Форма Гессе еліптичної кривої

У геометрії крива Гессе — це плоска крива, схожа на декартів лист. Вона названа на честь німецького математика Отто Гессе. Ця крива була запропонована для застосування в еліптичній криптографії, оскільки арифметика в цьому представлені кривої швидша і потребує менше пам'яті, ніж арифметика в стандартній формі Вейерштрасса.

Означення[ред. | ред. код]

Нехай задано поле ${\displaystyle K}$. Розглянемо еліптичну криву ${\displaystyle E}$ у наступному спеціальному випадку форми Вейерштрасса над полем ${\displaystyle K}$:

${\displaystyle Y^{2}+a_{1}XY+a_{3}Y=X^{3},}$

де крива має дискримінант ${\displaystyle \Delta =(a_{3}^{3}(a_{1}^{3}-27a_{3}))=a_{3}^{3}\delta }$. Тоді точка ${\displaystyle P=(0,0)}$ має порядок 3.

Щоб довести, що ${\displaystyle P=(0,0)}$ має порядок 3, зауважимо, що дотична до ${\displaystyle E}$ у точці ${\displaystyle P}$ — пряма ${\displaystyle Y=0}$, яка перетинає ${\displaystyle E}$ в точці ${\displaystyle P}$ з кратністю 3.

І навпаки, задавши точку ${\displaystyle P}$ порядку 3 на еліптичній кривій ${\displaystyle E}$, що визначена над полем ${\displaystyle K}$, можна представити криву у формі Вейерштрасса з ${\displaystyle P=(0,0)}$, так, що дотичною в точці ${\displaystyle P}$ є пряма ${\displaystyle Y=0}$. Тоді рівняння кривої має вигляд ${\displaystyle Y^{2}+a_{1}XY+a_{3}Y=X^{3}}$ та ${\displaystyle a_{1},a_{3}\in K}$.

Тепер, щоб отримати криву Гессе, необхідно виконати таке перетворення^[en]:

Спочатку позначимо через ${\displaystyle \mu }$ корінь многочлена

${\displaystyle T^{3}-\delta T^{2}+{\delta ^{2} \over 3}T+a_{3}\delta ^{2}=0.}$

Тоді

${\displaystyle \mu ={\delta -a_{1}\delta ^{2/3} \over 3}.}$

Зауважимо, що над полем ${\displaystyle K}$ скінченого порядку ${\displaystyle q\equiv 2}$ ${\displaystyle {\rm {mod}}\ 3}$ кожен елемент поля ${\displaystyle K}$ має єдиний кубічний корінь у загальному випадку, ${\displaystyle \mu }$ належить розширенню поля ${\displaystyle K}$.

Тепер, визначивши наступне значення ${\displaystyle D={\dfrac {3(\mu -\delta )}{\mu }}}$, отримуємо іншу криву ${\displaystyle C}$, яка біраціонально еквівалентна ${\displaystyle E}$:

${\displaystyle C}$ : ${\displaystyle x^{3}+y^{3}+z^{3}=Dxyz,}$

в афінній площині його називають кубічною формою Гессе (у проективних координатах ${\displaystyle x={\frac {X}{Z}}}$ та ${\displaystyle y={\frac {Y}{Z}}}$)

${\displaystyle C}$: ${\displaystyle x^{3}+y^{3}+1=Dxy.}$

Більш того, ${\displaystyle D^{3}\neq 1}$ (інакше, крива буде сингулярною^[en]).

Починаючи з кривої Гессе, біраціонально еквівалентне рівняння Вейерштрасса задається співвідношенням

${\displaystyle v^{2}=u^{3}-27D(D^{3}+8)u+54(D^{6}-20D^{3}-8),}$

за допомогою перетворень

${\displaystyle (x,y)=(\eta (u+9D^{2}),-1+\eta (3D^{3}-Dx-12))}$

та

${\displaystyle (u,v)=(-9D^{2}+\varepsilon x,3\varepsilon (y-1)),}$

де

${\displaystyle \eta ={\frac {6(D^{3}-1)(v+9D^{3}-3Du-36)}{(u+9D^{2})^{3}+(3Dd-Du-12)^{3}}}}$

та

${\displaystyle \varepsilon ={\frac {12(D^{3}-1)}{Dx+y+1}}}$.

Закон групування[ред. | ред. код]

Цікаво проаналізувати закон групування еліптичної кривої, визначивши формули додавання та подвоєння. Крім того, у цьому випадку потрібно використовувати лише ту саму процедуру для обчислення додавання, подвоєння чи віднімання точок для отримання ефективних результатів, як було сказано вище. У загальному випадку закон групування визначається наступним чином: якщо три точки лежать на одній прямій, то їх сума дорівнює нулю. Отже, за цією властивістю закони групування різні для кожної кривої.

У цьому випадку коректним шляхом є використання формул Коші-Десбовеса для отримання точки на нескінченності ${\displaystyle \theta =(1:-1:0)}$, тобто нейтрального елемента (обернений до ${\displaystyle \theta }$ є знову ${\displaystyle \theta }$). Нехай ${\displaystyle P=(x_{1},y_{1})}$ — точка на кривій. Прямій ${\displaystyle y=-x+(x_{1}+y_{1})}$ належить точка ${\displaystyle P}$ і точка на нескінченності ${\displaystyle \theta }$. Тому ${\displaystyle -P}$ є третьою точкою перетину цієї прямої з кривою. Перетин еліптичної кривої з прямою дає приводить до умова ${\displaystyle x_{2}-(x_{1}+y_{1})x+x_{1}y_{1}=\theta }$. Оскільки ${\displaystyle x_{1}+y_{1}+D}$ не дорівнює нулю (${\displaystyle D^{3}}$ не дорівнює ${\displaystyle 1}$), ${\displaystyle x}$-координатою точки ${\displaystyle -P}$ є ${\displaystyle y_{1}}$, а ${\displaystyle y}$-координатою точки ${\displaystyle -P}$ є ${\displaystyle x_{1}}$, тобто ${\displaystyle -P=(y_{1},x_{1})}$, або в проективних координатах ${\displaystyle -P=(Y_{1}:X_{1}:Z_{1})}$.

У деяких застосуваннях еліптичної криптографії та факторизації за допомогою еліптичних кривих (ECM^[en]) необхідно обчислювати множення на скаляр для точки ${\displaystyle P}$, наприклад, ${\displaystyle [n]P}$ з деяким цілим числом ${\displaystyle n}$, і вони базуються на методі швидкого піднесення до степеня; ці операції потребують формул додавання та подвоєння.

Подвоєння

Для точки ${\displaystyle P=(X_{1}:Y_{1}:Z_{1})}$ на еліптичній кривій можна визначити операцію «подвоєння» за допомогою формул Коші-Десбовеса:

${\displaystyle [2]P=\left(Y_{1}\left(X_{1}^{3}-Z_{1}^{3}\right):X_{1}\left(Z_{1}^{3}-Y_{1}^{3}\right):Z_{1}\left(Y_{1}^{3}-X_{1}^{3}\right)\right)}$.

Додавання

Таким же чином для двох різних точок ${\displaystyle P=(X_{1}:Y_{1}:Z_{1})}$ та точки ${\displaystyle Q=(X_{2}:Y_{2}:Z_{2})}$ можна визначити формулу додавання. Нехай ${\displaystyle R}$ позначає суму цих точок, ${\displaystyle R=P+Q}$, тоді її координати наступні:

${\displaystyle R=\left(Y_{1}^{2}X_{2}Z_{2}-Y_{2}^{2}X_{1}Z_{1}:X_{1}^{2}Y_{2}Z_{2}-X_{2}^{2}Y_{1}Z_{1}:Z_{1}^{2}X_{2}Y_{2}-Z_{2}^{2}X_{1}Y_{1}\right)}$.

Алгоритми та приклади[ред. | ред. код]

Існує алгоритм, за допомогою якого можна додати або подвоїти дві різні точки, запропонований Джойєм (Joye) і Кіскватером (Jean-Jacques Quisquater^[en]). Наступне трердження дає можливість отримати операцію подвоєння шляхом додавання:

Теорема. Нехай ${\displaystyle P=(X,Y,Z)}$ — точка на еліптичній кривій Гессе ${\displaystyle E(K)}$, тоді

${\displaystyle 2(X:Y:Z)=(Z:X:Y)+(Y:Z:X).\quad \quad (1)}$

Більш того, ${\displaystyle (Z:X:Y)\neq (Y:Z:X)}$.

На відміну від інших параметризацій, тут відсутнє віднімання для обчислення віддзеркалення точки. Отже, цей алгоритм додавання також може бути використаний для віднімання двох точок ${\displaystyle P=(X_{1}:Y_{1}:Z_{1})}$ і ${\displaystyle Q=(X_{2}:Y_{2}:Z_{2})}$ на еліптичній кривій Гессе:

${\displaystyle (X_{1}:Y_{1}:Z_{1})-(X_{2}:Y_{2}:Z_{2})=(X_{1}:Y_{1}:Z_{1})+(Y_{2}:X_{2}:Z_{2}).\quad \quad (2)}$

Підсумовуючи, шляхом адаптування порядку вводів відповідно до рівнянь (1) або (2), алгоритм додавання, наведений вище, можна використовувати для додавання двох (різних) точок, подвоєння точки і віднімання двох точок лише за допомогою 12 добутків і 7 допоміжних змінних, включаючи 3 початкові змінні. До появи кривих Едвардса^[en] ці результати були найшвидшим відомим способом реалізації скалярного множення на еліптичній кривій для противаги атакам сторонніми каналами.

Для деяких алгоритмів захист від атак сторонніми каналами не є необхідним. Отже, такі подвоєння можуть бути швидшими. Оскільки існує багато алгоритмів, тут наведено лише найкращі алгоритми для формул додавання та подвоєння з прикладом для кожного з них:

Додавання[ред. | ред. код]

Нехай ${\displaystyle P_{1}=(X_{1}:Y_{1}:Z_{1})}$ і ${\displaystyle P_{2}=(X_{2}:Y_{2}:Z_{2})}$ дві точки відмінні від ${\displaystyle \theta }$, і ${\displaystyle Z_{1}=Z_{2}=1}$, тоді алгоритм такий:

${\displaystyle A=X_{1}Y_{2},}$

${\displaystyle B=Y_{1}X_{2},}$

${\displaystyle X_{3}=BY_{1}-Y_{2}A,}$

${\displaystyle Y_{3}=X_{1}A-BX_{2},}$

${\displaystyle Z_{3}=Y_{2}X_{2}-X_{1}Y_{1}.}$

Для алгоритму необхідно: 8 множень та 3 додавання, а для відновлення: 7 множень та 3 додавання, в залежності від першої точки.

Приклад

Нехай задано точки кривої для ${\displaystyle d=-1}$: ${\displaystyle P_{1}=(1:0:-1)}$ та ${\displaystyle P_{2}=(0:-1:1)}$. Якщо ${\displaystyle P_{3}=P_{1}+P_{2}}$, то

${\displaystyle X_{3}=0-1=-1,}$

${\displaystyle Y_{3}=-1-0=-1,}$

${\displaystyle Z_{3}=0-0=0.}$

Таким чином, ${\displaystyle P_{3}=(-1:-1:0)}$.

Подвоєння[ред. | ред. код]

Нехай ${\displaystyle P=(X_{1}:Y_{1}:Z_{1})}$ — точка, тоді формула подвоєння має наступний вигляд:

${\displaystyle A=X_{1}^{2},}$

${\displaystyle B=Y_{1}^{2},}$

${\displaystyle D=A+B,}$

${\displaystyle G=(X_{1}+Y_{1})^{2}-D,}$

${\displaystyle X_{3}=(2Y_{1}-G)\times (X_{1}+A+1),}$

${\displaystyle Y_{3}=(G-2X_{1})\times (Y_{1}+B+1),}$

${\displaystyle Z_{3}=(X_{1}-Y_{1})\times (G+2D).}$

Необхідні операції для алгоритму: 3 множення ${\displaystyle +}$ 3 піднесення до квадрату ${\displaystyle +}$ ${\displaystyle 11}$ додавань ${\displaystyle +}$ ${\displaystyle 3\times 2}$.

Приклад

Якщо ${\displaystyle P=(-1:-1:1)}$ точка кривої Гессе з параметром ${\displaystyle d=-1}$, то координати подвоєної точки ${\displaystyle 2P=(X:Y:Z)}$ наступні:

${\displaystyle X=(2\cdot (-1)-2)(-1+1+1)=-4,}$

${\displaystyle Y=(-4-2\cdot (-1))((-1)+1+1)=-2,}$

${\displaystyle Z=(-1-(-1))((-4)+2\cdot 2)=0.}$

Отже, ${\displaystyle 2P=(-4:-2:0)}$.

Розширені координати[ред. | ред. код]

Існує ще одна система координат, за допомогою якої може бути зображена крива Гессе; ці нові координати називаються розширеними координатами. Вони можуть прискорити процес додавання та подвоєння. Щоб отримати більше інформації про операції з розширеними координатами, див.

http://hyperelliptic.org/EFD/g1p/auto-hessian-extended.html#addition-add-20080225-hwcd

Координати ${\displaystyle x}$ і ${\displaystyle y}$ представляються через ${\displaystyle X}$, ${\displaystyle Y}$, ${\displaystyle Z}$, ${\displaystyle XX}$, ${\displaystyle YY}$, ${\displaystyle ZZ}$, ${\displaystyle XY}$, ${\displaystyle YZ}$, ${\displaystyle XZ}$, що задовольняють наступним рівнянням:

${\displaystyle x=X/Z,}$

${\displaystyle y=Y/Z,}$

${\displaystyle XX=X\cdot X,}$

${\displaystyle YY=Y\cdot Y,}$

${\displaystyle ZZ=Z\cdot Z,}$

${\displaystyle XY=2\cdot X\cdot Y,}$

${\displaystyle YZ=2\cdot Y\cdot Z,}$

${\displaystyle XZ=2\cdot X\cdot Z,}$

Див. також[ред. | ред. код]

Для отримання додаткової інформації про час роботи, необхідний у конкретному випадку, див. Таблицю витрат на операції в еліптичних кривих^[en].

Скручені криві Гессе^[en].

Посилання[ред. | ред. код]

• http://hyperelliptic.org/EFD/g1p/index.html

Список літератури[ред. | ред. код]

• Otto Hesse (1844), «Über die Elimination der Variabeln aus drei algebraischen Gleichungen vom zweiten Grade mit zwei Variabeln», Journal für die reine und angewandte Mathematik, 10, pp. 68–96
• Marc Joye, Jean-Jacques Quisquater (2001). Hessian Elliptic Curves and Side-Channel Attacks. Springer-Verlag Berlin Heidelberg 2001. ISBN 978-3-540-42521-2.
• N. P. Smart (2001). The Hessian form of an Elliptic Curve. Springer-Verlag Berlin Heidelberg 2001. ISBN 978-3-540-42521-2.

На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій.