証明可能なほど高速なランダム化アルゴリズムに関するPの問題

$\mathsf{P}$$k$P T I M E（F （N ））F （N $\mathsf{DTIME}(n^k) \subsetneq \mathsf{PTIME}(n^k)$$\mathsf{PTIME}(f(n))$$f(n)$

ランダム性は\ mathsf {P}内で何かを購入し$\mathsf{P}$ますか？

明確にするために、単なる定数ではなく、差が漸近的である（できれば多項式ですが、多対数で解決する）ものを探しています。

最悪の場合、漸近的により良いアルゴリズムを探しています。期待される複雑さのアルゴリズムは、私が探しているものではありません。ZPPではなく、RPまたはBPPのようなランダム化アルゴリズムを意味します。

多項式の同一性テストでは、ランダム化された多項式時間アルゴリズム（ Schwartz-Zippelの補題を参照）が許可されますが、 現在、決定論的な多項式時間アルゴリズムや準指数時間アルゴリズムさえありません。

ゲームツリーの評価それぞれが0/1の値を格納するリーフノードを持つ完全なバイナリツリーを考えます。内部ノードには、代替レベルのOR / ANDゲートが含まれます。最悪の場合、すべての決定論的アルゴリズムが Ω （n ）リーフノードを調べる必要があることは、敵対的な議論を使用して証明できます。ただし、 O （n 0.793）の実行時間が予想される単純なランダム化アルゴリズムがあります。講演のスライド14〜27を参照して ください。$n$$\Omega{(n)}$$O(n^{0.793})$

ハイパーキューブ上の忘却型ルーティングN = 2 n頂点を含む次元の キューブを考えます。各頂点には、データのパケットと、最終的にパケットを配信する宛先があります。すべてのパケットの宛先は異なります。この場合でも、決定論的なルーティング戦略では Ω （$n$$N=2^n$ステップ。ただし、予想されるO（n）ステップで高い確率で終了する単純なランダム化戦略があります。$\Omega{\big(\sqrt{\frac{N}{n}}\big)}$ $O(n)$

なお、ランダム化アルゴリズムで、予想されるコスト高い確率で（等の例えば、PがR [ F （N ）> 10 ⋅ E （F （N ））] < $E(F(n))$ ）は、実際の最悪の場合と同等です。$Pr[F(n) > 10 \cdot E(F(n))] < \frac{1}{n^2}$

ランダム化されたアルゴリズムでは、最悪のケースを調査しても意味がありません。最悪の場合のランタイムはしばしば無限であるだけでなく、そのメトリックで決定論的なアルゴリズムを上回ることもできません。

ランダム化されたアルゴリズム考えます。決定論的アルゴリズム得るBをランダムテープ固定することにより、Aをに0 ∞。次いで、T B（N ）≤ T A（N ）すべてのためのn。$A$$B$$A$$0^\infty$$T_B(n) \leq T_A(n)$$n$

効率的なランダム化アルゴリズムを知っている多くの問題があり、効率的であることを証明できる決定論的アルゴリズムを知りません。ただし、これは根本的な違いではなく、複雑さについて証明する能力の欠点を反映している可能性があります。

あなたのコメントに基づいて、効率的なランダム化アルゴリズムがある問題があるかどうかを尋ねることを意図しているようであり、同等の効率の決定論的アルゴリズムがないことを証明できます。私はそのような問題を知りません。

実際、そのような問題が存在する可能性は低いと疑う合理的な根拠があります。発見的には、このような問題の存在は、安全な暗号化が不可能であることを意味する可能性があります。それはかなり信じがたい結果のようです。

接続とは何ですか？さて、いくつかの問題を効率的に解決するランダム化アルゴリズムを検討してください。ランダムコインに依存しています。真のランダムソースから取得したランダムビットです。ここで、暗号品質の擬似ランダムジェネレーターを使用して、真のランダムソースを擬似ランダムジェネレーターの出力に置き換えたとします。その結果、アルゴリズムコールAを"。A ′は決定論的アルゴリズムであり、その実行時間はAとほぼ同じであることに注意してください$A$$A'$$A'$$A$。

また、暗号化PRNGが安全な場合、Aが次の場合にA ′が良いアルゴリズムであるとヒューリスティックに予測必要があります。$A'$$A$

• たとえば、がラスベガスのアルゴリズム（常に正しい答えを出力し、高い確率で急速に終了する）の場合、A ′はかなり良い決定論的なアルゴリズムになります（ほとんどの入力に対して常に正しい答えを出力し、急速に終了します） 。$A$$A'$

• 場合別の例として、モンテカルロアルゴリズム（決定論的実行時間、少なくとも確率と正解出力である1 - εに）、次いでAは、かなり良好な決定論的アルゴリズム（決定論的実行時間であっても、正しい答えを出力しますすべての入力の分数1 - ε）。$A'$$1-\varepsilon$$A$$1-\varepsilon$

したがって、暗号化PRNGが安全で、効率的なランダム化アルゴリズムがある場合は、かなり優れた決定論的アルゴリズムが得られます。現在、暗号化PRNGの多くの構造があり、特定の暗号化の前提が満たされた場合に安全であることが保証されています。実際には、これらの暗号化の前提は広く信じられています。少なくとも、安全な商取引と取引はそれらが真実であることに依存しているので、安全な暗号化が存在するという多額の資金を賭けたいと思われます。この変換が失敗する唯一の方法は、暗号化PRNGが存在しない場合です。これは、安全な暗号化が不可能であることを意味します。これが事実ではないという証拠はありませんが、ありそうもない結果のようです。

構造の詳細：仕組みを以下に示します。入力xでは、暗号化PRNGのシードをxの関数として（たとえば、xをハッシュすることにより）導出し、暗号化PRNG の出力をAのコインとして使用してA （x ）をシミュレートします。たとえば、特定のインスタンス化はk = SHA256 （x ）を設定し、カウンターモードでAES256のシードとしてkを使用するか、他の暗号化PRNGになります。ランダムオラクルモデルの下で上記のステートメントを証明できます。$A'$$x$$x$$x$$A(x)$$A$$k=\text{SHA256}(x)$$k$

が入力の一部で誤った結果を出力する可能性があるという考えに不満がある場合は、対処できます。A 'を複数回繰り返し、多数決をとると、エラーの確率は反復回数で急激に減少します。だから、時間の一定の数を反復することにより、エラーの確率を得ることができεを下回るように1 / 2 256あなたが入力間で実行可能性を意味し、$A'$$A'$$\varepsilon$$1/2^{256}$$x$アルゴリズムが誤った答えを出力する場所は、ごくわずかです（連続して複数回雷に打たれる可能性よりも小さい）。さらに、上記で示した構造では、A 'が間違った答えを返す入力xを敵が見つけられる可能性すら、SHA256ハッシュのセキュリティを破る必要があるため、非常に小さくすることができます。（技術的には、これには正当化するためにランダムなoracleモデルが必要です。したがって、A$x$$A'$$A$ SHA256に関連する計算でハードコードではなく、SHA256に「独立」するように選択する必要がありますが、ほとんどすべての現実世界のアルゴリズムはその要件を満たします）

あなたはより強力な理論的基礎をしたい場合、あなたは繰り返すことができΘ （N ）回、及び誤り確率を下回るように取得する1 / 2 nは、n個の入力の長さであるX。今の分数Nビットの入力Aが「間違った答えを与えるが、厳密未満である1 / 2 のn。ただし、可能なnビット入力は2 nのみであり、各入力でAは正しいか正しくないため、A ′の入力はありません。$A$ $\Theta(n)$$1/2^n$$n$$x$$n$$A'$$1/2^n$$2^n$$n$$A$$A'$が正しくありません：はすべての入力で正しく、これは無条件に保持されます。場合Aは時間で実行さT （N ）、次にA 'の時間で実行さΘ （N ⋅ T （N ））、ので、Aは'少し遅いよりも$A'$$A$$t(n)$$A'$$\Theta(n \cdot t(n))$$A'$$A$ではなく、あまりにもはるかに遅いです。これは、BPPがP / polyに含まれているというAdlemanの証明の内容です。実際にはこれはおそらくやり過ぎですが、暗号の仮定を回避するクリーンな証明が必要な場合、または理論家の観点からこれにアプローチする場合は、このバージョンの方が良いかもしれません。

効率的なランダム化アルゴリズムは知っているが、効率的であると証明できる決定論的アルゴリズムは知らない後者の理論的考察と追加の問題の詳細については、https：//cstheory.stackexchange.com/q/31195を参照してください。 / 5038

要約すると、効率的なランダム化アルゴリズムを知っている問題については、実際には効率的であると思われる決定論的アルゴリズムも知っていますが、現時点では、それが効率的であることを証明する方法はわかりません。考えられる解釈の1つは、アルゴリズムについての証明があまり得意ではないということです。