実験数学3 (大阪大学理学部数学科 3年・4年) 鈴木 譲 2014年5月15日

1. 楕円曲線
実験数学 3
(大阪大学理学部数学科 3 年・4 年)
第 4 回: 楕円曲線における離散対数問題
鈴木 譲
大阪大学
2014 年 5 月 15 日
1 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

2. 楕円曲線
楕円曲線
K: 体
a, b ∈ K (4a2 + 27b3 ̸= 0 ⇐⇒ x3 + ax + b = 0 が重解なし)
E0(K) := {(x, y) ∈ K2
|y2
= x3
+ ax + b}
例: K = Q, a = 1, b = 2 (4 · 23 + 27 · 22 ̸= 0)
x = 1 =⇒ y = ±2 ∈ Q =⇒ (1, ±2) ∈ E0(Q)
x = 0 =⇒ y = ±
√
2 ̸∈ Q =⇒ (0, ±
√
2) ̸∈ E0(Q)
K = F11, a = 1, b = 6 (4 · 13 + 27 · 62 = 8 ̸= 0)
x = 2 =⇒ y2
= 5 =⇒ (2, 4), (2, 7) ∈ E0(F11)
x = 3 =⇒ y2
= 3 =⇒ (3, 5), (3, 6) ∈ E0(F11)
x = 0, 1, 4, 6, 9 では、F11 で、y の値 (平方根) が存在しない
2 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

3. 楕円曲線
P(xP, yP), Q(xQ, yQ) ∈ E0(K) の演算を以下で定義:
.
1 xP ̸= xQ のとき、P, Q を結ぶ直線と y2
= x3
+ ax + b との交点が
R(xR , yR ) であれば、P + Q = (xR , −yR )
.
2 P = Q のとき、直線を接線と考えて、
P + Q = (xP+Q, yP+Q) = (xR , −yR ) を計算
.
3 xP = xQ, yP ̸= yQ(⇐⇒ xP = xQ, yP = −yQ) のとき (P = −Q とか
く)、xP ∈ K によらず O ̸∈ E0(K) (無限遠点)
3 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

4. 楕円曲線
xP, yP, xQ, yQ ∈ K =⇒ xP+Q, yP+Q ∈ K
P ̸= ±Q のとき、
k =
yQ − yP
xQ − xP
Y = yP + k(X − xP)
(yP + k(X − xP))2
= X3
+ aX + b
X3
− k2
X2
+ · · · = 0
xP + xQ + xR = k2
{
xP+Q = xR = k2 − xP − xQ ∈ K
yP+Q = −yR = −{k(xR − xP) + yP} ∈ K
P = Q のとき、xP = xQ
2YY ′
= 3X2
+ a , k =
3x2
P + a
2yP
2yP = 0 ⇐⇒ yP = −yP ⇐⇒ P = −Q
4 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

5. 楕円曲線
例: K = F11, a = 1, b = 6
E0(K) = {(2, 4), (2, 7), (3, 5), (3, 6), (5, 2), (5, 9), (7, 2), (7, 9),
(8, 3), (8, 8), (10, 2), (10, 9)}
(2, 4) + (2, 7) = O
(2, 4) + (3, 5) = (7, 2)
(2, 4) + (2, 4) = (5, 9)
5 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

6. 楕円曲線
E(K) := E0(K) ∪ {O} は可換群
O + O = O , P ∈ E0(K) =⇒ P + O = O + P = P
(結合法則の証明は、計算が膨大のため省略)
6 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

7. 楕円曲線
有限巡回群 < P >, P ∈ E(Fp)
m ∈ N+ として、
[m]P := P + · · · + P
m
[0]P := O
[−m]P := −(P + · · · + P
m
)
E(Fp) は一般には巡回群ではないが、有限群なので、各
P ∈ E(Fp) で [m]P = O なる m ∈ Z が存在 (正の最小の m が位数)
例: K = F11, a = 1, b = 6
[3](2, 4) = [2](2, 4) + (2, 4) = (5, 9) + (2, 4) = (8, 8)
E(K) = E0(K) ∪ {O} が 13 個の元をもつので、巡回群
[13](2, 4) = O
7 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

8. 楕円曲線
離散対数問題
β ∈< α >= G について、αx = β なる 1 ≤ x ≤ |G| を見出す
.
1 G = F∗
p = {1, · · · , p − 1} (mod p での乗算)
.
2 P ∈ E(Fp) として、G =< P >
楕円曲線の離散対数問題
.
Index Calculus が適用できないため、計算量の多い方法を使わな
いと、解読できないので安全
8 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題

9. 楕円曲線
参考: E(Fp) の群としての性質
E(Fp) は階数が 1 または 2
.
.
E(Fp) ∼= Z/mZ ⊕ Z/nZ
n|m, n|p − 1
例: K = F11, a = 1, b = 6 は、巡回群 (階数 1)。
Hasse-Weil
.
.
p + 1 − 2
√
p ≤ |E(Fp)| ≤ p + 1 + 2
√
p
例: K = F11, a = 1, b = 6 のとき、p = 11, |E(Fp)| = 13
< P > の位数を大きくするために、E(Fp) が巡回群となるような
楕円曲線を選ぶ
< P > の位数を計算して、大きな素因数を含んでいることを確認。
9 / 9
実験数学 3, (大阪大学理学部数学科 3 年・4 年), 第 4 回: 楕円曲線における離散対数問題