Courbe de Montgomery

Modèle:Ébauche En mathématiques, la courbe de Montgomery est une forme de courbe elliptique, introduite par Peter L. Montgomery en 1987^[1]. Si une courbe elliptique peut en général être présentée sous forme de Weierstrass, la forme de Montgomery permet d’accélérer les opérations d'addition sur la courbe dans les corps finis, ce qui est un avantage dans de nombreuses applications de cryptographie^[2]Modèle:,^[3] et de factorisationModèle:Sfn. Les courbes de Montgomery sont également en équivalence birationnelle avec les courbes d'Edwards.

Une courbe de Montgomery sur un corps Modèle:Math de caractéristique différente de 2 est définie par l'équation

${\displaystyle M_{A,B}:B{y}^2=x^3+A{x}^2+x}$

pour certain Modèle:Math Modèle:Math avec Modèle:Math. Si les corps finis sont le lieu naturel des applications cryptographiques, la même équation est utilisée pour l'algorithme de Lenstra sur l'anneau ${\displaystyle \mathbb{Z}/(n)}$, et on peut également considérer la courbe sur le corps des rationnels ${\displaystyle \mathbb{Q}}$.

L'introduction des courbes de Montgomery est motivée par l'existence d'un algorithme d'addition de points plus efficace que sur une courbe elliptique générale. Cet algorithme, découvert par Montgomery et qui porte aujourd'hui son nom, peut être vu comme un cas particulier d'addition sur la surface de Kummer correspondante.

On se place déjà en coordonnées projectives : ${\displaystyle {\mathbb{P}}^{2}K=\{(X:Y:Z)\mid (X,Y,Z)\in K\setminus (0,0,0)\}/\sim }$ avec ${\displaystyle (X:Y:Z)\sim (X^{\prime }:Y^{\prime }:Z^{\prime })}$ si et seulement s'il existe ${\displaystyle \lambda \in K^{\times }}$ tel que ${\displaystyle X^{\prime }=\lambda X,Y^{\prime }=\lambda Y,Z^{\prime }=\lambda Z}$ . L'idée de Montgomery et d'ensuite oublier la coordonnée ${\displaystyle Y}$, et d'écrire la loi de groupe uniquement en termes de ${\displaystyle X}$ et ${\displaystyle Z}$Modèle:Note.

Dans les applications où seule la coordonnée ${\displaystyle x=X/Z}$ est utilisée, telle que l'échange de clé de Diffie-Hellman sur courbes elliptiques, cette information est suffisante : c'est pourquoi une courbe de Montgomery telle que Curve25519 peut tout à fait être utilisée dans ce contexte.

Supposons que ${\displaystyle P_n=[n]P=(X_n:Z_n)}$et ${\displaystyle P_m=[m]P=(X_m:Z_m)}$avec ${\displaystyle n\ne m}$, alors on a directement

${\displaystyle \begin{array}{cc}{X}_{m+n}& =Z_{m-n}((X_m-Z_m)(X_n+Z_n)+(X_m+Z_m)(X_n-Z_n){)}^2\\ Z_{m+n}& =X_{m-n}((X_m-Z_m)(X_n+Z_n)-(X_m+Z_m)(X_n-Z_n){)}^2\end{array}}$

c'est-à-dire trois multiplications et deux mises au carré dans ${\displaystyle K}$, les opérations d'addition et soustraction d'éléments de corps étant négligeables. Une formule pour le doublement (correspondant à ${\displaystyle m=n}$) est également aisément obtenue :

${\displaystyle \begin{array}{cc}{X}_{2n}& =(X_n+Z_n{)}^2(X_n-Z_n{)}^2\\ Z_{2n}& =(4X_n{Z}_n)((X_n-Z_n{)}^2+((A+2)/4)(4X_n{Z}_n))\end{array}}$

où on a préalablement calculé ${\displaystyle 4X_n{Z}_n=(X_n+Z_n{)}^2-(X_n-Z_n{)}^2}$

Modèle:Références

Modèle:Références

• Modèle:Article
• Modèle:Ouvrage
• Modèle:Article

Modèle:Portail