质数域的算数运算

“有限域算数运算”介绍了有限域的基本概念，进一步阐述了椭圆曲线系统的三种经典有限域（质数域，二元域和扩展域）以及其相应的算数运算方法(加法，减法，乘法和求逆运算)。本文重点阐述在质数域$F_p$中的算数运算执行算法，包括任意质数p的算法，当模数p具有特性形式时，该算法揭示约化步骤的执行效率能够获得提升；还提出了针对NIST质数的高效约化算法，对诸如$p=2^{192}-2^{64}-1$形式的质数具有适用性。
以上算法适合软件执行：假设工作台通常为64位或32位，算法运行在$W$-位（W-位，W是8的倍数）框架基础上。低位或更廉价的组件的W值更小，比如嵌入式系统一般是16位，智能卡一般是8位。W-位的位数词U从0到W-1编号，个位数约定为位0。
$F_p$的元素是从0到$p-1$的整数。用$m=[\log [2]p]$表示p的位数，$t=[m/W]$表示字节长度。下图展示的例子是用二进制存储单元$A=(A[t-1],...,A[2],A[1],A[0])$表示字节长度t的元素a。其中，整数a表示为：$a=2^{(t-1{)}^W}A[t-1]+...+2^{2W}A[2]+2^{W}A[1]+A[0]$。

加法和减法

我们按照用多字节表示整数的方法来介绍有限域的加法和减法算法。以下是常用的术语定义，对于整数$\omega$，$”(\epsilon ,z)\leftarrow \omega ”$有如下约定：
$z\leftarrow \omega \mathrm{m}\mathrm{o}\mathrm{d}{2}^W$ 且 $\epsilon \leftarrow 0$ 如果$\omega \in [0,2^W)$，否则$\epsilon \leftarrow 1$。
对任意$x,y\in [0,2^W)$如果$\omega =x+y+{\epsilon }^{\prime }$且${\epsilon }^{\prime }\in 0,1$，于是$\omega =\epsilon 2^W+z$，且$\epsilon$称为单字节加法的传送位(carry bit，$\epsilon =1$当且仅当$z<x+{\epsilon }^{\prime }$)。
多字节整数加法的算法描述如下。
需要指出的是，处理传送指令的处理器并不一定需要对传送处理进行事无巨细的检查。多字节减法与加法操作类似，只是将传送位改称为借位而已。

加法模运算$((x+y)\mathrm{m}\mathrm{o}\mathrm{d}p)$和减法模运算$((x-y)\mathrm{m}\mathrm{o}\mathrm{d}p)$都适用于以上的算法，只是将加法替换成减法并取模。

整数乘法

$a,b\in F_p$的有限域乘法能够通过$a$和$b$的乘积，得到一个整数值，然后采用约化模p来获得结果。以下算法展示了整数乘法的思路，包括基本的操作数乘法扫描方法。每种算法都是通过用$W$-位连接将U和V连接起来，将$(UV)$表示成一个$(2W)$-位的量。

在步骤2.2中，$C[i+j]+A[i]\cdot B[j]+U$称为内积操作。操作数是W-位值，内积的界限是$2(2^W-1)+(2^W-1{)}^2=2^{2W}-1$，表示为$(UV)$。以下算法描述了内积$c=ab$从右到左的计算方法。正如前述算法所示，W-位的$(2W)$-位内积的操作数是必须的，包括$R_0,R_1,R_2,U$和V。