×
任田口;Takayasu、Atsushi

通过加法链对二元椭圆曲线进行具体的量子密码分析。 (英语) Zbl 1532.81023号

Mike Rosulek(编辑),密码学主题–CT-RSA 2023。2023年4月24日至27日,在美国加利福尼亚州旧金山举行的RSA 2023年会议上,密码学家的足迹。诉讼程序。查姆:斯普林格。莱克特。注释计算。科学。13871, 57-83 (2023).
摘要:到目前为止,几篇论文报道了Shor量子算法用于解决椭圆曲线离散对数问题(ECDLP)的具体资源估计。本文研究了二元椭圆曲线上基于量子FLT的反演算法。有两种主要算法由G.香蕉等[IACR Trans.Cryptogr.Hardware Embed Syst.2021,No.1,451–472(2021;doi:10.46586/tches.v2021.21.451-472)]和D.S.C.Putranto(D.S.C.普特兰托)等[“二元椭圆曲线的另一种具体量子密码分析”,预印本,https://eprint.iacr.org/2022/501]其中,前一种算法和后一种算法分别实现较少的量子比特数和较小的电路深度。我们提出了两种基于量子FLT的反演算法,这两种算法在本质上优于以前基于FLT的算法,并比较了NIST次数曲线的性能。具体来说,对于所有的(n),我们的第一个算法在不牺牲Toffoli门的数量和电路深度的情况下实现的量子比特比Putranto等人的算法要少[loc.cit.],而我们的第二个算法实现的电路深度较小,而不牺牲量子比特和Toffoli-门的数量。例如,当(n=571)时,我们的第一个算法的量子比特数是Putranto等人的算法[loc.cit.]的74%,而我们的第二个算法的深度是Banegas等人算法[loc.cit.]深度的83%。这些改进源于这样一个事实,即基于FLT的反演可以用任意序列的加法链来执行(n-1),尽管Banegas等人[loc.cit.]和Putranto等人[loc.cit.]都遵循Itoh和Tsujii经典的基于FLT反演引入的固定序列。特别地,我们分析了不影响经典FLT反演计算资源的加法链的几个性质如何影响量子FLT反演的计算资源,并找到合适的序列。
关于整个系列,请参见[Zbl 1521.94005号].

引用于1文件

MSC公司:

81页94 量子密码术(量子理论方面)
94A60型 密码学
40E15型 缺项反演定理
91B32型 资源和成本分配(包括公平分配、分摊等)
82B20型 格系统(伊辛、二聚体、波茨等)和平衡统计力学中出现的图上系统
14H52型 椭圆曲线
14A21型 对数代数几何,对数方案
81页65 量子门
2006年第68季度 作为计算模型的网络和电路;电路复杂性

关键词:

ECDLP公司;量子密码分析;基于FLT的反演;量子资源估算;加法链

软件:

github
PDF格式BibTeX公司 XML格式引用
\textit{R.Taguchi}和\textit{A.Takayasu},莱克特。注释计算。科学。13871,57-83(2023;Zbl 1532.81023)
全文: 内政部

参考文献:

[1] Amico,M。;萨利姆,ZH;Kumph,M.,使用IBM Q经验对Shor因子分解算法进行的实验研究,Phys。版本A,100012305(2019)·doi:10.1103/PhysRevA.100.012305
[2] 阿扎德拉赫什,R。;Järvinen,K。;Dimitrov,V.,《使用混合双乘法器的正规基({text{gf}(2^m)})中的快速反演》,IEEE Trans。计算。,63, 4, 1041-1047 (2012) ·Zbl 1364.65307号
[3] Babbush,R.等人:在具有线性T复杂性的量子电路中编码电子光谱。物理学。修订版X 8(4)(2018年)。doi:10.1103/physrevx.8.041015
[4] Banegas,G.,Bernstein,D.J.,van Hoof,I.,Lange,T.:二元椭圆曲线的具体量子密码分析。IACR事务处理。CHES 2021(1),451-472(2020)
[5] Beaureard,S.,《使用(2n+3)量子比特的Shor算法电路》,量子信息计算。,3, 175-185 (2003) ·Zbl 1152.81676号
[6] DJ伯恩斯坦;Yang,B.,《快速恒定时间GCD计算和模反演》,IACR Trans。加密货币。哈德。嵌入。系统。,2019, 3, 340-398 (2019) ·doi:10.46586/tches.v2019.i3.340-398
[7] Boudot,F。;高德里,P。;吉列维奇,A。;Heninger,N。;Thomé,E。;齐默尔曼,P。;Micciancio博士。;Ristenpart,T.,比较因式分解和离散对数的难度:一个240位数的实验,密码学进展-CRYPTO 2020,62-91(2020),Cham:Springer,Cham·Zbl 1504.94109号 ·doi:10.1007/978-3-030-56880-13
[8] Cameron,F.和Patrick,D.:FIPS pub 186-4数字签名标准(DSS)。收录于:NIST,第92-101页(2013年)
[9] 坎托,AC;克尔曼尼,MM;Azarderakhsh,R.,基于CRC的FLT和ITA有限域反演的错误检测构造,IEEE Trans。超大规模集成电路系统。,29, 5, 1033-1037 (2021) ·doi:10.1109/TVLSI.2021.3061987
[10] Duan,ZC,使用量子点单光子源对编译后的Shor算法进行的原理验证,Opt。《快报》,18917-18930(2020)·doi:10.1364/OE.390209
[11] 福勒公司;Mariantoni,M。;JM马提尼丝;克莱兰德,AN,《表面代码:走向实用的大规模量子计算》,《物理学》。版本A,86,032324(2012)·doi:10.1103/PhysRevA.86.032324
[12] Gidney,C.:窗口量子算术(2019)
[13] Gidney,C。;Ekerá,M.,《如何使用2000万个带噪量子位在8小时内对2048位RSA整数进行因子分解》,Quantum,5433(2021)·doi:10.22331/q-2021-04-15-433
[14] Gouzien,E。;Sangouard,N.,将177天内的2048位RSA整数分解为13 436量子位和多模内存,Phys。修订稿。,127, 140503 (2021) ·doi:10.1103/PhysRevLett.127.140503
[15] 苏格兰皇家银行格里菲斯;纽,CS,量子计算的半经典傅里叶变换,物理学。修订稿。,76, 17, 3228-3231 (1996) ·doi:10.1103/physrevlett.76.3228
[16] 瓜亚尔多,J。;Paar,C.,Itoh-Tsujii标准基反演及其在密码学和代码中的应用,Des。密码隐秘。,25, 2, 207-216 (2002) ·Zbl 1030.11070号 ·doi:10.1023/A:1013860532636
[17] 哈·J。;Lee,J。;Heo,J.,肖尔因子分解算法中含噪量子比特的量子计算资源分析,量子信息处理。,21, 2, 60 (2022) ·兹比尔1508.81460 ·doi:10.1007/s11128-021-03398-1
[18] 哈纳,T。;罗特勒,M。;Svore,KM,使用基于Toffoli的模乘的(2n+2)量子位进行因子分解,量子信息计算。,18, 7-8, 673-684 (2017)
[19] 哈纳,T。;Jaques,S。;Naehrig,M。;罗特勒,M。;Soeken先生。;丁,J。;Tillich,J-P,椭圆曲线离散对数的改进量子电路,后量子密码术,425-444(2020),Cham:Springer,Cham·Zbl 1513.81031号 ·doi:10.1007/978-3-030-44223-1_23
[20] 胡,J。;郭伟。;魏杰。;Cheung,RC,使用改进的Itoh-Tsujii算法的快速和通用反演体系结构,IEEE Trans。电路系统。II快速简报,62,4,367-371(2015)
[21] Iggy,V.H.:二元多项式的量子模karatsuba乘法器(2019)。https://github.com/ikbenbeter/QMKMBP
[22] Iggy,V.H.:具有次二次Toffoli门计数的二元有限域多项式的空间效率量子乘法。CoRR abs/1910.02849(2019)
[23] 伊藤,T。;Tsujii,S.,使用正规基计算(text{GF}(2^m))中乘法逆的快速算法,Inf.Comput。,78, 3, 171-177 (1988) ·Zbl 0672.68015号 ·doi:10.1016/0890-5401(88)90024-7
[24] Koblitz,N.,椭圆曲线密码系统,数学。计算。,48, 177, 203-209 (1987) ·Zbl 0622.94015号 ·doi:10.1090/S025-5718-1987-0866109-5
[25] Kunihiro,N.:量子计算机中因子分解计算时间的精确分析。IEICE传输。芬达姆。电子。Commun公司。计算。科学。88-A(1),105-111(2005)
[26] 英国石油公司(BP)兰扬(Lanyon),《使用量子纠缠对肖尔(Shor)算法编译版本的实验演示》(Phys)。修订稿。,99, 250505 (2007) ·doi:10.10103/物理通讯.99.250505
[27] 卢,CY;德州布朗;Yang,T。;Pan,JW,使用光子量子位演示Shor的量子因子分解算法的编译版本,Phys。修订稿。,99, 250504 (2007) ·doi:10.1103/PhysRevLett.99250504
[28] Lucero,E.,《用约瑟夫逊相位量子处理器计算素因子》,《自然物理学》。,8719-723(2012)·doi:10.1038/nphys2385
[29] 马丁·洛佩兹,E。;莱恩,A。;劳森·T。;阿尔瓦雷斯,R。;周,XQ;O'Brien,JL,使用量子比特循环实验实现Shor量子因子分解算法,《自然光子》,6773-776(2012)·doi:10.1038/nphoton.2012.259
[30] 米勒,VS;Williams,HC,《椭圆曲线在密码学中的应用》,《密码学进展-密码组织’85年会议录》,417-426(1986),海德堡:斯普林格,海德伯格·Zbl 0589.94005号 ·doi:10.1007/3-540-39799-X_31
[31] Monz,T.,《可扩展Shor算法的实现》,《科学》,3511068-1070(2016)·Zbl 1355.81060号 ·doi:10.1126/science.aad9480
[32] Politi,A。;马修斯,JCF;O'Brien,JL,Shor在光子芯片上的量子因子分解算法,《科学》,3251221(2009)·Zbl 1226.81052号 ·doi:10.1126/science.1173731
[33] Proos,J.,Zalka,C.:椭圆曲线的Shor离散对数量子算法。量子信息计算。3(4) (2003) ·Zbl 1152.81800号
[34] Putranto,D.S.C.、Wardhani,R.W.、Larasati,H.T.、Kim,H.:二元椭圆曲线的另一种具体量子密码分析。《加密电子打印档案》,论文2022/501(2022)。https://eprint.iacr.org/2022/501
[35] 铆钉,RL;沙米尔。;Adleman,LM,获取数字签名和公钥密码系统的方法,Commun。ACM,21,2,120-126(1978)·Zbl 0368.94005号 ·数字对象标识代码:10.1145/359340.359342
[36] Rodriguez-Henriquez,F.,Cruz-Cortes,N.,Saqib,N.:乘法反演的快速实现。载:ITCC 2005,第1卷,第574-579页。IEEE(2005)
[37] 罗特勒,M。;Naehrig,M。;斯沃雷,KM;Lauter,K。;Takagi,T。;Peyrin,T.,计算椭圆曲线离散对数的量子资源估计,密码学进展-ASIACRYPT 2017,241-270(2017),Cham:Springer,Cham·Zbl 1380.81094号 ·doi:10.1007/978-3-319-70697-99
[38] Shor,P.:《量子计算的算法:离散对数和因子分解》,收录于:FOCS 1994,第124-134页(1994)
[39] 斯莫林,JA;史密斯,G。;Vargo,A.,《过度简化量子因子分解》,《自然》,499163-165(2013)·doi:10.1038/nature12290
[40] 高桥,Y。;Kunihiro,N.,使用2n+2量子比特的Shor因式分解算法的量子电路,量子信息计算。,6, 2, 184-192 (2006) ·兹比尔1152.81818
[41] Vandersypen,L。;斯特芬,M。;Breyta,G。;Yannoni,CS;谢伍德,MH;Chuang,IL,利用核磁共振实验实现Shor量子因子分解算法,Nature,414883-887(2001)·数字对象标识代码:10.1038/414883a
[42] 维达尔五世。;巴伦科,A。;Ekert,A.,《基本算术运算的量子网络》,Phys。A版,54,147-153(1996)·doi:10.1103/PhysRevA.54.147
[43] Zalka,C.:Shor量子因子分解算法的快速版本(1998)。doi:10.48550/ARXIV。定量-PH/9806084·Zbl 0915.68048号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。