x - Corelab

1∆ιαλογικά συστήµατα αποδείξεων(Interactive proof systems)Κρυπτογραφία & Πολυπλοκότητακαθ. Στάθης Ζάχοςπαρουσίαση: Νίκος Λεονάρδος

2ΕισαγωγήProof Systems:• Η απόδειξη είναι µια διαδικασία που σκοπό έχει να πείσεικάποιον για την ισχύ µιας πρότασης (π.χ. x ∈ L).• Το ΝΡ ως σύστηµα αποδείξεων.Interactive Proof Systems:• Ενισχύουµε το ΝΡ µε interaction και randomization καιφτάνουµε στα Interactive Proof Systems.• Graph non-isomorphism is in IP, Graph 3 coloring isin IP.• IP ⊆ PSPACEArthur Merlin Games:• Ορισµός των Arthur-Merlin G a m e s ως co mbinatorial games.• Η ιεραρχία που ορίζουν καταρρέει στο 2ο επίπεδο, δηλαδή,για k > 2 AM = AM[k] = MA[k+1]• IP = AM ως προς Language Recognition.IP = PSPACE

3Proof Systems and NP• Μπορεί κανείς να φανταστεί ένα σύστηµα αποδείξεων ως µιαδιαλογική διαδικασία µεταξύ ενός Prover P και ενός Verifier V.• O P θέλει να πείσει τον V για την ισχύ µιας πρότασης.• Ο V θέλει να αποδεχθεί έναν ισχυρισµό µόνο εάν είναι αληθής.• Μία γλώσσα L είναι στο ΝΡ αν και µόνο αν για κάθε στοιχείο της Lυπάρχει πολυωνυµικού µήκους απόδειξη ότι x ∈ L ή πιο τυπικά:• L∈NP ανν υπάρχει relation R L recognizable in polynomialtime &polyno mialy balanced τέτοιο ώστε: L ={x:(x,y)∈ R L }Μπορούµε να δούµε τον τελευταίο ορισµό ως εξής:• Υπάρχει ένας παντοδύναµος Prover.• O P θέλει να πείσει τον Verifier ότι x ∈ L• Στέλνει στον V τεκµήριο y, πολυωνυµικά φραγµένο ως προς x• Ο Verifier πρέπει να ελέγξει το τεκµήριο και να αποφανθεί σεπολυωνυµικό χρόνο αν αποδέχεται ή απορρίπτει την είσοδο.

4Proof Systems and NPΝP Proof System for SAT• O Prover θέλει να πείσει τον Verifier ότι η παρακάτω formulaανήκει στο SAT: (x ∨ y ∨ z') ∧ (x' ∨ y') ∧ z'• O Prover στέλνει στον Verifier µια ανάθεση αληθοτιµών στιςµεταβλητές, που να ικανοποιούν τη formula, π.χ.(x,y,z)=(F,T,F).Κάτι τέτοιο είναι εύκολο για τον παντοδύναµο Prover, αν βέβαια µιατέτοια ανάθεση υπάρχει.• Ο Verifier ελέγχει αν η ανάθεση που έλαβε ικανοποιεί τη formulaΙδιότητες του ΝΡ Proof System:• Efficiency: Η στρατηγική του Verifier είναι αποδοτική.• Correctness requirements:- Completeness: Για µια αληθή πρόταση υπάρχει στρατηγική πουνα οδηγεί σε αποδοχή.- Soundness: Για µια ψευδή πρόταση δεν υπάρχει στρατηγικήπου να οδηγεί σε αποδοχή.

The NP Proof System5

6Interactive Proof: ΠαράδειγµαΠώς θα µπορούσαµε να πείσουµε κάποιον που πάσχει απόαχρωµατοψία, ότι δύο όµοιες µπίλιες έχουν διαφορετικό χρώµα;• Έστω ότι ο Prover υποστηρίζει ότι οι µπίλιες έχουν διαφορετικόχρώµα (η µία µαύρο και η άλλη κόκκινο).• Ο Verifier κρατάει τη µαύρη µπίλια µε το δεξί χέρι και τηνκόκκινη µε το αριστερό. Με τυχαίο τρόπο (κορώνα - γράµµατα) καικρυφά από τον Prover αποφασίζει αν θα κάνει swap τις µπίλιες ήόχι. Το αποτέλεσµα είναι ότι ο Verifier γνωρίζει αν έκανε το swapή όχι ενώ ο Prover µπορεί µόνο να µαντέψει,µε πιθανότητα 1/2.• Ο Verifier αποκαλύπτει τις µπίλιες. Αν ο Prover αποτύχει ναβρει σε πιο χέρι είναι η µαύρη και σε ποιο η κόκκινη, ο Verifierαπορρίπτει µε βεβαιότητα, ενώ αν ο Prover τα καταφέρει, οVerifier πείθεται µε πιθανότητα 1/2.• Το παραπάνω πρωτόκολλο µπορεί να επαναληφθείπολυωνυµικά πολλές φορές p(|x|) και έτσι η πιθανότητα ναµαντέψει ο Prover όλα τα τυχαία bits του Verifier γίνεται 2 -p(|x|) .

Τα νέα συστατικά της απόδειξης• Interaction: Χωρίς δυνατότητα επικοινωνίας ο Prover θαέπρεπε να σκεφτεί µία γραπτή απόδειξη, κάτι που δεν φαίνεται ναείναι δυνατόν.• Randomness: Αν ο Verifier ήταν ντετερµινιστικός, ο Prover θαµπορούσε να τον κοροϊδέψει κοιτάζοντας τον κώδικά του.• Secrecy (private coins vs. public coins): Ο Verifier έκρυψετο rando m bitτου από τον Prover ώστε να ικανοποιείται η ιδιότηταSoundness. Αξιοσηµείωτο είναι το γεγονός ότι κάτι τέτοιο δεν είναιαπαραίτητο!Όπως θα αποδείξουµε λίγο αργότερα, υπάρχειαποδεικτικό σύστηµα για το παραπάνω πρόβληµα,όπου οVerifier δείχνει όλα τα random bits του στον Prover.7

An interactive pair of Turing machines[“The knowledge complexity of Interactive Proof Systems”, 1985,Shafi Goldwasser (MIT), Silvio Micali(MIT), Charles Rackoff (Toronto)]8

Interactive Proof SystemΈνα ∆ιαλογικό Σύστηµα Αποδείξεων (Interactive Proof System)για µία γλώσσα L είναι ένα παιχνίδι µεταξύ ενός Prover και ενόςVerifier. Το input είναι κοινό και επικοινωνούν βάσει ενόςπρωτοκόλλου που ικανοποιεί τις παρακάτω προϋποθέσεις:• Efficiency: Η στρατηγική του Verifier είναι ένας ProbabilisticPolynomial-Time υπολογισµός.• Correctness requirements:- Completeness: Υπάρχει στρατηγική για τον Prover, τέτοιαώστε για κάθε x∈L, όταν "παίζουν" µε κοινό input x,να οδηγείτον Verifier σε αποδοχή µε πιθανότητα τουλάχιστον 2/3.- Soundness: Για κάθε x ∉ L, όταν "παίζουν" µε κοινό input x,κάθε στρατηγική για τον Prover πείθει τον Verifier µεπιθανότητα το πολύ 1/3.Παρατήρηση: ενώ περιορίζουµε τους υπολογισµούς του Verifierσε πολυωνυµικό χρόνο, ο Prover θεωρούµε ότι έχει απεριόριστηυπολογιστική δύναµη.9

10Η ιεραρχία ΙΡ• Η κλάση ΙΡ περιέχει όλες τις γλώσσες που έχουν ∆ιαλογικό ΣύστηµαΑπόδειξης.• Ο αριθµός των µηνυµάτων που ανταλλάσσονται µεταξύ του Prover καιτου Verifier κατά τη διάρκεια του πρωτοκόλλου ονοµάζεται αριθµόςγύρων (number of rounds) του συστήµατος.• Για κάθε συνάρτηση r(.) : Ν -> Ν, η κλάση ΙΡ(r(.)) περιέχει όλες τιςγλώσσες που έχουν ∆ιαλογικό Σύστηµα Απόδειξης, στο οποίο, για κοινόinput x,πραγµατοποιούνται το πολύ r(|x|) γύροι.• Για µία οικογένεια συναρτήσεων R, ορίζουµε την κλάσηIP(R)=U r∈R IP(r(.)).Παρατήρηση 1: Επειδή, εξ ορισµού, ο Verifier είναι περιορισµένος σεπολυωνυµικό χρόνο, ΙΡ = IP(poly).Παρατήρηση 2: Θα µπορούσαµε να θέσουµε περιορισµούς και στοναριθµό των random bits που έχει στη διάθεσή του ο Verifier, και ναορίσουµε κλάσεις ΙΡ(b(.), r(.)), όπου ο αριθµός των τυχαίων bits τουVerifier για input x είναι µικρότερος από b(|x|).ΙΡ(b(.)) = IP(b(.), poly)

11Σχόλια 1• ΝP ⊆ IP• Στον ορισµό των IP συστηµάτων απαιτήσαµε την ύπαρξη ενός Proverπου όταν x ∈ L πείθει τον Verifier µε πιθανότητα τουλάχιστον 2/3. Αναπαιτήσουµε perfect completeness, δηλαδή, όταν x ∈ L ο Prover ναµπορεί σε κάθε περίπτωση να πείσει τον Verifier (πιθανότητα αποδοχήςίση µε 1), αποδεικνύεται ότι ο ορισµός είναι ισοδύναµος.θεώρηµα: "Αν µία γλώσσα έχει ∆ιαλογικό Σύστηµα Απόδειξης, τότε έχει µεperfect completeness."• Όµοια µπορεί κανείς να απαιτήσει perfect soundness,δηλαδή, όταν x∉ L ο Prover να µην µπορεί σε καµία περίπτωση να πείσει τον Verifier(πιθανότητα αποδοχής ίση µε 0). Σε αυτή την περίπτωση το σύστηµαανάγεται στο ΝΡ proof system. Πράγµατι, για x ∈ L ο Prover µπορεί ναβρει µία σειρά τυχαίων bits για τα οποία µπορεί να οδηγήσει τον Verifierσε αποδοχή (τέτοια bits υπάρχουν λόγω completeness). Αν ο Ρ στείλειαυτά τα bits µαζί µε τις δικές του απαντήσεις στον V,εκείνος µπορεί ναελέγξει σε πολυωνυµικό χρόνο την εγκυρότητά τους και αν επιπλέονοδηγούν σε αποδοχή, να αποδεχθεί.

Σχόλια 2Κανείς ίσως αναρωτηθεί κατά πόσο τα interaction καιrandomization είναι απαραίτητα συστατικά ενός∆ιαλογικού Συστήµατος Αποδείξεων• Αν έχουµε µόνο interaction, δηλαδή αν ο Verifier είναιντετερµινιστικός, τότε υπάρχει ένας Prover που γνωρίζει τιςκινήσεις του Verifier και µπορεί να του στείλει τις δικές τουαπαντήσεις σε ένα µήνυµα. Άλλωστε,ένας ντετερµινιστικόςVerifier πρέπει πάντα να απορρίπτει µία ψευδή είσοδο, πράγµαπου σηµαίνει perfect soundness και όπως είδαµε κάτι τέτοιοανάγει το σύστηµά µας στο ΝΡ proof system.• Αν έχουµε µόνο randomization, τότε παίρνουµε την κλάση IP[1]και δεν είναι παρά µία πιθανοτική (και πιθανόν ισχυρότερη) εκδοχήτου ΝΡ.12

Graph isomorphism• ∆ύο γράφοι G 1 =(V 1 ,E 1 ) και G 2 =(V 2 ,E 2 ) ονοµάζονται ισοµορφικοίόταν υπάρχει 1-1 και επί συνάρτηση π:V 1 ->V 2 τέτοια ώστε:(u,v) ∈ E 1 αν και µόνο αν (π(u),π(v)) ∈ E 2Η συνάρτηση π ονοµάζεται ισοµορφισµός µεταξύ των G 1 και G 2 .• Αν δεν υπάρχει καµία συνάρτηση µε τις παραπάνω ιδιότητες, οιγράφοι ονοµάζονται µη-ισοµορφικοί.• Ορίζουµε τηγλώσσαGNI ως εξής:GNI = {(G 1 ,G 2 ): G 1 και G 2 είναι µη-ισοµορφικοί}• Το GI (graph isomorphism) είναι στο NP.Ενδιαφέρον έχει τογεγονός ότι δεν ξέρουµε αν είναι και NP-hard• Το GΝI (graph non-isomorphism) δεν γνωρίζουµε αν είναι στοNP. Θα δούµε όµως, ότι το GΝI έχει Interactive Proof System καιµάλιστα GΝI ∈ ΙΡ[2]13

Graph non-isomorphism is in IP[2]Common Input: ∆ίνονται δύο γράφοι, G 1 και G 2Verifier(1 o µήνυµα)Επιλέγει τυχαίαέναν γράφο.Με τυχαίο τρόποκατασκευάζει γράφοΗ ισοµορφικό µεαυτόν που επέλεξε.Στέλνει τον Η στονProverProver (2 o µήνυµα)Completeness: Αν οι δύο γράφοι είναι µηισοµορφικοίµπορεί να βρει µε ποιον απότους δύο είναι ισοµορφικός ο γράφος Ηκαι έτσι να στείλει στον Verifier τηνσωστή απάντηση (µε βεβαιότητα)Soundness: Αν οι γράφοι είναιισοµορφικοί,µπορεί να µαντέψει τη σωστήαπάντηση µε πιθανότητα ½. (το πλήθοςτων µεταθέσεων που οδηγούν από τον G 1στον Η είναι το ίδιο µε το πλήθος αυτώνπου οδηγούν από τον G 2 στον Η).Ο V ελέγχει την απάντηση εύκολα, αφού γνωρίζει τα random bits14

Graph non-isomorphism is in IP[2]Το κοινό input είναι δύο γράφοι, έστω G 1 =({1,...,n},E 1 ) καιG 2 =({1,...,n},E 2 )O Verifier- επιλέγει τυχαία i ∈ {1,2}- µε επίσης τυχαίο τρόπο υπολογίζει µετάθεση π του {1,...,n}.- εν συνεχεία, εφαρµόζοντας την π στον γράφο i υπολογίζει τονγράφοΗ = ({1,...,n}, {(π(u),π(v)):(u,v)∈E i })- στέλνει τον γράφο Η στον ProverΟ Prover στέλνει j ∈ {1,2} στον VΟ Verifier αποδέχεται αν και µόνο αν i=j.15

16Graph 3 Coloring is in ΙΡ, ΖΚO Prover γνωρίζειχρωµατισµό τουγράφου µε 3χρώµατα213 45ΕπιλέγειτυχαίαµετάθεσηχρωµάτωνΚλειδώνει τους φρεσκοβαµµένους κόµβους σεαδιαφανή κουτιά και στέλνει το γράφο στονVerifier213 45O Verifier διαλέγει στην τύχη µία ακµή καιζητάει από τον Prover τα κλειδιά. Βλέπει ταχρώµατα των κόµβων και αν είναι διαφορετικάαποδέχεται, ειδάλλως απορρίπτει.213 45

Graph 3 Coloring is in ΙΡ, ΖΚCompleteness: Αν ο γράφος είναι 3-colorable, o Prover µπορείπάντα να πείσει τον VerifierSoundness: Αν ο γράφος δεν είναι 3-colorable, τότε υπάρχειτουλάχιστον µία ακµή µε το ίδιο χρώµα στα άκρα της. Ο Verifierµπορεί να διαλέξει αυτή την ακµή µε πιθανότητα 1/|E|.Zero KnowledgeΜπορεί ο Verifier µετά το τέλος του πρωτοκόλλου να υπολογίσειτον χρωµατισµό του γράφου µε 3 χρώµατα;Ο Verifier το µόνο που έβλεπε σε κάθε γύρο ήταν ένα τυχαίοζευγάρι χρωµάτων. Αυτό όµως το κάνει και µόνος του!Το πρωτόκολλο για το Graph non-isomorphism είχε αυτή τηνιδιότητα;17

Strong and weak definitions of IPDefinitions WITH Perfect Completenesscompleteness: x ∈ L -> Prob[Verifier Accepts] = 1soundness: Για κάθε x ∉ L, όταν "παίζουν" µε κοινό input x, κάθεστρατηγική του Prover πείθει τον Verifier µε πιθανότητα το πολύ:• 2 -p(|x|)• ε, ε ∈ (0,1)• 1 - 1/p(|x|)Definitions WITHOUT Perfect Completenesscompleteness: ο Verifier αποδέχεται µε πιθανότητα τουλάχιστον Csoundness: ο Verifier αποδέχεται µε πιθανότητα το πολύ SΤα παρακάτω ζεύγη (C,S) δίνουν ισοδύναµους ορισµούς:• (1-2 -p(|x|) , 2 -p(|x|) )• (2/3, 1/3)• (½ + ε, ½ - ε), µε ε < ½• (p + ε, p - ε), µε p ∈ (0, 1) και 0 < ε

Πόσο δυνατός πρέπει να είναι ο Prover;Στον ορισµό των ΙΡ συστηµάτων αναφερόµαστε σε Prover µεαπεριόριστη δύναµη. Πόση δύναµη είναι πραγµατικά απαραίτητη;Γνωρίζοντας την στρατηγική του Verifier, µπορούµε να προσοµοιώσουµετον Optimal Prover σε πολυωνυµικό χώρο.θεώρηµα: "Η βέλτιστη στρατηγική για τον Prover µπορεί να υπολογιστεί σεπολυωνυµικό χώρο."Πόρισµα: IP ⊆ PSPACEΤελικά, µπορούµε να προσοµοιώσουµε κάθε Interactive Proof σεπολυωνυµικό χώρο• Κάθε στιγµή ο Optimal Prover πρέπει να διαλέγει την στρατηγική πουέχει την µεγαλύτερη πιθανότητα να καταλήξει σε αποδοχή.• Για να το κατορθώσει αυτό,πρέπει να ανατρέξει σε όλους τους πιθανούςµελλοντικούς διαλόγους µε τον Verifier και να επιλέξει την καλύτερη.• Μπορεί να γίνει σε πολυωνυµικό χώρο.19

20Simulation of the Optimal Prover• Έστω F(β 1 ,π 1 ,...,π i-1 ,β i ) η πιθανότητα ένας διάλογος πουξεκινάει µε β 1 ,π 1 ,...,π i-1 ,β i να οδηγήσει σε αποδοχή. Όπου β iκαι π i τα i- οστά µηνύµατα που έστειλαν ο Verifier και ο Proverαντίστοιχα.• Έστω r όλα τα τυχαία bits του Verifier.• Έστω R β1,π1,...,πi-1,βi το σύνολο όλων των r σε συµφωνία µε τονδιάλογο β 1 ,π 1 ,...,π i-1 ,β i .• Έστω V(r,π 1 ,...,π i-1 ) το µήνυµα β i+1 που έστειλε ο Verifier.• Θα δείξουµε ότι η F µπορεί να υπολογιστεί χρησιµοποιώνταςπολυωνυµικό χώρο και ότι για κάθε i,µπορεί να βρεθεί ένα π i πουµεγιστοποιεί την πιθανότητα F.1F( β1,π1,...,π i− 1,βi) = max ∑ F(β1,π1,...,π i,V ( r,π1,...,ππ i | R | r∈Rβ , π11,..., βiβ1,π1,...,βii))

21Simulation is in PSPACE• Για κάθε π i :• Για κάθε δυνατή random sequence r:• ελέγχουµε αν r ∈ R β1,π1,...,πi-1,βi , προσοµοιώνοντας τονVerifier• Υπολογίζουµε το β i+1 = V(r,π 1 ,...,π i ), επίσηςπροσοµοιώνοντας τον Verifier• Υπολογίζουµε αναδροµικά το F(β 1 ,π 1 ,...,π i ,β i+1 )Η αναδροµή µπορεί να ολοκληρωθεί σε πολυωνυµικό χώρο, διότιτο βάθος της αναδροµής φράσσεται από το πλήθος των γύρων,που είναι πολυωνυµικό.Επιπλέον, η πιθανότητα που µας γυρίζει κάθε αναδροµική κλήση,µπορεί να αποθηκευτεί µε έναν αριθµητή και έναν παρονοµαστή, µεαναπαραστάσεις πολυωνυµικού µήκους.1F( β1,π1,...,π i− 1,βi) = max ∑ F(β1,π1,...,π i,V ( r,π1,...,π| R |πiβ , π11,..., βir∈Rβ1,π1,...,βii))

• Έστω L in IP:• Τότε υπάρχει IP για την L:IP ⊆ PSPACE• Μπορούµε να προσοµοιώσουµε τον Prover αυτού τουσυστήµατος σε πολυωνυµικό χώρο.• Για κάθε δυνατό random sequence του Verifier προσοµοιώνουµετο διάλογο µεταξύ Prover και Verifier. Εφικτό, σε πολυωνυµικόχώρο.• Στο τέλος µετράµε πόσοι διάλογοι οδήγησαν σε αποδοχή και ανείναι το λιγότερο 2/3 αποδεχόµαστε.•Τελικά,αποδεχόµαστε αν και µόνο αν x ∈ L• Συµπέρασµα: IP ⊆ PSPACE22

Combinatorial GamesΤα παρακάτω ορίζουν ένα Combinatorial Game:• Έστω D 1 , D 2 ,…, D t µη κενά,πεπερασµένα σύνολα• Έστω συνάρτηση f ορισµένη στο καρτεσιανό γινόµενοdom(f)=D 1 x…xD t και µε ran(f)={0,1} (pay offfunction)• ∆ύο παίχτες Α (Arthur) και Μ (Merlin) παίζουν εναλλάξ. Στην i-οστή κίνηση ο παίκτης που έχει σειρά επιλέγει x i ∈ D i• Το παιχνίδι τελειώνει µετά την t-οστή κίνηση• Ο παίχτης Μ κερδίζει αν f(x i ,…,x t )=1• history = (x i ,…,x t )• game space = dom(f)• game size = log 2 |dom(f)|• To παιχνίδι ορίζεται από ένα ζεύγος (f,Q), όπου παίζει πρώτοςο παίκτης Q (Q=A ή Q=M)23

Arthur-Merlin GamesTα Arthur-Merlin Games είναι combinatorial games πουεπιπλέον ισχύουν τα παρακάτω:• Οι κινήσεις του Α είναι τυχαίες (δεν ενδιαφέρεται για νίκη)• Οι κινήσεις του Μ είναι βέλτιστες (έχει απεριόριστη δύναµη)• Για κάθε input x ισχύει ένα από τα παρακάτω:(α) W(x) > 2/3,ή(β) W(x) < 1/3όπου W(x)η πιθανότητα του Μ να νικήσει.• Η γλώσσα που αναγνωρίζει ένα τέτοιο παιχνίδι αποτελείται απότις συµβολοσειρές x για τις οποίες ισχύει το (α).Ιεραρχία ΑΜΑΜ(t(n)) είναι το σύνολο των γλωσσών που αναγνωρίζονται απόπαιχνίδια Arthur-Merlin µήκους t(n), όπου ο Α παίζει πρώτος.Οµοίως ορίζουµε ΜΑ(t(n)), ΑΜ(Poly)=MA(Poly)=U{AM(n k :k>0)},AM(3)=AMA, MA(1)=M κ.λπ.[“Trading Group Theory for Randomness”, 1985, Laszlo Babai (Budapest, Chicago)]24

25Συµβολισµοί• Έστω συνάρτηση fπου παίρνει πραγµατικές τιµές στο D=dom(f):averagemaximumoperatorΣε ένα παιχνίδι Arthur-Merlin (f,Μ), η πιθανότητα να κερδίσει ο Μείναι:Mx 1 Ax 2 Mx 3 ...Qx t f(x 1 ,x 2 , ... ,x t )και αν παίζει ο A πρώτος::operatorAx f ( x)= ∑Mxf ( x)DΑx 1 Μx 2 Αx 3 ...Qx t f(x 1 ,x 2 , ... ,x t )max{f ( x)|• Έστω p η πιθανότητα να κερδίσει ο M σε ένα παιχνίδι Arthur-Merlin. Ορίζουµε την αβεβαιότητα του παιχνιδιού (uncertainty ofthe game) ως εξής:unc(f,Q)=min{p,1-p}x∈Df ( x)=(η πιθανότητα να χάσει ο παίκτης µε το πλεονέκτηµα):x∈D}

Απαιτήσεις κατά την προσοµοίωσηΣκοπός είναι η προσοµοίωση δεδοµένου παιχνιδιού(f,Q) µε ένα άλλο (f*,Q*) λιγότερων κινήσεων, ώστενα ικανοποιούνται τα εξής:(α) Και στα δύο παιχνίδια έχει το πλεονέκτηµα ο ίδιος παίχτης(β) Ο χώρος του παιχνιδιού (game space) δεν αυξάνει σηµαντικά(γ) Η αβεβαιότητα αυξάνεται ή δεν µειώνεται σηµαντικά(δ) Η f* πρέπει να υπολογίζεται εύκολα από την fTηρώντας τις παραπάνω απαιτήσεις µπορούµε ναπροσοµοιώσουµε κάθε παιχνίδι ΑΜ[κ], όπου κ σταθεράκ>=2, µε ένα παιχνίδι ΑΜ. Η ιεραρχία ΑΜ καταρρέειστο 2 ο επίπεδο. Συγκεκριµένα:ΑΜ = ΑΜ[κ] = ΜΑ[κ+1], για κάθε σταθερά κ>=226

Ενίσχυση του πλεονεκτήµατοςΣε συγκεκριµένο παιχνίδι Arthur-Merlin (f,Q) ο ένας παίκτηςέχει το πλεονέκτηµα (αν x ε L o Merlin). Μπορούµε να αυξήσουµεαυτό το πλεονέκτηµα βάζοντας τους παίκτες να παίξουν το παιχνίδιεν παραλλήλω σε k σκακιέρες.Πιο τυπικά ορίζουµε (f k ,Q) ως εξής:dom(f) = D 1k x … x D tk καιf k (x 11 , ... , x tk ) είναι η πιθανότητα να κερδίσει ο Μ περισσότερααπό τα µισά παιχνίδια.Αποδεικνύεται ότι αν η αβεβαιότητα στο πρώτο παιχνίδι ήτανµικρότερη από 1/3 τότε στο δεύτερο είναι µικρότερη από (8/9) κ/2 .27

Εναλλαγή παικτώνΜπορούµε να προσοµοιώσουµε κάθε ΜΑ παιχνίδι µε ένα ΑΜΤο πρόβληµα που πρέπει να ξεπεράσουµε για αυτήν τηνπροσοµοίωση, είναι ότι δίνοντας στον Α την πρώτη κίνηση, ο Μέχει τη δύναµη να ανατρέψει το πλεονέκτηµα υπέρ του.Ξεπερνάµε αυτή την δυσκολία βάζοντας τον Α να ξεκινήσει µε mανεξάρτητες κινήσεις και αναγκάζοντας τον Μ να κερδίσει τιςπερισσότερες από αυτές µε µία µόνο κίνηση.• Έστω (f,M) µε dom(f) = Χ x Y ένα ΜΑ παιχνίδι• Μπορούµε να το προσοµοιώσουµε µε ένα παιχνίδι (f*,A) όπου οΑ παίζει πρώτος µε dom(f) = Y m x Χ.28

Μείωση των γύρων κατά 1ΑΜ[κ] = ΑΜ[κ+1]Αποδεικνύεται ότι κάθε (g,A) παιχνίδι k+1 γύρων µπορούµε να τοπροσοµοιώσουµε µε ένα παιχνίδι (G,A) k γύρων.Ο τρόπος που γίνεται αυτό είναι ίδιος µε τον τρόπο πουεναλλάξαµε προηγουµένως τις κινήσεις στο ΜΑ παιχνίδι.Πάλι το παιχνίδι γίνεται σε m παράλληλες σκακιέρες:do m(G) = (D 1 x D 3m ) x D 2 x … x ΠD imΟι παρενθέσεις δείχνουν ότι µετά την εναλλαγή των κινήσεωνσυµπτύσσουµε τις δύο συνεχόµενες κινήσεις του Α σε µίαδηµιουργώντας έτσι παιχνίδι µε µία κίνηση λιγότερο.Ο Μ πρέπει να κερδίσει τα περισσότερα από τα m παιχνίδια:w i =(x 1 ,x 2 , x 3i ,x 4i ,…x ti )29

ΑΜ[2] = ΑΜ[κ] = ΜΑ[κ+1]Α Μ Α Μ Α Μ Α Μ Α Μ Α Μ Α... QΑ Α Μ Μ Α Μ Α Μ Α Μ Α Μ Α... QΑ Μ Α Μ Α Μ Α Μ Α Μ Α Μ... QΕπαναλαµβάνοντας για σταθερό αριθµό φορών τα παραπάνωεπιτυγχάνουµε το ζητούµενο.∆εν µπορούµε να κάνουµε το ίδιο για απεριόριστο αριθµόγύρων γιατί το µέγεθος του παιχνιδιού τετραγωνίζεται κάθεφορά που κάνουµε την εναλλαγή.30

Private Coins vs. Public CoinsArthur-Merlin Games & Interactive ProofsΟµοιότητες:• διαλογικά• πιθανοτικά• ο ένας παίχτης έχει απεριόριστη δύναµη (M erlin, Prover)• ο άλλος είναι περιορισµένων δυνατοτήτων (Arthur, Verifier)Βασική ∆ιαφορά:• Στα Arthur-M erlin Ga m es οι τυχαίες επιλογές του Arthur είναιγνωστές στον Merlin, ενώ αντίθετα στα Interactive Proofs οι τυχαίεςεπιλογές του Verifier γίνονται κρυφά από τον Prover. Συγκεκριµένα,στα Arthur-Merlin Games ο Arthur δεν κάνει τίποτε άλλο από το ναστέλνει τα random bits του στον Merlin.Συνεπώς, για κάθε f= O(poly) ισχύει ΑΜ(f) ⊆ IP(f)31

IP = AM ως προς Language RecognitionΓια κάθε πολυώνυµο Q ισχύει IP[Q] ⊆ AM[Q+2]Γενική ιδέα απόδειξης:Θέλουµε να προσοµοιώσουµε τυχαίο ΙΡ σύστηµα µε ένα ΑΜπαιχνίδι. H ιδέα στην απόδειξη αυτού του θεωρήµατος είναι ναστείλει ο Α τα rando m bits του στον Μ, αλλά µε τέτοια µορφή ώστενα τον αναγκάσει να εκτελέσει για λογαριασµό του τις πράξεις πουθα εκτελούσε ο Verifier του ΙΡ συστήµατος. Στη συνέχεια ο Μστέλνει αυτούς τους υπολογισµούς µαζί µε την απάντησή του και οΑ ελέγχει την εγκυρότητά τους.[“Private Coins vs. Public Coins in Interactive Proof Systems”, 1986,Shafi Goldwasser (MIT), Michael Sipser (MIT)]32

Quantified Boolean Formulas• Έχουµε ήδη δείξει ότι IP ⊆ PSPACE• Για να δείξουµε ότι και PSPACE ⊆ IP, αρκεί να δείξουµε ότι έναPSPACE-Complete πρόβληµα έχει Interactive Proof SystemQuantified Boolean Formulas• Το σύνολο των Quantified Boolean Formulas ορίζεται ως τοκλείσιµο (closure) του συνόλου των boolean variables x i και τωναρνήσεών τους ¬x i υπό τις πράξεις ∧ (and), ∨ (or), ∀x i (universalquantification) και ∃x i (existential quantification)• Μία QBF ονοµάζεται κλειστή (closed) όταν όλες οι µεταβλητές τηςείναι bounded από κάποιον ποσοδείκτη. Οι κλειστές QBF µπορεί ναείναι είτε True, είτε False.• Μία κλειστή QBF ονοµάζεται απλή (simple) όταν µεσολαβεί τοπολύ ένας καθολικός ποσοδείκτης µεταξύ κάθε εµφάνισης µίαςµεταβλητής και του σηµείου quantification τηςπ.χ.∀x 1 ∀x 2 ∃x 3 [(x 1 ∨ x 2 ) ∧ ∀x 4 [(x 2 ∧ x 3 ∧ x 4 )] είναι απλή∀x 1 ∀x 2 [(x 1 ∧ x 2 ) ∀x 3 [(¬x 1 ∧ x 3 )] δεν είναι απλή33

Simple QBF's• To QBF είναι PSPACE-Complete.θεώρηµα 1: Κάθε QBF µεγέθους n µπορεί να µετατραπεί σεισοδύναµη simple QBF µε µέγεθος πολυωνυµικό ως προς n.Παράδειγµα: Παρακάτω η έκφραση Q δεν περιέχει ποσοδείκτεςQBF: ∃x∀y∃z∀s∃t Q(x,y,z,s,t)simple QBF: ∃x 0 ∀y 0 ∃x 1 (x 1 =x 0 ) ∧∃z 0 ∀s 0 ∃x 2 ∃y 1 ∃z 1(x 2 =x 1 )∧(y 1 =y 0 )∧(z 1 =z 0 ) ∧∃t 0 Q(x 2 ,y 1 ,z 1 ,s 0 ,t 0 )Με την παραπάνω διαδικασία η µετασχηµατισµένη QBF είναιπροφανώς simple.Επιπλέον, αν n ήταν το µέγεθος της πρώτηςQBF, τότε το µέγεθος της simple QBF θα είναι O(n 2 ).• Έστω η γλώσσα L = {x : (x is simple QBF) ∧ (x is true)}Λόγω των παραπάνω, αν κατασκευάσουµε Interactive ProofSystem για την γλώσσα L θα έχουµε αποδείξει ότι: IP=PSPACE[“IP=PSPACE”, 1992, Adi Shamir (Israel)]34

35Arithmetization of QBFΜε κάθε closed QBF Β αντιστοιχίζουµε µία αριθµητική έκφρασηΑ, κάνοντας τους παρακάτω συντακτικούς µετασχηµατισµούς:x iz i , z i ∈ Z¬x i 1-z i∧∨∀x i∃x ix i ≈ xj* , integer multiplication+ , integer additionΠz i ∈{0,1}Σz i ∈{0,1}(x i ∧ xj) ∨ (¬x i ∧¬xj)

36Arithmetization of QBF: ΠαράδειγµαΈστω για παράδειγµα η παρακάτω TRUE QBF:Β = ∀x 1 ∃x 2 [(x 1 ∧ x 2 ) ∨∃x 3 (¬x 2 ∧ x 1 )]Η αριθµητική της έκφραση είναι:A=∏ ∑ [( z ⋅ z + ∑2)z 1 z2 z3(1 ]1 2)3∈ { 0,1} ∈ { 0,1 }∈ {0,1 }−z⋅zκαι η τιµή της είναι 2.Θεώρηµα 2: Μια closed QBF Β είναι TRUE αν και µόνο αν η τιµήτης αριθµητικής έκφρασής της Α, είναι µη-µηδενική. (απόδειξη µεεπαγωγή στη δοµή της Β)

Το µέγεθος της αριθµητικής έκφρασηςΠόσο µεγάλη µπορεί να γίνει η τιµή της αριθµητικήςέκφρασης µίας closed QBF;Θεώρηµα 3: Έστω Β µία closed QBF µεγέθους n. Η τιµή τηςαριθµητικής της έκφρασης Α είναι Ο(2 2n ).Απόδειξη: Για κάθε sub-expression Β’ της Β ας είναι u(B’) ηµέγιστη τιµή που µπορεί να πάρει η αριθµητική έκφραση της Β’ αναντικατασταθούν οι ελεύθερες µεταβλητές µε 0 και 1.(1) Αν η Β’ είναι x i ή ¬x i ,τότε u(B’) = 1(2) Αν η Β’ είναι Β’’ ∨ Β’’’ ,τότε u(B’)

mod pΠαρατήρηση: Η τιµή µίας αριθµητικής έκφρασης µπορεί να γίνειπολύ µεγάλη. Αυτό µας ενοχλεί διότι ο Verifier δεν µπορεί ναχειριστεί αριθµούς Ο(2 2n ). Για να λειτουργήσει το πρωτόκολλο θαπρέπει να βρεθεί πρώτος p κατάλληλος ώστε να γίνουν οι πράξειςmodulo p.Θεώρηµα 4: Έστω Β µία closed QBF µεγέθους n. Υπάρχει πρώτοςp πολυωνυµικού µήκους ως προς n τέτοιος ώστε Α ≠ 0(modp) ανκαι µόνο αν η Β είναι TRUEΑπόδειξη:(if) Έστω ότι ο Α είναι µη-µηδενικός ακέραιος. Αν είναι 0 moduloκάθε πολυωνυµικού µήκους πρώτο, τότε είναι 0 modulo τογινόµενο όλων αυτών. Από το θεώρηµα των πρώτων (π(n) ~n/lgn)αυτό το γινόµενο είναι Ω(2 2n d ) για κάθε σταθερά d. Άτοπο, γιατί τοΑ είναι µη-µηδενικό και Ο(2 2n ).38

39Functional FormΟρίζουµε ως Functional Form A’ µίας αριθµητικής έκφρασης Α, τοπολυώνυµο µίας µεταβλητής που προκύπτει από την αφαίρεση τουαριστερότερου Π zi ∈{0,1} ή Σ zi ∈{0,1} από την Α.Παράδειγµα:B =∀x1[¬ x 1∨∃x2∀x3(x 1∧x 2)∨x 3]A =z 1∏∈[(1{0,1}−z 1)+z∑∈z∏{ 0,1} ∈ {0,1 }2 3( z 1⋅z 2+z 3)]A'=[(1−z 1)+z∑∈z∏{ 0,1} ∈ {0,1 }2 3( z 1⋅z 2+z 3)]Ο Prover µπορεί να εκφράσει το Α’ ως πολυώνυµο. Σε αυτή τηνπερίπτωση είναι q(z 1 ) = z 12+ 1

42ΠαράδειγµαΥπολογισµοίπου κάνουνκαι οι δύο:A'(z13)aAq(zΣτέλνει ο Ρ στον V στο 3 ο βήµα:== (1 − 3) +z==1zA' =2 3q(z 2)∑ ∏ 2 +z3∑ ∏ (3z 2 +2 3z∏ (3z 2 +∈ {0,1}9z2z∈ { 0,1} ∈ {0,1}(3z∈ { 0,1} ∈ {0,1}= 3) − α1=z 3)+ 3z2z 3)= 10−( −2)2z 3)= 12=A1+ A2και πάλι από την αρχή...Verifier:• ελέγχει αν α = q(0) + q(1) = 9 + 3 = 12• στέλνει τυχαίο z 1 = 2 στον Prover (4 ο βήµα)