Skip to main content
QUICK REVIEW

[論文レビュー] Improved quantum circuits for elliptic curve discrete logarithms

Thomas Häner, Samuel Jaques|arXiv (Cornell University)|Jan 27, 2020
Cryptography and Residue Arithmetic被引用数 1
ひとこと要約

本稿では、ショアのアルゴリズムにおける楕円曲線スカラー乗算の最適化された量子回路を提示している。ウィンドウ化技術、適応的アンコンピュテーション、および二進ユーグリッド法を用いた再定式化によるモジュラ逆数計算を用いる。Tゲート数は最大119倍、T深さは54倍削減され、256ビット曲線において論理的キュービット数を2338から2124に削減した。Q#による完全な実装により、自動リソース推定と単体テストが可能となった。

ABSTRACT

We present improved quantum circuits for elliptic curve scalar multiplication, the most costly component in Shor's algorithm to compute discrete logarithms in elliptic curve groups. We optimize low-level components such as reversible integer and modular arithmetic through windowing techniques and more adaptive placement of uncomputing steps, and improve over previous quantum circuits for modular inversion by reformulating the binary Euclidean algorithm. Overall, we obtain an affine Weierstrass point addition circuit that has lower depth and uses fewer $T$ gates than previous circuits. While previous work mostly focuses on minimizing the total number of qubits, we present various trade-offs between different cost metrics including the number of qubits, circuit depth and $T$-gate count. Finally, we provide a full implementation of point addition in the Q# quantum programming language that allows unit tests and automatic quantum resource estimation for all components.

研究の動機と目的

  • ショアのアルゴリズムを用いた楕円曲線離散対数計算の量子リソースコストを低減すること。
  • キーメトリクス(キュービット数、Tゲート数、回路深さ)を最小化する点で、ロエッタラー他(RNSL)の先行研究を改善すること。
  • 楕円曲線算術のための量子回路設計における、さまざまなコストメトリクスのトレードオフを調査すること。
  • Q#量子プログラミング言語を用いたモジュラーでテスト可能かつ自動推定可能な実装を提供すること。

提案手法

  • ギドニーとエケラのインスピレーションを受けて、スカラー乗算における点加算の回数を削減するためのウィンドウ化技術を採用した。
  • Tゲート数と深さコストを削減するために、二進拡張ユーグリッド法を再定式化し、モジュラ逆数回路を最適化した。
  • 不要なアンコンピュテーションを回避し、メモリ効率を向上させるために、適応的アンコンピュテーションとペブル戦略を用いた。
  • Q#ですべてのコンponentsを実装し、Q#ツールチェーンを介した自動量子リソース推定と単体テストを可能にした。
  • 自動コンパイル技術を適用して、T深さとTゲート数をさらに最適化し、キュービット使用量の増加を犠牲にすることで、より低コストの回路を達成した。
  • 複数のNIST曲線(P256、P384、P521)に対して、小さなウィンドウサイズからの外挿データを用いて、広範なリソース推定を実施した。

実験結果

リサーチクエスチョン

  • RQ1ウィンドウ化技術は、ショアのアルゴリズムにおける楕円曲線点加算のTゲート数とT深さコストを顕著に削減できるか?
  • RQ2標準的なベンネットスタイルのアンコンピュテーションと比較して、適応的アンコンピュテーションとペブル戦略は、量子回路の効率をどのように向上させるか?
  • RQ3自動コンパイルツールは、キュービット幅の増加を犠牲にすることで、T深さとTゲート数をどの程度削減できるか?
  • RQ4最適化された量子回路におけるECDLPのTゲート数、T深さ、キュービット幅の漸近的スケーリング挙動はいかなるものか?
  • RQ5異なる楕円曲線パrameterに対して、新しい回路はRNSLのものと比較して、すべての主要リソースメトリクスでどのように差をつけるか?

主な発見

  • 256ビット楕円曲線の場合、新しい回路はRNSLと比較して論理的キュービット数を2338から2124に、Tゲート数を119倍、T深さを54倍削減した。
  • Tゲート数を最小化する最適化された回路は、漸近的に1115n³/lg n + o(n³/lg n) 個のTゲートと、389n³/lg n − 1.70×2²² のT深さを達成した。
  • 深さ最適化された回路は、低幅バージョンと比較してキュービット幅が22%増加するのみで、285n² − 1.54×2¹⁷ のT深さを達成した。
  • 521ビットモジュラスの場合、深さ最適化回路はRNSLと比較して深さを13,792倍、Tゲート数を463倍削減した。
  • Q#における完全な実装により、単体テストと自動リソース推定が可能となり、再現性とコンponentレベルの検証を支援した。
  • 外挿結果から、RSA-3072を解読するには234個のTゲートと9287個の論理的キュービットが必要であると示唆された。これは、同程度の古典的セキュリティレベルにおいて、ECCは量子攻撃に対してRSAより脆弱である可能性を示している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。