### Courbes elliptiques, Ordre, Somme, Diffie-Hellman

Nous nous plaçons sur un corps fini $\mathbb{F}_p$, où $p$ est un nombre premier supérieur à 3. Cet ensemble est d'ordre $p$ (il contient $p$ éléments : $0,1,...,p-1$). Le groupe multiplicatif est d'ordre $p-1$  tout élément $x \in \mathbb{F}_p $ vérifie : $ x^{p-1} =1$.
On considère alors la courbe elliptique sur $\mathbb{F}_p$ définie par la réunion d’un point noté \infi (on dira que c'est un point à l’infini) et l’ensemble des points affines $(x, y)$ vérifiant  
$${\cal E}_{a,b} : y^2 = x^3 + ax +b$$
où $a, b \in \mathbb{F}_p$ et tels que $4a^3+27b^2 \neq 0$.
On notera ${\cal E}_{a,b}(\mathbb{F}_p)$ cette courbe.

On reprend les notations et définitions des tp précédents (en particulier pour définir la somme, le produit...). 

1. De combien de points **au maximum** est formée la courbe elliptique ?

Pour chaque valeur de x dans $\mathbb{F}_p$, il peut y avoir au plus deux valeurs de y (une paire (y,−y)) qui satisfont l'équation de la courbe.
Il y a p valeurs possibles pour x, donc au maximum 2p points affines.

En ajoutant le point à l'infini, on obtient un maximum de 2p+1 points.

La courbe elliptique définie sur un corps fini $\mathbb{F}_p$, peut avoir au maximum 2p + 1 points.

2. Pour $p=97$, déterminer le nombre de points de la courbe elliptique ${\cal E}_{5,20}(\mathbb{F}_{97})$.  
<u>***Indication***</u> On pourra simplement écrire une fonction python qui teste les couples de coordonnées vérifiant l'équation de la courbe.

In [4]:
def count_points_on_elliptic_curve(p, a, b):
    count = 0
    for x in range(p):
        for y in range(p):
            if (y**2) % p == (x**3 + a*x + b) % p:
                count += 1
    return count + 1

p = 97
a = 5
b = 20
num_points = count_points_on_elliptic_curve(p, a, b)
print(f"Le nombre de points sur la courbe elliptique est : {num_points}")

Le nombre de points sur la courbe elliptique est : 113


On rappelle que pour déterminer la somme de deux points $P(x_p,y_p)$ et $Q(x_q,y_q)$ de ${\cal E}_{a,b}(\mathbb{F}_p)$, on commence par déterminer l'intersection de la droite $(PQ)$ avec la courbe.  
La pente de la droite $(PQ)$ sera notée  $$\lambda = \frac{y_q-y_p}{x_q-q_p}$$, on rappelle également que l'équation de la droite $(PQ)$ peut s'écrire : $$ y-y_p = \lambda (x-x_p) $$.
Soit $R(x_r,y_r)$ la somme de $P$ et $Q$ ($R=P+Q$). Démontrer la formule de la somme :
$$ x_r= \lambda^2 - x_p - x_q $$
<u>***Indication***</u>  On commencera par déterminer $S(x_s,y_s)$ intersection de $(PQ)$ et de la courbe elliptique. On obtiendra alors une équation de degré trois qu'on sait factoriser (car on sait que les coordonnées de $P$, $Q$ et $S$ sont solutions de cette équation). Il suffira alors d'identifier le coefficient de $x^2$.

La pente de la droite (PQ) est $$\lambda = \frac{y_q-y_p}{x_q-q_p}$$

L'equation de la droite (PQ) : $$ y-y_p = \lambda (x-x_p) $$

Intersection avec la courbe elliptique : 
   On substitue $ y $ dans l'équation de la courbe elliptique $ y² = x³ + ax + b $
   $$ (\lambda(x-x_p)+y_p)² = x³ + ax + b $$

Equation de degré trois :
   En developpant, on obtient une équation de degré trois en $ x $ :
   $ x³ - \lambda²x^2 + $(termes en $x$ et constants)$ = 0 $

Factorisation : 
   On sait que $ x_p $ et $ x_q $ sont des racines de cette equation, donc elle peut être factorisée comme :
   $$ (x-x_p)(x-x_q)(x-x_r) = 0 $$

Identification du quotient de $x²$ :
   En comparant les coefficients de $x²$ dans les deux formes de l'équation on obtient :
   $$ x_p+x_q+x_r = \lambda² $$
   D'où :
   $$ x_r = \lambda² - x_p - x_q $$
   
La coordonée $y_r$ peut être determinée en utilisant l'équation de la droite (PQ) :
   $$ y_r = \lambda(x_r - x_p)+y_p $$

Le protocole de Diffie-Hellman utilisé sur une courbe elliptique permet à deux parties, Alice et Bob, de convenir d’un secret commun (sur un canal public).  
On utilisera à nouveau la courbe ${\cal E}_{5,20}(\mathbb{F}_{97})$ munie du point $G = (86, 63)$.  
Soit $n$ l'ordre (le nombre de points) de la courbe elliptique (déterminé précédemment).  
1. Alice et Bob s’accordent sur une courbe elliptique et un générateur $G$ (ici ${\cal E}_{5,20}(\mathbb{F}_{97})$ et $G = (86, 63)$.).
2. Secrètement, Alice et Bob choisissent respectivement  un entier
a et b  entre $1$ et $n-1$.
3. Alice communique $G_a = a · G$ à Bob, Bob communique $G_b = b · G$ à Alice.

Vérifier qu'ils peuvent choisir comme secret commun $(ab).G$. Pour cela il faut vérifier que $b.G_A= a.G_b$.

Alice calcule $S_a = a.G_b$
Bob calcule $S_b = b.G_a$
On vérifie que $S_a = S_b$

$$ S_a = a.G_b = a.(b.G) = (ab).G $$
$$ S_a = b.G_a = b.(a.G) = (ba).G $$

Donc $ S_a = S_b = (a.b).G $
Conclusion : Alice et Bob peuvent utiliser $(ab).G$ comme secret commum.

In [6]:
def somme_courbe_elliptique(P, Q, a, p):
    if P == "O":
        return Q
    if Q == "O":
        return P
    x_p, y_p = P
    x_q, y_q = Q
    if x_p == x_q and y_p != y_q:
        return "O"
    if P == Q:
        lam = (3 * x_p**2 + a) * pow(2 * y_p, -1, p) % p
    else:
        lam = (y_q - y_p) * pow(x_q - x_p, -1, p) % p
    x_r = (lam**2 - x_p - x_q) % p
    y_r = (lam * (x_p - x_r) - y_p) % p
    return (x_r, y_r)

def produit_courbe_elliptique(k, G, a, p):
    result = "O"
    for _ in range(k):
        result = somme_courbe_elliptique(result, G, a, p)
    return result

p = 97
a = 5
b = 20
G = (86, 63)

a_secret = 5
b_secret = 7

G_a = produit_courbe_elliptique(a_secret, G, a, p)
G_b = produit_courbe_elliptique(b_secret, G, a, p)

S_a = produit_courbe_elliptique(a_secret, G_b, a, p)
S_b = produit_courbe_elliptique(b_secret, G_a, a, p)

print(f"Secret commun d'Alice : {S_a}")
print(f"Secret commun de Bob : {S_b}")

Secret commun d'Alice : (52, 23)
Secret commun de Bob : (52, 23)


Montrer que la duplication $R = 2P$ d’un point $P$ de ${\cal E}_{a,b}$ conduit en
général aux formules :
$$ \lambda = \frac{3 {x_P}^2 + a}{2y_P},\quad x_R = \lambda^2 - 2 x_P\quad \text{et}\quad y_R= -y_P+\lambda(x_P-x_R)  $$
où $\lambda$ est la pente de la tangente à ${\cal E}_{a,b}$ en $P$. Que se passe-t-il si $y_P = 0$ ?



Réccrire la fonction multiplication qui prend en entrée un point $P$ d’une courbe elliptique et un scalaire $\lambda$ et renvoie le produit $\lambda·P$ en utilisant la méthode d’exponentiation rapide suivante
$$ \forall \lambda \in \mathbb{N}, \; \lambda P = 
\begin{cases}
0 & \text{si } \lambda =0 \\
P &  \text{si } \lambda =1 \\
\frac{\lambda}{2}(P+P) &\text{si } \lambda \text{ pair} \\
P + \frac{\lambda-1}{2}(P+P) &\text{si } \lambda \text{ impair} 
\end{cases}
$$