Shor-Algorithmus

23. Nov 2008, 13:53

Der Shor-Algorithmus ist ein Algorithmus aus dem mathematischen Teilgebiet der Zahlentheorie, der sich Mitteln der Quanteninformatik bedient. Er berechnet auf einem Quantencomputer einen nichttrivialen Teiler einer zusammengesetzten Zahl und zählt somit zur Klasse der Faktorisierungsverfahren.

Für praktisch relevante Aufgabenstellungen ist der Shor-Algorithmus noch nicht anwendbar, da er starken technischen Einschränkungen unterliegt. Für eine Zahl $n$ benötigt man einen Quantencomputer mit mindestens $log(n)$ Qubits. Eine Forschungsgruppe der IBM hat beispielsweise im Jahr 2001 einen Quantencomputer mit sieben Qubits eingesetzt, um die Zahl 15 in die Faktoren 5 und 3 zu zerlegen.^[1]

Der Shor-Algorithmus ist für die Kryptographie so bedeutend, da er einen nichttrivialen Teiler essenziell schneller findet als klassische Algorithmen. Während diese subexponentielle, jedoch deutlich höher als polynomiale Laufzeit benötigen, hat der Shor-Algorithmus nur polynomiale Laufzeit. Dies stellt beispielsweise eine Gefahr für die häufig zur verschlüsselten Datenübertragung verwendeten RSA-Kryptosysteme dar, deren Sicherheit gerade auf der Annahme beruht, dass kein Faktorisierungsverfahren mit polynomialer Laufzeit existiert.

Der Algorithmus wurde 1994 von Peter W. Shor veröffentlicht, der damals bei den AT&T Bell Laboratories beschäftigt war. Die Arbeit trägt den Titel Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer.^[2] Darin wird auch noch ein zweiter Algorithmus zur Berechnung des diskreten Logarithmus beschrieben, der ebenfalls als Shor-Algorithmus bezeichnet wird. Im Allgemeinen wird diese Bezeichnung jedoch für das Faktorisierungsverfahren verwendet.

Inhaltsverzeichnis

1 Eigenschaften
2 Ablauf
- 2.1 Klassischer Teil
- 2.2 Quantenteil
3 Literatur
4 Quellen

[Bearbeiten] Eigenschaften

Der Shor-Algorithmus ist ein probabilistischer Algorithmus. In einigen, wenigen Fällen ist das Ergebnis falsch; der Algorithmus zählt somit zur Klasse der Monte-Carlo-Algorithmen.

Eingabe: Eine zusammengesetzte Zahl n.
Ausgabe: Ein nichttrivialer Faktor von n.
Laufzeit: $O ((log n) 3)$ Gatteroperationen.

[Bearbeiten] Ablauf

Die grundlegende Idee ist, dass man die Faktorisierung auf die Bestimmung der Ordnung zurückführen kann. Diese Bestimmung lässt sich mit Hilfe der Quanten-Fouriertransformation effektiv durchführen. Man teilt den Algorithmus deshalb häufig in einen klassischen Teil zur Reduzierung des Problems und einen Quantenteil, der das Restproblem effektiv löst.

[Bearbeiten] Klassischer Teil

Wähle eine Zahl x (1 < x < n).
Bestimme den ggT(x, n) (z.B. mittels des Euklidischen Algorithmus). Falls das Ergebnis ungleich 1 ist, gib dies als Lösung zurück und terminiere. Sonst fahre mit dem nächsten Schritt fort.
Bestimme mit Hilfe des Quantenteils (s.u.) die Ordnung r von x in der primen Restklassengruppe $(\mathbb Z/n\mathbb Z)^\times$ (das kleinste r, so dass $x^r\equiv 1 (\textrm{mod}\; n)$ .
Beginne erneut bei 1, falls:
1. r ungerade ist, oder
2. $x^{r/2}\equiv -1 (\textrm{mod}\; n)$ .
Gib $ggT(x r / 2 - 1, n)$ als Lösung zurück.

Erklärung:

Warum ist der Wert in Schritt 5 eine Lösung? - Betrachte das Produkt ( $x r / 2$ - 1) · ( $x r / 2$ + 1) = $x r$ - 1. Wir wissen nach Schritt 3, dass gilt: $x r$ - 1 ≡ 0 mod n, dass nicht gilt: $x r / 2$ + 1 ≡ 0 mod n (Schritt 4) und dass nicht gilt: $x r / 2$ - 1 ≡ 0 mod n (Schritt 3, da r die kleinste Zahl mit $x r$ - 1 ≡ 0 mod n ist und $r / 2 < r$ gilt), woraus folgt, dass $x r / 2$ - 1 nichttriviale Teiler von n enthält, der euklidische Algorithmus zur Berechnung des ggT liefert diese Teiler in Polynomialzeit.
Wie oft muss man das Verfahren wiederholen, bis man einen Teiler erhält? - Die Wahrscheinlichkeit, bei zufälliger Wahl von x einen Teiler zu erhalten, beträgt mindestens 1 - 1/ $2 k - 1$ , wobei k die Zahl der voneinander verschiedenen Primfaktoren von n (ungleich 2) ist. Wenn zum Beispiel n aus nur zwei Primfaktoren zusammengesetzt ist, erhält man pro Durchgang mit Wahrscheinlichkeit 1/2 eine Lösung, die Wahrscheinlichkeit für einen Misserfolg nach t Schritten beträgt also nur noch $2 - t$ .

[Bearbeiten] Quantenteil

Bestimme q als Potenz von 2 mit $n 2$ ≤ q < $2 n 2$ .
Initialisiere das erste Quantenregister (Eingaberegister) mit der Superposition (siehe Qubit) aller Zustände a (mod q). Dies führt in den Zustand:
$\frac {1}{q^{1/2}} \sum_{a=0}^{q-1} | a \rangle \ | 0 \rangle$ .
Initialisiere das zweite Register (Ausgaberegister) mit der Superposition der Zustände $x^a (\textrm{mod}\, n)$ . Das Ergebnis ist der Zustand:
$\frac {1}{q^{1/2}} \sum_{a=0}^{q-1} | a \rangle \ | x^a (\textrm{mod}\, \ n) \rangle$ .
Führe auf dem ersten Register die Quanten-Fouriertransformation durch, wobei:
$QFT \left( | a \rangle \right) = \frac {1}{q^{1/2}} \sum_{c=0}^{q-1} e^{2\pi iac/q} \ | c \rangle$
so dass sich ergibt:
$\frac {1}{q} \ \sum_{a=0}^{q-1} \ \sum_{c=0}^{q-1} e^{2\pi iac/q} \ | c \rangle \ | x^a (\textrm{mod}\, \ n) \rangle$ .
Führe eine Messung durch (entnimm den Inhalt der Register). Die Wahrscheinlichkeit für den Zustand |c, $x k$ (mod n)〉 mit 0 < k < r ergibt sich zu:
$\left| \frac {1}{q} \ \sum_{a: x^a \equiv x^k} e^{2\pi iac/q} \right|_{}^2$ . Hierfür gilt die Beziehung a ≡ k mod r oder a = br + k, so dass wir schreiben können:
$\left| \frac {1}{q} \ \sum_{b} e^{2\pi i\left(br + k\right)c/q} \right|_{}^2$ Diese diskrete Funktion verfügt durch Amplifikation über charakteristische Maxima für Werte einer Variablen $d \in \mathbb{Z}$ , die die Beziehung:
$\left| \frac {c}{q} - \frac {d}{r} \right| \le \frac {1}{2q}$ erfüllen. Es lässt sich zeigen, dass es für die angegebenen Beziehungen von q, r und n höchstens einen solchen Wert bei festem c gibt Damit lässt sich r berechnen, falls d und r teilerfremd sind. (Die Wahrscheinlichkeit für diesen Fall beträgt mindestens $\frac {\phi (r)}{3r}$ oder $\Omega\!\left(\frac {1}{\log \log r}\right)$ , das heißt, wir erhalten r mit hoher Wahrscheinlichkeit nach O (log log r) Wiederholungen.)
Gib den berechneten Wert r′ zurück, wenn er tatsächlich die Ordnung von x ist, ansonsten wiederhole das Experiment.

[Bearbeiten] Literatur

IBM's Test-Tube Quantum Computer Makes History; First Demonstration Of Shor's Historic Factoring Algorithm - ScienceDaily, 20. Dezember 2001

[Bearbeiten] Quellen

↑ Lieven M. K. Vandersypen, Matthias Steffen, Gregory Breyta, Costantino S. Yannoni, Mark H. Sherwood und Isaac L. Chuang: Experimental realization of an order-finding algorithm with an NMR quantum computer. In: Nature. 414/2001. Macmillan Publishers, S. 883–887, ISSN 0028-0836 (doi:10.1038/414883a)
↑ Peter W. Shor: Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. In: SIAM Journal on Computing. 26/1997, S. 1484–1509 (arXiv:quant-ph/9508027)

Von „http://de.wikipedia.org/wiki/Shor-Algorithmus“

Kategorien: Algorithmus | Zahlentheorie | Quanteninformatik

Dieser Artikel ist eine Kopie aus der freien Enzyklopädie Wikipedia. Am Originalartikel kann jeder Korrekturen und Ergänzungen vornehmen. Zudem kann man frühere Versionen einsehen.

Nützliche Listen

Abkürzungen • Dateiendungen • Netzjargon

Urheberrecht

Für alle Lexikon-Artikel gilt die GNU FDL (GNU Freie Dokumentationslizenz).
Die Wikipedia ist eine Enzyklopädie, deren Inhalte frei nutzbar sind und immer sein werden.

Shor-Algorithmus

Inhaltsverzeichnis

[Bearbeiten] Eigenschaften

[Bearbeiten] Ablauf

[Bearbeiten] Klassischer Teil

[Bearbeiten] Quantenteil

[Bearbeiten] Literatur

[Bearbeiten] Quellen

Kategorien

Computerspiel

Elektronik

Hardware

Informatik

Internet

Software

Nützliche Listen

Urheberrecht