Accouplement de Weil

Modèle:Voir homonymes En géométrie algébrique et en théorie des nombres, l'accouplement^{[Note 1]} de Weil est une relation mathématique entre certains points d'une courbe elliptique, plus spécifiquement une application bilinéaire fonctorielle entre ses points de torsion. Cet accouplement est nommé en l'honneur du mathématicien français André Weil, qui en a systématisé l'étude^[1]. Il s'agit d'un outil important dans l'étude de ces courbes^[2].

Il est possible de définir un accouplement de Weil pour les courbes définies sur le corps des complexes^[3] ou sur des corps finis^[4] ; dans ce dernier cas, l'algorithme de Miller permet de le calculer efficacement, ce qui est à la base de la cryptographie à base de couplages sur les courbes elliptiques. Une construction similaire s'étend aux variétés algébriques plus générales^{[Note 2]}Modèle:,^[5].

On considère une courbe elliptique ${\displaystyle E}$ définie sur un corps ${\displaystyle k}$. Soit ${\displaystyle n>0}$ un entier^{[Note 3]}, et on suppose que ${\displaystyle k}$ contient une racine primitive ${\displaystyle n}$-ième de l'unité, et on note ${\displaystyle {\mu }_n}$le groupe cyclique des racines ${\displaystyle n}$-ièmes de l'unité dans ${\displaystyle k}$. Notons enfin les points de ${\displaystyle n}$-torsion de la courbe :

$${\displaystyle E[n]=\{P\in E(\bar{k})\mid [n]P=O\}}$$

où ${\displaystyle [n]}$ est l'application de « multiplication par ${\displaystyle n}$ » dans le groupe des points rationnels de la courbe, ${\displaystyle O}$ est l'élément neutre du groupe (le « point à l'infini »), et ${\displaystyle \bar{k}}$ est la clôture algébrique de ${\displaystyle k}$. Alors il existe un accouplement :

$${\displaystyle w_n:E[n]\times E[n]\to {\mu }_n}$$que l'on appelle accouplement de Weil. Cette fonction possède notamment les propriétés suivantes :

• Bilinéarité : ${\displaystyle w_n(P+Q,R)=w_n(P,R)w_n(Q,R)}$.
• Alternance : ${\displaystyle w_n(P,Q)=w_n(Q,P{)}^{-1}}$ et en particulier, ${\displaystyle w_n(P,P)=1}$.
• Non-dégénerescence : si ${\displaystyle w_n(P,Q)=1}$ pour tout ${\displaystyle Q\in E[n]}$ alors ${\displaystyle P=O}$; de même si ${\displaystyle w_n(P,Q)=1}$ pour tout ${\displaystyle P\in E[n]}$, alors ${\displaystyle Q=O}$.
• Invariance par les opérations du groupe de Galois : pour tout ${\displaystyle \sigma \in \mathrm{Gal}(\bar{k}/k)}$, ${\displaystyle w_n(P^{\sigma },Q^{\sigma })=w_n(P,Q{)}^{\sigma }}$

Pour une courbe définie sur un corps fini ${\displaystyle {𝔽}_q}$, le plus petit entier ${\displaystyle \ell }$ tel que ${\displaystyle n\mid q^{\ell }-1}$ est appelé « degré de plongement ». Il correspond au degré de la plus petite extension dans laquelle les racines ${\displaystyle n}$-ièmes de l'unité sont définies. Cette terminologie provient de l'attaque MOV^[6] qui permet notamment d'attaquer le problème du logarithme discret sur une courbe elliptique ${\displaystyle E({𝔽}_q)}$ en plongeant le problème dans un corps fini, précisément ${\displaystyle {𝔽}_{q^{\ell }}}$, dans lequel des algorithmes plus efficaces sont connus tels que le crible du corps de nombre généralisé. Les applications cryptographiques reposent donc souvent sur des courbes à haut degré de plongement pour éviter de telles attaques : par exemple Curve25519 a un degré de plongement supérieur à ${\displaystyle 2^{249}}$^[7]. Dans les applications de cryptographie à base de couplages on utilise au contraire des courbes dont le degré de plongement est faible : la courbe de Barreto-Naehrig BN(2,254) par exemple a un degré de plongement égal à 12^[7]. C'est notamment le cas de plusieurs courbes supersingulières^[8]Modèle:,^[9].

Une courbe elliptique définie sur ${\displaystyle ℂ}$ correspond à un quotient ${\displaystyle E=ℂ/⟨1,\tau ⟩}$où ${\displaystyle \tau }$ appartient au demi-plan de Poincaré. Soient ${\displaystyle a+b\tau ,c+d\tau \in E[n]}$deux points de ${\displaystyle n}$-torsion, on définit l'accouplement de Weil par^[3] :

$${\displaystyle w_n(a+b\tau ,c+d\tau )=\exp \left[2i\pi n(ad-bc)\right]}$$

On vérifie immédiatement que cette expression satisfait les propriétés d'un accouplement.

D'une manière générale, si on connaît une base de ${\displaystyle E[n]}$, alors on peut obtenir aisément une expression analogue : soit ${\displaystyle \{A,B\}}$ une base de ${\displaystyle E[n]}$, on écrit ${\displaystyle P=aA+bB,Q=cA+dB}$, et on définit

$${\displaystyle w_n(P,Q)=w_n(aA+bB,cA+dB)=w_n(A,B{)}^{(ad-bc)}}$$

Cependant, étant donnés des points ${\displaystyle P,Q}$, il est nécessaire en général de résoudre un problème de logarithme discret sur la courbe elliptique pour être capable d'exprimer les coordonnées ${\displaystyle a,b,c,d}$ utilisées dans l'expression ci-dessus.

Le cas général est en fait mieux décrit en termes de diviseurs, qui se prête également volontiers au calcul explicite. Si ${\displaystyle P}$ est un point de ${\displaystyle n}$-torsion de la courbe, on pose le diviseur ${\displaystyle D_P=n(P)-n(O)}$ et on note ${\displaystyle f_P}$ un élément du corps des fonctions sur ${\displaystyle E(\bar{k})}$ qui possède ${\displaystyle D_P}$ pour diviseur^{[Note 4]}. Sommairement, l'accouplement de Weil est défini par « ${\displaystyle f_P(D_Q)/f_Q(D_P)}$ » sauf que cette expression n'est pas définie. En effet, ${\displaystyle f_P}$ possède un pôle en ${\displaystyle O\in \mathrm{supp}{D}_Q}$ (et de même en intervertissant ${\displaystyle P}$ et ${\displaystyle Q}$). Il suffit cependant de remplacer ${\displaystyle D_P}$ (ou ${\displaystyle D_Q}$) par un diviseur linéairement équivalent, c'est-à-dire qui diffère de ${\displaystyle D_P}$ (resp. ${\displaystyle D_Q}$) uniquement d'un diviseur principal.

En pratique, cela revient à décaler ${\displaystyle D_P}$ en faisant intervenir un point arbitraire ${\displaystyle R}$ pour obtenir ${\displaystyle {D_P}^{\prime }=n(P+R)-n(R)}$. La valeur de l'accouplement de Weil est bien sûr invariante par une telle modification^[4].

Le calcul d'une fonction ${\displaystyle f_P}$ correspondant à un diviseur donné ${\displaystyle D_P}$ a longtemps été considéré difficile, jusqu'à l'introduction du très efficace algorithme de Miller ^[10].

Le caractère alternant de l'accouplement ainsi obtenu est évident ; la bilinéarité découle en général de la loi de réciprocité de Weil, à savoir que pour deux fonctions ${\displaystyle f,g}$ du corps de fonctions de la courbe sur un corps algébriquement clos, ${\displaystyle f(\mathrm{div}g)=g(\mathrm{div}f)}$^[1].

Soit ${\displaystyle \ell }$ un premier positif (et premier avec la caractéristique de ${\displaystyle k}$ lorsque celle-ci est positive), alors on peut étendre l'accouplement de Weil ${\displaystyle e_{{\ell }^n}}$ initialement défini sur ${\displaystyle E[{\ell }^n]}$ pour l'appliquer au module de Tate ${\displaystyle \ell }$-adique, ${\displaystyle T_{\ell }(E)}$. On vérifie pour cela que la suite des accouplements pour les puissances successives de ${\displaystyle \ell }$ est projective, c'est-à-dire que ${\displaystyle e_{{\ell }^{n+1}}(P,Q{)}^{\ell }=e_{{\ell }^n}([\ell ]P,[\ell ]Q)}$, ce qui découle directement de la bilinéarité. Puisque l'application « multiplication par ${\displaystyle \ell }$ » ${\displaystyle [\ell ]:E[{\ell }^{n+1}]\to E[{\ell }^n]}$ et que l'application « mise à la puissance ${\displaystyle \ell }$ » ${\displaystyle (\cdot {)}^{\ell }:{\mu }_{{\ell }^{n+1}}\to {\mu }_{{\ell }^n}}$ forment également des systèmes projectifs compatibles, on définit l'accouplement de Weil ${\displaystyle \ell }$-adique comme la limite projective des accouplements sur ${\displaystyle E[{\ell }^n]}$ :

$${\displaystyle w_{T_{\ell }}:T_{\ell }(E)\times T_{\ell }(E)\to \underleftarrow{\lim }{\mu }_{{\ell }^n}}$$

Prenons ${\displaystyle q=p=23}$, ${\displaystyle E:y^2=x^3-x}$^{[Note 5]}. On a ${\displaystyle |E({𝔽}_q)|=24}$. Le point ${\displaystyle P=(2,11)}$ est d'ordre ${\displaystyle m=3}$. Le degré de plongement est ${\displaystyle k}$ (car ${\displaystyle 3\mid 23^2-1}$). Posons ${\displaystyle {𝔽}_{q^2}={𝔽}_q[X]/(X^2+1)={𝔽}_q(i)}$. Alors ${\displaystyle Q=(21,12i)\in E({𝔽}_{q^2})}$ est aussi d'ordre 3. L'algorithme de Miller permet d'obtenir les diviseurs :$${\displaystyle \begin{array}{cc}{f}_P& :y+11x+13\\ f_Q& :y+11ix+10i\end{array}}$$qui correspondent à

$${\displaystyle \begin{array}{cc}{D}_P& =3(P)-3(O)\\ D_Q& =3(Q)-3(O)\end{array}}$$

À cause du point soulevé précédemment, on ne peut pas directement évaluer, il faut faire intervenir un point pour déplacer le diviseur. Par souci de symétrie considérons deux points et on déplacera les deux diviseurs :

$${\displaystyle \begin{array}{cc}R& =(17i,21+2i)\\ S& =(18i+10,13+13i)\end{array}}$$

deux points de ${\displaystyle E({𝔽}_{q^2})}$. Et on pose$${\displaystyle \begin{array}{cc}{D_P}^{\prime }& =(P+R)-(R)\\ {D_Q}^{\prime }& =(Q+S)-(S)\end{array}}$$Les fonctions correspondantes s'obtiennent aisément au moyen de l'algorithme de Miller :$${\displaystyle \begin{array}{cc}{f_P}^{\prime }& =f_P{\left(\frac{v_{P+R}}{{\ell }_{PR}}\right)}^3\\ {f_Q}^{\prime }& =f_Q{\left(\frac{v_{Q+S}}{{\ell }_{QS}}\right)}^3\end{array}}$$Et finalement on a l'accouplement de Weil :$${\displaystyle \begin{array}{cc}{w}_m& :E({𝔽}_{q^k})[m]\times E({𝔽}_{q^k})[m]\to {\mu }_m\\ w_m& :(P,Q)\mapsto \frac{{f_P}^{\prime }({D_Q}^{\prime })}{{f_Q}^{\prime }({D_P}^{\prime })}\end{array}}$$On obtient ${\displaystyle w_m(P,Q)=15i+11}$ et on vérifie que c'est une racine cubique de l'unité. De même, $${\displaystyle \begin{array}{cc}{e}_m([2]P,Q)& =8i+11\\ e_m([2]P,[2]Q)& =15i+11\end{array}}$$ce qui vérifie les relations de bilinéarité.

• Courbe elliptique supersingulière
• Cryptographie à base de couplages
• Accouplement de Lichtenbaum-Tate
• Accouplement de Néron-Tate
• Accouplement de Cassels-Tate
• Accouplement Ate
• Accouplement Eta

Modèle:Portail