CN1735858A - 构造适合于加密目的的超椭圆曲线的方法以及使用这种方法的密码设备 - Google Patents

Abstract

为了提供迅速确定安全的超椭圆曲线的方法，建议使用复数乘法方法构造合适的超椭圆曲线。本发明的方法在具有大的特性曲线的有限域上产生适合于加密应用的亏格2的超椭圆曲线。本发明进一步还提供利用前述的方法的一种密码设备，它能有益地用于加密和解密报文，可以在发送器和接收器之间的公共网络上安全地交换信息。利用这样一种密码设备，可以在发送器和接收器的鉴别验证过程中迅速而容易地加密应该交换的报文和文件。

Description

构造适合于加密目的的超椭圆曲线的方法 以及使用这种方法的密码设备

技术领域

在许多情况下，在公共网络上在发送器和接收器之间的信息安全交换需要加密交换所需的报文和文件，因此需要对于发送器和接收器的验证过程。

背景技术

面对特定频率的加密或密码方法就是所谓的“非对称的”加密，还称之为“公共密钥”方法。这种方法允许报文的接收器在公共网络上向发送器发送一个密钥，通过这样的方式，使密钥在原理上可以访问任何第三方。这种密钥是“公共密钥”。然后，发送器使用这个密钥加密所说报文。公共密钥方法的魅力在于如下的事实：以此方法加密的报文只利用公共密钥的知识不可能再被解密。只有公共密钥的产生器，即接收器，才能解密利用它的公共密钥加密的报文。对于这种类型的非对称加密，还有一系列变型。非对称加密的最为人们熟知的例子无疑是RSA方法。

公共密钥方法的一个子组包括如下步骤：对于一个极大的自然数或者另一个大的自然数的整数模求幂，即得到公共密钥。这组方法的安全性基于在实践中计算离散的对数以便以这种方法获得保密指数(exponent)的不可能性。基于离散的对数问题的加密和验证方法的例子是所谓的Diffie-Hellman加密方法、El-Gamal加密方法、DSS-签字、Schnorr方法。

在各种方法中，可以选择有限阿贝尔群，它是离散的对数的基础。一个可能的选择是，在有限域(field)F_q上定义的一个超椭圆曲线的0度的除子类群的F_q个有理元素组成的群。这个群还称之为超椭圆曲线的雅可比变化量的F_q有理点群，对于这个群，存在群的元素的紧凑表示和有效的附加算法。例如在N.Koblitz的“加密的代数方面”(Springer Verlag，1998)讨论了这个群的表示和使用的深层细节。

然而，这种选择的一个问题是合适的超椭圆曲线的确定的问题。为了保证离散的对数问题在实践中不被破解，这个曲线的除子类群应该包括一个极大的素因子，因为破解对数问题的算法的运行时间取决于这个素因子的平方根。如果以今天的计算机系统的性能作为基础，这个素因子的长度至少应该是2160比特。然而，为了保证这个系统的有效性，系统的如密钥的参数不应太长。

满足这些条件的超椭圆曲线是这样一些曲线，它们的0度除子类群是一个素数的或几乎是素数的群阶。为了确定这种类型的曲线，在原理上，可以从有限域F_p随机选择曲线的系数。如果最终的曲线是一个非奇异的曲线，就可以确定这个除子类群的元素的数目。然而，对于在具有大的特性曲线(对于亏格(genus)2的曲线，p＞2⁸⁰)的域上随机选择的超椭圆曲线而言，找到能够确定这个数的算法，即确定除子类群的阶的算法，至今还是不可能的。此外，只有一部分超椭圆曲线具有素数阶或几乎素数阶的除子类群，并且正因为如此，即使当真有这种算法，仍旧还存在必须测试大量曲线以后才能确定可以确定以上定义的安全曲线的问题。这些测试不利于选择过程的速度。

发明内容

因此，本发明的一个目的是确定一种方法，用于快速确定安全的超椭圆曲线。本发明的另一个目的是提供一种密码设备，用于实现安全的超椭圆曲线的这样一种快速确定。

为了本发明的这些目的，通过使用复数乘法的方法构造合适的超椭圆曲线来实现这个目的。本发明的方法对于加密的应用在具有大的特性曲线的有限域上产生合适的亏格2的超椭圆曲线。

在具有不等于2的特性曲线的一个域F_q(或F_p)上可定义一个亏格为g的超椭圆曲线，使其成为如下形式的非奇异曲线：

y2＝f(x)，

这里的f(x)是2g+1度的归一化多项式。

复数乘法方法在下面将称之为CM方法，这是一种本身已知的方法，并且例如已被Atkin使用来构造椭圆曲线。对于复数乘法理论的已知应用的细节，可以参照：A.O.Atkin，F.Morain的“椭圆曲线和本原性证明”(Math.Comp.61：29-68，1993)。已知的复数乘法方法对于一个指定的假想二次阶(order)O和一个素数p可以在F_p上确定一个椭圆曲线E，椭圆曲线E的自同态环对于二次阶O来说是同构的。在这种情况下通过类数h(O)和阶O的判别式来确定复数乘法方法的复杂度，并因此确定与其相关的计算操作的复杂度。在A.-M.Spallek[IEM，1994，预印本第18号]和本发明人A.Weng[IEM，2002，预印本第11号]的学术论文中，将复数乘法方法的应用扩展到亏格2和类号1的超椭圆曲线的结构(Spallek)，扩展到亏格2和类号达到10的超椭圆曲线并且扩展到亏格3及其以上的超椭圆曲线的特殊类(Weng)。

具体来说，在按照本发明的方法中，确定简单的主极化阿贝尔变化量的所有同构类的表示系统。在此类中，简化了同构类的计数，因为根本没有任何需要来检查在复数乘法域K中的基本单位是否是一个单位的范数。

还有，可以将周期矩阵转换成等价的Siegel约化矩阵和以这种方式获得的θ零位(theta nulls)的较快的收敛性。

在另一个优选实施例中，从所计算的10个中的6个θ零位中确定复数域C上的超椭圆曲线。

还有，在按照本发明的方法的一个优选变型中，确定多个可能的复数乘法域，具体来说大于100个或者甚至于大于1000个复数乘法域，计算属于复数乘法域的类多项式，将其中的两个作为一个数据组进行存储，而后再使用用于确定安全的超椭圆曲线的方法。

在按照本发明的方法的一个变型中，通过测试来减小复数乘法域的可能的范围。以此方式可以保证，对于群阶可以获得一个准确的素数。

在按照本发明的方法中，对于基于有限域F_p的素数p进行选择，以使在F_p上的复数乘法域K的最小多项式可以分解为4个不同的线性因子。

在另一个变型中，基于曲线的有限域F_p不是素数。

使用以上所述方法的密码设备可有益地用于报文的加密和解密，以便在发送器和接收器之间的公共网络上安全地交换信息。利用这样的密码设备，就可以在发送器和接收器的验证过程中快速并容易地加密应该交换的报文和文件。

参照以下描述的实施例来说明本发明的这些和其它的方面，本发明的这些和其它的方面都将变得显而易见。

附图说明

图1表示按照本发明的用于确定复数乘法域和相关的类多项式的第一子步骤；

图2表示按照本发明的用于确定适合于加密目的的曲线的第二子步骤。

具体实施方式

下面详细描述按照本发明的方法的步骤。所说的方法包括两个子步骤。第一子步骤涉及确定复数乘法域K、适合于定义域F_p的素数p、以及合适的群阶n。

首先通过对于具有类号为h_k0＝1的完全实数域K₀进行完全的虚二次展开，来确定一个合适的复数乘法域K。这种类型的复数乘法域例如可以通过数据组K＝Q(i(a+bd)^1/2)^1/2)给出，这里的a、b、d是整数。

对于素数p进行选择，以满足以下的3个条件：

1.在Q_k中存在一个数w，使w w＝p，这里的Q_k是K的最大的阶，_w是w的共轭复数元素(在这里以及在下面，下划线代表下划线上这一项的共轭复数元素)。

2.或者n₁＝II(1-W_i)，或者N₂＝II(1+w_i)基本上是素数，在这里乘积II覆盖K中w的所有共轭的w_i。

3.阶n_i(i＝1，2)之一是k_q的形式，这里的k是个小的数，q是满足在F_q中p的阶很高的条件的一个素数。

在这种情况下，通过从Q_k中选择一个随机数η并且检查乘积η η的共轭复数元素是否是一个素数，可以简化p的选择。如果是素数，可检查n₁、n₂是否符合条件2。在这种情况下，应该选择数η，以便能够保证它的相关的范数是整数数据组Z的一个数。

按照另一种方式，可以从Z中选择一个随机数p，并且对于绝对范数方程N/_K/Q(w)＝p²的所有的解，可以确定Z[x]中的最小多项式。从这些多项式中选择不可公约的和具有绝对值p^1/2的零点的那些多项式。然后，在点x＝1分析这些最小多项式。这给出可能的群阶n_i的一个组S。这个组最多具有4个不同的数。然后，对于这些值n_i进行测试，使之与上述的条件1和2符合。

对于随后的第二子步骤，可以假定：已经确定了满足第一子步骤中条件1-3的复数乘法域K、素数p、和群阶n。在第二子步骤中，构造具有阶n的除子类群的在F_P上的超椭圆曲线。

在这样进行的过程中，利用了如下的事实：在亏格2的超椭圆曲线的情况下，这些曲线的雅可比变化量严格地是第二维的主极化的雅可比变化量。还有，如果使用已知的方法，可以找到一个表示系统，用于与0_k进行复数乘法的复数域C的简单的主极化的雅可比变化量的所有同构类。从组H₂确定这些变化量的周期矩阵Ω，这在原理上也是公知的，这里的H₂＝{来自Gl₂(C)的M，M^t＝M，Im M是在正的方向确定的}，H₂是第2维的Siegel的上半平面。于是，这个矩阵是对称的，具有一个正方向定义的虚部。

下面给出一个例子：

K₀＝Q(6^1/2)在这里O_K0＝Z+ωZ，ω＝6^1/2

K＝Q(i(3+6^1/2)^1/2)

p＝13970339430705346738100941，和

n＝195170383809059575030928920714011851354971964238376.

η取为等于i(3+)^1/2)。Q(6^1/2)的基本单位ε₀在这种情况下具有正的范数。相对于实二次子域Q_k0来说相对完整的理想类群的表示系统可以用下式表示：

I_K＝{A₁＝O_K＝O_K0+ηO_K0，A₂＝(1-6^1/2)O_K0+(-1+η)O_K0}.

从A1和A2的通用表示：

Ai＝αO_K0+βO_K0，

则有：

τ_i＝α/β，是计算值，取上例中的值，

T₁＝0.4283729905961322011i

T₂＝0.2247448713915890490+0.5246476232752903178i.

由下式给出复数域C中K的一个实施例σ；

σ(i(3+2^1/2)^1/2)＝-i(3-2^1/2)^1/2和

并且ρ是它的共轭复数元素。然后，乘以Q_k的简单的主极化的雅可比变化量的同构类的表示系统可通过下式表示的多元组给出：

{(T₁，T₁ ^σ)，(∈₀T₁，(∈₀T₁)^σ)，(T₁，T₁ ^ρσ)，(∈₀T₁，(∈₀T₁)^ρσ)}

多元组(s₁，s₂)的相关周期矩阵是：

${\mathrm{\Ω}}_{s1,s2}=\frac{1}{\mathrm{\ω}-{\mathrm{\ω}}^{\mathrm{\σ}}}\left(\begin{array}{cc}{\mathrm{\ω}}^2{s}_1-{\mathrm{\ω}}^{\mathrm{\σ}2}{s}_2& {\mathrm{\ωs}}_1\text{-}{\mathrm{\ω}}^{\mathrm{\σ}}{s}_2\\ {\mathrm{\ωs}}_1-{\mathrm{\ω}}^{\mathrm{\σ}}{s}_2& s_1-s_2\end{array}\right).$

通过下面的过程，可以获得同构类的一个计数，其条件是：域K＝Q(i(a+bd^1/2)^1/2)是一个复数乘法域、ε₀是一个基本单位、σ是共轭

σ(i(a+bd^1/2)^1/2)＝-i(a-bd^1/2)^1/2，ρ是复共轭。对于表示式A_i＝α_iQ_k0+β_iQ_k0，获得τ_i＝α_i/β_i，这里的Im(τ_i)＞0。对于{τ₁…，τ_k…，τ_hk}和k≤h形成的类群，正是在这种情况下，对于i≤k，Imτ_j ^σ＞0；对于i＞k，Imτ_j ^σ≤0。下面的规则允许获得可与O_k复数相乘的简单的主极化的雅可比变化量的一个合适的组S：

如果K是伽罗瓦的，则S：＝{(τ_i，τ_j ^σ)，1≤i≤h}。

如果K为非正常的，并且如果N(ε₀)＝1，则k：＝h/2，

S：＝{(T_i，T_i ^σ)，(∈₀T_i，(∈₀T_i)^σ)，1≤i≤k}U{(T_i，T_i ^ρσ)，(∈₀T_i，(∈₀T_i)^ρσ)，k+1≤i≤2k}，

并且，如果K为非正常的，但N(ε₀)＝-1，则获得如下的定义：

S：＝{(T_i，T_i ^σ)，(∈₀T_i，(∈₀T_i)^ρσ)，1≤i≤h}。

对于以上确定的周期矩阵Ω_i的每个矩阵，这里的i＝1，…，4，然后，对k＝1，2，3来计算这个绝对不变量j_k ⁽ⁱ⁾。为此目的，首先对于每个矩阵Ω_i并且借助于θ零位来计算偶θ零位，确定在C上的其雅可比变化量对应于周期矩阵Ω的曲线。从所说的绝对不变量计算这个曲线的类多项式。

周期矩阵Ω_i的偶θ零位由下式给出 ：

$\mathrm{\θ}\left[\begin{array}{c}\mathrm{\δ}\\ \mathrm{\ϵ}\end{array}\right]\left({\mathrm{\Ω}}_i\right)=\underset{\mathrm{n\; from}{Z}^g}{\mathrm{\Σexp}}\left(\mathrm{\πi}\left((n+1/2{\mathrm{\δ})}^t{\mathrm{\Ω}}_i(n+1/2\mathrm{\δ})+2(n+1/2\mathrm{\δ})(z+1/2{\mathrm{\ϵ})}^t\right)\right),$ ，

其中的δ、ε来自于组{0，1}^g，δ^tε＝0模2。

对于亏格2的曲线，这个函数准确地给出了10个θ零位。应该选择近似方法的质量，以使随后计算的类多项式的近似足以使平滑数n在Z[1/n][X]内。在所述的例子中，70个小数位是足够的。

如果在这个函数中插入Siegel约化矩阵Ω`而不是来自H<sub>2</sub>的矩阵Ω<sub>i</sub>，则具有θ零位的方程的收敛性可以得到改善。来自H<sub>2</sub>的矩阵Ω`＝X+iY，在这里，其中具有脚标k，1＝{1，2}的X＝(x_k1)是Siegel约化的，其条件是以下所述是真：

1. 1/2≤x_k1≤-1/2

2. Y是Minkowski约化的

3.对于所有的 $\left(\begin{array}{cc}A& B\\ C& D\end{array}\right)\&Element;\mathrm{Sp}(4,Z),\left|\det (\mathrm{CZ}+D)\right|.$

借助于θ零位，可以确定在C上正在寻找的曲线的模型。Rosenhain模型就是这种类型的模型：

y2＝x(x-1)II(x-λ_i)，

在这里，下脚标i从1延伸到2g-1，即，对于亏格2到3的曲线。Rosenhain模型允许从θ零位中计算λ_i值。以下所述的就是这种情况的一个例子：

λ₁＝3.7761476679542305243215+1.0919141042403378864850i

λ₂＝ λ₁

λ₃＝-0.5826628324044744213034.

从10个偶数θ零位还可以获得所谓Igusa绝对不变量j₁、j₂、j₃，以此作为已知的函数。

然而，还可以从以下的6个θ零位以简单的方式确定Rosenhain模型的λ_i′s和Igusa不变量：

$\begin{array}{ccc}{\mathrm{\&alpha;}}_1=\mathrm{\&theta;}\left[\begin{array}{c}\left(00\right)\\ \left(10\right)\end{array}\right]& {\mathrm{\&alpha;}}_2=\mathrm{\&theta;}\left[\begin{array}{c}\left(01\right)\\ \left(10\right)\end{array}\right]& {\mathrm{\&alpha;}}_3=\mathrm{\&theta;}\left[\begin{array}{c}\left(11\right)\\ \left(10\right)\end{array}\right]\end{array}$

$\begin{array}{ccc}{\mathrm{\&alpha;}}_4=\mathrm{\&theta;}\left[\begin{array}{c}\left(00\right)\\ \left(10\right)\end{array}\right]& {\mathrm{\&alpha;}}_5=\mathrm{\&theta;}\left[\begin{array}{c}\left(01\right)\\ \left(10\right)\end{array}\right]& {\mathrm{\&alpha;}}_6=\mathrm{\&theta;}\left[\begin{array}{c}\left(11\right)\\ \left(10\right)\end{array}\right]\end{array}$

模型f(x)＝x(x-1)(x-λ₃)(x-λ₃)(x-λ₅)的λ_i`s由下式给出：

λ₃＝α₁ ²α₂ ²(α₃ ²α₄ ²)^-1

λ₃＝α₅ ²α₂ ²(α₃ ²α₆ ²)^-1

λ₃＝α₅ ²α₁ ²(α₄ ²α₆ ²)^-1

(非绝对的)Igusa不变量由下式确定：

I₂＝-120A′，I₄＝-720(A′)²+6750B′，

I₆＝8640(A′)³-108000A′B′+202500C′..

在这里：

A′＝(f，f)₆，B′＝(i，i)₄.，C′＝(i，Δ)₆和

i＝(f，f)₄，Δ＝(i，if)₂

在这里，(gh)_k这一项代表如下形式的阶数n和m的两个二进制形式g和h的叠加：

${\left(\mathrm{gh}\right)}_k=\frac{(m-k)!(n-k)!}{m!n!}(\frac{\mathrm{\&delta;g}}{\mathrm{\&delta;x}}\frac{\mathrm{\&delta;h}}{\mathrm{\&delta;z}}-\frac{\mathrm{\&delta;g}}{\mathrm{\&delta;z}}\frac{\mathrm{\&delta;h}}{\mathrm{\&delta;x}}).$

然后，从Igusa不变量可以获得绝对不变量：

j₁＝I₂I₄ ²/Δ，j₂＝I₂ ³I₄/Δ，j₃＝I₄I₆/Δ.

通过将理想的类群Ik分类为成对的理想类及其反向类(inverses)，可以进一步加速Igusa不变量的计算。因为对于反向(inverse)的理想类等于共轭复数理想类的第一类的域K₀就是这种情况，所以对于求解的每一对共轭复数理想类，只需计算一个简单的主极化的雅可比变化量：

如果(T₁，T₁ ^ψ)是属于理想A_i和复数乘法类型(K，ψ)的主极化的雅可比变化量，则(- T ₁，- T ₁ ^ψ)就是属于 A _i的相同复数乘法类型的主极化的雅可比变化量。此外，如果j_i是(T_i，T_i ^ψ)的Igusa不变量，则(- T _i，- T _i ^ψ)的对应的Igusa不变量就等于j _i。于是，对于每一对共轭复数理想类的反向类(inverses)，只需确定一个Igusa不变量。因此，使这一步骤所需的计算工作量几乎减半。

可以将类多项式H_k表示为Igusa不变量j_k(k＝1，...，3)的函数：

H_k(X)：＝II(X-jk⁽ⁱ⁾)，在这里，i＝1，...，4。

这些多项式是有理多项式Q[x]总体中的一些成员。通过应用乘法遵循的无限连续分数的方法，可以把K_k(X)转换成一个整数多项式H_k(X)^#。在这个例子中对于H₁(X)＝II(X-j₁ ⁽¹⁾)所获得的是：

-46989351758.431801106481797X³

-45970146813147129.294447100607881X²

+10924459381549069304009.28898299296496140X

+62662202899453662501195273.54688887371081210299.

如果将精确度选择地足够高，则利用连续分数算法可找到这些系数的分母的最小公倍数。在当前的这个例子中，最小公倍数是11⁴。这将产生一个整数多项式：

H_k(X)^#＝14641 X⁴-687971099095200 X³-673048919491287120000 X²

            -159945009805259923680000000 X

            +917437312650901072680000000000.

在Q[X]上的形式为H_k(X)的类多项式、以及在整数多项式Z[X]的域上的形式为H_k(X)^#的类多项式只取决于所选择的复数乘法域K。然而，即使在已经选择了复数乘法域K以后，用于超椭圆曲线的基本素数域F_p仍旧可以变化。因此有益的作法是，预先计算合适的复数乘法域的一个大的数(在实际中几百或几千)以及相关的类多项式并且按照适当的方式将其存储起来。如果在这个步骤之后必须为加密的应用产生一个超椭圆曲线，资源可能就必须是来自保存在存储器中的文件中的一个随机选择的复数乘法域，或者，换句话说，随机选择的类多项式，并且，可以通过在第一子步骤中列举的标准来确定合适的素数p和群阶n。在此之后，可立即执行随后的步骤以便在F_p上确定超椭圆曲线，而不必重新确定类多项式。

为了实施加密协议，将操作限制在严格为素数的群阶也可能是有益的。

为此目的，建议对于复数乘法域的选择进行限制，并且只有所用的复数乘法域K才是其中模2的最小多项式K/Q具有两个不同的因子或不可约化的那些域。

所以，对用于计算在F_p上的超椭圆曲线的下列步骤，假定已经选择了复数乘法域，并且类多项式H_k(X)^#或者是通过执行以上所述的步骤已经计算出来的，或者是从预先计算出来的一个文件中得出来的。

下一个步骤是计算这个曲线。为此目的，对于来自(F_p)³的每个三元组(a₁，a₂，a₃)执行下面的步骤，其中的H_k(X)^#(ak)＝0模p(0 modp)：

设置j₁：＝a₁，j₂：＝a₂，j₃：＝a₃。然后，从j_i计算Mestre不变量A_ij和H_ijk。在已知用于有限域的Mestre过程中，例如在J.-F.Mestre的“ Constructions des courbes de genre 2 a partir de leurmodules”(Prog.Math.Birkhauser，94：313-314，1991)中所描述的，Mestre不变量是如下形式的二次项的系数：

∑A_ijx_ix_j，以及如下形式的三次项的系数：

∑H_ijkx_ix_jx_k，在这里，这个求和过程是从1到3对下脚标i、j、k进行展开。

通过取多项式f₁(t)、f₂(t)、f₃(t)并且将它们插入如下的三次项：

∑H_ijk f_i(t)，f_j(t)，f_k(t)，从而可为所说的二次项设置参数，进而可以获得在F_p上的超椭圆曲线的模型

y²＝f(t)。如果f(t)在F_p内有一个零点，通过投影变换可以将多项式f(t)的阶数(通常为6阶)减小1到5阶。然后，通过选择一个随机因子D并且形成乘积nD，检查曲线的除子类群是否为n阶。

对于例子中给出的情况，最终的曲线是：

y²＝x⁵+4464505615838997835224600 x⁴+11942994115339229240469614 x³+

1108584063993749350888007 x²+11457344736666435422023499 x+

2901066642986978406675671.

并且，在域F_p中确定了所说的最终的曲线，在这里，

p＝13970339430705346738100941和

n＝195170383809059575030928920714011851354971964238376等于上述的值。n的值是一个素数的152倍。

选择一个合适的素数p，可能加速Mestre算法。其先决条件是复数乘法域K是一个非正常的域，并且p是属于整数组Z的一个素数，它在K中完全可以分解，或者与此等效地，在F_p中K的最小多项式可以分解成4个不同的线性因子。在这些条件下，每个类多项式的模P的线性因子数减半，其条件是，除了符号和共轭复数元素以外，上述的方程w w＝p只有来自组0_k的一个解w。线性因子数的这种减半，使Mestre算法的应用加快了8倍。

为了利用这个优点，要进行检查，观察在上述的第一子步骤中确定的素数p是否将F_p中的K的最小多项式分解为4个不同的线性因子。这可通过直接计算实现。然而，如以上所述，如果通过分析将p选择在Z(x)中的不可约化的并且在绝对值p^(1/2)上具有零点的最小多项式的点x＝1，则所找到的素数是已经预先存储的。在此之后，可以将这些素数限制为只允许两个不同的群阶的那些素数。

如果复数乘法域是循环的，并且理想类群的指数大于2，则在这种情况下有益的素数具有正的密度。具体来说，存在无限数目的这种素数。

可以扩展为了产生适合于密码目的的超椭圆曲线所描述的方法，使其可以覆盖非素数的有限域F_q。在这种情况下，将数q：＝p^f定义为素数p的乘方。指数f是一个自然数，称之为展开式的阶。还可以假定，这个曲线不可能在F_q的子域上定义。

一旦复数乘法域K是一个伽罗瓦域，则p应该选择成：

在K/K₀中，p＝A A。

如果在A^f＝(w)是主要的理想数的条件下(其中w是来自0_k的一个元素)将f选择为最小，则在F_q上存在类多项式的一个平方根。根据这些平方根并且借助于Mestre算法就可以如以上详述那样构造在F_q上的超椭圆曲线。这些曲线的阶数由下式给出：

n＝II(1-w_i)或者II(1+w_i)，

这里，下脚标i＝1，...，4，并且w_i是w的共轭复数元素。

一旦复数乘法域是一个非伽罗瓦域并且是一个非正常域，则应该选择素数p，以使素数理想数(p)分解成3个理想数：

(p)＝p₁ p ₂p₂。

因此，存在一个理想A，这就意味着，

A＝p₁p₂ ²，

并且，再一次地将f选择成最小值，其中：

A^f＝(w)，其中的w是来自0_k的一个元素。

在这些条件下，借助于Mestre算法如以上详述可以在非素数有限域F_q(其中q＝p^2f)上构造超椭圆曲线。像在伽罗瓦域K的情况一样地，可以计算群阶。

作为一个例子，在一个域上构造一个曲线，从具有类号h_k＝5的复数乘法域K开始，它的展开式的阶数为f＝2h_k＝10。作为一个素数所使用的是p＝911，它在域K上的理想数(p)分解成3个素数理想数。对于理想数A＝p₁p₂ ²，f＝5是最小的指数。因此，主理想数是A^f。

通过9阶的多项式可表述在具有q＝911¹⁰的F_q中的元素。模p的不可约化的类多项式是：

H₁(X)＝701X¹⁰+401X⁹+322X⁸+712X⁷+125X⁶+774X⁵+513X⁴+869X³+474X²+49X+680模p

H₂(X)＝186X¹⁰+895X⁹+453X⁸+86X⁷+180X⁶+47X⁵+811X⁴+339X³+887X²+296X+371模p

H₃(X)＝75X¹⁰+280X⁹+616X⁸+737X⁷+511X⁶+179X⁵+623X⁴+533X³+616X²+697X+700模p

所获得的两个可能的群阶是：

n₁＝155012792308846128138632814006095268154658315370266774539376

n₂＝155012792308846046374979954330693046736810307187589966188400

相关的曲线y²＝f(x)是：

f(x)＝x5+[9 703 722 261 507 119 322 684 741]x⁴

        +[715 508 396 153 661 164 513 167 892 156]x³

        +[548 810 311 54 483 636 130 899 845 101]x²

        +[550 294 663 157 288 697 710 60 475 608]x

        +[301 385 355 533 347 763 659 163 720 665]，

已经产生了简化的记法：

a₀+a₁z+a₂z²+a₃z³+...+a₈z⁸+a₉z⁹＝[a₀ a₁ a₂ a₃...a₈ a₉].

群阶是n₂＝400r，这里的r是具有57个小数位的一个素数。

Claims (20)

1.一种确定适合于加密目的的超椭圆曲线的方法，包括步骤：

选择一个复数乘法域K；

确定一个与K中的最大阶进行复数乘的简单的主极化的雅可比变化量的所有同构类的表示系统；

确定与表示系统相关的周期矩阵；

确定θ零位；

确定在有限域F_q上的复数乘法域的类多项式；

确定在有限域F_q上的超椭圆曲线；和

规定超椭圆曲线的除子类群的群阶n。

2.根据权利要求1所述的方法，其中：超椭圆曲线是亏格2的曲线。

3.根据权利要求1所述的方法，其中：从θ零位确定Igusa不变量。

4.根据权利要求3所述的方法，其中：使用Igusa不变量来确定类多项式。

5.根据权利要求1所述的方法，其中：从θ零位确定Mestre不变量。

6.根据权利要求5所述的方法，其中：使用Mestre方法在F_q上产生超椭圆曲线。

7.根据前述权利要求中任何一个所述的方法，其中：以可访问的形式存储多个合适的复数乘法域K和相关的类多项式，并且从保持在存储器中的所述多个中选择一个复数乘法域以确定超椭圆曲线。

8.根据前述权利要求中任何一个所述的方法，其中：按照Siegel约化形式使用周期矩阵。

9.根据前述权利要求中任何一个所述的方法，其中：只确定6个θ零位。

10.根据前述权利要求中任何一个所述的方法，其中：为了确定表示系统，不进行测试，以便可以观察复数乘法域K的实数子域的基本单位是否是复数乘法域的一个单位的范数。

11.根据前述权利要求中任何一个所述的方法，其中：为了确定表示系统，确定一组理想类。

12.根据权利要求11所述的方法，其中：识别成对的相互反向的理想类，对于每一对理想类只从θ零位确定Igusa不变量一次。

13.根据前述权利要求中任何一个所述的方法，其中：q是一个素数p。

14.根据权利要求13所述的方法，其中：对于素数p进行选择，以使每个类多项式具有不多于h_k个的线性因子，在这里，h_k是复数乘法域K的类的数目。

15.根据前述权利要求中任何一个所述的方法，其中：对于复数乘法域进行选择，以使超椭圆曲线的除子类群的群阶n是严格的素数。

16.根据前述权利要求中任何一个所述的方法，其中：q是素数p的幂。

17.一种加密方法，其中用于加密数据的密钥是从超椭圆曲线的F_q-有理数的群确定的，所说的超椭圆曲线是由根据前述权利要求中任何一个所述的方法产生的。

18.一种密码设备，所说密码设备使用根据前述权利要求之一所述的方法。

19.用于发送报文的发送器，包括根据权利要求18所述的用于加密报文的密码设备。

20.用于接收报文的接收器，包括根据权利要求18所述的用于解密报文的密码设备。

Images