Shors Algorithmus schränkt ein, wenn

Damit eine ganze Zahl faktorisiert wird, wobei (gleichmäßig) zufällig zwischen und , wobei der Größenordnung von ( das kleinste mit ). ::$N$$a$$1$$N$$r$$a\mod N$$r$$a^r\equiv 1\mod N$

Warum müssen wir in Shors Algorithmus das Szenario verwerfen, in dem $a^{r/2} =-1 \mod N$ ? Warum sollten wir das Szenario nicht verwerfen, wenn $a^{r/2} = 1 \mod N$ ?

Die Anforderung, dass ist, entspricht der Anforderung, dass .$a^r\equiv 1\mod N$$a^r - 1\equiv 0\mod N$

Wir wollen eine Zahl, , so dass der größte gemeinsame Nenner von und ein geeigneter Faktor von (dh ein Faktor ).$b$$b$$N$$N$$\neq 1, N$

Wir haben auch, dass .$a^r-1 = \left(a^{r/2}-1\right)\left(a^{r/2}+1\right)$

Wir nehmen also . Wir wissen, dass die kleinste Zahl ist, so dass , was zeigt, dass und damit (wie sonst würde teilen ).$b = a^{r/2}-1$$r$$a^r = 1\mod N$$a^{r/2}\neq 1\mod N$$\gcd\left(a^{r/2}-1, N\right)\neq N$$N$$b$

Nach Bézouts Identität existiert oder . Wenn teilt , ergibt dies, dass oder teilt .$\gcd\left(a^{r/2}-1, N\right)=1, \exists\, x_1, x_2\in\mathbb Z \text{ s.t. } \left(a^{r/2}-1\right)x_1+Nx_2 = 1$$\left(a^r-1\right)x_1+N\left(a^{r/2}+1\right)x_2 = a^{r/2}+1$$N$$a^r-1$$N$$a^{r/2}+1$$a^{r/2} = -1\mod N$

Dies ergibt, dass die Anforderung (neben der Bedingung für ) ausreicht, um zu bestimmen, dass der größte gemeinsame Nenner von und ein Eigenwert ist Faktor .$a^{r/2}\neq -1\mod N$$r$$a^{r/2} - 1$$N$$N$

Es gibt kein Szenario für da Sie bereits angenommen haben, dass der kleinste Wert ist, so dass und ist kleiner als .$a^{r/2}\equiv 1\text{ mod }N$$r$$a^r\equiv1\text{ mod }N$$r/2$$r$

Wenn Sie wissen, warum Sie diskontieren müssen , ist der Punkt, dass Sie etwas gefunden haben, das für eine ganze Zahl erfüllt . Dies faktorisiert als wenn ist. Entweder einer der Begriffe teilbar ist durch , oder jede enthält verschiedene Faktoren von . Wir möchten, dass sie verschiedene Faktoren enthalten, damit wir Computer , um einen Faktor zu finden. So wollen wir ausdrücklich , dass . Ein Fall wurde wie oben angegeben beseitigt, indem verlangt wurde$a^{r/2}\equiv -1\text{ mod }N$$(a^r-1)=kN$$k$$(a^{r/2}-1)(a^{r/2}+1)=kN$$r$$(a^{r/2}\pm 1)$$N$$N$$\text{gcd}(a^{r/2}\pm1,N)$$a^{r/2}\pm 1\neq 0 \text{ mod }N$$r$so klein wie möglich sein. Den anderen müssen wir explizit rabattieren.

Wenn , dann ist eine triviale Quadratwurzel von anstelle einer interessanten Quadratwurzel. Wir wussten bereits, dass eine Quadratwurzel von . Wir brauchen eine Quadratwurzel, die wir noch nicht kannten.$a^{r/2} \equiv -1$$a^{r/2}$$1$$-1$$1$

Angenommen, ich gebe Ihnen eine Zahl so dass . Sie können diese Gleichung wie folgt umschreiben:$x$$x^2 = 1 \pmod{N}$

Der Schlüssel ist daran zu erkennen ist , dass diese Gleichung trivial ist , wenn ist$x$$\pm 1 \bmod N$ . Wenn , dann ist die linke Seite weil der Faktor . Das gleiche passiert, wenn , aber mit dem anderen Faktor.$x\equiv -1$$0 \bmod N$$(x+1)\equiv 0$$x \equiv +1$

Damit sowohl als auch interessant sind (dh nicht Null mod ), muss eine zusätzliche Quadratwurzel von . Eine Quadratwurzel neben den offensichtlichen Antworten und . Wenn dies geschieht, ist es unmöglich, dass die Primfaktoren von alle in oder alle in , und so gibt Ihnen garantiert einen Faktor von anstelle eines Vielfachen von .$(x+1)$$(x-1)$$N$$x$$1$$+1$$-1$$N$$(x+1)$$(x-1)$$\gcd(x+1, N)$$N$$N$

Wenn zum Beispiel dann ist eine zusätzliche Quadratwurzel von 1. Und tatsächlich sind sowohl als auch sind Faktoren von . Wenn wir die langweilige Quadratwurzel , wäre weder noch sind Faktoren von .$N=221$$x=103$$\gcd(x+1, N) = \gcd(104, 221) = 13$$\gcd(x-1, N) = \gcd(102, 221) = 17$$221$$x=-1\equiv 220$$\gcd(x+1,N) = \gcd(221, 221) = 221$$\gcd(x-1,N) = \gcd(219,221) = 1$$221$