###  Эллиптические кривые над конечными полями

In Sage, an elliptic curve is always specified by (the coefficients of) a long Weierstrass equation

$$y^2+a_1 xy + a_3 y = x^3 + a_2x^2+ a_4 x + a_6$$

- EllipticCurve([a1,a2,a3,a4,a6]): Elliptic curve with given a-invariants. The invariants are coerced into a common parent. If all are integers, they are coerced into the rational numbers.
- EllipticCurve([a4,a6]): Same as above, but a1=a3=a2=0.
- EllipticCurve(R, [a1,a2,a3,a4,a6]): Create the elliptic curve over R. Here R can be an arbitrary commutative ring, although most functionality is only implemented over fields.

In [1]:
EC0=EllipticCurve(GF(101),[2,3]);EC0

Elliptic Curve defined by y^2 = x^3 + 2*x + 3 over Finite Field of size 101

In [2]:
EC0.count_points()

96

In [3]:
EC0.abelian_group()

Additive abelian group isomorphic to Z/96 embedded in Abelian group of points on Elliptic Curve defined by y^2 = x^3 + 2*x + 3 over Finite Field of size 101

In [4]:
EC0.an_element()

(10 : 35 : 1)

In [5]:
# Задание точек кривой
#G = EC0(41,15); G
G = EC0(10,35); G

(10 : 35 : 1)

In [6]:
G in EC0

True

In [7]:
P=G*18; P

(23 : 46 : 1)

In [8]:
P in EC0

True

In [None]:
#G = EC0(440, 539); G
#G in EC0

In [None]:
# Нельзя просто написать G = EC(441, 539); G
# Если точки не принадлежат кривой, то будет сообщение об ошибке  
# G in EC

In [9]:
print([g for g in EC0])

[(0 : 1 : 0), (1 : 39 : 1), (1 : 62 : 1), (3 : 6 : 1), (3 : 95 : 1), (5 : 21 : 1), (5 : 80 : 1), (9 : 12 : 1), (9 : 89 : 1), (10 : 35 : 1), (10 : 66 : 1), (11 : 12 : 1), (11 : 89 : 1), (13 : 2 : 1), (13 : 99 : 1), (17 : 1 : 1), (17 : 100 : 1), (18 : 35 : 1), (18 : 66 : 1), (20 : 8 : 1), (20 : 93 : 1), (21 : 32 : 1), (21 : 69 : 1), (23 : 46 : 1), (23 : 55 : 1), (25 : 15 : 1), (25 : 86 : 1), (27 : 34 : 1), (27 : 67 : 1), (30 : 46 : 1), (30 : 55 : 1), (35 : 15 : 1), (35 : 86 : 1), (40 : 7 : 1), (40 : 94 : 1), (41 : 15 : 1), (41 : 86 : 1), (44 : 43 : 1), (44 : 58 : 1), (47 : 30 : 1), (47 : 71 : 1), (48 : 46 : 1), (48 : 55 : 1), (49 : 40 : 1), (49 : 61 : 1), (50 : 41 : 1), (50 : 60 : 1), (52 : 27 : 1), (52 : 74 : 1), (56 : 30 : 1), (56 : 71 : 1), (57 : 50 : 1), (57 : 51 : 1), (60 : 36 : 1), (60 : 65 : 1), (61 : 19 : 1), (61 : 82 : 1), (62 : 14 : 1), (62 : 87 : 1), (63 : 10 : 1), (63 : 91 : 1), (64 : 33 : 1), (64 : 68 : 1), (66 : 36 : 1), (66 : 65 : 1), (67 : 18 : 1), (67 : 83 : 1), (69 : 20

## Разбор примера 

Источник: Жданов О.Н., Чалкин В.А. Эллиптические кривые: Основы теории и криптографические приложения

### Аналог системы Эль-Гамаля.

В открытом доступе публикуются параметры группы эллиптической кривой, то есть $E_p(a,b)$, и точки-«основания» $G$ на ней. 

Каждый из пользователей выбирает случайное целое число $x$, которое держит в секрете, затем находит и делает общедоступной точку $xG$. 

Пусть $Pb=nb*G$ -- открытый ключ Боба ($nb$ - секретное число, придуманное Бобом)  

Чтобы послать Бобу сообщение $M$, Алиса выбирает случайно целое число $k$ и посылает пару точек $(kG, M + k* Pb) = (C1,C2)$.

Чтобы прочитать сообщение, Боб умножает первую точку из полученной пары на свое секретное число $nb$ и вычитает результат умножения из второй точки: $C2 - nb*C1 = M$.


In [10]:
#Задание группы эллиптической кривой над поле из 751 элемента 
EC=EllipticCurve(GF(751),[-1,1]); EC

Elliptic Curve defined by y^2 = x^3 + 750*x + 1 over Finite Field of size 751

In [11]:
EC.count_points()

728

In [None]:
#Пример элемента
G = EC(0, 1); G

In [12]:
#Схема шифрования C = (C1, C2) = {kG, M + kPb}
def MyEncoder(G, Pb, k, M):
    return (k*G, M+k*Pb)

In [None]:
# Случайное значение, выбранное A
k = 3
# Открытый ключ B
Pb = EC(406, 397)
# Секретный ключ B 
nb=45
# Находим код символа, который передаем, в таблице 
M=EC(66,552)
# Пара для передачи
C1,C2=(k*G, M+k*Pb); (C1,C2)

In [13]:
#Схема декодирования M = (M + kPb) – nb*(kG)  = C2 - nb*C1
def MyDecoder(C1, C2, nb):
    return C2-nb*C1

In [None]:
DM=MyDecoder(C1,C2, nb)
print(DM)

In [None]:
parent(DM)

In [None]:
type(DM)

In [None]:
DM[0], DM[1]

In [14]:
# Символы алфавита закодированы элементами группы
alpha={(228, 271):"а", (228, 480):"б", (229, 151):"в", (229, 600):"г", (234, 164):"д", 
       (234, 587):"е", (235, 19):"ж", (235, 732):"з", (236, 39):"и", (236, 712):"й", 
       (237, 297):"к", (237, 454):"л", (238, 175):"м", (238, 576):"н", (240, 309):"о", 
       (240, 442):"п", (243, 87):"р", (243, 664):"с", (247, 266):"т", (247, 485):"у", 
       (249, 183):"ф", (249, 568):"х", (250, 14):"ц", (250, 737):"ч", (251, 245):"ш", 
       (251, 506):"щ", (253, 211):"ъ", (253, 540):"ы", (256, 121):"ь", (256, 630):"э", 
       (257, 293):"ю", (257, 458):"я"}

In [None]:
#alpha[(257, 458)] = 'я'

In [15]:
# Используется кривая E(751, 1,1) и генерирующая точка G = (–1, 1)
# Зная секретный ключ nb, расшифровать сообщение M

# Закрытый ключ
nb=29
# Шифртекст
Message=[ [(440, 539), (128, 672)],  [(489, 468), (282, 341)], [(489, 468), (45, 720)],  [(72, 254), (227, 299)], 
         [(188, 93), (251, 506)],  [(72, 254), (319, 518)],  [(745, 210), (129, 659)],  [(286, 136), (515, 684)], 
         [(568, 355), (395, 414)]]

In [16]:
message=[]
for x in Message:
    C2=EC(x[1])
    C1=EC(x[0])
    DM=MyDecoder(C1, C2, nb)
    message.append(alpha[(DM[0], DM[1])])
    print(DM[0], DM[1], alpha[(DM[0], DM[1])])

228 480 б
228 271 а
243 87 р
249 568 х
228 271 а
247 266 т
238 576 н
253 540 ы
236 712 й


In [17]:
"".join(message)

'бархатный'