Perché l'esponenziazione modulare Montgomery non è considerata per l'uso nel factoring quantistico?

È noto che l'esponenziazione modulare (la parte principale di un'operazione RSA) è computazionalmente costosa e, per quanto ho capito, la tecnica dell'esponenziazione modulare Montgomery è il metodo preferito. L'esponenziazione modulare è anche in primo piano nell'algoritmo di factoring quantistico, ed è anche costoso lì.

Quindi: perché l'esponenziazione modulare Montgomery non è apparentemente presente nelle attuali subroutine dettagliate per il factoring quantistico?

L'unica cosa che posso immaginare è che ci sia un alto qubit in testa per qualche ragione non ovvia.

L'esecuzione della "esponenziazione modulare" di Montgomery tramite Google Scholar non produce risultati utili. Sono a conoscenza del lavoro di Van Meter e di altri sull'addizione quantistica e sull'esponenziazione modulare, ma l'esame dei loro riferimenti (devo ancora leggere questo lavoro) non mostra alcuna indicazione del fatto che i metodi Montgomery siano considerati lì.

L'unico riferimento che ho scoperto che sembra discutere di questo è in giapponese, che purtroppo non riesco a leggere, anche se apparentemente proviene da un convegno della conferenza del 2002. Una traduzione automatica produce pepite allegate di seguito che indicano che potrebbe esserci qualcosa di utile. Tuttavia, non riesco a trovare alcuna indicazione che questo sia stato seguito, il che mi fa pensare che l'idea sia stata a) considerata e quindi b) scartata.

Circuito quantistico nell'esecuzione dell'aritmetica Noboru Kunihiro

... In questo studio, ma richiede un qubit relativamente grande, proponiamo un circuito di esponenziazione modulare il tempo di calcolo quantico è breve. Montgomery Reduction [8] e metodo binario destro [9] Combinati, costituiscono un circuito Ru. Riduzione Montgomery è, scelto casualmente come un numero naturale, mod 2m dall'operazione, esegue l'operazione rimanente Se, modn operazioni in eliminazione. Ciò porterà alla riduzione dei tempi di calcolo ...

Applicazione della riduzione Montgomery 3.2 La riduzione Montgomery [8] è formulata come segue ... Questo algoritmo può restituire i valori corretti che possono essere facilmente confermati. MR (Y) chiede una legge 2m I polinomi con 2m di punti sono importanti e richiedono solo una divisione per. Inoltre, Montgomery Reduction in, ci sono diversi metodi di calcolo .... In generale, Reduction Montgomery non è una funzione uno a uno ...

... Il metodo proposto utilizza un metodo binario corretto, Montgomery Reducton ha una funzione che viene adottata. Rispetto al metodo convenzionale, caratterizzato da un piccolo componente del circuito hanno. l'errore qubit richiesto per avere molte aspettative può essere calcolato in meno tempo di calcolo Be. Il futuro, i circuiti di riduzione e controllo Montgomery specificamente NON descritti dal qubit realmente necessari Valutare il numero dovrebbe valutare il tempo di calcolo. Inoltre, ognuno sfruttando i risultati della ricerca, più che esponenziale modulare non aritmetico (divisione reciproca Euclide, ecc.) Anche rispetto alla configurazione pianificata di un circuito quantico efficiente.

... [8] PL Montgomery, "Moltiplicazione modulare senza divisione di prova", Mathematics of Computation, 44, 170, pp. 519-521, 1985 ...

Potresti pubblicare il titolo / riferimento giapponese originale?

Inoltre, potresti considerare di scrivere all'autore, supponendo che sia lo stesso ragazzo che è professore all'Università di Tokyo:

http://www.it.ku-tokyo.ac.jp/~kunihiro/

e quasi sicuramente risponderebbe.

Mi dispiace pubblicare questo come risposta, dovrebbe essere un commento ma a quanto pare non ho ancora il rappresentante per quello ...

EDIT: Quindi, ho dato un'occhiata al giapponese originale. Come prefazione, attualmente sono uno studente di dottorato nel dipartimento EE di U. Tokyo, originario degli Stati Uniti, e faccio traduzioni tecniche JA-> EN come lavoro part-time. Tuttavia, questa area tematica è ben al di fuori della mia zona di comfort, quindi per favore prendi la mia opinione con un granello di sale!

Fondamentalmente la conclusione (4) dice:

き き 持 な を な 回路 、 、 、 、 、 、 、 、 、 、 、 、 、 、 回路 、 回路 、 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特 特。 特 特 特 特 特 特 特って い る .qubit が 多 く 必要 と な る と い う 欠 点 は 持 つ が, よ り 少 な い 計算 時間 で 計算 が で き る と 期待 さ れ る.

[In questo documento] Abbiamo proposto un nuovo circuito quantistico per il calcolo dell'esponenza modulare. Il metodo proposto utilizza un metodo binario LR ed è anche caratterizzato dall'uso della riduzione Montgomery. Rispetto ai metodi precedenti, il metodo proposto richiede un minor numero di componenti per costruire il circuito. Il metodo proposto presenta tuttavia l'inconveniente di richiedere un gran numero di qubit, ma siamo fiduciosi che sarà computazionalmente efficiente (acceso: richiede pochissimo tempo di calcolo).

Ho provato a cercare documenti di follow-up in inglese e giapponese ma non ci sono riuscito. La mia ipotesi è che l'approccio non ha avuto successo, o il professore si è impegnato con qualcos'altro (sembra che questo fosse in giro quando ha cambiato università).

Penso che la tua scommessa migliore a questo punto, supponendo che tu voglia seguire il resto del percorso e ottenere una risposta concreta, è scrivere direttamente il professor Kunihiro (in inglese!)

Mi sono anche chiesto su questa domanda, poiché gli attuali approcci alla moltiplicazione modulare per il factoring quantistico usano una sottrazione di prova se c'è un overflow dopo ogni aggiunta o un approccio di divisione / sottrazione alla fine. Entrambi sembrano dispendiosi.

Sto lavorando su un'architettura quantistica per eseguire modexp usando la moltiplicazione Montgomery in questo momento. Non penso che il sovraccarico di spazio dovrebbe essere maggiore degli approcci precedenti, ma al momento non vedo la necessità di utilizzare la moltiplicazione di Karatsuba.

La moltiplicazione Montgomery in binario è abbastanza efficiente (bit-shifting e addizione). L'aggiunta del modulo e le somme spostate dipendono dal bit meno significativo (LSB) ad ogni passo, quindi questo sembra richiedere prima di loro in serie, per ottenere il tempo O (n).

Tuttavia, è possibile parallelizzare questa dipendenza dall'LSB usando le tabelle delle funzioni e componendole / restringendole in modo simile agli approcci carry-lookahead o alla descrizione di Kitaev di automi finiti paralleli nel suo libro (Kitaev, Shen, Vyalyi 2002). Questo passaggio richiede quasi sicuramente molte ancille, ma asintoticamente potrebbe essere reso O (log n) -depth.