CN114239839B - 一种实现AES S-box量子电路的方法 - Google Patents
一种实现AES S-box量子电路的方法 Download PDFInfo
- Publication number
- CN114239839B CN114239839B CN202210177214.0A CN202210177214A CN114239839B CN 114239839 B CN114239839 B CN 114239839B CN 202210177214 A CN202210177214 A CN 202210177214A CN 114239839 B CN114239839 B CN 114239839B
- Authority
- CN
- China
- Prior art keywords
- finite field
- matrix
- quantum circuit
- inverse
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N10/00—Quantum computing, i.e. information processing based on quantum-mechanical phenomena
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/38—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
- G06F7/48—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
- G06F7/52—Multiplying; Dividing
- G06F7/523—Multiplying only
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- Evolutionary Computation (AREA)
- Complex Calculations (AREA)
Abstract
Description
技术领域
本发明涉及一种实现AES S-box量子电路的方法,属于量子密码分析技术领域。
背景技术
量子力学是20世纪人类最伟大的科技成果之一,基于叠加、纠缠、隧穿等量子力学原理的量子计算技术是继电子计算机出现之后,人类计算能力的又一次革命性进步。鉴于其重要性,美国、欧盟、日本、加拿大、澳大利亚、中国等国家已在量子计算的研究方面投入大量人力和物力。2017年4月,谷歌推出49量子比特处理器。半年后,IBM推出50量子比特的量子计算原型机。英特尔在2018年初展示了一个49量子比特的超导量子计算芯片。2018年3月,谷歌宣布研制出72量子比特的量子计算机。此外,IBM、阿里(联合中国科学院)、清华大学、南方科技大学等相继推出了量子计算云平台。
量子计算机的研制在不断进步,但距离攻破现行密码仍有很大距离。从应用角度来说,到底何时量子计算机才能够真正威胁到现行密码的安全,是密码学家非常关心的现实问题。要回答这个问题,需要对“多大规模量子计算机才能攻破现有密码系统”进行量化分析,即量子资源估计。此外,在量子算法资源估计的基础上,人们希望通过改进量子算法或优化量子线路的方法来降低所需资源(如逻辑量子比特数、线路深度、量子存储规模等),使其可以在较低规模量子计算机上运行,即量子资源优化。
1996年,Grover提出一种搜索算法(Grover, L.K. A fast quantum mechanicalalgorithm for database search. Proceedings of the twenty-eighth annual ACMsymposium on Theory of computing. 1996.),它可用于对分组密码算法的密钥穷举攻击,且相对传统算法有平方加速效果。为了进行这种攻击,必须实现Grover Oracle所对应的量子电路。而实现Grover Oracle的主要部分也就是目标密码算法所对应的量子电路。作为一种研究最广的对称密码算法,AES量子电路的实现引起越来越多的关注。
一个经典逻辑门组成的几何(如与、或、非)可以用来计算任意的经典函数,我们说这样一个门的集合对经典计算是通用的。事实上,因为Toffoli门对经典计算是通用的,所以量子电路包含经典电路,对量子计算又存在相应的通用性结果。经典与门可以通过Toffoli门实现,或门可以通过CNOT门实现,非门可以通过NOT门。因此Toffoli门,CNOT门和NOT门构成语族通用门,也就是可以以任意精度近似任意的酉运算。在实现AES量子电路时,一般用Toffoli门、CNOT门和NOT门实现。
由于现有量子计算机可有效利用的量子比特是非常有限的,量子电路所需的量子比特数是一种非常重要的资源度量。目前已经提出一些以减少量子比特数为目的而设计的AES量子电路,其中,Toffoli门、CNOT门和NOT门是一组通用门,而Toffoli门的实现代价远大于CNOT门,因此量子电路的Toffoli门数量和Toffoli门深度也是评估量子电路的重要指标。2016年,德国学者Grassl等人(Grassl, Markus, et al. Applying Grover’salgorithm to AES: quantum resource estimates. Post-Quantum Cryptography.Springer, Cham, 2016.)首次对实现AES的量子资源进行估算,用984/1112/1336量子比特实现AES-128/-192/-256. 2018年,马来西亚学者Almazrooie等人(Almazrooie, M.,Samsudin, A., Abdullah, R., Mutter, K.N. Quantum reversible circuit of AES-128. Quantum Inf. Process. 17(5), 1-30, 2018)将AES-128的量子比特数减少到976.同年,韩国学者Kim等人(Kim, P., Han, D., Jeong, K.C.: Time-space complexity ofquantum search algorithms in symmetric cryptanalysis: applying to AES andSHA-2. Quantum Inf. Process. 17(12), 1-39, 2018)分析了AES量子电路的量子比特数与深度之间的一些交换关系。2020年,美国学者Langenberg等人(Langenberg, B., Pham,H., and Steinwandt, R.: Reducing the cost of implementing the AdvancedEncryption Standard as a quantum circuit. IEEE Transactions on QuantumEngineering, 1, 1-12, 2020)量子比特数减少至864/896/1232. 同年,中国学者Zoujian等(Zou J., Wei Z., Sun S., Liu X., Wu W. Quantum Circuit Implementationsof AES with Fewer Qubits. Asiacrypt, 2020)将量子比特数减少至512/640/768。
S-box的实现是AES量子电路实现的关键步骤,因为它是Toffoli门的唯一来源。S-box经典电路的实现对它的量子电路实现是非常重要的。在经典设定中,有很多关于如何有效计算S-box的方法。2005年,采用同构映射的方法,即在塔域上的运算,美国学者Canright(Canright D. A very compact S-Box for AES. Cryptographic Hardware andEmbedded Systems, CHES 2005, LNCS, vol. 3659, 441C455, 2005)给出一种S-box的经典实现。2010年南丹麦学者Boyar与NIST的Peralta(Boyar, J., Peralta, R. A newcombinational logic minimization technique with applications to cryptology.In: Festa, P. (ed.) SEA 2010. LNCS, vol. 6049, pp. 178-189. Springer,Heidelberg, 2010)合作应用逻辑启发技术减少实现S-box的经典逻辑门门数量。之后,在2012年,Boyar和Peralta(Boyar, J., Peralta, R. A small depth-16 circuit for theAES s-box. In: Gritzalis,D., Furnell, S., Theoharidou, M. (eds.) SEC2012.IAICT, vol. 376, pp. 287-298. Springer, Heidelberg, 2012.)又给出优化电路深度的实现S-box的经典电路。中国学者魏子豪等(Wei, Z., Sun, S., Hu, L., Wei, M.,Boyar, J., Peralta, R. Scrutinizing the tower field implementation of the inverter-with applications to AES, camellia, and SM4. Cryptology ePrintArchive, Report 2019/738, 2019)应用一些最先进的逻辑技术给出一种优化的S-box经典电路。
如何准确评估相关量子算法的实现难度和预期实现时间,是密码学界甚至各行各业所普遍关心的重要问题。当前对实现密码分析量子算法的资源估计还只是初步的结果,且所需资源(特别是量子比特数)非常大,还有很大的优化空间。
发明内容
本发明所要解决的技术问题是提供一种实现AES S-box量子电路的方法,采用全新逻辑设计,能够高效实现S-box量子电路。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种实现AES S-box量子电路的方法,包括如下步骤:
并获得该同构矩阵的量子电路、以及该逆矩阵的量子电路,然后进入步骤C。
作为本发明的一种优选技术方案,所述步骤D包括如下步骤D1至步骤D2;
步骤D2. 根据如下公式(4):
作为本发明的一种优选技术方案:所述步骤D1中,根据如下公式(7);
作为本发明的一种优选技术方案:所述步骤F包括如下步骤F1-1至步骤F1-2;
步骤F1-1. 根据有限域中元素与有限域中元素之间的联系,以及S-box中有限域与有限域之间的逆矩阵的量子电路,按有限域的乘法逆量子电路中的元素乘以逆矩阵的量子电路,获得有限域的乘法逆量子电路,然后进入步骤F1-2;
作为本发明的一种优选技术方案:所述步骤E中、以及步骤F1-1至步骤F1-2中,分别针对同构矩阵、逆矩阵、常数矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵的量子电路、逆矩阵的量子电路、常数矩阵的量子电路。
作为本发明的一种优选技术方案:所述步骤F包括如下步骤F2-1至步骤F2-2;
作为本发明的一种优选技术方案:所述步骤E中、以及步骤F2-1至步骤F2-2中,分别针对同构矩阵、乘积矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵的量子电路、乘积矩阵的量子电路。
本发明所述一种实现AES S-box量子电路的方法,采用以上技术方案与现有技术相比,具有以下技术效果:
附图说明
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明所设计一种实现AES S-box量子电路的方法,实际应用当中,具体执行如下步骤A至步骤F。
现有技术中,Boyar和Peralta(Boyar, J., Peralta, R. A new combinationallogic minimization technique with applications to cryptology. In: Festa, P.(ed.) SEA 2010. LNCS, vol. 6049, pp. 178-189. Springer, Heidelberg, 2010)已经给出实现有限域乘法逆的经典电路如下表1所示。
表1
中任意两个元素、可写作、。Maslov等(Cheung, Donny, et al. "On the design andoptimization of a quantum polynomial-time attack on elliptic curvecryptography." Workshop on Quantum Computation, Communication, andCryptography. Springer, Berlin, Heidelberg, 2008.),即给出了可以应用12量子比特实现乘法量子电路。
实际应用当中,上述步骤D具体执行如下步骤D1至步骤D2。
步骤D2. 根据如下公式(4):
针对上述步骤F,实际应用当中,具体设计了两种实现方式,第一种实现方式具体执行如下步骤F1-1至步骤F1-2。
步骤F1-1. 根据有限域中元素与有限域中元素之间的联系,以及S-box中有限域与有限域之间的逆矩阵的量子电路,按有限域的乘法逆量子电路中的元素乘以逆矩阵的量子电路,获得有限域的乘法逆量子电路,然后进入步骤F1-2。
其中,对于上述步骤E、以及步骤F1-1至步骤F1-2中所涉及的同构矩阵、逆矩阵、常数矩阵来说,分别针对各矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵的量子电路、逆矩阵的量子电路、常数矩阵的量子电路;另外,对于AES中常数列向量的量子电路,设计通过4个NOT门实现。
第二种实现方式具体执行如下步骤F2-1至步骤F2-2。
其中,对于上述步骤E、以及步骤F2-1至步骤F2-2中所涉及的同构矩阵、乘积矩阵来说,分别针对各矩阵,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵的量子电路、乘积矩阵的量子电路;另外,对于AES中常数列向量的量子电路,设计通过4个NOT门实现。
对于这里步骤F所设计的第二种方法,相较于第一种方法,不需要对常数矩阵、逆矩阵分别进行分解,再分别求得对应量子电路,而选择先获得逆矩阵和常数矩阵之间的乘积矩阵,然后直接针对该乘积矩阵执行分解,再求得对应量子电路,即省去了一次分解、以及求解对应量子电路的过程,即第二种方法相较第一种方法在运算速率上更快。
基于上述所设计实现AES S-box量子电路的方法,利用有限域同构,将求S-box有限域的乘法逆问题转化为求有限域的乘法逆问题,并结合乘法量子电路、以及乘法逆的量子电路,进一步通过有限域的乘法和乘法逆实现有限域的乘法逆;并且对于同构映射之间的转化矩阵,设计通过矩阵分解,依次实现分解矩阵的量子电路,综合这些电路,能够以27量子比特实现AES S-box量子电路,实现对AES量子电路的优化。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (7)
1.一种实现AES S-box量子电路的方法,其特征在于,用于解决数据加密AES与S-box量子电路之间的联系,包括如下步骤:
并获得该同构矩阵的量子电路、以及该逆矩阵的量子电路,然后进入步骤C;
上述步骤D包括如下步骤D1至步骤D2;
步骤D1.获得有限域乘法量子电路,并结合有限域的乘法逆量子电路,针对有限域中的任意元素p0、p1,以及有限域中任意元素p,分别计算获得(p0+p1)p0、(p17)-1(p0+p1)和(p17)-1p1的量子电路,然后进入步骤D2;其中,λ为有限域中的常数;
步骤D2.根据如下公式(4):
3.根据权利要求1所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤F包括如下步骤F1-1至步骤F1-2;
步骤F1-1.根据有限域中元素与有限域中元素之间的联系,以及S-box中有限域与有限域之间的逆矩阵M-1的量子电路,按有限域的乘法逆量子电路中的元素乘以逆矩阵M-1的量子电路,获得有限域的乘法逆量子电路,然后进入步骤F1-2;步骤F1-2.根据有限域的乘法逆量子电路,结合AES中常数矩阵A的量子电路A'、AES中常数列向量c的量子电路c',以所获有限域中各元素a的乘法逆a-1为输入,按如下公式(1):
实现S-box量子电路,其中,S(a)表示S-box对应公式(1)的操作。
4.根据权利要求3所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤E中、以及步骤F1-1至步骤F1-2中,分别针对同构矩阵M、逆矩阵M-1、常数矩阵A,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路,即获得同构矩阵M的量子电路、逆矩阵M-1的量子电路、常数矩阵A的量子电路。
6.根据权利要求5所述一种实现AES S-box量子电路的方法,其特征在于:所述步骤E中、以及步骤F2-1至步骤F2-2中,分别针对同构矩阵M、乘积矩阵AM-1,首先将矩阵分解为PLU型,即所对应的上对角矩阵、下对角矩阵、以及序列矩阵的乘积;然后依据CNOT电路实现方法,获得该矩阵的量子电路的量子电路,即获得同构矩阵M的量子电路、乘积矩阵AM-1的量子电路。
7.根据权利要求3或5所述一种实现AES S-box量子电路的方法,其特征在于:通过4个NOT门实现AES中常数列向量c的量子电路c'。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210177214.0A CN114239839B (zh) | 2022-02-25 | 2022-02-25 | 一种实现AES S-box量子电路的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210177214.0A CN114239839B (zh) | 2022-02-25 | 2022-02-25 | 一种实现AES S-box量子电路的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114239839A CN114239839A (zh) | 2022-03-25 |
CN114239839B true CN114239839B (zh) | 2022-06-21 |
Family
ID=80748145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210177214.0A Active CN114239839B (zh) | 2022-02-25 | 2022-02-25 | 一种实现AES S-box量子电路的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114239839B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101938349A (zh) * | 2010-10-01 | 2011-01-05 | 北京航空航天大学 | 一种适用于硬件实现的s盒及其电路实现方法 |
CN104270247B (zh) * | 2014-05-23 | 2018-05-01 | 中国人民解放军信息工程大学 | 适用于量子密码系统的高效泛Hash函数认证方法 |
CN108989018B (zh) * | 2018-06-11 | 2021-05-04 | 安徽工程大学 | 一种aes加密单元、aes加密电路及加密方法 |
KR20210153423A (ko) * | 2020-06-10 | 2021-12-17 | 한국전자통신연구원 | 곱셉 역원 연산 회로, 장치 및 방법 |
-
2022
- 2022-02-25 CN CN202210177214.0A patent/CN114239839B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114239839A (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bonnetain et al. | Quantum security analysis of CSIDH | |
Alabdulatif et al. | Towards secure big data analytic for cloud-enabled applications with fully homomorphic encryption | |
US10910087B2 (en) | Secure secret-sharing-based crowdsourcing for large-scale association studies of genomic and phenotypic data | |
Fan et al. | Privacy preserving based logistic regression on big data | |
Shi et al. | Secure multiparty quantum computation for summation and multiplication | |
Scholl et al. | Improved key generation for Gentry’s fully homomorphic encryption scheme | |
Huczynska et al. | Existence and properties of k-normal elements over finite fields | |
Roetteler et al. | Quantum computing: Codebreaking and beyond | |
Huang et al. | Quantum algorithm for solving hyperelliptic curve discrete logarithm problem | |
Xin et al. | A multi-layer parallel hardware architecture for homomorphic computation in machine learning | |
Han et al. | Privacy-preserving singular value decomposition | |
Chung et al. | Alternative tower field construction for quantum implementation of the AES S-box | |
Wang et al. | Privacy-preserving analytics on decentralized social graphs: The case of eigendecomposition | |
Cleve et al. | Sharp quantum versus classical query complexity separations | |
Mkhinini et al. | HLS design of a hardware accelerator for homomorphic encryption | |
CN114239839B (zh) | 一种实现AES S-box量子电路的方法 | |
Biasse et al. | A trade-off between classical and quantum circuit size for an attack against CSIDH | |
Zou et al. | Some efficient quantum circuit implementations of camellia | |
Zhao et al. | Efficient and privacy-preserving tree-based inference via additive homomorphic encryption | |
Song et al. | Grover on Caesar and Vigenere ciphers | |
Luo et al. | Quantum reversible circuits for multiplicative inverse | |
Martins et al. | Programmable RNS lattice-based parallel cryptographic decryption | |
Denisenko | Quantum circuits for S-box implementation without ancilla qubits | |
Denisenko et al. | Estimating the complexity of Grover’s algorithm for key search of block ciphers defined by GOST R 34.12-2015 | |
Walden et al. | Random matrix derived shrinkage of spectral precision matrices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |