e Problema do Subgrupo Oculto Cleber Okida Denise Goya Mateus Santos PCS Prof. Paulo Barreto maio/2008

Transcrição

1 e Cleber Okida Denise Goya Mateus Santos DCC - IME - USP Aplicações da Engenharia Quântica à Segurança da Informação PCS Prof. Paulo Barreto maio/2008

2 Sumário Introdução 1 Introdução 2 Redução da Fatoração ao Cálculo de Ordem 3 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 4

3 Motivações Segurança na Criptografia Clássica Segurança vinculada à crença na dificuldade de solução de certos problemas (computacionalmente intratáveis). Exemplos: Sistema RSA baseia-se na dificuldade de Fatoração de Inteiros Sistema ElGamal é protegido pela dificuldade do problema do Logaritmo Discreto A segurança desses sistemas é quebrada se existirem algoritmos eficientes (de complexidade de tempo polinomial) para resolver esses problemas.

4 Motivações Sistemas Quânticos Introdução Sistemas computacionais quânticos podem ser mais eficientes que os clássicos? Mostraremos que sim. Existem algoritmos quânticos, de complexidade de tempo polinomial, que resolvem: O problema da Fatoração de Inteiros O problema do Logaritmo Discreto Outros problemas do mesmo tipo (Problema do Subgrupo Oculto)

5 Circuitos Quânticos Primordiais Transformada Quântica de Fourier Estimativa de Fase Usa a transformada quântica inversa de Fourier

6 Introdução Redução da Fatoração ao Cálculo de Ordem Peter Shor, em 1994: Anunciou algoritmo quântico para cálculo de ordem; Observou que os problemas de fatoração de inteiros e logaritmo discreto podem ser reduzidos ao cálculo de ordem. Resultados finais foram publicados em [Shor97]

7 Introdução Redução da Fatoração ao Cálculo de Ordem Descreveremos o algoritmo de Shor que: Recebe um número composto N; Usa como subrotina um algoritmo quântico para calcular a ordem de um número; Exibe como resposta um fator primo de N, com alta probabilidade de sucesso.

8 Redução da Fatoração ao Cálculo de Ordem Ordem de um Número Inteiro Módulo N A ordem de um número inteiro x módulo N é o menor inteiro positivo r tal que x r 1 mod N Exemplos: mod mod 21

9 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem A partir do cálculo de ordem de x módulo N, é possível encontrar fator primo de N da seguinte forma:

10 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem A partir do cálculo de ordem de x módulo N, é possível encontrar fator primo de N da seguinte forma: Se x e N possuem fatores comuns, então MDC(x, N) fornece um fator de N

11 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem A partir do cálculo de ordem de x módulo N, é possível encontrar fator primo de N da seguinte forma: Se x e N possuem fatores comuns, então MDC(x, N) fornece um fator de N Caso contrário, x é relativamente primo a N Se r for par, podemos definir y como x r/2 y mod N

12 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Observe que y satisfaz: y 2 1 mod N

13 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Observe que y satisfaz: y 2 1 mod N Logo: (y 1)(y + 1) 0 mod N

14 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Observe que y satisfaz: y 2 1 mod N Logo: (y 1)(y + 1) 0 mod N Ou seja, N divide (y 1)(y + 1)

15 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Se 1 < y < N 1, então N não pode dividir separadamente nem (y 1) e nem (y + 1)

16 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Se 1 < y < N 1, então N não pode dividir separadamente nem (y 1) e nem (y + 1) Ou seja, y 1 0 mod N e y mod N

17 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Se 1 < y < N 1, então N não pode dividir separadamente nem (y 1) e nem (y + 1) Ou seja, y 1 0 mod N e y mod N Conseqüentemente, MDC(y 1, N) e MDC(y + 1, N) produzem fatores não triviais de N

18 Passos para encontrar fator primo de N Redução da Fatoração ao Cálculo de Ordem Se 1 < y < N 1, então N não pode dividir separadamente nem (y 1) e nem (y + 1) Ou seja, y 1 0 mod N e y mod N Conseqüentemente, MDC(y 1, N) e MDC(y + 1, N) produzem fatores não triviais de N Se N tiver mais fatores, eles podem ser calculados aplicando-se recursivamente os passos anteriores.

19 Teorema da Teoria dos Números Redução da Fatoração ao Cálculo de Ordem Os passos para encontrar fator primo de N, a partir do cálculo de ordem de x módulo N, mostrados até o momento, satisfazem as condições do seguinte Teorema, demonstrado em [NielsenChuang00] e [Cardonha04] Theorem Seja N um número inteiro composto, de L bits, e x uma solução não trivial para a equação x 2 1 mod N, com 1 x N (isto é, x 1 mod N e x 1 mod N). Então, MDC(x 1, N) e MDC(x + 1, N) são fatores não triviais de N, que podem ser calculados com O(L 3 ) operações.

20 Exemplo Numérico Introdução Redução da Fatoração ao Cálculo de Ordem Considere N = 21 e x = 2 Como r = 6 é o menor inteiro que satisfaz 2 r 1 mod 21, então r = 6 é a ordem de 2 módulo 21. Como r é par, y mod 21. Como y < N 1: MDC(y 1, N) = MDC(7, 21) = 7 MDC(y + 1, N) = MDC(9, 21) = 3 3 e 7 são fatores de 21.

21 Redução da Fatoração ao Cálculo de Ordem E Quando o Teorema Não Puder Ser Aplicado? Se r for ímpar ou não for verdade que 1 < y < N 1, a estratégia falha. Mostraremos adiante que essas situações ocorrem com probabilidade muito pequena. O algoritmo poderia escolher novo x e recomeçar.

22 Quando N é potência de primo Redução da Fatoração ao Cálculo de Ordem Se N for um número composto, porém potência de um único primo, os passos dados falham. Nesse caso, aplica-se um algoritmo clássico conhecido, de complexidade O(L 3 ), para N com L bits.

23 Cálculo da Probabilidade de Sucesso Redução da Fatoração ao Cálculo de Ordem O Teorema abaixo limita a probabilidade de ocorrerem condições em que a estratégia anterior não pode ser aplicada. Sua demonstração pode ser consultada em [NielsenChuang00] e [Cardonha04] Theorem Seja N um número inteiro ímpar composto, fatorado na forma N = p α 1 1 pαm m. Seja x um inteiro escolhido uniformemente ao acaso, sujeito às condições 1 x N 1 e x é relativamente primo a N. Seja r a ordem de x módulo N. Então P(r ser par e x r/2 1 mod N) m

24 Cálculo da Probabilidade de Sucesso Exemplo Redução da Fatoração ao Cálculo de Ordem Considere N = 21 = 3x7 21 é produto de dois primos: m = 2. Suponha um x relativamente primo a N escolhido uniformemente ao acaso, de ordem r. P(r ser par e x r/2 1 mod N) = 3 4 A probabilidade de sucesso aumenta à medida que cresce o valor de m.

25 Redução da Fatoração ao Cálculo de Ordem Algoritmo para Fatoração, Usando Cálculo de Ordem Entrada: Um número composto N, de comprimento L = log 2 N. Saída: Um fator não trivial de N. Tempo de Execução: O(L 3 ) operações.

26 Redução da Fatoração ao Cálculo de Ordem Algoritmo para Fatoração, Usando Cálculo de Ordem Passos 1 Se N for par, devolva o fator 2; 2 Determine se N = a b para inteiros a 1 e b 2; caso sim, devolva o fator a; 3 Escolha aleatoriamente x positivo, no intervalo de 1 a N 1. Se MDC(x, N) > 1, então devolva o fator MDC(x, N). 4 Use a rotina de cálculo de ordem de x módulo N e obtenha r; 5 Se ordem de r for par e x r/2 1 mod N, então calcule e devolva MDC(x r/2 + 1, N). Caso contrário, o algoritmo falha.

27 Redução da Fatoração ao Cálculo de Ordem Análise de Complexidade da Os maiores custos do algoritmo de fatoração de Shor são: O(L 3 ) para verificação se N é potência de um único primo O(L 3 ) para execução do algoritmo quântico de cálculo de ordem, como veremos adiante O que totaliza complexidade de O(L 3 ) operações.

28 Redução da Fatoração ao Cálculo de Ordem Na computação clássica, o cálculo de ordem é considerado intratável: Não se conhece algoritmo de complexidade polinomial em L para calcular a ordem de um número módulo N com L bits. Veremos um algoritmo quântico que o faz em tempo polinomial.

29 Redução da Fatoração ao Cálculo de Ordem Dados inteiros N e x de comprimento L O objetivo é calcular o menor inteiro r tal que x r 1 mod N O coração do algoritmo é o uso do procedimento de estimativa de fase

30 Redução da Fatoração ao Cálculo de Ordem Dados inteiros N e x de comprimento L O objetivo é calcular o menor inteiro r tal que x r 1 mod N O coração do algoritmo é o uso do procedimento de estimativa de fase Com o operador unitário U y xy(modn) Em que y {0, 1} L e 0 y N 1.

31 Auto-estados de U Introdução Redução da Fatoração ao Cálculo de Ordem Os estados definidos por u s = 1 r 1 [ ] 2πisk exp x k (modn) r r k=0 para 0 s r 1, são auto-estados de U, pois U u s = 1 r 1 [ ] [ ] 2πisk 2πis exp x k+1 (modn) = exp u s r r r k=0

32 Auto-valores de U Introdução Redução da Fatoração ao Cálculo de Ordem Basta, então, usarmos o procedimento de estimativa de fase para obtermos uma aproximação dos auto-valores [ ] 2πis exp r a partir dos quais, extrairemos r

33 Redução da Fatoração ao Cálculo de Ordem Viabilidade do Uso da Estimativa de Fase Para usarmos o procedimento de estimativa de fase, são necessários: Procedimentos eficientes para implementar a operação U 2j -controlada para qualquer inteiro j Obtido com exponenciação modular

34 Redução da Fatoração ao Cálculo de Ordem Viabilidade do Uso da Estimativa de Fase Para usarmos o procedimento de estimativa de fase, são necessários: Procedimentos eficientes para implementar a operação U 2j -controlada para qualquer inteiro j Obtido com exponenciação modular Devemos preparar eficientemente um auto-estado u s com um auto-valor não trivial, ou ao menos uma superposição de tais auto-estados

35 Redução da Fatoração ao Cálculo de Ordem Viabilidade do Uso da Estimativa de Fase Exponenciação Modular A seqüência de operações U 2j -controlada usada na estimativa de fase é equivalente a multiplicar o conteúdo do segundo registrador pela exponencial modular x z (mod N), onde z é o conteúdo do primeiro registrador (com t qubits).

36 Redução da Fatoração ao Cálculo de Ordem Viabilidade do Uso da Estimativa de Fase Exponenciação Modular Realizada em duas fases: 1 Calcular x 2 (mod N), x 4 (mod N), x 2j (mod N), para todo j até t 1 2 Efetuar a multiplicação: x z (modn) = ( ) ( ) ( ) x zt2t 1 (modn) x z t 1 2t 2 (modn) x z 1 20 (modn) A exponenciação modular requer O(L 3 ) portas.

37 Redução da Fatoração ao Cálculo de Ordem Viabilidade do Uso da Estimativa de Fase Preparo do Auto-Estado O segundo registrador pode ser iniciado com 1, pois 1 r 1 r s=0 u s = 1 A inicialização também pode ser feita com 0, caso o operador U j seja substituído por V j k = j k + x j (modn)

38 Expansão da Fração Contínua Redução da Fatoração ao Cálculo de Ordem Ao aplicarmos a estimativa de fase, obtemos uma aproximação para ϕ s/r Sabe-se que ϕ é um número racional (razão de dois inteiros) Para extrairmos o valor r, aplicamos o algoritmo de fração contínua, que é uma variante do algoritmo de Euclides.

39 Expansão da Fração Contínua Redução da Fatoração ao Cálculo de Ordem Vamos encontrar o máximo divisor comum de 79 e 28 pelo processo das divisões sucessivas (algoritmo de Euclides): 79 = = = = = = Logo, MDC(79, 28) = 1, uma vez que 1 é o último resto não-nulo nesta seqüência de divisões sucessivas.

40 Expansão da Fração Contínua Redução da Fatoração ao Cálculo de Ordem Como conseqüência imediata destas igualdades, podemos expressar o número racional da seguinte forma: = = = 2 + = = 2 + = = = = Dizemos que esta última igualdade é a fração contínua que representa o número racional

41 Algoritmo de Fração Contínua Redução da Fatoração ao Cálculo de Ordem Dado um racional ϕ Repete-se sucessivamente: subtrair a parte inteira e inverter a parte fracionária Obtêm-se s e r, sem fatores comuns, tais que s /r = s/r Se x r 1 mod N, então r é a ordem de x módulo N Esse cálculo sempre converge e tem complexidade O(L 3 )

42 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem Entrada: Um número composto N de L bits, um número x relativamente primo a N, uma caixa preta U x,n que realiza a transformação j k j x j k mod N, t = 2L log( ǫ ) qubits iniciados em 0, e L qubits iniciados em 1. Saída: O menor inteiro r > 0 tal que x r 1 mod N. Tempo de Execução: O(L 3 ) operações.

43 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 1. Estado inicial Criar superposição

44 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 1. Estado inicial Criar superposição 1 2 t 1 j 1 2 t j=0 3. Aplicar U x,n

45 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 1. Estado inicial Criar superposição 1 2 t 1 j 1 2 t j=0 3. Aplicar U x,n 1 2 t 1 j x j modn 2 t j=0 1 r2 t r 1 s=0 2 t 1 j=0 e 2πisj/r j u s

46 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador

47 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador 1 r 1 r s=0 s/r u s 5. Medir o primeiro registrador

48 Algoritmo: Cálculo de Ordem Redução da Fatoração ao Cálculo de Ordem 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador 1 r 1 r s=0 s/r u s 5. Medir o primeiro registrador s/r 6. Aplicar algoritmo de fração contínua r

49 Redução da Fatoração ao Cálculo de Ordem Análise de Complexidade do Cálculo de Ordem Operação Tempo consumido Transformada de Hadamard O (L) Transformada Inversa de Fourier O ( L 2) Exponenciação Modular O ( L 3) Algoritmo de Frações Contínuas O ( L 3) Obter r de r O ( L 3) Custo Total O ( L 3)

50 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Todos algoritmos quânticos rápidos conhecidos podem ser descritos como solução de um problema geral: Definition Seja f uma função de um grupo G finitamente gerado para um conjunto finito X, tal que f é constante nas classes laterais do subgrupo K, e que toma valor distinto em cada classe lateral. Dada uma caixa preta quântica que realiza a transformação unitária U g h = g h f (g), para g G, h X, e uma operação binária adequadamente escolhida em X, encontrar um conjunto de geradores para K.

51 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Em outras palavras, o (PSO) consiste em encontrar os geradores de um subgrupo K de um grupo finito G, com uma função oráculo f definida em G tal que f (a) = f (b) se, e somente se, ak = bk para todo a, b G

52 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Exemplos Cálculo de Ordem (visto) Problema de Simon Cálculo do Período Problema do Logaritmo Discreto

53 Problema de Simon Introdução Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Simon [Simon94] apresentou um algoritmo quântico de tempo polinomial para o seguinte problema: Dada, uma função f : Z n 2 Zn 2 dois para um, ou seja, a cada par de valores distintos no domínio corresponde a uma única imagem no contradomínio e com periodicidade ǫ Z n 2. f (x) = f (y) y = x ǫ, x, y Z n 2 Determine ǫ eficientemente (isto é, com probabilidade maior que 1 2 e com poucas chamadas ao oráculo). A função f definida no grupo Z n 2 e constante nas classes laterais de um subgrupo K = {0, ǫ} não conhecido. O objetivo é reconstruir este subgrupo. O algoritmo requer o uso de dois registradores, um com n = lg Z n 2 q-bits e outro com m n q-bits.

54 Algoritmo de Simon Introdução Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Inicialize o computador quântico no estado 0 n 0 m, e aplique K n no a primeiro registrador para obter o estado 1 x 0 m 2 n x Z n 2 ApliqueU f no estado final do passo 1 para obter 1 x f (x) 2 n x Z n 2

55 Algoritmo de Simon (Continuação) Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Meça o segundo registrador e continue com o estado do primeiro registrador inalterado. Assim depois da medida o estado do primeiro registrador terá a forma: 1 2 ( x 0 x 0 + ǫ ) y onde x 0 Z n 2 foi escolhido equiprobabilisticamente (observe que depois da medida, a constante é renormalizada para 1 2 já que sobraram apenas dois termos na soma, termos cuja imagem é um elemento aleatório y do conjunto Im (f ). Podemos ainda escrever o estado do primeiro registrador na forma mais geral: 1 K k K x 0 + k

56 Algoritmo de Simon (Continuação) Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Aplique a transformação de Hadamard na superposição envolvendo o primeiro registrador do estado final do passo anterior para obter: K n 1 ( x 0 x 0 + ǫ ) y = 1 ( 1) (x0.y) y, 2 2 n 1 y:y.ǫ=0 com y, ǫ Z n 2 Meça o primeiro registrador para achar um valor y i tal que ǫ.y i = 0 (a probabilidade de se obter um y i específico é 1 2 n 1. Repetir o processo acima para obter suficientes y i s tal que ǫ possa ser determinado resolvendo um sistema de equações lineares y i.ǫ,...,y r.ǫ = 0.

57 Problema do Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Seja f uma função periódica tal que f(x + r) = f(x). Queremos calcular 0 < r < 2 L com o uso de uma caixa preta U que realiza a transformação unitária U x y x y f (x). Seja ainda t = O(L + log(1/ǫ))

58 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 1. Estado inicial Criar superposição

59 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 1. Estado inicial Criar superposição 2 1 t 1 x 0 2 t x=0 3. Aplicar U

60 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 1. Estado inicial Criar superposição 2 1 t 1 x 0 2 t x=0 3. Aplicar U 2 1 t 1 x f (x) 2 t x=0 1 r2 t r 1 2 t 1 l=0 x=0 e 2πilx/r x ˆf (l)

61 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais O passo 3 do algoritmo utiliza a seguinte definição ˆf (l) = 1 r r 1 e 2πilx/r f (x) x=0 O passo seguinte estima l/r com a aplicação da transformada inversa de Fourier. Esta estimativa que será apresentada utiliza a seguinte transformação 2 1 t 1 e 2πiϕj j u ϕ u 2 t j=0 ϕ é uma boa estimativa para ϕ medido Compare com o algoritmo de estimativa de fase apresentado.

62 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador

63 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador 1 r 1 r l=0 5. Medir o primeiro registrador l/r ˆf (l)

64 Algoritmo: Cálculo do Período Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais 4. Aplicar a inversa da Transformada Quântica de Fourier no primeiro registrador 1 r 1 r l=0 5. Medir o primeiro registrador l/r ˆf (l) l/r 6. Aplicar algoritmo de fração contínua r

65 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere

66 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere f (x 1,x 2 ) = a sx1+x2 mod N

67 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere f (x 1,x 2 ) = a sx1+x2 mod N f (x 1 + l,x 2 ls) = f (x 1,x 2 )

68 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere f (x 1,x 2 ) = a sx1+x2 mod N f (x 1 + l,x 2 ls) = f (x 1,x 2 ) (l, ls), para um inteiro l

69 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere f (x 1,x 2 ) = a sx1+x2 mod N f (x 1 + l,x 2 ls) = f (x 1,x 2 ) (l, ls), para um inteiro l U x 1 x 2 y x 1 x 2 y f (x 1,x 2 )

70 Problema do Logaritmo Discreto Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Dados a, b e N calcular s tal que b = a s mod N Para resolver este problema considere f (x 1,x 2 ) = a sx1+x2 mod N f (x 1 + l,x 2 ls) = f (x 1,x 2 ) (l, ls), para um inteiro l U x 1 x 2 y x 1 x 2 y f (x 1,x 2 ) a r mod N = 1, com r fácil de se calcular Vamos mostrar um algoritmo que calcula s

71 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Algoritmo: Cálculo do Logaritmo Discreto 1. Estado inicial 0 0 0

72 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Algoritmo: Cálculo do Logaritmo Discreto 1. Estado inicial Criar superposição 1 2 t 2 t 1 2 t 1 x 1 =0 x 2 =0 x 1 x 2 0

73 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Algoritmo: Cálculo do Logaritmo Discreto 1. Estado inicial Criar superposição 3. Aplicar U 1 2 t 2 t 1 2 t 1 x 1 =0 x 2 =0 x 1 x t r r t 2 t 1 2 t 1 2 t 1 x 1 =0 x 2 =0 2 t 1 l 2 =0 x 1 =0 x 2 =0 x 1 x 2 f (x 1, x 2 ) e 2πi(sl 2x 1 +l 2 x 2 )/r x 1 x 2 ˆf (sl 2, l 2 )

74 Algoritmo: Cálculo do Logaritmo Discreto = 1 [ r 1 2 ] t 2 t 1 r l 2 =0 x 1 =0 e2πi(sl 2x 1 )/r x 1 [ 2 ] t 1 x 2 =0 e2πi(l 2x 2 )/r x 2 ˆf (sl 2, l 2 )

75 Algoritmo: Cálculo do Logaritmo Discreto = 1 [ r 1 2 ] t 2 t 1 r l 2 =0 x 1 =0 e2πi(sl 2x 1 )/r x 1 [ 2 ] t 1 x 2 =0 e2πi(l 2x 2 )/r x 2 ˆf (sl 2, l 2 ) 4. Aplicar a inversa da Transformada Quântica de Fourier nos dois primeiros registradores

76 Algoritmo: Cálculo do Logaritmo Discreto = 1 [ r 1 2 ] t 2 t 1 r l 2 =0 x 1 =0 e2πi(sl 2x 1 )/r x 1 [ 2 ] t 1 x 2 =0 e2πi(l 2x 2 )/r x 2 ˆf (sl 2, l 2 ) 4. Aplicar a inversa da Transformada Quântica de Fourier nos dois primeiros registradores 1 r 1 sl 2 /r l 2 /r ˆf (sl 2, l 2 ) r l 2 =0

77 Algoritmo: Cálculo do Logaritmo Discreto = 1 [ r 1 2 ] t 2 t 1 r l 2 =0 x 1 =0 e2πi(sl 2x 1 )/r x 1 [ 2 ] t 1 x 2 =0 e2πi(l 2x 2 )/r x 2 ˆf (sl 2, l 2 ) 4. Aplicar a inversa da Transformada Quântica de Fourier nos dois primeiros registradores 1 r 1 r l 2 =0 sl 2 /r l 2 /r ˆf (sl 2, l 2 ) 5. Medir os dois primeiros registradores (s l 2 /r, l 2 /r)

78 Algoritmo: Cálculo do Logaritmo Discreto = 1 [ r 1 2 ] t 2 t 1 r l 2 =0 x 1 =0 e2πi(sl 2x 1 )/r x 1 [ 2 ] t 1 x 2 =0 e2πi(l 2x 2 )/r x 2 ˆf (sl 2, l 2 ) 4. Aplicar a inversa da Transformada Quântica de Fourier nos dois primeiros registradores 1 r 1 r l 2 =0 sl 2 /r l 2 /r ˆf (sl 2, l 2 ) 5. Medir os dois primeiros registradores (s l 2 /r, l 2 /r) 6. Aplicar o algoritmo de frações contínuas s

79 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Considerações sobre o Problema do Logaritmo Discreto O passo 3 do algoritmo utiliza a seguinte definição ˆf (l 1, l 2 ) = 1 r 1 e 2πil2j/r f (0, j) r j=0 Os valores de l 1 e l 2 devem satisfazer r 1 e 2πik(l 1/s l 2 )/r = r k=0 O algoritmo utiliza U apenas uma vez e consome O(log 2 r) unidades de tempo, consumo aproximado do algoritmo do cálculo do período

80 Subgrupos Abelianos Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais A idéia central por trás da solução do Problema do Subgrupo Abeliano Oculto é análise de Fourier em grupos abelianos. Seja G um grupo abeliano finito e seja H o espaço de Hilbert com base ortonormal { g : g G}indexada pelos elementos de G. A Transformada de Fourier se apresenta da seguinte forma: F G g = 1 x g (h) h G h G O (PSO) em grupos abelianos é resolvido eficientemente num computador quântico.

81 Subgrupo Ortogonal Introdução Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Para qualquer subgrupoh de um grupo finito G, podemos definir o subgrupo ortogonal H, como H = {g G χ g (h) = 1 h H} Como G é finito, para mostrar que H é um subgrupo de G, basta mostrarmos que a operação do grupo é fechada em H.De fato, se a, b H então para qualquer h H nós temos χ h(ab) = χ h(b) χ h(b) = 1 1 = 1, isto é, ab H, logo H G.

82 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Transformada de Fourier em Grupos Abelianos Como no algoritmo de Simon, consideraremos que temos dois registradores: um registrador com n = lg G q-bits e o segundo registrador com m q-bits, onde m é um inteiro positivo maior ou igual que n. O algoritmo usa a seguinte sub-rotina: Inicialize o computador quântico no estado 0 G 0 m, onde 0 G é o estado base correspondente ao elemento neutro de G. Depois aplique F G no primeiro registrador para obter 1 g 0 m G g G Aplique U f no estado final do passo anterior e obtenha 1 g f (g) G g G

83 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Transformada de Fourier em Grupos Abelianos Meça o segundo registrador do estado final do passo anterior. A medida, segundo um postulado da mecânica quântica, provoca um distúrbio no estado original. Este estado por sua 1 vez é levado no estado g 0 f (g 0 ) H g 0 H i Aplique F G no primeiro registrador e obtenha então uma superposição sobre H 1, e teremos χ h (g i ) h H h H

84 Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Transformada de Fourier em Grupos Abelianos Meça agora o primeiro registrador. A medida produz um elemento aleatório em H. Segue que se repetirmos esta sub-rotina quântica um número de vezes logaritmico em G (e portanto polinomial em n) obtemos um conjunto de geradores para H, a partir do qual são obtidos os geradores de H.

85 Subgrupos Não Abelianos Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Uma questão natural é perguntar se computadores quânticos podem resolver o PSO em grupos NÃO abelianos. Esta questão tem sido discutida regularmente pela comunidade científica devido a importantes aplicações, como por exemplo, No problema de isomorfismo de dois grafos, quando o grupo em questão é o grupo Simétrico Regev [Regev06] mostrou que uma solução eficiente para o PSO no grupo Diédrico implica um algoritmo eficiente para o problema de determinar o menor vetor em um reticulado, ou pelo menos para uma classe de reticulados para o qual nenhum algoritmo clássico é conhecido.

86 Subgrupos Não Abelianos Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais O grupo Simétrico pode ser definido como se segue. Considere um conjunto não vazio S e seja G = {f : S S f bijetora}. Se a operação composição de funções, então {G, } é claramente um grupo tendo I s : S S definido por I s (x) = x, x Scomo identidade. Se S = {1, 2,...,N} denotaremos esse grupo por S N, e temos que o número de elementos de S N é N!.

87 Subgrupos Não Abelianos Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais Agora veremos um grupo não abeliano, contendo exatamente 2N elementos. Este subgrupo é formado pelas rotações e reflexões do plano que preservam um poĺıgono regular com N vértices. Chamaremos este grupo de Diédrico ou grupo de simetrias do poĺıgono regular de N vértices e o denotaremos por D N. O conjunto formado pelas rotações formam um subgrupo abeliano de D N que denotaremos por C N.

88 Estudos de Grupos Introdução Algoritmo Quântico para o Problema de Simon Algoritmo Quântico para Cálculo do Período Algoritmo Quântico para Logaritmo Discreto Resultados Gerais São questões ainda em estudo: Para quais grupos existem algoritmos quânticos eficientes que resolvem o PSO? Existem grupos para os quais o PSO não pode ser resolvido eficientemente?

89 Resumo Introdução Os Algoritmos quânticos conhecidos, que são exponencialmente mais rápidos que algoritmos clássicos, resolvem o Problema do Subgrupo Abeliano Oculto Acredita-se que algumas famílias de grupos não abelianos podem não ter solução eficiente para o PSO (em pesquisa).

90 Perguntas? Introdução

91 Referências (1/2) Shor, P. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. SIAM Journal on Computing, Lomont, C. The Hidden Subgroup Problem - Review and Open Problems. arxiv:quant-ph/ , Ettinger, M.; Hoyer, P. On Quantum Algorithms for Noncommutative Hidden Subgroups. arxiv:quant-ph/ v1, Nielsen, M.; Chuang, I. Quantum Computation and Quantum Information. Cambridge University Okida, Goya, Press, Santos 2000.

92 Referências (2/2) Cardonha, C.; Silva, M.; Fernandes, C. Computação Quântica: Complexidade e Algoritmos. magal/quantum/, Portugal, R.; Lavor, C.; Carvalho, L.; Maculan, N. Uma Introdução à Computação Quântica. SBMAC, Regev, O.; Lattice-Based Cryptography CRYPTO 2006, LNCS 4117, pp , 2006 Simon, D. R.; On the power of quantum computation In Proceedings of the 35th Annual Symposium on Foundations of Computer Science, pp IEEE Press, 1994