为什么r-扭点集同构于$\mathbb{Z}_r \_r \mathbb{Z}_r$
我在读“基于配对的密码体制的实现”。
指出E(\mathbb{F}_{k^q})[r]与\mathbb{Z}_r的乘积本身是同构的。E(\mathbb{F}_{k^q})[r]是r-torsion点的集合,意思是所有的点,P D5 rP = O (我认为)。
好的。让我们用r = 2进行测试。我们知道,这4种解决方案是:\{O, (a_0, 0), (a_1, 0), (a_2, 0)\},其中a_n是立方x^3 + ax + b = 0的n-th根。
但\mathbb{Z}_2 \times \mathbb{Z}_2是\{(0, 0), (0, 1), (1, 0), (1, 1)\}。
我猜这是同构的,因为每个集合中有4个元素。但是..。我不知道说有同构是怎么增加价值的?
例如:我们可以只说E(\mathbb{F}_{k^q})[r]有r^2元素(这是\mathbb{Z}_r \times \mathbb{Z}_r的大小)。
回答 1
Cryptography用户
发布于 2022-01-25 18:26:04
E(\mathbb{F}_{k^q})[r]是r-torsion点的集合,意思是所有的点,PD3rP = O(我认为)。
对,是这样。
我猜这是同构的,因为每个集合中有4个元素。但是..。我不知道说有同构是怎么增加价值的?例如:我们可以只说
E(\mathbb{F}_{k^q})[r]有r^2元素(这是Z_r \times Z_r的大小)。
理解这种结构对于密码学中的许多应用都是非常重要的。例如,在基于等价类的密码学中,它是非常基础的.之所以如此,是因为作为两个循环群的乘积,它是由两个(独立)点P, Q of order r生成的。这就是说,对于某些系数[a]P + [b]Q,扭转中的每一点都可以写成a,b。比方说,与经典的椭圆曲线密码学相比,我们在一个循环群中工作,每个点都可以写成单个生成器的[x]G,G。即使组本身有order r^2,在E(\mathbb{F}_{k^q})[r]中也没有顺序r^2。
由于这种结构,扭转子群中存在着r+1阶r子群。这在基于等价类的密码学中很重要,因为这些子群中的每个子群与曲线E形成了不同的同系物核。
在研究p-torsion子群的结构时,当p是这个领域的特征时(我怀疑你用错误的方式写出了q和k ),它也将椭圆曲线划分为“普通”曲线和“超级曲线”。
有关更多信息,请参阅Silverman的“椭圆曲线的算法”,第三节,推论6.4。
在基于配对的冰晶学中,这种结构也是极其重要的。一个很好的参考,在这方面的更多信息是克雷格科斯特洛的“初学者配对”。(特别见第4章)。
https://crypto.stackexchange.com/questions/98331
复制
腾讯云开发者
