Новый подход к определению точного числа кривых Эдвардса над простым полем
Свойства криптостойких кривых Эдвардса над простыми полями, приемлемых для криптографических приложений. Условия сушествования изоморфных кривых в канонической форме. Определение зависимости между параметрами кривой в форме Эдвардса и канонической форме.
| Рубрика | Математика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 29.09.2018 |
| Размер файла | 35,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Новый подход к определению точного числа кривых Эдвардса над простым полем
Бессалов А.В., Третьяков Д.Б., Цыганкова О.В.
Аннотация
Рассмотрены новые свойства криптостойких кривых Эдвардса над простыми полями, приемлемых для криптографических приложений. В работе найдены условия сушествования изоморфных кривым Эдвардса кривых в канонической форме y2 = x3 + ax + b. Определена зависимость параметра d кривой Эдвардса x2 + y2 = 1 + d x2 y2 от параметров а и b эллиптической кривой в канонической форме. Приведено новое доказательство точных формул расчета числа кривых Эдвардса, изоморфных каноническим кривым с ненулевыми параметрами а и b. Оно отличается от доказательства, приведенного в предыдущей работе, лаконичностью.
Ключевые слова: криптосистема, каноническая форма эллиптической кривой, кривая Эдвардса, кривая кручения, параметры кривой, изоморфизм, квадратичный вычет, квадратичный невычет.
Предложенная в работе [1] форма эллиптической кривой, признанная учеными как форма Эдвардса [2], имеет в задачах криптографии ряд несомненных выгод в сравнении с давно известными кривыми в канонической форме. Среди них: быстродействие, универсальность закона сложения и наличие аффинных координат нейтрального элемента (нуля) абелевой группы точек. Некоторые новые свойства кривых Эдвардса над простым полем были нами рассмотрены в работах [3-6]. В работе [6] мы ввели зависимый от традиционных параметров (a, b) канонической формы кривой параметр с как единственный в поле Fp корень кубического уравнения в правой части кривой. Это позволило получить в явном виде условия существования одной точки 2-го порядка и 2-х точек 4-го порядка. Далее в ней получены системы линейных уравнений для неизвестных параметров а и с2 с решениями, выраженными через квадратичные вычеты и невычеты. Для нахождения точного числа канонических кривых с ненулевыми параметрами, изоморфных форме Эдвардса, в работе [6] потребовалось сформулировать и доказать 2 леммы о числе решений уравнений, связывающих суммы вычетов и невычетов. Доказательства опираются на схему Гаусса распределения квадратичных вычетов. В итоге впервые найдены формулы расчета точного числа кривых с заданными свойствами и ненулевыми параметрами (a, b) для любых модулей поля р 3mod4 и р 1mod4.
В данной работе, опираясь на свойства кривых в канонической форме, мы нашли функциональную связь между параметром d кривой Эдвардса и параметрами (a, b) изоморфной канонической кривой. Далее приводится новое существенно более лаконичное доказательство утверждения, определяющего формулы расчета точного числа кривых Эдвардса, изоморфных кривым в форме Вейерштрасса с ненулевыми параметрами а и b. В отличие от предыдущей работы [6], это доказательство опирается на кривую, записанную в форме Эдвардса, а не в канонической форме.
1. Определение зависимости между параметрами кривой в форме Эдвардса и канонической форме
Эллиптическая кривая Вейерштрасса в канонической форме над полем характеристики р ? 2, 3 описывается известным уравнением [7]
Ер : y2 = x3 + ax + b, 4a3 + 27b2 ? 0, a,b Fp. (1)
Пусть с - единственный в поле Fp корень кубического уравнения x3 + ax + b = 0, тогда вместо (1) можем записать
y2 = (x - c)(x2 + cx + a + c2) , b = - c3 - ac, c Fp . (2)
Найдем условия, накладываемые на параметры а и с, при которых имеется единственная точка 2-го порядка и 2 точки 4-го порядка. Главной задачей в этом разделе будет нахождение зависимости между параметрами а и с канонической формы эллиптической кривой и параметром d кривой x2 + y2 = 1 + d x2 y2 в форме Эдвардса.
Примем u = x - c, тогда уравнение (3) представляется в форме Монтгомери [2,3] эдвардс канонический криптографический изоморфный
y2 = u(u2 + 3cu + a + 3c2). (3)
Парабола в правой части (4) не имеет корней в поле Fp, если дискриминант квадратного уравнения является квадратичным невычетом, т.е.
9с2 - 4(а +3с2) = - (3с2 + 4а) ? А2. (4)
Это условие гарантирует существование единственной точки 2-го порядка кривой (3), определяемой как D = (0, 0). Условие А2 ? 0, входящее в (4), исключает появление кратных корней кубического уравнения и, тем самым, сингулярные кривые [7].
Пусть P = (u1, y1) - точка 4-го порядка кривой (3). Ее удвоение 2P = D дает координаты точки 2-го порядка D = (0, 0). При удвоении мы строим касательную к кривой в точке Р, которая проходит через точку (0,0). Таким образом из (3) имеем
Отсюда
2y12 = 3u13 + 6cu12 + (3c2 + a)u1 . (5)
С другой стороны, в этой же точке согласно (3) имеем
2y12 = 2u13 + 6cu12 + 2(3c2 + a)u1. (6)
Из системы уравнений (5), (6) получим квадраты для координат точки P 4-го порядка
u12 = 3c2 + a, y12 = 2u13 + 3cu12 (7)
Из последнего выражения можно теперь получить
(8)
где
(9)
Формулы (7) и (9) позволяют выразить параметр d через параметры a и c канонической формы кривой
, . (10)
Здесь с помощью двоичного выбирается одно из решений квадратного уравнения u1, которое лежит на кривой (3) и дает ровно 2 точки 4-го порядка. Второе решение не может лежать на кривой: это порождает 4 точки 4-го порядка, что нарушает структуру группы [7].
Из (4) и (7) следует, что необходимыми условиями существования одной точки 2-го и двух точек 4-го порядков являются следующие соотношения, выраженные через символы Лежандра как
(11)
С учетом (7) и (8) и деления на u13 уравнение (3) теперь может быть приведено к виду
(12)
Эта форма кривой с помощью сравнительно несложной замены переменных (u.v) > (x,y) [2,3] приводится к кривой в форме Эдвардса
x2 + y2 = 1 + d x2 y2, d ? 0, 1. . (13)
Класс изоморфных кривых Эдвардса
(14)
определяется линейной заменой переменных х > е-1X, у е-1Y. Такая трансформация расширяет множество всех кривых в (р - 1)/2 раз, но практически бесполезна (более того, добавление нового параметра е усложняет групповые операции).
Как нетрудно видеть из (12), заменой d > d -1 получаем кривую кручения с порядком NEt = p + 1 + t, симметричным порядку NE = p + 1 - t исходной кривой относительно середины p + 1. Заметим, что для кривых Эдвардса порядок кривой NE = 0mod4, поэтому след уравнения Фробениуса t = 0 лишь для значений модуля р = 3 mod4. В этом случае элемент поля (- 1) является квадратичным невычетом, и при значении d = d -1 = - 1 пара кривых кручения вырождается в одну суперсингулярную кривую с порядком NE = p + 1. Это следует также из уравнения (12), которое при d = - 1принимает вид y2 = u3 + u [7]. В форме (1) это кривая с коэффициентом b = 0. Она принадлежит классу криптографически слабых суперсингулярных кривых.
В криптографических стандартах не используются уязвимые к MOV-атаке кривые с нулевыми параметрами а или b[7]. Возникает вопрос о числе кривых Эдвардса, изоморфных каноническим кривым с ненулевыми коэффициентами а и b. Эта задача получила точное решение в работе [6] на основе свойств параметров а и с канонических кривых, при этом нам пришлось сформулировать и доказать 2 леммы в теории квадратичных вычетов и утверждение. В следующем разделе мы дадим более лаконичное доказательство полученных в [6] результатов, опираясь на свойства кривой в форме Эдвардса.
2. Новое доказательство формул расчета точного числа кривых Эдвардса, изоморфных кривым в канонической форме с ненулевыми параметрами а и b
Утверждение. Число кривых Эдвардса (14), изоморфных кривым (1) в канонической форме с параметрами a ? 0 и b ? 0 над полем Fp с двумя точками 4-го порядка определяется формулами:
І. При р 3mod4
() М = (р - 1)(р - 7)/4, если ;
() М = (р - 1) )(р - 3)/4 если ;
ІI. При р 1mod4
() М = (р - 1)2/4.
Доказательство.
1. Пусть р 3mod4, тогда (- 1) - квадратичный невычет [7], т.е. и для (11а) невычет заменяем квадратичным вычетом
Аргументы символов Лежандра (11) являются линейными функциями параметров а и с2, следовательно, имеем невырожденную систему двух линейных уравнений над полем Fp
3с2 +4а = А2,
3с2 + а = В2 ,
с решениями:
а = 3- 1(A2- B2), c2 = 9- 1(4B2 - A2). (15)
Для кривых с параметрами a ? 0 и b ? 0 квадратичные вычеты A2 ? B2 и, кроме того, 4B2 ? A2 (нулевые вычеты c2 отбрасываются, так как из с = 0 b = b = - c3 - ac = 0). Из (11) следует, что A2 ? 0 и В2 ? 0.
Так как параметр d в форме кривой Эдвардса (13) пробегает все квадратичные невычеты поля Fp, их число равно (р - 1)/2. Из этого числа исключим значение d = - 1, которое порождает коэффициенты с = b = 0 (см. формулы (1) и (10)). Остается (р - 3)/2 квадратичных невычетов d.
Пусть Из (15) следует, что при а = 0 А2 = В2 и с2 = 3- 1А2, т.е. существует решение для с и, соответственно, для параметра d, равного согласно (10)
(16)
Нетрудно видеть, что оба решения (16) являются квадратичными невычетами. Например, умножив числитель и знаменатель на знаменатель, получим в знаменателе квадрат, а в числителе разность квадратов 3 - 4 = - 1 , т.е невычет при р 3mod4. Следовательно, из (р - 3)/2 значений невычетов d, исключающих значение b = 0, следует удалить еще 2 значения (16), порождающих коэффициент а = 0. При этом остается (р - 7)/2 допустимых значений невычетов d. Для каждой кривой Эдвардса в форме (13) существует (р - 1)/2 изоморфных кривых (14) с соответствующим числом квадратов е2. Общее число кривых Эдвардса с оговоренными свойствами равно М = (р - 1)(р - 7)/4. Утверждение () доказано.
Пусть теперь . В этом случае а ? 0, так как при А2 = В2 уравнение с2 = 3- 1А2 (см.(15)) не имеет решения. Тогда имеем (р - 3)/2 допустимых значений невычетов d, которые вместе с (р - 1)/2 значениями квадратов е2 для изоморфных кривых дает М = (р - 1) )(р - 3)/4 кривых. Утверждение () доказано.
2. Пусть р 1mod4, тогда (- 1) - квадратичный вычет, т.е. [7]. Тогда для (11а), принимая А невычетом в системе уравнений:
3с2 + 4а = А,
3с2 + а = В2 ,
находим ее единственное решение
а =3- 1(A - B2), c2 = 9- 1(4B2 - A). (17)
Здесь, мы видим, нулевые решения для а и с2 невозможны. Итак, мы имеем (р - 1)/2 допустимых значений невычетов d, которые вместе с (р - 1)/2 значениями квадратов е2 для кривых в форме (14) дает М = (р - 1) 2/4 кривых. Утверждение () доказано.
Заметим, что приведенное здесь доказательство формул, определяющих точное число кривых Эдвардса с оговоренными свойствами, существенно проще предыдущего доказательства [6].
Рассчитанные по формулам (), (), () мощности семейств кривых, изоморфных кривым Эдвардса при малых значениях р = 7, 11, 13,…, 47 приведены в таблице 1.
Таблица 1
|
р |
7 |
11 |
13 |
17 |
19 |
23 |
29 |
31 |
37 |
41 |
43 |
47 |
|
|
М |
6 |
10 |
36 |
64 |
72 |
88 |
196 |
210 |
324 |
400 |
420 |
529 |
Пример. Требуется построить кривую Эдвардса на базе изоморфной канонической кривой с двумя точками 4-го порядка над полем F7. Примем А2 = 2, В2 = 1, тогда согласно (15) с2 = 1 - квадрат в поле, а = 5 и b = c(c2 + a) = 1. Получили пару кривых кручения y2 = x3 + 5x 1 с порядками NE = 12 и NEt = 4. Первая кривая с параметром с = 1 в форме Монтгомери (3) имеет вид y2 = u(u2 + 3u +1). Ее точка второго порядка D = (0,0), а координаты точек 4-го порядка первой кривой в соответствии с (7) равны
u12 = 3c2 + a = 1 u1 = - 1, y12 = 2u13 + 3cu12 = 1 y1 = 1 .
Здесь решение u1 = 1, не лежащее на кривой (3), отбрасывается. Переход к кривой Эдвардса (13) осуществляется вычислением d согласно (10)
.
Кривая x2 + y2 = (1 + 5x2y2)mod7 имеет порядок 12. Соответствующая кривая кручения с параметром d - 1 = 3 имеет порядок 4. Кривая с параметром d = - 1 отбрасывается. Других кривых в форме (13) при р = 7 не существует. Для каждой из этих двух кривых можно получить по 3 изоморфных кривых (14) с коэффициентами е2 = 1, 4, 2. Вообще нал полем F7 существует, как следует из таблицы 1, 6 кривых Эдвардса, изоморфных каноническим кривым с ненулевыми параметрами а и b и двумя точками 4-го порядка. Здесь каждая пара кривых кручения содержит по 3 изоморфных пар.
Формулы (15), (17) конструктивны, так как позволяют рассчитывать параметры а и с кривой (и, соответственно, b) при заданных значениях пар квадратичных вычетов (A2, B2) [6]. После этого легко перейти к изоморфной кривой Эдвардса.
Литература
1. Edwards H.M. A normal form for elliptic curves. Bulletin of the American Mathematical Society, Volume 44, Number 3, July 2007, Pages 393-422.
2. Bernstein Daniel J., Lange Tanja. Faster addition and doubling on elliptic curves. IST Programme under Contract IST-2002-507932 ECRYPT, 2007, PP. 1-20.
3. Бессалов А.В. Число изоморфизмов и пар кручения кривых Эдвардса над простым полем. Радиотехника, вып. 167, 2011. С. 203-208.
4. Бессалов А.В., Гурьянов А.И., Дихтенко А.А. Кривые Эдвардса почти простого порядка над расширениями малых простых полей. Прикладная радиоэлектроника, том 11, №2, 2012. С. 225-227.
5. Бессалов А.В., Дихтенко А.А. Криптостойкие кривые Эдвардса над простыми полями. Прикладная радиоэлектроника, 2013, Том 12, №2 С. 285-291.
6. Бессалов А.В., Дихтенко А.А., Цыганкова О.В. Мощность семейства эллиптических кривых, изоморфных кривым Эдвардса над простым полем. Захист інформації - Том 16, №1, січень-березень 2014, с.23-28.
7. .Бессалов А.В., Телиженко А.Б. Криптосистемы на эллиптических кривых: Учеб. пособие. - К.: ІВЦ «Політехніка», 2004. - 224с.
Размещено на Allbest.ru
...Подобные документы
Приведение уравнения к каноническому виду при помощи преобразований параллельного переноса и поворота координатных осей. Нахождение фокусов, директрис, эксцентриситета и асимптот кривой. Построение графика кривой в канонической и общей системах координат.
контрольная работа [133,5 K], добавлен 12.01.2011Понятие и свойства плоских кривых, история их исследований, способы их образования, разновидности и свойства нормали. Методы построения некоторых видов кривых, называемых "Декартов лист", лемнискаты Бернулли, улитки Паскаля, строфоиды, циссоиды Диокла.
курсовая работа [3,1 M], добавлен 29.03.2011Основные свойства кривых второго порядка. Построение кривой в канонической и общей системах координат. Переход уравнения поверхности второго порядка к каноническому виду. Исследование формы поверхности методом сечений и построение полученных сечений.
курсовая работа [166,1 K], добавлен 17.05.2011Кривая и формы поверхности второго порядка. Анализ свойств кривых и поверхностей второго порядка. Исследование форм поверхности методом сечений плоскостями, построение линии, полученной в сечениях. Построение поверхности в канонической системе координат.
курсовая работа [132,8 K], добавлен 28.06.2009Симплексный метод как универсальное решение задач линейного программирования. Применение метода Жордана-Гаусса для системы линейных уравнений в канонической форме. Опорное решение системы ограничений. Критерий оптимальности. Задача канонической формы.
презентация [2,0 M], добавлен 11.04.2013Понятие и классификация кривых Безье, их разновидности и методика, основные этапы построения. Порядок и условия применения данных кривых в компьютерной графике. Преобразование квадратичных кривых в кубические. Финитные функции. В-сплайны Шёнберга.
реферат [456,6 K], добавлен 14.01.2011Общее уравнение кривой второго порядка, преобразование систем координат. Классификация кривых по инвариантам, исследование уравнения кривой второго порядка. Изучение и примеры исследования инвариант поворота и параллельного переноса систем координат.
курсовая работа [654,1 K], добавлен 28.09.2019Понятие и способы образования плоских и кривых линий. Примеры пересечения алгебраической кривой линии. Поверхность в геометрии. Аргументы вектор-функции. Уравнения семейства линий. Способ построения касательной и нормали в произвольной точке лемнискаты.
контрольная работа [329,5 K], добавлен 19.12.2014Система кривых Пирсона. Применение ортогональных полиномов Чебышева при нахождении кривых распределения вероятностей. Примеры нахождения кривых распределения вероятностей и программное обеспечение.
дипломная работа [230,5 K], добавлен 13.03.2003Определение операций сложения, вычитания и умножения для дуальных чисел. Определение модуля и сопряжённого числа. Деление на дуальное число. Определение делителя нуля. Запись дуального числа в форме, близкой к тригонометрической форме комплексного числа.
курсовая работа [507,8 K], добавлен 10.04.2011Сведения о плоских кривых. Замечательные кривые третьего порядка. Классификация Ньютона кривых третьего порядка. Циссоида и ее свойства. Преобразования плоскости, переводящие кривые второго порядка в кривые третьего порядка. Преобразования Маклорена.
дипломная работа [960,1 K], добавлен 22.04.2011Доказательство теоремы единственности для кривых второго порядка. Преимущества и недостатки разных способов доказательства теоремы единственности. Пучок кривых второго порядка. Методы решения теоремы единственности для поверхностей второго порядка.
курсовая работа [302,7 K], добавлен 22.01.2011Понятие и свойства плоских кривых, история их исследований. Способы образования и разновидности плоских кривых. Кривые, изучаемые в школьном курсе математики. Разработка плана факультативных занятий по математике по теме "Кривые" в профильной школе.
дипломная работа [906,7 K], добавлен 24.02.2010Преподавательская работа швейцарского математика Габриэля Крамера, введение в анализ алгебраических кривых. Система произвольного количества линейных уравнений с квадратной матрицей Крамера. Классификация и порядок математических и алгебраических кривых.
реферат [47,6 K], добавлен 17.05.2011Линия - общая часть двух смежных областей поверхности. Характеристика спиралей – плоских кривых линий. Кардиоида как плоская линия, описываемая фиксированной точкой окружности. Описание циклоида и астроида. Синусоидальная спираль как семейство кривых.
контрольная работа [268,4 K], добавлен 17.11.2010Задача целочисленного линейного программирования, приведение к канонической форме. Общие идеи методов отсечения. Алгоритм Гомори для решения целочисленных задач линейного программирования. Понятие правильного отсечения и простейший способ его построения.
курсовая работа [67,5 K], добавлен 25.11.2011Задачи, приводящие к дифференциальным уравнениям. Теорема существования, единственности решения задачи Коши. Общее решение дифференциального уравнения, изображаемое семейством интегральных кривых на плоскости. Способ нахождения огибающей семейства кривых.
реферат [165,4 K], добавлен 24.08.2015Представление о взаимном расположении поверхностей в пространстве. Линейчатые и нелинейчатые поверхности вращения. Пересечение кривых поверхностей. Общие сведения о поверхностях. Общий способ построения линии пересечения одной поверхности другою.
реферат [5,4 M], добавлен 10.01.2009Роль идей и методов проективной геометрии в математической науке. Закономерности кривых второго порядка и кривых второго класса, основные теоремы Паскаля и Брианшона, описывающие замечательное свойство шестиугольника вписанного в кривую второго порядка.
курсовая работа [1,9 M], добавлен 04.11.2013Изучение явлений, происходящих в линейных цепях при периодических несинусоидальных напряжениях и токах. Разложение периодических несинусоидальных кривых в тригонометрический ряд Фурье. Основы разложения кривых, обладающих симметрией, и виды симметрии.
презентация [290,3 K], добавлен 06.06.2014
