อัลกอริทึมของชูฟ

อัลกอริทึมของ Schoofเป็นอัลกอริทึมที่มีประสิทธิภาพในการนับจุดบนเส้นโค้งวงรีเหนือฟิลด์จำกัดอัลกอริทึมนี้มีประโยชน์ในด้านการเข้ารหัสลับด้วยเส้นโค้งวงรีซึ่งการทราบจำนวนจุดมีความสำคัญต่อการประเมินความยากของการแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่องในกลุ่มจุดบนเส้นโค้งวงรี

อัลกอริทึมนี้ได้รับการตีพิมพ์โดยRené Schoofในปี 1985 และถือเป็นความก้าวหน้าทางทฤษฎี เนื่องจากเป็นอัลกอริทึมเชิงกำหนดแบบใช้เวลาพหุนามตัวแรกสำหรับการนับจุดบนเส้นโค้งวงรีก่อนหน้าอัลกอริทึมของ Schoof วิธีการนับจุดบนเส้นโค้งวงรี เช่น อัลกอริทึมแบบง่าย และ อัลกอริทึมแบบ ก้าวเล็กก้าวใหญ่ส่วนใหญ่แล้วยุ่งยากและใช้เวลาในการทำงานแบบเลขชี้กำลัง

บทความนี้อธิบายถึงแนวทางของ Schoof โดยเน้นที่แนวคิดทางคณิตศาสตร์ที่เป็นพื้นฐานของโครงสร้างอัลกอริทึม

การแนะนำ

ให้เป็นเส้นโค้งเชิงวงรีที่กำหนดบนฟิลด์จำกัดโดยที่สำหรับจำนวนเฉพาะ และจำนวนเต็มบนฟิลด์ที่มีลักษณะเฉพาะเส้นโค้งเชิงวงรีสามารถกำหนดได้ด้วยสมการไวเออร์สตรัส (แบบย่อ) $E$ $\mathbb {F} _{q}$ $q=p^{n}$ $p$ $n$ $\geq 1$ $\neq 2,3$

y^{2}=x^{3}+Ax+B

โดยที่เซตของจุดที่กำหนดบนประกอบด้วยคำตอบที่สอดคล้องกับสมการเส้นโค้งและจุดที่อนันต์โดยใช้กฎกลุ่มบนเส้นโค้งวงรีที่จำกัดเฉพาะเซตนี้ จะเห็นได้ว่าเซตนี้ก่อตัวเป็นกลุ่มอาเบเลียนโดยมีเป็นสมาชิกศูนย์ ในการนับจำนวนจุดบนเส้นโค้งวงรี เราคำนวณจำนวนสมาชิกของวิธีการของ Schoof ในการคำนวณจำนวนสมาชิกใช้ทฤษฎีบทของ Hasse เกี่ยวกับเส้นโค้งวงรีร่วมกับทฤษฎีบทเศษเหลือของจีนและพหุนามการหาร $A,B\in \mathbb {F} _{q}$ $\mathbb {F} _{q}$ $(a,b)\in \mathbb {F} _{q}^{2}$ $O$ $E(\mathbb {F} _{q})$ $O$ $E(\mathbb {F} _{q})$ $\#E(\mathbb {F} _{q})$

ทฤษฎีบทของฮัสเซ่

ทฤษฎีบทของ Hasse กล่าวว่า ถ้าเป็นเส้นโค้งเชิงวงรีบนฟิลด์จำกัดแล้วจะสอดคล้องกับเงื่อนไข $E/\mathbb {F} _{q}$ $\mathbb {F} _{q}$ $\#E(\mathbb {F} _{q})$

\mid q+1-\#E(\mathbb {F} _{q})\mid \leq 2{\sqrt {q}}.

ผลลัพธ์อันทรงพลังนี้ ซึ่งเสนอโดย Hasse ในปี 1934 ช่วยลดความซับซ้อนของปัญหาของเราโดยการจำกัดให้เหลือเพียงชุดความเป็นไปได้ที่จำกัด (แม้ว่าจะใหญ่ก็ตาม) โดยกำหนดให้เป็นและใช้ผลลัพธ์นี้ เราจะได้ว่า การคำนวณค่าของmodulo โดยที่เพียงพอสำหรับการกำหนดและดังนั้นแม้ว่าจะไม่มีวิธีที่มีประสิทธิภาพในการคำนวณโดยตรงสำหรับ ทั่วไปแต่ก็สามารถคำนวณสำหรับจำนวนเฉพาะขนาดเล็กได้อย่างมีประสิทธิภาพ เราเลือกเป็นเซตของจำนวนเฉพาะที่แตกต่างกัน โดยที่เมื่อกำหนดให้สำหรับทุกทฤษฎีบทเศษเหลือของจีนช่วยให้เราสามารถคำนวณได้ $\#E(\mathbb {F} _{q})$ $t$ $q+1-\#E(\mathbb {F} _{q})$ $t$ $N$ $N>4{\sqrt {q}}$ $t$ $\#E(\mathbb {F} _{q})$ $t{\pmod {N}}$ $N$ $t{\pmod {l}}$ $l$ $S=\{l_{1},l_{2},...,l_{r}\}$ $\prod l_{i}=N>4{\sqrt {q}}$ $t{\pmod {l_{i}}}$ $l_{i}\in S$ $t{\pmod {N}}$

ในการคำนวณหาจำนวนเฉพาะเราใช้ทฤษฎีเอนโดมอร์ฟิซึมของโฟรเบนิอุสและพหุนามการหารโปรดทราบว่าการพิจารณาจำนวนเฉพาะนั้นไม่ใช่เรื่องเสียหาย เพราะเราสามารถเลือกจำนวนเฉพาะที่ใหญ่กว่ามาแทนที่ได้เสมอ เพื่อให้แน่ใจว่าผลคูณมีขนาดใหญ่พอ อย่างไรก็ตาม อัลกอริทึมของชูฟมักถูกนำมาใช้บ่อยที่สุดในการแก้ปัญหานี้เนื่องจากมีอัลกอริทึมที่มีประสิทธิภาพมากกว่า หรือที่เรียกว่าอัลกอริทึมแบบ adic สำหรับฟิลด์ที่มีลักษณะเฉพาะขนาดเล็ก $t{\pmod {l}}$ $l\neq p$ $\phi$ $l\neq p$ $q=p$ $p$

เอนโดมอร์ฟิซึมของฟรอเบนิอุส

เมื่อกำหนดเส้นโค้งวงรีที่นิยามไว้บนเราจะพิจารณาจุดบนบนซึ่งเป็นการปิดเชิงพีชคณิตของกล่าวคือ เราอนุญาตให้มีจุดที่มีพิกัดอยู่ใน การแปลงฟรอเบนิอุสของบนขยายไปยังเส้นโค้งวงรีโดย $E$ $\mathbb {F} _{q}$ $E$ ${\bar {\mathbb {F} }}_{q}$ $\mathbb {F} _{q}$ ${\bar {\mathbb {F} }}_{q}$ ${\bar {\mathbb {F} }}_{q}$ $\mathbb {F} _{q}$ $\phi :(x,y)\mapsto (x^{q},y^{q})$

แผนที่นี้คือเอกลักษณ์บนและสามารถขยายไปยังจุดที่อนันต์ได้ทำให้เป็นมอร์ฟิซึมกลุ่มจากไปยังตัวมันเอง $E(\mathbb {F} _{q})$ $O$ $E({\bar {\mathbb {F} }}_{q})$

เอนโดมอร์ฟิซึมของฟรอเบนิอุสสอดคล้องกับพหุนามกำลังสอง ซึ่งเชื่อมโยงกับจำนวนสมาชิกของเซตโดยทฤษฎีบทต่อไปนี้: $E(\mathbb {F} _{q})$

ทฤษฎีบท:เอนโดมอร์ฟิซึมของฟรอเบนิอุสที่กำหนดโดยสอดคล้องกับสมการลักษณะเฉพาะ $\phi$

\phi ^{2}-t\phi +q=0,

ที่ไหน

t=q+1-\#E(\mathbb {F} _{q})

ดังนั้นเราจึงได้ว่าสำหรับทั้งหมดที่โดยที่ + หมายถึงการบวกบนเส้นโค้งวงรี และและ หมายถึงการคูณสเกลาร์ของด้วยและของ ด้วย ตาม ลำดับ $P=(x,y)\in E$ $(x^{q^{2}},y^{q^{2}})+q(x,y)=t(x^{q},y^{q})$ $q(x,y)$ $t(x^{q},y^{q})$ $(x,y)$ $q$ $(x^{q},y^{q})$ $t$

เราอาจลองคำนวณจุดเหล่านี้ในเชิงสัญลักษณ์โดยใช้ฟังก์ชันในวงแหวนพิกัดของ แล้วจึงค้นหาค่าของที่สอดคล้องกับสมการ อย่างไรก็ตาม ระดับดีกรีจะสูงมาก และวิธีการนี้จึงไม่สามารถนำไปใช้ได้จริง $(x^{q^{2}},y^{q^{2}})$ $(x^{q},y^{q})$ $q(x,y)$ $\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B)$ $E$ $t$

แนวคิดของ Schoof คือการดำเนินการคำนวณนี้โดยจำกัดเฉพาะจุดที่มีลำดับสำหรับจำนวนเฉพาะขนาดเล็กต่างๆเมื่อกำหนดจำนวนเฉพาะคี่แล้วเราจะดำเนินการแก้ปัญหาการหาค่าซึ่งนิยามว่าสำหรับจำนวนเฉพาะที่กำหนดถ้าจุดอยู่ใน กลุ่ม ย่อยทอร์ชั่นแล้ว โดยที่คือจำนวนเต็มที่ไม่ซ้ำกันซึ่ง และสังเกตว่าและสำหรับจำนวนเต็มใดๆเราจะได้ดังนั้นจะมีลำดับเดียวกันกับดังนั้นสำหรับที่อยู่ในเราก็จะมีถ้าดังนั้นเราจึงลดปัญหาของเราลงเหลือการแก้สมการ $l$ $l$ $l$ $t_{l}$ $t{\pmod {l}}$ $l\neq 2,p$ $(x,y)$ $l$ $E[l]=\{P\in E({\bar {\mathbb {F} _{q}}})\mid lP=O\}$ $qP={\bar {q}}P$ ${\bar {q}}$ $q\equiv {\bar {q}}{\pmod {l}}$ $\mid {\bar {q}}\mid <l/2$ $\phi (O)=O$ $r$ $r\phi (P)=\phi (rP)$ $\phi (P)$ $P$ $(x,y)$ $E[l]$ $t(x^{q},y^{q})={\bar {t}}(x^{q},y^{q})$ $t\equiv {\bar {t}}{\pmod {l}}$

(x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)\equiv {\bar {t}}(x^{q},y^{q}),

โดยที่และมีค่าเป็นจำนวนเต็มใน. ${\bar {t}}$ ${\bar {q}}$ $[-(l-1)/2,(l-1)/2]$

การคำนวณโมดูลัสจำนวนเฉพาะ

พหุนามการหารลำดับที่ $l$ มีลักษณะที่รากของมันคือ พิกัด $x$ ของจุดที่มีลำดับ $l$ อย่างแม่นยำ ดังนั้น การจำกัดการคำนวณให้อยู่ที่ จุด $l$ -torsion หมายถึงการคำนวณนิพจน์เหล่านี้เป็นฟังก์ชันในวงแหวนพิกัดของ $E$ และมอดูลัสพหุนามการหารลำดับที่ $l$ กล่าว คือ เรากำลังทำงานในซึ่งหมายความว่าโดยเฉพาะอย่างยิ่ง ดีกรีของ $X$ และ $Y$ ที่กำหนดผ่าน มีค่าอย่าง มากที่สุด 1 ใน $y$ และอย่างมากที่สุด ใน $x$ $(x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)$ $\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})$ $(X(x,y),Y(x,y)):=(x^{q^{2}},y^{q^{2}})+{\bar {q}}(x,y)$ $(l^{2}-3)/2$

การคูณสเกลาร์สามารถทำได้โดยใช้ วิธีการ คูณสองเท่าแล้วบวกหรือโดยใช้พหุนามหารลำดับที่ th วิธีหลังให้ผลลัพธ์ดังนี้: ${\bar {q}}(x,y)$ ${\bar {q}}$

{\bar {q}}(x,y)=(x_{\bar {q}},y_{\bar {q}})=\left(x-{\frac {\psi _{{\bar {q}}-1}\psi _{{\bar {q}}+1}}{\psi _{\bar {q}}^{2}}},{\frac {\psi _{2{\bar {q}}}}{2\psi _{\bar {q}}^{4}}}\right)

โดยที่เป็นพหุนามหารลำดับที่ $n$ โปรดทราบว่า เป็นฟังก์ชันใน $x$ เท่านั้น และใช้สัญลักษณ์แทน $\psi _{n}$ $y_{\bar {q}}/y$ $\theta (x)$

เราต้องแบ่งปัญหาออกเป็นสองกรณี คือ กรณีที่และกรณีที่ โปรดทราบว่าความเท่าเทียมกันเหล่านี้ตรวจสอบโดยใช้โมดูลัส $(x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)$ $(x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)$ $\psi _{l}$

กรณีที่ 1: $(x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)$

โดยใช้สูตรการบวกสำหรับกลุ่มเราจะได้: $E(\mathbb {F} _{q})$

X(x,y)=\left({\frac {y^{q^{2}}-y_{\bar {q}}}{x^{q^{2}}-x_{\bar {q}}}}\right)^{2}-x^{q^{2}}-x_{\bar {q}}.

โปรดทราบว่าการคำนวณนี้จะล้มเหลวหากสมมติฐานเรื่องความไม่เท่ากันนั้นไม่ถูกต้อง

ตอนนี้เราสามารถใช้ พิกัด $x$ เพื่อจำกัดตัวเลือกให้เหลือเพียงสองความเป็นไปได้ คือ กรณีบวกและกรณีลบ จากนั้นจึงใช้ พิกัด $y$ เพื่อพิจารณาว่ากรณีใดในสองกรณีนั้นเป็นจริง ${\bar {t}}$

ขั้นแรก เราจะแสดงว่า $X$ เป็นฟังก์ชันของ $x$ เพียงอย่างเดียว พิจารณาเนื่องจากเป็นจำนวนคู่ โดยการแทนที่ด้วยเราจึงเขียนนิพจน์ใหม่ได้เป็น $(y^{q^{2}}-y_{\bar {q}})^{2}=y^{2}(y^{q^{2}-1}-y_{\bar {q}}/y)^{2}$ $q^{2}-1$ $y^{2}$ $x^{3}+Ax+B$

(x^{3}+Ax+B)((x^{3}+Ax+B)^{\frac {q^{2}-1}{2}}-\theta (x))^{2}

และมีสิ่งนั้น

X(x)\equiv (x^{3}+Ax+B)\left({\frac {(x^{3}+Ax+B)^{\frac {q^{2}-1}{2}}-\theta (x)}{x^{q^{2}}-x_{\bar {q}}}}\right)^{2}{\bmod {\psi }}_{l}(x).

ถ้าหากสำหรับบางคนแล้ว ก็ถือว่าน่าพอใจ $X\equiv x_{\bar {t}}^{q}{\bmod {\psi }}_{l}(x)$ ${\bar {t}}\in [0,(l-1)/2]$ ${\bar {t}}$

\phi ^{2}(P)\mp {\bar {t}}\phi (P)+{\bar {q}}P=O

สำหรับ จุดบิด $l$ ทั้งหมด $P$

ดังที่กล่าวไว้ก่อนหน้านี้ การใช้ $Y$ และตอนนี้เราสามารถระบุได้ว่าค่าใดในสองค่าของ( หรือ) ที่ใช้ได้ผล ซึ่งจะให้ค่าของอัลกอริทึมของ Schoof จะเก็บค่าของ ไว้ในตัวแปร สำหรับจำนวนเฉพาะ $l$ แต่ละตัวที่พิจารณา $y_{\bar {t}}^{q}$ ${\bar {t}}$ ${\bar {t}}$ $-{\bar {t}}$ $t\equiv {\bar {t}}{\pmod {l}}$ ${\bar {t}}{\pmod {l}}$ $t_{l}$

กรณีที่ 2: $(x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)$

เราเริ่มต้นด้วยสมมติฐานที่ว่า. เนื่องจาก $l$ เป็นจำนวนเฉพาะคี่ จึงเป็นไปไม่ได้ที่และดังนั้น. สมการลักษณะเฉพาะให้ผลลัพธ์ว่า. และด้วยเหตุนี้ว่า. ซึ่งหมายความว่า $q$ เป็นกำลังสองมอดู $ล l$ ให้ . คำนวณในและตรวจสอบว่า. ถ้าเป็นเช่นนั้นจะขึ้นอยู่กับพิกัด y $(x^{q^{2}},y^{q^{2}})={\bar {q}}(x,y)$ ${\bar {q}}(x,y)=-{\bar {q}}(x,y)$ ${\bar {t}}\neq 0$ ${\bar {t}}\phi (P)=2{\bar {q}}P$ ${\bar {t}}^{2}{\bar {q}}\equiv (2q)^{2}{\pmod {l}}$ $q\equiv w^{2}{\pmod {l}}$ $w\phi (x,y)$ $\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})$ ${\bar {q}}(x,y)=w\phi (x,y)$ $t_{l}$ $\pm 2w{\pmod {l}}$

ถ้า $q$ ไม่ใช่กำลังสองมอดู $ล l$ หรือถ้าสมการไม่เป็นจริงสำหรับ $w$ และ ใดๆ สมมติฐานของเราที่ว่า นั้นเป็นเท็จ ดังนั้นสมการลักษณะเฉพาะให้ผลลัพธ์เป็น $-w$ $(x^{q^{2}},y^{q^{2}})=+{\bar {q}}(x,y)$ $(x^{q^{2}},y^{q^{2}})=-{\bar {q}}(x,y)$ $t_{l}=0$

กรณีเพิ่มเติม $l=2$

ถ้าจำได้ การพิจารณาเบื้องต้นของเราละเว้นกรณีของเนื่องจากเราถือว่า $q$ เป็นจำนวนคี่และโดยเฉพาะอย่างยิ่งก็ต่อเมื่อมีสมาชิกที่มีอันดับ 2 เท่านั้น ตามนิยามของการบวกในกลุ่ม สมาชิกใดๆ ที่มีอันดับ 2 จะต้องอยู่ในรูปดังนั้นก็ต่อเมื่อพหุนามมีรากในก็ต่อเมื่อ $l=2$ $q+1-t\equiv t{\pmod {2}}$ $t_{2}\equiv 0{\pmod {2}}$ $E(\mathbb {F} _{q})$ $(x_{0},0)$ $t_{2}\equiv 0{\pmod {2}}$ $x^{3}+Ax+B$ $\mathbb {F} _{q}$ $\gcd(x^{q}-x,x^{3}+Ax+B)\neq 1$

อัลกอริทึม

 ป้อนข้อมูล: 1. เส้นโค้งวงรี $E=y^{2}-x^{3}-Ax-B$  2. จำนวนเต็ม $q$ สำหรับฟิลด์จำกัดที่มี. $F_{q}$  $q=p^{b},b\geq 1$  ผลลัพธ์: จำนวนจุดของ $E$ หารด้วย. $F_{q}$  เลือกเซตของจำนวนเฉพาะคี่ $S$ ที่ไม่มี $p อยู่ใน$ เซตโดยกำหนดให้ $N=\prod _{l\in S}l>4{\sqrt {q}}.$ ถ้ามิฉะนั้นคำนวณพหุนามการหาร $t_{2}=0$  $\gcd(x^{q}-x,x^{3}+Ax+B)\neq 1$  $t_{2}=1$  $\psi _{l}$  การคำนวณทั้งหมดในลูปด้านล่างดำเนินการในริง $\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l}).$ For do :  $l\in S$ ให้ เป็นจำนวนเต็มที่ไม่ซ้ำกัน ${\bar {q}}$ ซึ่ง และคำนวณ $q\equiv {\bar {q}}{\pmod {l}}$  $\mid {\bar {q}}\mid <l/2$ , และถ้าแล้วคำนวณ $(x^{q},y^{q})$  $(x^{q^{2}},y^{q^{2}})$  $(x_{\bar {q}},y_{\bar {q}})$ สำหรับdo : ถ้าแล้วถ้าแล้วมิฉะนั้น มิฉะนั้นถ้า $q$ เป็นกำลังสองมอดู $ล l$ แล้วคำนวณ $w$ ด้วยคำนวณถ้าแล้วมิฉะนั้น ถ้าแล้วมิฉะนั้นมิฉะนั้น ใช้ ทฤษฎีบทเศษเหลือ ของจีนเพื่อคำนวณ $t$ มอดูล $N$  จากสมการโดยที่ $x^{q^{2}}\neq x_{\bar {q}}$  $(X,Y)$  $1\leq {\bar {t}}\leq (l-1)/2$  $X=x_{\bar {t}}^{q}$  $Y=y_{\bar {t}}^{q}$  $t_{l}={\bar {t}}$  $t_{l}=-{\bar {t}}$  $q\equiv w^{2}{\pmod {l}}$  $w(x^{q},y^{q})$  $w(x^{q},y^{q})=(x^{q^{2}},y^{q^{2}})$  $t_{l}=2w$  $w(x^{q},y^{q})=(x^{q^{2}},-y^{q^{2}})$  $t_{l}=-2w$  $t_{l}=0$  $t_{l}=0$  $t\equiv t_{l}{\pmod {l}}$  $l\in S$  เอาต์พุต  $q+1-t$

ความซับซ้อน

การคำนวณส่วนใหญ่เกิดขึ้นจากการประเมินค่าของและสำหรับจำนวนเฉพาะแต่ละตัวนั่นคือการคำนวณ, , , สำหรับจำนวนเฉพาะแต่ละตัวซึ่งเกี่ยวข้องกับการยกกำลังในริงและต้องใช้การคูณ เนื่องจากดีกรีของคือแต่ละองค์ประกอบในริงจึงเป็นพหุนามดีกรีตามทฤษฎีบทจำนวนเฉพาะมีจำนวนเฉพาะขนาด ประมาณ ซึ่งทำให้ได้ว่าและเราได้ว่าดังนั้นการคูณแต่ละครั้งในริงต้องใช้การคูณซึ่งต้องใช้การดำเนินการบิต ในทั้งหมด จำนวนการดำเนินการบิตสำหรับจำนวนเฉพาะแต่ละตัวคือเนื่องจากการคำนวณนี้ต้องดำเนินการสำหรับจำนวนเฉพาะแต่ละตัว ความซับซ้อนโดยรวมของอัลกอริทึมของ Schoof จึงกลายเป็นการใช้เลขคณิตพหุนามและจำนวนเต็มที่รวดเร็วจะลดความซับซ้อนนี้เหลือ $\phi (P)$ $\phi ^{2}(P)$ $l$ $x^{q}$ $y^{q}$ $x^{q^{2}}$ $y^{q^{2}}$ $l$ $R=\mathbb {F} _{q}[x,y]/(y^{2}-x^{3}-Ax-B,\psi _{l})$ $O(\log q)$ $\psi _{l}$ ${\frac {l^{2}-1}{2}}$ $O(l^{2})$ $O(\log q)$ $O(\log q)$ $l$ $O(\log q)$ $O(l^{2})=O(\log ^{2}q)$ $R$ $O(\log ^{4}q)$ $\mathbb {F} _{q}$ $O(\log ^{2}q)$ $l$ $O(\log ^{7}q)$ $O(\log q)$ $O(\log ^{8}q)$ ${\tilde {O}}(\log ^{5}q)$

การปรับปรุงอัลกอริทึมของ Schoof

ในช่วงทศวรรษ 1990 โนอัม เอลคีส์และต่อมาเอโอแอล แอตกิน ได้ คิดค้นการปรับปรุงอัลกอริทึมพื้นฐานของชูฟ โดยจำกัดเซตของจำนวนเฉพาะที่พิจารณาก่อนหน้านี้ให้เหลือเฉพาะจำนวนเฉพาะประเภทหนึ่ง ซึ่งต่อมาเรียกว่าจำนวนเฉพาะเอลคีส์และจำนวนเฉพาะแอตกิน ตามลำดับ จำนวนเฉพาะเรียกว่าจำนวนเฉพาะเอลคีส์ ถ้าสมการลักษณะเฉพาะ: แยกออกได้เหนือในขณะที่จำนวนเฉพาะแอตกินคือจำนวนเฉพาะที่ไม่ใช่จำนวนเฉพาะเอลคีส์ แอตกินแสดงให้เห็นวิธีการรวมข้อมูลที่ได้จากจำนวนเฉพาะแอตกินกับข้อมูลที่ได้จากจำนวนเฉพาะเอลคีส์เพื่อสร้างอัลกอริทึมที่มีประสิทธิภาพ ซึ่งต่อมาเป็นที่รู้จักในชื่ออัลกอริทึมชูฟ-เอลคีส์-แอตกินปัญหาแรกที่ต้องแก้ไขคือการพิจารณาว่าจำนวนเฉพาะที่กำหนดให้เป็นจำนวนเฉพาะเอลคีส์หรือแอตกิน ในการทำเช่นนั้น เราใช้พหุนามมอดูลาร์ ซึ่งมาจากการศึกษาฟอร์มมอดูลาร์และการตีความเส้นโค้งวงรีเหนือจำนวนเชิงซ้อนเป็นแลตทิซ เมื่อเรากำหนดได้แล้วว่าเราอยู่ในกรณีใด แทนที่จะใช้พหุนามหารเราสามารถใช้พหุนามที่มีดีกรีต่ำกว่าพหุนามหารที่สอดคล้องกันได้แทนที่จะ ใช้พหุนาม หาร เพื่อการใช้งานที่มีประสิทธิภาพ จะใช้อัลกอริธึมการหาค่ารากแบบความน่าจะเป็น ซึ่งทำให้เป็นอัลกอริธึมลาสเวกัสแทนที่จะเป็นอัลกอริธึมแบบกำหนด ภายใต้สมมติฐานเชิงอนุมานว่าประมาณครึ่งหนึ่งของจำนวนเฉพาะจนถึงขอบเขตที่กำหนดเป็นจำนวนเฉพาะเอลกีส์ จะได้อัลกอริธึมที่มีประสิทธิภาพมากกว่าของชูฟ โดยมีเวลาการทำงานที่คาดหวังคือ เมื่อใช้เลขคณิตแบบง่าย และเมื่อใช้เลขคณิตแบบเร็ว แม้ว่าสมมติฐานเชิงอนุมานนี้จะเป็นที่ทราบกันว่าใช้ได้กับเส้นโค้งวงรีส่วนใหญ่ แต่ก็ไม่เป็นที่ทราบกันว่าใช้ได้ในทุกกรณี แม้ภายใต้GRHก็ตาม $S=\{l_{1},\ldots ,l_{s}\}$ $l$ $\phi ^{2}-t\phi +q=0$ $\mathbb {F} _{l}$ $O(l)$ $O(l^{2})$ $O(\log q)$ $O(\log ^{6}q)$ ${\tilde {O}}(\log ^{4}q)$

การนำไปใช้

ไมค์ สก็อตต์ ได้เขียนโปรแกรมอัลกอริธึมหลายตัวด้วยภาษาC++โปรแกรมเหล่านี้ใช้งานได้ฟรี (ไม่มีข้อกำหนดและเงื่อนไขใดๆ) และใช้ ไลบรารี MIRACLซึ่งเผยแพร่ภายใต้ลิขสิทธิ์ AGPLv3

การนำอัลกอริทึมของ Schoof มาใช้กับจำนวนเฉพาะ $E(\mathbb {F} _{p})$ $p$
การนำอัลกอริทึมของ Schoof ไป ใช้สำหรับ. $E(\mathbb {F} _{2^{m}})$

อัลกอริทึมของชูฟ

อัลกอริทึมของชูฟ

การแนะนำ

ทฤษฎีบทของฮัสเซ่

เอนโดมอร์ฟิซึมของฟรอเบนิอุส

การคำนวณโมดูลัสจำนวนเฉพาะ

กรณีที่ 1: $(x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)$

กรณีที่ 2: $(x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)$

กรณีเพิ่มเติม $l=2$

อัลกอริทึม

ความซับซ้อน

การปรับปรุงอัลกอริทึมของ Schoof

การนำไปใช้

ดูเพิ่มเติม

ข้อมูลสำคัญจากบทความ

อัลกอริทึมของชูฟ

การแนะนำ

ทฤษฎีบทของฮัสเซ่

เอนโดมอร์ฟิซึมของฟรอเบนิอุส

การคำนวณโมดูลัสจำนวนเฉพาะ

กรณีที่ 1:(xq2,yq2)≠±q¯(x,y){\displaystyle (x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)}

กรณีที่ 2:(xq2,yq2)=±q¯(x,y){\displaystyle (x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)}

กรณีเพิ่มเติมl=2{\displaystyle l=2}

อัลกอริทึม

ความซับซ้อน

การปรับปรุงอัลกอริทึมของ Schoof

การนำไปใช้

ดูเพิ่มเติม

ข้อมูลสำคัญจากบทความ

กรณีที่ 1: $(x^{q^{2}},y^{q^{2}})\neq \pm {\bar {q}}(x,y)$

กรณีที่ 2: $(x^{q^{2}},y^{q^{2}})=\pm {\bar {q}}(x,y)$

กรณีเพิ่มเติม $l=2$