Лекція 15 Розрахунок порядку еліптичної кривої. План

1. Розрахунок порядку еліптичної кривої. Складність обчислень.

2. Розрахунок порядку еліптичної кривої над розширеним полем.

3. Складність обчислень.

Для визначення порядку еліптичної кривої над простим полем, як правило, використовуються процедури, запропоновані Р. Скуфом., з наступними модифікаціями А. Еткіна і Н. Ілкінса. (модифікований метод називають по імені авторів методом ), і в більш пізніх роботах, наприклад, Т. Сато. В останній роботі, зокрема, приведені рекордні ( на 2000 рік ) дані про час обчислення порядку кривій над полем (простим полем), що дорівнює 9 с для поля розмірності 160 біт, 25 с – для поля в 240 біт, 5 хв – для поля в 500 біт, 1 година – для поля в 1000 біт і 14 годин – для поля в 2000 біт ( обчислення робили за допомогою процесора з частотою 500 МГц). Для порівняння , найкращий результат 1999 року для поля в 2000 біт складав близько 1500 годин.

Суть методу Скуфа полягає в наступному . Порядок кривої над простим полем визначається як , де значення лежать у межах границі Хасе.

Нагадаємо, що в 1934 р. німецький математик Г. Хасе одержав оцінку порядку еліптичної кривої над скінченним полем .

Зокрема, для простого поля вона може бути записана як .

Знаходження порядку кривій рівнозначно визначенню параметра , що вимагає набагато менше обчислень, чим прямий перебір усіх точок. Зокрема, метод Шенкса має складність , що вимагає великих обчислювальних витрат і надмірної пам'яті. Скуф уперше запропонував поліноміальний алгоритм зі складністю .

Нехай - підгрупа крутіння точок порядку кривій , тобто

В алгебраїчному замкнені поля ( тобто у довільно великому розширенні поля ) підгрупа ізоморфна адитивної нециклічній групі і має порядок . Ендоморфизм Фробеніуса в алгебраїчному замкненні є лінійним відображенням елементів групи в себе , що згідно теореми Келі-Гамільтона задовольняє рівнянню

(15.1)

або

Операції в цьому рівнянні визначені в групі точок кривій . Параметр у квадратному характеристичному рівнянні Фробеніуса

є слідом цього рівняння, який називаний слідом Фробеніуса .

Оскільки , корені цього рівняння – комплексно-сполучені.

Невідомий слід Фробеніуса може приймати великі значення. Скуф запропонував для послідовності можливих простих порядків підгруп кручення групи визначати редукцією , що задовольняє рівнянням

(15.2)

Ці рівняння діють для точок підгруп кручення . Для цієї групи замість можна записати

(15.3)

Відповідно до теореми Хасе число значень простих чисел обмежується умовою

За обчисленим значенням далі розраховується слід за допомогою китайської теореми про лишки. Передбачається, що  велике просте число і Наприклад, добуток 36 простих чисел в інтервалі дає число , відкіля Надалі метод Скуфа був адаптований і до полів характеристики 2.

Рівняння (15.1) над полем тривіально, тому що тут має місце авто-морфізм і .

Простіше всього визначається парність або непарність порядку (і, відповідно, сліду ). Для цього досить визначити, чи містить крива хоча б одну точку другого порядку (порядком точки еліптичної кривої називається найменше натуральне число , для якого ) , тобто чи має кубик правої частини рівняння кривій корені в полі . Це еквівалентно здобутку НОД у кільці поліномів .

Він визначається за допомогою алгоритму Евкліда для кільця .

При рішенні рівняння Фробеніуса (15.2) для підгрупи значна частина обчислень складається в розрахунку в кільці

Експоненцірування виконується звичайним методом послідовних зведень у квадрат і множень відповідно до двійкового запису числа . Після цього ліва частина (15.3) визначається додаванням точок а права – послідовним додаванням точок раз до одержання рівності

Основним недоліком алгоритму Скуфа є високі ступені полінома розподілу пропорційні . Наприклад, при цей ступінь дорівнює , і запис одного полінома вимагає близько 1 Мбайт пам'яті. Тимчасові обчислювальні витрати при визначенні коренів полінома також великі. Першим А. Еткін , а вслід потім Н. Ілкінс помітили, що поліном є звідним над полем , тобто містить множники зі степенями поліномів і . Вони розглянули властивості так званих модулярних поліномів степеня над полем , що виявилися корисним при визначенні редукції Зокрема, модулярний поліном описує циклічну підгрупу групи . Прості числа з розщепленням степеня типу і називають простими Ілкіса, а числа з розщепленням і  простими числами Еткіна. В обох випадках є порядком елемента , де і  корені рівняння (15.2). Останні лежать або в поле , якщо  просте Ілкінса (при цьому  квадратний лишок в полі ), або в полі в альтернативному випадку (якщо  квадратичний нелишок). Відзначимо, що половина всіх простих чисел відноситься до чисел Еткіна, інші – до чисел Ілкінса.

Н. Ілкінс знайшов, що якщо  квадратичний лишок, то дільник полінома  поліном степеня . Важливим наслідком цього виявилася властивість полінома , завдяки якому існує таке ціле число , що у кільці Якщо знайдено, то згідно (15.2) відкіля відразу визначається Цей результат кардинальним образом знижує обсяг обчислень у методі Скуфа. Н. Ілкінс запропонував алгоритм обчислень полінома , використовуючи властивості модулярних функцій

А. Еткін дав власне розв’язання для розрахунку поліномів на базі модулярних рівнянь і модулярних форм.

Розрахунок порядку еліптичної кривої над розширеними полями.

Для найбільш простої процедури обчислення порядку кривій над розширеннями скінченного поля корисним виявляється поняття дзета-функції.

Нехай  послідовність порядків еліптичної кривої над розширеннями скінченного поля , Вона задає число рішень рівняння , .

Визначимо дзета функцію статечним рядом

. (15.4)

Тут і згідно

де

(15.5)

З теореми Хасе випливає, що і, значить, Представимо параметр у вигляді суми двох комплексно сполучених чисел

(15.6)

Скористаємося відомим рядом

Тоді з урахуванням (15.4) – (15.6) маємо

Звідси отримуємо раціональну дзета функцію ЕС

(15.7)

Остання рівність випливає з границі Хасе Дійсно, якщо окружність радіуса на комплексній площині є геометричним місцем чисел і , те для усіх виконується умова теореми Хасе ( зовнішня окружність на мал. 15.1). Тому що пари і  корені діофантова рівняння (з цілими коефіцієнтами), вони є алгебраїчними цілими числами.

I m u

Re u

Рисунок15.1  Геометрична інтерпретація виконання умов

теореми Хасе.

Формули 15.5 – 15.7 визначають алгоритм перебування порядку будь-якої еліптичної кривої, заданої над полем , із усіма можливими розширеннями цього поля . Для цього потрібно спочатку знайти число точок кривій над вихідним полем , визначити параметр , потім вирішити квадратне рівняння в чисельнику дзета функції (знайти нулі функції) і знайти значення і . Після цього порядок даної кривої над будь-яким розширенням визначається за допомогою 15.5.

П р и к л а д 15.1. Визначимо порядок суперсингулярної кривої над полем і всіма його розширеннями .

Над вихідним полем рівняння має розв’язання при і , що дає 4 точки кривої , , . Разом із точкою загальне число точок або порядок кривій тоді Переходячи в (15.7) до змінної , запишемо квадратне рівняння для чисельника дзета-функції

(15.8)

Це рівняння називають характеристичним рівнянням ендоморфізма Фробеніуса. При і воно має два розв’язання

Тоді згідно (15.5)

Зокрема, при непарних маємо

і , що збігається зі значенням порядку кривій

Замість безпосереднього розрахунку параметра , що визначає порядок кривій над розширенням поля , часто простіше користуватися рекурентною формулою

(15.9)

Ця формула випливає з характеристичного квадратного рівняння Вона може використовуватися, зокрема, при розрахунку числа точок кривій при розширеннях малих полів ,

Контрольні запитання та завдання

1. Дайте визначення порядку еліптичної кривої.

2. Яка суть методу Скуфа розрахунку порядку ЕК

3. Назвіть недоліки алгоритму Скуфа.

4. Як розрахувати порядок еліптичної кривої над розширеними полями

5. Надайте оцінка Г. Хасе порядку еліптичної кривої над скінченним полем .