PPAD et Quantum

Aujourd'hui à New York et dans le monde entier, l'anniversaire de Christos Papadimitriou est célébré. C'est une bonne occasion de poser des questions sur les relations entre la classe de complexité PPAD de Christos (et ses autres classes apparentées) et les ordinateurs quantiques. Dans son célèbre article de 1994, Papadimitriou a présenté et étudié systématiquement plusieurs classes de complexité importantes comme PLS, PPAD et autres. (L'article de Papadimitriou s'appuyait sur certains articles antérieurs et, en particulier, comme Aviad l'a noté, le PLS a été introduit par Johnson-Papadimitriou-Yannakakis en 1988.)

Ma principale question est:

Les ordinateurs quantiques offrent-ils un avantage pour les problèmes de ? ou en ? ou en ? etc...$PPAD$$PLS$$PLS \cap PPAD$

Une autre question est de savoir s'il existe des analogues quantiques de PLS et PPAD et d'autres classes de Christos.

Je note qu'une récente connexion remarquable de PPAD à la cryptographie a été trouvée dans ces articles: sur la dureté cryptographique de la recherche d'un équilibre de Nash par N Bitansky, O Paneth, A Rosen et la dureté PPAD peut-elle être basée sur des hypothèses cryptographiques standard? par A Rosen, G Segev, I Shahaf et Finding a Nash Equilibrium Is No Easier Than Breaking Fiat-Shamir by Arka Rai Choudhuri, Pavel Hubacek, Chethan Kamath, Krzysztof Pietrzak, Alon Rosen, Guy Rothblum. Je note également qu'à mon avis les cours de Christos sont particulièrement proches des mathématiques et des preuves mathématiques.

Mise à jour: Ron Rothblum a commenté (sur FB) que les résultats de Choudhuri, Hubacek, Kamath, Pietrzak, Rosen et G. Rothblum impliquent que PPAD est plausiblement au-delà de la puissance des ordinateurs quantiques. (Je serai heureux de voir une réponse élaborée l'expliquant.)

Un autre commentaire: une bonne question connexe est de savoir si trouver le puits dans une orientation unique unique du cube a un algorithme quantique efficace. (Je pense que cette tâche est plus facile que mais je ne sais pas comment elle est liée à .) Ceci est lié à la quête pour trouver un avantage quantique pour voir https://cstheory.stackexchange.com/a/767/712 . $n$$PLS$$PPAD$$LP$

Joyeux anniversaire, Christos!

Deux réponses que j'ai apprises en écrivant un blog sur cette question

1. Non : dans les variantes de boîte noire, la complexité de requête / communication quantique offre l'accélération quadratique Grover, mais pas plus que cela. Comme le souligne Ron, cela s'étend à la complexité de calcul sous des hypothèses plausibles.

2. Peut - être : l'équilibre de Nash est sans doute le problème phare des "classes Christos". Ici, donner aux joueurs l'accès à l'intrication quantique suggère un nouveau concept de solution d '«équilibre corrélé quantique» qui généralise l'équilibre de Nash. Sa complexité est toujours ouverte. Voir ce papier cool par Alan Deckelbaum.

Et une note historique: le PLS a été introduit par Johnson-Papadimitriou-Yannakakis en 1988 .

$\mathsf{PPAD}$

À un niveau élevé, CHKPRR construit une distribution sur des instances de fin de ligne où la recherche d'une solution nécessite soit:

• briser la solidité du système de preuve obtenu en appliquant l'heuristique Fiat-Shamir au fameux protocole de sumcheck, ou
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$, qui fonctionnerait parfaitement bien dans ce cadre: le protocole de contrôle de somme . Convertir une preuve interactive en une preuve non interactive (en maintenant la vérifiabilité et la compacité du public) est exactement ce que fait l'heuristique Fiat-Shamir.

Instanciation de Fiat-Shamir

L'heuristique Fiat-Shamir est très simple: corrigez une fonction de hachage, commencez par une preuve interactive publique et remplacez chaque message aléatoire du vérificateur par un hachage de la transcription jusqu'à présent. La question est alors de savoir sous quelle propriété de la fonction de hachage nous pouvons prouver que le protocole résultant est toujours valable (notez qu'il ne peut plus être statistiquement valable; l'espoir est qu'il reste solide sur le plan des calculs).

Avant de développer, permettez-moi de répondre à votre commentaire:

Je ne comprends toujours pas 1. Il y a certainement des hypothèses de dureté cryptographique qui ne s'appliquent pas dans le cas quantique. Qu'est-ce qui fait que "casser Fiat-Shamir" est difficile pour QC contrairement à, disons "casser RSA".

La description de haut niveau que j'ai donnée devrait indiquer clairement, je l'espère, que «casser Fiat-Shamir» et «casser RSA» ne sont pas vraiment des problèmes comparables. Le RSA est une hypothèse concrète et spécifique de dureté, et si vous pouvez factoriser de grands nombres entiers, alors vous pouvez le casser.

$\mathsf{PPAD}$de la fonction de hachage sous-jacente. À un niveau intuitif, ce n'est pas ce à quoi les ordinateurs quantiques sont bons, car c'est un problème qui ne semble pas nécessairement avoir une structure solide qu'il pourrait exploiter (contrairement, par exemple, à un logarithme discret et à RSA): les fonctions de hachage peuvent être généralement très "non structuré".

Plus concrètement, il existe deux alternatives naturelles lors du choix d'une fonction de hachage pour instancier Fiat-Shamir:

L'approche heuristique, concrètement efficace:

choisissez votre fonction de hachage préférée, disons SHA-3. Nous n'avons bien sûr aucune preuve que l'instanciation de Fiat-Shamir avec SHA-3 nous pose un problème difficile; mais nous ne connaissons pas non plus d'attaque non triviale sur la solidité des systèmes de preuve obtenue en appliquant Fiat-Shamir avec SHA-3 à un système de preuve interactif non dégénéré. Cela s'étend également au réglage quantique: nous ne connaissons aucune attaque quantique qui fasse mieux que l'accélération quadratique habituelle donnée par l'algorithme de Grover. Après des décennies de tentatives de cryptanalyse, le consensus au sein de la communauté cryptographique est que l'algorithme quantique ne semble pas , pour autant que nous puissions voir, fournir des accélérations superpolynomiales pour les primitives de "style Minicrypt" (fonctions de hachage, PRG, chiffrements de blocs, etc.) sans une forte structure algébrique sous-jacente - comme SHA-2, SHA-3, AES, etc.

L'approche de sécurité prouvable:

ici, le but est d'isoler une propriété propre de la fonction de hachage qui produit le son heuristique Fiat-Shamir, et de construire une fonction de hachage qui satisfait ces propriétés sous des hypothèses cryptographiques plausibles.

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

La question est maintenant de savoir comment construire des fonctions de hachage intractables par corrélation pour les relations qui nous intéressent - et dans ce contexte spécifique, pour la relation associée au protocole de contrôle de somme. Ici, une ligne de travail récente (essentiellement 1 , 2 , 3 , 4 , 5 , 6 ) a montré que, pour de nombreuses relations d'intérêt, on peut réellement construire des fonctions de hachage intraitables par corrélation sous des hypothèses basées sur un réseau.

$\mathsf{PPAD}$

En fait, nous n'y sommes pas exactement. Le récent résultat révolutionnaire de Peikert et Shiehian (le dernier article de la liste que j'ai donné précédemment) a montré que pour des relations importantes, nous pouvons créer une fonction de hachage intractable par corrélation sous des problèmes de réseau bien établis, tels que l'apprentissage avec erreur, ou le problème SIS ; cependant, la relation de sumcheck n'est pas saisie par ce travail.

Pourtant, CHKPRR, en s'appuyant sur ces travaux, a montré que l'on peut construire une fonction de hachage intractable par corrélation en supposant que l'une des nombreuses constructions concrètes de schémas de cryptage entièrement homomorphes a une sécurité circulaire quasi-optimale contre les attaques temporelles superpolynomiales.

Décomposons cette hypothèse:

• Le chiffrement entièrement homomorphe (FHE) est une primitive que nous savons construire sous diverses hypothèses de réseau. Si le schéma ne doit évaluer que des circuits de taille bornée, nous savons en fait comment le construire sous l'apprentissage standard avec l'hypothèse d'erreur.
• La sécurité circulaire indique que le FHE devrait être difficile à atteindre même s'il est utilisé pour crypter sa propre clé secrète. C'est plus fort que la notion de sécurité habituelle, qui n'autorise pas les messages dépendants des clés. C'est un problème ouvert majeur et de longue date de construire un FHE à sécurité circulaire sous une hypothèse de réseau standard, telle que LWE. Pourtant, une décennie après la première construction FHE de Gentry et de nombreuses tentatives de cryptanalyse, la sécurité circulaire des candidats FHE établis est elle-même devenue une hypothèse relativement sûre (même contre les ordinateurs quantiques), et nous ne connaissons aucune attaque qui exploite des clés -des cryptages dépendants de manière non triviale.
• la dureté quasi-optimale signifie que tous les algorithmes polynomiaux ont une probabilité exponentiellement faible de casser le schéma (c.-à-d. la probabilité $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• Enfin, nous voulons que tout ce qui précède reste valable si nous accordons à l'attaquant un temps d'exécution superpolynomial. Ceci est toujours en ligne avec ce que les algorithmes connus peuvent réaliser.

$\mathsf{PPAD}$

Bien sûr, l'une des principales questions ouvertes laissées par CHKPRR est de construire une fonction de hachage intractable par corrélation pour la relation de contrôle de somme sous une meilleure hypothèse basée sur un réseau - idéalement, l'hypothèse LWE. Cela semble non trivial, mais pas invraisemblable, étant donné qu'il s'agit d'un domaine de travail très récent, où de nombreux résultats surprenants ont déjà été obtenus pour d'autres relations intéressantes.