Curve25519扩展域

Question

关于curve25519，本文在第二章(规范)中给出了一个定理。在这个定理中使用了扩张域F_{p^2}。我不明白为什么curve25519需要这个扩展字段。这就是我所得到的：

该定理表明，对于某些椭圆曲线，E对每一个点乘n \cdot Q存在唯一的s \in F_p (s是产生点的x值)。点乘可以用Montgomery阶梯完成。Curve25519有一个基点P = (9,y)，其中y不在蒙哥马利阶梯中使用。因为P是曲线上的一个点，所以点乘P' = n \cdot P也必须是曲线上的一点。现在，我们可以用P'乘以另一个标量，这再次导致椭圆曲线上的点。在这种情况下，只有F_p才需要curve25519。

因此，我认为只使用扩展字段，如果考虑每个Q = (q,r)的所有点q \in F_p的点乘。意思是Q \notin E(F_p)但是Q \in E(F_{p^2})。我不明白为什么要考虑这个案子，因为它从来没有被使用过。

Answer 1

我真的不知道，所以我会告诉你我最好的猜测:其中一个设计目标是“自由点验证”。为了做到这一点，我们希望确保无论我们在x-value中发送了什么F_p，它都是曲线上的一个有效点。

如果是x\in F_p，那么要做一个椭圆曲线点，我们需要y这样的y^2=x^3+488862x^2+x。但是我们没有理由期望x^3+488862x^2+x会是二次剩余，所以通常我们需要在F_{p^2}上定义y。因此，如果我在F_p中向您发送任何值D9，并告诉您这是曲线上的一个点，您知道存在一些y\in F_{p^2}，例如(x,y)\in E(F_{p^2})，但是不能保证y\in F_p。

密钥交换使用x-only算法，因此密钥交换在任何计算中都不需要使用扩展字段。定理2.1告诉我们，具有x-value in F_p的点的所有倍数也都有F_p中的x-values，这或多或少地证明了x-only算法的正确性。因此，我认为使用Q\in E(F_{p^2})但Q\notin E(F_p)的情况，但只能通过隐式定义的y-value来使用。