PPAD và lượng tử

Hôm nay tại New York và trên toàn thế giới, sinh nhật của Christos Papadimitriou được tổ chức. Đây là một cơ hội tốt để hỏi về mối quan hệ giữa lớp PPAD phức tạp của Christos (và các lớp liên quan khác của anh ấy) và máy tính lượng tử. Trong bài báo nổi tiếng năm 1994, Papadimitriou đã giới thiệu và nghiên cứu một cách có hệ thống một số lớp phức tạp quan trọng như PLS, PPAD và các lớp khác. (Bài viết của Papadimitriou dựa trên một số bài báo trước đó và đặc biệt, như Aviad đã lưu ý, PLS đã được Johnson-Papadimitriou-Yannakakis giới thiệu vào năm 1988.)

Câu hỏi chính của tôi là:

Các máy tính lượng tử có cung cấp một số lợi thế cho các vấn đề trong không? hoặc trong ? hoặc trong ? Vân vân...$PPAD$$PLS$$PLS \cap PPAD$

Một câu hỏi khác là nếu có một số tương tự lượng tử của các lớp khác của PLS và PPAD và Christos.

Tôi lưu ý rằng một kết nối đáng chú ý gần đây của PPAD với mật mã đã được tìm thấy trong các bài báo này: Về độ cứng của mật mã trong việc tìm kiếm trạng thái cân bằng Nash của N Bitansky, O Paneth, A Rosen và độ cứng PPAD có thể dựa trên các giả định về mật mã tiêu chuẩn không? của A Rosen, G Segev, I Shahaf và Tìm kiếm trạng thái cân bằng Nash không dễ dàng hơn việc phá vỡ Fiat-Shamir của Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum. Tôi cũng lưu ý rằng theo tôi, các lớp học của Christos đặc biệt gần với các bằng chứng toán học và toán học.

Cập nhật: Ron Rothblum nhận xét (qua FB) rằng các kết quả của Choudhuri, Hubacek, Kamath, Pietrzak, Rosen và G. Rothblum ngụ ý rằng PPAD vượt xa sức mạnh của máy tính lượng tử. (Tôi sẽ rất vui khi thấy một câu trả lời công phu giải thích nó.)

Thêm một nhận xét: Một câu hỏi hay liên quan là nếu tìm thấy phần chìm theo hướng singe duy nhất của -cube có thuật toán lượng tử hiệu quả. (Tôi nghĩ nhiệm vụ này dễ hơn nhưng tôi không chắc nó liên quan đến P P A D như thế nào .) Điều này có liên quan đến nhiệm vụ tìm lợi thế lượng tử cho L P xem /cstheory//a / 767/712 . $n$$PLS$$PPAD$$LP$

Chúc mừng sinh nhật, Christos!

Hai câu trả lời mà tôi đã học được khi viết một bài đăng trên blog về câu hỏi này

1. Không : Trong các biến thể hộp đen, độ phức tạp của truy vấn / giao tiếp lượng tử cung cấp khả năng tăng tốc bậc hai Grover, nhưng không nhiều hơn thế. Như Ron chỉ ra, điều này mở rộng đến sự phức tạp tính toán theo các giả định hợp lý.

2. Có thể : Cân bằng Nash được cho là vấn đề hàng đầu của "các lớp Christos". Ở đây, cho phép người chơi tiếp cận với sự vướng víu lượng tử cho thấy một khái niệm giải pháp mới về "trạng thái cân bằng tương quan lượng tử", khái quát hóa trạng thái cân bằng Nash. Sự phức tạp của nó vẫn còn mở. Xem bài viết tuyệt vời này của Alan Deckelbaum.

Và một lưu ý lịch sử: PLS thực sự được giới thiệu bởi Johnson-Papadimitriou-Yannakakis vào năm 1988 .

$\mathsf{PPAD}$

Ở mức cao, CHKPRR xây dựng phân phối trên các trường hợp cuối dòng trong đó việc tìm giải pháp yêu cầu:

• phá vỡ sự lành mạnh của hệ thống bằng chứng thu được bằng cách áp dụng phương pháp phỏng đoán Fiat-Shamir cho giao thức sumcheck nổi tiếng, hoặc
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$, sẽ hoạt động hoàn toàn tốt trong cài đặt này: giao thức sumcheck . Chuyển đổi một bằng chứng tương tác thành một bằng chứng không tương tác (duy trì tính xác minh và tính gọn nhẹ công khai) là chính xác những gì heuristic Fiat-Shamir làm.

Khởi tạo Fiat-Shamir

Các heuristic Fiat-Shamir rất đơn giản: sửa một số hàm băm, bắt đầu bằng một bằng chứng tương tác tiền công khai và thay thế từng thông báo ngẫu nhiên của trình xác minh bằng một hàm băm của toàn bộ bảng điểm cho đến nay. Câu hỏi đặt ra là thuộc tính nào của hàm băm, chúng ta có thể chứng minh rằng giao thức kết quả vẫn là âm thanh (lưu ý rằng nó không thể là âm thanh thống kê nữa; hy vọng là nó vẫn có âm thanh tính toán).

Trước khi tôi giải thích về điều này, hãy để tôi giải quyết nhận xét của bạn:

Tôi vẫn không hiểu 1. Chắc chắn có những giả định về độ cứng mật mã không áp dụng trong trường hợp lượng tử. Điều gì làm cho "phá vỡ Fiat-Shamir" khó đối với QC không giống như, nói "phá vỡ RSA".

Mô tả cấp cao mà tôi đã đưa ra sẽ làm cho nó rõ ràng, tôi hy vọng rằng "phá vỡ Fiat-Shamir" và "phá vỡ RSA" không thực sự là vấn đề có thể so sánh được. RSA là một giả định độ cứng cụ thể, cụ thể và nếu bạn có thể tính các số nguyên lớn, thì bạn có thể phá vỡ nó.

$\mathsf{PPAD}$của hàm băm cơ bản. Ở mức độ trực quan, đây không phải là điều mà máy tính lượng tử giỏi, bởi vì đây là vấn đề dường như không nhất thiết phải có cấu trúc mạnh mà nó có thể khai thác (không giống như, logarit rời rạc và RSA): các hàm băm có thể điển hình rất "không có cấu trúc".

Nói một cách cụ thể hơn, có hai lựa chọn thay thế tự nhiên khi chọn hàm băm để khởi tạo Fiat-Shamir:

Cách tiếp cận heuristic, cụ thể hiệu quả:

chọn hàm băm yêu thích của bạn, giả sử, SHA-3. Tất nhiên chúng tôi không có bằng chứng nào cho thấy việc khởi tạo Fiat-Shamir bằng SHA-3 mang lại cho chúng tôi một vấn đề khó khăn; nhưng chúng ta cũng không biết về bất kỳ cuộc tấn công không tầm thường nào vào tính đúng đắn của các hệ thống bằng chứng thu được bằng cách áp dụng Fiat-Shamir với SHA-3 cho một hệ thống chứng minh tương tác không suy biến. Điều này cũng mở rộng đến cài đặt lượng tử: chúng tôi không biết về bất kỳ cuộc tấn công lượng tử nào tốt hơn tốc độ tăng tốc bậc hai thông thường được đưa ra bởi thuật toán của Grover. Sau nhiều thập kỷ nỗ lực phân tích mật mã, sự đồng thuận trong cộng đồng tiền mã hóa là thuật toán lượng tử dường như không thể , như chúng ta có thể thấy, để cung cấp các tốc độ siêu đa thức cho các nguyên hàm "kiểu Minicrypt" (hàm băm, PRG, khối mật mã, v.v.) một số cấu trúc đại số cơ bản mạnh mẽ - chẳng hạn như SHA-2, SHA-3, AES, v.v.

Phương pháp bảo mật có thể chứng minh:

Ở đây, mục tiêu là cô lập một thuộc tính sạch của hàm băm tạo ra âm thanh heuristic Fiat-Shamir và xây dựng hàm băm thỏa mãn tính chất này theo các giả định mật mã hợp lý.

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

Câu hỏi bây giờ là làm thế nào để xây dựng các hàm băm có thể tương quan cho các mối quan hệ mà chúng ta quan tâm - và trong bối cảnh cụ thể này, cho mối quan hệ liên quan đến giao thức sumcheck. Ở đây, một dòng công việc gần đây (về cơ bản là 1 , 2 , 3 , 4 , 5 , 6 ) đã chỉ ra rằng, đối với nhiều mối quan hệ, người ta thực sự có thể xây dựng các hàm băm có thể tương quan theo các giả định dựa trên mạng tinh thể.

$\mathsf{PPAD}$

Chúng tôi không chính xác ở đó, trên thực tế. Kết quả đột phá gần đây của Peikert và Shiehian (bài báo cuối cùng trong danh sách tôi đã đưa ra trước đó) cho thấy rằng đối với các mối quan hệ quan trọng, chúng ta có thể xây dựng hàm băm có thể tương quan trong các vấn đề mạng được thiết lập tốt, chẳng hạn như tìm hiểu lỗi hoặc vấn đề SIS ; tuy nhiên, mối quan hệ sumcheck không được nắm bắt bởi công việc này.

Tuy nhiên, CHKPRR, dựa trên công trình này cho thấy rằng người ta có thể xây dựng hàm băm có thể tương quan theo giả định rằng bất kỳ cấu trúc cụ thể nào của các sơ đồ mã hóa đồng hình hoàn toàn đều có bảo mật vòng tròn tối ưu chống lại các cuộc tấn công thời gian siêu chính thức.

Hãy phá vỡ giả định này:

• Mã hóa hoàn toàn đồng hình (FHE) là một nguyên thủy mà chúng ta biết cách xây dựng theo nhiều giả định mạng tinh thể. Nếu sơ đồ chỉ phải đánh giá các mạch kích thước giới hạn, trên thực tế chúng ta biết cách xây dựng nó theo cách học tiêu chuẩn với giả định lỗi.
• Bảo mật tròn quy định rằng FHE nên khó bị phá vỡ ngay cả khi nó được sử dụng để mã hóa khóa bí mật của chính nó. Điều này mạnh hơn khái niệm bảo mật thông thường, không cho phép các thông điệp phụ thuộc chính. Đây là một vấn đề lớn và lâu dài để xây dựng một FHE an toàn theo vòng tròn theo giả định mạng tinh thể tiêu chuẩn, chẳng hạn như Lwe. Tuy nhiên, một thập kỷ sau khi xây dựng FHE đầu tiên của Gentry và rất nhiều nỗ lực phân tích mật mã, bảo mật vòng tròn của các ứng cử viên FHE đã thành lập đã trở thành một giả định tương đối an toàn (thậm chí chống lại máy tính lượng tử) và chúng tôi không biết về bất kỳ cuộc tấn công nào khai thác khóa mã hóa phụ thuộc một cách không cần thiết.
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• Cuối cùng, chúng tôi muốn tất cả các bên trên vẫn giữ nếu chúng tôi cho phép thời gian chạy siêu đa thức cho kẻ tấn công. Điều này vẫn phù hợp với những gì thuật toán đã biết có thể đạt được.

$\mathsf{PPAD}$

Tất nhiên, một trong những câu hỏi mở chính mà CHKPRR để lại là xây dựng hàm băm có thể tương quan cho mối quan hệ sumcheck theo giả định dựa trên mạng tinh thể tốt hơn - lý tưởng nhất là giả định Lwe. Điều này có vẻ không tầm thường, nhưng không hợp lý, vì đây là một công việc rất gần đây, nơi đã đạt được nhiều kết quả đáng ngạc nhiên cho các mối quan hệ thú vị khác.