安全確定性 MAC 是否始終是 PRF？

給定一個安全的 MAC 方案 $ \Pi=(Gen, Mac, Vrfy) $ ， 哪裡 $ Gen $ 產生均勻分佈的密鑰，算法 $ Mac $ 是確定性的，是 $ Mac $ 一定是偽隨機函式？

我認為這是一個 PRF：因為沒有偽造者 A 可以以某種方式從給定的標籤中獲取資訊，從而推斷出一些關於 $ Mac $ 函式被建構（即如何創建標籤），我得出結論，沒有區分器 D 可以區分標籤和隨機函式發出的隨機字元串。

我的直覺對嗎？如果不是，我想對為什麼確定性 MAC 不能是 PRF 有一些直覺。（這樣一個 MAC 的例子會很棒。）如果是的話，進一步的直覺也會很棒。

你的直覺不對。任何偽造者都無法獲得新的有效消息/標籤對這一事實並不能說明 MAC 的“形狀”。例如，如果 $ \Pi $ 是一個安全 MAC，那麼通過在標籤末尾附加一堆零獲得的 MAC 也是安全的：

如果是偽造者 $ \mathcal{A} $ 能夠創建新的有效消息/標籤對 $ (m,t) $ 對於我們修改後的 MAC（通過將零附加到安全 MAC 獲得的 MAC），然後 $ (m,t’) $ 將是一個新的有效消息/對 $ \Pi $ ， 在哪裡 $ t = t’||0^n $ （您需要更精確地了解這裡正在玩的遊戲，但想法是一個 MAC 的任何 msg/tag 對對應於另一個 MAC 的一個 msg/tag 對）

但這當然不是偽隨機函式。

我認為您的直覺是，安全的 MAC 無法透露有關底層消息的任何資訊，但這是不對的。MAC 的安全性取決於生成新消息/標籤對的難度，而不是學習有關底層消息的任何內容的難度。事實上，MAC 可以揭示整個資訊！你能想像怎麼做嗎？

引用自：https://crypto.stackexchange.com/questions/45320