Primzahltests mit elliptischen Kurven

Transkript

1 Universität Duisburg-Essen, Campus Essen Fakultät für Mathematik Master-Studiengang für das Lehramt an Gymnasien und Gesamtschulen MASTERARBEIT Primzahltests mit elliptischen Kurven Autor: Julian Söhngen Am Dickelsbach Duisburg Telefon: Matrikelnummer: Betreuer, Erstgutachter: Prof. Dr. Ulrich Görtz Zweitgutachter: Dr. Ingo Janiszczak 10. Februar 2017

2

3 Inhalt 1 Einleitung 4 2 Elliptische Kurven über Ringen Grundlegende Definitionen Das Gruppengesetz von E(R) Herleitung der Additionsformeln Beweis der Gruppeneigenschaften von E(R) Goldwasser-Kilian-Primzahltest 29.1 Der grundlegende Satz und sein Beweis Algorithmus mit Beispiel Literatur 6

4 1 EINLEITUNG 1 Einleitung Es gibt unendlich viele Primzahlen. Die bisher größte bekannte Primzahl ist die Mersenne sche Primzahl M = Sie besitzt Dezimalstellen und wurde 2016 im Rahmen des Projekts GIMPS (Great Internet Mersenne Prime Search) auf einem Computer des USamerikanischen Mathematikers Curtis Cooper entdeckt. Für Zahlen spezieller Gestalt gibt es spezielle Primzahltests, etwa den Lucas-Test für Mersenne sche Zahlen (siehe zum Beispiel [] Satz 17.5), das sind Zahlen der Form 2 n 1, n N. Wie aber kann man zeigen, dass eine Zahl, die keine besondere Gestalt aufweist, prim ist? Eine Zahl n N kann schlicht auf Primalität getestet werden, indem für jede Primzahl p n geprüft wird, ob sie n teilt. Falls kein solches p ein Teiler von n ist, so ist n prim. Dieser Test ist für große Zahlen natürlich viel zu aufwendig. Mit dem kleinen Satz von Fermat können Zahlen von vornherein als Kandidaten für Primzahlen ausgeschlossen werden. Der Satz sagt aus, dass wenn p eine Primzahl ist und es eine ganze Zahl a mit ggt(a, p) = 1 gibt, dann die Kongruenz a p 1 1 (mod p) gilt. Finden wir also ein a mit ggt(a,n) = 1, so dass a n 1 1 (mod n), dann kann n keine Primzahl sein. Gilt jedoch a n 1 1 (mod n) für einige beliebige Wahlen von a, so liegt die Vermutung nahe, dass n eine Primzahl ist. Fermats kleiner Satz liefert uns damit einen probabilistischen Primzahltest. Doch wir interessieren uns für einen deterministischen Primzahltest, mit dem wir Kandidaten n, die womöglich tausend Dezimalstellen oder mehr besitzen, effizient auf Primalität prüfen können. Die gängigste Methode, die in dieser Arbeit vorgestellt werden soll, arbeitet mit elliptischen Kurven. Wir werden uns, genauer gesagt, mit einem Primzahltest befassen, der auf Shafrira Goldwasser und Joe Kilian (1986) zurückgeht. Um die Primalität einer Zahl n N zu zeigen, werden elliptische Kurven über dem Restklassenring Z/nZ benutzt. Der erste Teil der Arbeit (Kapitel 2) dient dem Zweck, die Theorie der elliptischen Kurven über Ringen in einem für den Primzahltest relevanten Umfang bereitzustellen. Unser Ziel wird es sein, ein fundamentales Theorem zu beweisen: Wenn R ein kommutativer Ring mit 1 ist, der gewisse Bedingungen erfüllt, und eine elliptische Kurve E über R durch eine Weierstraß-Gleichung der Form y 2 z = x +axz 2 +bz mit a,b R gegeben ist, dann bildet die Menge E(R) von Punkten (x : y : z) auf E im projektiven Raum P 2 (R) eine abelsche Gruppe, die additiv geschrieben wird und deren neutrales Element (0 : 1 : 0) ist, wobei 0 das Nullelement von R bezeichnet. Wir werden den Fall betrachten, dass R ein Körper K ist. Die Addition von Punkten in E(K) ist durch eine geometrische Konstruktion erklärt, mit der E(K) die Struktur einer abelschen Gruppe erhält. Aus den Formeln dieser geometrisch begründeten Punktaddition wollen wir Formeln entwickeln, mit denen eine Addition von Punkten in E(R) definiert werden kann, und sodann zeigen, dass E(R) mit dieser Addition zu einer abelschen Gruppe wird. Der Beweis des Theorems stützt sich 4

5 1 EINLEITUNG auf die Idee, die Gruppeneigenschaften von E(R) durch Rückführung auf den bekannten Körperfall zu zeigen. Der zweite Teil der Arbeit (Kapitel ) zielt auf den Goldwasser-Kilian-Primzahltest. Die erworbene Theorie wird benötigt, um den Satz, auf dem der Primzahltest beruht, zu beweisen. Dieser Satz zeichnet sich dadurch aus, dass wenn man Punkte in E(Z/nZ) mit bestimmten Eigenschaften gefunden hat, sogleich auf die Primalität einer Zahl n N schließen kann und durch die Angabe der elliptischen Kurve sowie der Punkte mit ihren Eigenschaften ein Zertifikat für die Primalität von n ausstellt, das schnell überprüft werden kann. Wie der Primzahltest genau funktioniert, soll in Form eines Algorithmus festgehalten werden. Die Frage nach der Effizienz des Tests ist eine Frage danach, mit welchem Aufwand die Suche nach einer geeigneten elliptischen Kurve bzw. nach Punkten mit den gewünschten Eigenschaften verbunden ist. Je effizienter die Methoden sind, desto effizienter wird der Test. Ein Beispiel soll den Primzahltest veranschaulichen und bringt die Arbeit zum Abschluss. Die Zeichnungen in dieser Arbeit wurden mit dem Programm GeoGebra erstellt. In dem Abschlussbeispiel zur Veranschaulichung des Primzahltests wurde das mathematische Software-System SageMath als Hilfsmittel benutzt. 5

6 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2 Elliptische Kurven über Ringen 2.1 Grundlegende Definitionen Die folgenden Ausführungen orientieren sich an [8] Ch. 2 Sec In diesem Kapitel ist R stets ein kommutativer Ring mit 1, dessen Nullelement wir mit 0 bezeichnen. Ein Tupel (x 1,x 2,...) von Elementen aus R heißt primitiv, wenn das von ihnen erzeugte Ideal das Einsideal R ist, d.h. wenn es Elemente r 1,r 2,... R gibt, so dass r 1 x 1 + r 2 x = 1. Wir nennen eine m n-matrix (a i j ) 1 i m, 1 j n mit Einträgen aus R primitiv, wenn das Tupel (a 11,a 12,...,a mn ), das aus allen Einträgen von M besteht, primitiv ist. Die Einheitengruppe von R bezeichnen wir mit R. Um mit elliptischen Kurven über R arbeiten und später eine Gruppenstruktur einführen zu können, verlangen wir, dass R folgende zwei Bedingungen erfüllt: 1. 6 R. 2. Für jede primitive m n-matrix M = (a i j ) 1 i m, 1 j n über R, deren 2 2-Unterdeterminanten alle verschwinden, d.h. a i j a kl a il a k j = 0 für alle i, j,k,l mit 1 i < k m und 1 j < l n, gibt es eine R-Linearkombination der Zeilen von M, die als n-tupel primitiv ist. Für den Rest des Kapitels erfülle R die Bedingungen 1 und 2. Die auf der Menge aller primitiven Tripel von Elementen aus R durch (x,y,z) (x,y,z ) u R : (x,y,z ) = u(x,y,z) = (ux,uy,uz) definierte Relation ist eine Äquivalenzrelation. Für die Äquivalenzklasse von (x, y, z) schreiben wir (x : y : z). Die Menge der Äquivalenzklassen bezeichnen wir mit P 2 (R). P 2 (R) := { (x,y,z) R (x,y,z) ist primitiv } / ist der zweidimensionale projektive Raum über R. Ist (x,y,z) R primitiv, so ist auch (ux,uy,uz) R primitiv für jedes u R. Denn seien u R, v R mit uv = 1 und r,s,t R mit rx+sy+tz = 1, dann ist rv ux + sv uy +tv uz = uv = 1. Eine elliptische Kurve über R ist durch eine homogene Gleichung der Form y 2 z = x + axz 2 + bz mit a,b R gegeben, so dass 4a + 27b 2 R. Wir bezeichnen die durch a und b festgelegte elliptische Kurve mit E a,b oder einfach mit E. Die Gleichung y 2 z = x + axz 2 + bz ist eine vereinfachte 6

7 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.2 Das Gruppengesetz von E(R) Weierstraß-Gleichung. Weil R die Bedingungen 1 und 2 erfüllt, entspricht die obige Definition dem aus der algebraischen Geometrie bekannten Begriff einer elliptischen Kurve über dem Ring R. In der gesamten Arbeit verstehen wir unter einer elliptischen Kurve E = E a,b über R stets eine durch y 2 z = x + axz 2 + bz gegebene elliptische Kurve. Sei E = E a,b eine elliptische Kurve über R. E(R) := { (x : y : z) P 2 (R) y 2 z = x + axz 2 + bz } ist die Menge von Punkten auf E im projektiven Raum P 2 (R). Wir sehen schnell, dass E(R) wohldefiniert ist: Wir betrachten F(x,y,z) = x + axz 2 + bz y 2 z, ein homogenes Polynom vom Grad in x,y,z, d.h. F(λx,λy,λz) = λ F(x,y,z) für alle λ R. Seien (x,y,z ),(x,y,z ) zwei verschiedene Repräsentanten von (x : y : z) E(R). Dann gibt es ein u R, so dass (x,y,z ) = (ux,uy,uz ). Da u R, existiert ein v R mit u v = 1. Damit gilt F(x,y,z ) = 0 u F(x,y,z ) = 0 vu F(x,y,z ) = v0 F(x,y,z ) = 0. Die Kurvengleichung von E gilt also unabhängig von der Wahl des Repräsentanten von (x : y : z), d.h. jeder Repräsentant erfüllt die Kurvengleichung. Die Punktmenge E(R) ist also wohldefiniert. Unser Ziel ist es, auf E(R) eine Addition einzuführen, mit der E(R) die Struktur einer abelschen Gruppe bekommt. Wir stellen zunächst das Gruppengesetz vor. 2.2 Das Gruppengesetz von E(R) Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ),P 2 = (x 2 : y 2 : z 2 ) E(R). Wir wählen p 1 = (x 1,y 1,z 1 ) als Repräsentanten von P 1 und p 2 = (x 2,y 2,z 2 ) als Repräsentanten von P 2 und stellen zusammen mit den Koeffizienten a,b der Kurvengleichung drei Formeln I, II und III auf: I. x I = (x 1y 2 x 2 y 1 )(y 1 z 2 + y 2 z 1 ) + (x 1 z 2 x 2 z 1 )y 1 y 2 a(x 1 z 2 + x 2 z 1 )(x 1 z 2 x 2 z 1 ) b(x 1 z 2 x 2 z 1 )z 1 z 2 y I = x 1x 2 (x 1 y 2 x 2 y 1 ) y 1 y 2 (y 1 z 2 y 2 z 1 ) a(x 1 y 2 x 2 y 1 )z 1 z 2 +a(x 1 z 2 + x 2 z 1 )(y 1 z 2 y 2 z 1 ) + b(y 1 z 2 y 2 z 1 )z 1 z 2 z I = x 1x 2 (x 1 z 2 x 2 z 1 ) (y 1 z 2 + y 2 z 1 )(y 1 z 2 y 2 z 1 ) + a(x 1 z 2 x 2 z 1 )z 1 z 2 II. x II = (x2 1 z2 2 + x 1x 2 z 1 z 2 + x 2 2 z2 1 + az2 1 z2 2 )2 (y 1 z 2 + y 2 z 1 ) (x 1 z 1 z x 2z 2 1 z 2)(y 1 z 2 + y 2 z 1 ) 7

8 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.2 Das Gruppengesetz von E(R) y II = (x2 1 z2 2 + x 1x 2 z 1 z 2 + x 2 2 z2 1 + az2 1 z2 2 )(x 1z 2 (y 1 z 2 + y 2 z 1 ) 2 x 1 y 2 1 z 2 x 2y 2 2 z 1 2x2 1 x2 2 z 1z 2 +a(x 2 1 z 1z 2 + x2 2 z 1 z 2) + b(x 1 z 2 1 z 2 + x 2z 1 z2 2 ) 2(x2 1 z2 2 + x2 2 z2 1 )(x 1x 2 + az 1 z 2 ) (x 1 x 2 + az 1 z 2 ) 2 z 1 z 2 + (x 1 z 2 + x 2 z 1 )(y 1 z 2 + y 2 z 1 ) 2 ) y 1 z 1 z 2 2 (y 1z 2 + y 2 z 1 ) z II = (y 1z 2 + y 2 z 1 ) z 2 1 z2 2 III. x III = y 1 y 2 (x 1 y 2 + x 2 y 1 ) ax 1 x 2 (y 1 z 2 + y 2 z 1 ) a(x 1 y 2 + x 2 y 1 )(x 1 z 2 + x 2 z 1 ) b(x 1 y 2 + x 2 y 1 )z 1 z 2 b(x 1 z 2 + x 2 z 1 )(y 1 z 2 + y 2 z 1 ) + a 2 (y 1 z 2 + y 2 z 1 )z 1 z 2 y III = y 2 1 y2 2 + ax2 1 x bx 1x 2 (x 1 z 2 + x 2 z 1 ) a 2 x 1 z 2 (x 1 z 2 + 2x 2 z 1 ) a 2 x 2 z 1 (2x 1 z 2 + x 2 z 1 ) ab(x 1 z 2 + x 2 z 1 )z 1 z 2 (a + 9b 2 )z 2 1 z2 2 z III = x 1 x 2 (x 1 y 2 + x 2 y 1 ) + y 1 y 2 (y 1 z 2 + y 2 z 1 ) + a(x 1 y 2 + x 2 y 1 )z 1 z 2 +a(x 1 z 2 + x 2 z 1 )(y 1 z 2 + y 2 z 1 ) + b(y 1 z 2 + y 2 z 1 )z 1 z 2 (Die Formeln I und III finden sich in [8] Ch. 2 Sec ) Wir definieren eine Matrix x I y I z I M(p 1, p 2 ) := x II y II z II x III y III z III über R und werden später sehen, dass M(p 1, p 2 ) primitiv ist und all ihre 2 2-Unterdeterminanten verschwinden. Da R die Bedingung 2 erfüllt, gibt es eine Linearkombination der Zeilen von M(p 1, p 2 ), die als Tripel (x,y,z ) primitiv ist. Die Addition + : E(R) E(R) E(R) auf E(R) ist nun durch (x 1 : y 1 : z 1 ) + (x 2 : y 2 : z 2 ) := (x : y : z ) definiert. Für + schreiben wir auch einfach nur +. Die Verknüpfung kann unabhängig von der Wahl der als Tripel primitiven Linearkombination definiert werden und ist auch unabhängig von den Wahlen der Repräsentanten von P 1 und P 2 und damit wohldefiniert. Auch dies werden wir später noch sehen. Wir definieren (x : y : z) := (x : y : z) für jeden Punkt (x : y : z) E(R), wobei y das Inverse von y bezüglich der Addition in R ist. Ein Beispiel soll die Punktaddition veranschaulichen. Beispiel 2.1. Sei R = Z/10Z = { 0,1,2,...,9 } der Restklassenring modulo 10. Durch y 2 z x xz 2 + z (mod 10) 8

9 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln ist eine elliptische Kurve E = E 1, gegeben, denn ggt(4 ( 1) ,10) = ggt(29,10) = 1, d.h. 4 ( 1) (Z/10Z). P 1 = (2 : : 1) und P 2 = (7 : : 1) sind Punkte in E(Z/10Z), denn = 9 = 2 und = 9 = 9 = 2. Wir wählen die Repräsentanten p 1 = (2,,1) und p 2 = (7,,1) von P 1 und P 2 und berechnen mit den Formeln I, II und III die Matrix x I y I z I M(p 1, p 2 ) = x II y II z II = x III y III z III Enthält eine Zeile der Matrix eine Einheit des Rings, so ist sie primitiv. Wir sehen sofort, dass die dritte Zeile von M(p 1, p 2 ) primitiv ist. Also P 1 + P 2 = (7 : 7 : 1). Theorem 2.2. Sei E = E a,b eine elliptische Kurve über R. Dann bildet E(R) zusammen mit der durch die Formeln I, II und III definierten Addition eine abelsche Gruppe. Das neutrale Element ist := (0 : 1 : 0). Die inversen Elemente sind durch (x : y : z) = (x : y : z) gegeben. Der Beweis erfordert einige Vorarbeit. Zuerst wollen wir erklären, wie die Formeln I, II und III zustande kommen. Dafür betrachten wir den Fall, dass R ein Körper ist. 2. Herleitung der Additionsformeln Sei in diesem Unterkapitel R ein Körper K. Die Bedingung 1 bedeutet, dass die Charakteristik von K ungleich 2 und ist. Jeder Körper erfüllt die Bedingung 2. Denn sei M = (a i j ) 1 i m, 1 j n eine m n-matrix über K, die primitiv ist, d.h. es gibt einen Eintrag a i j 0, und deren 2 2-Unterdeterminanten alle verschwinden, d.h. die Zeilen von M sind proportional zueinander. Wenn a i j 0, so ist die i-te Zeile von M primitiv. Wir wollen nun etwas mehr über elliptische Kurven über einem Körper K der Charakteristik ungleich 2 und erfahren und die durch geometrische Konstruktion erklärte Addition von Punkten in E(K) vorstellen, um daraus die Formeln I, II und III herleiten zu können. Sei (x : y : z) P 2 (K). Falls z 0, so ist (x : y : z) = ( x z : y z : 1). Punkte dieser Form heißen die endlichen Punkte in P 2 (K). Ist z = 0, dann können wir uns das Dividieren durch z so vorstellen, als 9

10 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln ginge die x- oder y-koordinate ins Unendliche. Punkte der Form (x : y : 0) werden die unendlichen Punkte in P 2 (K) genannt. Die affine Ebene A 2 (K) := { (x,y) K 2} über K wird durch die injektive Abbildung A 2 (K) P 2 (K), (x,y) (x : y : 1) bijektiv auf P 2 (K)\ { (x : y : z) P 2 (K) z = 0 } abgebildet, d.h. jedem Punkt (x,y) der affinen Ebene A 2 (K) entspricht genau ein endlicher Punkt (x : y : 1) im projektiven Raum P 2 (K). Wir könnten sagen, dass die affine Ebene durch Hinzunahme der unendlichen Punkte zu P 2 (K) ergänzt wird, und P 2 (K) als projektive Vervollständigung der affinen Ebene auffassen. Dass die Abbildung injektiv ist, sehen wir schnell: Seien (x 1,y 1 ),(x 2,y 2 ) A 2 (K) mit (x 1 : y 1 : 1) = (x 2 : y 2 : 1). Dann existiert ein u K \ {0}, so dass (ux 2,uy 2,u) = (x 1,y 1,1). Also u = 1 und folglich (x 1,y 1 ) = (x 2,y 2 ). Damit ist die Injektivität gezeigt. Sei E = E a,b eine elliptische Kurve über K gegeben durch y 2 z = x + axz 2 + bz. Welche unendlichen Punkte enthält E(K)? Sei (x : y : z) E(K) mit z = 0. Dann ist x = 0, und weil K ein Körper ist, folgt, dass x = 0. Da aber (x,y,z) K primitiv ist, kann y nicht auch noch 0 sein. Damit ist (0 : 1 : 0) der einzige unendliche Punkt in E(K), den wir bereits mit bezeichnet haben und von nun an den Punkt im Unendlichen nennen. E(K) können wir schließlich schreiben als E(K) = { (x : y : 1) P 2 (K) y 2 = x + ax + b } { } und uns eine elliptische Kurve in der affinen Ebene vorstellen und den Punkt im Unendlichen einfach als ein formales Merkmal ansehen. E(K) kann, so betrachtet, als projektive Fortsetzung der durch y 2 = x + ax + b gegebenen Kurve in der affinen Ebene A 2 (K) verstanden werden. Die inhomogene Gleichung y 2 = x + ax + b können wir auf die homogene Form y 2 z = x + axz 2 + bz bringen, indem wir x und y durch x z und y z ersetzen und dann mit z durchmultiplizieren. y 2 z = x + axz 2 + bz ist eine vereinfachte Weierstraß-Gleichung. Ihre allgemeine Form lautet y 2 z + a 1 xyz + a yz 2 = x + a 2 x 2 z + a 4 xz 2 + a 6 z, a 1,a 2,a,a 4,a 6 K. Da die Charakteristik von K ungleich 2 und ist, können wir die allgemeine Weierstraß-Gleichung vereinfachen. Wir betrachten dafür ihre inhomogene Form y 2 + a 1 xy + a y = x + a 2 x 2 + a 4 x + a 6. Da die Charakteristik von K ungleich 2 ist, können wir y durch 2 1(y a 1x a ) ersetzen und die Gleichung vereinfachen zu y 2 = 4x + b 2 x 2 + 2b 4 x + b 6 10

11 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln mit b 2 = a a 2, b 4 = a 1 a + 2a 4, b 6 = a 2 + 4a 6. Da die Charakteristik von K auch ungleich ist, können wir x und y durch 6 1 (x b 2) und y ersetzen und erhalten schließlich y 2 = x + ax + b mit a = 27(24b 4 b 2 2 ) und b = 54(b 2 6b 2b b 6 ). Um eine anschauliche Vorstellung von elliptischen Kurven zu bekommen, betrachten wir den Körper R der reellen Zahlen und zwei elliptische Kurven in der affinen Ebene A 2 (R), die durch y 2 = x x und y 2 = x + x gegeben sind (die Beispiele sind entnommen aus [8] Ch. 2 Sec. 2.1): y 2 = x x y 2 = x + x So sehen die Grundformen elliptischer Kurven in der affinen Ebene über R aus. Das Polynom p 1 (x) = x x besitzt drei verschiedene reelle Nullstellen und das Polynom p 2 (x) = x + x hat nur eine reelle Nullstelle. Damit die Addition von Punkten in E(K) auf eindeutige Weise eingeführt werden kann, möchten wir ausschließen, dass p(x) = x + ax + b mehrfache Nullstellen besitzt. Lemma 2. ([] Lemma 19.1). Sei p(x) = x + ax + b K[x] ein Polynom mit Koeffizienten a,b K K ist ein Körper der Charakteristik ungleich 2 und. Hat p eine mehrfache Nullstelle n 0 in einem Erweiterungskörper L K, so ist n 0 K. Genau dann hat p keine mehrfachen Nullstellen, wenn 4a + 27b 2 0. Beweis. Wir argumentieren wie in [] 19. Sei n 0 eine zweifache Nullstelle von p. Dann besitzt p noch eine weitere Nullstelle n 1. Es gilt x + ax + b = p(x) = (x n 0 ) 2 (x n 1 ) = x (2n 0 + n 1 )x 2 + (n n 0 n 1 )x n 2 0n 1. Ein Koeffizientenvergleich ergibt 11

12 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln (1) 2n 0 + n 1 = 0, (2) n n 0n 1 = a, () n 2 0 n 1 = b. Aus (1) folgt n 1 = 2n 0 und damit aus (2) n 2 0 = a. Falls a = 0, so sehen wir sofort, dass n 0 = 0 K und folglich n 1 = 0 K, womit dann 4a + 27b 2 = 0. Falls a 0, so erhalten wir mit n 2 0 = a aus () n 1 = b a K und damit aus (1) n 0 = 2a b K. Mit diesen Identitäten können wir (2) umformen zu 4a + 27b 2 = 0. Sei umgekehrt 4a + 27b 2 = 0. Falls a = 0, so ist b = 0 und damit p(x) = x. D.h. n 0 = 0 ist eine dreifache Nullstelle. Falls a 0, dann ist, wie gerade gesehen, n 0 = b 2a eine zweifache und n 1 = b a eine einfache Nullstelle von p. Nun wollen wir die Addition von Punkten in E(K) durch eine geometrische Konstruktion erklären. Sei E = E a,b eine elliptische Kurve über K und seien P 1,P 2 E(K) endliche Punkte. Dann können wir P 1,P 2 auf die Form P 1 = (x 1 : y 1 : 1),P 2 = (x 2 : y 2 : 1) bringen. Diesen Punkten entsprechen die Punkte P 1 = (x 1,y 1 ), P 2 = (x 2,y 2 ) auf der elliptischen Kurve Ê gegeben durch y 2 = x + ax + b in der affinen Ebene A 2 (K). Wir beginnen mit dem Fall, dass P 1 P 2 bzw. (x 1,y 1 ) (x 2, y 2 ). Um P 1 und P 2 zu addieren, legen wir eine Gerade durch P 1 und P 2, die, falls P 1 = P 2, die Tangente an E in P 1 ist. Sei P = (x,y ) der dritte Schnittpunkt der Geraden mit Ê. Dann ist die Summe von P 1 und P 2 durch P 1 + P 1 := P = (x, y ), die Spiegelung von P an der x-achse, definiert. Das folgende Bild veranschaulicht die geometrische Konstruktion der Punktaddition, wobei P := P : 12

13 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln Die Gerade ist durch y = λ(x x 1 ) + y 1 gegeben, wobei λ die Form λ 1 = y 2 y 1 x 2 x 1 oder λ 2 = x2 2 + x 2x 1 + x a y 2 + y 1 hat (vgl. [5] 105). Mindestens eine dieser Versionen von λ ist wohldefiniert, da P 1 P 2, und sie sind identisch, falls beide wohldefiniert sind. Die Summe P = P 1 + P 2 ist durch P = (x,y ) mit x = λ 2 x 1 x 2, y = λ(x 1 x ) y 1 gegeben. Im projektiven Raum P 2 (K) erhalten wir P 1 + P 2 = P = (x : y : 1). Falls P 1 = P 2, so setzen wir P 1 + P 2 =, und legen P + = für alle Punkte P E(K) fest. Mit der so definierten Punktaddition bildet E(K) eine abelsche Gruppe, deren neutrales Element = (0 : 1 : 0) ist. Die Kommutativität ergibt sich schon aus geometrischer Betrachtung, denn die Gerade durch P 1 und P 2 ist dieselbe wie die Gerade durch P 2 und P 1. Anhand der Formeln sehen wir sofort, dass die Koordinaten von P 1 + P 2 wieder in K liegen. Nach Konstruktion erfült P 1 + P 2 auch die Kurvengleichung. Somit ist E(K) abgeschlossen unter der Addition. Per Definition spielt die Rolle des neutralen Elements. Das Inverse P = (x : y : 1) eines endlichen Punktes P = (x : y : 1) ist durch den Spiegelpunkt (x, y) von (x, y) bezüglich der Spiegelung an der x-achse gegeben. Die Assoziativität kann nicht so leicht begründet werden. Es ist keinesfalls offensichtlich, dass wenn P der dritte Schnittpunkt der Geraden durch P 1 + P 2 und P mit der elliptischen Kurve ist und P der dritte Schnittpunkt der Geraden durch P 1 und P 2 + P mit der elliptischen Kurve ist, dann P = P. Die Assoziativität folgt aus (( P 1 + P 2 )+ P ) = ( P 1 +( P 2 + P )). Um dies zu zeigen, konstruiert man bestimmte Geraden und betrachtet deren Schnittpunkte untereinander und mit der elliptischen Kurve. Hier treten verschiedene Fälle auf, die dann zu untersuchen sind. Der Beweis der Assoziativität sowie eine genauere Herleitung der soeben aufgestellten Formeln finden sich in [8] Ch. 2. Legen wir einen Ring zugrunde, der kein Körper ist, so kann es passieren, dass der Nenner von λ 1 oder λ 2 nicht invertierbar ist und die Formeln sonach nicht wohldefiniert sind. Im Körperfall sind sie stets wohldefiniert, weshalb wir sie von nun an die Körperformeln nennen. Aus den Körperformeln wollen wir nun die bereits vorgestellten Formeln I, II und III herleiten. Wir kommen zu einem Lemma, das für den Beweis des Theorems 2.2 fundamental ist. Lemma 2.4. Seien P 1 und P 2 Punkte in E(K) K ist ein Körper der Charakteristik ungleich 2 und mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Sei M(p 1, p 2 ) die auf den Formeln I, II und III beruhende Matrix. Dann gilt: 1

14 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln (i) Mindestens eine der Formeln I, II, III liefert ein Ergebnis ungleich (0,0,0). (D.h. die Matrix M(p 1, p 2 ) ist primitiv.) (ii) Jedes von (0,0,0) verschiedene Ergebnis aus I, II, III liefert als Punkt in P 2 (K) das korrekte Ergebnis der Addition von P 1 und P 2. (Insbesondere gilt: Alle 2 2-Unterdeterminanten von M(p 1, p 2 ) verschwinden.) Beweis. Wir entwickeln die Formeln I, II und III aus den Körperformeln. Seien P 1 = (x 1 : y 1 : z 1 ),P 2 = (x 2 : y 2 : z 2 ) E(K) endlich. Wir schreiben ( x1 P 1 = : y ) 1 : 1 z 1 z 1 und P 2 = ( x2 : y ) 2 : 1 z 2 z 2 und benutzen ebendiese x- und z-koordinaten, um mit den Körperformeln x und y zu berechnen und so (x : y : 1) = P = P 1 + P 2 zu erhalten. Formel I. Es gelte x 2 z 1 x 1 z 2 0. Dann ist λ 1 = y 2 z 2 y 1 z 1 x 2 z 2 x = y 2z 1 y 1 z 2 1 z 1 x 2 z 1 x 1 z 2 wohldefiniert und x,y sind durch x = λ1 2 x 1 x ( ) 2 x1 und y = λ 1 x y 1 z 1 z 2 z 1 z 1 gegeben. Multiplizieren wir x und y mit (x 2z 1 x 1 z 2 ) z 1 z 2, wobei z 1,z 2 0, da P 1,P 2 endlich sind, und ersetzen xi durch y 2 i z i ax i z 2 i bz i für i = 1,2, dann erhalten wir nach mühsamem Rechnen (x 2 z 1 x 1 z 2 ) z 1 z 2 (x,y,1) = (x I,y I,z I ), d.h. die Formel I. Da (x 2z 1 x 1 z 2 ) z 1 z 2 0, ist P = (x I : yi : zi ). Formel II. Es gelte y 1 z 2 + y 2 z 1 0. Dann ist wohldefiniert und λ 2 = ( x 2 z 2 ) 2 + x 2x 1 z 1 z 2 + ( x 1 z 1 ) 2 + a y 2 z 2 + y = x2 2 z2 1 + x 1 x 2 z 1 z 2 + x2 1 z2 2 + az2 1 z2 2 1 z 1 (y 1 z 2 + y 2 z 1 )z 1 z 2 x = λ2 2 x 1 x ( ) 2 x1 und y = λ 2 x y 1. z 1 z 2 z 1 z 1 Wir multiplizieren x mit (y 1 z 2 + y 2 z 1 ) 2 z 2 1 z2 2, ersetzen x i durch y 2 i z i ax i z 2 i bz i für i = 1,2 und dividieren den entstandenen Term durch z 1 z 2 0. Dies führt auf einen neuen Term q ohne Nenner. Wir multiplizieren y mit z II = (y 1z 2 + y 2 z 1 ) z 2 1 z2 2 und ersetzen x (y 1 z 2 + y 2 z 1 ) 2 z 1 z 2 durch q. So entsteht y II. Multiplizieren wir x mit z II, verschwinden auch hier die Nenner und wir erhalten z II (x,y,1) = (x II,y II,z II ), 14

15 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln also die Formel II. Da z II 0, gilt P = (x II : yii : zii ). Formel III. Sei r := x 1z 2 + x 2 z 1 + x ( 1y 2 + x 2 y 1 y1 z 2 + y 2 z 1 z 1 z 2 x 1 z 2 x 2 z 1 x 1 z 2 x 2 z 1 (vgl. [2] Ch. 5) wohldefiniert. Multiplizieren wir (x I,yI,zI ) mit r, führt dies nach mühsamem Rechnen auf die Formel III, d.h. es gilt r(x I,y I,z I ) = (x III,y III,z III ). So gehen die Formeln I und II aus den auf λ 1 bzw. λ 2 beruhenden Körperformeln hervor und III entsteht aus I. Daraus folgt, dass wenn P 1,P 2 endliche Punkte sind mit P 1 P 2, dann jedes aus I, II, III entstehende Tripel ungleich (0,0,0) als Punkt in P 2 (K) stets das korrekte Ergebnis P = P 1 + P 2 liefert, d.h. alle Tripel ungleich (0,0,0) definieren denselben Punkt in P 2 (K). Falls P 1 = P 2, so führt I mit den Repräsentanten (x 1,y 1,1) und (x 1, y 1,1) von P 1 und P 2 auf das Tripel (0,y I,0). Die Formel II liefert (0,y II,0) und die Formel III bringt (0,yIII,0) hervor. Also definiert jedes dieser drei Tripel, das ungleich (0,0,0) ist, denselben Punkt (0 : 1 : 0) = und liefert damit das korrekte Ergebnis der Addition von P 1 und P 2, wenn P 1 = P 2. Ist P 1 weiterhin ein endlicher Punkt, P 2 aber der Punkt im Unendlichen, dann bringt I mit den Repräsentanten (x 1,y 1,z 1 ) und (0,1,0) von P 1 und das Tripel z 1 (x 1,y 1,z 1 ) hervor. Da z 1 0, erhalten wir das korrekte Ergebnis (z 1 x 1 : z 1 y 1 : z 1 z 1 ) = (x 1 : y 1 : z 1 ) = P 1 der Addition von P 1 und. Die Formel II führt auf (0,0,0) und die Formel III liefert y 1 (x 1,y 1,z 1 ), also ebenfalls das korrekte Ergebnis (x 1 : y 1 : z 1 ) = P 1, wenn y 1 0. Falls P 1 = = P 2, so bringt III mit dem Repräsentanten (0,1,0) von das Tripel (0,1,0) hervor und damit das korrekte Ergebnis (0 : 1 : 0) = der Addition von mit sich selbst. Die Formeln I und II führen beide auf das Tripel (0,0,0). Daraus folgt (ii). Wir haben gesehen, dass wenn P 1,P 2 endliche Punkte mit P 1 P 2 sind oder P 1 endlich und P 2 = ist oder P 1 = = P 2, dann mindestens eine der Formeln I, II, III das Ergebnis P = P 1 + P 2 liefert. Daher muss mindestens ein Tripel, das bei der Berechnung von P aus I, II, III entsteht, ungleich (0,0,0) sein. Wenn P 1,P 2 endliche Punkte mit P 1 = P 2 sind, dann bringen die Formeln I, II und III mit den Repräsentanten (x 1,y 1,1) und (x 1, y 1,1) von P 1 und P 2 die Tripel (0,y I,0), (0,yII,0) und (0,y III,0) hervor. Wir wollen zeigen, dass nicht alle drei Tripel zugleich (0,0,0) sein können. Wir betrachten ) y I = y 1 (6(x 1 + ax 1 + b) + 2y 2 1) = y 1 (6y y 2 1) = 8y 2 1. Wenn y 1 0, dann ist y I 0, denn die Charakteristik von K ist ungleich 2, also 8 0. In diesem Fall liefert I also das Ergebnis (0 : y I : 0) = (0 : 1 : 0) =. Ist aber y 1 = 0, stellt sich die Frage, mit welcher Formel (x 1 : 0 : 1) + (x 1 : 0 : 1) berechnet werden kann. Mit dem Repräsentanten (x 1,0,1) von (x 1 : 0 : 1) liefert III das Tripel (0,y III,0). Wir wissen, dass x 1 eine Nullstelle des Polynoms 15

16 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2. Herleitung der Additionsformeln p(x) = x +ax+b ist, denn aus (x 1 : 0 : 1) E(K) folgt, dass 0 = x 1 +ax 1 +b. Damit können wir y III wie folgt umformen: y III = ax bx 1 6a2 x 2 1 6abx 1 a 9b 2 = ax ( x 1 ax 1)x 1 6a2 x 2 1 6a( x 1 ax 1)x 1 a 9( x 1 ax 1) 2 = 27x 1 (x 1 + ax 1) 9a 2 x 2 1 a = 27bx 1 9a2 x 2 1 a = 27b( ax 1 b) 9a 2 x 2 1 a = 9a 2 x abx 1 a 27b 2. Wenn a = 0, so ist b 0, denn sonst wäre 4a + 27b 2 = 0 und dieser Fall kann nicht eintreten, da das Gegenteil vorausgesetzt ist. Mit a = 0 und b 0 ist y III = 27b 2 0, denn 27 0, da die Charakteristik von K ungleich ist. In diesem Fall bringt III also das Ergebnis (0 : y III : 0) = (0 : 1 : 0) = der Addition von (x 1 : 0 : 1) mit sich selbst hervor. Sei nun a 0. Wir nehmen an, dass y III = 0, d.h. 9a 2 x abx 1 a 27b 2 = 0. Wir lösen die Gleichung nach x 1 auf und erhalten x 1 = b 2a ± 4a + 27b 2 6a 2. Um x 1 einfacher darzustellen, setzen wir c := 2a b und d := 4a +27b 2. Damit ist x 1 = c± d. Setzen wir x 1 in p(x) ein, führt dies auf p(x 1 ) = ( c ± d) + a( c ± d) + b = c ± d(c 2 + d + a) cd ac + b. Wir möchten a und b mit c und d ausdrücken: 6a 2 a = 4a = 27b2 +4a +27b 2 = 9b a +27b 2 = c 2 9d, 4a 2 4a 2 4a 2 6a 2 b = 2a b 2a = 2a c = 2ac = 2( c2 9d)c = 2c(c 2 + d). Mit a = c 2 9d und b = 2c(c 2 + d) erhalten wir schließlich p(x 1 ) = c ± d(c 2 + d c 2 9d) cd ( c 2 9d)c 2c(c 2 + d) = 8d d. Nach Voraussetzung gilt, dass 4a +27b 2 0 und a 0. Da die Charakteristik von K ungleich 2 und ist, folgt, dass 6 0 und 8 0. Daher ist d = 4a +27b 2 6a 2 0. Daraus folgt, dass p(x 1 ) = 8d d 0 im Widerspruch dazu, dass x 1 eine Nullstelle von p ist. Also war die Annahme falsch, d.h. y III 0. Die Formel III liefert auch in diesem Fall wieder das Ergebnis (0 : y III : 0) = (0 : 1 : 0) = der Addition von (x 1 : 0 : 1) mit sich selbst. Daraus folgt (i). 16

17 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) 2.4 Beweis der Gruppeneigenschaften von E(R) Wir kommen nun zu dem Beweis des Theorems 2.2, der wie folgt strukturiert ist. Zuerst zeigen wir, dass + : E(R) E(R) E(R) eine wohldefinierte Verknüpfung ist. Dafür sollten wir uns klarmachen, dass die Punktaddition sowohl unabhängig von der Wahl der Linearkombination definiert werden kann, dass also jede als Tripel primitive Linearkombination denselben Punkt in P 2 (R) hervorbringt, als auch unabhängig von den Wahlen der Punktrepräsentanten ist, d.h. dass jedes Repräsentantenpaar (p 1, p 2 ) von (P 1,P 2 ) E(R) E(R) denselben Punkt P = P 1 +P 2 in P 2 (R) definiert. Wenn die Matrix M(p 1, p 2 ) primitiv ist und all ihre 2 2-Unterdeterminanten verschwinden, so gibt es Bedingung 2 zufolge ein primitives Tripel (x,y,z ) als Linearkombination der Zeilen von M(p 1, p 2 ). Wenn (x,y,z ) zudem die Kurvengleichung von E erfüllt, ist (x : y : z ) E(R). Daraus folgt, dass E(R) unter der wohldefinierten Addition abgeschlossen ist. Anschließend beweisen wir die Eigenschaften, die E(R) zu einer abelschen Gruppe machen. Entsprechend dieser Struktur baut sich der Beweis in mehreren Schritten auf. Schritt 1. Die Verknüpfung + : E(R) E(R) E(R) kann unabhängig von der Wahl der als Tripel primitiven Linearkombination definiert werden. Lemma 2.5. Sei S ein Ring (kommutativ mit 1) und sei M = (a i j ) 1 i m, 1 j n eine m n-matrix über S, deren 2 2-Unterdeterminanten alle verschwinden, d.h. a i j a kl a il a k j = 0 für alle i, j,k,l mit 1 i < k m und 1 j < l n. Seien (b 1,...,b n ),(b 1,...,b n) S primitive n-tupel, die jeweils als Linearkombination der Zeilen von M darstellbar sind. Dann gibt es ein u S, so dass b j = ub j für alle j = 1,..., n. (D.h. die Linearkombination ist eindeutig bis auf Multiplikation mit Einheiten. Erfüllt S zusätzlich die Bedingung 2, so definieren (b 1,...,b n ),(b 1,...,b n) denselben Punkt in P n 1 (S).) Beweis. Zunächst wollen wir zeigen, dass alle 2 2-Unterdeterminanten von M := b 1... b n b 1... b n verschwinden, d.h. b j b l b lb j = 0 für alle j,l mit 1 j < l n. Wir stellen (b 1,...,b n ),(b 1,...,b n) jeweils als Linearkombination der Zeilen von M dar: (b 1,...,b n ) = m i=1 r i(a i1,...,a in ) = ( m i=1 r ia i1,..., m i=1 r ia in ), (b 1,...,b n) = m k=1 r k (a k1,...,a kn ) = ( m k=1 r k a k1,..., m i=1 r k a kn), r i,r k R für alle i,k. Dann gilt b j b l b lb j = ( m i=1 r ia i j ) ( m k=1 r k a kl) ( m i=1 r ia il ) ( m k=1 r k a k j) = m i=1 m k=1 r ir k (a i ja kl a il a k j ) = m i=1 m k=1 r ir k 0 = 0 17

18 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) für alle j,l. Da (b 1,...,b n ) primitiv ist, gibt es s 1,...,s n S, so dass n l=1 s lb l = 1. Sei u := n l=1 s lb l. Dann ist ub j = b j für alle j = 1,...,n, denn mit b l b j = b j b l gilt ub j b j = ( n l=1 s lb l b j) b j = ( n l=1 s lb j b l) b j = b j ( n l=1 s lb l ) b j = b j (( n l=1 s lb l ) 1) = b j (1 1) = b j 0 = 0. Es bleibt zu zeigen, dass u eine Einheit von S ist. Da (b 1,...,b n) primitiv ist, existieren t 1,...,t n S, so dass n j=1 t jb j = 1. Mit v := n j=1 t jb j und ub j = b j für alle j = 1,...,n ist dann uv = n j=1 t jub j = n l=1 t jb j = 1. Schritt 1. Sei E eine elliptische Kurve über R und seien P 1 und P 2 Punkte in E(R) mit Repräsentanten p 1 und p 2. Aus den Formeln I, II und III entsteht die Matrix M(p 1, p 2 ). Nach Lemma 2.5 definiert jede als Tripel primitive Linearkombination der Zeilen von M(p 1, p 2 ) denselben Punkt in P 2 (R). Wählen wir also eine Linearkombination der Zeilen von M(p 1, p 2 ), die als Tripel (x,y,z ) R primitiv ist, so ist (x,y,z ) eindeutig bis auf Multiplikation mit Einheiten von R. Schritt 2. Die Verknüpfung + : E(R) E(R) E(R) kann unabhängig von der Wahl des Repräsentantenpaares von (P 1,P 2 ) E(R) E(R) definiert werden. Beweis. Sei E = E a,b eine elliptische Kurve über R und sei (P 1,P 2 ) = ((x 1 : y 1 : z 1 ),(x 2 : y 2 : z 2 )) E(R) E(R). Seien (p 1, p 2 ) = ((x 1,y 1,z 1 ),(x 2,y 2,z 2 )) und (p 1, p 2 ) = ((x 1,y 1,z 1 ),(x 2,y 2,z 2 )) Repräsentantenpaare von (P 1,P 2 ). Dann gibt es u,v R, so dass (x 1,y 1,z 1 ) = (ux 1,uy 1,uz 1 ) und (x 2,y 2,z 2 ) = (vx 2,vy 2,vz 2 ). Aus den Formeln I, II und III entstehen die Matrizen x I y I z I u 2 v 2 x I u 2 v 2 y I u 2 v 2 z I M(p 1, p 2 ) = x II y II z II und M(p 1, p 2) = u 5 v 5 x II u 5 v 5 y II u 5 v 5 z II. x III y III z III u 2 v 2 x III u 2 v 2 y III u 2 v 2 z III Sei (x,y,z ) R bzw. (x,y,z ) R primitiv und als Linearkombination der Zeilen von M(p 1, p 2 ) bzw. M(p 1, p 2 ) darstellbar. Da sich die Zeilen von M(p 1, p 2 ) nur durch Multiplikation mit Einheiten von den Zeilen von M(p 1, p 2 ) unterscheiden, ist auch (x,y,z ) als Linearkombination der Zeilen von M(p 1, p 2 ) darstellbar. Nach Lemma 2.5 definieren (x,y,z ) und (x,y,z ) also denselben Punkt (x : y : z ) in P 2 (R). Schritt. Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ) und P 2 = (x 2 : y 2 : z 2 ) Punkte in E(R) mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Dann ist die Matrix M(p 1, p 2 ) primitiv. 18

19 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) Beweis. Wir nehmen an, dass M(p 1, p 2 ) nicht primitiv ist. Dann ist das von allen Einträgen x I,yI,..., z III von M(p 1, p 2 ) erzeugte Ideal ungleich R, also in einem maximalen Ideal m enthalten. Der surjektive Ringhomomorphismus π : R R/m, x x = x + m = {x + m m m} wird als die kanonische Projektion bezeichnet und induziert eine Abbildung π : E(R) Ẽ(R/m), (x : y : z) (x : y : z). Die elliptische Kurve E ist durch F(x,y,z) = x + axz 2 + bz y 2 z = 0 gegeben, wobei 4a + 27b 2 R. Die Addition bzw. Multiplikation auf R/m ist durch r +s := r + s bzw. r s := rs definiert. Daraus folgt direkt, dass 4a + 27b 2 (R/m) und F(x,y,z) = x + a x z 2 + b z y 2 z = 0. So verstehen wir Ẽ = Ẽ a,b als eine elliptische Kurve über R/m. Sei P = (x : y : z) E(R), dann ist π(p) = (x : y : z) Ẽ(R/m). Denn so wie sich die Eigenschaften von E auf Ẽ übertragen, übertragen sich die Eigenschaften von (x,y,z) R, primitiv zu sein und die Kurvengleichung F(x,y,z) = 0 von E zu erfüllen, auf (x,y,z) (R/m), d.h. (x,y,z) ist primitiv und erfüllt die Kurvengleichung F(x,y,z) = 0 von Ẽ. Seien (x,y,z) (x,y,z ) Repräsentanten von (x : y : z) E(R) und u R, so dass (x,y,z) = (ux,uy,uz ). Dann ist (x,y,z) = (ux,uy,uz ) = (u x,u y,u z ) mit u (R/m), d.h. (x : y : z ) = (x : y : z) = π((x : y : z)). Also ist π wohldefiniert. Da m maximal ist, ist R/m ein Körper, den wir mit K m bezeichnen. Seien P 1 = π(p 1 ) und P 2 = π(p 2 ) die Bilder von P 1,P 2 unter π mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Aus den Formeln I, II und III entsteht die zu p 1, p 2 gehörende Matrix x I y I z I M( p 1, p 2 ) = x II y II z II x III y III z III Da R die Bedingung 1 erfüllt, also 2, R, sind 2, (R/m) und damit ungleich 0. Daher ist die Charakteristik von K m ungleich 2 und. Nach Lemma 2.4 ist die Matrix M( p 1, p 2 ) primitiv, d.h. mindestens ein Eintrag ist ungleich 0. Da aber das von x I,yI,...,zIII erzeugte Ideal in m enthalten ist, folgt, dass x I = 0, yi = 0,..., ziii. = 0, d.h. M( p 1, p 2 ) ist die Nullmatrix. Das ist ein Widerspruch. Schritt 4. Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ) und P 2 = (x 2 : y 2 : z 2 ) Punkte in E(R) mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Dann verschwinden alle 2 2-Unterdeterminanten von M(p 1, p 2 ). Um dies wieder mit Hilfe des Lemmas 2.4 zeigen zu können, wenden wir folgende Methode an: Sei E eine elliptische Kurve über R. Dann konstruieren wir einen Integritätsring T und einen Ringhomomorphismus ϕ : T R, der eine Abbildung ϕ : Ẽ(T ) E(R) induziert, so dass wir jeden Punkt 19

20 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) P E(R) als das Bild eines Punktes P Ẽ(T ) unter ϕ auffassen können, wobei Ẽ eine elliptische Kurve über T ist. Sei K T der Quotientenkörper von T und sei α : T K T der injektive Ringhomomorphismus, der T in K T einbettet. Dann können wir Ẽ auch als eine elliptische Kurve über K T auffassen. Wenn nun die Charakteristik von K T ungleich 2 und ist, kann das Lemma 2.4 zur Anwendung gebracht werden. Die skizzierte Methode ist in diesem und den nächsten Beweisschritten von entscheidender Bedeutung. Wir sprechen von nun an von der Rückführung auf den Körperfall. Das folgende Diagramm veranschaulicht das Grundmuster der Methode: T α K T ϕ R Wir wollen nun einen Integritätsring T sowie einen Ringhomomorphismus ϕ : T R mit den gewünschten Eigenschaften konstruieren. Lemma 2.6. Sei T ein Integritätsring. Wir betrachten das Polynom f := X + AXZ 2 + BZ Y 2 Z T [X,Y,Z] mit A,B T. Dann ist der Restklassenring T (X,Y,Z)/( f ) nach dem Ideal, das von f erzeugt wird, ein Integritätsring. Beweis. Sei K T der Quotientenkörper von T. Der Polynomring T [X,Y,Z] ist ein Integritätsring, da T ein Integritätsring ist. Also ist T [X,Y,Z]/( f ) genau dann ein Integritätsring, wenn f ein Primelement ist. Seien g,h T [X,Y,Z] mit gh ( f ). Dann ist zu zeigen, dass g ( f ) oder h ( f ). Nach [6] genügt es dafür zu zeigen, dass f im Ring K T [X,Y,Z] irreduzibel ist, d.h. ist f = gh mit g,h K T [X,Y,Z], so ist g konstant oder h konstant. Wir nehmen an, dass g und h nicht konstant sind. Da f homogen vom Grad in X,Y,Z ist, sind auch g und h homogen in X,Y,Z. O.B.d.A. können wir g und h in folgender Form schreiben: g = X +C 1 Y +C 2 Z, h = X 2 + D 1 Y 2 + D 2 Z 2 + D XY + D 4 XZ + D 5 Y Z mit Koeffizienten C i,d j K T für i = 1,2, j = 1,...,5. Dann gilt gh = X +C 1 D 1 Y +C 2 D 2 Z + (C 1 + D )X 2 Y + (C 2 + D 4 )X 2 Z + (C 1 D 5 +C 2 D 1 )Y 2 Z +(C 1 D + D 1 )XY 2 + (C 2 D 4 + D 2 )XZ 2 + (C 1 D 2 +C 2 D 5 )Y Z 2 +(C 1 D 4 +C 2 D + D 5 )XY Z = f = X + AXZ 2 + BZ Y 2 Z. Ein Koeffizientenvergleich führt auf C 1 D 5 +C 2 D 1 = 1 und C 1 D 1 = C 1 D + D 1 = C 1 + D = 0. Aus C 1 D 1 = 0 folgt, dass (C 1 = 0 D 1 0) (C 1 0 D 1 = 0) (C 1 = 0 = D 1 ). 20

21 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) Aus dem ersten Fall folgt, dass D 1 = C 1 D +D 1 = 0, aber D 1 0, ein Widerspruch. Aus dem zweiten Fall folgt, dass C 1 D = C 1 D +D 1 = 0. Da C 1 0, muss D = 0 sein. Dann gilt C 1 = C 1 +D = 0, aber C 1 0, ein Widerspruch. Aus dem letzten Fall folgt, dass 0 = C 1 D 5 +C 2 D 1 = 1, ein Widerspruch. Die Annahme muss also falsch gewesen sein, d.h. h ist konstant oder g ist konstant. Damit ist f irreduzibel in K T [X,Y,Z]. Korollar 2.7. Wir betrachten das Polynom f j := Xj + AX jz 2 j + BZ j Y j 2Z j aus Z[A,B,X i,y i,z i ; i = 1,...,r] für j = 1,...,r. Dann ist Z[A,B,X i,y i,z i ; i = 1,...,r]/( f 1,..., f r ) ein Integritätsring. Beweis. Der Polynomring Z[A, B] ist ein Integritätsring, da Z ein Integritätsring ist. Wir betrachten das Polynom f 1 = X1 +AX 1Z1 2 +BZ 1 Y 1 2Z 1 aus (Z[A,B])[X 1,Y 1,Z 1 ] = Z[A,B,X 1,Y 1,Z 1 ]. Nach Lemma 2.6 ist Z[A,B,X 1,Y 1,Z 1 ]/( f 1 ) ein Integritätsring. Wir betrachten das Polynom f 2 = X2 +AX 2Z2 2 +BZ 2 Y 2 2Z 2 aus (Z[A,B,X 1,Y 1,Z 1 ] /( f 1 ))[X 2,Y 2, Z 2 ]. Nach Lemma 2.6 ist (Z[A,B,X 1,Y 1,Z 1 ]/( f 1 ))[X 2,Y 2,Z 2 ]/( f 2 ) = Z[A,B,X 1,X 2,Y 1,Y 2,Z 1,Z 2 ]/( f 1, f 2 ) ein Integritätsring. So folgt die Behauptung nach r-facher Anwendung des Lemmas 2.6. Lemma 2.8. Sei E = E a,b eine elliptische Kurve über R und seien P 1,...,P r Punkte von E(R). Für jedes i {1,...,r} sei (x i,y i,z i ) R ein primitiver Repräsentant von P i = (x i : y i : z i ). (Dieser erfüllt die Kurvengleichung y 2 z = x + axz 2 + bz y 2 z von E.) Dann gibt es einen Integritätsring T und Elemente A,B,X i,y i,z i T für i = 1,...,r, so dass 4A + 27B 2 T und für jedes i {1,...,r} das Tripel (X i,y i,z i ) T primitiv ist sowie die Gleichung Y 2 Z = X + AXZ 2 + BZ in T erfüllt d.h. Ẽ = Ẽ A,B ist eine durch Y 2 Z = X +AXZ 2 +BZ gegebene elliptische Kurve über T und (X i : Y i : Z i ) Ẽ(T ) und es existiert ein Ringhomomorphismus ϕ : T R mit A a, B b, X i x i, Y i y i, Z i z i für alle i = 1,...,r. Beweis. Wir betrachten den Ring T 0 := Z[A,B,X i,y i,z i,u i,v i,w i ; i = 1,...,r]/( f 1,..., f r ), 21

22 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) wobei f j := X j + AX jz 2 j + BZ j Y2 j Z j für j = 1,...,r. Wir bezeichnen das Ideal ( f 1,..., f r ) mit I. Nach Korollar 2.7 ist T 0 ein Integritätsring. Sein Nullelement ist 0 + I und sein Einselement ist 1 + I. Sei K 0 der Quotientenkörper von T 0. Die Idee ist nun, den gewünschten Ring T als Lokalisierung von T 0 zu erhalten. Wir definieren eine Teilmenge { wobei S := D d r i=1 R d i i d,d 1,...,d r 0 } T 0, D := (4A + 27B 2 ) + I T 0 und R i := (U i X i +V i Y i +W i Z i ) + I T 0 für i = 1,...,r. Die Menge S ist eine multiplikative Teilmenge, denn für d = d i = 0 ist D 0 r i=1 R0 i = 1 + I, also 1 S, und wenn s,s S mit dann ist s = D d r R d i i=1 ss = D d+d i, s = D d r i=1 r i=1 R d i+d i i, R d i i, also ss S. { } g T := D d r g T i=1 Rd i 0, d,d 1,...,d r 0 K 0 i ist zusammen mit dem Ringhomomorphismus τ : T 0 T, g g 1 die Lokalisierung von T 0 nach S. Die Schreibweise g s bezeichnet die Äquivalenzklasse von (g,s) T 0 S, wobei (g,s) in Relation zu (g,s ) T 0 S steht, wenn gs = g s. Für die Äquivalenzklasse g 1 von (g,1) schreiben wir auch einfach nur g. Mit den Verknüpfungen g s + g s := gs + g s ss und g s g s := gg ss ist T ein kommutativer Ring mit Nullelement 0 1 und Einselement 1 1. Nach Konstruktion ist T ein Unterring von K 0 und damit insbesondere ein Integritätsring. Da τ(s) T, ist D r i=1 R i eine Einheit von T. Daraus folgt, dass D T sowie R i T für jedes i {1,...,r}, womit jedes Tripel (X i +I,Y i + I,Z i + I) T primitiv ist. Für jedes j {1,...,r} ist f j + I = 0 + I = 0 in T 0, da f j I, und damit f j + I 1 = τ( f j + I) = τ(0) = 0, d.h. jedes Tripel (X i + I,Y i + I,Z i + I) T erfüllt die Gleichung Y 2 Z = X + AXZ 2 + BZ in T. Für ein Element h + I T 0 bzw. h+i 1 T, h Z[A,B,X i,y i,z i,u i,v i,w i ; i = 1,...,r], schreiben wir auch 22

23 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) einfach nur h und wissen an entsprechenden Stellen, dass damit ein Element von T 0 bzw. T gemeint ist. So können wir 4A + 27B 2 sowie X i,y i,z i als Elemente von T auffassen. Wir wollen nun die universelle Eigenschaft der Lokalisierung nutzen, um den gewünschten Ringhomomorphismus ϕ : T R zu erhalten. Dafür müssen wir einen Ringhomomorphismus ϕ : T 0 R mit ϕ (S) R konstruieren. Nach Voraussetzung ist für jedes i {1,...,r} das Tripel (x i,y i,z i ) R primitiv, d.h. es existieren Elemente u i,v i,w i R mit u i x i +v i y i +w i z i = 1. Wir definieren einen Ringhomomorphismus ψ : Z[A,B,X i,y i,z i,u i,v i,w i ; i = 1,...,r] R durch die Vorschriften A a, B b, X i x i, Y i y i, Z i z i, U i u i, V i v i, W i w i (1) für i = 1,...,r. Das Ideal I ist im Kern Ker ψ von ψ enthalten. Denn für jedes j {1,...,r} ist ψ( f j ) = x j + ax jz 2 j + bz j y jz 2 j = 0, da (x j,y j,z j ) als Repräsentant von P j = (x j : y j : z j ) E(R) die Kurvengleichung von E erfüllt. Für jedes j {1,...,r} und λ j Z[A,B,X i,y i,z i,u i,v i,w i ; i = 1,...,r] ist deshalb ψ( r j=1 λ j f j ) = r j=1 ψ(λ j)ψ( f j ) = r j=1 ψ(λ j) 0 = 0. Also I Ker ψ. Nach der universellen Eigenschaft des Restklassenrings gibt es nun einen eindeutig bestimmten Ringhomomorphismus ϕ : T 0 R mit ψ = ϕ π, wobei π : Z[A,B,X i,y i,z i,u i,v i,w i ; i = 1,...,r] T 0 die kanonische Projektion ist. Die Abbildungsvorschrift von ϕ ist durch (1) festgelegt. Es gilt ϕ (S) R, denn für jedes d,d 1,...,d r 0 gilt ϕ (D d r i=1 Rd i i ) = ϕ (D) d r i=1 ϕ (R i ) d i = (4a + 27b 2 ) d r i=1 (u ix i + v i y i + w i z i ) d i = (4a + 27b 2 ) d r i=1 1d i = (4a + 27b 2 ) d und (4a + 27b 2 ) d R, da 4a + 27b 2 R nach Voraussetzung. Nach der universellen Eigenschaft der Lokalisierung existiert nun ein eindeutig bestimmter Ringhomomorphismus ϕ : T R mit ϕ τ = ϕ. Die Abbildungsvorschrift von ϕ ist wieder durch (1) gegeben. Bemerkung 2.9. Mit den obigen Notationen und dem Lemma 2.8 halten wir Folgendes fest: Durch die Gleichung Y 2 Z = X + AXZ 2 + BZ ist eine elliptische Kurve Ẽ = Ẽ A,B über T gegeben. Sei P i = (x i : y i : z i ) E(R) für ein i {1,...,r}. Dann existieren X i,y i,z i T, so dass P i := (X i : Y i : Z i ) Ẽ(T ) und (ϕ(x i ) : ϕ(y i ) : ϕ(z i )) = (x i : y i : z i ) E(R). D.h. ϕ : T R induziert eine Abbildung ϕ : Ẽ(T ) E(R), (X : Y : Z) (ϕ(x) : ϕ(y ) : ϕ(z)), 2

24 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) so dass wir jeden Punkt in E(R) als das Bild eines Punktes in Ẽ(T ) unter ϕ auffassen können. Sei (X : Y : Z) Ẽ(T ), dann ist (X,Y,Z) T primitiv und erfüllt die Kurvengleichung von Ẽ. Also existieren S 1,S 2,S T, so dass S 1 X + S 2 Y + S Z = 1, und es gilt X + AXZ 2 + BZ Y 2 Z = 0. Da ϕ ein Ringhomomorphismus ist, folgt, dass ϕ(s 1 )ϕ(x)+ϕ(s 2 )ϕ(y )+ϕ(s )ϕ(z) = ϕ(s 1 X +S 2 Y +S Z) = ϕ(1) = 1, wobei ϕ(s 1 ),ϕ(s 2 ),ϕ(s ) R, und ϕ(x) +aϕ(x)ϕ(z) 2 +bϕ(z) ϕ(y ) 2 ϕ(z) = ϕ(x ) +ϕ(a)ϕ(x)ϕ(z 2 ) + ϕ(b)ϕ(z ) ϕ(y 2 )ϕ(z) = ϕ(x + AXZ 2 + BZ Y 2 Z) = ϕ(0) = 0. Sei U T, dann existiert ein V T mit UV = 1, weshalb ϕ(u)ϕ(v ) = ϕ(uv ) = ϕ(1) = 1 mit ϕ(v ) R, d.h. ϕ(u) R. Daraus folgt, dass zwei verschiedene Repräsentanten eines Punktes P Ẽ(T ) stets denselben Punkt ϕ( P) E(R) hervorbringen. Also ist ϕ eine wohldefinierte Abbildung. Sei α : T K T, h h 1 der injektive Ringhomomorphismus, der T in seinen Quotientenkörper K T einbettet. Für h 1 schreiben wir einfach nur h. Da 2 + I 0 + I und + I 0 + I, ist die Charakteristik von K T ungleich 2 und, d.h. wir können das Lemma 2.4 anwenden. Im Folgenden übernehmen wir die obigen Notationen. Schritt 4. Wir wollen Schritt 4 nun durch Rückführung auf den Körperfall zeigen. Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ) und P 2 = (x 2 : y 2 : z 2 ) Punkte in E(R) mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Nach Lemma 2.8 existieren Punkte P 1 = (X 1 : Y 1 : Z 1 ) und P 2 = (X 2 : Y 2 : Z 2 ) Ẽ(T ) mit Repräsentanten p 1 = (X 1,Y 1,Z 1 ) und p 2 = (X 2,Y 2,Z 2 ), so dass (ϕ(x 1 ),ϕ(y 1 ),ϕ(z 1 )) = (x 1,y 1,z 1 ) und (ϕ(x 2 ),ϕ(y 2 ),ϕ(z 2 )) = (x 2,y 2,z 2 ), d.h. ϕ( P 1 ) = P 1 und ϕ( P 2 ) = P 2. Sei X I Y I Z I M T ( p 1, p 2 ) := X II Y II Z II X III Y III Z III die zu p 1, p 2 gehörende Matrix über T. Wir stellen die 2 2-Unterdeterminanten von M T ( p 1, p 2 ) durch A i j A kl A il A k j, 1 i < k, 1 j < l, dar. Betten wir T durch α in seinen Quotientenkörper K T ein, so können wir die Matrix M T ( p 1, p 2 ) über T als eine Matrix M KT ( p 1, p 2 ) über einem Körper auffassen. Nach Lemma 2.4 verschwinden nun alle 2 2-Unterdeterminanten von M KT ( p 1, p 2 ), d.h. A i j A kl A il A k j = 0 in K T für alle i, j,k,l. Da α ein injektiver Ringhomomorphismus ist, folgt, dass A i j A kl A il A k j = 0 in T. Somit ist ϕ(a i j A kl A il A k j ) = ϕ(0) = 0. Nach Konstruktion von ϕ gilt ϕ(x I ) = xi, der erste Eintrag der zu p 1, p 2 gehörenden Matrix M(p 1, p 2 ). Entsprechendes trifft für alle Matrixeinträge zu. Mit ϕ(a i j A kl A il A k j ) = ϕ(a i j )ϕ(a kl ) ϕ(a il )ϕ(a k j ) = a i j a kl a il a k j beschreiben wir also alle 2 2-Unterdeterminanten von 24

25 2 ELLIPTISCHE KURVEN ÜBER RINGEN 2.4 Beweis der Gruppeneigenschaften von E(R) x I y I z I M(p 1, p 2 ) = x II y II z II. x III y III z III Aus a i j a kl a il a k j = 0 für alle i, j,k,l folgt schließlich, dass alle 2 2-Unterdeterminanten von M(p 1, p 2 ) verschwinden. Schritt 5. Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ) und P 2 = (x 2 : y 2 : z 2 ) Punkte in E(R) mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Dann gibt es eine Linearkombination der Zeilen von M(p 1, p 2 ), die als Tripel (x,y,z ) R primitiv ist, und (x,y,z ) erfüllt die Kurvengleichung y 2 z = x + axz 2 + bz von E. (D.h. (x : y : z ) E(R).) Da M(p 2, p 2 ) primitiv ist und all ihre 2 2-Unterdeterminanten verschwinden, existiert nach Bedingung 2, die R erfüllt, eine primitive Linearkombination (x,y,z ) R der Zeilen von M(p 1, p 2 ). Die zu zeigende Behauptung ist also, dass (x,y,z ) die Kurvengleichung von E erfüllt. Lemma Sei E = E a,b eine elliptische Kurve über R und seien P 1 = (x 1 : y 1 : z 1 ) und P 2 = (x 2 : y 2 : z 2 ) Punkte in E(R) mit Repräsentanten p 1 = (x 1,y 1,z 1 ) und p 2 = (x 2,y 2,z 2 ). Dann erfüllt jede Linearkombination der Zeilen von M(p 1, p 2 ) die Kurvengleichung von E. Beweis. Wir wollen die Behauptung wieder durch Rückführung auf den Körperfall zeigen. Sei (x,y,z ) = a 1 (x I,y I,z I ) + a 2 (x II,y II,z II ) + a (x III,y III,z III ), a 1,a 2,a R, eine Linearkombination der Zeilen von M(p 1, p 2 ). Wir passen T 0 unserer Situation an. Die Aussagen ändern sich dadurch formal, inhaltlich jedoch nicht. Deshalb und für eine bessere Übersicht behalten wir die gewohnten Notationen bei. Wir betrachten im Folgenden T 0 = Z[A,A 1,A 2,A,B,X i,y i,z i,u i,v i,w i ; i = 1,2]/( f 1, f 2 ), { } g T = D d R d g T 0, d,d 1,d 2 0 K 0, 1 1 Rd 2 2 ϕ : T R mit A a, A 1 a 1, A 2 a 2, A a, B b, X i x i, Y i y i, Z i z i für i = 1,2. Nach Lemma 2.8 existieren Punkte P 1 = (X 1 : Y 1 : Z 1 ) und P 2 = (X 2 : Y 2 : Z 2 ) in Ẽ(T ) mit Repräsentanten p 1 = (X 1,Y 1,Z 1 ) und p 2 = (X 2,Y 2,Z 2 ), so dass (ϕ(x 1 ),ϕ(y 1 ),ϕ(z 1 )) = (x 1,y 1,z 1 ) und (ϕ(x 2 ),ϕ(y 2 ), ϕ(z 2 )) = (x 2,y 2,z 2 ), d.h. ϕ( P 1 ) = P 1 und ϕ( P 2 ) = P 2. (X,Y,Z ) = A 1 (X I,Y I,Z I ) + A 2 (X II,Y II,Z II ) + A (X III,Y III,Z III ) 25