Скрученные кривые Гессе

В математике скрученная кривая Гессе представляет собой обобщение кривых Гессе ; он был введен в криптографию эллиптических кривых для ускорения формул сложения и удвоения и обеспечения строго унифицированной арифметики. В некоторых операциях (см. последние разделы) он по скорости близок к кривым Эдвардса .

Пусть К — поле . В соответствии с ^[1] скрученные кривые Гессе были введены Бернштейном , Ланге,и Кохель.

Скрученная гессианская форма в аффинных координатах определяется выражением:

${\displaystyle a\cdot x^{3}+y^{3}+1=d\cdot x\cdot y}$

и в проективных координатах :

${\displaystyle a\cdot X^{3}+Y^{3}+Z^{3}=d\cdot X\cdot Y\cdot Z}$

где ${\displaystyle x={\frac {X}{Z}}}$ и ${\displaystyle y={\frac {Y}{Z}}}$ и a , d в K

Заметим, что эти кривые бирационально эквивалентны кривым Гессе .

Кривая Гессе — это частный случай скрученной кривой Гессе с a = 1.

Учитывая уравнение a · x ³ + и ³ + 1 = d · x · y , обратите внимание, что:

если a имеет кубический корень в K , существует единственный b такой, что a = b ³ .В противном случае необходимо рассматривать расширения поле K (например, K ( a ^1/3 )). Тогда, поскольку б ³ · х ³ = бх ³ , определяя t = b · x , для выполнения преобразования необходимо следующее уравнение (в форме Гессе):

${\displaystyle t^{3}+y^{3}+1=d\cdot x\cdot y}$.

Это означает, что скрученные кривые Гессе бирационально эквивалентны эллиптической кривой в форме Вейерштрасса .

Интересно проанализировать групповой закон эллиптической кривой, определяя формулы сложения и удвоения (поскольку атаки простого анализа мощности и дифференциального анализа мощности основаны на времени выполнения этих операций). В общем, групповой закон определяется следующим образом: если три точки лежат на одной прямой, то их сумма равна нулю. Таким образом, в силу этого свойства явные формулы группового закона зависят от формы кривой.

Пусть P = ( x ₁ , y ₁ ) — точка, тогда ее обратная точка — − P = ( x ₁ / y ₁ , 1/ y ₁ ) на плоскости.В проективных координатах пусть P = ( X : Y : Z ) — одна точка, тогда — P = ( X ₁ / Y ₁ : 1/ Y ₁ : Z ) является обратной точкой P.

Кроме того, нейтральный элемент (в аффинной плоскости) равен: θ = (0, −1) и в проективных координатах: θ = (0 : −1 : 1).

В некоторых приложениях криптографии эллиптических кривых и метода факторизации целых чисел ( ECM эллиптических кривых необходимо вычислить скалярные умножения P ) на основе , скажем, [n]P для некоторого целого числа n , и они основаны на методе двойного сложения. метод; поэтому нужны формулы сложения и удвоения.

Формулы сложения и удвоения для этой эллиптической кривой можно определить, используя аффинные координаты для упрощения обозначений:

Пусть p = ( x ₁ , y ₁ ) и Q = ( x ₂ , y ₂ ); тогда R = P + Q = ( x ₃ , y ₃ ) определяется следующими уравнениями:

${\displaystyle x_{3}={\frac {x_{1}-y_{1}^{2}\cdot x_{2}\cdot y_{2}}{a\cdot x_{1}\cdot y_{1}\cdot x_{2}^{2}-y_{2}}}}$

${\displaystyle y_{3}={\frac {y_{1}\cdot y_{2}^{2}-a\cdot x_{1}^{2}\cdot x_{2}}{a\cdot x_{1}\cdot y_{1}\cdot x_{2}^{2}-y_{2}}}}$

Пусть P = ( x , y ); тогда [2] P = ( x ₁ , y ₁ ) определяется следующими уравнениями:

${\displaystyle x_{1}={\frac {x-y^{3}\cdot x}{a\cdot y\cdot x^{3}-y}}}$

${\displaystyle y_{1}={\frac {y^{3}-a\cdot x^{3}}{a\cdot y\cdot x^{3}-y}}}$

Здесь приведены некоторые эффективные алгоритмы закона сложения и удвоения; они могут быть важны в криптографических вычислениях, и для этой цели используются проективные координаты.

${\displaystyle A=X_{1}\cdot Z_{2}}$

${\displaystyle B=Z_{1}\cdot Z_{2}}$

${\displaystyle C=Y_{1}X_{2}}$

${\displaystyle D=Y_{1}\cdot Y_{2}}$

${\displaystyle E=Z_{1}\cdot Y_{2}}$

${\displaystyle F=a\cdot X_{1}\cdot X_{2}}$

${\displaystyle X_{3}=A\cdot B-C\cdot D}$

${\displaystyle Y_{3}=D\cdot E-F\cdot A}$

${\displaystyle Z_{3}=F\cdot C-B\cdot E}$

Стоимость этого алгоритма составляет 12 умножений, одно умножение на (константу) и 3 сложения.

Пример:

пусть P ₁ = (1 : −1 : 1) и P ₂ = (−2 : 1 : 1) — точки над скрученной кривой Гессе с a = 2 и d = -2. R = P ₁ + P ₂ Тогда предоставлено:

${\displaystyle A=-1;B=-1;C=-1;D=-1;E=1;F=2;}$

${\displaystyle x_{3}=0}$

${\displaystyle y_{3}=-3}$

${\displaystyle z_{3}=-3}$

То есть R = (0: −3: −3).

${\displaystyle D=X_{1}^{3}}$

${\displaystyle E=Y_{1}^{3}}$

${\displaystyle F=Z_{1}^{3}}$

${\displaystyle G=a\cdot D}$

${\displaystyle X_{3}=X_{1}\cdot (E-F)}$

${\displaystyle Y_{3}=Z_{1}\cdot (G-E)}$

${\displaystyle Z_{3}=Y_{1}\cdot (F-G)}$

Стоимость этого алгоритма — 3 умножения, одно умножение на константу, 3 сложения и 3 степени куба.Это лучший результат, полученный для этой кривой.

Пример:

пусть P = (1 : −1 : 1) — точка над кривой, определяемой a=2 и d=-2, как указано выше, тогда R = [2] P = ( x ₃ : y ₃ : z ₃ ) задано к:

${\displaystyle D=1;E=-1;F=1;G=-4;}$

${\displaystyle x_{3}=-2}$

${\displaystyle y_{3}=-3}$

${\displaystyle z_{3}=-5}$

Это R = (−2 : −3 : 5).

• Таблица затрат операций на эллиптических кривых

• http://hyperelliptic.org/EFD/g1p/index.html

• http://hyperelliptic.org/EFD/g1p/auto-twistedhessian.html