Рейтинг:3

Является ли PRF XOR с его ключом все еще PRF? (всегда)

флаг vn

$\forall k \in \{0,1\}^n,m \in \mathbb{M},F_k(m)$ определяется следующим образом: $F_k(m) = F'_k(m) \oplus k$. Известно, что $F'_k$ является ПРФ. Примечание: это пространство сообщений, и предполагается, что ключ $к$ генерируется некоторым алгоритмом Gen случайным образом.

Должен $F_k(м)$ быть PRF тоже?

У меня есть интуиция, что ответ - да, поскольку это не похоже на изменение распределения вывода, но любое сокращение требует ключа для имитации $F$ и влезть в противоречие как-то (до моего уровня знаний - бакалавра первого курса в теме). Так что я думаю, может быть, ответ на самом деле нет, но я могу этого не знать... какой здесь может быть хороший подход?

Рейтинг:3
флаг cn

Нет.

Позволять $||$ обозначают конкатенацию. Позволять $F''$ быть PRF в домене $\mathbb{M} \times \{0,1\}$. Исправьте любое «специальное сообщение» $m^* \in \mathbb{M}$. Рассмотрим следующую конструкцию для $F'$: ключ $F'$ является $k_0 || k_1$, куда $k_0$ это случайный ключ для $F''$, и $k_1$ представляет собой случайную строку одинаковой длины. При вводе $m \in \mathbb{M}$, $F'_{k_0||k_1}(м)$ выходы $F''_{k_0}(м||0) || k_1$ если $м = м^*$, и $F''_{k_0}(м||0) || F''_{k_0}(м||1)$ в противном случае.

Во-первых, обратите внимание, что $F'$ все еще ПРФ. Это следует непосредственно из безопасности $F''$, и заметив, что $k_1$ является действительно случайным и используется только один раз, на специальном входе $м = м^*$.

Во-вторых, пусть $F_{k_0||k_1}: m \rightarrow F'_{k_0||k_1}(m) \oplus (k_0 || k_1)$. Это явно не PRF, потому что вторая половина $F_{k_0||k_1}(м^*)$ представляет собой строку нулей (что очень маловероятно для случайной функции).

(Я опускаю мелкие детали того, что мы предполагаем по длине ключей, так как с этим несложно справиться, просто немного утомительнее).

Doron Bruder avatar
флаг vn
Спасибо, это действительно отличное объяснение. Мне интересно, каким будет ответ на тот же вопрос, но вместо того, чтобы говорить о PRF, мы будем говорить о схемах Mac, что означает замену обозначения $F'$ на $Mac'$ и, учитывая безопасную схему Mac $Mac $ вместо PRF $F$. В этом случае Mac останется в безопасности? (Обратите внимание, что использование точно такой же конструкции здесь не сработает)
Doron Bruder avatar
флаг vn
Ссылаясь на мой предыдущий комментарий, я думаю, что построил аналогичную конструкцию, которая также работает, чтобы показать, что она также не должна быть безопасной схемой Mac.
Geoffroy Couteau avatar
флаг cn
Хорошо бы найти самому! Самостоятельный поиск этих встречных примеров помогает лучше понять аргументы безопасности в криптографии. Кроме того, я должен отметить, что если вы задаете себе эти вопросы с целью лучшего понимания примитивов, я думаю, что это очень хороший и здоровый подход.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.