С другой стороны, если d — наибольший общий делитель а и b, то существуют два целых числа р и q такие, что а = dp, b = dq. Это утверждение выполняется для любых общих делителей, но так как d — НОД, можно утверждать, что р и q взаимно простые — в противном случае а и b имели бы общий делитель, больший d.
Линейные уравнения
Теперь мы знаем все, что нужно для решения диофантовых уравнений вида ах + by = с,
где а, b и c — произвольные целые числа. Чтобы решить это уравнение, нужно найти все пары целых чисел (х, у), которые удовлетворяют соотношению ах + by = с.
Посмотрим, как это сделать. Обозначим через d наибольший общий делитель а и b. По определению а и b делятся на d, следовательно, выражение ах + by также будет делиться на d. Так как согласно исходному уравнению ах + by = с, число d также должно быть делителем с. Следовательно, если с не делится на d, то уравнение не имеет решений. Так, решений не имеет уравнение 50х + 120у = 7. Мы уже показали, что наибольший общий делитель 50 и 120 равен 10, а 7 не делится на 10.
Далее будем предполагать, что с делится на d.
Тогда мы можем записать а = dp, b = dq и с = dr, где р и q — взаимно простые.
Сначала рассмотрим случай с = 0, то есть однородное уравнение ах + by = 0.
91
Разделив на d первый член уравнения, получим следующее: достаточно решить уравнение рх + qy = 0, или, что аналогично, рх = —qy. Будем рассуждать следующим образом: так как рх равно — qy, qy должно делиться на р. Однако р и q взаимно простые, следовательно, остается единственный вариант: у делится на р, то есть существует целое число Λ такое, что у = Λр. Аналогично доказывается, что х делится на q, поэтому существует другое целое число μ такое, что х = μq. Подставив значения х и у в уравнение, получим: μpq = —Λpq, то есть μ = —Λ, так как pq отлично от нуля. Следовательно, решениями уравнения ах + by = 0 будет пара чисел (q, —р) и всех кратных им чисел (Λq, —Λр).
Теперь предположим, что с отлично от нуля. Если известно два решения (x0, у0) и (х1 y1) уравнения ах + by = с, то:
а(х0 - х1) + b(у0 - у1) = (ах0 + by1-(ax1+by1) = с-с = О,
откуда следует, что (x0 — x1, у0 — y1) — решение однородного уравнения ах + by = 0.
Так как все решения этого уравнения имеют вид (Λq, —Λр), найдется целое число Λ такое, что x0 — x1 = Λq и у0 — у1 = —Λр, или, что аналогично, х = x0 — Λq и y1 = y0 +Λр. Иными словами, уравнение имеет бесконечно много решений, но все они выводятся из частного решения (x0, у0). Напомню, что р и q — результат деления а и b на наибольший общий делитель. Следовательно, мы доказали, что все решения выглядят так:
где (x0, у0) — частное решение, Λ — любое целое число. Теперь всего лишь осталось найти метод, позволяющий получить (x0, у0). Найти эти решения нетрудно, если р и q — взаимно простые, так как по соотношению Безу существуют два целых числа u и v такие, что рu + qv— 1. Умножив u и v на r, получим два числа x0 = ur и у0 = vr такие, что ax0 + by0 = с.
Рассмотрим пример. Допустим, мы хотим решить диофантово уравнение 50х + 120у = 20.
Мы уже знаем, что наибольший общий делитель 50 и 120 равен 10.
Так как 20 делится на 10, уравнение имеет решение.
92
В этом случае в упрощенном виде уравнение выглядит так: 5х + 12у = 2. Найдем числа, которые мы обозначили через u и v. Так как 1 = 5 — 2 ·2 и 2 = 12 — 2·5, имеем
1 = 5 - 2 · (12 - 2 · 5) = 5 · 5 - 2 · 12,
то есть u = 5, v = —2. Умножив эти значения на 2, получим частное решение (10, —4), на основе которого можно найти общее решение:
Краткий экскурс в криптографию
Посмотрим, как диофантовы уравнения используются в системе шифрования с открытым ключом. Напомним, что для данного натурального числа n группа целых чисел со сложением по модулю n состоит из элементов [0], [1], [2]...[n — 1], а сложение выполняется следующим образом: сначала мы складываем элементы группы как обычные числа, затем вычитаем n из полученного результата до тех пор, пока не получим число, заключенное на интервале от 0 до n — 1. Аналогично можно определить операцию умножения. Допустим, n = 7 и нам нужно вычислить произведение 4*5. Сначала умножим эти два числа так же, как и целые числа. Получим 20.
Теперь нужно вычесть из этого результата 7 нужное число раз: после первого вычитания получим 13, после второго — 6, что меньше 7. Следовательно, произведение 4 и 5 по модулю 7 равно 6.
Теперь перейдем к криптографии.
Допустим, что Боб хочет отправить Алисе секретное сообщение. Так как любую информацию можно представить с помощью чисел, достаточно решить задачу о защищенной передаче числа m. Боб знает открытый ключ Алисы (он доступен всем).
У Алисы также есть закрытый ключ, известный только ей. Следует различать три этапа передачи сообщения: генерация ключей, шифрование сообщения и расшифровка.
Сначала покажем, как генерируются ключи. Выберем два простых числа р и q.
В принципе, достаточно, чтобы произведение р и q (обозначим его через n), было больше числа m, которое нужно передать. Но наш метод шифрования будет обеспечивать достаточный уровень защиты только тогда, когда р и q будут достаточно большими и никакой компьютер не будет способен разложить n на простые множители за разумное время. Выберем два простых числа р и р, состоящие из 300—400 знаков.
93
Введем величину r = (р — 1)(q — 1) и выберем число е, меньшее r и взаимно простое с ним. Пара (n, е) будет открытым ключом. Чтобы сгенерировать закрытый ключ, нужно решить диофантово уравнение ex + ry = 1. Если мы обозначим через d первое число из пары, которая является решением этого уравнения, то закрытый ключ будет представлять собой пару (n, d).
Теперь, когда открытый и закрытый ключ известны, нужно действовать следующим образом: Боб шифрует сообщение, возведя m в степень е, находит результат возведения в степень по модулю n и отправляет Алисе полученное значение с =me (по модулю n).
Для расшифровки сообщения Алиса возводит с в степень d, определяемую закрытым ключом, и находит результат по модулю n. Этой простой операции достаточно для восстановления зашифрованной информации, так как можно доказать, что cd по модулю n всегда равно m.
Уравнение Пелля - Ферма
Теперь, когда мы полностью рассказали о линейных диофантовых уравнениях, перейдем к диофантовым уравнениям второй степени.
Рассмотрим уравнение х² — dy² = 1, где d — целое положительное число.
Это уравнение имеет большую историю и упоминается в литературе как уравнение Пелля — Ферма, хотя Джон Пелль никогда не работал с ним.
Дело в том, что Эйлер ошибочно приписал Пеллю метод решения уравнений, который на самом деле нашел английский математик Уильям Броункер при решении задачи, предложенной Пьером Ферма.
Сначала предположим, что d = 1, то есть попробуем найти целые решения уравнения х² — у² = 1. Так как разность квадратов всегда можно представить в виде произведения по формуле
x² - y² = (х + у)(х - у),
нам нужно решить уравнение (х + у)(х — у) = 1. Произведение целых чисел может равняться 1 только тогда, когда оба сомножителя равны 1 или —1. Рассмотрим два этих случая по отдельности. В первом случае имеем:
94
Сложив уравнения системы, имеем 2х = 2, следовательно, х = 1, у = 0. Аналогично решениями системы х + у = х — у = — 1 будут х = —1, у = 0. Следовательно, уравнение х² — у² = 1 имеет всего два целых решения: (—1, 0) и (1, 0). Аналогично можно исключить случай, когда d — квадрат, то есть имеет вид d = е²: в этом случае х² — dy² = х² — е²у² = х² — (еу)². Путем замены переменной z = еу получим то же самое уравнение х² — z² = 1. Его решения уже известны. Далее будем предполагать, что d — целое число, большее либо равное 2, которое не является квадратом.
Основа анализа уравнений первой степени заключается в том, чтобы показать, как из двух решений ах + by = с получается пара целых чисел (х, у), таких что ах +
+ by = 0. В этом случае вы увидите, что если нам известны два решения уравнения
Пелля — Ферма, то из них можно вывести третье. Для этого нужно представить выражение х² — dy² в виде
х² - dy² =(x+y√d)(x-y√d).
Эти множители уже не будут целыми числами (они содержат квадратный корень числа, которое не является квадратом), следовательно, они не могут одновременно равняться 1 или —1. Но если (x1, y1) и (х2, у2) — решения уравнения, то
Перемножив уравнения, получим:
(x1+y1√d)(x1-y1√d)(x2+y2√d)(x2-y2√d) = l. (*)
Начнем раскрывать скобки с выражений со знаком плюс:
(x1+y1√d)(x2+y2√d) = x1x2 + x1y2√d + x2y1√d + y1y2(√d)2
Важно отметить, что произведение этих двух множителей будет иметь аналогичную структуру, так как (√d)2 равно d по определению. Если мы введем обозначения х3 = х1х2 + dy1y2 и у3 = x1y2 + x2y1 получим равенство:
(x1+у1√d)(x2+у2√d) = х3+y3√d.
95
Так как выполняется равенство
(x1-y1√d)(x2-y2√d) = x1x2 - x1y2√d - x2y1√d + y1y2(√d)2 = х3-y3√d
мы можем записать уравнение (*) в следующем виде:
(х3+y3√d)(х3-y3√d) = 1.
Из этого равенства следует, что (х3, y3) является решением уравнения Пелля — Ферма.
Мы получили третье решение на основе двух известных. Кроме того, так как в формулах расчета х3 и у3 используются только сложение и умножение, то если решения (x1, y1) и (х2, у2) целочисленные, то целыми будут и (х3, у3).
Обозначим через • операцию, которая сопоставляет двум известным решениям третье. Наша цель — доказать следующий результат:
Предложение. Операция (х1, у1) • (х2, у2) = (х3, у3) определяет абелеву группу на множестве целых решений уравнения Пелля — Ферма.
Коммутативность этой операции следует из определения, так как значения х3 и у3 не изменятся, если мы поменяем местами (x1, y1) и (х2, у2). Следовательно, достаточно показать, что выполняются три аксиомы, которые включает определение группы. Первая из них, аксиома ассоциативности, непосредственно следует из ассоциативности произведения вещественных чисел. Теперь найдем нейтральный элемент группы. Заметим, что (1, 0) всегда будет решением уравнения х² — dy² = 1.
Посмотрим, что произойдет, если мы применим рассматриваемую операцию к этому решению и другому, произвольному решению (х2, у2). По нашим формулам, х3 = 1 · х2 + d * 0 · у2 = х2 и у3 = 1 у2 + х2 · 0 = yv следовательно, (1,0) • (х2, у2) = (х2, у2). Нейтральный элемент найден. Осталось показать, что для каждого решения существует обратное, то есть что для данного (х1, у1) мы можем найти другое решение (х2, y2) такое, что (x1, y1) · (x2, y2) = (1, 0).
Проще всего доказать это утверждение для пары чисел (х1, -y1), которая вновь будет решением уравнения, поскольку квадраты любого числа и противоположного ему совпадают. Кроме того,
(x1, у1)•(x1, -у1) - (x1² -dy1² - x1y1 + x1y1) = (1,0),
96
так как пара чисел (х1, y1) является решением уравнения х² — dy² = 1. Отсюда следует, что целые решения уравнения Пелля — Ферма образуют абелеву группу. Возникает вопрос: какими особенностями обладает эта группа?
Выберем из всех положительных решений уравнения Пелля — Ферма пару чисел (х, у), при которой значение выражения х² + у² будет наименьшим. Назовем это решение фундаментальным. К примеру, при d = 2 фундаментальным решением будет (3, 2). Так как З² — 2 -2² = 9 — 2·4 = 1, то эта пара чисел действительно будет решением. Осталось показать, что значение выражения х² + у² при х = 3, у = 2 будет наименьшим. Заметим, что ни одно из положительных чисел в решении не может равняться 1, так как при х = 1 у=0, а 0 — не положительное число.
Если же у = 1, то х² = 3 — это уравнение не имеет целых решений. Таким образом, единственным решением, меньшим (3, 2), может быть пара чисел (2, 2).
Однако 2²—2 · 2² = —4, следовательно, эта пара чисел не является решением уравнения.
Мы доказали, что (3, 2) — фундаментальное решение. Если мы будем последовательно выполнять операцию • над этим решением, то получим бесконечное число решений уравнения Пелля — Ферма. К примеру, (3, 2) • (3, 2) = (17,12), (3, 2) • (3, 2) • (3, 2) = (99, 70) также будут решениями уравнения. Сложнее показать, что все решения, полученные подобным образом, будут положительными.
Теорема Дирихле о единицах. Все целые положительные решения уравнения Пелля — Ферма можно получить из фундаментального решения.
С учетом этой теоремы рассмотрим порожденную фундаментальным решением циклическую группу, которая будет изоморфной группе целых чисел. К этой группе принадлежат все положительные решения (х, у), а также нейтральный элемент
(1, 0) и все обратные элементы вида (х, —у). Пусть пара чисел (х, у) — решение уравнения Пелля — Ферма. Так как (—х)² = х², решением уравнения также будет пара чисел (—х, у). Но теперь —х будет положительным числом, следовательно, это решение уже содержится в циклической группе, порожденной фундаментальным решением. Таким образом, достаточно всего лишь добавить знак. На языке математики эта операция выражается как прямое произведение целых чисел по модулю 2.
Подведем итог: множество целых решений уравнения Пелля — Ферма образует группу, изоморфную группе ℤ х ℤ/2.
97
Эллиптические кривые
Перейдем к уравнениям третьей степени и посмотрим, как можно определить группу на множестве решений уравнения у² = х3 + ах + b, где а и b — любые рациональные числа. В этом случае применим чисто геометрические методы. Начнем с того, что представим на плоскости пары вещественных чисел (х, у), которые удовлетворяют соотношению у² = x3 + ах + b. Последовательно присваивая значения одной из двух переменных и вычисляя соответствующие значения второй переменной, получим последовательность точек, которые можно соединить отрезками. Результатом будет кривая на плоскости, которая в математике называется эллиптической. Рассмотрим пример. При а = —2 и b — 1 уравнение примет вид y² = x3 — 2х +1. Если мы подставим в уравнение х = 0, правая часть примет значение 1, и мы получим уравнение y² = 1. Это уравнение имеет два решения: у = 1 и у = —1. Имеем две точки кривой:(0, 1) и (0, —1).
Если, напротив, х = 1, получим y² = 0, то есть у — 0. Подставим в уравнение х = —1.
Правая часть будет равна (—1)3—2 (—1) + 1 = —1 + 2 + 1 = 2, уравнение примет вид y² = 2. Его решениями будут у = √2 и у = —√2. Таким образом, точки с координатами (—1, √2) и (—1, —√2) также будут лежать на кривой. Эти решения не являются целыми, но это не важно — чтобы изобразить кривую на плоскости, нужно учесть все вещественные решения.
Эллиптическая кривая, заданная уравнением y² = х3-2х + 1.
Теперь выберем две точки Р и Q, лежащие на кривой, и соединим их прямой линией. Будем предполагать, что Р и Q несимметричны относительно оси абсцисс,
98
чтобы соединяющая их прямая не располагалась вертикально. Эта прямая пересечет кривую в точке, которую мы обозначим через PQ. Результатом операции над точками Р и Q будет точка Р + Q, симметричная PQ относительно оси абсцисс.
Результат операции сложения для точек P и Q эллиптической кривой.
Необходимо уточнить несколько моментов. Во-первых, прямая, проходящая через точки Р = (x1, y1) и Q = (х2, у2), пересекает кривую в некоторой третьей точке.
Так как мы предположили, что эта прямая не располагается вертикально, ее уравнение будет иметь вид у = mх + n, где m и n — вещественные числа. Подставив это выражение в уравнение нашей эллиптической кривой, получим:
(mx + n)² = x3 +ax+b.
Путем элементарных преобразований это уравнение можно привести к виду:
х3-Ах² + Вх + С = 0, (**)
где A = m², В = a — 2mn, С = b — n². Следовательно, теперь нам нужно вычислить корни многочлена третьей степени с вещественными коэффициентами. Два корня уже известны: это абсциссы x1 и х2 точек Р и Q, так как обе эти точки одновременно лежат и на кривой, и на прямой. Используем следующую лемму.
Лемма. Если многочлен третьей степени с вещественными коэффициентами имеет два вещественных корня, то третий корень многочлена также будет вещественным.
99
Докажем лемму. Пусть
Р(х) = x3 + Rx² + Sx + Т
многочлен третьей степени с вещественными коэффициентами. Обозначим его корни через x1, х2, х3. Следовательно, Р(х) можно представить в виде
Р(х) = (х - x1) (х - х2) (х - х3).
Выразим коэффициенты многочлена через его корни:
Р(х) = x3 — (х1 +x2 +х3)х² +(x1 x2 +x1 x3 +x2 x3)х — x1 x2x3.
К примеру, — R = x1 + х2 + х3. Чтобы получить третий корень многочлена, нужно вычесть —R из первых двух. По условию, и коэффициент R, и корни x1 и х2 — вещественные числа, следовательно, x3 также будет вещественным числом.
По лемме, которую мы только что доказали, существует вещественное число х3, которое удовлетворяет уравнению (**).
Подставив это число в равенство у = mx + n, получим координату у3 точки PQ. Осталось найти координаты симметричной ей точки — для этого заменим ординату на противоположную. Результатом операции над точками (x1, y1) и (х2, у2) будет точка (х3, —у3).
Мы показали, что точки Р = (0, 1) и Q = (1, 0) принадлежат эллиптической кривой y² = x3 —2х + 1. Вычислим координаты точки Р + Q. Для этого сначала нужно найти уравнение прямой, проходящей через Р и Q. Несложно показать, что эта прямая задается уравнением у = —х + 1. Получим уравнение:
(—х +1) 2 = x3 —2х +1 ↔ х²—2х + 1 = x3 —2х + 1 ↔ х² = x3↔ х² (х — 1) = 0.
Решениями этого уравнения будут х = 0 (дважды) и х = 1. Так как x1= 0 и х2 = 1, искомой точкой будет x3 = 0.
Подставив это значение в уравнение у = —х + 1, получим у = 1.
Таким образом, результатом операции над Р и Q будет точка Р + Q с координатами (0, —1).
Заметим, что в этом случае результатом операции над двумя целочисленными решениями уравнения вновь будет целочисленное решение.
В общем случае это верно тогда, когда коэффициенты уравнения являются целыми числами. Доказательство этого утверждения, по сути, ничем не отличается от доказательства приведенной выше леммы.
Мы преодолели первое препятствие: мы показали, что если прямая проходит через две несимметричные точки эллиптической кривой, то она также пересечет кривую в третьей точке. Но что произойдет, если точки Р и Q симметричны?
100
Они будут иметь координаты Р = (x1, y2) и Q = (х1—у2), а соединяющая их вертикальная линия будет задаваться уравнением х = х1 Подставив в уравнение эллиптической кривой х = x1 получим у² = х13 + ах1+b. Мы исключили переменную х и получили, что y² равно вещественному числу. Это уравнение имеет всего два решения, ух и — yv следовательно, прямая, соединяющая Р и Q, не будет пересекать эллиптическую кривую ни в одной другой точке. PQ не существует! Как же справиться с этой проблемой? Решение подскажут художники Возрождения, которые изобрели перспективу. Чтобы сделать свои полотна более реалистичными, они изображали параллельные прямые сходящимися в удаленной точке, называемой точкой схода. Последуем примеру художников и будем считать, что наша вертикальная прямая пересекает эллиптическую кривую в третьей точке О, расположенной на бесконечности. Эта точка будет играть роль точки схода.
Фреска «Троица» работы Мазаччо (1401-1428) — первого художника эпохи Возрождения, который использовал в своих работах математические законы перспективы, чтобы придать им ощущение глубины.
101
Точка О будет иметь реальный математический смысл, если мы введем третью переменную z так, что уравнение эллиптической кривой примет вид y²z = x3 + axz² + bz3.
Теперь все члены уравнения имеют третью степень. Это в некотором смысле означает, что отличить тройку (х, у, z) от любой из кратных ей ненулевых троек (Λх, Λy, Λz) невозможно: если мы подставим эти значения в уравнение, то всегда сможем сократить общий множитель Λ3. Мы получили координаты, которые называются однородными и обозначаются (х: у: z), чтобы указать, что две точки, которые на первый взгляд кажутся различными, как, например (1: 2: 3) и (2: 4: 6), в действительности совпадают, так как имеют кратные координаты. Можно предполагать, что координата z принимает только значения 0 и 1. При z = 1 уравнение кривой примет вид y² = x3 + ах + b и мы получим те же самые точки, которые рассматривали вначале. При z = 0 имеем x3 = 0, следовательно, х также равен 0. Так как три координаты не могут быть равны нулю одновременно, у должен быть отличным от нуля. Однако все точки вида (0: у: 0) равны, так как имеют кратные координаты, следовательно, можно предположить, что у — 1. Имеем новую точку (0:1: 0), которая не принадлежит кривой y² = x3 + ах + b. Это и будет наша точка О!
Подведем итог: сначала мы доказали, что любая прямая, не расположенная вертикально и проходящая через две точки эллиптической кривой, также пересечет кривую в третьей точке. Теперь, введя бесконечно удаленную точку, мы показали, что это же утверждение верно и для вертикальной прямой. Следовательно, можно определить операцию над любыми несовпадающими точками Р и Q. Но что, если эти точки совпадают? Начнем с того, что рассмотрим две различные точки Р и Q и будем постепенно приближать точку Q к точке Р. Прямые, соединяющие Р и Q, также будут смещаться. Пределом этих прямых будет касательная к кривой, которая в окрестностях точки Р не будет пересекать кривую ни в одной другой точке.
Касательная к кривой в точке P.
102
Когда точки Р и Q будут совпадать, будем рассматривать не прямую, соединяющую Р и Q, а касательную к кривой в точке Р. Путем аналогичных рассуждений можно показать, что эта прямая пересечет кривую в другой точке РР. Найдя точку, симметричную РР относительно оси абсцисс, получим искомый результат операции
Р + Р = 2Р.
Осталось прояснить одну небольшую тонкость: так как мы добавили к нашей кривой точку О, необходимо определить, каким будет результат операции над О и произвольной точкой кривой. Когда мы работаем с однородными координатами, точка О имеет тот же статус, что и все прочие точки кривой, следовательно, мы можем провести прямую, проходящую через О и Р, и повторить описанные выше рассуждения. При этом неизменно будет выполняться равенство О + Р = Р, таким образом, О — нейтральный элемент для определенной нами операции над точками эллиптической кривой.
Итак, мы определили операцию, которая любой паре точек кривой (совпадающих или нет) ставит в соответствие третью точку. Докажем, что эта операция является групповой. Мы уже указали, что О — нейтральный элемент группы. Определить точку, обратную точке Р, очень просто: эта точка (обозначим ее Р') будет симметрична ей относительно оси абсцисс, так как прямая, соединяющая Р и Р', расположена вертикально, следовательно, пересекает кривую в точку О, и Р + Р' = О.
Чтобы показать, что эта операция действительно определяет группу на множестве решений уравнения y² = x3 + ах + b, осталось доказать, что она обладает свойством ассоциативности.
Пусть Р, Q и R — три произвольные точки кривой. Мы хотим убедиться, что
(P + Q) + Р = Р + (Q + P).
103
Для этого достаточно доказать, что прямая l1 соединяющая P+Q и R, пересекает кривую в той же точке, что и прямая l2, соединяющая Р и Q +R, следовательно, достаточно построить симметричные точки.
Сначала проведем прямую, соединяющую Р и Q, и найдем точку, в которой эта прямая пересечет кривую. Обозначим эту точку через PQ. С помощью этих двух вспомогательных прямых получим точку Р + Q. Соединим Р + Q и R прямой l1 и посмотрим, в какой точке эта прямая пересекает кривую. Обозначим эту точку через Т.
Теперь найдем Р + (Q + R) и обозначим ее на том же рисунке. Прямая, соединяющая Q и Р, пересекает кривую в точке QR. Симметричной ей будет точка Q + R.
Нужно доказать, что прямая l2, соединяющая Q + R и Р, пересекает кривую в точке Т.
104
Обозначим через C1 объединение трех прямых, изображенных пунктирной линией. Учитывая, что точка схода О принадлежит прямой, соединяющей QR и Q + R, заметим, что C1 пересекает эллиптическую кривую в следующих девяти точках:
С1∩ C = {O, Р, Q, R, PQ, QR, P+Q, Q+R, T}.
Первые восемь из них также принадлежат объединению прямых, изображенных сплошными линиями, которое мы обозначим С2.
Теперь мы можем использовать классическую теорему о пересечении кубических кривых на плоскости. Прежде чем изложить ее, напомним, что кубическая кривая задается множеством решений уравнения третьей степени от переменных х и y.
К примеру, кубической кривой является эллиптическая кривая, заданная уравнением y² = x3 + ах + b. Кроме того, кубической кривой будет и объединение трех прямых, так как его уравнение представляет собой произведение уравнений этих прямых, то есть уравнений первой степени. Чтобы различить эти две ситуации, говорят, что эллиптическая кривая называется неприводимой, а объединение трех прямых представляет собой так называемый вырожденный случай. Имеем:
Предложение. Пусть С — неприводимая кубическая кривая, a C1 и С2 — две произвольные кубические кривые. Пусть С и С1 пересекаются в девяти точках, восемь из которых принадлежат пересечению С и С2. Тогда этому же пересечению будет принадлежать и девятая точка.
Применив это утверждение в нашем случае с эллиптической кривой, С1 и С2, получим, что точка Т принадлежит Сг Единственная точка, которой нам не хватало для определения С2 и С, — это точка пересечения кривой и прямой, соединяющей Р и Q + R. Этой точкой обязательно будет точка Т, что и требовалось доказать. Итак, мы доказали свойство ассоциативности, таким образом, определенная нами операция является групповой. Кроме того, заметим, что мы получили абелеву группу, так как при построении Р + Q используется прямая, соединяющая Р и Q, а ее расположение не зависит от того, в каком порядке мы рассмотрим точки.
Следовательно, рациональные точки на эллиптической кривой, которые мы обозначим Е (Q), определяют группу. В 1922 году математик Луис Морделл в поисках ответа на вопрос Пуанкаре доказал следующую теорему:
105
Теорема Морделла. Абелева группа E(Q) порождена конечным числом элементов.
Иными словами, существует конечное число рациональных решений уравнения у²=х3 + ах + b, на основе которых можно восстановить все остальные путем последовательного применения групповой операции. Как мы показали, конечнопорожденная абелева группа всегда имеет вид
Z' × Z/n1×...× Z/nk.
Число копий группы целых чисел, используемых в этом выражении, называется рангом эллиптической кривой. Определить это число крайне сложно. Между прочим, одна из важнейших открытых задач современности (за ее решение полагается премия в один миллион долларов), гипотеза Бёрча — Свиннертон-Дайера, заключается в том, чтобы выразить ранг эллиптической кривой через другие аналитические инварианты. Впрочем, эллиптические кривые нужны не только для того, чтобы заработать миллион долларов: они сыграли важнейшую роль в доказательстве великой теоремы Ферма, а также помогли улучшить алгоритмы шифрования данных с открытым ключом.
ВЕЙЛЬ: В своей диссертации я доказал, что теорема Морделла верна и для кривых, задаваемых уравнениями более высоких степеней. Более того, Морделл подозревал, что выполняется более строгое условие: группа решений является не только конечнопорожденной, но и конечной; иными словами, в ее разложении не может фигурировать никакая копия группы целых чисел. Именно эту гипотезу хотел доказать Жак Адамар, однако найти искомое доказательство удалось лишь в 1983 году.
ЛЕВИ-СТРОСС: Благодарю вас, господин Вейль: ваши объяснения открыли мне дорогу в новый мир. Но позвольте попросить вас об услуге: давайте и дальше следовать прежнему методу! Раз уж нам суждено учиться вместе, мы спокойно можем беседовать, «не боясь наказанья судьбы, любви, времени и смерти».
106