# Algoritmo de Shor

## Ilustração das principais ideias

Em criptografia, usa-se frequentemente o problema de fatoração de números inteiros como o produto de números primos. Embora o problema de multiplicação de inteiros seja resolvido rapidamente em computadores clássicos, e portanto podemos facilmente obter
$$N=a\times b$$
conhecendo $a$ e $b$, o problema inverso, de dado
$$N=?\times ?$$
obter os fatores primos $a$ e $b$, é muito difícil para um computador clássico.

O melhor algoritmo clássico conhecido atualmente para resolver esse problema é o _Number Field Sieve_ (NFS). No entanto, esse algoritmo levaria em torno de $2000$ anos em um único processador clássico para fatorar números inteiros usados no protocolo de criptografia conhecido como RSA-$768$.

Não existe prova da inexistência de _algoritmos clássicos mais eficientes_. Não obstante, já sabemos da existência de uma algoritmo quântico, o _algoritmo de Shor_, que resolve o problema de fatoração de forma eficiente.

Os melhores algoritmos clássicos resolvem o problema de fatoração _chutando aleatoriamente candidatos a fatores primos_ e checando se são ou não. Como existem muitos números para checar, esses algoritmos são ineficientes.

No entanto, vale observar que não precisamos obter necessariamente um fator de $N$, mas sim um número $g$ que compartilhe um fator com $N$. Isso porque existe um algoritmo clássico, o _algoritmo de Euclides_, que é eficiente para calcular o maior divisor comum
$$\gcd(g,N).$$

Digamos então que começamos com um _chute_ $g$ para o fator de $N$. É muito improvável que $g$ e $N$ compartilhem algum fator. No entanto, existe um resultado matemático que estabelece que se dois números $g$ e $N$ não compartilham nenhum fator além de $1$ (são coprimos), então se multiplicamos $g$ por ele mesmo um certo número $\tau$ de vezes, então poderemos escrever
$$g^\tau = m\times N + 1,$$
com $\tau$ e $m$ sendo números naturais. O número $\tau$ é chamado de período ou ordem de $g$ módulo $N$, e é denotado por
$$ord_N(g).$$

Comsideremos alguns exemplos. Os números $7$ e $15$ não compartilham nenhum fator. Mas
\begin{align}
& 7^2 = 49 = 3\times 15 + 3,\\
& 7^3 = 343 = 22\times 15 + 13,\\
& 7^4 = 2401 = 160\times 15 + 1\ \therefore\ ord_{15}(7)=4.
\end{align}
Os números $42$ e $13$ também não compartilham nenhum fator. Mas
\begin{align}
& 42^2 = 1764 = 135\times 13 + 9,\\
& 42^3 = 74088 = 5699\times 13 + 1\ \therefore\ ord_{42}(15)=3.
\end{align}

In [None]:
42**2, 135*13, 42**3, 5699*13

(1764, 1755, 74088, 74087)

Então, para o nosso __palpite errado__ $g$, existem números naturais $\tau$ e $m$ tais que
\begin{align}
& g^\tau = m\times N + 1 \\
& \therefore\ g^\tau - 1 = m\times N \\
& \therefore\ \big(g^{\tau/2} + 1\big)\big(g^{\tau/2} - 1\big) = m\times N.
\end{align}
Os números
$$g^{\tau/2} \pm 1$$
são __melhores candidatos__ do que $g$ para serem fatores de ou compartilharem fatores com $N$.

Sabe-se que $g^{\tau/2} \pm 1$ compartilhará um fator com $N$ para aproximadamente $37.5\ \%$ (com probabilidade $3/8$) dos chutes iniciais $g$. Com isso, vemos que para encontrar um valor $g^{\tau/2} \pm 1$ que compartilha um fator com $N$ com probabilidade maior que
$$0.99,$$
precisamos de não mais que
$$10\text{ chutes}.$$

No entanto, podem ocorrer alguns _problemas_:

1. Um dos valores $g^{\tau/2} \pm 1$ pode ser ele mesmo um múltiplo de $N$ e/ou de $m$:
$$g^{\tau/2} \pm 1 = t\times N,\ g^{\tau/2} \pm 1 =  w\times m,$$
com $t$ e $w$ sendo números naturais. Nestes casos, $g^{\tau/2} \pm 1$ não seriam úteis. No entanto, podemos verificar eficientemente se esses casos ocorrem usando o algoritmo de Euclides.

2. O número $\tau$ pode ser ímpar. Nesse caso $\tau/2$ não é inteiro, e portanto $g^{\tau/2}\pm 1$ também não é inteiro.

3. Não conhecemos o valor de $\tau$. O problema de encontrar $\tau$ em um computador clássico é tão ou mais difícil que o problema de fatoração. Por outro lado, computadores quânticos nos ajudam a obter $\tau$ muito rapidamente.

O segredo da computação quântica está em calcular a função em diferentes valores do domínio em superposição:
$$|a\rangle+|b\rangle+|c\rangle+\cdots \xrightarrow{f(x)}|f(a)\rangle+|f(b)\rangle+|f(c)\rangle+\cdots \xrightarrow{\text{interferência}}|\text{resposta}\rangle.$$

Em geral é difícil fazer isso, mas Shor conseguiu descobrir o algoritmo pra resolver esse problema. E podemos usar o algoritmo de Shor para encontrar $\tau$ tal que $g^\tau = m\times N+1$. Encontrando $\tau$, temos que $g^{\tau/2}\pm 1$ tem alta probabilidade de compartilhar um fator com $N$.

Precisaremos de uma sequência de operações do tipo
$$\sum_x|x\rangle \xrightarrow{g^x} \sum_x|x,g^x\rangle \xrightarrow{>m\times N} \sum_x|x,+r\rangle,$$
em que $+r$ representa o quão maior que $1$ é o resto da divisão de $g^x$ por $N$, algo to tipo
\begin{align}
& |1\rangle+|2\rangle+|3\rangle+\cdots \xrightarrow{g^x} |1,g^1\rangle+|2,g^2\rangle+|3,g^3\rangle+\cdots \\
& \xrightarrow{>m\times N} |x,+17\rangle+|x,+5\rangle+ |x,+92\rangle+\cdots.
\end{align}
Nesse ponto, não podemos simplesmente medir na base computacional, pois obteríamos um único elemento da superposição. Precisamos fazer uma operação esperta que _interferência_ para cancelar os termos que não queremos, restando somente a resposta
$$|\tau,+1\rangle.$$

Mas como aparece o período $\tau$ na história? Aqui é importante notar que se
$$g^x = m\times N + r$$
então, por exemplo, teremos que
\begin{align}
g^{42} & = m_1\times N+3 \\
\therefore\ g^{42+\tau} & = g^{42}g^\tau = (m_1\times N+3)(m\times N+1) \\
& = m_1 m N\times N + m_1\times N + 3m\times N + 3 \\
& = (m_1 m N + m_1 + 3m)\times N + 3 \\
& = m_3\times N + 3,
\end{align}
com $m_3\in \mathbb{N}.$ Ou seja, o resto da divisão de $g^{42}$ por $N$ é igual ao resto da divisão de $g^{42+\tau}$ por $N$, que é igual a $3$.

Do mesmo modo, podemos mostrar que
$$g^{42 + t\times \tau} = m_t\times N + 3,$$
com $t,m_t\in\mathbb{N}.$ Claro, esse resultado não vale somente para $42$ e para o resto $3$, vale para qualquer número natural $x$ e para qualquer resto $r$:
$$g^{x + t\times \tau} = m_t\times N + r.$$

Ou seja, o valor da potência $\tau$ que procuramos tem a __propriedade periódica__ que $x$ e $x+t\times \tau$ retornam o mesmo valor $r$ para o resto da divisão de $g^{x+t\times \tau}$ por $N$:
$$g^{x + 0\times \tau} = m_0\times N + r\ \therefore\ g^{x + t\times \tau} = m_t\times N + r.$$
Essa propriedade de periodicidade é uma relação entre as diferentes potências, que é fundamental para o algoritmo de Shor.

Assim, no computador quântico, se preparamos uma superposição de todas as potências e implementados uma operação que calcula o restos das divisões dessas potências por $N$, com e.g.
$$|1,+17\rangle + |2,+3\rangle + |3,+92\rangle + \cdots$$
e medimos o 2º registro obtendo e.g. o estado
$$|+3\rangle,$$
deixamos o sistema e.g. no seguinte estado de superposição
$$|2,+3\rangle + |12,+3\rangle + |22,+3\rangle + \cdots.$$

Vale lembrar que esse efeito é análogo ao que tínhamos no _algoritmo de Simon_.

Assim, o estado do 1º registro é a superposição
\begin{align}
& |2\rangle + |12\rangle + |22\rangle + \cdots = |2+0\times 10\rangle + |2+1\times 10\rangle + |2+2\times 10\rangle + |2+0\times 10\rangle \\
& = \sum_{j=0}^{M} |2+j\times \tau\rangle.
\end{align}
Note que este estado tem periodicidade de frequência
$$f = \frac{1}{\text{período}} = \frac{1}{\tau}.$$

A melhor ferramenta conhecida para encontrar frequência, ou as frequências, de uma função periódica, é a transformada de Fourier. Em particular, usando a transformada de Fourier quântica, teremos que
$$\sum_{j=0}^{M} |x+j\times \tau\rangle \xrightarrow{TFQ} |1/\tau\rangle + |2/\tau\rangle + |3/\tau\rangle + |4/\tau\rangle + \cdots.$$
Repetindo o experimento podemos obter o fator comum $1/\tau.$

Com isso, finalizamos a descrição sucinta das principais ideias envolvidas no algoritmo de fatoração de Shor, a saber
\begin{align}
& \frac{1}{1/\tau} \rightarrow \tau \xrightarrow{\text{se par}} g^{\tau/2}\pm 1 \\
& \xrightarrow[]{\text{se não é múltiplo de }N} \text{compartilha fator com }N \\
& \rightarrow \text{Usa o algoritmo de Euclides} \\
& \rightarrow \text{Encontra os fatores tais que: } N=a\times b.
\end{align}

### Exemplo: Algoritmo de Shor para fatorar $N=314191$

1. Chuta $g$ (tem pouca chance de compartilhar um fator com $N$)

2. Encontra $\tau$ com um computador quântico

3. $g^{\tau/2}\pm 1$ tem grande chance de compartilhar um fator com $N$

Então, por exemplo, podemos começar com o chute
$$g=101.$$
Usamos o algoritmo de Euclides para verificar se $101$ e $314191$ compartilham um fator. Se não, segue para obter
$$\tau=?\ |\ 101^\tau = m\times 314191 + 1.$$
Para isso precisaremos dos seguintes passo
$$\sum_x|x\rangle \xrightarrow{101^x} \sum_x|x,101^x\rangle \xrightarrow[314191]{+r} \sum_x|x,+r\rangle.$$



Para esse exemplo em particular teremos os passos
\begin{align}
& |1\rangle + |2\rangle + |3\rangle + \cdots + |314191\rangle \\
& \xrightarrow{g^x} |1,1\rangle + |2,101\rangle + |3,10201\rangle + |4,1030301\rangle + \cdots + |314191,\text{too big}\rangle \\
& \xrightarrow{+r} |1,1\rangle + |2,101\rangle + |3,10201\rangle + |4,87728\rangle + \cdots + |314191,153423\rangle \\
& \xrightarrow[\text{obtém e.g.} 74126]{\text{mede 2º registro}} |x,74126\rangle + |x+\tau,74126\rangle + |x+2\tau,74126\rangle + |x+3\tau,74126\rangle + \cdots \\
& = \big(|x\rangle + |x+\tau\rangle + |x+2\tau\rangle + |x+3\tau\rangle + \cdots\big)\otimes |74126\rangle \\
& \xrightarrow[]{\text{QFT 1º registro}} \big( |1/\tau\rangle + |2/\tau\rangle + |3/\tau\rangle + |4/\tau\rangle + \cdots \big)\otimes |74126\rangle \\
& = \big( |1/4347\rangle + |2/4347\rangle + |3/4347\rangle + |4/4347\rangle + \cdots \big)\otimes |74126\rangle.
\end{align}

In [None]:
ull = 10 # limite superior para os números a serem considerados nas listas

list_x = []
for x in range(ull):#314192):
    list_x.append(x)

list_gxp = []
for x in list_x[:ull]:
    list_gxp.append(101**x)

list_pr = []
for x in list_gxp[:ull]:
    list_pr.append(x%314191)

list_x[:ull], list_gxp[:ull], list_pr[:ull]

([0, 1, 2, 3, 4, 5, 6, 7, 8, 9],
 [1,
  101,
  10201,
  1030301,
  104060401,
  10510100501,
  1061520150601,
  107213535210701,
  10828567056280801,
  1093685272684360901],
 [1, 101, 10201, 87728, 63180, 97360, 93439, 11609, 229936, 287593])

In [None]:
import sys
sys.set_int_max_str_digits(1000000)
gx = 101**314191
gx

5454439666786194844551245988001266416299578368826649510926723854039104057436403548777030593724135676907908799026324160698290084011943373882598179029785268273070648877870042946455673583118063751088235707294495534479013655886490529987953878339035395703354474033568024274815772043139430905945156239996089193898855410788012787834902192801706182996283049495613658163213676069881886014024529532639218715732673735927758710364697438892405538614255394590111995381272046100418965485768001368392977703969908549793334949426679280954218541164568756469553607625815703811114730815522734746498009159381469127295205329013974453328104415375473144289695802101709180298024630725391025145157173006034480796118480787173601812961535202037782832716379567976258211974456741289431797929718836232720695462914243119354868023470311396269340132432079413783016771830761271383716547115869782337666112237608431323307287201227669054706430219840270474926890196734287519715767636329183157749755996396769599356605656248645185913580811297

In [None]:
gx%314191

153423

### Pseudo-código para o algoritmo de Shor

<div style="background-color:rgba(0, 0, 0, 0.0470588); padding:10px 0;font-family:monospace;">
Escolhe aleatoriamente $g\in\{1,2,\cdots,N-1\}$ <br>
$a \leftarrow \gcd(g,N)$ <br>
if $a > 1$ <br>
&nbsp;&nbsp;&nbsp;&nbsp; returns $a$ <br>
else if $a=1$ then <br>
&nbsp;&nbsp;&nbsp;&nbsp; $\tau\leftarrow ord_N(g)$ # parte quântica <br>
&nbsp;&nbsp;&nbsp;&nbsp; if $\tau\% 2=0$ then <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $f\leftarrow \gcd(g^{\tau/2}\pm1,N)$ <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; if $f\%N=0$ then <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; returns $f$ <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; end if <br>
&nbsp;&nbsp;&nbsp;&nbsp; end if <br>
end if <br>
</div>

## Complexidade computacional

Para um número $N$ de $n$ bits, o algoritmo de Shor envolve
$$2n+3 \text{ qubits}$$
A profundidade do circuito quântico é
$$\mathcal{O}(n^3).$$
O número total de portas lógicas básicas é
$$CC_Q = \mathcal{O}(n^3 \log(n)).$$



## Referências

1. P. W. Shor, “Algorithms for quantum computation: discrete logarithms and factoring,” in Proceedings 35th Annual Symposium on Foundations of Computer Science, Nov. 1994, pp. 124-134. doi: 10.1109/SFCS.1994.365700.

1. P. W. Shor, “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer,” SIAM J. Comput., vol. 26, no. 5, pp. 1484-1509, Oct. 1997, doi: 10.1137/S0097539795293172.

1. M. A. Nielsen and I. L. Chuang, Quantum Computation and Quantum Information (Cambridge University Press,Cambridge, 2000).

2. S. Aaronson, The Prime Facts: From Euclid to AKS, https://www.scottaaronson.com/writings/prime.pdf (2003).

1. M. A. Nielsen and I. L. Chuang, Quantum Computation and Quantum Information (Cambridge University Press, Cambridge, England, 2000).

1. Richard Cleve, Introduction to Quantum Information Processing (2023), https://cs.uwaterloo.ca/~cleve/courses/F11CS667/, https://youtube.com/playlist?list=PLgOc9DWm_Ey3cnHXjmu8f__ki5AJYd53p&si=etCdYsFeCUBTgclj.

1. Dave Bacon, Lecture Notes on Quantum Computing (2006), https://courses.cs.washington.edu/courses/cse599d/06wi/.

1. minutephysics, How Quantum Computers Break Encryption - Shor's Algorithm Explained, https://youtu.be/lvTqbM5Dq4Q?si=jBT1wgktbrgmDtJ2.

1. minutephysics, How Shor's Algorithm Factors 314191, https://youtu.be/FRZQ-efABeQ?si=pKsbGrK25GkfJyxa.
