Проблема с добавлением точек о [n-1]+[2]G и [n-1]+G на Secp256k1

Заранее извиняюсь за свой вопрос. Я пытаюсь сделать свой собственный простой калькулятор Secp256k1, просто сложение и вычитание, и одна вещь меня постоянно смущает. Когда я добавляю 2 балла и знаю, какой результат сложения должен быть больше числа, чем $n$, и насколько я понимаю, результат должен быть 0, потому что это точка в бесконечности.

Однако мой калькулятор показывает другой результат. Например, я добавляю:

115792089237316195423570985008687907852837564279074904382605163141518161494336 + 2

и получить 1 в результате. То же самое происходит и с другими точками, сумма которых больше $n$.

Но когда я добавляю

115792089237316195423570985008687907852837564279074904382605163141518161494336 + 1

калькулятор показывает мне 0.

Я не могу понять, правильно ли работает калькулятор, и это мое непонимание в ECC? Или это ошибка в моем коде? Какой результат должен быть, когда я добавляю две точки с суммой, большей, чем $n$?

В этом вопросе существует путаница в терминологии эллиптической кривой. Позвольте разобраться с некоторыми из них;

Эллиптическая кривая

Алгебраически эллиптическая кривая

$$E(\mathbb{K}):= \{ (x, y) \in \mathbb{K}^2 \mid y^2+a_1xy+a_3y = x^3+a_2x^2+a_4x+a_6\ } \cup \{\mathcal O\}$$

$\{\mathcal О\}$ является точка в бесконечности добавлен как дополнительный, который не имеет представления в геометрической форме кривой.

Точки - это $(х,у)$ кортеж, который удовлетворяет уравнение кривой, поэтому они не являются целыми числами!

Добавление точки

Сложение точек имеет очень хороший геометрический смысл. На картинке ниже $П,К,Р$ представляет точки на кривой и $\{\mathcal О\}$ представлен как $0$

и мы извлекаем арифметические уравнения отсюда (правило касательной хорды). Подробнее об извлечении см. Глава 2 книги Вашингтона.

Точки кривой образуют абелева группа под оператором сложения точек с элементом идентичности $\{\mathcal О\}$.

Скалярное умножение

Когда мы добавляем точку $P$ про себя говорим удвоение какой-то человек пишем как $2P$, тем не менее, распространенный и лучший способ написать это $[2]П$. Так $[2]П = П + П$.

Точно так же мы можем говорить о сложении три раза, четыре раза или $t$ раз.

$$[t]P : = \underbrace{P + P + \cdots + P}_{t-times}$$

Это то, что мы называем скалярное умножение (фактически Z-модуль для абелевых групп)

Генератор

Образующая циклической группы — это элемент $G$ такой, что когда $G$ добавил себя снова и снова он будет генерировать все элементы группы (Извините за теоретика группы, здесь столкнулись заглавные буквы - элемент $г$ группы $G$ является генератором, если $\langle g \rangle = G$).

Заказ

Заказ имеет два использования в ECC

1. Порядок эллиптической кривой $|\#E(\mathbb{K})|$ означает количество элементов кривой

2. Порядок элемента.

   Когда кривая имеет простой порядок, как в Secp256k1, тогда каждый элемент имеет тот же порядок, что и порядок кривой, и это означает, что каждый элемент является генератором.

Вернуться к вашему вопросу

В Secp256k1 базовая точка

G = (55066263022277343669578718895168534326250603453777594175500187360389116729240,
83121579216557378445487899878180864668798711284981320763518679672151497189239 )

и порядок базовой точки $n$ является

n = 115792089237316195423570985008687907852837564279074904382605163141518161494337

Порядок означает, что $[n]G = \mathcal{O}$ и мы можем использовать это, чтобы вывести приведенное ниже уравнение

$$[k]P = [ k \bmod n]P$$

• Итак, что вы делаете, это с $+2$ является

  $$[n-1]G + [2]G = [n-1+2]G = [n+1]G = [1]G = G$$

• Итак, что вы делаете, это с $+1$ является

  $$[n-1]G + [1]G = [n-1]G = [n]G = \mathcal{O}$$

Закончим с проверкой SageMath;

#secp256k1
p = Integer("0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFC2F")
a = Целое число("0x00000000000000000000000000000000000000000000000000000000000000000")
b = целое число("0x00000000000000000000000000000000000000000000000000000000000000007")

К = GF(p)
E = Эллиптическая кривая (K, [a, b])
печать (Е)

G = E(Целое число("0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798"),
      Целое ("0x483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8"))
печать("\nG =",G)

n = G.порядок()

print("\nЗаказ G =",n)

Г2 = 2*Г
Q = (n-1)*G + 2*G
печать("\n[n-1]G+[2]G=",Q)
утверждать (Q == G)

R = (n-1)*G +G
печать("\n[n-1]G+G=",Q)
печать (R)

и выход

Эллиптическая кривая, определяемая y^2 = x^3 + 7 над конечным полем размером 115792089237316195423570985008687907853269984665640564039457584007908834671663

G = (55066263022277343669578718895168534326250603453777594175500187360389116729240 : 32670510020758816978083085130507043184471273380659243275938904335757337482424 : 1)

Порядок G = 115792089237316195423570985008687907852837564279074904382605163141518161494337

[n-1]G+[2]G = (55066263022277343669578718895168534326250603453777594175500187360389116729240 : 32670510020758816978083085130507043184471273380659243275938904335757337482424 : 1)

[n-1]G+G = (55066263022277343669578718895168534326250603453777594175500187360389116729240 : 32670510020758816978083085130507043184471273380659243275938904335757337482424 : 1)
(0 : 1 : 0)