Algorithme de Shor

En arithmétique modulaire et en informatique quantique, l’algorithme de Shor est un algorithme quantique conçu par Peter Shor en 1994, qui factorise un entier naturel N en temps O $((\log N)^{3})$ et en espace $O(\log N)$ .

Beaucoup de cryptosystèmes à clé publique, tels que le RSA, deviendraient vulnérables si l'algorithme de Shor était un jour implanté dans un calculateur quantique pratique. Un message chiffré avec RSA peut être déchiffré par factorisation de sa clé publique N, qui est le produit de deux nombres premiers. En l'état actuel des connaissances, il n'existe pas d'algorithme classique capable de faire cela en temps $O((\log N)^{k})$ pour n'importe quel k. Les algorithmes classiques connus deviennent donc rapidement impraticables quand N augmente, à la différence de l'algorithme de Shor qui peut casser le RSA en temps polynomial. Il a été aussi étendu pour attaquer beaucoup d'autres cryptosystèmes à clé publique.

Comme la plupart des algorithmes pour calculateur quantique, l'algorithme de Shor est probabiliste : il donne la réponse correcte avec une haute probabilité et la probabilité d'échec peut être diminuée en répétant l'algorithme.

L'algorithme de Shor fut utilisé en 2001 par un groupe d'IBM, qui factorisa 15 en 3 et 5, en utilisant un calculateur quantique de 7 qubits[1].

Procédure

Soit N un entier naturel donné. L’algorithme de Shor vise à chercher un entier p compris entre 2 et ${\sqrt {N}}$ qui divise N.

Il consiste en deux éléments :

Une réduction du problème de factorisation en un problème de recherche d'ordre, qui peut être effectuée sur un ordinateur classique.
Un algorithme quantique pour résoudre le problème de recherche d'ordre.

Partie classique

Prendre un nombre pseudo-aléatoire a < N
Calculer PGCD(a, N). Ceci peut être effectué par l'utilisation de l'algorithme d'Euclide.
Si PGCD(a, N) ≠ 1, alors c'est un facteur non trivial de N, ce qui donne une solution au problème.
Sinon, utiliser le sous-programme de recherche de période (ci-dessous) pour trouver r, la période de la fonction $f:x\mapsto a^{x}\ {\mbox{mod}}\ N$ , c’est-à-dire le plus petit entier r pour lequel $f(x+r)=f(x)$ .
Si r est impair, retourner à l'étape 1.
Si a ^r/2 ≡ −1 (mod N), retourner à l'étape 1.
Les facteurs de N sont PGCD(a^r/2 ± 1, N), ce qui résout le problème.

Partie quantique : sous-programme de recherche de période

Commencer avec des registres d'entrée et de sortie de chacun log₂N qubits, et les initialiser à :
$N^{-1/2}\sum _{x}\left|x\right\rangle \left|0\right\rangle$

où x va de 0 à N – 1.
Construire f(x) comme une fonction quantique et l'appliquer à l'état précédent, pour obtenir
$N^{-1/2}\sum _{x}\left|x\right\rangle \left|f(x)\right\rangle$
Appliquer la transformée de Fourier quantique au registre d'entrée. La transformée de Fourier quantique sur N points est définie par :
$U_{QFT}\left|x\right\rangle =N^{-1/2}\sum _{y}e^{2\pi ixy/N}\left|y\right\rangle$

Ce qui donne l'état suivant :
$N^{-1}\sum _{x}\sum _{y}e^{2\pi ixy/N}\left|y\right\rangle \left|f(x)\right\rangle$
Effectuer une mesure. On obtient ainsi une certaine valeur y dans le registre d'entrée et $f(x_{0})$ dans le registre de sortie. Comme f est périodique, la probabilité de mesurer un certain y est donnée par
$\left|N^{-1}\sum _{x:\,f(x)=f(x_{0})}e^{2\pi ixy/N}\right|^{2}=\left|N^{-1}\sum _{b}e^{2\pi i(x_{0}+rb)y/N}\right|^{2}$

Le calcul montre que cette probabilité est plus haute quand yr/N est proche d'un entier.
Mettre y/N sous forme irréductible, et extraire le dénominateur r′, qui est un candidat pour r.
Vérifier si f(x) = f(x + r′). Si c'est le cas, c'est terminé.
Autrement, obtenir plus de candidats pour r en utilisant des valeurs proches de y, ou multiples de r′. Si un autre candidat marche, c'est terminé.
Sinon, retourner à l'étape 1 du sous-programme.

Explication de l'algorithme

L'algorithme est composé de deux parties. La première partie transforme le problème de factorisation en un problème de recherche de période d'une fonction et peut être implémentée de façon classique. La seconde partie trouve la période en utilisant la transformée de Fourier quantique et est responsable de l'accélération quantique.

Obtenir des facteurs à partir de la période

Les entiers inférieurs à N et premiers avec N forment un groupe fini muni de la multiplication modulo N, qui est typiquement noté (Z/NZ)^×. La fin de l'étape 3 permet de déterminer un entier a dans ce groupe. Comme le groupe est fini, a possède (d'après le théorème d'Euler) un ordre fini r, défini comme plus petit entier positif tel que

a^{r}\equiv 1\ {\mbox{mod}}\ N

Par conséquent, N | (a ^r – 1). Supposons qu’il soit possible de déterminer r, et que celui-ci est pair. Alors

a^{r}-1=(a^{r/2}-1)(a^{r/2}+1)\equiv 0\ {\mbox{mod}}\ N

, d’où

N\ |(a^{r/2}-1)(a^{r/2}+1)

r est le plus petit entier positif tel que N divise (a ^r – 1), donc N ne peut pas diviser (a ^{r / 2} – 1). Si N ne divise pas non plus (a ^{r / 2} + 1), alors N doit avoir un facteur commun non-trivial avec chacun des (a ^{r / 2} – 1) et (a ^{r / 2} + 1).

Preuve : notons (a ^{r / 2} – 1) et (a ^{r / 2} + 1) par u et v respectivement. N | uv, donc kN = uv pour un certain entier k. Supposons que PGCD(u, N) = 1 ; alors mu + nN = 1 pour certains entiers m et n (identité de Bézout). En multipliant de part et d’autre par v, l’on trouve que mkN + nvN = v, donc N | v. Par contradiction, PGCD(u, N) ≠ 1. Par un argument similaire, PGCD(v, N) ≠ 1.

Ceci fournit une factorisation de N. Si N est le produit de deux nombres premiers, elle est la seule factorisation possible.

Trouver la période

L'algorithme de recherche de période de Shor est fortement relié à la capacité d'un calculateur quantique d'être dans de nombreux états simultanément. Les physiciens appellent ce comportement une « superposition » d'états. Pour calculer la période d'une fonction f, nous évaluons la fonction en tous ses points simultanément.

Pourtant, la physique quantique ne nous permet pas d'accéder à toute l'information directement. Une mesure fournira seulement une parmi toutes les valeurs possibles en détruisant toutes les autres. Par conséquent nous avons à transformer avec précaution la superposition en un autre état qui retournera la réponse correcte avec une haute probabilité. Ceci est accompli par la transformée de Fourier quantique.

Shor eut ainsi à résoudre trois problèmes d'« implémentation ». Tous ont été implémentés « rapidement », ce qui veut dire qu'ils peuvent être implémentés avec un nombre de portes quantiques qui est polynomial en $\log N$ .

Créer une superposition d'états. Ceci peut être fait en appliquant des portes d'Hadamard à tous les qubits dans le registre d'entrée. Une autre approche serait d'utiliser la transformée de Fourier quantique (voir ci-dessous).
Implémenter la fonction f comme une transformation quantique. Pour accomplir cela, Shor utilisa l'élévation au carré pour sa transformation d'exponentiation modulaire.
Exécuter une transformation de Fourier quantique. En utilisant les portes NON contrôlées et les portes qubit à rotation unique, Shor conçut un circuit pour la transformée de Fourier quantique qui utilise juste $O((\log N)^{2})$ portes.

Après toutes ces transformations, une mesure fournira une approximation de la période r. Pour simplifier, assurons-nous qu'il existe un y tel que yr/N soit un entier. Alors la probabilité de mesurer y est 1. Pour voir cela, notons qu'alors $e^{2\pi ibyr/N}=1\,$ pour tous les entiers b. Par conséquent, la somme qui nous donne la probabilité de mesurer y sera de N/r comme b prend globalement N/r valeurs et ainsi, la probabilité est 1/r. Il existe r y tels que yr/N soit un entier donc les probabilités totalisent 1.

Note : une autre manière d'expliquer l'algorithme de Shor est de noter que c'est juste l'algorithme d'estimation de phase quantique déguisé.

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Shor's algorithm » (voir la liste des auteurs).

(en) Michael Ross, « IBM's Test-Tube Quantum Computer Makes History », sur Web Archive ibm.com, 19 décembre 2001 (consulté le 8 août 2022).

Annexes

Bibliographie

(en) Peter W. Shor, Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. « quant-ph/9508027 », texte en accès libre, sur arXiv.
(en) Michael A. Nielsen et Isaac L. Chuang, Quantum Computation and Quantum Information, Cambridge University Press, 2000
Un livre généraliste sur le calcul quantique

Liens externes

Une explication de l'algorithme de Shor, sans calculs, sur le blog de Scott Aaronson

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.