PPAD和Quantum

今天在纽约及世界各地，克里斯托斯·帕帕迪米特里乌（Christos Papadimitriou）都在庆祝生日。这是一个很好的机会，可以询问Christos的复杂度类PPAD（和他的其他相关类）与量子计算机之间的关系。Papadimitriou 在1994年发表的著名论文中，介绍并系统地研究了一些重要的复杂性类，例如PLS，PPAD等。（Papadimitriou的论文引用了之前的一些论文，特别是正如Aviad所指出的那样，PLS是Johnson-Papadimitriou-Yannakakis在1988年提出的。）

我的主要问题是：

量子计算机是否为$PPAD$问题提供了某些优势？或以 $PLS$？或在$PLS \cap PPAD$？等等...

另一个问题是是否存在PLS和PPAD以及Christos其他类别的量子类似物。

我注意到，PPAD的密码学近期显着连接在这些论文中发现：找到一个纳什均衡的加密硬度用N Bitansky，O-潘氏，罗森和灿PPAD硬度是基于标准加密的假设？作者：阿罗森（R Rosen），G·塞杰夫（G Segev），“我·沙哈夫（Shahaf）”和找到纳什均衡比打破菲亚特·沙米尔简直容易得多。我还注意到，我认为Christos的课程非常接近数学和数学证明。

更新： Ron Rothblum评论（在FB上），Choudhuri，Huaacek，Kamath，Pietrzak，Rosen和G. Rothblum的结果暗示PPAD似乎超出了量子计算机的能力。（我很高兴看到详细的解释来解释它。）

还有一个评论：一个相关的不错的问题是，以$n$立方的唯一单向定位找到汇点是否具有有效的量子算法。（我认为此任务比$PLS$容易，但我不确定它与$PPAD$。）这与寻找$LP$量子优势有关，请参阅https://cstheory.stackexchange.com / a / 767/712。

克里斯托斯，生日快乐！

我在撰写有关此问题的博客文章时学到的两个答案

1. 否：在黑匣子变体中，量子查询/通信复杂度提供了Grover二次加速，但还不止于此。正如罗恩（Ron）所指出的那样，这在合理的假设下扩展到了计算复杂性。

2. 也许：纳什均衡可以说是“克里斯托斯阶层”的旗舰问题。在这里，给予玩家量子纠缠的机会，提出了一个“量子相关平衡”的新解决方案概念，该概念概括了纳什平衡。它的复杂性仍然是开放的。参见艾伦·德克鲍姆（Alan Deckelbaum）撰写的这份很酷的论文。

还有一个历史记录：PLS实际上是Johnson-Papadimitriou-Yannakakis在1988年提出的。

$\mathsf{PPAD}$

在较高级别上，CHKPRR会在终端解决方案上建立分布，在这种情况下，找到解决方案需要满足以下任一条件：

• 破坏通过将Fiat-Shamir启发式方法应用于著名的sumcheck协议而获得的证明系统的可靠性，或者
• $\sharp \mathsf{P}$

$\sharp \mathsf{SAT}$$\mathsf{PPAD}$

$\sum_{\vec z \in \{0,1\}^n} f(\vec z) = x$$f$$n$$\mathbb{F}$，在此设置下可以正常工作：sumcheck protocol。将交互式证明转换为非交互式证明（保持公共可验证性和紧凑性）正是Fiat-Shamir启发式方法所做的。

实例化菲亚特-沙米尔

菲亚特-沙米尔（Fiat-Shamir）启发式方法非常简单：修复某些哈希函数，从公开硬币互动证明开始，并使用到目前为止整个成绩单的哈希值替换验证者的每条随机消息。问题是，我们可以在哈希函数的哪个属性下证明所生成的协议仍然是合理的（请注意，它在统计上不再可行；希望它在计算上仍然合理）。

在我详细说明之前，请允许我发表您的评论：

我仍然不明白1.当然，有一些密码学硬度假设不适用于量子情况。是什么使QC难以“打破Fiat-Shamir”，而不是“打破RSA”。

我希望高层次的描述应该清楚地表明，“打破菲亚特-沙米尔”和“打破RSA”并不是真正可比较的问题。RSA是一个具体的特定硬度假设，如果您可以分解大整数，则可以将其破坏。

$\mathsf{PPAD}$基础哈希函数的功能。在直觉上，这不是量子计算机擅长的，因为这似乎并不一定具有可以利用的强大结构（与离散对数和RSA不同）的问题：哈希函数通常可以非常“无组织”。

具体来说，选择散列函数实例化Fiat-Shamir时有两种自然的选择：

启发式，具体有效的方法：

选择您喜欢的哈希函数，例如SHA-3。当然，我们没有证据表明用SHA-3实例化Fiat-Shamir会给我们带来难题。但是我们都不知道通过将菲亚特·沙米尔（Fiat-Shamir）和SHA-3应用于非退化的交互式证明系统而对证明系统的健全性有任何不小的攻击。这也扩展到了量子设置：我们不知道有什么量子攻击能比格罗弗算法给出的通常的二次加速更好。经过数十年的密码分析尝试，密码学界的共识是，就我们所知，量子算法似乎没有为“ Minicrypt样式”原语（哈希函数，PRG，分组密码等）提供超多项式加速。一些强大的基础代数结构-例如SHA-2，SHA-3，AES等。

可证明的安全性方法：

此处的目标是隔离散列函数的纯净属性，使Fiat-Shamir发出启发式声音，并构建一个散列函数，在合理的密码假设下满足该属性。

$R$$K$$x$$(x, H_K(x)) \in R$$R$$R$

现在的问题是如何为我们关心的关系以及在此特定上下文中为与sumcheck协议相关的关系建立关联难解的哈希函数。在此，最近的工作线（基本上1，2，3，4，5，6）表明，对于许多感兴趣的关系，一个实际上可以构建相关下基于格的假设顽固性散列函数。

$\mathsf{PPAD}$

实际上，我们并不完全在那里。Peikert和Shiehian的最新突破性结果（我之前给出的清单中的最后一篇论文）表明，对于重要的关系，我们可以在公认的晶格问题（例如带错误学习或SIS问题）下建立相关难缠哈希函数; 但是，这项工作未捕获sumcheck关系。

尽管如此，基于此工作的 CHKPRR 表明，可以假设完全同态加密方案的许多具体构造中的任何一种都具有针对超多项式时间攻击的准最优循环安全性，并且可以建立一个不可关联的哈希函数。

让我们打破这个假设：

• 完全同态加密（FHE）是一种原始语言，我们知道如何在各种晶格假设下进行构建。如果该方案仅必须评估有界电路，我们实际上知道如何在带有误差假设的标准学习下构建它。
• 循环安全性指出，即使FHE用于加密自己的秘密密钥，也应该很难破解。这比通常的安全概念要强，后者不允许密钥相关消息。在标准晶格假设（例如LWE）下建立圆形安全FHE是一个长期存在的主要问题。尽管如此，在Gentry首次FHE构建和大量密码分析尝试十年后，已建立的FHE候选者的循环安全性本身已成为一个相对安全的假设（即使针对量子计算机），我们不知道有任何利用密钥的攻击无关的加密方式。
• $2^{\omega(\log \lambda) - \lambda}$$\lambda$$2^{c\lambda}$$c < 1$$2^{-c \lambda}$$c < 1$
• 最后，如果我们允许攻击者使用超多项式运行时间，我们希望上述所有条件仍然成立。这仍然符合已知算法可以实现的目标。

$\mathsf{PPAD}$

当然，CHKPRR留下的主要未解决问题之一是在更好的基于格的假设（理想情况下为LWE假设）下为和校验关系建立一个不易相关的哈希函数。鉴于这是最近的工作，这似乎是不平凡的，但并非不令人难以置信，对于其他有趣的关系，这已经取得了许多令人惊讶的结果。