PPAD ve Kuantum

Bugün New York ve tüm dünyada Christos Papadimitriou'nun doğum günü kutlanıyor. Bu, Christos'un karmaşıklık sınıfı PPAD (ve diğer ilgili sınıfları) ile kuantum bilgisayarlar arasındaki ilişkileri sormak için iyi bir fırsattır. Onun içinde ünlü 1994 kağıt Papadimitriou tanıtıldı ve sistematik PLS, PPAD ve diğerleri gibi birçok önemli karmaşıklık sınıfları inceledi. (Papadimitriou'nun makalesi daha önceki bazı makalelere dayanıyordu ve özellikle Aviad'ın belirttiği gibi PLS, 1988'de Johnson-Papadimitriou-Yannakakis tarafından tanıtıldı.)

Asıl sorum şu:

Kuantum bilgisayarlar sorunlara bazı avantajlar mu? veya ? veya ? vb...$PPAD$$PLS$$PLS \cap PPAD$

Başka bir soru PLS ve PPAD ve Christos'un diğer sınıflarının kuantum analoglarının olup olmadığıdır.

PPAD'ın kriptografiye son zamanlarda dikkat çekici bir şekilde bağlandığını not ettim: N Bitansky, O Paneth, A Rosen ve PPAD sertliğinin Nash dengesini bulmanın kriptografik sertliği standart kriptografik varsayımlara dayanabilir mi? A Rosen, G Segev, I Shahaf ve Nash dengesi bulmak , Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum tarafından Fiat-Shamir'i Kırmaktan Daha Kolay Değil. Bence Christos'un derslerinin özellikle matematik ve matematiksel kanıtlara yakın olduğunu da belirtmek isterim.

Güncelleme: Ron Rothblum (FB üzerinden) Choudhuri, Hubacek, Kamath, Pietrzak, Rosen ve G. Rothblum'un sonuçlarının PPAD'ın kuantum bilgisayarların gücünün ötesinde olduğunu ima ettiğini söyledi. (Bunu açıklayan ayrıntılı bir cevap görmekten mutlu olacağım.)

Bir yorum daha: İlgili güzel bir soru, -cube'un benzersiz bir tek yönlü lavaboda bulunmasının etkili bir kuantum algoritmasına sahip olup olmadığıdır. (Bu görevin, daha kolay olduğunu düşünüyorum ama ilişkilidir emin nasıl değilim .) Bu için kuantum avantajını bulmak için arayış ilgilidir bkz https://cstheory.stackexchange.com/a/767/712 . $n$$PLS$$PPAD$$LP$

Doğum günün kutlu olsun, Christos!

Bu soru hakkında bir blog yazısı yazarken öğrendiğim iki cevap

1. Hayır : Kara kutu varyantlarında, kuantum sorgulama / iletişim karmaşıklığı Grover ikinci dereceli hızlandırmasını sunar, ancak bundan daha fazlasını değil. Ron'un belirttiği gibi, bu makul varsayımlar altında hesaplama karmaşıklığına uzanır.

2. Belki : Nash dengesi tartışmalı olarak "Christos sınıflarının" amiral gemisi problemidir. Burada, oyunculara kuantum dolaşıklığına erişim vermek, Nash dengesini genelleştiren yeni bir "kuantum korelasyonlu denge" kavramı önermektedir. Karmaşıklığı hala açık. Alan Deckelbaum'un bu havalı makalesine bakın .

Ve bir tarihsel not: PLS aslında Johnson-Papadimitriou-Yannakakis tarafından 1988'de tanıtıldı .

CHKPRR'ın neden nin kuantum bilgisayarlar için makul derecede zor olduğunu gösterdiği üzerinde biraz .$\mathsf{PPAD}$

Yüksek düzeyde, CHKPRR, bir çözüm bulmanın aşağıdakilerden birini gerektirdiği satır sonu örnekleri üzerinde bir dağıtım oluşturur:

• Fiat-Shamir buluşsal yöntemini ünlü sumcheck protokolüne uygulayarak elde edilen ispat sisteminin sağlamlığını kırmak veya
• Bir çözme -Komple sorun$\sharp \mathsf{P}$

Sezgisel olarak, azalma örneğinden başlar. Sayım üstel sayıda polinom adımı gerektirir; yazarlar , sayım prosedürünün her adımdan sonra güncellenen ve şimdiye kadar hesaplamanın doğruluğunu kanıtlayan bir durumu korumasına izin vererek bu sayımı aşamalı olarak doğrularlar. Bu artımlı olarak doğrulanabilir sayma prosedürü daha sonra, içindeki toplam arama sorunlarına indirgenebilecek bir vaat problemi olan rahatlatılmış, doğrulanabilir lavabo hattının bir örneğini oluşturmak için kullanılır .$\sharp \mathsf{SAT}$P P A D$\mathsf{PPAD}$

Bu fikri somutlaştırmak için ana teknik zorluk, sayımı aşamalı olarak doğrulanabilir hale getirmenin bir yolunu bulmaktır: hesaplamanın her adımında, hesaplamanın doğruluğunu gösteren kısa, etkileşimli olmayan bir kanıt gerekir . Burada, etkileşimsizlik temel meseledir; aslında şeklindeki ifadeleri göstermek için kısa bir etkileşimli kanıt zaten biliyoruz , burada biraz düşük dereceli -bu alanda mükemmel şekilde çalışacak bir alanda üzerinde çok değişkenli polinom : sumcheck protokolü$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$. Etkileşimli bir kanıtı interaktif olmayan bir kanıta dönüştürmek (kamusal doğrulanabilirliği ve kompaktlığı korumak) tam olarak Fiat-Shamir buluşsal yönteminin yaptığı şeydir.

Fiat-Shamir'i Başlatma

Fiat-Shamir buluşsal yöntemi çok basittir: bazı karma işlevini düzeltin, genel para etkileşimli bir kanıtla başlayın ve doğrulayıcının her rastgele mesajını şimdiye kadar tüm transkriptin karma ile değiştirin. Daha sonra soru, hash fonksiyonunun hangi özelliğinin altında, sonuçta elde edilen protokolün hala sağlam olduğunu kanıtlayabileceğimizdir (artık istatistiksel olarak sağlam olamayacağını unutmayın; umarım hesaplama açısından sağlam kalmasıdır).

Bunu ayrıntılandırmadan önce, yorumunuzu ele alalım:

Hala anlamıyorum 1. Kesinlikle kuantum vakasında geçerli olmayan kriptografik sertlik varsayımları vardır. "Fiat-Shamir'i kırmayı" QC için zorlaştırıyor, "RSA'yı kırmak" deyin.

Verdiğim üst düzey açıklama, "Fiat-Shamir'i kırmak" ve "RSA'yı kırmak" ın gerçekten karşılaştırılabilir sorunlar olmadığını açıkça ortaya koymalıdır. RSA somut, belirli bir sertlik varsayımıdır ve büyük tam sayıları çarpanlarına ayırabiliyorsanız, onu kırabilirsiniz.

Öte yandan, Fiat-Shamir'i kırmanın tahmin edilen sertliği çok daha genel bir varsayımdır. Ne zaman örneğini Fiat-Shamir sezgisel algoritmayı sen hash fonksiyonu somut bir seçim almak; ancak sertlik sonucu için Fiat-Shamir'in sağlam olduğu bazı karma işlevinin olması yeterlidir . Fiat-Shamir'i bir kuantum bilgisayarla kırmak, olası herhangi bir seçim için sağlamlığına karşı bir saldırı gösterilmesini gerektirecektir.$\mathsf{PPAD}$temel hash işlevinin Sezgisel düzeyde, kuantum bilgisayarların iyi olduğu şey bu değildir, çünkü bu, istismar edebileceği güçlü bir yapıya sahip görünmüyor gibi görünen bir sorundur (örneğin, ayrı logaritma ve RSA'nın aksine): hash fonksiyonları tipik olabilir çok "yapılandırılmamış".

Daha somut bir ifadeyle, Fiat-Shamir'i somutlaştırmak için bir karma işlevi seçerken iki doğal alternatif vardır:

Buluşsal, somut olarak verimli yaklaşım:

en sevdiğiniz karma fonksiyonunu seçin, örneğin, SHA-3. Fiat-Shamir'i SHA-3 ile başlatmanın bize zor bir sorun verdiğine dair hiçbir kanıtımız yok; ama aynı zamanda SHA-3 ile Fiat-Shamir'in dejenere olmamış bir interaktif kanıtlama sistemine uygulanmasıyla elde edilen ispat sistemlerinin sağlamlığına önemsiz bir saldırı bilmiyoruz. Bu aynı zamanda kuantum ortamına da uzanıyor: Grover algoritması tarafından verilen normal ikinci dereceden hızlanmadan daha iyi olan herhangi bir kuantum atak bilmiyoruz. Kriptanaliz girişimleri onlarca yıl sonra, kriptografik toplumda konsensüs olduğu kuantum algoritması kalmamasıdır görünüyor , bizim için görebileceğiniz gibi, olmadan "Minicrypt tarzı" öncülleri için superpolynomial kat hızlanma (hash fonksiyonları, PRGS, blok şifrelere, vs) temin etmek bazı güçlü altta yatan cebirsel yapı - SHA-2, SHA-3, AES, vb.

Kanıtlanabilir güvenlik yaklaşımı:

Burada amaç Fiat-Shamir sezgisel sesini yapan hash fonksiyonunun temiz bir özelliğini izole etmek ve bu özellikleri makul kriptografik varsayımlar altında tatmin eden bir hash fonksiyonu oluşturmaktır.

Bu kanıtlanabilir güvenlik yaklaşımının kriptoda uzun ve yoğun bir geçmişi vardır. En umut verici adaylardan kavramıdır korelasyon-inatçı hash fonksiyonları : a (anahtarlı) hash fonksiyonu olduğu söylenir korelasyon-inatçı bazı ilişki açısından bunun rastgele karma anahtar verilen, hesaplama açısından olanaksız ise , bir bulmak için giriş öyle ki$R$$K$$x$$(x, H_K(x)) \in R$. Sezgisel olarak, bu Fiat-Shamir'den istediğimizi doğal bir şekilde yakalar: interaktif bir kanıt sisteminde, sağlamlık istatistikseldi, çok muhtemel olmayan ancak kanıtlayıcının aldatmasına izin verecek bazı "kötü doğrulayıcı mesajlar" var. İstediğimiz şey, kanıtlayıcının, doğrulayıcının bir sonraki mesajını karma olarak hesaplarken, bu "kötü mesajlardan" birini bulmayı başarabileceği bir transkript hesaplayamamasıdır. Bu nedenle, herhangi bir etkileşimli ispat sistemi, çiftleri içeren bazı seyrek ilişki ilişkilidir (transkript, bu transkript için kötü mesaj) ve Fiat-Shamir, bu seyrek ilişki için korelasyonla zorlanabilen bir hash fonksiyonu ile başlatıldığında sağlamdır .$R$$R$

Şimdi soru, önem verdiğimiz ilişkiler için ve bu özel bağlamda, sumcheck protokolüyle ilişkili ilişki için korelasyon-inatçı hash fonksiyonlarının nasıl oluşturulacağıdır. Burada, yakın tarihli bir çalışma dizisi (esasen 1 , 2 , 3 , 4 , 5 , 6 ), birçok ilgi ilişkisi için, aslında kafes tabanlı varsayımlar altında korelasyon inatçı hash fonksiyonları oluşturabildiğini göstermiştir.

$\mathsf{PPAD}$

Aslında tam olarak orada değiliz. Peikert ve Shiehian'ın (daha önce verdiğim listedeki son makale) son çığır açan sonucu, önemli ilişkiler için, hata ile öğrenme veya SIS problemi gibi köklü kafes problemleri altında korelasyon-inatçı karma fonksiyonu oluşturabileceğimizi gösterdi. ; ancak, sumcheck ilişkisi bu çalışma tarafından yakalanmaz.

Yine de, bu çalışma üzerine inşa edilen CHKPRR, tam homomorfik şifreleme şemalarının birçok somut yapısından herhangi birinin süperpolinomiyal zaman saldırılarına karşı yarı optimal dairesel güvenliğe sahip olduğu varsayımı altında bir korelasyon-inatçı hash fonksiyonu oluşturabildiğini göstermiştir.

Bu varsayımı yıkalım:

• Tamamen homomorfik şifreleme (FHE), çeşitli kafes varsayımları altında nasıl oluşturulacağını bildiğimiz bir ilkeldir. Şema yalnızca sınırlı büyüklükteki devreleri değerlendirmek zorundaysa, aslında hata varsayımı ile standart öğrenme altında nasıl inşa edileceğini biliyoruz.
• Dairesel güvenlik, FHE'nin kendi gizli anahtarını şifrelemek için kullanıldığında bile kırılması zor olduğunu belirtir. Bu, anahtara bağımlı iletilere izin vermeyen normal güvenlik kavramından daha güçlüdür. LWE gibi standart bir kafes varsayımı altında dairesel olarak güvenli bir FHE oluşturmak büyük ve uzun süredir devam eden açık bir sorundur. Yine de, Gentry'nin ilk FHE yapısından ve çok sayıda kriptanaliz denemesinden on yıl sonra, yerleşik FHE adaylarının dairesel güvenliği, nispeten güvenli görünümlü bir varsayım haline geldi (kuantum bilgisayarlara karşı bile) ve anahtarı kullanan herhangi bir saldırı bilmiyoruz bağımlı olmayan bir şekilde bağımlı şifreleme.
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• Son olarak, saldırgana süperpolinomiyal çalışma süresine izin verirsek yukarıdakilerin hepsinin beklemesini istiyoruz. Bu hala bilinen algoritmaların başarabileceği şeylerle uyumludur.

$\mathsf{PPAD}$

Tabii ki, CHKPRR tarafından bırakılan ana açık sorulardan biri, daha iyi bir kafes tabanlı varsayım - ideal olarak LWE varsayımı altında sumcheck ilişkisi için bir korelasyon-inatçı hash fonksiyonu oluşturmaktır. Bu, diğer ilginç ilişkiler için zaten birçok şaşırtıcı sonucun elde edildiği çok yeni bir çalışma hattı olduğu göz önüne alındığında, önemsiz değil, ama mantıksız değil gibi görünüyor.