Общие уравнения оптимальных кривых над конечным полем с дискриминантом -19 Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ АЛГЕБРА

УДК 511

Е. С. Алексеенко, С. И. Алешников, А. И. Зайцев

ОБЩИЕ УРАВНЕНИЯ ОПТИМАЛЬНЫХ КРИВЫХ НАД КОНЕЧНЫМ ПОЛЕМ С ДИСКРИМИНАНТОМ -19

Выведены уравнения для оптимальных кривых рода 3, рассматриваемых как двойные накрытия эллиптических кривых, определенных над конечным полем с дискриминантом -19.

Equations of optimal curves of genus 3 namely the double covering of optimal elliptic curves defined over a finite field of the discriminant -19 are obtained.

Ключевые слова: оптимальные кривые рода 3, эллиптические кривые, двойные накрытия, конечное поле.

Введение

Оптимальные кривые применяются для построения эффективных кодов, исправляющих ошибки, и надежных криптосистем с открытым ключом. Более широко в настоящее время оптимальные кривые служат математической основой моделирования информационных процессов алгебраическими структурами.

Пусть E — эллиптическая кривая, определенная над конечным полем Fq , с дискриминантом d(Fq ) =[2 Jq ]2 - 4q = -19.

Для числа рациональных точек неприводимой несингулярной проективной кривой C/Fq рода g справедлива граница Хассе — Вейля — Серра:

В случае выполнения равенства, а именно если число рациональных точек кривой равно q + 1 ± g[2^Jq ], то кривая называется максимальной (соответственно минимальной) оптимальной кривой.

По теории Хоцда — Тэйта якобиан кривой C изогеничен произведению эллиптической кривой на себя g раз, то есть Jac(C) ~ Eg , причем классы изогении эллиптической кривой, определенной над конечным полем Fq , определяются посредством минимального многочлена Фро-бениуса. Пусть C — максимальная или минимальная кривая рода g над полем Fq . Определим эндоморфизм Фробениуса

F: Tl Jac(C) ®z Q ^ T Jac(C) ®z Q, где Tl Jac(C) — проективный предел lim Jac(C)[ln ]. Тогда многочлен Тэйта

Вестник РГУ им. И. Канта. 2008. Вып. 10. Физико-математические науки. С. 73 — 79.

74

Pjac(C) (T) = п (T — а; ), i = 1..2g, и число точек на кривой C равно

# C(Fq ) = q + 1 — Si=1..2g ai = q + 1 — Zt=1..g (а; + а; ),

где а, + g = а, . Если C — оптимальная кривая, то собственные значения

эндоморфизма Фробениуса F обладают свойством at + at = -m для

максимального случая и ai + at = m для минимального случая, где

i = 1, ..., g. Таким образом, если кривая оптимальна, то ее L-многочлен имеет вид

L(t) = ni=1..2g (1 — a; t) = ni=1..g (1 ± mt +qt2 )

соответственно для максимального (минимального) случая.

Определим кольцо эндоморфизмов End(E) эллиптической кривой E

как множество всех изогений ф: E( Fq ) ^ E( Fq ) (умножение в этом

кольце есть композиция изогений). Если полагать, что кривая E имеет комплексное умножение, то по теореме Дойринга кольцо эндоморфизмов End(E) является порядком в мнимом квадратичном поле K = Q(^/d ). В качестве порядка можно рассмотреть кольцо алгебраических целых OK поля K. Для каждого возможного кольца эндоморфизмов теория комплексного умножения и теория Дойринга о поднятии эндоморфизмов от характеристики p к характеристики 0 показывает, что число классов изоморфных эллиптических кривых над Fq (которые имеют кольцо эндоморфизмов, изоморфное некоторому порядку O) равно числу классов hK числового поля K = Qbfi).

Пример 1.1. Определим число классов изоморфных эллиптических кривых, изогенных оптимальной эллиптической кривой, определенной над полем Fq с дискриминантом d(Fq ) = -19. Так как -19 = 1 (mod 4), то

рассматриваем мнимое квадратичное поле K = Q(>/-19 ), кольцо целых

„ __-19 + -\/-19 _ _

примет вид OK = Z[ 2 , и граница Минковского BK и 2,77. Эле-

ментами группы классов поля K являются [OK ] и класс простого идеала [2OK ]. Окончательно заключаем, что число классов hK = 1 в силу эквивалентности OK и 2OK . Соответственно существует единственный класс изоморфных кривых над Fq .

Если две эллиптические кривые E и E' изогеничны и fc-изоморфны, то End(E) и End(E') задают один и тот же класс порядков, которые являются кольцами эндоморфизмов некоторой эллиптической кривой, изогенной E и E'. Таким образом, для определения числа классов изоморфизмов в классе эллиптической кривой необходимо определить число порядков и определить число классов в каждом порядке. Другой способ определения числа изоморфизмов в классе эллиптической кривой заключается в следующем. Пусть кривые заданы уравнениями E: y2 = x3 + ax + b и E': y2 = x3 + a'x + b'. Кривые E и E' изоморфны тогда и

только тогда, когда коэффициенты их уравнений связаны следующими соотношениями а = ас4, Ъ' = Ъс6, для некоторого с е Бц .

Применяя теорему Делиня о том, что число классов изоморфных абелевых многообразий, изогенных А, равно числу классов ^-модулей, которые могут быть вложены как решетки в К-векторное пространство К8 , где К = Оио1(-К), заключаем, что 1ас(С) = Е8 . Поскольку в нашем случае существует один класс изоморфизмов таких ^-модулей, то существует единственный класс изоморфных абелевых многообразий.

Мы рассматриваем эквивалентность категорий между абелевым многообразием 1ас(С) над Бц , которое изогенно Е3 , и ^-модулем над кольцом, определенным посредством эндоморфизма Фробениуса эллиптической кривой. В нашем случае пусть С — гладкая неприводимая проективная алгебраическая кривая и пусть 0ас(С), 0) — ее главное поляризованное якобиево многообразие. По теореме Торелли кривая С полностью определена посредством 0ас(С), 0) с точностью до изоморфизма над алгебраическим замыканием поля Бц . Рассмотрим эрмитов модуль (ОК 8 , И), где ОК 8 является ОК -модулем, и И: ОК 8 х ОК 8 ^ ОК — эрмитова форма. Эквивалентность категорий задается взаимно обратными эндоморфизмами Фробениуса Б, V. Определим функтор Б: 1ас(С) ^ Иош(Е, |ас(С)), при этом главная поляризация якобиана 1ас(С) переходит в эрмитову

ОК -форму И. Обратный функтор действует следующим образом

V: ОК 8 ^ ОК 8 ®Ок Е. Поскольку поляризация якобиана неприводима, то

неприводимым является и тэта-дивизор. Соответственно неприводимой и унитарной является эрмитова форма, тем самым можно использовать классификацию унимодулярных неприводимых эрмитовых форм.

Также известно, что с точностью до изоморфизма над Бц с дискриминантом -19 существует оптимальная кривая С рода 3 над Бц , а именно двойное накрытие (максимальной или минимальной) оптимальной эллиптической кривой, определенной над Бц .

Основная теорема

Основным результатом данной статьи является следующая теорема, с помощью которой выведен общий вид оптимальной кривой.

Предложение 2.1. Оптимальная кривая С задается уравнениями:

(г2 = а0 + а1 х + а2 х2 + ву,

. у2 = х3 + ах + Ъ,

или

или

г2 = а0 + а1 х + а2 х2 + (р0 + р1 х) у, у2 = х3 + ах + Ъ,

г2 = а0 + а1 х + а2 х2 + а3 х3 + ф0 + р1 х) у, у2 = х3 + ах + Ъ,

75

76

где а0 , а1 , а2 , а3 , в0 , р1 , а, Ъ - коэффициенты из Бц . Эллиптическая кривая Е задана уравнением у2 = х3 + ах + Ъ.

Доказательство. Пусть С — оптимальная кривая рода 3 над конечным полем Бц , /: С ^ Е — двойное накрытие оптимальной эллиптической кривой, заданной уравнением у2 = х3 + ах + Ъ. Обозначаем В = / -1 («') = 2рК е(Р\ ')Р е Div(С), где « ' е Е лежит над « е Р1 при

отображении Е ^ Р1 , degD = 2. По теореме Римана — Роха д1шВ = degD + 1 - 8 + diш(W - В) = diш(W - В), где Н — канонический дивизор кривой С. Следовательно, В эквивалентен положительному дивизору Н - В1 , где degD1 = 2. Заключаем, что diшD = Шш(Н - В) < &шН = 3. Учитывая, что С — не гиперэллип-тическая кривая и degD = 2, получаем = 1.

Рассмотрим дивизор 2В. По теореме Клиффорда

1

сИт20 51 + 2 deg2D.

Таким образом, сНт20 < 3.

Случай 1. Пусть diш2D = 3. Тогда существуют линейно независимые элементы 1, х, г' е Ц2В). Семь элементов 1, х, х2 , у, г1, г'2 , гх лежат в пространстве Ц4В). Так как Шш4В = 6, то существует отношение

а1 г'2 + а2 г' + а3 г'х = а4 + а5 х + а6 х2 + а7 у,

где а1 , а2 , а3 , а4 , а5 , а6 , а7 е Бц . Отметим, что а1 Ф 0, иначе уравнение для г' над к(х, у) будет уравнением степени 1, что невозможно, поскольку [к(С): к(х, у)] = 2. Деля обе части уравнения на а1 и делая замену

, ,а2 а3

г = г + (~ + 0" х)/2, получаем уравнение

г2 = а0 + а1 х + а2 х2 + ву.

Случай 2. Пусть &ш2В = 2. Рассмотрим следующие подслучаи.

1) В = Ql + Q2 , где Ql Ф Q2 , Ql , Q2 е С(Бц ). Учитывая теорему Клиффорда, получаем dim(D + Q1 ) = 2. Рассмотрим элементы г е 1(В + Q1 ), х е Ц2В), у е Ц3В). Учитывая, что diш(4D + 2Q1 ) = 8, имеем линейную зависимость элементов 1, х, х2 , у, г, г2 , хг, уг, хг2 е е Ц4В + 2Q1 ). Таким образом, выполняется равенство

г2 (а0 + а1 х) + г(в0 + в1 х + в2 у) + (У0 + У1 х + У2 х2 + бу) = 0.

Переобозначив выражения, стоящие в скобках, получим

г2 ф1 + гф2 + ф3 = 0.

(а0 + а1 х) Ф 0, в противном случае имело бы место VQ1 (х) = 0, что невозможно. Поэтому выражение от переменной г перепишем в виде

^ ф2 ф3

г2 + — г + — = 0. ф1 ф1

Или, группируя:

_Ф2_ фэ_ ф2 2

(г + 2ф1 ) + ф! - 4ф1 2 = 0.

Соответствующая замена переменных дает исходное уравнение

г2 = а0 + а1 х + а2 х2 + а3 х3 + (в0 + в1 х) у.

2) В = Ql + Q2 = 2Q, где Ql = Q2 = Q, Q е С(Бц ). Рассматриваем элементах: х е Ь(2В), г е Ц2В + Q), у е Ц3В). Имеем (х) « = 4Q, (г) « = 5Q, (у) « = 6Q, (0 « = 7Q. Учитывая, что diш(10Q) = 8, элементах 1, х, г, у, ^ х2 , г2 , ху, хг е L(10Q) — линейно зависимы над Бц . Тогда выполняется

t = а0 + а1 х + а2 у + а3 х2 + а4 г + а5 г2 + а6 ху + а7 гх.

Кроме того, VQ (х) = -4, VQ (у) = -6, VQ (х2 ) = -8, VQ (г) = -5, VQ (г2 ) = -10, VQ (ху) = -10, VQ (гх) = -9. Отметим, что а5 Ф 0 или а6 Ф 0, иначе по строгому неравенству треугольника VQ (£) = -10 Ф -7.

Предположим, что 1, х, г, у, х2 , г2 , ху, хг являются линейно независимыми. Рассмотрим я5 г2 + я6 хт/, (я5 г2 + я6 ху) ^ -10.

а) Пусть VQ (а5 г2 + а6 ху) = -10. Тогда по строгому неравенству треугольника VQ (0 = -10, получаем противоречие.

б) Пусть VQ (а5 г2 + а6 ху) = -9 = VQ (гх). Тогда а5 г2 + а6 ху е L(9Q), но и гх е L(9Q). Имеет место равенство а5 г2 + а6 ху = Ъгх. Учитывая, что t = а0 + а1 х + а2 у + а3 х2 + а4 г + (Ъ + а7 )гх, имеем по строгому неравенству треугольника VQ (^) = -9. Следовательно, а7 = 0.

в) Пусть VQ (а5 г2 + а6 ху) = -8 = VQ (х2 ). Тогда а5 г2 + а6 ху е L(8Q), но х2 е L(8Q). Имеем а5 г2 + а6 ху = Ъх2 . Учтем t = а0 + а1 х + а2 у + (Ъ + а3 )х2 + а4 г, и по строгому неравенству треугольника VQ (£) = -8. Поэтому а3 = 0.

г) Пусть VQ (а5 г2 + а6 ху) = -7. Тогда а5 г2 + а6 ху е L(7Q), но и

а5 а6

t е L(7Q). Имеет место равенство а5 г2 + а6 ху = Ъ^ или t = ~ г2 + ~ ху. Выбирая г таким образом, чтобы след ТгС/Е (г) = 0, получаем г2 е к(Е). Но

а5 а6

тогда и t = — г2 + ~ ху е к(Е). Из определения индекса ветвления

VQ (*) = е(д\ «') • V»' (£), или -7 = 2^ V»' (£). Получаем противоречие.

д) Случаи, когда VQ (а5 г2 + а6 ху) > -7, невозможны.

Учитывая, что либо а7 = 0, либо а3 = 0, окончательно выражаем элемент t через меньшее число элементов, чем первоначально. Таким образом, элементы 1, х, г, у, х2 , г2 , ху, хг являются линейно зависимыми. Имеем

г2 = (Ъ0 х + Ъ1 )г + Ъ2 + Ъ3 х + Ъ4 х2 + (Ъ5 + Ъ6 х)у.

Соответствующая замена переменных дает исходное уравнение. □ Пример 2.2. Приведем примеры оптимальных максимальных и минимальных кривых над конечным полем Бц с дискриминантом -19.

Гг2 = 5 + 45х + 30х2 + 10у,

:1 2 3 максимальная кривая,

I у = х + х + 38,

Гг2 = 2 + 35х + 48х2 + 6у,

Р6, : 1 максимальная кривая,

[у2 = х3 + 6х + 29,

78

(z = З + S5x + S2x + 45y,

F137 : і 2 З максимальная кривая,

[y = x + x + Зб,

(z2 = 2i2 + 33x + x2 + 5y,

F277 : і 2 3 максимальная кривая,

y = x + 2x + 6i,

(z2 = i4G + 46x + iix2 + 7Sy,

F3ii : і максимальная кривая,

'I y2 = x3 + x + 26i,

(z2 = iS2 + 74x + 2x2 + 5y,

F347 : і максимальная кривая,

[y2 = x3 + 2x + 25i,

(z2 = 259 + 2G9x + 6x 2 + iGy,

F467 : і 2 3 максимальная кривая,

[y = x + 2x + Зб!,

I z2 = 439 + 322x + 5x2 + i22y,

F557 : і максимальная кривая,

{y2 = x3 + 2x + i5i,

(z2 = 4G6 + i3ix + 3x2 + 247y,

F76i : і максимальная кривая,

761 (y2 = x3 + 4x + iG5,

Список литературы

1. Andreotti A, On a Theorem of Torelli // American J. of Math. 195S. S0. N 4. P. S01—S2S.

2. Deligne P. Variet'es ab'eliennes ordinaires sur un corps fini // Invent. Math. 19б9. S. P. 2Зв — 24З.

3. Howe E, W. Principally polaried ordinary abelian varieties over finite field // Trans. Amer. Math. Soc. 1995. З47. N 7. P. 2Зб1—2401.

4. Howe E, W., Nart E,, Ritzenthaler C, Jacobians in isogeny classes of abelian surfaces over finite fields // arXiv: math/0607515v3 [math. NT] N. 4, Apr 2007.

5. Howe E, W, Maisner D,, Nart E,, Ritzenthaler C. Principally polarizable isogeny classes of abelian surfaces over finite fields / / Math. Res. Lett. 200S. 15. N 1. P. 121 — 127.

6. Lauter K, The maximum or minimum number of rational points on curves of genus three curves over finite fields // Compositio Math. 2002. 1З4. P. S7 — 111,

7. Oort F, Abelian varieties over finite fields / / Higher-dimensional varieties over finite fields, Summer school in Gottingen, 2007.

S. Oort F,, Ueno K, Principally polarized abelian varieties of dimension two or three are Jacobian varieties // J. Fac. Sci. Univ. Tokyo. 197З. 20. P. 377 — 381.

9. Schiemann A, Classification of Hermitian Forms with the Neighbour Method. [Электрон. ресурс]. Режим доступа: http://www.math.uni-sb.de/ag/schulze/ Hermitian-lattices.

10. Stichtenoth H, Algebraic Function Fields and Codes // Springer Universitext Berlin-Heidelberg, 199З.

11. Shabat V, Curves with Many Points / / Ph. D. thesis. Amsterdam, 2001.

12. Waterhouse W, C, Abelian varieties over finite fields // Ann. Sci. Ecole Norm. 19б9. Sup. 2. P. 521—5б0.

13. Yu C,-F. The isomirphism classes of abelian varieties of CM-type // Journ. Pure Appl. Algebra. 2004. N. 1S7. P. 305—319.

Об авторах

Е. С. Алексеенко — асп., РГУ им. И. Канта, ekkat@inbox.ru.

С. И. Алешников — канд. техн. наук, доц., РГУ им. И. Канта, cyber@mathd.albertina.ru.

А. И. Зайцев — д-р, Институт Клода Шеннона и Школа математических наук Дублинского университета, Ирландия.

УДК 6S1.3.06

А.А. Михайлов

КРИПТОСИСТЕМЫ НА ЭЛЛИПТИЧЕСКИХ КРИВЫХ НАД ПОЛЕМ GF(2N) И ОСОБЕННОСТИ ИХ РЕАЛИЗАЦИИ НА 32-БИТНЫХ ЭВМ

Проводится обзор математических и технических задач, возникающих при реализации на 32-битных ЭВМ криптосистемы на эллиптических кривых над полем характеристики 2, а также описание путей решения таких задач,

Mathematical and technical problems of developing elliptic curve cryptosystem over finite field of characteristic 2 and it's efficient implementation on 32-bit computers are reviewed,

Ключевые слова: криптосистема, эллиптическая кривая, поле, 32-битная ЭВМ.

В настоящее время продолжается поиск криптосистем, способных заменить или создать конкуренцию RSA. И одним из самых актуальных направлений являются криптосистемы на эллиптических кривых. В частности, особое внимание уделяется эллиптическим кривым над нолем характеристики 2 ввиду эффективности реализации на ЭВМ.

Цель данной работы — обзор математических и технических задач, возникающих при реализации криптосистемы на эллиптических кривых над полем характеристики 2, а также описание путей решения таких задач. На данный момент наиболее распросграненными являются 32-битные ЭВМ, потому мы будем рассматривать реализационные задачи с учетом данной архитектуры.

Принцип функционирования криптосистем на эллиптических кривых подробно изложен в [1]. В данной статье мы рассмотрим задачи, с которыми приходится сталкиваться при реализации такой криптосистемы на 32-битных ЭВМ.

Вестник РГУ им, И, Канта, 2008, Вып, 10, Физико-математические науки, С, 79 — 83,