Pseudo-Random-Function
為什麼在基於模擬的證明中使用偽隨機排列而不使用偽隨機函式?
在本文中:
https://eprint.iacr.org/2011/272.pdf
作者在協議和證明中使用偽隨機排列而不是偽隨機函式。在第 31 頁(最後兩行)他們說:
“我們還注意到,出於模擬的目的,我們需要使用偽隨機排列而不是任何偽隨機函式。”
問題:為什麼我們可以在模擬中使用偽隨機排列,但我們不能使用偽隨機函式?
我碰巧和其中一位作者交談並詢問了這個問題。簡短的回答是:最終在第 34 頁上,他們正在考慮惡意對手。模擬器必須提取對手的有效輸入,但它只知道對手發送的消息,在這種情況下只是 PRP 輸出。模擬器知道 PRP 密鑰,因此它可以反轉 PRP 以確定對手的有效輸入。PRF 不允許這樣做,儘管 PRF 對於從第 31 頁開始的協議的半誠實變體來說確實足夠了。