Curvas elípticas sobre campos finitos y aplicaciones en criptografía

Curvas El´ıpticas sobre Campos Finitos y

Aplicaciones en Criptograf´ıa

Alejandro Salcedo Bernal

Asesor

Resumen

El objetivo principal del proyecto es estudiar c´omo se caracteriza la estructura de grupo que tienen las curvas el´ıpticas sobre campos finitos. Para lograrlo, primero se introducen todos los conceptos b´asicos sobre curvas el´ıpticas, como lo son su estructura de grupo y algunas de las propiedades que tienen los endomorfismos sobre estas. Posteriormente se estudian los grupos de torsi´on con los cuales se logra dar estructura a las curvas el´ıpticas sobre campos finitos. Adicionalmente se introduce a las aplicaciones de las curvas el´ıpticas en criptograf´ıa, en particular se tratarn las versiones de curva el´ıptica de los algoritmos RSA y ElGamal, tambi´en se mostrar´a un algoritmo de factorizaci´on de enteros basado en curvas el´ıpticas.

´Indice

1. Preliminares 3

1.1. Definici´on de una curva el´ıptica . . . 3 1.2. Estructura de Grupo . . . 4

2. Endomorfismos 10

3. Grupos de Torsi´on 17

4. Buen Emparejamiento 20

5. Campos Finitos 22

5.1. Estructura . . . 22 5.2. Estimando el Orden del Grupo . . . 23

6. Aplicaciones en Criptograf´ıa 27

6.1. Factorizaci´on de Enteros con Curvas El´ıpticas . . . 27 6.2. Encripci´on usando Curvas El´ıpticas . . . 29

1.

Preliminares

1.1.

Definici´

on de una curva el´ıptica

Dado un campoK, una curva el´ıptica sobreK es el conjunto de puntos enK×K que satisfacen la ecuaci´on

y2_+a

1xy+a2y=x3+a3x2+a4x+a5

Note que si la caracter´ıstica de K no es 2 (entonces es posible dividir por 2) podemos completar el cuadrado y el lado izquierdo de la ecuaci´on se puede escribir como:

y2+a1xy+a2y=

(

y+ a1x 2 + a2 2 )2 − ( a1x

2

)2

− a1a2x

2 −

( a2

2

)2

Por lo tanto la ecuaci´on queda de la siguiente forma:

(

y+ a1x 2 +

a2

2

)2

=x3+x2 (

a3+

a2 1 4 ) +x (

a4+

a1a2

2

)

+a5+

( a2

2

)2

Y con las sustitucionesy1 =y+a1₂x+a₂2, a′1 =a3+

a2 1

4 ,a′2 =a4+a1₂a2 ya′3 =a5+ (a₂2)2 la ecuaci´on

se convierte en:

y2

1 =x3+a′1x2+a′2x+a′3

Sin embargo, la ecuaci´on se puede simplificar aun m´as si la caracter´ıstica de K tampoco es 3 (entonces es posible dividir por 3). Tomando x=x1−

a′₁

3 se tiene que:

x3+a′₁x2+a′₂x+a′₃ =x3₁+x1

( a′₂− a

′2 1

3

)

+a′₃+ a

′2 1

9 −

a′₁a′₂

3 −

a′3 1

27

Sustituyendo A=a′₂− a′21

3 y B =a′3+

a′2₁

9 −

a′₁a′₂

3 −

a′3₁

27, se tiene que:

y2 _=x3_+Ax+B

Esta forma es conocida como la ecuaci´on de Weierstrass, y se usar´a en la mayor parte de este proyecto. Adicionalmente se vamos a pedir que la ecuaci´on no tenga ra´ıces repetidas, es decir, 4A3 _{+ 27B}2 _{̸= 0. Y como en el futuro daremos estructura de grupo a las curvas el´ıpticas, vamos}

a introuducir el elemento ∞, que actuar´a como elemento neutro del grupo. En conclusi´on, una curva ell´ıptica E sobre K, que se denota como E(K), dada por la ecuaci´ony2 =x3+Ax+B con 4A3_{+ 27B}2 _{̸= 0 es:}

E(K) ={(x, y)∈K×K :y2 _=x3_+Ax+B} ∪ {∞}

Ahora algunos ejemplos:

Figura 1: y2 _=x3_{+x+ 1 Figura 2: y}2 _=x3−_{5x+ 1}

La gr´afica que se muestra en la Figura 1 corresponde a una ecuaci´on con s´olo una ra´ız enR y las otras dos en C, mientras que la g‘r´afica de la Figura 2 corresponde a una ecuaci´on con todas sus raices en R. En este ejemplo se puede apreciar la simetr´ıa (con respecto al eje x) de las curvas, y esto no aplica s´olo en las curvas sobreR, esto aplica sobre cualquier campo ya que si (x, y)∈E(K) entonces x3 _{+Ax+b = y}2 _{= (}−_y)2 _{y por lo tanto (x,}−_y) ∈ _{E(K). Por otro lado, el punto} ∞_,

que m´as tarde lo introduciremos formalmente, se puede ver como el principio y el fin del eje y(en realidad es m´as parecido a la compactificaci´on por un punto de R2_).

Ejemplo 2. En los campos finitos no hay una noci´on clara de orden, por lo cual las gr´aficas no son ´utiles. Para K = Z7, en la siguiente tabla se muestran los posibles puntos para la curva

definida por y2 _=x3_{+x+ 1.}

x x3_{+x+ 1 y}

0 1 1,6

1 3

-2 4 2,5

3 3

-4 6

-5 5

-6 6

-Por lo tanto esta curva el´ıptica tiene los siguentes puntos:

E(Z7) ={(0,1),(0,6),(2,2),(2,5),∞}

1.2.

Estructura de Grupo

En esta secci´on explicamos c´omo definir un operaci´on binaria sobre una curva el´ıpticaE(K) y mostraremos que E(K), junto a esta operaci’on, es un grupo abeliano. Para esto es bueno pensar en las curvas el´ıpticas sobre R, sea E(R) definida por la ecuaci´on y2 _=x3_{+Ax+B, si se toman}

dos puntos P1, P2 ∈ E(R), P1 ̸= P2, una manera natural de producir un tercer punto es tomar

la recta P1P2 (recta que pasa por P1 y P2) y mirar si intersecta en un tercer punto en la curva.

Sin embargo, no hay garant´ıa de que la recta interesecte la curva en tres puntos, por ejemplo si

Lema 1. Sea E curva el´ıptica con ecuaci´on y2 _{= x}3 _{+Ax+B sobre K (campo cualquiera), si}

P1 = (x1, y1), P2 = (x2, y2) y x1 ̸= x2 entonces la recta P1P2 intersecta a E(K) en tres puntos

(contando multiplicidades).

Demostraci´on La recta P1P2 est´a dada por la ecuaci´on y = mx+ (y1−mx1), con m = _xy2₂−₋y_x1₁

(aqu´ı es donde se necesita que x1 ̸= x2) entonces las primeras coordenadas de los puntos de

interseci´on de E(K) y P1P2 son las soluciones de la ecuaci´on:

x3+Ax+B−(m(x−x1) +y1))2 = 0 (1)

Ahora s´olo falta comprobar que las tres ra´ıces de la ecuaci´on (1) est´an en K. Ya sabemos que

x1 y x2 son soluciones de (1), sea x3 la soluci´on que falta, entonces, por un lado se tenemos que

(x−x1)(x−x2)(x−x3) = x3+Ax+B−(mx−mx1+y1)2 =x3−m2x+· · ·

y por el otro lado

(x−x1)(x−x2)(x−x3) = x3−(x1+x2+x3)x2+· · ·

Por lo tanto m2 =x1+x2+x3 y en consecuencia x3 =m2−x1−x2 ∈K.

n

P

P

Figura 3: Intersecci´on de una curva y una recta en R

El Lema 1 parece algo trivial, pero en realidad no es evidente el porqu´e las soluciones de la ecua-ci´on (1) est´an en el campo, sobre todo si el campo no es algebr´aicamente cerrado. Por otro lado, este lema da un procedimiento sencillo para calcular la interseci´on de una recta con una curva

cuando se conocen dos puntos que ya est´an en la intersecci´on.

Ahora es un buen momento para definir el punto ∞ ∈ E(K). Como se mostr´o anteriormente, dados P1 = (x1, y1) y P2 = (x2, y2) en E(K) la recta P1P2 intersecta a E(K) en tres puntos a

excepci´on de cuando x1 =x2 y y2 =−y1, en este caso P1P2 es vertical. Para remediar esto se usa

el punto ∞:

Definici´on 1(∞). Dada E(K), la rectal intersecta aE(K)en∞si y s´olo les una recta vertical, i.e., si (x, y)∈l entonces (x, z)∈l para todo z ∈K

Con esta convesi´on ya podemos definir la suma de dos puntos diferentes enE(K). DadosP1, P2 ∈

E(K) tales que P1 ̸= P2, si P3 es el tercer punto de la intersecci´on de E(K) con P1P2, entonces

definimos P1+P2 :=−P3. Donde −P3 =−(x, y) := (x,−y).

P

P

P

P

P

+P

-(P

+P

)

Figura 4: Adinci´on de puntos enE(K)

Hay varias cosas para resaltar sobre esta operaci´on. En primer lugar, los inversos est´an da-dos por un cambio de signo en la segunda coordenada, es decir, si P = (x, y) ∈ E(K) entonces −P = (x,−y)∈E(K). El elemento∞es el neutro del grupo porque la linea que pasa porP y−P

es vertical, por lo tantoP+ (−P) =∞. Adem´as la linea∞P (que es una linea vertical) intersecta la curva en ∞, P y −P por lo tanto ∞+P = −(−P) y en consecuencia ∞+P = P. Tambi´en hay que notar que la operaci´on es conmutativa, por lo cual va a producir un grupo abeliano, ya que la recta P1P2 es igual a la recta P2P1.

A´un nos falta definirP +P para un punto P ∈E(K). Para esto es bueno mirar qu´e se har´ıa en

E(R)⊆ R2_{. En R}2 _{hay el concepto de distancia, por lo cual para calcular 2P es natural intentar}

calcular P +P′ con P′ ((cercano))a P. Cuando P′ es cercano P, la recta P P′ se acerca a la recta tangente a la curva en P. Por lo tanto, extrayendo la idea de R2_{, para calcular 2P basta tomar la}

Para ver en donde intersecta la recta tangente a la curva se puede proceder de forma similar a como se hizo en el Lema 1. Sea E(K) un curva el´ıptica determinada por la ecuaci´on y2 _=x3_+Ax+B

y P = (a, b) ∈ E(K), entonces la recta tangente a E(K) que pasa por el punto P est´a da-da por y = mx + b− ma con m = y′ = 3a2₂+_bA. Note que para hacer esto b no puede ser 0, por lo tanto supongamos que b ̸= 0. Entonces hay que encontrar las soluciones a la ecuaci´on √

x3_{+Ax+B =mx+b}−_{ma, que son iguales a las de:}

x3+Ax+B−(mx+b−ma)2 = 0

Ya se sabemos que a es ra´ız de la ecuaci´on, pero adicionalemte a es ra´ız repetida. Para ver esto escriba la ecuaci´on anterior como (f1(x))2−(f2(x))2 = 0 dondef1(x) =

√

x3_{+Ax+B y f} 2(x) =

mx+b−ma, evidentementeaes raiz de la derivada ((f1(x))2−(f2(x))2)′ = 2f1(x)f1′(x)−2f2(x)f2′(x)

(note que f₁′(x) = f₂′(x)), por lo tanto es raiz repetida. Para hayar la raiz faltante x1 se puede

hacer los mismo que en el Lema 1 y obtenemos que x1 =m2 −2a.

Para el caso en que b= 0, la recta tangente es vertical, por lo tanto se definie 2P =∞.

Ejemplo 3. En el Ejemplo 2 se mostr´o que la curva definida por y2 _{= x}3 _{+Ax+B sobre Z} 7

es E(Z7) = {(0,1),(0,6),(2,2),(2,5),∞}, a continuaci´on se muestra como es la suma en dicho

grupo:

+ (0,1) (0,6) (2,2) (2,5) ∞ (0,1) (2,5) ∞ (0,6) (2,2) (0,1) (0,6) ∞ (2,2) (2,5) (0,1) (0,3) (2,2) (0,6) (2,5) (0,1) ∞ (2,2) (2,5) (2,2) (0,1) ∞ (0,6) (2,5) ∞ (0,1) (0,6) (2,2) (2,5) ∞

Para resumir todo:

Definici´on 2 (Ley del grupo). Sea E(K) la curva el´ıptica definida por y2 _=x3_{+Ax+B, y sean}

P1 = (x1, y1), P2 = (x2, y2) elementos de E(K) ambos distintos de ∞. Entonces (x3, y3) =P3 =

P1+P2 est´a dado por:

1. Si x1 ̸=x2

m= y2−y1

x2−x1

, x3 =m2−x1−x2, y3 =m(x1−x3)−y1

2. Si x1 =x2 y, y1 ≠ y2 o y1 =y2 = 0

P3 =∞

3. Si P1 =P2 con y1 ̸= 0

m= 3x

2 1+A

2y1

, x3 =m2−2x1, y3 =m(x1−x3)−y1

Teorema 2. Con la adici´on definida anteriomente E(K) es un grupo abeliano.

Demostraci´on La conmutatividad es evidente, ya que, como se mencion´o anteriormente, las li-neas P1P2 y P2P1 son iguales, por lo tanto P1 +P2 = P2 +P1. El elemento neutro es ∞. La

existencia de inversos, est´a dada por el cambio de signo en la segunda coordenada, es decir, si

P = (x, y) entonces −P = (x,−y). Falta probar la asociatividad, la prueba de esta es complicada y bastante larga, por lo cual s´olo se dar´a las nociones generales de la prueba y se omitir´an los detalles. Para una prueba completa puede consultar [2].

Sean P, Q, R puntos en E(K), para probar que (P +Q) +R = P + (Q+R) considere las si-guientes lineas:

l1 =P Q m1 =QR

l2 =∞, Q+R m2 =∞, P +Q

l3 =R, P +Q m3 =P, Q+R

Sea Pij =li∩mj, si li ̸=mj (i, j ∈ {1,2,3}) entonces Pij es un punto y es f´acil ver que todos los

Pij, a excepci´on deP33, est´a en E(K):

∩ m1 m2 m3

l1 Q −(P +Q) P

l2 −(Q+R) ∞ Q+R

l3 R Q+R ?

Entonces, si demostramos que P33 est´a enE(K), ya tendr´ıamos la asociatividad porquem3

inter-secta aE(K) en P, Q+R y−(P+ (Q+R)), yl3 intersecta a E(K) enR, P+Qy−(P+ (Q+R)),

por lo tanto −(P + (Q+R)) =−((P +Q) +R).

Ahora hay que mostrar que P33 est´a en E(K), para hacerlo es necesario introducir el concepto de

espacio proyectivo. Para un campo K, el espacio proyectivo de K, que se denota como P2

K, es el

conjunto de clases de equivelancia que produce la relaci´on (de equivalencia):

(x, y, z):(x′, y′, z′)⇔(x, y, z) = (λx′, λy′, λz′)

para alg´un λ ∈ K, definida sobre K3 −_{(0,0,0). La clase de (x, y, z)} ∈ _K3 _{se denota (x : y : z).}

Ahora hay que ver a E(K) en P_K2, para esto considere la siguiente inyecci´on :

e:K2 _,→P2

K

(x, y)7−→(x:y: 1)

Tambi´en hay que ver c´omo ser´ıa la ecuaci´on que define aE(K) enP2

K, si esta esy2 =x3+Ax+B,

entonces podemos introducir la variable z y convertir la ecuaci´on en un polinomio homoge-neo de grado 3, que se llamar´a C, de tal modo que C(x, y,1) = y2 _−x3 _{−Ax +B, es decir,}

C(x, y, z) =y2_z−x3_−Axz2_−Bz3_{. Todo (x:y :z)∈e(E(K)) cumple que C(x, y, z) = 0 ya que}

(x : y : z) = (x/z : y/z : 1) con (x/z, y/z) ∈ E(K), entonces C(x, y, z) = z3C(x/z, y/z,1) =

z3_((y/z)2 _{− (x/z)}3 _{− A(x/z) − B) = 0. De igual modo se pueden sumergir las lineas m}

i, li

(i ∈ {1,2,3}) y encontrar ecuaciones Mi, Li que las respresenten en PK2. Note que si (x, y)∈ mi

entonces Mi(e(x, y)) = 0 (de modo similar con li), y si (x, y) ∈ K2 y C(e(x, y)) = 0 entonces

P

Q

R -((P+Q)+R)

P+Q

Q+R

-(P+(Q+R))

l1=PQ

l2= ,Q+R

l3=R,P+Q

m2= ,P+Q

m1=QR

m3=P,Q+R

Figura 5: Prueba de asociatividad

Si li ̸= mj (i, j ∈ {1,2,3}) y P, Q, R, P + Q, Q+R no son ∞, se puede demostrar que (ver

[2]):

C=αL1L2L3 +βM1M2M3

para algunas constantes α, β ∈ K. Como L3(e(P33)) = M3(e(P33)) = 0 entonces C(e(P33)) = 0 y

P33 est´a en K.

Ahora hay que ver los casos en que alguno de P, Q, R, P + Q, Q+ R es ∞ o li = mj para

alg´uni ∈ {1,2,3}. Si P =∞ entonces P + (Q+R) =Q+R = (P +Q) +R, de manera similar se muestra para Qy R. SiP +Q=∞entonces la l´ıneaP Qes vertical, entonces P es la reflexi´on por el eje x de Q y (P +Q) +R = R, para calcular Q+R se traza la linea QR que intersecta la curva en Q, R y −(Q+R). Para calcular P + (Q+R) se traza la l´ınea P, Q+R, pero como

P es la reflexi´on por el eje x de Q entonces la l´ınea P Q es la reflexi´on de la l´ınea P, Q+R, en consecuenciaP, Q+R va a intersectar la curva enP, Q+R y −R, por lo tantoP + (Q+R) =R. El caso en que Q+R=∞ es similar. Falta por ver los casos en que li =mj:

Si l1 = m1, entonces P, Q y R est´an en la misma l´ınea y P +Q = −R, Q+R = −P, y

Si l1 =m2, entonces P, Q y ∞ est´an en la misma linea y P +Q= ∞. Para este caso ya se

verific´o la asociatividad.

Si l1 = m3, entonces P, Q y Q + R est´an en la misma l´ınea. P + Q = −(Q +R) ⇒

(P +Q) +R = −(Q+R) +R, y −(Q+R) +R = −Q porque la linea QR intersecta la curva en Q, R y −(Q+R) entonces es la misma l´ınea que −(Q+R), R. De mismo modo con −(P +Q) =Q+R se prueba que P + (Q+R) =−Q.

Si l2 =m1, es similar al caso en que l1 =m2

Si l2 =m2, entonces P +Q=±(Q+R). Si P +Q=Q+R entonces P =R y

(P +Q) +R=R+ (P +Q) = P + (P +Q) = P + (R+Q) =P + (Q+R)

Si P +Q=−(Q+R) entonces

(P +Q) +R =−(Q+R) +R =−Q P + (Q+R) = P −(P −Q) =−Q

Si l2 = m3, entonces m3 pasa por P, Q+R e ∞, por lo tanto −(Q+R) = P, y como

−(Q+R), Q, Rest´an en la misma l´ınea entoncesP, QyRest´an en la misma l´ınea. Entonces la asociatividad de sigue de mismo modo que en el cas que l1 =m1.

Si l3 =m1, este caso es similar a cuando l1 =m3

Si l3 =m2, similar a cuando l2 =m3.

Si l3 = m3, como una recta no puede intersectar la curva en m´as de tres puntos, entonces

P =R oP =P +Q oQ+R =P +QoQ+R=R. Si P =R se procede igual que cuando

l2 =m2. Si P =P +Q entonces ∞=−P + (P +Q) =Q, y este caso ya se trat´o antes. Si

Q+R=R es simila al anterior. Si Q+R=P +Qentonces R =P.

n

2.

Endomorfismos

Un endomorfismo de una curva el´ıptica E, sobre un campo K, es una funci´on racional (cada componente es racional) α:E( ¯K)−→E( ¯K) tal queα(P +Q) =α(P) +α(Q) paraP, Q∈E( ¯K). Note que ahora las curvas se definen sobre la clausura algebr´aica de el campo ( ¯K), y como ¯K tiene infinitos elementos y todas las raices existen entonces E( ¯K) tambi´en tiene infinitos elementos. En la mayor parte de esta secci´on vamos a trabajar con curvas sobre campos algebr´aicamente ce-rrados, sin embargo los resultados obtenidos van a ser ´utiles posteriormente cuando se introduzcan las curvas sobre campos finitos.

Aclaraci´on: α(P)2 _{= (α(P))}2 _{y α}2_{(P) = α(α(P))}

Ejemplo 4. SiK =Fq(q=pk con p primo), la funci´onϕq, llamada endomorfismo de Frobenius,

definida como ϕq(x, y) = (xq, yq) es un endomorfismo.

1. Si x1 ̸=x2 entonces

x3 =m2−x1−x2 y y3 =m(x1−x3)−y1

con m = y2−y1

x2−x1, y comoK es de caracter´ıstica p

xq₃ =

(

y₂q−y₁q xq₂ −xq₁

)2

−xq₁−xq₂ y yq₃ = y

q

2 −y

q

1

xq₂−xq₁(x

q

1−x

q

3)−x

q

1

Por lo tanto ϕq(x3, y3) = (xq3, y

q

3) = (x

q

1, y

q

1) + (x

q

2, y

q

2) =ϕq(x1, y1) +ϕq(x2, y2).

2. Si x1 =x2 y ,y1 ≠ y2 o y1 =y2 = 0,

En el caso que y1 =y2 = 0 se tiene que y

q

1 =y

q

2 = 0 y por lo tanto (x

q

1, y

q

1) + (x

q

2, y

q

2) =∞=

ϕq(∞) = ϕq((x1, y1) + (x2, y2)). Para el otro caso, si y1 ̸=y2 entonces yq1 ̸=y

q

2 y tenemos el

resultado.

3. Si (x1, y1) = (x2, y2),

Este caso es muy similar al primero, a excepci´on de quemq ₌ 3q_x3q_+Aq

2q_yq , pero como 2,3, A∈Fq

entonces 2q _{= 2,3}q _{= 3 yA}q _=A.

En los casos en que alguno de los puntos es ∞ el resultado es evidente.

Proposici´on 3. Si α es un endomorfismo de E( ¯K) tal queα(x, y) = (F1(x, y), F2(x, y)) entonces

α(x, y) = (R1(x), yR2(x))

con R1 y R2 funciones racionales que s´olo dependen de x.

Demostraci´on Si (x, y)∈E( ¯K), cualquier funci´on racional R(x, y) se puede expresar como

R(x, y) = p1(x) +yp2(x)

p3(x) +yp4(x)

ya que y2 _{= x}3_{+Ax+B, entonces todas las potencias pares de y se pueden remplazar por un}

polinomio en x, pi(x), y las potencias impares por un polinomio de la forma ypj(x) con pi, pj

polinomios en x. Multiplicando por p3(x)−yp4(x) en el numerador y el denominador se puede

obtener (usando el mismo argumento) la siguiente expresi´on:

R(x, y) = s1(x) +ys2(x)

s3(x)

con si polinomios en x. Ahora suponiendo queF1 y F2 son:

F1(x, y) =

r1(x) +yr2(x)

r3(x)

,F2(x, y) =

q1(x) +yq2(x)

q3(x)

entonces, como α es homomorfismo,

−α(x, y) = α(x,−y)⇒(F1(x, y),−F2(x, y)) = (F1(x,−y), F2(x,−y)).

n

Con ´esta proposici´on se vuelve evidente el hecho de que el n´ucleo (o kernel) de cualquier en-domorfismo (a excepci´on del trivial) es finito. Para ver ´esto basta con ver el tama˜no de alguna de las fibras, entonces si (a, b) ∈ α(E( ¯K)) y α(x, y) = (p1(x)/q1(x), yp2(x)/q2(x)) con pi, qi

po-linomios tales que pi y qi no tienen ra´ıces en com´un (α ̸= 0), entonces α−1(a, b) = {(x, y) ∈

E( ¯K) : p1(x)−aq1(x) = yp2(x)−ybq2(x) = 0}, y este conjunto tiene finitos elementos porque

los polinomios p1(x)−aq1(x), yp2(x)−ybq2(x) no pueden ser ambos constantes (de lo contrario

α = 0).

Teorema 4. Todo endomorfismo α̸= 0 de E( ¯K) es sobreyectivo.

Demostraci´on Sea (a, b)∈E( ¯K), entonces hay que encontrar (x0, y0) enE(K) tal queα(x0, y0) =

(a, b). Podemos suponer que (a, b) ̸= ∞ (puesto que α(∞) = ∞). Si α(x, y) = (R1(x), yR2(x)),

tome p(x), q(x) polinomios sin ra´ıces en com´un tales que R1(x) =p(x)/q(x) y considere el

polino-mio

p(x)−aq(x).

Sip(x)−aq(x) no es constante entonces tiene ra´ıces en ¯K, seax0una ra´ız de este yy0=

√ x3

0+Ax0+B.

Entonces (x0, y0)∈E( ¯K) yα(x0, y0) = (a, b′), conb′ tal que (b′)2 =a3+Aa+B =b2, por lo tanto

b′ =±b. Si b′ =b ya tenemos el resultado, y si b′ =−b enonces (x0,−y0) tambi´en est´a en E( ¯K) y

α(x0,−y0) = (a, b) (porque y0R2(x) =b′).

Ahora hay que ver el caso en que p(x)−aq(x) es constante. p(x) y q(x) no pueden ser ambos constantes ya que el n´ucleo de α es finito y si los dos fueran constantes el nucleo ser´ıa infini-to. Ahora vamos a ver que a es el ´unico en ¯K tal que p(x)−aq(x) es constante, esto porque si p(x)−a′q(x) (a′ ∈ K¯) es constante, entonces p(x)−aq(x)−p(x)−a′q(x) = (a−a′)q(x) y

a′(p(x)−aq(x))−a(p(x)−a′q(x)) = (a−a′)p(x) serian constantes y comop(x) oq(x) no es constan-te entonces a =a′. Entonces, como a es ´unico, podemos suponer que todos los puntos est´an en la imagen de αa excepci´on de (a, b) y (a,−b). Sea (a1, b1)̸= (a,±b) tal que (a1, b1) + (a, b)̸= (a,±b),

etonces existe P1 tal que α(P1) = (a1, b1), y P2 tal que α(P2) = (a1, b1) + (a, b). Entonces

α(P1−P2) = (a, b) y α(P2−P1) = (a,−b), por lo tanto α es sobreyectivo.

n

Note que para tener este resultado es necesario tomar la curva sobre la clausra del campo ( ¯K) porque, como lo muestra el siguiente ejemplo, si tomamos un campo que no es algebr´aicamente cerrado entonces hay endomorfismos que no son sobreyectivos.

Ejemplo 5. SeaE la curva el´ıptica determinada por la ecuaci´ony2 _=x3_{+ 3 sobre Z}

11, entonces

E(Z11) ={(0,5),(0,6),(1,2),(1,9),(2,0),(4,1),(4,10),(7,4),(7,7),(8,3),(8,8),∞}

P 2P

(0,5) (0,6) (0,6) (0,5) (1,2) (2,0) (1,9) (2,0) (2,0) ∞ (4,1) (7,4) (4,10) (7,7) (7,4) (0,5) (7,7) (0,6) (8,3) (7,7) (8,8) (7,4)

∞ ∞

y este endomorfismo no es sobreyectivo (de hecho es 2 a 1).

Definici´on 3(Grado de un endomorfismo).Siαes un endomorfismo,α(x, y) = (p(x)/q(x), yR2(x))

con p(x) y q(x) polinomios sin ra´ıces en com´un, entonces el grado de α, denotado deg(α), es:

deg(α) = m´ax{deg(p(x)),deg(q(x))}

donde deg(p(x)),deg(q(x)) son los grados de los polinomios correspondientes.

Definici´on 4 (Endomorfismos separables). Un endomorfismo α(x, y) = (R1(x), yR2(x)) es

sepa-rable si la derivada de R1(x) no es 0.

Ejemplo 6. En ¯Fq el endomorfismo de Frobenius ϕq es de grado q y no es separable.

Ejemplo 7. El autormorfismo α dado por la multiplicaci´on por 2, α(P) = 2P, es de grado 4 y separable. Escribiendo a α como α(x, y) = (R1(x), yR2(x)) entonces, por la ley del grupo,

R1(x) =

(

3x2_+A

2y )2

−2x

y como y2 _=x3_{+Ax+B entonces}

R1(x) =

(3x2_+A)2_−8xy2

4y2 =

x4_−2Ax2_−8Bx+A2

4(x3_+Ax+B)

Por lo tanto deg(α) = 4 y es posible (pero tedioso) calcular la derivada de R1(x) y verificar que

esta no es 0. Los siguientes lemas son bastante t´ecnicos pero nos ayudar´an posteriormente a lidiar

con la separabilidad de los endomorfismos.

Lema 5. Un endomorfismo α(x, y) = (p(x)/q(x), yR2(x)), con p(x) y q(x) sin ra´ıces en com´un,

no es separable si y s´olo si p′(x) = 0 y q′(x) = 0

Demostraci´on (⇒)Tomemos como hip´otesis que p′(x)q(x) − p(x)q′(x) = 0 y asumamos que

p′(x)̸= 0 o q′(x)̸= 0 para llegar a una contradicci´on.

p′(x)̸= 0 o q′(x)̸= 0, y p′(x)q(x)−p(x)q′(x) = 0⇒ p

′_(x)

p(x) =

q′(x)

q(x)

⇒ [ln(p(x))]′ = [ln(q(x))]′

⇒ p(x) =Cq(x) para alguna constante C. Pero esto ´ultimo es una contradicci´on porque se supon´ıa que pyq no tenian ra´ıces en com´un, por lo tanto p′(x) = 0 y q′(x) = 0. La otra implicaci´on es evidente.

Lema 6. Sea E la curva el´ıptica y2 = x3 +Ax+B sobre K y (u, v) un punto fijo en E(K). Si

f(x, y) y g(x, y) son las funciones (racionales) dadas por

(x, y) + (u, v) = (f(x, y), g(x, y))

Entonces

d

dxf(x, y) =

g(x, y)

y

Demostraci´on Primero note que estamos tratando a y como una funci´on de x que satisface

dy/dx = (3x2_{+A)/2y y f, g dependen de (u, v). Por la ley del grupo tenemos que}

f(x, y) =

( y−v x−u

)2

−x−u

g(x, y) =

( y−v x−u

)( u−

(( y−v x−u

)2

−x−u ))

−v

= −(y−u)

3_{+x(y−v)(x−u)}2_{+ 2u(y−v)(x−u)}2_−v(x−u)3

(x−u)3

d

dxf(x, y) =

2y′(y−v)(x−u)−2(y−v)2−_(x−_u)3

(x−u)3 , como 2y

′ ₌ 3x2+A

2y entonces

= (3x

2 _{+A)(y−v)(x−u)−2(y−v)}2_−(x−u)3

y(x−u)3

Ahora vamos a calcular (x−u)3_(yd

dxf(x, y)−g(x, y)), al final del c´aculo (el cual no se incluir´a por

su extensi´on) obtenemos que

(x−u)3

( y d

dxf(x, y)−g(x, y)) )

= 0

Lo cual produce el resultado deseado.

n

Lema 7. Sean α1, α2, α3 (todos diferentes de cero) endormorfismos de E(¯Fq) tales que:

1. αi(x, y) = (Ri(x), ySi(x))

3. Existen constantes c1, c2 tales que R1′(x)/S1(x) =c1 y R′2(x)/S2(x) = c2

entonces:

R′₃(x)

S3(x)

=c1+c2

Demostraci´on Sean x e y variables. Si α1(x, y) = (x1, y1), α2(x, y) = (x2, y2) y (x3, y3) =

(x1, y1) + (x2, y2), entonces las nuevas variables est´an relacionadas as´ı (el siguiente diagrama

mues-tra la dependecia de las variables):

x

y

y

x

x

x

y

x

y

Por el lema anterior tenemos que dx3

dxi =

y3

yi (i∈ {1,2}) y con el diagrama anterior podemos calcular

directamente dx3

dxi, lo cual produce las siguientes igualdades:

dx3

dx1

= ∂x3

∂x1

+∂x3

y2

dy1

dx1

= y3

y1

dx3

dx2

= ∂x3

∂x2

+∂x3

∂y2

dy2

dx2

= y3

y2 dx3 dx = ∂x3 ∂x1 dx1 dx + ∂x3 ∂y1 dy1 dx1 dx1 dx + ∂x3 ∂x2 dx2 dx + ∂x3 ∂y2 dy2 dx2 dx2 dx

Como xi =Ri(x), yi =ySi(x) y ci =R′i(x)/Si(x) = dxi/dx

yi/y entonces

dx3 dx = dx1 dx ( ∂x3 ∂x1

+∂x3

∂y1

dy1

dx1

)

+ dx2

dx (

∂x3

∂x2

+∂x3

∂y2

dy2

dx2

)

=c1

y1

y y3

y1

+c2

y2

y y3

y2

= y3

y (c1+c2)

como x3 =R3(x) y y3 =yS3(x) etonces tenemos que:

R′₃(x)

S3(x)

=c1+c2

n

Teorema 8. Si α:E( ¯K)→E( ¯K) es un endomorfismo separable entonces:

deg(α) = # ker(α)

Y si α̸= 0 es no separable entonces:

deg(α)># ker(α)

Demostraci´on Suponga que α(x, y) = (R1(x), yR2(x)) es separable, y R1(x) = p(x)/q(x) con

p(x), q(x) polinomios sin raices en com´un. La cardinalidad del n´ucleo deα es la misma que la de alguna de sus fibras. Entonces para un punto (a, b)̸= (0,0) cualquiera enE( ¯K), el n´umero de pre-im´agenes de (a, b) (recuerde queαes sobreyectivo) es el n´umero de ra´ıces, sin contar mutiplicidades,

del polinomio p(x)−aq(x) porque α(x0, y0) = (a, b) si y s´olo si x0 es ra´ız del polinomio ( note

que y0 est´a determinado por y0 =b/R2(x0)). Entonces basta con encontrar (a, b)∈E( ¯K) tal que

p(x)−aq(x) tenga deg(α) ra´ıces distintas. Las siguientes condiciones sobre (a, b) garantizan que esto se cumpla:

1. deg(p(x)−aq(x)) = deg(α)

2. a̸= 0

3. a /∈R1(S),S ={x:∈K¯ : (pq′ −p′q)(x)q(x) = 0}

donde p′ y q′ son las derivadas de p y q. Primero vamos a ver que estas condiciones garantizan que p(x)−aq(x) tiene deg(α) ra´ıces distintas. La condici´on (1) garantiza que tiene deg(α) ra´ıces (contando multiplicidades), por contradicci´on suponga quex0 es una raiz repetida dep(x)−aq(x),

entonces x0 tambi´en es ra´ız de su derivada:

p′(x0)−aq′(x0) = 0 =p(x0)−aq(x0)

entonces

p′(x0) = aq′(x0)

p(x0) = aq(x0) ⇒

a[p′(x0)q(x0)−p(x0)q′(x0)]= 0

Por (2) a̸= 0 yap′(x0)q(x0)−p(x0)q′(x0) no es el polinomio 0, en consecuenciax0 es una ra´ız del

polinomio p′(x)q(x)−p(x)q′(x) y x0 ∈ S, esto contradice a (3) porque a = R1(x0), por lo tanto

p(x)−aq(x) tiene deg(α) ra´ıces distintas. Entonces bajo las condiciones (1)-(3) deg(α) = # ker(α).

Ahora hay que ver el porqu´e hay un punto (a, b) ∈ E( ¯K) que cumpla las condiciones (1)-(3). Para la condici´on (1) basta con considerar el caso en que p(x) y q(x) tienen el mismo grado (de lo contrario a podr´ıa ser cualquiera), es decir, p(x) = cxn _{+· · · y q(x) = dx}n _{+· · ·. Entonces}

basta con pedir que a̸=c/d, pero esto es posible ya que ¯K tiene infinitos elementos, por la misma raz´on se tiene la condici´on (2). Para (3), note que S = {x :∈ K¯ : (pq′ − p′q)(x)q(x) = 0} es un conjunto finito porque como α es separable entonces p(x) ̸= 0 y p′(x) ̸= 0, y como q(x) ̸= 0 entonces (pq′ −p′q)(x) no es 0 y tiene finitas ra´ıces. Como S es finito R1(S) tambi´en es finito y

por lo tanto existe a /∈R1(S)

En el caso que α ̸= 0 no es separable, R′₁(x) = 0, entonces (p′q − q′p)(x) es 0. Supongamos que q′(x)̸= 0, , entonces p′(x)/q′(x) =p(x)/q(x) y si x0 es raiz de p(x)−aq(x) entonces tamb´ıen

es ra´ız de su derivada p′(x)−aq′(x), por lo tanto raiz repetida de p(x)−aq(x), que va a tener menos de deg(α) raices.

n

Al igual que el teorema anterior, en este caso tambi´en es necesario trabajar sobre la clausura algebr´aica del campo. En el ejemplo 5 se puede ver que el endomorfismo dado por la multiplicaci´on por 2 sobre E(Z11) tiene un n´ucleo de dos elementos y es de grado 4.

3.

Grupos de Torsi´

on

Si E es la curva determinada por la ecuaci´on y2 _=x3_{+Ax+B sobre el campo K, el n-grupo}

de torsi´on de E(K) (n ∈N), que se denotaE[n], es:

E[n] ={P ∈E( ¯K) :nP =∞}

La prueba de que esto es un grupo es bastante secilla y se sigue de que nP1+nP2 = n(P1+P2)

y nP =∞ ⇒n(−P) = ∞. Note que en el grupo de torsi´on se permite que los puntos est´en en la clausura del campo por lo tanto no es necesariamente un sub-grupo.

Ejemplo 8. Para una curva cualquiera E determinada por la ecuaci´on y2 _=x3 _{+Ax+B sobre}

un campoK conchar(K)̸= 2, E[2] son los puntosP ∈E( ¯K) tales que 2P =∞. La ley del grupo dice que para calcular 2P hay que hallar la recta tangente a la curva enP y ver en que otro punto intersecta la curva, pero como queremos que 2P sea ∞ entonces la recta tangente a P debe ser vertical, es decir, si P = (x, y) entoncesy tiene que ser 0. Por lo tanto

E[2] ={(e1,0),(e2,0),(e3,0),∞}

donde e1, e2, e3 ∈ K¯ son las ra´ıces de x3 +Ax+B (y son diferentes por la definici´on de curva

el´ıptica). En este caso E[2]∼=Z2⊕Z2 (porque todos los puntos son de orden 2).

De aqu´ı en adelante vamos a usar bastante el autormorfismo dado por la multiplicaci´on porn, por lo que es conveniente dar una notaci´on m´as compacta para este:

Definici´on 5. Sea E una curva el´ıptica sobre K y sea n un entero cualquiera, entonces el endo-morfismo nˆ:E( ¯K)7→E( ¯K) est´a dado por nˆ(P) = nP(∀P ∈E( ¯K))

Como se mostr´o en el ejemplo anterior,E[2] siempre es finito sin importar la curva. Por lo tanto surge la pregunta de que si E[n] siempre es finito. La respuesta a esta pregunta es afirmativa, es decir, E[n] es finito para todon. Antes de dar una prueba para este hecho necisitamos el siguiente teorema.

Teorema 9. Sea n ∈ N, el automofismo nˆ es de grado n2 _{y es separable en E( ¯K) si y s´olo si}

char(K)-n.

Demostraci´on (Separabilidad) Suponga que ˆn(x, y) = (Rn(x), ySn(x)), vamos a probar lo

si-guiente:

R′_n(x)

Sn(x)

=n,

lo cual es un poco m´as fuerte. Procederemos por inducci´on. Para n = 1 el autormofismo ˆ1 es la identidad y R₁′(x) = S1(x) = 1. Ahora supongamos que n cumple la hip´otesis y vamos a

probarla para n + 1. Sabemos que ˆ1 cumple R′₁(x)/S1(x) = 1 y por hip´otesis tenemos que

R′_n(x)/Sn(x) = n, adem´as tenemos que ˆn + ˆ1 = n[+ 1, por lo cual podemeos usar el Lema 7

y concluir que R′_n+1(x)/Sn+1(x) = n+ 1, entoces R′n+1(x)̸= 0 si y s´olo si char(K)-(n+ 1).

(Grado) Es posible hallar una expresi´on racional para ˆn, esta est´a dada por (para ver una de-mostraci´on se puede consultar [2]):

ˆ

n(x, y) =

( ηn(x)

ψn(x)2

,ωn(x, y) ψ(x, y)3

con

ηn(x) = xn

2

+ t´erminos de menor grado

ψn(x, y) =

{

y(nx(n2_−4)/2

+ t´erminos de menor grado) si n es par

nx(n2_−1)/2

+ t´erminos de menor grado) si n es impar

ωn(x, y) = (4y)−1(ψn+2ψn2−1−ψn−2ψn2+1)(x, y)

Con ψn(x)2 y ηn(x) sin ra´ıces en com´un. S´olo se hace referencia a los t´erminos de mayor grado

de los polinomios porque son los ´unicos relevantes para cacular deg(ˆn). Note que ψn(x, y)2 s´olo

depende de x porque y2 _{se puede remplazar por x}3 _{+Ax+B. Por lo tanto la expresi´on ψ}

n(x)2

est´a bien definida.

Con esta decripci´on de ˆn es evidente que deg(ˆn) = n2

n

Corolario 10. Para cualquier curva el´ıptica E sobre un campo K, el grupo de n-torsi´on, E[n], es finito.

Demostraci´on Como se mencion´o anteriormente, ˆn es separable y de grado n2 _{si char(K) - n.}

Entonces por el Teorema 8 # ker(ˆn) = deg(ˆn) =n2_{, y comoE[n] = ker(ˆn), entoncesE[n] es finito.}

Si char(K)|n nˆ no es separable, por lo tanto # ker(K)≤deg(ˆn) =n2.

n

Ahora que sabemos que E[n] siempre es finito podemos usar el teorema fundamental sobre los grupos abelianos finitamente generados para ver que estructura tiene E[n]

Teorema 11 (Estructura del grupo de torsi´on). Sea E una curva el´ıptica sobre un campo K, entoces:

si char(K)-n (esto incluye cuando char(K)=0),

E[n]∼=Zn⊕Zn

si char(K)=p y p|n. Descomponiendo a n como n=pr_n′ _{con p-n}′ _{yr ∈N, entonces}

E[n] =Zn′ ⊕Zn′ o E[n] =Zn′ ⊕Zn

Demostraci´on Por el teorema de los grupos abelianos finitamente generados, sabemos que

E[n]∼=Zn1 ⊕ · · · ⊕Znk

con ni | ni+1. Sea z ∈ N primo tal que z | n1, entonces E[z] ⊆ E[n] (porque z | n). Adem´as

tenemos que #E[z] =zk _{porque en cada Z}

ni hay z elementos de orden z (recuerde que la adici´on

y la multiplicaci´on por enteros en Zn1 ⊕ · · · ⊕Znk se hace componente por componente).

Supongamos char(K)-n, entonceschar(K)-z, por lo tanto el endomorfismo ˆz es separable y por el Teorema 8, # ker(ˆz) = #E[z] = z2. Por lo tanto k = 2 y E[n] ∼= Zn1 ⊕Zn2. Como n1 | n2, n2 | n (porque ˆn aniquila E[n] ∼= Zn1 ⊕Zn2) y n

2 _{= #E[n] = n}

1n2 etnoces

E[n]∼=Zn⊕Zn

Ahora supongamos quechar(K)|n, entonces podemos descomponer an comon=pr_n′ _con

p-n′ y r∈N. As´ı mismo tambi´en podemos descomponer a E[n]:

E[n]∼=E[n′]⊕E[pr_]

Para probar esto, tomemos a, b ∈ Z tales que an′ +bpr = 1 y dej´emolos fijos, entonces la funci´onψ :E[n]→E[n′]⊕E[pr_{] definida como}

ψ(Q) = (bprQ, an′Q).

es claramente un homomorfismo (note que pr_{Q es de orden n}′ _{y n}′_{Q es de orden p}k_{), ahora}

vamos a probar que es una biyecci´on. (Sobreyectividad) Sea (Q1, Q2)∈E[n′]⊕E[pr], entonces

(Q1+Q2)∈E[n] y

ψ(Q1+Q2) = (bprQ1+bprQ2, an′Q1+an′Q2) = (bprQ1+∞,∞+an′Q2) = (bprQ1, an′Q2).

Adicionalmente tenemos que Q1 =an′Q1+bpkQ1 =bpkQ1 y Q2 =an′Q2 +bpkQ2 =an′Q2.

Por lo tanto ψ(Q1+Q2) = (Q1, Q2) y ψ es sobreyectivo. (Inyectividad) SeanQ1, Q2 ∈E[n]

tales ψ(Q1) = ψ(Q2), entonces:

⇒ (bprQ1, an′Q1) = (bprQ2, an′Q2)

⇒ Q1 =bprQ1 +an′Q1 =bprQ2+an′Q2 =Q2

Por lo tanto ψ es inyectivo.

Ahora vamos a tratar por separado a E[n′] y a E[pr]. El caso de E[n′] es bastante sen-cillo, como char(K) =p-n′ podemos usar la primera parte de este teorema y concluir que

E[n′] =Zn′ ⊕Zn′. El caso de E[pk] requiere m´as trabajo.

Para determinar qu´e pasa con E[pr_{] consideremos primero a E[p]. Todos los elementos de}

E[p] tienen orden 1 o p, por lo tanto #E[p] = pk _(k ∈ N_{), pero como p} | _{n entonces ˆp no}

es separable y por el Teorema 8 tenememos que p2 = deg(ˆp) > pk, por lo tanto k = 0 o

k = 1. Si k = 0 entonces E[p] = {∞} y en consecuencia E[pr_{] = ∞ (si no lo fuera tendr´ıa}

un subgrupo de orden py E[p]̸={∞}), por lo tanto:

E[n]∼=E[n′]⊕E[pr_]∼_=Z

n′ ⊕Zn′ ⊕ {∞} ∼=Zn′ ⊕Zn′

Ahora consideremos el caso en que k = 1, es decir, cuando E[p] no es el grupo trivial. En este caso vamos a mostrar que E[pr] es c´ıclico de orden pr:

Para probar ´esto basta con mostrar que en E[pr_{] hay elementos de ordenp}j _{para 1≤j ≤r.}

El caso j = 1 ya lo tenemos porque E[p] no es trivial. Ahora vamos a suponer que es cierto para todo i < j. Sea P ∈ E[pr] tal que P es de orden pj−1. Por el Teorema 4 (todos los endomorfismos de E( ¯K) son sobreyectivos) existeQ∈E( ¯K) tal que ˆp(Q) =pQ=P, por lo tanto pj_Q=pj−1_{P =∞, y comop}j−1_Q=pj−2_{P ̸=∞(porqueP es de ordenj−1) entonces}

Q es de orden pj.

Como E[pr_{] es c´ıclico de orden p}r _{entonces E[p}r_]∼_=Z

E[n] =Zn′ ⊕Zn′⊕Zpr ∼=Z_n′ ⊕Z_n

Lo cual termina la prueba.

n

4.

Buen Emparejamiento

Como se mostr´o en la secci´on anterior, siEes una curva el´ıptica sobreKychar(K)-n, entonces

E[n] =Zn⊕Zn. Por lo tanto existen β1, β2 ∈E[n] que generan E[n].

Definici´on 6 (Base de del grupo de torsi´on). Si char(K) - n, una base para E[n] es una pareja

β1, β2 ∈E[n] tal que para todo P ∈E[n] existen m1, m2 ∈Z tales que P =m1β1+m2β2.

Si β1, β2 son como en la definici´on anterior, la acci´on que tiene cualquier endomorfismo α de

E( ¯K) sobre E[n] (es decir, α restringido a E[n]) est´a determinada por la acci´on de α sobre β1 y

β2. Por lo tanto podemos representar la acci´on de α sobre E[n] mediante la matriz

αn=

( a c b d

)

con α(β1) =aβ1+bβ2 yα(β2) = cβ1+dβ2. Con esta repesentaci´on podemos tratar a los elementos

deE[n] como vectores de dos coordenadas, y a la aplicaci´on de endomorfismos como multiplicaci´on de matrices por vectores. Note que bajo esta identificaci´on ∞ es el vector [0,0]

Posteriormente vamos a ver la relaci´on que existe entre el grado de α y αn, pero antes

necesi-tamos el siguiente teorema:

Teorema 12 (Buen eparejamiento). Sea E una curva el´ıptica sobre K y n tal que char(K) - n. Entonces existe una funci´on en : E[n]×E[n] → µn (donde µn es el grupo multiplicativo de las

raices n−´esimas de la unidad) que cumple las siguientes condiciones:

1. en es bilineal.

2. en es no degenerado, es decir, si en(S, T) = 1 para todo T ∈ E[n] entonces S = ∞, o si

en(S, T) = 1 para todo S∈E[n] entonces T =∞.

3. en(T, T) = 1 para todoT ∈E[n].

4. en(T, S) = en(S, T)−1 para todoS, T ∈E[n].

5. en(σ(S), σ(T)) = σ(en(S, T)) para todos los automorfismos σ de K¯ tales que σ es es la

identidad sobre los coeficientes de la ecuaci´on que representa a E, es decir, si E est´a dado por la ecuaci´on y2 =x3+Ax+B entonces σ(A) =A yσ(B) = B.

6. en(α(S), α(T)) =en(S, T)deg(α) para todo α endomorfismo separable de E( ¯K) o si K =Fq y

α es el endomorfismo de Frobenius ϕq.

A la funci´on en se le llama buen emparejamiento. Para una prueba de este teorema puede

n

Corolario 13. Sea {T1, T2} una base de E[n], entonces en(T1, T2) es una ra´ız primitiva de la

unidad.

Demostraci´on Por la definici´on del buen emparejamiento tenemos queen(T1, T2) = ζ conζd= 1

para alg´un d ≤ n. Sea S ∈ E[n] arbitrario, entonces existen a, b ∈ Z tales que S = aT1 +bT2,

ahora vamos a calcular en(S, dT2):

en(S, dT2) = en(T1, dT2)a·en(T2, dT2)b =en(T1, T2)da·en(T2, T2)db=ζda·1db= 1

por la propiedad (2) del buen emparejamiento tenemos que dT2 = ∞, pero para que {T1, T2}

sea una base es necesario queT1 y T2 sean de ordenn, por lo tantod=n yζ es una ra´ız primitiva.

n

Ahora si podemos mostrar la relaci´on que hay entre αn y deg(α).

Corolario 14. Sea α un endomorfismo separable de E( ¯K) (o α = ϕq y K = Fq) y n tal que

char(K)-n, entonces:

det(αn)≡deg(α) (mod n ).

Demostraci´on Sea {T1, T2} una base de E[n] y α(T1) = aT1 +bT2, α(T2) = cT1+dT2, por el

corolario anterior tenemos que en(T1, T2) = ζ con ζ ra´ız primitiva de la unidad, adem´as por la

propiedad (6) del buen emparejamiento tenemos que

ζdeg(α)_=e

n(α(T1), α(T2)) =en(aT1+bT2, cT1+dT2) =en(T1, T1)acen(T1, T2)aden(T2, T1)bcen(T1, T2)bd

=en(T1, T2)aden(T2, T1)bc

Por la propiedad (4) del buen emparajamiento en(T2, T1)bc =en(T1, T2)−bc y en consecuancia

ζdeg(α)=en(T1, T2)aden(T1, T2)−bc=ζad−bc

y como ζ es una ra´ız primitva tenemos que deg(α)≡ac−bd(mod n).

n

Proposici´on 15. Sean α, β endomorfismos separables de E( ¯K) (o ϕq y K = Fq) y a, b ∈ Z,

entonces:

deg(aα+bβ) =a2_{deg(α) +b}2_{deg(β) +ab(deg(α+β)−deg(α)−deg(β))}

Demostraci´on Sea n tal que char(K)-n. Si αn y βn son las matrices que representan la acci´on

de α y β (respectivamente) sobre E[n] para alguna base de E[n], supongamos que

αn =

(

x11 x12

x21 x22

)

y βn =

(

y11 y12

y21 y22

entonces por el corolario anterior:

deg(aα+bβ)≡ det(aαn+bβn) (mod n)

≡ det

(

ax11+by11 ax12+by12

ax21+by21 ax22+by22

)

(mod n)

≡ a2(x11x22) +ab(x11y22) +ab(x22y11) +b2(y11y22) (mod n)

−(a2_(x

12x21) +ab(x12y21) +ab(x21y12) +b2(y21y12))

≡ a2det(αn) +b2det(βn) +ab(det(αn+βn)−det(αn)−det(βn)) (mod n)

≡ a2_{deg(α) +b}2_{deg(β) +ab(deg(α+β)}−_deg(α)−_{deg(β)) (mod n)}

Pero como hay infinitos n’s tales que char(K) - n entonces las ´ultima congruencia se puede cambiar por una igualdad (porque no depende de n) y se obtiene el resultado deseado.

n

5.

Campos Finitos

5.1.

Estructura

Hasta el momento hemos trabajado con curvas el´ıpticas sobre campos arbitrarios, en ´esta secci´on estudiaremos las curvas el´ıpticas sobre campos finitos. Evidentemente, una curva el´ıptica E sobre un campo finito Fq tiene finitos puntos, por lo tanto el teorema de los grupos abelianos finitamente

generados deber´ıa decir algo.

Teorema 16. Sea E una curva el´ıptica sobre Fq, entonces:

E(Fq)∼=Zn o E(Fq)∼=Zn1 ⊕Zn2

con n1 |n2.

Demostraci´on Por el teorema de los grupos abelianos finitamente generados tenemos que:

E(Fq)∼=Zn1 ⊕ · · · ⊕Znk

conni |ni+1. Entoncesn1 |ni para 1≤i≤k, por lo tanto cadaZitiene exactamente n1 elementos

cuyo orden divide a n1 y en consecuencia hay nk1 elementos (en E(Fq)) cuyo orden divide a n1.

Ahora consideremos el grupo den1-torsi´onE[n1], por el an´alisis anterior tenemos que #E[n1]≥nk1

y por el Teorema 11 tenemos que #E[n1]≤n21, por lo tantok = 1 ok = 2 lo cual es precisamente

lo que busc´abamos.

n

Note que el teorema anterior no dice nada sobre c´uantos elementos tiene E(Fq), y en general es

un problema dificil determinar este n´umero ya que este depende totalmente de la curva.

Ejemplo 9. A continuaci´on calculamos todas las curvas el´ıpticas sobre Z5, para esto hay que

variar Ay B en la ecuaci´ony2 =x3+Ax+B de tal modo que el discriminante dex3+Ax+B no sea cero. La siguiente tabla muestra cuantos elementos tiene la curva para las posibles escogencias de A y B, adem´as muestra a que grupo es isomorfa la curva.