ヤコビ曲線

この記事には、過剰または無関係な例が含まれている可能性があります。関連性の低い例を削除し、既存の例を詳しく説明することで、記事の改善にご協力ください。 （2022年4月）（このメッセージを削除する方法とタイミングについては、こちらをご覧ください）

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed. Find sources: "Jacobian curve" – news · newspapers · books · scholar · JSTOR (December 2009) (Learn how and when to remove this message)

数学において、ヤコビ曲線はワイエルシュトラス方程式で定義される通常の楕円曲線とは異なる楕円曲線の表現である。ヤコビ曲線は単純攻撃や差分電力解析型（SPA）攻撃に対する防御を提供できるため、暗号化においてワイエルシュトラス形式の代わりに使用されることがある。実際、この形式の楕円曲線上の点の2倍演算にも一般的な加法公式を使用することができる。このようにして、2つの演算はサイドチャネル情報と区別がつかなくなる。^[1]ヤコビ曲線はワイエルシュトラス曲線に比べて演算速度も速い。

ヤコビ曲線には、2 つの面の交差によって与えられるヤコビ交差と、ヤコビ四次曲線の 2 種類があります。

楕円曲線が与えられれば、その点の間でいくつかの「演算」を行うことができます。たとえば、2 つの点 PとQを加算して、曲線に属する点P + Qを取得できます。楕円曲線上の点Pが与えられれば、P を「2 倍」、つまり [2] P = P + Pを求めることができます(角括弧は[n]P、つまり点Pをn回加算した値を示すために使用されます)。また、Pの否定、つまり - Pを求めることもできます。このように、楕円曲線上の点は群を形成します。群演算の単位元はアフィン平面上の点ではなく、射影座標にのみ現れることに注意してください。この場合、O = (0: 1: 0) は「無限遠点」、つまり群法則における中立元になります。加算式と倍算式は、楕円曲線上の点Pのn乗である[n]Pを計算する場合にも役立ちます。この演算は、楕円曲線暗号において最も重要な演算と考えられています。

体K上の楕円曲線Eは、 Kにa、bを含むワイエルシュトラス形式y ² = x ³ + ax + bで表すことができます。後で重要になるのは、位数 2 の点、つまりE上の[2] P = OかつP ≠ Oとなる点Pです。P = ( p , 0) がE上の点である場合、位数 2 を持ちます。より一般的には、位数 2 の点は多項式f(x) = x ³ + ax + bの根に対応します。

これからは、ワイエルシュトラス形式y ² = x ³ + ax + bの楕円曲線を表すためにE _a,bを使用します。

E _{a,b が}3次多項式x ³ + ax + bがKに3つの異なる根を持ち、b = 0となるような場合、 E _{a,b を}ルジャンドル正規形で書くことができます。

E _a,b : y ² = x(x + 1)(x + j)

この場合、位数2の点が3つあります: (0, 0), (–1, 0), (– j , 0)。この場合、E[j]という表記を用います。jはa 、 bで表されることに注意してください。

P ³ ( K )の楕円曲線は、 2つの二次曲面の交差として表すことができます。

${\displaystyle Q:\{Q_{1}(X_{0},X_{1},X_{2},X_{3})=0\}\cap \{Q_{2}(X_{0},X_{1},X_{2},X_{3})=0\}}$

楕円曲線のヤコビ形式は、2つの二次曲線の交差として定義できます。E a _,bをワイエルシュトラス形式の楕円曲線とすると、次の写像が適用されます。

${\displaystyle \Phi :(x,y)\mapsto (X,Y,Z,T)=(x,y,1,x^{2})}$

次の方程式系が成り立つことがわかります。

${\displaystyle \mathbf {S} :{\begin{cases}X^{2}-TZ=0\\Y^{2}-aXZ-bZ^{2}-TX=0\end{cases}}}$

曲線E[j]^はP3 ( K ) の次の面の交差に対応する。

${\displaystyle \mathbf {S} 1:{\begin{cases}X^{2}+Y^{2}-T^{2}=0\\kX^{2}+Z^{2}-T^{2}=0\end{cases}}}$。

「特別なケース」E[0]では、楕円曲線は2つの点を持ち、したがって特異である。

S1はE[j]に次の変換を適用することによって得られる。

ψ: E[j] → S1

${\displaystyle (x,y)\mapsto (X,Y,Z,T)=(-2y,x^{2}-j,x^{2}+2jx+j,x^{2}+2x+j)}$

${\displaystyle O=(0:1:0)\mapsto (0,1,1,1)}$

S1の場合、群の中立要素は点(0, 1, 1, 1)、つまりψによるO = (0: 1: 0)の像である。

P ₁ = ( X ₁、Y ₁、Z ₁、T ₁ )、P 2 ₌ ( X ₂、Y ₂、Z ₂、T _{2 )、} S1上の 2 つの点、点P ₃ = P ₁ + P _2の座標は次のようになります。

${\displaystyle X_{3}=T_{1}Y_{2}X_{1}Z_{2}+Z_{1}X_{2}Y_{1}T_{2}}$

${\displaystyle Y_{3}=T_{1}Y_{2}Y_{1}T_{2}-Z_{1}X_{2}X_{1}Z_{2}}$

${\displaystyle Z_{3}=T_{1}Z_{1}T_{2}Z_{2}-kX_{1}Y_{1}X_{2}Y_{2}}$

${\displaystyle T_{3}=(T_{1}Y_{2})^{2}+(Z_{1}X_{2})^{2}}$

これらの式は2倍算にも適用できます。つまり、 P ₁ = P ₂とすれば十分です。したがって、 S1における点の加算と2倍算は、どちらも16回の乗算と定数( k )による1回の乗算を必要とする演算です。

点P _{1を2倍して}P ₃ = [2] P ₁を求めるために次の式を使用することもできます。

${\displaystyle X_{3}=2Y_{1}T_{1}Z_{1}X_{1}}$

${\displaystyle Y_{3}=(T_{1}Y_{1})^{2}-(T_{1}Z_{1})^{2}+(Z_{1}Y_{1})^{2}}$

${\displaystyle Z_{3}=(T_{1}Z_{1})^{2}-(T_{1}Y_{1})^{2}+(Z_{1}Y_{1})^{2}}$

${\displaystyle T_{3}=(T_{1}Z_{1})^{2}+(T_{1}Y_{1})^{2}-(Z_{1}Y_{1})^{2}}$

これらの公式を用いると、点を2倍にするには8回の掛け算が必要です。しかし、7回の掛け算で2倍にする、さらに効率的な「戦略」があります。^[2]この方法を用いると、23回の掛け算で点を3倍にすることが可能です。実際、[3] P _{1 は}P ₁と [2] P ₁を加算することで得られますが、[2] P ₁の場合は7回の掛け算、P ₁ + [2] P ₁の場合は16回の掛け算が必要です^[2]

K = RまたはCとし 、次のケースを考えます。

${\displaystyle \mathbf {S} 1:{\begin{cases}X^{2}+Y^{2}-T^{2}=0\\4X^{2}+Z^{2}-T^{2}=0\end{cases}}}$

点と点を考えてみましょう。P ₁とP ₂がS1に属することは簡単に確認できます(これらの点がシステムS1の両方の方程式を満たしていることがわかれば十分です)。 ${\displaystyle P_{1}=(1,{\sqrt {3}},0,2)}$${\displaystyle P_{2}=(1,2,1,{\sqrt {5}})}$

上記の 2 つの点を追加するための式を使用すると、P ₃の座標（P ₃ = P ₁ + P _{2 ）}は次のようになります。

${\displaystyle X_{3}=T_{1}Y_{2}X_{1}Z_{2}+Z_{1}X_{2}Y_{1}T_{2}=4}$

${\displaystyle Y_{3}=T_{1}Y_{2}Y_{1}T_{2}-Z_{1}X_{2}X_{1}Z_{2}=4{\sqrt {15}}}$

${\displaystyle Z_{3}=T_{1}Z_{1}T_{2}Z_{2}-kX_{1}Y_{1}X_{2}Y_{2}=-8{\sqrt {3}}}$

${\displaystyle T_{3}=(T_{1}Y_{2})^{2}+(Z_{1}X_{2})^{2}=16}$

結果の点は です。 ${\displaystyle P_{3}=(4,4{\sqrt {15}},-8{\sqrt {3}},16)}$

上記の2倍算の公式を用いると、点P ₃ = [2] P ₁を求めることができる。

${\displaystyle X_{3}=2Y_{1}T_{1}Z_{1}X_{1}=0}$

${\displaystyle Y_{3}=(T_{1}Y_{1})^{2}-(T_{1}Z_{1})^{2}+(Z_{1}Y_{1})^{2}=12}$

${\displaystyle Z_{3}=(T_{1}Z_{1})^{2}-(T_{1}Y_{1})^{2}+(Z_{1}Y_{1})^{2}=-12}$

${\displaystyle T_{3}=(T_{1}Z_{1})^{2}+(T_{1}Y_{1})^{2}-(Z_{1}Y_{1})^{2}=12}$

したがって、この場合はP ₃ = [2] P ₁ = (0, 12, –12, 12)となります。

S1の点P ₁ = ( X ₁ , Y ₁ , Z ₁ , T ₁ )を考えると、その否定は − P ₁ = ( − X ₁ , Y ₁ , Z ₁ , T ₁ ) となる。

2つのアフィン点P ₁ = ( x ₁ , y ₁ , z ₁ )とP ₂ = ( x ₂ , y ₂ , z ₂ )が与えられ、それらの和は座標を持つ点P ₃になります。

${\displaystyle x_{3}={\frac {y_{2}x_{1}z_{2}+z_{1}x_{2}y_{1}}{(y_{2}^{2}+(z_{1}x_{2})^{2})}}}$

${\displaystyle y_{3}={\frac {y_{2}y_{1}-z_{1}x_{2}x_{1}z_{2}}{(y_{2}^{2}+(z_{1}x_{2})^{2})}}}$

${\displaystyle z_{3}={\frac {z_{1}z_{2}-ax_{1}y_{1}x_{2}y_{2}}{(y_{2}^{2}+(z_{1}x_{2})^{2})}}}$

これらの式は、条件P ₁ = P ₂での 2 倍にも有効です。

ヤコビ交差上の点を表す別の座標系があります。ヤコビ交差形式で表現された次の楕円曲線を考えます。

${\displaystyle \mathbf {S} 1:{\begin{cases}x^{2}+y^{2}=1\\kx^{2}+z^{2}=1\end{cases}}}$

拡張座標は、変数X、Y、Z、T、XY、ZTを使用して点P = (x、y、z)を記述します。ここで、

${\displaystyle x=X/T}$

${\displaystyle y=Y/T}$

${\displaystyle z=Z/T}$

${\displaystyle XY=X\cdot Y}$

${\displaystyle ZT=Z\cdot T}$

これらの座標は、特定の状況において（時間コストの観点から）より便利なため、使用されることがあります。これらの座標を用いた演算の詳細については、http://hyperelliptic.org/EFD/g1p/auto-jintersect-extended.html を参照してください。

ヤコビ四次形式の楕円曲線は、少なくとも1つの位数2の点を持つワイエルシュトラス形式の曲線E _a,bから得ることができます。次の変換 fは、 E _a,bの各点をヤコビ座標の点に送信します。ここで、(X: Y: Z) = (sX: s ² Y: sZ)です。

f: E _a,b → J

${\displaystyle (p,0)\mapsto (0:-1:1)}$

${\displaystyle (x,y)\neq (p,0)\mapsto (2(x-p):(2x+p)(x-p)^{2}-y^{2}:y)}$

${\displaystyle O\mapsto (0:1:1)}$^[3]

f をE _a,bに 適用すると 、 Jに次の形式の 曲線が得られます。

${\displaystyle C:\ Y^{2}=eX^{4}-2dX^{2}Z^{2}+Z^{4}}$^[3]

どこ：

${\displaystyle e={\frac {-(3p^{2}+4a)}{16}},\ \ d={\frac {3p}{4}}}$。

Kの元です。Cはヤコビ座標の ヤコビ四次形式の楕円曲線を表します。

アフィン座標におけるヤコビ四次曲線の一般的な形は次のとおりです。

${\displaystyle y^{2}=ex^{4}+2ax^{2}+1}$、

ここで、多くの場合、e = 1 が想定されます。

Cの群法則の中立要素は射影点 (0: 1: 1) です。

2つのアフィン点 および が与えられると、それらの和は点 となり、次のようになります。 ${\displaystyle P_{1}=(x_{1},y_{1})}$${\displaystyle P_{2}=(x_{2},y_{2})}$${\displaystyle P_{3}=(x_{3},y_{3})}$

${\displaystyle x_{3}={\frac {x_{1}y_{2}+y_{1}x_{2}}{1-e(x_{1}x_{2})^{2}}}}$

${\displaystyle y_{3}={\frac {((1+e(x_{1}x_{2})^{2})(y_{1}y_{2}+2ax_{1}x_{2})+2ex_{1}x_{2}({x_{1}}^{2}+{x_{2}}^{2}))}{(1-e(x_{1}x_{2})^{2})^{2}}}}$

ヤコビ交差の場合と同様に、この場合もこの式を 2 倍算に使用することもできます。

C′内の2 つの点P ₁ = ( X ₁ : Y ₁ : Z ₁ ) とP ₂ = ( X ₂ : Y ₂ : Z ₂ )が与えられている場合、点P ₃ = ( X ₃ : Y ₃ : Z ₃ )の座標( P ₃ = P ₁ + P _{2 ) は、} P ₁とP ₂に関して次の式で与えられます。

${\displaystyle X_{3}=X_{1}Z_{1}Y_{2}+Y_{1}X_{2}Z_{2}}$

${\displaystyle Y_{3}=\left(Z_{1}^{2}Z_{2}^{2}+eX_{1}^{2}X_{2}^{2}\right)\left(Y_{1}Y_{2}-2aX_{1}X_{2}Z_{1}Z_{2}\right)\ +\ 2eX_{1}X_{2}Z_{1}Z_{2}\left(X_{1}^{2}Z_{2}^{2}+Z_{1}^{2}X_{2}^{2}\right)}$

${\displaystyle Z_{3}=Z_{1}^{2}Z_{2}^{2}-eX_{1}^{2}X_{2}^{2}}$

この式はP ₂ = P ₁という条件で2倍算にも使用できます。このようにして点P ₃ = P ₁ + P ₁ = [2] P ₁が得られます。

2 つの点を加算するために必要な乗算の回数は、 13 回に定数による乗算 3 回を加えた回数です。具体的には、定数eによる乗算が 2 回、定数aによる乗算が 1 回あります。

ポイントの加算と倍増に必要な演算を減らすための「戦略」がいくつかあります。乗算の回数は11回と定数による3回の乗算に減らすことができます（詳細については^[4]のセクション3を参照）。

定数eとdを調整することで、乗算の回数を減らすことができます。ヤコビ形式の楕円曲線は、加算と倍算の演算回数を減らすように修正できます。例えば、Cの定数dが非常に小さい場合、 dによる乗算を省略できます。しかし、最善の選択肢はe を減らすことです。e が小さい場合、1つだけでなく2つの乗算が省略されます。

楕円曲線E _4,0を考える。この曲線には位数2の点Pが存在する： P = ( p , 0) = (0, 0)。したがって、a = 4、b = p = 0 となり、e = 1、d = 1 となり、関連するヤコビの4次形式は以下のようになる：

${\displaystyle C:\ Y^{2}=X^{4}+Z^{4}}$

2つの点とを選択すると、上記の加算公式を使用して それらの合計P ₃ = P ₁ + P ₂を求めることができます。${\displaystyle P_{1}=(1:{\sqrt {2}}:1)}$${\displaystyle P_{2}=(2:{\sqrt {17}}:1)}$

${\displaystyle X_{3}=1\cdot 1\cdot {\sqrt {17}}+{\sqrt {2}}\cdot 2\cdot 1={\sqrt {17}}+2{\sqrt {2}}}$

${\displaystyle Y_{3}=\left(1^{2}\cdot 1^{2}+1\cdot 1^{2}\cdot 2^{2}\right)\left({\sqrt {2}}\cdot {\sqrt {17}}-2\cdot 0\cdot 1\cdot 2\cdot 1\cdot 1\right)+2\cdot 1\cdot 1\cdot 2\cdot 1\cdot 1\left(1^{2}\cdot 1^{2}+1^{2}\cdot 2^{2}\right)=5{\sqrt {34}}+20}$

${\displaystyle Z_{3}=1^{2}\cdot 1^{2}-1\cdot 1^{2}\cdot 2^{2}=-3}$。

それで

${\displaystyle P_{3}=({\sqrt {17}}+2{\sqrt {2}}:5{\sqrt {34}}+20:-3)}$。

同じ式を用いて点P ₄ = [2] P ₁が得られる。

${\displaystyle X_{3}=1\cdot 1\cdot {\sqrt {2}}+{\sqrt {2}}\cdot 1\cdot 1=2{\sqrt {2}}}$

${\displaystyle Y_{3}=\left(1+1\cdot 1\right)\left({\sqrt {2}}\cdot {\sqrt {2}}-2\cdot 0\cdot 1\cdot 1\cdot 1\cdot 1\right)+2\cdot 1\left(1^{2}\cdot 1^{2}+1^{2}\cdot 1^{2}\right)=8}$

${\displaystyle Z_{3}=1^{2}\cdot 1^{2}-1\cdot 1^{2}\cdot 1^{2}=0}$

それで

${\displaystyle P_{4}=(2{\sqrt {2}}:8:0)}$。

点P ₁ = ( X ₁ : Y ₁ : Z ₁ )の否定は： − P ₁ = (− X ₁ : Y ₁ : Z ₁ )

ヤコビ四次座標系における点を表すために使用できる他の座標系も存在します。これらは、特定のケースにおいて高速な計算を行うために使用されます。これらの座標系を用いた演算にかかる時間コストの詳細については、http://hyperelliptic.org/EFD/g1p/auto-jquartic.html を参照してください。

アフィンヤコビ四次関数が与えられた場合

${\displaystyle y^{2}=x^{4}+2ax^{2}+1}$

倍増指向XXYZZ座標は、 a ² + c ² = 1を満たす追加の曲線パラメータcを導入し、点(x, y)を(X, XX, Y, Z, ZZ, R)として表します。

${\displaystyle x=X/Z}$

${\displaystyle y=Y/ZZ}$

${\displaystyle XX=X^{2}}$

${\displaystyle ZZ=Z^{2}}$

${\displaystyle R=2\cdot X\cdot Z}$

同じ追加の仮定（a ² + c ^{2 = 1）を伴う}倍加指向のXYZ座標は、 （X、Y、Z）が次の式を満たす 点（x、y）を表します。

${\displaystyle x=X/Z}$

${\displaystyle y=Y/Z^{2}}$

XXYZZ座標を使用する場合、追加の仮定はなく、点(x, y)は(X, XX, Y, Z, ZZ)として次のように表されます。

${\displaystyle x=X/Z}$

${\displaystyle y=Y/ZZ}$

${\displaystyle XX=X^{2}}$

${\displaystyle ZZ=Z^{2}}$

XXYZZR座標は(x, y)を(X, XX, Y, Z, ZZ, R)として表し、次のようになります。

${\displaystyle x=X/Z}$

${\displaystyle y=Y/ZZ}$

${\displaystyle XX=X^{2}}$

${\displaystyle ZZ=Z^{2}}$

${\displaystyle R=2\cdot X\cdot Z}$

XYZ座標では、点(x, y)は(X, Y, Z)で与えられ、次のようになります。

${\displaystyle x=X/Z}$

${\displaystyle y=Y/Z^{2}}$。

特定のケースで必要な実行時間の詳細については、「楕円曲線での演算コストの表」を参照してください。

• オリヴィエ・ビレット、マーク・ジョイエ (2003). 「楕円曲線のヤコビモデルとサイドチャネル解析」.楕円曲線のヤコビモデルとサイドチャネル解析. コンピュータサイエンス講義ノート. 第2643巻. シュプリンガー・フェアラーク・ベルリン・ハイデルベルク 2003. pp.  34– 42. doi :10.1007/3-540-44828-4_5. ISBN 978-3-540-40111-7。
• PY Liardet, NP Smart (2001). 「ヤコビ形式を用いたECCシステムにおけるSPA/DPAの防止」.暗号ハードウェアと組み込みシステム — CHES 2001.コンピュータサイエンス講義ノート. 第2162巻. Springer-Verlag Berlin Heidelberg 2001. pp.  391– 401. doi :10.1007/3-540-44709-1_32. ISBN 978-3-540-42521-2. S2CID  32648481。
• http://hyperelliptic.org/EFD/index.html

• http://hyperelliptic.org/EFD/g1p/index.html