經常更改密鑰時 PRF 的安全性

這是情況。假設我有一個安全的 PRF $ F $ 並使用 $ F $ 通過以下方式：

對於相同大小的消息 $ m_i $ 在 $ {m_j}^{q}{j=1} $ ( $ q=poly(n) $ , $ n $ 是安全參數），隨機選擇 $ k_i \xleftarrow{$}K $ 併計算 $ c_i=F(k_i, m_i) $ ， 在哪裡 $ K $ 是關鍵空間。之前的所有計算結果 $ {(k_j, m_j, c_j)}^{i-1}{j=1} $ 暴露給對手 $ A $ 使用時（ $ k_i $ , $ m_i $ ） 評估 $ F $ . 關鍵是改變了密鑰，揭示了一些以前的密鑰，這與傳統的偽隨機性定義不同 $ PRF $ . 我的安全目標是對手 $ A $ 無法區分 $ c_i $ 來自隨機字元串 $ r_i $ 使用任何 $ PPT $ 區分器 $ D $ . 直覺上，我認為 $ F $ 在此設置中是安全的。這種情況是否有任何正式的安全模型？在什麼情況下它是安全的還是不安全的？

是的，這是安全的，因為密鑰是隨機選擇的。請記住，即使在“傳統”PRF 遊戲中，對手也可以隨機生成密鑰，因此 F 對過去密鑰的輸出對他沒有幫助（因為他無論如何都可以生成這樣的輸出）。

引用自：https://crypto.stackexchange.com/questions/47476