Shorsův algoritmus - Shors algorithm - Wikipedia

Shorův algoritmus je polynomiální čas kvantový počítačový algoritmus pro celočíselná faktorizace.^[1] Neformálně řeší následující problém: Dáno celé číslo ${ displaystyle N}$ , najít jeho hlavní faktory. To bylo vynalezeno v roce 1994 americkým matematikem Peter Shor.

Na kvantovém počítači započítat celé číslo ${ displaystyle N}$ , Shorův algoritmus běží v polynomiálním čase (čas je polynomiální v ${ displaystyle log N}$ , velikost celého čísla zadaného jako vstup).^[2] Konkrétně to trvá kvantové brány řádu ${ displaystyle O ! left (( log N) ^ {2} ( log log N) ( log log log N) right)}$ pomocí rychlého množení,^[3] což ukazuje, že problém celočíselné faktorizace lze efektivně vyřešit na kvantovém počítači a je tedy v třída složitosti BQP. To je téměř exponenciálně rychlejší než nejúčinnější známý klasický factoringový algoritmus, síto obecného čísla, který pracuje v subexponenciální čas: ${ displaystyle O ! left (e ^ {1,9 ( log N) ^ {1/3} ( log log N) ^ {2/3}} right)}$ .^[4] Účinnost Shorova algoritmu je dána účinností kvantová Fourierova transformace, a modulární umocňování podle opakované kvadratury.^[5]

Pokud kvantový počítač s dostatečným počtem qubits mohl fungovat, aniž by podlehl kvantový šum a další kvantová dekoherence je možné použít Shorův algoritmus k prolomení kryptografie veřejného klíče schémata, jako jsou široce používané RSA systém. RSA je založen na předpokladu, že factoring velkých celých čísel je výpočetně neřešitelný. Pokud je známo, je tento předpoklad platný pro klasické (nekvantové) počítače; není znám žádný klasický algoritmus, který dokáže v polynomiálním čase ovlivnit celá čísla. Shorův algoritmus však ukazuje, že factoringová celá čísla jsou na ideálním kvantovém počítači efektivní, takže může být možné porazit RSA konstrukcí velkého kvantového počítače. Byl to také silný motivátor pro návrh a konstrukci kvantových počítačů a pro studium nových kvantově-počítačových algoritmů. Rovněž usnadnil výzkum nových kryptosystémů, které jsou zabezpečeny před kvantovými počítači, souhrnně nazývanými postkvantová kryptografie.

V roce 2001 Shorův algoritmus demonstrovala skupina v IBM, kteří započítali ${ displaystyle 15}$ do ${ displaystyle 3 krát 5}$ pomocí Implementace NMR kvantového počítače s ${ displaystyle 7}$ qubits.^[6] Po implementaci IBM implementovaly Shorův algoritmus dvě nezávislé skupiny fotonický qubits, s důrazem na multi-qubit zapletení byl pozorován při běhu Shorových algoritmických obvodů.^[7]^[8] V roce 2012 byla provedena faktorizace ${ displaystyle 15}$ bylo provedeno pomocí polovodičových qubitů.^[9] Také v roce 2012 byla provedena faktorizace ${ displaystyle 21}$ bylo dosaženo, čímž se vytvořil rekord pro největší celé číslo zohledněné Shorovým algoritmem.^[10] Mnohem větší počty byly započítány kvantovými počítači pomocí jiných algoritmů, konkrétně kvantového žíhání.

Postup

Problém, který se snažíme vyřešit, je, vzhledem k složené číslo ${ displaystyle N}$ , najít netriviální dělitel z ${ displaystyle N}$ (dělitel přísně mezi ${ displaystyle 1}$ a ${ displaystyle N}$ ). Než se pokusíte najít takového dělitele, můžete jej použít relativně rychle testování primality algoritmy k ověření toho ${ displaystyle N}$ je skutečně složený.

Potřebujeme ${ displaystyle N}$ být lichý (jinak ${ displaystyle 2}$ je dělitel) a nebýt mocninou prvočísla (jinak je prvočíslo dělitelem), takže musíme zkontrolovat, zda neexistují žádné celočíselné kořeny ${ displaystyle { sqrt [{k}] {N}}}$ pro ${ displaystyle 2 leq k leq { log _ {3}} (N)}$ .

Proto to můžeme předpokládat ${ displaystyle N}$ je produktem dvou coprime celá čísla větší než ${ displaystyle 2}$ . Vyplývá to z Čínská věta o zbytku že existují nejméně čtyři odlišné druhé odmocniny ${ displaystyle 1}$ modulo ${ displaystyle N}$ (protože pro každou modulární rovnici existují dva kořeny). Cílem algoritmu je najít druhou odmocninu ${ displaystyle b}$ z ${ displaystyle 1}$ modulo ${ displaystyle N}$ to se liší od ${ displaystyle 1}$ a ${ displaystyle -1}$ , protože pak

{ displaystyle b ^ {2} -1 = (b + 1) (b-1) = mN}

pro nenulové celé číslo ${ displaystyle m}$ což nám dává netriviální dělitele ${ displaystyle gcd (N, b + 1)}$ a ${ displaystyle gcd (N, b-1)}$ z ${ displaystyle N}$ .Tato myšlenka je podobná jiné factoringové algoritmy, tak jako kvadratické síto.

Na druhé straně hledání takové ${ displaystyle b}$ se redukuje na nalezení prvku ${ displaystyle a}$ sudého období s určitou další vlastností (jak je vysvětleno níže, je nutné, aby podmínka kroku 6 klasické části neplatila). Kvantový algoritmus se používá k nalezení období náhodně vybraných prvků ${ displaystyle a}$ , protože to je obtížný problém na klasickém počítači.

Shorův algoritmus se skládá ze dvou částí:

Redukce faktoringového problému na problém, kterou lze provést na klasickém počítači objednat -nález.
Kvantový algoritmus k vyřešení problému s hledáním řádu.

Klasická část

Vyberte náhodné číslo ${ displaystyle 1$ .
Vypočítat ${ displaystyle gcd (a, N)}$ , největší společný dělitel z ${ displaystyle a}$ a ${ displaystyle N}$ . To lze provést pomocí Euklidovský algoritmus.
Li ${ displaystyle gcd (a, N) neq 1}$ , pak toto číslo je a netriviální faktor ${ displaystyle N}$ , takže jsme hotovi.
V opačném případě použijte k nalezení kvantový podprogram pro hledání období (níže) ${ displaystyle r}$ , který označuje doba následující funkce:
${ displaystyle f (x) = a ^ {x} { bmod {N}}.}$
Toto je objednávka ${ displaystyle r}$ z ${ displaystyle a}$ v skupina ${ displaystyle ( mathbb {Z} _ {N}) ^ { times}}$ , což je nejmenší kladné celé číslo ${ displaystyle r}$ pro který ${ displaystyle f (x + r) = f (x)}$ nebo ${ displaystyle f (x + r) = a ^ {x + r} { bmod {N}} ekviv a ^ {x} { bmod {N}}}$ . Podle Eulerova věta, ${ displaystyle r}$ rozděluje ${ displaystyle varphi (N)}$ , kde ${ displaystyle varphi}$ označuje Eulerova totientová funkce.
Li ${ displaystyle r}$ je liché, pak se vraťte ke kroku 1.
Li ${ displaystyle a ^ {r / 2} equiv -1 ({ bmod {N}})}$ , pak se vraťte ke kroku 1.
Jinak obojí ${ displaystyle gcd (a ^ {r / 2} + 1, N)}$ a ${ displaystyle gcd (a ^ {r / 2} -1, N)}$ jsou netriviální faktory ${ displaystyle N}$ , takže jsme hotovi.

Například: Dáno ${ displaystyle N = 15}$ , ${ displaystyle a = 7}$ , a ${ displaystyle r = 4}$ , my máme ${ displaystyle gcd (7 ^ {2} pm 1,15) = gcd (49 pm 1,15)}$ , kde ${ displaystyle gcd (48,15) = 3}$ a ${ displaystyle gcd (50,15) = 5}$ . Pro ${ displaystyle N}$ to je produkt dvou odlišných prvočísel, ${ displaystyle p}$ a ${ displaystyle q}$ , hodnota ${ displaystyle varphi (N)}$ je jen ${ displaystyle N-p-q + 1}$ , který pro ${ displaystyle N = 15}$ je ${ displaystyle 8}$ , a ${ displaystyle r}$ rozděluje ${ displaystyle 8}$ .

Kvantová část: podprogram pro zjišťování období

Kvantový podprogram v Shorově algoritmu

Kvantové obvody použité pro tento algoritmus jsou navrženy na míru pro každou volbu ${ displaystyle N}$ a každá volba náhodného ${ displaystyle a}$ použito v ${ displaystyle f (x) = a ^ {x} { bmod {N}}}$ . Dáno ${ displaystyle N}$ , najít ${ displaystyle Q = 2 ^ {q}}$ takhle ${ displaystyle N ^ {2} leq Q <2N ^ {2}}$ , což z toho vyplývá ${ displaystyle { dfrac {Q} {r}}> N}$ . Vstup a výstup qubit registry musí obsahovat superpozice hodnot z ${ displaystyle 0}$ na ${ displaystyle Q-1}$ a také ${ displaystyle q}$ každý qubits. Použití toho, co by se mohlo zdát dvakrát tolik qubitů, než je nutné, zaručuje, že jich alespoň je ${ displaystyle N}$ různé hodnoty ${ displaystyle x}$ které produkují to samé ${ displaystyle f (x)}$ , dokonce jako období ${ displaystyle r}$ přístupy ${ displaystyle { dfrac {N} {2}}}$ .

Postupujte následovně:

Inicializujte registry na
${ displaystyle { frac {1} { sqrt {Q}}} sum _ {x = 0} ^ {Q-1} | x rangle = left ({ frac {1} { sqrt {2 }}} sum _ {x_ {1} = 0} ^ {1} | x_ {1} rangle right) otimes cdots otimes left ({ frac {1} { sqrt {2}} } sum _ {x_ {q} = 0} ^ {1} | x_ {q} rangle right).}$
kde ${ displaystyle otimes}$ označuje tenzorový produkt.
Tento počáteční stav je superpozicí ${ displaystyle Q}$ států a lze jej snadno získat generováním ${ displaystyle q}$ nezávislý qubits, každý superpozicí ${ displaystyle 0}$ a ${ displaystyle 1}$ státy. Můžeme toho dosáhnout inicializací qubits do nulové polohy a následným použitím Hadamardova brána souběžně s každým z ${ displaystyle q}$ qubits, kde ${ displaystyle 2 ^ {q} = Q}$ .
Postavit ${ displaystyle f (x)}$ jako kvantová funkce a aplikovat ji na výše uvedený stav, získat
${ displaystyle U_ {f} | x, 0 ^ {q} rangle = | x, f (x) rangle}$
${ displaystyle U_ {f} { frac {1} { sqrt {Q}}} sum _ {x = 0} ^ {Q-1} | x, 0 ^ {q} rangle = { frac { 1} { sqrt {Q}}} sum _ {x = 0} ^ {Q-1} | x, f (x) rangle}$
Toto je stále superpozice ${ displaystyle Q}$ státy. Nicméně ${ displaystyle q + n}$ qubits, tj ${ displaystyle q}$ vstupní qubits a ${ displaystyle n}$ ( ${ displaystyle> { log _ {2}} (N)}$ ) výstupní qubits, jsou nyní zapletené nebo ne oddělitelný, protože stát nelze zapsat jako tenzorový součin stavů jednotlivých qubitů. Důležité je, že hodnota obsahující ${ displaystyle r}$ hledáme nyní uloženo ve fázi vstupních qubitů ${ displaystyle x}$ v důsledku „fázového zpětného rázu“, kdy použití qubitů jako řídicích vstupů do unitárních bran mění relativní fázi řídících qubitů. ^[11]
Použijte inverzní kvantová Fourierova transformace do vstupního registru. Tato transformace (fungující na superpozici ${ displaystyle Q = 2 ^ {q}}$ ${displaystyle Q=2^{q}}$ státy) používá a ${ displaystyle Q}$ $Q$ -th kořen jednoty jako ${ displaystyle omega = e ^ { frac {2 pi i} {Q}}}$ ${displaystyle omega =e^{frac {2pi i}{Q}}}$ distribuovat amplitudu jakékoli dané ${ displaystyle | x rangle}$ $| x angle$ stát mezi všemi stejně ${ displaystyle Q}$ $Q$ z ${ displaystyle | y rangle}$ ${displaystyle |y angle }$ států, a to pro každý jiný ${ displaystyle x}$ $X$ . Tím získáváme
${ displaystyle {U _ { operatorname {QFT}}} (| x rangle) = { frac {1} { sqrt {Q}}} sum _ {y = 0} ^ {Q-1} omega ^ {xy} | y rangle.}$
To vede k konečnému stavu
${ displaystyle { frac {1} {Q}} součet _ {x = 0} ^ {Q-1} součet _ {y = 0} ^ {Q-1} omega ^ {xy} | y, f (x) rangle.}$
Nyní přeuspořádáme tuto částku jako
${ displaystyle { frac {1} {Q}} součet _ {z = 0} ^ {N-1} součet _ {y = 0} ^ {Q-1} levá [ součet _ {x v {0, ldots, Q-1 }; ~ f (x) = z} omega ^ {xy} right] | y, z rangle.}$
Toto je superpozice mnohem více než ${ displaystyle Q}$ $Q$ států, ale mnohem méně než ${ displaystyle Q ^ {2}}$ ${displaystyle Q^{2}}$ států, protože jich je méně než ${ displaystyle Q}$ $Q$ odlišné hodnoty ${ displaystyle z = f (x)}$ ${displaystyle z=f(x)}$ . Nechat
- ${ displaystyle omega = e ^ { frac {2 pi i} {Q}}}$ být ${ displaystyle Q}$ -tý kořen jednoty,
- ${ displaystyle r}$ být obdobím ${ displaystyle f}$ ,
- ${ displaystyle x_ {0}}$ být nejmenší z ${ displaystyle x in {0, ldots, Q-1 }}$ pro který ${ displaystyle f (x) = z}$ (my máme ${ displaystyle x_ {0}$ ), a
- psát si ${ displaystyle m-1 = levá lfloor { frac {Q-x_ {0} -1} {r}} pravá rfloor}$
- ${ displaystyle b}$ indexuje tyto ${ displaystyle x}$ , běží od ${ displaystyle 0}$ na ${ displaystyle m-1}$ , aby ${ displaystyle x_ {0} + rb$ .
Pak ${ displaystyle omega ^ {ry}}$ ${displaystyle omega ^{ry}}$ je jednotkový vektor v komplexní rovině ( ${ displaystyle omega}$ $omega$ je kořenem jednoty a ${ displaystyle r}$ $r$ a ${ displaystyle y}$ $y$ jsou celá čísla) a koeficient ${ displaystyle { dfrac {1} {Q}} vlevo | y, z vpravo rangle}$ ${displaystyle {dfrac {1}{Q}}left|y,z ight angle }$ v konečném stavu je
${ displaystyle sum _ {x in {0, ldots, Q-1 }; ~ f (x) = z} omega ^ {xy} = sum _ {b = 0} ^ {m- 1} omega ^ {(x_ {0} + rb) y} = omega ^ {x_ {0} y} sum _ {b = 0} ^ {m-1} omega ^ {rby}.}$
Každý člen v tomto součtu představuje a jinou cestu ke stejnému výsledkua kvantové rušení nastane - konstruktivní, když jednotkové vektory ${ displaystyle omega ^ {ryb}}$ ${displaystyle omega ^{ryb}}$ bod v téměř stejném směru v komplexní rovině, což to vyžaduje ${ displaystyle omega ^ {ry}}$ ${displaystyle omega ^{ry}}$ bod podél pozitivní skutečná osa.
Proveďte měření. Získáváme nějaký výsledek ${ displaystyle y}$ ve vstupním registru a nějaký výsledek ${ displaystyle z}$ ve výstupním registru. Tak jako ${ displaystyle f}$ je periodická, pravděpodobnost měření nějakého stavu ${ displaystyle | y, z rangle}$ darováno
${ displaystyle Pr (| y, z rangle) = left | { frac {1} {Q}} sum _ {x in {0, ldots, Q-1 }; ~ f (x ) = z} omega ^ {xy} vpravo | ^ {2} = { frac {1} {Q ^ {2}}} vlevo | sum _ {b = 0} ^ {m-1} omega ^ {(x_ {0} + rb) y} doprava | ^ {2} = { frac {1} {Q ^ {2}}} | omega ^ {x_ {0} y} | ^ {2 } left | sum _ {b = 0} ^ {m-1} omega ^ {bry} right | ^ {2}}$
${ displaystyle = { frac {1} {Q ^ {2}}} vlevo | sum _ {b = 0} ^ {m-1} omega ^ {bry} vpravo | ^ {2} = { frac {1} {Q ^ {2}}} vlevo | { frac { omega ^ {mry} -1} { omega ^ {ry} -1}} vpravo | ^ {2} = { frac {1} {Q ^ {2}}} { frac { sin ^ {2} ({ frac { pi mry} {Q}})}} sin ^ {2} ({ frac { pi ry} {Q}})}}}$
Analýza nyní ukazuje, že tato pravděpodobnost je tím větší, čím blíže je jednotkový vektor ${ displaystyle omega ^ {ry}}$ je ke kladné skutečné ose nebo blíže ${ displaystyle { dfrac {yr} {Q}}}$ je celé číslo. Ledaže ${ displaystyle r}$ je síla ${ displaystyle 2}$ , nebude to faktor ${ displaystyle Q}$ .
Od té doby ${ displaystyle { frac {yr} {Q}}}$ ${displaystyle {frac {yr}{Q}}}$ je blízké nějakému celému číslu ${ displaystyle c}$ $C$ , známá hodnota ${ displaystyle { dfrac {y} {Q}}}$ ${displaystyle {dfrac {y}{Q}}}$ se blíží neznámé hodnotě ${ displaystyle { dfrac {c} {r}}}$ ${displaystyle {dfrac {c}{r}}}$ . Představení [klasické] pokračující rozšiřování frakcí na ${ displaystyle { dfrac {y} {Q}}}$ ${displaystyle {dfrac {y}{Q}}}$ umožňuje nám najít přibližné hodnoty ${ displaystyle { dfrac {d} {s}}}$ ${displaystyle {dfrac {d}{s}}}$ z toho splňují dvě podmínky:
1. ${ displaystyle s$ .
2. ${ displaystyle left | { dfrac {y} {Q}} - { dfrac {d} {s}} right | <{ dfrac {1} {2Q}}}$ .
Vzhledem k těmto více podmínkám (a za předpokladu ${ displaystyle { dfrac {d} {s}}}$ ${displaystyle {dfrac {d}{s}}}$ je neredukovatelné ), ${ displaystyle s}$ $s$ je velmi pravděpodobné, že bude vhodné období ${ displaystyle r}$ $r$ , nebo alespoň jeho část.
Zkontrolujte (klasicky), zda ${ displaystyle f (x) = f (x + s) šipka doleva a ^ {s} equiv 1 { bmod {N}}}$ . Pokud ano, pak jsme hotovi.
Jinak (klasicky) získejte více kandidátů na ${ displaystyle r}$ pomocí násobků ${ displaystyle s}$ , nebo pomocí jiného ${ displaystyle s}$ s ${ displaystyle { dfrac {d} {s}}}$ u ${ displaystyle { dfrac {y} {Q}}}$ . Pokud některý kandidát funguje, pak jsme hotovi.
V opačném případě zkuste znovu začít od kroku 1 tohoto podprogramu.

Vysvětlení algoritmu

Algoritmus se skládá ze dvou částí. První část algoritmu mění faktoringový problém na problém nalezení periody funkce a může být implementován klasicky. Druhá část najde období pomocí kvantové Fourierovy transformace a je zodpovědná za kvantové zrychlení.

Získávání faktorů z období

Celá čísla menší než ${ displaystyle N}$ a coprime s ${ displaystyle N}$ tvoří multiplikativní skupina celých čísel modulo ${ displaystyle N}$ , což je konečný abelian skupina ${ displaystyle G}$ . Velikost této skupiny je dána vztahem ${ displaystyle varphi (N)}$ . Na konci kroku 3 máme celé číslo ${ displaystyle a}$ v této skupině. Protože skupina je konečná, ${ displaystyle a}$ musí mít konečnou objednávku ${ displaystyle r}$ , což je nejmenší kladné celé číslo

{ displaystyle a ^ {r} equiv 1 { bmod {N}}.}

Proto, ${ displaystyle N}$ rozděluje ${ displaystyle a ^ {r} -1}$ (také psáno ${ displaystyle N mid a ^ {r} -1}$ ). Předpokládejme, že jsme schopni získat ${ displaystyle r}$ a že je to dokonce. (Li ${ displaystyle r}$ je liché, pak v kroku 5 musíme restartovat algoritmus s jiným náhodným číslem ${ displaystyle a}$ ) Nyní ${ displaystyle b equiv a ^ {r / 2} { bmod {N}}}$ je druhá odmocnina z ${ displaystyle 1}$ modulo ${ displaystyle N}$ to se liší od ${ displaystyle 1}$ . To je proto, že ${ displaystyle r}$ je řád ${ displaystyle a}$ modulo ${ displaystyle N}$ , tak ${ displaystyle a ^ {r / 2} not equiv 1 { bmod {N}}}$ nebo jinak v pořadí ${ displaystyle a}$ v této skupině by bylo ${ displaystyle { dfrac {r} {2}}}$ . Li ${ displaystyle a ^ {r / 2} equiv -1 { bmod {N}}}$ , pak v kroku 6 musíme restartovat algoritmus s jiným náhodným číslem ${ displaystyle a}$ .

Nakonec musíme zasáhnout ${ displaystyle a}$ řádu ${ displaystyle r}$ v ${ displaystyle G}$ takhle ${ displaystyle b equiv a ^ {r / 2} not equiv 1, -1 { bmod {N}}}$ . Je to proto, že takový ${ displaystyle b}$ je druhá odmocnina z ${ displaystyle 1}$ modulo ${ displaystyle N}$ jiný než ${ displaystyle 1}$ a ${ displaystyle -1}$ , jehož existenci zaručuje čínská věta o zbytku, as ${ displaystyle N}$ není hlavní síla.

Tvrdíme to ${ displaystyle d = gcd (b-1, N)}$ je správný faktor ${ displaystyle N}$ , tj., ${ displaystyle d neq 1, N}$ . Ve skutečnosti, pokud ${ displaystyle d = N}$ , pak ${ displaystyle N}$ rozděluje ${ displaystyle b-1}$ , aby ${ displaystyle b equiv 1 { bmod {N}}}$ , který jde proti výstavbě ${ displaystyle b}$ . Pokud na druhou stranu ${ displaystyle d = gcd (b-1, N) = 1}$ , poté Bézoutova identita, existují celá čísla ${ displaystyle u, v}$ takhle

{ displaystyle (b-1) u + Nv = 1.}

Vynásobením obou stran ${ displaystyle b + 1}$ , získáváme

{ displaystyle (b ^ {2} -1) u + N (b + 1) v = b + 1.}

Tak jako ${ displaystyle N}$ rozděluje ${ displaystyle b ^ {2} -1 equiv a ^ {r} -1 { bmod {N}}}$ , zjistíme, že ${ displaystyle N}$ rozděluje ${ displaystyle b + 1}$ , aby ${ displaystyle b equiv -1 { bmod {N}}}$ , opět v rozporu s konstrukcí ${ displaystyle b}$ .

Proto, ${ displaystyle d}$ je požadovaný správný faktor ${ displaystyle N}$ .

Nalezení období

Shorův algoritmus pro zjišťování období do značné míry závisí na schopnosti a kvantový počítač být v mnoha státech současně.

Fyzici nazývají toto chování „superpozice "stavů. Vypočítat periodu funkce ${ displaystyle f}$ , hodnotíme funkci ve všech bodech současně.

Kvantová fyzika nám však neumožňuje přímý přístup ke všem těmto informacím. A měření přinese pouze jednu ze všech možných hodnot a zničí všechny ostatní. Pokud ne pro žádná klonovací věta, mohli bychom nejprve měřit ${ displaystyle f (x)}$ bez měření ${ displaystyle x}$ , a poté vytvořte několik kopií výsledného stavu (což je superpozice stavů, které mají všechny stejné ${ displaystyle f (x)}$ ). Měření ${ displaystyle x}$ na tyto státy by poskytovaly jiné ${ displaystyle x}$ hodnoty, které dávají to samé ${ displaystyle f (x)}$ , což vede k období. Protože nemůžeme vytvářet přesné kopie kvantového stavu, tato metoda nefunguje. Proto musíme pečlivě transformovat superpozici do jiného stavu, který s vysokou pravděpodobností vrátí správnou odpověď. Toho je dosaženo kvantová Fourierova transformace.

Shor tak musel vyřešit tři „implementační“ problémy. Všechny musely být implementovány „rychle“, což znamená, že je lze implementovat s řadou kvantové brány to je polynomiální v ${ displaystyle log N}$ .

Vytvořte superpozici stavů. Toho lze dosáhnout aplikací Hadamard brány ke všem qubitům ve vstupním registru. Dalším přístupem by bylo použití kvantové Fourierovy transformace (viz níže).
Implementujte funkci ${ displaystyle f}$ jako kvantová transformace. K dosažení tohoto cíle použil Shor opakované kvadratury pro jeho modulární exponenciační transformaci. Je důležité si uvědomit, že tento krok je obtížněji proveditelný než kvantová Fourierova transformace, protože k tomu vyžaduje pomocné qubity a podstatně více bran.
Proveďte kvantovou Fourierovu transformaci. Použitím bran s řízenou rotací a Hadamardových bran navrhl Shor obvod pro kvantovou Fourierovu transformaci (s ${ displaystyle Q = 2 ^ {q}}$ ), který používá jen ${ displaystyle { dfrac {q (q-1)} {2}} = O ! left (( log Q) ^ {2} right)}$ brány.^[12]

Po všech těchto transformacích získá měření aproximaci období ${ displaystyle r}$ . Pro jednoduchost předpokládejme, že existuje ${ displaystyle y}$ takhle ${ displaystyle { dfrac {yr} {Q}}}$ je celé číslo. Pak pravděpodobnost měření ${ displaystyle y}$ je ${ displaystyle 1}$ . Abychom to viděli, všimli jsme si toho

{ displaystyle e ^ {- { frac {2 pi ibyr} {Q}}} = 1}

pro všechna celá čísla ${ displaystyle b}$ . Součet, jehož čtverec nám dává pravděpodobnost měření ${ displaystyle y}$ bude ${ displaystyle { dfrac {Q} {r}}}$ , tak jako ${ displaystyle b}$ trvá zhruba ${ displaystyle { dfrac {Q} {r}}}$ hodnoty a tedy pravděpodobnost ${ displaystyle { dfrac {1} {r ^ {2}}}}$ . Existují ${ displaystyle r}$ možné hodnoty ${ displaystyle y}$ takhle ${ displaystyle { dfrac {yr} {Q}}}$ je celé číslo a také ${ displaystyle r}$ možnosti pro ${ displaystyle f (x_ {0})}$ , takže součty pravděpodobností jsou ${ displaystyle 1}$ .

Poznámka: Dalším způsobem, jak vysvětlit Shorův algoritmus, je poznamenat, že jde pouze o algoritmus odhadu kvantové fáze v přestrojení.

Úzké místo

Runtime úzké místo Shorova algoritmu je kvantové modulární umocňování, který je mnohem pomalejší než kvantová Fourierova transformace a klasické předběžné / následné zpracování. Existuje několik přístupů ke konstrukci a optimalizaci obvodů pro modulární umocňování. Nejjednodušší a (v současné době) nejpraktičtější přístup je napodobit konvenční aritmetické obvody pomocí vratné brány, začínání s zvlněné nosiče. Znalost základny a modulu umocňování usnadňuje další optimalizace.^[13]^[14] Reverzibilní obvody se obvykle používají v řádu ${ displaystyle n ^ {3}}$ brány pro ${ displaystyle n}$ qubits. Alternativní techniky asymptoticky zvyšují počet bran pomocí použití kvantové Fourierovy transformace, ale nejsou konkurenceschopní s méně než 600 qubitů kvůli vysokým konstantám.

Diskrétní logaritmy

Vzhledem ke skupině ${ displaystyle G}$ s objednávkou ${ displaystyle p}$ a generátor ${ displaystyle g v G}$ , předpokládejme, že to víme ${ displaystyle x = g ^ {r} v G}$ , pro některé ${ displaystyle r in mathbb {Z} _ {p}}$ , a chceme počítat ${ displaystyle r}$ , který je diskrétní logaritmus: ${ displaystyle r = { log _ {g}} (x)}$ . Zvažte abelianskou skupinu ${ displaystyle mathbb {Z} _ {p} krát mathbb {Z} _ {p}}$ , kde každý faktor odpovídá modulárnímu sčítání hodnot. Nyní zvažte funkci

{ displaystyle f colon mathbb {Z} _ {p} times mathbb {Z} _ {p} to G ;; ; f (a, b) = g ^ {a} x ^ {- b}.}

To nám dává abelian skrytý problém s podskupinou, tak jako ${ displaystyle f}$ odpovídá a skupinový homomorfismus. Jádro odpovídá násobkům ${ displaystyle (r, 1)}$ . Takže pokud najdeme jádro, můžeme najít ${ displaystyle r}$ .

Viz také

GEECM, faktorizační algoritmus byl „často mnohem rychlejší než Shorův“.^[15]
Groverův algoritmus

Reference

^ Shor, P.W. (1994). "Algoritmy pro kvantový výpočet: diskrétní logaritmy a factoring". Sborník 35. výroční sympozium o základech informatiky. IEEE Comput. Soc. Stiskněte: 124–134. doi:10.1109 / sfcs.1994.365700. ISBN 0818665807.
^ Viz také pseudo-polynomiální čas.
^ Beckman, David; Chari, Amalavoyal N .; Devabhaktuni, Srikrishna; Preskill, John (1996). „Efektivní sítě pro kvantový faktoring“ (PDF). Fyzický přehled A. 54 (2): 1034–1063. arXiv:quant-ph / 9602016. Bibcode:1996PhRvA..54.1034B. doi:10.1103 / PhysRevA.54.1034. PMID 9913575.
^ "Number Field Sieve". wolfram.com. Citováno 23. října 2015.
^ Gidney, Craig. „Algoritmus Shorova kvantového faktoringu“. Algoritmická tvrzení. Citováno 28. listopadu 2020.
^ Vandersypen, Lieven M. K .; Steffen, Matthias; Breyta, Gregory; Yannoni, Costantino S .; Sherwood, Mark H. & Chuang, Isaac L. (2001), „Experimentální realizace Shorova algoritmu kvantového faktoringu pomocí nukleární magnetické rezonance“ (PDF), Příroda, 414 (6866): 883–887, arXiv:quant-ph / 0112176, Bibcode:2001 Natur.414..883V, CiteSeerX 10.1.1.251.8799, doi:10.1038 / 414883a, PMID 11780055
^ Lu, Chao-Yang; Browne, Daniel E .; Yang, Tao & Pan, Jian-Wei (2007), „Demonstrace kompilované verze Shorova algoritmu kvantového faktoringu pomocí fotonických Qubits“ (PDF), Dopisy o fyzické kontrole, 99 (25): 250504, arXiv:0705.1684, Bibcode:2007PhRvL..99y0504L, doi:10.1103 / PhysRevLett.99.250504, PMID 18233508
^ Lanyon, B. P .; Weinhold, T. J .; Langford, N. K.; Barbieri, M .; James, D. F. V .; Gilchrist, A. & White, A. G. (2007), „Experimentální ukázka kompilované verze Shorova algoritmu s kvantovým zapletením“ (PDF), Dopisy o fyzické kontrole, 99 (25): 250505, arXiv:0705.1398, Bibcode:2007PhRvL..99y0505L, doi:10.1103 / PhysRevLett.99.250505, PMID 18233509
^ Lucero, Erik; Barends, Rami; Chen, Yu; Kelly, Julian; Mariantoni, Matteo; Megrant, Anthony; O'Malley, Peter; Sank, Daniel; Vainsencher, Amit; Wenner, James; Bílý, Ted; Yin, Yi; Cleland, Andrew N .; Martinis, John M. (2012). "Výpočet hlavních faktorů s kvantovým procesorem Josephson fáze qubit". Fyzika přírody. 8 (10): 719. arXiv:1202.5707. Bibcode:2012NatPh ... 8..719L. doi:10.1038 / nphys2385.
^ Martín-López, Enrique; Martín-López, Enrique; Laing, Anthony; Lawson, Thomas; Alvarez, Roberto; Zhou, Xiao-Qi; O'Brien, Jeremy L. (12. října 2012). "Experimentální realizace Shorova algoritmu kvantového factoringu pomocí qubitové recyklace". Fotonika přírody. 6 (11): 773–776. arXiv:1111.4147. Bibcode:2012NaPho ... 6..773M. doi:10.1038 / nphoton.2012.259.
^ Autoři Qiskit. "Učebnice Qiskit: Odhad kvantové fáze". IBM. Citováno 7. listopadu 2020.
^ Shor 1999, str. 14
^ Markov, Igor L .; Saeedi, Mehdi (2012). "Konstantní optimalizované kvantové obvody pro modulární násobení a umocňování". Kvantové informace a výpočet. 12 (5–6): 361–394. arXiv:1202.6614. Bibcode:2012arXiv1202.6614M.
^ Markov, Igor L .; Saeedi, Mehdi (2013). "Rychlejší faktor kvantového čísla pomocí syntézy obvodu". Phys. Rev.A. 87 (1): 012310. arXiv:1301.3210. Bibcode:2013PhRvA..87a2310M. doi:10.1103 / PhysRevA.87.012310.
^ Bernstein, Daniel J .; Heninger, Nadia; Lou, Paul; Valenta, Luke (2017). „Postkvantová RSA“ (PDF). Mezinárodní workshop o post-kvantové kryptografii. Přednášky z informatiky. 10346: 311–329. doi:10.1007/978-3-319-59879-6_18. ISBN 978-3-319-59878-9. Archivováno (PDF) od originálu na 2017-04-20.

Další čtení

Nielsen, Michael A. & Chuang, Isaac L. (2010), Kvantové výpočty a kvantové informace, vydání k 10. výročí, Cambridge University Press, ISBN 9781107002173.
Phillip Kaye, Raymond Laflamme, Michele Mosca, Úvod do kvantové práce na počítači, Oxford University Press, 2007, ISBN 0-19-857049-X
„Vysvětlení pro muže na ulici“ podle Scott Aaronson, "schválený „Peter Shor. (Shor napsal:„ Skvělý článek, Scotte! To je ta nejlepší práce, jak vysvětlit kvantové výpočty muži na ulici, jaké jsem viděl. “). Alternativní metafora pro QFT byla představena v jeden z komentářů. Scott Aaronson navrhuje následujících 12 odkazů jako další čtení (z „10^{10⁵⁰⁰⁰} výukové programy kvantového algoritmu, které jsou již na webu. "):
Shor, Peter W. (1997), „Algoritmy polynomiálního času pro Prime Factorization a diskrétní logaritmy na kvantovém počítači“, SIAM J. Comput., 26 (5): 1484–1509, arXiv:quant-ph / 9508027v2, Bibcode:1999SIAMR..41..303S, doi:10.1137 / S0036144598347011. Revidovaná verze původního příspěvku Petera Shora („28 stran, LaTeX. Toto je rozšířená verze příspěvku, který vyšel ve sborníku z 35. ročníku sympozia o základech informatiky, Santa Fe, NM, 20. listopadu - 22, 1994. Drobné revize provedené v lednu 1996 “).
Kvantové výpočty a Shorův algoritmus, Matthew Hayward Stránka Kvantové algoritmy, 2005-02-17, imsa.edu, LaTeX2HTML verze originálu Dokument LaTeX, k dispozici také jako PDF nebo postscript dokument.
Kvantový výpočet a Shorův faktoringový algoritmus Ronald de Wolf, CWI a University of Amsterdam, 12. ledna 1999, 9stránkový postscriptový dokument.
Shorův faktoringový algoritmus Poznámky z přednášky 9 Berkeley CS 294–2 ze dne 4. října 2004, 7stránkový postscriptový dokument.
Kapitola 6 Kvantové výpočty, 91stránkový postscriptový dokument, Caltech, Preskill, PH229.
Kvantový výpočet: výukový program podle Samuel L. Braunstein.
Kvantové stavy Shorova algoritmu, Autor: Neal Young, Poslední úprava: Út 21. května 11:47:38 1996.
III. Prolomení šifrování RSA pomocí kvantového počítače: Shorův faktoringový algoritmus „Přednášky o kvantovém výpočtu, Cornell University, Fyzika 481–681, CS 483; Jaro 2006 N. David Mermin. Poslední revize 2006-03-28, 30stránkový dokument PDF.
Lavor, C .; Manssur, L. R. U .; Portugalsko, R. (2003). "Shorův algoritmus pro faktorování velkých celých čísel". arXiv:quant-ph / 0303175.
Lomonaco, Jr (2000). „Algoritmus Shorova kvantového faktoringu“. arXiv:quant-ph / 0010034. Tento příspěvek je písemnou verzí hodinové přednášky o algoritmu kvantového factoringu Petera Shora. 22 stránek.
Kapitola 20 Kvantové výpočty, z Výpočetní složitost: moderní přístup, Návrh knihy: Z ledna 2007, Sanjeev Arora a Boaz Barak, Princetonská univerzita. Publikováno jako Kapitola 10 Kvantové výpočty Sanjeev Arory, Boaz Barak, „Výpočetní složitost: moderní přístup“, Cambridge University Press, 2009, ISBN 978-0-521-42426-4
Krok k kvantovému výpočtu: zapletení 10 miliard částic z časopisu Discover Magazine ze dne 19. ledna 2011.
Josef Gruska - Kvantové počítačové výzvy také v Matematika neomezená: 2001 a dále Redaktoři Björn Engquist, Wilfried Schmid, Springer, 2001, ISBN 978-3-540-66913-5

externí odkazy

Verze 1.0.0 z libquantum: obsahuje implementaci Shorova algoritmu v jazyce C s jejich simulovanou kvantovou počítačovou knihovnou, ale proměnná width v shor.c by měla být nastavena na 1, aby se zlepšila složitost běhového prostředí.
PBS Infinite Series vytvořil dvě videa vysvětlující matematiku za Shorovým algoritmem, “Jak prolomit kryptografii " a "Hackování kvantovou rychlostí pomocí Shorova algoritmu ".

[1] Shor, P.W. (1994). "Algoritmy pro kvantový výpočet: diskrétní logaritmy a factoring". Sborník 35. výroční sympozium o základech informatiky. IEEE Comput. Soc. Stiskněte: 124–134. doi:10.1109 / sfcs.1994.365700. ISBN 0818665807.

[2] Viz také pseudo-polynomiální čas.

[Beckman-3] Beckman, David; Chari, Amalavoyal N .; Devabhaktuni, Srikrishna; Preskill, John (1996). „Efektivní sítě pro kvantový faktoring“ (PDF). Fyzický přehled A. 54 (2): 1034–1063. arXiv:quant-ph / 9602016. Bibcode:1996PhRvA..54.1034B. doi:10.1103 / PhysRevA.54.1034. PMID 9913575.

[4] "Number Field Sieve". wolfram.com. Citováno 23. října 2015.

[5] Gidney, Craig. „Algoritmus Shorova kvantového faktoringu“. Algoritmická tvrzení. Citováno 28. listopadu 2020.

[VSBYSC01-6] Vandersypen, Lieven M. K .; Steffen, Matthias; Breyta, Gregory; Yannoni, Costantino S .; Sherwood, Mark H. & Chuang, Isaac L. (2001), „Experimentální realizace Shorova algoritmu kvantového faktoringu pomocí nukleární magnetické rezonance“ (PDF), Příroda, 414 (6866): 883–887, arXiv:quant-ph / 0112176, Bibcode:2001 Natur.414..883V, CiteSeerX 10.1.1.251.8799, doi:10.1038 / 414883a, PMID 11780055

[LBYP07-7] Lu, Chao-Yang; Browne, Daniel E .; Yang, Tao & Pan, Jian-Wei (2007), „Demonstrace kompilované verze Shorova algoritmu kvantového faktoringu pomocí fotonických Qubits“ (PDF), Dopisy o fyzické kontrole, 99 (25): 250504, arXiv:0705.1684, Bibcode:2007PhRvL..99y0504L, doi:10.1103 / PhysRevLett.99.250504, PMID 18233508

[LWLBJGW07-8] Lanyon, B. P .; Weinhold, T. J .; Langford, N. K.; Barbieri, M .; James, D. F. V .; Gilchrist, A. & White, A. G. (2007), „Experimentální ukázka kompilované verze Shorova algoritmu s kvantovým zapletením“ (PDF), Dopisy o fyzické kontrole, 99 (25): 250505, arXiv:0705.1398, Bibcode:2007PhRvL..99y0505L, doi:10.1103 / PhysRevLett.99.250505, PMID 18233509

[9] Lucero, Erik; Barends, Rami; Chen, Yu; Kelly, Julian; Mariantoni, Matteo; Megrant, Anthony; O'Malley, Peter; Sank, Daniel; Vainsencher, Amit; Wenner, James; Bílý, Ted; Yin, Yi; Cleland, Andrew N .; Martinis, John M. (2012). "Výpočet hlavních faktorů s kvantovým procesorem Josephson fáze qubit". Fyzika přírody. 8 (10): 719. arXiv:1202.5707. Bibcode:2012NatPh ... 8..719L. doi:10.1038 / nphys2385.

[10] Martín-López, Enrique; Martín-López, Enrique; Laing, Anthony; Lawson, Thomas; Alvarez, Roberto; Zhou, Xiao-Qi; O'Brien, Jeremy L. (12. října 2012). "Experimentální realizace Shorova algoritmu kvantového factoringu pomocí qubitové recyklace". Fotonika přírody. 6 (11): 773–776. arXiv:1111.4147. Bibcode:2012NaPho ... 6..773M. doi:10.1038 / nphoton.2012.259.

[quiskit-phase-11] Autoři Qiskit. "Učebnice Qiskit: Odhad kvantové fáze". IBM. Citováno 7. listopadu 2020.

[12] Shor 1999, str. 14

[13] Markov, Igor L .; Saeedi, Mehdi (2012). "Konstantní optimalizované kvantové obvody pro modulární násobení a umocňování". Kvantové informace a výpočet. 12 (5–6): 361–394. arXiv:1202.6614. Bibcode:2012arXiv1202.6614M.

[14] Markov, Igor L .; Saeedi, Mehdi (2013). "Rychlejší faktor kvantového čísla pomocí syntézy obvodu". Phys. Rev.A. 87 (1): 012310. arXiv:1301.3210. Bibcode:2013PhRvA..87a2310M. doi:10.1103 / PhysRevA.87.012310.

[15] Bernstein, Daniel J .; Heninger, Nadia; Lou, Paul; Valenta, Luke (2017). „Postkvantová RSA“ (PDF). Mezinárodní workshop o post-kvantové kryptografii. Přednášky z informatiky. 10346: 311–329. doi:10.1007/978-3-319-59879-6_18. ISBN 978-3-319-59878-9. Archivováno (PDF) od originálu na 2017-04-20.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

Teoretické číslo algoritmy
Testy originality	AKS APR Baillie – PSW Eliptická křivka Pocklington Fermat Lucas Lucas – Lehmer Lucas – Lehmer – Riesel Prothova věta Pépin Kvadratický Frobenius Solovay – Strassen Miller – Rabin
Generování Prime	Síto z Atkinu Síto Eratosthenes Síto Sundaram Faktorizace kola
Faktorizace celého čísla	Pokračující frakce (CFRAC) Dixonův Lenstra eliptická křivka (ECM) Euler Pollardův rho p − 1 p + 1 Kvadratické síto (QS) Obecné číslo pole síto (GNFS) Speciální pole s číslem pole (SNFS) Racionální síto Fermat Shanksovy čtvercové tvary Zkušební rozdělení Shor
Násobení	Staroegyptský Dlouho Karatsuba Toom – Cook Schönhage – Strassen Fürer
Euklidovský divize	Binární Kouskování Fourier Goldschmidt Newton-Raphson Dlouho Krátký SRT
Diskrétní logaritmus	Baby-step obří krok Pollard rho Pollard klokan Pohlig – Hellman Indexový počet Síto funkčního pole
Největší společný dělitel	Binární Euklidovský Rozšířený euklidovský Lehmer
Modulární odmocnina	Cipolla Pocklington Tonelli – Shanks Berlekamp
Další algoritmy	Chakravala Cornacchia Umocňování čtvercem Celočíselná odmocnina Celočíselný vztah (JÁ BUDU ) Modulární umocňování Montgomeryho redukce Schoof
Kurzíva označují, že algoritmus je pro počet speciálních formulářů