Количество Fq-рациональных точек над эллиптической кривой конечно. Обозначим его #E(Fq). Ожидаемое число точек кривой близко к q + 1 и можно положить
#E(Fq) + q + 1 – t,
где «дефект» t называется следом отображения Фробениуса в q.
Теорема Хассе. След отображения Фробениуса удовлетворяет неравенству
Есть два частных случая криптографически непригодных эллиптических кривых:
- Кривая E(Fq) называется аномальной, если ее след Фробениуса равен 1, тот есть
#E(Fq) = q. Эта кривая особенно неудобна, когда q – простое число.
- Кривая E(Fq) называется суперсингулярной, если характеристика p поля Fp делит след отображения Фробениуса t. Таких кривых также следует избегать в криптографии.
Выбирая кривую для шифрования, нужно стремиться к тому, чтобы число ее точек делилось на достаточно большое простое число. В связи с этим необходимо научиться вычислять порядок группы. Порядок произвольной группы E(Fq) над любым полем вычисляется за полиномиальное время.
Информация о порядке группы также существенна для оценки стойкости протокола, основанного на соответствующей кривой.
Одним из достоинств эллиптических кривых является то, что они доставляют большое число возможных групп. Можно менять как основное поле, так и коэффициенты уравнения кривой. Отыскать эллиптическую кривую с хорошими криптографическими свойствами для создания безопасного протокола достаточно легко.
Как правило реализация криптографичеких систем, основанных на эллиптической кривой, базируется на поле , чья характеристика равна 2, или на поле Fp с большим простым числом p.