Т. к. мы проводили касательную к кривой в заданной точке, то вторым уравнением системы будет уравнение касательной. В общем виде уравнение касательной выглядит так:

у – у1 = у¢(х1)(х – х1).

По определению производной

.

В итоге получим систему уравнений из уравнения касательной, применимого к нашему случаю, и уравнения кривой:

Теперь выразим y из первого уравнения системы и подставим его во второе уравнение:

По теореме, обратной теореме Виета:

Тогда, помня об изменении знака y3, получим:

Таким образом, мы получили формулы нахождения координат удвоенной точки.

,

.

Эти формулы и формулы сложения точек будут использоваться для нахождения координат точки nP, где n – любое натуральное число. Надо ещё сказать, что для унификации обозначений и вычислений вводится понятие бесконечно удалённой или бесконечной точки, ведь если у точек, через которые проводится прямая, одинаковые абсциссы, то реально эта прямая не пересекает кривую, но сложение точек всё равно осуществляется, т. е. считается, что вертикальная прямая пересекает кривую в какой-то точке, которую условились называть бесконечной точкой. Эта бесконечная точка обозначается Ό.

Для точки P = (x, y) данной кубической кривой по определению полагаем -P = (x, -y). Далее, P + (-P) = Ό. Если x – корень уравнения x3 + ax2 + bx + c = 0, то полагаем 2P = P + P = Ό. Считаем, что для любой точки P кривой выполняется
P + Ό = Ό + P = P.

1.3. Кубические кривые по модулю простого числа

Далее для целей криптографии мы будем рассматривать координаты точек кривых по модулю p. Необходимо пояснить, почему число р должно быть простым. Пусть р – составное, тогда р = mn (где m ¹ 1, n ¹ 1, m ¹ 0, m ¹ 0), значит mn º 0 (mod p), но ни m, ни n не сравнимы с 0 по модулю p. Однако в таком случае ни m, ни n не имеют обратных по модулю p. Действительно, если, например, ms º 1 (mod p), то mns º n (mod p), но mns º 0s º 0 (mod p) и, следовательно, n º 0 (mod p). Это противоречие доказывает утверждение. Т. о., предыдущие формулы сложения точек выполняются не для всех точек кривой, т. к. в них присутствует деление. Это обстоятельство не позволяет построить эффективно работающую криптосистему.

Кривые по модулю простого числа существенно отличаются от кривых над действительными числами – в кривых по модулю простого числа все вычисления происходят по модулю, поэтому при использовании формул сложения и удвоения точек используется только вычисления по модулю. Но и геометрически кривые различаются. Например, x2 + y2 = 4 – уравнение, графиком которого является окружность с центром в начале координат и радиусом равным 2, а графиком уравнения x2 + y2 º 4 (mod 7) является набор точек с натуральными координатами, не превышающими 7 и удовлетворяющими данному сравнению, т. е. (0; 2), (0; 5),
(2; 0), (3; 3), (3; 4), (4; 3), (4; 4), (5; 0). Причём множество точек конечно, т. к. максимально возможное количество точек не превышает удвоенного модуля.

Произведём сложение двух точек P (17; 6) и Q (7; 18), причём P + Q = R, R(y3, x3). Используя выведенные формулы, найдём y3 и x3. Т. к. вычисления производятся по модулю 37, то получим:

.

Чтобы найти значение дроби по модулю необходимо найти число z, удовлетворяющее условию . Перебирая целые z от 0 до 36, получаем, что . Аналогично производятся все деления по модулю, тогда

.

.

Эти координаты есть в таблице, что косвенно свидетельствует о верности вычислений.

Теперь произведём удвоение точки P(11; 3), причем 2P(x3, y3):

,

.

Эти координаты также есть в таблице, что тоже косвенно свидетельствует о верности вычислений.

3. Описание криптосистемы на кубической кривой общего вида

3.1. Общая структура криптосистемы

Объясним принцип работы криптосистемы на невырожденной кубической кривой общего вида.

Итак, имеются точки кубической кривой и набор символов, которые необходимо зашифровать. Есть несколько способов сопоставить символы точкам: каким-либо уравнением зависимости символов от координат точек, но это достаточно трудная операция, или сопоставить символы точкам таблицей, это упрощает операцию, но значительно снижает эффективность вычислений в случае большой таблицы. Затем с помощью формул сложения, удвоения точек и выбранного шифровального ключа шифруем символы. В итоге получаем новое соответствие точек и символов. Операция дешифровки происходит по такому же принципу, только в этом случае используется такой дешифровальный ключ, который возвращает в первоначальное состояние.

3.2. Описание процесса шифровки – дешифровки

Остановимся подробнее на процессе шифровки и дешифровки. Первоначальное соответствие символов и точек кривой необходимо изменить так, чтобы тем же символам соответствовали другие точки этой же кривой, причём между первоначальным и полученным соответствием должно существовать взаимно однозначная связь. Итак, допустим, символ а соответствует точка P, тогда
nP = Q (где n – ключ шифровки). Следовательно, этому же символу теперь соответствует точка Q, а ей, в свою очередь, в результате демаркировки соответствует символ, отличный от символа а. Т. о. символ а зашифрован.

Операция дешифровки противоположна процедуре шифровки. Зашифрованному символу а соответствует точка Q. Необходимо найти такой дешифровальный ключ, что mn º 1 (mod p) (где p – модуль сравнений). Тогда mQ = mnP = P, т. е. мы вернулись к первоначальному соответствию, символ а расшифрован.

3.3. Ключи

Расскажем о выборе шифровального ключа. Прежде всего, это натуральное число не равное единице. Действительно, если ключ равен единице, то после процесса шифровки полученное соответствие совпадает с первоначальным, тогда шифровка не имеет смысла. Выбор дешифровального ключа сложнее. Помимо того, что условия выбора шифровального ключа справедливы и для дешифровального ключа, последний должен ещё удовлетворять условию . Иными словами, . Мы уже знаем, как произвести деление по модулю простого числа и можем найти m.

3.4. Оценка криптостойкости

Оценим криптостойкость полученной криптосистемы. Первоначально, имеется зашифрованный набор знаков. Этот набор может быть текстом, но если он короткий, то использовать методы статистики невозможно. Тогда используется метод перебора. Для того чтобы дать оценку криптостойкости необходимо найти количество возможных переборов комбинаций коэффициентов кривой, модуля p и шифровального ключа, чтобы найти верную. Т. к. коэффициенты кривой удовлетворяют условию 0 ≤ a, b, c ≤ po – 1, (где po – максимально возможный модуль), модуль p находится среди 3 ≤ p ≤ po, а шифровальный ключ n среди 2 ≤ n ≤ 2po, т. е. криптостойкость данной криптосистемы находится как произведение правых частей полученных неравенств: . Тогда для нашего случая при po = 37, криптостойкость полученной криптосистемы находится между 108 и 1,2×108 операциями перебора.

4. Пример применения

В качестве примера работы полученной криптосистемы зашифруем и расшифруем слово «всё!». Сначала сопоставим с помощью таблицы знаки и точки кривой:

(где Ό - бесконечная точка, которая тоже входит во множество точек кривой)

Пусть n = 5. Применяя формулы сложения и удвоения точек, изменяем соответствие точек и знаков. Рассмотрим расчёты для шифрования символа «с», которому соответствует точка F с координатами (10; 28). Чтобы найти точку 5F, т. е. зашифровать символ «с», мы удвоим точку F:

то , тогда

, а

то , тогда

.

Теперь удвоим точку 2F(11; 34):

, тогда

а

тогда

.

Сложим F(10; 28) и 4F(12; 9):

а

следовательно,

.

Мы нашли точку 5F(20; 30), т. е. зашифровали символ «с», т. к. точке 5F(20; 30) в соответствии с первоначальным значением отвечает символ «ю». Символ «ё», которому соответствует точка с координатами (1; 22), шифруется в точку с координатами (13; 28), которому соответствует символ «э», символ «!» шифруется в символ «б», а символ «в» шифруется в символ «а», т. е. слово «всё!» в зашифрованном виде выглядит как «аюэб». При дешифровке возвращаемся к первоначальному соответствию, и набор символов «аюэб» расшифровывается в слово «всё!», т. е. криптосистема функционирует корректно.