dxdt.ru: занимательный интернет-журнал

Даниэль Бернштейн (Daniel J. Bernstein) опубликовал большую статью (англ.) с критикой некоторых возражений, относящихся к возможности создания универсальных квантовых компьютеров. Вообще, основной посыл статьи такой: нужно немедленно повсеместно внедрять постквантовую криптографию, потому что, исходя из анализа ситуации, не удаётся найти веских причин для уверенности в том, что АНБ уже не строит активно (или построило) квантовый компьютер, пригодный для практического криптоанализа.

В статье есть странный частный момент: в качестве примера, поясняющего, почему проблема огромного количества состояний, с которым должен работать квантовый компьютер, – это совсем не проблема, приводится работа обычного, классического компьютера с тысячей битов. То есть, обычный компьютер без труда может сгенерировать тысячу случайных битов, а потом провести с ними преобразование, которое изменит распределение вероятностей. Поэтому и тысяча кубитов, якобы, не создаёт теоретических проблем теоретическим квантовым компьютерам.

Бернштейн тут же прямо отмечает, что квантовые вычисления на кубитах это не то же самое, что и вычисления с обычными битами, но, тем не менее, подчёркивает, что практическая возможность обрабатывать отдельные состояния в тысячу битов любым классическим ноутбуком каким-то образом отменяет и проблему с огромной размерностью пространства состояний гипотетического квантового компьютера на тысячу кубитов. Цитата:

I’m not saying that computation on qubits is the same as computation on random bits. When you look at the details, you see that quantum computation allows a useful extra trick, setting up interference patterns between positive and negative variables. But an argument saying “quantum computing is impossible because there are so many variables” can’t be right: it also says that your laptop is impossible.
(“Я не утверждаю, что вычисление на кубитах это то же самое, что и вычисление на случайных битах. Если посмотреть детально, то можно увидеть, что квантовое вычисление позволяет провести дополнительный полезный трюк, задав схемы интерференции между положительными и отрицательными переменными. Однако аргумент, говорящий, что “квантовые вычисления невозможны, так как там настолько много переменных”, не может быть верным, поскольку этот же аргумент говорит, что ваш ноутбук невозможен.”)

Вообще, именно возможность “интерференции между переменными”, это не просто трюк, а она таки составляет смысл квантовых вычислений, которые, собственно, вычислениями, в привычном смысле, и не являются. Чтобы интерференция состояний стала возможной, логично допустить, что эти состояния где-то “должны размещаться”. То есть, это не обязательно так, не является необходимым условием. Потому что можно, скажем, посчитать, что соответствующие потоки вероятностей и составляют некоторую над-реальность, а наблюдается только её “срез”, вызванный представлением экспериментатора (возможны ли при этом квантовые вычисления – другой вопрос). Однако, сама идея, что для 2^1000 состояний используемые модели “квантовой механики” не работают, не только не выглядит нелогичной, но уж точно не разрушается возможностью обработать тысячу битов классическим ноутбуком: в классическом ноутбуке другие состояния битовой строки возникают как программное представление после выполнения преобразования, а не являются фундаментом физической реализации алгоритма в некотором аналоговом вычислителе.

Для задач, на сложности которых основаны постквантовые криптосистемы, могут разработать квантовые алгоритмы взлома, использующие уже сложившийся математический аппарат квантовой механики.

Возможен и вариант, когда дополнения или изменения прежде появятся в математическом аппарате квантовой механики, а потом предложат алгоритмы атак на постквантовые криптосистемы, использующие эти нововведения. Этот вариант менее вероятен, чем предыдущий, но сбрасывать его со счетов вовсе и не нужно.

Ну а интереснее всего вариант, когда изменения в аппарат квантовой механики вносятся специально для того, чтобы предложить алгоритмы взлома постквантовых криптосистем, а уже в качестве “побочного эффекта”, несколько позже, этот новый вариант оказывается полезен и для теоретической физики. Такое тоже возможно.

Постоянно тиражируются странные утверждения про “суперпозицию” и “мощность квантовых компьютеров”. Вот свежий пример: в небольшой справке по квантовым “оборонным технологиям” для штатовских конгрессменов написано, что термином “суперпозиция” обозначается “способность квантовых систем существовать в двух или более состояниях одновременно” (оригинал: “Superposition refers to the ability of quantum systems to exist in two or more states simultaneously”). Дальше из этого ошибочного определения выводится, что если классический компьютер кодирует информацию в битах, “которые представляют двоичные состояния нуль и единицу”, а квантовый компьютер – использует кубиты, которые могут быть и нулём, и единицей, и комбинацией нуля и единицы одновременно, то мощность квантового компьютера “увеличивается экспоненциально с добавлением каждого кубита” (буквально: “Thus, the power of a quantum computer increases exponentially with the addition of each qubit”).

Суперпозиция – это не про одновременное пребывание “в двух состояниях”, а про вероятности (специальные): состояние-то там, очевидно, одно. Причём, за квантовыми вычислениями, как концепцией, как раз и стоит именно представление о том, что значения вероятностей в квантовых состояниях “интерферируют” особым образом и можно, правильно устроив преобразование, максимизировать вероятность полезного исхода измерения. То есть, грубо говоря, эти квантовые состояния можно “складывать”, а когда они “складываются”, то вероятности эти преобразуются и могут сокращаться, уничтожая, таким образом, ненужные для вычисления вероятности и “усиливая” нужные. Тут, конечно, не нужно забывать, что речь о потоке вероятности, а не о привычных “процентах”, но это уже технические детали.

Ну и что касается второй части, то с добавлением каждого кубита – экспоненциально, как минимум, растёт количество классических вычислительных ресурсов, нужных для того, чтобы численно с высокой точностью моделировать получающуюся систему. Факт – каждый может проверить. А вот прямо транслировать этот эффект в обратную сторону, хоть такая трансляция и есть ещё одна концептуальная основа квантовых вычислений, пока не очень получается, если это вообще возможно: иначе квантовый компьютер, даже теоретический, был бы сразу быстрее на любых алгоритмах и задачах; следовательно, не потребовалось бы изобретать алгоритмы квантовые и предлагать надуманные “квантовые задачи” для, гипотетической, демонстрации “квантового превосходства”.

Провокационные заголовки “про науку” принято относить на счёт журналистов научпоп-изданий, ещё и называя “кликбейтом”. Однако вот в свежей истории про “экспериментально зафиксированное отрицательное время” оригинальный заголовок исходной работы (препринта) даже веселее, чем варианты СМИ. Заголовок гласит: “Experimental evidence that a photon can spend a negative amount of time in an atom cloud” (“Экспериментальное подтверждение того, что фотон может (can) находиться в “атомном облаке” в течение отрицательного промежутка времени”).

То есть, прямо так и сказано, если дословно: “отрицательное количество времени”. А это сильнее, чем “отрицательное время” СМИ. Как говорится: “в аудитории присутствует минус три студента; сейчас ещё трое придут – вообще никого не останется!”. Скаляр – не скаляр, но журналисту тут и придумывать не нужно ничего. Для полноты картины: конечно, тут же, прямо в аннотации работы, уточняется, что речь идёт о значениях, принимаемых переменными (параметрами времени в уравнениях, вообще говоря) в рамках некоторой интерпретации модели, стоящей за экспериментом.

Phys.Org сообщает, что авторы в курсе “споров вокруг провокационного названия работы”, но авторы также указывают, что пока ни один “серьёзный учёный” экспериментальные результаты (видимо, про “отрицательный интервал времени”) не оспаривает.

Интересный аспект, непосредственно связанный с обобщёнными “квантовыми компьютерами”: влияние гравитационного замедления времени. Это достаточно новая тема, но уже определили, что практические “квантовые часы” чувствительны к гравитационному потенциалу Земли на дистанциях, измеряемых сантиметрами. То есть, замедление времени (time dilation), связанное с гравитационным потенциалом, соответствующий генератор частоты определяет при изменении высоты, предположим, на пару сантиметров. Тут, конечно, не очень понятно, что через что определяется: гравитация через замедление времени или наоборот, но это не означает, что данный эффект, – пограничный, грубо говоря, для квантовой механики и общей теории относительности, – нужно сразу отбросить.

Популярные изложения физики нередко определяют пространство для классической механики, с абсолютным временем, как “феномен”, к которому можно привязать оси, образующие кортежи чисел – читай, координаты точки в пространстве-времени: (t, x, y, z). Тут должно быть много оговорок про метрику, векторы и т.д. Но популярные изложения постоянно используют что-то вроде евклидова пространства, так что, наверное, понятно о чём речь. Потому что интереснее другое: редко кто при этом объясняет, почему бы не поступить наоборот, а именно – сказать, что совокупность свойств кортежей чисел это и есть то, что само задаёт пространство, а не описывает. (Что такое тензор? Это элемент тензорного произведения.) При этом, привычно добавляя в кортеж “время” в качестве “ещё одной обычной оси измерения”, можно учитывать, что с алгебраической точки зрения трёхмерное и четырёхмерное пространства заметно отличаются: например, в четырёхмерном пространстве добавляется ещё один правильный многогранник.

Однако, как бы там ни было, но в таком “блочном” пространстве-времени – нет времени. Почти что каламбур. Уж точно нет “хода времени” (совсем другой феномен, между прочим). Поэтому, с одной стороны, гравитационное замедление времени в квантовых часах может быть проявлением некоторого эффекта, блокирующего осуществление квантовых вычислений. Тогда придётся искать то ли какую-то особую “антигравитацию”, то ли “гиперплоское” место в пространстве-времени, где гравитация не мешает. Но, с другой стороны, может же выйти и наоборот: если есть какой-то способ проваливаться в разное “время” на уровне квантовых схем, то так и фантастическая схема с экспоненциальным повышением частоты начнёт срабатывать. Скажем, для завершения вычислений требуется количество тактов, эквивалентное двум триллионам лет, но это если считать по “кварцу” в настенных часах, а если считать по внутреннему квантовому времени, то по настенным часам выйдет одна секунда, не более. Нет, речь тут вовсе не про известный “парадокс близнецов”, поскольку гравитационное замедление времени – это другой эффект: никто никуда не летит на ракете, но изменяется гравитационное искривление где-то там на уровне ниже планковской длины.

Всё это фантастика. Время сложно определить. Понятно, что “ход времени” выглядит воображаемой категорией: в тех или иных часах, на стене или в экспериментальной установке, всё равно какой-то кварц или атомный генератор секунд. Как он срабатывает в заданной реальности – узнать по показаниям часов нельзя. Но если гравитационное замедление в масштабе пикосекунд кажется слишком маленьким, чтобы помешать квантовой реализации алгоритма Шора, то учитывайте, что в формулах, моделирующих квантовое преобразование Фурье, появляются несравнимо меньшие числа, и их необходимо учитывать, строя хронометраж.

Один из долгоиграющих примеров, позволяющих иллюстрировать искажения “физических теорий”, это, конечно “принцип неопределённости Гейзенберга”. Вот в русскоязычной “Википедии” по теме этого принципа не только умные слова про какие-то “некоммутрирующие операторы” написаны, но и сказано, буквально, следующее:

“Согласно принципу неопределённости у частицы не могут быть одновременно точно измерены положение и скорость (импульс)”.

Казалось бы, можно задуматься: а возможно ли вообще измерить какие-то такие параметры точно?

– Периметр шляпки этого гвоздя – один метр точно!
– А вы по орбитам электронов посчитали? А то у меня почему-то всё время три километра получается.

Скажем, не так давно был ещё единственный в мире механический артефакт, который весил абсолютно точно один килограмм. Потому что это был эталон килограмма из международного бюро. Ну так, с одной стороны, измерить его, в общепринятом смысле, все равно было невозможно – как вы станете измерять эталон? Это примерно как время определять через площадь секундной стрелки судового хронометра, упирая на то, что он в латунном корпусе.

С другой стороны, от эталона килограмма сейчас вовсе отказались, ибо фундаментальная физика измерений – это, всё же, про соотношения, а не про точность и тщательность сдувания пылинок. Отсюда, кстати, всего пара шагов до понимания упомянутого принципа неопределённости, но только не нужно идти в сторону “невозможной” точности “одновременных” измерений.

Что произойдёт с лабораторным прибором, которым экспериментатор попытается “точно измерить” импульс частицы, предварительно локализовав эту частицу в пространстве тоже точно? Видимо, из прибора пойдёт дым и отвалится стрелка, показывающая значение импульса. А всё потому, что нет эталона.

Конечно, проблема в том, что частица в исходной иллюстрации принципа неопределённости вполне явно подразумевается в виде “очень маленького синего шарика”. То есть, если частица – электрон, то сперва вводится существование электрона-шарика, с “точным импульсом и положением”, а потом утверждается, что, якобы, эти точные импульс и положение нельзя измерить. Физика, как бы, всё равно “классическая”, но вот введём запрет на одновременную точность – получится уже квантовая физика. Из чего, кстати, повсеместно выводится та самая мнимая “контринтуитивность”, которую потом используют в популярных статьях.

Принцип неопределённости Гейзенберга не запрещает одновременно измерять положение и импульс с любой доступной оборудованию и методу подсчёта погрешностей точностью. Он не про измерения шариков, а про связь результатов измерений. На уровень выше. Этот принцип задаёт интервалы вероятности для “измеримых” величин и, в частности, связывает один параметр с другим (например, условный “импульс” с не менее условными “координатами”) через шкалу, доступную экспериментатору: сжав шкалу для “пространства” – нужно ожидать расширения шкалы для “импульса”. Но данная модель не рассматривает тот же электрон как “маленький синий шарик”, не запрещает никаких “одновременных измерений”.

Интересно, что неравенства, используемые для записи параметров этого самого принципа неопределённости, содержат постоянную Планка. И вот значение этой постоянной не так давно стало подлинным рациональным числом. Это значение, сколь бы квантовым оно ни казалось с популярной точки зрения, теперь можно знать абсолютно точно: 6.62607015*10^(-34) J/Hz. Значение зафиксировали. Что, кстати, имеет непосредственную связь с отменой определения килограмма через эталон.

Впрочем, всю рациональность портит деление на π – ведь там “h с чертой”. Так что можно продолжать уточнять цифры десятичного разложения.

Сейчас много новостей про то, что в Google “совершили прорыв в квантовых вычислениях”, представив “метод коррекции ошибок”. Обычное для текущего уровня “хайпа” состояние, тем более, когда в источнике новости упоминается Google.

Вообще, если почитать соответствующий препринт, то окажется, что действительно интересных выводов там три, но ни один из них не попадает в заголовки СМИ: во-первых, в предложенной схеме коррекции тут же обнаружились новые “ошибки, природа которых пока не ясна”; во-вторых, очередной раз указано, что так как для дешифрования вывода “квантовых вычислений”, использующего коды коррекции, требуется классический вычислитель, то ещё предстоит определить, не окажется ли задача дешифратора экспоненциально сложной для этого классического компьютера; в-третьих, речь вообще не про универсальные квантовые вычисления, а про реализацию некоторых кодов для небольшого количества кубитов конкретных лабораторных устройств.

Первый аспект – “новые ошибки”, – выглядит как намёк на те самые дополнительные кубиты, которые необходимы для коррекции ошибок в схеме коррекции ошибок: такая иррациональная рекурсия, в стиле вычисления точной десятичной записи значения корня из двух.

Второй аспект, про необходимый “классический вычислитель”, указывает на то, что без классического компьютера квантовый аналоговый вычислитель бесполезен даже в качестве лабораторной установки, и при этом экспоненциальный рост сложности, соответствующий моделированию квантовых алгоритмов на классических компьютерах, вполне может вылезти в процессе коррекции ошибок (что, наверное, будет особенно обидно).

Занятно, что в исходной работе нет хотя бы примерных описаний используемой “классической аппаратуры” – она как бы подразумевается существующей “за кадром”, в виде “специализированной рабочей станции” с доступом по Ethernet. Наверное, это не имеет отношения к теме публикации (хотя, казалось бы – ведь классический вычислитель точно необходим, чтобы вся эта квантовая коррекция ошибок как-то заработала).

Ну и аспект третий, – “квантовые вычисления”, – самый “хайповый”: исходная работа – про оценки порога для реализации коррекции ошибок в “квантовой памяти” (что бы это ни значило), а не про универсальные вычисления, требующие, дополнительно, совсем других элементов.

Нобелевскую премию по физике присудили за “создание неросетей”. Это, конечно, несколько условное определение: если почитать прилагаемое к решению “научное описание“, то окажется, что речь про новые методы – про “нейросети”, используемые в качестве инструмента при обработке данных.

Используются ли в современной физике нейросети с машинным обучением? Используются, и достаточно широко, и не только в экспериментальной части. Даже хоть бы вот и при написании статей (читай – LLM). Но и кроме этого – машинное обучение и нейросети обозначаются в качестве инструмента в работах, результаты которых сами физики считают существенными. А в профильных вузах “методы машинного обучения в обработке данных” – входят в программу обучения (не машинного, а студенческого), в том или ином виде. Да, это методологическое явление, конечно, но и деятельность Нобелевского комитета – тоже относится к области методологии и администрирования, с прицелом на общую медийную реальность.

Хорошо ли, что в физике используются нейросети с машинным обучением? Это уже определяется не нейросетями. Если физик-пользователь сохраняет понимание, что исследователь – это он, а “нейросети с обучением” всего лишь дают компьютерный метод подбора коэффициентов при помощи оптимизированного перебора, то всё неплохо. В конце концов, при взгляде со стороны, предположим, современная “физика элементарных частиц” всё больше похожа на странное торжество принципа опровержимости, выразившееся в непрекращающихся попытках уточнения коэффициентов, с которыми в формулы входят всё более дальние знаки записи десятичного разложения числа Пи. Но физики, скорее всего, представляют процесс совсем иначе.

Если же на первый план выходит “искусственный интеллект”, который “видит непостижимые закономерности“, а исследователя-физика предлагается заменить на динамические результаты машинного перебора, то это уже не так хорошо, но всё равно не плохо: куда деваться – в условиях Нового средневековья просто должен быть именно такой аспект, связанный с ИИ, как с “волшебной коробкой” или, если хотите, как с “чёрным ящиком”.

Как понять, что факторизация числа 15 не может ничего говорить о реализации квантового алгоритма Шора? Понять это несложно: один из делителей числа 15 должен быть меньше 4 (потому что 4^2 == 16), единица не рассматривается по условиям задачи, и это не 2 (потому что только нечётные подходят). Так что любой процесс поиска, каким бы аналоговым он ни был, если вообще сходится, то неизбежно попадёт в 3, что и будет верным ответом.

Заметьте, что ещё и 5 = 3 + 2, а простых чисел, меньших 15, только шесть: поэтому, учитывая, что умножение здесь коммутативно (это очень важно для квантовых алгоритмов), число 2 отбрасывается, а схема поиска расщепляется на пары, то, в самом худшем случае, вероятность, что аналоговый аппарат, состояния которого переключаются по возможным узлам дерева, промахнётся – меньше трети. (На практике, ещё раз, для промахов там просто нет места.)

Продемонстрировано извлечение данных, раскрывающих секретный ключ ECDSA, из аппаратных токенов YubiKey при помощи ПЭМИН (то есть, побочных электромагнитных излучений и наводок). Используется утечка информации о внутреннем состоянии микроконтроллера при выполнении математических операций (алгоритм Евклида при вычислении обратного элемента, которое необходимо в ECDSA). По ссылке выше – очень большое описание, потому что атака сложная, требуется достаточно хитрая аппаратура и нужен не просто физический доступ, но необходимо разобрать токен. (via)

С одной стороны, сразу вспоминается контейнер, механически защищённый от несанкционированного доступа: то есть, если бы было предусмотрено физическое разрушение токена при попытке вскрытия корпуса, то атака стала бы ещё сложнее (понятно, что всё равно можно вскрыть и разобрать, но трудностей, при правильной конструкции, можно добавить немало – есть даже специальное направление исследований: как лучше устроить саморазрушаемые чипы).

С другой стороны – работающая аппаратура так или иначе уязвима к утечкам по побочным каналам: если состояние изменяется, то это изменение можно отследить и использовать. Большой вопрос: можно ли вообще на практике вычислять что-то содержательное (типа подписи с постквантовой стойкостью, скажем) так, чтобы внешний наблюдатель, в электромагнитных деталях фиксирующий “переключения триггеров”, не мог вычислить секрет. Скорее всего – нет, нельзя, а данные через побочные каналы утекают даже при передаче уже обработанной информации, и даже при использовании абсолютно стойких (математически) шифров.

Кстати, не совсем по теме алгоритма Евклида в микроконтроллерах, но тоже интересно: квантовая криптография, которую, почему-то, повсеместно называют “абсолютно защищённой законами физики” (или что-то такое) – тут тоже не помогает никак: утечки состояния оборудования, создающего “квантовый канал”, вполне себе раскрывают “нераскрываемые” секреты. Понятно, что квантовая криптография – это про передачу данных. Однако декларируемая защита “физическими законами” – это лишь результат экспериментального применения некоторой модели, которая явно неполна, а дополнения и уточнения к ней – вполне себе могут принести каналы утечки уже на квантовом уровне.

Объяснение, что “кубит находится одновременно в двух состояниях” – не слишком хорошее. Гораздо лучше говорить, что состояние кубита, взятое “в нулях и единицах”, не определено до момента измерения. Изменение распределения этой неопределённости при помощи преобразований конфигурации системы, с учётом будущих и потенциально возможных измерений, как раз и составляет теоретическую полезность квантовых вычислений. То есть, нет “нулей”, нет “единиц” – есть взаимодействующие неопределённости и теоретические алгоритмы, сужающие конфигурацию пространств вариантов, доступных на границах, по которым происходит взаимодействие (квантовое преобразование Фурье, предположим).