Làm cách nào để hiển thị PRF trong 4.8(b) không an toàn?

Cho F là một PRF xác định trên $F:\{0, 1\}^n \times \{0, 1\}^n \to Y$.

1. chúng tôi nói rằng $F$ có thể uốn dẻo XOR nếu $F(k, x \oplus c) = F(k, x) \oplus c$ cho tất cả $k, x, c \in \{0, 1\}^n$.

2. chúng tôi nói rằng $F$ là chìa khóa dễ uốn XOR nếu $F(k \oplus c, x) = F(k, x) \oplus c$ cho tất cả $k, x, c \in \{0, 1\}^n$.

Rõ ràng là một PRF có thể uốn được XOR không thể an toàn: tính dễ uốn cho phép kẻ tấn công phân biệt PRF với một chức năng ngẫu nhiên. Cho thấy điều tương tự cũng xảy ra đối với một PRF có thể uốn được XOR chính.

Ghi chú: Ngược lại, chúng tôi lưu ý rằng có các PRF an toàn trong đó $F(k_1\oplus k_2, x) = F(k_1, x)\oplus F(k_2, x)$.

Tôi không biết cách xây dựng kẻ tấn công để xác định rằng đây là PRF không an toàn.Em hoang mang là topic này đã đổi key nhưng đối với kẻ tấn công thì key không gán được nên em rất hoang mang. Tôi đã thảo luận với những người khác trong một thời gian dài mà không có kết quả, vì vậy tôi đến đây để được tư vấn. Cám ơn rất nhiều!