Алгоритм Шуфа

Алгори́тм Шу́фа — ефективний алгоритм підрахунку числа точок на еліптичній кривій над скінченним полем. Має застосування в еліптичній криптографії, де важливо знати кількість точок, щоб оцінити складність розв'язання задачі дискретного логарифма в групі точок на еліптичній кривій.

Алгоритм опублікував Шаблон:Не перекладено в 1985 році. Це був теоретичний прорив, бо це перший детермінований алгоритм, який виконується за поліноміальний час, для Шаблон:Не перекладено. До алгоритму Шуфа підходи до підрахунку точок на еліптичних кривих були здебільшого трудомісткими та виконувались за експоненціальний час.

Нехай ${\displaystyle E}$ – еліптична крива над скінченним полем ${\displaystyle {𝔽}_q}$, де ${\displaystyle q=p^n}$, ${\displaystyle p}$ – просте число та ${\displaystyle n\in \mathbb{N}}$. Над полем, характеристика якого не дорівнює 2 або 3, еліптична крива може бути задана рівнянням Вейєрштрасса

${\displaystyle y^2=x^3+Ax+B}$,

де ${\displaystyle A,B\in {𝔽}_q}$. Множина точок, визначених над ${\displaystyle {𝔽}_q}$, складається з розв'язків ${\displaystyle (x,y)\in {𝔽}_q^2}$, які задовольняють рівняння кривої, та точки на нескінченності ${\displaystyle O}$. Застосовуючи груповий закон на еліптичних кривих до цієї множини отримаємо абелеву групу ${\displaystyle E({𝔽}_q)}$, у якій ${\displaystyle O}$ буде нейтральним елементом. Кількість точок на еліптичній кривій дорівнює потужності множини ${\displaystyle E({𝔽}_q)}$. Підхід Шуфа для обчислення потужності ${\displaystyle \mathrm{\#}E({𝔽}_q)}$ використовує теорему Гассе про еліптичні криві разом з китайською теоремою про остачі та Шаблон:Не перекладено.

Шаблон:Main

Теорема Гассе стверджує, що якщо ${\displaystyle E({𝔽}_q)}$ є еліптичною кривою над скінченним полем ${\displaystyle {𝔽}_q}$, то ${\displaystyle \mathrm{\#}E({𝔽}_q)}$ задовольняє нерівність

${\displaystyle \mid q+1-\mathrm{\#}E({𝔽}_q)\mid \le 2\sqrt{q}.}$

Цей сильний результат, отриманий Гассе в 1934 році, спрощує нашу задачу, звужуючи до скінченного (хоча і великого) набору можливих значень ${\displaystyle \mathrm{\#}E({𝔽}_q)}$. Позначимо ${\displaystyle t=q+1-\mathrm{\#}E({𝔽}_q)}$, обчислення значення ${\displaystyle t}$ по модулю ${\displaystyle N>4\sqrt{q}}$ буде достатньо для знаходження самого значення ${\displaystyle t}$, а з нього – значення ${\displaystyle \mathrm{\#}E({𝔽}_q)}$. Хоча немає прямого ефективного шляху обчислення ${\displaystyle t(\mathrm{mod}N)}$ для довільного ${\displaystyle N}$, проте можна обчислити ${\displaystyle t(\mathrm{mod}l)}$ для малого простого числа ${\displaystyle l}$ більш ефективно. Виберемо множину різних простих чисел ${\displaystyle S=\{l_1,l_2,...,l_r\}}$, для яких ${\displaystyle \prod l_i=N>4\sqrt{q}}$. Після отримання значень ${\displaystyle t(\mathrm{mod}{l}_i)}$ для кожного ${\displaystyle l_i\in S}$ обчислимо ${\displaystyle t(\mathrm{mod}N)}$ за допомогою китайської теореми про лишки.

Для того, щоб обчислити ${\displaystyle t(\mathrm{mod}l)}$ для простого ${\displaystyle l\ne p}$, використаємо ендоморфізм Фробеніуса ${\displaystyle \varphi }$ та поліноми ділення. Розгляд простих чисел ${\displaystyle l\ne p}$ не є проблемою, бо завжди можна вибрати більше просте число, яке займе місце ${\displaystyle p}$, так щоб добуток вище задовольняв відповідну нерівність.

Нехай ${\displaystyle E}$ – еліптична крива, визначена над ${\displaystyle {𝔽}_q}$, розглянемо точки на ${\displaystyle E}$ над ${\displaystyle {\overline{𝔽}}_q}$, де ${\displaystyle {\overline{𝔽}}_q}$ – алгебраїчне замиканням ${\displaystyle {𝔽}_q}$. Тобто ми дозволяємо точки з координатами в ${\displaystyle {\overline{𝔽}}_q}$. Ендоморфізм Фробеніуса ${\displaystyle {\overline{𝔽}}_q}$ над ${\displaystyle {𝔽}_q}$ розширює еліптичну криву відображенням ${\displaystyle \varphi :(x,y)\mapsto (x^q,y^q)}$.

Це відображення тотожне на ${\displaystyle E({𝔽}_q)}$, можна розширити його точкою на нескінченності ${\displaystyle O}$, що зробить його морфізмом з ${\displaystyle E({\overline{𝔽}}_q)}$ на себе.

Ендоморфізм Фробеніуса задовольняє квадратне рівняння, пов'язане з потужністю ${\displaystyle E({𝔽}_q)}$, за наступною теоремою:

Шаблон:Теорема

Тоді для всіх ${\displaystyle P=(x,y)\in E}$ матимемо ${\displaystyle (x^{q^2},y^{q^2})+q(x,y)=t(x^q,y^q)}$, де «${\displaystyle +}$» – операція додавання точок на еліптичній кривій за груповим законом, а ${\displaystyle q(x,y)}$ та ${\displaystyle t(x^q,y^q)}$ – множення точок ${\displaystyle (x,y)}$ та ${\displaystyle (x^q,y^q)}$ на скаляри ${\displaystyle q}$ та ${\displaystyle t}$, відповідно.

Можна спробувати обчислити ${\displaystyle (x^{q^2},y^{q^2})}$, ${\displaystyle (x^q,y^q)}$ і ${\displaystyle q(x,y)}$ як функції на Шаблон:Не перекладено ${\displaystyle {𝔽}_q[x,y]/(y^2-x^3-Ax-B)}$ кривої ${\displaystyle E}$, а потім шукати значення ${\displaystyle t}$, яке задовольняє рівняння. Однак, на практиці, коли степені стають занадто великими, такий підхід буде недоцільним.

Ідея Шуфа полягає в тому, щоб провести ці обчислення, обмежуючись точками порядку ${\displaystyle l}$ для різних малих простих чисел ${\displaystyle l}$. Фіксуючи непарне просте число ${\displaystyle l}$, переходимо до задачі знаходження ${\displaystyle t_l}$, визначеного як ${\displaystyle t(\mathrm{mod}l)}$, для заданого ${\displaystyle l\ne 2,p}$. Якщо точка ${\displaystyle (x,y)}$ знаходиться в підгрупі ${\displaystyle l}$-кручення ${\displaystyle E[l]=\{P\in E(\overline{{𝔽}_q})\mid lP=O\}}$, то ${\displaystyle qP=\overline{q}P}$, де ${\displaystyle \overline{q}}$ – єдине ціле, таке що ${\displaystyle q\equiv \overline{q}(\mathrm{mod}l)}$ та ${\displaystyle \mid \overline{q}\mid <l/2}$. Зауважимо, що ${\displaystyle \varphi (O)=O}$ і для будь-якого цілого ${\displaystyle r}$ виконується ${\displaystyle r\varphi (P)=\varphi (rP)}$. Таким чином, ${\displaystyle \varphi (P)}$ матиме такий же порядок як і ${\displaystyle P}$. Тоді для ${\displaystyle (x,y)\in E[l]}$ матимемо ${\displaystyle t(x^q,y^q)=\overline{t}(x^q,y^q)}$ при ${\displaystyle t\equiv \overline{t}(\mathrm{mod}l)}$. Таким чином, задача зводиться до розв'язання рівняння

${\displaystyle (x^{q^2},y^{q^2})+\overline{q}(x,y)\equiv \overline{t}(x^q,y^q)}$, де ${\displaystyle \overline{q},\overline{t}\in [-(l-1)/2,(l-1)/2]}$.

Позначимо ${\displaystyle (X(x,y),Y(x,y)):=(x^{q^2},y^{q^2})+\overline{q}(x,y)}$ (пам'ятаємо, що ми працюємо по модулю Шаблон:Mvar).

Скалярний добуток ${\displaystyle \overline{q}(x,y)}$ можна обчислити методом подвоїти та додати або використовуючи ${\displaystyle \overline{q}}$-ий поліном ділення. Останній підхід дає:

${\displaystyle \overline{q}(x,y)=(x_{\overline{q}},y_{\overline{q}})=(x-\frac{{\psi }_{\overline{q}-1}{\psi }_{\overline{q}+1}}{{\psi }_{\overline{q}}^2},\frac{{\psi }_{2\overline{q}}}{2{\psi }_{\overline{q}}^4})}$,

де ${\displaystyle {\psi }_n}$ – Шаблон:Mvar-ий поліном ділення. Функція ${\displaystyle y_{\overline{q}}/y}$ залежить тільки від Шаблон:Mvar, позначимо її через ${\displaystyle \theta (x)}$.

Розглянемо два випадки: ${\displaystyle (x^{q^2},y^{q^2})\ne \pm \overline{q}(x,y)}$ та ${\displaystyle (x^{q^2},y^{q^2})=\pm \overline{q}(x,y)}$ (тут рівність по модулю ${\displaystyle {\psi }_l}$).

Випадок 1: ${\displaystyle (x^{q^2},y^{q^2})\ne \pm \overline{q}(x,y)}$

Використовуючи формулу додавання для групи ${\displaystyle E({𝔽}_q)}$ отримаємо:

${\displaystyle X(x,y)={\left(\frac{y^{q^2}-y_{\overline{q}}}{x^{q^2}-x_{\overline{q}}}\right)}^2-x^{q^2}-x_{\overline{q}}.}$

У випадку рівності таке обчислення буде неправильним.

Далі можна звузити вибір координати Шаблон:Mvar до двох можливих варіантів, різних за знаком та рівних по модулю. Потім використовуючи Шаблон:Mvar-координату знайдемо який з варіантів має місце.

Покажемо, шо ${\displaystyle X}$ є функцією тільки від ${\displaystyle x}$. Розглянемо ${\displaystyle (y^{q^2}-y_{\overline{q}}{)}^2=y^2(y^{q^2-1}-y_{\overline{q}}/y{)}^2}$. Замінимо ${\displaystyle y^2}$ на ${\displaystyle x^3+Ax+B}$, тоді отримаємо

${\displaystyle (x^3+Ax+B)((x^3+Ax+B{)}^{\frac{q^2-1}{2}}-\theta (x))}$

Оскільки ${\displaystyle q^2-1}$ парне, то така заміна означає, що ми працюємо у факторкільці ${\displaystyle {𝔽}_q[x,y]/(y^2-x^3-Ax-B)}$.

Якщо ${\displaystyle X\equiv x_{\overline{t}}^q{mod\psi }_l(x)}$ для деякого ${\displaystyle \overline{t}\in [0,(l-1)/2]}$, то виконується рівність

${\displaystyle {\varphi }^2(P)\mp \overline{t}\varphi (P)+\overline{q}P=O}$

для всіх ${\displaystyle P\in E[l]}$.

Як згадувалося раніше, використовуючи ${\displaystyle Y}$ та ${\displaystyle y_{\overline{t}}^q}$, можна визначити, яке з двох значень ${\displaystyle \overline{t}}$ (${\displaystyle \overline{t}}$ або ${\displaystyle -\overline{t}}$) працює. Це дає значення ${\displaystyle t\equiv \overline{t}(\mathrm{mod}l)}$. Далі алгоритм Шуфа зберігає значення ${\displaystyle \overline{t}(\mathrm{mod}l)}$ в змінній ${\displaystyle t_l}$ для кожного розглянутого простого Шаблон:Mvar.

Випадок 2: ${\displaystyle (x^{q^2},y^{q^2})\ne \pm \overline{q}(x,y)}$

Спочатку припустимо, що ${\displaystyle (x^{q^2},y^{q^2})=+\overline{q}(x,y)}$. Для точки ${\displaystyle P\in E({𝔽}_q)}$, що задовольняє це, з характеристичного рівняння отримуємо ${\displaystyle \overline{t}\varphi (P)=2\overline{q}P}$. А отже, ${\displaystyle {\overline{t}}^2\overline{q}P\equiv (2q{)}^{2}P(\mathrm{mod}l)}$. З цього випливає, що ${\displaystyle q}$ є квадратом по модулю ${\displaystyle l}$. Нехай ${\displaystyle q\equiv w^2(\mathrm{mod}l)}$. Обчислимо ${\displaystyle w\varphi (x,y)}$ в ${\displaystyle {𝔽}_q[x,y]/(y^2-x^3-Ax-B,{\psi }_l)}$ та перевіримо чи ${\displaystyle \overline{q}(x,y)=w\varphi (x,y)}$. Якщо це так, то ${\displaystyle t_l=\pm 2w(\mathrm{mod}l)}$, де знак залежить від Шаблон:Mvar-координати.

Якщо ${\displaystyle q}$ не є квадратом по модулю Шаблон:Mvar або рівність не виконується для жодного ${\displaystyle w}$, то припущення, що ${\displaystyle (x^{q^2},y^{q^2})=+\overline{q}(x,y)}$ невірне, тому ${\displaystyle (x^{q^2},y^{q^2})=-\overline{q}(x,y)}$. Характеристичне рівняння дає ${\displaystyle t_l=0}$.

Додатковий випадок: ${\displaystyle l=2}$

Якщо згадати, наші початкові міркування опускають випадок ${\displaystyle l=2}$. Припускалось, що Шаблон:Mvar непарне та зокрема, ${\displaystyle t_2\equiv 0(\mathrm{mod}2)}$ тоді і тільки тоді, коли ${\displaystyle E({𝔽}_q)}$ містить елемент порядку 2. За означенням додавання в цій групі будь-який елемент порядку 2 має вигляд ${\displaystyle (x_0,0)}$. Таким чином ${\displaystyle t_2\equiv 0(\mathrm{mod}2)}$ тоді і тільки тоді, коли ${\displaystyle x^3+Ax+B}$ має корінь з ${\displaystyle {𝔽}_q}$ тоді і тільки тоді, коли ${\displaystyle \text{НСД}(x^q-x,x^3+Ax+B)\ne 1}$.

    Ввід:
        1. Еліптична крива ${\displaystyle E=y^2-x^3-Ax-B}$;
        2. Натуральне число ${\displaystyle q=p^b,b\in \mathbb{N}}$, для скінченного поля ${\displaystyle F_q}$.
    Вивід:
        Число точок Шаблон:Mvar над ${\displaystyle F_q}$.
    Вибираємо множину непарних простих чисел Шаблон:Mvar, яка не містить Шаблон:Mvar, Шаблон:Nowrap
    Шаблон:Nowrap
    Шаблон:Nowrap
    Всі обчислення в циклі нижче виконуються Шаблон:Nowrap
    Шаблон:Nowrap
        Шаблон:Nowrap Шаблон:Nowrap
        Шаблон:Nowrap
        Шаблон:Nowrap
            Шаблон:Nowrap
            Шаблон:Nowrap
                Шаблон:Nowrap
                    Шаблон:Nowrap
                        Шаблон:Nowrap
                    інакше
                        Шаблон:Nowrap
        інакше якщо Шаблон:Mvar є квадратом по модулю Шаблон:Mvar, то
            Шаблон:Nowrap
            Шаблон:Nowrap
            Шаблон:Nowrap
                Шаблон:Nowrap
            Шаблон:Nowrap
                Шаблон:Nowrap
            інакше
                Шаблон:Nowrap
        інакше
            Шаблон:Nowrap
    Використовуємо китайську теорему про остачі для обчислення Шаблон:Mvar по модулю Шаблон:Mvar
        з рівнянь ${\displaystyle t\equiv t_l(\mathrm{mod}l)}$, де ${\displaystyle l\in S}$.
    Виводимо ${\displaystyle q+1-t}$.

Більшість обчислень припадає на ${\displaystyle \varphi (P)}$ та ${\displaystyle {\varphi }^2(P)}$ для кожного простого ${\displaystyle l}$, тобто на обчислення ${\displaystyle x^q}$, ${\displaystyle y^q}$, ${\displaystyle x^{q^2}}$, ${\displaystyle y^{q^2}}$ для кожного простого ${\displaystyle l}$. Ці обчислення включають піднесення до степені ${\displaystyle R={𝔽}_q[x,y]/(y^2-x^3-Ax-B,{\psi }_l)}$ та потребують ${\displaystyle O(\log q)}$ множень. Степінь ${\displaystyle {\psi }_l}$ дорівнює ${\displaystyle \frac{l^2-1}{2}}$, тобто ${\displaystyle O(l^2)}$. За теоремою про розподіл простих чисел існує близько ${\displaystyle O(\log q)}$ простих чисел розміру ${\displaystyle O(\log q)}$, це дає ${\displaystyle l=O(\log q)}$, маємо ${\displaystyle O(l^2)=O({\log }^{2}q)}$. Таким чином, множення в кільці ${\displaystyle R}$ потребує ${\displaystyle O({\log }^{4}q)}$ множень ${\displaystyle {𝔽}_q}$, що в свою чергу потребує ${\displaystyle O({\log }^{2}q)}$ бітових операцій. Загалом, кількість бітових операцій для кожного простого ${\displaystyle l}$ дорівнює ${\displaystyle O({\log }^{7}q)}$. Оскільки обчислення необхідно провести для ${\displaystyle O(\log q)}$ простих чисел, то повна складність алгоритму Шуфа дорівнює ${\displaystyle O({\log }^{8}q)}$. Використання швидких операцій з поліномами та цілочисельної арифметики скорочує цей час до ${\displaystyle \tilde{O}({\log }^{5}q)}$. Тут ${\displaystyle \tilde{O}}$ означає ${\displaystyle O}$ зі знехтуваними логарифмічним множниками.

Шаблон:Main У 1990-х роках Шаблон:Не перекладено, а за ним Шаблон:Не перекладено, вдосконалили алгоритм Шуфа через обмеження множини простих чисел ${\displaystyle S=\{l_1,\dots ,l_s\}}$, розглянутої раніше, до простих чисел певного виду. Просте число ${\displaystyle l}$ називається простим числом Елкіса, якщо характеристичне рівняння ${\displaystyle {\varphi }^2-t\varphi +q=0}$ розкладається над ${\displaystyle {𝔽}_l}$, а прості числа Аткіна – це прості числа, які не є простими Елкіса. Аткін показав як комбінувати інформацію, отриману з простих чисел Аткіна, з інформацією, отриманою з простих чисел Елкіса, щоб отримати більш ефективний алгоритм, який отримав назву алгоритм Шуфа — Елкіса — Аткіна. Перша задача, яку потрібно вирішити, – чи є задане просте число простим Аткіна, чи простим Елкіса. Для цього використовуються модулярні поліноми, які виникають при вивченні модулярних форм та інтерпретації еліптичних кривих над полем комплексних чисел як решіток. Після того, як визначимо, у якому випадку перебуваємо, замість того, щоб використовувати поліноми ділення, ми зможемо працювати з поліномами, які мають нижчий степінь, ніж відповідні поліноми ділення: ${\displaystyle O(l)}$ замість ${\displaystyle O(l^2)}$. Для ефективної реалізації використовуються ймовірнісні алгоритми знаходження коренів, що робить алгоритм алгоритмом Лас-Вегаса, а не детермінованим алгоритмом.

При евристичному припущенні, що приблизно половина простих чисел, які не перевищують ${\displaystyle O(\log q)}$, є простими числами Елкіса, це дає більш ефективний алгоритм ніж алгоритм Шуфа з очікуваним часом роботи ${\displaystyle O({\log }^{6}q)}$ при використанні звичайної арифметики та ${\displaystyle \tilde{O}({\log }^{4}q)}$ при використанні швидкої арифметики. Хоч це евристичне припущення вірне для багатьох еліптичних кривих, але невідомо чи воно виконується в загальному випадку, навіть при істинності узагальненої гіпотези Рімана.

• R. Schoof: Elliptic Curves over Finite Fields and the Computation of Square Roots mod p. Math. Comp., 44(170):483–494, 1985. Available at http://www.mat.uniroma2.it/~schoof/ctpts.pdf Шаблон:Webarchive
• R. Schoof: Counting Points on Elliptic Curves over Finite Fields. J. Theor. Nombres Bordeaux 7:219–254, 1995. Available at http://www.mat.uniroma2.it/~schoof/ctg.pdf Шаблон:Webarchive
• G. Musiker: Schoof's Algorithm for Counting Points on ${\displaystyle E({𝔽}_q)}$. Available at http://www.math.umn.edu/~musiker/schoof.pdf Шаблон:Webarchive
• V. Müller: Die Berechnung der Punktanzahl von elliptischen kurven über endlichen Primkörpern. Master's Thesis. Universität des Saarlandes, Saarbrücken, 1991. Available at http://lecturer.ukdw.ac.id/vmueller/publications.php Шаблон:Webarchive
• A. Enge: Elliptic Curves and their Applications to Cryptography: An Introduction. Kluwer Academic Publishers, Dordrecht, 1999.
• L. C. Washington: Elliptic Curves: Number Theory and Cryptography, 2nd Ed. Chapman & Hall/CRC, New York, 2008.
• Н. Коблиц: Курс теории чисел и криптографии, Научное издательство «ТВП», 2001

Шаблон:Алгоритми теорії чисел