Điểm:3

PRF XORed với khóa của nó có còn là PRF không? (luôn)

lá cờ vn

$\forall k \in \{0,1\}^n,m \in \mathbb{M},F_k(m)$ được định nghĩa như sau: $F_k(m) = F'_k(m) \oplus k$. được biết rằng $F'_k$ là một PRF. Lưu ý: là không gian tin nhắn và giả định rằng khóa $k$ được tạo ra bởi một số thuật toán Gen một cách ngẫu nhiên.

Phải $F_k(m)$ cũng là một PRF?

Tôi có trực giác rằng câu trả lời là có vì tôi không cảm thấy muốn thay đổi phân phối đầu ra, nhưng bất kỳ hình thức giảm nào cũng cần có chìa khóa để mô phỏng $F$ và vướng vào mâu thuẫn nào đó (theo trình độ hiểu biết của tôi - Ba học viên khóa đầu tiên về đề tài). Vì vậy, tôi đoán có thể câu trả lời thực sự là không, nhưng có thể tôi không biết... cách tiếp cận tốt ở đây là gì?

Điểm:3
lá cờ cn

Không.

Để cho $||$ biểu thị phép nối. Để cho $F''$ là một PRF trên tên miền $\mathbb{M} \times \{0,1\}$. Sửa bất kỳ "tin nhắn đặc biệt" nào $m^* \in \mathbb{M}$. Hãy xem xét việc xây dựng sau đây cho $F'$: chìa khóa của $F'$$k_0 || k_1$, ở đâu $k_0$ là một khóa ngẫu nhiên cho $F''$, và $k_1$ là một chuỗi ngẫu nhiên có cùng độ dài. trên đầu vào $m \in \mathbb{M}$, $F'_{k_0||k_1}(m)$ đầu ra $F''_{k_0}(m||0) || k_1$ nếu $m = m^*$, và $F''_{k_0}(m||0) || F''_{k_0}(m||1)$ nếu không thì.

Đầu tiên, quan sát rằng $F'$ vẫn là một PRF. Nó theo trực tiếp từ sự an toàn của $F''$, và bằng cách quan sát rằng $k_1$ thực sự là ngẫu nhiên và chỉ được sử dụng một lần, trên đầu vào đặc biệt $m = m^*$.

Thứ hai, hãy để $F_{k_0||k_1}: m \rightarrow F'_{k_0||k_1}(m) \oplus (k_0 || k_1)$. Đây rõ ràng không phải là PRF, bởi vì nửa sau của $F_{k_0||k_1}(m^*)$ là một chuỗi các số 0 (điều này rất khó xảy ra đối với một hàm ngẫu nhiên).

(Tôi đang đề cập đến những chi tiết nhỏ về những gì chúng ta giả định về độ dài của các phím, vì nó không khó để xử lý, chỉ hơi tẻ nhạt hơn một chút).

Doron Bruder avatar
lá cờ vn
Cảm ơn bạn, nó thực sự là một lời giải thích tuyệt vời. Tôi đang tự hỏi đâu sẽ là câu trả lời cho cùng một câu hỏi nhưng thay vì nói về PRF, chúng ta sẽ nói về các lược đồ Mac, nghĩa là thay thế ký hiệu $F'$ bằng $Mac'$ và đưa ra một lược đồ Mac an toàn $Mac $ thay vì PRF $F$. Trong trường hợp này, Mac sẽ vẫn an toàn chứ? (Lưu ý rằng việc sử dụng cùng một cấu trúc sẽ không hoạt động ở đây)
Doron Bruder avatar
lá cờ vn
Đề cập đến nhận xét trước đây của tôi, tôi nghĩ rằng tôi đã xây dựng một công trình tương tự cũng hoạt động tốt, để chứng tỏ rằng nó cũng không nhất thiết phải là một sơ đồ Mac an toàn.
Geoffroy Couteau avatar
lá cờ cn
Tốt nếu bạn có thể tự tìm thấy nó! Việc tự mình tìm kiếm các ví dụ phản biện này sẽ giúp xây dựng sự hiểu biết về các đối số bảo mật trong mật mã học. Ngoài ra, tôi nên chỉ ra rằng nếu bạn đang tự hỏi mình những câu hỏi này với mục đích hiểu rõ hơn về nguyên thủy, thì tôi nghĩ đó là một cách tiếp cận rất hay và lành mạnh.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.