PPAD와 양자

오늘날 뉴욕 과 전세계에서 Christos Papadimitriou의 생일이 축하됩니다. 이것은 Christos의 복잡성 클래스 PPAD (및 그의 다른 관련 클래스)와 양자 컴퓨터 사이의 관계에 대해 질문 할 수있는 좋은 기회입니다. 그의 유명한 1994 년 논문에서 Papadimitriou는 PLS, PPAD 등과 같은 몇 가지 중요한 복잡성 클래스를 도입하고 체계적으로 연구했습니다. (Papadimitriou의 논문은 일부 초기 논문에 의존했으며, 특히 Aviad가 지적했듯이 PLS는 1988 년 Johnson-Papadimitriou-Yannakakis에 의해 소개되었습니다.)

내 주요 질문은 다음과 같습니다

양자 컴퓨터는 $PPAD$ 문제에 대해 어떤 이점을 제공 합니까? 또는 $PLS$ ? 또는 $PLS \cap PPAD$ ? 기타...

또 다른 질문은 PLS와 PPAD의 양자 아날로그와 Christos의 다른 클래스가 있는지 여부입니다.

: 나는 암호화에 PPAD의 최근 현저한 연결이 논문에서 발견 된 점에 유의 내쉬 균형 찾는 암호화 경도에 N Bitansky, O Paneth하는 로젠과에 의해 캔 PPAD 경도 표준 암호화 가정을 기반으로? A Rosen, G Segev, I Shahaf, 그리고 내쉬 평형을 찾는 것은 Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum의 피아트 샤미르 를 깨뜨리는 것보다 쉽지 않습니다. 또한 크리스토스의 수업은 특히 수학과 수학 증명에 가깝습니다.

업데이트 : Ron Rothblum은 Choudhuri, Hubacek, Kamath, Pietrzak, Rosen 및 G. Rothblum의 결과는 PPAD가 양자 컴퓨터의 힘을 넘어 설 가능성이 있음을 암시한다고 FB를 통해 언급했습니다. (나는 그것을 설명하는 정교한 답변을 보게되어 기쁩니다.)

또 다른 의견 : 관련 좋은 질문은 $n$ 큐브 의 독특한 단일 방향으로 싱크를 찾는 것이 효율적인 양자 알고리즘을 가지고 있는지입니다. (이 작업은 $PLS$ 보다 쉽다고 생각 하지만 그것이 $PPAD$ 와 어떻게 관련되어 있는지 잘 모르겠습니다 .) 이것은 $LP$ 대한 양자 우위를 찾는 퀘스트와 관련이 있습니다 https://cstheory.stackexchange.com / A / 712분의 767 .

생일 축하해, 크리스토스!

이 질문에 대한 블로그 게시물 을 작성하면서 배운 두 가지 답변

1. 아니요 : 블랙 박스 변형에서 양자 쿼리 / 통신 복잡도는 Grover 2 차 속도 향상을 제공하지만 그 이상은 아닙니다. Ron이 지적했듯이, 이는 그럴듯한 가정 하에서 계산 복잡성까지 확장됩니다.

2. 아마도 : 내쉬 평형은 아마도 "크리스토스 클래스"의 주력 문제 일 것입니다. 여기에서 플레이어에게 양자 얽힘에 대한 액세스를 제공하면 내쉬 평형을 일반화하는 "양자 상관 평형"이라는 새로운 솔루션 개념이 제안됩니다. 그 복잡성은 여전히 ​​열려 있습니다. 참조 이 멋진 종이 앨런 Deckelbaum으로합니다.

그리고 한 역사적 메모 : PLS는 실제로 1988 년 Johnson-Papadimitriou-Yannakakis에 의해 소개되었습니다 .

$\mathsf{PPAD}$

높은 수준에서 CHKPRR은 솔루션을 찾는 데 다음 중 하나가 필요한 라인 끝 인스턴스에 대한 배포를 구축합니다.

• 유명한 Sumcheck 프로토콜에 Fiat-Shamir 휴리스틱을 적용하여 얻은 증명 시스템의 건전성을 깨거나
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$이 설정에 완벽하게 잘 작동 것이다 다음 sumcheck 프로토콜을 . 대화식 증명을 비 대화식으로 변환하는 것 (공개 검증 가능성 및 압축 유지)은 Fiat-Shamir 휴리스틱이하는 것과 정확히 같습니다.

피아트 샤미르 인스턴스화

Fiat-Shamir 휴리스틱은 매우 간단합니다. 일부 해시 함수를 수정하고, 공개 코인 대화식 증명으로 시작하고, 검증 자의 각 임의 메시지를 지금까지 전체 대본의 해시로 바꿉니다. 질문은 해시 함수의 어떤 속성 하에서 우리는 결과 프로토콜이 여전히 건전하다는 것을 증명할 수 있습니다 (더 이상 통계적으로 건전 할 수는 없으며 계산적으로 건전하게 유지되기를 희망합니다).

이에 대해 자세히 설명하기 전에 귀하의 의견을 말씀 드리겠습니다.

나는 여전히 1을 이해하지 못한다. 분명히 양자 경우에는 적용되지 않는 암호 경도 가정이있다. QC에서 "피아트 샤미르 속보"를 어렵게 만드는 것은 "RSA 속보"라고 말합니다.

내가 준 높은 수준의 설명은 "피아트 샤미르를 깨는 것"과 "RSA를 깨는 것"이 ​​실제로 비교할 수있는 문제가 아니라는 점을 분명히해야한다. RSA는 구체적이고 구체적인 경도 가정이며, 큰 정수를 고려할 수 있으면 분해 할 수 있습니다.

$\mathsf{PPAD}$기본 해시 함수 직관적 수준에서 이것은 양자 컴퓨터가 잘하는 것이 아닙니다. 왜냐하면 이것은 불연속 로그 및 RSA와 달리 반드시 악용 할 수있는 강력한 구조를 가지고 있지 않은 문제이기 때문입니다. 해시 함수는 일반적으로 가능합니다 매우 "구조화되지 않은".

좀 더 구체적으로 말하면, Fiat-Shamir를 인스턴스화하기 위해 해시 함수를 선택할 때 두 가지 자연스러운 대안이 있습니다.

휴리스틱하고 구체적으로 효율적인 접근 방식 :

SHA-3과 같이 좋아하는 해시 함수를 선택하십시오. 물론 SHA-3으로 Fiat-Shamir를 인스턴스화하면 어려운 문제가 발생한다는 증거는 없습니다. 그러나 SHA-3과 Fiat-Shamir를 비 변형 대화 형 증명 시스템에 적용하여 얻은 증명 시스템의 건전성에 대한 사소한 공격에 대해서는 아는 바가 없습니다. 이것은 양자 설정에도 적용됩니다 : 우리는 Grover 알고리즘에 의해 주어진 일반적인 2 차 속도 향상보다 더 나은 양자 공격에 대해 알지 못합니다. 수십 년간의 암호화 분석 시도 후, 암호화 커뮤니티의 합의는 우리가 볼 수 있는 한 양자 알고리즘이 "미니 암호화 스타일"프리미티브 (해시 함수, PRG, 블록 암호 등)에 대한 초 다항식 속도 향상을 제공 하지 않는 것으로 보인다는 것입니다 . SHA-2, SHA-3, AES 등과 같은 강력한 기본 대수 구조

입증 가능한 보안 접근 방식 :

여기서 목표는 Fiat-Shamir를 휴리스틱 사운드로 만드는 해시 함수의 깨끗한 속성을 분리하고 그럴듯한 암호화 가정 하에서이 속성을 만족시키는 해시 함수를 만드는 것입니다.

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

문제는 이제 우리가 관심을 가지는 관계와 sumcheck 프로토콜과 관련된 관계에 대해 상관 관계가없는 해시 함수를 작성하는 방법입니다. 여기서 최근의 작업 라인 (본질적으로 1 , 2 , 3 , 4 , 5 , 6 )은 많은 관심 관계에 대해 격자 기반 가정 하에서 상관 관계가없는 해시 함수를 실제로 만들 수 있음을 보여주었습니다.

$\mathsf{PPAD}$

실제로 우리는 정확히 거기에 없습니다. Peikert와 Shiehian의 최근 획기적인 결과 (이전에 제시 한 목록의 마지막 논문)는 중요한 관계에 대해 오류 학습이나 SIS 문제와 같은 잘 알려진 격자 문제에서 상관 관계가없는 해시 함수를 구축 할 수 있음을 보여주었습니다. ; 그러나이 작업에서는 요약 검사 관계를 캡처하지 않습니다.

그럼에도 불구하고 CHKPRR 은이 작업 을 기반으로 완전 동형 암호화 체계의 많은 구체적인 구성 중 하나가 초 다항식 시간 공격에 대해 준 최적 순환 보안을 갖는다는 가정하에 상관 관계가없는 해시 함수를 구축 할 수 있음을 보여주었습니다.

이 가정을 세분화하십시오.

• 완전 동형 암호화 (FHE)는 다양한 격자 가정에서 구축하는 방법을 알고있는 기본 요소입니다. 체계가 한정된 크기의 회로 만 평가해야하는 경우 실제로 오류 가정을 사용하여 표준 학습에서 회로를 작성하는 방법을 알고 있습니다.
• 순환 보안은 FHE가 자체 비밀 키를 암호화하는 데 사용 되더라도 깨지기 어려워 야한다고 말합니다. 이것은 키 의존 메시지를 허용하지 않는 일반적인 보안 개념보다 강력합니다. LWE와 같은 표준 격자 가정 하에서 순환 보안 FHE를 구축하는 것은 중요하고 오래 지속되는 개방형 문제입니다. 여전히 Gentry의 첫 번째 FHE 구축과 많은 암호화 분석 시도 이후 10 년이 지난 기존의 FHE 후보의 순환 보안 자체는 비교적 안전한 것으로 가정되었으며 (양자 컴퓨터에 대해서도), 우리는 키를 악용하는 공격에 대해 알지 못합니다. 사소한 방식으로 독립적 인 암호화.
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• 마지막으로, 우리는 공격자에게 초 다항식 실행 시간을 허용하면 위의 모든 사항을 계속 유지하기를 원합니다. 이것은 여전히 ​​알려진 알고리즘이 달성 할 수있는 것과 일치합니다.

$\mathsf{PPAD}$

물론 CHKPRR이 남긴 주요 공개 질문 중 하나는 더 나은 격자 기반 가정, 이상적으로는 LWE 가정 하에서 섬 체크 관계에 대해 상관 관계가없는 해시 함수를 작성하는 것입니다. 이것은 최근의 작업 라인이라는 점을 감안할 때 사소하지는 않지만 믿을 수없는 것처럼 보이지만 다른 흥미로운 관계에 대해 많은 놀라운 결과가 이미 달성되었습니다.