異なる点の加法

楕円曲線の世界での加法は$3+5=8$のようなものとは全く別のものです．
楕円曲線上の2点$P$,$Q$の足し算の結果は，$P$と$Q$を通る直線と楕円曲線の交点を$x$軸に関して対称移動させた点$R$です．
想像がしづらいので具体的な例をみてみます．

$y^2=x^3-2x+4，P(-2,0)，Q(0,-2)$とすると，PQを通る直線は$y=-x-2$と表されます．直線と楕円曲線の交点$S$は$(3,-5)$になります．$S$を$x$軸に関して対称移動させると点$R(3,5)$が得られます．よって，$P(-2,0)+Q(0,-2)=R(3,5)$です．

楕円曲線，と聞いてなんだか小難しそうですが図で見ると案外とっつきやすい印象です．
この例はたまたま座標が整数になっているだけで，実際は有理数になります．

問題はこれをどうプログラムに落とすか，です．一般化しなければなりません．
$y^2=x^3+ax+b，P(x_p,y_p)，Q(x_q,y_q)$のときの$P+Q=R$である$R(x_r,-y_r)$を求めます．
方針としては，PとQと通る直線の式と楕円曲線の方程式を連立して解けば座標$R(x_r,y_r)$が求まりそうです．

まず，PとQと通る直線の方程式は，傾きを

$$
\phi = \frac{y_q- y _ p } { x _ q - x _ p }
$$
とおくと

$$
y=\phi (x-x_p) + y_p，
y=\phi x - \phi x_p + y_p
$$
と表されます．わかりやすく$y=ax+b$の形にするために，
$$
\psi = - \phi x_p + y_p
$$
$$
= - \frac{ ( y _ q - y _ p ) x _ p } { x _ q - x _ p } + \frac { ( x _ q - x _ p ) y _ p } { x _ q - x _ p } = \frac{ x _ p y _ p - x _ q y _ q} { x _ q - x _ p }
$$
として
$$
y=\phi x + \psi
$$
と表します．この式を$y^2=x^3+ax+b$に代入すると，
$$
(\phi x + \psi)^2 = x^3+ax+b
$$
整理して，
$$
x^3- \phi^2 x^2 +ax- 2 \phi \psi x - \psi ^2 +b = 0
$$
となります．この三次方程式の解は$x_p,x_q,x_r$の3つです．なぜなら，$y^2=x^3+ax+b$と$y=\phi x + \psi$の交点は3つあり，その点は$P,Q,R$の3つであるからです．三次方程式の$x^3$の係数は1であるので，
$$
(x-x _ p ) ( x - x _ q ) ( x - x _ r )=0
$$
という式を変形すると上の三次方程式になることがわかります．よって，展開をして係数を比較すると
$$
\phi^2 = x _ p + x _ q + x _ r
$$
が得られます．よって，
$$
x _ r = \phi^2 - x _ p - x _ q
$$
そして，これを$y=\phi x + \psi$に代入し，
$$
y _ r = \phi x _ r + \psi
$$
と求まります．加法の一般化終了です．お疲れ様でした．($R$の座標は$(x_r,-y_r)$であることに注意)

同一点の加法(2倍)

楕円曲線上の点$P$について$P+P$の計算の結果は，楕円曲線の接線のうち$P$を通る直線と楕円曲線の交点をx軸に関して対称移動させた点$R$です．
接線の傾きを求めるには微分を使います．
$y^2=x^3+ax+b$の両辺を$x$で微分すると，
$$
2y \frac{dy}{dx} = 3x^2 + a
$$
よって
$$
\frac{dy}{dx} = \frac{3x^2 + a}{2y}
$$
つまり，$(x_p,y_p)$の接線の傾きは$x$と$y$に代入して，
$$
\phi = \frac{3 x _ p ^2 + a}{2 y _ p }
$$
異なる二点の加法のときと同様に，
$$
\psi = - \phi x_p + y_p
$$
$$
= - \frac{(3 x _ p ^2 + a) x_p }{2 y _ p } + \frac{2 y _ p ^ 2 }{ 2 y _ p } = \frac{- 3 x _ p ^3 - a x_p + 2 y _ p ^ 2 }{2 y _ p }
$$
あとは異なる二点の加法のときと同様です．
$x _ r = \phi^2 - 2 x _ p $と$y _ r = \phi x _ r + \psi$と求まります．($R$の座標は$(x_r,-y_r)$であることに注意)
これは$P+P$の結果ですが，$P+P=2P$とも表されます．
スカラー倍は，$3P=2P+P，4P=3P+P$というように求めていくことができます．
$P$のスカラー倍を計算する方法は早い方法がありますが，これについては後述します．繰り返し二乗法と呼ばれる方法になります．

$ \bmod p$とは

さっきから$ \bmod p$という表記が登場していますが，これについて説明します．
$ \bmod p$がついている式を合同式と呼びます．$p$は自然数です．合同式についての説明を詳しくすると長くなりすぎてしまうので，簡単な説明だけして，性質の証明などは省略します．

整数に関しては割ったあまりという認識で良いです．例えば，
$$
7 \equiv 1 \pmod 3
$$
という式は，$7$を$3$で割ったあまりが$1$であることを表しています．別に，右辺は$3$で割ったあまりが$1$になる数が入っていればなんでもいいです．今回は$0$以上$p$未満の整数にすることが目的であるので右辺はそれに則ります．
$$
(-4) \equiv 2 \pmod 3
$$
マイナスでも定義ができます．$-4$を$3$で割った余りは$4 = 3 \times ( - 2 )+2 $より$2$と求めることができます．
次は分数(有理数)の場合です．
$$
\frac{1}{2} \equiv ? \pmod 3
$$
$\frac{1}{2}$は，$2$をかけると$1$になる数であるので
$$
2 \times \frac{1}{2} \equiv 1 \pmod 3
$$
が成り立ちます．この式を成り立たせる$ \frac{1}{2} $の代わりになる数を探すと$2$が見つかります．
$$
2 \times 2 \equiv 1 \pmod 3
$$
よって
$$
\frac{1}{2} \equiv 2 \pmod 3
$$
です．ちなみに$ \frac{1}{2} $は$2$をかけると$1$になるという意味で，$2^{-1}$と表すことがあります．行列でいう逆行列のように，(たまたま等しくなっているが)$ \frac{1}{2} $という意味はなく$2$の逆元という意味があります．逆元は$p$の値によって変わります．

実際に計算をしてみる

では，実際に楕円曲線上で計算してみます．
$y^2 \equiv x^3+x+6 \pmod{11}$の例で考えます．
$P(2,7)$は楕円曲線上の点です．これを2倍することを考えます．
2倍は同一点の足し算になるので，
$$
\phi = \frac{3 \times 2 ^2 +1 }{2 \times 7 } = \frac{13 }{14 }
$$
$$
\psi = \frac{- 3 \times 2 ^3 -1 \times 2 + 2 \times 7 ^ 2 }{2 \times 7 } =\frac{36}{7}
$$
有限体$\mathbb{F}_{11}$上の点にするため(0以上11未満の整数にするため)に$ \pmod{ 11}$で処理します．
$$
\frac{13 }{14 } \equiv 13 \times 14^{-1} \equiv 13 \times 4 \equiv 8 \pmod {11}
$$
$$
\frac{36}{7 } \equiv 36 \times 7^{-1} \equiv 36 \times 8 \equiv 2 \pmod {11}
$$
よって，
$$
x \equiv 8^8 - 2\times 2 \equiv 5 \pmod {11}
$$
$$
y \equiv -8 \times 5 - 2 \equiv 2 \pmod {11}
$$
以上の計算より$2P=(5,2)$だと求めることができました．
途中にでてきた逆元の求め方ですが，プログラムだと拡張ユークリッドの互除法やフェルマーの小定理を用いると高速に求めることができます．また，Python3であれば，

pow(7,-1,11)

と書くだけで，$\pmod {11}$の$7^{-1}$の値を取得することができます．この関数が標準で存在するのは驚きです．