Seminar Quantencomputer - Peter Shor s Faktorisierungsalgorithmus

Transkript

1 Seminar Quantencomputer - Peter Shor s Faktorisierungsalgorithmus Fabian Lenhard f.lenhard@tu-bs.de Sebastian Lorenz s.lorenz@tu-bs.de Diese Ausarbeitung ist online verfügbar unter 1

2 Inhaltsverzeichnis 1 Quantencomputer 4 2 Einleitung zur Faktorisierung Kryptologie Ausblick auf Quantenberechnungen Zahlentheoretische Grundlagen Primzahlen Primfaktorzerlegung Kettenbruchentwicklung Euler-Funktion ϕ Ringe modulo n Periode und Ordnung Beispiel Algorithmus Ablaufdiagramm und Vorgehensweise Beispiele für verschiedene n Fouriertransformation (FT) te Einheitswurzeln Einleitung zur klassischen FT Quantenfouriertransformation (QFT) Quantenschaltkreis der QFT Ablauf der Quantenrechenschritte zur Berechnung der Periode 13 6 Beispiel 91 = Resümee / Ausblick 20 8 Danksagung 21 2

3 Abbildungsverzeichnis 1 Periodizität graphisch Ablaufdiagramm von Shors Algorithmus te und 5-te Einheitswurzeln Implementierung der QFT [Grus99] Quantenschaltkreis zu Shors Algorithmus Wahrscheinlichkeit, y zu beobachten; = 256, Periode r = Destruktive und Konstruktive Überlagerung Tabellenverzeichnis 1 Faktorisierung auf 1000 klassischen Computern Faktorisierung auf einem Quantencomputer Entwicklung des Kettenbruchs Periodenberechnung Entwicklung des Kettenbruchs

4 1 Quantencomputer 1982 Physiker (Richard Feynman, David Deutsch, etc.) entwickeln ein theoretisches Modell, nach dem man mit Quanteneffekten Informationen verarbeiten kann David Deutsch, ein Professor der Oxford University, entwickelt erste Pläne, einen Quantencomputer zu realisieren Daniel R. Simon beschreibt einen Quantenalgorithmus, der Probleme lösen kann, die klassisch nicht effizient lösbar sind Peter Shor, Angestellter der Bell Labs, stellt ein Verfahren vor, mit dem sich eine Zahl schneller in ihre Primfaktoren zerlegen läßt, als es auf einem klassischem Computer möglich ist [Shor94] Forscher vom Los Alamos National Lab bauen den ersten 3-ubit Computer Raymond Laflamme baut den ersten 7-ubit Computer. Zukünftig: brauchbare Quantencomputer. 2 Einleitung zur Faktorisierung 2.1 Kryptologie Viele Kryptologiesysteme, so auch die bekannte RSA-Verschlüsselung 1, basieren auf der Tatsache, daß es heutzutage fast unmöglich ist, zwei große Primzahlen p und aus dem Produkt n = p zurückzugewinnen. Auf klassischen Rechner ist bisher kein Algorithmus bekannt, der das Produkt n mit brauchbarem Zeitaufwand wieder in die Faktoren p und zerlegen und somit die Verschlüsselung brechen kann. Der zur Zeit wohl beste Faktorisierungsalgorithmus auf herkömmlichen Rechnern, das Number Field Sieve, benötigt für die Zerlegung einer Zahl n folgenden Aufwand: O(e c(log n)1/3 (log log n) 2/3 ) Shors Faktorisierungsalgorithmus auf einem Quantenrechner benötigt dagegen nur den Aufwand: O((log n) 2 (log log n)(log log log n)) 1 RSA ist das bekannteste Public-Key-Verschlüsselungsverfahren, das von R. Rivest, A. Sahmir und L. Adleman 1978 entwickelt wurde. Weiterführende Information in [RSA] 4

5 und zusätzlich O(log n) für die klassischen Rechenschritte. Bislang gibt es allerdings keinen Beweis, dass klassische Computer das Faktorisierungsproblem statt in exponentieller nicht auch in polynomieller Zeit lösen können. 2.2 Ausblick auf Quantenberechnungen Die Leistungsfähigkeit von Quantenrechnern kann enorm sein, wie Hughes 1997 in einem kleinen Rechenexempel gezeigt hat. Er ist dabei davon ausgegangen, daß sich die Rechnerleistung, Moores Gesetz folgend, jedes Jahr verdoppelt. In Tabelle 1 kann man sehen, wie lange 1000 herkömmliche Rechner in Zukunft brauchen werden, um eine n-bit lange Zahl zu faktorisieren, wenn sie die Field-Sieve-Methode benutzen. Anzahl der Bits Faktorisieren in Jahre Jahre Jahre Faktorisieren in Jahre Jahre Jahre Faktorisieren in Tage Jahre Jahre Tabelle 1: Faktorisierung auf 1000 klassischen Computern Bei einem Quantenrechner ist er davon ausgegangen, daß dieser mit nur 100 MHz läuft. Nach seiner Rechnung würden einem solchen Rechner, in Tabelle 2 folgende, nach genauerem Hinsehen, viel kürzere Zeiten, ausreichen, um Zahlen zu faktorisieren. Außerdem gibt er noch die geschätzte Anzahl der für einen solchen Rechner notwendigen Qubits und Gatter an. Größe in Bits Anzahl der Qubits Anzahl der Gatter Dauer der Faktorisierung 4,5 Minuten 36 Minuten 4,8 Stunden Tabelle 2: Faktorisierung auf einem Quantencomputer 5

6 3 Zahlentheoretische Grundlagen 3.1 Primzahlen Eine Zahl p N, p 1, heißt Primzahl, wenn sie nur die trivialen Teiler besitzt, also p = nm (n = 1 m = 1). 3.2 Primfaktorzerlegung Es sei n 1 eine natürliche Zahl. 1. n besitzt eine Primfaktorzerlegung n = p 1... p n. 2. Diese Zerlegung ist bis auf die Reihenfolge der Primfaktoren eindeutig. 3.3 Kettenbruchentwicklung Die Kettenbruchentwicklung wird mit Hilfe des Euklidischen Algorithmus am Beispiel der Zahlen a = 39 und b = 16 exemplarisch erklärt. Der Aufwand beträgt O(log 2 (a + b)). 39 = = = = = Die Terme p n n 5.5). kann man als Approximationsbrüche für a b auffassen (vgl. Kap. 6

7 3.4 Euler-Funktion ϕ n a n p n n Tabelle 3: Entwicklung des Kettenbruchs Die Euler-Funktion ϕ bestimmt die Anzahl der zu einer natürlichen Zahl n teilerfremden Zahlen x mit 1 < x < n. Es gilt : ϕ(n) = n p n (1 1 p ) Beispiel: ϕ(360) = ϕ( ) = 360 (1 1 2 ) (1 1 3 ) (1 1 5 ) = Ringe modulo n Z n, n N, ist der Ring der Zahlen 0,..., n 1 modulo n. Die Addition und Multiplikation ist die Addition und Multiplikation modulo n. Mit Z n bezeichnet man die Elemente aus Z n \{0}, die zu n teilerfremd sind: Z n bildet eine multiplikative Gruppe. 3.6 Periode und Ordnung Z n = {x Z n \{0} : ggt (x, n) = 1} Die Ordnung r eines Elementes x Z n ist die kleinste von 0 verschiedene, natürliche Zahl, so daß gilt: x r 1 mod n Für ein festes x Z n ist die Ordnung r die kleinste Periode der Funktion f : N Z n f : k x k mod n, d.h. die kleinste von Null verschiedene natürliche Zahl mit f(k) = f(k + r) für alle k. 7

8 3.7 Beispiel Gesucht sind die Perioden der Funktion f(x) = 3 x mod 91. Durch Probieren erkennt man, daß die kleinste Periode 6 ist. Das Element 3 hat in Z 91 demnach die Ordnung 6. x x f(x) Tabelle 4: Periodenberechnung 3^x mod Abbildung 1: Periodizität graphisch 8

9 4 Algorithmus In Shors Algorithmus wird das Problem der Faktorisierung auf das der Periodenfindung einer Funktion reduziert, welches dann mit Hilfe der Quantenfouriertransformation(QFT) effizient gelöst wird. Die Korrektheit dieser Reduktion wurde bereits 1976 von Miller gezeigt [Mill76]. FAKTORISIERUNG PERIODE 4.1 Ablaufdiagramm und Vorgehensweise Wähle zufällig ein a {2,...,n-2} z = ggt(a, n) z = 1? Ja Nein Finde die Periode r von a x mod n ist r gerade? Nein Ja 0 (a r/2 +1) mod n? Ja 0 (a r/2-1) mod n? Ja z = max{ggt(n, a r/2-1), ggt(n, a r/2 +1)} Ausgabe z Abbildung 2: Ablaufdiagramm von Shors Algorithmus 9

10 1. Wir setzen voraus, daß n keine Primzahl oder Primzahlpotenz ist. Hierzu kann man den Primzahltest von Miller-Rabin [Mill76] benutzen, der einen Aufwand von O(s lg(n)) und eine Fehlerwahrscheinlichkeit von P rob Error 2 s besitzt, wobei s die Anzahl der Iterationen ist. Um auf Primzahlpotenzen zu prüfen, kann man einen trivialen Primzahlpotenztest benutzen [Bloe00]. 2. Wir wählen zufällig ein a mit 2 a n Wir testen, ob a und n teilerfremd sind; dazu benutzen wir den Euklidischen Algorithmus mit einer Laufzeit von O(log 2 (a + n)). 4. Wir errechnen eine Periode r der Funktion f mit Hilfe der QFT f : x a x mod n Hinweis: Dies ist der einzige Rechenschritt, der auf einem Quantenrechner realisiert werden muß. 5. Wir testen, ob unsere errechnete Periode r ungerade ist. Die Wahrscheinlichkeit, ein ungerades r zu erhalten, beträgt P (2 r) = ( 1 2 )φ(n) [Crel00]. Ist r gerade, müssen wir noch testen, ob a r 2 ± 1 0 mod n gilt. Erfüllt r einen der beiden Tests, dann wählen wir ein anderes a und fahren mit Schritt 3 fort. 6. Die Periode r erfüllt folgende Kongruenz: r gerade a r 1 mod n a r 1 0 mod n (a r/2 1)(a r/2 + 1) 0 mod n Da durch 5. gewährleistet ist, daß r gerade ist, liefert z = max{ggt ((a r/2 1), n), ggt ((a r/2 + 1), n) einen nichttrivialen Teiler von n. 10

11 4.2 Beispiele für verschiedene n f(x) r z 2 x mod max(3, 5) 3 x mod * * 4 x mod max(3, 5) 5 x mod * * 6 x mod * * 7 x mod max(3, 5) 8 x mod max(3, 5) 9 x mod * * 10 x mod * * 11 x mod max(5, 3) 12 x mod * * 13 x mod max(3, 5) 14 x mod max(1, 15) f(x) r z 2 x mod max(21, 5) 4 x mod max(21, 5) 8 x mod * 11 x mod max(35, 3) 13 x mod * 16 x mod * 17 x mod max(21, 5) 19 x mod max(3, 35) 22 x mod max(21, 5) 23 x mod max(21, 5) 26 x mod max(5, 21) 29 x mod max(7, 15) 31 x mod max(15, 7) 32 x mod max(21, 5) 34 x mod max(3, 35) 37 x mod max(21, 5) 38 x mod max(21, 5) 41 x mod max(5, 21) 43 x mod max(21, 5) 44 x mod max(7, 15) 46 x mod * 47 x mod max(21, 5) 52 x mod max(21, 5) 53 x mod max(21, 5) f(x) r z 58 x mod max(21, 5) 59 x mod max(1, 105) 61 x mod max(15, 7) 62 x mod max(21, 5) 64 x mod max(21, 5) 67 x mod max(21, 5) 68 x mod max(21, 5) 71 x mod max(35, 3) 73 x mod max(21, 5) 74 x mod max(7, 15) 76 x mod max(15, 7) 79 x mod max(21, 5) 82 x mod max(21, 5) 83 x mod max(21, 5) 86 x mod max(35, 3) 88 x mod max(21, 5) 89 x mod max(1, 105) 92 x mod max(21, 5) 94 x mod max(3, 35) 97 x mod max(21, 5) 101 x mod max(5, 21) 103 x mod max(21, 5) 104 x mod max(1, 105) 11

12 5 Fouriertransformation (FT) 5.1 -te Einheitswurzeln -te Einheitswurzel: ω = e 2πi Es gilt: ω = (e 2πi ) = e 2πi = cos 2π + i sin 2π = 1 Die Menge {ω, ω, 2..., ω 1, 1} bildet eine Gruppe bezüglich Multiplikation, isomorph Z bezüglich der Addition. +i +i w 1 w 1 w 2-1 w 2 w w 0 +1 w 3 w 3 w4 -i -i Abbildung 3: 4-te und 5-te Einheitswurzeln 5.2 Einleitung zur klassischen FT Der vorgestellten Algorithmus beschränkt sich auf die Anwendung der endlichen Fouriertransformation F, die wie folgt definiert ist: f F f : y 1 1 e 2πixy f(y) y=0 mit f, f Abb(Z, C). 5.3 Quantenfouriertransformation (QFT) Die QFT F operiert auf dem Vektorraum C mit Basis { x : x Z }. Für = 2 k wird C als Quantenregister der Länge log 2 = k realisiert. 12

13 Die QFT ist wie folgt definiert: F : x Z f(x) x QF T x Z f(x) x Wird die Quantenfouriertransformation F auf den Quantenzustand y, y Z angewendet, bedeutet das: y 1 1 z=0 e 2πiyz z = 1 1 z=0 ω yz z 5.4 Quantenschaltkreis der QFT Die QFT wird als Quantenschaltkreis folgendermaßen implementiert: Die H-Gatter repräsentieren die Hadamard-Transformation und die X j -Gatter sind definiert als X j = ( e 2πi 2 j die b n entsprichen den n-ten Eingabebits. ), b 0 H X 1... X k-1 b 1 H X 1... X k-2 b 2 H X 1 X k b k-2 H X 1 b k-1 H Abbildung 4: Implementierung der QFT [Grus99] 5.5 Ablauf der Quantenrechenschritte zur Berechnung der Periode Für den Algorithmus zur Berechung der Periode der Funktion f(x) = a x mod n; a, x, n N, benötigt man zwei Quantenregister der Größe = 2 k, mit n 2 < < 2n 2. 13

14 0 k 0 k { { F I U f F I x{ y 0 { U f } } 0 k a x mod n x Abbildung 5: Quantenschaltkreis zu Shors Algorithmus 1. Initialisierung: φ 0 = REG 1 REG 2 = 0 0 = }{{}}{{} k Stellen k Stellen 2. Anwenden der QFT auf das erste Register ergibt: φ 0 = 0 0 F I 1 1 ω 0 x x 0 = 1 1 x 0 =: φ 1 Register 1 enthält nun die natürlichen Zahlen 0, 1,..., 1 in Superposition. 3. Sei U f die unitäre Matrix, die die Zustände x 0 in die Zustände x f(x) überführt, so gilt: φ 1 = 1 1 U f : x 0 U f x f(x) x 0 U f 1 1 x f(x) =: φ 2 4. Erneut wird die QFT auf das erste Register angewendet. Es folgt: φ 2 = 1 1 x f(x) F I y=0 ω x y y f(x) =: φ 3 5. Jetzt messen wir Register 1 und erhalten ein beliebiges y 0, y 0 {0, 1,..., 1}. Dieses y 0 erhalten wir mit der Wahrscheinlichkeit P rob(y 0 ) = Γ(y 0) 2 1, wobei Γ(y 2 0 ) = ω x y 0 f(x) 14

15 Es ist mathematisch nachweisbar [Shor94], daß aufgrund der Eigenschaften der -ten Einheitswurzeln mit großer Wahrscheinlichkeit ein y 0 gemessen wird, daß in der Nähe ganzzahliger Vielfacher von r liegt, also Nach [Shor94] gilt: y 0 d r y 0 d r d N : r 2 ry 0 d r 2 d N : y 0 d r 1 2 Gesucht ist nun also eine rationale Zahl d, die y 0 r approximiert. Diese Zahl d r Kettenbruchentwicklung von y 0 mit einem Fehler 1 2 existiert als Approximationsbruch in der (vgl. Kap. 3.3). Die Wahrscheinlich- [Shor94]. keit, ein brauchbares y 0 zu messen ist 1 3r 2 P y Abbildung 6: Wahrscheinlichkeit, y zu beobachten; = 256, Periode r = 10 15

16 6 Beispiel 91 = 7 13 Um n = 91 = 7 13 zu faktorisieren durchläuft Shors Algorithmus folgende Schritte: 1. n = 91 ist keine Primzahl und keine Primzahlpotenz. Wir wählen = 2 14 = Es gilt n 2 < 2n Wir wählen zufällig eine positive Zahl a zwischen 2 und n-2, z.b. a = Da ggt (n, a) = ggt (91, 3) = 1 können wir mit der Bestimmung der Periode der Funktion f(x) = 3 x mod 91 fortfahren. 4. (a) Wir initialisieren beide Register in folgendem Ausgangszustand φ 0 = REG 1 REG 2 = 0 0 = }{{}}{{} (b) Anwenden der QFT auf das erste Register ergibt: φ 0 = 0 0 F I = x = φ 1 ω 0 x x 0 (c) Anwenden der unitären Matrix U f auf beide Register, wobei U f x 0 = x 3 x mod 91. U f φ 1 = x 3 x mod 91 = φ φ 2 = ( ) 16

17 (d) Erneut wird die QFT auf das erste Register angewendet: φ 2 = x 3 x mod 91 F I φ φ 3 = ω x y y 3 x mod = y= y ω x y 3 x mod y=0 = y Γ, mit Γ(y) = y=0 Γ(y) = ω x y 3 x mod 91 ω x y 3 x mod 91 Γ(y) = ω 0y 1 + ω 1y 3 + ω 2y 9 + ω 3y 27 + ω 4y 81 + ω 5y 61 + ω 6y 1 + ω 7y 3 + ω 8y 9 + ω 9y 27 + ω 10y 81 + ω 11y 61 + ω 12y 1 + ω 13y 3 + ω 14y 9 + ω 15y 27 + ω 16y 81 + ω 17y ω 16380y 1 + ω 16381y 3 + ω 16382y 9 + ω 16383y 27 Γ(y) hat in dieser Schreibweise r Spalten und Zeilen. Der r Koeffizient Λ von 3 i mod 91, 0 i < r, hat die Form 2 Λ = = r 1 k=0 r 1 ω k(r y)+i (ω (r y) ) k ω i k=0 = ω i r 1 (ω (r y) ) k k=0 bzw. r 2 k=0 ω k(r y)+i, falls r 2 r = Zahl der Spalten, k = aktuelle Zeile, i = akuelle Spalte 17

18 Für y = d r, d N ergibt sich: somit ω r y = ω d = (ω ) d = 1 d = 1 Λ = ω i r 1 (ω (r y) ) k = ω i k=0 r 1 k=0 1 = ω i r Andernfalls kann man beweisen, daß der Betrag der Summe durch destruktive Überlagerung der -ten Einheitswurzeln sehr klein wird [Shor94]. Destruktiv bedeutet, daß sich die Einheitswurzeln ähnlich der Vektoraddition verhalten, und sich gegenseitig aufheben können. +i +i w 1 w 1-1 w 2 w w 2 w 0 +1 w 3 w 3 w4 w4 -i -i Abbildung 7: Destruktive und Konstruktive Überlagerung 18

19 (e) Wir messen Register 1 und erhalten einen Wert y 0, z.b. y 0 = Wir entwickeln in einen Kettenbruch: y 0 = = = = = = = = = = = = = = = = 3 1 n a n p n n Tabelle 5: Entwicklung des Kettenbruchs

20 5. Wir suchen nur gerade n, die als Peride in Frage kommen können und finden 3 = 6 gerade und 3 r 2 = 3 3 = 27 ±1 mod PERIODE r = 6 gefunden. z =max(ggt (3 r 2 1, 91), ggt (3 r 2 + 1, 91)) =max(ggt (3 3 1, 91), ggt ( , 91)) =max(ggt (26, 91), ggt (28, 91)) =max(13, 7) =13 Test bestätigt = Resümee / Ausblick Peter Shor hat viel für die Quanteninformatik und deren rapide Entwicklung in den letzten Jahren getan, indem er einen Algorithmus entwarf, der viele Wissenschaftler, Kryptologen, die Industrie und nicht zuletzt das Militär in große Aufregung versetzte. Doch die Kryptologen können sich wohl noch einige Jahren in Sicherheit wiegen, da sich die praktischen Realisierung der Quantenrechner sehr schwierig gestaltet, obwohl man in letzter Zeit wesentliche Fortschritte gemacht hat. Im Jahr 2001 wurde der erste Quantencomputer entwickelt, der die Zahl 15 faktorisieren kann. Der von Shor benutzte Trick der Fouriertransformation, der uasi eine Brücke zwischen den Quanten- und den klassischen Rechnern darstellt, hat eine ganze Reihe von Entwicklungen nach sich gezogen. Viele klassische Probleme, wie die Suche in Datenbanken, das Problem des Handlungsreisenden oder die Hamilton sche Kreise werden vielleicht auf ähnliche Art und Weise gelöst werden. Da die durch Moore beschriebene Verdoppelung der Rechenleistung und - kapazität durch den Vorstoß der Industrie in molekulare Größenordnung bald nicht mehr vollzogen werden kann, bekommt die Quanteninformatik einen ganz anderen Stellenwert in der Forschung. Alles in allem ist Quanteninformatik eine Fachrichtung der Zukunft, die früher oder später jeden Informatiker beschäftigen wird. 20

21 8 Danksagung Wir möchten uns sehr herzlich bei Herrn Dr. rer. nat. Eberhard H.A. Gerbracht vom Institut für Netzwerktheorie und Schaltungstechnik der Technischen Universität Braunschweig bedanken, der diese Arbeit betreute und uns bei Fragen jederzeit zur Verfügung stand. 21

22 Literatur [Ahar98] Aharonov, D., Quantum Computation, LANL e-print uantph/ , 1998, online unter [Bloe00] Blömer, J., Quantencomputer, Skript zur Vorlesung, Uni Paderborn, 2000, online unter [Crel00] Crell, B. und Uhlmann, A., Einführung in die Grundlagen und Protokolle der Quanteninformatik, Universität Leipzig, ZHS-Preprint NTZ 33/1998, online unter [Feyn82] Feynman, R. P.,Simulating physics with computers, International Journal of Theoretical Physics 21, , 1982 [Grus99] Gruska, J., Quantum computing, McGraw-Hill, New York, 1999 [Hube99] Huber, B., Der Quantencomputer, Fachbereichsarbeit BRG Feldkirchen, 1999 [Lomo00] Lomonaco, Samuel J., A Lecture on Shor s Quantum Factoring Algorithm, LANL e-print uant-ph/ , 2000, online unter [Mill76] Miller, G. L., Riemann s hypothesis and tests for primality, Journal of Computer Science, 13, , 1976 [RSA] RSA-FAQ, [Shor94] Shor, P., Algorithms for uantum computation: discrete logarithms and factoring, Proceedings of the 35th IEEE FOCS, ,