PPADと量子

今日ニューヨークと世界中で、クリストスパパディミトリウの誕生日が祝われます。これは、Christosの複雑性クラスPPAD（およびその他の関連クラス）と量子コンピューターの関係について尋ねる良い機会です。彼の有名な1994年の論文で、 Papadimitriouは、PLS、PPADなどのいくつかの重要な複雑性クラスを紹介し、体系的に研究しました。（Papadimitriouの論文は以前のいくつかの論文に依存しており、特にAviadが述べたように、PLSは1988年にJohnson-Papadimitriou-Yannakakisによって紹介されました。）

私の主な質問は：

量子コンピューターは問題にいくつかの利点をもたらしますか？または ？または？等...$PPAD$$PLS$$PLS \cap PPAD$

別の質問は、PLSとPPADのいくつかの量子類似体、およびChristosの他のクラスがあるかどうかです。

私は、暗号化にPPADの最近の顕著接続はこれらの論文で発見されたことに注意してください：ナッシュ均衡を見つけるの暗号硬度に N Bitansky、Oパネート、A・ローゼンとによって缶PPAD硬度標準の暗号化の前提に基づいていますか？Aローゼン、Gセゲフ、Iシャハフ、そしてナッシュ均衡を見つけることは、アルカライチョドゥーリ、パベルフバセク、チェサンカマス、クルジストフピエトルザク、アロンローゼン、ガイロスブラムによるフィアット-シャミルの破れほど簡単ではありません。また、私の意見では、Christosのクラスは特に数学と数学の証明に近いことにも注意してください。

更新： Ron Rothblumは（FBを介して）Choudhuri、Hubacek、Kamath、Pietrzak、Rosen、およびG. Rothblumの結果はPPADが量子コンピューターの能力をはるかに超えていることを示唆しているとコメントしました。（私はそれを説明する精巧な答えを見て喜んでいます。）

もう1つのコメント：関連する素晴らしい質問は、立方体の一意の単一方向でシンクを見つけるのに効率的な量子アルゴリズムがあるかどうかです。（このタスクはよりも簡単だと思いますが、とどのように関連しているかはわかりません。）これは、量子的利点を見つけるための探求に関連していますhttps://cstheory.stackexchange.com/a/767/712。 $n$$PLS$$PPAD$$LP$

お誕生日おめでとう、クリストス！

この質問についてブログ投稿を書いているときに学んだ2つの回答

1. いいえ：ブラックボックスバリアントでは、量子クエリ/通信の複雑さによりGroverの2次の高速化が実現しますが、それ以上ではありません。Ronが指摘するように、これはもっともらしい仮定の下での計算の複雑さにまで及びます。

2. たぶん：ナッシュ均衡は間違いなく「クリストスクラス」の旗艦問題です。ここで、プレイヤーに量子エンタングルメントへのアクセスを許可することは、ナッシュ均衡を一般化する「量子相関均衡」の新しいソリューションコンセプトを提案します。その複雑さはまだ開かれています。Alan Deckelbaumによるこのクールな論文を参照してください。

そして1つの歴史的注記：PLSは実際に1988年にJohnson-Papadimitriou-Yannakakisによって導入されました。

$\mathsf{PPAD}$

大まかに言うと、CHKPRRは、解決策を見つけるために次のいずれかを行う必要がある、行末インスタンスへの配布を構築します。

• 有名なサムチェックプロトコルにフィアットシャミルヒューリスティックを適用することによって得られる証明システムの健全性を壊す、または
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$、これはこの設定で完全にうまく機能します：sumcheckプロトコル。インタラクティブなプルーフを非インタラクティブなプルーフに変換する（パブリックな検証可能性とコンパクトさを維持する）ことは、Fiat-Shamirヒューリスティックがまさに行うことです。

フィアットシャミルのインスタンス化

フィアットシャミルのヒューリスティックは非常に単純です。ハッシュ関数を修正し、パブリックコインのインタラクティブな証明から始めて、検証者のランダムメッセージをそれぞれ、これまでの筆記録全体のハッシュに置き換えます。次に、問題は、ハッシュ関数のどのプロパティの下で、結果のプロトコルがまだ健全であるかを証明できることです（統計的にもう健全ではないことに注意してください。計算上健全であることが望まれます）。

これについて詳しく説明する前に、コメントについてお話ししましょう。

私はまだ理解できません。1.確かに、量子の場合には当てはまらない暗号の硬度の仮定があります。「フィアット-シャミアの破れ」をQCにとって困難にするのは、「RSAの破れ」とは何ですか

「フィアットシャミルの破れ」と「RSAの破れ」は実際には同等の問題ではないことを私が述べた高レベルの説明は明確にすべきです。RSAは具体的な特定の硬度の仮定であり、大きな整数を因数分解できる場合は、それを破ることができます。

$\mathsf{PPAD}$基礎となるハッシュ関数の。直感的なレベルでは、これは量子コンピューターが得意とするものではありません。これは、必ずしも活用できる強力な構造を持っているとは限らないためです（たとえば、離散対数やRSAとは異なります）。ハッシュ関数は通常、非常に「非構造化」。

より具体的に言えば、フィアットシャミルをインスタンス化するためのハッシュ関数を選択する場合、2つの自然な選択肢があります。

ヒューリスティックで具体的に効率的なアプローチ：

好きなハッシュ関数、たとえばSHA-3を選択してください。もちろん、SHA-3でFiat-Shamirをインスタンス化することが難しい問題であるという証拠はありません。しかし、フィアットシャミルとSHA-3を非縮退インタラクティブプルーフシステムに適用することによって得られるプルーフシステムの健全性に対する重要な攻撃についても、私たちは知りません。これは量子の設定にも拡張されます。Groverのアルゴリズムによって与えられる通常の2次の高速化よりも優れた量子攻撃については知りません。暗号解読の試みの数十年後、暗号コミュニティでのコンセンサスはその量子アルゴリズムではありませんように見えることなく、「Minicryptスタイル」プリミティブ（ハッシュ関数、PRGS、ブロック暗号、など）のためsuperpolynomialスピードアップを提供するために、これまで私たちが見ることができるようにと、 SHA-2、SHA-3、AESなどの強力な基礎代数構造

証明可能なセキュリティアプローチ：

ここでの目標は、Fiat-Shamirヒューリスティックサウンドを作成するハッシュ関数のクリーンなプロパティを分離し、もっともらしい暗号の仮定の下でこのプロパティを満たすハッシュ関数を構築することです。

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

ここでの問題は、私たちが気にかけている関係に対して、そしてこの特定のコンテキストでは、sumcheckプロトコルに関連付けられた関係に対して、相関関係を持たないハッシュ関数を構築する方法です。ここで、ワークの最近のラインは（本質的に1、2、3、4、5、6）関心のある多くの関係のために、一つは実際に格子ベースの仮定の下で相関難治性ハッシュ関数を構築することができる、ことを示しています。

$\mathsf{PPAD}$

実際、私たちは正確にそこにいるわけではありません。PeikertとShiehianの最近の画期的な結果（以前に挙げたリストの最後の論文）は、重要な関係について、エラーのある学習やSIS問題などの確立されたラティス問題の下で相関困難なハッシュ関数を構築できることを示しました; ただし、sumcheck関係はこの作業では取得されません。

それでも、この研究に基づいてCHKPRRは、完全準同型暗号化スキームの多くの具体的な構成のいずれかが超多項式時間攻撃に対して準最適な循環セキュリティを持っているという仮定の下で、相関処理困難なハッシュ関数を構築できることを示しました。

この仮定を分解してみましょう：

• 完全準同型暗号化（FHE）は、さまざまな格子の仮定の下で構築する方法を知っているプリミティブです。スキームが制限されたサイズの回路のみを評価する必要がある場合、実際には、エラーを仮定して標準学習の下でそれを構築する方法を知っています。
• 循環セキュリティでは、FHEを使用して自身の秘密鍵を暗号化する場合でも、FHEを破ることは難しいとされています。これは、キーに依存するメッセージを許可しない通常のセキュリティ概念よりも強力です。LWEなどの標準的な格子の仮定の下で循環的に安全なFHEを構築することは、主要で長年にわたる未解決の問題です。それでも、Gentryの最初のFHEの構築と多くの暗号解読の試みから10年後、確立されたFHE候補の循環セキュリティ自体は（量子コンピューターに対してさえ）比較的安全に見える仮定になり、鍵を悪用する攻撃については知りませんに依存しない暗号化。
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• 最後に、超多項式の実行時間を攻撃者に許可する場合、上記のすべてを維持する必要があります。これは、既知のアルゴリズムが達成できることと一致しています。

$\mathsf{PPAD}$

もちろん、CHKPRRが残した主な未解決の問題の1つは、より良い格子ベースの仮定-理想的にはLWEの仮定の下で、sumcheck関係の相関処理困難なハッシュ関数を構築することです。これはごく最近の一連の作業であり、他の興味深い関係についてすでに多くの驚くべき結果が達成されていることを考えると、重要なことではありませんが、妥当ではありません。