Diskussion:Shor-Algorithmus

aus Wikipedia, der freien Enzyklopädie

Analogie zum Quadratischen Sieb

Shor Algorithmus kann in gewisser Weise als Spezialfall eines anderen bekannten Faktorisierungsverfahrens dem Quadratischen Sieb betrachtet werden. Denn der Shor Algorithmus beruht wie das Quadratischen Sieb auf der Bestimmung von Zahlen a,b mit der Eigenschaft

(mod n).

Beim Shor Algorithmus sind die Werte a,b wie folgt gewählt.

(mod n)

Fermatsche Pseudoprimzahlen

Der Shor Algorithmus kann - in leicht abgewandeter Form - angewendet werden, falls n eine Fermatsche Pseudoprimzahl ist. Dazu muss jedoch die Randbedingung, dass r die kleinste Zahl mit

(mod n)

ist aufgegeben werden. Falls n eine Pseudoprimzahl ist, gibt es ein x, so dass für die Wahl r = n-1 gilt:

(mod n)

Franz Scheerer

Der entscheidende Punkt fehlt leider noch in diesem Artikel Nopherox 14:58, 25. Feb 2005 (CET)

In der Diskussion zu diesem Artikel aber leider auch. Schluddi 22:41, 14. Mär 2005 (CET)

Ich schmeiß mich weg, darf man den unsinnigen Kram hier einfach löschen? Entweder Nopherox äußert sich da noch mal ein wenig konkreter oder aber diese Beiträge enthalten Null Informationen.

Entschuldigung für die Unklarheit. Ich habe den Artikel auf Überarbeiten gesetzt in der Hoffnung, dass jemand, der sich damit auskennt, darauf anspringen und den Artikel verbessern würde. Ich habe momentan zu wenig Zeit dazu und der Algorithmus ist ja nicht trivial. Die Diskussion kann doch einen unvollständigen Artikel nicht ersetzen. Vielleicht übersetzt mal jemand den englischen Artikel. Obwohl der (mir) an einigen Stellen auch nicht ganz verständlich ist, enthält er doch alle wichtigen Schritte.
Zur Frage, was noch fehlt: Der Algorithmus besteht aus einem klassichen Teil und einem Quanten-Teil. Der Quanten-Teil nutzt das Superpositionsprinzip von Quantenzuständen und deren Wahrscheinlichkeitsinterpretation zur möglichst wahrscheinlichen angenäherten Lösung einer periodischen Funktion. Das ist der springende Punkt, fehlt im Artikel aber vollständig. Dazu muss ein Haufen komplexer Arithmetik und Fourier-Transformation getrieben werden und man muss die Operatoren auf Quantenzuständen erklären. Von all dem wird lediglich in Punkt 4 des klassichen Teils wird eine Prozedur "Bestimmung der Ordnung" erwähnt, an der Stelle, wo der Quantencomputer gestartet werden müsste. Abgesehen davon erscheint mir auch der klassische Teil nicht ganz komplett. Man könnte nämlich mit klassichen Methoden zwischen Punkt 3 und 4 feststellen, ob die Zufallszahl x ein Teiler von N ist. Aber ich bin mir nicht sicher, ob das wesentlich ist. Nopherox 11:04, 20. Mai 2005 (CEST)

Wie schnell ist der Algorithmus? Polynomialzeit? --Matthäus Wander 15:20, 26. Jul 2005 (CEST)

Noch nicht vollständig, aber ein sehr sehr guter Einstieg!

Ich finde den Artikel gut, auch wenn er nicht alle Fragen über die "Ordnung" r oder die "Quantenfouriertransformation" beantwortet. Der Link auf das Paper von Shor nützt nichts, weil man dort im Abstract weniger liest als hier. Das Original ist nicht downloadbar. Nehme daher an, daß der Verfasser dieses Wikipediaartikels das Original des Artikels zur Hand hatte. Die normale, gewöhnliche Fouriertransformation wird oft eingesetzt, um mit Differentialgleichungen einfacher zu rechnen. Es wird zwischen Funktionenräumen hin- und hergesprungen um mal für die eigentlichen, mal für die fouriertransformierten Fkt. bestimmte Rechen- operationen leichter ausführen zu können. "Ordnung" deutet auf zahlentheoretische Begrifflichkeit und hat eventuell mit Exponenten zu tun, wie oft man sie mit sich multiplizieren muss, um modulo -1 oder +1 Ergebnisse zu erhalten? Vielleicht die Anzahl der Elemente eines Orbits? Spekulieren dürfte man hier, ob die Überlagerung (Superposition) von quantalen Zuständen eventuell mit Integralen errechnet wird, die so ähnlich wie die Fouriertransformation aussehen und daher bestimmte "integrale Überlagerungen" sich einfacher berechnen lassen, weil sie in den Operationen der Quantenwelt schon zu Basisoperationen zählen und man durch geschicktes Nutzen dieser Verschränkung ein NP-hartes Problem von vielen Seiten gleichzeitig angehn könnte? Naja ich weiß es auch erst, wenn ich den Originalartikel irgendwie lesen konnte!


Ich finde die Aufgabe nicht klar bei der Beschreibung des Algorithmus (1., 2., ...). Was ist x, was ist n, was ist die Aufgabe (Faktorisieren, klar :))

Fehler beim ersten Schritt des Quantenteils?

Gehört beim ersten Schritt des Quantenteils nicht statt ? Ich bin kein Krypto-Spezialist, kann mich also auch irren. Aber es steht ja auch, dass q als Potenz von 2 bestimmt werden soll.

Antwort: Ich denke "bestimme als Potnez von 2" soll bereits bedeuten, dass . Kann man aber vielleicht klarer ausdrücken.

Warscheinlichkeit ein x mit ggT ungleich 1 zu finden (2. Schritt klassich)

Ich seh auch nach mehrfachen vor- und zurückknobeln leider nicht ein, warum die Wahrscheinlichkeit ein passendes x für gegebenes n zu finden, mindestens 1/2 sein soll. Insbesondere nehme man eine große Zahl aus zwei Faktoren p und q (hier als Beispiel p * q = 17 * 23 = 391): Wenn man von 2 an versucht eine passende Zahl zu finden und nur die schon bekannten (woher auch immer) Primzahlen versucht, so bräuchte man trotzdem 2 -> 3 -> 5 -> 7 -> 11 -> 13 -> 17, also 7 Versuche bis zu einem passenden x. Jeder mag nun für zB n ~ 2^1000 selbst rechnen...

Sprich irgendwas an dieser Stelle ist nicht OK in der Beschreibung.

Das ist denke ich ein Missverständnis. Das , das im Algorithmus gewählt wird, soll gar kein Teiler der zu faktorisierenden Zahl sein. Das wird über Schritt 2 sicher gestellt. Wenn natürlich in Schritt 2 bereits ein Teiler von gefunden wird (was bei einer großen Zahl ein extremer Glückstreffer ist), dann müssen natürlich die restlichen Schritte nicht ausgeführt werden. Der Algorithmus sucht eine Zahl für die gilt teilt . So ein zu finden ist für einen konventionellen Computer sehr aufwändig und ein Versuch die Faktorisierung so zu bewerkstelligen würde i.d.R. wegen der hohen Komplexität des diskreten Logarithmus länger dauern, als über andere Faktorisierungsverfahren (wie das Zahlkörpersieb). Durch den Quantenteil kann dieser Teil aber sehr schnell gelöst werden. Nach Schritt 2 ist also ein r ermittelt, für das die Zahl teilt. Die angegebene Wahrscheinlichkeit betrifft nur die Eigenschaft, daß durch 2 teilbar ist und nicht gilt, daß auch die Zahl teilt (Kriterium 4.2). Da aufgrund der Definition in Schritt 3 r minimal ist (es gibt kleinere Zahl, die für eingesetzt werden kann), kann für keinen Teiler von gelten, daß die Zahl teilt (also auch nicht für ). Außerdem gilt wegen Kriterium 4.2 auch, daß auch kein Teiler von ist. Daraus folgt, daß sowohl als auch einen echten gemeinsamen Teiler (Teiler größer 1) mit besitzen müssen. --80.149.113.234 14:29, 4. Apr. 2013 (CEST)

Klassisch

Dass der von mir gesetzte Link auf 'klassische' Algorithmen geändert wurde, erscheint mir durchaus sinnvoll, jedoch ist der Begriff 'klassisch' im physikalischen Sinne als 'nicht-quantentheoretisch' ebenfalls angebracht. Diese Doppeldeutigkeit ist m.E. zumindest erwähnenswert. Allerdings weiß ich nicht, wie ich sie klug im Artikel untergebringen kann. -- R. Möws 19:35, 5. Jul 2006 (CEST)

Unlesbares Zeichen in Opera

Ich kann ein Zeichen nicht lesen..es handelt sich um das hier:

Wir wissen nach Schritt 3, dass gilt: xr - 1 ≡ 0 

(zwischen "- 1" und "0")

Im IE7 sehe ich dann das Zeichen (mir fällt der Name gerade nicht ein; "=" mit 3 Strichen) Wurde hier ein Sonderzeichen benutzt? Könnte man das durch ein Wiki-übliches Symbol ersetzen (Formel)?

Bin als nicht-Wikianer nicht dazu fähig..sorry

Bei mir funktioniert das auch in Opera. Ich glaube in der Wikipedia ist die standardmäßige Font-Familiy Sans-Serif, also "Arial" in Windows. Welches Betriebssystem verwendest du? Hast du evtl. was an den Schrifteinstellungen in Opera (Einstellungen / Erweitert) verändert? --Cubefox 03:52, 21. Mai 2009 (CEST)

Fehler im Schritt 5 des klassischen Teils?

Muss der Faktor nicht auch im zweiten Faktor gesucht werden? Aus der Erklärung geht nicht hervor, warum der Teiler von n nicht auch im zweiten Faktor enthalten sein kann. Ferner wird in der englischen Version (http://en.wikipedia.org/w/index.php?title=Shor%27s_algorithm&oldid=450406831) im Schritt 5, neben auch als mögliche Lösung betrachtet. (nicht signierter Beitrag von 62.53.205.244 (Diskussion) 08:36, 16. Sep. 2011 (CEST))

Nein, das ist nicht nötig. Es ist nämlich so, daß durch den Algorithmus mit dem letzten Schritt ein ermittelt wird, so daß gilt . Die Suche eines Teilers in erübrigt sich damit. Das ergibt sich daraus, daß nach der Definition das durch den Quantenteil (Ermittlung des diskreten Logarithmus) so minimal gewählt ist, daß wegen der Beziehung gilt .--80.149.113.234 13:23, 5. Apr. 2013 (CEST)

Stand der Dinge?

In den Medien und bei den IT-Sicherheitsleuten besteht derzeit ein ziemlicher Hype mit dem Tenor "RSA ist allenfalls noch für wenige Jahre sicher". Die EU fördert beispielweise Projekte für eine "Post Quantum Cryptography" mit 4 Mio €. Es wird mehr oder weniger der Eindruck erweckt, man könne in einigen Jahren einen QC für das Brechen von RSA im Versandhandel bestellen.

Andererseits lässt sich technisch nur die Entwicklung eines 2+2 Qbit-Chips von IBM im letzten Jahr nachweisen, und auch nach der Demonstration der Faktorisierung der Zahl 15 vor nunmehr über 14 Jahren scheint nichts Neues erschienen zu sein (man sollte ja wenigstens die Faktorisierungsnachweise der Nachfolger mit 2 Primzahlfaktoren 21, 25, 33 und 35 erwarten - gefunden habe ich nichts). Die adiabatische D-Wave-Technologie scheint zwar bei 1000 Qbit angekommen zu sein, ist aber für RSA grundsätzlich nicht geeignet (das Fehlen jedes Faktorisierungsnachweises kann mehr oder weniger als Beweis betrachtet werden, dass sich an dieser Einschätzung in den letzten Jahren nichts geändert hat).

Wird hier aus politischen Gründen z.Z. viel Wind gemacht wird oder habe ich irgendeine technische Entwicklung übersehen?

Gilbert Brands (Diskussion) 11:26, 11. Dez. 2015 (CET)