设$ \ quad E:\; y ^ 2 = x ^ 3 + ax + b \ quad $是在有限域$ \ mathbb F_q $上定义的椭圆曲线,其中$ q = p ^ n $,$ a,b \ in \ mathbb F_q $和$ p \ neq 2、3 $。根据Hasse定理,我们知道$ E(\ mathbb F_q)$的阶数在$ [q + 1-2 \ sqrt {q},q + 1 + 2 \ sqrt {q}] $范围内。

是否可以在不枚举点的情况下确定给定$ a,b,q $的$ E(\ mathbb F_q)$的顺序?

评论

检查'schoof的算法':)(暂时不回答很长时间)

#1 楼

RenéSchoof于1985年发布了一种相当深的多项式时间算法来计算椭圆曲线的$ \ mathbb F_q $有理点(随后Noam Elkies和A. O. L. Atkin进行了改进)。它基于两个核心思想:


点的数量与函数方程紧密相关
$$ \ varphi ^ 2-t \ varphi + q = 0 \ qquad \ in \ operatorname {End}(E)$$
,即Frobenius同态
$$ \ varphi \ colon \; E \ to E,\; \ begin {cases} \ mathcal O&\ mapsto \ mathcal O \\(x,y)&\ mapsto(x ^ q,y ^ q)\ end {cases} $$
满足$ E $的内同形环。如果选择$ t \ in \ mathbb Z $使得该等式成立,则称其为Frobenius迹线,并且可以证明文本。 $$
($ \ varphi $与点计数有关的原因是,它会将带有坐标的点恰好保留在$ \ mathbb F_q $不变式中。)

对于奇数$ l $,存在除法多项式$ \ psi_l \ in \ mathbb F_q [x] $,该多项式恰好在有限的$ l $扭转点$ E $的$ x $坐标上消失。因此,可以通过检查函数方程$ \ varphi ^ 2-t \ varphi + q = 0 $持有哪个$ k \ in \ {0,\ dots,l-1 \} $来计算$ t \ bmod l $对$ \ psi_l $取模。模$ \ psi_l $的模运算大大提高了复杂度(与扩展项而不减少任何项相比)。计算出足够大的$ t \ bmod l $(根据Hasse定理,$ \ prod_ {l \ in L} l> 4 \ sqrt q $就足够了)设置$ L $的奇质数,中国余数定理可以用来重建Frobenius $ t $的踪迹,从而得出$ E $上的$ \ mathbb F_q $理性点$ \#E(\ mathbb F_q)$的数量。 ,在大多数计算机代数系统中都有该算法的实现(改进后的变体)。使用鼠尾草,椭圆曲线的$ \ mathbb F_ {p ^ n} $个理性点的数量
$$ y ^ 2 + a_1xy + a_3y = x ^ 3 + a_2x ^ 2 + a_4x + a_6 $$在$ \ mathbb F_p $上定义的
可以计算为:

EllipticCurve(GF(p), [a1, a2, a3, a4, a6]).cardinality(extension_degree = n)


#2 楼

如yyyyyyy所述,用于计算$ \ mathbb F_p $上的椭圆曲线上的点数,我们可以使用Elkies方法。但是对于扩展字段,使用该定理非常简单:

定理:设$ E $为在$ F_q $上定义的椭圆曲线,并令$ \#E(F_q)= q + 1−t $。
则$ \#E(F_ {q ^ n})= q ^ n + 1 − V_n $对于所有$ n≥2 $,其中$ \ {V_n \} $是序列通过$ V_0 = 2,V_1 = t $和$ V_n = V_1V_ {n-1} -qV_ {n-2} $递归地定义$ n≥2 $。