电子说
Urmila Mahadev在研究生院学习了八年,最终独立解决了量子计算中最基本的问题之一:如何知道量子计算机是否已经完成了任何量子计算?
2017年春天,加州大学伯克利分校的博士研究生Urmila Mahadev突然发现自己成了他人眼中的倾佩对象。她解决了量子计算中的一个主要问题,结合之前发表的论文,她俨然已经成为学界一颗冉冉升起的新星。但28岁的她却放弃了毕业,甚至压根没有考虑过毕业。
这是她在伯克利研究生院求学的第七年——很久之前,大多数学生都已经不耐烦地毕业了。
Urmila Mahadev
早在五年前,她的目光就被一个与众不同的研究问题所吸引,Aaronson称之为“量子计算中你可以提出的最基本问题之一”,即:如果你要求量子计算机执行计算,那你该怎么判断它是否按指示执行了任务,甚至只是做了任何和量子计算有关的事?
现在这个问题即将远离学界。在过去的几年里,研究人员一直希望能把量子计算机用于科研,从研究黑洞周围的变化到大蛋白质折叠,量子计算带来的加速效果是指数级的。但是,一旦量子计算机真正执行了经典计算机无法做到的计算,那人类该怎么确保计算结果的可信度?
如果我们不相信经典计算机的结果,我们可以从头开始一步步验证,但量子系统是从根本上就抵制这种检查的。首先,它们的内部工作非常复杂:即便只用几百个量子比特(或“量子位”)写下计算机内部状态的描述,那也需要一个比整个可见宇宙更大的硬盘。
其次,即便我们以某种方式记下这个描述,它也是难以理解的。量子计算机的内部状态通常是许多不同的非量子“经典”状态的叠加,如“薛定谔的猫”。但是,一旦你测量了一个量子态,它就会坍缩成这些经典状态中的一个。也就是说,当看着量子计算机里的300个量子比特时,我们基本上只能看到300个经典比特——0和1。
“量子计算机非常强大,但它也非常隐秘。”
考虑到这些限制因素,计算机科学家们长期以来一直想知道量子计算机是否能提供一些“铁证”,证明自己已经完成某些计算。这也是量子计算和古典计算进行“对话”的桥梁。Mahadev被这个问题迷住是在她读研究生的第二年,在之后的几年里,她一直反复尝试验证方法,而在无数挫折中,她也展现了自己持久的耐心和决心。
经过多年努力,现在她终于让学界见证了她的成功。10月7日,计算机科学顶会FOCS 2018在法国巴黎正式召开,这是理论计算机科学最大的会议之一。在会上,Mahadev带来了论文Classical Verification of Quantum Computations,她提出了一种交互式协议,用密码学为量子计算这批野马安上了“马鞍”。她的作品被授予会议“最佳论文”和“最佳学生论文”奖,这是理论计算机科学家难得的荣誉。
一条漫长的道路
Mahadev在洛杉矶的一个医生家庭长大,出于对成为医生的抵触心理,她在南加州大学求学期间听了RSA加密算法的创造者之一、计算机科学家Leonard Adleman教授的课程,并把专业改成了理论计算机科学。直到在向伯克利研究生院递交申请之前,量子计算于她都是最陌生、最不了解的事情。
但是,到了伯克利,一切就完全不同了。她的博士生导师Umesh Vazirani向她介绍了一个问题:找到一个验证量子计算的协议。这个问题彻底激发了她的学术热情。
有一个基础事实是,也许量子计算机可以解决经典计算机无法解决的问题,但它的解决方案不一定是难以验证的。比如分解大数字,这是个经典计算机无法计算而量子计算机可以高效解决的任务。虽然无法计算,可验证量子计算机的因子分解是否正确对经验计算机来说很容易——它只需要将这些因子相乘,看看它们是否能产生正确的答案。
然而,计算机科学家认为量子计算机可以解决的许多问题不具备上述特征。换句话说,经典计算机不仅无法解决它们,甚至也识别不了解决方案是否正确。鉴于此,2004年的时候,物理学家Daniel Gottesman把“量子验证”这个问题抛给学界。
问题提出的四年内,一些量子计算研究人员得到了部分答案。两个不同的团队证实确实存在一种能证明已经完成量子计算的方法,他们的一个关键想法是利用交互性证明,即给定一定的计算,使得设备(以下称为“证明者”)具有执行计算的能力,但是另一个实体(以下称为“验证者”)不具有。假设证明者是不受信任的,也可能会欺骗验证者,我们要找出一种方法,让验证者从证明者手中拿到高度可信的正确答案。
这个框架起源于20世纪90年代的复杂性理论。其中最简单的方法是验证者可以自己执行验证计算,直接检查证明者的结果。第二种方法是验证者无法执行计算,但证明者可以提供一个简短的“证据”,再由前者完全证明结果。交互式证明是一种协议,通过该协议,验证者可以和更强大但不可信的证明者进行交互。
在Mahadev的成果出现之前,学界通过引入交互式模型,允许验证者使用非常有限的量子计算机,在“量子验证”这个问题上取得了一定进展。简而言之,如果采用上述第一种方法,就是让验证者具备在它选择的两个可能的基础中准备单个量子比特的能力,一次一个,由它把量子比特发送给证明者;如果采用第二种方法,就是让验证者可以一次一个地从证明者处接收单个量子比特,并在它选择的两个基础之一中对它们进行验证。
一般情况下,这两种方法都能验证任意多项式时间量子计算,而其中的重点是验证者准备量子比特的能力,使证明者可以检测到“证据”与预先确定的“诚实行为”是否存在偏差。
但问题依然存在:十年了,对于量子计算机这个“证明者”,我们能否找到一个完全经典的“验证者”?
2012年,包括Vazirani在内的一组研究人员表明,如果一个量子计算机是由一对无法相互通信的量子计算机执行的,那么一个完全经典的验证器可以检查量子计算。虽然这篇论文只讨论了某种特定状态,但它给Mahadev带来了启发:是否能找到一个“无条件”的结果,一个不假设量子计算机能做什么或不做什么的结果。
进行了一段没有进展的研究后,这对师生把目光转向了密码学(各自研究不同的问题)。由于大规模量子计算机在未来可能会出现,密码学领域为了开发可抵抗量子攻击的密码架构,提出了一种名为“后量子密码学”的研究。2016年,他们和OpenAI的计算机科学家Paul Christiano达成合作,共同开发了一种利用密码学方法让量子计算机构建“secret state”(秘密状态,)的方法。
所谓秘密状态,就是一种已为人知的经典验证者,但它不是量子计算机本身。
他们的程序依赖于所谓的“trapdoor”函数——一个易于执行但难以反转的函数,除非你有加密密钥。这个函数需要“二对一”,也就是每个输出对应两个不同的输入。有了它,我们就能用“trapdoor”函数创建秘密状态——首先,要求计算机建立一个函数所有可能输入的叠加;其次,让计算机将该函数应用于此巨型叠加,创建一个新状态,该状态是函数的所有可能输出的叠加。这时输入和输出叠加将被纠缠,这意味着对其中一个进行验证会立即影响另一个。
这之后,我们就能要求计算机检查输出状态并汇报结果,它在检查时可以把输出状态折叠成一个可能的输出,由于输入输出是纠缠的,这时输入也会被折叠。
2017年,Mahadev解决的那个量子计算主要问题就是提出构建“trapdoor”函数的加密方法:Learning With Errors(LWE)。她本可以凭借这个成果毕业,但面对还没有解决的“量子验证”难题,她表示:
我从未想过毕业,因为我的目标从未毕业。
尘埃终落定
还是那个问题:是否存在一个完全经典的验证者。
从交互性证明到秘密状态,Mahadev已经试遍了所有方法,有一段时间,她甚至感到走投无路。但上天还是眷顾她的,一次,她突然萌生了一个新想法:研究人员已经证实,如果验证者能够检查量子比特,那么它也可以检查量子计算机。根据定义,经典验证者不具备这种能力,但是如果经典验证者能以某种方式迫使量子计算机自己执行检查并诚实地报告呢?
这个问题的难点是让量子计算机承诺在验证者检查之前,自己知道对方要测量的状态,Mahadev将其称为量子比特承诺问题。假设证明者声称准备了一个选择的单量子比特状态|φ>(验证者不知道),验证者向证明者询问执行|φ>测量的结果。无论是在计算基础上(Pauli Z的本征基础),还是在Hadamard基础上(Pauli X的本征基础),是否存在一种协议,保证在协议结束时,验证者能够产生与所选基础中的测量结果相匹配的结果?
这个新协议具有以下属性。首先,正如预期的那样,对于任何量子计算,都有一个量子证明者可以使经典验证者相信计算结果的正确性,此属性称为协议的完整性。其次,没有证据可以说服经典验证者接受错误的结果,此属性称为协议的健全性。在Mahadev的结果中,后者的属性有一个转折点:如果证明者不能破坏后量子加密(LWE),那么稳健性就会保持不变。
该协议对LWE的依赖使得Mahadev的成果具有双赢的风格。量子计算机愚弄协议的唯一方法是量子计算世界中能有人想出如何破解LWE。但目前,LWE被广泛认为是后量子密码学的主要候选者,它可能很快就会取代其他可能会被量子计算机破解的标准,被国家标准与技术研究所采用作为其新的加密标准。破解难度可想而知。
在未来几年内,Mahadev的协议暂时还不太可能被部署进真正的量子计算机中,因为协议所需算力太高了。根据专家推测,具体数字应该至少会是5年。但现如今的科学发展是日新月异的,曾经我们认为有些难题可能需要几十年才能解决,但它们纷纷只用一两年就搞定了。
随着量子计算机规模的扩大和协议的不断简化,相信我们会尽快看到这个理论成果落地的那一天。
全部0条评论
快来发表一下你的评论吧 !