Теорема Хассе
Теорема Хассе об эллиптических кривых, также называемая границей Хассе, даёт оценку числа точек на эллиптической кривой над конечным полем, причём ограничивает значения как сверху, так и снизу. Теорема Хассе эквивалентна определению абсолютного значения корней локальной дзета-функции. В этом виде её можно рассматривать как аналог гипотезы Римана для поля функций, ассоциированного с эллиптической кривой.
История
Важным вопросом теории эллиптических кривых над конечными полями является получение эффективного алгоритма подсчёта количества точек, лежащих на данной кривой. В 1924 году Эмиль Артин выдвинул гипотезу, ограничивающую число точек эллиптической кривой над конечным полем сверху и снизу[1]. Доказал эту гипотезу Хельмут Хассе в 1933 году и опубликовал в серии статей в 1936 году[2]. Впоследствии результаты работ Хассе были обобщены Андре Вейлем на кривые произвольного рода и использованы для изучения локальных дзета-функций.
Формулировка теоремы
Теорема Хассе об эллиптических кривых утверждает, что количество точек [math]\displaystyle{ N }[/math] на эллиптической кривой над конечным полем [math]\displaystyle{ \mathbb{F}_q }[/math] удовлетворяет неравенству [math]\displaystyle{ |N - (q + 1)| \leqslant 2\sqrt{q} }[/math].[3][4]
Неравенство вытекает из того факта, что [math]\displaystyle{ N }[/math] отличается от [math]\displaystyle{ q + 1 }[/math], числа точек на проективной прямой над тем же полем, на сумму двух комплексно-сопряжённых чисел, имеющих модуль [math]\displaystyle{ \sqrt{q} }[/math].
Доказательство
В ходе доказательства важнейшую роль будет играть видоизменённое уравнение
- [math]\displaystyle{ Y^2 = \frac{X^3+aX+b}{x^3+ax+b} }[/math]
решения которого ищем в области рациональных функции от переменной [math]\displaystyle{ x }[/math]. Два решения этого уравнения просты и равны [math]\displaystyle{ X=x, Y=1 }[/math]; [math]\displaystyle{ X=x^p, Y=(x^3+ax+b)^{(p-1)/2} }[/math].
Сложение решений этого уравнения происходит по тем же формулам, что и сложение точек на эллиптической кривой, то есть третья точка выбирается на пересечении кривой и прямой, и результатом будет точка с координатами
- [math]\displaystyle{ X_3=-X_1-X_2+\frac{Y_2-Y_1}{X_2-X_1}(x^3+ax+b) }[/math]
- [math]\displaystyle{ Y_3=\frac{Y_2-Y_1}{X_2-X_1}(X_3-X_1)+Y_1 }[/math]
Далее построим бесконечную последовательность решений, которая представляет собой арифметическую прогрессию с разностью [math]\displaystyle{ (x, 1) }[/math] и начальным членом
- [math]\displaystyle{ (X_0, Y_0) = (x^p, (x^3+ax+b)^{(p-1)/2}) }[/math]
Каждый элемент последовательности представим в виде несократимого соотношения [math]\displaystyle{ X_n=\frac{P_n}{Q_n} }[/math]. Далее введем функцию [math]\displaystyle{ d_n }[/math], равную степени многочлена [math]\displaystyle{ P_n }[/math].
Для доказательства нам потребуются 4 леммы:
Лемма 1: [math]\displaystyle{ d_{-1}-d_0-1=N_p-p }[/math]
Согласно формулам сложения имеем [math]\displaystyle{ X_{-1}=-x-x^p+\frac{(1+(x^3+ax+b)^{(p-1)/2})^2(x^3+ax+b)}{(x-x^p)^2} }[/math], далее заметим что степень числителя больше степени знаменателя на 1, так как [math]\displaystyle{ X_{-1}=\frac{x^{2p+1}+R(x)}{(x-x^p)^2} }[/math], где R(x) - многочлен степени, не превосходящей 2p. Вычислим знаменатель дроби по проведении необходимых сокращений. С одной стороны [math]\displaystyle{ (x-x^p)^2=(x(x-1)...(x-p+1))^2 }[/math], с другой, как известно,
- [math]\displaystyle{ (x^3+ax+b)^{(p-1)/2}=\left(\frac{x^3+ax+b}{p}\right) }[/math]
потому при сокращении из знаменателя выпадут лишь множители вида [math]\displaystyle{ (x-k)^2 }[/math] с [math]\displaystyle{ \frac{k^3+ak+b}{p}=-1 }[/math], и множители вида [math]\displaystyle{ (x-l) }[/math] с [math]\displaystyle{ l^3+al+b=0 }[/math]. Пусть [math]\displaystyle{ m }[/math]-количество множителей первого рода, а [math]\displaystyle{ n }[/math] - второго. Тогда [math]\displaystyle{ d_{-1}=2p-2m-n+1 }[/math], и учитывая, что [math]\displaystyle{ d_0=p }[/math], получаем [math]\displaystyle{ d_{-1}-d_0-1=p-2m-n }[/math]. Число [math]\displaystyle{ N }[/math] же равно [math]\displaystyle{ 2(p-m)-n }[/math], так как каждому классу вычетов [math]\displaystyle{ k }[/math] соответствует два решения, а классу вычетов [math]\displaystyle{ l }[/math] - одно. Это доказывает требуемое.
Лемма 2: [math]\displaystyle{ d_n=n^2-(d_{-1}-d_0-1)n+d_0 }[/math]
По основной лемме [math]\displaystyle{ d_{n+2}=2d_{n+1}-d_n+2 }[/math]. Очевидно, что для [math]\displaystyle{ n=-1 }[/math] и [math]\displaystyle{ n=0 }[/math] лемма верна: пусть она верна и для индексов [math]\displaystyle{ n }[/math] и [math]\displaystyle{ n+1 }[/math], [math]\displaystyle{ n\geqslant0 }[/math]. Тогда
- [math]\displaystyle{ d_{n+2}=2d_{n+1}-d_n+2=2((n+1)^2-(d_{-1}-d_0-1)(n+1)+d_0)-n^2+(d_{-1}-d_0-1)n-d_0+2=(n+2)^2-(d_{-1}-d_0-1)(n+2)+d_0) }[/math]
Лемма доказана.
Лемма 3: Для всех n, для которых функция Xn определена, имеет место неравенство ст. Рn > ст. Qn.
Мы докажем это неравенство, формально найдя значение функции [math]\displaystyle{ X_n }[/math] при [math]\displaystyle{ x=\infty }[/math]. Пусть [math]\displaystyle{ m }[/math] есть нуль или первый номер после очередного пробела[уточнить], [math]\displaystyle{ m\geqslant0 }[/math]. По построению [math]\displaystyle{ X|_{\infty}=\infty }[/math], а [math]\displaystyle{ Y|_{\infty} }[/math]≠0. Допустим обратное. Ввиду того, что дробь [math]\displaystyle{ \frac{X^3_{n+1}+aX_{n+1}+b}{x^3+ax+b} }[/math], должна быть квадратом, разность степеней числителя и знаменателя функции [math]\displaystyle{ X_{n+1} }[/math] должна быть числом нечетным, то вместе с [math]\displaystyle{ Y_{n+1}|_\infty=0 }[/math] даёт [math]\displaystyle{ X_{n+1}|_\infty=0 }[/math]. Для арифметической прогрессии следует
- [math]\displaystyle{ Y_{n+1}=\frac{1-Y_n}{X-X_n}(x-X_{n+1})-1 }[/math]
Отсюда находим
- [math]\displaystyle{ \frac{1-Y_n}{x-X_n}(x-X_n)|_\infty=1 }[/math] или [math]\displaystyle{ \frac{1-Y_n}{1-\frac{X_n}{x}}|_\infty=1 }[/math]
то есть
- [math]\displaystyle{ \frac{Y_nx}{X_n}|_\infty=1 }[/math], [math]\displaystyle{ \frac{Y_n^2x^2}{X_n^2}|_\infty=\frac{(X_n^3+aX_n+b)x^2}{(x^3+ax+b)X_n^2}|_\infty=1 }[/math]
Поскольку [math]\displaystyle{ X_n|_\infty=x|_\infty=\infty }[/math], отсюда следует, что [math]\displaystyle{ \frac{X_n}{x}|_\infty=1 }[/math]. С другой стороны
- [math]\displaystyle{ X_{n+1}=-x-X_n+\frac{(1-Y_n^2)^2}{(x-X_n)^2}(x^3+ax+b) }[/math]
Отсюда находим
- [math]\displaystyle{ \frac{X_n}{x}=-1-\frac{X_n}{x}+\frac{(1-Y_n^2)^2}{(1-\frac{X_n}{x})^2}(1+\frac{a}{x^2}+\frac{b}{x^3}) }[/math]
так что
- [math]\displaystyle{ \frac{X_{n+1}}{x}|_\infty=-1 }[/math]
Но из этого равенства следует, что [math]\displaystyle{ Y_{n+1}^2|_\infty }[/math], что противоречит сделанному предположению [math]\displaystyle{ Y_{n+1}^2|_\infty=0 }[/math]. Лемма доказана.
Основная лемма: [math]\displaystyle{ d_{n-1}+d_{n+1}=2d_n+2 }[/math].
Основные трудности в доказательстве теоремы сконцентрированы на основной лемме. Приступим к её доказательству. для любого многочлена P символом ст. Р будем обозначать степень этого многочлена.
Приводя к общему знаменателю и собирая подобные члены в формуле сложения решений, находим
- [math]\displaystyle{ X_{n-1}=\frac{-(xQ_n+P_n)(xQ_n-P_n)^2+(1+Y_n)^2(x^3+ax+b)Q_n}{(xQ_n-P_n)^2}=\frac{(xQ_n+P_n)(xP_n+aQ_n)+2bQ_n^2+2Y_n(x^3+ax+b)Q_n^2}{(xQ_n-P_n)^2}=\frac{S}{(xQ_n-P_n)^2} }[/math]
Перемножая почленно две полученные выше формулы и проведя сокращения, получим
- [math]\displaystyle{ X_{n-1}X_{n+1}=\frac{P_{n-1)P_{n+1}}}{Q_{n-1}Q_{n+1}}=\frac{(xP_n-aQ_n)^2-2b(xQ_n+P_n)}{(xQ_n-P_n)^2} }[/math]
Цель следующих рассуждений - показать, что [math]\displaystyle{ Q_{n-1}*Q_{n+1}=(xP_n-aQ_n)^2 }[/math]. Из этого равенства напрямую получится основная лемма, в самом деле, тогда следует что
- [math]\displaystyle{ P_{n-1}*P_{n+1}=(xP_n-aQ_n)^2-4bQ_n(xQ_n+P_n) }[/math],
значит [math]\displaystyle{ d_{n-1}+d_{n+1}= }[/math] ст. [math]\displaystyle{ (P_{n-1}P_{n+1}) }[/math]=ст. [math]\displaystyle{ (x^2P_n^2)=2d_n+2 }[/math], потому что в силу леммы 3 старший член многочлена [math]\displaystyle{ P_{n-1}P_{n+1} }[/math] совпадает со старшим членом многочлена [math]\displaystyle{ x^2P_n^2 }[/math]. Теперь докажем нужное равенство.
Напомним, что в области многочленов существует однозначное разложение на неприводимые множители. Пусть [math]\displaystyle{ E }[/math] - неприводимый многочлен, а [math]\displaystyle{ e }[/math] - любое целое положительное число. Мы будем говорить, что многочлен [math]\displaystyle{ E^e }[/math] строго делит некоторую несократимую рациональную функцию, если её числитель делится на [math]\displaystyle{ E^e }[/math], но не делится на [math]\displaystyle{ E^{e+1} }[/math]. Для доказательства нужного равенства нужно установить что если многочлен [math]\displaystyle{ E^e }[/math] строго делит [math]\displaystyle{ (xQ_n-P_n)^2 }[/math], то он строго делит также [math]\displaystyle{ Q_{n-1}Q_{n+1} }[/math]. В самом деле, тогда частное [math]\displaystyle{ \frac{Q_{n-1}Q_{n+1}}{(xQ_n-P_n)^2} }[/math] представляет собой многочлен, который взаимно прост с многочленом (xQ_n-P_n)^2. Но поскольку из приведённого уравнения следует, что функция [math]\displaystyle{ Y_n(x^3+ax+b)Q_n^2 }[/math] является многочленом, то из предыдущих равенств для <X_{n-1}> и <X_{n+1}>без труда получается, что знаменатели [math]\displaystyle{ Q_{n-1} }[/math],[math]\displaystyle{ Q_{n+1} }[/math] делят многочлен [math]\displaystyle{ (xQ_n-P_n)^4 }[/math]. Тем самым частное [math]\displaystyle{ \frac{Q_{n-1}Q_{n+1}}{(xQ_n-P_n)^2} }[/math] может быть только константой, и эта константа равна единице в силу принятой нормировки старших членов числителей [math]\displaystyle{ P_n }[/math].
Разобьем все неприводимые делители [math]\displaystyle{ E }[/math] многочлена [math]\displaystyle{ (xQ_n-P_n)^2 }[/math] на три группы. К первой группе отнесем те многочлены, которые делят R, но не делят S. Из этого сразу же вытекает, что если многочлен [math]\displaystyle{ E^e }[/math] строго делит [math]\displaystyle{ (xQ_n-P_n)^2 }[/math], то он строго делит знаменатель [math]\displaystyle{ Q_{n+1} }[/math] и взаимно просто со знаменателем [math]\displaystyle{ Q_{n-1} }[/math]. Ко второй группе отнесем те многочлены [math]\displaystyle{ \gt E }[/math], которые делят S, но не делят R. Точно так же получается, что если многочлен [math]\displaystyle{ E^e }[/math] строго делит [math]\displaystyle{ (xQ_n-P_n)^2 }[/math], то он строго делит знаменатель [math]\displaystyle{ Q_{n-1} }[/math] и взаимно просто со знаменателем [math]\displaystyle{ Q_{n+1} }[/math]. Наконец к третьей группе отнесем те многочлены [math]\displaystyle{ E }[/math], которые делят и R, и S. Поскольку
- [math]\displaystyle{ P_n=xQ_n(mod E) }[/math],
следует что
- [math]\displaystyle{ R=2Q_n(1-Y_n)(x^3+ax+b)(mod E) }[/math],
- [math]\displaystyle{ S=2Q_n(1+Y_n)(x^3+ax+b)(mod E) }[/math].
Многочлен [math]\displaystyle{ E }[/math], деля многочлен [math]\displaystyle{ (xQ_n-P_n)^2 }[/math], не может делить [math]\displaystyle{ Q_n }[/math], поскольку [math]\displaystyle{ P_n }[/math] и [math]\displaystyle{ Q_n }[/math] взаимно просты. Отсюда и из последних формул вытекает, что [math]\displaystyle{ S+R=4Q_n^2(x^3+ax+b) mod E }[/math], так что если [math]\displaystyle{ E }[/math] делит [math]\displaystyle{ R }[/math] и [math]\displaystyle{ S }[/math], то [math]\displaystyle{ E }[/math] строго делит многочлен [math]\displaystyle{ x^3+ax+b }[/math](по предположению этот многочлен не имеет кратных корней).
Итак, пусть [math]\displaystyle{ E }[/math] - неприводимый делитель многочлена [math]\displaystyle{ x^3+ax+b }[/math]. Предположим сначала, что [math]\displaystyle{ Y_n }[/math]≠±1[math]\displaystyle{ (mod E) }[/math] (эта запись по определению означает, что числитель несократимого представления функции [math]\displaystyle{ Y_n }[/math]±1 не делится на [math]\displaystyle{ E }[/math]). Тогда следует, что [math]\displaystyle{ E }[/math] строго делит [math]\displaystyle{ R }[/math], потому что многочлен [math]\displaystyle{ (xQ_n-P_n)^2 }[/math] делится по крайней мере на [math]\displaystyle{ E^2 }[/math]. Подобным образом получается, что [math]\displaystyle{ E }[/math] делит [math]\displaystyle{ S }[/math], но тогда вытекает, что [math]\displaystyle{ E^2 }[/math] строго делит [math]\displaystyle{ (xQ_n-P_n)^2 }[/math].
Таким образом, остается проверить случай [math]\displaystyle{ Y_n+ }[/math]=±1[math]\displaystyle{ (mod E) }[/math]. Пусть, например, [math]\displaystyle{ Y_n=-1(mod E) }[/math] (вторая разбирается аналогично). Тогда [math]\displaystyle{ E }[/math] строго делит [math]\displaystyle{ S }[/math]. Пусть [math]\displaystyle{ E^2 }[/math] строго делит [math]\displaystyle{ (xQ_n-P_n)^2 }[/math], а [math]\displaystyle{ E^{2f+1} }[/math] строго делит [math]\displaystyle{ (1+Y_n)(X^3+ax+b)Q_n^2 }[/math]. Очевидно [math]\displaystyle{ E^{2f} }[/math] строго делит также функцию [math]\displaystyle{ (1+Y_n)^2(1-Y_n)^2=(1-Y_n^2)^2 }[/math]. Но
- [math]\displaystyle{ (1-Y_n^2)^2=\frac{(x^3+ax-X_n^2-aX_n^2)^2}{(x^3+ax+b)^2}=\frac{(x-X_n)^2(x^2+xX_n+X_n^2+a)^2}{(x^3+ax+b)^2} }[/math].
Кроме того, [math]\displaystyle{ x=X_n(mod E) }[/math], [math]\displaystyle{ x^2+xX_n+X_n^2=3x^2+a }[/math]≠0[math]\displaystyle{ (mod E) }[/math], так что [math]\displaystyle{ 2f=2e-2 }[/math] и, следовательно, число [math]\displaystyle{ 2f+1=2e-1 }[/math] меньше степени, в которой [math]\displaystyle{ E }[/math] строго делит [math]\displaystyle{ (xQ_n+P_n)(xQ_n-P_n)^2 }[/math]. Поэтому [math]\displaystyle{ E^{2e} }[/math] строго делит [math]\displaystyle{ RS }[/math]. Откуда вытекает, что [math]\displaystyle{ E^{2e} }[/math] строго делит [math]\displaystyle{ Q_{n-1}Q_{n+1} }[/math]. Что и требовалось доказать.
Согласно леммам 1 и 2, [math]\displaystyle{ d_n=n^2-(N-p)n+p }[/math], и этот квадратный трехчлен принимает неотрицательные значения для всех [math]\displaystyle{ n }[/math], причем по определению не может иметь двух последовательных нулей. Отсюда имеем, что дискриминант не может быть положительным, иначе было 2 корня [math]\displaystyle{ a, b }[/math], между [math]\displaystyle{ n }[/math] и [math]\displaystyle{ n+1 }[/math], и числа [math]\displaystyle{ ab }[/math] и [math]\displaystyle{ a+b }[/math] не могут быть одновременно целыми. Следовательно,
- [math]\displaystyle{ (N-p)^2-4p\leqslant0 }[/math],
так что
- [math]\displaystyle{ |N-p| \leqslant 2\sqrt{p} }[/math]. Теорема доказана.
Доказательство при помощи эндоморфизма Фробениуса
Существует альтернативное доказательство теоремы Хассе, в основе которого лежит использование эндоморфизма Фробениуса.
Для конечного поля [math]\displaystyle{ \mathbb{F}_q }[/math] с алгебраическим замыканием [math]\displaystyle{ \overline{\mathbb{F}_q} }[/math] вводится отображение:
[math]\displaystyle{ \begin{array}{lcl}\phi_q:\overline{\mathbb{F}_q}\rightarrow\overline{\mathbb{F}_q} \\ \qquad x\mapsto x^q \end{array} }[/math]
На точки эллиптической кривой [math]\displaystyle{ E(\mathbb{F}_q) }[/math] оно действует следующим образом: [math]\displaystyle{ \phi_q(x,y) = (x^q,y^q) }[/math], [math]\displaystyle{ \phi_q(\infty) = \infty }[/math].
Для доказательства используются следующие 4 леммы.
Лемма 1. Для эллиптической кривой [math]\displaystyle{ E(\mathbb{F}_q) }[/math] над полем [math]\displaystyle{ \mathbb{F}_q }[/math] и точек [math]\displaystyle{ (x,y)\in E(\overline{\mathbb{F}_q}) }[/math] выполняется:
1) [math]\displaystyle{ \phi_q (x,y)\in E(\overline{\mathbb{F}_q}) }[/math],
2) [math]\displaystyle{ (x,y)\in E(\mathbb{{F}_q}) }[/math] тогда и только тогда, когда [math]\displaystyle{ \phi_q (x,y) = (x,y) }[/math].
Лемма 2. Для эллиптической кривой [math]\displaystyle{ E(\mathbb{F}_q) }[/math] отображение [math]\displaystyle{ \phi_q }[/math] является эндоморфизмом кривой [math]\displaystyle{ E }[/math] степени [math]\displaystyle{ q }[/math], и [math]\displaystyle{ \phi_q }[/math] не разделяемый.
Лемма 3. Пусть определена эллиптическая кривая [math]\displaystyle{ E(\mathbb{F}_q) }[/math] и [math]\displaystyle{ n \geqslant 1 }[/math]. Тогда
1) [math]\displaystyle{ \ker(\phi_q - 1) = E(\mathbb{F}_{q^n}) }[/math],
2) [math]\displaystyle{ \phi_q^n - 1 }[/math] — разделяемый эндоморфизм, и поэтому [math]\displaystyle{ |E(\mathbb{F}_{q^n})| = \deg(\phi_q^n - 1) }[/math].
Лемма 4. Обозначим [math]\displaystyle{ a = q + 1 - |E(\mathbb{F}_q)| = q + 1 - \deg(\phi_q - 1) }[/math]. Пусть [math]\displaystyle{ r, s }[/math] — целые числа и [math]\displaystyle{ \gcd(s,q) = 1 }[/math]. Тогда [math]\displaystyle{ \deg(r\phi_q - s) = r^2q + s^2 - rsa }[/math].
Исходя из леммы 4, и поскольку [math]\displaystyle{ \deg(r\phi_q - s) \geqslant 0 }[/math], получается, что
- [math]\displaystyle{ q \biggl({r \over s}\biggl)^2 - a\biggl({r \over s}\biggl) + 1 \geqslant 0 }[/math]
для любых [math]\displaystyle{ r, s }[/math], где [math]\displaystyle{ \gcd(s,q) = 1 }[/math].
Множество рациональных чисел [math]\displaystyle{ r/s }[/math], где [math]\displaystyle{ \gcd(s,q) = 1 }[/math], плотное в [math]\displaystyle{ \mathbb{R} }[/math]. Отсюда, обозначив [math]\displaystyle{ r/s = x }[/math], получаем неравенство [math]\displaystyle{ qx^2 - ax + 1 \geqslant 0 }[/math], верное для всех действительных [math]\displaystyle{ x }[/math].
Так как дискриминант полинома меньше или равен нулю, то есть [math]\displaystyle{ a^2 - 4q \leqslant 0 }[/math], то имеем [math]\displaystyle{ |a| \leqslant 2\sqrt q }[/math].
Доказательство теоремы Хассе на основе эндоморфизма Фробениуса также лежит в основе алгоритма Шуфа. Данный алгоритм позволяет подсчитать количество точек для заданной эллиптической кривой за полиномиальное время.
Граница Хассе — Вейля
Обобщением границы Хассе для алгебраических кривых более высокого рода является граница Хассе — Вейля. Пусть имеется абсолютно неприводимая неособая кривая [math]\displaystyle{ C }[/math] рода [math]\displaystyle{ g }[/math] над конечным полем [math]\displaystyle{ \mathbb{F}_q }[/math]. Тогда для количества точек [math]\displaystyle{ \#C(\mathbb{F}_q) }[/math] на этой кривой справедливо неравенство
- [math]\displaystyle{ |\#C(\mathbb{F}_q) - (q+1)| \leqslant 2g \sqrt{q}. }[/math]
Как и в случае обычной границы Хассе, этот результат эквивалентен определению абсолютного значения корней локальной дзета-функции кривой [math]\displaystyle{ C }[/math] и является аналогом гипотезы Римана для поля функций, ассоциированного с кривой. В случае эллиптических кривых граница Хассе — Вейля совпадает с обычной границей Хассе, поскольку эллиптические кривые имеют род [math]\displaystyle{ g = 1 }[/math].
Граница Хассе — Вейля является следствием более общих гипотез Вейля для проективных многообразий над конечным полем, сформулированных Андре Вейлем в 1949 году[5] и доказанных им для случая кривых.
Применение
Криптография
В криптографии используются алгоритмы шифрования, основанные на эллиптических кривых. Стойкость этих алгоритмов основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой. Поскольку до сих пор не существует быстрых алгоритмов вычисления дискретного логарифма на эллиптической кривой, то использование эллиптических кривых позволяет сильно ускорить алгоритмы шифрования за счёт уменьшения размера используемого модуля [math]\displaystyle{ p }[/math]. Теорема Хассе же позволяет весьма точно определить размер простого числа [math]\displaystyle{ q }[/math], необходимого для достаточной сложности алгоритма.
Связь с локальной дзета-функцией Римана
Дзета-функцию эллиптической кривой [math]\displaystyle{ E }[/math] над полем [math]\displaystyle{ \mathbb{F}_q }[/math] можно записать в виде
- [math]\displaystyle{ Z_E(t) = {1 - a_q(E)t + qt^2 \over (1-t)(1-qt)} }[/math],
где [math]\displaystyle{ a_q = q - N_q }[/math], а [math]\displaystyle{ N_q }[/math] — количество аффинных точек проективной кривой [math]\displaystyle{ E }[/math]. Гипотеза Римана для кривых над конечными полями утверждает, что все нули функции [math]\displaystyle{ \zeta_E(s) = Z_E(q^{-s}) }[/math] лежат на прямой [math]\displaystyle{ \operatorname{Re}(s) = 1/2 }[/math] или, что эквивалентно, удовлетворяют равенству [math]\displaystyle{ |q^s| = \sqrt{q} }[/math].
Несложно показать, что для эллиптических кривых эта гипотеза эквивалентна теореме Хассе. Действительно, если [math]\displaystyle{ Z_E(q^{-s}) = 0 }[/math], то [math]\displaystyle{ q^s }[/math] является корнем квадратного многочлена [math]\displaystyle{ f(u) = u^2 - a_qu + q }[/math], чей дискриминант [math]\displaystyle{ a_q^2 - 4q \leqslant 0 }[/math] по теореме Хассе. Значит, корни [math]\displaystyle{ u_1,u_2 }[/math] многочлена [math]\displaystyle{ f(u) }[/math] комплексно сопряжены и [math]\displaystyle{ |q^s| = |u_1| = |u_2| = \sqrt{q} }[/math], что доказывает гипотезу Римана. И наоборот, из выполнения гипотезы Римана следует равенство [math]\displaystyle{ |u_1| = |u_2| = \sqrt{q} }[/math], что означает, что корни [math]\displaystyle{ u_1,u_2 }[/math] комплексно сопряжены, а значит, дискриминант [math]\displaystyle{ f(u) }[/math] неположителен, что доказывает теорему Хассе.
Примечания
- ↑ Artin, Emil. Quadratische Körper im Gebiete der höheren Kongruenzen. II. Analytischer Teil // Mathematische Zeitschrift[нем.] : journal. — Luxemburg : Springer-Verlag, 1924. — Vol. 19, no. 1. — P. 207–246. — ISSN 0025-5874. — doi:10.1007/BF01181075. — . — MR 1544652 Архивная копия от 11 сентября 2018 на Wayback Machine.
- ↑ Hasse, Helmut. Zur Theorie der abstrakten elliptischen Funktionenkörper. I, II & III // Crelle’s Journal : journal. — Berlin : Walter de Gruyter, 1936. — Vol. 1936, no. 175. — ISSN 0075-4102. — doi:10.1515/crll.1936.175.193. — .
- ↑ Hasse’s bound for elliptic curves over finite fields . PlanetMath. Дата обращения: 18 декабря 2017. Архивировано 27 января 2021 года.
- ↑ Болотов А. А., Гашков С. Б., Фролов А. Б., Часовских А. А. Элементарное введение в эллиптическую криптографию : Алгебраические и алгоритмические основы. — М. : КомКнига, 2006. — Т. 1. — 328 с. — ISBN 5-484-00443-8.
- ↑ Weil, André. Numbers of solutions of equations in finite fields // Bulletin of the American Mathematical Society : journal. — N. Y. : American Mathematical Society, 1949. — Vol. 55, no. 5. — P. 497–508. — ISSN 0002-9904. — doi:10.1090/S0002-9904-1949-09219-4. — MR 0029393 Архивная копия от 1 мая 2018 на Wayback Machine
Литература
- Hurt, Norman E. (2003), Many Rational Points. Coding Theory and Algebraic Geometry, vol. 564, Mathematics and its Applications, Dordrecht: Kluwer/Springer-Verlag, MR: 2042828,, ISBN 1-4020-1766-9
- Niederreiter, Harald & Xing, Chaoping (2009), Algebraic Geometry in Coding Theory and Cryptography, Princeton: Princeton University Press, MR: 2573098,, ISBN 978-0-6911-0288-7
- Глава V Silverman, Joseph H. (1994), The arithmetic of elliptic curves, vol. 106, Graduate Texts in Mathematics, New York: Springer-Verlag, MR: 1329092,, ISBN 978-0-387-96203-0
- Washington, Lawrence C. (2008), Elliptic Curves. Number Theory and Cryptography, 2nd Ed, Discrete Mathematics and its Applications, Boca Raton: Chapman & Hall/CRC Press, MR: 2404461,, ISBN 978-1-4200-7146-7
- Глава 10 Гельфанд, А.О. & Линник, Ю.В. (1962), Элементарные методы в аналитической теории чисел, Москва: Физматгиз
- Chahal, J.S. & Osserman, B. (2008), The Riemann Hypothesis for Elliptic Curves, Mathematical Association of America