Подсчет точек на эллиптических кривых

Эта статья включает список общих ссылок , но в ней отсутствуют достаточные соответствующие встроенные цитаты . Пожалуйста, помогите улучшить эту статью, введя более точные цитаты. ( декабрь 2023 г. ) ( Узнайте, как и когда удалить это сообщение )

Важным аспектом изучения эллиптических кривых является разработка эффективных способов подсчета точек на кривой . Для этого существовало несколько подходов, и разработанные алгоритмы оказались полезными инструментами при изучении различных областей, таких как теория чисел , а в последнее время и в криптографии и аутентификации цифровой подписи (см. Криптография на эллиптических кривых и DSA на эллиптических кривых ). В то время как в теории чисел они имеют важные последствия при решении диофантовых уравнений , по отношению к криптографии они позволяют нам эффективно использовать сложность задачи дискретного логарифмирования (DLP) для группы ${\displaystyle E(\mathbb {F} _{q})}$, эллиптических кривых над конечным полем ${\displaystyle \mathbb {F} _{q}}$, где q = p ^к и p — простое число. DLP, как его стали называть, представляет собой широко используемый подход к криптографии с открытым ключом , и сложность решения этой проблемы определяет уровень безопасности криптосистемы. В этой статье рассматриваются алгоритмы подсчета точек на эллиптических кривых над полями большой характеристики, в частности p > 3. Для кривых над полями малой характеристики существуют более эффективные алгоритмы, основанные на p -адических методах.

Существует несколько подходов к проблеме. Начиная с наивного подхода, мы прослеживаем развитие вплоть до окончательной работы Шуфа по этому вопросу, а также перечисляем улучшения алгоритма Шуфа, сделанные Элкисом (1990) и Аткином (1992).

Некоторые алгоритмы используют тот факт, что группы вида ${\displaystyle E(\mathbb {F} _{q})}$ подчиняются важной теореме Хассе, ограничивающей число рассматриваемых точек. Теорема Хассе утверждает, что если E — эллиптическая кривая над конечным полем ${\displaystyle \mathbb {F} _{q}}$, мощность то ${\displaystyle E(\mathbb {F} _{q})}$ удовлетворяет

${\displaystyle ||E(\mathbb {F} _{q})|-(q+1)|\leq 2{\sqrt {q}}.\,}$

Наивный подход к подсчету очков, являющийся наименее сложным, предполагает перебор всех элементов поля. ${\displaystyle \mathbb {F} _{q}}$ и проверка того, какие из них удовлетворяют форме Вейерштрасса эллиптической кривой.

${\displaystyle y^{2}=x^{3}+Ax+B.\,}$

Пусть E — кривая y ² = х ³ + x + 1 больше ${\displaystyle \mathbb {F} _{5}}$. Для подсчета очков на E мы делаемсписок возможных значений x , затем квадратичных остатков x по модулю 5 (только для целей поиска), затем x ³ + x mod 5, затем y x + 1 ³ + x + 1 mod 5. Это дает точки на E .

${\displaystyle x}$	${\displaystyle x^{2}}$	${\displaystyle x^{3}+x+1}$	${\displaystyle y}$	Очки
${\displaystyle \quad 0}$	${\displaystyle 0}$	${\displaystyle 1}$	${\displaystyle 1,4}$	${\displaystyle (0,1),(0,4)}$
${\displaystyle \quad 1}$	${\displaystyle 1}$	${\displaystyle 3}$	${\displaystyle -}$	${\displaystyle -}$
${\displaystyle \quad 2}$	${\displaystyle 4}$	${\displaystyle 1}$	${\displaystyle 1,4}$	${\displaystyle (2,1),(2,4)}$
${\displaystyle \quad 3}$	${\displaystyle 4}$	${\displaystyle 1}$	${\displaystyle 1,4}$	${\displaystyle (3,1),(3,4)}$
${\displaystyle \quad 4}$	${\displaystyle 1}$	${\displaystyle 4}$	${\displaystyle 2,3}$	${\displaystyle (4,2),(4,3)}$

Например, последняя строка вычисляется следующим образом: если вы вставляете ${\displaystyle x=4}$ в уравнении х ³ + x + 1 мод 5 вы получаете ${\displaystyle 4}$ как результат (3-й столбец). Такого результата можно достичь, если ${\displaystyle y=2,3}$ ( Квадратичные остатки можно посмотреть во 2-м столбце). Таким образом, баллы за последнюю строку равны ${\displaystyle (4,2),(4,3)}$.

Поэтому, ${\displaystyle E(\mathbb {F} _{5})}$ имеет мощность 9: 8 точек, перечисленных выше, и точку на бесконечности.

Этот алгоритм требует времени работы O ( q ), поскольку все значения ${\displaystyle x\in \mathbb {F} _{q}}$ необходимо учитывать.

Улучшение времени работы достигается с помощью другого подхода: мы выбираем элемент ${\displaystyle P=(x,y)\in E(\mathbb {F} _{q})}$ путем выбора случайных значений ${\displaystyle x}$ до ${\displaystyle x^{3}+Ax+B}$ это квадрат в ${\displaystyle \mathbb {F} _{q}}$ а затем вычислить квадратный корень из этого значения, чтобы получить ${\displaystyle y}$.Теорема Хассе говорит нам, что ${\displaystyle |E(\mathbb {F} _{q})|}$ лежит в интервале ${\displaystyle (q+1-2{\sqrt {q}},q+1+2{\sqrt {q}})}$. Таким образом, по теореме Лагранжа нахождение единственного ${\displaystyle M}$ лежащий в этом интервале и удовлетворяющий ${\displaystyle MP=O}$, приводит к нахождению мощности ${\displaystyle E(\mathbb {F} _{q})}$. Алгоритм не работает, если существуют два различных целых числа. ${\displaystyle M}$ и ${\displaystyle M'}$ на интервале таком, что ${\displaystyle MP=M'P=O}$. В таком случае обычно достаточно повторить алгоритм с другой случайно выбранной точкой в ${\displaystyle E(\mathbb {F} _{q})}$.

Пробуем все значения ${\displaystyle M}$ чтобы найти тот, который удовлетворяет ${\displaystyle MP=O}$ берет вокруг ${\displaystyle 4{\sqrt {q}}}$ шаги.

Однако, применив алгоритм «маленького шага-гиганта» к ${\displaystyle E(\mathbb {F} _{q})}$, мы можем ускорить это примерно до ${\displaystyle 4{\sqrt[{4}]{q}}}$ шаги. Алгоритм следующий.

1. выбрать ${\displaystyle m}$ целое число, ${\displaystyle m>{\sqrt[{4}]{q}}}$2.  ЗА  { ${\displaystyle j=0}$ к ${\displaystyle m}$}  ДЕЛАТЬ  3. ${\displaystyle P_{j}\leftarrow jP}$4.  НАКОНЕЦ-ТО 5. ${\displaystyle L\leftarrow 1}$6.  ${\displaystyle Q\leftarrow (q+1)P}$7.  ПОВТОРИТЕ  подсчёт очков ${\displaystyle Q+k(2mP)}$8.  ПОКА  ${\displaystyle \exists j}$:  ${\displaystyle Q+k(2mP)=\pm P_{j}}$ \\ ${\displaystyle x}$-координаты сравниваются9. ${\displaystyle M\leftarrow q+1+2mk\mp j}$ \\примечание ${\displaystyle MP=O}$10. Фактор ${\displaystyle M}$. Позволять ${\displaystyle p_{1},\ldots ,p_{r}}$ быть отдельными простыми факторами ${\displaystyle M}$.11.  ПОКА  ${\displaystyle i\leq r}$ ДЕЛАТЬ 12.  ЕСЛИ  ${\displaystyle {\frac {M}{p_{i}}}P=O}$13.  ЗАТЕМ  ${\displaystyle M\leftarrow {\frac {M}{p_{i}}}}$14.  ЕЩЕ  ${\displaystyle i\leftarrow i+1}$ 15.  ЭНДИФ 16.  КОНЕЦ 17. ${\displaystyle L\leftarrow \operatorname {lcm} (L,M)}$ \\примечание ${\displaystyle M}$ это порядок точки ${\displaystyle P}$18.  ПОКА  ${\displaystyle L}$ делит более одного целого числа ${\displaystyle N}$ в ${\displaystyle (q+1-2{\sqrt {q}},q+1+2{\sqrt {q}})}$19.  ОБЯЗАТЕЛЬНО  выберите новую точку ${\displaystyle P}$ и перейти к 1.20.  КОНЕЦ 21.  ВОЗВРАТ  ${\displaystyle N}$ \\это мощность ${\displaystyle E(\mathbb {F} _{q})}$

• В строке 8. мы предполагаем наличие совпадения. Действительно, следующая лемма гарантирует, что такое совпадение существует:

Позволять ${\displaystyle a}$ быть целым числом с ${\displaystyle |a|\leq 2m^{2}}$. Существуют целые числа ${\displaystyle a_{0}}$ и ${\displaystyle a_{1}}$ с

${\displaystyle -m<a_{0}\leq m{\mbox{ and }}-m\leq a_{1}\leq m{\mbox{ s.t. }}a=a_{0}+2ma_{1}.}$

• Вычисление ${\displaystyle (j+1)P}$ один раз ${\displaystyle jP}$ было вычислено, можно сделать, добавив ${\displaystyle P}$ к ${\displaystyle jP}$ вместо того, чтобы заново вычислять полное скалярное умножение. Таким образом, для полного расчета требуется ${\displaystyle m}$ дополнения. ${\displaystyle 2mP}$ можно получить с одним удвоением из ${\displaystyle mP}$. Вычисление ${\displaystyle Q}$ требует ${\displaystyle \log(q+1)}$ удвоения и ${\displaystyle w}$ дополнения, где ${\displaystyle w}$ количество ненулевых цифр в двоичном представлении ${\displaystyle q+1}$; отметим, что знание ${\displaystyle jP}$ и ${\displaystyle 2mP}$ позволяет уменьшить количество удвоений. Наконец, чтобы получить от ${\displaystyle Q+k(2mP)}$ к ${\displaystyle Q+(k+1)(2mP)}$, просто добавьте ${\displaystyle 2mP}$ вместо того, чтобы пересчитывать все.
• Мы предполагаем, что можем факторизовать ${\displaystyle M}$. Если нет, то мы можем, по крайней мере, найти все малые простые множители. ${\displaystyle p_{i}}$ и проверь это ${\displaystyle {\frac {M}{p_{i}}}\neq O}$ для этих. Затем ${\displaystyle M}$ будет хорошим кандидатом орден на ${\displaystyle P}$.
• Вывод шага 17 можно доказать с помощью элементарной теории групп: поскольку ${\displaystyle MP=O}$, порядок ${\displaystyle P}$ делит ${\displaystyle M}$. Если нет собственного делителя ${\displaystyle {\bar {M}}}$ из ${\displaystyle M}$ осознает ${\displaystyle {\bar {M}}P=O}$, затем ${\displaystyle M}$ это порядок ${\displaystyle P}$.

Одним из недостатков этого метода является то, что когда группа становится большой, требуется слишком много памяти. Чтобы решить эту проблему, возможно, было бы более эффективно хранить только ${\displaystyle x}$ координаты точек ${\displaystyle jP}$ (вместе с соответствующим целым числом ${\displaystyle j}$). Однако это приводит к дополнительному скалярному умножению для выбора между ${\displaystyle -j}$ и ${\displaystyle +j}$.

Существуют и другие общие алгоритмы вычисления порядка элемента группы, которые более эффективны с точки зрения использования пространства, такие как ро-алгоритм Полларда и метод кенгуру Полларда . Метод кенгуру Полларда позволяет искать решение в заданном интервале, что дает время работы ${\displaystyle O({\sqrt[{4}]{q}})}$, с использованием ${\displaystyle O(\log ^{2}{q})}$ космос.

Теоретический прорыв в проблеме вычисления мощности групп типа ${\displaystyle E(\mathbb {F} _{q})}$ был достигнут Рене Шуфом, который в 1985 году опубликовал первый детерминированный алгоритм с полиномиальным временем. Центральным элементом алгоритма Шуфа является использование полиномов деления и теоремы Хассе , а также китайской теоремы об остатках .

Идея Шуфа основана на том факте, что по теореме Хассе существует конечный диапазон возможных значений для ${\displaystyle |E(\mathbb {F} _{q})|}$. Достаточно вычислить ${\displaystyle |E(\mathbb {F} _{q})|}$ по модулю целого числа ${\displaystyle N>4{\sqrt {q}}}$. Это достигается за счет вычислений ${\displaystyle |E(\mathbb {F} _{q})|}$ простые числа по модулю ${\displaystyle \ell _{1},\ldots ,\ell _{s}}$ чей продукт превышает ${\displaystyle 4{\sqrt {q}}}$, а затем применив китайскую теорему об остатках. Ключом к алгоритму является использование полинома деления ${\displaystyle \psi _{\ell }}$ эффективно вычислять ${\displaystyle |E(\mathbb {F} _{q})|}$ модуль ${\displaystyle \ell }$.

Время работы алгоритма Шуфа полиномиально. ${\displaystyle n=\log {q}}$, с асимптотической сложностью ${\displaystyle O(n^{2}M(n^{3})/\log {n})=O(n^{5+o(1)})}$, где ${\displaystyle M(n)}$ обозначает сложность целочисленного умножения . Его пространственная сложность ${\displaystyle O(n^{3})}$.

В 1990-х годах Ноам Элкис , а затем АОЛ Аткин разработали улучшения базового алгоритма Шуфа, проводя различие между простыми числами. ${\displaystyle \ell _{1},\ldots ,\ell _{s}}$ которые используются. Премьер ${\displaystyle \ell }$ называется простым числом Элкиса, если характеристическое уравнение эндоморфизма Фробениуса ${\displaystyle \phi ^{2}-t\phi +q=0}$, распадается ${\displaystyle \mathbb {F} _{\ell }}$. В противном случае ${\displaystyle \ell }$ называется простым числом Аткина. Простые числа Элкиса являются ключом к улучшению асимптотической сложности алгоритма Шуфа. Информация, полученная из простых чисел Аткина, допускает дальнейшее улучшение, которое асимптотически незначительно, но может оказаться весьма важным на практике. Модификация алгоритма Шуфа для использования простых чисел Элкиса и Аткина известна как алгоритм Шуфа – Элкиса – Аткина (SEA).

Статус конкретного премьера ${\displaystyle \ell }$ зависит от эллиптической кривой ${\displaystyle E/\mathbb {F} _{q}}$, и может быть определен с помощью модульного полинома ${\displaystyle \Psi _{\ell }(X,Y)}$. Если одномерный полином ${\displaystyle \Psi _{\ell }(X,j(E))}$ имеет корень в ${\displaystyle \mathbb {F} _{q}}$, где ${\displaystyle j(E)}$ обозначает j- инвариант ${\displaystyle E}$, затем ${\displaystyle \ell }$ является простым числом Элкиса, а в противном случае — простым числом Аткина. В случае Элкиса дальнейшие вычисления с использованием модульных полиномов используются для получения правильного множителя полинома деления. ${\displaystyle \psi _{\ell }}$. Степень этого фактора ${\displaystyle O(\ell )}$, тогда как ${\displaystyle \psi _{\ell }}$ имеет степень ${\displaystyle O(\ell ^{2})}$.

В отличие от алгоритма Шуфа, алгоритм SEA обычно реализуется как вероятностный алгоритм (типа Лас-Вегаса ), так что поиск корня и другие операции могут выполняться более эффективно. Его вычислительная сложность во многом зависит от стоимости вычисления модульных полиномов. ${\displaystyle \Psi _{\ell }(X,Y)}$, но так как они не зависят от ${\displaystyle E}$, они могут быть вычислены один раз и использоваться повторно. При эвристическом предположении, что существует достаточно много маленьких простых чисел Элкиса, и исключая затраты на вычисление модульных полиномов, асимптотическое время работы алгоритма SEA равно ${\displaystyle O(n^{2}M(n^{2})/\log {n})=O(n^{4+o(1)})}$, где ${\displaystyle n=\log {q}}$. Его пространственная сложность ${\displaystyle O(n^{3}\log {n})}$, но когда используются предварительно вычисленные модульные полиномы, это увеличивается до ${\displaystyle O(n^{4})}$.

• Алгоритм Шуфа
• Криптография эллиптических кривых
• Бэби-шаг, гигантский шаг
• Криптография с открытым ключом
• Алгоритм Шуфа – Элкиса – Аткина
• Поллард Ро
• Поллард кенгуру
• Доказательство простоты эллиптической кривой

• И. Блейк, Г. Серусси и Н. Смарт: эллиптические кривые в криптографии , издательство Кембриджского университета, 1999.
• А. Энге: Эллиптические кривые и их приложения в криптографии: Введение . Kluwer Academic Publishers, Дордрехт, 1999.
• Г. Мюзикер: Алгоритм Шуфа для подсчета очков на ${\displaystyle E(\mathbb {F} _{q})}$. Доступно по адресу http://www.math.umn.edu/~musiker/schoof.pdf.
• Р. Шуф: Подсчет точек на эллиптических кривых над конечными полями. Дж. Теория. Nombres Bordeaux 7:219-254, 1995. Доступно по адресу http://www.mat.uniroma2.it/~schoof/ctg.pdf.
• Л. К. Вашингтон: Эллиптические кривые: теория чисел и криптография. Чепмен \& Холл/CRC, Нью-Йорк, 2003 г.