<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Sep 30, 2015 at 8:40 AM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:cryptography@dukhovni.org" target="_blank">cryptography@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Sep 29, 2015 at 09:47:01PM -0700, Bill Cox wrote:<br>
<br>
> A few weeks ago, I managed to prove what I'm sure is already well known:<br>
> that for Edwards curves, Finv(a) is just sn(a, k), where sn is the Jacobi<br>
> Elliptic sine function.  The whole Edwards curve addition rule, at least in<br>
> one quadrant, can be restated (in Wolfram Alpha language) as:<br>
><br>
>     x3 = JacobiSN[EllipticF[ArcSin[x1], d] + EllipticF[ArcSin[x2], d], d]<br>
><br>
> or more simply in regular notation:<br>
><br>
</span>>     x3 = sn(F(arcsin(x1), d) + sn(F(arcsin(x2), d), d)<br>
<br>
The existence of the "exponential map" for compact one-dimensional<br>
Lie-groups (such as Edwards curves, at least for d < 0) is not at<br>
all surprising.  The "exponential map" exists for *all* Lie-groups,<br>
and yields a group homorphism from the tangent vector space at the<br>
identity under addition into the group.<br></blockquote><div><br></div><div>Do you know if this particular map is already known?  As per my experience in crypto so far, I assume the answer is "yes".  At least this time, I'm not _also_ wrong :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In the special case of compact one-dimensional Lie-groups the<br>
exponential map is necessarily a group isomorphism with the real<br>
circle (the exponential map is periodic with some period T).<br>
<br>
It is likely feasible to compute a local inverse of the exponential<br>
map (near the identity element) with enough precision to make<br>
discrete logarithms practical on Edwards curves over the real<br>
numbers (find $n$ given $nP$ for some base point $P$).<br></blockquote><div><br></div><div>Yeah, I figured that out.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
But this applies only to curves over the reals, which are not<br>
terribly relevant to cryptography.  It does not carry over to curves<br>
over prime fields (or Galois extensions).<br>
<br>
It still seems like you're ignoring the lack of a generic correspondence<br>
between the continuous and discrete cases.  Yes *some* things work<br>
the same way, but important distinctions remain.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
        Viktor.<br></div></div></blockquote><div><br></div><div>I'm not ignoring it, I'm just using the geometric correspondence to help me understand these curves.  There's no point wasting all thatd GPU hardware in my brain :)</div><div><br></div><div>Bill</div></div></div></div>