Алгоритм Шуфа

Алгоритм Шуфа — эффективный алгоритм подсчета точек на эллиптических кривых над конечными полями . Алгоритм имеет приложения в криптографии эллиптических кривых , где важно знать количество точек, чтобы судить о сложности решения задачи дискретного логарифмирования в группе точек на эллиптической кривой.

Алгоритм был опубликован Рене Шуфом в 1985 году и стал теоретическим прорывом, поскольку это был первый детерминированный алгоритм с полиномиальным временем для подсчета точек на эллиптических кривых . До появления алгоритма Шуфа подходы к подсчету точек на эллиптических кривых, такие как наивный алгоритм и алгоритм «гигантского шага» , были по большей части утомительными и имели экспоненциальное время работы.

В этой статье объясняется подход Шуфа, уделяя особое внимание математическим идеям, лежащим в основе структуры алгоритма.

Позволять ${\displaystyle E}$ — эллиптическая кривая, определенная над конечным полем ${\displaystyle \mathbb {F} _{q}}$, где ${\displaystyle q=p^{n}}$ для ${\displaystyle p}$ простое и ${\displaystyle n}$ целое число ${\displaystyle \geq 1}$. По полю характеристики ${\displaystyle \neq 2,3}$ эллиптическая кривая может быть задана (коротким) уравнением Вейерштрасса

${\displaystyle y^{2}=x^{3}+Ax+B}$

с ${\displaystyle A,B\in \mathbb {F} _{q}}$. Множество точек, определенных ${\displaystyle \mathbb {F} _{q}}$ состоит из решений ${\displaystyle (a,b)\in \mathbb {F} _{q}^{2}}$ удовлетворяющее уравнению кривой и бесконечно удаленной точке ${\displaystyle O}$. Используя групповой закон на эллиптических кривых, ограниченных этим множеством, можно увидеть, что это множество ${\displaystyle E(\mathbb {F} _{q})}$ образует абелеву группу , причем ${\displaystyle O}$ выступающий в качестве нулевого элемента. Чтобы подсчитать точки на эллиптической кривой, мы вычисляем мощность ${\displaystyle E(\mathbb {F} _{q})}$. Подход Шуфа к вычислению мощности ${\displaystyle \#E(\mathbb {F} _{q})}$ использует теорему Хассе об эллиптических кривых вместе с китайской теоремой об остатках и полиномами деления .

Теорема Хассе утверждает, что если ${\displaystyle E/\mathbb {F} _{q}}$ является эллиптической кривой над конечным полем ${\displaystyle \mathbb {F} _{q}}$, затем ${\displaystyle \#E(\mathbb {F} _{q})}$ удовлетворяет

${\displaystyle \mid q+1-\#E(\mathbb {F} _{q})\mid \leq 2{\sqrt {q}}.}$

Этот мощный результат, полученный Хассе в 1934 году, упрощает нашу проблему, сужая круг ${\displaystyle \#E(\mathbb {F} _{q})}$ ограниченному (хотя и большому) набору возможностей. Определение ${\displaystyle t}$ быть ${\displaystyle q+1-\#E(\mathbb {F} _{q})}$, и используя этот результат, мы теперь имеем, что вычисляем значение ${\displaystyle t}$ модуль ${\displaystyle N}$ где ${\displaystyle N>4{\sqrt {q}}}$, достаточно для определения ${\displaystyle t}$, и таким образом ${\displaystyle \#E(\mathbb {F} _{q})}$. Хотя не существует эффективного способа вычисления ${\displaystyle t{\pmod {N}}}$ непосредственно для общего ${\displaystyle N}$, можно вычислить ${\displaystyle t{\pmod {l}}}$ для ${\displaystyle l}$ небольшое простое, довольно эффективное. Мы выбираем ${\displaystyle S=\{l_{1},l_{2},...,l_{r}\}}$ быть набором различных простых чисел таким, что ${\displaystyle \prod l_{i}=N>4{\sqrt {q}}}$. Данный ${\displaystyle t{\pmod {l_{i}}}}$ для всех ${\displaystyle l_{i}\in S}$, китайская теорема об остатках позволяет нам вычислить ${\displaystyle t{\pmod {N}}}$.

Чтобы вычислить ${\displaystyle t{\pmod {l}}}$ для простого ${\displaystyle l\neq p}$, воспользуемся теорией эндоморфизма Фробениуса ${\displaystyle \phi }$ и полиномы деления . Обратите внимание, что рассматривая простые числа ${\displaystyle l\neq p}$ это не потеря, поскольку мы всегда можем выбрать на его место большее простое число, чтобы гарантировать, что произведение будет достаточно большим. В любом случае алгоритм Шуфа чаще всего используется при решении этого случая. ${\displaystyle q=p}$ поскольку существуют более эффективные, так называемые ${\displaystyle p}$ адические алгоритмы для полей малой характеристики.

Учитывая эллиптическую кривую ${\displaystyle E}$ определено более ${\displaystyle \mathbb {F} _{q}}$ мы рассматриваем пункты по ${\displaystyle E}$ над ${\displaystyle {\bar {\mathbb {F} }}_{q}}$, алгебраическое замыкание ${\displaystyle \mathbb {F} _{q}}$; т.е. мы разрешаем точки с координатами в ${\displaystyle {\bar {\mathbb {F} }}_{q}}$. Фробениуса Эндоморфизм ​ ${\displaystyle {\bar {\mathbb {F} }}_{q}}$ над ${\displaystyle \mathbb {F} _{q}}$ продолжается до эллиптической кривой на ${\displaystyle \phi :(x,y)\mapsto (x^{q},y^{q})}$.

Эта карта является идентификатором на ${\displaystyle E(\mathbb {F} _{q})}$ и его можно продлить до бесконечности ${\displaystyle O}$, что делает его групповым морфизмом из ${\displaystyle E({\bar {\mathbb {F} _{q}}})}$ самому себе.

Эндоморфизм Фробениуса удовлетворяет квадратичному многочлену, который связан с мощностью ${\displaystyle E(\mathbb {F} _{q})}$ по следующей теореме:

Теорема: Эндоморфизм Фробениуса, заданный формулой ${\displaystyle \phi }$ удовлетворяет характеристическому уравнению

${\displaystyle \phi ^{2}-t\phi +q=0,}$ где ${\displaystyle t=q+1-\#E(\mathbb {F} _{q})}$

Таким образом, мы имеем для всех ${\displaystyle P=(x,y)\in E}$ что ${\displaystyle (x^{q^{2}},y^{q^{2}})+q(x,y)=t(x^{q},y^{q})}$, где + обозначает сложение на эллиптической кривой, а ${\displaystyle q(x,y)}$ и ${\displaystyle t(x^{q},y^{q})}$ обозначаем скалярное умножение ${\displaystyle (x,y)}$ к ${\displaystyle q}$ и из ${\displaystyle (x^{q},y^{q})}$ к ${\displaystyle t}$.

Можно попытаться символически вычислить эти точки. ${\displaystyle (x^{q^{2}},y^{q^{2}})}$, ${\displaystyle (x^{q},y^{q})}$ и ${\displaystyle q(x,y)}$ как функции в координатном кольце ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B)}$ из ${\displaystyle E}$ а затем найдите значение ${\displaystyle t}$ что удовлетворяет уравнению. Однако степени становятся очень большими, и такой подход непрактичен.

Идея Шуфа заключалась в том, чтобы выполнить это вычисление, ограниченное точками порядка. ${\displaystyle l}$ для различных малых простых чисел ${\displaystyle l}$. Исправление нечетного простого числа ${\displaystyle l}$, теперь перейдем к решению задачи определения ${\displaystyle t_{l}}$, определяемый как ${\displaystyle t{\pmod {l}}}$, для данного простого числа ${\displaystyle l\neq 2,p}$. Если точка ${\displaystyle (x,y)}$ находится в ${\displaystyle l}$- торсионная подгруппа ${\displaystyle E[l]=\{P\in E({\bar {\mathbb {F} _{q}}})\mid lP=O\}}$, затем ${\displaystyle qP={\bar {q}}P}$ где ${\displaystyle {\bar {q}}}$ уникальное целое число такое, что ${\displaystyle q\equiv {\bar {q}}{\pmod {l}}}$ и ${\displaystyle \mid {\bar {q}}\mid <l/2}$. Обратите внимание, что ${\displaystyle \phi (O)=O}$ и это для любого целого числа ${\displaystyle r}$ у нас есть ${\displaystyle r\phi (P)=\phi (rP)}$. Таким образом ${\displaystyle \phi (P)}$ будет иметь тот же порядок, что и ${\displaystyle P}$. Таким образом, для ${\displaystyle (x,y)}$ принадлежащий ${\displaystyle E[l]}$, у нас также есть ${\displaystyle t(x^{q},y^{q})={\bar {t}}(x^{q},y^{q})}$ если ${\displaystyle t\equiv {\bar {t}}{\pmod {l}}}$. Таким образом, мы свели нашу задачу к решению уравнения

${\displaystyle (x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)\equiv {\bar {t}}(x^{q},y^{q}),}$

где ${\displaystyle {\bar {t}}}$ и ${\displaystyle {\bar {q}}}$ иметь целочисленные значения в ${\displaystyle [-(l-1)/2,(l-1)/2]}$.

Многочлен l -го деления таков, что его корнями являются в точности координаты x точек порядка l . Таким образом, чтобы ограничить вычисление ${\displaystyle (x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)}$ к точкам l -кручения означает вычисление этих выражений как функций в координатном кольце E и по модулю l -го полинома деления. Т.е. мы работаем в ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})}$. Это означает, в частности, что степень X и Y, определенная через ${\displaystyle (X(x,y),Y(x,y)):=(x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)}$ не более 1 по y и не более ${\displaystyle (l^{2}-3)/2}$ в х .

Скалярное умножение ${\displaystyle {\bar {q}}(x,y)}$ можно выполнить либо методами двойного сложения , либо с помощью метода ${\displaystyle {\bar {q}}}$полином четвертого деления. Последний подход дает:

${\displaystyle {\bar {q}}(x,y)=(x_{\bar {q}},y_{\bar {q}})=\left(x-{\frac {\psi _{{\bar {q}}-1}\psi _{{\bar {q}}+1}}{\psi _{\bar {q}}^{2}}},{\frac {\psi _{2{\bar {q}}}}{2\psi _{\bar {q}}^{4}}}\right)}$

где ${\displaystyle \psi _{n}}$ – полином n -го деления. Обратите внимание, что ${\displaystyle y_{\bar {q}}/y}$ является функцией только от x и обозначим ее через ${\displaystyle \theta (x)}$.

Мы должны разделить проблему на два случая: случай, когда ${\displaystyle (x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)}$, и случай, когда ${\displaystyle (x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)}$. Заметим, что эти равенства проверяются по модулю ${\displaystyle \psi _{l}}$.

Используя формулу сложения группы ${\displaystyle E(\mathbb {F} _{q})}$ мы получаем:

${\displaystyle X(x,y)=\left({\frac {y^{q^{2}}-y_{\bar {q}}}{x^{q^{2}}-x_{\bar {q}}}}\right)^{2}-x^{q^{2}}-x_{\bar {q}}.}$

Обратите внимание, что это вычисление не удастся, если предположение о неравенстве неверно.

Теперь мы можем использовать координату x, чтобы сузить выбор. ${\displaystyle {\bar {t}}}$ к двум возможностям, а именно положительному и отрицательному случаю. Используя координату y, позже определяется, какой из двух случаев имеет место.

Сначала мы покажем, что X является функцией только от x . Учитывать ${\displaystyle (y^{q^{2}}-y_{\bar {q}})^{2}=y^{2}(y^{q^{2}-1}-y_{\bar {q}}/y)^{2}}$. С ${\displaystyle q^{2}-1}$ четно, заменив ${\displaystyle y^{2}}$ к ${\displaystyle x^{3}+Ax+B}$, перепишем выражение как

${\displaystyle (x^{3}+Ax+B)((x^{3}+Ax+B)^{\frac {q^{2}-1}{2}}-\theta (x))}$

и иметь это

${\displaystyle X(x)\equiv (x^{3}+Ax+B)((x^{3}+Ax+B)^{\frac {q^{2}-1}{2}}-\theta (x)){\bmod {\psi }}_{l}(x).}$

Тут вроде не правильно, выбрасываем ${\displaystyle x^{q^{2}}-x_{\bar {q}}}$?

Теперь, если ${\displaystyle X\equiv x_{\bar {t}}^{q}{\bmod {\psi }}_{l}(x)}$ за одного ${\displaystyle {\bar {t}}\in [0,(l-1)/2]}$ затем ${\displaystyle {\bar {t}}}$ удовлетворяет

${\displaystyle \phi ^{2}(P)\mp {\bar {t}}\phi (P)+{\bar {q}}P=O}$

для всех l -точек кручения P .

Как упоминалось ранее, используя Y и ${\displaystyle y_{\bar {t}}^{q}}$ теперь мы можем определить, какое из двух значений ${\displaystyle {\bar {t}}}$ ( ${\displaystyle {\bar {t}}}$ или ${\displaystyle -{\bar {t}}}$) работает. Это дает значение ${\displaystyle t\equiv {\bar {t}}{\pmod {l}}}$. Алгоритм Шуфа сохраняет значения ${\displaystyle {\bar {t}}{\pmod {l}}}$ в переменной ${\displaystyle t_{l}}$ для каждого рассматриваемого простого числа l .

Начнем с предположения, что ${\displaystyle (x^{q^{2}},y^{q^{2}})={\bar {q}}(x,y)}$. Поскольку l — нечетное простое число, этого не может быть ${\displaystyle {\bar {q}}(x,y)=-{\bar {q}}(x,y)}$ и таким образом ${\displaystyle {\bar {t}}\neq 0}$. Характеристическое уравнение дает то, что ${\displaystyle {\bar {t}}\phi (P)=2{\bar {q}}P}$. И следовательно, что ${\displaystyle {\bar {t}}^{2}{\bar {q}}\equiv (2q)^{2}{\pmod {l}}}$. Это означает, что q является квадратом по модулю l . Позволять ${\displaystyle q\equiv w^{2}{\pmod {l}}}$. Вычислить ${\displaystyle w\phi (x,y)}$ в ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})}$ и проверьте, есть ли ${\displaystyle {\bar {q}}(x,y)=w\phi (x,y)}$. Если так, ${\displaystyle t_{l}}$ является ${\displaystyle \pm 2w{\pmod {l}}}$ в зависимости от координаты y.

Если q оказывается не квадратным по модулю l или если уравнение не выполняется ни для одного из w и ${\displaystyle -w}$, наше предположение, что ${\displaystyle (x^{q^{2}},y^{q^{2}})=+{\bar {q}}(x,y)}$ ложно, поэтому ${\displaystyle (x^{q^{2}},y^{q^{2}})=-{\bar {q}}(x,y)}$. Характеристическое уравнение дает ${\displaystyle t_{l}=0}$.

Если вы помните, в наших первоначальных рассуждениях опущен случай ${\displaystyle l=2}$. Поскольку мы предполагаем q нечетным, ${\displaystyle q+1-t\equiv t{\pmod {2}}}$ и в частности, ${\displaystyle t_{2}\equiv 0{\pmod {2}}}$ тогда и только тогда, когда ${\displaystyle E(\mathbb {F} _{q})}$ имеет элемент второго порядка. По определению сложения в группе любой элемент второго порядка должен иметь вид ${\displaystyle (x_{0},0)}$. Таким образом ${\displaystyle t_{2}\equiv 0{\pmod {2}}}$ тогда и только тогда, когда полином ${\displaystyle x^{3}+Ax+B}$ имеет корень в ${\displaystyle \mathbb {F} _{q}}$, тогда и только тогда, когда ${\displaystyle \gcd(x^{q}-x,x^{3}+Ax+B)\neq 1}$.

    Input:
        1. An elliptic curve ${\displaystyle E=y^{2}-x^{3}-Ax-B}$.
        2. An integer q for a finite field ${\displaystyle F_{q}}$ with ${\displaystyle q=p^{b},b\geq 1}$.
    Output:
        The number of points of E over ${\displaystyle F_{q}}$.
    Choose a set of odd primes S not containing p such that ${\displaystyle N=\prod _{l\in S}l>4{\sqrt {q}}.}$
    Put ${\displaystyle t_{2}=0}$ if ${\displaystyle \gcd(x^{q}-x,x^{3}+Ax+B)\neq 1}$, else ${\displaystyle t_{2}=1}$.
    Compute the division polynomial ${\displaystyle \psi _{l}}$. 
    All computations in the loop below are performed in the ring ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l}).}$
    For ${\displaystyle l\in S}$ do:
        Let ${\displaystyle {\bar {q}}}$ be the unique integer such that  ${\displaystyle q\equiv {\bar {q}}{\pmod {l}}}$ and ${\displaystyle \mid {\bar {q}}\mid <l/2}$.
        Compute ${\displaystyle (x^{q},y^{q})}$, ${\displaystyle (x^{q^{2}},y^{q^{2}})}$ and ${\displaystyle (x_{\bar {q}},y_{\bar {q}})}$.   
        if ${\displaystyle x^{q^{2}}\neq x_{\bar {q}}}$ then
            Compute ${\displaystyle (X,Y)}$.
            for ${\displaystyle 1\leq {\bar {t}}\leq (l-1)/2}$ do:
                if ${\displaystyle X=x_{\bar {t}}^{q}}$ then
                    if ${\displaystyle Y=y_{\bar {t}}^{q}}$ then
                        ${\displaystyle t_{l}={\bar {t}}}$;
                    else
                        ${\displaystyle t_{l}=-{\bar {t}}}$.
        else if q is a square modulo l then
            compute w with ${\displaystyle q\equiv w^{2}{\pmod {l}}}$
            compute ${\displaystyle w(x^{q},y^{q})}$
            if ${\displaystyle w(x^{q},y^{q})=(x^{q^{2}},y^{q^{2}})}$ then
                ${\displaystyle t_{l}=2w}$
            else if ${\displaystyle w(x^{q},y^{q})=(x^{q^{2}},-y^{q^{2}})}$ then
                ${\displaystyle t_{l}=-2w}$
            else
                ${\displaystyle t_{l}=0}$
        else
            ${\displaystyle t_{l}=0}$
    Use the Chinese Remainder Theorem to compute t modulo N
        from the equations ${\displaystyle t\equiv t_{l}{\pmod {l}}}$, where ${\displaystyle l\in S}$.
    Output ${\displaystyle q+1-t}$.

Большая часть вычислений занимает оценка ${\displaystyle \phi (P)}$ и ${\displaystyle \phi ^{2}(P)}$, для каждого простого числа ${\displaystyle l}$, это вычисления ${\displaystyle x^{q}}$, ${\displaystyle y^{q}}$, ${\displaystyle x^{q^{2}}}$, ${\displaystyle y^{q^{2}}}$ для каждого простого числа ${\displaystyle l}$. Это включает возведение в степень в кольце ${\displaystyle R=\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})}$ и требует ${\displaystyle O(\log q)}$ умножения. Поскольку степень ${\displaystyle \psi _{l}}$ является ${\displaystyle {\frac {l^{2}-1}{2}}}$, каждый элемент кольца является многочленом степени ${\displaystyle O(l^{2})}$. По теореме о простых числах существует около ${\displaystyle O(\log q)}$ простые числа размера ${\displaystyle O(\log q)}$, давая это ${\displaystyle l}$ является ${\displaystyle O(\log q)}$ и мы получаем это ${\displaystyle O(l^{2})=O(\log ^{2}q)}$. Таким образом, каждое умножение в кольце ${\displaystyle R}$ требует ${\displaystyle O(\log ^{4}q)}$ умножения в ${\displaystyle \mathbb {F} _{q}}$ что, в свою очередь, требует ${\displaystyle O(\log ^{2}q)}$ битовые операции. Всего количество битовых операций для каждого простого числа ${\displaystyle l}$ является ${\displaystyle O(\log ^{7}q)}$. Учитывая, что этот расчет необходимо выполнить для каждого из ${\displaystyle O(\log q)}$ простых чисел, общая сложность алгоритма Шуфа оказывается равной ${\displaystyle O(\log ^{8}q)}$. Использование быстрой полиномиальной и целочисленной арифметики сводит это к ${\displaystyle {\tilde {O}}(\log ^{5}q)}$.

В 1990-х годах Ноам Элкис , а затем АОЛ Аткин , разработали улучшения базового алгоритма Шуфа, ограничив набор простых чисел. ${\displaystyle S=\{l_{1},\ldots ,l_{s}\}}$ рассмотренные ранее простые числа определенного вида. Их стали называть простыми числами Элкиса и простыми числами Аткина соответственно. Премьер ${\displaystyle l}$ называется простым числом Элкиса, если характеристическое уравнение: ${\displaystyle \phi ^{2}-t\phi +q=0}$ раскалывается ${\displaystyle \mathbb {F} _{l}}$, а простое число Аткина — это простое число, не являющееся простым числом Элкиса. Аткин показал, как объединить информацию, полученную из простых чисел Аткина, с информацией, полученной из простых чисел Элкиса, для создания эффективного алгоритма, который стал известен как алгоритм Шуфа – Элкиса – Аткина . Первая проблема, которую необходимо решить, — определить, является ли данное простое число Элкисом или Аткином. Для этого мы используем модульные полиномы, которые возникли в результате изучения модулярных форм и интерпретации эллиптических кривых над комплексными числами как решеток. Как только мы определили, в каком случае мы находимся, вместо использования полиномов деления мы можем работать с полиномом, который имеет более низкую степень, чем соответствующий полином деления: ${\displaystyle O(l)}$ скорее, чем ${\displaystyle O(l^{2})}$. Для эффективной реализации используются вероятностные алгоритмы поиска корней, что делает этот алгоритм Лас-Вегаса, а не детерминированным алгоритмом. При эвристическом предположении, что примерно половина простых чисел до ${\displaystyle O(\log q)}$ связаны простые числа Элкиса, это дает алгоритм, который более эффективен, чем алгоритм Шуфа, с ожидаемым временем работы ${\displaystyle O(\log ^{6}q)}$ используя наивную арифметику и ${\displaystyle {\tilde {O}}(\log ^{4}q)}$ используя быструю арифметику. Хотя известно, что это эвристическое предположение справедливо для большинства эллиптических кривых, известно, что оно выполняется не во всех случаях, даже при GRH .

Несколько алгоритмов были реализованы на C++ Майком Скоттом и доступны с исходным кодом . Реализации бесплатны (без условий и условий) и используют библиотеку MIRACL , которая распространяется под лицензией AGPLv3 .

• алгоритма Шуфа Реализация для ${\displaystyle E(\mathbb {F} _{p})}$ с премьером ${\displaystyle p}$.
• алгоритма Шуфа Реализация для ${\displaystyle E(\mathbb {F} _{2^{m}})}$.

• Криптография эллиптических кривых
• Подсчет точек на эллиптических кривых
• Полиномы деления
• Эндоморфизм Фробениуса

• Р. Шуф: Эллиптические кривые над конечными полями и вычисление квадратных корней мод. с. Математика. Comp., 44(170):483–494, 1985. Доступно по адресу http://www.mat.uniroma2.it/~schoof/ctpts.pdf.
• Р. Шуф: Подсчет точек на эллиптических кривых над конечными полями. Дж. Теория. Nombres Bordeaux 7:219–254, 1995. Доступно по адресу http://www.mat.uniroma2.it/~schoof/ctg.pdf.
• Г. Мюзикер: Алгоритм Шуфа для подсчета очков на ${\displaystyle E(\mathbb {F} _{q})}$. Доступно по адресу http://www.math.umn.edu/~musiker/schoof.pdf.
• В. Мюллер: Вычисление количества точек эллиптических кривых над конечными простыми телами. Магистерская диссертация. Саарский университет, Саарбрюккен, 1991 г. Доступно по адресу http://lecturer.ukdw.ac.id/vmueller/publications.php.
• А. Энге: Эллиптические кривые и их приложения в криптографии: Введение. Kluwer Academic Publishers, Дордрехт, 1999.
• Л. К. Вашингтон: Эллиптические кривые: теория чисел и криптография. Чепмен и Холл/CRC, Нью-Йорк, 2003 г.
• Н. Коблиц: Курс теории чисел и криптографии, Тексты для аспирантов по математике. № 114, Springer-Verlag, 1987. Второе издание, 1994 г.