证明:
构造一个Π‘=(Gen', Mac', Vrfy'),其与上面构造的消息认证码的区别是使用一个真正的随机函数 f 代替 F。
假设有一个用于区分 F 和 f 的区分器D,它将上面图片中进行伪造实验的PPT上的敌手 A 作为自己的子程序:当敌手查询 m 对应的标签时,区分器 D 计算 t := O(m),并将其返回给敌手A。将敌手查询的明文集合记为Q;当敌手发送明文-标签对(m, t)进行认证的时候,区分器 D 当且仅当t := O(m) 且 m∉Q 的时候才输出 1。
所以通过上面的策略可以得出:
而因为F是伪随机函数,所以有:
所以Π=(Gen, Mac, Vrfy)是安全的。