Classi di complessità per prove di conoscenza

Spinto da una domanda che Greg Kuperberg mi ha posto, mi chiedo se ci sono articoli che definiscono e studiano classi di complessità di lingue che ammettono vari tipi di prove della conoscenza . Classi come SZK e NISZK sono estremamente naturali dal punto di vista della complessità, anche se ci siamo dimenticati del tutto della conoscenza zero e li abbiamo appena definiti in termini di problemi di promessa completi. Al contrario, su Google "prove di conoscenza", sono stato sorpreso di non trovare alcun documento o appunti di lezione che discutessero di questo delizioso concetto in termini di classi di complessità.

Per fare alcuni esempi: cosa si può dire della sottoclasse di SZK∩MA∩coMA composta da tutte le lingue L che ammettono prove statistiche a conoscenza zero per x∈L o x∉L, che sono anche prove della conoscenza di un testimone che dimostra x ∈L o x∉L? Certamente questa classe contiene cose come il log discreto, ma non abbiamo potuto provare che contenga isomorfismo grafico senza mettere GI in coMA. La classe comprende tutto SZK∩MA∩coMA? Ci si potrebbe anche chiedere: se esistono funzioni a senso unico, allora ogni linguaggio L∈MA∩coMA ammette una prova computazionale a conoscenza zero, che è anche una prova della conoscenza di un testimone che dimostra x∈L o x∉L? (Mi scuso se una o entrambe queste hanno risposte banali --- Sto solo cercando di illustrare il tipo di cose che si potrebbero fare chiedi, una volta deciso di guardare PoK in termini di complessità teorica.)

complexity-classes cr.crypto-security zero-knowledge

— Scott Aaronson
fonte

Domanda interessante! Queste domande non sono molto simili alla domanda di

rispetto a

? In realtà, le tue domande su

sembra essere quasi esattamente (o, a) la versione randomizzato di

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

M A \cap c o M A

$MA \cap coMA$

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

— Joshua Grochow,

Dove entra

nella storia? Qualcuno ha dimostrato che caratterizza le prove della conoscenza o qualcosa del genere?

D P

$DP$

— Scott Aaronson,

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

M A \cap c o M A

$MA \cap coMA$

Questa non è una risposta effettiva; Sto solo condividendo alcuni risultati (che non rientrano in un commento).

Goldreich, Micali e Wigderson ( J. ACM, 1991 ) hanno dimostrato che ogni lingua in NP ha una prova a conoscenza zero dell'appartenenza alla lingua (supponendo che esistano OWF). A tal fine, hanno presentato una prova ZK per la colorabilità del grafico 3. Successivamente, Bellare e Goldreich ( CRYPTO '92 ) hanno dimostrato che questa dimostrazione ZK è anche una dimostrazione di conoscenza ZK (PoK). Usando le riduzioni di Levin (vedi nota 12 del precedente documento), Ogni lingua in NP ha un ZK PoK (supponendo che esistano OWF).
Itoh e Sakurai ( ASIACRYPT '91 ) hanno un articolo sui risultati teorici della complessità riguardanti le relazioni che hanno ZK PoK a ciclo costante.
Questo è un risultato apparentemente non correlato, anche se non posso fare a meno di notare alcune somiglianze. In qualche modo sento (non qualcosa di formale) che la prova di appartenenza e la prova di conoscenza è simile alla decisione rispetto alla ricerca . Forse in questo senso, si può anche citare il lavoro di Bellare e Goldwasser ( J. Computing, 1994 ), dove dimostrano (condizionatamente) che non tutte le lingue in NP hanno una riduzione dalla ricerca alla decisione.

Alcuni problemi aperti (forse risolti, ma non di cui io sia a conoscenza) riguardo agli aspetti teorici della complessità dei PoK:

Varie misure di efficienza per ZK PoK di una relazione specifica con una certa complessità (ad esempio, una relazione in AM):
- Complessità comunicativa della prova
- Complessità computazionale delle parti
- Conoscenza della conoscenza (ovvero, il rapporto tra il tempo di esecuzione (previsto) del simulatore e il tempo di esecuzione del verificatore nell'interazione reale)
La complessità delle relazioni che ammettono ZK PoK con alcune limitazioni, dicono complessità circolari limitate (Itoh e Sakurai considerano solo ZK PoK a ciclo costante). Un altro esempio è quando il prover è il tempo polinomiale: non può usare la riduzione alla 3-colorabilità, poiché non può risolvere le relazioni NP-complete. Tutti i problemi NP-completi hanno una riduzione Cook dalla ricerca alla decisione. Tuttavia, dal risultato di Bellare-Goldwasser sopra citato, tali riduzioni non esistono necessariamente per tutte le lingue / relazioni NP.
Altri risultati interessanti riguardanti i PoK che non sono necessariamente ZK, ma la cui complessità di conoscenza è altrimenti limitata. Vedi Goldreich e Petrank ( Comput. Complex., 1999 ).

Prima di concludere, permettetemi di menzionare che in realtà ci sono diverse definizioni per PoK, alcune delle quali sono citate di seguito:

1) Primi tentativi: Feige, Fiat e Shamir ( J. Cryptology, 1988 ), Tompa e Woll ( FOCS 1987 ) e Feige e Shamir ( STOC 1990 ).

2) Standard di fatto: Bellare e Goldreich ( CRYPTO '92 ). Questo documento esamina i primi tentativi di definire PoK, osserva le loro carenze e suggerisce una nuova definizione che può essere considerata come "la" definizione di PoK. Questa definizione ha una natura "black box" (l'estrattore della conoscenza ha accesso "black box" al prover cheat).

3) PoK conservativi: definiti da Halevi e Micali ( ePrint Archive: Report 1998/015 ), questa definizione aumenta la definizione precedente per garantire la fattibilità del prover. Fornisce anche una definizione per la conoscenza di un singolo prover, il che è utile quando si risponde alla domanda "cosa significa dire che P conosce qualcosa?"

4) Argomenti della conoscenza con estrazione senza scatola nera: come menzionato sopra, la definizione standard di PoK è scatola nera, il che rende impossibile avere prove (o argomenti) di conoscenza a zero conoscenza ripristinabili per linguaggi non banali. Barak et al. ( FOCS 2001 ) forniscono una definizione non black-box, che si basa (ma differisce da) dalla definizione di Feige e Shamir (STOC 1990) citata sopra.

— MS Dousti
fonte