# Kvantni algoritmi - 5

## Šorov algoritam

Šorov algoritam rešava problem faktorizacije broja na proste činioce. Efikasno rešavanje tog problema ima posebnu važnost u kriptografiji, gde mnogi algoritmi zavise od pretpostavke da je na klasičnom računaru vremenski mnogo zahtevno izračunavanje faktorizacije. Do sada najbolji algoritam za faktorizaciju brojeva zahteva $\exp({c \log{n}^{1/3} \log{\log{n}}^{2/3}})$ za neku konstantu $c$, na klasičnom računaru. Na kvantnom računaru, Šorov algoritam se izvršava u vremenu $O((\log^2{n} )(\log\log{n}) (\log \log \log{n}))$ uz dodatnih $\text{polylog}(n)$ koraka na klasičnom računaru. Algoritam je polinomijalne vremenske složenosti u odnosu na broj bitova $O(\log n)$ kojim je potrebno predstaviti broj $n$.

Osnovna ideja algoritma je redukcija problema faktorizacije na problem nalaženja stepena broja u grupi $(\mathbb{Z}_{n} \setminus \{0\}, \cdot_n)$. Stepen broja $x \in \mathbb{Z}_n$ je najmanje $r \in \mathbb{Z}_n \setminus \{0\} = \mathbb{Z}_n^{*}$ takvo da je $x^r \equiv_n 1$. Da bi takvo $r$ postojalo, mora biti $x$ uzajamno prosto sa $n$, odnosno $\text{NZD}(x, n) = 1$. Pretpostavimo da je $r$ paran broj. Tada važi sledeća jednakost:

\begin{align*}
    (x^{r/2} + 1)(x^{r/2} - 1) = x^r - 1 \equiv_n 0. 
\end{align*}

Ako nije $p = x^{r/2} - 1 \equiv_n 0$ i ako nije $q = x^{r/2} + 1 \equiv_n 0$, onda $p$ i $q$ imaju netrivijalne zajedničke čionioce sa $n$. Korišćenjem Euklidovog algoritma za izračunavanje najvećeg zajedničkog delioca između $p$ i $n$ se može odrediti jedan faktor broja $n$. Rekurzivnom primenom se mogu naći i ostali faktori broja $n$. Broj $x$ se bira nasumično dok algoritam ne rastavi broj $n$.

#### Primer procedure:

Neka je dat broj $n = 357$. Sve operacije izvršavamo u grupi $(\mathbb{Z}_{357} \{0\}, \cdot_n)$.
    
Izabrali smo $x = 2$. Pošto je $x$ uzajamno prosto sa $n$, stepen $r$ postoji i dobija se da je $r = 24$. Dakle, sada je $p = x^{12} + 1 = 170$, a $q = x^{12} - 1 = 168$. Odavde je $\text{NZD}(p, n) = 17$ i $\text{NZD}(q, n) = 21$. Dakle, $n = 357 = 17 \cdot 21$. Dalje bi se procedura nastavila sa $17$ i $21$.

### Algoritam:

Šor primećuje funkciju $f_x(k) = x^k \pmod{n}$. Stepen broja $x$ je period funkcije $f_x$, budući da važi jednakost $f_x(k + r) = x^{k + r} \equiv_n x^k x^r \equiv_n x^k = f_x(k)$, odnosno $f_x(k + r) = f_x(k)$. Dakle, problem nalaženja stepena se može svesti na problem nalaženja perioda $r$-periodične funkcije.

Algoritam se može definisati kao niz narednih koraka.
1. Izaberi nasumično broj $a \in \mathbb{Z}_n^{*}$. Ako je $\text{NZD}(a, n) > 1$, $a$ je činilac od $n$. Tada možemo zameniti $n$ sa $n / a$ i pokrenuti algoritam opet.
2. Za $x$ na intervalu $[0, 2^N - 1]$, za $n^2 \leq 2^N < 2 n^2$, izračunaj $f(x) = a^x$ na kvantnom računaru. Ova transformacija transformiše ulaz $\ket{x}\ket{0}$ u $\ket{x}\ket{f(x)}$. U ovom algoritmu se primenjuje ta transformacija na ulazu $H^{\otimes N} \ket{x} \otimes \ket{0}$, nakon čega se dobija $X = 2^{-N} \sum_{x} \ket{x} \ket{f(x)}$.
3. Primeni Furijeovu transformaciju nad $x$-kubitima od $X$ na kvantnom računaru da dobiješ $Y$.
4. Vršenjem kvantnog merenja nad $Y$, dobija se neki indeks $j$. Kada period $r$ od $f$ deli $2^N$, onda $2^N / r$ deli $j$. Ako to nije slučaj, onda QFT aproksimira takvo ponašanje i sa nekom verovatnoćom je $j$ blizu nekog broja $k$ koji je deljiv sa $2^N / r$.
5. Na klasičnom računaru se od broja $j$ dobija pretpostavka za broj $r$.
6. Na klasičnom računaru se koristi Euklidov algoritam da se proveri da li $a^{r/2} + 1$ ima netrivijalni zajednički delilac $p$ sa $n$. Ako ima, primeni algoritam na $p$ i $n/p$, sve dok $n$ u algoritmu ne bude $1$ ili prost broj.

Funkcija $f_k$ je zapravo funkcija modularnog stepenovanja koju smo implementirali već ranije na ovom kursu.

Sada ćemo obraditi korak $4$ u algoritmu. Ostale korake je jasno kako implementirati i zašto oni rade na osnovu prethodnih analiza. Šor je pokazao da važi naredna nejednakost sa velikom verovatnoćom:

\begin{align*}
    \left\vert j - k \frac{2^N}{r} \right\vert < \frac{1}{2},
\end{align*}
za neko $k > 0$. Pošto je $2^N \leq n^2$, onda važi:
\begin{align*}
    \left\vert \frac{j}{2^N} - \frac{k}{r} \right\vert < \frac{1}{2n^2}.
\end{align*}

Ako bi postojala bar dva različita razlomka $\frac{p}{q}$ i $\frac{p'}{q'}$, gde je $q, q' < n$ i $p, p' > 0$, takva da važi:
\begin{align*}
    \left \vert \frac{j}{2^N} - \frac{p}{q} \right \vert < \frac{1}{2n^2}, \\
    \left \vert \frac{j}{2^N} - \frac{p'}{q'} \right \vert < \frac{1}{2n^2},
\end{align*}
onda bi važila sledeća nejednakost:
\begin{align*}
    \left \vert \frac{p}{q} - \frac{p'}{q'} \right \vert \leq \left \vert \frac{j}{2^N} - \frac{p}{q} \right \vert + \left \vert \frac{j}{2^N} - \frac{p'}{q'} \right \vert < \frac{1}{n^2}.
\end{align*}

To nije moguće, jer $\left \vert \frac{p}{q} - \frac{p'}{q'} \right \vert > \frac{1}{n^2}$, jer $q, q' < n$. Ovo nije teško dokazati:
\begin{align*}
    \left \vert \frac{p}{q} - \frac{p'}{q'} \right \vert = \left \vert \frac{p q' - p' q}{q q'} \right \vert > \frac{1}{n^2},
\end{align*} jer $qq' < n^2$ i $p q' - p' q' \neq 0$.

Ukoliko zaista važi $\left \vert j - k \frac{2^N}{r} \right \vert < \frac{1}{2}$, onda će razlomak $\frac{k}{r}$ biti jedinstveni razlomak koji zadovoljava nejednakost $\left\vert \frac{j}{2^N} - \frac{k}{r} \right\vert < \frac{1}{2n^2}$. Vrednost $\frac{k}{r}$ se može naći aproksimacijom $\frac{j}{2^N}$ preko verižnih razlomaka (eng. *continued fraction*) u polinomijalnom vremenu.

### Vremenska složenost:

Vremenska složenost je $O((\log^2{n} )(\log\log{n}) (\log \log \log{n}))$ na kvantnom računaru, uz dodatnih $\text{polylog}(n)$ koraka na klasičnom računaru.

### Šorov algoritam na programskom jeziku Q#

Pre svega, moramo učitati kod koji smo pisali za stepenovanje po modulu.

In [1]:
import qsharp



In [2]:
%%qsharp

open Microsoft.Quantum.Diagnostics;
open Std.Arrays;
open Std.Arithmetic;

operation moduloAdd(a : Qubit[], b : Qubit[], m : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);

    use t1 = Qubit();
    use t2 = Qubit();

    IncByLE(a, b + [t1]);
    Adjoint IncByLE(m, b + [t1]);
    CNOT(t1, t2);
    Controlled IncByLE([t2], (m, b + [t1]));
    Adjoint IncByLE(a, b + [t1]);
    X(t1);
    CNOT(t1, t2);
    X(t1);
    IncByLE(a, b + [t1]);
}

operation ShiftRight(a : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);
    for i in 0..n-2 {
        SWAP(a[i], a[n - 1]);
    }
    
}

operation moduloMultiply(a : Qubit[], b : Qubit[], r : Qubit[], m : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);

    use t = Qubit[n];

    for i in 0..n-1 {
        Adjoint IncByLE(m, a);
        CNOT(a[n - 1], t[i]);
        Controlled IncByLE([t[i]], (m, a));
        Controlled moduloAdd([b[i]], (a, r, m));
        ShiftRight(a);
    }

    for i in 0..n-1 {
        let k = n - 1 - i;
        Adjoint ShiftRight(a);
        Controlled Adjoint IncByLE([t[k]], (m, a));
        CNOT(a[n - 1], t[k]);
        IncByLE(m, a);
    }  
}

operation moduloSquare(a : Qubit[], r : Qubit[], m : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);
    use t = Qubit[n];

    within {
        for i in 0..n-1 {
            CNOT(a[i], t[i]);
        }
    } apply {
        moduloMultiply(a, t, r, m);
    }
}

operation Copy(a : Qubit[], r : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);
    for i in 0..n-1 {
        CNOT(a[i], r[i]);
    }
}

operation moduloExp(a : Qubit[], x : Qubit[], r : Qubit[], m : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(a);
    let k = Length(x);

    // generišemo niz u koji ćemo da smestimo a^{2^i}
    use temp = Qubit[n*k];
    mutable t = Chunks(n, temp);

    use p = Qubit[n * (k - 1)];
    mutable partial = Chunks(n, p);

    within {
        Copy(a, t[0]);

        for i in 1..k-1 {
            moduloSquare(t[i - 1], t[i], m);
        }

        Controlled Copy([x[0]], (a, partial[0]));
        X(x[0]);
        CNOT(x[0], partial[0][0]);
        X(x[0]);

        for i in 1..k-2 {
            Controlled moduloMultiply([x[i]], (t[i], partial[i - 1], partial[i], m));
            X(x[i]);
            Controlled Copy([x[i]], (partial[i - 1], partial[i]));
            X(x[i]);
        }

    } apply {
        Controlled moduloMultiply([x[k - 1]], (t[k - 1], partial[k - 2], r, m));
        X(x[k - 1]);
        Controlled Copy([x[k - 1]], (partial[k - 2], r));
        X(x[k - 1]);
    }
}

Fokusirajmo se najpre na one korake Šorovog algoritma koji se izvode na kvantnom računaru. Njih možemo izdvojiti u zasebne procedure koje ćemo onda primeniti u celom algoritmu. Krenimo redom po koracima i identifikujmo koje bismo korake mogli da izdvojimo na taj način.

1. izbor broja $a$ i provera $gcd(a, n) > 1$ - ovo se može sprovesti na klasičnom računaru
2. nalaženje $N$ tako da je $n^2 \leq 2^N < 2n^2$ i računanje $f_n(x)$ - prvi korak se može izvesti na klasičnom računaru, a drugi se izvodi na kvantnom računaru
3. Furijeova transformacija od $X$ - ovaj korak se izvodi na kvantnom računaru
4. kvantno merenje - vrši se na kvantnom računaru
5. pretpostavka za period $r$ - ovo se izvodi na klasičnom računaru
6. primena Euklidovog algoritma - ovo se izvodi na klasičnom računaru.

Dakle, sve od drugog koraka koraka dva, pa do četvrtog koraka se može izdvojiti u proceduru koja će se izvršiti na kvantnom računaru. Implementirajmo tu proceduru.

In [3]:
%%qsharp

open Std.Canon;
open Std.Intrinsic;

operation QFT(x : Qubit[]) : Unit is Adj + Ctl {

    ApplyQFT(x);

    SwapReverseRegister(x);
}

operation QuantumShorProcedure(a : Qubit[], n : Qubit[], N : Int) : Int {
    // inicijalizujemo N kubita
    use x = Qubit[N];

    // na svakom kubitu primenjujemo H
    ApplyToEachA(H, x);

    // generišemo registar za izlaz funkcije f_n
    use y = Qubit[Length(a)];

    // radimo kvantno stepenovanje
    moduloExp(a, x, y, n);

    // primenjujemo Furijeovu transformaciju na y
    Adjoint QFT(x);

    mutable r = 0;

    for i in 0..N-1 {
        r *= 2;
        if M(x[N - 1 - i]) == One {
            r += 1;
        }
    }

    ResetAll(x);
    ResetAll(y);

  return r;  
}

Napišimo sada proceduru za izbor broja $N$.

In [4]:
%%qsharp

open Std.Math;
open Std.Convert;

function findN(n : Int) : Int {
    let k = 1 + Floor(Lg(IntAsDouble(n * n)));
    let m = 1 <<< k;
    if m < n*n {
        return k + 1;
    }
    if m >= 2*n*n {
        return k - 1;
    }
    return k;
}

Vratimo se sada nazad. Broj $a$ je zadat najpre kao broj, a ne kao kvantni registar. Dužina kvantnog registra na kojem ćemo zapisati $a$ zavisi od broja $n$. Kao što smo ranije izabrali, dužina registara za $a$ i $n$ će biti najmanji broj $k$ takav da je $2n < 2^k$. Napišimo proceduru koja će pripremiti $a$ i $n$ kao kvantne registre.

In [5]:
%%qsharp

operation IntToQubit(a : Int, A : Qubit[]) : Unit is Adj + Ctl {
    let n = Length(A);
    let bitstring = IntAsBoolArray(a, n);
    for i in 0..n-1 {
        if bitstring[i] {
            X(A[i]);
        }
    }
}

operation ShorProcedure(a : Int, n : Int) : Int {
    // nalazimo najmanje k takvo da je 2n < 2^k
    // log_2(2n) < k
    let k = 2 + Ceiling(Lg(2.0 * IntAsDouble(n)));
    use regA = Qubit[k];
    use regN = Qubit[k];

    IntToQubit(a, regA);
    IntToQubit(n, regN);

    let N = findN(n);

    Message($"{k}, {N}");

    let j = QuantumShorProcedure(regA, regN, N);

    ResetAll(regA);
    ResetAll(regN);

    return j; 
}

Pre nego što napišemo celu funkciju, ajde da testiramo ovo što smo do sada uradili. Dakle, $n = 4$, $a = 3$.

In [14]:
%%qsharp

let n = 4;
let a = 3;

let j = ShorProcedure(a, n);
Message($"{j}");

5, 4

8

Pokretanjem više puta, dobijamo $0$ ili $8$. Ovde smo dobili $8$. Sada tražimo $p, q$, gde je $p > 0$, $q < N$, $\left \vert \frac{8}{16} - \frac{p}{q} \right \vert < \frac{1}{50}$. Može se uzeti $p = 1$, $q = 2$, čime dobijamo da je $r = q = 2$. Dakle, aproksimacija za period funkcije $f_4$ je $2$. Proveravamo sada da li $a^{2/2} - 1$ ili $a^{2/2} + 1$ ima netrivijalni NZD sa $4$. Pošto je $a = 3$, dobijamo $a^{2/2} - 1 = 2$ i $a^{2/2} + 1 = 4$. Našli smo netrivijalni delilac $2$.

Ispod ćemo pokušati isto ovo sa $n = 15$ i $a = 4$.

In [7]:
%%qsharp

let n = 15;
let a = 4;

let j = ShorProcedure(a, n);
Message($"{j}");

7, 8

128

Ovde dobijamo $j = 128$ i $N = 8$. Tražimo $p > 0$ i $q < 8$ tako da važi $\left \vert \frac{128}{256} - \frac{p}{q} \right \vert < \frac{1}{450}$. Slično kao gore, uzimamo $p = 1$, $q = 2$, nakon čega dobijamo $r = 2$. Odavde je $a^{r/2} - 1 = 3$, čime smo našli jedan netrivijalni delilac broja $15$.

Pokušajmo isto ovo sa $n = 15$ i $a = 7$;

In [11]:
%%qsharp

let n = 15;
let a = 7;

let j = ShorProcedure(a, n);
Message($"{j}");

7, 8

192

Dobili smo $j = 192$ i $N = 8$. Nejednakost koju rešavamo je $\left \vert \frac{192}{256} - \frac{p}{q} \right \vert < \frac{1}{450}$ Ako postavimo $p = 3$, $q = 4$, dobijamo $r = 4$. Odavde je $a^{r/2} - 1 = 48$ i $a^{r/2} + 1 = 50$. Dobijamo $5$ kao zajednički delilac brojeva $15$ i $50$.

In [15]:
%%qsharp

let n = 57;
let a = 8;

let j = ShorProcedure(a, n);
Message($"{j}");

9, 12

2048

Dobili smo $j = 1365$ i $N = 12$. Rešavamo nejednakost $\left \vert \frac{1365}{4096} - \frac{p}{q} \right \vert < \frac{1}{6498}$. Ako postavimo $p = 1$, $q = 3$, dobijamo $r = 3$ kao aproksimaciju za period (period je zapravo $6$). Dalje, $a^{3/2} \equiv_n \sqrt{56}$. Ovo ne uspeva, jer ne postoji kvadratni koren od $56$ po modulu $57$.

Pokrenimo kod opet. Sada smo dobili $j = 2048$. Odavde dobijamo $p = 1$, $q = 2$. Dalje, $a^{r/2} = a$ i otuda $a^{r/2} - 1 = 7$ i $a^{r/2} + 1 = 9$. Ovde sada nalazimo da $9$ i $57$ imaju $3$ kao zajednički delilac.