如果 PRF 是不可逆的，為什麼 Ctr 模式有效？

我目前正在線上學習 Dan Boneh 的密碼學 I 課程。我剛剛完成了討論密碼塊連結和計數器模式的部分。根據我的理解，我很難理解為什麼 Ctr-Mode 作為加密算法工作，因為 PRF 從根本上是不可逆的。對此的任何澄清將不勝感激！

CTR 由兩部分組成：使用計數器構造密鑰流，以及將密鑰流的輸出與明文/密文進行異或運算。可以使用 PRF 生成密鑰流，在這種情況下它當然是不可逆的。也可以使用 PRP（例如，像 AES 的分組密碼）創建密鑰流，在這種情況下它是可逆的。

如前所述，CTR 模式加密也需要對明文/密文進行異或運算。PRF 是一個偽隨機函式，因此給定相同的輸入，它將生成相同的密鑰流。密鑰流的異或是完全可逆的；您只需要再次使用密鑰流執行 XOR。因此，CTR 模式加密始終是可逆的，即使它依賴 PRF 來生成密鑰流。

因此，CTR-mode 確實不是PRF。

引用自：https://crypto.stackexchange.com/questions/30525