如果 Blum Blum Shub 被修改為使用素數模數，它仍然安全嗎？

Blum Blum Shub 加密安全偽隨機數發生器的定義是 $ x=x^2 \mod N $ 在哪裡 $ N=p \times q $ , $ p \in \mathbb P $ ， 和 $ q \in \mathbb P $ . 據說，安全性來自不知道攻擊因素的攻擊者 $ N $ ，但為什麼我不能簡單地使用一個素數呢？

我建議你閱讀關於生成器的論文，因為那裡已經回答了這個問題： A Simple Unpredictable Pseudo-random Number Generator , Blum, Blum, Shoup, 1986

他們在那裡沒有對所謂的“狀態妥協擴展”的任何正式表達，但他們已經在第6節中說明了。 $ 1/p $ 在第 6 頁上可以預測生成器正是使用素數模數的情況。

他們的主要觀點是：是的，它可能看起來不錯並且具有不錯的屬性，但是您可以“在序列中向前和向後計算大約 $ 2|p| $ 資訊的數字。”

有關更多詳細資訊，我建議閱讀論文。

另一個原因是秘密種子的順序 $ x_0 $ 是一個除數 $ p-1 $ . 在 RSA 模數的情況下，順序是未知的，並且會導致問題的難處理性。這個假設可以為攻擊者提供一個優勢來建立一個區分器，假設 $ x_i=x_0^{2^i} $ .

引用自：https://crypto.stackexchange.com/questions/22895