Лекции по моделям безопасности и методам алгебраической геометрии

1 files changed, 204 insertions, 0 deletions

diff --git a/crypto-algebra/lectures/lecture9.tex b/crypto-algebra/lectures/lecture9.tex
new file mode 100644
index 0000000..1077224
--- /dev/null
+++ b/crypto-algebra/lectures/lecture9.tex
@@ -0,0 +1,204 @@
+% Лекция 9 (23.10.23)
+
+Угловой коэффициент касательной равен
+\begin{equation*}
+  \alpha = \frac{dy}{dx}
+\end{equation*}
+
+Имеем $f'_x dx = -f'_y dy,\, \frac{dy}{dx} = -\frac{f'_x}{f'_y}$.
+
+Поэтому угловой коэффициент касательной равен
+\begin{equation}
+  \alpha = \frac{3 x_1^2 + 2 a_2 x_1 + a_4 - a_1 y_1}{2 y_1 + a_1 x_1 + a_3}
+  \label{eq:13}
+\end{equation}
+
+Таким образом, удвоенная точка также вычисляется по формулам (\ref{eq:12}),
+но с $\alpha$, найденным по (\ref{eq:13}).
+
+\begin{example}
+  Рассмотрим эллиптическую кривую $y^2 = x^3 - 12x$.
+
+  Пусть $x_1 = x_2 = 6$, тогда $y_1 = y_2 = 12$.
+
+  \begin{align*}
+    \alpha &= \frac{3 x_1^2 + 2 a_2 x_1 + a_4 - a_1 y_1}{2 y_1 + a_1 x_1 + a_3}
+    = \frac{3 \cdot 6^2 - 12}{2 \cdot 12} = 4 \\
+    \beta &= y_1 - \alpha x_1 = 12 - 4 \cdot 6 = -12
+  \end{align*}
+
+  Таким образом, касательная, проходящая через точку $P_1 = P_2 = (6, 12)$
+  имеет вид $y = 4x - 12$.
+  
+  В результате $P_1 + P_2 = 2 P_1 = P_3 = (x_3, y_3)$, где
+  \begin{align*}
+    x_3 &= -x_1 - x_2 + \alpha^2 + a_1 \alpha - a_2 = -6 - 6 + 4^2 = 4 \\
+    y_3 &= -y_1 + \alpha (x_1 - x_3) - a_1 x_3 - a_3 = -12 + 4 (6 - 4) = -4
+  \end{align*}
+
+  %% TODO: рис 1
+\end{example}
+
+%% TODO: рис 2
+
+\begin{theorem}[Группа точек эллиптической кривой]
+  Пусть $F$ --- поле, $E/F$ --- эллиптическая кривая. Тогда для любого
+  расширения $K$ поля $F$ относительно введённой выше операции <<$+$>> множество
+  $E(K)$ образует абелеву группу. Операция сложения задаётся по следующим
+  правилам:
+  \begin{enumerate}
+    \item
+      для любой точки $P \in E$ верно $P + \mathcal{O} = \mathcal{O} + P = P$;
+    \item
+      для любой точки $P = (x, y) \neq \mathcal{O}$ точка $-P$ находится по
+      формуле \[ -P = (x, -y - a_1 x - a_3); \]
+    \item
+      для любых точек $P_1 = (x_1, y_1) \neq \mathcal{O}$, $P_2 = (x_2, y_2)
+      \neq \mathcal{O}$ сумма точек $P_1 + P_2 = P_3 = (x_3, y_3)$ задаётся
+      следующими формулами:
+      \begin{enumerate}
+        \item если $P_2 = -P_1$, то $P_3 = \mathcal{O}$;
+        \item если $P_2 \neq -P_1$, то
+          \begin{equation}
+            \begin{cases}
+              \alpha = \begin{cases}
+                \frac{3x_1^2 + 2a_2 x_1 + a_4 - a_1 y_1}{2y_1 + a_1 x_1 + a_3},
+                &\text{если } x_1 = x_2, \\
+                \frac{y_1 - y_2}{x_1 - x_2}, &\text{если } x_1 \neq x_2,
+              \end{cases} \\
+              x_3 = -x_1 - x_2 + \alpha^2 + a_1 \alpha - a_2, \\
+              y_3 = -y_1 + \alpha (x_1 - x_3) - a_1 x_3 - a_3.
+            \end{cases}
+            \label{eq:14}
+          \end{equation}
+      \end{enumerate}
+  \end{enumerate}
+\end{theorem}
+
+\begin{corollary}[Об операции сложения в группе точек эллиптической кривой над
+  полем характеристики $> 3$]
+  Для кривой, заданной уравнением (\ref{eq:8}), формулы (\ref{eq:14}) принимают
+  упрощённый вид:
+  \begin{equation}
+    \begin{cases}
+      \alpha = \begin{cases}
+        \frac{3 x_1^2 + a}{2y_1}, &\text{если } x_1 = x_2, \\
+        \frac{y_1 - y_2}{x_1 - x_2}, &\text{если } x_1 \neq x_2,
+      \end{cases} \\
+      x_3 = -x_1 - x_2 + \alpha^2, \\
+      y_3 = -y_1 + \alpha (x_1 - x_3).
+    \end{cases}
+    \label{eq:15}
+  \end{equation}
+  Кроме того, противоположная к $P = (x, y)$ точка равна $-P = (x, -y)$.
+
+  Порядком точки $P$ на эллиптической кривой называется такое наименьшее
+  натуральное число $N$, что $NP = \mathcal{O}$.
+\end{corollary}
+
+Такого конечного $N$ может не существовать. Часто требуется найти точки
+конечного порядка на эллиптической кривой.
+
+\begin{example}
+  Найти порядок точки $P = (0, -3)$ на эллиптической кривой $y^2 = x^3 + 9$.
+
+  Применяя (\ref{eq:15}), находим, что $2P = (0, 3)$, получаем $2P = -P$, откуда
+  $3P - \mathcal{O}$. Итак, $P$ имеет порядок 3.
+\end{example}
+
+\emph{Гиперэллиптической кривой} над полем $F$ называется аффинная кривая,
+задаваемая уравнением $y^2 + h(x) y = f(x)$ и не имеющая особых точек
+на аффинной плоскости над $\overline{F}$, где $h$, $f$ --- полиномы с
+коэффициентами из $F$, $\deg(f) = 2g + 1$, $\deg(h) \leq g$.
+
+Натуральное число $g$ называется \emph{родом кривой}. Эллиптическую кривую
+можно рассматривать как гиперэллиптическую кривую рода 1.
+
+Алгебраическая формула (\ref{eq:14}) для сложения точек на эллиптической
+кривой имеет смысл над любым полем.
+
+\paragraph{Изогении.}
+
+Пусть $E_1$ и $E_2$ --- эллиптические кривые. \emph{Изогенией} из $E_1$ в
+$E_2$ называется морфизм $\varphi : E_1 \to E_2$, удовлетворяющий условию
+$\varphi(\mathcal{O}) = \mathcal{O}$. Две эллиптические кривые $E_1$ и $E_2$
+\emph{изогенны}, если существует изогения из $E_1$ до $E_2$ с $\varphi(E_1) \neq
+\set{\mathcal{O}}$.
+
+Изогения эллиптических кривых является отношением эквивалентности.
+
+Эллиптические кривые являются абелевыми группами, поэтому отображения между
+ними образуют группы. Обозначим множество изогений из $E_1$ в $E_2$ через
+\begin{equation*}
+  \fn{Hom}(E_1, E_2) = \set{\text{изогении } E_1 \to E_2}
+\end{equation*}
+
+Сумма двух изогений определяется формулой
+\begin{equation*}
+  (\varphi + \psi)(P) = \varphi(P) + \psi(P),
+\end{equation*}
+также $\varphi + \psi$ --- морфизм, поэтому это изогения.
+
+Следовательно, $\fn{Hom}(E_1, E_2)$ --- группа. Если $E_1 = E_2$, то можно также
+составить изогении. Таким образом, если $E$ --- эллиптическая кривая, то
+\begin{equation*}
+  \fn{End}(E) = \fn{Hom}(E, E)
+\end{equation*}
+является кольцом, закот сложения которого указан выше, а умножение --- это
+композиция
+\begin{equation*}
+  (\varphi \psi)(P) \equiv \varphi(\psi(P)).
+\end{equation*}
+
+Также имеет место дистрибутивный закон. Кольцо $\fn{End}(E)$ называется
+\emph{кольцом эндоморфизмов} эллиптической кривой $E$.
+
+Обратимые элементы кольца $\fn{End}(E)$ образуют группу автоморфизмов $E$
+которая обозначается $\fn{Aut}(E)$.
+
+\begin{example}
+  Для каждого $m \in \Z$, изогения умножения на $m$ обозначается
+  \begin{align*}
+    [m] &: E \to E \\
+    [m]P &= \underbrace{P + P + \dots + P}_m
+  \end{align*}
+  при $m < 0$ полагают $[m]P = [-m](-P)$ и $[0]P = \mathcal{O}$.
+
+  $[m]$ --- морфизм, а значит, изогения, поскольку он явно переводит
+  $\mathcal{O}$ в $\mathcal{O}$.
+
+  Пусть $E$ --- эллиптическая кривая, $m \in \Z, m \geq 1$. \emph{Подгруппа}
+  $m$-кручения $E$, обозначаемая $E[m]$, --- это множество точек $E$ порядка
+  $m$:
+  \begin{equation*}
+    E[m] = \set{P \in E : [m]P = \mathcal{O}}.
+  \end{equation*}
+  \emph{Подгруппа кручения $E$}, обозначаемая $E_{tors}$, представляет собой
+  множество точек конечного порядка:
+  \begin{equation*}
+    E_{tors} = \bigcup_{m = 1}^\infty E[m].
+  \end{equation*}
+\end{example}
+
+Если $E$ определено над $F$, то $E_{tors}(F)$ обозначает точки конечного порядка
+в $E(F)$. Пусть $F$ --- поле характеристики $p > 0$, $q = p^r$ и $E/F$ ---
+эллиптическая кривая, заданная уравнением Вейерштрасса (\ref{eq:2}).
+
+Кривая $E^{(q)}/f$ определяется возведением коэффициентов уравнения для $E$ в
+степень $q$, морфизм Фробениуса $\varphi_q$ определяется как
+\begin{equation*}
+  \varphi_q : E \to E^{(q)}, (x, y) \to (x^q, y^q)
+\end{equation*}
+
+$E^{(q)}$ является гладкой эллиптической кривой, $\Delta(E^{(q)}) = \Delta(E)^q$
+и $j(E^{(q)}) = j(E)^q$.
+
+Так как $F$ --- конечное поле с $q$ элементами, тогда отображение $q$-й степени
+на $F$ является тождественным, поэтому $E^{(q)} = E$ и $\varphi_q$ является
+эндоморфизмом $E$, называемым \emph{эндоморфизмом Фробениуса}.
+
+Множество точек, зафиксированных $\varphi_q$, (точки с координатами из поля $F$
+остаются неподвижными) есть в точности конечная группа $E(\mathbb{F}_q)$.
+
+Этот факт лежит в основе доказательства теоремы Хассе об оценке количества
+$\mathbb{F}_q$-рациональных точек эллиптической кривой $E$.