为什么伪随机置换被用于基于仿真的证明，而伪随机函数却不是？

Question

在本文中：

https://eprint.iacr.org/2011/272.pdf

作者在协议和证明中使用了peudorandom置换，而不是伪随机函数。在第31页(最后两行)，它们说：

“我们还注意到，为了模拟的目的，我们需要使用伪随机排列而不是任何伪随机函数。”

问题:为什么我们可以在模拟中使用伪随机排列，而不能使用伪随机函数呢？

Answer 1

我碰巧与其中一位作者交谈，并询问了这件事。简短的回答是:最终，在第34页上，他们正在考虑一个恶意的对手。模拟器必须提取对手的有效输入，但它只知道对手发送的消息，在这种情况下，这些消息只是PRP输出。仿真器知道PRP密钥，从而可以反演PRP来确定对手的有效输入。PRF不允许这样做，尽管PRF对于第31页开始的协议的半诚实的变体来说确实足够了。