타원형 곡선의 점 개수

타원곡선 연구의 중요한 측면은 곡선의 점을 세는 효과적인 방법을 고안하는 것이다.그렇게 하기 위한 몇 가지 접근방식이 있었으며, 고안된 알고리즘은 숫자 이론과 같은 다양한 분야의 연구에 유용한 도구임이 입증되었고, 최근에는 암호학 및 디지털 서명 인증(타원곡선 암호학과 타원곡선 DSA 참조)에서도 유용한 도구가 되었다.숫자 이론에서 그들은 디오판틴 방정식의 해결에서 중요한 결과를 가져오지만, 암호학에 관해서는, 유한한 필드 $\mathbb {F} _{q}$ $\mathbb {F} _{q}$ 에 걸쳐 타원곡선의 E ( $E(\mathbb {F} _{q})$ $E(\mathbb {F} _{q})$ ${\displaystyle$ E $(\mathb {F} _{q}})$ 그룹에 대한 이산 로그 문제(DLP)의 난이도를 효과적으로 이용할 수 있게 해준다. ${\displaystyle \mathb{F} _{q$ 여기서 q = p와^k p는 prime이다.알려진 대로 DLP는 공개키 암호화에 널리 사용되는 접근법이며, 이 문제를 해결하는 데 어려움이 암호체계의 보안 수준을 결정한다.이 글에서는 특히 p > 3의 큰 특성의 필드 위에 타원곡선의 점을 계수하는 알고리즘을 다룬다.작은 특성 필드 위의 곡선의 경우 p-adic 방법에 기반한 보다 효율적인 알고리즘이 존재한다.null

타원형 곡선의 점 카운트 접근법

그 문제에 대한 몇 가지 접근법이 있다.순진한 접근으로부터 시작하여, 우리는 그 주제에 관한 Schoof의 확정적 저작까지의 전개 상황을 추적하는 한편, 엘키스(1990)와 앳킨(1992)이 만든 Schoof의 알고리즘의 개선 사항도 열거한다.null

$E(\mathbb {F} _{q})$ (F $E(\mathbb {F} _{q})$ ) ${\displaystyle$ E $(\mathb {F} _{q}})$ 형식의 그룹은 고려할 포인트의 수를 제한하는 Hasse로 인해 중요한 정리의 대상이 된다는 $E(\mathbb {F} _{q})$ 사실을 여러 알고리즘에서 활용한다.Hasse의 정리에서는 E가 유한장 $\mathbb {F} _{q}$ $\mathbb {F} _{q}$ ${\$ 에 대한 타원 곡선일 $E(\mathbb {F} _{q})$ E $E(\mathbb {F} _{q})$ ( $E(\mathbb {F} _{q})$ $E(\mathbb {F} _{q})$ ) $E(\mathbb {F} _{q})$ {\ $displaystyle E(\mathb {F} _{q})$ 의 카디널리티가 만족한다고 $E(\mathbb {F} _{q})$ 밝히고 있다 $\mathbb {F} _{q}$

E(\mathb {F} _{q}) -(q+1) \leq 2{\sqrt {q}}\,

순진한 접근법

가장 덜 정교한 포인트 계산에 대한 순진한 접근법에는 $\mathbb {F} _{q}$ F $\mathbb {F} _{q}$ {\ $displaystyle \mathb{F$ } $_{q}$ 의 모든 요소를 훑어보고 $\mathbb {F} _{q}$ 어떤 요소가 타원곡선의 Weierstrass 형태를 만족하는지 테스트하는 것이 포함된다.

y^{2}=x^{3}+Ax+B.\,

예

E를² y = x³ + x + 1에서 $\mathbb {F} _{5}$ $\mathbb {F} _{5}$ 를 곱한 값 $(\$ } $_{5$ E에 점을 세기 위해 x의 가능한 값, x mod 5의 2차 잔류 값, x³ + 1 모드의 값, x + 1 모드의 값, 그리고³ x + 1 모드의 y의 값을 리스트로 작성한다.이것은 E에 대한 포인트를 산출한다.

$x$	$x^{2}$	$x^{3}+x+1$	$(\displaystyle y}$	포인트
$\cHB 0$	$0$	$1$	$(\displaystyle 1,4}$	${\displaystyle(0,1)(0,4)}$
$\displaystyle \filename 1}$	$1$	$(\displaystyle 3}$	$-$	$-$
$\displaystyle \property 2}$	$(\displaystyle 4}$	$1$	$(\displaystyle 1,4}$	${\displaystyle(2,1),$
$\displaystyle \cHB 3}$	$(\displaystyle 4}$	$1$	$(\displaystyle 1,4}$	${\displaystyle(3,1)(3,4)$
$\displaystyle \filency 4}$	$1$	$(\displaystyle 4}$	$(\디스플레이 스타일 2,3}$	$(4,2),(4,3)$

예: 마지막 행은 다음과 같이 계산한다.x³ $x=4$ = $x=4$ ${\displaystyle$ x $=4}$ 을(를) x + 1 mod 5에 $x=4$ 삽입하면 $4$ (3번째 열)로 4 ${\displaystyle$ 4 $}$ 이(가) 표시된다. $y=2,3$ = $y=2,3$ , $y=2,3$ ${\displaystyle$ y $=2,3}$ 일 경우 이 결과를 얻을 수 있다. $y=2,3$ (2번째 열에서 정량 잔류물을 조회할 수 있다.)따라서 마지막 행의 포인트는 $(4,2),(4,3)$ ( $(4,2),(4,3)$ 2 $(4,2),(4,3)$ ) $(4,2),(4,3)$ , $(4,2),(4,3)$ ( $(4,2),(4,3)$ $(4,2),(4,3)$ ) ${\displaystyle (4,2$ ), $(4,3)}$ 입니다 $(4,2),(4,3)$

따라서 $E(\mathbb {F} _{5})$ ( $E(\mathbb {F} _{5})$ $E(\mathbb {F} _{5})$ ) ${\displaystyle E(\mathb {F} _{5})$ 의 $E({\mathbb {F}}_{5})$ 카디널리티는 9: 이전에 열거된 8 포인트와 무한대의 포인트를 가진다.null

$x\in \mathbb {F} _{q}$ 알고리즘은 x $x\in \mathbb {F} _{q}$ F $x\in \mathbb {F} _{q}$ {\ $displaystyle x\in$ \ $mathb {F}$ _{ $q}$ 의 모든 값을 고려해야 하기 $x\in \mathbb {F} _{q}$ 때문에 실행 시간 O(q)가 필요하다.null

베이비 스텝 거인 스텝

$x^{3}+Ax+B$ 시간의 향상은 다른 접근법을 사용하여 얻는다: x 3 $x^{3}+Ax+B$ + $x^{3}+Ax+B$ + $x^{3}+Ax+B$ $displaystyle x}$ 의 $x$ $랜덤$ 값을 선택하여 $P=(x,y)\in E(\mathbb {F} _{q})$ $P=(x,y)\in E(\mathbb {F} _{q})$ $P=(x,y)\in E(\mathbb {F} _{q})$ = $P=(x,y)\in E(\mathbb {F} _{q})$ ( x $P=(x,y)\in E(\mathbb {F} _{q})$ , $P=(x,y)\in E(\mathbb {F} _{q})$ ) $P=(x,y)\in E(\mathbb {F} _{q})$ $(\$ $displaystyle$ P $=(x,y)\in$ E $(\mathb {F}$ $_{$ $q})$ 를 선택한다. $Ax+B}$ is a square in $\mathbb {F} _{q}$ and then computing the square root of this value in order to get $y$ . Hasse's theorem tells us that $E(\mathbb {F} _{q})$ lies in the interval ${\displaystyle (q$ $+1-2{\sqrt{q},q+1+2{\sqrt {q$ 따라서 라그랑주의 정리로는 이 간격에 놓여 $M$ 있는 고유한 $M$ $M$ 을(를) 찾고 $MP=O$ $MP=O$ = $MP=O$ ${\displaystyle$ MP= $O}$ 을 $MP=O$ 를) 만족시키면 E( $E(\mathbb {F} _{q})$ ) ${\displaystyle E(\mathb {F} _{q})$ 의 카디널리티를 찾게 된다 $E(\mathbb {F} _{q})$ The algorithm fails if there exist two distinct integers $M$ and $M'$ in the interval such that $MP=M'P=O$ . In such a case it usually suffices to repeat the algorithm with another randomly chosen point in ${\displaystyle E(\mathbb {F} _$ $q}$ .

$MP=O$ $MP=O$ = $MP=O$ $MP=O$ 을(를) 만족하는 값을 찾기 위해 $M$ $M$ $M$ 의 모든 값을 시도하면 약 $4{\sqrt {q}}$ ${\$ 4 ${\sqrt{q}$ 단계를 $4{\sqrt {q}}$ 거친다 $MP=O$ .null

단, $E(\mathbb {F} _{q})$ ) ${\displaystyle E(\mathb {F} _{q}})$ 에 베이비스텝 거인스텝 알고리즘을 적용함으로써 약 $4{\sqrt[{4}]{q}}$ $4{\sqrt[{4}]{q}}$ 4 ${\$ 단계까지 $4{\sqrt[{4}]{q}}$ 속도를 낼 수 있다 $E(\mathbb {F} _{q})$ 알고리즘은 다음과 같다.null

알고리즘

1. 선택하 m{m\displaystyle}정수, m>q 4{\displaystyle m>,{\sqrt[{4}]{q}}}2.FOR{j=0{\displaystyle j=0}{m\displaystyle}m에}jP DO 3.Pj← jP{\displaystyle P_{j}\leftarrow}4.ENDFOR 5. 나는 ← 1{\displaystyle L\leftarrow 1}6.Q←(q+1)P{\displaystyle Q\le.ftarro $w (q+1)P}$  7. REPEAT compute the points  $Q+k(2mP)$  8. UNTIL  $\exists j$ :  $Q+k(2mP)=\pm P_{j}$   \\the  $x$ -coordinates are compared 9. $M\leftarrow q+1+2mk\mp j$   $M\leftarrow q+1+2mk\mp j$   $M\leftarrow q+1+2mk\mp j$ +  $M\leftarrow q+1+2mk\mp j$ +  $M\leftarrow q+1+2mk\mp j$   $M\leftarrow q+1+2mk\mp j$   $M\leftarrow q+1+2mk\mp j$   $M\leftarrow q+1+2mk\mp j$  j  $M\leftarrow q+1+2mk\mp j$  \ $M\leftarrow q+1+2mk\mp j$ note  $MP=O$   $MP=O$ =  $MP=O$   $MP=O$  10 $MP=O$ .인자  $M$   ${\displaystyle$  M $M$   $p_{1},\ldots ,p_{r}$   $p_{1},\ldots ,p_{r}$ , $p_{1},\ldots ,p_{r}$   $p_{1},\ldots ,p_{r}$   $p_{1},\ldots ,p_{r}$   ${\$ 는  $M$   ${\$  $displaystyle M}$ . 11. 반면 i $p_{1},\ldots ,p_{r}$   $i\leq r$  r  $displaystyty$  i $\leq$  r $}$  DO $i\leq r$  12.IF  ${\frac {M}{p_{i}}}P=O$   ${\frac {M}{p_{i}}}P=O$   ${\frac {M}{p_{i}}}P=O$   ${\frac {M}{p_{i}}}P=O$ =  ${\frac {M}{p_{i}}}P=O$   ${\frac {M}{p_{i}}P=O$  13 ${\frac {M}{p_{i}}}P=O$ .그 다음  $M\leftarrow {\frac {M}{p_{i}}}$   $M\leftarrow {\frac {M}{p_{i}}}$   $M\leftarrow {\frac {M}{p_{i}}}$   $M\leftarrow {\frac {M}{p_{i}}}$   $M\leftarrow {\frac {M}{p_{i}}}$   ${\$  14 $M\leftarrow {\frac {M}{p_{i}}}$ .기타  $i\leftarrow i+1$   $i\leftarrow i+1$   $i\leftarrow i+1$ +  $i\leftarrow i+1$   ${\displaystyle$  i $\왼쪽 화살표$  i $+1}$  15 $i\leftarrow i+1$ .16번 엔디프, 17번 엔디프. $L\leftarrow \operatorname {lcm} (L,M)$      \\note  $M$  is the order of the point  $P$  18. WHILE  $L$  divides more than one integer  $N$  in  $(q+1-2{\sqrt {q$  $}}q+1+2{\sqrt{q}}}$  19. 새로운 $(q+1-2{\sqrt {q}},q+1+2{\sqrt {q}})$   $포인트$  P  $P$ 를 선택하고 $P$  1. 20.  $E(\mathbb {F} _{q})$  21.  $RETURN$  N  ${\displaysty N$  $}\\\\\$ 의 카디널리티임.

알고리즘 참고 사항

8행. 우리는 성냥의 존재를 가정한다.실제로 다음과 같은 보조정리기로 그러한 일치가 존재함을 보장한다.

a

을(를)

|a|\leq 2m^{2}

|a|\leq 2m^{2}

2

{\

a

\leq 2m^{2}}

의 정수로 한다

a

|a|\leq 2m^{2}

a_{0}

{\

과

a_{0}

a_{1}

(

)

1 {\

displaystystyle a_{1

}의 정수가 있다.

-m<a_{0}\leq m{\mbox{{} 및 }-m\leq a_{1}\leq mbox{{{}a=a_{0}+2ma_{1}.

일단 $j$ $P$ $jP$ 이(가) 계산되면 $(j+1)P$ $jP$ $(j+1)P$ ( $j$ + $(j+1)P$ ) $(j+1)P$ ${\displaystyle$ ( $j$ $+1)P}$ 은 완전한 스칼라 곱셈을 새로 $jP$ 계산하는 대신 j {\ $displaystyle$ $jP}$ 에 $P$ $P$ ${\\displaysty$ jP $}$ 을 추가하면 된다.따라서 완전한 계산을 위해서는 $m$ $m$ 을 $m$ (를) 추가해야 한다. $2mP$ $2mP$ $2mP$ 은(는) $m$ $P$ $mP$ 에서 두 배로 증가하여 얻을 수 있다 $2mP$ $mP$ $Q$ $Q$ 을 $($ 를) 계산하려면 $\log(q+1)$ $\log(q+1)$ + $\log(q+1)$ ) ${\displaystyle \log(q+1$ ) 의심과 $\log(q+1)$ $w$ ${\displaystyle$ w $}$ 을 $w$ (를) 추가해야 하는데 $Q$ $w$ 서 w ${\displaystyle$ w}은 $q+1$ + $q+1$ ${\$ $displaystystyle$ $q+$ 1}의 이진 표현에서 0이 아닌 자릿수가 된다 $q+1$ $JP}$ 에 대한 지식이다. $2mP$ $2mP$ P $[\displaystyle 2mP}$ 는 $2mP$ 더블링의 수를 줄일 수 있게 해준다.마지막으로 $Q+k(2mP)$ + $Q+k(2mP)$ ( $Q+k(2mP)$ m $Q+k(2mP)$ ) $Q+k(2mP)$ 에서 Q $Q+(k+1)(2mP)$ + $Q+(k+1)(2mP)$ ( $Q+(k+1)(2mP)$ + 1 $Q+(k+1)(2mP)$ ) $Q+(k+1)(2mP)$ ( 2 $Q+(k+1)(2mP)$ $Q+(k+1)(2mP)$ ${\displaystyle$ Q $+(k+1)(2mP)}$ 까지 $Q+k(2mP)$ 가려면 모든 것을 다시 계산하기보다는 $2mP$ 2 $2mP$ P ${\displaysty 2mP}$ 만 추가하면 된다 $Q+(k+1)(2mP)$
$M$ 는 M $M$ 을(를) 인수할 수 있다고 가정하고 있다 $M$ 그렇지 않다면 최소한 모든 작은 주요 요인 ${\$ 을(를) 찾아 M p ${\frac {M}{p_{i}}}\neq O$ O ${\displaystyle {\p}{p_}}}\neq$ O $}$ 를 확인할 수 있다.그러면 $M$ $M$ 이(가) $P$ $P$ 의 순서에 적합한 후보가 될 것이다 $M$ $P$
The conclusion of step 17 can be proved using elementary group theory: since $MP=O$ , the order of $P$ divides $M$ . If no proper divisor ${\bar {M}}$ of $M$ realizes ${\bar {M}}P=O$ ${\bar {M}}P=O$ , 그러면 $M$ $M$ 이 $M$ (가) $P$ $P$ 의 순서 입니다 $P$

이 방법의 한 가지 단점은 집단이 커지면 너무 많은 메모리가 필요하다는 것이다.이 문제를 해결하려면 $j$ $P$ $jP$ 지점의 $x$ $jP$ 좌표만 $x$ 저장하는 것이 더 효율적일 수 있다( $jP$ 해당 $정수$ j ${\displaysty j}).$ 그러나 이 경우 - $-j$ $-j$ 과 $-j$ $+j$ 와) + $+j$ $+j$ 중 하나를 선택하기 위해 추가 스칼라 곱으로 이어진다 $+j$

폴라드의 rho 알고리즘과 폴라드 캥거루 방법 등 보다 공간 효율적인 그룹 요소의 순서를 계산하는 다른 일반적인 알고리즘이 있다.폴라드 캥거루 방법은 $O(\log ^{2}{q})$ $O(\log ^{2}{q})$ $O({\sqrt[{4}]{q}})$ $O(\log ^{2}{q})$ $q$ O $({\$ $sqrt[{4$ $}]{q}}})$ 의 $O(\log ^{2}{q})$ 실행 시간을 $O({\sqrt[{4}]{q}})$ 하여 정해진 간격으로 솔루션을 검색할 수 있다.null

쇼프의 알고리즘

$E(\mathbb {F} _{q})$ ) ${\displaystyle$ E $(\mathb {F} _{q}})$ 의 그룹 카디널리티 계산 문제에 대한 이론적 돌파구는 1985년 첫 번째 결정론적 다항식 시간 알고리즘을 발표한 레네 쇼프에 의해 달성되었다 $E(\mathbb {F} _{q})$ .스쿠프의 알고리즘의 중심은 중국 나머지 정리와 함께 분할 다항식 및 하세의 정리를 사용하는 것이다.null

Schoof의 식견. 그것은(Fq)의 나머지를 정수 N을{E(\mathbb{F}_{q})\displaystyle}E를 계산하기 위해 충분. 4q{\displaystyle N> 이렇게 4{\sqrt{q}}}. 사실, Hasse의 정리까지 가능한 값의 E(Fq){E(\mathbb{F}_{q})\displaystyle}에 유한한 범위는 T. 착취그의 것이다. $|E(\mathbb {F} _{q})|$ ( $|E(\mathbb {F} _{q})|$ $displaystyle E(\mathb {F} _{q}} }$ modulo $|E(\mathbb {F} _{q})|$ primes $\ell _{1},\ldots ,\ell _{s}$ 1 $\ell _{1},\ldots ,\ell _{s}$ , $\ell _{1},\ldots ,\ell _{s}$ … $\ell _{1},\ldots ,\ell _{s}$ ${\$ \ $ell \1},\ldots,\s}}}$ $제품$ 을 4 ${\displaystystyt},$ 중국 나머지 정리를 적용하여 달성.알고리즘의 핵심은 분할 다항식 ${\$ 을(를) 사용하여 $|E(\mathbb {F} _{q})|$ $displaystyle E(\mathb {F} _{q})}$ modulo $|E(\mathbb {F} _{q})|$ $\ell$ ${\displaysty \ell }}$ 을 효율적으로 계산하는 것이다 $\psi _{{\ell }}$ $\ell$

The running time of Schoof's Algorithm is polynomial in $n=\log {q}$ , with an asymptotic complexity of $O(n^{2}M(n^{3})/\log {n})=O(n^{5+o(1)})$ , where $M(n)$ denotes the complexity of integer m초절개공간 복잡성은 O( $O(n^{3})$ ) $O(n^{3})$ 입니다 $O(n^{3})$

스쿠프-엘키스–Atkin 알고리즘

1990년대에 노암 엘키스에 이어 A. O. L. 앳킨이 사용되는 프리임 $\ell _{1},\ldots ,\ell _{s}$ $\ell _{1},\ldots ,\ell _{s}$ , $\ell _{1},\ldots ,\ell _{s}$ s ${\$ _ ${1},\ldots \ell _{s}$ 을 구별하여 Schoof의 기본 알고리즘의 개선을 고안했다.A prime $\ell$ is called an Elkies prime if the characteristic equation of the Frobenius endomorphism, $\phi ^{2}-t\phi +q=0$ , splits over $\mathbb {F} _{\ell }$ . Otherwise $\ell$ is called an Atkin prime.엘키 프리임은 쇼프의 알고리즘의 점증적 복잡성을 개선하는 열쇠다.Atkin primes에서 얻은 정보는 증상 없이 무시할 수 있는 추가적인 개선을 허용하지만 실제로는 상당히 중요할 수 있다.Elkies와 Atkin 프리임을 사용하도록 Schoof의 알고리즘을 수정하는 것을 Schoof-라고 한다.엘키스-앳킨(SEA) 알고리즘.null

The status of a particular prime $\ell$ depends on the elliptic curve $E/\mathbb {F} _{q}$ , and can be determined using the modular polynomial $\Psi _{\ell }(X,Y)$ . If the univariate polynomial ${\displaystyle \Psi _{$ $\ell }(X,j(E))}$ has a root in $\mathbb {F} _{q}$ , where $j(E)$ denotes the j-invariant of $E$ , then $\ell$ is an Elkies prime, and otherwise it is an Atkin prime.엘키스의 경우 모듈형 다항식을 포함하는 추가 연산을 사용하여 분할 다항식 ${\$ }}의 적절한 인자를 얻는다.이 인자의 정도는 $O(\ell )$ ( $O(\ell )$ ) $O(\ell )$ 인 반면 $O(\ell )$ $\psi _{\ell }$ $\psi _{\ell }$ ${\$ 은(는) $O(\ell ^{2})$ ( $O(\ell ^{2})$ $O(\ell ^{2})$ ) ${\displaystystyle O(\ell ^{2})}$ 이다 $\psi _{\ell }$ $O(\ell ^{2})$

Schoof의 알고리즘과 달리 SEA 알고리즘은 (라스베가스 유형의) 확률 알고리즘으로 구현되어 뿌리 찾기 및 기타 연산을 보다 효율적으로 수행할 수 있다.그것의 계산 복잡성은 모듈식 다항식 $\Psi _{\ell }(X,Y)$ , Y $){\디스플레이$ 스타일 $\PSI _{\ell }(X,Y$ 의 계산 비용에 의해 지배되지만, 이것들은 $E$ $E$ 에 의존하지 않기 때문에 한 번 계산되어 재사용될 수 있다 $E$ Under the heuristic assumption that there are sufficiently many small Elkies primes, and excluding the cost of computing modular polynomials, the asymptotic running time of the SEA algorithm is $O(n^{2}M(n^{2})/\log {n})=O(n^{4+o(1)})$ , where $n=\log {q}$ $n=\log {q}$ ${\$ n $=\log{q$ 공간 복잡성은 $O(n^{3}\log {n})$ 3 $O(n^{3}\log {n})$ ) ${\displaystyle$ O $(n^{3}\log {n}})$ 이지만 $O(n^{3}\log {n})$ 사전 계산된 모듈식 다항식을 사용하면 $O(n^{4})$ 4 $O(n^{4})$ ) ${\displaystyle O(n^{4})$ 로 증가한다 $O(n^{4})$

참고 항목

참고 문헌 목록

I. Blake, G. Seroussi 및 N. Smart: Cryptography, Cambridge University Press, 1999. Cryptography의 타원 곡선.
A. Enge:타원 곡선 및 암호화에 대한 응용 프로그램: 소개1999년 Dordrecht의 Kluwer Academic Publishers.
G. Musicer: Schoof의 $E(\mathbb {F} _{q})$ ( $E(\mathbb {F} _{q})$ $E(\mathbb {F} _{q})$ ) ${\displaystyle$ E $(\mathb {F} _{q}}}}.$ http://www.math.umn.edu/~musiker/schoof.pdf에서 사용 가능
R. Schoof:유한 필드 위의 타원 곡선의 점 카운팅.J. 이론.Nombres Bordeaux 7:219-254, 1995.http://www.mat.uniroma2.it/~schoof/ctg.pdf에서 이용 가능
L. C. Washington: 타원 곡선:숫자 이론과 암호학.Chapman \& Hall/CRC, 2003년 뉴욕.

참조

Search