Алгори тм Шу фа ефективний алгоритм підрахунку числа точок на еліптичній кривій над скінченним полем Має застосування в

Нехай ${\displaystyle E}$ – еліптична крива над скінченним полем ${\displaystyle \mathbb {F} _{q}}$, де ${\displaystyle q=p^{n}}$, ${\displaystyle p}$ – просте число та ${\displaystyle n\in \mathbb {N} }$. Над полем, характеристика якого не дорівнює 2 або 3, еліптична крива може бути задана рівнянням Вейєрштрасса

${\displaystyle y^{2}=x^{3}+Ax+B~}$,

де ${\displaystyle A,B\in \mathbb {F} _{q}}$. Множина точок, визначених над ${\displaystyle \mathbb {F} _{q}}$, складається з розв'язків ${\displaystyle (x,y)\in \mathbb {F} _{q}^{2}}$, які задовольняють рівняння кривої, та точки на нескінченності ${\displaystyle O}$. Застосовуючи (груповий закон) на еліптичних кривих до цієї множини отримаємо абелеву групу ${\displaystyle E(\mathbb {F} _{q})}$, у якій ${\displaystyle O}$ буде нейтральним елементом. Кількість точок на еліптичній кривій дорівнює потужності множини ${\displaystyle E(\mathbb {F} _{q})}$. Підхід Шуфа для обчислення потужності ${\displaystyle \#E(\mathbb {F} _{q})}$ використовує теорему Гассе про еліптичні криві разом з китайською теоремою про остачі та ^[en].

Теорема Гассе стверджує, що якщо ${\displaystyle E(\mathbb {F} _{q})}$ є еліптичною кривою над скінченним полем ${\displaystyle \mathbb {F} _{q}}$, то ${\displaystyle \#E(\mathbb {F} _{q})}$ задовольняє нерівність

${\displaystyle \mid q+1-\#E(\mathbb {F} _{q})\mid \leq 2{\sqrt {q}}.}$

Цей сильний результат, отриманий Гассе в 1934 році, спрощує нашу задачу, звужуючи до скінченного (хоча і великого) набору можливих значень ${\displaystyle \#E(\mathbb {F} _{q})}$. Позначимо ${\displaystyle t=q+1-\#E(\mathbb {F} _{q})}$, обчислення значення ${\displaystyle t}$ по модулю ${\displaystyle N>4{\sqrt {q}}}$ буде достатньо для знаходження самого значення ${\displaystyle t}$, а з нього – значення ${\displaystyle \#E(\mathbb {F} _{q})}$. Хоча немає прямого ефективного шляху обчислення ${\displaystyle t{\pmod {N}}}$ для довільного ${\displaystyle N}$, проте можна обчислити ${\displaystyle t{\pmod {l}}}$ для малого простого числа ${\displaystyle l}$ більш ефективно. Виберемо множину різних простих чисел ${\displaystyle S=\{l_{1},l_{2},...,l_{r}\}}$, для яких ${\displaystyle \prod l_{i}=N>4{\sqrt {q}}}$. Після отримання значень ${\displaystyle t{\pmod {l_{i}}}}$ для кожного ${\displaystyle l_{i}\in S}$ обчислимо ${\displaystyle t{\pmod {N}}}$ за допомогою китайської теореми про лишки.

Для того, щоб обчислити ${\displaystyle t{\pmod {l}}}$ для простого ${\displaystyle l\neq p}$, використаємо ендоморфізм Фробеніуса ${\displaystyle \phi }$ та поліноми ділення. Розгляд простих чисел ${\displaystyle l\neq p}$ не є проблемою, бо завжди можна вибрати більше просте число, яке займе місце ${\displaystyle p}$, так щоб добуток вище задовольняв відповідну нерівність.

Нехай ${\displaystyle E}$ – еліптична крива, визначена над ${\displaystyle \mathbb {F} _{q}}$, розглянемо точки на ${\displaystyle E}$ над ${\displaystyle {\bar {\mathbb {F} }}_{q}}$, де ${\displaystyle {\bar {\mathbb {F} }}_{q}}$ – алгебраїчне замиканням ${\displaystyle \mathbb {F} _{q}}$. Тобто ми дозволяємо точки з координатами в ${\displaystyle {\bar {\mathbb {F} }}_{q}}$. Ендоморфізм Фробеніуса ${\displaystyle {\bar {\mathbb {F} }}_{q}}$ над ${\displaystyle \mathbb {F} _{q}}$ розширює еліптичну криву відображенням ${\displaystyle \phi :(x,y)\mapsto (x^{q},y^{q})}$.

Це відображення тотожне на ${\displaystyle E(\mathbb {F} _{q})}$, можна розширити його точкою на нескінченності ${\displaystyle O}$, що зробить його морфізмом з ${\displaystyle E({\bar {\mathbb {F} }}_{q})}$ на себе.

Ендоморфізм Фробеніуса задовольняє квадратне рівняння, пов'язане з потужністю ${\displaystyle E(\mathbb {F} _{q})}$, за наступною теоремою:

Тоді для всіх ${\displaystyle P=(x,y)\in E}$ матимемо ${\displaystyle (x^{q^{2}},y^{q^{2}})+q(x,y)=t(x^{q},y^{q})}$, де «${\displaystyle +}$» – операція додавання точок на еліптичній кривій за груповим законом, а ${\displaystyle q(x,y)}$ та ${\displaystyle t(x^{q},y^{q})}$ – множення точок ${\displaystyle (x,y)}$ та ${\displaystyle (x^{q},y^{q})}$ на скаляри ${\displaystyle q}$ та ${\displaystyle t}$, відповідно.

Можна спробувати обчислити ${\displaystyle (x^{q^{2}},y^{q^{2}})}$, ${\displaystyle (x^{q},y^{q})}$ і ${\displaystyle q(x,y)}$ як функції на ^[en]${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B)}$ кривої ${\displaystyle E}$, а потім шукати значення ${\displaystyle t}$, яке задовольняє рівняння. Однак, на практиці, коли степені стають занадто великими, такий підхід буде недоцільним.

Ідея Шуфа полягає в тому, щоб провести ці обчислення, обмежуючись точками порядку ${\displaystyle l}$ для різних малих простих чисел ${\displaystyle l}$. Фіксуючи непарне просте число ${\displaystyle l}$, переходимо до задачі знаходження ${\displaystyle t_{l}}$, визначеного як ${\displaystyle t{\pmod {l}}}$, для заданого ${\displaystyle l\neq 2,p}$. Якщо точка ${\displaystyle (x,y)}$ знаходиться в підгрупі ${\displaystyle l}$-кручення ${\displaystyle E[l]=\{P\in E({\bar {\mathbb {F} _{q}}})\mid lP=O\}}$, то ${\displaystyle qP={\bar {q}}P}$, де ${\displaystyle {\bar {q}}}$ – єдине ціле, таке що ${\displaystyle q\equiv {\bar {q}}{\pmod {l}}}$ та ${\displaystyle \mid {\bar {q}}\mid <l/2}$. Зауважимо, що ${\displaystyle \phi (O)=O}$ і для будь-якого цілого ${\displaystyle r}$ виконується ${\displaystyle r\phi (P)=\phi (rP)}$. Таким чином, ${\displaystyle \phi (P)}$ матиме такий же порядок як і ${\displaystyle P}$. Тоді для ${\displaystyle (x,y)\in E[l]}$ матимемо ${\displaystyle t(x^{q},y^{q})={\bar {t}}(x^{q},y^{q})}$ при ${\displaystyle t\equiv {\bar {t}}{\pmod {l}}}$. Таким чином, задача зводиться до розв'язання рівняння

${\displaystyle (x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)\equiv {\bar {t}}(x^{q},y^{q})}$, де ${\displaystyle {\bar {q}},{\bar {t}}\in [-(l-1)/2,(l-1)/2]}$.

Позначимо ${\displaystyle (X(x,y),Y(x,y)):=(x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)}$ (пам'ятаємо, що ми працюємо по модулю l).

Скалярний добуток ${\displaystyle {\bar {q}}(x,y)}$ можна обчислити методом подвоїти та додати або використовуючи ${\displaystyle {\bar {q}}}$-ий поліном ділення. Останній підхід дає:

${\displaystyle {\bar {q}}(x,y)=(x_{\bar {q}},y_{\bar {q}})=\left(x-{\frac {\psi _{{\bar {q}}-1}\psi _{{\bar {q}}+1}}{\psi _{\bar {q}}^{2}}},{\frac {\psi _{2{\bar {q}}}}{2\psi _{\bar {q}}^{4}}}\right)}$,

де ${\displaystyle \psi _{n}}$ – n-ий поліном ділення. Функція ${\displaystyle y_{\bar {q}}/y}$ залежить тільки від x, позначимо її через ${\displaystyle \theta (x)}$.

Розглянемо два випадки: ${\displaystyle (x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)}$ та ${\displaystyle (x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)}$ (тут рівність по модулю ${\displaystyle \psi _{l}}$).

Випадок 1: ${\displaystyle (x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)}$

Використовуючи формулу додавання для групи ${\displaystyle E(\mathbb {F} _{q})}$ отримаємо:

${\displaystyle X(x,y)=\left({\frac {y^{q^{2}}-y_{\bar {q}}}{x^{q^{2}}-x_{\bar {q}}}}\right)^{2}-x^{q^{2}}-x_{\bar {q}}.}$

У випадку рівності таке обчислення буде неправильним.

Далі можна звузити вибір координати x до двох можливих варіантів, різних за знаком та рівних по модулю. Потім використовуючи y-координату знайдемо який з варіантів має місце.

Покажемо, шо ${\displaystyle X}$ є функцією тільки від ${\displaystyle x}$. Розглянемо ${\displaystyle (y^{q^{2}}-y_{\bar {q}})^{2}=y^{2}(y^{q^{2}-1}-y_{\bar {q}}/y)^{2}}$. Замінимо ${\displaystyle y^{2}}$ на ${\displaystyle x^{3}+Ax+B}$, тоді отримаємо

${\displaystyle (x^{3}+Ax+B)((x^{3}+Ax+B)^{\frac {q^{2}-1}{2}}-\theta (x))}$

Оскільки ${\displaystyle q^{2}-1}$ парне, то така заміна означає, що ми працюємо у факторкільці ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B)}$.

Якщо ${\displaystyle X\equiv x_{\bar {t}}^{q}{\bmod {\psi }}_{l}(x)}$ для деякого ${\displaystyle {\bar {t}}\in [0,(l-1)/2]}$, то виконується рівність

${\displaystyle \phi ^{2}(P)\mp {\bar {t}}\phi (P)+{\bar {q}}P=O}$

для всіх ${\displaystyle P\in E[l]}$.

Як згадувалося раніше, використовуючи ${\displaystyle Y}$ та ${\displaystyle y_{\bar {t}}^{q}}$, можна визначити, яке з двох значень ${\displaystyle {\bar {t}}}$ (${\displaystyle {\bar {t}}}$ або ${\displaystyle -{\bar {t}}}$) працює. Це дає значення ${\displaystyle t\equiv {\bar {t}}{\pmod {l}}}$. Далі алгоритм Шуфа зберігає значення ${\displaystyle {\bar {t}}{\pmod {l}}}$ в змінній ${\displaystyle t_{l}}$ для кожного розглянутого простого l.

Випадок 2: ${\displaystyle (x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)}$

Спочатку припустимо, що ${\displaystyle (x^{q^{2}},y^{q^{2}})=+{\bar {q}}(x,y)}$. Для точки ${\displaystyle P\in E(\mathbb {F} _{q})}$, що задовольняє це, з характеристичного рівняння отримуємо ${\displaystyle {\bar {t}}\phi (P)=2{\bar {q}}P}$. А отже, ${\displaystyle {\bar {t}}^{2}{\bar {q}}P\equiv (2q)^{2}P{\pmod {l}}}$. З цього випливає, що ${\displaystyle q}$ є квадратом по модулю ${\displaystyle l}$. Нехай ${\displaystyle q\equiv w^{2}{\pmod {l}}}$. Обчислимо ${\displaystyle w\phi (x,y)}$ в ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})}$ та перевіримо чи ${\displaystyle {\bar {q}}(x,y)=w\phi (x,y)}$. Якщо це так, то ${\displaystyle t_{l}=\pm 2w{\pmod {l}}}$, де знак залежить від y-координати.

Якщо ${\displaystyle q}$ не є квадратом по модулю l або рівність не виконується для жодного ${\displaystyle w}$, то припущення, що ${\displaystyle (x^{q^{2}},y^{q^{2}})=+{\bar {q}}(x,y)}$ невірне, тому ${\displaystyle (x^{q^{2}},y^{q^{2}})=-{\bar {q}}(x,y)}$. Характеристичне рівняння дає ${\displaystyle t_{l}=0}$.

Додатковий випадок: ${\displaystyle l=2}$

Якщо згадати, наші початкові міркування опускають випадок ${\displaystyle l=2}$. Припускалось, що q непарне та зокрема, ${\displaystyle t_{2}\equiv 0{\pmod {2}}}$ тоді і тільки тоді, коли ${\displaystyle E(\mathbb {F} _{q})}$ містить елемент порядку 2. За означенням додавання в цій групі будь-який елемент порядку 2 має вигляд ${\displaystyle (x_{0},0)}$. Таким чином ${\displaystyle t_{2}\equiv 0{\pmod {2}}}$ тоді і тільки тоді, коли ${\displaystyle x^{3}+Ax+B}$ має корінь з ${\displaystyle \mathbb {F} _{q}}$ тоді і тільки тоді, коли ${\displaystyle {\text{НСД}}(x^{q}-x,x^{3}+Ax+B)\neq 1}$.

 Ввід: 1. Еліптична крива ${\displaystyle E=y^{2}-x^{3}-Ax-B}$; 2. Натуральне число ${\displaystyle q=p^{b},b\in \mathbb {N} }$, для скінченного поля ${\displaystyle F_{q}}$. Вивід: Число точок E над ${\displaystyle F_{q}}$. Вибираємо множину непарних простих чисел S, яка не містить p, така що ${\displaystyle N=\prod _{l\in S}l>4{\sqrt {q}}.}$ Покладемо ${\displaystyle t_{2}=0}$ якщо ${\displaystyle {\text{НСД}}(x^{q}-x,x^{3}+Ax+B)\neq 1}$, інакше ${\displaystyle t_{2}=1}$. Обчислюємо поліном ділення ${\displaystyle \psi _{l}}$. Всі обчислення в циклі нижче виконуються в кільці ${\displaystyle \mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l}).}$ Для ${\displaystyle l\in S}$ виконуємо: Нехай ${\displaystyle {\bar {q}}}$  – єдине ціле таке що, ${\displaystyle q\equiv {\bar {q}}{\pmod {l}}}$ and ${\displaystyle \mid {\bar {q}}\mid <l/2}$. Обчислюємо ${\displaystyle (x^{q},y^{q})}$, ${\displaystyle (x^{q^{2}},y^{q^{2}})}$ та ${\displaystyle (x_{\bar {q}},y_{\bar {q}})}$. Якщо ${\displaystyle x^{q^{2}}\neq x_{\bar {q}}}$, то Обчислюємо ${\displaystyle (X,Y)}$. для ${\displaystyle 1\leq {\bar {t}}\leq (l-1)/2}$ виконуємо: якщо ${\displaystyle X=x_{\bar {t}}^{q}}$, то якщо ${\displaystyle Y=y_{\bar {t}}^{q}}$, то ${\displaystyle t_{l}={\bar {t}}}$; інакше ${\displaystyle t_{l}=-{\bar {t}}}$. інакше якщо q є квадратом по модулю l, то обчислюємо w, для якого ${\displaystyle q\equiv w^{2}{\pmod {l}}}$ обчислюємо ${\displaystyle w(x^{q},y^{q})}$ якщо ${\displaystyle w(x^{q},y^{q})=(x^{q^{2}},y^{q^{2}})}$, то ${\displaystyle t_{l}=2w}$ інакше якщо ${\displaystyle w(x^{q},y^{q})=(x^{q^{2}},-y^{q^{2}})}$, то ${\displaystyle t_{l}=-2w}$ інакше ${\displaystyle t_{l}=0}$ інакше ${\displaystyle t_{l}=0}$ Використовуємо китайську теорему про остачі для обчислення t по модулю N з рівнянь ${\displaystyle t\equiv t_{l}{\pmod {l}}}$, де ${\displaystyle l\in S}$. Виводимо ${\displaystyle q+1-t}$. 

Більшість обчислень припадає на ${\displaystyle \phi (P)}$ та ${\displaystyle \phi ^{2}(P)}$ для кожного простого ${\displaystyle l}$, тобто на обчислення ${\displaystyle x^{q}}$, ${\displaystyle y^{q}}$, ${\displaystyle x^{q^{2}}}$, ${\displaystyle y^{q^{2}}}$ для кожного простого ${\displaystyle l}$. Ці обчислення включають піднесення до степені ${\displaystyle R=\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})}$ та потребують ${\displaystyle O(\log q)}$ множень. Степінь ${\displaystyle \psi _{l}}$ дорівнює ${\displaystyle {\frac {l^{2}-1}{2}}}$, тобто ${\displaystyle O(l^{2})}$. За теоремою про розподіл простих чисел існує близько ${\displaystyle O(\log q)}$ простих чисел розміру ${\displaystyle O(\log q)}$, це дає ${\displaystyle l=O(\log q)}$, маємо ${\displaystyle O(l^{2})=O(\log ^{2}q)}$. Таким чином, множення в кільці ${\displaystyle R}$ потребує ${\displaystyle O(\log ^{4}q)}$ множень ${\displaystyle \mathbb {F} _{q}}$, що в свою чергу потребує ${\displaystyle O(\log ^{2}q)}$ бітових операцій. Загалом, кількість бітових операцій для кожного простого ${\displaystyle l}$ дорівнює ${\displaystyle O(\log ^{7}q)}$. Оскільки обчислення необхідно провести для ${\displaystyle O(\log q)}$ простих чисел, то повна складність алгоритму Шуфа дорівнює ${\displaystyle O(\log ^{8}q)}$. Використання швидких операцій з поліномами та цілочисельної арифметики скорочує цей час до ${\displaystyle {\tilde {O}}(\log ^{5}q)}$. Тут ${\displaystyle {\tilde {O}}}$ означає ${\displaystyle O}$ зі знехтуваними логарифмічним множниками.

У 1990-х роках ^[en], а за ним ^[en], вдосконалили алгоритм Шуфа через обмеження множини простих чисел ${\displaystyle S=\{l_{1},\ldots ,l_{s}\}}$, розглянутої раніше, до простих чисел певного виду. Просте число ${\displaystyle l}$ називається простим числом Елкіса, якщо характеристичне рівняння ${\displaystyle \phi ^{2}-t\phi +q=0}$ розкладається над ${\displaystyle \mathbb {F} _{l}}$, а прості числа Аткіна – це прості числа, які не є простими Елкіса. Аткін показав як комбінувати інформацію, отриману з простих чисел Аткіна, з інформацією, отриманою з простих чисел Елкіса, щоб отримати більш ефективний алгоритм, який отримав назву алгоритм Шуфа — Елкіса — Аткіна. Перша задача, яку потрібно вирішити, – чи є задане просте число простим Аткіна, чи простим Елкіса. Для цього використовуються модулярні поліноми, які виникають при вивченні модулярних форм та інтерпретації еліптичних кривих над полем комплексних чисел як решіток. Після того, як визначимо, у якому випадку перебуваємо, замість того, щоб використовувати поліноми ділення, ми зможемо працювати з поліномами, які мають нижчий степінь, ніж відповідні поліноми ділення: ${\displaystyle O(l)}$ замість ${\displaystyle O(l^{2})}$. Для ефективної реалізації використовуються ймовірнісні алгоритми знаходження коренів, що робить алгоритм алгоритмом Лас-Вегаса, а не детермінованим алгоритмом.

При евристичному припущенні, що приблизно половина простих чисел, які не перевищують ${\displaystyle O(\log q)}$, є простими числами Елкіса, це дає більш ефективний алгоритм ніж алгоритм Шуфа з очікуваним часом роботи ${\displaystyle O(\log ^{6}q)}$ при використанні звичайної арифметики та ${\displaystyle {\tilde {O}}(\log ^{4}q)}$ при використанні швидкої арифметики. Хоч це евристичне припущення вірне для багатьох еліптичних кривих, але невідомо чи воно виконується в загальному випадку, навіть при істинності узагальненої гіпотези Рімана.

• R. Schoof: Elliptic Curves over Finite Fields and the Computation of Square Roots mod p. Math. Comp., 44(170):483–494, 1985. Available at http://www.mat.uniroma2.it/~schoof/ctpts.pdf [ 4 березня 2021 у Wayback Machine.]
• R. Schoof: Counting Points on Elliptic Curves over Finite Fields. J. Theor. Nombres Bordeaux 7:219–254, 1995. Available at http://www.mat.uniroma2.it/~schoof/ctg.pdf [ 27 січня 2021 у Wayback Machine.]
• G. Musiker: Schoof's Algorithm for Counting Points on ${\displaystyle E(\mathbb {F} _{q})}$. Available at http://www.math.umn.edu/~musiker/schoof.pdf [ 3 березня 2016 у Wayback Machine.]
• V. Müller: Die Berechnung der Punktanzahl von elliptischen kurven über endlichen Primkörpern. Master's Thesis. Universität des Saarlandes, Saarbrücken, 1991. Available at http://lecturer.ukdw.ac.id/vmueller/publications.php [ 28 липня 2020 у Wayback Machine.]
• A. Enge: Elliptic Curves and their Applications to Cryptography: An Introduction. Kluwer Academic Publishers, Dordrecht, 1999.
• L. C. Washington: Elliptic Curves: Number Theory and Cryptography, 2nd Ed. Chapman & Hall/CRC, New York, 2008.
• Н. Коблиц: Курс теории чисел и криптографии, Научное издательство «ТВП», 2001