由帶有輔因子的橢圓曲線形成的子群的順序
在這個問題中:
為什麼curve25519/ed25519秘鑰的低3位在創建時會被清除?
答案表明,有限域上曲線上所有點的階數是G形成的子群
2^255 - 19大小的 8 倍。即子組大小為𝑝1= ,而曲線本身
2^252+27742317777372353535851937790883648493的點數為8(𝑝1)。答案接著說:“這意味著剩餘的幾個點的順序很小。 ”
但是,如答案中所述
few remaining points,實際上是循環子組 G 中點數的 8 倍。那麼如何得出剩餘點形成小順序組的結論呢?
剩餘點集合中的一組是否沒有大於𝑝1的範圍?
我們怎麼知道𝑝1裡面**沒有的其他點,**形成各種小訂單群?
答案表明曲線上所有點在有限域上的順序 $ 2^{255} - 19 $ 是由下式組成的子組大小的 8 倍 $ G $ .
顯然,這是不正確的,塞繆爾從未聲稱過。
這條曲線定義了一個組 $ 8q $ 元素(與 $ q = 2^{252} + 27742317777372353535851937790883648493 $ 素數),以及因式分解 $ 8q = 2 \times 2 \times 2 \times q $ . 因此,點的可能順序是 $ 1, 2, 4, 8, q, 2q, 4q, 8q $ . 此外,這條曲線恰好是一條循環曲線(並非所有橢圓曲線組都是),因此對於每個可能的順序,至少有一個具有該順序的組元素。
$ G $ 恰好是程序問題之一 $ q $ (實際上,它不只是“發生”,而是故意選擇了該順序的一個點 $ G $ ).
我們怎麼知道𝑝1裡面**沒有的其他點,**形成各種小訂單群?
因為我們知道曲線上點數的完全分解 ( $ 8q $ )。如果有一個大小的子組 $ \lambda $ ,這意味著 $ \lambda $ 是一個因素 $ 8q $ . 我們知道所有的值是一個因素 $ 8q $ ,並且在 8 和 $ q $ ; 因此,不能有任何子組的大小在 8 到 $ q $ .
群論是你的朋友。