Скрученные кривые Гессе

В математике скрученные кривые Гессе являются обобщением кривых Гессе ; они были введены в криптографии эллиптических кривых для ускорения формул сложения и удвоения и для строгой унификации арифметики. В некоторых операциях (см. последние разделы) они близки по скорости к кривым Эдвардса . Скрученные кривые Гессе были введены Бернштейном , Ланге и Коэлем. ^[1]

Пусть K — поле . Скрученная гессиановая форма в аффинных координатах задается выражением:

${\displaystyle a\cdot x^{3}+y^{3}+1=d\cdot x\cdot y}$

и в проективных координатах по

${\displaystyle a\cdot X^{3}+Y^{3}+Z^{3}=d\cdot X\cdot Y\cdot Z,}$

где x = X / Z и y = Y / Z и a , d ∈ K. Эти кривые бирационально эквивалентны кривым Гессе , а кривые Гессе являются всего лишь частным случаем скрученных кривых Гессе, в которых a = 1 .

Рассматривая уравнение a · x ³ + y ³ + 1 = d · x · y , отметим, что если a имеет кубический корень в K , то существует единственный b такой, что a = b ³ ; в противном случае необходимо рассмотреть поле расширения K , такое как K ( a ^1/3 ) . Тогда, поскольку b ³ x ³ = ax ³ , определяющее t = bx , для выполнения преобразования необходимо следующее уравнение (в форме Гессе):

${\displaystyle t^{3}+y^{3}+1=d\cdot x\cdot y}$.

Это означает, что скрученные кривые Гессе бирационально эквивалентны эллиптическим кривым в форме Вейерштрасса .

Интересно проанализировать групповой закон эллиптической кривой, определяющий формулы сложения и удвоения (поскольку атаки простого анализа мощности и дифференциального анализа мощности основаны на времени выполнения этих операций). В общем случае групповой закон определяется следующим образом: если три точки лежат на одной прямой, то они в сумме дают ноль. Таким образом, по этому свойству явные формулы для группового закона зависят от формы кривой.

Пусть P = ( x ₁ , y ₁ ) — точка; тогда ее обратная точка — − P = ( x ₁ / y ₁ , 1/ y ₁ ) на плоскости. В проективных координатах пусть P = ( X  : Y  : Z ) — точка; тогда − P = ( X ₁ / Y ₁  : 1/ Y ₁  : Z ) — ее обратная точка. Кроме того, нейтральный элемент в аффинной плоскости — θ = (0, −1) , а в проективных координатах — θ = (0 : −1 : 1) .

В некоторых приложениях эллиптических кривых для криптографии и целочисленной факторизации необходимо вычислять скалярные кратные P , скажем, [ n ] P для некоторого целого числа n , и они основаны на методе удвоения и сложения , поэтому необходимы формулы сложения и удвоения. Используя аффинные координаты, формулы сложения и удвоения для этой эллиптической кривой следующие.

Пусть P = ( x ₁ , y ₁ ) и Q = ( x ₂ , y ₂ ) ; тогда R = P + Q = ( x ₃ , y ₃ ) , где

${\displaystyle x_{3}={\frac {x_{1}-y_{1}^{2}\cdot x_{2}\cdot y_{2}}{a\cdot x_{1}\cdot y_{1}\cdot x_{2}^{2}-y_{2}}}}$

${\displaystyle y_{3}={\frac {y_{1}\cdot y_{2}^{2}-a\cdot x_{1}^{2}\cdot x_{2}}{a\cdot x_{1}\cdot y_{1}\cdot x_{2}^{2}-y_{2}}}}$

Пусть P = ( x , y ) ; тогда [2] P = ( x ₁ , y ₁ ) , где

${\displaystyle x_{1}={\frac {xy^{3}\cdot x}{a\cdot y\cdot x^{3}-y}}}$

${\displaystyle y_{1}={\frac {y^{3}-a\cdot x^{3}}{a\cdot y\cdot x^{3}-y}}}$

Здесь приведены некоторые эффективные алгоритмы закона сложения и удвоения; они могут быть важны в криптографических вычислениях, и для этой цели используются проективные координаты.

${\displaystyle A=X_{1}\cdot Z_{2}}$

${\displaystyle B=Z_{1}\cdot Z_{2}}$

${\displaystyle C=Y_{1}X_{2}}$

${\displaystyle D=Y_{1}\cdot Y_{2}}$

${\displaystyle E=Z_{1}\cdot Y_{2}}$

${\displaystyle F=a\cdot X_{1}\cdot X_{2}}$

${\displaystyle X_{3}=A\cdot BC\cdot D}$

${\displaystyle Y_{3}=D\cdot EF\cdot A}$

${\displaystyle Z_{3}=F\cdot CB\cdot E}$

Стоимость этого алгоритма составляет 12 умножений, одно умножение на константу и 3 сложения.

Пример:

Пусть P ₁ = (1 : −1 : 1) и P ₂ = (−2 : 1 : 1) — точки на скрученной кривой Гессе с ( a , d ) = (2, −2) . Тогда R = P ₁ + P ₂ определяется как:

${\displaystyle A=-1;B=-1;C=-1;D=-1;E=1;F=2;}$

${\displaystyle x_{3}=0}$

${\displaystyle y_{3}=-3}$

${\displaystyle z_{3}=-3}$

То есть, R = (0 : −3 : −3) .

${\displaystyle D=X_{1}^{3}}$

${\displaystyle E=Y_{1}^{3}}$

${\displaystyle F=Z_{1}^{3}}$

${\displaystyle G=a\cdot D}$

${\displaystyle X_{3}=X_{1}\cdot (EF)}$

${\displaystyle Y_{3}=Z_{1}\cdot (GE)}$

${\displaystyle Z_{3}=Y_{1}\cdot (FG)}$

Стоимость этого алгоритма составляет 3 умножения, одно умножение на константу, 3 сложения и 3 возведения в куб. Это лучший результат, полученный для этой кривой.

Пример:

Пусть P = (1 : −1 : 1) — точка на кривой, определяемая уравнением ₍ a , d ) = (2, −2) _{, как} указано выше; тогда R = [2] P = ( x3 , y3 , z3 ) определяется по формуле:

${\displaystyle D=1;E=-1;F=1;G=-4;}$

${\displaystyle x_{3}=-2}$

${\displaystyle y_{3}=-3}$

${\displaystyle z_{3}=-5}$

То есть, R = (−2 : −3 : 5) .

• Таблица стоимости операций в эллиптических кривых

• http://hyperelliptic.org/EFD/g1p/index.html

• http://hyperelliptic.org/EFD/g1p/auto-twistedhessian.html