知道克（秒）G(s)G(s)是PRG，是下面的構造G′(s)=G(s||0)G′(s)=G(s||0)G’(s) = G(s||0)一個PRG？

我知道已經有一個非常相似的問題。但是，我不明白為什麼 $ G’(s) $ 不是PRG。如果 $ G(s) $ 是PRG，那為什麼 $ G(s||0) $ 不能也是PRG嗎？怎麼能分配過來 $ G(s||0) $ 區別於同一輸出範圍的真正均勻分佈？

知道 $ G(s) $ 是PRG，是下面的構造 $ G’(s) = G(s||0) $ 一個PRG？

也許。

如果 $ G(s) $ 是PRG，那為什麼 $ G(s||0) $ 不能也是PRG嗎？

$ G’ $ 可以“也可以是 PRG”。（它不一定也是PRG。）

怎麼能分配過來 $ G(s||0) $ 與相同輸出範圍的真正均勻分佈區分開來？”

$ G $ 可以使得其輸出的最後一位總是等於其輸入的最後一位。

不，假設存在一個 PRG G ，那麼你可以構造另一個 PRG H ， H 定義如下： $ H(s_1,,,,s_n)=G(s_1||s_2||…||s_{n-1})||s_n $ ，你可以證明H確實是PRG，所以如果你在上面的構造中使用H而不是G，你會得到最後一位總是0，這顯然不是PRG。

引用自：https://crypto.stackexchange.com/questions/27222