Алгори́тм Шо́ра — квантовый алгоритм факторизации (разложения числа на простые множители), позволяющий разложить число ${\displaystyle M}$ за время ${\displaystyle O(\log ^{3}M)}$, используя ${\displaystyle O(\log M)}$ логических кубитов.

Алгоритм Шора был разработан Питером Шором в 1994 году. Семь лет спустя, в 2001 году, его работоспособность была продемонстрирована группой специалистов IBM. Число 15 было разложено на множители 3 и 5 при помощи квантового компьютера с 7 кубитами.

Значимость алгоритма заключается в том, что с его помощью (при использовании квантового компьютера с несколькими тысячами логических кубитов) становится возможным взлом криптографических систем с открытым ключом. К примеру, RSA использует открытый ключ ${\displaystyle M}$, являющийся произведением двух больших простых чисел. Один из способов взломать шифр RSA — найти множители ${\displaystyle M}$. При достаточно большом ${\displaystyle M}$ это практически невозможно сделать, используя известные классические алгоритмы. Наилучшие из известных классических детерминированных доказанных алгоритмов факторизации, такие как метод квадратичных форм Шенкса и алгоритм Полларда — Штрассена, требуют времени порядка ${\displaystyle M^{1/4}}$. Также метод квадратичных форм Шенкса может работать за время порядка ${\displaystyle M^{1/5}}$, если верна Гипотеза Римана. Среди вероятностных алгоритмов лидером факторизации является специальный метод решета числового поля, который способен с вероятностью 1/2 найти простой делитель за субэкспоненциальное время ${\displaystyle \exp \left(\left({\frac {32}{9}}\cdot \log M\right)^{1/3}\cdot (\log \log M)^{2/3}\right)}$. Алгоритм Шора, используя возможности квантовых компьютеров, способен произвести факторизацию числа не просто за полиномиальное время, а за время, не намного превосходящее время умножения целых чисел (то есть практически так же быстро, как происходит само шифрование). Таким образом, реализация масштабируемого квантового компьютера поставит крест на большей части современной криптографической защиты. Речь не только о схеме RSA, прямо опирающейся на сложности факторизации, но и о других сходных схемах, которые квантовый компьютер способен взломать аналогичным образом.

Алгоритм Шора имеет вероятностный характер. Первый источник случайности встроен в классическое вероятностное сведе́ние разложения на множители к нахождению периода некоторой функции. Второй источник появляется из необходимости наблюдения квантовой памяти, которое также даёт случайные результаты^[1].

В 2023 году Одед Регев опубликовал новый квантовый алгоритм по факторизации чисел, превосходящий по эффективности Алгоритм Шора. Регев разработал свой новый алгоритм, дополнив алгоритм Шора методами из раздела криптографии, занимающегося многомерной геометрией. Ему удалось обобщить алгоритм на произвольное количество измерений, а не только на два, в результате чего для факторизации чисел квантовому компьютеру требуется гораздо меньше логических шагов. Специалисты по квантовыми вычислениями отмечают, что удивительно и неожиданно, что спустя 30 лет кто-то смог качественно улучшить алгоритм Шора^[2][3][4].

Основа алгоритма Шора: способность информационных единиц квантовых компьютеров — кубитов — принимать несколько значений одновременно и находиться в состоянии «квантовой запутанности». Поэтому он позволяет проводить вычисления в условиях экономии кубитов. Принцип работы алгоритма Шора можно разделить на 2 части: первая — классическое сведе́ние разложения на множители к нахождению периода некоторой функции, вторая — квантовое нахождение периода этой функции. Пусть:

${\displaystyle M}$ — число, которое мы хотим разложить на множители (оно не должно быть целой степенью нечётного числа);

${\displaystyle N}$ — размер регистра памяти, который используется (не считая свалки). Битовый размер этой памяти ${\displaystyle n=\log _{2}N}$ примерно в 2 раза больше размера ${\displaystyle M}$. Точнее, ${\displaystyle M^{2}<N=2^{n}<2M^{2}}$;

${\displaystyle t}$ — случайный параметр, такой что ${\displaystyle 1<t<M}$ и ${\displaystyle \operatorname {gcd} (t,M)=1}$ (где ${\displaystyle \operatorname {gcd} }$ — наибольший общий делитель).

Отметим, что ${\displaystyle t}$, ${\displaystyle N}$, ${\displaystyle M}$ — фиксированы. В алгоритме Шора используется стандартный способ сведения задачи разложения к задаче поиска периода ${\displaystyle r}$ функции для случайно подобранного числа ${\displaystyle t}$^[5].

Минимальное ${\displaystyle r}$ такое, что ${\displaystyle t^{r}\equiv 1\ {\mbox{mod}}\ M}$, — это порядок ${\displaystyle t}$ по модулю ${\displaystyle M}$.

Порядок ${\displaystyle r}$ является периодом функции ${\displaystyle f(x)=t^{x}\ {\mbox{mod}}\ M}$, где ${\displaystyle x=0,1,2,\dots ,N-1}$.

Если можно эффективно вычислить ${\displaystyle r}$ как функцию ${\displaystyle t}$, то можно найти собственный делитель ${\displaystyle M}$ за время, ограниченное полиномом от ${\displaystyle \log _{2}M}$ с вероятностью ${\displaystyle \geqslant 1-M^{-m}}$ для любого фиксированного ${\displaystyle m}$.

Предположим, что для данного ${\displaystyle t}$ период ${\displaystyle r}$ чётен ${\displaystyle (r\equiv 0\ {\mbox{mod}}\ 2)}$ и удовлетворяет условию

${\displaystyle t^{\frac {r}{2}}\not \equiv -1\ {\mbox{mod}}\ M}$.

Тогда

${\displaystyle \operatorname {gcd} (t^{\frac {r}{2}}+1,M)}$ — собственный делитель ${\displaystyle M}$. Функция ${\displaystyle \operatorname {gcd} }$ вычислима за полиномиальное время.

Вероятность выполнения этого условия ${\displaystyle \geqslant 1-{\frac {1}{2^{k-1}}}}$, где ${\displaystyle k}$ — число различных нечётных простых делителей ${\displaystyle M}$, следовательно, ${\displaystyle \geqslant {\frac {1}{2}}}$ в данном случае. Поэтому хорошее значение ${\displaystyle t}$ с вероятностью ${\displaystyle \geqslant 1-M^{-m}}$ найдётся за ${\displaystyle O(\log M)}$ попыток. Самое длинное вычисление в одной попытке — вычисление ${\displaystyle t^{\frac {r}{2}}}$^[6][7].

Для осуществления квантовой части алгоритма вычислительная схема представляет собой ${\displaystyle 2}$ квантовых регистра ${\displaystyle X}$ и ${\displaystyle Y}$. Первоначально каждый из них состоит из совокупности кубитов в нулевом булевом состоянии ${\displaystyle |0\rangle }$.

Регистр ${\displaystyle X}$ используется для размещения аргументов ${\displaystyle x}$ функции ${\displaystyle f(x)}$. Регистр ${\displaystyle Y}$ (вспомогательный) используется для размещения значений функции ${\displaystyle f(x)}$ с периодом ${\displaystyle r}$, подлежащим вычислению.

Квантовое вычисление состоит из 4 шагов^[8]:

• Первый шаг. На первом шаге с помощью операции Уолша — Адамара^[англ.], которая представляет собой преобразование кубита с помощью оператора ${\displaystyle H={\frac {1}{\sqrt {2}}}{\begin{bmatrix}1&1\\1&-1\end{bmatrix}}}$, первоначальное состояние ${\displaystyle |0\rangle \ }$ регистра ${\displaystyle X}$ переводится в равновероятную суперпозицию всех булевых состояний ${\displaystyle N}$. Второй регистр ${\displaystyle Y}$ остаётся в состоянии ${\displaystyle |0\rangle }$. В итоге получается следующее состояние для системы двух регистров:

  ${\displaystyle {\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,0\rangle .}$

• Второй шаг. Пусть ${\displaystyle U_{f}}$ — унитарное преобразование, которое переводит ${\displaystyle |x,0\rangle }$ в ${\displaystyle |x,f(x)\rangle }$. На втором шаге применяется унитарное преобразование к системе двух регистров. Получается следующее состояние системы:

${\displaystyle {\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,0\rangle \quad \xrightarrow {U_{f}} \quad {\frac {1}{\sqrt {N}}}\sum \limits _{x=0}^{N-1}|x,t^{x}\ {\mbox{mod}}\ M\rangle }$, то есть между состояниями обоих регистров образуется определённая связь.

• Третий шаг. Квантовое Фурье-преобразование представляет собой унитарное преобразование состояния квантового регистра, описываемого ${\displaystyle N}$-мерным вектором состояния вида ${\displaystyle \sum \limits _{x=0}^{N-1}f(x)|x\rangle }$, в другое состояние ${\displaystyle \sum \limits _{k=0}^{N-1}{\tilde {f}}(k)|k\rangle }$:

${\displaystyle \mathrm {QFT} _{N}:\sum \limits _{x=0}^{N-1}f(x)|x\rangle \ \Rightarrow \sum \limits _{k=0}^{N-1}{\tilde {f}}(k)|k\rangle }$, где амплитуда фурье-преобразования ${\displaystyle f(x)}$ имеет вид

${\displaystyle {\tilde {f}}(k)={\frac {1}{N}}\sum \limits _{x=0}^{N-1}\exp(2\pi \ i\ kx/N)f(x)}$.

В двумерной ${\displaystyle x,k}$-плоскости преобразование Фурье соответствует повороту осей координат на 90°, которое приводит к преобразованию шкалы ${\displaystyle x}$ в шкалу ${\displaystyle k}$. На третьем шаге над состоянием первого регистра производится преобразование Фурье, и получается

${\displaystyle {\frac {1}{N}}\sum \limits _{x=0}^{N-1}\sum \limits _{k=0}^{N-1}\exp(2\pi \ i\ kx/N)|k,t^{x}\ {\mbox{mod}}\ M\rangle }$.

• Четвёртый шаг. На четвёртом шаге выполняется измерение первого регистра ${\displaystyle X}$ относительно ортогональной проекции вида:

${\displaystyle |0,0\rangle \otimes I,\quad |1,1\rangle \otimes I,\quad \dots ,\quad |N-1,N-1\rangle \otimes I}$, где ${\displaystyle I}$ — тождественный оператор на гильбертовом пространстве второго регистра ${\displaystyle Y}$.

В результате получается ${\displaystyle |k,t^{k}\ {\mbox{mod}}\ M\rangle \ }$ с вероятностью^[9]

${\displaystyle \left|{\frac {1}{N}}\sum \limits _{x:\ t^{x}\equiv t^{k}\ {\mbox{mod}}\ M}\exp(2\pi \ i\ kx/N)\right|^{2}}$.

На оставшейся части прогона работает классический компьютер:

• Находится наилучшее приближение (снизу) к ${\displaystyle {\frac {k}{N}}\ }$ со знаменателем ${\displaystyle r'<M<{\sqrt {N}}:}$

  ${\displaystyle \left|{\frac {k}{N}}\ -{\frac {d'}{r'}}\right|<{\frac {1}{2N}}}$.

• Пробуем ${\displaystyle r'}$ в роли ${\displaystyle r}$:
  • Если ${\displaystyle r'\equiv 0\ {\mbox{mod}}\ 2}$, то следует вычислить ${\displaystyle \operatorname {gcd} (t^{\frac {r'}{2}}\pm 1,M)}$.
  • Если ${\displaystyle r'}$ нечётно или если ${\displaystyle r'}$ чётно, но собственный делитель ${\displaystyle M}$ не обнаружен, то следует повторить прогон ${\displaystyle O(\log \log M)}$ раз с тем же самым ${\displaystyle t}$. В случае отказа изменить ${\displaystyle t}$ и начать новый прогон алгоритма^[6][7].

В некоторой степени определение периода функции с помощью преобразования Фурье аналогично измерению постоянных решётки кристалла методом рентгеновской или нейтронной дифракции. Чтобы определить период ${\displaystyle r}$, не требуется вычислять все значения ${\displaystyle f\left(x\right)}$. В этом смысле задача похожа на задачу Дойча, в которой важно знать не все значения функции, а только некоторые её свойства^[9].

Пусть ${\displaystyle F}$ — функция с неизвестным периодом ${\displaystyle r:}$

${\displaystyle F:|x,0\rangle \ \rightarrow |x,f(x)\rangle \ f:Z\rightarrow Z_{2^{m}}\ r<2^{n}}$.

Чтобы определить период ${\displaystyle r}$, требуются два регистра с размерами ${\displaystyle 2n}$ и ${\displaystyle m}$ кубитов, которые должны быть первоначально в состоянии ${\displaystyle |0,0\rangle }$.

На первом этапе выполняется односторонняя суперпозиция всех базисных векторов первого регистра с использованием оператора ${\displaystyle U}$ следующего вида:

${\displaystyle U|0,0\rangle \ =\sum \limits _{i=0}^{N-1}c_{i}|i,0\rangle \ }$, где ${\displaystyle |c_{i}|={\frac {1}{\sqrt {N}}}}$ и ${\displaystyle N=2^{2n}}$.

Здесь используется псевдопреобразование Адамара ${\displaystyle H_{1}={\begin{bmatrix}2&1\\1&1\end{bmatrix}}}$. Применяя ${\displaystyle F}$ к текущему состоянию, получаем:

${\displaystyle |\psi \rangle =FH_{1}|0,0\rangle =F{\frac {1}{2^{n}}}\sum \limits _{i=0}^{N-1}|i,0\rangle ={\frac {1}{2^{n}}}\sum \limits _{i=0}^{N-1}|i,f(i)\rangle }$.

Измерение второго регистра с результатом ${\displaystyle k=f(s)}$, где ${\displaystyle s<r}$, приводит состояние к:

${\displaystyle |\psi '\rangle =\sum \limits _{j=0}^{[N/r]-1}c_{j}'|rj+s,k\rangle ,\qquad }$ где ${\displaystyle c_{j}'=\left[{\frac {N}{r}}\right]^{-1/2}}$.

После измерения состояния ${\displaystyle |\psi '\rangle }$ первый регистр состоит только из базисных векторов вида ${\displaystyle |rj+s\rangle }$ таких, что ${\displaystyle f(rj+s)=f(s)}$ для всех ${\displaystyle j}$. Поэтому он имеет дискретный однородный спектр. Невозможно прямо получить период ${\displaystyle r}$ или кратное ему число, измеряя первый регистр, потому что здесь ${\displaystyle s}$ — случайная величина. Здесь применяется дискретное преобразование Фурье вида

${\displaystyle \mathrm {DFT:} |x\rangle \rightarrow {\frac {1}{\sqrt {N}}}\sum \limits _{y=0}^{N-1}e^{{\frac {2\pi i}{N}}xy}|y\rangle }$ на регистр, так как вероятность спектра в преобразованном состоянии инвариантна относительно смещения (преобразованию поддаются только фазы, а не абсолютные значения амплитуд).

${\displaystyle |\psi ''\rangle =\mathrm {DFT} |\psi '\rangle =\sum \limits _{i=0}^{N-1}c_{i}''|i,k\rangle }$.

${\displaystyle c_{i}''={\frac {\sqrt {r}}{N}}\sum \limits _{j=0}^{p-1}\exp \left({\frac {2\pi i}{N}}i(jr+s)\right)={\frac {\sqrt {r}}{N}}e^{\varphi _{i}}\sum \limits _{j=0}^{p-1}\exp \left({\frac {2\pi i}{N}}ijr\right)}$,

где ${\displaystyle \varphi _{i}=2\pi i{\frac {is}{N}}\quad }$ и ${\displaystyle \quad p=\left[{\frac {N}{r}}\right]}$.

Если ${\displaystyle N=2^{2n}}$ кратно ${\displaystyle r}$, тогда ${\displaystyle c_{i}''={\frac {e^{\varphi _{i}}}{\sqrt {r}}}}$, если ${\displaystyle i}$ кратно ${\displaystyle {\frac {N}{r}}}$, и ${\displaystyle c_{i}''=0}$ в противном случае. Даже если ${\displaystyle r}$ не является степенью числа 2, то спектр ${\displaystyle |\psi ''\rangle }$ показывает отдельные пики с периодом ${\displaystyle {\frac {N}{r}}}$, потому что

${\displaystyle \lim _{n\to \infty }{\frac {1}{n}}\sum \limits _{k=0}^{n-1}e^{2\pi ik\alpha }={\begin{cases}1\ \ ,\alpha \in Z\\0\ \ ,\alpha \notin Z\\\end{cases}}}$

Для первого регистра используется ${\displaystyle 2n}$ кубитов, когда ${\displaystyle r<2^{n}}$, потому что это гарантирует по крайней мере ${\displaystyle 2^{n}}$ элементов в приведённой сумме, и таким образом ширина пиков будет порядка ${\displaystyle O(1)}$.

Если теперь вычислить первый регистр, то получится значение ${\displaystyle c}$, близкое к ${\displaystyle {\frac {\lambda N}{r}}}$, где ${\displaystyle \lambda \in Z_{r}}$. Оно может быть записано как ${\displaystyle {\frac {c}{N}}=c\cdot 2^{-2n}\approx {\frac {\lambda }{r}}}$. Это сводится к нахождению аппроксимации ${\displaystyle {\frac {a}{b}}}$, где ${\displaystyle a,b<2^{n}}$, для конкретного числа двоичной точки ${\displaystyle c\cdot 2^{-2n}}$. Для решения этой задачи используются цепные дроби.

Поскольку форма рационального числа не единственна в своём роде, то ${\displaystyle \lambda }$ и ${\displaystyle r}$ определяются как ${\displaystyle {\frac {a}{b}}={\frac {\lambda }{r}}}$, если ${\displaystyle \operatorname {gcd} (\lambda ,r)=1}$. Вероятность того, что оба числа ${\displaystyle \lambda }$ и ${\displaystyle r}$ просты, больше чем ${\displaystyle {\frac {1}{\ln r}}}$, поэтому, чтобы вероятность успеха была близка к единице, необходимо только ${\displaystyle O(n)}$ попыток^[10][8].

Другая математическая задача, дискретное логарифмирование, часто применяющаяся для создания систем асимметричной криптографии, также является уязвимой для квантового алгоритма, предложенного Шором в той же статье^[11].

• Feynman R. Simulating Physics with Computers (англ.) // International Journal of Theoretical Physics — Springer Science+Business Media, 1982. — Vol. 21, Iss. 6 / 7. — P. 467–488. — ISSN 0020-7748; 1572-9575 — doi:10.1007/BF02650179
• Feynman R. Quantum mechanical computers (англ.) // Foundations of Physics / Gerard 't Hooft — Springer Science+Business Media, 1986. — Vol. 16, Iss. 6. — P. 507–531. — ISSN 0015-9018; 1572-9516 — doi:10.1007/BF01886518
• D B., AN C., S D., J P., Beckman D., Chari A. N., Devabhaktuni S., Preskill J. Efficient networks for quantum factoring (англ.) // Physical Review A: covering atomic, molecular, and optical physics and quantum information — College Park: American Physical Society, 1996. — Vol. 54, Iss. 2. — P. 1034—1063. — ISSN 2469-9926; 2469-9934; 2469-9942 — doi:10.1103/PHYSREVA.54.1034 — PMID:9913575 — arXiv:quant-ph/9602016
• Shor P. Algorithms for Quantum Computation: Discrete Logarithms and Factoring (англ.) // Foundations of Computer Science, 1994 Proceedings., 35th Annual Symposium on — IEEE, 1994. — P. 124–134. — ISBN 0-8186-6580-7 — doi:10.1109/SFCS.1994.365700
• Shor P. W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // Foundations of Computer Science : Conference Publications. — 1997. — P. 1484–1509.
• Валиев К. А., Кокин А. А. Квантовые компьютеры: надежды и реальность. — Ижевск: РХД, 2004. — 320 с.
• Федотов И. Е. Модели параллельного программирования. — М.: Солон-пресс, 2012. — 384 с.

• Shor P. W. Algorithms for quantum computation: discrete logarithms and factoring // Foundations of Computer Science : Conference Publications. — 1994. — С. 124–134. — ISBN 0-8186-6580-7. — doi:10.1109/SFCS.1994.365700.
• Shor P. W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // Foundations of Computer Science : Conference Publications. — 1997. — С. 1484–1509.