Interaktivní kontrolní systém - Interactive proof system

Image
Obecné znázornění interaktivního zkušebního protokolu.

Ve výpočetní složitosti teorie , An interaktivní důkaz systém je abstraktní stroj , který modely výpočtu jako výměnu zpráv mezi dvěma stranami: a prover a ověřovatelem . Strany interagují výměnou zpráv, aby zjistily, zda daný řetězec patří do jazyka nebo ne. Prover má neomezené výpočetní zdroje, ale nelze mu důvěřovat, zatímco ověřovatel má omezenou výpočetní sílu, ale předpokládá se, že je vždy upřímný. Zprávy jsou odesílány mezi ověřovatelem a proverátorem, dokud ověřovatel neodpoví na problém a sám se „nepřesvědčí“, že je správný.

Všechny interaktivní kontrolní systémy mají dva požadavky:

  • Úplnost : pokud je tvrzení pravdivé, může být poctivý ověřovatel (tj. Ten, který správně dodržuje protokol) o této skutečnosti přesvědčen nedůvěryhodným ověřovatelem.
  • Zdraví : pokud je tvrzení nepravdivé, žádný prokazatel, i když se neriadí protokolem, nemůže přesvědčit poctivého ověřovatele, že je pravdivý, s výjimkou malé pravděpodobnosti .

Specifická povaha systému, a tedy i třída složitosti jazyků, které dokáže rozpoznat, závisí na tom, jaké hranice jsou kladeny na ověřovatele, a na tom, jaké schopnosti má - například většina interaktivních důkazních systémů závisí kriticky na schopnost ověřovatele provádět náhodná rozhodnutí. Záleží také na povaze vyměňovaných zpráv - kolik a co mohou obsahovat. Bylo zjištěno, že interaktivní kontrolní systémy mají některé důležité důsledky pro tradiční třídy složitosti definované pomocí jediného stroje. Hlavní třídy složitosti popisující interaktivní kontrolní systémy jsou AM a IP .

NP

Třídu složitosti NP lze považovat za velmi jednoduchý kontrolní systém. V tomto systému je ověřovatel deterministický stroj s polynomickým časem ( stroj P ). Protokol je:

  • Prover se podívá na vstup a pomocí své neomezené síly vypočítá řešení a vrátí certifikát s polynomiální velikostí.
  • Ověřovatel ověří platnost certifikátu v deterministickém polynomiálním čase. Pokud je platný, přijímá; jinak to odmítne.

V případě, že existuje platný osvědčení o důkazu, je vystavovatel vždy schopen ověřovatele přijmout tak, že mu tento certifikát dá. V případě, že neexistuje žádný platný důkazní certifikát, vstup není v jazyce a žádný prover, ať je jakkoli škodlivý, nemůže ověřovatele přesvědčit o opaku, protože jakýkoli důkazní certifikát bude odmítnut.

Protokoly Arthur – Merlin a Merlin – Arthur

Ačkoli lze NP považovat za použití interakce, až v roce 1985 byla koncepce výpočtu prostřednictvím interakce koncipována (v kontextu teorie složitosti) dvěma nezávislými skupinami výzkumníků. Jeden přístup, který předložil László Babai , který publikoval „Trading group theory for randomness“, definoval hierarchii tříd Arthur – Merlin ( AM ). V této prezentaci je Arthur (ověřovatel) pravděpodobnostní stroj v polynomiálním čase, zatímco Merlin (prover) má neomezené zdroje.

Zejména třída MA je jednoduché zobecnění výše uvedené NP interakce, ve které je ověřovatel pravděpodobnostní místo deterministický. Namísto požadavku, aby ověřovatel vždy přijímal platné certifikáty a odmítal neplatné certifikáty, je také shovívavější:

  • Úplnost: pokud je řetězec v jazyce, musí být vystavovatel schopen předat certifikát, který ověřovatel přijme s pravděpodobností nejméně 2/3 (v závislosti na náhodných možnostech ověřovatele).
  • Zdravost: pokud řetězec není v jazyce, nebude žádný prover, ať už škodlivý, přesvědčit ověřovatele, aby přijal řetězec s pravděpodobností vyšší než 1/3.

Tento stroj je potenciálně výkonnější než běžný protokol interakce NP a ověřování certifikátů není o nic méně praktické, protože algoritmy BPP jsou považovány za abstrahující praktický výpočet (viz BPP ).

Protokol o veřejných mincích versus soukromý protokol o mincích

Ve veřejném protokolu o mincích jsou náhodné volby provedené ověřovatelem zveřejněny. Zůstávají soukromé v soukromém mincovním protokolu.

Na stejné konferenci, kde Babai definoval svůj kontrolní systém pro MA , publikovali Shafi Goldwasser , Silvio Micali a Charles Rackoff příspěvek definující interaktivní kontrolní systém IP [ f ( n )]. To má stejné stroje jako protokol MA , kromě toho, že pro vstup velikosti n jsou povolena f ( n ) kola . V každém kole ověřovatel provede výpočet a předá zprávu ověřovateli a ověřovatel provede výpočet a předá informace zpět ověřovateli. Na konci musí ověřovatel učinit rozhodnutí. Například v protokolu IP [3] by sekvence byla VPVPVPV, kde V je tah ověřovatele a P je testovací tah.

V protokolech Arthur – Merlin definoval Babai podobnou třídu AM [ f ( n )], která umožňovala f ( n ) kol, ale dal na stroj jednu podmínku navíc: ověřovatel musí ukázat proverovi všechny náhodné bity, které používá ve svém výpočet. Výsledkem je, že ověřovatel nemůže nic „skrýt“ před provokátorem, protože prover je dostatečně výkonný, aby simuloval vše, co ověřovatel dělá, pokud ví, jaké náhodné bity použil. Toto se nazývá veřejný protokol o mincích , protože náhodné bity („coin flips“) jsou viditelné pro oba stroje. Přístup IP se naopak nazývá protokol soukromých mincí .

Zásadním problémem veřejných mincí je, že pokud si prověrka přeje zlomyslně přesvědčit ověřovatele, aby přijal řetězec, který není v daném jazyce, zdá se, že by ověřovatel mohl zmařit jeho plány, pokud by před ním mohl skrýt svůj vnitřní stav. To byla primární motivace při definování IP proof systémů.

V roce 1986 Goldwasser a Sipser , možná překvapivě, ukázali, že schopnost ověřovatele skrýt převrácení mincí před proverátorem je koneckonců málo dobrá, protože veřejný mincový protokol Arthur – Merlin s pouhými dvěma dalšími koly dokáže rozpoznat všechny stejné jazyky. Výsledkem je, že protokoly veřejných a soukromých mincí jsou zhruba rovnocenné. Ve skutečnosti, jak ukazuje Babai v roce 1988, AM [ k ] = AM pro všechny konstanty k , takže IP [ k ] nemají oproti AM žádnou výhodu .

Chcete-li demonstrovat sílu těchto tříd, zvažte problém izomorfismu grafu , problém určení, zda je možné permutovat vrcholy jednoho grafu tak, aby byl identický s jiným grafem. Tento problém je v NP , protože důkazní certifikát je permutace, díky níž jsou grafy stejné. Ukazuje se, že doplněk problému izomorfismu grafu, problém co- NP, o kterém není známo, že je v NP , má algoritmus AM a nejlepší způsob, jak to vidět, je pomocí soukromého algoritmu coinů.

IP

Soukromé mince nemusí být užitečné, ale více kol interakce je užitečných. Pokud dovolíme pravděpodobnostnímu ověřovacímu stroji a všemocnému proverovi interagovat s polynomiálním počtem nábojů, dostaneme třídu problémů zvanou IP . V roce 1992 odhalil Adi Shamir v jednom z ústředních výsledků teorie složitosti, že IP se rovná PSPACE , třídě problémů řešitelných běžným deterministickým Turingovým strojem v polynomiálním prostoru.

QIP

Pokud necháme prvky systému používat kvantový výpočet , systém se nazývá kvantový interaktivní důkazní systém a odpovídající třída složitosti se nazývá QIP . Řada výsledků vyvrcholila v roce 2010 průlomem, že QIP = PSPACE .

Nulové znalosti

Systémy interaktivního důkazu mohou nejen vyřešit problémy, o nichž se v NP nevěří , ale za předpokladu existence jednosměrných funkcí může prover přesvědčit ověřovatele řešení, aniž by ověřovateli poskytl informace o řešení. To je důležité, když ověřovateli nelze důvěřovat s úplným řešením. Zpočátku se zdá nemožné, aby ověřovatel mohl být přesvědčen, že existuje řešení, když ověřovatel neviděl certifikát, ale takové důkazy, známé jako důkazy s nulovou znalostí, jsou ve skutečnosti považovány za existující pro všechny problémy v NP a jsou cenné v kryptografie . Důkazy o nulových znalostech byly poprvé zmíněny v původním dokumentu o IP z roku 1985 , autori Goldwasser, Micali a Rackoff, ale rozsah jejich síly ukázali Oded Goldreich , Silvio Micali a Avi Wigderson .

MIP

Jedním z cílů designérů IP bylo vytvořit co nejsilnější možný systém interaktivního testování a na první pohled to vypadá, že jej nelze zvýšit, aniž by byl ověřovatel výkonnější a nepraktičtější. Goldwasser a kol. překonali to v roce 1988 „Interaktivní důkazy více proverů: Jak odstranit předpoklady neřešitelnosti“, které definují variantu IP nazvanou MIP, ve které existují dvě nezávislá proverování. Poté, co jim ověřovatel začal posílat zprávy, nemohou oba poskytovatelé komunikovat. Stejně jako je snazší zjistit, zda zločinec klame, pokud jsou spolu s jeho partnerem vyslýcháni v oddělených místnostech, je podstatně snazší odhalit škodlivého dokazovatele, který se snaží přimět ověřovatele, aby přijal řetězec, který není v jazyce, pokud existuje jiný prokazatel, zkontrolovat s.

Ve skutečnosti je to tak užitečné, že Babai, Fortnow a Lund dokázali ukázat, že MIP = NEXPTIME , třída všech problémů řešitelných nedeterministickým strojem v exponenciálním čase , velmi velká třída. NEXPTIME obsahuje PSPACE a předpokládá se, že striktně obsahuje PSPACE. Přidání konstantního počtu dalších proverů nad dvě neumožňuje rozpoznání dalších jazyků. Tento výsledek připravil cestu pro oslavovanou teorém o PCP , kterou lze považovat za „zmenšenou“ verzi této věty.

MIP má také užitečnou vlastnost, že lze popsat důkazy nulových znalostí pro každý jazyk v NP bez předpokladu jednosměrných funkcí, které musí IP dělat. To má vliv na návrh prokazatelně nerozbitných kryptografických algoritmů. Kromě toho MIP protokol dokáže rozpoznat všechny jazyky v OV jen konstantní počet kol, a když se přidá třetina prover, může rozpoznat všechny jazyky v NEXPTIME v konstantním počtu kol, opět ukazuje svou moc nad IP .

Je známo, že pro jakoukoli konstantu k lze systém MIP s k provers a polynomiálně mnoho kol proměnit v ekvivalentní systém pouze s 2 provers a konstantním počtem ran.

PCP

Zatímco designéři IP zvažovali zobecnění interaktivních důkazních systémů Babai, ostatní uvažovali o omezeních. Velmi užitečným interaktivním kontrolním systémem je PCP ( f ( n ), g ( n )), což je omezení MA, kde Arthur může používat pouze f ( n ) náhodné bity a může zkoumat pouze g ( n ) bitů zkušebního certifikátu zaslané Merlinem (v zásadě pomocí náhodného přístupu ).

O různých třídách PCP existuje řada snadno prokazatelných výsledků . , třída strojů s polynomiálním časem bez náhodnosti, ale s přístupem k certifikátu, je pouze NP . , třída strojů s polynomiálním časem s přístupem k polynomiálně mnoha náhodným bitům je co- RP . Prvním hlavním výsledkem Arory a Safry bylo, že PCP (log, log) = NP ; Jinak řečeno, pokud je ověřovatel v protokolu NP omezen tak, aby si prohlížel pouze bity zkušebního certifikátu, nebude to mít žádný rozdíl, pokud bude použito náhodných bitů.

Kromě toho, PCP věta tvrdí, že počet prověřených přístupů lze uvést celou cestu až na konstantu. To znamená, že . Tuto cennou charakterizaci NP použili k prokázání, že aproximační algoritmy pro optimalizační verze určitých NP-úplných problémů neexistují, pokud P = NP . Tyto problémy jsou nyní studovány v oblasti známé jako tvrdost aproximace .

Viz také

Reference

Učebnice

externí odkazy