Класи складності для підтвердження знань

16

На запитання Грег Куперберг запитав мене, мені цікаво, чи існують документи, які визначають і вивчають класи складності мов, які допускають різні види доказів знань . Такі класи, як SZK та NISZK , надзвичайно природні з точки зору складності, навіть якщо ми повністю забули про нульові знання та просто визначили їх з точки зору їх повної проблеми з обіцянками. Навпаки, на гуглівських "доказах знань" я здивувався, що не знайшов жодних робіт чи конспектів лекцій, які б обговорювали цю прекрасну концепцію з точки зору складності.

Наведіть кілька прикладів: що можна сказати про підклас SZK∩MA∩coMA, що складається з усіх мов L, які допускають статистичні докази нульових знань для x∈L або x∉L, що також є доказом знань свідка, що доводить x ∈L або x∉L? Безумовно, цей клас містить такі речі, як дискретний журнал, але ми не змогли довести, що він містить ізоморфізм графів без введення GI в coMA. Чи охоплює цей клас всю SZK∩MA∩coMA? Можна також запитати: якщо існують односторонні функції, то чи кожна мова L∈MA∩coMA допускає обчислювальні докази нульових знань, це також є доказом знань свідка, що підтверджує x∈L або x∉L? (Мої вибачення, якщо один чи обидва мають тривіальні відповіді --- я просто намагаюся проілюструвати те, що можна було б запитайте, як тільки хтось вирішив подивитися на PoK у теоретично-теоретичному плані.)

complexity-classes  cr.crypto-security  zero-knowledge 
Скотт Ааронсон
джерело
2
Цікаве запитання! Хіба ці питання не схожі на запитання проти D P ? Насправді, ваше запитання про M A гр O M A , здається, майже точно (або а) рандомізовані версія N P гр O N P по порівнянні з D P . NПcоNПDПМАcоМАNПcоNПDП
Джошуа Грохов
Де входить в історію? Хтось показав, що він характеризує докази знань чи щось таке? DП
Скотт Ааронсон
1
Думаю, це більше просто за аналогією. В обох випадках ( vs D P і M A c o M A проти запропонованого вами класу) у вас є два класи, визначені умовами на верифікаторі, і ви порівнюєте перетин двох складностей класи до набору мов, які мають один перевіряючий елемент, який задовольняє обидві умови одночасно. (Якщо я правильно зрозумів.)NПcоNПDПМАcоМА
Джошуа Грохов

Відповіді:

10

Це не реальна відповідь; Я просто ділюсь деякими результатами (які не вміщуються в одному коментарі).

  1. Голдріх, Мікалі та Вігдерсон ( J. ACM, 1991 ) довели, що кожна мова в НП має доказ нульового знання про приналежність до мови (якщо вважати, що існують OWF). З цією метою вони представили доказ ZK для 3-кольоровості графіка. Пізніше Беллар та Голдрайх ( CRYPTO '92 ) довели, що це доказ ZK є також підтвердженням знань ZK (PoK). Використовуючи скорочення Левіна (див. Виноску 12 попередньої статті), кожна мова в НП має ZK PoK (якщо вважати, що існують OWF).
  2. Itoh і Sakurai ( ASIACRYPT '91 ) мають доповідь про теоретико-теоретичні результати щодо складності щодо відносин, що мають постійний круговий ZK PoK.
  3. Це, здавалося б, непов'язаний результат, хоча я не можу не помітити деяких подібностей. Я якось відчуваю (не що-небудь формальне), що доказ членства та доказ знань схожий на рішення проти пошуку . Можливо, у цьому сенсі можна також навести роботи Беллара та Голдвассера ( J. Computing, 1994 ), де вони (умовно) доводять, що не всі мови в НП мають скорочення від пошуку до рішення.

Деякі відкриті проблеми (можливо, вирішені, але не те, що я знаю) щодо складних теоретичних аспектів PoK:

  1. Різні заходи ефективності для ZK PoKs конкретного відношення з певною складністю (наприклад, відношення в AM):

    • Складність зв’язку доказування
    • Обчислювальна складність сторін
    • Тісність знань (тобто співвідношення між (очікуваним) часом роботи тренажера та часом роботи верифікатора в реальній взаємодії)

  2. Складність відносин, що допускають ZK PoK з певними обмеженнями, скажімо, обмежені складні кругові труднощі (Itoh і Sakurai розглядають лише ZK PoK з постійним кругом). Інший приклад - коли доказ є поліноміальним часом: він не може використовувати редукцію до 3-кольоровості, оскільки не може вирішити NP-повні відносини. Усі проблеми, пов'язані з NP, мають скорочення Кука від пошуку до рішення. Однак, за цитованим вище результатом Беллар-Голдвассер, такі скорочення не обов'язково існують для всіх мов / відносин НП.

  3. Інші цікаві результати щодо PoK, які не обов'язково є ZK, але складність знань інакше обмежена. Див. Голдріх і Петранк (Комп'ютерний комплекс., 1999 ).

Перш ніж закінчити, дозвольте мені зазначити, що насправді існує декілька визначень для PoK, деякі з яких цитуються нижче:

1) Ранні спроби: Фейге, Фіат і Шамір ( J. Cryptology, 1988 ), Томпа і Уолл ( FOCS 1987 ), і Фейге і Шамір ( STOC 1990 ).

2) Фактично стандарт: Bellare та Goldreich ( CRYPTO '92 ). Ця стаття описує перші спроби визначення PoK, зазначає їх недоліки та пропонує нове визначення, яке можна розглядати як "визначення" PoK. Це визначення має характер чорної скриньки (витяг знань має доступ до чорної скриньки до доказів обману).

3) Консервативні PoKs: визначені Халеві та Мікалі ( Архів ePrint: Звіт 1998/015 ), це визначення доповнює попереднє визначення, щоб гарантувати доказову доцільність. Він також дає визначення знання єдиного доказу, що добре, відповідаючи на питання "що означає говорити, що Р щось знає?"

4) Аргументи знань з Non-Black Box Extraction: Як вже згадувалося вище, стандартне визначення PoKs чорний ящик, який робить неможливим мати скидаються докази з нульовим знанням (або аргументи) знань для нетривіальних мов. Барак та ін. ( FOCS 2001 ) дають визначення не чорного поля, яке базується на (але відрізняється від) визначенні Фейге та Шаміра (STOC 1990), цитованому вище.

М. С. Дусті
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.