如果使用 PRP 而不是 PRF，則 OFB 模式的安全性

在我大學的密碼學講座中，我們有一個定理，如果使用的偽隨機函式 (PRF) 是 IND-PRF 安全的，則（隨機）OFB 模式是 IND-CPA 安全的。

之後，如果使用偽隨機排列 (PRP) 代替 PRF，我們研究了 rOFB 的安全性。因為我們只能在 PRF 產生衝突時區分 PRP 和 PRF，所以只要塊長度足夠大，我們就可以互換使用它們。這是因為對於大塊長度的情況，碰撞的機率可以忽略不計。

從這個結果我們推斷，我們也可以在 rOFB 模式下使用 PRP，這會產生 IND-CPA 安全加密方案。

我完全理解，如果 RFO 產生衝突，我們可以將 PRP 與隨機函式預言 (RFO) 區分開來。因此，如果我們可以查詢許多輸出，則 PRP“看起來不是隨機的”。但是，rOFB 模式的安全性要求我們在密文中沒有衝突。因此，我不明白為什麼當我們使用 PRP 而不是 PRF（可以忽略不計，但更低）時，rOFB 模式的安全性較低，因為 PRP 確實排除了這種對 OFB 的攻擊。

對我來說很清楚 PRP-OFB 模式對於許多查詢來說看起來不像是 OTP，但我無法想像如果不可能發生衝突，為什麼攻擊面應該可以忽略不計。

我認為最終可以忽略不計的術語取決於您證明 rOFB 安全性的方式。如果基於隨機函式在理想詞中構造OTP，則使用PRF；如果基於隨機排列，則使用 PRP。請注意，在後一種情況下，用隨機排列替換分組密碼不能保證分組密碼輸出之間不會發生衝突。換言之，此類衝突與 PRF/PRP 中考慮的衝突不同。

PRP 的攻擊面高得可以忽略不計。它似乎更高，只是因為您首先用 PRF 證明了安全性，並希望根據 PRP 和 PRF 之間的優勢差異輕鬆減少。順便說一句，任何可忽略的差異在安全證明中都不重要。

引用自：https://crypto.stackexchange.com/questions/55703