量子因数分解を価値のあるものにするための最小整数値は何ですか？

実験的に、数学的因数分解の各基本的な論理演算は、古典的および量子的因数分解において等しく時間コストがかかるような量子および古典的コンピューターを持っていると仮定しましょう： 1？

Shorのアルゴリズムの量子部分は、基本的に、重ね合わせの後に行われる単一のモジュラー累乗法であり、その後にフーリエ変換と測定が続きます。モジュラーべき乗は、最も高価な部分です。

[...]数学的因数分解の各基本論理演算は、古典的因数分解と量子因数分解で等しく時間コストがかかると仮定しましょう

モジュラーべき乗が量子コンピューターで古典的なコンピューターと同じくらい長くかかると仮定すると、量子計算が良くなった遷移は非常に少ない数で起こります。モジュラーべき乗の計算は、古典的に非常に高速です。これは、繰り返し平方を使用できるためです。30ビットの数値（10億を超える数値）に到達する前であっても、クロスオーバーが起こると予想しています。

しかし、量子コンピューターは、古典的なコンピューターほど高速に数学を実行するつもりはありません。たとえば、私のラップトップでは、ほんの数秒でPythonで1000ビットのモジュラーべき乗を行うことができます。しかし、予見可能な量子コンピューターでは、数時間または数日かかります。問題は、ANDゲートのコストの大きな（大きな）違いです。

$|T\rangle$

したがって、1秒あたり100万のTステートを取得し、これを従来のマシンと比較するために64ビット加算のレートに変換するとします。64ビットの加算には、それぞれ4つのTゲートを必要とする64個のANDゲートが必要です。100万を4で割って64で割ると、約4KHzになります。対照的に、古典的なマシンは1秒あたり10億の追加を簡単に実行します。量子加算器は、従来の加算器よりも百万倍遅いです（繰り返しますが、この数値は時間とともに改善されるはずです）。

考慮する価値のあるもう1つの要素は、量子コンピューターと従来のコンピューターのコストの違いです。1億ドルがあり、1台の量子コンピューターと1000台の古典的なコンピューターを選択する場合は、1000の要素を考慮する必要があります。この意味で、量子加算器の効率は従来の加算器の10分の1（FLOPS / $）であると言えます。

10億という一定の要因ペナルティは、通常、即座の取引の中断です。そして、単なる二次的な利点をもつ量子アルゴリズム（グローバーのような）については、それが実際に取引を中断するものであると私は主張します。ただし、Shorのアルゴリズムは、因数分解する数のビット数を増やすと、従来の戦略に比べて指数関数的に改善されます。私たちの指数関数的な成長を活用して、その「わずかな」10 ^ 9定数を食いつぶす前に何ビットか？

RSA-640は 2005年に33 CPU年を使用してファクタリングされたことを考慮してください。量子コンピューターは、1日でその数を実行できるはずです。問題に取り組んでいる古典的なコンピューターが1000台ある場合、約2週間で終了します。したがって、クォンタムは640ビットで勝っているように見えますが、1桁または3桁しか勝っていません。だから、おそらくカットオフは500ビット前後のどこかで発生するでしょうか？

とにかく、私はこれが難しい答えではないことを知っています。しかし、うまくいけば、古典と量子を比較するときに考える量の感覚を伝えました。本当に、誰も関係する一定の要因を知らないので、だれかが「数百ビットのどこか」よりも適切な推定値を与えることができたら、私は驚くでしょう。

コメントで述べたように、非常に正確な答えは、いくぶんarbitrary意的な多くの技術的な選択に依存するでしょう。桁の大きさの推定値を取得し、それを作成する際に可能な限り考慮することがより重要になる可能性があります。

この答えは、最終的な答えとしてではなく、既存の文献を参照することによる正しい方向への一歩として意図されています（確かに今では10年以上前ですが）。

• ヴァンメーター、伊藤、ラッド。 Shorのアルゴリズムのアーキテクチャ依存の実行時間。手続き メソスコピック超伝導+スピントロニクス2006; [ arXiv：quant-ph / 0507023 ]

Van Meter、Itoh、およびLaddは、Shorのアルゴリズムのパフォーマンスを、Number Field Sieve（因数分解の最もよく知られている古典的なアルゴリズム）を実行する利用可能なコンピューティングテクノロジーと比較しようとします。論文の詳細を調べる時間はありませんでした-そうすることで優れた回答が得られる可能性があります-しかし、その記事の図1では、合理的な数値推定を行うことができます。

ここで、急な曲線は、古典的なコンピューティングネットワークの計算時間を表します。2004年にRSA Security Inc. [ http：//www.rsasecurity。 com / rsalabs / node.asp？id = 2096]。

$n$$n \cdot v$$v$$2 \times 10^{11}$1秒あたりの操作。Shorのアルゴリズムの仮想ベンチマークは、同等のクロック速度で動作する量子コンピューターに対して行われる必要があります。

$10^9$

• 200倍以上の1秒あたりの操作の利点にもかかわらず、プロットは、この200GHzの古典的なNFS実装が、Shorのアルゴリズムを実行する1GHz量子コンピューター（約200桁の数字）と1MHz量子コンピューター（約330桁の数字で）。
• 「2018年」のパフォーマンスを予測する曲線もあります。これは、従来の計算能力の1000倍を表します。1GHzおよび1MHz量子コンピューターのインターセプトは、350ビット数と530ビット数です。

量子計算に対する交差点の増加は、2003年の計算から2018年の予想される計算までで、クロック速度が1000倍になり、約5/3になります。このことから、200倍の速度増加により、従来のコンピューターで迅速に解決できる数値のサイズに対する計算上の利点は、およそ7/6であると推定できます。次に、Shorのアルゴリズムを実行する1GHzの量子コンピューターとNFSを実行する単一の1GHzの古典的なコンピューターの交差点が約170ビット数にあると推定できます。

結論-正確な答えは、正確な結果を大幅に変更する可能性のある多くの技術的仮定に依存するため、大まかな見積もりを求めることをお勧めします。しかし、この質問は少なくとも1回は以前に調査されており、2003年の古典的なパフォーマンスに基づいてパフォーマンスに関するいくつかの仮定と外挿を行ったため、Shorのアルゴリズムは、番号ごとに操作ごとに最もよく知られている古典的なアルゴリズムよりも優れているようです約170ビット。