Arthur–Merlinプロトコル
計算複雑性理論におけるArthur–Merlinプロトコル(Arthur–Merlin protocol)あるいは、Merlin–Arthurプロトコル(Merlin–Arthur protocol)は、検証者のコイン投げが公開されている(使用する乱数が証明者に知られている)タイプの対話型証明プロトコルである。そのようなプロトコルを持つ言語のクラスとして、AM及びMAがそれぞれ定義され、本項では主にこのクラスについて説明する。Babai (1985)によって導入された。
概要
[編集]Arthur–Merlinプロトコルは、ArthurとMerlinがやりとりをして、与えられた問題を解く(受理する/拒否する)ようなプロトコルである。他の対話証明プロトコルと用語を合わせるため、以降、Arthurを検証者(Verifier)、Merlinを証明者(Prover)と呼ぶ[1]。検証者は、確率的多項式時間で動く標準的なコンピュータであり、証明者は事実上無限の計算能力を持つオラクルである。ただし、証明者は質問に対し必ずしも正直に答えるわけではなく、検証者は回答をよく吟味しなければならない。このような状況下において、問題の答えが"Yes"ならば検証者が受理する確率が少なくとも2/3あり、答えが"No"ならば受理する確率が高々1/3となるようなプロトコルがArthur–Merlinプロトコルである。
Arthur–Merlinプロトコルの特徴的な点は、検証者の使う乱数(コイン)は公開[2]と設定される所にある。プロトコルでは、検証者からの「質問(クエリ)」は、自身が動作するために使用する乱数のみを送る。よって、無限の計算能力がある証明者は、回答を受け取った検証者がどのように振る舞うのかを完璧に知ることができる。使うコインを秘密にした対話証明であるIP[3]と対比できるが、能力にほぼ差がないことが知られている。
最初、どちらから情報を渡すかによって区別し、検証者から証明者への通信で始まるプロトコルをAMプロトコル、証明者から検証者への通信で始まるプロトコルをMAプロトコルと呼ぶ。通信がk回のAMプロトコルを持つ言語のクラス(あるいはMAプロトコルを持つ言語のクラス)をAM[k](あるいはMA[k])で表す[4]。ただし、単にAM(あるいはMA)と言った場合、定数回moveのAM[const](あるいはMA[1])を表す。また、AM=AM[2]であることが知られているため、AMを2-moveのAMプロトコルを持つ言語のクラスとして扱うこともある。
その他の複雑性クラスとの関係は、 であることが知られている[5][6][7]。この内、分離(を示すこと)は難しく[8]、逆の包含関係も証明されていない。一方で、AMとBP・NPの関係は、単なる定義の言い換えに留まらない。そもそもBabaiのAM導入の動機は、PとBPPの関係の如くNPを拡張できないかという点にあり、検証者が決定的に振る舞うNPに対して、AMは確率的に振る舞う。
定義
[編集]他の確率的な複雑性クラスにも言えることだが、定義に現れる2/3や1/3と言った数字に大きな意味はない。複数回行うことによって、確率増幅が可能であるから1/2より有意に大きい(あるいは小さい)ことが重要である。
対話証明としての定義
[編集]証明者(Prover, P)を無限の計算能力を持つチューリングマシン、検証者(Verifier, V)を確率的多項式時間チューリングマシンとする。PとVは互いに通信可能であり、P→Vの通信と、V→Pの通信をそれぞれ1-moveと数え、合わせて1ラウンドの対話と呼ぶ。Vは自分の持つランダムテープによって挙動が確率的となるが、このテープをV→Pの通信の際に送る。PとVは同一の入力xに対して、k-moveの通信後、Vが受理(accept)したとき、チューリングマシンのペア(P,V)(x)はxを受理するとする。次の条件を満たすとき、言語Lに対するAM[k](V→Pから始めた場合。P→Vから始めた場合はMA[k])対話プロトコルを構成しているといい、言語LはAM[k](あるいはMA[k])に属する。
- (完全性 completeness)ならば、
- (健全性 soundness)ならば、
AM
[編集]ある言語Lが複雑性クラスAM(=AM[2])に属するとき、次を満たす。ただし、M(・)は決定的多項式時間チューリングマシン、p(・)、q(・)は多項式を表す。
- (完全性 completeness)ならば、
- (健全性 soundness)ならば、
あるいは、次のようにしてもよい。
ある決定的チューリングマシンが存在し、次を満たす。
- 答えがYesならば、どんな乱数rを選んでも、証拠wが存在し、少なくとも2/3以上の確率で受理する。
- 答えがNoならば、どんな乱数r、証拠wでも、1/3以下の確率でしか受理しない。
MA
[編集]ある言語Lが複雑性クラスMA(=MA[1])に属するとき、次を満たす。ただし、M(・)は決定的多項式時間チューリングマシン、p(・)、q(・)は多項式を表す。
- (完全性 completeness)ならば、
- (健全性 soundness)ならば、
AMと同様に言い換える。
ある確率的チューリングマシンが存在し、次を満たす。
- 答えがYesならば、少なくとも2/3以上の確率で受理する証拠wが存在する。
- 答えがNoならば、どんな証拠wでも、1/3以下の確率でしか受理しない。
定義に関する補足
[編集]AMとMAの違いは、乱数を証明者が知ることができるか否かである。AMの場合、乱数が明らかになってから証拠を探すことができる(もはや証明者から見ると、確率的な挙動をしない)が、MAの場合は、検証者がどのように動くのか、証明者は知らない状態で、証拠を提示しなければならない。
また、健全性の定義は、
等としても同じことである。
派生するクラス
[編集]複雑性クラス一般に、補問題のクラスを定義できる。AMもまた、co-AMというクラスを考えることができる。形式的には次のように表される。
AM=co-AMかは知られていないが、2つのクラスは異なっていると予想されている[9]。
絶対完全性(perfect completeness)は、確率1で完全性が満たされることであり、これを満たす言語のクラスをと書くことにする。一方、絶対健全性(perfect soundness)は、確率1で健全性が満たされることであり、これを満たす言語のクラスをと書くことにする。AM及びAM[poly]は、絶対完全性の条件を課しても不変である。つまり、
が成り立つ。一方で、
である。
AMに属する問題
[編集]グラフ非同型問題(Graph Non-Isomorphism problem, GNI)は、2つのグラフが与えられたとき、同型でないことを判定する問題である。GNIは、AMに属する。具体的なAMプロトコルを構成するよりも、IP[const]プロトコルを構成した方が分かりやすい。
- 検証者はランダムに、を選び[12]、を証明者に送る。
- 証明者は、となるようなを検証者に送る。
- 検証者は、ならば受理し、そうでなければ拒否する。
上記のプロトコルは、IP[const]プロトコルである。2つのグラフが非同型のとき検証者は必ず受理し、同型のときどんな証明者でも検証者は1/2の確率で拒否する。
性質
[編集]定数回moveのAM[const]及びMA[const]は、すべてAM[2]に潰れる。つまり、任意の定数k≧2に対して次が成り立つ[13]。
- AM[2]=AM[k]=MA[k+1]
以上の性質より、定数回moveのAM[const]を単にAM、MA[1](及びMA[2])を単にMAと表すことする。
また、周辺のクラスとの関係について次が知られている[13]。
特に、は、Schöning (1989)によって定義された、任意のクラスに対するクラスを使うことによって、任意のk≧1に対して
と一般化できる(はk=1のケース)。従って、である。
MAがを包含することは明らかだが、逆は知られていない。MAの場合は、ならばあるwが存在して、Pr[M(x,w,r)=1]≧2/3を満たす多項式時間チューリングマシンM(x,w,r)が存在すればよい[14]。対して、は、ならば、あるwが存在して、確率的多項式時間チューリングマシンM(x,w)が受理しなければならない(BPPは、任意の入力に対して高い確率で受理するかあるいは拒否するかが決まっていなければならない)。ここでは、(x,w)が入力であるから、任意のw'についても(意味があるかないかに関わらず)Pr[M(x,w',r)=1]は高いか低いかのどちらかであり、例えば1/2となることはない。
一方、IPとの関係では、任意のkについて
である[15]。本来の定義上の差違は、公開コインを使うか否かという点であったが、実はほぼ差はなかったと言える。表記に統一性がないが、慣行上定数回の対話証明プロトコルを持つ言語はAM、多項式回の対話証明プロトコルを持つ言語はIPに属するという分け方をする。つまり、
- IP = AM[poly]
- AM = IP[const]
とする。
ゼロ知識対話証明との関係について、Fortnow (1987)が、を示した。さらに、Aiello & Håstad (1991)は、を示した。2つの結果を合わせると、
となる。
多項式階層との関係
[編集]Boppana, Håstad & Zachos (1987)は次を示した。
一般に多項式階層は崩壊しないと考えられているので、co-NPがAMに包含されていないだろうと考えられている。また、別証明としてSchöning (1988)も知られている。
一般化すると、k≧1について(あるいは)ならば、である[16]。
還元
[編集]は多項式時間チューリング還元(Cook還元)で閉じている[17]。つまり、
である。
注釈
[編集]- ^ 由来は、アーサー王物語のアーサー王とマーリン
- ^ つまり、証明者もそれを知ることができる
- ^ IP
- ^ 例えば、AM[3]は、検証者→証明者、証明者→検証者、検証者→証明者というやりとりをするプロトコルを持つ言語クラス
- ^ BPP
- ^ NP
- ^ Π2p
- ^ 直ちにP≠NPが導かれる
- ^ co-AMはco-NPを包含するので、AM=co-AMならば、
- ^ Zachos & Furer (1987)
- ^ a b Goldreich, Mansour & Sipser (1987)
- ^ はn次対称群
- ^ a b Babai (1985)
- ^ ここで、証明者から与えられるw以外について、例えばw'についてPr[M(x,w',r)=1]がどうなるか何も条件を課しておらず、1/2となってもよいことに注意
- ^ Goldwasser & Sipser (1986)
- ^ Schöning (1989)
- ^ 戸田 (2001, p. 28)
参考文献
[編集]- Aiello, William; Håstad, Johan (1991), Statistical Zero-Knowledge Languages Can Be Recognized in Two Rounds, , Journal of Computer and System Sciences 42: 327–345.
- Babai, László (1985), “Trading group theory for randomness”, STOC '85: Proceedings of the seventeenth annual ACM symposium on Theory of computing, ACM, pp. 421–429, doi:10.1145/22145.22192, ISBN 978-0-89791-151-1.
- Boppana, Ravi B.; Håstad, Johan; Zachos, Stathis (1987), Does co-NP Have Short Interactive Proofs?, , Information Processing Letters (Elsevier North-Holland, Inc.) 25 (2): 127–132, doi:10.1016/0020-0190(87)90232-8.
- Fortnow, Lance (1987), “The Complexity of Perfect Zero-knowledge”, Proceedings of the Nineteenth Annual ACM Symposium on Theory of Computing, ACM, pp. 204–209, doi:10.1145/28395.28418, ISBN 0-89791-221-7.
- Goldreich, Oded; Mansour, Yishay; Sipser, Michael (1987), “Interactive proof systems: Provers that never fail and random selection”, IEEE, doi:10.1109/SFCS.1987.35, ISBN 0-8186-0807-2.
- Goldwasser, Shafi; Sipser, Michael (1986), “Private coins versus public coins in interactive proof systems”, STOC '86: Proceedings of the eighteenth annual ACM symposium on Theory of computing, ACM, pp. 59–68, doi:10.1145/12130.12137, ISBN 978-0-89791-193-1.
- 情報理論とその応用学会 編『暗号と認証』培風館、1996年。ISBN 4-563-01454-0。.
- 岡本龍明; 太田和夫 編『暗号・ゼロ知識証明・数論』共立出版株式会社、1995年。ISBN 4-320-02740-X。.
- Schöning, Uwe (1988), “Graph isomorphism is in the low hierarchy”, J. Comput. Syst. Sci., 37, pp. 312–323, doi:10.1016/0022-0000(88)90010-4.
- Schöning, Uwe (1989), “Probabilistic complexity classes and lowness”, J. Comput. Syst. Sci., 39, pp. 84–100, doi:10.1016/0022-0000(89)90020-2.
- 静谷啓樹; 伊東利哉; 桜井幸一ゼロ知識証明モデルと計算量理論『情報処理』第32巻、第6号、673–681頁、1991年。.
- 戸田誠之助『グラフ同型性判定問題』日本大学文理学部、2001年。ISBN 4-572-99998-8。.
- Zachos, Stathis; Furer, Martin (1987), “Probabilistic Quantifiers vs. Distrustful Adversaries”, Proc. Of the Seventh Conference on Foundations of Software Technology and Theoretical Computer Science, Springer-Verlag, pp. 443–455, ISBN 0-387-18625-5.