Optimized Point Addition Circuits for Elliptic Curve Discrete Logarithms

本文提出了一种用于优化素数域上椭圆曲线点加法的详细量子逻辑电路架构，与 Babbush 等人基于零知识证明的结果相比，在 secp256k1 上实现了 6.5% 至 10% 的 Toffoli 门数量减少，而仅导致了 1.5% 的微量量子比特使用量增加。

要点

想象一下你正在尝试破解一把极其复杂的锁。几十年来，数学家们一直知道一种特殊的“超级钥匙”（量子计算机）可以几乎瞬间打开这把锁，从而破解目前大多数互联网加密技术。这被称为秀尔算法（Shor's Algorithm）。

然而，制造这种超级钥匙极其昂贵且困难。它需要大量的“魔法能量”（量子资源）才能运作。这篇论文的目标是研究如何构建一个更小、更高效的版本。

以下是作者 André Schrottenloher 所取得的成就，通过日常类比进行的解析。

1. 核心问题：沉重的背包

把运行秀尔算法想象成徒步爬山。为了到达顶峰（破解代码），你需要背着一个装满物资（量子比特，或称“qubits”）的沉重背包。

• 以往的尝试： 其他研究人员最近制造了一个比以往任何时候都更轻的效率极高的背包。然而，他们对蓝图保密，使用了一种“魔术技巧”（零知识证明）来向大家证明这个背包很轻，却不展示它是如何制造出来的。
• 本论文的目标： 作者想要制造一个和那个秘密背包一样轻，但蓝图完全公开、让任何人都可以检查工作的背包。

2. 核心任务：在曲线上添加点

该算法的主要工作是在椭圆曲线上执行一个特定的数学操作，称为“点加法（point addition）”。

• 类比： 想象你正走在一个巨大的、弯曲的蹦床上。你需要根据一套规则从一个点跳到另一个点。完美完成这次跳跃是很困难的。
• 瓶颈： 跳跃中最难的部分是一个特定的动作，叫做“原地乘法（in-place multiplication）”。这就像是在你只能使用当前站立的空间进行数字乘法，而不能使用额外的空间来写草稿纸。

3. 解决方案：“两步舞步”

为了解决“没有草稿纸”的问题，作者使用了一个聪明的两步策略（基于一种称为扩展欧几里得算法的方法）：

• 第一步：记忆磁带（记录动作）
  计算机不直接进行繁重的计算并保留结果，而是首先将它“将会做出的动作”记录在一条长长的比特磁带上。它还没有进行实际的重体力劳动；它只是写下了指令。这条磁带出奇地短。
• 第二步：重构（回放动作）
  一旦磁带写好，计算机就会反向播放它。它利用磁带上的指令对数字进行实际的数学运算。
• 为什么这有帮助： 通过将“计划”与“执行”分离，计算机节省了大量的空间。这就像是在开始烹饪之前，先在便利贴上写下食谱，这样你就不用同时把所有的食材都抓在手里。

4. 捷径：“伪梅森（Pseudo-Mersenne）”素数

本文关注的是一种特定类型的锁，即 secp256k1（比特币所使用的）。这把锁具有特殊的形状。

• 类比： 想象一把普通的锁是一个完美的正方形。但比特币锁是一个被切掉了一个小角的正方形。
• 优化： 因为角被切掉了，打开这把锁所需的数学运算变得稍微容易了一些。作者设计了特殊的工具，利用这个“切掉的角”来跳过不必要的步骤。
  • 对于通用锁（任何素数），工具是标准的，且稍显沉重。
  • 对于比特币锁（secp256k1），工具是精简且更轻的，因为它们准确地知道角在哪里缺失。

5. 结果：一个稍微轻一点的背包

作者构建了这种新背包的完整“蓝图”并对其进行了测试。

• 空间（量子比特/Qubits）： 新背包比其他研究人员的秘密版本大约重了 1.5%。这是一个微小的权衡。
• 能量（逻辑门/Gates）： 然而，在运行所需的能量（Toffoli 门）方面，新背包的效率提高了 6.5% 到 10%。
• 可靠性： 作者证明了这个背包与秘密版本一样可靠。如果你尝试用随机输入来运行它，它几乎每次都能成功，就像那个秘密版本一样。

总结

简单来说，这篇论文是在说：“我们找到了破解现代加密技术所需的量子计算机的设计方法。我们不仅是靠猜测，还写下了精确的指令。我们的版本虽然体积稍大，但运行所需的能量比之前的‘秘密’版本更少，并且我们证明了它既适用于通用锁，也适用于比特币使用的特定锁。”

作者强调，这是一个逻辑性的设计（理论蓝图）。这并不意味着我们今天就能造出它，但它告诉了我们在量子计算机最终强大到足以尝试破解时，我们需要多少“魔法能量”。

技术摘要

问题陈述
本文研究了用于计算椭圆曲线离散对数（ECDL）的 Shor 算法的资源估算，这是对当前公钥密码学的直接威胁。虽然 Babbush 等人（arXiv 2026）最近的研究展示了对 secp256k1 曲线在门电路和量子比特数量上的显著降低，但他们依赖于零知识证明来验证其结果，而未公开底层的逻辑量子电路。这种透明度的缺失阻碍了可重复性和独立验证。本文旨在提供一个完全详细、可重复的逻辑量子电路架构，在实现与 Babbush 等人相当的效率的同时，明确揭示设计原则和实现细节。

方法论
作者采用了自顶向下的方法，从 Shor 算法的高层结构开始，逐步细化算术组件。优化的核心在于椭圆曲线在素数域上**窗口点加法（windowed point addition）**的实现。

1. 高层结构： 该算法利用带有量子比特回收（qubit recycling）的半经典傅里叶变换，将点乘运算 $|u, v\rangle|0\rangle \to |u, v\rangle|[u]P + [v]Q\rangle$ 简化为一系列窗口点加法序列。点采用仿射坐标表示。
2. 模内乘法（Modular In-Place Multiplication）： 点加法中最昂贵的运算是模内乘法 $|x, y\rangle \to |x, yx \pmod q\rangle$。作者改编了来自 [14] 的技术，将扩展欧几里得算法（EEA）解耦为两个不同的阶段：
   • 欧几里得算法（前向）： 该阶段不直接计算贝祖系数（Bézout coefficients），而是处理输入 $(q, x)$ 并输出一个编码了操作序列（交换、减法、除以 2）的“垃圾”位向量（garbage bit-vector）。这降低了空间复杂度。
   • 贝祖重构（后向）： 该阶段利用记录的操作序列和一对 $(y, 0)$ 来计算 $|y, yx^{-1} \pmod q\rangle$。通过逆向运行或使用特定输入，作者实现了模内乘法与求逆的同步完成。
3. 算术优化：
   • 空间与门的权衡： 作者根据算法不同阶段中辅助量子比特（ancilla qubits）的可用性，策略性地在 CDKM 加法器（低空间占用）和 Gidney 加法器（低门计数、高空间占用）之间进行切换。
   • 近似算术： 为了减少门计数，作者引入了近似算术电路。比较操作仅使用最高有效位（MSBs）而非全宽比较。这引入了失败概率，通过优化常数来管理该概率，以确保在随机输入上的成功率极高（具体而言，失败概率 $\le 2^{-13.3}$）。
   • 特定实例优化： 对于使用伪梅森素数（$q = 2^{256} - 4294968273$）的 secp256k1 曲线，模约减电路得到了进一步简化。作者利用形式为 $2^u - f$ 中微小的差异 $f$，用简单的位操作和 $f$ 的加法取代了昂贵的模减法。

核心贡献

• 可重复的电路架构： 本文详细说明了第一个针对 secp256k1 的完整规格化的逻辑量子电路，其效率达到了 Babbush 等人所声称的水平。代码已通过 Qarton 库实现并开源。
• 优化的资源计数： 作者提出了两种电路变体：
  • 空间优化型： 使用约 $4.36n + O(\sqrt{n})$ 个量子比特。
  • 门优化型： 使用约 $4.36n + O(\sqrt{n})$ 个量子比特，但降低了 Toffoli 门的数量。
• 通用变体： 提供了一个适用于任何素数域（而非仅限 secop256k1）的电路版本，尽管由于缺乏伪梅森优化，其门成本略高。
• 详细的成本分析： 本文提供了细粒度的 Toffoli 门成本分解，区分了 GCD 构建、贝祖重构和模算术组件。

结果
作者报告了 secp256k1 曲线（其中 $n=256$）的以下资源估算值：

• 量子比特数量：
  • 空间优化变体：1,192 个量子比特（相比之下，Babbush 等人为 1,175 个）。
  • 门优化变体：1,446 个量子比特（相比之下，Babbush 等人为 1,425 个）。
  • 这代表量子比特数量增加了约 1.5%。
• 门计数（Toffolis）：
  • 空间优化变体：$2^{21.19}$（约 $2.3 \times 10^6$）。
  • 门优化变体：$2^{20.83}$（约 $1.8 \times 10^6$）。
  • 这比 Babbush 等人的工作减少了 6.5% 到 10% 的 Toffoli 门数量。
• 完整算法成本： 对于完整的 secp256k1 Shor 算法，门优化变体需要约 $2^{25.78}$ 个 Toffoli 门和 1,462 个量子比特。这相比 Litinski（arXiv 2023）的工作有了显著改进，后者需要约 $2^{27.57}$ 个 Toffoli 门以及两倍数量的量子比特。

意义
本文的意义主要在于可重复性和透明度。通过提供显式的逻辑电路架构，作者允许密码学界验证破解椭圆曲线密码学的资源估算，而这些估算此前隐藏在零知识证明之后。这项工作证明，通过显式的设计选择（特别是将 EEA 分为记录阶段和重构阶段，并结合近似算术），可以实现相似甚至略优的效率。作者指出，他们的电路并非精确的，而是依赖于在随机输入上的高成功概率，这一特性与他们所复现的工作一致。结果证实，破解 secp256k1 的成本低于之前某些逻辑电路模型的估计，从而强化了向后量子迁移的紧迫性。