Clases de complejidad para pruebas de conocimiento.

16

Debido a una pregunta que me hizo Greg Kuperberg, me pregunto si hay documentos que definan y estudien clases complejas de idiomas que admitan varios tipos de pruebas de conocimiento . Las clases como SZK y NISZK son extremadamente natural desde un punto de vista la complejidad, incluso si nos olvidamos por completo sobre el conocimiento cero y sólo les define en términos de sus problemas completas promesa. Por el contrario, al buscar en Google 'pruebas de conocimiento', me sorprendió no encontrar ningún documento o nota de conferencia que discutiera este encantador concepto en términos de clases de complejidad.

Para dar algunos ejemplos: ¿qué se puede decir sobre la subclase de SZK∩MA∩coMA que consta de todos los lenguajes L que admiten pruebas estadísticas de conocimiento cero para x∈L o x∉L, que también son pruebas de conocimiento de un testigo que prueba x ∈L o x∉L? Ciertamente, esta clase contiene cosas como el registro discreto, pero no pudimos probar que contiene isomorfismo gráfico sin poner GI en coMA. ¿La clase abarca todo SZK∩MA∩coMA? También se podría preguntar: si existen funciones unidireccionales, ¿todos los idiomas L∈MA∩coMA admiten una prueba computacional de conocimiento cero, que también es una prueba del conocimiento de un testigo que prueba x∈L o x∉L? (Mis disculpas si uno o ambos tienen respuestas triviales, solo estoy tratando de ilustrar el tipo de cosas que uno podría pregunte, una vez que uno decidió mirar PoK en términos teóricos de complejidad).

Scott Aaronson
fuente
2
¡Interesante pregunta! ¿No son estas preguntas muy parecidas a la pregunta de versus D P ? De hecho, una pregunta sobre M A C O M A parece ser casi exactamente el (o, a) la versión aleatoria de N P C O N P frente a D P . NPcoNPDPMAcoMANPcoNPDP
Joshua Grochow
¿Dónde entra en la historia? ¿Alguien demostró que caracteriza las pruebas de conocimiento o algo así? DP
Scott Aaronson
1
NPcoNPDPMAcoMUN

Respuestas:

10

Esta no es una respuesta real; Solo estoy compartiendo algunos resultados (que no caben en un comentario).

  1. Goldreich, Micali y Wigderson ( J. ACM, 1991 ) demostraron que todos los idiomas en NP tienen una prueba de conocimiento cero de membresía lingüística (suponiendo que existan OWF). Con este fin, presentaron una prueba ZK para la capacidad de coloración del gráfico 3. Más tarde, Bellare y Goldreich ( CRYPTO '92 ) demostraron que esta prueba ZK es también una prueba de conocimiento ZK (PoK). Usando las reducciones de Levin (ver nota al pie 12 del documento anterior), cada idioma en NP tiene un ZK PoK (suponiendo que existan OWF).
  2. Itoh y Sakurai ( ASIACRYPT '91 ) tienen un documento sobre resultados teóricos de la complejidad con respecto a las relaciones que tienen ZK PoK de ronda constante.
  3. Este es un resultado aparentemente no relacionado, aunque no puedo evitar notar algunas similitudes. De alguna manera siento (no nada formal) que la prueba de membresía versus la prueba de conocimiento es similar a la decisión frente a la búsqueda . Quizás en este sentido, también se puede citar el trabajo de Bellare y Goldwasser ( J. Computing, 1994 ), donde (condicionalmente) prueban que no todos los idiomas en NP tienen una reducción de la búsqueda a la decisión.

Algunos problemas abiertos (quizás resueltos, pero no que yo sepa) con respecto a los aspectos teóricos de la complejidad de los PoK:

  1. Diversas medidas de eficiencia para ZK PoK de una relación específica con cierta complejidad (por ejemplo, una relación en AM):

    • Complejidad de comunicación de la prueba.
    • Complejidad computacional de las partes.
    • La escasez de conocimiento (es decir, la relación entre el tiempo de ejecución (esperado) del simulador y el tiempo de ejecución del verificador en la interacción real)
  2. Complejidad de las relaciones que admiten ZK PoK con ciertas limitaciones, digamos complejidades redondas limitadas (Itoh y Sakurai solo consideran ZK PoK de ronda constante). Otro ejemplo es cuando el probador es tiempo polinómico: no puede usar la reducción a 3-colorabilidad, ya que no puede resolver relaciones NP-completas. Todos los problemas de NP completo tienen una reducción de Cook desde la búsqueda hasta la decisión. Sin embargo, según el resultado de Bellare-Goldwasser citado anteriormente, tales reducciones no necesariamente existen para todos los idiomas / relaciones NP.

  3. Otros resultados interesantes con respecto a los PoK que no son necesariamente ZK, pero cuya complejidad de conocimiento es limitada. Ver Goldreich y Petrank ( Comput. Complex ., 1999 ).

Antes de concluir, permítanme mencionar que en realidad hay varias definiciones para PoK, algunas de las cuales se citan a continuación:

1) Intentos iniciales: Feige, Fiat y Shamir ( J. Cryptology, 1988 ), Tompa y Woll ( FOCS 1987 ), y Feige y Shamir ( STOC 1990 ).

2) Estándar de facto: Bellare y Goldreich ( CRYPTO '92 ). Este documento examina los primeros intentos de definir PoK, observa sus deficiencias y sugiere una nueva definición que puede considerarse como "la" definición de PoK. Esta definición tiene una naturaleza de caja negra (el extractor de conocimiento tiene acceso de caja negra al probador de trampas).

3) PoK conservadores: definidos por Halevi y Micali ( archivo ePrint: Informe 1998/015 ), esta definición aumenta la definición anterior para garantizar la viabilidad de los probadores. También da una definición para el conocimiento de un solo probador, lo cual es bueno al responder la pregunta "¿qué significa decir que P sabe algo?"

4) Argumentos de conocimiento con No-Negro caja de trabajo: Como se mencionó anteriormente, la definición estándar de POKS es cuadro negro, lo que hace que sea imposible tener reajustables pruebas de conocimiento cero (o argumentos) del conocimiento de idiomas no triviales. Barak y col. ( FOCS 2001 ) proporcionan una definición que no es de caja negra, que se basa (pero difiere de) la definición de Feige y Shamir (STOC 1990) citada anteriormente.

MS Dousti
fuente