PROFILBARU.COM

Алгоритм Шора — квантовий алгоритм факторизації (розкладання числа на прості множники), що дозволяє розкласти число $M$ за час $O(\log ^{3}M)$ , використовуючи $O(\log M)$ логічних кубітів.

Алгоритм Шора був розроблений Пітером Шором в 1994 році. Сім років по тому, в 2001 році, його працездатність була продемонстрована групою фахівців IBM. Число 15 було розкладено на множники 3 і 5 за допомогою квантового комп'ютера з 7 кубітами.

Про алгоритм

Значущість алгоритму полягає в тому, що з його допомогою (при використанні квантового комп'ютера з достатньою кількістю логічних кубітів) стає можливим злом деяких криптографічних систем з відкритим ключем. Наприклад, в RSA частиною відкритого ключа є число $M$ , яке є добутком двох великих простих чисел. Один із способів зламати шифр RSA — знайти множники $M$ . При досить великому $M$ це практично неможливо зробити використовуючи відомі класичні алгоритми. Найкращі з відомих класичних детермінованих доведених алгоритмів факторизації, такі як метод квадратичних форм Шенкса і алгоритм Полларда — Штрассена^[ru], вимагають часу порядку $M^{1/4}$ . Також метод квадратичних форм Шенкса може працювати за час порядку $M^{1/5}$ , якщо вірна Гіпотеза Рімана. Серед імовірнісних алгоритмів лідером факторизації є спеціальний метод решета числового поля^[en], який здатний з ймовірністю 1/2 знайти простий дільник за субекспоненціальний час $\exp \left(\left({\frac {32}{9}}\cdot \log M\right)^{1/3}\cdot (\log \log M)^{2/3}\right).$ Алгоритм Шора, використовуючи можливості квантових комп'ютерів, здатний здійснити факторизацію числа не просто за поліноміальний час, а за час, що не набагато перевершує час множення цілих чисел (тобто практично так само швидко, як відбувається саме шифрування). Таким чином, реалізація квантового комп'ютера, що масштабується, поставить хрест на значній частині сучасного криптографічного захисту. (Мова не тільки про схему RSA, що прямо спирається на складність факторизації, а й про інші схеми, які квантовий комп'ютер здатний зламати аналогічним чином.)

Алгоритм Шора має ймовірнісний характер. Перше джерело випадковості вбудоване в класичний вірогіднісне зведення розкладання на множники до знаходження періоду деякої функції. Друге джерело з'являється з необхідності спостереження квантової пам'яті, яке також дає випадкові результати^[1].

Принцип роботи алгоритму Шора

Основа алгоритму Шора: здатність інформаційних одиниць квантових комп'ютерів — кубітів — приймати кілька значень одночасно і перебувати в стані «квантової заплутаності». Роботу алгоритму Шора можна розділити на 2 частини: перша — класичне зведення розкладання на множники до знаходження періоду деякої функції, друга — квантове знаходження періоду цієї функції. Нехай:

M

— число, яке ми хочемо розкласти на множники (воно не повинно бути цілим степенем простого числа);

N

— розмір регістра пам'яті, який використовується (без врахування додаткової пам'яті). Бітовий розмір цієї пам'яті

n=\log _{2}N

приблизно в 2 рази більше розміру

M

. Точніше,

M^{2}<N=2^{n}<2M^{2}

;

t

— випадковий параметр такий, що

1<t<M

і

\gcd(t,M)=1

(де

\gcd

— найбільший спільний дільник).

Відзначимо, що $t$ , $N$ , $M$ — фіксовані. В алгоритмі Шора використовується стандартний спосіб зведення задачі факторизації до задачі пошуку періоду $r$ функції від випадково підібраного числа $t$ ^[2].

Класична частина алгоритму

Мінімальне $r$ таке, що $t^{r}\equiv 1\mod M,$ — це порядок $t$ по модулю $M.$

Порядок $r$ є періодом функції $f(x)=t^{x}\mod M,$ де $x=0,1,2,\ldots ,N-1.$ Якщо можна ефективно обчислити $r$ як функцію від $t$ , то можна знайти власний дільник $M$ за час, обмежений поліномом від $\log _{2}M$ з ймовірністю $\geqslant 1-M^{-m}$ для будь-якого фіксованого $m$ .

Припустимо, що для даного $t$ період $r$ парний $(r\equiv 0\mod 2)$ і задовольняє умові

t^{\frac {r}{2}}\not \equiv -1\mod M.

Тоді

\gcd(t^{\frac {r}{2}}+1,M)

— власний дільник

M.

Функція

\gcd

вирішується за поліноміальний час.

Ймовірність виконання цієї умови $\geqslant 1-{\frac {1}{2^{k-1}}},$ де $k$ — число різних непарних простих дільників $M$ , отже, $\geqslant {\frac {1}{2}}$ в даному випадку. Тому хороше значення $t$ з ймовірністю $\geqslant 1-M^{-m}$ знайдеться за $O(\log M)$ спроб. Найдовше обчислення в одній спробі — обчислення $t^{\frac {r}{2}}$ ^[3]^[4].

Квантова частина алгоритму

Для здійснення квантової частини алгоритму необхідна обчислювальна схема, що складається з $2$ -х квантових регістрів $X$ і $Y$ . Спочатку, кожен з них складається із сукупності кубітів в нульовому булевому стані $|0\rangle .$

Регістр $X$ використовується для розміщення аргументів $x$ функції $f(x).$ Регістр $Y$ (допоміжний) використовується для розміщення значень функції $f(x)$ з періодом $r$ , що підлягають обчисленню.

Квантове обчислення складається з 4 кроків^[5]:

Перший крок. На першому кроці за допомогою операції Уолша - Адамара, яка здійснює перетворення кубіта за допомогою оператора $H={\frac {1}{\sqrt {2}}}{\begin{bmatrix}1&1\\1&-1\end{bmatrix}},$ первісний стан $|0\rangle \$ регістра $X$ перекладається в рівноймовірнісну суперпозицію всіх булевих станів $X$ . Другий регістр $Y$ залишається в стані $|0\rangle .$ В результаті виходить наступний стан для системи двох регістрів:
${\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,0\rangle .$
Другий крок. Нехай $U_{f}$ — унітарне перетворення, яке переводить $|x,0\rangle$ в $|x,f(x)\rangle .$ На другому кроці застосовується унітарне перетворення до системи двох регістрів. Виходить наступний стан системи:

{\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,0\rangle \quad {\xrightarrow {U_{f}}}\quad {\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,t^{x}\ {\mbox{mod}}\ M\rangle ,

тобто між станами обох регістрів утворюється певний зв'язок.

Третій крок. Квантове Фур'є-перетворення^[en] є унітарним перетворенням стану квантового регістра, що описується $N$ -мірним вектором стану виду $\sum \limits _{x=0}^{N-1}f(x)|x\rangle ,$ в інший стан $\sum \limits _{k=0}^{N-1}{\tilde {f}}(k)|k\rangle$ :

\mathrm {QFT} _{N}:\sum \limits _{x=0}^{N-1}f(x)|x\rangle \ \Rightarrow \sum \limits _{k=0}^{N-1}{\tilde {f}}(k)|k\rangle \ ,

де амплітуда перетворення Фур'є

f(x)

має вигляд

{\tilde {f}}(k)={\frac {1}{N}}\sum \limits _{x=0}^{N-1}\exp(2\pi \ i\ kx/N)f(x).

У двовимірній

x,k

-площині перетворення Фур'є відповідає повороту осей координат на 90°, яке веде до перетворення шкали

x

в шкалу

k

. На третьому кроці над станом першого регістра здійснюється перетворення Фур'є, і виходить

{\frac {1}{N}}\sum \limits _{x=0}^{N-1}\sum \limits _{k=0}^{N-1}\exp(2\pi \ i\ kx/N)|k,t^{x}{\bmod {\ }}M\rangle .

Четвертий крок. На четвертому кроці виконується вимірювання першого регістра $X$ щодо ортогональної проєкції^[ru] виду:

|0,0\rangle \otimes I,\quad |1,1\rangle \otimes I,\quad \dots ,\quad |N-1,N-1\rangle \otimes I,

де

I

— тотожний оператор на гільбертовому просторі другого регістра

Y

.

В результаті виходить $|k,t^{k}{\bmod {M}}\rangle$ з ймовірністю^[2]

\left|{\frac {1}{N}}\sum \limits _{x:\ t^{x}\equiv t^{k}{\bmod {M}}}\exp(2\pi \ i\ kx/N)\right|^{2}.

На тій частині прогону, що залишилась, працює класичний комп'ютер:

Знаходиться найкраще наближення (знизу) до ${\frac {k}{N}}$ зі знаменником $r'<M<{\sqrt {N}}:$
$\left|{\frac {k}{N}}\ -{\frac {d'}{r'}}\right|<{\frac {1}{2N}}.$
Пробуємо $r'$ $r'$ в ролі $r$ $r$ :
- Якщо $r'\equiv 0\mod 2$ , то слід обчислити $\gcd(t^{\frac {r'}{2}}\pm 1,M).$
- Якщо $r'$ непарне, або якщо $r'$ парне, але власний дільник $M$ невиявлений, то слід повторити прогін $O(\log \log M)$ раз з тим же самим $t$ . У разі невдачі, необхідно змінити $t$ і почати новий прогін алгоритму^[3]^[4].

Деякою мірою визначення періоду функції за допомогою перетворення Фур'є аналогічне вимірюванню періоду кристалічної ґратки методом рентгенівської або нейтронної дифракції. Щоб визначити період $r,$ не потрібно обчислювати всі значення $f\left(x\right).$ У цьому сенсі задача близька до алгоритму Дойча — Йожи, в якому важливо знати не всі значення функції, а тільки деякі її властивості^[2].

Знаходження періоду функції в алгоритмі

Нехай $F$ — функція з невідомим періодом $r:$

F:|x,0\rangle \ \rightarrow |x,f(x)\rangle \ f:Z\rightarrow Z_{2^{m}}\ r<2^{n}.

Щоб визначити період $r,$ потрібні два регістра з розмірами $2n$ і $m$ кубітів, які спочатку повинні бути в стані $|0,0\rangle .$

На першому етапі виконується одностороння суперпозиція всіх базисних векторів першого регістра з використанням оператора $U$ наступного вигляду:

U|0,0\rangle \ =\sum \limits _{i=0}^{N-1}c_{i}|i,0\rangle \

, де

|c_{i}|={\frac {1}{\sqrt {N}}}

і

N=2^{2n}.

Тут використовується псевдоперетворення Адамара^[ru] $H_{1}={\begin{bmatrix}2&1\\1&1\end{bmatrix}}$ . Застосувавши $F$ до поточного стану, отримуємо:

|\psi \rangle =FH_{1}|0,0\rangle =F{\frac {1}{2^{n}}}\sum \limits _{i=0}^{N-1}|i,0\rangle ={\frac {1}{2^{n}}}\sum \limits _{i=0}^{N-1}|i,f(i)\rangle .

Вимірювання другого регістра з результатом $k=f(s),$ де $s<r,$ призводить стан до

|\psi '\rangle =\sum \limits _{j=0}^{[N/r]-1}c_{j}'|rj+s,k\rangle ,\qquad

де

c_{j}'=\left[{\frac {N}{r}}\right]^{-1/2}.

Після вимірювання стану $|\psi '\rangle$ перший регістр складається тільки з базисних векторів виду $|rj+s\rangle$ таких, що $f(rj+s)=f(s)$ для всіх $j.$ Тому він має дискретний однорідний спектр. Неможливо прямо отримати період $r$ або кратне йому число, вимірюючи перший регістр, тому що тут $s$ — випадкова величина. Тут застосовується дискретне перетворення Фур'є виду

\mathrm {DFT:} |x\rangle \rightarrow {\frac {1}{\sqrt {N}}}\sum \limits _{y=0}^{N-1}e^{{\frac {2\pi i}{N}}xy}|y\rangle

на регістр, так як ймовірність спектра в перетвореному стані інваріантна щодо зміщення (перетворюються тільки фази, а не абсолютні значення амплітуд).

|\psi ''\rangle =\mathrm {DFT} |\psi '\rangle =\sum \limits _{i=0}^{N-1}c_{i}''|i,k\rangle .

c_{i}''={\frac {\sqrt {r}}{N}}\sum \limits _{j=0}^{p-1}\exp \left({\frac {2\pi i}{N}}i(jr+s)\right)={\frac {\sqrt {r}}{N}}e^{\varphi _{i}}\sum \limits _{j=0}^{p-1}\exp \left({\frac {2\pi i}{N}}ijr\right),

де

\varphi _{i}=2\pi i{\frac {is}{N}}\quad

і

\quad p=\left[{\frac {N}{r}}\right].

Якщо $N=2^{2n}$ кратне $r$ , тоді $c_{i}''={\frac {e^{\varphi _{i}}}{\sqrt {r}}},$ якщо $i$ кратне ${\frac {N}{r}},$ і $c_{i}''=0$ в іншому випадку. Навіть якщо $r$ не є ступенем числа $2$ , то спектр $|\psi ''\rangle$ показує окремі піки з періодом ${\frac {N}{r}},$ бо

\lim _{n\to \infty }{\frac {1}{n}}\sum \limits _{k=0}^{n-1}e^{2\pi ik\alpha }={\begin{cases}1\ \ ,\alpha \in Z\\0\ \ ,\alpha \notin Z\\\end{cases}}

Для першого регістра використовується $2n$ кубітів, коли $r<2^{n},$ бо це гарантує принаймні $2^{n}$ елементів в наведеній сумі, і таким чином ширина піків буде порядку $O(1).$

Якщо тепер обчислити перший регістр, то вийде значення $c,$ близьке до ${\frac {\lambda N}{r}},$ де $\lambda \in Z_{r}.$ Воно може бути записано як ${\frac {c}{N}}=c\cdot 2^{-2n}\approx {\frac {\lambda }{r}}.$ Це зводиться до знаходження апроксимації ${\frac {a}{b}},$ де $a,b<2^{n},$ для конкретного числа двійкової крапки $c\cdot 2^{-2n}.$ Для вирішення цієї задачі використовуються ланцюгові дроби.

Оскільки форма раціонального числа не єдина в своєму роді, то $\lambda$ і $r$ визначаються як ${\frac {a}{b}}={\frac {\lambda }{r}},$ якщо $\operatorname {gcd} (\lambda ,r)=1.$ Імовірність того, що обидва числа $\lambda$ і $r$ прості, більше ніж ${\frac {1}{\ln r}},$ тому, щоб ймовірність успіху була близька до одиниці, необхідно лише $O(n)$ спроб^[6]^[5].

Дискретні логарифми

Нехай дано просте $p$ з твірним $g$ , де $1<g<p-1$ , припустимо, що $x=g^{r}{\pmod {p}}$ , для деякого r, і ми хочемо обчислити r, тобто дискретний логарифм: $r=\log _{g}x{\pmod {p-1}}$ . Розглянемо абелеву групу $\left(\mathbb {Z} _{p}\right)^{\times }\times \left(\mathbb {Z} _{p}\right)^{\times }$ , де кожен множник відповідає множенню по модулю ненульових значень, припускаючи що $p$ є простим. Тепер розглянемо функцію

f(a,b)=g^{a}x^{-b}{\pmod {p}}.

Це дає нам абелеву проблему прихованої підгрупи, бо f відповідає гомоморфізму груп. Ядро відповідає дільникам (r, 1). Отже, якщо ми можемо знайти ядро, ми можемо знайти r.

У популярній культурі

В телесеріалі Зоряна брама: Всесвіт, провідний вчений, доктор Ніколас Раш, сподівався використати алгоритм Шора щоб зламати мастеркод корабля Доля. Він викладав курс квантової криптографії в Університет Каліфорнії, Берклі, в якому вивчався алгоритм Шора.

У анімаційному фільмі Літні війни^[en], персонаж Кендзі Коїсо читає статтю під назвою «Алгоритм факторизації Шора» під час подорожі в поїзді, передбачаючи його здатність розуміти та обчислювати складні рівняння.

У телесеріалі Теорія великого вибуху це було згадано в змаганні за Кубок з фізики в 1-му сезоні, 13-й серії.

Див. також

2017 року Даніель Джуліус Бернстайн запропонував алгоритм факторизації, відомий як GEECM, який вважається "в багатьох випадках набагато швидшим, ніж алгоритм Шора^[7].
Квантовий комп'ютер

Примітки

↑ Beckman, Chari, Devabhaktuni et al., 1996.
↑ ^а ^б ^в Валієв, 2004.
↑ ^а ^б Feynman, 1986.
↑ ^а ^б Feynman, 1982.
↑ ^а ^б Shor, 1997.
↑ Shor, 1994.
↑ Bernstein, Daniel J.; Heninger, Nadia; Lou, Paul; Valenta, Luke (2017). Post-quantum RSA (PDF). International Workshop on Post-Quantum Cryptography. Springer: 311—329. Архів (PDF) оригіналу за 20 квітня 2017. Процитовано 29 січня 2018.

Література

Feynman R. Simulating Physics with Computers // International Journal of Theoretical Physics. — 1982. — С. 467–488.
Feynman R. Quantum mechanical computers // Foundations of Physics. — 1986. — С. 507–531.
Beckman D., Chari A. N., Devabhaktuni S. et al. Efficient networks for quantum factoring // Physical Review A: Atomic, Molecular and Optical Physics. — 1996. — С. 1034–1063.
Shor P. W. Algorithms for Quantum Computation: Discrete Logarithms and Factoring // Foundations of Computer Science, 1994 Proceedings., 35th Annual Symposium on. — 1994. — С. 124–134.
Shor P. W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // Foundations of Computer Science : conference Publications. — 1997. — С. 1484–1509.
Валиев К. А., Кокин А. А. Квантовые компьютеры: надежды и реальность. — Ижевск : РХД, 2004. — 320 с.