加密安全 PRBG 和前一位測試

我正在閱讀Junod關於 Blum-Blum-Shub PRBG (BBS) 的論文，我無法按照他在第 15 頁的推理，他認為也可以對位序列中的前一位執行下一位測試 $ b_0b_1 \ldots b_k $ ，即攻擊者也可以嘗試預測 $ b_{-1} $ . 如果我正確理解他，他認為這很明顯，因為下一位測試等同於多項式時間統計測試，後者顯然對給定位序列的反轉無動於衷。

但我不明白這應該如何適用，因為（在我看來）隨機數生成器在任何情況下都只能建構“在一個方向上無限延伸”的序列，因為它們必須有某種起點和前一個位測試不能應用在起始位 $ b_0 $ ，因為沒有前一位。所以 wgat 是 $ b_{-1} $ 應該是什麼意思？

你能給我解釋一下嗎？

如果您只有一個不包含第一位的輸出子序列，則可以標記子序列的位 $ b_0 $ , $ b_1 $ , $ \dots $ . 然後將標記從中獲取它們的整個序列的位 $ \dots $ , $ b_{-1} $ , $ b_0 $ , $ b_1 $ , $ \dots $ .

換句話說，您不必在生成器輸出的開頭開始標記位，而是在稍後的某個時間點開始標記位。在這種情況下，存在前一位，並且適用前一位測試。

引用自：https://crypto.stackexchange.com/questions/84059