Złożoność obliczeniowa/Wykład 15: Kryptografia a złożoność

Uwaga: przekonwertowane latex2mediawiki; prawdopodobnie trzeba wprowadzić poprawki

Funkcje jednokierunkowe

W dotychczasowych rozważaniach naszym celem było znalezienie możliwie efektywnego rozwiązania dla zadanych problemów; nadmierna złożoność problemu była przez nas traktowana jako cecha niepożądana, gdyż utrudniająca nasze zadanie. W tym rozdziale nasze podejście będzie odmienne; duża złożoność będzie dla nas cechą bardzo cenną. Będzie nas przy tym w mniejszym niż dotychczas stopniu interesować złożoność pesymistyczna -- w końcu nie satysfakcjonuje nas "gwarancja", mówiąca że "jeżeli osoba podsłuchująca będzie miała pecha to odszyfrowanie wiadomości będzie dla niej zadaniem czasochłonnym". Wolelibyśmy, żeby odszyfrowywanie wiadomości przez osoby nieuprawnione było czasochłonne praktycznie zawsze -- tak, by próba podsłuchiwania dawała szansę sukcesu bardzo bliską zeru. Duża pesymistyczna złożoność nie będzie zatem warunkiem wystarczającym bycia dobrym kryptosystemem; przyda nam się jednak w charakterze warunku koniecznego.

Definicja

Niech $f : {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją jednokierunkową wtedy i tylko wtedy gdy:

$f$ jest różnowartościowa,
istnieje pewna stała $k > 1$ taka, że $\forall_{x \in {0, 1}^{⋆}} | x |^{1 / k} \leq f (x) \leq | x |^{k}$ ,
$f$ jest obliczalna w czasie wielomianowym (czyli należy do klasy $F P$ ),
nie istnieje wielomianowy algorytm obliczający odwrotność funkcji $f$

-- czyli znajdujący dla słowa $y$ słowo $x$ , takie że $f (x) = y$ lub stwierdzający, że takie słowo nie istnieje.

Warto zauważyć, że powyższa definicja niejawnie zakłada prawdziwość zdania $P \neq N P$ .

Ćwiczenie

Niech $f$ spełnia pierwsze trzy warunki podane w definicji funkcji jednokierunkowej. Pokaż, że obliczanie odwrotności funkcji $f$ jest problemem z klasy $F N P$ .

Rozwiązanie

Z drugiego warunku wiemy, że $f^{- 1} (y)$ ma długość co najwyżej $| y |^{k}$ . Możemy zatem jako kandydatów na świadków rozpatrywać wszystkie słowa o długości nie większej niż $| y |^{k}$ . Takie słowa możemy następnie deterministycznie przekształcić za pomocą funkcji $f$ i sprawdzić, czy otrzymane słowo jest równe $y$ .

Z drugiej strony nierówność $P \neq N P$ wcale nie gwaratuje istnienia funkcji jednokierunkowych; jak się okazuje istnienie tego typu funkcji jest ściśle powiązane z pewną klasą złożoności, którą przedstawiamy poniżej.

Definicja Jednoznaczną maszyną Turinga

nazywamy niedeterministyczną maszynę Turinga taką, że dla każdego słowa wejściowego $x$ istnieje co najwyżej jedna akceptująca ścieżka obliczeń.

Definicja

Klasa $U P$ to klasa problemów rozstrzygalnych za pomocą jednoznacznych maszyn Turinga w czasie wielomianowym.

Uwaga

Klasę $U P$ , podobnie jak klasę $N P$ , można zdefiniować z użyciem pojęcia świadka:

$L \in U P ⟺ \exists_{p (x) - w i e l o m i a n} \exists_{L^{'} \in P} \forall_{n \in ℕ} \forall_{w \in {0, 1}^{n}} [w \in L \Rightarrow ({\exists!}_{v \in {0, 1}^{p (n)}} ⟨ w, v ⟩ \in L^{'})] \land [w \notin L \Rightarrow (\neg \exists_{v \in {0, 1}^{p (n)}} ⟨ w, v ⟩ \in L^{'})]$

W językach z klasy $U L$ każde słowo ma dokładnie jednego świadka. Dowód równoważności powyższych definicji jest analogiczny jak w przypadku klasy $N P$ .

Jest jasne, że $P \subseteq U P \subseteq N P$ -- maszyny deterministyczne są specjalnymi przypadkami maszyn jednoznacznych. Dość powszechny jest pogląd, że obie powyższe relacje zawierania są właściwe (to znaczy nie zachodzi równość).

Pokażemy teraz bardzo ciekawy związek pomiędzy klasą $U P$ a funkcjami jednokierunkowymi.

Twierdzenie

Funkcje jednokierunkowe istnieją $⟺ U P \neq P$

Dowód

Zaczniemy od dowodu w kierunku $\Rightarrow$ . Załóżmy, że istnieje pewna funkcja jednokierunkowa $f$ . Możemy wtedy zdefiniować następujący język:

$L_{f} = {(x, y) : \exists_{z} f (z) = y \land z \leq x}$

przy czym mówimy, że $z \leq x$ wtedy i tylko wtedy gdy

$| z | \leq | y |$ , lub
$| z | = | y |$ i w porządku leksykograficznym $z$ występuje nie później niż $x$ .

Łatwo można zauważyć, że $L_{f} \in U P$ - maszyna rozwiązująca ten problem najpierw "zgaduje" słowo $z$ o wielkości nie większej niż $| y |^{k}$ , po czym sprawdza, czy w ustalonym porządku występuje ono nie później niż $x$ i czy zachodzi $f (z) = y$ . Z własności funkcji jednokierunkowych -- konkretnie z różnowartościowości -- wynika, że maszyna ta ma co najwyżej jedną akceptującą ścieżkę postępowania.

Chcemy teraz pokazać, że $L_{f} \notin P$ . Załóżmy zatem nie wprost, że istnieje jakiś wielomianowy algorytm rozwiązujący $L_{f}$ . Wykorzystamy go teraz do obliczenia odwrotności funkcji $f$ w czasie wielomianowym. W pierwszym kroku zapytamy algorytm, czy $(1^{| y |^{k}}, y) \in L_{f}$ (przez $1^{| y |^{k}}$ oznaczamy tutaj ciąg $| y |^{k}$ symboli $1$ ) - jeżeli otrzymamy odpowiedź "nie" to korzystając z definicji funkcji jednokierunkowej możemy od razu stwierdzić, że nie istnieje słowo $x$ takie, że $f (x) = y$ . Jeżeli otrzymamy odpowiedź "tak" to z użyciem co najwyżej $| y |^{k} - 1$ zapytań do naszego algorytmu jesteśmy w stanie ustalić długość szukanego słowa $x$ (pytamy kolejno o $(1^{| y |^{k} - 1}, y)$ , $(1^{| y |^{k} - 2}, y)$ , itd. aż do momentu gdy uzyskamy odpowiedź "nie"). Gdy znamy już długość słowa $x$ pozostaje nam już tylko obliczyć kolejne jego bity. Pierwszy bit otrzymamy pytając o parę $(0 1^{| x | - 1}, y)$ -- odpowiedź "tak" oznacza, że pierwszym bitem jest 0. Aby uzyskać drugi bit zapytamy -- w zależności od pierwszej odpowiedzi -- o $(00 1^{| x | - 2}, y)$ lub $(10 1^{| x | - 2}, y)$ . Kolejne bity odgadujemy w analogiczny sposób -- łącznie zatem wykonamy algorytm dla $L_{f} O (| y |^{k})$ razy. W ten sposób uzyskamy deterministycznty algorytm odwracający funkcję $f$ w czasie wielomianowym.

Doszliśmy więc do sprzeczności z definicją funkcji jednokierunkowej, co oznacza, że istnienie funkcji jednokierunkowych implikuje nierówność $P \neq U P$ .

Załóżmy teraz, że istnieje język $L \in U P - P$ , rozpoznawany przez jednoznaczną maszynę $U$ . Zdefiniujmy funkcję $f_{U} (w)$ w następujący sposób:

jeżeli $w$ jest zakodowaną parą słów $⟨ x, y ⟩$ oraz $x$

jest (jedynym) świadkiem przynależności słowa $y$ do $L$ , to

$f_{U} (w) = 1 y$ ,

w przeciwnym przypadku

$f_{U} (w) = 0 w$ ,

Widzimy, że pierwszy symbol wartości funkcji gwarantuje nam jej różnowartościowość. Spełniony jest również drugi warunek z definicji funkcji jednokierunkowej -- świadek dla słowa $y$ nie może być nadmiernie długi (bo jego długość jest wielomianowo zależna od długości $y$ ), a zatem $f_{U}$ nie może nadmiernie "skracać" słów. Funkcja $f_{U}$ jest też obliczalna w czasie wielomianowym -- wystarczy deterministycznie zweryfikować świadka, tak jak zrobiłaby to maszyna $U$ . Pozostaje nam zatem tylko pokazanie, że funkcja odwrotna do $d$ nie jest obliczalna w czasie wielomianowym. Gdyby tak jednak było, to moglibyśmy rozpoznawać język $L$ w czasie wielomianowym: Aby sprawdzić, czy $y \in L$ wystarczy zastosować odwrotność funkcji $f_{U}$ do słowa $1 y$ ; jeżeli $y \notin L$ to dostaniemy odpowiedź mówiącą, że $1 y$ nie można odwrócić; w przeciwnym przypadku otrzymamy świadka przynależności $y$ do języka $L$ .

Na dzień dzisiejszy nie znamy oczywiście funkcji, o której wiedzielibyśmy, że jest jednokierunkowa; istnienie takiej funkcji natychmiastowo implikuje przecież nierówność $P \neq N P$ . Jest jednak kilku "kandydatów" na funkcje jednokierunkowe -- to znaczy funkcji, dla których nie znamy efektywnego algorytmu pozwalającego na ich odwrócenie. Jedną z takich funkcji jest funkcja $f_{M U L}$ . Argumentami tej funkcji są dwie liczby pierwsze wraz ze swoimi certyfikatami pierwszości. Wartością funkcji jest iloczyn tych dwóch liczb. Bardziej formalnie:

jeżeli $w = ⟨ p, C (p), q, C (q) ⟩$ , gdzie $p < q$ a $C (p)$ i

$C (q)$ to certyfikaty pierwszości odpowiednio dla $p$ i $q$ , to

$f_{M U L} (w) = 1 p \cdot q$

w przeciwnym przypadku

$f_{M U L} (w) = 0 w$

Korzystamy tutaj z faktu, że możemy wymusić jednoznaczną reprezentację certyfikatu pierwszości dla danej liczby, oraz że certyfikaty mają rozmiar wielomianowo zależny od rozmiaru certyfikowanych liczb. $f_{M U L}$ jest zatem różnowartościowa i nie "skraca" nadmiernie słowa wejściowego.

Łatwo zauważyć, gdzie tkwi trudność w odwracaniu tej funkcji -- nie znamy efektywnego algorytmu potrafiącego faktoryzować iloczyn dwóch liczb pierwszych; znane nam obecnie algorytmy stają się niepraktyczne już przy iloczynach liczb pierwszych o długości kilkuset bitów.

Drugi ze znanych nam "kandydatów na funkcję jednokierunkową" również oparty jest na zagadnieniu z dziedziny teorii liczb -- problemie logarytmu dyskretnego. Funkcję tą można zdefiniować w następujący sposób:

dla $w$ postaci $⟨ p, C (p), r, x ⟩$ , gdzie $p$ jest liczbą

pierwszą, $C (p)$ certyfikatem jej pierwszości, $r$ jest najmniejszym generatorem grupy cyklicznej $ℤ_{p}^{⋆}$ , a $x$ jest liczbą naturalną z zakresu $[1, p - 1] f_{E X P} (w) = 1 ⟨ p, r, r^{x} m o d p) ⟩$

dla pozostałych $w f_{E X P} (w) = 0 w$

W tym przypadku aby odwrócić funkcję $f_{E X P}$ musielibyśmy na podstawie liczb $p$ , $r$ i $r^{x} m o d p$ umieć obliczyć wartość $x$ . Również dla tego, znanego od wielu lat, problemu nie znamy wydajnego rozwiązania.

Jak zauważyliśmy we wprowadzeniu do tego rozdziału w kryptografii duża złożoność pesymistyczna próby zdekodowania zaszyfrowanej wiadomości nie jest własnością wystarczającą. Z tego powodu przytoczymy alternatywną definicję funkcji jednokierunkowych, lepiej odwzorowującą nasze oczekiwania. Należy pamiętać, że definicja ta jest istotnie różna od definicji podanej wcześniej.

Definicja

Niech $f : {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją jednokierunkową wtedy i tylko wtedy gdy:

$f$ jest obliczalna w czasie wielomianowym,
$f$ nie jest stale równa $ϵ$ (słowu pustemu),
istnieje pewna stała $k > 1$ taka, że $\forall_{x \in {0, 1}^{⋆}} f (x) = ϵ \lor | x |^{1 / k} \leq f (x) \leq | x |^{k}$ ,
jeżeli $x$ i $y$ są słowami nad alfabetem ${0, 1}$ i $f (x) = f (y)$ ,

to $x = y$ lub $f (x) = f (y) = ϵ$ ,

dla każdej losowej maszyny Turinga $E$ działającej w czasie wielomianowym,

każdej liczby $l$ i dostatecznie dużej liczby $n$ , jeżeli $x$ jest losowym słowem ze zbioru ${x^{'} : | x^{'} | \leq n \land f (x^{'}) \neq ϵ}$ , to

$P r [E (f (x)) = x] \leq n^{- l}$

W tej definicji zrezygnowaliśmy z wymagania o różnowartościowości funkcji; zamiast tego dopuszczamy, aby różne słowa dawały jako wynik wartość $ϵ$ , którą możemy traktować jako odpowiedź mówiącą, że wejście jest nieprawidłowe; dla przykładu przy adaptowaniu funkcji $f_{M U L}$ do powyższej definicji, w przypadku gdy $p$ lub $q$ nie będą liczbami pierwszymi, lub gdy $C (p)$ lub $C (q)$ nie będą odpowiednimi certyfikatami, funkcja zwróci wartość $ϵ$ . Zauważmy, że w powyższej definicji interesuje nas tylko trudność odszyfrowania wartości funkcji dla poprawnych wejść -- to znaczy w przypadku $f_{M U L}$ dla par liczb, które są pierwsze i których pierwszość jest potwierdzana przez $C (p)$ i $C (q)$ . Funkcje $f_{M U L}$ jak i $f_{E X P}$ -- po odpowiednim ich zmodyfikowaniu w sposób przedstawiony powyżej -- są poważnymi "kandydatami" na funkcje jednokierunkowe również w sensie definicji opisanej w poprzednim paragrafie.

Warto się w tym momencie zastanowić, w jaki sposób funkcje jednokierunkowe mogą się przydać w kryptografii. Otóż widzimy, że jedna ze stron -- zwyczajowo zwana Alicją -- może wydajnie zaszyfrować swoją wiadomość, na przykład używając ją jako argument $x$ do funkcji $f_{E X P}$ . Niestety druga strona -- zazwyczaj zwana Bob -- może mieć duże trudności z odszyfrowaniem wiadomości. W tej sytuacji fakt, że osoba podsłuchująca -- Cecylia -- niczego ciekawego się nie dowie, stanowi słabe pocieszenie.

Widzimy zatem, że aby zapewnić poufność komunikacji pochodzącej od Alicji, ale również możliwość odebrania tej wiadomości, Bob musi posiadać pewną tajną wiedzę, pozwalającą na wydajne odwrócenie funkcji szyfrującej. Zdefiniujemy teraz pewną modyfikację pojęcia funkcji jednokierunkowej, mającą szersze zastosowanie w kryptografii.

Definicja

Niech $f : {0, 1}^{⋆} \times {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją z wytrychem wtedy i tylko wtedy gdy istnieje losowa maszyna Turinga $G$ oraz funkcja $h : {0, 1}^{⋆} \times {0, 1}^{⋆} \to {0, 1}^{⋆}$ taka, że:

funkcje $f$ i $h$ są obliczalne w czasie wielomianowym,
$G$ oczekuje na wejściu słowa nad alfabetem ${0, 1}$ , zwraca zakodowaną

parę słów nad alfabetem ${0, 1}$ i działa w czasie wielomianowym,

istnieje stała $k > 1$ taka, że

jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla słowa $1^{n}$ , natomiast $x$ jest słowem o długości nie większej niż $n$ , to $| ⟨ i, x ⟩ |^{1 / k} \leq | ⟨ t, f (i, x) ⟩ | \leq | ⟨ i, x ⟩ |^{k}$ ,

jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla

słowa $1^{n}$ , natomiast $x$ i $y$ są słowami o długości nie większej niż $n$ , to $f (i, x) = f (i, y) \Rightarrow x = y$ ,

dla każdej losowej maszyny Turinga $E$ , każdej liczby $l$ i dostatecznie

dużej liczby $n$ , jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla słowa $1^{n}$ , $x$ jest losowym słowem nad alfabetem ${0, 1}$ nie dłuższym niż $n$ , to

$P r [E (i, f (i, x)) = x] \leq n^{- l}$

Dla każdego $n$ , każdego słowa $x$ nie dłuższego niż $n$ i każdej pary

$⟨ i, t ⟩$ mogącej być wynikiem działania maszyny $G$ dla słowa wejściowego $1^{n} h (t, f (i, x)) = x$

Funkcje z wytrychem mogą zostać wykorzystane w celu stworzenia systemów kryptograficznych z kluczem publicznym. Sposób postępowania jest w tym przypadku następujący:

Bob ustala długość przekazywanych wiadomości ( $n$ ) oraz parametr

wyznaczający prawdopodobieństwo odszyfrowania pojedynczej wiadomości ( $k$ ),

Bob uruchamia maszynę $G$ i otrzymuje parę słów $⟨ i, t ⟩$ .

Słowo $i$ staje się dostępnym dla wszystkich kluczem publicznym, natomiast $t$ pozostaje tajemnicą znaną tylko Bobowi,

Alicja, chcąc wysłać wiadomość do Boba, używa znanego jej klucza

publicznego $i$ . Własności funkcji z wytrychem sprawiają, że odszyfrowanie wiadomości jest łatwe dla Boba, natomiast trudne dla osób trzecich nie znających klucza $t$ .

Najbardziej znanym systemem kryptograficznym opartym na powyższej zasadzie jest system RSA. Pamiętajmy przy tym, że nie znamy formalnego dowodu, mówiącego, że RSA spełnia warunki określone w definicji funkcji z wytrychem.

Prześledźmy teraz w jaki sposób zdefiniowane są $f$ , $h$ i $G$ dla systemu RSA.

Zadaniem maszyny $G$ jest wygenerowanie pary kluczy. W tym celu losuje ona dwie liczby pierwsze $p$ i $q$ , z których każda ma długość większą niż $n / 2$ (gdzie $n$ to długość przekazywanych wiadomości). Następnie oblicza ona liczbę $N = p \cdot q$ oraz wartość funkcji Eulera dla tej liczby: $ϕ (N) = (p - 1) \cdot (q - 1)$ . W kolejnym kroku znajdowana jest dowolna liczba $e$ z zakresu $[2, N - 2]$ , względnie pierwsza z $ϕ (N)$ . Dla liczby $e$ znajdywana jest następnie liczba $d$ z zakresu $[2, N - 2]$ taka, że

$d \cdot e = 1 m o d ϕ (N)$

Istnienie takiej liczby spowodowane jest faktem, że $e$ i $ϕ (N)$ są względnie pierwsze; liczbę $d$ można efektywnie obliczyć z użyciem uogólnionego algorytmu Euklidesa.

W tym momencie można już zdefiniować parę kluczy: Kluczem publicznym jest para liczb $e$ oraz $N$ . Kluczem prywatnym jest para liczb $d$ oraz $N$ . Szyfrowanie słowa $x$ wygląda następująco:

$f (⟨ e, N ⟩, x) = x^{e} m o d N$

przy czym wiadomość $x$ traktujemy jako binarny zapis pewnej liczby naturalnej. Dekodowanie słowa $y$ określone jest w praktycznie identyczny sposób:

$h (⟨ d, N ⟩, y) = y^{d} m o d N$

Wystarczy teraz przypomnieć sobie, że iloczyn $d \cdot e$ jest postaci $k \cdot ϕ (N) + 1$ , dla pewnej liczby całkowitej $k$ . W związku z tym

$h (⟨ d, N ⟩, f (⟨ e, N ⟩, x)) = (x^{e})^{d} m o d N = x^{k \cdot ϕ (N) + 1} m o d N = x^{k \cdot ϕ (N)} \cdot x m o d N = x$

Widzimy zatem, że funkcja $h$ poprawnie dekoduje słowa zaszyfrowane z użyciem funkcji $f$ -- Bob będzie zatem w stanie odtworzyć wiadomość wysłaną przez Alicję.

Systemy dowodów interaktywnych

W ostatnim fragmencie niniejszego kursu zajmiemy się klasą złożoności, będącą uogólnieniem klas $N P$ i $B P P$ . W tym celu zdefiniujemy pojęcie systemu dowodów interaktywnych.

Definicja Systemem dowodów interaktywnych

nazywamy parę funkcji $V$ oraz $P$ o sygnaturach:

$V : Σ^{⋆} \times Σ^{⋆} \times Σ^{⋆} \to Σ^{⋆} \cup {a c c e p t, r e j e c t} P : Σ^{⋆} \times Σ^{⋆} \to Σ^{⋆}$

taką, że funkcja $V$ jest obliczalna na maszynie Turinga.

Działanie systemu dowodów interaktywnych polega na wymianie komunikatów między funkcjami $V$ i $P$ , przy czym funkcja $P$ (z angielskiego prover) stara się "przekonać" funkcję $V$ (verifier) o tym, że słowo wejściowe należy do rozpatrywanego języka, natomiast ostateczna decyzja w tej sprawie należy do $V$ .

Komunikacja odbywa się naprzemiennie: Funkcja $V$ generuje wiadomość, przekazywaną funkcji $P$ jako argument; funkcja $P$ z kolei generuje odpowiedź przekazywaną funkcji $V$ w następnej iteracji. Taka komunikacja odbywa się do momentu zaakceptowania lub odrzucenia słowa wejściowego przez funkcję $V$ . W każdym kroku obie funkcje mają do dyspozycji zarówno słowo wejściowe, jak również pełną historię przekazanych dotychczas wiadomości.

Określmy teraz, co dokładnie oznaczają argumenty funkcji $V$ i $P$ . Argumenty funkcji $V$ będziemy oznaczać w następujący sposób:

$V (w, r, m_{1} # m_{2} # \dots # m_{i})$

Mają one następujące znaczenie:

$w$ to słowo wejściowe,
$r$ jest losowym ciągiem bitów,
$m_{1} # m_{2} # \dots # m_{i}$ to konkatenacja dotychczasowych wiadomości,

które zostały przekazane w procesie komunikacji (wiadomości o indeksach nieparzystych sa wynikami działania funkcji $V$ , natomiast wiadomości o indeksach parzystych sa wynikami działania funkcji $P$ ).

Zwróćmy uwagę, że $V$ ma do dyspozycji losowe słowo $r$ ; w praktyce oznacza to, że o funkcji $V$ będziemy myśleć jako o pewnej losowej maszynie Turinga.

Zakładamy, że zarówno $w$ jak i $r$ są stałe w kolejnych iteracjach; słowo $r$ jest zatem losowane jednokrotnie, przed rozpoczęciem procesu komunikacji. Warto też zauważyć, że słowa $w$ i $r$ całkowicie determinują działanie systemu.

Argumenty funkcji $P$ będziemy oznaczać następująco:

$P (w, m_{1} # m_{2} # \dots # m_{i})$

Ich znaczenie jest identyczne jak w przypadku argumentów funkcji $V$ , nie ma wśród nich jednak słowa losowego.

Możemy w tym momencie zdefiniować klasę $I P$ :

Definicja

Niech $L \subseteq Σ^{⋆}$ . Mówimy, że $L \in I P$ wtedy i tylko wtedy gdy istnieje system dowodów interaktywnych $(V, P)$ oraz wielomiany $p (n)$ i $q (n)$ takie, że dla każdego słowa wejściowego $w$ oraz losowego słowa $r$ o długości $p (| x |)$ :

system daje odpowiedź po co najwyżej $p (| x |)$ krokach,
w każdej iteracji czas działania maszyny obliczającej funkcję $V$ jest

ograniczony od góry przez $q (| x |)$ ,

długość każdej wiadomości $m_{i}$ jest nie większa niż $p (| x |)$ ,
jeżeli $w \in L$ to prawdopodobieństwo zaakceptowania słowa przez system

wynosi co najmniej $2 / 3$ ,

jeżeli $w \notin L$ oraz $\bar{P}$ jest dowolną funkcją o sygnaturze zgodnej

z $P$ , zwracającą wiadomości nie dłuższe niż $p (| x |)$ , to system $(V, \bar{P})$ spełnia powyższe założenia na ilość iteracji, czas działania i długość wiadomości oraz akceptuje słowo $w$ z prawdopodobieństwem nie większym niż $1 / 3$ .

O systemie $(V, P)$ mówimy, że rozpoznaje język $L$ w czasie wielomianowym.

Innymi słowy jeżeli słowo $w$ należy do języka, to $V$ z dużym prawdopodobieństwem da się przekonać o tej przynależności przez pewną ustaloną funkcję $P$ . Jeżeli jednak $w$ nie należy do $L$ , to $V$ nie da się oszukać żadnej funkcji $\bar{P}$ ze zbyt dużym prawdopodobieństwem.

Uwaga

Zwróćmy jeszcze uwagę, że branie pod uwagę tylko takich funkcji $\bar{P}$ , które nie zwracają zbyt długich słów nie jest istotnym ograniczeniem; funkcja $V$ może w każdym kroku sprawdzać, czy odpowiedź funkcji $\bar{P}$ nie jest zbyt długa i jeśli tak to odrzucać słowo. W dalszej części rozdziału będziemy zakładali takie właśnie zachowanie funkcji $V$ .

Widzimy zatem, że funkcja $V$ musi być zabezpieczona przed oszustwami; jeżeli $V$ mogłaby zaufać funkcji $P$ to mogłaby rozwiązać każdy problem decyzyjny -- wystarczyłoby po prostu skorzystać z nieograniczonej mocy obliczeniowej $P$ . W naszym przypadku jednak nie wystarczy aby $P$ tylko rozwiązała problem decyzyjny -- musi jeszcze przekonać $V$ do swojego rozwiązania.

Przykład

Rozważmy problem $N O N - G R A P H - I S O$ . Jest on zdefiniowany następująco:

$N O N - G R A P H - I S O = {⟨ G, H ⟩ :$ grafy $G$ i $H$ nie są izomorficzne $}$

Łatwo sie przekonać, że problem izomorfizmu grafów jest w klasie $N P$ -- wystarczy zgadnąć odpowiednią permutację wierzchołków, po czym zweryfikować ją w trywialny sposób. $N O N - G R A P H - I S O$ należy zatem do $c o N P$ . Nie jest jednak obecnie znana odpowiedź na pytanie o przynależność tego problemu do klasy $N P$ . Pokażemy teraz, w jaki sposób można rozwiązać $N O N - G R A P H - I S O$ za pomocą systemów dowodów interaktywnych, pokazując przynależność tego problemu do klasy $I P$ .

System działa w prosty sposób: W kolejnych iteracjach funkcja $V$ wybiera losowo jeden z grafów, a następnie w losowy sposób permutuje jego wierzchołki. Taki graf jest przekazywany jako wiadomość do funkcji $P$ . Zadaniem funkcji $P$ jest rozpoznanie, który z wyjściowych grafów został wylosowany i przekształcony przez $V$ .

Ćwiczenie

Zdefiniuj, w jakich przypadkach $V$ powinien zaakceptować, a w jakich odrzucić wejściową parę grafów. Oblicz, ile iteracji jest potrzebnych, aby system rozpoznawał język $N O N - G R A P H - I S O$ w czasie wielomianowym zgodnie z wcześniejszą definicją.

Rozwiązanie

Zachowanie $V$ powinno być następujące: Jeżeli $P$ pomyli się w odpowiedzi, $V$ powinno odrzucić parę grafów -- czyli stwierdzić, że są izomorficzne. $V$ powinno zaakceptować grafy -- czyli stwierdzić, że nie są izomorficzne -- jeżeli $P$ dwukrotnie poprawnie odgadnie, który graf został wylosowany przez $V$ . Pokażemy teraz, że system ten rozpoznaje $N O N - G R A P H - I S O$ . Załóżmy, że grafy wejściowe nie są izomorficzne. W tym przypadku łatwo wskazać funkcję $P$ , która zawsze będzie udzielała prawidłowej odpowiedzi; prawdopodobieństwo akceptacji wyniesie zatem $1$ . Pozostaje jeszcze tylko pokazać, że jeżeli grafy nie są izomorficzne, to $V$ nie da się oszukać żadnej funkcji $\bar{P}$ . Funkcja $\bar{P}$ nie ma jednak żadnej możliwości sprawdzenia, który graf został wybrany. Niezależnie zatem jak się zachowa, prawdopodobieństwo udzielenia dwóch kolejnych poprawnych odpowiedzi będzie nie większe niż $1 / 4$ , co kończy dowód.

Ćwiczenie

Pokaż, że klasa $B P P$ jest zawarta w klasie $I P$ .

Rozwiązanie

Weźmy dowolny problem z klasy $B P P$ oraz program dla probabilistycznej maszyny Turinga, rozwiązujący ten problem w czasie wielomianowym. Wystarczy teraz, by funkcja $V$ po prostu wykonała ten program i udzieliła odpowiedzi bez angażowania $P$ .

Ćwiczenie

Rozpatrzmy takie systemy dowodów interaktywnych, w których funkcje $V$ nie zależą od argumentu $r$ (słowa losowego). Jaką klasę języków rozpoznają takie systemy, przy założeniach o złożoności analogicznych jak w przypadku klasy $I P$ ?

Rozwiązanie

Zauważmy najpierw, że z tak określone protokoły komunikacyjne są w pełni deterministyczne (w tym sensie, że pozbawione są losowości). Zatem dla ustalonego systemu $(V, P)$ i ustalonego słowa wejściowego odpowiedź protokołu zawsze jest taka sama.

Łatwo się przekonać, że za pomocą opisanych powyżej systemów można rozpoznać dowolny język z klasy $N P$ . Protokół wygląda w następujący sposób: Dla zadanego słowa wejściowego $w$ funkcja $P$ zwraca świadka jego przynależności do rozważanego języka. Funkcja $V$ następnie weryfikuje świadka w sposób deterministyczny w czasie wielomianowym i na tej podstawie udziela odpowiedzi. Jest jasne, że w przypadku gdy $w$ należy do rozważanego języka, odpowiednia funkcja $P$ jest w stanie przekonać $V$ o tej przynależności -- ponieważ nie ma żadnych restrykcji na złożoność funkcji $P$ , może ona po prostu rozważyć wszystkich możliwych kandydatów na świadków o pewnej ustalonej z góry długości. Ponadto jeśli $w$ nie należy do rozważanego języka to $V$ jest w stanie wykryć każdą próbę oszustwa.

Pokażemy teraz, że każdy język rozpoznawalny przez systemy opisane w treści zadania należy do $N P$ . Ustalmy zatem pewien język $L$ i rozpoznający go system $(V, P)$ . Załóżmy bez straty ogólności, że system ten dla słowa wejściowego $w$ wykonuje dokładnie $p (| w |)$ kroków, oraz że każda przekazywana wiadomość ma długość $p (| w |)$ . Zdefiniujmy teraz niedeterministyczną maszynę Turinga $M$ , rozpoznającą język $L$ . Załóżmy, że maszyna oprócz taśmy roboczej ma też (początkowo pustą) taśmę służącą do przechowywania kolejnych komunikatów. Działanie maszyny $M$ będzie podzielone na fazy; w fazach nieparzystych maszyna będzie symulować działanie funkcji $V$ -- to znaczy $M$ przeczyta historię wysłanych dotychczas wiadomości i słowo wejściowe, i na tej podstawie dopisze kolejną wiadomość. W fazach parzystych maszyna $M$ w sposób niedeterministyczny wygeneruje wiadomość o długości $p (| w |)$ i dopisze ją na taśmę. W przypadku, gdy $w \in L$ łatwo wskazać ścieżkę postępowania dla tej maszyny, która doprowadzi do akceptacji; będzie to ścieżka, w której wygenerowane w fazach parzystych wiadomości pokrywają się z odpowiedziami udzielanymi przez funkcję $P$ . Rozważmy teraz przypadek $w \notin L$ . Załóżmy nie wprost, że istnieje taka ścieżka postępowania maszyny $M$ , która doprowadzi do akceptacji tego słowa. W takim przypadku możemy jednak utworzyć funkcję $\bar{P}$ , która będzie zwracała wiadomości wygenerowane w fazach parzystych postępowania maszyny $M$ . W tym przypadku funkcja $V$ da się oszukać funkcji $\bar{P}$ dla słowa $w$ z prawdopodobieństwem równym 1 -- a zatem system $(V, P)$ nie będzie rozpoznawał języka $L$ , co jest sprzeczne z założeniem.

Pokazaliśmy zatem, że protokoły zdefiniowane w treści ćwiczenia rozpoznają klasę języków $N P$ .

Możemy w tym momencie przypuszczać, że klasa $I P$ jest znacząco większa od klasy $N P$ . Nie wiemy obecnie czy przypuszczenie to jest prawdziwe; przemawia jednak za nim poniższe twierdzenie.

Twierdzenie

$I P = P S P A C E$

Dowód:

Pokażemy najpierw fakt $I P \subseteq P S P A C E$ . W tym celu wybierzemy dowolny problem z klasy $I P$ i rozwiążemy go z użyciem wielomianowej ilości pamięci.

Załóżmy, że system $(V, P^{'})$ akceptuje wybrany język w czasie wielomianowym.

Ustalmy słowo $w$ . Będziemy mówić, że ciąg wiadomości $m_{1} # m_{2} # \dots # m_{i}$ jest zgodny ze słowem losowym $r$ jeżeli stanowi on historię wiadomości po $i$ iteracjach pewnego systemu $(V, P^{″})$ , używającego słowa losowego $r$ . Warto zauważyć, że ciąg wiadomości może być zgodny z wieloma słowami losowymi (na przykład ciąg pusty jest zgodny z każdym słowem losowym), a słowo losowe może być zgodne z różnymi ciągami wiadomości (w zależności od funkcji $P^{″}$ ).

Zdefiniujmy teraz funkcję $P$ w taki sposób, by miała ona następującą własność:

$\forall_{w} P r ((V, P)$ akceptuje $w) = m a x_{P^{″}} P r ((V, P^{″})$ akceptuje $w)$

Funkcja $P$ zatem dla każdego słowa wejściowego zachowuje się w najlepszy możliwy sposób. Jest ona dobrze zdefiniowana, gdyż dla każdego wejściowego słowa zbiór prawdopodobieństw jest skończony -- przy ustalonym słowie $w$ wszystkie możliwe funkcje $P^{″}$ można przypisać do skończonej liczby klas równoważności, w ramach których system $(V, P)$ zachowuje się identycznie (pamiętajmy, że w całym procesie komunikacji funkcja $V$ wykonuje co najwyżej skończoną, ustaloną dla danego słowa wejściowego liczbę kroków).

Jest jasne, że $(V, P)$ również akceptuje wybrany język w czasie wielomianowym -- od tej pory będziemy się zatem zajmowali tym konkretnym systemem. Nasz algorytm będzie dla każdego słowa wejściowego wprost obliczał prawdopodobieństwo zaakceptowania go przez system $(V, P)$ ; tym samym, w zależności od wyniku, będzie mógł okreslić, czy słowo wejściowe należy do języka. Dla uproszczenia założymy, że system $(V, P)$ daje odpowiedzi po dokładnie $p (| x |)$ krokach.

Zdefiniujmy teraz funkcję, mierzącą prawdopodobieństwo akceptacji słowa przez system $(V, P)$ przy ustalonej częściowej historii komunikacji:

$N (m_{1} # m_{2} # \dots # m_{i}) = P r ($ słowo $w$ zostanie zaakceptowane pod warunkiem, że dotychczasowe komunikaty reprezentowane są przez $m_{1} # m_{2} # \dots # m_{i})$

W przypadku, gdy nie ma słowa losowego zgodnego z $m_{1} # m_{2} # \dots # m_{i}$ , funkcji $N (m_{1} # m_{2} # \dots # m_{i})$ nadajemy wartość $0$ . Łatwo jest obliczyć $N (m_{1} # m_{2} # \dots # m_{p (| x |)})$ :

jeżeli $m_{p (| x |)} = a c c e p t$ i $m_{1} # m_{2} # \dots # m_{p (| x |)}$ jest zgodne

z pewnym słowem losowym, to

$N (m_{1} # m_{2} # \dots # m_{p (| x |)}) = 1$

w przeciwnym przypadku

$N (m_{1} # m_{2} # \dots # m_{p (| x |)}) = 0$

Do obliczania wartości $N$ dla mniejszej ilości kroków, możemy posłużyć się następującym wzorem rekurencyjnym:

jeżeli $i$ jest nieparzyste, to

$N (m_{1} # m_{2} # \dots # m_{i}) = \max_{m_{i + 1}} N (m_{1} # m_{2} # \dots # m_{i + 1})$

jeżeli $i$ jest parzyste, to

$N (m_{1} # m_{2} # \dots # m_{i}) = \sum_{m_{i + 1}} P r (m_{i + 1} | m_{1} # m_{2} # \dots # m_{i}) \cdot N (m_{1} # m_{2} # \dots # m_{i + 1})$

Wzór ten jest konsekwencją zachowania $P$ i $V$ : $P$ w każdym kroku maksymalizuje prawdopodobieństwo akceptacji, natomiast zachowanie $V$ zależne jest od historii wiadomości i słowa losowego.

W tym momencie wystarczą dwa spostrzeżenia; po pierwsze $N (ϵ)$ jest poszukiwanym przez nas prawdopodobieństwem zaakceptowania przez system $(V, P)$ słowa $w$ . Po drugie $N (ϵ)$ jest obliczalne w pamięci wielomianowej: Każde rekurencyjne wywołanie funkcji $N$ powoduje sekwencyjne rozważenie wszystkich możliwych odpowiedzi, których długość jest jednak ograniczona od góry przez $p (| x |)$ . Dodatkowo przy obliczeniach na poziomie zagłębienia $p (| x |)$ należy rozważyć wszystkie możliwe słowa losowe i sprawdzić ich zgodność z aktualnie rozważanym ciągiem komunikatów. Wszystkie te operacje można wykonać z użyciem $O (p (| x |)^{2})$ komórek pamięci.

Pokazaliśmy zatem, że $I P \subseteq P S P A C E$ .

Dowód zawierania w drugą stronę odbywa się poprzez przedstawienie protokołu komunikacji dla problemu $Q S A T$ . Aby przybliżyć stosowaną w tym protokole technikę, zaprezentujemy najpierw dowód przynależności do klasy $I P$ problemu $# S A T (D)$ , będącego wersją decyzyjną problemu $# S A T$ :

Definicja

$# S A T (D) = {⟨ ϕ, k ⟩ :$ liczba wartościowań spełniających dla formuły $ϕ$ jest nie mniejsza niż $k}$

W dowodzie posłużymy się techniką zwaną arytmetyzacją; formuły logiczne będziemy zastępować wielomianami w następujący sposób:

zmienne formuły stają się zmiennymi wielomianu,
wyrażenia typu $\neg x$ zastępujemy przez $(1 - x)$ ,
wyrażenia typu $α \land β$ zastępujemy przez $α \cdot β$ ,
wyrażenia typu $α \lor β$ zastępujemy przez $(1 - (1 - α) \cdot (1 - β))$ .

Dla uproszczenia założymy na razie, że wielomiany te określone są na liczbach rzeczywistych.

Ćwiczenie

Niech $ϕ$ będzie formułą z $m$ zmiennymi, natomiast $W (x_{1}, \dots, x_{m})$ wielomianem otrzymanych w sposób przedstawiony powyżej. Weźmy dowolne wartościowanie zmiennych formuły $ϕ$ i podstawmy je do wielomianu $W$ (to znaczy podstawmy 0 gdy zmienna jest wartościowana na "fałsz" i 1 w przeciwnym przypadku). Pokaż, że wartość wielomianu $W$ jest równa 1 gdy wybrane wartościowanie jest wartościowaniem spełniającym dla $ϕ$ oraz 0 w przeciwnym przypadku.

Wskazówka

Rozwiązanie

Indukcja będzie zdefiniowana ze względu na ilość literałów w formule. Niech $ϕ$ będzie formułą z jednym literałem. Będzie ona zatem postaci $ϕ = x$ lub $ϕ = \neg x$ . Po zastosowaniu procesu arytmetyzacji, wielomian będzie miał postać odpowiednio $W (x) = x$ lub $W (x) = (1 - x)$ . Jest zatem jasne, że dla wartościowania zmiennej $x$ na "fałsz" wartości wielomianów wynoszą odpowiednio 0 i 1, a przy wartościowaniu na "prawdę" odpowiednio 1 i 0 -- spełnione są zatem wymagania opisane w treści ćwiczenia.

Załóżmy teraz, że własność podana w treści jest spełniona dla wszystkich formuł o długości nie większej niż $n - 1$ ; pokażemy, że jest ona również spełniona dla formuł o długości $n$ . Weźmy zatem formułę $ϕ$ o długości $n$ i załóżmy, że $ϕ = α \land β$ . Wielomian $W$ jest zatem postaci $W (x_{1}, \dots, x_{m}) = W_{α} (x_{1}, \dots, x_{m}) * W_{β} (x_{1}, \dots, x_{m})$ . Niech $a_{1}, \dots, a_{m}$ będzie wartościowaniem spełniającym dla formuły $ϕ$ ; jest ono zatem wartościowaniem spełniającym dla $α$ i $β$ . Formuły $α$ i $β$ mają co najwyżej $n - 1$ literałów -- korzystając z założenia indukcyjnego możemy stwierdzić, że

$W_{α} (a_{1}, \dots, a_{m}) = W_{β} (a_{1}, \dots, a_{m}) = 1$

W związku z tym

$W (a_{1}, \dots, a_{m}) = 1$

Załóżmy teraz, że $a_{1}, \dots, a_{m}$ nie jest wartościowaniem spełniającym dla $ϕ$ . Nie jest zatem wartościowaniem spełniającym dla przynajmniej jednej z formuł $α$ lub $β$ . W związku z tym zachodzi własnosć:

$W_{α} (a_{1}, \dots, a_{m}) = 0$

lub

$W_{β} (a_{1}, \dots, a_{m}) = 0$

W konsekwencji

$W (a_{1}, \dots, a_{m}) = 0$

Dowód przypadku gdy $ϕ = α \lor β$ jest analogiczny.

Ćwiczenie

Niech $n$ oznacza liczbę -- niekoniecznie różnych -- literałów (zmiennych i ich zaprzeczeń) w formule $ϕ$ . Pokaż, że stopień każdej zmiennej w wielomianie $W$ jest nie większy niż $n$ .

Rozwiązanie

Dowód znowu przebiega przez indukcję ze względu na ilość literałów w formule. Jeżeli formuła zawiera dokładnie jeden literał, to wielomian powstający w wyniku arytmetyzacji jest funkcją liniową. Stopień każdej zmiennej jest zatem równy 0 lub 1.

Załóżmy teraz, że własność podana w treści jest spełniona dla formuł o nie więcej niż $n - 1$ literałach; pokażemy, że jest ona też spełniona dla formuł o $n$ literałach. Weźmy formułę $ϕ$ o $n$ literałach i załóżmy, że jest ona postaci $ϕ = α \land β$ . Oznaczmy długości formuł $α$ i $β$ jako $l_{α}$ i $l_{β}$ . Ustalmy też dowolną zmienną $x_{i}$ występującą w formule $ϕ$ . Z założenia indukcyjnego wiemy, że stopień tej zmiennej w wielomianach $W_{α}$ i $W_{β}$ jest co najwyżej równy odpowiednio $l_{α}$ lub $l_{β}$ . Wielomian otrzymany z formuły $ϕ$ jest postaci $W (x_{1}, \dots, x_{m}) = W_{α} (x_{1}, \dots, x_{m}) * W_{β} (x_{1}, \dots, x_{m})$ . Stopień $W$ jako wielomianu zmiennej $x_{i}$ jest zatem równy co najwyżej $l_{α} + l_{β}$ -- liczba ta jest równa ilości literałów w formule $ϕ$ .

W przypadku, gdy $ϕ = α \lor β$ , wielomian $W$ jest postaci:

$W (\dots) = 1 - (1 - W_{α} (\dots)) \cdot (1 - W_{β} (\dots))$

Po dokonaniu mnożenia otrzymamy:

$W (\dots) = W_{α} (\dots) + W_{β} (\dots) - W_{α} (\dots) \cdot W_{β} (\dots)$

Jest zatem jasne, że stopień $W$ jako zmiennej $x_{i}$ jest nie większy niż $l_{α} + l_{β}$ .

Zdefiniujmy teraz ciąg wielomianów $f_{0}, f_{1}, \dots, f_{m}$ w następujący sposób:

$f_{m}$ jest wielomianem otrzymanym z formuły $ϕ$ w wyniku procesu

arytmetyzacji,

$f_{i} (x_{1}, x_{2}, \dots, x_{i}) : = f_{i + 1} (x_{1}, x_{2}, \dots, x_{i}, 0) + f_{i + 1} (x_{1}, x_{2}, \dots, x_{i}, 1)$ .

Zauważmy, że ilość argumentów zmniejsza się w kolejnych funkcjach, a $f_{0}$ nie posiada żadnych argumentów (czyli jest stałą). Funkcje te spełniają następującą własność:

$\forall_{a_{1}, a_{2}, \dots, a_{i} \in {0, 1}} f_{i} (a_{1}, a_{2}, \dots, a_{i}) = \sum_{x_{i + 1} \in {0, 1}} \dots \sum_{x_{m} \in {0, 1}} f_{m} (a_{1}, a_{2}, \dots, a_{i}, x_{i + 1}, \dots, x_{m})$

Oznacza to, że jeżeli $a_{1}, \dots, a_{i}$ reprezentują pewne wartościowanie zmiennych $x_{1}, \dots, x_{i}$ , to $f_{i} (a_{1}, \dots, a_{i})$ wyznacza liczbę wartościwoań spełniających formułę $ϕ$ rozpoczynających się od $(a_{1}, \dots, a_{i})$ . Oczywistym wnioskiem z powyższego spostrzeżenia jest to, że $f_{0} ()$ jest liczbą wszystkich wartościowań spełniających $ϕ$ .

Zauważmy jeszcze, że w wielomianach $f_{i}$ zachowana jest własność, mówiąca że każda zmienna występuje co najwyżej w stopniu $n$ . Ilość wyrazów występujących w tych wielomianach może być jednak wykładnicza ze względu na długość formuły; z tego powodu obliczanie tych wielomianów może być procesem czasochłonnym.

Przedstawiany protokół komunikacyjny obliczanie wielomianów $f_{0}, \dots, f_{m - 1}$ zleca funkcji $P$ . Ta następnie przekazuje funkcji $V$ pewne informacje o wielomianach, na podstawie których $V$ może z dużym prawdopodobieństwem rozstrzygnąć, czy $f_{0}, \dots, f_{m - 1}$ zostały "uczciwie" obliczone zgodnie z powyższą rekurencyjną procedurą, czy też $P$ próbuje oszukać $V$ .

Protokół nie operuje na liczbach rzeczywistych -- zamiast nich używamy ciała $ℤ_{p}$ , gdzie $p$ jest liczbą pierwszą większą niż $2^{n}$ . Wielomiany określone nad takim ciałem mają wiele cech wspólnych z wielomianami nad $ℝ$ -- w szczególności wielomian jednej zmiennej o stopniu $n$ , który nie jest stale równy 0, ma co najwyżej $n$ pierwiastków. W rezultacie dwa różne wielomiany stopnia nie większego niż $n$ mogą być równe w co najwyżej $n$ punktach.

W tym momencie jesteśmy gotowi do przedstawienia protokołu dla $# S A T (D)$ :

Krok 1 (P): Znajdź liczbę pierwszą $p$ z przedziału $[2^{n}, 2^{n + 1}]$ oraz

jej certyfikat pierwszości (taka liczba na pewno istnieje -- wynika to z twierdzenia Bertranda-Czebyszewa). Prześlij je jako wiadomość.

Krok 2 (V): Sprawdź poprawność liczby $p$ , odrzuć słowo wejściowe jeśli

$p$ lub jej certyfikat są nieprawidłowe,

Krok 3 (P): Oblicz $f_{0} ()$ i prześlij jako wiadomośc,
Krok 4 (V): Sprawdź, czy $f_{0} () \geq k$ -- jeśli nie to odrzuć słowo

wejściowe,

Krok 5 (P): Oblicz $f_{1} (z)$ (wielomian ze zmienną $z$ ) i prześlij jego

współczynniki jako wiadomość,

Krok 6 (V): Sprawdź, czy $f_{0} () = f_{1} (0) + f_{1} (1)$ . Wylosuj dowolną

liczbę $r_{1}$ z $ℤ_{p}$ i prześlij ją jako wiadomość,

Krok 7 (P): Oblicz $f_{2} (r_{1}, z)$ (to też jest wielomian z jedną zmienną

$z$ ) i prześlij jego współczynniki jako wiadomość,

Krok 8 (V): Sprawdź, czy $f_{1} (r_{1}) = f_{2} (r_{1}, 0) + f_{2} (r_{1}, 1)$ . Wylosuj

dowolną liczbę $r_{2}$ z $ℤ_{p}$ i prześlij ją jako wiadomość,

$\dots$
Krok $2 m + 4$ (V): Sprawdź, czy

$f_{m - 1} (r_{1}, \dots, r_{m - 1}) = f_{m} (r_{1}, \dots, r_{m - 1}, 0) + f_{m} (r_{1}, \dots, r_{m - 1}, 1)$ . Sprawdź, czy $f_{m} (r_{1}, \dots, r_{m - 1}, z)$ jest wielomianem otrzymanym przez arytmetyzację formuły $ϕ$ i podstawienie $r_{1}, \dots, r_{m - 1}$ jako pierwszych $m - 1$ argumentów otrzymanego wielomianu. Jeżeli tak, to zaakceptuj słowo wejściowe, w przeciwnym przypadku je odrzuć.

W przypadku gdy słowo wejściowe należy do $# S A T (D)$ jest jasne, że funkcja $P$ postępująca zgodnie z powyższym protokołem zawsze przekona $V$ o tej przynależności. Popatrzmy teraz, co się stanie, gdy słowo wejściowe nie należy do $# S A T (D)$ ; w tym przypadku wartość $f_{0} ()$ podana przez $\bar{P}$ będzie musiała się różnić od wartości prawdziwej (oznaczmy ją jako $\bar{f_{0}} ()$ ). W związku z tym przynajmniej jedna z wartości $f_{1} (0)$ lub $f_{1} (1)$ będzie różna od oczekiwanej -- $\bar{f_{1}} (0)$ lub $\bar{f_{1}} (1)$ -- a co za tym idzie wielomian $f_{1} (z)$ będzie różny od $\bar{f_{1}} (z)$ . Pokażemy teraz fakt, będący sednem naszego dowodu: Jeżeli wielomian $f_{i} (r_{1}, r_{2}, \dots, r_{i - 1}, z)$ jest różny od wielomianu $\bar{f_{i}} (r_{1}, r_{2}, \dots, r_{i - 1}, z)$ , to z dużym prawdopodobieństwem również $f_{i + 1} (r_{1}, r_{2}, \dots, r_{i}, z)$ będzie różny od $\bar{f_{i + 1}} (r_{1}, r_{2}, \dots, r_{i}, z)$ . Zauważmy, że jesli $r_{i}$ zostanie wylosowane w taki sposób, że $f_{i} (r_{1}, \dots, r_{i}) = \bar{f_{i}} (r_{1}, \dots, r_{i})$ , to $\bar{P}$ w kolejnym kroku będzie mógł zwrócić wielomian $\bar{f_{i + 1}} (r_{1}, \dots, r_{i}, z)$ -- a zatem skutecznie oszuka $V$ . Aby tak się jednak stało wylosowana wartość $r_{i}$ musi być jednym z punktów, w których $\bar{f_{i}} (r_{1}, r_{2}, \dots, r_{i - 1}, z)$ i $\bar{f_{i}} (r_{1}, r_{2}, \dots, r_{i - 1}, z)$ są równe. Prawdopodobieństwo takiego zdarzenia to co najwyżej $n / 2^{n}$ . Jeżeli $f_{i} (r_{1}, \dots, r_{i}) \neq \bar{f_{i}} (r_{1}, \dots, r_{i})$ , to niewątpliwie $f_{i + 1} (r_{1}, \dots, r_{i}, 0) \neq \bar{f_{i + 1}} (r_{1}, \dots, r_{i}, 0)$ lub $f_{i + 1} (r_{1}, \dots, r_{i}, 1) \neq \bar{f_{i + 1}} (r_{1}, \dots, r_{i}, 1)$ -- a co za tym idzie wielomian $f_{i + 1} (r_{1}, \dots, r_{i}, z)$ będzie różny od wielomianu $\bar{f_{i + 1}} (r_{1}, \dots, r_{i}, z)$ .

Widzimy więc, że prawdopodobieństwo zdarzenia, w którym $f_{m} (r_{1}, \dots, r_{m - 1}, z)$ jest równy $\bar{f_{m}} (r_{1}, \dots, r_{m - 1}, z)$ jest ograniczone od góry przez wyrażenie $m \cdot n / 2^{n}$ , co z kolei jest nie większe niż $n^{2} / 2^{n}$ . $V$ jest w stanie wykryć niezgodność tych wielomianów w czasie wielomianowym w sposób deterministyczny -- a zatem $n^{2} / 2^{n}$ jest górnym ograniczeniem na prawdopodobieństwo zaakceptowania przez $V$ słowa spoza $# S A T (D)$ .

W tym momencie wystarczy już tylko zauważyć, że $n^{2} / 2^{n}$ jest mniejsze od $1 / 3$ dla każdego $n \geq 8$ ; protokół będziemy zatem stosować dla formuł o co najmniej 8 literałach. Pozostałe mogą zostać stablicowane przez $V$ i rozstrzygane w czasie stałym, bez angażowania $P$ .

Powyższy protokół pokazuje zatem przynależność $# S A T (D)$ do klasy $I P$ .

Powróćmy teraz do problemu $Q S A T$ . Możemy myśleć o kwantyfikatorach jako o pewnych transformacjach wykonywanych na zarytmetyzowanej formule logicznej, przedstawiając ten proces schematycznie jako:

${Q_{1}}_{x_{1}} {Q_{2}}_{x_{2}} \dots {Q_{m}}_{x_{m}} ⟨ ϕ ⟩$

gdzie $Q_{i} \in {\exists, \forall}$ , natomiast $⟨ ϕ ⟩$ to formuła $ϕ$ przekształcona w procesie arytmetyzacji. Operacje $Q_{i}$ definiujemy następująco:

${Q_{i}}_{x_{i}} W (x_{1}, x_{2}, \dots, x_{i}, \dots, x_{m}) = W (x_{1}, x_{2}, \dots, 0, \dots, x_{m}) \cdot W (x_{1}, x_{2}, \dots, 1, \dots, x_{m})$ gdy $Q_{i} = \forall$ ,
${Q_{i}}_{x_{i}} W (x_{1}, x_{2}, \dots, x_{i}, \dots, x_{m}) = 1 - (1 - W (x_{1}, x_{2}, \dots, 0, \dots, x_{m})) \cdot (1 - W (x_{1}, x_{2}, \dots, 1, \dots, x_{m}))$ gdy $Q_{i} = \exists$ .

Możemy w tym momencie spróbować powtórzyć poprzedni dowód, to znaczy zdefiniować ciąg wielomianów $f_{0}, f_{1}, \dots, f_{m}$ tak, aby $f_{m}$ był zarytmetyzowaną formułą $ϕ$ , a $f_{i - 1} = {Q_{i}}_{x_{i}} f_{i}$ . Niestety w tym przypadku wielomiany w kolejnych krokach są mnożone, a nie dodawane -- w związku z tym stopnie zmiennych w kolejnych wielomianach mogą rosnąć eksponencjalnie; nie będziemy zatem w stanie wypisać współczynników nawet po zawężeniu do jednej zmiennej.

Aby temu zaradzić, będziemy "po drodze" przekształcać wielomiany z użyciem następującej operacji:

$R_{x_{i}} W (x_{1}, x_{2}, \dots, x_{i}, \dots, x_{m}) = x_{i} \cdot W (x_{1}, x_{2}, \dots, 1, \dots, x_{m}) + (1 - x_{i}) \cdot W (x_{1}, x_{2}, \dots, 0, \dots, x_{m})$

Wielomian otrzymany w wyniku takiej transformacji ma następujące cechy:

jest liniowy ze względu na $x_{i}$ ,
maksymalne stopnie pozostałych zmiennych pozostają takie same,
nowy wielomian daje takie same wyniki co wyjściowy dla argumentów Boole'owskich

(to znaczy dla liczb 0 i 1).

Zmodyfikowana procedura postępowania będzie wyglądała następująco:

${Q_{1}}_{x_{1}} R_{x_{1}} {Q_{2}}_{x_{2}} R_{x_{1}} R_{x_{2}} {Q_{3}}_{x_{3}} \dots {Q_{m}}_{x_{m}} R_{x_{1}} \dots R_{x_{m}} ⟨ ϕ ⟩$

Zauważmy, że $R$ nie zmienia ilości zmiennych wielomianu, natomiast operacje $Q_{i}$ zmniejszają tą liczbę o 1. Liczbę transformacji oznaczymy jako $k$ -- będzie ona kwadratowo zależna od liczby zmiennych $m$ . W tym momencie możemy już zdefiniować ciąg wielomianów $f_{0}, f_{1}, \dots, f_{k}$ : $f_{k}$ będzie zarytmetyzowaną formułą $ϕ$ , natomiast $f_{i - 1}$ będzie otrzymywany z $f_{i}$ za pomocą odpowiedniej transformacji $Q_{j}$ lub $R$ . Ze względu na stosowanie $R$ stopień każdej zmiennej w tych wielomianach jest ograniczony przez liczbę literałów w $ϕ$ (oznaczaną ponownie jako $n$ ). Podobnie jak wcześniej, $f_{0} ()$ będzie szukanym przez nas wynikiem; wielomiany ponownie będą określone nad pewnym skończonym ciałem $ℤ_{p}$ -- tym razem jednak wystarczy nam dowolna liczba pierwsza $p$ większa niż $n^{4}$ . Taką liczbę $V$ może znaleźć samodzielnie, dla uproszczenia jednak założymy, że otrzymana zostanie ona tak samo jak $p$ w protokole dla $# S A T (D)$ . Właściwy protokół będzie oparty na tej samej zasadzie, co poprzednio: $P$ wypisze wartość $f_{0} ()$ , po czym będzie wypisywała pewne zawężenia wielomianów $f_{1}, \dots, f_{k}$ ; $V$ będzie sprawdzała, czy kolejne wielomiany nie są sprzeczne z poprzednimi (czyli również z $f_{0}$ ), a na końcu samodzielnie obliczy zawężenie wielomianu $\bar{f_{k}}$ i porówna je z wielomianem otrzymanym od $P$ . Ponownie jeśli $P$ skłamie przy podawaniu wartości $f_{0} ()$ , prawdopodobieństwo tego, że uda jej się to kłamstwo zamaskować, będzie nieduże. Popatrzmy teraz jak wygląda pojedynczy krok protokołu: Oznaczmy $i$ -tą transformację jako ${S_{i}}_{y_{i}}$ . Załóżmy bez utraty ogólności, że $y_{i} = x_{1}$ , natomiast $y_{i - 1} = x_{2}$ -- założenie to ma na celu jedynie uproszczenie indeksowania. Podobnie jak w przypadku $# S A T (D) V$ dysponuje współczynnikami $f_{i - 1}$ jako wielomianu zmiennej $x_{2}$ , gdzie za pozostałe zmienne zostały podstawione pewne wylosowane uprzednio stałe. Jeżeli operacja $S_{i}$ jest kwantyfikatorem, to protokół zachowuje się praktycznie identycznie jak w poprzednim dowodzie; w tym przypadku $V$ ma do dyspozycji wielomian $f_{i - 1} (x_{2}, r_{3}, r_{4}, \dots, r_{s})$ , losuje liczbę $r_{2}$ i prosi $P$ o przesłanie współczynników $f_{i} (x_{1}, r_{2}, \dots, r_{s})$ . Jeżeli wielomian $f_{i - 1} (x_{2}, r_{3}, r_{4}, \dots, r_{s})$ nie jest prawidłowy -- czyli gdy funkcja $P$ próbuje oszukać $V$ i nie udało jej się jeszcze "zatrzeć śladów oszustwa" -- to prawdopodobieństwo, że wielomian $f_{i} (x_{1}, r_{2}, \dots, r_{s})$ będzie prawidłowy będzie równe co najwyżej $n / n^{4}$ , czyli $1 / n^{3}$ . Rozpatrzmy teraz przypadek, gdy $S_{i} = R$ . $V$ ma do dyspozycji wielomian $f_{i - 1} (r_{1}, x_{2}, r_{3}, \dots, r_{s})$ . W pierwszej kolejności $V$ losuje pewną liczbę ${r^{'}}_{2}$ , po czym prosi $P$ o przesłanie współczynników wielomianu $f_{i - 1} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ . Następnie $V$ sprawdza, czy podstawienie ${r^{'}}_{2}$ do pierwszego z tych wielomianów daje ten sam wynik, co podstawienie $r_{1}$ do drugiego. Ponownie argumentujemy, że jeśli wielomian $f_{i - 1} (r_{1}, x_{2}, r_{3}, \dots, r_{s})$ był nieprawidłowy -- czyli różny od "wzorcowego" wielomianu $\bar{f_{i - 1}} (r_{1}, x_{2}, r_{3}, \dots, r_{s})$ -- to prawdopodobieństwo, że dla wylosowanej wartości ${r^{'}}_{2}$ zachodzi $f_{i - 1} (r_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s}) = \bar{f_{i - 1}} (r_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ jest nie większe niż $1 / n^{3}$ . W związku z tym wielomian $f_{i - 1} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ będzie poprawny z prawdopodobieństwem co najwyżej równym $1 / n^{3}$ . W następnym kroku $P$ przesyła współczynniki wielomianu $f_{i} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ . Zauważmy, że $V$ jest w stanie samodzielnie sprawdzić, czy wielomian $f_{i - 1} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ został otrzymany z $f_{i} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ w wyniku transformacji $R$ -- transformacja ta jest przecież jednoznacznie określona. Jeżeli założymy zatem, że wielomian $f_{i - 1} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ jest nieprawidłowy, to nieprawidłowy musi być też wielomian $f_{i} (x_{1}, {r^{'}}_{2}, r_{3}, \dots, r_{s})$ . Reasumując -- prawdopodobieństwo, że w kroku odpowiadającym pewnej transformacji $R$ funkcji $V$ uda się skutecznie "zatrzeć ślad" po wcześniejszym oszustwie jest nie większe niż $1 / n^{3}$ .

Uwaga

Zauważmy, że w trakcie działania protokołu losujemy $k$ liczb; jest zatem możliwe (i pewne), że w tym procesie $V$ będzie podstawiać w miejsce tej samej zmiennej różne wylosowane liczby. Dla przykładu -- powyżej wylosowaliśmy liczbę ${r^{'}}_{2}$ ; być może jednak już wcześniej dokonywaliśmy innej operacji na zmiennej $x_{2}$ i wylosowaliśmy inną liczbę $r_{2}$ . Widzimy zatem, że pewne wylosowane wartości zostają w tym procesie "zapomniane" i na ich miejsce losowane są nowe. Oczywiście wyniki nowych losowań powinny być niezależne od poprzednich -- inaczej $P$ mógłby osiągnąć większe prawdopodobieństwo skutecznego oszukania $V$ .

Jak zauważyliśmy wcześniej, liczba wykonywanych transformacji $k$ jest kwadratowo zależna od $m$ ; w szczególności natychmiastowe jest oszacowanie $k < (m + 1)^{2}$ . W związku z tym prawdopodobieństwo, że $V$ zaakceptuje słowo wejściowe nie należące do $Q S A T$ jest nie większe niż $(m + 1)^{2} / n^{3}$ , co z kolei jest nie większe niż $(n + 1)^{2} / n^{3} = O (1 / n)$ . Ponownie zatem $V$ musi "stablicować" wyniki dla pewnej skończonej liczby formuł (w tym przypadku stablicowane muszą zostać formuły o co najwyżej 4 literałach), a dla reszty protokół będzie dawał prawidłowe wyniki z wymaganym prawdopodobieństwem.

Powyższy protokół pokazuje więc przynależność $Q S A T$ do klasy $I P$ . W tym momencie wystarczy zauważyć, że klasa $I P$ jest domknięta ze względu na redukcje wielomianowe; jeśli $L_{1}$ redukuje się do $L_{2}$ oraz znamy protokół rozwiązujący $L_{2}$ , to $V$ może w pierwszym kroku dokonać redukcji, po czym postępować zgodnie z protokołem dla $L_{2}$ . Korzystając z faktu, że $Q S A T$ jest problemem $P S P A C E$ -zupełnym, stwierdzamy, że każdy problem z klasy $P S P A C E$ zawarty jest w klasie $I P$ .

Ćwiczenie

Wyjaśnij, czemu w protokole $# S A T (D)$ potrzebowaliśmy ciała o co najmniej $2^{n}$ elementach.

Rozwiązanie

Widzimy, że aby spełnić wymagania dotyczące prawdopodobieństwa zaakceptowania słowa spoza języka, wystarczy ciało o wielkości $n^{3}$ . W przypadku $# S A T (D)$ ciało $ℤ_{p}$ służy nam jednak nie tylko jako dostarczyciel dużej przestrzeni prawdobodobieństwa, lecz również do zliczania ilości spełniających wartościowań dla zadanej formuły logicznej. Z tego powodu potrzebujemy co najmniej $2^{m}$ liczb -- co oznacza, że w zdegenerowanym przypadku gdy każda zmienna jest używana w dokładnie jednym literale wymagane ciało musi mieć liczność nie mniejszą niż $2^{n}$ .

Złożoność obliczeniowa/Wykład 15: Kryptografia a złożoność

Funkcje jednokierunkowe

Systemy dowodów interaktywnych

Menu nawigacyjne

Działania na stronie

Opcje strony

Narzędzia osobiste

Nawigacja

Szukaj

Narzędzia