Является ли PRF XOR с его ключом все еще PRF? (всегда)

Doron Bruder

30.10.2022, 16:54

$\forall k \in \{0,1\}^n,m \in \mathbb{M},F_k(m)$ определяется следующим образом: $F_k(m) = F'_k(m) \oplus k$. Известно, что $F'_k$ является ПРФ. Примечание: это пространство сообщений, и предполагается, что ключ $к$ генерируется некоторым алгоритмом Gen случайным образом.

Должен $F_k(м)$ быть PRF тоже?

У меня есть интуиция, что ответ - да, поскольку это не похоже на изменение распределения вывода, но любое сокращение требует ключа для имитации $F$ и влезть в противоречие как-то (до моего уровня знаний - бакалавра первого курса в теме). Так что я думаю, может быть, ответ на самом деле нет, но я могу этого не знать... какой здесь может быть хороший подход?

117

1 + 0

вывод ключей

симметричный

псевдослучайная функция

Рейтинг:3

Crypto

Geoffroy Couteau

30.10.2022, 21:44

Нет.

Позволять $||$ обозначают конкатенацию. Позволять $F''$ быть PRF в домене $\mathbb{M} \times \{0,1\}$. Исправьте любое «специальное сообщение» $m^* \in \mathbb{M}$. Рассмотрим следующую конструкцию для $F'$: ключ $F'$ является $k_0 || k_1$, куда $k_0$ это случайный ключ для $F''$, и $k_1$ представляет собой случайную строку одинаковой длины. При вводе $m \in \mathbb{M}$, $F'_{k_0||k_1}(м)$ выходы $F''_{k_0}(м||0) || k_1$ если $м = м^*$, и $F''_{k_0}(м||0) || F''_{k_0}(м||1)$ в противном случае.

Во-первых, обратите внимание, что $F'$ все еще ПРФ. Это следует непосредственно из безопасности $F''$, и заметив, что $k_1$ является действительно случайным и используется только один раз, на специальном входе $м = м^*$.

Во-вторых, пусть $F_{k_0||k_1}: m \rightarrow F'_{k_0||k_1}(m) \oplus (k_0 || k_1)$. Это явно не PRF, потому что вторая половина $F_{k_0||k_1}(м^*)$ представляет собой строку нулей (что очень маловероятно для случайной функции).

(Я опускаю мелкие детали того, что мы предполагаем по длине ключей, так как с этим несложно справиться, просто немного утомительнее).

0 + 3

Doron Bruder

01.11.2022, 14:35

Спасибо, это действительно отличное объяснение. Мне интересно, каким будет ответ на тот же вопрос, но вместо того, чтобы говорить о PRF, мы будем говорить о схемах Mac, что означает замену обозначения $F'$ на $Mac'$ и, учитывая безопасную схему Mac $Mac $ вместо PRF $F$. В этом случае Mac останется в безопасности? (Обратите внимание, что использование точно такой же конструкции здесь не сработает)

Ответить

Doron Bruder

01.11.2022, 14:57

Ссылаясь на мой предыдущий комментарий, я думаю, что построил аналогичную конструкцию, которая также работает, чтобы показать, что она также не должна быть безопасной схемой Mac.

Ответить

Geoffroy Couteau

02.11.2022, 10:56

Хорошо бы найти самому! Самостоятельный поиск этих встречных примеров помогает лучше понять аргументы безопасности в криптографии. Кроме того, я должен отметить, что если вы задаете себе эти вопросы с целью лучшего понимания примитивов, я думаю, что это очень хороший и здоровый подход.

Ответить

Admin

Этот вопрос на других языках:

EN: Is PRF XORed with its key still a PRF? (always)

TH: PRF XORed ที่มีรหัสยังคงเป็น PRF หรือไม่ (เสมอ)

RO: PRF XORed cu cheia este încă un PRF? (mereu)

RU: Является ли PRF XOR с его ключом все еще PRF? (всегда)

VI: PRF XORed với khóa của nó có còn là PRF không? (luôn)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.