Оригинал материала: https://3dnews.kz/1089272

Квантовый процессор inside: Intel пришла за нашими паролями?

Анонс квантового процессора Tunnel Falls сравнительно скуп на технические детали. Главное, что микросхема эта — полупроводниковая, т. е. может изготавливаться на современных фотолитографических машинах EUV с применением стандартных 300-мм в диаметре пластин-заготовок. Готовых чипов размерами 50 × 50 нм (нанометров; это не опечатка, — вот почему для изготовления их требуются именно наиболее передовые литографы!) на такой пластине помещается, с учётом технологически необходимых зазоров между ними, около 24 тыс., причём выход годных кристаллов с пластины, по заявлению Intel, уже достигает 95%.

 В самом центре чипа Tunnel Falls — нанометровая по размерам область с дюжиной кремниевых квантовых точек (источник: Intel)

В самом центре чипа Tunnel Falls — нанометровая по размерам область с дюжиной кремниевых квантовых точек (источник: Intel)

Верификация полученных квантовых процессоров производится в специально разработанной криогенной установке при температурах, близких к абсолютному нулю (если более точно, то 1,7 градуса кельвина; –271,45 °С). Каждый чип Tunnel Falls содержит по 12 кремниевых квантовых точек (silicon quantum dots) и может быть сконфигурирован для организации от 4 до 12 логических/физических кубитов. Это, конечно, немного — но Intel, по заявлению её представителей, уже трудится над следующей версией квантовой микросхемы, которую планирует представить публике не позже 2024 года. Главной же целью компании в квантовой области названо создание полнофункционального, существенно мультикубитного коммерческого квантового компьютера, устойчивого к ошибкам: именно для дальнейших исследовательских работ по данному направлению множество исследовательских лабораторий в США получат доступ к малосерийному Tunnel Falls.

Так что же, пришла пора отказываться от парольной защиты учётных записей и в целом от попыток шифровать какие бы то ни было оцифрованные данные? Или продвигаемая Intel технология квантовых точек всё-таки будет ещё какое-то заметное время набирать обороты, не угрожая наиболее распространённым сегодня криптоалгоритмам? Этот вопрос, по сути, сводится к тому, существует ли устойчивое к взлому на квантовых вычислительных системах шифрование — и если да, то насколько долгим будет всеобщее переключение на него с широко используемых сегодня алгоритмов? Да и в целом, в какой мере оправданна спешка с таким переключением?

Попробуем разобраться. И начнём с довольно прозаического, но оттого не менее важного прикладного обоснования задачи.

#Просто бизнес

Расходы на ИТ по всему миру демонстрируют сейчас довольно стремительную тенденцию к сокращению: так, если в октябре 2022-го аналитики Gartner предсказывали их рост по итогам текущего года около 5,1%, то уже в январе 2023-го снизили ожидаемую величину до 2,4% от прошлогоднего уровня. Если текущее положение дел с высокими ключевыми ставками центробанков и невиданной на Западе много десятилетий дороговизной кредитов будет продолжаться, сбыт высокотехнологичной продукции ещё более затормозится — а вместе с тем иссякнет поток инвестиций в дальнейшее совершенствование ИТ-разработок.

 Прогноз уверенного роста расходов на генеративный ИИ в мире, млрд долл. США, по годам до 2030-го (источник: Next Move Strategy Consulting)

Прогноз уверенного роста расходов на генеративный ИИ в мире, млрд долл. США, по годам до 2030-го (источник: Next Move Strategy Consulting)

Неудивительно, что в сложившейся ситуации ведущие ИТ-компании стремятся отыскать те направления, по которым спрос продолжит оставаться высоким — по меньшей мере в среднесрочной перспективе. Чем сильнее нуждаются заказчики в некоем продукте, тем короче (в среднем) оказывается срок возврата инвестиций в его разработку и доведение до серийного производства. Одно из таких «горячих» направлений, ажиотаж вокруг которого не утихает по меньшей мере с прошлой осени, — генеративный ИИ: мировой оборот в этой отрасли, по оценке Grand View Research, в ближайшие годы будет расти со среднегодовым темпом почти в 35% и к 2030-му превысит 109 млрд долл. США.

Другой активно растущий сегодня сегмент — квантовые вычисления во всей их совокупности; от создания аппаратных устройств до разработки API и прикладного ПО, включая предоставление доступа к квантовым компьютерам через облако. Эксперты из Market Insights Reports ожидают увеличения оборота здесь с 230 млн долл. в 2022 г. до 2,04 млрд в 2029-м со среднегодовым темпом 36,5%. Да, в абсолютных величинах квантовый сегмент ИТ-рынка на полтора десятичных порядка уступает сфере генеративного ИИ, — но у него есть все шансы через несколько лет перейти к куда более высоким темпам роста. Ознаменуется же этот качественный скачок выходом из «долины смерти» NISQ — о том, что это такое, мы расскажем чуть ниже.

 Процессор Tunnel Falls, снабжённый необходимой обвязкой для установки в квантовый вычислитель (источник: Intel)

Процессор Tunnel Falls, снабжённый необходимой обвязкой для установки в квантовый вычислитель (источник: Intel)

А сейчас важно, что упоминание о коммерческой направленности Tunnel Falls — даром что в открытой продаже тот пока не появится, а будет предоставляться избранным лабораториям компанией напрямую, — вовсе не случайно. Подход Intel к развитию квантовых вычислений именно здесь (а не в области прикладной реализации кубита как базового элемента квантового компьютера) наиболее радикально отличается от исповедуемых другими компаниями, действующими в том же общем направлении. Соперники Intel в квантовых компьютерных изысканиях чаще всего собираются продавать доступ к своим вычислителям, а не сами эти агрегаты. Иными словами, такие компании параллельно разрабатывают открытые API для исполнения внешних задач на своих системах — и совершенствуют выбранные технологии реализации квантовых вычислений, добиваясь повышения числа одновременно действующих в системе кубитов и снижения уровня ошибок, неизбежных при взаимодействии с квантовыми устройствами.

Рано или поздно, рассчитывают эти разработчики, кубитов станет достаточно много, а влияние ошибок на результат в разумной степени снизится. То и другое — в чисто прикладном, даже коммерческом смысле; чтобы себестоимость решения данной конкретной задачи на квантовом компьютере стала ниже, чем на суперкомпьютере или кластере серверов классической фоннеймановской архитектуры. Как раз в этот момент заказчики — уже освоившие предоставленный им заблаговременно API — получат облачный доступ к полнофункциональному квантовому Граалю, а разработчики этих систем примутся стричь купоны. Подход Intel в данном случае принципиально иной: сделав имя и состояние (точнее, капитализацию) на разработке и продаже x86-процессоров, компания и квантовые чипы также намерена реализовывать заказчикам в физическом виде — вместе с соответствующим API, упрощающим решение прикладных задач, конечно же.

 Собственно квантовый процессор Eagle — небольшой серый квадратик на терракотовой подложке в середине нижней части этого снимка; всё остальное — необходимые для обеспечения его работы элементы конструкции вычислителя (источник: IBM)

Собственно квантовый процессор Eagle — небольшой серый квадратик на терракотовой подложке в середине нижней части этого снимка; всё остальное — необходимые для обеспечения его работы элементы конструкции вычислителя (источник: IBM)

Справедливости ради отметим, что IBM также готова предоставлять свои 127-кубитные чипы Eagle заказчикам со следующего года для размещения квантовых вычислителей на их основе on-premises, а не только открывать доступ к ним через облако. По утверждению IBM, эти системы уже преодолели так называемый порог полезности (utility scale), получив возможность — благодаря разработанной инженерами компании системе коррекции ошибок — решать определённые классы задач, связанные с моделированием ряда физических процессов, быстрее, чем самые современные фоннеймановские суперкомпьютеры. Но себестоимость выпуска чипов Eagle — с учётом того, что организовывался он с нуля, — настолько велика, что вряд ли многие пожелают приобретать в собственность вычислители на их основе: аренда машинного времени через облако представляется здесь более чем разумным шагом.

Резоны же Intel вполне очевидны: компания располагает огромным опытом полупроводниковой разработки и производства, так что ей, опять же с чисто коммерческой точки зрения, странно было бы — особенно в нынешних непростых экономических условиях — инвестировать в совершенно новые для себя отрасли для создания квантовых компьютеров на иных технологических принципах. При тех характерных масштабах, которых достигла сегодня фотолитография, квантовые эффекты уже не просто проявляются, но начинают оказывать значимое воздействие на работу базовых компонентов полупроводниковых вычислительных систем — транзисторов. Так почему бы не обратить эти эффекты себе на пользу, научившись создавать кубиты с помощью прекрасно отлаженного на сегодня литографического процесса? А раз процесс этот предполагает серийность и массовость — почему бы не продавать (пусть в перспективе, пусть не всем желающим) готовые квантовые процессоры точно так же, как реализуются сегодня микросхемы архитектуры х86?

 Наделённый Microsoft ИИ-способностями поисковый агент Bing отменно справляется с цензурированием неудобных тем: действительно, к чему добропорядочному пользователю знать, чем неонацисты отличаются от нацистов? (источник: Reddit)

Наделённый Microsoft ИИ-способностями поисковый агент Bing отменно справляется с цензурированием неудобных тем: действительно, к чему добропорядочному пользователю знать, чем неонацисты отличаются от нацистов? (источник: Reddit)

Совершенно логичный, по-деловому основательный подход Intel к квантовому снаряду вызывает, однако, у наблюдающих за этим направлением ИТ-прогресса экспертов и энтузиастов немало вопросов. Тем более что пример потенциально опасной передовой технологии, которая начинает частично вырываться из-под жёсткого контроля, уже есть: это генеративный искусственный интеллект (ИИ). Большие языковые модели уровня GPT-3, не говоря уже о более поздних, чересчур требовательны к «железу», и потому доступ к ним может в значительной мере ограничиваться — и ограничивается, да ещё как! — не только их разработчиками, но и государственными регуляторами. В то же время ИИ-модели для преобразования текста в статичные картинки и видео нуждаются в куда более скромном аппаратном ресурсе, и потому развивающее их сообщество энтузиастов уже бесполезно регулировать — джинн выпущен из бутылки.

Созданные ИИ цифровые изображения людей и событий (дипфейки) бывают настолько правдоподобны, что становится уже непросто пóходя определить, на самом деле этот смешной, постыдный или ужасающий снимок либо ролик был снят вживую, — или же это порождение бездонного латентного цифрового пространства в рамках очередной пугающе реалистичной генеративной модели. Не произойдёт ли нечто подобное и с квантовыми вычислениями, если процессоры Tunnel Falls и их идейные наследники окажутся такими же доступными, как современные геймерские видеокарты? Недешёвыми, да, и требующими определённых усилий для освоения, но принципиально доступными. Что, если злоумышленники начнут налево и направо использовать квантовые процессоры — идеальный инструмент для решения задачи факторизации, лежащей в основе наиболее распространённых сегодня алгоритмов шифрования RSA и ECC, — для взлома паролей и перехвата шифрованных каналов связи рядовых граждан, бизнес-структур, государственных служб?

 Размещённый на монтажной плате чип Tunnel Falls похож скорее на скромный сетевой контроллер, чем на солидный процессор, — но это лишь первый шаг на пути компании к вершинам квантового превосходства (источник: Intel)

Размещённый на монтажной плате чип Tunnel Falls похож скорее на скромный сетевой контроллер, чем на солидный процессор, — но это лишь первый шаг на пути компании к вершинам квантового превосходства (источник: Intel)

Вопрос можно поставить шире: какие в принципе могут найтись области применения для общедоступного (пусть даже в относительной мере) квантового вычислителя? Скажем, те же самые мощные игровые видеокарты сперва были довольно-таки нишевым товаром для геймеров-энтузиастов: профессионалы вроде видеоредакторов и 3D-моделлеров полагались на специализированные графические адаптеры, для игровых приложений не оптимизированные. Но потом геймерская дискретная графика привлекла внимание криптомайнеров, а теперь, когда ажиотаж вокруг добычи биткойна и эфира на дому несколько поутих, эти же устройства активно эксплуатируются энтузиастами ИИ-изобразительных искусств. В том числе создателями почти неотличимого от реальных съёмок порно, дипфейков с участием знаменитостей и прочего контента не самого высокого морального пошиба. Не найдётся ли и для квантовых вычислителей, выпущенных в свободный оборот, подобной сомнительной нагрузки?

Вполне вероятно, что найдётся; но чтó именно тут «выстрелит», сказать сейчас трудно: взрывной рост популярности того же высококачественного преобразования текстовых описаний в картинки — с применением даже не самых продвинутых видеокарт — ещё пару лет назад мало кто мог предвидеть. Другое дело, насколько в принципе реалистична возможность «одомашнивания» квантовых вычислителей? Чтобы ответить на этот вопрос хотя бы вчерне, но с внятным обоснованием, стоит немного углубиться в матчасть.

#Точка, точка, арсенид галлия

Первые работоспособные инженерные прототипы процессоров на квантовых точках появились в 2004 г.; разработали их независимо друг от друга две группы американских исследователей — из Университета Дьюка в Дареме, Северная Каролина, и из Гарвардского университета в Кембридже, штат Массачусетс. На пластине из арсенида галлия (это более сложный в обращении, чем кремний, но для многих задач и более перспективный полупроводник) к небольшой, буквально наноразмерной прямоугольной области были подведены несколько металлических электродов, к которым приложили отрицательное напряжение. Отметим в скобках, что, хотя квантовые точки Tunnel Falls устроены, судя по доступной о них скупой официальной информации, несколько иначе (как минимум используют в качестве основы кремний, а не арсенид галлия), принцип их работы по сути схож с описываемым.

 Микрофотография (приведён масштабный отрезок длиной в 1 мкм = 1000 нм) рабочей зоны экспериментальной установки с парой полупроводниковых квантовых точек (источник: Duke University)

Микрофотография (приведён масштабный отрезок длиной в 1 мкм = 1000 нм) рабочей зоны экспериментальной установки с парой полупроводниковых квантовых точек (источник: Duke University)

Под воздействием образовавшегося поля электроны на внешних оболочках молекул арсенида галлия внутри указанной области словно вдавливаются под поверхность подложки, так что образуется потенциальная яма — неглубокое ограниченное пространство, заведомо свободное от электронов; с буквально выстланными отрицательным зарядом дном и стенками (чтобы замкнуть такой колодец в третьем измерении, понадобится ещё и «крышка» тоже, но её реализация в такой системе — вопрос чисто технический). Попав в потенциальную яму, свободный электрон — оставим пока в стороне вопрос, откуда ему взяться, — окажется в ловушке. Ведь одноимённые заряды отталкиваются, и потому для выхода из колодца — чтобы преодолеть сопротивление отрицательного потенциала от его стенок, дна и крышки — электрону нужна немалая дополнительная энергия.

При нормальных условиях (комнатная температура и даже значительно ниже) внезапный и мощный импульс попавшему в яму электрону может передать одна из элементарных частиц, складывающих всю конструкцию, — благодаря стохастическому тепловому движению, из-за которого даже атомы в узлах кристаллической решётки полупроводника довольно-таки ощутимо вибрируют. Но при значительном охлаждении, сводящем на нет тепловые колебания, электрон обречён оставаться в колодце. Обособленный и удерживаемый на месте электрон, безусловно, квантовый объект — так что на роль физического воплощения кубита он прекрасно подходит.

 Художественное изображение двенадцати электронов, сидящих в потенциальных ямах под поверхностью полупроводниковой основы чипа Tunnel Falls, — собственно, квантовых точек этой вычислительной системы. Разнонаправленные тонкие светлые чёрточки на кружках-электронах символизируют мгновенные состояния их спинов (источник: Intel)

Художественное изображение двенадцати электронов, сидящих в потенциальных ямах под поверхностью полупроводниковой основы чипа Tunnel Falls, — собственно, квантовых точек этой вычислительной системы. Разнонаправленные тонкие светлые чёрточки на кружках-электронах символизируют мгновенные состояния их спинов (источник: Intel)

Другое дело, что квантовый компьютер на одиночном кубите ни для чего, кроме демонстрации принципиальной возможности дальнейшей работы по данному направлению, не пригоден: в предыдущем нашем материале по этой теме подробно изложен принцип выполнения определённого рода вычислений на нескольких кубитах, находящихся в состоянии квантовой запутанности. Вот почему упомянутые группы исследователей из Дарема и Кембриджа сразу же создавали прототипы не одиночных, а спаренных квантовых точек. Ведь при проектировании квантовой системы, выдающей сколько-нибудь заслуживающие доверия результаты, необходимо сразу же решить задачу запутывания кубитов — хотя бы простейшего, попарного.

Напомним, что в состоянии квантовой запутанности двух объектов измерение некоего параметра одного из них — в случае электрона это обычно спин; своего рода квантовый аналог углового момента вращения для макроскопических тел, — автоматически переводит значение аналогичного параметра второго объекта в однозначно определённое состояние. Спин как физическая величина удобен для применения в логических схемах тем, что для элементарных частиц он квантован — т. е. может принимать лишь строго определённые значения, кратные половине постоянной Планка h: h/2, h, h*3/2, 2h; часто упоминание о самой этой постоянной опускают и говорят просто о спине «одна вторая», «единица» и т. д. Электрон относится к фермионам, т. е. частицам с полуцелым спином.

 Пара квантовых объектов в состоянии запутанности в представлении нейросети (источник: компьютерная генерация на базе модели Stable Diffusion XL)

Пара квантовых объектов в состоянии запутанности в представлении нейросети (источник: компьютерная генерация на базе модели Stable Diffusion XL)

В описываемой нами схеме пара кубитов — это пара расположенных по соседству потенциальных ям, находящиеся в каждой из них электроны пребывают в состоянии квантовой запутанности между собой. Точнее, исходно исследователи получили две «лужицы» — около 200 нм в поперечнике, разнесённые примерно на то же расстояние, — из нечётного числа свободных электронов. Речь здесь идёт именно о «лужице» (puddle), а не «облачке» (cloud), поскольку электронный газ в полученной системе двумерен: глубина потенциальной ямы вследствие особенностей конструкции по сути равна одному электрону. Свободные электроны склонны к образованию устойчивых пар (с противоположно направленными спинами), так что в каждой из соседних квантовых точек после естественной рекомбинации частиц электронного газа осталось ровно по одному действительно свободному электрону.

Получив устойчивые «лужицы» с одиночным свободным электроном в каждой, экспериментаторы целенаправленно делали границу между ними всё более тонкой, регулируя прилагаемое к электродам напряжение. В один прекрасный момент, когда оставшиеся без пары электроны из соседних квантовых точек начали «ощущать» присутствие друг друга, они, как и полагается, натурально образовали связанную пару: оставаясь физически каждый в своей «лужице», вошли тем не менее в состояние квантовой запутанности между собой. Теперь, если каким-то образом (например, прямым измерением) зафиксировать значение спина одного из этих запутанных электронов, у второго оно автоматически и моментально сменится на противоположное. Именно такая конструкция отлично подходит для реализации управляемого вентиля «НЕ» (controlled NOT gate; также C-NOT или CNOT) — базового логического элемента квантовых компьютеров.

 Кубит квантового вычислителя в процессе работы в представлении нейросети (источник: компьютерная генерация на базе модели Kandinsky)

Кубит квантового вычислителя в процессе работы в представлении нейросети (источник: компьютерная генерация на базе модели Kandinsky)

Как именно такие спиновые кубиты применять для организации квантовых вычислений, указал ещё в 1998 г. Дэниел Лосс (Daniel Loss), опираясь на несколько более раннюю работу признанного теоретика в этой области Дэвида Ди Винченцо (David DiVincenzo). Квантовый компьютер Лосса—Ди Винченцо, или квантовый компьютер со спиновым кубитом, представляет собой уверенно масштабируемый квантовый вычислитель (что особенно важно с точки зрения перспектив наращивания его производительности) сравнительно простой и недорогой конструкции. Сравнительно, имеется в виду, с квантовыми системами на иных физических принципах — задействующими, к примеру, лазеры. Если для активации каждого из кубитов необходим свой отдельный когерентный световой излучатель, с увеличением числа таких базовых вычислительных элементов сложность, энергоёмкость и себестоимость установки будут расти попросту запредельными темпами.

По сути, едва ли не единственная принципиальная проблема, стоящая перед создателями квантовых компьютеров со спиновым кубитом, на которую сам Дэвид Ди Винченцо ссылался ещё в 2015 г., — это необходимость эффективно отводить тепло от полупроводниковых элементов, работающих при сверхнизких (первые единицы по шкале Кельвина) температурах. Малейший нагрев квантовой системы сверх оптимальных для её работы температур означает лавинообразное нарастание тепловых шумов (за счёт того, что атомы и молекулы в её окружении начинают двигаться с большей амплитудой), что неизбежно ведёт к ускорению декогеренции — т. е. выхода системы из собственно квантового состояния с превращением её просто в набор сидящих по потенциальным ямам электронов, никак между собой не запутанных.

 300-мм кремниевая пластина с литографированными на ней квантовыми чипами помещается в холодильную испытательную установку для проверки работоспособности (источник: Intel)

300-мм кремниевая пластина с литографированными на ней квантовыми чипами помещается в холодильную испытательную установку для проверки работоспособности (источник: Intel)

По сути, предложенный Intel чип Tunnel Falls — малосерийный технологический прототип: понятно, что никаких коммерчески значимых вычислений на 12 кубитах произвести не удастся. Однако значение его в том, что компания отрабатывает в процессе его производства целый ряд принципиально важных промышленных технологий, таких как тестирование готовых микросхем с отбраковкой негодных прямо на заготовке до её разрезания (что требует охлаждения всей 300-мм пластины до близких к абсолютному нулю температур без её повреждения) вместе с созданием соответствующего испытательного оборудования. Параллельно Intel создаёт типовое решение для готового квантового компьютера, включая полупроводниковую обвязку для самого Tunnel Falls плюс достаточно компактный и надёжный охладитель, который обеспечит его функционирование в процессе эксплуатации on-premises у заказчика. Вооружённая этими наработками компания уверена, что не позднее 2027 г. сумеет преодолеть «долину смерти» NISQ — и с немалой вероятностью опередит здесь своих конкурентов благодаря верно выбранной аппаратной платформе для своего квантового компьютера.

#Слишком шумная эпоха?

Отрасль квантовых вычислений бурно развивается, причём развитие это большинство экспертов склонно видеть не поступательным — более или менее равномерным, как в случае полупроводниковых чипов, — а, скорее, скачкообразным. Нынешний его этап описывается как промежуточная эпоха с высоким уровнем шумов (noisy intermediate-scale quantum era — та самая аббревиатура NISQ, что упоминалась нами ранее), когда воплощаемые в реальность квантовые вычислители содержат менее 1 тыс. кубитов, устойчивость которых к неизбежно накапливающимся в процессе работы ошибкам вдобавок чрезвычайно низка. Как упоминалось уже в прежнем нашем материале на тему квантовых вычислений, лучшие современные системы характеризуются типичной вероятностью появления логических ошибок (с учётом всех вносящих в них свой вклад узлов и корректирующих схем) в ходе вычислений порядка 10–3 — это, грубо говоря, одна-две ошибки на тысячу операций.

 Криостат в лаборатории квантовых вычислений Google в Санта-Барбаре, штат Калифорния, поддерживает рабочую температуру квантового процессора вблизи абсолютного нуля (источник: Google)

Криостат в лаборатории квантовых вычислений Google в Санта-Барбаре, штат Калифорния, поддерживает рабочую температуру квантового процессора вблизи абсолютного нуля (источник: Google)

Значит ли это, что квантовые компьютеры эпохи NISQ совершенно бесполезны? Вовсе нет: просто класс задач, которые они способны с достаточной эффективностью решать, сравнительно узок. Дело в том, что быстрое накопление ошибок и довольно скорый переход кубитов в состояние декогерентности накладывают естественное ограничение на сложность алгоритмов, способных исполняться на современных квантовых вычислителях. Грубо говоря, если задача настолько сложна, что её исполнение на доступном квантовом «железе» занимает больше времени, чем длится достигнутое титаническими усилиями инженеров состояние квантовой запутанности аппаратных кубитов, какой-то результат система выдаст — но практической значимости он иметь не будет. Типичное же время сохранения этого состояния в нынешних квантовых системах — порядка 100 микросекунд.

И всё же пионеры квантовых вычислений не сдаются — и разрабатывают особые NISQ-алгоритмы, исходно принимающие в расчёт несовершенство доступных им сегодня аппаратных средств. Одно направление развития таких алгоритмов — осознанное сокращение числа операций, ставка на логические контуры малой глубины (SDC; short-depth или small depth circuits). Программисты изначально исходят из того, что выполняемые квантовой системой вычисления не должны занимать более 50-70% от типичного времени сохранения запутанности между её кубитами, — и стремятся соответствующим образом оптимизировать свои алгоритмы. Понятно, что при том числе кубитов, которое предлагают реализованные сегодня квантовые системы, — десятки, в лучшем случае первые сотни, — подход SDC не позволяет решать какие-то фундаментальные задачи — вроде пресловутого взлома ключей алгоритмов шифрования.

 Квантовый вычислитель (отдалённого?) будущего, действительно способный достичь квантового превосходства, в представлении нейросети (источник: компьютерная генерация на базе модели Stable Diffusion XL)

Квантовый вычислитель (отдалённого?) будущего, действительно способный достичь квантового превосходства, в представлении нейросети (источник: компьютерная генерация на базе модели Stable Diffusion XL)

Другой подход NISQ-программистов — гибридизация классических вычислений на фоннеймановских машинах с квантовыми. Скажем, для химии сложных соединений, включая органические, чрезвычайно важна задача поиска основного состояния молекул — такого, при котором их внутренняя энергия (определяемая конфигурацией электронных оболочек складывающих их атомов) минимальна. Молекула — существенно квантовая система, и потому моделирование её на квантовом компьютере — одна из наиболее естественных задач, которые последний в принципе способен решать. Однако для эмуляции многоатомной молекулы потребуются десятки логических кубитов, причём время полного моделирования её состояний заведомо выходит за предел когерентности актуальных NISQ-систем.

По этой причине исследователи применяют гибридный подход: квантовый вычислитель начинает обрабатывать исходную задачу — так что за время сохранения когерентности (запутанности кубитов) от исходного набора уровней энергий для каждой электронной оболочки переходит к некоторому промежуточному. Этот промежуточный набор уровней — по сути эквивалентный набору весов в нейронной сети — передаётся затем классической фоннеймановской машине, на которой производится оценка того, как именно следует менять каждый из входных параметров, чтобы приблизиться к желаемому результату. По сути, классический компьютер решает в данном случае многопараметрическую задачу градиентного спуска, и делает ли он это алгоритмически либо с применением нейросети — не так уж важно: от него требуется выдать не финальный результат, а именно общие указания по дальнейшей модификации параметров. Указания эти, в свою очередь, становятся набором (вектором) входных параметров для новой итерации вычислений на квантовой системе, которая к тому времени вновь возвращается в когерентное состояние — и так этот гибридный процесс продолжается раз за разом до тех пор, пока не будет достигнута удовлетворяющая исследователей точность результата.

 От 300-мм в поперечнике заготовки (слева) — до наноразмерной системы квантовых точек: производственный путь Tunnel Falls (источник: Intel)

От 300-мм в поперечнике заготовки (слева) — до наноразмерной системы квантовых точек: производственный путь Tunnel Falls (источник: Intel)

Квантовые системы эпохи NISQ неплохо подходят и для ряда задач машинного обучения — таких как различение потока входных элементов по паре взаимоисключающих параметров («кошечка/собачка»). В целом построение нейросетей на базе квантовых вычислителей — отрасль чрезвычайно перспективная, но практические результаты здесь будут достигнуты не скоро. Чтобы сравниться с полупроводниковыми компьютерами, построенными на архитектуре фон Неймана, а после и превзойти их, квантовым системам потребуется совершить качественный скачок в своём развитии (вот оно, свидетельство существенной неравномерности технического прогресса на данном направлении), достигнув точности производимых вычислений не менее 10–10. Только после этого можно будет ожидать наступления квантового превосходства — имеется в виду способность квантовых компьютеров решать определённый круг задач существенно быстрее, чем самые мощные полупроводниковые устройства. В число этих задач, кстати говоря, входит алгоритм Шора (тоже довольно подробно рассмотренный нами в предыдущем материале) — подлинно прямая и явная угроза RSA-шифрованию.

#Ключи от будущего

До тех пор, пока не наступит эпоха квантового превосходства, об эффективной факторизации (т. е. разложении на простые множители — к чему и сводится по сути алгоритм Шора) больших чисел говорить не приходится. Один из наиболее распространённых сегодня алгоритмов шифрования данных, RSA, полагается как раз на чрезвычайную вычислительную сложность разложения существенно многозначного числа на простые множители. Асимметричный алгоритм RSA (назван по фамилиям предложивших его в 1978 г. математиков — Rivest, Shamir, Adleman) предполагает использование публичных и частных ключей, причём и тот и другой содержат два очень больших простых числа. Публичный ключ в RSA-криптографии составлен из произведения этих чисел, к которому приписано ещё одно специфическим образом выбранное зависимое от них число (derived number), так что общая длина полученной комбинации составляет, как правило, 2048 бит. То есть по сути для взлома этого алгоритма разлагать на простые множители требуется не 2048-разрядное число, а комбинацию битов вдвое меньшей длины. Отсюда становится ясно, почему дальней границей эпохи NISQ указано создание квантовых компьютеров именно с 1 тыс. кубитов и более.

 Квантовая система для взлома RSA-шифров и в самом деле сможет разместиться на столе, если её кубитам не потребуется охлаждение до сверхнизких температур (источник: компьютерная генерация на базе модели Kandinsky)

Квантовая система для взлома RSA-шифров и в самом деле сможет разместиться на столе, если её кубитам не потребуется охлаждение до сверхнизких температур (источник: компьютерная генерация на базе модели Kandinsky)

Однако вот какая незадача: речь идёт о логических кубитах, которые одни, собственно, и способны производить квантовые вычисления. Те же кубиты, что фигурируют в официальных анонсах современных квантовых процессоров — будь то 12 для Tunnel Falls или 127 для чипа IBM Eagle, — физические, т. е. реализованные тем или иным образом «в металле». В первом нашем материале об основах квантовых вычислений мы довольно подробно останавливались на том, что современные квантовые системы — как раз в силу чрезвычайной подверженности их ошибкам — нуждаются в сложных схемах контроля производимых ими операций. Более того: поскольку контрольные функции осуществляются логическими контурами, также построенными на кубитах, те в неменьшей степени и сами нуждаются в контроле собственных ошибок.

В результате квантовая система в эпоху NISQ требует значительного числа физических кубитов — от 17 до 49 — для реализации одного логического. Вдобавок по мере отдаления предела декогеренции (т. е. времени, когда взаимная запутанность квантовых систем разрушится из-за естественных причин) вероятность возникновения ошибок будет только нарастать. И потому в квантовых вычислителях будущего — тех самых, что сумеют сладить при помощи алгоритма Шора с ключами шифрования RSA, — один-единственный логический кубит потребует для своей длительной бесперебойной работы не менее 1 тыс. физических кубитов. А это значит, что по-настоящему всерьёз говорить о достижении квантового превосходства можно будет лишь после начала хотя бы мелкосерийного выпуска квантовых процессоров с 1 миллионом физических кубитов.

 Художественное представление срабатывания пятикубитной схемы квантовой коррекции ошибок Дивинченцо-Шора (DiVincenzo-Shor 5 qubit quantum error correcting code): центральный кубит меняет состояние под воздействием тепловой флуктуации, но благодаря контролю запутанных с ним последовательно вторичных физических кубитов состояние логического кубита в целом остаётся неизменным (источник: Communications of the ACM)

Художественное представление срабатывания пятикубитной схемы квантовой коррекции ошибок Ди Винченцо—Шора (DiVincenzo-Shor 5 qubit quantum error correcting code): центральный кубит меняет состояние под воздействием тепловой флуктуации, но благодаря контролю запутанных с ним последовательно вторичных физических кубитов состояние логического кубита в целом остаётся неизменным (источник: Communications of the ACM)

Насколько далека такая перспектива, можно судить по тому, что IBM в конце 2022 г. представила свой наиболее мощный на сегодня квантовый вычислитель Osprey с 433 физическими кубитами, в текущем году намеревается анонсировать модель Condor с 1121 таким базовым элементом, в 2024-м — Flamingo с 1386. За ними последуют Kookaburra с 4158 физическими кубитами в 2025 г., а на 2033-й — через десять лет от момента написания настоящей статьи — компания наметила выход на рубеж в 100 тыс. физических кубитов. Такая система сумеет уверенно отыскивать основное состояние 100-атомных молекул, например, — что станет гигантским шагом вперёд для вычислительной и прикладной химии. Да и в целом значимых прикладных задач, пригодных для решения на вычислителе с сотней логических кубитов, имеется предостаточно.

Другое дело, что взлом шифрования по алгоритму RSA к ним не относится, — эта область останется «квантово безопасной» ещё, надо полагать, лет на 10-15 после 2033 года. Если, конечно, вдруг не «выстрелит» какой-то другой физический способ организации квантовых вычислений, который окажется энергоэффективнее и дешевле (одновременно, это важно), чем применение полупроводниковых в своей основе чипов. Да, квантовые вычислители IBM «птичьей» серии и Google Sycamore, хотя и используют микроскопические сверхпроводящие контуры, а не квантовые точки, по сути тоже представляют собой микрочипы — пусть и достаточно специфические.

 Квантовый вычислитель Osprey с 433 физическими кубитами при всей своей прогрессивности чрезвычайно далёк ещё от претензий на квантовое превосходство (источник: IBM)

Квантовый вычислитель Osprey с 433 физическими кубитами при всей своей прогрессивности чрезвычайно далёк ещё от претензий на квантовое превосходство (источник: IBM)

Но что же всё-таки произойдёт с самим принципом шифрования цифровых коммуникаций, когда квантовое превосходство в отношении алгоритма RSA окажется наконец достигнуто? Строго говоря — ничего особенно страшного. Уже сегодня разрабатываются устойчивые к взлому на квантовых компьютерах криптоалгоритмы (т. н. постквантовая криптография), основанные на иных, чем разложение на простые множители, математических подходах. Безусловно, даже если постквантовая криптография начнёт заменять привычные способы шифрования с асимметричным ключом прямо сейчас, полный переход займёт довольно долгое время — лет 10, не меньше: об этом можно судить по продолжительности распространения по миру самого алгоритма RSA. Как раз к тому времени эпоха NISQ начнёт, хочется верить, всё недвусмысленнее клониться к закату.

Впрочем, конечно же, ничто не удержит дальновидных хакеров от реализации подхода «harvest now, decrypt later»: наложив свои лапы на зашифрованную сегодня с применением алгоритма RSA информацию, лет через 20 (и это в лучшем случае) они сумеют за считаные часы или даже минуты взломать защиту, используя новейшие на тот момент коммерческие квантовые вычислители с миллионами физических кубитов. Вполне вероятно, что в ряде случаев овчинка будет стоить выделки, — хотя непросто представить себе, чтó за собранные в наши дни данные сохранят высокую ценность по прошествии почти четверти века. Важнейшие государственные секреты, пожалуй, — но в их случае сам факт утечки (даже надёжно зашифрованной по актуальным стандартам) информации откровенно маловероятен.

 Взлом RSA-кодированных данных с применением квантового вычислителя вполне может выглядеть и так (источник: компьютерная генерация на базе модели Stable Diffusion XL)

Взлом RSA-кодированных данных с применением квантового вычислителя вполне может выглядеть и так (источник: компьютерная генерация на базе модели Stable Diffusion XL)

В любом случае на данный момент и в перспективе как минимум ближайших пары десятилетий коммерческие квантовые компьютеры, даже если окажутся сравнительно доступными по цене, не станут в руках киберзлоумышленников фомкой для взлома наших с вами паролей — да и какой-либо иной защищённой современными криптоалгоритмами информации. Повторим сделанную ранее оговорку: речь идёт о системах на основе полупроводниковых кристаллов, использующих квантовые точки либо сверхпроводящие контуры, расположенные на плоскости. Вполне вероятно, если разработчикам удастся освоить выпуск многослойных микросхем с квантовыми точками, трёхмерные логические схемы коррекции квантовых ошибок окажутся эффективнее плоскостных, поэтому для реализации одного логического кубита потребуется не тысяча, а, к примеру, сотня физических — и тогда эра квантового превосходства внезапно придёт лет на 10 раньше чем ожидалось. Но и к тому времени постквантовая криптография должна будет уже получить достаточно широкое распространение — если активно начать её продвижение прямо сейчас.

Плюс к тому не стоит огульно сбрасывать со счетов квантовые вычислители, основанные на иных принципах: использующие в качестве кубитов ионы, нейтральные атомы, фотоны. Пока темпы развития этих технологий более скромные, но оно и понятно — за кубитами на полупроводниковой базе стоят десятилетия бурного прогресса чипмейкерских технологий и триллионы долларов прежних инвестиций. Может статься, что как раз за ближайшие 10-20 лет соперничающие с полупроводниковыми технологии организации кубитов наберут уверенный темп развития, — и вот тогда угроза общераспространённым ныне алгоритмам шифрования приобретёт куда более реалистичные черты.

А пока беспокоиться не о чем — по крайней мере, рядовым пользователям Всемирной паутины. Хотя пароли на всякий случай лучше менять почаще, конечно же, и не сохранять их в цифровом, заведомо подверженном взлому виде — так оно надёжнее.



Оригинал материала: https://3dnews.kz/1089272