Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 15.11.

Ähnliche Präsentationen


Präsentation zum Thema: "Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 15.11."—  Präsentation transkript:

1 Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/

2 Beweis Theorem 4.3 Theorem 4.3: Wenn L 2 AM, dann gibt es ein AM Protokoll mit Vollständigkeit 1 und Korrektheit 2/3. Dasselbe gilt für MA. Beweis: Sei L 2 AM Dann gibt es nach 4.2 einen Verifizierer V mit: –x 2 L: Für mindestens 1-1/2 n aller r 2 {0,1} m gilt: 9 a: V(x,r,a) akzeptiert –X nicht 2 L: Für höchstens 1/2 n aller r 2 {0,1} m gilt: 9 a: V(x,r,a) akzeptiert Sei S x µ {0,1} m die Menge aller r 2 {0,1} m, für die es ein a gibt mit V(x,r,a) akzeptierend Dann: –x 2 L: |S x | ¸ (1-1/2 n ) 2 m –x nicht 2 L: |S x | · 2 m /2 n Sei k=m/n+1

3 Beweis Theorem 4.3 Sei U={u 1,…,u k } eine Menge von k strings aus {0,1} m Betrachte den Graphen G U : –Knotenmenge {0,1} m –Kanten (r,s) wenn 9 i: r=u i © s © bitweises XOR –Der Knotengrad ist k; sei U (S)=Menge der Nachbarn einer Menge S x nicht 2 L: |S x | · 2 m /2 n daher | U (S x )| · k 2 m /2 n <2 m /3 x 2 L: |S x | ¸ 2 m (1-1/2 n ) –Behauptung: | U (S x )|= 2 m für mindestens ein U r 2 U (S x ) bedeutet: es gibt i,a: V(x,r © u i,a) akzeptiert Damit gilt: –x 2 L: 9 U: 8 r: 9 i: 9 a: V(x,r © u i,a) akzeptiert –x nicht 2 L: 8 U: für 2/3 aller r: 8 i 8 a: V(x.r © u i,a) verwirft Wir erhalten ein MAM Beweissystem für L mit einseitigem Fehler, das wie in 4.2 in ein AM System mit einseitigem Fehler umgewandelt werden kann.

4 Beweis der Behauptung Gegeben S µ {0, 1} m –|S| ¸ (1-1/2 n ) 2 m Zu zeigen: –Es gibt U der Grösse k=m/n+1, U (S)={0,1} m Wir erzeugen U zufällig: –ziehen u 1,…,u k unabhängig uniform zufällig –zeigen Prob( U (S)= {0,1} m ) > 0 Beweis: –Betrachte festes r 2 {0, 1} m –B r sei das Ereignis, dass r nicht 2 U (S) –B r = \ B r i, wobei B r i das Ereignis sei, dass r s © u i für alle s 2 S, oder äquivalent: r © u i nicht 2 S –r © u i ist uniform zufällig in {0,1} m –daher ist Prob(B r i ) · (2 m -|S|)/2 m =2 -n –Prob(B r ) · i (Prob(B r i ) · (1/2 n ) k <1/2 m wegen Unabhängigkeit der u i –Prob( 9 r: B r ) · r Prob(B r ) < 2 m /2 m =1 –Prob( U (S)= {0,1} m )=1- Prob( 9 r: B r )>0 –D.h. Es gibt ein U mit der gewünschten Eigenschaft

5 Generelle Interaktive Beweise Wir entfernen nun die Restriktion von AM Protokollen, dass der Verifizierer keinen privaten Zufall hat. Definition 4.7: –Ein interaktives Beweissystem besteht aus einem Beweiser und einem Verifizierer. –Der Verifizierer ist eine randomisierte Maschine mit polynomieller Laufzeit –Verifizierer und Beweiser kommunizieren beliebig in einem Protokoll –Die Nachrichten des Beweisers haben polynomielle Länge –Es gelten dieselben Anforderungen and Vollständigkeit und Korrektheit wie bei AM Protokollen –Alle Sprachen, die in Protokollen mit k Runden bewiesen werden können bilden die Klasse IP[k] IP[1]=MA AM µ IP[2] Generell beginnt für gerades k der Verifizierer das Protokoll, für ungerades der Beweiser

6 IP versus AM Theorem 5.1 –IP[k]=AM[k] Es ist klar, dass AM[k] µ IP[k] Es reicht zu zeigen, dass IP[k] µ AM[k+2], da AM[k+2] µ AM[k]

7 GNI Wir zeigen nur ein Protokoll für Graphnichtisomorphismus, das keinen versteckten Zufall verwendet GNI={G 1,G 2 : G 1 nicht isomorph zu G 2 } Theorem 5.2 –GNI 2 AM

8 Beweis 5.2 Ein Automorphismus eines Graphen H ist eine Abbildung, die H auf H schickt (unter Beachtung der Knotennummern) Setze S={H, : H ist isomorph zu G 1 oder zu G 2 und ist ein Automorphismus von H} S 2 NP Wenn G 1 isomorph zu G 2, dann ist S klein, sonst groß Wenn G 1 nicht isomorph zu G 2, dann ist |S|=2n! Wenn G 1 isomorph G 2, dann ist |S|=n!

9 Beweis 5.2 Sei G ein Graph. Wenn man {1,…,n} permutiert erhält man einen zu G isomorphen Graphen. Dieser kann entweder G selbst sein, oder ein anderer (isomorpher) Graph H aut(H) sei die Gruppe der Automorphismen von H S n die Gruppe aller Permutationen, |S n |=n! Sei 2 S n und H= (G). Dann ist (H)=H für alle 2 aut(H) Zu G gibt es n! viele Paare H, : H ist isomorph zu G, ist Automorphismus von H –Sei H die Menge der zu G isomorphen Graphen –Jedes 2 S n bildet G auf ein H 2 H ab –Jedes H 2 H hat aut(H) viele 2 S n, so dass (G)=H –Damit ist H 2 H |aut(H)|=n! S={H, : H ist isomorph zu G 1 oder zu G 2 und ist ein Automorphismus von H} Wenn G 1 nicht isomorph zu G 2, dann ist |S|=2n! Wenn G 1 isomorph G 2, dann ist |S|=n! Denn: – Wenn G 1 isomorph zu G 2 wie oben –Sonst: es gibt 2(n!) Möglichkeiten, da zwei verschiedene Graphen vorliegen

10 Beweis 5.2 Der Beweiser muss den Verifizierer überzeugen, dass S groß ist Wir konstruieren ein Beweissystem für folgendes Problem: –Zu einer Eingabe x (hier G 1,G 2 ) gibt es Mengen S x –|S x | · K/2 für x nicht in L –|S x | ¸ K für x in L –S x 2 NP Wir benötigen das Konzept von paarweise unabhängigen Hashfunktionen

11 Hashing Sei H n,k eine Menge von Funktionen von {0,1} n {0,1} k Wir nennen H=H n,k eine Familie von paarweise unabhängigen Hashfunktionen, wenn für alle x x aus {0,1} n und alle y,y aus {0,1} k gilt: Prob h aus H (h(x)=y und h(x)=y)=2 -2k Beispiel: H n,n ={h a,b : a,b 2 GF(2 n ), h a,b (x)=ax+b} H n,k kann für alle k

12 Beweis 5.2 Wir geben ein Protokoll an, das untere Schranken verifizieren kann S µ {0,1} m ist eine Menge aus NP K eine Zahl Ziel ist es, zu beweisen, dass |S| ¸ K –Zu akzeptieren wenn |S|= K –Zu verwerfen wenn |S| · K/2 –k erfülle 2 k /4 · K · 2 k /2

13 Beweis 5.2 Die Anwendung auf GNI ist offensichtlich S wie definiert, K=2n!

14 Das Protokoll 1.Der Verifizierer bestimmt eine zufällige Hashfunktion aus H m,k 2.Der Verifizierer zieht y aus {0,1} k uniform zufällig 3.Der Beweiser versucht x 2 S mit h(x)=y zu finden. Der Beweis besteht aus x und einem Zertifikat für x 2 S 4.Verifizierer akzeptiert, wenn x 2 S und h(x)=y

15 Korrektheit des Protokolls Sei p=K/2 k Wenn |S| · K/2, dann ist |h(S)| · p2 k /2 und der Verifizierer akzeptiert mit Ws. · p/2, denn y ist zufällig und es gibt nur mit Wahrscheinlichkeit p/2 ein x mit h(x)=y Wenn |S|=K, soll Verifizierer mit höherer Wahrscheinlichkeit akzeptieren Behauptung: –Wenn S µ {0,1} m mit |S| · 2 k /2, dann Prob h,y ( 9 x 2 S: h(x)=y) ¸ ¾ p

16 Korrektheit des Protokolls Wir erhalten ein Beweissystem mit Trennung p/2 gegen 3p/4 Wir wiederholen 100/p mal (parallel, d.h. in Runde 1 zieht Verifizierer 100/p Funktionen h und strings y) Wir akzeptieren, wenn mindestens 60 mal akzeptiert wurde Erwartete Anzahl akzeptierender Berechnungen: –S klein: 100/p ¢ p/2=50 –S groß: 100/p ¢ 3p/4=75 Bestimme Wahrscheinlichkeit, dass 60 mal statt erwartet 50 mal bzw. 60 mal statt 75 mal mittels Chernoff Ungleichung Fehler damit <1/3.

17 Beweis der Behauptung Behauptung: –Wenn S µ {0,1} m mit K=|S| und K · 2 k /2, dann Prob h,y ( 9 x 2 S: h(x)=y) ¸ ¾ p Per Definition von k gilt 2 k /4 · K · 2 k /2 Wir zeigen: für jedes y 2 {0,1} k gilt: Prob h ( 9 x 2 S: h(x)=y) ¸ ¾ p Sei E x das Ereignis, dass h(x)=y Bezeichne mit A=Prob h ( 9 x 2 S: h(x)=y) =Prob h ( [ x E x ) ¸ x in S Prob h (E x )- 1/2 ¢ x 2 S z 2 S:z x Prob h (E x \ E z ) [Prinzip der Inklusion/Exklusion] Aber: Prob h (E x )=1/2 k und Prob h (E x \ E z )=1/2 2k weil H m,k eine Klasse von paarweise unabhängigen Hashfunktionen ist Damit A ¸ K/2 k -0.5 ¢ K 2 /2 2k ¸ K/2 k (1-K/2 k+1 ) ¸ ¾ ¢ K/2 k =3p/4


Herunterladen ppt "Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 15.11."

Ähnliche Präsentationen


Google-Anzeigen