Interaktives Proof -System

Allgemeine Darstellung eines interaktiven Proofprotokolls.

Im Computerkomplexitätstheorie, ein Interaktives Proof -System ist ein abstrakte Maschine Das modelliert Berechnung Als Austausch von Nachrichten zwischen zwei Parteien: a Prover und ein Überprüfung. Die Parteien interagieren, indem sie Nachrichten austauschen, um festzustellen, ob eine gegebene Saite gehört zu a Sprache oder nicht. Der Prover besitzt unbegrenzte Rechenressourcen, kann jedoch nicht vertrauenswürdig sein, während der Überprüfer die Berechnungsleistung begrenzt hat, wird jedoch als immer ehrlich angenommen. Nachrichten werden zwischen dem Verifizierer und dem Prover gesendet, bis der Überprüfer eine Antwort auf das Problem hat und sich selbst "überzeugt" hat, dass er richtig ist.

Alle interaktiven Proof -Systeme haben zwei Anforderungen:

  • Vollständigkeit: Wenn die Aussage wahr ist, kann der ehrliche Überprüfer (dh eine, die dem Protokoll ordnungsgemäß folgt) von dieser Tatsache von einem nicht vertrauenswürdigen Prover überzeugt werden.
  • Solidität: Wenn die Aussage falsch ist, kann kein Prover, auch wenn sie dem Protokoll folgt, den ehrlichen Überprüfer davon überzeugen, dass es wahr ist, außer mit einigen kleinen Wahrscheinlichkeit.

Die spezifische Natur des Systems und so die Komplexitätsklasse Von Sprachen, die es erkennen kann, hängt davon ab, welche Art von Grenzen auf den Überprüfer aufgenommen werden und welche Fähigkeiten es gegeben wird. Beispielsweise hängen die meisten interaktiven Proof -Systeme kritisch von der Fähigkeit des Verifizierers ab, zufällige Entscheidungen zu treffen. Es hängt auch von der Art der ausgetauschten Nachrichten ab - wie viele und was sie enthalten können. Es wurde festgestellt, dass interaktive Proof -Systeme einige wichtige Auswirkungen auf herkömmliche Komplexitätsklassen haben, die nur mit einer Maschine definiert sind. Die wichtigsten Komplexitätsklassen, die interaktive Proof -Systeme beschreiben, sind BIN und IP.

Hintergrund

Jedes interaktive Proof -System definiert a formelle Sprache von Saiten . Solidität des Proof -Systems bezieht sich auf die Eigenschaft, die kein Prover für die falsche Erklärung akzeptieren kann Außer mit einer geringen Wahrscheinlichkeit. Die Obergrenze dieser Wahrscheinlichkeit wird als die bezeichnet Soundness -Fehler eines Beweissystems. Formaler für jeden Prover , Und jeder :

für einige . Solange der Schallfehler durch einen Polynomanteil der potenziellen Laufzeit des Verifizierers begrenzt wird (d. H. )) Es ist immer möglich, die Klangsheit zu verstärken, bis der Klangnahrungsfehler wird vernachlässigbare Funktion relativ zur Laufzeit des Verifizierers. Dies wird erreicht, indem der Beweis wiederholt und nur dann akzeptiert wird, wenn alle Beweise überprüfen. Nach Wiederholungen, ein Soundness -Fehler wird auf reduziert auf .[1]

Klassen interaktiver Beweise

Np

Die Komplexitätsklasse Np kann als sehr einfaches Proof -System angesehen werden. In diesem System ist der Überprüfer eine deterministische Polynomzeitmaschine (a P Maschine). Das Protokoll ist:

  • Der Prover untersucht die Eingabe und berechnet die Lösung mit seiner unbegrenzten Leistung und gibt ein polynomiale Beweiszertifikat zurück.
  • Der Verifizierer überprüft, ob das Zertifikat in der deterministischen Polynomzeit gültig ist. Wenn es gültig ist, akzeptiert es; Ansonsten lehnt es ab.

Für den Fall, in dem ein gültiges Nachweiszertifikat vorhanden ist, kann der Prover den Überprüfer immer akzeptieren, indem er dieses Zertifikat angibt. In dem Fall, in dem es kein gültiges Beweiszertifikat gibt, befindet sich die Eingabe jedoch nicht in der Sprache, und kein Prover, wie böswillig es ist, kann den Scheinwerfer ansonsten überzeugen, da ein Nachweiszertifikat abgelehnt wird.

Arthur -Merlin- und Merlin -ARTHUR -Protokolle

Obwohl NP als Interaktion verwendet werden kann, wurde das Konzept der Berechnung durch Interaktion erst 1985 (im Kontext der Komplexitätstheorie) von zwei unabhängigen Gruppen von Forschern konzipiert. Ein Ansatz, von László Babai, der "Handelsgruppentheorie für Zufälligkeit" veröffentlichte,[2] definiert die Arthur -Merlin (BIN) Klassenhierarchie. In dieser Präsentation ist Arthur (der Verifizierer) a probabilistisch, Polynomzeitmaschine, während Merlin (der Prover) unbegrenzte Ressourcen hat.

Die Klasse Ma Insbesondere ist eine einfache Verallgemeinerung der oben genannten NP -Wechselwirkung, bei der der Überprüfer wahrscheinlich anstelle von deterministisch ist. Anstatt zu verlangen, dass der Überprüfer immer gültige Zertifikate akzeptiert und ungültige Zertifikate ablehnt, ist er nachsichtiger:

  • Vollständigkeit: Wenn sich die Zeichenfolge in der Sprache befindet, muss der Prover in der Lage sein, ein Zertifikat so zu geben, dass der Überprüfer mindestens 2/3 akzeptiert (abhängig von den zufälligen Entscheidungen des Verifizierers).
  • Solidität: Wenn sich die Zeichenfolge nicht in der Sprache befindet, kann kein Prover, wie böswillig, den Verifizierer überzeugen, die Zeichenfolge mit einer Wahrscheinlichkeit von mehr als 1/3 zu akzeptieren.

Diese Maschine ist potenziell leistungsfähiger als ein gewöhnlicher NP Interaktionsprotokollund die Zertifikate sind nicht weniger praktisch zu überprüfen, da BPP Algorithmen werden als abstrakte praktische Berechnung angesehen (siehe BPP).

Öffentliches Münzprotokoll gegen private Münzprotokoll

In einem Öffentliche Münze Protokoll, die zufälligen Entscheidungen, die der Überprüfer getroffen hat, werden veröffentlicht. Sie bleiben privat in einem privaten Münzprotokoll.

In derselben Konferenz, auf der Babai sein Proof -System definierte Ma, SHAFI GOLDSER, Silvio Micali und Charles Rackoff[3] veröffentlichte ein Papier, das das interaktive Proof -System definiert IP[f(n)]. Dies hat die gleichen Maschinen wie die Ma Protokoll, außer dass das f(n) Runden sind für einen Eingang der Größe erlaubt n. In jeder Runde führt der Überprüfer die Berechnung durch und gibt eine Nachricht an den Prover weiter, und der Prover führt die Berechnung durch und übergibt Informationen an den Verifizierer zurück. Am Ende muss der Überprüfer seine Entscheidung treffen. Zum Beispiel in einem IP[3] Protokoll, die Sequenz wäre vpvpvpv, wobei V eine Verifiererwendung ist und P eine Prover -Kurve ist.

In Arthur -Merlin -Protokollen definierte Babai eine ähnliche Klasse BIN[f(n)] welches erlaubte f(n) Runden, aber er hat eine zusätzliche Bedingung auf die Maschine gestellt: Der Überprüfer muss dem Prover alle zufälligen Bits in seiner Berechnung anzeigen. Das Ergebnis ist, dass der Verifizierer nichts vor dem Prover "verbergen" kann, da der Prover leistungsstark genug ist, um alles zu simulieren, was der Verifizierer tut, wenn er weiß, welche zufälligen Bits er verwendet hat. Dies wird a genannt Öffentliche Münze Protokoll, weil die zufälligen Bits ("Münzflips") für beide Maschinen sichtbar sind. Das IP Ansatz heißt a private Münze Protokoll im Gegensatz dazu.

Das wesentliche Problem mit öffentlichen Münzen ist, dass der Verifier, wenn der Prover den Verifier annehmen möchte, böswillig überzeugen, eine Schnur zu akzeptieren, die nicht in der Sprache liegt, der Verifier in der Lage sein könnte, seine Pläne zu vereiteln, wenn er seinen internen Zustand vor ihm verbergen kann. Dies war eine Hauptmotivation bei der Definition der IP Proofsysteme.

Im Jahr 1986 Goldwasser und SIPser[4] Es wurde vielleicht überraschenderweise gezeigt, dass die Fähigkeit des Verifiers, Münzen vor dem Prover zu verbergen, doch wenig gut macht, da ein Arthur -Merlin -öffentliches Münzprotokoll mit nur zwei weiteren Runden alle dieselben Sprachen erkennen kann. Das Ergebnis ist, dass öffentliche und private Coin-Protokolle ungefähr gleichwertig sind. In der Tat, wie Babai 1988 zeigt, BIN[k] =BIN für alle Konstanten k, so die IP[k] haben keinen Vorteil gegenüber BIN.[5]

Um die Kraft dieser Klassen zu demonstrieren, betrachten Sie die Graph Isomorphismus Problem, Dieses Problem ist in NpDa das Proof -Zertifikat die Permutation ist, die die Grafiken gleich macht. Es stellt sich heraus, dass dieergänzen des Diagramms-Isomorphismus-Problems, ein Co-Np Problem, das nicht bekannt ist Np, hat an BIN Algorithmus und der beste Weg, um dies zu sehen, ist ein privater Münzenalgorithmus.[6]

IP

Private Münzen sind vielleicht nicht hilfreich, aber mehr Interaktionsrunden sind hilfreich. Wenn wir zulassen, dass die probabilistische Verifizierermaschine und der allmächtige Prover für eine Polynomzahl von Runden interagieren, erhalten wir die Klasse von Problemen, die aufgerufen werden IP. Im Jahr 1992, Adi Shamir in einem der zentralen Ergebnisse der Komplexitätstheorie enthüllt, dass IP gleich PSPACE, die Klasse der Probleme, die durch einen gewöhnlichen Lösungsmittel lösbar sind deterministische Turing -Maschine im Polynomraum.[7]

QIP

Wenn wir die Elemente des Systems zulassen Quantenberechnung, das System wird a genannt Quanteninteraktiver Proof -Systemund die entsprechende Komplexitätsklasse heißt QIP.[8] Eine Reihe von Ergebnissen gipfelte in einem Durchbruch von 2010, das QIP = PSPACE.[9][10]

Null Wissen

Interaktive Proof -Systeme können nicht nur Probleme lösen, von denen nicht angenommen wird, dass sie sich befinden Np, aber unter Annahmen über die Existenz von Einwegfunktionen, Ein Prover kann den Überprüfer der Lösung überzeugen, ohne den Überprüfungs -Informationen über die Lösung zu geben. Dies ist wichtig, wenn der Verifizierer der vollständigen Lösung nicht vertrauen kann. Zunächst scheint es unmöglich, dass der Verifizierer überzeugt werden könnte, dass es eine Lösung gibt Null-Wissen-Beweise Es wird tatsächlich angenommen Np und sind wertvoll in Kryptographie. Null-Knowledge-Beweise wurden erstmals in der ursprünglichen Arbeit von 1985 erwähnt IP von Goldwasser, Micali und Rackoff, aber das Ausmaß ihrer Kraft wurde von gezeigt Od Goldreich, Silvio Micali und Avi Wigderson.[6]

MIP

Ein Ziel von IP 'S Designer sollten das leistungsstärkste, mögliche interaktive Proof -System schaffen, und es scheint zunächst nicht mehr leistungsfähiger zu werden, ohne den Verifizierer leistungsfähiger und unpraktischer zu machen. Goldwasser et al. Überwand dies in ihren 1988 "Multi -sprachlichen interaktiv IP genannt MIP in dem es gibt zwei unabhängige Provers.[11] Die beiden Provers können nicht kommunizieren, sobald der Überprüfer damit begonnen hat, Nachrichten an sie zu senden. So wie es einfacher zu erkennen ist, ob ein Verbrecher lügt, wenn er und sein Partner in getrennten Räumen befragt werden, ist es erheblich einfacher, einen böswilligen Prover zu erkennen, der versucht, den Überprüfung dazu zu bringen, eine Zeichenfolge zu akzeptieren, die nicht in der Sprache ist, wenn es einen anderen Prover kann doppelt überprüfen mit.

Tatsächlich ist dies so hilfreich, dass Babai, Fortnow und Lund das zeigen konnten MIP = Nexptime, die Klasse aller Probleme lösbar durch a Nichtdeterministisch Maschine in Exponentialzeit, eine sehr große Klasse.[12] Nexptime enthält PSPACE und es wird angenommen, dass sie strikt PSPACE enthalten. Das Hinzufügen einer konstanten Anzahl zusätzlicher Prover über zwei, die über zwei hinausgehen, ermöglicht die Erkennung von weiteren Sprachen nicht. Dieses Ergebnis ebnete den Weg für die gefeierten PCP -Theorem, die als "skalierte" Version dieses Theorems angesehen werden kann.

MIP hat auch die hilfreiche Eigenschaft, die Null-Wissen für jede Sprache in beweist Np kann ohne die Annahme von Einwegfunktionen beschrieben werden IP muss machen. Dies hat das Design von nachweislich unzerbrechlichen kryptografischen Algorithmen.[11] Außerdem a MIP Protokoll kann alle Sprachen in erkennen IP In nur einer ständigen Anzahl von Runden, und wenn ein dritter Prover hinzugefügt wird, kann er alle Sprachen in erkennen Nexptime in einer ständigen Anzahl von Runden, die erneut seine Kraft zeigen IP.

Es ist bekannt, dass für jede Konstante k, ein MIP -System mit k Provers und polynomial viele Runden können in ein äquivalentes System mit nur 2 Provers und einer konstanten Anzahl von Runden verwandelt werden.[13]

PCP

Während die Designer von IP Angesichts der Verallgemeinerungen von Babais interaktiven Proof -Systemen berücksichtigten andere Einschränkungen. Ein sehr nützliches interaktives Proof -System ist PCP(f(n), g(n)), was eine Einschränkung von ist Ma wo Arthur nur verwenden kann f(n) Zufällige Teile und kann nur untersuchen g(n) Bits des von Merlin gesendeten Proof -Zertifikats (im Wesentlichen verwendet Zufallszugriff).

Es gibt eine Reihe von einfach zu prognostizierten Ergebnissen zu verschiedenen Ergebnissen PCP Klassen. Die Klasse der Polynomzeitmaschinen ohne Zufälligkeit, aber der Zugriff auf ein Zertifikat ist gerecht Np. Die Klasse der Polynomzeitmaschinen mit Zugriff auf polynomial viele zufällige Bits ist Co-RP. Das erste große Ergebnis von Arora und Safra war das PCP (log, log) = np; andere Möglichkeiten, wenn der Verifizierer in der Np Protokoll ist nur eingeschränkt, nur auszuwählen Bits des Beweiszertifikats, das sich ansehen soll, macht keinen Unterschied, solange es hat zufällige Bits zu verwenden.[14]

Außerdem die PCP -Theorem Behauptet, dass die Anzahl der Beweiszugriffe bis zu einer Konstante gebracht werden kann. Das ist, .[15] Sie verwendeten diese wertvolle Charakterisierung von Np um zu beweisen, dass Näherungsalgorithmen existieren nicht für die Optimierungsversionen bestimmter Versionen NP-Complete Probleme, es sei denn P = np. Solche Probleme werden jetzt auf dem Gebiet untersucht, das als bekannt ist Annäherungshärte.

Siehe auch

Verweise

  1. ^ Goldreich, Oded (2002), Zero-Knowledge zwanzig Jahre nach seiner Erfindung, ECCC TR02-063.
  2. ^ László Babai. Handelsgruppentheorie für Zufälligkeit. Verfahren des siebzehnten jährlichen Symposiums über die Computertheorie, ACM. 1985.
  3. ^ Goldwasser, S.; Micali, S.; Rackoff, C. (1989). "Die Wissenskomplexität interaktiver Beweissysteme" (PDF). Siam Journal über Computing. 18 (1): 186–208. doi:10.1137/0218012. ISSN 1095-7111. Erweiterte Zusammenfassung
  4. ^ Shafi Goldwasser und Michael Sipser. Private Münzen gegen öffentliche Münzen in interaktiven Proof -Systemen. Verfahren von ACM STOC'86, S. 58–68. 1986.
  5. ^ László Babai und Shlomo Moran. Arthur -Merlin -Spiele: ein randomisiertes Proof -System und eine Hierarchie von Komplexitätsklassen. Journal of Computer and System Sciences, 36: S.254–276. 1988.
  6. ^ a b O. Goldreich, S. Micali, A. Wigderson. Beweise, die nur ihre Gültigkeit ergeben. Journal of the ACM, Band 38, Ausgabe 3, S. 690–728. Juli 1991.
  7. ^ Adi Shamir. IP = PSPACE. Journal of the ACM, Band 39, Ausgabe 4, S.869–877. Oktober 1992.
  8. ^ Tsuyoshi ito; Hirotada Kobayashi; John Watrous (2010). "Quanteninteraktive Beweise mit schwachen Fehlergrenzen". Arxiv:1012.4427v2 [Quant-Ph].
  9. ^ Jain, Rahul; JI, Zhengfeng; Upadhyay, Sarvagya; Watrous, John (2010). "QIP = PSPACE". STOC '10: Verfahren des 42. ACM -Symposiums zur Computertheorie. ACM. S. 573–582. ISBN 978-1-4503-0050-6.
  10. ^ Aaronson, S. (2010). "QIP = PSPACE Breakthrough". Kommunikation der ACM. 53 (12): 101. doi:10.1145/1859204.1859230. S2CID 34380788.
  11. ^ a b M. Ben-Or, Shafi Goldwasser, J. Kilian und A. Wigderson. Multi -Prover -Interaktive -Beweise: So entfernen Sie die Annahmen von Unverständlichkeit. Verfahren des 20. ACM -Symposiums über die Theorie des Computers, S. 113–121. 1988.
  12. ^ László Babai, L. Fortnow und C. Lund. Nichtdeterministische Exponentialzeit hat zwei probwirksame interaktive Protokolle. Rechenkomplexität, Volume 1, S. 3–40. 1991.
  13. ^ http://groups.csail.mit.edu/cis/pubs/shafi/1988-stoc-bgkw.pdf[Bare URL PDF]
  14. ^ Sanjeev Arora und Shmuel Safra. Probabilistische Überprüfung von Beweisen: Eine neue Charakterisierung von NP. Journal of the ACM, Band 45, Ausgabe 1, S. 70–122. Januar 1998.
  15. ^ Sanjeev Arora, C. Lund, R. Motwani, M. Sudan und M. Szegedy. Beweisüberprüfung und die Härte von Annäherungsproblemen. Verfahren des 33. IEEE -Symposiums für Fundamente der Informatik, S. 13–22. 1992.

Lehrbücher

Externe Links