扭曲爱德华曲线
0、摘要
1、原文摘要
本文主要介绍了扭曲爱德华兹曲线,它是对最近引入的爱德华曲线的一般化。扭曲爱德华兹曲线包含了更多有限域上的曲线,特别是蒙哥马利椭圆曲线。本文讲介绍如何通过同源覆盖更多曲线,给出了投影和倒置坐标中扭曲 Edwards 曲线的显式公式;并会说明扭曲爱德华兹曲线为爱德华曲线节省了时间。
(同源是指两条椭圆曲线之间的同态)
2、写在前面
由于最近比赛有很多扭曲爱德华曲线的题目,并且目前国内也没有什么关于扭曲爱德华曲线的详细介绍,就把这篇详细介绍扭曲曲线的文章做了一下翻译。鉴于本人水平、时间有限,译文难免有一些问题,欢迎各位师傅和我交流。原文链接:https://eprint.iacr.org/2008/013.pdf
1、引入
Edwards 在 [13] 中推广了欧拉和高斯的一个例子,给非二进制域
Bernstein 和 Lange 在 [4] 中提出用坐标
在本文中,我们进一步推广 Edwards 加法法则以覆盖所有曲线
在第 2 节中,我们会回顾 Edwards 曲线,介绍扭曲 Edwards 曲线,并说明每条扭曲 Edwards 曲线是 Edwards 曲线的扭曲。在第 3 节中,我们会说明每条蒙哥马利曲线都可以表示为扭曲爱德华兹曲线,反之亦然。在第 4 节中,我们会介绍椭圆曲线(在各种素数域上)可以表示为 Edwards 曲线、扭曲 Edwards 曲线、“4 倍奇数”扭曲 Edwards 曲线等的百分比。在第 5 节中,我们使用同源覆盖更多曲线:具体的,它表明每条群阶为 4 的倍数且没有阶为 4 的点的曲线与扭曲 Edwards 曲线是 2 - 同源的。在第 6 节中,我们把 Edwards 加法定律、[4] 中的显式公式和 [5] 中的“逆”公式推广到扭曲 Edwards 曲线。在第 7 节中,我们分析了这种推广对密码应用的好处。
2、爱德华曲线和扭曲爱德华曲线
本节,我们将在 [4] 的推广下简要回顾爱德华曲线及其加法定律。然后,我们会引入扭曲爱德华曲线并讨论它和爱德华曲线之间的关系。
Review of Edwards Curves.
在整篇文章中,我们讨论的椭圆曲线都定义在非二进制域
点
Twisted Edwards Curves.
4 阶点的存在限制了
定义 2.1(扭曲爱德华曲线) 选择一个域
( ),选择两个不同的非零常数 ,扭曲爱德华曲线定义为 当
时,此曲线为爱德华曲线。
在第三节中,我们将证明每条扭曲爱德华曲线等价于蒙哥马利曲线,反之亦然。椭圆曲线具有
Twisted Edwards Curves as Twists of Edwards Curves.
扭曲爱德华曲线
更一般的,对于任何满足
此外,对于扭曲爱德华曲线
3、蒙哥马利曲线和爱德华曲线
选择一个域
如果可以,将 Weierstrass 曲线转换为蒙哥马利曲线的标准算法(e.g.,参见 [11,第 13.2.3.c 节])可以与我们从蒙哥马利曲线到扭曲爱德华兹曲线的显式转换相结合。
定义 3.1(蒙哥马利曲线) 选择一个域
( ),确定常数 与 。蒙哥马利曲线定义为
定理 3.2 选择一个域
( )
对于每个
中的扭曲爱德华曲线和在 中的蒙哥马利曲线等价。 特别的,对于两个不同的常数
,若 ,扭曲爱德华曲线 和蒙哥马利曲线 等价。映射 是从 到 的双有理等价,其逆变换为 。 相反,
上的每条蒙哥马利曲线都双有理地等价于在 上的扭曲 Edwards 曲线。 特别的,确定常数
与 ,当 , 蒙哥马利曲线 和扭曲爱德华曲线 等价。
证明:
-
注意到
有定义,且 。若 ,那么 则 ,矛盾;若 ,那么 则 ,矛盾。因此曲线 是蒙哥马利曲线。 以下Sage程序验证了定理 3.2中的映射
R.<a,d,x,y>=QQ[] A=2*(a+d)/(a-d) B=4/(a-d) S=R.quotient(a*x^2+y^2-(1+d*x^2*y^2)) u=(1+y)/(1-y) v=(1+y)/((1-y)*x) 0==S((B*v^2-u^3-A*u^2-u).numerator())
例外情况
仅发生在 上的有限多个点 上。相反,对于 ,例外情况 仅发生在 上的有限多个点 上。 -
注意到
,所以 有定义, 且 那么 ,因此 是扭曲爱德华曲线。 进一步:
因此,通过 1 ,
双有理等价于 。
双有理等价中的特殊点。
定理3.2中,对于从
上的点 对应 上的二阶映射点 。该点和 是逆映射 的唯一例外点,其中 映射到无穷远点。 - 如果
是二次幂 (即 是二次幂),那么还有两个 的点,即 。这些点的阶为2,对应 中去奇异化的阶为2的无穷远点。 - 如果
是二次幂 (即 是二次幂),那么将有两个 的点,即 。这些点的阶为4,对应 中去奇异化的阶为4的无穷远点。
去扭曲。
根据定理 3.2,每条蒙哥马利曲线
我们现在陈述两种不需要扭曲的情况。定理 3.3 指出,每条具有 4 阶点的椭圆曲线双有理等价于 Edwards 曲线。定理 3.4 指出,在
定理3.3 选择一个域
( ),令 是 上的曲线。群 有一个阶为4的元素,当且仅当 双有理等价于 上的一条爱德华曲线。
证明:假设
相反,假设
下面的Sage程序验证了,当
R.<u,v,u4,v4>=QQ[]
d=1-4*u4^3/v4^2
S=R.quotient((v^2-u^3-(v4^2/u4^2-2*u4)*u^2-u4^2*u).numerator())
x=v4*u/(u4*v)
y=(u-u4)/(u+u4)
0==S((x^2+y^2-1-d*x^2*y^2).numerator())
例外情况
因此,有理映射
定理3.4 如果
,在有限域 k 上,每条蒙哥马利曲线双有理等价于爱德华曲线。
证明:确定
情况1:
情况2:
情况3:
在每种情况下,
这个定理不能推广到
定理3.5 有限域
满足 ,令 为蒙哥马利曲线,使 为二次幂,令 为非二次幂。
和它的非平凡二次扭曲 中的一个,恰好等价于 Edwards 曲线。 特别的,
双有理等价于 Edwards 曲线。
证明。因为
第二个陈述也遵循定理 3.3,因为
4、数据
众所周知,当
我们通过枚举所有完整的 Edwards 曲线、所有 Edwards 曲线、所有扭曲 Edwards 曲线(涵盖所有同构类的有限
这些实验的某些部分以前已经进行过。参见如,[15]。然而,文献中的信息不足以我们将 Edwards 曲线(和完整的 Edwards 曲线)与扭曲 Edwards 曲线进行比较。
对于 的素数的结果
- 对于原始爱德华曲线,有43对不同的
- 对于完整爱德华曲线,有504对不同的
- 对于爱德华曲线,有673对不同的