椭圆曲线——从仿射坐标到雅可比坐标的转换

2021SC@SDUSC

在libsecp256k1比特币密码算法开源库（四）中定义了有限域下椭圆曲线的相关运算，在那一篇中对于椭圆曲线几何加法运算的过程有了非常详细的说明。但是在那一篇中，对与不同的两点P和Q，计算其几何加法结果R必须要经过非常重要的一步，即求斜率m：
$$m=\frac{y_P-y_Q}{x_P-x_Q}modp=(y_P-y_Q)(x_P-x_Q{)}^{-1}modp$$在这一步中不可避免地要求一个乘法逆元，即$(x_P-x_Q{)}^{-1}$。计算乘法逆元可以使用扩展欧几里得算法，这个开销或许不是很大，但这里的$x_P$和$x_Q$都是非常大的数（BigInt），用扩展欧几里得算法计算相应的乘法逆元是非常困难的。除此之外，计算椭圆曲线的标量乘法也有非常关键的一步，也就是计算最开始两个相同数的几何加法，其中也要计算斜率m：
$$m=\frac{3x_P^2+a}{2y_P}modp=(3x_P^2+a)(2y_P{)}^{-1}modp$$在这一步中还是不可避免地要求乘法逆元$(2y_P{)}^{-1}$。

除此之外，在介绍椭圆曲线群中的元素中，除了那些满足椭圆曲线方程具有横纵坐标的点之外，我还提到一个“无穷远点”。这个无穷远点从何而来，本文将会进行解答。

那么在实际算法实现过程中，避开扩展欧几里得算法，以求更加快速高效地求大数的乘法逆元是很重要的一个问题。实际上，在椭圆曲线上点的表示有两种形式：仿射坐标Affine表示和射影坐标Projection表示，通过将椭圆曲线上的点坐标从仿射坐标转换到射影坐标中，就可以巧妙地避开扩展欧几里得算法。下面开始：

Affine 仿射坐标

虽然这里给仿射坐标放了一个title，但其实这里已经没有必要给仿射坐标讲太多东西了。之前几篇讲的椭圆曲线的方程表示和坐标运算其实都是基于仿射坐标的。也就是说，椭圆曲线的仿射方程就是$y^2＝x^3＋ax＋b$，在有限域中，这个方程也就表达为$y^2＝(x^3＋ax＋b)modp$。也就是说，在仿射坐标下才存在要使用扩展欧几里得算法求解乘法逆元的问题。

Projection射影坐标

射影坐标分为：标准射影坐标、Jacobian加重射影坐标、Chudnovsky射影坐标。在椭圆曲线中使用的是Jacobian加重射影坐标，Chudnovsky射影坐标和这里的椭圆曲线没什么关系，所以不讲它。为了说明白Jacobian加重射影坐标，先从最基本的标准射影坐标开始。

标准射影坐标

在仿射坐标中，我们有椭圆曲线方程：$y^2＝x^3＋ax＋b$，对应点的坐标就是$(x,y)$，射影坐标是三维的，一个点的坐标表示为$(x,y,z)$。这里我们规定：
在标准射影坐标中，点$(x,y,z)$对应仿射坐标中的点$(\frac{x}{z},\frac{y}{z})$；
同理有，在仿射坐标中的点$(x,y)$对应标准射影坐标中的点$(x,y,1)$。

有了这样的一个对应关系，我们令椭圆曲线方程$y^2＝x^3＋ax＋b$中$x=\frac{x}{z}$，$y=\frac{y}{z}$就得到了标准射影坐标中的椭圆曲线方程：$$y^{2}z＝x^3＋ax{z}^2＋b{z}^3$$可以看到，由于点$(x,y,z)$对应仿射坐标中的点$(\frac{x}{z},\frac{y}{z})$，这就使得z不能为0，如果z为零，在射影坐标中的点$(0,y,0)$就找不到一个对应的仿射坐标值。但实际上椭圆曲线的点还是以射影坐标为准，也就是说就是有这样一个点$(0,y,0)$，于是在仿射坐标中称这个点为“无穷远点”，也就是在射影坐标中这个z=0的点。

有了上面的从仿射坐标到标准射影坐标的映射关系，可以定义在标准射影坐标下的几何加法运算。令P和Q为不相等的两点，$P(x_1,y_1,z_1)$，$Q(x_2,y_2,z_2)$，令$R(x_3,y_3,z_3)$，且R=P+Q（几何加法运算），标准射影坐标下的几何加法运算过程如下：$$\begin{gathered} {\lambda }_1=x_1{z}_2 \\ {\lambda }_2=x_2{z}_1 \\ {\lambda }_3={\lambda }_1-{\lambda }_2 \\ {\lambda }_4=y_1{z}_2 \\ {\lambda }_5=y_2{z}_1 \\ {\lambda }_6={\lambda }_4-{\lambda }_5 \\ {\lambda }_7={\lambda }_1+{\lambda }_2 \\ {\lambda }_8=z_1{z}_2 \\ {\lambda }_9={\lambda }_3^2 \\ {\lambda }_{10}={\lambda }_3{\lambda }_9 \\ {\lambda }_{11}={\lambda }_8{\lambda }_6^2-{\lambda }_7{\lambda }_9 \\ {x}_3={\lambda }_3{\lambda }_{11} \\ {y}_3={\lambda }_6({\lambda }_9{\lambda }_1-{\lambda }_{11})-{\lambda }_4{\lambda }_{10} \\ {z}_3={\lambda }_{10}{\lambda }_8 \end{gathered}$$最后得到的$x_3,y_3,z_3$即为得到的R点标准射影坐标。

对于标量乘法中，我们首先需要计算两个相等点P+P，即计算2P，令$P(x_1,y_1,z_1)$，$R(x_3,y_3,z_3)$，标准射影坐标运算过程如下：
$$\begin{gathered} {\lambda }_1=3x_1^2+a{z}_1^2 \\ {\lambda }_2=2y_1{z}_1 \\ {\lambda }_3=y_1^2 \\ {\lambda }_4={\lambda }_3{x}_1{z}_1 \\ {\lambda }_5={\lambda }_2^2 \\ {\lambda }_6={\lambda }_1^2-8{\lambda }_4 \\ {x}_3={\lambda }_2{\lambda }_6 \\ {y}_3={\lambda }_1(4{\lambda }_4-{\lambda }_6)-2{\lambda }_5{\lambda }_3 \\ {z}_3={\lambda }_2{\lambda }_5 \end{gathered}$$最后得到的$x_3,y_3,z_3$即为得到的R点标准射影坐标。

上面的公式对于libsecp256k1开源库其实意义不大，在libsecp256k1开源库中使用的射影坐标是Jacobian加重射影坐标。

Jacobian加重射影坐标

Jacobian加重射影坐标与标准射影坐标方法类似，在Jacobian加重射影坐标中，一个射影点的坐标表示为$(x,y,z)$，这里我们规定：
在Jacobian加重射影坐标，点$(x,y,z)$对应仿射坐标中的点$(\frac{x}{z^2},\frac{y}{z^3})$；
同理有，在仿射坐标中的点$(x,y)$对应Jacobian加重射影坐标中的点$(x,y,1)$。

有了这样的一个对应关系，我们令椭圆曲线方程$y^2＝x^3＋ax＋b$中$x=\frac{x}{z^2}$，$y=\frac{y}{z^3}$就得到了Jacobian加重射影坐标中的椭圆曲线方程：$$y^2＝x^3＋ax{z}^4＋b{z}^6$$同样可以看到，由于点$(x,y,z)$对应仿射坐标中的点$(\frac{x}{z^2},\frac{y}{z^3})$，当z为零，有射影坐标中的点$(x,y,0)$，该点同样的在仿射坐标中称为“无穷远点”，也就是在射影坐标中这个z=0的点。

有了上面的从仿射坐标到Jacobian加重射影坐标的映射关系，可以定义在Jacobian加重射影坐标下的几何加法运算。令P和Q为不相等的两点，$P(x_1,y_1,z_1)$，$Q(x_2,y_2,z_2)$，令$R(x_3,y_3,z_3)$，且R=P+Q（几何加法运算），Jacobian加重射影坐标下的几何加法运算过程如下：$$\begin{gathered} {\lambda }_1=x_1{z}_2^2 \\ {\lambda }_2=x_2{z}_1^2 \\ {\lambda }_3={\lambda }_1-{\lambda }_2 \\ {\lambda }_4=y_1{z}_2^3 \\ {\lambda }_5=y_2{z}_1^3 \\ {\lambda }_6={\lambda }_4-{\lambda }_5 \\ {\lambda }_7={\lambda }_1+{\lambda }_2 \\ {\lambda }_8={\lambda }_4+{\lambda }_5 \\ {x}_3={\lambda }_6^2-{\lambda }_7{\lambda }_3^2 \\ {\lambda }_9={\lambda }_7{\lambda }_3^2-2x_3 \\ {y}_3=({\lambda }_9{\lambda }_6-{\lambda }_8{\lambda }_3^3)/2 \\ {z}_3=z_1{z}_2{\lambda }_3 \end{gathered}$$最后得到的$x_3,y_3,z_3$即为得到的R点Jacobian加重射影坐标。

对于标量乘法中，我们首先需要计算两个相等点P+P，即计算2P，令$P(x_1,y_1,z_1)$，$R(x_3,y_3,z_3)$，Jacobian加重射影坐标运算过程如下：
$$\begin{gathered} {\lambda }_1=3x_1^2+a{z}_1^4 \\ {\lambda }_2=4x_1{y}_1^2 \\ {\lambda }_3=8y_1^4 \\ {x}_3={\lambda }_1^2-2{\lambda }_2 \\ {y}_3={\lambda }_1({\lambda }_2-x_3)-{\lambda }_3 \\ {z}_3=2y_1{z}_1 \end{gathered}$$最后得到的$x_3,y_3,z_3$即为得到的R点Jacobian加重射影坐标。

可以看到，在这两个过程中没有除法运算，也就不需要定义乘法逆元。那么这时候想要避开扩展欧几里得算法求乘法逆元就很简单了：只需将椭圆曲线在仿射坐标中的点，转化为在射影坐标中的点，用射影坐标几何加法运算得到结果点，最后再把这个点的射影坐标转化为仿射坐标就可以了。

libsecp256k1的坐标转换

在libsecp256k1中就采用了从仿射坐标到射影坐标再到仿射坐标的过程。
libsecp256k1采用的坐标就是Jacobian加重射影坐标。这个方法避开了扩展欧几里得算法求乘法逆元，大大提高了算法效率。

同时注意，在secp256k1中定义椭圆曲线参数a=0，b=7，那么就可以得到Jacobian射影坐标中的secp256k1椭圆曲线方程：$$y^2＝x^3＋7z^6$$同样地，把a=0代入到上面Jacobian加重射影坐标几何加法运算公式中，就可以得到secp256k1在射影坐标中的几何加法运算过程。