Algoritmo de Shor

O algoritmo de Shor é um algoritmo quântico para encontrar os fatores primos de um inteiro. Foi desenvolvido em 1994 pelo matemático americano Peter Shor.^[1]^[2] É um dos poucos algoritmos quânticos conhecidos com aplicações potenciais convincentes e fortes evidências de aceleração superpolinomial em comparação com os melhores algoritmos clássicos (não quânticos) conhecidos.^[3] No entanto, superar os computadores clássicos exigirá computadores quânticos com milhões de qubits devido à sobrecarga causada pela correção de erros quânticos.^[4]

Shor propôs múltiplos algoritmos semelhantes para resolver o problema da fatoração, o problema do logaritmo discreto e o problema de determinação de período. "Algoritmo de Shor" geralmente se refere ao algoritmo de fatoração, mas pode se referir a qualquer um dos três algoritmos. O algoritmo do logaritmo discreto e o algoritmo de fatoração são instâncias do algoritmo de determinação de período, e todos os três são instâncias do problema do subgrupo oculto.

Num computador quântico, para fatorar um inteiro $N$ , o algoritmo de Shor é executado em tempo polinomial, o que significa que o tempo gasto é polinomial em $\log N$ .^[5] Ele requer portas lógicas quânticas da ordem de $O((\log N)^{2}(\log \log N)(\log \log \log N))$ usando multiplicação rápida,^[6] ou mesmo $O((\log N)^{2}(\log \log N))$ usando o algoritmo de multiplicação assintoticamente mais rápido atualmente conhecido, devido a Harvey e van der Hoeven,^[7] demonstrando assim que o problema da fatoração de inteiros está na classe de complexidade BQP. O algoritmo de Shor é assintoticamente mais rápido que o algoritmo de fatoração clássico mais escalável, o crivo geral do corpo de números, que funciona em tempo subexponencial: $O(e^{1.9(\log N)^{1/3}(\log \log N)^{2/3}})$ .^[8]

Viabilidade e impacto

Diagrama apresentando a criptografia e a descriptografia de um documento usando criptografia assimétrica. Algumas formas de criptografia (incluindo a criptografia assimétrica) correm o risco de serem quebradas por futuros computadores quânticos.

Assumindo que um computador quântico com um número suficiente de qubits possa operar sem sucumbir ao ruído quântico e a outros fenômenos de decoerência quântica, então o algoritmo de Shor poderia ser usado para quebrar esquemas de criptografia de chave pública, tais como:

O esquema RSA
A troca de chaves Diffie-Hellman em corpos finitos
A troca de chaves Diffie-Hellman de curva elíptica^[9]

O RSA pode ser quebrado se a fatoração de grandes inteiros for computacionalmente viável. Até onde se sabe, isso não é possível usando computadores clássicos (não quânticos); não se conhece nenhum algoritmo clássico que consiga fatorar inteiros em tempo polinomial. No entanto, o algoritmo de Shor mostra que a fatoração de inteiros pode ser feita com um circuito de complexidade polinomial num computador quântico ideal. Assim, pode ser viável derrotar o RSA construindo um computador quântico grande o suficiente. Esse foi um poderoso motivador para o design e a construção de computadores quânticos e para o estudo de novos algoritmos de computação quântica. Ele também facilitou a pesquisa de novos criptossistemas que sejam seguros contra computadores quânticos, coletivamente chamados de criptografia pós-quântica (PQC).

Implementação física

A partir de 2026, com as altas taxas de erro dos computadores quânticos e o número limitado de qubits físicos disponíveis para a correção de erros quânticos, as demonstrações em laboratório do algoritmo de Shor obtêm resultados corretos apenas em uma fração das tentativas e só tiveram sucesso com pequenos semiprimos.

Em 2001, o algoritmo de Shor foi demonstrado por um grupo na IBM, que fatorou $15$ em $3\times 5$ , usando uma implementação baseada em RMN de um computador quântico com sete qubits.^[10] Após a implementação da IBM, dois grupos independentes implementaram o algoritmo de Shor usando qubits fotônicos, enfatizando que o entrelaçamento de múltiplos qubits foi observado durante a execução dos circuitos do algoritmo de Shor.^[11]^[12] Em 2012, a fatoração de $15$ foi realizada com qubits de estado sólido.^[13] Mais tarde, também em 2012, a fatoração de $21$ foi alcançada.^[14] Em 2016, a fatoração de $15$ foi realizada novamente usando qubits de íons aprisionados.^[15] Contudo, nenhuma dessas demonstrações atende aos requisitos do algoritmo de Shor genuíno: elas compilam o circuito usando conhecimento prévio da solução, e algumas simplificaram o algoritmo de uma forma que o torna equivalente ao lançamento de uma moeda.^[16]

Algoritmo

O problema que estamos tentando resolver é: dado um número composto ímpar $N$ , encontre seus fatores inteiros.

Para conseguir isso, o algoritmo de Shor consiste em duas partes:

Uma redução clássica do problema de fatoração ao problema de determinação de ordem. Esta redução é semelhante à usada para outros algoritmos de fatoração de inteiros, como o crivo quadrático.
Um algoritmo quântico para resolver o problema de determinação de ordem.

Redução clássica

Um algoritmo de fatoração completo é possível se formos capazes de fatorar eficientemente um $N$ arbitrário em apenas dois inteiros $p$ e $q$ maiores que 1, já que, se $p$ ou $q$ não forem primos, o algoritmo de fatoração poderá, por sua vez, ser executado neles até que restem apenas primos.

Uma observação básica é que, usando o algoritmo de Euclides, podemos sempre calcular o MDC (maior divisor comum) entre dois inteiros de forma eficiente. Em particular, isso significa que podemos verificar eficientemente se $N$ é par, caso em que $2$ é trivialmente um fator. Vamos, portanto, assumir que $N$ é ímpar para o restante desta discussão. Depois, podemos usar algoritmos clássicos eficientes para verificar se $N$ é uma potência de um primo.^[17] Para potências de primos, existem algoritmos clássicos de fatoração eficientes;^[18] portanto, o restante do algoritmo quântico pode assumir que $N$ não é uma potência de primo.

Se esses casos fáceis não produzirem um fator não trivial de $N$ , o algoritmo prossegue para lidar com o caso restante. Escolhemos um número inteiro aleatório $2\leq a<N$ . Um possível divisor não trivial de $N$ pode ser encontrado calculando $\gcd(a,N)$ (o MDC), o que pode ser feito clássica e eficientemente usando o algoritmo de Euclides. Se isso produzir um fator não trivial (significando que $\gcd(a,N)\neq 1$ ), o algoritmo termina, e o outro fator não trivial é $N/\gcd(a,N)$ . Se um fator não trivial não foi identificado, isso significa que $N$ e a escolha de $a$ são coprimos, então $a$ está contido no grupo multiplicativo de inteiros módulo $N$ , possuindo um inverso multiplicativo módulo $N$ . Assim, $a$ tem uma ordem multiplicativa $r$ módulo $N$ , o que significa que

a^{r}\equiv 1{\pmod {N}},

e $r$ é o menor inteiro positivo que satisfaz essa congruência.

A sub-rotina quântica encontra $r$ . Pode-se ver pela congruência que $N$ divide $a^{r}-1$ , denotado como $N\mid a^{r}-1$ . Isso pode ser fatorado usando a diferença de quadrados: $N\mid (a^{r/2}-1)(a^{r/2}+1).$ Como fatoramos a expressão desta maneira, o algoritmo não funciona para $r$ ímpar (porque $a^{r/2}$ deve ser um número inteiro), o que significa que o algoritmo teria que ser reiniciado com um novo $a$ . Daqui em diante, podemos, portanto, assumir que $r$ é par. Não pode ser o caso em que $N\mid a^{r/2}-1$ , já que isso implicaria $a^{r/2}\equiv 1{\pmod {N}}$ , o que implicaria contraditoriamente que $r/2$ seria a ordem de $a$ , a qual já definimos ser $r$ . Neste ponto, pode ou não ser o caso de $N\mid a^{r/2}+1$ . Se $N$ não dividir $a^{r/2}+1$ , isso significa que somos capazes de encontrar um fator não trivial de $N$ . Calculamos: $d=\gcd(N,a^{r/2}-1).$ Se $d=1$ , então a afirmação $N\mid a^{r/2}+1$ era verdadeira, e um fator não trivial de $N$ não pode ser alcançado a partir de $a$ , exigindo que o algoritmo reinicie com um novo $a$ . Caso contrário, encontramos um fator não trivial de $N$ , sendo o outro fator $N/d$ , e o algoritmo é concluído. Para este passo, também é equivalente calcular $\gcd(N,a^{r/2}+1)$ ; isso produzirá um fator não trivial se $\gcd(N,a^{r/2}-1)$ for não trivial, e não produzirá se for trivial (onde $N\mid a^{r/2}+1$ ).

O algoritmo reescrito de forma sucinta é o seguinte: seja $N$ ímpar e não uma potência de primo. Queremos extrair dois fatores não triviais de $N$ .

Escolha um número aleatório $1<a<N$ .
Calcule $K=\gcd(a,N)$ , o máximo divisor comum de $a$ e $N$ .
Se $K\neq 1$ , então $K$ é um fator não trivial de $N$ , com o outro fator sendo $N/K$ , e terminamos.
Caso contrário, use a sub-rotina quântica para encontrar a ordem $r$ de $a$ .
Se $r$ for ímpar, volte para a etapa 1.
Calcule $g=\gcd(N,a^{r/2}+1)$ . Se $g$ for não trivial, o outro fator é $N/g$ e terminamos. Caso contrário, volte para a etapa 1.

Foi demonstrado que há grande probabilidade de sucesso após algumas execuções.^[2] Na prática, uma única chamada à sub-rotina de determinação de ordem quântica é suficiente para fatorar completamente $N$ com probabilidade muito alta de sucesso se for usada uma redução mais avançada.^[19]

Sub-rotina quântica de determinação de ordem

O objetivo da sub-rotina quântica do algoritmo de Shor é, dados inteiros coprimos $N$ e $1<a<N$ , encontrar a ordem $r$ de $a$ módulo $N$ , ou seja, o menor inteiro positivo $r$ tal que $a^{r}\equiv 1{\pmod {N}}$ . Para conseguir isso, o algoritmo de Shor usa um circuito quântico envolvendo dois registradores. O segundo registrador usa $n$ qubits, onde $n$ é o menor inteiro tal que $N\leq 2^{n}$ , ou seja, $n=\left\lceil {\log _{2}N}\right\rceil$ . O tamanho do primeiro registrador determina a precisão da aproximação produzida pelo circuito. Pode-se mostrar que usar $2n$ qubits fornece precisão suficiente para encontrar $r$ . O circuito quântico exato depende dos parâmetros $a$ e $N$ , que definem o problema. A seguinte descrição do algoritmo usa a notação bra-ket para denotar os estados quânticos, e $\otimes$ para denotar o produto tensorial.

O algoritmo consiste em dois passos principais:

Usar a estimativa de fase quântica com uma matriz unitária $U$ representando a operação de multiplicação por $a$ (módulo $N$ ), e o estado de entrada $|0\rangle ^{\otimes 2n}\otimes |1\rangle$ (onde o segundo registrador é $|1\rangle$ formado por $n$ qubits). Os autovalores deste $U$ codificam informações sobre o período, e $|1\rangle$ pode ser visto como uma soma dos seus autovetores. Graças a essas propriedades, o estágio da estimativa de fase quântica dá como saída um inteiro aleatório na forma ${\frac {j}{r}}2^{2n}$ para algum $j=0,1,...,r-1$ aleatório.
Usar o algoritmo de frações contínuas para extrair o período $r$ dos resultados da medição obtidos no estágio anterior. Este é um procedimento de pós-processamento (com um computador clássico) dos dados medidos a partir dos estados quânticos de saída, de forma a recuperar o período.

A conexão com a estimativa de fase quântica não foi discutida na formulação original do algoritmo de Shor,^[2] mas foi posteriormente proposta por Alexei Kitaev.^[20]

Estimativa de fase quântica

Sub-rotina quântica no algoritmo de Shor

Em geral, o algoritmo de estimativa de fase quântica, para qualquer unitário $U$ e autoestado $|\psi \rangle$ tal que $U|\psi \rangle =e^{2\pi i\theta }|\psi \rangle$ , envia estados de entrada $|0\rangle |\psi \rangle$ para estados de saída próximos de $|\phi \rangle |\psi \rangle$ , onde $\phi$ é uma superposição de inteiros próximos a $2^{2n}\theta$ . Em outras palavras, ele envia cada autoestado $|\psi _{j}\rangle$ de $U$ para um estado contendo informações próximas ao autovalor associado. Para os propósitos da determinação de ordem quântica, empregamos esta estratégia usando o unitário definido pela ação: $U|k\rangle ={\begin{cases}|ak{\pmod {N}}\rangle &0\leq k<N,\\|k\rangle &N\leq k<2^{n}.\end{cases}}$ A ação de $U$ em estados $|k\rangle$ com $N\leq k<2^{n}$ não é crucial para o funcionamento do algoritmo, mas precisa ser incluída para garantir que a transformação geral seja uma porta quântica bem definida. Implementar o circuito para estimativa de fase quântica com $U$ requer ser capaz de implementar de forma eficiente as portas $U^{2^{j}}$ . Isso pode ser alcançado através da exponenciação modular, que é a parte mais lenta do algoritmo.

A porta assim definida satisfaz $U^{r}=I$ , o que imediatamente implica que seus autovalores são as $r$ -ésimas raízes da unidade $\omega _{r}^{k}=e^{2\pi ik/r}$ . Além disso, cada autovalor $\omega _{r}^{j}$ tem um autovetor da forma ${\textstyle |\psi _{j}\rangle =r^{-1/2}\sum _{k=0}^{r-1}\omega _{r}^{-kj}|a^{k}\rangle }$ , e esses autovetores são tais que: ${\begin{aligned}{\frac {1}{\sqrt {r}}}\sum _{j=0}^{r-1}|\psi _{j}\rangle &={\frac {1}{r}}\sum _{j=0}^{r-1}\sum _{k=0}^{r-1}\omega _{r}^{jk}|a^{k}\rangle \\&=|1\rangle +{\frac {1}{r}}\sum _{k=1}^{r-1}\left(\sum _{j=0}^{r-1}\omega _{r}^{jk}\right)|a^{k}\rangle =|1\rangle ,\end{aligned}}$ onde a última identidade segue da fórmula da série geométrica, que implica ${\textstyle \sum _{j=0}^{r-1}\omega _{r}^{jk}=0}$ .

Usar a estimativa de fase quântica em um estado de entrada $|0\rangle ^{\otimes 2n}|\psi _{j}\rangle$ retornaria, então, o inteiro $2^{2n}j/r$ com alta probabilidade. Mais precisamente, o circuito de estimativa de fase quântica envia $|0\rangle ^{\otimes 2n}|\psi _{j}\rangle$ para $|\phi _{j}\rangle |\psi _{j}\rangle$ de modo que a distribuição de probabilidade resultante $p_{k}\equiv |\langle k|\phi _{j}\rangle |^{2}$ tenha pico em torno de $k=2^{2n}j/r$ , com $p_{2^{2n}j/r}\geq 4/\pi ^{2}\approx 0.4053$ . Essa probabilidade pode ser feita tão próxima de 1 quanto se queira, usando qubits extras.

Aplicando o raciocínio acima à entrada $|0\rangle ^{\otimes 2n}|1\rangle$ , a estimativa de fase quântica, portanto, resulta na evolução: $|0\rangle ^{\otimes 2n}|1\rangle ={\frac {1}{\sqrt {r}}}\sum _{j=0}^{r-1}|0\rangle ^{\otimes 2n}|\psi _{j}\rangle \to {\frac {1}{\sqrt {r}}}\sum _{j=0}^{r-1}|\phi _{j}\rangle |\psi _{j}\rangle .$ Ao medir o primeiro registrador, agora temos uma probabilidade balanceada de $1/r$ para encontrar cada $|\phi _{j}\rangle$ , e cada uma delas fornece uma aproximação inteira de $2^{2n}j/r$ , a qual pode ser dividida por $2^{2n}$ para se obter uma aproximação decimal para $j/r$ .

Algoritmo de frações contínuas para recuperar o período

Em seguida, aplicamos o algoritmo de frações contínuas para encontrar inteiros $b$ e $c$ , onde $b/c$ fornece a melhor aproximação fracionária para a aproximação medida no circuito, para $b,c<N$ com $b$ e $c$ sendo coprimos. O número de qubits no primeiro registrador, $2n$ , que determina a exatidão da aproximação, garante que ${\frac {b}{c}}={\frac {j}{r}},$ desde que a melhor aproximação da superposição de $|\phi _{j}\rangle$ tenha sido medida^[2] (o que pode ser tornado arbitrariamente provável usando bits extras e truncando a saída). Contudo, embora $b$ e $c$ sejam coprimos, pode ser o caso que $j$ e $r$ não o sejam. Por causa disso, $b$ e $c$ podem ter perdido alguns fatores que estavam contidos em $j$ e $r$ . Isso pode ser remediado reexecutando a sub-rotina de ordem quântica um número arbitrário de vezes, para produzir uma lista de aproximações em frações: ${\frac {b_{1}}{c_{1}}},{\frac {b_{2}}{c_{2}}},\ldots ,{\frac {b_{s}}{c_{s}}},$ onde $s$ é o número de vezes que a sub-rotina foi executada. De cada $c_{k}$ podem ter sido removidos fatores diferentes, porque o circuito (provavelmente) terá medido valores distintos possíveis para $j$ . Para recuperar o verdadeiro valor de $r$ , podemos calcular o mínimo múltiplo comum (MMC) de cada $c_{k}$ : $\operatorname {mmc} (c_{1},c_{2},\ldots ,c_{s}).$ O mínimo múltiplo comum será a ordem $r$ do inteiro original $a$ com alta probabilidade. Na prática, uma única execução da sub-rotina quântica é em geral suficiente caso se utilize um pós-processamento mais avançado.^[21]

Escolhendo o tamanho do primeiro registrador

A estimativa de fase requer a escolha do tamanho do primeiro registrador para determinar a exatidão do algoritmo, e para a sub-rotina quântica do algoritmo de Shor, $2n$ qubits são suficientes para garantir que a sequência de bits (bitstring) ideal medida na estimativa de fase (isto é, o $|k\rangle$ onde ${\textstyle k/2^{2n}}$ é a aproximação mais exata da fase advinda da estimativa de fase) permitirá que o valor real de $r$ seja recuperado.

Cada $|\phi _{j}\rangle$ antes da medição no algoritmo de Shor representa uma superposição de inteiros aproximando $2^{2n}j/r$ . Deixe $|k\rangle$ representar o inteiro ideal em $|\phi _{j}\rangle$ . O teorema a seguir garante que o algoritmo das frações contínuas irá recuperar $j/r$ a partir de $k/2^{2{n}}$ :

Teorema — Se $j$ e $r$ são inteiros de $n$ bits, e $\left\vert {\frac {j}{r}}-\phi \right\vert \leq {\frac {1}{2r^{2}}}$ então o algoritmo de frações contínuas executado sobre $\phi$ recuperará tanto ${\textstyle {\frac {j}{\gcd(j,\;r)}}}$ quanto ${\textstyle {\frac {r}{\gcd(j,\;r)}}}$ .

^[3] Como $k$ é a bitstring ótima da estimativa de fase, $k/2^{2{n}}$ tem uma exatidão de $2n$ bits em relação a $j/r$ . Logo: $\left\vert {\frac {j}{r}}-{\frac {k}{2^{2n}}}\right\vert \leq {\frac {1}{2^{2{n}+1}}}\leq {\frac {1}{2N^{2}}}\leq {\frac {1}{2r^{2}}}$ o que implica que o algoritmo de frações contínuas irá recuperar $j$ e $r$ (ou eles com o seu máximo divisor comum já extraído).

O gargalo

O gargalo no tempo de execução do algoritmo de Shor é a exponenciação modular quântica, a qual é muito mais lenta do que a transformada de Fourier quântica e o pré/pós-processamento clássicos. Existem várias abordagens para construir e otimizar circuitos para a exponenciação modular. A abordagem mais simples e (atualmente) mais prática é mimetizar circuitos aritméticos convencionais com portas reversíveis, começando com somadores de propagação de transporte (ripple-carry adders). Conhecer a base e o módulo da exponenciação facilita otimizações adicionais.^[22]^[23] Circuitos reversíveis tipicamente usam em torno da ordem de $n^{3}$ portas para $n$ qubits. Técnicas alternativas melhoram assintoticamente as contagens de portas usando transformadas de Fourier quânticas, mas não são competitivas com menos de 600 qubits devido a constantes muito altas.

Determinação de período e logaritmos discretos

Os algoritmos de Shor para os problemas do logaritmo discreto e para a determinação de ordem são instâncias de um algoritmo que resolve o problema de determinação de período. Todos os três são instâncias do problema do subgrupo oculto.

O algoritmo de Shor para logaritmos discretos

Dado um grupo $G$ com ordem $p$ e um gerador $g\in G$ , suponha que sabemos que $x=g^{r}\in G$ , para algum $r\in \mathbb {Z} _{p}$ , e desejamos calcular $r$ , que é o logaritmo discreto: $r={\log _{g}}(x)$ . Considere o grupo abeliano $\mathbb {Z} _{p}\times \mathbb {Z} _{p}$ , onde cada fator corresponde à adição modular de valores. Agora, considere a função:

f\colon \mathbb {Z} _{p}\times \mathbb {Z} _{p}\to G\;;\;f(a,b)=g^{a}x^{-b}.

Isso nos dá um problema abeliano do subgrupo oculto, onde $f$ corresponde a um homomorfismo de grupos. O núcleo corresponde aos múltiplos de $(r,1)$ . Portanto, se pudermos encontrar o núcleo, seremos capazes de encontrar $r$ . Existe um algoritmo quântico para solucionar esse problema. Este algoritmo, tal como o de fatoração, é de autoria de Peter Shor e ambos são implementados criando uma superposição por meio de portas Hadamard, seguida pela implementação de $f$ como uma transformada quântica, finalizando com uma transformada de Fourier quântica.^[3] Devido a isso, o algoritmo quântico para calcular o logaritmo discreto também é ocasionalmente referido como "Algoritmo de Shor".

O problema da determinação de ordem também pode ser visto como um problema do subgrupo oculto.^[3] Para visualizar isto, considere o grupo de inteiros sob a operação de adição, e para um dado $a\in \mathbb {Z}$ tal que $a^{r}=1$ , considere a função:

f\colon \mathbb {Z} \to \mathbb {Z} \;;\;f(x)=a^{x},\;f(x+r)=f(x).

Para qualquer grupo abeliano finito $G$ , há um algoritmo quântico que soluciona o subgrupo oculto para $G$ em tempo polinomial.^[3]

Ver também

GEECM, um algoritmo de fatoração que se diz ser "frequentemente muito mais rápido do que o de Shor"^[24]
Algoritmo de Grover

Referências

↑ Shor, P.W. (1994). «Algorithms for quantum computation: Discrete logarithms and factoring». Proceedings 35th Annual Symposium on Foundations of Computer Science. [S.l.: s.n.] pp. 124–134. ISBN 978-0-8186-6580-6. doi:10.1109/sfcs.1994.365700
1 2 3 4 Shor, Peter W. (outubro de 1997). «Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer». SIAM Journal on Computing. 26 (5): 1484–1509. arXiv:quant-ph/9508027. doi:10.1137/S0097539795293172
1 2 3 4 5 Nielsen, Michael A.; Chuang, Isaac L. (9 de dezembro de 2010). Quantum Computation and Quantum Information (PDF) 7ª ed. [S.l.]: Cambridge University Press. ISBN 978-1-107-00217-3. Consultado em 24 de abril de 2022. Cópia arquivada (PDF) em 11 de julho de 2019
↑ Gidney, Craig; Ekerå, Martin (2021). «How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits». Quantum. 5. Bibcode:2021Quant...5..433G. arXiv:1905.09749. doi:10.22331/q-2021-04-15-433 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)
↑ Veja também Tempo pseudo-polinomial.
↑ Beckman, David; Chari, Amalavoyal N.; Devabhaktuni, Srikrishna; Preskill, John (agosto de 1996). «Efficient networks for quantum factoring». Physical Review A. 54 (2): 1034–1063. Bibcode:1996PhRvA..54.1034B. PMID 9913575. arXiv:quant-ph/9602016. doi:10.1103/physreva.54.1034
↑ Harvey, David; van der Hoeven, Joris (março de 2021). «Integer multiplication in time O (n log n)» (PDF). Annals of Mathematics. 193 (2). doi:10.4007/annals.2021.193.2.4
↑ «Number Field Sieve». wolfram.com. Consultado em 23 de outubro de 2015
↑ Roetteler, Martin; Naehrig, Michael; Svore, Krysta M.; Lauter, Kristin E. (2017). «Quantum resource estimates for computing elliptic curve discrete logarithms». In: Takagi, Tsuyoshi; Peyrin, Thomas. Advances in Cryptology – ASIACRYPT 2017 – 23rd International Conference on the Theory and Applications of Cryptology and Information Security, Hong Kong, China, December 3–7, 2017, Proceedings, Part II. Lecture Notes in Computer Science. 10625. Springer. pp. 241–270. ISBN 978-3-319-70696-2. arXiv:1706.06752. doi:10.1007/978-3-319-70697-9_9
↑ Vandersypen, Lieven M. K.; Steffen, Matthias; Breyta, Gregory; Yannoni, Costantino S.; Sherwood, Mark H.; Chuang, Isaac L. (dezembro de 2001). «Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance». Nature. 414 (6866): 883–887. Bibcode:2001Natur.414..883V. PMID 11780055. arXiv:quant-ph/0112176. doi:10.1038/414883a
↑ Lu, Chao-Yang; Browne, Daniel E.; Yang, Tao; Pan, Jian-Wei (19 de dezembro de 2007). «Demonstration of a Compiled Version of Shor's Quantum Factoring Algorithm Using Photonic Qubits». Physical Review Letters. 99 (25). Bibcode:2007PhRvL..99y0504L. PMID 18233508. arXiv:0705.1684. doi:10.1103/PhysRevLett.99.250504 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)
↑ Lanyon, B. P.; Weinhold, T. J.; Langford, N. K.; Barbieri, M.; James, D. F. V.; Gilchrist, A.; White, A. G. (19 de dezembro de 2007). «Experimental Demonstration of a Compiled Version of Shor's Algorithm with Quantum Entanglement». Physical Review Letters. 99 (25). Bibcode:2007PhRvL..99y0505L. PMID 18233509. arXiv:0705.1398. doi:10.1103/PhysRevLett.99.250505 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)
↑ Lucero, Erik; Barends, Rami; Chen, Yu; Kelly, Julian; Mariantoni, Matteo; Megrant, Anthony; O'Malley, Peter; Sank, Daniel; Vainsencher, Amit; Wenner, James; White, Ted; Yin, Yi; Cleland, Andrew N.; Martinis, John M. (2012). «Computing prime factors with a Josephson phase qubit quantum processor». Nature Physics. 8 (10): 719. Bibcode:2012NatPh...8..719L. arXiv:1202.5707. doi:10.1038/nphys2385
↑ Martín-López, Enrique; Laing, Anthony; Lawson, Thomas; Alvarez, Roberto; Zhou, Xiao-Qi; O'Brien, Jeremy L. (12 de outubro de 2012). «Experimental realization of Shor's quantum factoring algorithm using qubit recycling». Nature Photonics. 6 (11): 773–776. Bibcode:2012NaPho...6..773M. arXiv:1111.4147. doi:10.1038/nphoton.2012.259
↑ Monz, Thomas; Nigg, Daniel; Martinez, Esteban A.; Brandl, Matthias F.; Schindler, Philipp; Rines, Richard; Wang, Shannon X.; Chuang, Isaac L.; Blatt, Rainer (4 de março de 2016). «Realization of a scalable Shor algorithm». Science. 351 (6277): 1068–1070. Bibcode:2016Sci...351.1068M. PMID 26941315. arXiv:1507.08852. doi:10.1126/science.aad9480
↑ Smolin, John A.; Smith, Graeme; Vargo, Alexander (julho de 2013). «Oversimplifying quantum factoring». Nature. 499 (7457): 163–165. Bibcode:2013Natur.499..163S. PMID 23846653. arXiv:1301.7007. doi:10.1038/nature12290
↑ Bernstein, Daniel (1998). «Detecting perfect powers in essentially linear time». Mathematics of Computation. 67 (223): 1253–1283. doi:10.1090/S0025-5718-98-00952-1
↑ Por exemplo, calculando as primeiras $\log _{2}(N)$ raízes de $N$ , e.g., com o método de Newton e verificando o resultado inteiro quanto à sua primalidade (Teste de primalidade AKS).
↑ Ekerå, Martin (junho de 2021). «On completely factoring any integer efficiently in a single run of an order-finding algorithm». Quantum Information Processing. 20 (6). Bibcode:2021QuIP...20..205E. arXiv:2007.10044. doi:10.1007/s11128-021-03069-1 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)
↑ Kitaev, A. Yu (1995). «Quantum measurements and the Abelian Stabilizer Problem». arXiv:quant-ph/9511026
↑ Ekerå, Martin (maio de 2024). «On the Success Probability of Quantum Order Finding». ACM Transactions on Quantum Computing. 5 (2): 1–40. arXiv:2201.07791. doi:10.1145/3655026
↑ Markov, Igor L.; Saeedi, Mehdi (2012). «Constant-Optimized Quantum Circuits for Modular Multiplication and Exponentiation». Quantum Information and Computation. 12 (5–6): 361–394. Bibcode:2012arXiv1202.6614M. arXiv:1202.6614. doi:10.26421/QIC12.5-6-1
↑ Markov, Igor L.; Saeedi, Mehdi (2013). «Faster Quantum Number Factoring via Circuit Synthesis». Phys. Rev. A. 87 (1). Bibcode:2013PhRvA..87a2310M. arXiv:1301.3210. doi:10.1103/PhysRevA.87.012310 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)
↑ Bernstein, Daniel J.; Heninger, Nadia; Lou, Paul; Valenta, Luke (2017). «Post-quantum RSA». Post-Quantum Cryptography. Col: Lecture Notes in Computer Science. 10346. [S.l.: s.n.] pp. 311–329. ISBN 978-3-319-59878-9. doi:10.1007/978-3-319-59879-6_18

Bibliografia

Nielsen, Michael A.; Chuang, Isaac L. (2010). Quantum Computation and Quantum Information: 10th Anniversary Edition. [S.l.]: Cambridge University Press. ISBN 978-1-107-00217-3
Kaye, Phillip; Laflamme, Raymond; Mosca, Michele (2006). An Introduction to Quantum Computing. [S.l.: s.n.] ISBN 978-0-19-857000-4. doi:10.1093/oso/9780198570004.001.0001
"Explanation for the man in the street" por Scott Aaronson, "approved" por Peter Shor. (Shor escreveu: "Ótimo artigo, Scott! Este é o melhor trabalho de explicação da computação quântica para a pessoa comum que já vi."). Uma metáfora alternativa para o QFT foi apresentada em um dos comentários. Scott Aaronson sugere as 12 referências a seguir como leitura adicional (dentre "os 10^{10⁵⁰⁰⁰} tutoriais de algoritmos quânticos que já estão na web."):
Shor, Peter W. (1997). «Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer». SIAM J. Comput. 26 (5): 1484–1509. Bibcode:1999SIAMR..41..303S. arXiv:quant-ph/9508027v2. doi:10.1137/S0036144598347011 . Versão revisada do artigo original de Peter Shor ("28 páginas, LaTeX. Esta é uma versão ampliada de um artigo que apareceu no Proceedings of the 35th Annual Symposium on Foundations of Computer Science, Santa Fe, New Mexico, Novembro 20--22, 1994. Pequenas revisões feitas em Janeiro de 1996").
Quantum Computing and Shor's Algorithm, Quantum Algorithms Page por Matthew Hayward, 2005-02-17, imsa.edu, versão LaTeX2HTML do documento LaTeX original, também disponível como PDF ou documento postscript.
Quantum Computation and Shor's Factoring Algorithm, Ronald de Wolf, CWI e University of Amsterdam, 12 de janeiro de 1999, documento postscript de 9 páginas.
Shor's Factoring Algorithm, Notas da Palestra 9 de Berkeley CS 294–2, datada de 4 de outubro de 2004, documento postscript de 7 páginas.
Chapter 6 Quantum Computation Arquivado em 2020-04-30 no Wayback Machine, documento postscript de 91 páginas, Caltech, Preskill, PH229.
Quantum computation: a tutorial por Samuel L. Braunstein.
The Quantum States of Shor's Algorithm, por Neal Young, Última modificação: Ter, 21 de maio, 11:47:38 de 1996.
III. Breaking RSA Encryption with a Quantum Computer: Shor's Factoring Algorithm, Notas de aula em computação Quântica, Cornell University, Physics 481–681, CS 483; Primavera de 2006, por N. David Mermin. Última revisão em 2006-03-28, documento PDF de 30 páginas.
Lavor, C.; Manssur, L. R. U.; Portugal, R. (2003). «Shor's Algorithm for Factoring Large Integers». arXiv:quant-ph/0303175
Lomonaco, Jr (2000). «Shor's Quantum Factoring Algorithm». arXiv:quant-ph/0010034 Este artigo é uma versão escrita de uma aula de uma hora sobre o algoritmo de fatoração quântica de Peter Shor. 22 páginas.
Chapter 20 Quantum Computation, retirado de Computational Complexity: A Modern Approach, Rascunho de um livro: Datado de Janeiro de 2007, Sanjeev Arora e Boaz Barak, Princeton University. Publicado como o Capítulo 10 de "Computational Complexity: A Modern Approach", Cambridge University Press, 2009, ISBN 978-0-521-42426-4
A Step Toward Quantum Computing: Entangling 10 Billion Particles. Arquivado em 2011-01-20 no Wayback Machine, revista "Discover", Datado de 19 de Janeiro de 2011.
Josef Gruska - Quantum Computing Challenges também em Mathematics unlimited: 2001 and beyond, Editores Björn Engquist, Wilfried Schmid, Springer, 2001, ISBN 978-3-540-66913-5

Ligações externas

Versão 1.0.0 de libquantum: contém uma implementação em linguagem C do algoritmo de Shor junto à sua biblioteca de computador quântico simulado, mas a variável de largura em shor.c deve ser definida como 1 para melhorar a complexidade do tempo de execução.
PBS Infinite Series criou dois vídeos explicando a matemática por trás do algoritmo de Shor, "How to Break Cryptography" e "Hacking at Quantum Speed with Shor's Algorithm".
Implementação completa do algoritmo de Shor via Classiq

[1] Shor, P.W. (1994). «Algorithms for quantum computation: Discrete logarithms and factoring». Proceedings 35th Annual Symposium on Foundations of Computer Science. [S.l.: s.n.] pp. 124–134. ISBN 978-0-8186-6580-6. doi:10.1109/sfcs.1994.365700

[siam-2] 1 2 3 4 Shor, Peter W. (outubro de 1997). «Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer». SIAM Journal on Computing. 26 (5): 1484–1509. arXiv:quant-ph/9508027. doi:10.1137/S0097539795293172

[:0-3] 1 2 3 4 5 Nielsen, Michael A.; Chuang, Isaac L. (9 de dezembro de 2010). Quantum Computation and Quantum Information (PDF) 7ª ed. [S.l.]: Cambridge University Press. ISBN 978-1-107-00217-3. Consultado em 24 de abril de 2022. Cópia arquivada (PDF) em 11 de julho de 2019

[q2000-4] Gidney, Craig; Ekerå, Martin (2021). «How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits». Quantum. 5. Bibcode:2021Quant...5..433G. arXiv:1905.09749. doi:10.22331/q-2021-04-15-433 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)

[5] Veja também Tempo pseudo-polinomial.

[Beckman-6] Beckman, David; Chari, Amalavoyal N.; Devabhaktuni, Srikrishna; Preskill, John (agosto de 1996). «Efficient networks for quantum factoring». Physical Review A. 54 (2): 1034–1063. Bibcode:1996PhRvA..54.1034B. PMID 9913575. arXiv:quant-ph/9602016. doi:10.1103/physreva.54.1034

[Integer_multiplication_in_time-7] Harvey, David; van der Hoeven, Joris (março de 2021). «Integer multiplication in time O (n log n)» (PDF). Annals of Mathematics. 193 (2). doi:10.4007/annals.2021.193.2.4

[8] «Number Field Sieve». wolfram.com. Consultado em 23 de outubro de 2015

[9] Roetteler, Martin; Naehrig, Michael; Svore, Krysta M.; Lauter, Kristin E. (2017). «Quantum resource estimates for computing elliptic curve discrete logarithms». In: Takagi, Tsuyoshi; Peyrin, Thomas. Advances in Cryptology – ASIACRYPT 2017 – 23rd International Conference on the Theory and Applications of Cryptology and Information Security, Hong Kong, China, December 3–7, 2017, Proceedings, Part II. Lecture Notes in Computer Science. 10625. Springer. pp. 241–270. ISBN 978-3-319-70696-2. arXiv:1706.06752. doi:10.1007/978-3-319-70697-9_9

[VSBYSC01-10] Vandersypen, Lieven M. K.; Steffen, Matthias; Breyta, Gregory; Yannoni, Costantino S.; Sherwood, Mark H.; Chuang, Isaac L. (dezembro de 2001). «Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance». Nature. 414 (6866): 883–887. Bibcode:2001Natur.414..883V. PMID 11780055. arXiv:quant-ph/0112176. doi:10.1038/414883a

[LBYP07-11] Lu, Chao-Yang; Browne, Daniel E.; Yang, Tao; Pan, Jian-Wei (19 de dezembro de 2007). «Demonstration of a Compiled Version of Shor's Quantum Factoring Algorithm Using Photonic Qubits». Physical Review Letters. 99 (25). Bibcode:2007PhRvL..99y0504L. PMID 18233508. arXiv:0705.1684. doi:10.1103/PhysRevLett.99.250504 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)

[LWLBJGW07-12] Lanyon, B. P.; Weinhold, T. J.; Langford, N. K.; Barbieri, M.; James, D. F. V.; Gilchrist, A.; White, A. G. (19 de dezembro de 2007). «Experimental Demonstration of a Compiled Version of Shor's Algorithm with Quantum Entanglement». Physical Review Letters. 99 (25). Bibcode:2007PhRvL..99y0505L. PMID 18233509. arXiv:0705.1398. doi:10.1103/PhysRevLett.99.250505 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)

[13] Lucero, Erik; Barends, Rami; Chen, Yu; Kelly, Julian; Mariantoni, Matteo; Megrant, Anthony; O'Malley, Peter; Sank, Daniel; Vainsencher, Amit; Wenner, James; White, Ted; Yin, Yi; Cleland, Andrew N.; Martinis, John M. (2012). «Computing prime factors with a Josephson phase qubit quantum processor». Nature Physics. 8 (10): 719. Bibcode:2012NatPh...8..719L. arXiv:1202.5707. doi:10.1038/nphys2385

[14] Martín-López, Enrique; Laing, Anthony; Lawson, Thomas; Alvarez, Roberto; Zhou, Xiao-Qi; O'Brien, Jeremy L. (12 de outubro de 2012). «Experimental realization of Shor's quantum factoring algorithm using qubit recycling». Nature Photonics. 6 (11): 773–776. Bibcode:2012NaPho...6..773M. arXiv:1111.4147. doi:10.1038/nphoton.2012.259

[15] Monz, Thomas; Nigg, Daniel; Martinez, Esteban A.; Brandl, Matthias F.; Schindler, Philipp; Rines, Richard; Wang, Shannon X.; Chuang, Isaac L.; Blatt, Rainer (4 de março de 2016). «Realization of a scalable Shor algorithm». Science. 351 (6277): 1068–1070. Bibcode:2016Sci...351.1068M. PMID 26941315. arXiv:1507.08852. doi:10.1126/science.aad9480

[16] Smolin, John A.; Smith, Graeme; Vargo, Alexander (julho de 2013). «Oversimplifying quantum factoring». Nature. 499 (7457): 163–165. Bibcode:2013Natur.499..163S. PMID 23846653. arXiv:1301.7007. doi:10.1038/nature12290

[17] Bernstein, Daniel (1998). «Detecting perfect powers in essentially linear time». Mathematics of Computation. 67 (223): 1253–1283. doi:10.1090/S0025-5718-98-00952-1

[18] Por exemplo, calculando as primeiras $\log _{2}(N)$ raízes de $N$ , e.g., com o método de Newton e verificando o resultado inteiro quanto à sua primalidade (Teste de primalidade AKS).

[Ekerå21-19] Ekerå, Martin (junho de 2021). «On completely factoring any integer efficiently in a single run of an order-finding algorithm». Quantum Information Processing. 20 (6). Bibcode:2021QuIP...20..205E. arXiv:2007.10044. doi:10.1007/s11128-021-03069-1 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)

[20] Kitaev, A. Yu (1995). «Quantum measurements and the Abelian Stabilizer Problem». arXiv:quant-ph/9511026

[Ekerå24-21] Ekerå, Martin (maio de 2024). «On the Success Probability of Quantum Order Finding». ACM Transactions on Quantum Computing. 5 (2): 1–40. arXiv:2201.07791. doi:10.1145/3655026

[22] Markov, Igor L.; Saeedi, Mehdi (2012). «Constant-Optimized Quantum Circuits for Modular Multiplication and Exponentiation». Quantum Information and Computation. 12 (5–6): 361–394. Bibcode:2012arXiv1202.6614M. arXiv:1202.6614. doi:10.26421/QIC12.5-6-1

[23] Markov, Igor L.; Saeedi, Mehdi (2013). «Faster Quantum Number Factoring via Circuit Synthesis». Phys. Rev. A. 87 (1). Bibcode:2013PhRvA..87a2310M. arXiv:1301.3210. doi:10.1103/PhysRevA.87.012310 Parâmetro desconhecido |numero-artigo= ignorado (ajuda)

[24] Bernstein, Daniel J.; Heninger, Nadia; Lou, Paul; Valenta, Luke (2017). «Post-quantum RSA». Post-Quantum Cryptography. Col: Lecture Notes in Computer Science. 10346. [S.l.: s.n.] pp. 311–329. ISBN 978-3-319-59878-9. doi:10.1007/978-3-319-59879-6_18

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]