為什麼不輸出 LFSR 的狀態？

根據維基百科， LFSR 被用作 PRG，但由於它們的線性，它們很容易進行密碼分析。此外，使用Berlekamp-Massey連續輸出位允許重建內部 LFSR 狀態（我認為規則類似於 $ 2n $ 狀態大小的位 $ n $ ).

現在我的問題是一個更加褻瀆的問題。鑑於下圖說明了 LFSR 的工作原理，它不是簡單地輸出其狀態，因此變得可以輕鬆預測嗎？

LFSR 作為密碼的建構塊非常有用，它引入了一些非線性。例如，Trivium 是一種非常強大且快速的密碼，它在 3 個耦合的 LFSR 中包含少量的二次非線性。

LFSR 使用不當的一個例子——絕不是唯一一個——是 GSM 成名的 A5 系列密碼，其中多數時鐘不包括足夠的非線性/不可預測性。

引用自：https://crypto.stackexchange.com/questions/43270