PPAD e Quantum

20

Hoje em Nova York e em todo o mundo é comemorado o aniversário de Christos Papadimitriou. Esta é uma boa oportunidade para perguntar sobre as relações entre a classe de complexidade PPAD de Christos (e outras classes relacionadas) e os computadores quânticos. Em seu célebre artigo de 1994, Papadimitriou introduziu e estudou sistematicamente várias classes importantes de complexidade, como PLS, PPAD e outras. (O artigo de Papadimitriou se baseou em alguns artigos anteriores e, em particular, como observou Aviad, o PLS foi introduzido por Johnson-Papadimitriou-Yannakakis em 1988.)

Minha pergunta principal é:

Os computadores quânticos oferecem alguma vantagem para problemas no ? ou no ? ou em ? etc ...PPADPLSPLSPPAD

Outra questão é se existem alguns análogos quânticos de PLS e PPAD e outras classes de Christos.

Observo que uma conexão notável recente do PPAD com a criptografia foi encontrada nesses artigos: Sobre a dureza criptográfica de encontrar um equilíbrio de Nash por N Bitansky, O Paneth, A Rosen e A dureza do PPAD pode se basear em suposições criptográficas padrão? por A Rosen, G Segev, I Shahaf e Encontrar um equilíbrio de Nash não é mais fácil do que quebrar Fiat-Shamir por Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen e Guy Rothblum. Noto também que, na minha opinião, as aulas de Christos são especialmente próximas da matemática e das provas matemáticas.

Atualização: Ron Rothblum comentou (sobre o FB) que os resultados de Choudhuri, Hubacek, Kamath, Pietrzak, Rosen e G. Rothblum implicam que o PPAD está plausivelmente além do poder dos computadores quânticos. (Ficarei feliz em ver uma resposta elaborada explicando isso.)

Mais um comentário: Uma boa pergunta relacionada é se encontrar o coletor em uma orientação única do cubo possui um algoritmo quântico eficiente. (Acho que essa tarefa é mais fácil que o mas não tenho certeza de como ela está relacionada ao .) Isso está relacionado à busca de encontrar vantagens quânticas para o consulte https://cstheory.stackexchange.com/a/767/712 . nPLSPPADLP

insira a descrição da imagem aqui Feliz aniversário, Christos!

Gil Kalai
fonte
11
Eu o ajudei a perguntar ao Prof. Umesh V. Vazirani sobre esta questão no Papafest. Ele sente que esta é uma pergunta interessante, mas não tem resposta agora.
Rupei Xu 10/09/19
11
Em relação à Orientação de coletor exclusivo (USO), recentemente foi mostrado que ele reduz a um problema chamado Linha de fim de potencial exclusivo, que é (equivalente polinomialmente) a Linha de fim de medidor (EOML). Esses dois problemas estão em uma classe que é, de maneira geral, uma contraparte "suave" do PLS. Os resultados do CHKPRR também mostram como criar instâncias concretas do EOML e, portanto, do CLS. No entanto, como não se sabe se o EOML se reduz a USO, ainda é possível que o USO seja fácil para computadores quânticos. CLSPLSPPAD
Occams_Trimmer
Caro @Occams_Trimmer, há motivos para pensar que o USO é difícil para computadores clássicos? Por exemplo, está completo para algumas das aulas que você mencionou?
Gil Kalai
11
Não, não se sabe que esteja completo para nenhuma classe (até onde eu saiba). Como o USO é bastante baixo na hierarquia, é plausível que seja fácil no caso clássico também.
Occams_Trimmer

Respostas:

11

Duas respostas que aprendi enquanto escrevia um post sobre esta pergunta

  1. Não : nas variantes de caixa preta, a complexidade quântica de consulta / comunicação oferece a aceleração quadrática de Grover, mas não mais do que isso. Como Ron aponta, isso se estende à complexidade computacional sob suposições plausíveis.

  2. Talvez : o equilíbrio de Nash é sem dúvida o principal problema das "classes Christos". Aqui, dar aos jogadores acesso ao entrelaçamento quântico sugere um novo conceito de solução de "equilíbrio quântico correlacionado", que generaliza o equilíbrio de Nash. Sua complexidade ainda está aberta. Veja este artigo legal de Alan Deckelbaum.

E uma nota histórica: o PLS foi realmente introduzido por Johnson-Papadimitriou-Yannakakis em 1988 .

Aviad Rubinstein
fonte
11
Muito obrigado, Aviad! E bem-vindo ao site!
Gil Kalai
Bem-vindo Aviad! Sua resposta é excelente! Acabei de mudar minha parte para a parte do comentário (para evitar compartilhar as pontuações dos seus votos :)).
Rupei Xu 10/09/19
Eu ainda não entendo 1. Certamente existem suposições de dureza criptográfica que não se aplicam no caso quântico. O que torna mais difícil "quebrar o Fiat-Shamir" para o CQ, digamos "quebrar o RSA".
Gil Kalai
8

Tentarei explicar um pouco por que o CHKPRR mostra que é plausivelmente difícil para computadores quânticos.PPAD

Em um nível alto, o CHKPRR constrói uma distribuição em instâncias de final de linha em que encontrar uma solução exige:

  • quebrar a solidez do sistema de prova obtido aplicando a heurística Fiat-Shamir ao famoso protocolo de cheque, ou
  • resolvendo um problema -completoP

Intuitivamente, a redução começa em uma instância . A contagem requer um número exponencial de etapas polinomiais; os autores tornam essa contagem incrementalmente verificável , permitindo que o procedimento de contagem mantenha um estado atualizado após cada etapa, o que prova a exatidão da computação até o momento. Esse procedimento de contagem incrementalmente verificável é então usado para criar uma instância do problema relaxado da linha da pia-verificável, um problema promissor que pode ser reduzido ao total de problemas de pesquisa em .SATPPAD

Para instanciar essa idéia, o principal desafio técnico é apresentar uma maneira de tornar a contagem incrementalmente verificável: precisamos de uma prova curta e não interativa em cada etapa da computação, o que demonstra a correção da computação até o momento. Aqui, a não interatividade é a questão central; de fato, já conhecemos uma pequena prova interativa para demonstrar declarações no formato , em que é um grau baixo polinomial variável sobre um campo , que funcionaria perfeitamente nessa configuração: o protocolo de verificaçãoz{0,1}nf(z)=xfnF. Converter uma prova interativa em uma não interativa (mantendo a verificabilidade e a compactação do público) é exatamente o que a heurística Fiat-Shamir faz.

Instanciando Fiat-Shamir

A heurística Fiat-Shamir é muito simples: conserte alguma função de hash, comece com uma prova interativa de moeda pública e substitua cada mensagem aleatória do verificador por um hash de toda a transcrição até agora. A questão é, então, sob qual propriedade da função hash podemos provar que o protocolo resultante ainda é válido (observe que ele não pode mais ser estatisticamente correto; a esperança é que permaneça computacionalmente correto).

Antes de elaborar isso, deixe-me abordar seu comentário:

Eu ainda não entendo 1. Certamente existem suposições de dureza criptográfica que não se aplicam no caso quântico. O que torna mais difícil "quebrar o Fiat-Shamir" para o CQ, digamos "quebrar o RSA".

A descrição de alto nível que dei deve deixar claro, espero, que "quebrar o Fiat-Shamir" e "quebrar o RSA" não são problemas realmente comparáveis. O RSA é uma suposição específica de dureza concreta e, se você puder fatorar números inteiros grandes, poderá quebrá-lo.

Por outro lado, a dureza conjecturada de quebrar Fiat-Shamir é uma suposição muito mais genérica. Ao instanciar a heurística Fiat-Shamir, você escolhe uma opção concreta da função hash; mas é suficiente para o resultado de dureza do CHKPRR que exista alguma função de hash para a qual o Fiat-Shamir seja confiável. Quebrar o Fiat-Shamir com um computador quântico exigiria mostrar um ataque contra sua solidez para qualquer escolha possívelPPADda função hash subjacente. Em um nível intuitivo, não é nisso que os computadores quânticos são bons, porque esse é um problema que parece não ter necessariamente uma estrutura forte que possa ser explorada (ao contrário de, por exemplo, logaritmo discreto e RSA): as funções de hash podem ser tipicamente muito "não estruturado".

Em termos mais concretos, existem duas alternativas naturais ao escolher uma função de hash para instanciar o Fiat-Shamir:

A abordagem heurística, concretamente eficiente:

escolha sua função de hash favorita, digamos, SHA-3. Obviamente, não temos provas de que instanciar Fiat-Shamir com SHA-3 nos dê um problema difícil; mas também não conhecemos nenhum ataque não trivial à solidez dos sistemas de prova obtidos pela aplicação do Fiat-Shamir com SHA-3 a um sistema de prova interativo não degenerado. Isso também se estende à configuração quântica: não conhecemos nenhum ataque quântico que se comporte melhor do que a aceleração quadrática usual dada pelo algoritmo de Grover. Após décadas de tentativas de análise criptográfica, o consenso na comunidade criptográfica é que o algoritmo quântico não parece , até onde podemos ver, fornecer acelerações superpolinomiais para primitivas "estilo Minicrypt" (funções de hash, PRGs, cifras de bloco, etc.) sem alguma estrutura algébrica subjacente forte - como SHA-2, SHA-3, AES, etc.

A abordagem de segurança comprovável:

aqui, o objetivo é isolar uma propriedade limpa da função hash que produz o som heurístico de Fiat-Shamir e criar uma função hash que satisfaça essas propriedades sob suposições criptográficas plausíveis.

Essa abordagem de segurança comprovada tem uma história longa e densa em criptografia. Entre os candidatos mais promissores, está a noção de funções hash intratáveis ​​por correlação : uma função hash (com chave) é considerada intratável por correlação em relação a alguma relação se for computacionalmente inviável, dada uma chave aleatória , para encontrar um entrada tal queRKx(x,HK(x))R. Intuitivamente, isso captura o que queremos do Fiat-Shamir de uma maneira natural: em um sistema interativo de provas, onde a consistência é estatística, existem algumas "mensagens ruins de verificador" que são muito improváveis, mas que permitiriam ao fraudador provar. O que queremos é que o provador não possa calcular uma transcrição, de modo que, ao calcular a próxima mensagem do verificador usando hash, ele consiga encontrar uma dessas "mensagens ruins". Qualquer sistema de prova interactivo é, por conseguinte, associado a alguns esparso relação que contém os pares (transcritos, má mensagem para este transcrito), e Fiat-Shamir é instanciado quando o som com uma função hash que é correlação-intratável para esta relação esparso .RR

A questão agora é como criar funções hash intratáveis ​​por correlação para as relações com as quais nos preocupamos - e nesse contexto específico, para a relação associada ao protocolo de verificação de cheques. Aqui, uma linha de trabalho recente (essencialmente 1 , 2 , 3 , 4 , 5 , 6 ) mostrou que, para muitas relações de interesse, pode-se realmente construir funções hash intratáveis ​​de correlação sob suposições baseadas em treliça.

A criptografia baseada em treliça é a melhor aposta atual dos criptógrafos para a criação de primitivas criptográficas seguras para quantum. Para a maioria dos problemas em redes considerados pela comunidade de criptografia, nenhum algoritmo quântico melhor é conhecido do que o usual "algoritmo clássico + aceleração quadrática de Grover". Portanto, se pudéssemos basear uma função hash de correlação intratável para a relação de cheque em uma suposição de rede bem estabelecida, isso seria visto na comunidade criptográfica como uma indicação muito forte de que computadores quânticos nem sempre podem quebrar Fiat-Shamir (portanto, não podem resolver ).PPAD

Na verdade, não estamos exatamente lá. O recente resultado inovador de Peikert e Shiehian (o último artigo da lista que forneci anteriormente) mostrou que, para relações importantes, podemos construir uma função hash intratável por correlação sob problemas de rede bem estabelecidos, como aprender com erro ou o problema SIS ; no entanto, a relação de cheque não é capturada por este trabalho.

Ainda assim, o CHKPRR, com base neste trabalho, mostrou que é possível criar uma função hash intratável por correlação, pressupondo que qualquer uma das muitas construções concretas de esquemas de criptografia totalmente homomórficos possua segurança circular quase ideal contra ataques de tempo superpolinomiais.

Vamos quebrar essa suposição:

  • A criptografia totalmente homomórfica (FHE) é uma primitiva que sabemos como construir sob uma variedade de suposições de treliça. Se o esquema deve apenas avaliar circuitos de tamanho limitado, sabemos de fato como construí-lo sob o aprendizado padrão com suposição de erro.
  • A segurança circular afirma que o FHE deve ser difícil de quebrar, mesmo quando usado para criptografar sua própria chave secreta. Isso é mais forte que a noção de segurança usual, que não permite mensagens dependentes de chave. É um grande e antigo problema em aberto criar um FHE com segurança circular sob uma suposição de treliça padrão, como o LWE. Ainda assim, uma década após a primeira construção do FHE de Gentry e muitas tentativas de análise criptográfica, a segurança circular dos candidatos estabelecidos ao FHE tornou-se uma suposição relativamente segura (mesmo contra computadores quânticos), e não conhecemos nenhum ataque que explora chaves criptografias dependentes de maneira não trivial.
  • dureza quase ótima significa que todos os algoritmos polinomiais têm probabilidade exponencialmente baixa de interromper o esquema (ou seja, probabilidade , em que é o parâmetro de segurança). Observe que, embora possamos conhecer algoritmos de tempo exponencial não triviais, isso quebraria o esquema com probabilidade não negligenciável no tempo para alguns , não conhecemos nenhum algoritmo de tempo polinomial que quebre o esquema com uma probabilidade para alguns .2ω(logλ)λλ2cλc<12 - c λ c < 12cλc<1
  • Finalmente, queremos que tudo o que precede ainda se mantenha, se permitirmos tempo de execução superpolinomial ao invasor. Isso ainda está alinhado com o que algoritmos conhecidos podem alcançar.

Em suma, isso claramente não é uma suposição grande, altamente plausível e bem estabelecida. No entanto, ele cria uma conexão muito interessante: conecta a dureza de resolver com um computador quântico à questão de obter fortes melhorias não triviais sobre os algoritmos quânticos mais conhecidos para atacar primitivas criptográficas importantes baseadas em rede (criptografia totalmente homomórfica ), que é uma pergunta bem investigada.PPAD

Obviamente, uma das principais questões em aberto deixadas pelo CHKPRR é criar uma função hash intratável por correlação para a relação de cheque sob uma melhor suposição baseada em treliça - idealmente, a suposição LWE. Isso parece não trivial, mas não implausível, dado que essa é uma linha de trabalho muito recente, onde muitos resultados surpreendentes já foram alcançados para outras relações interessantes.

Geoffroy Couteau
fonte
11
Caro Geoffroy, muito obrigado pela sua ótima resposta!
Gil Kalai