Рейтинг:0

Можно ли дать определение умножения точек на эллиптической кривой?

флаг ie

Как мы знаем, по крайней мере в криптографии групповая операция на эллиптической кривой — это просто сложение точек(https://en.wikipedia.org/wiki/Elliptic_curve_point_multiplication), который определяется на $E:y^{2}=x^{3}+ax+b$ как: $\left(x_{p}, y_{p}\right)+\left(x_{q}, y_{q}\right)=\left(x_{r}, y_{r}\right)$, $\lambda=\frac{y_{q}-y_{p}}{x_{q}-x_{p}}$, $x_{r}=\lambda^{2}-x_{p}-x_{q}$, $y_{r}=\lambda\left(x_{p}-x_{r}\right)-y_{p}$. Мой вопрос: можем ли мы дать осмысленное определение умножения точек?

kelalaka avatar
флаг in
За этим стоит математическая теория: [Z-Module](https://en.wikipedia.org/wiki/Module_(mathematics)); То есть каждая абелева группа является модулем над кольцом целых чисел Z единственным образом...
user77340 avatar
флаг ie
@kelalaka Большое спасибо! Ваш ответ также помогает мне лучше понять это. Да, я просто считаю полезным для своих исследований, если есть один такой метод. Но теперь я знаю, что это не так. Спасибо!
kelalaka avatar
флаг in
Связанный [Как умножить две точки на эллиптической кривой?] (https://crypto.stackexchange.com/q/88214/18298)
Рейтинг:4
флаг ng

На эллиптической кривой имеем

  • добавление точки $С:=А+В$ определено для любых двух точек $А$ и $В$ кривой (часто со специальными правилами для $А=В$ или некоторые специальные точки, в зависимости от системы координат).
  • нейтральный $\infty$ такой, что $A+\infty=\infty+A=A$ для всех $А$ на кривой (включая $\infty$)
  • противоположный $-А$ любой $А$ на кривой такой, что $А+(-А)=(-А)+А=\infty$$\infty$ это собственная противоположность).

Сложение точек ассоциативно и коммутативно.

Отсюда мы можем определить умножение точки на целое число $i\in\mathbb Z$ (также известный как скалярное умножение), как $$i\times A\underset{\text{def}}=\begin{case} \infty&\text{если}i=0\ ((i-1)\times A)+A&\text{если}i>0\ (-i)\times (-A)&\text{если}i<0 \end{случаи}$$

Отсюда следует, что для всех $А$ и $В$ на кривой (включая $\infty$) и все целые числа $я$, $j$, он держит $$\begin{выравнивание} (i+j)\times A&=(i\times A)+(j\times A)\ я\раз(А+В)&=(я\раз А)+(я\раз В)\ (i\times j)\times A&=i\times (j\times A)\ \end{выравнивание}$$ где в приведенном выше, верхнем левом сложении и нижнем левом умножении находятся в $\mathbb Z$, а все остальные операции — это сложение точек или умножение точек на целое число.

Когда мы говорим об умножении в криптографии на основе эллиптических кривых, чаще всего это умножение на целое число.


Чтобы определить умножение точек, нам нужно обозначить конкретную точку $G$ и ограничиться точками $А$ который можно получить как $A=а\умножить на G$ для некоторого целого числа $a\in\mathbb Z$. Они образуют подгруппу кривой. Многие группы, используемые в криптографии на основе эллиптических кривых, являются циклическими, т. е. существуют $G$ таким образом, что любая точка группы может быть получена таким образом. Для некоторых кривых (с простым числом точек, включая $\infty$, например secp256k1 или secp384r1), любая точка $G$ Кроме как $\infty$ можно использовать, и все точки кривой имеют такую ​​форму $A=а\умножить на G$.

Для эллиптических кривых на конечном поле, используемых в криптографии, существует некоторое минимальное строго положительное целое число. $n$ такой, что $n\раз G=\infty$ (получатель чего-то $G$), а также порядок (количество элементов) указанной подгруппы. Для любой $А$ в этой подгруппе однозначно определен $а\в[0,n)$ с $A=а\умножить на G$.

Затем мы можем определить произведение точек $A=а\умножить на G$ и $B=b\умножить на G$ с $а,б\in[0,n)$ как точка $$A\times B\underset{\text{def}}=(a\times b\bmod n)\times G$$ Произведение точек эллиптической кривой наследует ассоциативность, коммутативность, нейтральность. $G$, из соответствующих свойств умножения в $\mathbb Z_n$. Распределяемость с.р.т. сложение точек выполняется. Также, $(я\раз А)\раз В=я\раз(А\раз В)$ выполняется для всех точек $А$, $В$ какой продукт определен, и все целые числа $я$.

Когда $n$ является простым (что верно для большинства кривых и образующих $G$ используется в ECC), любая точка $А$ кроме $\infty$ имеет обратный $А^{-1}$ такой, что $A\times A^{-1}=A^{-1}\times A=G$. Если $A=а\умножить на G$, тогда $A^{-1}=(a^{-1}\bmod n)\раз G$.

Обратите внимание, что это определение умножения зависит от выбора $G$, и для всей кривой только тогда, когда группа эллиптических кривых является циклической.

Также мы можем вычислить $C=A\раз B$ эффективно, если мы знаем $а$ с $A=а\умножить на G$ (как $C:=a\раз B$) или же знать $b$ с $B=b\умножить на G$ (как $C:=b\раз A$). Но в остальном самые известные алгоритмы стоили $\тета(\sqrt п)$ на стандартных компьютерах, таким образом, не полиномиальное время по сравнению с другими. битовый размер $n$.

user77340 avatar
флаг ie
это то, что я хочу! Спасибо!
kelalaka avatar
флаг in
Поскольку вы перешли к образовательному ответу, вы должны упомянуть скалярное умножение. Теория об этом - это модули, а EC - это Z-модули, поскольку они образуют абелеву группу при сложении.Модули - это релаксация из Векторных пространств. Умножение определено неправильно, возможно, вам следует написать его как $\times_G$, указывающее на действие $G$ на операцию.
Рейтинг:2
флаг sa

А группа по определению имеет только одну операцию. Вам понадобится как минимум полукольцо с новой операцией «умножения», которая также совместима с добавлением эллиптической кривой.

Насколько мне известно, такого осмысленного определения не существует.

user77340 avatar
флаг ie
Я понимаю. Я просто думаю, можно ли дать один. Но в любом случае, спасибо!
kelalaka avatar
флаг in
@user77340 user77340 Нет, групповую операцию нельзя определить как умножение. EC образует **Z-модуль, то есть**. То, что определил Фгриуэ, не является умножением, как мы знаем из теории групп. То, что определяется как, является действием выбранного базового элемента. Если бы это уже было, мы могли бы говорить о EC-кольце!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.