モンゴメリ曲線

数学において、モンゴメリ曲線（モンゴメリきょくせん、Montgomery curve）は楕円曲線の一つの形式であり、通常のワイエルシュトラス形式^[1]とは異なる形式である。1987年にピーターL.モンゴメリーによって導入された。特定の計算、特にさまざまな暗号化アプリケーションで使用される。

体テンプレート:Math上のモンゴメリ曲線は次の方程式で定義される。

${\displaystyle M_{A,B}:B{y}^2=x^3+A{x}^2+x}$

ただし、 ${\displaystyle A}$ と ${\displaystyle B}$ は テンプレート:Mathおよびテンプレート:Mathを満たす。

一般に、この曲線は、標数が2以外の有限体K （たとえば、 要素がテンプレート:Math個である有限体テンプレート:Math ）上で定義される テンプレート:Math かつ テンプレート:Math であるような曲線と考えられる。しかし、テンプレート:Mathとテンプレート:Mathの条件は同じである有理数上の曲線とも考えることもできる。

楕円曲線の点の間でいくつかの「演算」を行うことができる。2つの点 ${\displaystyle P,Q}$ の「加算」は ${\displaystyle R=P+Q}$ である3番目の点${\displaystyle R}$ を見つけることである。点の「2倍算」は、${\displaystyle [2]P=P+P}$ を計算することである。（演算の詳細については、下の説明や群構造を参照のこと。）

モンゴメリ形式 ${\displaystyle B{y}^2=x^3+A{x}^2+x}$ の楕円曲線上の点 ${\displaystyle P=(x,y)}$は、モンゴメリー座標 ${\displaystyle P=(X:Z)}$ で表すことができる。ただし、${\displaystyle P=(X:Z)}$ は射影座標であり、${\displaystyle Z\ne 0}$ に対して ${\displaystyle x=X/Z}$ である。

注意しなければならないことは、この種の点の表現は情報を失うことである。実際、この場合、アフィン空間内の点 ${\displaystyle (x,y)}$ と ${\displaystyle (x,-y)}$ は共に同じ点 ${\displaystyle (X:Z)}$ で表現されるため、区別が無くなる。しかし、この表現においても、点の定数倍を得ることができる。つまり、与えられた点 ${\displaystyle P=(X:Z)}$ から、 ${\displaystyle [n]P=(X_n:Z_n)}$を計算できる。

今、2つの点 ${\displaystyle P_n=[n]P=(X_n:Z_n)}$ と ${\displaystyle P_m=[m]P=(X_m:Z_m)}$ を考える。それらの和は点${\displaystyle P_{m+n}=P_m+P_n=(X_{m+n}:Z_{m+n})}$ で表され、その座標は次のように与えられる。

${\displaystyle X_{m+n}=Z_{m-n}((X_m-Z_m)(X_n+Z_n)+(X_m+Z_m)(X_n-Z_n){)}^2}$

${\displaystyle Z_{m+n}=X_{m-n}((X_m-Z_m)(X_n+Z_n)-(X_m+Z_m)(X_n-Z_n){)}^2}$

もし ${\displaystyle m=n}$ ならば、演算は「2倍算」である。${\displaystyle [2]P_n=P_n+P_n=P_{2n}=(X_{2n}:Z_{2n})}$ の座標は次の式で与えられる。

${\displaystyle 4X_n{Z}_n=(X_n+Z_n{)}^2-(X_n-Z_n{)}^2}$

${\displaystyle X_{2n}=(X_n+Z_n{)}^2(X_n-Z_n{)}^2}$

${\displaystyle Z_{2n}=(4X_n{Z}_n)((X_n-Z_n{)}^2+((A+2)/4)(4X_n{Z}_n))}$

楕円曲線を定義している体の要素の掛け算と二乗算の時間コストをそれぞれMとSとすると、上記の一つ目の演算（加算）の時間コストは、3M+2Sである。

また、体の要素の定数倍の時間コストをDとすると、2つ目の演算（2倍算）の時間コストは2M+2S+1D である。定数倍の定数は ${\displaystyle (A+2)/4}$ であるため、D を小さくするために小さい ${\displaystyle A}$ を選ぶことができる。

次のアルゴリズムは、モンゴメリー形式の楕円曲線上の点${\displaystyle P_1=(X_1:Z_1)}$の2倍算を表す。

${\displaystyle Z_1=1}$ とする。この実装における計算コストは、1M + 2S + 1*A + 3add + 1*4である。ここで、Mは乗算、Sは二乗、"*a"は定数倍（定数aをかける）を表す。

${\displaystyle X{X}_1=X_1^2}$

${\displaystyle X_2=(X{X}_1-1{)}^2}$

${\displaystyle Z_2=4X_1(X{X}_1+A{X}_1+1)}$

${\displaystyle P_1=(2,\sqrt{3})}$を曲線 ${\displaystyle 2y^2=x^3-x^2+x}$ 上の点とする。 ${\displaystyle (X_1:Z_1)}$座標では、${\displaystyle x_1=X_1/Z_1}$ より、${\displaystyle P_1=(2:1)}$ となる。

よって

${\displaystyle X{X}_1=X_1^2=4}$

${\displaystyle X_2=(X{X}_1-1{)}^2=9}$

${\displaystyle Z_2=4X_1(X{X}_1+A{X}_1+1)=24}$

これにより、${\displaystyle P_2=2P_1}$である点は${\displaystyle P_2=(X_2:Z_2)=(9:24)}$である。

モンゴメリ曲線 ${\displaystyle M_{A,B}}$ 上の与えられた2つの点 ${\displaystyle P_1=(x_1,y_1)}$ と ${\displaystyle P_2=(x_2,y_2)}$ に対して、点 ${\displaystyle P_3=P_1+P_2}$ は、幾何学的には、${\displaystyle P_1}$ と ${\displaystyle P_2}$ を通る直線と曲線 ${\displaystyle M_{A,B}}$ の3番目の交点によって決定される。${\displaystyle P_3}$の座標 ${\displaystyle (x_3,y_3)}$ は次のように計算できる。

1）アフィン平面における直線は一般に${\displaystyle y=lx+m}$ で表せるが、${\displaystyle P_1}$と${\displaystyle P_2}$を通るという条件から、 ${\displaystyle l=\frac{y_2-y_1}{x_2-x_1}}$ と ${\displaystyle m=y_1-\left(\frac{y_2-y_1}{x_2-x_1}\right)x_1}$ となる。

2）この直線と曲線 ${\displaystyle M_{A,B}}$ との交点を求めるために、曲線の方程式の ${\displaystyle y}$ に ${\displaystyle y=lx+m}$ を代入する。すると次の3次方程式が得られる。

${\displaystyle x^3+(A-B{l}^2)x^2+(1-2Blm)x-B{m}^2=0}$

この方程式には、3つの解があり、それらは ${\displaystyle P_1}$ と ${\displaystyle P_2}$ と ${\displaystyle P_3}$ の ${\displaystyle x}$ 座標に対応する。したがって、この方程式は次のように書き直すことができるはずである。

${\displaystyle (x-x_1)(x-x_2)(x-x_3)=0}$

3）上記の2つの同じ方程式の係数、特に2次の項の係数を比較すると、次を得ることができる。

${\displaystyle -x_1-x_2-x_3=A-B{l}^2}$

よって、${\displaystyle x_3}$ は、 ${\displaystyle x_1}$, ${\displaystyle y_1}$, ${\displaystyle x_2}$, ${\displaystyle y_2}$ によって

${\displaystyle x_3=B{\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-A-x_1-x_2}$

で書き表すことができる。

4）点 ${\displaystyle P_3}$ の ${\displaystyle y}$ 座標を見つけるためには、直線の式 ${\displaystyle y=lx+m}$ に ${\displaystyle x=x_3}$ を代入すれば良い。ただし、これは点 ${\displaystyle P_3}$ を直接与えないことに注意。この方法は、${\displaystyle R+P_1+P_2=P_{\mathrm{\infty }}}$ を満たす点 ${\displaystyle R}$ の座標を与える。${\displaystyle R+P_1+P_2=P_{\mathrm{\infty }}}$ が ${\displaystyle -R=P_1+P_2}$ を意味することに注意すると、${\displaystyle P_1+P_2}$ を得るためには、得られた点 ${\displaystyle R}$ から点 ${\displaystyle -R}$ を見つける必要がある。ただ、これは ${\displaystyle R}$ の ${\displaystyle y}$ の座標の符号を逆にすることで、簡単に行うことができる。つまり、直線の式に ${\displaystyle x_3}$ を代入して得られた ${\displaystyle y}$ 座標の符号を反転させる必要がある。

これらをまとめると、${\displaystyle P_3=P_1+P_2}$ である点の座標 ${\displaystyle P_3=(x_3,y_3)}$ は、次のように書ける。

${\displaystyle x_3=\frac{B(y_2-y_1{)}^2}{(x_2-x_1{)}^2}-A-x_1-x_2=\frac{B(x_2{y}_1-x_1{y}_2{)}^2}{x_1{x}_2(x_2-x_1{)}^2}}$

${\displaystyle y_3=\frac{(2x_1+x_2+A)(y_2-y_1)}{x_2-x_1}-\frac{B(y_2-y_1{)}^3}{(x_2-x_1{)}^3}-y_1}$

モンゴメリ曲線${\displaystyle M_{A,B}}$上の与えられた点${\displaystyle P_1}$に対して、点${\displaystyle P_1}$において曲線と接する直線を考えたとき、2倍算の点${\displaystyle [2]P_1}$は、直線と曲線の3番目の交点で表される。よって、点${\displaystyle P_3=2P_1}$の座標を見つけるには、加算で与えられたのと同じ方法に従えば十分である。ただし、この場合、直線${\displaystyle y=lx+m}$は点${\displaystyle P_1}$で曲線に接している必要がある。もし曲線${\displaystyle M_{A,B}}$が

${\displaystyle f(x,y)=x^3+A{x}^2+x-B{y}^2=0}$

であるならば、直線の傾きを表す${\displaystyle l}$ の値は、陰関数定理により、次の式で与えられます。

${\displaystyle l=-\frac{\partial f}{\partial x}/\frac{\partial f}{\partial y}}$

よって、${\displaystyle l=\frac{3x_1^2+2A{x}_1+1}{2B{y}_1}}$であり、${\displaystyle P_3=2P_1}$の座標は

${\displaystyle \begin{array}{cc}{x}_3& =B{l}^2-A-x_1-x_1=\frac{B(3x_1^2+2A{x}_1+1{)}^2}{(2B{y}_1{)}^2}-A-x_1-x_1\\ & =\frac{(x_1^2-1{)}^2}{4B{y}_1^2}=\frac{(x_1^2-1{)}^2}{4x_1(x_1^2+A{x}_1+1)}\\ y_3& =(2x_1+x_1+A)l-B{l}^3-y_1\\ & =\frac{(2x_1+x_1+A)(3{x_1}^2+2A{x}_1+1)}{2B{y}_1}-\frac{B(3{x_1}^2+2A{x}_1+1{)}^3}{(2B{y}_1{)}^3}-y_1.\end{array}}$

で求められる。

${\displaystyle K}$を、標数が2ではない体とする。

${\displaystyle M_{A,B}}$を

${\displaystyle M_{A,B}:B{v}^2=u^3+A{u}^2+u}$

で表されるモンゴメリ形式の楕円曲線とする。ただし、${\displaystyle A\in K\setminus \{-2,2\}}$ 、 ${\displaystyle B\in K\setminus \{0\}}$。また、${\displaystyle E_{a,d}}$を

${\displaystyle E_{a,d}:a{x}^2+y^2=1+d{x}^2{y}^2,}$

で表されるエドワーズ形式の楕円曲線とする。ただし、${\displaystyle a,d\in K\setminus \{0\},a\ne d.}$。

次の定理は、モンゴメリ曲線とツイステッドエドワーズ曲線との双有理同値性を示している ^[2]。

定理（i）ツイステッドエドワーズ曲線は、${\displaystyle K}$上のモンゴメリ曲線と双有理同値である。特に、ツイステッドエドワーズ曲線${\displaystyle E_{a,d}}$は、${\displaystyle A=\frac{2(a+d)}{a-d}}$、${\displaystyle B=\frac{4}{a-d}}$ を満たすモンゴメリ曲線${\displaystyle M_{A,B}}$と双有理的同値である。

写像

${\displaystyle \psi :E_{a,d}\to M_{A,B}}$

${\displaystyle (x,y)\mapsto (u,v)=(\frac{1+y}{1-y},\frac{1+y}{(1-y)x})}$

は、${\displaystyle E_{a,d}}$から${\displaystyle M_{A,B}}$への双有理同値であり、逆写像：

${\displaystyle {\psi }^{-1}}$ ： ${\displaystyle M_{A,B}\to E_{a,d}}$

は

${\displaystyle (u,v)\mapsto (x,y)=(\frac{u}{v},\frac{u-1}{u+1}),a=\frac{A+2}{B},d=\frac{A-2}{B}}$

で与えられる。

2つの曲線間のこの同値性は、任意の場所で有効であるわけではないないことに注意。例えば、写像${\displaystyle \psi }$は、${\displaystyle v=0}$ や${\displaystyle u+1=0}$である${\displaystyle M_{A,B}}$ 上の点では定義されていない。

楕円曲線はワイエルシュトラス形式で記述できる。特に、モンゴメリ形式の楕円曲線

${\displaystyle M_{A,B}}$ ： ${\displaystyle B{y}^2=x^3+A{x}^2+x}$

は、次の方法で変換できる；${\displaystyle M_{A,B}}$の方程式の各項を${\displaystyle B^3}$で除算し、変数xとyをそれぞれ ${\displaystyle u=\frac{x}{B}}$ と ${\displaystyle v=\frac{y}{B}}$ に置き換える。これにより、方程式

${\displaystyle v^2=u^3+\frac{A}{B}{u}^2+\frac{1}{B^2}u}$

が得られる。ここから短いワイエルシュトラス形式を取得するには、uを変数 ${\displaystyle t-\frac{A}{3B}}$ に置き換えるだけで十分で、

${\displaystyle v^2={(t-\frac{A}{3B})}^3+\frac{A}{B}{(t-\frac{A}{3B})}^2+\frac{1}{B^2}(t-\frac{A}{3B});}$

最終的に、方程式

${\displaystyle v^2=t^3+\left(\frac{3-A^2}{3B^2}\right)t+\left(\frac{2A^3-9A}{27B^3}\right).}$

が得られる。

したがって写像

${\displaystyle \psi }$ ： ${\displaystyle M_{A,B}\to E_{a,b}}$

は次で与えられる。

${\displaystyle (x,y)\mapsto (t,v)=(\frac{x}{B}+\frac{A}{3B},\frac{y}{B}),a=\frac{3-A^2}{3B^2},b=\frac{2A^3-9A}{27B^3}}$

一方、体${\displaystyle 𝔽}$をベースとするワイエルシュトラス形式の楕円曲線

${\displaystyle E_{a,b}}$ ： ${\displaystyle v^2=t^3+at+b}$

は、常にモンゴメリ形式に変換できるわけではない。${\displaystyle E_{a,b}}$の位数が4で割り切れ、次の条件を満たすときに、またその時に限り変換できる^[3]。

1. ${\displaystyle z^3+az+b=0}$ が少なくとも1つの根${\displaystyle \alpha \in 𝔽}$を持ち、
2. ${\displaystyle 3{\alpha }^2+a}$ が${\displaystyle 𝔽}$において平方剰余である。

これらの条件が満たされるとき、${\displaystyle s=(\sqrt{3{\alpha }^2+a}{)}^{-1}}$と置くと、写像

${\displaystyle {\psi }^{-1}}$ ： ${\displaystyle E_{a,b}\to M_{A,B}}$

は

${\displaystyle (t,v)\mapsto (x,y)=(s(t-\alpha ),sv),A=3\alpha s,B=s}$

で表せる。

• Curve25519
• 楕円曲線上の演算のコスト – 特定の場合に必要な実行時間に関する情報

テンプレート:Reflist

• テンプレート:Cite journal
• テンプレート:Cite book
• テンプレート:Cite journal

• 大きな標数を持つ体のGenus-1曲線