Как квантовый компьютер может взломать современные системы шифрования и снизить стоимость выработки аммиака?

Парадоксы и загадки квантовой физики будоражат умы ученых уже давно. Сегодня на основе необычных свойств квантовых частиц строятся новые приборы и устройства, которые могут по своим характеристикам многократно превосходить классические аналоги.

yqqhde9pqtu287fanr0sdfbo8cq.jpeg

С рассказом о событиях в «Квантовой отрасли» перед сотрудниками Acronis выступил научный руководитель группы «Квантовые информационные технологии» РКЦ Алексей Федоров. В этом посте мы приводим расшифровку его лекции о квантовых технологиях с дополнениями, чтобы поделиться полезными и интересными данными с подписчиками Acronis на Habrahabr.
Крупномасштабные проекты реализуются в США, Европе, Китае и России. Наибольший интерес представляет собой квантовый компьютер — в гонку за его построением вовлечены не только университеты, но также и крупные корпорации среди которых Google, IBM, Microsoft и Intel. Прогнозируется, что квантовые компьютеры могут совершить революцию в целом ряде направлений, например, в защите информации, искусственном интеллекте и моделировании новых материалов.

il5xviqbjuou9eothdngfrvcjq0.jpeg

В современном контексте квантовые технологии — это методы управления индивидуальными квантовыми объектами, такими как атомы, фотоны, электроны, ионы и так далее. В отличие от классических систем, находящихся всегда в одном из возможных состояний, квантовые системы могут быть в состоянии квантовой суперпозиции: находиться одновременно во всех допустимых состояниях. Примером различия между классическим миром и квантовым может быть монетка. У монетки можно определить два состояния — орел или решка — и закодировать их как 0 и 1. Тогда классическая монетка может находиться либо в состоянии 0, либо в состоянии 1. Две монетки — в одном из 4 возможных состояний в один момент времени. Четыре монетки — в одном из 16 состояний. Десять монеток — в одном из 1024 состояний.

kgtapr3hq3apkyetce-g5oehg3a.jpeg

Если монетка была подброшена, но все еще находится в воздухе, ее можно считать квантовой. Принцип суперпозиции позволяет одной квантовой монетке быть одновременно и орлом и решкой, то есть быть в состоянии суперпозиции нуля и единицы. Так что 2 «квантовые монетки» могут находиться в 4 состояниях одновременно. А 10 «квантовых монеток» — одновременно в 1024 состояниях. Такие «квантовые монетки» называют кубитами — квантовыми аналогами битов информации. Основная фишка квантовых вычислений состоят именно в этом: с ростом числа кубитов, количество возможных состояний растет экспоненциально. При наличии даже 50 кубитов количество состояний — 2^50 — будет настолько большим, что точно промоделировать такую систему будет невозможно даже на самом мощном суперкомпьютере. Такой порог является одним из возможных объяснений для явления, называемого квантовым превосходством (quantum supremacy или quantum advantage): возможности решать при помощи квантового компьютера те задачи, на которые не способны существующие классические компьютеры.

Квантовый квест и квантовая гонка

Однако построить такой компьютер непросто. Для этого нужно решить целый «квест» по управлению квантовой материей. В данный момент множество лабораторий в мире разрабатывают новые методы управления квантовыми объектами. Квантовая гонка идет одновременно и среди корпораций, и в научном сообществе. Ведущие разработчики представляют все новые и новые решения. Но квантовая гонка имеет важное фундаментальное значение — за порогом квантового превосходства нас ждут новые открытия в совершенно различных областях физики: от физики низких температур до физики высоких энергий. К тому же у квантовых компьютеров также большой потенциал для решения практических задач, поэтому в его разработку включились корпорации.

В чем же заключается квест по управлению квантовой материей? С одной стороны необходимо иметь достаточно большое число кубит чтобы обеспечить большое пространство состояний, но, с другой стороны, необходимо контролировать каждый кубит в отдельности. Ясно, что чем больше система, тем сложнее она поддается управлению на уровне отдельных индивидуальных компонентов. Эта особенно важно для квантовой физики, но, если задуматься, то касается и других сфер деятельности человека. Например, если вы хотите создать огромную и крутую компанию, вам придется нанять много талантливых людей. Но чем больше будет этих людей, тем сложнее окажутся их взаимодействия, и тем сложнее будет их контролировать :-)

zdthysk__jo8c4nxaiszn5kfi7q.jpeg

В квантовом мире поиск баланса между масштабом и предсказуемостью — самый большой челлендж на сегодня. Но, преодолев его, мы сможем разрабатывать мощные квантовые компьютеры, способные решать интересные задачи. Например, в IBM используют термин квантовый объем — это количество кубит на количество ошибок при совершении операции. Это очень наглядная мера, она показывает, что недостаточно просто сказать сколько в системе кубитов, важна еще и степень контроля над ними, которая позволяет избежать ошибок. Для роста квантового объема необходим рост и количества, и «качества» кубитов.

Следует всегда учитывать, что вероятность ошибок — неотъемлемое свойство квантового» железа». Поэтому говоря о кубитах нужно разделять физические кубиты и логические кубиты. Физические кубиты — это реальные атомы или сверхпроводящие цепочки, так сказать «наштампованные» элементы. Логические кубиты — те объекты, над которыми есть реальный контроль, и к ним можно обращаться с фиксированными параметрами без ошибок. Вычислительные возможности квантового компьютера определяются, в конечном счете, именно количеством логических кубитов, которые работают безупречно. В терминах квантового объема можно понимать это так: если уровень ошибок нулевой, то дальше вычислительные возможности (квантовые объем) растет за счет увеличения числа логических кубитов.

Если говорить о достижениях в области работающих квантовых компьютеров, нельзя не упомянуть компьютер IBM на 50 кубитах. Он стал одним из первых квантовых компьютеров такого масштаба. «Рабочая лошадка» квантовых компьютеров компании IBM — сверхпроводящие кубиты, которые для своей работы должны быть охлаждены до очень низких температур. В квантовом процессоре IBM не реализован индивидуальный контроль над каждым кубитом и достаточно высок уровень ошибок, но сам чип уже существует. Также у IBM есть открытый 5-кубитный и 16-кубитные квантовые компьютеры, которым может воспользоваться каждый человек через Интернет. Кроме того, через несколько лет корпорация планирует сделать систему на 100 кубитов. Недавно IBM анонсировала интегрированный квантовый компьютер IBM System One, который является законченным устройством, не требующим, по словам разработчиков, каких либо специальных условий для работы — это существенно приближает такую систему к пользователям, однако о решении практически важных и востребованных задач с помощью подобного компьютера пока говорить сложно.

Компания Intel находится на пороге того же рубежа в 50 кубит, но использует другую технологию для создания кубитов. И это хорошо, ведь если одна из корпораций столкнется с проблемами при реализации своего подхода, вторая продолжит движение к прогрессу.

Лидером квантовой гонки сегодня можно считать компанию Google, которой был продемонстрирован квантовый компьютер из 72 кубитов. Базовая технология у Google такая же как у IBM — сверхпроводящие кубиты. Группой ученых и разработчиков Google также был опубликован ряд научных статей, описывающих подходы к достижению квантового превосходства. Так что в ближайшее время от компании можно ожидать демонстрации квантового превосходства с помощью разработанного ими квантового процессора.

В академическом сообществе тоже была создана система из 51 кубита — это удалось группе Михаила Лукина (выпускника Физтеха и главы Международного консультативного совета Российского квантового центра) на основе ультрахолодных нейтральных атомов, а также система из 53 кубитов от группы Кристофера Монро из Университета Мэрилэнда, который также является основателем компании IonQ, разрабатывающей коммерческий квантовый компьютер на ионах. Кстати, IonQ — не единственный пример стартапа в сфере квантовых вычислений — их сейчас больше десятка.

Очевидно, что большой потенциал в квантовой сфере есть у Китая. «Поднебесная» вынашивает грандиозные планы, планируя сконструировать самый большой квантовый компьютер, и на это у разработчиков уже есть 12 миллиардов долларов для создания Национальной квантовой лаборатории.

Несколько особняком стоит компания D-Wave. В процессоре D-Wave тысячи кубитов, но работают они в другом режиме — режиме квантового отжига. Это позволяет решить при помощи такого компьютера, фактически, лишь одну задачу. Несмотря на то, что с D-Wave уже работают компании, например, Google и Volkswagen, насчет преимуществ подобного квантового компьютера компании ведутся горячие споры.

Прикладная сторона вопроса


Несмотря на все усилия, на сегодняшний день квантовые компьютеры позволяют решать не так много практических задач вопросов, но потенциал выглядит впечатляющк. Сейчас развитие квантовых вычислений идет по двум направлениям:

  • Специализированные квантовые компьютеры, которые направлены на решение одной конкретной специфической задачи, например, задачи оптимизации. Примером продукта являются квантовые компьютеры D-Wave.
  • Универсальные квантовые компьютеры — которые способны решать любые задачи. На сегодняшний день существуют только небольшие прототипы универсальных квантовых компьютеров — в этом направлении работают Google, IBM и Intel. Они закладывают основу, но пока не позволяют делать что-то масштабное и не умеют справляться с ошибками.


В любом случае квантовые компьютеры позволяют оперировать большим пространством состояний и это может быть полезно, например, для решения задач поиска, оптимизации различных процессов и моделирования сложных систем.

Благодаря тому, что IBM предлагает всем желающим воспользоваться квантовым компьютером, современные квантовые программисты уже тренируются в сборке задач и запуске их на небольших квантовых компьютерах. Например, для поиска по базе данных квантовый алгоритм имеет квадратичное преимущество — в классике нужно направить n запросов в черный ящик, а на квантовой системе — квадратный корень из n — для этого используется алгоритм Гровера. Запрограммировать алгоритм Гровера можно уже сейчас, но, конечно, о его использовании «на полную» можно будет думать когда появится достаточно мощный квантовый компьютер.

Большой потенциал уже сегодня очевиден для задач из сферы квантовой химии. Например, в промышленности востребован расчет параметров химических соединений и моделировании химических реакций. При использовании классических компьютеров, нам не хватает возможностей и приходится, зачастую, идти на компромисс с точностью. Квантовые компьютеры могут помочь детально определить цепочки реакций, динамику процессов, найти катализаторы для нужных реакций — все это очень полезно! Одна из наиболее обсуждаемых сегодня задач — производство аммиака. Это соединение активно используется в удобрениях для растений, и на его производство тратится 1–2% всей энергии на земле (данные Quantum Computing Report и BP). Если бы при помощи квантового компьютера можно было бы оптимизировать процесс производства аммиака за счет точного знаниях всех параметров, то он уже окупил бы все вложения, которые совершены в разработки технологий (помните, 1–2% мировой энергии).

Недавно на стыке квантовой физики и машинного обучения возникло новое направление — квантовое машинное обучение или, как часто говорят, Quantum AI. При этом важно, что превосходство квантового компьютера над классическими в задачах машинного обучения не требует полноценного и многокубитного квантового компьютера. При помощи квантового компьютера, например, можно будет ускорить отдельные элементы алгоритмов машинного обучения, а также ускорить процесс их обучения. В Google последние годы квантовое машинное обучение считается одним из топовых направлений всей сферы квантовых технологий.

Дело не только в железе


Для следующего прорыва, однако, нужно не только железо, но и новые быстрые квантовые алгоритмы. Тут есть заметный прогресс. Например, для изучения соединения Fe2S2 с помощью алгоритмов квантовой химии раньше требовалось тридцать лет при анализе на квантовом компьютере. За счет поиска более оптимального алгоритма, это время сократилось до 2 минут с учетом использования того же железа.

Однако квантовых алгоритмов пока все еще недостаточно. Пока их все еще лишь несколько десятков, а для полноценного развития сферы квантовых вычислений, алгоритмов должно стать намного больше.

Страхи и технологии ИБ


Квантовой компьютер имеет две стороны: темную и светлую. До сих пор мы говорили о светлой стороне — решении им практически востребованных задач, которые не могут быть решены при помощи классических компьютеров. Но и есть и темная сторона: квантовый компьютер намного лучше классического решает задачу факторизации. Сложность этой задачи, как известно, является одной из основ обеспечения стойкости распространенных алгоритмов криптографии с открытым ключом. Задача факторизации чрезвычайно сложна для классического компьютера, а на квантовом может быть эффективно решена при помощи алгоритма Шора. Например, взлом RSA-ключа, состоящего из 1024 бит, займет миллионы лет непрерывных вычислений на классических компьютерах, тогда как на квантовом компьютере эта задача будет решена за 10 часов (если предположить, что каждая квантовая операция выполняется 10 нс и что в распоряжении имеется компьютер из достаточного количества логических кубитов). Пока квантовые компьютеры не позволяют ничего взломать — ведь для криптоанализа RSA нужно несколько тысяч управляемых кубитов. И хотя потенциально опасного компьютера еще не существует, сообщество уже сегодня задумывается о защите от возможных проблем в будущем.

Один вариант решения — использование технологии квантовой распределение ключей, которая позволяет двум сторонам обмениваться криптографическими ключами для симметричного шифрования. Как известно, одиночный фотон нельзя разделить, а квантовое состояние нельзя скопировать — это фундаментальное ограничение квантовой механики. На таком принципе — защите передаваемых данных фундаментальными физическими законами — строятся новые приборы. В этой сфере на мировой арене лидирует Китай. В России технология квантового распределения ключей развиваются несколькими группами, например, в РКЦ, МГУ им. М.В. Ломоносова и ИТМО. Прибор, разработанный в РКЦ уже проходил испытания в Сбербанке и Газпромбанке.

По уровню ошибок в канале можно узнать, была ли возможность компрометации ключа, исключить из него информацию, которая могла быть перехвачена при помощи уже классических алгоритмов и модернизировать ключ. При этом защищаемая информация остается недоступной злоумышленнику.

Центральная идея заключается в том, чтобы использовать квантово-распределенные ключи в шифре Вернама — одноразовом блокноте. Насколько известно, в самых критически важных системах Китая реализуется именно такая система.

Второй принцип защиты — это постквантовая криптография. Она включает в себя новый класс алгоритмов с открытым ключом, которые основаны на задачах, являющихся вычислительно сложными как для классического компьютера, так и для квантового.

Многих интересует вопрос о том, навредит ли квантовый компьютер блокчейну. Да, это возможно. За счет атак на цифровые подписи, а также за счет использования квантового алгоритма Шора и воздействия на алгоритмы консенсуса со стороны квантового алгоритма Гровера. Однако и защитить блокчейны можно также квантовым распределением ключей или постквантовой криптографией.

В ожидании чуда


Работа над квантовыми компьютерами продолжается, и сегодня одинаково важны вопросы создания нового железа и разработки новых алгоритмов. Сделать это не так просто, потому что программистам приходится иметь дело с совершенно новыми сущностями, а архитекторам — разрабатывать принципиально новые устройства для управления квантовыми системами. Научное сообщество и корпорации-лидеры смотрят в сторону квантовых компьютеров с большим оптимизмом — для него есть поводы.

© Habrahabr.ru