CC BY
60
УДК 511.6: 512.7
Т. А. Виноградова
АЛГОРИТМ ГЕНЕРАЦИИ ГИПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ НА ОСНОВЕ КОМПЛЕКСНОГО УМНОЖЕНИЯ
Описан метод комплексного умножения для генерации кривых и разработан общий алгоритм.
A method of complex multiplication for a curves generation is described, and a common algorithm is developed.
Метод комплексного умножения (СМ-метод), опирающийся на идею Дойринга, позволяет построить гиперэллиптическую кривую рода g g 2 с заданным порядком якобиана. Способ подсчета точек случайно выбранной кривой действует достаточно быстро, но только в случае кривых рода 1 (эллиптических кривых), однако до сегодняшнего дня не существует эффективного и универсального алгоритма подсчета числа точек случайно выбранной гиперэллиптической кривой с подходящим (и 2160) порядком группы. Для сравнения: после обобщения идеи Шуф-фа-Эткина-Э.лкиса стал возможен подсчет точек кривой над F<t>P, р = 1019 + 51. Поэтому СМ-метод является эффективным для генерации кривых, подходящих для криптографии.
Целью данной работы является описание метода комплексного умножения для генерации кривых и разработка общего алгоритма.
Известно, что множество точек абелева многообразия А (или, что то же самое, проективной алгебраической группы) над конечным полем — конечная абелева группа, сложение в которой всегда может быть задано посредством рациональных функций. Если группа А(Ф?) подходит для криптографии, то А также называется подходящим. Для применения в криптографии должны быть решены проблемы осуществления быстрого вычисления кратного на абелевом многообразии и генерации подходящих абелевых многообразий.
Если абелево многообразие является многообразием Якоби (якобианом) JC некоторой кривой С, то группа JC^q) совпадает с группой классов F Ф9-рациональных дивизоров кривой и сложение в ней задается посредством сложения в группе классов дивизоров. Проблема реализации якобиана трансформируется в данном случае в задачу реализации соответствующей кривой (это следует непосредственно из теоремы Римана-Роха).
В 1986 г. Эткин предложил алгоритм нахождения подходящей для криптографии конечной группы, основываясь на теории эллиптических кривых с комплексным умножением. Группа точек эллиптической кривой фактически является её якобианом, так что достаточно подобрать кривую с заданным порядком группы. Схематично алгоритм вы-
Вестник РГУ им. И. Канта. 2007. Вып. 10. Физико-математические науки. C. 75 — 78.
Т. А. Виноградова
глядит так: выбирается мнимое квадратичное числовое поле K и целое число оз є ОкОк, такое, что сою = р для некоторого подходящего простого p. В этом случае ю соответствует эндоморфизму Фробениуса Пр эллиптической кривой Е с комплексным умножением и кольцом эндоморфизмов ОК. При подстановке x = 1 в характеристический многочлен эндоморфизма Фробениуса fp(x) = (x ra)(x ю) получаем число Фр-рацио-нальных точек кривой Е. Для построения соответствующей кривой Е над Фр сначала вычисляются инварианты j1,.jh группы классов поля K. Они и являются j-инвариантами сопряженных над K эллиптических кривых Еj K(j). По теореме из теории комплексного умножения инварианты являются целыми алгебраическими числами и числовое поле К(]) представляет собой гильбертово поле классов, так что коэффициенты
h
классового полинома H(x) = П (x - ji) целые и редуцированные инвари-
i=1
анты j^), однозначно определяющие кривую Едр) Фр, будут корнями классового полинома ^(x) = H(x) mod p. Путем возведения в степень Np = fp(1) точки Р є Еj(р)(Фр) определяется нужная кривая. Если число классов не выше 400, то этот метод работает быстрее, чем подсчет точек.
Рассмотрим обобщение вышеизложенного алгоритма на случай рода g = 2. Алгоритм имеет следующую структуру:
1. Нахождение классов изоморфных абелевых многообразий. Кольцо эндоморфизмов якобиана является порядком в CM-поле K степени 2g = 4 над в (в мнимом квадратичном расширении тотально действительного числового поля). Аналитическое представление А зависит от комплексного представления кольца эндоморфизмов, поэтому вводятся в рассмотрение СМ-типы (если ср„ 1 Н і ^ 2g, есть различные вложения К в X, то набор (K, Ф) = (К, (ф1, ..., фg}) является CM-типом, когда никакие два из вложений не являются сопряженными; для абелева многообразия А с ЕМк(А) ® в = K существует CM-тип (K, Ф) = (K, (ф1, ., фg}).
1.1. Подбирается натуральное свободное от квадратов d є N, такое,
что число классов поля К0 = в(4й ) равно 1, и а = a b-Jd, свободное от квадратов и такое, что a ± b-Jd > 0. Поле K = K0(i-Ja ) является CM-полем степени 4. Чтобы многообразие Якоби было простым (не содержащим собственных абелевых подмногообразий), К в не должно быть расширением Галуа поля с группой Галуа Z2Z x Z2Z. Выбирая пару различных несопряженных вложений ф1, ф2 поля K в X, получаем CM-тип (K, Ф) = (K, ( ф1, ф2 }). Для идеала А полагаем
Ф(А) = ( (ф1(а), ф2(а)У, а є А}. X2/ Ф(А) является абелевым многообразием с комплексным умножением на ОК.
1.2. Вычисление фундаментальной единицы е0 поля К0 осуществля-
ется с помощью системы компьютерной алгебры. Затем определяются классы идеалов кольца ОК, содержащие идеал А и такие, что А А = аОК, ф1(а), ф2(а) действительны и положительны. Для них выбирается полная система представителей Аі, ..., Ahк; Аj = О K0 TjO к0,
im(Tj) > a Nк0/q (00) < 0, NK0/Q (Tj) тотально положительна. Находятся
представители всех классов изоморфных главно поляризованных абелевых многообразий над X с кольцом эндоморфизмов Ок СМ-типа (К, Ф), относящихся к идеалам Аі, и для них определяются матрицы периодов Оі є Н2, связанные с кривыми С посредством решеток Лг , соот-
СІ
ветствующих идеалам Аі из Ок. Здесь Н2 = ^ є С2х2, 2 = 2*, 1т z > 0} — верхняя полуплоскость Зигеля.
2. Нахождение классовых полиномов. С помощью Оі вычисляются тета-константы (посредством 10 четных тета-констант, соответствующих матрицам периодов, можно получить полную систему инвариантов кривых рода 2, выражающихся через коэффициенты уравнения кривой). Алгебраическая система уравнений будет задаваться инвариантами Игусы, которые выражаются в рациональных функциях через тета-константы. Эти инварианты порождают неразветвленное поле классов над двойственным полем К*, относящимся к полю К, и являются целыми алгебраическими числами. Корни редуцированного многочлена будут соответственно инвариантами редуцированной кривой. Решая систему уравнений для каждой из кривых СІ, найдём многочлены Нк,к(Х).
2.1. Вычисление тета-констант. В терминах матрицы периодов О в случае рода 2 они определяются следующим образом:
0
С2, 0) = ^ ехр
пє2 22
пі Vп+—8І О(п +—8) + 2(п +—8)*(2 +—е)
V У
где 8, е е (2/22)8, z = 0. Для наших целей требуются значения десяти чётных тета-констант.
2.2. Вычисление инвариантов Игусы ]1г у2, у3. Чтобы посредством тета-констант вычислить инварианты Игусы, вводятся значения Н4 Н10, Н12, Н16, связанные с модулярными формами подходящего веса.
2.3. Вычисление классовых полиномов:
Нкл(Х) = пX - л)), НКЛ(Х) = пX - Й)), Нкз(Х) = П(X - $).
1=1 1=1 1=1
В отличие от случая эллиптических кривых, полиномы имеют не целые, а рациональные коэффициенты.
2.4. Переход к полиномам И'К,к(Х) с целыми коэффициентами.
3. Определение уравнения кривой. Для определении уравнений кривых по их инвариантам используется метод Местре, основанный на теории инвариантов бинарных форм. Решая систему уравнений для инвариантов, получаем коэффициенты уравнения кривых и уравнения соответствующих многообразий Якоби. Известно, что существует определенное над Фр простое главно поляризованное абелево многообразие А с кольцом эндоморфизмов ОК и элементом Фробениуса ю. А это и есть якобиан ]с кривой С рода 2 над Фр. При подстановке х = 1 в характеристический многочлен /р(х) получаем число Фр-рациональных точек якобиана (обозначим его Ыр). Поскольку А обладает комплексным умножением на Еп^А) = ОК, то может быть определен элемент Фробениуса
77
Т. А. Виноградова
78
4
ю є OK. Если Dim(А) = 2, то Np = fp(1) = П (1 юі), где юі — сопряженные с
i=1
ю элементы. Система редуцированных по модулю р инвариантов однозначно определит кривую над Фp.
3.1. Выбор числа р. Для нахождения простого числа р = юю применяется либо пакет алгоритмической теории чисел, либо более эффективный метод подходящих чисел Вейля. Зная ю, получаем возможный порядок якобиана.
3.2. Нахождение инвариантов. По построению классовые полиномы имеют линейные множители по модулю числа р. Инвариантам кривых, определенных над простым полем Фp, соответствуют корни многочленов H'K,k (X) по модулю р. Здесь возникает более сложная ситуация, чем в случае эллиптических кривых, из-за привлечения теории инвариантов. Выбирается тройка чисел (jlW, j2j), /’3®) є Фp3, i, j, k є (1,...,s}, s — число классов изоморфных кривых, и с помощью алгоритма Местре проверяется, будет ли она набором инвариантов кривой.
3.3. Заключительный шаг. Записывается аффинное уравнение
y2 = f (x), deg f = 5.
Путем выбора класса дивизоров D є Pic0r и проверки условия [N] D = 0, N є N выясняется, имеет ли якобиан построенной кривой C одно из возможных четырех значений порядка:
N = (N = Хю(1) I ює W}.
Если проверка оказалась неудачной ни для одного из четырех чисел, то выбирается новая тройка инвариантов или (в случае неудачи) новое р.
Наибольшую сложность представляет факторизация классового полинома и следующий за ним шаг, на котором (в наихудшем случае) выполняется проверка всевозможных троек s3.
Существует обобщение CM-метода и в некоторых частных случаях, когда g = 3.
Список литературы
1. rohen H., Frey G. Handbook of elliptic and hyperelliptic curve cryptography. Chapman & Hall/CRC, 2006.
2. Spallek A.-M. Kurven vom Geschlect two und ihre Anwendung in Public-Key-Kryptosystemen. PhD thesis, Institut fuer Experimentelle Mathematik, Universitaet GH Essen, 1994.
3. Weng. A. Elliptische Kurven und komplexe Multiplikation. Vorlesung am FB Mathematik (Manuscript), Universitaet GH Essen, 2001.
4. Weng A. Konstruction kryptographisch geeigneter Kurven mit komplexer Multiplikation. Dissertation, FB 6 Universitaet GH Essen, 2001.
Об авторе
Т. А. Виноградова — асп., РГУ им. И. Канта.
