Pseudo-Random-Function
如果使用 PRP 而不是 PRF,則 OFB 模式的安全性
在我大學的密碼學講座中,我們有一個定理,如果使用的偽隨機函式 (PRF) 是 IND-PRF 安全的,則(隨機)OFB 模式是 IND-CPA 安全的。
之後,如果使用偽隨機排列 (PRP) 代替 PRF,我們研究了 rOFB 的安全性。因為我們只能在 PRF 產生衝突時區分 PRP 和 PRF,所以只要塊長度足夠大,我們就可以互換使用它們。這是因為對於大塊長度的情況,碰撞的機率可以忽略不計。
從這個結果我們推斷,我們也可以在 rOFB 模式下使用 PRP,這會產生 IND-CPA 安全加密方案。
我完全理解,如果 RFO 產生衝突,我們可以將 PRP 與隨機函式預言 (RFO) 區分開來。因此,如果我們可以查詢許多輸出,則 PRP“看起來不是隨機的”。但是,rOFB 模式的安全性要求我們在密文中沒有衝突。因此,我不明白為什麼當我們使用 PRP 而不是 PRF(可以忽略不計,但更低)時,rOFB 模式的安全性較低,因為 PRP 確實排除了這種對 OFB 的攻擊。
對我來說很清楚 PRP-OFB 模式對於許多查詢來說看起來不像是 OTP,但我無法想像如果不可能發生衝突,為什麼攻擊面應該可以忽略不計。
我認為最終可以忽略不計的術語取決於您證明 rOFB 安全性的方式。如果基於隨機函式在理想詞中構造OTP,則使用PRF;如果基於隨機排列,則使用 PRP。請注意,在後一種情況下,用隨機排列替換分組密碼不能保證分組密碼輸出之間不會發生衝突。換言之,此類衝突與 PRF/PRP 中考慮的衝突不同。
PRP 的攻擊面高得可以忽略不計。它似乎更高,只是因為您首先用 PRF 證明了安全性,並希望根據 PRP 和 PRF 之間的優勢差異輕鬆減少。順便說一句,任何可忽略的差異在安全證明中都不重要。