Vlákno názorů k článku Konec roku 2001 přinesl i konec současné kryptografie! od Tomáš Rosa - Velmi mě překvapuje vyznění celého článku. Vzhledem k...

Velmi mě překvapuje vyznění celého článku. Vzhledem k tomu, že autora znám jako zkušeného kryptologa, tak to snad bude tím, že chtěl ve vánočním čase téma poněkud odlehčit a probudit zájem o tuto oblast.

Tušil jsem, že celý objev vyvolá rozporné reakce a je to zde. Na jedné straně vynikající práce fyziků, na druhé straně zatím stále banální výsledek v kryptologii. Na čí stranu se přiklonit? Na to se nedá odpovědět. Ta otázka totiž v současnosti nemá smysl!

Musím napsat, že všem vědcům, kteří se byť nepřímo na této věci podíleli, gratuluji! Ukázali, že kvantový počítač ve spojení se Shorovým algoritmem není jen teorií, ale že se dá skutečně prakticky realizovat a že funguje. Z pohledu kryptologie je však třeba připomenout, že než takový počítač ohrozí současné systémy, bude muset překonat HODNĚ překážek. Rozhodně zde nelze aplikovat uvažování, na které jsme zvyklí z "běžných" počítačů, kde se přidání "pár bitů navíc" dá do jisté míry skutečně vyvážit penězi a prostou dělnou prací. V případě kvantových počítačů jde však o mnohem víc - zde se musí posunout věda (možná ne moc, ale přeci). A věda je potvora, ta se penězi moc dobře postrkovat nedá. Finance jsou nutná podmínka, nikoliv postačující! Lze si dokonce představit, že než kvantové počítače dozrají do patřičných rozměrů (místo 7 qubitů jich budou potřeba alespoň tisíce a doba koherentního - možno zjednodušeně říci bezchybného - výpočtu bude muset být MNOHEM delší), dojde k nalezení ryze matematických postupů, které pohřbí současné kryptografické mechanizmy. Ano, to vše se může stát stejně tak dobře, jako může přijít převratná teorie umožňující konstrukci velkých kvantových počítačů. Ještě jednou připomínám, že v kvantové fyzice rozhodně nelze uvažovat tím způsobem, že pokud mám dvě molekuly realizující 7 qubitový registr, potom mám automaticky 14 qubitový registr, atd. Cesta k vyššímu počtu qubitů, které po stanovenou dobu koherentně pracují na výpočtu, je zde zcela nesrovnatelná s tím, co známe ze světa klasických počítačů. Ostatně je velmi dobře známo, že soudit chování mikrosvěta podle zkušeností z naší reality jednoduše nelze.

Je také třeba říci, že kvantové počítače neohrožují jen asymetrickou kryptografii. Kromě Shorova algoritmu existuje například i Groverův algoritmus, který ohrožuje i symetrické systémy. Navíc lze předpokládat, že takových algoritmů vznikne ještě celá řada a že budou zaměřeny přímo na konkrétní kryptografické systémy. Tím se snažím dát najevo, že ať už se PKI nasazuje méně, než bylo očekáváno, z jakéhokoliv důvodu, určitě to nebude tím, že by "velké firmy" uvedeného druhu věděly své o kvantové fyzice (osobně bych pochyboval jestli vybraní jedinci vůbec ví, proč se dělá led a vaří voda). Jsem toho názoru, že v konečném případě je "kvantovka" také dobrý hromosvod, na který se dá svést řada obchodních neúspěchů: "Vždyť my jsme vlastně takové projekty nechtěli dělat. Kdepak! Vždyť ono to je vlastně nebezpečné. No ano, správně, nebezpečné! Fuj a hanba všem ostatním!". Zkrátka a dobře k tomuto náhledu jsem extrémně pesimistický (snad jako by patřil do zcela jiného periodika).

Závěrem této reakce děkuji autorovi komentovaného příspěvku za to, že jej zpracoval a umožnil tak rozproudit diskusi nad daným tématem. To je jistě ku prospěchu fyziky i kryptologie.

Tomáš Rosa

No, par clanecku o kvantovych popcitacich a kvantove kryptografii jsem si precetl, ale mysli ze to je stejne jako se ziskavanim energie z fuze vodiku. Vedci teoreticky vi jak na to, provedli uz i nejake prakticke pokusy, ale za kolik let to bude pouzitelne? (t.j. aby se z toho dostalo alespon vice energie, nez se spotrebuje na vyrobeni a spusteni reaktoru)

A s kvantovymi pocitaci to bude stejne.

P.S. Nekde (uz nevim jestli na nekterem z ceskych serveru nebo v nejakem serioznim clanku) jsem cetl ze slozitost sestaveni pocitace roste exponencialne s poctem qubitu. Jestli je to pravda, tak to mozna ani kryptografii neohrozi ... nebo apson ne do te doby, nez se tohle omezeni obejde.

Je tu nekdo kdo vi jak to ve skutecnosti je?

Na adrese: http://cryptome.org/shor-nature.pdf je (zatím) k dispozici vědecký článek přímo od autorů experimentu. Lze si z něj udělat dobrou představu o tom, co se vlastně povedlo, jak se to povedlo a co to znamená.

Složitost stavby kvantových počítačů se odvíjí mimo jiné od problémů s dekoherencí. Je známo, že měření způsobuje kolaps vlnové funkce, což je při vektorovém popisu vnímáno jako rozpad superpozice stavů. Výsledkem měření qubitu je "zakotvení" stavu nula nebo jedna. Podle současné úrovně poznání kvantové mechaniky se tohoto fenoménu nelze zbavit. "Měření, které neovlivňuje stav" je zde v obecném pohledu nesmyslné slovní spojení. Je to jeden ze základních postulátů, že měření stav ovlivňuje. To je právě ten problém při přechodu od "našeho" světa do světa mikročástic. Člověk by si myslel, že toto ovlivňování je jaksi jen technologický nedostatek našich přístrojů. Ale ouha! Ono to tak je BEZ OHLEDU NA TECHNOLOGICKOU VYSPĚLOST. Tyto a jiné věci je třeba si uvědomit před ukvapenými závěry.

Proč se tolik zabývám fenoménem měření? Jednoduše proto, že tento pojem je velmi obecný a prakticky za něj lze považovat libovolnou interakci kvantového registru s okolím. A zde právě vyvstává problém s dekoherencí - musíme totiž být schopni zaručit VELMI dokonalou izolaci kvantového počítače od okolí. Jinak se nám budou superpozice stavů neustále rozpadat a výpočet se nepohne z místa. Když zde píši velmi dokonalou, tak myslím s ohledem na ty nejzákladnější interakce mezi částicemi. To může být pro velké registry velký problém.

Díky obrovské chybovosti kvantových počítačů se jeden čas dokonce myslelo, že nebude možné je nikdy kloudně sestavit. Novou naději přinesly až kvantové opravné kódy, díky nimž je možné se z drobných dekoherencí během výpočtu zotavit. Je to nicméně postupný vývoj, který si žádá nejen zdokonalování technologie, ale i teorie samé. O vztahu mezi posuny v teorii a penězi jsem se již vyjádřil.

Na závěr podotýkám, že kvantovou mechaniku vnímám čistě přes její matematický popis (jsem tak ušetřen některých problémů s interpretací ;-)). Rád zde uvítám názor kvantového fyzika, který by zde měl určitě zaznít.

Tomáš Rosa

Ta bývá často zmiňována v souvislosti se simulací kvantového počítače na "normálním" počítači (z pohledu kvantové fyziky můžeme s jistou nadsázkou a humorem tvrdit, že "normální" počítač je vlastně zkolabovaný kvantový počítač - on se tak někdy i chová;-)).

Je asi dobré připomenout, že jádrem kvantového počítače není procesor, ale kvantový registr, který udržuje momentální stav výpočtu a jehož vývojem (popsáno jako lineární operace na příslušném stavovém prostoru) se provádí výpočet.

Vezměme si kvantový registr o 2 qubitech. Ten lze popsat Hilbertovým prostorem dimenze 2^2 = 4. Jeho bázové vektory můžeme označit jako |00>, |01>, |10> a |11> (symboly "|x> a <y|" patří do Diracovy ket-bra notace, která fyzikům umožňuje přehledný zápis určitých matematických operací a je tudíž v oblibě; zde je můžeme ignorovat jako zvláštní syntaktické značky). Libovolný stav, ve kterém se může náš registr během výpočtu nacházet, pak můžeme popsat jako lineární kombinaci bázových vektorů: R = a1|00> + a2|01> + a3|10> + a4|11>, kde ai jsou komplexní čísla. Dále platí, že pro každé ai, 1 <= i <= 4, odpovídá hodnota |ai|^2 pravděpodobnosti, že následující měření bude mít výsledek odpovídající i-tému bázovému vektoru. Například ve stavu R = sqrt(0.7)|00> + sqrt(0.1)(|01> + |10> + |11>) můžeme jako nejpravděpodobnější výsledek měření očekávat stav |00> (zde jsme se omezili na čistě reálné koeficienty v superpozici). Hodnoty |ai| se vůbec chovají podle míry pravděpodobnosti, čili například |a1|^2 + |a2|^2 + |a3|^2 + |a4|^2 = 1. Matematici proto někdy žertem nazývají kvantovou mechaniku jako "druhou odmocninu z teorie pravděpodobnosti".

Pokud chceme chování takového registru simulovat normálním počítačem, potom potřebujeme pro jeden přechod registru ze stavu Rj do R(j+1) upravit celkem 4 koeficienty v superpozici stavu. Přidáme-li další qubit, zjistíme, že těchto koeficientů je 2^3 = 8. Toto můžeme zobecnit do tvrzení, že n-qubitový registr lze popsat Hilbertovým prostorem dimenze 2^n. S rostoucím počtem qubitů nám tak exponenciálně stoupá složitost simulace.

Tuším, že to byl právě Richard P. Feynman, který si jako první blíže povšiml této zákonitosti a s intuicí jemu vlastní ho napadlo ji využít obráceně: Pokud na normálním počítači roste exponenciálně složitost simulace kvantového počítače, potom by mohly existovat exponenciálně složité úlohy, které jsou na kvantovém počítači řešitelné v polynomiálním čase. Čas dal tomuto vynikajícímu vědci za pravdu.

Tomáš Rosa

Domnivam se, ze slozitost sestaveni kvantoveho pocitace skutecne roste exponencialne s poctem quibitu. Neni to zkratka tak jednoduche jako u klasickych bitu, kde jsem-li schopen zkonstruovat pocitac s n bity jsem schopen okamzite zkonstruovat pocitac s 2n bity, protoze ty qubity (resp. jejich stavy) musi byt navzajem provazane.Takze i pridat jeden quibit je technologicky problem, zatimco u normalnich pocitacu byva technologicky problem jen zvysit kapacitu radove.