The First-order Logic of Hyperproperties Joint work with Bernd - - PowerPoint PPT Presentation

The First-order Logic of Hyperproperties

Joint work with Bernd Finkbeiner (Saarland University)

Martin Zimmermann

Saarland University

September, 13th 2017

Highlights Conference, London, UK

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 1/8

LTL vs. First-order Logic

Theorem (Kamp ’68, Gabbay et al. ’80)

LTL and FO[<] are expressively equivalent.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 2/8

HyperLTL

A new logic: ∀π∀π′. F onπ ↔ onπ′ Extend LTL by trace quantifiers to express security, privacy, and information flow properties

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 3/8

HyperLTL

A new logic: ∀π∀π′. F onπ ↔ onπ′ Extend LTL by trace quantifiers to express security, privacy, and information flow properties Models are sets of traces!

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 3/8

HyperLTL

A new logic: ∀π∀π′. F onπ ↔ onπ′ Extend LTL by trace quantifiers to express security, privacy, and information flow properties Models are sets of traces! Is there a first-order logic that is expressively equivalent to HyperLTL?

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 3/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ)

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · ·

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ ∀π. ∃π′. F (aπ ∧ X aπ′) {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · ·

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ ∀π. ∃π′. F (aπ ∧ X aπ′) {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ {a} ∅ ∅ ∅ ∅ ∅ ∅ · · ·

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ ∀π. ∃π′. F (aπ ∧ X aπ′) {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ {a} ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ ∅ {a} ∅ ∅ ∅ ∅ ∅ · · ·

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ ∀π. ∃π′. F (aπ ∧ X aπ′) {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ {a} ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ ∅ {a} ∅ ∅ ∅ ∅ ∅ · · · ∅ ∅ ∅ {a} ∅ ∅ ∅ ∅ · · · . . . . . . . . . . . . . . . . . . . . . . . .

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

An Example

Fix AP = {a} and consider the conjunction ϕ of ∀π. (¬aπ) U (aπ ∧ X G ¬aπ) ∃π. aπ ∀π. ∃π′. F (aπ ∧ X aπ′) {a} ∅ ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ {a} ∅ ∅ ∅ ∅ ∅ ∅ · · · ∅ ∅ {a} ∅ ∅ ∅ ∅ ∅ · · · ∅ ∅ ∅ {a} ∅ ∅ ∅ ∅ · · · . . . . . . . . . . . . . . . . . . . . . . . . The unique model of ϕ is {∅n {a} ∅ω | n ∈ N}.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 4/8

First-order Logic for Hyperproperties

· · · <

N

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 5/8

First-order Logic for Hyperproperties

· · · <

N

· · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 5/8

First-order Logic for Hyperproperties

· · · <

N

· · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A

E

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 5/8

First-order Logic for Hyperproperties

· · · <

N

· · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A

E FO[<, E]: first-order logic with equality over the signature {<, E} ∪ {Pa | a ∈ AP} over structures with universe A × N.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 5/8

First-order Logic for Hyperproperties

· · · <

N

· · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . · · · · · · . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A

E FO[<, E]: first-order logic with equality over the signature {<, E} ∪ {Pa | a ∈ AP} over structures with universe A × N.

Proposition

For every HyperLTL sentence there is an equivalent FO[<, E] sentence.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 5/8

A Setback

Let ϕ be the following property of sets T ⊆ (2{a})ω: There is an n such that a / ∈ t(n) for every t ∈ T.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 6/8

A Setback

Let ϕ be the following property of sets T ⊆ (2{a})ω: There is an n such that a / ∈ t(n) for every t ∈ T.

Theorem (Bozzelli et al. ’15)

ϕ is not expressible in HyperLTL.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 6/8

A Setback

Let ϕ be the following property of sets T ⊆ (2{a})ω: There is an n such that a / ∈ t(n) for every t ∈ T.

Theorem (Bozzelli et al. ’15)

ϕ is not expressible in HyperLTL. But, ϕ is easily expressible in FO[<, E]: ∃x ∀y E(x, y) → ¬Pa(y)

Corollary

FO[<, E] strictly subsumes HyperLTL.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 6/8

HyperFO

∃Ix and ∀Ix: quantifiers restricted to initial positions. ∃Gy ≥ x and ∀Gy ≥ x: if x is initial, then quantifiers restricted to positions on the same trace as x.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 7/8

HyperFO

∃Ix and ∀Ix: quantifiers restricted to initial positions. ∃Gy ≥ x and ∀Gy ≥ x: if x is initial, then quantifiers restricted to positions on the same trace as x. HyperFO: ∀Ix1 ∀Ix2 ∀Gy1 ≥ x1 ∀Gy2 ≥ x2 E(y1, y2) → (Pon(y1) ↔ Pon(y2))

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 7/8

HyperFO

∃Ix and ∀Ix: quantifiers restricted to initial positions. ∃Gy ≥ x and ∀Gy ≥ x: if x is initial, then quantifiers restricted to positions on the same trace as x. HyperFO: ∀Ix1 ∀Ix2 ∀Gy1 ≥ x1 ∀Gy2 ≥ x2 E(y1, y2) → (Pon(y1) ↔ Pon(y2))

• quantify

initial positions ∼ = trace quantification

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 7/8

HyperFO

∃Ix and ∀Ix: quantifiers restricted to initial positions. ∃Gy ≥ x and ∀Gy ≥ x: if x is initial, then quantifiers restricted to positions on the same trace as x. HyperFO: ∀Ix1 ∀Ix2 ∀Gy1 ≥ x1 ∀Gy2 ≥ x2 E(y1, y2) → (Pon(y1) ↔ Pon(y2))

• quantify

initial positions ∼ = trace quantification

• quantify arbitrary

positions on already quantified traces

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 7/8

HyperFO

∃Ix and ∀Ix: quantifiers restricted to initial positions. ∃Gy ≥ x and ∀Gy ≥ x: if x is initial, then quantifiers restricted to positions on the same trace as x. HyperFO: ∀Ix1 ∀Ix2 ∀Gy1 ≥ x1 ∀Gy2 ≥ x2 E(y1, y2) → (Pon(y1) ↔ Pon(y2))

• quantify

initial positions ∼ = trace quantification

• quantify arbitrary

positions on already quantified traces

• FO[<, E] kernel

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 7/8

Conclusion

Theorem

HyperLTL and HyperFO are equally expressive.

Martin Zimmermann Saarland University The First-order Logic of Hyperproperties 8/8