具有給定鍵的PRF定義為PRG的功能是否為PRG？

讓 $ G(s)=F_{0^n}(s) $ ( $ 0^n $ 是給 PRF F) 的固定密鑰 $ n∈\mathbb{N} $ 和 $ s∈{0,1}^n $ .

如上所述通過 PRF 定義的 G 是否一定是偽隨機生成器？

我認為它是一個 PRG，因為我們真的不知道什麼是種子 s。但事實是 $ F_{0^n}() $ 眾所周知，讓我懷疑自己。

我不尋求證據，只是直覺或暗示（我確實了解如何證明此類主張，我只是在這種特定情況下沒有得到“抓住”）。

考慮 PRF $ F $ 其中上 $ n $ -位鍵映射 $ n $ -位輸入到 $ 2n $ 位輸出。考慮 $ F’ $ 在哪裡 $ F’_k(x) = F_k(x) $ 如果 $ k \ne 0^n $ 和 $ 0^{2n} $ 否則。

$ G $ 像這樣定義的不一定是 PRG。原因不是區分器可以計算 $ F_{0^n}(x) $ 對於任何 $ x $ 它想要的，因為這對於 PRG 也是如此。原因是 PRF 是一個函式族 $ \cal F $ ，並且假設從族中隨機選擇的函式與真正的隨機函式無法區分。所以，正如@fkraiem 回答的那樣，採取任何真正的 PRF $ \cal F $ （假設存在一個這樣的家庭），並替換 $ F_{0^n}\in \cal F $ 具有恆定的功能。

這可能看起來很奇怪，但對於一個隨機選擇的函式，他們機率 $ F_{0^n} $ 被選擇的可以忽略不計，所以 $ \cal F $ 仍然是 PRF（首先嘗試證明這一點）。當然，那麼 $ F_{0^n}(x) $ 對於隨機 $ x $ 很容易與隨機字元串區分開來。

引用自：https://crypto.stackexchange.com/questions/45132