WikiDer > Подсчет точек на эллиптических кривых
Важный аспект в изучении эллиптические кривые разрабатывает эффективные способы подсчет точек на кривой. Для этого было несколько подходов, и алгоритмы разработанные, оказались полезными инструментами при изучении различных областей, таких как теория чисел, а совсем недавно в криптография и аутентификации цифровой подписи (см. криптография на основе эллиптических кривых и эллиптическая кривая DSA). Хотя в теории чисел они имеют важные последствия при решении Диофантовы уравненияЧто касается криптографии, они позволяют нам эффективно использовать сложность задача дискретного логарифмирования (DLP) для группы , эллиптических кривых над конечное поле , куда q = пk и п это простое число. DLP, как его стали называть, является широко используемым подходом к криптография с открытым ключом, а сложность решения этой задачи определяет уровень безопасности криптосистемы. В этой статье рассматриваются алгоритмы подсчета точек на эллиптических кривых над полями большой характеристики, в частности п > 3. Для кривых над полями малой характеристики более эффективные алгоритмы на основе псуществуют адические методы.
Подходы к подсчету точек на эллиптических кривых
Есть несколько подходов к проблеме. Начиная с наивного подхода, мы прослеживаем развитие до окончательной работы Шуфа по этому вопросу, а также перечисляем усовершенствования алгоритма Шуфа, сделанные Элкисом (1990) и Аткином (1992).
Некоторые алгоритмы используют тот факт, что группы формы подпадают под важную теорему Хассе, ограничивающую количество рассматриваемых точек. Теорема Хассе заявляет, что если E является эллиптической кривой над конечным полем , то мощность из удовлетворяет
Наивный подход
Наивный подход к подсчету очков, который является наименее изощренным, предполагает перебор всех элементов поля. и проверка того, какие из них удовлетворяют форме Вейерштрасса эллиптической кривой
Пример
Позволять E быть кривой у2 = Икс3 + Икс +1 больше . Для подсчета очков E, составим список возможных значений Икс, затем квадратичные вычеты из x mod 5 (только для поиска), затем из Икс3 + Икс + 1 мод 5, затем из у из Икс3 + Икс + 1 mod 5. Это дает очки на E.
Точки | ||||
---|---|---|---|---|
Например. последняя строка вычисляется следующим образом: Если вы вставите в уравнении ты получаешь как результат (3-й столбец). Такого результата можно добиться, если (Квадратичные вычеты можно посмотреть во 2-м столбце). Таким образом, точки для последней строки .
Следовательно, имеет мощность из 9: 8 перечисленных выше точек и бесконечно удаленная точка.
Этот алгоритм требует времени выполнения О(q), поскольку все значения должны быть рассмотрены.
Бэби-степ гигантский шаг
Уменьшение времени работы достигается при использовании другого подхода: мы выбираем элемент путем выбора случайных значений до того как квадрат в а затем вычислить квадратный корень из этого значения, чтобы получить Теорема Хассе говорит нам, что лежит в интервале . Таким образом, Теорема Лагранжа, находя уникальный лежащий в этом интервале и удовлетворяющий , приводит к нахождению мощности . Алгоритм не работает, если существует два различных целых числа. и в таком интервале, что . В таком случае обычно достаточно повторить алгоритм с другой случайно выбранной точкой в .
Испытание всех значений чтобы найти тот, который удовлетворяет принимает вокруг шаги.
Однако, применяя бэби-шаг гигантский шаг алгоритм для , мы можем ускорить это примерно до шаги. Алгоритм следующий.
Алгоритм
1. выберите целое число 2. ЗА{ к } ДЕЛАТЬ 3. 4. ENDFOR5. 6. 7. ПОВТОРЕНИЕ вычислить точки 8. ДО ТОГО КАК : the -координаты сравниваются 9. Примечание 10. Фактор . Позволять - различные простые множители .11. ПОКА ДЕЛАТЬ12. ЕСЛИ 13. ТОГДА 14. ЕЩЕ 15. ENDIF16. ENDWHILE17. Примечание это порядок точки 18. ПОКА делит более одного целого числа в 19. ДЕЛАТЬ выберите новую точку и перейдите к 1.20. ENDWHILE21. ВОЗВРАЩАТЬСЯ это мощность
Примечания к алгоритму
- В строке 8 мы предполагаем наличие совпадения. Действительно, следующая лемма гарантирует, что такое совпадение существует:
- Позволять быть целым числом с . Есть целые числа и с
- Вычисление однажды было вычислено, можно сделать, добавив к вместо повторного вычисления полного скалярного умножения. Таким образом, полное вычисление требует дополнения. можно получить одним удвоением из . Расчет требует удвоения и дополнения, где - количество ненулевых цифр в двоичном представлении ; обратите внимание, что знание и позволяет сократить количество удвоений. Наконец, чтобы получить от к просто добавьте вместо того, чтобы все пересчитывать.
- Мы предполагаем, что можем . Если нет, то мы можем по крайней мере найти все маленькие простые множители и проверьте это для этих. потом будет хорошим кандидатом на порядок из .
- Заключение шага 17 можно доказать с помощью элементарной теории групп: так как , получатель чего-то разделяет . Если нет собственного делителя из понимает , тогда это порядок .
Один из недостатков этого метода заключается в том, что при увеличении группы требуется слишком много памяти. Чтобы решить эту проблему, было бы более эффективно хранить только координаты точек (вместе с соответствующим целым числом ). Однако это приводит к дополнительному скалярному умножению, чтобы выбирать между и .
Существуют и другие общие алгоритмы для вычисления порядка элемента группы, которые более эффективно занимают место, например Алгоритм ро Полларда и Кенгуру Полларда метод. Метод кенгуру Полларда позволяет искать решение в заданном интервале, давая время выполнения , с помощью Космос.
Алгоритм Шуфа
Теоретический прорыв в проблеме вычисления мощности групп типа была достигнута Рене Шуфом, который в 1985 году опубликовал первый детерминированный алгоритм полиномиального времени. Центральным элементом алгоритма Шуфа является использование полиномы деления и Теорема Хассе, вместе с Китайская теорема об остатках.
Понимание Шуфа использует тот факт, что по теореме Хассе существует конечный диапазон возможных значений для . Достаточно вычислить по модулю целого числа . Это достигается путем вычисления по модулю простых чисел чей продукт превышает , а затем применив китайскую теорему об остатках. Ключом к алгоритму является использование полинома деления эффективно вычислять по модулю .
Время работы алгоритма Шуфа полиномиально от , с асимптотической сложностью , куда обозначает сложность целочисленного умножения. Его космическая сложность составляет .
Алгоритм Шуфа – Элкиса – Аткина
В 1990-е годы Ноам Элкис, с последующим Аткин А.О. разработал улучшения основного алгоритма Шуфа, проводя различие между простыми числами которые используются. Премьер называется простым числом Элкиса, если характеристическое уравнение эндоморфизма Фробениуса , разделяется на . Иначе называется простым числом Аткина. Простые числа Элкиса являются ключом к улучшению асимптотической сложности алгоритма Шуфа. Информация, полученная с помощью простых чисел Аткина, допускает дальнейшее улучшение, которое асимптотически незначительно, но может быть весьма важным на практике. Модификация алгоритма Шуфа для использования простых чисел Элкиса и Аткина известна как алгоритм Шуфа – Элкиса – Аткина (SEA).
Статус конкретного прайма зависит от эллиптической кривой , и может быть определена с помощью модульный многочлен . Если одномерный многочлен имеет корень в , куда обозначает j-инвариантный из , тогда является простым числом Элкиса, в противном случае - простым числом Аткина. В случае Элкиса для получения правильного множителя полинома деления используются дальнейшие вычисления с участием модулярных полиномов . Степень этого фактора составляет , в то время как имеет степень .
В отличие от алгоритма Шуфа, алгоритм SEA обычно реализуется как вероятностный алгоритм (из Лас Вегас type), так что поиск корней и другие операции могут выполняться более эффективно. В его вычислительной сложности преобладает стоимость вычисления модульных многочленов. , но поскольку они не зависят от , их можно вычислить один раз и использовать повторно. При эвристическом предположении, что существует достаточно много малых простых чисел Элкиса, и без учета затрат на вычисление модульных многочленов, асимптотическое время работы алгоритма SEA равно , куда . Его космическая сложность составляет , но когда используются предварительно вычисленные модульные полиномы, это увеличивается до .
Смотрите также
- Алгоритм Шуфа
- Криптография на эллиптических кривых
- Бэби-степ гигантский шаг
- Криптография с открытым ключом
- Алгоритм Шуфа – Элкиса – Аткина
- Поллард ро
- Кенгуру Полларда
- Доказательство простоты эллиптической кривой
Библиография
- И. Блейк, Г. Серусси и Н. Смарт: Эллиптические кривые в криптографии, Издательство Кембриджского университета, 1999.
- А. Энге: Эллиптические кривые и их приложения в криптографии: введение. Kluwer Academic Publishers, Дордрехт, 1999.
- Г. Мусикер: Алгоритм Шуфа для подсчета очков на . Доступны на http://www.math.umn.edu/~musiker/schoof.pdf
- Р. Шоф: Подсчет точек на эллиптических кривых над конечными полями. J. Theor. Nombres Bordeaux 7: 219-254, 1995. Доступно на http://www.mat.uniroma2.it/~schoof/ctg.pdf
- Л. С. Вашингтон: Эллиптические кривые: теория чисел и криптография. Chapman & Hall / CRC, Нью-Йорк, 2003.