Подсчет точек на эллиптических кривых - Counting points on elliptic curves

Важный аспект в изучении эллиптические кривые разрабатывает эффективные способы подсчет точек на кривой. Для этого было несколько подходов, и алгоритмы разработанные, оказались полезными инструментами при изучении различных областей, таких как теория чисел, а совсем недавно в криптография и аутентификации цифровой подписи (см. криптография на основе эллиптических кривых и эллиптическая кривая DSA ). Хотя в теории чисел они имеют важные последствия при решении Диофантовы уравнения Что касается криптографии, они позволяют нам эффективно использовать сложность задача дискретного логарифмирования (DLP) для группы , эллиптических кривых над конечное поле , куда q = пk и п это простое число. DLP, как его стали называть, является широко используемым подходом к криптография с открытым ключом, а сложность решения этой задачи определяет уровень безопасности криптосистемы. В этой статье рассматриваются алгоритмы подсчета точек на эллиптических кривых над полями большой характеристики, в частности п > 3. Для кривых над полями малой характеристики более эффективные алгоритмы на основе псуществуют адические методы.

Подходы к подсчету точек на эллиптических кривых

Есть несколько подходов к проблеме. Начиная с наивного подхода, мы прослеживаем развитие до окончательной работы Шуфа по этому вопросу, а также перечисляем усовершенствования алгоритма Шуфа, сделанные Элкисом (1990) и Аткином (1992).

Некоторые алгоритмы используют тот факт, что группы формы подпадают под важную теорему Хассе, ограничивающую количество рассматриваемых точек. Теорема Хассе заявляет, что если E является эллиптической кривой над конечным полем , то мощность из удовлетворяет

Наивный подход

Наивный подход к подсчету очков, который является наименее изощренным, предполагает перебор всех элементов поля. и проверка того, какие из них удовлетворяют форме Вейерштрасса эллиптической кривой

Пример

Позволять E быть кривой у2 = Икс3 + Икс +1 больше . Для подсчета очков E, составим список возможных значений Икс, затем квадратичные вычеты из x mod 5 (только для поиска), затем из Икс3 + Икс + 1 мод 5, затем из у из Икс3 + Икс + 1 mod 5. Это дает очки на E.

Точки

Например. последняя строка вычисляется следующим образом: Если вы вставите в уравнении ты получаешь как результат (3-й столбец). Такого результата можно добиться, если (Квадратичные вычеты можно посмотреть во 2-м столбце). Таким образом, точки для последней строки .

Следовательно, имеет мощность из 9: 8 перечисленных выше точек и бесконечно удаленная точка.

Этот алгоритм требует времени выполнения О(q), поскольку все значения должны быть рассмотрены.

Бэби-степ гигантский шаг

Уменьшение времени работы достигается при использовании другого подхода: мы выбираем элемент путем выбора случайных значений до того как квадрат в а затем вычислить квадратный корень из этого значения, чтобы получить Теорема Хассе говорит нам, что лежит в интервале . Таким образом, Теорема Лагранжа, находя уникальный лежащий в этом интервале и удовлетворяющий , приводит к нахождению мощности . Алгоритм не работает, если существует два различных целых числа. и в таком интервале, что . В таком случае обычно достаточно повторить алгоритм с другой случайно выбранной точкой в .

Испытание всех значений чтобы найти тот, который удовлетворяет принимает вокруг шаги.

Однако, применяя бэби-шаг гигантский шаг алгоритм для , мы можем ускорить это примерно до шаги. Алгоритм следующий.

Алгоритм

1. выберите  целое число 2. ЗА{ к } ДЕЛАТЬ 3.    4. ENDFOR5. 6. 7. ПОВТОРЕНИЕ вычислить точки 8. ДО ТОГО КАК :    the -координаты сравниваются 9.      Примечание 10. Фактор . Позволять  - различные простые множители .11. ПОКА  ДЕЛАТЬ12.    ЕСЛИ 13.       ТОГДА 14.       ЕЩЕ  15.    ENDIF16. ENDWHILE17.      Примечание  это порядок точки 18. ПОКА  делит более одного целого числа  в 19.    ДЕЛАТЬ выберите новую точку  и перейдите к 1.20. ENDWHILE21. ВОЗВРАЩАТЬСЯ       это мощность 

Примечания к алгоритму

  • В строке 8 мы предполагаем наличие совпадения. Действительно, следующая лемма гарантирует, что такое совпадение существует:
Позволять быть целым числом с . Есть целые числа и с
  • Вычисление однажды было вычислено, можно сделать, добавив к вместо повторного вычисления полного скалярного умножения. Таким образом, полное вычисление требует дополнения. можно получить одним удвоением из . Расчет требует удвоения и дополнения, где - количество ненулевых цифр в двоичном представлении ; обратите внимание, что знание и позволяет сократить количество удвоений. Наконец, чтобы получить от к просто добавьте вместо того, чтобы все пересчитывать.
  • Мы предполагаем, что можем . Если нет, то мы можем по крайней мере найти все маленькие простые множители и проверьте это для этих. потом будет хорошим кандидатом на порядок из .
  • Заключение шага 17 можно доказать с помощью элементарной теории групп: так как , получатель чего-то разделяет . Если нет собственного делителя из понимает , тогда это порядок .

Один из недостатков этого метода заключается в том, что при увеличении группы требуется слишком много памяти. Чтобы решить эту проблему, было бы более эффективно хранить только координаты точек (вместе с соответствующим целым числом ). Однако это приводит к дополнительному скалярному умножению, чтобы выбирать между и .

Существуют и другие общие алгоритмы для вычисления порядка элемента группы, которые более эффективно занимают место, например Алгоритм ро Полларда и Кенгуру Полларда метод. Метод кенгуру Полларда позволяет искать решение в заданном интервале, давая время выполнения , с помощью Космос.

Алгоритм Шуфа

Теоретический прорыв в проблеме вычисления мощности групп типа была достигнута Рене Шуфом, который в 1985 году опубликовал первый детерминированный алгоритм полиномиального времени. Центральным элементом алгоритма Шуфа является использование полиномы деления и Теорема Хассе, вместе с Китайская теорема об остатках.

Понимание Шуфа использует тот факт, что по теореме Хассе существует конечный диапазон возможных значений для . Достаточно вычислить по модулю целого числа . Это достигается путем вычисления по модулю простых чисел чей продукт превышает , а затем применив китайскую теорему об остатках. Ключом к алгоритму является использование полинома деления эффективно вычислять по модулю .

Время работы алгоритма Шуфа полиномиально от , с асимптотической сложностью , куда обозначает сложность целочисленного умножения. Его космическая сложность составляет .

Алгоритм Шуфа – Элкиса – Аткина

В 1990-е годы Ноам Элкис, с последующим Аткин А.О. разработал улучшения основного алгоритма Шуфа, проводя различие между простыми числами которые используются. Премьер называется простым числом Элкиса, если характеристическое уравнение эндоморфизма Фробениуса , разделяется на . Иначе называется простым числом Аткина. Простые числа Элкиса являются ключом к улучшению асимптотической сложности алгоритма Шуфа. Информация, полученная с помощью простых чисел Аткина, допускает дальнейшее улучшение, которое асимптотически незначительно, но может быть весьма важным на практике. Модификация алгоритма Шуфа для использования простых чисел Элкиса и Аткина известна как алгоритм Шуфа – Элкиса – Аткина (SEA).

Статус конкретного прайма зависит от эллиптической кривой , и может быть определена с помощью модульный многочлен . Если одномерный многочлен имеет корень в , куда обозначает j-инвариантный из , тогда является простым числом Элкиса, в противном случае - простым числом Аткина. В случае Элкиса для получения правильного множителя полинома деления используются дальнейшие вычисления с участием модулярных полиномов . Степень этого фактора составляет , в то время как имеет степень .

В отличие от алгоритма Шуфа, алгоритм SEA обычно реализуется как вероятностный алгоритм (из Лас Вегас type), так что поиск корней и другие операции могут выполняться более эффективно. В его вычислительной сложности преобладает стоимость вычисления модульных многочленов. , но поскольку они не зависят от , их можно вычислить один раз и использовать повторно. При эвристическом предположении, что существует достаточно много малых простых чисел Элкиса, и без учета затрат на вычисление модульных многочленов, асимптотическое время работы алгоритма SEA равно , куда . Его космическая сложность составляет , но когда используются предварительно вычисленные модульные полиномы, это увеличивается до .

Смотрите также

Библиография

  • И. Блейк, Г. Серусси и Н. Смарт: Эллиптические кривые в криптографии, Издательство Кембриджского университета, 1999.
  • А. Энге: Эллиптические кривые и их приложения в криптографии: введение. Kluwer Academic Publishers, Дордрехт, 1999.
  • Г. Мусикер: Алгоритм Шуфа для подсчета очков на . Доступны на http://www.math.umn.edu/~musiker/schoof.pdf
  • Р. Шоф: Подсчет точек на эллиптических кривых над конечными полями. J. Theor. Nombres Bordeaux 7: 219-254, 1995. Доступно на http://www.mat.uniroma2.it/~schoof/ctg.pdf
  • Л. С. Вашингтон: Эллиптические кривые: теория чисел и криптография. Chapman & Hall / CRC, Нью-Йорк, 2003.

Рекомендации