Algorytm faktoryzacji Shora

Kwantowy algorytm Shora – algorytm kwantowy umożliwiający rozkład na czynniki pierwsze liczby naturalnej N w czasie $\mathrm {O} ((\log N)^{3})$ i wykorzystując pamięć $\mathrm {O} (\log N),$ przy wykorzystaniu komputera kwantowego. Algorytm ten stanowi teoretyczne zagrożenie dla powszechnie używanego w internecie kryptosystemu RSA. Klucz publiczny w RSA jest iloczynem dwóch dużych liczb pierwszych. Możliwość efektywnego odtworzenia tych liczb na podstawie klucza publicznego pozwalałaby poznać klucz prywatny i tym samym złamać cały szyfr.

Jak większość algorytmów kwantowych, algorytm Shora jest algorytmem probabilistycznym: zwraca poprawną odpowiedź jedynie z pewnym prawdopodobieństwem. Ponieważ jednak odpowiedź może być szybko sprawdzona, powtarzanie algorytmu umożliwia uzyskanie poprawnej odpowiedzi w sposób efektywny z dowolnie dużym prawdopodobieństwem.

Algorytm ten opublikował Peter Shor w 1994 roku. W 2001 roku grupa informatyków z firmy IBM i Uniwersytetu Stanford zademonstrowała jego działanie na 7-kubitowym komputerze kwantowym opartym o jądrowy rezonans magnetyczny. Dokonano wtedy rozkładu liczby $15\ =\ 3\cdot 5$ ^[1]. Faktoryzacji liczby $21$ dokonano w 2011 roku^[2].

Procedura realizacji edytuj

Na wejściu algorytmu dostajemy liczbę naturalną $N.$ Naszym zadaniem jest znalezienie liczby $p$ między $1$ a $N,$ która dzieli $N$ bez reszty.

Algorytm Shora składa się z dwóch części:

Sprowadzenia problemu faktoryzacji do problemu znajdowania rzędu elementu w grupie – realizowanego na klasycznym komputerze.
Znajdowania rzędu elementu za pomocą algorytmu kwantowego.

Część klasyczna edytuj

Wylosować liczbę $a<N.$
Obliczyć $NWD(a,N)$ – na przykład za pomocą algorytmu Euklidesa.
Jeśli $NWD(a,N)\neq 1,$ to został znaleziony nietrywialny dzielnik $N$ i można zakończyć część klasyczną.
W przeciwnym wypadku należy użyć podprocedury znajdującej $r,$ które jest okresem następującej funkcji:
$f(x)=a^{x}{\pmod {N}},$

czyli znaleźć najmniejsze naturalne $r,$ takie że $f(x+r)=f(x).$
Jeśli $r$ jest nieparzyste, wrócić do punktu 1.
Jeśli $a^{r/2}\equiv -1{\pmod {N}},$ wrócić do punktu 1.
Dzielnikiem $N$ jest $NWD(a^{r/2}\pm 1,N).$ Koniec algorytmu.

Część kwantowa: Znajdowanie okresu funkcji edytuj

Obwód kwantowy algorytmu faktoryzacji Shora

Przygotować dwa rejestry kwantowe: wejściowy i wyjściowy, każdy z $\log _{2}N$ kubitów, i zainicjować je na stan:
$N^{-1/2}\sum _{x}|x\rangle \,|0\rangle$

dla $x$ od $0$ do $N-1.$
Skonstruować układ realizujący funkcję $f(x)$ w postaci kwantowej i zaaplikować ją do powyższego stanu, otrzymując:
$N^{-1/2}\sum _{x}|x\rangle \,|f(x)\rangle$
Zaaplikować odwróconą kwantową transformatę Fouriera do rejestru wejściowego. Transformata ta jest zdefiniowana wzorem:
$U_{QFT}\left|x\right\rangle =N^{-1/2}\sum _{y}e^{-2\pi ixy/N}\left|y\right\rangle$

Efektem tej operacji będzie zatem stan:

$N^{-1}\sum _{x}\sum _{y}e^{-2\pi ixy/N}\left|y\right\rangle \left|f(x)\right\rangle$
Dokonać pomiaru, otrzymując $y$ w rejestrze wejściowym i $f(x_{0})$ w rejestrze wyjściowym.
Ponieważ $f$ jest okresowa, prawdopodobieństwo uzyskania pary $y,f(x_{0})$ wynosi:

$\left|N^{-1}\sum _{x:\,f(x)=f(x_{0})}e^{-2\pi ixy/N}\right|^{2}=N^{-2}\left|\sum _{b}e^{-2\pi i(x_{0}+rb)y/N}\right|^{2}$

Można obliczyć, że to prawdopodobieństwo jest tym większe, im wartość $yr/N$ jest bliższa liczbie całkowitej.
Przekształcić $y/N$ w nieskracalny ułamek i wziąć jego mianownik $r'$ jako kandydata na $r.$
Sprawdzić czy $f(x)=f(x+r').$ Jeśli tak, algorytm jest zakończony.
Jeśli nie, sprawdź innych kandydatów na $r,$ przez użycie wartości blisko $y,$ albo wielokrotności $r'.$ Jeśli któryś z kandydatów działa, algorytm jest zakończony.
Jeśli nie udało się znaleźć dobrego $r,$ wróć do punktu 1.

Analiza algorytmu edytuj

Część klasyczna edytuj

Liczby naturalne mniejsze od $N$ i względnie pierwsze z $N$ z mnożeniem modulo $N$ tworzą grupę skończoną. Każdy element $a$ należący do tej grupy ma więc jakiś skończony rząd $r$ – najmniejszą liczbę dodatnią taką że:

a^{r}\equiv 1{\pmod {N}}.

Zatem $N|(a^{r}-1).$ Jeśli potrafimy obliczyć $r$ i jest ono parzyste, to:

a^{r}-1=(a^{r/2}-1)(a^{r/2}+1)\equiv 0{\pmod {N}}

\Rightarrow N\ |(a^{r/2}-1)(a^{r/2}+1).

Skoro $r$ jest najmniejszą liczbą taką że $a^{r}\equiv 1,$ to $N$ nie może dzielić $(a^{r/2}-1).$ Jeśli $N$ nie dzieli również $(a^{r/2}+1),$ to $N$ musi mieć nietrywialny wspólny dzielnik z obiema liczbami: $(a^{r/2}-1)$ i $(a^{r/2}+1).$

Otrzymujemy w ten sposób jakąś faktoryzację $N.$ Jeśli $N$ jest iloczynem dwóch liczb pierwszych, jest to jego jedyna faktoryzacja.

Część kwantowa edytuj

Algorytm znajdowania okresu funkcji bazuje na zdolności komputera kwantowego do jednoczesnych obliczeń na wielu stanach. Obliczamy wartość funkcji jednocześnie dla wszystkich wartości $x,$ uzyskując superpozycję wszystkich wartości.

Fizyka kwantowa nie umożliwia nam jednak bezpośredniego odczytania tych informacji. Każdy pomiar niszczy superpozycję, pozwalając nam odczytać tylko jedną z wartości. Zamiast odczytywać te wartości, dokonujemy transformacji Fouriera – która zamienia wartości funkcji na wartości jej okresów. Późniejszy odczyt daje z dużym prawdopodobieństwem wartość bliską jakiemuś okresowi funkcji.

Do wykonania kwantowego algorytmu niezbędna jest kwantowa implementacja trzech operacji:

Stworzenia superpozycji stanów.
Można tego łatwo dokonać aplikując bramki Hadamarda do wszystkich kubitów w rejestrze.
Funkcji $f$ jako funkcji kwantowej.
Używany do tego jest algorytm szybkiego potęgowania, w wersji modulo $N.$ Należy zauważyć, że ten krok jest najtrudniejszy w implementacji, i wymaga dodatkowych kubitów i największej ilości kwantowych bramek logicznych.
Odwrotnej kwantowej transformacji Fouriera.
Używając kontrolowanych bramek obrotu i bramek Hadamarda, Shor zaprojektował układ, który realizuje to przy użyciu $\mathrm {O} ((\log N)^{2})$ bramek.

Po zastosowaniu tych przekształceń, pomiar stanu rejestru da przybliżoną wartość okresu $r.$

Przykładowo załóżmy dla uproszczenia, że istnieje takie $y,$ że $yr/N$ jest całkowite. Wtedy prawdopodobieństwo uzyskania dobrego $y$ jest równe 1. Aby to pokazać, wystarczy zauważyć, że

e^{-2\pi ibyr/N}=1

dla dowolnego całkowitego $b.$

Zatem suma czynników dających wartość $y$ będzie równa $N/r,$ bo istnieje $N/r$ różnych wartości $b$ dających ten sam wykładnik. Prawdopodobieństwo każdego takiego $y$ wynosi zatem $1/r^{2}.$ Istnieje $r$ różnych $y$ takich, że $yr/N$ jest całkowite, oraz $r$ różnych możliwych wartości $f(x_{0}).$ W sumie prawdopodobieństwo uzyskania dobrego $r$ wynosi zatem 1.

Przypisy edytuj

↑ Experimental realization of Shor’s quantum factoring algorithm using nuclear magnetic resonance. cryptome.org. [zarchiwizowane z tego adresu (2005-06-28)]..
↑ Enrique Martín-López, Anthony Laing, Thomas Lawson. [1111.4147] Experimental realisation of Shor’s quantum factoring algorithm using qubit recycling. „Nature Photonics”. 6, s. 773–776, 2012. arxiv.org. DOI: 10.1038/nphoton.2012.259. arXiv:1111.4147. (ang.).

Literatura edytuj

Oryginalna praca Shora:

Peter W. Shor. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. „SIAM J.Sci.Statist.Comput. 26”. 26 (5), s. 1484–1509, 30 Aug 1995 (arxiv) | 1997 (SIAM). DOI: 10.1137/S0097539795293172. arXiv:quant-ph/9508027.

Podręcznik obliczeń kwantowych:

Quantum Computation and Quantum Information, Michael A. Nielsen, Isaac L. Chuang, Cambridge University Press, 2000

Linki zewnętrzne edytuj

Scott Aaronson, "Shor, I’ll do it" (popularne objaśnienie algorytmu Shora) (ang.)

[1] Experimental realization of Shor’s quantum factoring algorithm using nuclear magnetic resonance. cryptome.org. [zarchiwizowane z tego adresu (2005-06-28)]..

[2] Enrique Martín-López, Anthony Laing, Thomas Lawson. [1111.4147] Experimental realisation of Shor’s quantum factoring algorithm using qubit recycling. „Nature Photonics”. 6, s. 773–776, 2012. arxiv.org. DOI: 10.1038/nphoton.2012.259. arXiv:1111.4147. (ang.).

[1]

[2]