Počítání bodů na eliptických křivkách - Counting points on elliptic curves

Důležitým aspektem při studiu eliptické křivky vymýšlí efektivní způsoby počítání bodů na křivce. Existuje několik přístupů, jak toho dosáhnout, a algoritmy se ukázaly být užitečnými nástroji při studiu různých oborů, jako např teorie čísel a nověji v kryptografie a ověřování digitálního podpisu (viz kryptografie eliptické křivky a eliptická křivka DSA ). Zatímco v teorii čísel mají důležité důsledky při řešení Diophantine rovnice, pokud jde o kryptografii, umožňují nám efektivně využívat obtížnost problém diskrétního logaritmu (DLP) pro skupinu ${displaystyle E (mathbb {F} _ {q})}$ , eliptických křivek nad a konečné pole ${displaystyle mathbb {F} _ {q}}$ , kde q = p^k a p je prime. DLP, jak je známo, je široce používaným přístupem kryptografie veřejného klíče a obtížnost řešení tohoto problému určuje úroveň zabezpečení kryptosystému. Tento článek se zabývá algoritmy pro počítání bodů na eliptických křivkách přes pole velké charakteristiky, zejména p > 3. Pro křivky nad poli malých charakteristik jsou založeny efektivnější algoritmy p-adické metody existují.

Přístupy k počítání bodů na eliptických křivkách

Existuje několik přístupů k problému. Počínaje naivním přístupem sledujeme vývoj až po Schoofovu definitivní práci na tomto tématu, a také uvádíme vylepšení Schoofova algoritmu provedená Elkiesem (1990) a Atkinem (1992).

Několik algoritmů využívá skutečnosti, že skupiny formuláře ${displaystyle E (mathbb {F} _ {q})}$ podléhají důležité větě kvůli Hasse, která omezuje počet bodů, které je třeba vzít v úvahu. Hasseova věta uvádí, že pokud E je eliptická křivka přes konečné pole ${displaystyle mathbb {F} _ {q}}$ , pak mohutnost z ${displaystyle E (mathbb {F} _ {q})}$ splňuje

{displaystyle || E (mathbb {F} _ {q}) | - (q + 1) | leq 2 {sqrt {q}}.,}

Naivní přístup

Naivní přístup k počítání bodů, který je nejméně sofistikovaný, zahrnuje proběhnutí všemi prvky pole ${displaystyle mathbb {F} _ {q}}$ a testování, které z nich splňují Weierstrassovu formu eliptické křivky

{displaystyle y ^ {2} = x ^ {3} + Axe + B.,}

Příklad

Nechat E být křivka y² = X³ + X + 1 nad ${displaystyle mathbb {F} _ {5}}$ . Spočítat body E, vytvoříme alist z možných hodnot X, pak z kvadratické zbytky z x mod 5 (pouze pro účely vyhledávání), poté z X³ + X + 1 mod 5, poté z y z X³ + X + 1 mod 5. Tím se získají body E.

${displaystyle x}$	${displaystyle x ^ {2}}$	${displaystyle x ^ {3} + x + 1}$	${displaystyle y}$	Body
${displaystyle quad 0}$	${displaystyle 0}$	${displaystyle 1}$	${displaystyle 1,4}$	${displaystyle (0,1), (0,4)}$
${displaystyle quad 1}$	${displaystyle 1}$	${displaystyle 3}$	${displaystyle -}$	${displaystyle -}$
${displaystyle quad 2}$	${displaystyle 4}$	${displaystyle 1}$	${displaystyle 1,4}$	${displaystyle (2,1), (2,4)}$
${displaystyle quad 3}$	${displaystyle 4}$	${displaystyle 1}$	${displaystyle 1,4}$	${displaystyle (3,1), (3,4)}$
${displaystyle quad 4}$	${displaystyle 1}$	${displaystyle 4}$	${displaystyle 2,3}$	${displaystyle (4,2), (4,3)}$

Např. poslední řádek se počítá takto: Pokud vložíte ${displaystyle x = 4}$ v rovnici ${displaystyle y ^ {2} = x ^ {3} + x + 1}$ dostaneš ${displaystyle 4}$ jako výsledek (3. sloupec). Tohoto výsledku lze dosáhnout, pokud ${displaystyle y = 2,3}$ (Kvadratické zbytky lze vyhledat ve 2. sloupci). Body za poslední řádek jsou tedy ${displaystyle (4,2), (4,3)}$ .

Proto, ${displaystyle E (mathbb {F} _ {5})}$ má mohutnost z 9: 8 bodů uvedených výše a bod v nekonečnu.

Tento algoritmus vyžaduje provozní dobu Ó(q), protože všechny hodnoty ${displaystyle xin mathbb {F} _ {q}}$ musí být zváženo.

Baby-step obří krok

Zlepšení provozní doby se získá pomocí jiného přístupu: vybereme prvek ${displaystyle P = (x, y) v E (mathbb {F} _ {q})}$ výběrem náhodných hodnot ${displaystyle x}$ dokud ${displaystyle x ^ {3} + Axe + B}$ je čtverec v ${displaystyle mathbb {F} _ {q}}$ a poté vypočítat druhou odmocninu této hodnoty, abychom získali ${displaystyle y}$ .Hasseho věta nám to říká ${displaystyle | E (mathbb {F} _ {q}) |}$ leží v intervalu ${displaystyle (q + 1-2 {sqrt {q}}, q + 1 + 2 {sqrt {q}})}$ . Tak, tím Lagrangeova věta, najít jedinečný ${displaystyle M}$ ležet v tomto intervalu a uspokojit ${displaystyle MP = O}$ , má za následek nalezení mohutnosti ${displaystyle E (mathbb {F} _ {q})}$ . Algoritmus selže, pokud existují dvě odlišná celá čísla ${displaystyle M}$ a ${displaystyle M '}$ v takovém intervalu ${displaystyle MP = M'P = O}$ . V takovém případě obvykle stačí opakovat algoritmus s jiným náhodně vybraným bodem v ${displaystyle E (mathbb {F} _ {q})}$ .

Vyzkoušejte všechny hodnoty ${displaystyle M}$ abychom našli ten, který uspokojí ${displaystyle MP = O}$ bere kolem ${displaystyle 4 {sqrt {q}}}$ kroky.

Použitím baby-step obří krok algoritmus na ${displaystyle E (mathbb {F} _ {q})}$ , jsme schopni to zrychlit dookola ${displaystyle 4 {sqrt [{4}] {q}}}$ kroky. Algoritmus je následující.

Algoritmus

1. zvolit  ${displaystyle m}$  celé číslo,  ${displaystyle m> {sqrt [{4}] {q}}}$ 2. PRO{ ${displaystyle j = 0}$  na  ${displaystyle m}$ } DĚLAT 3.     ${displaystyle P_ {j} leftarrow jP}$ 4. KONEC5.  ${displaystyle Lleftarrow 1}$ 6.  ${displaystyle Qleftarrow (q + 1) P}$ 7. OPAKOVAT spočítat body  ${displaystyle Q + k (2mP)}$ 8. DOKUD  ${displaystyle existuje j}$ :  ${displaystyle Q + k (2mP) = pm P_ {j}}$     ${displaystyle x}$ - koordinátoři jsou srovnáváni9.  ${displaystyle Mleftarrow q + 1 + 2mkmp j}$      Poznámka  ${displaystyle MP = O}$ 10. Faktor  ${displaystyle M}$ . Nechat  ${displaystyle p_ {1}, ldots, p_ {r}}$  být zřetelnými hlavními faktory  ${displaystyle M}$ .11. ZATÍMCO  ${displaystyle ileq r}$  DĚLAT12.    LI  ${displaystyle {frac {M} {p_ {i}}} P = O}$ 13.       PAK  ${displaystyle Mleftarrow {frac {M} {p_ {i}}}}$ 14.       JINÝ  ${displaystyle ileftarrow i + 1}$  15.    ENDIF16. UKONČIT17.  ${displaystyle Lleftarrow operatorname {lcm} (L, M)}$      Poznámka  ${displaystyle M}$  je pořadí bodu  ${displaystyle P}$ 18. ZATÍMCO  ${displaystyle L}$  rozděluje více než jedno celé číslo  ${displaystyle N}$  v  ${displaystyle (q + 1-2 {sqrt {q}}, q + 1 + 2 {sqrt {q}})}$ 19.    DĚLAT vyberte nový bod  ${displaystyle P}$  a přejděte na 1.20. UKONČIT21. VRÁTIT SE  ${displaystyle N}$       to je mohutnost  ${displaystyle E (mathbb {F} _ {q})}$

Poznámky k algoritmu

V řádku 8. předpokládáme existenci shody. Následující lemma skutečně zajišťuje, že taková shoda existuje:

Nechat

{displaystyle a}

být celé číslo s

{displaystyle | a | leq 2m ^ {2}}

. Existují celá čísla

{displaystyle a_ {0}}

a

{displaystyle a_ {1}}

s

{displaystyle -m

Výpočetní ${displaystyle (j + 1) P}$ jednou ${displaystyle jP}$ bylo vypočítáno lze provést přidáním ${displaystyle P}$ na ${displaystyle jP}$ namísto nového úplného skalárního násobení. Kompletní výpočet tedy vyžaduje ${displaystyle m}$ dodatky. ${displaystyle 2mP}$ lze získat jedním zdvojnásobením z ${displaystyle mP}$ . Výpočet ${displaystyle Q}$ vyžaduje ${displaystyle log (q + 1)}$ zdvojnásobení a ${displaystyle w}$ dodatky, kde ${displaystyle w}$ je počet nenulových číslic v binární reprezentaci ${displaystyle q + 1}$ ; Všimněte si, že znalost ${displaystyle jP}$ a ${displaystyle 2mP}$ umožňuje nám snížit počet zdvojnásobení. Nakonec se dostat z ${displaystyle Q + k (2mP)}$ na ${displaystyle Q + (k + 1) (2mP)}$ jednoduše přidejte ${displaystyle 2mP}$ spíše než všechno přepočítávat.
Předpokládáme, že můžeme faktorovat ${displaystyle M}$ . Pokud ne, můžeme najít alespoň všechny malé hlavní faktory ${displaystyle p_ {i}}$ a zkontrolujte to ${displaystyle {frac {M} {p_ {i}}} eq O}$ pro tyto. Pak ${displaystyle M}$ bude dobrým kandidátem na objednat z ${displaystyle P}$ .
Závěr kroku 17 lze dokázat pomocí teorie elementárních grup: od ${displaystyle MP = O}$ , pořadí ${displaystyle P}$ rozděluje ${displaystyle M}$ . Pokud žádný řádný dělitel ${displaystyle {ar {M}}}$ z ${displaystyle M}$ uvědomuje si ${displaystyle {ar {M}} P = O}$ , pak ${displaystyle M}$ je řád ${displaystyle P}$ .

Jednou z nevýhod této metody je, že když se skupina zvětší, je potřeba příliš mnoho paměti. Za tímto účelem by mohlo být efektivnější ukládat pouze soubory ${displaystyle x}$ souřadnice bodů ${displaystyle jP}$ (spolu s odpovídajícím celým číslem ${displaystyle j}$ ). To však vede k extra skalárnímu násobení, aby bylo možné volit mezi ${displaystyle -j}$ a ${displaystyle + j}$ .

Existují i další obecné algoritmy pro výpočet pořadí skupinového prvku, které jsou prostorově efektivnější, například Pollardův rho algoritmus a Pollard klokan metoda. Metoda Pollardova klokana umožňuje vyhledávat řešení v předepsaném intervalu, čímž se získá doba běhu ${displaystyle O ({sqrt [{4}] {q}})}$ , použitím ${displaystyle O (log ^ {2} {q})}$ prostor.

Schoofův algoritmus

Teoretický průlom pro problém výpočtu mohutnosti skupin typu ${displaystyle E (mathbb {F} _ {q})}$ toho dosáhl René Schoof, který v roce 1985 publikoval první deterministický polynomiální časový algoritmus. V centru Schoofova algoritmu je použití dělící polynomy a Hasseova věta, spolu s Čínská věta o zbytku.

Schoofův pohled využívá skutečnost, že podle Hasseho věty existuje konečný rozsah možných hodnot pro ${displaystyle | E (mathbb {F} _ {q}) |}$ . To stačí k výpočtu ${displaystyle | E (mathbb {F} _ {q}) |}$ modulo celé číslo ${displaystyle N> 4 {sqrt {q}}}$ . Toho je dosaženo výpočtem ${displaystyle | E (mathbb {F} _ {q}) |}$ modulo prvočísla ${displaystyle ell _ {1}, ldots, ell _ {s}}$ jehož produkt přesahuje ${displaystyle 4 {sqrt {q}}}$ a poté uplatnění věty o čínském zbytku. Klíčem k algoritmu je použití dělícího polynomu ${displaystyle psi _ {ell}}$ efektivně počítat ${displaystyle | E (mathbb {F} _ {q}) |}$ modulo ${displaystyle ell}$ .

Délka Schoofova algoritmu je polynomiální ${displaystyle n = log {q}}$ s asymptotickou složitostí ${displaystyle O (n ^ {2} M (n ^ {3}) / log {n}) = O (n ^ {5 + o (1)})}$ , kde ${displaystyle M (n)}$ označuje složitost celočíselného násobení. Jeho prostorová složitost je ${displaystyle O (n ^ {3})}$ .

Algoritmus Schoof – Elkies – Atkin

V 90. letech Noam Elkies, následován A. O. L. Atkin navrhl vylepšení základního algoritmu Schoofa rozlišením mezi prvočísly ${displaystyle ell _ {1}, ldots, ell _ {s}}$ které se používají. Prime ${displaystyle ell}$ se nazývá Elkies prime, pokud charakteristická rovnice Frobeniova endomorfismu, ${displaystyle phi ^ {2} -tphi + q = 0}$ , rozdělí se ${displaystyle mathbb {F} _ {ell}}$ . v opačném případě ${displaystyle ell}$ se nazývá Atkin prime. Elkiesova prvočísla jsou klíčem ke zlepšení asymptotické složitosti Schoofova algoritmu. Informace získané z Atkinových prvočísel umožňují další vylepšení, které je asymptoticky zanedbatelné, ale v praxi může být docela důležité. Modifikace Schoofova algoritmu pro použití prvočísel Elkies a Atkin je známá jako algoritmus Schoof – Elkies – Atkin (SEA).

Stav konkrétního prvočísla ${displaystyle ell}$ závisí na eliptické křivce ${displaystyle E / mathbb {F} _ {q}}$ , a lze jej určit pomocí modulární polynom ${displaystyle Psi _ {ell} (X, Y)}$ . Pokud je jednorozměrný polynom ${displaystyle Psi _ {ell} (X, j (E))}$ má kořen v ${displaystyle mathbb {F} _ {q}}$ , kde ${displaystyle j (E)}$ označuje j-invariantní z ${displaystyle E}$ , pak ${displaystyle ell}$ je Elkies prime, a jinak je to Atkin prime. V případě Elkies se k získání správného faktoru dělícího polynomu používají další výpočty zahrnující modulární polynomy ${displaystyle psi _ {ell}}$ . Míra tohoto faktoru je ${displaystyle O (ell)}$ , zatímco ${displaystyle psi _ {ell}}$ má titul ${displaystyle O (ell ^ {2})}$ .

Na rozdíl od Schoofova algoritmu je SEA algoritmus obvykle implementován jako pravděpodobnostní algoritmus (z Las Vegas ), aby bylo možné efektivněji provádět vyhledávání kořenů a další operace. Jeho výpočetní složitosti dominují náklady na výpočet modulárních polynomů ${displaystyle Psi _ {ell} (X, Y)}$ , ale protože na nich nezávisí ${displaystyle E}$ , mohou být vypočítány jednou a znovu použity. Za heuristického předpokladu, že existuje dostatečně mnoho malých Elkiesových prvočísel, a bez nákladů na výpočet modulárních polynomů je asymptotická doba chodu algoritmu SEA ${displaystyle O (n ^ {2} M (n ^ {2}) / log {n}) = O (n ^ {4 + o (1)})}$ , kde ${displaystyle n = log {q}}$ . Jeho prostorová složitost je ${displaystyle O (n ^ {3} přihlásit {n})}$ , ale když se používají předpočítané modulární polynomy, zvyšuje se to na ${displaystyle O (n ^ {4})}$ .

Viz také

Bibliografie

Blake, G. Seroussi a N. Smart: Eliptické křivky v kryptografii, Cambridge University Press, 1999.
A. Enge: Eliptické křivky a jejich aplikace v kryptografii: Úvod. Kluwer Academic Publishers, Dordrecht, 1999.
G. Musiker: Schoofův algoritmus pro počítání bodů ${displaystyle E (mathbb {F} _ {q})}$ . Dostupné v http://www.math.umn.edu/~musiker/schoof.pdf
R. Schoof: Počítání bodů na eliptických křivkách přes konečná pole. J. Theor. Nombres Bordeaux 7: 219-254, 1995. Dostupné na http://www.mat.uniroma2.it/~schoof/ctg.pdf
L. C. Washington: Eliptické křivky: teorie čísel a kryptografie. Chapman & Hall / CRC, New York, 2003.