Pseudozufällige Funktion

Eine pseudozufällige Funktion ist eine Familie von effizient berechenbaren Funktionen, die von einem Zufallsorakel praktisch ununterscheidbar sind. Jede Blockchiffre kann formal als pseudozufällige Funktion aufgefasst werden, die durch kryptografische Schlüssel parametrisiert ist.^[1]

Pseudozufällige Funktionen werden definiert als eine Familie von Funktionen ${\displaystyle F:K\times X\to Y}$ zwischen nichtleeren, endlichen Mengen ${\displaystyle K}$, ${\displaystyle X}$, ${\displaystyle Y}$, welche durch einen effizienten Algorithmus, üblicherweise eine deterministische Turingmaschine mit polynomieller Laufzeit und Speicher, berechnet wird. Für jeden Schlüssel ${\displaystyle k\in K}$ ist also durch ${\displaystyle F_k(x)=F(k,x)}$ eine Abbildung ${\displaystyle F_k:X\to Y}$ gegeben. Die maximale Anzahl aller möglichen Abbildungen von ${\displaystyle X}$ nach ${\displaystyle Y}$ ist gleichzeitig die obere Schranke für die maximale Schlüsselanzahl (d. h. ${\displaystyle |K|}$).

Ein Zufallsorakel ist ein Algorithmus, der für jede Eingabe aus ${\displaystyle X}$ eine (gleichverteilt) zufällig gezogene Ausgabe aus ${\displaystyle Y}$ zurückgibt, mit der Einschränkung, dass ein einmal bestimmter Funktionswert festliegt, also bei gleicher Anfrage auch die gleiche Antwort gegeben wird. Eine solche Funktionsfamilie F heißt pseudozufällig, wenn jeder effiziente Algorithmus, für ein (gleichverteilt) zufällig gezogenes und ihm nicht bekanntes ${\displaystyle k}$, zwischen ${\displaystyle F_k}$ und einem Zufallsorakel nur vernachlässigbar (in ${\displaystyle k}$) besser unterscheiden kann als durch Raten.^[1]

Durch Goldreich, Goldwasser und Micali^[2] wurde gezeigt, dass es möglich ist, aus einem kryptographischen Pseudozufallsgenerator eine pseudozufällige Funktion zu konstruieren. Umgekehrt kann auch eine solche pseudozufällige Funktion verwendet werden, um einen Pseudozufallsgenerator zu konstruieren, indem mehrere Auswertungen einer pseudozufälligen Funktion konkateniert werden.