2.5 Груповий закон для еліптичних кривих e( f(3m))

Груповий закон в афінних координатах

Нехай F(3^m) для деякого цілого m ≥ 1 є кінцевим полем. Нехай також E є еліптичною кривою над полем F(3^m), що задана рівнянням:

Y² = X³ + aX² + b, з a, b ∈ F(3^m), (1.22)

причому a, b ≠ 0_F.

В афінних координатах груповий закон на еліптичній кривій, що задана як (1.22), визначається таким чином:

• точка на нескінченності є одиничним елементом 0_E щодо операції «+»;

– якщо R = (x, y) ≠ 0_E є точкою на E, що задана в афінній системі координат, тоді

R = (x, x + y);

• якщо R₁ = (x₁, y₁) та R₂ = (x₂, y₂) є дві відмінні точки на кривій E – такі, що R₁ ≠ ±R₂ і R₁, R₂ ≠ 0_E, тоді їх сумою є точка R₃ = (x₃, y₃), де:

x₃ = r² – a – x₁ – x₂,

y₃ = r (x₁ – x₃) – y₁, (1.23)

причому

r = (y₂ – y₁) / (x₂ – x₁);

⎯ якщо R = (x, y) є точка на кривій E – така, що R ≠ 0_E та y ≠ 0_F, то її подвоєнням є точка 2R = (x₃, y₃), координати якої визначаються згідно з формулами:

x₃ = r² – a + x,

y₃ = r (x – x₃) – y, (1.24)

причому

r = ax / y (окрім випадків, коли R = (x, 0_F)), то її подвоєнням є 2R = 0_E.

Груповий закон у проективних координатах

Проективний аналог афінного рівняння (1.22) визначається над П_proj (F(3^m)) і задається однорідним кубічним рівнянням:

Y²Z = X³ + aX²Z + bZ³ з a, b ∈ F(3^m). (1.25)

Еліптична крива, задана в проективних координатах, складається з усіх точок R = (X, Y, Z) для F(3^m) × F(3^m) × F(3^m) /{(0_F, 0_F, 0_F)} – таких, що трійка (X, Y, Z) є розв’язком рівняння (1.25).

Якщо еліптична крива задається в афінних координатах, а точка R – у проективних координатах, то справедливі твердження:

⎯  якщо Q = (x_Q, y_Q) є афінною точкою E, то R = (x_Q, y_Q, 1_F) є відповідною точкою в проективних координатах;

⎯ якщо R = (X, Y, Z) (з Z ≠ 0_F) є рішенням (7.10), то Q = (X/Z, Y/Z) є відповідною точкою в афінних координатах;

⎯ існує тільки одне рішення рівняння (1.25) з Z = 0_F, а саме: точка (0_F, 1_F, 0_F), що відповідає 0_E.

У проективних координатах груповий закон на еліптичній кривій, що задана для (1.25), є таким:

⎯ точка (0_F, 1_F, 0_F) є одиничним елементом 0_E щодо операції «+».

⎯  якщо R = (X, Y, Z) ≠ (0_F, 1_F, 0_F) є точкою на кривій E, що задана в проективних координатах, то й R = (X, X + Y, Z).

⎯ якщо R₁ = (X₁, Y₁, Z₁) та R₂ = (X₂, Y₂, Z₂) є дві відмінні точки на кривій E, але такі, що R₁ ≠ ±R₂ і R₁, R₂ ≠ (0_F, 1_F, 0_F), тоді їх сума R₃ = (X₃, Y₃, Z₃) може бути обчислена за допомогою формул:

X₃ = st²Z₁Z₂ – s³u;

Y₃ = t (sX₁Z₂ – t²Z₁Z₂ + s²u) – s³Y₁Z²; (1.26)

Z₃ = s³Z₁Z_2,

причому

s = X₂Z₁ – X₁Z₂, t = Y₂Z₁ – Y₁Z₂, та u = aZ₁Z₂ + X₁Z₂ + X₂Z₁;

⎯  якщо R = (X, Y, Z) ≠ (0_F, 1_F, 0_F) є точкою на кривій E, тоді її подвоєння

2R = (X₃, Y₃, Z), тобто координати X₃, Y₃ і Z₃ можуть бути обчислені за допомогою таких формул:

X₃ = tY;

Y₃ = s (XY² – t) – Y⁴; (1.27)

Z₃ = Y³Z,

причому

s = aX і t = s²Z – aY²Z + XY².

Виконання операцій додавання та подвоєння при скалярному множенні вимагає виконання складної операції ділення за модулем над полем F(3^m). Цей недолік деякою мірою усувається при застосуванні проективних базисів.