# 연습문제 2 - 쇼어 알고리즘
## 역사적 배경

컴퓨팅에서는 알고리즘이 입력 문제의 크기에 따라 얼마나 복잡해지는지를 보고 알고리즘의 성능을 측정하곤 합니다. 예를 들어, 덧셈은 더하는 숫자들의 크기에 따라 선형적으로 커지는 알고리즘을 가지고 있습니다. 몇몇 컴퓨팅 문제들에 대한 가장 효율적인 알고리즘들은 입력의 크기에 따라 _지수적으로_ 커지는데, 이는 그 알고리즘들에 대한 비교적 크지 않은 사이즈의 입력도 현재 지구상의 어떤 컴퓨터에서든 해결되기에는 너무 크다는 것을 의미합니다. 우리는 이 사실을 전적으로 확신하기 때문에 대부분의 인터넷 보안도 몇몇 문제들의 해결 불가능함에 의존하고 있습니다.

1994년에 피터 쇼어는 양자 컴퓨터에서 효율적으로 소인수분해하는 것이 가능하다는 걸 보여주었습니다.[1] 이건 매우 놀라운 발견인데, 현재 가장 효율적인 고전 소인수분해 알고리즘은 지수적으로 커지는 알고리즘들 중 하나이기 때문입니다. 사실, [RSA 암호화는](https://en.wikipedia.org/wiki/RSA_(cryptosystem)) 충분히 큰 숫자들을 소인수분해하는 것이 현재 불가능하다는 것에 의존하고 있습니다. 현재 고전 컴퓨터에서 소인수분해하기에 너무 큰 정수들을 양자 컴퓨터에서 소인수분해하려면 몇백만개의 큐비트들과 게이트들을 필요로 하기 때문에, 현재의 양자 컴퓨터에서 성공적으로 실행되기엔 너무 큰 회로를 필요로 합니다.

그래서 Lieven M.K. Vandersypen, Matthias Steffen, Gregory Breyta, Costantino S. Yannoni, Mark H. Sherwood, 그리고 Isaac L. Chuang은 어떻게 한참 전인 2001년에 성공적으로 양자 컴퓨터에서 15를 소인수분해 할 수 있었을까요?[2]

쇼어 알고리즘을 위한 회로를 만들 때 가장 어려운 부분은 제어된 $ay \bmod N$을 계산하는 회로를 만드는 부분입니다. 이 회로를 다항 수의 게이트들로 만드는 방법은 이미 알려져 있지만, 이는 오늘날의 컴퓨터에게는 아직 너무 큽니다. 다행히도 만약 문제에 대한 부분적인 정보를 선험적으로 알 수 있다면, 우리는 약간의 '속임수'를 써 더 효율적인 회로를 만들 수 있습니다.

위에 나온 논문의 저자들은 이 회로를 그들이 사용 가능한 하드웨어에서 실행하기 위해 $7y \bmod 15$를 수행하는 아주 간단한 회로를 발견하였습니다. 이는 전체 회로를 그들의 하드웨어에서 실행될 수 있을 만큼 작게 만들었습니다. 이 연습 문제에서는 쇼어 알고리즘에서 사용될 수 있고 `ibmq_santiago`에서 실행될 수 있는 $35y \bmod N$을 수행하는 회로를 만들어볼 것입니다.

이 연습문제에서 무슨 일이 일어나는지를 이해하고 싶다면, [쇼어 알고리즘에 대한 키스킷 교과서 페이지를](https://qiskit.org/textbook/ch-algorithms/shor.html) 읽어 보면 도움이 될 것입니다. 하지만 꼭 이 페이지를 읽지 않더라도 연습 문제를 풀 수 있을 것입니다.

### 참고자료
1. Shor, Peter W. "Algorithms for quantum computation: discrete logarithms and factoring." Proceedings 35th annual symposium on foundations of computer science. Ieee, 1994.
1. Vandersypen, Lieven MK, et al. "Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance." Nature 414.6866 (2001): 883-887.

## 요약: 쇼어 알고리즘

어떤 게이트가 특정 상태에게 어떤 위상을 주는지 알려주는 [_양자 위상 추정 (quantum phase estimation)_](https://qiskit.org/textbook/ch-algorithms/quantum-phase-estimation.html)이라는 알고리즘이 있습니다. 예를 들어, 양자 위상 추정 알고리즘의 입력은 $|1\rangle$ 상태와 $Z$ 게이트일 수 있습니다. 만약 $Z$ 게이트가 $|1\rangle$ 상태에 적용된다면, 전역 위상만 $\pi$만큼 추가된 같은 상태를 받을 것입니다:

$$
Z|1\rangle = -|1\rangle = e^{i\pi} |1\rangle
$$

양자 위상 추정 알고리즘은 이를 계산해줄 수 있습니다. 또 다른 예는 [여기서](https://qiskit.org/textbook/ch-algorithms/quantum-phase-estimation.html#2.-Example:-T-gate-) 볼 수 있습니다.

쇼어는 만약 $U|y\rangle = |a y\bmod N\rangle$의 성질을 가진 어떤 게이트 $U$에 대해 위상 추정을 한다면, $N$의 인수들에 대한 정보를 단시간 안에 얻을 수 있다는 걸 보여주었습니다.

## 도전 과제

이 도전 과제에서 우리는 $13y \bmod 35$를 수행하는 회로에 대해 위상 추정을 함으로써 35를 소인수분해할 것입니다. 이 과제는 이 작업을 수행하고 `ibmq_santiago`에서 실행될 수 있을 만큼 작은 회로를 만드는 것입니다. 이는 쉬운 작업이 아니기 때문에 우리는 먼저 약간의 속임수를 써 볼 것입니다.

우리의 회로는 시작 상태 $|1\rangle$에 $U$를 적용함으로써 얻을 수 있는 상태들에만 작업하면 됩니다. 즉, 우리는 다음의 성질을 가지기만 하면, _어느_ 회로든 사용할 수 있습니다: 

$$
\begin{aligned}
U|1\rangle &= |13\rangle \\
UU|1\rangle &= |29\rangle \\
UUU|1\rangle &= |27\rangle \\
UUUU|1\rangle &= |1\rangle \\
\end{aligned}
$$

그래서 어떻게 이 작업을 더 쉽게 만들 수 있을까요? 우리는 4개의 다른 상태들만 정확하게 변환시키면 되기 때문에 이를 2개의 큐비트에 부호화시킬 수 있습니다. 이 과제에서는 2-큐비트 computational basis 상태들을 아래에 나온 것처럼 숫자들에 매핑시킬 것입니다:

$$
\begin{aligned}
|1\rangle &\rightarrow |00\rangle \\
|13\rangle &\rightarrow |01\rangle \\
|29\rangle &\rightarrow |10\rangle \\
|27\rangle &\rightarrow |11\rangle \\
\end{aligned}
$$

이게 왜 “속임수”일까요? 일단 이 최적화를 제대로 이용하기 위해서는 $U$가 영향을 미칠 모든 상태들을 알아야 합니다. 그러기 위해 우리는 $ay \bmod N$을 다시 1을 얻을 때까지 계산해야 하고, 그럼으로써 $a^x \bmod N$의 주기를 알게 되고 $N$의 인수들을 얻을 수 있게 될 것입니다. 이렇게 $r$ 값을 알려줄 정보를 사용하는 최적화는 고전 컴퓨터가 해결할 수 없을만큼 큰 문제가 되지는 않을 것입니다. 

하지만 이 도전 과제의 목적은 그저 쇼어 알고리즘이 작동하는 것을 확인하기만 하는 것이기 때문에, 우리가 $U$를 위한 회로를 얻기 위해 속임수를 썼다는 사실에 대해 크게 신경을 쓰진 않을 것입니다.

<div id='u-definition'></div>
<div class="alert alert-block alert-success">

**도전 과제 2a:** 다음의 변환을 수행하는 회로 ($U$)를 만드세요:

$$
\begin{aligned}
U|00\rangle &= |01\rangle \\
U|01\rangle &= |10\rangle \\
U|10\rangle &= |11\rangle \\
U|11\rangle &= |00\rangle \\
\end{aligned}
$$

또한, 이 회로는 다른 큐비트에 의해 제어되어야 합니다. 이 회로는 'target'이란 이름을 가진 2-큐비트 표적 레지스터에 대해 작동할 것이며, 'control'이란 이름을 가진 다른 단일 큐비트 레지스터에 의해 제어될 것입니다. 완성된 회로는 변수 '`cu`'에 대입해야 할 것입니다.
    
</div>

In [None]:
from qiskit import QuantumCircuit
from qiskit import QuantumRegister, QuantumCircuit
c = QuantumRegister(1, 'control')
t = QuantumRegister(2, 'target')
cu = QuantumCircuit(c, t, name="Controlled 13^x mod 35")

# 이 선들 사이에 코드를 적으십시오 - 시작





# 이 선들 사이에 코드를 적으십시오 - 끝

cu.draw('mpl')

밑의 칸을 실행해 답을 확인하세요:

In [None]:
# 다음 코드를 사용해 답을 확인하세요
from qc_grader import grade_ex2a
grade_ex2a(cu)

축하합니다! 어려운 부분을 무사히 끝내셨습니다. 

큐비트들을 측정하여 위상 추정 알고리즘의 출력을 읽기 때문에, 'counting' 레지스터가 $r$을 읽기 위해 충분한 수의 큐비트를 가지고 있는지 확인해야 할 것입니다. 우리의 경우에는, $r = 4$ 이기 때문에 $\log_2(4) = 2$ 수의 큐비트만 필요합니다 ($r$을 이미 알고 있기 때문에 사용하는 다른 속임수입니다). 하지만 Santiago가 5개의 큐비트를 가지고 있고, 우리는 'target' 레지스터를 위해 2개의 큐비트만 사용했기 때문에 나머지 3개의 큐비트를 모두 counting 레지스터를 위해 사용할 것입니다.

$U$에 대해 위상 추정을 하기 위해서는 $n$ counting 큐비트들로 이루어진 레지스터의 (인덱스 $x$를 가진) 각 큐비트에게 ($U$를 $2^x$ 번 반복하는) $U^{2^x}$를 수행하는 회로들을 만들어야 할 것입니다. 우리의 경우에는 다음의 작업을 수행하는 세 개의 회로들이 필요합니다:

$$ U, \; U^2, \; \text{and} \; U^4 $$

따라서 다음 작업은 $U^2$를 수행하는 회로를 만드는 것입니다 ($U$를 두 번 적용하는 회로랑 같습니다).

<div class="alert alert-block alert-success">

**도전 과제 2b:** 다음의 변환을 수행하는 회로 ($U^2$)를 만드세요:

$$
\begin{aligned}
U|00\rangle &= |10\rangle \\
U|01\rangle &= |11\rangle \\
U|10\rangle &= |00\rangle \\
U|11\rangle &= |01\rangle \\
\end{aligned}
$$

또한, 이 회로는 다른 큐비트에 의해 제어되어야 합니다. 이 회로는 'target'이란 이름을 가진 2-큐비트 표적 레지스터에 대해 작동할 것이며, 'control'이란 이름을 가진 다른 단일 큐비트 레지스터에 의해 제어될 것입니다. 완성된 회로는 변수 '`cu2`'에 대입해야 할 것입니다.
</div>

In [None]:
c = QuantumRegister(1, 'control')
t = QuantumRegister(2, 'target')
cu2 = QuantumCircuit(c, t)

# 이 선들 사이에 코드를 적으십시오 - 시작





# 이 선들 사이에 코드를 적으십시오 - 끝

cu2.draw('mpl')

밑의 칸을 실행해 답을 확인하세요:

In [None]:
# 다음 코드를 사용해 답을 확인하세요
from qc_grader import grade_ex2b
grade_ex2b(cu2)

마지막으로, $U$을 네 번 적용하는 것과 똑같은 회로가 필요합니다 (회로 $U^4$가 필요합니다).  

<div class="alert alert-block alert-success">
    
**도전 과제 2c:** 다음의 변환을 수행하는 회로 ($U^4$)를 만드세요:

$$
\begin{aligned}
U|00\rangle &= |00\rangle \\
U|01\rangle &= |01\rangle \\
U|10\rangle &= |10\rangle \\
U|11\rangle &= |11\rangle \\
\end{aligned}
$$

또한, 이 회로는 다른 큐비트에 의해 제어되어야 합니다. 이 회로는 'target'이란 이름을 가진 2-큐비트 표적 레지스터에 대해 작동할 것이며, 'control'이란 이름을 가진 다른 단일 큐비트 레지스터에 의해 제어될 것입니다. 완성된 회로는 변수 '`cu4`'에 대입해야 할 것입니다. _힌트: 최선의 해법은 매우 간단합니다._
</div>

In [None]:
c = QuantumRegister(1, 'control')
t = QuantumRegister(2, 'target')
cu4 = QuantumCircuit(c, t)

# 이 선들 사이에 코드를 적으십시오 - 시작





# 이 선들 사이에 코드를 적으십시오 - 시작

cu4.draw('mpl')

밑의 칸을 실행해 답을 확인하세요:

In [None]:
# 다음 코드를 사용해 답을 확인하세요
from qc_grader import grade_ex2c
grade_ex2c(cu4)

<div class="alert alert-block alert-success">

**Exercise 2 final:** Now we have controlled $U$, $U^2$ and $U^4$, we can combine this into a circuit that carries out the quantum part of Shor’s algorithm.

The initialization part is easy: we need to put the counting register into the state $|{+}{+}{+}\rangle$ (which we can do with three H-gates) and we need the target register to be in the state $|1\rangle$ (which we mapped to the computational basis state $|00\rangle$, so we don’t need to do anything here). We'll do all this for you.

_Your_ task is to create a circuit that carries out the controlled-$U$s, that will be used in-between the initialization and the inverse quantum Fourier transform. More formally, we want a circuit:


$$
CU_{c_0 t}CU^2_{c_1 t}CU^4_{c_2 t}
$$

Where $c_0$, $c_1$ and $c_2$ are the three qubits in the ‘counting’ register, $t$ is the ‘target’ register, and $U$ is as <a href="#u-definition">defined in the first part of this exercise</a>. In this notation, $CU_{a b}$ means $CU$ is controlled by $a$ and acts on $b$. An easy solution to this is to simply combine the circuits `cu`, `cu2` and `cu4` that you created above, but you will most likely find a more efficient circuit that has the same behavior!
    
</div>
<div class="alert alert-block alert-danger">
    
Your circuit can only contain [CNOTs](https://qiskit.org/documentation/stubs/qiskit.circuit.library.CXGate.html) and single qubit [U-gates](https://qiskit.org/documentation/stubs/qiskit.circuit.library.UGate.html). Your score will be the number of CNOTs you use (less is better), as multi-qubit gates are usually much more difficult to carry out on hardware than single-qubit gates. If you're struggling with this requirement, we've included a line of code next to the submission that will convert your circuit to this form, although you're likely to do better by hand.
    
</div>

In [None]:
# Code to combine your previous solutions into your final submission
cqr = QuantumRegister(3, 'control')
tqr = QuantumRegister(2, 'target')
cux = QuantumCircuit(cqr, tqr)
solutions = [cu, cu2, cu4]
for i in range(3):
    cux = cux.compose(solutions[i], [cqr[i], tqr[0], tqr[1]])
cux.draw('mpl')

In [None]:
# Check your answer using following code
from qc_grader import grade_ex2_final
# Uncomment the two lines below if you need to convert your circuit to CNOTs and single-qubit gates
#from qiskit import transpile
#cux = transpile(cux, basis_gates=['cx','u'])
grade_ex2_final(cux)

Once you're happy with the circuit, you can submit it below:

In [None]:
# Submit your answer. You can re-submit at any time.
from qc_grader import submit_ex2_final
submit_ex2_final(cux)

Congratulations! You've finished the exercise. Read on to see your circuit used to factor 35, and see how it performs .

## Using your circuit to factorize 35

The code cell below takes your submission for the exercise and uses it to create a circuit that will give us $\tfrac{s}{r}$, where $s$ is a random integer between $0$ and $r-1$, and $r$ is the period of the function $f(x) = 13^x \bmod 35$.

In [None]:
from qiskit.circuit.library import QFT
from qiskit import ClassicalRegister
# Create the circuit object
cr = ClassicalRegister(3)
shor_circuit = QuantumCircuit(cqr, tqr, cr)

# Initialise the qubits
shor_circuit.h(cqr)

# Add your circuit
shor_circuit = shor_circuit.compose(cux)

# Perform the inverse QFT and extract the output
shor_circuit.append(QFT(3, inverse=True), cqr)
shor_circuit.measure(cqr, cr)
shor_circuit.draw('mpl')

Let's transpile this circuit and see how large it is, and how many CNOTs it uses:

In [None]:
from qiskit import Aer, transpile
from qiskit.visualization import plot_histogram
qasm_sim = Aer.get_backend('aer_simulator')
tqc = transpile(shor_circuit, basis_gates=['u', 'cx'], optimization_level=3)
print(f"circuit depth: {tqc.depth()}")
print(f"circuit contains {tqc.count_ops()['cx']} CNOTs")

And let's see what we get:

In [None]:
counts = qasm_sim.run(tqc).result().get_counts()
plot_histogram(counts)

Assuming everything has worked correctly, we should see equal probability of measuring the numbers $0$, $2$, $4$ and $8$. This is because phase estimation gives us $2^n \cdot \tfrac{s}{r}$, where $n$ is the number of qubits in our counting register (here $n = 3$, $s$ is a random integer between $0$ and $r-1$, and $r$ is the number we're trying to calculate). Let's convert these to fractions that tell us $s/r$ (this is something we can easily calculate classically):

In [None]:
from fractions import Fraction
n = 3  # n is number of qubits in our 'counting' register
# Cycle through each measurement string
for measurement in counts.keys():
    # Convert the binary string to an 'int', and divide by 2^n
    decimal = int(measurement, 2)/2**n
    # Use the continued fractions algorithm to convert to form a/b
    print(Fraction(decimal).limit_denominator())

We can see the denominator of some of the results will tell us the correct answer $r = 4$. We can verify $r=4$ quickly:

In [None]:
13**4 % 35

So how do we get the factors from this? There is then a high probability that the greatest common divisor of $N$ and either $a^{r/2}-1$ or $a^{r/2}+1$ is a factor of $N$, and the greatest common divisor is also something we can easily calculate classically.

In [None]:
from math import gcd # Greatest common divisor
for x in [-1, 1]:
    print(f"Guessed factor: {gcd(13**(4//2)+x, 35)}")

We only need to find one factor, and can use it to divide $N$ to find the other factor. But in this case, _both_ $a^{r/2}-1$ or $a^{r/2}+1$ give us $35$'s factors. We can again verify this is correct:

In [None]:
7*5

## Running on `ibmq_santiago`

We promised this would run on Santiago, so here we will show you how to do that. In this example we will use a simulated Santiago device for convenience, but you can switch this out for the real device if you want:

In [None]:
from qiskit.test.mock import FakeSantiago
from qiskit import assemble
from qiskit.visualization import plot_histogram
santiago = FakeSantiago()
real_device = False

## Uncomment this code block to run on the real device
#from qiskit import IBMQ
#IBMQ.load_account()
#provider = IBMQ.get_provider(hub='ibm-q', group='open', project='main')
#santiago = provider.get_backend('ibmq_santiago')
#real_device = True

# We need to transpile for Santiago
tqc = transpile(shor_circuit, santiago, optimization_level=3)

if not real_device:
    tqc = assemble(tqc)

# Run the circuit and print the counts
counts = santiago.run(tqc).result().get_counts()
plot_histogram(counts)

If your score was low enough, you should see we have a high probability of measuring $0$, $2$, $4$ or $8$ as we saw with the perfect simulation. You will see some extra results due to inaccuracies in the processor and unwanted things interacting with our qubits. This 'noise' gets worse the longer our circuit is, as longer computation time means more time for unwanted interactions, and more gates means more potential errors. This is why we needed to cheat to create the smallest circuit possible.

In the near future, our quantum systems will improve enough that we can start using more advanced error mitigation techniques to overcome these problems, which will mean we can run large enough circuits that we can [perform Shor's algorithm without cheating](https://arxiv.org/pdf/quant-ph/0205095.pdf).

## Additional information

**Created by:** Frank Harkins

**Version:** 1.0.0