BBS 是否用於為任何現代密碼系統生成密鑰？

是否有任何（目前）密碼系統或數字簽名或密碼原語使用 BBS PRG 來生成其密鑰？

我不知道任何使用 BBS 的實現。我希望沒有重要的系統在使用 BBS。BBS 在實際使用中是一個糟糕的選擇。它唯一的好處是它附帶了一些安全證明——但事實證明，這些證明對於 BBS 的所有實際實例化（用於實際參數設置）都是無用的，因此它們在實踐中幾乎無關緊要。有關詳細資訊，請參閱Blum Blum Shub 與 AES-CTR 或其他 CSPRNG。

我不知道這個提議的任何實現，但它應該是安全的：通常，在理論上設計一個密碼系統時，假設可以訪問一個好的（偽）隨機源而沒有精確指定它的性質。當然可以使用 Blum-Blum-Shub 生成器，但是必須注意以安全的方式選擇其模數和初始狀態：生成的隨機序列與種子一樣弱，因此執行此操作的系統必須能夠訪問良好的熵源，您可以使用它來代替. 如果這是不希望的（例如，當熵源產生比特非常緩慢或在初始化後變得不可用時），使用任何密碼安全的偽隨機數生成器拉伸初始高熵種子應該是好的。但是，與其他生成器（例如 Keccak/SHA3）相比，Blum-Blum-Shub非常慢，這可能是該設計在實踐中未與 Blum-Blum-Shub 一起使用的原因。

引用自：https://crypto.stackexchange.com/questions/21123