Доказательная проверка: подделка MAC-адреса

Я смотрю на MAC, определенный следующим образом: $$\text{Mac}_k(m)=\langle r,f_k(r\oplus m)\rangle $$ куда $г$ равномерно выбирается случайным образом (каждый раз) и $f_k$ является ПРФ. Vrfy является каноническим. Я пытаюсь опровергнуть, что это безопасно (безопасное определение ниже).

Игра Mac-Forge определяется здесь:

а также:

Теперь подделка будет работать следующим образом: злоумышленник выбирает два сообщения $м_1,м_2$ с $m_1\neq m_2$. Затем он вызывает оракула с обоими сообщениями (отдельно) и получает обратно $(m_1,t_1),(m_2,t_2)$. Затем он возвращается: $$(r_1\oplus r_2\oplus m_1, \langle r_2, t_1\rangle) $$ Этот тег действителен, если $r_1\oplus r_2\oplus m_1$ равно $m_1$ или же $m_2$. Первый случай бывает, когда $r_1\oplus r_2=0^n$ что происходит с вероятностью $1/2^n$. Второй случай происходит с вероятностью $1/2^n$ по той же причине. Использование связанного союза: $$\Pr[r_1\oplus r_2 = 0^n \vee r_1\oplus r_2 = m_1\oplus m_2]\le \frac{2}{2^n}=\frac{1}{2^{n-1 }}$$ Так: $$\Pr[\text{Mac-forge}_{\mathcal{A},\pi}(n)=1]> 1-\frac{1}{2^{n-1}}$$ что не маловажно.