卡兹(Katz)和林德尔(Lindell)在他们的书中提到,LFSR作为伪随机生成器的基础是可怕的,并主张不再使用它们(嗯,他们还建议人们使用分组密码而不是流密码)。但是,例如,我看到estream产品组合中的一种密码(针对硬件的Grain)使用LFSR,因此关于LFSR不好的观点并没有达成共识。
我想知道是否有很多密码学家分享Katz和Lindell对LFSR(以及流密码)的看法?
1
我认为标题中的问题和帖子正文中的问题是矛盾的。尽管我不是密码学家,但是我会在帖子正文中对标题说“是”,对问题说“否”。您能否改善您的问题,使其只有一个和谐的问题?
—
泰森·威廉姆斯,
我不是100%确定cstheory是否是主题,它可能更适合crypto.SE。
—
Artem Kaznatcheev
@Artem Kaznatcheev:我不了解crypto.SE。我相信我的声誉不足以解决这个问题,但是我不介意它是否已经解决了。(我想crypto.SE不仅与实现问题有关)
—
Jay
@Artem,恕我直言,问题是在理论范围内。我不是加密专家,但是通常人们在实践中会做很多没有基础的事情,例如,简单的函数在程序中用作伪随机数生成器,但它们并不是真正的伪随机数,可以轻松预测。杰伊(Jay),如果您想知道卡兹(Katz)和林德尔(Lindell)说不应该使用LFSR的原因,那么问题是正确的。另一方面,问是否达成共识不是一个好问题,答案是显而易见的,即没有。同样,轮询问题也不具有建设性。
—
卡夫
@杰伊,我想它们不被充分理解的意思是它们并非基于合理的硬度或加密假设,即,关于其坚不可摧性的论点不强。您可能想查看Charles Rackoff的讲义,我记得他对这个问题说过一些(但是我不确定他的讲义中是否有)。
—
卡夫