Blum Blum Shub PRG

Question

对于此类问题（为什么只使用最低阶的 N 位？），通常的答案是，它可以防止泄露太多有关 PRNG 内部状态的信息。

如果您在两个连续的状态下向攻击者提供完整的 X_n 状态，他们可以轻松地确定模量，从而计算出 PRNG 的所有未来状态。

也就是说，给定值 a = X_n 和 b = X_(n+1)，攻击者只需找到满足 b = a^2 mod M 的 M。只要 a^2 大于 M，我认为这应该很容易做到。如果 M 大于 a^2，则 b = a^2，攻击者需要不断询问数字，直到模数发挥作用。

Answer 1

对于此类问题（为什么只使用最低阶的 N 位？），通常的答案是，它可以防止泄露太多有关 PRNG 内部状态的信息。

如果您在两个连续的状态下向攻击者提供完整的 X_n 状态，他们可以轻松地确定模量，从而计算出 PRNG 的所有未来状态。

也就是说，给定值 a = X_n 和 b = X_(n+1)，攻击者只需找到满足 b = a^2 mod M 的 M。只要 a^2 大于 M，我认为这应该很容易做到。如果 M 大于 a^2，则 b = a^2，攻击者需要不断询问数字，直到模数发挥作用。

相关内容