PPAD และ Quantum


20

วันนี้ในนิวยอร์กและทั่วโลกมีการเฉลิมฉลองวันเกิดของ Christos Papadimitriou นี่เป็นโอกาสที่ดีที่จะถามเกี่ยวกับความสัมพันธ์ระหว่าง PPAD ระดับความซับซ้อนของ Christos (และชั้นเรียนอื่น ๆ ที่เกี่ยวข้อง) และคอมพิวเตอร์ควอนตัม ในของเขามีชื่อเสียงโด่งดัง 1994 กระดาษ Papadimitriou แนะนำระบบและการศึกษาชั้นเรียนหลายซับซ้อนที่สำคัญเช่น PLS, PPAD และอื่น ๆ (กระดาษของ Papadimitriou ต้องอาศัยเอกสารก่อนหน้าและโดยเฉพาะอย่างยิ่งตามที่ Aviad ระบุไว้ PLS ได้รับการแนะนำโดย Johnson-Papadimitriou-Yannakakis ในปี 1988)

คำถามหลักของฉันคือ:

คอมพิวเตอร์ควอนตัมให้ประโยชน์สำหรับปัญหาในPPADหรือไม่? หรือใน ? หรือใน ? ฯลฯ ...PLSPLSPPAD

อีกคำถามหนึ่งคือถ้ามีคลาสอื่น ๆ ของ analogs PLS และ PPAD และ Christos

ฉันทราบว่ามีการเชื่อมต่อ PPAD กับการเข้ารหัสที่น่าทึ่งเมื่อไม่นานมานี้ในเอกสารเหล่านี้: ความแข็งของการเข้ารหัสในการค้นหาสมดุลของแนชโดย N Bitansky, O Paneth, A Rosen และความแข็ง PPAD สามารถเป็นไปตามสมมติฐานการเข้ารหัสลับมาตรฐานหรือไม่ โดย A Rosen, G Segev, I Shahaf และการหาสมดุลของแนชนั้นไม่ง่ายไปกว่าการทำลาย Fiat-Shamirโดย Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum ฉันยังทราบด้วยว่าในความเห็นของชั้นเรียนของ Christos นั้นใกล้เคียงกับคณิตศาสตร์และหลักฐานทางคณิตศาสตร์

Update: Ron Rothblum ให้ความเห็น (มากกว่า FB) ว่า Choudhuri, Hubacek, Kamath, Pietrzak, Rosen และ G. Rothblum บอกว่าผลลัพธ์ของ PPAD นั้นมีพลังเหนือกว่าคอมพิวเตอร์ควอนตัม (ฉันยินดีที่จะเห็นคำตอบที่อธิบายอย่างละเอียด)

อีกหนึ่งความคิดเห็น: คำถามที่ดีที่เกี่ยวข้องคือหากการค้นหา sink ในทิศทางที่ไม่ซ้ำของ cube มีอัลกอริทึมควอนตัมที่มีประสิทธิภาพ (ฉันคิดว่างานนี้ง่ายกว่าแต่ฉันไม่แน่ใจว่าเกี่ยวข้องกับอย่างไร) สิ่งนี้เกี่ยวข้องกับภารกิจเพื่อค้นหาข้อได้เปรียบเชิงปริมาณสำหรับดูhttps://cstheory.stackexchange.com/a/767/712 . nPLSPPADLP

ป้อนคำอธิบายรูปภาพที่นี่ สุขสันต์วันเกิด Christos!


1
ฉันได้ช่วยคุณถาม Prof. Umesh V. Vazirani เกี่ยวกับคำถามนี้ใน Papafest เขารู้สึกว่านี่เป็นคำถามที่น่าสนใจ แต่ตอนนี้เขายังไม่มีคำตอบ
Rupei Xu

1
เกี่ยวกับ Unique-Sink-Orientation (USO) เมื่อไม่นานมานี้มีการแสดงเพื่อลดปัญหาที่เรียกว่า Unique-End-Of-Of-Line-Line ซึ่งเป็น (เทียบเท่ากับ polynomially) ถึง End-of-Metered-Line ปัญหาทั้งสองนี้อยู่ในชั้นเรียนซึ่งพูดกันอย่างหลวม ๆ "ราบรื่น" ของ PLS ผลลัพธ์ CHKPRR ยังแสดงวิธีการสร้างอินสแตนซ์ที่ยากของ EOML และดังนั้น CLS อย่างไรก็ตามเนื่องจากยังไม่ทราบว่า EOML ลดการใช้ USO อาจเป็นกรณีที่ USO นั้นง่ายสำหรับคอมพิวเตอร์ควอนตัม CLSPLSPPAD
Occams_Trimmer

เรียน @Occams_Trimmer มีเหตุผลไหมที่คิดว่า USO นั้นยากสำหรับคอมพิวเตอร์แบบดั้งเดิม? เช่นนี้จะสมบูรณ์สำหรับบางคลาสที่คุณกล่าวถึงหรือไม่
Gil Kalai

1
ไม่มันไม่เป็นที่รู้จักสำหรับชั้นเรียนใด ๆ (เท่าที่ฉันรู้) เนื่องจากยูเอสค่อนข้างต่ำในลำดับชั้นจึงเป็นไปได้ที่มันจะง่ายในกรณีคลาสสิกเช่นกัน
Occams_Trimmer

คำตอบ:


11

สองคำตอบที่ฉันเรียนรู้ขณะเขียนบทความในบล็อกเกี่ยวกับคำถามนี้

  1. ไม่ : ในรูปแบบกล่องดำความซับซ้อนของการค้นหา / การสื่อสารควอนตัมนำเสนอการเร่งกำลังสองของ Grover แต่ไม่มากไปกว่านั้น เมื่อรอนชี้ให้เห็นสิ่งนี้ขยายไปสู่ความซับซ้อนในการคำนวณภายใต้สมมติฐานที่เป็นไปได้

  2. บางที : สมดุลของแนชอาจเป็นปัญหาสำคัญของ "คลาส Christos" ที่นี่การให้ผู้เล่นเข้าถึงการพัวพันควอนตัมแนะนำแนวคิดการแก้ปัญหาแบบใหม่ของ "สมดุลควอนตัมที่มีความสัมพันธ์" ซึ่งทำให้สมดุลของแนช ความซับซ้อนของมันยังคงเปิดอยู่ ดูกระดาษเย็นนี้โดย Alan Deckelbaum

และเป็นหนึ่งในบันทึกประวัติศาสตร์: PLS ถูกนำมาใช้จริงโดยจอห์นสัน Papadimitriou-Yannakakis ในปี 1988


1
ขอบคุณมาก Aviad! และยินดีต้อนรับสู่เว็บไซต์!
Gil Kalai

ยินดีต้อนรับ Aviad! คำตอบของคุณยอดเยี่ยม! ฉันเพิ่งย้ายสิ่งที่ฉันไปที่ส่วนความคิดเห็น (เพื่อหลีกเลี่ยงการแบ่งปันคะแนนการลงคะแนนจากคุณ :))
Rupei Xu

ฉันยังไม่เข้าใจ 1. แน่นอนว่ามีสมมติฐานความแข็งแบบเข้ารหัสซึ่งไม่ได้ใช้ในกรณีควอนตัม อะไรคือสิ่งที่ทำให้ "การทำลาย Fiat-Shamir" ยากสำหรับ QC ไม่เหมือนพูดว่า "break RSA"
Gil Kalai

8

PPAD

ในระดับสูง CHKPRR สร้างการแจกจ่ายผ่านอินสแตนซ์ end-of-line ซึ่งการค้นหาโซลูชันต้องการ:

  • ทำลายความสมบูรณ์ของระบบการพิสูจน์ที่ได้รับโดยการใช้ฮิวริสติก Fiat-Shamir กับโปรโตคอล sumcheck ที่มีชื่อเสียงหรือ
  • P

SATPPAD

z{0,1}nf(z)=xfnFซึ่งจะทำงานสมบูรณ์ดีในการตั้งค่านี้คือโปรโตคอล sumcheck การแปลงหลักฐานเชิงโต้ตอบให้เป็นแบบไม่โต้ตอบ (การบำรุงรักษาการตรวจสอบสาธารณะและความกะทัดรัด) เป็นสิ่งที่ฮิวริสติก Fiat-Shamir ทำ

คำสั่ง Fiat-Shamir

การแก้ปัญหาของ Fiat-Shamir นั้นง่ายมาก: แก้ไขฟังก์ชั่นแฮชเริ่มต้นด้วยการพิสูจน์แบบโต้ตอบเหรียญสาธารณะและแทนที่แต่ละข้อความแบบสุ่มของตัวตรวจสอบด้วยแฮชของการถอดเสียงทั้งหมด คำถามนั้นอยู่ภายใต้คุณสมบัติของฟังก์ชันแฮชที่เราสามารถพิสูจน์ได้ว่าโปรโตคอลที่ได้นั้นยังคงฟังดู (โปรดทราบว่ามันจะไม่สามารถฟังได้ในเชิงสถิติอีกต่อไปความหวังคือมันยังคงเป็นเสียงที่คำนวณได้)

ก่อนที่ฉันจะอธิบายรายละเอียดเกี่ยวกับเรื่องนี้ให้ฉันพูดถึงความคิดเห็นของคุณ:

ฉันยังไม่เข้าใจ 1. แน่นอนว่ามีสมมติฐานความแข็งแบบเข้ารหัสซึ่งไม่ได้ใช้ในกรณีควอนตัม อะไรคือสิ่งที่ทำให้ "การทำลาย Fiat-Shamir" ยากสำหรับ QC ไม่เหมือนพูดว่า "break RSA"

คำอธิบายระดับสูงที่ฉันให้ควรทำให้ชัดเจนฉันหวังว่า "การทำลาย Fiat-Shamir" และ "การทำลาย RSA" ไม่ใช่ปัญหาที่เทียบเคียงได้ RSA เป็นข้อสันนิษฐานความแข็งเฉพาะและถ้าคุณสามารถแยกจำนวนเต็มจำนวนมากออกมาได้

PPADของฟังก์ชันแฮชพื้นฐาน ในระดับสัญชาตญาณนี่ไม่ใช่สิ่งที่ดีสำหรับคอมพิวเตอร์ควอนตัมเพราะนี่เป็นปัญหาที่ดูเหมือนจะไม่จำเป็นต้องมีโครงสร้างที่แข็งแกร่งซึ่งมันสามารถใช้ประโยชน์ได้ "ไม่มีโครงสร้าง" มาก

ในแง่ที่เป็นรูปธรรมมากขึ้นมีสองทางเลือกตามธรรมชาติเมื่อเลือกฟังก์ชันแฮชเพื่อยกระดับ Fiat-Shamir:

วิธีแก้ปัญหาแบบแก้ปัญหาที่มีประสิทธิภาพ:

เลือกฟังก์ชันแฮชที่คุณชื่นชอบพูด SHA-3 เราไม่มีข้อพิสูจน์ว่าการยกระดับ Fiat-Shamir กับ SHA-3 เป็นการยกปัญหาให้เรา แต่เราไม่ทราบถึงการโจมตีที่ไม่น่ารำคาญใด ๆ เกี่ยวกับความสมบูรณ์ของระบบพิสูจน์ที่ได้รับจากการใช้ Fiat-Shamir กับ SHA-3 กับระบบพิสูจน์แบบไม่เสื่อม สิ่งนี้ขยายไปถึงการตั้งค่าควอนตัมเช่นกัน: เราไม่รู้การโจมตีควอนตัมใด ๆ ที่ทำได้ดีกว่าการเร่งความเร็วกำลังสองตามปกติโดยอัลกอริทึมของ Grover หลังจากหลายทศวรรษของความพยายามเข้ารหัสลับฉันทามติในชุมชนการเข้ารหัสคืออัลกอริธึมเชิงควอนตัมดูเหมือนจะไม่เท่าที่เราเห็นเพื่อให้การเพิ่มความเร็วโพลิโนโมเนียลเร็วสำหรับพริตตี้แบบ "Minicrypt" (ฟังก์ชันแฮช PRGs บล็อกเลข ฯลฯ ) โครงสร้างพีชคณิตที่แข็งแกร่งบางอย่างเช่น SHA-2, SHA-3, AES เป็นต้น

แนวทางความปลอดภัยที่พิสูจน์ได้:

เป้าหมายคือเพื่อแยกคุณสมบัติที่สะอาดของฟังก์ชันแฮชที่ทำให้เสียงฮิวริสติกของ Fiat-Shamir และสร้างฟังก์ชันแฮชซึ่งเป็นไปตามคุณสมบัตินี้ภายใต้สมมติฐานการเข้ารหัสที่เป็นไปได้

RKx(x,HK(x))RRR

คำถามคือตอนนี้จะสร้างฟังก์ชันแฮชที่สัมพันธ์กันได้อย่างไรสำหรับความสัมพันธ์ที่เราใส่ใจ - และในบริบทเฉพาะนี้สำหรับความสัมพันธ์ที่เกี่ยวข้องกับโปรโตคอล sumcheck ที่นี่งานล่าสุดเมื่อเร็ว ๆ นี้ (โดยหลัก ๆ คือ1 , 2 , 3 , 4 , 5 , 6 ) ได้แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่น่าสนใจหลายอย่างเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานของโครงตาข่าย

PPAD

เราไม่ได้อยู่ที่นั่นจริงๆ ผลการฝ่าฟันล่าสุดของ Peikert และ Shiehian (รายงานฉบับสุดท้ายในรายการที่ฉันให้ไว้ก่อนหน้านี้) แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่สำคัญเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้ปัญหาขัดแตะเช่นการเรียนรู้ที่ผิดพลาดหรือปัญหา SIS ; แม้กระนั้นงานนี้ไม่ได้เกี่ยวข้องกับ sumcheck

ถึงกระนั้น CHKPRR การสร้างงานนี้แสดงให้เห็นว่าเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานที่ว่าการสร้างรูปแบบการเข้ารหัสแบบโฮโมมอร์ฟิคแบบเต็มรูปแบบหลายรูปแบบที่เป็นรูปธรรมใด ๆ

ลองแยกสมมติฐานนี้ออก:

  • การเข้ารหัสแบบโฮโมมอร์ฟิคอย่างสมบูรณ์ (FHE) เป็นระบบดั้งเดิมซึ่งเรารู้วิธีสร้างภายใต้สมมติฐานของโครงตาข่ายที่หลากหลาย หากโครงการต้องประเมินวงจรขนาดที่ถูก จำกัด เรารู้ในความเป็นจริงว่าจะสร้างมันอย่างไรภายใต้มาตรฐานการเรียนรู้ที่มีข้อผิดพลาด
  • การรักษาความปลอดภัยแบบวงกลมระบุว่า FHE ควรยากที่จะทำลายแม้ว่าจะใช้ในการเข้ารหัสคีย์ลับของตนเอง สิ่งนี้แข็งแกร่งกว่าแนวคิดด้านความปลอดภัยทั่วไปซึ่งไม่อนุญาตให้มีข้อความที่ขึ้นอยู่กับคีย์ มันเป็นปัญหาที่เปิดกว้างที่สำคัญและยาวนานในการสร้าง FHE ที่ปลอดภัยแบบเป็นวงกลมภายใต้สมมติฐานของโครงตาข่ายมาตรฐานเช่น LWE ถึงกระนั้นหนึ่งทศวรรษหลังจากการก่อสร้าง FHE ครั้งแรกของ Gentry และความพยายามในการเข้ารหัสลับจำนวนมากความปลอดภัยแบบวงกลมของผู้สมัคร FHE ที่จัดตั้งขึ้นเองกลายเป็นข้อสันนิษฐานที่ค่อนข้างปลอดภัย (แม้กับคอมพิวเตอร์ควอนตัม) และเราไม่ทราบว่า - การเข้ารหัสแบบอิสระในลักษณะที่ไม่สำคัญ
  • 2ω(เข้าสู่ระบบλ)-λλ2λ<12-λ<1
  • ในที่สุดเราต้องการให้ทุกอย่างที่กล่าวมาข้างต้นยังคงอยู่หากเรายอมให้ผู้โจมตีมีเวลามากขึ้น สิ่งนี้ยังสอดคล้องกับอัลกอริธึมที่รู้จักซึ่งสามารถบรรลุผลได้

PPAD

แน่นอนหนึ่งในคำถามเปิดหลักที่เหลืออยู่โดย CHKPRR คือการสร้างฟังก์ชั่นแฮชที่สัมพันธ์กันซึ่งจับต้องไม่ได้สำหรับความสัมพันธ์ sumcheck ภายใต้สมมติฐานโครงตาข่ายที่ดีกว่า - ในอุดมคติแล้วสมมติฐาน LWE สิ่งนี้ดูไม่สำคัญ แต่ก็ไม่น่าเชื่อเพราะนี่เป็นงานล่าสุดที่ผลลัพธ์ที่น่าประหลาดใจหลายอย่างได้เกิดขึ้นแล้วสำหรับความสัมพันธ์ที่น่าสนใจอื่น ๆ


1
เรียนเจฟรอยรอยขอบคุณมากสำหรับคำตอบที่ยอดเยี่ยมของคุณ!
Gil Kalai
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.