www.wikidata.de-de.nina.az

Hyperelliptische Kurve Eine hyperelliptische Kurve ist eine algebraische Varietät das heißt eine Menge von Punkten aus e

Hyperelliptische Kurve

Eine hyperelliptische Kurve ist eine algebraische Varietät, das heißt, eine Menge von Punkten aus einem Körper, die eine Polynomgleichung sowie einige Nebenbedingungen erfüllen.

Sie werden ähnlich konstruiert wie Elliptische Kurven. Hyperelliptische Kurven spielen in der Kryptographie im Gegensatz zu diesen noch keine allzu große, jedoch zunehmende Rolle. Ihre Eigenschaften sind noch nicht weitgehend genug erforscht, um deren gesteigerte Nutzbarkeit für die Kryptographie abschätzen zu können. Zudem ist die Rechnung in hyperelliptischen Kurven komplizierter als in elliptischen Kurven, so dass deren derzeitige praktische Anwendung noch nicht nützlich erscheint.

Die hyperelliptische Kurve

Definition Bearbeiten

Eine hyperelliptische Kurve ist die Lösung eines Polynoms

wobei ein Polynom vom Grad mit paarweise verschiedenen Wurzeln ist. Bei den ähnlich konstruierten elliptischen Kurven ist dagegen .

Das Geschlecht wird durch den Grad des Polynoms bestimmt, für oder hat sie das Geschlecht . Daraus folgt, dass das Geschlecht ist (der Fall entspricht elliptischen Kurven). Der Fall heißt imaginäre hyperelliptische Kurve, der Fall reelle hyperelliptische Kurve. Häufig werden sie für ungeraden Grad definiert, da der benachbarte gerade Fall auf den Fall reduziert werden kann.

Die Kurve hat in dieser Form einen singulären Punkt im Unendlichen, der durch Übergang zu einem nicht-singulären Modell in der birationalen Geometrie vermieden wird.

Neben der Betrachtung über den reellen und komplexen Zahlen werden sie auch über endlichen Körpern und den rationalen Zahlen im Rahmen der Zahlentheorie betrachtet. Da das Geschlecht größer 1 ist, haben sie nur endlich viele Punkte über den rationalen Zahlen (Vermutung von Mordell/Satz von Faltings).

Der Funktionenkörper einer hyperelliptischen Kurve (der Körper der hyperelliptischen Funktionen) ist eine quadratische Erweiterung des Körpers der rationalen Funktionen.

Hyperelliptische Kurven über einem endlichen Körper Bearbeiten

Hier wird eine etwas andere Definition benutzt. Dabei werden auch elliptische Kurven als Kurven vom Geschlecht g=1 mit betrachtet, was sonst nicht üblich ist.

Sei (wobei eine Primzahlpotenz) ein endlicher Körper und sei der algebraische Abschluss von . Eine hyperelliptische Kurve mit Geschlecht über ist eine Gleichung der Form

Außerdem gibt es keine Lösung , welche die Gleichungen

erfüllt (das heißt, es werden nur nicht-singuläre Lösungen betrachtet).

Außerdem werden hyperelliptische Kurven in zwei Modelle unterschieden:

Imaginäres Modell: ist normiert und vom Grad und vom Grad höchstens

Reales Modell: oder ist normiert und vom Grad . Wenn ungerade ist, dann ist normiert und vom Grad . Wenn gerade ist, dann ist entweder vom Grad kleiner gleich oder vom Grad und der führende Koeffizient von ist von der Form für ein .

Eine hyperelliptische Involution eines Punktes wird als definiert. Punkte, die dabei invariant sind, heißen Weierstraß-Punkte.

Konstruktion einer Gruppe auf Hyperelliptischen Kurven Bearbeiten

Vorbemerkungen Bearbeiten

Interessant in der Kryptographie sind die Punktmengen, die die Gleichung erfüllen und gleichzeitig in einem endlichen Körper sind (und die Nebenbedingungen der Definition erfüllen). Um die Kurve im Sinne der Kryptographie zu nutzen, muss eine algebraische Struktur, also eine Vorschrift, um auf diesen Punkten rechnen zu können, definiert werden – in diesem Fall handelt es sich um eine Gruppe. Zudem muss die algebraische Struktur derart beschaffen sein, dass sich in ihr zwar effizient rechnen lässt, jedoch unter gewissen Vorkehrungen die Umkehrung von Rechenoperationen nur sehr ineffizient, unter der Kenntnis von gewissen Zusatzinformationen jedoch (sog. Schlüsseln) wiederum effizient auszuführen ist (die Konstruktion sog. Trapdoor-One-Way-Funktionen muss möglich sein). Dies geschieht über das im Allgemeinen schwierige Problem, den diskreten Logarithmus in der Gruppe zu berechnen. Gegeben sind ein Gruppenelement und (die Gruppe ist hier multiplikativ geschrieben). Dann besteht das Problem des Angreifers darin, zu finden (den „Logarithmus“).

Abgrenzung zu elliptischen Kurven Bearbeiten

Im Gegensatz zu elliptischen Kurven, die eine direkte Konstruktion einer Gruppe auf ihren Punkten erlaubt (Tangenten-Sekanten-Konstruktion), ist dies bei einer hyperelliptischen Kurve nicht möglich, da zum Beispiel eine Gerade hier mehr als drei Schnittpunkte (jeweils mit Vielfachheit gezählt und der Punkt im Unendlichen wird auch berücksichtigt) mit der Kurve hat. Man definiert hier formale Summen von Punkten, sog. Divisoren. Die Äquivalenzklasse der (im Folgenden noch zu definierenden) Gruppe der Divisoren vom Grad 0 modulo der Hauptdivisoren wird die Jacobische der hyperelliptischen Kurve genannt. Auf der Jacobischen ist dann die Definition einer Gruppe mit den gewünschten Eigenschaften möglich.

Grundlegende Definitionen / Anmerkungen Bearbeiten

Punkte im projektiven Raum Bearbeiten

Wie bereits in der ersten Definition bemerkt, handelt es sich bei Punkten auf der Kurve C entweder um Paare von Zahlen, die die Gleichung der Kurve erfüllen oder um den Punkt im Unendlichen. Im Gegensatz dazu heißen die Paare von Zahlen, die die Gleichung erfüllen, auch endliche Punkte. Der Punkt im Unendlichen wird eingeführt, da die Kurve im projektiven Raum interpretiert wird. Es handelt sich um einen Kunstgriff, um die später zu definierenden Vielfachheiten von Schnittstellen von Punkten der Kurve mit rationalen Funktionen, die die Kurve schneiden, auszugleichen. Dies wird später im Artikel noch genauer gefasst.

Heuristik / Idee zur Konstruktion Bearbeiten

Bezugnehmend auf den letzten Unterabschnitt soll kurz heuristisch die Idee der Konstruktion dargestellt werden. Damit wird auch die Idee des eben erwähnten Kunstgriffes deutlich werden. Einem endlichen Punkt P der Kurve C soll eine Zahl (Ordnung) zugeordnet werden, die zudem von einer rationalen Funktion abhängt, die die Kurve in P schneidet. Die Ordnung gibt dann an, in welcher Vielfachheit die rationale Funktion die Kurve C schneidet. Geometrisch wäre ein Schnitt der Vielfachheit 1 der „klassische“ Schnitt, also wo die Funktionen (Kurve und rationale Funktion) sich nicht aneinander „anschmiegen“; Vielfachheit 2 wäre ein tangentialer Schnitt etc. Die rationale Funktion schneidet die Kurve jedoch evtl. noch in anderen Punkten. Diesen kann dann weiter eine Vielfachheit zugeordnet werden. Die übrigen erhalten die Vielfachheit 0. Der Punkt im Unendlichen erhält dann die Vielfachheit, die der Summe der Vielfachheiten der endlichen Punkte entspricht. Damit ist die Gesamtsumme gleich 0 (Pole wie hier im Unendlichen erhalten negatives Vorzeichen und einen Betrag entsprechend der Polordnung). Die rationale Funktion schneidet damit die Gerade im Unendlichen (s. Projektive Geometrie) in ebendieser Vielfachheit. Die formale Summe dieser Punkte wird als Divisor bezeichnet. Die Menge der Divisoren, deren Summe der Vielfachheiten (inklusive des Punkts im Unendlichen) sich zu 0 ergibt, ist eine Untergruppe der Gesamtmenge der Divisoren (mit einer geeignet zu definierenden Verknüpfung) und wird mit bezeichnet. Die Untergruppe von Hauptdivisoren, denen sich gemäß der obigen Konstruktion eine rationale Funktion zuordnen lässt (Divisor einer rationalen Funktion auf der Riemannschen Fläche der hyperelliptischen Kurve), sei . Auf der Äquivalenzklasse (genannt die Jacobi-Varietät von C) lässt sich nun wiederum eine Verknüpfung definieren, die die Addition auf der hyperelliptischen Kurve ermöglicht.

Literatur Bearbeiten

  • Cohen, Henry und Frey, Gerhard: Handbook of Elliptic and Hyperelliptic Curve Cryptography, Chapman & Hall, Taylor & Francis Group 2006
  • Koblitz, Neal: Algebraic Aspects of Cryptography, Algorithms an Computation in Mathematics, Springer 1997

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Hyper-elliptic curve, Encyclopedia of Mathematics, Springer
  2. Sylvain Duquesne, Tanja Lange, Arithmetic of hyperelliptic curves, Kapitel 14 in Cohen, Frey, Handbook of Elliptic and Hyperelliptic Curve Cryptography, Chapman & Hall, Taylor & Francis Group 2006, S. 303ff
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Eine hyperelliptische Kurve ist eine algebraische Varietat das heisst eine Menge von Punkten aus einem Korper die eine Polynomgleichung sowie einige Nebenbedingungen erfullen Sie werden ahnlich konstruiert wie Elliptische Kurven Hyperelliptische Kurven spielen in der Kryptographie im Gegensatz zu diesen noch keine allzu grosse jedoch zunehmende Rolle Ihre Eigenschaften sind noch nicht weitgehend genug erforscht um deren gesteigerte Nutzbarkeit fur die Kryptographie abschatzen zu konnen Zudem ist die Rechnung in hyperelliptischen Kurven komplizierter als in elliptischen Kurven so dass deren derzeitige praktische Anwendung noch nicht nutzlich erscheint Die hyperelliptische Kurve y 2 x x 1 x 3 x 2 x 2 displaystyle y 2 x x 1 x 3 x 2 x 2 Inhaltsverzeichnis 1 Definition 2 Hyperelliptische Kurven uber einem endlichen Korper 3 Konstruktion einer Gruppe auf Hyperelliptischen Kurven 3 1 Vorbemerkungen 3 2 Abgrenzung zu elliptischen Kurven 3 3 Grundlegende Definitionen Anmerkungen 3 3 1 Punkte im projektiven Raum 3 3 2 Heuristik Idee zur Konstruktion 4 Literatur 5 Weblinks 6 EinzelnachweiseDefinition BearbeitenEine hyperelliptische Kurve ist die Losung eines Polynoms y 2 f x displaystyle y 2 f x nbsp wobei f x displaystyle f x nbsp ein Polynom vom Grad n gt 4 displaystyle n gt 4 nbsp mit n displaystyle n nbsp paarweise verschiedenen Wurzeln ist Bei den ahnlich konstruierten elliptischen Kurven ist dagegen n 3 displaystyle n 3 nbsp Das Geschlecht g displaystyle g nbsp wird durch den Grad des Polynoms bestimmt fur n 2 g 1 displaystyle n 2g 1 nbsp oder n 2 g 2 displaystyle n 2g 2 nbsp hat sie das Geschlecht g displaystyle g nbsp Daraus folgt dass das Geschlecht g gt 1 displaystyle g gt 1 nbsp ist der Fall g 1 displaystyle g 1 nbsp entspricht elliptischen Kurven Der Fall 2 g 1 displaystyle 2g 1 nbsp heisst imaginare hyperelliptische Kurve der Fall 2 g 2 displaystyle 2g 2 nbsp reelle hyperelliptische Kurve Haufig werden sie fur ungeraden Grad n displaystyle n nbsp definiert da der benachbarte gerade Fall n 1 displaystyle n 1 nbsp auf den Fall n displaystyle n nbsp reduziert werden kann 1 Die Kurve hat in dieser Form einen singularen Punkt im Unendlichen der durch Ubergang zu einem nicht singularen Modell in der birationalen Geometrie vermieden wird Neben der Betrachtung uber den reellen und komplexen Zahlen werden sie auch uber endlichen Korpern und den rationalen Zahlen im Rahmen der Zahlentheorie betrachtet Da das Geschlecht grosser 1 ist haben sie nur endlich viele Punkte uber den rationalen Zahlen Vermutung von Mordell Satz von Faltings Der Funktionenkorper einer hyperelliptischen Kurve der Korper der hyperelliptischen Funktionen ist eine quadratische Erweiterung des Korpers der rationalen Funktionen Hyperelliptische Kurven uber einem endlichen Korper BearbeitenHier wird eine etwas andere Definition benutzt 2 Dabei werden auch elliptische Kurven als Kurven vom Geschlecht g 1 mit betrachtet was sonst nicht ublich ist Sei F q displaystyle mathbb F q nbsp wobei q displaystyle q nbsp eine Primzahlpotenz ein endlicher Korper und sei F q displaystyle overline mathbb F q nbsp der algebraische Abschluss von F q displaystyle mathbb F q nbsp Eine hyperelliptische Kurve C displaystyle C nbsp mit Geschlecht g displaystyle g nbsp uber F q displaystyle mathbb F q nbsp g 1 displaystyle g geq 1 nbsp ist eine Gleichung der Form C displaystyle C nbsp y 2 h x y f x displaystyle y 2 h x y f x nbsp in F q x y displaystyle mathbb F q x y nbsp Ausserdem gibt es keine Losung x y F q F q displaystyle x y in overline mathbb F q times overline mathbb F q nbsp welche die Gleichungen y 2 h x y f x displaystyle y 2 h x y f x nbsp 2 y h x 0 displaystyle 2y h x 0 nbsp partielle Ableitung nach y displaystyle y nbsp h x y f x 0 displaystyle h x y f x 0 nbsp partielle Ableitung nach x displaystyle x nbsp erfullt das heisst es werden nur nicht singulare Losungen betrachtet Ausserdem werden hyperelliptische Kurven in zwei Modelle unterschieden Imaginares Modell f displaystyle f nbsp ist normiert und vom Grad 2 g 1 displaystyle 2g 1 nbsp und h u displaystyle h u nbsp vom Grad hochstens g displaystyle g nbsp Reales Modell h 0 displaystyle h 0 nbsp oder h displaystyle h nbsp ist normiert und vom Grad g 1 displaystyle g 1 nbsp Wenn q displaystyle q nbsp ungerade ist dann ist f displaystyle f nbsp normiert und vom Grad 2 g 2 displaystyle 2g 2 nbsp Wenn q displaystyle q nbsp gerade ist dann ist f displaystyle f nbsp entweder vom Grad kleiner gleich 2 g 1 displaystyle 2g 1 nbsp oder vom Grad 2 g 2 displaystyle 2g 2 nbsp und der fuhrende Koeffizient von f displaystyle f nbsp ist von der Form x 2 x displaystyle x 2 x nbsp fur ein x F q 0 displaystyle x in mathbb F q setminus 0 nbsp Eine hyperelliptische Involution eines Punktes P x y displaystyle P x y nbsp wird als P x y h x displaystyle P x y h x nbsp definiert Punkte die dabei invariant sind heissen Weierstrass Punkte Konstruktion einer Gruppe auf Hyperelliptischen Kurven BearbeitenVorbemerkungen Bearbeiten Interessant in der Kryptographie sind die Punktmengen die die Gleichung erfullen und gleichzeitig in einem endlichen Korper sind und die Nebenbedingungen der Definition erfullen Um die Kurve im Sinne der Kryptographie zu nutzen muss eine algebraische Struktur also eine Vorschrift um auf diesen Punkten rechnen zu konnen definiert werden in diesem Fall handelt es sich um eine Gruppe Zudem muss die algebraische Struktur derart beschaffen sein dass sich in ihr zwar effizient rechnen lasst jedoch unter gewissen Vorkehrungen die Umkehrung von Rechenoperationen nur sehr ineffizient unter der Kenntnis von gewissen Zusatzinformationen jedoch sog Schlusseln wiederum effizient auszufuhren ist die Konstruktion sog Trapdoor One Way Funktionen muss moglich sein Dies geschieht uber das im Allgemeinen schwierige Problem den diskreten Logarithmus in der Gruppe zu berechnen Gegeben sind ein Gruppenelement g displaystyle g nbsp und g a displaystyle g a nbsp die Gruppe ist hier multiplikativ geschrieben Dann besteht das Problem des Angreifers darin a displaystyle a nbsp zu finden den Logarithmus Abgrenzung zu elliptischen Kurven Bearbeiten Im Gegensatz zu elliptischen Kurven die eine direkte Konstruktion einer Gruppe auf ihren Punkten erlaubt Tangenten Sekanten Konstruktion ist dies bei einer hyperelliptischen Kurve nicht moglich da zum Beispiel eine Gerade hier mehr als drei Schnittpunkte jeweils mit Vielfachheit gezahlt und der Punkt im Unendlichen wird auch berucksichtigt mit der Kurve hat Man definiert hier formale Summen von Punkten sog Divisoren Die Aquivalenzklasse der im Folgenden noch zu definierenden Gruppe der Divisoren vom Grad 0 modulo der Hauptdivisoren wird die Jacobische der hyperelliptischen Kurve genannt Auf der Jacobischen ist dann die Definition einer Gruppe mit den gewunschten Eigenschaften moglich Grundlegende Definitionen Anmerkungen Bearbeiten Punkte im projektiven Raum Bearbeiten Wie bereits in der ersten Definition bemerkt handelt es sich bei Punkten auf der Kurve C entweder um Paare von Zahlen die die Gleichung der Kurve erfullen oder um den Punkt im Unendlichen Im Gegensatz dazu heissen die Paare von Zahlen die die Gleichung erfullen auch endliche Punkte Der Punkt im Unendlichen wird eingefuhrt da die Kurve im projektiven Raum interpretiert wird Es handelt sich um einen Kunstgriff um die spater zu definierenden Vielfachheiten von Schnittstellen von Punkten der Kurve mit rationalen Funktionen die die Kurve schneiden auszugleichen Dies wird spater im Artikel noch genauer gefasst Heuristik Idee zur Konstruktion Bearbeiten Bezugnehmend auf den letzten Unterabschnitt soll kurz heuristisch die Idee der Konstruktion dargestellt werden Damit wird auch die Idee des eben erwahnten Kunstgriffes deutlich werden Einem endlichen Punkt P der Kurve C soll eine Zahl Ordnung zugeordnet werden die zudem von einer rationalen Funktion abhangt die die Kurve in P schneidet Die Ordnung gibt dann an in welcher Vielfachheit die rationale Funktion die Kurve C schneidet Geometrisch ware ein Schnitt der Vielfachheit 1 der klassische Schnitt also wo die Funktionen Kurve und rationale Funktion sich nicht aneinander anschmiegen Vielfachheit 2 ware ein tangentialer Schnitt etc Die rationale Funktion schneidet die Kurve jedoch evtl noch in anderen Punkten Diesen kann dann weiter eine Vielfachheit zugeordnet werden Die ubrigen erhalten die Vielfachheit 0 Der Punkt im Unendlichen erhalt dann die Vielfachheit die der Summe der Vielfachheiten der endlichen Punkte entspricht Damit ist die Gesamtsumme gleich 0 Pole wie hier im Unendlichen erhalten negatives Vorzeichen und einen Betrag entsprechend der Polordnung Die rationale Funktion schneidet damit die Gerade im Unendlichen s Projektive Geometrie in ebendieser Vielfachheit Die formale Summe dieser Punkte wird als Divisor bezeichnet Die Menge der Divisoren deren Summe der Vielfachheiten inklusive des Punkts im Unendlichen sich zu 0 ergibt ist eine Untergruppe der Gesamtmenge der Divisoren mit einer geeignet zu definierenden Verknupfung und wird mit D 0 displaystyle mathbb D 0 nbsp bezeichnet Die Untergruppe von Hauptdivisoren denen sich gemass der obigen Konstruktion eine rationale Funktion zuordnen lasst Divisor einer rationalen Funktion auf der Riemannschen Flache der hyperelliptischen Kurve sei P displaystyle mathbb P nbsp Auf der Aquivalenzklasse D 0 P displaystyle mathbb D 0 mathbb P nbsp genannt die Jacobi Varietat von C lasst sich nun wiederum eine Verknupfung definieren die die Addition auf der hyperelliptischen Kurve ermoglicht Literatur BearbeitenCohen Henry und Frey Gerhard Handbook of Elliptic and Hyperelliptic Curve Cryptography Chapman amp Hall Taylor amp Francis Group 2006 Koblitz Neal Algebraic Aspects of Cryptography Algorithms an Computation in Mathematics Springer 1997Weblinks BearbeitenMenezes An elementary introduction to hyperelliptic curves University of Waterloo PDF 284 kB Hyperelliptic Curve MathworldEinzelnachweise Bearbeiten Hyper elliptic curve Encyclopedia of Mathematics Springer Sylvain Duquesne Tanja Lange Arithmetic of hyperelliptic curves Kapitel 14 in Cohen Frey Handbook of Elliptic and Hyperelliptic Curve Cryptography Chapman amp Hall Taylor amp Francis Group 2006 S 303ff Abgerufen von https de wikipedia org w index php title Hyperelliptische Kurve amp oldid 234433669