Algorytm faktoryzacji Shora

Kwantowy algorytm Shora – algorytm kwantowy umożliwiający rozkład na czynniki pierwsze liczby naturalnej N w czasie $\mathrm {O} ((\log N)^{3})$ i wykorzystując pamięć $\mathrm {O} (\log N),$ przy wykorzystaniu komputera kwantowego. Algorytm ten stanowi teoretyczne zagrożenie dla powszechnie używanego w internecie kryptosystemu RSA. Klucz publiczny w RSA jest iloczynem dwóch dużych liczb pierwszych. Możliwość efektywnego odtworzenia tych liczb na podstawie klucza publicznego pozwalałaby poznać klucz prywatny i tym samym złamać cały szyfr.

Jak większość algorytmów kwantowych, algorytm Shora jest algorytmem probabilistycznym: zwraca poprawną odpowiedź jedynie z pewnym prawdopodobieństwem. Ponieważ jednak odpowiedź może być szybko sprawdzona, powtarzanie algorytmu umożliwia uzyskanie poprawnej odpowiedzi w sposób efektywny z dowolnie dużym prawdopodobieństwem.

Algorytm ten opublikował Peter Shor w 1994 roku. W 2001 roku grupa informatyków z firmy IBM i Uniwersytetu Stanford zademonstrowała jego działanie na 7-kubitowym komputerze kwantowym opartym o jądrowy rezonans magnetyczny. Dokonano wtedy rozkładu liczby $15\ =\ 3\cdot 5$ ^[1]. Faktoryzacji liczby $21$ dokonano w 2011 roku^[2].

Procedura realizacji[edytuj | edytuj kod]

Na wejściu algorytmu dostajemy liczbę naturalną $N.$ Naszym zadaniem jest znalezienie liczby $p$ między $1$ a $N,$ która dzieli $N$ bez reszty.

Algorytm Shora składa się z dwóch części:

Sprowadzenia problemu faktoryzacji do problemu znajdowania rzędu elementu w grupie – realizowanego na klasycznym komputerze.
Znajdowania rzędu elementu za pomocą algorytmu kwantowego.

Część klasyczna[edytuj | edytuj kod]

Wylosować liczbę $a<N.$
Obliczyć $NWD(a,N)$ – na przykład za pomocą algorytmu Euklidesa.
Jeśli $NWD(a,N)\neq 1,$ to został znaleziony nietrywialny dzielnik $N$ i można zakończyć część klasyczną.
W przeciwnym wypadku należy użyć podprocedury znajdującej $r,$ które jest okresem następującej funkcji:
$f(x)=a^{x}{\pmod {N}},$

czyli znaleźć najmniejsze naturalne $r,$ takie że $f(x+r)=f(x).$
Jeśli $r$ jest nieparzyste, wrócić do punktu 1.
Jeśli $a^{r/2}\equiv -1{\pmod {N}},$ wrócić do punktu 1.
Dzielnikiem $N$ jest $NWD(a^{r/2}\pm 1,N).$ Koniec algorytmu.

Część kwantowa: Znajdowanie okresu funkcji[edytuj | edytuj kod]

Przygotować dwa rejestry kwantowe: wejściowy i wyjściowy, każdy z $\log _{2}N$ kubitów, i zainicjować je na stan:
$N^{-1/2}\sum _{x}|x\rangle \,|0\rangle$

dla $x$ od $0$ do $N-1.$
Skonstruować układ realizujący funkcję $f(x)$ w postaci kwantowej i zaaplikować ją do powyższego stanu, otrzymując:
$N^{-1/2}\sum _{x}|x\rangle \,|f(x)\rangle$
Zaaplikować odwróconą kwantową transformatę Fouriera do rejestru wejściowego. Transformata ta jest zdefiniowana wzorem:
$U_{QFT}\left|x\right\rangle =N^{-1/2}\sum _{y}e^{-2\pi ixy/N}\left|y\right\rangle$

Efektem tej operacji będzie zatem stan:

$N^{-1}\sum _{x}\sum _{y}e^{-2\pi ixy/N}\left|y\right\rangle \left|f(x)\right\rangle$
Dokonać pomiaru, otrzymując $y$ w rejestrze wejściowym i $f(x_{0})$ w rejestrze wyjściowym.
Ponieważ $f$ jest okresowa, prawdopodobieństwo uzyskania pary $y,f(x_{0})$ wynosi:

$\left|N^{-1}\sum _{x:\,f(x)=f(x_{0})}e^{-2\pi ixy/N}\right|^{2}=N^{-2}\left|\sum _{b}e^{-2\pi i(x_{0}+rb)y/N}\right|^{2}$

Można obliczyć, że to prawdopodobieństwo jest tym większe, im wartość $yr/N$ jest bliższa liczbie całkowitej.
Przekształcić $y/N$ w nieskracalny ułamek i wziąć jego mianownik $r'$ jako kandydata na $r.$
Sprawdzić czy $f(x)=f(x+r').$ Jeśli tak, algorytm jest zakończony.
Jeśli nie, sprawdź innych kandydatów na $r,$ przez użycie wartości blisko $y,$ albo wielokrotności $r'.$ Jeśli któryś z kandydatów działa, algorytm jest zakończony.
Jeśli nie udało się znaleźć dobrego $r,$ wróć do punktu 1.

Analiza algorytmu[edytuj | edytuj kod]

Część klasyczna[edytuj | edytuj kod]

Liczby naturalne mniejsze od $N$ i względnie pierwsze z $N$ z mnożeniem modulo $N$ tworzą grupę skończoną. Każdy element $a$ należący do tej grupy ma więc jakiś skończony rząd $r$ – najmniejszą liczbę dodatnią taką że:

a^{r}\equiv 1{\pmod {N}}.

Zatem $N|(a^{r}-1).$ Jeśli potrafimy obliczyć $r$ i jest ono parzyste, to:

a^{r}-1=(a^{r/2}-1)(a^{r/2}+1)\equiv 0{\pmod {N}}

\Rightarrow N\ |(a^{r/2}-1)(a^{r/2}+1).

Skoro $r$ jest najmniejszą liczbą taką że $a^{r}\equiv 1,$ to $N$ nie może dzielić $(a^{r/2}-1).$ Jeśli $N$ nie dzieli również $(a^{r/2}+1),$ to $N$ musi mieć nietrywialny wspólny dzielnik z obiema liczbami: $(a^{r/2}-1)$ i $(a^{r/2}+1).$

Otrzymujemy w ten sposób jakąś faktoryzację $N.$ Jeśli $N$ jest iloczynem dwóch liczb pierwszych, jest to jego jedyna faktoryzacja.

Część kwantowa[edytuj | edytuj kod]

Algorytm znajdowania okresu funkcji bazuje na zdolności komputera kwantowego do jednoczesnych obliczeń na wielu stanach. Obliczamy wartość funkcji jednocześnie dla wszystkich wartości $x,$ uzyskując superpozycję wszystkich wartości.

Fizyka kwantowa nie umożliwia nam jednak bezpośredniego odczytania tych informacji. Każdy pomiar niszczy superpozycję, pozwalając nam odczytać tylko jedną z wartości. Zamiast odczytywać te wartości, dokonujemy transformacji Fouriera – która zamienia wartości funkcji na wartości jej okresów. Późniejszy odczyt daje z dużym prawdopodobieństwem wartość bliską jakiemuś okresowi funkcji.

Do wykonania kwantowego algorytmu niezbędna jest kwantowa implementacja trzech operacji:

Stworzenia superpozycji stanów.
Można tego łatwo dokonać aplikując bramki Hadamarda do wszystkich kubitów w rejestrze.
Funkcji $f$ jako funkcji kwantowej.
Używany do tego jest algorytm szybkiego potęgowania, w wersji modulo $N.$ Należy zauważyć, że ten krok jest najtrudniejszy w implementacji, i wymaga dodatkowych kubitów i największej ilości kwantowych bramek logicznych.
Odwrotnej kwantowej transformacji Fouriera.
Używając kontrolowanych bramek obrotu i bramek Hadamarda, Shor zaprojektował układ, który realizuje to przy użyciu $\mathrm {O} ((\log N)^{2})$ bramek.

Po zastosowaniu tych przekształceń, pomiar stanu rejestru da przybliżoną wartość okresu $r.$

Przykładowo załóżmy dla uproszczenia, że istnieje takie $y,$ że $yr/N$ jest całkowite. Wtedy prawdopodobieństwo uzyskania dobrego $y$ jest równe 1. Aby to pokazać, wystarczy zauważyć, że

e^{-2\pi ibyr/N}=1

dla dowolnego całkowitego $b.$

Zatem suma czynników dających wartość $y$ będzie równa $N/r,$ bo istnieje $N/r$ różnych wartości $b$ dających ten sam wykładnik. Prawdopodobieństwo każdego takiego $y$ wynosi zatem $1/r^{2}.$ Istnieje $r$ różnych $y$ takich, że $yr/N$ jest całkowite, oraz $r$ różnych możliwych wartości $f(x_{0}).$ W sumie prawdopodobieństwo uzyskania dobrego $r$ wynosi zatem 1.

Przypisy[edytuj | edytuj kod]

↑ Experimental realization of Shor’s quantum factoring algorithm using nuclear magnetic resonance. cryptome.org. [zarchiwizowane z tego adresu (2005-06-28)]..
↑ Enrique Martín-López, Anthony Laing, Thomas Lawson. [1111.4147] Experimental realisation of Shor’s quantum factoring algorithm using qubit recycling. „Nature Photonics”. 6, s. 773–776, 2012. arxiv.org. DOI: 10.1038/nphoton.2012.259. arXiv:1111.4147. (ang.).

Literatura[edytuj | edytuj kod]

Oryginalna praca Shora:

Peter W. Shor. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. „SIAM J.Sci.Statist.Comput. 26”. 26 (5), s. 1484–1509, 30 Aug 1995 (arxiv) | 1997 (SIAM). DOI: 10.1137/S0097539795293172. arXiv:quant-ph/9508027.

Podręcznik obliczeń kwantowych:

Quantum Computation and Quantum Information, Michael A. Nielsen, Isaac L. Chuang, Cambridge University Press, 2000

Linki zewnętrzne[edytuj | edytuj kod]

Scott Aaronson, "Shor, I’ll do it" (popularne objaśnienie algorytmu Shora) (ang.)

[1] Experimental realization of Shor’s quantum factoring algorithm using nuclear magnetic resonance. cryptome.org. [zarchiwizowane z tego adresu (2005-06-28)]..

[2] Enrique Martín-López, Anthony Laing, Thomas Lawson. [1111.4147] Experimental realisation of Shor’s quantum factoring algorithm using qubit recycling. „Nature Photonics”. 6, s. 773–776, 2012. arxiv.org. DOI: 10.1038/nphoton.2012.259. arXiv:1111.4147. (ang.).

[1]

[2]