Delgado L.; Vallejo R.; Mutis W. & Castillo J. 2009.

La Estructura de Grupo de
las Curvas Elpticas. Revista Sigma, 9 (1). P ag. 20-37
http://coes.udenar.edu.co/revistasigma/articulos/articulosIX1/3.pdf
REVISTA SIGMA
Departamento de Matem aticas y Estadstica
Universidad de Nari no
Volumen IX (2009), p aginas 2037
La Estructura de Grupo de las Curvas Elpticas
Luis Miguel Delgado Ordo nez
1
Ricardo Antonio Vallejo Villarreal
2
Wilson Fernando Mutis Cantero
3
John Hermes Castillo Gomez
4
Universidad de Nari no
Abstract. In the early part of this article presents an introduction to the study of elliptic
curves dened over a eld K and some characteristics of these curves depend on the eld
which have been dened and subsequently shown that it is possible to dene an operation
binary between the points of an elliptic curve to give abeliano group structure. In the
apendix we presents the algorithms developed in this work, implemented in the computer
system algebra MuPAD.
Keywords. Finite Fields, Elliptic Curves, Point to Innity, Discriminant, Invariant.
Resumen. En la parte inicial de este artculo se presenta una introduccion al estudio de las
curvas elpticas denidas sobre un campo K y algunas caractersticas de dichas curvas que
dependen del campo sobre el cual se han denido; posteriormente se muestra que es posible
denir una operacion binaria entre los puntos de una curva elptica proporcionandole a esta
estructura de grupo abeliano. En el apendice se presentan algoritmos desarrollados en este
trabajo, implementados en el sistema de algebra computacional MuPAD.
Palabras Clave. Campo Finito, Curva Elptica, Punto al Innito, Discriminante, Invari-
ante.
Introduccion
La teora de curvas elpticas no es nueva, hace mucho tiempo que ha sido abordada desde
la teora de n umeros y la geometra algebraica, sin embargo su estudio a tenido un mayor
auge en los ultimos tiempos debido al uso que estas tuvieron en la demostracion del ultimo
teorema de Fermat y por su aplicacion en la criptografa.
1
Estudiante de Licenciatura en Matem aticas de la Universidad de Nari no, Pasto - Nari no - Colombia.
2
Estudiante de Licenciatura en Matem aticas de la Universidad de Nari no, Pasto - Nari no - Colombia.
3
Docente Tiempo Completo de la Universidad de Nari no, Pasto - Nari no - Colombia.
4
Docente Tiempo Completo de la Universidad de Nari no, Pasto - Nari no - Colombia.
20
Dada una curva elptica E sobre un campo nito F
q
es posible denir un grupo abeliano
nito E(F
q
) el cual es estructuralmente rico en propiedades algebraicas que permiten elab-
orar algoritmos computacionales ecientes.
A pesar que las curvas elpticas se pueden denir sobre cualquier campo, las que ofrecen
mayores benecios computacionales son las que se construyen sobre un campo nito, debido
a que se puede simplicar la ecuaci on general
5
que dene las curvas elpticas, cuando la
caracterstica del campo es diferente de cero, y esto facilita el trabajo que se haga con estas
curvas.
La estructura de grupo E(F
q
) en una curva elptica es la que permite las aplicaciones com-
putacionales, como por ejemplo la elaboraci on de criptosistemas ecientes; en el grupo E(F
q
)
el elemento neutro se denomina punto al innito y se denota con O, en general, no es facil
visualizar este elemento motivo por el cual se hace una presentacion analtica del mismo.
1 Curva Elptica
A menos que se indique lo contrario, K es un campo cualquiera y

K su cerradura algebraica.
Denicion 1.1 (Curva Elptica). Sean K un campo y a
1
, a
2
, a
3
, a
4
, a
6
K. Una curva
elptica construida sobre K, denotada con E(K), es el conjunto de puntos (x, y) K K
que cumplen la ecuaci on
y
2
+a
1
xy +a
3
y = x
3
+a
2
x
2
+a
4
x +a
6
. (1.1)
junto con un elemento O que se denomina punto al innito. Es decir,
E(K) = {(x, y) K K : y
2
+a
1
xy +a
3
y = x
3
+a
2
x
2
+a
4
x +a
6
} {O}.
A continuacion se estudia la denicion del punto al innito, y se mostrara que este pertenece
a toda curva elptica.
1.1 El Punto al Innito
En el estudio de las curvas elpticas, el punto al innito O es difcil de visualizar, existen
varias formas de presentarlo; a continuacion se expone una de ellas.
Sea A = R
3
{(0, 0, 0)}, se dice que dos puntos (X, Y, Z) y (X

, Y

, Z

) en A est an rela-
cionados, si existe un escalar = 0 tal que (X, Y, Z) = (X

, Y

, Z

). Para denotar que los

puntos (X, Y, Z) y (X

, Y

, Z

) en A est an relacionados, se escribe (X, Y, Z) (X

, Y

, Z

).
Se puede probar que la relacion denida anteriormente es una relacion de equivalencia en A,
y para cada (X, Y, Z) A su clase de equivalencia [(X, Y, Z)] se denomina punto proyectivo
y esta dada por
[(X, Y, Z)] = {(X

, Y

, Z

) A : (X, Y, Z) (X

, Y

, Z

)}
= {(X

, Y

, Z

) A : (X, Y, Z) = (X

, Y

, Z

) para alg un R {0}}

=

(X

, Y

, Z

) A : (X

, Y

, Z

) =
1

(X, Y, Z) para alg un R {0}

El plano proyectivo se dene como el conjunto de las clases de equivalencia:

P = {[(X, Y, Z)] : (X, Y, Z) A}.
5
A esta ecuaci on se la denomina Ecuaci on de Weierstrass.
21
Este plano proyectivo se puede dividir en los conjuntos de clases de equivalencia en las cuales
Z = 0 y Z = 0.
Sea [(X, Y, Z)] un punto proyectivo. Cuando Z es diferente de cero,
(X, Y, Z) = Z

X
Z
,
Y
Z
, 1

= Z(x, y, 1)
donde x =
X
Z
e y =
Y
Z
.
As, (X, Y, Z) (x, y, 1) por lo tanto (x, y, 1) [(X, Y, Z)], as el plano proyectivo puede
ser visualizado como los puntos (x, y) sobre R
2
, mas los puntos para los cuales Z es igual a
cero, estos ultimos puntos forman la linea al innito.
Sea F(x, y) = 0 la ecuaci on implcita para y como una funci on de x en (1.1), es decir
F(x, y) = y
2
+a
1
xy +a
3
y x
3
a
2
x
2
a
4
x a
6
,
entonces toda ecuaci on F(x, y) = 0 de una curva sobre R
2
corresponde a una ecuaci on

F(X, Y, Z) = 0, que se encuentra al reemplazar x por X/Z, y por Y/Z y multiplicar por una
potencia de Z para eliminar los denominadores, esta ecuaci on se satisface por los correspondi-
entes puntos proyectivos. Tomando la ecuaci on (1.1), y aplicando el anterior procedimiento
se encuentra su ecuaci on proyectiva
Y
2
Z +a
1
XY Z +a
3
Y Z
2
= X
3
+a
2
X
2
Z +a
4
XZ
2
+a
6
Z
3
. (1.2)
Si esta es satisfecha por un punto proyectivo [(X, Y, Z)] con Z = 0, entonces el punto (x, y)
debe satisfacer la ecuaci on (1.2), donde x = X/Z e y = Y/Z. Ahora, tomando los puntos
de la linea al innito o mejor los puntos proyectivos con Z = 0 en la ecuaci on proyectiva,
se tiene 0 = X
3
, es decir, X = 0. Pero el unico punto proyectivo con X = 0 y Z = 0 es
[(0, 1, 0)], este es el punto O, el cual es la interseccion del eje y con la linea al innito.
1.2 Discriminante e Invariante
Elementos que permiten conocer caractersticas de las curvas elpticas son el discriminante
y el invariante j, para la ecuaci on (1.1) se denen de la siguiente manera:
Denicion 1.2 (Discriminante). Sea E(K) una curva elptica, se denota su discriminante
con y se dene como:
= b
2
2
b
8
8b
3
4
27b
2
6
+ 9b
2
b
4
b
6
donde
b
2
= a
2
1
+ 4a
2
,
b
4
= 2a
4
+a
1
a
3
,
b
6
= a
2
3
+ 4a
6
,
b
8
= a
2
1
a
6
+ 4a
2
a
6
a
1
a
3
a
4
+a
2
a
2
3
a
2
4
.
Ahora se dene el invariante, haciendo la aclaracion de que este solo se puede calcular si
= 0.
22
Denicion 1.3 (Invariante). Sea E(K) una curva elptica, se denota su invariante con j
y se dene como:
j =
c
3
4
b
2
2
b
8
8b
3
4
27b
2
6
+ 9b
2
b
4
b
6
=
c
3
4

donde b
2
, b
4
, b
6
, b
8
como arriba y
c
4
= b
2
2
24b
4
.
1.3 Simplicacion de la Ecuacion General de una Curva
Elptica
El siguiente teorema presenta las posibles simplicaciones de la ecuaci on (1.1), las cuales
dependen de la caracterstica del campo sobre el cual se construya la curva elptica.
Teorema 1.4 (Simplicaci on de la Ecuacion General de una Curva Elptica). Sea
E(K) una curva elptica denida por la ecuaci on (1.1), entonces:
1. Si car K es diferente de 2 y 3, entonces la ecuaci on (1.1) se puede escribir como
y
2
= x
3
+a
4
x +a
6
(1.3)
adem as = 16(4a
3
4
+ 27a
2
6
), j = 1728

4a
3
4
4a
3
4
+ 27a
2
6

y c
4
= 48a
4
.
2. Si car K = 3, entonces la ecuaci on (1.1) se puede escribir como
y
2
= x
3
+a
2
x
2
+a
6
(1.4)
adem as = a
3
2
a
6
, j =
a
3
2
a
6
y c
4
= a
2
2
= 0.
3. Si car K = 3, entonces la ecuaci on (1.1) se puede escribir como
y
2
= x
3
+a
4
x +a
6
(1.5)
adem as = a
3
4
, j = 0 y c
4
= 0.
4. Si car K = 2, entonces la ecuaci on (1.1) se puede escribir como
y
2
+xy = x
3
+a
2
x
2
+a
6
(1.6)
adem as = a
6
, j =
1
a
6
y c
4
= 1.
5. Si car K = 2, entonces la ecuaci on (1.1) se puede escribir como
y
2
+a
3
y = x
3
+a
4
x +a
6
(1.7)
adem as = a
4
3
, j = 0 y c
4
= 0.
Para una demostracion del Teorema 1.4, ver [4].
23
Denicion 1.5 (Curvas Isomorfas). Sean E(K) y E

(K) dos curvas elpticas, se dice

que E(K) y E

(K) son isomorfas si y s olo si las dos pueden ser representadas por la misma
ecuaci on.
El Teorema 1.4 permite caracterizar las curvas isomorfas dependiendo de sus invariantes;
este resultado se describe en el siguiente teorema:
Teorema 1.6 (Curvas Isomorfas). Sean E y E

dos curvas elpticas sobre un campo

K,
entonces E(

K) y E

(

K) son isomorfas si y s olo si tienen el mismo invariante.
Demostraci on. Si se supone que E(

K) y E

(

K) son dos curvas isomorfas, entonces se puede
mostrar que tienen el mismo invariante, ya que las dos pueden ser representadas por la
misma ecuaci on.
Se supone ahora que E(

K) y E

(

K) son dos curvas con el mismo invariante, sea la car

K
diferente de 2 y 3. Entonces las curvas admiten ecuaciones de la forma (1.3), as:
E(

K) : y
2
= x
3
+a
4
x +a
6
E

(

K) : y
2
= x
3
+a

4
x

+a

6
.
Dado que las curvas tienen el mismo invariante, se puede escribir la siguiente igualdad
4a
3
4
4a
3
4
+ 27a
2
6
=
4a

4
3
4a

4
3
+ 27a

6
2
.
Aqu se debe distinguir tres casos:
Si a
4
= 0 y a
6
= 0, entonces a

4
= 0 y a

6
= 0, porque = 0 (ver Denicion 1.3). Se toma
ahora u

K tal que
u
6
=
a
6
a

6
y entonces el cambio x = u
2
x

, y = u
3
y

transforma a la curva E(

K) en E

(

K).
Si a
6
= 0, entonces a

6
= 0, a
4
= 0 y a

4
= 0. Se toma ahora u

K tal que
u
4
=
a
4
a

4
y de nuevo el cambio x = u
2
x

, y = u
3
y

hace corresponder las curvas.

Si a
4
= 0 y a
6
= 0, entonces tambien a

4
= 0 y a

6
= 0. De la igualdad de los invariantes se
sigue que a
3
4
a

6
2
= a

4
3
a
2
6
o, equivalentemente,

a
4
a

3
=

a
6
a

2
.
Ahora se toma u

K tal que
u
4
=
a
4
a

4
,
de manera que
u
12
=

a
6
a

2
y u
6
=
a
6
a

6
,
24
si el signo es negativo se multiplica u por una raz cuarta primitiva de la unidad, con lo cual
u
4
sigue siendo el mismo y u
6
cambia de signo. En denitiva se tiene que
u
4
=
a
4
a

4
y u
6
=
a
6
a

6
.
El cambio x = u
2
x

, y = u
3
y

transforma una curva en otra.

Ahora se supone que la car

K = 3 y que el invariante j = 0. Entonces las curvas admiten
ecuaciones de la forma (1.4), as:
E(

K) : y
2
= x
3
+a
2
x
2
+a
6
E

(

K) : y
2
= x
3
+a

2
x
2
+a

6
.
Como se supone la igualdad del invariante, se puede escribir la siguiente
a
3
2
a
6
=
a

2
3
a

6
.
Como j = 0, entonces a
2
= 0, a

2
= 0, a
6
= 0, a

6
= 0 y a
3
2
a

6
= a

2
3
a
6
. Se toma ahora u

K
tal que
u
2
=
a
2
a

2
.
El cambio x = u
2
x

, y = u
3
y

transforma a la curva E(

K) en E

(

K).
En este caso se supone que la car

K = 3 y j = 0, Entonces las curvas admiten ecuaciones de
la forma (1.5), as:
E(

K) : y
2
= x
3
+a
4
x +a
6
E

(

K) : y
2
= x
3
+a

4
x

+a

6
con a
4
= 0 y a

4
= 0. Esta vez se considera un cambio de coordenadas de la forma x =
u
2
x

+r, y = u
3
y

. Basta tomar u

K y r de modo que
u
4
=
a

4
a
4
, r
3
+a
4
r +a
6
u
6
a

6
= 0.
As se transforma a la curva E(

K) en E

(

K).
Sea ahora la car

K = 2 y j = 0. Entonces las curvas admiten ecuaciones de la forma (1.6),
as:
E(

K) : y
2
+ xy = x
3
+a
2
x
2
+a
6
E

(

K) : y
2
+x

= x
3
+a

2
x
2
+a

6
.
Como se supone que las curvas tienen el mismo invariante, se puede escribir la siguiente
igualdad
1
a
6
=
1
a

6
.
Como j = 0, entonces a
6
= a

6
y a
6
= 0. Se considera el cambio x = x

, y = y

+sx

, donde
s es una raz de la ecuaci on s
2
+s+a
2
+a

2
= 0. As se transforma a la curva E(

K) en E

(

K).
Finalmente, sea la car

K = 2 y j = 0, entonces las curvas admiten ecuaciones de la forma
(1.7), as:
E(

K) : y
2
+a
3
y = x
3
+a
4
x +a
6
E

(

K) : y
2
+a

3
y

= x
3
+a

4
x

+a

6
25
con a
3
= 0 y a

3
= 0. Se considera el cambio x = u
2
x

+ s
2
, y = u
3
y

+ u
2
sx

+t, de modo
que
u
3
=
a
3
a

3
, s
4
+a
3
s +a
4
u
4
a

4
= 0 y t
2
+a
3
t +s
6
+a
4
s
2
+a
6
u
6
a

6
= 0.
As, se transforma la curva E(

K) en E

(

K).
Si las ecuaciones (1.3), (1.4) y (1.5), obtenidas en el Teorema 1.4, se igualan a cero o
mejor, si F(x, y) = 0 es una ecuaci on implcita de y como una funci on de x, se obtienen
respectivamente F
1
(x, y) = y
2
x
3
a
4
x a
6
, F
2
(x, y) = y
2
x
3
a
2
x
2
a
6
y F
3
(x, y) =
y
2
x
3
a
4
x a
6
. En las primeras ecuaciones se pueden presentar races m ultiples, ya que
tienen en el termino de la izquierda y
2
. Pero se puede demostrar que ecuaciones de la forma
(1.3), (1.4) o (1.5) no tienen races m ultiples, si y solo si
F
x
(x, y) = 0 o
F
y
(x, y) = 0 o si = 0
para todo (x, y) E(K) donde E(K) es una curva elptica denida por ecuaciones de
la forma (1.3), (1.4) o (1.5). Las ecuaciones con esta caracterstica se las denomina no
singulares o curvas suaves. Este resultado lo podemos encontrar en [2].
2 Estructura de Grupo de una Curva Elptica
Para conocer explcitamente las formulas que denen la suma de dos elementos de una curva
elptica E(K), se trabaja con la ecuaci on (1.1).
La suma de dos puntos de una curva elptica, se regira seg un la siguiente denicion:
Denicion 2.1 (Suma de Puntos de E(K)). Sea E(K) una curva elptica determinada
por una ecuaci on de la forma (1.1) y sean P, Q E(K). Se denomina R al tercer punto
donde la recta que pasa por P y Q corta a E(K), entonces P +Q es el punto donde la recta
que pasa por R y O corta a E(K).
La anterior denicion se puede visualizar en la Graca 1, donde E(R) : y
2
= x
3
5x + 4.
Es importante aclarar con relacion a lo anterior, que se puede demostrar que la recta secante
que pasa por dos puntos de una curva elptica corta a esta en exactamente otro punto,
ademas este tercer punto tambien cumple la ecuaci on (1.1). Tales demostraciones se pueden
encontrar en [1].
2.1 Inverso
Conociendo la operaci on que se puede denir entre los puntos de una curva elptica, el paso
siguiente, en el estudio de la estructura que estos forman, es la denicion del inverso de todo
elemento que pertenezca a esta. Antes de denir el inverso de un punto, es necesario aclarar
que se tomara como resultado de toda adici on de dos puntos inversos entre si, a O.
Denicion 2.2 (Inverso de un Punto). Sea E(K) una curva elptica, y sea P = (x
0
, y
0
)
E(K), se dene la recta l que atraviesa los puntos P y O, entonces, el inverso de P, se dene
como el tercer y ultimo punto de intersecci on entre l y la curva E(K), en otras palabras la
recta l es la unica paralela al eje y, que pasa por el punto P.
26
Graca 1: Suma de Puntos de una Curva Elptica.
Para encontrar las coordenadas del inverso de un punto, que pertenezca a una curva elptica
E, se debe trabajar con la recta l de la anterior denicion, la cual tiene como ecuaci on
general x = x
0
.
Sea el punto P = (x
0
, y
0
) E(K) y sea P = (x
0
, y

0
) E(K), el tercer punto donde la
recta x = x
0
corta a E(K) (los otros dos puntos son P y O).
La abscisa del punto P se conoce a partir de la Denicion 2.2.
Con la ecuaci on (1.1), se dene F(x, y) = 0 la ecuaci on implcita de y, como una funci on de
x.
F(x, y) = y
2
+a
1
xy +a
3
y x
3
a
2
x
2
a
4
x a
6
(2.1)
Como los unicos dos puntos con abscisa x
0
que est an en E(K) son P y P, los cuales
tienen como ordenadas a y
0
y y

0
. Se puede factorizar (2.1), as F(x
0
, y) = c(y y
0
)(y y

0
).
Comparando los coecientes de y
2
al desarrollar (2.1) factorizada, se tiene a c = 1 y al
resolver c(y y
0
)(y y

0
) se encuentra que los coecientes de y son y
0
y

0
pero deben
ser igual a los coecientes de y en (1.1), as y
0
y

0
= a
1
x
0
+ a
3
, despejando se tiene
y

0
= y
0
a
1
x
0
a
3
, nalmente se concluye que
P = (x
0
, y
0
a
1
x
0
a
3
).
S olo falta mostrar que P es tambien un punto de la curva elptica, si se conoce que P lo
es.
Sea P = (x
0
, y
0
) un punto de la curva elptica E(K), entonces se conoce que P satisface la
ecuaci on (1.1), por lo tanto se cumple
y
2
0
+a
1
x
0
y
0
+a
3
y
0
= x
3
0
+a
2
x
2
+a
4
x
2
0
+a
6
.
Anteriormente se encontro que
P = (x
0
, y
0
a
1
x
0
a
3
) = (x
0
, Z),
27
entonces se cumple
Z
2
+a
1
x
0
Z +a
3
Z = x
3
0
+a
2
x
2
+a
4
x
2
0
+a
6
.
Si se reemplaza el valor de Z, y se desarrolla toda la expresion algebraica, se encuentra que
se cumple la siguiente igualdad
y
2
0
+a
1
x
0
y
0
+a
3
y
0
= x
3
0
+a
2
x
2
+a
4
x
2
0
+a
6
esta igualdad se cumple ya que P E, por lo tanto se puede asegurar que P E.
2.2 Ecuaciones Para Sumar Elementos de E(K)
Ahora se consideran dos puntos P
1
, P
2
E(K), tales que P
1
= (x
1
, y
1
) y P
2
= (x
2
, y
2
).
Si x
1
= x
2
y y
1
= y
2
a
1
x
2
a
3
, entonces por denicion del inverso, P
1
+ P
2
= O.
Descartando este caso y considerando la recta que pasa por los puntos P
1
y P
2
, como la
recta tangente a E(K) por P
1
, si P
1
= P
2
, se va a calcular P
1
+ P
1
= 2P
1
; ahora, sea la
ecuaci on de esta recta
y = x + (2.2)
Sea P
3
el tercer punto donde esta recta corta a E(K). Seg un la Denicion 2.1, P
3
= P
1
+P
2
,
ahora para calcular las coordenadas de P
3
, se reemplaza y = x + en (2.1),
F(x, x +) = (x +)
2
+a
1
x(x +) +a
3
(x +) x
3
a
2
x
2
a
4
x a
6
.
Como los puntos P
1
, P
2
y P
3
, son los unicos que tienen como ordenada a x+ y pertenecen
a E(K). La ecuaci on (2.1), se puede factorizar as,
F(x, x +) = c(x x
1
)(x x
2
)(x x
3
).
Igualando los coecientes de x
3
de las ecuaciones (1.1) y (2.1) factorizada, se obtiene c = 1,
y con los coecientes de x
2
en estas ecuaciones, se tiene x
1
+x
2
+x
3
=
2
+a
1
a
2
, as
x
3
=
2
+a
1
a
2
x
1
x
2
.
Ahora, como es la derivada implcita en P
1
de la ecuaci on (1.1), se obtiene:
d
dx
(y
2
+a
1
xy +a
3
y) =
d
dx
(x
3
+a
2
x
2
+a
4
x +a
6
)
2yy

+a
1
xy

+a
1
y +a
3
y

= 3x
2
+ 2a
2
x +a
4
y

=
3x
2
+ 2a
2
x +a
4
a
1
y
2y +a
1
x +a
3
=
3x
2
+ 2a
2
x +a
4
a
1
y
2y +a
1
x +a
3
(2.3)
ahora se reemplaza P
1
en (2.3)
=
3x
2
1
+ 2a
2
x
1
+a
4
a
1
y
1
2y
1
+a
1
x
1
+a
3
.
Para encontrar se despeja de la ecuaci on (2.2) y se reemplaza junto con P
1
o P
2
. As:
= x
1
+y
1
= y
1

(3x
2
1
+ 2a
2
x
1
+a
4
a
1
y
1
)x
1
2y
1
+a
1
x
1
+a
3
=
(2y
2
1
+a
1
x
1
y
1
+a
3
y
1
) (3x
3
1
+ 2a
2
x
2
1
+a
4
x
1
a
1
x
1
y
1
)
2y
1
+a
1
x
1
+a
3
=
2(y
2
1
+a
1
x
1
y
1
+a
3
y
1
) a
1
x
1
y
1
a
3
y
1
(3x
3
1
+ 2a
2
x
2
1
+ a
4
x
1
a
1
x
1
y
1
)
2y
1
+a
1
x
1
+a
3
.
28
Ahora se reemplaza en la igualdad anterior y
2
1
+ a
1
x
1
y
1
+ a
3
y
1
por x
3
1
+ a
2
x
2
1
+ a
4
x
1
+ a
6
,
lo cual se cumple al ser P
1
un punto de la curva E(K), o mejor al ser un punto que cumple
la ecuaci on (1.1)
=
2(x
3
1
+a
2
x
2
1
+a
4
x
1
+a
6
) a
1
x
1
y
1
a
3
y
1
(3x
3
1
+ 2a
2
x
2
1
+a
4
x
1
a
1
x
1
y
1
)
2y
1
+a
1
x
1
+a
3
se obtiene nalmente
=
x
3
1
+a
4
x
1
+ 2a
6
a
3
y
1
2y
1
+a
1
x
1
+a
3
.
El caso que resta es x
1
= x
2
, entonces la pendiente de la recta dada por la ecuaci on (2.2),
se encuentra mediante las coordenadas de los puntos P
1
y P
2
los cuales pertenecen tanto a
la recta como a la curva elptica.
=
y
2
y
1
x
2
x
1
.
Para encontrar a , se repite el procedimiento del caso anterior, de donde
=
x
2
y
1
x
1
y
2
x
2
x
1
.
Anteriormente se encontro
x
3
=
2
+a
1
a
2
x
1
x
2
ahora sustituyendo en la ecuaci on de la recta queda que y
3
= x
3
+ . Con lo cual se
obtiene a P
3
, pero como lo que se necesita es las coordenadas de P
3
, por lo tanto se aplica
las anteriores coordenadas encontradas para el inverso.
Sea P
3
= (x
3
, y

3
), entonces y

3
= y
3
a
1
x
3
a
3
, pero y
3
= x
3
+ , al reemplazar
y

3
= (x
3
+) a
1
x
3
a
3
= ( +a
1
)x
3
a
3
.
Entonces, las coordenadas de
P
1
+P
2
= P
3
= (
2
+a
1
a
2
x
1
x
2
, ( +a
1
)x
3
a
3
).
3 El Grupo E(K)
En esta secci on se va a mostrar un peque no acercamiento a la demostracion de que E(K)
junto con la operaci on de adici on que se va a denir a continuacion, tiene estructura de grupo.
El siguiente teorema, muestra como encontrar las coordenadas de un punto que es la suma
dos puntos de una curva elptica, este es el resultado de la teora expuesta en la secci on
anterior.
Teorema 3.1 (Algoritmo de la Suma). Sea E(K) una curva elptica denida por una
ecuaci on de la forma (1.1). Entonces
1. Si P
0
= (x
0
, y
0
) E(K) es un punto nito, P
0
= (x
0
, y
0
a
1
x
0
a
3
).
29
2. Si P
1
= (x
1
, y
1
), P
2
= (x
2
, y
2
) son puntos nitos de E(K) tales que x
1
= x
2
y
y
1
+y
2
+a
1
x
2
+a
3
= 0, entonces P
1
+P
2
= O. En caso contrario, sean
=

y
2
y
1
x
2
x
1
, si x
1
= x
2
,
3x
2
1
+ 2a
2
x
1
+a
4
a
1
y
1
2y
1
+a
1
x
1
+a
3
, si x
1
= x
2
,
y
=

y
1
x
2
y
2
x
1
x
2
x
1
, si x
1
= x
2
,
x
3
1
+a
4
x
1
+ 2a
6
a
3
y
1
2y
1
+a
1
x
1
+a
3
, si x
1
= x
2
.
Entonces, P
3
= P
1
+P
2
viene dado por
x
3
=
2
+a
1
a
2
x 1 x
2
,
y
3
= ( +a
1
)x
3
a
3
.
Esta es una operaci on binaria, ya que dados P, Q E(K), la Denicion 2.1 garantiza que
el tercer punto R, es decir P +Q = R, est a tambien en la curva elptica.
La propiedad asociativa es la mas difcil de probar, es decir, que (P
1
+P
2
) +P
3
= P
1
+(P
2
+
P
3
). Esta puede demostrarse de por lo menos tres maneras. La primera es geometricamente,
reinterpretando la ley de grupo, transriendo el problema a una pregunta en la geometra
plana. El segundo acercamiento es usar las formulas que denen la suma para reducir la
asociatividad a vericar las identidades algebraicas especicas, esto es algo tedioso de hacer
a mano pero puede hacerse usando una computadora. El tercer acercamiento es desarrollar
una teora general de los divisores en las curvas algebraicas y as reducir la asociatividad
por fuera del grupo a un corolario.
El punto al innito O es el elemento identidad del grupo y debe visualizarse intuitivamente
como situado innitamente lejos del eje y. Este es el tercer punto de interseccion de toda
linea vertical con la curva; es decir, tal linea corta a la curva elptica en los puntos P, P y O.
Si P = (x
0
, y
0
) satisface la ecuaci on (1.1), entonces P = (x
0
, y
0
a
1
x
0
a
3
) tambien la
satisface, y ademas P + (P) = P +P = O, es decir, P es el inverso de P.
Finalmente, dados P, Q E(K) se tiene P +Q = Q+P, ya que (P +Q), (Q+P) E(K),
est an denidos por la misma recta, as el grupo E(K) es abeliano.
4 Curvas Elpticas Construidas Sobre Campos Finitos
De ahora en adelante se trabajara solo con campos nitos, es decir K es una campo nito
F
q
con q elementos, q = p
n
y p es primo.
Denicion 4.1 (Curva Elptica Sobre F
q
). Sea F
q
un campo nito y sean a
1
, a
2
, a
3
, a
4
, a
6

F
q
. Una curva elptica construida sobre F
q
, es el conjunto de puntos (x, y) que cumplen la
ecuaci on
y
2
+ a
1
xy +a
3
y x
3
+a
2
x
2
+a
4
x +a
6
(mod q),
30
junto con el punto al innito. Una curva elptica sobre F
q
, se denota con E(F
q
) es decir:
E(F
q
) = {(x, y) F
q
F
q
: y
2
+a
1
xy +a
3
y x
3
+a
2
x
2
+a
4
x +a
6
(mod q)} {O}
donde O denota el punto al innito.
Es muy importante conocer el n umero de puntos que est an sobre una curva elptica constru-
ida sobre un campo nito, para dar una idea de como encontrar dicho n umero se trabajara
con la ecuaci on (1.3). El maximo n umero de puntos que pueden tener una curva elptica
sobre F
q
es 2q + 1; uno es el punto al innito, y si (x, y) satisface (1.3) entonces el punto
(x, y) tambien satisface dicha ecuaci on, y dado que hay a lo mas q posibles valores para x
entonces existen a los mas 2q puntos de la forma (x, y) E(F
q
).
Primero se trabaja con los campos nitos F
q
para los cuales q = p, con p un n umero primo,
que se denominan campo primo, el n umero de puntos de una curva es igual al n umero de
soluciones de la ecuaci on y
2
= x
3
+a
4
x +a
6
= u, para todos los posibles x que pertenecen
a F
q
, entonces si u es un residuo cuadratico en F
p
, es tambien solucion de la ecuaci on, as
las soluciones y F
p
, de la ecuaci on y
2
= u, es igual a 1 + (u), donde (x) =

x
p

es el
Smbolo de Legendre
6
, ademas como entre las soluciones de 1.3 est a el punto al innito, el
n umero de puntos de una curva elptica es
1 +

xFp
(1 +(x
3
+a
4
x +a
6
)) = p + 1 +

xFp
(x
3
+a
4
x +a
6
).
El siguiente algoritmo, recoge las anteriores ideas y, determina el n umero de puntos de una
curva elptica denida sobre un campo primo. Esto se consigue mediante el algoritmo que
se presenta a continuacion.
Algoritmo 1 (numpuntos).
Entradas: a, b y p, donde p determina el campo primo F
p
y a, b F
p
determinan la curva
elptica E : y
2
= x
3
+ax +b.
Salida: n Z
+
, donde n = #E(F
p
).
Paso 1. n = 0.
Paso 2. Se calcula
n = p +

xFp
((x
3
+a
4
x +a
6
) mod p).
El algoritmo calcula (u) utilizando el comando numlib::legendre de MuPAD.
Paso 3. El algoritmo aumenta a n en uno, ya que O es un punto de la curva, determinando
el entero de salida.
6
Sea a un n umero entero y p > 2 un n umero primo. Se dene el Smbolo de Legendre

a
p

igual a
0, 1 o 1, como sigue:

a
p

=
8
>
<
>
:
0, si p|a;
1, si a es un residuo cuadr atico m odulo p;
1, si a no es un residuo cuadr atico m odulo p.
31
A continuacion se presenta un ejemplo del anterior algoritmo.
Ejemplo 1. Si el algoritmo se aplica a la curva elptica E : y
2
= x
3
+x+12 denida sobre
F
37
; se obtiene
numpuntos([1,12,37])
29
lo que indica que E(F
37
) esta conformada por 29 puntos.
Un resultado de la teora de n umeros dice que, solo la mitad de los elementos de F
p

son
residuos cuadraticos, por lo tanto se esperara que el n umero de puntos de la curva elptica
sobre F
p
sea la mitad de los elementos de este campo. Un resultado mas aproximado es el
Teorema de Hasse, el cual limita la sumatoria

xFp
(x
3
+a
4
x +a
6
)
por 2

p.
Teorema 4.2 (Teorema de Hasse). Sea E(F
q
), con N el n umero de puntos de esta curva
elptica, entonces:
|N (q + 1)| 2

q.
El n umero de puntos de la curva elptica E(F
p
), es el orden del grupo que se denio anteri-
ormente, este se presentar a con #E(F
p
). Ademas el intervalo
[q + 1 2

q, q + 1 + 2

q]
es llamado el intervalo de Hasse.
Denicion 4.3 (Traza de E(F
p
)). Sea E(F
p
) una curva elptica, con
#E(F
p
) = p + 1 t,
donde |t| 2

p, entonces t se dene como la traza de E sobre F

p
.
Es util observar que hay muchas semejanzas entre el grupo aditivo E(F
p
) y el grupo mul-
tiplicativo F

p
. Ellos tienen aproximadamente el mismo n umero de elementos. Pero E(F
p
)
ofrece mayores ventajas ( utiles en criptografa): para un solo p grande, hay muchas cur-
vas elpticas y muchos diferentes t que se pueden escoger para obtener diferentes ordenes
#E(F
p
). Las curvas elpticas ofrecen una rica fuente de grupos abelianos nitos.
Conocido el orden de los grupos E(F
p
), con p un n umero primo, solo hace falta determinar
la forma en que se puede determinar el orden de una curva elptica sobre un campo de
extensi on F
q
= F
p
n.
Teorema 4.4 (Orden del Grupo E(F
p
n)). Sea E una curva elptica denida sobre F
p
, y
sea #E(F
p
) = p +1 t. Entonces #E(F
p
n) = p
n
+1 V
n
para todo n 2, donde {V
n
} es
la secuencia denida recursivamente por
V
0
= 2, V
1
= t y V
n
= V
1
V
n1
qV
n2
para n 2.
El siguiente algoritmo encuentra, dados el n umero de puntos de una curva y el campo primo
sobre el cual se la dene, las curvas que tienen dicho n umero de elementos sobre F
p
.
32
Algoritmo 2 (curva).
Entradas: n Z
+
y p n umero primo, donde n = #E(F
p
) y p es el n umero de elementos
de F
p
.
Salida: Un vector d, con componentes [a, b] que determinan una curva elptica
E : y
2
= x
3
+ax +b.
Paso 1. Se determinan todos las posibles curvas que se pueden denir sobre F
p
.
Paso 2. Se calcula c = #E(F
p
) para cada curva elptica.
Paso 3. Se compara n y c, si son iguales se incluye la componente [a, b] en el vector d.
Paso 4. Se determina el vector d con componentes [a, b], este es el vector de salida.
Ejemplo 2. Si el algoritmo se aplica a F
37
y 26 el n umero de puntos deseado; se obtiene
curva(26,37)
[[5,0],[6,0],[8,0],[13,0],[17,0],[19,0],[22,0],[23,0],[35,0]]
los cuales son todos los posibles [a, b], con a, b F
37
, que denen la curva elptica E : y
2
=
x
3
+ax +b, donde #E(F
37
) = 26.
El siguiente teorema garantiza la existencia de por lo menos una curva elptica, para todos
los posibles n umero de puntos que esten contenidos en el intervalo de Hasse.
Teorema 4.5 (Ordenes Admisibles de Curvas Elpticas). Sea p un n umero primo y
considere el campo nito F
q
con q = p
n
. Existe una curva elptica E denida sobre F
q
con
#E(F
q
) = q + 1 t si y s olo si una de las siguientes condiciones se cumple:
1. t 0(mod p) y t
2
4q.
2. n es impar y t = 0.
3. n es impar y t
2
= 2q y p = 2.
4. n es impar y t
2
= 3q y p = 3.
5. n es par y t
2
= 4q.
6. n es par y t
2
= q y p 1(mod 3).
7. n es par y t = 0 y p 1(mod 4).
Ejemplo 3 (Ordenes de Curvas Elpticas Sobre F
41
). Sea p = 41. En la tabla 1, para
cada entero n en el intervalo de Hasse
[41 + 1 2

41, 41 + 1 + 2

41] [29.2, 54.8],

se muestran los coecientes (a, b) de una curva elptica
E : y
2
= x
3
+ax +b
denida sobre F
41
con #E(F
41
) = n. Estos coecientes se calcularon empleando el algoritmo
curva desarrollado por los autores, y que aparece en el apendice.
33
n (a, b) n (a, b) n (a, b) n (a, b) n (a, b)
30 (1, 17) 35 (1, 1) 40 (1, 2) 45 (1, 6) 50 (3, 4)
31 (2, 17) 36 (1, 13) 41 (3, 8) 46 (2, 8) 51 (1, 8)
32 (1, 0) 37 (2, 6) 42 (0, 1) 47 (1, 5) 52 (2, 0)
33 (2, 15) 38 (1, 7) 43 (3, 18) 48 (1, 10) 53 (1, 20)
34 (3, 0) 39 (1, 3) 44 (1, 14) 49 (2, 7) 54 (2, 4)
Tabla 1: Los ordenes admisibles n = #E(F
41
) de las curvas elpticas E : y
2
= x
3
+ ax + b
denidas sobre F
41
.
A Apendice: Algoritmos
Los algoritmos que se presentan a continuacion fueron utilizados en el desarrollo de este
artculo. estos algoritmos est an implementados en el sistema de algebra computacional
MuPAD.
A.1 Algoritmo numpuntos
Este algoritmo recibe tres enteros positivos a, b y p, donde a, b son los coecientes de
E : y
2
= x
3
+ ax + b y p determina el campo primo F
p
, y determina el n umero de puntos
que conforma la curva elptica E(F
p
).
numpuntos:=proc(CE)
begin
n:=0;
for i from 0 to CE[3]-1 do
y:=(i^3+CE[1]*i+CE[2]) mod CE[3];
n:=n+numlib::legendre(y,CE[3])+1;
end_for;
print(n+1);
end_proc;
A.2 Algoritmo curva
Este algoritmo recibe dos enteros positivos n y p, donde n es el n umero de puntos que se
quiere que conformen una curva elptica y p es el n umero de elementos del campo primo F
p
sobre el cual se dene la curva; el algoritmo curva retorna un vector d con componentes de
la forma [a, b], las cuales denen las curvas E : y
2
= x
3
+ ax + b que se pueden construir
sobre F
p
y que tienen #E(F
p
) = n.
curva:=proc(n,q)
begin delete(c);delete(d);
e:=0;
for a from 0 to q-1 do
for b from 0 to q-1 do
c:=0;
for i from 0 to q-1 do
y:=(i^3+a*i+b) mod q;
c:=c+numlib::legendre(y,q)+1;
34
end_for;
c:=c+1;
if c=n then
e:=e+1;
d[e]:=[a,b];
end_if;
end_for;
end_for;
d:=[d[i]$i=1..e];
end_proc;
35
Referencias
[1] Ivorra, C. (2004). Curvas Elpticas. Extrado el 5 de enero de 2008 desde
http://www.uv.es/ivorra/Libros/Elipticas.pdf
[2] Koblitz, Neal. A course in number theory and cryptography. Graduate Texts in Mathemat-
ics, 114. Springer-Verlag, New York, 1987. vi+208 pp. ISBN: 0-387-96576-9 MR0910297
(88i:94001).
[3] Koblitz, Neal; Menezes, Alfred; Vanstone, Scott. The state of elliptic curve cryptography.
Towards a quarter-century of public key cryptography. Des. Codes Cryptogr. 19 (2000), no.
2-3, 173193. MR1759616 (2001i:94065).
[4] Silverman, Joseph H. The arithmetic of elliptic curves. Corrected reprint of the 1986 original.
Graduate Texts in Mathematics, 106. Springer-Verlag, New York, 1992. xii+400 pp. ISBN:
0-387-96203-4 MR1329092 (95m:11054).
Departamento de Matem aticas y Estadstica
Universidad de Nari no
e-mail: lumdoz@gmail.com
e-mail: ricardovallejo10@gmail.com
e-mail: wfmutis@gmail.com
e-mail: jhcastillo@gmail.com
36