# $ℤ/nℤ$, groupes, etc. dans SageMath

<font color="red">**Consigne :** lire le sujet dans l'ordre et **exécuter chaque cellule de code pré-remplie** pour observer le résultat avant de continuer.</font>

## 1. Construire $ℤ/nℤ$

Dans SageMath, on peut construire l'*anneau* $ℤ/nℤ$ avec la commande `IntegerModRing(n)`. Les calculs se font alors selon les règles de l'anneau. Attention: pour travailler avec des entiers modulo $n$ et effectuer des opérations arithmétiques modulaires, il faut passer les entiers en arguments à l'anneau.

*Remarque.* Le constructeur `IntegerModRing` possède deux alias (c'est-à-dire deux raccourcis), `Integers` et `Zmod`.

In [1]:
A = IntegerModRing(6) # ℤ/6ℤ
print(A)
a, b, c, d = A(0), A(1), A(3), A(5)
a+b, b+d, c+d

Ring of integers modulo 6


(1, 0, 2)

In [2]:
IntegerModRing(17) is Integers(17) is Zmod(17) # alias

True

On peut également explorer certaines propriétés des éléments. Pour cela, chaque élément a des méthodes qui lui sont associées. Par exemple, on peut calculer l'ordre d'un élément $g$ dans le groupe additif $(ℤ/nℤ,+)$ avec `g.additive_order()`, on peut tester s'il est inversible (on dit que c'est une *unité*) avec `g.is_unit()`, et dans ce cas calculer son ordre dans le groupe multiplicatif $(ℤ/nℤ^×,×)$ avec `g.multiplicative_order()`.

In [6]:
c.additive_order(), c.is_unit()

(2, False)

In [7]:
d.additive_order(), d.is_unit(), d.multiplicative_order()

(6, True, 2)

Pour calculer l'inverse d'un élément $g$ inversible, plusieurs solutions sont possibles : soit écrire directement  `1/g` ou `g^-1`, soit utiliser le symbole « ~ » qui dans SageMath signifie « inverse » en écrivant `~g`, soit appeler la méthode `g.inverse_of_unit()` (on remarque qu'il est dit explicitement dans le nom de la méthode que l'on ne peut inverser que des *unités*). 

In [8]:
1/d, d^-1, ~d, d.inverse_of_unit()

(5, 5, 5, 5)

In [9]:
d * ~d == ~d * d == A.one() # one() permet de renvoyer le "1" de l'anneau

True

SageMath permet également de travailler directement sur l'anneau. Par exemple, on peut obtenir quelques propriétés.

In [10]:
print("A est un anneau :",A.is_ring())
print("Son ordre est :", A.order())
print("A est intègre :", A.is_integral_domain())
print("A est un corps :", A.is_field())

A est un anneau : True
Son ordre est : 6
A est intègre : False
A est un corps : False


**Exercice 1.**

1. Construire l'anneau $ℤ/16ℤ$ et répondre aux questions suivantes :
    1. Parmi les éléments $2$, $4$, $5$, $6$, $13$ et $15$, lesquels sont inversibles ?
    1. Calculer l'ordre multiplicatif des inversibles.
2. Répondre aux mêmes questions pour l'anneau $ℤ/17ℤ$.

## 2. Le groupe des inversibles $ℤ/nℤ^×$

SageMath sait calculer le groupe des inversibles de $ℤ/nℤ$, de plusieurs manières. La première consiste à lister les éléments qui en font partie, ou à tester si ce groupe est cyclique, ou encore à calculer son ordre. *On remarque que selon les cas, SageMath utilise soit « multiplicative group » soit « unit group » : les deux sont synonymes et désignent le groupe des inversibles.*

In [11]:
A = Zmod(36)
A.list_of_elements_of_multiplicative_group(), A.multiplicative_group_is_cyclic(), A.unit_group_order()

([1, 5, 7, 11, 13, 17, 19, 23, 25, 29, 31, 35], False, 12)

L'autre façon est de calculer *vraiment* le groupe des inversibles, avec `A.unit_group()`. On obtient une description un peu cryptique, qui signifie (dans ce cas) : « le groupe des inversibles de `A` est un groupe multiplicatif abélien, isomorphe au groupe $C_2×C_6$ » où $C_k$ désigne le groupe (multiplicatif) cyclique d'ordre $k$, qui est isomorphe à $(ℤ/kℤ,+)$. On peut décrire $C_k$ de la manière suivante : il possède un générateur $g$ qui vérifie $g^k = 1$ et $g^ℓ ≠ 1$ pour $0<ℓ<k$ ; autrement dit, $C_k = \{g^0, g^1, …, g^{k-1}\}$.

In [12]:
G = A.unit_group()
G

Multiplicative Abelian group isomorphic to C2 x C6

Si on liste les éléments de $G$, on s'aperçoit qu'ils n'ont rien à voir avec notre $ℤ/36ℤ$ de départ ! SageMath décrit $G$ grâce à deux *générateurs* (qu'il a appelé `f0` et `f1`, arbitrairement). Le *produit cartésien* $C_2×C_6$ s'obtient en prenant tous les produits possibles entre les éléments de $C_2 = \{1,f_0\}$ et ceux de $C_6 = \{1, f_1, …, f_1^5\}$.

In [13]:
print(G.list())   # on vérifie qu'il y a bien 12 éléments, comme indiqué par A.unit_group_order() au dessus
f0, f1 = G.gens() # on récupère les générateurs de G
f0^2, f1^6        # pourquoi ce résultat ?

(1, f1, f1^2, f1^3, f1^4, f1^5, f0, f0*f1, f0*f1^2, f0*f1^3, f0*f1^4, f0*f1^5)


(1, 1)

Il est malgré tout possible de revenir à notre $ℤ/36ℤ$ de départ (heureusement !). Chaque élément du groupe $G$ possède une *valeur* dans $ℤ/36ℤ$, c'est-à-dire simplement que chaque élément de $G$ représente un élément de $ℤ/36ℤ$. 

In [14]:
for g in G:
    print(g, "→", g.value())

1 → 1
f1 → 29
f1^2 → 13
f1^3 → 17
f1^4 → 25
f1^5 → 5
f0 → 19
f0*f1 → 11
f0*f1^2 → 31
f0*f1^3 → 35
f0*f1^4 → 7
f0*f1^5 → 23


On vérifie que c'est cohérent : par exemple, puisque $f_0$ correspond à $19$, $f_1^3$ à $17$, le produit $f_0f_1^3$ doit être $(19×17)\bmod 36 = 35$ ; de même, si on élève $f_0f_1^3$ au carré, on obtient $f_0^2f_1^6$ qui doit valoir $1$ (puisque $f_0^2 = 1$ et $f_1^6 = 1$).

In [15]:
f0.value() * (f1^3).value() == A(35), (f0*f1^3).value()^2 == A.one()

(True, True)

**Exercice 2.**

1. Calculer le groupe des inversibles de $ℤ/105ℤ$. Combien a-t-il de générateurs ? À quel élément de $ℤ/105ℤ$ correspond chacun des générateurs ?
1. Calculer le groupe des inversibles de $ℤ/nℤ$ pour $n = 2,3,...,30$. Lesquels sont cycliques ?
1. Vérifier expérimentalement que si $p>2$ est premier, $(ℤ/p^eℤ)^\times$ est cyclique. *Utiliser plusieurs valeurs de $p$ et de $e$, même en dépassant $30$.*
1. Le résultat précédent n'est pas vrai pour $p = 2$. Essayer diverses valeurs de $e$ pour conjecturer la forme de $(ℤ/2^eℤ)^×$, en fonction de $e$.

## 3. Logarithme discret

Soit $p$ un nombre premier. Étant donné un générateur $g$ de $(ℤ/pℤ)^\times$ et un élément $h\in (ℤ/pℤ)^\times$, le *logarithme discret de $h$ en base $g$* est l'unique entier $n\in\{0,…,p-2\}$ tel que $g^n = h$.

**Exercice 3.1.** Écrire une fonction `randgen(b)` qui prend en entrée un entier $b$ et renvoie un couple $(p,g)$ où $p$ est un nombre premier de $b$ bits et $g$ est un générateur de $(ℤ/pℤ)^\times$.

**Exercice 3.2.**
1.  Écrire une fonction `log_naif(h,g,p)` qui prend en entrée un élément $h\in ℤ/pℤ^×$ et un générateur $g\in ℤ/pℤ^×$, et calcule l'unique entier $n\in\{0,…,p-2\}$ tel que $g^n = h$. 
    
1. Jusqu'à quelle taille (environ) la fonction s'exécute en moins de 10 secondes ?

**Exercice 3.3.**  On s'intéresse à la stratégie « pas de bébés – pas de géants ». On définit $m = ⌊\sqrt{p-1}⌋$. Si $h = g^n$, on écrit la division euclidienne $n = qm + r$. On a donc $h =g^{qm}g^r$, autrement dit $g^{qm} = h⋅g^{-r}$. L'idée est de précalculer tous les $g^{qm}$ pour $0 ≤ q ≤ n/m$ (*pas de géants*). Ensuite, on calcule les $h⋅g^{-r}$ pour $r = 0$, $1$, … jusqu'à trouver une égalité $h⋅g^{-r}=g^{qm}$ (*pas de bébés*). On en déduit que $n = qm+r$.

1.  Écrire une fonction `pas_de_geants(g, p)` qui renvoie un dictionnaire $G$ tel que $G[g^{qm}] = q$ pour $0 ≤ q ≤ (p-1)/m$. *On peut utiliser la fonction `isqrt` (lire la doc !).*
    
1.  Écrire une fonction `log_discret(h, g, p)` qui calcule le logarithme discret de $h\in (ℤ/pℤ)^×$ en base $g$, avec l'algorithme décrit.

1.  Jusqu'à quelle taille de $p$ peut-on calculer le logarithme discret en moins de 10 secondes ? *Comparer avec la version naïve, et avec l'algorithme fourni par Sagemath : `h.log(g)`. Expliquer, par une analyse de coût, la différence observée `log_naif` et `log_discret`.*

**Exercice 3.4.** L'algorithme précédent peut se généraliser. Supposons qu'on sache à l'avance que $h = g^n$ avec $a≤n≤b$. Alors on peut écrire $n = a + qm+r$ où $m = ⌊\sqrt{b-a}⌋$, et trouver $q$ et $r$ comme précédemment. Les *pas de géants* sont les éléments de la forme $g^{a+qm}$ et les *pas de bébés* commencent à $g^a$.

1.  Écrire une fonction `log_discret_intervalle(h,g,p,a,b)` qui implante l'algorithme décrit.
1.  Vérifier que le temps de calcul ne dépend que très peu de $p$, mais essentiellement de la longueur $b-a$ de l'intervalle, et que votre algorithme, pour des intervalles de taille raisonnable, est plus efficace qu'un appel générique à `h.log(g)`.