Mathematik: Das Gruppengesetz elliptischer Kurven
Released by matroid on Fr. 18. August 2006 22:29:00 [Statistics]
Written by Gockel - 5235 x read [Outline] Printable version Printer-friendly version -  Choose language   
Mathematik

\(\begingroup\)
\geo ebene(160,160) noaxis() xy(-1,2) nolabel() punktform(.) p(-0.5,1.5,E1) p(1.5,1.5,E2) p(1.5,-0.5,E3) p(-0.5,-0.5,E4) fill(E1,E2,E3,E4,E0FFFF) color(aquamarine) s(E3,E4) s(E4,E1) #s(E1,E2) s(E2,E3) color(FFA500) pen(2) param(xx,-0.7,0.3,0.001) param(yy, 0.3,0.7,0.001) plot( sqrt((x-0.5)*x*(x+0.5))+2*x) plot(-sqrt((x-0.5)*x*(x+0.5))+2*x) kurve(xx, sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(xx,-sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) color(000000) pen(1) p(0,1,A) p(0,-1,B) g(A,B) p(1,0,C) p(-1,0,D) g(C,D) \geooff \geoprint()

Das Gruppengesetz elliptischer Kurven

Elliptische Kurven sind seit einigen Jahren in aller Munde: Sie waren der wesentliche Schlüssel zu Andrew Wiles' Beweis von Fermats legendärem letzten Satz und in Form des ElGamal-Kryptosystems halten sie Einzug in unseren Alltag auf SmartCards, PocketPCs und anderen Kleingeräten, die eine ressourcenschonendere Public-Key-Verschlüsselung benötigen als das sonst übliche RSA-Verfahren bereitstellen kann. Doch was sind eigentlich elliptische Kurven und was macht sie so besonders? Diese Frage versuche ich in diesem Artikel zu beantworten.

Inhalt


Motivation

Eben weil elliptische Kurven ein spannendes und wichtiges Thema sowohl in reiner als auch in angewandter Mathematik sind, findet man viel Literatur dazu und in keiner Quelle fehlt dabei das Gruppengesetz, um das sich auch dieser Artikel hier dreht. Ich habe im Laufe der Zeit immer mal wieder diese Literatur durchforstet, aber kein Skript, kein Paper, das ich fand, enthielt, was ich mir vorstellte. Entweder war es sehr auf reine Mathematik ausgerichtet und die Problematik des Gruppengesetzes wurde viel allgemeiner und mit schweren Geschützen z.B. aus der algebraischen Geometrie angegangen oder es waren praxisorientierte Texte über Kryptographie, die sich sehr unpräzise mit dem Gruppengesetz beschäftigten, um den Fokus auf die Anwendungen zu legen. Sehr oft war es dann so, dass die Definitionen nur für Spezialfälle angegeben wurden und der Beweis der Assoziativität aufgrund seiner Länge ganz ausgelassen wurde. Ich habe vor kurzem in diesem Buch das erste Mal einen vollständigen Beweis des Assoziativgesetzes entdeckt, doch auch dieser stellte mich nicht zufrieden, da er einen relativ großen Umweg dafür machte. Kurzum: Ich habe mir in diesem Artikel vorgenommen, die Gruppenstruktur auf elliptischen Kurven in ihrer allgemeinen Form zu definieren und insbesondere die Assoziativität nachzurechnen, ohne mit allzu großen Kanonen auf Spatzen zu schießen.

Definition elliptischer Kurven

Zuerst zur Frage, was elliptische Kurven eigentlich sind: Mit dem Ausdruck "elliptische Kurve" wird eine spezielle Art algebraischer Kurven bezeichnet, nämlich die Lösungen von Gleichungen der Form: y^2+a_1\.xy+a_3\.y=x^3+a_2\.x^2+a_4\.x+a_6 (Dies ist die so genannte verallgemeinerte Weierstraß-Gleichung) Es ist also so, dass wir einen Körper K und ein Polynom F=y^2+a_1\.xy+a_3\.y-x^3-a_2\.x^2-a_4\.x-a_6\el\ K[x,y] haben. Eine elliptische Kurve ist dann im Wesentlichen die Nullstellenmenge eines solchen Polynoms. Die kleinen Unterschiede liegen in den so genannten "singulären Punkten". Die Menge S dieser singulären Punkte schließen wir nämlich aus dieser Nullstellenmenge aus. \(Was genau singuläre Punkte sind und wieso wir sie weglassen, darauf werden wir im nächsten Abschnitt zu sprechen kommen.\) Ein weiterer Unterschied ist der, dass wir einen weiteren Punkt dazunehmen, den wir mit \inf bezeichnen werden. Als elliptische Kurve im engeren Sinne ist also eine Menge folgender Gestalt definiert: E(K):=menge((x,y)\el\ K^2 | F(x,y)=0)\\||S \union {\inf} \inf wird der array(\darkblue\ unendlich ferne Punkt)__\black genannt, der später noch eine wichtige Rolle spielen wird. Auch, wenn zunächst nicht offensichtlich ist, wieso man da noch einen Zusatzpunkt "künstlich" dazunehmen sollte, ist er von entscheidender Bedeutung, denn er wird später das neutrale Element unserer Gruppenstruktur sein. Welchen Körper man für K wählt, ist theoretisch egal. Interessant für die Praxis sind aber vor allem die Körper \IF_p für große Primzahlen p und die Körper \IF_(2^m) für große m. In der Theorie sind Kurven über \IQ und den p\-adischen Zahlen \IQ_p ganz interessant. Sie spielen u.A. eine große Rolle in dem angesprochenen Beweis von Wiles. Elliptische Kurven über \IZ_n und anderen kommutativen Ringen werden in speziellen Problemen auch betrachtet. Man kommt dann aber mit der Gruppenstruktur, so wie wir sie hier definieren wollen, in Schwierigkeiten, da nicht durch jede Zahl dividiert werden kann. \(Was durchaus gewollt sein kann, da man an einer solchen "Schwierigkeit" bei Kurven über \IZ_n erkennt, dass n keine Primzahl ist, so dass man mit solchen Kurven Faktorisierungsalgorithmen, Pseudoprimzahltests und sogar Primalitätsbeweise implementieren kann\) Ab jetzt wird K immer einen Körper bezeichnen, F(x,y) immer ein Polynom aus K[x,y] von oben angegebener Gestalt, dessen Koeffizienten wir auch immer wie oben bezeichnen werden. E(K) wird auch immer die durch F definierte elliptische Kurve bezeichnen. Da wir nie mit mehr als einer elliptischen Kurve zugleich hantieren werden, sollte das keine Unklarheiten bereiten, denke ich.

Singuläre Punkte

Die Menge S aus unserer Definition ist die Menge der so genannten singulären Punkte. Ein Punkt (u,v) auf der algebraischen Kurve F(x,y)=0 heißt dabei singulär, wenn \Nabla||F(u,v)=(0;0), d.h. wenn pdiff(F,x)(u,v)=pdiff(F,y)(u,v)=0 ist. (Dies sind einfach formale Ableitungen in K[x,y], keine Ableitungen im Sinne der reellen oder komplexen Analysis.) Singuläre Punkte haben die unangenehme Eigenschaft, dass eine elliptische Kurve dort, anschaulich gesprochen, keine eindeutig bestimmte Tangente besitzt. Es gibt bei algebraischen Kurven, die durch kubische Polynome wie unser F definiert sind, nur zwei Möglichkeiten für singuläre Punkte: \geo ebene(450,200) # noaxis() y(-2,2) x(-2,7) color(cccccc) nolabel() punktform(.) p(0,0,O1) p(-2,0,X1) p(2,0,X2) s(X1,X2) p(0,-2,Y1) p(0,2,Y2) s(Y1,Y2) p(5,0,O2) p( 3,0,X3) p(7,0,X4) s(X3,X4) p(5,-2,Y3) p(5,2,Y4) s(Y3,Y4) color(red) param(xx,-1,2,0.005) kurve(xx, sqrt(xx^3+xx^2)) kurve(xx,-sqrt(xx^3+xx^2)) color(blue) param(yy,0,2,0.005) kurve(yy+5, power(yy,1.5)) kurve(yy+5,-power(yy,1.5)) \geooff \geoprint() Der \red\ Newton'sche Knoten\black mit der Gleichung y^2=x^3+x^2 hat z.B. in (0,0) einen singulären Punkt \(einen Kreuzungspunkt um genau zu sein\) und wie man an der Zeichnung sieht, gäbe es in diesem Punkt mindestens zwei Möglichkeiten eine Tangente an den Graphen zu legen. Ähnlich verhält es sich mit der \blue\ Neil'sche Parabel\black||, die die Gleichung y^2=x^3 hat. Sie hat ebenfalls in (0,0) einen singulären Punkt \(hier einen Rückkehrpunkt\). Dort fällt es uns ebenso schwer, eine sinnvolle Tangente an den Graphen zu legen. Da wir Tangenten jedoch unbedingt brauchen werden für die vollständige Definition der Gruppenverknüpfung, stören uns die singulären Punkte so sehr, dass wir sie einfach rausschmeißen. Wir werden jetzt noch ein Lemma beweisen, das sicherstellt, dass wir uns nachher keine Schwierigkeiten mit der Abgeschlossenheit einfangen, wenn wir die Singularitäten rauswerfen: \darkred\ll(Lemma 1)Sei (u,v)\el\ K^2 ein Punkt auf der algebraischen Kurve F(x,y)=y^2+a_1\.xy+a_3\.y-x^3-a_2\.x^2-a_4\.x-a_6=0 über K. (u,v) ist genau dann singulär, wenn alle Geraden durch diesen Punkt die Kurve mehr als einmal in (u,v) schneiden. Was bedeutet das konkret? Jede Gerade in K^2, die durch (u,v) verläuft, kann durch (x;y)=(u;v)+t(r_x;r_y) parametrisiert werden, wobei t über ganz K variiert und (r_x;r_y)!=(0;0) die "Richtung" der Geraden angibt. Setzt man diese zwei Ausdrücke für x und y in F ein, erhält man ein Polynom in t, dessen Nullstellen genau die Schnittpunkte der Geraden mit der Kurve darstellen. Wenn (u,v) auf der Kurve liegt, heißt das, dass t=0 eine Nullstelle dieses Polynoms ist. Dass die Gerade die Kurve nun "mehrfach in (u,v) schneidet" bedeutet demzufolge nichts Anderes, als dass t=0 eine mehrfache Nullstelle des Polynoms ist. \blue\ Beweis des Lemmas: Wir setzen zunächst die beiden Ausdrücke aus der allgemeinen Geradengleichung in F, in pdiff(F,x) und pdiff(F,y) ein und erhalten drei Polynome F^~, F^~_x und F^~_y\el\ K[t]: F^~(t)=(v+tr_y)^2+a_1(u+tr_x)(v+tr_y)+a_3(v+tr_y) | | -(u+tr_x)^3-a_2(u+tr_x)^2-a_4(u+tr_x)-a_6 | | =-r_x^3\.t^3+(-3r_x^2\.u-a_2\.r_x^2+r_y^2+a_1\.r_x\.r_y)t^2+ | | (r_y(2v+a_1\.u+a_3)+r_x(a_1\.v-3u^2-2a_2\.u-a_4))t+ | | (v^2+a_1\.uv+a_3\.v-u^3-a_2\.u^2-a_4\.u-a_6) \align\ F^~_x(t)><=a_1(v+tr_y)-3(u+tr_x)^2-2a_2(u+tr_x)-a_4 ><=-3r_x^2\.t^2+(a_1\.r_x-6ur_x-2a_2\.r_x)t+(a_1\.v-3u^2-2a_2\.u-a_4) F^~_y(t)><=2(v+tr_y)+a_1(u+tr_x)+a_3 ><=(2r_y+a_1\.r_x)t+(2v+a_1\.u+a_3) \breakalign\stopalign \blue\ => Ist (u,v) ein singulärer Punkt der Kurve, so gilt F^~(0)=F^~_x(0)=F^~_y(0)=0, d.h. alle drei Absolutglieder sind 0. Der Koeffizient des linearen Glieds von F^~ ist nun aber eine Linearkombination der beiden Absolutglieder von F^~_x und F^~_y also auch 0. Somit ist t=0 eine \(mindestens\) doppelte Nullstelle von F^~ für jede entsprechende Gerade, also unabhängig von r_x und r_y. \blue\ <== Andersrum ist es genauso einfach: Wenn 0 für jede Gerade eine mehrfache Nullstelle von F^~ ist, dann ist der Koeffizient vor dem linearen Glied für jede Wahl von r_x und r_y gleich 0, insbesondere für (r_x;r_y)=(1;0) und für (r_x;r_y)=(0;1). Also sind auch die beiden Absolutglieder von F^~_x und F^~_y gleich 0, also ist (u,v) ein singulärer Punkt der Kurve. \blue\ q.e.d. Anmerkung: Man erkennt an den Formeln auch, dass eine Gerade durch (u,v), deren Richtungsvektor (r_x, r_y) "senkrecht" auf (a_1\.v-3u^2-2a_2\.u-a_4, 2v+a_1\.u+a_3)=\Nabla||F(u,v) steht, auch im nichtsingulären Fall die Kurve mehrfach in (u,v) schneidet. Eine solche Gerade ist die Tangente an den Graphen durch (u,v) \(es ist sogar die einzige mit dieser Eigenschaft, wenn (u,v) nichtsingulär ist, aber das brauchen wir nicht\). Es sei nochmal festgehalten, dass eine elliptische Kurve E(K) per Definition keine singulären Punkte enthält. Die algebraische Kurve F(x,y)=0 kann dies jedoch durchaus.

Das Gruppengesetz

Dass elliptische Kurven auf eine "natürliche" Art und Weise mit einer Gruppenstruktur versehen werden können, ist ihr entscheidender Vorteil gegenüber anderen algebraischen Kurven und macht sie für die vielfältigen Anwendungen so interessant. Wir wollen uns nun endlich ansehen, wie diese Verknüpfung definiert ist. Die Idee ist folgende: Man nimmt sich zwei Punkte auf einer elliptischen Kurve und verbindet sie durch eine Gerade. Die Hoffnung besteht dann, dass diese Gerade die Kurve noch ein drittes Mal schneidet und man eben jenen dritten Punkt nutzen kann, um die Verknüpfung der ersten beiden Punkte zu erklären. In diesem Sinne ist die entstehende Verknüpfung "natürlich", weil sie sich aus der geometrischen Anschauung herleitet. Dass das, was wir gleich machen werden, aber wirklich eine Gruppenstruktur liefert, ist alles andere als offensichtlich. (Es sei denn, man hat viele, viele Rechenbeispiele durchexerziert und zufällig immer darauf geachtet ) \geo ebene(250,250) noaxis() xy(-1,2) param(xx,-0.7,0.3,0.001) param(yy, 0.3,0.7,0.001) color(000088) plot(sqrt((x-0.5)*x*(x+0.5))+2*x) plot(-sqrt((x-0.5)*x*(x+0.5))+2*x) kurve(xx, sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(xx,-sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) color(000000) nolabel() punktform(.) p(0,1,A) p(0,-1,B) g(A,B) p(-1,0,C) p(1,0,D) g(C,D) color(ff0000) punktform(of) p(-0.5,-1,P) p(0.5,1,Q) g(P,Q) \geooff \geoprint() Dabei stellen sich folgende Fragen: - Wie formalisiert man das, so dass es für alle Körper funktioniert? - Wie gehen wir mit dem unendlichen fernen Punkt dabei um? - Wie garantieren wir, dass wirklich immer ein dritter Punkt herauskommt? - Was macht man, wenn Punkte zusammenfallen? Nun, die erste Frage ist noch die einfachere von allen: Alle geometrischen Konstruktionen, die wir aus der Anschaulichkeit dieser Idee herleiten werden, können so umformuliert werden, dass sie ausschließlich durch die vier Grundrechenarten beschrieben werden können, sodass wir einfach die sich ergebenden Formeln als Definition benutzen und auf sämtliche Körper ausdehnen. Wir betreiben im Prinzip also affine Geometrie in K2 und benutzen für die Herleitungen und Beweise keine Spezifika der reellen oder komplexen Zahlen.

Der unendlich ferne Punkt

Wie binden wir nun den unendlich fernen Punkt in unsere Überlegungen mit ein? Am Besten tun wir dies, indem wir die Zahlenebene, die uns als Veranschaulichung dient, um eine obere und untere Kante erweitern. Der unendlich ferne Punkt wird also an das obere und untere Ende gesetzt (beides!). Konkret können wir uns das so vorstellen, dass jede Gerade durch den unendlich fernen Punkt eine senkrechte Gerade ist und umgekehrt jede senkrechte Gerade durch den unendlich fernen Punkt geht. Aber wir wollten uns ja nicht allzusehr an der Anschauung festhalten. Daher sei nun definiert: Sind (u,v), (u,v')\el\ E(K) Punkte einer elliptischen Kurve mit v!=v', so definieren wir (u,v)\oplus(u,v')=(u,v')\oplus(u,v)=\inf. Ist v=v' und \pd||F/\pd||y\.(u,v)=0, so definieren wir ebenfalls (u,v)\oplus(u,v')=\inf. Ich erwähnte ja schon, dass \inf das neutrale Element unserer Verknüpfung werden soll. Zwei Punkte, die direkt übereinander liegen, deren verbindende Gerade also senkrecht ist, sind demzufolge zueinander invers. Ein Punkt, der die Ableitungsbedingung erfüllt, besitzt analog eine senkrechte Tangente, die man sich als Verbindungsgerade des Punktes mit sich selbst vorstellen könnte, und ist mit dieser Definition selbstinvers. \geo ebene(250,250) noaxis() xy(-1,2) param(xx,-0.7,0.3,0.001) param(yy, 0.3,0.7,0.001) color(000088) plot(sqrt((x-0.5)*x*(x+0.5))+2*x) plot(-sqrt((x-0.5)*x*(x+0.5))+2*x) kurve(xx, sqrt((xx-0.5)*xx*(xx+0.5))+2*xx,k1) kurve(xx,-sqrt((xx-0.5)*xx*(xx+0.5))+2*xx,k2) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) color(000000) nolabel() punktform(.) p(0,1,A) p(0,-1,B) g(A,B) p(-1,0,C) p(1,0,D) g(C,D) color(ff0000) punktform(of) p(k1,-0.25,P) p(k2,-0.25,Q) g(P,Q) print(\red(u,v),-0.8,-0.2) print(\red-(u,v),-0.17,-0.75) \geooff \geoprint() Da wir uns noch nicht sicher sind, dass wir wirklich eine Gruppe vorliegen haben, zeigen wir jetzt ausnahmsweise, dass dieses obige Inverse immer existiert und eindeutig bestimmt ist: \darkred\ll(Lemma 2)Sei E(K) eine fest gewählte elliptische Kurve. Ist (u,v)\el\ E(K), so gibt es max. einen weiteren Punkt aus E(K), dessen x\-Koordinate ebenfalls gleich u ist, nämlich den Punkt (u,-a_1\.u-a_3-v)\el\ E(K). Gilt dabei v=-a_1\.u-a_3-v, so gilt auch \pd||F/\pd||y\.(u,v)=0. \blue\ Beweis: Setzen wir x=u in die Gleichung F(x,y)=0 ein, welche die elliptische Kurve E(K) festlegt, so erhalten wir eine Gleichung in y, die die Form y^2+(a_1\.u+a_3)y+...||=0 hat. Da wir hier mit Körpern hantieren, kann diese Gleichung maximal zwei Lösungen haben, also kann es nur maximal zwei solcher v geben. Ist ein Punkt (u,v) auf der Kurve vorgegeben, so ist also v eine Lösung der Gleichung. Wir wissen, dass die andere Lösung v' \(die dann notwendigerweise auch in K liegt\) die Identität a_1\.u+a_3=-(v+v') erfüllt => v'=-a_1\.u-a_3-v. (u,v') liegt also in K^2 und erfüllt F(u,v')=0. Wir müssen noch sichergehen, dass (u,v') nicht singulär ist. Dann haben wir gezeigt, dass es zur elliptischen Kurve gehört. Dies folgt aber aus \ref(Lemma 1), denn wäre es singulär, so wäre (u,v') ein mehrfacher Schnittpunkt der algebraischen Kurve F(x,y)=0 mit der Gerade x=u. Wir wissen aber, dass es höchstens zwei solcher Schnittpunkte gibt. Beide Schnittpunkte müssten also identisch (u,v')=(u,v') sein. Also wäre (u,v) singulär, was im Widerspruch zur Voraussetzung (u,v)\in E(K) steht. Fallen die beiden konstruierten Punkte (u,v) und (u,-a_1\.u-a_3-v) zusammen, dann ist v=-a_1\.u-a_3-v => 2v+a_1\.u+a_3=0. Dies ist aber genau \pd||F/\pd||y\.(u,v). \blue\ q.e.d. Die obige Definition, wann sich zwei Elemente zum unendlich fernen Punkt addieren, liefert uns also wirklich ein eindeutig bestimmtes (und vor allem auch immer existentes) Inverses, wie wir es uns wünschen.

Die anderen Fälle

Nach diesem leider notwendigen Schwenk können wir unsere Idee von oben konkretisieren und die Verknüpfung, auf die wir es so sehr abgesehen haben, zu Ende definieren. Führen wir nämlich unsere Idee von oben aus und basteln aus den Punkten (u_1, v_1) und (u_2, v_2) \el\ E(K) einen dritten Punkt (u_3, v_3)\el\ E(K), so definieren wir (u_1, v_1)\oplus\ (u_2, v_2)=-(u_3, v_3). Lasst uns denn zur Tat schreiten und besagte Konstruktion durchführen: Seien (u_1, v_1), (u_2, v_2)\el\ E(K) und u_1!=u_2, dann hat die verbindende Gerade durch diese beiden Punkte die Gleichung: y=mx+n mit m=(v_1-v_2)/(u_1-u_2) und n=v_1-mu_1. Wenn wir dies nun in F(x,y)=0 einsetzen, erhalten wir die Gleichung: (mx+n)^2+a_1\.x(mx+n)+a_3(mx+n)=x^3+a_2\.x^2+a_4\.x^4+a_6 => x^3+(a_2-m^2-a_1\.m)x^2+...||=0 Wir wissen bereits, dass diese Gleichung zwei Lösungen hat, nämlich u_1 und u_2. Daraus können wir nun den dritten Schnittpunkt ermitteln, denn es gilt -(u_1+u_2+u_3)=a_2-m^2-a_1\.m => u_3=-a_2+m^2+a_1\.m-u_1-u_2. Damit wissen wir schon sehr viel: Wir können aus der Geradengleichung die zugehörige Koordinate v_3 berechnen und erhalten dann einen Punkt (u_3, v_3)\el\ K^2 auf der algebraischen Kurve F(x,y)=0. Wir wissen vor allem auch, dass dieser Punkt eindeutig bestimmt ist und immer existiert. Das einzige, was uns noch zu zeigen bleibt, ist die Tatsache, dass der Punkt (u_3, v_3) nichtsingulär ist, also wirklich in E(K) liegt. Auch hier leistet das \ref(Lemma 1) hervorragende Dienste, denn wir haben eine Gerade durch (u_3, v_3) und kennen alle Schnittpunkte mit der Kurve. Wäre (u_3, v_3) singulär, so müssten mindestens zwei der drei Punkte zusammenfallen, d.h. es würde (u_1, v_1)=(u_3, v_3) oder (u_2, v_2)=(u_3, v_3) gelten. In jedem Fall wäre (u_3, v_3) nach Voraussetzung schon nichtsingulär. Wir erhalten also einen Widerspruch. Damit ist also (u_3, v_3) existent, eindeutig bestimmt und ein Element von E(K). Dasselbe trifft damit natürlich auch auf -(u_3, v_3) zu. Wir definieren also für (u_1, v_1), (u_2, v_2)\el\ E(K) mit u_1!=u_2 den Punkt (u_3, v_3) \(und damit auch den Punkt (u_1, v_1)\oplus(u_2, v_2)=-(u_3, v_3)\) durch: m:=(v_1-v_2)/(u_1-u_2) n:=v_1-mu_1 u_3:=-a_2+m^2+a_1\.m-u_1-u_2 v_3:=mu_3+n \geo ebene(250,250) noaxis() xy(-1,2) param(xx,-0.7,0.3,0.001) param(yy, 0.3,0.7,0.001) color(000088) plot(sqrt((x-0.5)*x*(x+0.5))+2*x) plot(-sqrt((x-0.5)*x*(x+0.5))+2*x) kurve(xx, sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(xx,-sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) color(000000) nolabel() punktform(.) p(0,1,A) p(0,-1,B) g(A,B) p(-1,0,C) p(1,0,D) g(C,D) color(ff0000) punktform(of) p(-0.5,-1,P) p(0.5,1,Q) g(P,Q) print(\red\ (u_1, v_1),-0.3,-0.8) print(\red\ (u_2, v_2),0.5,0.9) print(\red\ (u_3, v_3),0,0) \geooff \geoprint() Es bleibt uns nur noch der Fall zu untersuchen, dass wir zwei identische Punkte haben. Ist nämlich bei zwei Punkten u_1=u_2, dann gilt entweder v_1!=v_2 und unsere Definition für die Inversen greift oder es gilt v_1=v_2. Jetzt setzen wir zusätzlich \pd||F/\pd||y\.(u,v)!=0 voraus, denn den anderen Fall haben wir ebenfalls in unserer Definition des Inversen inbegriffen. Die Idee ist nun dieselbe: Wir betrachten die "Gerade durch die Punkte (u,v) und (u,v)". Anschaulich gesprochen ist das genau die Tangente, denn, wenn wir zwei Punkte aufeinander zu gehen und sich in (u,v) treffen lassen, dann geht ihre Verbindungsgerade in die Tangente durch (u,v) über. (Natürlich nur, sofern (u,v) wirklich eine solche besitzt, also nichtsingulär ist) Wie finden wir nun die Tangentengleichung? Einfach zu differenzieren ist meist nicht möglich, da wir ja keine Funktion y(x) haben. Wir können aber statt dessen implizit__ differenzieren: y^2+a_1\.xy+a_3\.y=x^3+a_2\.x^2+a_4\.x+a_6 => 2yy'+a_1\.y+a_1\.xy'+a_3\.y'=3x^2+2a_2\.x+a_4 In Punkten (u_1, v_1), in denen \pd||F/\pd||y\.(u_1, v_1)!=0 ist, gilt dann: => m=y'=(3u_1^2+2a_2\.u_1+a_4-a_1\.v_1)/(2v_1+a_1\.u_1+a_3)=-(\pd||F/\pd||x\.(u_1, v_1))/(\pd||F/\pd||y\.(u_1, v_1)) Dies liefert uns wieder eine Tangentengleichung der Form y=mx+n mit dem obigen m und n=v_1-mu_1 Das gleiche Spiel wie oben liefert uns ein Polynom in x vom Grad drei, dessen Nullstellen die Schnittpunkte der Geraden mit der Kurve angeben. Jetzt kennen wir ebenfalls schon zwei Nullstellen dieses Polynoms, denn im Zusammenhang mit \ref(Lemma 1) haben wir festgestellt, dass die Tangente den Graph in (u_1, v_1) mehrfach schneidet. \(In diesem Sinne ist also die Vorstellung der Tangenten als Gerade durch (u_1, v_1) und (u_1, v_1) durchaus berechtigt\) Wir können also auch jetzt u_3 durch -a_2+m^2+a_1\.m-u_1-u_1 und v_3 durch Einsetzen in die Geradengleichung erhalten. \geo ebene(250,250) # noaxis() x(-2,3) y(-2.5,2.5) param(xx,-1.3,-0.7,0.001) color(000088) plot( sqrt(x^3+1.25)) plot(-sqrt(x^3+1.25)) kurve(xx, sqrt(xx^3+1.25)) kurve(xx,-sqrt(xx^3+1.25)) color(000000) nolabel() punktform(.) p(0,1,A) p(0,-1,B) g(A,B) p(-1,0,C) p(1,0,D) g(C,D) color(ff0000) p(-1,-0.5,Q) punktform(of) p(1,1.5,P) g(P,Q) print(\red\ (u_1, v_1)=(u_2, v_2),0.7,1.3) print(\red\ (u_3, v_3),-0.9,-0.4)\geooff \geoprint() Die Formulierung "Gerade durch P und Q" werden wir im Folgenden weiterhin so benutzen, dass eine Gerade durch zwei identische Punkt die Tangente meint. Wie wir hier gesehen haben, schadet das ja keinesfalls der Gültigkeit unserer Konstruktion.

Zusammenfassung der Definition

Endlich können wir die Verknüpfung vollständig definieren: Seien (u_1, v_1),(u_2, v_2)\el\ E(K) beliebige endliche Punkte einer elliptischen Kurve. Dann definieren wir: \ll(i)\inf\oplus\inf:=\inf \ll(ii)(u_1, v_1)\oplus\inf:=\inf\oplus(u_1, v_1):=(u_1, v_1) \ll(iii)(u_1, v_1)\oplus(u_2, v_2):=(u_2, v_2)\oplus(u_1, v_1):=\inf wenn u_1=u_2 und v_1!=v_2 oder wenn (u_1, v_1)=(u_2, v_2) und pdiff(F,y)(u,v)=0 und ansonsten... \ll(iv)(u_1, v_1)\oplus(u_2, v_2):=(u_3, -a_1\.u_3-a_3-v_3) wobei | | m:=cases((v_1-v_2)/(u_1-u_2),u_2!=u_1;-(\pd_x\.F(u_1, v_1))/(\pd_y\.F(u_1, v_1)), sonst) | | u_3:=-a_2+m^2+a_1\.m-u_1-u_2 | | v_3:=mu_3+(v_1-mu_1) Direkt aus der Definition kann man ablesen, was wir bereits festgestellt haben: Es gibt ein neutrales Element und aus Lemma 2 folgt, dass jedes Element auch ein beidseitiges Inverses hat. Eine winzige Rechnung zeigt auch, dass (iv) kommutativ ist, so dass die Verknüpfung insgesamt kommutativ ist. (Was ja auch einleuchtend ist, denn die Gerade durch die beiden Punkte ist ja das Entscheidende für die Definition und dabei ist es natürlich egal, ob die Gerade vom ersten zum zweiten Punkt oder anders herum geht) Bis hierhin haben wir also eine so genannte Quasigruppe vorliegen. Was uns jetzt über alle Maßen glücklich machen würde, wäre das Assoziativgesetz und genau das ist es, was uns wirklich vor Schwierigkeiten stellt.

Die Assoziativität

Teil 1: Vorbereitung

Wir wollen nun beweisen, dass für alle P,Q,R\el\ E(K) gilt: \darkred\ll(A)P\oplus(Q\oplus\ R)=(P\oplus\ Q)\oplus\ R Dies wird leider etliche Fallunterscheidungen und viel Geduld erfordern. Zunächst werden wir ein Lemma beweisen, das wir für die Umformungen später brauchen werden: \darkred\ll(Lemma 3)Es gilt für alle Punkte P,Q aus E(K): (-(P\oplus\ Q))\oplus\ P=-Q und (-P)\oplus(P\oplus\ Q)=Q \blue\ Beweis: Ist P\oplus\ Q=\inf, so gilt (-(P\oplus\ Q))\oplus\ P=-\inf\oplus\ P=P=-Q. Natürlich gilt die Gleichung auch, wenn P=\inf oder Q=\inf ist. Wir können also oBdA nur endliche Punkte betrachten. Wir wissen aus der Definition, dass -(P\oplus\ Q) der dritte Punkt auf der nichtsenkrechten Geraden durch P und Q ist. Umgekehrt kann man aber auch sagen, dass Q der dritte Punkt auf der Geraden durch P und -(P\oplus\ Q) ist. Somit gilt nach Definition (-(P\oplus\ Q))\oplus P=-Q. Vollkommen analog beweist man die zweite Gleichung. \blue\ q.e.d. Mit Hilfe von \ref(Lemma 3) können wir den Fall abhandeln, dass Q\oplus\ R=\inf ist, denn dann haben wir R=-Q und die rechte Seite von \ref(A) geht über in (P\oplus\ Q)\oplus(-Q), was nach dem Lemma \(man benutze die zweite Gleichung und die Kommutativität\) gleich P ist. Und P ist ja auch das Ergebnis der rechten Seite. Analog lässt sich der Fall P\oplus\ Q=\inf erledigen. Ebenfalls können wir den Fall behandeln, dass P\oplus(Q\oplus\ R)=\inf ist, denn dann gilt P=-(Q\oplus\ R) => P\oplus\ Q=-R nach \ref(Lemma 3) und somit (P\oplus\ Q)\oplus\ R=\inf=P\oplus(Q\oplus\ R). Wir können also eine weitere Einschränkung treffen und sagen, dass nicht nur P,Q,R sondern auch Q\oplus\ R, P\oplus\ Q, P\oplus(Q\oplus\ R) und (P\oplus\ Q)\oplus\ R vom unendlich fernen Punkt verschieden sind.

Teil 2: Ausschluss der einfachen Fälle

Wir betrachten jetzt die sechs Geraden, die bei unserer Verknüpfung auftauchen, als da wären: Die Gerade durch \- Q und R \(\dsm_1\.\), \- P und Q \(\dsl_1\.\), \- P\oplus\ Q und sein Inverses \(\dsm_2\.\), \- Q\oplus\ R und sein Inverses \(\dsl_2\.\), \- P und Q\oplus\ R \(\dsm_3\.\) und durch \- P\oplus\ Q und R \(\dsl_3\.\). (Auch hier meint eine Gerade durch zwei identische Punkte die Tangente) Stellen wir die Geraden und ihre gegenseitigen Schnittpunkte also in einer Tabelle zusammen, sieht das so aus:
\geo ebene(300,400) noaxis() x(-1.5,2.5) y(-1.5,3.5) param(xx,-1.08,-1,0.0001) color(000088) pen(2) plot( sqrt(x^3+1.25),k1) plot(-sqrt(x^3+1.25),k2) kurve(xx, sqrt(xx^3+1.25)) kurve(xx,-sqrt(xx^3+1.25)) color(000000) pen(1) nolabel() punktform(.) punkt(k1,0.5,P) punkt(k1,2,Q) g(P,Q) punkt(k2,-0.9478,C) punkt(k1,-0.9478,D) g(C,D) punkt(k1,1.5,R) g(D,R) #punkt(k1,-0.1669,F) punkt(k2,-0.1669,G) g(F,G) g(Q,R) punkt(k2,-0.3259,H) punkt(k1,-0.3259,I) g(H,I) g(P,I) print(\red\ P,0.5,1.17) print(\red\ Q,2,3.04) print(\red\ R,1.5,2.15) print(\red\ X,-0.16,1.11) print(\dsl_1,1.4,2.5) print(\dsl_2,-0.4,-0.25) print(\dsl_3,0.5,1.6) print(\dsm_1,0.5,0.4) print(\dsm_2,-0.9,0.05) print(\dsm_3,1.5,1.3) \geooff \geoprint()
  \dsl_1 \dsl_2 \dsl_3
\dsm_1 Q -(Q\oplus\ R) R
\dsm_2 -(P\oplus\ Q) \inf P\oplus\ Q
\dsm_3 P Q\oplus\ R X?
Da wir davon ausgehen, dass die vier Summen Q\oplus\ R, P\oplus\ Q, P\oplus(Q\oplus\ R) und (P\oplus\ Q)\oplus\ R alle != \inf sind, sind insbesondere die Geraden \dsl_1, \dsl_3, \dsm_1 und \dsm_3 nichtsenkrecht. Andersrum sind aber \dsl_2 und \dsm_2 senkrechte Geraden, da sie zwei inverse Punkte verbinden \(oder eben einen selbstinversen Punkt mit sich selbst\). Das erklärt auch, warum hier \inf als Schnittpunkt dieser beiden Geraden auftaucht, denn den unendlichen fernen Punkt hatten wir ja anschaulich als oberes und unteres Ende von senkrechten Geraden festgelegt. Wie wir sehen, liegen erstmal acht von den neun Punkten in der Tabelle auf der elliptischen Kurve. Der Trick wird nun sein, dass der letzte Punkt X erstens wirklich existiert und zweitens auch auf der Kurve liegt. Dann ergibt sich nämlich durch unsere Definition der Gruppenverknüpfung, dass X = -(P\oplus(Q\oplus\ R)) = -((P\oplus\ Q)\oplus\ R) ist, denn X ist dann jeweils der dritte Punkt von \dsl_3 und \dsm_3 auf der elliptischen Kurve. Durch Bilden des Inversen erhalten wir daraus direkt die Gültigkeit des Assoziativgesetzes. Wir werden also versuchen, zu zeigen, dass es so einen Schnittpunkt X wirklich gibt, dass also nicht etwa \dsl_3 und \dsm_3 parallel sind. Und wir werden zeigen, dass F(X)=0 ist. Damit wir den Beweis, den wir also vorhaben, wirklich führen können, müssen wir zunächst sicherstellen, dass \dsl_i und \dsm_j jeweils voneinander verschieden sind und keine Punkte zusammenfallen. Schauen wir also erstmal, was passiert, wenn dem nicht so ist. Es stellt sich heraus, dass wir alle sich ergebenden Fälle bereits ausgeschlossen haben. mit \ref(Lemma 3) erschlagen können oder ein anderes, simples Argument die Assoziativität zeigt. Wenn nämlich \dsl_i=\dsm_j gilt, dann sind diverse Punkte "zuviel" gleichzeitig auf einer gemeinsamen Gerade und auf der elliptischen Kurve. Die Idee ist also jedesmal, dass einige der Punkte gleich sein müssen: array(Fall 1)__: \dsl_1=\dsm_1 Dann lägen P,Q,R auf einer gemeinsamen, nichtsenkrechten Geraden. Sind P,Q,R paarweise verschieden, so muss dann nach Definition -R=P\oplus\ Q sein => (P\oplus\ Q)\oplus\ R=\inf. Das hatten wir ausgeschlossen. Ist P=Q!=R oder P!=Q=R, so funktioniert das analoge Argument mit der Tangente durch Q. Ist P=R, so gilt aufgrund der Kommutativität: P\oplus(Q\oplus\ R)=P\oplus(Q\oplus\ P)=(P\oplus\ Q)\oplus\ P=(P\oplus\ Q)\oplus\ R. \checked array(Fall 2)__: \dsl_1=\dsm_2 Hatten wir ausgeschlossen, da \dsm_2 eine senkrechte Gerade ist, \dsl_1 jedoch nicht. \checked array(Fall 3)__: \dsl_1=\dsm_3 P,Q\oplus\ R und -(P\oplus\ Q) lägen dann auf einer gemeinsamen, nichtsenkrechten Geraden. Sind die drei Punkte paarweise verschieden oder P=Q\oplus\ R!=-(P\oplus\ Q), so gilt nach Definition P\oplus\ (Q\oplus\ R)=-(-(P\oplus\ Q))=P\oplus\ Q array(\small\ref(L.3);\normal\ =>;\small\ $\normal) Q=Q\oplus\ R array(\small\ref(L.3);\normal\ =>;\small\ $\normal) R=\inf. Das hatten wir ausgeschlossen. Ist Q\oplus\ R=-(P\oplus\ Q), so folgt P\oplus(Q\oplus\ R) = P\oplus(-(P\oplus\ Q)) array(\small\ref(L.3);\normal\ =;\small\ $\normal) -Q und (P\oplus\ Q)\oplus\ R = (-(Q\oplus\ R))\oplus\ R array(\small\ref(L.3);\normal\ =;\small\ $\normal) -Q Also gilt Assoziativität. \checked array(Fall 4)__: \dsl_2=\dsm_1 Analog zum Fall 2. \checked array(Fall 5)__: \dsl_2=\dsm_2 Dann liegen Q\oplus\ R, P\oplus\ Q und -(P\oplus\ Q) auf einer senkrechten Geraden. Auf einer senkrechten Geraden gibt es (mit Vielfachheiten) genau zwei endliche Punkte der elliptischen Kurve. => Q\oplus\ R=+-(P\oplus\ Q). Ist Q\oplus\ R=P\oplus\ Q,, so gilt P=R nach \ref(Lemma 3) => \dsl_1=\dsm_1. Das ist Fall 1. Ist Q\oplus\ R=-(P\oplus\ Q), so gilt nach \ref(Lemma 3) P\oplus(Q\oplus\ R)=-Q und (P\oplus\ Q)\oplus\ R=-(Q\oplus\ R)\oplus\ R=-Q ebenfalls nach \ref(Lemma 3). Also gilt auch hier die Assoziativität. \checked array(Fall 6)__: \dsl_2=\dsm_3 Analog zu Fall 2. \checked array(Fall 7)__: \dsl_3=\dsm_1 Dann liegen P\oplus\ Q, R und Q auf einer gemeinsamen, nichtsenkrechten Geraden. Falls diese drei paarweise verschieden sind oder P\oplus\ Q=R!=Q ist, dann gilt wieder nach Definition (P\oplus\ Q)\oplus\ R=-Q => -((P\oplus\ Q)\oplus\ R)=Q array(\small\ref(L.3);\normal\ =>;\small\ $\normal) -(P\oplus\ Q)=Q\oplus\ R array(\small\ref(L.3);\normal\ =>;\small\ $\normal) P\oplus(Q\oplus\ R)=-Q. Falls P\oplus\ Q\neq Q=R, dann ist Q\oplus\ R=-(P\oplus Q) array(\small\ref(L.3);\normal\ =>;\small\ $\normal) P\oplus(Q\oplus\ R)=-Q und -(Q\oplus\ R)=P\oplus\ Q array(\small\ref(L.3);\normal\ =>;\small\ $\normal) -Q=(P\oplus\ Q)\oplus\ R. Falls sogar P\oplus\ Q=Q=R gilt, dann sind \dsl_3 und \dsm_1 beide die Tangente durch R. Der dritte Punkt auf dieser Geraden ist also -(Q\oplus\ R)=-((P\oplus\ Q)\oplus\ R) array(\small\ref(L.3);\normal\ =>;\small\ $\normal) Q=P\oplus\ Q array(\small\ref(L.3);\normal\ =>;\small\ $\normal) P =\inf, was wir ausgeschlossen hatten. \checked array(Fall 8)__: \dsl_3=\dsm_2 Analog zu Fall 2. \checked array(Fall 9)__: \dsl_3=\dsm_3 Dann sind R, P und Q\oplus\ R auf einer gemeinsamen, nichtsenkrechten Geraden.A nalog zu Fall 7 ergibt sich dann die Assoziativität. \checked.

Teil 3: Der letzte Fall

Nach all den Fällen, in denen wir die Assoziativität schon zeigen konnten, drängt sich einem ja doch das Gefühl auf, es müsse auch allgemein gelten. Um das zu zeigen, bleibt uns in der Tat nur noch ein einziger Fall zu untersuchen, der sich aber als der komplizierteste herausstellt. Jeder unserer Geraden kann als Nullstellenmenge eines Polynoms der Form ax+by+c\el\ K[x,y] dargestellt werden, die wir entsprechend den Geraden mit l_i und m_i bezeichnen. Ebenso kann aber auch jede Gerade parametrisiert werden, wie wir es für Lemma 1 bereits getan haben: (x;y)=(u;v)+t(r_x;r_y) Wir werden jetzt beides brauchen. Zunächst setzen wir nämlich eine Parametrisierung von \dsl_1 in F ein. Wir erhalten dann ein Polynom F^~\el\ K[t] \(wie genau es aussieht, haben wir schon mal beim Beweis von \ref(Lemma 1) gesehen\), dessen Nullstellen genau diejenigen t sind, die den Punkten P,Q und -(P\oplus\ Q) entsprechen. Wenn Punkte zusammenfallen, dann hatten wir definiert, dass \dsl_1 als "Gerade durch mehrere identische Punkte" die Tangente an E(K) meint. Dann entspricht ein solcher "mehrfacher Punkt" auch einer mehrfachen Nullstelle von F^~. Wir setzen diese Parametrisierung von \dsl_1 auch in die Polynomdarstellungen von \dsm_1, \dsm_2 und \dsm_3 ein und erhalten Polynome m^~_1, m^~_2, m^~_3\el\ K[t]. Diese sind vom Nullpolynom verschieden, da \dsl_1!=\dsm_i vorausgesetzt ist, und die Nullstellen entsprechen genau den Schnittpunkten von \dsl_1 mit \dsm_i, also Q, -(Q\oplus\ P) und P. => m^~_1*m^~_2*m^~_3 und F^~ sind Polynome vom gleichen Grad, deren Nullstellen mit Vielfachheit übereinstimmen. => Es gibt ein \alpha\el\ K^x mit F^~=\alpha*m^~_1\.m^~_2\.m^~_3. Wir nehmen uns dieses \alpha und definieren ein weiteres Polynom, nämlich: C:=F-\alpha*m_1\.m_2\.m_3 Wenn wir die Parametrisierung von \dsl_1 in dieses Polynom einsetzen, erhalten wir das Nullpolynom, da ja F^~-\alpha\.m^~_1\.m^~_2\.m^~_3=0 herauskommt nach der eben erfolgten Überlegung. C ist natürlich ein Polynom in x und y. Wenn man aber y^n=(1/b^n)((ax+by+c)-(ax+c))^n ausnutzt, kann man es als Polynom aus K[x][ax+by+c] darstellen, d.h. man kann Polynome \gamma_0 bis \gamma_3\el\ K[x] finden mit: C(x,y)=\gamma_3(x)(ax+by+c)^3+\gamma_2(x)(ax+by+c)^2+\gamma_1(x)(ax+by+c)+\gamma_0(x) l_1, d.h. das Polynom, dessen Nullstellenmenge genau \dsl_1 ist, hat genau diese Form ax+by+c und da \dsl_1 keine senkrechte Gerade ist, ist b!=0. Wir können dieses Verfahren also hier anwenden. => C(x,y)=\gamma_3(x)*l_1(x,y)^3+\gamma_2(x)*l_1(x,y)^2+\gamma_1(x)*l_1(x,y)+\gamma_0(x) Jetzt setzen wir nochmal die Parametrisierung von \dsl_1 in C ein. Wir wissen schon, dass das Nullpolynom rauskommen muss. Wir wissen aber auch weiter, dass l_1 identisch Null wird, wenn man die Parametrisierung einsetzt \(l_1 ist ja gerade das Polynom, dessen Nullstellenmenge \dsl_1 ist\). Also bleibt nur \gamma_0(x) über, denn in den Termen, wo l_1(x,y) vorkommt, kommt das Nullpolynom heraus. => \gamma_0(x)=0 => C wird von l_1 geteilt. Wenn man die Rollen der \dsl und \dsm vertauscht, erhält man analog ein \beta\el\ K^x, sodass F-\beta\.l_1\.l_2\.l_3 von m_1 geteilt wird. Wir setzen jetzt D=F-\alpha\.m_1\.m_2\.m_3-\beta\.l_1\.l_2\.l_3. Ziel wird es sein, zu zeigen, dass dieses Polynom identisch dem Nullpolynom ist. Offensichtlich wird D von l_1 und von m_1 geteilt. \dsl_1 und \dsm_1 sind verschiedene Geraden, also sind l_1 und m_1 teilerfremde Polynome. Also wird D sogar vom Produkt l_1*m_1 geteilt. D ist höchstens ein kubisches Polynom, also gibt es ein drittes \(höchstens\) lineares Polynom L\el\ K[x,y], so dass D=L*l_1*m_1 \(K[x,y] hat eine eindeutige Primfaktorzerlegung, woraus sich zusammen mit den Graden ergibt, dass L existiert und höchstens linear sein kann, da L höchstens Grad drei hat\) Wir wollen zeigen, dass L schon das Nullpolynom sein muss. Zunächst bemerken wir, dass P\oplus\ Q=:(u_1, v_1) und Q\oplus\ R=:(u_2, v_2) Nullstellen von L sind, da F(u_1, v_1)=l_3(u_1, v_1)=m_2(u_1, v_1)=0 und ebenso F(u_2, v_2)=l_3(u_2, v_2)=m_2(u_2, v_2)=0. Aus der Faktorzerlegung von D folgt also, dass l_1(u_1, v_1)=0 oder m_1(u_1, v_1)=0 oder L(u_1, v_1)=0 sein muss. Wäre l_1(u_1, v_1)=0, läge P\oplus\ Q also auf \dsl_1, so wären P,Q,P\oplus\ Q kollinear. Das hatten wir bereits ausgeschlossen in Fall 2 weiter oben. Gilt m_1(u_1, v_1)=0, so sind R, P\oplus\ Q und Q kollinear. Dies ist der Fall 7 von oben, fällt also ebenfalls weg. Bleibt also L(u_1, v_1)=0 übrig. Ganz analog können wir L(u_2, v_2)=0 folgern. Also hat L zwei verschiedene Nullstellen \(sonst P\oplus\ Q=Q\oplus\ R array(\small\ref(L.3);\normal\ =>;\small\ $\normal) P=R, das ist wieder Fall 1\). Daraus folgt, dass L ein lineares Polynom oder das Nullpolynom ist, eine von Null verschiedene Konstante kann es nicht mehr sein. Wir wissen weiterhin, dass \dsl_2 und \dsm_2 senkrechte Geraden sind. l_2 und m_2 haben daher die Form ax+c. Also kommt im Produkt l_1\.l_2\.l_3 nirgendwo ein y^3 vor. Ebenso kommt y höchstens in zweiter Potenz in m_1\.m_2\.m_3 und in F vor, so dass auch D nur y bis höchstens zur zweiten Potenz enthält. Da l_1 und m_1 aber garantiert y enthalten \(denn dies sind ja nichtsenkrechte Geraden\), darf L kein y mehr enthalten, um das zu gewährleisten. Also ist auch L von der Form ax+c. Wäre nun L linearen Grades, so wäre die durch L definierte Gerade \dsL\subseteq\ K^2 also eine senkrechte Gerade durch P\oplus\ Q und Q\oplus\ R, d.h. P\oplus\ Q=-(Q\oplus\ R). Das ist Fall 7. So! Das war's! Doch, wirklich. Jetzt hat das Assoziativgesetz keine Chance mehr, sich vor uns zu verbergen, ab hier ist es geliefert: L muss das Nullpolynom sein, weil wir inzwischen alle anderen Fälle ausgeschlossen haben. Also ist 0=D=F-\a*m_1\.m_2\.m_3-\beta*l_1\.l_2\.l_3 => F=\a*m_1\.m_2\.m_3+\b*l_1\.l_2\.l_3 Wären \dsl_3 und \dsm_3 parallel, dann gäbe es \zeta,\xi\el\ K^x mit l_3=\zeta\.m_3+\xi => F=\a*m_1\.m_2\.m_3+\b\zeta*l_1\.l_2\.m_3+\b\xi*l_1\.l_2 Jetzt setzen wir z.B. den Punkt X_1=-(P\oplus(Q\oplus\ R)) ein. Dieser liegt auf der elliptischen Kurve und auf \dsm_3, ist also eine Nullstelle von F. Ebenso ist er eine Nullstelle von m_3. Demzufolge muss auch l_1(X_1)=0 oder l_2(X_1)=0 sein. Ist X_1 Nullstelle von l_1, so ist \dsl_1=\dsm_3, ist X_1 Nullstelle von l_2, so wäre \dsl_2=\dsm_3. Beide Fälle hatten wir ausgeschlossen. => \dsl_3 und \dsm_3 können nicht parallel sein => ein gemeinsamer Schnittpunkt X muss existieren. Da m_3 und l_3 im Punkt X null werden, wird also auch F an der Stelle X null. Also liegt X auf der elliptischen Kurve und endlich haben wir auch den allerletzten Fall erschlagen. Das Assoziativgesetz gilt wirklich!

Andere Ansätze

Nachdem wir es wirklich geschafft haben, die Assoziativität der Verknüpfung zu beweisen, will ich noch einen kleinen Ausblick auf andere Ansätze geben, die es für diesen Nachweis gibt.

Projektive Geometrie

Der Ansatz, der in diesem Buch verfolgt wird, ist im Grunde ein ähnlicher wie der, den ich gegangen bin. Der wesentliche Unterschied ist aber, dass dort eine andere Geometrie betrachtet wurde. Anstatt nämlich elliptische Kurven als Punktmenge in K2 zu betrachten, ist es auch oft sinnvoll, sie als Nullstellenmenge eines homogenen Polynoms in der projektiven Ebene PK2 zu betrachten. PK^2 ist dabei die Menge (K^3\.\\{0})\/||opimg(~) wobei \nue_1~\nue_2 :<=> \nue_1=\lambda\nue_2 für ein \lambda\el\ K^x. Die Äquivalenzklasse des Vektors (u;v;w) wird dann als (u:v:w) geschrieben. Was ist der Vorteil der projektiven Betrachtungsweise? Zum Einen kann man die "normale" Ebene als Teilmenge der projektiven betrachten, indem man den Punkt (u,v) in PK^2 als (u:v:1) einbettet. Zum Anderen kann man gleichzeitig unendlich ferne Punkte mit einführen, indem man die Punkte, die nicht von dieser Einbettung getroffen werden, als die unendlichen Punkte definiert. Da konstante Vielfache bei den Äquivalenzklassen keine Rolle spielen, sind das also genau diejenigen Klassen mit projektiven Koordinaten (u:v:0). Anstelle unseres Polynoms F wird ein homogenes Polynom dritten Grades F' benutzt, das durch F'(x,y,z)=y^2\.z+a_1\.xyz+a_3\.yz^2-x^3-a_2\.x^2\.z-a_4\.xz^2-a_6\.z^3 gegeben ist. Es muss ein homogenes Polynom sein, um sicherzustellen, dass die Nullstellenmenge des Polynoms in der projektiven Ebene wohldefiniert ist, denn wählt man aus der Nebenklasse (u:v:w) einen Vertreter also einen Vektor (\lambda*u;\lambda*v;\lambda*w) und setzt ihn in F' ein, so erhält man: F'(\lambda*u,\lambda*v,\lambda*w)=\lambda^3*F'(u,v,w) Das rechtfertigt es also, auch in der projektiven Ebene von der Nullstellenmenge des Polynoms F' zu sprechen. Man erkennt schnell, dass F(u,v)=F'(u,v,1) ist, und somit die Identifikation der endlichen Punkte unserer \(affinen\) elliptischen Kurve mit denen der projektiven Variante super funktioniert. Der Vorteil liegt auf der Hand, sobald man etwas mehr über die projektive Geometrie weiß: Jetzt kann man das alles wesentlich verkürzen, da man den unendlich fernen Punkt nicht mehr in jedem Beweis und jeder Definition extra untersuchen muss. Er entspricht ganz einfach dem Punkt (0:1:0), den man behandeln kann wie jeden anderen. (Im Gegensatz zu unserer Definition von E(K) gibt es in der projektiven Ebene nicht mehr "den" unendlichen Punkt, sondern i.A. mehrere. Es gibt aber nur einen, der Nullstelle von F' ist, daher auch jetzt noch die Bezeichnung.) Ebenso wird eine Unterscheidung von senkrechten und nichtsenkrechten Geraden überflüssig, genau wie man auch nicht mehr auf parallele Geraden besonders achten muss. Alle Geraden schneiden sich in einer projektiven Ebene (notfalls in einem unendlichen Punkt). Man kann dann generell sagen: "Liegen drei Punkte einer elliptischen Kurve auf einer gemeinsamen Gerade, so verschwindet ihre Summe." Das konnten wir in der affinen Variante nur für nichtsenkrechte Geraden sagen. Trotz all dem schien mir der Beweis aus diesem Buch nicht geeignet. Er war an einigen Stellen sehr schwammig und trotzdem für mich nicht einfach genug, viele Schritte konnten weggelassen oder wesentlich verkürzt werden. Projektive Koordinaten extra für diesen Beweis einzuführen, erschien mir auch zu umständlich. Und die Handhabung des Beweises war schon deshalb schwieriger, da man überall mindestens eineinhalb mal so viele Koordinaten und Variablen zu überblicken hatte. Für einen Fortgeschrittenen ist dies sicherlich ein interessanter Weg, der von mir gesuchte elementare Beweis für Einsteiger ist es jedoch sicher nicht.

Divisoren

Es gibt einen weiteren Beweisansatz, der äußerst elegant und kurz daherkommt. Er benutzt die so genannten Divisoren. Technisch gesehen ist die Menge der Divisoren Div(E) einer elliptischen Kurve E(K) die freie abelsche Gruppe über den Elementen von E(K), d.h. jedem Punkt P\el\ E(K) wird ein Erzeuger [P] zugeordnet und ein Divisor ist eine formale \(aber endliche!\) Summe a_\inf\.[\inf\]+a_P\.[P]+a_Q\.[Q]+... mit a_\inf, a_P, a_Q, ...\el\IZ. Die Divisoren sind eine Gruppe \(das lässt sich ja bei der Bezeichnung "freie abelsche Gruppe" bereits vermuten, ist aber auch sehr leicht nachzurechnen\). Der Trick ist nun, dass man eine Untergruppe Div^0(E) der Divisoren betrachtet und davon wiederum eine Faktorgruppe. Dann kann man einen Isomorphismus von dieser Faktorgruppe nach E(K) finden. Da in der Faktorgruppe selbstverständlich das Assoziativgesetz gilt, überträgt sich diese Eigenschaft dann auf E(K). Der Vorteil dieser Herangehensweise ist auch klar: Es ist ein äußerst schöner, effizienter und kurzer Beweis. Leider ist er auch sehr schwierig vorzubereiten. Wenn man es direkt versucht, hat man große Probleme, die Faktorgruppe und den Isomorphismus erstens zu finden und zweitens nachzurechnen, dass der Isomorphismus wirklich einer ist. Um das zu vermeiden, braucht man wieder neues Handwerkszeug und genau da stecken die Kanonen auf Spatzen, die ich eigentlich vermeiden wollte. Kurzum: Für den Profi ist dies sicherlich der Beweis schlechthin, er hat alles, was man sich wünscht, aber wieder ist man weit davon entfernt, einen für totale Einsteiger lesenswerten Beweis gefunden zu haben.

Abschluss

\geo ebene(160,160) noaxis() xy(-1,2) nolabel() punktform(.) p(-0.5,1.5,E1) p(1.5,1.5,E2) p(1.5,-0.5,E3) p(-0.5,-0.5,E4) fill(E1,E2,E3,E4,E0FFFF) color(aquamarine) s(E3,E4) s(E4,E1) #s(E1,E2) s(E2,E3) color(FFA500) pen(2) param(xx,-0.7,0.3,0.001) param(yy, 0.3,0.7,0.001) plot( sqrt((x-0.5)*x*(x+0.5))+2*x) plot(-sqrt((x-0.5)*x*(x+0.5))+2*x) kurve(xx, sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(xx,-sqrt((xx-0.5)*xx*(xx+0.5))+2*xx) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) kurve(yy, sqrt((yy-0.5)*yy*(yy+0.5))+2*yy) color(000000) pen(1) p(0,1,A) p(0,-1,B) g(A,B) p(1,0,C) p(-1,0,D) g(C,D) \geooff \geoprint()
So, das war mein Artikel über das Gruppengesetz elliptischer Kurven. Ich hoffe, dass er vielleicht dem Einen oder Anderen nutzen wird, der nach diesem Thema sucht, wie ich es getan habe. Ich danke ganz herzlich deda, Fabi, Janik und Jonathan_Scholbach, meinen Testlesern, für ihre Kritik und ihre Anmerkungen. Vielleicht weiß ja auch jemand von euch noch etwas Interessantes über das Gruppengesetz und kennt z.B. noch andere Beweisalternativen. Möglicherweise gibt es ihn ja doch, den einfachen, kurzen und elementaren Beweis des Assoziativgesetzes, nach dem ich lange vergeblich suchte. Falls Interesse besteht, schreibe ich vielleicht noch weitere Artikel über die Anwendungen elliptischer Kurven in der Kryptographie. F(\dsm_i\.fg,Gocke\dsl_j)=0.

 
Dieser Artikel ist enthalten in unserem Buch
Mathematisch für fortgeschrittene Anfänger
Mathematisch für fortgeschrittene Anfänger

\(\endgroup\)
Get link to this article Get link to this article  Printable version Printer-friendly version -  Choose language     Kommentare zeigen Comments  
pdfpdf-Datei zum Artikel öffnen, 529 KB, vom 03.10.2006 13:11:27, bisher 2541 Downloads


Arbeitsgruppe Alexandria Dieser Artikel ist im Verzeichnis der Arbeitsgruppe Alexandria eingetragen:
: Mathematik :: Algebraische Kurven :: Elliptische Kurven :: Gruppentheorie :: Zahlentheorie :: Kryptographie :: Leicht verständlich :: Reine Mathematik :
Das Gruppengesetz elliptischer Kurven [von Gockel]  
Die Definition der Gruppenverknüpfung auf elliptischen Kurven sowie der Nachweis der Gruppenaxiome, insbesondere des Assoziativgesetzes auf elementare Weise.
[Die Arbeitsgruppe Alexandria katalogisiert die Artikel auf dem Matheplaneten]

 
 
Aufrufzähler 5235
 
Aufrufstatistik des Artikels
Insgesamt 621 externe Seitenaufrufe zwischen 2012.01 und 2021.10 [Anzeigen]
DomainAnzahlProz
https://google.de8113%13 %
https://matheplanet.at10.2%0.2 %
http://google.de44671.8%71.8 %
https://google.com325.2%5.2 %
http://images.google.de193.1%3.1 %
http://search.conduit.com101.6%1.6 %
https://www.ecosia.org50.8%0.8 %
https://www.bing.com40.6%0.6 %
http://www.bing.com71.1%1.1 %
https://duckduckgo.com20.3%0.3 %
http://www.chemieonline.de30.5%0.5 %
http://ch.search.yahoo.com10.2%0.2 %
http://suche.gmx.net20.3%0.3 %
http://suche.t-online.de10.2%0.2 %
http://ecosia.org10.2%0.2 %
https://www.startpage.com10.2%0.2 %
http://suche.aol.de10.2%0.2 %
http://suche.web.de10.2%0.2 %
http://www1.search-results.com10.2%0.2 %
http://google.at10.2%0.2 %
http://www.mathematik-forum.de10.2%0.2 %

Aufrufer der letzten 5 Tage im Einzelnen
Insgesamt 1 Aufruf in den letzten 5 Tagen. [Anzeigen]
DatumAufrufer-URL
2021.10.21 04:00https://google.de/

Häufige Aufrufer in früheren Monaten
Insgesamt 588 häufige Aufrufer [Anzeigen]
DatumAufrufer-URL
2012-2017 (215x)http://google.de/url?sa=t&rct=j&q=
2020-2021 (66x)https://google.de/
2020-2021 (32x)https://google.com/
201211-11 (24x)http://google.de/url?sa=t&rct=j&q=nachweis elyptische kurve
201405-05 (21x)http://google.de/url?sa=t&source=web&cd=8&ved=0CD0QFjAH
201201-01 (20x)http://google.de/url?sa=t&rct=j&q=matheboard elliptische kurven
201306-06 (17x)http://google.de/url?sa=t&rct=j&q=weill elliptische kurve
2015-2017 (17x)http://images.google.de/imgres?imgurl=http://www.math.uni-muenster.de/u/urs.h...
201407-07 (14x)http://google.de/url?sa=t&rct=j&q=elliptische kurvendiskussion
2020-2021 (14x)https://google.de
201307-07 (14x)http://google.de/url?sa=t&rct=j&q=nachweis einer elliptische kurven
201208-08 (12x)http://google.de/url?sa=t&rct=j&q=gruppenstruktur elliptische kurven
201305-05 (12x)http://google.de/url?sa=t&rct=j&q=gruppengesetz auf Kurven
201203-03 (12x)http://google.de/url?sa=t&rct=j&q=was ist der unendlich ferne punkt bei ellip...
201202-02 (11x)http://google.de/url?sa=t&rct=j&q=gruppengesetz physik
201304-04 (10x)http://google.de/url?sa=t&rct=j&q=gruppengesetz elliptischer kurven
201302-03 (10x)http://search.conduit.com/Results.aspx?q=elliptische kurve beispiel alltag&Su...
201207-07 (9x)http://google.de/url?sa=t&rct=j&q=unendlich ferne gerade senkrechte
201302-02 (9x)http://google.de/url?sa=t&rct=j&q=tangentengleichung an kurve matheplanet
201209-09 (7x)http://google.de/url?sa=t&rct=j&q=gruppengesetz elliptische kurven
201206-06 (7x)http://google.de/url?sa=t&rct=j&q=was macht elliptische kurven so besonders
201204-04 (7x)http://google.de/url?sa=t&rct=j&q=quasigruppe mathematik inverses element bew...
201205-05 (7x)http://google.de/url?sa=t&rct=j&q=schnitt elliptischer kurve mit projektiver ...
201301-01 (6x)http://google.de/url?sa=t&rct=j&q=elliptische kurven gruppenstruktur
201303-03 (5x)http://google.de/webhp?source=search_app
201212-12 (5x)http://google.de/url?sa=t&rct=j&q=spektrum der wissenschaft elliptische kurve...
202105-06 (5x)https://www.ecosia.org/

[Top of page]

"Mathematik: Das Gruppengesetz elliptischer Kurven" | 15 Comments
The authors of the comments are responsible for the content.

Re: Das Gruppengesetz elliptischer Kurven
von: cow_gone_mad am: Sa. 19. August 2006 19:33:53
\(\begingroup\)Hallo Gockel 😄 Erstmal eine kleine Anmerkung: Den Körper der komplexen Zahlen nicht vergessen. Dies führt nämlich zur namensgebenden Theorie der elliptischen Funktionen (doppeltperiodische Funktionen). Also dies bei der Aufzählung der interessanten Körper. Man nennt das Ganze dann aber meistens kompakte Riemannsche Flächen ... Dadraus kommen gleich die weiteren Fragen: Funktioniert dies auch bei hyperelliptischen Kurven? (Also wenn man auf der rechten Seite ein Polynom höheren Grades hinschreibt.) Wenn ich den Grad deines Polynoms auf der rechten Seite mal mit N bezeichne. Bei dir also N = 3, kenne ich es eigentlich so, dass N = 4 auch zu elliptischen Kurven führt. Allerdings braucht man da 2 unendliche Punkte. Funktioniert es da auch noch? (Man sollte meine Frage über Polynome höheren Grades deswegen in geraden und ungeraden Grad aufteilen). Übrigens: Netter Artikel! 😄 Liebe Grüsse, cow_ \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Gockel am: Sa. 19. August 2006 21:36:18
\(\begingroup\)Hi cow. Elliptische Kurven über komplexen Zahlen sind natürlich auch interessant, aber die hatte ich ja schon im letzten Artikel zu elliptischen Kurven 😉 Hyperelliptische Kurven kann man, soweit ich weiß, nicht auf so eine "kanonische" Weise mit einer Gruppenstruktur versehen. Das scheitert irgendwie daran, dass es zuviele Punkte im Unendlichen gibt oder so. Genaueres weiß ich da auch nicht. Eine algebraische Kurve der Form y2=x4+ax3+bx2+cx+d ist als algebraische Kurve isomorph zu einer elliptischen, d.h. es gibt bijektive rationale Abbildungen zwischen so einer Kurve und einer passenden elliptischen und umgekehrt. Man kann hier also "indirekt" auch eine Gruppenstruktur einführen. Übrigens: Danke :) mfg Gockel.\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Wauzi am: So. 20. August 2006 00:44:21
\(\begingroup\)Hallo Gockel, um gleich mit dem letzten Satz Deines Artikels anzufangen: Ja, schreibe mehr zu diesem Thema. Diese Abhandlung war wie alle Deine anderen auch,(ich denke dabei speziell an die Gruppenreihe) locker, leicht lesbar, anschaulich und verstehbar geschrieben ohne das mathematische Gewicht auch nur ein klein wenig aufzugeben. Und das Gewicht war diesmal schon ein gewichtiges Gewicht. Deine Artikel gehören für mich mittlerweile zu den absoluten highlights auf dem Planeten. Gratulation!!! Wauzi \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Supertramp am: So. 20. August 2006 18:30:00
\(\begingroup\)Willst du nicht mal ein Lehrbuch zur Algebra herausgeben? Bei deinem Stil würden sich die Studenten sicher drüber freuen!\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: gilgamash am: Mi. 23. August 2006 13:25:21
\(\begingroup\)Salve Gockel, den Artikel hätte ich damals für meine Computer-Algebra Prüfungsvorbereitung gut gebrauchen können (in der Prüfung kam das Thema nicht dran):-) Sehr verständlich und gleichzeitig präzise geschrieben, finde ich großartig. Grtx, Gilgamash \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: cow_gone_mad am: Fr. 25. August 2006 14:31:29
\(\begingroup\)Gockel: Ich würde eher sagen, dass es mit dem zuhohen Geschlecht zusammenhängt ... Punkte im Unendlichen (= Punkte die durch Kompaktifizierung entstehen) gibt es meines Wissens immer nur 2. Aber die Löcher sollten die geometrische Vorstellung auch zu Fall bringen mit der du das motivierst. 😉 Liebe Grüsse, cw_ \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Gockel am: Sa. 26. August 2006 16:32:48
\(\begingroup\)@cow: Ich bin da nicht so versiert, ich habe mich damit weniger als oberflächlich beschäftigt, weil ich ja vor allem auf der Suche nach einem elementaren Beweis des Assoziativgesetzes war. Die geometrische Anschauung ist aber sowieso nur im einfachsten Fall, nämlich den elliptischen Kurven über Körpern, sinnvoll. Selbst bei ell.Kurven über Ringen (die keine Körper sind) geht das meist schon schief. So, wie ich das aus den Publikationen aufgeschnappt habe, die mir bei den Recherchen so untergekommen sind, greift man bei der Untersuchung allgemeiner algebraischer Kurven meistens direkt auf die projektive Darstellung zurück und untersucht von vorn herein alles in der projektiven Ebene. @wauzi, Supertramp, gilgamash: Habt vielen Dank für euer Lob, ich hätte nicht gedacht, dass der Artikel so gut ankommt :) mfg Gockel.\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: henrik85 am: Mo. 26. Februar 2007 09:58:50
\(\begingroup\)Hatte hier erst nen verständnisproblem stehen, was ich mir aber eben selbst bei wiki zurecht gelesen habe ;) Super Artikel ! \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: weserus am: So. 04. Januar 2009 19:55:17
\(\begingroup\)Hallo Johannes, im Zusammenhang mit Deinem Artikel möchte ich auf einen Artikel in Spektrum der Wissenschaft(1/2009) mit dem Titel: Elliptische Kurven und eine kühne Vermutung(von Birch und Swinnerton-Dyer) hinweisen. Der Artikel behandelt auch und kurz das Gruppengesetz und dafür war Dein Artikel -den ich jetzt erst gelesen habe- eine wichtige Erweiterung, insbesondere zum Verständnis des neutralen Elementes(der unendliche Punkt). Deinen Artikel finde ich grossartig und zeigt mir, dass Du es deshalb so gut erklären kannst, weil Du auch verstanden hast, worüber Du schreibst -als Spitze in eine andere Richtung-. Danke dafür! Gruß Peter\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Ex_Mitglied_40174 am: Do. 14. Juni 2012 23:05:43
\(\begingroup\)Hallo Gockel, was passiert, wenn man in dem Fall, der in Abschnitt "Die anderen Fälle" in der Abbildung am Ende gezeigt ist, (u_1, v_1) und (u_3, v_3) addiert? Es gibt doch dann keinen dritten Schnittpunkt wie behauptet? Danke hg \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Gockel am: Fr. 15. Juni 2012 15:45:30
\(\begingroup\)Hi hg. Doch, den gibt es nach Konstruktion. In dem Fall sind genau (u_1, v_1), (u_2, v_2), (u_3, v_3) die drei Schnittpunkte der Geraden mit der Kurve. Oder verstehe ich dein Problem hier falsch? mfg Gockel.\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Martin_Infinite am: Sa. 30. Juni 2012 16:47:35
\(\begingroup\)Einen direkten Nachweis der Gruppenaxiome findet man auch hier. Natürlich ist auch das eine Schlacht. Mit geometrischen Methoden geht es viel besser. Hier eine Animation für das Assoziativgesetz von Prof. Urs Hartl: \(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: rofler am: Fr. 03. Oktober 2014 14:07:32
\(\begingroup\)Zum Gruppengesetz auf eigentlichen Kurven von Geschlecht ungleich 1: So eines kann es nicht geben, Beweis z.B. mit der Lefschetzschen Spurformel (Translation mit einem Punkt ungleich 0 hat keine Fixpunkte, also ist die Eulercharakteristik gleich 0, aber diese ist gleich 2 - 2g), oder weil das Tangentialbündel einer Gruppenvarietät frei ist.\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: matroid am: Do. 10. Dezember 2020 17:11:53
\(\begingroup\)Eine Frage wurde anonym gestellt: Die Stelle im Artikel-Abschnitt "Die anderen Fälle": \quoteonWir wissen bereits, dass diese Gleichung zwei Lösungen hat, nämlich u_1 und u_2. Daraus können wir nun den dritten Schnittpunkt ermitteln, denn es gilt ###-(u_1+u_2+u_3)=a_2-m^2-a_1\.m => u_3=-a_2+m^2+a_1\.m-u_1-u_2. \quoteoff Die anonyme Frage: Es tut mir Leid, dass ich das jetzt so reinschreibe, aber ich wusste mir nicht anders zu helfen, da die Kommentarfunktion deaktiviert ist (?): Wie kommt man auf die Gleichung -(u_1+u_2+u_3) = ... ? Ich verstehe diesen Schritt nicht, wie man daraus folgern kann, dass das genau der Koeffizient vor x^2 ist. Ich versuchte eine Polynomdivision durch (X - u_1)(X - u_2), aber nach viel Aufwand führte das zu nichts. Es scheint mir auch kein Zufall zu sein, dass das genau der besagte Koeffizient ist..? Vielen Dank im Voraus und nochmals Entschuldigung für den ungewöhnlichen Weg der Kontaktaufnahme.\(\endgroup\)
 

Re: Das Gruppengesetz elliptischer Kurven
von: Gockel am: Mi. 16. Dezember 2020 16:59:07
\(\begingroup\)Hi. Polynomdivision führt durchaus zum Ziel, wenn man sie fehlerfrei durchziehen kann. Ein komplett äquivalenter Weg wäre den Satz von Vieta anzuwenden. Beidem liegt der Fakt zugrunde, dass $(X-u_1)(X-u_2)(X-u_3) = X^3 -(u_1+u_2+u_3)X^2+...$ gilt, wie man durch ausmultiplizieren leicht feststellt. Also ja: Es ist definitiv kein Zufall, dass die Summe der drei Nullstellen genau das Negative des im quadratischen Term des Polynoms ist. Das ist für alle normierten Polynome vom Grad 3 der Fall. Allgemein ist immer die Summe der $n$ Nullstellen eines normierten Polynoms vom Grad $n$ gleich dem Negativen des Koeffizienten vor $X^{n-1}$. (Dafür muss man natürlich gewillt sein, komplexe Zahlen oder andere algebraische Abschlüsse zu verwenden, damit das Polynom auch garantiert $n$ Nullstellen hat) mfg Gockel.\(\endgroup\)
 

 
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2021 by Matroids Matheplanet
This web site was originally made with PHP-Nuke, a former web portal system written in PHP that seems no longer to be maintained nor supported. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die Nutzungsbedingungen, die Distanzierung, die Datenschutzerklärung und das Impressum.
[Seitenanfang]