这段时间研究CSIDH，时间跨度接近一年了。这次分享尽可能降低了门槛，让大家听懂。

个人认为CSIDH方案是数学、计算优化与工科思维的集大成者。同源密码用到的数学比较深，而同源计算也很灵活，可以将群论与工科式的想法结合。这次分享对数学原理和优化都有所覆盖。

CM Torsor的性质没有深入，想了解建议看复环面/复椭圆曲线的复乘理论。

前置基础和讲稿PDF

前置基础

讲稿

提纲

前置基础

• 同源基本常识
  • 同源的定义
  • 同源与子群的对应关系
  • 同源计算方法和复杂度：Velu公式（黑盒）

• 群作用相关概念

  • 基本概念、实例
  • 自由、可迁、挠子性质 $|G|=|X|$

• 椭圆曲线相关

  • 超奇异椭圆曲线：$\left|E(\mathbb{F}_p)\right |=p+1$
  • Montgomery曲线
    • 曲线方程
    • 二次扭曲与有理点群的对应
    • $\mathbb{F}_p-$同构类中的唯一性

讲解内容

1. CM Torsor和方案描述
   1. 简述CM Torsor
   2. 方案概述
   3. 群作用与同源的关系
   4. 密钥空间的选取
2. 群作用计算
   1. 群作用计算流程
   2. 群作用层面优化介绍
   3. 简述为何高效：无需扩域、仅需x坐标、避免求逆
   4. CSIDH方案计算层次
3. 安全性简介
   1. 经典安全性：$O(\mathcal{K}^{1/2})$ 中间相遇
   2. 量子安全性：亚指数，512 ~ “60 qbits”
4. 实用性简介
   1. 优势：NIKE (0-RTT TLS, X3DH中替换经典DH的备选) , 密钥尺寸小
   2. 劣势：计算耗时：一次群作用100ms (2048 ~ NIST-I)