Caminos de isogenias entre curvas elípticas sobre cuerpos finitos

Transcripción

1 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos J.M. Miret 1, D. Sadornil 2, F. Sebé 1 y J.G. Tena 3 1 Dept. de Matemàtica. Universitat de Lleida. {miret,fsebe}@matematica.udl.cat 2 Dept. Matemáticas, Estadística y Computación. Universidad de Cantabria. sadornild@unican.es 3 Dept. de Álgebra, Geometría y Topología. Universidad de Valladolid. tena@agt.uva.es Resumen. Dadas dos curvas elípticas sobre un cuerpo finito con el mismo cardinal, S.D. Galbraith diseñó un algoritmo probabilístico para encontrar una isogenia entre ellas de grado smooth, es decir, cuyo grado no tiene factores primos mayores que una cierta cota. En este trabajo presentamos un nuevo método que obtiene una isogenia de grado mínimo smooth. Palabras clave: criptografía, curvas elípticas, isogenias. 1 Introducción Dadas dos curvas elípticas E 1 y E 2 sobre un cuerpo finito F q, una isogenia entre ambas es un morfismo que preserva la ley de grupo. Tate [11] prueba la existencia de una isogenia entre ellas si y sólo si las dos tienen el mismo cardinal N = q + 1 t, t 2 q. Sin embargo encontrar explícitamente una isogenia entre ambas curvas es un problema computacionalmente duro. Esta dificultad está en la base de propuestas de sistemas criptográficos de clave pública como [7]. Este criptosistema, basado en un camino de isogenias (secreto) entre dos curvas elípticas (públicas), podría ser roto por un adversario capaz de determinar mediante un proceso eficiente una isogenia entre ambas curvas. Asimismo, la propuesta de firma digital (Patente Microsoft [5]) basa su seguridad en la dificultad de encontrar varias isogenias entre dos curvas elípticas de igual cardinal. Todo ello avala el interés de la investigación en algoritmos que determinen explícitamente isogenias entre dos curvas elípticas. El grado de una isogenia es el grado de la correspondiente inmersión de los cuerpos de funciones de las curvas elípticas. Además, una isogenia puede obtenerse como composición de isogenias de grado primo. De esta forma, se Trabajo financiado por los proyectos MTM C02-{01,02} y CSD

2 494 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena puede definir un grafo pesado cuyos nodos son curvas elípticas con igual cardinal y cuyas aristas representan isogenias entre curvas con peso el grado de la isogenia. En este contexto, el problema se reduce a encontrar un camino entre dos nodos del grafo. Galbraith [4] da un algoritmo de fuerza bruta para encontrar una tal isogenia. La complejidad de su algoritmo es exponencial y, en general, la isogenia encontrada no es la de grado mínimo posible (problema que el autor considera aún más difícil), sino que produce una de grado smooth, es decir, cuyo grado no tiene factores primos mayores que una cierta cota. El algoritmo construye una cadena de isogenias de grados primos entre E 1 y E 2 y devuelve la composición de las isogenias de la cadena. Empieza calculando dos cadenas específicas de isogenias ascendentes, según las notaciones de Kohel [6]. La primera cadena une la curva E 1 con una curva elíptica E 1, cuyo anillo de endomorfismos es el orden maximal O K del cuerpo cuadrático K = Q( t 2 4q), mientras que la segunda une E 2 con una curva E 2, también verificando que End(E 2 ) = O K. Seguidamente, se van construyendo dos árboles con raíz en E 1 y E 2, respectivamente, hasta que en los dos árboles se obtiene una curva en común. Cuando esto sucede, el algoritmo ha encontrado un camino que conecta E 1 con E 2. En este trabajo presentamos un nuevo algoritmo que produce una isogenia de grado mínimo smooth entre dos curvas elípticas dadas. El algoritmo se basa también en un enfoque arbóreo que construye un árbol de isogenias con raíz en E 1, hasta obtener como un nodo del árbol la curva E 2. Entonces, el algoritmo devuelve las isogenias calculadas a lo largo del camino entre E 1 y E 2. Una de las diferencias entre la propuesta de Galbraith [4] y la que presentamos en este trabajo es que las isogenias de nuestro árbol no se construyen de manera aleatoria como en [4] sino que se calculan de tal manera que sus grados son mínimos entre la curva E 1 y la curva imagen por la isogenia que se añade al árbol. Por otra parte, para encontrar un camino, nuestro algoritmo no necesita calcular isogenias ascendentes hasta curvas cuyo anillo de endomorfismos es el orden maximal O K, sino que es suficiente ascender a curvas cuyo anillo de endomorfismos es un orden más pequeño. 2 Preliminares Una curva elíptica E sobre un cuerpo perfecto k es una curva proyectiva de género 1 que tiene al menos un punto racional O E. Estas curvas tienen un modelo proyectivo plano no-singular con un único punto en el infinito (forma de Weierstraß). Para cada cuerpo k K k, el conjunto de puntos racionales E(K) tiene estructura de grupo abeliano con el punto del infinito como neutro. Si la característica del cuerpo es distinta de 2 y 3, una curva elíptica E/k se puede expresar en coordenadas afines como: E/k : y 2 = x 3 + ax + b,

3 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos 495 ( ) con a, b k y cuyo j-invariante viene dado por j(e) = a 3 4a 3 +27b Isogenias Una isogenia entre dos curvas elípticas E 1, E 2 sobre un cuerpo k es un morfismo I : E 1 E 2 definido sobre k tal que I(O E1 ) = O E2. Una isogenia es un homomorfismo de grupos. Entonces, las curvas E 1 /k y E 2 /k se dice que son isógenas si existe una isogenia no trivial entre ellas. El grado de la isogenia es el grado de la correspondiente inmersión de sus cuerpos de funciones. Además, una isogenia de grado n = n 1 n 2 se puede obtener como una composición de isogenias de grados n 1 y n 2. Sobre cuerpos finitos, el teorema de Tate [11] establece que dos curvas elípticas son isógenas si y sólo si tienen el mismo cardinal. Así, el cardinal N de una curva elíptica sobre un cuerpo finito F q es un invariante de su clase de isogenia. Dado el j-invariante, j 1, de una curva elíptica E 1 definida sobre F q, los j-invariantes de sus curvas isógenas de grado l se pueden calcular usando polinomios modulares [1]. En efecto, dado el l-ésimo polinomio modular Φ l (x,y), estos j-invariantes se pueden obtener como raíces de Φ l (x,j 1 ) (mód q). A partir de los coeficientes E 1 /F q, del j-invariante j 1 = j(e 1 ) y una raíz j 2 de Φ l (x,j 1 ) (mód q) se pueden calcular los coeficientes de una curva E 2 /F q isógena a E 1 con j(e 2 ) = j 2 (véase [1], sección VII.4, el trabajo de N.D. Elkies [2] o [10]). Y a partir de los coeficientes de ambas curvas se puede determinar el factor ψ(x) F q [x] de grado (l 1)/2 del polinomio de l-división de E 1 /F q asociado al núcleo de la isogenia. Entonces, usando las fórmulas de Vélu [12], se pueden obtener las expresiones de la isogenia como aplicacions racionales ( ϕ1 (x,y) I(x,y) = ψ(x) 2, ϕ ) 2(x,y) ψ(x) 3 donde ϕ 1 (x,y) y ϕ 2 (x,y) son polinomios sobre F q que se pueden deducir de ψ(x). 2.2 Anillos de endomorfismos El conjunto de todas las isogenias de una curva E/k consigo misma, junto con la aplicación cero, forman un anillo que denotamos por End(E). Dada una curva E/F q, q = p m, con cardinal N = q + 1 t, t 2 q, que sea ordinaria, es decir, p t, podemos considerar el cuerpo cuadrático imaginario, K = Q( d), donde d es libre de cuadrados y t 2 4q = f 2 D K,

4 496 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena siendo D K = d si d 1 (mód 4) o D K = 4d si d 2,3 (mód 4). Entonces el anillo de endomorfismos O = End(E) de E/F q se puede identificar con un orden de K ([8], Teorema V.3.1), que satisface Z[π] O O K, donde O K es el anillo de enteros de K. El anillo Z[π] tiene conductor f en el orden maximal O K y, por tanto, el conductor g de O divide f. Dadas dos curvas elípticas ordinarias E/F q, siendo D π = t 2 4q el discriminante de su endomorfismo de Frobenius, el símbolo de Legendre para un entero l da información sobre las isogenias de grado l de E. Más concretamente, E/F q no tiene isogenias de grado l si ( D π ) l = 1, E/Fq tiene dos isogenias de grado l si ( D π ) l = 1 y E/Fq tiene 1 o l + 1 isogenias de grado l si ( D π ) l = 0. Dada una isogenia I : E 1 E 2 de grado un primo l, Kohel [6] demostró la siguiente relación entre sus anillos de endomorfismos: [O 1 : O 2 ] = 1, l o 1/l. Según cada caso, se dice que la isogenia I es horizontal, descendente o ascendente, respectivamente. Esta noción de dirección permite representar el conjunto de clases de isomorfía de curvas isógenas mediante un grafo. Un volcán [3] de l-isogenias es un grafo dirigido cuyos nodos son clases de isomorfía de curvas elípticas ordinarias sobre un cuerpo finito F q y cuyas aristas representan isogenias de grado l entre ellas. Estos grafos están formados por un único ciclo (con uno, dos o más nodos) en el máximo nivel, llamado cráter, y desde cada nodo del ciclo cuelga un árbol completo l-ario, excepto en el caso que el volcán se reduzca al cráter. Las hojas de estos árboles están situadas en el mismo nivel, denominado suelo del volcán. Los volcanes de l-isogenias cuyo primo l divide el conductor f de Z[π] tienen al menos dos niveles (altura 1). Los resultados siguientes muestran que una isogenia se puede descomponer como una composición de una isogenia ascendente a una curva cuyo anillo de endomorfismos es el producto de los anillos de endomorfismos de las dos curvas dadas, seguida de una isogenia horizontal y una de descendente. Lema 1. Sean E 1 y E 2 dos curvas elípticas ordinarias cuyos anillos de endoemorfismos O 1, O 2 tienen conductores g 1 y g 2. Sea I : E 1 E 2 una isogenia. g 1 Si l es un primo que divide gcd(g 1,g 2 ) o g 2, entonces el grado de I gcd(g 1,g 2 ) es divisible por l. Demostración. Se deduce directamente de la Proposición 1 de [4] y de la Proposición 21 de [6]. Proposición 1. Sean E 1 y E 2 dos curvas elípticas ordinarias con el mismo cardinal cuyos anillos de endomorfismos O 1, O 2 tienen conductores g 1 y g 2, respectivamente. Entonces, una isogenia de E 1 a E 2 de grado n se puede descomponer de la siguiente manera:

5 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos 497 I E 1 1 E I 1 E 2 I 2 E2 donde E 1 y E 2 son curvas elípticas con anillo de endomorfismos O 1O 2, con conductor g = gcd(g 1,g 2 ). Además, los grados de las isogenias I 1, I 2 e I son, respectivamente, n 1 = g 1 /g, n 2 = g 2 /g y n = n/(n 1 n 2 ). Demostración. Primero, vamos a probar la existencia de la isogenia I 1 entre E 1 y E 1 y la isogenia I 2 entre E 2 y E 2. Del Lema 1, dado un factor primo l de g 1 /g podemos considerar la única isogenia ascendente de E 1 a una curva elíptica cuyo anillo de endomorfismos tenga conductor g 1 /l. Ahora, repitiendo el mismo procedimiento para los factores restantes de g 1 /g obtenemos un camino de isogenias de E 1 a E 1 (cuyo anillo de endomorfismos es O 1O 2 con conductor g). De la misma manera, considerando los factores primos de g 2 /g, podemos construir un camino de E 2 a E 2 (con el mismo anillo de endomorfismos que E 1 ). De la primera parte, tenemos un camino de isogenias de E 1 a E 2 de grado n 1 nn 2. Puesto que la composición de isogenias es conmutativa, teniendo en cuenta que n 1 n 2 divide n, reordenando las isogenias de grado primo, podemos cancelar las isogenias I 1 e I 2 con sus correspondientes duales. Por tanto, obtenemos un camino de isogenias entre E 1 y E 2 de grado n = n/(n 1 n 2 ). 3 Algoritmo básico El algoritmo que se propone a continuación encuentra la isogenia de grado mínimo entre dos curvas elípticas, E 1 y E 2 definidas sobre F q. Su funcionamiento se basa en la construcción de un árbol donde cada nodo contiene información sobre una curva elíptica. - Los nodos están etiquetas mediante una tupla que contiene dos atributos (j,g): j: El j-invariante de la curva asociada a este nodo. g: El grado de la isogenia de grado mínim entre la curva asociada a este nodo y la curva asociada al nodo raíz del árbol. - Las aristas se etiquetan con un entero que indica el grado de la isogenia entre los dos nodos que enlaza. La métrica de las aristas es multiplicativa, es decir, el coste de un camino entre dos nodos es el producto de la métrica asignada a las aristas atravesadas. Sean j 1 y j 2 los j-invariante de E 1 y E 2, respectivamente. El algoritmo comienza con un árbol trivial compuesto de un único nodo etiquetado como (j 1,1). El algoritmo itera secuencialmente de tal modo que en su i-ésima iteracion, añade nodos al árbol tales que existe un i-isogenia entre sus curvas asociadas y el nodo raíz y no existe otra isogenia de menor grado entre ambas curvas. El algoritmo se para una vez j 2 se añade al árbol. En este momento, se

6 498 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena puede obtener la isogenia de grado mínimo entre E 1 y E 2 como la composición de las isogenias que se encuentran a lo largo del camino del árbol que las une (que corresponde al camino entre el nodo de j 2 y la raíz del árbol). El proceso se detalla en el Algoritmo 1. Algoritmo 1 Algoritmo para encontrar la isogenia de grado mínimo entre dos curvas elípticas Input: j 1, j 2 : j-invariante de dos curvas elípticas. Output: Isogenia de grado mínimo entre j 1 y j 2 1 Inicializar un árbol vacío T 2 Añadir un nodo etiquetado como (j 1, 1) a T 3 grado := 2 4 while cierto do 5 d:=factorprimomenor(grado) 6 i := grado/d 7 L i := lista del j-atributo de los nodos de T cuyo g-atributo es i 8 for j en L i do 9 L := j-invariantes de las d-isogenias de j 10 for j en L do 11 if j no en T then 12 Añadir un nuevo nodo a T etiquetado (j, grado) 13 Añadir una arista etiquetada (d) entre el nuevo nodo y el nodo de j 14 if j = j 2 then 15 Generar la isogenia I como la composición de todas las isogenias de grado primo encontradas a lo largo del camino del nodo de j hasta la raíz 16 return I 17 end if 18 end if 19 end for 20 end for 21 grado := grado end while 3.1 Estructuras de datos y detalles de implementación El tiempo de ejecución del algoritmo presentado depende de la eficiencia de algunas operaciones que deben realizarse sobre el árbol. A continuación, detallamos una forma de implementarlo basado en el uso de dos tablas hash: - Una tabla hash, H 1, cuyos elementos son tuplas con la siguiente estructura: min grado: Guarda un entero positivo. Este es el atributo clave. lista: Guarda una lista de j-invariantes.

7 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos 499 Durante la ejecución del algoritmo, la tupla cuya clave es i almacena la lista de j-invariantes de curvas elípticas cuya isogenia de grado mínimo hacia la raíz es i. - Una tabla hash, H 2, cuyos elementos son tuplas con la siguiente estructura: nodo: Guarda el j-invariante de una curva elíptica. Este es el atributo clave. padre: Almacena el j-invariante del padre de nodo en el árbol. grado: Entero que almacena el grado (primo) de la isogenia entre nodo y padre. Addición de nodos y aristas Una vez el algoritmo comienza, en el paso 2, el nodo raíz etiquetado (j 1,1) se añadido al árbol. Esto se hace de la siguiente forma: - Añadir la tupla (1, {j 1 }) a H 1. - Añadir la tupla (j 1,nulo,nulo) a H 2 (los valores nulo se deben al hecho de que el nodo raíz no tiene padre). En los pasos 12 y 13, el algoritmo añade un nuevo nodo con atributos (j,grado) y una arista (etiquetada d) enlazandolo con su padre, que es el nodo de j. Esto se hace de la siguiente forma: - Si H 1 no tiene ninguna tuple con clave grado, se añade la tupla (grado, {j }) a H 1. - En el otro caso, j se añade al campo lista de la tupla de H 1 cuya clave es grado. - Finalmente, se añade la tupla (j,j,d) a H 2. Búsquedas En el paso 7 el algoritmo necesita una lista L i que contenga el j-invariante de todas las curvas cuya isogenia de grado mínimo hacia la raíz sea de grado i. Esta lista se almacena en la tupla de H 1 cuya clave es i, de tal modo que puede obtenerse mediante un único acceso a la tabla hash. Otra operación de búsqueda importante consiste en comprobar si un determinado j-invariante, j, ya se encuentra en el árbol (paso 11). Esta comprobación se hace buscando si la tabla H 2 contiene alguna tupla cuyo campo clave es j. 3.2 Ejemplo A continuación se muestra un ejemplo. Sean E 1 : y 2 = x x y E 2 : y 2 = x x + 94 dos curvas elípticas definidas sobre F 313. Como #E 1 (F 313 ) = #E 2 (F 313 ), sabemos que existe por lo menos una isogenia entre

8 500 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena ellas. Vamos a encontrar la de grado mínimo. Los j-invariantes de E 1 y E 2 son 144 y 117, respectivamente. El algoritmo comienza a partir de un árbol con un único nodo raíz (etiquetado (144,1)). El algoritmo va añadiendo nuevas curvas al árbol en un órden creciente a partir de su isogenia de grado mínimo hasta 144. Una vez el j- invariante 117 haya sido añadido el algoritmo termina. La figura 1 muestra el contenido de H 1 cuando el algoritmo acaba. Las tuplas se muestran ordenadas a partir del campo min grado. Como el j-invariante 117 se almacena en un registro cuya clave es 10, concluimos que la isogenia de grado mínimo entre las curvas E 1 y E 2 tiene grado 10. H 1 min grado lista 1 {144} 2 {201, 146, 43} 3 {162} 4 {291, 221} 5 {268, 65} 6 {210, 163, 25} 8 {228, 191} 10 {292, 34, 237, 117} Figura 1. Contenido de H 1 cuando la isogenia de grado mínimo entre las curvas con j-invariantes 144 y 117 es encontrada. Cada fila muestra el contenido de una tupla. La figura 2 muestra el contenido de H 2 en el momento que se detiene la ejecución. A partir de su información, podemos reconstruir la cadena de isogenias de grado primo entre 144 y 117. A partir de la tupla (117,65,2) vemos que existe una 2-isogenia entre la curva 117 y la curva 65. A continuación, a partir de la tupla (65,144,5) sabemos que hay una 5-isogenia entre 65 y 144. Resumiendo, la isogenia de grado mínimo, I, entre E 1 y E 2 tiene grado 10. Esta isogenia puede descomponerse en dos isogenias de grado 5 y 2 respectivamente, 117 I 2 65 I Encontrando isogenias de grado mínimo smooth El algoritmo, tal como se describe en Algoritmo??, asume que es posible calcular isogenias de cualquier grado primo (step 9). A la práctica, es bien sabido que el coste de calcular isogenias aumenta muy rápido con el grado. Por tanto, a la práctica, solamente es factible calcular isogenias hasta un determinado grado primo máximo. En este caso, el algoritmo debe modificarse

9 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos 501 H 2 (144, N, N) (163, 162, 2) (201, 144, 2) (210, 162, 2) (146, 144, 2) (228, 221, 2) (43, 144, 2) (191, 221, 2) (291, 201, 2) (292, 268, 2) (221, 201, 2) (34, 268, 2) (268, 144, 5) (237, 65, 2) (65, 144, 5) (117, 65, 2) (25, 162, 2) Figura 2. Contenido de H 1 cuando la isogenia de grado mínimo entre las curvas con j-invariantes 144 y 117 es encontrada. Cada tupla se muestra entre paréntesis (nodo, padre, grado). de tal modo que si el valor d calculado en el paso 5 es mayor que nuestro valor primo máximo, el algoritmo salta al paso 21 y continúa. Bajo esta restricción, el algoritmo presentado solamente devuelve la isogenia de grado mínimo smooth entre dos curvas dadas. Es decir, la isogenia de grado mínimo tal que su grado no tiene factores primos mayores que nuestro máximo. 4.1 Tiempo de ejecución El algoritmo ha sido implementado en Sage [9] y ejecutado sobre un ordenador con un procesador Intel Xeno de 3.16 GHz. El grado máximo de la isogenias calculables se ha limitado a 113. El motivo es que este es el mayor grado del polinomio modular de grado primo que viene precalculado en Sage. Los resultados se muestran en la tabla 1. j-invariante grado mínimo smooth tiempo (s) = = = = = = = = = = Tabla 1. Tiempo necesario para encontrar la isogenia de grado mínimo smooth entre algunas curvas y la curva con j-invariante sobre F

10 502 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena 5 Reducción del tiempo de ejecución El corolario 1 puede aplicarse a la búsqueda de la isogenia de grado mínimo entre E 1 y E 2. De este modo, la isogenia en cuestión puede encontrarse de la siguiente forma: 1. Calcular el camino de isogenias ascendentes de E 1 hasta E 1. Denotaremos este camino como P Calcular el camino de isogenias ascendentes de E 2 hasta E 2. Denotaremos este camino como P Usar el Algoritmo 1 par encontrar la isogenia de grado mínimo entre E 1 y E 2. Denotaremos este camino de isogenias como P Obtener la isogenia de grado mínimo entre E 1 y E 2 enlazando los caminos P 1, P 3 y el reverso de P 2. Esta técnica permite reducir la longitud del camino que debe hallarse con el algoritmo 1 de n a n/n 1 n 2. Esto conlleva una reducción en el tiempo de ejecución debido a que éste depende de la longitud del camino a hallar. La complejidad computacional del algoritmo, utilizando este proceso es O(q 3/2 ). Si ninguno de los conductores de los anillos de endomorfismos O 1 o O 2 es divisible por un primo grande, dicho coste se reduce a O(q 3/4 ). 5.1 Ejemplo A continuación se presenta un ejemplo que muestra la reducción de tiempo dada por esta mejora. Consideramos el cuerpo finito F y deseamos encontrar la isogenia de grado mínimo smooth (el grado de las isogenias calculables se limita a 113) entre las curvas E 1 y E 2, cuyos j-invariantes son y , respectivamente. El algoritmo 1 encuentra el siguiente camino (los conductores se muestran entre paréntesis), que corresponde a una isogenia en 195 segundos: E 1 ( ) I (2 3 2 ) (2 3 7) I (2 3 2 ) I ( ) I ( ) I 2 E 2 (3 2 7) I 3 Aplicando la mejora, se obtiene un camino equivalente calculando primero los conductores de E 1 y E 2 que son g 1 = y g 2 = 3 2 7, respectivamente, de tal modo que g = gcd(g 1,g 2 ) = 3 2. Entonces se construye el camino de E 1 hasta E 1 : E 1 ( ) I (3 2 19) I 19 E 1

11 Caminos de isogenias entre curvas elípticas sobre cuerpos finitos 503 Luego, se construye el camino de E 2 a E 2 : E 2 I 7 E 2 (3 2 7) Finalmente, usando el algoritmo 1 se obtiene la isogenia de grado mínimo smooth formado por el siguiente camino entre E 1 y E 2 : E 1 I I (3) I 3 E 2 Componiendo los tres caminos anteriores (invirtiendo el orden de aquel entre E 2 y E 2 ), obtenemos el siguiente camino en solamente 2,3 segundos: E 1 ( ) I (3 2 19) (3) I 19 E 1 I 3 E 2 I I 7 E 2 (3 2 7) I 3 En la tabla 2 se muestran los tiempos de ejecución del algoritmo tomando desde cada curva un camino ascendente a curvas con anillo de endomorfismo O 1 O 2. Para comprobar que efectivamente se reduce el tiempo de cálculo se han tomado las mismas curvas que en la tabla 1. Por la proposición 1, es claro que la isogenia de grado mínimo entre dos curvas elípticas se descompone en isogenias ascendentes, una isogenia horizontal e isogenias descendentes. Además, tanto las ascendentes como las descendentes (que son ascendentes desde la curva final) están unívocamente determinadas por los conductores de O 1 y O 2 respectivamente y este hecho reduce el tiempo de cálculo. j-invariante grado mínimo smooth tiempo (s) = = = = = = = = = = Tabla 2. Tiempo necesario para encontrar la isogenia de grado mínimo smooth entre algunas curvas y la curva con j-invariante sobre F tomando caminos ascendentes en primer lugar.

12 504 J.M. Miret, D. Sadornil, F. Sebé y J.G. Tena Referencias [1] I.F. Blake, G. Seroussi, N.P. Smart. Elliptic Curves in Cryptography. London Mathematical Society Lecture Notes vol. 265, Cambridge U. Press, [2] N.D. Elkies. Explicit isogenies. Manuscript, [3] M. Fouquet, F. Morain. Isogeny Volcanoes and the SEA Algorithm. ANTS-V, LNCS 2369, , Springer, [4] S.D. Galbraith. Constructing isogenies between elliptic curves over finite fields. LMS J. Comput. Math. 2, , [5] D.Y. Jao, R. Venkatesan. Use of isogenies for design of cryptosystems. European Patent EP [6] D. Kohel. Endomorphism rings of elliptic curves over finite fields. PhD thesis, University of California, Berkeley, [7] A. Rostovtsev, A. Stolbunov. Public-key cryptosystem based on isogenies. Cryptology eprint Archive. Report 2006/145, [8] J.H. Silverman. The arithmetic of elliptic curves. Grad. Texts in Math. 106, Springer, [9] W. A. Stein et al. Sage Mathematics Software (Version 4.3). The Sage Group, [10] R. Schoof. Counting points on elliptic curves over finite fields. J. Théorie des Nombres de Bordeaux 7, , [11] J. Tate. Endomorphisms of abelian varieties over finite fields. Invent. Math. 2, , [12] J. Vélu. Isogénies entre courbes elliptiques. C.R. Acad. Sci. Paris, Ser. I Math. Serie A, 273, , 1971.