Групповой закон.

Рассмотрим для char K ¹ 2, 3 замену переменных

 

переводящую кривую заданную длинной формой Вейерштрасса в изоморфную ей кривую, определяемую короткой формой Вейерштрасса E: Y² = X³ + aX + b при некоторых a, b Î K. На таких представителях классов изоморфных эллиптических кривых можно наглядно ввести групповой закон методом хорд и касательных.

Сложение точек определяется с помощью хорд. Пусть P и Q – две точки кривой. Соединим их прямой линией. Она обязательно пересечет кривую в какой-то третьей точке R, поскольку мы пересекаем кубическую кривую прямой. Точка R будет определена над тем же полем, что сама кривая и исходные точки P и Q. Отразим затем точку R относительно горизонтальной оси координат и получим точку, определяемую над основным полем. Последняя точка и будет суммой P + Q.

 

Рис.38. Групповой закон. Сложение точек

Касательные служат для удвоения точек (используя хорду нельзя сложить точку с собой). Пусть P – произвольная точка эллиптической кривой. Проведем касательную к кривой в точке P. Она пересечет кривую в какой-то третьей точке R (кубическая кривая пересекается по трем точкам с учетом кратности пересечения). Отразив R относительно горизонтальной оси, мы получим точку [2]P = P + P. Вертикальная касательная в точке P «пересекает» кривую в бесконечно удаленной точке. В этой ситуации P + P = O и говорят, что P – точка порядка 2.

 

Рис.39. Групповой закон. Удвоение точек

Метод хорд и касательных наделяет эллиптическую кривую структурой абелевой группы с бесконечно удаленной точкой в качестве нейтрального (единичного) элемента, то есть нуля. Определение операций можно легко перенести на случай общей эллиптической кривой, заданной длинной формой Вейерштрасса (в частности характеристика поля может быть любой). Необходимо только заменить отражение относительно оси абсцисс на симметрию относительно прямой

Y = a₁X + a₃

Алгебраические формулы, реализующие сложение точек по методу хорд и касательных.

Лемма. Пусть E – эллиптическая кривая, определяемая уравнением

E: Y² + a₁XY + a₃Y = X³ + a₂X² + a₄X + a₆,

на которой выбраны точки P₁(x₁, y₁) и P₂(x₂, y₂). Точка –P₁ имеет координаты

–P₁(x₁ – y₁ – a₁x₁ – a₃).

 

Введем коэффициенты

 

при x₁ ¹ x₂ и

 

если x₁ = x₂, но P₂ ¹ –P₁. Если P₃(x₃, y₃) = P₁ + P₂ ¹ O, то x₃ и y₃ вычисляются по формулам:

 

Фиксируем натуральное число m и обозначим через [m] отображение кривой на себя, сопоставляющее каждой точке P ее кратное [m]P, то есть

 

Это отображение – основа криптографических систем, опирающихся на эллиптическую кривую, поскольку его можно легко вычислить, но крайне сложно обратить, то есть по данным координатам P(x, y) и [m]P(x’, y’) найти m очень трудно. (Конечно сложность обращения предполагает специальный выбор эллиптической кривой и соблюдения других условий).