Cum să arăți că PRF în 4.8(b) nu este sigur?

Fie F un PRF definit peste $F:\{0, 1\}^n \times \{0, 1\}^n \la Y$.

1. Noi spunem asta $F$ este XOR-maleabil dacă $F(k, x \oplus c) = F(k, x) \oplus c$ pentru toți $k, x, c \in \{0, 1\}^n$.

2. Noi spunem asta $F$ este cheia XOR-maleabilă dacă $F(k \oplus c, x) = F(k, x) \oplus c$ pentru toți $k, x, c \in \{0, 1\}^n$.

În mod clar, un PRF maleabil XOR nu poate fi sigur: maleabilitatea permite unui atacator să distingă PRF de o funcție aleatorie. Arătați că același lucru este valabil și pentru o PRF cheie maleabilă XOR.

Observație: În schimb, observăm că există PRF-uri sigure unde $F(k_1\oplus k_2, x) = F(k_1, x)\oplus F(k_2, x)$.

Nu știu cum să construiesc un atacator pentru a determina că acesta este un PRF nesigur.Confuzia mea este că acest subiect a schimbat cheia, dar pentru atacator, cheia nu este atribuibilă, așa că sunt foarte confuz. Am discutat cu alții de mult timp fără rezultate, așa că vin aici pentru sfaturi. Mulțumesc foarte mult!