Puncte:3

PRF XORed cu cheia este încă un PRF? (mereu)

drapel vn

$\forall k \in \{0,1\}^n,m \in \mathbb{M},F_k(m)$ este definită după cum urmează: $F_k(m) = F'_k(m) \oplus k$. Se știe că $F'_k$ este un PRF. Notă: este spațiul mesajului și se presupune că cheia $k$ este generat de un algoritm Gen într-o manieră aleatorie.

Trebuie sa $F_k(m)$ sa fie si PRF?

Am o intuiție că răspunsul este da, deoarece nu are chef să schimbe distribuția ieșirii, dar orice fel de reducere necesită cheia pentru a simula $F$ și să intru cumva în contradicție (până la nivelul meu de cunoștințe - cursul I de la Licență la subiect). Deci, bănuiesc că poate răspunsul este de fapt nu, dar ar putea să nu fie din cunoștințele mele... care poate fi o abordare bună aici?

Puncte:3
drapel cn

Nu.

Lăsa $||$ denotă concatenarea. Lăsa $F''$ fi un PRF pe domeniu $\mathbb{M} \times \{0,1\}$. Remediați orice „mesaj special” $m^* \in \mathbb{M}$. Luați în considerare următoarea construcție pentru $F'$: cheia lui $F'$ este $k_0 || k_1$, Unde $k_0$ este o cheie aleatorie pentru $F''$, și $k_1$ este un șir aleatoriu de aceeași lungime. La intrare $m \in \mathbb{M}$, $F'_{k_0||k_1}(m)$ iesiri $F''_{k_0}(m||0) || k_1$ dacă $m = m^*$, și $F''_{k_0}(m||0) || F''_{k_0}(m||1)$ in caz contrar.

În primul rând, observă asta $F'$ este încă un PRF. Rezultă direct din securitatea $F''$, iar observând că $k_1$ este cu adevărat aleatoriu și este folosit o singură dată, pe intrarea specială $m = m^*$.

În al doilea rând, să $F_{k_0||k_1}: m \rightarrow F'_{k_0||k_1}(m) \oplus (k_0 || k_1)$. Acesta nu este în mod clar un PRF, deoarece a doua jumătate a $F_{k_0||k_1}(m^*)$ este un șir de zerouri (ceea ce este foarte puțin probabil să se întâmple pentru o funcție aleatorie).

(Eu trec peste detalii minore despre ceea ce presupunem cu privire la lungimea tastelor, deoarece nu este greu de gestionat, ci doar un pic mai plictisitor).

Doron Bruder avatar
drapel vn
Mulțumesc, este cu adevărat o explicație grozavă. Mă întreb care ar fi răspunsul la aceeași întrebare, dar în loc să vorbim despre PRF-uri, am vorbi despre scheme Mac, ceea ce înseamnă înlocuirea notației $F'$ cu $Mac'$ și oferind o schemă Mac sigură $Mac $ în loc de un PRF $F$. În acest caz, acest Mac va rămâne în siguranță? (Rețineți că folosirea exactă a aceleiași construcții nu va funcționa aici)
Doron Bruder avatar
drapel vn
Referindu-mă la comentariul meu anterior, cred că am construit o construcție similară care funcționează și ea, pentru a arăta că nici nu trebuie să fie o schemă Mac sigură.
Geoffroy Couteau avatar
drapel cn
Bine dacă l-ai putea găsi singur! Găsirea personală a acestor contraexemple ajută la înțelegerea argumentelor de securitate în criptografie. De asemenea, ar trebui să subliniez că, dacă vă puneți aceste întrebări în scopul de a înțelege mai bine primitivii, cred că este o abordare foarte frumoasă și sănătoasă.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.