Seminar zur Kryptographie: Der Algorithmus von Schoof

Transkript

1 Seminar zur Kryptographie: Der Algorithmus von Schoof Ausarbeitung zum Seminarvortrag von Simone Deppert Dozent: Dr. Mohamed Barakat Technische Universität Kaiserslautern Fachbereich Mathematik

2 Seminar zur Kryptographie: Der Algorithmus von Schoof

3 Simone Deppert - Sommersemester Inhaltsverzeichnis 1 Einleitung und Motivation 6 Der Algorithmus 6.1 Fall: =, S Fall: =, S Fall: x q,y q = ±q (x, y) Fall: x q,y q = ±q (x, y) Zusammenfassung Beispiel 10 A Successive Square Method 13 B Zusatz für den Froebenius Endomorphismus 14

4 4 Seminar zur Kryptographie: Der Algorithmus von Schoof

5 Simone Deppert - Sommersemester Vorwort In dieser Ausarbeitung wird der Algorithmus von Schoof auf Grundlage von [Wa, Kap. 4.5] vorgestellt. Ich habe versucht mich dabei nicht in Details zu verlieren. Der Algorithmus setzt Grundkenntnisse im Bereich der elliptischen Kurven [Ba] sowie viele Inhalte der vorangegangenen Vorträge voraus, so dass ich an den entsprechenden Stellen auf die Ausarbeitungen meiner Kommilitonen verwiesen habe. Themen, die nicht in den anderen Vorträgen bzw. Ausarbeitungen erwähnt wurden, habe ich versucht im Anhang zu sammeln oder gegebenenfalls auf Literatur zu verweisen. Ferner durfte ich mich dem Problem stellen, wie man einen Algorithmus am sinnvollsten vorstellt. In meinem Vortrag habe ich versucht zuerst einen groben Überblick über den Algorithmus zu liefern, bevor ich die einzelnen Schritte des Algorithmus genauer erläutert habe. Das Problem dabei war, dass der Überblick unvollständig wirkte ohne genaueres Wissen über die einzelne Schritte und es schwer war dem Überblick zu folgen. In der Ausarbeitung gehe ich den umgekehrten Weg. Die Einzelschritte des Algorithmus werden zuerst erläutert und im Anschluss wird eine Zusammenfassung geliefert. Der Vorteil liegt darin, dass man auf diese Weise die Entwicklung des Algorithmus besser nachverfolgen kann.

6 6 Seminar zur Kryptographie: Der Algorithmus von Schoof 1 Einleitung und Motivation Der Satz von Hasse [He] sichert uns zu, dass wir die Anzahl der Punkte einer elliptischen Kurve E in der Form y = x 3 + Ax + Bx über einem endlichen Körper F q durch #E(F q )=q +1 a bestimmen können. Hierbei soll a q gelten. Da q+1 bekannt ist, stellt sich nur noch die Frage nach der Berechnung von a. Der von René Schoof 1 im Jahre 1985 veröffentlichte Algorithmus ist in der Lage a zu bestimmen. Der Algorithmus war schneller als die anderen zu dieser Zeit bekannten Algorithmen, sogar für große q. Der Algorithmus wurde später von A. O. L. Atkin und Noam Elkies aufbereitet und verbessert. Der Algorithmus Betrachten wir die elliptische Kurve y = x 3 + Ax + B über dem endlichen Körper F q. Hierbei sei q entweder eine Primzahl oder eine Primzahlpotenz und p die Charakteristik von F q. Der Algorithmus von Schoof bedient sich des Chinesischen Restsatzes [Ma]. Im Folgenden werden wira mod berechnen um am Ende mit Hilfe des Chinesischen Restsatzes a bestimmen zu können. sei hier ein Element der Menge S = {, 3, 4,...,L}, die sich aus Primzahlen zusammen setzt. Für die Elemente der Menge S soll gelten >4 q. Der Einfachheit wegen soll nun = p für S gelten und q ungerade sein. S.1 Fall: =, S Zuerst betrachten wir den Fall =, der einfacher zu behandeln ist wie für ungerade. Uns interessiert ob y = x 3 + Ax + B eine Wurzel e F q hat. Wenn eine solche Wurzel existiert, dann gilt (e, 0) E[] sowie (e, 0) E[F q ]. E[F q ] muss demnach eine gerade Ordnung haben. Daraus folgt, dass #E(F q ) gerade sein muss, also q +1 a 0 mod. Da wir aber q ungerade gewählt haben, ergibt sich, dass a gerade sein muss. Wenn keine Wurzel e F q exisiert, dann ist a ungerade. Betrachtet man nun die Wurzeln des Polynoms x q x, soerhält man nach Definition sämtliche Elemente von F q. Es gilt also, dass y = x 3 + Ax + Bx genau dann eine Wurzel in F q hat, wenn ggt x 3 + Ax + B,x q x = 1 gilt. ggt x 3 + Ax + B,x q x = 1 bedeutet hier, dass sich von beiden Polynomen der selbe Linearfaktor oder eine Kombination aus verschiedenen Linearfaktoren abspalten lassen. Nach Definition von x q x erhält man dadurch eine Wurzel des Polynoms, die dann auch eine Wurzel des Polynoms x 3 + Ax + B ist. Für große q ist es einfacher durch die Succesive Square Methode [vgl. Anhang A] x q x q mod x 3 + Ax + B zu betrachten, da es die Rechnung vereinfacht. Dadurch vereinfacht sich der zu betrachtende Ausdruck ggt x 3 + Ax + B,x q x zu ggt x 3 + Ax + B,x q x. Bei der Betrachtung von ggt x 3 + Ax + B,x q x sowie ggt x 3 + Ax + B,x q x folgt weiterhin, dass wenn ggt(...) = 1, dass a gerade ist und wenn ggt(...)=1sicha als ungerade ergibt. 1 René Schoof ist ein niederländischer Mathematiker, der mittlerweile in Italien als Professor arbeitet.

7 Simone Deppert - Sommersemester Fall: =, S Im Gegensatz zum Fall zuvor betrachten wir hier die ungeraden S. Auch für diesen Abschnitt werden Ausdrücke wie x q und x q verwendet, die wie im Fall = berechnetwerden.zusätzlich greifen wir auf die Divisionspolynome [Kl] ψ n zurück, die eine wichtige Rolle bei diesem Algorithmus spielen. Die Divisionspolynome haben die Form: ψ 0 =0 ψ 1 =1 ψ =y ψ 3 =3x 4 +6Ax + 1Bx A ψ 4 =4y(x 6 +5Ax 4 + 0Bx 3 5A x 4ABx 8B A 3 ) ψ m+1 = ψ m+ ψm 3 ψm 1ψm+1 3 für m ψ m =(y) 1 ψ m (ψ m+ ψm 1 ψm ψm+1) für m 3 Falls n ungerade ist, dann ist ψ n ein Polynom in x. Für alle (x, y) E[F q ] gilt, dass der Punkt (x, y) genau dann ein Element von E[n] ist,wennψ n = n. Zusätzlich betrachten wir den Froebenius Endomorphismus φ q, der definiert ist als φ q (x, q) =(x q,y q ). Wir betrachten nun φ q aφ q + q = 0 [vgl. Anhang B]. Sei nun (x, y) einpunktderordnung, dann ergibt sich: φ q aφ q + q =0 Da (x, y) einpunktderordnung, gilt: x q,y q + q(x, y) =a (x q,y q ) (1) Ferner suchen wir nun ein q für das gelten soll q q mod, q l <. Daraus folgt q(x, y) = q l (x, y) und es ergibt sich für (1): x q,y q + q (x, y) =a (x q,y q ) () Da (x q,y q )einpunktderordnung ist, bestimmt diese Gleichung a mod In () ist nur a eine unbekannte Größe, so dass alle anderen Elemente der Gleichung bestimmt werden können. Dabei ist es hilfreich zu wissen, dass sobald wir einen Punkt (x, y) E[] gefunden haben, für den die Gleichung erfüllt ist, wir a bestimmen können. Außerdem ist die Gleichung dann für alle (x, y) E[] erfüllt. Im Folgenden untersuchen wir die Summanden auf der linken Seite der Gleichung () genauer...1 Fall: x q,y q = ±q (x, y) Wir nehmen nun an, dass x q,y q = ±q (x, y) für einige (x, y) E[] gilt. Aus diesem Grund definieren wir uns einen neuen Punkt (x,y ) als (x,y ):= x q,y q + q (x, y) =. Daraus folgt

8 8 Seminar zur Kryptographie: Der Algorithmus von Schoof bereits, dass a 0 mod. In diesem Fall sind die x-koordinaten der Punkte x q,y q und q (x, y) eindeutigundwirinteressieren uns für die Summe der beiden Punkte. Dafür wird eine Gerade durch die beiden Punkte gelegt und wir betrachten j(x, y) =(x j,y j ). Wir berechnen x j und y j mit Hilfe der Divisionspolynome. Daraus ergibt sich x j = r 1,j (x) undy = r,j (x)y. Wenn wir nun die x-koordinate des Punktes (x,y ) betrachten, ergibt sich: x = y q y q x q x q (3) x q x q In Gleichung (3) ist x noch in Abhängigkeit von y beschrieben. Durch die Gleichungen y = x 3 + Ax + B und y = r,j (x)y können wir den Zähler des ersten Summanden in Gleichung (3) umformen, so dass x nur noch von x abhängig ist. Für den Zähler ergibt sich: y q y q = y y q 1 r,q (x) = x 3 + Ax + B x 3 + Ax + B q 1 r,q (x) Daraus folgt für x : x 3 + Ax + B x 3 + Ax + B q 1 r,q (x) x = x q x q x q x q (4) Ziel soll es nun sein ein j zu finden für die gilt: (x,y )=(x q j,yq j ). Dafür schauen wir wieder primär die x-koordinaten an. Für einen Punkt (x, y) E[] gilt (x,y )=±(x q j,yq j ) genau dann wenn x = x q j.wenneinpunkt in E[] diesegleichungerfüllt, dann wird sie für alle (endlichen) Punkte in E[] erfüllt. Da die die Wurzeln der ψ die x-koordinaten der Punkte E[] sind, folgt daraus x x q j 0 mod ψ.der Zähler von x x q j ist demnach ein Vielfaches von ψ. An dieser Stelle ist es wichtig, dass die Wurzeln von ψ einfach sind, da wir sonst lediglich schlussfolgern könnten, dass ψ nur einige Potenzen von x x q j teilt. Die Einfachheit der Wurzeln von ψ ist dadurch gesichert, da es 1verschiedenePunktederOrdnung gibt. Da für diese Punkte x = x q j gelten muss, gibt es demnach 1 verschiedene x-koordinaten. Für alle diese Punkte gilt ferner, dass sie Wurzeln von ψ sind. Dieses Polynom hat (als Polynom in x) also Grad 1. Also müssen die Wurzeln von ψ einfach sein. Angenommen wir hätten ein solches j gefunden, dass die Gleichung x x q j 0 mod ψ erfüllt. Da wir Gleichheit in der x-koordinate fordern, folgt damit: (x,y )=±(x q j,yq j )=(xq j, ±yq j ) (5) Unsere nächste Aufgabe ist es nun das Vorzeichen zu bestimmen, wobei hier die y-koordinate ausschlaggebend ist. Hierfür betrachten wir y y und yq j y.beidebrüche können als Funktionen von

9 Simone Deppert - Sommersemester x geschrieben werden, so dass wir uns wieder für die Teilbarkeit durch ψ interessieren. Wenn gilt, dass y y q j y a j mod. 0 mod ψ, dann gilt a j mod. Falls y y q j y 0 mod ψ, dann gilt Wir haben demnach für den Fall x q,y q = ±q (x, y) a mod bestimmt. Es muss nun noch der andere Fall betrachtet werden, bei dem für alle (x, y) E[] x q,y q = ±q (x, y) gilt... Fall: x q,y q = ±q (x, y) Wir betrachten im ersten Schritt x q,y q = q (x, y). Wenn also φ q(x, y) = x q,y q = q (x, y) gilt, dann folgt: aφ q (x, y) =a φ q(x, y) +q(x, y) =q(x, y). Es ergibt sich daraus a q(x, y) = a φ q(x, y) =(q) (x, y). Vergleicht man die Ausdrücke miteinander, so sieht man, dass a q 4q mod gelten muss. q muss demnach ein Quadrat dann wären wir nicht in diesem Fall. Sei nun q ein solches Quadrat sich: mod sein, denn wäre q kein solches Quadrat, mod, dann gibt es ein w mit w q mod. Dadurch ergibt =(φ q q)(x, y) =(φ q w)(φ q + w)(x, y) (x, y) E[] (6) Wähle nun einen Punkt P aus E[]. Für diesen Punkt gilt nun entweder (φ q q)p = mit φ q P = wp oder P =(φ q q)p. Dabei ist P ein endlicher Punkt für den gilt (φ q + q)p =. In jedem Fall existiert ein Punkt P E[] mitφ q P = ±wp. Wir nehmen jetzt an, dass ein Punkt P existiert mit φ q P = wp, dann gilt: =(φ q aφ q + q)p =(q aw + q)p. Demnach ist also aw q w a w mod mod und daraus folgt a w mod. Analog folgt für φ q P = wp, dass Um diesen Schluss überhaupt ziehen zu können, muss überprüft werden ob wir in dem Fall x q,y q = ±w(x, y) =±(x w,y w )=(x w, ±y w )für einige (x, y) E[] sind. Hierfür berechnen wir die rationale Funktion in x : x q x w. Wenn gilt, dass der ggt(zähler(x q x w ),ψ ) = 1 ist, dann existieren einige Punkte P E[]. Falls ggt(...) = 1 gelten sollte, dann befinden wir uns nicht in dem Fall x q,y q = q (x, y). Es bleibt demnach nur noch der Fall x q,y q = q (x, y). Dann gilt ap =(φ q + q)p = für alle P E[]. Daraus folgt für a: a 0 mod () Anmerkung In diesem Algorithmus wird in manchen Fällen die Kongruenz zweier Zahlen bzw. zweier Polynome bezüglich eines Moduls betrachtet, in anderen ob zwei Polynome einen gemeinsamen Teiler haben. Der Unterschied liegt darin, dass die Modulo-Rechnung für alle Punkte erfüllt sein muss, während der gemeinsame Teiler die Existenz eines einzelnen Punkts überprüft.

10 10 Seminar zur Kryptographie: Der Algorithmus von Schoof.3 Zusammenfassung Sei F q ein endlicher Körper, q eine Primzahl oder Primzahlpotenz und p die Charakteristik von F q. 1. Wähle eine Menge von Primzahlen S, so dass >4 q. Dabei soll p S gelten.. Berechne a mod (a) Betrachte = : S Es gilt a 0 mod ggt(x 3 + AX + B,x q x) = 1 Im Fall ggt(...) = 1 gilt a 1 mod (b) Betrachte S, = : i. Sei q q mod mit q < ii. Berechne die x-koordinate x von (x,y )=(x q,y q )+q (x, y) mod ψ iii. Für alle j =1,,, 1 : A. Berechne die x-koordinate x j von (x j,y j )=j(x, y) B. Falls x 0 mod ψ, versuche das nächste j. Für x 0 mod ψ gehe zu Schritt C. C. Berechne y und y j.wenn y y q j y dann gilt: a j mod 0 mod ψ, dann a j mod. Wennnicht, iv. Falls alle 1 j 1 ohne Erfolg ausprobiert wurden, dann sei w q mod. Wenn w nicht existiert, dann gilt: a 0 mod v. Falls gilt, dass der ggt(zähler(x q x w ),ψ ) = 1 ist, dann folgt: a 0 mod. Ansonsten berechne den ggt(zähler( yq y w y ),ψ ). Falls der ggt nicht 1 ist, dann gilt a w mod, ansonsten: a w mod 3. Wir kennen nun a mod für alle S und berechnen daraus a mod. Suchenunein a, dass diese Gleichung erfüllt und für das gilt: a q S 3 Beispiel Sei E eine elliptische Kurve der Form y = x 3 +x + 1 mod 19. Dann gilt nach dem Satz von Hasse #E(F 19 ) = a. Mit Hilfe des Algorithmus von Schoof wollen wir nun a bestimmen. Als erstes legen wir die Menge S fest mit S = {; 3; 5}. Es gilt wie vorgeschrieben = 3 5= 30 > 18 > Wir beginnen mit =. S 1. Fall: = Mit Hilfe der Succesive Square Methode [vgl. Anhang A] bestimmen wir, dass x 19 x +13x+14 mod (x 3 +x + 1). Es genügt nun nach dem größten gemeinsamen Teiler von x + 13x + 14 und x 3 +x+1 zu schauen. Es ergibt sich, dass 1 = ggt(x +13x+14,x 3 +x+1) = ggt(x 19,x 3 +x+1) x 3 +x + 1 hat keine Wurzeln in F 19

11 Simone Deppert - Sommersemester in E[F 19 ] gibt es keine Punkte der Ordnung a 1 mod. Fall: =3 Sei nun j = 1. Es gilt q = 361 sowie q 1 mod 3. Daraus ergibt sich q =1undwirmüssen überprüfen ob folgende Gleichung für alle Punkte (x, y) E[3] erfüllt wird: (x 361,y 361 )+(x, y) =±(x 19,y 19 ) Das 3. Divisionspolynom hat die Form: ψ 3 =3x 4 + 1x + 1x 4 Wir berechnen zuerst die x-koordinate von (x 361,y 361 )+(x, y). y 361 y (x x 361 x 361 x =(x 3 3 +x + 1) x + 1) x x 361 x 361 x x Wir reduzieren nun die Gleichung mod ψ 3 und benutzen dann den erweiterten euklidischen Algorithmus um das Inverse von x 361 x mod ψ 3 zu finden. ggt(x 361 x, ψ 3 )=x 1 = 1 das multiplikative Inverse existiert nicht. Theoretisch könnten wir mit x 8kürzen, aber es geht auch einfacher! Wir stellen fest, dass x = 8 eine Nullstelle von ψ 3 ist. Der Punkt (8 4) E[F 19 ] hat die Ordnung 3. #E[F 19 ] = a mod 3 a mod 3 3. Fall: =5 Sei nun j =. Es gilt mod 5 und q 5 = 1. Dadurch ergibt sich 19(x, y) = (x, y) = (x, y) für (x, y) E[5]. Wie oben müssen wir überprüfen ob folgende Gleichung für alle Punkte (x, y) E[5] erfüllt wird: (x,y ):=(x 361,y 361 )+(x, y) =±(x 19,y 19 )=:±(x,y ) Das 5. Divisionspolynom hat die Form: ψ 5 = 3(x 3 +x + 1) (x x 4 + 0x 3 0x 8 8) ψ 3 3 =5x x x 8 +5x 7 + x 6 ++9x 5 + 1x 4 +x 3 +5x +8x +8 Für die x-koordinate x ergibt sich somit: x = y y x 361 x 361 x x 3x 38 + x 19 = x mod ψ 5 y 19

12 1 Seminar zur Kryptographie: Der Algorithmus von Schoof Es stellt sich die Frage, ob für x die Kongruenz erfüllt ist. Durch Einsetzen von y = x 3 +x +1 sieht man leicht, dass die Gleichung wahr ist. a ± mod 5 Bestimmung des Vorzeichens der y-koordinate y : (x,y )=(x 361,y 361 )+(x, y) y(9x x x x x 5 +8x 4 + 1x 3 +8x + 6) mod ψ 5 Die y-koordinate von (x,y ) = (x, y) ergibt sich als: y(13x x x x 7 +8x 6 +6x x x 3 +8x + 18) mod ψ 5 Eine Berechnung ergibt: y + y 19 y 0 mod ψ 5 Dadurch ergibt sich für den Punkt (x,y ): a mod 5 a 3 mod 5 (x,y )= x 19, y 19 0 mod ψ 5 Bestimmung von a Aus den unterschiedlichen Fällen haben wir erhalten: a 1 mod a mod 3 a 3 mod 4 Mit Hilfe des Chinesischen Restsatzes ergibt sich: M = kgv (, 3, 5) = 30 M 1 = M = 15; M 1 = M 3 = 10; M 1 = M 5 =6 Wir betrachten nun die Inversen M i in Z ni mit n i S x 1 = 15 1 = 1 Z ; x = 10 1 = 1 Z 3 ; x 1 = 6 1 = 1 Z 5 x = 3 M i x i i = mod 30 a {3 + k30, k Z} i=1 Zu dem muss gelten, dass a < 19 8, 5 <a< 8, 5 a = 7

13 Simone Deppert - Sommersemester Anhang A Successive Square Method Der folgende Abschnitt basiert auf [PePaWe]. Bei der Successive Square Method handelt es sich um einen Algorithmus, der a b über einem endlichen Körper F q berechnet. Hierfür muss in einem ersten Schritt b durch fortlaufende Potenzen von beschrieben werden. Das heißt b = δ i i wobei δ i {0, 1} b in der Basis angibt. i Daraus ergibt sich für a b : a b mod q = i a δii mod q = i a δii mod q mod q Dieser Ausdruck lässt sich mit fortlaufenden Schritten nun berechnen: a 1 mod q = α 1 a mod q = α 1 mod q = α a 1 mod q = α mod q = α 4 a i mod q = α i mod q = α i Beispiel: Betrachte nun 8 7 über dem endlichen Körper F 76. Zerlege 7 in fortlaufenden Potenzen von. 7 = Daraus ergibt sich nun: mod mod mod mod mod 76 Nun berechnet sich 8 7 mod 76 als: mod mod 76

14 14 Seminar zur Kryptographie: Der Algorithmus von Schoof B Zusatz für den Froebenius Endomorphismus Das nachfolgende Theorem findet sich in [Wa, Theorem 4.10]. Theorem Sei E eine elliptische Kurve auf einem endlichen Körper F q. Nach dem Satz von Hasse gilt für die Anzahl der Punkte der elliptischen Kurve auf einem endlichen Körper F q und so ergibt sich #E[F q ]=q +1 a. Durch Umstellung der Gleichung ergibt sich für a: a = q +1 #E[F q ]. Dann ist φ q aφ q + q = 0 ein Endomorphismus von E und a ist die einzige Zahl k, so dass gilt: φ q kφ q + q = 0. Dann gilt für einen Punkt (x, y) E[F q ]: x q,y q a (x q,y q )+q(x, y) = Für alle (x, y) E[F q ]istdiesegleichungnurfür die Zahl a erfüllt. Darüber hinaus ist a die einzige Zahl, die folgender Gleichung genügt: a spur((φ q ) m ) mod m für alle m mit ggt(m, q) =1 Beweis Wenn gilt, dass φ q aφ q + q nicht der Null-Endomorphismus ist, dann ist sein Kern endlich. Wir wollen jedoch zeigen, dass der Kern unendlich ist, d.h. φ q aφ q + q = 0. Sei nun m 1 eine Zahl mit ggt(m, q) = 1. Der Endomorphismus φ q induziert eine Matrix (φ q ) m, die die Wirkung von φ q auf E[m] beschreibt.sei hierzu: (φ q ) m = Da man φ q 1 nach [Ho] bzw. [Wa, Kap..9 & 3.3] abspalten kann, folgt daraus: x z y v #Ker(φ q 1) = deg(φ q 1) det((φ q ) m 1) = xv yz (x + v)+1 modm Nach [Wa, Kap. 3.3] gilt xv yz = det((φ q ) m 1) q mod m. Daraus folgt also #Ker(φ q 1) = q +1 a. Daher folgt für a: spur((φ q ) m )=x + v a mod m Nach dem Satz von Cayley-Hamilton der Linearen Algebra oder alternativ durch einfache Berechnungen aus der Gleichung ergibt sich: (φ q ) m (φ q ) m + q1 0 mod m Der Satz von Cayley-Hamilton besagt, dass jede quadratische Matrix Nullstelle ihres charakteristischen Polynoms ist.

15 Simone Deppert - Sommersemester Daraus folgt, dass φ q aφ q + q = 0 auf E[m] gilt. Da es unendlich viele Wahlmöglichkeiten für m gibt, ist somit der Kern von φ q aφ q + q unendlich und der Endmorphismus ist gleich Null. Angenommen es existiert ein a 1 mit a 1 = a, das jedoch die Gleichung φ q a 1 φ q + q =0erfüllt. Es würde also gelten: φ q a 1 φ q + q = φ q aφ q + q =0 (φ q a 1 φ q + q) (φ q aφ q + q) = 0 (a a 1 )φ q =0 Wir wissen, dass φ q : E[F q ] E[F q ] surjektiv ist. Demzufolge würde (a a 1 ) E[F q ] aufheben. Insbesondere würde (a a 1 ) E[m] m 1 aufheben. Da es nun aber Punkte in E[m] derordnung m gibt, für die gilt ggt(m, q) = 1, finden wir auch (a a 1 ) 0 mod m für solche m. Daher gilt, dass a a 1 = 0 und somit ist a eindeutig.

16 16 Seminar zur Kryptographie: Der Algorithmus von Schoof Literatur [Wa] L. Washington: Hall/CRC, 008 Elliptic curves: number theory and cryptography, Chapman & [Ba] M. Barakat: Cryptography, Lecture notes, TU Kaiserslautern, notes/cryptography.pdf [He] P. Heßler: Der Satz von Hasse und Anwendungen, Ausarbeitung zum Vortrag im Rahmen des Seminars Kryptographie, TU Kaiserslautern, Philipp%0He%C3%9Fler:%0Der%0Satz%0von%0Hasse%0und%0Anwendungen.pdf [Kl] B. Klein: Torsinospunkte und Divisionspolynome, Ausarbeitung zum Vortrag im Rahmen des Seminars Kryptographie, TU Kaiserslautern, Benjamin%0Klein:%0Torsionspunkte%0und%0Divisionspolynome.pdf [Ho] S. Hofmann: Die j-invariante und Endomorphismen einer elliptischen Kurve, Ausarbeitung zum Vortrag im Rahmen des Seminars Kryptographie, TU Kaiserslautern, Stephan%0Hofmann:%0Die%0j-Invariante%0und%0Endomorphismen%0einer% 0elliptischen%0Kurve.pdf [Ma] T. Markwig: Algebraische Strukturen, Vorlesungsskript, TU Kaiserslautern, [PePaWe] Perez, Pascal and Weisstein, Eric W.: Successive Square Method. From MathWorld A Wolfram Web Resource.