¿Puede un oráculo aleatorio cambiar qué problemas de TFNP son muy duros en promedio?

He estado pensando en la siguiente pregunta en
varias ocasiones desde que vi esta pregunta sobre Criptografía .

Pregunta

Sea $R$ una relación TFNP . ¿Puede un oráculo aleatorio ayudar a P / poly
a romper $R$ con una probabilidad no despreciable? Más formalmente, $\newcommand{\Pr}{\operatorname{Pr}} \newcommand{\E}{\operatorname{\mathbb{E}}} \newcommand{\O}{\mathcal{O}} \newcommand{\Good}{\mathsf{Good}}$

Hace

para todos los algoritmos P / poly , es insignificante $A$ $\Pr_x [R(x, A(x))]$

implica necesariamente que

para casi todos o racles , para todos P / oracle-algoritmos de poli , es insignificante $\O$ $A$ $\Pr_x [R(x, A^\O(x))]$

Formulación alternativa

El conjunto relevante de oráculos es (por lo tanto medible), por lo tanto, al tomar contrapositivo y aplicar la ley cero uno de Kolmogorov , la siguiente formulación es equivalente a la original. $G_{\delta\sigma}$

Hace

para casi todos los o racles , existe un algoritmo P / poly oracle tal que no es despreciable $\O$
$A$ $\Pr_x [R(x,A^\O(x))]$

implica necesariamente que

existe un algoritmo P / poli tal que no es despreciable $A$ $\Pr_x [R(x,A(x))]$

El caso uniforme

Aquí hay una prueba de la versión uniforme :

Solo hay muchos algoritmos de oráculo PPT, por lo que mediante la aditividad contable del nulo [ideal] [8], hay un algoritmo PPT tal que para un conjunto no nulo de oráculos , no es despreciable. Deje que sea un algoritmo de oráculo. $A$ $\O$
$\Pr_x [R(x,A^\O(x))]$ $B$

Del mismo modo, supongamos que sea un número entero positivo de modo que para un conjunto no nulo de oráculos , es infinitamente frecuente al menos , donde es la longitud de la entrada. Por el contrapositivo de Borel-Cantelli , es infinito. $c$ $\O$
$\Pr_x[R(x,B^\O(x))]$ $n^{-c}$ $n$
$\sum_{n=0}^{\infty} \Pr_{\O} \left[ n^{-c} \leq \Pr_{x\in\{0,1\}^n}[R(x,B^\O(x))] \right]$

Por la prueba de comparación , infinitamente a menudo . $\Pr_{\O} \left[ n^{-c} \leq \Pr_{x\in \{0,1\}^n}[R(x,B^\O(x)) \right] \geq n^{-2}$

Sea el algoritmo PPT que [simula el oráculo] [12] y ejecuta con ese oráculo simulado. $S$ $B$

Arregle deje que sea el conjunto de oráculos tal que . $n$ $\Good$ $\O$ $n^{-c} \leq \Pr_{x\in\{0,1\}^n} [R(x,B^\O(x))]$

Si no es nulo, entonces . $\Good$

\begin{matrix} \Pr_{O} [O \in G o o d] \cdot n^{- c} \\ = \\ \Pr_{O} [O \in G o o d] \cdot E_{O} [n^{- c}] \\ \leq \\ \Pr_{O} [O \in G o o d] \cdot E_{O} [\Pr_{x \in {0, 1}^{n}} [R (x, B^{O} (x))] ∣ O \in G o o d] \\ = \\ E_{O} [\Pr_{x \in {0, 1}^{n}} [O \in G o o d and R (x, B^{O} (x))]] \\ \leq \\ E_{O} [\Pr_{x \in {0, 1}^{n}} [R (x, B^{O} (x))]] \\ = \\ \Pr_{O, x \in {0, 1}^{n}} [R (x, B^{O} (x))] \\ = \\ \Pr_{x \in {0, 1}^{n}, O} [R (x, B^{O} (x))] \\ = \\ E_{x \in {0, 1}^{n}} [\Pr_{O} [R (x, B^{O} (x))]] \\ = \\ E_{x \in {0, 1}^{n}} [\Pr [R (x, S (x))]] \\ = \\ \Pr_{x \in {0, 1}^{n}} [R (x, S (x))] \end{matrix}

$\begin{matrix} \Pr_{\O} [\O\in \Good] \cdot n^{-c} \\ = \\ \Pr_{\O} [\O\in \Good] \cdot \E_{\O}[n^{-c}] \\ \leq \\ \Pr_{\O} [\O\in \Good] \cdot \E_{\O} \left[ \Pr_{x\in \{0,1\}^n} [R(x,B^\O(x))] \mid \O \in \Good \right] \\ = \\ \E_{\O}\left[ \Pr_{x\in \{0,1\}^n} [\O \in \Good \text{ and } R(x,B^\O(x))] \right] \\ \leq \\ \E_{\O}\left[ \Pr_{x\in \{0,1\}^n} [R(x,B^\O(x))] \right] \\ = \\ \Pr_{\O, x\in\{0,1\}^n} [R(x,B^\O(x))] \\ = \\ \Pr_{x\in \{0,1\}^n, \O} [R(x,B^\O(x))] \\ = \\ \E_{x\in \{0,1\}^n} \left[ \Pr_{\O}[R(x,B^\O(x))] \right] \\ = \\ \E_{x\in \{0,1\}^n} \left[ \Pr[R(x,S(x))] \right] \\ = \\ \Pr_{x\in \{0,1\}^n} [R(x,S(x))] \end{matrix}$

Como infinitamente seguido, no es despreciable. $\Pr_{\O} [\O\in \Good] \geq n^{-2}$ $\Pr_x[R(x,S(x))]$

Por lo tanto, la versión uniforme es válida. La prueba utiliza críticamente el hecho de que
solo hay contablemente muchos algoritmos de oráculo PPT . Esta idea no funciona en el caso
no uniforme, ya que hay muchos algoritmos continuos de P / poli oracle.

cr.crypto-security relativization advice-and-nonuniformity search-problem random-oracles Comunidad
fuente

No creo que esta sea realmente una pregunta sobre los oráculos. Como es independiente de , también puede darle acceso a una cadena aleatoria. La pregunta es entonces: ¿la aleatoriedad aumenta la potencia de los circuitos de tamaño polivinílico? La respuesta a eso es "no", ya que si tuviera acceso a una cadena aleatoria, entonces, mediante un argumento de promedio, existiría una configuración particular de la cadena aleatoria con la que podría funcionar bien y entonces también podríamos simplemente cablee esa cuerda en el circuito de

O

$\mathcal{O}$

R

$R$

A

$A$

A

$A$

A

$A$

A

$A$

Adam Smith

@AdamSmith: "Como es independiente de , es mejor que solo le des acceso a una cadena aleatoria" es la intuición, pero no veo ninguna forma de convertirla en una prueba.

O

$\mathcal{O}$

R

$R$

A

$A$

@ Adam, hay otro cuantificador que es importante. Creo que es más fácil observar la negación: ¿ es posible que para casi todos los oráculos exista un adversario no uniforme que pueda usar el oráculo para resolver el problema de búsqueda?

Kaveh

Veo. Estaba respondiendo una pregunta diferente. Perdón por la confusion.

Adam Smith

@domotorp: deberían arreglarse ahora. (Mi mejor conjetura por qué eso ocurría es la uso de enlaces numerados en lugar de enlaces en línea.)

$\hspace{1.05 in}$

No a mi título y Sí al cuerpo de mi pregunta. De hecho, esto se generaliza de inmediato
a cada juego de longitud polinómica que no utiliza el código de los adversarios.

Tenga en cuenta que usaré para los adversarios, en lugar de , para que coincida con la notación del Teorema 2 . $C$ $A$

Suponga que para casi todos los oráculos , existe un algoritmo P / poli oracle tal que no es despreciable. $\mathcal{O}$
$C$ $\operatorname{Pr}_x\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$

Para casi todos los oráculos , existe un número entero positivo d tal que existe una secuencia de circuitos de tamaño como máximo d + n ^d tal que es infinitamente mayor que . $\mathcal{O}$

$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^d\hspace{-0.02 in}\right)$

Por aditividad contable, existe un entero positivo d tal que para un conjunto no nulo de oráculos , existe una secuencia de circuitos de tamaño como máximo d + n ^d tal que es infinitamente mayor que . $\mathcal{O}$
$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^d\hspace{-0.02 in}\right)$

Deje que j sea tal anuncio, y deje que z sea el algoritmo de oráculo (no necesariamente eficiente) que
toma n como entrada y produce el menor circuito oráculo lexicográficamente de tamaño como máximo j + n que maximiza . Por el contrapositivo de Borel-Cantelli , $^{\hspace{.03 in}j}$
$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right) \: < \: \operatorname{Prob}_{\mathcal{O}}\hspace{-0.05 in}\bigg[\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.03 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right) < \operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(\hspace{-0.04 in}x,\hspace{-0.04 in}\left(z^{\mathcal{O}}\right)^{\hspace{-0.04 in}\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.05 in}\right)\hspace{-0.02 in}\right]\hspace{-0.06 in}\bigg] \;\;\;$ por infinitamente n.

Para tal n,

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; = \; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.04 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right)\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right)\hspace{-0.03 in}\right) \cdot \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}\hspace{.02 in},\hspace{.04 in}x\in \{0,1\}^n}\hspace{-0.06 in}\left[R\hspace{-0.04 in}\left(\hspace{-0.04 in}x,\hspace{-0.04 in}\left(z^{\mathcal{O}}\right)^{\hspace{-0.04 in}\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.05 in}\right)\hspace{-0.02 in}\right]$

.

Sea el algoritmo oracle que toma 2 entradas, una de las cuales es , y hace lo siguiente: $A$ $n$

Elija una cadena aleatoria de n bits . Intente [analizar la otra entrada como un circuito oracle y ejecutar ese circuito oracle en la cadena de n bits]. Si eso tiene éxito y la salida del circuito del oráculo satisface R (x, y), entonces la salida 1, o bien la salida 0. (Tenga en cuenta que no es solo el adversario). Para infinitamente n, . Deje p ser como en el Teorema 2 , y establezca $x$

$y$

$A$
$\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \:\:\:\:$
$\;\;\; f \: = \: 2\hspace{-0.04 in}\cdot \hspace{-0.04 in}p\hspace{-0.04 in}\cdot \hspace{-0.04 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\cdot \hspace{-0.04 in}n^{(2+j)\cdot 2} \:\:\:\:$ .

Según el teorema 2 , existe una función oracle tal que con como en ese teorema, sientonces $\mathcal{S}$ $\mathcal{P}$
$\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)-\left(\hspace{-0.04 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{(2+j)\cdot 2}\right)\hspace{-0.04 in}\right)}$
$= \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}2\hspace{-0.06 in}\cdot \hspace{-0.04 in}p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.06 in} \cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{(2+j)\cdot 2}\right)\hspace{-0.04 in}\right)} \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.04 in}f\right)}$
$< \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right]-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.04 in}f\right)} \; \leq \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{P}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$ .

Para n tal que: $\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$

En particular, existe un circuito de oráculo de tamaño como máximo j + n y una asignación de longitud como máximo f tal que con esa entrada y de premuestreo, probabilidad de dar salida a 's es mayor que . Los circuitos de tamaño de Oracle como máximo j + n se pueden representar con bits poly (n), por lo que para p está limitado por un polinomio en n, lo que significa que f también está limitado por encima por un polinomio en n. $\big[$ $C$ $^{\hspace{.03 in}j}\big]$
$\big[$ $\big]$
$A$ $1$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$
$^{\hspace{.03 in}j}$

Por construcción de , eso significa que hay circuitos de oráculo de tamaño como máximo j + n y una asignación de longitud polinómica tal que cuando se ejecuta con ese muestreo previo, la probabilidad de que los circuitos encuentren una solución es mayor que . Dado que dichos circuitos no pueden realizar consultas más largas que j + n $A$ $^{\hspace{.03 in}j}$
$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ $^{\hspace{.03 in}j}$ bits, las entradas pre-muestreadas más largas que eso pueden ignorarse, por lo que tal muestreo previo puede simularse de manera eficiente y perfecta con un oráculo aleatorio y bits codificados de poli (n). Eso significa que hay circuitos de oráculo de tamaño polinómico de tal manera que con un oráculo aleatorio estándar, la probabilidad de que los circuitos encuentren una solución es mayor que . Tal oráculo aleatorio puede a su vez ser eficiente y perfectamente simulado con bits aleatorios ordinarios, por lo que hay circuitos probables de tamaño polinómico no oráculo cuya probabilidad de encontrar una solución es mayor que $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ . A su vez, al codificar la aleatoriedad óptica, hay circuitos deterministas de tamaño polinómico (no oráculo) cuya probabilidad (por encima de la elección de x) de encontrar una solución es mayor que . Como se mostró anteriormente en esta respuesta, hay infinitos n n tales que, $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$ $\;\;\;$ entonces hay un polinomio tal que

la secuencia cuya enésima entrada es la menos lexicográfica
[circuito C de tamaño limitado anteriormente por ese polinomio] que maximiza $\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.04 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$

es un algoritmo P / poli cuya probabilidad (sobre la elección de x) de encontrar una solución no es despreciable.

Por lo tanto, las implicaciones en el cuerpo de mi pregunta siempre son válidas.

Para obtener la misma implicación para otros juegos de longitud polinómica, solo
cambie la prueba esta prueba para que los circuitos oráculo de entrada jueguen el juego. $A$

fuente

¿Puede un oráculo aleatorio cambiar qué problemas de TFNP son muy duros en promedio?

Pregunta

Formulación alternativa

El caso uniforme

Respuestas: