這是否一定意味著隨機性較差生成的 RSA 模不是隨機的？

2012年，一組研究人員收集了大量的RSA模數，併計算了它們的最大公約數，以求出它們之間的公因數。通過找到一個共同的因素，他們可以劃分並完全分解關鍵。他們得出結論，易受攻擊的模量是由隨機性不足的 PRNG 生成的。這是否一定意味著這些密鑰不是隨機的？

如果每個密鑰是通過選擇兩個具有所需長度的隨機素數生成的，那麼兩個密鑰具有共同素數的機會將非常小。如果我正在閱讀如何為 RSA 生成素數？正確地，大約有 2^502 個可能的 512 位素數（素數長度是模數長度的一半，因此 1024 位 RSA 密鑰將使用 512 位素數）。

由於已找到共享素數的鍵，並且隨機選擇的素數發生這種情況的機會非常小，唯一合理的結論是素數不是隨機選擇的。

差不多。

這些密鑰的素數是從具有不良熵的隨機數源生成的。熵實際上只是人類對事物不可預測性的衡量。負責常見 RSA 因素的熵源沒有足夠的“隨機東西”輸入給他們混在一起，所以他們輸出的數據在許多設備上往往是相同的。更多資訊

引用自：https://crypto.stackexchange.com/questions/9585