Złożoność obliczeniowa/Wykład 15: Kryptografia a złożoność

Funkcje jednokierunkowe

W dotychczasowych rozważaniach naszym celem było znalezienie możliwie efektywnego rozwiązania dla zadanych problemów; nadmierna złożoność problemu była przez nas traktowana jako cecha niepożądana, gdyż utrudniająca nasze zadanie. W tym rozdziale nasze podejście będzie odmienne; duża złożoność będzie dla nas cechą bardzo cenną. Będzie nas przy tym w mniejszym niż dotychczas stopniu interesować złożoność pesymistyczna -- w końcu nie satysfakcjonuje nas "gwarancja", mówiąca że "jeżeli osoba podsłuchująca będzie miała pecha to odszyfrowanie wiadomości będzie dla niej zadaniem czasochłonnym". Wolelibyśmy, żeby odszyfrowywanie wiadomości przez osoby nieuprawnione było czasochłonne praktycznie zawsze -- tak, by próba podsłuchiwania dawała szansę sukcesu bardzo bliską zeru. Duża pesymistyczna złożoność nie będzie zatem warunkiem wystarczającym bycia dobrym kryptosystemem; przyda nam się jednak w charakterze warunku koniecznego.

Definicja

Niech $f : {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją jednokierunkową wtedy i tylko wtedy gdy:

$f$ jest różnowartościowa,
istnieje pewna stała $k > 1$ taka, że $\forall_{x \in {0, 1}^{⋆}} | x |^{1 / k} \leq f (x) \leq | x |^{k}$ ,
$f$ jest obliczalna w czasie wielomianowym (czyli należy do klasy $F P$ ),
nie istnieje wielomianowy algorytm obliczający odwrotność funkcji $f$

-- czyli znajdujący dla słowa $y$ słowo $x$ , takie że $f (x) = y$ lub stwierdzający, że takie słowo nie istnieje.

Warto zauważyć, że powyższa definicja niejawnie zakłada prawdziwość zdania $P \neq N P$ .

Ćwiczenie

Niech $f$ spełnia pierwsze trzy warunki podane w definicji funkcji jednokierunkowej. Pokaż, że obliczanie odwrotności funkcji $f$ jest problemem z klasy $F N P$ .

Rozwiązanie

Z drugiego warunku wiemy, że $f^{- 1} (y)$ ma długość co najwyżej $| y |^{k}$ . Możemy zatem jako kandydatów na świadków rozpatrywać wszystkie słowa o długości nie większej niż $| y |^{k}$ . Takie słowa możemy następnie deterministycznie przekształcić za pomocą funkcji $f$ i sprawdzić, czy otrzymane słowo jest równe $y$ .

Z drugiej strony nierówność $P \neq N P$ wcale nie gwaratuje istnienia funkcji jednokierunkowych; jak się okazuje istnienie tego typu funkcji jest ściśle powiązane z pewną klasą złożoności, którą przedstawiamy poniżej.

Definicja Jednoznaczną maszyną Turinga

nazywamy niedeterministyczną maszynę Turinga taką, że dla każdego słowa wejściowego $x$ istnieje co najwyżej jedna akceptująca ścieżka obliczeń.

Definicja

Klasa $U P$ to klasa problemów rozstrzygalnych za pomocą jednoznacznych maszyn Turinga w czasie wielomianowym.

Uwaga

Klasę $U P$ , podobnie jak klasę $N P$ , można zdefiniować z użyciem pojęcia świadka:

{12pt} $L \in U P ⟺ \exists_{p (x) - w i e l o m i a n} \exists_{L^{'} \in P} \forall_{n \in ℕ} \forall_{w \in {0, 1}^{n}} [w \in L \Rightarrow ({\exists!}_{v \in {0, 1}^{p (n)}} ⟨ w, v ⟩ \in L^{'})] \land [w \notin L \Rightarrow (\neg \exists_{v \in {0, 1}^{p (n)}} ⟨ w, v ⟩ \in L^{'})]$ {12pt}

W językach z klasy $U L$ każde słowo ma dokładnie jednego świadka. Dowód równoważności powyższych definicji jest analogiczny jak w przypadku klasy $N P$ .

Jest jasne, że $P \subseteq U P \subseteq N P$ -- maszyny deterministyczne są specjalnymi przypadkami maszyn jednoznacznych. Dość powszechny jest pogląd, że obie powyższe relacje zawierania są właściwe (to znaczy nie zachodzi równość).

Pokażemy teraz bardzo ciekawy związek pomiędzy klasą $U P$ a funkcjami jednokierunkowymi.

Twierdzenie

Funkcje jednokierunkowe istnieją $⟺ U P \neq P$

Dowód

Zaczniemy od dowodu w kierunku $\Rightarrow$ . Załóżmy, że istnieje pewna funkcja jednokierunkowa $f$ . Możemy wtedy zdefiniować następujący język:

{12pt} $L_{f} = {(x, y) : \exists_{z} f (z) = y \land z \leq x}$ {12pt}

przy czym mówimy, że $z \leq x$ wtedy i tylko wtedy gdy

$| z | \leq | y |$ , lub
$| z | = | y |$ i w porządku leksykograficznym $z$ występuje nie później niż

$x$ .

Łatwo można zauważyć, że $L_{f} \in U P$ - maszyna rozwiązująca ten problem najpierw "zgaduje" słowo $z$ o wielkości nie większej niż $| y |^{k}$ , po czym sprawdza, czy w ustalonym porządku występuje ono nie później niż $x$ i czy zachodzi $f (z) = y$ . Z własności funkcji jednokierunkowych -- konkretnie z różnowartościowości -- wynika, że maszyna ta ma co najwyżej jedną akceptującą ścieżkę postępowania.

Chcemy teraz pokazać, że $L_{f} \notin P$ . Załóżmy zatem nie wprost, że istnieje jakiś wielomianowy algorytm rozwiązujący $L_{f}$ . Wykorzystamy go teraz do obliczenia odwrotności funkcji $f$ w czasie wielomianowym. W pierwszym kroku zapytamy algorytm, czy $(1^{| y |^{k}}, y) \in L_{f}$ (przez $1^{| y |^{k}}$ oznaczamy tutaj ciąg $| y |^{k}$ symboli $1$ ) - jeżeli otrzymamy odpowiedź "nie" to korzystając z definicji funkcji jednokierunkowej możemy od razu stwierdzić, że nie istnieje słowo $x$ takie, że $f (x) = y$ . Jeżeli otrzymamy odpowiedź "tak" to z użyciem co najwyżej $| y |^{k} - 1$ zapytań do naszego algorytmu jesteśmy w stanie ustalić długość szukanego słowa $x$ (pytamy kolejno o $(1^{| y |^{k} - 1}, y)$ , $(1^{| y |^{k} - 2}, y)$ , itd. aż do momentu gdy uzyskamy odpowiedź "nie"). Gdy znamy już długość słowa $x$ pozostaje nam już tylko obliczyć kolejne jego bity. Pierwszy bit otrzymamy pytając o parę $(0 1^{| x | - 1}, y)$ -- odpowiedź "tak" oznacza, że pierwszym bitem jest 0. Aby uzyskać drugi bit zapytamy -- w zależności od pierwszej odpowiedzi -- o $(00 1^{| x | - 2}, y)$ lub $(10 1^{| x | - 2}, y)$ . Kolejne bity odgadujemy w analogiczny sposób -- łącznie zatem wykonamy algorytm dla $L_{f} O (| y |^{k})$ razy. W ten sposób uzyskamy deterministycznty algorytm odwracający funkcję $f$ w czasie wielomianowym.

Doszliśmy więc do sprzeczności z definicją funkcji jednokierunkowej, co oznacza, że istnienie funkcji jednokierunkowych implikuje nierówność $P \neq U P$ .

Załóżmy teraz, że istnieje język $L \in U P - P$ , rozpoznawany przez jednoznaczną maszynę $U$ . Zdefiniujmy funkcję $f_{U} (w)$ w następujący sposób:

jeżeli $w$ jest zakodowaną parą słów $⟨ x, y ⟩$ oraz $x$

jest (jedynym) świadkiem przynależności słowa $y$ do $L$ , to

{12pt} $f_{U} (w) = 1 y$ , {12pt}

w przeciwnym przypadku

{12pt} $f_{U} (w) = 0 w$ , {12pt}

Widzimy, że pierwszy symbol wartości funkcji gwarantuje nam jej różnowartościowość. Spełniony jest również drugi warunek z definicji funkcji jednokierunkowej -- świadek dla słowa $y$ nie może być nadmiernie długi (bo jego długość jest wielomianowo zależna od długości $y$ ), a zatem $f_{U}$ nie może nadmiernie "skracać" słów. Funkcja $f_{U}$ jest też obliczalna w czasie wielomianowym -- wystarczy deterministycznie zweryfikować świadka, tak jak zrobiłaby to maszyna $U$ . Pozostaje nam zatem tylko pokazanie, że funkcja odwrotna do $d$ nie jest obliczalna w czasie wielomianowym. Gdyby tak jednak było, to moglibyśmy rozpoznawać język $L$ w czasie wielomianowym: Aby sprawdzić, czy $y \in L$ wystarczy zastosować odwrotność funkcji $f_{U}$ do słowa $1 y$ ; jeżeli $y \notin L$ to dostaniemy odpowiedź mówiącą, że $1 y$ nie można odwrócić; w przeciwnym przypadku otrzymamy świadka przynależności $y$ do języka $L$ .

Na dzień dzisiejszy nie znamy oczywiście funkcji, o której wiedzielibyśmy, że jest jednokierunkowa; istnienie takiej funkcji natychmiastowo implikuje przecież nierówność $P \neq N P$ . Jest jednak kilku "kandydatów" na funkcje jednokierunkowe -- to znaczy funkcji, dla których nie znamy efektywnego algorytmu pozwalającego na ich odwrócenie. Jedną z takich funkcji jest funkcja $f_{M U L}$ . Argumentami tej funkcji są dwie liczby pierwsze wraz ze swoimi certyfikatami pierwszości. Wartością funkcji jest iloczyn tych dwóch liczb. Bardziej formalnie:

jeżeli $w = ⟨ p, C (p), q, C (q) ⟩$ , gdzie $p < q$ a $C (p)$ i

$C (q)$ to certyfikaty pierwszości odpowiednio dla $p$ i $q$ , to

{12pt} $f_{M U L} (w) = 1 p \cdot q$ {12pt}

w przeciwnym przypadku

{12pt} $f_{M U L} (w) = 0 w$ {12pt}

Korzystamy tutaj z faktu, że możemy wymusić jednoznaczną reprezentację certyfikatu pierwszości dla danej liczby, oraz że certyfikaty mają rozmiar wielomianowo zależny od rozmiaru certyfikowanych liczb. $f_{M U L}$ jest zatem różnowartościowa i nie "skraca" nadmiernie słowa wejściowego.

Łatwo zauważyć, gdzie tkwi trudność w odwracaniu tej funkcji -- nie znamy efektywnego algorytmu potrafiącego faktoryzować iloczyn dwóch liczb pierwszych; znane nam obecnie algorytmy stają się niepraktyczne już przy iloczynach liczb pierwszych o długości kilkuset bitów.

Drugi ze znanych nam "kandydatów na funkcję jednokierunkową" również oparty jest na zagadnieniu z dziedziny teorii liczb -- problemie logarytmu dyskretnego. Funkcję tą można zdefiniować w następujący sposób:

dla $w$ postaci $⟨ p, C (p), r, x ⟩$ , gdzie $p$ jest liczbą

pierwszą, $C (p)$ certyfikatem jej pierwszości, $r$ jest najmniejszym generatorem grupy cyklicznej $ℤ_{p}^{⋆}$ , a $x$ jest liczbą naturalną z zakresu $[1, p - 1]$

{12pt} $f_{E X P} (w) = 1 ⟨ p, r, r^{x} m o d p) ⟩$ {12pt}

dla pozostałych $w$

{12pt} $f_{E X P} (w) = 0 w$ {12pt}

W tym przypadku aby odwrócić funkcję $f_{E X P}$ musielibyśmy na podstawie liczb $p$ , $r$ i $r^{x} m o d p$ umieć obliczyć wartość $x$ . Również dla tego, znanego od wielu lat, problemu nie znamy wydajnego rozwiązania.

Jak zauważyliśmy we wprowadzeniu do tego rozdziału w kryptografii duża złożoność pesymistyczna próby zdekodowania zaszyfrowanej wiadomości nie jest własnością wystarczającą. Z tego powodu przytoczymy alternatywną definicję funkcji jednokierunkowych, lepiej odwzorowującą nasze oczekiwania. Należy pamiętać, że definicja ta jest istotnie różna od definicji podanej wcześniej.

Definicja

Niech $f : {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją jednokierunkową wtedy i tylko wtedy gdy:

$f$ jest obliczalna w czasie wielomianowym,
$f$ nie jest stale równa $ϵ$ (słowu pustemu),
istnieje pewna stała $k > 1$ taka, że $\forall_{x \in {0, 1}^{⋆}} f (x) = ϵ \lor | x |^{1 / k} \leq f (x) \leq | x |^{k}$ ,
jeżeli $x$ i $y$ są słowami nad alfabetem ${0, 1}$ i $f (x) = f (y)$ ,

to $x = y$ lub $f (x) = f (y) = ϵ$ ,

dla każdej losowej maszyny Turinga $E$ działającej w czasie wielomianowym,

każdej liczby $l$ i dostatecznie dużej liczby $n$ , jeżeli $x$ jest losowym słowem ze zbioru ${x^{'} : | x^{'} | \leq n \land f (x^{'}) \neq ϵ}$ , to

{12pt} $P r [E (f (x)) = x] \leq n^{- l}$ {12pt}

W tej definicji zrezygnowaliśmy z wymagania o różnowartościowości funkcji; zamiast tego dopuszczamy, aby różne słowa dawały jako wynik wartość $ϵ$ , którą możemy traktować jako odpowiedź mówiącą, że wejście jest nieprawidłowe; dla przykładu przy adaptowaniu funkcji $f_{M U L}$ do powyższej definicji, w przypadku gdy $p$ lub $q$ nie będą liczbami pierwszymi, lub gdy $C (p)$ lub $C (q)$ nie będą odpowiednimi certyfikatami, funkcja zwróci wartość $ϵ$ . Zauważmy, że w powyższej definicji interesuje nas tylko trudność odszyfrowania wartości funkcji dla poprawnych wejść -- to znaczy w przypadku $f_{M U L}$ dla par liczb, które są pierwsze i których pierwszość jest potwierdzana przez $C (p)$ i $C (q)$ . Funkcje $f_{M U L}$ jak i $f_{E X P}$ -- po odpowiednim ich zmodyfikowaniu w sposób przedstawiony powyżej -- są poważnymi "kandydatami" na funkcje jednokierunkowe również w sensie definicji opisanej w poprzednim paragrafie.

Warto się w tym momencie zastanowić, w jaki sposób funkcje jednokierunkowe mogą się przydać w kryptografii. Otóż widzimy, że jedna ze stron -- zwyczajowo zwana Alicją -- może wydajnie zaszyfrować swoją wiadomość, na przykład używając ją jako argument $x$ do funkcji $f_{E X P}$ . Niestety druga strona -- zazwyczaj zwana Bob -- może mieć duże trudności z odszyfrowaniem wiadomości. W tej sytuacji fakt, że osoba podsłuchująca -- Cecylia -- niczego ciekawego się nie dowie, stanowi słabe pocieszenie.

Widzimy zatem, że aby zapewnić poufność komunikacji pochodzącej od Alicji, ale również możliwość odebrania tej wiadomości, Bob musi posiadać pewną tajną wiedzę, pozwalającą na wydajne odwrócenie funkcji szyfrującej. Zdefiniujemy teraz pewną modyfikację pojęcia funkcji jednokierunkowej, mającą szersze zastosowanie w kryptografii.

Definicja

Niech $f : {0, 1}^{⋆} \times {0, 1}^{⋆} \to {0, 1}^{⋆}$ . Mówimy, że $f$ jest funkcją z wytrychem wtedy i tylko wtedy gdy istnieje losowa maszyna Turinga $G$ oraz funkcja $h : {0, 1}^{⋆} \times {0, 1}^{⋆} \to {0, 1}^{⋆}$ taka, że:

funkcje $f$ i $h$ są obliczalne w czasie wielomianowym,
$G$ oczekuje na wejściu słowa nad alfabetem ${0, 1}$ , zwraca zakodowaną

parę słów nad alfabetem ${0, 1}$ i działa w czasie wielomianowym,

istnieje stała $k > 1$ taka, że

jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla słowa $1^{n}$ , natomiast $x$ jest słowem o długości nie większej niż $n$ , to $| ⟨ i, x ⟩ |^{1 / k} \leq | ⟨ t, f (i, x) ⟩ | \leq | ⟨ i, x ⟩ |^{k}$ ,

jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla

słowa $1^{n}$ , natomiast $x$ i $y$ są słowami o długości nie większej niż $n$ , to $f (i, x) = f (i, y) \Rightarrow x = y$ ,

dla każdej losowej maszyny Turinga $E$ , każdej liczby $l$ i dostatecznie

dużej liczby $n$ , jeżeli $⟨ i, t ⟩$ stanowi wynik działania maszyny $M$ dla słowa $1^{n}$ , $x$ jest losowym słowem nad alfabetem ${0, 1}$ nie dłuższym niż $n$ , to

{12pt} $P r [E (i, f (i, x)) = x] \leq n^{- l}$ {12pt}

Dla każdego $n$ , każdego słowa $x$ nie dłuższego niż $n$ i każdej pary

$⟨ i, t ⟩$ mogącej być wynikiem działania maszyny $G$ dla słowa wejściowego $1^{n}$

{12pt} $h (t, f (i, x)) = x$ {12pt}

Funkcje z wytrychem mogą zostać wykorzystane w celu stworzenia systemów kryptograficznych z kluczem publicznym. Sposób postępowania jest w tym przypadku następujący:

Bob ustala długość przekazywanych wiadomości ( $n$ ) oraz parametr

wyznaczający prawdopodobieństwo odszyfrowania pojedynczej wiadomości ( $k$ ),

Bob uruchamia maszynę $G$ i otrzymuje parę słów $⟨ i, t ⟩$ .

Słowo $i$ staje się dostępnym dla wszystkich kluczem publicznym, natomiast $t$ pozostaje tajemnicą znaną tylko Bobowi,

Alicja, chcąc wysłać wiadomość do Boba, używa znanego jej klucza

publicznego $i$ . Własności funkcji z wytrychem sprawiają, że odszyfrowanie wiadomości jest łatwe dla Boba, natomiast trudne dla osób trzecich nie znających klucza $t$ .

Najbardziej znanym systemem kryptograficznym opartym na powyższej zasadzie jest system RSA. Pamiętajmy przy tym, że nie znamy formalnego dowodu, mówiącego, że RSA spełnia warunki określone w definicji funkcji z wytrychem.

Prześledźmy teraz w jaki sposób zdefiniowane są $f$ , $h$ i $G$ dla systemu RSA.

Zadaniem maszyny $G$ jest wygenerowanie pary kluczy. W tym celu losuje ona dwie liczby pierwsze $p$ i $q$ , z których każda ma długość większą niż $n / 2$ (gdzie $n$ to długość przekazywanych wiadomości). Następnie oblicza ona liczbę $N = p \cdot q$ oraz wartość funkcji Eulera dla tej liczby: $ϕ (N) = (p - 1) \cdot (q - 1)$ . W kolejnym kroku znajdowana jest dowolna liczba $e$ z zakresu $[2, N - 2]$ , względnie pierwsza z $ϕ (N)$ . Dla liczby $e$ znajdywana jest następnie liczba $d$ z zakresu $[2, N - 2]$ taka, że

{12pt} $d \cdot e = 1 m o d ϕ (N)$ {12pt}

Istnienie takiej liczby spowodowane jest faktem, że $e$ i $ϕ (N)$ są względnie pierwsze; liczbę $d$ można efektywnie obliczyć z użyciem uogólnionego algorytmu Euklidesa.

W tym momencie można już zdefiniować parę kluczy: Kluczem publicznym jest para liczb $e$ oraz $N$ . Kluczem prywatnym jest para liczb $d$ oraz $N$ . Szyfrowanie słowa $x$ wygląda następująco:

{12pt} $f (⟨ e, N ⟩, x) = x^{e} m o d N$ {12pt}

przy czym wiadomość $x$ traktujemy jako binarny zapis pewnej liczby naturalnej. Dekodowanie słowa $y$ określone jest w praktycznie identyczny sposób:

{12pt} $h (⟨ d, N ⟩, y) = y^{d} m o d N$ {12pt}

Wystarczy teraz przypomnieć sobie, że iloczyn $d \cdot e$ jest postaci $k \cdot ϕ (N) + 1$ , dla pewnej liczby całkowitej $k$ . W związku z tym

{12pt} $h (⟨ d, N ⟩, f (⟨ e, N ⟩, x)) = (x^{e})^{d} m o d N = x^{k \cdot ϕ (N) + 1} m o d N = x^{k \cdot ϕ (N)} \cdot x m o d N = x$ {12pt}

Widzimy zatem, że funkcja $h$ poprawnie dekoduje słowa zaszyfrowane z użyciem funkcji $f$ -- Bob będzie zatem w stanie odtworzyć wiadomość wysłaną przez Alicję.

Systemy dowodów interaktywnych

W ostatnim fragmencie niniejszego kursu zajmiemy się klasą złożoności, będącą uogólnieniem klas $N P$ i $B P P$ . W tym celu zdefiniujemy pojęcie systemu dowodów interaktywnych.

Definicja Systemem dowodów interaktywnych

nazywamy parę funkcji $V$ oraz $P$ o sygnaturach:

{12pt} $V : Σ^{⋆} \times Σ^{⋆} \times Σ^{⋆} \to Σ^{⋆} \cup {a c c e p t, r e j e c t}$ {12pt} $P : Σ^{⋆} \times Σ^{⋆} \to Σ^{⋆}$ {12pt}

taką, że funkcja $V$ jest obliczalna na maszynie Turinga.

Działanie systemu dowodów interaktywnych polega na wymianie komunikatów między funkcjami $V$ i $P$ , przy czym funkcja $P$ (z angielskiego prover) stara się "przekonać" funkcję $V$ (verifier) o tym, że słowo wejściowe należy do rozpatrywanego języka, natomiast ostateczna decyzja w tej sprawie należy do $V$ .

Komunikacja odbywa się naprzemiennie: Funkcja $V$ generuje wiadomość, przekazywaną funkcji $P$ jako argument; funkcja $P$ z kolei generuje odpowiedź przekazywaną funkcji $V$ w następnej iteracji. Taka komunikacja odbywa się do momentu zaakceptowania lub odrzucenia słowa wejściowego przez funkcję $V$ . W każdym kroku obie funkcje mają do dyspozycji zarówno słowo wejściowe, jak również pełną historię przekazanych dotychczas wiadomości.

Określmy teraz, co dokładnie oznaczają argumenty funkcji $V$ i $P$ . Argumenty funkcji $V$ będziemy oznaczać w następujący sposób:

{12pt} $V (w, r, m_{1} # m_{2} # \dots # m_{i})$ {12pt}

Mają one następujące znaczenie:

$w$ to słowo wejściowe,
$r$ jest losowym ciągiem bitów,
$m_{1} # m_{2} # \dots # m_{i}$ to konkatenacja dotychczasowych wiadomości,

które zostały przekazane w procesie komunikacji (wiadomości o indeksach nieparzystych sa wynikami działania funkcji $V$ , natomiast wiadomości o indeksach parzystych sa wynikami działania funkcji $P$ ).

Zwróćmy uwagę, że $V$ ma do dyspozycji losowe słowo $r$ ; w praktyce oznacza to, że o funkcji $V$ będziemy myśleć jako o pewnej losowej maszynie Turinga.

Zakładamy, że zarówno $w$ jak i $r$ są stałe w kolejnych iteracjach; słowo $r$ jest zatem losowane jednokrotnie, przed rozpoczęciem procesu komunikacji. Warto też zauważyć, że słowa $w$ i $r$ całkowicie determinują działanie systemu.

Argumenty funkcji $P$ będziemy oznaczać następująco:

{12pt} $P (w, m_{1} # m_{2} # \dots # m_{i})$ {12pt}

Ich znaczenie jest identyczne jak w przypadku argumentów funkcji $V$ , nie ma wśród nich jednak słowa losowego.

Możemy w tym momencie zdefiniować klasę $I P$ :

Definicja

Niech $L \subseteq Σ^{⋆}$ . Mówimy, że $L \in I P$ wtedy i tylko wtedy gdy istnieje system dowodów interaktywnych $(V, P)$ oraz wielomiany $p (n)$ i $q (n)$ takie, że dla każdego słowa wejściowego $w$ oraz losowego słowa $r$ o długości $p (| x |)$ :

system daje odpowiedź po co najwyżej $p (| x |)$ krokach,
w każdej iteracji czas działania maszyny obliczającej funkcję $V$ jest

ograniczony od góry przez $q (| x |)$ ,

długość każdej wiadomości $m_{i}$ jest nie większa niż $p (| x |)$ ,
jeżeli $w \in L$ to prawdopodobieństwo zaakceptowania słowa przez system

wynosi co najmniej $2 / 3$ ,

jeżeli $w \notin L$ oraz $\bar{P}$ jest dowolną funkcją o sygnaturze zgodnej

z $P$ , zwracającą wiadomości nie dłuższe niż $p (| x |)$ , to system $(V, \bar{P})$ spełnia powyższe założenia na ilość iteracji, czas działania i długość wiadomości oraz akceptuje słowo $w$ z prawdopodobieństwem nie większym niż $1 / 3$ .

O systemie $(V, P)$ mówimy, że rozpoznaje język $L$ w czasie wielomianowym.

Innymi słowy jeżeli słowo $w$ należy do języka, to $V$ z dużym prawdopodobieństwem da się przekonać o tej przynależności przez pewną ustaloną funkcję $P$ . Jeżeli jednak $w$ nie należy do $L$ , to $V$ nie da się oszukać żadnej funkcji $\bar{P}$ ze zbyt dużym prawdopodobieństwem.

Uwaga

Zwróćmy jeszcze uwagę, że branie pod uwagę tylko takich funkcji $\bar{P}$ , które nie zwracają zbyt długich słów nie jest istotnym ograniczeniem; funkcja $V$ może w każdym kroku sprawdzać, czy odpowiedź funkcji $\bar{P}$ nie jest zbyt długa i jeśli tak to odrzucać słowo. W dalszej części rozdziału będziemy zakładali takie właśnie zachowanie funkcji $V$ .

Widzimy zatem, że funkcja $V$ musi być zabezpieczona przed oszustwami; jeżeli $V$ mogłaby zaufać funkcji $P$ to mogłaby rozwiązać każdy problem decyzyjny -- wystarczyłoby po prostu skorzystać z nieograniczonej mocy obliczeniowej $P$ . W naszym przypadku jednak nie wystarczy aby $P$ tylko rozwiązała problem decyzyjny -- musi jeszcze przekonać $V$ do swojego rozwiązania.

Przykład

Rozważmy problem $N O N - G R A P H - I S O$ . Jest on zdefiniowany następująco:

{12pt} $N O N - G R A P H - I S O = {⟨ G, H ⟩ :$ grafy $G$ i $H$ nie są izomorficzne $}$ {12pt}

Łatwo sie przekonać, że problem izomorfizmu grafów jest w klasie $N P$ -- wystarczy zgadnąć odpowiednią permutację wierzchołków, po czym zweryfikować ją w trywialny sposób. $N O N - G R A P H - I S O$ należy zatem do $c o N P$ . Nie jest jednak obecnie znana odpowiedź na pytanie o przynależność tego problemu do klasy $N P$ . Pokażemy teraz, w jaki sposób można rozwiązać $N O N - G R A P H - I S O$ za pomocą systemów dowodów interaktywnych, pokazując przynależność tego problemu do klasy $I P$ .

System działa w prosty sposób: W kolejnych iteracjach funkcja $V$ wybiera losowo jeden z grafów, a następnie w losowy sposób permutuje jego wierzchołki. Taki graf jest przekazywany jako wiadomość do funkcji $P$ . Zadaniem funkcji $P$ jest rozpoznanie, który z wyjściowych grafów został wylosowany i przekształcony przez $V$ .

Ćwiczenie

Zdefiniuj, w jakich przypadkach $V$ powinien zaakceptować, a w jakich odrzucić wejściową parę grafów. Oblicz, ile iteracji jest potrzebnych, aby system rozpoznawał język $N O N - G R A P H - I S O$ w czasie wielomianowym zgodnie z wcześniejszą definicją.

Rozwiązanie

Zachowanie $V$ powinno być następujące: Jeżeli $P$ pomyli się w odpowiedzi, $V$ powinno odrzucić parę grafów -- czyli stwierdzić, że są izomorficzne. $V$ powinno zaakceptować grafy -- czyli stwierdzić, że nie są izomorficzne -- jeżeli $P$ dwukrotnie poprawnie odgadnie, który graf został wylosowany przez $V$ . Pokażemy teraz, że system ten rozpoznaje $N O N - G R A P H - I S O$ . Załóżmy, że grafy wejściowe nie są izomorficzne. W tym przypadku łatwo wskazać funkcję $P$ , która zawsze będzie udzielała prawidłowej odpowiedzi; prawdopodobieństwo akceptacji wyniesie zatem $1$ . Pozostaje jeszcze tylko pokazać, że jeżeli grafy nie są izomorficzne, to $V$ nie da się oszukać żadnej funkcji $\bar{P}$ . Funkcja $\bar{P}$ nie ma jednak żadnej możliwości sprawdzenia, który graf został wybrany. Niezależnie zatem jak się zachowa, prawdopodobieństwo udzielenia dwóch kolejnych poprawnych odpowiedzi będzie nie większe niż $1 / 4$ , co kończy dowód.

Ćwiczenie

Pokaż, że klasa $B P P$ jest zawarta w klasie $I P$ .

Rozwiązanie

Weźmy dowolny problem z klasy $B P P$ oraz program dla probabilistycznej maszyny Turinga, rozwiązujący ten problem w czasie wielomianowym. Wystarczy teraz, by funkcja $V$ po prostu wykonała ten program i udzieliła odpowiedzi bez angażowania $P$ .

Ćwiczenie

Rozpatrzmy takie systemy dowodów interaktywnych, w których funkcje $V$ nie zależą od argumentu $r$ (słowa losowego). Jaką klasę języków rozpoznają takie systemy, przy założeniach o złożoności analogicznych jak w przypadku klasy $I P$ ?

Rozwiązanie

Zauważmy najpierw, że z tak określone protokoły komunikacyjne są w pełni deterministyczne (w tym sensie, że pozbawione są losowości). Zatem dla ustalonego systemu $(V, P)$ i ustalonego słowa wejściowego odpowiedź protokołu zawsze jest taka sama.

Łatwo się przekonać, że za pomocą opisanych powyżej systemów można rozpoznać dowolny język z klasy $N P$ . Protokół wygląda w następujący sposób: Dla zadanego słowa wejściowego $w$ funkcja $P$ zwraca świadka jego przynależności do rozważanego języka. Funkcja $V$ następnie weryfikuje świadka w sposób deterministyczny w czasie wielomianowym i na tej podstawie udziela odpowiedzi. Jest jasne, że w przypadku gdy $w$ należy do rozważanego języka, odpowiednia funkcja $P$ jest w stanie przekonać $V$ o tej przynależności -- ponieważ nie ma żadnych restrykcji na złożoność funkcji $P$ , może ona po prostu rozważyć wszystkich możliwych kandydatów na świadków o pewnej ustalonej z góry długości. Ponadto jeśli $w$ nie należy do rozważanego języka to $V$ jest w stanie wykryć każdą próbę oszustwa.

Pokażemy teraz, że każdy język rozpoznawalny przez systemy opisane w treści zadania należy do $N P$ . Ustalmy zatem pewien język $L$ i rozpoznający go system $(V, P)$ . Załóżmy bez straty ogólności, że system ten dla słowa wejściowego $w$ wykonuje dokładnie $p (| w |)$ kroków, oraz że każda przekazywana wiadomość ma długość $p (| w |)$ . Zdefiniujmy teraz niedeterministyczną maszynę Turinga $M$ , rozpoznającą język $L$ . Załóżmy, że maszyna oprócz taśmy roboczej ma też (początkowo pustą) taśmę służącą do przechowywania kolejnych komunikatów. Działanie maszyny $M$ będzie podzielone na fazy; w fazach nieparzystych maszyna będzie symulować działanie funkcji $V$ -- to znaczy $M$ przeczyta historię wysłanych dotychczas wiadomości i słowo wejściowe, i na tej podstawie dopisze kolejną wiadomość. W fazach parzystych maszyna $M$ w sposób niedeterministyczny wygeneruje wiadomość o długości $p (| w |)$ i dopisze ją na taśmę. W przypadku, gdy $w \in L$ łatwo wskazać ścieżkę postępowania dla tej maszyny, która doprowadzi do akceptacji; będzie to ścieżka, w której wygenerowane w fazach parzystych wiadomości pokrywają się z odpowiedziami udzielanymi przez funkcję $P$ . Rozważmy teraz przypadek $w \notin L$ . Załóżmy nie wprost, że istnieje taka ścieżka postępowania maszyny $M$ , która doprowadzi do akceptacji tego słowa. W takim przypadku możemy jednak utworzyć funkcję $\bar{P}$ , która będzie zwracała wiadomości wygenerowane w fazach parzystych postępowania maszyny $M$ . W tym przypadku funkcja $V$ da się oszukać funkcji $\bar{P}$ dla słowa $w$ z prawdopodobieństwem równym 1 -- a zatem system $(V, P)$ nie będzie rozpoznawał języka $L$ , co jest sprzeczne z założeniem.

Pokazaliśmy zatem, że protokoły zdefiniowane w treści ćwiczenia rozpoznają klasę języków $N P$ .

Możemy w tym momencie przypuszczać, że klasa $I P$ jest znacząco większa od klasy $N P$ . Nie wiemy obecnie czy przypuszczenie to jest prawdziwe; przemawia jednak za nim poniższe twierdzenie.

Twierdzenie

$I P = P S P A C E$

Dowód

{{{3}}}

Ćwiczenie

Wyjaśnij, czemu w protokole $# S A T (D)$ potrzebowaliśmy ciała o co najmniej $2^{n}$ elementach.

Rozwiązanie

Widzimy, że aby spełnić wymagania dotyczące prawdopodobieństwa zaakceptowania słowa spoza języka, wystarczy ciało o wielkości $n^{3}$ . W przypadku $# S A T (D)$ ciało $ℤ_{p}$ służy nam jednak nie tylko jako dostarczyciel dużej przestrzeni prawdobodobieństwa, lecz również do zliczania ilości spełniających wartościowań dla zadanej formuły logicznej. Z tego powodu potrzebujemy co najmniej $2^{m}$ liczb -- co oznacza, że w zdegenerowanym przypadku gdy każda zmienna jest używana w dokładnie jednym literale wymagane ciało musi mieć liczność nie mniejszą niż $2^{n}$ .

Złożoność obliczeniowa/Wykład 15: Kryptografia a złożoność

Funkcje jednokierunkowe

Systemy dowodów interaktywnych

Menu nawigacyjne

Działania na stronie

Opcje strony

Narzędzia osobiste

Nawigacja

Szukaj

Narzędzia