Un oracle aléatoire peut-il changer quels problèmes TFNP sont fortement difficiles en moyenne?

J'ai pensé à la question suivante à
plusieurs reprises depuis que j'ai vu cette question sur la cryptographie .

Question

Soit une relation TFNP . Un oracle aléatoire peut-il aider P / poly à casser avec une probabilité non négligeable? Plus formellement, $R$
$R$ $\newcommand{\Pr}{\operatorname{Pr}} \newcommand{\E}{\operatorname{\mathbb{E}}} \newcommand{\O}{\mathcal{O}} \newcommand{\Good}{\mathsf{Good}}$

Est-ce que

pour tous les algorithmes P / poly $A$ , $\Pr_x [R(x, A(x))]$ est négligeable

implique nécessairement que

pour la quasi - totalité o racles $\O$ , pour tout P / poly-oracle algorithmes $A$ , $\Pr_x [R(x, A^\O(x))]$ est négligeable

Formulation alternative

L'ensemble d'oracles pertinent est $G_{\delta\sigma}$ (donc mesurable), donc en prenant la contraposition et en appliquant la loi zéro-un de Kolmogorov , la formulation suivante est équivalente à la première.

Est-ce que

pour la quasi - totalité o racles , il existe un P / poly oracle algorithme de telle sorte que est non négligeable $\O$
$A$ $\Pr_x [R(x,A^\O(x))]$

implique nécessairement que

il existe un algorithme P / poly de telle sorte que est non négligeable $A$ $\Pr_x [R(x,A(x))]$

Le boîtier uniforme

Voici une preuve pour la version uniforme :

Il y a seulement un nombre innombrable d'algorithmes PPT d'oracle, donc par additivité dénombrable du null [idéal] [8], il y a un algorithme PPT tel que pour un ensemble non nul d'oracles , n'est pas négligeable. Soit un tel algorithme oracle. $A$ $\O$
$\Pr_x [R(x,A^\O(x))]$ $B$

De même, soit un entier positif tel que pour un ensemble d'oracles non nul , est infiniment souvent au moins , où est la longueur de l'entrée. Par la contrapositive de Borel-Cantelli , est infini. $c$ $\O$
$\Pr_x[R(x,B^\O(x))]$ $n^{-c}$ $n$
$\sum_{n=0}^{\infty} \Pr_{\O} \left[ n^{-c} \leq \Pr_{x\in\{0,1\}^n}[R(x,B^\O(x))] \right]$

Par le test de comparaison , infiniment souvent . $\Pr_{\O} \left[ n^{-c} \leq \Pr_{x\in \{0,1\}^n}[R(x,B^\O(x)) \right] \geq n^{-2}$

Soit l'algorithme PPT qui [simule l'oracle] [12] et exécute avec cet oracle simulé. $S$ $B$

Fixons et soit l'ensemble des oracles tel que . $n$ $\Good$ $\O$ $n^{-c} \leq \Pr_{x\in\{0,1\}^n} [R(x,B^\O(x))]$

Si n'est pas nul, alors . $\Good$

\begin{matrix} \Pr_{O} [O \in G o o d] \cdot n^{- c} \\ = \\ \Pr_{O} [O \in G o o d] \cdot E_{O} [n^{- c}] \\ \leq \\ \Pr_{O} [O \in G o o d] \cdot E_{O} [\Pr_{x \in {0, 1}^{n}} [R (x, B^{O} (x))] ∣ O \in G o o d] \\ = \\ E_{O} [\Pr_{x \in {0, 1}^{n}} [O \in G o o d and R (x, B^{O} (x))]] \\ \leq \\ E_{O} [\Pr_{x \in {0, 1}^{n}} [R (x, B^{O} (x))]] \\ = \\ \Pr_{O, x \in {0, 1}^{n}} [R (x, B^{O} (x))] \\ = \\ \Pr_{x \in {0, 1}^{n}, O} [R (x, B^{O} (x))] \\ = \\ E_{x \in {0, 1}^{n}} [\Pr_{O} [R (x, B^{O} (x))]] \\ = \\ E_{x \in {0, 1}^{n}} [\Pr [R (x, S (x))]] \\ = \\ \Pr_{x \in {0, 1}^{n}} [R (x, S (x))] \end{matrix}

$\begin{matrix} \Pr_{\O} [\O\in \Good] \cdot n^{-c} \\ = \\ \Pr_{\O} [\O\in \Good] \cdot \E_{\O}[n^{-c}] \\ \leq \\ \Pr_{\O} [\O\in \Good] \cdot \E_{\O} \left[ \Pr_{x\in \{0,1\}^n} [R(x,B^\O(x))] \mid \O \in \Good \right] \\ = \\ \E_{\O}\left[ \Pr_{x\in \{0,1\}^n} [\O \in \Good \text{ and } R(x,B^\O(x))] \right] \\ \leq \\ \E_{\O}\left[ \Pr_{x\in \{0,1\}^n} [R(x,B^\O(x))] \right] \\ = \\ \Pr_{\O, x\in\{0,1\}^n} [R(x,B^\O(x))] \\ = \\ \Pr_{x\in \{0,1\}^n, \O} [R(x,B^\O(x))] \\ = \\ \E_{x\in \{0,1\}^n} \left[ \Pr_{\O}[R(x,B^\O(x))] \right] \\ = \\ \E_{x\in \{0,1\}^n} \left[ \Pr[R(x,S(x))] \right] \\ = \\ \Pr_{x\in \{0,1\}^n} [R(x,S(x))] \end{matrix}$

Puisque infiniment souvent, n'est pas négligeable. $\Pr_{\O} [\O\in \Good] \geq n^{-2}$ $\Pr_x[R(x,S(x))]$

Par conséquent, la version uniforme est valable. La preuve utilise de manière critique le fait qu'il n'y a
que de nombreux algorithmes Oracle PPT . Cette idée ne fonctionne pas dans le cas
non uniforme, car il existe de nombreux algorithmes d'oracle P / poly.

cr.crypto-security relativization advice-and-nonuniformity search-problem random-oracles Communauté
la source

Je ne pense pas que ce soit vraiment une question sur les oracles. Puisque est indépendant de , vous pouvez tout aussi bien donner à accès à une chaîne aléatoire. La question est alors: le caractère aléatoire augmente-t-il la puissance des circuits poly-taille. La réponse à cette question est "non", car si avait bien donné l'accès à une chaîne aléatoire, alors, par un argument de moyenne, il existerait un paramètre particulier de la chaîne aléatoire avec lequel pourrait bien faire et nous pourrions aussi bien simplement câbler cette chaîne dans le circuit de

O

$\mathcal{O}$

R

$R$

A

$A$

A

$A$

A

$A$

A

$A$

Adam Smith

@AdamSmith: "Puisque est indépendant de , vous pouvez tout aussi bien donner à accès à une chaîne aléatoire" est l'intuition, mais je ne vois aucun moyen de la transformer en preuve.

O

$\mathcal{O}$

R

$R$

A

$A$

@Adam, il y a un autre quantificateur qui est important. Je pense qu'il est plus facile de regarder la négation: est-il possible que pour presque tous les oracles, il existe un adversaire non uniforme qui peut utiliser l'oracle pour briser le problème de recherche?

Kaveh

Je vois. Je répondais à une autre question. Désolé pour la confusion.

Adam Smith

@domotorp: Ils devraient être corrigés maintenant. (Ma meilleure estimation pour pourquoi cela est arrivé est le utilisation de liens numérotés plutôt que des liens en ligne.)

$\hspace{1.05 in}$

Non à mon titre et Oui au corps de ma question. En fait, cela se généralise immédiatement
à chaque jeu de longueur polynomiale qui n'utilise pas le code des adversaires.

Notez que j'utiliserai pour les adversaires, plutôt que , afin de correspondre à la notation du théorème 2 . $C$ $A$

Supposons que pour presque tous les oracles , il existe un algorithme P / poly oracle tel que n'est pas négligeable. $\mathcal{O}$
$C$ $\operatorname{Pr}_x\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$

Pour presque tous les oracles , il existe un entier positif d tel qu'il existe une séquence de circuits de taille au plus d + n ^d telle que est infiniment-souvent supérieur à . $\mathcal{O}$

$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^d\hspace{-0.02 in}\right)$

Par additivité dénombrable, il existe un entier positif d tel que pour un ensemble d'oracles non nul , il existe une séquence de circuits de taille au plus d + n ^d telle que est infiniment-souvent supérieur à . $\mathcal{O}$
$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^d\hspace{-0.02 in}\right)$

Soit j une telle annonce, et soit z l'algorithme oracle (pas nécessairement efficace) qui
prend n en entrée et génère le circuit oracle lexicographiquement le moins de taille au plus j + n qui maximise . Par la contrapositive de Borel-Cantelli , $^{\hspace{.03 in}j}$
$\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C^{\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right) \: < \: \operatorname{Prob}_{\mathcal{O}}\hspace{-0.05 in}\bigg[\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.03 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right) < \operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.06 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(\hspace{-0.04 in}x,\hspace{-0.04 in}\left(z^{\mathcal{O}}\right)^{\hspace{-0.04 in}\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.05 in}\right)\hspace{-0.02 in}\right]\hspace{-0.06 in}\bigg] \;\;\;$ pour une infinité de n.

Pour un tel n,

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; = \; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.04 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right)\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^2\hspace{-0.02 in}\right)\hspace{-0.03 in}\right) \cdot \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}\hspace{.02 in},\hspace{.04 in}x\in \{0,1\}^n}\hspace{-0.06 in}\left[R\hspace{-0.04 in}\left(\hspace{-0.04 in}x,\hspace{-0.04 in}\left(z^{\mathcal{O}}\right)^{\hspace{-0.04 in}\mathcal{O}\hspace{-0.02 in}}(x)\hspace{-0.05 in}\right)\hspace{-0.02 in}\right]$

.

Soit l'algorithme oracle qui prend 2 entrées, dont l'une est , et fait comme suit: $A$ $n$

Choisissez une chaîne aléatoire de n bits . Essayez de [analyser l'autre entrée en tant que circuit oracle et exécuter ce circuit oracle sur la chaîne de n bits]. Si cela réussit et que la sortie du circuit oracle satisfait R (x, y), alors la sortie 1, sinon la sortie 0. (Notez que n'est pas seulement l'adversaire.) Pour une infinité de n, . Soit p comme dans le théorème 2 , et posons $x$

$y$

$A$
$\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \:\:\:\:$
$\;\;\; f \: = \: 2\hspace{-0.04 in}\cdot \hspace{-0.04 in}p\hspace{-0.04 in}\cdot \hspace{-0.04 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\cdot \hspace{-0.04 in}n^{(2+j)\cdot 2} \:\:\:\:$ .

Par le théorème 2 , il existe une fonction oracle telle qu'avec comme dans ce théorème, sipuis $\mathcal{S}$ $\mathcal{P}$
$\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)-\left(\hspace{-0.04 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)\hspace{-0.04 in}\right) \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{(2+j)\cdot 2}\right)\hspace{-0.04 in}\right)}$
$= \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}2\hspace{-0.06 in}\cdot \hspace{-0.04 in}p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.06 in} \cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{(2+j)\cdot 2}\right)\hspace{-0.04 in}\right)} \; = \; \left(\hspace{-0.02 in}1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right)\hspace{-0.03 in}\right)\hspace{-0.04 in}-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.04 in}f\right)}$
$< \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right]-\hspace{-0.04 in}\sqrt{\left(p\hspace{-0.04 in}\cdot \hspace{-0.06 in}\left(\hspace{.02 in}j\hspace{-0.04 in}+\hspace{-0.04 in}n^{\hspace{.04 in}j}\hspace{-0.02 in}\right)\hspace{-0.04 in}\right)\hspace{-0.06 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.04 in}f\right)} \; \leq \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{P}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$ .

Pour n tel que: $\;\;\; 1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$

En particulier, il existe un circuit oracle de taille au plus j + n et une affectation de longueur au plus f telle que avec cette entrée et presampling, probabilité de délivrer en sortie est supérieure à . Les circuits Oracle de taille au plus j + n peuvent être représentés avec des bits poly (n), donc pour p est borné ci-dessus par un polynôme en n, ce qui signifie que f est également borné ci-dessus par un polynôme en n. $\big[$ $C$ $^{\hspace{.03 in}j}\big]$
$\big[$ $\big]$
$A$ $1$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$
$^{\hspace{.03 in}j}$

Par construction de , cela signifie qu'il y a des circuits oracle de taille au plus j + n et une affectation de longueur polynomiale telle que lors de l'exécution avec ce pré-échantillonnage, la probabilité des circuits de trouver une solution est supérieure à . Puisque de tels circuits ne peuvent pas faire des requêtes plus longues que j + n $A$ $^{\hspace{.03 in}j}$
$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ $^{\hspace{.03 in}j}$ les bits, les entrées pré-échantillonnées plus longues que cela peuvent être ignorées, de sorte qu'un tel pré-échantillonnage peut être simulé efficacement et parfaitement avec un oracle aléatoire et des bits codés en dur poly (n). Cela signifie qu'il existe des circuits oracle de taille polynomiale tels qu'avec un oracle aléatoire standard, la probabilité des circuits de trouver une solution est supérieure à . Un tel oracle aléatoire peut à son tour être simulé efficacement et parfaitement avec des bits aléatoires ordinaires, il existe donc des circuits non oracle probabilistes de taille polynomiale dont la probabilité de trouver une solution est supérieure à $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$ . À son tour, par aléatoire aléatoire codé en dur, il existe des circuits déterministes de taille polynomiale (non oracle) dont la probabilité (sur le choix de x) de trouver une solution est supérieure à . Comme indiqué précédemment dans cette réponse, il existe une infinité de n tels que, $1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(2\hspace{-0.06 in}\cdot \hspace{-0.06 in}\left(\hspace{-0.02 in}n^{2+j}\right)\hspace{-0.04 in}\right)$

$1\hspace{-0.04 in}\big/\hspace{-0.07 in}\left(\hspace{-0.02 in}n^{2+j}\hspace{-0.02 in}\right) \; < \; \operatorname{Prob}_{\mathcal{O}}\left[A^{\mathcal{O}}(n,z^{\mathcal{O}}(n))\right] \;\;\;$ $\;\;\;$ donc il y a un polynôme tel que

la séquence dont la nième entrée est la moins lexicographiquement
[circuit C de taille délimitée ci-dessus par ce polynôme] qui maximise $\operatorname{Pr}_{x\in \{0,1\}^n}\hspace{-0.04 in}\left[\hspace{.02 in}R\hspace{-0.04 in}\left(x,\hspace{-0.04 in}C(x)\hspace{-0.03 in}\right)\hspace{-0.02 in}\right]$

est un algorithme P / poly dont la probabilité (sur le choix de x) de trouver une solution n'est pas négligeable.

Par conséquent, l'implication dans le corps de ma question tient toujours.

Pour obtenir la même implication pour d'autres jeux de longueur polynomiale,
modifiez simplement le cette preuve pour lui faire jouer les circuits d'oracle d'entrée. $A$

la source

Un oracle aléatoire peut-il changer quels problèmes TFNP sont fortement difficiles en moyenne?

Question

Formulation alternative

Le boîtier uniforme

Réponses: