CC BY
159
ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
«НАУКА. ИННОВАЦИИ. ТЕХНОЛОГИИ», № 2,2013
УДК 621.391
М. Г. Бабенко [M. G. Babenko], Е. С. Карнаухова [E. S. Karnauhova], В. А. Кучуков [V. A. Kuchukov]
о свойстве делимости точки эллиптической кривой над конечным полем на два1
On the property of divisibility points of elliptic curves over finite fields on two
В статье доказывается теорема об определении свойства делимости точек эллиптической кривой, позволяющая улучшить алгоритмы нахождения порядка эллиптической кривой. Ее эффективная реализация достигается за счет использования системы остаточных классов и приближенного метода.
Ключевые слова: эллиптическая кривая, система остаточных классов, приближенный метод, делимость точек.
In the article it is proved a theorem on the determination of the divisibility properties of the elliptic curve, improved algorithms for finding the order of the elliptic curve. Its effective implementation is achieved through a system of residual classes and approximate methods.
Key words: Elliptic curve, system of residual classes, approximate method, divisibility points.
В настоящие время очень бурно развивается теория эллиптических кривых над конечным полем. Это связано с развитием нескольких основных направлений:
1) анализ и синтез криптосхем с открытым ключом, основанных на операции композиции точек эллиптической кривой [1-4];
2) построение и исследование датчиков псевдослучайных чисел, использующих последовательности, зависящие от координат точек эллиптической кривой [5-7];
Работа выполнена при поддержке гранта РФФИ 12-07-31087-мол а.
3) использование эллиптических кривых при решении
сложных теоретико-числовых проблем, лежащих в основе криптосхем с открытым ключом [8-11].
При решении задач представленных направлений большую роль играют арифметические и теоретико-групповые свойства эллиптической кривой над конечным полем, прежде всего, порядок ее абе-левой группы. Известен алгоритм [12-14], позволяющий определять порядок эллиптической кривой над конечным простым полем Fp, p > 3, за 0(lpg8 p) операций, и его модификация — алгоритм SEA — за 0(lpg6 p) [15-17]. Однако, согласно работе [18], для улучшения имеющихся методов нахождения порядка эллиптической кривой необходимо использовать свойства делимости точек.
Из всего вышеперечисленного особую актуальность приобретает научная задача о делимости на 2 точек эллиптической кривой над конечным полем.
В работе [18] вводится следующее определение делимости точки.
Пусть r — простое число. Будем говорить, что F-точка Q на эллиптической кривой E является r-делимой, если
rX = Q, (1)
где X — неизвестная F-точка, имеет решение X = p Ф 0.
Порядок | E | эллиптической кривой E делится на простое число r тогда и только тогда, когда O - r-делимая точка. В частности, | E | четный в том и только в том случае, когда уравнение (1) имеет решение при Q = 0 и r = 2. Мы рассмотрим уравнение
2X = Q (2)
при произвольной точке Q и произвольной эллиптической кривой. Тогда мы получим критерий того, что заданный элемент X е F есть х-координата F-точки — решения (2).
Рассмотрим теорему, которая позволяет найти решения уравнения для эллиптической кривой E(Fp) : y2 = x3 + Ax + B.
Теорема [18]. Пусть задана эллиптическая кривая E(Fp) : y2 = x3 + Ax + + B и Q(u,v) е E(Fp) — данная точка. Если уравнение 2X = Q разрешимо и p = (х1, y1) — его решение, то координата х1 удовлетворяет следующим условиям:
1) X; есть корень уравнения
1(х) = X4 - 4т:3 - 2Ах2 - (4Аи - 8В)Х + А2 - 4Ви = 0, (3);
2)
^2x1 +ил
= 1или 0 •
(4)
Последний случай имеет место лишь при и = ±2
/л V 3
и тогда р =
V
и
--,-у
2
А
У
Обратно, если х1 — элемент Гр, удовлетворяющий условиям (3) и (4), то на Е существует точка Р = (х1,у^, удовлетворяющая уравнению 2Х = 0.
Из теоремы следует, что нам нужно уметь быстро вычислять корни уравнения 1(х) = 0 в ¥р. Для решения этой задачи рассмотрим следующее утверждение, которое позволяет определить корни уравнения 1(х) = 0 и то, какие из них являются возможными решениями уравнения 2Х = 0.
Утверждение. Пусть задана эллиптическая кривая Е(Рр) : у2 = х3 + Ах, гдер — простое число видар = 4к + 3, А > 0, и дана точка 0 = (и,у) е Е(Рр). Тогда для уравнения 2Х = 0 на эллиптической кривой Е(Рр) справедливо X е Р, где Р — множество возможных точек решения, которое задается следующим образом:
1) если
2) если
3) если
г 2 \ и + А
V р ;
= -1, то Р = 0;
2 Л ( 2
и + А . и - А = 0 и
7 ;
с 2 ^ и + А
V
р
= -1, то Р = 0 :
V Р то Р = 0 ;
1 и и Ф 0 и Г А ] = -1 и Г ^ ] = -1 ,
V р J V р)
4) если
где
2
и + А
V р j
= 0 и
2
и2 - А
V р ;
= 0, то Р = {Х1, Х2},
Х1 = (и, V) и Х2 = (и, р - V);
2 и + А = 0 и 2 и2 - А Л = 1 и Г 21
если -
V р ) V р ) V р ^
то Р = {Х1, Х2, Х3, Х4},
где Х1 = ^и + Vи2 - А, (и + л1 и2 - А jV2w^ .
Х2 = ^ и + V и2 - А, р - ( и + V и2 - А |, Xз = | и - V и2 - А, | и - V и2 - А ]л/2и |,
= | и - Vи2 - А, р -( и - Vи2 - А ^ ; 2^А
6) если и = 0 и где Х1 =
7) если и = 0 и
А
= 1 и
V Р
= 1, то Р = {Х1, Х2},
, Х2 = (л/А, Р -
А
= 1 и
2л/А
р
= -1, то Р = {Х1, Х2},
где Х! = (р-4Л^р -2 АА^,
Х2 = ( р-4а , рр - 2 Ал/А 1;
/ 2 л и2 + А = 1 и и ^ 0 и Г А> = -1 и Г 1
если -
V р ) V р) V р)
=1
то
Р = {Х 1,Х2, Х3,Х4, Х5, Х6, Х7,Х8 },
где
\ + д/2 {ы2 + ийх\р- д/2 (и +Д)^/ + Д + д/2^
м + иВл
Х^=\и + Вх , ч
= | и + Д - д/г(г/2 + кД), ^(и + Д + Д - д/2(г/2 + ,
1/ »
=
+ Д - ^2(и2 + г/Д), р - (н ++ Д - д/^
-л 2 г/2 +г/Д
и И
9) если
/ 9 Л и + А
V Р J
= 1 и г/ Ф 0 и
р
= 1 и
и2\
то Р = {х1, Х2, Х3, Х4},
где
10) если
/ 2 л и2 + Л
= 1 и и Ф 0 и
\ г )
то Р = {х1, Х2, Х3, Х4},
= 1 и
= -1,
где X
и + иД
и '
и + иД
! = |+ Д + д/2(м2 + иД), + Д + Д + ^ Х2 = |и + Д +д/2(м2 +мд),^-л/2(м + Д)(и + Д Х3 = ^г/ + Д + Д +
Х4 = Ги + Д - ^(и2 + мД ), - д/2(м + Д + Д -д/^г
1/ '
; и + иД
и '
где Д = л/и2 , Д! = 8(м2 -г/Д).
Доказательство. Для доказательства данного утверждения воспользуемся 1-м условием теоремы: уравнение разрешимо, если есть корни уравнения x4 - ux3 - 2Ax2 - 4Aux + A2 = 0. Так как x = 0 не является корнем уравнения l(x) = 0, потому что l(0) = A2 Ф 0, мы можем разделить левую и правую часть равенства на x2 без потери корней. В этом случае получим
.
X X
Сгруппируем слагаемые и получим, что
2 A2 ^ x2 +-Т - 4u
x2 V
A x + — x y
- 2 A = 0.
Значит
A
2
x + — V x У
/
- 4u
\
A x + —
V x У
- 4 A = 0 и D = 16u2 + 16A.
Исследуем уравнение на наличие корней. Для этого рассмотрим, когда В является квадратичным вычетом, а когда нет. Это харак-
теризуется при помощью символа Лежандра . Так как В = 16и2 + 16А = 4\и2 + А), то исследуем и2 + А и получим следующие случаи:
1) если
2
u + A
2) если
A
Р
u2 + A
= -1, то уравнение не имеет корней в Fp;
0, то уравнение эквивалентно уравнению
— 2u = 0 и его дискриминант равен 22 = (u2 - A). Это
уравнение, если
^ )=••
0, имеет одно решение x = и, и
точки X = (u,v) и X2 = (u,p - v);
2
u2 - A
3) если
V Р У
= 1 , то уравнение имеет два решения:
3.1) x1 = u + Vu2 - A , для которого координата y точки вы-
числяется как
( 2 = х\ + Ах1 = х1 (.х2 +а)=хх [и + л1и2 - А ] + А
V^
= хЛ \ и1 +и2 - А + 2и^и2 -А+А\ =
= x^lu2 + 2 ил1и2 - A j = 2их^\и + Vи2 - A j = 2 uxf
x +
если
г \ и
V Р У
= 1.
Тогда получаем соответствующие две точки X1 = (х1, х142й), X2 = (х1? р — х1422м);
3. 2) х2 = и — 2 - А, для которого координата у точки вычисляется как
у2 = х2(х% + а)= х2^и2 +и2 - А- 2 ил1и2 - А + А ^ =
^'и-л1и2 - А ^ :
= х21 2г/
■ 2ил1\
и - А = 2ых
= 2шс9
Тогда получаем соответствующие две точки Х3 =(х2, х242й), X4 (х2, р — х242и ).
Если
4) если
/о \
и2 — А
= —1, то уравнение не имеет решений;
и2 + А
уравнений
= 1, то уравнение равносильно совокупности
А
х + —+ 2и — 2Д = 0,
, где Б1 =л]и2 + А в ¥р.
х + —+ 2и + 2Д = 0. _ х
Так как дискриминант первого уравнения совокупности равен В1Х = 8{и2 - г/д), а второго В22 = 8(и2 + г/Д) и
,
следовательно, если ^ = 0, то уравнение имеет ^ два корня х12 = ±л/а, и тогда получим точки Х1 = У^, ^2А^~А ^,
X2 = ^л/А", р — V 2 Ал/А ^, X3 = ^ р — 4а р — 2 Ал/А ^,
>
X 4 = Г р — 4а , р — V р — 2 Ал/а 1;
если и ^ 0 и если и ^ 0 и
А
р У
А
4
= —1 и = —1 и
У^У
V /> У
'22
-1, то совокупность решения не имеет; , то система имеет четыре решения
V р У__
= и -+ ^2{и2
Точки Х1 =(х1? х1^2(и - Д )), Х2 =(х1? р - х1^2(и - Д ))
Точки Х3 = (х2, х2^2(ы - Д)), Х4 = (х2, р - х2^2(и - Д)). Аналогично для корня х3 = и + Д + д/2(г/2 +г/Д) получаем точки Х5 = (х3, х3^2(и + Д )) , Х6 = (х3, р - х3л]2(и + Д )) и для корня х4 = г/ + Д - ^(и2 + иД) —точки Х7 = (х4,х4л/2(г/+ Д )),
Х8 = (х4,р - х4л/2(йТд)).
если
и2\
А I 1
— I = 1, то совокупность имеет два решения, причем,
V Р )
Если и Ф 0 и
= 1, то решениями являются х^2 = и - Д ± -г/Д), и тогда получим точки Х1 = (х1, х1^2(и - Д )), Х2 = (х1, р - х1^2(и - Д ))
Х3 =(х2,х^2(и - Д)), Х4 =(х2, р - х^2(и - Д )), иначе дс1>2 = м + Д ± {и2 +г/Д); и точки Х1 = [хъхх^2{и + Д )),
Х2 =(Х1, Р - Х^2(и + Л, )), X3 =(х2, Х2^2(Ы + £>1)),
X4 =(х2, Р - х^2(и + Л,)).
Утверждение доказано.
Доказанное нами утверждение позволяет найти все возможные решения уравнения (2) при заданной эллиптической кривой Е(^р) : .у2 = х3 + Ах, гдер — простое число видар = 4к + 3, А > 0, то есть определить, является ли точка делимой на два или нет. Эффективная реализация формул из теоремы проведена методами из работы [19] за счет применения системы остаточных классов и приближенного метода.
ЛИТЕРАТУРА 1. Miller V. S. Use of elliptic curves in cryptography. Lect. Notes Comput. Sci., 1986, V. 218. P. 417-426.
2. Болотов А. А., Гашков С. Б., Фролов А. Б. Элементарное введение в эллиптическую криптографию: Протоколы криптографии на эллиптических кривых. М.: КомКнига, 2006. 280 с.
3. ГОСТ Р34.10-2001. Информационная технология. Криптографическая защита информации. Процедуры формирования и проверки цифровой подписи. М.: Госстандарт Россия, 2001. 20 с.
4. ДСТУ 4145-2002. Ыформацми технологи. Криптографiчний за-хист Ыформацп. Цыфровий пщпис, що грунтусться на елттичних кривых. Формувания та первiриных. Держстандарт Украйни, 2001. 94 с.
5. Kaliski B. S., Jr. A pseudo-random bit generator based on elliptic logarithms. Lect. Notes Comput. Sci., 1987, V. 263. P. 84-103.
6. Тараканов В. Е. Линейные рекуррентные последовательности на эллиптических кривых и их применение в криптографии / Тр. по дискр. матем., 9. М.: Гелиос АРВ, 2006. С. 301-313.
7. Червяков Н. И., Бабенко М. Г. Линейные рекуррентные последовательности на эллиптической кривой // Научно-технические ведомости СПбГТУ, 2010. С. 164-166
8. Kaliski B. S., Jr. Ono-way permutations on elliptic curves. J. Cryptology, 1991. P. 187-199.
9. Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. М.: МЦНМО, 2003. 326 с.
10. Menezes A., van Oorchot P., Vanstone S.A. Handbook on applied cryptography. CRC press, 1997. 780 p.
11. Смарт Н. Криптография. М.: Техносфера, 2005. 528 с.
12. Schoof R. Elliptic curves over finite fields and the computation of square roots mod p. Math. Сотр., 1995. V. 44. P. 483-494.
13. Рябко Б. я., Фионов А. Н. Криптографические методы защиты информации: Учебное пособие для вузов. М.: Горячая линия-Телеком, 2005. 229 с.
14. Василенко О. Н. К вопросу о вычислении порядка группы точек эллиптической кривой над конечным простым полем, Тр. по дискр. матем., 9, М.: Гелиос АРВ, 2006. С. 32-50.
15. Atkin A. O. L., Morain F. Elliptic curves and primality proving. Math Comp. 61, 203, 1993.
16. Elkies N. D. Elliptic and modular curves over finite fields and related computaional issues // Computational perspectives in number theory: Proc. of a Conf. in Honor of A. O. L.Atkin / J. T. Teitelbaum and D. A. Bu-ell, editors. 1998. (Amer. Math. Soc. Inf. Press; V. 7). P. 21-76.
17. Crandall R., Pomerance C. Prime numbers: a computational perspective. Springer-Verlag, 2001. 604 p.
18. Тараканов В. Е. Свойства делимости точек эллиптических кривых над конечным полем / Тр. по дискр. матем., 4. М.: Физматлит, 2001. С. 243-258.
19. Червяков Н. И., Авербух В. М., Бабенко М. Г., Ляхов П. А., Гладков А. В., Гапочкин А. В. Приближенный метод выполнения немодульных операций в системе остаточных классов // Фундаментальные исследования, 2012, № 6 Часть I. С. 189-193.
ОБ АВТОРАХ Бабенко Михаил Григорьевич, ФГАОУ ВПО «Северо-Кавказский федеральный университет», кандидат физико-математических наук, старший преподаватель кафедры высшей алгебры и геометрии Института математики и естественных наук.
Babenko Michail Grigorievich, doctorate in Physical and Mathematical Sciences, Assistant Professor on Department of Algebra and Geometry, Institute of Mathematics and Natural Sciences, North Caucasus federal university.
E-mail whbear@yandex.ru.
Кучуков Виктор Андреевич ФГАОУ ВПО «Северо-Кавказский федеральный университет», Институт математики и естественных наук, магистратур года обучения по направлению «Математика» Kuchukov Victor Andreevich, North Caucasus federal University, Institute of Mathematics and Natural Sciences, second year masterin «Mathematics»
