PPAD та Quantum

Сьогодні в Нью-Йорку та у всьому світі відзначають день народження Крістоса Пападімітріу. Це хороша можливість запитати про співвідношення класу складності Крістоса ППАД (та інших його суміжних класів) та квантових комп'ютерів. У своїй знаменитій статті 1994 року Пападімітріу представив та систематично вивчив декілька важливих класів складності, таких як PLS, PPAD та інші. (Папір Пападімітріу спирався на деякі більш ранні статті, зокрема, як зазначав Авіад, PLS був введений Джонсоном-Пападімітріу-Яннакакісом у 1988 році.)

Моє головне питання:

Чи дають квантові комп'ютери певну перевагу для проблем у ? чи в ? або в ? тощо ...$PPAD$$PLS$$PLS \cap PPAD$

Інше питання, чи є якісь квантові аналоги PLS та PPAD та інших класів Крістоса.

Зауважу, що нещодавні чудові зв’язки PPAD з криптографією були виявлені в цих роботах: Про криптографічну твердість знаходження рівноваги Неша за N Бітанським, О Панеттом, А Розен і Чи може твердість PPAD базуватися на стандартних криптографічних припущеннях? А Росен, Г Сегев, Я Шахаф і знайти рівновагу Неша не легше, ніж порушити "Фіат-Шамір " Арка Рай Чудхурі, Павло Губачек, Четан Камат, Кшиштоф Петрзак, Алон Розен, Гай Ротблум. Я також зазначу, що, на мою думку, заняття Крістоса особливо близькі до математики та математичних доказів.

Оновлення: Рон Ротблум прокоментував (через ФБ), що результати Чудхурі, Губачека, Камат, Піетрзака, Розена та Г. Ротблума означають, що PPAD, ймовірно, перевищує потужність квантових комп'ютерів. (Я буду радий побачити розроблену відповідь, що пояснює це.)

Ще один коментар: пов'язаний приємний питання полягає в тому, якщо знаходження раковини в унікальній синг-орієнтації -куби має ефективний квантовий алгоритм. (Я думаю, що це завдання простіше, ніж але я не впевнений, як це пов'язано з .) Це пов'язано з пошуком квантової переваги для див. Https://cstheory.stackexchange.com/a/767/712 . $n$$PLS$$PPAD$$LP$

З днем ​​народження, Крісто!

Два відповіді, які я дізнався під час написання публікації в блозі з цього питання

1. Ні : У чорно-бокових варіантах квантовий запит / складність зв'язку пропонують квадратичне прискорення Grover, але не більше того. Як зазначає Рон, це поширюється на обчислювальну складність при правдоподібних припущеннях.

2. Можливо : рівновага Неша, мабуть, є актуальною проблемою "класів Крістоса". Тут надання гравцям доступу до квантового заплутування пропонує нову концепцію рішення "квантово-корельованої рівноваги", яка узагальнює рівновагу Неша. Її складність досі відкрита. Дивіться цей класний папір Алана Декельбаума.

І одна історична примітка: PLS був фактично введений Джонсоном-Пападімітріу-Яннакакісом у 1988 році .

Я спробую трохи розібратися в тому, чому CHKPRR показує, що правдоподібно важкий для квантових комп'ютерів.$\mathsf{PPAD}$

На високому рівні CHKPRR будує розподіл по кінцевих випадках, коли для пошуку рішення потрібно:

• порушити надійність системи перевірки, отриманої шляхом застосування евристики Фіат-Шамір до відомого протоколу підсумок, або
• розв’язання задачі -повна$\sharp \mathsf{P}$

Інтуїтивно, зменшення починається з екземпляра . Для підрахунку потрібна експоненціальна кількість етапів полінома; автори роблять це підрахунок поступово перевіреним , дозволяючи процедурі підрахунку підтримувати стан, оновлений після кожного кроку, що підтверджує правильність обчислень досі. Цей поступово перевіряється підрахунок потім використовується для створення екземпляра розслабленої проблеми з перевіреної лінії, що може бути зведено до загальних проблем пошуку в .$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

Для обґрунтування цієї ідеї головним технічним завданням є створення способу зробити підрахунок поступово перевіреним: нам потрібен короткий неінтерактивний доказ на кожному кроці обчислення, який демонструє правильність обчислень досі. Тут неінтерактивність є основною проблемою; насправді ми вже знаємо короткий інтерактивний доказ демонстрації висловлювань форми , де - деякий низький градус -різноманітний многочлен над полем , який би цілком добре працював у цьому налаштуванні: протокол підсумкової перевірки$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$. Перетворення інтерактивного доказу в неінтерактивний (підтримка громадської перевіреності та компактності) - це саме те, що робить евристичний фіат "Шаат".

Моментальний Фіат-Шамір

Евристика Fiat-Shamir дуже проста: зафіксуйте якусь хеш-функцію, почніть з інтерактивного доказу публічної монети та замініть кожне випадкове повідомлення верифікатора на хеш усієї стенограми до цих пір. Тоді виникає питання, за якою властивістю хеш-функції ми можемо довести, що результуючий протокол все ще звучить (зауважте, що він вже не може бути статистично здоровим; сподіваємось, що він залишається обчислювальним).

Перш ніж я детальніше розглянути це, дозвольте мені звернутися до вашого коментаря:

Я все ще не розумію 1. Безумовно, існують криптографічні припущення щодо твердості, які не застосовуються у квантовому випадку. Що саме робить «зламати Фіат-Шамір» важким для QC на відміну, скажімо, «зламати RSA».

Опис, який я дав на високому рівні, повинен дати зрозуміти, що я сподіваюся, що "зламати" Фіат-Шамір "та" зламати RSA "- це насправді не порівнянні проблеми. RSA - це конкретне, специфічне припущення про твердість, і якщо ви можете розподілити великі цілі числа, то ви можете їх розбити.

З іншого боку, гадана твердість розбиття Fiat-Shamir є набагато більш загальним припущенням. Коли екземпляр евристику Fiat-Шаміра, ви вибираєте конкретний вибір хеш - функції; але для результату -твердості CHKPRR достатньо того, що існує деяка хеш-функція, для якої звучить Fiat-Shamir. Порушення "Фіат-Шаміра" з квантовим комп'ютером вимагало б виявити атаку проти його надійності для будь-якого можливого вибору$\mathsf{PPAD}$основної хеш-функції. На інтуїтивному рівні це не те, у чому добре справляються квантові комп'ютери, оскільки це проблема, яка, мабуть, не має міцної структури, яку вона могла б використовувати (на відміну, наприклад, дискретний логарифм і RSA): хеш-функції можуть бути типовими дуже "неструктурований".

Більш конкретно, є дві природні альтернативи, коли вибираєте хеш-функцію для інстанції Fiat-Shamir:

Евристичний, конкретно ефективний підхід:

виберіть улюблену хеш-функцію, скажімо, SHA-3. Ми, звичайно, не маємо доказів того, що екземпляри Fiat-Shamir з SHA-3 не доставляють нам важкої проблеми; але ми також не знаємо про будь-яку нетривіальну атаку на надійність систем перевірки, отриманих при застосуванні Фіат-Шамір із SHA-3 до невідродженої інтерактивної системи доказування. Це поширюється і на квантове налаштування: ми не знаємо жодної квантової атаки, яка виявиться кращою за звичайну квадратичну швидкість, задану алгоритмом Гровера. Після десятиліть спроб криптоаналізу консенсус у криптографічному співтоваристві полягає в тому, що квантовий алгоритм не здається , наскільки ми бачимо, забезпечувати надполіномічні прискорення для примітивів у стилі "Мінікрипт" (хеш-функції, PRG, блок-шифри тощо) без деякі сильні основні алгебраїчні структури - такі як SHA-2, SHA-3, AES тощо.

Підхід, що підтверджується безпекою:

тут мета полягає в тому, щоб виділити чисту властивість хеш-функції, яка видає евристичний звук Fiat-Shamir, і створити хеш-функцію, яка задовольняє ці властивості за правдоподібних криптографічних припущень.

Цей підхід до безпеки має довгу і щільну історію криптовалют. Серед найперспективніших кандидатів - поняття кореляційно-нерозв'язних хеш-функцій : хеш-функція (кефірована), як кажуть, є кореляційно-нерозв'язною щодо деякого відношення якщо вона обчислювально нездійсненна, даючи випадковий хеш-ключ , щоб знайти введіть так, що$R$$K$$x$$(x, H_K(x)) \in R$. Інтуїтивно це природним чином фіксує те, що ми хочемо від «Фіат-Шаміра»: в інтерактивній системі доказів, чи надійність є статистичною, існує кілька «поганих повідомлень верифікатора», які малоймовірні, але які дозволяли б шахраю обдурити. Ми хочемо, щоб довідник не міг обчислити такий стенограф, що, обчислюючи наступне повідомлення перевіряючого, перемішуючи його, йому вдається знайти одне з таких "поганих повідомлень". Будь-яка система інтерактивного доказу тому пов'язана з деяким рідкісним співвідношенням , що містять пари (транскрипти, погане повідомлення для цього транскрипта) і Fiat-Шамір звук , коли створюється за допомогою хеш - функції , яка є кореляційної нерозв'язним для цього розріджених відносин .$R$$R$

Тепер питання полягає в тому, як побудувати кореляційно-нерозбірливі хеш-функції для відносин, які нас цікавлять - і в цьому конкретному контексті для відношення, пов'язаного з протоколом підсумкової перевірки. Тут нещодавній напрямок роботи (по суті, 1 , 2 , 3 , 4 , 5 , 6 ) показав, що для багатьох відносин, що представляють інтерес, можна реально побудувати кореляційні нерозбірливі хеш-функції під припущеннями на основі решітки.

Криптографія на основі ґратів - це найкращий вибір криптографів для створення квантово-безпечних криптографічних примітивів. Для більшості проблем щодо грат, які розглядаються крипто-спільнотою, не відомий кращий квантовий алгоритм, ніж звичайний "класичний алгоритм + квадратичне прискорення Гровера". Отже, якби ми могли засновувати хеш-функцію кореляції для взаємозв'язку підсумкових даних на чітко встановленому ґратчастому припущенні, це було б розцінено в криптовалюті як дуже сильний показник того, що квантові комп'ютери не завжди можуть зламати Фіат-Шамір (отже, не може вирішити ).$\mathsf{PPAD}$

Насправді ми точно не там. Нещодавній результат прориву Пейкерта та Шейхіана (остання праця у списку, який я дав раніше) показав, що для важливих відносин ми можемо побудувати кореляційно-нерозбірливу хеш-функцію в умовах добре встановлених решіткових проблем, таких як навчання з помилками або проблема SIS ; однак співвідношення підсумків не зафіксовано цією роботою.

Тим не менш, CHKPRR, спираючись на цю роботу, показав, що можна побудувати кореляційно-нерозв'язну хеш-функцію, припускаючи, що будь-яка з багатьох конкретних конструкцій повністю гомоморфних схем шифрування має квазіоптимальну кругову захист від суперполіноміальних часових атак.

Розбимо це припущення:

• Повністю гомоморфне шифрування (FHE) - це примітив, який ми знаємо, як будувати за різними припущеннями грат. Якщо схема повинна оцінювати схеми лише обмеженого розміру, ми знаємо насправді, як побудувати її за стандартним навчанням з допущенням помилок.
• Циркулярна безпека стверджує, що FHE має бути важко зламати навіть тоді, коли він використовується для шифрування власного секретного ключа. Це сильніше, ніж звичайне поняття безпеки, яке не дозволяє ключовим повідомленням. Важливою і давно відкритою проблемою є створення циркулярно захищеного FHE за стандартним ґратчастим припущенням, таким як LWE. Тим не менш, через десять років після першої будівництва FHE у Джентрі та безлічі спроб криптоаналізу, кругова безпека встановлених кандидатів на FHE сама по собі стала відносно безпечним припущенням (навіть проти квантових комп'ютерів), і ми не знаємо жодної атаки, яка використовує ключ -залежні шифрування нетривіальним способом.
• квазіоптимальна твердість означає, що всі поліноміальні алгоритми мають експоненціально низьку ймовірність порушення схеми (тобто ймовірність , де - параметр безпеки). Зауважимо, що, хоча ми можемо знати нетривіальні експоненціальні алгоритми часу, які би порушили схему з незначною ймовірністю в часі для деякого , ми не знаємо жодного алгоритму поліноміального часу , який би порушив схема з ймовірністю для деякого .$2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$2 - c λ c < 1$2^{-c \lambda}$$c < 1$
• Нарешті, ми хочемо, щоб усе вищезазначене все-таки було збережене, якщо дозволити нападникові тривати час суперполіномії. Це все ще відповідає тому, чого можуть досягти відомі алгоритми.

Загалом, це явно не є великим, дуже правдоподібним і добре сформованим припущенням. Однак це створює дуже цікавий зв'язок: він пов'язує жорсткість вирішення з квантовим комп'ютером до питання отримання сильних нетривіальних удосконалень над найвідомішими квантовими алгоритмами для атаки на важливі ґратчасті криптографічні примітиви (повністю гомоморфне шифрування) ), що є добре дослідженим питанням.$\mathsf{PPAD}$

Звичайно, одне з головних відкритих питань, яке залишає CHKPRR, - це побудувати кореляційно-нерозв'язну хеш-функцію для відношення підсумків за кращого ґратівного припущення - в ідеалі, припущення LWE. Це здається нетривіальним, але неправдоподібним, враховуючи, що це зовсім недавній напрямок роботи, де вже досягнуто багатьох дивовижних результатів для інших цікавих відносин.