Skip to main content
QUICK REVIEW

[论文解读] Improved quantum circuits for elliptic curve discrete logarithms

Thomas Häner, Samuel Jaques|arXiv (Cornell University)|Jan 27, 2020
Cryptography and Residue Arithmetic被引用 1
一句话总结

本文提出了一种针对Shor算法中椭圆曲线标量乘法的优化量子电路,采用窗口化技术、自适应逆向计算以及通过二进制欧几里得算法重构的模逆运算。与RNSL相比,该方法在256位曲线中将逻辑量子比特从2338个减少至2124个,T门数量减少119倍,T深度减少54倍,实现了显著的资源节省。完整的Q#实现支持自动资源估算与单元测试。

ABSTRACT

We present improved quantum circuits for elliptic curve scalar multiplication, the most costly component in Shor's algorithm to compute discrete logarithms in elliptic curve groups. We optimize low-level components such as reversible integer and modular arithmetic through windowing techniques and more adaptive placement of uncomputing steps, and improve over previous quantum circuits for modular inversion by reformulating the binary Euclidean algorithm. Overall, we obtain an affine Weierstrass point addition circuit that has lower depth and uses fewer $T$ gates than previous circuits. While previous work mostly focuses on minimizing the total number of qubits, we present various trade-offs between different cost metrics including the number of qubits, circuit depth and $T$-gate count. Finally, we provide a full implementation of point addition in the Q# quantum programming language that allows unit tests and automatic quantum resource estimation for all components.

研究动机与目标

  • 通过Shor算法降低椭圆曲线离散对数计算的量子资源开销。
  • 在罗特勒等(RNSL)先前工作的基础上,进一步优化关键指标:量子比特数量、T门数量与电路深度。
  • 探索在椭圆曲线算术的量子电路设计中,不同成本指标之间的权衡关系。
  • 提供一种模块化、可测试且可通过Q#工具链实现自动资源估算的实现方式。

提出的方法

  • 采用受Gidney与Ekerå启发的窗口化技术,以减少标量乘法中的点加法次数。
  • 对二进制扩展欧几里得算法进行重构,以优化模逆运算电路,降低T门与深度开销。
  • 使用自适应逆向计算与压痕策略,避免冗余的逆向计算,提升内存效率。
  • 所有组件均以Q#实现,支持单元测试与通过Q#工具链的自动量子资源估算。
  • 应用自动编译技术进一步优化T深度与T门数量,在增加量子比特使用量的代价下获得更低开销的电路。
  • 基于较小窗口尺寸的外推数据,对多个NIST曲线(P256、P384、P521)进行了广泛的资源估算。

实验结果

研究问题

  • RQ1窗口化技术是否能显著降低Shor算法中椭圆曲线点加法的T门与T深度开销?
  • RQ2与标准Bennett风格的逆向计算相比,自适应逆向计算与压痕策略在多大程度上提升了量子电路效率?
  • RQ3自动编译工具在增加量子比特宽度的代价下,能在多大程度上减少T深度与T门数量?
  • RQ4优化后的量子电路在ECDLP中的T门数量、T深度与量子比特宽度的渐近缩放行为如何?
  • RQ5在不同椭圆曲线参数下,新电路与RNSL在所有主要资源指标上的表现相比如何?

主要发现

  • 对于256位椭圆曲线,新电路将逻辑量子比特从2338个减少至2124个,T门数量相比RNSL减少119倍,T深度减少54倍。
  • 针对低T门数量优化的电路,其渐近T门数量为1115n³/lg n + o(n³/lg n),T深度为389n³/lg n − 1.70×2²²。
  • 低深度电路的T深度为285n² − 1.54×2¹⁷,仅比低宽度版本增加22%的量子比特宽度。
  • 对于521位模数,深度优化电路相比RNSL将深度减少13,792倍,T门数量减少463倍。
  • 完整的Q#实现支持单元测试与自动资源估算,提升了可复现性与组件级验证能力。
  • 外推分析表明,破解RSA-3072将需要234个T门与9287个逻辑量子比特,表明在相似经典安全强度下,ECC对量子攻击的抗性弱于RSA。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。