證明 CSPRNG 的均勻輸出

我有一個關於 Blum、Blum 和 Shub 介紹的論文的問題 $ x^2 \mod N $ 發電機。很明顯，生成器的輸出通過了隨機性統計測試： $ N $ 值越均勻，輸出看起來越均勻，迭代次數越多。但我不清楚作者如何證明生成器的輸出是均勻隨機的。也就是說，對我來說，證明在給定目前狀態的情況下確定先前狀態的難度意味著生成器的輸出是一致隨機的，這對我來說並不明顯。

任何人都可以帶我看一下證明的草圖，證明生成器的輸出是均勻隨機的，因此生成器可以證明是安全的？

如果素數 $ p $ 和 $ q $ 是：

1. 適當選擇（請參閱此處的原始論文摘要）和
2. 足夠大（使用 NFS 分解複雜性來確定它們應該有多大）

然後要區分非均勻性，基本上必須考慮 $ N=pq. $ 然而，正如@Maeher 在評論中所說，這只是漸近地成立。

引用自：https://crypto.stackexchange.com/questions/79571