Komplexitätsklassen für Wissensnachweise

16

Auf eine Frage hin, die Greg Kuperberg mir gestellt hat, frage ich mich, ob es Papiere gibt, die Komplexitätsklassen von Sprachen definieren und untersuchen, die verschiedene Arten von Wissensnachweisen zulassen . Klassen wie SZK und NISZK sind vom Standpunkt der Komplexität aus äußerst natürlich, auch wenn wir das Nullwissen völlig vergessen und sie nur in Bezug auf ihre vollständigen Versprechungsprobleme definiert haben. Im Gegensatz dazu war ich beim Googeln von 'Proofs of Knowledge' überrascht, keine Artikel oder Vorlesungsunterlagen zu finden, die dieses schöne Konzept in Bezug auf Komplexitätsklassen erörterten.

Um einige Beispiele zu nennen: Was kann man über die Unterklasse von SZK∩MA∩coMA sagen, die aus allen Sprachen L besteht, die statistische wissensfreie Beweise für x∈L oder x∉L zulassen, die auch Beweise für das Wissen eines Zeugen sind, der x beweist ∈L oder x∉L? Sicherlich enthält diese Klasse Dinge wie diskretes Log, aber wir konnten nicht beweisen, dass sie Graphisomorphie enthält, ohne GI in coMA zu setzen. Umfasst die Klasse das gesamte SZK∩MA∩coMA? Man könnte auch fragen: Wenn Einwegfunktionen existieren, lässt dann jede Sprache L∈MA∩coMA einen rechnerischen Null-Wissens-Beweis zu, der auch ein Beweis für das Wissen eines Zeugen ist, der x∈L oder x∉L beweist? (Ich entschuldige mich, wenn eine oder beide dieser Fragen triviale Antworten haben. Ich versuche nur, die Art der Dinge zu veranschaulichen, die man könnte fragen Sie, wenn man sich entschlossen hat, PoK komplexitätstheoretisch zu betrachten.)

Scott Aaronson
quelle
2
Interessante Frage! Sind diese Fragen nicht der Frage von gegen D P sehr ähnlich ? Tatsächlich scheint Ihre Frage zu M A c o M A fast genau die (oder a) randomisierte Version von N P c o N P versus D P zu sein . NPcÖNPDPMEINcÖMEINNPcÖNPDP
Joshua Grochow
Wo kommt geben Sie die Geschichte? Hat jemand gezeigt, dass es Beweise für Wissen oder etwas kennzeichnet? DP
Scott Aaronson
1
Es ist eher analog, denke ich. In beiden Fällen ( vs D P und M A c o M A gegen den Rest der Klasse , die Sie vorschlagen), haben Sie zwei von Bedingungen auf einem Prüfer definierten Klassen, und Sie den Schnittpunkt der beiden Komplexität Vergleich Klassen zu der Gruppe von Sprachen, die einen einzelnen Prüfer haben, der beide Bedingungen gleichzeitig erfüllt. (Wenn ich richtig verstanden habe.)NPcÖNPDPMEINcÖMEIN
Joshua Grochow

Antworten:

10

Dies ist keine tatsächliche Antwort. Ich teile nur einige Ergebnisse (die nicht in einen Kommentar passen).

  1. Goldreich, Micali und Wigderson ( J. ACM, 1991 ) haben bewiesen, dass jede Sprache in NP einen wissensfreien Nachweis der Sprachmitgliedschaft besitzt (vorausgesetzt, dass OWFs existieren). Zu diesem Zweck wurde ein ZK-Proof für die Färbbarkeit von Grafik 3 vorgelegt. Später haben Bellare und Goldreich ( CRYPTO '92 ) bewiesen, dass dieser ZK-Beweis auch ein ZK-Beweis für Wissen (PoK) ist. Unter Verwendung von Levin-Reduktionen (siehe Fußnote 12 der früheren Veröffentlichung) hat jede Sprache in NP einen ZK-PoK (vorausgesetzt, dass OWFs existieren).
  2. Itoh und Sakurai ( ASIACRYPT '91 ) haben eine Arbeit über komplexitätstheoretische Ergebnisse in Bezug auf Beziehungen mit konstant rundem ZK PoK.
  3. Dies ist ein scheinbar nicht verwandtes Ergebnis, obwohl ich einige Ähnlichkeiten feststellen muss. Ich fühle mich irgendwie (nicht alles formal) , dass Nachweis der Mitgliedschaft gegen Nachweis des Wissens ist ähnlich Entscheidung vs. suchen . Vielleicht kann man in diesem Sinne auch die Arbeiten von Bellare und Goldwasser ( J. Computing, 1994 ) zitieren , wo sie (bedingt) beweisen, dass nicht alle Sprachen in NP eine Reduktion von der Suche zur Entscheidung aufweisen.

Einige offene (vielleicht gelöste, aber mir nicht bekannte) Probleme in Bezug auf komplexitätstheoretische Aspekte von PoKs:

  1. Verschiedene Effizienzmaße für ZK PoKs einer bestimmten Relation mit bestimmter Komplexität (zB eine Relation in AM):

    • Kommunikationskomplexität des Beweises
    • Rechenaufwand der Parteien
    • Wissensdichte (dh das Verhältnis zwischen der (erwarteten) Laufzeit des Simulators und der Laufzeit des Prüfers in der realen Interaktion)
  2. Komplexität von Beziehungen, die ZK PoK zulassen, mit gewissen Einschränkungen, sagen wir, begrenzte runde Komplexitäten (Itoh und Sakurai betrachten nur konstantes rundes ZK PoK). Ein anderes Beispiel ist, wenn der Beweiser eine Polynomzeit hat: Er kann die Reduktion auf 3-Färbbarkeit nicht verwenden, da er NP-vollständige Beziehungen nicht lösen kann. Alle NP-vollständigen Probleme haben eine Cook-Reduktion von der Suche bis zur Entscheidung. Nach dem oben zitierten Bellare-Goldwasser-Ergebnis sind solche Reduktionen jedoch nicht notwendigerweise für alle NP-Sprachen / Beziehungen vorhanden.

  3. Weitere interessante Ergebnisse zu PoKs, die nicht unbedingt ZK sind, deren Wissenskomplexität aber ansonsten begrenzt ist. Siehe Goldreich und Petrank ( Comput. Complex., 1999 ).

Lassen Sie mich abschließend erwähnen, dass es tatsächlich mehrere Definitionen für PoKs gibt, von denen einige im Folgenden aufgeführt sind:

1) Frühe Versuche: Feige, Fiat und Shamir ( J. Cryptology, 1988 ), Tompa und Woll ( FOCS 1987 ) und Feige und Shamir ( STOC 1990 ).

2) De facto Standard: Bellare und Goldreich ( CRYPTO '92 ). Dieser Aufsatz untersucht die frühen Versuche, PoKs zu definieren, stellt ihre Mängel fest und schlägt eine neue Definition vor, die als "die" Definition von PoK angesehen werden kann. Diese Definition hat Black-Box-Charakter (der Wissensextraktor hat Black-Box-Zugriff auf den betrügenden Prüfer).

3) Conservative PoKs: Diese Definition wurde von Halevi und Micali ( ePrint Archive: Report 1998/015 ) definiert und ergänzt die vorherige Definition, um die Durchführbarkeit des Nachweises zu gewährleisten. Es gibt auch eine Definition für das Wissen eines einzelnen Beweisers, was bei der Beantwortung der Frage "Was bedeutet es zu sagen, dass P etwas weiß?" Gut ist.

4) Argumente des Wissens mit Non Black-Box - Extraktion: Wie bereits erwähnt, die Standarddefinition von POKS Blackbox ist, was es unmöglich macht haben rücksetzbaren Zero-Knowledge - Beweise (oder Argumente) des Wissens für nicht-triviale Sprachen. Barak et al. ( FOCS 2001 ) stellen eine Nicht-Black-Box-Definition bereit, die auf der oben genannten Definition von Feige und Shamir (STOC 1990) basiert (sich jedoch davon unterscheidet).

MS Dousti
quelle