Elliptische Kurven
Werbung
Elliptische Kurven - Übungsblatt 7
Sommersemester 2009
Musterlösungen
(1) Hier sind Wertetabellen für die Ausdrücke auf beiden Seiten der Gleichung:
t 0 1 2 3 4 5 6 7 8 9 10
t +t 0 2 6 1 9 8 9 1 6 2 0
t3 − t 0 0 6 2 5 10 1 6 9 5 0
2
Die Werte 0, 1, 2, 6, 9 werden von beiden angenommen. Unter Berücksichtigung der Vielfachheiten und mit dem Punkt O erhalten wir
#E(F11 ) = 2 · 3 + 2 · 1 + 2 · 1 + 2 · 2 + 2 · 1 + 1 = 17 = 11 + 1 − (−5) .
Die Spur des Frobenius ist also t = −5. Sei α ∈ C mit
(1 − αT )(1 − ᾱT ) = 1 + 5T + 11T 2 .
Dann gilt
αn+1 + ᾱn+1 = −5(αn + ᾱn ) − 11(αn−1 + ᾱn−1 ) .
Mit an = αn + ᾱn haben wir also a0 = 2, a1 = −5, a2 = 3, a3 = 40,
a4 = −233, a5 = 725. Da #E(F11n ) = 11n + 1 − an , ergibt sich schließlich
#E(F112 ) = 119, #E(F113 ) = 1292, #E(F114 ) = 14875, #E(F115 ) = 160327 .
(2) (a) Nach Definition ist N Carmichael-Zahl genau dann, wenn für alle a ∈
(Z/N Z)× gilt aN −1 = 1. Da nach dem Chinesischen Restsatz (Z/N Z)×
e
isomorph ist zum Produkt der Gruppen (Z/pj j Z)× , ist dies wiederum
e
dazu äquivalent, dass für jedes 1 ≤ j ≤ k und alle a ∈ (Z/pj j Z)×
gilt, dass aN −1 = 1 ist. Ist N gerade, dann ist N − 1 ungerade, und
e
e
(−1)N −1 = −1 6= 1 in Z/pj j Z, außer pj j = 2. In diesem Fall müsste
N = 2 sein, was nicht geht, da N zusammengesetzt ist. Also ist N
e
ungerade. Dann sind alle Gruppen (Z/pj j Z)× zyklisch, und die Bedine −1
gung lautet (pj − 1)pj j | N − 1 (es genügt, die Bedingung für einen
Erzeuger zu prüfen; in diesem Fall gilt sie genau dann, wenn N − 1
e
e −1
ein Vielfaches der Ordnung #(Z/pj j Z)× = (pj − 1)pj j ist). Da pj
e −1
ein Teiler von N ist, kann pj j nur dann ein Teiler von N − 1 sein,
wenn ej = 1 ist. Die verbleibende Bedingung ist pj − 1 | N − 1, wie angegeben. Diese Bedingung schließt auch aus, dass N gerade ist (denn
N muss einen ungeraden Primteiler pj haben, der dann die Bedinung
verletzt).
(b) Dass N ungerade sein muss, hatten wir schon gesehen. Falls k = 2,
dann ist N = pq. Sei p < q. Falls N Carmichael-Zahl wäre, dann
müsste p ≡ pq = N ≡ 1 mod q − 1 sein, was p ≥ q impliziert, ein
Widerspruch.
2
(c) Nach Teil (a) ist nur nachzuprüfen, dass 6k, 12k und 18k jeweils
N − 1 = 36k(36k 2 + 11k + 1)
teilen, was offensichtlich der Fall ist.
(d) Teil (c) mit k = 1 liefert die obere Schranke 7 · 13 · 19 = 1729. Nach
Teil (b) sind nur die ungeraden quadratfreien Zahlen < 1729 mit mindestens drei Primfaktoren zu prüfen. Dies sind 96 Zahlen. Die achtzehnte ist 561 = 3 · 11 · 17; sie ist die erste, die das Kriterium aus
Teil (a) erfüllt, und damit die kleinste Carmichael-Zahl. (Die nächste
ist 1105, dann kommt schon 1729.)
(3) Wir behandeln Teil (b) zuerst. Mit N = Fn ist N −1 eine Potenz von 2, also
brauchen wir im Pocklington-Lehmer-Test nur ein a2 . Gilt die angegebene
(N −1)/2
Kongruenz, dann hat a2 = 3 die verlangte Eigenschaft (denn a2
≡
(N −1)/2
−1 mod N , damit ist a2
− 1 teilerfremd zur ungeraden Zahl N , und
a2N −1 ≡ (−1)2 = 1 mod N ), also ist N prim. Ist umgekehrt N prim, dann
ist 3 wie im Hinweis angegeben ein quadratischer Nichtrest mod N , denn
N ≡ 1 mod 4 und N ≡ 2 mod 3 (wir setzen n ≥ 1 voraus; für n = 0, also
N = 3 ist die Aussage offensichtlich falsch):
3
N
2
(N −1)/2
3
≡
=
=
= −1 mod N ;
N
3
3
die Kongruenz ist das Euler-Kriterium für quadratische Reste und beweist
die verlangte Eigenschaft.
Für Teil (a) wenden wir jetzt das Kriterium von Teil (b) an und berech15
nen 32 mod 65537. Dies geschieht am einfachsten durch fünfzehnmaliges
Quadrieren. Wir erhalten nacheinander als absolut kleinste Reste:
9, 81, 6561, −11088, −3668, 19139, 15028,
282, 13987, 8224, −8, 64, 4096, −256, −1 ,
womit der Test bestanden ist.
(4) (Sketch) Let us first assume that N = Mp is prime. Then 3 is a quadratic
√
nonresidue mod N (since N ≡ −1 mod 4 and N ≡ 1 mod 3), so FN ( 3) =
FN 2 is a quadratic field extension. Let
√
G = {a + b 3 : a, b ∈ FN , a2 − 3b2 = 1} ⊂ F×
N2 ;
√
√
this is a subgroup of order N + 1 = 2p (since (a + b 3)N = a − b 3 [both
sides define the unique automorphism
√ of FN 2 ], G consists
√ exactly of
√ the
(N + 1)st roots of unity). Let a + b 3 ∈ G and set a0 + b0 3 = (a + b 3)2 ;
then
a0 = a2 + 3b2 = 2a2 − 1 =⇒ 2a0 = (2a)2 − 2 .
√
√
√
2a = (a + b 3) + (a − b 3)√is the trace of a +√
b 3. We see that an mod N
n
is exactly the trace of (2 + 3)2 ∈ G. If 2 + 3 were a square in G, then
4 = (a0 )2 − 2 for some a0 ∈ FN , √
but 6 is a nonsquare in FN , so this is not
possible. This implies
2 + 3 is a generator of the (cyclic) group G.
√ that
2p−1
In particular, (2 + 3)
= −1, which means that ap−1 ≡ −2 mod N ,
which in turn implies that N divides ap−2 .
√
√
For the other direction, let R = Z[ 3]/N Z[ 3], and consider the √group
n
G ⊂ R× defined as above. We see again that an is the trace of (2√
+ 3)2 .
Assume that N is not prime, then N has a prime divisor q ≤ N . The
3
image Gq of G in (R/qR)× has q ± 1 elements. (Either 3 is a square mod q,
then R/qR ∼
= Fq [X]/(X 2 − 3) ∼
= Fq × Fq , and
Gq ∼
= {(a, b) ∈ F× × F× | ab = 1} ,
q
q
so #Gq = q −1, or else 3 is a nonsquare mod q, then R/qR ∼
= Fq2 , and Gq is
of order q +1 as above in the first part√of the proof. Note that q 6= 3.) Let n
be the order of the image of α = 2 + 3 in Gq . We know that q | ap−2 ; this
p−1
p
implies that α2
= −1 and α2 = 1. So n divides 2p = N + 1, but does
not divide 2p−1 .√It follows that 2p divides n. On the other hand, n√divides
#Gq ≤ q + 1 ≤ N + 1. We obtain the contradiction N + 1 ≤ n ≤ N + 1,
so N must be prime after all.
