Hartmut Klauck Universität Frankfurt WS 06/

Präsentation zum Thema: "Hartmut Klauck Universität Frankfurt WS 06/"—  Präsentation transkript:

1 Hartmut Klauck Universität Frankfurt WS 06/07 15.11.
Beweissysteme Hartmut Klauck Universität Frankfurt WS 06/07 15.11.

2 Beweis Theorem 4.3 Theorem 4.3: Wenn L2AM, dann gibt es ein AM Protokoll mit Vollständigkeit 1 und Korrektheit 2/3. Dasselbe gilt für MA. Beweis: Sei L2 AM Dann gibt es nach 4.2 einen Verifizierer V mit: x2 L: Für mindestens 1-1/2n aller r2 {0,1}m gilt: 9 a: V(x,r,a) akzeptiert X nicht 2 L: Für höchstens 1/2n aller r2 {0,1}m gilt: 9 a: V(x,r,a) akzeptiert Sei Sxµ{0,1}m die Menge aller r 2 {0,1}m, für die es ein a gibt mit V(x,r,a) akzeptierend Dann: x 2 L: |Sx|¸ (1-1/2n) 2m x nicht 2 L: |Sx|· 2m/2n Sei k=m/n+1

3 Beweis Theorem 4.3 Sei U={u1,…,uk} eine Menge von k strings aus {0,1}m
Betrachte den Graphen GU: Knotenmenge {0,1}m Kanten (r,s) wenn 9 i: r=ui© s © bitweises XOR Der Knotengrad ist k; sei U (S)=Menge der Nachbarn einer Menge S x nicht 2 L: |Sx|· 2m/2n daher |U (Sx)|· k 2m/2n <2m/3 x2 L: |Sx|¸ 2m (1-1/2n) Behauptung: |U(Sx)|= 2m für mindestens ein U r2 U(Sx) bedeutet: es gibt i,a: V(x,r© ui,a) akzeptiert Damit gilt: x2 L: 9 U: 8 r: 9 i: 9 a: V(x,r© ui,a) akzeptiert x nicht 2 L: 8 U: für 2/3 aller r: 8i 8a: V(x.r© ui,a) verwirft Wir erhalten ein MAM Beweissystem für L mit einseitigem Fehler, das wie in 4.2 in ein AM System mit einseitigem Fehler umgewandelt werden kann.

4 Beweis der Behauptung Gegeben Sµ{0, 1}m Zu zeigen:
|S|¸ (1-1/2n) 2m Zu zeigen: Es gibt U der Grösse k=m/n+1,  U(S)={0,1}m Wir erzeugen U zufällig: ziehen u1,…,uk unabhängig uniform zufällig zeigen Prob(U(S)= {0,1}m) > 0 Beweis: Betrachte festes r2{0, 1}m Br sei das Ereignis, dass r nicht 2U(S) Br=\ Bri, wobei Bri das Ereignis sei, dass r  s© ui für alle s2 S, oder äquivalent: r©ui nicht 2S r©ui ist uniform zufällig in {0,1}m daher ist Prob(Bri)· (2m-|S|)/2m=2-n Prob(Br)·i (Prob(Bri)· (1/2n)k<1/2m wegen Unabhängigkeit der ui Prob(9 r: Br)· r Prob(Br) < 2m/2m=1 Prob(U(S)= {0,1}m)=1- Prob(9 r: Br)>0 D.h. Es gibt ein U mit der gewünschten Eigenschaft

5 Generelle Interaktive Beweise
Wir entfernen nun die Restriktion von AM Protokollen, dass der Verifizierer keinen privaten Zufall hat. Definition 4.7: Ein interaktives Beweissystem besteht aus einem Beweiser und einem Verifizierer. Der Verifizierer ist eine randomisierte Maschine mit polynomieller Laufzeit Verifizierer und Beweiser kommunizieren beliebig in einem Protokoll Die Nachrichten des Beweisers haben polynomielle Länge Es gelten dieselben Anforderungen and Vollständigkeit und Korrektheit wie bei AM Protokollen Alle Sprachen, die in Protokollen mit k Runden bewiesen werden können bilden die Klasse IP[k] IP[1]=MA AMµ IP[2] Generell beginnt für gerades k der Verifizierer das Protokoll, für ungerades der Beweiser

6 IP versus AM Theorem 5.1 Es ist klar, dass AM[k]µ IP[k]
IP[k]=AM[k] Es ist klar, dass AM[k]µ IP[k] Es reicht zu zeigen, dass IP[k]µ AM[k+2], da AM[k+2]µ AM[k]

7 GNI Wir zeigen nur ein Protokoll für Graphnichtisomorphismus, das keinen versteckten Zufall verwendet GNI={G1,G2: G1 nicht isomorph zu G2} Theorem 5.2 GNI2 AM

8 Beweis 5.2 Ein Automorphismus eines Graphen H ist eine Abbildung, die H auf H schickt (unter Beachtung der Knotennummern) Setze S={H,: H ist isomorph zu G1 oder zu G2 und  ist ein Automorphismus von H} S2 NP Wenn G1 isomorph zu G2, dann ist S „klein“, sonst „groß“ Wenn G1 nicht isomorph zu G2, dann ist |S|=2n! Wenn G1 isomorph G2, dann ist |S|=n!

9 Beweis 5.2 Sei G ein Graph. Wenn man {1,…,n} permutiert erhält man einen zu G isomorphen Graphen. Dieser kann entweder G selbst sein, oder ein anderer (isomorpher) Graph H aut(H) sei die Gruppe der Automorphismen von H Sn die Gruppe aller Permutationen, |Sn|=n! Sei 2 Sn und H=(G). Dann ist (H)=H für alle 2 aut(H) Zu G gibt es n! viele Paare H,: H ist isomorph zu G,  ist Automorphismus von H Sei H die Menge der zu G isomorphen Graphen Jedes 2 Sn bildet G auf ein H2 H ab Jedes H2 H hat aut(H) viele 2 Sn, so dass (G)=H Damit ist H2H |aut(H)|=n! S={H,: H ist isomorph zu G1 oder zu G2 und  ist ein Automorphismus von H} Wenn G1 nicht isomorph zu G2, dann ist |S|=2n! Wenn G1 isomorph G2, dann ist |S|=n! Denn: Wenn G1 isomorph zu G2 wie oben Sonst: es gibt 2(n!) Möglichkeiten, da zwei verschiedene Graphen vorliegen

10 Beweis 5.2 Der Beweiser muss den Verifizierer überzeugen, dass S groß ist Wir konstruieren ein Beweissystem für folgendes Problem: Zu einer Eingabe x (hier G1,G2) gibt es Mengen Sx |Sx|· K/2 für x nicht in L |Sx|¸ K für x in L Sx2 NP Wir benötigen das Konzept von paarweise unabhängigen Hashfunktionen

11 Hashing Sei Hn,k eine Menge von Funktionen von {0,1}n {0,1}k
Wir nennen H=Hn,k eine Familie von paarweise unabhängigen Hashfunktionen, wenn für alle x x‘ aus {0,1}n und alle y,y‘ aus {0,1}k gilt: Probh aus H(h(x)=y und h(x‘)=y‘)=2-2k Beispiel: Hn,n={ha,b: a,b2 GF(2n), ha,b(x)=ax+b} Hn,k kann für alle k<n via Hn,n definiert werden: h(x) wird einfach um die letzten n-k Bits gekürzt (Man überzeuge sich, dass die Hashingeigenschaft erhalten bleibt).

12 Beweis 5.2 Wir geben ein Protokoll an, das untere Schranken verifizieren kann Sµ{0,1}m ist eine Menge aus NP K eine Zahl Ziel ist es, zu beweisen, dass |S|¸ K Zu akzeptieren wenn |S|= K Zu verwerfen wenn |S|· K/2 k erfülle 2k/4· K· 2k/2

13 Beweis 5.2 Die Anwendung auf GNI ist offensichtlich
S wie definiert, K=2n!

14 Das Protokoll Der Verifizierer bestimmt eine zufällige Hashfunktion aus Hm,k Der Verifizierer zieht y aus {0,1}k uniform zufällig Der Beweiser versucht x2 S mit h(x)=y zu finden. Der Beweis besteht aus x und einem Zertifikat für x2 S Verifizierer akzeptiert, wenn x2 S und h(x)=y

15 Korrektheit des Protokolls
Sei p=K/2k Wenn |S|· K/2, dann ist |h(S)|· p2k/2 und der Verifizierer akzeptiert mit Ws. · p/2, denn y ist zufällig und es gibt nur mit Wahrscheinlichkeit p/2 ein x mit h(x)=y Wenn |S|=K, soll Verifizierer mit höherer Wahrscheinlichkeit akzeptieren Behauptung: Wenn Sµ{0,1}m mit |S|· 2k/2, dann Probh,y(9 x2 S: h(x)=y)¸ ¾ p

16 Korrektheit des Protokolls
Wir erhalten ein Beweissystem mit „Trennung“ p/2 gegen 3p/4 Wir wiederholen 100/p mal (parallel, d.h. in Runde 1 zieht Verifizierer 100/p Funktionen h und strings y) Wir akzeptieren, wenn mindestens 60 mal akzeptiert wurde Erwartete Anzahl akzeptierender Berechnungen: S klein: 100/p¢ p/2=50 S groß: 100/p¢ 3p/4=75 Bestimme Wahrscheinlichkeit, dass 60 mal statt erwartet 50 mal bzw. 60 mal statt 75 mal mittels Chernoff Ungleichung Fehler damit <1/3.

17 Beweis der Behauptung Behauptung:
Wenn Sµ{0,1}m mit K=|S| und K· 2k/2, dann Probh,y (9 x2 S: h(x)=y)¸ ¾ p Per Definition von k gilt 2k/4· K· 2k/2 Wir zeigen: für jedes y2 {0,1}k gilt: Probh (9 x2 S: h(x)=y)¸ ¾ p Sei Ex das Ereignis, dass h(x)=y Bezeichne mit A=Probh(9 x2 S: h(x)=y) =Probh([x Ex) ¸ x in S Probh (Ex)- 1/2¢x2Sz2S:zx Probh (Ex\ Ez) [Prinzip der Inklusion/Exklusion] Aber: Probh (Ex)=1/2k und Probh (Ex\Ez)=1/22k weil Hm,k eine Klasse von paarweise unabhängigen Hashfunktionen ist Damit A¸ K/2k-0.5¢ K2/22k¸ K/2k (1-K/2k+1 ) ¸ ¾ ¢ K/2k=3p/4