PROBL¨ME DU LOGARITHME DISCRET APPLIQU(cid:201) (cid:192) LA CRYPTANALYSE SUR COURBES ELLIPTIQUES : ALGORITHME MOV AUDE LE GLUHER ENCADR(cid:201)E PAR GU(cid:201)NA¸L RENAULT 22 aoßt 2015 1 Table des matiŁres Introduction 3 Vocabulaire cryptographique 3 1. Le problŁme du logarithme discret 4 1.1. PrØsentation du DLP 4 1.2. Un problŁme connexe : le DHP 4 1.3. Algorithme baby-step giant-step 5 1.4. Algorithme de Pohlig-Hellman et amØlioration 6 2. Courbes elliptiques et fonctions rationnelles 7 2.1. DØ(cid:28)nition d’une courbe elliptique 7 2.2. Fonctions polynomiales sur une courbe elliptique 9 2.3. Fonctions rationnelles sur E 9 2.4. Uniformisantes 10 3. Un outil pratique : les diviseurs 11 3.1. DØ(cid:28)nitions 11 3.2. Diviseur d’une fonction 12 4. Cryptographie elliptique 13 4.1. Loi de groupe sur une courbe elliptique 13 4.2. Comment crypter un message avec une courbe elliptique 18 5. L’algorithme MOV 19 5.1. Points de n-torsion 19 5.2. Couplage de Weil 19 Conclusion 23 RØfØrences 23 Annexe : ImplØmentation des algorithmes de la partie 1 24 PrØrequis : Algorithme d’Euclide et thØorŁme chinois 24 Baby-step, giant-step 26 Algorithme de Pohlig-Hellman 28 2 Introduction Autrefois apanage de l’armØe et des services secrets, la cryptographie protŁge dØsormais les documents des industriels voire des particuliers. L’un de ses buts, comme son nom l’indique(crypto-signi(cid:28)ecacheret-graphieestunsu(cid:30)xerØfØrant(cid:224)l’Øcriture),estdestocker ou d’Øchanger des informations avec un groupe restreint de personnes tout en empŒchant (cid:224) d’autres d’y avoir accŁs. Ce travail se focalisera quant (cid:224) lui sur la cryptanalyse, discipline dont l’objectif est de retrouver le sens d’un message cryptØ sans en Œtre le destinataire. Plus particuliŁrement, dØlaissant les mØthodes physiques ou probabilistes, il se concentrera sur le problŁme math- Ømatique dit du logarithme discret. Ce dernier est en e(cid:27)et sous-jacent (cid:224) la cryptanalyse de nombreux cryptosystŁmes et en particulier (cid:224) la cryptanalyse sur courbes elliptiques. LaplusgrandepartiedecetravailaØtØl’apprØhensiondeconceptsetlacomprØhensionde dØmonstrations permettant de soutenir le pan thØorique des algorithmes ØtudiØs. Certains rØsultats ne sont pas dØmontrØs explicitement ici mais toutes les preuves ont ØtØ ØtudiØes et comprises sauf mention contraire. Une partie implØmentation complŁte ce rapport. Les codes et quelques rØsultats se trouvent en annexe. Vocabulaire cryptographique Dans tout ce travail, un message ou un texte sera quali(cid:28)Ø de clair avant traitement cryptographiqueetestditchi(cid:27)rØ aprŁstraitementcryptographique.Unchi(cid:27)re estuncouple formØd’unalgorithme-c’est-(cid:224)-direunprocØdØdecryptagegØnØral-etd’uneclØ,paramŁtre spØci(cid:28)ant un algorithme de chi(cid:27)rement. Ce dernier est toujours supposØ connu de tous; selon le principe de Kerckho(cid:27)s : la sØcuritØ d’un systŁme de cryptage ne repose que sur le secret de la clØ. Traditionnellement, l’expØditeur de message chi(cid:27)rØ se nomme Alice, le destinataire Bob etl’adversairequisouhaitedØchi(cid:27)rerlemessageEve.SiAliceetBobsouhaitentØchangerun messagesansquecelui-cisoitcomprØhensibleparEve,ilsprocŁdentdelamaniŁresuivante: message algorithme de message algorithme de message clair chi(cid:27)rement chi(cid:27)rØ dØchi(cid:27)rement clair clØ K clØ K 1 2 expØditeur transit du message destinataire looooooooooooooooooooomooooooooooooooooooooonloooooooooooooomoooooooooooooonlooooooooooooooooooooomooooooooooooooooooooon au cours duquel il est Øventuellement interceptØ Dans la cryptographie ((cid:224) clØ) symmØtrique, K K ; dans la cryptographie ((cid:224) clØ) 1 2 (cid:16) asymØtrique, K K . 1 2 (cid:24) Remarque. Le gros inconvØnient de la cryptographie symØtrique est qu’avant d’Øchanger un secret, Alice et Bob doivent dØj(cid:224) en partager un : ils doivent s’Œtre mis d’accord sur une 3 clØ. C’est pourquoi les chi(cid:27)res utilisØs en pratique, tel RSA, sont asymØtriques. Ici, nous ne travaillerons qu’avec des chi(cid:27)res asymØtriques. 1. Le problŁme du logarithme discret 1.1. PrØsentation du DLP. Soit G, un groupe cyclique. Soient g un gØnØrateur de G et h un ØlØment de G. p (cid:4)q Le problŁme du logarithme discret (abrØgØ par la suite en DLP, pour discrete logarithm problem) consiste (cid:224) trouver un entier x tel que g g...g g h. Cet entier x est appelØ (cid:4) (cid:4) (cid:16) xfois logarithme de h en base g et est notØ log h . gp q loooomoooon Remarques • La fa(cid:231)on dont est posØ le problŁme garantit l’existence de x. C’est gØnØralement sous cette forme qu’on le rencontre en cryptanalyse. Souvent, on trouve mŒme le problŁme sous cette forme : Soit p un nombre premier, g un gØnØrateur de Z pZ(cid:6) et h un ØlØment de Z pZ(cid:6). Trouver un exposant x tel que gx h mod p. { { (cid:17) • (cid:192) l’inverse, on trouve des versions plus larges du DLP, telle : Soit G, un groupe. Soient h et g deux ØlØments de G. Trouver, s’il existe, un p (cid:4)q entier x tel que g g...g g h. (cid:4) (cid:4) (cid:16) xfois • Le logarithme dilsocorooemt eoonoonbase g est dØ(cid:28)ni modulo l’ordre de g. Exemple 1.1. Dans le groupe Z pZ, oø p est un nombre premier. p { (cid:0)q Soit g un gØnØrateur de Z pZ, et h un de ses ØlØments. Trouver x tel que x g h mod p { (cid:4) (cid:16) est simple : il su(cid:30)t de calculer l’inverse de g modulo p via l’algorithme d’Euclide. Le DLP n’est donc pas toujours un problŁme di(cid:30)cile. Remarque. Borne haute de complexitØ pour le DLP Lorsqu’on calcule un logarithme de h en base g oø g est d’ordre (cid:28)ni Øgal (cid:224) N, le nombre d’Øtapes de calcul est majorØ par N fois le temps de calcul d’une opØration de groupe : on calcule g, g g, g2 g... Mais, pour des groupes d’ordre trŁs grand, le temps de calcul est (cid:4) (cid:4) prohibitif. 1.2. Un problŁme connexe : le DHP. Plusieurs solutions ont ØtØ trouvØes pour rØpondre au problŁme de distributions des clØs. L’une d’entre elles est l’Øchange de clØs de Di(cid:30)e-Hellman prØsentØ ci-dessous. 4 Algorithme 1.1. Alice et Bob souhaitent Øchanger une clØ sans risque et sans se rencon- trer. Voici une solution : p premier et g Z pZ P { d’ordre premier et grand Alice envoie A ga mod p Alice choisit a N (cid:16) P Bob choisit b N Bob envoie B gb mod p P (cid:16) espace privØ d’Alice donnØes connues de tous espace privØ de Bob looooooooooooomooooooooooooonloooooooooooooooooomoooooooooooooooooonlooooooooooooooooomooooooooooooooooon Alice calcule alors Ba gba mod p et Bob calcule Ab gab mod p. La clØ commune est gab mod p. (cid:17) (cid:17) DØ(cid:28)nition 1.1. ProblŁme de Di(cid:30)e-Hellman Pour pouvoir retrouver la clØ ØchangØe, il su(cid:30)t de rØsoudre le problŁme suivant : calculer gab mod p connaissant g, p, ga et gb. Ce problŁme est nommØ problŁme de Di(cid:30)e-Hellman (DHP). Remarque : Ce problŁme est plus facile que le DLP. En e(cid:27)et, si l’on sait rØsoudre le DLP, on peut rØsoudre l’Øquation en x suivante : gx ga mod p donc trouver a. Le calcul de gb a mod p permet alors de trouver la clØ. (cid:17) p q 1.3. Algorithme baby-step giant-step. Dans cette section, on amØliore la complexitØ de rØsolution d’un DLP dans un groupe quelconque. Algorithme 1.2. Soit G un groupe. Soit g un ØlØment de G d’ordre N 2 et h un ØlØment ¥ de G engendrØ par g. L’algorithme suivant rØsout le DLP gx h en O ?Nlog N Øtapes : (cid:16) p p qq (1) Calculer n t?Nu 1 (cid:16) (cid:0) e,g,g2,...,gn. Ce sont les pas de bØbØ. (2) Calculer les deux listes h,hg(cid:1)n,hg(cid:1)2n,...,hg(cid:1)n2. Ce sont les pas de gØant. " (3) Trouver un ØlØment commun (cid:224) ces deux listes; ie trouver i,j 0,n tel que gi hg(cid:1)nj. p q P (cid:74) (cid:75) (cid:16) (4) Calculer i nj. C’est une solution du DLP. (cid:0) DØmonstration : Montrons d’abord la correction de cet algorithme. Pour ce faire, il su(cid:30)t de montrer qu’il existe toujours un ØlØment commun (cid:224) la liste des pas de bØbØ et (cid:224) celle des pas de gØant. Comme h est engendrØ par g, il existe x N tel que h gx. Par division euclidienne, il existe q N et r 0,n tels que x nq r.PDonc : (cid:16) P P (cid:74) (cid:74) (cid:16) (cid:0) (1) h gnq(cid:0)r (cid:16) Comme x N et n ?N, on a q x(cid:1)r N n. L’Øquation (1) peut donc en e(cid:27)et se (cid:160) ¡ (cid:16) n (cid:160) n (cid:160) rØØcrire : gr hg(cid:1)nq avec 0 r n et 0 q n (cid:16) ⁄ (cid:160) ⁄ (cid:160) 5 Montrons maintenant la complexitØ avancØe. Le calcul des deux listes, une fois g(cid:1)n cal- culØ, requiert 2n opØrations de groupe. Trions ensuite les deux listes (ce qui peut facilement se faire en nlog n ) pour trouver la correspondance. La complexitØ de l’algorithme est donc p q en O nlog n . Comme n ?N, on obtient le rØsultat attendu. p p qq (cid:20) 1.4. Algorithme de Pohlig-Hellman et amØlioration. On cherche toujours (cid:224) rØsoudre le DLP gx h dans un groupe G quelconque. Ici, on (cid:16) cherche (cid:224) tirer parti de la connaissance d’une factorisation de l’ordre N de g. Algorithme 1.3. Algorithme de Pohlig-Hellman Soit G un groupe dans lequel on sait rØsoudre le DLP pour tout ØlØment d’ordre qe oø e est entier et q est un nombre premier en O Cqe Øtapes. Soit g un ØlØment de G d’ordre p q t qei et h un ØlØment de G engendrØ par h. Alors on l’algorithme suivant rØsout le DLP i i(cid:16)1 – t gx (cid:16) h en Opi(cid:16)1Cqiei (cid:0)logpNqq. (cid:176) N N (1) Pour tout i 1,t , calculer gi gQeii et hi hQeii. (2) Par hypothŁPse(cid:74), pou(cid:75)r tout i 1,(cid:16)t , on sait ca(cid:16)lculer une solution y du DLP gy h . P (cid:74) (cid:75) i i (cid:16) i (3) Gr(cid:226)ce au thØorŁme des restes chinois, calculer une solution du systŁme de congru- ences S x y mod qei . L’entier x est solution du DLP initial. (cid:16) t (cid:17) i i u DØmonstration : L’expression de la complexitØ vient de l’hypothŁse et de la complexitØ de l’algorithme donnant les entiers de BØzout. Montrons que x est e(cid:27)ectivement solution du DLP gx h. Comme x est solution de S, pour tout i 1,t , il exi(cid:16)ste z Z tel que x y qeiz . P (cid:74) (cid:75) N i P N (cid:16) i (cid:0) i i Un rapide calcul montre alors que pour tout i 1,t , gx qiei hqiei. Ces ØgalitØs se rØØcrivent : pour tout i 1,tP,(cid:74) (cid:75) p q (cid:16) P (cid:74) (cid:75) N N (2) x log h mod N qei (cid:2) (cid:17) qei (cid:2) gp q i i D’autrepart,commeleplusgranddiviseurcommunauxentiers N est1,ilexiste qei i iP 1,t t (cid:1) (cid:9) (cid:74) (cid:75) des entiers c tels que c N 1. p iqiP 1,t iqei (cid:16) (cid:74) (cid:75) i(cid:16)1 i En multipliant les congruen(cid:176)ces (2) par ci et en sommant toutes les congruences obtenues on aboutit (cid:224) : t t N N c x c log h mod N iqei (cid:2) (cid:17) iqei (cid:2) gp q i(cid:16)1 i i(cid:16)1 i ‚ ‚ puis (cid:224) x log h mod N comme attendu. g (cid:17) p q Algorithme 1.4. AmØlioration Soit G un groupe dans lequel on sait rØsoudre le DLP pour tout ØlØment d’ordre premier q en O C Øtapes. Soit g un ØlØment de G d’ordre qe oø q est premier et h un ØlØment de q G engepndrØq par h. Alors l’algorithme suivant rØsout le DLP gx h en O eC . q (cid:16) p q 6 e(cid:1)1 (1) On cherche une solution x sous la forme x qi. i i(cid:16)0 (2) Pour tout i 0,e 1 , rØsoudre le DLP (cid:176)gqe(cid:1)1 xi hg(cid:1)x0(cid:1)x1q...(cid:1)xi(cid:1)1qi(cid:1)1 qe(cid:1)i(cid:1)1 P (cid:74) (cid:1) (cid:75) (cid:16) DØmonstration : L’analyse de la complexitØ es(cid:1)t claire(cid:9)puisq(cid:1)ue gqe(cid:1)1 est d’ordre p(cid:9)remier q. La correction de cet algorithme est tout aussi claire : on calcule successivement x , 0 x ...jusque x . 1 i(cid:1)1 Remarques • L’algorithme prØcØdent permet de calculer des DLP pour des ØlØments d’ordre une puissance d’un nombre premier. L’algorithme de Pohlig-Hellman permet de fusionner les rØsultats obtenus. En combinant les deux, on gagne en e(cid:30)cacitØ. • AuvudesalgorithmesprØcØdents,a(cid:28)nqueleDLPgx hsoitdi(cid:30)cile,ilfautØviterde (cid:16) choisirungØnØrateurg dontl’ordresedØcomposeenproduitdepetitsentierspremiers. 2. Courbes elliptiques et fonctions rationnelles Dans cette section, K dØsigne un corps algØbriquement clos de caractØristique di(cid:27)Ørente de deux ou trois. 2.1. DØ(cid:28)nition d’une courbe elliptique. DØ(cid:28)nition 2.1. On dØ(cid:28)nit une courbe a(cid:30)ne plane comme Øtant le lieu des points d’an- nulation d’un polyn(cid:244)me en deux variables de K X,Y . De mŒme on dØ(cid:28)nit une courbe r s projective plane comme Øtant le lieu des points d’annulation d’un polyn(cid:244)me homogŁne en trois variables de K X,Y,Z . r s DØ(cid:28)nition 2.2. Soit C une courbe a(cid:30)ne plane associØe au polyn(cid:244)me P K X,Y . On dit P r s que C est une courbe lisse si elle admet une unique tangente en tout point. DØ(cid:28)nition 2.3. Une courbe elliptique sur K est l’ensemble des points du plan projectif P2 K3 dont les coordonnØes homogŁnes x : y : z vØri(cid:28)ent l’Øquation p q r s y2z x3 axz2 bz3 (cid:16) (cid:0)(cid:0) (cid:0) oø a et b sont des ØlØments de K tels que 4a3 27b2 0. (cid:0) (cid:24) Remarque : IntØressons nous aux points sur la droite (cid:224) l’in(cid:28)ni d’une courbe elliptique. Soit P un tel point et x : y : 0 ses coordonnØes homogŁnes. Ces derniŁres doivent vØri(cid:28)er l’Øquation x3 0. ParrintØgritØsde K, on a donc x 0. De plus, comme 0 : 0 : 0 n’est pas (cid:16) (cid:16) r s un point du plan projectif, on a nØcessairement y 0. En divisant les coordonnØes de P (cid:24) par y, on obtient (cid:28)nalement qu’un seul point d’une courbe elliptique se situe sur la droite (cid:224) l’in(cid:28)ni : celui de coordonnØes homogŁnes 0 : 1 : 0 . D’oø la "dØ(cid:28)nition" suivante que l’on r s choisit souvent pour dØcrire une courbe elliptique. 7 DØ(cid:28)nition 2.4. DØ(cid:28)nition courante d’une courbe elliptique On nomme courbe elliptique l’ensemble des points d’une courbe plane a(cid:30)ne dØ(cid:28)nie par un polyn(cid:244)me de K X,Y du type Y2 X3 aX b oø a et b vØri(cid:28)ent 4a3 27b2 0, r s (cid:1) (cid:1) (cid:1) (cid:0) (cid:24) auquel on ajoute le point (cid:224) l’in(cid:28)ni, notØ par la suite P et tel que 8 P X a 0 8 (cid:16) t (cid:1) (cid:16) u aPK £ Remarques • La dØ(cid:28)nition de P signi(cid:28)e plus simplement que ce point est arbitrairement con- 8 sidØrØ comme le point d’intersection de toutes les droites verticales de K2. • Soit P un point de E di(cid:27)Ørent de P de coordonnØes x ,y . On dit que P est 8 P P p q ordinaire si y 0 et spØcial sinon. Comme K est algØbriquement clos et que E est P une courbe ellip(cid:24)tique, il existe α,β,γ K3 tel que X3 aX b X α X p q P (cid:0) (cid:0) (cid:16) p (cid:1) qp (cid:1) β X γ . Les seuls points spØciaux sont donc ceux de coordonnØes α,0 , β,0 et qp (cid:1) q p q p q γ,0 . La proposition 2.1 montre que α, β et γ sont en fait deux (cid:224) deux distincts. p q • Plut(cid:244)t que de donner le polyn(cid:244)me dØcrivant une courbe elliptique E, on prØfŁre souvent dire qu’un point appartient (cid:224) E si et seulement si c’est le point (cid:224) l’in(cid:28)ni ou ses coordonnØes x,y K2 vØri(cid:28)ent l’Øquation, dite "de Weierstrass" : p q P Y2 X3 aX b (cid:16) (cid:0) (cid:0) Proposition 2.1. Soient a et b deux ØlØments de K. Soit C une courbe a(cid:30)ne plane dØ(cid:28)nie par le polyn(cid:244)me f X3 aX b Y2. Alors, C est lisse si et seulement si 4a3 27b2 0. (cid:16) (cid:0) (cid:0) (cid:1) (cid:0) (cid:24) En particulier, une courbe elliptique est lisse. DØmonstration : On montre d’abord que P X3 aX b n’a pas de racine multiple si et seulement si 4a3 27b2 0. En e(cid:27)et : (cid:16) (cid:0) (cid:0) (cid:0) (cid:24) X3 aX b admet une racine multiple X3(cid:0)aX (cid:0)b et 3X2 a ont une racine commune (cid:244) α (cid:0)K te(cid:0)l que X α(cid:0)X3 aX b et X α 3X2 a (cid:244) Dα P K tel que X (cid:1)α|pgcd(cid:0)X3 (cid:0)aX b,(cid:1)3X|2 a(cid:0) (cid:244) D P (cid:1) | p (cid:0) (cid:0) (cid:0) q a 0 et α tel que X α b ou a 0 et α tel que X α 27b2(cid:0)4a3 (cid:244) p (cid:16) D (cid:1) | q p (cid:24) D (cid:1) | 4a2 q a 0 et b 0 ou a 0 et 27b2 4a3 0 (cid:244) p27b(cid:16)2 4a3 (cid:16)0q p (cid:24) (cid:0) (cid:16) q (cid:244) (cid:0) (cid:16) Ce qui conclut la preuve par contraposØe. Alors : C est lisse x,y C,grad f x,y 0 (cid:244) @px,yq P C, 3x2p qap 0qo(cid:24)u 2y 0 (cid:244) @px,yq P C,p3x2(cid:0)a (cid:24) 0 ou y(cid:1) 0(cid:24) q (cid:244) @p q P p (cid:0) (cid:24) (cid:24) q Si 4a3 27b2 0, P n’a pas de racine multiple. Donc, pour tout point x,y de C, si y 0 alo(cid:0)rs 3x2 (cid:24)a 0. Donc C est lisse vu l’Øquivalence prØcØdente. RØcipproquqement, si (cid:16) (cid:0) (cid:24) 8 pour tout point x,y de C on a 3x2 a 0 ou y 0, par l’absurde P ne peut avoir de racine multiple. Dponcq4a3 27b2 0.(cid:0) (cid:24) (cid:24) (cid:0) (cid:24) Notation :SoitE unecourbeelliptique.Encryptographie,onnes’intØressequ’auxpoints de E ayant des coordonnØes appartenant (cid:224) un corps (cid:28)ni F oø p est premier. On dØsigne p l’ensemble de ces points par E F . p p q 2.2. Fonctions polynomiales sur une courbe elliptique. Dans cette section et les sections suivantes de la deuxiŁme partie, E est une courbe elliptique sur K dØcrite par l’Øquation Y2 X3 aX b. (cid:16) (cid:0) (cid:0) DØ(cid:28)nition 2.5. Anneau de coordonnØes L’anneau de coordonnØes de la courbe elliptique E est l’anneau quotient KrX,Ys . pY2(cid:1)X3(cid:1)aX(cid:1)bq On le note K E et tout ØlØment de cet anneau est nommØ fonction polynomiale sur E. r s Remarque : Tout ØlØment G de K E peut s’Øcrire sous la forme dite rØduite G X,Y P X YQ X avec P,Q K Xresn rempla(cid:231)ant successivement Y2 par X3 paX q (cid:16)b. p q(cid:0) p q p q P r s (cid:0) (cid:0) (Cette ØgalitØ remplace en fait un symbole d’Øquivalence). Cette Øcriture est d’ailleurs unique. Proposition 2.2. Soit G K E 0 . Alors G admet un nombre (cid:28)ni de zØros. P r szt u DØmonstration : Introduisonstoutd’abordquelquesnotions.LaremarqueprØcØdenteassurel’existencede P,Q K X telqueG P YQ.OnappelleconjuguØdeGl’objetsuivant:G P YQ. p q P r s (cid:16) (cid:0) (cid:16) (cid:1) On appelle alors norme de G, notØe n G le polyn(cid:244)me suivant : p q n G GG P X 2 Y2Q X 2 P X 2 X3 aX b 2Q X 2 p q (cid:16) (cid:16) p q (cid:1) p q (cid:16) p q (cid:1)p (cid:0) (cid:0) q p q La norme de G est donc un ØlØment de K X . r s Soit dŁs lors α,β un zØro de G. On a donc P α βQ α 0. Alors, n G α p P qα 2 α3 aα b 2Q α 2 p q(cid:0) p q (cid:16) p qp q (cid:16) β2pQqα(cid:1)2p β2(cid:0)Q α(cid:0)2 q p q (cid:16) p q (cid:1) p q 0 (cid:16) Donc α est racine de n G . On en dØduit que toute abscisse d’un zØro de G est un zØro p q de n G qui en a un nombre (cid:28)ni. D’oø le rØsultat. p q DØ(cid:28)nition 2.6. Soit G K E . On appelle degrØ de G, notØ deg G , le degrØ au sens E P r s p q habituel de la norme de G. Autrement dit, deg G deg n G . E p q (cid:16) p p qq deg Xk 2k Par exemple, pour tout k N, Ep q (cid:16) P deg Yk 3k E " p q (cid:16) 2.3. Fonctions rationnelles sur E. Lemme 2.1. Le polyn(cid:244)me P Y2 X3 aX b dØcrivant la courbe elliptique E est (cid:16) (cid:1) (cid:1) (cid:1) irrØductible dans K X,Y . r s DØmonstration : Comme F X,Y est isomorphe (cid:224) F X Y , on peut considØrer que P est un ØlØment de r s r sr s F X Y . Comme P dØcrit une courbe elliptique, il existe trois ØlØments de F α, β et γ deruxsr(cid:224) dseux distincts tels que X3 aX b X α X β X γ . On a : (cid:0) (cid:0) (cid:16) p (cid:1) qp (cid:1) qp (cid:1) q 9 • X α X3 aX b • pX (cid:1)αq|2(cid:1)(cid:45) p X3(cid:0) aX(cid:0) qb • pX (cid:1)αq (cid:45) 1(cid:1)p (cid:0) (cid:0) q p (cid:1) q • X α est premier car irrØductible dans l’anneau factoriel F X . p (cid:1) q r s Le critŁre d’Eisenstein est le fait que P est primitif assurent que ce polyn(cid:244)me est irrØ- ductible dans F X Y . r sr s OndØduitdecerØsultatqueK E estunanneauintŁgre,onpeutdoncparlerducorpsdes r s fractions de K E , que l’on note K E . Un ØlØment de K E est appelØ fraction rationnelle r s p q p q sur E. DØ(cid:28)nition 2.7. Point rØgulier et p(cid:244)le Soit P un point de E di(cid:27)Ørent de P . Soit R K E . Le point P est rØgulier pour R s’il 8 P p q existe un reprØsentant G de R tel que H P 0. Sinon, on dit que P est un p(cid:244)le de R. H p q (cid:24) DØ(cid:28)nition 2.8. Valeur d’une fonction rationnelle en un point de E. Soit R K E et P E. La valeur de R en P est : P p q P • R P si P est rØgulier p q • si P est un p(cid:244)le (cid:0)8 • Si P P et G est un reprØsentant de R, notons a (resp. b) le coe(cid:30)cient de plus (cid:16) 8 H 0 si deg G deg H E E p q (cid:160) p q haut degrØ de G (resp. H). Cette valeur vaut si deg G deg H E E $ (cid:0)a8 si deg pGq ¡ deg pHq & b Ep q (cid:16) Ep q Proposition 2.3. Toute fonction rationnelle sur E admet un nombre (cid:28)ni de zØros et de % p(cid:244)les DØmonstration : On reprend en les adaptant les arguments de 2.2. Remarque : Une fonction rationnelle n’ayant ni zØros ni p(cid:244)les est constante. 2.4. Uniformisantes. DØ(cid:28)nition 2.9. Uniformisante Soit P un point de E. Une uniformisante en P est une fonction rationnelle u telle que : u P 0 p q (cid:16) g K E 0, d N et r K E dont P n’est ni zØro ni p(cid:244)le tel que g udr " @ P p qz D P P p q (cid:16) Proposition 2.4. L’entier d dont il est question dans la prØcØdente dØ(cid:28)nition est indØpen- dant de l’uniformisante. DØmonstration : Soit P E et u et v deux uniformisantes en P. Alors, il existe e,f N P p q P et r,s K E tels que P n’est ni zØro ni p(cid:244)le de r ou de s tels que u ver et v ufs. p q P p q (cid:16) (cid:16) On a donc u uefser puis 1 uef(cid:1)1ser. On Øvalue cette derniŁre ØgalitØ en P. Comme (cid:16) (cid:16) u P 0,onanØcessairementef 1 0.Commeeetf sontdesentiersnaturels,e f 1. p q (cid:16) (cid:1) (cid:16) (cid:16) (cid:16) Soit dØsormais g K E dont l’ordre en P relativement (cid:224) u est d. On a g udt oø P P p q (cid:16) n’est ni zØro ni p(cid:244)le de t. Par le point prØcØdent, g vr dt vdrdt Comme P n’est ne (cid:16) p q (cid:16) zØro ni p(cid:244)le de rdt, l’ordre de g en P relativement (cid:224) v est aussi d. 10