazione è diversa a seconda che s sia
grande o piccolo rispetto a q. Esaminiamo innanzitutto il caso in cui r < q − 1.
Definizione 5.35. Una curva razionale normale di P G(r, q) è un sottoinsieme di punti
proiettivamente equivalente a
{(1 : t : t 2 : . . . : t r ) | t ∈ Fq} ∪ {(0 : 0 : . . . : 0 : 1)}.
Si può facilmente verificare che una curva razionale normale di P G(r, q) è un (q + 1)arco.
Naturalmente la domanda è se possono esistere archi più grandi, oppure archi
della stessa cardinalità ma diversi.
Teorema 5.36 (Kaneta-Maruta). Sia s un intero tale che ogni n-arco di P G(r, q) con
n ≥ s è contenuto in una curva razionale normale. Allora ogni n-arco di P G(r + 1, q)
con n ≥ s + 1 è contenuto in una curva razionale normale.
Schema della dimostrazione. Sia A un n-arco di P G(r + 1, q) con n ≥ s + 1. Si proietti
A dai suoi punti ri ∈ A su iperpiani αi tali che ri /∈ αi. Ciascuna proiezione è un
(n − 1)-arco di un P G(r, q). Essendo n − 1 ≥ s, ogni proiezione è contenuta in una
curva razionale normale Ai di αi. Osserviamo che A è contenuto nell’intersezione dei

CAPITOLO 5. CODICI MDS E ARCHI 116
coni di vertice ri e base Ai. L’asserto segue dal fatto che l’intersezione di tali coni è
una curva razionale normale.
Applicando induttivamente il teorema precedente ottiamo il seguente risultato.
Proposizione 5.37. Sia s un intero tale che ogni n-arco di P G(2, q) con n ≥ s è
contenuto in una curva razionale normale. Allora ogni n-arco di P G(t + 2, q) con
n ≥ s + t è contenuto in una curva razionale normale.
Per q dispari, nella Proposizione 5.37 si può scegliere s come m ′ (2, q)+1. Le limitazioni
viste in precedenza su m ′ (2, q) hanno quindi le seguenti conseguenze.
Teorema 5.38. Sia q dispari. Se r < q + 3 − m ′ (2, q), allora
(a) m(r, q) = q + 1,
(b) ogni (q + 1)-arco di P G(r, q) è una curva razionale normale.
Per q = 9 si ha che m ′ (2, q) = 8. Pertanto q + 3 − m ′ (2, q) = 4, e quindi il teorema
precedente non garantisce che ogni (q +1)-arco di P G(4, 9) sia una curva razionale normale.
E infatti in P G(4, 9) esistono due (q + 1)-archi non proiettivamente equivalenti.
Oltre alla curva razionale normale, si ha l’insieme
{(1 : x : x 2 + σx 6 : x 3 : x 4 )} ∪ {(0 : 0 : 0 : 0 : 1)}
dove σ è un qualunque non quadrato di F9.
Il caso q pari è più complicato, e non è possibile ottenere risultati con la sola induzione.
Ciò dipende essenzialmente dal fatto che i (q+1)-archi di P G(2, q) non sono classificati.
Teorema 5.39. In P G(3, q) con q = 2h ogni (q +1)-arco è proiettivamente equivalente
all’insieme
{(1 : t : t 2r
: t 2r +1
)} ∪ {(0 : 0 : 0 : 1)}
per qualche r tale che (r, h) = 1.
Teorema 5.40. Ogni (q + 1)-arco di P G(4, q), q ≥ 8 pari, è una curva razionale
normale.

CAPITOLO 5. CODICI MDS E ARCHI 117
Il caso in cui la dimensione r è maggiore o uguale di q − 1 è molto più semplice da
trattare. I punti del simplesso fondamentale S = {A0, A1, . . . , Ar, U}, dove
A0 = (1 : 0 : . . . : 0), A1 = (0 : 1 : . . . : 0)
.
.
Ar = (0 : 0 : . . . : 1), U = (1 : 1 : . . . : 1),
costituiscono un (r + 2)-arco, e pertanto m(r, q) ≥ r + 2
Lemma 5.41. Il simplesso fondamentale S è un arco completo se r ≥ q − 1.
Dimostrazione. Sia P ∈ P G(r, q), P = (a0 : a1 : . . . : ar). Se una delle coordinate
è nulla, allora chiaramente P è dipendente con r punti di {A0, A1, . . . , Ar}. In caso
contrario, essendo q − 1 < r + 1, necessariamente si ha che ai = aj per qualche i = j.
Supponiamo senza restrizione che a0 = a1. Allora P appartiene all’iperpiano generato
da U, A2, . . ., Ar (avente equazione X0 = X1).
In realtà è impossibile che esista un arco A con più di r + 1 punti. Infatti, possiamo
assumere senza restrizione che un tale A contenga i punti del simplesso fondamentale
S. Ma essendo S completo, A non può contenere propriamente S.
Proposizione 5.42. Se r è maggiore o uguale di q − 1, allora m(r, q) = r + 2.
5.4 Un’applicazione: divisione di un segreto a tre
livelli
Affrontiamo in quest’ultima sezione del capitolo un problema concreto di suddivisione
di un segreto a tre livelli. Il personale di una filiale di una banca consiste di un direttore,
s vicedirettori, n impiegati. Si vuole escogitare un sistema di attribuzione di codici di
accesso alla cassaforte della banca con le seguenti caratteristiche:
• con il proprio codice il direttore può aprire la cassaforte;
• due vicedirettori possono aprire la cassaforte (digitando contestualmente i propri
codici);

CAPITOLO 5. CODICI MDS E ARCHI 118
• un vicedirettore e due impiegati possono aprire la cassaforte;
• tre impiegati possono aprire la cassaforte;
• ogni combinazione di dipendenti non inclusa nelle precedenti abbia la stessa probabilità
di aprire la cassaforte che quella che si avrebbe digitando un codice
casuale.
La geometria proiettiva può risolvere questo problema. Si fissi q potenza di un primo,
e si scelga un piano π di P G(4, q). I possibili codici di accesso siano i q 2 + q + q punti
di π. Il codice che apre la cassaforte corrisponda ad un punto P ∈ π, noto solo al
direttore. Il piano π si supponga invece noto a tutti.
Sia π1 un altro piano di P G(4, q) che incontra π solo in P , e sia ℓ una retta di π1
passante per P . Sia infine A un n-arco di π1 tale che nessuna sua secante passi per P .
Allora ad ogni impiegato della banca si rendano note le coordinate di uno dei punti di
A, mentre ad ogni vicedirettore quelle di un punto di ℓ non appartenente a nessuna
delle secanti di A. Il piano π1 e la retta ℓ devono essere mantenuti segrete. Allora,
• due vicedirettori possono ricostruire equazioni della retta ℓ, e quindi calcolando
l’intersezione con π possono risalire alla chiave P ;
• tre impiegati, conoscendo le coordinate di tre punti non allineati di π1, possono
ricostruire equazioni del piano π1, e quindi calcolando l’intersezione con π possono
risalire alla chiave P ;
• due impiegati e un vicedirettore, dato che per costruzione nessuna delle secanti
di A passa per un punto associato ad un vicedirettore, conoscono tre punti non
allineati di π1. Pertanto possono ricostruire equazioni del piano π1, e quindi
calcolando l’intersezione con π possono risalire alla chiave P ;
• ogni combinazione non contenuta nelle precedenti non può ricavare nessuna
informazione sulla chiave P .
Notiamo che fissato il numero di impiegati n, il numero di vicedirettori è vincolato
dalla condizione che nessuna delle secanti di A passa per un punto associato ad un
vicedirettore. Tale vincolo è chiaramente più debole se l’arco A è focalizzato (o megli

CAPITOLO 5. CODICI MDS E ARCHI 119
ancora iperfocalizzato) sulla retta ℓ. Questa osservazione ha negli ultimi anni restituito
un certo interesse agli archi focalizzati e iperfocalizzati.

Capitolo 6
Curve Algebriche in Crittografia:
Curve Ellittiche
Internet, e-commerce, smartcards e pay-tv. Sono questi i termini oggi piú usati nel
mondo dell’economia, delle finanze e delle comunicazioni; l’uso di cellulari, carte di
credito, schede prepagate é diventato, ormai, abitudine quotidiana. Nasce, quindi, l’esigenza
di creare sistemi crittografici con cui velocizzare al massimo la trasmissione
delle informazioni, garantendo, al tempo stesso, elevati livelli di sicurezza. Come mostrano
i vari crittosistemi a chiave pubblica che sono stati proposti sino ad oggi, essa
dipende fortemente dalla difficoltá del problema matematico su cui si basano i sistemi
stessi. Attualmente, solo la fattorizzazione di interi in numeri primi e il problema del
loga-ritmo discreto sulle curve ellittiche sono classificati come Hard Problem, cioé problemi
computazionalmente intrattabili, irrisolvibili. La prima proposta di applicazione
di curve ellittiche nei sistemi crittografici avvenne nel 1985, in maniera indipendente,
da parte di Victor Miller (IBM) e Neil Koblitz (University of Washington) ma ben
presto la potenza dell’ECC, Elliptic Curves Criptosystem, ha raggiunto, e in taluni
casi anche superato, quella del crittosistema a chiave pubblica per eccellenza, l’RSA.
L’efficienza, infatti, dei crittosistemi basati su curve ellittiche puó rilevarsi in piú modi
:
• Efficienza di memorizzazione
• Riduzione del massimo numero di dati trasferibili in rete
120

CAPITOLO 6. CURVE ELLITTICHE 121
• Efficienza computazionale
Questi fattori portano, rispettivamente, alta velocitá, basso consumo e riduzione della
lunghezza delle chiavi; perció un’implementazione di ECC é particolarmente adatta in
applicazioni, quali smartcards, che richiedono tali caratteristiche. Esse, infatti, hanno
obblighi estremamente rigidi per ció che riguarda potenza di processamento, parametri
di memorizzazione e spazio di codice, cioé lunghezza delle chiavi; le smartcards vengono
usate principalmente per firme e decifrazioni, operazioni in cui l’ECC é superiore in
efficienza e sicurezza all’RSA. Tutto ció é dovuto, in particolare, alla complessitá della
struttura matematica su cui viene costruito l’ECC stesso: le curve ellittiche.
6.1 Segreti e Gruppi
In questa sezione forniremo una descrizione di un semplicissimo schema di crittografia
a chiave pubblica basato su un qualsiasi gruppo abeliano.
Ricordiamo che in un sistema di crittografia a chiave pubblica ogni utente A è dotato di
due chiavi: una chiave pubblica, nota a tutti, che denoteremo P ubA; una chiave privata,
nota solo all’utente che denoteremo P rivA. La chiave pubblica serve per chiudere a
chiave il contenitore del messaggio destinato ad A; per questo viene usata da ogni altro
utente che deve comunicare informazioni ad A, e deve pertanto essere nota a tutti. La
chiave privata serve ad aprire quel contenitore, e quindi è indispensabile che sia nota
solo ad A.
6.1.1 Uno schema per garantire la segretezza del messaggio
Sia G un gruppo e sia g ∈ G un elemento di ordine N, dove N è un numero primo
(molto grande).
Ogni utente A sceglie come chiave privata un elemento a non nullo del campo ZN;
inoltre calcola anche l’inverso a −1 di a in ZN, tenendolo ovviamente segreto. La chiave
pubblica sarà l’elemento g a .
Già a questo punto è evidente la prima proprietà che il gruppo G deve avere:

CAPITOLO 6. CURVE ELLITTICHE 122
(I) nel gruppo G l’equazione in x
h = g x
deve essere computazionalmente impossibile da risolvere in tempi ragionevoli.
(6.1)
Se tale ipotesi non fosse soddisfatta, è ovvio che un intruso potrebbe risalire in tempi
ragionevoli alla chiave privata di A conoscendo la sua chiave pubblica. Il problema di
risolvere l’equazione (6.1) si chiama il Problema del Logaritmo Discreto in G.
Torniamo al nostro schema. Supponiamo che A voglia inviare a B un messaggio m.
Supporremo che m sia codificato come elemento del gruppo G. Allora ciò che A invierà
a B sarà
E = m(g b ) a = mg ab
(naturalmente b e g b indicano rispettivamente la chiave privata e la chiave pubblica di
B). Si noti che per calcolare E ad A servono solo la chiave pubblica di B e la propria
chiave privata (oltre ovviamente al messaggio m).
Grazie all’ipotesi (I), per un intruso non è possibile risalire a m. Come può invece farlo
B? L’utente B compirà le seguenti operazioni:
• calcola Eb−1, ottenendo così E ′ = mb−1 bb−1 = sN + 1, da cui (mgab ) b−1
ha (ga ) sN+1 = (ga ) sNg a = ga ) ;
= m b−1
• calcola E ′ /ga , ottenendo così E ′′ = mb−1; • calcola (E ′′ ) b , ottenendo così finalmente m.
ga (si noti che bb−1 ≡ 1 (mod N) implica
(ga ) sN+1 , ma essendo N l’ordine di g si
Ora è evidente che per essere efficace tale sistema c’è bisogno che le operazioni di
elevamento a potenza, da effettuare sia nella fase di chiusura che in quella di apertura
del messaggio, si possano effettuare in tempi ragionevoli. Pertanto, sarà necessario che
(II) nel gruppo G l’elevamento a potenza deve essere calcolabile in tempi rapidi.
Le esigenze (I) e (II) sembrano in contrasto fra loro. In termini molto semplici, deve
essere trovato un compromesso: un gruppo G complicato, ma non troppo. Vedremo
che i gruppi associati a curve ellittiche si prestano a questo compromesso.

CAPITOLO 6. CURVE ELLITTICHE 123
6.1.2 Logaritmo discreto in gruppi qualsiasi
Contiamo (in verità in maniera molto grossolana) il numero di operazioni di gruppo
che sono necessarie per risolvere il problema del logaritmo discreto in un gruppo ciclico
〈g〉 ⊆ G, con G gruppo generico. Esprimeremo tale numero in funzione di n = log 2(N),
dove N indica l’ordine di g (n rappresenta il numero di bits necessari per memorizzare
l’intero N).
Algoritmo Banale
L’algoritmo più semplice per risolvere l’equazione (6.1) è quello di calcolare gli elementi
g, g 2 , g 3 , . . . , g s , . . .
finche non si trova i tale che g i = h. Naturalmente se siamo sfortunati possiamo dover
fare N elevamenti a potenza, ovvero un numero di operazioni di gruppo dell’ordine di
grandezza di
2 n
Algoritmo Baby Step/Giant Step (BSGS)
Tale algoritmo è basato su un’idea molto semplice; nondimeno consente un risparmio
notevole in termini di numero di operazioni rispetto all’algoritmo banale. Osserviamo
che se applichiamo l’algoritmo di divisione euclidea ad un elemento x in {1, . . . , N} e
a ⌈ √ N⌉ otteniamo come risultato due interi s e t tali che
x = s⌈ √ N⌉ + t, 0 ≤ t ≤ ⌈ √ N⌉ − 1 ;
inoltre essendo x ≤ N si ha anche s ≤ ⌈ √ N⌉. Pertanto cercare x nell’equazione 6.1,
equivale a cercare s ∈ {0, 1, . . . , ⌈ √ N⌉} e t ∈ {0, 1, . . . , ⌈ √ N⌉−1} tali che h = g s⌈√ N⌉+t ,
ovvero
hg −t = g s⌈√ N⌉ .
Calcoliamo quindi la sequenza
h, hg −1 , hg −2 , . . . , hg −⌈√ N⌉+1 ;

CAPITOLO 6. CURVE ELLITTICHE 124
Poi calcoliamo le potenze
g ⌈√ N⌉ , g 2⌈ √ N⌉ , . . . ,
fino ad arrivare ad un elemento già presente nella prima lista. Quando ci sarà una tale
coincidenza avremo trovato s e t. Il numero di operazioni compiute è dell’ordine di
grandezza di 2⌈ √ N⌉, ovvero
2 n
2
Di fatto, se del gruppo G non si conoscono altre informazioni, l’algoritmo BSGS, opportunamente
perfezionato, è l’algoritmo più veloce per la soluzione del problema del
logaritmo discreto.
6.1.3 Gruppi noti
Il gruppo additivo di un campo finito Zp
Il gruppo additivo di un campo finito Zp è senz’altro inadatto ad un utilizzo crittografico.
In questo gruppo infatti g x è in realtà xg. Pertanto l’equazione (6.1) ha soluzione
immediata x = h/g.
Il gruppo moltiplicativo di un campo finito Zp
In questo caso il logaritmo discreto non è certo banale. Tuttavia esistono algoritmi
molto più veloci del BSGS. Precisamente, algoritmi per cui il numero di operazioni
necessarie è dell’ordine di grandezza di
e cn 1 3 (log n) 2 3 ,
dove c è una costante indipendente da n. Il numero è considerevolmente inferiore a 2 n
2 .
Il gruppo di Picard di una curva algebrica
Ricordiamo che il gruppo di Picard P ic 0 (X ) di una curva algebrica X si definisce
come il gruppo quoziente del gruppo dei divisori di grado zero rispetto al sottogruppo
dei divisori principali. Per una curva generica X certamente non esistono algoritmi

CAPITOLO 6. CURVE ELLITTICHE 125
migliori del BSGS, quindi tale gruppo soddisfa senz’altro l’esigenza (I). Affinchè anche
la velocità dell’elevamento a potenza sia garantita, occorre però che la curva X sia una
curva abbastanza semplice; più precisamente sia una curva di genere 1. Una curva di
genere 1 si dice anche curva ellittica.
Un confronto
Se si confronta il tempo (inteso come numero di operazioni) necessario per risolvere il
problema del logaritmo discreto nel gruppo di Picard di una curva ellittica con quello
relativo al gruppo moltiplicativo di un campo finito, i risultati sono impressionanti.
Infatti si impiega (più o meno) lo stesso tempo per risolvere il logaritmo discreto in
un gruppo moltiplicativo di un campo finito di ordine p ∼ 2 1024 , che per risolverlo in
un sottogruppo del gruppo di Picard di una curva ellittica di ordine q ∼ 2 173 (stesso
discorso per p ∼ 2 4096 , q ∼ 2 313 ). Tutto ciò motiva quanto asserito nell’introduzione a
questo capitolo.
6.2 Curve Ellittiche
Una curva ellittica X è una curva algebrica di genere g = 1. Ogni curva ellittica si può
assumere sia una curva piana non singolare di ordine tre passante per (0 : 0 : 1) (ciò è
ovvio se si considerano solo curve non singolari, non lo è invece se si considerano curve
singolari e curve di spazi di dimensione più grande di due).
Una proprietà fondamentale delle curve ellittiche è che il gruppo di Picard di una curva
ellittica X può essere descritto in termini del supporto di X .
Teorema 6.1. Sia X una curva ellittica e sia P0 un punto di X . Allora l’applicazione
Φ : X → P ic 0 (X ), P ↦→ (P − P0) + P, è biiettiva. Pertanto X eredita da P ic 0 (X ) la
struttura di gruppo abeliano.
Dimostrazione. Proviamo l’iniettività di Φ. Siano P, Q ∈ X , con P = Q, e si assuma
Φ(P ) = Φ(Q), ovvero (P − P0) − (Q − P0) ∈ P. Pertanto esiste α ∈ K(X ) tale che
(α) = (P − P0) − (Q − P0) = P − Q. Ma ciò è impossibile, dato che dal Teorema di
Riemann-Roch lo spazio L(Q) consiste solo delle funzioni costanti.

CAPITOLO 6. CURVE ELLITTICHE 126
Dimostriamo ora la suriettività. Sia D + P ∈ P ic 0 (X ). Dal Corollario 3.53 la dimensione
di (L(D + P0)) è uguale a 1, quindi esiste α ∈ K(X ) con (α) ≥ −D − P0. Inoltre
possiamo assumere che (α) = −D, perché in caso contrario D + P = P = Φ(P0).
Scriviamo D = D1 − D2 con Di ≥ 0, i = 1, 2, supp(D1) ∩ supp(D2) = ∅. Si noti che
deg(D1) = deg(D2) essendo D ∈ Div 0 (X ). Sia s il numero di zeri (e di poli) di α. Si
ha quindi
(α) = (α)0 − (α)∞ ≥ D2 − (D1 + P0) ,
e pertanto
(α)0 ≥ D2, (α)∞ ≤ D1 + P0 .
Essendo (α)0 ≥ D2 si ha s ≥ deg(D2). D’altronde (α)∞ ≤ D1 + P0 implica s ≤
deg(D1)+1 = deg(D2)+1. Se s = deg(D2), allora (α) = D2−(D1−P )−P0 per qualche
P ∈ supp(D1) e quindi D−(P −P0) è principale. Pertanto D+P = (P −P0)+P = Φ(P ).
Altrimenti, s = deg(D2) + 1 e (α) = D2 + Q − D1 − P0 per qualche Q in X . Di nuovo
D − (Q − P0) è principale e D + P = Φ(Q).
In tutto il capitolo supporremo che una curva ellittica X sia definita su un campo finito
Fq. Si noti che se la caratteristica p del campo base Fq è diversa da 2 e da 3, si può
assumere che un’equazine affine di X sia Y 2 = X 3 + AX + B con A, B ∈ Fq (si veda
[3]).
Supponendo che X passi per il punto O = (0 : 0 : 1), e ponendo P0 = O nel Teorema 6.1,
si definisce una struttura di gruppo abeliano sui punti di X . Descriviamo l’operazione
di gruppo in termini geometrici. Siano P e Q due punti di X , e sia ℓ : L = 0 la retta per
P e Q se P = Q, la retta tangente a X in P in caso contrario. Chiamiamo T il terzo
punto dell’intersezione ℓ ∩ X , e sia ℓ ′ : L ′ = 0 la retta per T e (0 : 0 : 1). Sia infine S il
terzo punto nell’intersezione ℓ ′ ∩X . Si noti che (P +Q−2O)−(S −O) = P +Q−S −O
è il divisore principale (α), dove α = L
. Questo vuol dire che (P + Q − 2O) − (S − O)
L ′
appartiene a P, ovvero che nel gruppo di Picard di X si ha
((P − O) + P) + ((Q − O) + P) = (S − O) + P .
Nella struttura di gruppo ereditata dal supporto di X si ha allora che la somma di P
e Q è proprio S.
D’ora in poi assumiamo che X abbia equazione
X 2 2X0 + a1X1X2X0 + a3X2X 2 0 = X 3 1 + a2X 2 1X0 + a4X1X 2 0 + a6X 3 0 ,

CAPITOLO 6. CURVE ELLITTICHE 127
ai ∈ Fq per i = 1, . . . , 6, e che una struttura di gruppo sia fissata su X ponendo
P0 = O = (0 : 0 : 1) (si può dimostrare che la forma scelta per l’equazione di X non
costituisce una restrizione). Inoltre poniamo x = X1
, y = X2
, per cui
X0
y 2 + a1xy + a3y = x 3 + a2x 2 + a4x + a6 . (6.2)
Nel corso del capitolo denoteremo la somma in X con il simbolo ⊕. Per P e Q in X
si noti quindi la differenza fra P ⊕ Q, che è un punto della curva, e P + Q che è un
divisore.
Esercizio 66. Si provi che l’opposto di un punto P è il terzo punto di X appartenente
alla retta passante per P e per O.
Esercizio 67. Si provi che tre punti P, Q, R di X sono allineati se e solo se
P ⊕ Q ⊕ R = O .
La somma di due punti di X si può descrivere anche in modo algebrico. Dati due
punti affini P = (xP , yP ) e Q = (xQ, yQ), cerchiamo innanzitutto le coordinate affini
del punto T = (xT , yT ). Occorrerà risolvere il sistema che descrive l’intersezione fra X
e la retta per P e Q, ovvero
y 2 + a1xy + a3y − (x 3 + a2x 2 + a4x + a6)
y − yP = yQ−yP
xQ−xP (x − xP )
Dopo aver operato l’eliminazione di y, la prima equazione resta un polinomio h(x) di
terzo grado uguagliato a zero; si noti che h ha come radici xP , xQ, xT . Pertanto
h(x)
(x − xP )(x − xQ)
è ancora un polinomio, di primo grado. Sia tale polinomio ux + v. Si noti che:
• u e v dipendono da xP , yP , xQ, yQ in modo razionale (ovvero come rapporto di
polinomi);
• xT = − v
u ;
X0

CAPITOLO 6. CURVE ELLITTICHE 128
• yT = yP + yQ−yP
xQ−xP (x − xP );
• la prima coordinata affine della somma P ⊕ Q coincide con la prima coordinata
di T essendo P ⊕ Q e T allineati con O = (0 : 0 : 1);
• la seconda coordinata affine della somma P ⊕ Q si calcola sostituendo x = xT
nell’equazione di X ; resta un polinomio in y di secondo grado; lo si divide per
y − yT e ciò che resta è un polinomio di primo grado che ha come radice proprio
la seconda coordinata della somma P ⊕ Q.
Come conseguenza di questo algoritmo di calcolo, si ha che le coordinate della somma
dipensono in modo razionale dalle coordinate degli addendi. In altri termini,
esistono polinomi g1, g2, g3, g4 tali che per due punti qualsiasi P1 = (1 : x1 :
y1), P2 = (1 : x2 : y2) ∈ X la somma P1 ⊕ P2
è il punto le cui coordinate sono
1 : g1(x1, y1, x2, y2)
g2(x1, y1, x2, y2) : g3(x1,
y1, x2, y2)
. Come caso particolare si ha la seguente
g4(x1, y1, x2, y2)
importante proposizione.
Proposizione 6.2. L’applicazione di X in sé definita da
[2] : P ↦→ P ⊕ P
si esprime come coppia di rapporti di polinomi nelle coordinate di P
Dimostrazione. Mantenendo le notazioni precedenti la proposizione, si ha che le
coordinate di P ⊕ P sono
1 : g1(x1, y1, x1, y1)
g2(x1, y1, x1, y1) : g3(x1,
y1, x1, y1)
.
g3(x1, y1, x1, y1)
Cioè definendo i polinomi hi(x, y) = gi(x, y, x, y) si ha che le coordinate di P ⊕ P sono
1 : h1(x1, y1)
h2(x1, y1) : h3(x1,
y1)
.
h4(x1, y1)
Naturalmente la Proposizione precedente si generalizza per induzione ad ogni
applicazione
[m] : X → X , P ↦→ P ⊕ P ⊕ . . . ⊕ P
m volte

CAPITOLO 6. CURVE ELLITTICHE 129
Esercizio 68. Sia X definita sul campo finito Fq. Si provi che X (Fq) è sottogruppo.
(Suggerimento: si dimostri preventivamente che se due punti P e Q sono Fq-razionali,
allora anche il terzo punto di X sulla retta per P e Q deve esserlo).
Esercizio 69. Si supponga che X (Fq) sia pari. Sia H il sottogruppo di X (Fq) di indice
2. Si dimostri che i punti del laterale di H sono i punti di un k-arco. (Suggerimento:
si tenga conto dell’Esercizio 67).
6.2.1 Isogenie
Definizione 6.3. Una isogenia di X è un morfismo ϕ : X → X tale che ϕ(O) = O.
L’insieme di tutte le isogenie di X si denota End(X ).
Esempio 6.4. Si consideri la curva ellittica X : Y 2 −X 3 +X = 0 definita su un campo
K di caratteristica diversa da 2. Sia i una radice primitiva quarta dell’unità in K. Il
morfismo definito da (1 : −x : iy) è un’isogenia.
Teorema 6.5. Ogni ϕ ∈ End(X ) è omomorfismo di gruppi.
Dimostrazione. Dimostreremo l’asserto solo nel caso in cui ϕ sia un isomorfismo (la
dimostrazione del caso generale richiede concetti di geometria algebrica che non sono
stati sviluppati nel corso).
Occorre provare che ϕ(P ⊕ R) = ϕ(P ) ⊕ ϕ(R). Ricordiamo che
• la somma P ⊕ R è l’unico punto di X tale che il divisore (P ⊕ R) + O − P − R è
principale.
Sia dunque α ∈ K(X ) tale che
(α) = (P ⊕ R) + O − P − R,
ovvero tale che gli zeri di α sono O e (P ⊕ R), mentre i suoi poli sono P e R. Dato che
ϕ è isomorfismo, ha senso considerare il pull-back di α rispetto a ϕ −1 , cioè la funzione
α ◦ ϕ −1 . Chiaramente gli zeri di α ◦ ϕ −1 sono allora ϕ(O) e ϕ(P ⊕ R), mentre i poli
sono ϕ(P ) e ϕ(R). Essendo ϕ(O) = O, si ha allora
(α ◦ ϕ −1 ) = ϕ(P ⊕ R) + O − ϕ(P ) − ϕ(R) ,

CAPITOLO 6. CURVE ELLITTICHE 130
cioè ϕ(P ⊕ R) + O − ϕ(P ) − ϕ(R) è principale. Ma questo implica che ϕ(P ⊕ R) è
proprio la sommma di ϕ(P ) e ϕ(R).
Dalla Proposizione 6.2 segue che per ogni intero m l’applicazione
è una isogenia di X .
[m] : X → X , P ↦→ P ⊕ P ⊕ . . . ⊕ P
m volte
Teorema 6.6. Per ogni m ∈ Z, m = 0, l’isogenia [m] è non costante.
Dimostrazione. Si veda [3].
In End(X ) si definisca la somma puntuale nel modo usuale: per ogni ϕ, ψ ∈ End(X )
si ponga
(ϕ ⊕ ψ)(P ) = ϕ(P ) ⊕ ψ(P ).
Si lascia per esercizio la verifica che ϕ ⊕ ψ ∈ End(X ).
Proposizione 6.7. L’insieme End(X ), rispetto alla somma puntuale e alla
composizione di applicazioni, è un anello contenente Z e privo di zero divisori.
Dimostrazione. La verifica che End(X ) è un anello è immediata. Per dimostrare la
non esistenza di zero divisori consideriamo che per il Teorema 3.71 ϕ ◦ ψ = 0 implica
che o ϕ o ψ è costante, ovvero ϕ = 0 o ψ = 0. Infine, l’applicazione Z → End(E),
m ↦→ [m] è un omomorfismo di anelli dato che [m + n] = [m] ⊕ [n] e [mn] = [m] ◦ [n].
Dal Teorema 6.6 questa applicazione è anche iniettiva.
D’ora in avanti per ϕ, ψ ∈ End(X ) scriveremo ϕψ invece di ϕ ◦ ψ, e ϕ + ψ in luogo di
ϕ ⊕ ψ.
Proposizione 6.8. Se ϕ ∈ End(X ) è separabile di grado d, allora per ogni Q ∈ X la
cardinalità dell’insieme ϕ −1 (Q) è uguale a d.
Dimostrazione. La cardinalità di ϕ −1 (Q) è costante dato che ϕ è un omomorfismo di
gruppi. Allora l’asserto segue dal Teorema 3.82.

CAPITOLO 6. CURVE ELLITTICHE 131
Esempio 6.9. Sia p > 3, e sia X : F (X, Y ) = Y 2 − (X 3 + AX + B) = 0. Calcoliamo
la cardinalità dell’insieme delle controimmagini di un punto P rispetto all’isogenia [2].
Tale cardinalità è costante e coincide con quella di Ker([2]), il nucleo di [2]. Si ha
Ker([2]) = {P ∈ X | P ⊕ P = O} .
Dalla rappresentazione geometrica dell’operazione di somma segue che P ⊕ P = O se
e solo se P è punto di molteplicità due nell’intersezione di X con la retta per P e O.
In altri termini, se la tangente a X in P è verticale. Sia P = (a, b); la tangente in P a
X è allora la retta di equazione
FX(P )(X − a) + FY (P )(Y − b) = −(3a 2 + A)(X − a) + (2b)(Y − b) = 0 ,
che è verticale se e solo se b = 0. I punti di Ker([2]) sono allora l’elemento neutro O,
e i tre punti di X appartenenti all’asse Y = 0. Vedremo che non è un caso che
#Ker([2]) = 4 .
Definizione 6.10. La mappa razionale Φ : X → P 2 ( ¯ Fq), Φ = [1, x q , y q ] si dice la
mappa di Frobenius di X .
Proposizione 6.11. La mappa di Frobenius Φ è una isogenia non separabile di X di
grado q.
Dimostrazione. Dato che X è definita su Fq, P ∈ X implica Φ(P ) ∈ X . Pertanto Φ
è un morfismo di X in X . Sia t un parametro locale di X in O, e si scriva Φ = (1 :
x q : y q ) = (t 3q : t 3q x q : t 3q y q ). Chiaramente ordO(t 3q x q ) = q e ordO(t 3q y q ) = 0. Allora
Φ(O) = (0 : 0 : 1) = O, ovvero Φ ∈ End(X ).
Per il Lemma 3.84, Φ è non separabile di grado maggiore o uguale di q. Resta da
provare che vale l’uguaglianza.
Ricordiamo che nella dimostrazione del Lemma 3.84 è già stato provato che per ogni
parametro locale t, il grado dell’estensione ¯ Fq(x q , y q )(t) : ¯ Fq(x q , y q ) è esattamente q.
Osserviamo che i punti affini di X con tangente verticale sono i punti le cui coordinate
cartesiane annullano il polinomio
∂(Y 2 + a1XY + a3Y − X 3 − a2X 2 − a4X − a6)
∂Y
= 2Y + a1X + a2.

CAPITOLO 6. CURVE ELLITTICHE 132
Supponiamo che il polinomio 2Y + a1X + a3 non sia identicamente nullo. Allora
chiaramente il numero di i punti affini di X con tangente verticale è finito. Ciò implica
che esiste una costante a per cui x − a è parametro locale in qualche punto di X , e
quindi il grado dell’estensione
¯Fq(x q , y q )(x − a) : ¯ Fq(x q , y q )
è pari a q. È di immediata verifica che ¯ Fq(x q , y q )(x − a) = ¯ Fq(x q , y q )(x). Occorre
quindi dimostrare che ¯ Fq(x q , y q )(x) coincide con ¯ Fq(x, y), ovvero che y ∈ ¯ Fq(x q , y q )(x).
Sia my il polinomio minimo di y su ¯ Fq(x q , y q )(x). Dato che ¯ Fq(x q , y q ) è contenuto
in ¯ Fq(x q , y q )(x), il polinomio my divide il polinomio minimo di y sopra ¯ Fq(x q , y q ), e
pertanto my divide f(T ) = T q − y q . Per lo stesso motivo my divide il polinomio
minimo di y su ¯ Fq(x), che è g(T ) = T 2 + (a1x + a3)T − (x 3 + a2x 2 + a4x + a6)
da (6.2). Essendo X non singolare, g(T ) ha due radici distinte, ovvero y e y +
(a1x + a3) 2 + 4(x 3 + a2x 2 + a4x + a6) per q dispari, y e y + a1x + a 3 per q pari.
D’altronde f(T ) ha solo una radice di molteplicità q. Questo implica che my ha grado
1, cioè y ∈ ¯ Fq(x q , y q )(x).
Resta da esaminare il caso in cui il polinomio 2Y + a1X + a3 sia identicamente nullo.
Questo chiaramente accade solo se a1 = a3 = 0 e la caratteristica p di Fq è uguale a
2. In tal caso tutti i punti affini di X hanno tangente verticale, per cui la retta Y = 0
non è tangente a X in nessuno dei suoi punti. Ciò implica che y è un parametro locale.
Ragionando come sopra basta quindi dimostrare che ¯ Fq(x q , y q )(y) coincide con ¯ Fq(x, y),
ovvero che x ∈ ¯ Fq(x q , y q )(y). Analogamente al caso precedente, si vede facilmente che
il polinomio minimo di x divide sia T q − x q che T 3 + a2T 2 + a4T + a6 − y 2 , e quindi
deve essere necessariamente di grado 1.
Teorema 6.12. Siano n, m ∈ Z. Allora l’isogenia [m] + [n]Φ è separabile se e solo se
la caratteristica p di Fq non divide m.
Dimostrazione. Si veda [3].
Corollario 6.13. Il numero di punti Fq-razionali di X è il grado dell’isogenia Φ − [1].
Dimostrazione. Si noti innanzitutto che X (Fq) coincide con il nucleo Ker(Φ−[1]), dato
che P ∈ X (Fq) se e solo se Φ(P ) = P . Dal Teorema 6.12 l’isogenia Φ − [1] è separabile.
Allora dalla Proposizione 6.8 la cardinalità di Ker(Φ − [1]) = (Φ − [1]) −1 (O) coincide
con il grado di Φ − [1] .

CAPITOLO 6. CURVE ELLITTICHE 133
6.2.2 Teorema di Hasse
Quello che segue è il risultato chiave per la dimostrazione del famoso Teorema di Hasse
sul numero di punti Fq-razionali di una curva ellittica.
Teorema 6.14. Sia ϕ ∈ End(X ) una isogenia non costante di grado d. Allora esiste
un’unica ˆϕ ∈ End(X ) tale che ˆϕϕ = [d].
Definizione 6.15. L’isogenia ˆϕ si dice isogenia duale di ϕ.
Proposizione 6.16. Siano ϕ, ψ ∈ End(X ) due isogenie non costanti, e sia m un
intero. Valgono le seguenti proprietà.
1) ϕ + ψ = ˆϕ + ˆ ψ;
2) ϕψ = ˆ ψ ˆϕ;
3)
[m] = [m];
4) deg([m]) = m 2 ;
5) deg( ˆϕ) = deg(ϕ);
6) ˆϕ = ϕ.
Dimostrazione. 1) Si veda [3].
2) Per definizione di isogenia duale ˆ ψ ˆϕϕψ = ˆ ψ[deg(ϕ)]ψ = [deg(ϕ)] ˆ ψψ =
[deg(ϕ)][deg(ψ)] = [deg(ϕ)deg(ψ)]. Dalla Proposizione 3.78 segue
[deg(ϕ)deg(ψ)] = [deg(ϕψ)]. Pertanto ˆ ψ ˆϕϕψ = [deg(ϕψ)], e l’asserto segue dalla
definizione di isogenia duale.
3) Per definizione ˆ [1] = [1], dato che [1] altro non è che la mappa identica su X . Da 1)
segue che
[1] + [1] + . . . + [1] = ˆ [1]+ ˆ [1]+. . .+ ˆ [1]. Si scriva [m] = [1]+[1]+. . .+[1].
Allora ˆm =
[1] + [1] + . . . + [1] = [1]+[1]+. . .+[1] = [m], e l’asserto è dimostrato.
4) Da 3) [deg([m])] = [m] ˆ
[m] = [m][m] = [m 2 ].

CAPITOLO 6. CURVE ELLITTICHE 134
5) Da 4) deg([deg(ϕ)]) = deg(ϕ) 2 . D’altronde deg([deg(ϕ)]) = deg( ˆϕϕ) per
definizione. L’asserto allora segue dalla Proposizione 3.78, dato che
deg(ϕ) 2 = deg( ˆϕϕ) = deg( ˆϕ)deg(ϕ) .
6) L’asserto segue da 5) dato che ˆϕϕ = [deg(ϕ)] =
[deg(ϕ)] = ˆϕϕ = ˆϕ ˆϕ.
Per provare il Teorema di Hasse il lemma seguente è necessario.
Lemma 6.17. Siano ϕ, ψ due isogenie non costanti di X . Allora
| deg(ψ − ϕ) − deg(ψ) − deg(ϕ) |≤ 2 deg(ϕ)deg(ψ) .
Dimostrazione. Per ogni m, n ∈ Z calcoliamo l’intero z = deg([m]ϕ − [n]ψ) −
deg([m]ϕ) − deg([n]ψ). Per definizione di isogenia duale si ha allora
[z] = [deg([m]ϕ − [n]ψ)] − [deg([m]ϕ)] − [deg([n]ψ)] =
= ([m]ϕ − [n]ψ)([m]ϕ − [n]ψ) − ([m]ϕ)([m]ϕ) − ([n]ψ)([n]ψ) .
Da 1) e 2) della Proposizione 6.16 segue
[z] = −(
[m] ˆϕ[n]ψ + [n] ˆ ψ[m]ϕ) ,
e da 3) della Proposizione 6.16 abbiamo [z] = −[m][n]( ˆϕψ + ˆ ψϕ). Essendo
−( ˆϕψ + ˆ ψϕ) = [deg(ψ − ϕ) − deg(ψ) − deg(ϕ)]
per definizione di isogenia duale, finalmente otteniamo [z] = [m][n][deg(ψ − ϕ) −
deg(ψ) − deg(ϕ)], ovvero
deg([m]ϕ − [n]ψ) − deg([m]ϕ) − deg([n]ψ) = mn(deg(ψ − ϕ) − deg(ψ) − deg(ϕ)) .
Ora, essendo deg([m]ϕ − [n]ψ) non negativo, e dato che da 2) e 4) della Proposizione
6.16 deg([m]ϕ) = m 2 deg(ϕ) e deg([n]ψ) = n 2 deg(ψ), abbiamo
mn(deg(ψ − ϕ) − deg(ψ) − deg(ϕ)) + m 2 deg(ϕ) + n 2 deg(ψ) ≥ 0 .

CAPITOLO 6. CURVE ELLITTICHE 135
Per m = −(deg(ψ −ϕ)−deg(ψ)−deg(ϕ)) e n = 2deg(ϕ), la disuguaglianza precedente
diventa
−deg(ϕ)(deg(ψ − ϕ) − deg(ψ) − deg(ϕ)) 2 + 4deg(ϕ) 2 deg(ψ) ≥ 0 ,
ovvero deg(ϕ)(−(deg(ψ − ϕ) − deg(ψ) − deg(ϕ)) 2 + 4deg(ϕ)deg(ψ)) ≥ 0. Finalmente,
essendo deg(ϕ) ≥ 0 si ha (deg(ψ −ϕ)−deg(ψ)−deg(ϕ)) 2 ≤ 4deg(ϕ)deg(ψ), e il lemma
è dimostrato.
Teorema 6.18 (Teorema di Hasse). Sia X una curva ellittica definita su Fq. Allora
| #X (Fq) − (q + 1) |≤ 2 √ q .
Dimostrazione. Sia ψ = Φ e ϕ = [1]. Dal Lemma 6.17 si ha
| deg(Φ − [1]) − deg(Φ) − deg([1]) |≤ 2 deg(Φ)deg([1]) .
Essendo deg(Φ) = q e deg([1]) = 1, segue che |deg(Φ − 1) − q − 1 |≤ 2 √ q. L’asserto
allora segue dal Corollario 6.13.
Corollario 6.19. Sia t := #X − (q + 1). Allora
Φ 2 − Φ[t] + [q] = 0 .
Dimostrazione. Notiamo innanzitutto che dalla Proposizione 6.11 e dalla definizione
di isogenia duale si ha ˆ ΦΦ = [q]. Inoltre [t] = ˆ Φ + Φ. Infatti [q] + 1 − [t] = [#X (Fq)] =
(Φ − [1])(Φ − [1]) = ˆ ΦΦ + [1] − ˆ Φ − Φ = [q] + 1 − ( ˆ Φ + Φ). Il Corollario è quindi
dimostrato, essendo 0 = (Φ) 2 − Φ( ˆ Φ + Φ) + ˆ ΦΦ = Φ 2 − Φ[t] + [q].
6.3 Weil Pairing
Sia X una curva ellittica, m ≥ 2 un intero primo con la caratteristica p del campo su
cui è stata costruita. Sia X [m] il gruppo dei punti di m-torsione di X , ovvero
X [m] = Ker([m]) = {P ∈ X | [m]P = O} .
D’ora in avanti con il simbolo intenderemo una sommatoria di punti di X . Si noti
la differenza fra le scritture

CAPITOLO 6. CURVE ELLITTICHE 136
• nP P (che rappresenta un divisore), e
• [nP ]P (che rappresenta un punto di X ).
Faremo uso del seguente risultato.
Proposizione 6.20. Sia D = nP P un divisore di X di grado 0. Allora D è
principale se e solo se [nP ]P = O.
Dimostrazione. Si osservi che, essendo deg(D) = nP = 0, si ha
D = nP P = nP P − nP O = nP (P − O).
Inoltre D è principale solo se la sua classe in P ic 0 (X ) è nulla. Pertanto D ∈ P se e
solo se
0 = [D] = [ nP (P − O)] = nP [P − O].
Ricordando che la mappa P ↦→ [P − O] è isomorfismo gruppale di (X , ⊕) in P ic 0 (X ),
si ha che
0 = nP [P − O] (in P ic 0 (X )) ⇔ O = [nP ]P (in (X , ⊕)).
Si fissi T ∈ X [m]. Consideriamo il divisore
D = mT − mO
Si osserva che [m]T ⊕ [−m]O = O; pertanto per la Proposizione precedente esiste fT
in ¯ Fq(X ) tale che
(fT ) = mT − mO.
Sia ora T ′ ∈ X tale che [m]T ′ = T (ricordiamo che [m] non essendo costante è
suriettiva). Consideriamo il divisore
D ′ =
R∈ X [m]
(T ′ ⊕ R) − R .

CAPITOLO 6. CURVE ELLITTICHE 137
Si osservi che X [m] ha cardinalità m 2 dato che m non è diviso dalla caratteristica p, e
quindi
{T ′ ⊕ R | R ∈ X [m]}
consiste delle m2 controimmagini di T mediante [m]. Pertanto
D ′ =
S −
R.
[m]S=T
Chiaramente D ′ ha grado uguale a 0. Inoltre,
(T ′ ⊕ R)
[−1]R =
R∈ X [m]
R∈ X [m]
R∈ X [m]
R∈ X [m]
T ′ = [m 2 ]T ′ = [m]([m]T ′ ) = [m]T = O.
(la prima uguaglianza segue dal fatto che [−1]R è l’opposto di R nel gruppo dei punti
di X , e pertanto R ⊕ [−1]R = O). Allora per la Proposizione 6.20 esiste gT in ¯ Fq(X )
tale che
(gT ) =
[(T ′ ⊕ R) − R]
R∈ X [m]
Proposizione 6.21. Le mappe (fT ◦ [m]) e g m T
Dimostrazione. Il divisore di g m T è
(g m T ) =
R∈X [m]
m(T ′ ⊕ R) −
hanno lo stesso divisore.
R∈X [m]
mR .
Gli zeri (risp. i poli) di fT ◦ [m] sono i punti mandati da [m] in T (risp. O), e la loro
molteplicità è m; pertanto
⎛
(fT ◦ [m]) = m ⎝
(T ′ ⊕ R) −
⎞
R⎠
.
Chiaramente i due divisori coincidono.
R∈X [m]
R∈X [m]
Dalla Proposizione appena dimostrata segue che esiste una costante non nulla λ ∈ ¯ Fq
tale the
λ(fT ◦ [m]) = g m T .

CAPITOLO 6. CURVE ELLITTICHE 138
Si consideri un qualsiasi punto S ∈ X [m]. Si ha che per ogni X ∈ X
g m T (X ⊕ S) = λ(fT ◦ [m])(X ⊕ S) = λfT ([m](X ⊕ S)) = λfT ([m]X ⊕ [m]S))
Pertanto, per ogni X ∈ X ,
In altre parole gT (X ⊕ S)
gT (X)
= λfT ([m]X ⊕ O) = λfT ([m]X) = λ(fT ◦ [m])(X) = g m T
gm T
gm T
(X ⊕ S)
= 1 .
(X)
è una radice m-esima dell’unità per ogni X ∈ X .
Definizione 6.22. Il Weil m-pairing si definisce come la funzione
em : X [m] × X [m] −→ µm
(T, S) ↦−→ gT (X ⊕ S)
gT (X)
(X) .
dove µm è il gruppo delle radici m-esime dell’unità in Fq e X un qualsiasi punto di X
per cui gT (X ⊕ S) e gT (X) esistono e non sono nulli.
Osservazione 6.23. La definizione è indipendente da X. Infatti la mappa razionale
Ψ = 1 : gT
(· ⊕ S)
: 0 ,
gT (·)
Ψ : X −→ {X2 = 0}
è una mappa razionale non suriettiva in quanto il suo codominio è dato dai soli m
punti (1 : α : 0), con α radice m-esima dell’unità; ne segue che essa risulta costante su
tutti gli elementi X ∈ X .
Il Weil m-pairing gode delle seguenti proprietà, la cui dimostrazione esula dagli scopi
di questo corso.
1. ∀ P ∈ X [m], em(P, P ) = 1.

CAPITOLO 6. CURVE ELLITTICHE 139
2. ∀ P1, P2 ∈ X [m], em(P1, P2) = em(P2, P1) −1 .
3. ∀ P1, P2 e P3 ∈ X [m], em(P1 ⊕ P2, P3) = em(P1, P3)em(P2, P3) e
em(P1, P2 ⊕ P3) = em(P1, P2)em(P1, P3).
4. Se P1 ∈ X [m], allora em(P1, O) = 1. Se em(P1, P2) = 1 ∀ P2 ∈ X [m], allora
P1 = O.
5. Se X [m] ⊆ X (F q k) per un certo intero k, allora em(P1, P2) ∈ F q k, ∀ P1, P2 ∈
X [m].
6.4 L’attacco MOV al Problema del Logaritmo
Discreto
Sia X una curva ellittica costruita sul campo finito Fq. Fissato P ∈ X (Fq), sia Q il
punto
Q = [m]P.
Il Problema del Logaritmo discreto in una curva ellittica è il problema di conoscere m
essendo noti P e Q.
L’attacco MOV rappresenta un algoritmo di risoluzione del problema del logaritmo
discreto su curve ellittiche. Si applica a classi particolari di curve ellittiche, e ovviamente
tali classi non dovrannno essere prese in considerazione per la costruzione di
crittosistemi.
Analizzeremo quello che gli stessi ideatori, Alfred J.Menezes, Tatsuaki Okamoto e Scott
A.Vanstone, hanno descritto, sottolineando, tuttavia, che, attualmente, esistono delle
rivisitazioni dell’algoritmo iniziale.
Teorema 6.24. Sia X una curva ellittica sul campo Fq. Esistono due interi n1 e n2
tali che
X (Fq) Zn1 ⊗ Zn2

CAPITOLO 6. CURVE ELLITTICHE 140
con n2 che divide n1 e (q − 1). In tal caso si dice che la curva è di tipo (n1, n2).
Proposizione 6.25. L’ordine massimo di un punto razionale di una curva X di tipo
(n1, n2) è n1.
Dimostrazione. L’asserto segue dalle proprietà elementari del prodotto diretto di
gruppi finiti.
Lemma 6.26. Sia X una curva ellittica, e sia m un intero primo con q. Sia P ∈ X [m]
un punto di ordine m. Allora, per ogni P1, P2 ∈ X [m], P1 e P2 appartengono allo stesso
laterale rispetto al sottogruppo < P > se e solo se em(P, P1) = em(P, P2).
Dimostrazione. L’applicazione em(P, ·) : X [m] → µm è omomorfismo di gruppi dalla
proprietà (3) del Weil Pairing. Si può dimostrare che il nucleo di tale omomorfismo è
proprio il sottogruppo di X [m] generato da P (una delle due inclusioni segue facilmente
da (1) e (3)). L’asserto quindi segue dalle proprietà elementari degli omomorfismi di
gruppi.
Sia data una curva ellittica di tipo (n1, n2). Si calcoli la cardinalità #X (Fq) e si
supponga che sia prima con q. Questo ci assicura che n1 e q sono primi tra loro.
Sia P ∈ X (Fq) un punto di ordine m, dove m è un intero noto che divide n1. Si ha
ovviamente che anche m è primo con q, e quindi con p, la caratteristica di Fq. Ha senso,
quindi, definire il Weil Pairing em. Dato un punto R di X cerchiamo di determinare,
se esiste, l’unico intero l, 0 ≤ l ≤ (m − 1), tale che R = [l]P . L’esistenza di l si può
stabilire nel seguente modo. Dal Lemma 6.26 deduciamo che
R ∈< P > ⇐⇒ mR = O (R ∈ X [m]) e em(P, R) = 1.
Risulta che le due condizioni sono controllabili in tempo polinomiale. Vediamo ora
come determinare l utilizzando il Weil Pairing. Sia k il più piccolo intero tale che
X [m] ⊆ X (Fqk). Proviamo che un tale intero esiste: per ogni punto Q della curva
esiste un intero iQ per cui Q è F i
q Q-razionale; ogni comune multiplo s degli interi iQ,
con Q che varia negli m2 punti di X [m], allora è tale che X [m] ⊆ X (Fqs). Dalle
proprietà del Weil Pairing segue che em(P1, P2) ∈ Fqk per ogni P1, P2 ∈ X [m].
Teorema 6.27. Sia P ∈ X [m], e sia ω una radice primitiva m-esima dell’unità in ¯ Fq.
Allora esiste Q ∈ X [m] tale che em(P, Q) = ω.

CAPITOLO 6. CURVE ELLITTICHE 141
Dimostrazione. Per ogni punto Q di n-torsione em(P, Q) ∈ µm. L’ordine del sottogruppo
< P > in X [m] è m, ovvero esistono m laterali di < P > in X [m]. Ricordiamo che
Q e Q ′ appartengono allo stesso laterale se e solo se em(P, Q) = em(P, Q ′ ). Otteniamo
pertanto m valori distinti; cioè l’insieme {em(P, Qi)} esaurisce tutte le radici m-esime
dell’unità, da cui l’asserto.
Teorema 6.28. Sia Q ∈ X [m] tale che em(P, Q) è radice primitiva m-ma dell’unità.
Allora l’applicazione
f : < P > −→ µm,
R ↦−→ em(R, Q)
è un isomorfismo di gruppi.
Dimostrazione. L’applicazione è iniettiva. Sia em(R1, Q) = em(R2, Q), cioè
em(l1P, Q) = em(l2P, Q); per le proprietà del Weil Pairing, possiamo scrivere ω l1 =
em(l1P, Q) e ω l2 = em(l2P, Q), quindi l’iniettività è banalmente provata. La suriettività
segue dal fatto che i due gruppi hanno la stessa cardinalità.
Mediante tale isomorfismo, il problema viene spostato nel sottogruppo delle radici dell’unità
del gruppo moltiplicativo di un’estensione finita del campo Fq. Se tale estensione
ha grado non troppo alto, è allora possibile risolvere il problema del logaritmo discreto
in X [m] in tempi paragonabili a quelli necessari in Fq. Riassumiamo quì di seguito i
passaggi dell’algoritmo MOV.
Sia P un punto di ordine m, R ∈< P > tale che
R = [l]P.
1. Determinare l’intero k tale che X [m] ⊆ X (F q k). Tale intero corrisponde al
minimo k per cui m divide q k − 1.
2. Trovare Q ∈ X [m] tale che em(P, Q) è radice primitiva m-ma dell’unità; sia
α = em(P, Q).
3. Calcolare β = em(R, Q) = em([l]P, Q) = α l .
4. Calcolare il logaritmo di β in base α in µm.

CAPITOLO 6. CURVE ELLITTICHE 142
Classe t Struttura del gruppo n1 k Tipo della curva
(1) 0 ciclico q + 1 2 (q + 1, q + 1)
(2)
(3)
0
±
Z(q+1)/2 ⊗ Z2 (q + 1)/2 2 (q + 1, q + 1)
√ q ciclico q + 1 ∓ √ q 3 ( q3 ± 1, q3 (4) ±
± 1)
√ 2q ciclico q + 1 ∓ √ 2q 4 (q2 + 1, q2 (5) ±
+ 1)
√ 3q ciclico q + 1 ∓ √ 3q 6 (q3 + 1, q3 (6) ±2
+ 1)
√ q Z√ q∓1 ⊗ Z√ q∓1
√
q ∓ 1 1
√ √
( q ∓ 1, q ∓ 1)
Tabella 6.1: Caratteristiche delle curve supersingolari.
L’aspetto fondamentale di questo attacco è che, se k è troppo grande, la riduzione
sopra analizzata richiede un tempo esponenziale di risoluzione, quindi diventa un’azione
improponibile. Questa è la proprietà che si cerca di ottenere quando si sceglie una curva
ellittica con lo scopo di utilizzarla in crittografia: la sicurezza del crittosistema, basata
sul problema del logaritmo discreto su curve ellittiche, è garantita da un elevato valore
dell’intero k. Per tale motivo che le curve supersingolari, in cui la caratteristica p del
campo divide la traccia di Frobenius, non sono utilizzate in crittografia. Studi compiuti
su tali strutture, hanno portato ad una classificazione di tali curve in sole sei classi.
1. t = 0 e X (Fq) Zq+1.
2. t = 0 e X (Fq) Z(q+1)/2 ⊗ Z2.
3. t 2 = q.
4. t 2 = 2q.
5. t 2 = 3q.
6. t 2 = 4q.
Per ciascuna di tali classi, si è calcolato l’intero k e si è visto che il valore massimo
che si può ottenere è 6. Questo ci dice che le curve supersingolari sono assai lontane
dai livelli di sicurezza garantiti da una “buona” curva ellittica. Riassumiamo tutti i
risultati sopra citati nella Tabella 6.1.

Capitolo 7
Message Authentication Codes
7.1 Introduzione
In crittografia un Message Authentication Code (MAC) è un piccolo blocco di dati
utilizzato per autenticare un messaggio digitale. Un algoritmo MAC accetta in ingresso
una chiave segreta ed un messaggio da autenticare di lunghezza arbitraria, e restituisce
un MAC (alle volte chiamato anche tag). Il valore MAC protegge sia l’integrità dei
dati del messaggio sia la sua autenticità permettendo al destinatario dello stesso (che
deve anch’egli possedere la chiave segreta) di rilevare qualsiasi modifica al messaggio.
I MAC differiscono dalle firme digitali in quanto sono sia generati che verificati utilizzando
la stessa chiave segreta. Questo implica che il mittente ed il destinatario del
messaggio devono scambiarsi la chiave prima di iniziare le comunicazioni, come nel caso
della crittografia simmetrica. Per questa ragione i MAC non forniscono la proprietà del
non ripudio offerta dalle firme digitali: qualunque utente che può verificare un MAC è
anche capace di generare MAC per altri messaggi. Invece una firma digitale è generata
utilizzando la chiave privata di una coppia di chiavi (crittografia asimmetrica).
Il mittente deve inviare un messaggio ad un destinatario. Prima di effettuare l’operazione
si accorda col destinatario su una chiave segreta. Stabilita la chiave, il mittente
utilizza una funzione di MAC (MAC Algorithm) per calcolare il MAC del messaggio
ed infine invia entrambi al destinatario. Questi calcola il MAC del messaggio ricevuto
143

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 144
e poi lo confronta con il MAC allegato al messaggio stesso: se coincidono, il messaggio
è integro, altrimenti qualcosa è andato storto.
La formalizzazione matematica di questa situazione è molto semplice: un sistema MAC
è una quaterna (X , K, Y, E) dove:
• X è l’insieme dei possibili messaggi;
• Y è l’insieme dei possibili tag;
• K è l’insieme delle possibili chiavi;
• E è una legge che associa ad ogni chiave K ∈ K una funzione hK : X → Y.
Mittente e destinatario si accordano segretamente su una chiave K e il tag associato
al messaggio x ∈ X sarà il valore di hK(x) ∈ Y.
Poniamo
#X = n, #Y = m, #K = b.
La sicurezza di un sistema MAC si valuta come capacità di resistere a due tipi di
attacchi: impersonation e substitution. Si ha impersonation quando un terzo soggetto
riesce a individuare il tag hK(x) di un messaggio x senza avere nessuna informazione
sulla chiave K. Si ha substitution quando un terzo soggetto riesce a individuare il tag
hK(x ′ ) di un messaggio x ′ a partire dalla sola conoscenza della tag hk(x) di un altro
messaggio x.
Valutiamo quindi la massima probabilità p0 di successo di un attacco di tipo
impersonation, e quella p1 di successo di un attacco di tipo substitution.
Se il terzo soggetto invia il messaggio x e una tag y, la probabilità che la tag venga
accettata dal destinatario è uguale alla probabilità che la chiave K concordata sia tale
che y = hK(x), ovvero
#{K ∈ K | y = hK(x)}
#K
p0 = max
x∈X ,y∈Y
= #{K ∈ K | y = hK(x)}
b
Naturalmente tale probabilità varia al variare di x e y. Si ha quindi che
#{K ∈ K | y = hK(x)}
.
b

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 145
Lemma 7.1. Si ha p0 ≥ 1
m
per ogni x ∈ X e per ogni y ∈ Y.
e l’uguaglianza si verifica solo se
#{K ∈ K | y = hK(x)} = b
m
Dimostrazione. Si ha chiaramente
#{K ∈ K | y = hK(x)} = #K = b (7.1)
y∈Y
Essendo gli addendi in numero di m si ha chiaramente che almeno un addendo è
maggiore o uguale di b/m, e quindi per almeno una coppia (x, y) la probabilità
#{K ∈ K | y = hK(x)}
#K
#{K ∈ K | y = hK(x)}
= .
b
è maggiore o uguale di 1
m . Quindi p0 ≥ 1 . Se vale l’uguaglianza vuol dire che in nessun
m
caso un addendo della (7.1) è maggiore di b/m, da cui facilmente segue l’asserto.
Occupiamoci adesso del valore di p1. Supponiamo che il terzo soggetto sappia che la
chiave K è tale che hK(x) = y. Allora il suo attacco substitution sarà costituito da una
coppia (x ′ , y ′ ) tale che y ′ = hK ′(x′ ) per qualche K ′ tale che y = hK ′(x). La probabilità
di successo di tale attacco dipenderà da x, y, x ′ , y ′ e precisamente sarà data da
#{K ′ ∈ K | y ′ = hK ′(x′ ), y = hK ′(x)}
#{K ′ ∈ K | y = hK ′(x)}
.
Il valore di p1 sarà quindi il massimo di tale valore, al variare di x, x ′ , y, y ′ . Il seguente
risultato segue immediatamente dal Lemma 7.1.
Lemma 7.2. Se p0 = 1
m
p1 = max
x,x ′ ∈X ,y,y ′ ∈Y,x=x ′
, allora
′ ′ #{K ∈ K | y = hK ′(x′ ), y = hK ′(x)}
.
Nel caso in cui p0 = 1/m e p1 ≤ ɛ, la quaterna (X , Y, K, E) viene detta ɛ-Almost
Strongly Universal (o brevemente ɛ-ASU). In altre parole, (X , Y, K, E) è ɛ-ASU se si
verificano le seguenti due condizioni:
b/m

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 146
(A)
(B)
#{K ∈ K | y = hK(x)} = b
m
per ogni x ∈ X e per ogni y ∈ Y.
#{K ′ ∈ K | y ′ = hK ′(x′ b
), y = hK ′(x)} ≤ ɛ
m
per ogni x, x ′ ∈ X , x = x ′ e per ogni y, y ′ ∈ Y.
Proposizione 7.3. Per ogni una quaterna ɛ-ASU si ha ɛ ≥ 1
m
e l’uguaglianza vale se
e solo se #{K ′ ∈ K | y ′ = hK ′(x′ b
), y = hK ′(x)} = m2 per ogni x, x ′ ∈ X , y, y ′ ∈ Y,
x = x ′ .
Dimostrazione. Fissati x e x ′ si ha
#{K ′ ∈ K | y ′ = hK ′(x′ ), y = hK ′(x)} = b.
y,y ′ ∈Y
Pertanto almeno un addendo vale almeno b
m 2 . Questo prova che ɛ ≥ 1
m
. Se vale ɛ = 1
m
allora in nessun caso un addendo supera b
m 2 , e di conseguenza tutti gli addendi sono
uguali a b
m 2 .
Al fine di ottenere un sistema utile nella pratica, occorre limitare la quantità di tempo
e di spazio richiesta dall’autenticazione. Se per esempio avessimo b = 2 100 e m = 2 40 ,
allora ogni tag consisterebbe di 40 bit e l’informazione sulla chiave (che deve essere
trasmessa preventivamente in un canale segreto) sarebbe una stringa di 100 bit. Non
avrebbe senso usare un tale sistema per esempio nel caso in cui n fosse 2 100 : non ci si
può permettere di spendere metà del tempo di trasmissione per scopi di autenticazione.
Se consideriamo il numero di messaggi e i livelli di sicurezza richiesti (ovvero i parametri
p0, p1 e n) come dati, allora il nostro scopo diventa costruire sistemi MAC dove sia b
che m sono più piccoli possibile. Osserviamo anche che a parità di p0, p1, b e m sono
preferibili i sistemi MAC con n grande.
Riportiamo senza dimostrazione il seguente teorema, dovuto a Bose e Bush.
Teorema 7.4. Sia (X , Y, K, E) una quaterna ɛ-ASU con ɛ = 1/m. Allora
b ≥ n(m − 1) + 1.

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 147
In virtù di tale teorema, possiamo affermare che sistemi MAC ottimali dal punto di
vista della sicurezza sono praticamente irrealizzabili.
7.2 ɛ-ASU da curve algebriche, I
Sia X una curva algebrica definita su Fq e di genere g. Sia T un sottoinsieme di X (Fq).
Sia inoltre D un divisore effettivo Fq-razionale tale che nessun punto di T appartenga
al supporto di D. Infine, si scelga un punto R di T e si ponga G = D − R.
Lemma 7.5. Lo spazio vettoriale LFq(D) è isomorfo alla somma diretta di Fq e LFq(G).
Precisamente si ha
LFq(D) = {α + f | f ∈ LFq(G), α ∈ Fq}.
Dimostrazione. Sia ϕ : LFq(D) → Fq l’applicazione che associa ad una funzione f il
valore f(R). Si noti che tale applicazione è ben definita dato che f ∈ L(D) implica
vR(f) ≥ 0. Inoltre ϕ è banalmente lineare. Il nucleo di ϕ consiste di quelle funzioni
tali che vR(f) ≥ −(−1), da cui segue che Ker(ϕ) = LFq(G). Visto che il nucleo ha
codimensione minore o uguale di 1, e tenuto conto del fatto che le costanti appartengono
a L(D) ma non al nucleo, segue immediatamente l’asserto.
Si consideri la quaterna (X , Y, K, E) dove:
• X = LFq(G);
• Y = Fq;
• K = {(P, α) | P ∈ T, α ∈ Fq};
• E = {hK | K ∈ K} dove h(P,α)(f) = f(P ) + α.
Lemma 7.6. Se deg(D) ≥ 2g + 1, allora le funzioni di E sono a due a due distinte.
Dimostrazione. Siano (P, α) e (Q, β) tali che h(P,α) = h(Q,β), ovvero per ogni f ∈ LFq(G)
si ha
f(P ) + α = f(Q) + β.

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 148
Ponendo f = 0 si ha immediatamente che α = β, e quindi f(P ) = f(Q) per ogni
f ∈ LFq(G). Dal Lemma precedente allora si ha f(P ) = f(Q) per ogni f ∈ LFq(D).
Siccome deg(D − P ) > deg(D − P − Q) ≥ 2g − 1, dal Teorema di Riemann-Roch segue
che
ℓ(D − P ) = deg(D) − g
ℓ(D − P − Q) = deg(D) − g − 1
Pertanto esiste una funzione u ∈ LFq(D − P ) \ LFq(D − P − Q). Se P è diverso da Q,
allora deve valere u(P ) = 0 e u(Q) = 0, che è una contraddizione. Pertanto P = Q.
Teorema 7.7. Se deg(D) ≥ 2g + 1 la quaterna (X , Y, K, E) è una ɛ-ASU con
n = q deg(D)−g , m = q, b = q#T, ɛ = deg(D)
#T .
Dimostrazione. La cardinalità di X è pari alla cardinalità di LFq(G). Essendo LFq(G)
uno spazio vettoriale su Fq di dimensione ℓ(G) = ℓ(D) − 1, dal Teorema di Riemann-
Roch segue n = q deg(D)−g . Le affermazioni su m e b sono banali. Restano quindi da
dimostrare le proprietà (A) e (B) per ɛ = deg(D)/#T . Contiamo innanzitutto, fissati
x ∈ LFq(G) e y ∈ Fq, il numero di elementi nell’insieme
{(P, α) | y = x(P ) + α}
È evidente che per ogni possibile scelta di P esiste un unico valore di α per cui α =
x(P ) − y. Pertanto la cardinalità dell’insieme è #T , che coincide con b/m. Questo
dimostra (A).
Fissiamo adesso x, x ′ ∈ LFq(G) e y, y ′ ∈ Fq, supponendo x = x ′ . Consideriamo l’insieme
{(P, α) | y ′ = x ′ (P ) + α, y = x(P ) + α}.
Osserviamo che per ogni fissato P al massimo c’è una coppia (P, α) nell’insieme. Questo
accade precisamente quando y ′ − y = (x ′ − x)(P ), ovvero quando P è uno zero della
funzione razionale x ′ − x − (y ′ − y) ∈ LFq(D). Essendo D un divisore effettivo, ogni
funzione in L(D) ha al massimo deg(D) poli e quindi deg(D) zeri. Questo dimostra
che la cardinalità dell’insieme è al massimo deg(D). Questo dimostra (B).

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 149
7.3 ɛ-ASU da curve algebriche, II
In questa sezione vedremo come i codici lineari, e in particolare i codici di Goppa,
possano essere utili per la costruzione di efficienti sistemi MAC.
Introduciamo innanzitutto il concetto di composizione di due sistemi MAC. Siano
M1 = (X1, Y1, K1, E1) e M2 = (X2, Y2, K2, E2) due sistemi MAC. Supponiamo che
X2 = Y1. Allora è possibile definire la composizione M1 ◦ M2 come la quaterna
(X , Y, K, E) dove
• X = X1,
• Y = Y2,
• K = K1 × K2,
• E consiste delle funzioni h(K1,K2) : X → Y definite da
h(K1,K2)(x) = (hK2 ◦ hK1)(x).
Vediamo ora di stabilire come i parametri di M1 ◦ M2 dipendono da quelli di M1 e
di M2. A tale scopo è utile introdurre una nuova nozione. La quaterna (X , Y, K, E)
viene detta ɛ-Almost Universal (o brevemente ɛ-AU) se
(C)
per ogni x, x ′ ∈ X , x = x ′ .
#{K ∈ K | hK(x) = hK(x ′ )} ≤ ɛb
Esercizio 70. Provare che una quaterna ɛ-ASU è in particoalre ɛ-AU. Suggerimento:
#{K ∈ K | hK(x) = hK(x ′ )} =
#{K ∈ K | hK(x) = hK(x ′ ) = y}.
y∈Y
Vale questo importante risultato, dovuto a Stinson.
Teorema 7.8. Siano M1 = (X1, Y1, K1, E1) e M2 = (X2, Y2, K2, E2) due sistemi MAC
con X2 = Y1. Se M1 è ɛ1-AU e M2 è ɛ2-ASU, allora la composizione M2 ◦ M1 è
ɛ-ASU con
ɛ ≤ ɛ1 + ɛ2 − ɛ1ɛ2

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 150
Il senso del precedente teorema è quello di ridurre sensibilmente il numero di chiavi e
di tag limitando in minima parte la sicurezza. Per esempio, grazie al Teorema 7.8 è
possibile costruire un sistema MAC ɛ-ASU con
n = 2 217
, m = 2 20 , b = 2 84 , ɛ = 1
219 Se avessimo voluto un sistema MAC ɛ-ASU con n = 2217, m = 220 , ɛ = 1
220 (ovvero
il minimo valore teorico) allora, in conseguenza del Teorema di Bose-Bush, avremmo
avuto bisogno di almeno b ≥ 2217 chiavi.
Citiamo il seguente corollario del Teorema di Stinson che useremo nel seguito.
Teorema 7.9. Sia q una potenza di un primo, m intero positivo, i intero positivo. Se
1
m
qm , qm+i
, M ≤ Nm,i,
allora
mA
2
qm , qm
, M ≤ Nm,i · q 2m+i
Dimostrazione. Utilizziamo il teorema di Stinson tenendo conto che
mA( 1
q m , q m , q m+i ) ≤ q 2m+i (questo è dimostrato ad esempio nel libro di Bierbrauer).
Il nostro obiettivo sarà quindi quello di trovare stime sul valore di m( qj
q k , q k , M) con
j ≤ k.
Studiamo ore le proprietà delle quaterne di tipo ɛ-AU. Tali oggetti sono strettamente
collegati ai codici correttori di errore.
Proposizione 7.10. Si consideri una quaterna M = (X , Y, K, E) e si fissi un ordine
per l’insieme delle chiavi K. Allora M è ɛ-AU se e soltanto se i vettori
(hK1(x), hK2(x), . . . , hKb (x)) (7.2)
formano un codice con alfabeto Y di lunghezza b, cardinalità n e minima distanza d
≥ 1 − ɛ.
con d
b

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 151
Dimostrazione. Sia C il codice le cui parole sono i vettori (7.2). Le affermazioni su
lunghezza e cardinalità sono ovvie. La distanza minima di tale codice è data da
min
x,x ′ ∈X ,x=x ′ {#{K ∈ K | hK(x) = hK(x ′ )}} = min
x,x ′ ∈X ,x=x ′ {b − #{K ∈ K | hK(x) = hK(x ′ )}} ,
e quindi
d(C) = b − max
x,x ′ ∈X ,x=x ′ {#{K ∈ K | hK(x) = hK(x ′ )}) ≥ b − ɛb = b(1 − ɛ)
Se si volesse impiegare un codice C come MAC ɛ-AU come M1 nella costruzione
del Teorema 7.8, quali proprietà è opportuno che abbia? Supponiamo di aver fissato
M2. Allora l’alfabeto di C è fissato. Nella composizione M2 ◦ M1 si ha che p0 e #Y
dipendono solo da M2. Fissare p1 significa allora fissare il rapporto fra distanza minima
e lunghezza di C. Fissare X significa fissare la cardinalità del codice. La cardinalità di
K è invece direttamente proporzionale alla lunghezza di C, che è opportuno sia la più
piccola possibile.
Ci limiteremo d’ora in avanti ai codici lineari. Definiamo il seguente parametro
m(ɛ, q, M) = min
n | esiste [n, k, d]q codice con d
n
≥ 1 − ɛ, M = qk
Il seguente lemma può essere utile nel caso si vogliano considerare valori di q grandi.
Lemma 7.11. Per ogni intero i ≥ 1,
m(ɛ, q i , M) ≤ m(ɛ, q, M).
Dimostrazione. Sia C un [n, k, d]q codice con d
n ≥ 1 − ɛ, M = qk . Sia B una base di C.
Immergiamo B in Fn qi, e poniamo C ′ uguale al sottospazio di Fn qi generato dai vettori
di B. Allora chiaramente C ′ ha una stessa matrice generatrice di C, e quindi C ′ e C
hanno uguale lunghezza, uguale dimensione e uguale distanza minima.
Lemma 7.12. Sia k1 ≥ 1. Allora
m(ɛ1 + ɛ2, q, q kk1 ) ≤ m(ɛ2, q, q k1 ) · m(ɛ1, q k1 , q k )
.

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 152
Dimostrazione. Sia C1 un [n1, k, d1] qk1 codice con d1
n1 ≥ 1 − ɛ1, e sia C2 un [n2, k1, d2]q
codice con d2
n2 ≥ 1 − ɛ2. Si fissi un isomorfismo lineare α di Fqk1 in C2 ⊆ Fn2 q . In ogni
parola di C1 sostituiamo un elemento x ∈ Fqk1 con il vettore α(x). In questo modo
otteniamo un Fq-sottospazio vettoriale C3 di Fn1n2 q . La dimensione di C3 è kk1, dato che
il numero di parole è lo stesso di C1, ovvero qkk1 . É facile anche concludere che il peso
di una parola di C3 è sempre maggiore o uguale di d1d2. Quindi C3 è un [n1n2, kk1, d]q
codice con d ≥ d1d2, il cui rapporto
n1n2
d
n1 n2
≥
d1 d2
Lemma 7.13. Si ha
ovvero
≥ (1 − ɛ1)(1 − ɛ2) = 1 + ɛ1ɛ2 − (ɛ1 + ɛ2) ≥ 1 − (ɛ1 + ɛ2).
m(ɛ, q, M) · q m(ɛ,q,M) ≥ M
ɛ ,
m(ɛ, q, M) · log q m(ɛ, q, M) − log q M ≥ − log q ɛ.
Dimostrazione. Da M ≤ q n e d ≤ n segue M
n−d ≤ qn , che è equivalente a nq n ≥ M
ɛ .
Il lemma precedente ci dice in qualche modo che fissati q ed ɛ un parametro per la
bontà di un codice è dato da
Γ = n log q n − k;
è opportuno che tale parametro sia il più piccolo possibile (fissati q ed ɛ).
Se consideriamo il codice [q, 2, q − 1]q di Reed-Solomon, abbiamo che d
n
quindi
m( 1
q , q, q2 ) ≤ q.
Applicando il Lemma 7.11 deduciamo inoltre che
m( i
q , q, q2i ) ≤ q i .
Mostriamo ora come migliorare queste stime utilizzando i codici di Goppa.
1 ≥ 1 − , e q

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 153
Teorema 7.14. Sia X una curva algebrica definita su Fq, e sia P0 un suo punto
Fq-razionale. Sia
H(P0) = {0 = ρ1 < ρ2 < . . .}
il semigruppo di Weierstrass di X in P0. Siano P1, . . . , Pn i punti razionali di X diversi
da P0, e sia
D = P1 + P2 + . . . + Pn.
Se ρℓ < n, allora
ρℓ
m , q, qℓ ≤ n.
n
In particolare, se n − g > ℓ > g allora
ℓ + g
m , q, qℓ ≤ n.
n
Dimostrazione. Si consideri il codice di Goppa C = CD,G con G = ρℓP0. La dimensione
di L(G) è chiaramente uguale a ℓ. Essendo ρℓ < n si ha quindi che la dimensione di C
è uguale a ℓ. La lunghezza di C è n. La distanza minima è almeno n − ρℓ, pertanto
1 − d
n
≥ ρℓ
n .
Il g-mo elemento del semigruppo di Weierstrass in un punto è sempre 2g, e tutti gli
interi maggiori o uguali a 2g appartengono al semigruppo. Pertanto, se ℓ > g allora
ρℓ = ℓ + g.
7.3.1 ɛ-AU dalla curva Hermitiana
Sia q = q 2 0. Allora la curva hermitiana di equazione
x q0 + x = y q0+1
ha genere q0(q0−1)
, q 2
3 0+1 punti razionali, ed inoltre per un qualunque suo punto razionale
P0 si ha H(P0) =< q0, q0 + 1 >.
Lemma 7.15. Sia ρℓ l’ℓ-mo elemento del semigruppo generato dagli interi q0 e q0 + 1.
(i) Sia w intero positivo tale che w ≤ q0 − 1. Allora
w + 1
wq0 = ρℓ con ℓ = + 1
2

CAPITOLO 7. MESSAGE AUTHENTICATION CODES 154
(ii) Sia w intero positivo tale che w > q0 − 1. Allora
wq0 = ρℓ con ℓ = wq0 − q0(q0 − 1)
2
Dimostrazione. (i) Si è già dimostrato che gli elementi di < q0, q0 + 1 > minori o
uguali di wq0 sono gli interi
iq0 + j(q0 + 1) ≤ wq0, i ≥ 0, 0 ≤ j ≤ q0 − 1.
Equivalentemente, sostituendo i + j con k e tenendo conto che w < q0 − 1, tali
interi sono precisamente
kq0 + j ≤ wq0, 0 ≤ j ≤ k ≤ q0 − 1.
Il loro numero è evidentemente
w + 1
1 + 2 + . . . + k + . . . + w + 1 = + 1
2
(ii) Si ha wq0 > 2g. Pertanto wq0 = ρwq0−g
Pertanto si ha il seguente teorema, corollario del Teorema 7.14.
Teorema 7.16. Se q è un quadrato e w < q, allora
m
Ponendo q = ¯q m+i e w = ¯q i , si ha
m
w
, q, q(w+1 2 )+1
q
1
¯q m , ¯qm+i , ¯q (m+i)
1+ ¯qi (¯q i +1)
2
≤ q 3
2 .
e quindi, in virtù del Teorema 7.9, il seguente risultato.
≤ ¯q 3m+3i
2
Teorema 7.17. Per ogni coppia di interi positivi i e m si ha
mA
2
¯q m , ¯qm , ¯q (m+i)
1+ ¯qi (¯q i +1)
2
≤ ¯q 7m+5i
2

Bibliografia
[1] I. Blake, G. Seroussi and N. Smart, Elliptic Curves in Cryptography, Cambridge
University Press, Cambridge, 1999.
[2] J.W.P. Hirschfeld, Projective Geometries over Finite Fields, Clarendon Press,
Oxford, 1998.
[3] J.H. Silverman, The Arithmetic of Elliptic Curves, Springer-Verlag, New-York
Berlin Heidelberg Tokio, 1985.
[4] M.A. Tsfasman and S.G. Vladut, Algebraic-Geometric Codes, Kluwer,
Amsterdam, 1991.
155

Indice
1 Nozioni Preliminari 1
1.1 Campi Finiti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1.1 Esistenza e unicità . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1.2 Il gruppo moltiplicativo . . . . . . . . . . . . . . . . . . . . . . 6
1.1.3 Sottocampi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.4 Automorfismi di un campo finito . . . . . . . . . . . . . . . . . 9
1.2 Spazi proiettivi sopra un campo . . . . . . . . . . . . . . . . . . . . . . 9
1.2.1 Lo spazio P G(r, q) . . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Codici Lineari 13
2.1 Codici e loro parametri . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2 Equivalenze e automorfismi . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3 Codici e sistemi proiettivi . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.4 Limitazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.4.1 Disuguaglianza di Singleton . . . . . . . . . . . . . . . . . . . . 22
2.4.2 Lemma di Impoverimento . . . . . . . . . . . . . . . . . . . . . 23
2.4.3 Disuguaglianza di Hamming . . . . . . . . . . . . . . . . . . . . 25
2.4.4 Disuguaglianza di Griesmer . . . . . . . . . . . . . . . . . . . . 27
2.4.5 Disuguaglianza di Plotkin . . . . . . . . . . . . . . . . . . . . . 30
156

INDICE 157
2.4.6 Disuguaglianza di Gilbert-Varshamov . . . . . . . . . . . . . . . 32
2.5 Problemi asintotici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.6 Codici Reed-Solomon . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3 Curve algebriche piane 39
3.1 Definizioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2 Punti semplici e singolari . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.3 Risultante di due polinomi . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4 Intersezione di due curve . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.5 Il campo delle funzioni razionali . . . . . . . . . . . . . . . . . . . . . . 50
3.6 Valutazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.7 Divisori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.7.1 Il Teorema di Riemann-Roch . . . . . . . . . . . . . . . . . . . . 63
3.7.2 Divisori one-point . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.7.3 La curva Hermitiana . . . . . . . . . . . . . . . . . . . . . . . . 67
3.8 Morfismi di curve algebriche . . . . . . . . . . . . . . . . . . . . . . . . 69
3.9 Curve definite su campi finiti . . . . . . . . . . . . . . . . . . . . . . . 75
3.10 Il gruppo di Picard di una curva algebrica piana . . . . . . . . . . . . . 77
4 Codici Algebrico-Geometrici 78
4.1 Costruzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
4.2 Codici BCH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.3 Estensione ai punti del supporto di G . . . . . . . . . . . . . . . . . . . 84
4.4 Codici di Goppa duali . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.5 Stime sulla distanza minima di Codici di Goppa duali e Codici di Goppa
modificati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.5.1 Codici di Goppa modificati . . . . . . . . . . . . . . . . . . . . . 91
4.6 Codici buoni dalla Geometria Algebrica . . . . . . . . . . . . . . . . . . 92

INDICE 158
4.7 Codici Hermitiani . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5 Codici MDS e Archi 97
5.1 Codici MDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
5.2 Codici MDS di dimensione 3: gli n-archi di P G(2, q) . . . . . . . . . . . 98
5.2.1 Il Teorema di Menelaus . . . . . . . . . . . . . . . . . . . . . . . 105
5.2.2 Curve e inviluppi . . . . . . . . . . . . . . . . . . . . . . . . . . 107
5.2.3 n-archi completi di P G(2, q) con n < q + 1 . . . . . . . . . . . . 110
5.3 Codici MDS di dimensione superiore: n-archi di P G(r, q) . . . . . . . . 115
5.4 Un’applicazione: divisione di un segreto a tre livelli . . . . . . . . . . . 117
6 Curve Ellittiche 120
6.1 Segreti e Gruppi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
6.1.1 Uno schema per garantire la segretezza del messaggio . . . . . . 121
6.1.2 Logaritmo discreto in gruppi qualsiasi . . . . . . . . . . . . . . . 123
6.1.3 Gruppi noti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.2 Curve Ellittiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
6.2.1 Isogenie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
6.2.2 Teorema di Hasse . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.3 Weil Pairing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6.4 L’attacco MOV al Problema del Logaritmo Discreto . . . . . . . . . . . 139
7 Message Authentication Codes 143
7.1 Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
7.2 ɛ-ASU da curve algebriche, I . . . . . . . . . . . . . . . . . . . . . . . . 147
7.3 ɛ-ASU da curve algebriche, II . . . . . . . . . . . . . . . . . . . . . . . 149
7.3.1 ɛ-AU dalla curva Hermitiana . . . . . . . . . . . . . . . . . . . . 153