О ПОСТРОЕНИИ МАКСИМАЛЬНЫХ ГИПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ РОДА 3 Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

14 ПРИЛОЖЕНИЕ Сентябрь 2021

Секция 1

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ

УДК 512.772 Б01 10.17223/2226308Х/14/1

О ПОСТРОЕНИИ МАКСИМАЛЬНЫХ ГИПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ РОДА 3

Ю. Ф. Болтнев, С. А. Новоселов, В. А. Осипов

Описываются два метода построения максимальных гиперэллиптических кривых рода три над конечным полем, т. е. кривых, число точек на которых достигает верхнюю границу Хассе — Вейля — Серра. Рассматриваются кривые с уравнением у2 = х7 + ах4 + Ьх, допускающие декомпозицию на эллиптические кривые. В основе первого метода — построение пары суперсингулярных эллиптических кривых над простым полем, ]-инвариант одной из которых равен 1728 или 0, а ^'-инвари-ант другой кривой также известен. По построенным эллиптическим кривым строится искомая максимальная гиперэллиптическая кривая над подходящим расширением простого поля. Этот метод не исчерпывает всех максимальных кривых, но даёт весьма эффективный алгоритм построения некоторых их семейств. Второй метод основан на факторизации многочленов Лежандра, которые представляют собой инварианты Хассе соответствующих эллиптических кривых в декомпозиции якобиана. Метод позволяет построить все возможные максимальные кривые для случая Ь = 1 и поля Fp2, и мы применяем его для построения всех максимальных кривых для р ^ 7151 и а = 0.

Ключевые слова: максимальная гиперэллиптическая кривая, суперсингулярная эллиптическая кривая, характеристический многочлен.

Максимальные кривые, т. е. кривые с максимально возможным числом точек, достигающим верхнюю границу Хассе — Вейля — Серра, находят широкое применение как в криптографии, так и в теории алгебраических кодов. Пусть C : у2 = = x7 + ax4 + bx — гиперэллиптическая кривая рода 3 над конечным полем Fq, q = pn, p > 3. В случае, когда b — кубический вычет, якобиан Jc этой кривой допускает декомпозицию на эллиптические кривые, что описывается следующей теоремой, ранее доказанной авторами в [1].

Теорема 1 [1]. Пусть C : у2 = ж7 + ах4 + bx — гиперэллиптическая кривая рода 3, определённая над конечным полем Fq, q = pn, p > 3, и b — кубический вычет. Тогда:

1) Если q = 1 (mod 6), то Jc - Ei х E22 над Fq и xc,q(T) = (T2 - tiT + q)(T2 -

— t2T + q)2, где Ei : у2 = ж3 + ах2 + bx, E2 : y2 = x3 — 3^bx + а — эллиптические кривые; ti,t2 —их следы Фробениуса.

2) Если q = 5 (mod 6), то JC - Ei х E2 х E2 над Fq и xC,q(T) = (T2 — tiT + q)(T2 —

— t2T + q)(T2 + t2T + q), где E2 — скручивание кривой E2.

Для установления соотношения между j-инвариантами эллиптических кривых Ei и E2 нами доказана следующая теорема.

Теорема 2. Пусть заданы две эллиптические кривые над полем К: Е\ : у = х + ах + ох, Е2 : у = х — 3Vох + а. Тогда справедливы следующие соотношения для их ]-инвариантов:

) 256(а2 — ЗЬ)3 ,.Е ) 4 ■ 1728Ь

j(Ei) = f 172^—^— - 1

3

27 V j (E2)

1. Максимальные кривые в случае j(E1) = 0 или j(E1) = 1728 Следствие 1. Справедливы следующие утверждения:

1) j(Ei) = 0 ^ j(E2) = 4 ■ 1728;

2) j(Ei) = 1728 ^ j(E2) = 1728 или j(E2) = -8 ■ 1728.

Замечание 1. Случай j(E1) = j(E2) = 0 невозможен, так как тогда дискриминант многочлена x7 + ax4 + bx обращается в нуль и кривая C будет не гладкой.

Кривая C, заданная над Fg, называется максимальной кривой, если число точек на кривой N = 1 + q + g |_2\/qJ, то есть достигается верхняя граница Хассе — Вейля — Серра:

1 + q - gL2^qJ ^ N ^ 1 + q + gL2^qJ. Аналогичная граница известна также для якобианов [2, Theorem 14.15]:

(vq - 1)2g ^ i jc i ^ (vq+1)2g.

Если C — максимальная кривая, то |Jc| = (1 + L^\/qJ + q)g. Таким образом, порядок якобиана максимальной гиперэллиптической кривой рода 3 равен

|Jc | = (1 + L2VqJ + q)3.

Это, в свою очередь, означает, что характеристический многочлен кривой имеет вид

Xc,g (T ) = (T2 + L2VqJT + q)3.

Тогда для гиперэллиптической кривой C : y2 = x7 + ax4 + bx рода 3, определённой над конечным полем Fg, q = pn, p > 3, выполняется

JC - E1 x E22,

где E1 : y2 = x3 + ax2 + bx, E2 : y2 = x3 - 3"^x + a — эллиптические кривые, заданные над Fg. Их характеристические многочлены:

Хвид (T) = XE2,q (T) = T2 + L2VqJT + q.

Заметим, что в случае рассмотрения суперсингулярных эллиптических кривых над простым полем имеем

XEi,p(T) = XE2,p(T) = T 2 + Р.

Таким образом, имеем

Согласно методу Вейля [3] для вычисления числа точек эллиптической кривой, число точек кривой E над произвольным расширением Fq, q = pr, равно

Nr = pr + 1 - ar - вг.

Здесь a и в — корни характеристического многочлена, который в случае суперсингулярных над полем Fp кривых Ei и E2 равен Хе/ fp(T) = T2 + p. Нетрудно видеть, что

, r = ±1 (mod 4),

ar + вг = (i^P)r + HVP)r = { — 2pr/2, r = 2 (mod 4),

2pr/2, r = 0 (mod 4).

pr + 1, r = ±1 (mod 4),

Nr = <j pr + 1 + 2pr/2, r = 2 (mod 4), jf + 1 — 2pr/2, r = 0 (mod 4).

Видно, что число точек будет максимально при r = 2 (mod 4) , и кривая является максимальной, так как достигается верхняя граница Хассе — Вейля — Серра. Можно заметить, что

Nr = pr + 1 + 2pr/2 = 1+ L2^qJ + q = Хе(1) ^ Xe(T) = T2 + |_2^qjT + q.

Таким образом, для построения максимальной гиперэллиптической кривой нужно построить суперсингулярные эллиптические кривые Ei и E2 над простым полем Fp и рассмотреть их в расширении степени r = 2 (mod 4) .

Случай 1 . Будем искать кривую E2 в виде y2 = x3 + Ax. Заметим, что j-инвариант такой кривой j(E2) = 1728. Согласно следствию 1, получаем j(Ei) = 1728.

Из [3] известно, что эллиптическая кривая данного вида суперсингулярна над простым полем в случае, когда p = 3 (mod 4). Это равносильно p = 7,11 (mod 12) при p > 3.

Напомним, что E2 : y2 = x3 — 3-^bx + a, тогда из сравнения коэффициентов получим a = 0, b = —A3/27. Имеем искомое уравнение максимальной гиперэллиптической кривой:

A3

C : y2 = x7 + ax4 + bx = x7 — —— x.

27

Таким образом, перебрав все коэффициенты A Е Fp, построим семейство максимальных гиперэллиптических кривых над расширением Fq, соответствующих эллиптической кривой E2 вида y2 = x3 + Ax, где q = pr; p > 3; p = 7,11 (mod 12); r = 2 (mod 4).

Случай 2 . Будем искать кривую Ei, такую, что j(Ei) = 1728. По следствию из теоремы 2, j(E2) = 1728 или j(E2) = —8 ■ 1728. Но случай j(Ei) = j(E2) = 1728 мы уже рассмотрели, поэтому теперь рассмотрим случай j(Ei) = 1728 и j(E2) = —8 ■ 1728.

По известному методу (например, [4]) находим уравнение кривой E2 по заданному j-инварианту:

2 3 8 16

E2 : y2 = x3--x +--.

2 y 3 9

Отсюда a = 16/9, b = (8/9)3, и получаем уравнение максимальной гиперэллиптической кривой:

2 7 4 7 16 4 83

C : y = x + ax + bx = x +--x +—-x.

9 93

Перебором классов изоморфизма кривых E2 мы получили, что кривая E2 суперсингулярна при p = 31,131,251,383,439,1459,1999,2203, 2999, 3299, 4523, 4759, 5399, 5471, 8719,9323,... При этом все кривые, изоморфные суперсингулярной кривой E2, будут тоже суперсингулярны. Их можно получить следующим образом:

E2 : у2 = x3 — 8u4x + 16u6, u E FP.

39p

Сравнивая с уравнением у2 = x3 — 3-^bx + а, получаем коэффициенты

16 6 83 i2 а = yu , b =93u .

Имеем следующее уравнение для семейства максимальных гиперэллиптических кривых:

C : у2 = x7 + —u6x4 + 83ui2x.

9 93

Кривая E2, являющаяся скручиванием кривой E2, будет суперсингулярной в случае, когда E2 суперсингулярна. Кроме того, весь класс кривых, изоморфных кривой E2, состоит из суперсингулярных кривых. Уравнение кривых, полученных скручиванием

кривой E2, выглядит следующим образом:

2 3 8 2 16 3

E2 : у2 = x3 — -u2x + — u3.

39

Сравнивая с уравнением у2 = x3 — 3-^bx + а, получаем коэффициенты

16 3 83 6 а =yu b =93u .

Тогда имеем следующее уравнение для семейства максимальных гиперэллиптических кривых:

16 83

C : у2 = x7 +--u3x4 + — u6x.

9 93

Случай 3 . Будем искать кривую Ei, такую, что j(Ei) = 0. По следствию из теоремы 2 имеем j (E2) = 4 • 1728. Так как j (Ei) = 0, кривая Ei суперсингулярна в случае, когда p = 2 (mod 3), что равносильно p = 5 (mod 6), когдаp > 3. Аналогично случаю 2, по заданному j-инварианту j(E2) находим уравнение кривой E2:

E2 : у2 = x3 — 4x + 8.

3

Отсюда а = 8/3, b = (4/3)3, и уравнение максимальной гиперэллиптической кривой принимает следующий вид:

8 43 2 7 4

C : у = x + 3x + 33x.

Перебор классов изоморфизма кривых E2 показал, что кривая E2 суперсингулярна при p = 359, 647, 719, 971, 4391, 6263, 6983,... При этом все кривые, изоморфные суперсингулярной кривой E2, будут тоже суперсингулярны. Их можно получить следующим образом:

8

E2 : у2 = x3 — 4u4x + -u6, u E F*

Имеем следующее уравнение для семейства максимальных гиперэллиптических кривых:

8 43

С : у2 = х7 +— и6х4 +—-м12ж. 3 33

Кривая Е2, являющаяся скручиванием кривой Е2, будет суперсингулярной в случае, когда Е2 суперсингулярна. Кроме того, весь класс кривых, изоморфных кривой Е2, состоит из суперсингулярных кривых.

Уравнение кривых, полученных скручиванием кривой Е2, выглядит следующим образом:

Е2 : у2 = X3 - 4и2х + 8и3.

3

Тогда получаем уравнение для семейства максимальных гиперэллиптических кривых:

8 43

С : у2 = х7 + -и3х4 + — и6х.

3 33

Пример 1. Построим семейство максимальных гиперэллиптических кривых рода 3, заданных над полем Е31. Они являются максимальными над его расширением степени 2, то есть над полем Едбь Для данного поля якобиан максимальной гиперэллиптической кривой должен иметь порядок

(+ !)2й = (^9бТ + 1)6 = (32)6 = 230 = 1073741824.

При этом характеристические многочлены всех кривых над полем ЕЭ61 имеют вид Хс,961(х) = (х + 31)6, а для этих же кривых, рассматриваемых над полем Е31,— Хс,31(х) = (х2 + 31)3. Далее приведены 20 максимальных гиперэллиптических кривых; кривые в левом столбце построены как в случае 1, в правом — как в случае 2:

у2 7 = x7 + 4ж у2 7 = ж7 + 14ж4 + 16ж

у2 7 = x7 + 2ж у2 7 = ж7 + 3ж4 + 2ж

у2 7 = x7 + 30x у2 7 = ж7 +19ж4+ ж

у2 7 = x7 + 27ж у2 7 = ж7 + 17ж4 + 16ж

у2 7 = x7 + 15ж у2 7 = ж7 + 24ж4 + 4ж

у2 7 = x7 + 29ж у2 7 = ж7 + 6ж4 + 8ж

у2 7 = x7 + 8ж у2 7 = ж7 +12ж4+ ж

у2 7 = x7 + 23ж у2 7 = ж7 + 25ж4 + 8ж

у2 7 = x7 + ж у2 7 = ж7 + 28ж4 + 2ж

у2 7 = x7 + 16ж у2 7 = ж7 + 7ж4 + 4ж

2. Максимальные кривые вида y2 = ж7 + аж4 + ж над Fp2

Для группы точек р-кручения якобиана кривой выполняется Jq [ps] — Z/ptsZ, где число t, 0 ^ t ^ 3, не зависит от s и называетсяр-рангом кривой [2, с. 61]. Известно, что все максимальные кривые имеют р-ранг 0 [5, Corollary 5]. Поэтому один из способов построить максимальные кривые — найти сначала все кривые р-ранга 0, а затем выбрать среди них максимальные. Проверка на максимальность может быть выполнена за время О (log4 q) битовых операций с помощью теоремы 1 с использованием алгоритма Схоофа— Элкиса — Аткина для вычисления следов Фробениуса. Для заданной характеристики р все кривые р-ранга 0 вида у2 = ж7 + ах4 + ж могут быть найдены

с помощью матрицы Картье — Манина кривой, так как её ранг равен р-рангу. Структура матриц Картье — Манина нашей кривой описана в [6]. Для кривой над полем Fp2 матрица Картье — Манина имеет вид

'P(p-6)/2 (—a/6)p+1 0 0

0 P(p-i)/2(-a/2)p+1 0

0 0 Р(р-1)/б(-a/6)p+1y

для случая, когда р = 1 (mod 3), и

'P(p-5)/2 (—a/6)p+1 0 0

0 P(p-1)/2(-a/2)p+1 0

0 0 Р(р-5)/б(-a/6)p+1y

для случая, когда р = 2 (mod 3). Здесь Pm(x) —многочлен Лежандра степени m. Поэтому р-ранг кривой y2 = x7 + ах4 + x равен 0 тогда и только тогда, когда —а/2 является корнем многочлена L1(—а/2) = gcd (P(p-1)/2, P(p-1)/6) для р = 1 (mod 3) или L2(—а/2) = gcd (P(p-1)/2, P(p-5)/6) для р = 2 (mod 3). Таким образом, для фиксированного р мы можем найти все кривые р-ранга 0 с помощью факторизации многочленов L1,L2 либо доказать, что таких кривых не существует (L1 или L2 в этом случае — константы).

Сложность метода. Построить многочлен Лежандра Pm(x) можно по известным

i m \

рекуррентным формулам за время Of ^ г) = 0(m(m + 1)) операций в поле. Нахождение наибольшего общего делителя для многочленов степени не больше (р — 1) /2 занимает время 0((р — 1)/2) операций в поле [7, с. 325]. Факторизация многочленов L1 и L2 может быть выполнена [7, с. 390] за время 0(|_р/6_|2 logр) операций в поле, учитывая, что deg L1 ^ (р — 1)/6 и deg L2 ^ (р — 5)/6. Проверка на максимальность занимает время O(log4 q). Предполагая, что количество проверяемых кривых небольшое, получаем в итоге эвристическую сложность в 0(р2 log2 р) битовых операций. При этом нахождение всех максимальных кривых простым перебором коэффициентов занимает время 0(р2 log4 р).

Используя полученный метод, мы построили все максимальные кривые над полем Fp2 с параметром а = 0 (случай а = 0 изучен в [8, § 4]) для р ^ 7151 и определили поля, над которыми таких кривых не существует. Данные по количеству максимальных кривых для р < 200 представлены в таблице. Полные данные с явными уравнениями максимальных кривых можно найти на домашней странице второго автора1.

Число максимальных кривых вида y2 = x7 + ax4 + x над Fp2,

_3 < p < 200, a = 0_

p Кол-во

5-29, 37-43, 53, 61, 67, 73, 89-101, 107-127, 137-163, 173-181, 193, 197 0

31,47, 59, 79, 83 2

71,103,131,167 4

191,199 6

1http://crypto-kantiana.com/semyon.novoselov/genus3/maximal_curves

ЛИТЕРАТУРА

1. Novoselov S. A. and Boltnev Y. F. Characteristic polynomials of the curve y2 = x2g+1 + ax9+1 + + bx over finite fields // Прикладная дискретная математика. Приложение. 2019. №12. С.44-46.

2. Cohen H. and Frey G. Handbook of Elliptic and Hyperelliptic Curve Cryptography. Chapman and Hall/CRC, 2006.

3. Blake I. F., Seroussi G., and Smart N. P. Elliptic Curves in Cryptography. Cambridge University Press, 1999.

4. Menezes A. Elliptic curve public key cryptosystem. Kluwer Academic Publ., 1993.

5. Tafazolian S. A family of maximal hyperelliptic curves //J. Pure Appl. Algebra. 2012. V. 216. No. 7. P. 1528-1532.

6. Novoselov S. A. Hyperelliptic curves, Cartier — Manin matrices and Legendre polynomials // Прикладная дискретная математика. 2017. №37. С. 20-31.

7. Von zur Gathen J. and Gerhard J. Modern Computer Algebra. Cambridge University Press, 2013.

8. Kodama T., Top J., and Washio T. Maximal hyperelliptic curves of genus three // Finite Fields Their Appl. 2009. V. 15. No.3. P. 392-403.

УДК 519.214 Б01 10.17223/2226308Х/14/2

ЦЕНТРАЛЬНАЯ ПРЕДЕЛЬНАЯ ТЕОРЕМА ДЛЯ и-СТАТИСТИК ОТ ЦЕПОЧЕК МЕТОК ВЕРШИН НА ПОЛНОМ ГРАФЕ

Н. М. Меженная, В. Г. Михайлов

В полном графе с вершинами 1, 2,... ,п вершины 2, 3,... ,п снабжены независимыми случайными метками, принимающими значения из конечного множества Лм. Рассматривается совокупность всех цепей по в смежных рёбер, каждая из которых выходит из вершины 1 и не проходит через одну и ту же вершину дважды. Каждой цепи соответствует в-цепочка из случайных меток пройденных вершин. Рассматривается и-статистика ик (в) с ядром, зависящим от к таких в-цепочек. Число к ^ 2 считается фиксированным, а в ^ 1 может меняться. Установлено, что достаточным условием асимптотической нормальности и к (в) (при обычной стандартизации) является условие вида Ви^(в) ^ Сп2(к5-1)+к, где С, к > 0.

Ключевые слова: и-статистика, центральная предельная теорема, полный граф, цепочка, случайные метки.

Исследование свойств выборочных характеристик и статистических критериев привело к необходимости изучения распределений функционалов от последовательностей случайных величин Х1,... , Хп вида

ип = Un(Xl,...,Xn )= Е / (X-! ,...,ХГ), (1)

называемых и-статистиками [1]. Число г называется порядком и-статистики. Функционалы вида (1) широко используются для проверки свойств случайных последовательностей, качества датчиков псевдослучайных чисел, наличия или отсутствия зависимости между членами последовательности, наличия образцов или повторений специального вида и в задачах, связанных с защитой информации.

Основные результаты об асимптотическом поведении распределений и-статистик с непрерывными ядрами можно найти в [2]. Результаты для и-статистик от дискрет-