線形フィードバックシフトレジスタは、暗号学者によって一般的に推奨されていませんか？

KatzとLindellは彼らの本の中でLFSRが疑似ランダムジェネレーターの基礎としてひどいものであり、もう使用されていないことを主張しています（まあ、彼らは人々がストリーム暗号の代わりにブロック暗号を使用することも推奨しています）。しかし、たとえば、estreamポートフォリオ（ハードウェアを対象とするGrain）の暗号の1つがLFSRを使用しているため、LFSRが適切でないという意見はコンセンサスではありません。

LFSR（およびストリーム暗号）に関するKatzとLindellの意見を共有する多くの暗号学者がいるかどうか知りたいですか？

soft-question cr.crypto-security pseudorandom-generators

— ジェイ
ソース

タイトルの質問と投稿の本文の質問は対立していると思います。私は暗号学者ではありませんが、タイトルに「はい」、投稿本文の質問に「いいえ」と答えます。調和のとれた質問が1つだけになるように質問を改善できますか？

— タイソンウィリアムズ

これがcstheoryのトピックであるかどうかは100％わかりませんが、crypto.SEでより適しているかもしれません。

— Artem Kaznatcheev

@Artem Kaznatcheev：私はcrypto.SEについて知りませんでした。私の評判は質問を移行するのに十分ではないと思いますが、移行したとしてもかまいません。（crypto.SEは実装の問題だけではないと思います）

— Jay

@Artem、私見、質問はcstheoryの範囲にあります。私は暗号化の専門家ではありませんが、一般的に人々は実際には基礎のない多くのことを行います。たとえば、単純な関数はプログラムの疑似乱数ジェネレータとして使用されますが、実際には疑似乱数ではなく、簡単に予測できます。Jay、KatzとLindellがLFSRを使用すべきではないと言う理由について知りたい場合は、cstheoryが問題の適切な場所です。一方、コンセンサスがあるかどうかを尋ねるのは良い質問ではありませんが、答えは明白です。つまり、ありません。また、投票の質問は建設的ではありません。

— カヴェ

@ジェイ、私は彼らがよく理解されていないということは、それらがもっともらしい硬さや暗号の仮定に基づいていないことを意味していると思います。Charles Rackoffの講義ノートを確認することをお勧めします。彼がこの問題について何か言ったことを覚えています（ただし、彼の講義ノートにあるかどうかはわかりません）。

— Kaveh

回答:

暗号解読攻撃には多くの種類があります。線形近似、代数攻撃、時間メモリデータトレードオフ攻撃、フォールト攻撃などです。

たとえば、調査を読むことができます：「ストリーム暗号の代数的攻撃（調査）」

要約：線形フィードバックシフトレジスタ（LFSR）に基づくほとんどのストリーム暗号は、最近の代数的攻撃に対して脆弱です。この調査論文では、一般的な攻撃、つまり代数方程式の存在と高速代数攻撃について説明します。...

最後に、他の関連参照を見つけることができます。

ストリーム暗号へのフォールト攻撃に関するもう1つの優れた論文は、「ストリーム暗号のフォールト分析」です。

要約：...このホワイトペーパーの目標は、LFSRに基づくストリーム暗号の標準構造を攻撃するために使用できる一般的な技術と、RC4、LILIなどの特定のストリーム暗号に対して使用できるより専門的な技術を開発することです。 -128およびSOBERt32。ほとんどのスキームは攻撃に成功する可能性がありますが、FSMでフィルタリングされた構造への攻撃やLFSRの高ハミング重み障害の分析など、いくつかの興味深い未解決の問題を指摘します。

時間とメモリとデータのトレードオフ攻撃については、「ストリーム暗号の暗号化時間/メモリ/データのトレードオフ」を参照してください。

— マルツィオデビアシ
ソース

ありがとうございました！これらの論文は間違いなく役に立つでしょう。

— Jay

KatzとLindellは、LFSR を単独で疑似ランダムジェネレーターとして使用しないことを推奨していました。ただし、他のメカニズムと組み合わせてLFSR を使用して疑似ランダムジェネレーターを構築することは可能かもしれません。（特に、LFSRに基づくPRGには、いくつかの非線形コンポーネントを含める必要があります。）

— user686
ソース