PPAD และ Quantum

วันนี้ในนิวยอร์กและทั่วโลกมีการเฉลิมฉลองวันเกิดของ Christos Papadimitriou นี่เป็นโอกาสที่ดีที่จะถามเกี่ยวกับความสัมพันธ์ระหว่าง PPAD ระดับความซับซ้อนของ Christos (และชั้นเรียนอื่น ๆ ที่เกี่ยวข้อง) และคอมพิวเตอร์ควอนตัม ในของเขามีชื่อเสียงโด่งดัง 1994 กระดาษ Papadimitriou แนะนำระบบและการศึกษาชั้นเรียนหลายซับซ้อนที่สำคัญเช่น PLS, PPAD และอื่น ๆ (กระดาษของ Papadimitriou ต้องอาศัยเอกสารก่อนหน้าและโดยเฉพาะอย่างยิ่งตามที่ Aviad ระบุไว้ PLS ได้รับการแนะนำโดย Johnson-Papadimitriou-Yannakakis ในปี 1988)

คำถามหลักของฉันคือ:

คอมพิวเตอร์ควอนตัมให้ประโยชน์สำหรับปัญหาใน$PPAD$หรือไม่? หรือใน ? หรือใน ? ฯลฯ ...$PLS$$PLS \cap PPAD$

อีกคำถามหนึ่งคือถ้ามีคลาสอื่น ๆ ของ analogs PLS และ PPAD และ Christos

ฉันทราบว่ามีการเชื่อมต่อ PPAD กับการเข้ารหัสที่น่าทึ่งเมื่อไม่นานมานี้ในเอกสารเหล่านี้: ความแข็งของการเข้ารหัสในการค้นหาสมดุลของแนชโดย N Bitansky, O Paneth, A Rosen และความแข็ง PPAD สามารถเป็นไปตามสมมติฐานการเข้ารหัสลับมาตรฐานหรือไม่ โดย A Rosen, G Segev, I Shahaf และการหาสมดุลของแนชนั้นไม่ง่ายไปกว่าการทำลาย Fiat-Shamirโดย Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum ฉันยังทราบด้วยว่าในความเห็นของชั้นเรียนของ Christos นั้นใกล้เคียงกับคณิตศาสตร์และหลักฐานทางคณิตศาสตร์

Update: Ron Rothblum ให้ความเห็น (มากกว่า FB) ว่า Choudhuri, Hubacek, Kamath, Pietrzak, Rosen และ G. Rothblum บอกว่าผลลัพธ์ของ PPAD นั้นมีพลังเหนือกว่าคอมพิวเตอร์ควอนตัม (ฉันยินดีที่จะเห็นคำตอบที่อธิบายอย่างละเอียด)

อีกหนึ่งความคิดเห็น: คำถามที่ดีที่เกี่ยวข้องคือหากการค้นหา sink ในทิศทางที่ไม่ซ้ำของ cube มีอัลกอริทึมควอนตัมที่มีประสิทธิภาพ (ฉันคิดว่างานนี้ง่ายกว่าแต่ฉันไม่แน่ใจว่าเกี่ยวข้องกับอย่างไร) สิ่งนี้เกี่ยวข้องกับภารกิจเพื่อค้นหาข้อได้เปรียบเชิงปริมาณสำหรับดูhttps://cstheory.stackexchange.com/a/767/712 . $n$$PLS$$PPAD$$LP$

สุขสันต์วันเกิด Christos!

สองคำตอบที่ฉันเรียนรู้ขณะเขียนบทความในบล็อกเกี่ยวกับคำถามนี้

1. ไม่ : ในรูปแบบกล่องดำความซับซ้อนของการค้นหา / การสื่อสารควอนตัมนำเสนอการเร่งกำลังสองของ Grover แต่ไม่มากไปกว่านั้น เมื่อรอนชี้ให้เห็นสิ่งนี้ขยายไปสู่ความซับซ้อนในการคำนวณภายใต้สมมติฐานที่เป็นไปได้

2. บางที : สมดุลของแนชอาจเป็นปัญหาสำคัญของ "คลาส Christos" ที่นี่การให้ผู้เล่นเข้าถึงการพัวพันควอนตัมแนะนำแนวคิดการแก้ปัญหาแบบใหม่ของ "สมดุลควอนตัมที่มีความสัมพันธ์" ซึ่งทำให้สมดุลของแนช ความซับซ้อนของมันยังคงเปิดอยู่ ดูกระดาษเย็นนี้โดย Alan Deckelbaum

และเป็นหนึ่งในบันทึกประวัติศาสตร์: PLS ถูกนำมาใช้จริงโดยจอห์นสัน Papadimitriou-Yannakakis ในปี 1988

$\mathsf{PPAD}$

ในระดับสูง CHKPRR สร้างการแจกจ่ายผ่านอินสแตนซ์ end-of-line ซึ่งการค้นหาโซลูชันต้องการ:

• ทำลายความสมบูรณ์ของระบบการพิสูจน์ที่ได้รับโดยการใช้ฮิวริสติก Fiat-Shamir กับโปรโตคอล sumcheck ที่มีชื่อเสียงหรือ
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$ซึ่งจะทำงานสมบูรณ์ดีในการตั้งค่านี้คือโปรโตคอล sumcheck การแปลงหลักฐานเชิงโต้ตอบให้เป็นแบบไม่โต้ตอบ (การบำรุงรักษาการตรวจสอบสาธารณะและความกะทัดรัด) เป็นสิ่งที่ฮิวริสติก Fiat-Shamir ทำ

คำสั่ง Fiat-Shamir

การแก้ปัญหาของ Fiat-Shamir นั้นง่ายมาก: แก้ไขฟังก์ชั่นแฮชเริ่มต้นด้วยการพิสูจน์แบบโต้ตอบเหรียญสาธารณะและแทนที่แต่ละข้อความแบบสุ่มของตัวตรวจสอบด้วยแฮชของการถอดเสียงทั้งหมด คำถามนั้นอยู่ภายใต้คุณสมบัติของฟังก์ชันแฮชที่เราสามารถพิสูจน์ได้ว่าโปรโตคอลที่ได้นั้นยังคงฟังดู (โปรดทราบว่ามันจะไม่สามารถฟังได้ในเชิงสถิติอีกต่อไปความหวังคือมันยังคงเป็นเสียงที่คำนวณได้)

ก่อนที่ฉันจะอธิบายรายละเอียดเกี่ยวกับเรื่องนี้ให้ฉันพูดถึงความคิดเห็นของคุณ:

ฉันยังไม่เข้าใจ 1. แน่นอนว่ามีสมมติฐานความแข็งแบบเข้ารหัสซึ่งไม่ได้ใช้ในกรณีควอนตัม อะไรคือสิ่งที่ทำให้ "การทำลาย Fiat-Shamir" ยากสำหรับ QC ไม่เหมือนพูดว่า "break RSA"

คำอธิบายระดับสูงที่ฉันให้ควรทำให้ชัดเจนฉันหวังว่า "การทำลาย Fiat-Shamir" และ "การทำลาย RSA" ไม่ใช่ปัญหาที่เทียบเคียงได้ RSA เป็นข้อสันนิษฐานความแข็งเฉพาะและถ้าคุณสามารถแยกจำนวนเต็มจำนวนมากออกมาได้

$\mathsf{PPAD}$ของฟังก์ชันแฮชพื้นฐาน ในระดับสัญชาตญาณนี่ไม่ใช่สิ่งที่ดีสำหรับคอมพิวเตอร์ควอนตัมเพราะนี่เป็นปัญหาที่ดูเหมือนจะไม่จำเป็นต้องมีโครงสร้างที่แข็งแกร่งซึ่งมันสามารถใช้ประโยชน์ได้ "ไม่มีโครงสร้าง" มาก

ในแง่ที่เป็นรูปธรรมมากขึ้นมีสองทางเลือกตามธรรมชาติเมื่อเลือกฟังก์ชันแฮชเพื่อยกระดับ Fiat-Shamir:

วิธีแก้ปัญหาแบบแก้ปัญหาที่มีประสิทธิภาพ:

เลือกฟังก์ชันแฮชที่คุณชื่นชอบพูด SHA-3 เราไม่มีข้อพิสูจน์ว่าการยกระดับ Fiat-Shamir กับ SHA-3 เป็นการยกปัญหาให้เรา แต่เราไม่ทราบถึงการโจมตีที่ไม่น่ารำคาญใด ๆ เกี่ยวกับความสมบูรณ์ของระบบพิสูจน์ที่ได้รับจากการใช้ Fiat-Shamir กับ SHA-3 กับระบบพิสูจน์แบบไม่เสื่อม สิ่งนี้ขยายไปถึงการตั้งค่าควอนตัมเช่นกัน: เราไม่รู้การโจมตีควอนตัมใด ๆ ที่ทำได้ดีกว่าการเร่งความเร็วกำลังสองตามปกติโดยอัลกอริทึมของ Grover หลังจากหลายทศวรรษของความพยายามเข้ารหัสลับฉันทามติในชุมชนการเข้ารหัสคืออัลกอริธึมเชิงควอนตัมดูเหมือนจะไม่เท่าที่เราเห็นเพื่อให้การเพิ่มความเร็วโพลิโนโมเนียลเร็วสำหรับพริตตี้แบบ "Minicrypt" (ฟังก์ชันแฮช PRGs บล็อกเลข ฯลฯ ) โครงสร้างพีชคณิตที่แข็งแกร่งบางอย่างเช่น SHA-2, SHA-3, AES เป็นต้น

แนวทางความปลอดภัยที่พิสูจน์ได้:

เป้าหมายคือเพื่อแยกคุณสมบัติที่สะอาดของฟังก์ชันแฮชที่ทำให้เสียงฮิวริสติกของ Fiat-Shamir และสร้างฟังก์ชันแฮชซึ่งเป็นไปตามคุณสมบัตินี้ภายใต้สมมติฐานการเข้ารหัสที่เป็นไปได้

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

คำถามคือตอนนี้จะสร้างฟังก์ชันแฮชที่สัมพันธ์กันได้อย่างไรสำหรับความสัมพันธ์ที่เราใส่ใจ - และในบริบทเฉพาะนี้สำหรับความสัมพันธ์ที่เกี่ยวข้องกับโปรโตคอล sumcheck ที่นี่งานล่าสุดเมื่อเร็ว ๆ นี้ (โดยหลัก ๆ คือ1 , 2 , 3 , 4 , 5 , 6 ) ได้แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่น่าสนใจหลายอย่างเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานของโครงตาข่าย

$\mathsf{PPAD}$

เราไม่ได้อยู่ที่นั่นจริงๆ ผลการฝ่าฟันล่าสุดของ Peikert และ Shiehian (รายงานฉบับสุดท้ายในรายการที่ฉันให้ไว้ก่อนหน้านี้) แสดงให้เห็นว่าสำหรับความสัมพันธ์ที่สำคัญเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้ปัญหาขัดแตะเช่นการเรียนรู้ที่ผิดพลาดหรือปัญหา SIS ; แม้กระนั้นงานนี้ไม่ได้เกี่ยวข้องกับ sumcheck

ถึงกระนั้น CHKPRR การสร้างงานนี้แสดงให้เห็นว่าเราสามารถสร้างฟังก์ชันแฮชที่สัมพันธ์กันภายใต้สมมติฐานที่ว่าการสร้างรูปแบบการเข้ารหัสแบบโฮโมมอร์ฟิคแบบเต็มรูปแบบหลายรูปแบบที่เป็นรูปธรรมใด ๆ

ลองแยกสมมติฐานนี้ออก:

• การเข้ารหัสแบบโฮโมมอร์ฟิคอย่างสมบูรณ์ (FHE) เป็นระบบดั้งเดิมซึ่งเรารู้วิธีสร้างภายใต้สมมติฐานของโครงตาข่ายที่หลากหลาย หากโครงการต้องประเมินวงจรขนาดที่ถูก จำกัด เรารู้ในความเป็นจริงว่าจะสร้างมันอย่างไรภายใต้มาตรฐานการเรียนรู้ที่มีข้อผิดพลาด
• การรักษาความปลอดภัยแบบวงกลมระบุว่า FHE ควรยากที่จะทำลายแม้ว่าจะใช้ในการเข้ารหัสคีย์ลับของตนเอง สิ่งนี้แข็งแกร่งกว่าแนวคิดด้านความปลอดภัยทั่วไปซึ่งไม่อนุญาตให้มีข้อความที่ขึ้นอยู่กับคีย์ มันเป็นปัญหาที่เปิดกว้างที่สำคัญและยาวนานในการสร้าง FHE ที่ปลอดภัยแบบเป็นวงกลมภายใต้สมมติฐานของโครงตาข่ายมาตรฐานเช่น LWE ถึงกระนั้นหนึ่งทศวรรษหลังจากการก่อสร้าง FHE ครั้งแรกของ Gentry และความพยายามในการเข้ารหัสลับจำนวนมากความปลอดภัยแบบวงกลมของผู้สมัคร FHE ที่จัดตั้งขึ้นเองกลายเป็นข้อสันนิษฐานที่ค่อนข้างปลอดภัย (แม้กับคอมพิวเตอร์ควอนตัม) และเราไม่ทราบว่า - การเข้ารหัสแบบอิสระในลักษณะที่ไม่สำคัญ
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• ในที่สุดเราต้องการให้ทุกอย่างที่กล่าวมาข้างต้นยังคงอยู่หากเรายอมให้ผู้โจมตีมีเวลามากขึ้น สิ่งนี้ยังสอดคล้องกับอัลกอริธึมที่รู้จักซึ่งสามารถบรรลุผลได้

$\mathsf{PPAD}$

แน่นอนหนึ่งในคำถามเปิดหลักที่เหลืออยู่โดย CHKPRR คือการสร้างฟังก์ชั่นแฮชที่สัมพันธ์กันซึ่งจับต้องไม่ได้สำหรับความสัมพันธ์ sumcheck ภายใต้สมมติฐานโครงตาข่ายที่ดีกว่า - ในอุดมคติแล้วสมมติฐาน LWE สิ่งนี้ดูไม่สำคัญ แต่ก็ไม่น่าเชื่อเพราะนี่เป็นงานล่าสุดที่ผลลัพธ์ที่น่าประหลาดใจหลายอย่างได้เกิดขึ้นแล้วสำหรับความสัมพันธ์ที่น่าสนใจอื่น ๆ