我們可以將 PRF 用作 PRP 嗎？

撇開如何計算 PRF F 的逆問題不談，我們可以將它也用作 PRP 嗎？

當 F 的輸入長度足夠大時，這個陳述的倒數是正確的，例如見 Katz 和 Lindell，Proposition 3.27。然而，在實踐中從 PRF 建構 PRP，人們使用 Feistel 網路。這將解決使 PRF 可逆的問題。

撇開可逆性不談，我猜 PRP 的證明是一樣的 $ \implies $ PRF 在這裡很有用。我對嗎？

如果輸出域足夠大，以至於在 PRF 中發生衝突的機率可以忽略不計，那麼 PRP 和 PRF 的輸出是無法區分的。因此，原則上，答案是肯定的——你可以自由地交換這些（在上述條件下）。

話雖如此，我還不清楚為什麼你想要一個不可逆的 PRP 而不是 PRF。通常，PRF 更適合加密結構，更容易分析並提供更好的界限，並且我們使用 PRP 的唯一時間是我們想要反轉的時候。也許有一個使用 PRP 的例子，特別是在不需要反轉時，但我認為我從來沒有見過一個（並且真的想不出它在哪裡會有幫助）。

引用自：https://crypto.stackexchange.com/questions/64381