Câu hỏi về việc sử dụng PRF để xây dựng PRG
Gọi F là một hàm giả ngẫu nhiên an toàn với khóa 128 bit và độ dài khối 256 bit. Chức năng nào sau đây G là trình tạo giả ngẫu nhiên an toàn? (Chọn tất cả các câu phù hợp.)
A. $G(x)=F_x(0...0)$, Ở đâu $x$ là một $128$-bit đầu vào.
B. $G(x)=F_x(0...0)|| F_x(0...0)$, Ở đâu $x$ là một $128$-bit đầu vào.
C. $G(x)=F_x(0...0)||F_x(1...1)$, Ở đâu $x$ là một $128$-bit đầu vào.
D. $G(x)=F_{0...0}(x)|| F_{1...1}(x)$, Ở đâu $x$ là một $256$-bit đầu vào.
Câu trả lời mà giáo viên của chúng tôi đưa ra là $A,D$. Nhưng tôi không hiểu. Và Tại sao C sai?
Trả lời
Chúng tôi không trực tiếp trả lời các câu hỏi bài tập về nhà, nhưng sẽ đưa ra các gợi ý.
Kẻ tấn công được cho là có quyền kiểm soát tất cả các đầu vào không bí mật. Chìa khóa là bí mật, khối thì không. Câu trả lời này có một định nghĩa tốt về PRG: nói một cách đơn giản, PRG là một hàm nhận một chuỗi bit đầu vào bí mật có độ dài cố định và xuất ra một chuỗi bit dài hơn mà không thể phân biệt được với một chuỗi bit ngẫu nhiên với xác suất không đáng kể.
A. $G(x)=F_{x}(0...0)$, trong đó x là khóa đầu vào 128 bit.
Kẻ tấn công có kiểm soát bất kỳ đầu vào nào không? Kẻ tấn công có thể phân biệt đầu ra với đầu ra của một hàm ngẫu nhiên với xác suất không đáng kể (tức là có bất kỳ mẫu nào có thể quan sát được trong đầu ra) không? Đầu ra có dài hơn đầu vào không?
Biến đầu vào duy nhất là khóa bí mật. Không có mẫu bổ sung nào được thêm vào đầu ra. Đầu ra là bao lâu?
B. $G(x)=F_{x}(0...0)||F_{x}(0...0)$, trong đó x là khóa đầu vào 128 bit.
Câu hỏi tương tự.
Biến đầu vào duy nhất là khóa bí mật. Đầu ra lặp lại một số trình tự hai lần. Đầu ra là bao lâu?
C. $G(x)=F_{x}(0...0)||F_{x}(1...1)$, trong đó x là khóa đầu vào 128 bit.
Câu hỏi tương tự.
Biến đầu vào duy nhất là khóa bí mật. Đầu ra có thêm bất kỳ mẫu nào không? Đầu ra là bao lâu?
D. $G(x)=F_{0...0}(x)||F_{1...1}(x)$, trong đó x là khối dữ liệu đầu vào 256 bit.
Câu hỏi tương tự.
Biến đầu vào duy nhất là một khối dữ liệu công khai. Đầu ra có thêm bất kỳ mẫu nào không? Đầu ra là bao lâu?
Có một tùy chọn bị thiếu để tiếp tục mô hình: E. $G(x)=F_{0...0}(x)||F_{0...0}(x)$, trong đó x là khối dữ liệu 256-bit công khai.
Nếu bạn có thể trả lời AD, E phải là tầm thường.