Curve25519和Ed25519的同构？

Question

根据本页，Curve25519和Ed25519不是同构的，因为生育等价方程具有奇点：

在密码学中，“出生等效”是什么意思？

但是..。Curve25519和Ed25519都是循环群，对吗？两者都有2^3 * (2^{252}+27742317777372353535851937790883648493)的顺序。难道它们不是同构的吗？

Answer 1

“同构”这个词总是相对于你的数学对象所携带的特定结构。有时这从上下文中是显而易见的，但在许多情况下需要澄清。

这里有一个例子来说明核心问题：\mathbb Z与\mathbb Q同构为一个集合(因为它们之间存在一个双射，换句话说，是集合的同构)。但它们显然不是同构的环:一个是一个域，另一个不是，在许多情况下，对于特定类型的同构(双射、同构、异同构等)有特殊的名称，或者从上下文中可以清楚地看到结构的含义。

椭圆曲线具有两种主要的结构:一种是代数曲线，上面有一个群结构。一个复杂的原因是，这两个结构都没有一个特殊的词来表示它的同构，所以我们不得不用“代数曲线的同构”或“群的同构”或“阿贝尔变体的同构”(两者结合起来)来区分。

蒙哥马利曲线M\colon\; y^2=x^3+486662x^2+x与Edwards曲线E\colon\; x^2 + y^2 = 1 + (121665/121666)x^2y^2不同构为代数曲线。一个简单的原因是M是光滑的，而E在无穷远处有一个奇点，但是光滑性是在代数曲线的同构下保持的，所以它们不能同构。

然而，这些曲线上的(正则)点群是同构的:同构是由M和E的出生等价给出的。请注意，这并不意味着出生等效是曲线的同构！事实上，在这些椭圆曲线上存在着许多具有循环阶2^3\cdot (2^{252}+27742317777372353535851937790883648493)群的椭圆曲线，这组曲线当然与E上的同阶群同构，但这些曲线中没有一条有理由与E的曲线同构。

Answer 2

更详细地研究这个问题，并查看Bernstein和Lange的PDF，答案是是的，Curve25519/X 25519和Ed25519组是同构的。

这一段解释了同构，并在本文的前几节证明了其正确性：

\infty on Curve25519上的点对应于Edwards曲线上的点(0,1)；Curve25519上的点(0,0)对应于(0,-1)；Curve25519上的任何其他点(u,v)对应(\sqrt{486664}u/v,(u-1)(u+1))；Curve25519上的点和对应于Edwards曲线上的点和。因此，通过对爱德华兹曲线的对应点执行相同的组运算序列，可以对椭圆曲线v^2=u^3+486662u^2+u的点执行组操作序列。

因此，可以在Curve25519点和Ed25519点之间进行转换。但是，在X25519中，y坐标被忽略，因此X25519点对应于两个Ed25519点，这可能是一个问题。