Text
                    1
*'
f*
,, - /
dt
к.
М
ш
I
г
I
«
*
1^
/
^лгл
' /f
t
.^"ЧП*
»
1^
41
-**
•■ .
S
\1ЛГ
ф
т
.«
* щ
ф
и
#
#
#
'4"^
^
1ш^
стовцев
э
аховенко
#.
#
^
#
•t
и
#
f»
W
tf
#
«
«f
/•
#f
9
■Л
I
«
Ъ A
ff
4
%
%
НПО «ПРОФЕССИОНАЛ», Санкт
рбург
I -
^
4
#
/к
^
■%у


-H j3 СОДЕРЖАНИЕ ■г. -J - Jl^ ВВЕДЕНИЕ ГЛАВА 1. МНОЖЕСТВА, АЛГОРИТМЫ 9 СЛУЧАЙНЫЕ ОТОБРАЖЕНИЯ 1.1. 1.2. Сведения из теории множеств 6 Сведения из теории алгоритмов 8 1.2Л. 1.2.2. Алгоритм и исчисление 8 1.3. Сложность алгоритма 10 Нестандартные вычислительные модели... 12 1.3.1. 1.3.2. 1.4. Молекулярный компьютер 13 Квантовый компьютер 14 Случайные последовательности и случайные отображения 16 1.4.1. 1.4.2. Понятие случайности 16 Свойства случайного отофажения... 17 Упражнения к главе 1 20 Литература к главе 1 20 ГЛАВА 2. ГРУППЫ 22 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. Понятие группы 22 Подфуппы 23 Гомоморфизмы и изоморфизмы 26 2.7. 2.8. Действие фуппы на множестве 28 Группа подстановок 28 Вложимость коммутативной полугруппы в фуппу 31 Прямые произведения фупп 31 Категории 32 Угфажнения к главе 2 33 Литература к главе 2 33 ГЛАВА 3. КОММУТАТИВНЫЕ КОЛЬЦА 34 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14 3.15 Понятие кольца 34 Гомоморфизмы колец 36 Частные 36 Предварительные сведения о полиномах... 37 Идеалы и классы вычетов 38 Делимость идеалов 41 Евклидовы кольца и кольца главных идеалов 42 Разложение на множители 43 Кольцо эндоморфизмов модуля. Модули над кольцами 45 Свойства полиномов , 46 Производная и кратные корни 46 Симметрические функции 47 Разложение на множители полиномов от нескольких переменных 48 Полукольца и решетки 50 Кольцо полиномов Жегалкина 51 3.15.1. Полиномы Жегалкина 51 3.15.2. Разложение на множители в кольце G„ 53 3.15.3. Симметрические функции кольца G„ 54 3.15.4. Кольцо дифференциальных операторов кольца G„ 54 3.15.5. Эндоморфизмы кольца G„ 55 Упражнения к главе 3 56 Литература к главе 3 57 ГЛАВА 4. ПОЛЯ 58 4.1. 4.2. 4.3. Общие сведения о полях. Простые поля 58 Расширения полей 59 4.2.1. Простые расширения 60 4.2.2. Конечные расширения 62 4.2.3. Целые элементы поля 64 Конечные поля 65 4.3.1. Строение конечных полей 65 4.4. 4.5. 4.6. 4.7. 4.8. 4.3.2. Автоморфизмы конечных полей 67 4.3.3. Норма и след в конечных полях 69 Элементы теории Галуа 70 Поля деления круга 72 Дискретное преобразование Фурье 73 Нормирования 74 Пополнения поля Q ир-адические числа ...75 Упражнения к главе 4 77 Литература к главе 4 78 ГЛАВА 5. СВЕДЕНИЯ ИЗ ТЕОРИИ ЧИСЕЛ....79 5.1. 5.2. 5.3. 5.4. Однозначное разложение на множители в кольце Z 79 Некоторые числовые функции 79 Кольцо Ж/пЖ 81 Квадратичные и кубические вычеты. 5.5. 5.6. Квадратичный закон взаимности 83 Суммы Гаусса и Якоби 87 Квадратичные числа и квадратичные формы 89 5.7. 5.6.1. Кольцо целых квадратичных чисел 89 Идеалы квадратичных порядков 91 5-6.3- Квадратичные формы 93 т^лгебраические числа 95 5.6.2. Упражнения к главе 5 -98 Литература к главе 5 98 ГЛАВА 6. ЭЛЕМЕНТЫ АЛГЕБРАИЧЕСКОЙ ГЕОМЕТРИИ. ЭЛЛИПТИЧЕСКИЕ КРИВЫЕ ...99 6.1. 6.2. Аффинные алгебраические многообразия ...99 Проективная плоскость и проективное пространство 100
475 6.3. Сложение точек на конике 102 6.4. Кубические кривые. Закон сложения 102 6.5. Особые и неособые кубики 105 6.6. Касательные и точки перегиба алгебраической кривой 106 6.7. Нормальные формы эллиптической кривой 107 6.8. Группа неособых точек кубики 108 6.9. Невозможность рациональной параметризации эллиптической кривой 109 6.10. Параметризация эллиптической кривой с помощью эллиптических функций 110 6.10.1. Эллиптические функции ПО 6.10.2. Функция Вейерштрасса 112 6.10.3. Параметризация эллиптической кривой над полем С 113 6.11. Дискриминант иу-инвариант 115 6.12. Закон сложения точек эллиптической кривой 115 6.13. Эллиптические кривые над числовыми полями 117 6.14. Изоморфизмы и эндоморфизмы эллиптических кривых 119 6.14.L Изоморфизмы над полями характеристики, отличной от 2 и 3 „ 119 6Л4.2. Изоморфизмы над полями характеристики 3 120 6.14.3. Изоморфизмы надполями характеристики 2 121 6.14.4. Бирациональный изоморфизм кривых 121 6.14.5. Эндоморфизмы эллиптических кривых 123 6.14.6. Изоморфизмы эллиптических кривых над алгебраически незамкнутым полем 124 6.15. Отображения алгебраических кривых 128 6.15.1, Регулярные функции и отображения 128 6.15.2, Рациональные функции и рациональные отображения 130 6.15.3, Проективные кривые 131 6.15.4, Изогении эллиптических кривых 132 6.15.5, Полиномы Жегалкина как функции на поверхности единичного куба 133 6.16. Дивизоры на алгебраических кривых 134 6.16Л, Локальное кольцо точки и нормирование 134 6Л6.2, Дивизоры 135 6Л6.3. Спаривание Вейля 137 6.17. Эллиптические кривые над конечными полями 139 6Л8. Гиперэллиптические кривые 141 6.18Л. Функции на кривых 6.18.2. Якобиан Упражнения к главе 6 148 Литература к главе 6 149 ГЛАВА 7. ВЫЧИСЛИТЕЛЬНЫЕ АЛГОРИТМЫ АЛГЕБРЫ И ТЕОРИИ ЧИСЕЛ 151 7Л. Алгоритмы умножения 151 7.LL Алгоритм умножения Карацубы-Офмана 151 7Л.2. Умножение в классах вычетов 151 7Л.З. Умножение с помошью быстрого преобразования Фурье 153 7.1.4. Модульное умножение. Метод Монтгомери 155 7Л.5. Деление 157 7.2. Алгоритмы обращения и вычисления наибольшего общего делителя 158 7.3. Минимизация базиса решетки 160 7.4. Разложение над конечным полем полиномов от одной переменной 161 7.5. Извлечение квадратных и кубических корней в конечном поле 161 7.5.1. Извлечение квадратного корня в случае д = Ъ (mod 4) 162 7.5.2. Извлечение квадратного корня в случае q-^5 (mod 8), ^ 9 (mod 16) 162 7.5.3. Извлечение квадратного корня в общем случае для нечетного q 163 7.5.4. Извлечение квадратного корня в случае четного q 163 7.5.5. Решение квадратного уравнения 163 7.5.6. Извлечение кубического корня в конечном поле 164 7.6. Вычисление символа Якоби 165 7.7. Проверка чисел и полиномов на простоту 165 7.8. Разложение чисел в мнимом квадратичном порядке Z[V- D] 166 7.9. Приведение числа по модулю решетки 169 7.10. Умножение точки эллиптической кривой на число 171 7.11. Вычисление функции Вейля 172 7.12. Сложение элементов якобиана гиперэллиптической кривой 173 7ЛЗ. Арифметика группы классов мнимых квадратичных порядков 174 Упражнения к главе 7 175 Литература к главе 7 176 ГЛАВА 8. КРИПТОГРАФИЯ И ЗАЩИТА ИНФОРМАЦИИ 177 8.1. Основные понятия защиты информации.... 178 8.2. Исчисление атак 181 8.2.1. Упорядоченность моделей нарушителя и безопасных систем ... 181 8.2.2. Множества возможностей нарушителя 182 8.2.3. Тривиальная модель нарушителя.... 184 8.2.4. Нетривиальная модель нарушителя 186 8.2.5. Место 1фиптографии в защите информации 188
476 8.3. Основные понятия и определения криптографической защиты данных 189 8.3.1, Криптографические примитивы 189 8.3.2, Хэш-функция 190 8.3-3. Шифр 191 8.3.4. Понятие стойкости криптографических алгоритмов 191 8.4. Шифрование 192 8.4.1. Симметричное и несимметричное шифрование 193 8.4.2. Способы шифрования 194 8.5. Аутентификация 195 8.5.1. Опознавание 197 8.5.2. Контроль целостности и подлинности данных 198 8.6. Управление ключами 198 8.7. Задачи, положенные в основу безопасности криптофафических алгоритмов 199 Упражнения к главе 8 201 Литература к главе 8 202 ГЛАВА 9. СИСТЕМА RSA И ЗАДАЧА РАЗЛОЖЕНИЯ 203 9.1. Безопасность системы RSA и задача разложения на множители 203 9.2. Детерминированные методы разложения.. 204 9.2.1. Метод пробного деления 204 9.2.2. Метод «giant step — baby step» 205 9.2.3. Метод Ферма 205 9.2.4. Метод диофантовой аппроксимации 206 9.3. Вероятностные методы разложения 207 9.3 Л. р-метод Полларда (метод «Монте-Карло») 207 9.3.2. Метод непрерывных дробей 207 9.3.3. Метод квадратичного решета 209 9.3.4. (/7- 1)-метод 210 9.3.5. Разложение на эллиптической кривой 210 9.3.6. Разложение на квантовом компьютере 212 9.4. Атаки на систему RSA, не треб^тощие разложения 213 9.4.1. Случай малого секретного показателя 213 9.4.2. Случаи специальных открытых показателей 214 9.4.3. Атаки на основе эндоморфизмов.... 215 Упражнения к главе 9 216 Литература к главе 9 217 ГЛАВА 10. ДИСКРЕТНОЕ ЛОГАРИФМИРОВАНИЕ В КОНЕЧНОМ ПОЛЕ И СМЕЖНЫЕ ЗАДАЧИ 218 10.1. Метод базы разложения 218 10.2. Логарифмирование в простом поле методом решета числового поля 222 10.2.1. Подготовительные теоретико-числовые результаты 222 10,2,2, Метод решета числового поля 223 10.3. Логарифмирование врасширенном поле 227 10.4. Группа классов мнимого квадратичного порядка 228 10.5. Логарифмирование в группе функций Лукаша 229 10.6. Связь между задачами Диффи-Хеллмана и дискретного логарифмирования 229 Упражнения к главе 10 230 Литература к главе 10 231 ГЛАВА 11. ЗАДАЧА ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ ^ НА ЭЛЛИПТИЧЕСКОЙ КРИВОЙ 233 11.1. Универсальные методы логарифмирования 233 11.1.1. Метод Гельфонда 233 11.1.2. Методы встречи посередине и «giant step — baby step» 234 11.1.3. Метод Полларда 235 11.1.4. Метод встречи на случайном дереве 235 11.1.5. Сравнение сложности логарифмирования на эллиптической кривой и в конечном поле 238 11.1.6. Логарифмирование с помощью квантового компьютера 239 П.2. Влияние комплексного умножения на сложность логарифмирования 240 11.3. Логарифмирование с использованием функции Вейля 241 11.4. Другие задачи, связанные с логарифмированием 243 11.5. Время жизни параметров криптосистемы, основанной на дискретном логарифмировании 246 11.5.1. Мультипликативная группа ноля....247 11.5.2. Группа точек эллиптической кривой 247 11.6. Логарифмирование в якобиане гиперэллиптической кривой 248 11.7. Требования к эллиптической кривой 249 Упражнения к главе 11 250 Литература к главе 11 251 ГЛАВА 12. ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ 252 12.1. Шифрование с открытым ключом для группы вычислимого порядка 252 12.1.1. Бесключевое шифрование Месси-Омуры 253 12.1.2. Протокол Эль-Гамаля шифрования с открытым ключом 254 12.2. Шифрование с открытым ключом для фуппы трудновычислимого порядка...255 12.2.1. Протокол шифрования Рабина 256 12.2.2. Вероятностное шифрование 256 12.3. Ранцевые алгоритмы шифрования с открытым ключом 258
477 12.4. Генераторы псевдослучайной последовательности 260 Упражнения к главе 12 261 Литература к главе 12 262 ГЛАВА 13. ЦИФРОВАЯ ПОДПИСЬ 263 13.1. Поддись на группе трудновычислимо го порядка 263 13.1.1. Схема подписи RSA 264 13.1.2. Схема подписи Рабина 264 13.1.3. Схема подписи Фиата-Шамира 265 13.2. Подпись на группе вычислимого порядка 265 13.2.1. Схема подписи Эль-Гамаля 265 13.2.2. Схема подписи Шнорра 267 13.2.3. ГОСТ Р 34.10-94 и DSS 268 13.3. Сравнительный анализ представленных схем подписи 269 13.4. Скрытый канал 270 13.5. Другие схемы подписи 271 13.5.1. Схема «неоспоримой» подписи 271 13.5.2. Схема подписи «вслепую». Электронные платежи 273 13.5.3. Схема подписи с восстановлением сообщения 274 13.5.4. Инкрементальная подпись 274 Упражнения к главе 13 275 Литература к главе 13 276 ГЛАВА 14. ДРУГИЕ КРИПТОГРАФИЧЕСКИЕ ПРОТОКОЛЫ 278 14.1. Схемы предъявления битов 278 14.2. Диалоговые доказательства с нулевым разглашением 279 14.2.1. Доказательство знания изоморфизма графов 279 14.2.2. Доказательство знания разложения составного числа 280 14.2.3. Доказательство знания дискретного логарифма 281 14.2.4. Доказательство правильности выбора составного числа 281 14.3. Бездиалоговые доказательства с нулевым разглашением 283 14.4. Передача информации со стиранием 285 14.5. Разделение секрета 287 14.6. Протоколы управления ключами 288 14.6.1. Установление ключа на основе сршметричных методов 289 14.6.2. Доставка ключа 290 14.7. Временная метка 291 14.7.1. Централизованная реализация временной метки 291 14.7.2. Децентрализованная реализация временной метки 292 Упражнения к главе 14 293 Литература к главе 14 293 ГЛАВА 15. КРИПТОСИСТЕМЫ НА ЭЛЛИПТИЧЕСКИХ И ГИПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ 294 15.1. Расчет числа точек эллиптической кривой в общем случае 294 15.1.1. Предварительные сведения 295 15.1.2. Полиномы деления 296 15.1.3. Алгоритм Чуфа 297 15.2. Расчет числа точек эллиптической кривой над расширенным полем 299 15.3. Расчет числа точек эллиптических кривых С7 = 0, 1728 над простыми полями 301 15.3.1. Кривая/= х^ +В 301 15.3.2. Кривая / - х^ + Лх 303 15.4. Эллиптические кривые с комплексным умножением 305 15.4.1. Генерация эллиптических кривых с комплексным умножением 306 15.4.2. Влияние комплексного умножения на скорость вычислений 308 15.5. Эллиптические кривые над расширенными полями специальных характеристик 311 15.6. Протоколы на эллиптических кривых 314 15.6.1. Встраивание открытого текста в координату точки 314 15.6.2. Аналог криптосистемы RSA 315 15.6.3. Установление сеансового ключа 316 15.6.4. Шифрование 317 15.6.5. Цифровая подпись 318 15.6.6. Опознавание, канал со стиранием и доказательства с нулевым разглашением 321 15.6.7. Вычислимая в одну сторону функция, свободная от коллизий 324 15.6.8. Генераторы псевдослучайной последовательности 325 15.6.9. Протоколы для электронных платежей 326 15.7. Криптосистемы на гиперэллиптических кривых 329 15.8. Криптосистемы на изогениях эллиптических кривых 331 15.8.1. Задача вычисления изогении и квантовый компьютер 331 15.8.2. Криптографические протоколы на изогенных кривых 332 Упражнения к главе 15 334 Литература к главе 15 335 ГЛАВА 16. ОБЩИЕ СВЕДЕНИЯ ОБ ИТЕРИРОВАННЫХ КРИПТОАЛГОРИТМАХ 336 16.1. Основные понятия классической криптографии 336 16.2. Некоторые положения теории секретности Шеннона 336 16.2.1. Объем текстов, однозначно огфеделяющих ключ 339 16.2.2. Теория аутентификации Симмонса.... 340 16.3. Булевы функции и булевы формулы 340
478 16.4. Аффинно эквивалентные булевы функции и подстановки 342 16.5. Задача вскрытия ключа и математические задачи 344 16.5.1. Задача вскрытия ключа и NP-полные задачи 345 16.5.2. Задача о выполнимости 345 16.6. Требования к шифрам 347 16.7. Шифры замены и перестановки 350 16.7.1. Моноалфавитная замена 350 16.7.2. Полиалфавитная замена 351 16.8. Операторы, используемые при построении блочных шифров 353 16.9. Описание итерированных шифров в терминах булевых функщтй 356 Упражнения к главе 16 357 Литература к главе 16 358 ГЛАВА 17. АЛГЕБРАИЧЕСКИЕ МЕТОДЫ КРИПТОАНАЛИЗА 359 17.1. Метод обобщения и редукции. Метод гомоморфизмов 359 17.2. Замкнутые и чистые шифры 360 17.2.1. Вскрытие ключей замкнутых и чистых шифров 360 17.2.2. Проверка шифра на замкнутость и чистоту 361 17.3. Решеточный криптоанализ 362 17.3.1. Решеточно продолженные булевы функции и решеточные полиномы .. 362 17.3.2. Метод криптоанализа 365 17.4. Метод арифметического продолжения булевых футякций 369 17.5. Анализ шифров с малым порядком нелинейности 375 17.6. Криптоанализ на основе рационального продолжения полиномов Жегалкина 377 17.6.1. Теоретические основы 377 17.6.2. Метод криптоанализа 379 17.7. Криптоанализ на основе 2-адического продолжения полиномов Жегалкина 383 17.7.1. Теоретические основы 383 17.7.2. Метод криптоанализа 384 17.8. Максимизация числа совпавших разрядов промежуточных текстов 385 17.9. Анализ с использованием сжимаюш[их гомоморфизмов 386 17.10. Поиск коллизий хэш-функции 388 17.11. Компромисс время/память 389 17.12. Сочетание перебора и вычисления ключа... 390 17.13. Отбраковка классов ключей 391 17.14. Задачи, к которым сводится задача вскрытия ключа 392 17.15. Вскрытие ключа на квантовом компьютере 393 Угфажнения к главе 17 394 Литература к главе 17 395 ГЛАВА 18. СТАТИСТИЧЕСКИЕ МЕТОДЫ КРИПТОАНАЛИЗА 396 18.1. Некоторые определения 396 18.2. Дифференциальный криптоанализ 397 18.2.1. Конечные разности 397 18.2.2. Метод криптоанализа 398 18.2.3. Анализ с помощью усеченных диффере нимало в 405 18.2.4. Анализ с помощью дифференциалов высших порядков 406 18.2.5. Атака «бумеранг» 406 18.3. Криптоанализ на основе списка ключей и связанных ключей 407 18.4. Линейный криптоанализ 408 18.5. Анализ степенных шифров методом сдвига 416 18.6. Генерация экстремальных подстановок для шифров 418 18.6.1. Экстремальные подстановки 418 18.6.2. Булевы функции для экстремальных подстановок 419 18.6.3. Примеры экстремальных подстановок 420 Упражнения к главе 18 422 Литература к главе 18 423 ГЛАВА 19- ПРИМЕНЕНИЕ ИТЕРИРОВАННЫХ ШИФРОВ И ХЭШ-ФУНКЦИЙ 425 19.1. Режимы шифрования 425 19.1.1. Режим простой замены 425 19.1.2. Режим гаммирования 425 19.1.3. Режим гаммирования с обратной связью 426 19.1.4. Режим сцепления блоков. Выработка имитовставки 426 19.2. Некоторые вопросы применения шифров 427 19.3. DES 429 19.4. FEAL 431 19.5. IDEA 432 19.6. ГОСТ 28147-89 433 19.6.1. Стойкость шифра ГОСТ 28147-89 ....435 19.6.2. Стойкость шифра ГОСТ 28147-89 при наличии у нарушителя лабораторных возможностей 435 19.7. RC5 436 19.8. Blowfish 438 19.9. SAFER 439 19.10. RIJ14DAEL(AES) 440 19.11. MD5 441 19.12. ГОСТ Р 34.11-94 442 Упражнения к главе 19 444 Литература к главе 19 445 ОТВЕТЫ И УКАЗАНИЯ К УПРАЖНЕНИЯМ 447 ПРИЛОЖЕНИЕ. ЭЛЛИПТИЧЕСКИЕ КРИВЫЕ Д]ЮСГАНДАРТА ПОДПИСИ ГОСТ Р341(>-2001 ...452 УКАЗАТЕЛЬ 464
,*? ■^r,^^- ВВЕДЕНИЕ последние годы в России и за рубежом поя- называют криптофафией дилетантьг). Криптогра криптографии, фические алгоритмы — нематериальные объекты БИЛОСЬ множество издании по Большинство книг носит прикладной характер и слабо связанные с окружающим физическим ми ориентировано на применение готовых крипто- ром, а методы их анализа и вовсе относятся к «ми графических алгоритмов. Вопросам безопасности ру идей». Поэтому в криптоанализе часто исполь- криптографических алгоритмов и теоретическим зуются разделы математики, не имеющие прямого основам криптографии в этих книгах уделяется отношения к описанию физической реальности и недостаточное внимание. В настоящем издании относящиеся к области алгебры, теории чисел и алгебраической геометрии. Поскольку в россий- Как и другим наукам из области информаци- ских технических вузах этим дисциплинам тради- онного противоборства, криптографии присущи ционно уделяется явно недостаточное внимание. предпринята попытка восполнить этот пробел. два направления: защита и нападение. Первое на- главы содержат необходимые результаты из правление представлено собственно криптогра- этих областей математики (множества и алгорит- фией, второе — криптоанализом. За рубежом эти мъг, группы, кольца, поля, алгебраические числа, направления объединяют термином «криптоло- эллиптические кривые). В главе 7 рассматриваются гия». Авторы придерживаются мнения, что разде- вычислительные методы алгебры и теории чисел, ление криптографии на две различных дисципли- которые могуг быть использованы при разработке ны неправильно. Это разделение служит «обосно- и анализе криптографических алгоритмов. •Т4 нием» появления множества слабых криптогра фических алгоритмов— ведь анализом их безо Быстрое развитие криптографии приводит к расширению ее предметной области и росту числа методов исследования. Принято различать пасности занимается другая наука. Такая позиция разработчиков криптоалгоритмов представляется криптографию с открытым ключом (несиммет- безответственной. Представьте себе инженера- ричную) и криптографию с секретным ключом строителя. который заявляет: «Я спроектировал (симметричную). По-видимому, такое разделе мост, но простоит ли он десять лет, я не знаю, так ние обусловлено не тем, является ключ откры как не умею рассчитывать прочность мостов». тым или секретным. а типом математической Интеграция России в международное сообще- задачи. положенной в основу безопасности соот ство ведет к росту популярности зарубежных ветствующих криптоалгоритмов, и, следователь криптографических алгоритмов. Если разработ- но, методами решения этой задачи, чик информационной системы не хочет пола- Дня криптографии с открытым ключом харак- гаться на мнение экспертов, он должен составить терны «нерукотворные» задачи, сформулированные для хорошо исследованных алгебраических crpj^ic- собственное мнение о безопасности тех или иных криптосистем. Для этого он должен отве- тур (групп, колец, категорий). Вряд ли кто-либо тить себе на вопросы: каков уровень стойкости сможет утверждать, что задача разложения нату- данной криптосистемы и каким он ожидается в рального числа на множители создана (не сформу- будущем; чем именно обеспечивается стойкость лирована, а именно создана) человеком, поскольку и чем обусловлена уязвимость криптосистемы по натуральные числа «существуют» независимо от отношению к данному методу анализа, и каким человека. То же можно сказать и о задаче дискрет- образом криптосистему можно усилить. Данная ного логарифмирования в циклической группе. Ме- книга ориентирована именно на такого читателя. тоды анализа таких задач используют алгебраиче Криптофафия — это в основном анализ крип- скую теорию соответствующих структур. тографических алгоритмов (а отнюдь не их про Главы 9-15 посвящены вопросам криптогра граммно-аппаратная реализация, которую часто фии с открытым ключом. Безопасность соответствующих криптографических алгоритмов основана 1 тт /г на сложности решения массовых математических задач, число которых быстро растет. Систематизация этих задач по степени их общности, начиная с унифицированных задач (определение структу- Некоторым оправданием для разработчиков является то, что методы криптоанализа часто не публикуются, так как по сути являются информационным оружием.
ры и порядка конечной группы, вычисление дис Поэтому ^ изучение конкретных компьютер ных систем или используемых в них шифров не кретного лог^эифма в циклической группе вычислимого порядка, вычисление категорного избежно носит оттенок «сиюминутности». Пей морфизма) позволяет упорядочить методы их решения. Поэтому сначала подробно рассматриваются методы решения этих задач (универсальные, применимые к любым математическим структу- , и специальные, применимые к конкретным ствительно глубокие фундаментальные знания в области криптографии дает изучение методов криптоанализа. Вряд ли возможно в одной книге разобрать все известные варианты атак на криптоалгоритмы. Задача осложняется тем, что атаки постоян- рам, алгебраическим структурам), в том числе на кван товом компьютере, а затем — собственно крипто графические алгоритмы и протоколы, построен ные на указанных задачах. Рассматриваются спо собы противодействия квантовому компьютеру. Большое внимание уделено вопросам проекти рования криптосистем на эллиптических кривых: перечень методов, рассмотренных в книге, ко- выбору кривой, разработке быстрых вычислитель- нечно, не полон, и заинтересованный читатель может испытать себя в разработке новых мето- — решение увлекательных головоломок). Для уяснения механизмов крип- но совершенствуются, а оценки стойкости шифров снижаются. Кроме того, авторы далеки от мысли, что в открытой печати публикуются все разработанные методы криптоанализа. Поэтому стой ных алгоритмов, анализу и прогнозированию кости, построению криптографических протоколов. дов (взлом шифров Методы решения математических задач и проектирования криптосистем поясняются мно гочисленными примерами, позволяющими луч тоанализа большинство указанных методов со ше уяснить теоретический материал. главах 16-19 рассматриваются вопросы анализа и проектирования итерированных шифров. провождается примерами. Данная книга обобщает криптографическую серию издательства «Мир и Семья» (Ростов Симметричные шифры и хэш-функции имеют цев А.Г. Алгебраические основы криптографии. ву безопасности, каждый конкретных уторов, а задача, положенная в осно- раз уникальна. Про алгебраические свойства таких криптоалгоритмов обычно ничего определенного сказать нельзя, по СПб 5 2000; Ростовцев А.Г.. Маховенко Е.Б. Вве дение в криптографию с открытым ключом. СПб., 2001; Ростовцев А.Г., Маховенко Е.Б. Вве дение в теорию итерированных шифров. СПб. 5 этому их анализ часто представляет собой «набор 2003). Это издание включает в себя материалы трюков» и относится скорее к области искусства, курсов лекций, читаемых авторами в Санкт- чем науки. Это обстоятельство открывает возмож- Петербургском государственном политехниче- ности для изобретения новых методов и приемов ском университете на кафедре «Информацион- криптоанализа По-видимому, некоторые симметричные шифры можно считать стойкими лишь постольку, поскольку не найдены способы их взлома. ная безопасность компьютерных систем» по Обычно симметричные шифры и хэш функции строятся на основе циклической композиции отображений, описываемых несложными наборами булевых функций. Такие криптоалгоритмы будем называть итерированными. Сюда относятся шифры и хэш-функции DES, FEAL IDEA, ГОСТ 28147-89, дисциплинам «Теоретико-числовые методы в криптографии», «Основы алгебры и теории чисел», «Элементы алгебраической геометрии» «Криптографические методы защиты информа ции», «Теория итерированных шифров». 5 14 Книга содержит 19 глав. Главы 16. ? 10 12 5 18 написаны А-Г, Ростовцевым, главы 3 Blowfish 5 RIJNDAEL 5 ГОСТ Р 34.11-94 MD5 и т. п. 9, 13, 15, 17^ 19 написаны совместно А.Г товцевым и Е.Б. Маховенко. Рос Итерированные криптоалгоритмы, исполь зуюш;иеся в компьютерных системах, а также методы их анализа можно охарактеризовать сро- конце глав приведены упражнения, позво ляюш;ие закрепить теоретические сведения. Не которые упражнения предполагают использова ком их жизни; ние стандартных математических пакетов Методы криптоанализа Криптоалгоритмы Компьютерные системы (Maple, Mathematica). Упражнения, помеченные символом * , носят исследовательский характер Для более глубокого изучения материала заинте Число Единицы Время жизни десятки Практически не ограни чено Десятки сотни Сотни тысячи Десятки Несколько лет лет ресованный читатель может обратиться к источникам, указанным в списке литературы. приложении приведены п^эаметры криптосистем на эллиптических кривых для реализации электронной цифровой подписи по стандарту ГОСТ Р 34.10-2001.
ОБОЗНАЧЕНИЯ (а) ментом а: циклическая группа, образованная эле (а) тома ? к, к К[х1 главный идеал, образованный элемен- полем К,, поле и его алгебраическое замыкание; №ь. ? X п кольца полиномов над аффинное координатное кольцо ал состояние квантового бита, квантового гебраической кривой С над полем К., регистра; а поле рациональных функций алгеб К{С) присвоение переменной а значения fe; раической кривой С над полем К\ ? 5S, £, ... — идеалы ? а, Ь,с А\В 7 .. —векторы; разность множеств А и В; А@В—прямая сумма колец или модулей А и В; а® b — сумма по модулю 2; а делит b (b делится на а); — изоморфизм алгебраических струк- а 1 2 тур (групп, полугрупп, колец, полей и т. п.); 2 (К) аффинная плоскость над полем К; символ Лежандра (>1коби); а л J биномиальный коэффициент; аН левый смежный класс по подгруппе Н; множество (поле) комплексных чисел; char(j^ С1(0;, характеристика поля К; группа классов идеалов квадратич ного порядка 0^; Div(C) группа дивизоров на алгебраиче ской кривой С; divOO дивизор функции/на алгебраической кривой; Е/К — эллиптическая кривая, заданная урав пением с коэффициентами из поля К; — эллиптическая кривая, рассматривае Е(Ю- мая над полем К; End(M) — кольцо эндоморфизмов модуля М; Fp, F, конечные поля из или из и элементов, где р простое число; g(X, v|/) — сумма Гаусса для мультипликатив ного хшэактера у и аддитивного характера ш; Gal(Z/K) группа Галуа расширения L/K; п 2 [л:ь ? ^:J/ta(l ©XiX ---^х п @х П КОЛЬЦО полиномов Жегалкина; G/H факторгруппа группы G по нормаль ной подгруппе Я; На — ЯЕ)- J(C)- правый смежный класс по подгруппе щ -инвариант эллиптической кривой Е\ якобиан алгебраической кривой С; сумма Якоби для характеров у. К(х) ? К{х, V) ПОЛЯ рациональных функций над полем К. L/K (L:K) /7 (c;v) расширение L поля К; степень расширения L над К; 0(ехр(с(1п77П1п1п77)^ субэкс поненциальная функция сложности; #М ш- мощность множества М; максимальный идеал; р максимальный идеал локального коль ца Ор: NOix, у) Лх, у) D — ЧИСЛО решении уравнения О над конечным полем; - квадратичный порядок дискриминанта Д F локальное кольцо точки Р алгебраиче ского множества, состояш,ее из функций лярных в точке Р; 5 регу 1 (К), (К) проективная прямая, проек тивная плоскость над полем К: р простои идеал; поле рациональных чисел; поле р-адических чисел; Q[a] числовое поле, полученное присоеди пением к полю Q алгебраического числа а; R * поле веш,ественных чисел; множество обратимых элементов кольца R; RM кольцо классов вычетов кольца по идеалу 21; гет(Н) — булевой функции Н; удаление решеточно продолженной val(/0 значение адического нормирова ния целевой функции Н; SL2(Z) Тг(х) — модулярная группа; след элемента х: X целая часть положительного числа х (наибольшее целое число, не превосходящее х); р кольцо целых рациональных чисел; кольцо целых /7-адических чисел; дискриминант эллиптической кривой; характер абелевой группы; т * композихщя отображений g и для координатных колец
Глава 1. МНОЖЕСТВА, АЛГОРИТМЫ, СЛУЧАЙНЫЕ ОТОБРАЖЕНИЯ 1.1. Сведения из теории множеств Множество совокупность объектов а (элементов множества), обладающих неко торым общим свойством. Элементами множества торого универсального множества могут быть другие множества, однако говорить о определить тами В. Симметрическая разность определяется какA~B~{A\B)kj{B\A). Нетрудно видеть, что . Если все рассматриваемые множества А\^ ^2? ••• являются подмножествами некото можно , как раз- дополяеяие множества обо множестве всех множеств нельзя [2]. Множество, состоящее из элементов а,, значается {а,}. Пустое множество 0 не содержит ни одного элемента. Равные множества состоят из одних и тех же элементов. Если каждый элемент ность U\Ai. Декартовым произведением множеств А\^ ...,А п называется множество 1 X ... X /х iij состоящее из упорядоченных наборов {(йь ..., а^)}, где а I I Декартово произведение X ... X >4 называется множества А является элементом множества Д тх) декартовой степенью и обозначается А\ называется подмножес1пвом множества 5, обозначается А^В. Если при этом А^В, то говорят кому-либо что является собственн ым подмножеством м ножества з5, то 1 обозначается Если и Если каждому элементу а множества А по ка правилу сопоставляется единствен ный объект ф(й:), то это сопоставление называет ся функщей H2iA. Если все объекты ф(й:) принад В. Множество всех подмножеств лежат некоторому множеству 5, то сопоставле да1ШОго множества обозначается Р{А), Если ние а -> ф(й:) называется отображ'ением А в и {а, fe,c}, то Р(А)= {{0},{а}, {Ь}, {с}, {а, Ь}, обозначается ф: л -^5. Элемент (р(а) называется {а,с}, {Ь,с}, {а,Ь,с}}. образом элемента а, элемент а называется про цгш, сопоставляющие каждой элементов образ единственный, но для данного образа про На множествах определены бинарные опера- образом элемента ц>(а). Для данного прообраза паре множества элемент этого же множества. Множе- образ в общем случае единственным не является замкнуто относительно бинарной опера- Совокупность всех прообразов элемента ip(a) на ство ции *, если а * операция * называется: для всех а, о е А. Бинарная зывается полным прообразом. Совокупность всех прообразов отображения называется областью коммутативной, если а А; * * а для всех а, определения отображения, совокупность всех а * * * ассоциативной, если для всех а,Ь,се A-J дистрибутивной (относительно операции для всех а *с образов — областью значений. Ограничением отображения ф: А жество на мно 5 * если а * с е А. Объединением множеств * э называется такое отображение , что ф(х) = v|/(x) для всех х е заданное на Продолоюением отображения ф: ^ -> 5 на множе ство называется такое отображение и за называется множество Avj В, состоящее из тех элементов. которые являются элементами или Пересе данное на С, что ф(х) = \|/(х) для всех х ^ А (при этом области значений ф и ш могут различаться). чением множеств и называется множество АглВ, состоящее из элементов, которые являют ся элементами А и В. Бинарные операции объединения и пересечения коммутативны и ассоциативны, каждая из них дистрибутивна одна отно- Пример отображений. . Пусть 1.1.1 Ограничение и продолжение М множество целых чисел. М множество положительных сительно другой. Разность множеств А\В чисел и ф: М М простых отображение, ставящее в определяется как множество элементов А, не являющихся элемен соответствие каждому целому числу количество его положительных делителей, отличных от еди- . То- 1 Ассоциативность означает, что в выражении ницы. Например, ф(2) гда ограничением Ф(^) Ф(4) 2, Ф(6) на будет отображение так как каждое простое число имеет ^\ * а? * * а^, скобки можно расставлять произволь- единственный неединичный положительный де но, при этом значение выражения не изменится. литель.
Пусть М множество положительных Бияаряым отногиеяием на множестве А явля простых чисел, А — множество положительных ется любое подмножество R множества^ х А. отображение, ставя целых чисел и ф: М щее в соответствие каждому элементу из Мчис- дующими свойствами: Бинарные отношения могут обладать еле ло I. Продолжения отображения лены неоднозначно. Например: на опреде равно числу положительных простых делителей числа а: Ф(а) если а простое 5 ф(а) если а составное. симметричность: если aRb^ то bRa; антисимметричность: если а oRb и bRa, то рефлексивность: aRa; транзитивность: если aRb и bRc, то aRc. Симметричное, рефлексивное и транзитивное отношение R называется эквивалентностью. Отображение называется инъектив ным, если из а^Ь следует ц>(а)^ц>(Ь). Отобра жение называется сюръективным^ или отображением А на В, если каледый элемент из имеет хотя бы один прообраз из А. Инъектив- ное и сюръективное отображение называется би~ отображения ш су- ективным. Для биективного ществует обратное отображение 1 такое, что если ц)(а) fe, ТОф (Ь) а. Если / А и g:B отображения, то их композигшя (или произведение) g/отображает в С и определяется как g(/(x)) для всех х е А. Композицию отображений удобно иллюстрировать диаграммами. Диаграмма называется коммутативной, если гично, диаграмма gf. Анало > > D называется коммутативной, если е/== FG [6]. Теорема 1.1.1. Композиция отображений множества в себя ассоциативна. Доказательство. Областью определения и областью значений таких отображений является данное множество А, поэтому композиция отображений определена корректно. Пусть/ g, /г — отображения множества А в себя и а Тогда ШЖа) = Ш\Ка)) =ЛяФ(аШ Agh){a) =AgKa)) =М{Кт- Пример 1.1.2. Эквивалентность Равенство целых чисел. 2. Подобие треугольников. на Бинарное отношение, определенное множестве плоских многоугольников (углы в 180° не допускаются), при котором эквивалентными являются многоугольники с одинаковым числом углов. Теорема 1.1.2. Бинарное отношение является эквивалентностью тогда и только тогда, когда оно разбивает множество, на котором оно определено, классы. на попарно непересекающиеся Доказательство. Пусть отношение является эквивалентностью. Объединим все элементы. эквивалентные данному элементу а, в один класс Ка. Элементы в этом классе попарно эквивалентны в силу транзитивности: если а ^ и а с, то ^ с. Кроме того, все элементы, эквивалентные какому-либо элементу класса, принадлежат этому же классу, что таюке следует из свойства транзитивности. Таким образом, каждый класс задается любым своим элементом: если а^ Ь, то Ка = Kf). Если построить сначала класс элементов, эквивалентных а, а затем класс элементов, эквивалентных , то эти два класса будут совпадать при а^ b и не будут пересекаться в противном случае. Действительно, если предположить, что а неэквивалентны и элемент с принадлежит и обоим классам Ка и Kh, то а-с и с то есть а — противоречие. Таким образом, эквивалентность разбивает множество на попарно непересекающиеся классы. Обратно, если задано разбиение множества на попарно непересекающиеся классы, определить отношение: а - то можно если а и лежат в одном классе. Это отношение симметрично. рефлексивно, транзитивно, то есть является эк вивалентностью. Антисимметричное, рефлексивное и транзи тивное бинарное отношение называется отно шением (частичного) порядка >. Если а>Ь и афЬ^то говорят, что а строго больше fe, и запи-
сывают а> b. Двойственное отношение порядка если a>Lrob<a. чаях получаем противоречие. Можно сказать. что свойство D не определяет никакого множе Указанное отношение в общем случае приме- ства. Но это значит, что не каледое точно описан нимо не ко всем элементам множества. Если это отношение применимо ко всем элементам. то множество называется лияеияо упорядоченным. Пример 1.1.3. Упорядоченные множества, . 1У1ножество (Z, <) целых чисел, упорядо ченных отношением «меньше или равно» (ли нейное упорядочение). . Множество (Р(М), е) всех подмножеств множества М, упорядоченных отношением теоретико-множественного включения (частичное упорядочение). Множество положительных целых чисел , в котором <а:| V» означает, что х делит у >п (частичное упорядочение). Мощностью множества называется число его элементов. Мощность множествам обозначается #М. Для множества подмножеств имеет место #Р(Щ Например, #0 но Справедливо неравен равенство Р(0) непусто и #Р(0) сгво #Р(М) > #М Два множества М и Nравномощны, если существует биективное отображение M<r^N. Конечные множества равномощны, если они состоят из одинакового числа элементов. Конечное множество не может быть равномощно собственному подмножеству. Для бесконечных множеств это неверно. Например, множество Z целых чисел равномощно собственному подмножеству 2Z чет- 2Z задается умно- ных чисел (отображение жением на 2). Множества, равномощные нату ральному ряду, назьшаются счетными. Мы придерживаемся так называемой «наив ной» теории множеств. Она характеризуется наличием парадоксов. Различают логические и семантические п^эадоксы. Логические парадоксы связаны непосредственно с аксиоматикой и определениями теории множеств. Парадокс Кантора. Существует ли множество всех множеств? одной стороны, это не запрещено. С другой стороны, если оно существует, то оно является элементом самого себя, то есть его мощность строго меньше самой себя, так как #Р(М)>#М. Это рассуждение можно считать доказательством того, всех множеств не существует. что множества Парадокс Рассела. Пусть для множества М выполняется свойство D тогда и только тогда, когда М€ М. Пусть множество элементов ное свойство определяет множество. Семантические парадоксы, в отличие от логических, включают в себя понятия «истина», «ложь», «определяет». Парадокс лэюеиа. Некто говорит: «Я лгу». Если он лжец, то он сказал правду. Если он солгал, то он не является лжецом. Парадокс Ришара. В русском языке существует конечное число букв. Следовательно, существует конечное число фраз, содержащих не более 150 букв. Поэтому с помощью таких фраз можно охарактеризовать лишь конечное множество натуральных чисел. Конечное множество натуральных чисел содержит наименьший элемент — наи- (см. также и 3.14). Рассмотрим фразу «к— меньшее из натуральных чисел, которые нельзя охарактеризовать никакой фразой русского языка. содержащей не более 150 букв». Она характеризует число к и содерашт менее 150 букв. Можно сказать, что эта фраза не определяет никакого натурального числа, но тогда возникает вопрос, по каким критериям можно определить, какие фразы определяют числа, а какие нет. Прилагательное, обладающее свойством, которое оно обозначает, назовем автологическим. Примеры автологических прилагательных: «трехсложный», «русский». Прилагательное, не обладающее свойством, которое оно обозначает, назовем гетерологическим. Примеры гетерологи- ческих прилагательных: «односложный», «красный», «горячий», «французский». Очевидно, что обла- не может одновременно прилагательное дать и не обладать свойством, которое оно обо значает. Попробуем определить тип прилагатель ного «гетерол огическое». Если предположить. что оно не обладает свойством, которое обозначает, то оно гетерологическое, то есть обладает этим свойством. Если предположить. что оно обладает свойством, которое обозначает, то оно обладает есть не является автологическим, то свойством, которое обозначает. Парадоксы встречаются при попытке приме нить некоторое суждение к самому себе. 1.2. Сведения из теории алгоритмов 1.2.1. Алгоритм и исчисление Под алгоритмом будем понимать корректно М, для которых выполняется свойство D. Какое определенный дискретный вычислительный свойство выполняется для Т: Т е Т или Т € Т? процесс, перерабатывающий входные данные в Если предположить, что Г е Г, то Г ^ Г, а если выходной результат за конечное число шагов. предположить, что Т € Т, то Т е обоих слу- Понятие алгоритма тесно связано с вычисли
#. тельной моделью, описывающей процесс пере- По с>ти дела, исчисление есть список «раз работки. Существуют различные вычислитель- решительных правил», называемых также novo ные модели, отражающие уровень развития тех- ждающими правилами. В отличие от алгоритма НИКИ, например, машина Тьюринга или специа- эти правила не предписывают, а разрешают пе- лизированный конечный автомат. реходить от одних конструктивных объектов к Будем различать детерминированные и веро- другим. Подобно тому как алгоритм задает алгоритми- ятностные алгоритмы. Детерминированный алгоритм всегда действует по одной и той же схеме ческий (или вычислительный) процесс, исчисле и гарантированно решает поставленную задачу ние задает исчислителъный (или пороэюдающий) (или не дает никакого ответа). Вероятностный процесс. Этот процесс разбивается на отдельные алгоритм использует генератор случайных чисел и дает не гарантированно точный ответ [17]. шаги, каждый из которых состоит в получении нового объекта из уже полученных к началу этого '^ :^\ :--:= шага объектов путем применения произвольного Пример 1.2.1. Алгоритмы. разрешительного правила. Объекты, к которым Детерминированным является алгоритм де- применяется правило, называются его посылками. При этом одно и то же правило, примененное к ления дробей: Если bed Ф О, то а с ad be , иначе ответа нет одной и той же посылке, может давать различные результаты. так как может применяться по Вероятностным является следующий алго : «Является ли чис разному. Например, правило хода пешки в шах ритм, отвечающий на вопрос пор простым?»: сгенерировать случайное число а 5 где <а<р проверить равенство а р 1 (mod р) Если матах может применяться к каждой пешке. Объекты, получающиеся в ходе работы исчисления, называются допустимыми. Допустимый объект определяется по индукции: если объ- объектов ект получается из допустимых оно выполняется, то число /?, вероятно, простое. Если оно не выполняется, то число/? составное. Для гарантированного ответа на вопрос, является ли число р длины 100 десятичных знаков простым, необходимо перебрать все числа а от до Однако, если нас устраивает ответ й],..., а^ с помощью разрешительного правила, то он является допустимым. Начало индукции определяется нульпосылочными правилами: если объект b удовлетворяет такому правилу (получается «из ничего»), то он допустим. В шахматах нульпосылочным является правило, задающее «Число р простое с вероятностью 0,9999», то начальное расположение фигур достаточны всего три успешных итерации I, алгоритма. Всякое исчисление работает с элементами не которого множества, называемого рабочей средой исчисления. Все состояния исчислительного Вероятностные алгоритмы в общем случае не процесса лежат в этом множестве. Работа исчис- менее эффективны, чем детерминированные (ее- ления состоит в образовании новых допустимых ли генератор случайных чисел всегда дает набор элементов (или допустимых состояний) рабочей одних и тех же чисел, возможно, зависящих от среды. Исчислительный процесс можно описать входных данных. то вероятностный алгоритм становится детерминированным). нуль посы л о чное деревом, корень которого — состояние, кансдая вершина соответствует допус современной логике наряду с понятием алгоритма существует столь же фундаментальное понятие исчисления (дедуктивной системы) [9]. Исчисление — тимому состоянию, ребра получению нового помощью разреши — способ задания множества пу тем указания исходных элементов и правил вы вода новых элементов из исходных или уже по допустимого состояния с тельных правил. Путь от корня до данной вер шины называется выводом для данного допусти мого состояния. строенных. Исчисление отражает и обобщает интуитивное представление об индуктивном порождении множества [8]. Примерами исчислений являются игры с четкими правилами (шахматы, преферанс и др.). Некоторые виды исчислений используются для задания алгебраических структур (например, теория колец строится из исход- формальных грамматик и задания множеств, распознаваемых конечными автоматами [8]. Исчисление можно рассматривать как инструмент не только образования множества допустимых состояний, но и преобразования начального состояния, являющегося входом исчисления. Это приводит к понятию исчисления со входом. ной системы аксиом), описания Пример 1.2.2, Исчисления. ^^ . Шахматная игра, заданная фиксированной начальной позицией, правилами ходов и целью игры. . Игра в преферанс, заданная случайной на- 2 Этот алгоргам реализует псевдопростой тест Ферма чальной позицией, правилами ходов и целью игры.
10 3. Дифференциальное исчисление (как и мно- лее общо. п 0(1) (полиномиальная сложность)^ гие другие разделы математики) строится дедук тивно из системы аксиом. Алгоритмы и исчисления жестко связаны [9]. и алгоритмы, сложность которых невозможно оценить полиномом. Алгоритмы полиномиальной сложности называют также эффективными. Такое разбиение алгоритмов позволяет ис Для каждого исчисления, порождающего пару пользовать их композицию. Если алгоритм (х,>'), существует алгоритм, для которого х явля- имеет полиномиальную сложность ется входом, а v — на данной выходом. 1.2.2. Сложность алгоритма Как правило, если задача имеет решение, то она может быть решена различными алгоритмами. При этом возникает вопрос сравнения алго- вычислительнои модели и алгоритм is содержит полиномиальное число шагов, на которых выполняется алгоритм А, то итоговая сложность алгоритма £/4 является полиномиальной. Типичный алгоритм, сложность которого не ритмов. Одной из основных характеристик качества алгоритма является его сложность. Для оп- которых ределения сложности алгоритма свяжем с каж- . назы- является полиномиальной, — перебор ключей шифра при известных открытых и зашифрован- классе алгоритмов, сложность ных текстах. не является полиномиальной, будем различать два подкласса: алгоритмы с экспонен- дои конкретной задачей некоторое число, ваемое ее размером^ которое выражало бы меру альные) циальнои сложностью алгоритмы е Dili) И С 0{\) (или экспоненци- субэкспоненгшальной количества входных данных. Например, для за- сложностью е^"^ <S<n ^^ (или субэкспоненци дачи умножения чисел размером может быть длина наибольшего из сомножителей, для задачи альные). К первому подклассу относится алгоритм «giant step— baby step» (см. п. 11.1.2) со умножения квадратных матриц матрицы. число строк сложностью 0(п fln2.1„. где п Время (число элементарных операций вычис- длина входа алгоритма в битах; ко второму под- — алгоритм разложения составного числа классу лительной модели), затрачиваемое алгоритмом как функция размера задачи, называется времен- длины п бит на множители (см. п. 9.3) со слож ной слоэюностью (или просто сложностью) этого алгоритма Значение этой сложности при неограниченном увеличении размера задачи называ- ностью е 0{4^пп) Будем называть функцию v=^/(xi, ...,х п вы ется асимптотической временной сложностью. Сложности вероятностных алгоритмов можно сравнивать, если вероятности получения правильного результата одинаковы. Иногда алгоритм требует хранения некоторых данных, полученных в ходе его работы. Объем памяти, требуемый для работы алгоритма при решении задачи данного размера, называется емкостной слоснсностью данного алгоритма. Соответствующим образом определяется и его асимптотическая емкостная сложность. Обычно на практике при оценке сложности ал- числимои^ если существует алгоритм полиномиальной сложности, ее вычисляющий. Если (наилучший известный) такой алгоритм имеет сложность выше полиномиальной, то функцию будем называть трудновычислимой. Для широкого класса вычислительных моделей оказывается справедливой полиномиальная эквива : если алгоритм решает задачу за поли лентность номиальное время на модели А., то существует ал горитм, который решает эту же задачу за полиномиальное время на модели В., и обратно. Это отношение разбивает множество вычислительных моделей на классы эквивалентности. В рамках горитмов пользуются именно асимптотической сложностью, которую определяют с помощью О- такого класса можно не различать вычислитель символики. Если алгоритм решает задачу за время не более си, где с остается ненулевой ограниченные модели, оперирующие с битами (умножитель битов), и модели, оперирующие со словами фикси- нои величиной при увеличении числа и, то говорят, что асимптотическая временная сложность алгоритма равна 0{п). Соответственно, произ рованнои длины и имеющие встроенные специали зированные вычислители (умножитель слов). Однако радикальная смена вычислительной вольная константа может быть записана как 0(1). модели может приводить к изменению понятия Для функций/и g одной переменной можно запи- вычислимости. Например, квантовый компьютер сать fin) = 0{g{n)\ если существует константа с (см. п. 1.3.2), обладая экспоненциально большим такая, что при неограниченном увеличении числа п выполняется неравенствоДи) < сфг). номиальной сложностью решать задачу разло Алгоритмы можно разбить на два класса: ал- жения составных чисел, тогда как для традици объемом виртуальной памяти, позволяет с поли горитмы, сложность S которых оценивается в символике некоторым полиномом от п или, бо- не известны. оннои вычислительной модели такие алгоритмы
// Как правило, на практике требуется, чтобы алгоритм решал не частную задачу (например. разложить на множители число 128 4. Задача о простом числе. Дано натуральное число п. Является ли оно простым? Сертифика- + 1), а широ- том для ответа «нет» является делитель числа п. кии класс частных задач (например, разложить Задача об изоморфизме графов. Даны два на множители число длины п бит или разложить графа с п вершинами. Можно ли перенумеровать на множители число вида 2" + с для малого цело- вершины первого графа так, чтобы получить го числа с). Это требование вытекает из естест- второй граф? Сертификатом для ответа «да» яв- венного желания разработчика алгоритмов при ляется перестановка вершин первого графа. Граф наиболее общий ре- можно задать квадратной матрицей размера п с минимуме затрат получить зультат. Такой класс частных задач будем назы- элементами из множества {О, 1}. Элемент а и вать массовой задачей или просто задачей. означает. что существует ребро, связывающее чу Будем говорить, что алгоритм А решает зада- вершину i с вершиной у; нулевой элемент означа если он решает каждую частную задачу из ет, что такого ребра не существует. . Задача о выполнимости булевой формулы класса i, то есть является в этом смысле универ сальным. Под споэюяостъю массовой задачи будем понимать минимальную по всем Дана вычислимая булева формула от п перемен универ- ных в виде совокупности наборов булевых фор сальным алгоритмами сложность решения алго- мул, подставляемых друг в друга. Принимает ли ритмом класса Т. наиболее трудной частной задачи из она значение «истина»? Сертификатом для ответа «да» является набор переменных, при котором Алгоритмические проблемы удобно исследо- булева формула принимает значение «истина». вать на классе задач выбора^ допускающих ответ 7. Задача коммивояжера. Дана к^эта, содержала» или «нет» на поставленный вопрос. Для то- щая п городов и расстояния между ними. Сущест- го чтобы оставаться в конструктивных рамках, вует ли замкнутый путь длины менее т через все потребуем, чтобы предъявленный результат до- города? Сертификатом для ответа «да» является требуемый маршрут. Карта может быть представ пускал эффективную проверку. Вычислительное устройство, решающее задачу выбора, должно лена квадратной матрицей {cijj)^ в которой номера предъявлять сертификат^ позволяющий прове- столбцов и строк соответствуют городам, а эле- рить правильность ответа и собственную досто- менты а^ — расстоянию мел<ду городами i nj. Будем называть массовую задачу выбора ре верность с полиномиальной сложностью. Сертификат должен выдаваться хотя бы для одного из ответов «да» или «нет». Указанные ограничения шаемой^ если существует решающий ее эффек- на практике не являются существенными [9]. тивный алгоритм. Если асимптотическая сложность (наилучшего известного) такого алгоритма Пример 1.2.3. Задачи выбора. Задача решения квадратного уравнения. выше полиномиальной, то задачу будем назы вать трудяорегис емои. Дано квадратное уравнение с целыми коэффициентами длины п. Имеет ли оно вещественные Не для каждой массовой задачи выбора может существовать универсальный алгоритм. из ответов корни? Сертификатом для любого «да» или «нет» является дискриминант полинома. Соответствие дискриминанта уравнению легко проверить. Неотрицательный дискриминант определяет существование вещественных корней. Пример 1.2.4. Задачи выбора, для которых не существует универсального алгоритма. . Разрешимость диофантова уравнения. Дан полином от нескольких переменных с целыми коэффициентами. Требуется указать универсаль- Задача о корнях полинома. Дан полином fix) степени п с целыми коэффициентами огра- целые корни? ничейной длины. Имеет ли он Сертификатом для любого из ответов «да» или ный алгоритм, который распознавал бы, имеет ли этот полином целые корни. 2. Представимость магриц с целыми коэффициентами. Назовем квадратную магрицу М предста- вимой через матрицы Ми - - -, Мт, если имеет место «нет» являются п корней полинома. Правиль ность представленного сертификата можно про- равенство М-||М^^ , где г, е {1, 2, ...,/7}. Тре верить, поделив fix) поочередно на полиномы вида X X , где {Xi} — множество корней. Сложность проверки правильности сертификата является полиномиальной от и и от длины коэффициентов полинома Задача о составном числе. Дано натуральное буется указать алгоритм, который для каждой матрицы М распознавал бы, представима ли М через Ml, ...,Мг. 3 Сертификат огфеделен неоднозначно. В данном число п. Является ли оно составным? Сертифика- случае сертификатом для ответа «нет» также может быть том для ответа «да» является делитель числа п. число си\<а<п, такое, что а"^^ ф 1 (mod п\ см. п. 4.3.1.
12 Эквивалентность слов в свободной полу- ностью. Примером задачи из класса co-NP слу- группе"* (или в алфавите с определяющими соот- жит задача 4 из примера 1.2.3. Пересечение классов NP и co-NP непусто: NP п CO-NP. Совпадают ли классы Р и NP, Р ношениями). Из букв пятибуквенного алфавита а, ^, с, J, е образуются слова (цепочки конечной длины). Для любых слов Л, В задана ассоциатив- и NP п co-NP, неизвестно. пая операция композиции АВ^ заключающаяся в По аналогии с полиномиальной эквивалент- записывании слова В непосредственно за словом ностью вычислительных моделей (для данного А^ при этом А(БС) = (АВ)С. Имекгг место опреде- класса алгоритмов) можно ввести понятие поли- ляющие соотношения bd ас са^ ad da^ be сК номиальнои сводимости задач. Говорят, что за db^ еса ~ се, edb = de, сса = ссае. Требуется дача^ полиномиально сводится (или просто сво построить алгоритм, который распознавал бы эквивалентность слов. дится) к задаче л, если существует алгоритм гю линомиальнои сложности, сводящий каждую частную задачу из класса л к частной задаче из Отметим, что отсутствие универсального ал- класса В, Это означает, что массовая задача частную задачу является не более сложной (с точностью до алго горитма, решающего каждую данного класса, не означает, что не существует ритма полиномиальной слолоюсти), чем массо алгоритма, решающего данную частную задачу вая задача Д причем решение с полиномиальной или даже некоторый подкласс частных задач. сложностью задачи В означает и решение задачи Анализ сложности перечисленных в примере А. Отношение полиномиальной сводимости реф- 1.2.3 задач выбора показывает, что задачу мож лексивно, антисимметрично и транзитивно, то но решить с полиномиальной сложностью. Для есть является отношением частичного порядка. этого нужно вычислить знак дискриминанта Если же при этом и задача В полиномиально квадратного уравнения. Задача 2 таклсе допуска- сводится к задаче А^ то эти задачи полиномиалъ но эквивалентны^ решение любой из них означа ет полиномиальный алгоритм, основанный на том факте, что свободный член полинома равен ет решение другой. произведению всех корней. Тогда можно перебрать все целые делители и свободного члена (их димости помощью отношения полиномиальной сво в классе NP была выявлена «самая число ограничено) и проверить делимость поли- сложная» задача, к которой сводятся все осталь нома на X - W. Что касается остальных задач, то ные задачи из NP возможность решения их с , — задача о выполнимости бу- полиномиальной левой формулы (теорема Кука [1]). Кроме того. сложностью неочевидна (например, для задачи 4 было установлено, что эта задача не единствен требуется точный ответ, а не ответ типа «число п ная, существует класс задач, полиномиально эк простое с вероятностью 99 %»). вивалентных задаче о выполнимости. настоя множестве задач выбора можно выделить щее время известно несколько сотен таких задач. несколько классов. Одним из них является класс Этот класс задач называется NP-полным (или задач, для которых известен детерминированный алгоритм полиномиальной сложности (для этих задач наличие сертификата излишне). По определению задачи выбора ответ может быть проверен с помощью сертификата детерми- NPC), сюда относятся задачи из примера нированным алгоритмом полиномиальной сложности. Если вычислительная модель обращается к некоему оракулу, который может угадывать правильный сертификат, то проверить правильность ответа можно с полиномиальной сложностью. Класс задач, обозначаемый NP, обладает тем свойством, что правильность ответа «да» может быть проверена с полиномиальной сложностью, хотя ответ и сертификат могут вырабатываться с 1.2.3. Для некоторых задач из класса NP, например, для задачи об изоморфизме графов и задачи о составном числе, NP-полнота не доказана. Класс NP-cлoэfcныx задач состоит из тех задач, к которым сводятся задачи из класса NP- полных. Типичными NP-сложными задачами являкпгся экстремальные задачи, аналогичные NP-полным, например, следующая переформулировка задачи коммивояжера. Дана к^та, содержащая п городов и расстояния между ними. Какова минимальная длина замкн>того маршрута через все города? помощью недетерминированной вычислитель ной модели. Примером задач из класса NP слу жга задачи 3,5 из примера 1.2.3 1.3. Нестандартные вычислительные модели Класс задач, обозначаемый co-NP, обладает тем свойством, что правильность ответа «нет» мол<ет быть проверена с полиномиальной слож- 4 Традиционно для решения математических том числе криптоаналитических) задач исполь зуются компьютеры, реализованные в виде элек тронных устройств, универсальных (программи Определение свободной полугруппы см. в гл. 2. руемых) или специализированных, сконструиро
ванных для решения конкретной задачи. Такие мент^ная спираль ДНК может быть присоеди компьютеры могут различаться разрядностью, нен или удален. объемом памяти, тактовой частотой, конфигура Каждый фрагмент цепочки представляет со цией. Все эти компьютеры как вычислительные бой один двоичный разряд строки, который мо модели полиномиально эквивалентны (предпола- жет быть взаимно однозначно сопоставлен буле или зации данного вычислительного алгоритма). Это функции. Если фрагмент цепочки снабжен сти означает, что если задача может быть решена за кером. гается, что объем памяти достаточен для реали- вой переменной промежуточной булевой то значение соответствующего разряда п шагов на одной вычислительной модели, то она строки равно 1, если не снабжен, то может быть решена за г{^^^ шагов на другой вы числительной модели. Поэтому множества вы Моле1а^лярный компьютер может выполнять числимых полиномиальной сложностью) фун- следующие базовые операции: кции для этих моделей совпадают. Мерами сложности задач для таких компьютеров наряду со сложностью алгоритма могут быть и физические параметры: энергия, необходимая для решения задачи, физический объем компьк»тера и др. Несколько лет назад были предложены качественно новые вычислительные модели — моле- объединение двух множеств строк в одно множество; разделение множества строк на два таких подмножества, что в одно подмножество попадают те строки, в которых значение бита , а в другое под- которых значение на данной позиции равно множество строки в ьулярныи компьк»тер и квантовый компьютер, которые могут изменить представление о вычислимых функциях и для которых ограничения по бита на этой же позиции равно установка данного двоичного разряда строки в состояние рассеиваемой энергии не столь значительны. установка данного двоичного разряда строки в состояние 0. 1.3.1. Молекулярный компьютер Эти операции, а такл^е считывание результата Молекулярный компьютер [\{)ЛЪ^ ocY{OB2iYL пг. выполняются с использованием физических и использовании химических свойств молекул химических механизмов. Например, объедине- ДНК. Каждая молекула ДНК представляет собой ние двух множеств строк реализуется выливанием их содержимого, переведенного в состояние Информация в ДНК представлена раствора, в общий сосуд. Разделение множества двойную спираль, состояшую из комплементар ных половин. в алфавита из четырех букв А, С, Т, G. В двои- строк молшо выполнять с помощью нагрева или ной спирали блок А спирали соединяется с бло электрофореза (пропускания постоянного тока ком комплементарной спирали, блок С соеди- через раствор). Установка бита на данной пози- няется с блоком G. Цепочке ATTGTC спирали ции строки в состояние 1 выполняется добавле- соответствует цепочка TAACAG комплементар- нием в раствор соответствующих стикеров. ной спирали. При нагревании двойные спирали Лишние стикеры удаляются фильтрацией. Дли- ДНК распадаются на одиночные и при наличии тельность вычислений на молекулярном компь- соответствующих комплементарных фрагментов ютере оценивается в сотни часов [14]. могут быть достроены до двойных. На сегодняшний день задача вскрытия ключа молекулярном компьютере информация шифра на молекулярном компьютере решается представляется строками. Каждая строка состоит перебором. Основное преимущество молеку- из цепочки неперекрывающихся попарно раз лярного компьютера высокая параллельность личных фрагментов, представленных символами и малая энергоемкость вычислении — реализу- в алфавита {А, Т, С, G} молекул ДНК (одиноч- ется одновременным проведением вычислений с пая спираль) с возможно присоединенными ком- большим множеством строк. плементарными спиралями с тикерами (от Сложность задачи по отношению к молеку англ. sticker— наклейка) для некоторых фраг- лярному компьютеру оценивается требуемым ментов [18]. В соответствии с законом компле- объемом раствора (один литр раствора содержит ментарности, код стикера однозначно определя примерно 10 молекул ДНК). Например, для ется кодом фрагмента. Для каждого фрагмента вскрытия ключа длиной 256 бит требуется по рядка 10 ^ литров раствора. цепочки соответствующий стикер как компле 5 В ЖИВОЙ природе лублирование молекул происхо дит путем превращения двойной спирали в две одиноч ных и достраивания одиночных спиралей до двойных. 6 По-видимому, в ближайшее время можно ожи дать появления вычислительных алгоритмов для мо лекулярных компьютеров.
14 1-3.2. Квантовый компьютер Другой «экзотический» вычислитель — гипотетический квантовы и компьютер 7 5 ПОЗВОЛЯЮ щии с полиномиальной сложностью решать задачи разложения составного числа и логарифмирования в произвольных группах вычислимого порядка [7, 12, 19]. Например, задача разложения бит может быть на множители числа длины 2 решена со сложностью 0{L ). Однако несмотря на то, что алгоритмы для квантового компьютера существуют, проблема создания его работающей модели далека от решения. Квантовый компьютер, лишь немногих задач. Информация в квантовом компьютере пред как и молекулярный, удобен для решения ставлена квантовыми битами кубитами (от англ. qubit = quantum bit). Бит информации пред ставлен квантовой частицей, которая может находиться в двух состояниях. Состояние частицы спином («спин (для ее может характеризоваться вверх» или «спин вниз»), поляризацией квантов света ная) и т. п. горизонтальная или вертикаль Квантовая частица, находящаяся в двлос воз ха можных ортогональных состояниях и или рактеризуется вектором этих состоянии (волно вой функцией): Y = a|0) + Pjl), где а, Р — ком плексные амплитуды. Нормализацией амплитуд можно получить равенство а 2 + 2 Тогда значения а 2 И 2 МОЖНО интерпретировать как вероятность нахождения частицы в состоянии или 1. Случай а 1Ш соответствует одина ковои вероятности состоянии О и отличие от обычного бита, представляюще го О или 1, кубит может находиться в суперпози ции этих состояний. Однако при измерении ку бита его состояние фиксируется. элементов (состояний системы). Это условие является необходимым для реализации такого отображения на квантовом компьютере. Например, одновходовая логическая функция НЕ: реализует подстанов)^ на множестве {0,1} или, для кубитов, jJ>~>jU>. Логическая функция ® суммы по модулю 2 (операнды запи саны парой) может быть представлена в виде би ективного отобрал^ения пар битов (00) (01) ПО модулю 2 задается вторым разрядом выход (00), (01), (10) -> (11), (11) -> (10). Здесь сумма НОИ пары Соответствующее отображение для кубитов имеет вид \А) \В) -> \А) \А ® В), Влияние «лишнего» выходного кубита в дальнейшем мо жет быть устранено. Логическая функция установки бита в необ ратима, поэтому введем второй бит для получе ния обратимости: (00) (00), (01) (10), (01), (11)->(11). Здесь аргумент функции (10)-> представлен первым (левым) разрядом входа. значение первым разрядом выхода. Для уста новки бита в О второй разряд входа должен быть нулевым. Получаем отображение для кубитов ви- да И) 10) 10) И). Логическая двухвходовая функция И (л) не может быть реализована обратимым отображением пары битов, однако ее можно реализовать для тройки битов [15, 16]: Одним из фундаментальных ограничений на традиционные компьютеры является энергетиче- Здесь операнды представлены первым и вто- ская необратимость переключения логического рым разрядами входа (при этом третий разряд элемента из одного состояния в другое: при не- должен быть нулевым), а результат— третьим реключении энергия необратимо рассеивается. Поэтому для создания мощного компьютера требуется мощный источник питания, а также вентилятор для охлаждения. разрядом выхода. Соответствующее отображение Квантовый компьютер позволяет реализовать переключение из одного состояния в другое без рассеивания энергии. Для этого необходимо чтобы реализуемые отображения для всевозможных состояний квантовой системы, состоящей из п кубитов, задавали биекцию на множестве из и ДЛЯ кубитов имеет вид \А) \В) |0) -> \А) \В) \А л В), Аналогично можно реализовать и другие логические функции, а следовательно— произвольный вычислительный процесс по аналогии с обычным компьютером. При этом операции «установки в О», «стирания» и т. п. должны задаваться обратимыми отобрал^ениями множеств за счет введения дополнительных кубитов. Одна из основных операции, реализуемых Квантовый компьютер и популярная в послед ние годы квантовая криптография (включая кванто вые шифраторы) — разные вещи. квантовым компьютером. когерентная супер позиция. Эта операция для одиночного кубита описывается следующим образом:
15 У{кЛУ- cost Пт !0) /е ■ sm - 2 Если перейти к нормализованным значениям N V, ') COS /стг le ^sm /гтг а 2 J I 1 . ТО вероятность состояния / равна j 1 J 2 Например, /V п 2' л/2 (10) + И» кубит ail . По теореме Шредингера [10], если квантово механическая система нормализована в некото переводится из нулевого состояния в равновероятные состояния. Квантовым регистром называется coBOiQ'TEHOCTb кубитов в одной квантово-механической системе. рыи момент времени, то она нормализована в любой момент времени. Поскольку состояние /^-разрядного квантового регистра описывается вектором из Л^ со Предположим, что квантовый регистр. со стоящий из л кубитов, находится в нулевом со стоянии и все состояния обратимы, то любое преобразование информации, реализуемое регистром, можно описать квадратной невырол<ден- п стоянии: / ^=1 НОИ матрицей размера Л^. Невырол<денная матри- Операция когерентной супер- ца соответствует преобразованию информации в квантовом регистре тогда и только тогда, когда позиции к э , примененная ко всем кубитам регистра, переводит регистр из нулевого состояния в суперпозицию всех 2" возмолшых состояний с равной вероятностью любого состояния от (О0...0)до(11. 1): 8 /7 П 2^-\ 110) / >2 /7/2 1^0) ( . I nil /=1 /=1 (7=0 Эту операцию можно рассматривать как экспо ненциальное увеличение объема памяти кванто вого регистра: с /? до 2 . Квантово-механическая система описывается вектором состояний в гильбертовом пространстве (оно аналогично линейному векторному пространству над полем исключением того. комплексных чисел за что векторы могут иметь комплексную длину). Для квантового регистра из п кубитов гильбертово пространство имеет размерность N=2'\ Всевозможные Л^ состояний регистра задают ортогональный базис гильбертова пространства, при измерении состояние регистра фиксируется. Вектор состояний квантового регистра имеет вид а = (ai, ..., а/^). Здесь а, — амплитуда (волновой функции) в состоянии /. Вероятность того, что при измерении регистр окажется в состоянии /, равна а I 2 N 5 У=1 2 где с 2 норма с а+ 6/, то И =^а^ -\~Ь^. комплексного числа: если 2 8 Такая операция называется также щзеобразова нием Уолша—^Адамара. она унитарна (обратима, сохраняет нормализо ванность вектора состоянии; транспонированная матрица комплексных дополнений равна обратной матрице). Предположим, что на квантовом компьютере с помощью логических операций реализовано вычисление функции F произвольного аргумента /V а: F: Па)). в левом регистре на ходится аргумент, а в правом — значение функции F, Тогда с помощью когерентной суперпозиции за один шаг можно получить значение функции для всех Т аргументов: /V 2"-1 2"-1 F: о) 10) F(a)) /=0 1 о Здесь начальное состояние левого регистра может быть получено из нулевого состояния. Чтобы «измерить» значение функции F для определенного значения аргумента, эту операцию нужно повторить (9(2 ) раз, каждый раз «измеряя» состояние правого регистра. Очевидно, что в этом случае квантовый компьютер не имеет преимуществ по сравнению с традиционным — временная слолшость вычислении оценивается экспонентой от п. Однако, если нас интересует период функции F, то его можно быстро найти с использованием квантового дискретного преобразования Фурье (см. также п. 4.6). Это преобразование может быть легко реализовано с использованием типовых логических функций. Поэтому одной из особенностей квантового компьютера является то, что он эффективно вычисляет скрытые периоды функций. Если квантовый компьютер дает решение задачи, то оно должно быть наблюдаемым. Это значит, что при измерении состояния квантового регистра результат измерения с большой вероятностью должен соответствовать решению задачи.
16 1.4. Случайные последовательности и случайные отображения Под {колмогоровской) энтропией объекта понимается наименьший объем его описания. Шенноновская энтропия определяется как 10 1.4.1, Понятие случайности Hs Y^P'^^^p ) 9 / Рассмотрим бесконечные двоичные после где {pi} — совокупность вероятностей рассмат цовательности (вместо двоичного алфавита риваемои полной схемы событий. Использование можно рассмотреть любой конечный алфавит), шенноновской энтропии в описании информаци Какую последовательность можно считать слу ли чайной? Является случайной последова онных процессов (в частности, при анализе безопасности) неявно предполагает, что наилучшим гельность, образованная начальными цифрами алгоритмом предсказания очередного числа 7Г? Традиционная теория вероятностей не этот вопрос: она описывает символа последовательности является его угадывание. цает ответа на ^ воиства совокупности таких последовательно- тей. Если в теории вероятностей утверждается нечто про свойство случайной последователь ности, то это означает, что свойство выполня гтся для подавляющего большинства последо вательностей [11]. Существуют частотный, слолшостный и ко аичественныи подходы к понятию случайности бесконечной последовательности [9]. Частотный подход Мизеса основан на том. ето в случайной последовательности должна на элюдаться устойчивость частот. Например, в ^ лучаинои двоичной последовательности симво- должны встречаться независимо и с пы и равными вероятностями не только в основной последовательности, но и в любой ее подпосле- цовательности, выделенной в соответствии с не которым правилом, не зависящим от последова гельности. Иными словами, этот подход означа гт, что в случайной последовательности отсутствуют какие-либо закономерности. При таком подходе определение случайности зависит от правила выбора указанной подпосле- цовательности из исходной последовательности. Различные правила выбора давали Мизес, Черч, Колмогоров, Лэвленд, соответственно получались различные определения случайности. Одно из правил выбора, использующихся на практике, заключается в отбрасывании некоторых членов последовательности, причем вопрос об оставлении или отбрасывании решается алгоритмически с помощью вычислимой функции. Согласно этому определению последовательность, содержащая в начальном отрезке тысячу идущих подряд нулей, считается случайной, что противоречит интуиции. Согласно сложностному подходу Колмогорова случайная последовательность должна иметь сложное строение, которое не может быть описано с использованием короткого текста. Это предположение с очевидностью противоре чит практике, если последовательность порол<да ется детерминированным алгоритмом. Конечный отрезок бесконечной случайной последовательности не допускает простого описания. Сложность такого описания близка к длине последовательности. Бесконечная последовательность называется случайной по Колмогорову, если колмогоровская энтропия ее начальных отрезков быстро возрастает с увеличением длины этих отрезков. Количество информации^ содержащейся в конечной последовательности, равно ее Колмогоровской энтропии. Поскольку двоичные знаки числа п допускают простое описание и мог}^' быть легко найдены (несколько тысяч бит числа тг можно найти за несколько секунд), эту последовательность нельзя считать случайной по Колмогорову. Количественный подход Мартин-Лёфа основан на том, что случайных последовательностей много, а неслучайных— мало. Неслучайными считаются те последовательности, в которых наблюдается закономерность, то есть любое проверяемое свойство последовательностей, присущее лишь узкому их классу. Последовательность случайна, если она выдерживает тесты, выявляющие такие закономерности. Однако если потребовать, чтобы последовательность вьщержи- вала любой тест, то окал^ется, что случайных последовательностей вообще не существует. Поэтому принято ограничиваться теми тестами, для которых доля удовлетворяющих им последовательностей стремится к нулю при неограниченном увеличении длины последовательности. Между указанными определениями случайности имеются следующие соотношения. Последовательность случайна по Колмогорову тогда и только тогда, когда она случайна по Мартин-Лёфу. Определения случайности на основе частотного 10 9 Понятие оптимального способа описания неконструктивно и поэтому допускает произвол. Однако практике для алгоритмических (криптографиче- на Это требование включает в себя и одинаковые ских) генераторов (псевдо)случайной последователь частоты для пар символов, троек символов и др ности это описание известно. -ь_-х I '
ft?: подхода с использованием различных правил вы дают все множество ненулевых вычетов по мо бора являются более широкими. Множество по- дулюУ(0- Такой генератор легко реализуется ап- следовательностей, случайных согласно частот- паратно на сдвиговых регистрах. Например, при ному подходу, строго включает последовательности, случайные по Колмогорову и Мартин-Лёфу. т /+ /+ получаем 1 = / + г. Генератор Пример 1.4.1. Энтропия. реализуется на четырехразрядном сдвиговом ре гистре, где выход четвертого разряда складыва ется по модулю z с выходом первого разряда и Предположим, что шифр ГОСТ 28147-89 поступает на вход первого разряда Сложность (см. п. 19.6) вырабатывает гамму— последова- вычисления очередного бита последовательно тельность, полученную рекуррентно повторным сти линейная от длины регистра. зашифрованием шифртекста, длина гаммы равна о68 г- 1-_ _ . _ _. . _ .._ - бит. Гамма статистически похожа на случай ную последовательность в том смысле, что успешно выдерживает наиболее употребительные статистические тесты. Тогда шенноновская эн- 1.4.2. Свойства случайного отображения тропия гаммы равна 68 бит, тогда как колмого- ровская энтропия (т.е. количество информации) равна шенноновскои энтропии ключа и состав Случайные отображения широко используются при анализе криптографических алгоритмов «в среднем». Рассмотрим случайное отображение / конеч- ляет256 8 бит. то Разработчики криптографических систем час необоснованно используют шенноновскии подход к описанию алгоритмов защиты инфор мации. Это иногда приводит к досадным ошиб — использование крипто кам. Типовая ошибка — графически слабых генераторов псевдослучайной последовательности, вырабатывающих последовательность, которая обладает хорошими ного множества М в себя. В общем случае это отображение не является обратимым. Его можно задать в виде направленного графа, вершинами которого являются элементы множества М, а стрелки (ребра) показывают, в какой элемент из М переходит данный элемент. Если j =fij) для е М. то на фафе это соответствует стрелке, вы статистическими свойствами. но не является случайной по Колмогорову. На самом деле еле ходящей из вершины / и входящей в вершину у Поскольку к любому элементу / конечного мно жества М отображение можно применять неог раниченное число раз, то траектория, начинаю щаяся с вершины /, должна зациклиться. Поэто использовать алгоритмический подход и дует определение случайности по Колмогорову (или, что то же самое, по Мартин-Лёфу). му соответствующий направленный граф должен иметь вид леса (совокупности деревьев), ребра которого направлены от листьев к корням, а корни соединены в циклы. Так как отображение Пример 1.4.2. Неслучайные по Колмогорову применимо к каясдому элементу множества М, то последовательности с хорошими статистически- из каждой вершины графа стрелка выходит, однако не в каждую вершину стрелка входит. ми свойствами. Линейный конгруэнтный генератор, выра- axi-^b батывающий последовательность л^/+1 и (mod m), где о, т и НОД(а, т) Длина последовательности равна т. Сложность пред сказания x^^i по известному х, минимальна.'^ . Генератор так называемой М-последова тельности, используемой в технике связи, обла дает очень хорошей автокорреляционной харак Долю листьев фафа случайного отображения (то есть элементов множества М, не являющихся образом ни одного элемента при действии отображения У) молшо определить через вероятность того, что данная вершина является листом. Число всевозможных отображений, переводящих элементы множества М в элементы М за исключением данного элемента, равно числу #М- теристикои и просто реализуется, однако неслу- буквенных слов в (#М чаен по Колмогорову. линейным сравнением 13 Генератор л^/+1 tx I описывается (mod (2,/0)Х где идеал (2,J{t)) задается вычетами по модулю 2 и по модулю неразложимого полинома У(0 такого, что всевозможные степени элемента t порож- я- ^ ^й. '=* 11 12 Подробнее о сравнениях см. п. 3.5. Использование квадратичного или иного конгруэнтного генератора с несложным уравнением, как щзавило, не позволяет получить последовательность, случайную по Колмогорову. -буквенном алфавите. Действительно, отображение можно задать таблицей из двух строк длины #М, в которой верхняя строка соответствует имени прообраза, а нижняя — имени образа, причем информацию об отображении несет только нижняя строка. Нижняя строка содержит #М символов в (#М буквенном алфавите. Поэтому число таких ото бражений равно (#М Поскольку число всевозможных отображений равно #М, вероят ность выбираемого наугад отображения, при ко 13 См. подробнее пп. 3.5,4.3. г--^^ ^-'-•ТП-^1кУ тором ни один элемент не переходит в данный элемент, равна V 'T^i 'S% -^^^^ч^ "4*1 * Н"-^^^
18 (#М) им им им значение для V #М ? е ср средней длины цикла равно [4]. Таким же выражением оцени- где е — основание натурального логарифма вается и длина пути до входа в цикл т ср #М/8. Если множество М велико, то оказывается, что почти все отображения М^-М имеют одинаковые статистические свойства [3, 5]. В част ности, для графа случайного отобра^^ения: почти все вершины лежат на одном дереве; длина цикла равна средней высоте дерева, то есть среднему числу ребер. соединяющих Случайное дерево обладает сжимающим свойством (один образ может иметь несколько прообразов), которое используется при исследовании криптографических алгоритмов. Оценим параметры этого сжатия. Определим понятие глубины на дереве. Все листья имеют глубину 0; вершина, не являющаяся листом, имеет глубину а, если максимальное расстояние от нее до гсакого-нибудь листа равно Глубина задает отношение порядка на вершина вершинах графа случайного данную вершину с корнем. Эта длина равна 0(л№); структура леса при обращении стрелок описывается ветвящимся процессом (процессом нах дерева размножения и гибели), порожденным час- отображения, не лежащих в цикле). Если А, Б — тицами, которые соответствуют корням де- вершины дерева, то ^ > j5 при d(A) > d{B). Поня ревьев. Каждая частица живет ровно один тие глубины иллюстрируется рисунком 1.1 (глу такт. На следующем такте она дает случай- бина отсчитывается дискретно сверху вниз, ли ное число потомков, распределенное по за- стья имеют глубину 0). кону Пуассона с параметром V и при этом погибает. Распределение этом случае имеет вид [5]: Р{к) Рекуррентное применение отображения Пуассона \Uek\). в к Будем рассматривать деревья, в которых чис ло вершин #Л/велико. Определим ширину p{d) фафа как долю вер шин, имеющих заданную глубину. Зададим оди данному элементу а множества М дает последо- наково распределенные случайные величины вательность о, да), fijyd)) ==/ (а), / (а), .... Она соответствует последовательности вершин с на- ^k{t\ 2 ? ? для которых вероят ность определяется выражением чальнои вершиной а, если двигаться по стрелкам. Начиная с некоторого элемента с номером т^ последовательность начнет повторяться. Это соответствует входу в цикл графа. Обозначим длину цикла через /. Оценим длину цикла и расстояние до него для заданного начального элемента а. Полагаем, что Ffe if) Г l/(er\). Рассмотрим ветвящийся процесс jLi(rt с дис состояние систе кретным временем мы определяется числом \x(t) частиц, сущест вующих в системе в момент времени t: ^ элемент а под действием / с равной вероятно- сгью переходит в любой элемент множества М. Вероятность того, что ц(Г + Xi(t)-^X2it)-^ ... +л:^(л(0. т для данного элемента равна 1/#М, то есть элемент должен переходить в себя. Вероятность того, что причем }x(t + начинается с )а(0) ? если jLi(^) частиц. Пусть процесс т (или того, что / 2, т 0), равна вероятности того, что данный элемент не переходит в себя, а его образ переходит в себя (или в исходный элемент), то есть равна (1 -1/#М)(1/#М). Вероятность того, что длина пути до входа в цикл равна т, а длина цикла равна /, молшо найти с помощью выражения F(m, /) #М #М #м т~\~1 #М Математическое ожидание длины цикла оп ределяется равенством ср Tl-P{mJ), где Рис. 1-1. Глубрша на случайном дереве суммирование ведется по всем длинам циклов от 1 до /;? и по всем тсутО до #М. Приближенное 14 Частицы считаются неразличимыми.
19 Вероятности Pf. молшо задать с помощью про Для рассматриваемых вероятностей при боль изводящей фз^кции — формального (без учета ших d имеет место рекуррентное соотношение сходимости) степенного ряда G(z) r>0 г P(d) ехр( 1 + P(d I))- Раскладывая его в ряд, видим, что V л :. -г „_ Формальная переменная z маркирует вероят ности. Определим производящую функцию для ве роятностей вырождения процесса к поколению t p(d) P(d 1) + Q{d 2 + Q(d 3 . • Э Friz) M^^\ 15 •--5 где Q(d) P(d), причем P(d) P(d 1). Сле довательно, последовательность P(d) при нату где Л/ математическое ожидание. Имеет место ральных а монотонно стремится к некоторому равенство для производящих функций [3,5] t+\ (^) Ft (F(z)) F(F,(z)%Fo{z) ^. пределу. Этот предел единственный и равен Будем искать оценку для P{d) в виде степенного ряда Для вырол<дения процесса к поколению t + справедливо равенство p{d) Oq ~\~aJd + а 2 2 + ... . F,(^ о F(F, t-\ О F(F(/^ О 1-2 (Л О F(Fi...Fiz-)...)). Поскольку с ростом d вероятность P(d) стре- . Раскладывая мится к единице, ясно, что ао экспоненту в ряд, получаем для больших глубин Обозначим ДО вероятность вырол<дения про- асимптотическую оценку цесса к поколению /. По определению произво дящей функции получаем: Q(d) 0(1/J), Pid) o(i/dy РФ) F(z о Po e. Это событие соответствует гибели частицы без Точнее, Q(d)^2/d при больших значениях J. Ширина графа определяется выражением то потомства, а при обращении стрелок фафа — му, что данная вершина является листом. Полученная вероятность совпадает с вероятностью листа, найденной выше. Для вырождения процес- или p(d) P(d) P(d 0(l/d 2 Точнее, p(d) lid 2 при больших значениях d. са к поколению 2 (то есть в поколении При #М. 00 И процесс vXi) не или что то же самое, для того, чтобы глубина вырождается с вероятностью, стремящейся к вершины была не более 1, имеем вероятность единице [5]. Вырол<дение процесса происходит в р(1) F{F(z О (1/е)е \1е ехр( 1 + ехр( !))• моменты имеющие порядок 4Ш. Следова Аналогично, вероятность вырождения к поколению 3 (вероятность того, что глубина вершины ве превышает 2) равна тельно, и высота случайного дерева, содержаще го #М вершин, асимптотически равна 0(л/# М). Д2) О F{,F{,F(z))) ехр( + ехр( + ехр(-1))). Сжимающие свойства случайного отображения положены в основу алгоритма Полларда (см. п. 9.3.1). Индуктивный переход очевиден. Вероятность Теорема 1.4.1. Пусть/— отображение конеч гого, что глубина вершины не превышает d^ они- ного множества М в себя. Для любого х сывается башней из d экспонент: Мсу ществует натуральное число п такое. что P{d) ехр( + ехр( + ... + ехр( 1)...)). h (X) 2и {х\ где fix) М i-\ ix)). Последовательность ехр(-1), ехр(-1 +ехр(-1)). ехр( + ехр( + ехр( О)), стремится к еди \х) Пуст Доказательство. Очевидно, что равенство ч г2пг ч -. ^ /л - _ _ (х) при п возможно только в цикле. ь М лежащий в цикле корень дерева. нице снизу. Действительно, если предположить, что некоторый элемент последовательности превышает следовательности превышает 1. Продолжая этот на котором расположен элемент х. Тогда для не которого натурального к будет выполняться ра то тогда и предыдущий элемент по переход, получаем, что первый элемент последо вательности должен превышать I. Поскольку в действительности он меньше i, то и все элементы последовательности меньше венство з/=/'(^), при этом значение/ {х) будет лежать в том же цикле. Определим расстояние г между значениями/^\x) и/ (х) как число шагов, которые необходимо сделать из вершины /^ {х\ чтобы попасть в вершину/ (х). Если из вершины ''^\х) делать два шага, а из вершины/\x) — один
20 шаг, то расстояние будет сокращаться на 1. Таким образом, после г одиночных шагов в цикле получим равенство/^^Ял^) =f^^^^'\x). Отсюда п = к + г. Следствие 1.4.2. обозначениях теоремы 1.4.1 имеет место равенство п #М). Упражнения к главе Пусть а •> целые числа и / .2 лим отображение ф: (а + 60 а. Опреде- которое может быть рассмотрено как отображение множества комплексных чисел в себя. Является ли это отображение инъективным, сюръ- ктивным, биективным? Постройте продолнение отображения ф из предыдущей задачи на множество пар рациональных чисел, офаничение на множество пар чисел от О до 9. Покажите, что для любых множеств выполняется равенство С Сгл(А В) (СглА)'(СглВ) столбик Оцените сложность умножения в двух /^-битных чисел на вычислительной мо дели, использующей сложение и умножение -битных слов? Оцените слсмсность алгоритма слсшсения двух п- битных чисел в операциях сложения двух битов. Найдите асимптотическую сложность в битовых операциях деления (без остатка) числа длины 2п бит на число длины п бит на вычислительной модели, использующей сложе ние и умножение битов. Найдите асимптотическую сложность деления (без остатка) числа длины 2п бит на число длины п бит на вычислительной модели. 10 11 12 13 использующей сложение и умножение слов длины b бит. Найдите асимптотическую сложность вычисления остатка от деления числа длины 2п бит на число длины п бит на вычислительной модели, использующей сложение и умножение слов длины b бит. Найдите сложность вычисления наибольшего общего делителя двух натуральных чисел алгоритмом Евклида на вычислительной модели, использующей сложение и умножение слов длины b бит. Найдите сложность решения системы линейных уравнении методом гауссова исключе ния в предположении, что элементарной one рацией является сложение и умножение элементов матрицы. Определите экспериментально высоту дерева и длину цикла графа «случайного» отобра + x(mod/?), где/? 10 жения видаХ-^) простое число. Проверьте экспериментально поведение по следовательности. описываемой башней из экспонент, при малых и больших глубинах. Опровергните закон исключения третьего «каждое высказывание или истинно или ло жно». Литература к главе Ахо А., Хопкрофт Дж., Ульман Дж. Построение и : Мир, вычислительных алгоритмов М анализ 1979. Ван дер Варден Б.Л. Алгебра. М.: Наука, 1979. Гульден Я., Джексон Перечислительная ком бинаторика. М.: Наука, 1990. Кнут Д. Искусство программщювания для ЭВМ. X т. Т. Основные алгоритмы. М.: Мир, 1976. Т. 2: ПолучисленБые алгоритмы. М.: Мир, 1977. Колчин В.Ф. Случайные отображения. М.: Наука, 1984. Ленг С. Алгебра. М.: Мир, 1968. Манин Ю.И. Классическое вычисление, квантовое вычисление и факторизация Шора // Кванто вый компьютер и квантовые вычисления. Ижевск Ижевская республиканская типография, 1999 Т. 2. С. 248-286. 10 И 12 Математический энциклопедический словарь. М. Сов. энциклопедия, 1988, Успенский В.А., Семенов А.Л. Теория алгорит мов: основные открытия и приложения. М.: Hay ка, 1987. Фейнман Р. Моделирование физики на компью терах // Квантовый компьютер и квантовые вычисления. Ижевск: Ижевская республиканская типография, 1999. Т. 2. С. 96-124. Феллер В. Введение в теорию вероятностей и ее приложения. В 2-х т. Т. 1. М.: Мир, 1984. Шор П. Полиномиальные по времени алгоритмы разложения числа на простые множители и нахождения дискретного логарифма для квантового компьютера // Квантовый компьютер и квантовые вычисления. Илсевск: Ижевская республиканская типография, 1999. Т. 2. С. 200-247.
13 14 15 16 Adleman L.M. Molecular computation of solutions to combinatorial problems // Science. 1994. Vol. 266. 1021 1024. Braich R., Johnson C, Rothemund P., et al. Solution of satisfiability problem on a gel-based DNA computer // DNA computing 6-th international workshop. Leiden, Netherlands. June, 2000. P. 31-42. Chuang L., Laflamme R., Shor P.W., Zurek W.H. Quantum computers, fectoring and decoherence. Tech- ufrgs. nical Report LA-UR-95-241 // http://www.if br/-jgallas /QUBITS/CURSO/fatoracao9503007. pdf Hughes R.J. Quantum computation. Technical Re port LA-UR-98-288 // Feynman and Computation, 17 18 19 A.J.G.Hey (ed.), Perseus, Reading, 1999 //p23.lanl.gov/Quantum/papers/feynman.pdf http Menezes A., van Oorschot P., Vanstone Handbook of Applied Cryptography. CRC Press, 1997. Roweis S., Winfree E., Burgoyne R., et. al. A sticker based model for DNA computation // Proceedings of the second annual meeting on DNA based computers. Princeton iHiiversity. June, 1996. P. 27. Shor P.W. Algorithms for quantum computation discrete logarithms and factoring // Proceedmgs of the IEEE 35-th ann. Symposium. On Foundation of Computer Science, 1994. P. 124-134.
Глава 2. ГРУППЫ Аппарат теории групп является основопола ающим в криптографии. решимости уравнении ах уа Для до казательства достаточно подставить эти ре шения в уравнения: 2.1. Понятие группы а(а фа \ 1 {аа Ыа 1 еЬ 1 be (Мультипликативной) группой называется Предположим, что есть два решения х\ и Хо множество G^0, на котором задана бинарная 1ссоциативная операция, обычно называемая умножением^ если выполняются следуюидие усло- уравнения ах и ахо слева на а Умножив равенства ахх -I -1 а ^ ахо а 1 получим а аХ] а I ? 6, отсюда л: 1 а Хо ъия. Однозначность деления. Если ах ау, то X К Замкнутость по умножению: для любых а. если ха-уа^ тох~у. Для доказательства умно- G выполняется аЬ G. В множестве G существует единичный элемент жим равенство ах — ау слева на а , равенство ау. ха уа справа на а . Получим а 1 ах а 1 е такой, что еа ае а для любого а G. Для любого а е G существует обратный эле следовательно, ех чае получим хаа 1 еу, X уаа 1 V. Во втором слу ? хе уе,х У- мента Gтакой, что а а an е группе существует единственный единиц Группа G называется абелевои, или коммута пивной^ если операция умножения коммутативна. определении группы операция (умножение) ie конкретизируется. Гр)/пповой операцией мо- кет слулштъ и сложение, например, сложение це- 1ЫХ чисел. Если операция называется слоэюением. ныи элемент. Доказательство следует единственности решения уравнения ах из а. Каждый элемент группы имеет единственный обратный элемент. Доказательство следует из единственности решения уравнения ах е. го группа является аддитивной Обращение произведения {аЬ) 1 1 а 1 доказательства достаточно умножить части равенства справа или слева на (аЬ) Для обе этом случае единичный элемент называется нулем, а вместо эбратного элемента а'^ используется противопо- южный элемент -а. Аддитивная абелева гр)/ппа называется модулем. В аддцтивной группе вместо циативнои операции умножения, называется по Множество, замкнутое по отношению к ассо ^+( для краткости пишут а а в мульти 1 [шикативной группе вместо аЬ пиш> а X нием Называть операцию сложением или умноже- дело вкуса. Операцию обычно называют лугруппои. Если это множество обладает единич ным элементом, то оно называется моноидом. Единичный элемент е в моноиде единственный, так как из предположения о существовании дру гого единичного элемента е' вытекает равенство Если умножение коммутативно, то е ее е :ложением, если на элементах гр>т1пы задана другая операция или отображение, которое опре- целяется как умножение. Умножение одного и того же элемента на себя полугруппа называется коммутативной. Если рассматриваемое множество замкнуто записывают в виде степени: а а а 2 cfa" (Г +и по отношению к операции умножения и каждое имеет единственное ха [сГ) 1 5 а т (сГ) П сГ Очевидно, что здесь т из уравнении ах решение при любых а, 6, то это множество назы п целые числа. вается квазигруппой. Элементы, для которых выполняется равенст во а = а, называются идемпотентными. Гр>т1пы обладают следующими свойствами. Уравнения ах и у а в гр\т1пе G всегда имеют единственные решения ? а именно X а 1 и Ьа 1 Поэтому условия Пример 2.1.1. Полугр>т1пы. 1. Натуральные числа по сложению образуют полугруппу без нулевого элемента и по умноже- можно заменить условием однозначной раз- нию образуют моноид.
23 2. Отображения множества в себя образуют по- группы являются сама группа и единичный эле лугруппу, в которой умножение определяется как мент. композиция отображений (ассоциативность умножения отображений доказана в теореме 1.1.1). Пример 2.2.1. Подгруппы. Подмножества некоторого множества с Группа 4- целых чисел по сложению со операцией объединения образуют коммутатив- держит подгруппу 2Z четных чисел и подгруппу ную полугруппу, любой элемент является идем- пЖ чисел, кратных натуральному числу/7. потентным. Подмножества Группа Q* ненулевых рациональных чисел некоторого м ножества с по умножению содержит подгруппу (1, и операцией пересечения образуют коммутатив- подгр>тту рациональных чисел, представляю ную полугруппу, любой элемент является идем- щих собой положительные и отрицательные це потентным. лые степени двойки. 3. Группа невырожденных квадратных матриц Пример 2.1.2. Группы по умножению (муль- содержит в качестве подфуппы группу невыро- типликативные группы). жденных верхних (нижних) треугольных матриц. Множество * ненулевых рациональных чисел. в которой единичным элементом является еди ничная матрица. Множество комплексных корней п~я степе Если F и Н— подгруппы туппы G то ни из гГ\Н— подгруппа группы G. Действительно Множество подстановок (обратимых ото из е е бралфнии конечного множества в себя. см а е Н следует Нследует а ^ Fг\Ни е Fr\H. а 1 из F Г\Н\ из а Z 5 а 5 П. 2.5). Если подстановки, то их произве eF и а, 6 е 77 следует аЬ ^ F г\Н. дение TS определяется как T{S{x)) для некоторого X. Единичным элементом группы подстановок Центр группы G является ее подгруппой. принадлежат центру является единичная, или тождественная, подста новка, обеспечивающая Six) X. Действительно, если а, группы, то для всех элементов х группы и имеет место равенство ах = ха. Умножая слева и справа . Множество невырожденных (обратимых) квадратных матриц одного и того же размера. 1 это равенство на а , получим . Множество вращений плоскости относительно начала координат. . Группа кватернионов^ состоящая из восьми а 1 аха 1 а ^хаа 1 учетом равенства а 1 а аа 1 е получим ха а jc, то есть центр вместе с каждым эле- элементов ±1, ±/, ±/, ±к с законом умножения ментом содержит и обратный элемент. Умножим / е -ji k,jk ik I i,{ ■J -J Л ■ k k,( 2 J. равенство ax = xa на b. Получим bax лу перестановочности элементов a abx bxa. СИ и X имеем xab, то есть центр вместе с элементами а, b Операция умножения подстановок и операция содержит их произведение. умножения матриц в общем случае не коммута тивны, следовательно, некоммутативными ока зываются и соответствующие группы. Группа, образованная положительными и от рицательными степенями одного элемента а, на Элементы а, b группы, для которых выполня- зывается циклической и обозначается (а): ется равенство аЬ Ьа называются перестановочными. Совокупность элементов, перестано вочных с любым элементом группы. (а) {..., а Г} ? •? а 1 ,а о 1^ 9 ^^^4 Ф а « * (^ ^ * • • I » называется Элемент а называется образующей цикличе- ее центром. Центр любой фуппы содерлшт еди- ской группы (а). Если в циклической группе нет одинаковых элементов, то она называется сво Группа называется конечной, если число ее бодной. Примером свободной циклической фуп ничныи элемент. элементов является натуральным числом, в про пы может служить группа целых чисел отно тивном случае группа бесконечна. Число элемен- сительно сложения; образующей является число тов конечной грлппы называется ее порядком. (или 1). Циклическая грлппа является конечной, если 2.2. Подгруппы среди ее элементов есть равные. Если а сГ при т, то т е, так что в этом случае некоторая г Подмножество Н группы G называется под- степень с натуральным показателем образующей ^ 1 ТТ 1 - ТТ —1 ХГ _ S' . _.V руп пой. если из а. b е Н следует аЬ ^ Н и а ? группы равна е. Наименьший натуральный пока G Н. Тогда е аа Н. Подгруппами любой затель, обладающий этим свойством, называется порядком элемента а. Если порядок элемента а 1 Операции умножения ъСшН совпадают. равен и, то среди элементов е, а 5 •1 сГ нет рав
24 ных (в противном случае выполнялось бы*/ сГ при т, тогда т е кии же элемент 1 вида сГ противоречие). Вся конечно порожденной свободной абелевой груп- заданного множества образующих пе равен одному из е 5 аь . для •5 ^П каждый элемент о с точностью до эле из а, ...^а ^ именно а, где г— остаток от деления мента т на п. Таким образом, порядок циклической (векторным) группы, образованной элементом порядка w, тоже равен п. группы кручения характеризуется индексом 1 (/"ь ..., (Л таким, что '1 I ta'{ ...а'^ Множество образующих можно рассматривать Для любого элемента b циклической группы как множество букв из некоторого алфавита _ И/? !-■ __ ГГ _ -1 __ _ ^ _ 5 порядка п имеет место равенство е. Если по- при этом если а— буква, то а тоже буква. Из рядок циклической группы {а) является простым, букв можно составлять слова, в том числе одно- то {а) не имеет подгрупп, отличных от {г} и (а), буквенные и пустое слово, не содержащее ни од- в противном случае циклическая группа имеет ной буквы. В словах допускается сокращение, при подгруппы. Например, если п 12, то группа котором подряд стоящие буквь! аа или а а вы имеет подфуппы порядков 2, 3, 4, 6, образован- черкиваются. Определим ные соответственно элементами а •> а •> а 5 С^. операцию умножения слов как конкатенацию, то есть приписывание к Циклическая группа всегда абелева. Это не- первому слову второго слова. Символ конкатена- посредственно следует из коммутативности ело- ции не представлен ни одной буквой. Например, ения для целочисленных показателей; (abbe) bed) abbbea. Эквивалентность слов ctaf г^ а fvh а fct. Если а — образующая конечной циклической группы G порядка и, то каждому элементу можно взаимно однозначно сопоставить (скалярный) индеке его или диекретный лога рифм целое число т, Q<m<n такое, что определим как их совпадение с учетом указанного сокращения. Такое умножение определено на всех словах и обладает ассоциативностью. Единичным элементом является пустое слово; каждое слово имеет обратное, записанное «задом наперед» и состоящее из обратных букв. Например, обратным к слову аЬеа' е будет слово е" ae^^b'^cf . По- Пусть а некоторый элемент группы G. То ._ ^ гг -2 -1 этому слова с операцией конкатенации и указанным сокращением образуют свободную группу. гда элементами группы G будут также ..., а ? а 5 а а , (Г, а •> Если G содержит еще один элемент не являющийся степенью элемента а. Подмножество 5" букв из алфавита S такое, что элементом *S" является только одна из букв а или а~^^ называется еиетемой образующих группы. то элементами группы G являются и всевозмож ные произведения ао, оа, а bba, baab ab и во Пример 2.2.2. Система образующих группы обще произвольные конечные произведения вида ..., где И/ G Z. Среди этих произведе- SL2(Z). аЧ"' а 3?«4 Рассмотрим множество квадратных матриц НИИ могут быть равные. Такие произведения об размера 2 с элементами из Z. Произведение таких разуют подгруппу Н группы G. Если группа Н матриц обладает свойством ассоциативности и да- бесконечна, то она называется евободной груп- ет матрицу с элементами из Z. Чтобы обратная 5 ее определитель пой, образованной элементами а и о, а сами эле- матрица имела элементы из менты анЬ называются образующими группы Н. доля^ен бьггь равен ±1. Такие матрицы обра:уют общем случае группа может содержать не- (общую линейную) группу GL2(Z). Эта группа со- сколько и даже бесконечно много элементов (образующих), ни один из которых не представим в виде произведения других элементов. Например, держш^ подгруппу SL2(Z) матриц с определителем , называемую модулярной группой. Систему об- образующими группы Q рациональных чисел по умножению являются все простые числа. Аналогично определяется свободная группа. Если бесконечная группа не имеет элементов ра:^^ющих группы SL2(Z) составляют матрицы полу и , причем 2 и грП п . Доказательство этого утверждения см конечного порядка, то ее называют группой без кручения. В противном случае группа имеет кручение . Элементы конечного в работе [6]. порядка в такой группе составляют группу кручения. Например бесконечная группа содержит группу круче ния 5 Бесконечная группа Z с операцией сложения является группой без кручения. Если множество образующих группы конечно, то говорят, что группа конечно пороэюдена. В Множество аН (соответственно, //а), где Н— подгруппа группы G и а— некоторый элемент из G, называется левым смеэюным классом (соответ- 2 SL2(Z) называется также специальной линейной группой.
ственно, правым смеэюным классом) группы G по подгруппе Н. Смежные классы иногда называют классами смежности. Между элементами группы Н и элементами правого смежного класса На имеется естественное взаимно однозначное соответствие •? ? 11, 16, ...}, АО, ... I 5 I • • • ? ? 3, 10, , 12, 17, 19, •? 1,6, 13, 20, ...},{..., 14,...}. Смежные классы можно задать числами (наименьшими неотрицательными Z za г/. и иа 1 Z. представителями). ь . *' .-^Ч !< Если подгруппа Н конечна, то число элемен Элемент называется сопряэюенным с тов в каждом правом смежном классе равно по- элементом а, если существует элемент G G та рядку группы Н. В абелевой группе левый и пра- кой, что 1 ah. Сопряженность является экви выи смежные классы совпадают. валентностью, так как это отношение рефлек ah еле сивно Теорема 2.2.1. Два правых смежных класса дует а е аеХ симметрично (из -1 \—111 —]\ hh группы G по подгруппе Н либо совпадают, либо не имеют общих элементов. с bg следует с и транзитивно (из 1 ah и ihg) aihg)) Подгруппа N группы G называется нормальной. Доказательство. Достаточно установить, что если она вместе с каждым элементом содержит все, если два правых смежных класса имеют общий с ним сопряженные. Эквивалентное определение элемент то они совпадают Пусть X На и нормальной подгруппы: N 1 Ng для любого X е Но. Рассмотрим смежный класс Нх. Так как G (то есть gN=Ng, элементы нормальной под хе На, то X za Нх Hza при некотором zgH 1 Ha.Hoa~z X, так что На = Hz х Следовательно, На Нх. Аналогично, НЬ и Нх. Нх, со всеми элементами групп ы перестановочны группы). Правые и левые классы по нормальной подгруппе совпадают. Каждая группа содержит так что//а т. - к i нормальную подфуппу, например, саму себя или подгруппу, состоящую из единичного элемента. Теорема 2.2.2. Группа является объединением Центр группы является ее нормальной подгруппой. попарно непересекающихся правых смелшых абелевой группе любая подгруппа нормаль- классов по подгруппе. на, однако обратное неверно: если любая под- Доказательство непосредственно следует из группа группы G нормальна, то G не обязательно теоремы 2.2.1, ибо любой элемент а фуппы принад- абелева. Любая подгруппа Н группы G индекса 2 явля леншт некоторому смежному классу, именно На, а различные классы не имеют общих элементов. ется нормальной. Действительно, существует Таким класс может образом, быть элемент g G\H такой 5 что Н U gH. Поэто каждый правый смежный му g//является дополнением НвО. Но точно так представлен единственным же G = Н^ Hg и Hg является дополнением Н в элементом. Указанное в теореме 2.2.2 разбиение G. Поэтому//g группы называется разлоэюением группы по под- gH. - ^--'-V-* "1-^ Теорема 2.2.4. Смежные классы группы по группе. Число (правых) смежных классов группы G по подгруппе Н называется {правым) индексом нормальной подгруппе //образуют подфуппу в G. подгр^ты Н. Для левых смежных классов имеют Доказательство. Рассмотрим произведение место аналогичные утверждения. Число смеж- смежных классов (аН)(ЬН) аНЬН аЬНН аЬН •. i'-л я -к ■ >^- ных классов обозначается (G : Н). Тогда порядок то есть произведение смежных классов является конечной группы равен (G : {е}). смежным классом и соответствует произведению их представителей. Представители являются эле- Теорема 2.2.3. Пусть G — конечная группа и ментами фуппы G, поэтому их произведение ас- HzdF, где H,F—подгруппы группы G. То- социативно. Единичным элементом подгруппы, образованной смежными классами, является сама G Tm{G:F) = {G:H){H:F). Доказательство. Запишем G, Н в виде объ- нормальная подгруппа Н. Обратным к классу аН прений непрпегекярпп11>гегя сме"жнк1Х классов: является кпясс сГ /7. ■ единении непересекающихся смежных классов: G = KJigjH), H=\J{hjF). Умножив второе равен ство на gi, получим gfl^KJigihF)— объедине ние попарно непересекающихся множеств. то есть G = \j{gjhjF). Пример 2.2.3. Смежные классы. Пусть G то есть Н (группа по сложению), Н 7Z, Группа, образованная смежными классами группы G по нормальной подгруппе Н, называется факторгруппой G по Ни обозначается G/H це- крат Эта Так, смежные классы аддитивной группы лых чисел по подгруппе тЖ целых чисел ных т составляют факторгруппу 1 • • •? 14, 14,...}. Тогда факторгруппа порядка т является циклической с смежные классы по Н: \..ш^ 5 15, ...}, образующей W Ъ f-^-^ --r-l_^:^tiri j^ - -
26 23. Гомоморфизмы и изоморфизмы Пусть и G I группы с операциями и * называ ф(а) * Ф(й) Часто операции в группах G соответственно. Отображение ф: G ется гомоморфизмом^ если (р{а для любых а, и G' полагают очевидными и гомоморфизм определяют как ф(ай) = ф(а)ф(й). Понятие гомоморфизма можно определить и для полутрупп: это отображение полугрупп ^2 г такое, что (^{siSj) = фС^Оф^) iVia любых ^ь . Поскольку каждая группа является также полугруппой, то можно определить гомоморфное отображение полугруппы в группу и обратно, гомоморфное отображение группы в полугруппу. Пример 2.3Л. Гомоморфизмы. 1. Гомоморфизм мультипликативной группы положительных вещественных чисел в ад- >0 дитивную группу задать следующим образом: вещественных чисел можно log: (R>o * + ? logxy logx + logy. X, у >0 2. Гомоморфизм аддитивной группы DR. + вещественных чисел в (R >0 * мультипликативную группу положительных вещественных чисел ехр: [R н- (R * >0 ехр(х + у) р(х) ехрО), х,у R^ Для каждого элемента а е G отображение а а", где п еЖ, есть гомоморфизм группы G в себя. Биективный гомоморфизм (p'.G-^G' называ ется изоморфизмом групп G uG\ группы называются изоморфными; обозначается uG' G. Гомоморфизм ф: G G называется эндомор физмом. Эндоморфизмы допускают умножение как композицию отображений группы, при этом — эндоморфизмы, то ф\|/ — эндомор- если физм. и Эндоморфизмы группы образуют моноид End(G) по умножению, единичным элементом которого является тождественное отображение. 3 Например, существует гомоморфизм полугруппы целых чисел по умножению в мультипликативную группу вычетов по модулю простого или составного числа п, при котором умножению целых чисел в £. соответствует умножение их образов — вычетов по модулю п. Этот гомоморфизм положен в основу методов дискретного логарифмирования и разложения, используемых в криптографии с открытым ключом при анализе стойкости криптографических алгоритмов. 4 По определению ФЦ/(а) = ф(м^(й)). Изоморфизм ф: G -^G называется автоморфизмом. Произведение автоморфизмов является автоморфизмом. Автоморфизмы группы образуют группу автоморф измов, обозначаемую Aut(G). Единичным элементом этой группы является тождественное отображение. Отображе- являются автоморфизмами ния а а и а а циклической группы. Множество элементов группы G, которое при гомоморфизме i^'.G-^G переходит в единичный элемент, называется ядром гомоморфизма и обозначается КегГф). Как любое отображение, го моморфизм имеет образ (который может не совпадать с О). Образ гомоморфизма обозначается 1т(ф). Инъективный гомоморфизм i^-.G-^ G\ который устанавливает изоморфизм между группой G и ее образом в G', называют влоэюением.^ Например, группа рациональных чисел может быть вложена в группу вещественных чисел. Лемма 2.3.1* Гомоморфный образ группы яв ляется группой. Доказательство. Пусть G' — гомоморфный их образ группы G. Пусть а, й, с е Gud,b\c' — гомоморфные образы. На множестве G' по определению гомоморфизма задано умножение. Из а(Ьс) следует (а'Ь')с' = a\b'd) — ассоциа- {аЬ)с тивность умножения в G. Из ае а следует а е d, то есть в G существует единичный элемент е\ Из существования для каждого а ^ G такого что Ьа Vd такого, что имеет обратный. е^ следует существование е\ то есть каждый элемент в G G Лемма 23.2. Ядро гомоморфизма ф: G является нормальной подгруппой группы G. Доказательство. Сначала покажем, что ядро гомоморфизма является подгруппой. Пусть а. Кег(ф). Тогда ф(ай) = ф(а)ф(й) / „/ ее е f ? то есть ядро замкнуто по умножению. По определе J „ *■ _-К „ / _л-1 / ./\—1 _/ _ нию гомоморфизма ф(а ф(а) е то е аа 1 ie') Кег(ф). Тогда Кег(ф). Поэтому ядро гомоморфизма есть если а е Кег(ф), то и а является подгруппой группы G. Для левого смежного класса аКег(ф) имеем d. Пусть ф(й) = d. Определим элемента х из уравнения ф(аКег(ф)) гомоморфный а е образ Ыах) Тогда dx'=a\ х'=е\ следовательно. а t аКегГф). Значит, класс, соответствующий элементу а, является левым смежным классом аКег(ф). Таким же образом можно показать, что класс, соответствующий элементу а', является правым 5 Шедполагается, что операции умножения в G и G' совпадают.
27 смежным классом Кег(ф)а. Получаем аКег(ф) = Кег(ф)а. Следовательно, Кег(ф)— нормальная подгруппа. Построим гомоморфный образ G группы G с заданным ядром гомоморфизма И. Теорема 2.3.3 гомоморфизмах групп)» Гомоморфный образ G г группы G изоморфен факторгруппе группы G по ядру этого гомомор физма Обратно, каждая нормальная подгруппа Н определяет гомоморфизм, для которого она является ядром. Доказательство. Первая часть утверждения доказана в лемме 2.3.2, вторая часть доказана в теореме 2.2.3, так как равенство {аН){ЬН) = аЬН определяет гомоморфизм групп G и G///, при этом Н является ядром гомоморфизма. Следовательно, имеет место изоморфизм G f GIH. Теорема о гомоморфизмах групп устанавлива ет существование единственного изоморфизма такого, что диаграмма рисунка 2.1 коммутативна. / G t G/H Рис, 2,1, Коммутативная диаграмма гомоморфизмов групп Гомоморфизмы групп иногда изображают в виде следующих диаграмм. Пусть G Ф >G \1 2 >G 3 последовательность из двух гомоморфизмов. Будем говорить. что эта последовательность точная, если 1т(ф) = Кег(\|/). Например, последовательность Н Ф >G \> >о/н является точной, если Н— нормальная подгруп- — вложение, \|/ — гомоморфизм па группы G, ф Пример 232, Изоморфизмы. Пусть G циклическая группа порядка п тк. Пусть Н— ее подгруппа, порожденная , где а— образующая группы G. элементом Ясно, что порядок элемента равен т и порож денная им группа состоит из элементов е. а •> э а' *. Представителями о ? смежных классов G по Н могут служить а , а, ..., а^. Умножение смежных классов сводится к сложению показа- порождает Н. Таким L ибо телеи по модулю образом, здесь факторгруппа изоморфна цикли ческой группе порядка к. Целые числа ? ,...,// с операцией умно жения по модулю простого числа р образуют циклическую группу (см. теорему 4.3.6). Для р=11 множество образующих: {2, 6, 7, 8}. Для образующей 2 группа содержит десять элементов: {1, 2, 4, 8,5,10,9,7,3,6} — — ЭТО степени двойки от О до 9. Следовательно, автоморфизм полностью определяется образом образующей. Поэтому группа ав томорфизмов содержит четыре элемента: ф(2) 1 (тождественное отображение), ф(8) .^хч о9 г» . .1 ,Ф(7) 7 ? ф(6) = 2^. Видно, что автоморфизмы группы соответствуют возведению образующей в степень, взаимно простую с порядком группы. Если G циклическая группа порядка п и G = H, то группа Н тоже циклическая того же порядка. Действительно, группа G имеет образующую а и все элементы группы G являются степенями элемента а. Тогда изоморфный образ элемента а в группе Н является образующей циклической группы Н порядка п. Следовательно, порядок группы Н кратен п. Но изомор физм взаимно однозначное отображение, ка ждыи элемент группы Н имеет единственный прообраз в группе G. Следовательно, группа Я— циклическая порядка п. Каждой паре элементов э поставить в соответствие группы G можно коммутатор их fe^] ghg h , при этом [g, h] G переставляет элементы gun: [g, h]hg = gh. Если элементы ■й n перестановочны, то [g^h] = e. Интуитивно ясно, что чем больше в группе коммутаторов, тем сильнее она отличается от абелевой. Множество всех с ядром Н. Более длинная последовательность коммутаторов группы G образует подгруп пу называется точной, если она гомоморфизмов точна в каждой паре последовательных гомо морфизмов. Например, точность последователь [G,G] группы G, группы G, где [g, g] называемую коммутантом е единичный элемент и fe^] 1 1 1 [/г, g]. Поскольку а [G,G]a = a a[G,G] ности е >Н ф >G 41 >G/H >е означает, что инъективно э сюръективно и = [G, G], то коммутант — нормальная подгруппа. Факторгруппа G/[G, G] является абелевой. Характером конечной абелевой группы G на зывается гомоморфизм у группы G в группу * 1т(ф) Кег(ш). Здесь Кег(ф)= {е}, если группы ненулевых комплексных чисел. Для x.yeG вы Я, G мультипликативные (в случае аддитивных полняется равенство XWXO) %(Р^У% %(.е) групп пишут о вместо е)и Н= Кег(\|/). При этом У(а)у(а Любое комплексное
28 число может быть записано в виде ге"^. а по скольку I .2 1 И г.е^^^г^е'^'^ -nvje /■(ф,+<Р2'* 1 2 э ТО ЛЮ для т е М. Элемент е индуцирует тождественное отображение. бому значению характера соответствует г 9 то Отображение т Um) является гомомор физмом группы G в группу подстановок множе есть значения характера являются комплексными стъг^ М корнями из Если Xi и Х2 — характеры группы G, то можно определить произведение характеров XiXiip) как 7i(^f)X2('^). Произведение характеров являет- Пример 2.4.1. Действие группы на себе, качестве множества М может использовать ся сама группа G. Для всякого элемента ся характером группы G. Определим характер определим отображение G а G равенством (а у{а), где черта означает аЛх) формулой ху. Это действие группы G на себе на- комплексное сопряжение, и единичный харак- зывают сопряэ^сением, или трансформировани тер 8, где г{а) для всех а е G (произведение ем. Каждое отображение о,, является автомор сопряженных комплексных чисел с единичным физмом группы G, то есть для всех z,xe име модулем равно единице). Таким образом, харак- ^х место a(xz) теры абелевои группы G образуют абелеву Oyix)aJz) и обладает обратным что достигается заменой у на у . Таким образом группу. отображение у -^ Оу есть гомоморфизм группы G в ее группу автоморфизмов. Ядро этого гомо- Теорема 2.3.4. Пусть G — циклическая груп- морфизма состоит из таких элементов у, для ко ху X для всех па порядка п и а — ее образующая. Тогда каж- торых выполняется равенство дый характер группы G может быть представлен х е G, то есть из всех у, перестановочных со все в виде %к(^ т е Inimk/ 0<т<п 5 ДЛЯ не которого ? 0<к<п %о группа характе ров изоморфна группе G. ми элементами группы. Другими словами, ядро гомоморфизма группы совпадает с центром этой группы. Доказательство. Пусть характер груп пы G. Тогда и (а) Х(^") х(^) Аналогично определяется действие полугруппы ? то есть все на множестве М. В общем случае полугруппа характеры циклической группы порядка п явля- представляет собой набор отображений (не обяза ются Х(«) корнями %к(^) степени п из Поэтому ^27iik/n ^j^ некоторого k,0<k<n Тогда %Ja т е 2 nikmjn Таким образом, все ха тельно обратимых) множества М в себя. Множество всех отображений множества из п элементов в себя допускает ассоциативное умножение (см. теорему 1.1.1) и поэтому образует полугруппу. Пере- рактеры группы G различны и образуют группу нумеруем элементы этого множества от О до и . Эта группа циклична с Отображения можно задавать таблично. Каждое следовательно, изоморфна корней степени п из образующей группе G. XI и. отображение / полностью определяется набором образов fiQ\ .. .,fin Если числа от до п 2.4. Действие группы на множестве считать буквами в некотором алфавите, то сущест вует взаимно однозначное соответствие Пусть М— некоторое конечное множество из между множестюм отображений и множеством слов из п- буквенного алфавита. Число таких слов равно гГ. п элементов, G — группа. В общем случае множество Ми группа G имеют различную природу. Например, М— множество из десяти цифр, а 2.5. Группа подстановок G множество всевозможных перестановок Подстановка это взаимно однозначное этих цифр. Под действием группы G на мноэюе- стве М понимают отображение G х М-^ М такое, что если д: G G, /77 G М, то хт е М, где через хт обозначен образ пары (х, т). Множество М называют G-мноэюеством. Имеет место равенство: отображение конечного множества в себя. При соответствующей нумерации (или упорядоче (ху)т х(ут\ ет т нии) элементов конечного множества М, на котором определена подстановка, ее можно свести к подстановке на некотором конечном подмножестве натуральных чисел. Любая подстановка для любых X 5 т М: е единичный эле является элементом некоторой группы, задаю- взаимно однозначное отображение этого щей мент группы G. Каждый элемент х группы G ин- множества в себя. дуцирует взаимно однозначное отображение (перестановку элементов) множества М: 6 6 TJm) хт Иногда говорят не о подстановках, а о переста новках элементов множества М.
29 Совокупность всех подстановок, действую- же в степень НОК(Гр ..., г.)), дает тождествен щих на М, определяет симметрическую группу #М Действительно, в силу обратимости п для каждой подстановки существует обратная подстановка. Единичным элементом группы является тождественная подстановка. Произведение подстановок определяется как последова ную подстановку. Таким образом, подстановку можно задавать набором циклов. Степени подстановки образуют циклическую подгруппу симметрической группы. Действительно, произведение подстановок является под- тельное выполнение этих подстановок. Если множество М состоит из п элементов, то симметрическая группа имеет порядок п\. Если некоторое множество подстановок образует группу, то становкои, операция умножения ассоциативна; подгруппа степеней подстановки S содержит тождественную подстановку; подстановка S^^ непо- под- средственно предшествует тождественной становке в она является подгруппой симметрической груп пы. Заметим, что симметрическая группа неком мутативна. Пусть задана подстановка на множестве нату {S,S 2 3 J s\. последовательности подстановок Коммутативность подгруппы следует из коммутативности сложения для показателей: S'S' S'S I l+J ральных чисел J ? ■5 п. Подстановки можно Транспозицией называется подстановка. со представлять различным образом: в виде табли- храняющая неподвижными все элементы, кроме цы, в виде функции (для небольшого класса под- двух, которые меняются местами, становок аналитическое представление может Каждая подстановка может быть представле- быть сравнительно простым), в виде произведе- на (различными способами) как произведение ния циклов. конечного числа транспозиций. Например, если Обычно подстановка представляется в виде транспозицию, переставляющую местами эле- таблицы из двух строк: первая содержит числа менты i и /, обозначить (/,/'), то подстановку с 2, ...,п в естественном порядке, а вторая об цикловым строением (6), (1, 5, 7), (2, 8, 4, 9) разы соответствующих элементов первой строки Например, для п можно получить из тождественной подстановки последовательным применением следующих транспозиций (очередность слева направо): (1.7), (7, 5), (2, 9), (9, 4), (4, 8), (8,3). Отсюда вытекает алгоритм представления Вообще говоря, первая строка не несет ника кой информации, поэтому она может быть опу щена. Нижняя строка содержит некоторую пере становку чисел 1,2,..., п. Рассмотрим результаты многократного при менения подстановки к множеству чисел, на ко подстановки, заданной совокупностью циклов, в виде произведения транспозиций. Достаточно построить представление для одного цикла (г'ь ...,4). Этот цикл состоит из транспозиций (/ь 4), (4, ik-i) 5 • • • ? тором она определена. Поскольку это множество Разбиение подстановки S на циклы индуциру ет эквивалентность. Два элемента аи b множест конечно, то для числа а и подстановки ;^ после ва ? на котором действует подстановка, эквива довательность а. S(a\ S(S(a)) S\a\ S (а\ ... э дает цикл, образованный элементом а. Очевидно что такой же цикл дают любые числа, лежащие в цикле, образованном числом а. Выбрав число не принадлежащее этому циклу, можно постро лентны, если существует натуральный показа j/^\ - /-^ Зто отношение сим тель j такой, что S (а) метрично (если а переводится в й, то й некоторой степенью подстановки S переводится в а), реф лексивно {а переводится в а тождественной под ить другой цикл, образованный числом Про должая эту процедуру до тех пор, пока не будут перечислены все числа 1, 2,..., Л2, получим представление подстановки в виде совокупности непересекающихся циклов. рассмотренном примере имеются следую- , 4, 9). Длины щие циклы: (6), (1,5,7), (2, циклов, образованных числами соответственно. , равны. Если в общем случае становкои), транзитивно (если а переводится в b переводится в с, то а переводится в с). Поэтому каждый элемент множества {1, 2, ...,п} входит в один и только в один цикл. Таким образом, последовательность циклов в записи подстановки можно произвольно менять — это все равно будет та же подстановка. Последовательность длин циклов подстановки задает ее цикловый тип. Наиболее часто встре- подстановка разбивается на циклы длины чающийся тип подстановки из п элементов имеет г V • • • ? ' /? то подстановка, полученная возведени один цикл длины л и один цикл длины / ем исходной подстановки в степень г J да Пусть подстановка представлена в виде про- циклов длины Г/. Составим сумму изведения '=1 (п 1) + (Г2 1)+...+(г, J равную п L Значе-
30 ние суммы называется декрементом подстановки двумя подстановками: 5*1 S. Если декремент четный, то подстановка называ- 9 2, 3, 4 7, 8, и (8, 7, 4, 3, 6, 5, 2, 1). Цикловое строение под стоя четной, в противном случае подстановка на- становок имеет вид: (1), (2), (3), (4), (5, 7), (6, приме для 1 и (1, 8), (2, 7), (3, 4), (5, 6) для ^2. Орбита зывается нечетной. Любая транспозиция, ненная к подстановке, меняет ее четность. Поэто- элемента 3 относительно группы G равна {3, 4}, му транспозиция является нечетной подстанов- орбита элемента 1 равна {1, 8, 6, 5, 7, 2}. Эле- кой. Число четных подстановок равно числу не- мент 1 переводится в 8 подстановкой Sj, в четных подстановок той же степени. Произведе- становкой 52515*2, в 2 подстановкой 525|525i52. под ние четных подстановок является четной подстановкой. Четные подстановки образуют нормаль- Пусть М {хи 5 ^п] • Определим стабили щю подгруппу группы подстановок, называемую затор элемента т ^ М как множество подстано знакопеременной группой. Знакопеременная группа вок, сохраняющих элемент т неподвиишым. является коммутантом симметрической группы. Стабилизатор данного элемента является под- Рассмотрим один цикл подстановки, содер- группой группы подстановок. В симметрической жащии некоторое подмножество элементов группе и стабилизатор изоморфен группе rt-i множества М 2, ...,п}. Этот цикл содер- Смежные классы группы п по стабилизатору жится не только в рассматриваемой подстановке, элемента Х\ состоят из всех подстановок, перево но и в других подстановках, определенных на дящих х^ в элементы Х/, пробегающие все множе том же множестве. Свяжем с данным циклом ствоМ подстановку, определенную на М, которая все Если группа G действует на себе посредством элементы множества М, не входящие в данный сопряжении ? то цикл. оставляет неподвижными. Тогда любая мал изатором стабилизатор G. называется элемента х нор- этом случае подстановка, разложенная на циклы, может быть число орбит конечной группы G определяется по представлена в виде произведения подстановок, связанных с этими циклами. формуле #0 y(G:G X Обобщением понятия цикла является орбита. Пусть G — группа подстановок, действующих на /еС где множество представителей различных множестве М. Тогда G является подгруппой симметрической группы. Определим орбиту элемента т е М относительно группы подстановок G как подмножество О^Мтакое, что любая подстановка из G не выводит элемент т за при этом для любого элемента классов сопряженных элементов; G^ — нормали затор элемента х; iG:Gx) — число левых смеж ных классов G по Gv. пределы и о существует подстановка из переводя Подстановка, не имеющая неподвижных элементов, называется беспорядком. Число беспорядков может быть найдено по формуле включения-исключения [5]. Пусть даны G(m). Тогда суще- Л^ предметов, которые могут обладать щая т в о. Иначе говоря, ствует подстановка из G, которая переводит о в ными свойствами Pi, ..., Р/,. Обозначим TV, задан т. Для любых двух элементов i,j е О существу ет подстановка из G, которая переводит / в у. Ее ли ...для <г<к число предметов, обладающих свойст вами Pi состоит из степеней единственной подстановки, то орбита элемента т е М совпадает с циклом элемента т. Так же, как и циклы, две орбиты одной и той же группы или не пересекаются, или совпадают. Достаточно показать, что если две орбиты G{mi) и G{m2) одной и той же группы имеют общий элемент т, то они совпадают. Пусть т = х{т\) для 'i' / (и, возможно, другими). Тогда число предметов, не обладающих ни одним из свойств Р,., ..., Р,, равно ft I J * г2 ут. -хП N о N I", + S ^v. YNи, +...+ { к I '1 >h h >h >'3 некоторой подстановки X G. Следовательно, Согласно этой формуле число беспорядков среди подстановок из п элементов равно G(m) Gx(m\) G(m\). Аналогично можно пока зать, что G{m) = G{m2). Поэтому G{m\) Gimj). Всякая группа подстановок имеет орбиты. + + ( /г ? е Орбитой симметрической группы является множество М. все Пример 2.5.1. Орбита. Пусть на множестве М где е — основание натурального логарифма. Группа подстановок G некоторого множества М называется транзитивной над М, если некоторый элемент (З из М может быть переведен с по- {1,2, 4,5. 7,8} действует группа подстановок G, образованная мощью подстановок из этой группы во все эле менты М.
31 Если группа G не является транзитивной над па К\М)^ называемая группой Гротендыка, и го- М {интранзитивная группа), то множество М распадается на области транзитивности, то есть моморфизм моноидов у: М К(М). Доказательство. Пусть F{Af)— свободная такие области, которые под действием подстано- абелева группа, порожденная моноидом М. Обо- вок из G переводятся сами в себя. В основу этого значим через [х] образующую группы F(M), со разбиения положено следующее отношение, ответствующую элементу X М. Пусть Элементы а зитивности М входят в одну область тран- нормальная подгруппа, порожденная всеми эле если существует подстановка из G, ментами вида [^:j^]M где X, которая переводит а в Ь. Это отношение рефлексивно (под действием единичной подстановки, входящей в группу G, а переходит в а), симмет- жим у: М F(M) К(М) К(М) F{M)fB. Ы Определим М. Поло отображение как композицию вложения М в задаваемого соответствием х —> [х], и ото рично (если а под действием подстановки пере- бражения F{M) -> F{M)IB. Тогда требуемый ходит в то под действием обратной подста- гомоморфизм. новки переходит в а), транзитивно (если а под действием подстановки Ci\ переходит в с и с под . то а Теорема 2.6.2. Если в коммутативном моно действием подстановки Sj переходит в под действием подстановки SjSi переходит в Следовательно, этим условием М разбивается на классы эквивалентности, которые называют системами интранзитивности. Пусть G — группа подстановок множества М Группа G дваэюды транзитивна, если для любых иде М выполняется закон сокращения (из ас be следует а^Ь и из са = сЬ следует а бражение у:М~> К{М) инъективно. то ото Доказательство. Рассмотрим пары i^.y) ? где X, М и определим эквивалентность i^,y) (х', у'), если ху t х'у Это отношение двух пар (а, й), (с, d), где а, Ь, с, d е М, а ^ Ь, c^d, Ыа) найдется подстановка G такая. что с, h(b) d. Ясно, что дважды транзитивная группа транзитивна. рефлексивно и симметрично. Если выполняются законы сокращения, то это отношение транзитивно. Умножение пар определим покомпонентно. Тогда классы эквивалентности пар образуют группу с единичным элементом (1, 1), представляющим класс (х, х). Эта группа сов- Пример 2.5.2. Транзитивность. . Пример 2.5.] иллюстрирует разбиение на системы интранзитивности, совпадающее с разбиением на орбиты. . Симметрическая группа падает с группой Гротендика К{М). Обратным элементом к паре (х, у) является (у, х). Имеет место гомоморфизм, переводящий X G М В любой степени транзитивна и дважды транзитивна. Знакопере менная группа любой степени также транзитив — дважды транзи на а для степени и более класс пары (1, х). Из закона сокращения следует, что этот гомоморфизм инъективен. Таким образом, построен инъективный гомоморфизм коммутативного моноида М в коммутативную группу К{М). тивна [2, 3]. 2.6. Вложимость коммутативной полугруппы в группу Следовательно, коммутативный моноид может быть вложен в группу, если в нем действует закон сокращения согласно теореме 2.6.2. 2.7. Прямые произведения групп Иногда в прикладных задачах возникает во прос о возможности гомоморфного вложения Группа G называется прямым произведением полугруппы S в группу G так, чтобы умножению групп элементов в полугруппе соответствовало умно- и (обозначается G X В\ если вы полнены следующие условия. жение элементов в группе. Если полугруппа S не содержит единичный элемент, то пополним ее единичным элементом е так, чтобы еа иБ нормальные подгруппы в G 2. G АВ. ае а для всех а е S. Поэтому можно рассматривать задачу о вложении моноида в группу. пБ {е}. Эти требования равносильны тому, что каж- случае коммутативного моновда М дый элемент группы А перестановочен с каждым необходимым и достаточным условием такой элементом группы 5 каждый элемент g группы вложимости является закон сокращения: каждое из является произведением ah элементов равенств ас Ъсиса — сЪ влечет за собой а ьщ. а и и элементы а, о однозначно опре деляются элементом g. По индукщ1и можно определить прямое про Теорема 2.6.1. Пусть М— коммутативный моноид. Тогда существует коммутативная груп- изведение нескольких групп. В случае аддитив
32 ных групп аналогом прямого произведения (для Морфизм и: А называется изоморфиз конечного числа слагаемых) является сумма. обозначаемая символом В. если А и прямая Тогда мом, если существует морфизм v: В такой. что l(V является единичным морфизмом в нормальные подгруппы Мог(Д B)vivu является единичным морфизмом в bG,G 4-Ви^пВ (0}. Теорема 2.7.1 (основная теорема об абеле- доморфизмами объекта Мог(^,^). Морфизмы объекта А в себя называются эн- обозначаются и вых группах). Любая конечная абелева группа End(^). Из определения категории следует, что может быть представлена в виде прямого произ- композиция эндоморфизмов является эндомор ведения циклических групп, порядки которых физмом, то есть эндоморфизмы End(^) образуют являются степенями простых чисел. Доказательство см. в работе [1]. моноид. Если G 1 X п Пл.. .Л2^ где п I ... X G г имеет порядок Эндоморфизмы объекта А^ являющиеся изо морфизмами, будем называть автоморфизмами Легко видеть, что автоморфизмы объекта А обра то группы G имеет вид каждый характер зуют группу, так как для них определена ассоциативная операция композиции, существует Ininuh т.,. .,т^ «/' е п 1 . е единичный автоморфизм, физм имеет обратный. и каждый автомор для некоторых т г 1, ...,П И группа ха рактеров конечной абелевой группы G изоморф на G. Доказательство этого утверждения анало гично доказательству теоремы 2.3.4. теории категорий объект характеризуется не как множество (то есть из каких элементов он состоит), а своими связями с другими объектами. Функтор — отображение категорий, согласованное со структурой категории. Если С] и Cj — 2.8. Категории категории. то функтор Т:С 1 С 2 состоит из отображения объектов ? Ob(Ci) в объекты Категорией С назовем класс (множество ко U\:A Т(В) 0Ь(С2) и отображения морфизмов в морфизмы Щ Пщ): Т(А) Т(В) торое не может быть элементом другого класса) При этом выполняются условия: ОЬ(С) объектов на котором определен класс А отображений Мог(^, В% называемых морфизма ми А в 17Г4) для всех ^ G Ob(Ci); причем выполняются следующие свои Т{\ для двух морфизмов и: А —> Mor(Ci) выполняется условие и V из ства: для каждой пары объектов {А, В) существует T(vu) T(v)T(u). морфизм и: А В; для каждой тройки объектов (А, В, С) задано произведение (композиция) морфизмов Мог(В, о X Мог(^, В) -> Мог(^, С). При этом произведение морфизмов удовлетворяет аксиомам: два множества Мог(^, В) и Мог(^', В') не пе- Пример 2.8.1. Категории. . Категория групп. Объектами являются группы, а морфизмами — гомоморфизмы групп. . Категория множеств. Объектами являются множества, а морфизмами — отображения множеств. . Категория моноидов. Объектами являются ресекаются за исключением случая, когда моноиды, а морфизмами— гомоморфизмы мо А\В В\ этом случае множества мор физмов совпадают; ноидов. 4. криптографии важную роль играет циф для каждого объекта А существует единич- ровая подпись для сообщения (см. гл. 13). Под ный морфизм \а^Мох(А,А) такой, что для пись и сообщение связаны с помощью провероч каждого и Мог (^, В) и для каждого V Мог(Д ^) выполняется и\ А и, XaV v; ного соотношения. Пары (сообщение, подпись) можно рассматривать как объекты категории, а закон композиции ассоциативен, то есть для и Uox{A, В\ V Мог(Д С), W Мог(С, D) отображения таких пар п. 13.2). как морфизмы (см. выполняется w{vu) - {wv)u для любых объек тов А, Д С, Z). 7 Эта теорема положена в основу метода дискрет . Гельфонда в цикличе ного логарифмирования ской группе (см. п. 11.1.1). 1 Г-*: ^ -^ V- -i ^^ т-^^ t ^t-.-'t?,- _ л
Упражнения к главе 2 Какие из перечисленных систем образуют группу, полугруппу, квазигруппу: множество натуральных чисел по сложению; множество вещественных чисел по умножению; множество наборов булевых функций с операцией композиции (подстановки наборов в другой набор вместо переменных); множество функций ах-\-Ь cx-h-d с вещест венными коэффициентами с операцией композиции; подмножество группы подстановок мно жества М, сохраняющее неподвижным данный элемент а подмножество группы подстановок множества Л/, переводящих элемент а е М в другой элемент b е М; множество целых чисел с а"; операцией множество целых чисел с операцией а* Л а множество вещественных чисел с опера цией a*fc ab ? множество вещественных чисел с опера цией а* b a't-b abl Опишите все нормальные подгруппы адди тивнои группы IL целых чисел. Опишите все эндоморфизмы аддитивной группы Z целых чисел. Что собой представляет факторгруппа Q/Z? Покажите, что в этой группе каждый элемент имеет конечный порядок. Почему отображение а а 1 в общем случае не является автоморфизмом группы? Найдите все нормальные подгруппы группы всех подстановок из трех элементов. Покажите, что любая подгруппа циклической группы будет циклической и. следовательно. нормальной. Что собой представляет свободная подгруппа мультипликативной группы рациональных чисел, образованная числами ? э 3? Найдите множество образующих мультипли кативнои группы ненулевых рациональных чисел. 10 11 12 13 15 16 17 18 19 20 21 22 Пусть G — циклическая группа порядка 15 с образующей а. Что собой представляет факторгруппа Gl{a Пусть GL/,([R) — группа невырожденных (об ратимых) квадратных матриц размера п с вещественными коэффициентами. Покажи-ге что множество матриц SL„([R) е GL,,([R) с он э образует нормальную под GLJR). ределителем группу группы . Установите изоморфизм между мультипликативной группой чисел {1,-1} и аддитивной группой {О, 1} с операцией сложения по модулю 2. . Найдите знакопеременную подгруппу группы подстановок из четырех элементов. 14. Покажите, что доля беспорядков среди все- подстановок асимптотически возможных равна 1/е. Покажите, что порядок группы делится на порядок подгруппы. Изоморфны ли аддитивная группа Q рациональных чисел и мультипликативная группа положительных рациональных чисел? Покажите, что в любой группе ее подгруппа индекса 2 является нормальной. Покажите э что группа простого порядка все гда циклическая и, следовательно, абелева. Покажите, что если произведение двух левых смежных классов группы G по подгруппе И является левым смежным классом, то подгруппа//является нормальной подгруппой в G. Множество {истина, ложь} с операцией И образует коммутативный моноид. Можно ли вложить этот моноид в группу? Подстановки А^ вое строение: имеют следующее цикло , (4, 8, 6) 5 5 4,8), 9 9 9 9 9 ТЫ элементов и 9 Найдите орби в свободной группе G образованной подстановками А^ В. Покажите, что если абелева группа содержит — простое чис- 23 элементов порядка р, где р — л о, то она не циклическая. Группа G действует на себе посредством со- совпадает пряжения. Орбита элемента х е с X. Покажите, что х принадлежит центру группы. ■ ^\, Литература к главе 2 Ван дер Варден Б.Л. Алгебра. М.: Наука, 1979. Каргополов М.И., Мерзляков Ю.И. Основы тео рии групп. М.: Наука, 1982. Курош А.Г. Теория групп. М.: Наука, 1967. Лент С. Алгебра. М.: Мир, 1968. Тараканов В.Е. Комбинаторные задачи и (0,1) матрицы. М.: Наука, 1985. Milne J.S. Сгош) theory (Lecture notes) http*y/www.jmilne.org/math/.
Глава 3. КОММУТАТИВНЫЕ КОЛЬЦА Теория колец позволяет обращаться с различ Если в кольце выполняется условие 3, то го- ными на первый взгляд множествами, такими как ассоциативно' если выполня- целые числа, полиномы, рациональные функции 9 ворят, что кольцо ется условие 4, то говорят, что кольцо коммута- ряды, отображения групп, с использованием оди- тивпо; если выполняется условие 5, то говорят с наковых правил. Аппарат теории коммутативных кольце с единичным элементом. Если в кольщ колец широко применяется при разработке и ис- выполнены требования 3-5, то элементы кольце следовании криптографических алгоритмов. образуют коммутативный моноид по умножению. 3.1. Понятие кольца Кольцом называется непустое множество На основе закона ассоциативности сложения и умножения можно определить суммы и произведения элементов кольца: ? на котором определены две операции «сложе п и сопоставляющие каж ние» и «умножение»,— дым двум элементам « и fc их сумму а + b е «/ а, -^а-у 4-. 4-й «9 И а I а.а^„.а^. /=1 /=1 произведение аЬ е R, Предполагается, что опера ции удовлетворяют следующим условиям. Все элементы по сложению образуют модуль сомножители, можно ным образом. причем слагаемые, а в коммутативных кольцах v переставлять произволь- а-^х с нулевым элементом Умножение дистрибутивно относительно сложения (слева и справа): (а + Ь)с = ас-^ be, с{а ^Ь) = са-^ сЬ. Из однозначной разрешимости уравнения следует, что дистрибутивность выпол- Индукцией по п получаем равенства («1 -Ь ... 4- й и аф 4- ... 4- й и а(Ьх 4-... 4- fc т аЬл + ... -^ аЬ 1 пъ няется и относительно вычитания Умножение на О дает 0: {ах 4-... л-а„){Ьх + ... + М й-0 а(а аа аа axbx't- ... + «1 Ьщ 4- ... 4-й п^1 + ... 4-/7 п^^т* а а)а аа аа кия определении кольца на операцию умноже не накладывается никаких ограничении, кроме дистрибутивности. Однако часто возникает необходимость рассматривать кольца, в которых умножение удовлетворяет тем или иным естественным дополнительным требованиям. Наиболее часто встречаются: Ассоциативность умножения: (аЬ)с Коммутативность умножения: аЬ Пример 3.1.1. Кольца. Кольцо целых чисел (ассоциативное а(Ьс) 4. Ьа. Существование единичного элемента е тако- а для любого элемента а го, что ае еа (при этом элемент е может отличаться от числа 1).^ коммутативное, с единичным элементом). 2. Кольцо тЖ целых чисел, кратных т (ассоциативное, коммутативное, без единичного элемента прит> 1). . Кольцо булевых формул с операциями сложения по модулю 2 («сложение») и конъюнкции («умножение») (ассоциативное, коммутативное, с единичным элементом). 4. Кольцо формальных (без учета сходимости^ степенных рядов (ассоциативное, коммутатив- I Если кольцо не содержит единичного элемента, такой элемент можно формально присоединить к кольцу, дополнив этим кольцо суммами вида ае. Поэтому обычно считают, что кольцо уже содержит единичный элемент. ное, с единичным элементом). 5. Кольцо квадратных матриц с целыми элементами с обычными операциями сложения v умножения матриц (ассоциативное, некоммутативное, с единичным элементом). . Кольцо квадратных матриц с рациональными элементами с обычной операцией сложения матриц и операцией иорданова умножения
33 A-B (AB 4- BA), где в скобках обычное умножение матриц (неассоциативное, коммутативное, с единичным элемешч)м). . Кольцо подмножеств некоторого множества с операциями симметрической разности («сложение») и пересечения («умножение») (ассоциативное, коммутативное, с единичным элементом). Пусть 9 элементы фуппы кватер пионов (см. пример 2.1.2, п. 6), рассматриваемые как базисные векторы пространства векторов с рациональными коэффициентами. Тогда {а + Ы + "^cj-^dk} — — кольцо кватернионов с операцией умножения {а + Ы л- cj -^ dk){A + Ы 4- Cj 4- Dk) (аЛ ЬВ сС dD)'t(aB + bA'^cD-dQi'^(aC't- "t-cA-^dB-hOy ^(aD't-dA "t-bC cB)k (ассоциа тивное, некоммутативное, с единичным элемен том 4-0/4-0/4-0^). X ■ Далее будем рассматривать только ассоциативные кольца с единичным элементом. Коммутативное кольцо называется целост- следует, что хотя равен нулю. ным^ если из равенства аЪ бы один из сомножителей а или Если же аЬ при а О, fc О, то элементы а и называются делителями нуля. Примером целост ного кольца является кольцо Ж целых чисел. такие, что выполняется равенство аа \ а 1 а е. Элементы а для которых в R существуют об аа bb то ратные элементы, образуют фуппу по умноже нию. Действительно, если {аЬ) ты Ь-'а-' е. элемент кольца R. Такие элемен пу называют обратимыми^ а указанную - группой обратимых элементов кольца. груп 2 Если произвольный элемент а кольца складывать сам с собой, то после нескольких сложений может получиться нулевой элемент. В этом случае циклическая группа по сложению, образованная элементом а. является конечной. Наи меньшее положительное целое число w, для которого выполняется равенство wa = О при любом ненулевом «, называется характеристикой кольца. Если это равенство не выполняется ни при каких положительных w, то говорят, что кольцо имеет характеристику Если характеристика кольца является составным числом, то кольцо не может быть целостным. ^ ^ На основе закона ассоциативности можно ввести степени и кратные, при этом п)а па: "^V t d"d 7 а т+п ■Ad )1\)1 а'""; (аЬ) п fliH * - а b : па а-^ а -^ ... 4-й; та -^па = {т -^ п)а 5 п{т.а) пт.а\ п(а -^ Ь)~па -^ пЬ\ • ■ л Пример 3.1.2. Кольца с делителями нуля. . Целые числа с операциями сложения и ум -^" --- п{аЬ) {па)Ь а{пЬ) ножения по модулю 35 образуют кольцо. Для (здесь /7/, п — целые числа и в общем случае мо- а 10, 21 имеем аЬ 210 О (mod 35). 2. Кольцо булевых функций с операциями сло- гут не быть элементами кольца). Если в коммутативном кольце с единичным жения по модулю 2 и умножения (конъюнкции), элементом Любая булева функция/при возведении в квадрат при а е разрешимо уравнение ах то кольцо называется полем. В поле равна сама себе, / поэтому f "^f^fif"^ все ненулевые элементы образуют абелеву то есть каждый отличный от константы элемент группу по умножению. Действительно, сущест этого кольца является делителем нуля. вование единичного элемента е по умножению Кольцо элементами которого являются следует из разрешимости уравнения ах а, су пары целых чисел. Операции сложения и умноже- ществование обратного элемента а следует из ния: {a,b)^{c,d)=^(a^c,b^d), (a,b){c,d)-='(ac,bd). разропимости уравнения ах=^е. Поле является Здесь снаружи скобок символы сложения и ум- целостным кольцом: умножая равенство аЬ ножения означают операции в кольце 7?, а внутри скобок— сложение и умножение в кольце Ж. при ах а на а получаем Уравнение разрешимо однозначно, так как, предпо- Поскольку покоординатные операции удовле- ложив существование двух решении. творяют условиям ? ? то и операции в удов ах имеем 1 ах' и, умножая последнее равенство на а летворяют им. Нулем здесь служит пара (О, 0). получаем х Делителями нуля являются пары вида («, 0) и , / X . (О, Ь\ поскольку (й, 0)(0, (О, 0). ■А IV:» т /; J^ ^ z> Сокращение равенств ах = ау, ха = уа на элемент а в общем случае возможно лишь тогда, когда а не является делителем нуля. Например, в кольце но 2^9 Для справедливо равенство -) Группу обратимых элементов иногда называют группой единиц, а сами обратимые элементы единицами. ничныи элемент этом случае единица кольца и еди- — разные понятия. Например, комплексные числа с целыми коэффициентами образуют кольцо, в котором обратимые элементы со- некоторых элементов коммутативного ставляют множество {1, ? /■}, однако единич- кольца R могут существовать обратные элементы ныи элемент число
36 3.2. Гомоморфизмы колец На кольца естественным образом распространяются понятия гомоморфизма и изоморфизма J V Отображение ф: R мом колец R и R\ если выполняются равенства Кольца можно рассматривать как объекты ка называется гомоморфив- тегории, а гомоморфизмы колец— как морфиз- мы этой категории ф(й 4- fc) = ф(й) 4- ф(й), ф(йй) = ф(й)ф(Й) 3.3. Частные для любых й, b ^ R. Биективный гомоморфизм колец называется изоморфизмом колец. Теорема 3.2.1. Гомоморфный образ кольца яв Предположим, что каждый элемент коммута- является одновременно эле- тивного кольца ментом поля а сумма и произведение двух ляется кольцом. Гомоморфный образ коммутатив- любых элементов кольца R в поле К совпадают с ного кольца является коммутативным кольцом. Доказательство [3]. Пусть i?— кольцо, R — суммой и произведением этих элементов в коль — це R. Тогда говорят, что кольцо R (эндоморфно) множество, на котором определены две операции, вложено в поле К. Например, кольцо Ж является и ф:7? t гомоморфизм. Покажем, что в t выполняются аксиомы кольца. Пусть а\ Ь\ с t а. ceR. образы элементов (й 4- й) -ь с = й 4- (fc 4- с) следует Из подмножеством поля \ь комплексных чисел, при этом сумма и произведение чисел в Z совпадают г равенства с суммой и произведением чисел в С. 4-fc')4-c' d 4- (fc' 4- с'). Так же доказываются ассоциативность умножения и коммутативность сложения. Если коммутативное кольцо R вложено в не- а то есть Из равенства « 4- О = « следует а' 4- О' в R' существует нулевой элемент О', совпадающий с ф(0). Так же доказывается существование в которое поле К, ментов кольца К, то внутри поля к из эле строить частные можно а аЬ 1 1 а. если Выполняются еле- противоположного элемента -а\ совпадающего с а). Покажем, что выполняется дистрибутивность. Поскольку аф 4- с) = «fc 4- ас^ то по определению гомоморфизма получаем дующие правила: а с тогда и только тогда, когда ad be и bd (для проверки достаточно умножить Ф(й(й 4- с)) = аЧЬ' 4- с'\ (р(аЬ + ас) = аЪ' 4- а'с\ обе части первого равенства на bd); поэтому а'(Ь' 4- с') = а'Ь' 4- а'с'. Кроме того. а 4- С ad-h-bc Ф(0 следует d b Ф(0) ф(а) ф(а). Из аЬ Ьа bd ,bd 9 f b'd. a с Такими же рассуждениями можно показать. ас bd 9 bd что (р{е) полем) е\ ф(й ф(й) Частные составляют целостное (если кольцо является кольцо (так как поле К не содержит делителей нуля). Кроме случае изоморфизма R t все алгебраиче- того, каждый ненулевой элемент а имеет об ские свойства кольца R переносятся на кольцо R. Поэтому изоморфный образ целостного кольца является целостным кольцом. При гомоморфиз- , отображение ратный Поэтому частные составляют поле. а ме это неверно. например является гомоморфизмом, но содержит делители нуля. Изоморфный образ по ля является полем. которое называется полем частных коммутатив ного кольца R. Если кольцо R целостное, то ча а стные можно строить для всех b общем случае для построения поля частных Пример 3.2.1. Изоморфизм колец. Кольцо кватернионов (см. пример 3.1.1, п. 8) коммутативного кольца R не обязательно нахо изоморфно кольцу квадратных матриц размера 2. дить поле К. Пусть физм — мнимая единица. Тогда изомор- колец задается отображением базисных векторов: J •> I •> Теорема 3.3.1. Каждое целостное кольцо можно вложить в некоторое поле К. Доказательство [3]. Очевидно, что если состоит из одного нуля, то это возможно. Рассмотрим случай, когда R содержит ненулевой элемент. Па е элементов («, b кольца R сопоста-
37 вим дробь а ^ь Определим эквивалентность на общем случае в качестве возможных знаме парах (й, Ь) -^(с.а) в соответствии с указанным нателеи можно использовать не все элементы, не являющиеся делителями нуля, а лишь некоторое выше правилом 1. Очевидно, что это отношение симметрично и рефлексивно. Кроме того, оно транзитивно 5 ? (g,f) 9 так то ad как если (а,Ь) (c,d). мультипликативное подмноэ/сество S кольца такое, что ху ^ S для всех х, у ^ S. Построение частных в этом случае приводит к кольцу част и ых Ruo S. ■ be ? dg ? следовательно -^ -:f ? adf bcf bdg. Сократим на менты двойного равенства и получим af крайние эле- fce, то есть {а^Ь) (g.A Это отношение разбивает множество пар («, Ь) на классы эквивалентности. которые обозначим а Пример 3.3.1. Кольца и поля частных. 1. Полем частных для кольца Z является поле рациональных чисел. 2. Кольцом частных кольца Z по мультипликативному подмножеству, образованному степе- Определим сложение и нями двойки {1, > , ...}, является кольцо ра циональных чисел, у которых в знаменателе сто умножение дробей а е и в соответствии с пра ит степень двойки. 3. Кольцо частных кольца Ж/35Ж совпадает с вилами 2, 3: а 4- е ad-\-be а е bd 5 ае М One рации определены корректно, так как если 3.4. Предварительные сведения и й?^0, то bd и выражения ad+be bd и ае М о полиномах имеют смысл. При переходе от («, fc) к эквива лентной паре (d, b') получаем ab' = a'b. Тогда: Пусть целостное кольцо. С помощью но вого элемента х ^ построим выражение вида ■V4r- '- "^ г-. adb f a'db; fix) />0 a:X 1 I 5 В котором a / и сумма содер- adb' -h beb' = a'db + b'eb ? (ad + be)b'd = (dd + b'e)bd. ЖИТ конечное число слагаемых. Такие выраже ния называются полиномами над кольцом 7?, сим вол X называется переменной, элементы а I ко л ^ Следовательно, ad + be dd + b*e bd b'd ^ TO есть эффициентами. Степенью deg(/) полинома/на зывается наибольшее число /, для которого «/ ^ сложение каждой из эквивалентных пар с одной и той же дробью дает одинаковые суммы. Ана- Полиномы можно складывать и умножать, при этом символ X считается перестановочным со всеми элементами кольца. Сложение и умноже логично можно показать, что умножение каждой ние выполняется по формулам из эквивалентных пар на одну и ту же дробь дает что одинаковый результат. Нетрудно проверить, введенные операции ассоциативны, коммутатив а.х I + Тьу Тс,.', С I а I +ь i > ;>0 />0 />0 ны и дистрибутивны. Кроме того, полученное поле частных содержит само кольцо 7?, если ото- а.х / I И^ / :Х I I С:Х , С I т^л />0 />0 ;>0 J+k I ждествить элемент а с дробью аЬ 5 Эти дроби складываются и умножаются так же, как элементы кольца R. Следовательно, построенное поле К содержит кольцо R, и операции сложения и умножения в К соответствуют сложению и умножению в R, Теорема 3.4Л, Полиномы образуют кольцо. Доказательство. Выполнение требований по сложению очевидно, так как сложение коэффициентов выполняется в кольце R, Нулем кольца полиномов является полином с нулевыми коэффициентами. Дистрибутивность следует из равенства Эта конструкция может быть перенесена и на коммутативное кольцо R с делителями нуля. В этом случае знаменателем дроби может быть aXh+c.) J abf^ + ajC^ j+k I j^k 1 }+Ы1 Ассоциативность умножения следует из pa любой элемент кольца, не являющийся делите- венства для коэффициентов лем нуля. Построенное таким образом множество частных образует кольцо, содержащее исход ное кольцо 7?, и называется кольцом частных. -^ ^-^ __гТ* а к 1Х У+^ I Yhc т s a,.b,c k^^r-m U+m=j k+!+m=i
38 Кольцо полиномов над R обозначается Щх\, старший коэффициент полученного полинома Полиномы степени О являются элементами коль- будет равен 0. Из результата опять можно вы- , поэтому кольцо полиномов содержит R, честь кратное g{x) и т. д. Повторяя эту процедуру ца Переход от i? к R\pc\ называется присоединением несколько переменной х к кольцу R, К кольцу R\x раз, получим остаток со степенью 1 можно меньшей, чем присоединить новую переменную xj ё R\pc\\, при равенство deg(^). gh-\-r. Значит, можно записать где deg(r) deg(^). Такая этом в силу перестановочности х\ и х2 получится процедура называется делением (с остатком), кольцо i?[xi][jC2] = R\xu -V2]. Таким образом можно получить кольцо i?[x,, ...,х,] полиномов от не- 3.5. Идеалы и классы вычетов скольких переменных, элементы которого имеют вид л 1 Zj^il.Jr,^^\ '"-^п случае полинома от не Пусть некоторое кольцо. Собственное скольких переменных различают степень по пе ременной Xj, при этом коэффициенты при х, подмножество будет подколъцом кольца в степенях являются полиномами от различных остальных переменных. Степенью полинома от п переменных называют наибольшую сумму по- ~|~ * * * *" /м» если оно замкнуто по сложению и умножению и вместе с каждым элементом содержит противоположный (считается, что правила сложения и умножения в л и в о одинаковые). Ассоциативность сложения и умножения и дистрибутивность для S казателеи выполняются автоматически, так как S R, Вместо переменной х в полином дх) е R[x] можно подставлять произвольный элемент Пример 3.5.1. Подкольца. а даже произвольный элемент а некото Поле рациональных чисел является коль RX перестановочный со всеми цом и содержит в себе следующие подкольца: рого кольца элементами из R, при этом Да) называется значением полинома J{x) для аргумента а. Если /а) значение полинома/(х), g(a) — значение полинома g(x) и f(x) + g(x) = r{xX /x)^W s(xX кольцо ж целых чисел; кольцо wZ; кольцо, состоящее из одного нуля; то /а) + g(a) = rial /aWa) s{a). Поэтому кольцо рациональных чисел вида тр , где п сопоставление переменной X произвольного п элемента а Щх] задает гомоморфизм колец не делится нар. R, /?, а 0, называется пра Теорема 3.4.2. Если кольцо то кольцо R[x] тоже целостное, и целостное. Подмножество 21 вым идеалом, если: является подгруппой аддитивной группы есть degOfe) = degCO + deg{g) (то й 4- fc € 21); для любых а 21 выполняется для любыхДх), g(x) i Доказательство R[xl для ах х любых 21, то есть 2Lt и а выполняется 21. Пусть fix) а^х t I 5 Аналогично определяется левый идеал Если ;>0 g{x) У]Ь,х', deg(/) = т, deg(^) = п. Тогда стар идеал является одновременно правым и левым, то его называют двусторонним идеалом или про- ;>0 СТО идеалом. коммутативных кольцах все шим коэффициентом полинома Лх^х) будет а т'-^п О, так как a„. 0,fc п о и кольцо R целостное. Поэтому ЯхМх) ^ О, а degO^) = degO^ + deg(^) идеалы двусторонние. Идеал, в отличие от подкольца, замкнут относительно умножения на элементы кольца, то есть идеал является подкольцом, но обратное неверно. Следствие 3.4.3. Если кольцо R целостное, то кольцо R\x\, ...,хЛ тоже целостное. . Например, для кольца i?[x] кольцо подкольцом, но не идеалом. будет Доказательство выполняется индукцией по числу переменных. Пример 3.5.2. Идеалы. 1. Нулевой идеал (то есть состоящий из одного нуля). Пусть кольцо и пусть fix) а.х t Единичный идеал (то есть содержащий все I 5 />0 КОЛЬЦО R), gix) Yb,x\ deg(/) m, AQg{g) = n, m>n. Qi /5 />0 / И n e. Тогда, если e(jc) умножить на . Идеал кольца полиномов, состоящий из полиномов, имеющих общий корень (см. п. 3.11). . Идеал {а\ порожденный элементом а. то «тХ т-п есть состоящий из всевозмояшых выражений вида и вычесть полученный полином из пх\ то га, гпе г е 7?. Т ои ипеал пазы ваетс глав ым.
39 5. Идеал (ai, ..., аД порожденный элементами ф(г) О]. ,,,, а^. Такой идеал состоит из сумм вида г S а. для 5 € 7?, то ф(г О', то есть ^ J „ --^ J ' >' V Гй / ; ' где Г/ € 7?. Элементы «^ ...,«,. образуют 6a5wc идеала. 3 Таким образом, каждому гомоморфизму соответствует идеал, являющийся его ядром. Гомоморфный образ кольца R по идеалу 21 называется Любой идеал 21 как нормальная подгруппа кольцом классов вычетов R по % или фактор аддитивной группы кольца К определяет разбие- кольцом, и обозначается i?/2l. , :::^ j--_ ние кольца на смежные классы, или классы вычетов по идеалу 21: г + 21, где г е 7?. Для клас Рассмотрим обратную задачу. Построим сов вычетов можно задать умножение: кольцо R\ являющееся гомоморфным образом (г 4- 2t)(5 + 21) = Г5 + 21. Умножение определено кольца R по идеалу 21. корректно. Действительно, зададим эти классы вычетов другими элементами ri + 21 и ^i + 21, где J^. Г\ г + а. S\ s'^b и й, 21. Тогда Теорема 3.5.2 гомоморфизмах колец). Гомоморфный образ кольца изоморфен кольцу {гу + Щ{8х + 21) = (г 4- а + Щ{8 4- й 4- 21). Посколь- классов вычетов по ядру гомоморфизма. Kya + 2l=fc + 2l = 2l,To ns^ + 21 = r^ + 21. Два элемента а, b называются сравнимыми по идеалу 21 (или по модулю 21), если а-Ь €21. Этому соответствует запись а Доказательство. качестве элементов кольца R' возьмем классы вычетов кольца i?/2t. Отображение, при котором каждому элементу а (mod 21) или, соответствует образ а короче (с) а (21), называемая сравнением пишут Если главный идеал то а (mod (с)) или а (mod , корректно определено и является гомоморфизмом колец. Между элемен тами кольца R' и классами вычетов из Л/21 суще ствует биекция. Класс К^ соответствует элементу Над сравнениями можно выполнять операции а f R' класс h элементу R', сумма и (mod 21) остается произведение классов переходят в Ка+ь и Каь^ то Очевидно, что сравнение а в силе, если к обеим его частям прибавить один и есть им соответствуют а' -^ Ь' и аЪ 5 ТОТ же элемент или если обе части умножить на {а + Ь) f а f + b f ? {ab) f a f f \ Поэтому Таким образом J один и тот же элемент. Если а = Ь (mod 21), то имеет место изоморфизм колец Л f i?/2l a-^c^b + с (mod21), ас = be (mod21) и ca (mod21). Если a=b (mod21) и a r f cb (mod 21), TO a+d=b+d b-^b f (mod 21), TO есть сравнения Теорема 3.5.2 устанавливает точность после довательности гомоморфизмов колец [5] можно почленно складывать и, следовательно, умножать на целое число. Кроме того, сравнения 21 i?/2t можно почленно перемножать: аа г Ъа f bb f (mod 21). Таким образом, со сравнениями можно оперировать как с равенствами, за исключением того, что сокращать в кольцах на делитель нуля, вообще говоря, нельзя. ^^ ш^ *- - i' ^ * Пример 3,5,3, Кольца классов вычетов. 1. Для кольца Z и идеала пЖ кольцом классов вычетов является Ж/пЖ, 2. Для кольца Q[x] полиномов с рациональ- и главного идеала. ными коэффициентами Теорема 3.5.1, Ядро гомоморфизма R' (не обязательно коммутативных) колец является идеалом в 7?, а полные прообразы элементов из К являются классами вычетов по этому идеалу. образованного полиномом J[xX кольцом классов вычетов является QM/(/(x)). Доказательство. Пусть (р: R f гомо морфизм. Покажем, что 21 = Кег(ф) является дву На множестве идеалов коммутативного коль ца можно определить бинарные операции ело жения, умножения и пересечения. сторонним идеалом. Если Ф(«) Ф№) f R, ТО 21 и. а. то есть Пусть 21 и ?8 идеалы коммутативного а 21. Значит, следовательно, модуль. Кроме того, если кольца i?. Определим сумму идеалов 21 + ?8 как подмножество кольца 7?, образованное суммами г а % то ф(Гй) ф(г)ф(й) О', Ф(аг) вида а-^ К где а % «. ф(а)ф(г) = 0'. Поэтому идеал. Теперь по Сложение идеалов коммутативно; 21 + Ш кажем > что полные прообразы элементов из f Ш + 21 и ассоциативно; для любых трех идеалов являются классами вычетов по этому идеалу. Ее % «, имеет место равенство (21 + ®) + С ли ф(г) г г то Ф(й + г) = О' + г' г f Если 21 + (?8 + £) = 21 + !8 + е. Каждый идеал идем по тентен по сложению: 21 + 21 = 21. Нулем для one 3 Базис идеала и число элементов базиса опреде рации сложения идеалов является нулевой идеал (0). Поэтому идеалы образуют коммутативный лены неоднозначно. Если {^ь ..., ^г} — базис идеала моноид по сложению (для ненулевого идеала 21 не 21 и Z? е 21, то {аи .••5 ^п тоже базис идеала 21 существует идеала ® такого, что 21 + ® (0).
40 Теорема 3.5.3. Пусть 21 и Ф— идеалы ком- Доказательство. По определению произве- мутативного кольца R, Справедливы следуюшие дения идеалов WS з (а,й/). Кроме того, для лю fg утверждения . 21 + Ш — — идеал. 21 + Ф — наименьший идеал, содержащий 21 и«. бого 21?8 существует представление > где/ 21 ? Ш Если а + ^в (ai 5 1 «Л, («1 5 5 О г? 1 5 5 (fei fe.) 5 ТО где Г/, Sj € i?. Поэтому Однако f-^Yu^fli^g X ^(/«' ^ S^/. ? /я Доказательство [4]. 1. Пусть «, й / и Имеет место включение 21« 21п^В, по ^ Тогда (й 4- i) + (d + fc') = (й + «') + (fc 4- скольку элементы идеала 21® имеют вид аЬ^ где + &') 21 + ®. Если г — любой элемент кольца R а 21, «. Но ЙЙ 21 и аЬ «. Поэтому то г(й + h)~ra+ rb, где r« е 5 г/) ®. Поэтому й/) 21п«. сумма идеалов является идеалом кольца R. . Пусть идеал С содержит идеалы 21 и ?8. То f ■ Пример 3.5.4. Произведение и пересечение гда £ содержит суммы « + fc, где а 21-й ?В. то идеалов. есть 21 + ?8, поэтому наименьший такой идеал £ совпадает с 21 + ®. ?8 ляют собой множество полиномов, свободный кольце 7Цх\ идеалы (х, 3) представ 3. Идеал («ь ••> «п '^i , ..., fcs) содержит идеалы член которых делится на и 2t + « «. соответствии с п. 2 получаем 21п?8 Ъ (X, 3), а 21?8 2 Тогда ^^ Зх,9) и («ь 5 й Г5 1 5 суммы идеалов 21 + ® этому 21 +Ш («ь 5 й Г; («1, По определению 21 п ?8 строго больше, чем Шё: 2jc + 3 е 21 п ®, .,й^, Ьи ..., fcv), по 4 НО 2х: + 3 21«. , ад. Теорема 3.5.5. Для идеалов коммутативного Пересечение идеалов коммутативного кольца кольца 7? выполняется дистрибутивность: (как множеств) является идеалом. Действитель но, если 21 и ® — идеалы кольца R, то 21 п ® непусто и содержит по крайней мере 0. Если с^ С2 е 2tn ®, то С\, С2 е 21 и Си Сг е ®, поэтому 21(« + а = St?8 + 2ie. Доказательство. Идеал 21(®+С) порожда Ci + с? е 21 и Ci + ^2 е ®, то есть С\^ Ci е 21 п ®. Поскольку для г и с € 21 п ® справедливо ется элементами вида aQ) + с), где а с € С Но для элементов кольца 2L «, выполняется ГС Е 21, ГС Пусть ?8,тогс€21пШ 21 и « идеалы коммутативного «(fc + c)-afc + ac€2t?8+2lC Поэтому 2t(?8 + С) 2t?8 + 2t£. Однако идеал 21?8 + 2t£ порождается элементами аЪ + «с. кольца R. Идеал 21®, порожденный всеми произ- равенство аЪ + ас для ведениями afc,, где а J I 21 и 7 ?8, состоит из St(« + С) 3 21« + 2te которых справедливо € 2t(® + С), то есть поэтому 21(?8 + С) сумм вида У^«/й/ и называется произведением 21Ш+21С. 6 идеалов. Произведение идеалов коммутативно и ассоциативно: 2l« = ?82t, 2l(?8£) = (2l^B)e. Еди- Иногда классы вычетов коммутативного кольца R по идеалам 2ti, ..., 2t„ определяют кольцо i?. ничным элементом для операции умножения идеалов является само кольцо R. Поэтому идеа лы коммутативного кольца образуют коммута Теорема 3.5.6 (китайская теорема об остах тивныи моноид по умножению Теорема 3.5.4. Если («ь • • 5 ^rh "В ках). 21,,... 21, + 21- Пусть коммутативное кольцо и ,2L идеалы кольца такие. что (Ьи ..., bs\ то 21® = («1^1, «1^25 .-•, оА). R для всех / ^у. Тогда для любого набора элементов jci, ...,x,;, где х, е i?/2t/, существует такой, что X = Xi (mod 21Л для всех элемент х <1<П. Доказательство. Докажем теорему по ин 4 Сумму идеалов 21 + S обозначают также (21, S) дукции. Для W существуют элементы идеалов и называют их наиболъшгш общим делителем. а\ е 21], «2 ^ 212 такие, что «i + «2 = е. Тогда тре 5 Пересечение идеалов называют также их наи буемое представление для элемента X R: X меньшим общим кратным. 6 Отметим, что 2tS не состоит из попарных про- Х2а\ +JCi«2. Предположим, что теорема доказана для п изведений элементов, входящих в 21, S (эти произве дения не образуют идеал); а пораж-дается этими про изведениями. идеалов со свойством 21, + 21, для всех i^i Следовательно, существуют пары элементов а I 21 1 и I 21„ / > 2, такие, что «/ + Ь, е. Про
41 П изведение сумм ]"[(«/ +Ь^) = е. Кроме того 5 ПО ГО (=2 Ненулевой необратимый элемент р целостно кольца называется простым, если из р\аЬ определению идеала это произведение является п элементом идеала 2lj +ГТ21у . Следовательно, следует/? | а или/? | Ь. Простым идеалом кольца R называется такой идеал ф, кольцо классов вычетов 7?/ф которого является целостным. Если а' 5 1=2 г т. то из условия аЪ t следует, что этот идеал совпадает с кольцом R: а t или г Другими словами. из аЬ п 2t,+f|2t /■=2 / R, (mod ф) следует « = О (mod ф) или b = Q (mod ф), силу справедливости теоре- то есть произведение двух элементов делится на идеал ф тогда и только тогда, когда на Ш делится мы при п можно найти элемент vi е 7? такой. один из сомножителей. п что у\ = е (mod 21 1 и I (modr~[2l,). Но тогда i=2 ТОЧНО так же найдутся элементы Vj ^ R такие, что Пример 3.6.1. Простые идеалы. 1. Единичный идеал, содержащий все кольцо R I 2. Для кольца Z простым идеалом является е (mod Щ и j, = О (mod J][St^). В этом случае идеал (р), образованный простым числом р, . Нулевой идеал является простым только целостного кольца. Например, У'^' п требуемый элемент хек имеет вид х У^^.У I для в кольце /=1 Китайская теорема об остатках часто исполь зуется в криптографии и вычислительной техни ке. Примеры ее использования: (mod 35), кольца. имеет место равенство 10-2] но 10 и 2] ненулевые элементы быстрое умножение больших чисел п. 7.1.2); (см Идеал Ш коммутативного кольца R называется максымалы^ым^ если он не содержится ни в каком другом идеале, кроме самого кольца R. нахождение индекса элемента конечной цик- Гельфонда (см. п. 1 ] .1.1) за счет представления ее в виде тивного кольца Теорема 3.6.1. Каждый отличный от еди лическои фуппы алгоритмом ничного максимальный идеал Ш коммута является простым, и кольцо прямого произведения групп в соответствии классов вычетов ШШ является полем. Обрат с теоремой 2.7.1; но, если ШШ поле, то Од — максимальный вычисление дискретного логарифма в группе идеал. « р методом базы разложения (см. п. 10.1) Кольцо в котором существует единствен ныи элемент х для каждого набора х I Rl% /5 на Доказательство. Для доказательства того, что RIdK является полем, достаточно показать, что в кольце классов вычетов RJdJl разрешимо ' при й'^0'. Это равносильно уравнение ах зывается прямой суммой колец R]% и обознача- разрешимости сравнения ах (mod Ш) при ется/г=i?2i^ е... ei?st„. а 9я. Идеал 9я и элемент а порождают совме стно идеал (ОН, а). Поскольку а €Ш,то идеал Ш 3.6. Делимость идеалов является делителем идеала (ОН, «) и ОН ^ (ОН, а). Так (ОН,й) как ОН максимальный идеал. то R. Из последнего равенства следует, что Для элементов коммутативного кольца можно произвольный элемент b кольца R можно пред ввести понятие делимости на идеал. Пусть ставить в виде т + аг, где m е ОН, г е 7?. Го t df идеал кольца R. Если g е 21, то говорят, что а моморфизм из кольца R в кольцо i?/OH переводит делится на идеал 21. Если все элементы идеала 21 это равенство в равенство принадлежат идеалу 21', то говорят, что 21 делит- решение уравнения ся на 21', или что 21' делит 21, и обозначают 21 t.j ах Ь\ , которое дает Таким образом. t 21. Например, идеал («, Ъ) делится на идеал («, fc, с). Пусть 21 {Ь\ 21 / (&'). Тогда запись {Ъ) (mod (&')) означает, что гЬ\ где г 5 И дели является то, что в разложении можно не учитывать обратимые элементы. Действительно, пусть кольцо — обра- целостное идеал этого кольца и е мость главных идеалов соответствует делимости элементов. 7 тимыи элемент. Тогда вместе с каждым элементом а идеал 21 содержит и еа. Если идеал содержит элемент 7 е, то он содержит и элемент е с кольцом R. кк 1 то есть совпадает Определение делимости для идеалов дает некоторые преимущества по сравнению с определением делимости для элементов. Одним из преимуществ не имеющим делителей. Максимальный идеал называют также идеалом
42 кольцо i?/9H— поле и, следовательно, не имеет меньшей степени. Поскольку в Щх\ существуй целителей нуля. Поэтому идеал fflt является про- алгоритм деления. то для а справедливс U тым. Докажем обратное утверждение. Если К1Ш представление Поэтому deg(r) qa + г, где deg(r) deg(«) Но если г ^ О, то г € 21 явля поле и собственный делитель идеала 9Я, то ется элементом поля К. Поскольку каждый эле- для а %а ОН, сравнение ах = Ь (mod 9д) од- мент идеала 21 делится на некоторый полином, тс нозначно разрешимо при любом Ъ (это следует г не может быть ненулевой константой. Следова из однозначной разрешимости уравнения ах в рассматриваемом поле). Следовательно, ах mod 21), отсюда Q = b (mod 2t) для произвольного тельно, г Тогда qa, то есть 21 = (а), идеаг 21 главный. f R, Значит, 21 R. Целостное кольцо, в котором каждый идеаг является главным, называется кольцом главнъо Таким образом, любой максимальный идеал идеалов. Таким образом, Ж и Щх\ являются коль- является простым. Обратное, однако, неверно. Цами главных идеалов. Например, в кольце Q[x,j;,z] идеалы (х) и {х.у) Любое поле является кольцом главных идеа- являются простыми, при этом идеал (х, у) является собственным делителем идеала {х). Действи- гельно, для колец классов вычетов справедливы равенства Q[x,j;,z]/(x)-Q[y,z], <^[x,y,z\l{x,y) Q[z]. Поскольку Q — поле, то эти кольца клас ов вычетов являются целостными согласно тео лов, так как если 21 — произвольный ненулевое идеал поля, го вместе с любым элементом а ог содержит и а а е^ то есть 21 {е) единствен ныи ненулевой идеал. Эти рассул^ения можно обобщить следующим образом. Пусть целостное кольцо i реме 3.4.2. Следовательно, идеалы {х\ (х, v) яв- существует функция g\ К >о ияются простыми. ЕслиОЛ максимальный идеал коммутатив , которая каждому ненулевому элементу а е к сопоставляет неотрицательное целое число g(a) со следующими нюго кольца 7?, то для любого идеала 21 произве- [^ение идеалов 21 и 9Л равно их пересечению. 3.7. Евклидовы кольца свойствами: 1) для аФО.ЬфО справедливо g{ab) > g{a)\ для любых двух элементов а, b существует представление , где й ^ О qa~^r, в кото- и кольца главных идеалов ром г = о или g(r) gia). Для кольца Z целых чисел g{a) а 9 для коль- Понятие евклидова кольца, связанное с алго ритмом Евклида, удобно пояснить на примерах Рассмотрим сначала кольцо целых чисел. ца К[х] полиномов g{a) deg(«). Кольцо с такими свойствами называют евтти довым кольцом, или евклидовой областью Лемма 3.7.1. В кольце Ж каждый идеал явля Обобщением лемм 3.7.1, 3.7.2 является следующая теорем а. ь/ тся главным. Доказательство. Пусть 21— произвольный Теорема 3.7.3. В любом евклидовом кольщ вдеал кольца Ж. Если 21 (0) каждый идеал является главным. ■ -* нулевой идеал 9 ТО главный идеал. Если в есть ненулевое число с, то ~с е 21. Одно из этих чисел поло жительное. Пусть а — наименьшее положитель Применяя эту теорему к единичному идеалу совпадаюпдему с евклидовым кольцом получаем, что все элементы кольца R являются кратны- ное число идеала 21. Тогда для произвольного ми некоторого элемента а ^ R. числа fc е 21 имеет место равенство Ь = qa~^r, где элемент а частности, ca^ г остаток от деления b на а. Так как О представляется в г аи eeR, Для qa получаем виде да а ае. гт дае. откудг я наименьшее положительное число идеала. юг 0. Следовательно, b be. то есть евклидово кольцо обязательно со- да, то есть все числа из вдеала 21 кратны «, 21 = (а) и идеал 21 — главный держит единичный элемент е. кольце главных идеалов R два любых пену левых элемента а, b порождают идеал (а, Ь) вид Лемма 3.7.2. Если К— поле, то в кольце Щх] {га + 5Й}, который тоже является главным и ПОЛИНОМОВ от одной переменной каждый идеал следовательно, порожден некоторым элeмeнтo^ главный. то есть Доказательство Если 21 нулевой идеал рых g. ra + sb, а е R. Значит, № па для некотс является наибольши! то 21 (0) и утверждение теоремы верно Пусть общим делителем элементов «, и (d) {а. произвольный ненулевой идеал. Поскольку степень полинома — целое неотрицательное число, то в идеале 21 существует полином а наи- Таким образом, в кольце главных идеалов ка^ дые два элемента имеют наибольший общий щ литель.
43 Пример 3.7.1. Евклидовы кольца. 1. Кольцо Z[/], где / = v^ — мнимая единица. Присоединив к кольцу Z элемент /, получим множество, состоящее из чисел вида а = « + fc/. где й, о € Z, и представляющее собой кольцо целых гауссовых чисел. Это кольцо является подмножеством поля комплексных чисел и поэтому целостно. Определим функцию g{a) = (а+ Ы)(а - Ы) = а^ + Ь^ Ж >о Функция g обладает свойством мультиплика- ЧТО легко проверить прямым вычислением. При тивности: g'(cxp) = g-(a)g-(p) для любого р 7^ О можно найти частное а s + ti, где S, t рациональные числа. Пусть тип ближайшие целые к S и t такие, что S т ,к п ? и пусть y^m + ni^ Z[/]. Тогда а т) 2 +(t 2 + Число а Ру является элементом кольца Z[/]. Тогда либо 5 = 0, либо я{Ъ) < g(p), так как g(5) а gi^)g а 1р g(P) Кольцо Z[co], где + со ком плексный кубический корень из удовлетво 2 Тогда а т) 2 Ht 2 m)(t + + Число а ру является элементом кольца Z[co]. Тогда либо 5 = 0, либо g{5) < g(p), так как g(8) а gi^)g а 3g(P) ных Кольцо полиномов i^x,j] от двух перемен- также кольца полиномов от большего числа переменньгх) над полем К не является евк лидовым. Например, для /л% У) х^/^и g(x, у) = ху + х+у не существует остатка г от деления / на g со степенью меньшей, чем deg(g). Это кольцо также не является и кольцом главных идеалов. Например, идеал (х, у) не главный. евклидовом кольце наибольший общий делитель двух элементов а, b (вычисляемый алгоритмом Евклида) образует главный идеал, совпадающий с идеалом (а, 6), образованным этими элементами. Поэтому иногда вместо НОД(а, пишут (а, Ь). 3.8. Разложение на множители Согласно основной теореме арифметики в кольце Ж существует однозначное разложение на простые множители. Однако такая однозначность имеет место не во всех целостных кольцах. Пример 3.8.1. Отсутствие однозначного раз ряющий уравнению со + со + 1 = 0. Присоединим ложения на множители. к кольцу элемент со; полученное множество состоит из чисел вида а а + йсо вместо со 2 МОЖНО подставить (поскольку со). Рассмотрим кольцо Z[V Ж[хУ(х 2 + 5) где а. чисел вида а+Ь\[-5 с целыми коэффициентами , и представляет собой кольцо. Это кольцо целостно как подмножество поля комплексных чисел. Определим функцию а^ Ъ. Здесь число 6 может быть разложено суще ственно разными способами: • 3 и (1+л/ 5)(1 л/-^). ли S /. gi^) (а + йсо)(а + бсо 2 с^ + Ъ 2 аЪ >о Функция g обладает свойством мультиплика gZ[co] тивности: ^(аВ) - ё'(а)е(В) для любого При (3^0 можно найти частное а ар РР 5 + ГСО, где S, t— рациональные числа. Пусть тип ближайшие целые к S и такие, что S т At п , и пусть у т + п(х) Z[co] Покажем, что полученные сомножители 2, 3, ]+л/ далее не раскладываются. Пей ствительно ? если предположить. что (а + Ъл} 5)(с + с/л/-5) с целыми а, 6, с, с/, то должны быть легко видеть, что делители числа сопряженными. Значит, {а+Ьл} 5)(а 2 с целыми а и Ь. что невозможно 5) Очевидно, аналогичное предположение о разложимости числа 3 тоже ведет к противоречию. С другой
44 стороны, если предположить, что существует раз ложение 1 + л/ (а + Ъл! 5)(с + С целы ми а, 6, то должно существовать и разложение с/л/ 5 ). Перемножив эти числа, получаем (1+л/ 5)(1 2 2 + 5/?^Хс 2 + 5с/ 2 Поскольку а +56 ^2, а +5Ь т^ 3, то остает ся а^ + 56^ с^ + 5с/^ откуда а +1, Ъ с +1, с/ +1, то есть числа 1+л/ тоже на множители не раскладываются. Говорят, что элемент а целостного кольца на про обладает однозначным разложением стые мноэ/сители, если имеет место равенство a==upi...pr, где и— обратимый элемент кольца, — неразложимые элементы, и для двух таких / разложении а W] г и а v!q\...qs имеет ме сто J I г/Л/, где ц — обратимые элементы. и S ир Ы] и^И . Целостное кольцо называется факториалъ ным^ если всякий его элемент имеет однозначное разложение на простые множители. В фактори альном кольце неразложимые элементы являют ся простыми. --- ^Ло V.- Любой элемент а целостного кольца может быть представлен как произведение самого себя Теорема 3.8.2. Всякое кольцо главных идеа лов обладает однозначным разложением на про стые множители. на произвольный обратимый элемент b кольца и факториальном кольце не обратного к нему элемента 1 а (ab)b ] . Такие разложения называются тривиальными. Эле разложимые элементы являются простыми. Доказательство. Сначала докажем, что ка ждыи ненулевой элемент имеет однозначное мент, допускающий только тривиальное разло- разложение на простые множители. Обозначим через множество главных идеалов кольца жение, называется неразлоэилшым. Простой элемент всегда неразложим, но неразложимый эле- образующие которых не имеют разложения на мент может не быть простым. В примере 3.8.1 в простые множители. Предположим, что 5'^ 0, и выполняется 3), НО 5)|2 И + 5)|3, то (1 + л/ 1 + л/ Элементы а и с^аЬ, для обратимого 6, назы вают ассоциированными. Каждый из них являет покажем, что это ведет к противоречию Рас смотрим произвольную цепочку возрастающих есть элемент главных идеалов (аз) и из S. Мы неразложимый, но не простои. утверждаем, что она не может быть бесконечной. ся делителем другого. Поэтому (а) (с), (с) (а) и, значит, (а) - (с), то есть ассоциированные элементы порождают один и тот же идеал. Отношение ассоциированности является эквивалентностью и разбивает множество элементов кольца на классы. Таким образом, класс неразложимых ассоциированных элементов можно представить одним неразложимым элементом. Если элемент b является делителем элемента а, но b не ассоциирован с а (то есть а = 6с и с не Действительно, сумма идеалов такой цепочки является идеалом в 7J и, следовательно, главным идеалом, который обозначим через (а). Образующая а этого идеала должна лежать в некотором элементе цепочки, скажем. в и п и . Имеем (а) с (а„). Значит, цепочка обрывается на Следовательно, любой идеал, содержащий Ш и отличный от и имеет образующую, до HbU4 делителем элемента а. является обратимым), то b называется собствен- этом случае а не является делителем b и идеал (Ь) является собственным делителем идеала (а). (В противном слу- пускающую разложение на простые множители. Элемент а„ не может быть простым, так как иначе он имел бы тривиальное разложение на простые множрггели. Значит, существует представление а„ == be, где (Ь) ^ (а„), (с) ^ (а„), а потому и с обладают разложением на простые множи- чае выполнялось бы равенство ad, то есть а = acd и е = ее/, и элемент с был бы обратимым.) Поэтому неразложимый элемент можно определить как ненулевой элемент, не имеющий необратимых собственных делителей. тели. Но произведение этих множителей дает разложение на простые множители для а„. Следовательно, множество S может быть только пустым. имеет два разложения Предположим, что а а upx,,,p^~u^q\,,.qs на простые множители. Так ненулевой эле Лемма 3.8.1. Пусть а g мент целостного кольца и идеал {а) — простой Тогда а — неразложимый элемент. Доказательство. Если а = Ьс, то один из со какр1 делит произведение в правой части равенст ва, то/»] делит один из элементов 5/. После перену мерации (в силу коммутативности) мо51шо считать что это qi. Тогда найдется обратимый элемент щ Сокращая на р\, получаем 5 такой что qi UiPi wp2-"A-г/'г/1^2---?л- Доказательство однозначно сти разложения завершается по индукции. множителей, например. ? лежит в (а\ Тогда Однозначное разложение на простые множители можно написать ad. где а acd Hcd=e, то есть с — обратимый элемент. R, Следовательно, имеет место и в евклидовых кольцах, так как они яв ляются кольцами главных вдеалов по теореме 3.7.3.
45 Для коммутативных колец справедливы еле- доморфизма ф выполняется ф(а + 6) = ф(а) + ф(&). дующие включения: (коммутативные кольца} => {целостные кольца} {факториальные коль Тогда (х(ф + vj;))(a) = х(ф(^)) + X(v(^)) или Х(ф + V) ~ ХФ "•" XV- Наконец, существует единич- ца} {кольца главных идеалов} => {евклидовы ный эндоморфизм s, отображающий каждый эле кольца}. мент модуля в себя, при этом 8ф бого ф. ф8 для лю Теорема 3.8.3, В произвольном кольце главных идеалов неразложимый необратимый эле- Кольцо эндоморфизмов модуля не обязательно мент р порождает максимальный идеал, то есть целостное или даже коммутативное. Например, кольцо классов вычетов по этому идеалу являет- аддитивная группа кольца Z[/] является модулем, ся полем. Пусть ф: {а + Ы) -> а, vj;: {а + Ы) -> Ы. Легко убе Доказательство. Если элемент р неразло- диться. что это эндоморфизмы модуля (но не жим, то у него нет собственных делителей. По- кольца!) Z[/]. Тогда фш Шф о нулевой эн скол ы^ главным по условию каждый идеал является доморфизм, при этом ни один из сомножрггелей не ? то идеала (/?) тоже нет собственных является нулевым эндоморфизмом. модуле делителей, кроме единичного идеала. Следова- квадратных матриц размера 2 над полем операция тельно, идеал (р) максимален. По теореме 3.6.1 умножения на матрицу является эндоморфизмом, кольцо классов вычетов по идеалу (р) является Однако произведение матриц некоммутативно, полем. ■ Модуль, имеющий простой порядок/», является циклическим с образующей а. Следовательно, 3.9. Кольцо эндоморфизмов модуля Модули над кольцами каждый элемент такого модуля можно предста вить в виде wa. п Пусть М— модуль. Отображение ф модуля М в себя по определению является эндоморфизмом, G М Оп- . Тогда эндоморфизм полностью определяется образом образующей. Образующая может иметь р образов, следова- если ф(а + 6) = ф(а) + ф(6) для всех а, ределим произведение эндоморфизмов ф и vj; как композицию отображений. Тогда для т е М выполняется (ф1];)(т) = фСч'С/??)). Посколы^ областью определения и областью значения эндоморфизмов являются элементы модуля М, то можно определить сумму эндоморфизмов как сумму их образов, при этом сложение образов выполняется в соответствии с групповой операцией модуля. Если а, 6, т — элементы мо- тельно, кольцо эндоморфизмов состоит из р эле ментов. Если ф(а) = пга^ \\f(a) = па, то (ф + \\f)(a) (пг + л)а, (ФЧ^)(а) ~ тпа^ при этом сложение и умножение выполняются по модулю Таким образом, кольцо эндоморфизмов модуля порядка р изоморфно кольцу Ж1рЖ. Эндоморфизмы конечных групп часто ис пользуются в криптографии как для анализа безопасности алгоритмов, так и для ускорения вычислении. Примером может слу5кить ком дуля ш(/?7) м ? эндоморфизмы и ф(/?7) плексное умножение на эллиптических кривых (см. пп. 6.14.5, 7.10). а. 6, то (ф + \\i){m) = ф(/?7) + \\f{ni) ~a + b. Пусть дуль. ДЛЯ — коммутативное кольцо, М— которого определено умножение МО на Теорема 3.9.1. Эндоморфизмы модуля обра- элементы кольца /с, и при этом выполняются свойства {а + Ь)т ~ am + от, М. зуют кольцо. Доказательство. Сумма эндоморфизмов яв- любых а, 6 ^ Rum ляется эндоморфизмом: (ф + \\f)(a + 6) = (ф + \\f)(a) + +(ф + ш)(6) = ф(а) + \\j(a) + ф(6) + \\j(b) = ф(а + 6) + кольцом R. (аЬ)т афт) для Такая конструкция называется модулем над + \\f{a + Ъ). В силу свойств модуля сложение эн доморфизмов коммутативно и ассоциативно. Отображение о всех элементов модуля в нулевой элемент ид/ модуля является нулевым эндомор физмом: (ф + о)(а) = ф(а) + о(а) = ф(а) + О м ф(а). Кроме того, для каждого эндоморфизма ществует противоположный эндоморфизм кои, что ф(а) су та а). Следовательно, эндомор физмы образуют модуль по сложению. Дистрибу тивность умножения эндоморфизмов относитель но сложения следует из того, что для любого эн Пример 3.9.1. Модули над кольцами. . Модулем над кольцом является векторное пространство над произвольным полем К, при этом в качестве кольца R используется поле К. 2. Аддитивная группа кольца Z[/] может быть рассмотрена как двумерный модуль над Z. . Аддитивная группа кольца R\pc\ может быть рассмотрена как модуль над R. . Любое коммутативное кольцо может бьп^ь рассмотрено как одномерный модуль над собой [7]. 9 Модуль над R называют также /^-модулем.
46 Для любого модуля существует эндомор Пусть К— поле. Тогда Щрс\ является кольцом физм: а па а + а + + а раз, п ^Ж). По- главных идеалов, то есть каждый идеал порож этому любой модуль является модулем над ден единственным элементом. Аналогичное ут верждение справедливо и для колец от несколь Любой идеал кольца R является его подмоду- ких переменных над полем К. лем, если рассматривать R как модуль над собой Разные идеалы могут быть изоморфны как моду ли над R. Идеал 21 целостного кольца R как мо дуль изоморфен кольцу 7с тогда и только тогда, когда он главный. Действительно, если 51 - (а) Теорема ЗЛ0Л< В кольце К[Х], ...,х„] каждый идеал конечно порожден. Доказательство см. в работе [3] и И г G то 7 га но, пусть ф: R нужный изоморфизм. Обрат — изоморфизм модулей, е — единичный элемент кольца и ф(е) Ф) ф(ге) /^ф(е) га. то есть 5 (а) а. Тогда Поэтому Полином называется однородным, если все его слагаемые имеют одинаковую степень. Произведение однородных полиномов является однородным полиномом. число неизоморфных как модули идеалов цело стного кольца является мерой его отклонения от кольца главных идеалов [7]. Теорема ЗЛ0.2. Полином Дх], ...,Х/^) степени d является однородным тогда и только тогда, ко гда для любого и /жь.... их п d имеет место равенство шЛ I\Jv [5 • • • ? ^/7 ЗЛО. Свойства полиномов Если R Доказательство. Поскольку каждый одно- однородного полинома / имеет член ах"^^ ...х"^"" целостное кольцо, то присоединени степень ем переменной х получаем коммутативное кольцо полиномов /J[jc]. Такое присоединение можно выполнять несколько раз, в результате чего получа- то аЫк 1 а I ...{ш,Х" СИЛ Лл mmwJC ^ d ется кольцо R\x\^ •••,^и]- В этом случае говорят, что полином fixu ...,^/7) е ^[-^^ь •••5^J определен Вынося общий множитель и, получаем, что для каждого однородного полинома выполняется равенство fiuxx, ..., vxj) = ufix^ --.^Хп). Необходимость доказана. над кольцом R. Согласно теореме 3.4.2 кольцо R[xu ...,^/7] — целостное. Если К— поле частных кольцаR, то поле частных кольцаR[xu ---.хЛ обо- Докажем достаточность. Для любого одно члена степени aiia 1 а 1 ...(шГ^ выполняется равенство Поскольку ^^ai+...+a, а, а. значается через К(хх, ...,х„). Элементы поля оно справедливо для любого и, то из гомомор К(Х],..., x„) называются рациональными функция- физма, получаемого подстановкой элементов ми. Всякая рациональная функция может быть кольца вместо переменных х, и г/, следует, что записана в виде —, где/, g е R[x], • • * m/V п Hg^O для каждого слагаемого выполняется равенство ai + ... + а л Следовательно, все слагаемые Если для некоторого набора (бь ..., л где имеют одинаковую степень а, то есть полином / 7J, знаменатель g(6i, ..., fe„) отличен от нуля. является однородным. то говорят, что рациональная функция опре делена в (йь ..., &„). Подставив вместо переменных X, элементы 6„ можно получить значение функции в поле К. Полином из R\x\,. менных можно рассматривать как полином от одной переменной х„ над кольцом R\xu ...,х^]], то есть как элемент кольца Щхи •.., x„_i][x„ Отметим, что символ и в формулировке тео ремы можно рассматривать как новую независи мую переменную. В случае полиномов от не скольких переменных можно определить опера цию подстановки полинома вместо независимой ..,х„] от нескольких пере переменной. 3.11. Производная и кратные корни 10 этом случае его коэффициенты являются полиномами. Пусть коммутативное кольцо и Например, для полинома ху +2ху + Ъу коэффи Я^) R\x\ Произвольный полином. Присоеди циент при X равен у + 2у, коэффициент при равен х^ + 3. 3 ним к коммутативному кольцу R[x] новую пере G R[x, h] менную h и построим полином fix + h) Разложим этот полином по степеням h: - ч 10 Действительно, имеет место изоморфизм R[xu ,х и /vIXij ...5 X ^-1 ][х У} задаваемый подста нов ко и. 2 Ах + К) =Лх) + hMx) + кЪ{х) + .... и Однородный полином также назьгеают формой.
47 2 Найдем вычет по модулю п : fix + h) ^fix) + hfx(x) (mod h 2 л FU,... 5 n TF,if„...JM J=\ f 5 Коэффициент fxipc) при /? называется произ rneF водной полинома У(зс) и обозначается /'Г^) / 5 Оче f Пусть полные производные. — целостное кольцо с единичным видно, что значение f(x) можно получить, если элементом. Элемент а называется найти разность Кх + К)- fbc\ разделить ее на и положить Поэтому в поле вещественных полинома fix) R\x\ 5 если Да) корнем этом случае полином f{x) делится на х~а. Действительно, чисел это определение производной совпадает с поскольку ЕЫ — евклидово кольцо, то деление определением производной в дифференциальном f(x) на jc - а дает равенство Ях) q(x)(x d) + i исчислении. Такое чисто алгебраическое определение про где г — константа. Подстановка в это равенство X а дает г О, то есть fix) = q(x)(x - а). По ин изводнои применимо к кольцам, в которых нель дукции получаем, что если ax^...^ak различ зя определить производную традиционными ме- ные корни полинома/х), то/х) делится на про тодами, например, к кольцам полиномов над ко- изведение {х - а\)..,(х печными полями, кольцам полиномов над коль- Ok). Отсюда следует, что полином степени п над цом циркулянтных матриц, кольцам классов вы- целостным кольцом имеет не более л корней. Однако, если кольцо имеет делители нуля, то число корней может быть больше п. Например, в четов и т. п. Теорема 3.11.1. Пусть Дх), g(x)— произволь кольце квадратное уравнение х имеет ные полиномы из коммутативного кольца. Имеют четыре корня: 1, 6, 29, 34. место равенства (/+ gY Доказательство. По определению произ Если fix) делится на (х k+i к ь но не делится на ь то а называется корнем кратности водной fix + h)+^x + h) fix) + hfXx) + g(x) + h^{x) (mod lf\ полиномаДх). Корень кратности к полинома Х^) над целост , яв производной/'(л'). ным кольцом характеристики, отличной от ляется корнем кратности то есть производная суммы равна сумме произ водных. Аналогично, Действительно, из равенства fix) а) Wx), где g(x) не делится на х-а, следует, что/'(х) к{х - df~^g{x) + (х - af^{x). Очевидно, что сум ^ При пере fix + h)^x + h)^ (fix) + hf\x))im + hg Yx)) к второе ела /^Ж^) + (/*'Wg(^) +A^)g\^))h (mod h 2 ма в правой части делится на (х ходе к сравнению по модулю гаемое обращается в нуль, а первое слагаемое отлично от нуля. Таким образом, сумма не делится на (х к Утверждение теоремы по индукции обобщается на произвольное число слагаемых и сомно- стой корень) не является корнем производной а) . Следовательно, корень кратности 1 (или про жителей. Имеет место равенство {ах) г anj^ и. Эти рассуждения остаются верными и при за следовательно. мене линейного полинома х - а, соответствую г щего корню а, на произвольный полином. и а.х I алх 1-\ Назовем полином I 1=\ Лх) (от одной переменной) R[x] свободным от квадратов^ если он не Если кольцо к является полем, то для про изводнои рациональной функции также спра ведлива формула дифференциального исчисле ния: делится на квадрат полинома, отличного от кон станты. Полином У(х) над целостным кольцом свободен от квадратов, если НОД(/(х), f'(x)) е 3.12. Симметрические функции f f\^)gix) - f{x)g'(x) 2 (X) кроме того, выполняются формулы для част ных производных полиномов от нескольких пе ременных, а также для производной сложной функции: если F(xi, ...,х„) h/(xi 5 X п ПОЛИ номы из ЖХ], ...,Х и и Е дР/дх., то Пусть целостное кольцо. Полином из если он кольца R[x\^ ---,^и] называется симметрическим полиномом^ от переменных хь---^Х/^, переходит в себя при любой перестановке этих переменных. 12 Симметрический полином называют также С7ш метрической функцией.
48 С помощью новой переменной z построим по Докажем единственность. Если <^\(Уъ--:Уп)^ лином fiz) степеням z: Яг) xx)...(z X п п~\ Z GiZ + Разложим его по ■+( /7 Or,. Тогда Пусть ф то и 9i(ab...,a„)^92(ai 5 5 ст„). ф1 ф2, тогда достаточно показать, что CTl Xi +Х2 + ... +Х„, ИЗ (р(уъ ■■■,Уг,)^0 следует ф(а1 СТ2 XiX2 + Х1Х3 + ... + X и IX 5..., а„) ^0. Каждое слагаемое в ф(уь ---^J/?) ^ О можно записать в и? СТз Х\Х2Х'г + XiJC2-^4 """-.. "^-^ Qj-а2 а2-ссз виде Щ У2 л 2^ п лХ т а п 12* • "^ft* п ". среди всех наборов показателей (аь ...,сс„), соответствующих коэффициенту а ^ , существует первый в словарном упорядочении. Заменим у^ на а,, тогда получится Очевидно, что это симметрические функщ1И. первое в словарном смысле слагаемое полинома ФуНКЩ1И а I называются элементарными сгш метрическими функциями. Если в некоторый полином ф(аь ■■■„ ст„) вместо переменных а/ подставить элементарные симмет- .. то этот полином Ф(а1 5 ..., а /7 aj а2 а }i Это слагаемое нельзя ни с чем сократить, следовательно. ф(а1,..., а„)7^0. :\: рические функщ^и от х-[^..., будет симметрической функцией от Xj i :\: и при этом слагаемое вида со^^...о^" Следствие 3.12.2. Каждая симметрическая функция корней полинома выражается через ко- 1 п окажется одно- эффициенты этого полинома. родным полиномом степени \Хх + 2|а2 + ... + и|а„ от х,^ так как кал<дая элементарная симметрическая функция а,: является однородным полиномом степени /. Сумму 10,1 + 2ц2 + --. +«Ц„ назовем весом слагаемого со^^ ...а^". Весом полинома ф(а1 1 и ь ...,а л назовем наибольший вес его слагаемых. Оказы Доказательство. Если fiz) п Z + aiz + ... хЛ.. .(z хЛ + аг>. то а\ -<Уи aj ^ъ ..., а п п а„. Остается применить теорему 3.12.1. Важной симметрической функцией является произведение квадратов разностей корней поли нома/(■>^) = х" + а\х" + ... а и Щх\ вается, любой симметрический полином может бьггь выражен как полином от элементарных симметрических функций. D П( X 1 X.) 2 J i>J Выражение для D как полинома от коэффици Теорема 3.12.1. Симметрический полином ентов а\ =-аь сц СТ2, ... ь а л п а. называется и над целостным кольцом может быть единствен- дискриминантом полинома fix). Если кольцо ным образом представлен в виде полинома от целостное^ то нулевой дискриминант означает г> элементарных симметрических функций. что хотя бы один из сомножителей в выражении Доказательство. Упорядочим словарно задан- для D равен нулю^ то есть J(x) имеет хотя бы ный симметрический полином от Xi так^ чтобы один кратный корень слагаемое зсГ*...х^" 1 предшествовало слагаемому Симметрические функции можно представ 1 ...X лять и с помощью другого базиса. Обозначим п п ь если первая ненулевая разность а I I п п п положительна. Посколы^ этот полином симмет т 1 Х^ jTj X 2 ...,Т П X" рическии. то в него вместе со слагаемым /=1 /=1 /=1 ах f»...x^" входят и все слагаемые, показатели ко э Здесь о и '^2 CTl 2 2а2, тз CTl 3 3cTia2 + торых являются некоторой перестановкой показа + Заз и т. д. Если полином рассматривается над телей а^. Первое (в словарном упорядочении) ела гаемое обозначим а полем характеристики или (при п р\ то X 1 ..л а п ДЛЯ этого слагае функции X, алгебраически независимы (см. п. 4.2) и молшо выражать целую симметрическую функ г> мого ai > ... > а„. Такую же сумму дает произведе- цию через т,. ние элементарных симметрических функций __ ■*с ь V --" ао а 1 1 а 2 а а 2 2 *^'...а^" . Вычтем это произведение из 3.13. Разложение на множители данного полинома, упорядочим разность словарно. полиномов от нескольких переменных Кольцо полиномов Щхи - 5 ^и] над целостным найдем старшее слагаемое и повторим процедуру. Поскольку степень разности не превышает степени первоначального симметрического поли- кольцом R целостно. Следуя работе [3]^ покажем^ что аналогичное утверждение имеет место и для нома, а число его слагаемых конечно, то на неко тором шаге алгоритм остановится. факториальных колец.
49 Пусть целостное кольцо и п /(^) Лемма 3.13.2. В равенстве /(х) а ал / произвольный полином из Щрс\. g{^) по /=0 Наибольший общий делитель а коэффициентов (70,..., а„ называется содерэюанием полиномаУ(х). ТогдаДх) = а^х\ где g(x) — полином с содержанием 1, причем а, g(x) определены однозначно с точностью до обратимых элементов. — полином от нескольких переменных^ то различают содержание относительно различных переменных. лином g(x) с содержанием 1 определяется однозначно с точностью до обратимых в R элементов. Обратно, полином у(х) определяется полиномом g(x) однозначно с точностью до обратимых в К[х\ элементов. Произведению/i(x)^(x) биективно соответствует произведение g\(x)g2ix) поли- Если/ Пример 3.13.1. Содержание. у + х номов с содержанием 1. Если полином Дх) неразложим в К\х\ то полином g(x) неразложим в 7J[x], и обратно. Доказательство. представления полинома/(х): Пусть даны два разных: Полином ху + v^ + Ж^ 3 + из кольца Z[x, V] меннои ^М[у] имеет содержание х + 1 по пере /(^) а ь так как (х + 1)/ + (х + 1)(х - \)у + (х + 1)(х^ имеет место равенство gi^) с h(x). х + Тогда adg(x) сЬЫх). Содержание в левой части равно аа^ содержание в правой части равно Лемма 3.13.1, Произведение двух полиномов be. Следовательно ь ad гЬс^ где s — обратимый с содержанием содержанием вновь является полиномом с элемент кольца R. Подставим это равенство в и сократим Доказательство. Пусть /(х) = ао+ aix +..., six) О + b\X+ ... — полиномы с содержанием предыдущее sg(x) = h(x). Значит^ полиномы обратимым в R множителем. на сЬ. и Получим отличаются Предположим обратное: содержание полинома Таким же образом для произведения полино J{x)g(x) равно с и является необратимым элемен- мов том кольца R. Если /,w а — произвольный простои делитель элемента с, то р должен делить все коэффициенты полиномаУ(->^)^(х). По условию не все g\i^) ? 2 (X) с gli^) получаем /, (^)/2 (^) ас М ё\ {^)82 (^) - Согласно лемме коэффициентыХх) и g(x) делятся на/?. Пусть г и 3.13.1 произведение g\{x)g2{x) опять является по S максимальные степени х^ для которых а,- и S линомом с содержанием Следовательно ь про не делятся на р. Коэффициент при х Хх)я(х) равен аЛ + a^ifes+i + аг^ф r^s полинома s-\ + а. г-гь'х+г + + aj^2bs^2 + .... В этой сумме все слагаемые, кроме первого, делятся на р^ так как один из сомножителей делится на/?. Поскольку коэффициент при х'^'^ по предположению делится на /?, то arbs тоже должно делиться на р. Получили противоречие. Следовательно^ содержание полинома fix)g(x) равно изведению /i(-X")^(x) соответствует произведение gi(p^)g2(pc). Если полиномУ(х) неприводим^ то и g(x) будет разложение разложению неприводимым, поскольку любое вида gi^) gi(x)g2(x) Приводит к /(^) а gix) а Si (^)g2 (^) - Обратное утвер ждение доказывается аналогично. Теорема 3.13.3. Если фактор нал ьное ждый полином из Щх] однозначно раскладыва Пусть К— поле частных кольца R. Тогда ка- кольцо, то и R[x] — факториальное кольцо. Доказательство. Целостность кольца R[x] ется на простые множ^ггели. Чтобы перейти от была доказана в теореме 3.4.2. Рассмотрим раз- разложения в Щх] к разложению в R[x]^ предста- ложение на множители произвольного полинома ним каждый полином Лх) Щх] в виде F(x) ИЗ Щх]. Неприводимый полином обязательно 9 является константой в или неприводимым по где F(x) R[x] и произведение знамена телей коэффициентов полинома дх). Полином F(x) представим как произведение его содержа- линомом с содержанием 1, так как любой другой полином разложим в произведение своего содержания и полинома с содержанием ния а на полином g(x) с содержанием i, то есть F(x) аЫх), и Пх) а g(x). Имеет место еле дующая лемма . Следова тельно, для разложения f(x) нужно сначала разложить его в произведение содержания и полинома с содержанием 1, а потом каждый из сомножителей раскладывать на простые множители. По условию теоремы содержание однозначно
50 раскладывается на простые множители с точно Для упорядоченного множества стью до обратимых элементов, полиномы с со- элементом О будет число (^ >0 ь держанием также однозначно раскладываются согласно лемме 3.13.2 Следствие 3.13.4. Если факториальное кольцо ь К его поле частных и полином fix) неразложим в К[х\ то fix) неразложим и в Щх^, 3.14. Полукольца и решетки Полукольцом S будем называть структуру с дву мя операциями— сложением и умножением. в которой выполняются следующие свойства []]: все элементы по сложению образуют комму тативный моноид с нулем 0; все элементы идемпотентны относительно операции сложения и умножения: а + а а. а а а для всех а все ненулевые элементы образуют коммута тивныи моноид по умножению с единичным элементом ром\ О • а ь причем является аннулято a-Q О для всех а г> умножение дистрибутивно относительно сложения: аф +с) = аЬ + ас. Примерами полукольца являются: множество подмножеств некоторого множества с операциями объединения и пересечения подмножеств ь множество высказывании, принимающих истин ное или ложное значение, с операциями ИЛИ^ И. Элемент а упорядоченного множества М на зывается мингшалъным., если неравенство х а невозможно ни для какого х е М. Элемент а упо рядоченного множества М называется макси мольным^ если неравенство х>а невозможно ни для какого X М. Наименьший элемент обязательно будет ми нимальным, но обратное неверно. Различие меж ДУ минимальным и наименьшим элементами можно пояснить на следующем примере упо рядоченном множестве (Р*(М) непустых под множеств множества М наименьшего элемента нет, а минимальными являются все одноэлемент ные подмножества. Если упорядоченное множество имеет наименьший (наибольший) элемент, то он будет единственным минимальным (максимальным) элементом. Теорема 3.14.1. Каждое непустое конечное множество имеет минимальный и максимальный элементы. Доказательство [6]. Пусть множество М состоит из элементов х\, ..., х„. Положим т\ Xi и для mk положим Wk Xk, если Xk mk-\ ? и П1к-\ в противном случае. Тогда т п ми нимальныи элемент. Аналогично доказывается существование максимальных элементов. Теория решеток имеет дело со свойствами отношения порядка^ заданного на некотором (частично) упорядоченном мноэюестве, Очевидно^ что всякое подмножество упорядоченного множества является упорядоченным ножеством с тем же отношением порядка. всякое упорядоченное что Легко показать, ножество М содержит не более одного элемента неравенству аъ.х для всех «5 удовлетворяющего лементов х из М, Действительно, если а и два таких элемента, то имеет место а<Ь откуда а называется ь а ь Такой элемент, если он существует. наименьшим обозначается символом элементом {нулем) и ; двойственный к нему элемент упорядоченного множества, если он существует называется наибольшим символом элементом Таким {единицей) и обозначается образом^ если такие элементы существуют, то для всех X е М имеет место двойное неравенство 0<х< Ясно г> что если X^ X п Xi ь ТО X^ X п Пример 3.14.1. Упорядоченные множества . Для упорядоченного множества {Р{М), элементом О будет пустое множество, а элемен том само множество М. Элементы а и упорядоченного множества (М, <) называются сравнимыми^ если а<Ь или а, В противном случае элементы несравнимы. Линейно упорядоченные подмножества упоря доченного множества называются цепями, В це пи понятие наименьшего и минимального эле ментов совпадают. Элемент а е Л называется верхней гранью не пустого подмножествах упорядоченного множе ства (>4, <), если выполняется неравенство х а для всех X G X Двойственно вводится понятие нилсней грани. Ясно, что подмножество может '. а иметь много верхних и много ншкних граней, может не иметь ни одной. Наименьшая верхняя грань подмножества X называется точной верхней гранью и обозначается sup а. Из свойства антисимметричности отношения порядка следует, что если точная верхняя грань существует^ то она единственна. Двойственно вводится понятие точной нижней грани mix. Если точная нижняя грань существует, то она единственна. Решеткой называется упорядоченное множество X, в котором любые два элемента х, у имеют точную нижнюю гранц или «пересечение»^ обозначаемое X л у, и точную верхнюю грань, или
51 «объединение»^ обозначаемое х v у. Решетками полукольцо с двумя бинарными операциями: являются множества (Z {Р(М), >0 ,1), (^ >0 ,^\ (R >05 ^\ сложением v и умножением л. Пусть решетка с нулем и единицей. До Решетка L называется полной^ если любое ее полнением к элементу х называется элемент подмножество X имеет в L точные верхнюю и такой, что хлу=0, xvy Если каждый нижнюю грани. Ясно, что любая непустая полная элемент решетки L имеет дополнение, то гово решетка содержит наибольший элемент / и наи- рят, что L является решеткой с дополнениями. Не меньший элемент О (для этого надо положить все решетки имеют дополнения. Например, в це X НОИ L). Любая конечная решетка является пол- пи элементы, отличные от . Любое линейно упорядоченное множество нений. и не имеют допол является решеткой. Действительно, для пары сравнимых элементов упорядоченного множества точной нижней гранью будет меньший из этих больший. элементов, а точной верхней гранью Пусть (Z, <) — некоторая решетка. Сопоставляя каждой паре элементов х, у е Z их точную нижнюю грань, определим на множестве L бинарную операцию (x,j;)->x л у. Аналогично определим бинарную операцию (х, j) -> xvy. Эти операции идемпотентны: х ах XV X х: коммутативны: х Ау= у ax^xv y=yvx; ассоциативны: X л (у л z) = (х Aj) л z, X V (у V z) (х V j) V Z. кроме того, имеют место законы поглощения XA(yVz)=XV(yAz) X Гомоморфизмом ш решеток L и М называется отображение М такое, что для любых а. G L выполняются условия vj/(a v b) = \\}(а) v \]f(b) Ц1(а A Zj) = Ц1(а) a Ц^(Ь). Биективный гомоморфизм решеток называется изоморфизмом. и Решетка L называется дистрибутивно^ если для любых элементов а, равенства: с G выполняются а A(bv с) = (а Ab)v (а А с); Пример 3.14,2. Булевы функции как решетки Булевой функцией п переменных будем назы вать отображение (true, false} л Если сопоставить true и false {true, false}. , то булева функция задается отображением F 2 п 13 2 Множество булевых функций п переменных. заданных в базисе И (а), ИЛИ (v), НЕ обра зуют дистрибутивную решетку, в которой каждый элемент обладает единственным дополнени- . Дополнением к булевой функции / будет ее ем инверсия тогда, когда/ При этом тогда и только . Кроме того, это множество является полукольцом, в котором операция ИЛИ является сложением, а И — умножением. 3.15. Кольцо полиномов Же1 алкина 3.15.1. Полиномы Жегалкина Кольцом Gy^ полиномов Жегалкина называется кольцо классов вычетов а V (6 А с) = (а V 6) А (а V с) Каждое из этих равенств влечет другое, бая цепь является дистрибутивной решеткой Имеет место следуюш.ая теорема [2]. Лю 2 Г^Ь ,X„]/(Xi(] ©Jfi), .xJ\@x,)) Элементы кольца G„ называются полиномами Жегалкина. Кольцо G„, в отличие от обычного кольца по- Теорема 3.14.2. Если в дистрибутивной ре- линомов над Рз, конечно. Степень полинома Же- шетке L для любого с е Z имеют место равенства галкина по каждой переменной не превосходит cvx = cvyHCAJc = cAy, гдех,уе1,тох = у. 1. Поэтому можно записать т = Доказательство Из закона поглощения следует, что х = х а (с v х). Из первого условия теоремы имеем х = х а (с v х) = х а (с v j^). В силу дистрибутивности решетки, раскрывая скобки, получаем х = (х ас) v (х aj). Заменяя хас на J А с, получаем х = (у а с) v (х Ау). В силу дистрибутивности X =у А (с V Х) -у А (с V j) п а о а.х,- Уа,х,х_,. ®^Х..л^\ X п I i>J где все 2" коэффициентов а„ а^^ поле 2 , а\ Г1 лежат в 2 и выполняется равенство х, X 17 И, следовательно, х т I X, ДЛЯ т Аксиоматика дистрибутивной решетки с нулем и аксиоматика полукольца совпадают, поэтому такую решетку можно рассматривать как . Нетрудно заметить, что мощность множества G„ равна 2 , как и моищость множества булевых функций п переменных. л-ч *^ См. также п. 16.3.
52 Каждый полином Жегалкина задает некото рую булеву функцию, если сопоставить true -о- и т . Рекуррентное построение матрицы L^ определяет способ быстрого вычисления коэффици- полинома Жегалкина ентов полинома Жегалкина для таблично задан- представляли одну и ту же булеву функцию, то ной булевой функции (по аналогии с быстрым их сумма (XOR-разность) представляла бы нуле- преобразованием Фурье, см. пп. false Если бы два вую константу. Однако сумма двух различных полиномов отлична от нуля. Поэтому каждая булева функция может быть представлена в виде полинома Жегалкина единственным образом, следует Полиномы/и/@ ] задают инверсные функции Булеву функциюДхь ...,-^„ двоичным вектором из ным вектором из .,х можно задать как значении, так и двоич- коэффициентов полинома Жегалкина. Переход от табличного задания бу- ,х к заданию полиномом левой функциидхь ... Жегалкина выполняется следующим образом Очевидно, что а^ =/(0), где О — вектор, состоя щий из одних нулей. Коэффициенты а/, 1 </<«, можно найти так: а/ = Ш) ®fiS)-> где 1 вектор. г-я координата которого равна J, а остальные ко ординаты нулевые. Сложение выполняется по модулю 2. Аналогично получаем ^(,-XO)e/i)eAi)e/ij), где вектор, /-Я и у-я координаты которого равны 1, а остальные координаты нулевые. Далее находим ciiik т ®т ®т ®т © @/ij)@/ik)@Xjk)©/(ijk), где ijk—вектор, /-я,/-я и А:-я координаты которого равны а остальные координаты нулевые, и т Данная процедура задает алгоритм представления булевой функции полиномом Жегалкина. Перевод вектора значений в вектор коэффициентов можно задать умножением на квадратную матрицу L^ размера 2 л над F 2 Перенумеруем наборы аргументов числами от до 11 J где вектору число соответствует число вектору 1 и т . Аналогично перенумеруем коэффициенты полинома Жегалкина. Тогда матрица „ будет нижней треугольной, в которой главная диагональ, первый столбец и последняя строка состоят из единиц Запишем результирующее преобразование в "-мерный вектор коэффи- виде а LS где а циентов полинома Жегалкина, вектор значений булевой функции Матрицы структуру: п мерный имеют регулярную блочную о h 7 2 V Л (Ц 0^ 3 у V 2j Обозначим через Е, единичную матрицу с / строками. Поскольку 2 £ , И ИЗ 2 к-\ 2 к Е.^ то по индукции получаем: 2 п К И Ln ция ^. Поэтому если булева функ (как вектор) обладает списком коэффици ентов а, то булева функция а (как вектор) обла дает списком коэффициентов f. Пример 3.15.1. Представление булевой функции полиномом Жегалкина. Пусть булева функция четырех переменных на наборах (О, О, О, 0), (О, О, О, 1), , О, 1,1) принимает соответственно значения (1, О, О, О, 1, 1,0,0, 1, ], 1, ], О, 1,0, произведение а - /.4 Вычисляем над 2 (\\ X V 1 1 1 1 1 I ] 1 1 1 1 1 ] ] I ] Эта строка задает следующие коэффициенты полинома Жегалкина ао, (34, аз, аз45 ci^^ сца, <^2з? <^2345 ^Ь ^U7 <^135 <^134? <^125 <^1245 ^ПЗу С1\2ЪА- Соответствующий полином Жегалкина равен @ Х4 @ Хз @ Х3Х4 @ Х2Хл @ Х2Х3Х4 @ Х\Х^ ХлХъ Л" 1X3X4 XiX2 терминах кольца п удобно описывать свойства шифров. Рассмотрим алгебраические свойства этого кольца
53 Теорема 3.15.1. В кольце G„ каждый элемент жества булевых функций для/ идемпотентен, каждый непостоянный элемент ется равенство S{fg) = S(f) u S(g) n ВЫПОЛНЯ является делителем нуля. Доказательство. Каждый элемент кольца Лемма 3.15.3. Неразложимыми в кольце п п взаимно однозначно соответствует булевой являются те и только те полиномы, которые на функции п переменных. Полиномы / и /@ за множестве из п аргументов принимают единст дают инверсные булевы функции, поэтому венное нулевое значение J/ / гй\ ш л Ш 1 -Ж. ^ гй\ -Ж. ш\ л jfL - .— л ^^Н 1 г _ _ _ ■ ^ лг® о, г @/ и/ Доказательство. Если элемент/ и мож но представить в виде произведения двух раз В общем случае сокращение в G„ недопустимо, личных элементов Например, а(а @Ь) = а(] @ й), но а Ь^] тогда, когда g и gh, то/= ] тогда и только . Следовательно, если/ принимает единственное нулевое значение, то на Теорема 3.15.2. Кольцо G„ содержит единст- всех остальных наборах gnh принимают значение венный обратимый элемент — константу Доказательство. Будем искать представле Тогда либо причем или либо и h Обратно, если полином / неразложим. ние fg. Умножив это равенство на/ получим то есть его как строку из 2" символов {0,1} нельзя fg; умножив его на g, получим g =fg. Отсюда представить в виде поразрядной конъюнкции двух следует/ Тогда fg г. fg в силу идемпотентности, / и ; значит, различных строк, из которых хотя бы одна отлична Других от строки / то строка / должна содержать единст делителей единицы нет венный нулевой символ. Действительно, в случае двух (и более) нулевых символов на наборах х и х' поразрядную как и и Поскольку каждый непостоянный полином из строку / можно представить является делителем нуля, кольцо частных конъюнкцию двух строк, из которых одна имеет единственный нуль на наборе х, а другая — единственный нуль на наборе х'. кольца G„ совпадает с G„, а поле частных кольца оказывается тривиальным и совпадает с р2 3.15.2. Разложение на множители в кольце п Согласно теореме 15 элемент является неразложимым в и Посмотрим, существуют ли в и другие неразложимые элементы силу идемпотентности выполняется равенство для любого / и натурального т. Такое разложе ние наряду с разложением/ /назовем три виалъиым. Назовем неразлоокммым полином, об ладающии только тривиальными разложениями. Некоторые полиномы, кажущиеся неразло жимыми, можно нетривиальным образом разло жить на множители. Например, в 2 X (ху@у@ \)(ху@х@у)\ (ху@х@ \)(xy@x®yY Следствие 3.15.4. п существует в точности л неразложимых полиномов, принимающих зна чение О в точности на одном из 2" наборов аргу ментов(0,0, ...,0),(0,0, JX Д1, -Л) Доказательство. По лемме 3.15.3 эти полиномы являются неразложимыми. Других неразложимых полиномов не существует, так как в G„ существует лишь 2" различных наборов аргументов. Набору (0,0,..., соответствует полином ХлХо X т набору (1,0, ,0) полином Xi)x 2 X т набору (], 5 5 НОМ Л) ® ^l)(] полином Х2)Х 3 X т 7 ®Xi)(l .,0)- набору Х2)... ПОЛИ (1, @х 7 п Все неразложимые полиномы имеют степень п Произведение равно 0. всех неразложимых полиномов j<- - х@у (х@у)(ху@]); х@у (ху@у@])(ху@х@ ]); х@ (ху@])(ху@х@ и т Однако в 2 В G„) есть элементы, кото рые невозможно разложить на множители На Теорема 3.15.5. Каждый полином из и облада ет однозначным разложением на неразложимые множители. Число неразложимых делителей полинома равно числу нулей в его табличном задании. Доказательство. Пусть полином/е и от личен от константы. Тогда существуют наборы пример, в Cj2 не раскладываются на множители в аргументов, на которых он принимает различные точности четыре полинома: ху@х@у; ху@ ]; ху@х 1; ху@у@ значения. Перечислим наборы, на которых/ Каждому такому набору можно взаимно одно значно сопоставить неразложимый полином Полином Жегалкина / однозначно определен I „, на котором р I Произведение указан набором своих нулей S(f). В силу изоморфизма ных неразложимых полиномов будет принимать мультипликативных моноидов кольца G„ и мно- значение О тогда и только тогда, когда/ то
54 есть ТТр^ . В соответствии с указанным по ЗЛ5.3. Симметрические функции кольца G„ строением разложение единственно Число не разложимых делителей полинома/равно числу Пусть (5^k п элементарная симметриче- Ли наборов, на которых/= 0. Поскольку рассматри ваются только нетривиальные разложения. то каждый делитель полинома / входит в произве екая функция степени к от переменных Xi, По основной теореме о симметрических функци ях [3] сумма и произведение элементарных сим дение только в первой степени Таким образом, кольцо G,-, обладает однознач ным разложением на неразложимые множители хотя и не является целостным. Поскольку в коль метрических функций a,^^k в G,-i являются симметрическими функциями. Следовательно, симметрические функции образуют подкольцо кольца ^. Это подкольцо содержит делители нуля, например, (о. 1 С7«,2)С7/7, 3 це п все непостоянные элементы являются де лителями нуля, то для степеней выполняется не равенство deg(/)<ydeg(A) Теорема 3.15.6. Каждую симметрическую функцию единственным образом можно представить в виде суммы элементарных симметрических функций. Доказательство. Пусть симметрическая Неразложимые элементы кольца G^ перестают быть таковыми в кольце G,.+i. функция/имеет степень т. Тогда в/будут входить всевозможные произведения т переменных. ^п^ Пример 3.15.2. Разложение на простые мно число которых равно Но элементарная жители полиномах! (d:;) хо в кольце уП1, 4 Составим таблицу истинности для полинома на X] @Х2. Этот полином принимает значение следующих наборах (xi, Х2, хз, Х4): (0,0,0,0), симметрическая функция Cr^j всевозможные произведения Следовательно, сумма /© о содержит те же переменных. т П,1П будет являться (0,0,0,1), (0,0,1,0), (0,0,1,1), (1,1,0,0), (1,1,0,1), симметрическим полиномом степени меньше т. (1,1,1,0), (1,1,1, 1). Составим таблицу соотвег- Повторяя эту процедуру несколько раз, получим ствия неразложимых полиномов и указанных полином нулевой степени наборов переменных Все элементарные симметрические функции можно получить из меньшего числа элементарных симметрических функций, а именно из множества {о J для о < / < log2n. в частности. О п ^12' О И.2' I I Например, для п получаем Os lOg 2 *^8,1*^8,4 ~*^8,55 *^8,2*^8,4 ~ *^8,б5 *^8,1*^8,2*^8,4 ме того, о ^„о ' «_2 /7_ / <^8,7 <^8,з; Кро- для всех / ^ 2". Доказательство этих утверждении следует из того, что число одинаковых слагаемых в симметрическом полиноме после раскрытия скобок оказывается четным. Перемножая все элементы второго столбца таб 3.15.4. Кольцо дифференциальных лицы, получаем разложение полиномах! Хо. операторов кольца G п кольце Gn можно определить дифференци является главным, рование. Операцию дифференцирования (диф Действительно, каждый полином из некоторого ференциалъный оператор) полинома / по пере Каждый идеал кольца идеала 21 (Аь --'^fm) МОЖНО задать таблично менной х, будем обозначать Д. Как обычно, про списком наборов переменных, на которых этот изводной полинома по переменной х/ назовем ко полином принимает значение . Пересечение эффициент при h в случае замены х, на х, ® всех таких списков даст список нулей, который Этот коэффициент, очевидно, равен коэффици- соответствует некоторому полиному /е 21, при снту прих,: если/^xj^ ®/i, гдeJ^,/l не зависят от этом /"= /i...^,. Тогда, очев но, 21 (f) X ь то от
5J Значение производной вычисляется как Д(/) ^■ о ф/к 1- Из определения производной вытекают еле дующие свойства: А( 1) Д(0) 3. Diipcjo Ф/i) ==/o, где/j не зависит отх,;. Для произведения элементов кольца п фор мула дифференцирования с учетом идемпотентности выглядит следующим образом. Если Xifo Ф/ь g=xso®gu где/ь gj не зависят от х,;. ТО/& л:,ОоЯо Ф/ogi Ф/igo) Ф/igi- В этом случае D,(fg) =/ogo wvo^m Ф/igo /gl л: / О ®fg\ ^z 1 Аналогично для трех сомножителей получаем Diifgh) =fogoho ®Moh ®Mxh ®Mxh ® ©/igo//o ®f\g^\ ®f\g\h 0 /^/^1 ^z 0 e/g/zi ^/ 1 Индукционный переход очевиден. Запись Д(/) можно рассматривать как умноже ние полинома/на Д. Произведение дифференци альных операторов ДД означает дифференциро вание по х,, а затем по X/, при этом D,Dj = DjDi. Вторая производная в п по любой переменной равна нулю. Можно определить сумму дифференциальных операторов (Д ® ДХ^ = D,{f) ® Д(/). Определим множество дифференциальных операторов как множество полиномов от Д, ...:,Dy^ с указанными операциями сложения и умножения. Множество дифференциальных операторов является подкольцом кольца эндоморфизмов аддитивной группы кольца G^. Для двух полиномов F и от D 1 1 1 Д, и двух полиномов /, g ri справедливо равенство (F@G){f@g) = F{f)@F{g)@G{f)@G{g). Поэтому свойства кольца дифференциальных операторов можно доказывать только для одночленов вида X J формальных переменных/)!, .... /)^. Каждый эле мент кольца дифференциальных операторов, от личный от о и Д является делителем нуля. Замену переменной х, в полиноме и на инверсное значение можно описать в терминах кольца дифференциальных операторов: /(^,, - ? X / 1 ? ^г!?^/+1 ? •••? ^iq) ^iJ УР^Л ? •••? ^ П (D + Е)Пх,, ? ^Л 3.15.5. Эндоморфизмы кольца п Эндоморфизмы модуля Gn с операциями ело жения (ф + \\f)(f) = ф(/) ® \\f(f) и умножения (?{\\f(f)) образуют кольцо End(G^), вклю- (Ф¥)(/) чающее в себя кольцо дифференциальных опера торов. Кольцо End(G„) совпадает с множеством квадратных матриц размера и над р2- Если таб лично заданные булевы функции fug предста вить в виде 2'^-мерных векторов f и g, то для one рации умножения на матрицу L будет выпол пяться условие Z(f ® g) = Lf@ Lg. Эндоморфизм модуля /7 является эндо морфизмом кольца G^, если (?(f® g) = ф(/) Ф (p{g) и Wg) ф(/)ф(я)- Для эндоморфизмов кольца и любых/ g п справедливы равенства: (Ф^)(АФ g) = Ф(^(/)) Ф Ф(^(я)); (<?^){fg) ф(¥(/))ф(¥(я)); Ф(0) ф(/) Ф(АФУ) Ф(1- Ф(/)ФФ(/) ф(1)ф(/), отсюда ф(1) если ненулевой эндоморфизм (существует многочлен/такой, что ф(/) ^ 0); Ф(1 ФУ) = ф(1) Ф фОО Фф(/) ? ТО есть эн доморфные образы инверсных функций для ненулевого эндоморфизма инверсны. По теореме о гомоморфизмах колец каждый эндоморфизм кольца п характеризуется идеа лом 5 который является ядром этого эндомор физма щихся в множеством элементов, отображаю Обратимые эндоморфизмы являются авто J тор морфизмами кольца G,^, их ядро состоит из нуля. Дифференциальные операторы образуют ком- Автоморфизмом является, в частности, единич- единич- HQg отображение, а также произвольная перестановка переменных Хь ..., х^. По теореме 3.15.6 каждый полином из G^ является произведением неразложимых полино мов, принимающих единственное нулевое значе ние на наборе из 2" аргументов. - - - мутативное кольцо характеристики ным элементом которого является тождествен ное отображение Е, нулевым— оператор ото бражаюгций любой полином в О, каждый опера противоположен сам себе. Два элемента кольца дифференциальных операторов будем считать равными, если их образы равны для лю бого прообраза. Кольцо дифференциальных операторов над Лемма 3.15.7. Любой автоморфизм ф кольца п изоморфно кольцу fnl^ i,...,Z)j/(A%...,D 2 п п переводит неразложимый полином в нераз для ложимыи полином. , V
56 Доказательство. Перестановка п нераз ме того, (?(fg) = ф(/)ф(^)- Поэтому перестановка ложимых полиномов является автоморфизмом неразложимых полиномов является автоморфиз кольца G,^. Для неразложимых полиномов р, ^pj мом кольца G,^. имеем S(p,Pj) = S{p)S{pj\ S(p, -bpj) = S(pdS(pj). По индукции в силу однозначности разложения по- Предположим, что существует автоморфизм лучаем S(fg) Предположим противное: (?(p) = gh, где неразложимый полином. Тогда, применяя обрат- столбец содержат по одному единичному эле _ 1 „-1 -1/_/_ч_ ^ __ч гт.__ кольца Cj^, который нельзя задать матрицей перестановки (квадратной невырожденной матрицей размера 2", в которой каждая строка и каждый ный автоморф из м э 1 {g)<? 1 (И). Поскольку (gh) автоморфизме получаем: при менту, а остальные элементы — нулевые). Тогда в матрице, задающей эндоморфизм модулей. любого элемента кольца 0„ есть ровно один должна существовать строка по крайней мере с прообраз, то (f^{g)'^l и ф^\/г) ^ 1. Следовательно, двумя единичными элементами (если хотя бы в Шр)) ^р—противоречие Каждый полином / и полностью определя одной строке нет единичных элементов, то мат рица вырожденная). Поскольку позиции каждой строки матрицы взаимно однозначно соответст- ется п мерным вектором f значений над F 0. Оп вует неразложимый полином, долл<:ен существо ределим операции л поразрядной конъюнкции и вать автоморфизм кольца G^, переводящий не © поразрядного сложения векторов. Тогда про- разложимый полином в произведение не менее изведению полиномов fg будет соответствовать двух неразложимых полиномов, что противоре- вектор f л g. Сумме полиномов/® g будет соот- чит лемме 3.15.7. ветствовать вектор f Ф g. Таким образом, существует 2"! автоморфиз Теорема 3.15.8. Множество автоморфизмов мов кольца G,^. кольца п совпадает с множеством перестановок Рассуждая так же, как и при доказательстве « неразложимых полиномов. теоремы 3.15.8, получаем. что эндоморфизмы Доказательство. Такая перестановка обра- кольца п задаются произвольными матрицами тима и сохраняет вес булевой функции (число Z, поскольку равенство Z(f л g) = (Zf) л (Zg) вы единичных значений функции на всем множестве полняется для любых векторов f, g. наборов аргументов), заданной полиномом Же При исследовании безопасности криптогра галкина. Взаимно обратные перестановки задают фических алгоритмов часто используются гомо 5 .. ., .Л « взаимно обратные отображения. Поскольку пере- морфизмы колец становка ф неразложимых полиномов/и g задает- ные Xi ся квадратной невырожденной над F2 матрицей размера 2", то равенство L(f®g) = Zf®Zg экви валентно равенству (p{f® g) - ф(/) Ф 9(g), где ф — р2, при которых перемен- заменяются элементами поля F?. Поскольку поле Г2 содержится в кольце Gf^ в ви де полиномов нулевой степени 5 ЭТИ гомомор — физмы могут быть очевидным образом дострое эндоморфизм, соответствующий матрице L. Кро- ны до эндоморфизмов кольца G„. -.'* -^ \ ' - Упражнения к главе 3 *■ -J Образуют ли кольцо булевы функции п переменных с операциями ИЛИ (сложение), И (умножение)? Покажите, что конечные множества с операциями симметрической разности (сложение) и объединения (умножение) образуют коммутативное кольцо. Является ли оно целостным? Покажите, что числа а + Ьл[П, где а. D э образуют кольцо. Является ли это кольцо целостным? Кольцо Ж[1] евклидово, следовательно, в нем Евклида. Найдите алгоритм работает НОД(13, 3 + 20, НОД(3 + 4/, 2/ + 1) в кольце zm. Постройте ненулевой гомоморфизм из кольца Z[x] в кольцо Z. Что является ядром этого гомоморфизма? Будет ли это отображение гомоморфизмом в случае х ^ /, где f Пусть 1? кольцо с единичным элементом Что означает сравнение а = Ь (mod (0)), (mod(l))? Что собой представляет гомоморфный образ кольца по нулевому идеа- а 9 лу^ Пусть коммутативное кольцо. Будет ли кольцом множество идеалов кольца с one рациями сложения и умножения идеалов? Почему выполняется равенство ЩхШ
Что собой представляют сумма, произведение и пересечение идеалов (10) и (15) кольца Z; идеалов (3) и (5) кольца Z? 2 8 х' + 10. Что собой представляет идеал (х , ху) кольца Q[x, у]; идеал (х^ + }^, 3) кольца QLx,;;]? . Найдите кратный делитель полинома х '7 >1 О . Найди!^ производную полинома х + х + х + + Х + x^ + 3x4l ZM. 12 (Z/2Z)[x] и наибольший общий де 13 литель его с производной. Какие из полиномов: х^ + 6, х^ 9,х 3 2х, X + X + 1 лежат в идеале (х, 3) кольца Z[x]? 14. Является ли простым идеал (0) кольца Z[x]; кольца (Z/35Z)[x]? 15. Постройте ненулевой гомоморфизм из коль- 16 17 ца G,7 в кольцо G^_i. Что является ядром этого гомоморфизма? Пусть К— некоторое поле. Покажите, что в кольце K[x,y,z] идеал (х) делится на идеал Постройте кольца частных для следующих колец: кольцо Z целых чисел; кольцо пЖ для целого п; кольцо, состоящее из рациональных чисел, знаменатель которых не делится на заданное число п: кольцо Ж/пЖ классов вычетов для целого п; кольцо C[x,v]/(y^ X классов выче тов, где полином X 3 неразложим (над полем С в общем случае раскладываются на линейные множители полино 18 19 мы только от одной переменной, но не от двух). При каких условиях эти кольца частных будут полями? Исследуйте алгебраические свойства «коль- цеподобной» структуры, образованной идеалами целостного кольца с операциями сложения и умножения идеалов. Покажите, что дискриминант полинома над полем равен нулю тогда и только тогда, когда этот полином имеет неединичный общий 20 делитель со своей производной. Чему равно содержание полинома J{x,y) в кольце Ж[х,у] х^ + 3х^ + 3х + + XV +V 21 22 23 относительно переменной х? Относительно переменной у7 Существуют ли в поле простые элементы? Разложите на неразложимые множители полином xy-^xz-^yzBG^. Опишите все автоморфизмы кольца G2. Литература к главе 3 I -J ^ «ъ Ахо А., Хопкрофт Дж., Ульман Дж. Построение и вычислительных агтгоритмов М Мир, анализ 1979. Биркгоф Г. Теория решеток. М.: Мир, 1984. Ван дер Варден Б.Л. Алгебра. М.: Наука, 1979. Кокс Д., Литтл Дж., О'Ши Д. Идеалы, многообра зия, алгоритмы, М.: Мир, 2000. Ленг С. Алгебра. М.: Мир, 1968. Салий В.Н. Решетки с единственными дополне ниями. М.: Наука, 1984. Шафаревич И.Р. Основные понятия алгебры Ижевск: Редакция журнала «Регулярная и хаоти ческая динамика». Ижевская республиканская ти пография, 1999.
Глава 4. ПОЛЯ 4.1. Общие сведения о полях Простые поля а+Ы ac-hbd-h(bc ad)i c-bdi с 2 + d 2 ac-bbd с о + d 2 + be ad с 2 + d 9 I Напомним, что полем называется целостное кольцо с единичным элементом е ^^^ О, в котором каждый ненулевой элемент имеет обратный. В поле все ненулевые элементы образуют имеет вид g + ///, где g,h — рациональные числа. Обратно, любое число вида g + /г/ с рациональными е, h может быть представлено как частное группу по абелеву мультипликативной группой поля. умножению, называемую элементов кольца Z[/]. Пусть 7 .h , где г. Типичный S и способ построения поля из целостного коль- л-,?, w е Z. Тогда можно записать ца присоединение частных или нахождение по максимальному кольца классов вычетов идеалу. Поле К не содержит идеалов, отличных от нулевого и единичного (совпадающего с К). Действительно, пусть 21— ненулевой идеал поля К Тогда существует обратимый в К элемент а е 21 g + hi ги + St ги sti I ! SU SU SU где числитель и знаменатель являются элемента ми кольца Z[/]. По определению идеала е аа G 21, и, следова Все гомоморфизмы полей инъективны (на тельно, любой элемент поля iT лежит в 21. пример, гомоморфное вложение поля Q в поле Пример 4.1.1. Поля. . Множество Q рациональных чисел является полем частных кольца Z целых чисел. Мультипликативная группа Q* поля Q состоит из ненуле- IR) или биективны (в противном случае в поле существовал бы собственный ненулевой идеал, что невозможно). — произвольное поле и его подмно- Если К жество тоже является полем, то называется вых рациональных чисел. Множество четных чисел образует кольцо 2Z, поле частных которо го в результате сокращения числителя и знаме подполем поля К. Поскольку любое поле содержит не менее двух элементов (О и е\ каждый из которых единственный. то пересечение двух нате л я на тоже совпадает с полем Анало подполей поля К является полем. Очевидно, что пересечение любого числа подполей поля К гично, множество рациональных чисел является полем частных любого кольца вида пЖ для цело- вновь является полем. Простым называется поле. не содержащее топ. собственных подполей. . Для произвольного поля К полем частных кольца полиномов К[х\ от одной переменной х является поле рациональных функций К{х), Поле только одно простое подполе. Теорема 4.1.1. Каждое поле содержит одно и К{х) СОСТОИТ из дробей вида а(х) Ь{х) э где а{х\ Ь(х) полиномы С коэффициентами из поля К и Доказательство. Пересечение всех подполей поля к является подполем, не имеющим собственных подполей. Предположим, что существуют два различных простых под пол я. В этом Ь\х) отличен от нуля. Мультипликативная группа случае пересечение этих подполей было бы соб поля К{х) состоит из дробей с ненулевым знаме- ственным подполем в каждом из них. Следова тельно, эти подполя— не простые. Противоре нателем. Кольцо Z[j] = Z + Z/ содержит Z, поэтому чие доказывает теорему. его поле частных К должно содержать всевозможные рациональные числа Q, а также мнимую Теорема 4.1.2 единицу I как дробь I Покажем, что кольцу Z/pZ, где рациональных чисел. Про стое пол е изо морф но простое число, или полю Q К Q(0 Q + Q/. Действительно, частное Доказательство. Пусть К— простое подполе поля L. Поле К содержит нуль О и единицу е
59 и, следовательно, кратные единичного элемента пе е-he-h...-he. Сложение и умножение этих п раз кратных осуществляется (п + т)е, {пё){тё) по 2 правилу пе-^те пте = пте. Следователь но, целочисленные кратные пе образуют коммутативное кольцо Р, Отображение п~^пе задает гомоморфизм кольца Z на кольцо Р. По теореме о гомоморфизмах колец Р ~ Z/©, где идеал состоящий из тех целых чисел п, которые лежат в ядре гомоморфизма, то есть дают равенство пе Доказательство. Поскольку а^О, то суще ствует а~ . Умножим обе части равенства та = па на а^ . Получим те = пе или, по определению (modp). Обратно, па. Если т характеристики пол я, если т = п (mod/?), то (т п па пЬ, то п(а п)а Тогда а та О.а Теорема 4.1.4. имеют место равенства полях характеристики (а^ЬУ = а^ ^Ъ^ р а' й'^. Доказательство. По формуле бинома Нью тона имеем Кольцо Р целостное, так как поле К — целостное кольцо. Поэтому и Z/© тоже целостное. Кроме того, идеал © не может быть единичным. так как иначе выполнялось бы е 0. Следова тельно, существуют только две возможности: (а + Ь) р а' + .+ аЬ р~\ + й р КР Здесь все коэффициенты, кроме первого и по 1.6 (р)^ гдер— простое число. В этом случае следнего, делятся на р, так как числитель у них делится на р. Поскольку р — характеристика появляется наименьшим положительным числом, для которого ре = 0. Ядро гомоморфизма содержит целые числа, кратные р, — это идеал (р) или. в другой записи, рЖ. Поэтому Р Z/(p) Ж/рЖ явля ется полем. В этом случае простое поле изоморфно полю Ж/рЖ, Простейшее простое поле состоит из двух элементов, О и 1. Таблица сложения и умножения имеет вид: 0 + 0 0 + + 0 + 0,0 • о ля, то в рассматриваемом поле все эти слагаемые равны нулю, то есть (а + Ь) р а р + й^. Аналогично рассуждаем и в случае разности. Положим с = а + fe. Тогда а с ? с р р с р v. р + й р ! Если/? — нечетное число, то число слагаемых в формуле бинома Ньютона четное и коэффициент при р равен Если/? ? то коэффициент при Ь' равен Отсюда заключаем, что в поле характеристики 2 выполняется равенство 2.6 (0). Тогда гомоморфизм являет ся изоморфизмом. Кратные пе все попарно раз этом случае коль личны: если пе то п 4.2. Расширения полей Пусть К— подполе поля L. Тогда L называет цо не является полем, так как Ж не является ся расширением поля л. Расширение L поля К полем. Простое поле К должно содержать не будем обозначать LIK. Рассмотрим строение только элементы из Р, но и их частные. В этом расширения L. Пусть случае целостные кольца Р и Ж имеют изоморф расширение поля К, произ ные поля частных. Поэтому простое поле К изо- вольное множество элементов из L. Существует морфно полю Q рациональных чисел. В поле, содержаш,ее в себе (как в множестве) поле К Таким образом, строение содержащегося в простого поля К с точностью до изоморфизма и множество S (таким полем является, например, L). Пересечение всех полей, содержащих К и определяется заданием простого числа или числа О, которые порождают идеал ©, состоящий из целых чисел п со свойством пе = 0. Число п является полем, причем наименьшим из полей, содержащих в себе К и S, и обозначается K(S). Говорят ? что K(S) получается присоединением множества S к полю К. Имеет место включение называется характеристикой поля и обознача «h У^-ш ^^ ^ ^.\ ь к K(S) L. Полю K(S) принадлежат все элементы из К, ется char(Z). При этом char(Z) = char(X). Числовые поля IR, С (см. п. 5.7) и поля функций, содержащие поле Q, имеют характеристику 0. ^, а также все элементы, полу- Теорема 4.1.3. Пусть а,Ья^О — произвольные ченные при сложении, вычитании, умножении и элементы поля L w р = char(Z). Тогда из равенст- делении этих элементов, то есть K{S) состоит из все элементы из ва та па ? где тип целые числа, следует. что т п (mod/?), и наоборот. Кроме того, если всех рациональных комбинаций a^s, па пЬп р i п.тоа -U JV -^ Ць ? где а h J J
60 J G K^ Si, tj G S. (Отсюда следует, что множество кольца можно выбирать различными способами.) Эти кольца Щх\ отображается в сумму элементов ? произведение элементов кольца К\х\ рациональные комбинации могут быть записаны отобралсается в произведение элементов кольца R ? как рациональные функции, то есть как отноше- так как и в кольце R, w в кольце а[х] присоеди ния полиномов. где переменные множества ? а коэффициенты полиномов элементы поля К. Например, если К чисел, а Л], — , Xfj — поле рациональных поле рациональных функций от с коэффициентами из Q, то в качестве множества S^ содержащего только степени пере меннои (Xi, Х\ , Х\ Х], 3 можно выбрать {^i}. (Xi, Х\ 2 ? Все эти множества определяют одно и то же поле Q(xi). Если множество S можно выбрать так, что оно является конечным, то пишут S=^ {щ, ..., Щ этом случае расширение K{S) обычно обозначают через K{uu •••,Un) и говорят, что элементы Uu •э и п присоединены к полю К. Отметим, что если присоединяемые элементы записаны в круглых скобках, — К{щ,... ? Un\ ТО имеется в виду множество рациональных комбинаций, то есть элементы щ^ ...^щ присоединяются к полю, и полученная конструкция также является полем. Если присоединяемые элементы записаны в квадратных скобках, — K[u\, ..., wj, — то имеет ся в виду множество целых рациональных ком бинаций (полиномов), то есть элементы щ, •• присоединяются к кольцу. •э и п Элементы и } можно присоединять поочеред но. Поскольку элементы Ui лежат в поле L и, еле довательно, перестановочны с любыми элемен , имеет место равенспгво К{и^{ц) там и из K(uj)(Ui) K(Ui, Uj). По индукции это равенство продолжается на любое число присоединяемых любого поля для элементов. Таким образом, можно построить расширение. Расширение, полученное присоединением од ного элемента, называется простым. -- ^ 4.2Л. Простые расширения Пусть К— поле я KciL. Пусть L\K произвольный элемент поля не являющийся элементом поля К. Рассмотрим простое расши рение K(t) поля К, Поле K(f) содержит кольцо R полиномов от пе ременной t с коэффициентами из К, ал I а i К. Сравним R с кольцом Щх] полиномов от — фор- одной переменной х. Отметим, что здесь х — мальная переменная, не имеющая отношения к полю K(f), at— элемент этого поля. Отображение Лх) Я(\ то есть ах I I ал I э является го элементы ненныи элемент перестановочен со всеми элемен тами поля К. По теореме о гомоморфизмах колец имеет место изоморфизм етх]/ф, где не который идеал. Уточним структуру идеала ^. Рассуждаем так же, как в случае простых полей. Гомоморфизм будет существовать при (0), тогда Щх]. Элементы кольца R получаются заме- , при этом НОИ переменной х на переменную из/О следует /{х) = 0. Здесь кольцо не является полем, однако оно может быть вложено в свое поле частных. Поэтому поле K{t\ являющееся полем частных кольца Ш] И есть требуемое расширение поля К. Очевидно, что K(f) в этом случае изоморфно полю рациональных функций от одной переменной х с коэффициентами из ПОЛЯ к. Здесь элемент t называется трансцендентным над К, а поле K(f) называется простым трансцендентным расширением. Однако возможна и более общая конструкция, когда некоторые ненулевые полиномы при подстановке t вместо х обратятся в нуль. Нетрудно видеть, что здесь также будет иметь ме- Цх]/^. Поэтому состоит из тех по- сто изоморфизм колец можно сказать, что идеал линомовДх), для которых t является корнем, то есть/О Поскольку кольцо R является подмножеством поля L с теми же операциями, оно не содержит делителей нуля. В силу последнего изоморфизма кольцо классов вычетов Я"х]/Ф тоже не имеет делителей нуля. Следовательно, идеал ^ явля ется простым Поскольку содержит ненуле вые элементы, то идеал ^ отличен от 7?, то есть противном случае не является единичным все элементы отображались бы в нуль). Поскольку в кольце К1х] все идеалы главные и случай: ^ = (р(х)), где р{х) — неприводимый над К полином такой, что p(t) = 0. Полином р(х) обла- V ^ (0)5 %> "^ R, единственно возможный дает наименьшей степенью среди всех полино мов, для которых t является корнем, так как ина че существовал бы полином с корнем t, не яв ляющийся элементом идеала (р(х)). При этом идеал (р(х)) является максимальным. Следовательно, имеет место изоморфизм ШУШх)) По теореме 3.6.1 кольцо классов вычетов по мак симальному идеалу является полем. Следова тельно, K(t) К[х]/(р(х)). Элемент t удовлетворяет уравнению p{t) моморфизмом колец. При этом сумма элементов Это уравнение называется уравнением, опреде
01 ляющим поле K(f). Элемент t называется алгеб- есть характеристика поля К равна 7. Очевидно раическач над К^ а поле K{t) — простым алгебраическим расширением. Таким образом, любой элемент поля K{t) в ширением поля Z/(7) и определяется уравнением что О < а, Ь<6. Тогда поле К состоит из 49 эле ментов. Это поле является алгебраическим рас •2 , 1 / + 1 Пусть основное поле, z переменная. Q(z) поле рациональных функций. Поле Q(z) этом случае является полиномом. С такими полиномами можно обращаться как с классами вычетов по модулю р{х\ то есть степень каждого из них меньше степени полинома/?(х). Для некото- является простым алгебраическим расширением рого полинома ХО ^ K[t\ равенство У(0 валентно сравнению^?) = О (mod p{t)). экви поля Z 3 Для построенных алгебраических и трансцен + 1 Действительно, положим дентных расширении можно строить новые рас ширения; при этом характеристика поля не меня ется. Z 3 +1 W Тогда Z 3 WZ W Корни этого уравнения не являются рациональными функ Пример 4.2.1. Расширения полей. циями с коэффициентами из Q. Поле Q(z) полу Если К Нх) поле рациональных функ ций, то трансцендентное расширение К{у) = А(х, у) будет полем рациональных функций от двух переменных над к, 2. Пусть ir= IR. Трансцендентным расширением этого поля будет попе IR(x) рациональных функ- чается присоединением корней этого уравнения к полю Q(>v). Пусть К С(х) поле рациональных функции. Простым квадратичным расширением поля К является, например, поле, образованное присоединением элемента квадратного ции, то есть всевозможных частных , где по корня из полинома нечетной степени (несмотря на то, что в поле il каждый полином от одной линомы / g имеют вещественные коэффициенты и g(x)^0. Для построения алгебраического рас ширения присоединим к полю IR корень неприво димого над IR квадратного полинома х + Этот переменной раскладывается на линейные множители, не существует рациональной функции из С(х), квадрат которой является полиномом нечетной степени). Однако присоединяемый элемент не может быть корнем из х, так как в ^ и все элементы такого поля корень обычно обозначается через / и удовлетво этом случае х были бы рациональными функциями от у^ то ряет уравнению /" = -1. Тогда элементы расши- есть такое поле было бы изоморфно полю К, репного поля представляют собой комплексные Точно так же нельзя присоединять и корень из про- ными коэффициентами. Присоединение к полю стейшее квадратичное расширение поля К по- IR корня любого неприводимого полинома дает лучается присоединением квадратного корня из числа а-^Ьи то есть полиномы от i с веществен- линейной функции от х. Следовательно, одно и то же поле С. . Пусть ir= {О, 1}. Здесь, очевидно, транс кубического полинома, не имеющего кратных корней. 2 например элемента такого. что цендентное расширение представляет собой поле рациональных функций с коэффициентами из К. Построим алгебраическое расширение K{f) сте- а)(х Ь)(х с). Последнее задает так уравнение кривую,^ Элементы пени 4. Выберем неприводимый полином вида р(х) X +Х + Обозначим корень этого поли нома через t. Тогда K{t) = K[t]/(p{t)). Циклическая называемую кубическую полученного расширения представляют собой функции вида а{х) + Ь{х)у, где а(х), Ь{х) ^ К, и называются функциялш на кубиче- случае квадратичное скои кривой. общем группа, образованная элементом t, имеет вид: {/, ^\ f, / = ^ + 1, Г^ + /, Г' + ^\ t"^ + г расширение получается присоединением эле + ^ + мента такого, что 2 +/х) 0. Здесь дискри ■J 2 3 + r + ^+l, ^-bf-ht-ht r + ^+1, r + f- + t, минант ~4Ях) имеет нечетную степень и не име ? ет кратных корней. t'+i ? ^+t I}- Здесь все степени элемента г представлены классами вычетов по Степень неприводимого над К полинома/7(х) с 1 t'+ 3 + . Деистви- дает единицу по модулю p(i). В частности, тельно, произведение модулю p(f). 4. Пусть К=Ж[1]/(7) — поле классов вычетов является простым элементом в кольце Z[/]). Поле К состоит из сумм вида а-\-Ы и включает в себя поле Z/(7) в качестве простого подполя, то корнем называется степенью элемента t. Если степень элемента t равна 1, то ^ является элемен том поля К^ то есть по существу расширения нет. Назовем два расширения и f поля к изо морфными (над X), если существует изоморфизм 1 Подробнее об этом см. гл. 6.
62 f ? оставляющий неподвижными элементы поля К. Поскольку простые трансцендентные расширения поля К изоморфны полю рациональных функций и этот изоморфизм сохраняет константы (элементы поля К), то такие расширения изоморфны. Простые алгебраические и трансцендентные расширения можно строить и не прибегая включающему K{f) полю L. При этом трансцен дентное расширение изоморфно полю рацио к нальных функций, а алгебраическое— кольцу классов вычетов К[х]/(р(хУ). Следовательно, алгебраическое расширение однозначно определяется полиномом/?(х). Имеет место следующая теорема. Теорема 4.2.1 Пусть и — расширение поля алгебраически незави- К. Элементы щ, ••> СИМЫ тогда и только тогда, когда из равенства Кщ ? •5 "и/ где fiiUu -.-.иЛ G Щии ..., wj. следует равенство нулю всех коэффициентов полинома/ Доказательство см. в работе [4]. Подмножество S поля L назовем алгебраически независимым^ если ни один из его элементов не зависит алгебраически от остальных. На алгебраически независимых подмножест- Поле L называется алгебраически замкнутым^ если каждый полином из Цх\ раскладывается на линейные множители. Алгебраически замкнутое поле не допускает дальнейших алгебраических расширений. Поэтому можно говорить о максимальном алгебраическом расширении данного поля. Примером алгебраически замкнутого поля является поле С комплексных чисел. Каждое поле К обладает единственным с точностью до изоморфизма алгебраически замкнутым алгебраическим расширением [2]. Такое однозначно определенное алгебраическое расширение называется алгебраическим замыканием поля К. Поле С, однако, не является алгебраическим замыканием поля Q, поскольку содержит неалгебраические над (Q числа, например, число , которое не служит корнем ни одного алгеб- 71 раического уравнения с рациональными коэффи циентами. Пусть L — расширение поля К. Элемент v е называется алгебраически зависимым от wi, . вах поля L можно ввести отношение порядка по возрастающему включению. Эти подмножества оказываются индуктивно упорядоченными, и среди них существуют максимальные. Наибольшая мощность подмножества среди мощностей всех таких множеств называется степенью трансцендентности поля L над К. Пример 4.2.2. Степень трансцендентности. К{х). Элемент х алгебраически незави сим от элементов поля К. Степень трансцендент ности поля L над К равна Если К(х\ М К(х ? ? то степень трансцендентности М над L равна 1, а степень трансцендентности Л/над К равна 2. . Если L = К(х), М= К(х, уУ(Лх, у)), где полином У(х, у) неприводим над алгебраическим замыканием поля К, то степень трансцендентности М над L равна О, а степень трансцендентности М над К равна э щ, если он является корнем полинома 4.2.2. Конечные расширения aJui и^У + a^n-iiui , ..., Uf^ m~l + . + Поле называется конечным расширением + ao(Wb ...,м„) где аХщ ? ..., Ui^j полиномы из Щщ ? ? , ..., и щ\, не назы- поля л, если L является конечномерным вектор ным пространством над К. При этом все элемен ты из L являются линейными комбинациями ко печного множества элементов wi, ...^щ с коэф все равные нулю. Элементы wi ваются алгебраически независимыми, если ни фициентами из К, Число элементов базиса век один из них не является алгебраически зависи- торного пространства называется степенью рас мым от остальных. Например ? если квадратичное расширение поля С(х) рациональных функций получается присоединением корня полинома j/ +У(х) ? где полином нечетной степени, не меньшей то элементы расширенного поля будут иметь вид а{х) + Ь{х)у, где а{х\ Ых) С(х). этом случае трансцендентное расширение поля С(х) строится ширения L над К и обозначается (L:K), Например, если к полю К присоединяется ко рень о е ? полинома р(х\ 1 .П~ 1 г- degO) п. то элементы ? •? iL-K) образуют базис поля L над К и п. Теорема 4.2.2. Если поле К конечно над и переменные х и v алгебраически зависимы. Если поле iL\¥) конечно над К {L:K)(K:k\ то конечно над и присоединением новой переменной у, то пере менные х и j; в поле С(х, у) алгебраически неза висимы. 2 Иногда в литературе степень расширения обо значается L/K. ^'Е * ■* ■Л* Ч. i^Y- -t- ■- JP - ?в^
63 Доказательство. Пусть {щ, ...^и над ^Ги (vb ..., v„7 базис базис К над к. Тогда ка и Пример 4.2.3- Поле разложения Пусть ясдый элемент из L можно представить в виде димыи над х^ + ш:^ + fe + с полином и ai QW an аз неприво его ком аш\ 4- + ам„. где а. е К можно представить в виде b\V} + К, и каждый элемент из где плексные корни. Тогда поле разложения имеет -^b..v т»' т ? ВИД ОГаьаьаз] Подстановка второго выражения в первое а^ + а2 + аз (Q[ai]:Q) а Q[a ь аз] (по теореме Виета Степень и (Q[aba2]:Q[ai]) *7- показывает^ что каждый элемент поля L линейно зависит от тп элементов u,Vj. Следовательно, число (L:k) конечно. Элементы UjVj линейно независимы над L так как w, линейно независимы над ем всех корней неприводимого над расширения или 2. Поэтому (Q[ab a2]:Q) = 3 или 6. Построим поле разложения К присоединени полинома Kuvj линейно независимы над к. Следовательно, (L:k) (L:K)(K:k\ Следствие 4-2.3. Если поле К конечно над к и (К:к) п. поле L конечно над к и (L:k) = тп, то конечно над Ки(1:К) т. х' -\-2. Положим а I 2 . После линейной над К замены переменной х полином / примет вид 2(z 3 1). Этот полином после деле ния на надС: раскладывается на простые множители Элемент w ^ L называется алгебраическим над если он удовлетворяет алгебраическому уравнению Xw) = О с коэффициентами из К Расширение L поля К называется алгебраическим над К, если каж- дый элемент поля L является алгебраическим над К. Теорема 4.2.4. Каждое конечное расширение L поля К получается присоединением к К конечного числа алгебраических над К элементов. Каждое расширение, полученное присоединением конечного числа алгебраических элементов, конечно. Доказательство. Пусть поле L является ко печным расширением поля К^ и степень расши рения равна п. Пусть w е 1\К., Тогда среди сте пеней м^ е W W ^ ^ ^ не более п линейно независимых. Значит, должно выполняться равенство ап -^ a\w + ... +а„и^ и при а/ G К. то есть каж дый элемент поля L алгебраичен над К. Обратно пусть н^— алгебраический элемент степени г ? W W г~\ линейно независи ? то есть расширение явля Тогда элементы е мы и образуют базис ется конечным. Применение нескольких после довательных алгебраических расширений теореме 4.2.2 дает конечное расширение. по Таким образом 5 каждое конечное расширение является конечным алгебраическим расширением Если при алгебраическом расширении к ис ходкому полю К присоединяются все корни урав нения Х-^) = О, то полученное поле называется по лем разлоэ1сения полинома J{x). В этом поле поли номдх) раскладывается на линейные множители. Для каждого полинома Х-^) е К[х\ существует поле разложения, которое строится следующим образом. Сначала присоединим к К какой-либо Z 3 l)(z 2 + Z + 1) Следовательно, полином fix) над С расклады вается на линейные множители: /W х + 1+л/^ х + 4^ъ Присоединение к полю Q элемента а 1 не влечет за собой присоединение элемента а 2 + Поэтому для полч^ения поля разложения к исходному полю необходимо присоединить два элемента: и 3 , то есть К 3 ]. Степень расширения {K:Q) Теорема 4.2.5. Пусть К— поле и полином fix) G К\рс\ неприводим над К. Тогда существует поле разложения полинома Ах) И (Z:X)<deg(/)!. Доказательство. Пусть щ — корень полинома у(л:) в поле L. Тогда в кольце Цх\ полином fix) делится на х ~ ai. Положим /. (х) X а 1 Тогда deg(fi) degOO Вычленяем все корни лежащие в поле ЩаЛ 5 находим корень an Щах] и повторяем процедуру. Поскольку на корень tx неприводимого делителя/(х) полинома *^^^^ои итерации степень полинома уменьшается Лх) При этом полином /i(x) будет иметь вид hTfiix), т>\. Затем присоединим к полу- J ченному расширению К{гЛ корень (2 неприводи Из формул Кардане для корней кубического мого полинома ^(х) и т. д. Ясно, что процесс за кончится после конечного числа шагов. уравнения следует, что (ОГсс ь a2]:Q) тогда и толь ко тогда, когда дис1фиминант полинома / является квадратом в Q. _, ..^^..^. ^ ..^.. ......s. -
64 по крайней мере на i, то после конечного числа х -е в рассматриваемом расширении являются шагов будут присоединены все корни полинома степенями одного корня. Для получения нормального расширения достаточно присоединить к попри этом {L\K) < deg(/)!. лю К образуюшую группы корней степени пиз е 5 Следствие 4.2.6. Для любого (не обязательно то есть некоторый корень уравнения У е неприводимого) полиномаДх) е Щх] существует поле разложения L, и(1:К)< deg(/)!. Очередность присоединения корней полинома для получения поля разложения несущественна, так как в поле разложения все элементы перестановочны. Теорема 4.2.7. Нормальное расширение не за висит от очередности присоединения корней не приводимых полиномов. Доказательство см. в работе [2]. Пусть полином fix) Щх] обладает Поскольку поле разложения нормально ? все ? ? а„. Тогда поле ^"ai ? •? а п и ПО поля разложения данного полинома совпадают. 4 4.2.3. Целые элементы поля корнями ai ле разложения полинома / изоморфны над К. Поэтому поле разложения полинома полностью определяется этим полиномом. Расширение L поля К называется нормальным над К, если оно алгебраично над К и каждый не- вольные поля. Пусть приводимый в Щх] полином, обладающий хотя кольца Т и элемент t ^ Т удовлетворяет уравне Обобщим понятие целого числа на произ целостное подколыдо бы одним корнем в Ц раскладывается в L[x] на линейные множители. Расширение L поля К, по- /?~1 нию вида h + Z'^/^ г ? где г, G 7с. Такой эле /=0 лученное присоединением всех корней одного, нескольких или бесконечного числа полиномов мент называется щлым над R. Суммы и произве из^х], является нормальным. Каждое дения целых над 5 элементов являются целыми алгебраическое расширение может над R. Поэтому целые над R элементы кольца быть вложено в некоторое нормальное расшире- образуют кольцо. ние ? например ? в алгебраически замкнутое поле Среди всех нормальных расширений, содержа щих данное поле, существует наименьшее. Пусть теперь поле частных, L целостное кольцо. К его hS — расширение степени п поля К множество элементов поля Z, являющихся Пример 4.2.4. Нормальные расширения. 1. Построим нормальное квадратичное расши рение поля К с характеристикой, отличной от присоединением корня неприводимого квадратно го полинома Дх) е^х]. Корни полинома Дх) ли целыми над R. Тогда S является кольцом ? жащим R. Например ? ? к ? содер Q(0 ? жи] ? Теорема 4.2.8. Любой элемент / поля L можно представить в виде S , где S G ? ге/г. г неино зависимы, поэтому присоединение одного корня означает присоединение и второго корня. Доказательство. Элемент / поля L удовле Следовательно, любое квадратичное расширение творяет алгебраическому уравнению с коэффи поля к является нормальным. Отсюда следует, что циентами из К: поле 1 ?-"?\ ^} ? где Д G К (мульти квадратичное расширение), нормально над К. Г^а п~\ п~\ + ... + «о (4.2.1) Поле разложения является нормальным Поскольку поле частных кольца R. то а I расширением. являются дробями с числителем и знаменателем Алгебраическое замыкание поля Q, полу- из R. Умножим все эти дроби на произведение ченное присоединением всех корней всех неприводимых полиномов, является нормальным расширением поля Q. всех знаменателей, тогда левая часть уравнения (4.2.1) превратится в полином с коэффициентами из R: bJ"-\-bn-i и-1 + ... +Л о Ум Пусть К — произвольное поле. Присоеди- пожив это уравнение на Ь„" \ получим ним к полю К все корни полинома У^ - е. Они образуют циклическую группу порядка п, изоморфную группе корней степени п из 1 в поле С. Поэтому группа корней степени п из е в рассматриваемом расширении поля К тоже циклична и имеет порядок п. Следовательно, все корни полинома п п ^ь п~\ п п-\ + ... -\-Ь о п~\ п 5 Иногда целый над R элемент кольца Т определя 4 ется как такой элемент, все степени которого линейно выражаются через конечное множество элементов Эти определения эквивалентны, если кольцо Т явля Доказательство этого утверждения см. в работе [4]. ется конечным над R.
65 Следовательно, bJ является целым элементом Доказательство. Полином над R, Положив г ние теоремы. S п L получим заключе Я^) обладает кратными корнями лишь тогда, когда/и/' имеют в ¥р[х\ общий делитель, отличный от обратимого элемента в поле порядком поля L называется всякое коль F,. Но fix) неприводим, поэтому цо в которое содержит и является конеч ным модулем над 7с. Кольцо S всех целых эле он может иметь нетривиальный наибольший общий делитель с производной (совпадающий с fix)) ментов поля рядком поля L. называется максимальным по 6 лишь при f Если Пх) Например, если R ,к <0,L Q(0, z [ л, Z /=0 а.х I I 5 ТО ТО порядками в поле L будут кольца Ж[пЦ, где целое число. Порядками поля функций Пх) п> п ^У\ ia,x (-1 f и la I (mod p). Отсюда Q(x) над Z будут кольца Z[x], Z[x ], Z[X^)], где следует, что полином / имеет ненулевые коэффи- fix) — произвольный полином изZ[x]. циенты а, лишь при степеняхх, кратных», то есть /^) g{^\ где S X р Полином может опять Целостное кольцо R называется целозамкну- представлять собой полином от 5^ тогда эта one тым, если каждый элемент поля частных кольца рация повторяется. Предположим, что g(s) не яв являющийся целым над R, лежит в R. Напри р мер, для кольцо целозамкнуто, для Q[/] кольцо Z[/] целозамкнуто. Целозамкнутым явля ется любое факториальное кольцо. ляется полиномом от 5 . Если его разложить на множители в некотором расширении поля F^, то он будет иметь только простые корни. Пусть корень полинома g, тогда элемент и такой t, будет корнем кратности р полинома/ 5 ЧТО и р 4.3. Конечные поля 4.3.1. Строение конечных полей Поле К называется конечным, или полем Га Пусть К — поле характеристики р. Если корень неприводимого над К полинома, обладающего только простыми корнями, то говорят, что расширение K[t] сепарабельно, в противном случае — несепарабелъно. Несепарабельным луа, если оно состоит из конечного числа эле- может быть только расширение расширенного ментов. Примером конечного поля является про- поля, то есть коэффициенты неприводимого постое поле, состоящее шр элементов, то есть по- линома/х) из теоремы 4.3.1 доллшы лежать в ле классов вычетов по модулю р. Поле из ментов обозначается F^. эле расширении поля К (если коэффициенты Дх) ле Поскольку поле F« конечно, его характеристика жат в К, то fix) Ф^ р (Ф) р Например, пусть К F.0) поле рациональных функций. Тогда не может быть нулевой. Следовательно, характе- расширение L\K, заданное полиномом f ристика поля F^ равна некоторому простому числу ]/р ; Ур ) будет несепарабельным.В даль р. Таким образом, поле F^ является конечным рас- нейшем будем рассматривать сепарабельные расширением некоторого простого поля F^, то есть ширения. Все конечные поля сепарабельны [4]. конечномерным векторным пространством над F^. Пусть размерность этого пространства равна п. Тогда каждый элемент поля F^ может быть единст- Пример 4.3.1. Конечное поле матриц. Рассмотрим поле квадратных матриц размера венным образом представлен в виде линейной комбинации аш] +... + амп, где а ¥^^^Q Р • Алгебраическое расширение поля Fp получается присоединением корня неприводимого над Fp полинома Дх). Выясним, могут ли у этого полинома быть кратные корни. над полем iro; в нем единичным элементом яв ляется единичная матрица Е. Такое поле состоит из следующих элементов: оЛ Л Теорема 4.3.1. Неприводимый полином fix) G Fp[x] имеет кратные корни, если он является полиномом от х^. в этом случае в поле разло- .А 1 у ? 2 У 5 ■-"" г^^ У 3 жения каждый корень имеет кратность р а 4 У 0^ ,А 5 У ? У 6 Максимальный порядок называют также глав ным порядком. 7 Иногда поле из а элементов обозначается также GF{a). 6 ,А 7 У У
66 ства Нетрудно заметить, что выполняются равен ЛЯ 2 + ^ + £ 6 7 +^ + £ ^^ ^ + £ ^^ Fp, в котором полином X я X полностью рас . Сумма любых элементов этого поля дает снова элемент поля, причем все элементы поля представляют собой линейные комбинации матриц Е^ А, А^. Матрица Aq является нулевым элементом поля. Из курса линейной алгебры известно, что для матриц выполняются кладывается на линейные множители. полу ченном поле разложения рассмотрим множество корней полинома х^-х. Это множество корней тоже является полем, так как если х я X и 1 ; я У. то {х±у) я x'^±f я •> -удлР и при ненулевом у. Полином х^ X 1уУ хЧу" X имеет в я аксиомы дистрибутивности. Группа ненулевых только простые корни. Действительно, его про элементов по умножению является циклической и, следовательно, коммутативной; в кольце мат риц нет делителей нуля. Каждая из матриц В I о Мат удовлетворяет уравнению В + В + Е ричный полином В^ + В +Е является неприводимым над кольцом квадратных матриц размера над полем Fa. Полученное поле изоморфно полю классов вычетов 2 [х]/(х + х +1). Изомор физм задается заменой символа х на матрицу А. Теорема 4.3.2. Каждый элемент х конечного поля ¥д удовлетворяет равенству х я X Доказательство. Мультипликативная фуп элементов (имеет по па поля рядок я состоит из 1)- Поэтому каждый ненулевой эле мент поля Тд удовлетворяет равенству х а~} ? где венство X единичный элемент поля. Умножим ра а-\ 1 _ т-г _ _ а Я на X. Получим равенство х я X, Я'' вклю справедливое для всех элементов поля чая нуль, то есть каждый элемент поля F^ являет ся корнем полинома х Q X Иначе говоря для всех элементов х X я я выполняется равенство X изводная равна ах я 1 поскольку (mod/?), то есть производная не имеет корней в рассматриваемом поле. Следовательно, поле является полем из q элементов. Теорема 4.3.5. Если полином fix) степени я делит полином х^ -х, то он имеет ровно личных корней в поле F^. раз Доказательство [1]. Рассмотрим полиномы X как элементы кольца Fo[x]. В этом fix) и х^ кольце справедлива теорема 3.8.2. ПосколькуДх) делит х^-х, то множество корней полинома Дх) является подмножеством корней полинома х Но X я X. я X раскладывается над и-^ на различные линейные множители, поэтому и/раскладывается на линейные множители и среди этих множи телеи нет двух одинаковых. Таким образом, поле F^ является нормальным расширением поля F^. Покажем, что мультипликативная группа конечного поля всегда циклична. случае простого поля получаем малую тео Теорема 4.3.6. Мультипликативная группа F ^ рему Ферма^ согласно которой для числа а, вза- конечного поля F. циклична я имно а Р-] простого (mod р). с Р^ имеет место сравнение Доказательство [1]. Пусть х— произволь- я 1 ? ный ненулевой элемент поля F^. Поскольку х то степени элемента х образуют подгруппу в группе Теорема 4,3,3. Имеет место равенство F^, порядок этой подфуппы является делителем X я X П( X а), где произведение берется по числа q adf ч всем элементам поля F^. я Доказательство [1]. Рассмотрим правую и левую части равенства как полиномы из F^[x]. Поскольку каждый элемент поля F^ является корнем я полинома х^ -X и число сомножителей в правой части равно ^, получаем утверждение теоремы. я Поле F^ состоит из всех корней полинома х которые присоединяются к простому полю F„. X ? Разложим число на простые мно п п жители: Па"' г I 5 причем все г, вза ,=] /-] имно просты, в группе ^. „ * существует не более 1)/р I элементов х, для которых х 1)/л- ? так как полином х (^-1)М- имеет 1)/а кор ней. Следовательно, в * я существует элемент а h для которого а. 1)/а / ^1. Тогда элемент / а т I имеет порядок г,. Все г, степеней эле Теорема 4.3.4. Для каждой степени простого числа р п существует единственное точно стью до изоморфизма) конечное поле F^. Доказательство. В случае п но. Пусть п > это очевид Построим такое расширение по мента ; являются различными, так как единственным простым делителем числа г, является /?/, и а'1/а Жя \)h){rilPi) ^Y, Произведение с П 1\ь 1 /=1 элементов взаимно простых порядков г, имеет
67 порядок группы F то есть является * я образующей сматривать как подстановки. Степени по дета новки образуют циклическую группу * автоморфизмы {а Следствие 4.3.7. Число образующих группы ческую группу а Но 5 а"(х) , поэтому образуют цикли- X X для всех я равно числу чисел, меньших и взаимно X Я' Следовательно, порядок группы авто простых с q Доказательство. Пусть а образующая морфизмов является делителем числа п. Пред положим, что существует положительный пока группы F^ . Рассмотрим группу, образованную элементом Ь = а\ Эта группа совпадет с группой что 1))- зате ль такой, что с/(х) X. Тогда уравнение X р X я ' если существует показатель имеет корень при любом х. Но это /- _ _ С1 ^^ Г-» а. то есть а а или St такой, (mod (q уравнение имеет не более корней. Значит 9 п. Поскольку для любого X из ПОЛЯ Элемент s обратим в Z/(q - 1 )Z тогда и только полняется равенство & (х) X р я вы X, то а" явля тогда, когда он взаимно прост с q ется единичным отображением (единичным элементом группы). 4.3.2. Автоморфизмы конечных полей Покажем, что других автоморфизмов поля я Опишем автоморфизмы поля смотрим отображение а: х ДОМОрфиЗМ ПОЛЯ >х р я^ п Рас Тогда а эн (аЪ) Р cfb Р 9 (а + Ь) Р Я С ядром так как cf + b^. Следовательно, каждый образ эндоморфизма имеет единствен ный прообраз. Поскольку поле F^ конечно, то пени п не более п отобрах^ение о взаимно однозначно. Таким образом, а является автоморфизмом. Простое поле Fp не имеет автоморфизмов, отличных от тождественного. Действительно, поле изр элементов изоморфно полю Ж/рЖ. Группа Ж циклична, поэтому аддитивная группа поля ^. р тоже циклична с образующей 1. Каждый авто морфизм сохраняет неподвижными нулевой и единичный элементы, а значит и все элементы поля Fp. Поскольку поле F^ содержит простое поле Fp, то все автоморфизмы поля F^ сохраняют неподвижными элементы из поля F^. Автоморфизмы можно умножать с помощью композиции отображений. Произведение двух так другой стороны, произведение двух автоморфизмов является эндоморфизмом как оно сохраняет операции сложения и умно жения. автоморфизмов как биективных отображений является биективным отображением и, следовательно, автоморфизмом. Единичное отображение, сохраняющее неподвижными все элементы поля F^, является единичным автоморфизмом. Кроме того, каждый автоморфизм как обратимое отображение имеет обратный автоморфизм. Рассмотрим множество автоморфизмов. со стоящее из степеней автоморфизма а Здесь а(х) X р ,С7^(Х) Р\Р X Р 2 И Т. Д. 2 Теорема 4.3.8. Автоморфизмы {а, а образуют циклическую группу порядка п. ? ...} нет. Из теоремы 4.3.8 следует, что существует не менее п автоморфизмов поля F^, q =/?". Поле F^ получено присоединением к простому полю корня неприводимого полинома степени п. Автоморфизм достигается заменой одного корня на другой. Однако число корней полинома сте- поэтому и число автомор- ? физмов не более п. Следовательно, других ав томорфизмов нет. Таким образом, все автомор физмы поля физма а: X - >х я р являются степенями автомор Теорема 4.3.9. Если п rs то поле из 1^ элементов содержит поле К из р элементов. В этом случае существуют автоморфизмы поля оставляющие неподвижными элементы поля К. Эти автоморфизмы образуют циклическую подгруппу группы автоморфизмов с образую щей а /■ Доказательство. Поля L и К являются ко печными расширениями поля Тогда по следствию 4.2.3 поле L является конеч (К^р (L-F. ным расширением поля К. Поскольку число п составное, то в циклической группе (а) автоморфизмов, оставляющих неподвижными элементы поля Fp, существует подгруп па, образованная автоморфизмами о*. Поскольку группа (а) конечна и циклична, то ее подгруппа тоже циклична. При этом группа (</) имеет порядок s. Любой элемент х поля К удовлетворяет равенству х Следовательно, автоморфизм подвилшыми элементы поля К. р S X. <г S оставляет не Поскольку числа г, 5 в формулировке теоремы 4.3.9 не обязаны быть простыми, то для конечного поля существуют автоморфизмы, оставляющие неподвижными элементы любого его под- поля. Если степень расширения конечного поля К над подполем к равна 5, то порядок группы ав- Доказательство. Поскольку автоморфизмы томорфизмов, оставляющих неподвижными эле действуют на конечном поле F., их можно рас- менты из А, равен s.
m Таким образом, поле L можно рассматривать как алгебраическое расширение конечного поля К^ не обязательно простого. Для составного показателя п полином х хце Теорема 4.3.10. Если дх)— неприводимый над F„ полином степени d, то полином х р р хпе лится наДл:) тогда и только тогда, когда d\n. лится на все линейные полиномы, а такя<:е на все неприводимые полиномы, степень которых делится на п. Поэтому формула для числа приведенных неприводимых полиномов степени п усложняется. Например, для п = or, где несколько г Доказательство. Корни полинома X р и X — раз личные простые числа, число неприводимых по являются простыми и образуют поле L Предпо- линомов степени п равно {р п Я г + )1п. ложим, что х^ -X делится на Дх). В этом случае Формула для числа неприводимых полиномов множество корней полинома fix) является под- степени п в общем случае определяется теоремой множеством корней полинома х X. то есть 5.2.6. элементами поля L. Тогда поле L содержит поле разложения полинома Дх). Следовательно, d\n. Обратно, если п - md, то поле L является расши- мов над конечным полем. Пример 4.3.2. Число неприводимых полино эле рением степени т поля К, состоящего из /?' ментов. Поскольку все поля из одинакового числа элементов изоморфны, то поле К изоморфно полю разложения полинома Дх). Значит, поле содержит все корни полинома Дх), то есть х делится наДх). Для » число неприводимых полиномов X степени п 5 . 2,1 X +Х + 1 + .Г+Х + равно 5 2)/5 5 ? Х^ + X' + 1, X , Х^ + X + X + + х^ + х^ + х + х+ 1,х^+х^ + 6. Это полиномы 1, x' + xV х^ + х^+ 1. Для» и п число неприводимых поли Следовательно, димых полиномов равно х^ - X. Здесь произведение всех неприво номов равно 6 3 24 2)/б 9. Это полино из FJx] степени, делящей п. мы х^ + х+1, х^ + х^+], х^+х^+ 1 ? X +Х +Х + + Х + учитываются и линейные не- X ^ + x^ + x^i-x + X ^ + х^ + х^ + х + приводимые полиномы. Теорема 4.3.10 позволяет оценить число непри водимых полиномов из ^р[х] степени п. Поскольку кольцо х^ + х^+х^+х+ 1, х^+х^ + х^ + х+1, х^ + х^ + х^ п + + хГ + р Fp[x] факториальное и все ненулевые эле менты поля FpM то fj являются обратимыми в кольце неразложимые элементы этого кольца можно рассматривать с точностью до обратимых элементов. Достаточно рассмотреть только неприводимые полиномы с единичным старшим коэффициентом. Умножение такого полинома на произвольный обратимый элемент кольца даст ассо- Конечное расширение конечного поля задается неприводимым полиномом. Если полином степени п раскладывается на множители в Fp[x], то хотя бы один из них имеет степень не более п/2. Следовательно, полином Дх) неприводим в F„[x], если НОД(/ X, Дх)) р для всехк<п Изложенное очевидным образом переносится ^ При этом циированныи с ним неприводимый полином. на случаи кольца F^[x], если символ р заменяется на д. Например, для поля Если число п простое, то х^ - х делится толь 4 2 т/(/^ +1 + число приведенных неприво ко на линейные полиномы и на неприводимые димых полиномов степени в 4 [X] равно полиномы степени п. этом случае в любом расширении поля F^ степени менее п ни один из неприводимых полиномов степени п не раскладывается на множители, но в расширении степе- 3 4)/3 20. Это 3 X +Х + ? 3 . 2,1 X +х + L неприводимые полиномы 3 2 X +х +Х+ 1, а также 17 ни п каждый такой полином раскладывается на линейные множители. Корни различных полиномов попарно различны, так как в противном случае не все коэффициенты полиномов были бы элементами поля F„. Корни полинома х^ - х об- других х^+х + + полиномов, 3 в частности x^ + t 5 X -^tx + t+ 1. Здесь X перемен ная, а ?— элемент поля ¥л. Все конечные поля из п элементов изо морфны как векторные пространства над Fn оди р п наковой размерности п [5]. Переход от одного поля к другому осуществляется заменой базиса. Осталь- Поэтому вид неприводимого полинома, задаю- разуют поле из р элементов. Это поле содержит простое поле, элементы которого соответствуют неприводимым линейным полиномам. ные элементы соответствуют корням неприво димых полиномов степени /з, каждый полином Алгебраическое расширение L степени п ко- имеет п корней. Следовательно, число приведен- нечного поля К является w-мерным векторным щего поле классов вычетов, непринципиален. ных (с единичным старшим коэффициентом) не- пространством над К. Пусть поле L получено приводимых полиномов степени п для простого присоединением корня t неприводимого над К п равно {р п )П, полинома/ Тогда L == K[t]/(f[t)).
69 Естественным базисом L над К является набор К получаем Тг(Ьс I be 1 Тг(х) be 1 е различных степеней t. Однако в вычислительном Если b пробегает все поле К, то след Тг(Ье I плане часто удобнее задавать базис L над А^ не в тоже пробегает все поле К. виде степеней элемента а в виде нормального Таким образом, это отображение является го базиеа, представляющего собой п значений авто- моморфизмом групп морфизмов поля для некоторого элемента G L , например, g'^t для которого все значения автоморфизмов различны: {g, a(g),..., <^~^(g)}- Определим норму элемента х произведение в поле К как 4.3.3. Норма и след в конечных полях Мх) о а(х) а(х) ..■cf 1 (X) X X р X If I Пусть ПОЛЯ к ^ р физм аддитивных групп мультипликативных групп L расширение степени п конечного Покажем, что существует гомомор- К и гомоморфизм Теорема 4.3.12. Норма N является гомомор физмом мультипликативных групп L К К Определим елед элемента х сумму Доказательство [1]. Доказательство, как и в поле К как ^ теореме 4.3.11, проведем в четыре этапа. Сначала покалсем, что норма произвольного элемента Тг(х) О a7x) + a(x) + ...+cf I X (х) лежит в К. Затем что выполняется равен ство N{xy) = N(x)N(y) и что для а е К справедливо х + х^ + ... +х р п~1 Мах) а и Мх) На последнем этапе покажем что норма отображает группу L на группу А^* Теорема 4.3.11. След Тг является гомомор 1. Возведем норму N(x) в степень р. Получим физмом аддитивных групп L К. (Щх)) р (х • X р X р"~\р Доказательство [1]. Доказательство проведем в четыре этапа. Сначала покажем, что след X р ■y^ X If произвольного элемента х лежит в К. За тем что выполняется равенство Тг(х + у) Для каждого элемента х р р Тг(х) + ТгО) и что для а К справедливо Тг(ах) выполняется равенство х^' =х. Поэтому (N(x)y' = N(x). Но поле А^ = F„ состоит в точности из тех элементов х, для аТг(х). На последнем этапе покажем, что которых выполняется равенство х^ = х. Следова след отображает поле L на все поле К. 1. Возведем след Тг(х) в степень». Получим (Тг(х)) Р Р (x + x^' + . +х и-1 Р \Р Р Х'' + Х р 2 + . + Х Р п Для каждого элемента х выполняется равенство л*'' = X. Поэтому (Yr{x)Y ~ Тг(х). Но поле К Fp состоит в точности из тех элементов х, для которых выполняется равенство х^ =х. Следовательно, Тг(х) К. поле характеристики р выполняется ра венство (х + у) для о < А: < W - 1. Под тельно, Л^(х) G К., причем Л^(0) и 7V(x) К для 2. Для произведения выполняется равенство i^y) X Р к для Q<k<n Подставляя эти равенства в выражение для нормы N{xy\ получа ем N{xyS[{y). Следовательно, норма является го моморфизмом группы L в некоторое подмножество группы К. 3. Элементы поля К удовлетворяют равенству а для Q<k<n— 1. Поэтому а р к N(ax) = ax-a^x^-a^\^^ 11-1 ti-l ..-а^ х^ ах-ах^ '...-ах^ п~\ а'^Шх). ставляя эти равенства в выражение для следа Тг(х +у\ получаем Тг(х) + Тг(у). 3. Элементы поля К удовлетворяют равенству а для Q<k<n~ 1. Поэтому а р 4. Рассмотрим ядро гомоморфизма, индуци рованного нормой. Для элементов ядра имеем х + х^ +х^ 2 + ... + Х р п~\ Тг(ш:) п-\ /=0 J 4. Полином X X р и-1 и-1 а X р I 1=0 + ... +х ] а Тг(х) имеет не более корней в поле К. Поле L содержит и п~] элементов. Следовательно, существует элемент 2 X Х+р+р-^+.^+р' ] X {р"-^)к р ' ? х^^' соответствии с теоремой 4.3.5 уравнение X (р"-^)к р имеет (р п !)/( корней в поле L, то есть ядро гомоморфизма имеет поря док {р П 1)/( 1). Тогда по теореме 2.3.3 фак X такой, что Тг(х) = с ^ О, е ^ К. Тогда для торгруппа L по ядру гомоморфизма имеет поря
70 док» падает с группой К. Следовательно, эта факторгруппа сов ты I лежат в поле а их следы в поле К. По * этому и значения полинома от следов этих эле ментов лежат в поле К. Пусть ЫК— простое алгебраическое расши- L. Тогда существует неприводимый .,. + «о с кор- рение и над К полином Дх) = х'^ + а хх + Пример 4.3.3. Норма и след в конечном поле. нем L-At) 1. Пусть 16 2 т/(г + /+1), a:-F2. Пай Выразим норму и след элемен- дем норму и след элемента Г + ? из поля L в поле та через коэффициенты этого полинома. ка К, Норма честве базиса поля L выберем степени элемента 2 .п-\ т- /-_ е t f Если базисные векторы умно + 0 15 будет равна 3 1+2+4+8 так как для любого жить на 9 ТО получим набор ?, г, ...,f. Тогда элемента у 16 справедливо у 15 же элемента равен элементы второго набора можно выразить через + (г + Л г..,^..^хт^. ^^*чт.^^^ ..0^^*40 /-^ог^.х^^Ч. /^ / ^—/2 ./.3.1 8 3 1 + 0 ненулевого След этого элементы первого набора (базиса): Lt L 5 ..., 3 + ty + (f + tf + (f + 0 4 + + t) + (f + t + t+l) + (t^ + t+l) + 9 a^i a\t ao. Этому npe + (f + образованию соответствует матрица Пусть 3 s[tW + 2t + 4\ К 5 Норма элемента 3^ + 4^ + 3 равна (Зг + 4^+3) 1+5+25 V а о а 1 а 2 След этого же элемента равен (ЗГ + 4/ + 3) + + (4Г + 3?+1) + (3/^ + Зг + 3) 4.4. Элементы теории Галуа а и-\ Автоморфизм конечного расширения конеч ного поля, сохраняющий неподвижными элемен- Сумма диагональных элементов матрицы ты исходного поля, достигается заменой одного равна Тг(0 а и-1 ? поэтому след элемента равен корня неприводимого полинома на другой а и-1 и совпадает со следом матрицы Т. -^ f. Это справедливо и для бесконечных по Найдем определитель матрицы Т. Для этого лей. Например, поле С обладает двумя очевид над [R: циклически сдвинем вниз на одну позицию все ными автоморфизмами строки матрицы Т. Это преобразование соответ- отображение и комплексное сопряжение. тождественное ствует умножению определителя на То Пусть L/K нормальное расширение. Ав гда определитель матрицы будет равен N{t) п ред томорфизмы расширения L/K оставляющие ао) п ао. След и норма являются неподвижными элементы из К, образуют груп инвариантами матрицы Г и не зависят от выбора базиса L над К. пу 9 называемую группой Галуа Gal(L/X), по неиные множители: скольку произведение автоморфизмов является поле L полином Дх) раскладывается на ли- автоморфизмом и ассоциативность умножения следует из теоремы 1.1.1; каждый автоморфизм имеет обратный; тождественное отображение является единичным автоморфизмом. При этом под группой Галуа алгебраического расширения Лх) ?,)(х t2)---(pC tn). Тогда можно выразить след и норму следую щим образом: LIK понимают группу Галуа минимального Тг(0 а п-\ + ^2+...+^«, 8 МО п ао Ф 1 ' V а а а ' Л7 * След и норма элемента являются сим метрическими функциями от всех п значений автоморфизма L над К для аргумента t и прини нормального расширения, содержашего данное расширение L. Расширение L/K называется абелевым^ если его группа Галуа абелева; циклическим^ если его группа Галуа циклическая [6]. Под группой полинома понимают группу Галуа поля разложения этого полинома. мают значения в поле К. Поэтому все п корней полинома Дх) имеют одинаковую норму и след. Покажем, что все симметрические функции от указанных аргументов тоже принимают значения в поле К. Действительно, любая симметрическая функция может быть выражена в виде элементарных симметрических функций. Каждая элементарная симметрическая функция может быть выражена в ввде полинома от следов TifO, Тг(/^),..., Тг(^") элементов t\ как показано в п. 3.12. Все элемен- Пусть Ях) Щх] неприводимый над К по лином, (аь ..., а п его корни в некотором расширении поля KwL — поле разложения этого полинома, являющееся нормальным расширением. Тогда L Ща, ? —, CLfjX. Автоморфизмы такого расширения ЫК зада ются заменой одного корня полинома/(^) на дру 8 Конечное нормальное сепарабельное расширение называют также расширением Галуа. -. -Л ?
71 гой. Корни {ai, ...,ос„} алгебраически зависимы мом аддитивных групп полей, а норма гомо над К, поэтому достаточно рассмотреть не все морфизмом мультипликативных групп. перестановки корней. а отображения (произ вольного) данного корня а. Таким образом, су ществует п автоморфизмов L над К [6]. Обобщим на произвольные поля теорему о существовании кратных корней неприводимого полинома над конечным полем (теорема 4.3.1). Пример 4.4.1. Группа Галуа. Теорема 4.4.1. Пусть К— поле, Дх) КЫ Пусть Дх) кы неприводимый над К неприводимый над К полином. Следующие ут полином и char(X) ^ 2. Квадратичное расшире- верждения эквивалентны. ние L поля К^ полученное присоединением корня полинома Дх), нормально, так как кгждьт корень линейно зависит от другого. Поэтому существует группа Gal(L/X), состоящая из двух автоморфизмов: тождественного и замены одного корня на другой. Пусть дискриминант полинома Дх) равен Второй автоморфизм переводит элемент fix) имеет кратные корни в поле разложения 2. НОД(Лх),/Чх)) К. Поле А^) к имеет характеристику p^Q и Кратность всех корнейДх) делится на». Доказательство [6]. 2. Пусть а ко D, а +Ь4Ъ^1 в элемент а Ьл[Б. Эта группа рень кратности т полинома Л^) и <^Т'Ф)- Тогда циклична. Соответственно расширение L/K явля ется циклическим. 2. Рассмотрим мультиквадратичное расшире ние /'(^) т(х а) т 1 фс) + (X - afg{x) а) т-\ (mg(x) + (х - a)gXx)\ поля А характеристики О, полученное по не следовательным присоединением корней скольких неприводимых квадратных полиномов отсюда НОД(/(х),/Чх)) . Поскольку к. Я^\ /« Щ.Х1 то и НОД(/(х),/'(л:)) G ^х] (это следует из алгоритма с дискриминантами /)i, ..., Д,. Такое расширение Евклида). Но deg(/') < deg(/) и/х) не имеет дели- . Это возможно тождественного, заменяет только тогда, когда характеристика поля К равна нормально (см. пример 4.2.4, п. 1), а автомор- телей в ^х], поэтому /(х) физм. отличный от элемент поля на сопряженный. Пусть автомор- /? иДх) является полиномом от х^. физмы / и фу осуществляют соответственно за мену элементов М, на л/Д, .То гда ф^ = ф ^ = ]. Автоморфизм ф;<р, переводит эле J менты + J и J в J 4. поле характеристики р справедливо равенство (х + а) р Пусть Дх) Ф р и х^ + а р разложения. Тогда см. теорему 4.1.4). р а, г В поле /(^) X р а I т I П( X / рт 1 •> И J соответственно; автоморфизм ф,<р / переводит элементы + ^ и W, в где р а I очевидно ^^rz: ^- J и соответственно. По этому ф/фу = фу<р/. Это равенство выполняется для всех /, /, поэтому группа Галуа мультиквадра- Связь между расширениями полей и их группа ми Галуа устанавливается следующей теоремой. Теорема 4.4.2 (основная теорема теории промежуточное поле. тинного расширения абелева и изоморфна пря- Галуа). Пусть М— нормальное конечное рас мому произведению циклических групп порядка ширение поля К и 2, а само мультиквадратичное расширение явля ется абелевым. К М. Между промежуточными полями и подгруппами Н группы G = Gal(A//X) существует биекция. При этом Понятие нормы и следа для конечных полей если I Ь, то подгруппа Ни соответст можно перенести и на конечные расширения бесконечных полей. Пусть L — конечное расши рение поля К, и {^ь ..., е п базис расширения L/K. Если то Re I Z «-/^7 9 где а.' е К, То гда след Тг(р)— это сумма диагональных эле ментов матрицы (a^), норма Л^(р)— определи тель матрицы (а,,). След является гомоморфиз вующая Lb содержит подгруппу /^2, соответствующую L2I порядок подгруппы Н в G равен {M\L\ индекс //в G равен {L\K). Н— нормальная подгруппа в G тогда и толь- — нормальное расширение ко тогда, когда поля К. Доказательство см. в работе [2]. •т £ ^\.
72 Пусть К— поле и Х[а] его конечное Корни степени п из е образуют абелеву груп расширение. Тогда а называется примитивным пу по умножению, так как из cf € И п € еле элементом поля L (над К). К каждое конечное сепарабельное расширение L/K обладает примитивным элементом (это означает, что присоединение корней нескольких различных неприводимых полиномов эквивалентно присоединению корня одного неприводимого полинома). Теорема 4.4.3 примитивном элементе) Пусть ^аь ..., aJ — алгебраическое расши рение поля К и минимальные полиномы для эле ментов а, не имеют кратных корней. Тогда суще ствует такой элемент р g Z, что L Ш]. Доказательство см. в работе [6]. дует (аЬ) п сРЪ П е и к« («") 1 е. Если К поле комплексных чисел, то эта группа циклична и порождается образующей (примитивным корнем степени п из е\ которая может быть записана как ^щ{1ш1п). Очевидно что вместо к МОЖНО использовать 9 , где НОД(А:, п)=\. Тогда X п е е\х е)(х 2 )...(х п 1 Если поле К имеет характеристику /?, то за- не делится на р. Тогда для пишем п где корня степени w из е Пример 4.4.2. Примитивный элемент. I. Пусть К Q[V2, л/З]. Рассмотрим группу Галуа Gal(Q[V2, V3]/Q). Положим a(V2) -Гг. т (л/З) л/з . Тогда (ат)(л/2 а(л/2 т(л/2 + + + л/3; (Ta)(V2 + VI) v^ VI группа автоморфизмов порождается авто морфизмами CI, поэтому к Q[V2 + VI] Пусть а 4i + VI Примитивный элемент по ля К. Поле К является полем разложения поли нома а)(х а(а)Хх тШЬ ах(а)) 4 2 X ОЬс^+1. Пусть К Q[ 1, V2, л/З ]. Это поле имеет 3 автоморфизмов. Группа автоморфизмов порождается тремя автоморфизмами а, т (см. п. h V т ev т е h е. поскольку {а + by ~ а' + Ъ^. Следовательно, все корни степени w из е являются и корнями степени h из е. Поле, получающееся присоединением h К К всех корней полинома х е, называется полем деления круга над К, или полем корней степени из е (если К имеет характеристику О, то пола гаем п И). этом поле полином fix) X е раскладывается на линейные множители, так как f(x) hx h-\ имеет корень лишь при х поскольку /2^0, то есть Дх) и f'{x) взаимно просты. Пусть 91, ...,65 — образующие группы корней степени h вз е. Полином Ф;,(х) 1 )...(х Ov) называется полиномом деления круга. Очевидно, что Фи(х) делит х —е. Если h— простое число. то число образующих равно \у h~\ ■ Л-2 ■ . ■ \ И X е е)(х + / + ... + X + е), поэтому Фи(х) / ^ +х^ ^ + ... +х + е. данного примера) и > Поле деления круга совпадает с полем разло- . Примитивный жения полинома Фи(х). Полином деления круга элемент имеет вид Поле К явля ется полем разложения полинома Т\(х + е.лГл + е2л[2 + е^4^) имеет целые коэффициенты и не зависит от характеристики поля [2]. Связь между цикличностью группы Галуа конечного нормального расширения и полиномом деления круга установлена в следующей теоре X 8 6 4 2 16х" + 88х"+192х"+144, ме. где произведение берется по всем различным наборам коэффициентов е, из {1, !}• 4.5. Поля деления круга Рассмотрим уравнение х =е над произвольным полем К, где п — натуральное число. Корни этого уравнения называются корнями степени п из единицы. Теорема 4.5.1. Пусть поле К содержит примитивный корень степени п из е. Тогда группа полинома х^ - а, где а ^ К ^ циклична и ее порядок делит п. Обратно, если группа Gal(Z/X) циклична и имеет порядок щ то L поле разложе ния полршома х п а. Доказательство см. в работе [5]. ч Поле деления круга называется также циклото мическим полем.
75 4.6. Дискретное преобразование Фурье Теорема 4.6.1 справедлива и при degCO п Пусть/х), фс) G КЫ 7 Пусть к— поле и К\рс\ — кольцо полиномов. По определению полином задается своими коэффициентами; если Ях) G К\х\ имеет степень п 1 п~\ Кх) I ах , g(x) у:ь,х'\ < * / о /=0 п ? то число коэффициентов равно п. Для сложения полиномов достаточно сложить их коэффициенты при одинаковых степенях х. Оказывается, что можно и умножать полиномы путем «покоординатного» умножения.'^ Для это- причем старшие коэффициенты могут быть ну левыми. Пусть существуют наборы значений по линомов \Х()у — 5 ^2п~2 И для 2п значении аргументов силу гомоморфизма колец Шх] и го нужно перейти от задания полинома множеством коэффициентов к заданию его множеством К имеют место равенства значении. Л^д + gi^d = (/+ gX^ilfipcdgi^d = {fg)(^d- (4.6.2) /j-i Пусть Пх) а^х' G К\х\. Гомоморфизм /=0 Поэтому умножение полиномов, заданных наборами значений, выполняется «покоординат- колец К[х\ -^ К определяется следующим образом: для полиномаДх) вычисляется значение Дх/) X некоторого элемента подстановкой вместо X/ € л. Покажем, что множество значений поли номаДх) для п аргументов полностью определя ет полином степени п. Теорема 4.6.1. Полином fix) е ^х] степени ременных {хЛ. ным» умножением значении. Если полиномы, заданные набором коэффициентов и набором значений, рассматривать как векторы, то из (4.6.1) следует, что переход от одного способа задания к другому является линейным преобразованием над К, то есть описывается некоторой невырожденной матрицей Q. Очевидно, что вид матрицы определяется набором пе- п полностью определяется своими значения Удобный для практики вид этой матрицы по ми /хо), ...,/х„_]), где элементы Х/ е К попарно лучается, если в качестве набора {х/} использо различны. вать множество корней степени w из е в поле К. Доказательство. Предположим, что в поле этом случае поле ^должно быть алгебраическим К существуют п различных элементов хо,..., х^]. Для каждого полинома fix) можно вычислить расширением поля или, для простои характе значение Дх,), то есть каждому полиному соот ристики /?, должно выполняться сравнение р (mod 2 и ветствует единственный набор Например, если К 7, ТО ДЛЯ П 4,8, значении 16 значения корня степени п из 1 равны соответ ственно 4, 2, 3 (дхо), ..., дх„_])}. Покажем, что не существует двух различных полиномов, дающих одинаковые Отображение, определяемое матрицей Q, век- наборы (Дхо), ...,/х^])}. Для этого рассмотрим тора коэффициентов полинома степени не выше отображение (д^о), ■ • •, fi^n-\)} мое формулой К\х1 задавае п п 1 п~\ g{x) Е/(^,) П( X ^у) В вектор значении называется дискретным преобразованием Фурье. Пусть со — образующая группы порядка п в группе К . Тогда матрицы Q и Q~' имеют вид ^=0 «-1 П( (4.6.1) е е е ^i ^у) е со со 2 Q е со 2 СО 4 Так как К поле, знаменатель каждого ела гаемого отличен от нуля. Полином фс) имеет степень не более п поэтому пол ином е со"-' со''-' е со п~\ со п-1 5 СО Нх) А^) g(x) имеет степень не более п .Не е е е е '* трудно видеть, что г(х) имеет п различных корней. Такое может быть лишь в том случае, если полином г(х) нулевой. Следовательно, полином однозначно определяется набором е со"-' со"-' со Q 1 е со"-' со"-' со 2 степени п п значений (Дхо), ...,дх п~\ H/x)-g(x). е со со 2 ... СО и-1 10 Непосредственное умножение полиномов «в столбик» имеет квадратичную от п сложность. удобно к Если W = 2 , то произведения у = Qx и х Q 1 вычисляются; преобразование вектора
74 умножением его на матрицу П в этом случае на- причем равенство возможно лишь при а = О, то зывается быстрым преобразованием Фуръе (см. есть сумма квадратов элементов упорядоченного п. 7.1.3). п-Л Имеют место равенства со {) для любого /=0 поля всегда неотрицательна. Единичный элемент е ^е всегда положителен. Для единичного эле- е + е + ...+е>0 п е п е О < / < W. Например, при j со п е со ^е и со п е = (со +... + со + е е)(со «-1 + ... + со + е), поэтому со п-~\ 4- Если элемент со' образует группу порядка г. мента получаем для любого п. Поэтому упорядоченное поле всегда имеет нулевую характеристику. Простейшим случаем упорядоченного поля является поле Q рациональных чисел. то i является делителем п Тогда со F е (со } е)(со }{г~ 1) Поле К называется нормированным^ если для + .. + со^ + е), откуда следует каждого элемента а ^ К определено значение со-''^''~'^ + ... +со^ + е Любая элементарная симметрическая функ ция, кроме нормы, может быть представлена в «-1 виде полинома от со у , где О <7 < W, с нулевым /=0 свободным членом и, следовательно, равна ну лю. Это обстоятельство положено в основу вы числения преобразования Фурье. Теорема 4.6.2. Дискретное преобразование Фурье К[х]- является гомоморфизмом колец Щх]/(У е). Доказательство. То, что дискретное преобразование Фурье задает гомоморфизм из КШ в некоторое кольцо R, следует из формулы (4.6.2 общем случае степень полинома, задаваемого набором значений, может быть больше п. Поскольку значение преобразования Фурье как вектор всегда имеет размер п,то R является кольцом 7Цх]/21 классов вычетов по некоторому идеалу 21. Каждый идеал в кольце Щх] — главный, поэтому нахождение идеала 21 сводится к нахождению полинома степени w, имеющего нулевое значение преобразования Фурье. Подставляя в л" е вместо X значения корней степени w из е, пол уча ем нули. Следовательно, 21 (^ е\ 4.7. Нормирования Поле называется упорядоченным^ если: для его элементов выполняется ровно одно из соотношении а О, а а из условия а ah и следует а + и а Этих требований достаточно, чтобы охарак- в целом. Например, если . Элемент а отрицательный. теризовать поле то а если а Абсолютной величиной \а\ элемента а из упорядоченного поля назовем неотрицательный из элементов а. а. Тогда аЬ\ а + Ь\<\а\ + \Ь\. Кроме того, а 2 9 а 2 а\\Ь1 функции ф(а). называемой (valuauon), со свойствами: и нормированием ф(а) поля: элемент некоторого упорядоченного 5 ^ l-*L ф(«)' (р(аЬ) О ддя а ^ О, ф(0) ф(а)ф(й); ^ ф(а -^ Ь)< ф(а) -Ь- ф(й). Из свойств е, ф{а) 5 получаем. что ф(е) е. а). Из свойства 4 следует, что ф(а Ь) < ф(а) + ф(й). Каждое поле обладает дальнейшем не будем рассматри тривиальным нормированием: ф(а) = е для а ^ О и ф(0) вать это нормирование. Если K = Q, то можно положить ф(а) а. Если Существуют и другие виды нормирования — простое число, то каждое рациональ ное ненулевое а можно представить а {ф)р Положим /7 для целого W, где ф„(а) л При в виде не делятся на/?, этом выполняются свойства 1-4. Такое нормирование называется/? адическгш нормированием поля Q. Например, ф2(3) о 5 ф2(10) 1 , ф2( 16) 4 5 Ф, 40 3 . Ф2 48 25 4 '^L Любое нормирование поля эквивалентно абсолютному нормированию или некоторому адическому нормированию [3]. Обобщим эту конструкцию Пусть про извольное целостное кольцо, К — его поле частных, ф — произвольный простой идеал кольца R такой, что: все степени Ф^Ф", . попарно различны и их пересечение равно нулю; если элемент а делится в точности на ф"', а элемент b делится в точности на ф , то эле мент аЬ делится в точности на ф т+п Эти свойства выполняются, например. для поля Рдх) рациональных функций, являющегося полем частных кольца главных идеалов ¥р[х]. и Значение нормирования, а иногда и функцию нормирования, называют нормой.
75 Простым идеалом кольца является любой глав- Поскольку в поле К выполняются свойства ассо ный идеал, образованный неприводимым поли- циативности, коммутативности и дистрибутивно номом. ^-адичес7<ое нормирование поля К зада- сти, то элементы с неотрицательным нормирова ется максимальной степенью идеала ф, на кото- нием образуют кольцо. рую делится данный элемент поля (степени ф, на которые делится числитель, берутся со знаком тель- Из v(a) о, v(b) О получаем а степени, на которые делится знамена v(a + min(v(a), v(b)) со знаком «-»). качестве значения нормирования используется максимальная сте v(a mm(v(a), v(b)) пень идеала ф, на которую делится числитель (знаменатель). ца. Если с Vic) произвольный элемент этого коль то v{ac) ~ v(a) + v(c) v(a) По Например, для поля Q(x) нормирование по этому элементы с положительным нормировани идеалу (х) дает: 2 ф(;,)(Х +2Х) ! (хГ, Ф(х) х^+2^ X о (xY, Ф(х) У х^+2 х^ + Зх^ (X) 9 ем образуют идеал J. Наконец, из аЬ (J) или. что то же самое, из v(ab) = v{a) + v{b) > О следует, что хотя бы один из элементов а или b имеет положительное нормирование, то есть а е или G (J) или (J)). Поэтому идеал простои. Нормирование поля К назьгоается неархи медовым^ если ф(а + й) < тах(ф(а), ф(й)), в про тивном случае нормирование называется архи Кольцо А элементов поля X, обладающих не отрицательным дискретным нормированием, на зывается кольцом дискретного нормирования медовым. Примером архимедова нормирования Элементы кольца А называются целыми (относи- поля служит абсолютная величина, ^^-адическое тельно нормирования). Говорят, что а делится на нормирование поля Q неархимедово. Неархимедово нормирование обладает свой ством: если ф(х) > ф^у), то ф(л: +3^) = ф(х). Дейст (относительно нормирования v), если а целый элемент. то есть v{d) vibl Элементы коль ца с нулевым значением нормирования вительно, если предположить обратное, то един- являются обратимыми элементами кольца нор- ственно возможный случай: (?(х-^у) < ф(х). Тогда мирования. Поскольку все элементы множества X (^^У) >'Иф(х+>')<ф(х), ф( Это <?(у) ^ ф(л:). А\3 обратимы, то идеал 3 не имеет делителей в противоречит определению неархимедова кольце А. Поэтому он является максимальным нормирования: ф(х) < тах(ф(х +3^), ф(->')). Часто используют показательное неархиме Следовательно, кольцо классов вычетов А/J является полем, это поле называют полем классов дово нормирование, когда вместо нормирования вычетов нормирования. ф(а) via) рассматривают показатель v(a). Тогда: вещественное число: со: 5 v(a) v(0) v(ab) v(a + й) > min(v(a), г\й)). 4.8. Пополнения поля (D v{a) + vib); ир-адические числа Среди нормирований различают дискретные Последовательность {«/} элементов нормиро и недискретные. Дискретные нормирования ха- ванного поля называется фундаментальной^ если рактеризуются тем, что для каждого из них су- для каждого положительного 8 из поля значении ществует наименьшее положительное v{d) такое, нормирования ф существует натуральное п что все остальные v{a) кратны ему. Недискрет- такое, что ф(ар ~а^<г ддя любых ные нормирования характеризуются тем, что их п{г) п п. Определим сумму и произведение фундаменталь значения могут быть сколь угодно близки к ну- ных последовательностей: С/ лю. Нормирование абсолютной величиной не- гда последовательности ai + b и W} /5 / aibi. То l^-'l тоже будут дискретно 9 адическое нормирование дискрет но. фундаментальными. Введенные операции сложе ния и умножения удовлетворяют аксиомам коль ца, поэтому фундаментальные последовательно Теорема 4.7.1. В показательно нормирован- сти образуют коммутативное кольцо. ном поле К все элементы а со свойством л\а) образуют кольцо. Совокупность элементов, для которых нормирование положительно, является Поле К называется полным относительно нормирования 5 если оно удовлетворяет крите простым идеалом J этого кольца. Доказательство. Из v(a) рию Коши: каждая фундаментальная последова тельность элементов поля К имеет предел в К. v(b) следует Определим нуль-последовательность как v(a + v(a и v(ab) v(a) + v(b) фундаментальную последовательность со свои
16 t-^ ством «сходимости к нулю», то есть для любого разность принадлежит модулю М/. Если / £ при существует натуральное п такое, что \а\ < г некоторая ^у-адическая фундаментальная последо- / > п. Нуль-последовательности образуют вательность рациональных чисел, то для каждого идеал 21 в кольце R фундаментальных последовательностей. Следовательно, можно образовать кольцо классов вычетов L = Rl%. Это кольцо яв (mod/? начиная Гк) <Р с некоторого п n(j\ имеем ■} при i>n(j\ n(j\ то есть г I Гк J Таким образом, все числа г„ начиная с ляется нормированным полем [2]. Действитель- некоторого i>n{j\ лежат в однозначно опреде но, если элемент а е Z определяется фундамен- ленном классе вычетов Щ по модулю уЦ. Поэтому тальной последовательностью {аЛ над полем К с фундаментальная последовательность нормированием 5 ТО по определению нормиро определяет некоторую последовательность классов вания |ф(а;) - ф(0/)| < ф(а, - аХ то есть {ф(^/)} вычетов Rq 1 2 ..., вложенных друг в дру тоже фундаментальная последовательность, об- га указанным способом. При этом если I ладающая некоторым пределом с^ в поле вещест нуль-последовательность, то "J нулевой класс венных чисел. Положим ф(а) Все фундамен- вычетов. Сумме фундаментальных последова тальные последовательности с одним и тем же тельностеи соответствует сумма классов вычетов. пределом определяют одно и то же значение частности, прибавление к фундаментальной ф(а). Нетрудно проверить, что функция ф в поле последовательности нуль-последовательности не удовлетворяет всем четырем требованиям, изменит последовательности классов вычетов. предъявляемым к нормированию. случае неархимедова нормирования доста- для Каждому адическому числу взаимно одно значно соответствует некоторая последователь точно потребовать, чтобы ф(«/+] ai)<z ность классов вычетов. Поэтому адическое /> п(г\ Действительно, а р а я это сумма число можно представить с помощью последова слагаемых вида а^л ют значение, меньшее тоже меньше 8, так как а,, и если все они име- тельности классов вычетов. Кроме того, то и значение суммы адическое число а можно представить в виде бесконечной суммы, положив Го 5о, Го ф(а (+1 ai) < тах(ф(а/ц_]), ф(аЛ). Л]/?, ..., I 4- + J /+1 I J Sjp\.... Тогда г,+| =лo + 5]^) + Л//?^. Получаем Таким образом, в поле, полном относительно неархимедова нормирования, любая последовательность {«/} имеет предел, если только разно- J 00 а ИшУ /^■00 /=о s^p I S:P I /=0 сти Oi+i Gi стремятся к нулю. то есть если При этом S I обычные целые числа. Такие lima /7-^00 П 0. Этот критерии можно переформулировать числа а называют целыми р-адическими числами. Множество целых »-адических чисел является целостным кольцом, которое обозначается Жр. Для сходимости бесконечного ряда «] + «2 + - • • Дробное р-адическое число имеет вид необходимо и достаточно, чтобы lima 0. а а V + а^т^хр + ... + «о + С1\Р + сы) + ... случае архимедова нормирования это не так, на пример, гармонический ряд хо д ится. 4- 1 /2 + 1 /з + рас Если поле Q рациональных чисел нормировать относительно абсолютной величины (архимедово нормирование), то в результате пополнения получим поле IR веш,ественных чисел. Если использовать /?-адическое нормирование, то в результате пополнения получим поля и содержртг слагаемые с отрицательными степенями р. Поэтому каждое дробное /?-адическое число можно превратить в целое адическое число умножением на некоторую степень/?. Сложение и умножение адических чисел вьшолняется аналогично сложению и умноже нию рациональных чисел в ичнои системе 2,Q3, Q55 Q75 Qib ■•• /?-адических чисел, равноправные с полем IR. Элементы поля Q^, могут быть представлены в более удобной форме, чем фундаментальная последовательность. Поле Q^ как пополнение поля Q имеет нулевую характеристику. Рассмотрим для неотрицательных целых чисел 1,2,... модуль М/, состоящий из рациональных чисел, числитель которых делится на р\ а знаменатель не делится на/?. Для таких чисел нормиро вание удовлетворяет неравенству ф(а) < гГ Ня^п счисления, только рациональные числа записы ваются, начиная адические числа со старших разрядов. а начиная с младших разрядов Пример 4.8.1. Арифметика кольца Жр. Найдем в 2 элемент I Запишем О 7 2 + 2 . 2-адическое число имеет вид со l + VO-2', Представим искомый элемент в ы\ со виде X вем два числа сравнимыми по модулю р, если их а 2 / Тогда 5х == X + 2^х = 1. Коэффи /=0
77 циенты неизвестного найдем последовательными 2 7 . Решим квадратное уравнение х = И в ^ сравнениями по модулям 2, 4, 8 и т. д. Сравнение Корень из ] 1 будем находить последовательным по модулю 2 дает Хо = 1. Сравнение по модулю 4 решением сравнений дает Ъс 1 (mod 4), откуда х\ = 0. Сравнение по модулю дает 4x9 + 4х о откуда Х2 и т.д. Пусть X (mod 7). Тогда Xq для хо + 7xi + 7 Х2 + 2 степеней числа Имеем или Хг) Таким образом. в 2 имеет место равенство ние Хг) 2. Находим Xi 00 2 . Выберем значе- решением сравнения + 28x1 - 11 (mod Т). Отсюда 28х 1 1 12 2i Xi 2. Находим Х2 решением >=о (2 + 14 + 7^X2^ = 11 (mod 7^), откуда (mod 7 сравнения 7% 2 00 2. Найдем сумму х Тр (mod 7 Х2 / В Жр. Имеем для и т. д. Второе значение корня из /=о разности /?-адических чисел х X частности, число рх 11 будет задаваться последовательностью коэф фициентов, противоположных по модулю ко 1. Отсюда эффициентам первой последовательности. в 9 имеет ВИД 00 12 / 1=0 Упражнения к главе 4 -^>- -. ■* о Что собой представляет простое поле с нулевой характеристикой? Существует ли эндоморфизм поля в его собственное подполе? Покажите, что поле не имеет идеалов, отличных от нулевого и единичного. Покал<:ите, что алгебраическое замыкание поля Q не совпадает с полем С комплексных чисел. Постройте квадратичные расширения: а) поля з; б) поля Q; в) поля С(х) рациональных функций поле 2 im 4 + Г + наидите корни поли нома fit) 4 + Г + и корни других неприво димых полиномов степени hit) git) t +t -^t +t+\. Выразите корни по линомов g, h через корни полинома/как век торы над р2. Почему квадратичное расширение поля явля ется нормальным? Приведите примеры нор мальных расширений, получающихся при 5 соединением одного корня полинома, отлич ного от у Пусть е. простое поле и РДх) — его про стое трансцендентное расширение Тогда ка ждому элементу поля РДх) можно поставить во взаимно однозначное соответствие рациональное число заменой переменной х на число/?: ах / I* J х J а,р г Ть ■ J J Изоморфны ли ПОЛЯ Q и РДх)? 9. 10 Как найти число приведенных неприводимых полиномов степени п в кольце Fp[x] для простого и составного п7 Найдите кратные корни полинома/(х) х' + ,5,4 4-Х +Д X 3 X 2 Х + 3 ы В его поле 11 разложения путем вычисления НОД(/(х),/'(х)). Найдите все неприводимые полиномы вида 2 3 12 13 14 15 16 FJx] имеют X + а, X + й в кольце Fi9[x]. Какие ненулевые полиномы в нулевую производную? Какие ненулевые рациональные функции в ¥р{х) имеют нулевую производную? Пусть Z[/], f — кольцо целых гауссовых чисел. Покажите, что идеал (2 + /) в этом кольце является максимальным. то есть Z[/]/(2 + /) является полем. Покажите, полученное поле изоморфно полю F5. что Покажите, что дляр>2 в кольце Fp[x] суще ствует неприводимый полином вида х^ + а. 2 Исследуйте действие отображений ф и ф , где ф: X ~> X на элементы поля 2 И/(/ + г+1). Найдите порядок циклической группы, образованной отображением ф. Пусть F^, расширение степени п простого ПОЛЯ Fy,, где л — простое число. След и норма для \Fg по определению явля- симметрическими юте я э лементар ными функциями от п переменных и отображают ¥д В F^^. Являются ли остальные элементарные симметрические функции отображениями ¥д В F„?
18 Ю Покажите, что над полем ниех +а где а G * ?' п 9 уравне а 9 всегда имеет един ственное решение. Найдите это решение. Пусть F Й9 2", конечное поле. При каких условиях квадратное уравнение х + х + а где а G F^ , имеет корни в F *? ч я- [9. Пусть К— поле. Покажите, что если для по линома из К[х] выполняется условие НОД(/^/') G К, то/свободен от квадратов. Покажите, что алгебраически замкнутое поле не может бьггь конечным. Пусть К— поле и К(х)— поле рациональных функций. Пусть /е Щх) и /' — производная функции / Покажите, что /' е К{х) и что отображение /7/ является гомомор 22 23 24 25 физмом мультипликативной группы поля Щх) в аддитивную группу этого поля. Покажите, что элементы кольца дискретного нормирования, нормирование которых больше 1, образуют идеал. Найдите произведение целых чисел 2 + 2 + 2 2 + 2 5^ + и адических + 3-54- + 3 ■ 5П 3 ■ 5^ + Что собой представляет факторгруппа Жр/Ж7 Является ли она циклической? Пусть П ПОЛЯ я Р„М/(Дх)) расширение степени р и жите, что элементы базис \Fa над F„. корень полинома У(х). Пока- ^ образуют ч-.г^ V ^-^ X Литература к главе 4 > Айерлэнд К., Роузен М. РСлассическое введение в современную теорию чисел. М.: Мир, 1987. Ван дер Варден Б.Л. Алгебра. М.: Наука, 1979. Коблиц Н. />адические числа, />адический анализ и дзета-функции. М.: Мир, 1982. Ленг С. Алгебра. М.: Мир, 1968. Лидл Р., Нидеррайтер X. Конечные поля. Мир, 1988. М.: Milne J. Fields and Galois theory (Lecture notes) http.7/www.jmilne.org/math/.
Глава 5. СВЕДЕНИЯ ИЗ ТЕОРИИ ЧИСЕЛ Теоретико-числовые задачи являются хоро ческих алгоритмов. Это обусловлено достаточ вида /^т для простого т называются числами шим фундаментом для построения криптографи- Мерсенна. Если существует разложение гл, где г ной изученностью указанных задач и удобством нечетное, то число их программного воплощения. лено в виде rs 4- может быть представ rs 4- 5.1. Однозначное разложение на множители в кольце Z .v + 1)(2 rs-s rs-2s 4- 4- IX поэтому числа вида / 4- могут быть простыми 5 если / не имеет нечетных делителей, то есть яв Множество Ж является евклидовым кольцом ляется степенью двойки. Числа вида 2 2 к 4- назы и, следовательно, обладает однозначным разло- ваются числами Ферма. На сегодняшний день жением на простые множители. Поскольку коль- известны следующие простые числа Ферма: цо ж содержит два обратимых элемента (1 и 1), 17,257,65537. разложение на простые множители производится с точностью до обратимого элемента кольца, то есть до знака простого числа. Теория чисел изобилует нерешенными про блемами Простых чисел бесконечно много. Доказа- несложными." Например которые на первый взгляд выглядят тельство этого факта дал еще Евклид. Действительно, если предположить обратное, то существует наибольшее простое число. Тогда, если к произведению всех положительных простых чисел прибавить единицу, получим число, превышающее наибольшее простое число, которое не будет делиться ни на одно из простых чисел. Противоречие доказывает неправильность предположения. Для большого натурального числа п количество простых чисел, меньших w, обозначим через Имеет место асимптотическое (теорема П.Л. Чебышева): равенство п{п) п Inn конечно или бесконечно множество простых (числа Мерсенна) или чисел вида 2 + (числа Ферма); можно ли каждое четное число представить в виде суммы двух простых чисел (гипотеза Гольдбаха); конечно ли множество простых чисел вида 5.2. Некоторые числовые функции Число п ^ Ж называется свободным от квадратов, если оно не делится на квадрат никакого простого числа. На практике представляют интерес простые _ ^/Н 1 ^1 , л _ _^. _ числа вида и 4- Теорема 5.2,1. Любое число 7 2 П gZ может так как в кольцах вы- быть записано в виде п = аЬ ^ где а. b ^ Ж и а четов по модулю этих чисел удобно выполнять свободно от квадратов. арифметические операции. Если число т состав Доказательство. ное, т = rs, то Пусть п и А' раз fS у 1)(2 га-г _1_ 2га-2 г _|_ + 1), ложение числа п на простые множители. Каждый 2Ь. + г„ показатель поэтому гда, когда г где г или может быть простым только то- то есть число т простое. Числа нечетно число d,. Положим а можно записать в виде в зависимости от того, четно или Па' ? П А' Тогда п ah 2 требуемое разложение. ^ Аналогично доказывается, что ддя произвольно го поля К существует бесконечно много непривод и 2 этом случае упор я мых полиномов в кольце К[х], дочивание полиномов проводится по их степеням. Знаменитая великая теорема Ферма была дока занав 1990-х годах с использованием аппарата эллип тических 1фивых.
80 На множестве Z>o положительных целых чисел с>тцествует ряд естественно определенных функций. Определим функцию Мебиуса \i{n\ п е Z>o. Положим ц( 1) ? Ып) О, если п не свободно от квадратов, и \i(p\...pk) ные простые числа. к 1Г, где I Теорема 5,2.2. При п > имеем Y\^{d) О, d\n где сумма берется по всем делителям d числа п. включая ИИ. / Доказательство. Если п П й^ то вклад /=1 в сумму показателей /э превышающих единицу. нулевой. Следовательно, имеем равенство Уц(^) Ti^- ? d\n Sb...,S/ где сумма берется по всем наборам (sj, ...,8/), 8/ G {О, 1}. Тогда /)(1) ц(1)/(1) 1)(п) Yv^id) О, W £/[« Теорема S.2J (теорема обращения Мебиу различ- са). Пусть F{n) = Yf{d). Тогда d\n fin) у ^i{d)F{nld). d\n Доказательство. Можно записать F f-i Тогда F ■ \i Поэтому /)-ц f-E fin) iF Ц)(«) У iiid)F{nld). d\n Определим функцию Эйлера <^{п\ где п >о 3 как количество положительных целых чисел, меньших п и взаимно простых с п, включая единицу (при этом по определению ф(1) пример, ф(2) 1,Ф(5) 4, ф(6) Ф(12) 1). На 4. Ее ли» простое число, то ф(р) T^d) d\n + V V V + ... + ( / / Определим умнооюение Дирихле для двух ком Теорема 5.2.4 Выполняется равенство 1ф(^) п. d\n Доказательство. Рассмотрим п рациональ плекснозначных функций/и g, определенных на ных чисел вида l/w,2/w,..., w/w и сократим каж множестве Z>o: {f-g){n) fidy )gid Здесь J, Jt =« дую из дробей на наибольший общий делитель числителя и знаменателя. Множество знаменате- сумма берется по всем парам положительных лей будет представлять собой все множество по- целых чисел du <^2, дающих в произведении п, ложительных делителей числа п. включая 1 и п. в качестве знаменателя. Поэтому значение суммы Умножение Дирихле коммутативно, так как ум- Если d\n, то в точности ф(^) чисел рассматривае ножение комплексных чисел коммутативно, и ^loro множества после сокращения будут иметь если одно из слагаемых имеет вид f^di)g(d2% то существует и слагаемое вlщгiJ[d2)g(d\). Сложение таких пар слагаемых, очевидно, коммутативно. Кроме того, умножение Дирихле ассоциативно, так как выполняется равенство ТФ) совпадает с числом элементов рассмат d\n риваемого множества, то есть V (p{d) п d\n _f if-ig- h))in) = ((/ • g) ■ h){n) Z fid,)gid2 )hid,). d,d2d-i=n I Теорема 5.2.5. Если n П pf' TO /=i _ ^ ^ Функции с умножением Дирихле образуют коммутативный моноид. Единичным элементом Ып) I 'ft г*' * » T-lx,-- является функция со свойством Е{\) и Е{п) О для всех целых п Доказательство. Поскольку V9(J) = w, то Рассмотрим функцию / вида 1{п) = 1 для всех п G Z>o. Для любой функции / имеет место ра- d\n из теоремы обращения Мебиуса следует, что венство (/ ■ f){n) - (/ • 1){п) Yfid) Тогда d\n Ып) TKd) п п ф>тцсш1я / является обратной к функции Мебиуса относительно умножения Дирихле. Действи- d\n П 4- / П I i>J I J П тельно ? ; Рэ J \ Pi J
81 Для больших чисел п имеет место асимптоти мультипликативна. то функция g{n) Yf{d) ческое равенство ф(?7) п d\n Inlnw функция Мебиуса позволяет определить так же точное число неприводимых над F^ приве денных полиномов степени п. также мультипликативна. Из китайской теоремы об остатках следует, что для взаимно простых чисел р\, ...^ри имеет место изоморфизм колец Ж1рхЖ@ ...@ Теорема 5^.6. Число N, неприводимых в ¥р\х\ полиномов степени п равно © Ж1ркЖ. Отсюда вытекает, что функция Эйлера является мультипликативной. Мультипликативной является также функция \i{n). 1 -ь ■ ■7 л^ п П Z vk^ld) d г-. - :VJ. i > . ^^t -.-1- 5.3. Кольцо <^»- y« \ '*'--=?■ d\n ; - -^ "Г''-_^1 VJ " ^■ t V -t- \ Доказательство. Обозначим через G^x) неприводимый над Fp полином степени d из F„[x]. Уточним некоторые положения теории сравнений (см. п. 3.5) применительно к целым числам. Покажем, что для полинома х равенство: р X выполняется V 1 X Р и X ЦоЛ^) (5.2.1) d\n Аппарат теории сравнений часто используется при изучении вопросов, относящихся ко всему мноя^еству целых чисел, в частности при решении диофантовых уравнений. Диофаитовым называется уравнение видаДх!, ...,х„) = О, где/— полином над Ж, с целочисленными решениями. ' . ^ ^- ^ -V Действительно, поскольку t «,.р"-1 р X (mod р) ■< и НОД(х р и X, (Х^ 7 II х)') 1, то полином X р II Из теоремы о гомоморфизмах колец следует, что если диофантово уравнение имеет решение в Ж, как сравнение по наоборот, если то оно имеет решение в произвольному модулю п. и X не имеет кратных корней в алгебраическом замыка НИИ поля ¥fj и, следовательно, свободен от квад сравнение не имеет решения хотя бы по одному модулю, то соответствующее диофантово уравнение неразрешимо. ратов в р F Jx]. По теореме 4.3.10 неприводимый р и полиномдх) степени а делит т -х тогда и толь Пример 5.3.1. Диофантовы уравнения. . Уравнение х + ах + b = Q при нечетных а, b ко X р II тогда, когда d\n. Следовательно, полином не имеет целочисленных решений. Для доказа X представляет собой произведение непри- тельства достаточно рассмотреть соответствую водимых полиномов, С1^епени которых делят п Тогда, приравнивая степени обеих частей равен щее сравнение по модулю то х~ + ах Если X ства (5.2.1), имеем п УсШ d Применяя тео ли 2 X d\n X + ax + b (mod (mod (mod X + ax + h TO x^ + ax (mod (mod 2). Ec (mod 2) рему обращения Мебиуса к последнему равенст ву, получаем заключение теоремы. .... .^ 3 3 . Уравнение х -7у + 4 численных решений. Д}ш не имеет цело д о каз ате л ь ств а рас смотрим соответствующее сравнение по модулю Теорема 5.2.6 показывает различие между коль 7. То, что сравнение х'' + 4 (mod не имеет цами Ж и FJxJ. Если для первого кольца точная реп1ений, легко мояшо проверить перебором. формула для числа простых элементов, меньших заданного, неизвестна (возможно, в явном виде ее и не существует), то для второго такая формула есть. Другое отличие характеризуется слож:ностью разложения. Если наилучший известный алгоритм разложения чисел обладает субэкспоненциальной сложностью, то полиномы раскладываются с полиномиальной сложностью (см. гл. 7,9). Уравнение у^ = х + 11х + 8 не имеет решений в целых числах. Это утверждение следует из рассмотрения соответствующего сравнения по модулю Получаем х^+ 2x4-2 (mod3) Правая часть всегда принимает значение 2, а ле вая значения О или Китайская теорема об остатках устанавливает гомоморфизм кольца Ж и колец классов вычетов Ж1т,Ж для взаимно простых т,. Следовательно, Числовая функция / называется мулыпгтли произведению и сумме чисел соответствуют кативнои^ если НОД(а, Ь) для чисел а э таких. что вьшолняется условие /йЬ) произведение и сумма вычетов по модулям т Для / восстановления числа х по его вычетам fia)f{b). Поэтому мультипликативная функция можно использовать следующее утверждение полностью определяется своими значениями на (целочисленный аналог интерполяционной фор- степенях простых чисел. Если функция An) мулы Лагранжа).
82 Теорема 5,3,1 (китайская теорема об остат- одна из которых имеет порядок 2, а другая ках для кольца Ж). Пусть числа т\^ ...^т^ вза- порядок 2 " . имно простые. X м, 1 х,- (mod /W/), (mod mi). Тогда М 1П\...ти^ Доказательство см. в работе [1] к X У х,.МД^ (mod 7V) / i Доказательство. Идеал, образованный любой парой чисел (т^^ пу) в кольце Ж равен Ж^ то есть применима китайская теорема об остатках Теорема 5,3,4. Группа {Ж1пЖ) является циклической тогда и только тогда, когда w = 2, 4, р"^ Ip" для нечетного простого/?. Доказательство см. в работе [1]. (см. теорему 5.3.5). прямой сумме колец: Кольцо изоморфно Например, (Ж1\5Ж) = {1, 2, 4, 7, 8, 11, 13, 14}. Ни один из этих элементов не образует группу порядка 8. Ж1тлЖ@ ... @Ж1ткЖ. ^ Поэтому достаточно показать, что значение х из заключения теоремы удовлетворяет сравне- Рассмотрим вопрос о разрешимости сравнения а (mod/?), где а т^ О (mod/?), для простого/?. Теорема 5.3.5. Пусть р — простое число. Ее НИЮ X Xi (mod т^. Так как МД = 1 (mod m,), то ли НОД(?7,/? то сравнение х" = а (mod/?). сравнение х = х, (mod mi) выполняется. где а 7^ О (mod/?), разрешимо при любом а. Если Поскольку в Ж имеет место однозначное раз НОД(п, р МО при а (Р d то это сравнение разреши l(mod/?). Доказательство. Если НОД(?7,р ложение на мнояштели, то изучение сравнении по произвольному модулю сводится к изучению п обратимо по модулю р отображение х то сравнении по модулям степеней простых чисел взаимно однозначно и является автоморфизмом Ж1р'Ж в соответствии с китайской теоремой об группы Fp*. Следовательно, сравнение разреши- остатках. Любой элемент х НИЮ X р группы Ihp . МО всегда. Пусть НОД(?7,/? - \) = d> 1. Мультип- р удовлетворяет сравне- ликативная группа F^ циклична с образующей g. X (mod/?). Следовательно, имеет ме- Тогда х сто равенство X р X х(х \)(х 2)...(х и (mod/?), а V После сокращения 1)(х 2)...(х на 4- X получим X р- + ваемое сравнение имеет вид g (mod/?). Рассматри ^ (modp). По (mod/?). Полагая х этому для показателей выполняется сравнение пи V (mod (л 1)) (modp), получаем теорему Вильсона: (р (mod/?). 1)! Последнее сравнение разре шимо тогда и только тогда, когда d\ и соответствии с китайской теоремой об ос- Образующую мультипликативной группы татках теорема 5.3.5 остается справедливой при замене /? на число т такое, что группа обратимых элементов по модулю т циклична, при этом сле- кольца иногда называют примитивным корнем по модулю п Посмотрим, для каких п группа (Ж/пЖ) ЦИК лическая. Согласно теореме 4.3.6 и следствию группа ¥р при /? 7^ 2 циклическая, число обдует заменить /? на ф(т). 4.3 разующих равно ф(р Теорема 5.3.2. Если/?— простое число, то группа (Ж/р^Ж) циклическая. Доказательство см. в работе [1]. ^ о Если сравнение dt ^ а (mod тп) разрешимо, то говорят, что а является вычетом степени п по модулю т. В противном случае а является невычетом степени п по модулю т. э Вопюосы (mod /? и £ разрешимости сравнении х ^а а (mod/»), где а т^ О (mod/»), /»> 3, тесно связаны. * Для (Z/8Z) 5, 7. Каждый из них в квадрате дает единицу: (mod 8). Следовательно, случая /? = 2 ситуация иная. Группа состоит из четырех элементов: группа {Ж1%Ж) не является циклической. То же имеет место и для степеней двойки, больших Теорема 5.3.3. Группы {ЖИЖ) и {Ж1АЖ)* цик Теорема 5.3.6. Сравнение х" = а (mod/?), где а 7^0 (mod»), D>3, НОД(?7,») разрешимо тогда и к ТОЛЬКО тогда, когда сравнение j^ а (mod/? ) разрешимо при всех к. Доказательство. Если п очевидно. Предположим, что п то утверждение . Пусть сравнение уР^а (mod/?^) разрешимо wxq — его решение. Тогда х\ Хо + Ьр е лические. Группа {ЖИЖ) при А: > 3 является ния, при этом х п \ тоже решение этого сравне . Най Xq 4- пЪр (mod/? e+l прямым произведением двух циклических групп, дем коэффициент Ъ, при котором выполняется
\ 83 сравнение X n 1 a (mod p e+l ЭТОМ случае nx /7-1 0 X n 0 e (mod p), где X n 0 )/p'' целое число. Это сравнение разрешимо единст венным образом. Следовательно, сравнение х'^ сложным. Покалсем. как свести данную задачу в кольце классов вычетов по модулю т к задачам в кольцах классов вычетов по простым нечетным а модулям р. Пусть т с Пг^' Достаточно рас / (modp) разрешимо при всех разрешимо при всех к. е При е оно смотреть случай НОД(а, т) = 1. Тогда по китай теореме об остатках сравнение 9 рсшимо и^»и вссл П.. ^j,Qj^ теореме об остатках сравнение х^^а Обратно, пусть сравнение ^_^ ^ а {тоАр ) раз- ^^^^^ т) разрешимо тогда и только тогда, когда QHMo и у = xq +рх\ + ... + » Xjt_] — его реше- .^oo^^.tit^iv^lc ^глот,тт*^гл«а решимо и Xq +рХ\ + D его реше ние. Тогда xq будет решением этого сравнения по модулю». * '' ' '"' разрешимы сравнения -н _,^_^ - X 2 2 а (mod 2^), X ^aimoAp е, :>'г- ■^^-Р ^ ^ -* * --> 5.4. Квадратичные и кубические вычеты Квадратичный закон взаимности Из теорем 5 следует, что сравнения Если сравнение 9 jr а (mod m). а (mod/?*') разрешимы тогда и только то гда, когда разрешимы сравнения х^ = а (mod/?^) Поскольку единственным квадратичным выче где \\ОШа^ пг) = \^ разрешимо, то а называется квад том как по модулю 4, так и по модулю 8 являет л 2 / 1 ^Сч СЯ 1 Сравнение jc а (mod разрешимо тогда раптчным вычетом по модулю т, в противном и только тогда, когда а (mod 9 jr а случае а называется квадратичным невычетом а по модулю т. Если сравнение х = а (mod m), где точно НОД(а, т) = 15 разрешимо, то а называется кубическим вычетом по модулю т^ в противном случае а называется кубическим невычетом по модулю т. при е и (mod при е>3. Таким образом, доста рассмотреть разрешимость сравнения (mod р) для простых нечетных При этом порядок группы р всегда четный, и во прос о разрешимости квадратичного сравнения нетривиален. *- ^ --_ - -^ 7-4 *^ С- .- Пример 5.4.1. Квадратичные вычеты и невы четы X 2 При т 1, 4, 2, 2, для X 1 2 3 1. ^. J. (mod 7) и X 3 получаем , 1,6, (mod 7) соответственно. Поэтому 1, 2, 4 являются квадратичными вычетами, а 3, ными невычетами по модулю ются кубическими вычетами, а 2, ческими невычетами по модулю — квадратич Числа 1, 6 явля 4,5 куби соответствии с результатами предыдуш.его параграфа вопрос о разрешимости сравнения а (mod т) по модулю произвольного натурального т сводится к вопросу о разрешимости этого сравнения по модулям простых делителей числа т Если а {р-\)1 простое число и 1 (modp) 5 то факторгруппа ¥р 1{а) имеет четный порядок и сравнение разрешимо, причем суш.ествуют два решения. Аналогичное утверждение справедливо и для кубических вычетов. Сравнение х ^а (modp) имеет единственное решение для любого а р •> если НОД(р Если же р 1,3) 1, то есть если л ^ 2 (mod 3) (mod 3), то НОД(/? 1,3) Сле довательно, кубическое сравнение разрешимо, l(mod/?) (при этом существуют если а {р-1)/3 три разных решения) или если а случаях оно неразрешимо. В остальных Обратный вопрос — для каких т разрешимо сравнение X 2 а (mod т) является более Определим символ Леэюандра а для числа ^-C-V-_s ^ ^ 1 - ... !■-. I- ii. '.^ а по простому нечетному модулю а если а является квадратичным вычетом по моду а лю э э если а является квадратичным невычетом по модулю /?, и а О, если а (modp). Таким образом, для чисел а, взаимно простых с р, символ Лежандра является квадратичным характером. Теорема 5.4.1. Символ Лежандра обладает следуюш.ими свойствами а + кр а \ >--- -^^ р для всех к е Z; аЪ 9 а для всех таких. что ^ ^ ■ь^ НОД(^>, р) а р 1 У а 2 (modp). В частности ? . -^ / -i- 1,если л (mod 4), и ? -Г_ "J если» = 3 (mod 4);
84 a J a 9 р1л 8 9 при изменении a от до символ Теорема показывает. что вычисление символа Лежандра а сводится к вычислению символов Лежандра для простых делителей Лежандра принимает значения и а числа а одинаково часто Доказательство [1]. Свойство 1 следует из определения символа Лежандра. Свойство еле Теорема 5.4.2 (квадратичный закон взаим ности). Для нечетных простых л, q выполняется дует из свойства 4. Свойство 3 следует из теоре мы 5.3.5. Свойство следует из утверждения Получаем цепочку равенств в поле F^: равенство 4 аЪ (аЬ) 2 а 2 Р 1 2 Докажем свойство Пусть е 2ш18 КОМ плексныи корень степени рень из О- Тогда из (квадратный ко ^+^ 1 V2 (1 + /) + л/2(1 ^ И (^+^ К2 Положим т 1 ^+Г- Оба ком плексных числа q и т являются корнями полиномов с целыми рациональными коэффициентами, то есть целыми алгебраическими числами. Коммутативное кольцо А = Ж[^] содержит кольцо Ж. Доказательство см. в работах [1, 4]. Обобщением символа Лежандра для произ т вольного модуля п Up i является символ Яко- /=] би а п , где pi — нечетные простые (не обязательно различные) числа Положим ' а^ К ±1 J Теорема 5.4.3, Символ Якоби обладает еле Поэтому можно рассматривать кольцо классов дующими свойствами. Для нечетного п вычетов А1(р). Это кольцо имеет характеристику /?, в нем (^ + ^ Имеем р + (Л р +\ р (mod»). а-^кп п ) а п для всех к ^; т п-1 9 ^"' р-\ 2 гЛ J (mod») ah 2 'а^ п Кп для всех таких. что и НОД(^>, п) т р т (mod») р +^ р (mod») /" fi 1 V п 2 э ^ Поскольку 8 э то для » = ±1 (mod спра ведливо р +^ V ^+1 1 1 и для справедливо р +1 ■р 3 +^ 3 ±3 4^ + ^ (mod 1 так как 3 1 р Отсюда т^ = т, если » = ±1 (mod 8), и т р если » = ±3 (mod 8). Поэтому если ±1 (mod 8), и если ±3 (mod 8). Объединение этих условии дает 8 г ; i -С- W Г аЪЛ К П ) а г п ЪЛ \п) э п 1л 8 5 'а\(Ъ ^^ \- :^с;-^ > --^ —■- - Гн tj -Wm- ''*- -I. •-i т _ -*.. V ) (o-l)(fe-l) 4 '^ ■-■:;-. -i^t-;fM ^i^^ для нечетных поло V a жительных avih. Доказательство [1]. Свойства и еле дуют из определений символов Лежандра и Якоби. Для доказательства свойства 3 отменам, что для нечетных »1,/?2 выполняется сравнение а Свойство (р-1)/2 следует из того, что сравнение 1 (mod р) имеет в точности ip 1)/2 решении. PxPi Pi + Pi (mod 2) (5.4.1) X -Т. J-'i-i='*V.. .
85 Действительно, этому р]р2 1 1-1)(р2 1) + (р2 (mod 4), по Символ Якоби в вычислительном плане явля (mod 4). Поде- ется более удобным, чем символ Лежандра. Дей лив обе части последнего сравнения на полу чим выралсение (5.4.1). По индукции получаем _j" Тогда т I Ы (mod 2) ствительно, для вычисления символа Лежандра нужно знать, что число р простое, а выяснить это достаточно сложно. Поэтому на практике символ Якоби используется Лежандра. Например, для вычисления символа /" 47 ГЮ! V 101 V 47 47 /" \ г \ п т Pi I т П( 2 Pi 1 1 2 /-I /71.../7..-1 т 7 2 Кроме того, символ Якоби используется для распознавания простоты числа в вероятностном алгоритме Соловэя-Штрассена (см. п. 7.9). Если п состоит из нескольких различных не- Для доказательства свойства 5 отметим, что для нечетных рь/^2 выполняется сравнение 2 2 АЛ 2 А 2 + А (mod 2) (5.4.2) четных простых сомножителей, то количество квадратичных вычетов и невычетов по модулю п различно. По китайской теореме об остатках а является квадратичным вычетом по модулю п^ если а— квадратичный вычет по каждому простому делителю числа п. Если же а является квадратичным невычетом хотя бы по одному из 2 еиствительно, /?, 2 И р. делятся на 5 простых делителей числа п^ то а квадратичный {р 7 1 Чр 2 2 О (mod 16), поэтому 2 2 А А ip 2 1 Vi + {p 2 2 невычет по модулю п. Таким образом, квадратич ных вычетов по модулю п не больше, чем квадра 1) (mod 16). Поделив обе части тичных невычетов по модулю п. Поэтому равен на получим сравнение (5.4.2). По индукции /" получаем ство а не означает, что а является квадра V п т 2 1 / 2 /=] (mod 2) тичным вычетом по модулю п. Если а является квадратичным невычетом по модулям двух различных простых делителей, то символ Якоби по модулю их произведения равен 1. Например, для /" Тогда п 35 5- выполняется равенство т П( 8 m 2 , V 35 J у^ г « 1 Г i=\ \ ) \ ) 1)( 1. Однако, если 'а^ \п 8 8 Докажем свойство Если а Р\---Рь b определения символа Якоби и квадратичного закона взаимно- то а является квадратичным вычетом не для всех простых делителей ?7 и по китайской теореме об остатках является квадратичным невычетом по модулю п. q\...qb то с учетом свойства к I Г сти имеем а г \ р.-ХЧ J 1 Пример 5.4.2. Применение квадратичного за \^а) iy=i 2 2 кона взаимности Сумму в 1. Найдем все нечетные простые числа, для которых число является квадратичным выче показателе степени достаточно вычислить по модулю 2. Получаем том. Согласно квадратичному закону взаимности г к I TL I J а I J \ . Поэтому для р^±\ (mod 10) число 5 S / ,,=,2 2 2 -, 2 а (mod 2) . является квадратичным вычетом по модулю р. . Найдем все нечетные простые числа, для которых число 7 является квадратичным вычетом. Согласно квадратичному закону взаимности
86 г \ 5 если (mod 4), и г \ ) Доказательство. Имеют место равенства 5 2со + 1, 2со 2 +1. Согласно квадра если р = Ъ (mod 4). Квадратичные вычеты по моду тичному закону взаимности является квадра лю7 это 1,2,4. Получаем тичным вычетом по модулю простого числа » в следующих (mod 6). Следовательно, существуют X, такие, что х^ + З кр. Левая часть равенства рас г слл^аях: г \ ) и (mod 4); V ) и кладывается на простые множители в евклидо вом кольце Z[co] единственным образом: (mod 4); то есть если »е {±1,±3,±9} (х + (mod 28). + 2со)(х + + 2со 2 кр. Из квадратичного закона взаимности вытекает Предположим, что число р является простым элементом кольца Z[co]. Тогда один из сомножи- ряд интересных свойств, касающихся разложения простых чисел на множители в расширениях кольца Z. телеи X + I + 2со или х + + 2со должен делиться на/? как полином от со. Поскольку это не так, то число » раскладывается на мнояштели в Z. Определим норму числа а+ Ьсо как N(a + Ьсд) Теорема 5.4.4. Пусть 1-ы-\ . Простое (а + biiy){a + £>со а ра аЪ + Ъ . Справедливо равенство 7V(aB) = iV(aW(B). Комплексные дели циональное число на простые множители в Z[/]. Доказательство. Согласно квадратичному заявляется квадратичным вы- (mod 4). (mod 4) раскладывается тели числа р являются простыми элементами кольца Z[co], поскольку из разложения следует разложение в целых числах: ар 2 кону взаимности Ы{а)Мф). Следовательно, возможны два слу четом по модулю простого числа р Следовательно, существуют х чая: Ма) MP) ИЛИ N(a) Nm р- такие что кр. Левая часть равенства раскладывается на простые множители в евклидовом кольце Z[/] Если первом случае а является обратимым элементом кольца Z[co] и число/? ассоциировано с Р, то есть — простой элемент этого кольца. Во втором единственным образом: (х + i){x кр. бы число р являлось простым элементом кольца Zr?], то один из сомножителей х + i или х случае элементы а и Р кольца Z[co] являются простыми и сопряженными. I де лился бы на/? как полином от i. Поскольку это не так, то число р раскладывается на множители в Следствие 5-4.7- Простое число /? _. 2 т . т2 (mod 6) представимо в виде/? а аЬ + b , где а,Ь^ Z[i]:p ар. Для доказательства достаточно раскрыть Определим норму числа а + Ы как N(o + Ы) . Т .4 . Т -Ч 2 . Т 2 ^ _ . скобки в представлении/? = (а + Ьсд)(а + Ьсд 2 ВО (а + bi){a N(aB) Ы) о + b . Справедливо равенст М(а)Мф). Комплексные делители числа /? являются простыми элементами кольца Z[/], поскольку из разложения Следствие 5-4-8- Простое число р представимо в виде/? = с + 3d , где с, J е (mod 6) разложение в целых числах: 2 аР следует 7V(aW(p). Сле- Доказательство. ставление неоднозначно: следствии 5.4.7 пред довательно, возможны два случая: Ма) о 2 ab + b 2 N(B) 2 или Ма) MB) /?. в первом случае а является обратимым элементом кольца Z[/] число /? ассоциировано с 2 bx-b) + ( 2 И ТО есть /? простои 2 а)( + ( 2 элемент этого кольца. Во втором случае элемен ты а и Р кольца Z[(l являются простыми и со пряженными. t- При этом числа а и b ие могут быть оба чет ными, так как р — нечетное число. Поэтому су ществует представление р'=(а + Ьсд)(а + Ьсд 2 Следствие 5-4.5. Простое число /? (mod 4) при котором а ^ 1 (mod 2), £) = О (mod 2). Тогда с представимо в виде суммы квадратов двух нату ральных чисел. учетом равенства со 1 + л/ получас м Теорема 5.4.6- Пусть со 1+ а + Ь 1 + л/ ЛГ V а + Ь J\ с 2 + 3J 2 9 J Простое рациональное число (mod 6) рас где с а кладывается на простые множители в Z[co]. 2 bll.d bll. b)i-b) + ( 2 Поскольку получаем те для же
87 значения с 2 И 2 ла» 2 2 5 ТО представление простого чис с + 3d единственно. Если для а 4^0 сравнение не имеет решений, то существует характер ц такой, что |11(йг) ч^ Имеют место также кубический и биквадра тичный законы взаимности [1]. Действительно, характеры порядка п образуют циклическую подгруппу 5.5. Суммы Гаусса и Якоби с образующей — образующая циклической группы характеров. Если бы для всех/ X (/7-1)/« , где е 2 w/( р выполнялось равенство J (а) 5 ТО из изомор Поле включает в себя мультипликативную и физма группы ¥р и группы характеров следова аддитивную группы. Для каждой из этих групп можно определить характеры. Мультипликативный характер конечного поло бы что существует элемент g € * р такой, что /1 а (mod/?). Пусть сумма характеров порядка п п-\ )1 ля Р Представляет собой гомоморфизм из равна S. Тогда Z и' («) Y\^\a) [i(a)S группы * р в группу « г{(^ШЬ) Xi^b) Значе У=о м Отсюда S 0. ниями характера являются корни степени из 1 то есть числа вида е 2 шт/{ j , Причем если Таким образом, N(x 2 1 + а образующая группы F. и ^ и Р g, ТО, полагая %(g) е '^шКр 5 получаем %(^) е 2nin/{p Со гласно теореме 2.3.4 группа характеров изо морфна группе ¥р . Единичным элементом пы характеров является характер %q: %о(а) груп для Все изложенное справедливо и для мультипликативных характеров расширенного конечного "^ элементов. При этом р просто за- поля из меняется на д. всех а * р Примером характера для поля Аддитивный характер поля ¥р представляет собой гомоморфизм аддитивной группы этого р является символ Лежандра. Теорема 5.4.1 показывает, что поля в группу комплексных корней степени р из Лежандра, отображение, задаваемое символом представляет собой гомоморфизм группы подгруппу квадратных корней из 1 группы С . Доопределим Аддитивный р в ш(а) т (а) е 2 niinal р характер {т). имеет вид а Аддитивные характеры образуют группу, изоморфную F^, с значение характера для нуля, единичным элементом щ(а) для всех а е р-> Если у 1^ Уо, то у(0) = О, и Хо(0) включая 0. Отметим, что Обозначим сравнения г" через МЫ" т (а) т а) . число решении а (mod/?) (без учета кратности). , то это сравнение всегда Характеры Шо и Хо совпадают, хоть и являют Если НОД(?г,/? имеет единственное решение. Если НОД(?г,/7 то это сравнение имеет d решений или ни одного решения в зависимости от того, является практике достаточно 1). ся элементами различных групп. Суммой Гаусса поля ¥р называется выралсение ^(bV)"^ "ExWvW (5.5.1) JceF ЛИ а вычетом степени На р рассмотреть случаи, когда п Для комплексного числа g(x, Vj/) = Re(g) + Im(e)f Теорема 5.5.1. N{x n Ух(^), где сумма положим I g(x, V) J^) 2 + Im(g) 2 X ~Xo берется no тем характерам, порядок которых де Теорема 5.5.2. Сумма Гаусса обладает еле лит п. дующими свойствами Доказательство. поле р существует п g(Xo, Щ) Р- корней степени п из силу изоморфизма группы характеров и группы ¥р существует ровно п характеров, порядок которых делит п^ включая единичный характер Хо- Если X ^ Хо, то g(x, Щ) Если \\f ^ 1|/о, то g(Xo, V) Если X ^ Хо, V ^ Vo, то I g-(x, V) Гр Для а сумма всех характеров, кроме еди Доказательство Если Хо Шо, то ка ничного, равна нулю. Посколы^ Хо(0) 5 то ждое слагаемое в правой части равенства (5.5.1) сумма характеров равна 1, что соответствует од- равно 1, а их сумма gCxo? Vo) равна/?. ному решению. Если Щ 9 %ч^%о, то сумма Гаусса пред Если для а^О сравнение имеет решение, то ставляет собой сумму мультипликативных ха а (modp). рактеров и поэтому равна нулю (см. доказатель ство теоремы 5.5.1). существует элемент о такой, что Тогда у(а) lib lib) lo(b)
88 Если Хо, Ц^^Щ. то сумма Гаусса пред также равна нулю. Если У^Хо, 4f^4fQ и \if\ — образующая цик лическои группы аддитивных характеров, то для а р X(^)g(bVj-X(^) Yli^a(^) jcgF р yx(ax)Vi(ax)-g(bVi)- xeF P Отсюда следует, что для ненулевых о все значения |g(x,Vo)| равны, так как Ыа)\ = 1. Кроме Теорема 5.5.3. Справедливы следующие ра ставляет собой сумму аддитивных характеров и венства. 2. ДХо, Хо) ДХо, Аъ Хо) 4. Если XX'^ Хо, то J(y, у') ^(bVi)g(x',V 1 ^(ХХ'. Vi) Доказательство. Утверждение 1 следует из определения единичного характера Хо- Утвер- доказывается аналогично утверждению ждение 2 теоремы 5.5.2. Для доказательства утверждения 3 заметим. что того. < g(x. а г{а 1 Мх, Vi) и g(bV Q г{а \ Мь^^З-хС'^Жь^!)- Перемножим эти две суммы: Аъг \ Тг{ф) Е гЧ{\ а)) Тг{с), a+b=\Ji4bQ а^\ СФ-\ где с аК\ а). Поскольку сумма характеров по всем с равна нулю, то J(x, X Для доказательства утверждения 4 рассмот рим произведение ^(Х, ^а )ё{Ъ ^а) ^ г{^Ш^'~ )ё{Ъ Vi ЖХ. Vi) Суммируя g(x.V^)g"(bV^) по всем ненуле вым а, получаем (р ~ l)|g(x, Vi)l • С другой стороны. g{l.^а)ё{Ъ^а) ^YjLxi^)liy)^ai^)"^aiy) X 1 у Е ?^(^)х( jv а у)- X у последнем выражении аргументы аддитив ного характера \\fa пробегают все множество зна чении от до при этом каждое значение встречается одинаковое число раз. Тогда Zv.(0 о. если а 9^0, и Ум/ДО р-> если / / а 0. Суммируя по ненулевым а, получаем ^(x,Vi)^(x'.ViH Z'^^^^Vi W 2Ly!{y)^iiy) X у yxWx'(3^)Vi(^+3^) Ух(^)х'(з^М(0 Х,У I X+y~t Если / О, то ^.г(^Шу)-Тг{хШ 1)Ухх'(х) = о, x+v=0 X л: так как хх ^ Хо- Если / ^ О, то Ух(->^)х'(з^)- Уха^)х'(/^) х^уЫ VA-V^\ liOi'it) Ух(и)х'(у)=хх'(ОЛьх') H + V=:l Таким образом. V- ^ я(х, Vi )я(х', Vi)=у ii'iOAi, х') Vi (О / -л. ^а Дь x'kto', vi)- у- S ^(5^' ^о )ё(.Ъ ¥й) = Z Z X(^)X(3^)5(J^, 3^)/' а X У У х(^)х(->^)/? р(р X Если подставить значения для норм гауссо вых сумм из теоремы 5.5.2 в выражение для суммы Якоби, то получим I J(x, х') I л[р- где 5(х, у) случае. Получаем еслил" Через суммы Якоби выражается число реше }\ и 5(х, v) = О в противном ний алгебраического уравнения от двух перемен Р{Р 1)и Я(Х, V) Ъ^)\ 1 Мх, V. )1 ных над Nip^+y^ конечным полем. Обозначим 1) число решений уравнения через Пусть X и мультипликативные характеры /+ 2 (5.5.2) поля ¥р. Суммой Якоби называется выражение в поле ¥р. Можно записать _п_ 4 - Аъ ^) Ti(a)4b). а '.f I. ^ ■"^ Мх ^ + v^ ЙГ+Й=1 Ул^( X 2 a)N(v 2 b). a+b=A
В9 где сумма берется по всем парам йг, £> е Fp таким. что а + b Поскольку N{x 2 1 + а , то Теорема 5.5.4. Число N решений уравнения п а. xf / I в поле ¥р выражается формулами /=1 -1^ 2 . 2 N{x' + у р-Т а 4- а + Ъ а а+Ь^} N пМ 4- УхК ^}^)-%п(^ ^ и )Л 1 ^••"fjLii) для Ь = 0: Jr'- ^-ш Две первые суммы равны нулю, поэтому число решений уравнения (5.5.2) определяется суммой Якоби для квадратичных характеров Щх 2 + У 2 Р + а о+/)=1 7V=;,"-4y(xi...xJ(%i(^r')...x.«')^(Xiv.. 9 и для Ъф^^ где суммы берутся по всем «-наборам характеров Хь •••, Хп таким, что / Хо ' х- 5^ Хо и г\---г п %о. Доказательство см. в работе [1] Применяя утверждение 3 теоремы 5.5.3, полу чаем а Уравнение (5.5.2) а+Ь^\ + решении, если р имеет р решений, если/? = 1 (mod 4) Аналогично, (mod 4), и р Щх^ + v^ = 1) У (Хо (^)+х(^)+%' (^))(Хо (Ь)+хФ)+%' т, a+h=] где кубический характер. В соответствии с теоремой 5.5.3 получаем: У Хо {^)%Ф) о+й=1 yii^)i4b) У Ф)1 1 (*) х( й+й=1 о+Ь=1 Тогда Мх 3 + 3 V 2 + 2 ЛЬ X) + Дх. 2 2 Поскольку 3 . уравнение + 2Re(J(y, у)) решений. 1)-,™ X +V 3 имеет и 2 + общем случае сумма Якоби может быть распространена на произведение нескольких характеров. Обозначим 5.6. Квадратичные числа и квадратичные формы 5.6.1. Кольцо целых квадратичных чисел Пусть К Qi-sfD] квадратичное расшире ние поля Q, то есть D не является квадратом це лого числа. Если записать D т 2 D\ где и сво бодно от квадратов, то QL Эле менты поля К называются квадратичными числами дискриминанта D. , то К называется бещественным Если D квадратичным полем; если _D < О, то X называет ся мнимым квадратичным полем. Соответствен но определяются вещественные и мнимые коль па цел ых квадратичных чисел. Свободное от квадратов число D называется дискриминантом. квадратичного поля.^ Далее под целым элементом квадратичного поля будем понимать целое над Z квадратичное число. Будем рассматривать кольца целых (над Z) квадратичных чисел дискриминанта D с единичным элементом. В таком кольце дискриминант может быть не свободен от квадратов [7], например, кольцо, образованное числами вида а + b-J а + 2bJ 1 . По определению элемент кольца целых квад ратичных чисел это корень полинома *^vXi ?'•'•» Хи J Ух 1 I • -Х и V* и h ti+...+t п 1 о 1 э-"э Хи ^ т,^ 1 л+...+/ =0 1 •X п п 2 х" + Ах + В, (5.6.1) где А. е и 2 4В D 2 т D . Корни поли нома (5.6Л) имеют вид - V — -5,., Выразим число решении уравнения с разде ленными переменными над конечным полем че рез сумму Якоби. 3 Если знак дискриминанта непринципиален, то поле К называют квадратичным, а его элементы квадратичными числами. - .
90 А±л[а 4В (5.6.2) Кольцо целых над Z квадратичных чисел дискриминанта D называется квадратичным порядком и обозначается Оо- Одно и то же квадратич- Из (5.6.2) следует, что целые квадратичные ное поле содержит различные квадратичные порядки, упорядоченные по включению. Например, числа могут иметь вид а а+ Ьл[в ? (5.6.3) квадратичными порядками поля Q[V2] ЯВЛЯЮТ с я кольца Жф] Z[Vl8] где а, b е Если числа а и оба четные 2 то Пусть D~m D\ где т и D г свободно от дробь (5.6.3) можно сократить на Числа квадратов. Кольцо Оа называется миксгталъным а + Ь4Ъ образуют кольцо. Выясним для каких порядком поля К ~ QK/)'], а коэффициент т значений D в знаменателе (5.6.3) стоит 2 (счита- кондуктором квадратичного порядка. ем, что хотя бы одно из чисел а или b нечетное). m^D Поскольку не может быть четным. то (mod 4). Если в (5.6.3) двойка в знаменателе не сокращается, то есть число т нечетное. то т (mod 4) и /) f D (mod 4). Сравнивая коэффициенты в (5.6.1) и (5.6.3) с учетом (5.6.2), получаем: а А. а^ + Dp Тогда коэффициент а должен быть нечетным противном случае, чтобы В было целым, коэф фициент тоже должен быть четным, то есть дробь (5.6.3) может быть сокращена). Тогда, что бы было целым, коэффициент b тоже должен быть нечетным. Нетрудно убедиться, что произведение квадратичных чисел а+ а Ьл[в и t а + ь'4о ? где все коэффициенты а, Z>, а\ г нечетные числа, равно: ар ad + bb'D + (ab' + db)4D Найдем для числителя вычеты по модулю 4 ad + bVD = 2 (mod 4), ab' + a'b = 2 (mod 4), TO есть числитель и знаменатель можно сократить на 2. Если числа а, b (или а\ Ь') оба четные, то, очевидно, произведение ар можно записать в виде (5.6.3). Таким образом, доказана следующая теорема. Аддитивная группа квадратичного порядка 2 Оо дискриминанта D^ т D' является двумерным модулем над Z. Пусть няемыи к П1 — элемент, присоеди для получения квадратичного по рядка, при этом т ^ при D 7^ 1 (mod 4) и \ + 4d т При D (mod 4). Тогда базис мо дуля имеет вид [1, ^,;,], то есть О^ = Z + Z^,„. Очевидно 5 что при D D выполняется включение On' 3 On. D Например, если D f ? D то 2 + 3 е О,у, но 2 + 3 ^О п Имеет место изоморфизм колец О/у/Ор Поскольку квадратичный порядок Оо содержит ся в поле К, он является целостным кольцом. Пример 5.6,1. Квадратичные поля, их целые элементы и базисы. Теорема 5.6.1. Целые квадратт1чные числа дискриминанта D имеют вид а + b-yJD при произвольном дискриминанте и а + ь4в при D (mod 4) и а (mod 2). Элементы поля QL-vTD] имеют вид Q + лГЬ Q hb^D Опреде Для квадратичного числа а сущест вует сопряоюенное чгюло а а лим норму квадратичного числа: Ма) аа Норма квадратичного числа является рациональ Замена D ■<— 4D позволяет все целые квадра- ным числом вида Db 2 норма целого квадра тичные числа записать со знаменателем этом D ^ 1 (mod 4) или _D = О (mod 4). При тичного числа является целым числом, при этом М(аВ) MaVV(p).
Например, норма целого квадратичного числа а + Ъ \ + Jd равна а +аЬ + D 2 (Г + аЪ + Ъ является симметрической функцией Единичную норму имеют в точности корни сте- Норма квадратичного числа позволяет задать на некоторых квадратичных порядках структуру евклидова кольца. Квадратичный порядок Ои является евклидовым, если для любых элементов 2 пени 6 из I: {±1, ±со, ±со }, где со 4- Для остальных значении дискриминанта D норма не является симметрической функцией. а,Р Оо существует элемент у е Оо такой, что Условию (/ + Db или а 2 + аЬ + 2»> <1 (5.6.4) удовлетворяют лишь а ±\Л случае D < О евклидовыми являются кольца Вещественные квадратичные порядки имеют целых элементов при D ? 11}. бесконечные группы обратимых элементов ? об Доказательство этого факта можно провести геометрически. Зададим на комплексной плоскости точечную решетку, состоящую из тех точек плоскости, которые являются элементами коль- пах уравнения Пелля х^ ца. Каждая точка имеет несколько ближайших к ладающих нормой ± I. Если е — обратимый эле мент, то е — тоже обратимый элемент для про . Нахождение группы обрати извольного п е мых элементов связано с решением в целых чис Dy 2 ±1. ней точек. Свяжем с точкой (О, 0) ее зону как Пример 5.6.2. Обратимые элементы. множество точек комплексной плоскости, которые расположены к ней ближе, чем к другим Для D обратимым является элемент точкам решетки. Неравенство (5.6.4) означает, что зона точки (О, 0) должна лежать строго внут- 4- ^ С нормой а также все степени этого числа и сопряженного с ним. Обратным к обра ри единичного круга. С ростом абсолютной ве личины дискриминанта зона точки (О, 0) растет. тимому элементу является сопряженный эле мент, умноженный на его норму. случае D> О евклидовыми являются кольца целых элементов при D е {2, 3, 5, 6, 7, 11, 13, 17, 21,29,33,37,41,57,73}. . Для 2л/т[2 D 12 обратимым является элемент с нормой а также все степени этого числа и сопряженного с ним. Обратным к обрати Группы обратимых элементов мнимых и веще ственных квадратичных порядков различаются. мому элементу является сопряженный элемент. Группа обратимых элементов вещественного Теорема 5.6.2. Группа обратимых элементов квадратичного порядка циклическая. Образую мнимого квадратичного порядка содержит четы- щая группы обратимых элементов называется ре элемента при D шесть элементов при фундаментальной единицей. Например, фунда D и два элемента при остальных значениях дискриминанта. Доказательство. Элемент мнимого квадра тичного порядка является обратимым тогда и толь ко тогда, когда его норма является обратимым эле ментальной единицей кольца Z[V2] является число 1 + V2 с нормой > г -^ ^i ■4 ' Л--ш.- ментом в Z, то есть равна l." Иными словами, об ратимые элементы являются комплексными кор 5.6.2. Идеалы квадратичных порядков нями из числа имеют вид случае D а + Ь общем случае идеал квадратичного порядка целые квадратичные может быть порожден несколькими элементами. симметрической функцией норму имеют только наборы а их норма задается с/ + b . Единичную например в кольце 2[л/ существует идеал +1, * и а (3, 1 + V 5), образованный двумя простыми эле ±1, соответствующие числам ±1 и 4- ментами кольца (см. пример 3.8.1). случае D целое квадратичное число имеет вид а + Ь 4- Теорема 5.6.3. Множество аЖ + Ж(Ь + Его норма где а. и (4а) D\ является 4 Обратимые элементы квадратичных порядков называют также единицами (не путать с числом 1). +л/^)/2, идеалом в Ojj. Любой идеал квадратичного по рядка О о может быть задан в указанном виде. Доказательство. Сначала докажем, что эле 5 Норма элемента мнимого квадратичного поряд менты образую!^ аддитивную группу в О D ка неотрицательна. Действительно,
92 {ас + d{b + y[D)l2 ) + {ae +f{b + yfD)/2 ) а(с + e) + id +f} (b + у/П)/2. Теперь покажем, что произведение элемента (4, 2 +2л/ 2J ? (2). Аналогично получаем другие разложения на простые идеалы: О о на элемент 21 лежит в 21. Пусть D (mod 4), (3) (3, 1 + 5), а (c + d^[D)/2 е О о э где с где 6 21иу атс+ Ьпс/2 + ndD/2 ар (mod 2), (А+b4d)I2 , (1 + л/ (2, 1 + V 5)(3, 1 + V 5), (2, 5)(3, 50. И amd + 4- bndll Кроме того, нетрудно убедиться, что каждый + ПС 12 Тогда можно записать из четырех указанных простых идеалов при воз аА' +В{Ь + 4о)12. Покажем, ЬВ)12а е что t {А ведении в квадрат дает главный идеал. Напри Z, рассмотрев сравнение по модулю мер, (2, 1 + л/ 2 4а: ЪВ (mod Ad). Bb bnc+ ndD Поскольку 2 nd bnc 2 D (mod 4a), 2 )nd TO (2, 1 + V 5) 2 (2). Действительно, 4 + 2л/ (4, 2 + 2л/ 5). (mod Ad). Аналогично рассматривается и случай _D = О (mod 4). Осталось показать, что любой идеал может Все элементы, порождающие этот идеал, де лятся на 2. Разность двух последних элементов ? образующих идеал, дает 6, и (4, (2). быть представлен в виде суммы идеалов aZ + Z(Z) + 4d)I2 . Пусть D ^ 1 (mod 4). Аддитивная подгруппа кольца Оо как двумерного Подмножество рациональных чисел, знаменатель которых не делится на заданное простое число /?, образует кольцо Z. Идеалы кольца имеют вид {pR^p^R^ ...}. Поэтому для любого модуля порождается элементами вида (а, ф + 6')/2), где а, К г . Покажем, что если главного идеала (р) кольца Z существует кольцо р, состоящее из рациональных чисел, знамена- эта подгруппа совпадает с идеалом 21, то г тель которых не делится на р (такие кольца на Потребуем выполнения условия ар 21, если зываются дробными идеалами). Тогда St., а О о и 21. Положим а = (с + d^JD) 2, {Р\ и (р)21^,. Поэтому можно сказать, что am + n(b + b'4D) 2. Тогда у ар где-Л {А + b4d)I2 , атс+ Ьпс/2 + nb'dD/2 viB~amd+ bndl2 + + nb'c/2. Запишем у = аА' + В'(Ь + Ь'4Ъ)/2. Veil (без на- 1). То- идеал 21,5 является обратным к идеалу (р). ситуация справедлива Аналогичная и для квадратичных полей: г называется дробным ловие г выполняется, если ? г рушения обпщости можно положить гда любой идеал может быть представлен в виде аЖ + Ж(Ь + 4о)/2. Теорема 5.6.4. Каждый идеал кольца целых квадратичных чисел может быть единственным образом представлен в виде произведения про- с точностью до обратимых элементов стых идеалов. Доказательство см. в работе [6]. Пример 5.63. Разложение на простые идеалы. идеалом квадратичного порядка O/j, если существует такое d ^Ж^ что dOi' = 0]j. Теорема 5.6.5. Дробные идеалы квадратичного порядка Оо образуют группу относительно операции умножения идеалов. Единичным элементом группы является кольцо Оо. Доказательство см. в работе [6]. Таким образом, в кольце целых квадратичных чисел разложение на простые идеалы однозначно случае D > О желательно учитывать влияние бесконеч ной группы обратимых элементов). Нормой 7V(2l) идеала 21 квадратичного поряд Неоднозначность разложения на простые каО D является порядок факторгруппы 0/У21. множители в кольцах числовых полей пропадает Норма идеала задает гомоморфизм из муль при переходе к идеалам. Так, возвращаясь к типликативнои полугруппы идеалов в мультип примеру 3.8.1, получаем однозначность разложе ния идеала (2) на простые идеалы в Z[v 51: (2) (2, 1 + л/ 5)(2, ликатнвную полугруппу Ж : ЩшВ) "= ЩЩЩ^У Поэтому из равенства идеалов 21 = ШС следует равенство норм М{Щ = N(^)N{(t). В частности. Действительно, идеал с простои нормой является простым. Норма идеала 21 поля К может бьггь определена (2,1 + (4, 2 + 2л/ ^ 2л/ 6). с использованием группы Галуа: ДГ(21) где автоморфизм ст заменяет vD на 21 а(21). л/^. Но (4,6) (2), И (2, 2а) (2) для любого Простое рациональное число р при перехо а 0/> Поэтому де от ^ к квадратичному порядку может оста
93 ваться простым, раскладываться на простые содержащий идеал Ш&. Умножение классов множители или разветвляться. Соответственно, главный идеал (р) является простым, раскладывается на множители, если (р) = фф, где идеалов квадратичных порядков коммутативно и ассоциативно: АВ ВА ? А(ВС) (АВ)С. Единртч ным классом является класс, содержащий главный сопряженные простые идеалы, и разветвляется, идеал. Пусть идеал 21 соответствует классу А и если (р) == ф . Пусть D — дискриминант квадратичного порядка. Если выполняется равенство аш главный идеал. Тогда класс В, содержащий D ? КР D или VP D О, ТО Кр простое идеал Ш, является обратным к классу А. Таким образом, классы идеалов квадратичного порядка Оо образуют абелеву группу классов С\{Оо\ и эта ! число р, соответственно, остается простым, рас клады вается на сопряженные множители или разветвляется. Например, в кольце Z[v-2] идеал (5) остает ся простым, при этом фуппа конечна, поскольку каждый класс А содержит идеал с нормой, меньшей чем д/| Z) |, где D — дискриминант квадратичного порядка [6]. Классы идеалов группы С1(Оо) представлены идеалами, определенными с точностью до главно- 1. Идеал (3) рас- го идеала. Поскольку идеалы 21 и (a)2t лежат в кладывается на множкгели: 3 (l+V 2)0 2), одном классе, естественно задать класс идеалом с минимальной абсолютной величиной нормы (та- при этом 1. Идеал (2) разветвляется: кои идеал всегда существует, поскольку в под множестве натуральных чисел существует наи меньшее). Назовем идеал класса приведенным^ 2)(V 2), при этом если абсолютная величина его нормы минимальна. Заметим, что произведение приведенных Назовем два дробных идеала 21 и Ш квадра идеалов не обязательно дает приведенный идеал, поэтому после умножения идеалов необходимо выполнить операцию приведения (см. п. 7.13). тичного порядка О D эквивачентными (21 «), если существуют ненулевые элементы а, р g Ои такие, что oSl = рШ. Поскольку (а) = аО^, все ненулевые главные идеалы а(В) эквивалентны Это Р(а) [3]. отношение разбивает криптографии представляет интерес раз ложение простых чисел на множители в мни мых квадратичных порядках. Простое число может раскладываться в мнимом квадратичном все множество порядке только на сопряженные множители идеалов на классы эквивалентности. Число классов эквивалентности называется числом классов поля К (или кольца О^). Поля К при D Если D Ф 1 (mod 4), то ВЪ . Такое раз ложение можно найти с полиномиальной слож ностью (см. п. 7.8). Если D (mod 4), то раз 19, 43, 67, 163 имеют число ложение имеет вид классов, равное а каждый элемент в макси мальных порядках O/j имеет однозначное разложение на простые множители. Число классов мнимого квадратичного порядка On может быть вычислено со сложностью ал-Ъ . V^ ал-Ъ 4В J J и 0(Д1ое/)) 2 [8]. Ар (2а + Z) + Ьл[0)(2а + b ъЩ с 2 2 Dd\ Кольцо главных идеалов обладает числом классов 1. Действительно, если (а), Ш (Р), где с а то, положив , получаем Ш. Число клас 2а+ Ь. Поэтому число Ар можно представить в виде указанной разности (суммы для отрицательного дискриминанта). ...-,..- сов показывает, насколько данный идеал отстоит от главного ршеала. Если h — число классов поля 5.6.3. Квадратичные формы л, то для каждого идеала 21 идеал главным [6]. h является Связь идеалов и квадратичных форм над следует из выражения для нормы идеалов. Если Класс, содержащий идеал 21, будем обозна (а. В) (ои + ру) длях, у G Z, то чать А. Классы идеалов можно умножать. Определим ЩЩ (ои + ру)(ои + ру) ах 2 2 + Ьху + су , произведение классов идеалов АВ как класс, где а,Ь,с&
94 Пусть Дх, y)~cD? + bxy + су^ = (а, b, с) квад Например, для дискриминанта -3 существует ратичноя форма над с дискриминантом единственная приведенная форма (\1, 1, 1); для Л 2 Аас [2]. Тогда Z) (mod при четном дискримршанта -4 единственная приведенная и Л (mod 4) при нечетном Ъ: Любое число D е. указанного вида является дискримршантом квадратичной формы вида (mod 2). форма (1,0, I). Однако для больших по абсолютной величине дискриминантов приведенная форма не единственна. Для Л = -15 существуют две Л (mod 4), Л (mod 4) Л приведенные формы (1,1,4), (2,1,2). Л 71 существует семь приведенных Для форм: (1,1,18), (2, ±1,9), (3,±1,6), (4, ±3,5). Число Квадратичная форма положительно опреде- классов положительно определенных квадратич- лена^ если а и Л < 0. Будем рассматривать ных форм дискриминанта Л совпадает с числом положительно определенные квадратичные фор- классов идеалов мнимого квадратичного порядка мы. Кондуктор квадратичной формы дискрими- дискриминанта нанта Л — такое наибольшее натуральное число 0{J\ Л |) [6]. 7W, ЧТО существует квадратичная форма с дис- Л и асимптотически равно криминантом Л/г??^ . квадратичной формой/можно связать сим Каждый класс эквивалентных квадратичных форм содержит единственную приведенную квадратичную форму. метрическую матрицу М Если положительно определенная форма с опреде (а, Z), с) нормальна и а< 4Ъ лителем DjA. Рассмотрим 5 ТО / является произведение матрицы приведенной [6]. и Щ\ Щг Щ\ Щг) G SL2(Z) на вектор (х, у) Для нормализации квадратичной формы (а, Z), с) нужно выполнить следующие действия: а и • (х, у) = (г/цХ + г/^У, U2\X + Ujzv). вычислить S 2а ? Тогда можно определить функцию/^/ • (х, у)) Положим (fU)(x, у) = del и-ли (^. у))' положить 2 (а, b + 2sa, as +bs + c\ Назовем квадратичные формы fug эквива лентными, если существует матрица U е SL2(Z) (а, b, с) нормальна и не приведена, то Если/ нормализация квадратичной формы (с. с единичным определителем такая, что Нетрудно заметить, что дискриминанты экврша лентных квадратичных форм совпадают. Ука Z),a), полученной применением отображения Г, даст прртведенную форму: занная эквивалентность разбивает множество квадратичных форм на классы. Выполнить (j<r-- нормализация (/)). Пока (а', Ь\ с') не приведена, выполнять: Группа SL2(Z) порождается нормализация (с', -Ь\ а')). парой матриц и (см. пример 2.2.2). Тогда Пример 5.6-4 Приведение квадратичной 4 Е. fl п , JS (с, ~Ь, а\ формы. Пусть/=(10, 101,256) — квадратичная фор ма дискриминанта -39. Выполняем нормализа 10 101 JT /7 2 (а, b + 2ап, ал +Ьп + с). цию: S 20 5;/ (10, 1, 1). Эта форма Форма (а, Z), с) называется норлшлъной, если не приведена. Выполняем нормализацию формы а<Ь<а, Нормальная форма называется приве- при а = с. Приведенная денной, если а<с и (1, 10): + 1 S форма/называется главной, если 1,/ (1, 10) приве \.К 2 D денная форма. V По теореме 5.6.3 идеал квадратичного порядка может быть 2 представлен как двумерный (поскольку b^^D (inod 4), третий коэффициент модуль, одна из координат которого веществен формы является целым). Других приведенных пая, поэтому любой (целый) идеал Ол может быть форм с коэффициентом а не существует. представлен двумя образующими (а, р), а дроб
95 ный идеал On — произведением целого идеала на рациональное число. Если аир взаимно просты в может быть взаимно од- Пусть аЖ + Ь + лГо \ 0/J, то идеалу (ос J дробный позначно сопоставлена квадратичная форма. Деи ствительно, норма идеала задается квадратичной идеал, а, b ^ и формой: ЩЩ StSt Ах 2 ■л + Вху + Су~, где X, пробегают все множество Ж. Поскольку StSt, G Q. Тогда его норма равна а. Соответствующий целый идеал имеет и его норма равна а. Поэтому идеал мнимого квадратичного порядка с коэффициентом а является обратимым целым идеалом. то то А,В,С (mod7V(2t)). Тогда можно опреде- есть единичным элементом группы классов. лить квадратичную форму ,£ л (а,Ь,с) -1 щщ' щщ' щщ На множестве квадратичных форм одного и того же дискриминанта определена коммутативная операция композиции/з ^fifi, которой соответствует операция умножения идеалов. Пусть квадратичной форме 2 2 + а2Соу соответствует идеал I а^х + Ьху + (аи X), форме 2 2 а2Х +bxy + aiCoy 2 СО ответствует идеал 2 (а2, Х), где Ь + лГо Тогда идеалу 3 I 2 (aiOj, X) ' > л Ч^ Простой идеал ф g Оо мнимого квадратич 4 I ного порядка имеет вид рЖ + К+^ , где ■^ к ,- простое число такое. Л что ^ и Ь. =л[о(то<14р),0<Ьр<р. р 5.7. Алгебраические числа Обобщим понятие целого квадратичного чис ла. Назовем целым алгебраическим числом ко рень некоторого х + а \Х . приведенного + оо из кольца Ж[х]. полинома соответствует форма i ■»''-- \^ - 2 2 3 а]а2Х + Ьху + Соу . По аналогии с приведением квадратичных форм можно выполнять приведение идеалов в группе классов мнимого квадратичного порядка. Для этого нужно соотнести идеал (а,Ь) аЖ + Ь+лГо J мнимого квадра тичного порядка дискриминаргга Z), где eQ, С положительно определенной квадратичной формой (а, Ъ^ с) этого же дискриминанта, операцию композиции квадратичных форм с операцией ум- Пример 5.7.1. Целые алгебраические числа. Все числа из Ж являются целыми алгебраиче скими. Числа 1 + ? .4i . ^ это 2 корни полиномов X + 1, X 2 х-н 1, X 4 2 Юх" + соответственно и поэтому являются целыми ал гебрартческими, но числа 5 таковыми не являются. Если допустить, что коэффициент при х и ПО линома Дх) может быть произвольным ненулевым целым числом, то корень такого полинома называется алгебраическим числом. Поделив/(^) тичных форм — с операцией приведения идеалов. ножения идеалов, а операцию приведения квадра- на старший коэффициент, получаем, что алгебраические числа являются корнями полиномов Квадратичные формы позволяют лучше уяс- из Q[x]. Поэтому каждое рациональное число нить структуру групп классов мнимых квадра- является алгебраическим. тичных порядков. Пусть aZ + Z)+V^ и aeSt, а. ~ ах л-у b+Jb Свяжем с идеалом 2 2 квадратичную форму дх, у) = ах + Ьху + су , где 2 Л с Аа Тогда норма элемента а равна Жа) аа а/(х, у). Алгебраическое расширение К поля Q назы вается числовым полем (или полем алгебраических чисел). Кольцо О^ целых элементов числового поля называется кольцом целых алгебраических чисел. Согласно теореме о примитивном элементе, каждое числовое поле имеет вид Q[a], где а корень неприводимого полиномаДх) g Z[x]. Кольцо Ж\х\ обладает однозначным разложением на множители. Если Дх) g Z[x] — полином
96 с корнем ос, то а является корнем хотя бы одного из неприводимых делителей полинома Дх). Теорема 5-7.1- Алгебраическое число а является корнем единственного прршеденного неприводимого полинома/(х) G Q[x]. Если а является Пример 5-7-2- Норма и минимальный полином алгебраического числа. 1. Сопряженными с целым алгебраическим числом a = a + bJD. +с ^ 2 ЯВЛЯЮТСЯ числа другого полинома g(x) е Q[x], то корнем Лх) I g(x). Доказательство. Предположим, что существует полином g(x) е Q[x] с корнем а и fix) не a+bJo^ а ЬЖ + сЖ, Произведение четырех сопряженных чисел рав делит g{x)- Кольцо QM евклидово, поэтому HoN(a) = a^ + b^ + c 4 2i2 2 2 2 2 lab^Dx - 2aVA - Ib'c'D.D. НОД(/(х), g{x)) = 1 и существуют полиномы ф). Соответствующее числовое поле получается при Ь(х) G Q[x] такие, что а(х)/{х) + b(x)g(x) Под становка в последнее равенство а вместо х дает противоречие. Следовательно, Дх) |g-(x). Полином Хх) из теоремы 5.7.1 определен однозначно числом а и называется митшачъным ал полиномом числа а. Если deg(/) = w, то а — гебраическое число степени п. Полином Ях) яв ляется минимальным для всех своих п корней. Пусть К— расширение степени п поля (Хо, 5 (X и п~\ базис ^ над (D. Норма N{a) элемента а представляет собой гомоморфизм к Q, сохраняющий непод вижными элементы поля Q , и вычисляется как определитель матрицы (%) (см. п. 4.3.3). След Тг(а) элемента а представляет собой гомоморфизм аддитивных групп A^-Q, сохраняющий неподвижными элементы из Q, и вычисляется как сумма диагональных элементов матрицы {а и Пусть ао, ..., о,^1 — автоморфизмы числового поля К^ сохраняющие неподвил<ными элементы из Q. Образ элемента а ^ К под действием изо морфизма Gi обозначим через а^'\ Элементы а называют сопряэюеннъши с а. Тогда (' /7-1 Ща) а (О /7-1 5 Тг(а) а С) /=0 ;=0 соединением одного элемента л/^ 2 Минимальный полршом числа q равен Лх) (х + М + D, )(х + х(х D,)ix X 4 2( Я + D 2 + (Z) 2 1 ' ^2/-^ . v-^i -^2 АГ- Норма мультиквадратичного числа а 1=А а I равна произведению сопря женных чисел: и Ща) «0 + Tj ,«, 5 jM~in /=1 где произведение берется по всем (/ь ...,//7). Полагая Dq " наборам можно получить выражение для нормы в виде элементарных сим- метрических функций от а, Df. Например, для п получаем: О 3 3 Ma) 8 3 a'D' I I Aa 6 0 2 4 ;=1 . . 1=1 a. D I AalTa^D^+AalTa^a^.D.D. + J J i=\ '>j 2 +4< X a^a^.D^D 2 . / . 4«o I 1Ф1'Фк а^ЛЦОр, Мршимальныи полином fix) G Q[x] числа a раскладывается на линейные множители в нор мальном расширении поля Q: /7-1 ^ '■rf- Rx) П( X а (0) /=0 и-1 Тогда коэффициент при х равен -Тг(а), сво бодный член равен {-\fN{a). Нетрудно заметить, что если над мультиквад- ратичным полем К норма числа а е К равна N}^a), то над квадратичным расширением L поля К норма этого числа будет равна Ni(a) = Nidcif. Пусть ,., + Jd и и К Q[E]. Мини мальныи полином для примрггивного элемента, задающего мультиквадратичное расширение К^ и равен f(x) х + Tj / , где произве Л^НЛ} /=1 дение берется по всем 2" наборам (/т, ...,/„). По 6 Примитивный элемент поля определен неоднозначно, например, Q[a, р] = Q[a, ар]. Разным примитивным элементам соответствуют разные минимальные полиномы. этому степень мультиквадратичного расширения равна 2". V-^ ^ -- --■к ,^ к» -г_^ f- Ъ p-f-ih Пусть (K:Q) = 2иОк кольцо целых элемен то в поля К, Если а ^ К^ то существует число
97 a € такое, что аа g Ок. Действительно, суще- имеет один вещественный и два комплексных 7 И-1 . . 7 - „, ствует полршом «-та . + й о с рациональны- корня, то ранг группы равен 1. Если расширение ми коэффициентами, для которого а является корнем. Умножив этот полршом на наименьшее общее кратное знаменателей коэффициентов получим полином с целыми коэффициентами. ,— целые числа. Поэтому можно считать, что Умножим этот полином на и-1 а) п-\ + ь п-2 и-1 а) и-2 и-1 и-2 + ... +Ь О и-1 п-2 И п la целое алгебраическое число. Для базиса осо, ..., a„-_i е К определим дис кргшинант А(ао рицы (Тг(а,а,)). 5 5 а„-1 как определитель мат лежат в Z. Поэтому все а, являются целыми ал гебраическими числами и А(ао, ..., a„_i G Базис поля К над Q, как и в случае квадратичных чисел, может быть выбран неоднозначно. Целые элементы поля К образуют w-мерную решетку. Любой набор линейно независимых векторов, проведенных из начала координат в точки решетки, образует базис, при этом каящый вектор содержит лишь две точки решетки, включая начало координат. Определим минимачьный базис ао,..., а^-ь для которого абсолютная величина дискриминанта А(ао, ..., a^^i) минимальна. Теорема 5.7.2. Пусть К— поле алгебраиче ских чисел с минимальным базисом и-1 Каждый идеал 21 кольца целых алгебраических чисел поля К может быть представлен в виде Zao + + Za п-\ последовательными мнимыми К1^ задается п квадратичными расширениями присоедршением элементов ^] 5 ••••) -у! D П ' ТО степень непри водимого полинома равна 2", все корни ком Тогда плексные и ранг группы обратимых элементов равен Т Кольца целых алгебраических чисел обычно не обладают однозначным разложением на простые множители. Например, в кольце целых элементов поля Q[ . справедливы равен Норма и след целого алгебраического числа ства . 2 Однако однозначность разложения появляется при переходе к идеалам: любой идеал однозначно представим в виде произведения простых идеалов (следовательно, главный идеал, образованный данным алгебраическим числом, однозначно представим в виде произведения простых идеалов). Понятие нормы идеала, введенное для квадратичных полей, переносрггся и на числовые поля. Пусть К— числовое поле, обладающее коль цом целых О Kd ЩОк множество идеалов кольца Ок, L — алгебраическое расширение поля к. обладающее кольцом целых О ь ЩОд множество идеалов кольца О^, и N(a) — норма элемента а е L в К. Тогда норма задает гомоморфизм мультипликативных групп идеалов , при этом диаграмма гомомор- Ы(0 L И ЩОк физмов на рисунке 5.1 коммутативна [8]. Теорема 5ЛЗ. Каждый ненулевой идеал кольца целых алгебраических чисел может быть однозначно представлен простых идеалов. в виде произведения Доказательство теорем 5.7.2, 5.7.3 см. в ра ботах [1, 5]. Группа обратимых элементов кольца О к в общем случае свободная, не циклическая, но конечно порожденная. Число образующих (ранг) группы обратимых элементов определяется следующей теоремой. Теорема 5.7.4. Пусть полином, задающий 2s расширение К1^^ имеет г вещественных и комплексных корней. Тогда ранг группы обра тимых элементов кольца Ок равен r + s Доказательство см. в работе [8]. Например ? если К = ^\оЛ и а задается мрши мальным полиномом, который имеет три веще ственных корня, то ранг группы обратимых эле * I d(Oi N N ЩОк У - Рис. 5.1. Коммутативная диаграмма гомоморфизмов групп идеалов Диаграмма рисунка 5.1 утверждает равенство МЩИ{Щ. Здесь О L отображается на все кольцо Ок. При этом достаточно определить норму только для простых идеалов. Если числовое поле К нормально над Q, то норма идеала 21 может быть вычислена с использованием группы Галуа Gal(^Q) [8]: Nm) \\а{Щ СЩКЮ) Норма главного идеала (а) равна |7V(a)|. Приведем без доказательств ряд результатов 5 ментов равен 2. Если минимальный полином доказанных в работе [8].
Теорема 5.7.5, Каждый простой идеал кольца О к максимален. Теорема 5.7.6. Число классов h числового по ля к конечно, для любого вдеала 21 кольца Ок и идеал 21 является главным. вого поля К^ (L:K) = т. Тогда . Если р — простой идеал в Ок, то N(pOj т Если то Мф)а простой идеал в Oi и ^пОк, CTGGaKL/AT) Целые квадратичные и алгебраические числа анализе криптографических используются при алгоритмов с открытым ключом, основанных на Теорема 5.7.7. Пусть L — расширение число- задачах разложения, нахождения индекса в мультршликативнои группе конечного поля, на хождения индекса квадратичного поля. в группе классов мнимого Упражнения к главе 5 Покажите^ что мультиплрткативная функция 10. *При каких условиях простое число раскла- полностью определяется своими значениями дывается на простые множители в мнимом на степенях простых чисел. Восстановите по китайской теореме об ос- квадратичном кольце с числом классов 1? татках число, сравнимое с по модулю 6 и с 3 по модулю по модулю с2 Покажите что уравнение X 1 3 + 3/+13 + j?+x^ + x^ + неразрешимо в целых числах Найдите корни уравнения + х^ + х'^ = ОвполеРз,. Символ Лежандра является квадратичным характером группы ¥р. Пусть п нечетное составное число. Является ли символ Якоби квадратичным характером группы (Ж/пЖ) ? Покажите, что кольцо евклидово, и найдите его обратимые элементы. Разложргге число 17 на множители в кольце и покажите, что эти множители про стые. Для каких простых р числа -3, 6, 21 будут квадратичными вычетами? Покажите, что — целое алгебраическое число, и найдите группу Галуа для числового поля, полученного присоедршением этого числа к полю Q. Является ли условие fD необходимым и VP достаточным для разложения простого числа в евклидовом квадратичном кольце дис- 11 криминанта Z)? Покажите, что имеет место изоморфизм ад ДИТИВНЫХ групп OofOjn^o 12. Является ли Ощ^п идеалом в О/^ 13 Какова наименьшая натуральная степень, в которой идеал (7, ным в кольце Z[v iW 27) является глав 271? 14. Что собой представляет кольцо целых эле ментов поля разложения полинома х + 2? Выберите какой-нибудь неглавный идеал этого кольца, ts какой степени этот идеал станет главным? 15. Покажите, что в зависимости от вычета дис криминанта D по модулю 4 норма целого квадратичного числа равна 2 а Db 2 или а 2 + ab + b 2 D)/4. Литература к главе 5 Айерлэнд к., Роузен М. Классическое введение в современную теорию чисел. М.: Мир, 1987. Боревич З.И., Шафаревич И.Р. Теория чисел. М.: Наука, 1985. Ван дер Варден Б.Л. Алгебра. М.: Наука, 1979. Hay Виноградов И.М. Основы теории чисел. М.: ка, 1981. Кэртис Ч., Райнер И. Теория представлений конечных групп и ассоциативных алгебр. М.: Наука. 1969. Buchmann J. Algorithms for binary quadratic forms //www.cdc.informatik.todarmstadt.de/~buchmann/ AlgorithmsForQuadraticForms.ps. Cohn H. A Second Course in Number Theory J. Wiley & Sons, Inc., 1962. Milne J.S. Algebraic number theory (Lecture notes) // www.math.lsa.umich.edu/~milne/.
Глава 6. ЭЛЕМЕНТЫ алгебраической ГЕОМЕТРИИ ЭЛЛИПТИЧЕСКИЕ КРИВЫЕ Алгебраическая геометрия изучает геометри- ется конечным числом полиномов/i, ...,Д). По ческие объекты, задаваемые алгебраическими этому каждый идеал определяет некоторое ал уравнениями с коэффициентами из некоторого гебраическое многообразие [7, 8]. поля, и тесно связана с алгеброй, теорией чисел, В случае п I аффинное пространство назы- топологией. Идеи и методы алгебраической гео- вается аффинной плоскостью^ а алгебраическое метррш и теории алгебраических кривых оказа- многообразие, идеал которого образован оди лись плодотворными не только в прикладном ночным полршомом,— (плоской) ачгебраиче плане (криптография), но и при решении фунда- ской кривой? Степень полинома, задающего кри ментальных проблем математики. Например, в вую, называется степенью кривой. 1995 г. с использованием теории эллиптических кривых была доказана великая теорема Ферма: не существует целых чисел X, 7, Z таких, что при п выполняется равенство Z" + У" и Эллиптические кривые перспективных инструментов один для из самых построения криптографических алгоррггмов. Кроме того, аппарат теории эллиптических кривых оказывается полезным и при анализе криптографических алгоритмов, основанных на задачах разложения и дискретного логарифмирования в конечном поле. Пример 6.1.1. Алгебраические многообразия и их ршеалы. 1. Все аффинное пространство А {К) совпада ет с множеством нулей нулевого идеала (0). . Полином ах + Ьу + с, где а ^ О или fe ^ О, за дает прямую на аффинной плоскости. 3. Точка (Хт, ...^Хг) аффинного пространства задается набором п линейно независимых линейных уравнении. 4. Пустое множество является алгебраическим многообразием, заданным полиномом Ох + 6Л. Аффинные алгебраические многообразия Пусть К— поле. Аффинным п~мерным про странством A"(jK) над К назовем множество то чек {Р (Xi 5 ^ X п G /Г ^ значения х\ ^ ^ X п на I зываются аффинными координатами. Аффинное ачгебраическое мносисество это подмножество аффинного пространства, на котором обращаются в /ь ...,Ае K[xi нуль полиномы X {Ре К" I (р) 5 5 к (р) 0)}. Если I ? из этих полиномов построить идеал Для алгебраического многообразия как множества общих корней нескольких полино МОЕ ИЗ K[xi^ ..., х„] можно определить идеач Этот ршеал состоит из всех полиномов кольца АТх] ? •? X и ? обращающихся в нуль в ка ждой точке многообразия V. Множество поли номов из 3{V) действительно является идеалом, так как если/и g— полиномы, обращающиеся в , то полиномы /± g тоже обращаются в на на Кроме того, для h е. К\х\ ? хЛ полином/й всюду равен О на V. Соответствие {алгебраические многообра (идеалы кольца К[х\ ЗР1Я} биекцией: V{^{V)) объяснить тем ? • ? X и не является что идеалы но 3{V{J)) ^ J. Это можно определяют и 5 ТО множество нулей полиномов / одно и то же алгебраическое многообразие 5 НО совпадет с множеством нулей всех элементов идеала 3. Поэтому алгебраическое многообразие различны между собой. Пусть алгебраические многообразия I и 2 F(U) можно охарактерр1зовать идеалом J. При задаются идеалами 3\ и З2 соответственно. Тогда этом V{3) = F(T) для w G >0 Согласно теореме 3.10.1 каждый идеал кольца Щх, ? ? X и конечно порожден (то есть определя объединение пересечение I lU п 2 задается идеалом 'ЗхЪ 5 а 2 идеалом Ui + J2. Поэтому 2 I Поскольку алгебраическая кривая — множество Алгебраическое многообразие иногда называют нулей полинома Дх, у\ говорят^ что она задана урав- апгебраическим множеством. нением/ 0.
100 можно ограничиться рассмотрением многообра- рассматриваться над расширением поля ^ зий, заданных простыми идеалами. Такие много- пример, над его алгебраическим замыканием. образия называются неприводимыми. Неприво- на по димая алгебраическая кривая задается неприво димым (над алгебраическим замыканием К ля К) полршомом из кольца К\х^ у\. Рассмотрим прршеры алгебраических кривых. 6.2. Проективная плоскость и проективное пространство 1 Аффинная прямая А {К) над полем К пред Пример 6Л.2, Алгебраические кривые. . Алгебраическая кривая, заданная полино ставляет собой поле К. 1 Проективной прямой Р {К) над полем К назо мом Ах. У) {ху+ 1)(х^+/ + вем множество пар {(X, Y) ^ К \ (О, 0)} с эквива лентностью (X Y) - {аХ^ аУ), если а е К*. ~ 7^ 5 Полином J(x, у) раскладывается на множите ли, поэтому алгебраическая кривая является объ единением кривых ху + и X V . Если то каждая точка (X, Y) е V\K) эквивалентна точке (х. 1) аффинной прямой. Но на проективной прямой есть точка вида (X, 0), не соответствующая никакой аффинной точке. Эта точка Вместо этой кривой можно рассмотреть две более простых алгебраических кривых, задаваемых 00 называется бесконечно удаченной. Поэтому неразложимыми делителями левой части уравнения. Таким образом, изучение алгебраической кривой сводится к изученрпо ее подмножеств, задаваемых нулями неприводимых полиномов. 2. Алгебраическая кривая, заданная полино- I {К) I А\К) U {Р 00 2 Проективной плоскостью Р (К) над полем К назовем множество троек {(X, Y^Z) еК^\ (О, О, 0)} с эквивалентностью (X 7,2) - (аХ, aY, aZ), если MOM а ^ к. Здесь X, 5 проективные координаты. Лх.у) X 2 ху + /. Свяжем аффинную плоскость с проективной. Полином J(x, у) неприводим над Q, и кривая Полагая х X .У для Z ^ о, получаем биек состоит из одной точки (О, 0). Однако при пере- цию меи<ду множеством точек (х, у) аффинной ходе к полю Q[V полршом Хх, j^) раскладыва плоскости и подмножеством точек (х,у. про ется на множители: ективнои плоскости. Однако на проективной X 1+л/ N Х + \ J\ J ПЛОСКОСТИ есть точки с нулевой Z-координатой, которые не соответствуют никаким точкам аффинной плоскости. Прямые на проективной плоскости задаются линейными Поэтому данная алгебраическая кривая однородными полиномами над аХ-^ bY+ cZ. Проективная прямая, заданная алгебраически замкнутым полем является объе- уравнением Z динением двух прямых. «Непохожие» полиномы 4 4 х^+/ + р называется бесконечно удаченной. Точки этой прямой называются бесконечно и удаченными. Поэтому {К) А\Ю U РЧЮ, где + 3 определяют над R одно и то же пус- «добавка» Р (К) соответствует бесконечно уда тое многообразие. Однако при переходе к алгеб- ленной проективной прямой. раически замкнутому полю lu такая неоднознач ность исчезает. Все три проективные координаты равноправны. Поэтому в качестве аффинной плоскости. Прршеденные примеры показывают, что ино содержащейся в проективной плоскости, можно гда целесообразно рассматривать алгебраические рассматривать плоскости с координатами многообразия над алгебраически замкнутым по- X 5 лем. Алгебраическую кривую С, заданную уравне нием с коэффициентами из поля К^ будем обо при Z ^ О, X 5 при 7^0 т X Т X при По аналогии с проективной плоскостью можно значать С/К\ алгебраическую кривую, точки ко- определить w-мерное проективное пространство торой лежат в К, будем обозначать С(К). п Даже если уравнение fix^y) , задающее кривую С, имеет коэффициенты из простого по- G X {К) и+1 как множество точек {(Хь ...,X+i) ^ {О, О, ...,0)} с эквивалентностью (Хь ..., (йХь ..., oXy^^-i) для любого а е. К. ля , множество решений этого уравнения (и, соответственно, множество точек кривой) может При этом и (К) А\К) U P""4iQ, где «добавка» п-\ (К) соответствует бесконечно удаленно
101 му проективному подпространству размерности п 1, заданному условием Х+т На проективной плоскости любые прямые пе- лены эллипсом Множество невырожденных кривых btoj: порядка в аффинной плоскости над (R преде 17 ,00 . — с^: X ресекаются. Достаточно рассмотреть в аффинной crj? 2 2 + ьу ьу и параболой тх 2 гипербо. Все эти плоскости две параллельные прямые ах-^ Ьу+ кривые эквивалентны относительно проективг + с и ах-\- by-^d При переходе к проек- замены переменных. С помощью аффинной тйвным координатам получим систему уравне мены переменных можно получить а НИИ аХ-\- bY-\-cZ этой системы дает Z uaX-^bY-\-dZ Решение т Тогда проективные уравнения для элл^ то есть точка пересече- са. гиперболы, параболы соответственно прим ния прямых лежит на бесконечно удаленной пря вид:г + г zlx^ мои. Тогда аХ-^ ЬУ Поскольку а не AXZ. Переход эллипса к гиперболе и обратно задается замеш возможно, предположим, что Zj^O. Последнее переменных Z-^^X. Переход от эллипса к параб уравнение при Х= О дает 0. Точка (О 5 не ле задается заменой переменных (Д F, Z) лежит в проективной плоскости, поэтому можно считать Х^ 0. Получаем искомую точку пересечения вида {X X^ + Y^ Y,X+Z). При этом Z примет вид Y~ a/b,0). Класс эквивалентности (X, F, Z) при Z^O ypaBHCHti 4XZ. Таким образол в проективной плоскости P^((R) эллипс, гипербс ла и парабола эквивалентны относительно обра 2 имеет единственного представителя вида (х, у^ I); тимого преобразования координат. при Г^ О (х. 5 z); при (1,У,г)- Аффинной алгебраической кривой соответст вует алгебраическая кривая на проективной плос Пример 6.2.2. Пифагоровы тройки. Согласно теореме Пифагора в прямоугольном кости. Если аффинная алгебраическая кривая треугольнике с катетами X, Г и гипотенузой задана полиномом степени п вида а..х'у^ ч 5 0</+/ <п имеет место равенство Х^ + Г^ 2 скт (6.2.1) то соответствующая проективная кривая задает ся однородным полиномом степени п вида / J aX'Y'Z n-l'j . Например, аффинной кривой. 0</-ьу</7 заданной полиномом х^ + ху+у^ + I, соответству ет 2 проективная кривая, заданная полиномом X'Z+XYZ + ' + Z\ Аффинное преобразование координат над полем К имеет вид Г(х) = Zx + Ь, где х = (х, у) g А, обратимая матрица над К^Ь — вектор сдвига. Проективное преобразование координат плоскости р^ш ЭТО линейное преобразование вида Т(Х)-=^МК, где мая матрица размера 3 X (X, Г, Z), М~~ обрати над К. Это преобразо вание на аффинной плоскости действует как аф финное преобразование координат, в чем не трудно убедиться, положив Z Поскольку множество обратимых матриц об разует группу, проективное преобразование ко ординат задает на множестве проективных ал гебраических кривых симметричное, рефлексив ное и транзитивное бинарное отношение. При ся на классы эквивалентности. Пример 6.2.1. Проективные кривые второго порядка. (Аффинной) коникой в К^ называется алгеб раическая кривая, заданная квадратным уравне -2 нием а(х, у) ах" + Ьху + су" + dx + еу +/ или 4~| Х^ + Г^ 2 0. Уравнение (6.2.1) задает алгебраическую кри вую. В некоторых случаях стороны могут выра жаться целыми числами, например 5 (3,4, ИЛИ (5, 12, 13). Как же найти все целочисленные решения уравнения (6.2.1)? Для этого можно перейти к плоской кривой над Q, поделив обе части этого уравнения на z и положив X X ^У Тогда уравнение (6.2.1) примет вид (6.2.2) Уравнение (6.2.2) задает окружность, и наша задача сводится к поиску рациональных точек на окружности. Параметризуем окружность (6.2.2) (то есть от двух переменных перейдем к одной): *v ^ч-^мС: -л 2t X e+\ -у J X Э - Otc ю д a получаем все решения уравнения этом множество проективных кривых разбивает- (6.2.1): <» »" J 7Г_ *? X 2/т, 2 2 7W ,Z = / +7W -- Л реше для произвольных /, /W G Z. Если (X, F, Z) ние, то (оХ, аУ, aZ) — тоже решение. Поэтому дос таточно рассмотреть /, т такие, что НОД(/, ni) Многообразия в проективном пространстве задаются однородными полиномами. Пусть сте-
102 пень полршома из идеала, задающего аффинное мента -А нужно провести через точку А прямую, многообразие, равна т. Переход от аффинного параллельную касательной в точке Е. Покажем, что сложение ассоциативно. Рассмотрим на ко- многообразР1я к проективному выполняется за меной одночленов (Л: , Л» •••^ одночленами а т /I.. ./„ Y"i Y " Y ^1 "-^и ^и+] d \ ..-d п 63. Сложение точек на конике кон сложения. имеющий На окружности существует естественный за- простую геометриче- фиксированная произвольные скую интерпретацию. Пусть точка окружности над (R, ^ и точки. Проведем через точку Е прямую, парал лельную прямой АВ. Она пересечет окрулшость в точке С, которая является суммой точек А + В (рис. 6.1). нике ч- три точки А, В. С, и пусть + в 2(рис. 6.2). Рис. 6.2. Сложение точек на конике Равенство + (5 + С) + 5) + С эквива лентно утверждению: «Если А, 5, С, £, Р, точки коники и АВ\\ЕР, BC\\EQ, то AQ\\CPy> Это частный случай теоремы Паскаля [5]. Если слагаемые совпадают, то секущая стано вится касательной. Все эти рассуждения справедливы в любом поле X, в том числе и в конечном поле. Пересечение алгебраической кривой С{К) с Рис. 6.1. Сложение точек на окружности прямой, заданной уравнением ах + Ьу + с можно описать алгебраически. Выразим из урав- Таким же способом можно определить закон нения прямой одну переменную через другую и сложения на эллипсе, параболе или гршерболе: подставим в уравнение кубики. Получим урав- достаточно, чтобы прямая пересекала конику в нение от одной переменной. Корни этого урав- двух точках. При совпадении точек А и секу нения дают точки пересечения кривой С{К) с щая АВ становится касательной. прямой Кратность корня называется кратно стъю пересечения. В общем случае для описания Теорема 6.3.1. Указанный закон сложения точек пересечения удобно рассматривать алгеб- превращает множество точек конржи, заданной раически замкнутое поле. над полем (R, в абелеву группу. Доказательство. Поскольку все невырож денные коники эквивалентны относительно про ективного преобразования переменных, доста 6.4. Кубические кривые. Закон сложения точно рассмотреть эллипс. Любые две точки что сложение Назовем {плоской аффинной) кубической кри вой {кубикои) над полем К алгебраическую кри можно складывать. Очевидно, коммутативно (прямые АВ и ВА совпадают). Ну- вую С(Х), заданную полиномом л ем является сама точка Е. Для нахождения эле- / а,.ху J ? где 3 общем случае касательная определяется над пополнением L поля К с помощью понятия сходимости. Однако в полном поле L уравнение касательной в точке с координатами из К совпадает с уравнением касательной, определенным с помощью алгебраиче- а/ G Kw наибольшее значение i+j равно 3. Соответствующая проективная кубика С{К) задается 4 Согласно теореме Паскаля, если в проективную ской производной. Это совпадение обусловлено тем, конику вписан произвольный шестиугольник и про- что уравнение кривой алгебраично и алгебраическое тивоположные стороны продолжены до пересечения, определение производной в поле К совпадает с авали- то точки пересечения противоположных сторон лежат тическим. на одной прямой.
103 полиномом а.Х / ■ J 3-i-j На любой кубике сечения уравнение 2 3 5 которое имеет три i,J решения: два соответствуют случаю 5 а тоже существует естественный закон сложения. Зафиксируем произвольную точку Е кривой. Для сложения точек А v\ В проведем прямую АВ, она пересечет С(К) в некоторой точке Р. Точку пересечения прямой РЕ с кубикой будем называть суммой точек А и В (рис. 6.3). третье имеет вид Z = 0 и соответствует бесконечно удаленной точке (О, 1, 0). Покажем, что точки кубики с операцией сложения образуют абелеву группу. Коммутативность операции сложения очевидна. Легко можно показать, что Е— нулевой элемент. Докажем ? ассоциативность введенной операции. Равенство + (5 +О + С) + 5 эквивалентно тому, что точки пересечения прямых, соединяющих точки + 5 и + и в, лежат на кубической кри вой. Обозначим Pi АС, Р2 Е(А + В\ Ръ В{А+С\ q,=AB, q2 = E(A + CX q^ = C{A+B\ где р\ — прямая, проходящая через точки А и С, Р2~~ — прямая, проходящая через точки Е и А-^ В, и т. д. Будем считать, что все точки пересечения этих прямых попарно различны. Тогда ассоциативность операции сложения вытекает из следующей теоремы [4]. '-^> _лЧ Рис. 6.3. Сложение точек на кубике Теорема 6.4.1. Пусть А и точка пересечения прямых / и Яр </,7<3, причем точки и по Обычно в качестве точки Е выбирают беско парно различны. Про все точки 1р кроме 33 5 нечно удаленную точку Роо- Существование та кои точки следует из того, что, положив в проек тивном уравнении кубической кривой Z = 0, по известно, что они лежат на кубике. Тогда точка Азз тоже лежит на этой кубике. Доказательство. Пусть Pix, у) и лучим непустое множество решении для коорди яЛ^^ у) натХ, F, которое соответствует точкам пересече- уравнение/?1/?2Рз рз, уравнение q^qiqs противном случае бесконечно удаленной можно qi-, Оъ- уравнения прямых pi и Тогда задает тройку прямых рт, р2^ ния кубржи с бесконечно удаленной прямой задает тройку прямых q\ 5 назвать прямую Х= О или 0). Кубика apip2P3-^bqiq2q3 проходит через определении сложенртя использовано еле все точки Ау. Покажем, что в таком виде можно дующее свойство кубики: если прямая Пересе- представить уравнение любой кубики, проходя- кает С(К) в двух точках, то она пересекает ее щей через восемь из девяти точек Ajj. Выберем в еще ровно в одной точке. Действительно ? из качестве осей координат прямые р^ и ^i, то есть уравнения прямой ах-^ Ьу-^ с можно выра выполним замену переменных X Р\Ос. У\ зить X через у и подставить результат в уравне q\(x^y). Пусть рассматриваемая кубика зада ние кубики. Получим уравнение от одной пере- ется уравнением Р(х, Функции P(0,j^) и менной с коэффициентами из К. По условию. yPii^^ У)РзФ^ у) обращаются в нуль в трех точках него есть два корня в К, значит, должен быть и ^п, А2ъ ^зь лежащих на оси Оук Кроме того, эти третий корень в К. Если рассматривать проек- функции— полиномы степени не более 3. Сле- то степень уравнения после довательно. тивную кривую, подстановки равна 3. Возможно ли, чтобы кубика и прямая, участвующие в геометрическом законе сложения, имели менее трех точек пересечения на аффинной плоскости? Поскольку прямая проходит через две точки кубики, то единственно возмолшый слу- две точки пересечения. Например, кубика ДО, V) ^Р2(0, j^te(0, у). Аналогично можно bxq2{x, Q)q3{x, 0). Рассмотрим полином показать. что Р(х, 0) V чаи &?^.У) Р(х, У) mpiiO, у)рз(0, у) - bxq2(x, 0)q3(x, 0). х^+х + пересекается с прямой х в двух Ясно, что точках: (О, и (О, МОИ X 1). Подставив уравнение пря в уравнение кубики, получим 6(0, V) ДО, V) ^Р2(0, у)рз(0, у) Степень этого уравнения равна 2, то есть третьей точки пересечения нет. Однако при переходе к проективной кривой F^Z^X^+^^ + Z и ективнои прямой X про получаем для точек пере Равенство ао(у) + а^ (у)х + а2(у)х^ + ... = О при выполняется тогда и только тогда, когда , следовательно, полином б(х,_у) делится на X. Аналогично можно показать, что полином X С1о(у)
104 &PC. делится на v, то есть Qix,y)^xyQi(x,y). Теорема 6.4.3. Пусть F(X, ненулевая Степень полинома 0,х,у) не более тельно, 6](x,v) э следова- форма степени а от двух переменных. Тогда F линейная функция или кон- имеет на проективной прямой Р (К) не более станта. В точках ^^22, ^23, ^32 обращаются в нуль нулей. В случае алгебраически замкнутого поля функции Р, р2Рз и ^2?35 то ссть В НИХ обращастся в она имеет ровно d нулей (при условии, что корни нуль и функция Поскольку в ху^О, то в них обращается в нуль и линейная функция Q}. Точки ^22, ^23, ^32 НС лсжат на одной этих точках подсчитываются с учетом их кратности). Доказательство. Пусть прямой, а для ненулевой линейной функции уравнениеХх, у)^0 определяет прямую. Следова тельно, Qi = О, то есть Р(х, у) = apw-^-^ + bq^qigs- F(X,Y) = a^'^ + aa^^X'^-^Y+ ... +аоГ^. частности, точка F связан неоднородный полином от одной 33 лежит на кубике Дх, v) переменной (рис. 6.4). Ч\ Лх) аж d + аа-\Х d-\ + ... + ао. полученный делением дх на F^^O 5 где X X Ясно, что для всех а^ К справедливы следующие равносильные утверждения: .Да) Ос^(х-а)1Дх) {X aY) I F(Z, F(a, X Рис. 6.4. Точки и прямые на кубике Значит, нули полинома/соответствуют нулям полинома F на Р (К), отличным от точки 9 Теорему 6.4.1 можно применять и в тех слу чаях, когда некоторые точки Ау совпадают. Для кривых степени п>3 теорему 6.4.1 мож но обобщить. (то есть точки Р^ на проективной прямой). Пали чие у F нуля на бесконечности (F(l, 0) чает, что а^ = О, то есть deg(/) < озна 1 . Кратность нуля полинома F в точке (а, 1) на Р'(^ равна кратности нуля полинома / в соответствующей точке Теорема 6.4.2. Пусть А и точки пересечения а ^ К, то есть равна deg(/). Таким образом. прямых р I и э hj п, причем точки А,,- попарно различны. Про все точки Ац, для которых кратность нуля полинома F в точке (а, наибольшая степень выражения X это i -\-j <п -\-3, известно, что они лежат на кривой степени п. Тогда и остальные точки тоже лежат рую делится а в точке (1, а 7, на кото- наибольшая степень 7, на которую делится F. на этой кривой. Доказательство см. в работе [4]. Пусть т со кратность нуля полинома F в точке (1,0). Кольцо Щх] целостное, то есть полином степени т ее имеет не более т ос общем случае точки пересечения могут нулей и ровно т ее нулей в случае алгебраиче быть кратными. Например, две коники над полем ски замкнутого поля. IR могут пересекаться в четырех, трех, двух или одной точке (рис. 6.5). Этот результат можно Обобщением теоремы 6.4.3 является теорема обобщить и на случай произвольных кривых и Безу, согласно которой общее число точек пере произвольных полей. сечения проективных кривых и D степени deg(0 т, deg(Z>) ^ п над алгебраически замк нутым полем равно тп, если точки пересечения подсчитываются с соответствующей кратностью (с учетом бесконечно удаленных точек) [5]. /^1+-Р2+-Рз+-Р4 2Л+Р2 + -РЗ 2P^ + 2Р 2 ЪРл+Р г 4Р Таким образом, геометрический закон сложения точек на неприводимой кубической кривой задает структуру абелевой группы. Нулем группы является точка Е, а точка -Р (третья точка пересечения прямой РЕ и кубики) является про- 1 Рис. 6.5. Пересечение коник тивоположной к точке Р. В случае алгебраически замкнутого поля эта группа бесконечна.
105 6.5. Особые и неособые кубики чения -4 Рассуждая аналогично, получаем для Пересе прямой и кубики уравнение аХ Рассмотрим примеры пересечения ьубики с Пересечение двойное (тройное при а Сле прямой ~ъ ^. 4 :- -^.v .-,г: ^> довательно, также имеет место равенство + (О, 0) (О, 0). Пример 6.5.1. Пересечения кубики с прямой. \ Покажем, что кривая у^-х +Ах + В пересе Из рассмотренных примеров видно. что в кает бесконечно удаленную прямую Z = О в одной двух последних случаях точка (О, 0) ведет себя точке, причем кратность пересечения равна 3. Пе- по-особому, а именно является аналогом понятия реходим к проективной форме кривой. Подставляя «бесконечность» для натуральных чисел. в уравнение кривой Y Z=X -^AXZ + BZ значе ние 3 , получаем X имеет тройной корень X ективной кривой 7?^ О, так как точка (0,0 Последнее уравнение По определению про- Точка /Д Y, Z) кривой, заданной уравнением называется неособой, если в этой 5 не точке хотя бы одна частная производная лежит на проективной плоскости, поэтому координаты точки пересечения кривой с бесконечно _ отлична от нуля, в противном случае удаленной прямой молшо записать как (0,1,0) Поскольку эта точка лежит на бесконечно удален- точка называется особой. Кривая, которая не со 67 1. dZ ной прямой, она является бесконечно удаленной. Покажем, что кривая >/ =х +х" (рис. 6.6) пе ресекает произвольную прямую, проходящую че рез точку (О, 0), в этой точке с кратностью 2 или 3. -^ ^ -^ ЦГ / ^ , "^ ^^ _ - V- ^. -•- -^ -J к 4 - у %^-: X ч X ч \ U - -^ 5 держит особых точек, называется неособой. противном случае кривая называется особой!" Покажем, что если алгебраическая кривая не является неприводимой, то она содержит особую точку. Пусть кривая задана нулями полинома где F(Z, 7, Z) =/Х, 7, 7)^Х, ¥,Т)и/, родные полиномы. В соответствии с теоремой , рассматриваемые над одно Безу кривые /= О и алгебраически замкнутым полем, пересекаются. дифференцирования Согласно правилам dF дХ дХ + g дХ Аналогичные равенства име ют место и для частных производных по Z. Рис. 6.6. Кривая у г х^+х^ \-^г ■: Переходим к проективной форме -О - ».■; £ -^i^_K- Л Уравнение кривой имеет вид 7^2 кубики. Х^ + X^Z\ уравнение прямой, проходящей через точку (О, 0): ах\ соответствующее проективное уравнение: оХ. Подставляя уравнение прямой в уравнение О, то есть име- 1^бики, получаем X Qi'^'Z^ crZ) Рассмотрим производную полинома F по X в точке пересечения кривых/ и этой dF точке дХ Аналогично получаем dF д¥ dF dz о. Таким образом, кривая, не яв ляющаяся неприводимой, всегда особая. ем двойное (тройное при а = ±\) пересечение в проективной точке (О, О, 1). Отсюда следует, что Р + (0,0) (0,0). Пример 6.5.2. Особые точки. 1. Кривая Покажем, что кубика У = х^ (рис. 6.7) пере- (О, 0), так как в этой точке X + X содержит особую точку секает произвольную прямую, проходящую через точку (О, 0), в этой точке с кратностью 2 или 3. ^^ Ji i^^Vi* --■■ ^ ^■.- -Г U .4 дх Зх 2 + 2х ду 2у i — ^ '^ ■ - V х^ ,1^ ^x■ ■тг XI ■- t'^ :- ^ к Рис. 6.7. Кривая у^ 3 X Точка (О, 0) называется точкой самопересече пня., или узлом. *\ -: "Vi--^ ^'>т; 5 Неособая кривая называется также гладкой, не вырожденной, несингулярной. Особая кривая называется также вырожденной, сингулярной. Однако супер вырожденная (суперсингулярная) кривая не является особой.
im 2. Кривая 2 X 3 содержит особую точ1^ от аффинного (или проективного) преобразова- (0, 0), так как в этой точке ния дх Зх 2 U 2у координат. (Uu t/2, t/з), где X Пусть X Ofj е к. Пусть Fix) уравнение кривой, тогда эта же кривая е координатах Uu t/2. и 3 имеет вил Точка (О, 0) называется острием, или точкой G(Uu U2, U3) =-F{X^{ul Х2{и% Хз(иУ). Найдем част- возврата. 3. Покажем, что бесконечно удаленная точка ные производные, задающие касательную к эток 9 1,0) является особой для кривой х(х Ь)(х с). Для этого перейдем к проективной кривой в произвольной точке: дС форме: YZ 9 (^ aZ)(X bZ)(X cZ) и поделим dU dF 6Х I J I dXf dU I^ a и J I обе части этого уравнения на F^O. Пусть X Поскольку преобразование координат обра- X э Z , тогда проективной точке (л, 7, Z) тимо, то матрица и невырождена Следо- будет соответствовать аффинная точка (х, 1, z). вательно, набор Получим уравнение дС dUj нулевой тогда и толькс F(x, z) z 2 az){x bz)(x cz) Нетрудно видеть, что при х э Z обе про изводные обращаются в нуль. Значит, кривая яв ляется особой. Понятие особой точки не зависит от способа описания кривой, то есть от способа задания координат э в чем легко убедиться, подставив X аи + 6v, V = си + Jv в уравнение кривой. Покажем, что кубика а)(х Ь)(х с\ где числа а, Ь, с различны, является неособой. Действительно, для аффинного уравнения частная производная по у равна нулю только при у=0^то есть этому условию может удовлетворять одна из точек (а, 0), (6, 0), (с, 0). Очевидно, что частная производная по х в этих точках отлична от нуля. Например, 6)(а при с)^0. X а производная равна так как одновременно афЬ, аФс. Легко проверить, что бесконечно удаленная точка (О, 1, 0) на проективной кривой Y^Z {Х aZiX bZtX cZ) тоже не является особой. тогда, когда набор dF дХ нулевой Если / / dF dF dF л г э э еХ, ' дХ^ ' dXj , и dG dG dG 5 Э dU, dU^ dU^ векторы-строки, x и u — векторы-столбцы, тс X Аи, чит, уравнения gu ту же прямую. Пусть точка fA. Поэтому gu и fx ifA)(A 1 fx. Зна- определяют одну v бической кривой (Xr, /?5 R (Хр, Yp, Zp) принадлежит ку- , то есть F{P) = О, и пусть произвольная точка проективной плоскости. Точки проективной прямой РЬ имеют вид аР + bR. Здесь точки рассматриваются как векторы над полем К, сложение точек означает покоординатное сложение векторов (ил^ сложение точек на проективной плоскости, отличное от сложения точек на кривой), умножение точки на элемент а ^ К означает скалярное умножение вектора: aP + bR-= (аХр + ЬХ^, aY. + bYp, aZp + bZ^ 6.6. Касательные и точки перегиба алгебраической кривой Касательная к проективной кривой С(К) в точке Р задается уравнением ^ — ■ dF дХ (Р)Х + dF д¥ (P)Y + dZ (P)Z О, Точки прямой PR, отличные от к, имеют вщ Р + tR. Рассмотрим точки пересечения этой прямой и кривой F = О как функции от t. В nameiv случае F — полином степени 3, поэтому F(P + tR) = F(P) + at + b^ + ci 3 Pit) Здесь соответствует точке Р; кроме того F{P) О по условию, тогда ^ -г: ^- fr-^ а F,^P)X + FKP) Y + FmZ, где частные производные вычисляются в точке где Fx, Fy, F^ ~ производные по X, 7, Z соответ Это уравнение первой степени, следовательно, оно задает прямую. Теперь ясна связь между особой точкой и касательной: в особой точке ка сательная не определена. Касательная к кривой в неособой точке зада ется однозначно уравнением кривой и не зависит ственно. ^п^ {Fxx {Р)Х 2 + F XY {P)XY + Fxz {P)XZ + + F YY {P)Y 2 + FyySP)YZ + F„(P)Z'~),
107 где F XX вторая частная производная по X. ХУ вторая частная производная по Д 7 и т Полином Q^t) имеет в нуле кратный корень при а О, то есть точка Р неособая неособой точке Р кривой F определена касательная. Если кратность пересечения кривой с касательной равна то называется точкой (и, конечно, а перегиба. В этом случае так как прямая PR является касательной). Неособая проективная кубика С(К) всегда имеет хотя бы одну точку перегиба [4]. Кубика над алгебраически замкнутым полем имеет девять точек перегиба. Прямая, проходящая через две точки перегиба кубики, проходит и через третью [4]. а над алгебраически замкнутым полем — к нор мольной форме Дойринга У + (хху + у X 3 7.6) 4. Если характеристика поля отлична от 2 и то уравнение виду 1 1 может быть преобразовано к ^ш Ч - ^ 2 3 х'-^Ах-^В. л. (6.7.7) Доказательство. Условию того, что кубика , (6.7.6), неособая, в уравнениях (6.7.3), (6.7 (6.7.7) соответствуют неравенства а 4Ь^0; (О, 1 1 }\о?^2Т,4А^-\-27В^^0. Для доказательства утверждения 1 рассмот рим проективную кубику 6Л. Нормальные формы F(X 9 9 Z) а...Х I и J 3-i~j (6.7.8) /+/"<3 эллиптическом кривой Назовем эллиптической кривой неособую ку- ной заменой переменной над полем С. У нее есть точка перегиба. Линей ^ Ь¥-\- cZ мож аХ бическую кривую. но обеспечить координаты этой точки равными Рассмотрим наиболее употребительные (нор- (О, 1,0), причем касательная в этой точке будет мачьные) формы уравнения эллиптической кри- задаваться уравнением 7 = 0. Это значит, что пере вой 5 получаемые линейной заменой проективных сечение кубики F с бесконечно удаленной переменных. Большинство из них являются част- прямой Z - О имеет кратность ными случаями обобщенной формы Вейерштрас- {X, Y. П z=o , то есть полином азоХ^ + аглХ^У + апХУ'^ + аоз!"^ име са содержащей единственную бесконечно удаленную точку, которая является точкой перегиба. ет корень X кратности Следовательно, агл an С1оз но азо ^ О, так как иначе рас а бесконечно удаленная прямая является каса- сматриваемая кривая целиком содержала тельной в этой точке. Существование нормальных форм обосновывается следующей теоремой. бы прямую Z = о (уравнение делилось бы на Z и кубика не являлась бы неприводимой кривой). Ка сательная в точке (О, 1, 0) задается уравнением Теорема 6.7.1. Справедливы следующие ут верждения. 1. Уравнение кубики над произвольным по лем может быть сведено к обобщенной форме Вейерштрасса Fa<0, 1, 0)Z+ FKO, 1, 0)7+ F^(0, 1 1 9 0)Z Для наиденного ограничения на а^^оХ 3 имеем F^0,1,0)-FK0, 1,0) Но при этом + а^ху + с^зУ 3 2 X +а2Х +а4Х + аб. (6.7.1) Если характеристика поля отлична от то уравнение (6.7.1) может быть преобразовано к виду 2 3 2 X + Ь2Х + ЬаХ + be. (6.7.2) F^CO, 1,0)?^ О, так как в противном случае точка (О, 1,0) была бы особой. Однородный полином FziX, 7, Z) степени 2 в точке (О, 1, 0) принимает значение аоо. Можно считать, что ао2- 1. Тогда в аффинных координатах уравнение (6.7.8) запи шется в виде а над алгебраически замкнутым полем — к виду Ста, Ь] /-^ аиху-^ ао^у-\-Рз{х) ? где 3 (X) полином степени Сделав подхо у =х + ах + 6х (6.7.3) f\ к - или к форме Леэюандра z^ < 2 х(х \)(х Х). (6.7.4) дящую замену переменной х, можно получить коэффициент при х^, равный -1. Тогда уравнение (6.7.8) примет вид (6.7.1). Это уравнение неособой кубической кривой справедливо для поля любой характеристики. 3. Если характеристика поля отлична от то Первое утверждение доказано. уравнение (6.7.1) может быть преобразовано к Несложные выкладки показывают, что замена виду 2 переменных вида x<r~ux + i% 3 2 иу + sux + t 2 ■\ + ахху + азУ = х" + а/^ + а^. (6.7.5) сохраняет вид уравнения (6.7.1) при и К" и / 5 S,
108 Если характеристика поля отлична от то приводимой и представляет собой объединение возможно деление на 2. Тогда заменой перемен- трех прямых). Если перейти к аффинной форме ных а^х/2 а 3 в левой части уравне ния (6.7.1) можно этого уравнения с координатами х X выделить полный квадрат . У и Уравнение примет вид (6.7.2), где затем сделать замену переменных V 3 у. 2 «2 + а?, b 4 «4 + а,а., b 6 а.+ а 2 3 и лу, то с учетом равенства х 3 и 3 V полу чим уравнение в форме Вейерштрасса (Дойрин 7 2 Если поле является алгебраически замкнутым, то правую часть в (6.7.2) можно разложить на га): V + 3uMV+ v V 3 Уравнение (6.7.9) удобно описывает точки линейные множители: еЛ(х е2){х вз). За перегиба неособой кубики, которые имеют вид меной переменной х X е\ получаем (6.7.3). 1), (1,0, 1), (-1,L0), (0,соЛ), (со,0. со со%0),(0,-соМ),(со^О, 2 со). со, 0), где со Правую часть в (6.7.3) тоже молшо разложить на удовлетворяет уравнению со + со + множители: х(х d2)(x d3). Заменой перемен ныхх d2X. 3 2 получим уравнение вида (6.7.4). Утверждение 2 доказано. Если характеристика поля отлична от Теорема 6.7.2. Все девя^гь точек перегиба неособой проективной кубики над ачгебраически то замкнутым полем характеристики, отличной от и 3, различны. возможно деление на 3. Заменив в (6.7.2) х на Доказательство см. в работе [4]. ^-^.- ^: X 2 /3, получим нулевой коэффициент при х. и 6.8. Группа неособых точек кубики Тогда, если характеристика поля отлична от 3, уравнение примет вид (6.7.7). Утверждение доказано. общем случае, если характеристика поля замкнутым полем с характеристикой, отличной отлична от 3, то в уравнении (6.7.1) аналогично от 2, может быть задана уравнением Эллиптическая кр ив ая над алгебраически можно обеспечить нулевой коэффициент при х и привести его к виду (6.7.5). Этим доказана пер вая часть утверждения 3. Покажем, что если характеристика алгебраи 2 х(х а){х ь\ где корни правой части уравнения попарно раз личны. Если правая часть уравнения имеет крат чески замкнутого поля отлична от J, то кривая ный корень, то кубика является особой (в том может (6.7.6). быть По представлена в форме Доиринга аналогии с доказательством утвер ждения 2 приводим (6.7.5) к виду у^ + с^ху + СъУ .3.2. /rs rs^ числе над полем характеристики 2). Любая прямая у = кх пересекает кубику в осо X + С2^Г + СлХ-i причем точка (0,0) лежит на кривой. Эта точка по условию неособая, то есть в бой точке с кратностью не менее 2. Поэтому, ее ли соединить особую точку кубики с любой дру гои ее точкой, то третья точка пересечения полу ней существует касательная, задаваемая уравне- ченной прямой с кубикой будет этой же самой нием {1у + с\х + Сз)У -Ъхг' + Icix + q - Cjj. Точка особой точкой. Таким образом, сложение особой точки с любой другой точкой всегда дает один и тот же результат. Поэтому особая точка не может (О, 0) имеет порядок, отличный от 2, если каса тельная в ней имеет конечный угловой коэффи циент, то есть q - 0. Точка (О, 0) является точкой перегиба тогда и только тогда, когда С2 == О и сз ^ 0. Выполнив нормализащ1Ю Сз - I подходящей заменой переменной у^ получим нормальную форму Доиринга (6.7.6), определенную для кривой над алгебраически замкнутым полем с характеристикой, отличной от 3. быть рассмотрена как элемент абелевой группы точек 1^бики. Однако для неособых точек кубики можно определить геометрический закон сложения, как для эллиптических кривых. о Теорема 6.8.1 Если в уравнении кривой Для кубики над алгебраически замкнутым по . су 0(х) полином Qjc) над полем 7^ имеет корень лем, характеристика которого отлична от щ^стъу^т нормальная форма Гессе [4, 13, 21]: кратности 2, то существует вычислимый в обе стороны изоморфизм между группой неособых точек кривой и мультипликативной группой по )^ + Y^ + Z 3 3uXYZ. (6.7.9) ■ * u;>? л ■-■.-г С"; у -,v*-.^. i 7 Кривая, заданная таким уравнением, неосо бая, если ц ?^ О и 3 ?t (при кривая над ал гебраически замкнутым полем не является не Обратный переход к форме Гессе (с учетом проективного уравнения кривой) тоже задается полиномиальными уравнениями, поэтому указанная замена переменных корректна.
im ля к. Если полином g(x) над полем К имеет ко- логарифмирования: в простом поле г^^ для дан- рень кратности 3, то существует вычислимый в ных образующей а и элемента b найти число х обе стороны изоморфизм между группой неосо- такое, что d^Ъ (mod/?).^ Для изоморфных обра- бых точек кривой и аддитивной группой поля К. зов эта задача формулируется так. Пусть Доказательство. Докажем сначала второе изоморфизм из группы __" .2 . 3 г^.__ _ . _- /г___ -гг.. _/г. р утверждение для кривой пускает параметризацию X 2 .t 3 Эта кривая до- точек кубики. Для образующей точки в группу неособых ф(а) и качестве ну точки ф(6) кубической кривой с точкой са ля будем использовать бесконечно удаленную мопересечения над полем F» найти число х такое. точ1^. Точки пересечения этой кривой с прямой что хА. ах -\- by -\- с сГ' + at + b определяются соотношением Если прямая не проходит через Следствие 6.8.2. Задача логарифмирования на особую точку, то с?^0. Получаем кубическое кубической кривой над конечным полем не ме уравнение от ^ с нулевым коэффициентом при нее сложная, чем задача дискретного логариф Сумма корней такого уравнения по теореме Вне- мирования в том же поле. та равна нулю. Для бесконечно удаленной точки Доказательство. Если сложность задачи логарифмирования в р меньше, соответствуют значения параметра /U, чем сложность задач логарифмирования на всех О значение параметра to равно нулю. Пусть точ- дискретного кам А и 1в. Прямая АВ пересекает кубику в точке R. Тогда неособых кубиках, то можно перейти к особой -\-1в + tji = 0. Прямая OR пересекает кубику в кубике с точкой самопересечения. точке А -\- В, значит, tn + + +в Следова тельно, tA+B + tB. Особой точке соответ ствует ^ == со. Вычислимость прямого и обратного изоморфизмов очевидна. 6.9. Невозможность рациональной параметризации эллиптической кривой Кривая х^+х^ также допускает рацио нальную параметризацию 1 1 ,/ 3 Прямая ах + by + с Согласно примеру 6.2.1 невырожденная кони /- 2 пересекает эту кривую в точках. ка может быть сведена к уравнению и V и па для которых значения параметра t удовлетворя (Г^, {). Очевидным образом ют соотношению а \) + b(t 3 0 + с Если 6 ?^ О, то после деления обеих частей этого соотношения на b получим кубическое уравнение для раметризована параметризуется и прямая у ка которой может быть выражена в виде (х, v) ах -\- b. любая точ / с коэффициентом при 3 и коэффициентом (/, at + b). Заметим, что в обоих случаях параметризация имеет вид полиномов. Особые 1^би- ки таюке допускают параметризацию. Однако при t. Корни такого уравнения удовлетворяют эллиптическая кривая не может быть параметри соотношению t\t2 + ^2^3 + hh замену переменной s 1 1 Если сделать зована с помощью рациональных функций. , то последнее уело Теорема 6.9.1. Пусть эллиптическая кривая вие будет эквивалентно равенству Л1Л2Л3 == 1. Вы- , 1, 0), Е(К) задана в форме Лежандра уравнением в качестве нуля на кривой точку и л берем которой соответствуют значения Для нахождения суммы точек А а В рассмотрим точку i?, в которой прямая АВ пересекает кри- (6.7.4) над алгебраически замкнутым полем К, характеристика которого отлична от 2. Не суш;е ствует полиномов Рь 2 , бь 2 таких, что функ ции y(t) вую Так P,it)/P,it),x(t) = Q,it)/Q,it) ОТЛИЧНЫ как SaSbSr и SrSqSa+В то от константы SaSb- Особой точке соответствует не одно. а два значения параметра t, а именно ±1 и удовлетворяют эллиптической кривой над полем К . Доказательство [4]. Cjtynafi, когдаХО и Mf) являются элементами поля К, неинтересен — это или оо). Вычисление изоморфизма требует вы полнения фиксированного числа арифметиче- константы. Пусть y{t% x{t) ^ К . Тогда, подстав ских операций в поле К, то есть имеет полино- ляя полиномы Р, б в уравнение кривой, получим миальную сложность. 2 При рассуждении мы не фиксировали поле К и не использовали специфических свойств поля комплексных или вещественных чисел. Поэтому данная теорема верна для кубики над любым полем, конечным или бесконечным. основу безопасности многих криптографи- 1 1 XQ 2 2 2 9 2 2 ^ -1 -' I ч ., ^ 8 Эта задача положена в основу стандартов циф ровой подписи РФ и США (см. пп. 13.2.3,15.6.5). 9 Здесь имеется в виду сложность «самой сложной ческих алгоррттмов положена задача дискретного частной задачи» данного класса.
no Можно считать, что полиномы 1 и 2 взаим но просты, 0\ и Q2 взаимно просты. Так как 9 3 ^'й 1 2 2 й(а 2 ха ?ie 2 2 2 ТО полином Ро^, взаимно простой с Рл , делится на 3 1 б2% 3 И полином ft' взаимно простой с gi. 9 1 XQi^ делится на Р4. Следовательно 2 5 ПОЛИНОМЫ 2 2 И 3 2 различаются на константу поле все ненулевые элементы обратимы). Сокра ТИМ на эти полиномы и домножим Pi на квадрат нын корень из константы. Получим равенство 2 1 QAQ 1 йхе 1 WiX (6.9.1) Кроме того, полином 3 2 квадрат некоторого полинома, следовательно, и g2 — квадрат некоторого полинома. Полиномы в правой части равенства (6.9.1) попарно взаимно просты, поэтому каждый из — полный квадрат. Значит, четыре полинома них Сь & 1 QbQ 1 XQ2, попарно различных и вза имно простых, являются полными квадратами (попарное различие следует из того, что X ?^ О, Покажем, что такое невозможно. Рассмотрим линейную комбинацию вида aQi + bQ2, где Таким образом, рациональная (то есть с ис пользованием алгебраических метризация функций) пара для можна. Однако эллиптической кривой невоз существует параметризация с использованием неалгебраических аналитиче ских (так называемых эллиптических) функций. 6.10. Параметризация эллиптической кривой с помощью эллиптических функций 6.10.1. Эллиптические функции Функция/над С называется двоякопериодиче скощ если существуют комплексные числа coi и С02 такие, что COj/cO 2 ^ DR , и для любых т. п е имеет место равенствоy(z + mcoi + ИСО2) "^Л^)- Будем считать, что поворот от coi к СО2 происходит по часовой стрелке. Назовем решеткой ранга 2: L "= Zcoi + ZCO2. Двоякопериодическая свободный модуль функция. все особые точки которой являются полюсами, называется эллиптической. В окрестности полюса а эллип- а,Ь^К , и предположим, что существуют четыре тическая функция/допускает разложение полинома, квадраты которых попарно различны и представимы в виде указанной комбинащ1и. Два из этих квадратов обозначим R и R ■? 2. Так как Л и Л^) Co(z г + ci(z г+\ + ? где Со ?^ О, г е 7 взаимно просты, то два оставшихся квадрата можно представить как 3 а,Я 2 hRl и силу периодичности эллиптическая функ- Щ1Я полностью определяется своими значениями в области {a)C0i + a2C02 | 0<ai, а2<1}, которая называется фундаментальным параллелограм мои решетки П=^С/Х (рис. 6.8). Противополож ные стороны параллелограмма П в силу перио (отметим, что это линейная комбинация с коэф- дичности по coj и со? отождествляются («склей 2 4 а^К 2 2 o^Rn . Поскольку R 1 и Ri взаимно про сты, то и J^^R 1 + тоже взаимно просты фициентами из 7^ ). Но их произведение является полным квадратом ( -Rq ^ 4 ). Значит, каждый из л/^/г 1 + Kr 2 тоже является полным квадратом. Такие же рассуждения можно провести и для 7?з, i?45 выразив через них R\ и R^. Получим, что R\ и тоже являются полными квадратами. Таким ваются»), поэтому он эквивалентен тору. Сложение комплексных чисел можно выполнять по модулю решетки Z. При этом комплексная плоскость разбивается параллельными прямыми на параллелограммы. Комплексные числа образом, в линейной комбинации cR\ + dRi оказалось четыре полных квадрата, но степень Ri в два раза меньше, чем степень Qy. Такое рассуждение молшо проводить неограниченно долго, однако складываются как векторы комплексной плоскости; затем все параллелограммы отождествляются. Образом суммы по модулю решетки является точка параллелограмма, соответствующая ука заннои сумме векторов. ^- степень полиномов I конечна, следовательно, на некотором шаге получим, что Rt не может являть ся квадратом. Противоречие доказывает теорему. COi Аналогичное утверждение имеет место и для эллиптических кривых, заданных над полем характеристики 2. COi + СО2 V ^\ Л ^Тш ^\*-Л. Ж^ _4V Рис 6,8, Фундаментальный параллелограмм
Ill Теорема 6.10.1. Эллиптическая функция, не имеющая полюсов, постоянна. Доказательство. Предположим, что эллиптическая функция Д2) не имеет полюсов. Функция \f{z)\ непрерывна на С и поэтому ограничена на C/Z и — в силу двоякой периодичности — на всей комплексной плоскости С. По теореме Лиу- вилля всюду ограниченная функция постоянна. а значит, вычет функции f в точке а равен г Поэтому V/;- 0. Докажем равенство га -mcOj + n(i^2 • По ложим я(^) Z Тогда g(z) oKz 1 + ^ Все особые точки эллиптической функции яв а значит, вычет функции g(z) в точке а равен аг. ляются изолированными. Поэтому фундамен Теперь вычислим интеграл тальныи параллелограмм содержит лишь конеч ^g{z)dz Получаем ап ное число особых точек. Следовательно, его для противоположных сторон параллелограмма: можно сдвинуть на комплексной плоскости так, что на его сторонах не будет особых точек. Будем считать, что на сторонах фундаментального параллелограмма нет особых точек. Пусть J{z) — эллиптическая функция, П — a+G) 1 f (z)dz а+И1+И2 а /(^) f (z)dz a+(i)2 /(^) ее ан-G) 1 фундаментальный параллелограмм с вершинами а, а + coi, а + со?, а + coi + С02 и дП — его грани- f (z)dz а+И] а /(^) «2)/ Г (z)dz а f{z) ца. Тогда Sf{z)dz а+и О. Действительно, в силу 1 со ап 2 периодичности функции / интегралы по противоположным сторонам параллелограмма уничтожаются . Из этого утверждения можно получить информацию о нулях и полюсах эллиптической функции. Напомним, что вычетом res {g) в точ- а «2 1" ПЦ .|а+И1 а Поскольку Да) -Да + coi), то при изменении z от а до а + coi логарифм может измениться лишь на Inki. результате получаем, что одна пара сторон дает вклад ??С02, а другая тсди где ке Z а аналитической коэффициент при Лорана. функции g{z) т. п называется э Z. Поэтому г. а / / O(modZ) в ее разложении в ряд Согласно теореме 6.10.1 непостоянная эллиптическая функция имеет хотя бы один полюс в Теорема 6.10.2. Справедливы следующие ут- фундаментальном параллелограмме. Число верждения. по люсов эллиптической функции, лежаш.их внутри 1. Сумма вычетов точек эллиптической функ- фундаментального параллелограмма, с учетом их ции, расположенных внутри фундаментального кратности называется порядком эллиптической параллелограмма, равна 0. функции. Минимальный возможный порядок ра 2. Пусть Qi— нули и полюсы эллиптической вен 2.^^ функции, расположенные внутри фундаменталь Для эллиптической функции сумма порядков ного параллелограмма, / / их поряд1си (поло- нулей, лежаш;их внутри фундаментального па жительные для нулей, отрицательные для полю сов). Тогда / / и г. а. / I тщ + по^2 э тае т э П целые числа. Доказательство cdz г + ci(z г^-1 [4] + Если функция J{z) не имеет на границе дП особых точек, то У resC/) п 27Г/ J раллелограмма, равна сумме порядков полюсов, то есть порядку функции. Поскольку при замене /(z) на_Д^)-с полюсы сохраняются, то эллиптическая функция порядка г имеет г нулей и принимает любое значение ровно г раз. Сумма, разность и произведение двух эллиптических функций с одинаковыми периодами снова дают эллиптическую функцию с такими же периодами. Кроме того, функция, обратная к эллиптической, таюке является эллиптической. Заметим, что если /— эллиптическая функ- Поэтому множество эллиптических функций с ция, то/' и t тоже эллиптические функции. одинаковыми периодами является полем. -jr --h. Кроме того. t 10 (z) r(z-'a) ^ -\-щ -\-a'y(z-a)-\- Так как сумма вычетов в особых точках внутри ..., параллелограмма равна О, то функция не может там иметь единственный полюс кратности
112 6.10.2. Функция Вейерштрасса фундаментального параллелограмма внутри него будет расположена только одна точка решетки. Поскольку эллиптическая функция имеет бес- Поэтому сумма полюсов функции р сравнима с конечное число нулей на комплексной плоскости нулем по модулю решетки. Согласно теореме С, она не может быть алгебраической. Для любой решетки L эллиптической будет функция 6.10.2 функция р имеет в фундаментальном па раллелограмме два нуля: w и v, причем w + v Р(^) Z 2 + oeZ.\{0 t / со) 2 1 1 СО 2 э (6.10.1) (modZ). Для любой комплексной константы с полюсы функции p^z)" с совпадают с полюсами функции p{z). Поэтому внутри фундамен где суммирование ведется по всем ненулевым элементам со решетки Z. тального параллелограмма есть ровно две точки и и v, для которых р{и) P(v) с, причем W + V Покажем, что все особые точки функции (mod L\ Если при некотором с будет выполнять (6.10.1) являются полюсами. На любом компакт- ся сравнение и = ~и (modi), то точки и и ном множестве/^ не содержаш;ем точек решетки, фундаментальном параллелограмме будут и в сов этот ряд сходится равномерно и абсолютно, так как 2zco Z 2 со) 2 СО 2 co^(z со) 2 При больших значениях со модуль правой части равенства (6.10.2) ограничен величиной CIco 3 Ряд со 3 сходится йе/.\{0 t / 00 00 оэ 3 ПЩ +тОЭ2 3 < у Ш{кИ) 3 э ие/.\{0) к=\ iTiax(|mj,|«|)=A: к=\ где наименьшая из высот фундаментального параллелограмма. Таким образом, функция p{z) имеет полюсы в точках решетки. Она называется функцией Вейерштрасса. Покажем, что функция Вейерштрасса периодична. Рассмотрим для этого ее производную падать, то есть функция р принимает соответст вуюш,ее значение двукратно. В этих точках ели (6.10.2) ваются два нуля функции p{z) - с, поэтому про изводная р Xz) обращается в фундаментальном параллелограмме можно выбрать ровно четыре точки таких, что и^-и (mod Z), а именно О, со 1 СО2/2 (cOj +С02)/2. Первая из них по люс функции р, остальные — нули функции р' Итак, значения е \ p(c0i/2),e2 =p((cOi +С02)/2),ез - ^(со2/2) двукратны для функции р, и других двукратных значении нет. этих точках, то есть при Z coj /2, (coi + С02)/2,С0 2 (mod Z), производная (z) равна О. Функция Вейерштрасса позволяет описать, как устроены все эллиптические функции. р'(^) 2l( Z со) 3 Очевидно, что сдвиг в сумме на любое число периодов по направлениям coi и С02 не меняет значения производной, то есть она двоякоперио- дическая с периодами coi и СО2. Поэтому функции p{z) и p{z + СО/) могут отличаться лишь на константу с. Подставив значение z ство p(z)~ p(z-^ СО/) + с, получим со / в равен р(со, /2) Р( СО//2) + с. Теорема 6.10.3. Пусть fiz) произвольная эллиптическая функция и p(z)— функция Вей ерштрасса с теми же периодами. Тогда суш.ест вуют рациональные функции i?i, R2 такие, что 1 (p) + i?2(p)p'. Доказательство см. в работе [4] Таким образом, множество эллиптических функций с данным периодом может быть получено алгебраически из двух «элементарных» эллиптических функций — функции Вейерштрасса Но функция p(z) по определению четная. Поэтому с =^ О, то есть фушодия Вейерштрасса имеет два периода: coi и С02. Кратность полюсов функции p(z) равна и ее производной. Рассмотрим четную эллиптическую функцию t 2 (zy. Она имеет двукратные нули при Z cOi /2, СО2 /2, (cOj + СО2 )/2 и J , ^2л^ " шестикратный по Других особых точек у нее нет. При смещении люс в точке решетки. Следовательно 9 И Компактным называется множество, любая бесконечная последовательность точек которого со держит подпоследовательность, сходяздуюся к неко торой точке этого множества. f (^) 2 c{p{z) ~ exXp{z) - e2)ipiz) ез). Поскольку р(^) z-^ + - - -5 f (^) 2z 3 + .. •5 ТО С ^^ ■^^ "^ t - -1 Z. шг ^ к
113 Если раскрыть скобки и приравнять соответ Сложение точек плоскости для аргументов ствующие коэффициенты в ряде Лорана, то по- (как комплексных чисел) эллиптической функции можно заменить сложением точек тора (как лучим уравнение: f (^) 2 3 4р {z)~g2p{z) g3 9 10.3) где gi ~-4(е.е \^2 -г влв-! +^2^3/э 8ъ 4^1 ^2 ^3 • (6.10.4) Легко проверить, что 3 Si 27я 2 3 Ще 2 1 е. у {е 1 е 3 2 2 е 3 2 Поскольку все числа ^/ попарно различны, то Для любой пары чисел g2 и g^ существует решетка такая, что g2, g3 выражаются формулами (6.10.4). -к *■ 6.10.3. Параметризация эллиптической кривой над полем С комплексных чисел по модулю решет1си). Это сложение индуцирует сложение точек кубики (геометрическое сложение с помощью касательных и секущих), когда в качестве нуля используется бесконечно удаленная точка (О э 9 0). Действительно, пусть ь 2 — точки кубики, которые соответствуют точкам zi, Z2 решетки, то есть I (р fe) э f (z/)). Проведем через них пря мую у— ах-^ by которая соответствует уравнению f (^) айэ(2) на комплексной плоскости. Эллиптическая функция имеет полюс кратности t (^) айэ(2) в точке Z 9 других полюсов в фундаментальном параллелограмме нее нет. Следовательно, порядок этой функции равен 3, то есть она имеет в фундаментальном параллелограмме ровно три нуля. Это знакомые нам zi и Z2, а также еще один нуль z^. Поскольку сумма полюсов эллиптической функции равна и, следовательно э сумма нулей равна О, то Дифференциальное уравнение для функции ud(z) похоже на уравнение эллиптической кривой 2 В 3 4х 10.3) форме gix Вейерштрасса. Поэтому 1<убику g3 9 соответствующую уравнению 9 МОЖНО параметризовать с помощью функции Вейерштрасса, положив э В 2 t Х- piz) (z). Переходя к проективным координатам (С), получим отображение проективной пря мои 4Х 3 (С) g2XZ в 2 эллиптическую gsZ 3 кривую э где Z (р(^) э г (^) э при Z ?^ О и Z э э при Z Очевидно, что это отображение аналитично всюду за исключе нием точек решетки. Поделив координаты на t (z), получим отображение zi + Z2 + Z3 ^ О (mod L) э ТО есть ^3 ^1 Z2 (mod L\ Итак, Р]Р2 с кубикой будет точка третьей точкой пересечения прямой t 3 (р (-^1 ^2) э f ^1 ^2)) (p(Zi+Z2) Э f (zi + Z2)). Таким образом, точка 3 э соответствующая сумме точек 1 и 2 9 симметрична точке t 3 от носительно оси Ох (рис. 6.9). Z Э Э р'(^) э которое аналитично и в окрестности точки ре шетки. Кроме того, оно взаимно однозначно ото бражает тор C/Z в эллиптичес1сую кривую Y Z 4Т 2 giXZ g?>z на проективной плоскости (С). Действительно, на бесконечно удаленной кубики. прямой лежргг лишь точка нее отображаются точки решетки, которым соответствует одна точка на фундаментальном параллелограмме. Для остальных точек можно рассмотреть аффинную кривую у AJ? gix g3 и отображение Z (р(^) Э f ш- Уравнение Р(^) с может иметь одно или два решения. Два решения возможны э если сфО э то есть когда t (z) Ф 0. Решения в этом случае имеют вид ±z Их образы при отображении не совпадают э так как ненулевые числа личаются знаком. t (^) И f f (z) от ■ г X г ч, » ^.» ■' Рис. 6.9. Сложение точек эллиптической кривой окрестности бесконечно удаленной точки справедливо неравенство F?^ О, поэтому можно задать закон сложения в аффинных координа- X тах э (рис. 6.10) J^
114 Рис. 6.10. Сложение точек эллиптической кривой в окрестности точки Р 00 Параметризация эллиптической кривой эл липтическими функциями (6.10.3) позволяет установить связь между сложением элементов в C/Z и сложением точек кривой. На аддитивной группе комплексных чисел можно задать эндоморфизм, определяемый умножением на комплексную константу. Этот эндоморфизм индуцирует гомоморфизм решеток. При этом диаграмма гомоморфизмов на рисунке 6.11 является коммутативной. Здесь а— умножение на комплексное число а. % комплекс но-аналитический гомоморфизм решеток [13], вертикальные стрел1си задают редукцию по мо дулю решетки. Каждому эндоморфизму а соот а ветствует некоторый гомоморфизм % и наоборот. Два комплексных тора C/Z и С/М изоморф- и только тогда^ когда L - аМ для ны тогда а G С . а > 1728g 3 2 3 gl 21g 2 3 (6.10.5) Решетка периодов эллиптических функций допускает преобразование путем обратимой над замены переменных coi' -^ acoi + йсог, <^2 < < сщ +асо25 при которой поворт^ от coi f к С02 f выполняется по часовой стрелке. Такая замена эквивалентна умножению вектора периодов на матрицу из SL2(Z). Можно получить со? f э со f 1 f 2 X и рассматривать j =j(x) как функцию одной комплексной переменной х. Функция j(x) може!^ быть разложена в ряд Фу [11]. Логарифмиче е 2кп рье, если положть екая производная равенства 8Ш7ГХ X Л П) 1 + X л п) дает COSTTX 71 + 8Ш7ГХ X + Л X п х + п) (6.10.6) с учетом е +е COSTTX , 8Ш7ГХ тх —iizz е ~е 2г э получим COSTTX 71 .^ + 1 ш-— 2пг 00 71/+ S1117ГХ ni-^-Yq / / 1 (6.10.7) Соотношения (6.10.6), (6.10.7) позволяют вы разить g2, g3 как функции переменной а: gi (27Г) 4 12 I + 240Т о2 in)q" \, (6.10.8) « 1 C/L > С/М Рис. 6.11. Коммутативная диаграмма гомоморфизмов решеток Изоморфизм комплексных торов индуцируе!^ изоморфизм соответствующих эллиптических кривых Необходимое изоморфизма торов 2 э ческих кривых 4х 3 и достаточное условие следовательно, эллипти- g2X g3 и г2 4х гЗ t^j g2^ g3) задается равенством [13]: 3 g2 g2 гЗ 3 g2 27g 2 3 гЗ g2 27g t2 3 Э ft (271) 6 72 00 504Уоз(й)? У} э (6.10.8') «=i где o.(n) I^ k (сумма берется по всем дели din телям d числа п, включая 1 и п), Подстжовка (6.10.8), (6.10.8') в (6.10.5) дает ряд с целыми коэффициентами: Kq) + 744 + 196844^ + Функция j(q) позволяет определить симметрические модулярные полиномы, используемые функция периодов coi, СО2- На практике при вычислении изогенных эллиптических кри- где вместо J используется функция вых(см. п. 6.15.4).
115 6.11. Дискриминант и/-инвариант Рассмотрим кубику в обобщенной форме Вейерштрасса (6.7.1) и свяжем с этой кривой на боры новых коэффициентов / 2, 4, 6, 8, и с. э э которые получаются при выделении полного квадрата от j и полного куба от х. После замены переменных У< а,х а 3 уравнение кривой примс!^ вид 3 2 Ах + Ьпх + 2ЬаХ + 6 э (6.11.1) где бики так, 41 о эта точка будет иметь координаты (0. 0). Тогда а 6 /(О Э Э э а 4 э э э а 3 ег э э Получаем уравнение кубики я^ э + aixv X 3 Со Тогда с 4 2 1 + 4а 2ч2 2 И А Докажем обратное утверждение. Пусть Выделяя полный квадрат от Уг получаем Q{x)\ при этом полином Q{x) имеет 1фатные корни. Выше было показано, что такая кубика является особой. 2 + 4а ам 2 -а, i ^^^2 5*^4 — ^*1^*з ' ^*^4э'^6 ~^*3 ' ~'^6 + 2а а 2 + Аа^. Определим Теорема 6.11.1 оказывается справедливой и для поля характеристики 2. aMiCA ^-Аа^а^ -^апП 2 1^*3^*4 2^*6 2^*3 2 причем АК =020.-М , Положим а 2 4э случае ненулевого дискриминанта опреде лен J-инвариант: j с 3 4 Для уравнения (6.11.2) 2 3 C4=*2-24*4. Сб=Й2 +36*2^4 "216*6. выполняс! ся равенство 12 3 с^ -е.. Поэтому в этом случае уравнение (6.11.1) примет вид X 3 27с4;с 54сй. 6 (6.11.2) Определим дискриминант кубики 2 3 020^-^0. 27Й.Ч 9*2*4*6 с 3 4 С 2 6 1728 Дискриминант кубики с точностью до константы совпадает с дискриминантом кубического полинома в правой части уравнения, задающего значению дискриминанта то есть по кубику, можно определить, является ли кубика особой. Теорема 6.11.1. Кубика, заданная в форме Вейерштрасса над полем, характеристика которого отлична от 2, является особой тогда и только тогда, когда ее дис1фиминант равен нулю. Доказательство. Перейдем к проективной форме кривой: 12 3 с 3 4 С 3 4 С 2 6 Нетрудно показать, что единственно возмож пая замена переменных, сохраняющая вид урав нения У< 3 11.2) э это 4 преооразование х <г- 2 и X 9 ^ у, С4<^и С4, Св<^и Сб. Если кривая задана уравнением (6.7.7), то ^^ ^ - -•- ^ 3 ЩАА'+ИВ 2 э 12 3 АА 3 АА^ +11В^ Если кривая задана в форме Лежандра, Дой- ринга или уравнением (6.7.3), то ее у-инвариант соответственно равен - "'- 8 2 Л + 1) 3 3^_ 3 2 2 э а (а 24) 3 а 3 27 9 8 2 Зй) 3 _F^ 2 2 4*) Я^. э 2 2 + а1.У72 + азГг 2 X 3 а^Х 2 a^YZ 2 aeZ 3 Производная полинома ДД э ПО э 1,0) равна 1, ТО есть точка со в точке неособая. Предположим, что на кривой существус!^ особая 6.12. Закон сложения точек эллиптической кривой -^-^ ;\??\.:-;-1 Сложению точек фундаментального паралле лограмма точка (хо, Vo)- С помощью замены переменных сложения точек эллиптической кривой в х< Х + Хп э У< V + Vo э сохраняющей значение дис1фиминанта, можно изменить уравнение ку соответствует геометрический закон форме Вейерштрасса, который может быть проиллюстрирован с помощью метода касательных и секу-
7/6 щих. в качестве нуля будем использовать беско Таким образом, для обобщенной формы Вей Секущая, проходя- ерштрасса (6.7.1) закон слосисения имеет нечно удаленную точку щая через бесконечно удаленную точку и дан- дующий вид еле ную точку кривой (6.7.1), является вертикальной прямой Пусть уравнение прямой (касательной или се кущей) имеет вид у -Ъс -^ v. Для секущей, про ходящей через различные точки Р\ = {х\^у{) и 2 (^2, y-i)^ получаем У2 У\ (6.12.1) X 2 X 1 Если Х\ Хп э ТО секущая является вертикаль ной прямой. По определению вер! икальные пря мые пересекаются между собой и с эллиптиче ской кривой в бесконечно удаленной точке. Если 1 2, то прямая представляет собой касательную. Для нахождения углового коэффи циента найдем полный дифференциал oi^ поли нома их э э задающего 1фивую в форме Вейер штрасса. Получим df{x,y) дх dx + 8У dy Угловой коэффициент касательной равен dy dx Имеем / X dx t у dy э dy dx t X t у Поэ10 му угловой коэффициент касательной и свобод ныи член равны, cooi ветственно э Бесконечно удаленная точка Ра, = (О, 1, 0) яв ляется нулем группы. Противоположной к точке (хо, Vo) являет ся 1очка Сложение i очек У^ aiXo 1 + Р 2 задается следующими аз). Ръ. где Р формулами / г. УХ Если 2 Ь тоР 3 Роо. В противном случае Хъ 2 + а{к <ь Хх Хп э Уъ (к + аЛхз V аз э где У2 э V Ухх, Уг^х X 2 X 1 X 2 X 1 при Pi Ф Р2 э 2 Зх, + lajX^ +а^ — а^у^ f" 2у. +а,х, +аз э X 3 V 1 + а.х, +2а 4-^1 6 а^Ух 2у. -i-ajX, -ьаз ■>■■» Рп, при Pi Если jc^+Xr + P кривая э ТО в задана формулах уравнением сложения координату можно вычислять по формуле ГЧх \ а.у 4уу. + а^х + аз э V 'кх 15 (6.12.2) где F(x) — кубический полином в правой части уравнения Вейерштрасса (6.7.1). Подставив уравнение прямой в уравнение кубической кривой, получим 1д^бическое уравнение 01 носительно х (кх + v) + а\х(кх + v) + аз(Ах + х^ + а2Х^ + алх + аб или 3 X +(а2 2 ка \ 2 + Это уравнение имеет три корня, соответствующих х-координатам трех точек пересечения кривой и прямой. Две координаты нам известны. Нужно найти третью. По теореме Виета сумма трех корней равна коэффициенту при х^ взятому с обратным знаком. Получаем Хз 2 + ка 1 а2 Xi Х2. случае xi = Х2 формула не меняется Коор динату Уз находим из уравнения прямой. Уз k(Xi Хз) У1 2 И В случае Pi = Р2 положить ЗхГ + А 2у 1 Рассмотрим умножение на 2 точки эллипти ческой кривой Л^) э заданной над полем К с характеристикой, отличной от (К не обяза тельно поле рациональных чисел). При таком отобрал^ении каждой точке кривой ставится в соответствие удвоенная точка. Это отображение является эндоморфизмом кривой как абелевой группы. Ядро эндоморфизма (множество точек порядка состоит из точки со И точек вида (х, 0), то есть для этих точек х является корнем полинома Дх). Поскольку эллиптическая кривая является кубикой, то Дх) может иметь не более трех корней. Следовательно, ядро эндоморфизма состоит не более чем из четырех точек, а над алгебраически замкнутым полем — ровно из четырех точек. По теореме о гомоморфизмах групп ядро гомоморфизма абелевых групп является абелевой группой, причем, как следует из закона сложе ния, группа точек порядка z состоит из четырех элементов и не является циклической. Если Дх)
117 d){x b)(x c\ TO из точки (a, 0) нельзя Пример 6-13.1. Группы конечного и бесконеч получить точку (й, 0) путем сложений самой с hoi о порядка на эллиптических кривых над Q. собой. При этом (а, 0) + (й, 0) (с,0) (с, 0), то 1. Эллиптическая кривая E(QX заданная урав есть группа точек порядка z порождается одной нением или из пар точек {(а, 0), (й, 0)}, {(а, 0), (с, 0)} {№, 0), (с, 0)}. Таким образом, фуппа кручения 2 + V XV X 3 Точка (1, 1) лежит на кривой. Тогда 2Р = (0,0), ЗР II4Р (О, 1), порядка 2 (ядро указанного эндоморфизма) изо 5Р (1, 1),6Р 00 . Значит, точка (1, образу морфна прямой сумме групп Z/2Z @ Z/2Z. Точки перегиба (и 10лько они) являются точками порядка 3- Как было показано выше, все точки порядка 3 попарно различны и над алгебраически замкнутым полем их ровно девять. Ум- ei^ циклическую группу порядка 6. нением Эллиптическая кривая E(QX заданная урав X + 17. Циклическая группа, образо ванная точкой I 2,3), имес!^ вид ножение точки на 3 является эндоморфизмом группы точек кривой над алгебраически замкнутым полем. Ядро этого эндоморфизма совпадает с множеством точек перегиба и изоморфно пря- 2Р 1 (8, 23), ЗР, 19 25 5 522 125 5 . Эта точка по мой сумме аддитивных групп Z/3Z @ Z/3Z. Таким же образом рассматривается умножение точки на произвольное целое число п. Можно показать, что если целое число п взаимно просто с характеристикой поля К^ то умножение на п является эндоморфизмом, ядро которого в случае сумме групп Ж® Ж. алгебраически замкнутого поля состоит из п то- рождает группу бесконечного порядка с рациональными координатами. На кривой существует точка ^2 = (2, 5), тоже образующая группу бесконечного порядка. Оказывается, любая точка данной эллиптической кривой может быть представ лена в виде тР] + пР2. Например, (4, 9) Группа точек 1фивой E((Q) изоморфна Pi Рп. прямой чек порядка п и изоморфно прямой сумме адди тивных групп Ж/пЖ ® Ж/пЖ. 6.13. Эллиптические кривые над числовыми полями Точки, имеющие конечный порядок на эллип тической кривой Е(К), заданной над бесконеч ным полем К, называются точками кручения Эти точки образуют группу кручения Tors Е(К). Группа кручения эллиптической кривой уст роена просто. криптографии и теории чисел кривые час1 о рассматриваю1ся над полем \ц рациональных чисел или над числовым полем. Кривая над полем может иметь конечное или бесконечное число точек. Для данной аффинной точки Р кривой над можно образовать цикличес1^ю группу вида Р, 2Р, ЗР,.... Эта группа также может быть конечна или бесконечна Если циклическая группа Теорема 6.13.1 (теорема Мазура). Группа кручения эллиптической кривой, заданной над полем Q, изоморфна одной из следующих групп: Ж/тЖ для т<10 или для гл 12, @ Ж/2тЖ для т < 4 -jye Доказательство см. в работе [16] Группу Tors£(Q) кривой (6.7.2) легко вычис разующеи бесконечна, то она полностью определяется об- лить, так как координаты точек кручения (х,у) и индексом (логарифмом) элемента являю! ся целочисленными и >* | А. группы, при Э1 ом сама образующая определена с Как и любая конечно порожденная абелева точностью до знака (группы, образованные точ- группа, группа точек эллиптической кривой Е(К) ками Р и -Р, совпадают). Такая группа изоморф- над числовым полем /<С допускает разложение на группе Ж целых чисел. Однако 10чка Р может быть кратным некшорой точки. Среди множест Е(К) гапк(Я(/0) е Tors Е(К). ^л.^< Лг ва всех точек / таких, что 5 miQi, существует точка Of с максимальной абсолютной величиной J индекса т.. Тогда циклическая группа, образо ванная точкой Р, является подгруппой индекса rrij группы, образованной точкой Qj, Эта rpjnna является наибольшей из циклических групп, содержащих точ1^ Р, и изоморфна группе Ж целых чисел. где гапк(Е(К)) —ранг кривой (число образующих циклических групп бесконечного порядка). Возникает вопрос: чему равен ранг кривой? Конечен он или бесконечен? Ответ на этот вопрос неочевиден. Например, особая кубика с двойным корнем, изоморфная мультипликатив- , имеет бесконечное число обра- множество образующих совпадает с множеством простых чисел). НОИ группе зующих *
118 Теорема 6.13.2 (теорема Морделла-Вейля). Е(К)/Е(К)^ которую будем использовать при Эллиптическая кривая над числовым полем ко- вычислении ранга. нечно порождена. Доказательство см. в работах [13, 21]. Теорема 6.13.3. Пусть G конечно порож Эту теорему сначала доказал Морделл для денная абелева группа без кручения и Н ее поля Q рациональных чисел, а затем Вейль рас- подгруппа. Ранги групп G и Н равны тогда и то есть на числовые поля. пространил ее на конечные расширения поля Q, только тогда, когда порядок любого элемента в факторгруппе G///конечен. Доказательство. Пусть ранги групп G и Н — множест- Обычно эллиптическая кривая E(Q) имеет ма или 3). Ранг равен нулю, если равны. (gu ...,&), (hu ., h лый ранг (О, кривая содержит лишь конечное число рацио нальных точек. Например, все точки эллиптиче- кая матрица М е SL;,(Z), что h = Mg. Матрица М ва образующих для G и Н. Тогда существует та ской кривой E(Q), заданной уравнением над может быгь приведена к диагональной 2 X + 1, образую!^ циклические группы конеч- форме М (т II где т„ Ф О, Ши = О для / ^j. Пусть ного порядка. Вопрос о том, существует ли эллиптическая кривая «самого большого» ранга, на т наименьшее общее крал ное чисел т II Лю бой элемент Cig] + ... + c„g и G, с. G 5 после сегодняшний день открыт. Ранг кривой Е(К) над числовым полем К может бьпъ вычислен, если справедлива гипотеза Берча и Свиннерлона-Дайера (см. п. 6.17). умножения на /и будет принадлежать группе Н. Обратно, пусть порядок любого элемента в факторгруппе G/H конечен и (gu 5 gn% Для числового ПОЛЯ к q[-Jd] на эллипти к (Ль ..., hi) — множества образующих для G и Предположим, что п> 1. Тогда существует ческой кривой Е{К): / = х+Лх + В, где Л, такая вырожденная над матрица М, Ч10 Mg. Матрица М над Z может бьпъ приведена 5 МОЖНО определить группу, порожденную К диагональной точками вида {x^y-JD), где х, j е Непосредственно из закона сложения следует, что удвоение или сложение таких точек дает точку указанного вида. Точка (х, jvD) лежит на форме М (т II где т,, Ф О 5 т и для 1ф]. Тогда порядок элемента rriin в факторгруппе GIH не может быть конечен. Противоречие доказывас!^ теорему. Каждая точка группы Е(К)/ Е(К) имеет ко эллиптической кривой Е(К) тогда и только тогда, нечный порядок [22]. Поэтому ранги групп Е(К) когда точка (х, v) лежит на эллиптической кри- и Е(К) равны и могут быть вычислены как сум- вой Ео((У): П}Г = х^-^Ах-\-Б, ма рангов эллиптических кривых над О. Если последовательно умножать какую-либо Определим группу Е(К)^ порожденную точ- ками с рациональными х-координатами. Посколь- ^^^^ р ^^^^^^ д^^^ ^ небольшими целыми ко- ку группа Ё(К) порождена точками кривых £(Q) ординатами на целые числа А: = 2, 3, ..., то длина и Ejj(Q\ и эти кривые не имеюг общих точек, кро- координат точек кР будет возрастать с ростом ме 005 можно записать Е(К) E(Q) е Ed{Q% rank( Е(К) ) = rank(£(Q)) + rmu(Eo(Q)). Аналогично для поля K = Q[уЩ, Jd^] мож Например, на эллиптической кривой существуei^ точка Р = (1, 2). Тогда х^ + 3 2Р 23 11 л 64 64 J ЪР 1873 130870 л 1521 59319 J Длина знаменателя х-координаты точ1си но определить группу Е{К), порожденную точками с рациональными х-координатами (группа, юР— 32 десятичных знака. Возрастание длины порожденная такими точками, не совпадает с числителя и знаменателя с ростом к подчиняется множеством этих точек). Имеет место изомор физм групп некоторым закономерностям. Определим (логар ифм ичес кую ) высоту Е(К) £(Q)@E^(Q)@£ (Q)@E DJJ г (Q)- точки h,: E(Q) эллиптической кривой как функцию 5 Точно так же для поля К = <0[у1ц,...,^ш^] имеет место изоморфизм групп X (Р) log(max( I р I, к I), если Р ?i Р^, Р^, ? еслиР Е(К) Поскольку Е(К) является нормальной под грлппой группы Е(К)^ определим факторгруппу (доказательс! ва можно найти в работе где/? и q—числитель и знаменатель несократимой дроби, представляющей х-координату точки Р. Приведем без доказательства ряд результатов в паботе [21]).
119 Пусть К— алгебраическое расширение поля Q. Пусть изоморфизм из £■ в £■' задается отобра Из теоремы Морделла-Вейля следует, что Е{К) жениями jd = (р\(х,уХ У = Ц^](х,у\ а изоморфизм из содержит лишь конечное число 1очек, выста которых меньше неко! орого заданного числа. Если PnQ— точки бесконечного пqзядкa на эллиптической кривой Е(К), то имеет место равенство Ев Тогда равенства отображениями х = Ф2(х\У% у = \\J2(x\y). X <Р2Шх,у%\\11{х,у)\ V2(9i(x,v),il/i(x,j)); hiP^Q) + hiP Q) 2hn>) + 2кШ) + 0{\\ ф1(ф2(л',У), Ых!,У)\У - Щ{<Ш,У\ Ых!,У)) то есть функция выст ы ведет себя почти как всюду определены на эллиптических кривых Е и квадратичная форма Е\ Определим для точек кривой ЕуК) канониче скую высоту h: Е{К) как Теорема 6.14-1- Эллиптические кривые изо КР) lim N Р) морфны над алгебраически замкнутым полем N Точки кручения и бесконечно удаленная точка имеют нулевую каноничес1^ю высоту. Для всех остальных точек каноническая выст а является ненулевым вещественным числом. Функция канонической высоты обладает свойствами тогда и только тогда, когда они имеют одинако вые у-инвариан! ы. Доказательство см. в работе [13]. h(P + Р) + h(P Q) 2h{P) + 2hiQ)] UmP) т 2 MP) (6.13.1) Понятие изоморфизма эллиптических кривых и изоморфизма абелевых групп точек этих кривых не совпадают. Например, изоморфизм групп точек кривых над конечными полями не означает изоморфизм кривых. Однако, если кривые изоморфны, то они, очевидно, изоморфны как группы. и является положительно определенной квадра тичной формой. ГК'сть точка бесконечного порядка и точка кручения. Обозначим Р,=Р + /О, тогда из фор 6-14-1- Изоморфизмы над полями характеристики, отличной от 2 и 3 мулы (6.13.1) следует, что h(P 1 ) + KR +1 2й(Р). Пусть эллиптические кривые Е и Е заданы над г2 полем Каноническая высо! а каждой i очки представляет собой среднее арифметическое высо!^ предыдущей и последующей точек. Последовательность ЛЕ) =j{E') К уравнениями х'+Лх + В и х' -^Л^х' +В' соо1ветственно и таковы, что э и ПуС1Ъ ©:£■ Е изоморфизм {Pi} циклическая, поэтому h{P + О) MP). Имеет место гомоморфизм абелевых групп ЕЮ) Е{¥, Тогда допустимая замена переменных, сохраняющая у-инвариант, и соответствующая замена коэффициентов уравнения имеют вид полученный редукцией по модулю [21]. Аналогичный гомоморфизм существует и для кривой Е{К)^ если поле К получено присое- {х\У) Ф(х, V) 4 {гГх^ 1?у\ Л' = и^А^ В' и is. 3 динением корней неприводимого над (j полино маДг) такого, что дО раскладывается на линей ные множители в поле Fp. где и G А . Заметим, что здесь 12 как характеристика поля отлична от смотрим 1ри возможных случая. 3 2^3^ Ф 0. так Рас э и 1. /V0, /V 12 . ото эквивалентно условию 6.14. Изоморфизмы и эндоморфизмы эллиптических кривых ЛВ Ф 0. Кривые и г изоморфны над К тогда и АВ' только тогда, когда А В и 2 . Изоморфизм Е Е Пусть Е{К) и Е{К)— эллиптические кривые, заданные уравнениями (6.7.1) с аффинными координатами {х^у) и (х\У) соответственно. Определим изоморфизм эллиптических кривых Еи Е как ото- бралсение, индуцируемое допустимой имеет место над любым расширением поля К, ЛВ' содержащим квадралныи корень из Л'В Если уравнения кривых совпадаю!, то есть Е\ то заменой не ременных и^х + г. 1 иу + su^x +1 (СМ- п. 6.2) и сохраняющее значениеу-инварианта. изоморфизм становится автоморфизмом и группа автоморфизмов содержит всего два элемента: 4 П Иногда изоморфизм эллиптических кривых определяют как взаимно обратные отображения, задаваемые полиномами из К[Е\ (соответственно из К{Е'\ см. п. 6-15-1). Эти определения совпадают- {1, Ф(р) 1}. (Для Е{К) справедливо ф(Р) или Р) Эти автоморфизмы представляют со бой группу квадратных корней из 2.; 12 я или. что то же самое. В Типич ный пример такой кривой: У X я X. Кривые Е и
120 E изоморфны над К тогда и i олько тогда, когда Используя выкладки п. 6.7 и учитывая равен » и 4 С1 ВО 3 . Изоморфизм г получим имеет место над любым расширением поля К^ содержащим ко 9 9 ls. = a2CiA ala^ а 3 4 г рень четвертой степени из Если Е\ то Кубическая кривая является неособой, если кубический полином g{x) в (6.14.2) и его произ- группа автоморфизмов состот^ из четырех эле ментов: {1, ■.г. г). где / 2 э представляю щих собой группу корней степени 4 из 1. Изомор физмы имеют вид (р(Р) = Р, (р(Р) = -Р, ф(Р) Ф(Р) /Л водная не имеют общих нулей. Поскольку А и дискриминант полинома g(x) совпадаю!^ с точностью до константы, то кривая неособая тогда и только тогда, когда А ?^ 0. -инвариант задается выражением гР. З.у = О или, что то же самое, А пример такой кривой: У = х^ + 1 Типичный Изоморфизм а 6 2 2 2 С/п С1л ala^ а 3 4 » Е имеет место тогда и только тогда, когда Рассмотрим изоморфизмы между неособыми и^. Поэтому кривые EvlE изоморфны над кривыми с одинаковыми у-инвариатами. Пусть Е задана уравнением (6.14.2) uE — уравнением расширением поля К^ содержащим корень шее В' той степени из Если Е\ то группа авто морфизмов совпадает с группой корней степени из со 5 СО. СО 2 СО 2 где + С0 + С0 2 Изоморфизмы имеют вид Ф(Р) л ^{Р) р. Ф(Р) соР, ф(Р) = -соР, ф(Р) = со^Р, ф(Р) СО^Р. каких же случаях данный элемент К является /-инвариантом некоторой эллиптиче ской кривой? Если АВ ?^ О и поле К алгебраиче ски замкнуто, то можно подобрать такую заме ну переменных, чтобы уравнение кривой при пяло вид 2 Ах 3 сх с. Тогда / 1728с 3 1728с с 3 27с 2 С 27 и с 27/ 1728 Поэтому /-инвариант эллиптической кривой вида 2 Ах 3 27/ 1728 X 27/ 1728 г 2 X ,3 2 + аз V^ + ^4^ + аб', (6.14.2') при этомуХЕ) ^j{E) и ф: £■-> Возможны два случая: / ?^ О иу Е изоморфизм 1728. 1. /V О или, что то же самое, а2 ?^ 0. Выделяя полный куб в уравнениях (6.14.2) и (6.14.2'), по лучаем ал ал f Тогда, так как НЕ) ЯЕ'\ справедливо а 3 2 а гЗ 2 а 6 а г и выполняются равенства 6 (^', У) ф(х, V) 2 3 2 (и X, и v), аг' = и а^-, ci^ г 6 где и ^ К . Изоморфизм Е над Л^ имеет ме а сто, если 2 И 2 (условие для аб, аб' выполняет а 2 ся автоматически). Поэтому кривые Е м Е изо морфны над любым расширением поля К, со держащим а квадратный корень из 2 Если а 2 £"', то группа автоморфизмов содеряшт два элемента: {!,-!} и совпадает с группой квадратных корней из гдаА 1728 или, что то же самое, aj а4. Изоморфизм задается условиями То равен параметру/ в этом уравнении {х\У) ф(х, у) 2 3 {их + г^и у\ 6.14.2. Изоморфизмы над полями характеристики 3 Пусть К поле характеристики то есть За для любого а е К. Согласно теореме 6.7.1 в этом случае уравнение эллиптической кривой может быть преобразовано к виду g(x) X + a2J^ + алх + а^ (6.14.2) где и 4 6 4 3 а4 — 1Га4^ ав —иа^ — и га^ — г , г Значит, изоморфизм имеет место. а f если 4 и 4 6 И и ав ав =Р -^ и га^- Поэтому Е а 4 и f изоморфны над любым расширением поля К^ в котором а f 4 является четвертой степенью и а 4 где существует решение кубического уравнения
121 oi^ г. Это условие выполняется всегда, когда ется неособой тогда и только тогда, когда щф^ степень расширения кратна сепарабельно. 12 и расширение тоестьА?^0. Если Рассмотрим изоморфизмы кривых с одинако- Е\ то группа автоморфизмов имеет выми /-инвариантами. Пусть и f вид так называемого полупрямого произведения групп A\xt{E) - (Ж/ЗЖ) х (Z/4Z), где циклическая группа порядка 4 действует на группе порядка (так как г зависит от и). Если у отлично от О и 1728, то для алгебраически замкнутого поля К можно зада! ь кривую в обобщенной форме Вейерштрасса так, что данный элемент/ е К будет ее/-инвариантом. Урав или /+XF jp + Св. в обоих случаях/-инвариант пение кривой может иметь вид равен а I 6 6Л4.3. Изоморфизмы над полями характеристики 2 Пусть К — поле характеристики 2 и эллипти ческая кривая задана уравнением + а]ху + Сзу + а2Х + алх + аб Используя преобразования уравнения Вейер штрасса из п. 6.7 с учетом равенства полу одинаковыми у-инвариантами и между ними. — кривые с изоморфизм 1. /V О или, что то же самое, С] ф 0. Рассмат ривая соответствующее уравнение кривой в нор мальной форме, получим (^',У) ф(л:, V) (Х, у + SX), йо f 2 а2 + S +5, ав f аб. имеет место тогда где S е К. Изоморфизм и только тогда, когда разность а2 - cij имеет вид S + S. Поэтому кривые Е и Е изоморфны над любым расширением поля К, в котором разрешимо квадратн ое уравнен ие oi н осительно S 2 1 S +5 а? f аэ. Если Е\ то Aut(E) ih Это значит, что автоморфизмом является ото бражение (х, у) ~> (х, у) или (х, у) ~> (х, х + у), то есть ф(Р) = Р или ф(Р) Р. 2J или, что то же самое, ai Использу ем нормальную форму для этого типа кривой. Получаем условие изоморфизма между двумя кривыми £ и £': (^,/) ф(х, у) 3 2 (и~х + л^, i/y + ли X + о чим а 12 1 /А. В частности, aj - О тогда и только и для коэффициентов тогда, когда / 1728. аз f 3 и аз. Са f 4 3 4 и Qa + u лаз + л , Рассмотрим, когда кубика над К является не особой при нулевом и ненулевом/-инварианте. 1./V О или, что то же самое, а\Ф^. Тогда по еле замены переменных х <г- X + с левая час1 ь уравнения кривой примет вид у + aix^ + {<^\с + аз)^. Поскольку а\ ф О, можно считать aiC + аз Линейной заменой переменных можно получить ал Via А О, тогда y+xv х^ + а2л + ал. этом случае а 6 1/7 . Частные произ водные /'jc = V + X и / г J' X равны нулю тогда и только тогда, когда точка х вой, то есть ав О лежит на кри Поэтому кривая является неособой тогда и только тогда, когда дискриминант отличен от нуля. 2./ ИЛИ, что то же самое, а\ Выделяя полный куб, получим нормальную форму кривой ав f и 6 а^-^ и s'a^ + и (s + t)a^ + г. где л, t ^ К. Изоморфизм гда и только тогда, когда f имеет место то- а f 3 , где и е г 5 а 3 б) уравнение четвер! ой степени от s 4 3 4 S -г и лаз + W а4 + а4 имеет решение в К', в) квадратное уравнение от t: г + и аз/^ + (w а^ + и л а4 + w у аз + ав) имеет решение в К. Кривые изоморфны над любым расширением поля К^ в котором выполняются условия в). При f группа автоморфизмов кривой над полем К состоит из 24 элементов. + азУ 3 X + алх + ав. 6.14.4. Бирациональный изоморфизм кривых Тогда а 4 3 Частные производные f X 2 Пусть кривые Ci и Сг (не обязательно кубиче аз X + а4, J у = аз равны нулю в точке (х, у), если ские) над полем К задаются неприводимыми по X . Отсюда следует, что кривая явля- липомами fi(x^y) и й(г/, v) соответственно. Ра и а4
122 ционалъным отобраэюением кривой С] в кривую 2 называется пара рациональных функций стики, отличной от Теорема 6.14.2. Пусть К— поле характери . Кривая четвертой сте и Я(х, v), //(х, v), определенных на кривой 1 (то пени есть на множестве пар (^, У\ 4 ах + Ьх' -\-cj^ + dx + e бирационально на подробнее п. 6.15,2). 0), такая, что fiigix, у), h{x, у)) которых (см. о и .1 + Аи + В над К Кривые 1 и 2 называются бирационально изоморфна кривой v Доказательство. Если а = 0, то утверждение очевидно. Рассмотрим случай аФ^. Заменой изоморфными над К, если существуют рацио- переменных х<г- ха 1/2 ^у<-- уа 1/2 нальные над К отобралсения 1 2 И 2 Ci обратные друг другу. Эти отображения называются бирационалъным изоморфизмом. Они определены во всех точках кривых, кроме конечного их числа (поскольку знаменатель отображения является полиномом, он может обращаться в только на конечном числе точек кривой). Все рассмотренные выше замены перемен пых для кубических кривых являются поли номиальными (регулярными) отображениями и. следовательно, бирациональными изомор физмами. Таким образом, если две эллиптиче ские кривые изоморфны, то они и бирацио нально изоморфны, обратное, однако, невер но. Множество кривых. бирационально изо морфных эллиптической кривой Е. больше множества эллиптических изоморфных Е. строго кривых. пение со старшим коэффициентом а Ь/4, получаем уравнение у получаем урав- .Заменив X на JC X 4 9 вех" + + 8rfr + р другими с. е). Бирациональный изоморфизм задается парой функций V X 5 и с 2 2и с Обратное отображение задается парой рацио нальных функций X 2 и С X 2 5 V X Зс + d Покажем, что рассматриваемое 01обралсение переводит кривую степени 4 в кубическую кри вую. Действительно, подставим х 2и с вме сто у в уравнение кривой ^-т > Пример 6Л4Л. Бирациональные изомор физмы. 2 3 Особая кубика Ci. у =х +x 2 бирациональ но изоморфна конике Сг: v =и. Действительно, замена переменных в виде рациональных функции v< 5 и JC + задает шображение из X СЛ(0, 4 X 2(2и + сЬг + (2и + с) 2 4 X бсх^ + Sdx + е. значит. с)х 2 + 2dx 2 С 2 е + CU + в с. Тогда, решая квадратное уравнение относи 2 Обратная замена переменных тельно х, находим х< и l,v< v(u задает отображение из 2 В CiXO, 0). Отображения С\ 2 I И С 2 Со являются тождественными. х(и d± + и 3 2 С ил- ус 2 е){и Коника С: ху х + бирационально изо морфна прямой Z: u = v. Действительно, замена Отсюда получаем требуемое уравнение куби переменных в и < XV, V< х + виде рациональных задает отображение функций ческой кривой. Аналогично можно показать, что o6paiTioe отобралсение переводит кубическую Об ратная замена переменных х <г- V и кривую в кривую степени 4. У< V задает отображение Z\(l, С. Композиция двух рациональных отображений определена не всегда, поскольку рациональное Особая кубическая кривая, заданная над отобраясение является лишь частично опреде полем К уравнением в форме Вейерштрасса, би- ленным отображением. Если ф:С I 2 И рационально изоморфна проективной прямой '(Ю. Действительно, параметризация (х(Л, v(0) ш:С2 ПИЯ Сз, то областью определения отображе- является множество точек кривой Cj, на особой кубики всюду, кроме особой точки, явля- которых знаменатели функций, задающих ф, от- ется рациональным отображением проективной личны от нуля, областью определения отображения прямой в кубику. Поскольку парамстр / является множество точек кривой С2, на которых рациональной функцией от х и j, то отображение знаменатели функций, задающих ш, отличны от кубики в прямую тоже рационально (см п. 6.15.2). также нуля. При этом отображение \\f(^ может иметь пустую область определения. . . ., ,..,
123 6-14.5- Эндоморфизмы эллиптических кривых скую группу порядка п для кривой ЕЩ, (L:K) п. Эта группа действует на E(L) так же. Эллиптическую кривую можно рассматривать как группа Галуа, разбивая множество точек на не только как алгебраическую кривую с авто- циклы вида (Р, ф(Р), (р^{Р% ...,ф" (Р)). При со- морфизмами (см. пп. 6.14.2-6.14.4), но и как ад- ставном п циклы могут распадаться на кратные дитивную абелеву группу (модуль) с автомор- подциклы неединичной длины. физмами и эндоморфизмами, присущими моду Эллиптическая кривая Е/К^ заданная урав лю. Эндоморфизмы модуля образуют кольцо пением 2 .1 JC + Д С нулевым /-инвариантом об ладает эндоморфизмом вида vj;: (х, v) полем. В ыясним структуру этого 1 + где со End(£) (см. гл. 3). Оно имеет характеристику если кривая рассматривается над алгебраически замкнутым кольца. На эллиптической кривой Е{К) можно опреде лить отображение \\)2:Р^>2Р и вообще отобра- что это отображение для (сол:. У% Поскольку со 3 то \\f(x, у) E{L) для {L.K) Нетрудно заметить. Е{К) удовлетворяет жение ш„: Р пР для произвольного целого п. Тогда \\friP) + \\fAQ) = nP+nQ=n{P+Q) = x^lP+Q\ то есть \^Г1 является эндоморфизмом кривой (как характеристическому уравнению vj; 6 Поэтому не соответствует умножению модуля). Поскольку кривую мы не фиксировали, то кольцо эндоморфизмов эллиптической кривой Е{К) всегда содержит подкольцо Z. Если кольцо эндоморфизмов эллиптической кривой Е{К) удовлетворяет строгому включению End(£) ID Z, то говорят, что кривая обладает комплексным умноэ1сением. Комплексное умножение является важным инструментом, позволяющим повысить скорость криптографических эндоморфизм точки ни на какое целое число, однако соответствует умножению точки на комплексное число, равное примитивному корню степени из 5 ТО есть на 1 + лРЗ Кольцо эндоморфизмов этой кривой над алгебраически замкнутым полем изоморфно кольцу Z[£]. Если поле L конечно, то в нем существует элемент £. Отметим, что хотя алгоритмов без заметного снижения стойкости. Рассмотрим некоторые частные случаи ком- щественно различны: первый плексного умножения. выражения для с, и со похожи, эти элементы су- — элемент кольца Важным примером эндоморфизма в случае поля ненулевой характеристики р является эндо- пением у морфизм Фробеииуса ф, сопоставляющий каж- дадает эндоморфизмом вида \\f'.{x,y) дой точке (х, v) эллиптической кривой Е1К^ где К поле из п элементов, точку (Г, у Я эндоморфизмов, второй — элемент поля L. Эллиптическая кривая Е1К^ заданная урав- х^ — Ах^ с у-инвариантом j = 1728 об- X, iy\ Негде 7 5 \^{х, у) E(L) для (L:K) Пусть кривая Е/К задана уравнением в форме Вейерштрасса трудно заметить, что это отображение для алгебраического замыкания поля К удовлетворяет ^ + а]ху + сзу == х + а2Х + Сдх + а^ (6.14.3) характеристическому уравнению 4 Поэто му эндоморфизм vj; не соответствует умноже где Ci е Ки {х,у)е Е(К). Тогда точка (х^,у^) то же будет принадлежать этой кривой. Действи ПИЮ точки ни на какое целое число. Так как , то отображение соответствует умноже- 4 тельно, если возвести обе части уравнения нию точки на комплексное число, равное при (6.14.3) в степень д, то получим митивному корню степени из то есть на (yf + а, W+азУ = (x'f + азW + аЛ^ + ов'. I лРТ. Кольцо эндоморфизмов этой кривой я я над алгебраически замкнутым полем изоморфно Поскольку а, е К^ то а^ = а^, и точка (х^, у) лежит на кривой EIK. При этом точки с координатами из поля К остаются неподвиясными. Отображение Фробениуса является эндоморфизмом эллиптической кривой Е{К) и, следовательно, эндоморфизмом кривой E{L) для любого алгеб Поскольку кольцу Z[i]. Если поле L конечно, то в нем су ществует элемент i. Здесь также / и i имеют раз элемент поля личную природу: / — мент кольца эндоморфизмов. а I эле Приведем без доказательства ряд свойств раического расширения поля к. точки кривой Ет неподвижны, отображение кольца эндоморфизмов эллиптических кривых над алгебраически замкнутым полем. Теорема 6Л4,3, Кольцо эндоморфизмов эл Фробениуса для кривой Е{К) не может соответ ствовать умножению точки ни на какое целое число. Следовательно, рассмотренная кривая об- липтической кривой над полем С является цело ладает комплексным умножением. Эндоморфизм стным кольцом характеристики 0. Фробениуса образует по умножению цикличе Доказательство см. в работе [13].
124 Теорема 6Л4-4, Кольцо эндоморфизмов эл Приравняем правые части выражения (6.14.5) липтическои кривой над полем собой одно из трех колец: - кольцо Z: представляет и уравнения Q(V D); квадратичный порядок поля алгебру кватернионов. Кольцо End(£) коммутативно тогда и только или 2. тогда, когда имеет место случаи Доказательство см. в работе [21]. Теорема 6.14-5. Эндоморфизм Фробениуса удовлетворяет характеристическому уравнению Тг(ф) + а ? где Тг(ф) + N след эндоморфизма ф, N— число точек кривой £(F Доказательство см. в работе [13]. ч Эллиптическая кривая не может иметь два комплексных умножения на элементы различных мнимых квадратичных полей. Однако может существовать комплексное умножение на элементы различных квадратичных порядков одного и того же мнимого квадратичного поля. Например, эллиптическая кривая с / над расширенным конечным полем может иметь эндоморфизм Фробениуса и комплексное умножение на 1 + лРз 6.14.6. Изоморфизмы эллиптических кривых над алгебраически незамкнутым полем Будем классифицировать эллиптические кри вые 2 по числу корней правой части уравнения дх) в поле ¥р. Полином fix) может иметь три корня, один корень или не иметь корней в поле Fp. Если для эллиптической кривой, заданной в G Fp, то форме Лежандра (6.7.4), выполняется кубическая часть уравнения кривой имеет три раз л и хкорн ь¥р. Рассмотрим изоморфизмы эллиптических кривых, заданных в форме Лежандра. Над алгебраически замкнутым полем эта кривая имеет шесть изоморфизмов [13] при замене параметра А на параметр ц вида 5 5 (6.14.4) Эти изоморфизмы получаются путем замены 2 х(х 1)(х и). (6.14.6) Для этого пронумеруем сомножители в правых частях уравнений (6.14.5) и (6.14.6) слева направо. Равенство полиномов от х будет обеспечено в шести случаях, описываемых перестановками сомножителей: (1, 2, 3), (1, 3,2), (2, 1, 3), (2, 3, 1), (3, 1, 2), (3, 2, 1). Например, петель правой части уравнения (6.14.5) следняя запись означает, что первый сомножи- равен третьему сомножителю в правой части уравнения (6.14.6), второй сомножитель в (6.14.5) равен второму сомножителю в (6.14.6), третий сомножитель в (6.14.5) равен первому сомножителю в (6.14.6). Рассмотрим действие указанных перестановок в случае алгебраически незамкнутого поля. . Перестановка (1,2,3). Приравнивая соответствующие сомножители в (6.14.5) и (6.14.6), получаем V Тогда и 2 и ±1 5 А. Это тождественный изоморфизм. Перестановка (1,3,2). Приравнивая первые сомножители в (6.14.5) и (6.14.6), получаем V Приравнивая третий сомножитель в (6.14.5) и второй сомножитель в (6.14.6), т\о- л/А.. Прилучаем откуда и и равнивая оставшиеся сомножители, получаем V и 2 Ц. Перестановка (2, 1, 3). Приравнивая сомножи тел и, соответствующие этой перестановке в (6.14.5) и (6.14.6), получаем 2 и V, V и V 5 и 2 Ц. 4. Для (2,3, V и 5. Для(3, 1, 2): V 5 и Для (3, 2, V и Рассмотренные случаи задают изоморфные кривые тогда и только тогда, когда существуют квадратные корни в поле ¥р соответственно из А. Если какого-либо из кор переменных вида у<^иу, х<^и x-^v. Подстав- ней не существует, то соответствующее отобра- ляя новые переменные в (6.7.4), получим преоб- жение определяет скрученную кривую, которая разованное уравнение вида 2 X + V и 2 V х + 9 и JC + V характеризуется следующим свойством: если элемент поля Fp, отличный от О, 1, А, является и 2 (6.14.5) координатой JC исходной кривой, то он не являет ся координатой х скрученной кривой, и наобо
125 рот, если элемент поля не является координатой Квадратный корень из 1 существует всегда. X исходной кривой, то он является координатой х поэтому всегда существует тождественный изо- , морфизм. Остальные случаи требуют отдельного являются общими для исходной и скрученной рассмотрения в зависимости от того, существуют скрученной кривой. Координаты х, равные кривой. Из этого свойства вытекает, что если ис- ли квадратные корни из 1ДЛ А. + + L то ходная кривая имеет число точек скрученная кривая имеет число точек/? + Следовательно, рассматриваемые шесть ото- если бражений могут задавать либо изоморфизм, либо по модулю п. если/? = 3 (mod 4) Согласно квадратичному закону взаимности является квадратичным вычетом по модулю/?, (mod 4), и квадратичным невычетом отображение исходной кривой в скрученную (яв Условия изоморфизмов и отображений в ляющееся изоморфизмом кривых для любого скрученную кривую приведены в таблице 6.1. квадратичного расширения исходного поля). хС V -: - У "4 Таблица 6.1 Изоморфизмы и отображения в скрученную кривую для эллиптических кривых, заданных в форме Лежандра » » J 2 Таким образом, доказано следующее утвер- где полином g(x) -х + ох + й неприводим над Fp ждение. Теорема 6.14,6, Пусть р^ 2,3. Классификация изоморфизмов для кривых в форме Лежандра полностью определяется символами Лежандра f5i t h ^ 1? ■ Пусть эллиптическая кривая E(¥p) задана над полем F„ уравнением ^. - ^ ^ ^^ ш. -^- t ^>-^ ■_ ^ ^ ж Теорема 6.14.7. Пусть р ^ 2, и Справедливы следующие утверждения. . Всякая эллиптическая кривая с одним кор нем в правой части уравнения изоморфна над F^ одной из двух скрученных кривых _< I •У 2 2 1 )(х +йГ) (6.14.8) или к>^о^-за;^п-'-1=1 .**'Ч ^ \ 2 a)g{x). (6.14.7) Ер,,-.у 3 ' = (X - Вз)(х' + d') (6.14.8')
126 2. у-инвариант эллиптической кривой & есть ял 6 Gd' 2чЗ 2 а'ф'+d') 2 э где J / с/при В I ,d' ^ прир Рз. Для каждого (3 существуют в точности две ется изоморфизмом кривых. Утверждение ных, которая определена во всех точках исход ной кривой. Обратная замена переменных зада ется всюду определенными на (6.14.8) или на (6.14.8') функциями. Преобразование кривых (6.14.7) <^ (6.14.8) или (6.14.7) <^ (6.14.8') всюду определено и взаимно однозначно, то есть явля до изоморфные над Fp эллиптические кривые с j инвариантом т\ за исключением случая У(£р) 1728 (единственная кривая). 2 Доказательство. Полином g(jc) = х +ш: + й неприводим над И-^, однако над квадратичным расширением этого поля он раскладывается на линейные множители: g{x) х + а + а 2 а а 2 АЪ Замена переменных а X X приводит уравнение (6.14.7) к виду 2 а + 2а )(х 2 + D) ? (6.14.9) казано. Утверждение 2 доказывается непосредствен ным вычислением. Докажем утверждение Согласно работе [13], над полем р всякая эллиптическая кривая. в том числе и (где I или 3 изоморфна эллиптической кривой Ех в форме Ле жандра. Замена переменных X 2л/ d'x (24^} у. где d t d при Q], d' =d при Р = Рз, приводит к& с В + л/ d' 2J J' (6.14.10) где D а 2 Ab квадратичный невычет по модулю р. Очевидно, что Did вычетом по модулю р, следовательно, Djd жет являться либо вычетом, либо невычетом степени по модулю п. мо- и Если D d — вычет 4-й степени по модулю /?, то замена переменных X {Did) I 2 X ? {Did) 3 4 в уравнении (6Л4.9) даст кривую вида (6.14.8) с {а + 2а) а 2 АЬ Если D d — невычет 4-й степени по модулю 3 /?, то Djd будет вычетом 4-й степени по модулю/?, и обратно. Следовательно, кривые (6.14.8) и (6.14.8') являются скрученными. Замена переменных X {Did 3 I 2 X, {Did 3 3 4 в уравне НИИ (6.14.9) даст кривую вида (6.14.8') с 3 (а + 2а) 3 а 2 АЬ Таким образом, переход от кривой (6.14.7) к кривой (6.14.8) или (6.14.8') осуществляется с помощью обратимой линейной замены перемен- Значит, над полем р существует ровно значит, и шесть изоморфных кривых для для Eri). Покажем, что кривые вида (6.14.8) является квадратичным (6.14.8')) допускают изоморфизм вида , и других изоморфизмов в поле нет. Действительно, для каждого значения (6.14.4) с учетом (6.14.10) получаем р из X, тогда Y + / Р+л/ d' 2J Г 2л/ / э откуда у для Аналогично, Х:у ^ V^^ ^v^VJr^. для : Y 4d'P, 2 Q"+d' ? ДЛЯ Ad'Q 2 3J')V d' 2 + d' для 4J'B+(p 2 3d')yl d' 2 + d' ? ДЛЯ 4J'B+(B 2 Ъd')^j d' 2 + J' Поскольку -с/' в поле Fp является квадратич ным невычетом, то, очевидно, в этом поле воз можны только случаи у 2 2 При х(х" + d'\ ? ТО {р, есть для из утверждения кривой вида получаем т) 1728.
127 Пусть эллиптическая кривая ^CFp) задана над Если 2 (mods), то в поле F,, справедливо полем Fp уравнением то есть 3 X + ох + й. 2=^1- Если р= 1 (mods), то в (6.14.11) поле F„ существует три корня третьей степени из 3 где полином х + ох + й неприводим над F^. 2 единицы: 1, со, ш , где ш iW Теорема 6.14.8. Пусть /? ^ 2, и Замена 2 3 переменной X сох X 4-лх + Б дает 2 Справедливы следующие утверждения. 1. Всякая эллиптическая кривая с неразложи переменной х 2 В уравнении х" + ^сох + Б, а замена 3 со X дает у 2 3 2 X н-^ш'х + Б. Сле довательно, эти три кривые изоморфны. мой правой частью уравнения изоморфна над F р Теоремы 6.14.6-6.14.8 остаются справедли одной из двух скрученных кривых выми и для ЭЛЛиптич еских крив ых EIK, где 2 X 3 + ^lX + (6.14.12) К iT при этом р меняется на К^ символы Ле или жандра на квадратичные характеры поля К^ а л нап . Еа:.у'^^х'^-\-А^'± (6.14.12') 2./-инвариант эллиптической кривой Еа есть АЕ А 8 {ЪА) 3 АА 3 + 27Б 2 э Теорема 6.14.9. Кривые, принадлежащие объ единению множеств эллиптических кривых из теорем 6.14.6-6.14.8, остаются попарно неизоморфными и при переходе к расширенному полю простой степени расширения больше 3. твеВ xvpviA 1 .В dxmwA Аф Доказательство. Поскольку степень рас 3. Для каждого А над полем F„ существует единственная эллиптическая кривая А С ширения нечетна, кубический полином остается неприводимым в расширенном поле. Поэтому не инвариантом/(Е^), если/? (mod 3), и три изо морфных кривых (mod 3). с инвариантом j{Ej^^ если Доказательство. Если квадратичный существует замены переменных, переводящей кривую с одним корнем над простым полем в кривую с тремя корнями и обратно. Следовательно, эти кривые неизоморфны над расширен ным полем, далее если они имеют одинаковое вычет по модулю А то замена X 1 3 х,у 1 2 переменных число точек и изоморфны как абелевы группы. в уравнении (6.14.11) даст Поскольку степень расширения не кратна ? кривую вида (6.14.12) с 2 I ЬфО поскольку полином в правой части непри кубический полином остается неприводимым и аЬ ^^ (очевидно, что над расширенным полем. Следовательно, кри вые, неизоморфные над простым полем (случай водим). Если квадратичный невычет по модулю 5 ТО замена переменных X {bU-d)) 1 3 трех корней и случаи неразложимой правой час ти), остаются неизоморфными и над расширен ным полем. При этом в любом расширенном по X ? ле неприводимый полином или остается непри ibKd)) 1 2 В уравнении (6.14.11) даст кри водимым, или раскладывается на линейные мно жители, то есть изоморфизм кривой с одним вую вида (6.14.12') с d a{b/(~d)) 3. Утверждение 1 доказано. Утверждение 2 доказывается непосредствен ным вычислением. Докажем утверждение 3. Необходимым условием изоморфизма кривых является равенство их корнем и кривой с неразложимой правой частью возможен только тогда, когда степень расшире ния кратна 6, что в нашем случае исключено. Значит, рассмотренные эллиптические кривые действительно попарно неизоморфны над рас ширенными полями простых степеней расшире ния более 3. инвариантов ? то есть, если кривые А 2 3 X +^)Х + Б1 и 2 3 1 А 2 X +Л2Х + Б2 ИЗО морфны, то jXEa ) ^J(Ea )• Итак, пусть изоморфны две кривые вида (6.14.12) или (6.14.12^), то что На основании теорем 6.14.6-6.14.9 получаем, число неизоморфных (как алгебраические есть I 2 Д где или d. Тогда из кривые, но не как абелевы группы) эллиптиче ских кривых Е(К) Е/¥^ где К F „, асимптоти равенства/-инвариантов следует, что 3 I 3 2' ТО есть 2 Д^1. _^ чески равно 0(р/(\пр)) и не зависит от числа п. Аналогичные рассуждения справедливы и для эллиптической кривой Е(К) = Е/К; число неизо
128 морфных эллиптических кривых EIK асимптоти- deg(7V(a + by)) = 2deg(a), если deg(a) > deg(6) + 2; чески равно 0(/?" /(In р)). deg(N(a + by)) = 2deg(ft) + 3, если deg(a) < dcg(b) + Поэтому 6.15. Отображения алгебраических кривых и а е К . Группы обратимых эле ментов колец К[Е\ и Щх] совпадают. В этом про является аналогия кольца К[Е} с мнимым квадра тичным кольцом. данном разделе изучается связь между множеством точек алгебраической кривой и полем рациональных функций на этой кривой. Со- g:a + by^ deg{N(a + by)) Теорема 6.15.1. Кольцо К[Е\ евклидово. Доказательство, Покажем, deg(a^ что функция b^f) задает на 2 поставление точек алгебраических кривых и ра Щ.Щ структуру евклидова кольца (см. п. 3.7). циональных функций может быть полезным при Пусть а + йу, с + ф; е ЩЕ], и g(a + by) >g{c-^ dy). анализе криптографических алгоритмов с откры Запишем тым ключом. а-^ by (с + dy)(e + fry) + (г + sy) 6.15.1. Регулярные функции и отображения при этом g{a + by) "= g{c + dy) + g(e + hy), Доста точно показать, что можно выбрать полиномы е(х% Ых) так, что ф^-^ sy)<g{c-^ dy). Для этого Пусть С{К) — неприводимая аффинная алгеб раическая кривая, заданная идеалом 3(C). Функ покажем. что на каждом шаге деления g(r + sy) < g(a + by\ тогда, продолжая деление. цией на кривой С назовем отображение точек можно получить g{r + sy) < g(c + dy). Обозначим кривой (то есть пар (х,у) С(К)) в поле К (Яо, bo. Со, do, во, h о старшие коэффициенты по- Функция f\ С(К) -^ К называется регулярной, ее линомов а, Ь, с, d, е, h соответственно. Предположим, что оба значения g{a + by) и ли она индуцирована некоторым полиномом g{c + dy) четные. Тогда g{a + by) ~ 2deg(a), Fix, у) Щх, у\, то есть если ЯР) = F{P) в каждой g(c + dy) == 2deg(c) и значение g(e + hy) должно точке cm. Множество всех регулярных функций образует кольцо э совпадающее с кольцом ЩС]. Действительно, имеет место го моморфизм колец Щх, y^^R с ядром 3(C), при этом в соответствии с теоремой 3,5.2 имеет ме сто равенство К[С] К\х, V] 'SiC К) Рассмотрим некоторые свойства координатного кольца ЩЕ\ = {а{х) + Ь{х)у 1 а{х), Ь(х) е Щх]} эл липтическои кривой £:/ Лх). Кольцо ЩЕ] является целостным, поскольку jKIx, v] стное кольцо, а его идеал (у 2 Ах)) простои. Норма элемента а + Ьу кольца ЩЕ\ равна Ма + by) а 2 b'f Щх\, при этом норма произ ведения равна произведению норм. Функции а + by я а являются сопряженными Имеет место равенство (а + Ьу){с + dy) - (а + Ьу){с + dy) (чертой обозначен сопряженный элемент). Арифметика кольца ЩЕ\ аналогична арифметике кольца целых квадратичных чисел, вместо -^JD используется Л- Единственными обратимыми элементами кольца ЩЕ\ являются элементы группы К . Действительно, из равенства {а + Ьу){с + dy) = 1 и муль типлйкативности нормы следует 2 Г/еХ. Но 13 Предполагается, что спаг(л) ^ 2 и старший ко эффициент полинома дх) единичный. быть четным, то есть g{e + hy) = 2deg(e). Положим е о а о с о и degfe) deg(a) deg(c). Тогда g(r + sy) < g(a + by). Для перехода к следующей итерации алгоритма деления полагаем а-^ by a + by (с + dy)eox^'^^'^. Предположим, что значение g(a + by) четное, а значение ^c + dy) нечетное. Тогда значение g(e + hy) должно быть нечетным. то есть g{a + by) = 2deg(a), g{c + dy) = 2deg( J) + 3 g(e+ /?);) = 2deg(A) + 3. Из равенства g{a-^by) g((c + dy)(e + hy)) следует ao и d(^h C'O где цело- старший коэффициент в fix). Поэтому о ajd о и deg(/z) deg(a) deg(J) Получаем g(r-^sy) g{a + by). Для перехода к следуюш;ей итерации алгоритма деления полагаем а-^ by а + by (с + dy)hox'''^^\ Предположим, что значение g(a + by) нечетное. а значение g{c + dy) четное. Тогда значение Ые + hy) должно быть нечетным. то есть g(a-^by) 2deg;6) 4- 3, g(c + ф) = 2deg((^) И g(e + йу) 2deg(A) + 3. Из равенства g(a + by) = g((c + dy)^ x(e + hy)) следует 0 Coho^ Поэтому Qo/d 0 и deg(A) deg(a) dcg(d) Получаем g(r + sy) g(a + by). Для перехода к следующей итерации алгоритма деления полагаем а-^Ьу а + Ьу (с + dy)hoX^'^% Предположим, что оба значения g{a-^by) и g(c + dy) нечетные. Тогда g(e + hy) должно бьггь четным, то есть g(a + by) = 2deg(b) + 3, g{c + dy)
129 2deg((^ + 3 и g(e +/?v) = 2deg(e). Из равенства g(a + ty) = Щс + ф)(е + /?);)) следует S : этому бл bJd о и deg(e) deg(ft) о = Jo^o- По deg((^. Полу чаем g(r + .s);) < ^а + й>). Для перехода к следую- итерации алгоритма деления полагаем щей а-^Ьу а-\-Ьу (с + dy)eox^'^^'\ Доказательство остается справедливым для произвольной нечетной степени deg(/) > 5. Я1(Ф(ЛЬ(Ф(Р)) I Ф(Л)(Я2 ¥Л1 где g\,g2 е ^[^2], Р е Сь то есть координатные кольца гомоморфны. Аналогичное утверя^дение справедливо для произвольных аффинных алгебраических многообразий. Имеет место и обратное утверясдение: всякий гомоморфизм аффинных координатных Поэтому кольцо К[Е] обладает однозначным колец \\f:K[V2] K[VA алгебраических много разложением на простые множители, и каждый образий идеал в ЩЕ] является главным. 1 и 2 имеет вид * где торое регулярное отображение из 1 в 2 неко Дока Таким же образом можно определить коорди натное кольцо для алгебраического многообра зия Г, заданного простым идеалом 3(V/K): K[V] iV I *Л/1 «• • •« *Л/ л 3(V/K) Пусть алгебраические кривые С\(К), С2(К) за даны полиномами У5(х,з^),^(г/, v) соответственно. Регулярным отобрстсением' ^ алгебраических кривых С\ —> Сг назовем пару регулярных функ ции и F\ (х, у) ? V ^2(х, v) таких ? что если f\ {^г. у) О, то /2(Fi(x, у\ р2{х, у)) Композиция регулярных отображений также является регу лярным отображением. Пусть I 2 регулярное отображение кривых. Тогда каждой функции g: С2^> К соот ветствует функция 1 К такая, что h{C\) ^(ф(С|)). Если функция g регулярна, то функ ция h тоже регулярна. Определим отображение ф *: KIC2] K[Q] для координатных колец следующим образом * ЯСФССО) для всех К[С 2 Теорема 6.15.2. Регулярное отображение ал гебраических кривых зательство аналогично. Пусть (хр, у г) с/к алгебраическая кривая и точка на этой кривой. Рассмотрим , обра регулярные функции F{x, у) на кривой щающиеся в нуль в точке Р, то есть Fixp, ур) Сумма любых двух таких функций обращается в нуль в точке Р. Произведение такой функции на любой полином из jK1x,>] обращается в нуль в точке Р. Поэтому совокупность всех таких функ ций образует идеал т^ в кольце К[С]. Имеет место изоморфизм колец К[С] ш к. который вычисляется как значение функции из К[С] в точке Р. Поэтому ЩС] 9Л„ является полем. а идеал tn/> максимален по теореме 3.6.1. Обрат но, любой максимальный идеал Ш с К[С] соот ветствует некоторой точке Р с [9] t« Пример 6.15.1. Регулярные отображения. Пусть Е: х' + вая. Отображение ф(х ? эллиптическая кри- (х , ху) этой кривой в I 2 индуцирует гомо- другую кривую является регулярным. морфизм ф* координатных колец К[С 2 К[С. ]. 2. Пусть алгебраическая кривая над по- Доказательство. Ясно, что композиция полиномов представляет собой полином, поэтому при gsK[C2] является регулярным отобра- лем р' I ображение Фробениуса (х, v) (А / является регулярным отображением кривой себя. в Отображение аффинной прямой s = t в вы жением I к. следовательно. G К[С I рожденную кубику 2 3 , 2 5 задаваемое пара При этом ф)(соп81) = const. Тогда для суммы и метризацией 3 Lt 1 является регулярным произведения получаем Однако обратное отображение, задаваемое ((gi + gi) ШР) I + g2){i}{P)) функцией X , регулярным не является е1(ф(Р)) + е2(Ф(Р)) (igigi) ШР) - \ gi ЫР) gi ¥.Р\ (&Я2ХФ(Л) ^'-' -г л^ л -4' _- с в \Я- i ^ и Регулярное отображение называется также морфизмом. Регулярное I отображение алгебраических 2 называется изоморфизмом^ кривых если существует регулярное обратное отобра ф\|; — единичное отображение на Сг, а шф — единичное отобра жение ш: С2 —> Сь при этом жение на I Алгебраические кривые 1 и С2
J3€ называются в этом случае изоморфными. 15 Яс квадратичным расширением поля К(х) для любо но, что если кривых, то изоморфизм алгебраических го подполя К поля К. Регулярные функции на * изоморфизм соответствующих кривой С(К) имеют вид а(х, у) а(х) + Ь(х)у, аффинных координатных колец. Справедливо и где а(х), Ь(х) е К[х]. Это обусловлено тем обратное утверждение. Поэтому аффинные ко- каждый член полинома из АГ[х,з^] 1 zk с г \ г г\ 1 л э что МОЖНО запи ординатные кольца изоморфны тогда и только сать в виде у у'^^х), где е е 9 1}, И заменить у 2 тогда, когда изоморфны соответствующие ал- наДх). Аналогично можно показать, что элемент поля Б(х) К(С) имеет вид А(х) + В(х)у. где А(х1 К(х). Действительно, рациональная функ гебраические кривые. Алгебраической группой называется алгебраическое многообразие G, которое одновременно ция может быть записана в виде отношения ре является группой, причем выполнены следую- гулярных функций. Тогда щие условия: отображения ф: G —> G, (p(g) w-.GxG^G, \\}(gugi) = gigi для любых и g\ g2 e G являются регулярными отображениями. Таким образом, эллиптическая кривая является алгебраической группой. а + Ьу c + dy (а + Ьу)(с dy) с 2 2 ас bdf + (be ad)y с 2 2 А-^Ву 6.15.2. Рациональные функции и рациональные отображения Пусть аффинная алгебраическая кривая не приводима. то есть задана простым идеалом 3(C). Тогда координатное кольцо ^Г[С] является частных К{С), называемое полем рациональных фуикцш на алгебраической кривой С. По определению поля частных любую рациональную функцию Для функции а(х, v) а{х) + Ь{х)у K(Q МОЖНО определить норму умножением на сопря женную функцию: Ща) аа а 2 2 f е К(х), Щрс]. Из мультипликативности нормы и целостным, и для него можно построить поле д^ет с К при этом N(a^) = N(a)N(P). Для а е ЩС] имеем N(a)e нечетности степени полинома fix) следует, что группа обратимых элементов кольца К[С] совпа- Рациональная функция / е К(С) называется регулярной в точке если существует пред можно представить в виде 9 где AgeK[C], ставление f(P) g^O на С. Функции и G равны, если случае элемент JG Fg g(P) h(P) gin h(P) такое, что h(P) ^ 0. В этом поля К называется значе J(C). Аналогично определяется поле К(С). Это определение автоматически переносится нием. функции/в точке Р. Сумма и произведение функций из К(С), ре и на неприводимые алгебраические многообра- гулярных в точке э регулярны в Р. Совокуп и зия в и-мерном аффинном пространстве. Размер- ность всех функций из К{С), регулярных в точке ностъ неприводимого алгебраического многооб- Р, называется локальным кольцом точки разия V определяется Kajc степень трансцендент- обозначается Ор. ности поля К(У) над К. Алгебраические кри Рациональные функции F{x, у) е Ор э обра вые имеют размерность щающиеся в нуль в точке Р, образуют идеал Шр Пример 6.15.2. Рациональные функции на Гомоморфизм колец а f кривой Ш К задается вычис / С: у Поле К{С) рациональных функций на кривой 2 jy \ /^ -^ меньше fix), где/— полином нечетной степени не является квадратичным расширением поля К(х) рациональных функций одной пере лением значения функции из Ор в точке Р. По этому идеал Шр максимален по теореме 3.6.1 Очевидно, что все элементы ОЛШр являются об меннои за счет присоединения корня неприво димого над К(х) полинома 2 ратимыми. fix). Поскольку этот полином неприводим даже над алгебраиче ски замкнутым полем К, то поле К(С) является Нетрудно убедиться, что это определение изо морфизма является обобтцением изоморфизма эллип тических кривых из п. 6.14. Если точка Р неособая, то идеал Шр является главным. Он порожден элементом из Шр/Ш],, который определен с точностью до обратимого элемента кольца Ор [21]. 2 Например, х^ + ах^ + Ьх на эллиптической для (0,0) кривой функции
131 X 2 + 2 + v(x + l) x-\-y(x-\-\) x-\-3 ? x + 3 лежат в Op. при Проективная алгебраическая кривая С задается нулями полиномов из однородного идеала 3(C). этом первая функция является обратимым эле ментом кольца 0/>, а вторая функция лежит в ШТ, Проективная алгебраическая кривая С неприво Теорема 6.15.3. Если рациональная функция определена во всех точках алгебраической кривой С{К), то она регулярна. . ^ Доказательство см. в работе [9]. Пусть Сь бражение 2 алгебраические кривые. Ото- точке дима тогда и только тогда, когда ее однородный идеал 3(C) над алгебраически замкнутым полем является простым. Однородный полином/из К[Х, Y,Z] не явля ется функцией из С{К) в К, так как из условия (6.15.1) при любом ненулевом X е К следует, что значение полинома/должно быть одинаково для всех X, Однако нулевое значение полинома в проективной плоскости определено пра I 2 называется рациональным, вильно, так как из J{X, F, Z) „/Г „ . Л-.- jy^ -хг -s rr 'х r-wx _ 'xd/Txr тг "J^ , где deg(/) если оно задается набором рациональных функ- fiXX^ XY, \Z) = IffiX, F, Z) следуетДЯД AF, ?iZ) ЦИЙ/ g e K{Ci) таких, что если знаменатели этих Рациональной функцией на проективной кри называется частично определенное отобра и функций отличны от нуля, то/ g е Сг. вой Пусть I 2 рациональное отображе ние алгебраических кривых. Тогда каждой функ ции g:C2^>'K соответствует функция I К такая, что h(CA = g(^{C\)). Если функция g рацио нальна, то функция h тоже рациональна. Опреде лим отображение ф*: К(С2) -^ К(С]) полей функций следующим образом: ф* =^°ф = ^(ф(С|)) для всех ф:С, W-C g е К{С2) . Рациональное отображение С2, для которого обратное отображение 1 тоже рационально и ф\|; (V М>Ф с. является бирациональным изоморфизмом. жение /:С К, заданное соотношением ПР) g(p) КР) 1 где g.h K[X,r,Z] однород ные полиномы одной и той же степени d. h 3(0 еС. случае Ы,Р) Ф О частное КР) но определено, так как для ненулевого \ коррект g(U:,IF,?^Z) d g{X,Y,Z) g(X,Y,Z) -i. > d h(X,Y,Z) h{XJ,Z) .(6.15 Теорема 6.15.4. Алгебраические многообразия бирационально изоморфны тогда и только тогда, когда изоморфны их поля функций. Доказательство см. в работе [9]. ^^> ^ Кроме того. и I определяют одну и ту I же функцию на С тогда и только тогда, когда h\g hg I G J(C), так что множество рациональ Отображение полей функций * индуцирует и отображение К{С, К(С) этом случае поле к(а является конечным расширением поля /^(Сз) (см. работу [12]). Степень расшире ния {К(С,): ф отобраэ1сения * К(С 9 называется степенью Постоянное отображение С{К) к по определению имеет степень Отображение Фробениуса {х,у) р , v^ имеет степень [13]. Рациональное отображение [/], заключающееся в умножении точки на число 2 имеет степень /. - л ' -\* *.;;j^'|^-^-Xy,5t5^i; *v- - 6.15.3. Проективные кривые Пусть 2 {К) проективная плоскость. С уче том того, что (Z, F, Z) - (XX, AF, AZ) (6.15 ных функций является полем К{С) g.h K[X,Y,Zlh 0 3(C) с учетом эквивалентности (6.15.2). Пусть С— неприводимая проективная алгеб раическая кривая. По аналогии с аффинной кри вой рассмотрим локальное кольцо Ор / точки , состоящее из всех рациональных функ ЦИЙ / G K{X,Y,Z) , регулярных в точке Р. Един ственным максимальным идеалом кольца Ор яв ляется идеал Шп е Ор / АР) 0}, состоящий из всех необратимых элементов кольца Ор. При изучении некоторых свойств кривой иногда достаточно исследовать С в окрестности произвольной точки Р. Например, проективная эллиптическая кривая в форме Вейерштрасса fz X^+AXZ^ + BZ^ является объединением двух аффинных кривых о ■у 3 X +Ах + в 9 для ХеК , точка (X F, Z) может лежать в 2 (К), даже если ее координаты не лежат в поле К и Ел :z 3 2 1 X -\- Ax^z^ +Bz. 3
132 (где о получена в окрестности любой конечной переменной равна / + Размер коэффициентов точки (Z 9 а Е] в окрестности бесконечно модулярного полинома быстро растет с ростом удаленной точки (F= 1)), склеенных при помо- Модулярные полиномы для изогений степеней 2, щи изоморфизма и 5 имеют вид Г17]: Ео\(у Е, \(z, 0), i^^y) X 5 УУ Здесь X X X 5 ,Х 1 ,^ 1 6.15.4. Изогений эллиптических кривых Пусть Е\{К) и Ег^К) — эллиптические кривые. Рациональное отображение ф: Е\{К) —> EjiK) такое, что ф(Ро: назовем изогениеи, а кривые 1 и 2 изогенными Изогению переводящую все точки кривой в бесконечно удаленную точку 5 назовем нулевой. Изогений эллиптических кривых индуциру ются гомоморфизмом решеток C/Zi и C/Z 2 (см рис. 6.11). Например, решетка 1 ZQi + ZC02 гомоморфна решетке 2 Zx + Z, где т WCO 1 и со 2 п>\. Прип^ 1 решетки изоморфны. Ядром изогений Е 1 во точек кривой Е], отображающихся в Р 2 называется множест Изогения (р: Е}(К) ^> EjiK) как рациональное отображение индуцирует отображение полей функций на кривых Степень расширения (К(Е{):ц)'^К(Е2)) называется степенью изогений. Для изогений ф: Е\(К) дуальная изогения ^'.E^iK) Е2(К) • Е, (К) существует такая, что W [/], где умножение точки кривой Е] на число /. Аналогично ^^ умножение точ степень изогений. ки кривой Е2 на /, причем Дуальные изогений имеют одинаковые степени. случае алгебраически замкнутого поля one рация умножения точки на число / задает эндо из морфизм эллиптической кривой с ядром точек. Поскольку изогения соответствует «квад ратному корню» из операции умножения на ядро изогений состоит из / точек порядка /, обра зующих циклическую группу (одной из них яв ляется точка Ргг 2 2 Между (К) с эллиптическими инвариантами j] кривыми 1 (К) И И /2 соответственно изогения степени / существует тогда и только тогда, когда выполняется равенство Ф/(/ь/2) над К: где Ф/(г/, v) е Z[w, v] — /-й симмет Ф 2 ? 2 2 162000(г/" + vO + 40773375wv + 6 9 + 8748 • 10\и + v) ~ 157464 • 10^; Ф 3 ? 4.4 и +V t/v + 2232uV(u + v) 3 3 ]069956uv(u^ + v^) + 36864000(г/' + vO + 2 2 H- 2587918086г/у^ + 8900222976000г/у(г^ + v) + + 452984832 • 10V^ ' ^^ -——^—^ -6 + v) 770845966336-Ю^г/у^ + 1855425871872- 10 9 V). Ф 5 ? 5,5 и +v 4 4 4 4 г/V + 3720«^V(«^ H- v) 3 3^ 2 . 2л . 1^^^г»глг»^^.,^лл 3 3 4550940г^ V (w + v^ + 1665999364600г^ V + 2 2 3 3 + 2028551200г^ V (г^^ + v^ + 3 3 + 107878928185336800«^V(«^ + v) 4 4 246683410950г/у(г^" + v") н- 2 + 383083609779811215375Л^(г/^ + v^ 3 3 441206965512914835246100г^^у 4 4 5 5 246683410950г/у(г^" н- v") + 1963211489280(г^" + v^ + 3 3 н- 128541798906828816384000г^у(г^' + v^ -^ 2 2 + 26898488858380731577417728000г^у> + v) + 4 4 2 + 1284733132841424456253440(г^" н- v") 192457934618928299655108231168000«^v(«^' + + v^) + 5110941777552418083110765199360000г^У + + 280244777828439527804321565297868800(г^^ + \^) + + 36554736583949629295706472332656640000г/у х X (и Н- v) Н- + 6692500042627997708487149415015068467200 х 2 2 X (и^ + vO 264073457076620596259715790247978782949376г/у + + 53274330803424425450420160273356509151232000 х X (и v)H- н-141359947154721358697753474691071362751004672000 Уравнение Ф/(^,/') для нечетного / имеет в поле р один корень или / + корней при D О , имеет два корня при D и не име D ет корней при где/) дискриминант характеристического уравнения эндоморфизма Фробениуса л 2 7л+ £> 7t(x, V) Р ,л р + 1 - #£'(Fp) [15]. Из симметричности полинома Ф/(г/, v) следует, что для каждой изогений существует дуальная. Для простых / модулярные полиномы удовлетворяют сравнению: Фу(г/, V) / v)(v / и) (mod /). Модулярный полином неприводим над рический модулярный полином [И]. Число ела- 0i{u.j) может быть определен по методике работ гаемых в Ф/ равно 0{f\ степень Ф/ по каждой [3, И] спомощьюфункцииД?) (см. п. 6.10.3).
133 Пример 6.15.3. Изогении степеней 2 и 3. Пусть кривые Е] и Ej заданы уравнениями Изогения задается формулами #^-= ^ь V 9 Ео: V 2 и 3 л:"* + ах' + Ьх 2ai/ + id и х + ? t V о 5 + о *-■' 4f?)w. ОеТ? л: л: о ^о) 2 ir - Тогда можно построить изогении степени 2 ф:^ 1 V 25 2з^^о + .4^ ^; Q^R X Q J \;) 2 (w,v) 2 Ял- 2 ^ л: 9 л: 2 У 5 Кривая Е^К) задается коэффициентами t.. и -.--l^-r - -.'J^ Ч ^' 7, ? ^ ^^ * . " '*v^ ■ г- -■- - A^A-'^YJq^ ^1=^-7У(5^,+^^). ф:£^ (^^v) 2 'v^ уьг Е > к /? ОеУ^ ' а 2 4f>) Изогения степени /, отображающая кривую в 4г/ 2 ' Ъи 2 себя. соответствует комплексному умножению на элемент мнимого квадратичного порядка с Непосредственные вычисления показывают, нормой /, при этом модулярный полином Ф^и,]) имеет корень/. что ^^ соответствует удвоению точки на кривой *" _- £2, а фф — удвоению точки на кривой Е\. Точки (О, 0) и Ра: лежат в ядре изогении. Заменой пере- <— л: - а/3 кривую Е] можно привести к меннои X 6.15.5. Полиномы Жегалкина как функции на поверхности единичного куба X +Ах + В. виду/ Пусть 1 (^: У 3 х'+Ах + В, EjiK): V 2 и' + Кольцо полиномов Жегалкина РгГ^ь ...,л:«]/21 ? где 51 ЕЛК) (х\{\ @ Х\\ ...,л: п @х и можно рас аффинная точка сматривать как алгебро-геометрическую струк порядка 3 (точка перегиба). Изогения степени задается выражениями кольцо функций на некотором алгебраи туру — ческом многообразии Множество 2 и X (2х 2 нулей полинома Xi{Xi @ я X) + х(2А + 5д:;Л + 4В + 2Ах.^ ^r) 2х' 2 5 соответствует паре параллельных плоскостей в ^7-мерном аффинном простран- д: и X 2 V X (3xj, х(2А + 9х 2 R SB 6 Ах я X 3 R . ^r) 3 5 I 9А 2 ЗОд:/: В 1 27 В 70д: 3 R 42Axr. Ядро изогении содержит точки порядка (л:я, 3^7?), {xr, -yi^, Роэ, а также другие точки пере гиба. стве над F2. Множество нулей идеала 21 представляет собой совокупность плоскостей, ограничивающих поверхность ^г-мерного единичного куба. Перейдем от аффинных координат к проективным. Выберем проективные координаты так, чтобы все полиномы были однородными. Для этого положим XiZ, X,. Тогда при Z, ;t О выпол няется равенство X X I I При таком переходе Изогении составных степеней могут быть ; найдены как композиция изогении соответст вующих простых степеней. Изогения простых единичный аффинный куб отображается в еди ничный проективный куб. степеней />5 для эллиптических кривых над полями характеристики ;^ 2,3 может быть вы числена следующим образом [15]. Определим j^ Z t I X, при Д ;t О и потребуем. Пусть Е^{К)\ у^х^+Ах + В; EjiK): v 2 и' + + ^,w + £i и {хп.уп) е 1 (К) аффинная точка чтобы выполнялось условие z,(Zi® 1) = 0. Тогда идеал 21 наряду с полиномами X^iXj @ Z,) будет порядка /. Ядро изогении степени / содержит аффинные точки порядка из множества /?и аффинных точек, причем R п 0. содержать полиномы Zi(X, © Zj. В этом случае аф полином ^/1 'Л-\ на поверхности Таким образом, множество состоит из финного куба перейдет в однородный полином -1)/2 Для точек. %,.--,1к г -Л. . ... -А ; '1 'к п 7 ■ ■ ■ Ж-/ Jn-k степени п на по е R положим gox Ъх 2 SQ Ахо + AAxq + 4Б; to 6х 2 + A;go^ 2уо; верхности проективного куба. где индексы + 4А. 71 ? ■J П k ЯВЛЯЮТСЯ дополнением к исходному
134 множеству индексов {/'i, ..., 4} в множестве безопасности криптографических алгоритмов на {1,2, ..., w}. Отметим, что переход от аффинного эллиптических и гиперэллиптических кривых, а также при разработке таких алгоритмов. пространства к проективному приводит к удвоению числа переменных, тогда как согласно классической алгебраической геометрии число переменных увеличивается на 1. Проективный полином, соответствующий полиному /е G^^, имеет степень, не меньшую чем число непостоянных слагаемых и не большую чем п. Например, поли- кольца Ор. 6Л6Л. Локальное кольцо точки и нормирование Пусть Ор — локальное кольцо неособой кри вой в точке и Ш р максимальный идеал ному Xi @ 1 соответствует проективный полином X] @ Zi, полиному X] @ д:2д:з — проективный полином X1Z2Z3 @ X2X3Z]. Обратный переход от проективного полинома аффинному осуществляется делением Лемма 6.16.1. Справедливо соотношение ОО Пш",, -# jH ж- (0) /7=1 к на ./ Все координаты проективного полино Доказательство см. в работе [6]. Теорема 6.16.2. Пусть точка кривой С. ма равноправны, поэтому его можно делить на Справедливы следующие утверждения. любой одночлен вида ТТ^/^у ' ^ так как на делить нельзя, соответствующая аффинная функция оказывается частично определенной. Таким образом, одному и тому же проективному полиному могут соответствовать разные (частично определенные) аффинные полиномы. Назовем такие аффинные полиномы проективно эквива лентными. Аналогично можно определить проективную эквивалентность для наборов булевых функций одних и тех же переменных. Проективно эквивалентные подстановки имеют одинаковые проективные уравнения (с точностью до переименования переменных). исходной аффинной области проективного . Одна- 1 п куба выполняется условие ко в проективном кубе все 2п координат равно правны и допускается Z^ Переход от однородного полинома i^(Xi, ..., Д„ Zi, ..., Zy) степени а на поверхности проективного i^6a к соответствующему полиному fc на поверхности аффинного куба nyi ем деления на одночлен G степени d задается (частично определенной) рациональной функцией г Jg G этом случае знаменатель G может принимать значение в некоторых вершинах рассматриваемого i^a. На этих вершинах функ ция/g не определена. Каждый идеал кольца О р. отличный от нулевого и единичного, является некоторой сте пенью идеала Шр. 2. Шр — единственный ненулевой простои идеал в кольце Ор. З.Ор I кольцо главных идеалов. Доказательство. Так как 21 ;^ Ор, то 21 93Тр. / Из леммы 6.16.1 следует существование целого п > 1 такого, что Ш^Шр и 21 (X93Т;/'. Значит 5 найдется элемент а 21 П 93Т'' / такой. что а ^ 93Т;Г' Идеал 93Тр / главный. то есть Шп - Ю р для некоторого и, значит, а fu. где и обратим в Ор. I Тогда аи 1 и Ш^ 21. Отсюда п Ш1. I Так как всякий нетривиальный идеал кольца Ор является степенью Шр^ то Шр — единствен- Ш,^ ныи простои идеал. Поскольку идеал идеал 21 кольца Ор имеет вид кольцо главных идеалов. главный и любой 93Т", то Ор Введем дискретное нормирование поля ра циональных функций К {С) на кривой CIK (см п. 4.7). Положим для любой функции g, регуляр ной в точке Р, v/^(g) max(w ^Ж.:g^ Ш1). 6.16. Дивизоры на алгебраических кривых Для рациональной функции г К{С) имеет место представление г Положим Мя) vm Использование дивизоров позволяет установить связь между функциями на алгебраических кривых и точками этих кривых. Дивизоры являются важным инструментом при исследовании ным нормированием. V/>(/) Нетрудно убедиться, что введен пая функция V. : К{С) является дискрет
135 Если/e Шр, то говорят, что функция/имеет ъ в точке Р: если /^' е ОЗТр, то говорят, что Рациональную функцию F(x) одной перемен Ш Р, то говорят, что ной из ПОЛЯ К(х) можно с точностью до кон нуль в точке функция / имеет полюс в точке Р. Значение нор- станты задать списком нулей и полюсов с учетом мирования vp(f) задает порядок нуля функции/в их кратностей. Поскольку числитель и знамена- точке /•, значение гр(Г ) задает порядок полюса те ль функции Fix) являются полиномами из функции/е Ор в точке Р. К[х], они раскладываются на конечное число Ш Кольцо Ор является кольцом нормирования, а линейных множителей. Чтобы различать нули и Р — идеалом нормирования. Униформизующгш. полюсы функции F, будем их учитывать с раз- параметром нормирования называется функция из К {С), имеющая в точке Р нуль кратности ными знаками: нули со знаком «плюс», а полю сы со знаком «минус». Точно так же рацио на Нормирование поля рацио Пример 6.16.1 нальных функций. Рассмотрим эллиптическую кривую '=}^ + XZ^ + 2Z^ над полем Q. Эта кривая содер налиную функцию С{К) конечным списком ее нулей и полюсов с учетом алгебраической кривой можно с точностью до константы задать Y^Z кратностей. Дивизором на алгебраической щ)ивой С (К) назовем формальн5/ю сумму (без указания конкретной (1,2, 1). Кольцо нормирования арифметики) точек кривой с кратностями пр ЖИТ ТОЧ1^ состоит из функций, не имеющих полюсов в точке Р. Идеал Шр состоит из функций, имеющих D Тмр)^ щ 5 (6.16.1) РеСЛК) нуль в точке Р. Обратимый элемент кольца — это функция, не имеющая нулей и полюсов в точке Р. Униформизующий параметр нормиро- ■*■* г -^ > " !^^^J зания имеет в точке Р нуль кратности 1 и является образующей для идеала Шр. Это может быть в которой все W/>, за исключением конечного числа, равны нулю. Сумма берется по конечному числу точек, поскольку мы рассматриваем ра- любой циональные функции на кривой, а числа пр свя заны с нормированием функции в точке Р. Мно полином, задающий кривую, которая жество дивизоров образует абелеву группу с за имеет пересечение над полем ly с эллиптической коном сложения кривой в точке г с кратностью например, по лином, задающий прямую, проходящую через Тп,{Р) + у т,, (Р) У (п,, + т, )(Р), точки (1, 2 ? и(1. 1), то есть полином X Z. РеС(К) Р€с:(К) РеС(К) Это может быть также функция, имеющая в точке (1,2,1) нуль кратности л и полюс кратности S Например, касательная в точке которая называется группой дивизоров алгебраи ческой кривой С (К) и обозначается Di\(C(K)) задается нуль Полином, задающий касательную. полиномом, который имеет в этой точке кратности Конечное множество точек Р в (6.16.1), для ко торых Пр Ф о, называется носителем дивизора. Дивизор для кривой С{К) определяется по имеет вид: X Z. Тогда функция X X формуле (6.16.1) с заменой К на К. Степенью deg(Z)) дивизора D Тмп на имеет в точке (1,2, 1) нуль кратности 2 и полюс РеС кратности то есть ее нормирование равно зывается целочисленная сумма его коэффициен Аффинная функция У + д:^ щая нуль в точке (1,2), может быть представлена на кривой, имею тов: eg(i5) п., Имеем eg(Z),) + deg(Z) z РеС 3 2 В виде X +х -^х 3 с учетом замены на deg(Z), +D2) для любых D,, Dj е Div(C), то X +Х -\- Последнии полином делится на х 2 НО не делится на (л: - 1) , следовательно, функция . Пример обратимой имеет нуль кратности есть отображение deg: Div(C) -> Ж является го моморфизмом. Ядром гомоморфизма deg являет ся группа Div^(C) дивизоров степени нуль. функции: 2 +1) V + л: 5 Дивизор D вида (6.16.1) назовем положи ху-\-х 2 + 3 . Значение этой функции в точке(1, 2)равно тельным (D > 0), если все его коэффициенты Пр неотрицательны. Это понятие позволяет частич- Будем но упорядочить множество дивизоров. считать, что Di > Dj тогда и только тогда, когда D 1 /).>0. 2 6.16.2. Дивизоры Пусть /, g^K(C) и D Z «. iP) фик РеС(К) Перейдем от рассмотрения функции в одной сированныи дивизор на кривой С(К). Будем точке кривой к рассмотрению ее на всей кривой. говорить, что функции /, g сравнимы по модулю
136 D (записывается/= g (mod D)\ если vp(f lip для всех точек кривой. Ненулевая рациональная функция /, заданная на алгебраической кривой С{К), может иметь лишь конечное число нулей и полюсов. Можно определить дивизор функции div(/) yp{f){P) Div(C(7^)). РеС(К) Тогда произведению функций на кривой будет соответствовать сумма их дивизоров, то есть существует гомоморфизм абелевых групп которая является нормальной подгруппой диви зоров степени Доказательство. Операция умножения функций на кривой индуцирует сложение их дивизоров. Нулем является функция, не имеющая полюсов на кривой, то есть ненулевая константа. Поскольку дивизор каждой функции имеет степень пои дивизоров степени то группа главных дивизоров является подгруп- . Группа дивизоров и группа дивизоров степени О абелевы, поэтому любая подгруппа группы дивизоров или группы дивизоров степени О является нормальной. К(С) * Div(C(7^)). На практике дивизоры на алгебраической кривой удобно рассматривать «с точностью до Дивизор на кривой, равный дивизору некото- главного дивизора», по аналогии с группой клас рой рациональной функции, называется главным, сов числового поля. Из утверждения 6.16.5 еле дивизором. Назовем два дивизора D\ и Dj линей- дует существование факторгруппы но эквивалентными^ если D\ — Dj является глав ным дивизором. о /(С) = D\y\C (К)) I Vv(C (К)). Теорема 6.16.3. Главные дивизоры алгебраи ческой кривой С(К) образуют подгруппу Рг(С(7^)) группы Div(C(7^)). Имеет место изо морфизм групп К (С)*/К * Р<С(К)) Доказательство Для разности дивизоров получаем div(/) div(g) V riff gin div(//g) FqC(K) вой. Эта факторфуппа называется якобианом кри- Якобиан является аддитивной абелевой группой. Теорема 6.16.6. Якобиан эллиптической кри вой Е{К) состоит из дивизоров вида {F) (р со Доказательство. Предположим, что в диви зор якобиана входят две (не обязательно различ и D ные) точки ществует функция мую, проходящую через iP) + iQ) 2(Р СО Тогда су К(Е), И описывающая пря . Эта прямая пере Значит, Рг(С(л)) — подгруппа группы диви- секает кривую в третьей точке R. Тогда div(/) зоров. Рассмотрим отображение (Р) + (0 + (7?) 3(Р СО Поскольку якобиан J(E) ф:7^(С)*->Рг(аЛ), определен с точностью до главного дивизора, вы полняется равенство D сопоставляющее функции/ее дивизор div(/). Так есть D {R) + (P со D Кроме div(/) (mod J(E)\ то того, существует как Hi Wg) div(/) + div(g), то гомоморфизм главный дивизор div(e) = (R) + (-R) 2(Р^ Его ядро функ ции g, которая задает вертикальную прямую, про Кег(ф) / е К(С) * iv(/) К * ходящую через точки и R. Поскольку D D div(g) (mod J{E)\ получаем D R) (P CO Поэтому K(C) IK физм no теореме 2.3.3. * Vt(C{K)) изомор Рассуждение по индукции распространяется на произвольное число точек дивизора. Отсюда следует, что якобиан эллиптической Теорема 6.16.4. Дивизор D nJP) явля РеЕ ется дивизором некоторой функции на эллипти ческой кривой Е тогда и только тогда, когда од кривой изоморфен группе точек кривой (см. так же п. 6.18.2), однако для кривых больших степе ней порядок якобиана больше, чем число точек. повременно выполняются равенства п р Пример 6.16.2. Рациональные функции и их (сумма целых чисел) и V Wy,P = Р^ (сумма точек дивизоры . На 2 эллиптической кривой Y^Z ^ Х^ + эллиптическои кривой). Доказательство см. в работе [21] + AXZ' + BZ я заданной над полем комплекс ко ных чисел, функция, определяющая прямую, торая проходит через три аффинные точки кри- Следствие 6.16.5. Главные дивизоры неосо- вой, имеет нули в этих точках и полюс кратности бой алгебраической кривой образуют группу ? в бесконечно удаленной точке. Эта функция
137 имеет вид АХ vZ Действительно, при рациональные функции такие, что носители их дивизоров не пересекаются. Тогда знаменатель обращается в нуль. Для того чтобы определить кратность полюса, рассмотрим /div(g)) = g(div(/)). окрестность бесконечно удаленной точки ? где Доказательство см. в работе [21] Y^Q. Тогда можно поделить X и Z на F. Обозна X чим и , W функция г примет вид Если i^:CAK) CJK) рациональное ото бражение неособых кривых САК) и 2 (К) , ТО Г Хи VW Нетрудно видеть, что поведение отображение ф*: К{С2 * К{СЛ * задает ото W функции/вблизи нулевого w определяется пер бражение непостоянных рациональных функций. Каждая рациональная функция с точностью до вым слагаемым Поскольку эллиптическая константы определяется своим дивизором. по W этому можно считать, что отображение * задает кривая имеет пересечение с бесконечно удален- отображение групп дивизоров: НОИ прямой кратности то соответствую щии полюс при W тоже имеет кратность ф*: DivCC, (7^)) -> Div(q (7^)). Следовательно, дивизор функции/, нули которой задают прямую, проходящую через точки Р\^ Pj^ Р35 равен Теорема 6.16.8. Пусть Ф:С,(Ю 2 (^) divCO (Pi) + {Pi^ + iPi) Ъ(Р OD рациональное отображение неособых кривых Cj {К) и Cj (К), D — дивизор на кривой с J К) г Уравнение прямой может быть найдено с ис пользованием формул сложения на эллиптиче рациональная функция на кривой C.iK). Тоской кривой. гда (1е£(ф*1)) = deg(ф)deg(D), ф*(с11у(/)) = (11у(ф*/) Доказательство см. в работе [21]. Функция, определяющая секущую, которая проходит через точки и точках и полюс кратности имеет нули в этих в точке Рг.. Эта 6.16.3. Спаривание Вейля функция имеет вид X aZ Пусть К— конечное поле характеристики/? и ? где а коор Е/К эллиптическая кривая. Предполо51шм5 что дината X точек и Р. окрестности точки на кривой Е/К существует точка простого поряд OD кят и НОД(р, т) получаем г и mv W . Как и в предыдущем слу Рассмотрим эту эллиптическую кривую над алгебраически замкнутым полем. Тогда каждая чае, знаменатель функции / имеет на бесконеч- точка кривой Е(К) является одновременно точ ности нуль кратности 3. Однако в точке w числитель тоже имеет нуль. Оценим его крат ность. Подставим и aw в уравнение кривой кой кривой Е{К), так как поле К содер51Шт в себе поле 7^. Точки кривых Е{К) и Е{К) образуют абелевы группы с одним и тем же законом W Q 0 4 и + Агт^ + Bw. Получим кубическое урав нение от w. Нетрудно видеть, что поскольку коэффициент при W отличен от нуля, то корень сложения. Следовательно, мальной подгруппой группь Е(Ю является I Е(К) нор и существу 5 W имеет кратность Следовательно ? функ ция/имеет в точке Pod полюс кратности 3 Поэтому div(/) = (Р) + {-Р) 2(Р оо Пусть /— функция на кривой uD диви ет гомоморфизм из Е{К) в Е(К). Таким образом существуют точки кривой Е(К), имеющие порядок т. Эти точки образуют подгруппу Е[т] группы кручения. Число точек кручения порядка т кривой Е{К) равно т^. Все точки порядка т лежат в некотором конечном расширении L поля К Пусть точка кривой E(LX имеющая поря зор на этой же кривой, причем носители дивизо ров div(/) и Z) не пересекаются. Определим зна чение функции/на дивизоре D как док /w, то есть точка кручения порядка т. Тогда по теореме 6.16.4 существует функция/^е L{E) на кривой Е{1) с дивизором KD) П/(^) tip A\\(f'i) т(Т) т(Р OD Теорема 6.16.7 (закон взаимности Вейля) Пусть С(К) — неособая кривая и /, g е К{С) — Пусть 1 точка кривой E(L) такая ? что тТ\ (при необходимости можно перейти к расширению поля L). Пусть отображение [т]
138 кривой E(L) на себя задается умножением точки pax. Пусть D S {S) (Р =0/5 Л 7 7 (T+R) (R) е E(L) на число т: [т](Р) тР. дивизоры степени 0. Тогда найдутся функции/^, gjc коэффициентами изLтакие, что Тогда можно составить композицию функции /7 И отображения [т]: div^ m(S) т(Р оо н; Hg т т(Т + R) m(R) ч^ О 7 {т\){Р) =MVm\{P)). Тогда Эта функция имеет нули кратности т в тех точках, которые после умножения на т дадут Т. любая из ^.,XS,T) S (А) SAD S /, (Г + J?)g, (Р, ) fs(R)gAS) э Такие точки имеют вид Т] + R где 7? т точек порядка т. Функция/7 о [т] имеет полюсы кратности т в точках R,, которые после умножения на т дадут Р^, Поэтому поскольку дивизоры функций fs, gr имеют непе ресекающиеся носители. Все вычисления прово дятся в поле L. Hi '1\(/т о [т]) т (T+R) т iR) Теорема 6.16.9. Спаривание Вейля обладает R^i\iv] R&li\tn] следующими свойствами: Определим функцию gj- е L(E) с дивизором билинейность: е т + S- 2? e^iSu Т)е т 2? д em(S, + Т2) e,niS, T^)eniS, Т2); Hgf) ЦТ, + R) (i?)). eJT, S) 1 ReElm] знакопеременность: Cf^iS, если a — элемент группы Галуа GaI(Z/in, то Функция gr существует, так как ее дивизор eJS. Т) а eJS', Г); существуют точки 5", Т такие, что eJS^ Т) имеет степень и и соответствующая сумма точек на кривой равна № + i? R) т^Т примитивный корень степени т из Доказательство см. в работе [21]. ЯеЕЫ Функции fr° [т] и gr' имеют один и тот же Из свойства 1 спаривания Вейля следует, что дивизор, поэтому с точностью до константы из L это отображение при фиксированной точке Т яв имеем/7 о [т] Пусть т g ■ Е[т] ляется изоморфизмом группы кручения Е[т] на еще одна точка кручения подгруппу порядка т мультипликативной группы кривой E{L) (допускается и8 = Т). Тогда для лю- L . Кроме того, точки кривой Е{К), имеющие по бой точки X е E(L) имеет место равенство gj{X + S)'" =М[т]т + [m]{S)) рядок /w, являются точками кручения порядка т кривой E{L). Тогда, если на эллиптической кривой Е(К) выполняется равенство Р = IQ^ то в группе L Я{т\{Х)) = gzW". вьтолняется равенство eJP^ em{Q. Т). Точку Следовательно, V gr JX + S) griX) m T нужно выбирать так, чтобы значения спаривания Вейля пробегали в L всю подгруппу порядка т. Имеем последовательность гомоморфизмов: E(K) Elm\{L) * Определим спаривание Вейля Первое отображение означает переход от кривой Е(К) к кривой E(L) над расширенным полем. ет'. Е[т\ ® Е[т\ (ц т гдеа^ корень степени т из в поле Z, полагая где число #L - 1 делится на т. Второе отображе ние есть спаривание Вейля. ^Л8,Т) gr (^ + S) gr (^) Подобрать точку Т порядка т можно еле дующим образом. . Выбрать произвольную точку кривой E(L) Здесь X— любая точка кривой E{L) такая, что оба значения g(X) и g{X+ S) определены и ненулевые. Подчеркнем, что хотя g определена с точ- Например, ддя произвольного элемента л: L\K 3 извлечь квадратный корень из Г+Лд: + Б ностью до ненулевой константы из L (известен лишь ее дивизор), спаривание Вейля не зависит от этой константы, так как она сокращается при делении. Спаривание Вейля эквивалентно можно определить с помощью значений функций на дивизо- Найти число точек Nf^ кривой E{L) по известному числу точек N^ кривой Е{К) (подробнее см. п. 6.17). Найти Л^^ /т-г . Вычислить г • (х,у) и проверить, что результат отличен от Раз. Если это условие выполнено, то положить Т <— (л:, у).
139 Способ вычисления спаривания Вейля (под робнее см. п. 7.14), предложенный И.А. Семаевым основан на следующих рассуждениях. Доказательство. Пусть если Л^ делит л" - 1, то есть л" #L Вложение п. Тогда существует. Вейля h (mod TV). В соот- поле L{E) определена и существует функиш ветствии с китайской теоремой об остатках (теорема 3.5.3) достаточно показать, что сравнение с дивизором di\(h }П m{S) (mS) (т 1)(Р оо miS) (Р ОО (т ])(р оо miS) т(Р оо н.* Ws) и (modг) выполняется для степени простого делителя г числа N. Поскольку р является обратимым элементом кольца Ж/г^Ж, указанное сравнение справедливо при п (р(г) к-\ Г (нетрудно проверить, что сумма степеней диви- Если #Е{¥р)=р, то группу точек кривой не- зора и сумма точек с учетом кратности дают возможно вложить в мультипликативную группу нуль и точку Рею соответственно). Поэтому с точ- поля ни при каком расширении. Однако в этом случае, как показано в работе [19], существует ностью до константы из К имеем h г т л- По теореме 6.16.4 для произвольного нату- вычислимый с кубической от log» сложностью рапьного к существует функция Пи с дивизором н; iv(/z^) KS) (kS) \)(Р OD поскольку этот дивизор имеет степень и и сумма точек дивизора на эллиптической кривой дает точку Рсс- Пусть к = и + V. Тогда к guyh W'*V? h^^y /г е 2'* 2' 2'' где iv(^n,v) (kS) ^ (uS) ^ {vS) (Р OD Функция gyv существует, так как ее дивизор имеет степень и и сумма точек на эллиптической кривой дает точку Р^. Покан<:ем справедливость равенства (6.16.2). Действительно, н; i\(hk) KS) (kS) 1)(P оо <S) (uS) 1 )(P^) + v{S) (vS) изоморфизм #E(¥ p Fp. Этот изоморфизм су ществует для произвольной подгруппы порядка/? эллиптической кривой над конечным полем ха рактеристики р и представляет собой вычисле ние логарифмической производной функции Вейля. В гл. 3 было показано, что если л(д:) (6.16.2) поле рациональных функций. то отображение rf (X) fix) к ДЛЯ всех / е К{х) задает гомомор физм групп К{х) -^ К. Аналогичное утвержде ние имеет место и для функции Вейля на эллип тической кривой (см. также п. 11.3). Алгоритм вычисления логарифмической про изводной функции Вейля приведен в п. 7.14. при анализе с открытым Функция Вейля используется криптографических алгоритмов ключом, а также при разработке криптографиче ских алгоритмов на эллиптических и гиперэл липтических кривых. ^){р оо (kS) + (uS) + {VS) (Р ОО diviK) + div(/zv) + div(g. v) Pei^pcHBHoe применение этой процедуры сводит вычисление функции Вейля к вычислению линейных функций на кривой. Таким образом, если #Е(¥р ? точек эллиптической кривой изоморфна группе * р ■> а если #Е(^р 4- то группа точек эллип 6.17. Эллиптические кривые над конечными полями Пусть ч поле из п элементов и я £(F то группа нием эллиптическая кривая, заданная уравне 3 X -\- Ах-\- в. Число точек на Е(¥ я кривой конечно. Действительно, если предположить, что любой элемент поля может бьггь коор ? тической кривой может быть вложена в группу динатои х и при этом у * р 2 ? так как {р + 1)\#¥ п- Указанное вложение ни для одной из точек, то с учетом бесконечно удаленной точки получа- Более точно число точек N на вычислимо с полиномиальной сложностью. Все изложенное справедливо и для эллипти ческой кривой Е(^Л^ q ем |д + эллиптической кривой определяется теоремой Хассе. .. Теорема 6.16.10. Пусть т^р N. Если Теорема 6.17.1 (теорема Хассе). Для кривой Е(¥а) выполняется неравенство НОД(р, ЛО ? то существует конечное расшире ние группу Z . поля ¥р такое, что группа Е{¥р) вложима в V q + ] N iJg Доказательство см. в работах [13, 21]
740 Таким образом, число точек эллиптической кривой Е(¥д) близко к q По аналогии с дзета-функцией Римана можно определить дзета-функг(ию неособой алгебраи- Пусть я число точек эллиптической кривой ческой кривой X + Лд: + Б равно Ж Тогда число точек эллиптической кривой £i(F я dy 2 3 X +Ах + Д где N не является квадратом в поле F«, равно 3 1 2д + 2 N. Действительно, значение л: +Ах + В может быть нулем, квадратом или произведением квадрата на элемент d. Каждое значение л:, для которого л: -\-Ах + БфО, является координатой двух точек (х,у) и (л:. только одной из кривых. Значение х, соответствующее , является координатой единственной точки обеих кривых. Поэтому каждое значение х соответствует ровно двум точкам на объединении кривых Е и El, С учетом бесконечно удаленных точек получаем N-^N] 2q-^2 Кривые и 1 являются скрученными. Скру ченные кривые изоморфны над квадратичным расширением поля \Гд, так как квадратичное рас ширение эквивалентно присоединению квадрат ного корня из квадратичного невычета. + Если Е(¥р) имеет число точек/? + 1, то у скру ченной кривой столько же точек. В этом случае эллиптическая кривая Е(¥„) называется супервы- роэюденной. Группа точек супервыро5Кденнои кривой с помощью спаривания Вейля может быть вложена в группу * р 9 На алгебраической кривой С/¥ т Й5 . деист вует отображение ФробенР1уса характеристическим уравнением .14.5) (см с {^\ /) теорему 2 фТг((р) deg((p) 17 Поскольку отображение ф является комплекс ным умножением^ для точки re£;(F ) выполняется равенство (р(Р) - QP, где целое квадратичное в число G является корнем уравнения (6.17.1) мнимом квадратичном поле Q(-v D) Здесь D Аа 2 Тг(ф)^ Z(CI¥ я ? Т) expX(#C(F^„)) п П где #C(IF Л— число точек на кривой C/F^, рас сматриваемои над полем F„ Если функция Z{CI¥q^ Т) известна, то для любого п можно найти Ш¥ Л: # С{¥ ) N ]y.dT П \nZ{CI¥^J) 17 7=0 о? Теорема 6.17.2. Дзета-функция Z{CI¥ особой алгебраической кривой рода п. 6.15) обладает следующими свойствами: не- (см. Z(CI¥ Й5 Q(7); Z{CI¥^J) рт Т)(] дТ) 5 где ПОЛИНОМ Р(Т) степени 2g рас1сладывается на множите 2g ЛИ над полем С рт ПО а л I 1 Доказательство см. в работах [2, 6, 21] Для эллиптической кривой Е/¥д имеет место равенство Z{E/¥^,T) аТ + дТ 2 Л(1 дТ) 17.3) Коэффициент а в .17 следом эндоморфизма Фробениуса: а формуле является Тг(ф). Определим функцию Е ¥ ч is) Z(EI¥ s я ? aq s +g l-2,v V l-.v Числитель в формуле (6.17.3) можно предста вить в виде aq S )(1 aq S 5 где Квадратное уравнение 17 имеет два со пряженныхкомплексных корня: и G. Тогда Тг(ф) в + в,где 4ч^ е+е g+i #Е(¥ я Пусть г #Е(¥ я Тогда в группе точек Е{¥ я существует yj-Dimodr) 16 а а Теорема Хассе эквивалентна гипотезе Римана для эллиптических кривых все /F ч {s) ле5кат на прямой Re(5) нули 0,5. функции Из уравнения (6.17.2) следует, что если #Е(¥ я д + \ а а. то 16 криптографии используются эллиптические кривые, имеющие большой простой порядок группы. Поэтому на практике число г является простым, причем число точек кривой не делится на #Е{¥ ) п +1 а п п а . (6.17.4) Формула (6.17.4) позволяет найти число точек эллиптической кривой над произвольным конеч
141 ным расширением поля F^, если известно значе- информацию о числе точек над всеми конечны ние #Е№Х ми ПОЛЯМИ. Пример 6.17.1. Число точек кривой. 1. Эллиптическая кривая + ху х^ + 1 содержит точки (О, 1) (1,0) (1,1) ODi то есть #Е/¥ 2 4, Тг(ф) Характеристическое урав нение имеет вид 2 + (Р + его корни равны i±V Тогда отображение Фробениуса 2 (^5 у) -^ (^^? у) на кривой Е(¥2) соответствует умножению точки (^.У) на одно из чисел iW или Число точек кривой над F2 можно представить в виде 2 + 1 + 1+V + соответствии с (6.17.4) число точек этой кривой над полем из 2 элементов равно 2*'+1 + + п + V п 2116 V Эллиптическая кривая Е/ ¥4. У + ху 1 X +t содержит четыре точки Тогда Тг((р) ? 1), (О, / + ? (^,0) ? имеет вид 2 Характеристическое уравнение корни равны + 4 его 1 + Тогда отображение Фробениуса (х^У) 4 4 (^\ Л на умножению точки кривой Е(¥ 4 ) соответствует на одно из чисел 1 + или 15 Определим £-функцию комплексной пере меннои S ЦЕ, S) PI'A ^рР S + р 1-2д •> где произведение берется по всем простым чис лам, не делящим дискриминант кривой Е. Согласно ггтотезе Берча и Свиннертона Даиера ранг кривой Е{^ равен кратности нуля функции L{E^ s). Если эта гипотеза верна, то S можно найти ранг эллиптической кривой не только над полем Q, но и над числовым полем К^ немного изменив формулу для L-функции. Для нахо51<дения числа точек эллиптической кривой над конечным полем в общем случае используется алгоритм Шэнкса с экспоненциальной сложностью или алгоритм Чуфа с полиномиальной сложностью (см. п. 15.1, а также работу [18]). Теорема 6-17.3 (теорема Чуфа). Число точек #Е{¥а) может быть найдено детерминированным алгоритмом с полиномиальной сложностью Доказательство см. в работе [18]. 6.18. Гиперэллиптические кривые 6.18.1. Функции на кривых Гиперэллиптической кривой С над полем К на зывается аффинная кривая, задаваемая уравнением 2 4- Ых)у Л^) 18.1) . Число точек кривой над и не имеющая особых точек на аффинной плос р4 можно представить в виде 44-1 + 14- 4- кости над К , где /г, /— полиномы с коэффици ентами из К, deg(/) = 2g+ 1, deg(h) < g. Натуральное число g называется родом кри вой. Эллиптическую кривую можно рассматри вать как гиперэллиптическую кривую рода соответствии с (6.17.4) число точек этой кривой над полем из 4^ элементов равно 7 + 14- + 16636 Дзета-функция Z{EI F^,, Т) эллиптической кривой Е1¥^ несет информацию о числе точек над всеми конечными расширениями поля F^,. Обобщением дзета-функции эллиптической кривой является Ь'функция Хассе—Вейля, которая несет Теорема 6.18.1. Если характеристика поля равна 2^ то пФ 0. Если характеристика поля отлична от 2, то с помощью обратимой аффинной замены переменных можно задать гиперэллиптическую кривую уравнением 2 Ау^\ (6.18.1 Доказательство [23]. Пусть характеристика поля равна Тогда и П0Л051ШМ -F(X, у) 2 У Пусть хо — корень полинома F'. Тогда существует j^o такое, что (Хр, к) е С (К),
142 при этом обе частных производных обращаются в К). Поэтому арифметика на гиперэллиптической в точке (хо, Уо). №я того чтобы кривая не имела кривой задается с помощью функций на кривой. особых аффинных точек, необходимо /г ^ 0. Пусть характеристика поля отлична от гда определено деление на То Аффинное координатное кольцо К[С\ кривой тимой замены переменных (х, у) помощью обра Мх) (6.18.1) задается Х[х, yW + h{x)y как Ах)). КОЛЬЦО классов Поскольку вычетов полином можно получить уравнение вида 2 /W + Мх) 2 ' +/г(д:)у -Дх) неприводим, кольцо К\С\ целост ное, а также евклидово (см. теорему 6.15.1). По лем частных кольца К\С\ является поле рацио налъных функиииК(С). Любой полином g(x,v) К[С] можно запи где полином в сать в виде правой части имеет степень 2g-^ L Поэтому уравнение кривой можно запи сать в виде (6.18.1'). а(х, у) а(х) Ь(х)у. (6.18.2) Для того чтобы кривая (6.18. Г) не имела особых точек в аффинной плоскости, необходимо, чтобы полином/не имел кратных корней, то есть сопряженную функцию вида где a,bsK[x], поскольку на кривой С полином рекурсивно заменяется полиномом/- hy. Для каждой функции вида (6.18.2) определим чтобы его дискриминант был отличен от нуля Действительно, приравняв к нулю частные произ Я (^\ у) а{х) л-Ь(х){у-h h(x)), водные, получаем 2у о f(xo) Для того чтобы Норма функиии из поля функций равна Niq) N(q) Ш) а + abh да 2 К(х). Для ЬГ точка (хо5 Уо) лежала на кривой, необходимо, чтобы J(xo) ~ 0. Поскольку полином Дх) не имеет кратных корней, множества корней Дх) и/'(х) над К не пересекаются и (х^,у^)^С(К). Если же равна 2g+ 1. Поскольку deg(iV(g)) полином Дх) имеет кратный корень, то он будет (6.18.2) имеем Х[х], норма является квад и корнем производной, тогда (х^:,у особая точка. С(К) ратичной формой с коэффициентами /г,/ Степень дискриминанта квадратичной при то квадратичная форма положительно определена. Как и для квадратичных чисел, норма муль- G Х[х]. формы типликативна: N(rs) rs-rs = rrss ~ N(r)N{s), Над полем комплексных чисел гиперэллиптическая кривая изоморфна замкнутой поверхности Рациональная функция из К{С) также имеет вид (6.18.2), но здесь без краев (у которой есть наружная и внутренняя стороны) с g «отверстиями» аналогично тому^ как равенства д, q^ ~ qq^ а,Ъ и Справедливы тор является замкнутой поверхностью без краев с одним «отверстием». Гиперэллиптическая кривая во многом аналогична эллиптической кривой. Пересечение соответствующей проективной гиперэллиптическои кривой с бесконечно удаленной прямой Z = О задается условием X Таким образом, гипер эллиптическая кривая имеет единственную беско (0,1,0). Если нечно удаленную точку то точка Р^, является особой. 5 Если род g гиперэллиптической кривой отли чен от 1 (то есть deg(/) > 5), то бесконечно удаленная точка всегда является особой. Однако это не накладывает ограничении на использование такой кривой, поскольку на практике можно рассматривать только аффинную часть кривой. общем случае прямая пересекается с гиперэллиптической кривой над алгебраически замкнутым полем более чем в трех точках. Например, прямая 2g + пересекается с кривой (6.18.1 f в Определим степень полинома а(х,у) а{х) Ь(х)у ЩС]: ^- -"■", -- - ■-> г V deg(g) Поэтому max(2deg(a), 2g + ] + 2deg(fe)) deg(g) deg(g) deg(N(q)). Heno что средственнои проверкой можно показать, deg(^i^2) ~ deg(gi) 4- deg(a2), поэтому отображе ние ЩС] deg является гомоморфизмом моноидов Z. Обратимыми элементами кольца ЩС] являются ненулевые элементы из К, Любая функция из поля функций с точностью до константы задается списком нулей и полюсов, то есть дивизором. Функция д(х, у) S К(С) определена в аффинной точке (xi\ } ■ С(К), если ее знаменатель отличен от 0. Значение функции вычисляется как q(xp^ ур) Определим значение функции 1 (х, у) 2 (х,у) К{С) точках (это следует из того, что правая в точке Роо. Если deg(gi) < deg(^2), то q имеет нуль часть уравнения кривой имеет 2g + 1 корень над в 00 . Если deg(^i) > deg(g2 то имеет полюс в
143 00 Если deg(gi) deg(g 2 TO g(P CO равно OTHO шению старших коэффициентов (по отношению к функции deg) числителя и знаменателя. Определим для точки (хр, Ур) g С(К) един ственную «противоположную» точку h\xp)yj f(xp) Ф 0. --(2v Кроме того, /хр) Ур 2 У! } У1^ 2 2уур + Ур 2 Поэтому Ур, Отсюда Лх) h(x)y 2уур + Ур 2 г (Хр, Ур Кхр)\ (6.18.3) при этом по определению f 00 со . Другие точки. 2 г(х, у) fix) + Ур V ^ ^Г г Ых) + 1у,, X X. . (6.18.3) удовлетворяющие условию г э характеризу ются равенством yj У! Для любой р. точки Ых}^ или 2ур + h(Xf^ справедливо равенство Легко (6.18.3) проверить. что с учетом (6.18.2) и для С{К) справедливо равенство q{P) д(Р'). Лемма 6.18.2. Пусть Р е С(К), а а(х) Ь(х)} К(С), а{Р) и а. не обращаются в нуль од повременно в точке F. Тогда условия q{P) Р = Р' эквивалентны. Доказательство [23]. Если у; и тоР Р\ и из д(Р) = О следует q(P') Предположим, что Р фР* vl а(хр) У} q(P) Кхр) 0. 5 Ь(хр)у р а(хр) + b(xp)(h(xp) + Ур) Вычитая первое урав нение из второго, получаем Ь(хр)(2ур + h{xp)) отсюда Ь(хр) речит условию Тогда и с^Хр) ? что противо Теорема 6.18.3. Пусть д(х, у) K(Q, С(К) аффинная точка такая, что 2ур + li{xp) Ф О и q{xp,yj^ qix, у) = . Тогда существует представление XpfXx, у) и г(хр,Ур)^ {О, со}. Доказательство [23]. Запишем функцию а в виде да N(g) а^ + abh - b^f а b(h + v) Здесь чис литель как полином из Щх] делится на х Хр* Выделим м Qf симальную степень полинома X Хр, на которую делится числитель: Заметим, что правая часть этого равенства яв ляется полиномом. Обозначим s(x) 2 у,)- Тогда s(xp) но s\x) fix) h'(x)yp^ поэтому s'(xp) Ф о, то есть s(x) делится на х - Хр^ но не де лится на (х Хр) 2 Поэтому правая часть равенст ва (6.18.3) отлична от О в точке Р, Определим порядок нуля Vp{g) функции д(х, у) а(х) Ь(х)у К(С) в точке Р следующим обра зом [23]. Пусть Р — аффинная точка и (х Хр) } наи большая степень двучлена, на которую делят ся полиномы а{х) и Ь{х\ Положим д{х,у) Хр)\аАх) - ЬАх)у\ Если ах(х,)-ЬАхр)урФ фО^то S Если а\{хр) 1 {хр)у I то S наибольшая степень полинома х Хр. на ко торую делится Мах hy). Если Р\ то 2г + s\ если Р Ф Р\ то Vp(g) = r-i- s. Тогда Мя) max(2deg(a). + 2dcg(b)\ Мя) . Пусть Нулевая функция имеет бесконечно большой порядок нуля. Нетрудно убедиться, что V/^g) является дискретным нормированием. Как обычно, нормирование рациональной функции зададим как разность нормировании числителя и знаменателя этой функции. качестве униформизующего параметра нормирования Vp гиперэллиптическои кривой обычно используется функция х - хр с дивизором (Р) + (F) 2Р 00 а' + abh - b^f (X Хр) т 1 а b(h + у) х,Тг. 6.18.2. Якобиан Дивизор на гиперэллиптической кривой С{К) при этом функция г{х, у) не имеет ни нулей, ни представляет собой формальную сумму конечно полюсов в точке Р. Теорема 6.18.4. Пусть С{К) аффинная точка такая, что f Тогда существует пред ставление функции X Xj Ур)Мх, уХ где функция г G К(С) не имеет ни нулей, ни полюсов в точке Р. Доказательство [23]. Поскольку Р\ то 2ур + Мхр) Точка неособая, поэтому го числа слагаемых D т,(Р) -V ' " 1]^С(К) Теорема 6.18.5. Число нулей полинома д К[С] равно числу полюсов с учетом кратности Доказательство. Пусть о by, deg(g) п Разложим норму на линейные множители над К : }1 Щд) П( X - -? -_ * ^ 1- ^=1 f Л--^
144 Поскольку поле алгебраически замкнуто, для точки Р и Р\ Поскольку равенство Р f выпол каждого Xi 1 существует ; такой. что fe у) С(К), Тогда q имеет единственный полюс в точке 00 и нули в аффинных точках (x,^yi). По определению равна п. нормирования кратность полюса Поскольку рациональная функция из К(С) няется только при у точка (х, 0) может поя виться в дивизоре якобиана лишь один раз. Если какая-то точка Р входит в дивизор с отрицательным показателем -w^, то, прибавляя к этому дивизору заменим главный дивизор п(Р) + n(F) 2п(Р 00 ^i{P) на Пр(Р') с положительным пока зателем. является отношением двух полиномов, число ее нулей равно числу полюсов с учетом кратности. Следовательно, дивизор функции имеет нулевую степень. Норма функции является константой тогда и только тогда, когда сама функция является кон- Дивизоры вида (6.18.4) со свойствами, ука занными в теореме 6.18.6, будем называть полу приведенными. Пусть :. . г v">ii: д стантои. Поэтому единственные функции. т, (Р) не (I т I >) (Р..), имеюш,ие нулей и полюсов, — это ненулевые константы. Дивизор таких функций имеет пустой носитель и является нулем в группе дивизоров. D 2 MP) (I«.) (Р^- Если 91 5 Я2 рациональные функции. то — полуприведенные дивизоры. Определим паи больший общий делитель дивизоров : div(gi^2) = div(gi) + div(^2)- Отображение div мож но рассматривать как гомоморфизм из мультип нод(1),, А)=X "^'"^("^р' ^р Х^) ликативной группы поля функции в конечномерный Z-модуль (носитель дивизора). Функции на кривой образуют группу по умножению, поэтому и их гомоморфные образы — дивизоры функций — образуют группу главных (ymm(m,.,nj.))(PJ, ^., _^т-* , Лемма 6.18.7. Пусть (^г.} I С(Ю И К(С) функция, регулярная в точке F. Для дивизоров и имеют степень 0. Следовательно, оп- любого А:> О суш,ествуют такие однозначно определен И существует якобиан J(Q гиперэллип- ределенные элементы cq^ ...^Ck^ К и функция тическои кривой г степени к К(С), регулярная в точке Р, что по к X х,У -f (Х X.) к+\ Г к • — факторгруппа дивизоров подгруппе главных дивизоров. Элементы якобиана определены с точностью до главного дивизора, так же как классы идеалов квадратичных порядков определены с точностью до главного идеала. Поэтому группа классов Доказательство [23]. Элемент co = g(F) оп- квадратичного порядка аналогична якобиану ги- ределен однозначно, Р является нулем функции Ъл /-0 перэллиптическои кривой Со- Поскольку X X, у униформизующий па раметр нормирования, можно записать Со Теорема 6.18.6. Каждый дивизор D J(Q ХрУх^ где функция г^ определена однознач может быть представлен в виде но. Поскольку а регулярна в точке F, то и ri ре т гулярна в Р, Далее действуем по индукции D ПЮ т(Р^ (6.18.4) /-1 Лемма 6.18.8. Пусть {^р, Ур) — аффинная где тючки Pj не обязательно различны, причем в носитель дивизора входит не более чем одна из точек F, Р'. Доказательство. Допустим, что в дивизор точка такая, что РфР\ Тогда существует единственная последовательность полиномов bdx) для к> таких, что deg(M < якобиана входят точки РиР\ Тогда этот дивизор не изменится, если мы прибавим к нему или вы- к ы Ур-> 2 чтем из него главный дивизор (F) + (F') 2(Р Ьк(х) + h(x)bk(x) = Лх) (mod (х к ХрТ) 00 Доказательство [23] Положим по лемме Выполняя эту процедуру несколько раз, полу- 6.18.7 чим, что хотя бы одна из точек Р или Р' в дивизоре сократится. Таким образом, можно утверждать, что в дивизор не входят одновременно к-\ 1^Д X Хр у + (х Хр) к г А-1 (=0
145 k-\ Определим к (X) I^.( X Хр у . Тогда Со Ур 1=0 и 2 к У р. Из уравнения у + пу =/для к > полу 2 чаем сравнение у + /гу =/(mod (х к Хр) ). Наибольший общий делитель дивизоров име- . Покажем, как полуприведенный ет степень (неглавный) дивизор D можно представить в виде наибольшего обш,его делителя двух главных дивизоров, заданных полиномами из ЩС], div(a) div(b 4- 2(/^) + тД/>) + Pi eS, о Р, sS. + тХР!) ГК (Р^ ), I] ^ S, У) I UP.) 4- ^,(^)+ I', sS„ й sS, Щ(Р.) Ч ( Р.. Р, (f.Sp U.V. u.S, uP« Здесь 5/ > m/, так как Теорема 6.18.9. Пусть X, )"'- Жй У) 2 + ^/7 Л Ут,(/^) (I '«,)(/'. полуприведенный дивизор ^(л:) = П (л: и / fc, V;). Пусть X.) ' и Ь(х) — такой однозначно оп ределенный по лемме 6.18.8 полином, что deg(fe) degfa); Третье слагаемое в div(b вать, т Qf К Qf можно не учиты его носитель не пересекается с но сителем дивизора div(a). Поэтому для ак) 2 полином X - Xj делит b + bh Оценим коэффициенты t, для div№ -у). Имеем X,) 2 + bh для всех т. Ь{х,) а делит Ь^ + bh 9 2 Тогда D - HOfl(div(^(x)), div(fe(jc) Доказательство [23]. Пусть У)) 1 MHO жества тех аффинных точек из носителя дивизо ра, для которых соответственно t и РфР t Пусть 2 {Р t S\{D)}. Пусть носитель диви зора содержит т аффинных точек. Тогда D (РМ тХЮ m(PJ Р sS, R е5, Докажем, что полином Ь(х) определен однозначно. Согласно лемме 6.18.8 для каждой точки Найдем кратность корня Mb в точке / 5'о, вычислив производную учетом равенства Ь{х,) 2 + bh f в точке Pi с yi- 2b(x,W(xd + b\xdh(Xi) + Ь(хШх.) fix) b\x,)(2y, + h{xd) + hXx,)y I Ax.) Поскольку / f I в 5'o, TO 2v; + h{Xi) и производная равна n(Xi)y, -f(Xi) Ф 0. Поэтому, Xi является корнем функции Ы{Ъ - j^) с кратностью 1, то есть ti= 1. Следовательно. НОД(ё1у(й(д:)), div(fe(x) 1ю 4- Ъ^хр.) у)) т{Р^ D PeS. о PsS 1 / 1 существует единственный полином Ь,(х) тако и, что deg(fe;) bXx.) т.: /э У>, X, Г Ъ, {xf + h (хЩх) fix) Если Р, S So, то существует единственная кон станта bi I такая, что deg(fe,) bix;) ? у>; xMh{xf+Ъ.Хх)Кх) fix) По китайской теореме об остатках существует На практике вместо HOД(div(й) 5 дл\(Ъ У)) часто используют со1фащенную запись div(a. Нулевой дивизор можно записать как div(l. Поэтому каждый приведенный дивизор можно записать как div(a, Ъ). Из доказательства теоремы 6.18.9 в ытекает следующее утверждение. Следствие 6.18.10. Если а{х) ? Ых) ЕЫ 5 degffe) 2 deg(^) и a\{b -^ bh-A то div(a, b) по луприведенныи дивизор. единственный полином такой, что для всех i вы полняется сравнение Ых) b.(x)(i'nod{x X, Т-) J и для него выполняются все три условия теоре мы. делителем главных дивизоров {а{х)) и (Ь(х) у)- Представление элемента якобиана в виде по луприведенного дивизора в общем случае неод позначно т к ж прибавление к нему (вычитание из него) дивизора произвольного полинома меняет вид полуприведенного дивизора 9 НО не Докажем, что D является наибольшим общим Покажем изменяет соответствующий элемент якобиана. как можно однозначно задать элемент якобиана. .V ЕС- ^ ► ^ ^ I"- 1 ^^
146 Полуприведенный дивизор (6.18.4) называет ся приведенным^ если m<g^ где g — род кривой Определим норму дивизора D Ущ(Ю К Qf D т. I . Среди дивизоров, эквивалентных Нф1 данному элементу якобиана, есть дивизор с минимальной нормой. Представление элемента якобиана приведенным дивизором означает минимизацию его нормы. Теорема 6.18.11. Каждый элемент якобиана может быть однозначно представлен приведенным дивизором. Эта теорема будет доказана ниже. Если рациональная функция / е К{С) не имеет полюсов среди аффиршых точек С(К), то/ то есть функция является полиномом. ШС], D 1 Сложение divf^b b 1 двух и л 2 приведенных дивизоров div(a2, ^2)5 представленных полиномами, выполняется в два этапа: сначала вычисляется полуприведенныи дивизор, соответ ствующии сумме дивизоров 9 затем выполняется его приведение. Пусть D divfa. А + А. Для вычисления divfe 3 необходимо выполнить следующие действия. Расширенным алгоритмом Евклида наи- I = НОД(йь ^2) в К[х] и линейное ди представление di =е^а\ + ^2^2. Расширенным алгоритмом Евклида найди 4. НОД(^ь bi + £>2 + /г) в К[х] и линейное представление J =^ CiJi + C2(bi + Й2 + h). Положить s\ = ci^b So = C2e2, S3 = C2, так что sia^ + ^2^2 + ^^3(^1 + ^2 + h). Положить a аж 2 Э s.ab^ -^-s^a^h -^-s^^^b^ +/) (mod a) Теорема 6.18.12. Дивизор div(^, b) является полуприведенным и D Л. + Л. 2 Представим полином Ь(х) в виде + sa, где S е К\х\ Тогда s.ab,'hs,a,h-¥sJhK-¥f) dy ■\-sa s^ab^ + s^a^b^ + s^{hb^ +/) Jv ■\-sa 8^аул- s^a^y + ^3 (й, + й, + /г)^^ ^ 4 Поэтому г. —*/1 5 гт, {Ь 2 у) + 5 2^2 ft + 4- s^{h y){b 2 у) + sa (6.18.5) Покажем, что а 2 + bh /). Действительно 5 2 + Й/? равно произведению левой части (6.18.5) на сопряженную функцию. Из а\ 2 1 4- + Ь 1 1 y){bi + /г + у) и «2 2 9 + 2 2 у)(Й2 + /г + у), следует, что а\а2 делит каж дое из слагаемых 51^1(^2 - }^, S202{b\ - у), s^ib У)Ф2 1 у). По следствию 6.18.10 div(a. по луприведенныи дивизор. Покажем, что А = Z)i + Z)2 и точка F лежит в 2 носителе дивизора D] или Z)2. Пусть ^ Р\ vp(D,) = ть v/.(D 1 vp(D 2 1112, V/.'(A) И Шл Ш2 > Тогда viiax) Шл 1 > /^Ь Ы«2) ^ "^2, Vp(fe ТО vp{dx) или т2 mi + m2. Если Ш] mi Vp{a) ВИЯ ем Vp(fe + m2. Поэтому Vp(D) = mi + m2. 9 vK^ и m-? > m2. Если . Поэтому то из усло- 1 4- 2 + h){xp) и V//a) mi 4- > 2ур + h{X}^ Ф О, получаем т2. Согласно (6.18.5) име- Wi + m\xvim\ + m2, mi + m2, mi + т-Л Пусть F Ф P\ vДД) = ть V/^A) = m2 и mi > ff?2 - Тогда Vp(ai) = ть Vp(a2) = m2, vM) = m2, Vp{b 1 j^)>mb v//fe2 и V/ >' 9 Vy/fe 2 + ^y) > m2 и V//fe 1 4- 2 4- y)>m2. Поэтому > m2. Отсюда Доказательство [23]. Поскольку J|Ji, то a следует, что Vp(d) = m2 и Vj4,a) mi m2. Из Щх]. Покажем, что b s Щх]. Имеем SM^b^ + 52^2^ + ^з(Ь\Ь2 + /) (6.18.5) получаем, что Vp{b -у)> гп] - mi. Поэто му Vp(D) тл т2. Пусть Р'. Возможны два случая: точку 2 52^2 s-^{h +^2 + h)) + s^aJ)^ + 53(^,^2 + /) содержат оба дивизора D\ и D2 или только один из них. Пусть Vp(D 1 ^2 + s^Oyib 1 й.) 2 5 2 ч-й^/г о V 2 ' ^"2 /) v/<a2) 2vp Vp(Ji) 4- Uxp) TO vy>(A Поскольку Vjibi + ^2 + /г) Тогда Vp(^i) 1 4- b2 + /г)(д:;.) и vp(d) ? Vy/a) Поэтому V//Z)) Поскольку JI a2 и a21 (^o + ^2'^ 2 /) 5 TO л кы Пусть vp{D 1 V/<^ 2 vM) 1, v/<A) Vp(6/) Тогда vp(ai) V/<^) Поскольку
147 1 то из (6.18.5) получаем Vp{b Mb Однако случай vp{b вительно, из предположения vp(b у)> невозможен. Дейст V/fe^ + S3(b 2 у))^ И V/>(52^2 + Ssibi + b2 + h))> ЧТО ведет к противоречию. Поэтому vp{D) Приведение полуприведенного дивизора образом. di\(c/, V) выполняется следующим 1. Положить а I f + bh 2 , b t а (mod d). Если deg(^') 9 ПОЛОЖИТЬ a < a\ b ^r- t и перейти на шаг Для удобства можно представить d полино мом с единичным старшим коэффициентом, ум пожив его на соответствующую константу 9 при этом нули и полюсы полинома d не изменятся. Докажем теорему 6.18.11 с помощью данного алгоритма. Доказательство выполним в три этапа. Сначала докажем, что deg(^) < g, затем что дивизор u\\{d^ b') полуприведенный, и что div(a', b') div(^. Здесь 3 S\ {SqKJ SxKj S2),, rij > nij, 5/ > 1, и Si 1 2 ДЛЯ P = P\ Из равенства b +bh Nib следует следует, что 2 divrt" + bh /) ЗЮ+Х'^.Ю 4- R e Л' /> E.V, 4- I«,(^') 4- Y^xo 4- s>{p:) m(P„ n bs I Яе5, Л^'^3 2 Поэтому div(a') = div(b + bh div(d) У]^хю^У]црг)+У^хЮ'^ p. ^s,' H ^s,' P еЛ\ 4- I^,(^ f mAPJ ? Pe& где I Пг nii и / t 1 {Z' ; 1 n f nil). Можно записать Л' + sd, где 5 e A^x]. Для точек P/ ь УЬ t I u 5'з справедливо равенство ^>'fc) /г(хЛ b{xi) + 5(x/)a'(X;) /г(хЛ J^/. <" Тогда рассуждая как при доказательстве тео ремы 6.18.9,получаем dxv{b f m)^YrXP:)^ 0(/>) + /J е5, ' l\ E.S, • я еЛ'з И якобиана. представляют один и тот же элемент + V >|;Д/^')+ V гД/^) '^.•(/l.X Яе.^з Р. еЛ\ Если degc(^) = m, degc(£)) = w, где m>n\^m>g-^- + 1, то dQg^d) = max(2g + 1, 2n) - m. Если m 4- + 1, TO max(2g + 1, 2n) lim 1) и deg,(^') m Если m 4- To max(2p- + 1, 2n) 2g + и deg/^') = g. Поэтому de&CiT') Поскольку/ й/? 2 йг/, TO /+ {V + //)/г f + /г) 2 О (mod d\ где Г/ > /,; w, > 5,; w^ Поэтому 1,еслиР, Р/; S 4 ^\W f us,} div(a',fe') ^,P> f '" '(^i H^S 1 /1еЛ\ i^.^ f s.Pr-^mXP) D div(b /J-EiV Яе.^ 3 b'h t 2 0 (mod d). По следствию 6.18.10 дивизор div(a э по Здесь -- в якобиане символ эквивалентности дивизоров Алгоритмы вычислений в якобиане гиперэл луприведенныи. Разобьем носитель дивизора 5' на непересе- липтической кривой приведены в п. 7.15. кающиеся подмножества аффинных точек {PIP п 1 {Р\Р ^ F'} и 2 {F: е 1 Тогда по теореме 6.18.9 имеем D №) + т,{РЛ НРо. RbS, i О /> ss 1 Тогда div(^) ЧР^)^Т^ЛР,)^У]щ(р,') mAPJ, Pi^S, о P,sS, R^S I div(b y) Ю+У«,(/^)+ R^S, 0 Я- e5. 4- MP>') Щ{Р. RsS 3 Обозначим через J[m] якобиан порядка m ги перэллиптической кривой С(К), где поле К ко нечно. На кривой С(К) можно определить спари вание Вейля е^^, устанавливающее вложение яко биана J[m] в мультипликативную группу расши рения якобиана. поля А, порядок которой делит порядок с Можно записать J[m] = Div [m]/Pr(C(Z)), где Div^[m] — группа дивизоров степени О таких, что для любого D S Div^[m] дивизор mD является главным. Пусть {ц п группа корней степени т из в L . Если А, D2 S Di\\m] — дивизоры с непере секающимися носителями, j^:>,^32 L(Q функ
148 ции с дивизорами div(fn) = mDu d^'^ifo^ можно определить функцию о о w^: Divlm] 0 Dwjm] {lim ^AD,,D 2 D I (A D 2 (A mD ъ, TO помощью функции Wjn определяется спари вание Веиля вт: л ml ® Л т] {Ц«/ следующим образом тели дивизоров D^ ся, при этом D\ G Пусть 5 Л ml и носи D о ? Л 2 Div \т\ не пересекают Б. Тогда еЛА, В) w^X^b А). Спаривание Вейля на гиперэллиптических кривых является важным инструментом при анализе криптографических алгоритмов с открытым ключом. ^.. ^ ^ J л. "S J V ■_ Упражнения к главе 6 10 Касательные в двух различных точках Р и эллиптической кривой, заданной в форме Вейерштрасса, пересекаются в некоторой точке эллиптической кривой. Покажите, что точка Р -Q имеет нулевую j^-координату. точке перегиба эллиптической кривой проведена касательная, пересекает кривую? какой еще точке она Покажите, что точки кручения эллиптиче ской кривой образуют группу. Приведите примеры изогений на эллиптиче ской кривой. Что такое нулевая изогения? Эллиптическая кривая над конечным полем задана уравнением у 2 а)(х Ь)(х с). Яв ляется ли группа точек кривой циклической? Является ли редукция поля комплексных чисел по модулю решетки с периодами Шь С02 гомоморфизмом колец? Поясните, чем отличаются изоморфизм и би- рациональный изоморфизм кривых. Приведите примеры. Каким образом из фундаментального параллелограмма получается тор и обратно? Чему на торе соответствуют вершины фундаментального параллелограмма? Существует ли на торе образ бесконечно удаленной точки? Установите взаимно однозначное соответствие между точками коники над [R и точками прямой над R методом проектирования точки на прямую. Будет ли это отображение бира- циональным изоморфизмом, изоморфизмом, морфизмом? Установите соответствие между вырожден- *? '^ *? ной кубикой у =х +х и прямой путем параметризации. Является ли это соответствие взаимно однозначным отображением. физмом. бирациональным мор- изоморфизмом. 11 12 13 14 15 16 17 18 изоморфизмом алгебраических кривых, изо морфизмом групп? Покажите, что эллиптические функции с одинаковым фундаментальным параллело граммом образуют поле. Я 9 X + ах + Ьх + с над Является ли кривая алгебраически замкнутым полем характери стики 2 эллиптической? Является ли кривая 2 3 X + £> над алгебраи чески замкнутым полем характеристики эллиптической? п 3 Является ли 1 ^ 2 особая кубическая кривая х~ + X неприводимой? Может ли характеристическое уравнение эн доморфизма Фробениуса иметь нулевой ко рень? Покажите 9 что идеал нормирования поля К(Е) рациональных функций на кривой Е со- необратимые элементы кольца все держит нормирования и является главным Для кривой Е((0) 2 X Я Приведите пример функции, являющейся обратимым элементом кольца нормирования в точке (1, 0), и функции, являющейся необратимым элементом этого кольца нормирования. Найдите униформи- зующии параметр нормирования в этой точке. Пусть Е(К): у 2 X 3 X эллиптическая 1фи вая. Найдите ошибку в следующих рассуж дениях по вычислению значения нормирова ния функции X в точке (О, 0): «Если / имеет значение нормирования то/ 2 имеет значение нормирования 2к. Получаем 2 X 2 X 2 X 2 X 3 X X 2
149 Функция/ при X = о имеет нуль кратности Значит, / имеет в точке (О, 0) нуль дробной 1фатности 1/2». 19. Найдите значение нормирования функции X 2 X на кривой j^CQ): 2 X 3 кахР 9 о)ие (1,0). Ю. Покажите, что нормирование поля функций на эллиптической кривой Е{К) в точке ляется гомоморфизмом из (К(Е)) яв в Най образ дите нормирования униформизующего параметра и. Пусть/ кривой х^ + Ах^ функция на эллиптической , Найдите число ну- Ах лей и дивизор этой функции над алгебраически замкнутым полем. 12. Дивизоры функций на кривой имеют степень и образуют подгруппу в группе дивизоров. Образуют ли подгруппу дивизоры функций 5 имеющих нуль в данной точке Р кривой? Является ли аффинное координатное кольцо гиперэллиптической кривой факториальным? М. Пусть эллиптическая кривая вида от X над полем характеристики, отличной и 3. Найдите представление дивизора функции ху как дивизора на кривой. 25. На эллиптической кривой, заданной уравнением (6.7.7) над полем характеристики ? от личной от и визором div(/) существует функция / с ди 2(F) + 2{Р^ Что можно сказать о координатах точки F? 26. Может ли эллиптическая кривая над полем характеристики, отличной от функцию/с дивизором div(/) и иметь 3(Р) 3(Р со 27. Рациональные функции на эллиптической кривой образуют поле. Что собой представляют дивизоры функций, являющихся нулем и единицей в этом поле? 28. Является ли кольцо аффинных координат эллиптической кривой целостным? Может ли кольцо аффинных координат алгебраического многообразия иметь делители нуля? Приведите пример. X в точ- 29. Пусть Е/К — эллиптическая кривая. Покажите, что при переходе к алгебраическому за- 30 32 33 мыканию поля К любая функция из кольца К[Е] с точностью до константы представляется в виде дроби, числитель и знаменатель которой являются произведениями полиномов, задающих прямые, проходящие через точки кривой Е(К). Пусть E/\F 5 2 X 3 + 3х эллиптическая кривая и /— функция с дивизором div(/) = ((0,0))+ ((1,2)) /(4,4)7/(2,3). ((2, 2)) ((4, 1)). Найдите 31. Пусть Е(К) эллиптическая кривая над ал гебраически замкнутым полем. Кольцо поли номов от двух переменных К[х 5 содержит неприводимые полиномы. Однако функции на кривой из кольца аффинных координат, являющиеся элементами кольца К[Е], раскладываются на линейные множители. Почему? Покажите, что эндоморфизм Фробениуса на эллиптической кривой над конечным полем коммутирует с любым эндоморфизмом. Почему комплексное умножение позволяет ускорить умножение точки на число? 34. Пусть р алгебраическое замыкание поля/? адических чисел. Моишо ли в поле р ввести аналог функции Вейерштрасса и с его помощью параметризовать эллиптическую кривую? Ъ-^ I ^L -W. Литература к главе 6 Ван дф Варден Б.Л. Алгебра. М.: Наука, 1979. Коблиц Н. Введение в эллиптические кривые и мо/гулярные формы. М.: Мир, 1988. Ленг С. Эллиптические функции Пер с англ С.А. Степанова. Новокузнецкий физико-математический институт, 2000. Прасолов В.В., Соловьев Ю.П. Эллиптические кривые и алгебраические уравнения. М.: Изд-во «Факториал», 1997. Рид М. Алгебраическая геометрия для всех. М.: Мир, 1991. 10 Степанов С.А. Арифметика алгебраических кри вых. М.: Наука, 1991. Хартсхорн Р. Алгебраическая геометрия. Мир, 1981. М.: Хедж В., Пидо Методы алгебраической гео метрии. М.: ИЛ, 1955. Шафаревич И.Р. Основы алгебраической геомет рии. М.: Наука, 1988. Cantor D. Computing in the jacobian of a hyperellip tic curve Vol. 48. P. 95 Mathematics of Computation. 101. 1987
->1 •ш - "-L ^-:- V- 11 12 15 16 18 Dolgachev Lectures on Modular Forms www.math.lsa.umich.edii/-idolga/lecturenotes.html. , Fulton W. Algebraic curves. New York: Benjamin, 1969. 13. HusemoUerD. Elliptic curves. Springer-Verlag, 1987. 14. Koblitz N. Hyperelliptic crypto system s // Journal of Cryptology. 1989. Vol. LP. 139 150 . Lercier R., Morain F. Algorithms for computing isogenies between elliptic curves // Computational perspectives on number theory. AMS/IP Studies on Advanced Mathematics. Vol. 7. , Mazur B. Rational points on modular curves. Lecture Notes in Mathematics. Springer-Verlag, 1976. Vol. 601. 17. Schoof R. Counting points on elliptic curves over finite fields // Journal de Theorie des Nombres de Bordeaux. 1995. Vol. 7. P. 215-254. Schoof R. Elliptic curves over finite fields and the computation of square roots mod/? // Mathematics of Computation. 1985. Vol. 44. P. 483-494. 19 20 21 22 23 Semaev LA. Evaluation of discrete logarithms in a group of/?-torsion points of an elliptic curve in characteristic p II Mathematics of Computation. 1998. Vol. 67. P. 353-356. Shanks D. Class number, a theory of factorization and genera 5 Proceedings of Symposia in Pure Mathematics. 1969. Vol. XX. New York: Number Theory Institute. American Mathematical Society, 1969. P. 415-440. Silverman J.H. The arithmetic of elliptic cui-ves. Springer-Verlag, 1986. Semaev LA. Elliptic curve points over the maximal multiquadratic extension of rational numbel's www.wis.kuleuven.ac.be/algebra/artikels/semaev.htm. Menezes AJ., Wu Y.-H., Zuccerato R.J. An elementary introduction to hyperelliptic curves // Technical гфоп CORK 96-19, university of Waterloo, Canada, 1996. http://www.secш^tytechnetconVclypto/algorithrn/ecc.htmL
Глава ВЫЧИСЛИТЕЛЬНЫЕ АЛГОРИТМЫ АЛГЕБРЫ И ТЕОРИИ ЧИСЕЛ -.^■^ #*1 i ■ г^ -'■С^^ Лг #> а " -i-H этой главе приведены некоторые алгорит Здесь вместо четырех умножений (как при мы, часто используемые в криптографии. Алго- умножении ритмы линейной алгебры (решение системы ли- «в столбик») полиномов степени т — 1 требуется только три. Операция умноже- нейных уравнений, вычисление ранга матрицы, ния полинома на х"^ выполняется сдвигом масси- нахождение линейно зависимых строк матрицы, ва коэффициентов и имеет линейную сложность. умножение и обращение матриц) остались за Асимптотическая сложно