Chapitre VII - Courbes elliptiques
Universit´e Pierre et Marie Curie
Cours de cryptographie MM067 - 2012/13
Alain Kraus
Chapitre VII - Courbes elliptiques
On va pr´esenter dans ce chapitre une introduction `a la th´eorie des courbes elliptiques
et en donner des applications `a la cryptographie. On verra l’analogue elliptique de certains
cryptosyst`emes `a cl´es publiques, et des applications aux probl`emes de primalit´e et de
factorisation des entiers. Le lien entre la cryptographie et les courbes elliptiques est apparu
il y a une trentaine d’ann´ees. Par exemple, la th´eorie des courbes elliptiques sur un corps
fini est tr`es utile pour la cryptographie `a cl´e publique. On sera amen´e `a admettre quelques
r´esultats essentiels qui seraient trop longs `a d´emontrer ici, mais que l’on pourra utiliser
librement, aussi bien d’un point de vue th´eorique que pratique.
Table des mati`eres
1. D´efinition - G´en´eralit´es 1
2. Loi de groupe 7
3. Points de torsion 15
4. Courbes elliptiques sur les corps finis 23
5. M´ethodes de comptage 32
6. Cryptosyst`emes elliptiques 37
7. Courbes elliptiques sur Z/nZ41
8. Primalit´e - Th´eor`eme ECPP 47
9. M´ethode de factorisation ECM 51
1. D´efinition - G´en´eralit´es
On ne va pas donner ici la d´efinition la plus g´en´erale d’une courbe elliptique d´efinie
sur un corps commutatif. Elle n’est pas indispensable pour nos objectifs. Pour cette raison,
on se placera dans la situation o`u la caract´eristique du corps de base est distincte de 2 et
3. Plus pr´ecis´ement, dans tout le chapitre, la lettre Kd´esignera
un corps de caract´eristique 0, ou un corps fini de caract´eristique distincte de 2 et 3.
On notera Kune clˆoture alg´ebrique de Kchoisie implicitement.
1
1. D´efinition
Nous adopterons la d´efinition suivante.
D´efinition 7.1. Une courbe elliptique d´efinie sur Kest une courbe projective plane
d’´equation
(1) y2z=x3+axz2+bz3,
o`u aet bsont des ´el´ements de Kv´erifiant la condition
(2) 4a3+ 27b26= 0.
Il convient d’en expliquer la signification. Rappelons pour cela que le plan projectif
sur K, que l’on notera P2Kou P2, est l’ensemble quotient
K3−(0,0,0)∼
o`u ∼est la relation d’´equivalence telle que pour tous (x, y, z) et (x0, y0, z0) non nuls de K3,
(x, y, z)∼(x0, y0, z0)⇐⇒ il existe λ∈K∗tel que (x0, y0, z0) = λ(x, y, z).
Il s’identifie `a l’ensemble des droites vectorielles de K3. Pour tout (x, y, z) non nul dans
K3, on note [x, y, z] sa classe d’´equivalence.
Consid´erons des ´el´ements aet bde K. Dans l’anneau des polynˆomes K[X, Y, Z], posons
F=Y2Z−(X3+aXZ2+bZ3).
C’est un polynˆome homog`ene de degr´e 3. Si (x, y, z) est un ´el´ement non nul de K3, la
condition F(x, y, z)=0,ne d´epend que de sa classe dans P2K.
Terminologie. Soit P= [x, y, z] un point de P2K. On dit que Pest un z´ero de F
dans K, ou plus simplement un z´ero de F, si l’on a F(x, y, z) = 0. On signifie par, courbe
projective plane d’´equation (1), l’ensemble des z´eros de Fdans K.
Quant `a la condition (2), elle signifie que les racines dans Kdu polynˆome
f=X3+aX +b
sont simples. Plus pr´ecis´ement :
2
Lemme 7.1. Le discriminant(1) de fest −(4a3+ 27b2). En particulier, les racines de f
sont simples si et seulement si 4a3+ 27b2est non nul.
D´emonstration : Soit ∆ le discriminant de f. Notons α,βet γles racines de fdans
Ket f0le polynˆome d´eriv´e de f. V´erifions que l’on a
(3) ∆ = −f0(α)f0(β)f0(γ).
On a f= (X−α)(X−β)(X−γ), d’o`u
f0= (X−α)(X−β)+(X−α)(X−γ)+(X−β)(X−γ),
puis les ´egalit´es
f0(α) = (α−β)(α−γ), f0(β)=(β−α)(β−γ), f0(γ) = (γ−α)(γ−β),
ce qui implique (3). Par suite, on a
∆ = −(3α2+a)(3β2+a)(3γ2+a),
autrement dit,
∆ = −27(αβγ)2+ 9a(α2β2+α2γ2+β2γ2)+3a2(α2+β2+γ2) + a3.
Par ailleurs, on a
α2β2+α2γ2+β2γ2= (αβ +αγ +βγ)2−2αβγ(α+β+γ),
α2+β2+γ2= (α+β+γ)2−2(αβ +αγ +βγ).
Les relations entre les coefficients et les racines de f,
α+β+γ= 0, αβ +αγ +βγ =aet αβγ =−b,
entraˆınent alors le r´esultat.
(1) Soit gun polynˆome unitaire `a coefficients dans Kde degr´e n≥1. Soient α1,···, αn
ses nracines dans Kcompt´ees avec multiplicit´es. Le discriminant ∆ de gest d´efini par
l’´egalit´e
∆ = Y
i<j
(αi−αj)2.
C’est un ´el´ement de K.
3
Terminologie. Les ´el´ements aet bv´erifiant la condition (2), on dit que la courbe
elliptique d’´equation (1) est d´efinie sur Kpour pr´eciser que aet bsont dans K.
Remarque 7.1. En toute caract´eristique, une courbe elliptique sur un corps peut
ˆetre d´efinie comme ´etant une courbe projective lisse d’´equation
(4) y2z+a1xyz +a3yz2=x3+a2x2z+a4xz2+a6z3,
o`u les aisont dans le corps de base. Le mot hh lisse ii signifie qu’il n’existe pas de point
[x0, y0, z0]∈P2tel que, en posant
F(x, y, z) = y2z+a1xyz +a3yz2−(x3+a2x2z+a4xz2+a6z3),
on ait
F(x0, y0, z0) = ∂F
∂x (x0, y0, z0) = ∂F
∂y (x0, y0, z0) = ∂F
∂z (x0, y0, z0)=0.
On peut d´emontrer que, K´etant de caract´eristique distincte de 2 et 3, une courbe lisse
d’´equation (4) est hh isomorphe sur Kii `a une courbe de la forme (1) pour laquelle la con-
dition (2) est satisfaite. Dans notre situation, la d´efinition 7.1 n’est donc pas restrictive.
2. Partie affine - Point `a l’infini
Posons
U=n[x, y, z]∈P2K
z6= 0o.
On dispose de l’application Φ : U→K2d´efinie par
Φ([x, y, z]) = x
z,y
z.
C’est une bijection, dont l’application r´eciproque est donn´ee par la formule
Φ−1(x, y)=[x, y, 1].
Consid´erons des ´el´ements aet bde Ktels que 4a3+ 27b26= 0. Soit Ela courbe
elliptique d´efinie sur Kd’´equation
y2z=x3+axz2+bz3.
L’ensemble des points [x, y, z]∈Etels que z= 0 est r´eduit au singleton Oo`u
O= [0,1,0].
4
Par ailleurs, E∩Us’identifie via Φ `a l’ensemble des ´el´ements (x, y) de K2v´erifiant l’´egalit´e
(5) y2=x3+ax +b.
Terminologie. On dira que E∩Uest la partie affine de Eet que Oest le point `a
l’infini de E.
Dans toute la suite, on identifiera E∩Uet le sous-ensemble de K2form´e des ´el´ements
(x, y) v´erifiant (5). Avec cette identification, on a
(6) E=n(x, y)∈K×K
y2=x3+ax +bo∪nOo.
Ainsi, Eest la courbe affine d’´equation (5) `a laquelle on adjoint le point `a l’infini O. C’est
pourquoi on d´efinira souvent une courbe elliptique par sa partie affine, sans pr´eciser le
point O. Cela ´etant, il ne faudra pas perdre de vue l’importance du point `a l’infini, comme
on s’en rendra compte notamment dans la d´efinition de la loi de groupe sur Eque l’on
verra plus loin.
Remarque 7.2. On retiendra qu’une courbe affine d’´equation de la forme (5) est une
courbe elliptique si et seulement si, par d´efinition, la condition (2) est satisfaite.
3. Points rationnels d’une courbe elliptique
Soit Lune extension de Kdans K.
D´efinition 7.2. Soit P= [x, y, z]un point de P2. On dit que Pest rationnel sur Ls’il
existe λ∈K∗tel que λx,λy et λz soient dans L. On note P2(L)l’ensemble des points de
P2rationnels sur L.
Cela justifie la notation P2=P2K.
Remarque 7.3. ´
Etant donn´e un point [x1, x2, x3]∈P2, le fait qu’il soit rationnel sur
Ln’implique pas que les xisoient dans L. Cela signifie qu’il existe itel que xisoit non
nul, et que chaque xj
xiappartienne `a L.
Soit Eune courbe elliptique d´efinie sur Kd’´equation (1).
D´efinition 7.3. Un point de Eest dit rationnel sur Ls’il appartient `a E∩P2(L). On
note E(L)l’ensemble des points de Erationnels sur L.
Par d´efinition, on a donc
(7) E=EK.
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
1
/
55
100%
