CC BY
12
16. Barbour A. D, Holst L., and JansonS. Poisson Approximation. Oxford: Oxford Univ. Press, 1992. 277 p.
17. Михайлов В. Г., Шойтов А. М. О длинных повторениях цепочек в цепи Маркова // Дискрет. матем. 2014. Т. 26. №3. С. 79-89.
18. Minakov A. A. Poisson approximation for the number of non-decreasing runs in Markov chains // Матем. вопр. криптогр. 2018. Т. 9. №2. С. 103-116.
УДК 512.772 DOI 10.17223/2226308X/12/5
ХАРАКТЕРИСТИЧЕСКИЕ МНОГОЧЛЕНЫ НЕКОТОРЫХ ГИПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ РОДОВ 2,3 И p-РАНГА 11
Е. М. Мельничук, С. А. Новоселов
Исследуются характеристические многочлены некоторых классов гиперэллиптических кривых рода 2, 3 р-ранга 1 над конечным полем. р-Ранг является важным инвариантом кривой, который накладывает ограничения на характеристический многочлен кривой и, следовательно, на число точек в её якобиане. Получены сравнения (по модулю характеристики) и ограничения на коэффициенты для характеристических многочленов кривых р-ранга 1 с автоморфизмами.
Ключевые слова: гиперэллиптические кривые, р-ранг, характеристические многочлены, группа автоморфизмов.
Введение
Гиперэллиптическая кривая C рода g над конечным полем Fq задаётся уравнением
y2 + h{x)y = f (ж),
где h(x),f(x) G Fq[x] и degh(x) ^ g + 1, degf(x) = 2g + 1 или degf(x) = 2g + 2 и многочлен f (x) является унитарным.
В настоящее время гиперэллиптические кривые изучаются как альтернатива эллиптическим кривым. Гиперэллиптические кривые требуют меньший размер ключа при сравнимом уровне безопасности. Одними из перспективных направлений в криптографии на (гипер)эллиптических кривых являются классическая криптография на дискретном логарифме, криптография на билинейных спариваниях, постквантовая криптография на изогениях.
Для криптографии на дискретном логарифме необходимы кривые рода 2 и 3 с большим простым числом точек в якобиане. Для кривых больших родов имеются атаки методом исчисления индексов. Для криптографии на билинейных спариваниях, помимо требований для стойкости дискретного логарифма, необходимы кривые с малой степенью вложения. Ярким примером применения криптосистем на билинейных спариваниях является механизм Zk-Snark, применяемый в криптовалюте Zcash. В основе Zk-Snark лежит редуцированное эйт-спаривание. Криптография на изогениях гиперэллиптических кривых в настоящее время только начинает развиваться. Основной проблемой является отсутствие эффективных формул для вычисления изогений.
Множество точек гиперэллиптических кривых рода 2 и 3 не образует группу, в отличие от эллиптических кривых, поэтому для использования таких кривых в криптографии строится ассоциированная с кривой группа — якобиан кривой.
Исследование выполнено при финансовой поддержке РФФИ, проект № 18-31-00244.
Определение 1. Якобианом гиперэллитической кривой С называется факторгруппа
За = Вгь°(С )/Рг(С),
где Пт°(С) —множество дивизоров степени 0; Рг(С) —множество главных дивизоров кривой С.
Важным инвариантом гиперэллиптической кривой является р-ранг.
Определение 2. Пусть С — гиперэллиптическая кривая. Тогда За[ре] = для 0 ^ г ^ д и е ^ 1. Число г называется р-рангом кривой С.
Хорошо исследованы кривые с р-рангом 0, которые имеют маленькую степень вложения, и р-рангом 2, подавляющее большинство которых имеют большую степень вложения. Для суперсингулярных абелевых многообразий (р-ранг равен 0) известны [1] полные списки возможных характеристических многочленов. Соответственно задача подсчёта точек на суперсингулярных кривых может быть решена простым перебором возможных вариантов. Для кривых р ранга 1 подобных списков в настоящее время не составлено.
В данной работе исследуются характеристические многочлены для кривых р-ран-га 1. В силу того, что данные кривые являются промежуточным случаем, мы предполагаем возможность существования как классов кривых с маленькой степенью вложения, так и кривых с большой степенью вложения.
Будем рассматривать классы кривых рода 2, чей р-ранг не превосходит 2, и кривые рода 3, чей р-ранг меньше или равен 3. Среди них выделим кривые р-ранга 1.
1. Характеристический многочлен и р-ранг
¿-многочлен кривой связан с р-рангом посредством следующей теоремы.
Теорема 1 (Штихтенот). Пусть ¿(Т) = а0 + а1Т + а2Т2 +... + а2дТ2д, тогда р-ранг кривой С равен
шах{г : а^ ф 0 (modp)}.
Если кривая имеет автоморфизмы, определённые над некоторым расширением конечного поля, то, в силу следующей теоремы, это накладывает дополнительные ограничения на характеристический многочлен данной кривой.
Теорема 2 [4]. Пусть к — поле, К — расширение поля к, А — абелево многообразие над полем к и т € ЕпаК(АК), такой, что
1) действие группы Са1(К|к) на ЕпаК(АК) отображает подпространство 0[т] С С ЕпаК (Ак) в себя;
2) т не определено ни над одним промежуточным полем м расширения К|к, где
М Я К;
3) 0[т] —поле.
Тогда характеристический многочлен эндоморфизма Фробениуса абелева многообразия А имеет вид / (Т[К:к1) для некоторого многочлена / (Т) € ^[Т] степени 2^ш(А)/[К : к].
Так как якобиан гиперэллиптической кривой является абелевым многообразием, то теорема 2 применима и к гиперэллиптическим кривым. Это позволяет получить следующий результат.
Теорема 3. Пусть дана гиперэллиптическая кривая С рода д, такая, что выполняются условия теоремы 2. Тогда Га ^ [К : к].
Кроме того, имеет место следствие для кривых рода д и р-ранга 1.
Следствие 1. Кривая С рода д может иметь р-ранг 1 только при условии [К : к] = 1.
Заметим, что следствие не гарантирует наличия р-ранга 1 у кривой С, однако это необходимое условие в контексте теоремы 2. Применим эти результаты к некоторым классам гиперэллиптических кривых.
2. Кривые р-ранга 1 и их характеристические многочлены
Для кривых рода 3 с нетривиальной группой автоморфизмов р-ранг может быть определён с помощью результатов из [3], что позволяет выделить кривые р-ранга 1.
Теорема 4. Пусть гиперэллиптическая кривая С/¥р рода 3 имеет группу автоморфизмов С14. Тогда уравнение кривой имеет вид у2 = х7 + 1. Положим
(р - 1)/2 ^ + / (р - 1)/2 (р - 1)/2 \ ^ = / (р - 1)/2 \/ (р - 1)/2 N
5(р - 1)/14/ Up -1)/1V UP - 1)/1V Up - 1)/1V Up - 1)/14У
+ / (р - 1)/2 \/(р - 1)/2W (р - 1)/2 \/(p - 1)/2\ \5(p - 1)/w UP - 1)/1V U(P - 1)/1V UP - 1)/14/'
Тогда кривая C имеет р-ранг 1, если p = 1 (mod 7), v = 0 (mod p) и w = 0 (mod p). Кроме того, характеристический многочлен эндоморфизма Фробениуса имеет следующий вид:
x(A) = A2g + vA2g-1 (mod р).
Теорема 5. Пусть группа автоморфизмов G кривой C равна D12. Тогда кривая имеет модель y2 = x(x6 + ax3 + 1), где a G K. Обозначим c = P(p-1)/2(p), d = P(p-1)/6(p), e = P(p_5)/6(p), где p = -a/2 и Pn — многочлены Лежандра. Тогда если a = 0, то
1) р-ранг кривой равен 1 при р = 1 (mod 3), c + 2d = 0 (mod р) и c2 + 2cd = = 0 (mod р). В этом случае многочлен Фробениуса по модулю р равен
Х(А) = A2g + (c + 2d)A2g-1 (mod р);
2) р-ранг равен 1 при р = 2 (mod 3), c = 0 (mod р) и e = 0 (mod р). В этом случае многочлен Фробениуса по модулю р равен
Х(А) = A2g + cA2g-1 (mod р).
Теорема 6. Пусть группа автоморфизмов G кривой C равна Vg. Тогда данная кривая имеет вид y2 = x8 - 1. Пусть
= 1 (р - 1)/2 р + /(р - 1)/2р + /(р - 1)/2
V3(P- 1)/^4(P -1)/^Ч(Р - 1)/8 . = / (р - 1)/2 \ /(р - 1)/2\ + / (р - 1)/2 \ /(р - 1)/2\ + /(р - 1)/2\ /(р - 1)/2 Up - 1)/^ V(P - 1)/V + \3(P - 1)/sJ V(P - 1)/V + UP - 1)/V UP - 1)/8
Тогда
1) если р = 1 (mod 8), то при s = 0,t = 0 (mod р) кривая имеет р-ранг 1. В этом случае многочлен Фробениуса по модулю р равен
X(A) = A2g + wA2g-1 (mod р);
2) если p = 5 (mod 8) и r = , то при r = 0 (mod p) кривая имеет
p-ранг 1. В этом случае многочлен Фробениуса по модулю p равен
x(A) = A2g + rA2g-1 (mod p).
Теорема 7. Пусть группа автоморфизмов G кривой C равна D8 х C2. Тогда кривая имеет модель y2 = x8 + ax4 + 1, где a G K. Пусть a = P(p-1)/4(p), b = P(p-3)/4 (p), c = P(p-1)/2(p), где p = -a/2. Тогда
1) если p = 1 (mod 4), то р-ранг кривой равен 1 при a = 0, c = 0 (mod p). В этом случае многочлен Фробениуса по модулю p равен
2) если p = 3 (mod 4), то p-ранг кривой равен 1 при b = 0, c = 0 (mod p). В этом случае многочлен Фробениуса по модулю p равен
В работе получены характеристические многочлены (mod p) гиперэллиптических кривых рода 2, 3 и p-ранга 1 для кривых с автоморфизмами.
В дальнейшем на основе полученных результатов планируется построить алгоритм подсчёта числа точек на кривых, изоморфных кривым с автоморфизмами над расширением конечного поля, по аналогии с работой [5] и исследовать их степени вложения с целью анализа возможности применения таких кривых как в классических криптосистемах, так и в криптосистемах на основе билинейных спариваний и изогений.
1. Singh V., Zatysev A., and McGuire G. On the Characteristic Polynomial of Frobenius of Supersingular Abelian Varieties of Dimension up to 7 over Finite Fields. arXiv preprint arXiv:1011.2257. 2010.
2. Novoselov S. A. Hyperelliptic curves, Cartier — Manin matrices and Legendre polynomials // Прикладная дискретная математика. 2017. №37. С. 20-31.
3. Мельничук Е. М., Новоселов С. А. p-Ранги гиперэллиптических кривых рода 3 с нетривиальной группой автоморфизмов // Труды математического центра имени Н. И. Лобачевского. 2018. Т. 56. C. 188-192.
4. Bouw 1.1., Diem C., and Scholten J. Ordinary elliptic curves of high rank over with constant j-invariant // Manuscripta Mathematica. 2004. V. 114. No. 4. P. 487-501.
5. Novoselov S. A. Counting points on hyperelliptic curves of type y2 = x2g+1 + ax9+1 + bx. https://arxiv.org/abs/1902.05992. 2019.
x(A) = A2g + cA2g-1 (mod p);
X(A) = A2g + cA2g-1 (mod p).
Заключение
ЛИТЕРАТУРА
УДК 519.7
DOI 10.17223/2226308X/12/6
ВАРИАЦИИ ОРТОМОРФИЗМОВ И ПСЕВДОАДАМАРОВЫХ ПРЕОБРАЗОВАНИЙ НА НЕАБЕЛЕВОЙ ГРУППЕ
Б. А. Погорелов, М. А. Пудовкина
В криптографии ортоморфизмы на абелевой группе используются как S-боксы в схемах Лея — Месси, квази-Фейстеля, в блочной шифрсистеме FOX, в режиме
