Corso CR510 (Crittosistemi ellittici) - a.a. 2019/2020

DIARIO delle LEZIONI

1-2 (24/02/19). Richiami di Campi: definizioni ed esempi. Caratteristica di un campo e campi primi. Campi algebricamente chiusi e chiusura algebrica di un campo. Piano affine e proiettivo su un campo F: definizione. Il piano proiettivo meno la retta all'infinito e' il piano affine. Il gruppo affine in dimensione due e la sua azione sul piano affine tramite le trasformazioni affini. Il gruppo lineare proiettivo di ordine tre e la sua azione sul piano proiettivo tramite le trasformazioni proiettive.
3-4 (25/02/19). Il gruppo affine in dimensione due si immerge nel gruppo lineare proiettivo di ordine tre rispetto alla quale l'immersione del piano affine nel piano proiettivo e' equivariante. Curve piane affini e proiettive: equazione, grado, K-punti (o supporto della curva), estensione di scalari. Equivalenza affine o proiettiva di curve piane affine o proiettive.
5-6 (02/03/19). Il problema della classificazione di curve piane a meno di equivalenza affine o proiettiva: rette, coniche, cubiche, grado superiore. L'omogeneizzazione \( ^{h}f\) di un polinomio \(f\in K[X,Y]\) e la deomogeneizzazione \(^{d}F\) di polinomio omogeneo \(F\in K[X,Y,Z]_{hom}\). Proprieta' algebriche. La chiusura proiettiva \(\overline{C}\) di una curva piana affine C e la curva affine \(\mathcal{C}^{aff}\) associata ad una curva piana proiettiva \(\mathcal{C}\). Lemmi: \(\overline{C}(K)\cap \mathbb{A}^2_K=C(K)\); i punti all'infinito \(\overline{C}(K)\cap L_{\infty}\) sono al piu' \(\mathrm{deg}(C)\) (contati con la molteplicita').
7-8 (03/03/19). La decomposizione in componenti irriducibili di una curva piana affine o proiettiva. Il comportamento della decomposizione in componenti irriducibili nel passaggio alla chiusura proiettiva e alla affinizzazione. Intersezione di curva proiettiva piana con una retta. La molteplicita' di intersezione \(m_P(\mathcal{C}\cap r)\) di una curva proiettiva \(\mathcal{C}\) con una retta proiettiva r in un punto \(P\in r(k)\). Teorema: esiste un punto P tale che \(m_P(\mathcal{C}\cap r)=\infty\) se e solo se r e' una componente irriducibile di \(\mathcal{C}\); se r non e' una componente irriducibile di \(\mathcal{C}\) allora vale che \(\sum_{P\in r(K)} m_P(\mathcal{C}\cap r)\leq \mathrm{deg}(\mathcal{C})\) e vale uguale se K e' algebricamente chiuso.
9-10-11 (25/03/19 ONLINE). Alcune precisazioni sull'intersezione di una curva piana proiettiva con una retta: definizione alternativa della molteplicita' \(m_P(\mathcal{C}\cap r)\) usando una forma parametrica della retta; \(m_P((\mathcal{C}+\mathcal{D})\cap r)=m_P(\mathcal{C}\cap r)+m_P(\mathcal{D}\cap r)\); la molteplicita' di intersezione di una curva piana proiettiva e di una retta in un punto e' invariante per proiettivita'. Osservazioni: intersezione di una retta con una curva piana nel caso affine o nel caso di un campo non algebricamente chiuso. Molteplicita' di una curva piana proiettiva in un punto e sua caratterizzazione tramite l'annullarsi delle derivate parziali fino ad un certo ordine. Punti lisci (o non-singolari) e curve lisce (o non-singolari) e loro caratterizzazione tramite il non annullamento simultaneo di tutte le derivate parziali. Esempi: le rette sono lisce, punti singolari di coniche proiettive, punti singolari di alcune cubiche.
12-13-14 (01/04/19 ONLINE). Identita' di Eulero. Teorema di Bezout (senza dimostrazione): date due curve piane proettive \(\mathcal{C}, \mathcal{D}\) su un campo algebricamente chiudo K, allora: \(|\mathcal{C}(K)\cap \mathcal{D}(K)|=\infty\) se e solo se \(\mathcal{C}\) e \(\mathcal{D}\) hanno una componente irriducibile in comune; se \(\mathcal{C}\) e \(\mathcal{D}\) non hanno nessuna componente irriducibile in comune, allora \(1\leq |\mathcal{C}(K)\cap \mathcal{D}(K)|\leq \mathrm{deg}({\mathcal C})\cdot \mathrm{deg}({\mathcal D})\). Il luogo singolare di una curva piana proiettiva in termini della decomposizione in componenti irriducibili. Lemma: additivita' della molteplicita' rispetto alla somma di curve. La retta tangente \(T_P{\mathcal C}\) ad una curva \({\mathcal C}\) in punto liscio \(P\). I punti di flesso (e le rette di flesso) di una curva piana proiettiva. Esempi: coniche e alcune cubiche. Proposizione: i punti di flesso di una curva piana proiettiva \({\mathcal C}\) sono l'intersezione dei K-punti lisci di \({\mathcal C}\) e dei K-punti della curva Hessiana \({\mathcal H}_{\mathcal C}\) di \({\mathcal C}\). Corollario: esistenza di flessi.
15-16 (19/04/19 ONLINE). Curve ellittiche come cubiche proiettive lisce insieme ad un punto di flesso. Teorema: ogni curva ellittica e' proiettivamente equivalente ad una cubica in forma di Weiertrass. Ulteriori semplificazioni in caratteristica diversa da 2 e 3. Il punto \(O=[0,1,0]\) di una cubica E in forma di Weiestrass e' un punto di flesso di E con tangente \(T_{O}E=\{Z=0\}\) ed e' l'unico punto all'infinito di E.
17-18 (21/04/19 ONLINE). Lemma: una cubica in forma di Weiertrass e' irriducibile. Il discriminante \(\Delta(E)\) di una cubica E in forma di Weiertrass (in caratteristica diversa da due). Proposizione (in caratteristica diversa da 2): una cubica E in forma di Weierstrass e' liscia (e dunque definisce una curva ellittica insieme al suo punto all'infinito) se \(\Delta(E)\neq 0\). Cubiche di Weierstrass singolari: caso nodale e caso cuspidale.
19-20-21 (23/04/19 ONLINE). Proposizione (in car. \(\neq 2,3\)): le proiettivita' che preservano la forma di Weierstrass e preservano il punto all'infinito. L' invariante j delle cubiche di Weierstrass lisce (in car. \(\neq 2,3\)). Teorema di classificazione delle curve ellittiche su \(K=\bar{K}\) (in car. \(\neq 2,3\)): l'invariante j e' invariante per proiettivita'; dato \(j_0\in K\) esiste una cubica di Weietrass E liscia su K tale che \(j(E)=j_0\); se \(K=\bar{K}\) allora due cubiche di Weierstrass lisce su K sono proiettivamente equivalenti se e solo se hanno lo stesso invariante j. Proposizione (in car. \(\neq 2,3\)): una cubica di Weierstrass e' cuspidale se e solo se \(c_4=c_6=0\); le cubiche di Weierstrass nodali sono tutte proiettivamente equivalenti se \(K=\bar{K}\).
22-23 (25/04/19 ONLINE). Proposizione: calcolo del gruppo degli automorfismi proiettivi di una cubica di Weiertrass (in car. \(\neq 2,3\)). Teorema di classificazione delle curve ellittiche su \(K\neq \bar{K}\) (in car. \(\neq 2,3\)): dato un campo K (di car. \(\neq 2,3\)) e \(j_0\in K\), esiste un azione libera e transitiva di \(K^*/(K^*)^{n(j_0)}\) sulle cubiche di Weiestrass su K di j-invariante \(j_0\), dove \(n(j_0)\) e' la cardinalita' del gruppo degli automorfismi delle curve di j-invariante \(j_0\).
24-25 (26/04/19 ONLINE). Le forme di Weietrass semplificate in car. 2 o 3: curve singolari nodali e cuspidali, classificazione tramite l'invariante j, gruppo degli automorfismi proiettivi (Esercizio). Le forme canoniche di Legendre e Deuring: classificazione tramite invariante j (Esercizio).
26-27-28 (14/05/19 ONLINE). Le legge di gruppo sui punti \(E(K)\) di una curva ellittica E su K: descrizione geometrica. Dimostrazione degli assiomi di gruppo abeliano (tranne associativita'). Formule esplicite per la somma e l'inverso in \((E(K), +, 0)\) per una curva ellittica data in forma di Weiertrass (in car. diversa da due e tre).
29 (15/05/19 ONLINE). Le legge di gruppo sui punti \(E_{ns}(K)\) non singolari di una cubica di Weiertrass singolare: caso cuspidale e caso nodale (Esercizio).
30-31 (16/05/19 ONLINE). I divisori e la relazione di equivalenza lineare (in termini di intersezione con le rette). Il gruppo di Picard \(\text{Pic}(E)=\coprod_{d\in {\mathbb Z}} \text{Pic}^d(E)\). Teorema: esiste un isomorfismo canonico di gruppi abeliani \(E(\overline{K})\cong \text{Pic}^0(E)\).
32-33 (17/05/19 ONLINE). L'anello delle coordinate proiettive \(K[{\mathcal C}]\) di una curva piana proiettiva \({\mathcal C}\) e l'anello delle coordinate affini \(K[{\mathcal C}^{\rm aff}]\) della sua affinizzazione \({\mathcal C}^{\rm aff}\). Le funzioni regolari su \({\mathcal C}^{\rm aff}\). Il campo delle funzioni \(K({\mathcal C})\) (risp. \(K({\mathcal C}^{\rm aff})\)) di una curva piana proiettiva irriducibile \({\mathcal C}\) (risp. della sua affinizzazione \({\mathcal C}^{\rm aff}\)) e le funzioni razionali indotte su \({\mathcal C}\) (risp. \({\mathcal C}^{\rm aff}\)). Proposizione: esiste un isomorfismo canonico \(K({\mathcal C})\cong K({\mathcal C}^{\rm aff})\), che e' compatibile con le funzioni razionali indotte. Teorema: se E e' una cubica di Weistrass, allora \(K(E)=K(\overline{x}, \overline{y})\) ed e' un'estensione quadratica di \(K(\overline{x})\cong K(X)\).
34-35 (20/05/19 ONLINE). Morfismi e omomorfismi tra curve ellittiche. Fatti (senza dimostrazione): una mappa \(\phi:E_1(\overline{K})\to E_2(\overline{K})\) che e' polinomiale quasi-dappertutto definisce un morfismo tra due curve ellittiche \(E_1\) e \(E_2\); un morfismo o e' costante o e' suriettivo. Corollario: un omomorfismo o e' nullo o e' suriettivo (=isogenia). Esempio: le traslazioni \(t_P\) sono isomorfismi di un curva ellittica in se' stessa. Teorema (con cenno di dimostrazione): un morfismo tra curve ellittiche si scrive (canonicamente) come la composizione di un omomorfismo e di una traslazione. Corollario: un morfismo tra curve ellittiche e' un omomorfismo se e solo se manda l'origine nell'origine. Proposizione: la rappresentazione affine di un'isogenia tra curve ellittiche. Lemma: funzioni razionali pari e dispari su una curva ellittica.
36-37 (21/05/19 ONLINE). Il grado \({\rm deg}(\phi)\) di un'isogenia tra curve ellittiche come grado dell'estensione finita dei loro campi di funzioni razionali data dal pull-back. Digressione: estensioni finite separabili e puramente inseparabili; la chiusura separabile \(F^{{\rm sep}}\) di un'estensione finita di campi \(F\leq E\). Il grado separabile \({\rm deg}_s(\phi)\) e inseparabile \({\rm deg}_i(\phi)\) di un'isogenia di curve ellittiche; isogenie separabili e puramente inseparabili. Il morfismo di Frobenius \(\phi^{(q)}:E\to E^{(q)}\), con q una potenza della caratteristica del campo base. Teorema: \(\phi^{(q)}\) e' puramente inseparabile di grado \(q\); il pull-back \((\phi^{(q)})^*\) identifica \(K(E^{(q)})\) con il sottocampo \(K(E)^q\leq K(E)\) (se K e' un campo perfetto). Teorema (con cenno di dimostrazione): ogni isogenia \(\psi:E_1\to E_2\) su un campo di caratteristica \(p>0\) si fattorizza come \(\psi:E_1\xrightarrow{\phi^{(q)}} E_1^{(q)}\xrightarrow{\psi^{{\rm sep}}} E_2\), per un certo \(q=p^r\) e con \(\psi^{{\rm sep}}\) separabile.
38-39 (24/05/19 ONLINE). Il nucleo di un'isogenia. Teorema 1: la fattorizzazione \(\phi:E_1\xrightarrow{\phi^{(q)}} E_1^{(q)}\xrightarrow{\phi^{{\rm sep}}} E_2\) canonica di un'isogenia induce un isomorfismo \({\rm ker}(\phi)\xrightarrow{\cong} \ker(\phi^{\rm sep})\); il nucelo di un'isognenia e' un gruppo finito di cardinalita' uguale a \({\rm deg}_s(\phi)\) (senza dimostrazione); data un'isogenia separabile \(\phi:E_1\to E_2\), l'estensione di campi \(\phi^*(\overline{K}(E_2))\leq \overline{K}(E_1)\) e' di Galois con gruppo di Galois uguale a \({\rm ker}(\phi)\). Teorema 2 (con cenni di dimostrazione): dato un sottogruppo finito \(N\leq E(\overline{K})\), esiste ed e' unica un'isogenia separabile (detta quoziente) \(\phi_{/N}:E\to E/N\) tale che \({\rm ker}(\phi_{/N})=N\). Proprieta' universale dell'isogenia quoziente. Teorema: il gruppo abeliano degli omomorfismi \({\rm Hom}(E_1,E_2)\) e' senza torsione. Teorema: l'anello unitario degli endomorfismi \({\rm End}(E)\) ha caratteristica zero e non ha divisori dello zero.
40-41 (04/06/19 ONLINE). L'isogenia duale di un'isogenia \(\phi:E_1\to E_2\) come l'unica isogenia \(\hat{\phi}:E_2\to E_1\) tale che \(\hat{\phi}\circ \phi=[\deg(\phi)]\). Corollario: la relazione di isogenia e' una relazione di equivalenza tra curve ellittiche. Teorema (proprieta' degli omomorfismi duali): \(\hat{\phi}\circ \phi=[\deg(\phi)]=\phi\circ \hat{\phi}\), \(\widehat{\psi\circ \phi}=\hat{\phi}\circ \hat{\psi}\), \(\widehat{\phi+\psi}=\hat{\phi}+\hat{\psi}\), \(\hat{[m]}=[m]\), \({\rm deg}([m])=m^2\), \({\rm deg}(\hat{\phi})={\rm deg}(\phi)\), \(\hat{\hat{\phi}}=\phi\). Proposizione: il grado \({\rm deg}:{\rm End}(E)\to {\mathbb Z}\) e' una funzione quadratica intera definita positiva. Teorema di classificazione dell' algebra degli endomorfismi: l'algebra degli endomorfismi \({\rm End}(E)_{\mathbb Q}\) di una curva ellittica e' isomorfa a \({\mathbb Q}\), oppure un'estensione quadratica immaginaria di \({\mathbb Q}\), oppure un'algebra di quaternioni su \({\mathbb Q}\).
42-43 (08/06/19 ONLINE). Teorema: il gruppo di m-torsione, con m coprimo con \(\text{car}(K)\), di una curva ellittica E su K e' isomorfo a \(E[m]\cong {\mathbb Z}/m{\mathbb Z}\times {\mathbb Z}/m{\mathbb Z}\). Teorema (senza dimostrazione): l'accoppiamento di Weil \(e_m: E[m]\times E[m]\to {\mathbb \mu}_m\) e le sue proprieta': bilinearita', alternanza, non-degenericita', compatibilita' con m, comportamento rispetto alle isogenie. Teorema: il gruppo di \(p^r\)-torsione di una curva ellittica su un campo K di caratteristica p e' isomorfo a \(E[p^r]\cong \{0\}\) (caso E supersingolare) oppure a \(E[p^r]\cong {\mathbb Z}/p^r{\mathbb Z}\) (caso E ordinaria). Condizioni equivalenti alla supersingolarita' di una curva ellittica: \([p^r]\) e' puramente inseparabile per un (equiv. per ogni) \(r\geq 1\), \(\widehat{\phi^{(p^r)}}\) e' puramente inseparabile per un (equiv. per ogni) \(r\geq 1\). Teorema: le curve ellittiche supersingolari sono definite su \({\mathbb F}_{p^2}\). Corollario: esistono un numero finito di curve ellittiche supersingolari in caratteristica p. Teorema (senza dimostrazione): una curva ellittica E e' supersingolare se e solo se \(\text{End}(E)_{\mathbb Q}\) e' un'algebra di quaternioni.
44-45 (10/06/19 ONLINE). Curve ellittiche su campi finiti . Teorema (con dimostrazione di una sola implicazione): le curve ellittiche sui campi finiti sono esattamente le curve ellittiche E tale che \(\text{End}(E)_{\mathbb Q}\neq {\mathbb Q}\). Teorema (bound di Hasse): data una curva ellittica E su \({\mathbb F}_q\), si ha che \(|E({\mathbb F}_q)-q-1|\leq 2\sqrt{q}\).
46-47 (29/07/19 ONLINE). Seminario di Silvia Quadraccia: Crittografia con curve ellittiche: Scambio della chiave di Diffie-Hellman, Crittosistema di ElGamal, Schemi di firma.
48-49 (29/07/19 ONLINE). Seminario di Nicole Cianfrani: Applicazioni delle curve ellittiche: Fattorizzazione di numeri (Algoritmo di Lenstra), Test di primalita'.
50-51 (20/08/19 ONLINE). Seminario di Filippo Casagrande: Attacco MOV al problema del logaritmo sulle curve ellittiche, Algoritmo Baby Step/Giant Step.
52-53 (17/09/19 ONLINE). Seminario di Eliana Carrozza: Pairing di Weil e di Tate-Lichtenbaum, Algoritmo di Miller per calcolare il pairing di Weil, Crittografia ellittica con i pairing: scambio di chiave, schema di firma, sistemi crittografici.