PPAD e Quantum

Oggi a New York e in tutto il mondo viene celebrato il compleanno di Christos Papadimitriou. Questa è una buona opportunità per chiedere informazioni sulle relazioni tra la classe di complessità PPAD di Christos (e le sue altre classi correlate) e i computer quantistici. Nel suo celebre articolo del 1994 Papadimitriou ha introdotto e studiato sistematicamente diverse importanti classi di complessità come PLS, PPAD e altre. (L'articolo di Papadimitriou si basava su alcuni documenti precedenti e, in particolare, come notato da Aviad, PLS fu introdotto da Johnson-Papadimitriou-Yannakakis nel 1988).

La mia domanda principale è:

I computer quantistici offrono qualche vantaggio per problemi in ? o in ? o in ? eccetera...$PPAD$$PLS$$PLS \cap PPAD$

Un'altra domanda è se ci sono alcuni analoghi quantistici di PLS e PPAD e altre classi di Christos.

Prendo atto che in questi articoli sono stati rilevati una recente notevole connessione tra PPAD e crittografia: sulla durezza crittografica di trovare un equilibrio di Nash di N Bitansky, O Paneth, A Rosen e La durezza PPAD può essere basata su ipotesi crittografiche standard? di A Rosen, G Segev, I Shahaf e Trovare un equilibrio di Nash non è più facile che rompere Fiat-Shamir di Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum. Noto anche che secondo me le lezioni di Christos sono particolarmente vicine alla matematica e alle prove matematiche.

Aggiornamento: Ron Rothblum ha commentato (su FB) che i risultati di Choudhuri, Hubacek, Kamath, Pietrzak, Rosen e G. Rothblum implicano che il PPAD è plausibilmente al di là della potenza dei computer quantistici. (Sarò felice di vedere una risposta elaborata che la spieghi.)

Un altro commento: una bella domanda correlata è se trovare il sink in un unico orientamento singe $n$ -cube abbia un algoritmo quantico efficiente. (Penso che questo compito sia più facile di $PLS$ ma non sono sicuro di come sia correlato a $PPAD$ ) Questo è legato alla ricerca di un vantaggio quantico per $LP$ vedi https://cstheory.stackexchange.com / a / 767/712 .

Buon compleanno Christos!

Due risposte che ho imparato scrivendo un post sul blog su questa domanda

1. No : nelle varianti black-box, la complessità della query / comunicazione quantistica offre l'accelerazione quadratica di Grover, ma non di più. Come sottolinea Ron, ciò si estende alla complessità computazionale sotto ipotesi plausibili.

2. Forse : l'equilibrio di Nash è probabilmente il problema di punta delle "classi Christos". Qui, dare ai giocatori l'accesso all'entanglement quantico suggerisce un nuovo concetto di soluzione di "equilibrio quantico correlato" che generalizza l'equilibrio di Nash. La sua complessità è ancora aperta. Guarda questa fantastica carta di Alan Deckelbaum.

E una nota storica: il PLS è stato effettivamente introdotto da Johnson-Papadimitriou-Yannakakis nel 1988 .

$\mathsf{PPAD}$

A un livello elevato, CHKPRR crea una distribuzione su istanze di fine linea dove trovare una soluzione richiede:

• rompere la solidità del sistema di prova ottenuto applicando l'euristico Fiat-Shamir al famoso protocollo di controllo finale, oppure
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$, che funzionerebbe perfettamente in questa impostazione: il protocollo sumcheck . La conversione di una prova interattiva in una non interattiva (mantenendo la verificabilità e la compattezza del pubblico) è esattamente ciò che fa l'euristica Fiat-Shamir.

Istanziare Fiat-Shamir

L'euristico Fiat-Shamir è molto semplice: correggi alcune funzioni hash, inizia con una prova interattiva a moneta pubblica e sostituisci ogni messaggio casuale del verificatore con un hash dell'intera trascrizione finora. La domanda è quindi sotto quale proprietà della funzione hash possiamo dimostrare che il protocollo risultante è ancora valido (si noti che non può più essere statisticamente valido; la speranza è che rimanga valido dal punto di vista computazionale).

Prima di approfondire questo, lasciatemi rispondere al tuo commento:

Non capisco ancora 1. Certamente ci sono ipotesi sulla durezza crittografica che non si applicano nel caso quantistico. Cosa differenzi la "rottura di Fiat-Shamir" per il controllo qualità, diciamo "rottura della RSA".

La descrizione di alto livello che ho fornito dovrebbe chiarire, spero, che "rompere la Fiat-Shamir" e "rompere la RSA" non sono davvero problemi comparabili. RSA è un'ipotesi di durezza concreta e specifica e se è possibile fattorizzare numeri interi di grandi dimensioni, è possibile romperlo.

$\mathsf{PPAD}$della funzione hash sottostante. A livello intuitivo, questo non è ciò in cui i computer quantistici sono bravi, perché si tratta di un problema che non sembra necessariamente avere una struttura forte che potrebbe sfruttare (diversamente, ad esempio, da logaritmo discreto e RSA): le funzioni hash possono essere in genere molto "destrutturato".

In termini più concreti, ci sono due alternative naturali quando si sceglie una funzione hash per istanziare Fiat-Shamir:

L'approccio euristico, concretamente efficiente:

scegli la tua funzione hash preferita, per esempio, SHA-3. Ovviamente non abbiamo prove che l'istanza di Fiat-Shamir con SHA-3 ci dia un problema difficile; ma nemmeno sappiamo di alcun attacco non banale alla solidità dei sistemi di prova ottenuti applicando Fiat-Shamir con SHA-3 a un sistema di prova interattivo non degenerato. Questo si estende anche all'impostazione quantistica: non conosciamo alcun attacco quantico che faccia meglio del solito speedup quadratico dato dall'algoritmo di Grover. Dopo decenni di tentativi di crittografia, il consenso nella comunità crittografica è che l'algoritmo quantistico non sembra , per quanto possiamo vedere, fornire accelerazioni superpolinomiali per primitive "stile Minicrypt" (funzioni hash, PRG, blocchi di cifre, ecc.) Senza qualche forte struttura algebrica sottostante - come SHA-2, SHA-3, AES, ecc.

L'approccio alla sicurezza dimostrabile:

qui l'obiettivo è quello di isolare una proprietà pulita della funzione hash che produce il suono euristico Fiat-Shamir e di costruire una funzione hash che soddisfi queste proprietà in base a ipotesi crittografiche plausibili.

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

La domanda è ora come costruire funzioni hash di correlazione-intrattabili per le relazioni a cui teniamo - e in questo specifico contesto, per le relazioni associate al protocollo sumcheck. Qui, una recente linea di lavoro (essenzialmente 1 , 2 , 3 , 4 , 5 , 6 ) ha dimostrato che, per molte relazioni di interesse, si possono effettivamente costruire funzioni di hash intrattabili di correlazione sotto ipotesi basate su reticoli.

$\mathsf{PPAD}$

In realtà non siamo esattamente lì. Il recente risultato rivoluzionario di Peikert e Shiehian (l'ultimo documento nell'elenco che ho dato in precedenza) ha mostrato che per relazioni importanti, possiamo costruire una funzione hash intrattabile con correlazione in problemi reticolari ben consolidati, come l'apprendimento con errore o il problema SIS ; tuttavia, la relazione di controllo finale non viene catturata da questo lavoro.

Ciononostante, CHKPRR, basandosi su questo lavoro, ha dimostrato che si può costruire una funzione hash intrattabile di correlazione partendo dal presupposto che una qualsiasi delle molte costruzioni concrete di schemi di crittografia completamente omomorfi abbia una sicurezza circolare quasi ottimale contro attacchi di tempo superpolinomiali.

Analizziamo questo assunto:

• La crittografia completamente omomorfa (FHE) è una primitiva che sappiamo costruire sotto una varietà di ipotesi reticolari. Se lo schema deve solo valutare circuiti di dimensioni limitate, sappiamo infatti come costruirlo secondo l'apprendimento standard con ipotesi di errore.
• La sicurezza circolare afferma che l'FHE dovrebbe essere difficile da interrompere anche quando viene utilizzato per crittografare la propria chiave segreta. Questo è più forte della solita nozione di sicurezza, che non consente i messaggi dipendenti dalla chiave. È un grosso problema aperto di vecchia data costruire un FHE sicuro circolare secondo un presupposto reticolare standard, come LWE. Tuttavia, un decennio dopo la prima costruzione di FHE di Gentry e molti tentativi di crittoanalisi, la sicurezza circolare dei candidati FHE affermati è diventata essa stessa un presupposto relativamente sicuro (anche contro i computer quantistici), e non conosciamo alcun attacco che sfrutti la chiave crittografie indipendenti in modo non banale.
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• Infine, vogliamo che tutto quanto sopra rimanga valido se concediamo un tempo di esecuzione superpolinomiale all'attaccante. Ciò è ancora in linea con ciò che gli algoritmi noti possono raggiungere.

$\mathsf{PPAD}$

Naturalmente, una delle principali domande aperte lasciate da CHKPRR è quella di costruire una funzione hash di correlazione intrattabile per la relazione di controllo finale sotto una migliore ipotesi basata sul reticolo - idealmente, l'assunzione di LWE. Questo sembra non banale, ma non plausibile, dato che si tratta di una linea di lavoro molto recente, in cui sono già stati raggiunti molti risultati sorprendenti per altre relazioni interessanti.