23、高效实现 F36m 乘法的显式公式

高效实现 F36m 乘法的显式公式

在密码学领域，有限域中的高效乘法是大多数公钥密码系统实现的核心任务。特别是在 Tate 配对计算中，F36m 域的乘法运算显得尤为重要。本文将介绍一种新的方法，可将 F36m 乘法中 F3m 乘法的数量从 18 次减少到 15 次，显著提高了计算效率。

1. 背景介绍

在密码学标准中，常用的有限域类型有二进制有限域 F2m 和素域 Fp（p 为素数）。为了使有限域算术能高效适配商业处理器，中等特征有限域 Fpm 得到了应用。其中，p 是略小于处理器字长的素数，且具有特殊形式以简化模约简。由于安全考虑，特征为 2 或中等特征的域的扩展度 m 通常选为素数。

随着 Duursma - Lee 方法用于 Tate 配对计算的引入，素数 m 的 F3m 类型域受到了特别关注。在定义于 F3m 上的椭圆曲线上计算 Tate 配对，需要在 F3m 和 F36m 中进行计算。以往的计算使用扩展塔 F3m ⊂ F32m ⊂ F36m，F32m 和 F36m 中的乘法分别需要 3 次和 6 次 F3m 乘法，总共需要 18 次 F3m 乘法。

2. 评估 - 插值乘法方法

对于系数在 Fpm 中的多项式乘法，可以使用 Lagrange 评估 - 插值方法。设：
- (a(z) = a_0 + a_1z + \cdots + a_nz^n \in F_{pm}[z])
- (b(z) = b_0 + b_1z + \cdots + b_nz^n \in F_{pm}[z])

且满足 (p^m > 2n)。它们的乘积 (c(z) = a(z)b(z) = c_0 + c_1z