CC BY
69
О КОЛИЧЕСТВЕ ТОЧЕК НА ЭЛЛИПТИЧЕСКОЙ
КРИВОЙ НАД FP
М.Г. Бабенко
ABOUT NUMBER OF POINTS ON ELLIPTIC CURVE ABOVE FP
Babenko M.G.
The facts concerning the number of points on the elliptic curve above Fp are considered in
the article; and the criterion for determining even or odd number of points on the elliptic curve above Fp is suggested.
В данной работе рассматриваются, фанты о количестве точен на эллиптической кривой над Fp и предлагается признан для
определения четно или нечетно количество точен на эллиптической кривой над F
Нлючевы/е слова: Количество точек на эллиптической кривой
УДК 512.742.72
В связи с развитием и широким применением новых информационных технологий в человеческой жизни проблема защиты информации в настоящее время приобретает все большее значение.
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Перспективное решение проблем обеспечения безопасности электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищенной автоматизированной обработки и передачи данных. Появление распределенных систем обработки данных, развитие технически очень сложных вычислительных систем привели к изменению среды обращения информации. В связи с этим особую актуальность приобрели не столько локальные алгоритмы криптографического преобразования информации, сколько распределенные алгоритмы, характеризующиеся наличием двух и более участников системы связи.
Проблема распределения ключей является наиболее острой в информационных системах. Отчасти эта проблема решается за счет использования открытых ключей. Но в связи с последними достижениями в теории вычислительной сложности которые показали, что общая проблема логарифмирования
57/2008 Г^
Вестник Ставропольского государственного университета tfbÍH
в конечных полях, не может считаться достаточно прочным фундаментом для построения криптографических систем. Наиболее эффективные на сегодняшний день алгоритмы дискретного логарифмирования имеют уже не экспоненциальную, а субэкспоненциальную временную сложность. Это алгоритмы "index-calculus", использующие факторную базу, к числу которых относятся алгоритм Адлемана [1], несколько версий «COS» (алгоритма Копперсмита-Одлыжко-Шреппеля) [2] и решето числового поля [3]. Ведутся работы по повышению эффективности этих алгоритмов. Так, метод, описанный в [4], направлен на повышение эффективности решения линейных уравнений в кольцах вычетов, поскольку все субэкспоненциальные методы дискретного логарифмирования сводятся к этой задаче.
Ряд успешных атак, например, описанные в [7], на системы, основанные на сложности дискретного логарифмирования в конечных полях, привел к тому, что стандарты ЭЦП России и США в 2001 году были обновлены: переведены на эллиптические кривые [8, 9]. Схемы ЭЦП при этом остались прежними, но в качестве чисел, которыми они оперируют, теперь используются не элементы конечного поля GP(2n) или GP(p), а эллиптические числа — решения уравнения эллиптических кривых над указанными конечными полями. Роль операции возведения числа в степень в конечном поле в обновленных стандартах выполняет операция взятия кратной точки эллиптической кривой — «умножение» точки на целое число.
Надлежащий выбор типа эллиптической кривой позволяет многократно усложнить задачу взлома схемы ЭЦП и уменьшить рабочий размер блоков данных. Старый российский стандарт ЭЦП оперирует 1024-битовыми блоками, а новый, основанный на эллиптических кривых, — 256-битовыми, и при этом обладает большей стойкостью.
Следует также отметить, что хотя для реализации системы Диффи-Хеллмана или Эль-Гамаля знать N (число Fp -точек на эллиптической кривой) не нужно, на практике
желательно быть уверенным в их надежности, которая зависит от того, имеет ли N большой простой делитель. Если N произведение малых простых чисел, то для решения задачи дискретного логарифмирования можно использовать метод Полига-Силвера-Хеллмана [6]. Заметим, что метод Полига-Сильвера-Хеллмана решает задачу дискретного логарифмирования в любой конечной абелевой группе. Таким образом, нужно знать, что N не есть произведение малых простых чисел, а это можно узнать, если найти N .
Пусть Fp - конечное поле из p элементов, где p - простое число, и Fp - его мультипликативная группа.
Элемент a е Fp называется кубическим вычетом в Fp, если двучлен x3 — a имеет корень в Fp [5] . Если двучлен x3 — a не имеет корней в Fp , то a называется кубическим невычетом в Fp .
Поставим вопрос о существовании кубических невычетов в Fp .
Если p > 7 есть число простое, то p = 3k +1 или p = 3k + 2.
Если p = 3k +1, то сравнение х3 — a ° 0(mod p) равносильно сравнению х3 ° a (mod (3k +1)) или
3ind x ° ind a (mod3k). (3,3k) = 3 и, если inda не делится на 3, то сравнение 3indx ° ind a (mod3k) не имеет решений. Значит, не имеет решений и сравнение х3 ° a(mod(3k +1)). Следовательно, при p = 3k +1 в Fp есть кубические невычеты.
Если p = 3k + 2, то сравнение х3 — a ° 0(mod p) равносильно сравнению х3 ° a(mod(3k + 2)) или
3ind x ° ind a (mod (3k +1)). (3,3k +1) = 1 и, сравнение 3ind x ° ind a (mod3k) имеет единственное решение. Значит, имеет един-
ственное решение и сравнение х3 ° а+ 2)). Следовательно, при р = 3к + 2 в ¥* нет кубических невычетов.
Следовательно при р = 6к + 5 множество значений функции /(х) = х3 + а над ¥р равно ¥р, а так как в ¥* содержит Р -1
—2— квадратичных вычетов. Пример.
Найти количество точек на эллипти-
ческой кривой у = х + а над ¥
где
р = 6к + 5 . Решение
Так как количество квадратичных вы-
17* Р -1
четов в ¥р равно -
то количество то-
чек равно (С учетом точки 0 и точки в бесконечности) получим, Р -1
2-+1 +1 = р +1
2. Утверждение.
Количество решений уравнения
у2 = х3 + ах над ¥ для любого а е ¥
Р V
одинаково, при р ° 3(mod4) и равно р . Доказательство
Количество решений уравнений равно
2 3
у = х + ах
над
¥р
I
но
1 +
(х3+ах^
Р
= р + I
00 учетом
3
х + ах
■Л ^ ; того,
равно (1),
что
f (-х)3 + а(-х) I
Р
3
-1
(-1 Л
х + ах
Р
но так
р ° 3(mod4), то
V р 0
| (-х)3 + а(-х) I
тельно
Р
= -1 и следова-
3
'х + ах
Р
значит члены для х и - х будут в сумме (1) сокращаться и следовательно количество решений уравнения у2 = х3 + ах над ¥р
для любого а е ¥р одинаково, при р ° 3(mod4) и равно р .
Утверждение доказано.
¥
Следовательно количество р -точек
2 3
у = х + ах на эллиптической кривой с над
¥р при р ° 3(т^4) (с учетом точки в бесконечности) равно р +1
Теорема.
Количество решений уравнения у2 = х3 + ах + Ь над ¥р если х3 + ах + Ь неприводим над ¥р четно и если х3 + ах + Ь приводим над ¥р то
(3Ь Л3 (3ЬЛ Ь -
четно, если I — I + а| — I + Ь = 0, 12а0 12а0
(3ЬЛ3 (3ЬЛ Ь 0.
нечетно, если I — I + а| — I + Ь Ф 0 12а0 12а0
Доказательство
Обратим внимание на то что количество решений уравнения у2 = х3 + ах + Ь
над
¥р равно I
( ( х3 + ах + Ь VI
1+
V V
р
но
00
так как х3 + ах + Ь неприводим над ¥р то,
( х3 + ах + Ь Л
следовательно слагаемое 1 +
р
может принимать значения либо 0 или 2 а следовательно сумма
I
(, ( х3 + ах + Ь ЛЛ 1 + -
V V р 00
четна.
Рассмотрим теперь если х + ах + Ь
¥ (3ЬЛ3 (3ЬЛ Ь 0
приводим над ¥ и I — I + а| — I + Ь Ф 0,
р V2а0 V2а0
тогда уравнение х3 + ах + Ь = 0 над ¥р имеет либо одно либо три решения, следовательно, либо одно либо три слагаемых
1 ( х3 + ах + Ь Л
1 + - принимают значение 1, а
р0
хе¥
р
хе¥
р V
хе¥
р
и
57/2008 Г^
Вестник Ставропольского государственного университета [¡вдН
следовательно
сумма
I
^ ( x3 + ax + b ^ 1 + -
v I p 00
нечетна.
Рассмотрим теперь если х + ax + b
ч3
3b
3b
приводим над ЕР и I — I + а\ — I + Ь = 0,
Р 12а0 12а0
тогда уравнение х3 + ах + Ь = 0 над ^ име-
Г3Ь^ Г3Ь
ет ровна два решения \ — I и — 2\ —
V 2а 0 V 2а
Г 3ЬI
причем \ — I корень кратности два, следо-V 2а 0
вательно
только
два
слагаемых
1 +
(х3 + ax + b Л Р
принимают значения 1, а
все остальные либо 0 либо 2 и значит сумма
I
( ( х3 + ax + b ^
1 +
vv
четна.
Р 00
Утверждение доказано. Следствие.
Количество точек(с точкой в бесконечность) на эллиптической кривой
у2 = х3 + ах + Ь над ^ если х3 + ах + Ь
^ р
неприводим над ¥р нечетно и если х3 + ах + Ь приводим над Ер то
Г 3Ь V Г 3Ь ^ Ь -нечетно, если \ — I + а\ — I + Ь = 0,
V2а0 V2а0
Г 3Ь V Г 3Ь ^ , . четно, если \ — I + а\ — I + Ь Ф 0
V2а0 V2а0
С помощью следствия можно по внешнему виду определить будет ли количе-
ство точек на эллиптической кривой четно или нет.
ЛИТЕРАТУРА
1. Adleman L. A Subexponential Algorithm for the Discrete Logarithm with Application to Cryptography, Proc. IEEE 20-th Annual Symposium on Foundations of Computer Science (FOCS), 1979.
2. Coppersmith D., Odlyzko A., Schroeppel R. Discrete logarithms in GF(p) //Algorithmica. 1986. V. 1. pp. 1-15.
3. Schirokauer O. Discrete logarithms and local units. Phil. Trans. R. Soc. Lond. A. 1993. V. 345. pp. 409-423.
4. Авдошин С.М., Савельева А.А. Алгоритм решения систем линейных уравнений в кольцах вычетов // Информационные технологии. — 2006. - № 2. — С. 50-54.
5. Ван дер — Варден Б.Л. Алгебра: Пер. с нем. — М.: Наука, 1976. — 648 с.
6. Коблиц Н. Курс теории чисел и криптографию. — М.: Научное изд-во ТВП, 2001.
7. Odlyzko A.M. Discrete logarithms: The past and the future. AT&T Labs—Research, 1999.—25 p.
8. ГОСТ Р34.10-01. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
9. FIPS PUB 186-2. Digital Signature Standard (DSS).
Об авторе
Бабенко Михаил Григорьевич, аспирант Ставропольского государственного университета кафедры высшей алгебры и геометрии. Начальник отдела разработки программного обеспечения и обработки информации Регионального центра тестирования Ставропольского государственного университета. teacher@pm. stavsu.ru
xeF
p
