Pseudo-Random-Function
是F:x↦g(x+1)F:X↦G(X+1)fcolon xmapsto g(x+1)一定是偽隨機函式?
讓 $ l\in\mathbb N $ 並假設
$$ g\colon;{0,1}^l\to{0,1}^l $$ 是一個偽隨機函式。是 $ f $ ,定義如下,也一定是偽隨機函式嗎? $$ f(x)=g((x+1)\bmod2^l) $$
以肯定的方式回答此類問題的一般方法(即證明某種類型的事物的某些轉換為您提供了另一種類型的事物)是假設您的轉換版本不具有您需要的屬性,並使用以證明原件也沒有該屬性。那麼如果原版確實具有我們想要的屬性,那麼轉換後的版本也必須如此。
所以,假設 $ f $ 不是PRF。這意味著有一個有效的算法,它的輸入是一個函式,可以可靠地判斷你是否給了它 $ f $ 或者通過在一堆點上評估它的輸入,給它一個隨機函式作為輸入。你可以修改這個算法來告訴 $ g $ 除了隨機函式——因為 $ f(x)=g(x+1) $ ,只需調整算法,以便每次評估您傳遞給它的函式時 $ x $ ,而是將其評估為 $ x+1 $ . 如果你執行這個算法 $ g $ 作為輸入,它的行為與您的原始算法完全相同 $ f $ 作為輸入。如果您將隨機函式作為輸入傳遞給它,則隨機函式仍然是隨機的。所以,這個新算法可以告訴 $ g $ 除了隨機函式,和 $ g $ 不是PRF。
因為任何區分 $ f $ 可以調整以區分 $ g $ , 代表著 $ g $ 只能是 PRF,如果 $ f $ 是,所以如果 $ g $ 那麼是PRF $ f $ 是一個PRF。這種論點在使用原語建構加密函式時非常有用;當基礎原語的屬性和您的構造不同時,它甚至可以工作(您表明對構造的屬性 A 的攻擊可以讓您攻擊基礎原語的屬性 B)。