Montgomery curve的运算（2）——montgomery ladder运算

1. 引言

$F((X:Y:Z))=(X:Z)$仅对Z!=0的情况成立
需要计算$F(P)\mapsto F([k]P)$。
注意：
$O=(0:1:0),T=(0,0,1)$，因此有：
$F([k]O)=F(O),F([k]T)=F(T)$

所以以下计算中均假设：$P!=O\&P!=T$。

2. 先计算$P\mapsto [k]P$

采用的是double-and-add算法，将k值以二进制形式表示。

由上述算法第四行和第六行可知，无论何时，$R_1\ominus R_0$的差值都没有变化，都是P，即满足：
$$R_1=R_0\oplus P$$
上述算法第二行的循环$i$是由$l-2$到0，因此有：
$$R_0=[(k{)}_i]P{R}_1=[(k{)}_i+1]P,其中(k{)}_i:=\lfloor k/2^i\rfloor$$

根据以上两个公式，可推导出Montgomery ladder算法

3. The Montgomery ladder

根本的目的是为了计算$F(P)\mapsto F([k]P)$，根据第二节中计算$P\mapsto [k]P$的特征，可做以下假设：
$(F_0,F_1)=(F([(k{)}_i]P),F([(k{)}_i+1]P))$
则若需计算$(F([(k{)}_{i-1}]P),F([(k{)}_{i-1}+1]P))$：

• 当$(k{)}_{i-1}=0$时，$(F([(k{)}_{i-1}]P),F([(k{)}_{i-1}+1]P))=(F_{DBL}(F_0),F_{ADD}(F_0,F_1,F(P)))$；
• 当$(k{)}_{i-1}=1$时，$(F([(k{)}_{i-1}]P),F([(k{)}_{i-1}+1]P))=(F_{ADD}(F_0,F_1,F(P)),F_{DBL}(F_0))$

以下算法中用x来替换上面的函数F。

由于上述算法最终执行可返回$F(P)\mapsto (F([k]P),F([k+1]P))$，因此可以由$(P,F([k]P),F([k+1]P))$来计算$[k]P$，该计算可用于恢复y-坐标值。

4. y-坐标的恢复

假设P不是E(A;B)曲线上order为2的点（如T:=(0:0:1)是order为2的点之一）， Q ∉ { P , ⊖ P , O } Q \notin\{P,\ominus P,O\} Q∈/​{P,⊖P,O}，仿射坐标系下
$P=(x_P，y_P),Q=(x_Q,y_Q),P\oplus Q=(x_{\oplus },y_{\oplus })$，则根据$x_P,y_P,x_Q和x_{\oplus }$可计算获得$y_Q$：
$\because x_{\oplus }=B{\lambda }^2-(x_P+x_Q)-A\lambda =\frac{y_Q-y_P}{x_Q-x_P}$
$\therefore y_Q=\frac{(x_P{x}_Q+1)(x_P+x_Q+2A)-2A-(x_P-x_Q{)}^2{x}_{\oplus }}{2B{y}_P}$

注意，$y_Q$值的计算公式中有A参数和B参数。
在投影坐标系下，应用$x_Q=X_Q/Z_Q,y_Q=Y_Q/Z_Q,x_{\oplus }=X_{\oplus }/Z_{\oplus }$替换后，将$y_Q$值的计算公式转换为：
$2B{y}_P{Z}_Q{Z}_{\oplus }{Y}_Q=[(x_P{X}_Q+Z_Q)(x_P{Z}_Q+X_Q+2A{Z}_Q)-2A{Z}_Q^2]Z_{\oplus }-(x_P{Z}_Q-X_Q{)}^2{X}_{\oplus }$
可做以下坐标转换，使得所获得的$(X_Q^{\prime }:Y_Q^{\prime }:Z_Q^{\prime })=(X_Q:Y_Q:Z_Q)$，即仍然满足$x_Q=X_Q^{\prime }/Z_Q^{\prime }=X_Q/Z_Q，y_Q=Y_Q^{\prime }/Z_Q^{\prime }=Y_Q/Z_Q$:

$X_Q^{\prime }=2B{y}_P{Z}_Q{Z}_{\oplus }{X}_Q$
$Y_Q^{\prime }=[(x_P{X}_Q+Z_Q)(x_P{Z}_Q+X_Q+2A{Z}_Q)-2A{Z}_Q^2]Z_{\oplus }-(x_P{Z}_Q-X_Q{)}^2{X}_{\oplus }$
$Z_Q^{\prime }=2B{y}_P{Z}_Q{Z}_{\oplus }{Z}_Q$

因此可根据$P,F(Q),F(P\oplus Q)$来计算获得Q。
具体的算法细节如下：

5. Sclar multiplication on E(A;B)(F_q)

假设要求Q=[k]P，采用第三节的ladder算法可获得$F(P)\mapsto (F(Q),F(P\oplus Q))$，其中$F(Q)=(X_Q,Z_Q),F(P\oplus Q)=(X_{\oplus },Z_{\oplus })$。
然后根据第四节的Recover算法，可根据$P,F(Q)=(X_Q,Z_Q),F(P\oplus Q)=(X_{\oplus },Z_{\oplus })$，计算获得Q的坐标值$(X_Q^{\prime }:Y_Q^{\prime }:Z_Q^{\prime })$。

具体的算法实现为：

6. Constant-time ladders

对于实际密码学应用中，要保持scalar multiplication执行时间的一致性，即执行时间与所选择的秘密数据scalar m无关，应具有constant-time特征，这是避免timing attacks的第一步。

在第四节的ladder算法中，循环的长度取决于k的位长，k为scalar $m\in [0,r)$的二进制表示。
有两种方式可让循环长度与k无关：

• 1）所有的scalar认为约定设置最高位，时任何scalar的位长都相同。
• 2）修改算法中的第1步，设置$(F_0,F_1)\mapsto (F(O),F(P))$，而不是$(F(P),F(2P))$，这样当从l-2到0循环时，只有遇到第一个非零位时，F₀和F₁的值才有会被修改，否则将一直保持不变。从而scalar具有固定的长度时，可保证循环的长度也是固定的。实际curve25519-dalek的代码实现中采用的是此方法。

同时第四节的ladder算法中采用if来对秘密数据(k)_i做条件判断，存在对if分支进行时间测量的可能，实际应用时，条件判断不用if而是用conditional swaps（如下面算法的SWAP函数），可防止秘密泄露。实现当b=1时，x0=x1,x1=x0;当b=0时，x0=x0,x1=x1。可对应Rust语言中的conditional_swap函数。

完整的constant-time ladder算法如下：

参考资料：
[1] 论文《Speeding the Pollard and Elliptic Curve Methods of Factorization》
[2] 论文《Montgomery curves and their arithmetic》
[3] 论文《Efficient Elliptic Curve Cryptosystems from a Scalar Multiplication Algorithm with Recovery of the y-Coordinate on a Montgomery-Form Elliptic Curve》