Edwardsova křivka - Edwards curve

Edwardsovy křivky rovnice X² + y² = 1 − d ·X²·y² přes reálná čísla pro d = 300 (červená), d = √8 (žlutá) a d = −0,9 (modrá)

v matematika, Edwardsovy křivky jsou rodina eliptické křivky studoval Harold Edwards v roce 2007. Koncept eliptických křivek konečná pole je široce používán v kryptografie eliptické křivky. Aplikace Edwardsových křivek na kryptografie byly vyvinuty Daniel J. Bernstein a Tanja Lange: poukázali na několik výhod Edwardsovy formy ve srovnání se známějšími Weierstrassova forma.

Definice

Rovnice Edwardsovy křivky nad a pole K. který nemá charakteristika 2 je:

{ displaystyle x ^ {2} + y ^ {2} = 1 + dx ^ {2} y ^ {2} ,}

pro některé skalární ${ displaystyle d v K setminus {0,1 }}$ .Také následující formulář s parametry C a d se nazývá Edwardsova křivka:

{ displaystyle x ^ {2} + y ^ {2} = c ^ {2} (1 + dx ^ {2} y ^ {2}) ,}

kde C, d ∈ K. s CD(1 − C⁴·d) ≠ 0.

Každá Edwardsova křivka je birationally ekvivalent na eliptickou křivku v Weierstrassova forma, a tak připouští algebraický skupinový zákon, jakmile si člověk zvolí bod, který bude sloužit jako neutrální prvek. Li K. je konečný, pak značný zlomek všech eliptických křivek K. lze psát jako Edwardsovy křivky. Často jsou eliptické křivky ve formě Edwards definovány s c = 1, bez ztráty obecnosti. V následujících částech se předpokládá, že c = 1.

Zákon o skupině

(Viz také Zákon o skupině Weierstrassovy křivky )

Body na eliptické křivce tvoří abelianskou skupinu: lze přidávat body a brát celočíselné násobky jednoho bodu. Když je eliptická křivka popsána ne-singulární kubickou rovnicí, pak součet dvou bodů P a Q, označeno P + Q, přímo souvisí s třetím průsečíkem mezi křivkou a přímkou, která prochází P a Q. Ale u singulárních křivek vyššího stupně, jako jsou Edwardsovy křivky, je situace poněkud komplikovanější. Geometrické vysvětlení zákona sčítání na Edwardsových křivkách najdete v článku „Rychlejší výpočet párování Tate“ od Arene et al.^[1]

Edwardsův zákon

Na libovolné eliptické křivce, kterou se rozumí křivka rodu 1 a bod vybraný pro obsluhu neutrálního prvku, je součet dvou bodů dán racionálním vyjádřením souřadnic bodů, i když obecně je možné použít několik vzorců pro pokrytí všech možných párů. Pro Edwardsovu křivku vezměte neutrální prvek být bod (0, 1), součet bodů (X₁, y₁) a (X₂, y₂) je dán vzorcem

{ displaystyle (x_ {1}, y_ {1}) + (x_ {2}, y_ {2}) = left ({ frac {x_ {1} y_ {2} + x_ {2} y_ {1 }} {1 + dx_ {1} x_ {2} y_ {1} y_ {2}}}, { frac {y_ {1} y_ {2} -x_ {1} x_ {2}} {1-dx_ {1} x_ {2} y_ {1} y_ {2}}} vpravo) = vlevo ({ frac {x_ {1} y_ {1} + x_ {2} y_ {2}} {x_ {1 } x_ {2} + y_ {1} y_ {2}}}, { frac {x_ {1} y_ {1} -x_ {2} y_ {2}} {x_ {1} y_ {2} -y_ {1} x_ {2}}} vpravo) ,}

Převrácená hodnota libovolného bodu (X₁, y₁) je (-X₁, y₁). Lze zkontrolovat, zda má bod (0, -1) řád 2 a že body (± 1,0) mají řád 4. Zejména Edwardsova křivka má vždy bod řádu 4 se souřadnicemi v K..

Li d není čtverec v K. a ${ displaystyle (x_ {1}, y_ {1}), (x_ {2}, y_ {2}) in {(x, y) | x ^ {2} + y ^ {2} = 1 + dx ^ {2} y ^ {2} }}$ , pak neexistují žádné výjimečné body: jmenovatelé 1 +dx₁X₂y₁y₂ a 1 -dx₁X₂y₁y₂ jsou vždy nenulové. Proto je Edwardsův dodatkový zákon kompletní, když d není čtverec v K.. To znamená, že vzorce fungují pro všechny páry vstupních bodů na Edwardsově křivce bez výjimek pro zdvojnásobení, bez výjimky pro neutrální prvek, bez výjimky pro negativy atd.^[2] Jinými slovy, je definován pro všechny páry vstupních bodů na Edwardsově křivce K. a výsledek udává součet vstupních bodů.

Li d je čtverec v K., pak stejná operace může mít výjimečné body, tj. mohou existovat páry (X₁, y₁) a (X₂, y₂) kde 1 +dx₁X₂y₁y₂ = 0 nebo 1 -dx₁X₂y₁y₂ = 0.

Jednou z atraktivních vlastností zákona o Edwardsově dodatku je, že je silně sjednocený tj. lze jej také použít k zdvojnásobení bodu, což zjednodušuje ochranu proti útok bočním kanálem. Výše uvedený vzorec přidání je rychlejší než jiné sjednocené vzorce a má silnou vlastnost úplnosti^[2]

Příklad zákona o sčítání :

Zvažte eliptickou křivku ve formě Edwards s d=2

{ displaystyle { displaystyle} x ^ {2} + y ^ {2} = 1 + 2x ^ {2} y ^ {2}}

a pointa ${ displaystyle P_ {1} = (1,0)}$ na to. Je možné prokázat, že součet P₁ s neutrálním prvkem (0,1) dává opět P₁. Ve skutečnosti pomocí výše uvedeného vzorce jsou souřadnice bodu daného tímto součtem:

{ displaystyle x_ {3} = { frac {x_ {1} y_ {2} + y_ {1} x_ {2}} {1 + dx_ {1} x_ {2} y_ {1} y_ {2}} } = 1}

{ displaystyle y_ {3} = { frac {y_ {1} y_ {2} -x_ {1} x_ {2}} {1-dx_ {1} x_ {2} y_ {1} y_ {2}} } = 0}

Analog na kruhu

Skupina hodin

Pro lepší pochopení pojmu „sčítání“ bodů na křivce je pěkný příklad uveden v klasické kružnici:

vezměte kruh o poloměru 1

{ displaystyle { displaystyle} x ^ {2} + y ^ {2} = 1}

a zvažte dva body P₁= (x₁, y₁), P₂= (x₂, y₂) na to. Nechť α₁ a α₂ být takové úhly, aby:

{ displaystyle { displaystyle} P_ {1} = (x_ {1}, y_ {1}) = ( sin { alpha _ {1}}, cos { alpha _ {1}})}

{ displaystyle { displaystyle} P_ {2} = (x_ {2}, y_ {2}) = ( sin { alpha _ {2}}, cos { alpha _ {2}})}

Součet P₁ a P₂ je tedy dán součtem „jejich úhlů“. To znamená, že bod P₃= P₁+ P₂ je bod na kružnici se souřadnicemi (x₃, y₃), kde:

{ displaystyle { displaystyle} x_ {3} = sin ({ alpha} _ {1} + { alpha} _ {2}) = sin { alpha} _ {1} cos { alpha} _ {2} + sin { alpha} _ {2} cos { alpha} _ {1} = x_ {1} y_ {2} + x_ {2} y_ {1}}

{ displaystyle { displaystyle} y_ {3} = cos ({ alpha} _ {1} + { alpha} _ {2}) = cos { alpha} _ {1} cos { alpha} _ {2} - sin { alpha} _ {1} sin { alpha} _ {2} = y_ {1} y_ {2} -x_ {1} x_ {2}.}

Tímto způsobem je součtový vzorec pro body na kružnici o poloměru 1:

{ displaystyle { displaystyle} (x_ {1}, y_ {1}) + (x_ {2}, y_ {2}) = (x_ {1} y_ {2} + x_ {2} y_ {1}, y_ {1} y_ {2} -x_ {1} x_ {2})}

.

Projektivní homogenní souřadnice

V kontextu kryptografie homogenní souřadnice se používají k prevenci inverze pole které se objevují v afinním vzorci. Aby se zabránilo inverzi v původních vzorcích Edwardsova přidání, lze zapsat rovnici křivky projektivní souřadnice tak jako:

${ displaystyle (X ^ {2} + Y ^ {2}) Z ^ {2} = Z ^ {4} + dX ^ {2} Y ^ {2}}$ .

Projektivní bod (X₁ : Y₁ : Z₁) odpovídá afinní bod (X₁/Z₁, Y₁/Z₁) na Edwardsově křivce.

Prvek identity je reprezentován (0: 1: 1). Inverzní (X₁ : Y₁ : Z₁) je (-X₁ : Y₁ : Z₁).

Sčítací vzorec v projektivních homogenních souřadnicích je dán vztahem: [ty jsou zjevně neadekvátní, protože když P1 = P2 pro zdvojnásobení bodu, výsledek jde na X3 = 0, Y3 = 0, Z3 = 0]

(X₃ : Y₃ : Z₃) = (X₁ : Y₁ : Z₁) + (X₂ : Y₂ : Z₂)

kde

X₃ = Z₁Z₂(X₁Y₂ − Y₁X₂)(X₁Y₁Z₂² + Z₁²X₂Y₂)

Y₃ = Z₁Z₂(X₁X₂ + Y.₁Y₂)(X₁Y₁Z₂² - Z₁²X₂Y₂)

Z₃ = kZ₁²Z₂²(X₁X₂ + Y.₁Y₂)(X₁Y₂ - Y₁X₂) s k = 1/C.

Algoritmus

Pomocí následujícího algoritmu X₃, Y₃, Z₃ lze psát jako: X₃→ GJ, Y₃→ HK, Z₃→ kJK.d

kde: A → X₁Z₂,

B → Y₁Z₂,

C → Z₁X₂,

D → Z₁Y₂,

E → AB,

F → CD,

G → E + F,

H → E-F,

J → (A-C) (B + D) -H,

K → (A + D) (B + C) -G

Zdvojnásobení

Zdvojnásobení lze provést s přesně stejným vzorcem jako sčítání. Zdvojnásobení odkazuje na případ, kdy vstupy (X₁, y₁) a (X₂, y₂) je známo, že jsou si rovni. Od té doby (X₁, y₁) je na Edwardsově křivce, lze koeficient nahradit (X₁² + y₁² − 1)/X₁²y₁² jak následuje:

{ displaystyle { begin {aligned} 2 (x_ {1}, y_ {1}) & = (x_ {1}, y_ {1}) + (x_ {1}, y_ {1}) [6 bodů ] 2 (x_ {1}, y_ {1}) & = left ({ frac {2x_ {1} y_ {1}} {1 + dx_ {1} ^ {2} y_ {1} ^ {2} }}, { frac {y_ {1} ^ {2} -x_ {1} ^ {2}} {1-dx_ {1} ^ {2} y_ {1} ^ {2}}} vpravo) [6pt] & = left ({ frac {2x_ {1} y_ {1}} {x_ {1} ^ {2} + y_ {1} ^ {2}}}, { frac {y_ {1 } ^ {2} -x_ {1} ^ {2}} {2-x_ {1} ^ {2} -y_ {1} ^ {2}}} vpravo) end {zarovnáno}}}

Tím se sníží stupeň jmenovatele ze 4 na 2, což se projeví rychlejším zdvojnásobením. Obecný přírůstek v souřadnicích Edwards trvá 10M + 1S + 1C + 1D + 7A a zdvojnásobení nákladů 3M + 4S + 3C + 6A kde M je množení polí, S je pole kvadratury, D je cena vynásobení volitelným parametrem křivky a A je přidání pole.

Příklad zdvojnásobení

Stejně jako v předchozím příkladu pro zákon sčítání zvažte Edwardsovu křivku s d = 2:

${ displaystyle { displaystyle} x ^ {2} + y ^ {2} = 1 + 2x ^ {2} y ^ {2}}$

a bod P₁= (1,0). Souřadnice bodu 2P₁ jsou:

${ displaystyle x_ {3} = { frac {2x_ {1} y_ {1}} {1 + dx_ {1} ^ {2} y_ {1} ^ {2}}} = 0}$

${ displaystyle y_ {3} = { frac {y_ {1} ^ {2} -x_ {1} ^ {2}} {1-dx_ {1} ^ {2} y_ {1} ^ {2}} } = - 1}$

Bod získaný zdvojnásobením P₁ je tedy P₃=(0,-1).

Smíšené přidání

Smíšené přidání je v případě, že Z₂ je známo, že je 1. V takovém případě A = Z₁^.Z₂ lze eliminovat a celkové náklady se sníží na 9M+1S+1C+1D+7A

Algoritmus

A = Z₁^.Z₂ // jinými slovy, A = Z₁

B = Z₁²

C = X₁.X₂

D = Y₁^.Y₂

E = d^.C^.D

F = B-E

G = B + E

X₃= A^.F ((X_Já+ Y.₁)^.(X₂+ Y.₂)-CD)

Y₃= A^.G^.(DC)

Z₃= C.^.F^.G

Ztrojnásobení

Ztrojnásobení lze provést nejprve zdvojnásobením bodu a následným přidáním výsledku k sobě. Aplikováním křivkové rovnice jako při zdvojnásobení získáme

{ displaystyle 3 (x_ {1}, y_ {1}) = left ({ frac {(x_ {1} ^ {2} + y_ {1} ^ {2}) ^ {2} - (2y_ { 1}) ^ {2}} {4 (x_ {1} ^ {2} -1) x_ {1} ^ {2} - (x_ {1} ^ {2} -y_ {1} ^ {2}) ^ {2}}} x_ {1}, { frac {(x_ {1} ^ {2} + y_ {1} ^ {2}) ^ {2} - (2x_ {1}) ^ {2}} {-4 (y_ {1} ^ {2} -1) y_ {1} ^ {2} + (x_ {1} ^ {2} -y_ {1} ^ {2}) ^ {2}}} y_ {1} vpravo). ,}

Pro tuto operaci existují dvě sady vzorců ve standardních souřadnicích Edwards. První stojí 9M + 4S zatímco druhá potřebuje 7M + 7S. Pokud S / M poměr je velmi malý, konkrétně pod 2/3, pak je lepší druhá sada, zatímco pro větší poměry se dává přednost první.^[3]Pomocí vzorce pro sčítání a zdvojení (jak je uvedeno výše) je bod (X₁ : Y₁ : Z₁) se symbolicky počítá jako 3 (X₁ : Y₁ : Z₁) a ve srovnání s (X₃ : Y₃ : Z₃)

Příklad ztrojnásobení

Dát Edwardsovu křivku s d = 2 a bod P₁= (1,0), bod 3P₁ má souřadnice:

${ displaystyle x_ {3} = { frac {(x_ {1} ^ {2} + y_ {1} ^ {2}) ^ {2} - (2r_ {1}) ^ {2}} {4 ( x_ {1} ^ {2} -1) x_ {1} ^ {2} - (x_ {1} ^ {2} -y_ {1} ^ {2}) ^ {2}}} x_ {1} = -1}$

${ displaystyle y_ {3} = { frac {(x_ {1} ^ {2} + y_ {1} ^ {2}) ^ {2} -2 (x_ {1}) ^ {2}} {- 4 (y_ {1} ^ {2} -1) y_ {1} ^ {2} + (x_ {1} ^ {2} -y_ {1} ^ {2}) ^ {2}}} y_ {1 } = 0}$

Takže 3P₁= (- 1,0) = P-₁. Tento výsledek lze také nalézt s ohledem na zdvojnásobující příklad: 2P₁= (0,1), tedy 3P₁ = 2P₁ + P₁ = (0, -1) + P₁ = -P₁.

Algoritmus

A = X₁²

B = Y₁²

C = (2Z₁)²

D = A + B

E = D²

F = 2D. (A-B)

G = E-B.C.

H = E-AC

I = F + H

J = F-G

X₃= G.J.X1

Y₃= H.I.Y1

Z₃= I.J.Z1

Tento vzorec stojí 9M + 4S

Obrácené souřadnice Edwards

Bernstein a Lange představili ještě rychlejší souřadnicový systém pro eliptické křivky zvané Obrácené souřadnice Edwarda^[4] ve kterém jsou souřadnice (X : Y : Z) uspokojí křivku (X² + Y²)Z² = (dZ⁴ + X²Y²) a odpovídá afinnímu bodu (Z/X, Z/Y) na Edwardsově křivce X² + y² = 1 + dx²y² s XYZ ≠ 0.

Obrácené souřadnice Edwards, na rozdíl od standardních souřadnic Edwards, nemají úplné vzorce pro sčítání: s některými body, například s neutrálním prvkem, se musí zacházet samostatně. Ale vzorce přidání mají stále tu výhodu silného sjednocení: mohou být použity beze změny k zdvojnásobení bodu.

Další informace o operacích s těmito souřadnicemi viz http://hyperelliptic.org/EFD/g1p/auto-edwards-inverted.html

Rozšířené souřadnice pro Edwardovy křivky

Existuje další souřadnicový systém, pomocí kterého lze znázornit Edwardsovu křivku; tyto nové souřadnice se nazývají rozšířené souřadnice^[5] a jsou dokonce rychlejší než obrácené souřadnice. Další informace o časových nákladech požadovaných při operacích s těmito souřadnicemi najdete na:http://hyperelliptic.org/EFD/g1p/auto-edwards.html

Viz také

Twisted Edwardsova křivka

Další informace o době běhu požadované v konkrétním případě najdete v části Tabulka nákladů na operace v eliptických křivkách.

Poznámky

^ Christophe Arene; Tanja Lange; Michael Naehrig; Christophe Ritzenthaler (2009). „Rychlejší výpočet párování Tate“. arXiv:0904.0854. Bibcode:2009arXiv0904.0854A. Citováno 28. února 2010.
^ ^A ^b Danieli. J. Bernstein, Tanja Lange, pag. 3, Rychlejší sčítání a zdvojnásobení na eliptických křivkách
^ Bernstein a kol., Optimalizace dvojité báze eliptické křivky single-skalární multiplikace
^ Daniel J. Bernstein. Tanja Lange, str.2, Obrácené souřadnice Edwarda
^ H. Hisil, K. K. Wong, G. Carter, E. Dawson Rychlejší skupinové operace na eliptických křivkách

Reference

Bernstein, Daniel; Lange, Tanja (2007), Rychlejší sčítání a zdvojnásobení na eliptických křivkách (PDF)
Edwards, Harold M. (9. dubna 2007), „Normální forma pro eliptické křivky“, Bulletin of the American Mathematical Society, 44 (3): 393–422, doi:10.1090 / s0273-0979-07-01153-6, ISSN 0002-9904
Rychlejší skupinové operace na eliptických křivkách, H. Hisil, K. K. Wong, G. Carter, E. Dawson
DJ Bernstein, P.Birkner. T. Lange, C.Peters, Optimalizace dvojité základny eliptické křivky s jedním skalárním násobením (PDF)CS1 maint: více jmen: seznam autorů (odkaz)
Washington, Lawrence C. (2008), Eliptické křivky: teorie čísel a kryptografie, Diskrétní matematika a její aplikace (2. vydání), Chapman & Hall / CRC, ISBN 978-1-4200-7146-7
Bernstein, Daniel; Lange, Tanja, Obrácené souřadnice Edwards (PDF)

externí odkazy

[1] Christophe Arene; Tanja Lange; Michael Naehrig; Christophe Ritzenthaler (2009). „Rychlejší výpočet párování Tate“. arXiv:0904.0854. Bibcode:2009arXiv0904.0854A. Citováno 28. února 2010.

[Daniel._J_Bernstein_,_Tanja_Lange-2] A ^b Danieli. J. Bernstein, Tanja Lange, pag. 3, Rychlejší sčítání a zdvojnásobení na eliptických křivkách

[3] Bernstein a kol., Optimalizace dvojité báze eliptické křivky single-skalární multiplikace

[4] Daniel J. Bernstein. Tanja Lange, str.2, Obrácené souřadnice Edwarda

[5] H. Hisil, K. K. Wong, G. Carter, E. Dawson Rychlejší skupinové operace na eliptických křivkách

[1]

[2]

[3]

[4]

[5]