Для доказательства леммы построим программы [math]V[/math] ([math] \mathit{Verifier}[/math]) и [math]P[/math] ([math]\mathit{Prover}[/math]) из определения класса [math]\mathrm{IP}[/math].
Сперва арифметизуем формулу [math]\varphi[/math]. Пусть полученный полином [math]A(x_1, x_2, \ldots, x_m)[/math] имеет степень [math]d[/math].
По лемме (1) вместо условия [math]\langle \varphi, k \rangle \in \mathrm{\#SAT}[/math], можно проверять условие [math]\sum\limits_{x_1 = 0}^1 \ldots \sum\limits_{x_m = 0}^1 A(x_1, \ldots, x_m)=k[/math].
Приступим к описанию интерактивного протокола.
Шаг 0
Если [math]d=0[/math] или [math]m=0[/math], то [math]V[/math] может проверить указанное выше условие сам и вернуть соответствующий результат.
Иначе запросим у [math]P[/math] такое простое число [math]p[/math], что [math]3dm \leqslant p \leqslant 6dm[/math] (такое [math]p[/math] существует в силу постулата Бертрана).
Проверим [math]p[/math] на простоту и на принадлежность заданному промежутку. Как мы знаем, [math]\mathrm{Primes} \in \mathrm{P}[/math], следовательно на эти операции у [math]V[/math] уйдёт полиномиальное от размера входа время.
Далее будем проводить все вычисления модулю [math]p[/math], то есть над конечным полем [math] \mathbb{F}_{p} [/math], что не позволяет числам становиться слишком большими и упрощает анализ.
Попросим [math]P[/math] прислать [math]V[/math] формулу [math]A_0(x_1)= \sum\limits_{x_2 = 0}^{1}\ldots\sum\limits_{x_m = 0}^{1} A(x_1, x_2, \ldots, x_m)[/math].
Заметим, что размер формулы [math]A_0(x_1)[/math] будет полином от длины входа [math]V[/math], так как [math]A_0(x_1)[/math] — полином степени не выше, чем [math]d[/math], от одной переменной, а значит его можно представить в виде [math]A_0(x) = \sum\limits_{i = 0}^{d} C_i \cdot x ^ i[/math].
Проверим следующее утверждение: [math]A_0(0) + A_0(1) = k[/math] (*) (здесь и далее под словом «проверим» будем подразумевать следующее: если утверждение верно, [math]V[/math] продолжает свою работу, иначе он прекращает свою работу и возвращет false).
Шаг i
Пусть [math]r_i = random \lbrace0, \ldots, p-1 \rbrace[/math]. Отправим [math]r_i[/math] программе [math]P[/math].
Попросим [math]P[/math] прислать [math]V[/math] формулу [math]A_i(x_{i+1}) = \sum\limits_{x_{i+2} = 0}^{1}\ldots\sum\limits_{x_m = 0}^{1} A(r_1,\ldots, r_i, x_{i+1}, \ldots, x_m)[/math].
Проверим следующее утверждение: [math]A_i(0) + A_i(1) = A_{i-1}(r_i)[/math] (*).
Шаг m
Пусть [math]r_m = random \lbrace0, \ldots, p-1 \rbrace[/math]. Отправим [math]r_m[/math] программе [math]P[/math].
Попросим программу [math]P[/math] прислать [math]V[/math] значение [math]A_m()= A(r_1, r_2, \ldots, r_m)[/math].
Проверим следующее утверждение: [math]A_m() = A_{m-1}(r_m)[/math] (*).
А также сами подставим [math]r_1, r_2, \ldots, r_m[/math] в [math]A(x_1, x_2, \ldots, x_m)[/math] и проверим правильность присланного значения [math]A_m()[/math].
Возвращаем true.
Докажем теперь, что построенный таким образом интерактивны протокол — корректный. Для этого нужно доказать следующие утверждения:
- Построенный [math]V[/math] - вероятностная машина Тьюринга, совершающая не более полинома от длины входа действий.
- [math]\langle \varphi, k \rangle \in \mathrm{\#SAT} \Rightarrow \exists P : \mathbb{P}(V_{P}(\langle \varphi, k \rangle)=1) \geqslant 2/{3}[/math] (Completeness).
- [math]\langle \varphi, k \rangle \notin \mathrm{\#SAT} \Rightarrow \forall P :\mathbb{P}(V_{P}(\langle \varphi, k \rangle)=1) \leqslant 1/{3}[/math] (Soundness).
Докажем эти утверждения.
- Первый факт следует из построения [math]\mathit{Verifier}[/math] 'а.
- По лемме (2), если [math]\sum\limits_{x_1 = 0}^1 \ldots \sum\limits_{x_m = 0}^1 A_\varphi(x_1, \ldots, x_m)=k[/math], то условия (*) выполнятются, следовательно существует такой [math]\mathit{Prover}[/math], что [math]\Pr[\mathit{Verifier^{Prover}}(\langle\varphi,k\rangle) = 1] = 1[/math], для любой пары [math]\langle\varphi,k\rangle \in \mathrm{\#SAT}[/math].
- Пусть количество наборов, удовлетворяющих [math]\varphi[/math], не равно [math]k[/math]. Для того, что бы [math]\mathit{Verifier}[/math] вернул true, [math]\mathit{Prover}[/math] 'у необходимо посылать такие [math]A_i[/math], чтобы выполнялись все проверяемые условия. Посмотрим на то, что он может послать:
- Шаг 0
- Так как количество наборов, удовлетворяющих [math]\varphi[/math], не равно [math]k[/math], то [math]\mathit{Prover}[/math] не может послать правильное [math]A_0[/math], поскольку в этом случае не выполнится условие [math]A_0(0) + A_0(1) = k[/math]. Поэтому он посылает не [math]A_0[/math], а некое [math]\tilde{A}_0[/math].
- [math]\ldots[/math]
- Шаг i
- Заметим, что если на каком-то шаге [math]A_{i-1}(r_i) = \tilde{A}_{i-1}(r_i)[/math], то начиная со следующего шага [math]\mathit{Prover}[/math] может посылать правильные [math]A_j[/math] и в итоге [math]\mathit{Verifier}[/math] вернёт true.
- Для некоторого случайно выбранного [math]r_i[/math] вероятность того, что [math]A_{i-1}(r_i) = \tilde{A}_{i-1}(r_i)[/math], то есть [math]r_i[/math] — корень полинома [math](A_{i-1} - \tilde{A}_{i-1})(r_i)[/math], имеющего степень не больше [math]d[/math], не превосходит [math]\frac{d}{p}[/math].
- [math]\ldots[/math]
- Шаг m
- Так как на последнем шаге [math]\mathit{Verifier}[/math] сверяет полученное от [math]\mathit{Prover}[/math]'а значение с непосредственно вычисленным, слово будет допущено только в том случае, когда [math]\mathit{Prover}[/math] смог прислать верное значение, что в свою очередь возможно лишь если на одном из предыдущих шагов был верно угадан корень полинома.
- Вычислим вероятность того, что хотя бы раз корень был угадан.
- [math]\Pr[\mathit{Verifier^{Prover}}(\langle \varphi, k \rangle)=1] = 1 - (1 - \frac d p)^m \le 1 - (1 - \frac d {3dm})^m \le \frac 1 3[/math].
- В последнем переходе мы воспользовались формулой Тейлора для логарифма и экспоненты, а также тем, что [math]m\gt 0[/math].
Таким образом, построенный нами [math]\mathit{Verifier}[/math] корректен, а значит лемма доказана. |