椭圆曲线的 Hasse 界-526互联

$\DeclareMathOperator{\ch}{char}$

对于系数在 $\mathbb F_q$ 上的椭圆曲线 $E$, 当然我们说椭圆曲线一般来说是讨论的在整个 $\overline{\mathbb F_q}$ 上的曲线. Hasse 界说的是 $E$ 的 $\mathbb F_q$-有理点数量 $\# E(\mathbb F_q)$ 的一个控制: $|q + 1 - \# E(\mathbb F_q)| \leq 2\sqrt{q}$.

本篇的主要目的是勾勒涉及的顶层结构, 一些结论的证明可能有所略去. (主要原因是我太菜)

除子

考虑一个代数闭域 $K$, 对于 $K$ 上的有理函数 $f\in K(X)$, 我们总可以将分子分母完全作因子分解, 得到 $f(X) = c\prod_i (X - x_i)^{n_i}$, 其中 $n_i$ 可以是正的也可以是负的. 此时我们就可以称 $f$ 在 $x_i$ 处的阶 $\operatorname{ord}_{x_i}(f)$ 为 $n_i$, 其他点处的阶都是 $0$. 哦对, 还有就是在 $\infty$ 处的阶, 也就是按照 $1/x$ 的形式展开, 所以对于 $f = p/q$ 来说阶是 $-(\deg p - \deg q)$, 我们整理一下可以发现加上无穷远点的话就有

\[\sum_{P \in \mathbb P^1(K)} \operatorname{ord}_P (f) = 0. \]

反过来, 如果我们给定了 $\mathbb P^1(K)$ 上有限个点规定它们的非零阶数 $n_i$, 我们也能直接根据 $\prod_i (X - x_i)^{n_i}$ 构造出一个有理函数满足这些条件. 而且自由度只有乘以一个非零常数的余地.

现在考虑 $K$ 上的一条不可约的, 光滑的, 射影曲线 $C$, 将其上的函数域 $K(C)$ (也即 $K[X,Y]/I(C)$ 的分式域) 当做有理函数的地位, 我们仍然希望讨论有理函数与它在曲线上的点的阶数的对应关系.

这个时候对于对应关系的限制的具体写法其实就是所谓的除子 (divisor): $\operatorname{Div}(C)$ 就是一个形式和 $D = \sum_P n_P [P]$, 其中 $n_P\in \mathbb Z$, 且只有有限个 $P$ 来说非零. 也就是 $C$ 的点集上的自由交换群.

记 $\deg D = \sum_P n_P$, 第一件可以证明的事情是如果一个除子可以实现为某个函数 $f$ 的阶数 $D = \operatorname{Div}(f) = \sum_P \operatorname{ord}_P(f) [P]$, 那么一定有 $\deg D = 0$.

遗憾的是, 这并不是充要条件. 我们还需要外加一个条件. 可以证明如下事实:

定理. 对于椭圆曲线 $E$ 上的有理函数 $f$, 满足
$\deg \operatorname{Div}(f) = 0$, 且

\[\operatorname{sum} \operatorname{Div}(f) = \sum_P n_P P = \infty, \]
其中加法按照 $E$ 被赋予的以无穷元点为单位元的加法群结构理解.
相反地, 如果 $D$ 满足 $\deg D = 0$ 且 $\operatorname{sum} D = \infty$, 那么存在 $f$ 使得 $D = \operatorname{Div}(f)$, 且解空间由 $\{cf : c\neq 0\}$ 构成.

这是我们接下来需要用到的对于有理函数的基本刻画.

挠点

记 $E[n]$ 为椭圆曲线 $E(K)$ 上的 $n$ 阶挠点 (torsion point) ($nP = \infty$), 可以证明, $P \mapsto nP$ 这个变换可以写成一个次数为 $n^2$ 的有理函数, 称为可除多项式 (division polynomial). 进一步地, 可以证明当 $\ch K \nmid n$ 的时候, 有 $\#E[n] = n^2$. (这里还是有点非平凡的, 需要讨论可除多项式的可分性, 对域扩张做一定的讨论, 但是我们先略过.)

那么当 $n$ 是不同于 $\ch K$ 的素数 $p$ 的时候, 我们有 $\# E[p] = p^2$, 由于 $E[p]$ 是个交换群, 每个元素的阶又最多是 $p$, 根据有限交换群结构定理, 一定有 $E[p] \cong (\mathbb Z/p \mathbb Z)^2$.

进一步地, 可以根据有限交换群的结构得到, 当 $\ch K \nmid n$, 有 $E[n] \cong (\mathbb Z/n \mathbb Z)^2$.

Weil 配对

Weil 配对 (Weil pairing) 是一个相当有趣的结构, 它首先是一个双线性型 $e\colon E[n] \times E[n] \to \mu_n$, 其中 $\mu_n$ 是 $K$ 里的 $n$ 次单位根. 其次他还满足一系列性质.

现在考虑满足 $\ch K \nmid n$ 的 $n$, 取 $T\in E[n]$, 根据前述充要条件, 存在有理函数 $f$ 满足其除子为 $\operatorname{Div}(f) = n[T] - n[\infty]$.

根据挠点的结构定理, 我们可以继续选出 $n$ 个 $nT' = T$, 考虑除子

\[\sum_{nT' = T} [T'] - \sum_{R \in E[n]} [R], \]

它可以任取一个固定的 $T'$ 之后写作

\[\sum_{R\in E[n]} ([T'+R] - [R]), \]

因此显然满足 Div 和 sum 是零, 设为某个有理函数 $g$ 的除子.

考虑有理函数 $f\circ n$, 也即 $(f\circ n)(P) = f(nP)$, 那么 $f$ 在一个位置的重数就对应于 $f\circ n$ 的 $n$ 重数 (这里也有一点 gap, 严格说明这一点也需要一定的功夫), 所以

\[\operatorname{Div}(f\circ n) = n\left( \sum_{nT'=T} [T'] \right) - n\left( \sum_{nR=\infty} [R] \right) = n \operatorname{Div}(g). \]

注意 $n\operatorname{Div}(g) = \operatorname{Div}(g^n)$, 我们因此可以将 $f$ 乘以适当的倍数, 不妨设 $g(P)^n = f(nP)$.

现在考虑取 $S\in E[n]$, 就有 $g(S+P)^n = f(n(S+P)) = f(nP) = g(P)^n$, 那么 $(g(S+P)/g(P))^n = 1$ 具有平凡除子, 说明 $g(S+P)/g(P)$ 也只是个常函数, 而且 $g(S+P)/g(P) \in \mu_n$.

注意我们的选取过程中可能的 $g$ 会差一个常数项, 但是 $g(S+P)/g(P)$ 又把这个常数抵消了, 所以最后的得数无关于 $g$ 的选取, 我们将其定义为 $e(S, T)$ 的值.

接下来我们证明这个 $e(\cdot, \cdot)$ 的基本性质.

首先是关于 $S$ 线性, 也即 $e(S_1+S_2, T) = e(S_1,T) e(S_2, T)$.

证明. $$\frac{g(S_1+S_2+P)}{g(P)} = \frac{g(S_1+S_2+P)}{g(S_1+P)} \cdot \frac{g(S_1+P)}{g(P)} = e(S_2,T) e(S_1, T). \square $$

其次是关于 $T$ 线性, 也即 $e(S, T_1 + T_2) = e(S,T_1) e(S, T_2)$.

证明. 对于 $T_1 + T_2 = T_3$, 设对应的构造出来的函数 $f$ 分别为 $f_1,f_2,f_3$, 那么

\[\operatorname{Div}(f_1f_2/f_3) = n([T_1]+[T_2]-[T_3] - [\infty]), \]

记 $h$ 是满足 $\operatorname{Div}(h)=[T_1]+[T_2]-[T_3] - [\infty]$ 的一个函数, 那么有 $f_1f_2=f_3 \cdot h^n$, 进而 $g_1g_2 = \zeta g_3 \cdot (h\circ n)$, 进而带入 $e(S, T)$ 的定义可以得到 $e(S,T_3) = e(S,T_1) e(S, T_2)$. $\square$

第三个性质是反对称性, 即 $e(T, T)=1$.

证明. 从 $\operatorname{Div}(f) = n([T]-[\infty])$ 出发, 考虑 $(f\circ \tau_{jT})\colon P \mapsto f(P+jT)$ 这个函数, 它的除子对应的是反向的位移, 也就是 $n([(1-j)T] - [-jT])$, 所以

\[\operatorname{Div}\left(\prod_{j=0}^{n-1} f\circ \tau_{jT}\right) = \sum_{j=0}^{n-1}n([(1-j)T] - [-jT]) = 0, \]

可知 $\prod_{j=0}^{n-1} f\circ \tau_{jT}$ 是常函数. 设 $nT'=T$, 提出来一个除 $n$ 之后就得到了 $$\prod_{j=0}^{n-1} f\circ \tau_{jT'}\circ n = \prod_{j=0}^{n-1} (g\circ \tau_{jT'})^n$$
是常数, 进而 $G=\prod_{j=0}^{n-1} g\circ \tau_{jT'}$ 是常数. 然而 $g(P+T)/g(P) = G(P+T')/G(P) = 1$, 所以 $e(T,T)=1$. $\square$

第四个性质是非退化性, 如果 $e(S,T)=1$ 对所有 $S$ 都成立, 那么 $T=\infty$. 对另一个变量也类似. 这个性质的证明我们略去. 但注意它的一个直接推论是: 对于 $T_1, T_2$ 作为 $E[n]\cong (\mathbb Z/n\mathbb Z)^2$ 的一组基, 有 $e(T_1, T_2)$ 是本原单位根, 否则可以根据双线性找到一行全是平凡的.

第五个性质对于到自身的一个有理函数 $\alpha$, 且是 $E$ 自身加法群的一个自同态, 那么 $\alpha$ 会将 $E[n]$ 也映到自身, 此时有 $e(\alpha(S), \alpha(T)) = e(S,T)^{\deg \alpha}$.

Hasse 界

当 $\ch K \nmid n$ 的时候, 结构定理告诉我们 $E[n]\cong (\mathbb Z/n\mathbb Z)^2$, 我们不妨设 $T_1, T_2$ 为它的一组基. 那么 $\alpha|_{E[n]}$ 就可以写成一个 $\mathbb Z/n\mathbb Z$ 上的一个 $2\times 2$ 矩阵.

定理. $\det(\alpha|_{E[n]}) \equiv \deg(\alpha) \pmod n$.

证明. 记 $e_n$ 为 $E[n]$ 给出的 Weil 配对, 根据 Weil 配对的性质, 设 $\zeta = e_n(T_1,T_2)$, 那么 $\zeta^{\deg \alpha} = e_n(\alpha(T_1), \alpha(T_2))$, 根据反对称性和双线性, 这就等于 $\zeta^{\det(\alpha|_{E[n]})}$, 由于 $\zeta$ 是个本原单位根, 这给出同余等式. $\square$

根据这一点, 可以证明

推论. 对于保持 $E$ 加法群的有理自同态 $\alpha, \beta$, 有 $\deg(a\alpha + b\beta) = a^2 \deg \alpha + b^2 \deg \beta + ab(\det(\alpha + \beta) - \deg \alpha - \deg \beta)$.

证明. 根据前面的同余等式, 可以将 $\deg (a\alpha + b\beta)$ 的计算转为两个矩阵线性组合的行列式, 证明该同余恒等式之后, 由于对充分大的 $n$ 取模成立, 就可过渡到 $\mathbb Z$ 上的等式. $\square$

最后, 让我们考虑一个非常具体的自同构: Frobenius 自同构 $\phi_q\colon (x, y) \mapsto (x^q, y^q)$. 容易验证它确实是保持 $E$ 加法群的有理自同态, 而且它可以帮助区分出 $\overline{\mathbb F_q}$ 里的 $\mathbb F_q$.

现在取 $\alpha = \phi_q$ 和 $\beta = -1$, 我们有 $\deg(\phi_q) = 1, \deg(-1) = 1$.

由于 $\phi_q-1$ 满足可分性条件 (这里也有一点 gap, 严格说明这一点也需要一定的功夫), 有 $\deg(\phi_q - 1)$ 等于被它映到零的点数, 也就是 $\# E(\mathbb F_q)$.