Dual_EC_DRBG 中的後門究竟可以實現什麼？

假設某個實體確實持有與 Dual_EC_DRBG 的推薦/可疑常量相對應的私鑰。

根據這個介紹，他們將能夠僅從 32 個字節的隨機輸出重構內部狀態，從而預測所有未來的輸出。

後門是否也允許恢復 RNG 的先前輸出，或者在這種情況下是否仍然存在對狀態妥協擴展的抵抗？

狀態更新需要 $ s $ 到 $ x(sP) $ ，因此您必須計算 d.log.s 才能向後執行狀態。

引用自：https://crypto.stackexchange.com/questions/10319