Custo de Opera¸c˜ oes B´ asicas do La¸co de Miller

4.2 Aritm´ etica de Opera¸c˜ oes B´ asicas de Emparelhamentos sobre Curvas El´ıpticas

4.2.2 Custo de Opera¸c˜ oes B´ asicas do La¸co de Miller

Antes de dar in´ıcio às análises de opera¸cões, vale a pena recordar a estrutura dos emparelhamentos em questão. Pela Se¸c˜_{ao 4.2.1, E(F}p) é uma curva el´ıptica definida sobre Fp. Sendo

E0_(Fp2) um D-twist de E(F_p), pode-se definir o emparelhamento bilinear e da seguinte forma:

e : E(Fp) × E0(Fp2) → F∗

Desta forma, as opera¸cões de aritmética el´ıptica no cálculo destes emparelhamentos serão efe- tuadas sobre a curva el´ıptica E0_(Fp2).

Coordenadas Afins

Para o cálculo do emparelhamento bilinear e(Q, P ), é fundamental a execu¸cão da fun¸cão de Miller gT ,Q(P ). Esta fun¸cão tem o seguinte significado: gT,Q representa a equa¸cão da reta

(fun¸cão linha) que passa por T e Q. Já, gT ,Q(P ) representa o valor dessa equa¸cão quando

aplicado a ela o ponto P , onde gT ,Q(P ) ∈ F∗_pk. Então, gT ,Q(P ) é denominada fun¸cão linha

avaliada a partir de P . Se T = Q, ent˜ao calcular gT ,T(P ) consiste em encontrar no ponto P o

valor da equa¸c˜ao da reta tangente `a curva el´ıptica E0 no ponto T . Sejam P = (xP, yP) ∈ E(Fp)

e T = (xT, yT) ∈ E0(Fp2). Ent˜ao, gT ,T(P ) = yP − λxPw + (λxT − yT)w3. (4.6) Fazendo, xP = −xP, x0P = xP y_P0 e y 0 P = 1 yP

. Ent˜ao, a Equa¸c˜ao 4.6 pode ser reescrita como:

y_P0 · gT,T(P ) = 1 + λx0Pw + y 0

P(λxT − yT)w3. (4.7)

Desta forma, a Equa¸c˜ao 4.7 pode ser calculada da seguinte forma:

y0_P · gT ,T(P ) = 1 + F w + Gw3. (4.8) Onde, A = 1 2yT ; B = 3x2_T; C = A · B; D = 2xT xR = C2− D; E = CxT − yT; yR= E − CxR; F = Cx0P; G = EyP0 . Considere que xP, y0P e x 0

P sejam pré-computados. O custo para calcular a Equa¸cão 4.8 é de

3 ˜m + 2˜s + 7ã + ˜i + 5˜r + 4m. Neste custo, está inclu´ıdo o custo de calcular gT,T(P ) (Equa¸cão

4.6) e de duplicar R = 2T . O custo da pr´e-computa¸c˜ao de xP, x0P y 0

Se T 6= Q, ent˜ao y_P0 · gT ,Q(P ) = 1 + F w + Gw3, (4.9) onde, A = 1 xQ− xT ; B = yQ− yT; C = A · B; D = xT + xQ xR = C2− D; E = CxT − yT; yR= E − CxR; F = Cx0P; G = EyP0 .

O custo de cálculo da Equa¸cão 4.9 é de 3 ˜m + ˜s + 6ã + ˜i + 4˜r + 4m. Neste custo, está inclu´ıdo o custo de calcular gT ,Q(P ) (Equa¸cão 4.9) e da somar os pontos R = T + Q.

Coordenadas Projetivas Homogˆeneas

Seja T = (XT, YT, ZT) ∈ E0(Fp2) um ponto representado em coordenadas projetivas ho-

mogêneas. Portanto, pode-se efetuar a duplica¸cão de T , ou seja, R = 2T = T + T = (XR, YR, ZR), mediante utiliza¸cão das seguintes equa¸cões:

XR = XY 2 (Y 2_{− 9b}0_Z2 T) YR = 1 2(Y 2 T + 9b 0 Z_T2) 2 − 27b02Z_T4 (4.10) ZR = 2YT3ZT.

Seja P = (xP, yP) ∈ E(Fp). Quando E0 ´e um D-twist, ent˜ao gT,T(P ) pode ser calculado da

seguinte forma:

gT ,T(P ) = −2YTZTyp+ 3XT2xpw + (3b0ZT2 − Y 2 T)w

3_. _(4.11)

Fazendo yp = −yp e x0p = 3xp, ent˜ao, a Equa¸c˜ao 4.11 pode ser reescrita como

gT ,T(P ) = Hyp+ 3XT2x 0 pw + (E − B)w 3_, _(4.12) onde A = XTYT 2 ; B = Y 2 T; C = ZT2; E = 3b0C F = 3E; XR = A(B − F ); G = B + F 2 YR = G 2_{− 3E}2_; _{H = (Y} T + ZT)2− (B + C); ZR= BH.

A multiplica¸cão por b0 têm custo de uma adi¸c˜_{ao sobre F}p2, fato fácil de ser verificado via

tamb´em apresenta custo de uma adi¸c˜_{ao sobre F}p2, pois pode ser efetuada por uma opera¸c˜ao de

shift para a direita. Considerando que yp e x0p na Equa¸c˜ao 4.12 sejam pr´e-computados, o custo

de cálculo da Equa¸cão 4.12 é 3 ˜m + 6˜s + 17ã + 8˜r + 4m. Neste custo, está inclu´ıdo o custo de encontrar gT ,T(P ) (Equa¸cão 4.12) e da duplica¸cão R = 2T (Equa¸cão 4.10).

Sejam T = (XT, YT, ZT), Q = (xQ, yQ) ∈ E0(Fp2) pontos representados em coordenadas pro-

jetivas e afins, respectivamente. Ent˜ao, a soma R = T +Q = (XR, YR, ZR) pode ser determinada

por meio das seguintes equa¸c˜oes:

XR = λ(λ3+ ZTθ2− 2XTλ2)

YR = θ(3XTλ2− λ3− ZTθ2) − YTλ3 (4.13)

ZR = ZTλ3.

Seja P = (xP, yP) ∈ E(Fp). Quando E0 ´e um D-twist, ent˜ao gT ,Q(P ) pode ser calculado da

seguinte forma:

gT,Q(P ) = −λyP − θxPw + (θxQ− λyQ)w3. (4.14)

Fazendo, xP = −xP. Ent˜ao, a Equa¸c˜ao 4.14 pode ser reescrita como:

gT,Q(P ) = λyP + θxPw + J w3, (4.15) onde, A = yQZT; B = xQZT; θ = YT − A; λ = XT − B C = θ2; D = λ2; E = λ3 _{F = Z} TC; G = XTD; H = E + F − 2G; XR= λH; I = YTE; YR= θ(G − H) − I; ZR= ZTE; J = θxQ− λyQ.

O custo de cálculo da Equa¸cão 4.15 é 11 ˜m + 2˜s + 8ã + 11˜r + 4m. Neste custo, está inclu´ıdo o custo de calcular gT ,Q(P ) (Equa¸cão 4.15) e de somar R = T + Q (Equa¸cão 4.13).

Para utiliza¸cão de coordenadas projetivas homogêneas, o custo das pré-computa¸cões necessárias para tornar a computa¸cão das fun¸cões de linha mais eficientes é de 4a.

Outras opera¸cões definidas sobre curvas el´ıpticas necessárias no cálculo de emparelhamentos bilineares são: nega¸cão de pontos e potências de Frobenius. Seja Q = (xQ, yQ) ∈ E0(Fp2): a

tais que φp : E0(Fp2) −→ E0(F_p2) (4.16) (x, y) 7−→ (xp, yp) e φ2_p : E0_(F_p2) −→ E0(F_p2) (4.17) (x, y) 7−→ (xp2, yp2)

para todo (x, y) ∈ E0_(Fp2). Estas fun¸cões são denominadas p−potência de Frobenius e p2−potên-

cia de Frobenius, respectivamente. O custo de execu¸cão destas fun¸cões é de 2 ˜m + 2a (Equa¸cão 4.16) e 2m + ã (Equa¸cão 4.17). Para mais detalhes sobre como efetuar as potências de Frobenius sobre E0_(Fp2) a referência (Hoffstein et al.; 2008) pode ser consultada.

As fun¸c˜oes linha, tradicionalmente representadas por gA,Ae gA,Bnos Algoritmos 3.2, 3.4 e 3.5,

retornam valores temporários obtidos no decorrer do cálculo do la¸co de Miller. Estes valores são elementos de Fp12 = F_p2[w]/(w6−ε), ou seja, são polinômios de grau máximo cinco e coeficientes

em Fp2 que podem ser representados de forma gen´erica por a₀+a₁w +a₂w2+a₃w3+a₄w4+a₅w5,

com ai ∈ Fp2. Porém, os valores destas variáveis são bem esparsos (possuem vários coeficientes

nulos) quando são utilizadas curvas el´ıpticas com grau de imersão par, como por exemplo as curvas BN (Costello; 2010). No caso k = 12, estas fun¸cões linha possuem três dos seis coeficientes base nulos (Equa¸cões 4.8, 4.9, 4.12, 4.15). Na i−ésima itera¸cão dos Algoritmos 3.2, 3.4 e 3.5, o valor gA,A(P ) é multiplicado por (fi−1)2 e o resultado dessa multiplica¸cão é armazenado em

fi. Se o i−´esimo bit do valor que descreve o comprimento do la¸co de Miller for um, nessa

mesma itera¸cão é calculado um valor gA,B(P ) que é multiplicado pelo valor fi e o resultado é

armazenado novamente em fi. Pelo fato dos valores gA,Ae gA,Bserem esparsos as multiplica¸c˜oes

(fi−1)2 · gA,A e fi · gA,B s˜ao denominadas multiplica¸c˜oes do tipo 1-esparsa. O custo de uma

multiplica¸cão 1-esparsa varia de acordo com o tipo de coordenada que esta sendo utilizada; no caso das coordenadas afins utilizando pré-computa¸cão de dados, é possivel tomar a0 = 1

(Aranha et al.; 2013) e o custo desse tipo de multiplica¸cão é de 10 ˜mu + 26ã + 2mε+ mv + 6˜r.

Se forem utilizadas representa¸cões em coordenadas projetivas, o custo de uma multiplica¸cão 1-esparsa é de 16 ˜mu + 28ã + 2mε+ mv + 6˜r.

Nas linhas 8 e 16 do Algoritmo 3.5 é utilizado um tipo de multiplica¸cão que difere das definidas até então. Esta multiplica¸cão é entre dois valores esparsos (d · e), e o resultado dessa multiplica¸c˜_{ao gera um valor completo de F}p12. Este tipo de opera¸cão será denominada

multiplica¸cão do tipo 2-esparsa. De forma similar a multiplica¸cão 1-esparsa, o custo dessa opera¸cão varia de acordo com o tipo de coordenadas que estão sendo adotadas. Para coordenadas afins o custo desta opera¸cão é de 3 ˜mu + 9ã + mε+ 5˜r, e no caso de coordenadas projetivas o

custo ´e de 6 ˜mu+ 20˜a + mε+ 5˜r.

Os custos das multiplica¸cões 1-esparsa e 2-esparsa diferem dos apresentados na literatura, como, por exemplo, em (Aranha et al.; 2013), pois aqui estas opera¸cões foram executadas como multiplica¸cões simples de polinômios (multiplica¸cão via regra distributiva). Vale a pena ressaltar que o custo das multiplica¸cões 1-esparsa com coordenadas afins e 2-sparsa com coordenadas projetivas utilizando este método pode trazer uma economia de 2ã e 1ã, respectivamente em rela¸cão ao método utilizado na referência (Aranha et al.; 2013); porém este método não é vantajoso em nenhum dos outros casos. Esta redu¸cão só é poss´ıvel se forem utilizadas formas de postergar redu¸cões modulares.

Considereraremos a partir daqui, que o custo das multiplica¸c˜oes pelas constantes ε e v ´e equivalente ao custo de uma adi¸c˜_{ao sobre F}p2.

No documento Avaliação do custo computacional de emparelhamentos bilineares sobre curvas elípticas Barreto-Naehrig (páginas 63-68)