Чому не використовується модульна експоненція Монтгомері для використання в квантовому факторингу?

Добре відомо, що модульна експоненція (основна частина операції RSA) обчислювально дорога, і, наскільки я розумію, переважним методом є методика модульної експоненції Монтгомері . Модульна експоненція також чітко представлена ​​в алгоритмі квантового факторингу, і це також дорого.

Отже: чому в сучасних детальних підпрограмах для квантового факторингу, очевидно, не існує модульної експоненції Монтгомері?

Єдине, що я можу собі уявити, - це високий кубіт накладних витрат з якоїсь не очевидної причини.

Запуск квантової «модульної експоненції» через Google Scholar не дає корисних результатів. Мені відомо про роботу Ван Метера та інших людей щодо квантового додавання та модульної експоненції, але вивчення їх посилань (я ще читав цю роботу) не свідчить про те, що методи Монтгомері там розглядаються.

Я знайшов єдине посилання , яке, як видається, обговорює це на японській мові, яке я, на жаль, не можу прочитати, хоча, мабуть, це є результатом конференції 2002 року. У машинному перекладі з’являються додані нижче самоски, які вказують, що може бути щось корисне. Однак я не можу знайти жодних ознак того, що це було продовжено, що змушує мене думати, що ідея була а) розглянута, а потім б) відкинута.

Квантовий контур у виконанні арифметики Нобору Кунігіро

... У цьому дослідженні, але вимагає відносно великого кубіту, ми пропонуємо модульний обчислювальний контур модульної експоненції короткий. Скорочення Монтгомері [8] та правильний бінарний метод [9] У поєднанні вони складають ланцюг Ru. Скорочення Монтгомері, m випадковим чином обране як натуральне число, mod 2m за допомогою операції, виконують операцію, що залишилася If, mod n операції з усунення. Це призведе до скорочення часу на обчислення ...

Застосування 3.2 Скорочення Монтгомері Скорочення Монтгомері [8] формулюється так: Цей алгоритм може повернути правильні значення, легко підтвердити. ЗР (Y) він просить закон 2 м. Поліноми з 2 м балів є важливими і вимагає лише ділення на. Крім того, для зменшення Монтгомері існують різні методи обчислення .... Загалом, скорочення Монтгомері не є функцією "один на один" ...

... У запропонованому методі використовується правильний бінарний метод, Монтгомері Редуктон має особливість, яка прийнята. Чим звичайний метод, що характеризується невеликою складовою ланцюга Have. Кубітська помилка, яка вимагає мати багато очікувань, може бути обчислена за менший час обчислення Be. Майбутнє, схема скорочення та управління Монтгомері, спеціально НЕ описана кубітом, дійсно необхідна Оцінка кількості, як очікується, для оцінки часу обчислення. Крім того, кожен, скориставшись результатами досліджень, більше, ніж модульна експоненціація неарифметики (взаємний поділ Евкліда та ін.) Також щодо запланованої конфігурації ефективного квантового кола.

... [8] П.Л. Монтгомері, "Модульне множення без пробного поділу", Математика обчислень, 44, 170, с. 519-521, 1985 ...

Чи можете ви опублікувати оригінал японської назви / довідки?

Крім того, ви можете розглянути можливість просто писати автору - якщо припустити, що це той самий хлопець, який він є професором університету Токіо:

http://www.it.ku-tokyo.ac.jp/~kunihiro/

і майже напевно відповів би.

Вибачте, щоб опублікувати це як відповідь, це повинен бути коментар, але у мене поки що немає відповіді на це, мабуть, ...

EDIT: Отже, я подивився на оригінального японця. В якості передмови, я зараз докторант кафедри ЗНО в У. Токіо, родом із США, і займаюся технічним перекладом JA-> EN як неповна робота. Однак ця тематична область знаходиться далеко поза моєю зоною комфорту, тому, будь ласка, прийміть мою думку із зерном солі!

В основному висновок (4) говорить:

Бінарний метод べ き 乗 剰 演算 を を 行 う 量子 、 向 き き き う 要素 の の の 方式 来 来 来 従 来 従 り 従 従 従 従 従。。 従 従。。 従 従 従 従て い る 。qubit が 多 く 必要 と な る と い う 点 は 持 つ が 、 よ り な い 計算 時間 で が で き る る と さ れ る る

[У цій роботі] Ми запропонували нову квантову схему для обчислення модульної експоненції. Запропонований спосіб використовує бінарний метод LR, а також характеризується використанням скорочення Монтгомері. У порівнянні з попередніми методами пропонований спосіб вимагає меншої кількості компонентів для побудови схеми. Запропонований метод, однак, має недолік, що вимагає великої кількості кубітів, але ми впевнені, що він буде обчислювально ефективним (освітлений: вимагає дуже мало часу на обчислення).

Я намагався шукати відповідні подальші документи англійською та японською мовами, але не вдався. Я здогадуюсь, що підхід виявився невдалим, або професор зайнявся чимось іншим (схоже, це було навколо, коли він перейшов на університети).

Я думаю, що найкраще робити ставку, якщо ви хочете прослідкувати решту шляху та отримати конкретну відповідь, - написати професору Кунігіро безпосередньо (англійською мовою!)

Я також замислювався над цим питанням, оскільки сучасні підходи до модульного множення для квантового факторингу використовують або пробне віднімання, якщо є переповнення після кожного додавання, або підхід ділення / віднімання в кінці. Обидва вони здаються марними.

Я зараз працюю над квантовою архітектурою для виконання modexp, використовуючи множення Монтгомері. Я не думаю, що простір не повинен бути більшим, ніж попередні підходи, але я не бачу необхідності використовувати множення Карацуби в даний час.

Множення Монтгомері на двійкове досить ефективне (зміщення бітів та додавання). Додавання модуля та зміщених сум залежать від найменш значущого біта (LSB) на кожному кроці, тому, схоже, це вимагає перед ними послідовно, щоб отримати O (n) час.

Однак ви можете паралелізувати цю залежність від LSB, скориставшись функціональними таблицями та склавши / звужуючи їх, подібні до підходів, що переносяться, або опис Кітаєва про паралельні кінцеві автомати в його книзі (Kitaev, Shen, Vyalyi 2002). Цей крок, безумовно, вимагає багато допоміжних елементів, але асимптотично це може бути зроблено O (log n) -depth.