Pseudo-Random-Function
我們可以將 PRF 用作 PRP 嗎?
撇開如何計算 PRF F 的逆問題不談,我們可以將它也用作 PRP 嗎?
當 F 的輸入長度足夠大時,這個陳述的倒數是正確的,例如見 Katz 和 Lindell,Proposition 3.27。然而,在實踐中從 PRF 建構 PRP,人們使用 Feistel 網路。這將解決使 PRF 可逆的問題。
撇開可逆性不談,我猜 PRP 的證明是一樣的 $ \implies $ PRF 在這裡很有用。我對嗎?
如果輸出域足夠大,以至於在 PRF 中發生衝突的機率可以忽略不計,那麼 PRP 和 PRF 的輸出是無法區分的。因此,原則上,答案是肯定的——你可以自由地交換這些(在上述條件下)。
話雖如此,我還不清楚為什麼你想要一個不可逆的 PRP 而不是 PRF。通常,PRF 更適合加密結構,更容易分析並提供更好的界限,並且我們使用 PRP 的唯一時間是我們想要反轉的時候。也許有一個使用 PRP 的例子,特別是在不需要反轉時,但我認為我從來沒有見過一個(並且真的想不出它在哪裡會有幫助)。