Теорема Хассе

Эта статья находится на начальном уровне проработки, в одной из её версий выборочно используется текст из источника, распространяемого под свободной лицензией
Материал из энциклопедии Руниверсалис

Теорема Хассе об эллиптических кривых, также называемая границей Хассе, даёт оценку числа точек на эллиптической кривой над конечным полем, причём ограничивает значения как сверху, так и снизу. Теорема Хассе эквивалентна определению абсолютного значения корней локальной дзета-функции. В этом виде её можно рассматривать как аналог гипотезы Римана для поля функций, ассоциированного с эллиптической кривой.

История

Важным вопросом теории эллиптических кривых над конечными полями является получение эффективного алгоритма подсчёта количества точек, лежащих на данной кривой. В 1924 году Эмиль Артин выдвинул гипотезу, ограничивающую число точек эллиптической кривой над конечным полем сверху и снизу[1]. Доказал эту гипотезу Хельмут Хассе в 1933 году и опубликовал в серии статей в 1936 году[2]. Впоследствии результаты работ Хассе были обобщены Андре Вейлем на кривые произвольного рода и использованы для изучения локальных дзета-функций.

Формулировка теоремы

Множество аффинных точек эллиптической кривой [math]\displaystyle{ y^2 = x^3 - 7x + 10 }[/math] над полем [math]\displaystyle{ \mathbb{F}_q }[/math] для [math]\displaystyle{ q = 19, 97, 127, 487 }[/math].

Теорема Хассе об эллиптических кривых утверждает, что количество точек [math]\displaystyle{ N }[/math] на эллиптической кривой над конечным полем [math]\displaystyle{ \mathbb{F}_q }[/math] удовлетворяет неравенству [math]\displaystyle{ |N - (q + 1)| \leqslant 2\sqrt{q} }[/math].[3][4]

Неравенство вытекает из того факта, что [math]\displaystyle{ N }[/math] отличается от [math]\displaystyle{ q + 1 }[/math], числа точек на проективной прямой над тем же полем, на сумму двух комплексно-сопряжённых чисел, имеющих модуль [math]\displaystyle{ \sqrt{q} }[/math].

Доказательство

В ходе доказательства важнейшую роль будет играть видоизменённое уравнение

[math]\displaystyle{ Y^2 = \frac{X^3+aX+b}{x^3+ax+b} }[/math]

решения которого ищем в области рациональных функции от переменной [math]\displaystyle{ x }[/math]. Два решения этого уравнения просты и равны [math]\displaystyle{ X=x, Y=1 }[/math]; [math]\displaystyle{ X=x^p, Y=(x^3+ax+b)^{(p-1)/2} }[/math].

Сложение решений этого уравнения происходит по тем же формулам, что и сложение точек на эллиптической кривой, то есть третья точка выбирается на пересечении кривой и прямой, и результатом будет точка с координатами

[math]\displaystyle{ X_3=-X_1-X_2+\frac{Y_2-Y_1}{X_2-X_1}(x^3+ax+b) }[/math]
[math]\displaystyle{ Y_3=\frac{Y_2-Y_1}{X_2-X_1}(X_3-X_1)+Y_1 }[/math]

Далее построим бесконечную последовательность решений, которая представляет собой арифметическую прогрессию с разностью [math]\displaystyle{ (x, 1) }[/math] и начальным членом

[math]\displaystyle{ (X_0, Y_0) = (x^p, (x^3+ax+b)^{(p-1)/2}) }[/math]

Каждый элемент последовательности представим в виде несократимого соотношения [math]\displaystyle{ X_n=\frac{P_n}{Q_n} }[/math]. Далее введем функцию [math]\displaystyle{ d_n }[/math], равную степени многочлена [math]\displaystyle{ P_n }[/math].

Для доказательства нам потребуются 4 леммы:

Лемма 1: [math]\displaystyle{ d_{-1}-d_0-1=N_p-p }[/math]

Лемма 2: [math]\displaystyle{ d_n=n^2-(d_{-1}-d_0-1)n+d_0 }[/math]

Лемма 3: Для всех n, для которых функция Xn определена, имеет место неравенство ст. Рn > ст. Qn.

Основная лемма: [math]\displaystyle{ d_{n-1}+d_{n+1}=2d_n+2 }[/math].

Согласно леммам 1 и 2, [math]\displaystyle{ d_n=n^2-(N-p)n+p }[/math], и этот квадратный трехчлен принимает неотрицательные значения для всех [math]\displaystyle{ n }[/math], причем по определению не может иметь двух последовательных нулей. Отсюда имеем, что дискриминант не может быть положительным, иначе было 2 корня [math]\displaystyle{ a, b }[/math], между [math]\displaystyle{ n }[/math] и [math]\displaystyle{ n+1 }[/math], и числа [math]\displaystyle{ ab }[/math] и [math]\displaystyle{ a+b }[/math] не могут быть одновременно целыми. Следовательно,

[math]\displaystyle{ (N-p)^2-4p\leqslant0 }[/math],

так что

[math]\displaystyle{ |N-p| \leqslant 2\sqrt{p} }[/math]. Теорема доказана.

Доказательство при помощи эндоморфизма Фробениуса

Существует альтернативное доказательство теоремы Хассе, в основе которого лежит использование эндоморфизма Фробениуса.

Для конечного поля [math]\displaystyle{ \mathbb{F}_q }[/math] с алгебраическим замыканием [math]\displaystyle{ \overline{\mathbb{F}_q} }[/math] вводится отображение:

[math]\displaystyle{ \begin{array}{lcl}\phi_q:\overline{\mathbb{F}_q}\rightarrow\overline{\mathbb{F}_q} \\ \qquad x\mapsto x^q \end{array} }[/math]

На точки эллиптической кривой [math]\displaystyle{ E(\mathbb{F}_q) }[/math] оно действует следующим образом: [math]\displaystyle{ \phi_q(x,y) = (x^q,y^q) }[/math], [math]\displaystyle{ \phi_q(\infty) = \infty }[/math].

Для доказательства используются следующие 4 леммы.

Исходя из леммы 4, и поскольку [math]\displaystyle{ \deg(r\phi_q - s) \geqslant 0 }[/math], получается, что

[math]\displaystyle{ q \biggl({r \over s}\biggl)^2 - a\biggl({r \over s}\biggl) + 1 \geqslant 0 }[/math]

для любых [math]\displaystyle{ r, s }[/math], где [math]\displaystyle{ \gcd(s,q) = 1 }[/math].

Множество рациональных чисел [math]\displaystyle{ r/s }[/math], где [math]\displaystyle{ \gcd(s,q) = 1 }[/math], плотное в [math]\displaystyle{ \mathbb{R} }[/math]. Отсюда, обозначив [math]\displaystyle{ r/s = x }[/math], получаем неравенство [math]\displaystyle{ qx^2 - ax + 1 \geqslant 0 }[/math], верное для всех действительных [math]\displaystyle{ x }[/math].

Так как дискриминант полинома меньше или равен нулю, то есть [math]\displaystyle{ a^2 - 4q \leqslant 0 }[/math], то имеем [math]\displaystyle{ |a| \leqslant 2\sqrt q }[/math].

Доказательство теоремы Хассе на основе эндоморфизма Фробениуса также лежит в основе алгоритма Шуфа. Данный алгоритм позволяет подсчитать количество точек для заданной эллиптической кривой за полиномиальное время.

Граница Хассе — Вейля

Обобщением границы Хассе для алгебраических кривых более высокого рода является граница Хассе — Вейля. Пусть имеется абсолютно неприводимая неособая кривая [math]\displaystyle{ C }[/math] рода [math]\displaystyle{ g }[/math] над конечным полем [math]\displaystyle{ \mathbb{F}_q }[/math]. Тогда для количества точек [math]\displaystyle{ \#C(\mathbb{F}_q) }[/math] на этой кривой справедливо неравенство

[math]\displaystyle{ |\#C(\mathbb{F}_q) - (q+1)| \leqslant 2g \sqrt{q}. }[/math]

Как и в случае обычной границы Хассе, этот результат эквивалентен определению абсолютного значения корней локальной дзета-функции кривой [math]\displaystyle{ C }[/math] и является аналогом гипотезы Римана для поля функций, ассоциированного с кривой. В случае эллиптических кривых граница Хассе — Вейля совпадает с обычной границей Хассе, поскольку эллиптические кривые имеют род [math]\displaystyle{ g = 1 }[/math].

Граница Хассе — Вейля является следствием более общих гипотез Вейля для проективных многообразий над конечным полем, сформулированных Андре Вейлем в 1949 году[5] и доказанных им для случая кривых.

Применение

Криптография

В криптографии используются алгоритмы шифрования, основанные на эллиптических кривых. Стойкость этих алгоритмов основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой. Поскольку до сих пор не существует быстрых алгоритмов вычисления дискретного логарифма на эллиптической кривой, то использование эллиптических кривых позволяет сильно ускорить алгоритмы шифрования за счёт уменьшения размера используемого модуля [math]\displaystyle{ p }[/math]. Теорема Хассе же позволяет весьма точно определить размер простого числа [math]\displaystyle{ q }[/math], необходимого для достаточной сложности алгоритма.

Связь с локальной дзета-функцией Римана

Дзета-функцию эллиптической кривой [math]\displaystyle{ E }[/math] над полем [math]\displaystyle{ \mathbb{F}_q }[/math] можно записать в виде

[math]\displaystyle{ Z_E(t) = {1 - a_q(E)t + qt^2 \over (1-t)(1-qt)} }[/math],

где [math]\displaystyle{ a_q = q - N_q }[/math], а [math]\displaystyle{ N_q }[/math] — количество аффинных точек проективной кривой [math]\displaystyle{ E }[/math]. Гипотеза Римана для кривых над конечными полями утверждает, что все нули функции [math]\displaystyle{ \zeta_E(s) = Z_E(q^{-s}) }[/math] лежат на прямой [math]\displaystyle{ \operatorname{Re}(s) = 1/2 }[/math] или, что эквивалентно, удовлетворяют равенству [math]\displaystyle{ |q^s| = \sqrt{q} }[/math].

Несложно показать, что для эллиптических кривых эта гипотеза эквивалентна теореме Хассе. Действительно, если [math]\displaystyle{ Z_E(q^{-s}) = 0 }[/math], то [math]\displaystyle{ q^s }[/math] является корнем квадратного многочлена [math]\displaystyle{ f(u) = u^2 - a_qu + q }[/math], чей дискриминант [math]\displaystyle{ a_q^2 - 4q \leqslant 0 }[/math] по теореме Хассе. Значит, корни [math]\displaystyle{ u_1,u_2 }[/math] многочлена [math]\displaystyle{ f(u) }[/math] комплексно сопряжены и [math]\displaystyle{ |q^s| = |u_1| = |u_2| = \sqrt{q} }[/math], что доказывает гипотезу Римана. И наоборот, из выполнения гипотезы Римана следует равенство [math]\displaystyle{ |u_1| = |u_2| = \sqrt{q} }[/math], что означает, что корни [math]\displaystyle{ u_1,u_2 }[/math] комплексно сопряжены, а значит, дискриминант [math]\displaystyle{ f(u) }[/math] неположителен, что доказывает теорему Хассе.

Примечания

  1. Artin, Emil. Quadratische Körper im Gebiete der höheren Kongruenzen. II. Analytischer Teil // Mathematische Zeitschrift[нем.] : journal. — Luxemburg : Springer-Verlag, 1924. — Vol. 19, no. 1. — P. 207–246. — ISSN 0025-5874. — doi:10.1007/BF01181075. — Zbl 51.0144.05.MR 1544652 Архивная копия от 11 сентября 2018 на Wayback Machine.
  2. Hasse, Helmut. Zur Theorie der abstrakten elliptischen Funktionenkörper. I, II & III // Crelle’s Journal : journal. — Berlin : Walter de Gruyter, 1936. — Vol. 1936, no. 175. — ISSN 0075-4102. — doi:10.1515/crll.1936.175.193. — Zbl 0014.14903.
  3. Hasse’s bound for elliptic curves over finite fields. PlanetMath. Дата обращения: 18 декабря 2017. Архивировано 27 января 2021 года.
  4. Болотов А. А., Гашков С. Б., Фролов А. Б., Часовских А. А. Элементарное введение в эллиптическую криптографию : Алгебраические и алгоритмические основы. — М. : КомКнига, 2006. — Т. 1. — 328 с. — ISBN 5-484-00443-8.
  5. Weil, André. Numbers of solutions of equations in finite fields // Bulletin of the American Mathematical Society : journal. — N. Y. : American Mathematical Society, 1949. — Vol. 55, no. 5. — P. 497–508. — ISSN 0002-9904. — doi:10.1090/S0002-9904-1949-09219-4.MR 0029393 Архивная копия от 1 мая 2018 на Wayback Machine

Литература