Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 29.11.

Präsentation zum Thema: "Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 29.11."—  Präsentation transkript:

1 Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 29.11.

2 IP vs. PSPACE Wir vergleichen interaktive Beweissysteme mit polynomiell vielen Runden und polynomieller Kommunikation/Rechenzeit des Verifizierers und Berechnungen mit polynomiellem Platz

3 IP und PSPACE Wir zeigen zunächst, dass IP µ PSPACE. IP=IP(poly(n))=AM(poly(n)) Wenn L 2 IP, dann können wir ein AM-Beweissystem mit poly(n) Runden angeben, das Vollständigkeit 1 und Korrektheit 2/3 hat. Es gilt (m i für gerade i sei Nachricht des Verifizierer) –x 2 L: 9 m 1 8 m 2 9 m 3 …: V(m 1,…,m l, x) akzeptiert –x nicht 2 L: 8 m 1 9 m 2 8 m 3 …: V(m 1,…,m l, x) akzeptiert nicht Tatsächlich wird sogar mit hoher Ws. verworfen) V ist dabei eine deterministische Maschine mit polynomieller Laufzeit (und polynomiellem Platz) –Eine eventuelle Randomisierung kann als letzte Nachricht des Verifizierers betrachtet werden). Auf polynomiellem Platz können wir alle Belegungen von m 1,…,m l durchlaufen, und dann V simulieren. Dabei kann man den Wahrheitswert des obigen Ausdrucks mitverfolgen.

4 IP und PSPACE QBF ist PSPACE vollständig Theorem 7.1: IP=PSPACE Es reicht nun aus, QBF 2 IP zu zeigen

5 QBF 2 IP Gegeben sei eine QBF F= 9 x 1 8 x 2 … 9 x n (x 1,…,x n ) sei eine aussagenlogische Formel Wir arithmetisieren und erhalten P F ist wahr, gdw. x 1 2 {0,1} x 2 2 {0,1} x 3 2 {0,1} … x n 2 {0,1} P (x 1,…,x n ) >0 (*) Wir könnten jetzt analog vorgehen wie im Protokoll für #SAT

6 IP und PSPACE Problem 1 : Der Grad der zu testenden Polynoms h(x) steigt exponentiell an! Problem 2: Der Ausdruck (*) kann zu große Werte annehmen

7 Probleme Lösung zu Problem 1: Wir reduzieren auf eingeschränkte QBF bei denen dieses Problem nicht auftritt Lösung zu Problem 2: Wir arbeiten mod p für eine nicht zu große Primzahl p

8 Problem 2 Beispiel: 8 x 1,…, 8 x n 9 x n+1 (x 1 _ … _ x n+1 ) Der Wert der Arithmetisierung ist doppelt exponentiell in n m sei die Länge der QBF Lemma 7.2: Wenn wir zufällig eine Primzahl p der Größe · 2 10m wählen, gilt mit hoher Ws.: x 1 2 {0,1} x 2 2 {0,1} x 3 2 {0,1} … x n 2 {0,1} P (x 1,…,x n ) 0 mod p gdw F wahr Daher können wir mod p rechnen und mit polynomiell langen Zahlen

9 Beweis Lemma 7.2 Sei a der Wert von (*) Sei F wahr, somit a 0. Nehmen wir zum Widerspruchsbeweis an. es gelte für einen 2 -m Bruchteil aller Primzahlen p · 2 10m, dass a mod p =0 Es gibt nach dem Primzahlsatz mindestens 2 10m /(2 ln 2 10m ) viele Primzahlen p · 2 10m a mod p =0 bedeutet p ist Teiler von a Damit wird a von 2 9m / (2 ln 2 10m ) Primzahlen geteilt Da diese alle größer gleich 2 sind, folgt a ¸ exp( 2 9m /(2 ln 2 10m ) ) [für exp(x)=2 x ] Man sieht leicht per Induktion dass a nur doppelt exponentiell gross in m sein kann [a · exp(exp(x) ) ], Widerspruch! Es gibt also nur wenige p, die nicht a mod p 0 erfüllen. Auf der anderen Seite, wenn a=0, ist a mod p=0 für alle p Daher folgt das Lemma

10 Problem 2 Das Protokoll beginnt also damit, dass der Verifizierer eine zufällige Primzahl mit 10n Bits bestimmt (durch Ziehen von Zufallszahlen und nachfolgenden Primalitätstest, Wiederholung bis eine Primzahl gefunden.) Der Verifizierer schickt die Primzahl an den Beweiser und alle Berechnungen sind nun modulo p D.h. wir wollen wissen, ob x 1 2 {0,1} x 2 2 {0,1} x 3 2 {0,1} … x n 2 {0,1} P (x 1,…,x n ) 0 mod p (*) Tatsächlich kann auch der Beweiser die Primzahl p wählen, denn wenn x 1 2 {0,1} x 2 2 {0,1} x 3 2 {0,1} … x n 2 {0,1} P (x 1,…,x n ) = 0, so gilt dies auch modulo p für alle Primzahlen p Ein Beweiser hat kein Interesse ein p zu wählen, dass a mod p=0 erfüllt, wenn a>0

11 Problem 1 Zu 1): Der Grad der Polynome h(x) wird zu hoch. Beispiel: 8 x 1,…, 8 x n (x 1 _ (x 2 ^ … ^ x n )) Arithmetisierung: x 1 2 {0,1} … x n 2 {0,1} (1-(1-x 1 )(1-x 2 ¢ … ¢ x n )) Wir betrachten das Polynom h(x)= x 2 2 {0,1} … x n 2 {0,1} (1-(1-x)(1-x 2 ¢ … ¢ x n )) = x 2 2 {0,1} … x n 2 {0,1} (x + x 2 ¢ … ¢ x n –x x 2 ¢ … ¢ x n ) Somit gilt h(x)=x exp(n-1)-1.

12 Problem 1 Wir schränken uns ein auf einfache QBF Eine QBF heisst einfach, wenn für alle Variablen x i zwischen jedem Vorkommen der Variablen und ihrem Quantor nur höchstens ein Allquantor liegt Idee: Jetzt sollte der Grad nicht mehr zu stark ansteigen können EQBF sei das Problem, zu einer gegebenen einfachen QBF den Wahrheitswert zu bestimmen. Lemma 7.3 EQBF ist PSPACE vollständig Damit reicht es aus, EQBF zu betrachten

13 Beweis 7.3 Wir müssen QBF auf EQBF reduzieren. Sei F eine quantifizierte Boolesche Formel Wir durchlaufen die Formel. Wenn wir den j-ten Allquantor sehen, und bis dahin (originale) Variablen x 1,…,x i vorkamen, betrachten wir neue Variablen x 1 j,..,x i j (dabei sei x i =x i 0 ) Die Teilformel 8 x i+1 G (G steht für den Rest der Formel) wird ersetzt durch 8 x i+1 9 x 1 j,..,x i j : (x 1 j =x 1 j-1 ) ^ … ^ (x i j =x i j-1 ) ^ G, wobei G wie G aussieht, aber x i j-1 durch x i j ersetzt sind. Klar: dies ist eine einfache QBF Man sieht auch leicht ein, dass die neue Formel wahr ist genau dann wenn F wahr ist Wenn m die Länge von F, so hat die neue Formel Länge O(m 2 )

14 Arithmetisierung Wir arbeiten jetzt nicht mehr mit Formeln in Pränex Form, d.h. Quantoren und Boolesche Verknüpfungen können beliebig verschachtelt werden. Wir können wie zuvor arithmetisieren: –f ^ g wird zu fg –: f wird zu 1-f –f _ g wird zu (1-(1-f)(1-g)) –9 x:f(x) wird zu x 2 {0,1} f(x) –8 x:f(x) wird zu x 2 {0,1} f(x) Sei A F der Wert unserer Arithmetisierung Wir betrachten wieder univariate Polynome h(x), die wir erhalten, indem (für die erste vorkommende Variable x) –für existentiell gebundene x: x zu einer Variablen wird und die Summation entfernt wird. –für universell gebundene x: x zu einer Variablen wird und die Multiplikation entfernt wird

15 Der Grad der Polynome Lemma 7.4 Der Grad der Polynome h(x) wie oben definiert ist O(m) für die Länge m der Formel Beweis: –Es gibt nur eine Allquantor zwischen dem Quantor von x und jedem Vorkommen von x –Dieser kann den Grad von x verdoppeln –Die Restformel hinter dem letzten Vorkommen von x beeinflusst den Grad nicht. –x ist die erste Variable, es gibt also nur konstante Faktoren vor x in unserem Ausdruck –Existenzquantoren können den Grad nicht ändern –Ansonsten ist der Grad durch die Länge der Formel beschränkt

16 Ein Protokoll für EQBF 1.Beweiser behauptet A F =K mod p und K 0 2.Wenn n=1, kann der Verifizierer die Behauptung selbst überprüfen 3.Wenn n>1: Durchlaufe die Variablen x 1,…,x n in der Reihenfolge ihres Auftretens 4.Fordere Polynom h(x) wie oben definiert 5.Beweiser sendet ein univariates Polynom s(x) vom Grad höchstens O(m) Dies ist durch O(m) Körperelemente gegeben. 6.Wenn x existentiell gebunden, dann teste s(0)+s(1)=K (verwerfe falls nicht) 7.Wenn x universell gebunden, dann teste s(0)*s(1)=K (verwerfe falls nicht) 8.Verifizierer zieht ein zufälliges a aus GF(p) 9.Rekursiv wird nun getestet, ob s(a)= h(a)

17 Komplexität Klar ist nach vorherigen Betrachtungen, dass wir mit polynomieller Laufzeit und Kommunikation auskommen

18 Korrektheit und Vollständigkeit Vollständigkeit ist trivial: Der Beweiser kann die richtigen Polynome senden und der Verifizierer wird akzeptieren Korrektheit: –Dies folgt wie letztes Mal: –Wenn s(x)=h(x), so wird mit Ws. 1 verworfen falls die Behauptung nicht stimmt –Wenn s(x) h(x), dann wird mit hoher Wahrscheinlichkeit ein a gewählt, wo s(a) h(a), und somit wird in der nächsten Runde wieder eine falsche Behauptung behandelt, und der Beweiser kann nicht mit großer Wahrscheinlichkeit gewinnen.

19 Diskussion Wir erhalten also interaktive Beweise für genau die Probleme in PSPACE. Probleme dieses Ansatzes: –Der Beweiser muss tatsächlich mehr leisten als nur die Korrektheit von Formeln bestimmen zu können –Die Interaktion ist sehr groß

20 Der Beweiser Wie schwer ist es, eine Aussage zu beweisen, so daß sie effizient verifiziert werden kann? Angenommen, ein Beweiser besitzt ein Orakel, mittels dessen er zu jeder gegebenen Formel den Wahrheitswert bestimmen kann. Kann er bei polynomiell beschränkter Mehrarbeit seine Rolle spielen? –Dies ist offen für Tautologien –Unser Protokolle benötigt, dass der Beweiser zu beliebigen Arithmetisierungen den Wert berechnen kann und die ausmultiplizierte Form finden kann –Dies scheint schwieriger zu sein, als Tautologien zu entscheiden –Für QBF kann der Beweiser in PSPACE arbeiten (Übung)