Как показать, что PRF в 2. безопасен?

LJCOUC

25.02.2023, 04:21

Пусть F — PRF, определенная над F: {0,1}nÃ{0,1}nÃY.

1. Мы говорим, что F является XOR-податливым, если F(k,x∙c)=F(k,x)∙c для всех k,x,c∙{0,1}n.

2. Мы говорим, что F является ключом XOR-податливым, если F(k∙c,x)=F(k,x)∙c для всех k,x,c∙{0,1}n.

Ясно, что XOR-податливый PRF не может быть безопасным: податливость позволяет злоумышленнику отличить PRF от случайной функции. Покажите, что то же самое верно и для ключевого XOR-податливого PRF.

Замечание: Напротив, мы отмечаем, что существуют безопасные PRF, где F(k1·k2,x)=F(k1,x)·F(k2,x).

Я сделал это. Далее я буду излагать свои идеи в комментариях.

0 + 0

псевдослучайная функция

LJCOUC

25.02.2023, 04:26

Пусть k'=kâc, тогда F(k',x)=F(kâc,x)=F(0n,x)âkâc; Постройте эксперимент 0 и эксперимент 1. Злоумышленник отправляет x претенденту соответственно. В эксперименте 0 Претендент возвращает атакующему y=F(k',x). В эксперименте 1 злоумышленник возвращает злоумышленнику псевдослучайную последовательность. Злоумышленник может вычислить ключ в соответствии с выражением k'=k·c=F(k',x)··F(0n,x), чтобы различить два эксперимента.

Ответить

Manish Adhikari

25.02.2023, 10:45

Это повторяющийся вопрос. В любом случае, вы поняли. Но вы можете просто сказать $F(k,x)=F(0^n,x)‚k$ и упростить раскрытие ключа $k$ в одном запросе. Я хотел сказать, чтобы использовать $k'=0^n$, чтобы упростить

Ответить

Admin