文献あり

量子コンピュータにおける素因数分解(5): 位数推定と量子干渉

173

はじめに

この記事は量子コンピュータによる素因数分解のアルゴリズムである「Shorのアルゴリズム」の解説記事第5回目です。1-4回目は以下：

本記事では位数の推定と量子干渉との関係を、Ref.Ekert Hosoyaに従って議論します。Shorの元論文はRef.Shorです。

前回の記事で述べたように、量子回路で
$\begin{array}{r} (1) & x^{r} = 1 mod N (整数 x と N は互いに素。 x < N) \end{array}$
を満たす $r$ （そのうち最小の $r$ は位数と呼ばれる）が多項式時間で計算可能ならば、素因数分解は古典コンピュータより本質的に高速で計算できます。ここで「多項式時間で計算可能」とは、整数 $N$ を2進数表示したとき、計算量がその桁数の多項式で表されるという意味です。すなわち計算量がある $k \in N$ に対し $O ((\log_{2} N)^{k})$ であるということです。

これが可能であることを以下見ます。そのために本記事では本シリーズの最初の3記事で議論した

べき剰余 $x^{a} mod N$ を計算する量子回路
離散フーリエ変換 DFT $_{q}$ : $| j ⟩ \to \frac{1}{\sqrt{q}} \sum_{k = 0}^{q - 1} \exp (2 π i j k / q) | k ⟩$ の量子回路

を用います。これらについて知りたい方は上記のリンクをご参照ください。また前回までの記事にあるように、 $| j ⟩ (j は 0 \leq j < 2^{n} をみたす整数)$ とは、 $j$ を2進数表示した各桁を $j_{i} \in {0, 1} (i = 0, 1, 2, \dots, n - 1)$ として
$\begin{array}{r} | j ⟩ := | j_{0} ⟩ | j_{1} ⟩ \dots | j_{n - 1} ⟩ \end{array}$
のことです（2値をとる量子状態 $| 0 ⟩, | 1 ⟩$ の存在は仮定します）。

位数の決定

改めて以下の問題を解くことを考えます：

ある整数 $N$ と互いに素な $x (< N)$ に対し
$\begin{array}{r} x^{r} \equiv 1 mod N \end{array}$
を満たす $r$ を見つける

まず $q = 2^{L} \geq N^{2}$ なる、2のべき乗である $q$ を導入します。さらに $L$ ビットの $| 0 ⟩$ を用意します。これに ${DFT}_{q}$ （前章の2.参照）を作用させれば

$\begin{matrix} (1) & \frac{1}{\sqrt{q}} \sum_{a = 0}^{q - 1} | a ⟩ \end{matrix}$

を得ます。さらに別のレジスターを用意し、これに $x^{a} mod N$ を作る量子回路を作用させることで

$\begin{matrix} (2) & \frac{1}{\sqrt{q}} \sum_{a = 0}^{q - 1} | a ⟩ | x^{a} mod N ⟩ \end{matrix}$

を得ます。

$| x^{a} mod N ⟩$ のレジスターを観測します。ここで $r$ を $x$ の $mod N$ に関する位数とします。このとき $x^{l} \equiv x^{j r + l} mod N$ （ $j = 0, 1, 2, \dots, ⌊ (q - l - 1) / r ⌋$ ）です。ここで $⌊ a ⌋$ は床関数であり、「 $a$ を超えない最大の整数」を表します。ここで $l < r$ は実際には観測により確率的に選ばれます。 $l < r < N$ また $q \approx O (N^{2})$ なので $(q - l - 1) / r \approx q / r$ です。 $| x^{a} mod N ⟩$ を観測したのちの状態は

$\begin{matrix} (3) & | ϕ_{l} ⟩ = \frac{1}{\sqrt{A + 1}} \sum_{j = 0}^{⌊ (q - l - 1) / r ⌋} | j r + l ⟩ \end{matrix}$

となります。

この状態から $r$ の情報を得ることを考えます。もしも $l$ を固定できるなら、この状態自体を観測しても $r$ はわかるはずです。なぜなら観測される $j r + l$ は最初に $l$ だけのインターバルがありその後 $r$ の幅で存在するからです（図1）。 $l$ を固定して何度も観測を続ければ、得られた $j r + l$ の $l$ のインターバルを除いた部分の幅から $r$ を推定できます。しかしながら $l$ を固定することはできないし、また何度も観測を繰り返さなくてはなりません。

Eq.(3)の状態を観測した際に得られる!FORMULA[51][1131983543][0]の値の分布 Eq.(3)の状態を観測した際に得られる $j r + l$ の値の分布

そこでEq.(3)に ${DFT}_{q}$ を施します。

$q / r$ が整数の場合

まずは分かり易さと直感的な理解のため、 $q / r$ が整数の場合を考えます。 $(l + 1) / r \leq 1$ より、このとき $⌊ (q - l - 1) / r ⌋ = q / r - 1$ となります。よって

$\begin{array}{r} | ϕ_{l} ⟩ = \sqrt{\frac{r}{q}} \sum_{j = 0}^{q / r - 1} | j r + l ⟩ = \sum_{a = 0}^{q - 1} f (a) | a ⟩, \\ f (a) = \sqrt{\frac{r}{q}} δ_{a, j r + l}, j = 0, 1, \dots, q / r - 1 \end{array}$

と表せます。Eq.(3)に ${DFT}_{q}$ を施すと

$\begin{aligned} {DFT}_{q} | ϕ_{l} ⟩ & = \sum_{c} \tilde{f} (c) | c ⟩, \\ \tilde{f} (c) & = \frac{\sqrt{r}}{q} \sum_{j = 0}^{q / r - 1} \exp (\frac{2 π i (j r + l) c}{q}) \\ = \frac{\sqrt{r}}{q} [\sum_{j = 0}^{q / r - 1} \exp (2 π i \frac{j r c}{q})] \exp (2 π i \frac{l c}{q}) \\ (4) & = \frac{\sqrt{r}}{q} [\sum_{j = 0}^{M - 1} \exp (2 π i \frac{j c}{M})] \exp (2 π i \frac{l c}{q}) \end{aligned}$

になります。ここで $M := q / r \in N$ です。方程式 $z^{n} = 1$ の解をすべて足すとゼロになることから、大括弧の中は $c$ が $M$ の倍数でない限りゼロになります。すなわち

$\tilde{f} (c) = {\begin{cases} \exp (2 π i l c / q) / \sqrt{r} & c が M の倍数 \\ 0 & それ以外 \end{cases}$

となります。ゆえにEq.(4)の状態において、ある値 $c$ を観測する確率は Bornの規則より

$\begin{array}{r} | \tilde{f} (c) |^{2} = {\begin{cases} 1 / r & c が M の倍数 \\ 0 & それ以外 \end{cases} \end{array}$

です。これから明らかなように、観測される $c$ にはEq.(3)に存在した $l$ の依存性がなくなっています（図2参照）。 $q / r$ が整数の場合はこのような完全な量子干渉が起きます。そして
$\begin{array}{r} \frac{c}{q} = \frac{λ}{r} (λ は整数) \end{array}$
であり、 $q, c$ は与えられているので、もしも $λ$ と $r$ が互いに素ならば $λ$ と $r$ が求まります。もしそうでなければ、もう一度 $x$ を選び直して観測をやりなおします。

Eq.(4)の状態を観測した際に得られる!FORMULA[77][37701][0]の値の分布 Eq.(4)の状態を観測した際に得られる $c$ の値の分布

一般の $q / r$

次に一般の（整数とは限らない） $q / r$ を考えます。このときEq.(1)の和の上限は $⌊ (q - l - 1) / r ⌋$ ですが、ここではこれを $q / r - 1$ とします。こうしても本質的な違いはなく、また議論が明確になります。このときEq.(4)において $M$ は整数ではないです。ゆえに、前章では $\exp$ の和は対称性から消えたのに対し、Eq.(4)ではそのような正確な相殺は起こりません。

ここで $r c = α q + β, α, β \in Z_{\geq 0}, 0 \leq β \leq q - 1$ のように書いておきます。これを用いてEq.(4)を書き換えると

$\begin{aligned} \tilde{f} (c) & = \frac{\sqrt{r}}{q} \sum_{j = 0}^{q / r - 1} \exp (2 π i (j (α q + β) + l c) / q) \\ = \frac{\sqrt{r}}{q} \exp (2 π i l c / q) \sum_{j = 0}^{q / r - 1} \exp (2 π i j β / q) \end{aligned}$

となります。 $β = r c mod q$ なので

$\begin{array}{r} = \frac{\sqrt{r}}{q} \exp (2 π i l c / q) \sum_{j = 0}^{q / r - 1} \exp (2 π i j (r c mod q) / q) \end{array}$

です。ゆえに $c$ を観測する確率 $Prob (c)$ は

$\begin{matrix} (5) & Prob (c) = | \tilde{f} (c) |^{2} = \frac{r}{q^{2}} {| \sum_{j = 0}^{q / r - 1} \exp (2 π i j (r c mod q) / q) |}^{2} \end{matrix}$

です。

ここでEq.(5)の $\exp$ 内の $c$ が

$\begin{matrix} (6) & - r / 2 \leq r c mod q \leq r / 2 \end{matrix}$

を満たす場合を考えます。このとき $\exp$ の各項は複素平面上の半円の中に存在するため、その和は小さくはならないです。また、Eq.(6)をみたす $c$ はちょうど $r$ コ存在することに注意してください。これは以下の図からわかります：

Eq.(6)を満たす!FORMULA[97][37701][0]の値の数が!FORMULA[98][38166][0]コであることの説明の図 Eq.(6)を満たす $c$ の値の数が $r$ コであることの説明の図

青い点線は $q$ の倍数（ $0, 1, 2, \dots, (r - 1) q$ ）であり、これを $r$ の倍数（ $0, r, 2 r, \dots (q - 1) r$ ）に重ねています。 $r$ の倍数は間隔 $r$ で存在しているのだから、点線から幅 $r / 2$ の間（緑のアーチ）に存在する $r$ の倍数は当然唯一つです。青い点線はrコ存在するから、Eq.(6)を満たす $c$ は $r$ コ存在します。

$Prob (c)$ の大きさを、Eq.(6)を満たす $c$ に対して見積ります。 $θ_{c} = 2 π (r c mod q) / q$ を定義すると、 $Prob (c)$ は $\exp i θ_{c}$ の比をもつ等比級数からできています。この級数は $θ_{c}$ が増加するにつれて減るので、 $Prob (c)$ も $θ_{c}$ が大きくなると減ります。よって

$Prob (c) \geq Prob (θ_{c} を最大にする c)$

が成立します。ここでEq.(6)より $θ_{c} \leq π r / q$ です。等号が成立するとき、和は初項が $1$ 、公比が $\exp (i π r / q)$ 、項数は $q / r - 1 + 1 = q / r$ である等比級数なので

$\begin{aligned} Prob (c) & \geq \frac{r}{q^{2}} {| \frac{1 - \exp (i \frac{π r}{q} \cdot \frac{q}{r})}{1 - \exp (i \frac{π r}{q})} |}^{2} \\ = \frac{r}{q^{2}} {| \frac{2}{1 - \exp (i \frac{π r}{q})} |}^{2} \\ = \frac{r}{q^{2}} \frac{4}{(1 - \exp (i \frac{π r}{q})) (1 - \exp (- i \frac{π r}{q}))} \\ = \frac{r}{q^{2}} \frac{2}{1 - \cos (\frac{π r}{q})} \\ = \frac{r}{q^{2}} \frac{1}{\sin^{2} (\frac{π r}{2 q})} \\ \sim \frac{r}{q^{2}} \frac{1}{\frac{π^{2} r^{2}}{4 q^{2}}} = \frac{4}{π^{2}} \frac{1}{r} \end{aligned}$

となります（※ $q / r$ は整数ではないですが、小数部分の影響は軽微です）。ここで $q / r$ が小さいとして $\sin π r / 2 q \approx π r / 2 q$ としました。よって、 $r$ コ存在するそのような $c$ に対して、Eq.(6)をみたす $c$ を観測する確率は $4 / π^{2} ≃ 0.4$ より大きいことがわかります。すなわちEq.(6)を満たす $c$ を観測する可能性は十分大きいです。

$r$ の決定と連分数展開

Eq.(6)を満たす $c$ が与えられたとき、 $r$ の情報を引き出すことを考えます。これを行うには、Eq.(6)が、ある $0 \leq c^{'} \leq r - 1$ を満たす $c^{'}$ に対して

$\begin{matrix} (7) & | r c - c^{'} q | \leq r / 2 \end{matrix}$

と書き直せることを用います。この式は次のように解釈できます: $c^{'} q$ とは図1における $q$ 軸にプロットした点のことであり、 $r c$ とは図1における $r$ 軸にプロットした青点線から $r / 2$ の範囲にある点のことです。このことからわかるように、Eq.(6)を満たす $r$ コの $c$ に対してちょうど1つづつ対応する $c^{'}$ が存在します。ゆえに $c^{'}$ のそれぞれの値に対し $c$ と同様

$Prob (c^{'}) \geq \frac{4}{π^{2}} \frac{1}{r}$

となります。Eq.(5)は以下のように書けます：

$\begin{matrix} (8) & | \frac{c}{q} - \frac{c^{'}}{r} | \leq \frac{1}{2 q} \end{matrix}$

ここで $c, q$ はわかっていて、また $r \leq N, q \geq N^{2}$ です。Eq.(8)は、与えられた $c / q$ をこの不等式を満たすある有理数 $c^{'} / r$ で近似せよ、ただしその分母は $N$ 未満である、ということを言っています。Eq.(8)の範囲には分母が $N$ 以下である $c^{'} / r$ が最大で1つ存在します。すなわち観測から $c$ が得られれば、 $c^{'} / r$ （ $r < N$ ）が唯一に定まります。

ただし $c^{'}$ と $r$ が互いに素である必要があります。 $0 \leq c^{'} \leq r - 1$ のうち $r$ と互いに素な $c^{'}$ の個数は、前回の記事で導入したオイラー関数 $φ (r)$ コです。よってそのような $c^{'}$ を得る確率は上で求めた $Prob (c^{'})$ に $φ (r)$ をかけて
$\begin{array}{r} (9) & Prob (c^{'}) \geq \frac{4}{π^{2}} \frac{φ (r)}{r} \end{array}$
となります。

$c^{'}$ と $r$ を決定するには連分数展開を用います。連分数展開に関してはこの記事 noteにまとめました。具体的な計算法等の詳細はこれを読んでもらうことにして（すぐ読めます）、ここでは $c, q$ が与えられたとき、Eq.(8)を満たす $c^{'} / r$ を連分数展開を用いて具体的に求めてみます。以下Ref.Hosoyaにある例です:

$N = 15$ を因数分解する際の $r$ の決定を考えます。ここでは $q = 2^{8} = 256 > N^{2} = 225$ に選びます。観測した結果 $c = 18$ を得たとします。このとき $c / q = 18 / 256$ です。これに近い分数でEq.(8)を満たす数を求めるため、 $18 / 256$ を連分数展開します：
$\begin{array}{r} \frac{18}{256} = \frac{1}{14 + \frac{1}{4 + \frac{1}{2}}} \end{array}$
これを $[14, 4, 2]$ のように書きます（最初に $0$ をつけて $[0, 14, 4, 2]$ と書くこともあります）。

この展開を $1 / 14$ までで止めると（ $c^{'} = 1, r = 14$ ） $r < N$ が満たされています。また
$\begin{array}{r} | \frac{18}{256} - \frac{1}{14} | = \frac{1}{896} < \frac{1}{2 \cdot 256} \end{array}$
なのでEq.(8)も満たされています。こうして $r = 14$ を得ます。

一方 $18 / 256 ≃ [14, 4] = 4 / 57$ とすると分母が $N$ を超えてしまうので、 $r$ としては不適切です。

Ref.Hosoyaの練習問題には $c = 77, 149$ の場合の $r$ を求めよという問題が載っています。これも解いておきます：

$c = 77$ の場合
$77 / 256 = [3, 3, 12, 2]$ です。 $77 / 256 ≃ 1 / 3$ ではEq.(8)は満たされません。
一方 $77 / 256 ≃ [3, 3] = 3 / 10$ だと $| 77 / 256 - 3 / 10 | = 1 / 1280$ でありEq.(8)が満たされます。
$77 / 256 ≃ [3, 3, 12] = 37 / 123$ だと分母が $N$ を超えてしまい不適切です。
ゆえに $c^{'} = 3, r = 10$ を得ます。
$c = 149$ の場合
$149 / 256 = [1, 1, 2, 1, 1, 4, 1, 3]$ です。 $149 / 256 ≃ [1, 1, 2, 1, 1] = 7 / 12$ で近似すると $| 149 / 256 - 7 / 12 | = 1 / 768 < 1 / (2 \cdot 256)$ であり適切です。
これより短い連分数で近似するとEq.(8)が満たされず、これより長い連分数で近似すると分母が $N$ を超えるため、どちらも不適切です。
ゆえに $c^{'} = 7, r = 12$ を得ます。

本来 $r$ は、 $N$ と互いに素なある数 $x$ に関してEq.(1)を満たす数です。前回の記事で見たように、 $x^{r / 2} \pm 1$ がどちらも $N$ の倍数でない限り、 $gcd (x^{r / 2} \pm 1, N)$ のどちらかは $N$ の因数を与えます。「 $x^{r / 2} \pm 1$ がどちらも $N$ の倍数でない」は満たされない可能性があるので古典計算機でチェックします。条件が満たされなかった場合はもう一度 $x$ を選び直して同様なことを繰り返します。

計算量の見積もり

最後に $r$ の推定における計算量を大雑把に見積もっておきます。

Shorのアルゴリズムでは以下の計算が行われます：

Eq.(1)の ${DFT}_{q}$
Eq.(2)のべき剰余の計算
Eq.(4)の ${DFT}_{q}$
Eq.(8)を満たし、 $r$ と互いに素な $c^{'}$ を得る試行
適切な $x$ を選ぶ試行。すなわち $x$ が適切な $r$ :「 $r$ が偶数かつ $x^{r / 2} \pm 1$ がどちらも $N$ の倍数でない」を持つものを選び出す

まず量子フーリエ変換ですが、必要なゲート数が $N$ の桁数の2乗程度です。すなわち(i)(iii)どちらも $(\log_{2} N)^{2}$ 程度の計算量です。(ii)のべき剰余の計算は $\log_{2} N$ 程度の計算量です。

(iv)に関しては上記したように $4 φ (r) / (π^{2} r)$ 程度の確率で起きます。 $φ (r) / r$ はおよそ $1 / \log \log (r)$ 程度であることが知られています（前回の記事の定理2参照）。すなわち $4 φ (r) / (π^{2} r)$ は十分高い確率であるので、この試行を繰り返す計算量はほぼ無視できることがわかります。(v)に関しても前回の記事の定理3で見たように非常に高い確率で起きます。すなわち(i)-(iii)以外の過程は計算量としては殆ど無視できると言えます。

ということで、Shorのアルゴリズムでは多項式時間で $r$ を推定することができ、ひいては素因数分解を行うことが可能です。

おしまい & つづく。 $_{◼}$

参考文献

[1]

Ekert, A., Jozsa, R., Quantum computation and Shor’s factoring algorithm, Rev. Mod. Phys., 1996, 733-753

[2]

細谷暁夫, 量子コンピュータの基礎 [第2版], SCライブラリー69, サイエンス社, 2009, 62-71

[3]

Shor, Peter W., Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer SIAM Review (2006) doi:10.1137/S0036144598347011. , SIAM Review, 1999

[4]

puremoru, 連分数展開, note, 閲覧日 2024年8月31日, https://note.com/puremoru/n/nec299e881582

投稿日：2024年9月1日