超choice中ed448发生器的选择

Question

麦克汉堡提出了黄448-黄金曲线，并向超级警察项目提交了一个软件实现。

在下面你可以看到MH选择了一个生成器(或基点)，它的y坐标等于19。

Why选择了这个生成器吗？

(我猜想y=0..18中的点在某种程度上是不合适的，y=19是第一个好点-有人能证实这一点吗？)

令人困惑的是，MH的iacr eprint中还指定了另外两个生成器:一个是原始版本的生成器，另一个是更新版本。这两个版本都可以下载这里。这些发电机不会出现在超级警察的来源中。

$ cd supercop-20220506/crypto_sign/ed448goldilocks/64
$ grep -A 13 base_point magic.c
const struct affine_t goldilocks_base_point = {
#ifdef USE_NEON_PERM
    {{ 0xaed939f,0xc59d070,0xf0de840,0x5f065c3, 0xf4ba0c7,0xdf73324,0xc170033,0x3a6a26a,
       0x4c63d96,0x4609845,0xf3932d9,0x1b4faff, 0x6147eaa,0xa2692ff,0x9cecfa9,0x297ea0e
    }},
#else
    {{ U58LE(0xf0de840aed939f), U58LE(0xc170033f4ba0c7),
       U58LE(0xf3932d94c63d96), U58LE(0x9cecfa96147eaa),
       U58LE(0x5f065c3c59d070), U58LE(0x3a6a26adf73324),
       U58LE(0x1b4faff4609845), U58LE(0x297ea0ea2692ff)
    }},
#endif
    {{ 19 }}
};

请注意，超级警察软件似乎是MH的libdecaf库的早期版本。但是，由于所有相关源文件都在一个目录中，所以超级one包更容易导航。

Answer 1

我猜是对的。超级The包中的点(Gx，19)是一个具有最小y坐标的点，因此

1. 它在曲线edwards448上(即x^2+y^2 =1+ d_x^2_y^2，d=-39081)，并且
2. 它具有较大的素数阶(即等于2^448 - 0x8335dc16...bb0d)。

我能够通过修改RFC 8032中给出的python代码来验证这一点。

下一个这样的点是y=21。

我不确定是否有理由在y坐标而不是x坐标上进行搜索。