Россия, ВИУ, 2003 |
Алгоритм Шора
Настало время связать воедино все разработанные нами нити исследований и описать квантовый алгоритм Шора факторизации больших целых чисел.
Пусть р и q - два большие секретные простые числа, и N = рq их произведение. Наша цель - найти р и q при заданном N. Решение этой задачи означает, что криптосистема RSA будет взломана.
Как мы видели, мы можем определить р и q, если в дополнение к N будем знать размер группы - группы обратимых остатков по модулю N. Число элементов группы мы обозначаем как М = (р - 1) (q - 1) .
Идея определения М состоит в том, чтобы найти порядки элементов группы . По теореме Лагранжа порядок каждого элемента группы является делителем М, следовательно, вычисление порядков даст нам делители М.
Давайте проиллюстрируем эту идею на следующем примере. Пусть простые секретные числа - это р = 36013, q = 51199, тогда N = pq = = 1843829587. Числа р -1 и q -1 факторизуются (разлагаются на множители)следующим образом: р-1=2х2х3х3001,q-1=2х3х7х23х53. На практике факторизация неизвестна, поскольку сами простые числа р и q неизвестны. Все же для иллюстрации полезно видеть эту факторизацию, поскольку она проливает свет на порядки элементов группы . Порядок этой мультипликативной группы равен М = (р - 1) (q - 1) = 1843742376 = 2 х 32 х 7х 23 х 53 х 3001.
Предположим, что у нас есть способ вычисления порядков элементов этой группы. Давайте перечислим порядки элементов этой группы. Приведем список порядков нескольких элементов:
g | order of g | factorization оГ the order |
---|---|---|
2 3 5 7 11 13 |
13360452 21949314 13360452 5797932 43898628 153645198 |
Мы не приводим здесь порядок g = 4, так как, будучи квадратом числа 2, его порядок вдвое меньше порядка числа 2. В абелевой группе порядок произведения является делителем наименьшего общего кратного порядков множителей. По этой причине мы перечисляем только порядки простых элементов g.
Опять-таки, в реальной ситуации факторизация порядков недоступна, но крайне полезно при обучении взглянуть на них. Даже если факторизация порядков недоступна, все же возможно эффективно вычислить наименьшее общее кратное порядков, так как:
а наибольший общий делитель - НОД(а, b) - эффективно вычисляется алгоритмом Эвклида.
Из теоремы Лагранжа следует, что М делится на наименьшее общее кратное порядков элементов. Для элементов, перечисленных выше, НОК равно:
В применениях к криптографии числа (р - 1) и (q - 1) имеют большие простые множители, в противном случае известны обычные, не квантовые методы взлома RSА. Из этого следует, что НОК(р -1, q -1) отличается от М только небольшим множителем. Так как , то можно определить этот множитель из , следовательно, М = 6R
Так что, если нам удастся определить порядки элементов группы , то мы сможем факторизовать N. В оставшейся части этой главы мы сосредоточимся на проблеме нахождения порядка m заданного элемента g в ~.
Начнем с установки числа кубитов, которые требуются для квантового алгоритма. Выберем n такое, что . Квантовый алгоритм, который мы собираемся описать, будет оперировать с 3n-кубитами.
Вначале инициализируем 3n-кубиты нулевыми значениями .
Шаг 1. Применим трансформацию Адамара Н к каждому из первых 2п-кубитов:
Шаг 2. Для заданного остатка g в рассмотрим функцию:
Давайте покажем, что функция f - периодическая с периодом равным порядку элемента g. Так как этот порядок (который мы хотим определить) не превышает N, вычислим эту функцию на большом числе ее периодов. Классически это было бы недоступно, но на квантовом компьютере такое становится возможным благодаря массивному параллелизму квантовых вычислений.
Классическое вычисление f имеет квантовую реализацию , представляющую линейную трансформацию пространства 3n-кубита, где первые 2n битов являются входными битами, а последние n битов задают выход. Так как , то у нас достаточно числа бит, чтобы записать любой остаток по модулю N.
Применим к кубитам, сконструированным на Шаге 1:
Шаг З. Выполним измерения последних n битов. Результат этих измерений - вероятностный. Мы будем наблюдать одно из значений h, которое является степенью g по модулю N. Наш 3n-кубит сожмется в состояние, где последние n битов будут принимать значение h mod N. Что случится с первыми 2n битами? Все значения k такие, что , исчезнут. Все же, результирующее состояние будет включать сумму, так как есть больше чем одно значение k, для которого . Обозначим через s минимальное значение k.
Поскольку m - порядок у, то имеем:
где L - минимальное целое большее или равное . Тогда квантовое состояние, полученное в результате этого измерения, может быть записано как:
Мы видим, что коэффициенты в этом состоянии формируют последовательность, которая является периодической с периодом m (который и должен быть определен):
Шаг 4. Применим квантовое преобразование Фурье к первым 2n битам. В результате получим состояние:
где и . имеют пики в целых значениях, кратных частоте (смотри Упражнение в главе о дискретном преобразовании Фурье).
Шаг 5. Выполним измерения значений первых 2n - 1 битов. Результат измерений вероятностный с вероятностью наблюдения значения r, равной . С высокой вероятностью наблюдаемое значение r будет соответствовать пику и, следовательно, будет близко к целому числу, кратному .
Запишем наблюденное значение r и повторим Шаги 1-5 несколько раз, сохраняя наблюдения , - здесь l - небольшое число. Это завершает квантовую часть алгоритма.
Давайте опишем как можно определить значение m из наблюдаемых значений . Как мы отмечали, близки к целым кратным . Предположим, что . Мы надеемся, что . Наши надежды вполне оправданы. В самом деле, вероятность того, что два больших случайных числа относительно просты, равна Для l больших случайных чисел эта вероятность задается инверсией так называемой дзета-функции: . Например, для l= 6 вероятность того, что 6 случайных целых не имеют общего множителя равна
Наша цель определить значение w, поскольку тогда просто определить m из соотношения . Хотя - целые кратные , мы не можем использовать алгоритм Эвклида для поиска ы, хотя бы потому, что само значение не является целым числом. Поэтому давайте рассмотрим версию алгоритма Эвклида, которая находит приближенное значение НОД. Эта версия работает и для вещественных чисел.