八年苦读,伯克利研究生解决量子计算验证问题

她将经典密码学与量子领域进行结合,解决了“量子计算中最根本的问题之一”。

来源:Quantamagazine

作者:Erica Klarreich

编辑:三石、肖琴

2017年春天,Urmila Mahadev解决了量子计算中的一个重要问题,即从量子物理学的奇怪定律中获得能量的计算机研究。Mahadev的新成果与她之前的论文结合在一起,被称为“盲计算(blind computation)”。

德克萨斯大学奥斯汀分校的计算机科学家Scott Aaronson说:“她显然是一颗冉冉升起的新星。”

Mahadev当时28岁,已经在加州大学伯克利分校读了7年研究生,很多急于毕业的学生早就离开了学校。她在伯克利的博士导师Umesh Vazirani说:“她现在终于有了一个非常漂亮的博士论文。”

但是Mahadev并没有在那年选择毕业,她甚至没有考虑过毕业。她觉得她的梦想并没有完成。

五年多来,在她眼中想要解决的问题与其他人不同,Aaronson将此称之为“量子计算中最为基础的问题之一。”即,如果你让一台量子计算机为你执行一个计算,那么你如何确定它确实执行了你的指令,甚至如何得知它是否做了与量子相关的事情。

这个问题可能很快就会远离学术界。研究人员希望,过不了太多年,量子计算机就能在许多问题上提供指数级的加速,例如模拟黑洞周围的行为、模拟大蛋白质的折叠方式等。

但是,一旦量子计算机能够完成经典计算机无法完成的计算,我们怎么知道它是否正确地完成了这些计算呢?

如果你不信任一台普通的电脑,理论上,你可以自己仔细检查它在计算过程中的每一个步骤。

但是量子系统从根本上来说是抵制这种检查的。首先,它们的内部工作是极其复杂的:用几百个量子比特(quantum bit)来描述一台计算机的内部状态需要一个比整个可见宇宙都大的硬盘。

即使你有足够的空间写下这个描述,也没有办法得到它。量子计算机的内部状态通常是许多不同的非量子“经典”状态的叠加(比如薛定谔的猫,它既死又活)。但是一旦你测量一个量子态,它就会崩溃成一个经典态。

Vazirani说:“量子计算机功能非常强大,但同时它也非常隐秘。”

考虑到这些限制因素,计算机科学家们长期以来一直想知道量子计算机是否有可能提供任何证据能够证明它确实做到了声明的那些功能。耶路撒冷希伯来大学的计算机科学家Dorit Aharonov问道:“量子和古典世界之间的相互作用是否足够强大到可以进行对话?”

在研究生二年级的时候,马哈德夫被这个问题迷住了,原因连她自己都不完全明白。在随后的几年里,她尝试了一种接一种的方法。她说:“有很多次我觉得做得不错的时候,要么很快就失败了,要么做了一年才发现是失败的。”

但她拒绝放弃。Mahadev表现出一种前所未有的决心。而今,经过八年的研究生学习生涯,Mahadev终于成功了。

她提出了一种交互式协议,通过这种协议,没有量子能力的用户可以使用密码学在量子计算机上安装一个套具,并在他们想要的任何地方驱动它,并保证量子计算机正在遵循他们的指令。

Aaronson说:“对于一个研究生来说,独自完成这样一个任务是非常令人震惊的!”

Mahadev现在是UC Berkeley的博士后研究员。昨天,她在计算机科学基金会(foundation of Computer Science)年度研讨会上提交了自己的方案。她的作品获得了该会议的“最佳论文”和“最佳学生论文”奖,这对一位理论计算机科学家来说是罕见的荣誉。

加州理工学院(California Institute of Technology)的计算机科学家Thomas Vidick过去曾与Mahadev有过合作,他在一篇博客文章中称,Mahadev的研究成果“是近年来量子计算和理论计算机科学领域出现的最杰出的思想之一”。

量子计算研究人员不仅对Mahadev的协议所取得的成就感到高兴,更对她为解决这个问题所采取的全新方法感到兴奋。Vidick写道,在量子领域使用经典密码学是一个“真正新颖的想法”。“我预计,在这些想法的基础上,还会有更多的成果。”

漫漫研究路

Mahadev在洛杉矶的一个医生家庭长大,她就读于南加州大学,她从一个学习领域徘徊到另一个领域,只是不想成为一名医生。后来,计算机科学家Leonard Adleman教授的一门课让她对理论计算机科学感到兴奋。她申请了UC Berkeley的研究生院,在申请材料中解释说她对理论计算机科学的所有方面都感兴趣——除了量子计算。

她说:“量子计算听起来特别遥远,我对它一无所知。”

但是当她在伯克利的时候,Vazirani通俗易懂的解析很快改变了她的想法。他向她介绍了如何找到验证量子计算的协议,这个问题“激发了她的想象力”,Vazirani说。

“协议就像谜题,”Mahadev解释说。对我来说,这些问题似乎比其他问题更容易回答,因为你可以自己立即开始思考协议,然后打破它们,这样你就能看到它们是如何工作的。她选择了这个问题作为她的博士研究课题,开始了她的“漫漫长路”。

如果量子计算机可以解决一个经典计算机无法解决的问题,那并不意味着解决方案将难以检验。以大数因式分解为例,这是一个大型量子计算机可以有效解决的问题,但一般认为任何经典计算机都无法解决。即使经典计算机不能因式分解一个数字,它也可以很容易地检查量子计算机的因式分解是否正确——它只需要把这些因子相乘,看看它们是否产生了正确的答案。

然而,计算机科学家认为(并且最近向证明迈出了一步)量子计算机可以解决的许多问题并没有这个特征。换句话说,经典计算机不仅无法解决这些问题,甚至无法识别所提出的解决方案是否正确。鉴于此,于2004年左右,安大略省滑铁卢周界理论物理研究所的物理学家Daniel Gottesman提出了一个问题,即,如果你让一台量子计算机为你执行一个计算,那么你如何确定它确实执行了你的指令,甚至如何得知它是否做了与量子相关的事情。

在四年时间里,量子计算研究人员已经得到了部分答案。两个不同的团队表明,量子计算机可以证明它的计算,不是一个纯粹的经典验证者(classical verifier),而是对一个能够访问它自己的非常小的量子计算机的验证者。研究人员后来改进了这种方法,以表明验证者所需要的是每次测量一个量子比特的能力。

2012年,包括Vazirani在内的一组研究人员表示,如果量子计算是由一对无法相互通信的量子计算机进行的,那么一个完全经典的验证者就可以检查量子计算。Gottesman说,但那份论文的方法是针对这种特定情形而设计的,这个问题似乎陷入了死胡同。“我想可能有人认为你不能再往下进行了。”

大约在这个时候Mahadev遇到了验证问题。

起初,她试图得出一个“无条件”的结果,一个对量子计算机能做什么或不能做什么的假设。但是,在她研究这个问题一段时间没有取得任何进展后,Vazirani提出了使用“后量子”加密的可能性——也就是说,研究人员认为即使量子计算机也无法破解这种加密,尽管他们不确定。(用于加密在线交易等信息的RSA算法等方法并不是后量子算法——大型量子计算机可能会破坏它们,因为它们的安全性依赖于分解大数的难度。)

2016年,Mahadev和Vazirani在研究另一个问题时取得了进步,这在后来被证明是至关重要的。他们与OpenAI的研究科学家Paul Christiano合作,开发了一种利用密码学的方法来让量子计算机构建所谓的“secret state”——一种其描述为经典验证者(classical verifier)所知,而不是为量子计算机本身所知的状态。

他们的程序依赖于“陷门”(trapdoor)函数,这种函数很容易执行,但很难逆转,除非你有一个私密的加密密钥。(研究人员还不知道如何真正构建一个合适的陷门函数。)函数也要求是“2对1”,这意味着每个输出对应两个不同的输入。例如,平方函数——除了0,每个输出(例如9)有两个对应输入(3和 3)。

有了这样一个函数,你就可以让量子计算机创建一个secret state,如下所示:首先,要求计算机建立一个所有可能的函数输入的叠加。然后,告诉计算机将函数应用到这个巨大的叠加上,创建一个新的状态,这个状态是函数的所有可能输出的叠加。输入和输出的叠加会产生纠缠,这意味着其中对一个的测量结果会立即影响到另一个。

接下来,要求计算机测量输出状态并告诉你结果。此测量将输出状态坍缩(collapse)为只有一个可能的输出,并且输入状态立即坍缩来匹配它,因为它们是纠缠的——例如,如果使用平方函数,如果输出是9的状态,输入将会坍缩成3和 3的叠加态。

但要记住,你使用的是trapdoor函数。你有trapdoor的密钥,所以你可以很容易地找出构成输入叠加的两个态。但是量子计算机不能。它不能简单地测量输入叠加来求出它是由什么态构成的,因为这个测量会使它进一步坍缩,让计算机只剩下两个输入中的一个,但无法找出另一个。

2017年,Mahadev通过一种名为“Learning With Errors”(LWE)的加密技术,找到了如何在secret-state方法的核心构建trapdoor函数的方法。利用这些trapdoor函数,她能够创建一个量子版本的“盲”计算(blind computation),通过这种计算,云计算用户可以屏蔽他们的数据,这样云计算机即使在计算时也无法读取数据。不久之后,Mahadev、Vazirani和Christiano与Vidick和Zvika Brakerski(以色列魏茨曼科学研究所的科学家)合作,进一步完善了这些trapdoor函数,利用secret-state方法开发了一种量子计算机生成可证实的随机数的简单方法。

Mahadev本可以凭借这些结果毕业,但她决心继续研究,直到解决验证问题。“我从未想过毕业,因为我的目标从来就不是毕业,”她说。

她不知道是否能解决这个问题,这有时会让人感到压力。但是,她说:“我花时间学习感兴趣的东西,所以这真的不能说是浪费时间。”

解决验证问题

Mahadev尝试了从secret-state方法到验证协议的各种方法,但有一段时间她一无所获。然后她产生了一个想法:研究人员已经证明,如果一个验证者(verifier)能够测量量子比特,它就可以检验量子计算机。根据定义,classical verifier缺乏这种能力。但是,如果classical verifier能够以某种方式强迫量子计算机执行测量并诚实地报告它们,结果会怎样呢?

Mahadev意识到,最棘手的部分是让量子计算机在它知道verifier会要求哪种测量方法之前,先确定它要测量的state——否则,计算机很容易欺骗verifier。这就是secret-state方法发挥作用的地方:Mahadev的协议要求量子计算机首先创建一个secret state,然后将其与它应该测量的state纠缠在一起。只有这样,计算机才知道要执行哪种测量。

由于计算机不知道secret state的构成,但verifier知道,Mahadev表明,量子计算机不可能在不留下明显的欺骗痕迹的情况下进行大型作弊。Vidick写道,从本质上讲,计算机要测量的量子比特被“加密且固定不变”。因此,如果测量结果看起来像一个正确的证明,verifier就能确信它们确实是。

“这是一个非常好的想法!””Vidick写道,“每次Urmila解释它的时候,都让我感到震惊。”

Mahadev的验证协议——以及随机数生成器和盲加密方法——取决于量子计算机不能破解LWE的假设。目前,LWE被广泛认为是后量子密码学的主要候选,可能很快就会被国家标准和技术研究所采用作为其新的加密标准,以取代量子计算机可能破解的标准。Gottesman警告说,这并不能保证它对量子计算机是安全的,“但到目前为止它还很稳固,还没有证据证明它可能被破解。”

Vidick写道,无论如何,该协议对LWE的依赖使得Mahadev的工作带来了双赢。量子计算机欺骗协议的唯一方法是量子计算世界中有人找到了破解LWE的方法,这本身就是一项了不起的成就。

Mahadev的协议不太可能在不久的将来在真正的量子计算机上实现。目前,该协议需要很大的计算能力才能实现实用。但随着量子计算机规模的越来越大,以及研究人员简化协议,未来这种情况可能会改变。

Aaronson说,Mahadev的协议可能在未来五年之内都不可行,但“在幻想世界里也不是完全不可行”。“如果一切顺利,在量子计算机发展的下一个阶段,就可以开始思考这个问题了。”

考虑到这个领域现在发展的速度有多快,这个阶段可能会很快到来。Vidick说,毕竟,就在五年前,研究人员还认为量子计算机要想解决经典计算机无法解决的任何问题都还需要很多年。“现在,”他说,“人们认为这将在一两年内发生。”

至于Mahadev,解决了她最喜欢的问题让她有点茫然。她希望找到一个新问题。

但理论计算机科学家认为,Mahadev将量子计算和密码学统一起来与其说是故事的结束,不如说是有望证明许多观点的初步探索。

“我感觉会有很多后续研究,”Aharonov说,“我期待着Urmila取得更多结果。”

广告等商务合作,请点击这里

本文为转载内容,授权事宜请联系原著作权人。

打开界面新闻APP,查看原文
界面新闻
打开界面新闻,查看更多专业报道

热门评论

打开APP,查看全部评论,抢神评席位

热门推荐

    下载界面APP 订阅更多品牌栏目
      界面新闻
      界面新闻
      只服务于独立思考的人群
      打开