Accouplement de Weil

En géométrie algébrique et en théorie des nombres, l'accouplement^{[Note 1]} de Weil est une relation mathématique entre certains points d'une courbe elliptique, plus spécifiquement une application bilinéaire fonctorielle entre ses points de torsion. Cet accouplement est nommé en l'honneur du mathématicien français André Weil, qui en a systématisé l'étude^[1]. Il s'agit d'un outil important dans l'étude de ces courbes^[2].

Il est possible de définir un accouplement de Weil pour les courbes définies sur le corps des complexes^[3] ou sur des corps finis^[4] ; dans ce dernier cas, l'algorithme de Miller permet de le calculer efficacement, ce qui est à la base de la cryptographie à base de couplages sur les courbes elliptiques. Une construction similaire s'étend aux variétés algébriques plus générales^{[Note 2]}^,^[5].

Définition[modifier | modifier le code]

On considère une courbe elliptique $E$ définie sur un corps $k$ . Soit $n>0$ un entier^{[Note 3]}, et on suppose que $k$ contient une racine primitive $n$ -ième de l'unité, et on note $\mu _{n}$ le groupe cyclique des racines $n$ -ièmes de l'unité dans $k$ . Notons enfin les points de $n$ -torsion de la courbe :

E[n]=\left\{P\in E({\overline {k}})\mid [n]P=O\right\}

où $[n]$ est l'application de « multiplication par $n$ » dans le groupe des points rationnels de la courbe, $O$ est l'élément neutre du groupe (le « point à l'infini »), et ${\overline {k}}$ est la clôture algébrique de $k$ . Alors il existe un accouplement :

w_{n}:E[n]\times E[n]\to \mu _{n}

que l'on appelle accouplement de Weil. Cette fonction possède notamment les propriétés suivantes :

Bilinéarité : $w_{n}(P+Q,R)=w_{n}(P,R)w_{n}(Q,R)$ .
Alternance : $w_{n}(P,Q)=w_{n}(Q,P)^{-1}$ et en particulier, $w_{n}(P,P)=1$ .
Non-dégénerescence : si $w_{n}(P,Q)=1$ pour tout $Q\in E[n]$ alors $P=O$ ; de même si $w_{n}(P,Q)=1$ pour tout $P\in E[n]$ , alors $Q=O$ .
Invariance par les opérations du groupe de Galois : pour tout $\sigma \in \operatorname {Gal} ({\overline {k}}/k)$ , $w_{n}(P^{\sigma },Q^{\sigma })=w_{n}(P,Q)^{\sigma }$

Degré de plongement[modifier | modifier le code]

Pour une courbe définie sur un corps fini $\mathbb {F} _{q}$ , le plus petit entier $\ell$ tel que $n\mid q^{\ell }-1$ est appelé « degré de plongement ». Il correspond au degré de la plus petite extension dans laquelle les racines $n$ -ièmes de l'unité sont définies. Cette terminologie provient de l'attaque MOV^[6] qui permet notamment d'attaquer le problème du logarithme discret sur une courbe elliptique $E(\mathbb {F} _{q})$ en plongeant le problème dans un corps fini, précisément $\mathbb {F} _{q^{\ell }}$ , dans lequel des algorithmes plus efficaces sont connus tels que le crible du corps de nombre généralisé. Les applications cryptographiques reposent donc souvent sur des courbes à haut degré de plongement pour éviter de telles attaques : par exemple Curve25519 a un degré de plongement supérieur à $2^{249}$ ^[7]. Dans les applications de cryptographie à base de couplages on utilise au contraire des courbes dont le degré de plongement est faible : la courbe de Barreto-Naehrig BN(2,254) par exemple a un degré de plongement égal à 12^[7]. C'est notamment le cas de plusieurs courbes supersingulières^[8]^,^[9].

Construction explicite[modifier | modifier le code]

Courbe elliptique définie sur ℂ[modifier | modifier le code]

Une courbe elliptique définie sur $\mathbb {C}$ correspond à un quotient $E=\mathbb {C} /\langle 1,\tau \rangle$ où $\tau$ appartient au demi-plan de Poincaré. Soient $a+b\tau ,c+d\tau \in E[n]$ deux points de $n$ -torsion, on définit l'accouplement de Weil par^[3] :

w_{n}(a+b\tau ,c+d\tau )=\exp \left[2i\pi n\left(ad-bc\right)\right]

On vérifie immédiatement que cette expression satisfait les propriétés d'un accouplement.

Cas général sur une courbe elliptique[modifier | modifier le code]

D'une manière générale, si on connaît une base de $E[n]$ , alors on peut obtenir aisément une expression analogue : soit $\{A,B\}$ une base de $E[n]$ , on écrit $P=aA+bB,Q=cA+dB$ , et on définit

w_{n}(P,Q)=w_{n}(aA+bB,cA+dB)=w_{n}(A,B)^{\left(ad-bc\right)}

Cependant, étant donnés des points $P,Q$ , il est nécessaire en général de résoudre un problème de logarithme discret sur la courbe elliptique pour être capable d'exprimer les coordonnées $a,b,c,d$ utilisées dans l'expression ci-dessus.

Le cas général est en fait mieux décrit en termes de diviseurs, qui se prête également volontiers au calcul explicite. Si $P$ est un point de $n$ -torsion de la courbe, on pose le diviseur $D_{P}=n(P)-n(O)$ et on note $f_{P}$ un élément du corps des fonctions sur $E({\overline {k}})$ qui possède $D_{P}$ pour diviseur^{[Note 4]}. Sommairement, l'accouplement de Weil est défini par « $f_{P}(D_{Q})/f_{Q}(D_{P})$ » sauf que cette expression n'est pas définie. En effet, $f_{P}$ possède un pôle en $O\in \operatorname {supp} D_{Q}$ (et de même en intervertissant $P$ et $Q$ ). Il suffit cependant de remplacer $D_{P}$ (ou $D_{Q}$ ) par un diviseur linéairement équivalent, c'est-à-dire qui diffère de $D_{P}$ (resp. $D_{Q}$ ) uniquement d'un diviseur principal.

En pratique, cela revient à décaler $D_{P}$ en faisant intervenir un point arbitraire $R$ pour obtenir $D_{P}'=n(P+R)-n(R)$ . La valeur de l'accouplement de Weil est bien sûr invariante par une telle modification^[4].

Le calcul d'une fonction $f_{P}$ correspondant à un diviseur donné $D_{P}$ a longtemps été considéré difficile, jusqu'à l'introduction du très efficace algorithme de Miller ^[10].

Le caractère alternant de l'accouplement ainsi obtenu est évident ; la bilinéarité découle en général de la loi de réciprocité de Weil, à savoir que pour deux fonctions $f,g$ du corps de fonctions de la courbe sur un corps algébriquement clos, $f(\operatorname {div} g)=g(\operatorname {div} f)$ ^[1].

Accouplement de Weil ℓ-adique[modifier | modifier le code]

Soit $\ell$ un premier positif (et premier avec la caractéristique de $k$ lorsque celle-ci est positive), alors on peut étendre l'accouplement de Weil $e_{\ell ^{n}}$ initialement défini sur $E[\ell ^{n}]$ pour l'appliquer au module de Tate $\ell$ -adique, $T_{\ell }(E)$ . On vérifie pour cela que la suite des accouplements pour les puissances successives de $\ell$ est projective, c'est-à-dire que $e_{\ell ^{n+1}}(P,Q)^{\ell }=e_{\ell ^{n}}\left([\ell ]P,[\ell ]Q\right)$ , ce qui découle directement de la bilinéarité. Puisque l'application « multiplication par $\ell$ » $[\ell ]:E[\ell ^{n+1}]\to E[\ell ^{n}]$ et que l'application « mise à la puissance $\ell$ » $(\cdot )^{\ell }:\mu _{\ell ^{n+1}}\to \mu _{\ell ^{n}}$ forment également des systèmes projectifs compatibles, on définit l'accouplement de Weil $\ell$ -adique comme la limite projective des accouplements sur $E[\ell ^{n}]$ :

w_{T_{\ell }}:T_{\ell }(E)\times T_{\ell }(E)\to \varprojlim \mu _{\ell ^{n}}

Exemple[modifier | modifier le code]

Prenons $q=p=23$ , $E:y^{2}=x^{3}-x$ ^{[Note 5]}. On a $|E(\mathbb {F} _{q})|=24$ . Le point $P=(2,11)$ est d'ordre $m=3$ . Le degré de plongement est $k$ (car $3\mid 23^{2}-1$ ). Posons $\mathbb {F} _{q^{2}}=\mathbb {F} _{q}[X]/(X^{2}+1)=\mathbb {F} _{q}(i)$ . Alors $Q=(21,12i)\in E(\mathbb {F} _{q^{2}})$ est aussi d'ordre 3. L'algorithme de Miller permet d'obtenir les diviseurs :

{\begin{aligned}f_{P}&:{}y+11x+13\\f_{Q}&:{}y+11ix+10i\end{aligned}}

qui correspondent à

{\begin{aligned}D_{P}&=3(P)-3(O)\\D_{Q}&=3(Q)-3(O)\end{aligned}}

À cause du point soulevé précédemment, on ne peut pas directement évaluer, il faut faire intervenir un point pour déplacer le diviseur. Par souci de symétrie considérons deux points et on déplacera les deux diviseurs :

{\begin{aligned}R&=(17i,21+2i)\\S&=(18i+10,13+13i)\end{aligned}}

deux points de $E(\mathbb {F} _{q^{2}})$ . Et on pose

{\begin{aligned}D_{P}'&=(P+R)-(R)\\D_{Q}'&=(Q+S)-(S)\end{aligned}}

Les fonctions correspondantes s'obtiennent aisément au moyen de l'algorithme de Miller :

{\begin{aligned}f_{P}'&=f_{P}\left({\frac {v_{P+R}}{\ell _{PR}}}\right)^{3}\\f_{Q}'&=f_{Q}\left({\frac {v_{Q+S}}{\ell _{QS}}}\right)^{3}\end{aligned}}

Et finalement on a l'accouplement de Weil :

{\begin{aligned}w_{m}&:{}E(\mathbb {F} _{q^{k}})[m]\times E(\mathbb {F} _{q^{k}})[m]\to \mu _{m}\\w_{m}&:{}(P,Q)\mapsto {\frac {f_{P}'(D_{Q}')}{f_{Q}'(D_{P}')}}\end{aligned}}

On obtient

w_{m}(P,Q)=15i+11

et on vérifie que c'est une racine cubique de l'unité. De même,

{\begin{aligned}e_{m}([2]P,Q)&=8i+11\\e_{m}([2]P,[2]Q)&=15i+11\end{aligned}}

ce qui vérifie les relations de bilinéarité.

Voir aussi[modifier | modifier le code]

Notes et références[modifier | modifier le code]

Notes[modifier | modifier le code]

↑ On utilise parfois le terme de « couplage » par analogie avec l'anglais pairing, mais Weil lui-même utilise bien « accouplement » avec le sens mathématique précis que recouvre ce terme.
↑ Dans ce cas, l'accouplement porte entre les points de torsion de la variété et les points de torsion de sa variété duale.
↑ Si $k$ est de caractéristique positive, on requiert que $n$ et $\operatorname {char} k$ soient premiers entre eux.
↑ Un tel élément existe et est unique à une constante multiplicative près.
↑ Il s'agit d'une courbe elliptique supersingulière.

Références[modifier | modifier le code]

↑ ^{a et b} André Weil, « Sur les fonctions algébriques à corps de constantes fini », Les Comptes rendus de l'Académie des sciences, vol. 210,‎ 1940, p. 592–594
↑ (en) Joseph H. Silverman, « A Survey of Local and Global Pairings on Elliptic Curves and Abelian Varieties », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2010 (ISBN 9783642174544, DOI 10.1007/978-3-642-17455-1_24, lire en ligne), p. 377–396
↑ ^{a et b} (en) Steven D. Galbraith, « The Weil pairing on elliptic curves over C », IACR ePrint Archive, n^o 323,‎ 2005 (lire en ligne, consulté le 14 août 2018)
↑ ^{a et b} (en) Joseph H. Silverman, « The Arithmetic of Elliptic Curves », Graduate Texts in Mathematics,‎ 2009 (ISSN 0072-5285 et 2197-5612, DOI 10.1007/978-0-387-09494-6, lire en ligne, consulté le 14 août 2018)
↑ (en) James Milne, « Abelian varieties »
↑ (en) A.J. Menezes, T. Okamoto et S.A. Vanstone, « Reducing elliptic curve logarithms to logarithms in a finite field », IEEE Transactions on Information Theory, vol. 39, n^o 5,‎ 1993, p. 1639–1646 (ISSN 0018-9448, DOI 10.1109/18.259647, lire en ligne, consulté le 14 août 2018)
↑ ^{a et b} (en) Daniel J. Bernstein, « SafeCurves : Transfers », sur cr.yp.to, 2013
↑ (en) Steven D. Galbraith, « Supersingular Curves in Cryptography », dans Advances in Cryptology — ASIACRYPT 2001, Springer Berlin Heidelberg, 2001 (ISBN 9783540429876, DOI 10.1007/3-540-45682-1_29, lire en ligne), p. 495–513
↑ (en) Alfred Menezes, « Supersingular Elliptic Curves in Cryptography », dans Pairing-Based Cryptography – Pairing 2007, Springer Berlin Heidelberg, 2 juillet 2007 (ISBN 9783540734888, DOI 10.1007/978-3-540-73489-5_15, lire en ligne), p. 293–293
↑ Vanessa Vitse, Couplages sur courbes elliptiques définies sur des corps finis : Mémoire de Master 2, Université Versailles Saint-Quentin, 2008, 42 p. (lire en ligne)

[1] On utilise parfois le terme de « couplage » par analogie avec l'anglais pairing, mais Weil lui-même utilise bien « accouplement » avec le sens mathématique précis que recouvre ce terme.

[6] Dans ce cas, l'accouplement porte entre les points de torsion de la variété et les points de torsion de sa variété duale.

[8] Si $k$ est de caractéristique positive, on requiert que $n$ et $\operatorname {char} k$ soient premiers entre eux.

[13] Un tel élément existe et est unique à une constante multiplicative près.

[15] Il s'agit d'une courbe elliptique supersingulière.

[:1-2] {a et b} André Weil, « Sur les fonctions algébriques à corps de constantes fini », Les Comptes rendus de l'Académie des sciences, vol. 210,‎ 1940, p. 592–594

[3] (en) Joseph H. Silverman, « A Survey of Local and Global Pairings on Elliptic Curves and Abelian Varieties », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2010 (ISBN 9783642174544, DOI 10.1007/978-3-642-17455-1_24, lire en ligne), p. 377–396

[:0-4] {a et b} (en) Steven D. Galbraith, « The Weil pairing on elliptic curves over C », IACR ePrint Archive, n^o 323,‎ 2005 (lire en ligne, consulté le 14 août 2018)

[:2-5] {a et b} (en) Joseph H. Silverman, « The Arithmetic of Elliptic Curves », Graduate Texts in Mathematics,‎ 2009 (ISSN 0072-5285 et 2197-5612, DOI 10.1007/978-0-387-09494-6, lire en ligne, consulté le 14 août 2018)

[7] (en) James Milne, « Abelian varieties »

[9] (en) A.J. Menezes, T. Okamoto et S.A. Vanstone, « Reducing elliptic curve logarithms to logarithms in a finite field », IEEE Transactions on Information Theory, vol. 39, n^o 5,‎ 1993, p. 1639–1646 (ISSN 0018-9448, DOI 10.1109/18.259647, lire en ligne, consulté le 14 août 2018)

[:3-10] {a et b} (en) Daniel J. Bernstein, « SafeCurves : Transfers », sur cr.yp.to, 2013

[11] (en) Steven D. Galbraith, « Supersingular Curves in Cryptography », dans Advances in Cryptology — ASIACRYPT 2001, Springer Berlin Heidelberg, 2001 (ISBN 9783540429876, DOI 10.1007/3-540-45682-1_29, lire en ligne), p. 495–513

[12] (en) Alfred Menezes, « Supersingular Elliptic Curves in Cryptography », dans Pairing-Based Cryptography – Pairing 2007, Springer Berlin Heidelberg, 2 juillet 2007 (ISBN 9783540734888, DOI 10.1007/978-3-540-73489-5_15, lire en ligne), p. 293–293

[14] Vanessa Vitse, Couplages sur courbes elliptiques définies sur des corps finis : Mémoire de Master 2, Université Versailles Saint-Quentin, 2008, 42 p. (lire en ligne)

[Note 1]

[1]

[2]

[3]

[4]

[Note 2]

[5]

[Note 3]

[6]

[7]

[8]

[9]

[Note 4]

[10]

[Note 5]