La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

IFT-66975 Preuves interactives: IP, AM, MA et isomorphisme de graphe.

Présentations similaires


Présentation au sujet: "IFT-66975 Preuves interactives: IP, AM, MA et isomorphisme de graphe."— Transcription de la présentation:

1 IFT Preuves interactives: IP, AM, MA et isomorphisme de graphe

2 Problème de lisomorphisme de graphe (GI) Entrée: deux graphes non-dirigés G 0 = (V 0,E 0 ) et G 1 = (V 1,E 1 ). Question: G 0 et G 1 sont-ils isomorphes? On dit que G 0 G 1 sil existe une permutation des points de V 0 telle que (u,v) E 0 ( (u), (v)) E 1.

3 Que sait-on de GI? GI NP (il suffit de choisir non déterministement ) GI est résoluble en temps polynomial pour un grand nombre de classes de graphes. GI est NL-difficile. Garey & Johnson (1979) considèrent GI comme un problème qui est peut être dans NP mais ni dans P ni NP-complet. Cest un des rares candidats encore en lice! Plusieurs questions sans réponse: 1. GI co-NP??? 2. GI BPP???

4 Rappel: NP et les preuves Un langage L est dans NP sil existe un polynôme q et un langage V P tel que L = {x | y: |y| q(|x|) (x,y) V}. Lappartenance de x à L peut être vérifiée en temps polynomial en |x| à condition quune preuve nous en soit fournie.

5 Assez semblable à notre intuition de ce que doit être la preuve dun théorème. (pas nécessairement facile à trouver mais facile à comprendre) Deux façons naturelles daggrandir un peu la classe NP: 1. Se contenter dune démonstration qui nous inspire suffisamment confiance. 2. Ajouter la possibilité dune interaction avec le prouveur.

6 La classe MA On dit que L est un langage avec preuves publiables sil existe un polynôme q et un algorithme probabiliste V tel que 1. Si x L alors il existe un y {0,1} p(|x|) tel que Pr[V accepte (x,y)] ¾. 2. Si x L alors pour toute y {0,1} p(|x|) on a Pr[V accepte (x,y)] ¼. Les langages avec preuves publiables forment la classe MA (Merlin-Arthur). On a NP MA. Par contre il semble a priori improbable que co-NP MA.

7 On veut maintenant augmenter la puissance de notre algorithme de vérification de lappartenance de x à un langage L en lui offrant la possibilité dun dialogue avec un prouveur tout-puissant. On veut intuitivement conserver les propriétés suivantes: 1. Si x L, alors un prouveur honnête peut convaincre le vérificateur que cest le cas. 2. Si x L, alors même un prouveur malhonnête ne réussira à convaincre le vérificateur que x L.

8 Preuves interactives Une preuve interactive est un protocole de communication entre un prouveur (dénoté P) qui est un algorithme et un vérificateur (V) qui est un algorithme probabiliste. Le protocole reçoit une entrée x. Après un certain nombre de rondes déchanges entre P et V, le vérificateur décide daccepter ou de rejeter x. Le nombre de rondes peut dépendre de |x| et de la communication qui a eu lieu. Le temps de calcul de V est borné par un polynôme de |x|.

9 Pour un prouveur P et un vérificateur V, soit D P,V (x) la variable aléatoire qui est 1 si linteraction de P et V amène V à accepter x et qui est 0 sinon. Définition Définition: Un langage L appartient à la classe IP, sil existe un protocole de preuve interactive et un vérificateur V tel que: 1. Si x L alors il existe un prouveur P tel que Pr[D P,V (x) = 1] ¾. 2. Si x L alors pour tout prouveur P on a Pr[D P,V (x) = 1] ¼. De plus, L IP(k) sil existe un tel protocole qui nutilise que k messages échangés entre P et V.

10 Remarques sur IP IP(1) = MA par définition. IP PSPACE. En effet, tous les messages envoyés par le prouveur sont de longueur polynomiale (sinon V ne peut même pas les lire!) et donc on peut simuler tous les prouveurs potentiels en espace polynomial. IP = PSPACE (Shamir 92) IP(2) = IP(k) pour tout k 3.

11 La classe IP(2) est souvent appelée AM (Arthur-Merlin). Les protocoles correspondants ont la structure suivante: 1. Le vérificateur reçoit lentrée x et construit de façon probabiliste une question (x,r). 2. Le prouveur retourne une réponse y de longueur polynomiale. 3. Le vérificateur accepte ou rejette le triplet (x,r,y). On a MA AM. Cependant, on ne croit pas que co-NP AM. En particulier, on ne voit pas comment un tel protocole pourrait convaincre un vérificateur quune formule est insatisfiable.

12 Théorème: GI c AM. Cest une forte indication que GI nest pas NP-complet. En effet si GI est NP-complet alors pour tout K NP on a K p GI et K c p GI c. On peut alors conclure que co-NP AM.

13 Démonstration Démonstration: On utilise le protocole suivant. 1. V reçoit G 0 et G 1. Il choisit aléatoirement un i {0,1} et une permutation de V i. Il envoie au prouveur le graphe H = (G i ). 2. Le prouveur retourne un j {0,1}. 3. V accepte la paire G 0,G 1 (donc conclut que G 0 et G 1 ne sont pas isomorphes) si i = j.

14 Note: Wegener analyse précisément les détails cachés par choisir aléatoirement une permutation de V i. Supposons que G 0 et G 1 ne sont pas isomorphes. On veut montrer quil existe un prouveur P qui convainc V avec une forte probabilité. Si G 0, G 1 sont non-isomorphes, alors H = (G i ) est isomorphe à G i mais pas à G ī. Donc P peut déduire i à partir de H et retourner cette valeur. Dans ce cas, P renvoie toujours à V un j égal à i et la probabilité que V accepte est donc 1.

15 Supposons maintenant G 0 G 1. V envoie H = (G i ) à P. Les trois graphes H, G 0, G 1 à la disposition de P sont isomorphes. Donc, même un prouveur malicieux ne saura comment réagir car il na aucune information sur i! Plus précisément: soit S n lensemble des permutations de n points avec n = V 0 = V 1. On veut montrer quil existe autant de S n telles que (G 0 ) = H que de S n telles que (G 1 ) = H.

16 Pour un graphe G, Aut(G) est lensemble des automorphismes de G, i.e. des permutations telles que (G) G. Aut(G) est un groupe sous la composition de fonctions car si, Aut(G) alors Aut(G). Par ailleurs, la permutation identité * est toujours dans Aut(G) et -1 = -1 = *. Aut(G) est donc un sous groupe de S n. Montrons que le nombre de permutations S n telles que (G) = H est exactement |Aut(H)|.

17 Dabord, si (G) = H et Aut(H) alors on a ( )(G) = G et donc il existe au moins |Aut(H)| permutations avec (G) = H. À linverse, soit (G) = H. Pour chaque (G) = H on a que ( -1 )(H) = H. Donc ( -1 ) Aut(H) et pour on a ( -1 ) ( -1 ). Donc il y a au plus |Aut(H)| permutations avec (G) = H. En particulier, si G 0 et G 1 sont isomorphes alors pour tout graphe H, il existe autant de permutations qui donnent (G 0 ) = H que de permutations donnant (G 1 ) = H.

18 V a choisi i {0,1} aléatoirement. Mais puisque H = (G i ) est un graphe aléatoire de lensemble des graphes isomorphes à G 0 et G 1 on a Pr[i = 0 | H] = Pr[i = 1 | H] = ½. Donc, peut importe le j que retourne P, on a que i = j et donc que V accepte G 0 et G 1 comme étant non-isomorphes avec probabilité ½. On requiert que la probabilité que V accepte incorrectement soit au plus ¼. Cela est fait simplement en exécutant deux fois (en parallèle) le protocole décrit ci-dessus et en acceptant seulement si i 1 = j 1 et i 2 = j 2.

19 Question légitime: pourquoi est-ce que lon a décrit ce qui nous intéresse en 5 acétates alors que Wegener en fait 10 pages? Plusieurs résultats absolument pas triviaux se cachent sous laffirmation IP(2) = AM! En particulier, on peut voir le théorème de Wegener comme résolvant le problème de trouver un protocole en deux rondes pour GI c lorsque les bits aléatoires choisis par le vérificateur sont accessibles au prouveur. La preuve est très ingénieuse bien quun peu dure à suivre.

20 Théorème Théorème: Si GI est NP-complet alors 2 = 2. Pour la preuve voir Wegener. On a déjà conclu que si GI est NP-complet alors co-NP AM. Le résultat ci-dessus est en fait plus faible, mais est formulé sans référence à AM qui est une classe de complexité moins connue.

21 Preuves avec zéro-connaissance Plaçons nous dans un contexte plus cryptographique. Est-il possible pour le prouveur de convaincre le vérificateur que deux graphes sont isomorphes sans pour autant permettre au vérificateur davoir de linformation intéressante pour construire un tel isomorphisme? Ce genre de questions conduit naturellement à la notion de preuve avec zéro-connaissance. La définition formelle est délicate mais lexemple suivant capte raisonnablement bien lintuition.

22 Un autre système de preuves pour GI Soit G 0, G 1 deux graphes isomorphes et supposons que le prouveur connait une permutation telle que (G 0 ) = G P choisit aléatoirement i {0,1} et S n puis envoie H = (G i ). 2. V choisit j {0,1} aléatoirement et lenvoie à P. 3. P envoie à V une permutation. 4. V accepte si (G j ) = H. Notez que si, par exemple, i = 0 et j = 1 alors P na quà envoyer la permutation = -1. Dans tous les cas, P peut en temps polynomial calculer un qui convaincra V. Mais il ne pourra le faire que si G 0 et G 1 sont bien isomorphes. Au moins intuitivement, il est clair que V nobtient aucune information de qualité sur une permutation telle que (G 0 ) = G 1.


Télécharger ppt "IFT-66975 Preuves interactives: IP, AM, MA et isomorphisme de graphe."

Présentations similaires


Annonces Google