提取 PRNG 的初始种子值？

Question

我最近读到，如果您满足以下条件，您就可以预测 PRNG 的结果：

1. 知道正在使用什么算法。
2. 具有连续的数据点。

是否可以仅根据数据点找出用于 PRNG 的种子？

Answer 1

我设法找到了 Kelsey et al 的论文，其中详细介绍了不同类型的攻击，并总结了一些现实世界的例子。似乎大多数攻击都依赖于与针对密码系统的类似技术，并且在大多数情况下实际上利用了密码系统中使用 PRNG 的事实。

Answer 2

当然，“足够”的数据点是 PRNG 生成的绝对第一个数据点，没有间隙。大多数 PRNG 函数都是可逆的，因此只需向后操作，您就应该获得种子。

例如，典型的returnseed=(seed*A+B)%N 具有returnseed=((seed-B)/A)%N 的逆。

Answer 3

从理论上讲，如果您被“允许”暴力破解种子的所有可能值，并且您有足够的数据点表明只有一个种子可以产生该输出，那么从理论上讲，这总是可能的。如果 PRNG 是用时间作为种子的，并且您大致知道发生的时间，那么这可能会非常快，因为没有太多可信的值可供尝试。如果 PRNG 的种子来自具有 64 位熵的真正随机源的数据，那么这种方法在计算上是不可行的。

是否还有其他技术取决于算法。例如，对 Blum Blum Shub 执行此操作相当于整数分解，这通常被认为是一个困难的计算问题。从这个意义上说，其他更快的 PRNG 可能不太“安全”。任何用于加密目的的 PRNG（例如在流密码中）几乎都需要没有已知的可行方法来实现。