[发明专利]SM4算法的量子实现电路

说明书

本发明涉及一种SM4算法的量子实现电路，具体包括利用基于矩阵分解原理的启发式算法生成SM4算法线性子部件L以及L’的量子实现电路，同时，基于对SM4算法S盒经典实现的量子化设计，改进了SM4算法非线性部件T以及T’的量子实现电路，分别针对密钥扩展算法和轮展开设计了一种有效减少量子比特使用数量的优化实现电路。本发明的SM4算法量子实现电路中，线性部件无需引入额外的量子辅助比特并且实现代价较低，非线性部件无需引入额外的量子存储比特保存S盒的输出,同时本发明的SM4算法的量子实现电路所需的量子存储比特目前已知最少。因此，本发明有效的降低了在量子应用场景下实现SM4算法的电路大小以及实现成本。

技术领域

本发明涉及SM4算法的量子优化实现，具体涉及一种SM4算法的量子实现电路。

背景技术

量子计算机具有天然的并行计算能力,这种特性给经典密码算法的安全性带来一定威胁，因此，研究经典密码算法的量子安全特性一直是后量子时代的热点。SM4算法是我国公布的商用分组密码算法, 其流程如图1所示。自2012年被制定为行业标准公开以来,SM4算法已经得到了更为广泛的应用。

美国国家标准与技术研究院（NIST）将密码算法的量子安全等级定义为与对其进行密钥穷举攻击所需的量子资源有关，包括该攻击所需的量子逻辑门数量、量子比特数等，这使得研究密码算法的量子优化实现具有极其重要的意义。

量子电路要求可逆，并分别使用Toffoli门和CNOT门模拟经典电路中的与运算和异或运算。因此，对于密码算法的线性子部件，可仅使用CNOT门构造其量子实现，而对于其非线性子部件（即S盒），则可由Toffoli门、CNOT门等通用量子逻辑门构造其量子实现。目前研究对称密码算法量子实现时一般采用LUP分解的方法实现算法线性层，然而该方法所需异或操作较多。同时，直接将非线性子部件的经典实现转换为量子实现需使用较多量子比特。鉴于目前大型通用量子计算机远未普及，并且Toffoli门的实现代价远比CNOT门、Hadamard门等的实现代价大，使用更少量子比特并尽可能减少量子电路中Toffoli门的数量一直是研究对称密码算法量子优化实现的目标。

发明内容

本发明要解决的技术问题是针对以上不足，提供一种SM4算法的量子实现电路，利用基于矩阵分解原理的启发式算法生成线性变换的自更新实现，节约电路所需量子辅助比特以及CNOT门来降低密码算法中线性变换L和L’的实现成本以及所需电路面积,并且改进SM4算法非线性部件中合成置换T和T’的量子实现方案来减少量子比特的使用数量，从而达到优化整体密码算法量子实现电路的目的。

为解决以上技术问题，本发明采用以下技术方案：