Caminos de isogenias entre curvas elípticas sobre cuerpos finitos

Caminos de isogenias entre curvas el´ıpticas sobre cuerpos finitos

J.M. Miret¹, D. Sadornil², F. Seb´e¹ y J.G. Tena³

1 Dept. de Matem`atica. Universitat de Lleida.

{miret,fsebe}@matematica.udl.cat

2 Dept. Matem´aticas, Estad´ıstica y Computaci´on. Universidad de Cantabria.

[email protected]

3 Dept. de ´Algebra, Geometr´ıa y Topolog´ıa. Universidad de Valladolid.

[email protected]

Resumen. Dadas dos curvas el´ıpticas sobre un cuerpo finito con el mismo cardinal, S.D. Galbraith dise˜n´o un algoritmo probabil´ıstico para encontrar una isogenia entre ellas de grado smooth, es decir, cuyo grado no tiene factores primos mayores que una cierta cota. En este trabajo presentamos un nuevo m´etodo que obtiene una isogenia de grado m´ınimo smooth.

Palabras clave: criptograf´ıa, curvas el´ıpticas, isogenias.

1 Introducci´on

Dadas dos curvas el´ıpticas E₁ y E₂ sobre un cuerpo finito F_q, una isogenia entre ambas es un morfismo que preserva la ley de grupo. Tate [11] prueba la existencia de una isogenia entre ellas si y s´olo si las dos tienen el mismo cardinal N = q + 1− t, |t| ≤ 2√q. Sin embargo encontrar expl´ıcitamente una isogenia entre ambas curvas es un problema computacionalmente duro.

Esta dificultad est´a en la base de propuestas de sistemas criptogr´aficos de clave p´ublica como [7]. Este criptosistema, basado en un camino de isogenias (secreto) entre dos curvas el´ıpticas (p´ublicas), podr´ıa ser roto por un adver- sario capaz de determinar mediante un proceso eficiente una isogenia entre ambas curvas. Asimismo, la propuesta de firma digital (Patente Microsoft [5]) basa su seguridad en la dificultad de encontrar varias isogenias entre dos cur- vas el´ıpticas de igual cardinal. Todo ello avala el inter´es de la investigaci´on en algoritmos que determinen expl´ıcitamente isogenias entre dos curvas el´ıpticas.

El grado de una isogenia es el grado de la correspondiente inmersi´on de los cuerpos de funciones de las curvas el´ıpticas. Adem´as, una isogenia puede obtenerse como composici´on de isogenias de grado primo. De esta forma, se

⋆Trabajo financiado por los proyectos MTM2007-66842-C02-{01,02} y CSD2007-0004.

puede definir un grafo pesado cuyos nodos son curvas el´ıpticas con igual car- dinal y cuyas aristas representan isogenias entre curvas con peso el grado de la isogenia. En este contexto, el problema se reduce a encontrar un camino entre dos nodos del grafo.

Galbraith [4] da un algoritmo de fuerza bruta para encontrar una tal isoge- nia. La complejidad de su algoritmo es exponencial y, en general, la isogenia encontrada no es la de grado m´ınimo posible (problema que el autor considera a´un m´as dif´ıcil), sino que produce una de grado smooth, es decir, cuyo grado no tiene factores primos mayores que una cierta cota. El algoritmo construye una cadena de isogenias de grados primos entre E₁y E₂y devuelve la composici´on de las isogenias de la cadena. Empieza calculando dos cadenas espec´ıficas de isogenias ascendentes, seg´un las notaciones de Kohel [6]. La primera cadena une la curva E1 con una curva el´ıptica E₁^′, cuyo anillo de endomorfismos es el orden maximal OK del cuerpo cuadr´atico K = Q(p

t²− 4q), mientras que la segunda une E₂ con una curva E₂^′, tambi´en verificando que End(E^′₂) =OK. Seguidamente, se van construyendo dos ´arboles con ra´ız en E₁^′ y E₂^′, respecti- vamente, hasta que en los dos ´arboles se obtiene una curva en com´un. Cuando esto sucede, el algoritmo ha encontrado un camino que conecta E₁ con E₂.

En este trabajo presentamos un nuevo algoritmo que produce una isogenia de grado m´ınimo smooth entre dos curvas el´ıpticas dadas. El algoritmo se basa tambi´en en un enfoque arb´oreo que construye un ´arbol de isogenias con ra´ız en E1, hasta obtener como un nodo del ´arbol la curva E2. Entonces, el algoritmo devuelve las isogenias calculadas a lo largo del camino entre E₁ y E₂. Una de las diferencias entre la propuesta de Galbraith [4] y la que presentamos en este trabajo es que las isogenias de nuestro ´arbol no se construyen de manera aleatoria como en [4] sino que se calculan de tal manera que sus grados son m´ınimos entre la curva E₁ y la curva imagen por la isogenia que se a˜nade al

´

arbol. Por otra parte, para encontrar un camino, nuestro algoritmo no necesita calcular isogenias ascendentes hasta curvas cuyo anillo de endomorfismos es el orden maximal OK, sino que es suficiente ascender a curvas cuyo anillo de endomorfismos es un orden m´as peque˜no.

2 Preliminares

Una curva el´ıptica E sobre un cuerpo perfecto k es una curva proyectiva de g´enero 1 que tiene al menos un punto racional O_E. Estas curvas tienen un modelo proyectivo plano no-singular con un ´unico punto en el infinito (forma de Weierstraß). Para cada cuerpo k⊆ K ⊆ k, el conjunto de puntos racionales E(K) tiene estructura de grupo abeliano con el punto del infinito como neutro.

Si la caracter´ıstica del cuerpo es distinta de 2 y 3, una curva el´ıptica E/k se puede expresar en coordenadas afines como:

E/k : y² = x³+ ax + b,

con a, b∈ k y cuyo j-invariante viene dado por j(E) = 1728

4a³ 4a³+27b²

.

2.1 Isogenias

Una isogenia entre dos curvas el´ıpticas E₁, E₂ sobre un cuerpo k es un mor- fismoI : E1 → E2 definido sobre k tal queI(OE1) = O_E2. Una isogenia es un homomorfismo de grupos. Entonces, las curvas E1/k y E2/k se dice que son is´ogenas si existe una isogenia no trivial entre ellas. El grado de la isogenia es el grado de la correspondiente inmersi´on de sus cuerpos de funciones. Adem´as, una isogenia de grado n = n1n2 se puede obtener como una composici´on de isogenias de grados n₁ y n₂.

Sobre cuerpos finitos, el teorema de Tate [11] establece que dos curvas el´ıpticas son is´ogenas si y s´olo si tienen el mismo cardinal. As´ı, el cardinal N de una curva el´ıptica sobre un cuerpo finito F_q es un invariante de su clase de isogenia.

Dado el j-invariante, j₁, de una curva el´ıptica E₁ definida sobre F_q, los j-invariantes de sus curvas is´ogenas de grado ℓ se pueden calcular usando poli- nomios modulares [1]. En efecto, dado el ℓ-´esimo polinomio modular Φ_ℓ(x, y), estos j-invariantes se pueden obtener como ra´ıces de

Φ_ℓ(x, j₁) (m´od q).

A partir de los coeficientes E₁/F_q, del j-invariante j₁ = j(E₁) y una ra´ız j₂ de Φ_ℓ(x, j₁) (m´od q) se pueden calcular los coeficientes de una curva E₂/F_q is´ogena a E₁con j(E₂) = j₂ (v´ease [1], secci´on VII.4, el trabajo de N.D. Elkies [2] o [10]). Y a partir de los coeficientes de ambas curvas se puede determinar el factor ψ(x)∈ Fq[x] de grado (ℓ− 1)/2 del polinomio de ℓ-divisi´on de E1/F_q asociado al n´ucleo de la isogenia. Entonces, usando las f´ormulas de V´elu [12], se pueden obtener las expresiones de la isogenia como aplicacions racionales

I(x, y) =

ϕ₁(x, y)

ψ(x)² ,ϕ₂(x, y) ψ(x)³



donde ϕ₁(x, y) y ϕ₂(x, y) son polinomios sobre F_q que se pueden deducir de ψ(x).

2.2 Anillos de endomorfismos

El conjunto de todas las isogenias de una curva E/k consigo misma, junto con la aplicaci´on cero, forman un anillo que denotamos por End(E). Dada una curva E/F_q, q = p^m, con cardinal N = q + 1− t, |t| ≤ 2√q, que sea ordinaria, es decir, p6| t, podemos considerar el cuerpo cuadr´atico imaginario, K = Q(√

d), donde d es libre de cuadrados y t²− 4q = f²D_K,

siendo D_K = d si d≡ 1 (m´od 4) o D_K= 4d si d ≡ 2, 3 (m´od 4). Entonces el anillo de endomorfismosO = End(E) de E/Fq se puede identificar con un orden de K ([8], Teorema V.3.1), que satisface

Z[π]⊆ O ⊆ OK,

donde OK es el anillo de enteros de K. El anillo Z[π] tiene conductor f en el orden maximal OK y, por tanto, el conductor g deO divide f.

Dadas dos curvas el´ıpticas ordinarias E/Fq, siendo Dπ = t² − 4q el dis- criminante de su endomorfismo de Frobenius, el s´ımbolo de Legendre para un entero ℓ da informaci´on sobre las isogenias de grado ℓ de E. M´as concre- tamente, E/Fq no tiene isogenias de grado ℓ si ^D_ℓ^π

= −1, E/Fq tiene dos isogenias de grado ℓ si ^D_ℓ^π

= 1 y E/Fq tiene 1 o ℓ + 1 isogenias de grado ℓ si ^D_ℓ^π

= 0.

Dada una isogeniaI : E1→ E2 de grado un primo ℓ, Kohel [6] demostr´o la siguiente relaci´on entre sus anillos de endomorfismos: [O1 : O2] = 1, ℓ o 1/ℓ. Seg´un cada caso, se dice que la isogenia I es horizontal, descendente o ascendente, respectivamente. Esta noci´on de direcci´on permite representar el conjunto de clases de isomorf´ıa de curvas is´ogenas mediante un grafo.

Un volc´an [3] de ℓ-isogenias es un grafo dirigido cuyos nodos son clases de isomorf´ıa de curvas el´ıpticas ordinarias sobre un cuerpo finito F_q y cuyas aris- tas representan isogenias de grado ℓ entre ellas. Estos grafos est´an formados por un ´unico ciclo (con uno, dos o m´as nodos) en el m´aximo nivel, llamado cr´ater, y desde cada nodo del ciclo cuelga un ´arbol completo ℓ-ario, excep- to en el caso que el volc´an se reduzca al cr´ater. Las hojas de estos ´arboles est´an situadas en el mismo nivel, denominado suelo del volc´an. Los volcanes de ℓ-isogenias cuyo primo ℓ divide el conductor f de Z[π] tienen al menos dos niveles (altura ≥ 1).

Los resultados siguientes muestran que una isogenia se puede descomponer como una composici´on de una isogenia ascendente a una curva cuyo anillo de endomorfismos es el producto de los anillos de endomorfismos de las dos curvas dadas, seguida de una isogenia horizontal y una de descendente.

Lema 1. Sean E₁ y E₂dos curvas el´ıpticas ordinarias cuyos anillos de endoe- morfismos O1, O2 tienen conductores g₁ y g₂. SeaI : E1 → E2 una isogenia.

Si ℓ es un primo que divide g₁

gcd(g₁, g₂) o g₂

gcd(g₁, g₂), entonces el grado de I es divisible por ℓ.

Demostraci´on. Se deduce directamente de la Proposici´on 1 de [4] y de la Proposici´on 21 de [6].

Proposici´on 1. Sean E₁ y E₂ dos curvas el´ıpticas ordinarias con el mismo cardinal cuyos anillos de endomorfismos O1, O2 tienen conductores g₁ y g₂, respectivamente. Entonces, una isogenia de E1 a E2 de grado n se puede descomponer de la siguiente manera:

E₁ −→ E^I1 1^′ I^′

−→ E^′2 I2

−→ E2

donde E₁^′ y E₂^′ son curvas el´ıpticas con anillo de endomorfismos O1O2, con conductor g = gcd(g1, g2). Adem´as, los grados de las isogeniasI1,I2 eI^′ son, respectivamente, n₁ = g₁/g, n₂ = g₂/g y n^′ = n/(n₁n₂).

Demostraci´on. Primero, vamos a probar la existencia de la isogeniaI1 entre E₁ y E₁^′ y la isogenia I2 entre E₂ y E₂^′. Del Lema 1, dado un factor primo ℓ de g1/g podemos considerar la ´unica isogenia ascendente de E1 a una curva el´ıptica cuyo anillo de endomorfismos tenga conductor g₁/ℓ. Ahora, repitien- do el mismo procedimiento para los factores restantes de g₁/g obtenemos un camino de isogenias de E1 a E₁^′ (cuyo anillo de endomorfismos es O1O2 con conductor g). De la misma manera, considerando los factores primos de g₂/g, podemos construir un camino de E₂ a E₂^′ (con el mismo anillo de endomor- fismos que E₁^′).

De la primera parte, tenemos un camino de isogenias de E₁^′ a E₂^′ de grado n₁nn₂. Puesto que la composici´on de isogenias es conmutativa, teniendo en cuenta que n₁n₂ divide n, reordenando las isogenias de grado primo, podemos cancelar las isogenias I1 e I2 con sus correspondientes duales. Por tanto, obtenemos un camino de isogenias entre E₁^′ y E₂^′ de grado n^′ = n/(n₁n₂).

3 Algoritmo b´asico

El algoritmo que se propone a continuaci´on encuentra la isogenia de gra- do m´ınimo entre dos curvas el´ıpticas, E1 y E2 definidas sobre Fq. Su fun- cionamiento se basa en la construcci´on de un ´arbol donde cada nodo contiene informaci´on sobre una curva el´ıptica.

- Los nodos est´an etiquetas mediante una tupla que contiene dos atributos (j, g):

– j: El j-invariante de la curva asociada a este nodo.

– g: El grado de la isogenia de grado m´ınim entre la curva asociada a este nodo y la curva asociada al nodo ra´ız del ´arbol.

- Las aristas se etiquetan con un entero que indica el grado de la isogenia entre los dos nodos que enlaza. La m´etrica de las aristas es multiplicativa, es decir, el coste de un camino entre dos nodos es el producto de la m´etrica asignada a las aristas atravesadas.

Sean j₁ y j₂ los j-invariante de E₁ y E₂, respectivamente. El algoritmo comienza con un ´arbol trivial compuesto de un ´unico nodo etiquetado como (j₁, 1). El algoritmo itera secuencialmente de tal modo que en su i-´esima iteracion, a˜nade nodos al ´arbol tales que existe un i-isogenia entre sus curvas asociadas y el nodo ra´ız y no existe otra isogenia de menor grado entre ambas curvas. El algoritmo se para una vez j₂ se a˜nade al ´arbol. En este momento, se

puede obtener la isogenia de grado m´ınimo entre E₁y E₂ como la composici´on de las isogenias que se encuentran a lo largo del camino del ´arbol que las une (que corresponde al camino entre el nodo de j₂ y la ra´ız del ´arbol). El proceso se detalla en el Algoritmo 1.

Algoritmo 1 Algoritmo para encontrar la isogenia de grado m´ınimo entre dos curvas el´ıpticas

Input: j1, j2: j-invariante de dos curvas el´ıpticas.

Output: Isogenia de grado m´ınimo entre j1 y j2

1 Inicializar un ´arbol vac´ıo T

2 A˜nadir un nodo etiquetado como (j1, 1) a T 3 grado := 2

4 while cierto do

5 d:=FactorPrimoMenor(grado) 6 i := grado/d

7 Li:= lista del j-atributo de los nodos de T cuyo g-atributo es i 8 for j en Li do

9 L^′:= j-invariantes de las d-isogenias de j 10 for j^′ en L^′ do

11 if j^′ no en T then

12 A˜nadir un nuevo nodo a T etiquetado (j^′, grado)

13 A˜nadir una arista etiquetada (d) entre el nuevo nodo y el nodo de j 14 if j^′= j2 then

15 Generar la isogeniaI como la composici´on de todas las isogenias de grado primo encontradas a lo largo del camino del nodo de j^′ hasta la ra´ız

16 return I

17 end if

18 end if

19 end for 20 end for

21 grado := grado + 1 22 end while

3.1 Estructuras de datos y detalles de implementaci´on

El tiempo de ejecuci´on del algoritmo presentado depende de la eficiencia de algunas operaciones que deben realizarse sobre el ´arbol. A continuaci´on, de- tallamos una forma de implementarlo basado en el uso de dos tablas hash:

- Una tabla hash, H₁, cuyos elementos son tuplas con la siguiente estructura:

– min grado: Guarda un entero positivo. Este es el atributo clave.

– lista: Guarda una lista de j-invariantes.

Durante la ejecuci´on del algoritmo, la tupla cuya clave es i almacena la lista de j-invariantes de curvas el´ıpticas cuya isogenia de grado m´ınimo hacia la ra´ız es i.

- Una tabla hash, H₂, cuyos elementos son tuplas con la siguiente estructura:

– nodo: Guarda el j-invariante de una curva el´ıptica. Este es el atributo clave.

– padre: Almacena el j-invariante del padre de nodo en el ´arbol.

– grado: Entero que almacena el grado (primo) de la isogenia entre nodo y padre.

Addici´on de nodos y aristas

Una vez el algoritmo comienza, en el paso 2, el nodo ra´ız etiquetado (j₁, 1) se a˜nadido al ´arbol. Esto se hace de la siguiente forma:

- A˜nadir la tupla (1,{j1}) a H1.

- A˜nadir la tupla (j₁, nulo, nulo) a H₂ (los valores nulo se deben al hecho de que el nodo ra´ız no tiene padre).

En los pasos 12 y 13, el algoritmo a˜nade un nuevo nodo con atributos (j^′, grado) y una arista (etiquetada d) enlazandolo con su padre, que es el nodo de j. Esto se hace de la siguiente forma:

- Si H₁no tiene ninguna tuple con clave grado, se a˜nade la tupla (grado,{j^′}) a H₁.

- En el otro caso, j^′ se a˜nade al campo lista de la tupla de H₁ cuya clave es grado.

- Finalmente, se a˜nade la tupla (j^′, j, d) a H₂. B´usquedas

En el paso 7 el algoritmo necesita una lista L_i que contenga el j-invariante de todas las curvas cuya isogenia de grado m´ınimo hacia la ra´ız sea de grado i. Esta lista se almacena en la tupla de H₁ cuya clave es i, de tal modo que puede obtenerse mediante un ´unico acceso a la tabla hash.

Otra operaci´on de b´usqueda importante consiste en comprobar si un de- terminado j-invariante, j^′, ya se encuentra en el ´arbol (paso 11). Esta com- probaci´on se hace buscando si la tabla H₂ contiene alguna tupla cuyo campo clave es j^′.

3.2 Ejemplo

A continuaci´on se muestra un ejemplo. Sean E₁ : y² = x³ + 70x + 261 y E2 : y² = x³ + 271x + 94 dos curvas el´ıpticas definidas sobre F313. Como

#E₁(F₃₁₃) = #E₂(F₃₁₃), sabemos que existe por lo menos una isogenia entre

ellas. Vamos a encontrar la de grado m´ınimo. Los j-invariantes de E₁ y E₂ son 144 y 117, respectivamente.

El algoritmo comienza a partir de un ´arbol con un ´unico nodo ra´ız (etique- tado (144, 1)). El algoritmo va a˜nadiendo nuevas curvas al ´arbol en un ´orden creciente a partir de su isogenia de grado m´ınimo hasta 144. Una vez el j- invariante 117 haya sido a˜nadido el algoritmo termina. La figura 1 muestra el contenido de H₁ cuando el algoritmo acaba. Las tuplas se muestran ordenadas a partir del campo min grado. Como el j-invariante 117 se almacena en un registro cuya clave es 10, concluimos que la isogenia de grado m´ınimo entre las curvas E₁ y E₂ tiene grado 10.

H1

min grado lista

1 {144}

2 {201, 146, 43}

3 {162}

4 {291, 221}

5 {268, 65}

6 {210, 163, 25}

8 {228, 191}

10 {292, 34, 237, 117}

Figura 1. Contenido de H1cuando la isogenia de grado m´ınimo entre las curvas con j-invariantes 144 y 117 es encontrada. Cada fila muestra el contenido de una tupla.

La figura 2 muestra el contenido de H₂ en el momento que se detiene la ejecuci´on. A partir de su informaci´on, podemos reconstruir la cadena de iso- genias de grado primo entre 144 y 117. A partir de la tupla (117, 65, 2) vemos que existe una 2-isogenia entre la curva 117 y la curva 65. A continuaci´on, a partir de la tupla (65, 144, 5) sabemos que hay una 5-isogenia entre 65 y 144. Resumiendo, la isogenia de grado m´ınimo, I, entre E1 y E₂ tiene gra- do 10. Esta isogenia puede descomponerse en dos isogenias de grado 5 y 2 respectivamente,

117−→ 65^I2 −→ 144^I5

4 Encontrando isogenias de grado m´ınimo smooth

El algoritmo, tal como se describe en Algoritmo ??, asume que es posible calcular isogenias de cualquier grado primo (step 9). A la pr´actica, es bien sabido que el coste de calcular isogenias aumenta muy r´apido con el grado.

Por tanto, a la pr´actica, solamente es factible calcular isogenias hasta un determinado grado primo m´aximo. En este caso, el algoritmo debe modificarse

H2

(144, N, N ) (163, 162, 2) (201, 144, 2) (210, 162, 2) (146, 144, 2) (228, 221, 2) (43, 144, 2) (191, 221, 2) (291, 201, 2) (292, 268, 2) (221, 201, 2) (34, 268, 2) (268, 144, 5) (237, 65, 2) (65, 144, 5) (117, 65, 2) (25, 162, 2)

Figura 2. Contenido de H1 cuando la isogenia de grado m´ınimo entre las curvas con j-invariantes 144 y 117 es encontrada. Cada tupla se muestra entre par´entesis (nodo, padre, grado).

de tal modo que si el valor d calculado en el paso 5 es mayor que nuestro valor primo m´aximo, el algoritmo salta al paso 21 y contin´ua.

Bajo esta restricci´on, el algoritmo presentado solamente devuelve la isoge- nia de grado m´ınimo smooth entre dos curvas dadas. Es decir, la isogenia de grado m´ınimo tal que su grado no tiene factores primos mayores que nuestro m´aximo.

4.1 Tiempo de ejecuci´on

El algoritmo ha sido implementado en Sage [9] y ejecutado sobre un ordenador con un procesador Intel Xeno de 3.16 GHz. El grado m´aximo de la isogenias calculables se ha limitado a 113. El motivo es que este es el mayor grado del polinomio modular de grado primo que viene precalculado en Sage. Los resultados se muestran en la tabla 1.

j-invariante grado m´ınimo smooth tiempo (s) 895759403 2500 = 2²· 5⁴ 22 1262893225 5000 = 2³· 5⁴ 43 609784008 7500 = 2²· 3 · 5⁴ 76 89417976 10000 = 2⁴· 5⁴ 102 463359563 12500 = 2²· 5⁵ 126 84519525 15000 = 2³· 3 · 5⁴ 134 483753258 17500 = 2²· 5⁴· 7 137 681460722 20000 = 2⁵· 5⁴ 145 99710326 30000 = 2⁴· 3 · 5⁴ 162 29982396 40000 = 2⁶· 5⁴ 182

Tabla 1. Tiempo necesario para encontrar la isogenia de grado m´ınimo smooth entre algunas curvas y la curva con j-invariante 1068270565 sobre F1325839561.

5 Reducci´on del tiempo de ejecuci´on

El corolario 1 puede aplicarse a la b´usqueda de la isogenia de grado m´ınimo entre E₁ y E₂. De este modo, la isogenia en cuesti´on puede encontrarse de la siguiente forma:

1. Calcular el camino de isogenias ascendentes de E₁ hasta E₁^′. Denotaremos este camino como P₁.

2. Calcular el camino de isogenias ascendentes de E₂ hasta E₂^′. Denotaremos este camino como P₂.

3. Usar el Algoritmo 1 par encontrar la isogenia de grado m´ınimo entre E₁^′ y E₂^′. Denotaremos este camino de isogenias como P₃.

4. Obtener la isogenia de grado m´ınimo entre E₁ y E₂ enlazando los caminos P₁, P₃ y el reverso de P₂.

Esta t´ecnica permite reducir la longitud del camino que debe hallarse con el algoritmo 1 de n a n/n₁n₂. Esto conlleva una reducci´on en el tiempo de ejecuci´on debido a que ´este depende de la longitud del camino a hallar.

La complejidad computacional del algoritmo, utilizando este proceso es O(q^3/2). Si ninguno de los conductores de los anillos de endomorfismos O1 o O2 es divisible por un primo grande, dicho coste se reduce a O(q^3/4).

5.1 Ejemplo

A continuaci´on se presenta un ejemplo que muestra la reducci´on de tiempo dada por esta mejora. Consideramos el cuerpo finito F_1000001053 y deseamos encontrar la isogenia de grado m´ınimo smooth (el grado de las isogenias cal- culables se limita a 113) entre las curvas E₁ y E₂, cuyos j-invariantes son 947328019 y 877023319, respectivamente.

El algoritmo 1 encuentra el siguiente camino (los conductores se muestran entre par´entesis), que corresponde a una 16758-isogenia en 195 segundos:

E₁ (2· 3²· 19)

I19

−−→ 745953949 (2· 3²)

I7

−→ 392603373 (2· 3²)

I7

−→ 299598640 (2· 3²· 7)

I3

−→

20777856 (2· 3 · 7)

I3

−→ 746584754 (2· 3²· 7)

I2

−→ E² (3²· 7)

Aplicando la mejora, se obtiene un camino equivalente calculando primero los conductores de E₁y E₂que son g₁ = 2·3²·19 y g2= 3²·7, respectivamente, de tal modo que g = gcd(g1, g2) = 3². Entonces se construye el camino de E1

hasta E₁^′:

E1

(2· 3²· 19)

I2

−→ 139059844 (3²· 19)

I19

−−→ E^1′ (3²)

Luego, se construye el camino de E₂ a E₂^′: E₂ (3²· 7)

I⁷

−→ E2^′

(3²)

Finalmente, usando el algoritmo 1 se obtiene la isogenia de grado m´ınimo smooth formado por el siguiente camino entre E₁^′ y E₂^′:

E₁^′ (3²)

I7

−→ 535650105 (3²)

I3

−→ 148227661 (3)

I3

−→ E2^′

(3²)

Componiendo los tres caminos anteriores (invirtiendo el orden de aquel entre E₂ y E₂^′), obtenemos el siguiente camino en solamente 2,3 segundos:

E₁ (2· 3²· 19)

I2

−→ 13905844 (3²· 19)

I19

−−→ E^1′ (3²)

I7

−→ 535650105 (3²)

I3

−→

148227661 (3)

I3

−→ E^′2 (3²)

I7

−→ E² (3²· 7)

En la tabla 2 se muestran los tiempos de ejecuci´on del algoritmo tomando desde cada curva un camino ascendente a curvas con anillo de endomorfismo O1O2. Para comprobar que efectivamente se reduce el tiempo de c´alculo se han tomado las mismas curvas que en la tabla 1. Por la proposici´on 1, es claro que la isogenia de grado m´ınimo entre dos curvas el´ıpticas se descompone en isogenias ascendentes, una isogenia horizontal e isogenias descendentes.

Adem´as, tanto las ascendentes como las descendentes (que son ascendentes desde la curva final) est´an un´ıvocamente determinadas por los conductores de O1 yO2 respectivamente y este hecho reduce el tiempo de c´alculo.

j-invariante grado m´ınimo smooth tiempo (s) 895759403 2500 = 2²· 5⁴ 13 1262893225 5000 = 2³· 5⁴ 14 609784008 7500 = 2²· 3 · 5⁴ 13 89417976 10000 = 2⁴· 5⁴ 14 463359563 12500 = 2²· 5⁵ 28 84519525 15000 = 2³· 3 · 5⁴ 19 483753258 17500 = 2²· 5⁴· 7 19 681460722 20000 = 2⁵· 5⁴ 16 99710326 30000 = 2⁴· 3 · 5⁴ 34 29982396 40000 = 2⁶· 5⁴ 37

Tabla 2. Tiempo necesario para encontrar la isogenia de grado m´ınimo smooth entre algunas curvas y la curva con j-invariante 1068270565 sobre F1325839561 tomando caminos ascendentes en primer lugar.

Referencias

[1] I.F. Blake, G. Seroussi, N.P. Smart. Elliptic Curves in Cryptography. London Mathematical Society Lecture Notes vol. 265, Cambridge U. Press, 1999.

[2] N.D. Elkies. Explicit isogenies. Manuscript, 1992.

[3] M. Fouquet, F. Morain. Isogeny Volcanoes and the SEA Algorithm. ANTS-V, LNCS 2369, 276-291, Springer, 2002.

[4] S.D. Galbraith. Constructing isogenies between elliptic curves over finite fields.

LMS J. Comput. Math. 2, 118-138, 1999.

[5] D.Y. Jao, R. Venkatesan. Use of isogenies for design of cryptosystems. European Patent EP1528705. 2009.

[6] D. Kohel. Endomorphism rings of elliptic curves over finite fields. PhD thesis, University of California, Berkeley, 1996.

[7] A. Rostovtsev, A. Stolbunov. Public-key cryptosystem based on isogenies. Cryp- tology ePrint Archive. Report 2006/145, 2006.

[8] J.H. Silverman. The arithmetic of elliptic curves. Grad. Texts in Math. 106, Springer, 1986.

[9] W. A. Stein et al. Sage Mathematics Software (Version 4.3). The Sage Group, 2009. http://www.sagemath.org.

[10] R. Schoof. Counting points on elliptic curves over finite fields. J. Th´eorie des Nombres de Bordeaux 7, 219-254, 1995.

[11] J. Tate. Endomorphisms of abelian varieties over finite fields. Invent. Math. 2, 134–144, 1966.

[12] J. V´elu. Isog´enies entre courbes elliptiques. C.R. Acad. Sci. Paris, Ser. I Math.

Serie A, 273, 238-241, 1971.