DE102007023222B4

DE102007023222B4 - Vorrichtung zum Überprüfen einer Güte und zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät

Info

Publication number: DE102007023222B4
Application number: DE200710023222
Authority: DE
Inventors: Herbert Prof. 91054 Lange; Susanne 91052 Sessler; Wulf-Dieter 91054 Geyer
Original assignee: Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV; Friedrich Alexander Univeritaet Erlangen Nuernberg FAU
Current assignee: Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV; Friedrich Alexander Univeritaet Erlangen Nuernberg FAU
Priority date: 2007-05-18
Filing date: 2007-05-18
Publication date: 2011-08-25
Anticipated expiration: 2027-05-19
Also published as: DE102007023222A1

Abstract

Vorrichtung (100) zum Überprüfen einer Güte einer gungsvarietät P(f) einer hyperelliptischen Kurve C über einem endlichen Körper k, mit folgenden Merkmalen einer ersten Einrichtung (110) zum Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten der Jacobischen Varietät J(C); einer zweiten Einrichtung (120) zum Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört; einer dritten Einrichtung (130) zum Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) einer Gruppe von rationalen Punkten...

Description

Die vorliegende Erfindung bezieht sich auf asymmetrische Verschlüsselungsverfahren, wie sie im Bereich der digitalen Datenübertragung vorkommen.
Das Anwendungsgebiet der folgenden Erfindung ist die sichere Übertragung von Daten beziehungsweise spezielle Public-Key-Verfahren, die auf dem Problem des diskreten Logarithmus beruhen.
Public-Key-Verfahren oder asymmetrische Verschlüsselungsverfahren verwenden einen geheimen und einen öffentlichen Schlüssel, die über eine mathematische Beziehung zusammenhängen, derart, dass beide Schlüssel eindeutig zueinander passen, sodass jedoch der geheime Schlüssel nicht aus dem öffentlichen Schlüssel berechnet werden kann. Eine solche mathematische Beziehung ist das Problem des diskreten Logarithmus. In diesem Fall liegt dem Kryptosystem eine endliche abelsche Gruppe zugrunde, von deren Eigenschaften die Sicherheit des Systems abhängt. Derzeit werden Gruppen der rationalen Punkte von elliptischen Kurven und Gruppen der rationalen Punkte von Jacobischen Varietäten hyperelliptischer Kurven über endlichen Körpern verwendet. Die Jacobische Varietät J(X) einer Kurve X über einem Körper k ist eine durch die Kurve eindeutig bestimmte abelsche Varietät über k, d. h. die Menge J(X)(L) ist für jede k-Algebra L eine Gruppe.
Insbesondere ist die Menge der rationalen Punkte J(X)(k) deshalb eine Gruppe. Die Dimension der Jacobischen ist das Geschlecht der Kurve. Ist die Kurve über einem Körper k definiert, so ist für jede Köpererweiterung k ⊆ K
wobei Pic 0 / K(X) die Gruppe der Isomorphieklassen aller über k definierten Divisoren vom Grad 0 auf X meint. Da die Divisorklassengruppe Pic(X) isomorph ist zur Gruppe der Isomorphieklassen der Geradenbündel auf X können die Punkte der Jacobischen als Geradenbündel aufgefasst werden.
Deshalb, weil das Rechnen mit Divisoren beziehungsweise Bündeln komplizierter ist als Rechnen mit Punkten einer elliptischen Kurve, haben Jacobische gegenüber elliptischen Kurven den Vorteil, dass sie bei gleicher Sicherheit mit kürzeren Schlüsseln auskommen. Schon bei der Ablösung des RSA-Verfahrens durch elliptische Kurven ist diese Schlüssellänge ein entscheidender Punkt wegen der schnell wachsenden Rechnerleistung und der zunehmenden Verbreitung von Smartcards, bei welchen aufgrund des begrenzten Speicherplatzes sowie der relativ geringen Prozessorleistung lange Schlüssel schwer zu handhaben sind.
Insbesondere für eingebettete Systeme ist interessant, dass bei hyperelliptischen Kurven über deutlich kleineren Körpern gearbeitet werden kann als bei elliptischen Kurven. Legt man einem Kryptosystem eine elliptische Kurve zugrunde, so ist ein endlicher Körper mindestens in der Größe von 2¹⁶⁰ Elementen nötig, während etwa bei hyperelliptischen Kurven vom Geschlecht 3 bei geeigneter Wahl schon 2⁵⁴ Elemente ausreichend sind.
Vor einem Einsatz in einem Kryptosystem sind diese Gruppen auf eine Reihe von Bedingungen hin zu prüfen. So scheiden hyperelliptische Kurven vom Geschlecht größer als 4, sowie supersinguläre hyperelliptische Kurven aus. Des Weiteren sollte, wenn über einem Körper F_q,q = pⁿ gearbeitet wird, p kein Teiler der Gruppenordnung sein (*) und der größte Primteiler p_max der Gruppenordnung kein Teiler von q¹ – 1 sein für alle 1 < (log₂(q))² (**). Das wichtigste Kriterium aber ist, dass die Ordnung der Gruppe mindestens einen hinreichend großen Primfaktor enthält, etwa in der Größe 2¹⁶⁰, um subexponentielle Attacken auf den diskreten Logarithmus unmöglich zu machen, da das Problem des diskreten Logarithmus in der Gruppe gelöst ist, sobald es in jeder Untergruppe von primer Ordnung gelöst ist, gemäß der Attacke von Pohlig-Hellmann. Durch dieses Kriterium kommen viele hyperelliptische Kurven nicht in Frage.
Das Berechnen der Ordnung und deren Primfaktorzerlegung sind notwendig, aber eine rechenintensive Angelegenheit. Es ist heute nicht möglich, die Klassenzahl (= Ordnung der Gruppe der rationalen Punkte der Jacobischen) einer zufällig ausgewählten hyperelliptischen Kurve in annehmbarer Zeit zu berechnen. Geeignet sind CM-Kurven oder Kurven über Körpern
wobei p relativ klein ist.
Besonders leicht lässt sich die Ordnung über Körpern der Charakteristik 2 berechnen. Die Primfaktorzerlegung ist aufwändiger, je mehr große Primfaktoren es gibt.
Eine geeignete Gruppe zu finden bedeutet also, eine hyperelliptische Kurve mit niedrigem Geschlecht über einem geeigneten Körper zu betrachten, ihre Klassenzahl zu berechnen, eine Primfaktorzerlegung vorzunehmen und die Bedingungen (*) und (**) zu prüfen. Das Finden einer geeigneten Gruppe ist also ein aufwändiger Prozess. Viele Kurven müssen getestet werden, um eine passende zu finden, ein Großteil der Rechenzeit ist umsonst.
Dieser Prozess ist suboptimal, zumal es bei einer Anwendung mit vielen Benutzern wichtig ist, viele verschiedene Gruppen zu verwenden. Dies erhöht die Sicherheit, denn sollte sich eine Kurve wider Erwarten als unsicher erweisen, sind nur diejenigen Benutzer betroffen, die mit genau diesem Objekt gearbeitet haben. Diese Problematik wird sich in Zukunft weiter verschärfen. Denkbar ist etwa, dass im Zusammenhang mit Mobiltelefonen ein Serviceanbieter verschiedene Kurven für verschiedene Geschäftsmodelle verwenden möchte.
Es ist also wünschenswert, eine große Auswahl an geeigneten Objekten zu haben und schnell neue finden zu können. Als Objekte sind Gruppen geeignet, deren Ordnung berechnet werden kann und deren Arithmetik hinreichend kompliziert ist, so dass das Problem des diskreten Logarithmus schwer ist.
Die US 2006/0120528 A1 offenbart ein Verfahren zum Erzeugen von sicheren hyperelliptischen Kurven, wobei die hyperelliptischen Kurven mittels eines komplexen Multiplikationsverfahrens erzeugt werden. Das Verfahren erzeugt hyperelliptische Kurven zur Verwendung in kryptographischen Anwendungen von einem Geschlecht 2 über einem endlichen Feld. Das Verfahren kann vorteilhaft bei der Verschlüsselung und Entschlüsselung von Nachrichten und zur Absicherung von Datenübertragungen beispielsweise in öffentlichen Netzwerken eingesetzt werden. Die Verschlüsselung solcher Nachrichten kann dabei sehr schnell erfolgen und in einer Authentifizierungsroutine integriert werden.
Die WO 2006/076804 A1 offenbart einen Zufallszahlengenerator, der auf elliptischen Kurven basiert, und der zunächst von einem Punkt Q auf einer elliptischen Kurve ausgeht. Eine beliebige Zeichenfolge kann in einen sogenannten „Hash” umgerechnet werden. Der Hash kann dann in ein Element eines Feldes konvertiert werden, wobei das Element z. B. als X-Koordinate des Punktes Q auf der elliptischen Kurve betrachtet werden kann. Die x Koordinate kann dann gegen die elliptische Kurve validiert werden. Ist die Validität gegeben, kann die X-Koordinate über den Punkt Q dekomprimiert werden. Ein weiterer Punkt P kann ebenfalls aus dem Hash berechnet werden. P und Q hängen dann über einen Schlüssel miteinander zusammen.
Die Aufgabe der vorliegenden Erfindung besteht somit darin, ein verbessertes Konzept zur Überprüfung der Güte beziehungsweise zum Erzeugen von Gruppen, deren Ordnung mindestens einen hinreichend großen Primfaktor enthält, zu schaffen.
Diese Aufgabe wird durch eine Vorrichtung zum Überprüfen einer Güte gemäß Anspruch 1, ein Verfahren zum Überprüfen einer Güte gemäß Anspruch 6, eine Vorrichtung zum Erzeugen einer Gruppe gemäß Anspruch 8, ein Verfahren zum Erzeugen einer Gruppe gemäß Anspruch 14, eine Vorrichtung zum zufälligen Auswählen eines Divisors gemäß Anspruch 16 und ein Verfahren zum zufälligen Auswählen eines Divisors gemäß Anspruch 18 gelöst.
Der Kerngedanke der vorliegenden Erfindung besteht darin, eine Güte einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät, die auf einer hyperelliptischen Kurve über einem endlichen Körper basiert, mittels der Ordnung einer Gruppe von rationalen Punkten einer Prym-Varietät zu überprüfen und/oder zur Schlüsselerzeugung Divisoren aus der Prym-Varietät auszuwählen.
Größte Effizienz bei gleichzeitiger Sicherheit bietet eine Gruppe, deren Ordnung fast Prim ist (prim ist in Charakteristik 2 nicht möglich) oder die aus wenigen großen Primfaktoren besteht. Existiert kein hinreichend großer Primfaktor, scheidet die Kurve mangels Sicherheit aus. Ist mindesten ein Primfaktor groß genug, kann diese Gruppe verwendet werden. Eine Jacobische allerdings, deren Ordnung neben einem großen Primfaktor viele kleine Primfaktoren enthält, ist zwar sicher, aber ineffizient, da größer, als sie es bei der Sicherheit, die sie bietet, eigentlich sein müsste. In diesem Fall kann mit der Untergruppe der besagten großen Ordnung gearbeitet werden, die Bedingungen (*) und (**) sind dann speziell für diese Zahl zu prüfen.
Bei einer Jacobischen, die wenige, aber mindestens zwei große Primfaktoren und viele kleine Faktoren hat, besteht bisher nur die Möglichkeit, die ganze Jacobische zu verwenden, was nicht effizient ist, oder sich für eine der Untergruppen zu entscheiden. Da die Vereinigung von Untergruppen im Allgemeinen keine Gruppe ist, ist es jedoch nicht möglich, alle interessanten Untergruppen auszunutzen.
Das ist ein Problem, das durch die Erfindung gelöst werden kann, indem eine Untervarietät der Jacobischen verwendet wird, falls sie diese Untergruppen enthält. Sie ist dann sicherer als die einzelnen Untergruppen und effizienter als die Jacobische. Wie dies geprüft werden kann und dass dies deutlich schneller möglich ist, als eine neue hyperelliptische Kurve zu wählen und zu testen, soll im nächsten Abschnitt erläutert werden.
Verläuft die Prüfung erfolgreich, so erhält man durch einen kleinen Rechenschritt eine effizientere Gruppe. Um diese zu finden, müsste man mit bisherigen Methoden eine neue hyperelliptische Kurve wählen und testen und diesen rechenintensiven Prozess so lange fortsetzen, bis die gewünschte Gruppe gefunden ist.
Die vorliegende Erfindung erleichtert also den Prozess des Findens einer geeigneten Gruppe durch die Erweiterung der Palette an potentiellen Gruppen um bisher noch nicht verwendete Gruppen, nämlich die Gruppen rationaler Punkte sogenannter Prym-Varietäten. Diese Gruppen bieten dieselbe Sicherheit wie Gruppen der rationalen Punkte von Jacobischen Varietäten. Vorausgesetzt ist eine passende Wahl, die Prym-Varietäten unterliegen den gleichen Kriterien wie die Jacobischen Varietäten. Deshalb ist es notwendig, die Ordnung einer Prym-Varietät berechnen zu können.
Ausführungsbeispiele der vorliegenden Erfindung werden im Folgenden anhand der beiliegenden Zeichnungen näher erläutert. Es zeigen
1a ein Blockdiagramm eines Ausführungsbeispiels einer Vorrichtung zum Überprüfen;
1b ein Ausführungsbeispiel einer Vorrichtung zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät; und
1c ein Ausführungsbeispiel einer Vorrichtung zum zufälligen Auswählen eines Divisors für eine asymmetrische Verschlüsselung.
1a zeigt eine Vorrichtung 100 zum Überprüfen einer Güte einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät J(C) einer hyperelliptischen Kurve C über einem endlichen Körper k, mit einer ersten Einrichtung 110 zum Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten der Jacobischen Varietät J(C). Die Vorrichtung 100 weist ferner eine zweite Einrichtung 120 zum Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k auf, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört. Die Vorrichtung umfasst ferner eine dritte Einrichtung 130 zum Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) einer Gruppe von rationalen Punkten einer Prym-Varietät der Abbildung f zu erhalten. Die Vorrichtung 100 weist ferner eine vierte Einrichtung 140 zum Bestimmen, ob ein Primfaktor einer Primfaktorzerlegung der Ordnung #P(f)(k) eine vorbestimmte Bedingung erfüllt, um die Güte der Schlüsselerzeugungsvarietät J(C) zu erhalten, auf. In Ausführungsbeispielen kann der Körper k definiert sein als F_q mit q = pⁿ, wobei p Prim ist und n aus der Menge der natürlichen Zahlen stammt. Beispielsweise kann p den Wert p = 2 annehmen und n > 179 sein.
In den weiteren Ausführungsbeispielen kann die dritte Einrichtung 130 ausgebildet sein, um
zu bestimmen. Die vierte Einrichtung 140 kann ausgebildet sein, um als vorbestimmte Bedingung zu prüfen, ob zumindest ein Primfaktor der Primfaktorenzerlegung der Ordnung #P(f)(k) größer als ein vorbestimmter Wert ist. Dieser vorbestimmte Wert kann beispielsweise größer oder gleich 2¹⁶⁰ sein.
1b zeigt eine Vorrichtung 200 zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät P(f), die eine erste Einrichtung 210 zum Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten einer Jacobischen Varietät J(C) einer hyperelliptischen Kurve C über einem endlichen Körper k umfasst. Die Vorrichtung 200 weist ferner eine zweite Einrichtung 220 zum Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k auf, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört. Die Vorrichtung 200 umfasst ferner eine dritte Einrichtung 230 zum Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) der Gruppe der rationalen Punkte einer Prym-Varietät P(f) einer Abbildung f zu erhalten, die einem Kern einer Abbildung N_f der Jacobischen Varietät J(C) auf die elliptische Kurve E entspricht. Die Vorrichtung 200 umfasst ferner eine vierte Einrichtung 240 zum Bestimmen, ob ein Primfaktor einer Primfaktorzerlegung der Ordnung #P(f)(k) eine vorbestimmte Bedingung erfüllt und eine fünfte Einrichtung 250 zum Ermitteln der Gruppe von rationalen Punkten der Prym-Varietät P(f) als der Schlüsselerzeugungsvarietät aus der Jacobischen Varietät J(C), falls die vorbestimmte Bedingung erfüllt ist.
In Ausführungsbeispielen kann der Körper k definiert sein als F_q und q = pⁿ, wobei p eine Primzahl ist und n aus der Menge der natürlichen Zahlen stammt. Beispielsweise kann p gleich dem Wert 2 und n > 179 sein.
In weiteren Ausführungsbeispielen kann die dritte Einrichtung 230 ausgebildet sein, um
zu bestimmen. Die vierte Einrichtung 240 kann ausgebildet sein, um als vorbestimmte Bedingung zu prüfen, ob zumindest ein Primfaktor der Primfaktorzerlegung der Ordnung #P(f)(k) größer als ein vorbestimmter Wert ist. Dieser vorbestimmte Wert kann beispielsweise größer oder gleich 2¹⁶⁰ sein.
Weitere Ausführungsbeispiele umfassen gemäß der 1c eine Vorrichtung 300 zum zufälligen Auswählen eines Divisors für eine asymmetrische Verschlüsselung, wobei die Vorrichtung ausgebildet ist, um die Auswahl aus einer Gruppe von rationalen Punkten einer Prym-Varietät zu treffen, die auf einer Abbildung einer hyperelliptischen Kurve in eine elliptische Kurve basiert.
Prym-Varietäten sind bestimmte Untervarietäten von Jacobischen Varietäten, die, im Gegensatz zu Jacobischen, im Allgemeinen nicht prinzipal polarisiert sind. Es sind abelsche Varietäten, die Menge ihrer rationalen Punkte ist damit eine Gruppe. Die Arithmetik auf der Prym-Varietät ist dieselbe wie auf der Jacobischen weshalb sie dieselbe Sicherheit bietet. Prym-Varietäten wurden bisher nicht in der Kryptographie eingesetzt, weil keine Methode zur Berechnung der Ordnung der Gruppe ihrer rationalen Punkte bekannt war. Im Folgenden wird die Konstruktion einer Familie von solchen Prym-Varietäten über endlichen Körpern der Charakteristik 2 beschrieben, sowie ein Weg, ihre Ordnung mit Hilfe der Klassenzahl zu bestimmen. Dies geht deutlich schneller als es möglich wäre, die Ordnung einer anderen Jacobischen zu bestimmen.
Eine Prym-Varietät ist ein Objekt, das an einem separablen Morphismus von Kurven von endlichem Grad gebunden ist. Sind X, Y Kurven über einem Körper k vom Geschlecht gx beziehungsweise gy, J(X), J(Y) ihre Jacobischen Varietäten und ist f: X → Y ein separabler, endlicher, über einem Körper k definierter Morphismus vom Grad n ≥ 2, so kann man sich die Prym-Varietät als die zu f*J(Y) komplementäre Untervarietät von J(X) vorstellen. Dabei ist der über k definierte Morphismus
gegeben durch das Zurückziehen von Geradenbündeln.
Für eine genauere Definition benötigen wir den über k definierten Morphismus
die sogenannte Abel-Jacobi Abbildung für einen Punkt P ∈ X(k). Dabei meint O_X(D) das zu dem Divisor D auf X gehörige Geradenbündel. Diese Abbildung ordnet P das neutrale Element von J(X) zu und jedem beliebigen Punkt Q die Äquivalenzklasse von Q – f_QP in Pic⁰(X) Zwei Abel-Jacobi Abbildungen α_P und α_P. unterscheiden sich nur um eine Translation. Die Abel-Jacobi Abbildung hat folgende Eigenschaft: ist A eine weitere abelsche Varietät über k, h: X → A ein Morphismus über k mit h(P) = 0 ∈ A, so existiert genau ein Homomorphismus φ: J(X) → A von abelschen Varietäten über k, so dass folgendes Diagramm kommutiert:
Beweis in J. S Milne, Jacobian Varieties, in G. Cornell und J. H. Silverman, Editoren, Arithmetic Geometry, Springer-Verlag, 1986, Prop. 6.1.
Ist P ∈ X(k), so auch f(P) ∈ Y(k), da f über k definiert ist. Sei
die zugehörige Abel-Jacobi Abbildung. Sei L ∈ J(X) ein Geradenbündel auf X, L = O_X(D) mit dem zugehörigen Divisor D = Σα_iQ_i auf X. Sei
Dann ist h(P) = α_f(P)(f(P)) = 0 und gemäß der oben erläuterten Eigenschaft der Abel-Jacobi Abbildung existiert ein eindeutig bestimmter Morphismus
über k mit N_f∘α_P = h, die Normabbildung von f. Wegen
und
ist N_f wie folgt definiert:
Seien Θ_X, Θ_Y die kanonischen prinzipalen Polarisierungen auf J(X) beziehungsweise J(Y). Folgendes Diagramm kommutiert:
Da J(X) und J(Y) als prinzipal polarisierte Varietäten selbstdual sind, kann J(X) via
identifiziert werden. Unter dieser Identifikation gilt
Der Kern ker N_f der Abbildung N_f ist eine abgeschlossene Untergruppe von J(X). Da J(X) als abelsche Varietät vollständig ist, ist ker N_f als abgeschlossene Untergruppe ebenfalls vollständig und hat endliche viele Komponenten. Diejenige Zusammenhangskomponente, welche die Komponente desjenigen Punktes von ker N_f ist, der zu O_X gehört, ist eine abelsche Varietät, die Prym-Varietät P(f).
Die Einbettung P(f) ↪ J(X) induziert eine Polarisierung auf der Prym-Varietät deren Typ sich zu
berechnen lässt, falls f nicht über einen étalen zyklischen Morphismus faktorisiert (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation, Lemma 3.5, Prop. 3.6). In diesem Fall ist die Prym-Varietät über k definiert (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation, Lemma 3.4).
Zur Konstruktion einer Familie von Prym-Varietäten gehen wir von einer Involution einer hyperelliptischen Kurve C vom Geschlecht 3 über k aus. Zu ihr gehört ein Fixkörper L ⊂ k(C). Diese Körpererweiterung liefert einen Morphismus von C in die zu L gehörige elliptische Kurve E. Wir betrachten die Prym-Varietät P(f) des Morphismus f: C → E, die vom Typ (1, 2) ist. Unser Ergebnis ist, dass sich die Ordnung #P(f)(k) der Gruppe der rationalen Punkte einer Prym-Varietät als Quotient der Ordnung #J(C)(k) der Jacobischen und der Ordnung der elliptischen Kurve #E(k) berechnen lässt, und zwar unabhängig von der Charakteristik des Körpers. Das Berechnen der Ordnung der Gruppe der rationalen Punkte der elliptischen Kurve ist unproblematisch.
Wir gehen jetzt im Einzelnen auf die Konstruktion ein. Sei
mit λ ≠ 0, α ≠ 0,1 eine Schar von hyperelliptischen Kurven mit vier Verzweigungspunkten über einem endlichen Körper der Charakteristik 2. Seien die Bedingungen
und
erfüllt. Nach Proposition 7.20 aus (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation) ist die Kurve damit nichtsingulär. Eine Kurve aus der Schar wird im folgenden mit C bezeichnet, wenn keine Verwechslungsgefahr besteht.
Die Abbildung
definiert einen Automorphismus von C über k wegen
Insbesondere ist τ eine Involution. Der Fixkörper
von τ besteht aus denjenigen h ∈ k(C) mit
Genauer ist
(zum Beweis siehe S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation, Prop. 7.24).
Zu jedem Funktionenkörper K|k vom Transzendenzgrad 1 über einem beliebigen, vollkommenen Körper k existiert eine Kurve X über k mit k(X_K) ≅ K. Diese ist bis auf Isomorphie eindeutig bestimmt. Außerdem gehört zu jeder Inklusion K₁ ⊂ K₂ von Funktionenkörpern K₁, K₂ vom Transzendenzgrad 1 über k genau ein endlicher Morphismus ϕ: X₂ → X₁ der zugehörigen Kurven, so dass die induzierte Abbildung der Strukturgarben über dem generischen Punkt die Inklusion L ↪ K ist (siehe R. Hartshorne, Algebraic Geometry, Springer, 1977, Theorem I.6.9., Cor. I6.12.,S. 44f).
L hat den Transzendenzgrad dim(C) = 1 über k, somit gehört zu L eine Kurve E mit Funktionenkörper L. Die Inklusion L ⊂ k(C) induziert einen Morphismus f: C → E, dessen Grad deg f gleich der Ordnung von τ, also 2 ist (V. J. Danikov, V. V. Shokurov, Algebraic curves, algebraic manifolds and schemes, Springer, 1998, Ex.8, S. 101), und der auf den Punkten gegebenen ist durch
mit
Eine Gleichung für E ist
In Weierstraßscher Normalform ist E gegeben durch
(Beweis siehe S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation, Prop 7.25). Wir betrachten für jede Kurve C aus der Schar C_(λμα) die Prym-Varietät P(f) des Morphismus f. Sei Θ_C die prinzipale Polarisierung von J(C), Θ_E die prinzipale Polarisierung von J(E) = E, P(f) die Prym-Varietät von f,i * / P(f)Θ_C die induzierte Polarisierung von P(f).
Wegen g(E) = 1 und deg f = 2 ist f*J(E) polarisiert vom Typ (2) nach Prop. 3.1 aus (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation). Der Morphismus f verzweigt in den Punkten (1, 0) und (1, α + 1 / α ) (Prop. 7.26 in Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation) und kann deshalb nicht über einen étalen Morphismus f': C → E vom Grad ≥ 2 faktorisieren. Somit ist die Voraussetzung für Prop. 2.5 in (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation) erfüllt und f* ist demnach injektiv. Aus der bereits oben verwendeten Prop. 3.6 aus (S. Seßler, Nicht prinzipal polarisierte Varietäten für die Kryptographie, Dissertation) folgt, dass P(f) polarisiert ist vom Typ (1, 2).
Die Sequenz
ist exakt, denn: wegen der Injektivität von f* ist folgende Sequenz exakt:
Dualisiert man eine exakte Sequenz abelscher Varietäten über k, so erhält man wiederum eine exakte Sequenz abelscher Varietäten über k, in diesem Fall
wegen
Es folgt
also ist ker N_f zusammenhängend und damit P(f)= ker N_f. Die Prym-Varietät ist als Kern eines über k definierten Homomorphismus selbst über k definiert.
Sei k_S der separable Abschluss von k. Die Gruppe G := Gal(k_S/k) operiert auf der abelschen Gruppe J(E)(k_S) durch σ(x, y) = (σx, σy) für einen Punkt (x, y) von E(k_s). G operiert auch auf J(X)(k_S) durch
für σ ∈ G, O_X(Σa_iP_i) ∈ J(X)(k_S), weswegen J(X)(k_S) ein G-Modul ist. Da P(f) über k definiert ist, ist auch P(f)(k_S) ein G-Modul: sei L ∈ P(f)(k_S), L = O_X(D), D = Σα_iP_i ein über k_S definierter Divisor auf X, σ ∈ G. Da f und σ vertauschbar sind, ist
Deshalb gilt mit
auch
und es ist σL ∈ P(f(k_S)). Es ist
nach J. Tate, Galois Cohomology, LAS/Park City Mathematics Series vol. 9, 2001, Seite 468.
Da J(C)(k_S), J(E)(k_S) und P(f)(k_S) G-Moduln sind folgt die Existenz der folgenden langen exakten Sequenz:
0 → P(f)(k) → J(C)(k) → E(k) → H¹(G, P(f)(k_S)) → ... (siehe J. P. Serre, Corps locaux, Hermann Paris, 1968, Prop. 1, S. 133).
Im Folgenden werden einige Ergebnisse über prinzipal homogene Räume benötigt. Sei k ein beliebiger Körper, A eine algebraische Gruppe über k. Sei H eine algebraische Varietät, auf welcher die Gruppe A transitiv operiert. Die Operation sei gegeben durch
Existiert für jedes Paar (h, h') mit h, h' ∈ H genau ein α ∈ A mit h^α = h' und ist die Abbildung
regulär, so heißt H prinzipal homogener Raum über A. Sind sowohl diese Abbildung als auch H als Varietät und die Operation von A auf H über k definiert, so heißt H definiert über k, in Zeichen H/k.
Sei H/k ein prinzipal homogener Raum über A. Per Definition ist für jedes h ∈ H die Abbildung
eine Surjektion. Existiert ein h₀ ∈ H(k), so ist der über k definierte Morphismus
surjektiv, da A transitiv operiert, und injektiv, da nach Definition zu jedem h ∈ H genau ein α ∈ A existiert mit h α / 0 = h. Die Abbildung
ist der inverse Homomorphismus und damit ist obiger Morphismus ein Isomorphismus über k. In diesem Fall heißt H/k trivial.
Ist k ein endlicher Körper, so hat ein prinzipal homogener Raum H/k über einer zusammenhängenden algebraischen Gruppe A über k einen k-rationalen Punkt (Beweis in S. Lang, Algebraic groups over finite fields, American Journal of Mathematics 78, 1956, 555–563, Theorem 2.1).
Sei k wieder beliebig, k_S der separable Abschluss von k, A(k_S) die Menge der k_S-wertigen Punkte von A. Dann stehen die Isomorphieklassen der prinzipal homogenen Räume über einer Gruppe A in Bijektion mit den Elementen der Kohomologiegruppe H¹(Gal(k_S/k), A(k_S)) (Beweis in A. Skorobogatov, Torsors and rational points, Cambridge University Press, 2001, S. 12f). Daraus folgt im Falle eines endlichen Körpers
für eine algebraische Gruppe A über k.
Diese Ergebnisse auf die obige Situation angewendet ergibt
Es folgt aus der langen exakten Sequenz die Existenz der kurzen exakten Sequenz
Damit ist
nach dem Satz von Lagrange (s. S. Bosch, Algebra, Springer-Verlag 2001, Kor. 3, S. 17), wobei (J(C)(k): P(f)(k)) den Index von P(f)(k) in J(C)(k) meint. Damit kann die Ordnung der Gruppe der rationalen Punkte der Prym-Varietät leicht aus der Klassenzahl berechnet werden, da das Berechnen der Ordnung #E(k) kein Problem darstellt.
Dieses Ergebnis hängt von der Charakteristik des Körpers nicht ab und wir haben auch über beliebigen endlichen Körpern der Charakteristik #2 eine Familie von Prym-Varietäten konstruiert. Da das Berechnen der Klassenzahl in Charakteristik #2 sehr langwierig ist, schlagen wir für einen Einsatz in der Kryptographie die obige Schar vor.
Ein Beispiel in einer für die Kryptographie relevanten Größenordnung ist das folgende, das mit dem Computeralgebrasystem Magma gerechnet wurde: sei
und seien
die Körerelemente. Wir betrachten C_(λμα) mit λ = k.1¹⁷, μ = k.1¹³¹, α = k.1⁶⁰ und berechnen
Die Klassenzahl hat zwei große Primfaktoren, die kryptographische Sicherheit gewährleisten. Ideal ist sie wegen der zusätzlichen kleinen Faktoren nicht. Wir interessieren uns nun für die Qualität der Prym-Varietät und berechnen dazu
Durch eine einfache Division lässt sich nun die Ordnung der Gruppe der rationalen Punkte der Prym-Varietät berechnen zu
Durch das Berechnen der Ordnung der Gruppe der rationalen Punkte ist es nun möglich, eine Prym-Varietät auf ihre Tauglichkeit für ein asymmetrisches Verschlüsselungsverfahren hin zu prüfen. Es steht somit neben den Gruppen der rationalen Punkte der Jacobischen hyperelliptischen Kurven ein neuer Typ von Gruppe zur Verfügung.
Die Jacobische Varietät im obigen Beispiel hat eine Ordnung mit zwei hinreichend großen Primfaktoren und kann somit in einem asymmetrischen Kryptosystem verwendet werden. Effizienter bei gleicher Sicherheit ist allerdings die zugehörige Prym-Varietät: sie enthält genau diese beiden großen Primfaktoren ebenfalls, aber weniger kleine und damit überflüssige Primfaktoren. Somit ist ohne großen Rechenaufwand, nur durch Berechnen von #E(k), eine Verbesserung erzielt worden. Um diese Verbesserung mit herkömmlichen Mitteln zu erreichen, müsste eine neue hyperelliptische Kurve gewählt und deren Ordnung samt Primfaktorzerlegung berechnet werden, so oft, bis das gewünschte Ergebnis erzielt worden ist.
Von den Jacobischen Varietäten aus obiger Kurvenschar, die bisher aufgrund vieler kleiner Primfaktoren nicht verwendet worden sind, lässt sich in vielen Fällen diese Untervarietät, die Prym-Varietät, verwenden, und bietet dabei, wie im obigen Beispiel zu sehen, größere Sicherheit als die einzelnen Untergruppen von primer Ordnung und größere Effizienz als die zugehörige Jacobische Varietät. Die Rechenzeit, die in die Jacobische investiert worden ist, war somit nicht umsonst, sondern hat über die Prym-Varietät doch zu einer sicheren und gleichzeitig effizienteren Gruppe geführt. Dabei ist anzumerken, dass die größten Primfaktoren der Klassenzahl meist auch in der Ordnung der Gruppe der rationalen Punkte der Prym-Varietät vorkommen, da die Prym-Varietät eine Fläche ist. Die Wahrscheinlichkeit ist also hoch, dass die Prym-Varietät sicher ist, wenn die Jacobische sicher ist.
Zur weiteren Verdeutlichung der Ausführungsbeispiele wird im Folgenden der mathematische Hintergrund detailliert dargelegt.
EINLEITUNG
Im Jahre 1989 wurden Jacobische Varietäten von hyperelliptischen Kurven über endlichen Körpern zuerst von Neal Koblitz für Public-Key-Kryptosysteme vorgeschlagen ([16]). Im Vergleich mit elliptischen Kurven haben hyperelliptische Kurven den Vorteil, dass aufgrund ihrer komplizierteren Arithmetik bei gleicher Sicherheit mit kürzeren Schlüsseln gearbeitet werden kann. Schon bei der Ablösung des RSA-Verfahrens durch elliptische Kurven ist diese Schlüssellänge ein entscheidender Punkt wegen der schnell wachsenden Rechnerleistung und der zunehmenden Verbreitung von Smartcards, bei welchen aufgrund des begrenzten Speicherplatzes sowie der relativ geringen Prozessorleistung lange Schlüssel schwer zu handhaben sind. Diese Problematik wird sich in Zukunft weiter verschärfen.
Was insbesondere für eingebettete Systeme interessant ist, ist die Tatsache, dass bei hyperelliptischen Kurven über deutlich kleineren Körpern gearbeitet werden kann als bei elliptischen Kurven, und dass Körperoperationen teuer sind. Legt man einem Kryptosystem eine elliptische Kurve zugrunde, so ist ein endlicher Körper mindestens in der Größe von 2¹⁶⁰ Elementen nötig, während bei hyperelliptischen Kurven vom Geschlecht 3 bei geeigneter Wahl schon 2⁵⁴ Elemente ausreichend sind. Ein Nachteil der hyperelliptischen Kurven ist ihre niedrigere Geschwindigkeit, doch wird der Unterschied zu elliptischen Kurven immer kleiner und beträgt bei geeigneter Wahl nur noch um 15%.
Bevor eine hyperelliptische Kurve zum Einsatz kommt, sind eine Reihe von Bedingungen zu prüfen. Neben dem Geschlecht, das nicht zu groß sein sollte, ist das Hauptkriterium für die Tauglichkeit einer solchen Kurve, d. h. eigentlich der Gruppe der rationalen Punkte ihrer Jacobischen Varietät, die Ordnung eben dieser Gruppe, die sogenannte Klassenzahl der Kurve. Ebenso wichtig ist ihre Primfaktorzerlegung, da die gängigen Kryptosysteme auf dem Problem des diskreten Logarithmus beruhen. Mittels der Vereinfachung von Pohlig-Hellman kann das Problem des diskreten Logarithmus in einer endlichen, abelschen Gruppe gelöst werden, indem es in jeder Untergruppe von primer Ordnung gelöst wird. Es ist nötig, dass die Ordnung der Jacobischen mindestens einen Primfaktor der Größe 2¹⁶⁰ hat, um in der Untergruppe dieser Ordnung den bekannten Angriffen auf das Problem des diskreten Logarithmus vorzubeugen. Sehr kleine Primfaktoren erhöhen nicht die Sicherheit, da in den Untergruppen kleiner Ordnung diskrete Logarithmen relativ leicht berechnet werden können. Ideal ist deshalb eine Jacobische mit primer oder fast primer Ordnung. Jacobische hyperelliptischer Kurven sind prinzipal polarisierte Varietäten, ebenso wie elliptische Kurven, die mit ihren Jacobischen Varietäten identifiziert werden können. Wir möchten vorschlagen, erstmals eine nicht prinzipal polarisierte abelsche Varietät in der Kryptographie einzusetzen, eine Prym-Varietät. Es handelt sich dabei um eine bestimmte Untervarietät der Jacobischen Varietät einer Kurve.
Eine Prym-Varietät ist ein Objekt, das an einen separablen Morphismus von Kurven von endlichem Grad gebunden ist. Sind X, Y Kurven über einem Körper k vom Geschlecht q_X bzw. q_Y, J(X), J(Y) ihre Jacobischen Varietäten und ist f: X → Y ein separabler, endlicher, über k definierter Morphismus vom Grad n ≥ 2, so kann man sich die Prym-Varietät als die zu f*J(Y) komplementäre Untervarietät von J(X) vorstellen. Genauer gehört zu f ein über k definierter Morphismus der Jacobischen Varietäten, die Normabbildung N_f: J(X) → J(Y). Der Kern dieser Abbildung hat endlich viele Zusammenhangskomponenten. Eine davon, nämlich die Komponente des Punktes von ker N_f, der zu O_X gehört, ist eine abelsche Varietät, die Prym-Varietät P(f). Die Einbettung P(f) ↪ J(X) induziert eine Polarisierung auf der Prym-Varietät, dern Typ sich zu
berechnen lässt, falls f nicht über einen étalen zyklischen Morphismus faktorisiert. In diesem Fall ist die Prym-Varietät auch über k definiert.
Wir werden in dieser Arbeit eine Familie von Prym-Varietäten konstruieren. Wir gehen dazu von einer Involution einer hyperelliptischen Kurve C vom Geschlecht 3 über k aus. Zu ihr gehört ein Fixkörper L ⊆ k(C). Diese Körpererweiterung liefert einen Morphismus von C in die zu L gehörige elliptische Kurve E. Wir betrachten die Prym-Varietät P(f) des Morphismus f: C → E, die vom Typ (1, 2) ist. Ein wichtiges Ergebnis ist, dass sich die Ordnung #P(f)(k) der Gruppe der rationalen Punkte einer Prym-Varietät aus der Ordnung #J(C)(k) der Jacobischen und der Ordnung der elliptischen Kurve #E(k) berechnen als
und zwar unabhängig von der Charakteristik des Körpers.
Genauer betrachten wir die Schar hyperelliptischer Kurven C_(λμv) vom Geschlecht 3 mit affinen Gleichungen
mit 0,1, λ, μ, v ∈ k paarweise verschieden, wobei k ein endlicher Körper der Charakteristik 2 ist, und zu jeder Kurve C_(λμv) die Involution, die gegeben ist durch die Abbildung
Zu ihrem Konstantenkörper L gehört eine elliptische Kurve E_(λμv), gegeben durch eine Gleichung
und zu der Körpererweiterung L ⊆ k(C) der Morphismus
vom Grad 2. Die Ordnungen der Gruppen der rationalen Punkte der Prym-Varietäten solcher Morphismen haben wir mit der obigen Formel über verschiedenen Körpern berechnet, hier etwa für den Körper F_2344555621: sei λ := 150, μ := 234, v := 1000. Aus
und
folgt
In Charakteristik 2 arbeiten wir mit der Schar hyperelliptischer Kurven C_(λμα) vom Geschlecht 3 über
gegeben durch Gleichungen
mit λ, μ, α ∈ k, α ≠ 0, 1, λ ≠ 0. Zu dem Fixkörper L der Involution
der Kurve C_(λμα) gehört die elliptische Kurve E_(λμα) mit affiner Gleichung
und zur Erweiterung L ⊆ k(C) der Morphismus
Auch hier haben wir über zahlreichen Körpern die Ordnungen der Gruppen der rationalen Punkte der Prym-Varietäten P(f) berechnet, zum Teil in einer Größenordnung, die für die Kryptographie interessant ist, wie in diesem Beispiel: sei q := 121. Die Elemente des Körpers
werden mit
bezeichnet.
Sei λ := k.1¹³, μ := k.1⁷, α := k.1⁸⁴. In diesem Fall ist
und
Daraus ergibt sich
Um Prym-Varietäten genau definieren zu können, sind einige Vorbereitungen nötig. In Kapitel 1 werden abelsche Varietäten eingeführt, wobei im Hinblick auf den späteren Umgang mit Jacobischen Varietäten der Schwerpunkt auf polarisierten abelschen Varietäten liegt.
Kapitel 2 ist den Kurven und ihren Funktionenkörpern gewidmet. Ziel ist es, die Jacobische einer Kurve zu definieren und, mit Blick auf Prym-Varietäten und die Kryptographie, ihre wichtigsten Eigenschaften vorzustellen. Am Anfang steht deshalb ein Abschnitt über Divisoren und die Einführung der Picardschen Gruppe. Morphismen von Kurven, die ja grundlegend für Prym-Varietäten sind, sind ebenfalls ein zentrales Thema. Insbesondere wird ihr Verzweigungsverhalten untersucht.
In Kapitel 3 wird die eindeutig bestimmte Normabbildung N_f eines separablen, über k definierten Morphismus f: X → Y von Kurven X, Y über k von endlichem Grad besprochen und die Prym-Varietät eines solchen Morphismus definiert. Wir beschäftigen uns mit der Frage, wann sie über k definiert ist, und von welchem Typ ihre Polarisierung ist.
Bevor ein Einsatz bestimmter Prym-Varietäten in der Kryptographie in Erwägung gezogen werden kann, benötigen wir eine Methode, die Ordnung der Menge ihrer rationalen Punkte zu berechnen, die den gleichen Kriterien unterliegt wie die Jacobische. Darum geht es in Kapitel 5.3. Wir benötigen einige Ergebnisse über Kohomologiegruppen und prinzipal polarisierte Räume, denen Kapitel 4 gewidmet ist. Am Anfang von Kapitel 5 stehen die hyperelliptischen Kurven und ihre Automorphismen. Danach behandeln wir ausführlich die Familie C_(λμv) von hyperelliptischen Kurven vom Geschlecht 3 über einem endlichen Körper der Charakteristik 2. Wir erhalten mittels elliptischer Involutionen die Schar von Morphimen f vom Grad 2 von den hyperelliptischen in die zugehörigen elliptischen Kurven, und so eine Schar von Prym-Varietäten.
Bevor wir tatsächlich Ordnungen von Gruppen der rationalen Punkte von Prym-Varietäten berechnen können, müssen wir uns noch mit der Arithmetik auf Jacobischen auseinandersetzen, was in Kapitel 6 geschieht. Wir stellen anschließend den Algorithmus vor, den wir zur Berechnung mit dem Computeralgebrasystem Magma verwendet haben. An der Stelle geben wir auch einige Beispiele über sehr kleinen Körpern. Beispiele über größeren Körpern sind in Kapitel 9 zu finden.
Kapitel 7 beeinhaltet die Klassifizierung der hyperelliptischen Kurven vom Geschlecht 3 über einem endlichen Körper k der Charakteristik 2. Ihre Normalformen werden hergeleitet und es wird in jedem Fall geprüft, ob nichttriviale Involutionen über k und gegebenfalls über k existieren, die von der hyperelliptischen Involution verschieden sind. Mittels einer solchen Involution gelangen wir auch hier zu der oben bereits erwähnten Schar von Morphismen von einer hyperelliptischen Kurve C_(λμα) vom Geschlecht 3 in eine elliptische Kurve E_(λμα) und berechnen die Ordnungen der Gruppen der rationalen Punkte der Prym-Varietäten dieser Morphismen.
In Kapitel 8 wird das Problem des diskreten Logarithmus und seine Bedeutung in der Kryptographie besprochen. Die Angriffe auf den diskreten Logarithmus führen uns auf die Bedingungen an hyperelliptische Kurven und Prym-Varietäten, die wir hier zum Teil schon angesprochen hatten. Es wird auch darauf eingegangen, wann eine Prym-Varietät Vorteile gegenüber der Jacobischen Varietät bieten kann.
1. VARIETÄTEN
1.1. Schemata und Varietäten. Ein lokal geringter Raum (X, O_X), der isomorph ist zum Spektrum eines Rings, heißt affines Schema. Die Punkte von X sind die Primideale des Spektrums. Diejenigen Punkte, die zu maximalen Idealen gehören, sind abgeschlossen.
Ein lokal geringter Raum (X, O_X) mit der Eigenschaft, dass jeder Punkt eine offene Umgebung U besitzt, so dass der topologische Raum U mit der Garbe O_X|U ein affines Schema ist, heißt Schema. X heißt der zugrundeliegende topologische Raum und O_X die Strukturgarbe. Das Schema (X, O_X) wird manchmal nur mit X bezeichnet.
Ein Morphismus von Schemata von (X, O_X) nach (Y, O_Y) ist ein Paar (f, f^#) aus einer stetigen Abbildung f: X → Y der zugrundeliegenden topologischen Räume und einem Homomorphismus von Garben von Ringen f#: O_Y → f_*O_X mit folgender Eigenschaft: für jeden Punkt x ∈ X und jeden Schnitt s von O_Y in einer Umgebung von f(x) gilt, dass aus s(f(x)) = 0 folgt (f^#s)(x) = 0. Morphismen von Schemata sind lokal von der Form Spec(ϕ): Spec(B) → Spec(A) für einen Ringhomomorphismus ϕ: A → B. Man schreibt auch kürzer f: X → Y. Ein Morphismus (f, f^#): (X, O_X) → (Y, O_Y) von Schemata mit der Eigenschaft, dass f einen Homöomorphismus von X in eine abgeschlossene Teilmenge von Y induziert und f^#: Oy → f_*O_X surjektiv ist, heißt abgeschlossene Immersion. Ein Morphismus (f, f^#) heißt Isomorphismus, wenn f ein Homöomorphismus der zugrundeliegenden topologischen Räume und f^# ein Isomorphismus von Garben ist.
Ein Schema X heißt irreduzibel, falls dies für den zugrundeliegenden topologischen Raum gilt. X heißt reduziert, falls für jeden Punkt P ∈ X der lokale Ring O keine nilpotenten Elemente besitzt. Ist X reduziert und irreduzibel, so heißt X integer.
Ist X reduziert, so kann man die Schnitte s ∈ O_X(U) für eine offene Teilmenge U ⊆ X als Funktionen auf U betrachten. Ist X integer mit generischem Punkt f, so ist der lokale Ring O_ξ dieses Punktes ein Körper. Dieser Körper heißt der Funktionenkörper von X und wird mit κ(X) bezeichnet. Alle Ringe O_X(U) sind Teilringe von κ(X).
Zu jedem Schema (X, O_X) gehört ein reduziertes Schema: sei O_X(U)_red der Quotient des Ringes O_X(U) durch das Ideal der nilpotenten Elemente, (O_X)_red die zu der Prägarbe U ↦ O_X(U)_red gehörige Garbe. Dann ist (X, (O_X)_red) ein reduziertes Schema ([15], Ex. 2.3., S. 79).
Sei Y ein Schema. Ein Schema über Y ist ein Schema X mit einem Morphismus X → Y von Schemata. Ist Y das Spektrum eines Rings R, so spricht man von einem Schema über R.
Sei k ein beliebiger Körper. Ein Schema X über k heißt separiert über k, wenn die Diagonaleneinbettung
eine abgeschlossene Immersion ist. Ein Schema V über k heißt von endlichem Typ über k, wenn V separiert über k ist und durch eine endliche Anzahl affiner Mengen V_i = Spec(A_i) überdeckt werden kann, wobei A_i endlich erzeugte k-Algebren sind. In diesem Fall existiert ein kanonischer Morphismus V → Spec(k), der auch als V → k bezeichnet wird.
Ist k der algebraische Abschluss von k, V ein Schema über k, L eine k-Algebra, so heißt
eine Konstantenerweiterung von V.
Ein Schema V von endlichem Typ über k heißt Varietät über k, wenn
integer ist.
V heißt nachtsigulär, wenn
regular ist, das heißt, wenn alle lokalen Ringe regulär sind.
Seien X, Y Varietäten über k. Ein Morphismus ϕ: X → Y über k ist ein Morphismus von Schemata mit der Eigenschaft, dass folgendes Diagramm kommutiert:
Ein L-wertiger Punkt ist ein Morphismus Spec(L) → V über k. Die Menge der L-wertigen Punkte wird mit V(L) bezeichnet. V( k ) be steh genau aus den ageschlossenen von
Für ein Schema X ist die Existenz eines Morphismus Spec(L) → X äquivalent zur Existenz einer Inklusion k(x) ↪ L für einen Punkt x ∈ X, weshalb man einen k-wertigen Punkt einer Varietät V auch als abgeschlossenen Punkt v ∈ V mit k(v) = k auffasst ([15], Ex. 2.7., S. 80, [23], Conventions).
Für einen Morphismus f: X → Y von Varietäten über k, der definiert ist über k, gilt: f(X (k)) ⊆ Y(k).
1.2. Divisoren. Zu Beginn hatten wir für ein integres Schema X den Punktionenkörper als den lokalen Ring des generischen Punktes ξ von X definiert. Sei X ⊆ Pⁿ nun eine projektive Varietät über einem Körper k, X ≅ Proj S(X), wobei
der homogene Koordinatenring von X ist, I(X) das von der Menge
erzeugte Ideal. Dann ist der Funktionenkörper von X gerade
und allgemeiner
Die Elemente von k(X) heißen rationale Funktionen auf X.
Ein Morphismus f: X → Y von Varietäten über k heißt separabel, wenn k(X) eine separable Körpererweiterung von k(Y) ist.
Sei X eine (zumindest in Kodimension 1) nichtsinguläre Varietät über k. Eine irreduzible Untervarietät der Kodimension 1 von X heißt Primdivisor auf X. Die von den Primdivisoren erzeugte freie abelsche Gruppe wird mit Div(X) bezeichnet. Ihre Elemente heißen Divisoren oder genauer Weil-Divisoren. Ein Divisor D ∈ Div(X) ist somit von der Form D = Σn_iY_i mit n_i ∈ Z und Y_i Primdivisoren, wobei nur endlich viele n_i von Null verschieden sind. Ist n_i ≥ 0 für alle i, so heißt D effektiv.
Ist Y ein Primdivisor auf X, x₁ der generische Punkt von Y, so ist der lokale Ring
ein diskreter Bewertungsring von k(X)/k. Sei v_Y die zugehörige Bewertung. Ist f eine rationale Funktion auf X, f nicht überall Null, so ist der Divisor von f definiert als
wobei über alle Primdivisoren Y auf X summiert wird. Die Summe ist endlich, da v_Y(f) = 0 für fast alle Primdivisoren Y.
Ein Weil-Divisor, der gleich dem Divisor einer Funktion ist, heißt Hauptdivisor. Zwei Divisoren D, D' heißen linear äquivalent, wenn ihre Differenz D–D' ein Hauptdivisor ist. Die Hauptdivisoren bilden eine Untergruppe HDiv(X) von Div(X). Die Gruppe
heißt Divisorklassengruppe von X.
Für beliebige, d. h. nicht notwendig nichtsinguläre, Varietäten gibt es eine andere Gattung von Divisoren: sei X eine beliebige Varietät über k, {U_i} eine offene Überdeckung von X. Ein Cartier-Divisor auf X ist ein System rationaler Funktionen (f_i, U_i), wobei jedes f_i: U_i → k nicht identisch 0 ist und f_i/f_j und f_j/f_i regulär sind auf U_i ∩ U_j für alle i, j.
Sind alle f_i regulär auf U_i, so heißt (f_i, U_i) effektiver Cartier-Divisor. Die Cartier-Divisoren auf X bilden eine Gruppe ([15], S. 141). Insbesondere definiert eine Funktion f ∈ k(X) einen Cartier-Divisor, indem man f_i = f setzt. Divisoren dieser Form heißen Cartier-Hauptdivisoren. Zwei Cartier-Divisoren, die sich nur um einen Cartier-Hauptdivisor unterscheiden, heißen linear äquivalent. Im Fall, dass X nichtsingulär ist, kann man Cartier-Divisoren und Weil-Divisoren identifizieren, wobei sich die jeweiligen Hauptdivisoren entsprechen, ebenso die effektiven Divisoren ([15], Prop. II.6.11., S. 141, [23], Conventions). Es wird dann nur von Divisoren die Rede sein.
Zu einem Cartier-Divisor D gehört folgender Vektorraum über k:
([38], S. 161 und [39], S. 64).
Sei U ⊆ X offen. Schränkt man die lokalen Gleichungen von D auf U ein, so ist dadurch ein Cartier-Divisor Du auf U definiert. Sei
die Einbettung. Dann ist
eine Prägarbe auf X, die insbesondere eine Garbe ist und durch Multiplikation von f ⊆ O_X(D)(U) mit h ⊆ O_X(U) zu einer Garbe von O_X-Moduln wird ([39], S. 64). Sie wird im Folgenden mit O_X(D) bezeichnet und heißt die zum Cartier-Divisor D gehörige Garbe. Diese Garbe ist invertierbar und hat die folgenden Eigenschaften:
Die invertierbaren Garben auf X bilden eine Gruppe unter ⊗ ([15], Prop. II.6.12., S. 143) mit der Garbe O_X als neutralem Element. Eine invertierbare Garbe auf X, die isomorph zu O_X ist, heißt trivial. Die Gruppe der Isomorphieklassen von invertierbaren Garben auf X heißt Picardsche Gruppe und wird mit Pic(X) bezeichnet. Die Zuordnung D ↦ O_X(D) definiert einen kanonischen Isomorphismus
Seien D₁, D₂ zwei Divisoren auf X mit zugehörigen invertierbaren Garben O_X(D₁) und O_X(D₂). D₁ und D₂ heissen algebraisch äquivalent, in Zeichen D₁ ≈ D₂, falls ein zusammenhängendes Schema T über k, eine invertierbare Garbe L auf X × T und Punkte t₁, t₂ ⊆ T(k) existieren mit
Diejenigen Divisoren auf X, die algebraisch äquivalent zum Nulldivisor sind, bilden eine Untergruppe von Cl(X), die Gruppe Cl⁰(X).
Die Gruppe
der Klassen algebraisch äquivalenter Divisoren heißt die Neron-Severi-Gruppe von X.
Aus traditionellen Gründen werden invertierbare Garben im Folgenden manchmal auch als Geradenbündel bezeichnet. In diesem Fall verwenden wir die Bezeichnung L(D) für die Garbe O_X(D).
1.3. Abelsche Varietäten.
1.3.1. Definition. Eine Varietät A über k heisst Gruppenvarietät über k, wenn ein Element e ⊆ A(k) und Morphismen
über k existieren, so dass A(L) eine Gruppe ist mit Multiplikation bzw. Addition m, Inversion inv und neutralem Element e für jede k-Algebra L.
Eine Gruppenvarietät über k, die vollständig über k ist, wird als abelsche Varietät über k bezeichnet. Abelsche Varietäten sind insbesondere nichtsingulär und projektiv ([23], §1).
Seien A, B abelsche Varietäten über k. Ein Morphismus h: A → B über k heißt Homomorphismus, wenn
gilt. Hom_k(A, B) bezeichnet die Menge aller Homomorphismen von A nach B über k. Ist f ∈ Hom_k(A, B), so hat der Kern von f die Struktur eines Unterschemas von A vom endlichen Typ über k ([23], §8). Ein Homomorphismus f ∈ Hom_k(A, B) von abelschen Varietäten heißt Isogenie über k, wenn f surjektiv und dim A = dim B ist. In diesem Fall ist f_*O_A ein lokal freier O_B-Modul. Der Rang von f_*O_A heißt der Grad von f und wird mit deg f bezeichnet. Ist C eine weitere abelsche Varietät über k, g: B → C eine Isogenie über k, so ist die Hintereinanderausführung g ο f ebenfalls eine Isogenie über k vom Grad deg f·deg g ([23], §8).
Sei nun A eine abelsche Varietät über k. Ist k ⊆ K eine Körpererweiterung, so ist A_K eine abelsche Varietät über K. Ist umgekehrt B eine abelsche Varietät über K, so heißt B definiert über k, wenn eine abelsche Varietät A über k existiert mit B ≅ A_K.
Sei A eine abelsche Varietät über k in additiver Schreibweise,
Sei
die Projektion auf den ersten Faktor. Die von p induzierte Abbildung
ist ein Isomorphismus über k . Die Hintereinanderausführung
heisst Translation mit a und wird mit t_a bezeichnet. Ist a ∈ A, so ist t_a ein Morphismus A → A über k ([23], §1).
Lemma 1.1. Eine abelsche Varietät A über k ist kommutativ, d. h. die Gruppe A(L) ist kommutativ für jede k-Algebra L.
Beweis. Mit Hilfe des Rigiditätstheorems ([23], Theorem 2.1) kann gezeigt werden, dass jeder Morphismus abelscher Varietäten f: A → B über k eine Komposition aus einem Homomorphismus h: A → B über k und einer Translation t_a ist für a = –f(0) ∈ B(k). Ist speziell f = inv und damit a = –inv(0) = –0 = 0, so ist also keine Translation nötig und damit inv ein Homomorphismus über k. Seien a, b ∈ V(L). Aus
folgt die Behauptung.
Seien A, B abelsche Varietäten der Dimension g über einem beliebigen Körper k, f: A → B eine Isogenie über k vom Grad n. Sei n_A: A → A die Multiplikation mit n. n_A ist ein Homomorphismus über k. Sei
Proposition 1.2. Zu jeder Isogenie f: A → B vom Grad n über k existiert eine Inverse in Hom Q / k (B, A), genauer eine Isogenie g ⊆ Hom_k(B, A) mit f ∘ g = n·id_B und g ∘ f = n·id_A für ein n ⊆ N.
Beweis. Sei n = deg(f). Wegen ker f ⊂ ker n_A existiert eine Isogenie g: B → A über k mit n_A = g ∘ f ([23] §8). Wegen der Surjektivität von f ist g eindeutig. Sei x ⊆ ker g. Dann existiert ein x' ⊆ A mit f(x') = x. Insbesondere ist x' ⊆ ker n_A. Es gilt nx = nf(x') = f(nx') = 0 und damit ist ker g ⊂ ker n_B und es existiert eine Isogenie f': A → B über k mit n_B = f' ∘ g. Es ist f' ∘ n_A = f' ∘ g ∘ f = n_B ∘ f = f ∘ n_A, da f als Isogenie ein Homomorphismus ist. Aus der Surjektivität von n_A folgt f = f' und damit die Behauptung.
1.3.2. Duale abelsche Varietät. Sei X eine abelsche Varietät über einem Körper k, Pic⁰(X) die Gruppe der Isomorphieklassen invertierbarer Garben L auf X mit
Es existiert eine abelsche Varietät X ^ über k und eine invertierbare, über k definierte invertierbare Garbe P auf X × X ^ mit folgenden Eigenschaften:
Ist K ein Erweiterungskörper von k, so gilt
Aus diesem Grund werden im Folgenden die Elemente von X als invertierbare Garben bzw. Geradenbündel angesehen und mit L, M und so weiter bezeichnet.
Mit (+) bedeutet die Eigenschaft (2), dass P_|X×{N} ≅ N für alle N ∈ X ^. Nach Eigenschaft (3) gibt es zu jedem t ⊆ T( k ) genau ein x ⊆ X ^(k) mit L_t ≅ P_x, auf welches t. von f abgebildet wird ([23], Rem. 9.4.)
Es ist
Theorem 1.3. (Theorem vom Quadrat)
Sei L eine invertierbare Garbe auf einer abelschen Varietät X und seien a, b ⊆ X(k) beliebige Punkte. Dann gilt:
Aus dem Theorem vom Quadrat folgt, dass
ist für jedes a ⊆ X( k ) ([23], Prop. 10.1.). Damit erhält man eine Abbildung
über k.
Tensoriert man die Gleichung (+) mit L^–2, so erhält man
Es folgt: ϕ_L ist ein Homomorphismus über k.
Eine invertierbare Garbe L auf X liegt in Pic⁰(X) genau dann, wenn L algebraisch äquivalent zu O_X ist ([23], Rem. 9.3.). Wegen Pic(X) ≅ Cl(X) ist also NS(X) = Pic(X)/Pic⁰(X). Die Abbildung L ↦ ϕ_L induziert eine Injektion NS(X) ↪ Hom_k(X, X ^) in die Gruppe der über k definierten Homomorphismen X → X ^, da ϕ_L = ϕ_L' genau dann, wenn L und L' algebraisch äquivalent sind. Es folgt daraus, dass NS(X) ein freier Z-Modul von endlichem Rang ≤ 4·dim X·dim X ^ ist, weil diese Eigenschaft für Hom(X, X ^) gilt ([23], Theorem 12.5.).
Sei k wieder beliebig, X eine abelsche Varietät über k, und seien
die Proektionen auf den ersten bzw. zweiten Faktor. Sei L eine invertierbare Garbe auf X,
K_L ist eine abgeschlossene Teilmenge von X und eine Untergruppe von X( k ) ([25], S. 123) und kann mit der Struktur eines Unterschemas von X versehen werden: ist die Garbe M auf X × X gegeben durch
so lässt sich K_L definieren als maximales Unterschema von X, so dass M|_{x}×X trivial ist, da M|_{x}×X identifiziert werden kann mit t * / x .L⊗L^–1 ([23], §9, [25], §13).
Folgende Bedingungen sind für eine invertierbare Garbe L auf X äquivalent ([23], Prop. 9.2):
Eine invertierbare Garbe L auf X mit H⁰(X, L) ≠ 0 heisst ampel, wenn K_L Dimension 0 hat. Falls L ampel ist, ist ϕ_L: X → X ^ eine Isogenie ([23], Prop. 10.1) und es ist X/K_L: ≅ X ^.
1.3.3. Dualer Homomorphismus. Seien A, B abelsche Varietäten über k, f: A → B ein Homomorphismus. Dann ist durch
ein Homomorphismus definiert. Er heißt der zu f duale Homomorphismus. Ist f über k definiert, so ist f ^ ebenfalls über k definiert ([23], §11, Conventions).
Sind A, B abelsche Varietäten über k, P_A, P_B die Poincaré-Garben auf A × A ^ bzw. B × B ^ und ist f: A → B ein Homomorphismus, dann ist (f × 1)*P_B eine invertierbare Garbe auf A × B ^ . Nach obiger Bemerkung über die Poincaré-Garbe existiert ein eindeutig bestimmter Homomorphismus g: B ^ → A ^ mit ( 1 × g)*P_A ≅ (f × 1)*P_B und dieser Homomorphismus ist eben f ^ .
Sei h: A → B eine weiterer Homomorphismus, C eine weitere abelsche Varietät über k, g: B → C ein Homomorphismus über k. Der duale Homomorphismus hat die Eigenschaften:
Es ist ϕ_L = ϕ ^_L unter der Identifikation
[20], Cor. 4.4.6., Seien jetzt A und B abelsche Varietäten über k, f: A → B eine Isogenie über k und L_A, L_B ample Geradenbündel auf A bzw. B mit L_A ≈ f*L_B.
Proposition 1.4. Folgendes Diagramm kommutiert:
Beweis.
1.3.4. Polarisierte abelsche Varietäten. Eine Polarisierung auf einer abelschen Varietät X über k ist eine Isogenie λ: X → X ^) über k, so dass eine ample invertierbare Garbe L auf X_k existiert mit
Das Paar (X, λ) heißt polarisierte abelsche Varietät. Ist λ = ϕ_L mit einer invertierbaren Garbe L, so verwendet man auch die Bezeichnung (X, L), wobei mit L eigentlich die Klasse der zu L algebraisch äquivalenten Bündel in NS(X) gemeint ist. Der Exponent e(λ) der Polarisierung λ ist die kleinste natürliche Zahl mit der Eigenschaft, dass ker ϕ_L ⊆ ker e(λ)_X gilt. Eine solche Zahl existiert immer nach einem Lemma von Deligne.
Es ist nicht notwendig, dass ein über k definiertes Bündel L existiert mit λ = Φ_L ([23],. Rem. 13.2).
Ein Homomorphismus f: (X, L) → (X', L') von polarisierten abelschen Varietäten über k ist ein Homomorphismus f: X → X' über k mit f*G' ≈ L. Ist f: X → X' ein Homomorphismus von abelschen Varietäten mit endlichem Kern und L' eine Polarisierung auf X', so ist durch f*L' eine Polarisierung auf X' gegeben, die induzierte Polarisierung. Ist d eine natürliche Zahl, so gibt es für eine abelsche Varietät X über k bis auf Isomorphie nur endlich viele Polarisierungen λ vom Grad d auf X ([23], Theorem 18.1.).
Eine Polarisierung λ: X → X ^ heißt separabel, wenn λ als Isogenie separabel ist. In diesem Fall ist ker
reduziert mit
wobei g die Dimension von X ist, e₁, ..., e_g ∊ N mit e_i|e_i+1 und char(k) teilt nicht e_i für alle i ([26], S. 294). Das Tupel (e₁, ..., e_g) heißt der Typ von (X, L). Ist (e₁, ..., e_g) = (1, ... 1), so heißt (X, L) prinzipal polarisiert.
Sei X eine abelsche Varietät mit Polarisierung λ, L ein zugehöriges amples Bündel mit
die Inverse λ in
Sei ✝: End Q / k(X) → End Q / k(X) die Abbildung definiert durch
✝ hat folgende Eigenschaften:
Die Eigenschaften (1), (2) und (4) besagen, dass ✝ eine Anti-Involution ist. Sie heißt Rosati-Involution bezüglich λ oder L.
f ∊ End Q / k (X) heisst symmetrisch, wenn f^✝ = f gilt. Sei
Wegen (1) ist End s / Q(X ) ein Q-Vektorraum.
Sei λ₀ eine beliebige, aber feste Polarisierung mit
für ein
Für jedes L ist
durch die Klasse von L in
eindeutig bestimmt. Fasst man L als Element von
auf, so induziert λ₀ eine Abbildung
Diese ist wohldefiniert, da ϕ_L = ϕ_M ist für zwei algebraisch äquivalente Geradenbündel L. M. Wegen
handelt es sich um einen Homomorphismus von Q-Vektorräumen ([25], S. 60).
Dass das Bild von Φ wirklich aus den symmetrischen Endomorphismen besteht, sieht man wie folgt: betrachtet man das Diagramm
das nicht notwendigerweise kommutiert, so folgt, weil X über k definiert ist, die Existenz des folgenden Diagramms:
Dieses Diagramm kommutiert wegen
Deshalb muss auch das erste Diaramm kommutieren, da
von λ₀ induziert wird. Damit ist
und es folgt
1.3.5. Normendomorphismus. Sei (X, L) eine polarisierte abelsche Varietät über k, Y ⊆ X eine abelsche Untervarietät über k, ι_Y: Y ↪ X die kanonische Einbettung, t*yL die auf Y induzierte Polarisierung. Der Exponent e(ι * / Y , C) der induzierten Polarisierung heißt der Exponent e(Y) der abelschen Untervarietät Y. Die Abbildung
ist wie
über k definiert. Die Abbildung
ist als Komposition über k definierter Abbildungen ebenfalls über k definiert und, da
eine Isogenie ist([20), 5.3), ein Endomorphismus. N_Y heißt der zu Y gehörige Normendomorphismus von X bezüglich L. Wegen
([20], Cor. 2.3.6. gilt
N_Y ist also symmetrisch. Außerdem ist
([20], Lemma 5.3.1.). Folglich ist
ein symmetrisches Idempotent aus End Q / k (X).
Zu einem beliebigen symmetrischen Idempotent
∊ End Q / k (X) gehört genau eine abelsche Untervarietät über k von X, nämlich die Varietät
mit n ∊ N so, dass n
∊ End_k(X) ist. Für
=
_Y ist
= Y nach Definition von N_Y. Da mit
auch 1 –
ein symmetrisches Idempotent aus End Q / k (X) ist, gehört insbesondere zu 1 –
_Y eine abelsche Untervarietät über k:
heißt die zu Y komplementäre abelsche Untervarietät von X bezüglich der Polarisierung L. Es ist Y + Z = X und Y ∩ Z ist endlich, wie folgendes Lemma zeigt.
Lemma 1.5. Es ist
Beweis.

(1) Sei y ∊ Y. Nach Definition von N_Y ist
(2) Sei z ∊ Z. Nach Definition von Z existiert ein x ∊ X mit z = e(Y)x – N_Y(x) und damit ist
(3) Ist x ∊ Y, so gilt nach (2)
Ist x ∊ Z, so ist N_Z(x) = e(Z)x nach (1) und nach (2) folgt
(4) Ist x ∊ Z, so ist

Analog folgt die Behauptung für x ∊ Y.
Sei nun L eine prinzipale Polarisierung auf X, Z und Y wieder komplementäre abelsche Untervarietäten von X über k. In diesem Fall haben Y und Z denselben Exponenten ([20], Prop. 12.1.1., Cor.). Aus der Aussage (4) des letzten Lemmas folgt
Wir bezeichnen den gemeinsamen Exponenten von Y bzw. Z ab jetzt mit e.
Sei (ker N_Y)₀ die Null-Zusammenhangskomponente von ker N_Y.
Proposition 1.6. (ker N_Y)₀ = Z.
Beweis. Es ist dim (ker N_Y)₀ = dim X – dim Bild(N_Y) = dim X – dim Y = dim Z. Aus Bild(N_Z) = Z und Eigenschaft (3) des Lemmas folgt Z ⊂ C ker N_Y und da 0 ∊ Z ist auch Z ⊂ (ker N_Y)₀.
2. KURVEN
2.1. Kurven und Funktionenkörper. Es sei im Folgenden unter einer Kurve über k immer eine nichtsinguläre vollständige Varietät der Dimension 1 über k verstanden. Für eine nichtsinguläre Varietät der Dimension 1 sind die Begriffe vollständig und projektiv äquivalent. Morphismen zwischen Kurven über k seien stets dominant, also endlich. Sei k im Folgenden ein vollkommener Körper. Sei K ein endlich erzeugter Erweiterungskörper von k vom Transzendenzgrad 1 mit Konstantenkörper k, v: K – {0} → Z eine normierte Bewertung von K/k, R = {x ∈ K|v(x) ≥ 0} U {0} der zugehörige Bewertungsring von K/k. Jeder diskrete Bewertungsring von K/k ist isomorph zum lokalen Ring O_P eines abgeschlossenen Punktes einer Kurve mit Funktionenkörper K ([30], S. 46). Die Menge aller diskreten Bewertungsringe von K/k kann zu einem topologischen Raum gemacht werden, indem man die endlichen Teilmengen und den ganzen Raum als abgeschlossen definiert.
Satz 2.1. (1) Zu jedem Funktionenkörper K/k vom Transzendenzgrad l über k existiert eine Kurve X_K über k mit k(X_K) ≅ K. Diese ist bis auf Isomorphie eindeutig bestimmt.
(2) Zu jeder Inklusion L ⊆ K von Funktionenkörpern L, K vom Transzendenzgrad l über k gehört genau ein endlicher Morphismus ϕ : X_K → X_L, der zugehörigen Kurven, so dass die induzierte Abbildung der Strukturgarben über dem generischen Punkt die Inklusion L ↪ K ist.
Der Satz wird bewiesen für k = k in [15], Theorem I.6.9., Cor. I.6.12., S. 44f.
Die diskreten normierten Bewertungen von K/k, fasst man als abgeschlossene Punkte der Kurve X_K auf, was mit der früheren Definition konsistent ist, da jedem Primdivisor ≠ (0) auf X_K eindeutig eine normierte diskrete Bewertung zugeordnet ist, wobei die Primdivisoren in diesem Fall die abgeschlossenen Punkte sind. Mit Punkten sind ab jetzt immer abgeschlossene Punkte gemeint.
2.2. Operation der Galoisgruppe. Sei G eine Gruppe mit neutralem Element 1, A eine abelsche Gruppe,
eine Abbildung. A heißt G-Menge, falls
für alle σ, τ ∈ G, a ∈ A gilt. Man sagt auch, G operiert auf A. Es ist die Rede von einer transitiven Operation von G auf A, wenn für jedes a ∈ A die Abbildung
surjektiv ist. Das heißt, je zwei Elemente von A werden durch ein Element von G ineinander übergeführt.
A heißt G-Modul, falls zusätzlich
gilt.
Sei A ein G-Modul. Dann ist die Menge
der Elemente von A, die G festlässt, eine Untergruppe von A. A^G heißt Fixuntergruppe. Man sagt, G operiert trivial auf A, wenn A^G = A ist.
Für den nächsten Abschnitt ist folgendes Beispiel wichtig: sei k ein beliebiger Körper, k ⊂ K eine galoische Erweiterung, G := Gal(K/k). Ist C eine kommutative algebraische Gruppe über k, die in den affinen Raum A n / k oder den projektiven Raum P n / k über k eingebettet ist, so operiert G auf den Koordinaten: ist (x₁, ..., x_n) bzw. (x₀: ...: x_n) ∈ C(K), so ist die Operation im einen Fall gegeben durch
für ein σ ∈ G und im anderen Fall durch
Diese Operation hängt nicht ab von der Einbettung C ↪ A n / k bzw. C ↪ P n / k .
2.3. Divisoren. Ist X eine Kurve über k, P ∈ X ein Punkt, so ist
endlich und heißt der Grad von P über k. Es ist f_P ≠ 1 genau für die nicht k-wertigen Punkte. Eine formale Summe
von Punkten P_i auf X mit n_i = 0 für fast alle i heißt Divisor auf X. D heißt effektiv, wenn n_i ≥ 0 ist für alle i. Die Divisoren auf X bilden die Gruppe Div(X). Der Grad eines Divisors
wird definiert als
Sei
die zu einem Punkt P ∈ X gehörige normierte Bewertung, f ∈ k(X). Der Divisor von f ist definiert als
Ein Divisor von solcher Gestalt heißt Hauptdivisor. Die Hauptdivisoren bilden eine Untergruppe von Div(X). Zwei Divisoren heißen linear äquivalent, wenn sie sich nur um einen Hauptdivisor unterscheiden. Die Picardsche Gruppe oder Divisorklassengruppe Pic(X) ist der Quotient der Gruppe Div(X) durch die Untergruppe der Hauptdivisoren. Sie ist isomorph zur Gruppe der Isomorphieklassen der Geradenbündel auf X, wobei die Gruppenoperation hier das Tensorprodukt ist. Jeder Hauptdivisor auf einer Kurve hat den Grad 0 ([15], Cor. II.6.10.), weshalb linear äquivalente Divisoren auf Kurven denselben Grad haben. Ist L ein Geradenbündel auf X, so sind alle Divisoren D mit O_X(D) ≅ L linear äquivalent und man definiert den Grad deg L des Bündels als deg D.
Sei K eine galoische Erweiterung von k. Die Gruppe G := Gal(K/k) operiert auf Div(X) durch
für σ ∈ G. Ein Divisor D = Σn_iQ_i heißt definiert über k, wenn σD = D ist für alle σ ∈ G. Die über k definierten Divisoren auf X bilden die Untergruppe Div_k(X) von Div(X). Die Operation von G auf Div(X) induziert eine Operation von G auf Pic(X), da sie sich zu einer Operation auf den Hauptdivisoren einschränkt vermöge (σf) = σ(f). Pic_k(X) bezeichnet die Untergruppe von Pic(X), die fix bleibt unter der Operation von G. Die Menge der Isomorphieklassen aller Geradenbündel über k vom Grad 0 auf X wird mit Pic 0 / k (X) bezeichnet. Sie ist eine Untergruppe von Pic_k(X). dass D = Σn_iQ_i über k definiert ist, impliziert nicht, dass die Q_i k-wertig sind, wie man an folgendem Beispiel sieht: sei E eine elliptische Kurve über dem Körper Q, gegeben durch die affine Gleichung
Die Punkte Q_i = (2, √ 6 ), Q₂ = (2, –√ 6 ) auf E sind nicht Q-wertig, der Divisor Q₁ + Q₂ ist jedoch über Q definiert, denn jedes Element von G schränkt sich auf Q(√ 6 ) entweder als Identität oder als die kanonische Involution von Q(√ 6 )/Q ein.
Sei P ein Punkt der Kurve X, k ⊂ k' eine galoische Körpererweiterung mit k(P) ⊂ k'. Auf der Kurve X_k, liegen genau f_P Punkte P₁, ... P_fP über P mit f_Pj = 1 für alle j ∈ {1, ..., f_P}. Damit ist
ein Divisor in Div(X) vom Grad ∫_P und die Abbildung
ist eine Einbettung, die den Grad erhält.
Sei d ≥ 1, X^d das d-fache kartesische Produkt von X. Auf X^d operiert die symmetrische Gruppe S_d: die S_d-Bahnen definieren die Äquivalenzrelation
auf X^d.
ist eine projektive Varietät der Dimension d und heißt d-faches symmetrisches Produkt von X. Ein abgeschlossener Punkt von X⁽ ^d ⁾ wird mit a = (a₁ ... a_d) bezeichnet. Zu X⁽ ^d ⁾ gehört ein bis auf Isomorphie eindeutig bestimmter, endlicher, surjektiver und separabler Morphismus
([24], Prop. 3.1.). Da X als nichtsinguläre Kurve vorausgesetzt war, ist auch X⁽ ^d ⁾ nichtsingulär (|24|, Prop. 3.2.).
Die S_d-Operation ist über k definiert, also auch X^(d). Ist k ⊆ K vollkommen, so ist
die Menge der effektiven, über K definierten Divisoren vom Grad d (s. [24], Rem. 3.3.).
2.4. Verzweigung. Seien X, Y Kurven über einem Körper k, f: X → Y ein endlicher Morphismus über k. Der Grad der Körpererweiterung k(Y) ⊆ k(X) heißt der Grad deg f von f.
Sei f: X → Y separabel vom Grad n, P ∈ X ein Punkt. Zu P und f(P) gehören gemäß dem letzten Abschnitt normierte diskrete Bewertungen v_P und v_f(P) der zu den beiden Kurven gehörigen Funktionenkörper. Es existiert ein e_P ∈ N, so dass
gilt. e_P heißt der Verzweigungsindex von f in P. Ist e_P = 1 so heißt f unverzweigt in P, sonst verzweigt. Die Verzweigung in P heißt zahm, wenn entweder char(k) = 0 ist oder char(k) = p ≥ 2 ist und p nicht e_P teilt. Sonst heißt die Verzweigung wild.
Sei Δ: X → X×_Y X der Diagonalenmorphismus. Das Bild Δ(X) ist ein abgeschlossenes Unterschema einer offenen Menge W ⊆ X×_Y X ([15], S. 175). Sei F die Garbe der Ideale von Δ(X) in W. Die Garbe
heißt Garbe der relativen Differentiale von X über Y. Sie hat die Struktur eines O_X-Moduls ([15], Rem. 8.9.1., S. 175). Der Halm (Ω_X/Y)_P für einen Punkt P ∈ X ist ein O_P-Modul endlicher Länge l_P(Ω_X/Y) ([15], Prop. 2.2.(b), S. 300). Für fast alle P ∈ X ist l_P(Ω_X/Y) = 0 ([15], Prop. 2.2.(a), S. 300). Der Verzweigungsdivisor von f ist definiert als
Bei wilder Verzweigung ist l_P(Ω_X/Y) > e_P – 1, im zahmen Fall ist
([15], Prop. 2.2.(c), S. 300) und der Verzweigungsdivisor hat den Grad
Da f separabel ist, gilt e_P = 1 für fast alle P ∈ X. Der relative Grad von P über Y ist definiert als
Es gilt
und, da f separabel ist,
wobei über alle P_i summiert wird, die unter f den gleichen Bildpunkt haben ([30], Prop. 7.1., Prop. 7.2., S. 78f). f heißt unverzweigt über f(P), wenn |{f^–1(f(P))}| = n ist.
In dem für das Folgende wichtigen Fall eines endlichen separablen Morphismus f: X → Y vom Grad 2 über k können folgende Fälle auftreten:
f ist unverzweigt über f(P) genau in den Fällen (2) und (3). Insbesondere ist f dann unverzweigt in P und P'.
Beispiel. Sei E eine elliptische Kurve über einem beliebigen Körper k der Charakteristik ≠ 2, gegeben durch eine affine Gleichung
in Weierstraßscher Normalform. Wir betrachten den Morphismus
vom Grad 2 zunächst über k . Mit einem Punkt P = (x, y) ist auch der Punkt P' = (x, –y) ∈ E und es gilt: f(P) = f(P'). Im Falle y ≠ 0 ist also e_P = e_P' = 1. Ist P rational, dann auch P' und f(P), es ist also
In diesem Fall ist f unverzweigt in P und P'. Ist x ∈ k, aber y ∉̸ k, so ist y, –y ∈ k(√ x³ + ax + b ). Das Bild von P und P unter f ist ein rationaler Punkt und es ist
Das ist Fall (2). Da P und P' wegen y ∉̸ k über k derselbe Punkt sind, liefern sie in der Formel (*) nur einen Beitrag. Der Fall e_P = 2 tritt auf für den Punkt im Unendlichen, dessen Grad und relativer Grad gleich 1 sind, und für Punkte (x, y) mit y = 0. Für diese Punkte ist der relative Grad ebenfalls gleich 1, da (1:x) ∈ P¹ genau dann rational ist, wenn x rational ist.
Bemerkung. Sei f: C → E ein endlicher, separabler Morphismus von Grad n von Kurven, und sei die zugehörige Erweiterung k(E) ⊆ k(C) galoisch. Dann haben für einen Punkt Q ∈ E alle Punkte P ∈ f^–1(Q) denselben Verzweigungsindex e_P, weshalb wir e_Q := e_P definieren. Die Anzahl dieser Punkte ist
für einen Punkt P ∈ f^–1. Sei also
Es ist
für alle i, j ∈ {1, ..., d_Q}, da alle k(P_i) zueinander isomorh sind. Aus dem gleichen Grund sind auch die relativen Grade
alle gleich.
Sei Ω¹(X) der Vektorraum der regulären Differentiale auf X. Die Invariante
heißt das Geschlecht von X. Zwischen dem Geschlecht von Kurven und dem Verzweigungsverhalten eines endlichen Morphismus der Kurven besteht folgender Zusammenhang:
Theorem 2.2. (Hurwitz-Formel.) Seien X, Y Kurven über einem Körper k, f: X → Y ein endlicher, separabler Morphismus vom Grad n über k. Dann gilt
Ist die Verzweigung zahm, so gilt
Das Hurwitz-Theorem wird bewiesen in [15], Cor. 2.4., S. 301.
Für einen endlichen Morphismus f: X → Y von Kurven über k ist ein Homomorphismus
von Gruppen über k definiert durch
Bei der inneren Summe wird über alle Punkte P_j summiert mit f(P_j) Q_i. f* bildet linear äquivalente Divisoren auf linear äquivalente Divisoren ab und induziert somit einen Homomorphismus
Fasst man die Elemente von Pic_k(Y) als Geradenbündel auf, so ist f* gegeben durch das Zurückziehen von Geradenbündeln.
2.5. Jacobische Varietät. Sei X eine Kurve über k, T ein zusammenhängendes Schema von endlichem Typ über k, M eine invertierbare Garbe auf X × T, t ∈ T ein abgeschlossener Punkt.
wird aufgefasst als Garbe auf X_k(t). Der Grad deg M_t. ist unabhängig von t ([24], §1).
Unter den zu Beginn getroffenen Voraussetzungen an X existiert eine abelsche Varietät J(X) über k, so dass für jede Körpererweiterung k ⊆ K gilt:
J(X) heißt die Jacobische Varietät von X. Ihre Dimension ist gleich dem Geschlecht von X ([24], Prop. 2.1).
Satz 2.3 (Universelle Eigenschaft der Jacobischen). Sei J(X) die Jacobische Varietät einer Kurve X über k. Es existiert eine invertierbare, über k definierte Garbe L auf X × J(X) mit deg L_j = 0 für alle j ∈ J(X), so dass gilt: für jedes Schema T von endlichem Typ über k und für jede invertierbare Garbe M auf X × T mit deg M_t = 0 für alle t ∈ T existiert genau ein Morphismus g:T ← J(X) über k, so dass (1_X × g)*L ≅ M gilt.
Zum Beweis siehe [24], Theorem 1.1., Theorem 1.2., Lemma 1.3. und §4. L heißt Poincaré-Bündel auf X × J(X). Aufgrund der universellen Eigenschaft ist die Jacobische eindeutig durch die Kurve X bestimmt.
Sei nun T = X, Δ := {(x, x):x ∈ X} die Diagonale in X × X. Existiert ein k-wertiger Punkt P von X, so ist
eine invertierbare Garbe auf X × X mit deg M P / x = deg O_X(x – f_xP) = 0 für alle P ≠ x ∈ X ([24], §2). Gemäß der universellen Eigenschaft der Jacobischen gibt es einen eindeutig bestimmten Morphismus
mit (1_X × α_P)*L ≅ M^P. Da J(X)( k ) mit
identiziert werden kann, hat α_P die Gestalt
bildet also, anders ausgedrückt, P auf das neutrale Element von J(X) ab und jeden beliebigen Punkt Q auf die Äquivalenzklasse von Q – f_QP in
α_P ist über k definiert und heißt Abel-Jacobi Abbildung.
Ist α_P' eine andere Abel-Jacobi Abbildung, so unterscheiden sich α_P und α_P' nur um eine Translation ([24], §2).
Betrachtet man die Abel-Jacobi Abbildung α_P nur auf den k-wertigen Punkten von X, so induziert
eine Abbildung
Mit der Summe ist einmal die Addition auf der Jacobischen gemeint und einmal die formale Summe des Divisors. Die Abbildung ist unabhängig von P, surjektiv und ihr Kern besteht aus den Hauptdivisoren auf X ([24], §2). Sie definiert für jede Körpererweiterung k ⊆ K, für die X einen K-wertigen Punkt hat, einen kanonischen Isomorphismus
([24], §1). Im Folgenden werden die Punkte der Jacobischen als Geradenbündel angesehen.
Satz 2.4 (Universelle Eigenschaft der Abel-Jacobi Abbildung). Ist X eine Kurve mit mindestens einem k-wertigen Punkt P, A eine abelsche Varietät über k, h: X → A ein Morphismus über k mit h(P) = 0 ∈ A, so existiert genau ein Homomorphismus ψ: J(X) → A von abelschen Varietäten über k, so dass folgendes Diagramm kommutiert:
Beweis in [24], Prop. 6.1.
Auch aus der universellen Eigenschaft der Abel-Jacobi Abbildung folgt noch einmal die Eindeutigkeit der Jacobischen bis auf Isomorphie: ist J'(X) ebenfalls eine Jacobische der Kurve X über k, α_Q: X → J'(X) eine Abel-Jacobi-Abbildung, so existiert ein eindeutig bestimmter Homomorphismus ψ₂: J(X) → J'(X) über k mit ψ₂ ∘ α_P = α_Q. Umgekehrt existiert genau ein Homomorphismus ψ₁: J'(X) → J(X). über k mit ψ₁ ∘ α_Q = α_P. Es folgt ψ₁ ∘ ψ₂ ∘ α_P = α_P und ψ₂ ∘ ψ₁ ∘ α_Q = α_Q und damit ψ₁ ∘ ψ₂ = id_J(X) und ψ₂ ∘ ψ₁ = id_J'(X).
Sei P ein rationaler Punkt auf X, r ≥ 0, (P₁ ... P_r) ein abgeschlossener Punkt von X^(r) Der Divisor Σ r / i=1 P_i ist vom Grad
und
vom Grad 0. Sei
die Abbildung, die einen abgeschlossenen Punkt (P₁ ... P_r) von X^(r ⁾ auf die lineare Äquivalenzklasse von
abbildet.
Sei nun D ∊ Div g-1 / + (X) ein effektiver Divisor vom Grad g – 1 auf X, wobei g das Geschlecht von X ist. Dann lässt sich D als abgeschlossener Punkt (P₁ ... P_g-1) von
auffassen für eine Körpererweterung k ⊂ k', so dass alle Punkte P_i vom Grad 1 sind. Das Bild von D unter derAbbildung α (g-1) / P ist die Klasse von D – (g – 1)P, da wir D aus Divisor über k' auffasen, und dies ist gleich
Somit haben wir einen Morphismus
Das Bild von Div g-1 / + (X) unter α ist ein Divisor auf J(X), der Theta-Divisor Θ, der über k definiert ist. Wählt man einen anderen rationalen Punkt P' anstelle von P, so erhält man als Bild von Div g-1 / + (X) unter α einen Divisor Θ + a für ein a ∊ J(X)(k) ([24], Rem. 6.5.). Durch Θ ist eine prinzipale Polarisierung auf J(X) gegeben, die kanonische Polarisierung ([24], Sum. 6.11). Da k als vollkommen vorausgesetzt war, ist eine Kurve X über k vom Geschlecht ≥ 2 bis auf Isomorphie eindeutig durch die polarisierte abelsche Varietät (J(X), Θ) bestimmt ([24], Cor. 12.2.).
Zu einem Morphismus f: X → Y von Kurven über k gehört der Morphismus
ihrer Jacobischen Varietäten über k, der auf den k-wertigen Punkten mit dem früher definierten Homomorphismus f*: Pic_k(Y) → Pic_k(X) übereinstimmt. Folgende Eigenschaft von f* wird später benötigt:
Proposition 2.5. Sei f: X → Y ein endlicher Morphismus von Kurven vom Grad n ≥ 2 über k und enthalte k die n-ten Einheitswurzeln. Faktorisiert f nicht über einen zyklischen étalen Morphismus f'': Z → Y vom Grad ≥ 2, so ist f* injektiv.
Beweis. Wir können ohne Einschränkung annehmen, dass f galoisch ist. Sei G := Gal(k(X)/k(Y)), k(Y)ⁿ = {fⁿ ∊ k(Y)|f ∊ k(Y)}. Sei O_Y ≇ L ∊ J(Y), L ≅ O_Y(D). Sei L ∊ ker f*. Das bedeutet, dass f*D ein Hauptdivisor auf X ist, also f*(D) = (h) mit h ∊ k(X). Da der Divisor (h) von der Kurve Y kommt, ist (h^σ) = (h) für alle σ ∊ G. Wegen
ist h^σ = ∊_σ·h mit ∊_σ ∈ k*. Die Norm N von h bezüglich k(X)/k(Y) ist damit
Damit ist ω := N(h)·∊^–1 = hⁿ ∈ k(Y), aber
Es existiert deshalb ein Primteiler p von n und ein r ≥ 0, so dass
ist für p^r+1|n. Das heißt, es existiert ein ω₀ ∊ k(Y) mit
Das Polynom T^p – w₀ ∊ k(Y)[T] ist damit irreduzibel und hat die Nullstelle
Daraus folgt, dass
eine gechte Erweiterung ist, die auch zyklisch ist, da mit k auch k(Y) die n-ten Einheitswurzeln enthält, und somit die p-ten Einheitswurzeln. Sei
Dann gilt wegen, w = hⁿ dass w₀ = h^pm und damit
ist. Der Morphismus f faktorisiert also über einen zyklischen Morphismus f'': Z → Y, wobei
ist. dass dieser Morphismus auch unverzweigt ist, folgt daraus, dass
ist: wegen w₀ = h^pm ist (w₀) = p·m·f*D.
3. PRYM-VARIETÄTEN
Seien X, Y Kurven über k vom Geschlecht g_X bzw. g_Y, X(k) nichtleer, J(X), J(Y) die zugehörigen Jacobischen Varietäten, f: X → Y ein endlicher separabler Morphismus über k vom Grad n ≥ 2, P ∊ X(k). Dann ist f(P) ∊ Y(k). Seien
und
die zugehörigen Abel-Jacobi Abbildungen, L ∊ J(X) mit L = O_X(D), D = Σa_iQ_i ein Divisor auf X. Sei
Dann ist h(P) = α_f(P)(f(P)) = 0 und gemäß der universellen Eigenschaft der Abel-Jacobi Abbildung existiert ein eindeutig bestimmter Morphismus
über k mit N_f ∘ α_P = h, die Normabbildung von f. Wegen
und
ist N_f wie folgt definiert:
Seien Θ_X, Θ_Y die kanonischen prinzipalen Polarisierungen auf J(X) bzw. J(Y). Folgendes Diagramm kommutiert:
Da J(X) und J(Y) als prinzipal polarisierte Varietäten selbstdual sind, kann
identifiziert werden. Unter dieser Identifikation gilt
Proposition 3.1. Sei f: X → Y ein separabler Morphismus von Kurven vom Grad n. Dann ist
Beweis. Nach Definition ist N_ff* gegeben durch
Bei der inneren Summe über alle P_j summiert mit f(P_j) = Q_i. Zu jedem Punkt Q_i auf
gibt es mit Vielfachheiten
gezählt genau n Punkte P_j auf
mit f(P_j) = Q_i. Es folgt f(ΣP_j) = nQ_i und damit.
Für die Konstantenerweiterung über k gilt also
Gilt diese Gleichheit über k , dann auch über k. Wegen
ist
und es folgt
und damit, dass nΘ_Y und (f*)*Θ_X algebraisch äquivalent sind.
Proposition 3.2. Für einen separablen Morphismus f: X → Y vom Grad n gilt
Beweis. Nach der letzten Proposition kommutiert folgendes Diagramm:
Den Homomorphismus f* kann man als Komposition einer Abbildung
mit der kanonischen Einbettung ι_f*(Y) auffassen. Da f* ein Homomorphismus mit endlichem Kern ist, ist j eine Isogenie.
Sei
Man erhält das folgende kommutative Diagramm:
Es folgt ϕ_f*J(Y) = j ^^–1n_J(Y)j^–1 und damit
Es folgt
ker N_f ist eine abgeschlossene Untergruppe von J(X). Da J(X) eine vollständige Varietät ist, ist ker N_f als abgeschlossene Untergruppe von J(X) selbst vollständig und hat endlich viele Zusammenhangskomponenten. Diejenige, welche die Zusammenhangskomponente (ker N_f)₀ desjenigen Punktes von ker (N_f) ist, der zur Klasse O_X gehört, ist eine abelsche Varietät und heißt die Prym-Varietät von f. Sie wird im Folgenden mit P(f) bezeichnet. Im Allgemeinen ist nicht klar, ob die Prym-Varietät über k definiert ist, in dem für uns interessanten Fall jedoch schon, wie wir später zeigen werden.
Proposition 3.3. Sei f: X → Y ein separabler Morphismus von Kurven vom Grad n ≥ 2. P(f) und f*J(Y) sind komplementäre abelsche Untervarietäten von J(X). Verzweigt f in mindestens einem Punkt, so ist dim (f*J(Y)) ≤ dim (P(f)).
Beweis. Die Null-Zusammenhangskomponente (ker N_f*J(Y))₀ des Kerns von N_f*J(Y) ist genau die zu f*J(Y) komplementäre Untervarietät von J(X) nach Prop. 1.6. Zu zeigen ist also
was nach Prop. 3.2. äquivalent ist zu
Ist L ∊ ker N_f, so ist N_f(L) ≅ O_Y, woraus f*N_f(L) ≅ f*O_Y ≅ O_X folgt, da f* ein Homomorphismus ist. Mit f*N_f(L) ≅ O_X ist aber auch e(f*J(Y)) / n f*N_f(L) ≅ O_X, was bedeutet L ∊ ker( e(f*J(Y)) / n f*N_f). Da die Dimensionen gleich sind, folgt die Behauptung. Da f als separabel vorausgesetzt war, lässt sich das Hurwitz-Theorem anwenden und es ist
Wenn f mindestens in einem Punkt verzweigt, ist deg R ≩̸ 0und es folgt
Wegen dim P(f) = g_X – 9_Y ist dies äquivalent zu
und aus dim f*J(Y) ≤ g_Y folgt die Behauptung.
Lemma 3.4. Sei f: X → Y ein endlicher Morphismus von Kurven vom Grad n ≥ 2 über k und enthalte k die n-ten Einheitswurzeln. Faktorisiert f nicht über einen étalen zyklischen Morphismus vom Grad ≥ 2, so ist ker N_f zusammenhängend und P(f) über k definiert.
Beweis. Nach Prop. 2.5. ist f* injektiv und somit folgende Sequenz exakt:
Dualisiert man eine exakte Sequenz abelscher Varietäten über k, so erhält man wiederum eine exakte Sequenz abelscher Varietäten über k, in diesem Fall
wegen
Es folgt
also ist ker N_f zusammenhängend und damit P(f) = ker N_f. Als Kern eines Homomorphismus über k ist P(f) über k definiert.
Sei
die Inklusion. Dann definiert i * / P(f)Θ_X eine Polarisierung auf P(f), die induzierte Polarisierung. Um den Typ dieser Polarisierung zu bestimmen benötigen wir folgendes
Lemma 3.5. Sind V und W komplementäre abelsche Untervarietäten einer prinzipal polarisierten abelschen Varietät (X, Θ) mit s:= dim V ≥ dim W =: r und ist die induzierte Polarisierung ι * / W Θ separabel vom Typ (d₁, ... d_r), so ist die Polarisierung ι * / VΘ separabel vom Typ
Beweis. Nach Definition ist
und analog
Sei (c₁, ..., c_s) der Typ von ι * / V Θ. Nach Definition des Typs ist
und
mit c_i|c_i+i und d_j|d_j+1 für i ∊ {1, ..., s – 1}, j ∊ {1, ..., r – 1}. Nach dem Hauptsatz über endlich erzeugte abelsche Gruppen sind die Zahlen c₁, ..., c_s und d₁, ..., d_r eindeutig bestimmt, so dass aus der Isomorphie von
und
folgt: d_i = c_i für i ∊ {1, ..., r} und c_i = 1 für
Damit ist ι * / VΘ_X vom Typ
Proposition 3.6. Sei f: X → Y ein separabler Morphismus von Kurven vom Grad n, der in mindestens einem Punkt verzweigt und nicht über einen étalen zyklischen Morphismus vom Grad ≥ 2 faktorisiert. Sei dim P(f) := s. Dann ist i * / P(f)Θ_X polarisiert vom Typ
Beweis. Jacobische ist J(Y) polarisiert vom Typ
Nach Prop. 3.1. ist
f*J(Y) ist also polarisiert vom Typ
Nach prop. 3.3. ist f*J(Y) das Komplement von P(f) in J(x) es gilt dim (f*J(Y)) ≤ dim (P(f)). Nach Lemma 3.5 ist i * / P(f)Θ vom Typ
4. GALOIS-KOHOMOLOGIE
4.1. Kohomologiegruppen. Sei G eine Gruppe, A ein G-Modul, G⁰ := {g₀} eine einelementige Menge. Für r ≥ 0 sei C^r(G, A) die Menge aller Abbildungen G^r → A in r Variablen in G. Ein Element f von C^r (G, A) heißt r-Kokette. Da G⁰ nur aus einem Element besteht, gibt es soviele Funktionen f: G⁰ → A wie Elemente in A, es ist
Es existiert eine Sequenz
mit δ ∘ δ = 0 ([44], S. 468). δ ist definiert durch
etc. für f_i ∊ Cⁱ(G, A).
Die Gruppe
heißt r-te Kohomologiegruppe von G mit Werten in A.
Für δ: C⁰(G, A) → C¹(G, A) ist
Die Abbildung f₀ ∊ C⁰(G, A) mit f₀ = 0 ist aber genau das Bild von δ: 0 → C⁰(G, A) und damit ist
Der Kern von δ: C¹(G, A) → C²(G, A) besteht aus denjenigen Funktionen f₁ ∊ C¹(G, A) mit
für alle σ, τ ∊ G. Funktionen mit dieser Eigenschaft heißen verschränkte Homomorphismen. Operiert G trivial auf A, so sind das genau die Homomorphismen G → A. Das Bild von δ: C⁰(G, A) → C¹(G, A) ist die Menge
Sind σ, τ ∊ G, f₀ ∊ A, so gilt
es ist also δf₀ ein verschränkter Homomorphismus. Die Funktionen δ(f₀) mit f₀ ∊ C⁰(G, A) heißen prinzipal verschränkte Homomorphismen.
Im Fall, dass G trivial operiert, ist
und
und deshalb
Lemma 4.1. Sei G eine Gruppe, A, B, C seien G-Moduln,
eine exakte Sequenz. Dann existiert eine lange exakte Sequenz von Kohomologiegruppen
Zum Beweis siehe [37], Prop. 1, S. 133.
Sei K eine galoische Erweiterung von k, G := Gal(K/k). Dann operiert G auf K⁺ via
und analog auf K*. Für eine kommutative algebraische Gruppe X über k mit einer Einbettung X → A n / k ist die Operation von G auf X(K) gegeben durch
für einen Punkt P = (x₁, ..., x_n) ∊ X(K). Ist X in den projektiven Raum P n / k eingebettet, Q = (x₀ :...: x_n) E ∊ X(K) ein Punkt, so ist
Es gilt Lemma 4.2.
Da J(X) eine abelsche Varietät über k ist, ist insbesondere J(X)(K) eine abelsche Gruppe über K. G operiert auf J(X)(K) durch
für σ ∊ G, O_X(Σα_iP_i) ∊ J(X)(K), weswegen J(X)(K) ein G-Modul ist. Ist P(f) über k definiert, so ist auch P(f)(K) ein G-Modul: sei L ∊ P(f)(K), L = O_X(D), D = Σα_iP_i ein über K definierter Divisor auf X, σ ∊ G. Da f und σ vertauschen ist
Deshalb gilt mit
auch
und es ist σL ∊ P(f)(K).
Proposition 4.3. Sei X(k) ≠ 0. Die k-wertigen Punkte der Jacobischen sind in Bijektion mit den Elementen der Gruppe
Beweis. Sei G := Gal( k /k). Nach Lemma 4.2. gilt
Allgemeiner gilt sogar, dass für jeden Körper K, für den X einen K-wertigen Punkt hat, J(X)(K) isomorph ist zu
([24], §1).
4.2. Prinzipal homogene Räume. Sei k ein beliebiger Körper, A eine algebraische Gruppe über k. Sei H eine algebraische Varietät, auf welcher die Gruppe A transitiv operiert. Die Operation sei gegeben durch
Existiert für jedes Paar (h, h') mit h, h' ∊ H genau ein a ∊ A mit h^a = h' und ist die Abbildung
regulär, so heißt H prinzipal homogener Raum über A. Sind sowohl diese Abbildung als auch H als Varietät und die Operation von A auf H über k definiert, so heißt H definiert über k, in Zeichen H/k.
Zwei prinzipal homogene Räume H und H' über A heißen isomorph, wenn es einen Isomorphismus H → H' gibt, so dass folgendes Diagramm kommutiert:
Sei H/k ein prinzipal homogener Raum über A. Per Definition ist für jedes h ∊ H die Abbildung
eine Surjektion. Existiert ein h₀ ∊ H(k), so ist der über k definierte Morphismus
surjektiv, da A transitiv operiert, und injektiv, da nach Definition zu jedem h ∊ H genau ein a ∊ A existiert mit h a / 0 = h. Die Abbildung
ist der inverse Homomorphismus und damit ist obiger Morphismus ein Isomorphismus über k. In diesem Fall heißt H/k trivial.
Ist k ein endlicher Körper, so gilt folgendes Theorem 4.4. Ein prinzipal homogener Raum H/k über einer zusammenhängenden algebraischen Gruppe A über k hat einen k-rationalen Punkt.
Beweis in [18], Theorem 2.1.
Sei k wieder beliebig, k_s, der separable Abschluß von k, A(k_s) die Menge der k_s-wertigen Punkte von A. Es gilt:
Lemma 4.5. Die Isomorphieklassen der prinzipal homogenen Räume über einer Gruppe A stehen in Bijektion mit den Elementen der Kohomologiegruppe H¹(Gal(k_s/k), A(k_s)).
Beweis in [42], S. 12f.
Korollar 4.6. Ist k endlich, A eine algebraische Gruppe über k, so gilt
Beweis. Nach Theorem 4.4. besitzt jeder prinzipal homogene Raum über A einen k-rationalen Punkt und ist deshalb trivial nach Definition. Aus Lemma 4.5. folgt die Behauptung.
5. HYPERELLIPTISCHE KURVEN
5.1. Definition. Eine Kurve C vom Geschlecht g ≥ 2 über einem Körper k heisst hyperelliptisch, falls ein separabler Morphismus π: C → C' über k vom Grad 2 existiert, wobei C' eine Kurve vom Geschlecht 0 über k ist.
Da eine Kurve C' vom Geschlecht 0 über k genau dann über k isomorph zu P¹ ist, wenn sie mindestens einen k-rationalen Punkt hat, was insbesondere im Fall eines endlichen Körpers k := F_q zutrifft, ist eine Kurve in diesem Fall also hyperelliptisch genau dann, wenn ein separabler Morphismus π: C → P¹ über k vom Grad 2 existiert.
π ist eindeutig bis auf Automorphismen von P¹ bzw. C', da der Funktionenkörper k(C) durch die Varietät eindeutig bestimmt ist ([7], Theorem 10, S. 251) und heißt hyperelliptische Projektion.
Verzweigt π in einem Punkt P ∊ C, so ist e_P = 2. Ist ∫_P = n, so liegen über P genau n Punkte auf der Kurve
verzweigt also, so gesehen, in n Punkten. In diesem Sinne ist die Verzweigung in der folgenden Proposition gemeint.
Proposition 5.1. Sei char(k) ≠ 2. Dann verzweigt π in 2g + 2 Punkten.
Beweis. Aus dem Hurwitz-Theorem folgt:
Der Verzweigungsindex kann wegen deg π = 2 nur 1 oder 2 sein, es ist also Σ_P∊C(e_P – 1)f_P = Σf_P = 2g + 2, wobei in der zweiten Summe nur über die Verzweigungspunkte summiert wird.
Zu C existiert ein nichtsinguläres ebenes affines Modell C' über k, so dass die Normalisierung des projektiven Abschlusses C' von C' in P², der selbst singulär ist im Punkt im Unendlichen, gleich C ist. Der Fall, dass zwei Punkte im Unendlichen liegen, läßt sich auf den Fall eines Punktes zurückführen, falls ein k-rationaler Verzweigungspunkt existiert. Das sei im Folgenden vorausgesetzt. Sei also P_∞ der einzige Punkt im Unendlichen. Zu C' gehört die eindeutig bestimmte reguläre Normalisierungsabbildung ϕ: C → C '. Die Kurve C' ist gegeben durch eine Gleichung der Gestalt
wobei f ein Polynom über k vom Grad 2 g + 1 ist. h ist ein Polynom über k vom Grad ≤ g ([38], III.6.5., [17], 3.). Ist char(k) ≠ 2, so kann h = 0 gewählt werden ([21], Lemma 2). C ist dann das nichtsinguläre projektive Modell des Körpers k(x, √ f ). und die hyperelliptische Projektion wird induziert von der Einbettung k,(x) ↪ k(x, √ f ) ([40], S. 101).
Die Menge der k -wertigen (geometrischen) Punkte von C ist
die Menge der k-wertigen Punkte von C ist
falls P_∞ ∊ C(k) ist, was wir ab jetzt voraussetzen.
Der Punkt P_∞ ∊ C ist also ein Verzweigungspunkt von π mit f_P∞ = 1. Die von P_∞ verschiedenen Verzweigungspunkte haben die Koordinaten (x_i, 0), wobei die x_i die 2g + 1 Nullstellen von f sind ([39], III.6.5.). Durch eine geeignete Transformation kann auch P_∞ auf einen Punkt dieser Gestalt gebracht werden, in welchem Fall das neue Polynom f den Grad 2g + 2 hat. y² + h(x)y = f(x) heisst imaginäres Modell, wenn deg f = 2g + 1 ist und reelles Modell für deg f = 2g + 2.
Im Falle des imaginären Modells kann f als normiert angenommen werden: sei
mit f₀, ..., f_2g+1 ∊ k. Multipliziert man die Kurvengleichung mit f 2g / 2g+1 so erhält man
Die Transformation
führt auf
mit ∫ ' / 0, ..., ∫ ' / 2g ∊ k.
Ein über k definierter Automorphismus ϕ einer hyperelliptischen Kurve über k ist ein Morphismus ϕ: C → C über k, für den es einen Morphismus ψ: C → C über k gibt mit ϕ ∘ ψ = ψ ∘ ϕ = id_C.
Die Automorphismen über k bilden eine Gruppe Aut_k(C), die endlich ist. Diese operiert auf dem Funktionenkörper k(C) durch
für h ∊ k(C), σ ∊ Aut_k(C). Der Automorphismus
über k definiert die sogenannte hyperelliptische Involution ι: C → C. Sie hält alle Verzweigungspunkte fest und bildet im anderen Fall P auf Q ab für π^–1(π(P)) = {P, Q}. Jeder Automorphismus von C induziert einen Automorphismus von P¹, der die Menge der Verzweigungspunkte festhält und man erhält einen Homomorphismus
Die hyperelliptische Involution, die P¹ punktweise festläßt, erzeugt den Kern dieser Abbildung. Umgekehrt läßt sich jeder Automorphismus von P¹, der die Verzweigungspunkte permutiert, zu einem Automorphismus von C fortsetzen.
Lemma 5.2. Sei char(k) ≠ 2, C eine hyperelliptische Kurve über k, gegeben durch eine Gleichung
mit einem Polynom f über k vom Grad 2g + 1 oder 2g + 2, wobei wir im Fall 2g + 1 annehmen, dass f normiert ist. Eine Abbildung ϕ: C → ist ein Automorphismus über k genau dann, wenn ϕ die Verzweigungspunkte der hyperelliptischen Projektion permutiert und wenn a, b, c, d, e ∊ k existieren mit ad – bc ≠ 0, so dass ϕ durch die Abbildung
definiert ist.
Beweis. Sei (x', y') = ϕ(x, y). Nach dem oben Gesagten ist φ(ϕ) ∊ PGL₂(k) und damit
mit a, b, c, d ∊ k, ad – bc ≠ 0. Weiter ist y' = Ry + S mit R, S ∊ k(x), R ≠ 0.
Wir behandeln zunächst den Fall deg f = 2g + 2. In diesem Fall ist
Die Koordinaten der Verzweigunsunkte sind
Wegen (x', y') ∈ C gilt
Da ein Automorphismus von C die Verzweigungspunkte permutiert gilt für ein beliebiges j ∊ {1, ..., 2g + 2}:
mit einem i ∊ {1, ..., 2g + 2}, weshalb die Nullstellen des Polynoms auf der rechten Seite von (*) genau die x-Koordinaten
der Ver zweigungspunkte sind. Daraus folgt S(x) = const. und es muss y' = 0 sein für y = 0, d. h. es ist
mit e ∊ k und S(x) = 0.
Wir behandeln nun den Fall deg f = 2g + 1. Sei also
Es ist
Sei j ∊ {1, ..., 2g + 1}. Wegen des Vertauschens der Verzweigungspunkte ist
für ein i ∊ {1, ..., 2g + 1}, d. h. das Produkt in der obigen Gleichung verschwindet für x ∊ {α₁, ..., α_2g+1} und wie im ersten Fall folgt die Behauptung. Bleibt der Punkt P_∞ fest, so ist c = 0. Sonst wird ein anderer Verzweigungspunkt mit Koordinaten (α_i, 0) auf P_∞ abgebildet und es ist α_ic = a. Somit stehen in jedem Fall auf der rechten Seite von (*) wieder 2g + 1 Faktoren.
Sei C eine hyperelliptische Kurve über einem Körper k, s ∊ Aut_k(C), < s > die von s erzeugte Gruppe und
der Fixkörper.
Proposition 5.3. Die Ordnung n von < s > ist der Grad der Körpererweiterung L ⊆ k(C).
Beweis. L hat Transzendenzgrad dim (C) = 1 über k, somit gehört zu L eine Kurve E mit Funktionenkörper L. Die Inklusion L ⊂ k(C) induziert einen Morphismus f: C → E dessen Grad gleich der Ordnung von < s > ist ([40], Ex. 8., S. 101).
Sei f: C → E ein zyklischer Morphismus vom Grad n über k. Für Q ∊ E sei
Dann ist
und
und wir setzen
Mit diesen Bezeichnungen läßt sich das Theorem von Hurwitz in folgender Weise formulieren:
Proposition 5.4. Sei die Verzweigung von f zahm. Dann ist
Beweis. Nach dem Hurwitz-Theorem gilt:
Es ist
5.2. Eine Schar von Prym-Varietäten in ungerader Charakteristik. Im Folgenden werden wir eine Schar von hyperelliptischen Kurven untersuchen und eine Schar von Prym-Varietäten konstruieren. Gegeben sei ein endlicher Körper k := F_q mit char(F_q) ≠ 2, weiter seien 0, 1, λ, μ, v ∊ F_q paarweise verschieden. Dann ist durch
eine hyperelliptische Kurve über k := F_q gegeben. Der Einfachheit halber wird sie im Folgenden meist mit C bezeichnet.
Dabei ist M = {1, –1, a, –a, b, –b, c, –c} mit a² = λ, b² = μ, c² = v, die Menge der x–Koordinaten der Verzweigungspunkte der hyperelliptischen Projektion. Aus der Existenz von acht Verzweigungspunkten folgt mit Hilfe des Hurwitz-Theorems, dass g(C) = 3 ist.
Die Abbildung
definiert eine Involution s: C → C über k.
Sei L := {h ∊ k(C)|h^s = h} der Fixkörper der Involution. Er besteht genau aus denjenigen h ∊ k(C) mit h(–x, y) = h(x, y) für alle (x, y) ∊ C( k ). Es ist also L = k(x², y). Sei E die zu L gehörige Kurve. Da die von s erzeugte Gruppe < s > = {s, id} die Ordnung 2 hat, ist der Grad der Körpererweiterung L ⊆ k(C) ebenfalls 2 und zu L ⊆ k(C) gehört ein endlicher Morphismus vom Grad 2, der auf den Punkten von C gegeben ist durch
Wegen g(C) = 3 und deg f = 2 nimmt das Hurwitz-Theorem folgende Gestalt an:
Dabei wird über alle Punkte von C summiert, in denen f verzweigt.
Proposition 5.5. E ist eine elliptische Kurve, gegeben durch die Gleichung
und der Morphismus f: C → E ist gegeben durch (x, y) ↦ (u, v) mit = x², v = y.
Beweis. Unter der Abbildung f gehen die Verzweigungspunkte der hyperelliptischen Projektion in folgende Punkte von E über: (±1, 0) in (1, 0), (±a, 0) in (λ, 0), (±b, 0) in (μ, 0) und (±c, 0) in (v, 0). Damit hat die Kurve E die gewünschte Gestalt. ∫ verzweigt in den Punkten von C( F _q) mit Koordinaten (0, y), so dass y² = λμv gilt, das sind zwei Punkte P₁ = (0, y_P) und P₂ = (0, –y_P) mit y_P ∊ F _q. Diese beiden Punkte gehören jedoch für
zum selben Punkt von C, demjenigen, der zum Ideal (x, y² – y 2 / P ) gehört, und liefern deshalb in der Hurwitz-Formel nur einen Beitrag
Ist y_P ∊ F_q, so ist y² – y 2 / P = (y – y_P)(y + y_P) und es wird über beide Punkte summiert, wobei
ist. Außerdem verzweigt f in den beiden Polen P₃ und P₄ der Funktion x ∊ k(C), die ebenfalls mit
beitragen. Aus der Hurwitz-Formel folgt g(E) = 1 und E ist damit elliptisch.
Proposition 5.6. Nach einem geeigneten Koordinatenwechsel läßt sich E durch folgende Gleichung beschreiben:
mit
Die Kurve C_λμv läßt sich auf die Gestalt
bringen.
Beweis.(a) Sei
Aus (*) ergibt sich:
Nach Umbenennung der Koordinaten erhalten wir die Gleichung
Die zugehörige homogene Gleichung ist
Durch den Koordinatenwechsel
erhält man die Gleichung für E in Weierstraßscher Normalform:
mit affiner Gleichung
(b) Der Verzweigungspunkt (1, 0) wird nach ∞ gebracht durch den Koordinatenwechsel
5.3. Die Ordnung einer Prym Varietät. Sei Θ_C die prinzipale Polarisierung von J(C), Θ_E die prinzipale Polarisierung von J(E) = E, P(f) die Prym-Varietät von f, i * / P(f)Θ_C die induzierte Polarisierung von P(f).
Proposition 5.7. i * / P(f)Θ_C ist vom Typ (1, 2).
Beweis. Wegen g(E) = 1 und deg f = 2 ist f*J(E) polarisiert vom Typ (2) nach Prop. 3.1. f ist verzweigt und kann deshalb nicht über einen étalen Morphismus f': C' → E vom Grad ≥ 2 faktorisieren. Somit ist die Voraussetzung für Prop. 2.5. erfüllt und f* ist demnach injektiv. Die Behauptung folgt dann aus Prop. 3.6.
Proposition 5.8. Die Sequenz
ist exakt.
Beweis. Wegen der Injektivität von f* erhält man P(f) = ker N_J wie im Beweis von Lemma 3.4. Damit gilt
und es folgt die Behauptung.
Die Gruppe G := Gal(k_s/k) operiert auf der abelschen Gruppe J(E)(k_s) durch σ(x, y) = (σx, σy) für einen Punkt (x, y) von E(k_s). Es ist
nach Lemma 4.2. Da J(C)(k_s), J(E)(k_s) und P(f)(k_s) G-Moduln sind, kann Lemma 4.1. angewendet werden und es folgt die Existenz der folgenden langen exakten Sequenz:
Im Folgenden soll die Ordnung der Jacobischen und der Prym Varietät untersucht werden. Dazu benötigen wir folgende
Proposition 5.9. H¹(G, P(f)(k_S)) = 0.
Beweis. Die Behauptung folgt aus Korollar 4.6., da wir einen endlichen Körper vorausgesetzt haben.
Satz 5.10. Die Ordnung von J(C)(k) ist das Produkt der Ordnungen von E(k) und P(f)(k).
Beweis. Da k ein endlicher Körper ist, sind J(C)(k), P(f)(k) und E(k) endlich. Aus der letzten Proposition folgt, dass die Sequenz
exakt ist und damit ist
nach dem Satz von Lagrange (s. [5], Kor. 3, S. 17), wobei (J(C)(k): P(f)(k)) den Index von P(f)(k) in J(C)(k) meint.
6. RECHNEN AUF DER JACOBISCHEN
6.1. Addition und Reduktion. Sei X eine hyperelliptische Kurve vom Geschlecht g über einem Körper k mit affiner Gleichung
deg f = 2 g + 1, im Fall char(k) ≠ 2, und mit affiner Gleichung
deg f = 2 g + 1, deg h ≤ g, im Fall char(k) = 2. Wir nehmen an, dass X mindestens einen k-rationalen Punkt besitzt. Sei P ∈ X ein Punkt, also der Punkt P = P_∞ oder eine Lösung x = μ ∈ k , y = v ∈ k der Kurvengleichung. Wir bezeichnen diesen Punkt auch als P_u,v. Sei P'_u,v := (u, –v – h(u)) für char(k) = 2, P'_u,v := (u, –v) für char(k) 2. Im Fall P = P_∞ sei P' := P_∞. Sei p(x, y) ∈ k[x, y] ein Polynom, betrachtet als Funktion auf X. Mit Hilfe der Kurvengleichung lassen sich Potenzen ≥ 2 von y ersetzen und das Polynom kann auf eine Gestalt p (x, y) = a(x) – b(x)y gebracht werden. Für einen Punkt P = P_u,v ∈ X klammern wir die größtmögliche Potenz von (x – u) aus und erhalten
mit Polynomen a₀(x) und b₀(x) nicht beide durch x – u teilbar. Sei r := 2r₀, falls P = P' ist und r := r₀ sonst. Dann ist r die Ordnung ord_Pp von p im Punkt P, falls a₀(x) – b₀(x)y in P nicht verschwindet. Ist y₀(u) – b₀(u)v = 0, so ist ord_Pp die Summe aus r und dem Exponenten der höchsten Potenz von (x – u), die a₀(x)² + h(x)a₀(x)b₀(x) – f(x)b₀(x)² teilt für char(k) = 2 und a₀(x)² – f(x)b₀(x)² für char(k) ≠ 2.
Unter einer Funktion auf X verstehen wir eine rationale Funktion der Gestalt p(x, y)/q(x, y) mit p, q ∈ k[x, y], q ≠ 0. Zu einer Funktion gehört der Divisor (p/q) = Σm_iP_i vom Grad 0, wobei die Punkte P_i die Null- und Polstellen der Funktion sind mit positiver Vielfachheit für eine Nullstelle und negativer Vielfachheit für einen Pol. Sei P = P_u,v ∊ X ein Punkt, p(x, y) = (x – u). Diese Funktion hat einen doppelten Pol in P_∞, der Divisor ist somit (p) = P + P' – 2P_∞. Ist insbesondere P = P', so sind deshalb die Divisoren 2P und 2P_∞ linear äquivalent. Es folgt, dass zu einem Divisor D auf X vom Grad 0 über k ein linear äquivalenter Divisor der Gestalt
r_i ∊ N, P₁, ..., P_s, paarweise verschieden vom Grad 1 über k, existiert mit folgenden Eigenschaften:

(1) Ist P_i ein Verzweigungspunkt, so ist r_i = 1.
(2) Ist P_i kein Verzweigungspunkt, so ist P_j ≠ ι(P) für alle j ≠ i.

Ein solcher Divisor heißt semi-reduziert. Ist zusätzlich
so heißt D reduziert. In jeder Divisorklasse existiert ein eindeutig bestimmter reduzierter Divisor ([16], 3., S. 140).
Seien D₁ = Σm_iP_i, D₂ = Σn_iP_i zwei Divisoren vom Grad 0 über k auf X. Der größte gemeinsame Teiler (D₁, D₂) von D₁ und D₂ ist der Divisor Σmin(m_i, n_i)P_i – (Σmin(m_i, n_i)) P_∞ vom Grad 0 über k.
Theorem 6.1. (Mumford-Darstellung) Zu einem semi-reduzierten Di-visor
existiert ein Paar a, b von eindeutig bestimmten Polynomen aus k [X], so dass D der größte gemeinsame Teiler ((a), (b – y)) der Divisoren von a und b – y ist. Das Polynom a hat die Gestalt
und b ist das eindeutig bestimmte Polynom vom Grad < deg a mit b(u_i) = v_i für 1 ≤ i ≤ s. Außerdem gilt
Das Theorem wird bewiesen in [27] für k = C, aber der Beweis funktioniert für den algebraischen Abschluss eines beliebigen Körpers der Charakteristik 2 und mit leichten Veränderungen auch in Charakteristik 2 ([6], S. 96). Der Divisor D wird im Folgenden auch mit div(a, b) bezeichnet. Er ist reduziert genau dann, wenn deg a ≤ g ([16], S. 142).
Sei L ein Geradenbündel auf X. Ist k endlich, so hat die Gruppe der Divisoren vom Grad 0 auf X nur endlich viele Klassen (s. [33], Satz 16, S. 24). In diesem Fall ist L Element von J(X)(k) genau dann, wenn ein Divisor D = Σn_iQ_i vom Grad 0 existiert, der definiert ist über k, mit L = O_X(D). Wie in Kapitel 2 definiert, ist das genau dann der Fall, wenn D = σD gilt für jeden Automorphismus σ von k über k, wobei σ(P_∞) = P_∞. In der neuen Schreibweise bedeutet das, dass die Polgnome a, b des zu D gehörigen reduzierten Divisors div(a, b) Koeffizienten in k haben ([16], 2.).
Seien D₁ = div(a₁, b₁) und D₂ = div(a₂, b₂) zwei semi-reduzierte Divisoren, definiert über k. Folgender Algorithmus berechnet einen Divisor, der äquivalent ist zu D₁ + D₂.
Algorithmus 6.2. (Addition)

(a) char(k) ≠ 2. (1) Berechne mit Hilfe des Euklidischen Algorithmus
und Polgnome h₁, h₂, h₃ mit
Diese Polgnome haben Koeffizienten in k wegen a₁, a₂, b₁, b₂ ∊ k[X]. (2) Berechne a = a₁a₂/d². (3) Berechne b ≡ (h₁a₁b₂ + h₂a₂b₁ + h₃(b₁b₂ + f))/d mod a.
(b) char(k) = 2. (1) Berechne mit Hilfe des Euklidischen Algorithmus
und Polynome h₁, h₂, h₃ ∊ k[X] mit
(2) wie (a)(2). (3) wie (a)(3).

Dann ist deg b < deg a und div(a, b) ein semi-reduzierter Divisor über k, der äquivalent ist zu D₁ + D₂.
Beweis in [6], S. 97., für char(k) 2; für char(k) = 2 siehe [16], S. 142). Da das Ergebnis dieses Algorithmus ein semi-reduuzierter Divisor ist, benötigen wir nun einen weiteren Algorithmus, mit dem ein semireduzierter Divisor reduziert werden kann.
Algorithmus 6.3. (Gauss-Reduktion) Sei D = div(a, b) ein semi-reduzierter Divisor, definiert über k.

(a) Sei char(k) ≠ 2. (1) Wir definieren einen zu D äquavalenten Divisor
als D' := ggT(a', b' – y) mit zwei Polynomen a', b'. Dabei ist a' := (f – b²)/a, b' ≡ –b mod a'. Damit ist insbesondere deg b' < deg a. Aus der Definition von a' erhalten wir die Koordinaten u ' / i wegen a'(x) = Π (x – u ' / i ) und aus der Bedingung, dass b' das eindeutig bestimmte Polynom sein soll mit b(u ' / i ) = v ' / i erhalten wir die v ' / i . Die Koeffizienten n ' / i erhalten wir aus der Definition von D' als ggT(a', b' – y). Damit ist durch a', b' tatsächlich ein semi-reduzierter Divisor definiert. (2) Falls deg a' ≥ g + 1, setze a := a', b := b' und gehe zurück zu (1). (3) Normiere a'.
(b) Sei char(k) = 2. (1) Sei a' := (f – bh – b²)/a, b' ≡ –b – h mod a'. (2) wie (a)(2). (3) wie (a)(3).

Nach endlich vielen Schritten liefert der Algorithmus einen reduzierten Divisor E := div(a'', b''), der äquivalent ist zu D und über k definiert, da a, b, f, h. Koeffizienten in k haben.
In [6], S. 99f., für den Fall (a), [16], S. 143, für den Fall (b).
6.2. Beispiele in ungerader Charakteristik. Sei k ein endlicher Körper der Charakteristik ≠ 2. Seien 0, 1, λ, μ, v ∊ k paarweise verschieden. Dann ist
eine hyperelliptische Kurve vom Geschlecht 3 über k. Wie im Abschnitt 5.3. soll E die elliptische Kurve mit der Gleichung
sein, die zu dem Fixkörper der Involution s gehört, die durch die Abbildung
gegeben ist. Der zugehörige endliche Morphismus vom Grad 2 der beiden Kurven ist
Sei P(f) die Prym-Varietät von f. Die Ordnung #P(f)(k) der Gruppe ihrer rationalen Punkte kann nun gemäß Satz 5.10. aus der Ordnung #J(C)(k) der Gruppe der rationalen Punkte der Jacobischen und der Ordnung #E(k) der Gruppe der rationalen Punkte der elliptischen Kurve berechnet werden. Verwendet wird dazu das Computeralgebrasystem Magma. Die Anzahl von Kurven C_(λμv) über einem bestimmten Körper und damit von zu berechnenden Ordnungen von Jacobischen Varietäten ergibt sich aus der nächsten Proposition. Wir wählen, um auf dem Körper k = F_q eine künstliche Ordnung zu erhalten, eine beliebige Bijektion k → {0, ..., q – 1} ⊆ Z mit 0 ↦ 0, 1 ↦ 1, und bezeichnen die Elemente von k als 0, ..., q – 1. Die folgenden Rechnungen hängen von der Wahl der Bijektion nicht ab.
Proposition 6.4. Sei k := F_q mit q = pⁿ, 2 ≠ p Prim. Sei 0,1 ≠ v E {0, ..., q – 1} fest, A(v) die Anzahl der Paare (λ, μ) mit 0, 1, λ, μ, ∊ {0, ..., q – 1} paarweise verschieden, λ < μ < v. Dann ist für 4 ≤ v ≤ q – 1
Beweis. Es sind aus der Menge {2, ..., v – 1} zwei Zahlen λ < μ zu wählen, woraus die Behauptung folgt. TABELLE 1. A(v) für v ≤ 25
Korollar 6.5. Über einem Körper F_q gibt es
hyperelliptische Kurven C_(λμv).
Im Falle des kleinsten möglichen Körpers F₅ gibt es nur die eine durch λ = 2, μ = 3, v = 4 gegebene Kurve. Im Fall F₇ gibt es wegen A(4) = 1, A(5) = ( 3 / 2 ) = 3, A(6) = ( 4 / 2 ) = 6 zehn Kurven. Für einige weitere Körper ist diese Anzahl in der Tabelle 1 mit Zwischenschritten dargestellt. Bei den Einträgen in der ersten Spalte ist natürlich v ≤ q – 1 vorausgesetzt.
Die berechneten Ordnungen für die beiden kleinstmöglichen Körper sind in der Tabelle 2 auf Seite 74 aufgelistet, wobei die Ordnungen bei isomorphen Kurven gleich sind. Wann zwei Kurven isomorph sind, sagt die folgende
Proposition 6.6. Zwei hyperelliptische Kurven C_(λμv) und C_(λ'μ'v') über einem, Körper k mit {λ, μ, v} ≠ {λ', μ', v'} sind genau dann isomorph über k, wenn gilt
wobei 1 / λ ∊ k² sein muss im Fall {λ', μ', v'} = { 1 / λ , μ / λ , v / λ } und analog ∊ k² bzw. 1 / v ∊ k² in den anderen Fällen, oder wenn gilt
wobei λμv ∊ k² sein muss.
Beweis. Sei ϕ: C_(λ'μ',v') → C_(λ,μ',u') ein Isomorphismus über k, gegeben durch
mit a, b, c, d, e ∊ k, e, ad – bc ≠ 0. Wir setzen ϕ(x, y) in die Gleichung für C_(λμv) ein und erhalten
Aus
folgt, dass die linearen Terme verschwinden müssen. Wir erhalten
Es folgt daraus
also ist wegen ad – bc ≠ 0 entweder a = d = 0 oder b = c = 0.

(a) Sei a = d = 0. Wegen

Damit der Isomorphismus über k definiert ist, muss λμv ∊ k² sein. Sei
Dann ist
und es folgt
Umgekehrt sind C_(λμv) und C(λ',μ',v') mit λ', μ', v' wie in (+) isomorph über k für λμv ∊ k², denn sie werden etwa durch die Abbildung
mit c ∊ k beliebig, e² = c⁸·λμv ineinander übergeführt: es ist
Den trivialen Fall b² = c², in dem {λ, μ, v} = {λ', μ', v'} ist, haben wir ausgeschlossen. Ist
so folgt
und daraus
Analog gelangt man zu den Möglichkeiten
und
mit entsprechenden Isomorphismen.

(b) Sei b = c = 0. Aus
folgt a⁸ = e² und

Sei ohne Einschränkung
Dann ist
und wir erhalten
Der Isomorphismus ist nur über k definiert, wenn v ein Quadrat ist. Ist λ' ein Quadrat, so sind umgekehrt C_(λμv) und C_(λ'μ'v') mit λ', μ', v' wie in (*) isomorph über k, da sie durch die über k definierte Abbildung
mit 0 ≠ a, d, ∊ E k mit d² / a² = λ', e² = a⁸, ineinander übergeführt werden:
Die anderen Fälle erhält, man entsprechend. TABELLE 2. F₅ und F₇
Wir wählen als Beispiel wieder den Körper F₇. Zu der Kurve C_(2,3,4) können gemäß der letzten Proposition über F₇ nur zwei andere Kurven isomorph sein, da nur λ = 2 und v = 4 Quadrate sind und λ_μv ≡ 3 mod 7 kein Quadrat ist. Es sind die Kurven C_{(1/2,2/3,4/2)} = C_(2,4,5) und C_{(1/4,2/4,3/4)} = C_(2,4,6). Die Jacobischen dieser Kurven haben also dieselbe Ordnung, wie auch aus Tabelle 2 hervorgeht. Zur Kurve C_(2,3,5) ist zum einen, da λ = 2 das einzige Quadrat ist, die Kurve C_{(1/2,3/2,5/2)} = C_(4,5,6) isomorph. Da hier λ_μv ≡ 2 mod 7 ist, also ein Quadrat, sind außerdem die Kurven C_{(1/2,1/3,1/5)} = C_(3,4,5) und C_(2,2/3,2/5) = C_(2,3,6) isomorph (C_(3/2,3,3/5) = C_(2,3,5) und C_(5/2,5/3,5) = C_(4,5,6) liefern keine neuen Kurven). Zur Kurve C_(2,5,6) ist C_{(1/2,5/2,6,2)} = C_(3,4,6) isomorph. Da λμv ≡ 4 mod 7 ein Quadrat ist, sind weitere vier Ausdrücke zu überprüfen: es ergeben sich jedoch wegen C_{(1/2,1/5,1/6)} = C(3,4,6) = C_(6/2,6/5,6) und C_(/2,2/5,2/6) = C_(2,5,6) = C_(5/2,5,5/6) keine anderen Kurven mehr. Die Kurve C_(3,5,6) ist über F₇ zu keiner der anderen Kurven isomorph, da λ, μ v keine Quadrate sind und λμv ≡ 6 mod 7 kein Quadrat ist.
Folgender Algorithmus wurde zur Berechnung der Ordnung der Prym-Varietät verwendet:
Algorithmus 6.7. (prym1)
Der Algorithmus verlangt als Eingabe zwei Zahlen a, b, nicht notwendigerweise verschieden, und berechnet für alle endlichen Körper F_q mit a ≤ q ≤ b der Charakteristik 2 nach einem geeigneten Koordinatenwechsel die Ordnungen der Gruppen J(C_(λμv))(F_q) für alle hyperelliptischen Kurven C_(λμv) über F_q mit affiner Gleichung
0, 1, λ, μ, v ∊ F_q paarweise verschieden, sowie die Ordnungen der Gruppen E_(λuv)(F_q) für die zugehörigen elliptischen Kurven, gegeben durch
und daraus die Ordnungen der Gruppen der rationalen Punkte der Prym-Varietäten P(f) der Morphismen
Für jedes q ∊ N mit a ≤ q ≤ b

(1) Überprüfe, ob q eine nicht durch 2 teilbare Primzahlpotenz ist. In diesem Fall definiere k := F_q.
(2) Sei R < x > der Polynomring in einer Variablen über k.
(3) Für jedes Tripel (λ, μ, v) mit 0, 1, λ, μ, v ∊ F_q paarweise verschieden (a) Sei f := (2x – I)(–(λ – 1)x² + 2λx – λ)(–(μ – 1)x² + 2μx – μ)(–(v – 1)x² + 2vx – v), C die durch die Gleichung
gegebene Kurve. Diese Kurve ist zu C_(λμv) isomorph über F_q nach Prop. 5.6. (b) Definiere den zweidimensionalen projektiven Raum P2 < x, y, z > über k. (c) Seibo := λ·μ·v, b1 := μ·v·(1 – λ) + λ·v·(1 – μ) + λ·μ·(1 – v), b₃ := (1 – λ)·(1 – μ)·v + (1 – λ)·(1 – v)·μ + (1 – μ)·(1 – v)·λ, b6 := (1 – A)·(1 – μ)·(1 – v), E die elliptische Kurve mit Weierstraßscher Normalform y² = x³ + b₃x² + b₁b₆x + b₀b 2 / 6. Sie ist nach Prop. 5.6. isomorph zu E_(λμv). (d) Sei J die Jacobische Varietät von C. (e) Berechne die Ordnung von J(C)(k) und E(k) mit den Magma-Befehlen #J(C)(k) und #E(k) und daraus die Ordnung von P(f)(k) als #P(f)(k) = #J(C)(k):#E(k).

Ist die Charakteristik des Körpers kleiner als 10¹², so verwendet Magma den Algorithmus von Shanks zur Berechnung Ordnung der Jacobischen, sonst die langsamere, aber weniger Speicher benötigende Pollard-Methode.
Lemma 6.8.

(a) Die Ordnung #P(f)(k) der Menge der rationalen Punkte der Prym-Varietät von f ist immer durch 4 teilbar für jedes f: C → E.
(b) Zu jedem Vielfachen n von 4 existieren ein endlicher Körper k := F_q und eine elliptische Kurve E über F_q mit affiner Gleichung
die n k-rationale Punkte hat.

Beweis. Sei E[m] die Gruppe der m-Teilungspunkte einer elliptischen Kurve E, E(k)[m] die Menge der k-rationalen m-Teilungspunkte.

(a) Die Ordnung von E(k) ist durch 4 teilbar: die 2-Teilungspunkte von E, also diejenigen Punkte, deren x-Koordinaten genau die Nullstellen des Polynoms
sind, sind alle rational, weshalb die Gruppe E[2] eine Untergruppe von E(k) ist. Da E[2] Ordnung 4 hat, folgt auch 4|#E(k).

Um zu zeigen, dass die Ordnung von P(f)(k) ebenfalls durch 4 teilbar ist, identifizieren wir E mit der Jacobischen J(E).
Dazu sei P₀ := (1, 0) ∊ E(k),
die zugehörige Abel-Jacobi Abbildung. Der Nullpunkt von J(E) ist genau durch P₀ – P₀ gegeben wegen α_P₀(P₀) = O_E(P₀ – P₀). Die Bilder der anderen 2-Teilungspunkte von E unter α_P₀ sind (λ, 0) – P₀, (μ, 0) – P₀ und (v, 0) – P₀. Sie und der Nullpunkt sind genau die 2-Teilungspunkte von J(E) und rational. Sei
Die Abbildung f* ist gegeben durch
wobei über alle P_j mit f(P_j) = Q_i summiert wird. Es wurde schon weiter oben gezeigt, dass in unserem Fall f* injektiv ist. Es ist
ein rationaler 2-Teilungspunkt ≠ P ₀ – P ₀ von J(C). Ebenso sind die Bilder Q_μ und Q_v von (μ, 0) – P₀ und (v, 0) – P₀ unter f* rationale 2-Teilungspunkte ≠ P ₀ – P ₀ und Q_λ, Q_μ, Q_v sind paarweise verschieden.
Die zu f gehörige Involution s, gegeben als
induziert eine Involution s ~: J(C) → J(C) mit
denn: in unserem Fall ist nach Prop. 3.1
und damit folgt f*N_f = N_f*J(E) aus Prop. 3.2. Sei Q ∊ J(C),Q = O_C(Σn_iQ_i). Dann ist
Damit ist
Da f* injektiv ist, ist ker N_f zusammenhängend und gleich P(f) (siehe Lemma 3.4). Wegen
ist also ker (1 + s ~)₀ = ker (1 + s ~). Neben dem Nullpunkt liegen die anderen 2-Teilungspunkte Q_λ, Q_μ, Q_v in ker (1 + s ~) wegen
woraus die Behauptung folgt.

(b) Sei n ein beliebiges Vielfaches von 4. Das Theorem von Hasse liefert folgende Abschätzung für die Anzahl der rationalen Punkte einer elliptischen Kurve E über einem endlichen Körper F_q:
(s. [41], Theorem 1.1., S. 131). Jede Ordnung, die dieses Theorem zulässt, wird auch tatsächlich von einer elliptischen Kurve angenommen und für n existiert eine Primzahlpotenz q mit 2 ✝ q, so dass q + 1 – 2√ q ≤ n ≤ q + 1 + 2√ q ist. Es existiert also eine elliptische Kurve E über F_q mit #E(F_q) = n. Im Folgenden soll gezeigt werden, dass entweder E bereits die gewünschte Gestalt hat oder eine zu E isogene Kurve.

Wenn m teilerfremd ist zur Charakteristik von F_q ist
(s. [41], Cor. 6.4., S. 89), insbesondere ist also #E[2] = 4. Der Punkt P₀ := (1, 0) ist als neutrales Element von E(k) ein 2-Teilungspunkt.
Wegen 4|#E(F_q) existieren entweder 4 rationale 2-Teilungspunkte, in welchem Fall E bereits die gewünschte Gestalt besitzt, oder, wenn das nicht der Fall ist, existiert ein rationaler 4-Teilungspunkt P ≠ P₀. Dann ist 2P ein rationaler 2-Teilungspunkt und es ist
Weitere rationale 4-Teilungspunkte gibt es nicht, da es sonst auch weitere rationale 2-Teilungspunkte gäbe. Es gibt aber einen nicht rationalen 4-Teilungspunkt Q. Die Punkte 2Q und 2(Q + P) sind die beiden anderen nicht rationalen 2-Teilungspunkte von E.
Sei E' eine Kurve, definiert durch
mit der kanonischen Projektion
Diese ist eine Isogenie wegen dim E = dim E'. Es soll nun gezeigt werden, dass E' vier rationale 2-Teilungspunkte hat.
Der Punkt E(k)[2] ist der Nullpunkt von E'. Zwei Punkte Q₁ + E(k)[2] und Q₂ + E(k)[2] von E' sind genau dann identisch, wenn Q₁ – Q₂ ∊ E(k)[2] ist. Die Punkte E(k)[2] und 2P + E(k)[2] von E' sind also identisch wegen 2P ∊ E(k)[2] und insbesondere ein rationaler 2–Teilungspunkt. Die Punkte P + E(k)[2] und –P + E(k)[2] von E' sind ebenfalls identisch und liefern auch einen 2-Teilungspunkt.
Sei σ ∊ Gal(k/k). Dann ist im Allgemeinen (2Q)^σ ≠ 2Q, da Q nicht rational ist. In diesem Fall muss aber wegen (2Q)^σ ∊ E[2] gelten, dass
ist. Auf E' sind aber 2Q + E(k)[2] und 2Q + 2P + E(k)[2] identisch, es gilt also auf E', dass
Deshalb ist 2Q + E(k)[2] ein rationaler 2-Teilungspunkt von E'. Der vierte rationale 2-Teilungspunkt ist dann P + 2Q + E(k)[2].
Die Ordnung #P(f)(k) wurde über allen Körpern F_q mit char(F_q) ≠ 2 bis einschließlich |F_q| ≤ 107 für alle Morphismen der Schar berechnet, wird aber aus Platzgründen nicht für alle, sondern nur einige ausgewählte Körper in Kapitel 9 angegeben. Dort finden sich auch Beispiele über größeren Körpern, für die wir das Magma-Programm prym2 verwendet haben. Es funktioniert wie das Programm prym1, nur dass hier eine einzige Kurve über einem bestimmten Körper bearbeitet wird. Der Algorithmus ist der folgende:
Algorithmus 6.9. (prym2)
Der Algorithmus berechnet ausgehend von den Zahlen q, λ, μ, v ∊ N die Ordnungen #J(C)(k) und #E(k) für die hyperelliptische Kurve C über F_q gegeben durch die Gleichung
und die elliptische Kurve E über F_q mit der Gleichung
nach einem geeigneten Koordinatenwechsel, und daraus die Ordnung #P(f)(k) der Gruppe der rationalen Punkte der Prym-Varietät von

(1) Ist q eine Primzahlpotenz mit 2 ✝ q, so setze k := F_q.
(2) Definiere den Polynomring R < x > in einer Variablen über k.
(3) Sei f:= (2x – 1)(–(λ – 1)x² + 2λx – λ)(–(μ – 1)x² + 2μx – μ)(–(v – 1)x² + 2vx – v), C die durch die Gleichung
gegebene Kurve.
(4) Definiere den zweidimensionalen projektiven Raum P2 < x, y, z> über k.
(5) Sei b₀:= λ·u· v, b₁ := μ·v·(1–λ) + λ·v·(1 – μ) + λ·μ·(1– v ), b₃ := (1 – λ)·(1 – μ)·v + (1 – λ)·(1 – v)·μ + (1 – μ)·(1 – v)·λ, b₆ := (1 – λ)·(1 – μ)·(1 – v), E die elliptische Kurve mit Weierstraßscher Normalform
(6) Sei J die Jacobische Varietät von C.
(7) Berechne die Ordnungen von J(C)(k) und E(k) mit dem Magma-Befehl #J(C)(k) bzw. #E(k) und daraus #P(f)(k).

7. HYPERELLIPTISCHE KURVEN ÜBER KÖRPERN DER CHARAKTERISTIK 2
Ziel dieses Abschnittes ist es, über einem Körper k der Charakteristik 2 die hyperelliptischen Kurven vom Geschlecht 3 zu klassifizieren und Normalformen anzugeben. Für jede dieser Normalformen wird überprüft, ob über k eine elliptische Involution existiert.
Sei C eine hyperelliptische Kurve vom Geschlecht g über einem Körper k der Charakteristik 2. Dann lässt sich C affin durch eine Gleichung
mit Polynomen h ≠ 0 über k vom Grad ≤ g und f über k vom Grad 2g + 1 schreiben. Ist P = (x, y) ein Punkt von C, dann auch P' = (x, y + h(x)). Die hyperelliptische Involution ι ist gegeben durch
Sie verzweigt im unendlich fernen Punkt P_∞ und in diejenigen Punkten (x, y) von C mit h(x) = 0. Es gibt also insgesamt, mit Vielfachheiten gezählt, genau deg h + 1 Verzweigungspunkte.
Lemma 7.1. Ein Automorphismus ϕ von C über k hat notwendig die Gestalt
mit geeigneten a, b, c, d ∊ k, ad – bc ≠ 0, R, S ∊ k(x), R ≠ 0, und permutiert die Verzweigungspunkte.
Beweis. Jeder Automorphismus ϕ von C über k induziert einen Automorphismus von P¹ über k, der die Menge der Verzweigungspunkte auf sich abbildet. Der Homomorphismus
dessen Kern von der hyperelliptischen Involution erzeugt wird, ist eindeutig bestimmt. Es kommutiert das folgende Diagramm
wobei π die hyperelliptische Projektion meint. Deshalb muss ϕ die Verzweigungspunkte permutieren. Wegen Aut_k(P¹) = PGL₂(k) ist
mit a, b, c, d ∊ k, ad – bc ≠ 0, R, S ∊ k(x), R ≠ 0.
Die Automorphismen lassen sich noch genauer bestimmen, wir werden das jedoch nur für den Fall einer Involution durchführen, da wir später ausschließlich Involutionen betrachten.
Proposition 7.2. Sei ϕ ein Automorphismus von C, gegeben durch (1). Sei R = p / q , S = r / s . Ist ϕ eine Involution von C über k, so ist a = d und
Das Polynom p ist konstant. Genauer ist

– im Fall, dass der Punkt im Unendlichen unter ϕ fest bleibt, R = 1 und S ∊ k[x], und
– im Fall, dass der Punkt im Unendlichen mit einem anderen Verzweigungspunkt vertauscht,
wobei die b_i die x–Koordinaten der verschiedenen endlichen Verzweigungspunkte der hyperelliptischen Involution sind, w_i ihre Vielfachheiten und b_t derjenige Verzweigungspunkt, mit dem ∞ vertauscht.

Beweis. Aus der Bedingung ϕ² = id_C erhalten wir für die x-Koordinate
und daraus die Bedingungen
Aus (ii) folgt a = d und damit sind auch die anderen Gleichungen erfüllt.
Für den Beweis der anderen Behauptungen nehmen wir ohne Einschränkung an, dass p und q sowie r und s teilerfremd sind und q und s normiert.
Es ist
mit s' ∊ k, wobei die b_i ∊ k die verschiedenen x-Koordinaten der endlichen Verzweigungspunkte mit ihren Vielfachheiten w_i sind. Dabei ist l := Σ l / i=1 w_i ≤ g. Es ist
Sei
Setzt man
in die Kurvengleichung ein, erhält man
was wegen (*) äquivalent ist zu
Multiplizieren mit q²s²(cx + a)^2g+1 ergibt auf der linken Seite
und rechts
Es folgt
Aus der Teilerfremdheit von p und q folgt (cx + a)^l|q, denn (cx + a)^l und
sind teilerfremd: hätten beide einen gemeinsamen Teiler, so müßte ein i ∊ {1, ..., t} existieren mit
Damit wurde x unter ϕ auf
gehen, ein Widerspruch.
Wir untersuchen als nachstes h(x) und
gemeinsame Teiler haben und kürzen diese gegebenenfalls.

1. Wir betrachten den Fall, dass der Punkt im Unendlichen fest bleibt unter dem Automorphismus ϕ. Wegen
ist in diesem Fall c = 0. Es ist also zu zeigen, dass R und S Polgnome sind. Sei ohne Einschränkung a = 1.

Bleibt ein weiterer Punkt außer ∞ fest unter ϕ, so folgt b = 0 wegen x ↦ x + b. Eingesetzt in (**) und (***) ergibt das
Es folgt
und wegen der Teilerfremdheit von p und q und der Normiertheit von q ist p = q = 1 und damit 1 = R ∊ k[x]. Setzt man p und q ein, führt das auf s²|r² und es folgt auch s = 1 und damit S = r ∊ k[x].
Sei jetzt b ≠ 0. Sei σ die Permutation der Verzweigungspunkte. Es ist σ² = id, da ϕ eine Involution ist. Da kein Verzweigungspunkt fest bleibt, werden sie paarweise vertauscht. Dieser Fall kann also nur eintreten, wenn t gerade ist. Wir können ohne Einschränkung annehmen, dass die Verzweigungspunkte wie folgt permutiert werden:
für jedes ungerade i ∊ {1, ..., t – 1}. Dabei ist w_i = w_i+1, da sonst kein Automorphismus vorliegen würde. Daraus folgt
Damit wird (+) zu
und es folgt
wegen der Teilerfremdheit von p und q, und da q als normiert vorausgesetzt war. Damit ist R = 1 ein Polynom in k[x]. Eingesetzt in (**) und (***) erhalten wir
aus der Teilerfremdheit von r und s und der Normiertheit von s folgt s = 1 und damit ist auch S ∊ k[x].

2. Im Fall, dass der Punkt im Unendlichen nicht festgehalten wird, ist c ≠ 0. Sei ohne Einschränkung b_t die x-Koordinate des Verzweigungspunktes, mit dem er vertauscht. Wegen
ist b_t = a / c . Für die anderen Verzweigungspunktes können wir wieder annehmen, dass sie wie folgt permutiert werden:
für jedes ungerade i ∊ {1, ..., j} mit einem ungeraden j, 1 ≤ j ≤ t, und
für alle j + 1 ≤ i < t. Wir formen Produkt
um. Es ist für ungerades i ≤ j
wir können im Produkt also die Terme b + b_ia für gerades i ≤ j + 1 durch (a + b_ic)b_i-1 ersetzen. Ebenso können wegen
für ungerades i ≤ j die Terme b + b_ia durch (a + b_ic)b_i+1 ersetzt werden. Für j + 2 ≤ i ≤ t – 1 ist

Wir erhalten damit
da wieder w_i = w_i+1 ist für jedes ungerade i ∊ {1, ..., j}. Es ist a + b_tc = a + a / c c = 0. Damit wird (+) zu
Mit
Es folgt
und, da q als normiert vorausgesetzt war,
mit geeignetem c' ∊ k. Sei w_∞ die Vielfachheit des Verzweigungspunktes im Unendlichen. Es ist l + w_∞ ≤ g + 1 und, da ∞ und b_t vertauschen, w_∞ = w_t. Daraus folgt q = (cx + a)^l' mit l' ≤ g + 1 und damit ist R·(cx + a)^g+1 ∊ k[x].
Einsetzen von q in (**) und (***) ergibt folgende Gleichung (p bleibt, da ohnehin konstant, der Übersicht wegen stehen):
Wir kürzen (cx + a)^2g+1 und erhalten
Es folgt s²|r²(cx + a)^2l', und wegen der Teilerfremdheit von r und s, dass s|(cx + a)^l' und damit s|(cx + a)^g+1
Wir betrachten ab jetzt hyperelliptische Kurven vom Geschlecht 3 über einem Körper der Charakteristik 2. In diesem Fall kann die hyperelliptische Projektion π in höchstens vier Punkten verzweigen: nach dem Theorem von Hurwitz gilt für einen einen endlichen, separablen Morphismus f: X – Y vom Grad n über k von Kurven X, Y über einem Körper k, dass
ist. In unserem Fall soll g(X) = 3 sein. Die hyperelliptische Projektion hat Grad 2, P¹ hat Geschlecht 0, es folgt also aus dem Hurwitz-Theorem, dass
sein muss. Bei wilder Verzweigung ist
([15], Prop. 2.2., S. 300), wegen e_P ≥ 2 kann es deshalb höchstens vier Verzweigungspunkte geben.
7.1. Ein Verzweigungspunkt. Wir betrachten nun den Fall, dass C vom Geschlecht 3 ist und die hyperelliptische Projektion π in nur einem Punkt verzweigt. In diesem Fall ist h(x) = s ∊ k, s ≠ und C ist durch eine Gleichung der Form
mit einem Polynom f vom Grad 7 über k gegeben. Um s zu l zu machen wird die Transformation x ↦ x, y ↦ sy angewandt. Die Gleichung wird zu
und da Teilen durch s² den Grad von f nicht verändert, erhält, man die gewünschte Form.
Proposition 7.3. Über dem algebraischen Abschluss k kann die Kurve C durch eine Gleichung
mit v, ρ ∊ k beschrieben werden.
Beweis. Die Gleichung
mit a₇ ≠ 0 wird durch die Transformation
zu
Über k können α, β, γ, δ so gewählt werden, dass sie das Gleichungssystem
erfüllen und damit, verschwinden alle geraden Terme in x. Durch

wird noch a₇ zu 1 gemacht. Die neue Kurvenleichung ist
mit anderen a_i ∊ k . Der x⁵-Term kann noch eliminiert werden. Eine Transformation
eingesetzt ergibt auf der linken Seite
und rechts
Ein Koeffizientenvergleich führt auf folgendes Gleichungssystem
das über k lösbar ist.
Proposition 7.4. Die einzige nichttriviale Involution einer Kurve mit Gleichung (2) ist die hyperelliptische Involution.
Beweis. Sei σ ≠ id_C eine Involution von (2), gegeben durch
mit a, b, c ∊ k , a² + bc ≠ 0, R, S ∊ k (x), R ≠ 0, R·(cx + a)⁴, S·(cx + a)⁴ ∊ k[x]. Da ein Automorphismus einer hyperelliptischen Kurve die Menge der Verzweigungspunkte festlässt, muss der Punkt P_∞ unter σ auf sich selbst gehen und wir sind im Fall c = 0. R und S sind also Polgnome und R. ist konstant 1 nach Proposition 7.2. Einsetzen von x ↦ x + b', y ↦ y + S mit b' = b / a , S ∊ k [x], in die Kurvengleichung ergibt
Da S in zweiter Potenz vorkommt kann das Polynom höchstens vom Grad 3 sein. Sei also
Wir setzen ein und erhalten:
Da x nicht in der fünften Potenz vorkam folgt b' = 0 und wir erhalten das Gleichungssystem
das die beiden Lösungen s₃ = s₂ = s₁ = s₀ = 0 und s₃ = s₂ = s₁ = 0, s₀ = 1 hat. Da wir den Fall σ = id_C ausgeschlossen hatten folgt s₀ = S = 1. Die Involution hat die Gestalt
und das ist die hyperelliptische Involution.
Korollar 7.5. Eine hyperelliptische Kurve vom Geschlecht 3 über einem Körper k der Charakteristik 2 mit einem Verzweigungspunkt hat keine elliptische Involution.
Beweis. Gibt es eine Involution der Kurve über k, dann auch über dem algebraischen Abschluss k . Das ist aber ausgeschlossen nach der letzten Proposition.
7.2. Zwei Verzweigungspunkte.
Proposition 7.6. Jede hyperelliptische Kurve vom Geschlecht 3 über k mit zwei Verzweigungspunkten ist über k durch eine Gleichung der Form
Beweis. Sei
eine Gleichung der Kurve mit einem Polynom f über k vom Grad 7. Da sie vom Geschlecht 3 ist und zwei Verzweigungspunkte hat, ist h ein Polynom vom Grad ≤ 3 mit einer Nullstelle b₁ ∊ k:
Die Substitution x ↦ x + b₁, y ↦ y bringt b₁ nach 0 und die Kurve hat eine Gleichung
mit einem Polynom f über k vom Grad 7. Die Transformation
eingesetzt in die Gleichung ergibt
und nach Teilen durch s² ≠ 0
mit a_i ∊ k, a₇ ≠ 0.
Proposition 7.7. Eine Kurve C mit Gleichung (3) ist genau dann singulär in einem endlichen Punkt, wenn

(1) im Fall i = 1 die Gleichheit √ a 0 + a₁ = 0 erfüllt ist und
(2) im Fall i = 2 oder i = 3 der Koeffizient a₁ verschwindet.

Beweis. Sei
Die partielle Ableitung
verschwindet in allen Fällen in x = 0. Der zugehörige y-Wert ist immer y = √ a ₀. Die andere partielle Ableitung ist
und verschwindet im Fall i = 1 im Punkt (0, √ a ₀) genau für √ a ₀ = a₁, in den anderen Fällen für a₁ = 0.
Seien also die Bedingungen für Nichtsingularität im Folgenden erfüllt. Wir behandeln zunächst die Fälle i = 1 und i = 3.
Proposition 7.8. über dem algebraischen Abschluss k kann in den Fällen i = 1 und i = 3 eine im Endlichen nichtsinguläre Kurve mit Gleichung (3) durch eine Gleichung
mit λ, μ, v ∊ k, λ ≠ 0 beschrieben werden.
Beweis. Sei
mit a_i ∊ k, a₇ ≠ 0, eine Gleichung für die Kurve im Fall i = 1. Eine Transformation
mit α, β, γ, δ ∊ k eingesetzt ergibt auf der linken Seite
Wählt man α, β, γ, δ so, dass sie die Bedingungen
erfüllt sind, erhält man die Form
mit λ = α₇, μ := α₅, v := α₃ + β, ρ := α₁ + δ. Dabei ist ρ ≠ 0, da die Kurve nichtsingulär im Endlichen ist.
Transformiert man die Gleichung
mit α_i ∊ k, α₇ ≠ 0 der Kurve im Fall i = 3 durch eine Substitution
mit α, β, γ, δ ∊ k , so erhält man auf der linken Seite
Wählt man α, β, γ, δ ∊ k so, dass sie das System
lösen, so erhält die Kurve die Gestalt
mit λ := α₇, μ := α₅ + β, v := α₃ + δ, p := α₁ ≠ 0.
Die Substitution
der Gleichung für (4') führt auf
was eine Gleichung der Form (3') ist. Auf die Form (4') kann somit verzichtet werden. Für (3') führen wir die Transformation
Als Normalform für diesen Typ haben wir
mit neuen λ, μ, v ∊ k, λ ≠ 0.
Proposition 7.9. Für eine Kurve C mit Gleichung (4) ist die einzige nichttriviale Involution die hyperelliptische Involution.
Beweis. Ein Vertauschen von 0 und ∞ bewirkt, wie im letzten Beweis durchgeführt, ein Ineinanderüberführen der Gleichungen (3') und (4') und liefert somit keine Involution. Beide Verzweigungspunkte müssen auf sich selbst gehen und wir haben gemäß Prop. 7.2
mit S ∊ k [x] und erhalten
Da der Fall S = 0 ausgeschlossen war folgt S = x und σ hat die Gestalt
was die hyperelliptische Involution ist.
Wie beim Beweis von Korollar 7.5. sieht man:
Korollar 7.10. Eine hyperelliptische Kurve vom Geschlecht 3 über einem Körper k der Charakteristik 2 mit zwei Verzweigungspunkten, gegeben durch eine Gleichung
mit einem Polynom f über k vom Grad 7, hat für i = 1 oder i = 3 keine elliptische Involution.
Im Fall i = 2 arbeiten wir zunächst nicht über dem algebraischen Abschluss, sondern mit der Gleichung
mit
Proposition 7.11. Eine Kurve C über k mit Gleichung (5) hat genau dann eine elliptische Involution über k, wenn ein m ∊ k existiert, so dass die Bedingungen
erfüllt sind. In diesem Fall ist die durch
definierte Abbildung eine Involution, die genau dann über k definiert ist, wenn m ∊ k ist. Die Hintereinanderausführung von σ und der hyperelliptischen Involution
ist die durch
definierte Involution. Sonst ist ι die einzige nichttriviale Involution.
Beweis. Sei σ eine Involution von C mit
wobei σ der von σ induzierte Automorphismus von P¹ ist. Entweder vertauscht σ die beiden Verzweigungspunkte oder hält sie fest. Wegen 0 → b / a muss im ersten Fall a = 0 sein. In diesem Fall hat σ die Gestalt
mit 0 ≠ m ∊ k , p, q, r, s ∊ k [x], p, q, s ≠ 0, p und q sowie r und s teilerfremd. Nach Prop. 7.2 ist p = m², q = x⁴ und s|x⁴. Im zweiten Fall ist b = 0 = c. σ ist dann gegeben durch
mit S ∊ k [x].
Einsetzen von (ii) in die Kurvengleichung ergibt
Der Grad von S ist höchstens 3. Nach Einsetzen von
erhalten wir auf der rechten Seite
und aus dem Koeffizientenvergleich das Gleichungssystem
mit der Lösung s₃ = s₂ = s₁ = s₀ = 0, welche die für uns hier nicht interessante Identität liefert, und der Lösung s₃ = s₁ = s₀ = 0, s₂ = 1. Damit hat σ die Gestalt
und das ist die hyperelliptische Involution.
Einsetzen von (i) mit s = x^l, l ≤ 4 führt auf

(a) Wir beginnen mit dem Fall l = 4. Der Grad von r kann höchstens 4 sein. Sei also

Aus
Aus (8) folgt unmittelbar r₀ = √ a ₀m² und aus (1) folgt r₄ = √ a ₀. Wegen (5) ist r₂ = 0 oder r₂ = m². Da
ist r₁ = m·r₃. Setzt man r₃ in (3) ein oder r₁ in (7), so erhält man die Bedingung
für die Koeffizienten der Kurve.
Sei r₂ = 0. Die Abbildung
mit r₃ = (ma₅ + a₃)m ist eine Involution wegen
Sie ist genau dann definiert über k, wenn m ∊ k ist. Für r₂ = m² erhalten wir eine Abbildung
mit r₃ = (ma₅ + a₃)m. Es ist
und somit ist a' ebenfalls eine Involution.

(b) Ist l = 3, so muss r vom Grad ≤ 3 sein. Mit
ist
und es folgen die Bedingungen

Aus (5) folgt r = 0 oder r = m². Da kein konstanter Term mehr vorkommt ist a₀ = 0 und r₃ = 0 folgt aus (1). Wegen
ist r₀ = m·r₂. Andererseits folgt aus (7)
und aus (3)
Damit ein Automorphismus vorliegt, muss also gelten
Dieser ist dann gegeben durch
mit r₁ ∊ {0, m²}, r₂ = (ma₅ + a₃)m. Er ist genau dann definiert über k, wenn m ∊ k ist. σ ist eine Involution wegen
Die Involution für r₁ = 0 kann durch Hintereinanderausführung mit der hyperelliptischen Involution in die andere für r₁ = m² übergeführt werden und umgekehrt. Der Fall l = 3 ist identisch mit dem Fall l = 4, falls a₀ = 0 ist.

(c) Im Fall l = 2 ist der Grad von r höchstens 2. Sei also

Es ist
Das führt auf das folgende Gleichungssystem:
(6) in (4) eingesetzt ergibt
Ebenso folgt r₂ = 0 aus (9) in (1) eingesetzt. Damit ist auch (3) erfüllt. Aus (5) folgt
es ist also entweder r = r₀ = m² oder r = 0. In jedem Fall müssen die Koeffizienten a_i die Gleichungen
erfüllen. Im Fall r = 0 ist σ dann definiert durch
und definiert über k für m ∊ k. Diese Abbildung ist eine Involution wegen
Im Fall r = m² erhalten wir eine Abbildung σ' definiert durch
σ' ist wegen
genau die Hintereinanderausführung von der hyperelliptischen Involution mit σ und somit ebenfalls eine Involution.

(d) Für l = 1 kann r höchstens vom Grad 1 sein. Sei

Es ist
und wir erhalten die Bedingungen
(5) in (4) eingesetzt ergibt
Mit (6) und r₀ = 0 folgt aus (3):
Damit ist r = 0 und dieser Fall liefert keine andere Involution.

(e) Im Fall l = 0 ist deg r = 0, was auf
führt. Wegen (8) folgt r = 0 aus (1) auch in diesem Fall.

Existiert über k eine Involution der Kurve, dann auch über k . Bevor wir diese angeben vereinfachen wir die Kurvengleichung noch etwas.
Proposition 7.12. Über dem algebraischen Abschluss k kann eine Kurve mit Gleichung (3) im Fall i = 2 durch eine Gleichung
mit λ ≠ 0 beschrieben werden.
Beweis. Sei
mit a₁ ∊ k, a₇, a₁ ≠ 0 eine Gleichung der Kurve. Die Transformation
lässt die rechte Seite unverändert, links erhalten wir
In k können wir α, β, γ, δ so wählen, dass die Gleichungen
erfüllt sind. Mit λ := a₇, μ := a₅ + α, v := a₃ + γ, ρ := a₁ erhält die Gleichung die Form
mit λ, ρ ≠ 0. Weiter führt die Substitution
auf
also eine Gleichung
mit neuen λ, μ, v ∊ k , λ ≠ 0.
Proposition 7.13. Eine Kurve C mit Gleichung (6) hat genau dann eine elliptische Involution über k , wenn die Bedingung
erfüllt ist. Die Involution ist dann definiert durch
Beweis. Gemäß Prop. 7.11. müssen λ, μ, v den Bedingungen
genügen, was bedeutet, dass sie die Gleichung
erfüllen müssen. Wegen
ist die Involution hier gegeben durch
7.3. Drei Verzweigungspunkte.
Proposition 7.14. Eine hyperelliptische Kurve vom Geschlecht 3 über k, die drei Verzweigungspunkte besitzt, wird über k entweder durch eine Gleichung
y² + x(x + 1)y = a₇x⁷ + a₆x⁶ + a₅x⁵ + a₄x⁴ + a₃x³ + a₂x² + a₁x + a₀(7)
oder durch eine Gleichung (8)
y² + x(x + 1)²y = a₇x⁷ + a₆x⁶ + a₅x⁵ + a₄x⁴ + a₃x³ + a₂x² + a₁x + a₀
mit a₇ ≠ 0 beschrieben.
Beweis. Sei
eine Gleichung der Kurve mit einem Polynom f' vom Grad 7 über k. Gibt es drei Verzweigungspunkte, so ist h ein Polynom vom Grad ≤ 3 mit zwei Nullstellen b₁, b₂ ∊ k, b₁ ≠ b₂, es sind also die Fälle
mit b₁ ≠ b₂, s ∊ k, s ≠ 0 möglich. Wir führen die Substitution x ↦ (b₁ + b₂)x + b₁ durch und erhalten für den ersten Fall
mit s' = s(b₁ + b₂)³ ≠ 0. Der zweite Fall funktioniert analog. Wir erhalten zwei mögliche Kurvengleichungen
und
mit einem Polynom f über k vom Grad 7. Wie im Fall einer Kurve mit zwei Verzweigungspunkten kann s' zu 1 gemacht werden und wir erhalten eine Kurvengleichung
mit a_i ∊ k, a₇ ≠ 0. Genauso wird die andere Kurvengleichung zu
Proposition 7.15. Eine Kurve mit Gleichung (7) ist genau dann singulär über k in einem endlichen Punkt, wenn mindestens eine der Bedingungen
erfüllt ist. Eine Kurve der Gleichung (8) ist genau dann singulär über k in einem endlichen Punkt, wenn mindestens eine der folgenden Gleichheiten gilt:
Beweis. Sei
Die partielle Ableitung
verschwindet in x = 0 und x = 1. Zu x = 1 gehört der Wert

zu x = 0 der Wert y = √ a ₀. Die andere partielle Ableitung
verschwindet im Punkt
genau für

Im Punkt (0, √ a ₀) verschwindet sie für √ a 0 = a₁.
Im Fall
verschwindet die partielle Ableitung
ebenfalls in x = 0 und x = 1. Die zugehörigen Werte sind dieselben wie im anderen Fall. Die Ableitung
verschwindet im Punkt (0, √ a ₀) für √ a ₀,im Punkt
für a₇ + a₅ + a₃ + a₁ = 0. Seien die Bedingungen für Nichtsingularität im Folgenden erfüllt.
Lemma 7.16. Über dem algebraischen Abschluss kann eine Kurve mit Gleichung (7) durch eine Gleichung der Form
beschrieben werden mit λ, ρ ≠ 0, λ + μ + v + ρ ≠ 0, 1. Eine Kurve mit Gleichung (8) kann durch eine Gleichung der Form
mit λ, ρ ≠ 0, λ + μ + v + ρ ≠ 0 beschrieben werden.
Beweis. Wir behandeln zunächst den Fall (7) Durch eine Transformation
verändert sich die rechte Seite der Gleichung nicht, und auf der linken Seite erhalten wir
Werden α, β, γ, δ ∊ k so gewählt, dass sie die Gleichungen
erfüllen, bekommt die Kurvengleichung die Form
mit λ := a₇, μ := α + a₅, v := β + γ + a₃, ρ := δ + a₁.
Im Fall der Gleichung (8) wird durch eine Transformation der gleichen Form die linke Seite zu
und man erhält die gewünschte Form
mit λ := a₇, μ := β + a₅, v := β + δ + a₃, ρ := δ + a₁ für α, β, γ, δ ∊ k mit
Nach Prop. 7.15. muss in beiden Fällen ρ ≠ 0, λ + μ + v + ρ ≠ 0 sein, damit die Kurve nichtsingulär ist. Zustätzlich muss im ersten Fall λ + μ + v + ρ ≠ 1 gelten.
Proposition 7.17. Über dem algebraischen Abschluss ist die einzige nichttriviale Involution einer Kurve mit Gleichung (9) oder (10) die hyperelliptische Involution, also
für (9) und
für (10).
Beweis. Sei eine Involutidn σ definiert durch
mit a, b, c ∊ k , R, S ∊ k (x), R ≠ 0, R·(cx + a,)⁴, S·(cx + a)⁴ ∊ k [x]. Da σ die Verzweigungspunkte permutiert und Ordnung 2 hat, gibt es die beiden Möglichkeiten

(1) σ hält alle Verzweigungspunkte fest.
(2) σ hält einen Verzweigungspunkt fest und vertauscht die anderen.

Im Fall (1) bleibt x unter σ fest, S ist also ein Polynom und R = 1. Wir behandeln zuerst die Gleichung (9). Sei
Die Kurvengleichung
kann nur erfüllt sein, wenn S vom Grad höchstens 3 ist. Sei also
Dann ist
Daraus folgt s₃ = s₀ = 0 und damit
Diese Bedingungen werden erfüllt von s₁ = s₂ = 0, was auf die Identität führt, oder von s₁ = s₂ = 1. Damit ist S(x) = x² + x = x(x + 1) und σ hat die Gestalt
ist also die hyperelliptische Involution.
Im Fall der Gleichung (10) verläuft der Beweis völlig analog, bis wir eine Gleichung
erhalten. Der Grad von S kann auch hier höchstens 3 sein. Wir setzen
ein. Aus
folgt s₂ = s₀ = 0 und daraus
Diese Bedingungen erfüllen s₁ = s₃ = 0, was die Identität liefert, oder s₁ = s₃ = 1. Es ist dann S(x) = x³ + x = x(x + 1)² und σ ist definiert durch
was die hyperelliptische Involution ist.
Im Fall (2) soll ohne Einschränkung ∞ unter σ fest bleiben und 0 und 1 vertauscht werden. Es ist x ↦ x + 1 unter σ und wieder S ∊ k [x], R = 1. Wir erhalten für (9)
Die rechte Seite der neuen Gleichung
ausmultipliziert ist
Damit ein Automorphismus der Kurve vorliegt, muss
sein. Das ist nur möglich, wenn S vom genauen Grad 3 ist. Sei also
Dann ist
Wir erhalten die Bedingungen
und es folgt aus (1) und (2), dass
sein muss. Wegen λ ≠ 0 ist also
Es folgt
aus (3). Ein solches s₂ existiert in k . Aus (4) ergibt sich
und aus (5)
Damit ist auch (6) erfüllt. Wegen (6) und (7) müssen die Koeffizienten der Kurve die Bedingungen
erfüllen, damit ein Automorphismus vorliegt. Dieser hat dann die Gestalt
mit s 2 / 2 + s₂ = μ. Wegen
ist τ aber keine Involution, sondern von der Ordnung 4.
Eine Kurve mit Gleichung (10) hat keine Involution, welche ∞ festhält und die beiden anderen Verzweigungspunkte vertauscht, da die beiden endlichen Verzweigungspunkte unterschiedliche Vielfachheit haben.
Korollar 7.18. Eine hyperelliptische Kurve vom Geschlecht 3 über eifern Körper k der Charakteristik 2 mit drei Verzweigungspunkten hat keine elliptische Involution.
7.4. Vier Verzweigungspunkte.
Proposition 7.19. Eine hyperelliptische Kurve vom Geschlecht 3 über k mit vier Verzweigungspunkten hat über k eine Gleichung
mit α ∈ k, α ≠ 0, 1 und
mit a_i ∈ k, a₇ ≠ 0.
Beweis. Sei
eine Gleichung der Kurve mit einem Polynom f' über k vom Grad 7. Falls ɩ. in vier Punkten verzweigt, die alle verschieden sind, ist
mit b₁, b₂, b₃ ∈ k paarweise verschieden, s ∈ k. Wir führen die Transformation
durch:
mit
wegen b_i alle verschieden. Durch die Transformation x ↦ x, y ↦ s'y wird s' noch zu 1 gemacht. Die Kurve hat demnach eine Gleichung
mit einem Polynom f über k vom Grad 7 und α ≠ 0, 1.
Es wäre auch möglich gewesen, die Kurve auf die scheinbar einfachere Form
mit α ∈ k, α ≠ 0, 1 zu bringen. Diese ist für das später folgende Beispiel jedoch weniger günstig.
Proposition 7.20. Eine Kurve mit Gleichung (11) ist genau dann singulär über k in einem endlichen Punkt, wenn mindestens eine der Bedingungen
erfüllt ist.
Beweis. Sei
Die partielle Ableitung
verschwindet in x = 0, α, 1 / α . Die zugehörigen y-Werte sind
Die andere partielle Ableitung
verschwindet im Punkt (0, √ a ₀) für √ a ₀ + a₁ = 0. Im Fall x = α verschwindet sie für
und im Fall x = 1 / α für
Proposition 7.21. Eine Kurve mit Gleichung (11) hat eine elliptische Involution, falls die beiden Gleichheiten
gelten. Diese Involution ist gegeben durch
und definiert über k genau dann, wenn √ a ₀ ∈ k ist. Sonst ist die einzige nichttriviale Involution die hyperelliptische Involution, gegeben durch
und die Hintereinanderausführung σ₂ = σ₁·ɩ.
Beweis. Sei
mit R = p / q , S = r / s ∈ k (x), R ≠ 0, R·(cx + a)⁴, S·(cx + a)⁴ ∈ k [x], q und p sowie r und s teilerfremd, q und s normiert, a, b, c ∈ k , a² + bc ≠0, eine Involution der Kurve. Folgendermassen können sich die x–Koordinaten der Verzweigungspunkte unter σ verhalten:

(1) Alle Verzweigungspunkte bleiben fest.
(2) Zwei Verzweigungspunkte bleiben fest.
(3) Kein Verzweigungspunkt bleibt fest.

Fall (1) liefert die hyperelliptische Involution: hier bleibt x fest unter σ. Nach Prop. 7.2 ist p = q = s = 1. Wir setzen ein und erhalten
Es ist deg r ≤ 3, sei also
Aus
ergeben sich die Bedingungen
Aus (6) folgt sofort r₀ = 0. Aus (1) folgt
Im Fall r₃ = 0 folgt r₂ = 0 aus (2) und r₁ = 0 aus (3). Dieser Fall liefert also die Identität. Ist r₃ = 1, so folgt r₂ = α – 1 / α + aus (2) und r₁ = 1 aus (3). Damit ist r = x(x + α)(x + 1 / α ) und
Im Fall (2) können wir ∞ und als Fixpunkte wählen. Dann ist eine Abbildung x ↦ x + b nötig, mit b = α, damit 0 auf α geht. Dann geht jedoch 1 / α auf 1 / α + α, ein Widerspruch. Dieser Fall kommt also nicht vor.
Im Fall (3) sei ohne Einschränkung angenommen, dass 0 und ∞ vertauscht werden, und damit ist x ↦ m / x mit 0 ≠ m ∈ k . Da α und ebenfalls vertauscht werden folgt m = 1. Nach 7.2 ist p = α· 1 / α = 1 und q = x⁴, s = x^l mit l ≤ 4. Aus
Damit hat die linke Seite bereits die gewünschte Form
und rechts haben wir
Damit ein Automorphismus vorliegt, muss
sein. Folgende Fälle sind zu betrachten:

(a) Im Fall l = 4 ist deg r ≤ 4. Sei also

Dann ist
und wir erhalten folgendes Gleichungssystem:
Aus (1) und (9) folgt
und damit aus (2) oder (8)
Wir setzen r₄ in (3) ein und r₀ in (7). Es ergibt sich
bzw.
und es folgt
Es sind die Fälle
möglich. Ist r₁ = 1, r₃ = 0, so folgt
aus (4) und
aus (6), ein Widerspruch zu α ≠ 0, 1. Ebenso führt r₁ = 0, r₃ = 1 zu einem Widerspruch, da hier aus (4)
folgt und aus (6)
Es ist also r₁ = r₃. Damit wird (5) zu
und es ist r₂ = 0 oder r₂ = α + 1 / α . Für r₂ = 0 ist
wegen (4) und es ist ein Automorphismus σ₁ definiert durch
Die Koeffizienten der Kurve müssen den Gleichungen
genügen. σ₁ ist eine Involution wegen
und genau dann über k definiert, wenn √ α ₀ ∈ k ist. Für r₂ = α + 1 / α ist
und es ist ein Automorphismus σ₂ definiert durch
σ₂ ist genau dann über k definiert, wenn √ α ₀ ∈ k ist. Die Koeffizienten der Kurve müssen die Bedingungen
erfüllen, also dieselben wie die im Fall σ₁. Es ist
σ₂ ist also eine Involution.

(b) Für 1 = 3 ist r vom Grad höchstens 3. Sei

Aus
erhalten wir das Gleichungssystem
Aus (2) und (8) folgt r₃ = 0. Damit ist
Wegen (7) ist deshalb
wofür es die Möglichkeiten
gibt. Ist r₀ = 1, r₂ = 0, so folgt
aus (4), aber
aus (6), ein Widerspruch zu α ≠ 0, 1. Ist r₀ = 0, r₂ = 1 folgt derselbe Widerspruch aus
Wegen r₀ = r₂ folgt
aus (5). Ist r₁ = 0, so folgt
aus (4) und es ist ein Automorphismus σ₁ definiert durch
Für die Koeffizienten der Kurve muss gelten:
σ₁ ist eine Involution wegen
Für r₁ = α + 1 / α ist
und es ist ein Automorphismus σ₂ definiert durch
Die Koeffizienten der Kurve müssen die Bedingungen
erfüllen wie bei σ₁. Es ist
und deshalb σ₂ eine Involution. Dieser Fall ist identisch mit dem Fall l = 4, wenn a₀ = 0 ist.

(c) Im Fall l = 2 ist deg r ≤ 2. Sei

Mit
erhalten wir die Bedingungen
Aus (2) und (8) folgt r₂ = 0. Damit ist
und wegen (6) ist auch r₁ = 0. Damit ist
und es folgt r₀ = 0 oder r₀ = α + 1 / α . Im Fall r₀ = 0 ist σ definiert durch
Die Koeffizienten der Kurve müssen die Bedingungen
erfüllen, was ein Spezialfall der Bedingungen (*) ist. σ ist eine Involution wegen
Es ist
σ ∘ ι ist also ein Spezialfall von l = 4, nämlich mit a₀ = 0, r₂ = α + 1 / α und
Ist r₀ = α + 1 / α , so ist σ definiert durch
und für die Koeffizienten der Kurve muss gelten:
ebenfalls ein Spezialfall von (*). Es ist
ein Spezialfall von l = 4 mit α₀ = 0, r₂ = 0 und

(d) Im Fall l = 1 ist deg r ≤ 1. Mit

Aus den Bedingungen
folgt sofort r₁ = 0, etwa aus (2) und (8), und wegen (5) folgt r = 0. Wir erhalten also dieselbe Involution wie für l = 2 im Fall r₀ = 0.

(e) Für l = 0 muss r vom Grad 0 sein und es ist

Daraus folgt sofort r = 0 wegen des Faktors bei x⁴, dieser Fall liefert also keine neue Involution.
Wir behandeln den Fall einer Kurve mit vier Verzweigungspunkten noch über k .
Proposition 7.22. Eine Kurve mit Gleichung (11) kann über dem algebraischen Abschluss k durch eine Gleichung der Form
mit λ, ρ ≠ 0 beschrieben werden.
Beweis. Sei
mit α ∈ k, α ≠ 0,1 und
mit α_i ∈ k, a₇ ≠ 0, eine Gleichung der Kurve. Wir wenden darauf die Transformation
und erhalten auf der linken Seite
Es können a, b, c, d ∈ k so gewählt werden, dass sie die Gleichungen
erfüllen. Wir erhalten dann als neue Kurvengleichung
mit λ := a₇, μ := a₅ + b + (α + 1 / α )a, v := a₃ + d + (a + 1 / α )c + b, ρ := α₁ + d. Insbesondere ist ρ ≠ 0 nach 7.20., wenn die Kurve nichtsingulär ist.
Aus den Propositionen 7.21. und 7.22. folgt:
Korollar 7.23. Eine Kurve mit Gleichung (12) hat genau eine elliptische Involution über k , wenn entweder die Bedingungen
oder die Bedingungen
erfüllt sind. Im Fall μ = v ist die Involution definiert durch
im Fall μ = v + α + 1 / α durch
Beweis. Da in der Kurvengleichung über k der konstante Term auf der rechten Seite fehlt, muss wegen der Bedingung a₇ = √ a ₀ + a₁ aus Prop. 7.21. in jedem Fall λ = ρ gelten. Die andere Bedingung
aus Proposition 7.21. wird hier zu
Im Fall μ = v hat die Involution σ₁ aus 7.21. die Gestalt
Für μ = v + α + 1 / α ist σ₁ definiert durch
Die Involution σ₂ aus 7.21. ist definiert durch
für μ = v und
für μ = v + α + 1 / α . Diese beiden Abbildungen entstehen durch Hintereinanderausführung der beiden Involutionen für σ₁ mit der hyperelliptischen Involution.
7.5. Eine Schar von Prym-Varietäten in Charakteristik 2. Wir wählen den Spezialfall
mit λ ≠ 0, α ≠ 0, 1. Seien die Bedingungen
erfüllt. Nach Proposition 7.20. ist die Kurve damit nichtsingulär. Die Kurve wird im Folgenden mit C bezeichnet, wenn keine Verwechslungsgefahr besteht.
Die Abbildung
definiert einen Automorphismus von C über k wegen
Insbesondere ist τ eine Involution. Der Fixkörper
von τ besteht aus denjenigen h ∈ k(C) mit
Proposition 7.24. Es ist
Beweis. Jedes h ∈ k(C) lässt sich schreiben in der Form h(x, y) = a(x) + b(x)y mit rationalen Funktionen a, b. Die Bedingung für, h ∈ L ist
was etwa erfüllt wird von den Funktionen
Damit ist
Außerdem ist der Grad der Erweiterung
gleich 2, da x²+1 / x eine rationale Funktion vom Grad 2 ist. Eine Basis sind zum Beispiel die Polgnome x und 1. Sie bilden aber auch eine Basis von k(C) als Vektorraum über
Damit ist der Grad der Körpererweiterung
gleich 2. Da der Grad von L ⊆ k(C) auch 2 ist folgt die Behauptung aus dem Gradsatz.
Sei E die zu L/k gehörige Kurve. Zu der Erweiterung L ⊆ k(C) gehört ein endlicher Morphismus vom Grad 2 von C nach E, auf den Punkten gegeben durch
mit
Proposition 7.25. (a) Eine Gleichung für E ist
(b) In Weierstraßscher Normalform ist E gegeben durch
Beweis. (a) Wir setzen
in dir Gleichung für E ein und erhalten:
Multiplikation mit x⁴ ergibt
und das ist die Gleichung von C.
(b) Eine zu E gehörige homogene Gleichung ist
mit Koordinaten (w₀:w₁:w₂) = (1:u:v). Durch den Koordinatenwechsel
wird die Gleichung zu
was wegen λ ≠ 0 äquivalent ist zu
Affin wird die Gleichung nach erneuter Umbenennung zu
Proposition 7.26. Der Morphismus f verzweigt nur in den Punkten (1, 0) und (1, α + 1 / α ).
Beweis. Sei P = (x, y) ein Punkt von C mit x ≠ 1. Dann ist P' = (1/x, y/x⁴) ein von P verschiedener Punkt auf C. Beide Punkte haben unter f dasselbe Bild wegen u(1/x), v(1/x, y/x⁴) = v(x, y).Insbesondere gehen die Punkte P_∞ und (0, 0) beide nach P_∞. Diese Punkte sind somit keine Verzweigungspunkte. Ist x = 1, so geht P = (x, y) unter f auf (0, y). Die Punkte auf C mit x-Koordinate 1 sind die einzigen, deren Bild unter f die x-Koordinate 0 hat. Es gibt aber nur zwei solche Punkte auf C, nämlich (1, 0) und (1, α + 1 / α ), und diese Punkte haben verschiedenes Bild unter f.
Die Abbildung
verzweigt in dem Punkt u = ∞ und sonst nur in Punkten (u, v), für welche die quadratische Gleichung in v
genau eine Lösung hat. Das ist nur der Fall für u = α + 1 / α , also im Punkt (u, v) mit u = α + 1 / α . Die Einbettung k(u) ↪ k(x) induziert einen Morphismus
Unter dieser Abbildung haben x und 1 / x mit x ≠ 1 nach Definition von u dasselbe Bild. Sie verzweigt also nur in x = 1. Insgesamt ergibt sich das folgende kommutative Diagramm mit Verzweigungspunkten:
In Kapitel 5.3. wurde unabhängig von der Charakteristik des Körpers k bewiesen, dass für einen verzweigten Morphimus f: C → E vom Grad 2 über k für eine hyperelliptische Kurve C vom Geschlecht 3 und eine elliptische Kurve E die Anzahl der rationalen Punkte der Prym Varietät P(f) von f gleich dem Quotienten der Ordnungen von J(C)(k) und E(k) ist. Zur Berechnung von #P(f)(k) in Charakteristik 2 wurde folgender Algorithmus verwendet:
Algorithmus 7.27. Vor dem Start des Programms ist ein endlicher Körper
mit n ∈ N zu definieren. Der Alorithmus verlangt als Eingabe q := 2ⁿ und Körperelemente λ, μ, α mit λ ≠ 0, α ≠ 0, 1.
Er berechnet die Ordnung der Gruppe J(C)(k) für die hyperelliptische Kurve C über k mit affiner Gleichung
sowie die Ordnung der Gruppe E(k) für die elliptische Kurve E gegeben durch
nach einem Koordinatenwechsel, und daraus die Ordnung von P(f)(k).

(1) Überprüfe, ob die Bedingungen an λ, μ, α für Nichtsingularität der Kurve C gemäß Prop. 7.20. erfüllt sind.
(2) Sei R < x > der Polynomring in einer Variablen über k.
(3) Sei f := λx⁷ + μx⁵ + μx³ + λx.
(4) Sei h := x(x + α)(x + 1 / α ).
(5) Sei C die durch die affine Gleichung
gegebene hyperelliptische Kurve.
(6) Sei J die Jacobische Varietät von C.
(7) Sei g := x³ + (λ + μ)λx.
(8) Sei p := x + (α + 1 / α )λ.
(9) Sei E die durch die Gleichung
gegebene elliptische Kurve.
(10) Berechne die Ordnungen von J(C)(k) und E(k) mit den Befehlen #J(C)(k) und #E(k).
(11) Berechne #P(f)(k) = #J(C)(k):#E(k).

Die Elemente eines endlichen Körpers k der Charakteristik 2 mit 2ⁿ Elementen werden im Folgenden mit
bezeichnet. In Tabelle 3 sind die berechneten Ordnungen für die Kurven über dem kleinsten möglichen Körper F₄ aufgelistet, in den Tabelle 4 und 5 auf den nächsten beiden Seiten dann einige Beispiele über größeren Körpern. Kapitel 9 enthält weitere Beispiele, zum Teil einschließlich der Primfaktorzerlegung. Dabei sind auch Ordnungen in einer Größenordnung, die für die Kryptographie interessant ist. TABELLE 3. Der Körper F₄.
8. PRYM-VARIETÄTEN IN DER KRYPTOGRAPHIE
In der Einleitung hatten wir vorgeschlagen, mit der Prym-Varietät eine nicht polarisierte Varietät für die Kryptographie zu verwenden. Wir haben über Körpern der Charakteristik 2 und 2 jeweils eine Familie von Prym-Varietäten konstruiert. Die Ordnung dieser Prym-Varietäten kann mit Satz 5.10. berechnet werden. Soll eine Prym-Varietät sicher sein, muss ihre Ordnung denselben Bedingungen genügen wie die Ordnung einer sicheren Jacobischen. Welche Bedingungen das sind und woraus sie resultieren soll in diesem Kapitel als erstes erläutert werden. Anschließend gehen wir darauf ein, wann eine Prym-Varietät Vorteile gegenüber der Jacobischen bieten kann.
8.1. Das Problem des diskreten Logarithmus. Fast alle Public-Key-Kryptosysteme sowie die Diffie-Hellman-Methode zum sicheren Schlüsselaustausch basieren auf dem Problem des diskreten Logarithmus (DLP). Ist G eine endliche abelsche Gruppe der Ordnung n, a, b ∈ G mit ord(a) = n, so heißt eine natürliche Zahl m < n diskreter Logarithmus von b zur Basis von a, wenn b = ma ist. Nur solche Gruppen sind also kryptographisch geeignet, für welche ein effizienter Algorithmus für die Gruppenoperationen existiert und das DLP schwer ist. Schwer im Sinne der Komplexitätstheorie meint, dass nur exponentielle Algorithmen zur Lösung existieren.
Ist C eine hyperelliptische Kurve über einem endlichen Körper k, #J(C)(k) = n, L, M ∈ J(C)(k) mit L = O_C(D₁), M = O_C(D₂) für über k definierte Divisoren D₁, D₂, ord(L) = n, so besteht das Problem des diskreten Logarithmus für hyperelliptische Kurven (HCDLP) darin, eine ganze Zahl m, ∈ [0, n – 1] zu finden, so dass mD₁ und D₂ linear äquivalent sind, falls so ein m existiert.
Zwei Verfahren, die mit dem DLP bzw. HCDLP eng verbunden sind, sollen jetzt vorgestellt werden. Das erste, das Diffie-Hellman-Verfahren, stellt eine Möglichkeit zum sicheren Schlüsselaustausch dar. Möchten zwei Personen mit Hilfe eines symmetrischen Verfahrens kommunizieren, müssen sie sich zuerst auf einen Schlüssel einigen. Wenn dafür nur ein unsicherer Kanal zur Verfügung steht, bietet das Diffie-Hellman-Protokoll einen Ausweg. Die beiden Teilnehmer werden hier, wie allge-, mein üblich, mit Alice und Bob bezeichriet.
Algorithmus 8.1. (Diffie-Hellman)

(1) Alice und Bob einigen sich öffentlich auf eine hyperelliptische Kurve C über einem endlichen Körper k, sowie auf einen zufällig ausgewählten, über k definierten Divisor D.
(2) Alice wählt geheim eine ganze Zahl a, berechnet aD und schickt das Ergebnis an Bob.
(3) Bob wählt geheim eine ganze Zahl b, berechnet bD und schickt das Ergebnis an Alice.
(4) Beide berechnen (ab)D = a(bD) = b(aD) und verwenden diesen Divisor als Schlüssel.

Dabei ist zu beachten, dass es einen effizienten Algorithmus gibt, um einen über k definierten Divisor zufällig auszuwählen und einen polynomialen Algorithmus zur Berechnung von Vielfachen von Divisoren ([16], S. 148–149). Der Diffie-Hellman-Schlüsselaustausch ist grundlegend für das asymmetrische ElGamal-Kryptosystem. Das klassische ElGamal-Verfahren für die multiplikative Gruppe eines endlichen Körpers wurde 1985 vorgestellt in [9] und lässt sich ohne Probleme auf hyperelliptische Kurven übertragen.
Algorithmus 8.2. (ElGamal-Verschlüsselung) Alice will eine Nachricht m an Bob schicken.

(1) Bob wählt eine Kurve C über k, einen über k definierten Divisor D, eine ganze Zahl b und berechnet bD. b wird geheim gehalten, (C, k, D, bD) bilden den öffentlichen Schlüssel von Bob.
(2) Alice holt sich (C, k, D, bD).
(3) Alice wählt zufällig eine ganze Zahl a und berechnet aD sowie a(bD) = baD.
(4) Alice wandelt die Nachricht m in eine Divisorklasse M um.
(5) Alice berechnet M + baD und sendet das Ergebnis sowie aD an Bob.
(6) Bob berechnet b(aD) = a(bD) und M = (M + baD) – baD und wandelt M wieder in die Nachricht m, um.

Eine Methode, Text in eine Divisorklasse umzuwandeln, wird beschrieben in [14], S. 35f.
Offensichtlich kann das ElGamal-Kryptosystem geknackt beziehungsweise das Diffie-Hellman-Problem gelöst werden, wenn man diskrete Logarithmen berechnen kann. Die Umkehrung wird zwar vermutet, ist aber bisher nur für einige spezielle Gruppen bewiesen worden.
8.2. Angriffe auf den diskreten Logarithmus. Um die Bedingungen zusammenzustellen, die eine hyperelliptische Kurve für einen Einsatz in der Kryptographie erfüllen muss, sollen hier die wichtigsten Angriffe auf das HCDLP vorgestellt werden, und zwar sowohl generische als auch solche, die nur für Kurven relevant sind.
8.2.1. Index-Calculus-Attacke. Diese Methode zur Lösung des DLP hat subexponentielle Komplexität im Fall der multiplikativen Gruppe eines endlichen Körpers. Sei F_p ein endlicher Körper, p eine ungerade Primzahl, g ∈ F_p eine Primitivwurzel modulo p, a ∈ F * / p . Wir suchen ein m ∈ N mit g^m = a. Dazu wählen wir zuerst eine natürliche Zahl l. Sei T = {q₁, ..., q_t} die Menge der ersten t Primzahlen, die Faktorbasis.
Der erste Schritt besteht darin, lineare Gleichungen zu finden, umdie diskreten Logarithmen der q_i zur Basis g zu berechnen. Dazu werden zufällig Zahlen b ∈ {0, ..., p – 2} ausgewählt und die Werte g^b berechnet. Man versucht, diese g^b in T zu faktorisieren und erhält, falls das erfolgreich verläuft, eine Gleichung
Hinreichend viele solcher Gleichungen ergeben ein lösbares Gleichungssystem mit den Unbekannten log_gq_i. Um genügend solche Gleichungen zu finden darf t nicht zu klein sein. Zu groß sollte t jedoch auch nicht sein, da sonst die Lösung des Gleichungssystems zu lange dauert. Im zweiten Schritt wählt man zufällige Werte b und versucht, ag^b in T zu faktorisieren. Ist man erfolgreich, so erhält man eine Gleichung
und ist fertig.
Die Index-Calculus-Attacke wurde zuerst für endliche Körper mit primer Charakteristik beschrieben in [2], dann für Charakteristik 2 in (28], S. 10ff. Sie kann auch bei der Jacobischen einer hyperelliptischen Körpers durchgeführt werden (siehe [1] für ungerade Charakteristik, und später [3] für beliebige Charakteristik). Der Angriff ist dann aber nur subexponentiell für großes Geschlecht, da wir mit Kurven von Geschlecht 3 arbeiten hier also nicht von Interesse.
8.2.2. Frey-Rück-Attacke. Hierbei handelt es sich um eine Verallgemeinerung der MOV-Attacke von Menezes, Okamoto und Vanstone auf das DLP für elliptische Kurven (siehe [22]). Für eine hyperelliptische Kurve C über einem endlichen Körper F_q reduziert die Frey-Rück-Attacke das DLP in J(C)(F_q) auf das DLP in der multiplikativen Gruppe eines gewissen Erweiterungskörper
Sie verwendet dazu die sogenannte. Tate Form, eine nichtdegenerierte Paarung
Dabei ist m eine ganze Zahl mit
die m-Torsionsgruppe. Mit Hilfe dieser Abbildung wird das DLP von der Jacobischen in die multiplikative Gruppe
eines endlichen Körpers übertragen, in der ja die Index-Calculus-Methode angewendet werden kann ([11]). Sicherheit vor der Frey-Rück-Attacke ist gewährleistet, wenn für alle l < (log₂(q))² gilt, dass p_max nicht q^l – 1 teilt, wobei p_max der größte Primteiler von #J(C)(F_q) ist ([32])). Die Kurve sollte also so gewählt sein, dass das kleinste l, für das p_max Teiler von q^l – 1 ist, hinreichend groß ist.
Kurven, die grundsätzlich anfällig für diese Attacke sind, da besagtes l bei ihnen relativ klein ist, sind sogenannte supersinguläre hyperelliptische Kurven. Darunter versteht man hyperelliptische Kurven, deren Jacobische supersingulär ist, d. h. dass über dem algebraischen Abschluss des Grundkörpers eine Isogenie von der Jacobischen in ein Produkt supersingulärer elliptischer Kurven existiert, also elliptischer Kurven mit nichtkommutativen Endomorphismenringen. Im Fall einer hyperelliptischen Kurve vom Geschlecht g über einem Körper der Charakteristik 2, gegeben durch eine Gleichung
ist die Bedingung
hinreichend dafür, dass die Kurve nicht supersingulär ist (folgt aus [12], Theorem 6.1.). Insbesondere folgt daraus, dass die Kurven, die wir in 7.5. behandelt haben, nicht supersingulär sind.
8.2.3. Rück-Attacke. Auch dieser Angriff ist eine Verallgemeinerung eines Angriffs auf das DLP für elliptische Kurven auf Kurven beliebigen Geschlechts ([31]), nämlich der Methode von Semaev ([34]). Ist E eine elliptische Kurve über einem endlichen Körper
so kann in einer Untergruppe G von
das DLP in polynomialer Zeit gelöst werden, wenn G die Ordnung p hat. Das Verfahren ist also für Kurven über Körpern von sehr kleiner Charakteristik nicht interessant, weshalb hier p ≠ 2, 3 sein soll. Es funktioniert mit Hilfe eines Monomorphismus
welcher das DLP in der Unterruppe auf das DLP im endlichen Körper überträgt und in polynomialer Zeit berechnet werden kann. Der Angriff ist nicht möglich, wenn p kein Teiler von
ist bzw. bei hyperelliptischen Kurven kein Teiler von
der eben der Ornung der Untergruppe von
in der gearbeitet wird.
8.2.4. Pohlig-Hellman-Attacke. Die Vereinfachung von Pohlig und Hellman ermöglicht es, das DLP in einer endlichen abelschen Gruppe zu lösen, indem man das Problem in sämtlichen Untergruppen primer Ordnung löst. Sei also G eine endliche, abelsche Gruppe der Ordnung n. Die Primfaktorzerlegung von r sei bekannt. Seien Q, P ∈ G, P von der Ordnung n. Zu finden ist ein m ∈ N mit Q = mP. Sei p ein Primfaktor von n, n' := n / p , Q' := n'Q, P' := n'P. Dann ist
und wegen
ist P' von der Ordnung p. Löst man das Problem in der Untergruppe der Ordnung p, so hat man m mod p gefunden. Ist das für alle Primteiler von n geschehen kann mit dem Chinesischen Restsatz m berechnet werden (s. [19], Theorem II.2.1).
Somit ist das Problem des diskreten Logarithmus gelöst, wenn es in jeder Untergruppe von primer Ordnung gelöst ist, was umso leichter ist, je kleiner die Ordnung der Untergruppe ist. Die Sicherheit einer Gruppe hängt also weniger von der Gruppenordnung ab und mehr von deren größten Primfaktor. Um Sicherheit vor einer brute-force-Attacke nach vorausgehender Pohlig-Hellman-Vereinfachung zu gewährleisten, müsste dieser ≥ 2⁸⁰ sein. Er sollte aber ≥ 2¹⁶⁰ sein, damit die weiter unten behandelten Attacken Pollord ρ und Baby-Step-Giant-Steg in der Untergruppe dieser Ordnung nicht durchführbar sind.
Im Falle der Jacobischen einer hyperelliptischen Kurve C vom Geschlecht g über F_q ist #J(C)(F_q) ≈ q^g, was aus folgendem Theorem folgt:
Theorem 8.3. (Hasse-Weil) Ist C eine hyperelliptische Kurve vom Geschlecht g über einem Körper endlichen Körper F_q, so gilt folgende Abschätzung:
Das Theorem wird bewiesen in [45].
Ist C insbesondere eine Kurve vom Geschlecht 3 über einem Körper
so ist, um
zu erreichen, also mindestens l ≥ 54 nötig.
Die folgenden beiden Attacken sind generisch und wir wählen dieselben Bezeichnungen wie bei der Pohlig-Hellman-Attacke. Allerdings setzen wir voraus, dass die Pohlig-Hellman-Vereinfachung bereits durchgeführt wurde und die Ordnung n der endlichen, abelschen Gruppe G, in der wir arbeiten, prim ist. Wegen ihrer Laufzeit, die proportional zu √ n ist, werden diese Methoden auch als Quadratwurzelmethoden bezeichnet.
8.2.5. Baby-Step-Giant-Steg-Methode von Shanks. Wir suchen m ∈ N mit Q = mP. Wir teilen m durch [√ n ] mit Rest und erhalten
mit 0 ≤ α, 0 ≤ b < [√ n ]. Es werden nun zwei Listen erzeugt, eine Liste der Baby-Stegs und eine der Giant-Stegs. Die Liste der Baby-Steps besteht aus allen Werten
mit 0 ≤ b ≤ [√ n ] – 1. Sie wird gespeichert und anschließend werden die Giant-Stegs berechnet, das sind die Werte
für 0 ≤ a < [√ n ]. Nach jedem Giant-Steg S_a, der berechnet wurde, wird die Liste der Baby-Stegs nach diesem Wert durchsucht. Bei einer Übereinstimmung haben wir ein Paar (a, b) gefunden mit
und sind fertig. Diese Methode führt sicher zu einem Ergebnis, denn wegen 0 ≤ m ≤ n – 1 hat m eine Darstellung m = a[√ n ] + b mit 0 ≤ a, b < [√ n ]. Alle diese Darstellungen werden durch den Algorithmus berechnet. Aus Zeit- und Speicherplatzgründen kann Baby-Step-Giant-Step nicht für sehr große n durchgeführt werden.
8.2.6. Pollard ρ. Der ursprüngliche Pollard ρ-Algorithmus war eine Faktorisierungsmethode ([29]), die sich das Geburtstagsparadoxon zunutze macht. Der Angriff auf den diskreten Logarithmus funktioniert ähnlich. Wir bleiben bei den Bezeichnungen vom Pohlig-Hellman Verfahren. Die Gruppe G von der primen Ordnung n wird zunächst in drei disjunkte, ungefähr gleich große Mengen S₀, S₁, S₂ zerlegt. Mittels P und Q wird eine Zufallsfolge konstruiert und zwar solange, bis zwei Folgenglieder übereinstimmen. Seien dazu a₀, b₀ ∈ {0, ..., n – 1}, sei x₀ := a₀P + b₀Q. Eine Folge (x_i)_i wird folgendermassen rekursiv definiert:
Mit x_i = a_iP + b_iQ ist
und
Es werden soviele Folgenglieder berechnet bis eine Kollision auftritt, also x_i = x_j mit i ≠ j. In diesem Fall ist
Da n als prim vorausgesetzt war, ist ggT(n, b_j – b_i) = 1 und damit
Die Wahrscheinlichkeit ist groß, dass die gewünschte Kollision relativ früh auftritt. Ein Problem ist dennoch das Speichern der Werte x_i. Abhilfe schafft ein Parallelisierungsversuch, die gleichzeitige Berechnung von x_i und x_2i und deren Vergleich. Dadurch wird so gut wie kein Speicher benötigt. Sinn macht diese Methode, da mit einem j ≠ i mit x_i = x_j auch ein t < j existiert mit x_t = x_2t: aus x_i = x_j = x_i+(j-i) mit i < j folgt
und damit induktiv
Wegen i < j ist
Sei t := s(j – i). Es ist
und damit wegen (*)
Es gibt einen Algorithmus, der schneller ist als Pollard ρ, allerdings nur für Kurven, deren Geschlecht klein, aber mindestens 4 ist (s. [13]). Da wir jedoch mit Kurven vom Geschlecht 3 arbeiten soll darauf nicht näher eingangen werden.
8.2.7. Einbeziehung von Automorphismen. Duursma, Gaudry und Morain haben in [8] eine Möglichkeit aufgezeigt, Pollard ρ im Fall einer hyperelliptischen Kurve C um einen Faktor √ d zu beschleunigen, falls die Jacobische einen Automorphismus σ vom Grad d besitzt. Ist σ ∈ Aut_k((D)) für einen Divisor D über k auf C, so betrachtet man 〈D〉)/〈σ〉 und läuft den Zufallsweg nur in dieser Gruppe. Ist d relativ klein, so können dabei jedoch leicht Zykeln entstehen. Da jeder Automorphismus der Kurve einen Automorphismus der Jacobischen induziert (s. [43], Lemma III.5.2. und Theorem III.7.1.) sollte die Automorphismengruppe von C klein sein.
Die Existenz von nichttrivialen Automorphismen hat auch eine Auswirkung auf die Ordnung der Jacobischen. Jeder Automorphismus von C über k vom Grad d definiert einen Teilkörper L von k(C) vom Grad d (Prop. 5.3). Die Ordnung der Jacobischen von C kann deshalb nicht prim sein, da sie von der Ordnung der Jacobischen der zu L gehörigen Kurve geteilt wird. Eine Kurve mit Jacobischer, deren Ordnung viele kleine Primfaktoren hat, ist ungeeignet. Selbst wenn ein hinreichend großer Primfaktor vorhanden ist, um Sicherheit zu gewährleisten, so ist die Jacobische doch größer, als sie es bei der Sicherheit, die sie bietet, eigentlich sein müsste. Größte Effizienz bei gleichzeitiger Sicherheit bietet eine Kurve, deren Jacobische eine prime oder zumindest fast prime Ordnung von hinreichender Größe hat (zur Effizienz hyperelliptischer Kryptosysteme siehe [10], Chapter 4).
8.3. Einsatz der Prym-Varietät. Wir hatten in Kapitel 5.2. die Schar C_(λμv) hyperelliptischer Kurven mit affinen Gleichungen
mit 0, 1, λ, μ, v ∈ k paarweise verschieden, behandelt, wobei k ein beliebiger Körper der Charakteristik ≠ 2 ist. Weiterhin hatten wir die Morphismen
untersucht und die Prym-Varietäen P(f) von f. Dabei ist E_(λμv) die zum Fixkörper einer bestimmten Involution von C_(λμv) gehörige elliptische Kurve mit Gleichung
Über einem Körper k Charakteristik 2 hatten wir uns in Kapitel 7.5. mit den Prym-Varietäten der Morphismen
befasst, wobei C_(λμα) eine hyperelliptische Kurve über k mit affiner Gleichung
mit λ, μ, α ∈ k, α ≠ 0, 1, λ ≠ 0, ist und E_(λμα) eine elliptische Kurve mit affiner Gleichung
Die elliptischen Kurven E_(λμα) bzw. E_(λμv) werden später wieder mit E bezeichnet, da jeweils klar sein wird, welche Kurve gemeint ist.
Bevor die Menge P(f)(k) der rationalen Punkte einer Prym-Varietät aus einer dieser beiden Scharen in einem Kryptosystem verwendet werden kann, muss ihre Ordnung #P(f)(k) berechnet werden, die nach Satz 5.10 der Quotient aus der Ordnung von J(C)(k) und der Ordnung von E(k) ist. Weiter muss eine Primfaktorzerlegung vorgenommen werden. Notwendig ist, dass die Ordnung der Gruppe einen Primfaktor 2¹⁶⁰ hat.
Wir behandeln dazu ein Beispiel. Als Grundkörper wählen wir k :=
Die Körperelemente werden mit
bezeichnet, wie in Magma üblich. Wir betrachten die Kurve C_(λμα) mit λ = k.1¹⁰⁹, μ = k.1⁶⁵, α = k.1¹⁵. Wir berechnen
und erhalten daraus
In diesem Fall ist der größte Primfaktor von #P(f)(k) hinreichend groß. Er ist gleichzeitig der mit Abstand größte Primfaktor von #J(C)(k), so dass die Jacobische in diesem Fall keine größere Sicherheit bieten könnte als die Prym-Varietät.
In einer solchen Situation besteht auch die Möglichkeit, die Untergruppe von der Ordnung des einzigen großen Faktors anstatt die ganze Jacobische zu verwenden, also bei vergleichbarer Sicherheit mit einem deutlich kleineren Objekt zu arbeiten. Im letzten Beispiel wäre die Unterruppe von
von der Ordgnung 72370055773322622142155043224669792730547782451079640846 86566502278975047543 ≥ 2¹⁶⁰ geeignet. Die Prym-Varietät zu verwenden würde in diesem Fall keine Vorteile gegenüber dieser Untergruppe bringen, da der kleine Faktor 2⁶ die Sicherheit nicht erhöht.
Denkbar ist aber auch eine Prym-Varietät, deren Ordnung mindestens zwei Primfaktoren ≥ 2¹⁶⁰ besitzt und nicht viele kleine. Eine solche Prym-Varietät hätte gegenüber den Untergruppen von großer Ordnung den Vorteil größerer Sicherheit und wäre trotzdem kleiner als die Jacobische. Diese Situation ist im folgenden Beispiel gegeben.
Wir wählen die Kurve C_(λμα) mit λ = k.1¹⁷, μ = k.1¹³¹, α = 1⁶⁰ über dem Körper
und berechnen
und
Daraus folgt
9. BEISPIELE FÜR ORDNUNGEN VON PRYM-VARIETÄTEN
9.1. Ungerade Charakteristik. Sei k ein endlicher Körper der Charakteristik 2. Wir betrachten wieder die Schar hyperelliptischer Kurven C_(λμv) über k mit affinen Gleichungen
mit 0, 1, λ, μ, v ∈ k paarweise verschieden, und zu jeder dieser Kurven den Morphismus
wobei E_(λμv) eine elliptische Kurve mit affiner Gleichung
ist. Sei P(f) die Prym-Varietät von f. Über allen Korper
mit p prim und ≠ 2, n ∈ N, pⁿ ≤ 107 haben wir die Ordnungen der Jacobischen der Kurven C_(λμv) berechnet, sowie die Ordnungen der zugehörigen elliptische Kurven E_(λμv) und daraus die Ordnungen der Gruppen der rationalen Punkte der Prym-Varietäten P(f). Zur Berechnung wurde der Algorithmus prym1 aus 6.2. verwendet. Aus Platzgründen können nur einige ausgewählte Beispiele angegeben werden. Die Tabellen 5 bis 8 zeigen den Körper F₁₁. In den Tabellen 9 bis 14 sind die entsprechenden Ordnungen für den Körper F₁₃ zu sehen. Beispiele über größeren Körpern sind in den Tabellen 15 bis 17 zu finden, berechnet mit Hilfe des Algorithmus prym2. In diesen Tabellen ist auch die Primfaktorzerlegung mit angegeben.
Sei
mit
und
für 0, 1, λ, μ, v ∊ F₁₁ paarweise verschieden. TABELLE 6. Der Körper k := F₁₁
TABELLE 7. Der Körper k := F₁₁

mit
und
für 0, 1, λ, μ, v ∊ F₁₁ paarweise verschieden. TABELLE 8. Der Körper k := F₁₁

mit
und
für 0, 1, λ, μ, v ∊ F_k paarweise verschieden. TABELLE 9. Der Körper k := F₁₁
TABELLE 10. Der Körper k := F₁₃

mit
und
für 0, 1, λ, μ, v ∊ F₁₃ paarweise verschieden. TABELLE 11. Der Körper F₁₃
TABELLE 12. Der Körper F₁₃

mit
und
für 0, 1, λ, μ, v ∊ F₁₃ paarweise verschieden. TABELLE 13. Der Körper F₁₃
TABELLE 14. Der Körper F₁₃

mit
und
für 0, 1, λ, μ, v ∊ F₁₃ paarweise verschieden. TABELLE 15. Der Körper F₁₃
TABELLE 16. Der Körper F₁₃

mit
und
für 0, 1, λ, μ, v ∊ F_q paarweise verschieden. TABELLE 17. Faktorisierung von #J(C)(k) und #P(f)(k)
TABELLE 18. Faktorisierung von #J(C)(k) und #P(f)(k)
Sei
mit
und
für 0, 1, λ, μ, v ∊ F_q paarweise verschieden. TABELLE 19. Faktorisierung von #J(C)(k) und #P(f)(k)
TABELLE 20. Faktorisierung von #J(C)(k) und #P(f)(k)
9.2. Charakteristik 2. Sei C_(λμα) eine Schar hyperelliptischer Kurven über einem Körper
mit affinen Gleichungen
mit
eine Schar elliptischer Kurven, gegeben durch Gleichungen
Wir betrachten die Morphismen
und berechnen die Ordnungen der Gruppen der rationalen Punkte von Prym-Varietäten P(f) solcher Morphismen. Verwendet wird dazu der Algorithmus 7.27. In Charakteristik 2 ist die Berechnung der Ordnung der Jacobischen bei weitem nicht so zeitintensiv wie über Körpern der Charakteristik ≠ 2, weshalb wir hier zum Teil über wesentlich größeren Körpern gearbeitet haben. Die Elemente eines endlichen Körpers k der Charakteristik 2 mit 2^q Elementen werden wieder mit
bezeichnet.
In den Tabellen 18 bis 30 sind ausgewählte Beispiele von Ordnungen #P(f)(k) einschließlich ihrer Primfaktorzerlegung sowie, bis auf Tabelle 30, derjenigen der zugehörigen Jacobischen angegeben. In den Tabellen 23 bis 30 finden sich diejenigen Ordnungen, die einen Primfaktor > 2¹⁶⁰ haben. Die Tabellen 31 bis 37 zeigen Beispiele über sehr großen Körpern, für welche wegen des Rechenaufwandes keine Faktorisierung durchgeführt wurde. Sei
mit
und
für
TABELLE 21. Faktorisierung von #J(C)(k) und #P(f)(k)
TABELLE 22. Faktorisierung von #J(C)(k) und #P(f)(k)
Sei
mit
und
für
TABELLE 23. Faktorisierung von #J(C)(k) und #P(f)(k)
Sei
TABELLE 24. Faktorisierung von #J(C)(k) und #P(f)(k)
Sei
mit
und
für
TABELLE 25. Faktorisierung von #J(C)(k) und #P(f)(k)
TABELLE 26. Faktorisierung von #J(C)(k) und #P(f)(k)

mit
und
für
TABELLE 27. Faktorisierung von #P(f)(k)

mit
TABELLE 28. Faktorisierung von #P(f)(k)

mit
und
für
TABELLE 29. Faktorisierung von #P(f)(k)

mit
TABELLE 30. Faktorisierung von #P(f)(k)

mit
und
für
TABELLE 31. Faktorisierung von #P(f)(k)

TABELLE 32. Faktorisierung von #P(f)(k)

mit
und
für
TABELLE 33. Faktorisierung von #P(f)(k)

TABELLE 34. Faktorisierung von #P(f)(k)

mit
und
für
TABELLE 35. Große Körper
TABELLE 36. Große Körper

mit
und
für
TABELLE 37. Große Körper

mit
und
für
TABELLE 38. Große Körper

mit
und
für
TABELLE 39. Große Körper

mit
und
für
TABELLE 40. Große Körper

mit
und
für
TABELLE 41. Große Körper
Im Folgenden wird ferner ein Verfahren zur Auswahl eines Divisors aus einer Gruppe von rationalen Punkten einer Prym-Varietät im Detail beschrieben.
10. AUSWAHL EINES ELEMENTES AUS DER GRUPPE DER RATIONALEN PUNKTE EINER PRYM-VARIETÄT P(f) ÜBER k
Wir schlagen zwei Methoden zur Auswahl eines über k definierten Divisors aus P(f) vor. Für beide Methoden grundlegend ist der Algorithmus von Koblitz.
10.1. Koblitz-Algorithmus. Der folgende Algorithmus beschreibt das Generieren eines zufälligen Elementes der Gruppe J(C)(k) für die Jacobische Varietät J(C) einer hyperelliptischen Kurve C vom Geschlecht g über einem endlichen Körper k. Die Methode wurde veröffentlicht in N. Koblitz, Hyperelliptic Cryptosystems, Journal of Cryptology 1989, p. 139–150.
Sei
mit q Prim, n ∈ N. Die Aufgabe, zufällig einen über k definierten Divisor vom Grad 0 auf C, also ein Element aus
auszuwählen, wird zurückgeführt auf das Finden eines zufälligen Punktes P auf C mit Koordinaten in
mit dessen Hilfe der Divisor erzeugt wird.
Der gesuchte Divisor soll die Gestalt
besitzen mit m_i ≥ 0 und Σm_i ≤ g. Dies wird erreicht, indem man für diejenigen natürlichen Zahlen l, die ≤ g sind, die Galoisgruppen
betrachtet und die Summe
berechnet. Dabei ist P der schon zufällig ausgewählte Punkt der Kurve. Diese Auswahl geschieht wie folgt:
wir dürfen ohne Beschränkung der Allgemeinheit annehmen, dass n = 1 ist, also k = F_q. Die Kurve C habe die Gleichung
Wir wählen zufällig eine Koordinate u = x ∈ F_q und versuchen, die Gleichung
für v zu lösen. Dazu betrachten wir zwei Fälle:
Fall 1: q ist ungerade. In diesem Fall ist h = 0 und das Problem besteht darin, eine Wurzel in einem endlichen Körper zu ziehen. Die Wahrscheinlichkeit für die Existenz einer Lösung v = y liegt etwa bei 0.5, in welchem Fall sie etwa durch die Methode von Shanks (s. N. Koblitz, A Course in Number Theory and Cryptography, Springer-Verlag, New-York, 1984, p. 47–48) gefunden werden kann. Existiert keine Lösung, versuchen wir es mit einem neuen zufälligen u = x ∈ F_q.
Fall 2: q ist gerade. In diesem Fall ist h(x) ≠ 0. Mit z := v/h(x) erhalten wir die Gleichung
mit a = f (x)/h(x)². Diese Gleichung hat eine Lösung im Fall, dass die Spur
ist und keine Lösung, falls die Spur 1 ist. Im letzteren Fall starten wir mit neuem u = x ∈ F_q von neuem. Im ersteren Fall kann z wie folgt gefunden werden:
ist q = 2ⁿ eine ungerade Potenz von 2, so setzen wir
Ist n gerade, so wählen wir in γ, so dass
ist. Dann setzen wir
für j = 1, 2, ..., n und nehmen am Ende
Der Prozess für gerades n stammt aus R. Lidl and H. Niederreiter, Finite Fields, Addison-Wesley, Reading, MA, 1983, p. 80.
10.2. Methode 1. Seien jetzt die hyperelliptische Kurve C, die elliptische Kurve E und der Morphismus f: C → E wie in der Dissertation. In diesem Fall ist die Prym-Varietät P(f) charakterisiert als Kern der Normabbildung N_f: J(C) → F. Um ein Element aus P(f)(k) auszuwählen, erzeugt man zunächst mit dem Koblitz-Algorithmus ein zufälliges Element aus J(C)(k) und testet dann mit Hilfe der Normabbildung N_f, ob das Element aus der Prym-Varietät stammt. Falls ja ist man fertig, falls nicht, erzeugt man mit dem Koblitz-Algorithmus ein neues Element.
10.3. Methode 2. Eine andere Möglichkeit ist die folgende: die Ordnung #P(f)(k) wurde ja bereits gemäß der Formel
berechnet und eine Primfaktorzerlegung vorgenommen und die Prym-Varietät für kryptologisch sicher und effizient befunden. Sei
die Primfaktorzerlegung, wobei die p_i nicht alle verschieden sein müssen. Wir wissen, dass P(f)(k) Untergruppen von J(C)(k) mit den Ordnungen p₁, ..., p_m enthält. Wir wählen eine Untergruppe aus und erzeugen in dieser Untergruppe einen Divisor. Am besten funktioniert das, wenn wir eine Untergruppe von sehr großer Ordnung oder gleich die Untergruppe der größten Ordnung nehmen. Diese Ordnung sei ohne Beschränkung der Allgemeinheit gleich p₁.
Fall 1: der Primfaktor p₁ kommt auch in #J(C)(k) nicht in höherer Potenz vor als in #P(f)(k). Wir wählen mit dem Algorithmus von Koblitz zufällig ein Element D ∈ J(C)(k) aus. Sei D₀ der Nulldivisor. Die Chance ist groß, dass die Ordnung ord(D) von D (also die kleinste natürlich Zahl m mit mD linear äquivalent zu D₀) annähernd #J(C)(k) ist. Da p₁ ein sehr großer bzw. sogar der größte Primteiler von #J(C)(k) ist, ist es sehr wahrscheinlich, dass p₁ auch ein Teiler von ord(D) ist. Wenn das zutrifft, hat
die Ordnung p₁ wegen
Damit erzeugt
eine zyklische Untergrppe der Ordnung p₁, nämlich die Gruppe
von J(C)(k) und insbesondere P(f)(k). Aus dieser Gruppe kann man jetzt ein Element generieren: man wählt zufällig ein i ∈ {0, ..., p – 1} und berechnet
Fall 2: der Primfaktor p₁ kommt in #J(C)(k) in höherer Potenz vor als in #P(f)(k). Möchten wir in einer Untergruppe der Ordnung p₁ arbeiten, so landen wir mit obiger Methode nicht sicher in der Prym-Varietät, sondern möglicherweise außerhalb der Prym-Varietät in einer Untergruppe von J(C)(k) von der Ordnung p₁. Wir müssen dann noch mit der Normabbildung f das Ergebnis prüfen und gegebenenfalls von vorne beginnen.
Alternativ kann natürlich die Methode 1 für einen anderen Primfaktor als p₁ angewendet werden. Ist er deutlich kleiner, ist die Methode allerdings nicht so effizient. Kommen alle Primfaktoren von #P(f)(k) in #J(C)(k) in höherer Potenz vor, so führt an einer Prüfung über N_f kein Weg vorbei.
Insbesondere wird darauf hingewiesen, dass abhängig von den Gegebenheiten das erfindungsgemäße Schema auch in Software implementiert sein kann. Die Implementation kann auf einem digitalen Speichermedium, insbesondere einer Diskette oder einer CD mit elektronisch auslesbaren Steuersignalen erfolgen, die so mit einem programmierbaren Computersystem zusammenwirken können, dass das entsprechende Verfahren ausgeführt wird. Allgemein besteht die Erfindung somit auch in einem Computerprogrammprodukt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode zur Durchführung des erfindungsgemäßen Verfahrens, wenn das Computerprogrammprodukt auf einem Rechner abläuft. In anderen Worten ausgedrückt kann die Erfindung somit als ein Computerprogramm mit einem Programmcode zur Durchführung des Verfahrens realisiert werden, wenn das Computerprogrammprodukt auf einem Computer abläuft.
Literatur

[1] L. M. Adleman, J. DeMarrais and M.-D. Huang, A subexponential algorithm for discrete logarithms over the rational subgroup of the jacobians of large genus hyperelliptic curves over finite fields, Proceedings of the 1994 Algorithmic Number Theory Symposium, Editoren L. M. Adleman und M.-D. Huang, Springer Verlag, LNCS 877, 1994, 28–40.
[2] L. M. Adleman, J. DeMarrais, A subexponential algorithm for discrete logarithms over all finite fields, Mathematics of Computation 61, 1993, 1–15.
[3] M. Bauer, A subexponential algorithm for solving the discrete logarithm problem in the Jacobian of high genus hyperelliptic curves over arbitrary finite fields, Preprint, 1999.
[4] I. Blake, G. Seroussi, N. Smart, Elliptic Curves in Cryptography, Cambridge University Press, 1999.
[5] S. Bosch, Algebra, Springer-Verlag 2001.
[6] D. Cantor, Computing in the Jacobian of a Hyperelliptic Curve, Mathematics of Computation vol. 48, 1987, 95–101.
[7] D. Cox, J. Little, D. O'Shea, Ideals, Varieties and Algorithms, Springer 1997.
[8] I. M. Duursma, P. Gaudry, and F. Morain, Speeding up the discrete log computation on curves with automorphisms, in ASIACRYPT'99, vol. 1716 of Lecture Notes on Computer Science, Springer, 1999, 103–121.
[9] T. ElGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Transactions on Information Theory 31, 1985, 469–472.
[10] A. Enge, Hyperelliptic Cryptosystems, BoD GmbH Norderstedt, 2001.
[11] G. Frey, H-G. Rück, A remark concerning m-divisibility and the discrete logarithm in the divisor class group of curves, Mathematics of computation vol. 62, number 206, april 1994, 865–874.
[12] S. Galbraith, Supersingular curves in cryptography, in: Advances in Cryptology, ASIACRYPT 2001, LNCS vol. 2248, Springer Berlin, 2001, 495–513.
[13] P. Gaudry, An algorithm for solving the discrete log problem on hyperelliptic curves, in: EUROCRYPT 2000, LNCS vol. 1807, Springer, 2000, 19–34.
[14] N. Göb, Automorphism Groups of Hyperelliptic Function Fields, Dissertation, Kaiserslautern 2004, erhältlich auf http://kluedo.ub.uni-kl.de/volltexte/2004/1719/pdf/diss.pdf
[15] R. Hartshorne, Algebraic Geometry, Springer, 1977.
[16] N. Koblitz, Hyperelliptic Cryptosystems, Journal of Cryptology 1989, 139–150.
[17] M. Lacroix, Using hyperelliptic curves with easily computable automorphisms for cryptographic purposes.
[18] S. Lang, Algebraic groups over finite fields, American Journal of Mathematics 78, 1956, 555-563.
[19] S. Lang, Algebra, Addison-Wesley, 1993.
[20] H. Lange, Ch. Birkenhake, Complex Abelian Varieties, Springer, 1996.
[21] M. Menezes, Y. Wu, R. Zuccherato, An Elementary Introduction to Hyperelliptic Curves, In: Koblitz, N., Algebraic Aspects of Cryptography, Springer-Verlag Berlin-Heidelberg, 1998.
[22] A. J. Menezes, T. Okamoto, S. A. Vanstone, Reducing elliptic curve logarithms to logarithms in a finite field, IEEE Trans. Info. Theory 39, 1639–1646, 1993.
[23] J. S. Milne, Abelian Varieties, in G. Cornell und J. H. Silverman, Editoren, Arithmetic Geometry, Springer-Verlag, 1986.
[24] J. S. Milne, Jacobian Varieties, in G. Cornell und J. H. Silverman, Editoren, Arithmetic Geometry, Springer-Verlag, 1986.
[25] D. Mumford, Abelian Varieties, Oxford University Press, 1974.
[26] D. Mumford, On the equations Defining Abelian Varieties I, Inventiones mathematicae 1, 1966, 287–354.
[27] D. Mumford, Tata Lectures an Theta II, Birkhäuser, Boston, 1984.
[28] A. M. Odlyzko, Discrete logarithms in finite fields and their cryptographic significance, Advances in Cryptology: Proceedings of Eurocrypt 84, Springer-Verlag, New York, 1985, 224–314.
[29] J. M. Pollard, A Monte Carlo method for Factorization, BIT 15, 1975, 331–334.
[30] M. Rosen, Number Theory in Function Fields, Springer-Verlag New York, 2002.
[31] H.-G. Rock, On the discrete logarithm in the divisor class group of curves, Mathematics of computation 68, 1999, 805–806.
[32] Y. Sakai, K. Sakurai, H. Ishizuka, Secure hyperelliptic cryptosystems and their performance, Lecture Notes in Computer Science 1431, 1998, 164–181.
[33] F. K. Schmidt, Analytische Zahlentheorie in Körpern der Charakteristik p, Mathematische Zeitschrift 33, 1931, erhältlich unter: http://www-gdz.sub.uni-goettingen.de/cgi-bin/digbib.cgi? PPN2668330200033.
[34] I. A. Semaev, Evaluation of discrete logarithms in a group of p-torsion points of an elliptic curve in characteristic p, Mathematics of computation 67, 1998, 353–356.
[35] J. P. Serre, Galois Cohomology, Springer Verlag, New York, 1964.
[36] J. P. Serre, Groupes algébriques et corps de classes, Hermann Paris, 1959.
[37] J. P. Serre, Corps Iocaux, Hermann Paris, 1968.
[38] L. R. Shafarevich, Basic Algebraic Geometry 1, Springer-Verlag, 1994.
[39] I. R. Shafarevich, Basic Algebraic Geometry 2, Springer-Verlag, 1994.
[40] V. J. Danilcov, V. V. Shokurov, Algebraic curves, agebraic manifolds and schemes, Springer, 1998.
[41] J. H. Silverman, The Arithmetic of Elliptic Curves, Springer-Verlag, 1986.
[42] A. Skorobogatov, Torsors and rational points, Cambridge University Press, 2001.
[43] H. Stichtenoth, Algebraic Function Fields and Codes, Springer, 1993.
[44] J. Tate, Galois Cohomology, LAS/Park City Mathematics Series vol. 9, 2001, 467–479.
[45] A. Weil, Courbes algébriques et variétés abeliennes, Hermann, Paris, 1971.

Bezugszeichenliste

100: Vorrichtung zum Überprüfen
110: erste Einrichtung zum Bestimmen
120: zweite Einrichtung zum Bestimmen
130: dritte Einrichtung zum Bestimmen
140: vierte Einrichtung zum Bestimmen
200: Vorrichtung zum Erzeugen
210: erste Einrichtung zum Bestimmen
220: zweite Einrichtung zum Bestimmen
230: dritte Einrichtung zum Bestimmen
240: vierte Einrichtung zum Bestimmen
250: fünfte Einrichtung zum Ermitteln
300: Vorrichtung zum zufälligen Auswählen

Claims

Vorrichtung (100) zum Überprüfen einer Güte einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät P(f) einer hyperelliptischen Kurve C über einem endlichen Körper k, mit folgenden Merkmalen einer ersten Einrichtung (110) zum Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten der Jacobischen Varietät J(C); einer zweiten Einrichtung (120) zum Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört; einer dritten Einrichtung (130) zum Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) einer Gruppe von rationalen Punkten einer Prym-Varietät der Abbildung f zu erhalten; und einer vierten Einrichtung (140) zum Bestimmen, ob ein Primfaktor einer Primfaktorenzerlegung der Ordnung #P(f)(k) eine vorbestimmte Bedingung erfüllt, um die Güte der Schlüsselerzeugungsvarietät P(f) zu erhalten.
Vorrichtung (100) gemäß Anspruch 1, wobei der Körper k definiert ist als F_q mit q = pⁿ, wobei p eine Primzahl ist und n aus der Menge der natürlichen Zahlen stammt.
Vorrichtung (100) gemäß Anspruch 2, mit p = 2 und n > 179.
Vorrichtung (100) gemäß einem der Ansprüche 1 bis 3, bei der die vierte Einrichtung (140) ausgebildet ist, um als vorbestimmte Bedingung zu prüfen, ob zumindest ein Primfaktor der Primfaktorenzerlegung der Ordnung #P(Y)(k) größer als ein vorbestimmter Wert ist.
Vorrichtung (100) gemäß Anspruch 4, wobei der vorbestimmte Wert größer oder gleich 2¹⁶⁰ ist.
Verfahren zum Überprüfen einer Güte einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät P(f), mit folgenden Schritten Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten einer Jacobischen Varietät J(C) einer hyperelliptischen Kurve C über einem endlichen Körper k; Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört; Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) einer Gruppe von rationalen Punkten einer Prym-Varietät der Abbildung f zu erhalten; und Bestimmen, ob ein Primfaktor einer Primfaktorenzerlegung der Ordnung #P(Y)(k) eine vorbestimmte Bedingung erfüllt, um die Güte der Schlüsselerzeugungsvarietät P(f) zu erhalten.
Computerprogramm mit einem Programmcode zur Durchführung der Verfahrens nach Anspruch 6, wenn der Programmcode auf einem Computer ausgeführt wird.
Vorrichtung (200) zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät P(f), mit folgenden Merkmalen einer ersten Einrichtung (210) zum Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten einer Jacobischen Varietät J(C) einer hyperelliptischen Kurve C über einem endlichen Körper k; einer zweiten Einrichtung (220) zum Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k, wobei die elliptische Kurve E diejenige Kurve ist, die zum Fixkörper L einer Involution s der hyperelliptischen Kurve C gehört, und auf welche C von einem Morphismus f abgebildet wird, der zu der Inklusion L ⊆ k(C) gehört; einer dritten Einrichtung (230) zum Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung #P(f)(k) einer Prym-Varietät der Abbildung f zu erhalten, die einem Kern einer Abbildung N_f der Jacobischen Varietät J(C) auf die elliptische Kurve E entspricht; einer vierten Einrichtung (240) zum Bestimmen, ob ein Primfaktor einer Primfaktorenzerlegung der Ordnung P(f)(k) eine vorbestimmte Bedingung erfüllt; und einer fünften Einrichtung (250) zum Ermitteln der Gruppe von rationalen Punkten der Prym-Varietät P(f) als der Schlüsselerzeugungsvarietät aus der Jacobischen Varietät J(C), falls die vorbestimmte Bedingung erfüllt ist.
Vorrichtung (200) gemäß Anspruch 8, wobei der Körper k definiert ist als F_q mit q = pⁿ, wobei p eine Primzahl ist und n aus der Menge der natürlichen Zahlen stammen.
Vorrichtung (200) gemäß Anspruch 9, mit p = 2 und n > 179.
Vorrichtung (200) gemäß einem der Ansprüche 8 bis 10, bei der die dritte Einrichtung (230) ausgebildet ist, um #P(f)(k) = #J(C)(k):#E(k) zu bestimmen.
Vorrichtung (200) gemäß einem der Ansprüche 8 bis 11, bei der die vierte Einrichtung (240) ausgebildet ist, um als vorbestimmte Bedingung zu prüfen, ob zumindest ein Primfaktor der Primfaktorzerlegung der Ordnung #P(f)(k) größer als ein vorbestimmter Wert ist.
Vorrichtung (200) gemäß Anspruch 12, wobei der vorbestimmte Wert größer oder gleich 2¹⁶⁰ ist.
Verfahren zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät P(f), mit folgenden Schritten Bestimmen einer Ordnung #J(C)(k) einer Gruppe von rationalen Punkten einer Jacobischen Varietät J(C) einer hyperelliptischen Kurve C über einem endlichen Körper k; Bestimmen einer Ordnung #E(k) einer Gruppe von rationalen Punkten einer elliptischen Kurve E über dem endlichen Körper k, wobei die elliptische Kurve E durch diejenige Abbildung f aus der hyperelliptischen Kurve C hervorgeht, die zu der Inklusion eines Fixkörpers einer Involution der hyperelliptischen Kurve C in einen Funktionenkörper k(c) gehört; Bestimmen einer Division der Ordnung #J(C)(k) der Gruppe von rationalen Punkten der Jacobischen Varietät J(C) und der Ordnung #E(k) der Gruppe von rationalen Punkten der elliptischen Kurve E, um eine Ordnung P(f)(k) der Gruppe der rationalen Punkte einer Prym-Varietät der Abbildung f zu erhalten, die dem Kern einer Abbildung N_f der Jacobischen Varietät J(C) auf die elliptische Kurve E entspricht; Bestimmen, ob ein Primfaktor einer Primfaktorenzerlegung der Ordnung #P(Y)(k) eine vorbestimmte Bedingung erfüllt; und Ermitteln der Gruppe von rationalen Punkten der Prym-Varietät P(f) als der Schlüsselerzeugungsvarietät aus der Jacobischen Varietät J(C), falls die vorbestimmte Bedingung erfüllt ist.
Computerprogramm mit einem Programmcode zur Durchführung des Verfahrens nach Anspruch 14, wenn der Programmcode auf einem Computer ausgeführt wird.
Vorrichtung zum zufälligen Auswählen eines Divisors für eine asymmetrische Verschlüsselung, wobei die Vorrichtung ausgebildet ist, um die Auswahl aus einer Gruppe von rationalen Punkten einer Prym-Varietät zu treffen, wobei die Prym-Varietät auf einer Abbildung von einer hyperelliptischen Kurve in eine elliptische Kurve basiert, wobei die Gruppe von rationalen Punkten einer Prym-Varietät mittels eines Verfahrens nach Anspruch 14 erzeugt wurde.
Vorrichtung gemäß Anspruch 16, bei der die Prym-Varietät auf einem Morphismus von einer hyperelliptischen Kurve in eine elliptische Kurve basiert.
Verfahren zum zufälligen Auswählen eines Divisors für eine asymmetrische Verschlüsselung, wobei das Verfahren einen Schritt des Auswählens aus einer Gruppe von rationalen Punkten einer Prym-Varietät aufweist, wobei die Prym-Varietät auf einer Abbildung von einer hyperelliptischen Kurve in eine elliptische Kurve basiert, wobei die Gruppe von rationalen Punkten einer Prym-Varietät mittels eines Verfahrens nach Anspruch 14 erzeugt wurde.
Computerprogramm mit einem Programmcode zur Durchführung des Verfahrens gemäß Anspruch 18, wenn der Programmcode auf einem Computer ausgeführt wird.