an align="justify"> рівній g ? бітної рядку, що є двійковій записом числа z + i mod 2 g
4.2 обчислюємо g -бітову рядок W i = SHА 1 (s i ).
5. Вважаємо бітову рядок W рівній конкатенації (твору) бітових рядків W i , i = 0,. . . , S , тобто W = W 0 . . . W s .
. Вважаємо r рівним цілому числу з двійковій записом W . Виконання пункту 3 гарантує, що r
.
. Якщо r = 0 або 4r + 27? 0 (mod p), то повертаємося до кроку 1. p align="justify"> 8. Вибираємо ненульові a, b ? GF (p) так, щоб rb2 ? a3 (mod p). Наприклад, можна взяти a = b = r.
9. Отримана крива є E: y2 = x3 + ax + b. p align="justify"> Зауважимо, що умова невироджених кривої 4a3 + 27b2 6? 0 (mod p) гарантовано виконується, так як при b? 0, r = a 3 /b 2 < i align = "justify"> mod p задовольняє умовам r? 0, 4r + 27? 0 (mod p). Мається тільки дві попарно неізоморфних криві з одним і тим же r. Ці криві є скрученими і сума їх порядків дорівнює 2 + 2p . Криві з різними r неізоморфних один одному. На кроці 8 тому є по суті тільки ще одна можливість вибору a і b , крім явно вказаної.
2) Випадок q = 2 m . Покладемо, як і вище, s = (t? 1)/160, v = t? 160s.
1....
