CN114239839B - 一种实现AES S-box量子电路的方法 - Google Patents

一种实现AES S-box量子电路的方法 Download PDF

Info

Publication number
CN114239839B
CN114239839B CN202210177214.0A CN202210177214A CN114239839B CN 114239839 B CN114239839 B CN 114239839B CN 202210177214 A CN202210177214 A CN 202210177214A CN 114239839 B CN114239839 B CN 114239839B
Authority
CN
China
Prior art keywords
finite field
matrix
quantum circuit
inverse
quantum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210177214.0A
Other languages
English (en)
Other versions
CN114239839A (zh
Inventor
高飞
李振强
秦素娟
温巧燕
李明柱
张胜
陈飞
陈静华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Mingbo Internet Safety Innovation Research Institute Co ltd
Beijing University of Posts and Telecommunications
Original Assignee
Nanjing Mingbo Internet Safety Innovation Research Institute Co ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Mingbo Internet Safety Innovation Research Institute Co ltd, Beijing University of Posts and Telecommunications filed Critical Nanjing Mingbo Internet Safety Innovation Research Institute Co ltd
Priority to CN202210177214.0A priority Critical patent/CN114239839B/zh
Publication of CN114239839A publication Critical patent/CN114239839A/zh
Application granted granted Critical
Publication of CN114239839B publication Critical patent/CN114239839B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N10/00Quantum computing, i.e. information processing based on quantum-mechanical phenomena
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/38Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
    • G06F7/48Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
    • G06F7/52Multiplying; Dividing
    • G06F7/523Multiplying only

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Evolutionary Computation (AREA)
  • Complex Calculations (AREA)

Abstract

本发明涉及一种实现AES S‑box量子电路的方法,利用有限域同构,将求S‑box有限域
Figure 100004_DEST_PATH_IMAGE001
的乘法逆问题转化为求有限域
Figure 100004_DEST_PATH_IMAGE002
的乘法逆问题,并结合
Figure 100004_DEST_PATH_IMAGE003
乘法量子电路、以及
Figure 349545DEST_PATH_IMAGE003
乘法逆的量子电路,进一步通过有限域
Figure 34202DEST_PATH_IMAGE003
的乘法和乘法逆实现有限域
Figure 256017DEST_PATH_IMAGE002
的乘法逆;并且对于同构映射之间的转化矩阵,设计通过矩阵分解,依次实现分解矩阵的量子电路,综合这些电路,能够以27量子比特实现AES S‑box量子电路,实现对AES量子电路的优化。

Description

一种实现AES S-box量子电路的方法
技术领域
本发明涉及一种实现AES S-box量子电路的方法,属于量子密码分析技术领域。
背景技术
量子力学是20世纪人类最伟大的科技成果之一,基于叠加、纠缠、隧穿等量子力学原理的量子计算技术是继电子计算机出现之后,人类计算能力的又一次革命性进步。鉴于其重要性,美国、欧盟、日本、加拿大、澳大利亚、中国等国家已在量子计算的研究方面投入大量人力和物力。2017年4月,谷歌推出49量子比特处理器。半年后,IBM推出50量子比特的量子计算原型机。英特尔在2018年初展示了一个49量子比特的超导量子计算芯片。2018年3月,谷歌宣布研制出72量子比特的量子计算机。此外,IBM、阿里(联合中国科学院)、清华大学、南方科技大学等相继推出了量子计算云平台。
量子计算机的研制在不断进步,但距离攻破现行密码仍有很大距离。从应用角度来说,到底何时量子计算机才能够真正威胁到现行密码的安全,是密码学家非常关心的现实问题。要回答这个问题,需要对“多大规模量子计算机才能攻破现有密码系统”进行量化分析,即量子资源估计。此外,在量子算法资源估计的基础上,人们希望通过改进量子算法或优化量子线路的方法来降低所需资源(如逻辑量子比特数、线路深度、量子存储规模等),使其可以在较低规模量子计算机上运行,即量子资源优化。
1996年,Grover提出一种搜索算法(Grover, L.K. A fast quantum mechanicalalgorithm for database search. Proceedings of the twenty-eighth annual ACMsymposium on Theory of computing. 1996.),它可用于对分组密码算法的密钥穷举攻击,且相对传统算法有平方加速效果。为了进行这种攻击,必须实现Grover Oracle所对应的量子电路。而实现Grover Oracle的主要部分也就是目标密码算法所对应的量子电路。作为一种研究最广的对称密码算法,AES量子电路的实现引起越来越多的关注。
一个经典逻辑门组成的几何(如与、或、非)可以用来计算任意的经典函数,我们说这样一个门的集合对经典计算是通用的。事实上,因为Toffoli门对经典计算是通用的,所以量子电路包含经典电路,对量子计算又存在相应的通用性结果。经典与门可以通过Toffoli门实现,或门可以通过CNOT门实现,非门可以通过NOT门。因此Toffoli门,CNOT门和NOT门构成语族通用门,也就是可以以任意精度近似任意的酉运算。在实现AES量子电路时,一般用Toffoli门、CNOT门和NOT门实现。
由于现有量子计算机可有效利用的量子比特是非常有限的,量子电路所需的量子比特数是一种非常重要的资源度量。目前已经提出一些以减少量子比特数为目的而设计的AES量子电路,其中,Toffoli门、CNOT门和NOT门是一组通用门,而Toffoli门的实现代价远大于CNOT门,因此量子电路的Toffoli门数量和Toffoli门深度也是评估量子电路的重要指标。2016年,德国学者Grassl等人(Grassl, Markus, et al. Applying Grover’salgorithm to AES: quantum resource estimates. Post-Quantum Cryptography.Springer, Cham, 2016.)首次对实现AES的量子资源进行估算,用984/1112/1336量子比特实现AES-128/-192/-256. 2018年,马来西亚学者Almazrooie等人(Almazrooie, M.,Samsudin, A., Abdullah, R., Mutter, K.N. Quantum reversible circuit of AES-128. Quantum Inf. Process. 17(5), 1-30, 2018)将AES-128的量子比特数减少到976.同年,韩国学者Kim等人(Kim, P., Han, D., Jeong, K.C.: Time-space complexity ofquantum search algorithms in symmetric cryptanalysis: applying to AES andSHA-2. Quantum Inf. Process. 17(12), 1-39, 2018)分析了AES量子电路的量子比特数与深度之间的一些交换关系。2020年,美国学者Langenberg等人(Langenberg, B., Pham,H., and Steinwandt, R.: Reducing the cost of implementing the AdvancedEncryption Standard as a quantum circuit. IEEE Transactions on QuantumEngineering, 1, 1-12, 2020)量子比特数减少至864/896/1232. 同年,中国学者Zoujian等(Zou J., Wei Z., Sun S., Liu X., Wu W. Quantum Circuit Implementationsof AES with Fewer Qubits. Asiacrypt, 2020)将量子比特数减少至512/640/768。
S-box的实现是AES量子电路实现的关键步骤,因为它是Toffoli门的唯一来源。S-box经典电路的实现对它的量子电路实现是非常重要的。在经典设定中,有很多关于如何有效计算S-box的方法。2005年,采用同构映射的方法,即在塔域
Figure DEST_PATH_IMAGE001
上的运算,美国学者Canright(Canright D. A very compact S-Box for AES. Cryptographic Hardware andEmbedded Systems, CHES 2005, LNCS, vol. 3659, 441C455, 2005)给出一种S-box的经典实现。2010年南丹麦学者Boyar与NIST的Peralta(Boyar, J., Peralta, R. A newcombinational logic minimization technique with applications to cryptology.In: Festa, P. (ed.) SEA 2010. LNCS, vol. 6049, pp. 178-189. Springer,Heidelberg, 2010)合作应用逻辑启发技术减少实现S-box的经典逻辑门门数量。之后,在2012年,Boyar和Peralta(Boyar, J., Peralta, R. A small depth-16 circuit for theAES s-box. In: Gritzalis,D., Furnell, S., Theoharidou, M. (eds.) SEC2012.IAICT, vol. 376, pp. 287-298. Springer, Heidelberg, 2012.)又给出优化电路深度的实现S-box的经典电路。中国学者魏子豪等(Wei, Z., Sun, S., Hu, L., Wei, M.,Boyar, J., Peralta, R. Scrutinizing the tower field implementation of the
Figure DEST_PATH_IMAGE002
inverter-with applications to AES, camellia, and SM4. Cryptology ePrintArchive, Report 2019/738, 2019)应用一些最先进的逻辑技术给出一种优化的S-box经典电路。
如何准确评估相关量子算法的实现难度和预期实现时间,是密码学界甚至各行各业所普遍关心的重要问题。当前对实现密码分析量子算法的资源估计还只是初步的结果,且所需资源(特别是量子比特数)非常大,还有很大的优化空间。
发明内容
本发明所要解决的技术问题是提供一种实现AES S-box量子电路的方法,采用全新逻辑设计,能够高效实现S-box量子电路。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种实现AES S-box量子电路的方法,包括如下步骤:
步骤A. 获得有限域
Figure DEST_PATH_IMAGE003
乘法逆经典电路所对应的乘法逆量子电路,并进入步骤B;
步骤B. 根据有限域
Figure DEST_PATH_IMAGE004
与有限域
Figure 196650DEST_PATH_IMAGE003
同构,获得有限域
Figure 23571DEST_PATH_IMAGE004
与有限域
Figure 113319DEST_PATH_IMAGE003
之间的同构矩阵
Figure DEST_PATH_IMAGE005
、以及逆矩阵
Figure DEST_PATH_IMAGE006
,并获得该同构矩阵
Figure 570576DEST_PATH_IMAGE005
的量子电路、以及该逆矩阵
Figure 367063DEST_PATH_IMAGE006
的量子电路,然后进入步骤C;
步骤C. 根据有限域
Figure 974673DEST_PATH_IMAGE003
乘法逆量子电路,结合该同构矩阵的量子电路、以及逆矩阵的量子电路,获得有限域
Figure 229680DEST_PATH_IMAGE004
的乘法逆量子电路,然后进入步骤D;
步骤D. 获得有限域
Figure 314923DEST_PATH_IMAGE004
乘法量子电路,并结合有限域
Figure 83425DEST_PATH_IMAGE004
的乘法逆量子电路,获得有限域
Figure DEST_PATH_IMAGE007
的乘法逆量子电路,然后进入步骤E;
步骤E. 基于有限域
Figure 789563DEST_PATH_IMAGE002
与有限域
Figure 815024DEST_PATH_IMAGE007
同构,S-box中有限域
Figure 172799DEST_PATH_IMAGE002
与有限域
Figure 762787DEST_PATH_IMAGE007
之间的同构矩阵
Figure DEST_PATH_IMAGE008
的量子电路
Figure DEST_PATH_IMAGE009
,获得有限域
Figure 484156DEST_PATH_IMAGE007
中元素与有限域
Figure 996913DEST_PATH_IMAGE002
中元素之间的联系,然后进入步骤F;
步骤F. 根据有限域
Figure 220697DEST_PATH_IMAGE007
中元素与有限域
Figure 665191DEST_PATH_IMAGE002
中元素之间的联系、有限域
Figure 949018DEST_PATH_IMAGE007
的乘法逆量子电路,以及S-box中有限域
Figure 636617DEST_PATH_IMAGE002
与有限域
Figure 664091DEST_PATH_IMAGE007
之间的逆矩阵
Figure DEST_PATH_IMAGE010
的量子电路,以有限域
Figure DEST_PATH_IMAGE011
中各元素为输入,实现S-box量子电路。
作为本发明的一种优选技术方案:所述步骤B中,根据有限域
Figure 59298DEST_PATH_IMAGE004
与有限域
Figure 180271DEST_PATH_IMAGE003
同构,以及有限域
Figure 720354DEST_PATH_IMAGE003
所对应的有限域如下:
Figure DEST_PATH_IMAGE012
其中,
Figure DEST_PATH_IMAGE013
Figure DEST_PATH_IMAGE014
分别表示自变量,
Figure DEST_PATH_IMAGE015
Figure DEST_PATH_IMAGE017
的根,则获得有限域
Figure 858908DEST_PATH_IMAGE004
与有限域
Figure 589579DEST_PATH_IMAGE003
之间的同构矩阵
Figure 152891DEST_PATH_IMAGE005
、以及逆矩阵
Figure 782062DEST_PATH_IMAGE006
如下;
Figure DEST_PATH_IMAGE019
并获得该同构矩阵的量子电路、以及该逆矩阵的量子电路,然后进入步骤C。
作为本发明的一种优选技术方案:所述步骤D中,通过12量子比特,实现获得有限域
Figure 274309DEST_PATH_IMAGE004
乘法量子电路。
作为本发明的一种优选技术方案,所述步骤D包括如下步骤D1至步骤D2;
步骤D1. 获得有限域
Figure 945562DEST_PATH_IMAGE004
乘法量子电路,并结合有限域
Figure 673916DEST_PATH_IMAGE004
的乘法逆量子电路,针对有限域
Figure 852700DEST_PATH_IMAGE004
中的任意元素
Figure DEST_PATH_IMAGE020
Figure DEST_PATH_IMAGE021
,以及有限域
Figure 24004DEST_PATH_IMAGE007
中任意元素
Figure DEST_PATH_IMAGE022
,分别计算获得
Figure DEST_PATH_IMAGE024
Figure DEST_PATH_IMAGE026
Figure DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
的量子电路,然后进入步骤D2;其中,
Figure DEST_PATH_IMAGE030
为有限域
Figure 521016DEST_PATH_IMAGE004
中的常数;
步骤D2. 根据如下公式(4):
Figure DEST_PATH_IMAGE031
计算获得有限域
Figure 118742DEST_PATH_IMAGE007
中任意元素
Figure 971773DEST_PATH_IMAGE022
的乘法逆
Figure DEST_PATH_IMAGE032
,即构成有限域
Figure 807883DEST_PATH_IMAGE007
的乘法逆量子电路,然后进入步骤E。
作为本发明的一种优选技术方案:所述步骤D1中,根据如下公式(7);
Figure DEST_PATH_IMAGE034
(7)
计算获得
Figure DEST_PATH_IMAGE024A
的量子电路。
作为本发明的一种优选技术方案:所述步骤F包括如下步骤F1-1至步骤F1-2;
步骤F1-1. 根据有限域
Figure 271049DEST_PATH_IMAGE007
中元素与有限域
Figure 216572DEST_PATH_IMAGE002
中元素之间的联系,以及S-box中有限域
Figure 252761DEST_PATH_IMAGE002
与有限域
Figure 705215DEST_PATH_IMAGE007
之间的逆矩阵
Figure 932540DEST_PATH_IMAGE010
的量子电路,按有限域
Figure 197035DEST_PATH_IMAGE007
的乘法逆量子电路中的元素乘以逆矩阵
Figure 572129DEST_PATH_IMAGE010
的量子电路,获得有限域
Figure 421748DEST_PATH_IMAGE002
的乘法逆量子电路,然后进入步骤F1-2;
步骤F1-2. 根据有限域
Figure 221690DEST_PATH_IMAGE002
的乘法逆量子电路,结合AES中常数矩阵
Figure DEST_PATH_IMAGE035
的量子电路
Figure DEST_PATH_IMAGE036
、AES中常数列向量
Figure DEST_PATH_IMAGE037
的量子电路
Figure DEST_PATH_IMAGE038
,以所获有限域
Figure 388974DEST_PATH_IMAGE011
中各元素
Figure DEST_PATH_IMAGE039
的乘法逆
Figure DEST_PATH_IMAGE040
为输入,按如下公式(1):
Figure DEST_PATH_IMAGE041
(1)
实现S-box量子电路,其中,
Figure DEST_PATH_IMAGE042
表示S-box对应公式(1)的操作。
作为本发明的一种优选技术方案:所述步骤E中、以及步骤F1-1至步骤F1-2中,分别针对同构矩阵
Figure 634924DEST_PATH_IMAGE008
、逆矩阵
Figure 124721DEST_PATH_IMAGE010
、常数矩阵
Figure 388956DEST_PATH_IMAGE035
,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵
Figure 367889DEST_PATH_IMAGE008
的量子电路、逆矩阵
Figure 842208DEST_PATH_IMAGE010
的量子电路、常数矩阵
Figure 269912DEST_PATH_IMAGE035
的量子电路。
作为本发明的一种优选技术方案:所述步骤F包括如下步骤F2-1至步骤F2-2;
步骤F2-1. 根据有限域
Figure 778867DEST_PATH_IMAGE007
中元素与有限域
Figure 538488DEST_PATH_IMAGE002
中元素之间的联系,获得有限域
Figure 195644DEST_PATH_IMAGE002
与有限域
Figure 269386DEST_PATH_IMAGE007
之间逆矩阵
Figure 570530DEST_PATH_IMAGE010
和AES中常数矩阵
Figure 378006DEST_PATH_IMAGE035
之间的乘积矩阵
Figure DEST_PATH_IMAGE043
,并获得乘积矩阵
Figure 856611DEST_PATH_IMAGE043
的量子电路
Figure DEST_PATH_IMAGE044
,然后进入步骤F2-2;
步骤F2-2. 根据AES中常数列向量
Figure 889637DEST_PATH_IMAGE037
的量子电路
Figure 655075DEST_PATH_IMAGE038
,以有限域
Figure 287657DEST_PATH_IMAGE011
中各元素
Figure 747897DEST_PATH_IMAGE039
为输入,按如下公式:
Figure DEST_PATH_IMAGE045
实现S-box量子电路,其中,
Figure 233281DEST_PATH_IMAGE042
表示S-box对应公式(1)的操作。
作为本发明的一种优选技术方案:所述步骤E中、以及步骤F2-1至步骤F2-2中,分别针对同构矩阵
Figure 204558DEST_PATH_IMAGE008
、乘积矩阵
Figure 132675DEST_PATH_IMAGE043
,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵
Figure 25020DEST_PATH_IMAGE008
的量子电路、乘积矩阵
Figure 244256DEST_PATH_IMAGE043
的量子电路。
作为本发明的一种优选技术方案:通过4个NOT门实现AES中常数列向量
Figure 48738DEST_PATH_IMAGE037
的量子电路
Figure 491965DEST_PATH_IMAGE038
本发明所述一种实现AES S-box量子电路的方法,采用以上技术方案与现有技术相比,具有以下技术效果:
(1)本发明所设计实现AES S-box量子电路的方法,利用有限域同构,将求S-box有限域
Figure 340447DEST_PATH_IMAGE002
的乘法逆问题转化为求有限域
Figure 183549DEST_PATH_IMAGE007
的乘法逆问题,并结合
Figure 834542DEST_PATH_IMAGE004
乘法量子电路、以及
Figure 589615DEST_PATH_IMAGE004
乘法逆的量子电路,进一步通过有限域
Figure 370798DEST_PATH_IMAGE004
的乘法和乘法逆实现有限域
Figure 322049DEST_PATH_IMAGE007
的乘法逆;并且对于同构映射之间的转化矩阵,设计通过矩阵分解,依次实现分解矩阵的量子电路,综合这些电路,能够以27量子比特实现AES S-box量子电路,实现对AES量子电路的优化。
附图说明
图1为本发明的实现同构矩阵
Figure DEST_PATH_IMAGE046
的量子电路图;
图2为本发明的实现有限域
Figure DEST_PATH_IMAGE047
常数乘法
Figure DEST_PATH_IMAGE024AA
的量子电路图;
图3为本发明的实现同构矩阵
Figure DEST_PATH_IMAGE048
的量子电路图;
图4为本发明的实现有限域
Figure DEST_PATH_IMAGE049
的乘法逆量子电路图;
图5为本发明的实现乘积矩阵
Figure DEST_PATH_IMAGE050
的量子电路图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明所设计一种实现AES S-box量子电路的方法,实际应用当中,具体执行如下步骤A至步骤F。
步骤A. 获得有限域
Figure 447712DEST_PATH_IMAGE003
乘法逆经典电路所对应的乘法逆量子电路,并进入步骤B。
步骤B. 根据有限域
Figure 188002DEST_PATH_IMAGE004
与有限域
Figure 620864DEST_PATH_IMAGE003
同构,获得有限域
Figure 172544DEST_PATH_IMAGE004
与有限域
Figure 780552DEST_PATH_IMAGE003
之间的同构矩阵
Figure 736482DEST_PATH_IMAGE005
、以及逆矩阵
Figure 385201DEST_PATH_IMAGE006
,并获得该同构矩阵
Figure 311479DEST_PATH_IMAGE005
的量子电路、以及该逆矩阵
Figure 797431DEST_PATH_IMAGE006
的量子电路,然后进入步骤C。
上述步骤B在实际应用当中,具体根据有限域
Figure 517738DEST_PATH_IMAGE004
与有限域
Figure 911017DEST_PATH_IMAGE003
同构,以及有限域
Figure 538919DEST_PATH_IMAGE003
所对应的有限域如下:
Figure 472853DEST_PATH_IMAGE012
其中,
Figure 973848DEST_PATH_IMAGE013
Figure 423194DEST_PATH_IMAGE014
分别表示自变量,
Figure 792471DEST_PATH_IMAGE015
Figure DEST_PATH_IMAGE052
的根,则获得有限域
Figure 47220DEST_PATH_IMAGE004
与有限域
Figure 906067DEST_PATH_IMAGE003
之间的同构矩阵
Figure 209485DEST_PATH_IMAGE005
、以及逆矩阵
Figure 530524DEST_PATH_IMAGE006
如下;
Figure DEST_PATH_IMAGE054
这里同构矩阵
Figure 218133DEST_PATH_IMAGE005
的量子电路实现如图3所示,它的逆电路就对应逆矩阵
Figure 388826DEST_PATH_IMAGE006
的量子电路实现,并进一步获得该同构矩阵的量子电路、以及该逆矩阵的量子电路,然后进入步骤C。
现有技术中,Boyar和Peralta(Boyar, J., Peralta, R. A new combinationallogic minimization technique with applications to cryptology. In: Festa, P.(ed.) SEA 2010. LNCS, vol. 6049, pp. 178-189. Springer, Heidelberg, 2010)已经给出实现有限域
Figure 727011DEST_PATH_IMAGE003
乘法逆的经典电路如下表1所示。
表1
Figure DEST_PATH_IMAGE056
有限域
Figure 702403DEST_PATH_IMAGE003
乘法逆的经典电路可以转化为量子电路,如图4所示,这里经典AND门可以对应Toffoli门,异或门对应CNOT门。
步骤C. 根据有限域
Figure 622692DEST_PATH_IMAGE003
乘法逆量子电路,结合该同构矩阵的量子电路、以及逆矩阵的量子电路,获得有限域
Figure 568215DEST_PATH_IMAGE004
的乘法逆量子电路,然后进入步骤D。
步骤D. 实现有限域
Figure 869662DEST_PATH_IMAGE004
乘法量子电路,并结合有限域
Figure 56537DEST_PATH_IMAGE004
的乘法逆量子电路,获得有限域
Figure 346179DEST_PATH_IMAGE007
的乘法逆量子电路,然后进入步骤E。
Figure 530779DEST_PATH_IMAGE004
中任意两个元素
Figure DEST_PATH_IMAGE057
Figure DEST_PATH_IMAGE058
可写作
Figure DEST_PATH_IMAGE060
Figure DEST_PATH_IMAGE062
。Maslov等(Cheung, Donny, et al. "On the design andoptimization of a quantum polynomial-time attack on elliptic curvecryptography." Workshop on Quantum Computation, Communication, andCryptography. Springer, Berlin, Heidelberg, 2008.),即给出了可以应用12量子比特实现
Figure 399021DEST_PATH_IMAGE004
乘法量子电路。
实际应用当中,上述步骤D具体执行如下步骤D1至步骤D2。
步骤D1. 获得有限域
Figure 490783DEST_PATH_IMAGE004
乘法量子电路,并结合有限域
Figure 962828DEST_PATH_IMAGE004
的乘法逆量子电路,针对有限域
Figure 708543DEST_PATH_IMAGE004
中的任意元素
Figure 492303DEST_PATH_IMAGE020
Figure 366455DEST_PATH_IMAGE021
,以及有限域
Figure 381422DEST_PATH_IMAGE007
中任意元素
Figure 32458DEST_PATH_IMAGE022
,分别计算获得
Figure DEST_PATH_IMAGE064
Figure DEST_PATH_IMAGE066
Figure 518618DEST_PATH_IMAGE029
的量子电路,并进一步结合如下公式(7)
Figure DEST_PATH_IMAGE068
(7)
计算获得
Figure DEST_PATH_IMAGE070
的量子电路,如图2所示,然后进入步骤D2;其中,
Figure 409305DEST_PATH_IMAGE030
为有限域
Figure 551484DEST_PATH_IMAGE004
中的常数。
步骤D2. 根据如下公式(4):
Figure 311105DEST_PATH_IMAGE031
(4)
计算获得有限域
Figure 475983DEST_PATH_IMAGE007
中任意元素
Figure 473232DEST_PATH_IMAGE022
的乘法逆
Figure 587425DEST_PATH_IMAGE032
,即构成有限域
Figure 517948DEST_PATH_IMAGE007
的乘法逆量子电路,然后进入步骤E。
步骤E. 基于有限域
Figure 576646DEST_PATH_IMAGE002
与有限域
Figure 664467DEST_PATH_IMAGE007
同构,S-box中有限域
Figure 751941DEST_PATH_IMAGE002
与有限域
Figure 791048DEST_PATH_IMAGE007
之间的同构矩阵
Figure 251288DEST_PATH_IMAGE008
的量子电路
Figure 729149DEST_PATH_IMAGE009
,获得有限域
Figure 671130DEST_PATH_IMAGE007
中元素与有限域
Figure 406040DEST_PATH_IMAGE002
中元素之间的联系,然后进入步骤F。
步骤F. 根据有限域
Figure 433472DEST_PATH_IMAGE007
中元素与有限域
Figure 715024DEST_PATH_IMAGE002
中元素之间的联系、有限域
Figure 337866DEST_PATH_IMAGE007
的乘法逆量子电路,以及S-box中有限域
Figure 718775DEST_PATH_IMAGE002
与有限域
Figure 295819DEST_PATH_IMAGE007
之间的逆矩阵
Figure 404500DEST_PATH_IMAGE010
的量子电路,以有限域
Figure 123670DEST_PATH_IMAGE011
中各元素为输入,实现S-box量子电路。
针对上述步骤F,实际应用当中,具体设计了两种实现方式,第一种实现方式具体执行如下步骤F1-1至步骤F1-2。
步骤F1-1. 根据有限域
Figure 816426DEST_PATH_IMAGE007
中元素与有限域
Figure 529433DEST_PATH_IMAGE002
中元素之间的联系,以及S-box中有限域
Figure 152787DEST_PATH_IMAGE002
与有限域
Figure 664147DEST_PATH_IMAGE007
之间的逆矩阵
Figure 42651DEST_PATH_IMAGE010
的量子电路,按有限域
Figure 233371DEST_PATH_IMAGE007
的乘法逆量子电路中的元素乘以逆矩阵
Figure 451295DEST_PATH_IMAGE010
的量子电路,获得有限域
Figure 82740DEST_PATH_IMAGE002
的乘法逆量子电路,然后进入步骤F1-2。
步骤F1-2. 根据有限域
Figure 374562DEST_PATH_IMAGE002
的乘法逆量子电路,结合AES中常数矩阵
Figure 357037DEST_PATH_IMAGE035
的量子电路
Figure 322195DEST_PATH_IMAGE036
、AES中常数列向量
Figure 763408DEST_PATH_IMAGE037
的量子电路
Figure 906551DEST_PATH_IMAGE038
,以所获有限域
Figure 48426DEST_PATH_IMAGE011
中各元素
Figure 397764DEST_PATH_IMAGE039
的乘法逆
Figure 879168DEST_PATH_IMAGE040
为输入,按如下公式(1),一个元素包含8比特。
Figure 157659DEST_PATH_IMAGE041
(1)
实现S-box量子电路,其中,
Figure 351878DEST_PATH_IMAGE042
表示S-box对应公式(1)的操作。
其中,对于上述步骤E、以及步骤F1-1至步骤F1-2中所涉及的同构矩阵
Figure 222620DEST_PATH_IMAGE008
、逆矩阵
Figure 435483DEST_PATH_IMAGE010
、常数矩阵
Figure 982746DEST_PATH_IMAGE035
来说,分别针对各矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵
Figure 709000DEST_PATH_IMAGE008
的量子电路、逆矩阵
Figure 447016DEST_PATH_IMAGE010
的量子电路、常数矩阵
Figure 840695DEST_PATH_IMAGE035
的量子电路;另外,对于AES中常数列向量
Figure 683493DEST_PATH_IMAGE037
的量子电路
Figure 930063DEST_PATH_IMAGE038
,设计通过4个NOT门实现。
实际应用当中,同构矩阵
Figure DEST_PATH_IMAGE072
,逆矩阵
Figure DEST_PATH_IMAGE074
,AES中常数矩阵
Figure DEST_PATH_IMAGE076
,AES中常数列向量
Figure DEST_PATH_IMAGE078
上述针对矩阵执行分解,再获得对应量子电路的操作中,诸如针对同构矩阵
Figure 503600DEST_PATH_IMAGE008
,将同构矩阵
Figure 938736DEST_PATH_IMAGE008
分解为PLU型如下:
Figure DEST_PATH_IMAGE080
基于上述对同构矩阵
Figure 497372DEST_PATH_IMAGE008
的分解,进一步依据CNOT电路实现方法,获得同构矩阵
Figure 447486DEST_PATH_IMAGE008
的量子电路,如图1所示。
第二种实现方式具体执行如下步骤F2-1至步骤F2-2。
步骤F2-1. 根据有限域
Figure 720115DEST_PATH_IMAGE007
中元素与有限域
Figure 9757DEST_PATH_IMAGE002
中元素之间的联系,获得有限域
Figure 814597DEST_PATH_IMAGE002
与有限域
Figure 10186DEST_PATH_IMAGE007
之间逆矩阵
Figure 751DEST_PATH_IMAGE010
和AES中常数矩阵
Figure 139040DEST_PATH_IMAGE035
之间的乘积矩阵
Figure 580296DEST_PATH_IMAGE043
,并获得乘积矩阵
Figure 380369DEST_PATH_IMAGE043
的量子电路
Figure 377887DEST_PATH_IMAGE044
,然后进入步骤F2-2。
步骤F2-2. 根据AES中常数列向量
Figure 347246DEST_PATH_IMAGE037
的量子电路
Figure 935966DEST_PATH_IMAGE038
,以有限域
Figure 347968DEST_PATH_IMAGE011
中各元素
Figure 680336DEST_PATH_IMAGE039
为输入,按如下公式,一个元素包含8比特。
Figure 692021DEST_PATH_IMAGE045
实现S-box量子电路,其中,
Figure 451642DEST_PATH_IMAGE042
表示S-box对应公式(1)的操作。
其中,对于上述步骤E、以及步骤F2-1至步骤F2-2中所涉及的同构矩阵
Figure 616520DEST_PATH_IMAGE008
、乘积矩阵
Figure 494995DEST_PATH_IMAGE043
来说,分别针对各矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵
Figure 468243DEST_PATH_IMAGE008
的量子电路、乘积矩阵
Figure 720802DEST_PATH_IMAGE043
的量子电路;另外,对于AES中常数列向量
Figure 802938DEST_PATH_IMAGE037
的量子电路
Figure 742687DEST_PATH_IMAGE038
,设计通过4个NOT门实现。
上述针对矩阵执行分解,再获得对应量子电路的操作中,诸如针对乘积矩阵
Figure 898338DEST_PATH_IMAGE043
,将乘积矩阵
Figure 62078DEST_PATH_IMAGE043
分解为PLU型如下:
Figure DEST_PATH_IMAGE082
基于上述对乘积矩阵
Figure 949748DEST_PATH_IMAGE043
的分解,进一步依据CNOT电路实现方法,获得乘积矩阵
Figure 841259DEST_PATH_IMAGE043
的量子电路,如图5所示。
对于这里步骤F所设计的第二种方法,相较于第一种方法,不需要对常数矩阵
Figure 533972DEST_PATH_IMAGE035
、逆矩阵
Figure 868614DEST_PATH_IMAGE010
分别进行分解,再分别求得对应量子电路,而选择先获得逆矩阵
Figure 784717DEST_PATH_IMAGE010
和常数矩阵
Figure 738374DEST_PATH_IMAGE035
之间的乘积矩阵
Figure 534861DEST_PATH_IMAGE043
,然后直接针对该乘积矩阵
Figure 595000DEST_PATH_IMAGE043
执行分解,再求得对应量子电路,即省去了一次分解、以及求解对应量子电路的过程,即第二种方法相较第一种方法在运算速率上更快。
基于上述所设计实现AES S-box量子电路的方法,利用有限域同构,将求S-box有限域
Figure 990953DEST_PATH_IMAGE002
的乘法逆问题转化为求有限域
Figure 545037DEST_PATH_IMAGE007
的乘法逆问题,并结合
Figure 375856DEST_PATH_IMAGE004
乘法量子电路、以及
Figure 927666DEST_PATH_IMAGE004
乘法逆的量子电路,进一步通过有限域
Figure 60183DEST_PATH_IMAGE004
的乘法和乘法逆实现有限域
Figure 417958DEST_PATH_IMAGE007
的乘法逆;并且对于同构映射之间的转化矩阵,设计通过矩阵分解,依次实现分解矩阵的量子电路,综合这些电路,能够以27量子比特实现AES S-box量子电路,实现对AES量子电路的优化。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (7)

1.一种实现AES S-box量子电路的方法,其特征在于,用于解决数据加密AES与S-box量子电路之间的联系,包括如下步骤:
步骤A.获得有限域
Figure RE-FDA0003628118580000011
乘法逆经典电路所对应的乘法逆量子电路,并进入步骤B;
步骤B.根据有限域
Figure RE-FDA0003628118580000012
与有限域
Figure RE-FDA0003628118580000013
同构,获得有限域
Figure RE-FDA0003628118580000014
与有限域
Figure RE-FDA0003628118580000015
之间的同构矩阵N、以及逆矩阵N-1,并获得该同构矩阵N的量子电路、以及该逆矩阵N-1的量子电路,然后进入步骤C;
上述步骤B中,根据有限域
Figure RE-FDA0003628118580000016
与有限域
Figure RE-FDA0003628118580000017
同构,以及有限域
Figure RE-FDA0003628118580000018
所对应的有限域如下:
Figure RE-FDA0003628118580000019
其中,x、z分别表示自变量,W是x2+x+1的根,则获得有限域
Figure RE-FDA00036281185800000110
与有限域
Figure RE-FDA00036281185800000111
之间的同构矩阵N、以及逆矩阵N-1如下;
Figure RE-FDA00036281185800000112
并获得该同构矩阵的量子电路、以及该逆矩阵的量子电路,然后进入步骤C;
步骤C.根据有限域
Figure RE-FDA00036281185800000113
乘法逆量子电路,结合该同构矩阵的量子电路、以及逆矩阵的量子电路,获得有限域
Figure RE-FDA00036281185800000114
的乘法逆量子电路,然后进入步骤D;
步骤D.通过12量子比特,获得有限域
Figure RE-FDA00036281185800000115
乘法量子电路,并结合有限域
Figure RE-FDA00036281185800000116
的乘法逆量子电路,获得有限域
Figure RE-FDA00036281185800000117
的乘法逆量子电路,然后进入步骤E;
上述步骤D包括如下步骤D1至步骤D2;
步骤D1.获得有限域
Figure RE-FDA00036281185800000118
乘法量子电路,并结合有限域
Figure RE-FDA00036281185800000119
的乘法逆量子电路,针对有限域
Figure RE-FDA00036281185800000120
中的任意元素p0、p1,以及有限域
Figure RE-FDA00036281185800000121
中任意元素p,分别计算获得
Figure RE-FDA00036281185800000122
(p0+p1)p0、(p17)-1(p0+p1)和(p17)-1p1的量子电路,然后进入步骤D2;其中,λ为有限域
Figure RE-FDA00036281185800000123
中的常数;
步骤D2.根据如下公式(4):
Figure RE-FDA00036281185800000124
计算获得有限域
Figure RE-FDA00036281185800000125
中任意元素p的乘法逆p-1,即构成有限域
Figure RE-FDA00036281185800000126
的乘法逆量子电路,然后进入步骤E;
步骤E.基于有限域
Figure RE-FDA0003628118580000021
与有限域
Figure RE-FDA0003628118580000022
同构,S-box中有限域
Figure RE-FDA0003628118580000023
与有限域
Figure RE-FDA0003628118580000024
之间的同构矩阵M的量子电路M’,获得有限域
Figure RE-FDA0003628118580000025
中元素与有限域
Figure RE-FDA0003628118580000026
中元素之间的联系,然后进入步骤F;
步骤F.根据有限域
Figure RE-FDA0003628118580000027
中元素与有限域
Figure RE-FDA0003628118580000028
中元素之间的联系、有限域
Figure RE-FDA0003628118580000029
的乘法逆量子电路,以及S-box中有限域
Figure RE-FDA00036281185800000210
与有限域
Figure RE-FDA00036281185800000211
之间的逆矩阵M-1的量子电路,以有限域
Figure RE-FDA00036281185800000212
中各元素为输入,实现S-box量子电路。
2.根据权利要求1所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤D1中,根据如下公式(7);
Figure RE-FDA00036281185800000213
计算获得
Figure RE-FDA00036281185800000214
的量子电路。
3.根据权利要求1所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤F包括如下步骤F1-1至步骤F1-2;
步骤F1-1.根据有限域
Figure RE-FDA00036281185800000215
中元素与有限域
Figure RE-FDA00036281185800000216
中元素之间的联系,以及S-box中有限域
Figure RE-FDA00036281185800000217
与有限域
Figure RE-FDA00036281185800000218
之间的逆矩阵M-1的量子电路,按有限域
Figure RE-FDA00036281185800000219
的乘法逆量子电路中的元素乘以逆矩阵M-1的量子电路,获得有限域
Figure RE-FDA00036281185800000220
的乘法逆量子电路,然后进入步骤F1-2;步骤F1-2.根据有限域
Figure RE-FDA00036281185800000221
的乘法逆量子电路,结合AES中常数矩阵A的量子电路A'、AES中常数列向量c的量子电路c',以所获有限域
Figure RE-FDA00036281185800000222
中各元素a的乘法逆a-1为输入,按如下公式(1):
Figure RE-FDA00036281185800000223
实现S-box量子电路,其中,S(a)表示S-box对应公式(1)的操作。
4.根据权利要求3所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤E中、以及步骤F1-1至步骤F1-2中,分别针对同构矩阵M、逆矩阵M-1、常数矩阵A,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵M的量子电路、逆矩阵M-1的量子电路、常数矩阵A的量子电路。
5.根据权利要求1所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤F包括如下步骤F2-1至步骤F2-2;
步骤F2-1.根据有限域
Figure RE-FDA0003628118580000031
中元素与有限域
Figure RE-FDA0003628118580000032
中元素之间的联系,获得有限域
Figure RE-FDA0003628118580000033
与有限域
Figure RE-FDA0003628118580000034
之间逆矩阵M-1和AES中常数矩阵A之间的乘积矩阵AM-1,并获得乘积矩阵AM-1的量子电路(AM-1)',然后进入步骤F2-2;
步骤F2-2.根据AES中常数列向量c的量子电路c',以有限域
Figure RE-FDA0003628118580000035
中各元素a为输入,按如下公式:
Figure RE-FDA0003628118580000036
实现S-box量子电路,其中,S(a)表示S-box对应公式的操作。
6.根据权利要求5所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤E中、以及步骤F2-1至步骤F2-2中,分别针对同构矩阵M、乘积矩阵AM-1,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵M的量子电路、乘积矩阵AM-1的量子电路。
7.根据权利要求3或5所述一种实现AES S-box量子电路的方法,其特征在于:通过4个NOT门实现AES中常数列向量c的量子电路c'。
CN202210177214.0A 2022-02-25 2022-02-25 一种实现AES S-box量子电路的方法 Active CN114239839B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210177214.0A CN114239839B (zh) 2022-02-25 2022-02-25 一种实现AES S-box量子电路的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210177214.0A CN114239839B (zh) 2022-02-25 2022-02-25 一种实现AES S-box量子电路的方法

Publications (2)

Publication Number Publication Date
CN114239839A CN114239839A (zh) 2022-03-25
CN114239839B true CN114239839B (zh) 2022-06-21

Family

ID=80748145

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210177214.0A Active CN114239839B (zh) 2022-02-25 2022-02-25 一种实现AES S-box量子电路的方法

Country Status (1)

Country Link
CN (1) CN114239839B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101938349A (zh) * 2010-10-01 2011-01-05 北京航空航天大学 一种适用于硬件实现的s盒及其电路实现方法
CN104270247B (zh) * 2014-05-23 2018-05-01 中国人民解放军信息工程大学 适用于量子密码系统的高效泛Hash函数认证方法
CN108989018B (zh) * 2018-06-11 2021-05-04 安徽工程大学 一种aes加密单元、aes加密电路及加密方法
KR20210153423A (ko) * 2020-06-10 2021-12-17 한국전자통신연구원 곱셉 역원 연산 회로, 장치 및 방법

Also Published As

Publication number Publication date
CN114239839A (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
Bonnetain et al. Quantum security analysis of CSIDH
Alabdulatif et al. Towards secure big data analytic for cloud-enabled applications with fully homomorphic encryption
US10910087B2 (en) Secure secret-sharing-based crowdsourcing for large-scale association studies of genomic and phenotypic data
Fan et al. Privacy preserving based logistic regression on big data
Shi et al. Secure multiparty quantum computation for summation and multiplication
Scholl et al. Improved key generation for Gentry’s fully homomorphic encryption scheme
Huczynska et al. Existence and properties of k-normal elements over finite fields
Roetteler et al. Quantum computing: Codebreaking and beyond
Huang et al. Quantum algorithm for solving hyperelliptic curve discrete logarithm problem
Xin et al. A multi-layer parallel hardware architecture for homomorphic computation in machine learning
Han et al. Privacy-preserving singular value decomposition
Chung et al. Alternative tower field construction for quantum implementation of the AES S-box
Wang et al. Privacy-preserving analytics on decentralized social graphs: The case of eigendecomposition
Cleve et al. Sharp quantum versus classical query complexity separations
Mkhinini et al. HLS design of a hardware accelerator for homomorphic encryption
CN114239839B (zh) 一种实现AES S-box量子电路的方法
Biasse et al. A trade-off between classical and quantum circuit size for an attack against CSIDH
Zou et al. Some efficient quantum circuit implementations of camellia
Zhao et al. Efficient and privacy-preserving tree-based inference via additive homomorphic encryption
Song et al. Grover on Caesar and Vigenere ciphers
Luo et al. Quantum reversible circuits for multiplicative inverse
Martins et al. Programmable RNS lattice-based parallel cryptographic decryption
Denisenko Quantum circuits for S-box implementation without ancilla qubits
Denisenko et al. Estimating the complexity of Grover’s algorithm for key search of block ciphers defined by GOST R 34.12-2015
Walden et al. Random matrix derived shrinkage of spectral precision matrices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant