编码原理

 将m转化为B进制，即
$$m=m_0+m_{1}B+m_2{B}^2+\cdots +m_N{B}^N\text{ （当中}{B}^{N+1}⩽n\text{）}$$  椭圆曲线：
$$E:y^2\equiv x^3+ax+b(modp)$$ 将明文m对应到椭圆曲线$E({\mathbb{F}}_p)$某点的x坐标值。但是$m^3+am+b$为完全平方数的概率为$\frac{1}{2}$（不知道这个概率怎么来的）。所以添加若干位在m上，即
$$m^{\prime }=mK+j(j=0,\cdots ,K-1)$$ 使$x^3+ax+b$为完全平方数，如此便可对应到$E({\mathbb{F}}_p)$上的一点。而失败的概率，即m’无法对应到$E({\mathbb{F}}_p)$的概率为$2^{-K}$（m可以对应K个m’，每个m’失败的概率为1/2$，全部失败的概率$2^{-K}$），其中(m+1)K<p。
 而解码$P_m$=(x,y)，只需要
$$m=\lfloor \frac{x}{K}\rfloor$$

示例

$$E:y^2\equiv x^3+82x+502773(mod502807)$$
将m="coding"用曲线上的点表达，表达失败概率为$\frac{1}{2^{20}}$，所以取K=20。约定编码为：空白=0，a=1，……，z=26，所以有27个符号（看作27进制）
$$\lfloor {\log }_{27}\frac{502807}{20}\rfloor =3(\text{求}\lfloor {\log }_B\frac{p}{K}\rfloor )$$ 所以每3个字母区块编码
$$\begin{array}{rl}m& ="coding"\\ & =(m_1,m_2)\\ & =((3,15,4{)}_{27},(9,14,7{)}_{27})\\ & =(2596,1047)\end{array}$$ 以上均为书上内容（见文末参考），但是之后的内容我看不懂了，就直接写我的想法了。
 1. 对于$m_1$，$x(P_{m_1})=20m_1=51920$，代入椭圆曲线方程，算出$$y^2(modp)\equiv 465711$$ 2. 另外由于$p\equiv 3(mod4)$，计算
$$y(P_{m_1})=465711^{\frac{p+1}{4}}(modp)=309270$$ 这一步书上写的是错的，我怎么算都算不出来。另外，这步我也看不懂，跟着做就完事了。
 3. 验证309270是否是y值，计算
$$309270^2(modp)=465711$$  得到曲线点
$$P_{m_1}=(51920,309270)$$ 对于$m_2$，$x(P_{m_2})=20m_2+3=20943$，我觉得这个+3是遍历得到的，m’+=1，重复以上的三步并验证。

sage代码实现

 怎么把明文字符串和int相互转换就不介绍了（我也不知道在sage里要怎么转换），比如在python里先encode/decode，再Crypto.Util.number库里的bytes_to_long/long_to_bytes就能实现。

# encode int m to a point on E
def curveEncode(m):
    m *= K
    while(1):
    	# step 1
        f = pow(m,3,p)+7 # secp256k1, change it to your curve
        f = f%p
        # step 2
        y = pow(f,(p+1)//4,p) # p+1 because p mod 4 = 3, to be changed
        # step 3: check
        if(f==pow(y,2,p)):
            return E(m,y) # return the point
        m += 1

def curveDecode(Pm):
    m = int(Pm[0])//K # convert Pm[0] into int type
    return m

参考：《密码学——加密演算法》邓安文编著 10.6 将信息转化为椭圆曲线代码