我们能用PRF作为PRP吗？

Question

撇开如何计算PRF的逆问题不谈，我们可以把它也用作PRP吗？

当F的输入长度足够大时，请参见Katz和Lindell，命题3.27。然而，在实践中，从PRF建立一个PRP的人使用一个Feistel网络。这将解决使PRF可逆的问题。

抛开可逆性不谈，我想PRP \implies PRF的同样证明在这里是有用的。我说的对吗？

Answer 1

如果输出区域足够大以致在PRF中发生碰撞的概率可以忽略不计，则PRP和PRF的输出是不可区分的。因此，原则上，答案是肯定的-你可以自由交换(在上述条件下)。

话虽如此，但我不清楚为什么你会想要一个不可逆转的PRP而不是PRF。通常，PRF更适合密码学的构造，更容易分析和给出更好的界限，而且我们唯一使用PRP的时候是我们想要倒转的时候。在不需要反转的情况下，可能有一个使用PRP的例子，但我认为我从未见过(也无法真正想到它在哪里会有帮助)。