PRF XORed cu cheia este încă un PRF? (mereu)

Doron Bruder

30.10.2022, 16:54

$\forall k \in \{0,1\}^n,m \in \mathbb{M},F_k(m)$ este definită după cum urmează: $F_k(m) = F'_k(m) \oplus k$. Se știe că $F'_k$ este un PRF. Notă: este spațiul mesajului și se presupune că cheia $k$ este generat de un algoritm Gen într-o manieră aleatorie.

Trebuie sa $F_k(m)$ sa fie si PRF?

Am o intuiție că răspunsul este da, deoarece nu are chef să schimbe distribuția ieșirii, dar orice fel de reducere necesită cheia pentru a simula $F$ și să intru cumva în contradicție (până la nivelul meu de cunoștințe - cursul I de la Licență la subiect). Deci, bănuiesc că poate răspunsul este de fapt nu, dar ar putea să nu fie din cunoștințele mele... care poate fi o abordare bună aici?

117

1 + 0

derivarea cheii

simetric

funcție pseudo-aleatorie

Puncte:3

Crypto

Geoffroy Couteau

30.10.2022, 21:44

Nu.

Lăsa $||$ denotă concatenarea. Lăsa $F''$ fi un PRF pe domeniu $\mathbb{M} \times \{0,1\}$. Remediați orice „mesaj special” $m^* \in \mathbb{M}$. Luați în considerare următoarea construcție pentru $F'$: cheia lui $F'$ este $k_0 || k_1$, Unde $k_0$ este o cheie aleatorie pentru $F''$, și $k_1$ este un șir aleatoriu de aceeași lungime. La intrare $m \in \mathbb{M}$, $F'_{k_0||k_1}(m)$ iesiri $F''_{k_0}(m||0) || k_1$ dacă $m = m^*$, și $F''_{k_0}(m||0) || F''_{k_0}(m||1)$ in caz contrar.

În primul rând, observă asta $F'$ este încă un PRF. Rezultă direct din securitatea $F''$, iar observând că $k_1$ este cu adevărat aleatoriu și este folosit o singură dată, pe intrarea specială $m = m^*$.

În al doilea rând, să $F_{k_0||k_1}: m \rightarrow F'_{k_0||k_1}(m) \oplus (k_0 || k_1)$. Acesta nu este în mod clar un PRF, deoarece a doua jumătate a $F_{k_0||k_1}(m^*)$ este un șir de zerouri (ceea ce este foarte puțin probabil să se întâmple pentru o funcție aleatorie).

(Eu trec peste detalii minore despre ceea ce presupunem cu privire la lungimea tastelor, deoarece nu este greu de gestionat, ci doar un pic mai plictisitor).

0 + 3

Doron Bruder

01.11.2022, 14:35

Mulțumesc, este cu adevărat o explicație grozavă. Mă întreb care ar fi răspunsul la aceeași întrebare, dar în loc să vorbim despre PRF-uri, am vorbi despre scheme Mac, ceea ce înseamnă înlocuirea notației $F'$ cu $Mac'$ și oferind o schemă Mac sigură $Mac $ în loc de un PRF $F$. În acest caz, acest Mac va rămâne în siguranță? (Rețineți că folosirea exactă a aceleiași construcții nu va funcționa aici)

Răspunde

Doron Bruder

01.11.2022, 14:57

Referindu-mă la comentariul meu anterior, cred că am construit o construcție similară care funcționează și ea, pentru a arăta că nici nu trebuie să fie o schemă Mac sigură.

Răspunde

Geoffroy Couteau

02.11.2022, 10:56

Bine dacă l-ai putea găsi singur! Găsirea personală a acestor contraexemple ajută la înțelegerea argumentelor de securitate în criptografie. De asemenea, ar trebui să subliniez că, dacă vă puneți aceste întrebări în scopul de a înțelege mai bine primitivii, cred că este o abordare foarte frumoasă și sănătoasă.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is PRF XORed with its key still a PRF? (always)

TH: PRF XORed ที่มีรหัสยังคงเป็น PRF หรือไม่ (เสมอ)

RO: PRF XORed cu cheia este încă un PRF? (mereu)

RU: Является ли PRF XOR с его ключом все еще PRF? (всегда)

VI: PRF XORed với khóa của nó có còn là PRF không? (luôn)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.