<< . .

. 29
( : 33)



. . >>


Zusammengefasst und vereinfacht kann man sagen, dass jede Gerade einer pro-
jektiven Ebene durch Entfernen dieser Geraden eine af¬ne Ebene liefert.
13.1 Projektive Ebenen 223

13.1.4 Die unendlich ferne Gerade

Wir untersuchen nun speziell die projektive Koordinatengeometrie (P, G) =
PG(2, F) über dem Körper F. Dabei w¤hlen wir unter den vielen Geraden aus
G der projektiven Ebene eine Gerade U aus. Geometrisch gibt es keinen Grund,
eine spezielle Gerade zu w¤hlen, es sind alle gleichberechtigt. Aber wir w¤hlen
dennoch eine ganz bestimmte Gerade, die für unsere Zwecke praktisch ist, da da-
mit die sp¤teren Rechnungen vereinfacht werden. Wir w¤hlen die Verbindungs-
gerade U = P, Q von den Punkten P = (1 : 0 : 0) und Q = (0 : 1 : 0), also die
Menge
U = {(u : v : w) ∈ P ; w = 0} .
Wir bezeichnen diese Gerade U als unendlich ferne Gerade und zeichnen sie
dadurch aus.

Lemma 13.3
Gegeben ist die projektive Ebene (P, G) = PG(2, F). Es sei U die unendlich ferne Ge-
rade. Dann ist die Abbildung

’ PU
F2
¦:
(±, β) ’ (± : β : 1)
ein Isomorphismus von af¬nen Ebenen (d. h. ¦ ist bijektiv und bildet Geraden auf Gera-
den ab).

Beweis. Nach Lemma 13.2 ist (PU , GU ) eine af¬ne Ebene. Es sei (± : β : γ) ∈ PU .
Wegen (± : β : γ) ∈ U gilt γ = 0, also hat man:

¦(± γ’1 , β γ’1 ) = (± γ’1 : β γ’1 : 1) = (± : β : γ) ,

somit ist die Abbildung ¦ surjektiv. Sie ist aber auch injektiv, denn mit (±, β) =
(± , β ) sind die Vektoren (±, β, 1) und (± , β , 1) linear unabh¤ngig, also folgt
(± : β : 1) = (± : β : 1).
Jede Gerade aus F2 hat die Form a, b = a + F(b ’ a) mit a, b ∈ F2 , a = b. Für
einen Punkt a + »(b ’ a) ∈ a, b und alle μ ∈ F \ {0} gilt:

¦(a + »(b ’ a)) = [(a1 , a2 , 1) + »(b1 ’ a1 , b2 ’ a2 , 0)]
= [μ(a1 , a2 , 1) + μ»(b1 ’ a1 , b2 ’ a2 , 0)].

Diese Punkte liegen alle auf der Geraden

G := {[μ(a1 , a2 , 1) + ν(b1 ’ a1 , b2 ’ a2 , 0)] ; μ, ν ∈ F, (μ, ν) = (0, 0)} .

In der Tat wird jeder Punkt von G für einen geeigneten Wert von » als Bildpunkt
unter ¦ erreicht, mit Ausnahme des Punktes R = (b1 ’ a1 : b2 ’ a2 : 0) (für
diesen Punkt können die Werte μ = 0 und ν = 1 gew¤hlt werden). Außerdem
gilt G © U = R. Daher folgt ¦(a, b) = G © PU ∈ GU .
224 13 Elliptische Kurven *

Beispiel
Jede der Geraden a + F(0, 1), a = (a1 , a2 ) ∈ F2 , ist parallel zur y-Achse F(0, 1).
Die Bilder unter ¦ sind jeweils Teilmengen der Geraden
{[μ(a1 , a2 , 1) + ν(0, 1, 0)] ; μ, ν ∈ F, (μ, ν) = (0, 0)}
:=
G
(a1 : a2 : 1), (0 : 1 : 0) .
=
Die im Af¬nen parallelen Geraden bekommen im Projektiven alle den gemeinsa-
men Schnittpunkt O := (0 : 1 : 0).

Bemerkung
Die projektive Ebene PG(2, F) entsteht aus der af¬nen Ebene AG(2, F) durch
Hinzufügen einer unendlich fernen Geraden. Anders ausgedrückt besagt das,
dass der im Lemma 13.2 beschriebene Vorgang des Entfernens einer Geraden
auch umgekehrt werden kann.
Ist |F| = q ∈ N, so hat jede Gerade in AG(2, F) genau q Punkte, jede Gerade
in PG(2, F) hat genau q + 1 Punkte.


13.2 De¬nition elliptischer Kurven
Nachdem wir nun für jeden Körper F die projektive Ebene PG(2, F) mit der
Punktmenge
P = (u : v : w) ; (u, v, w) ∈ F3 \ {0}
erkl¤rt haben, führen wir nun die Punktmenge einer elliptischen Kurve ein. Da-
zu benötigen wir Polynome in den Unbestimmten X, Y und Z. Solche Polynome
in mehreren Unbestimmten sind aber problemlos einzuführen, indem wir auf die
De¬nition von Polynomen im Abschnitt 3.1.2 in einer Unbestimmten X zurück-
greifen und sukzessive die Unbestimmten X, Y und Z adjungieren, wir setzen:
F[X, Y, Z] := ((F[X])[Y])[Z] .
Wir erhalten mit der Darstellung des Polynomrings K[X] auf Seite 35 eine Dar-
stellung für den Polynomring F[X, Y, Z]:


F[X, Y, Z] = ak,l,m X k Y l Z m ; ak,l,m ∈ F .
k,l,m≥0

Wir nennen ein Polynom F(X, Y, Z) = ‘k,l,m≥0 ak,l,m X k Y l Z m ∈ F[X, Y, Z] homo-
gen vom Grad d ∈ N, falls für jedes Monom ak,l,m X k Y l Z m mit ak,l,m = 0 gilt
k + l + m = d.

Beispiel
Das Polynom
F(X, Y, Z) := Y2 Z + a1 X Y Z + a3 Y Z2 ’ X 3 ’ a2 X 2 Z ’ a4 X Z2 ’ a6 Z3
ist homogen vom Grad 3.
13.2 De¬nition elliptischer Kurven 225

13.2.1 Elliptische Kurven als Nullstellenmenge
Wir stellen ab jetzt verschiedene Voraussetzungen, deren Bedeutungen wir im
folgenden Abschnitt erkl¤ren werden. Dabei benutzen wir die Bezeichnung
char F = 2 bzw. char F = 3, falls 1 + 1 = 0 bzw. 1 + 1 + 1 = 0 “ man sagt, F
habe eine Charakteristik ungleich 2 bzw. ungleich 3.

Es gelte char F = 2, 3.


Es seien a, b ∈ F so gew¤hlt, dass das Polynom x3 + a x + b ∈ F[x] keine

mehrfache Nullstellen hat.

Wir setzen für die a, b ∈ F im letzten Punkt:


F(X, Y, Z) := Y 2 Z ’ X 3 ’ a X Z2 ’ b Z3 ∈ F[X, Y, Z] und
f (x, y) := y2 ’ x3 ’ a x ’ b ∈ F[x, y] .

Wir betrachten nun die Nullstellenmenge des homogenen Polynoms F vom Grad
3 in der Punktmenge der projektiven Ebene PG(2, F). Wir nennen die Menge

E := {(u : v : w) ∈ P ; F(u, v, w) = 0}

eine elliptische Kurve über F. Da die Elemente von E „quivalenzklassen sind,
ist die Wohlde¬niertheit zu begründen: Ist (u : v : w ) = (u : v : w), so existiert
ein » ∈ F mit (u , v , w ) = » (u, v, w). Wegen der Homogenit¤t des Polynoms
F(X, Y, Z) gilt

F(u , v , w ) = F(» u, » v, » w) = »3 F(u, v, w) .

Daher gilt
F(u, v, w) = 0 ” F(» u, » v, » w) ,
und die Nullstellen von F in P sind wohlde¬niert.


13.2.2 Af¬ne Darstellung elliptischer Kurven
Der einzige Punkt der elliptischen Kurve

E := {(u : v : w) ∈ P ; F(u, v, w) = 0}

mit der Z-Koordinate 0 ist O := (0 : 1 : 0), alle anderen Punkte auf E liegen in
PU , wenn man für U die unendlich ferne Gerade U = {(u : v : w) ∈ P ; w = 0}
zugrunde legt. Ist n¤mlich die Z-Koordinate von P ∈ E nicht 0, so können wir
ohne Einschr¤nkung annehmen, dass

P = (u : v : 1) mit u , v ∈ F
226 13 Elliptische Kurven *

gilt. Wegen
F(u, v, 1) = 0 ” f (u, v) = 0
können wir vom unendlich fernen Punkt O abgesehen, die weiteren Punkte von
E als Punkte von AG(2, F) auffassen. Da PU nach Lemma 13.2 die Punktmenge
einer af¬ne Ebene ist, sprechen wir gelegentlich von af¬nen Punkten. Identi¬ziert
man PU mit F2 gem¤ß Lemma 13.3, so zerf¤llt die Menge E in einen af¬nen Teil
und einen weiteren Punkt

E = (x, y) ∈ F2 ; y2 = x3 + a x + b ∪ {O}

mit dem unendlich fernen Punkt O der Kurve E.

Bemerkung
Genauer müsste man schreiben

E = ¦(x, y) ; y2 = x3 + a x + b ∪ {O} ,

wobei ¦ der Isomorphismus aus Lemma 13.3 ist.

Die de¬nierende Gleichung y2 = x3 + a x + b heißt af¬ne oder nichthomogene
Gleichung der Kurve E. Wir werden fast immer af¬ne Gleichungen betrachten,
müssen dann aber stets den Punkt O mit berücksichtigen. Die Menge E geben
wir dann oftmals kurz in der folgenden Form an:

E : y2 = x 3 + a x + b .

Beispiel
Über dem Körper F = R können wir E1 : y2 = x3 ’ x = x (x ’ 1) (x + 1) und
E2 : y2 = x3 + 1 skizzieren.
13.2 De¬nition elliptischer Kurven 227

Über dem endlichen Körper F = Z5 ist keine aussagekr¤ftige Skizze möglich,
aber man kann alle Punkte bestimmen. Wir tun das für E : y2 = x3 + 2 x ’ 1.

E = {(0, 2) , (0, 3) , (2, 1) , (2, 4) , (4, 1) , (4, 4)} ∪ {O} .

Wir haben hierbei die Lösungen der Gleichung y2 = x3 + 2 x ’ 1 wie folgt
ef¬zient bestimmt:

Bestimme die Quadrate y2 in Z5 : { 0 , 4 }.
1,

y=1, 4 y=2, 3
y=0

Bestimme die Größen x3 + 2 x ’ 1 in Z5 : { 4 , 1 }.
2,

x=0 x=1, 3 x=2, 4

Man notiere die Punktepaare (x, y) mit y2 = x3 + 2 x ’ 1.


Bemerkung
Bei der Berechnung der Bogenl¤ngen von Ellipsen treten sogenannte elliptische
Integrale auf, z. B. √ 3 d x . Daher haben elliptische Kurven ihren Namen.
x +a x+b



13.2.3 Beliebige Charakteristik “ die Weierstraß-Gleichung “ Singularit¤ten

Wir haben in Abschnitt 13.2.1 drei Voraussetzungen getroffen. Natürlich wird
man sich fragen, warum man derart spezielle Polynome F(X, Y, Z) betrachtet,
wie sie in der Voraussetzung angegeben sind oder warum man diese Einschr¤n-
kung an die Charakteristik des zugrunde liegenden Körpers macht. Wir wollen
kurz erkl¤ren, woher diese doch sehr starken Einschr¤nkungen kommen.
Elliptische Kurven lassen sich über Körpern mit beliebiger Charakteristik de¬-
nieren. Allgemein betrachtet man das folgende homogene kubische Polynom aus
F[X, Y, Z] (die Numerierung der Koef¬zienten wie die Vorzeichen sind üblich):

F(X, Y, Z) := Y2 Z + a1 X Y Z + a3 Y Z2 ’ X 3 ’ a2 X 2 Z ’ a4 X Z2 ’ a6 Z3 .

Die Gleichung F(X, Y, Z) = 0 heißt Weierstraß-Gleichung. Die Nullstellenmen-
ge
E = {(u : v : w) ∈ P ; F(u, v, w) = 0}
in der Punktmenge P der projektiven Ebene PG(2, F) de¬niert eine Kurve. Ein
Punkt P = (u : v : w) ∈ E heißt singul¤r, wenn die partiellen Ableitungen des
Polynoms F(X, Y, Z) in P verschwinden:

‚F ‚F ‚F
(P) = (P) = (P) = 0 ,
‚X ‚Y ‚Z
dabei leiten wir das Polynom F(X, Y, Z) formal nach den aus der Analysis be-
kannten Regeln ab.
228 13 Elliptische Kurven *

Die Kurve E heißt singul¤r, wenn es einen singul¤ren Punkt auf E gibt, sonst
heißt E nicht-singul¤r. Allgemeiner als wir es de¬niert haben, nennt man eine
nicht-singul¤re Kurve, die durch eine Weierstraß-Gleichung beschrieben wird,
eine elliptische Kurve.
Wieder ist der Punkt O = (0 : 1 : 0) der einzige unendlich ferne Punkt auf E
(d. h. der einzige Punkt mit der Z-Koordinate 0); und er ist nicht-singul¤r, wie
man einfach nachrechnen kann. Daher genügt es auch in diesem Fall die af¬ne
Gleichung zu betrachten:

f (x, y) = y2 + a1 x y + a3 y ’ (x3 + a2 x2 + a4 x + a6 ) = 0 .

Ist char F = 2, 3, so kann f durch eine af¬ne Koordinatentransformation auf die
Form y2 ’ x3 ’ a x ’ b gebracht werden, und es gilt:

Lemma 13.4
Gegeben sei die Kurve

E : y2 = x3 + a x + b mit a, b ∈ F .

Gleichwertig sind:
(i) Die Kurve E ist nicht-singul¤r.

(ii) Das Polynom σ(x) = x3 + a x + b ∈ F[x] hat keine mehrfache Nullstelle.

(iii) Die Diskriminante 4 a3 + 27 b2 von σ(x) ist ungleich 0.

Beweis. Zu (i) ” (ii) vgl. Aufgabe 13.3 und zu (ii) ” (iii) vgl. Aufgabe 13.4.

Bemerkung
Auch in den F¤llen char F ∈ {2, 3} l¤sst sich f durch eine af¬ne Koordiantentrans-
formationen vereinfachen (siehe Aufgabe 13.3).

Kurven mit singul¤ren Punkten sind für die Kryptologie von geringerem Interes-
se. Das ergibt sich aus der Bemerkung auf Seite 238.
Wir haben uns auf Kurven, die die auf Seite 225 gemachten Voraussetzungen er-
füllen beschr¤nkt, weil die Darstellung dadurch vereinfacht wird, und weil es,
außer in den F¤llen der Charakteristik 2 und 3, keine Einschr¤nkung der Allge-
meinheit bedeutet.

13.3 Tangenten
Wir erinnern an unsere Voraussetzungen:
Es gelte char F = 2, 3.


Es seien a, b ∈ F so gew¤hlt, dass das Polynom x3 + a x + b ∈ F[x] keine

mehrfache Nullstellen hat.
13.3 Tangenten 229

Wir setzen für die a, b ∈ F im letzten Punkt:


F(X, Y, Z) := Y 2 Z ’ X 3 ’ a X Z2 ’ b Z3 ∈ F[X, Y, Z] und
f (x, y) := y2 ’ x3 ’ a x ’ b ∈ F[x, y] .

Nachdem wir die Menge E einer elliptischen Kurve als Nullstellenmenge des Po-
lynoms F(X, Y, Z) de¬niert haben, wollen wir uns nun daran machen, auf dieser
Menge eine Verknüpfung zu erkl¤ren, d. h. wir erkl¤ren eine Abbildung

E—E ’ E
—: .
(P, Q) ’ P—Q

Zwei Punkten einer elliptischen Kurve wird wieder ein Punkt dieser elliptischen
Kurve zugeordnet. Dazu führen wir Tangenten ein.


13.3.1 Projektive Beschreibung der Tangente
Wir beginnen mit der De¬nition von Tangenten. Es sei P ein Punkt der elliptischen
Kurve
E : y2 = x 3 + a x + b .
Wir setzen:
‚F ‚F ‚F
(u : v : w) ∈ P ; (P) u + (P) v + (P) w = 0
TP := .
‚X ‚Y ‚Z

Die Menge TP heißt die Tangente an E im Punkt P. Man beachte, dass TP als
Nullstellenmenge in P eines homogenen Polynoms vom Grad 1 wohlde¬niert ist
(vgl. die Wohlde¬niertheit von E auf Seite 225).
Wir zeigen nun, dass TP eine Gerade ist, die durch den Punkt P der elliptischen
Kurve geht, wie man es von einer Tangenten ja auch erwartet. Wie immer be-
zeichne U = {(u : v : w) ∈ P ; w = 0} die unendlich ferne Gerade.

Lemma 13.5
Es gilt TP ∈ G, und P ∈ TP . Speziell TO = U.

Beweis. Wir bestimmen die partiellen Ableitungen von F:

‚F ‚F ‚F
= ’3 X 2 ’ a Z2 , = 2Y Z, = Y 2 ’ 2 a Z X ’ 3 b Z2 .
‚X ‚Y ‚Z
‚F ‚F ‚F
1. Fall: P = O = (0 : 1 : 0). Dann gilt ‚X (O) = ‚Y (O) = 0 und ‚Z (O) = 1, d. h.

TO = {(u : v : w) ; 0 · u + 0 · v + 1 · w = 0} = {(u : v : w) ∈ P ; w = 0} = U ,

die unendlich ferne Gerade, und es gilt O ∈ U.
230 13 Elliptische Kurven *

2. Fall: P = O. Wegen P ∈ U können wir ohne Einschr¤nkung P = (± : β : 1)
voraussetzen und erhalten

TP = (u : v : w) ∈ P ; (’3 ±2 ’ a) u + 2 β v + (β2 ’ 2 a ± ’ 3 b) w = 0 .

Wir zeigen, dass im Fall β = 0 gilt 3 ±2 + a = 0. Dann ist in jedem Fall mindestens
ein Koef¬zient der Gleichung

(’3 ±2 ’ a) u + 2 β v + (β2 ’ 2 a ± ’ 3 b) w = 0

nicht Null, und der Lösungsraum dieser Gleichung ist ein zweidimensionaler
Untervektorraum von F3 . Hieraus folgt, dass TP eine Gerade der projektiven Ebe-
ne PG(2, F) ist.
Wir nehmen also β = 0 an. Dann ist ± Nullstelle des Polynom x3 + a x + b, weil
(± : 0 : 1) auf E liegt. Dieses Polynom hat nach Voraussetzung keine mehrfachen
Nullstellen. Deshalb (vgl. Aufgabe 3.7) ist ± nicht Nullstelle der Ableitung 3 x2 + a
dieses Polynoms, also 3 ±2 + a = 0.
Nun begründen wir, dass der af¬ne Punkt P auf der Geraden TP liegt. Dazu setzen
wir die Koordinaten des Punktes P in die Geradengleichung für TP ein:

(’3 ±2 ’ a) ± + 2 β β + (β2 ’ 2 a ± ’ 3 b) = ’3 ±3 ’ 3 a ± + 3 β2 ’ 3 b
= 3 (β2 ’ (±3 + a ± + b)) = 0 .
= f (±,β)=0

Folglich gilt P ∈ TP .

Beispiel
Es sei F = R und E : y2 = x3 ’ x = x (x ’ 1) (x + 1). Wir bestimmen die
Tangente im Punkt P = (0 : 0 : 1). Es ist F(X, Y, Z) = Y 2 Z ’ X 3 + X Z2 .
Daraus folgt

‚F ‚F ‚F
= ’3 X 2 + Z2 , = 2Y Z, = Y2 + 2 X Z ,
‚X ‚Y ‚Z
also
‚F ‚F ‚F
(P) = 1 , (P) = 0 , (P) = 0 .
‚X ‚Y ‚Z
Damit ist die Tangente

T(0:0:1) = {(u : v : w) ; u = 0} .

Af¬n gedeutet ist P der Nullpunkt und TP die y-Achse. Die Tangente entspricht
genau dem, was man anschaulich als Tangente an die Kurve bezeichnen würde.
Das wird auch an der linken Gra¬k auf Seite 226 deutlich.
13.3 Tangenten 231

13.3.2 Af¬ne Beschreibung der Tangente

Wir übersetzen jetzt die Bildung der Tangenten ins Af¬ne. Dabei nutzen wir, dass
jeder Punkt (± : β : γ) ∈ P mit γ = 0, also P ∈ U, ohne Einschr¤nkung eine
Darstellung der Form (± : β : 1) hat und durch die in Lemma 13.3 eingeführten
Abbildung ¦ mit dem af¬nen Punkt (±, β) identi¬ziert werden kann.

Lemma 13.6
Für P = (± : β : 1) ∈ E \ {O} dürfen wir ohne Einschr¤nkung P = (±, β) als af¬nen
Punkt auffassen. Dann gilt

‚f ‚f
TP \ U = (u, v) ; (±, β) (u ’ ±) + (±, β) (v ’ β) = 0 .
‚x ‚y

Beweis. Wir berechnen die partiellen Ableitungen an der Stelle P

‚F ‚f ‚F ‚f
(P) = ’3 ±2 ’ a = (±, β) , (P) = 2 β = (±, β) ,
‚X ‚x ‚Y ‚y

‚F
(P) = β2 ’ 2 a ± ’ 3 b .
‚Z
Weil P auf TP liegt, gilt daher:

<< . .

. 29
( : 33)



. . >>