Elliptische Kurve

Dieser Artikel behandelt den Begriff Elliptische Kurve, nicht zu verwechseln mit dem der Ellipse.

Dieser Artikel oder Abschnitt ist nicht allgemeinverständlich formuliert. Die Mängel sind unter Diskussion:Elliptische Kurve beschrieben. Wenn du diesen Baustein entfernst, begründe dies bitte auf der Artikeldiskussionsseite und ergänze den automatisch erstellten Projektseitenabschnitt Wikipedia:Unverständliche Artikel#Elliptische Kurve um {{Erledigt|1=~~~~}}.

Beispiel einer elliptischen Kurve über dem Körper der reellen Zahlen

In der Mathematik sind elliptische Kurven spezielle algebraische Kurven, auf denen eine geometrisch definierte Addition definiert ist. Diese Addition wird in der Kryptographie zur Konstruktion sicherer Verschlüsselungsmethoden verwendet. Elliptische Kurven spielen aber auch innermathematisch eine große Rolle, etwa beim Beweis des Satzes von Fermat.

Eine elliptische Kurve ist eine glatte algebraische Kurve der Ordnung 3 in der projektiven Ebene. Dargestellt werden elliptische Kurven meist als Kurven in der affinen Ebene, sie besitzen aber noch einen zusätzlichen Punkt im Unendlichen.

Elliptische Kurven über dem Körper der reellen Zahlen können als die Menge aller (affinen) Punkte $(x,y) \in \mathbb{R}^2$ angesehen werden, die die Gleichung

$y^2 = x^3 + ax + b$

erfüllen, zusammen mit einem so genannten Punkt im Unendlichen (notiert als $\infty$ oder $\mathcal O$ ). Die (reellen) Koeffizienten $a$ und $b$ müssen dabei die Bedingung $4a^3 + 27b^2 \neq 0$ erfüllen, um Singularitäten auszuschließen.

Im Allgemeinen wird man sich bei der Betrachtung der angegebenen Gleichung aber nicht auf den Fall reeller Koeffizienten und Lösungen beschränken, sondern vielmehr den Fall betrachten, dass Koeffizienten und Lösungen aus einem beliebigen Körper stammen. Interessant sind hierbei insbesondere die Körper der komplexen und der rationalen Zahlen sowie Zahlkörper und endliche Körper. Untersucht wird auch die Frage nach Beziehungen zwischen elliptischen Kurven, bei denen dieselbe Gleichung über verschiedenen Körpern interpretiert wird. Zum Beispiel kann eine durch eine rationale Gleichung beschriebene elliptische Kurve als Kurve über $\mathbb C$ betrachtet werden. In diesem Fall sind die Koeffizienten der Gleichung aus $\mathbb Q$ , die elliptische Kurve besteht aber aus allen Lösungen dieser Gleichung in $\mathbb C$ .

Die Theorie der elliptischen Kurven verbindet unterschiedlichste Teilgebiete der Mathematik. Die Untersuchung elliptischer Kurven über Zahlkörpern oder endlichen Körper erfordert Grundlagen aus der Geometrie und Algebra. Jede elliptische Kurve über den komplexen Zahlen kann mithilfe eines Gitters in der komplexen Zahlenebene als komplexer Torus dargestellt werden, sodass die algebraische Kurve auch als analytisches Objekt greifbar wird. Der Mathematiker Andrew Wiles bewies im Jahr 1994 den Modularitätssatz, der elliptische Kurven mit Modulformen in Zusammenhang bringt. Aus diesem Satz kann der Beweis eines bekannten zahlentheoretischen Problems (Fermats letzter Satz) gefolgert werden.

Praktische Anwendung finden elliptische Kurven in modernen Verschlüsselungsverfahren (Elliptische-Kurven-Kryptosystem), da mit ihrer Hilfe so genannte Einwegfunktionen definiert werden können. Weitere Anwendungen finden sich bei der Faktorisierung natürlicher Zahlen.

Historisch sind elliptische Kurven durch die Parametrisierung elliptischer Integrale entstanden. Sie sind von Ellipsen zu unterscheiden.

Definition[Bearbeiten]

$E$ heißt elliptische Kurve über dem Körper $K$ , falls die folgenden äquivalenten Bedingungen erfüllt sind:

$E$ ist eine glatte projektive Kurve über $K$ vom Geschlecht 1 mit einem Punkt $\mathcal{O}$ , dessen Koordinaten in $K$ liegen.
$E$ ist eine glatte projektive Kubik über $K$ mit einem Punkt $\mathcal{O}$ , dessen Koordinaten in $K$ liegen.
$E$ ist eine glatte, durch eine Weierstraß-Gleichung

$Y^2Z + a_1 XYZ + a_3 YZ^2 = X^3 + a_2 X^2Z + a_4 XZ^2 + a_6Z^3$

gegebene projektive Kurve mit Koeffizienten $a_i \in K$ . Schreibt man

$F(X,Y,Z)=Y^2Z + a_1 XYZ + a_3 YZ^2 - X^3 - a_2 X^2Z - a_4 XZ^2 - a_6Z^3$

so ist $E$ gerade die Nullstellenmenge des homogenen Polynoms $F \in K[X,Y,Z]$ . (Beachte: Der Punkt $(0:1:0) = \mathcal{O}$ erfüllt auf jeden Fall die Polynomgleichung, liegt also auf $E$ .)

Fasst man $E$ als affine Kurve auf, so erhält man eine affine Weierstraß-Gleichung

$y^2 + a_1 xy + a_3 y = x^3 + a_2 x^2 + a_4 x + a_6$

bzw. ein affines Polynom $f(x,y) = y^2 + a_1 xy + a_3 y - x^3 - a_2 x^2 - a_4 x - a_6 \in K[x,y]$ . In diesem Fall ist $E$ gerade die Menge der (affinen) Punkte, die die Gleichung erfüllen, zusammen mit dem so genannten "unendlich fernen" Punkt $\mathcal O$ , auch als $\infty$ geschrieben.

Affine und projektive Ebene[Bearbeiten]

Der zweidimensionale Raum der $K$ -rationalen projektiven Punkte ist definiert als

$\mathbb{P}^2(K) = \{(X,Y,Z) | X,Y,Z \in K \text{ nicht alle gleich 0}\}/\sim$

mit der Äquivalenzrelation

$(X_1,Y_1,Z_1) \sim (X_2,Y_2,Z_2) \Leftrightarrow \exists \lambda \in K^\ast: (X_1,Y_1,Z_1) = (\lambda X_2, \lambda Y_2, \lambda Z_2).$

Punkte aus $\mathbb{P}^2(K)$ werden üblicherweise als $(X:Y:Z)$ notiert, um sie von Punkten im dreidimensionalen affinen Raum zu unterscheiden.

Die projektive Ebene $\mathbb{P}^2(K)$ kann dargestellt werden als Vereinigung der Menge

$\{(X:Y:1) | X,Y \in K\},$

mit der durch $Z = 0$ erzeugten Hyperebene $H$ von $\mathbb P^2(K)$ ,

$H = \{(X:Y:0) | X,Y \in K \text{ nicht beide gleich 0}\}.$

Um projektive Kubiken in der affinen Ebene darzustellen, identifiziert man dann für $Z \neq 0$ den projektiven Punkt $(X:Y:Z) = \bigl(\frac{X}{Z}:\frac{Y}{Z}:1\bigr) = (x:y:1)$ mit dem affinen Punkt $(x,y)$ .

Im Fall einer elliptischen Kurve hat die (projektive) Polynomgleichung genau eine Lösung mit $Z = 0$ , nämlich den Punkt im Unendlichen $\mathcal O = (0:1:0)$ .

Weierstraß-Gleichungen[Bearbeiten]

Jede elliptische Kurve wird durch ein projektives Polynom $F(X,Y,Z)\in K[X,Y,Z]$ bzw. durch ein affines Polynom $f(x,y)\in K[x,y]$ beschrieben. Man nennt zwei elliptische Kurven $E_1$ und $E_2$ isomorph, wenn die Weierstraß-Gleichung von $E_2$ aus der von $E_1$ durch einen Koordinatenwechsel der Form

$x \mapsto u^2x+r$

$y \mapsto u^3y + su^2x + t$

mit $u,r,s,t \in \bar{K}, u \neq 0$ entsteht. Die wichtigsten Eigenschaften elliptischer Kurven verändern sich nicht, wenn ein solcher Koordinatenwechsel durchgeführt wird.

Ist $E$ eine elliptische Kurve über einem Körper $K$ mit Charakteristik $\operatorname{char}(K) \not\in\{2,3\}$ , gegeben durch die Weierstraß-Gleichung

$y^2 + a_1 xy + a_3 y = x^3 + a_2 x^2 + a_4 x + a_6,$

so existiert ein Koordinatenwechsel, der diese Weierstraß-Gleichung in die Gleichung

$y^2 = x^3 + a x + b$

transportiert. Diese nennt man eine kurze Weierstraß-Gleichung. Die durch diese kurze Weierstraß-Gleichung definierte elliptische Kurve ist zur ursprünglichen Kurve isomorph. Häufig geht man daher ohne Einschränkung davon aus, dass eine elliptische Kurve von vorneherein durch eine kurze Weierstraß-Gleichung gegeben ist.

Ein weiteres Resultat der Theorie der Weierstraß-Gleichungen ist, dass eine Gleichung der Form

$y^2 = x^3 + a x + b$

genau dann eine glatte Kurve beschreibt, wenn die Diskriminante $\Delta_E$ des Polynoms $x^3 + a x + b$ ,

$\Delta_E = -4a^3 - 27b^2,$

nicht verschwindet.

Beispiele[Bearbeiten]

Schaubild der Kurven $y^2 = x^3 -x$ und $y^2 = x^3 - x + 1$

$E_1: y^2 = x^3 - x + 1$ und $E_2: y^2 = x^3 + 2x - \sqrt{3}$ sind elliptische Kurven über $\mathbb R$ , da $\Delta_{E_1} = -4 + 27 = 23 \neq 0$ und $\Delta_{E_2} = 32 + 81 = 113 \neq 0$ sind.
$E: y^2 = x^3 - x$ ist eine elliptische Kurve sowohl über $\mathbb Q$ als auch über $\mathbb R$ , da die Diskriminante $\Delta_E = -4 \neq 0$ ist. Über einem Körper mit Charakteristik $2$ dagegen ist $\Delta_E = 0$ und $E$ singulär, also keine elliptische Kurve.
$E:y^2 = x^3 + 1$ ist über jedem Körper mit Charakteristik ungleich $3$ eine elliptische Kurve, da $\Delta_E = 27 = 3^3 \neq 0$ ist.

Über den reellen Zahlen gibt die Diskriminante eine Information über die Form der Kurve in der affinen Ebene. Für $\Delta_E < 0$ besteht der Graph der elliptischen Kurve $E$ aus zwei Komponenten (linke Abbildung), für $\Delta_E > 0$ hingegen nur aus einer einzigen Komponente (rechte Abbildung).

Elliptische Kurven über den komplexen Zahlen[Bearbeiten]

Interpretiert man wie üblich die komplexen Zahlen als Elemente der Gaußschen Zahlenebene, so stellen elliptische Kurven über den komplexen Zahlen eine zweidimensionale Fläche dar, die in den vierdimensionalen $\mathbb{C}^2$ eingebettet ist. Obwohl sich solche Flächen der Anschauung entziehen, lassen sich dennoch Aussagen über ihre Gestalt treffen, wie zum Beispiel über das Geschlecht der Fläche.

Komplexe Tori[Bearbeiten]

Es sei $\Gamma$ ein (vollständiges) Gitter in der komplexen Zahlenebene $\mathbb C$ . Die Faktorgruppe $\mathbb C/\Gamma$ ist eine eindimensionale abelsche kompakte komplexe Liegruppe, die als reelle Liegruppe isomorph zum Torus $S^1\times S^1$ ist. Für eine Veranschaulichung kann man Erzeuger $v,w$ von $\Gamma$ wählen; der Quotient $\mathbb C/\Gamma$ ergibt sich dann aus der Grundmasche

$\{\lambda v+\mu w\mid 0\leq\lambda,\mu\leq1\},$

indem man jeweils gegenüberliegende Seiten verklebt.

Bezug zu ebenen Kubiken[Bearbeiten]

Ist $\Gamma$ ein Gitter in der komplexen Zahlenebene, so definieren die zugehörige weierstraßsche p-Funktion und ihre Ableitung eine Einbettung

$\mathbb C/\Gamma\to\mathbb P^2(\mathbb C),\quad z\mapsto(1:\wp(z):\wp'(z)),$

deren Bild die nichtsinguläre Kubik

$y^2=4x^3-g_2(\Gamma)x-g_3(\Gamma)$

ist. Jede nichtsinguläre ebene Kubik ist isomorph zu einer Kubik, die auf diese Weise entsteht.

Klassifikation[Bearbeiten]

Zwei eindimensionale komplexe Tori $\mathbb C/\Gamma_1$ und $\mathbb C/\Gamma_2$ für Gitter $\Gamma_1,\Gamma_2$ sind genau dann isomorph (als komplexe Liegruppen), wenn die beiden Gitter ähnlich sind, d. h. durch eine Drehstreckung auseinander hervorgehen. Jedes Gitter ist zu einem Gitter der Form $\langle1,\tau\rangle_{\mathbb Z}$ ähnlich, wobei $\tau$ ein Element der oberen Halbebene $\mathbb H=\{z\in\mathbb C\mid \operatorname{Im}z>0\}$ ist; sind $v,w$ Erzeuger, so kann $\tau$ als $v/w$ oder $w/v$ gewählt werden. Die verschiedenen Wahlen für Erzeuger entsprechen der Operation der Gruppe $\mathrm{SL}_2(\mathbb Z)$ auf der oberen Halbebene, die durch

$\begin{pmatrix}a&b\\c&d\end{pmatrix}\tau=\frac{a\tau+b}{c\tau+d}$

gegeben ist. Zwei Elemente $\tau_1,\tau_2$ der oberen Halbebene definieren genau dann isomorphe elliptische Kurven $\mathbb C/\langle1,\tau_1\rangle$ und $\mathbb C/\langle1,\tau_2\rangle$ , wenn $\tau_1$ und $\tau_2$ in derselben $\mathrm{SL}_2(\mathbb Z)$ -Bahn liegen; die Menge der Isomorphieklassen elliptischer Kurven entspricht damit dem Quotientenraum

$\mathbb H/\mathrm{SL}_2(\mathbb Z);$

dieser Quotient wird von der j-Funktion bijektiv auf $\mathbb C$ abgebildet; dabei ist der Wert der j-Funktion gleich der j-Invarianten der oben angegebenen Kubik.

Elliptische Kurven über den rationalen Zahlen[Bearbeiten]

Die Addition von Punkten elliptischer Kurven ermöglicht es, aus einfachen (geratenen) Lösungen einer kubischen Gleichung weitere Lösungen zu berechnen, die in der Regel weitaus größere Zähler und Nenner haben als die Ausgangslösungen (und deshalb kaum durch systematisches Probieren zu finden wären).

Zum Beispiel für die über $\mathbb Q$ definierte elliptische Kurve

$y^2=x^3-63$

findet man durch Raten die Lösung $P=(4,1)$ und daraus durch Addition auf der elliptischen Kurve die Lösung $2P=(568,-15357)$ sowie durch weitere Addition auf der elliptische Kurve dann noch erheblich größere Lösungen. Das dahinterstehende allgemeine Prinzip ist die Beziehung

$h(2P)=4h(P)+O(1)$

für Punkte mit ganzzahligen Koordinaten auf elliptischen Kurven über $\mathbb Q$ . (Dabei ist $h$ die für ganzahlige Punkte durch $h(x,y)=log(\mid x\mid)$ definierte Höhe.)

Die Theorie elliptischer Kurven über dem Körper der rationalen Zahlen ist ein aktives Forschungsgebiet der Zahlentheorie mit einigen berühmten offenen Vermutungen wie der Vermutung von Birch und Swinnerton-Dyer.

Elliptische Kurven über endlichen Körpern[Bearbeiten]

Affine Punkte der elliptischen Kurve y² = x³ − x über $\scriptstyle \mathbf{F}_{61}$ .

Statt über den rationalen Zahlen kann man auch elliptische Kurven über endlichen Körpern betrachten. In diesem Falle besteht die Ebene, genauer gesagt die projektive Ebene, in der die elliptische Kurve liegt, nur noch aus endlich vielen Punkten. Daher kann auch die elliptische Kurve selbst höchstens noch endlich viele Elemente enthalten, was viele Betrachtungen einfacher machen kann. Für die Anzahl $N$ der Punkte einer elliptischen Kurve $E$ über einem Körper mit $q=p^n$ Elementen gilt die Abschätzung

$|N - (q+1)| \le 2 \sqrt{q}.$

Genauer gilt das folgende Resultat von Hasse^[1]:

$N = p^n + 1 - \alpha^n - \beta^n.$

Dabei sind $\alpha$ und $\beta$ die beiden Nullstellen des charakteristischen Polynoms des Frobeniushomomorphismus auf der elliptischen Kurve,

$\phi:E\rightarrow E, (x,y)\mapsto (x^p,y^p).$

Elliptische Kurven über endlichen Körpern werden z. B. in der Kryptographie (Elliptische-Kurven-Kryptosystem) eingesetzt.

Die (bisher noch unbewiesene) Vermutung von Birch und Swinnerton-Dyer versucht, Aussagen über gewisse Eigenschaften elliptischer Kurven über den rationalen Zahlen zu erhalten, indem entsprechende Eigenschaften elliptischer Kurven über endlichen Körpern (sogenannte "reduzierte elliptische Kurven") untersucht werden.

Anwendung in der Kryptographie[Bearbeiten]

→ Hauptartikel: Elliptic Curve Cryptography

Die Nationale Sicherheitsbehörde der USA empfahl im Januar 2009, Verschlüsselung im Internet bis 2020 von RSA auf ECC (Elliptic Curve Cryptography) umzustellen.^[2]

ECC ist ein Public-Key-Kryptosystem (oder Asymmetrisches Kryptosystem), bei dem im Gegensatz zu einem symmetrischen Kryptosystem die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel kennen müssen. Asymmetrische Kryptosysteme allgemein arbeiten mit Falltürfunktionen, also Funktionen, die leicht zu berechnen, aber ohne ein Geheimnis (die „Falltür“) praktisch unmöglich zu invertieren sind.

Die Verschlüsselung mittels elliptischer Kurven funktioniert im Prinzip so, dass man die Elemente der zu verschlüsselnden Nachricht (d.h. die einzelnen Bits) auf irgendeine Weise den Punkten einer (festen) elliptischen Kurve zuordnet und dann die Verschlüsselungsfunktion P–>nP mit einer (festen) natürlichen Zahl $n>1$ anwendet. Damit dieses Verfahren sicher ist, muss die Entschlüsselungsfunktion nP–>P schwer zu berechnen sein.

Da das Problem des diskreten Logarithmus in elliptischen Kurven (ECDLP) deutlich schwerer ist als die Berechnung des diskreten Logarithmus in endlichen Körpern oder die Faktorisierung ganzer Zahlen, kommen Kryptosysteme, die auf elliptischen Kurven beruhen – bei vergleichbarer Sicherheit – mit erheblich kürzeren Schlüsseln aus als die herkömmlichen asymmetrischen Kryptoverfahren, wie z. B. das RSA-Kryptosystem. Die derzeit schnellsten Algorithmen sind der Babystep-Giantstep-Algorithmus und die Pollard-Rho-Methode, deren Laufzeit bei $\mathcal{O}(2^{n/2})$ liegt, wobei $n$ die Bitlänge der Größe des zugrundeliegenden Körpers ist.

Rechenregeln[Bearbeiten]

Geometrische Interpretation[Bearbeiten]

Aus der Gitterstruktur im Komplexen folgt auch für elliptische Kurven E über den rationalen Zahlen bzw. über endlichen Körpern eine Gruppenstruktur.

Für die rationalen Punkte der elliptischen Kurve (falls sie existieren), wird eine Gruppenstruktur mit „Addition“ angegeben. Geometrisch ist sie so definiert: Der Punkt im Unendlichen ist das neutrale Element $\infty$ . Die Spiegelung eines Punktes P an der x-Achse liefert wieder einen rationalen Punkt der Kurve, das Inverse -P von P. Die Gerade durch die rationalen Punkte P, Q schneidet die Kurve in einem dritten Punkt, Spiegelung dieses Punktes an der x-Achse liefert den rationalen Punkt P + Q.

Im Fall einer Tangente an den Punkt P (also dem Grenzfall Q gegen P auf der Kurve) erhält man mit dieser Konstruktion (Schnittpunkt Tangente mit Kurve, dann Spiegelung) den Punkt P + P. Lassen sich keine entsprechenden Schnittpunkte finden, wird der Punkt im Unendlichen zuhilfe genommen, und man hat z. B. im Fall der Tangente ohne zweiten Schnittpunkt: $P + \infty = P.$

Man kann zeigen, dass diese „Addition“ sowohl kommutativ als auch assoziativ ist, sodass sie tatsächlich die Gesetze einer abelschen Gruppe erfüllt.

Sei nun P ein Punkt der elliptischen Kurve. Der Punkt P + P wird mit 2P bezeichnet, entsprechend definiert man kP =P + … + P als k-fache Addition des Punktes P. Ist P nicht der 0-Punkt kann auf diese Weise jeder Punkt der Kurve E erreicht werden (d. h. zu jedem Punkt Q auf der Kurve existiert eine natürliche Zahl k mit Q = kP), wenn man die richtigen Erzeugenden P der Gruppe kennt.

Die Aufgabe, aus gegebenen Punkten P, Q diesen Wert k zu ermitteln, wird als Diskretes Logarithmus-Problem der elliptischen Kurven (kurz ECDLP) bezeichnet. Es wird angenommen, dass das ECDLP (bei geeigneter Kurvenwahl) schwer ist, d. h. nicht effizient gelöst werden kann. Damit bieten sich elliptische Kurven an, um auf ihnen asymmetrische Kryptosysteme zu realisieren (etwa einen Diffie-Hellman-Schlüsselaustausch oder ein Elgamal-Kryptosystem).

Addition zweier verschiedener Punkte[Bearbeiten]

Addition auf der elliptischen Kurve y²=x³+1.

Seien $P \colon{=} (x_P,y_P)$ und $Q = (x_Q,y_Q)$ die Komponenten der Punkte $P$ und $Q$ . Mit $R$ wird das Ergebnis der Addition $R \colon{=} P \oplus Q \colon{=} (x_R,y_R)$ bezeichnet. Dieser Punkt $R$ hat also die Komponenten $(x_R,y_R).$ Außerdem setze $s = (y_P - y_Q)/(x_P - x_Q).$ Dann ist die Addition $P \oplus Q \colon{=} (x_R,y_R)$ durch

$x_R \colon{=} s^2 - x_P - x_Q$ und
$y_R \colon{=} -y_P + s(x_P - x_R)$

definiert.

Die beiden Punkte $P$ und $Q$ dürfen nicht dieselbe X-Koordinate besitzen, da es sonst nicht möglich ist, die Steigung $s$ zu berechnen, da dann entweder $P=Q$ oder $P=-Q$ gilt. Bei der Addition $P \oplus (-P)$ erhält man $s=\tfrac{2y_P}{0}$ , wodurch das Ergebnis als $\infty$ (neutrales Element) definiert ist. Dadurch ergibt sich auch, dass $P$ und $-P$ zueinander invers bezüglich der Punktaddition sind. Ist $P=Q$ , handelt es sich um eine Punktverdoppelung.

Verdoppelung eines Punktes[Bearbeiten]

Für die Punktverdoppelung (Addition eines Punktes zu sich selbst) existieren zwei Fälle.

Fall 1: $y_P \neq 0$

$P \oplus P = R = (x_R,y_R)$
$s = (3x_P^2 + a)/(2y_P)$ . Dabei wird $a$ aus der Kurvengleichung ( $cy^2 = x^3 + ax + b$ ) herangezogen.
$x_R = s^2 - 2x_P$
$y_R = -y_P + s(x_P - x_R)$

Der einzige Unterschied zur Addition von zwei verschiedenen Punkten liegt in der Berechnung der Steigung.

Fall 2: $y_P = 0$

$P \oplus P = \infty$

Wegen $y_P=0 \Rightarrow P = (-P)$ ist klar erkennbar, dass $P$ zu sich selbst invers ist.

Rechenregeln für die „Addition“ von Punkten der Kurve[Bearbeiten]

Analytische Beschreibung über die Koordinaten:

Seien

$P,Q$ zwei verschiedene Punkte
$P=(x_P,y_P)$
$Q=(x_Q,y_Q)$
$x_P \neq x_Q$
$\oplus$ die Addition zweier Punkte und
$\infty$ das neutrale Element (auch Unendlichkeitspunkt genannt)

Es gelten folgende Regeln:

$P \oplus Q = Q \oplus P$
$P \oplus (-P) = \infty$
$P \oplus \infty = P$
$-P=(x_P,-y_P)$
$(P \oplus Q) \oplus R = P \oplus (Q \oplus R)$

Skalare Multiplikation eines Punktes[Bearbeiten]

Bei der skalaren Multiplikation $n\cdot P$ handelt es sich lediglich um die wiederholte Addition dieses Punktes.

$n\cdot P = P \oplus \cdots \oplus P$

Diese Multiplikation kann unter Zuhilfenahme eines angepassten Square-&-Multiply-Verfahrens effizient gelöst werden.

Bei einer elliptischen Kurve über dem endlichen Körper GF(q) läuft die Punktaddition rechnerisch auf analoge Weise wie bei der Berechnung über $\mathbb{R}$ , jedoch werden die Koordinaten über GF(q) berechnet.

L-Reihe[Bearbeiten]

Die elliptische Kurve $E$ über $\mathbb Q$ sei durch die Gleichung

$y^2 + a_1xy + a_3y = x^3 + a_2x^2 + a_4x + a_6 \,$

mit ganzzahligen Koeffizienten $a_i$ gegeben. Die Reduktion der Koeffizienten modulo einer Primzahl $p$ definiert eine elliptische Kurve über dem endlichen Körper $\mathbb{F}_p$ (mit Ausnahme einer endlichen Menge von Primzahlen $p$ , für welche die reduzierte Kurve Singularitäten aufweist und deshalb nicht elliptisch ist; in diesem Fall sagt man, $E$ habe schlechte Reduktion bei $p$ ).

Die Zetafunktion einer elliptischen Kurve über einem endlichen Körper ist die formale Potenzreihe

$Z(E(\mathbb{F}_p)) = \exp \left(\sum \mathrm{card} \left[E({\mathbb F}_{p^n})\right]\frac{T^n}{n}\right).$

Sie ist eine rationale Funktion der Form

$Z(E(\mathbb{F}_p)) = \frac{1 - a_pT + pT^2}{(1 - T)(1 - pT)}.$

(Diese Gleichung definiert den Koeffizienten $a_p$ , falls E gute Reduktion bei p hat, die Definition im Fall schlechter Reduktion ist eine andere.)

Die $L$ -Funktion von $E$ über $\mathbb{Q}$ speichert diese Information für alle Primzahlen $p$ . Sie ist definiert durch

$L(E(\mathbb{Q}), s) = \prod_p \left(1 - a_p p^{-s} + \varepsilon(p)p^{1 - 2s}\right)^{-1},$

mit $\varepsilon(p) = 1$ , falls $E$ gute Reduktion bei $p$ hat, und $\varepsilon(p) = 0$ sonst.

Das Produkt konvergiert für $\scriptstyle \Re(s) \;>\; \frac{3}{2}$ . Hasse vermutete, dass die $L$ -Funktion eine analytische Fortsetzung auf die gesamte komplexe Ebene besitzt und eine Funktionalgleichung mit einem Zusammenhang zwischen $L(E,s)$ und $L(E, 2-s)$ erfüllt. Hasses Vermutung wurde 1999 als Konsequenz des Beweises des Modularitätssatzes bewiesen. Dieser besagt, dass jede elliptische Kurve über $\mathbb Q$ eine modulare Kurve ist, und für die $L$ -Funktionen modularer Kurven ist die analytische Fortsetzbarkeit bekannt.

Literatur[Bearbeiten]

Peter Meier, Jörn Steuding und Rasa Steuding: Elliptische Kurven und eine kühne Vermutung in Spektrum der Wissenschaft Dossier: „Die größten Rätsel der Mathematik“ (6/2009), ISBN 978-3-941205-34-5, Seite 40–47.
Joseph H. Silverman: The Arithmetic of Elliptic Curves. Springer, 2009, ISBN 978-0-387-09493-9.

Fußnoten[Bearbeiten]

↑ Kapitel V in Joseph H. Silverman: The Arithmetic of Elliptic Curves. Springer, 2009, ISBN 978-0-387-09493-9.
↑ Begründung der NSA zur Umstellung auf Elliptic Curve Cryptography

Weblinks[Bearbeiten]

[1] Kapitel V in Joseph H. Silverman: The Arithmetic of Elliptic Curves. Springer, 2009, ISBN 978-0-387-09493-9.

[2] Begründung der NSA zur Umstellung auf Elliptic Curve Cryptography

[1]

[2]

Elliptische Kurve

Inhaltsverzeichnis

Definition[Bearbeiten]

Affine und projektive Ebene[Bearbeiten]

Weierstraß-Gleichungen[Bearbeiten]

Beispiele[Bearbeiten]

Elliptische Kurven über den komplexen Zahlen[Bearbeiten]

Komplexe Tori[Bearbeiten]

Bezug zu ebenen Kubiken[Bearbeiten]

Klassifikation[Bearbeiten]

Elliptische Kurven über den rationalen Zahlen[Bearbeiten]

Elliptische Kurven über endlichen Körpern[Bearbeiten]

Anwendung in der Kryptographie[Bearbeiten]

Rechenregeln[Bearbeiten]

Geometrische Interpretation[Bearbeiten]

Addition zweier verschiedener Punkte[Bearbeiten]

Verdoppelung eines Punktes[Bearbeiten]

Rechenregeln für die „Addition“ von Punkten der Kurve[Bearbeiten]

Skalare Multiplikation eines Punktes[Bearbeiten]

L-Reihe[Bearbeiten]

Literatur[Bearbeiten]

Fußnoten[Bearbeiten]

Weblinks[Bearbeiten]

Navigationsmenü

Meine Werkzeuge

Namensräume

Varianten

Ansichten

Aktionen

Suche

Navigation

Mitmachen

Drucken/exportieren

Werkzeuge

In anderen Sprachen