Montgomery Eğrisi

Montgomery Eğrisi Peter L. Montgomery tarafından 1987'de tanımlanmış, klasik Weierstrass formundan farklı bir eliptik eğri formudur.^[1] Belirli hesaplamalar için ve özellikle farklı kriptografi uygulamalarında kullanılır.

Şablon:Matematik cismi üzerinde Montgomery egrisi, belirli Şablon:Matematik değerleri için ve Şablon:Matematik eşitsizliği sağlanıyorken, aşağıdaki eşitsizlikle tanımlanır:

${\displaystyle M_{A,B}:B{y}^2=x^3+A{x}^2+x}$

Bu eğri genellikle bir Şablon:Matematik sonlu cismi üzerinde tanımlı olur. (örnek olarak Şablon:Matematik elemanın oluşturduğu bir sonlu cisim, Şablon:Matematik) Bu sonlu cismin karakteristiği 2'den farklı ve Şablon:Matematik Şablon:Matematik olması gerektiğine dikkat edelim. Aynı zamanda Şablon:Matematik ve Şablon:Matematik için aynı kısıtlamalara sahip rasyoneller üzerinde de düşünülür.

Bir eliptik eğri üzerinde noktaları arasında, nokta toplama ve nokta ikileme işlemleri gerçekleştirilebilmektedir. Nokta Toplama; ${\displaystyle P,Q}$ eliptik eğrisi üzerinde tanımlı iki nokta olmak üzere ${\displaystyle R=P+Q}$; olacak şekilde ${\displaystyle R}$ noktası bulmak işlemidir. Nokta İkileme ise ${\displaystyle [2]P=P+P}$ işlemidir. (Kullanılan işlemler hakkında detaylı bilgi için bkz; elliptic eğri grup kuralları (eng: the group law))

${\displaystyle P=(x,y)}$ noktası Montgomery formundaki ${\displaystyle B{y}^2=x^3+A{x}^2+x}$ eliptik eğrisi üzerinde bir nokta olmak üzere, bu noktanın Montgomery koordinatları ${\displaystyle P=(X:Z)}$ Burada ${\displaystyle P=(X:Z)}$ projektif koordinatlardır. (${\displaystyle x=X/Z}$ ve ${\displaystyle Z\ne 0}$).

Bir nokta için bu tür bir temsilin(dönüşümün) bilgi kaybettiğine dikkat edin: gerçekten ${\displaystyle (x,y)}$ ve ${\displaystyle (x,-y)}$ (afin noktalarının kullanımında bir ayrım gözetilmez çünkü her iki noktanın kullanımı da bize ${\displaystyle (X:Z)}$ sonucunu verecektir. Ancak, bu gösterim(dönüşüm) ile bir ${\displaystyle P=(X:Z)}$ noktanın n sayısı ile çarpılmasını elde etmek mümkündür; ${\displaystyle [n]P=(X_n:Z_n)}$

Şimdi, iki nokta dikkate alalım; ${\displaystyle P_n=[n]P=(X_n:Z_n)}$ ve ${\displaystyle P_m=[m]P=(X_m:Z_m)}$:

Bu iki noktanın toplamları aşağıdaki şekilde ifade edilir;

${\displaystyle P_{m+n}=P_m+P_n=(X_{m+n}:Z_{m+n})}$

bu toplamın koordinatları:

${\displaystyle X_{m+n}=Z_{m-n}((X_m-Z_m)(X_n+Z_n)+(X_m+Z_m)(X_n-Z_n){)}^2}$

${\displaystyle Z_{m+n}=X_{m-n}((X_m-Z_m)(X_n+Z_n)-(X_m+Z_m)(X_n-Z_n){)}^2}$

Eğer ${\displaystyle m=n}$ ise bu işlem "nokta ikileme" işlemine dönüşür; ${\displaystyle [2]P_n=P_n+P_n=P_{2n}=(X_{2n}:Z_{2n})}$ Koordinatları ise aşağıdaki eşitsizliklerle belirlenir;

${\displaystyle 4X_n{Z}_n=(X_n+Z_n{)}^2-(X_n-Z_n{)}^2}$

${\displaystyle X_{2n}=(X_n+Z_n{)}^2(X_n-Z_n{)}^2}$

${\displaystyle Z_{2n}=(4X_n{Z}_n)((X_n-Z_n{)}^2+((A+2)/4)(4X_n{Z}_n))}$

Yukarıdaki ilk işlemin(toplama işleminin) maliyeti: (3M+2S) (Burada M, tanımlı eliptik eğrideki herhangi iki elemanın çarpımını, S ise tanımlı cisimdeki bir elemanın karesini ifade ediyor)

İkinci işlemin(ikileme) maliyeti : 2M + 2S + 1D, (Burada D herhangi bir elemanın bir ${\displaystyle (A+2)/4}$ değeri seçilebilir.

Montgomery formunda bir eliptik eğrininin bir noktasının ${\displaystyle P_1=(X_1:Z_1)}$ nokta ikilemesi, aşağıdaki algoritma ile gösterilebilir;

${\displaystyle Z_1=1}$ varsayıldığı durumda bu implementasyonun maliyeti; 1 + 2 + *1 + 3add + 1*4. (Burada M gerekli çarpma işlemlerini, S ise kare alma işelemlerini, a ise A ile çarpma işlemlerini belirtir.)

${\displaystyle X{X}_1=X_1^2}$

${\displaystyle X_3=(X{X}_1-1{)}^2}$

${\displaystyle Z_3=4X_1(X{X}_1+a{X}_1+1)}$

Kabul edelim ki ${\displaystyle P_1=(2,\sqrt{3})}$ noktası, ${\displaystyle 2y^2=x^3-x^2+x}$ eğrisi üzerinde bir nokta olsun. Koordinatları; ${\displaystyle (X_1:Z_1)}$ ; ${\displaystyle x_1=X_1/Z_1}$, ${\displaystyle P_1=(2:1)}$ O halde:

${\displaystyle X{X}_1=X_1^2=4}$

${\displaystyle X_3=(X{X}_1-1{)}^2=9}$

${\displaystyle Z_3=4X_1(X{X}_1+A{X}_1+1)=24}$

Sonuç olarak bulduğumuz nokta; ${\displaystyle P_3=(X_3:Z_3)=(9:24)}$ dikkat edilirse, ${\displaystyle P_3=2P_1}$.

${\displaystyle P_1=(x_1,y_1)}$${\displaystyle P_2=(x_2,y_2)}$ afin koordinatlarda Montgomery eğrisi ${\displaystyle M_{A,B}}$ üzerinde iki nokta olmak üzere, 

${\displaystyle P_3=P_1+P_2}$ şeklinde belirlenen nokta geometrik olarak ${\displaystyle M_{A,B}}$ ile ${\displaystyle P_1}$ ve ${\displaystyle P_2}$ noktalarını birleştiren doğrunun kesimini ifade eden üçüncü bir noktadır. Bu noktanın koordinatları ${\displaystyle (x_3,y_3)}$ aşağıdaki şekilde belirlenir:

1) 2 boyutlu afin uzayda, ${\displaystyle y=lx+m}$ doğrusunun ${\displaystyle P_1}$ ve ${\displaystyle P_2}$ noktalarından geçtiğini varsayalım.(bu varsayımdan yararlanarak),

${\displaystyle l=\frac{y_2-y_1}{x_2-x_1}}$ ve ${\displaystyle m=y_1-\left(\frac{y_2-y_1}{x_2-x_1}\right)x_1}$; elde edilir.

2) Doğru ile ${\displaystyle M_{A,B}}$, eğri denklemindeki ${\displaystyle y}$ değişkeni ${\displaystyle y=lx+m}$ ile değiştirilirse aşağıdaki 3. dereceden denklem elde edilir:

${\displaystyle x^3+(A-B{l}^2)x^2+(1-2Blm)x-B{m}^2=0.}$

Daha önce gözlemlenebildiği gibi, bu denklem ${\displaystyle P_1}$, ${\displaystyle P_2}$ ve ${\displaystyle P_3}$ noktalarının x koordinatlarına göre üç köke sahiptir. Öyleyse denklem;

${\displaystyle (x-x_1)(x-x_2)(x-x_3)=0}$ şeklinde yazılır.

3) Yukarıda verilen iki özdeş denklemin katsayılarının, özellikle de ikinci mertebeden olanın terimlerinin katsayılarının karşılaştırılmasıyla aşağıdaki denklem elde edilir:

${\displaystyle -x_1-x_2-x_3=A-B{l}^2}$.

Böylelikle,${\displaystyle x_3}$ terimi ${\displaystyle x_1}$, ${\displaystyle y_1}$, ${\displaystyle x_2}$, ${\displaystyle y_2}$ terimleri cinsinden aşağıdaki biçimde yazılabilir:

${\displaystyle x_3=B{\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-A-x_1-x_2.}$

4) ${\displaystyle P_3}$ noktasının ${\displaystyle y}$ koordinatını bulabilmek için, ${\displaystyle x_3}$ değerini  ${\displaystyle y=lx+m}$ doğrusunda yerine koymak yeterlidir. Bunun doğrudan ${\displaystyle P_3}$ noktasını vermeyeceğine dikkat edin. Gerçekten, bu yöntemle, ${\displaystyle R+P_1+P_2=P_{\mathrm{\infty }}}$,  sağlayan ${\displaystyle R}$ noktasının koordinatları bulunur. Eğer  ${\displaystyle P_1}$ ve ${\displaystyle P_2}$ nokta ekleme işleminin sonuç noktasına ihtiyaç duyulursa, ${\displaystyle R+P_1+P_2=P_{\mathrm{\infty }}}$ ancak ve ancak${\displaystyle -R=P_1+P_2}$ olması durumunu göz önüne almak gereklidir. Bu yüzden, verilen ${\displaystyle R}$ noktası için ${\displaystyle -R}$ noktasını bulmak gereklidir. Bu işlem verilen ${\displaystyle R}$ nin y koordinatının işaretini değiştirerek kolaylıkla yapılabilir. Başka bir deyişle, doğru denkleminde ${\displaystyle x_3}$ ün yerine konulmasıyla elde edilen ${\displaystyle y}$ koordinatının işaretini değiştirmek yeterli olacaktır.

Öyleyse ${\displaystyle P_3=(x_3,y_3)}$ noktasının koordinatları,${\displaystyle P_3=P_1+P_2}$ şunlardır:

${\displaystyle x_3=\frac{B(y_2-y_1{)}^2}{(x_2-x_1{)}^2}-A-x_1-x_2=\frac{B(x_2{y}_1-x_1{y}_2{)}^2}{x_1{x}_2(x_2-x_1{)}^2}}$

${\displaystyle y_3=\frac{(2x_1+x_2+A)(y_2-y_1)}{x_2-x_1}-\frac{B(y_2-y_1{)}^3}{(x_2-x_1{)}^3}-y_1}$

 ${\displaystyle M_{A,B}}$ Montgomery Eğrisi üzerinde verilen bir ${\displaystyle P_1}$ noktası için, ${\displaystyle [2]P_1}$; Geometrik olarak eğri ile ${\displaystyle P_1}$'eğet olan doğru arasındaki kesişimi ifade eden üçüncü noktasını temsil eder;${\displaystyle P_3=2P_1}$ sağlayan ${\displaystyle P_3}$ noktasının koordinatlarını bulabilmek için, 'nokta toplama' metodundakine benzer bir yol izlenir; ancak, bu durumda, y = lx + m  doğrusu ${\displaystyle P_1}$ eğrisine teğet olmalıdır. Bu yüzden, eğer ${\displaystyle M_{A,B}:f(x,y)=0}$ ile

${\displaystyle f(x,y)=x^3+A{x}^2+x-B{y}^2,}$

Doğrunun eğimini temsil eden l değeri aşağıdaki gibi verilir:

${\displaystyle l=-\frac{\partial f}{\partial x}/\frac{\partial f}{\partial y}}$

kapalı fonksiyon teoremi'ne göre yazılabilir.

Yani ${\displaystyle l=\frac{3x_1^2+2A{x}_1+1}{2B{y}_1}}$ ve ${\displaystyle P_3}$, ${\displaystyle P_3=2P_1}$

${\displaystyle \begin{array}{cc}{x}_3& =B{l}^2-A-x_1-x_1=\frac{B(3x_1^2+2A{x}_1+1{)}^2}{(2B{y}_1{)}^2}-A-x_1-x_1\\ & =\frac{(x_1^2-1{)}^2}{4B{y}_1^2}=\frac{(x_1^2-1{)}^2}{4x_1(x_1^2+A{x}_1+1)}\\ y_3& =(2x_1+x_1+A)l-B{l}^3-y_1\\ & =\frac{(2x_1+x_1+A)(3{x_1}^2+2A{x}_1+1)}{2B{y}_1}-\frac{B(3{x_1}^2+2A{x}_1+1{)}^3}{(2B{y}_1{)}^3}-y_1.\end{array}}$

Kabul edelim ki ${\displaystyle K}$ karakteristiği 2'den farkli bir cisim olsun.

Yine kabul edelim ki ${\displaystyle M_{A,B}}$ Montgomery formunda bir eliptik eğri olsun:

${\displaystyle M_{A,B}:B{v}^2=u^3+A{u}^2+u}$

 ${\displaystyle A\in K\setminus \{-2,2\}}$, ${\displaystyle B\in K\setminus \{0\}}$

ve kabul edelim ki ${\displaystyle E_{a,d}}$ bükülmüş Edwards formunda bir eliptik eğri olsun: 

${\displaystyle E_{a,d}:a{x}^2+y^2=1+d{x}^2{y}^2,}$

 ${\displaystyle a,d\in K\setminus \{0\},a\ne d.}$

Aşağıdaki teoremi Mongomery eğrileri ile bükülmüş Edwards eğrileri arasındaki birasyonel denkliği gösterir:^[2]

Teorem (i) ${\displaystyle K}$ üzerinde, her bükülmüş Edwards eğrisi bir Montgomery eğrisine birasyonel denktir. Özellikle, ${\displaystyle E_{a,d}}$ bükülmüş Edwards eğrisi, ${\displaystyle M_{A,B}}$ Montgomery eğrisine;   ${\displaystyle A=\frac{2(a+d)}{a-d}}$ ve ${\displaystyle B=\frac{4}{a-d}}$ sağlanıyorken birasyonel denktir.

Eşleme:

${\displaystyle \psi :E_{a,d}\to M_{A,B}}$

${\displaystyle (x,y)\mapsto (u,v)=(\frac{1+y}{1-y},\frac{1+y}{(1-y)x})}$

${\displaystyle E_{a,d}}$'den ${\displaystyle M_{A,B}}$' ye birasyonel denklik, tersi;

${\displaystyle {\psi }^{-1}}$: ${\displaystyle M_{A,B}\to E_{a,d}}$

${\displaystyle (u,v)\mapsto (x,y)=(\frac{u}{v},\frac{u-1}{u+1}),a=\frac{A+2}{B},d=\frac{A-2}{B}}$

Dikkat edilirse, iki eğri arasındaki bu denklik her yerde geçerli değildir: gerçekten de ${\displaystyle \psi }$ eşlemesi ${\displaystyle M_{A,B}}$'de ${\displaystyle v=0}$ ya da ${\displaystyle u+1=0}$ noktalarında tanımlı değildir.

Tüm eliptik eğriler Weierstrass formunda yazılabilir. Özellikle, Montgomery formundaki eliptik eğriyi ele alalım;

${\displaystyle M_{A,B}}$: ${\displaystyle B{y}^2=x^3+A{x}^2+x,}$

aşağıdaki şekilde dönüştürülebilir:

${\displaystyle M_{A,B}}$'nin her bir terimini ${\displaystyle B^3}$'e bölüp ve x,y değerlerine, ${\displaystyle u=\frac{x}{B}}$, ${\displaystyle v=\frac{y}{B}}$ dönüşümü uygulanırsa,

${\displaystyle v^2=u^3+\frac{A}{B}{u}^2+\frac{1}{B^2}u.}$

Bir kısa Weierstrass formu elde edebilmek için burada u'yu ${\displaystyle t-\frac{A}{3B}}$ değeri ile değiştirtirmek gerekir:

${\displaystyle v^2={(t-\frac{A}{3B})}^3+\frac{A}{B}{(t-\frac{A}{3B})}^2+\frac{1}{B^2}(t-\frac{A}{3B});}$

Sonuç olarak:

${\displaystyle v^2=t^3+\left(\frac{3-A^2}{3B^2}\right)t+\left(\frac{2A^3-9A}{27B^3}\right).}$

Dolayısıyla eşleme şöyle verilir:

${\displaystyle \psi }$: ${\displaystyle M_{A,B}\to E_{a,b}}$

${\displaystyle (x,y)\mapsto (t,v)=(\frac{x}{B}+\frac{A}{3B},\frac{y}{B}),a=\frac{3-A^2}{3B^2},b=\frac{2A^3-9A}{27B^3}}$

aksine,${\displaystyle 𝔽}$ baz cismi üzerinde Weierstrass formunda bir eliptik eğri:

${\displaystyle E_{a,b}}$: ${\displaystyle v^2=t^3+at+b}$

Montgomery formuna ancak ve ancak ${\displaystyle E_{a,b}}$ mertebesi 4'e bölünebilirse ve aşağıdaki koşulları sağlarsa dönüştürülebilir:^[3]

1. ${\displaystyle z^3+az+b=0}$ en az bir ${\displaystyle \alpha \in 𝔽}$ köküne sahip; ve
2. ${\displaystyle 3{\alpha }^2+a}$ ${\displaystyle 𝔽}$'de bir ikinci dereceden rezidü.

Bu şartlar sağlandığında, ${\displaystyle s=(\sqrt{3{\alpha }^2+a}{)}^{-1}}$ için aşağıdaki eşlemeye sahip olunur;

${\displaystyle {\psi }^{-1}}$: ${\displaystyle E_{a,b}\to M_{A,B}}$

${\displaystyle (t,v)\mapsto (x,y)=(s(t-\alpha ),sv),A=3\alpha s,B=s}$.

• Curve25519
• Curve25519
• Eliptik egri kriptografisi

Şablon:Kaynakça

• Şablon:Dergi kaynağı
• Şablon:Kitap kaynağıŞablon:Ölü bağlantı
• Şablon:Dergi kaynağı