ΚΡΥΠΤΟΣΥΣΤΗΜΑΤΑ ΕΛΛΕΙΠΤΙΚΩΝ ΚΑΜΠΥΛΩΝ ΤΥΠΟΥ RSA ΜΕΤΑΠΤΥΧΙΑΚΗ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ. Τούρα Βαρβάρα

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΣΧΟΛΗ ΘΕΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΜΑΘΗΜΑΤΙΚΩΝ ΜΕΤΑΠΤΥΧΙΑΚΟ ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ «ΘΕΩΡΗΤΙΚΗ ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΘΕΩΡΙΑ ΣΥΣΤΗΜΑΤΩΝ & ΕΛΕΓΧΟΥ» ΚΡΥΠΤΟΣΥΣΤΗΜΑΤΑ ΕΛΛΕΙΠΤΙΚΩΝ ΚΑΜΠΥΛΩΝ ΤΥΠΟΥ RSA ΜΕΤΑΠΤΥΧΙΑΚΗ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ Τούρα Βαρβάρα Επιβλέπων:Πουλάκης Δημήτριος Καθηγητής Α.Π.Θ. Εγκρίθηκε από την τριμελή εξεταστική επιτροπή στις / / 007 Θεσσαλονίκη, Νοέμβριος 007

Τούρα Βαρβάρα Πτυχιούχος Τμήματος Μαθηματικών Α.Π.Θ. Coyrght Τούρα Βαρβάρα, 007 Με επιφύλαξη παντός δικαιώματος. A rghts reserved. Απαγορεύεται η αντιγραφή, αποθήκευση και διανομή της παρούσας εργασίας, εξ ολοκλήρου ή τμήματος αυτής, για εμπορικό σκοπό. Επιτρέπεται η ανατύπωση, αποθήκευση και διανομή για σκοπό μη κερδοσκοπικό, εκπαιδευτικής ή ερευνητικής φύσης, υπό την προϋπόθεση να αναφέρεται η πηγή προέλευσης και να διατηρείται το παρόν μήνυμα. Ερωτήματα που αφορούν τη χρήση της εργασίας για κερδοσκοπικό σκοπό πρέπει να απευθύνονται προς το συγγραφέα. Οι απόψεις και τα συμπεράσματα που περιέχονται σε αυτό το έγγραφο εκφράζουν το συγγραφέα και δεν πρέπει να ερμηνευτεί ότι εκφράζουν τις επίσημες θέσεις του Α.Π.Θ.

ΠΕΡΙΛΗΨΗ Η παρούσα εργασία έχει ως αντικείμενο μελέτης την κρυπτογραφία ελλειπτικών καμπύλων. Πιο συγκεκριμένα, αναφέρεται στην παραγοντοποίηση ακέραιων αριθμών κάνοντας χρήση των ελλειπτικών καμπύλων και εστιάζει στον αλγόριθμο του Lestra. Επίσης, παρουσιάζει δύο κρυπτοσυστήματα που βασίζονται στο RSA τα σχήματα KMOV και Demytko αναλύοντάς τα και συγκρίνοντάς τα με αυτό. ΛΕΞΕΙΣ-ΚΛΕΙΔΙΑ Κρυπτογραφία Ελλειπτικών Καμπύλων, Κρυπτοσυστήματα Ελλειπτικών Καμπύλων τύπου RSA, Η Μέθοδος Παραγοντοποίησης του Lestra, Το Κρυπτοσύστημα KMOV, Το Κρυπτοσύστημα του Demytko

ABSTRACT I the artcuar thess the subject of the research s the study of etc curve crytograhy. More secfcay, t refers to the factorzato of teger umbers by usg etc curves ad t focuses o Lestra s agorthm. Furthermore, t resets two RSA-tye crytosystems the schemes KMOV ad Demytko by aayzg ad comarg them wth RSA. KYWORDS tc Curve Crytograhy, RSA tye Crytosystems over tc Curves, Lestra s Factorzato Method, KMOV Crytosystem, Demytko s Crytosystem 4

ΠΕΡΙΕΧΟΜΕΝΑ ΠΡΟΛΟΓΟΣ..6 ΚΕΦΑΛΑΙΟ. ΕΙΣΑΓΩΓΗ...9 ΚΕΦΑΛΑΙΟ. ΕΛΛΕΙΠΤΙΚΕΣ ΚΑΜΠΥΛΕΣ.... Βασικές έννοιες..... Η φύση των ελλειπτικών καμπύλων... ΚΕΦΑΛΑΙΟ. ΠΑΡΑΓΟΝΤΟΠΟΙΗΣΗ ΑΚΕΡΑΙΩΝ ΜΕ ΤΗ ΧΡΗΣΗ ΕΛΛΕΙΠΤΙΚΩΝ ΚΑΜΠΥΛΩΝ.9. Η μέθοδος - του Poard974)..9. Ελλειπτικές καμπύλες moduon 4. Η μέθοδος παραγοντοποίησης του Lestra..46 ΚΕΦΑΛΑΙΟ 4. ΤΑ ΚΡΥΠΤΟΣΥΣΤΗΜΑΤΑ KMOV ΚΑΙ DMYTKO...56 4. Το κρυπτοσύστημα RSA..56 4. Το κρυπτοσύστημα KMOV.58 4. Το κρυπτοσύστημα του Demytko.6 ΚΕΦΑΛΑΙΟ 5. ΣΥΓΚΡΙΣΗ ΤΩΝ ΚΡΥΠΤΟΣΥΣΤΗΜΑΤΩΝ KMOV ΚΑΙ DMYTKO ΜΕ ΤΟ RSA...68 5. Το πρόβλημα απόκρυψης μηνύματος.. 68 5. KMOV, Demytko ή RSA;Ι.. 7 5. Κυκλικές επιθέσεις.. 7 5.4 Εφαρμογή στα συστήματα ελλειπτικών καμπύλων...75 5.5 Παραγοντοποίηση και RSA...8 5.6 KMOV, Demytko ή RSA;ΙΙ...84 ΚΕΦΑΛΑΙΟ 6. ΕΦΑΡΜΟΓΕΣ-ΠΑΡΑΔΕΙΓΜΑΤΑ.87 ΒΙΒΛΙΟΓΡΑΦΙΑ..95 5

ΠΡΟΛΟΓΟΣ Η κρυπτολογία αγγλικά crytoogy, γαλλικά crytooge) είναι η επιστήμη που ασχολείται με τα μέσα και τις μεθόδους μετάδοσης και λήψης μυστικών μηνυμάτων. Κάτω από αυτό το γενικό ορισμό, η κρυπτολογία υποδιαιρείται σε δύο κλάδους: στην ασφάλεια των επικοινωνιών και την κατασκοπεία των επικοινωνιών. Η ασφάλεια των επικοινωνιών καλύπτει όλους τους τρόπους προστασίας των απόρρητων σημάτων, τις μεθόδους μετατροπής των μηνυμάτων σε κωδική ή αριθμητική μορφή κρυπτογραφία και κρυπτοφωνία), την ασφάλεια των κωδίκων, πινάκων, εγχειριδίων και μηχανισμών μέσω των οποίων γίνεται η κρυπτογράφηση, την αξιοπιστία του χρησιμοποιούμενου προσωπικού, καθώς και την επιτήρηση των επικοινωνιών. Η κατασκοπεία των επικοινωνιών αποβλέπει στη διείσδυση μέσα στο δίκτυο και στην εξουδετέρωση του απορρήτου των επικοινωνιών του εχθρού ή των ανταγωνιστών. Αν και είναι γνωστό ότι οι Αιγύπτιοι, οι Εβραίοι, οι Ρωμαίοι και οι Έλληνες χρησιμοποιούσαν την κρυπτογραφία η πρώτη μελέτη για την κρυπτογραφία έχει γραφεί από έναν Έλληνα, τον Αινεία Τάκιτο, κατά τον 4 ο π.χ. αιώνα), η σύγχρονη συστηματική κρυπτογραφία έκανε την εμφάνισή της και άρχισε να αναπτύσσεται κατά τον ο αιώνα στην Ιταλία. Κατά τον 5 ο αιώνα είχαν καθοριστεί σαφείς κώδικες αλφαβητικών και αριθμητικών συστημάτων κρυπτογράφησης και επίσης γράφτηκε η πρώτη επιστημονική μελέτη για την κρυπτανάλυση crytaayss) ή το σπάσιμο των κωδίκων code-breakg). Ύστερα από τα μέσα του 9 ου αιώνα, η κρυπτολογία παρουσίασε ταχύτατη ανάπτυξη. Η ανάπτυξη αυτή οφείλεται στην εφεύρεση του τηλεγράφου και άλλων νέων μέσων επικοινωνίας, καθώς και στην πρόοδο, στην κατασκευή και ανάλυση αριθμητικών και αλφαβητικών κωδίκων Βλ.[], σελ.4-46. 6

κρυπτογράφησης. Πολλές από τις σύγχρονες μεθόδους της κρυπτολογίας θεωρούνται άκρως απόρρητες. Κατά συνέπεια, δεν είναι δυνατόν να δουν το φως της δημοσιότητας. Λέγοντας «κρυπτογραφία» λέξη που προέρχεται από τα συνθετικά «κρυπτός»-κρυμμένος- και «γράφω») εννοούμε τη μελέτη της μυστικότητας των μηνυμάτων. Η κρυπτογραφία αποτελεί μυστική μέθοδο γραφής συνθηματικής συνεννόησης δύο ή περισσότερων μερών που τη γνωρίζουν, με τρόπο που άλλοι να μη μπορούν να καταλάβουν. Για την κρυπτογραφική συνεννόηση μπορούν να χρησιμοποιηθούν γράμματα, αριθμοί ή σύμβολα με διαφορετική σημασία από εκείνη που έχουν στην πραγματικότητα. Ο όρος, τώρα, «ελλειπτικές καμπύλες» ανάγεται στον 8 ο αιώνα και οφείλει την ονομασία του στα περίφημα ελλειπτικά ολοκληρώματα. Μαθηματικοί όπως οι Weerstrass, Jacob και Abe, ασχολήθηκαν με αυτά στην προσπάθειά τους να μετρήσουν τμήματα τόξων ελλείψεων. Η έννοια των ελλειπτικών καμπύλων, για την ιστορία, πρωτοεμφανίζεται στο βιβλίο «Αριθμητικά» του Διόφαντου. Οι εφαρμογές της θεωρίας των ελλειπτικών καμπύλων είναι πολλές και ποικίλες. Στην παρούσα εργασία θα ασχοληθούμε με εφαρμογές που σχετίζονται με την κρυπτογραφία. Περνώντας, τώρα, στη δομή της εργασίας, στο Κεφάλαιο αναφερόμαστε στην ιστορική διαδρομή της έννοιας της κρυπτογραφίας και την εξέλιξή της στο πέρασμα των αιώνων. Στο Κεφάλαιο γίνεται λόγος για τις ελλειπτικές καμπύλες, δίνονται οι βασικοί ορισμοί και οι νόμοι που διέπουν τη συμπεριφορά των σημείων μιας ελλειπτικής καμπύλης παράλληλα με την παρουσίαση παραδειγμάτων για την ευκολότερη κατανόηση των εννοιών από τον αναγνώστη. Στο Κεφάλαιο αναφερόμαστε στις μεθόδους που χρησιμοποιούνται με σκοπό την παραγοντοποίηση ακέραιων αριθμών, εξετάζοντας εκτενώς τον αλγόριθμο παραγοντοποίησης του Lestra και παρεμβάλλοντας στη θεωρία παραδείγματα λειτουργίας των αλγορίθμων. 7

Στο Κεφάλαιο 4 μελετάμε τον τρόπο λειτουργίας του RSA και το πέρασμα στα ανάλογα αυτού κρυπτοσυστήματα ελλειπτικών καμπύλων KMOV και Demytko. Στο Κεφάλαιο 5 συγκρίνουμε τα κρυπτοσυστήματα KMOV και Demytko με το αρχικό σύστημα RSA, έχοντας πρώτα αναπτύξει τον τρόπο με τον οποίο πρέπει να επιλέγουμε τις διάφορες παραμέτρους στα κρυπτοσυστήματα των ελλειπτικών καμπύλων και το υπόβαθρο που πρέπει να έχει κανείς για το σκοπό αυτό. Τέλος, στο Κεφάλαιο 6, παρουσιάζουμε κάποια παραδείγματα - κάνοντας χρήση της Mathematca όπου κρίνεται απαραίτητο- σχετικά με όλη την προαναφερθείσα θεωρία. Στο σημείο αυτό, αισθάνομαι την ανάγκη να ευχαριστήσω τον επιβλέποντα καθηγητή μου Δημήτριο Πουλάκη για τη σωστή καθοδήγηση και την αμέριστη ηθική συμπαράστασή του καθ όλη τη διάρκεια εκπόνησης της παρούσας διπλωματικής εργασίας. 8

ΚΕΦΑΛΑΙΟ : ΕΙΣΑΓΩΓΗ Το ευρύτερο πεδίο μέσα στο οποίο κινείται η παρούσα εργασία είναι η κρυπτογραφία των ελλειπτικών καμπύλων. Σύμφωνα με το βιβλίο Hadbook of Aed Crytograhy, με τον όρο κρυπτογραφία εννοούμε τη μελέτη των μαθηματικών τεχνικών που σχετίζονται με τις προοπτικές της ασφάλειας της πληροφορίας όπως η εμπιστευτική σημείο προς σημείο επικοινωνία, η ακεραιότητα των δεδομένων και η αυθεντικότητα αυτών. Θέλοντας να παρακολουθήσουμε την εξέλιξη της κρυπτογραφίας, θα κάνουμε μια ιστορική αναδρομή: Γύρω στα 900 π.χ., οι Αιγύπτιοι χρησιμοποιούσαν ιερογλυφικά για να επικοινωνούν μυστικά με τους θεούς τους. Οι Ρωμαίοι χρησιμοποιούσαν τους κώδικες του Καίσαρα: Ταυτοποιώντας το αλφάβητό τους με το Z 6, δηλαδή με το σύνολο των κλάσεων moduo 6, ο κώδικας δουλεύει μετατρέποντας κάθε γράμμα κάνοντας μία μετατόπιση, το μυστικό κλειδί k Z 6 : ϕ : Z 6 Z 6, m a m + Αυτό είναι ένα ασθενές σχήμα από άποψη ασφάλειας), καθώς δοκιμάζοντας το πολύ 6 πιθανές περιπτώσεις το καθαρό κείμενο μπορεί να βρεθεί. k. Γύρω στο 600 μ.χ., ο Base de Vgeère πρότεινε την ακόλουθη βελτιωμένη εκδοχή του κώδικα του Καίσαρα: Αντί να κρυπτογραφούμε ένα γράμμα τη φορά και να χρησιμοποιούμε ένα κλειδί για όλα τα γράμματα, να 9

κρυπτογραφούμε γράμματα τη φορά, καθένα από τα οποία θα μεταφράζεται από ένα όχι απαραίτητα) διαφορετικό κλειδί: ϕ : Z Z 6 6, m a m + k / k Z. 6 Αυτό μπορεί να φαίνεται περισσότερο πολύπλοκο από τον κώδικα του Καίσαρα, όμως χρησιμοποιώντας κανείς στατιστική ανάλυση όπως είναι λόγου χάρη η ανάλυση της συχνότητας εμφάνισης των γραμμάτων) μπορεί να διασπάσει το σχήμα. Το 880 μ.χ., ο Kerckhoff διατύπωσε την περίφημη αρχή του: «Η ασφάλεια ενός κρυπτοσυστήματος δεν πρέπει να εξαρτάται από τη μυστική διαφύλαξη της μεθόδου κρυπτογράφησης, αλλά μόνο από τη μυστική διαφύλαξη του κλειδιού αυτής.» Το 97 μ.χ., ο Gbert Veram πρότεινε και κατάφερε να δημιουργήσει ένα κρυπτοσύστημα, το οποίο χρησιμοποιήθηκε για αυτόματη κρυπτογράφηση τηλεγραφικών μηνυμάτων. Θεώρησε έναν κώδικα του Vgeère όπου το τείνει στο άπειρο, το οποίο ονομάστηκε σημειωματάριο μιας χρήσης oe tme ad). Έχει αποδειχθεί ότι αυτή η μέθοδος είναι ασφαλής, όμως δεν είναι χρήσιμη στην πράξη, καθώς ένα κλειδί με μέγεθος τουλάχιστον όσο το μήνυμα πρέπει να έχει ανταλλαγεί πριν την επικοινωνία. Το 99 μ.χ., ο Lester S. H πρότεινε ένα σύστημα κρυπτογράφησης ϕ : Z Z 6 6, m a ma 0

όπου ο πίνακας Α έχει διαστάσεις, είναι αντιστρέψιμος και τα στοιχεία του ανήκουν στο Z 6. Αυτή η μέθοδος κρυπτογράφησης είναι επίσης αδύναμη λόγω των ονομαζόμενων επιθέσεων καθαρού κειμένου σε περίπτωση που ο εισβολέας γνωρίζει μια αρκετά μεγάλη ακολουθία ζευγών m, m ) ώστε τέτοιων, m = Am, μπορεί να υπολογίσει τον πίνακα Α κάνοντας χρήση στοιχειώδους γραμμικής άλγεβρας. Κατά τη διάρκεια του Β Παγκοσμίου Πολέμου, πολλά νέα συστήματα αναπτύχθηκαν. Ένα παράδειγμα είναι η γερμανική μηχανή gma. Το 949 μ.χ., ο Caude Shao δημοσίευσε το άρθρο του «Θεωρία Επικοινωνίας μυστικών συστημάτων». Έδειξε την ύπαρξη πιθανά ασφαλών κρυπτοσυστημάτων. Το 976 μ.χ., οι W. Dffe και M.. Hema συνειδητοποίησαν το ενδεχόμενο χρήσης ασύμμετρων συστημάτων μυστικού κλειδιού κρυπτογραφία δημοσίου κλειδιού), όπως οι ψηφιακές υπογραφές και οι αποδείξεις μηδενικής γνώσης. Το 985 μ.χ., ο H. W. Lestra κατάφερε να παραγοντοποιήσει ακεραίους χρησιμοποιώντας ελλειπτικές καμπύλες. Αυτό το αποτέλεσμα έδειξε το δρόμο για τις εφαρμογές των ελλειπτικών καμπύλων στα κρυπτοσυστήματα δημόσιου κλειδιού.

Περνώντας στο σήμερα, με απλά λόγια, κρυπτογραφία είναι η επιστήμη της ασφαλούς μετάδοσης μηνυμάτων από έναν αποστολέα σε έναν παραλήπτη. Το ζητούμενο είναι να κρυπτογραφήσουμε το μήνυμα με τέτοιο τρόπο, ώστε ένας εισβολέας να μην είναι σε θέση να το διαβάσει. Ένα σύστημα αλγορίθμων με στόχο την κρυπτογράφηση ή / και την αποκρυπτογράφηση) μηνυμάτων με τον παραπάνω σκοπό λέγεται κρυπτοσύστημα. Αναφέραμε στην αρχή του κεφαλαίου αυτού ότι θα ασχοληθούμε με τα κρυπτοσυστήματα ελλειπτικών καμπύλων. Το τι ονομάζουμε επακριβώς με τον όρο «ελλειπτικές καμπύλες» θα το δούμε στο επόμενο κεφάλαιο, όπου θα δοθούν οι σχετικοί ορισμοί.) Οι ελλειπτικές καμπύλες δεν είναι καινούργια έννοια στο πεδίο έρευνας της Θεωρίας Αριθμών έχουν μελετηθεί και εξετασθεί προσεκτικά κατά το μεγαλύτερο μέρος του προηγούμενου αιώνα. Όμως η εφαρμογή τους στο χώρο της κρυπτογραφίας είναι σύγχρονο φαινόμενο, το οποίο ξεκίνησε περίπου 0 χρόνια πριν. Τώρα, ένα κρυπτοσύστημα ελλειπτικών καμπύλων δουλεύει με μια πεπερασμένη αβελιανή ομάδα που αποτελείται από τα σημεία μιας ελλειπτικής καμπύλης πάνω σε ένα πεπερασμένο σώμα. Οι πρώτοι που πρότειναν τα κρυπτοσυστήματα που κάνουν χρήση ελλειπτικών καμπύλων ήταν οι V. Mer και N. Kobtz. Δεν ανακάλυψαν νέους κρυπτογραφικούς αλγόριθμους αλλά έγιναν αρωγοί στην προσπάθεια εισαγωγής υπαρκτών κρυπτοσυστημάτων δημόσιου κλειδιού τα οποία χρησιμοποιούν ελλειπτικές καμπύλες.

ΚΕΦΑΛΑΙΟ : ΕΛΛΕΙΠΤΙΚΕΣ ΚΑΜΠΥΛΕΣ Σε αυτό το κεφάλαιο εισάγουμε κάποιες βασικές έννοιες της θεωρίας των ελλειπτικών καμπύλων. Αρχικά, παρουσιάζουμε τους βασικούς ορισμούς, περνώντας από το προβολικό στο αφφινικό επίπεδο, στη συνέχεια εξετάζουμε τη φύση των ελλειπτικών καμπύλων ανάλογα με τη χαρακτηριστική του σώματος στο οποίο εργαζόμαστε και τέλος καταλήγουμε σε κάποια παραδείγματα που διευκολύνουν την κατανόηση των προαναφερθεισών εννοιών. Κλείνουμε το κεφάλαιο αυτό με ένα σημαντικό αποτέλεσμα της θεωρίας των ελλειπτικών καμπύλων : το Θεώρημα του Hasse.. Βασικές έννοιες Έστω K ένα σώμα. Με K συμβολίζουμε το αλγεβρικό κάλυμμά του. Εάν λόγου χάρη K = F q όπου r q = είναι μια δύναμη πρώτου αριθμού, τότε K = U m F. To προβολικό επίπεδο P K) υπεράνω του q m K είναι το σύνολο των κλάσεων ισοδυναμίας της σχέσης ~ που δρα πάνω στο K {0,0,0)}, και ορίζεται ως εξής : δύο στοιχεία x, y, z ) και x, y, z ) που ανήκουν στο K {0,0,0)} θα λέγονται ισοδύναμα ως προς τη σχέση ~ και θα γράφουμε x, y, z ) ~ x, y, z ) αν και μόνο * K αν υπάρχει αριθμός u τέτοιος, ώστε x = ux, y = uy και z = uz. Συμβολίζουμε την κλάση ισοδυναμίας που έχει ως αντιπρόσωπο το στοιχείο x, y, z ) με x : y : z ). Ας είναι Φ ένας αυτομορφισμός του K -γραμμικού χώρου Τότε υπάρχει ένας αντιστρέψιμος -πίνακας Α = a ) έτσι, ώστε j K. με Φ X, Y, Z) = Φ X, Y, Z), Φ X, Y, Z), Φ X, Y, Z)) Φ X, Y, Z) = a X + a Y + a Z =,, ).,,,

Για κάθε k K και x, y, z) έχουμε Φ k x, y, z)) = kφ x, y, z) K. Επίσης, καθώς η Φ είναι - μονομορφισμός), για κάθε x, y, z) {0,0,0)} K έχουμε Φ x, y, z) 0,0,0). Έτσι, θέτοντας για κάθε x : y : z) P, ορίζουμε μια απεικόνιση Φ ~ x : y : z) = Φ x, y, z) : Φ x, y, z) : Φ x, y, z)), ~ Φ : P P η οποία καλείται προβολικός μετασχηματισμός ή προβολική αλλαγή συντεταγμένων). Μία εξίσωση του Weerstrass είναι μία ομογενής εξίσωση τρίτου βαθμού της μορφής F X, Y, Z) = Y Z όπου a, a, a, a 4, a 6 + a XYZ + ayz X a X Z a4 XZ a6z = 0, K. Η εξίσωση F X, Y, Z) = 0 του Weerstrass καλείται ομαλή smooth / o-sguar) εάν για όλα τα προβολικά σημεία P = x : y : z ) του P K ) που ικανοποιούν τη σχέση F X, Y, Z) = 0 τουλάχιστον μία από τις μερικές παραγώγους F x, F y, F z είναι μη μηδενική στο P. Εάν σε κάποιο σημείο P, και οι τρεις μερικές παράγωγοι μηδενίζονται, τότε το P καλείται ανώμαλο σημείο και η εξίσωση του Weerstrass ονομάζεται ανώμαλη sguar). Ορισμός.: Μία ελλειπτική καμπύλη είναι το σύνολο όλων των λύσεων μιας ομαλής εξίσωσης του Weerstrass που βρίσκονται στο P K ). Γενικότερα, ονομάζουμε ελλειπτική καμπύλη κάθε προβολική κυβική καμπύλη, η οποία μετά από προβολικούς μετασχηματισμούς μπορεί να δοθεί από μια ομαλή εξίσωση του Weerstrass. Εάν ένα προβολικό σημείο X : Y : Z) έχει μη μηδενική ανηγμένη Z 0 ), τότε υπάρχει ακριβώς μία τριάδα στην κλάση ισοδυναμίας του X : Y : Z) της μορφής x, y,) αρκεί απλώς να θέσουμε x = X Z, y = Y Z. Έτσι, το προβολικό επίπεδο μπορεί να θεωρηθεί ως το αφφινικό επίπεδο των σημείων x, y ) μαζί με τα σημεία για τα οποία ισχύει Z = 0. Τα τελευταία αποτελούν ένα σύνολο που ονομάζεται «ευθεία στο άπειρο». Με άλλα λόγια, η «ευθεία» αυτή μπορεί να νοηθεί εποπτικά ως ο «ορίζοντας» του επιπέδου. Κάθε εξίσωση F x, y) 4

= 0 μιας καμπύλης στο αφφινικό επίπεδο βαθμού d μπορεί να ομογενοποιηθεί ορίζοντας την εξίσωση F ~ X, Y, Z ) = 0, με F ~ X Y, Z, ) := Z d F X Z, Y Z ) που ικανοποιείται από τα αντίστοιχα προβολικά σημεία αντίστροφα, ένα ομογενές πολυώνυμο F ~ X, Y, Z ) μπορεί να από-ομογενοποιηθεί ορίζοντας απλώς F x, y) := F ~ X,Y,). Για παράδειγμα, εάν εφαρμόσουμε αυτή τη διαδικασία στην εξίσωση y = x +a x +b μιας ελλειπτικής καμπύλης, παίρνουμε την «προβολική» της εξίσωση Y Z = X +a XZ +b Z. Αυτή η τελευταία εξίσωση ικανοποιείται από όλα τα προβολικά σημεία X, Y, Z ) με Z 0 των οποίων τα αντίστοιχα αφφινικά σημεία x,y), όπου x = X Z, y = Y Z, ικανοποιούν την εξίσωση y = x +a x +b. Ποιά, όμως, είναι τα προβολικά σημεία X, Y, Z ) στην ευθεία στο άπειρο που ικανοποιούν την εξίσωση F ~ X, Y, Z ) = 0; Με άλλα λόγια, για ποιά προβολικά σημεία X, Y, Z ) της ευθείας στο άπειρο ισχύει Y Z X a XZ b Z = 0; Θέτοντας Z = 0 στην εξίσωση προκύπτει ότι X = 0, δηλαδή ότι X = 0. Όμως, η μοναδική κλάση ισοδυναμίας τριάδων X, Y, Z ) με X = Z = 0 είναι η κλάση του 0,,0). Αυτό είναι το σημείο που ονομάζουμε «επ άπειρον σημείο» της καμπύλης Y Z = X +a XZ +b Z και το συμβολίζουμε με O ή. Για να κατανοήσουμε την έννοια του επ άπειρον σημείου, θα πρέπει να έχουμε μια περιγραφή αυτού στον πραγματικό χώρο. Έστω το γνωστό σε όλους xy -επίπεδο. Το σημείο O μπορεί να θεωρηθεί ως ένα σημείο που δε βλέπουμε και να τοποθετηθεί απείρως ψηλά στον άξονα των y. Είναι, δηλαδή, το σημείο πάνω στην τομή του άξονα των y με την ευθεία στο άπειρο. Για ευκολία στη γραφή, συνηθίζουμε να μετατρέπουμε την εξίσωση του Weerstrass, που περιγράφει αλγεβρικά μια ελλειπτική καμπύλη, στη μορφή 5

y + a xy + a y = x + a x + a 4 x + a 6 ). Αυτό γίνεται με τη χρήση μη ομογενών αφφινικών) συντεταγμένων όπως έχουμε αναφέρει, θέτουμε x = X Z, y = Y Z ). Τώρα, μπορούμε πούμε ότι μια ελλειπτική καμπύλη είναι το σύνολο των λύσεων της εξίσωσης ) στο αφφινικό επίπεδο άπειρον σημείο O. A K ) = K K μαζί με το επ Εάν οι συντελεστές a, a, a, a 4 και a 6 ανήκουν στο σώμα K, τότε λέμε ότι η είναι ορισμένη πάνω στο K και συμβολίζουμε / K. Εάν, τώρα, η είναι ορισμένη πάνω στο K, τότε το σύνολο των K - ρητών σημείων της, το οποίο συμβολίζουμε με K ), είναι το σύνολο των σημείων εκείνων των οποίων και οι δύο συντεταγμένες ανήκουν στο K μαζί με το σημείο O. Πριν περάσουμε σε περισσότερο πολύπλοκες έννοιες, ας δούμε για ποιο λόγο οι εν λόγω καμπύλες ονομάστηκαν «ελλειπτικές». Ιστορικά, ο όρος «ελλειπτικές» προέκυψε από τη θεωρία των ελλειπτικών ολοκληρωμάτων, με τα οποία μεταξύ άλλων μπορούμε να υπολογίσουμε το μήκος τόξου μιας έλλειψης εξ ού και το όνομα). Αυτά τα ολοκληρώματα είναι της μορφής γ f z) z a ) z a ) z a f z) dz = dz. ) y γ Αν παρατηρήσει κανείς προσεκτικά, θα διαπιστώσει ότι ο παρονομαστής υψωμένος στο τετράγωνο είναι η αλγεβρική εκδοχή μιας ελλειπτικής καμπύλης! Ορισμός.: Δύο ελλειπτικές καμπύλες / K και / K που δίνονται από τις εξισώσεις : y + a xy + a y = x + a x + a 4 x + a 6 και : y + a xy + a y = x + a x + a 4 x + a 6 καλούνται ισόμορφες στο σώμα K συμβολίζουμε / K / K ) αν και μόνο αν υπάρχουν αριθμοί u, r, s, t K, με u 0, τέτοιοι, ώστε η αλλαγή μεταβλητών 6

x, y ) u x + r, u y + u sx + t ) ) να μετατρέπει την εξίσωση της στην εξίσωση της. Η σχέση του ισομορφισμού είναι μια σχέση ισοδυναμίας μέσα στο σύνολο των ελλειπτικών καμπύλων επί του K. Προσθετικός Νόμος: Θα αποδείξουμε, στην ενότητα αυτή, ότι το σύνολο των σημείων που βρίσκονται πάνω σε μια ελλειπτική καμπύλη μαζί με μια πράξη που την καλούμε πρόσθεση) αποτελούν ομάδα, και μάλιστα αβελιανή. Έστω μια ελλειπτική καμπύλη που δίνεται από την εξίσωση ). Οι κανόνες που ορίζουν την πρόσθεση είναι οι εξής: ) O + P = P και P + O = P, για κάθε P, δηλαδή το O αποτελεί το ουδέτερο στοιχείο της πρόσθεσης. ) O = O. ) Εάν P = x, y ) O, τότε P = x, y ax a ). Ας σημειωθεί ότι τα σημεία P και P της είναι τα μοναδικά με τετμημένη ίση με x. v) Εάν Q = P, τότε P + Q = O. v) Εάν για δύο σημεία P και Q της ισχύουν ότι P O, Q O, τότε P + Q = R, όπου R είναι το τρίτο σημείο της τομής έχοντας λάβει υπόψην μας τις πολλαπλότητες) είτε της ευθείας PQ εάν P Q ) είτε του φορέα της εφαπτόμενης της καμπύλης στο P εάν P = Q ) με την καμπύλη. Ως συνήθως, ο φορέας της εφαπτόμενης μιας καμπύλης f x, y) = 0 στο σημείο της P = a, b ) είναι η ευθεία f f P) x a) + P) y b) = 0 x y. Οι συντεταγμένες του αθροίσματος P + Q συναρτήσει των συντεταγμένων των σημείων P και Q για την περίπτωση v) προκύπτουν εύκολα : 7

Ας είναι P = x, y ), Q = x, y ) και P + Q = x, y ). Συμβολίζουμε με την ευθεία που διέρχεται από τα σημεία P και Q εάν P Q ) ή τον φορέα της εφαπτόμενης της καμπύλης στο P στην περίπτωση όπου P = Q ). Η κλίση της είναι λ = y x y x, εάν Ρ Q και λ = x + α x + α 4 α y y + α x + α, εάν P = Q. Εάν β = y λx, τότε η εξίσωση που καθορίζει την είναι η y = λ x + β. Για να βρούμε το τρίτο σημείο της τομής της με την καμπύλη, αντικαθιστούμε τη σχέση y = λ x + β στην εξίσωση ) του Weerstrass και λαμβάνουμε μια κυβική πολυωνυμική εξίσωση, x την + a x + a x + a λx + β ) a x λx + β ) a λx + β ) = 0 4 6 ). Τώρα, οι ρίζες της ) είναι οι τετμημένες x, x και x των σημείων P, Q και P + Q αντίστοιχα. Έτσι, παραγοντοποιώντας την ) προκύπτει η εξίσωση x x ) x x ) x x ) = 0 Συγκρίνοντας τους συντελεστές του Επομένως, x + a a x x 4). x στις ) και 4) παίρνουμε x + x + x) = a λ a λ. = λ λ και y = λ + a ) x β. a Εάν τα σημεία P και Q ανήκουν στο σύνολο K ), τότε ο υπολογισμός του αθροίσματος P + Q αυτών απαιτεί λίγες μόνο αριθμητικές πράξεις στο σώμα K. Εάν δύο από τα σημεία τομής είναι K -ρητά, τότε K -ρητό είναι και το τρίτο. Στην περίπτωση που το σώμα στο οποίο ορίζεται μια ελλειπτική καμπύλη είναι αλγεβρικά κλειστό, τότε μια ευθεία γραμμή κόβει την ελλειπτική καμπύλη σε τρία σημεία μετρώντας πάντα και τις πολλαπλές ρίζες στα σημεία της εφαπτομένης 8

). Όταν τα δύο από αυτά είναι γνωστά, είναι εύκολο να υπολογίσουμε το τρίτο. Θεώρημα.: Το ζεύγος,+) αποτελεί αβελιανή ομάδα με ουδέτερο στοιχείο το O. Απόδειξη: Για την απόδειξη του Θεωρήματος., θα υπενθυμίσουμε τον ορισμό της αβελιανής ομάδας. Όπως γνωρίζουμε από τη Θεωρία Ομάδων, το ζεύγος,+) αποτελεί αβελιανή ομάδα εάν υπάρχει ουδέτερο στοιχείο, υπάρχει αντίθετο κάθε στοιχείου, η πράξη + είναι προσεταιριστική, δηλαδή για τα σημεία P, Q, R ισχύει P +Q + R ) = P + Q )+ R. η πράξη + είναι αντιμεταθετική, δηλαδή για τα σημεία P, Q ισχύει P + Q = Q + P. Επιπλέον, για την απόδειξη του Θεωρήματος., θα χρειαστεί να κάνουμε μια αναφορά στο Θεώρημα των εννέα σημείων : Ας είναι F, F δύο κυβικές καμπύλες στο P C ) που δεν έχουν κοινές συνιστώσες και τέμνονται σε εννέα διακεκριμένα σημεία P,..., P9. Τότε, κάθε κυβική καμπύλη που διέρχεται από τα P,..., P8 θα διέρχεται και από το P 9. Η πρώτη ιδιότητα έπεται του κανόνα ): για κάθε P ισχύει O + P = P = P + O, οπότε το ζητούμενο ουδέτερο στοιχείο είναι το O. Για την απόδειξη των υπόλοιπων σχέσεων θα περιοριστούμε στην περίπτωση όπου a = a 0 στην εξίσωση ), ώστε να αποφύγουμε τους = εκτενείς υπολογισμούς. Επιπλέον, εάν P και Q είναι δύο σημεία της, θα συμβολίζουμε με PQ το τρίτο σημείο τομής της ευθείας που τα Για την απόδειξη του θεωρήματος και σχόλια πάνω σε αυτή, ο αναγνώστης παραπέμπεται στα : [9], σελ. 7-9 [5], σελ. 0 9

ενώνει ή της εφαπτόμενη της στο P, εάν P = Q ) με την καμπύλη. Εάν PQ = x, y), τότε το άθροισμα P + Q είναι το συμμετρικό x, y) του PQ ως προς τον οριζόντιο άξονα. Το άθροισμα O + O έχει οριστεί να είναι O. Για να συνδέσουμε το O με ένα σημείο P του αφφινικού μέρους της, σχεδιάζουμε μια κάθετη ευθεία που διέρχεται από το P. Τα τρία σημεία τομής της κάθετης ευθείας με την είναι τα x, y), x, y) και O. Το συμμετρικό του O ως προς τον άξονα των x είναι το ίδιο το O ). Τα παραπάνω καθιστούν την πράξη + αντιμεταθετική επί των στοιχείων του συνόλου και αποδεικνύουν ότι κάθε στοιχείο του έχει αντίθετο, δηλαδή για τα σημεία P, Q ισχύει P + Q = Q + P και P + P) = O. Αρκεί, επομένως, να αποδειχθεί και το τελευταίο αξίωμα, αυτό του προσεταιρισμού. Αντί να αποδείξουμε ότι για τρία τυχαία σημεία της, τα P, Q, R, ισχύει η σχέση P +Q + R ) = P + Q )+ R, θα αποδείξουμε τον ισοδύναμο ισχυρισμό : P Q + R ) = P + Q ) R. Ας είναι C η κυβική που αποτελείται από τις τρεις ευθείες αυτή που διέρχεται από τα σημεία P, Q, PQ, αυτή που διέρχεται από τα R, P + Q ) R, P + Q και αυτή που διέρχεται από τα QR, Q + R, O και C η κυβική που αποτελείται από άλλες τρεις ευθείες αυτή που διέρχεται από τα σημεία R, Q, QR, αυτή που διέρχεται από τα P, P Q + R ), Q + R και αυτή που διέρχεται από τα PQ, P + Q, O. Σε αυτή την περίπτωση η διέρχεται από τα οκτώ κοινά τους σημεία P, Q, R, PQ, QR, P + Q, Q + R και O. Αν τα οκτώ αυτά σημεία είναι διακεκριμένα, τότε από το Θεώρημα των εννέα σημείων πρέπει τα σημεία P Q + R ) και P + Q ) R να ταυτίζονται με το ένατο σημείο τομής με την. Αν δεν συμβαίνει αυτό, ο αναγνώστης παραπέμπεται στο [9], σελ. 7-9. Πόρισμα.: Εάν η ορίζεται στο K, τότε το σύνολο K ) με πράξη την πρόσθεση της ομάδας,+) αποτελεί υποομάδα της τελευταίας. 0

Απόδειξη : Ας είναι P και Q δύο σημεία της. Εάν αυτά έχουν συντεταγμένες που ανήκουν στο K, τότε η εξίσωση της ευθείας που τα συνδέει έχει συντελεστές στο K. Εάν επιπλέον η ορίζεται πάνω στο K, τότε το τρίτο σημείο τομής της ευθείας PQ με την ) θα έχει συντεταγμένες που θα δίνονται ως γραμμικός / ρητός συνδυασμός των συντελεστών των εξισώσεων της ευθείας PQ και της, οπότε θα ανήκουν στο K.. Η φύση των ελλειπτικών καμπύλων Για να εξετάσουμε εκτενέστερα τη φύση των ελλειπτικών καμπύλων, θα τις περιγράψουμε διακρίνοντάς τες ανάλογα με το σώμα μέσα στο οποίο εργαζόμαστε. Έτσι, με κατάλληλη αλλαγή μεταβλητών, μια ελλειπτική καμπύλη πάνω σε ένα σώμα K με χαρακτηριστική διαφορετική του και του της μορφής ), όπου οι συντελεστές είναι στοιχεία του K, μπορεί να γραφεί στη μορφή y = x +a x +b 5), όπου το δεύτερο μέλος δεν έχει καθόλου επαναλαμβανόμενους παράγοντες. Πράγματι, η αλλαγή μεταβλητών a a x, y) a x, y x ) μετατρέπει την εξίσωση της καμπύλης / K με αφφινικές συντεταγμένες) στην καμπύλη Είναι πάνω στο σώμα K. / K : y = x + b x + b x + b. Με δεύτερη αλλαγή μεταβλητών, την x, y) a μετατρέπεται η καμπύλη στην : y = x b 6 όπου a,b K. Έτσι, επί του K. 4 y, ), 6 x +a x +b, 6

Εάν το Κ είναι σώμα χαρακτηριστικής, τότε η καλύτερη μορφή στην οποία μπορεί να περιέλθει η καμπύλη ) είναι η y = x +a x +b x +c. 6) Εάν το K είναι σώμα χαρακτηριστικής, τότε η μορφή της καμπύλης δε γίνεται απλούστερη. Αναλυτικότερα θα δούμε τις περιπτώσεις αυτές σε Πρόταση που ακολουθεί. Περνώντας, τώρα, σε σώματα με χαρακτηριστική διαφορετική του και του, θα αποδείξουμε αρχικά ότι η ομαλότητα μιας ελλειπτικής καμπύλης είναι άρρηκτα συνδεδεμένη με μια ποσότητα, την οποία καλούμε ελλειπτική) διακρίνουσα. Πρώτα, όμως, θα πρέπει να αναφέρουμε κάποιους ορισμούς από τη θεωρία πολυωνύμων. Ορίζουμε ως απαλείφουσα δύο πολυωνύμων f x) = j= a και g x) = β j x j j m j= j x και συμβολίζουμε με R f, g) την ορίζουσα του πίνακα m + ) m + ) που σχηματίζεται αν στις πρώτες m γραμμές αυτού τοποθετήσουμε τους συντελεστές του f x) και στις επόμενες τους συντελεστές του g x) ως εξής: Στην πρώτη γραμμή τοποθετούμε τους συντελεστές του f x) με τη σειρά, ξεκινώντας από την πρώτη θέση δηλαδή στη θέση,) τοποθετούμε το a 0, στη θέση,) το a κ.ο.κ. στη θέση, ) το a ) ενώ στη δεύτερη γραμμή κάνουμε μια μετατόπιση προς τα δεξιά κάθε όρο δηλαδή στη θέση,) τοποθετούμε το a 0 κ.ο.κ.) συνεχίζοντας με τον ίδιο τρόπο ως την m -γραμμή. Από την m +)- γραμμή ως και την m + ) κάνουμε ακριβώς την ίδια διαδικασία ξεκινώντας από το στοιχείο m +, ), όμως αυτή τη φορά με τους συντελεστές του g x). Τα υπόλοιπα στοιχεία του πίνακα τα θέτουμε ίσα με το 0. Ορίζουμε ως διακρίνουσα ενός πολυωνύμου να είναι η ποσότητα f x) a + ax +... + a x, a = 0 0

Δ f ) = ) -)/ a R f, f ), όπου με f συμβολίζουμε την τυπική παράγωγο του f x). Προτού περάσουμε στη σχέση που συνδέει την ομαλότητα μιας ελλειπτικής καμπύλης με την απαλείφουσα του πολυωνύμου που την περιγράφει, θα αναφερθούμε στο επ άπειρον σημείο. Το επ άπειρον σημείο O είναι ομαλό. Πράγματι, για την ομογενή ~ καμπύλη f = y z x axz bz, έχουμε ότι ~ f = x x az, ~ f = zy y και ~ f = y z axz bz Αντικαθιστώντας τις συντεταγμένες του O = 0,,0) στις προηγούμενες σχέσεις, παίρνουμε ως αποτελέσματα τους αριθμούς 0, 0 και και καθώς δεν είναι όλοι μηδέν, έχουμε το ζητούμενο. Τώρα, είμαστε σε θέση να αποδείξουμε ότι μια καμπύλη της μορφής F x, y) = f = 0, όπου f x) = x +a x +b, είναι ομαλή y x) ακριβώς όταν η ποσότητα Δ = 4a +7b ) είναι διαφορετική από το 0. Πράγματι, αρκεί να δείξουμε ότι η είναι ανώμαλη αν και μόνο αν Δ = 0. Η είναι ανώμαλη οι μερικές παράγωγοι F x = f x) και F y = y μηδενίζονται ταυτόχρονα σε ένα σημείο του αφφινικού μέρους της οι συναρτήσεις f x) και f x) έχουν μια κοινή ρίζα R f, f ) = 0 Δ f ) = 0. Περνώντας, τώρα, στο σώμα R των πραγματικών αριθμών, και για να εξηγήσουμε εποπτικά τους κανόνες που διέπουν το άθροισμα δύο σημείων, θα θεωρούμε κάθε ελλειπτική καμπύλη σα μια συνηθισμένη καμπύλη πάνω στο πραγματικό) επίπεδο, μαζί με το επ άπειρον σημείο..

Παράδειγμα.: Στα παραπάνω σχήματα φαίνεται ο τρόπος με τον οποίο συνήθως προσθέτουμε δύο σημεία P και Q μιας ελλειπτικής καμπύλης. Για να βρούμε το σημείο που παριστά γραφικά το άθροισμα P + Q των δύο σημείων, σχεδιάζουμε αρχικά τη χορδή PQ και θεωρούμε ως P + Q το συμμετρικό σημείο ως προς τον άξονα των x του τρίτου σημείου τομής του φορέα της PQ με την καμπύλη. Εάν τα σημεία P και Q ταυτίζονται, δηλαδή αν επιθυμούμε να υπολογίσουμε το σημείο P, χρησιμοποιούμε την εφαπτόμενη της καμπύλης στο P. Τότε, το σημείο P είναι το συμμετρικό τού τρίτου σημείου όπου η εφαπτομένη τέμνει την καμπύλη. Τώρα θα αναφερθούμε στα πεπερασμένα σώματα F q. Αυτά είναι τα πλέον χρησιμοποιούμενα σώματα στην κρυπτογραφία σήμερα. Θα παραθέσουμε σε αυτό το σημείο μία πρόταση που θα μας βοηθήσει στην κατανόηση των παρακάτω ορισμών. Προτού περάσουμε, όμως, στην προαναφερθείσα πρόταση, θα πρέπει να εισάγουμε την έννοια της j - αναλλοιώτου j-varat) και να προσδιορίσουμε την ελλειπτική διακρίνουσα για καμπύλες της μορφής ). Αρχικά, ορίζουμε τις εξής έξι ποσότητες: b = a + 4, a b = a + a, 4 4 a b = a + 4 6, b 6 a + 4a 8 = a a6 a6 aaa4 + aa a4, 4

c c 4 = b b 4 4, 6 = b b + 6bb4 6 6. Τώρα, ορίζουμε ως διακρίνουσα μιας ελλειπτικής καμπύλης της μορφής ) την ποσότητα Δ = b b8 8b4 7b6 + 9bb4b6 και ως j αναλλοίωτο την ποσότητα j = c 4 Δ. Περνώντας, τώρα, στην απλούστερη γενική μορφή ελλειπτικών καμπύλων, την : y = x + ax + b, και ειδικεύοντας τους προηγούμενους τύπους, βλέπουμε ότι η ελλειπτική διακρίνουσα δηλαδή η διακρίνουσα της ελλειπτικής καμπύλης) δίνεται από τη σχέση Δ Ε = 64a + 7b ). Προφανώς, εφόσον αναφερόμαστε σε ποσότητα που προσδιορίζει μια ελλειπτική καμπύλη, θα πρέπει να ισχύει Δ Ε 0. Τέλος, η j αναλλοίωτος για την υπολογίζεται να 8 a είναι η j ). 4a + 7b Πρόταση.: Ας είναι / K μία καμπύλη που περιγράφεται από μια εξίσωση του Weerstrass. Τότε, κάτω από τις ακόλουθες προϋποθέσεις, υπάρχει μια αντικατάσταση x = u x + r, y = u y + u sx + t, με u K * και r, s, t K έτσι, ώστε η / K να δίνεται από μια εξίσωση των παρακάτω μορφών. Έτσι, α) εάν char K, y = x a4x + a6 4a 4 4a 4 + 7a + Δ = 64a + 7 ) j = 78 6 β) εάν char K = και j ) 0 y + = x + a x a6 Δ = a a6 4 a6 j = - a / a6 5

εάν char K = και j ) = 0 y = x a4x + a6 + Δ = - a 4 j = 0 γ) εάν char K = και j ) 0 + a Δ = a 6 j = / a 6 y xy = x + a x + 6 εάν char K = και j ) = 0 y a y = x + a4 x + + a Δ = 6 4 a j = 0. Απόδειξη: Η απόδειξη έχει ήδη δοθεί στην περίπτωση όπου char K,. Αναφορικά με τις αποδείξεις των άλλων δύο ενδεχόμενων, ο αναγνώστης παραπέμπεται στο [] της βιβλιογραφίας. Υποθέτουμε αρχικά ότι το F q έχει χαρακτηριστική μεγαλύτερη του. Σε αυτή την περίπτωση, μια ελλειπτική καμπύλη πάνω στο F q είναι το σύνολο όλων των λύσεων x, y) F F μιας εξίσωσης της μορφής y = x + ax + b, όπου a, b F q και 4a + 7b 0, μαζί με ένα ειδικό σημείο ή O που καλείται επ άπειρον σημείο. Οι πλέον χρησιμοποιούμενες καμπύλες στην κρυπτογραφία είναι αυτές που ορίζονται πάνω σε σώμα m F q q, διότι μεταξύ άλλων οι πράξεις σε ένα τέτοιο σώμα αριθμών είναι ευκολότερο να εκτελεστούν από το λογισμικό του υπολογιστή απ ότι εκείνες σε σώμα με χαρακτηριστική μεγαλύτερη του. Έτσι, όπως είδαμε στην προηγούμενη πρόταση, εάν το σώμα F q έχει χαρακτηριστική, τότε υπάρχουν δύο είδη ελλειπτικών καμπύλων πάνω σε αυτό. Μία ελλειπτική καμπύλη με μηδενική j - αναλλοίωτο πάνω στο σύνολο όλων των λύσεων x, y) F F μιας εξίσωσης q q F q είναι το 6

y + cy = x + ax + b A), όπου a, b, c Fq, c 0, μαζί με το επ άπειρον σημείο O. Μία ελλειπτική καμπύλη με μη μηδενική j - αναλλοίωτο πάνω στο F q είναι το σύνολο όλων των λύσεων x, y) F F μιας εξίσωσης q Β), q y + xy = x + ax + b όπου a, b Fq, b 0, μαζί με το σημείο O που λειτουργεί ως ουδέτερο. Οι προσθετικοί κανόνες για τους δύο τύπους των καμπύλων πάνω στο F m δίνονται παρακάτω. Προσθετικός κανόνας για την καμπύλη Α): Έστω P = x, ). Τότε P = x, y + ). Εάν Q = x, ) y και Q P, τότε P + Q = x, ), όπου y + y x = ) + x + x x + x και x + a 4 x = c y, όταν P Q, όταν P = Q c y ενώ y = και y = y x + y + x ) x + x ) + y + c, όταν P Q x + a ) x + x) + y + c, όταν P = Q. c Προσθετικός κανόνας για την καμπύλη Β): Έστω P = x, ). Τότε P = x, y + ). Εάν Q = x, ) y και Q P, τότε P + Q = x, y ), όπου x y 7

x = και y x + y + x x = x ενώ y + y ) + + x + x + a, όταν P Q x + x b x +, όταν P = Q y + y y = ) x + x) + x + y x + x και y = x x + ) x + x x, όταν P Q y +, όταν P = Q. Ένα πολύ γνωστό θεώρημα του Hasse η απόδειξη του οποίου παρατίθεται στο τέλος αυτού του κεφαλαίου) δηλώνει ότι # F q ) = q + t, όπου t q. Παρακάτω δίνουμε τη διατύπωση του Θεωρήματος του Hasse για q =. Θεώρημα Hasse: Ας είναι μια ελλειπτική καμπύλη επί του σώματος F, η οποία δίνεται από την εξίσωση Y = X + a X +b 7). Τότε, το πλήθος # F ) των σημείων της στο F F ικανοποιεί την ανισότητα # F ) + ). Ας σημειώσουμε πρώτα ότι, στο Θεώρημα, αν αντικαταστήσουμε το με το r q =, τότε το αποτέλεσμα είναι το ίδιο με το q στη θέση του και η απόδειξη γίνεται πανομοιότυπα. Στο τέλος αυτού του κεφαλαίου, όπως προαναφέρθηκε, θα δοθεί μια απόδειξη του Θεωρήματος του Hasse. 8

Παράδειγμα.: Θεωρούμε την καμπύλη : y = x + x + mod ) που ορίζεται πάνω στο Τότε, # F = {,,...,} 0, η οποία είναι ελλειπτική, εφόσον Δ = 4a + 7b = 4 + 4 = 8 0 mod ). F q ) = 8, η ομάδα F ),+) είναι κυκλική και ένας γεννήτοράς της είναι το σημείο P = 0,). Έτσι, τα σημεία της F ) είναι πολλαπλάσια του P και παρουσιάζονται παρακάτω : P = 0,) P = 6,4) P =,) 4 P =,6) 5 P = 8,) 6 P = 7,) 7 P =,) 8 P = 5,9) 9 P = 9,8) 0 P =,4) P =,6) P = 7,0) P = 9,6) 4 P = 4,0) 5 P = 9,7) 6 P = 7,) 7 P =,7) 8 P =,9) 9 P = 9,5) 0 P = 5,4) P =,0) P = 7,) P = 8,0) 4 P =,7) 5 P =,0) 6 P = 6,4) 7 P = 0,) 8 P = Θέλουμε, τώρα, να προσθέσουμε δύο σημεία, τα x, ) =,0) y και x, ) = 9,7). Κάνοντας χρήση του προσθετικού νόμου, έχουμε y y y 7 0 λ = = = =. x x 9 6 Για να βρούμε το ισοδύναμο του λ moduo, λύνουμε την ισοδυναμία x mod ) x mod ). Παρατηρούμε ότι = mod ), οπότε παίρνουμε λ =. 9

Στη συνέχεια, από τη σχέση x = λ x x = 9 7 mod ), λαμβάνουμε ότι x 7 και από τη σχέση y = y + λ x x ) = 0 + 7) = 64 0 mod ), λαμβάνουμε ότι y = 0. Επομένως, το άθροισμα των σημείων 5 P και 5 P είναι το σημείο P. = Για να υπολογίσουμε το διπλάσιο κάποιου σημείου έστω του,0) ), κάνοντας χρήση των τύπων που προηγήθηκαν, βρίσκουμε αρχικά το λ = x + a) y, όπου a = στην καμπύλη Ε, οπότε + λ = = 0 Έτσι, 8 0 = 7 5. Είναι 7 x mod ) 5x 7 mod ) x = 6 λ = 6. 5 x = λ x = 0 x 7 mod ) x = 7 και y = y + λ x x) = 4 mod ) y =. Επομένως, το διπλάσιο του 5 P είναι το P. Παράδειγμα. : Θεωρούμε την ελλειπτική καμπύλη : y + xy = x + x + που είναι ορισμένη πάνω στο F. Το F κατασκευάζεται χρησιμοποιώντας το πρωταρχικό ανάγωγο πολυώνυμο f x) = x + x + και μια ρίζα α. Τότε, # F ) = 4 και η ομάδα F ),+) είναι κυκλική. Ένας γεννήτορας αυτής είναι το P = α, α 5 ). Τα σημεία της ομάδας, εκφρασμένα ως πολλαπλάσια του P, παρουσιάζονται παρακάτω: P = α, α 5 ) P = α,0) P = α,α 5 ) 4 P = α 5, 0) 5 P = α 4,α ) 6 P = α 6, α 6 ) 7 P = 0,) 8 P = α 6,0) 9 P = α 4, α 6 ) 0 P = α 5, α 5 ) P = α, α ) P = α, α ) P = α, α 6 ) 4 P =. 0

Υποθέτουμε ότι, είναι δύο ελλειπτικές καμπύλες ορισμένες πάνω σε ένα σώμα K. Τότε η είναι μια στρέβλωση twst) της πάνω στο K εάν οι, είναι ισόμορφες πάνω σε μια πεπερασμένη επέκταση L του K. Ας είναι K = F x) το σώμα ρητών κλασμάτων με μια μεταβλητή πάνω στο F, και ας υποθέσουμε ότι είναι η ελλειπτική καμπύλη που ορίζεται από την εξίσωση 7). Εάν ελλειπτική καμπύλη που ορίζεται από τη σχέση λ Y = X + a X + b, 8) λ είναι η όπου λ = λ x ) = x + a x +b, τότε αμφότερες οι και λ ορίζονται πάνω στο K και η λ είναι μια στρέβλωση της πάνω στο K. Για να περάσουμε στο κύριο μέρος της απόδειξης του Θεωρήματος του Hasse, θα θεωρήσουμε την ομάδα ρητών σημείων της λ K ) των K - λ. Παίρνοντας τις απαραίτητες σχέσεις των προσθετικών κανόνων που έχουμε δει, είναι εύκολο να παρατηρήσουμε ότι εάν X, Y ) = X, Y ) + X, ), τότε Y Εάν X, Y ) = X, ), τότε Y Y Y X = λ ) X + X ). X X X + a) X = X. 4 X + ax + b) λ Στο σώμα K = F x), η εξίσωση 0) έχει δύο προφανείς λύσεις : τις x,) και x, ) = x,). Μια λιγότερο προφανής λύση είναι η X = 0 x, Y. Έστω X, Y ) = X, Y ),), Z. ) / 0 = x + ax + b) 0 0 + x Εάν X, Y ) O, θα δείξουμε ότι X 0. Γράφοντας το X στην τελευταία σχέση ως X = P Q, όπου P, Q F [x] και το P είναι κανονικό, παίρνουμε μια συνάρτηση d : Z {0,,,,...}, με d ) = 0, εάν X, Y ) = O και d ) = deg P, αλλιώς. Θέτουμε d = d). Η απόδειξη του Ma για το Θεώρημα του Hasse βασίζεται στην ακόλουθη βασική ταυτότητα :

d d = d, + + + απόδειξη της οποίας παρατίθεται στο τέλος του κεφαλαίου. Η σύνδεση ανάμεσα στο Θεώρημα του Hasse και τη συνάρτηση ακόλουθη ταυτότητα : d + d = # F Από τον προσθετικό κανόνα έχουμε: x + ax + b)[ x x 0 ). + ax + b) x) + ] d είναι η x x + R x), x) ) / + X = x + x) = όπου R x) είναι ένα πολυώνυμο βαθμού το πολύ. Για να γράψουμε το X στη μορφή P / Q πρώτα παρατηρούμε ότι x x) = x x )... x + ). Οι μόνοι παράγοντες που μπορούν να διαγραφούν από τον παρονομαστή είναι είτε ο x r) με r + ar + b) ) / = είτε ο x r με r + ar + b = 0 0 r < ). Εάν m είναι το πλήθος των παραγόντων πρώτου είδους και είναι το πλήθος των παραγόντων δευτέρου είδους, τότε Όμως, d 0 =, οπότε d = deg P = + m. d + m d 0 =. Κάθε r στο F με r + ar + b 0 και r + ar + b τέλειο τετράγωνο στο F φανερώνει τις δύο λύσεις της 7) και μόνο την τελευταία λύση παίρνουμε από την r + ar + b = 0. Έτσι, # F ) = m) και αποδεικνύεται η ταυτότητα που θέλαμε. Λήμμα.: Η συνάρτηση d είναι ένα πολυώνυμο δευτέρου βαθμού ως προς. Πιο συγκεκριμένα, d = d d 0 ) + d 0.

Απόδειξη : Για = και = 0 το Λήμμα προφανώς ισχύει. Υποθέτουμε ότι ισχύει για και 0). Από τη βασική ταυτότητα έχουμε: d = d + + d = [ d d ) + d ] [ ) d d ) ) + d ] + 0 0 0 0 + ) d d ) ) + d, = 0 + 0 οπότε αποδείχθηκε το Λήμμα για +. Σύμφωνα με το αξίωμα της επαγωγής, το Λήμμα ισχύει για όλα τα. Όμοια αποδεικνύεται ότι ισχύει και για όλα τα 0. Απόδειξη του Θεωρήματος του Hasse Ma) : Το τετραγωνικό πολυώνυμο d x) = x d d 0 ) x + d 0 = x # F ) ) x + d 0 παίρνει μη αρνητικές τιμές για όλα τα Z. Έτσι, η διακρίνουσά του D = # F ) ) 4 δεν μπορεί να είναι θετική, διότι σε αντίθετη περίπτωση το d x) θα έχει δύο πραγματικές ρίζες α, β τέτοιες, ώστε για κάποιο να ισχύει α<β +. Επιπλέον, αμφότερες οι ισότητες δε γίνεται να ισχύουν ταυτόχρονα, διότι εξ ορισμού το d ) είναι μη μηδενικό για δύο διαδοχικούς ακέραιους. Αυτό, όμως, έρχεται σε αντίθεση με το γεγονός ότι α β) = D Z. Έτσι, # F ) ) 4 0, το οποίο αποδεικνύει τον ισχυρισμό # F ). Τελειώνουμε το κεφάλαιο με την απόδειξη της βασικής ταυτότητας, για την οποία χρειαζόμαστε το ακόλουθο λήμμα. Λήμμα.: Εάν X, Y ) Ο, τότε deg P > degq. Πιο συγκεκριμένα, X 0. Απόδειξη: Για να αποδείξουμε ότι ο βαθμός του αριθμητή μιας ρητής συνάρτησης R x) στο F x) είναι μεγαλύτερος από εκείνον του παρονομαστή της,

υπολογίζουμε την τιμή της R x) για x = και αποδεικνύουμε ότι R x) =. Το λήμμα προφανώς αληθεύει για = 0 και για όλα εκείνα τα > 0 για τα οποία ισχύει X, Y ) = Ο. Υποθέτουμε ότι το λήμμα αληθεύει για συγκεκριμένο 0 για το οποίο ισχύει X, Y ) Ο. Η απόδειξη για όλα τα 0 θα είναι απόρροια της επαγωγής όταν δείξουμε ότι το λήμμα ισχύει και για +. Καθώς X + + ax + + b Y+ = 9) x + ax + b είναι φανερό ότι deg P + > degq+ αν και μόνο αν Y + 0. Υποθέτουμε τώρα ότι deg P + degq+, δηλαδή, Y + = 0. Επειδή έχουμε ότι έτσι, ώστε X +, Y+ ) = X + Y ) + x Y,), Y = x X + ), x X + Όμως, X 0, οπότε + x = Y = Y + = + x X x 0 X ). Y X x =. Από τον προσθετικό κανόνα, σύμφωνα με τον οποίο 0) παίρνουμε X Y x + ax + b) x X x X + =, X + x Y = X x a + x b + x X x Έτσι, από τη σχέση 0) και την υπόθεση της επαγωγής προκύπτει ότι. X + Y a b 0 = = + + x X x x x X x = X x 0 άτοπο). 4

Αυτή η αντίφαση αποδεικνύει την ισχύ του λήμματος για 0. Η επαγωγή για 0 γίνεται με όμοιο τρόπο. Απόδειξη βασικής ταυτότητας: Στην περίπτωση που κάποιο από τα X, Y ), X, Y ), X, Y ) είναι + + το Ο, η βασική ταυτότητα εκφυλίζεται. Για την ακρίβεια, αν X, Y ) = Ο, τότε X = X + = x και d = 0, d = d + =, οπότε δεν υπάρχει κάτι να αποδείξουμε. Αν X, Y ) = Ο, τότε X, Y ) = x,) οπότε από τον προσθετικό κανόνα έχουμε 4 x ax 8bx + a X + = 4 x + ax + b) Φανερά, d = 0, d =. Η τρίτη εκδοχή, αν δηλαδή X +, Y+ ) = Ο, αντιμετωπίζεται με παρόμοιο τρόπο. Έτσι, μπορούμε να υποθέσουμε ότι κανένα από τα X, Y ),. X, Y ), X, Y ) δεν είναι το Ο. Από τον προσθετικό κανόνα, + + μετατρέπουμε όλους τους όρους σε ομώνυμους και παίρνουμε X = xq + P ) xq P ) Q xq + + Y P ) ) x + ax + b) Q δηλαδή, Όμοια, δηλαδή, X xq = + P ) xp + aq ) + bq xq P ) + Y x + ax + b) Q R X =. ) xq P ) + xq = + P ) xq xq = P ) Q xq + P ) xp + Y P ) xq ) x + aq ) + bq P ) + ax + b) Q Y x + ax + b) Q S X + =. ) xq P ),, 5

Πολλαπλασιάζοντας τις παραπάνω εκφράσεις για τα, λαμβάνουμε P Q P Q + + RS = xq P ) 4 xp = aq ) xq 4bQ P ) xq + P ). X X + ) Αν δείξουμε ότι τότε και από το λήμμα., παίρνουμε Q Q+ = xq P ), 4) P P = xp aq ) 4bQ xq + P ) + d d deg P P ) = deg x ) d +. + + = + P = Υπενθυμίζουμε ότι για ένα ανάγωγο πολυώνυμο = x) στο F [x], η απεικόνιση ν : x) Z { } F ορίζεται να είναι η δύναμη στην οποία εμφανίζεται το στην παραγοντοποίηση ρητών συναρτήσεων σε δυνάμεις ανάγωγων πολυωνύμων. Για να αποδείξουμε τη σχέση 4), αρκεί να δείξουμε ότι για κάθε ανάγωγο, ισχύει ν Q Q ) = ν xq P ) ). 5) + Είναι φανερό από την 9) ότι η ρητή συνάρτηση x ax b) Q Y + + είναι στην πραγματικότητα ένα πολυώνυμο, επομένως R, S F [ x]. Επιπλέον, για κάθε, Q είναι ο παρονομαστής του X στην απλούστερη μορφή του. Έτσι, έπεται από τις ) και ) ότι τόσο ο Q όσο ο Q + διαιρούν τον όρο xq ), έτσι, ώστε η σχέση ν xq P ) = 0 να P συνεπάγεται την ν Q Q ) 0. Επομένως, το μόνο που μένει να + = δείξουμε είναι ότι η 5) ισχύει για εκείνα τα για τα οποία είναι ν xq P ) > 0. Κάθε τέτοιο διαιρεί το γινόμενο RS. Αρχικά υποθέτουμε ότι το διαιρεί ακριβώς έναν από τους παράγοντες R, S. Ας πούμε ότι το διαιρεί τον R, όχι όμως και τον S. Από τις σχέσεις ), ) και ) 6

έχουμε ότι ν ) = 0 και ν Q ) = xq P ) ), σχέσεις που Q αποδεικνύουν την ισχύ της 4). + ν Τέλος, υποθέτουμε ότι ένας πρώτος διαιρέτης της διαφοράς xq P διαιρεί και τους δύο παράγοντες R και S. Έτσι, ο θα διαιρεί τόσο το γινόμενο Q + Y ) x + ax b) όσο και το Q Y ) x + ax b). + + Καθώς οι P, Q είναι πρώτοι μεταξύ τους και ο διαιρεί τη διαφορά xq P, ο δε γίνεται να διαιρεί τον Q. Επομένως, ο διαιρεί τα γινόμενα + Y ) x + ax + b) και Y ) x + ax + b) γεγονός που υποδηλώνει ότι ο διαιρεί το πολυώνυμο x + ax + b. [Λέγοντας ότι ο διαιρεί μια ρητή συνάρτηση μ x) εννοούμε ότι ισχύει ν μ x)). ] Το πολυώνυμο x + ax + b δεν έχει διπλές ρίζες, οπότε ν x + ax + b) =. Εάν ισχύουν ταυτόχρονα ν Y ) 0, τότε έπεται από τις σχέσεις ν Q ± ± Y ) x + ax + b)) = και από τις ιδιότητες της συνάρτησης ν ότι ν R) = ν S) =. Καθώς το γινόμενο RS διαιρείται από τον παράγοντα xq ), έχουμε ότι P ν xq P ) ) = ν RS) =. Αν κάποια από τις τιμές ν ± Y ) είναι θετική, έστω ν Y ) > 0, τότε θα ισχύει ότι ν Y ) 0. Στην πραγματικότητα, θα ισχύει η ισότητα γιατί σε άλλη περίπτωση δεν θα αποτελεί πολυώνυμο το γινόμενο Q Y ) x + ax b). Για το λόγο αυτό, ν S) =. Θέτουμε + ν + ) f και ν xq P ) g. Τότε Y = = f =ν + Y ) Y ) ) =ν ) ). Όμως, Y ) x = x + ax X ax + ax + b) Y ) + x X ) x + xx + X + a) =. 6) x + ax + b) Καθώς το πολυώνυμο είναι ανάγωγο, είναι προφανές ότι τα υπόλοιπα των πολυωνύμων στο F [x] σε διαίρεση με το συγκροτούν σώμα. 7

Καθώς το διαιρεί αμφότερα τα xq P και x + ax + b, σε αυτό το σώμα x = P Q = X και Έτσι, από την 6), έχουμε f έτσι, ώστε x + xx + X + a = x + a = ν x X ) = g, ν + ) x + ax + b)) = f + = g < g =ν xq P ) ). Y Αυτό δείχνει ότι ν R) = g και ν RS) g. Αυτό ολοκληρώνει την απόδειξη της βασικής ταυτότητας. = 0. 8

ΚΕΦΑΛΑΙΟ : ΠΑΡΑΓΟΝΤΟΠΟΙΗΣΗ ΑΚΕΡΑΙΩΝ ΜΕ ΤΗ ΧΡΗΣΗ ΕΛΛΕΙΠΤΙΚΩΝ ΚΑΜΠΥΛΩΝ Αυτό το κεφάλαιο είναι αφιερωμένο στην παραγοντοποίηση ακέραιων αριθμών. Υπάρχουν αρκετές μέθοδοι παραγοντοποίησης ενδεικτικά αναφέρουμε αυτή του Fermat, τη μέθοδο ρ του Poard, τη μέθοδο των διαδοχικών διαιρέσεων, τον αλγόριθμο του Dxo, και τον αλγόριθμο του Poard. Οι μέθοδοι που κυρίως χρησιμοποιούνται σήμερα είναι το κόσκινο των αλγεβρικών σωμάτων αριθμών και η μέθοδος των ελλειπτικών καμπύλων. Ο αναγνώστης παραπέμπεται στα [4], [8], [0] της βιβλιογραφίας για περισσότερες λεπτομέρειες. Η μέθοδος παραγοντοποίησης του Lestra, η γνωστότερη ως μέθοδος των ελλειπτικών καμπύλων, και η ανάλυση αυτής είναι ο απώτερος στόχος του κεφαλαίου. Προτού προσεγγίσουμε τον αλγόριθμο παραγοντοποίησης του Lestra, θα παραθέσουμε μια κλασική τεχνική παραγοντοποίησης, στην οποία εν μέρει βασίζεται ο εν λόγω αλγόριθμος, τη μέθοδο του Poard.. Η μέθοδος του Poard974) Υποθέτουμε ότι ο N είναι ένας θετικός σύνθετος περιττός ακέραιος βλ. [4], σελ. -). Παρακάτω περιγράφουμε τον αλγόριθμο του Poard:. Επιλέγουμε ένα θετικό ακέραιο B και υπολογίζουμε το γινόμενο k = q B q [ogq B], όπου ο αριθμός q διατρέχει το σύνολο των πρώτων που είναι μικρότεροι ή ίσοι του B.. Επιλέγουμε έναν ακέραιο a, με < a < N και υπολογίζουμε το μέγιστο κοινό διαιρέτη δ = a, N ). 9

. Εάν δ >, τότε αυτός είναι ένας μη τετριμμένος παράγοντας του N. Εάν δ =, τότε υπολογίζουμε το μέγιστο κοινό διαιρέτη d = a k, N ). 4. Εάν < d < N, τότε ο d είναι ένας μη τετριμμένος παράγοντας του N. Εάν d = ή N, τότε επιλέγουμε έναν άλλο ακέραιο B και επαναλαμβάνουμε τη διαδικασία. Η μέθοδος του Poard χρησιμοποιείται συνήθως όταν ο N έχει έναν πρώτο παράγοντα < N τέτοιον, ώστε ο να είναι γινόμενο μικρών πρώτων αριθμών. Ας υποθέσουμε ότι ο διαιρεί τον k. Τότε, μέσα στην πολλαπλασιαστική ομάδα Z * των ακεραίων moduo, η κλάση του k a ταυτίζεται με το ουδέτερο στοιχείο, σύμφωνα με το μικρό Θεώρημα του Fermat, οπότε ο διαιρεί το μκδ a k, N ). Έτσι η μέθοδος βρίσκει έναν μη τετριμμένο διαιρέτη του N. Από την άλλη, εάν για κάθε πρώτο αριθμό που διαιρεί τον N ο έχει έναν μεγάλο πρώτο παράγοντα, τότε η προαναφερθείσα μέθοδος δεν ενδείκνυται, καθώς δε θεωρείται πιθανό να επιτύχουμε το στόχο μας μέσα σε ένα λογικό χρονικό πλαίσιο. Η νέα μέθοδος προκύπτει από την μέθοδο του Poard με αντικατάσταση της πολλαπλασιαστικής ομάδας από την ομάδα σημείων μιας τυχαίας ελλειπτικής καμπύλης. Επιπρόσθετα, κατέχει ένα πλήθος ιδιοτήτων που την καθιστούν χρήσιμη, ακόμη κι αν χρησιμοποιείται σε συνδυασμό με άλλους αλγορίθμους. Απαιτεί μικρό χώρο αποθήκευσης και έχει παρόμοιο αναμενόμενο τρέχοντα χρόνο. Μοναδικός ανάμεσα στους αλγόριθμους παραγοντοποίησης, λειτουργεί λαμβάνοντας υπόψη το μέγεθος των πρώτων διαιρετών. Με άλλα λόγια, ο χρόνος του εξαρτάται από το μέγεθος του μικρότερου πρώτου διαιρέτη του N και όχι αυτού του N. Έτσι, είναι δυνατό να χρησιμοποιηθεί κατάλληλα για να απομακρύνουμε κάποιους μικρούς παράγοντες, ύστερα από χρήση της ρ μεθόδου του Poard για παράδειγμα. Επιπλέον, μπορεί να εντοπίσει χωρίς τόσο κόπο πρώτους παράγοντες που έχουν 0 40

έως 0 δεκαδικά ψηφία. Αυτό σημαίνει ότι εάν ο N είναι ίσος με ένα γινόμενο δύο σχεδόν ίσων πρώτων αριθμών που δεν έχουν συγκεκριμένες ιδιότητες, η μέθοδος των ελλειπτικών καμπύλων δεν θα είναι ικανή να παραγοντοποιήσει τον N εάν αυτός έχει περισσότερα από, παραδείγματος χάριν, 70 ψηφία. Σε αυτή την περίπτωση, καλό θα ήταν να εργαστούμε με το κόσκινο των σωμάτων αριθμών ή το τετραγωνικό κόσκινο. Υπενθυμίζουμε ότι ο προσθετικός κανόνας στην ομάδα μιας ελλειπτικής καμπύλης της μορφής y = x + ax + b δίνεται από τύπους που περιλαμβάνουν την έκφραση y y ) x ). Αυτή έχει νόημα σε x ένα σώμα όταν x x ), όμως, εάν αποφασίσουμε να δουλέψουμε στο Z N, η προηγούμενη πράξη δε θα έχει νόημα πάντα, καθώς η διαφορά x x δεν είναι πάντα αντιστρέψιμη όταν x x. Όμως, αυτό είναι ακριβώς το ζητούμενο: εάν η διαφορά x x δεν είναι αντιστρέψιμο στοιχείο του Z N όπου x x ), τότε ο μκδ x x, N ) είναι ένας μη τετριμμένος διαιρέτης του N. Εξαιτίας της προηγούμενης παρατήρησης, θα εργαστούμε πάνω σε μια ελλειπτική καμπύλη moduo N λεπτομερής ορισμός αυτής θα δοθεί παρακάτω) και θα δουλέψουμε σα να ήταν ο N πρώτος. Όλα θα λειτουργούν κανονικά στο διάστημα που κάθε μη μηδενικός αριθμός moduo N που θεωρούμε είναι αντιστρέψιμος. Όταν θα τερματίσει, θα έχουμε βρει μια μη τετριμμένη παραγοντοποίηση του N. Σε αυτό το σημείο ο αναγνώστης θα διερωτάται ποια είναι η σχέση των ελλειπτικών καμπύλων με όλα αυτά. Θα μπορούσαμε να επιλέξουμε τυχαίους αριθμούς x moduo N και να υπολογίσουμε το x, N ) ελπίζοντας να βρούμε έναν μη τετριμμένο διαιρέτη του N. Είναι εύκολο να δούμε ότι αυτός θα ήταν ένας αλγόριθμος χρόνου Ο N /+ε ) απολύτως ακατάλληλος. Εάν, όμως, ο N έχει έναν πρώτο διαιρέτη τέτοιο, ώστε η ελλειπτική καμπύλη που χρησιμοποιούμε να έχει έναν μικρό αριθμό σημείων moduo, η μέθοδος θα το ανακαλύψει, δηλαδή θα βρει ένα σημείο της καμπύλης που θα έχει 4

παρονομαστή των συντεταγμένων του αντιστρέψιμο moduo. Αυτό σημαίνει ότι θα υπάρχουν κάποια x, x με την ιδιότητα x mod x ), οπότε x x, N ) >, και επομένως ο μκδ θα αποτελεί έναν μη τετριμμένο διαιρέτη του N.. Ελλειπτικές καμπύλες moduo N Προτού δώσουμε τις λεπτομέρειες αυτής της μεθόδου, είναι χρήσιμο να αναφέρουμε κάποια στοιχεία προβολικής γεωμετρίας πάνω στο Z N όταν ο N δεν είναι πρώτος. Ορισμός.: Ορίζουμε τον -διάστατο προβολικό χώρο πάνω στο Z N ως ακολούθως. Ας είναι = { x, x,..., x ) Z + / μκδ x, x,..., x, ) N =}. 0 0 N Εάν R είναι η σχέση που ορίζεται από τον πολλαπλασιασμό με ένα αντιστρέψιμο στοιχείο του Z N δηλαδή P R Q αν και μόνο αν P = kq, όπου τα P και Q είναι στοιχεία του συνόλου και το k είναι ένα αντιστρέψιμο στοιχείο του Z N ), τότε η R είναι μια σχέση ισοδυναμίας, και ορίζουμε P Z N ) = / R, δηλαδή το σύνολο των κλάσεων ισοδυναμίας της moduo τη σχέση R. Θα συμβολίζουμε με x x :...: x ) την κλάση ισοδυναμίας του x, x,..., x ). 0 : 0 ΠΑΡΑΤΗΡΗΣΕΙΣ: ) Επανερχόμαστε στο συνηθισμένο ορισμό του -διάστατου προβολικού χώρου όταν ο N είναι πρώτος. ) Το σύνολο Z N μπορεί με φυσικό τρόπο να εμφυτευτεί στον P Z N ) αντιστοιχίζοντας το x, x,..., ) στο x : x :...: :). 0 x 0 x 4

Αυτό το υποσύνολο του P Z N ) θα καλείται για τους σκοπούς μας αφφινικός του υποχώρος, και θα συμβολίζεται με Aff P Z N ). ) Ας είναι m ένας θετικός ακέραιος. Θα συμβολίζουμε με [ x] m την κλάση ενός ακέραιου x moduo m. Θα χρησιμοποιούμε αυτόν το συμβολισμό στην περίπτωση εκείνη που εργαζόμαστε ταυτόχρονα με ισοτιμίες διαφορετικών μέτρων. Εάν είναι ένας πρώτος διαιρέτης του N ή, στην πραγματικότητα, ένας οποιοσδήποτε διαιρέτης), υπάρχει μια απεικόνιση ορισμένη με φυσικό τρόπο) από το P Z N ) στο P Z ) με [ x ] a [ x] που επάγεται από την αναγωγή προβολικών συντεταγμένων moduo N. Τότε, ένα σημείο P P Z N ) ανήκει στο Aff P Z N ) αν και μόνο αν η αναγωγή του P moduo οποιονδήποτε πρώτο διαιρέτη του N ανήκει στο Aff P Z ). 4) Όταν ο N είναι πρώτος, έχουμε μια φυσική ανάλυση: P Z N ) = το Aff P Z N ) P Z N ) ταυτίζοντας το x x :...: ) με 0 : x x x :...: : 0). Στη γενική περίπτωση, αυτό δεν ισχύει. 0 : x Ας δώσουμε ένα παράδειγμα. Η προβολική ευθεία στο Z 6 έχει στοιχεία, τα: 0:), :), :), :), 4:), 5:), :), :), 5:), :), :) και :0), όπου με 0,,,, 4, 5 συμβολίζουμε τα στοιχεία του Z 6. Τα έξι πρώτα στοιχεία δημιουργούν τον αφφινικό υποχώρο, ενώ το τελευταίο στοιχείο -το :0)- αντιστοιχεί στο σύνηθες επ άπειρον σημείο, το P 0. Τα υπόλοιπα πέντε στοιχεία είναι τα ειδικά σημεία. Είναι φανερό ότι η εύρεση ενός στοιχείου του ειδικού υποσυνόλου του P Z N ) αυτόματα παραγοντοποιεί τον N, έτσι τα ειδικά σημεία είναι εκείνα που μας ενδιαφέρουν για την παραγοντοποίηση. 4