Кац и Линделл упоминают в своей книге, что LFSR были ужасны в качестве основы для псевдослучайных генераторов, и выступают за то, чтобы они больше не использовались (ну, они также рекомендуют людям использовать блочные шифры вместо потоковых шифров). Но я вижу, например, что один из шифров в портфеле estream ( Grain , предназначенный для аппаратного обеспечения) использует LFSR, поэтому мнение о том, что LFSR не годятся, не является консенсусом.
Я хотел бы знать, много ли криптологов разделяют мнение Каца и Линделла о LFSR (и о потоковых шифрах)?
Ответы:
Существует много типов криптоаналитических атак: линейные аппроксимации, алгебраические атаки, атаки с обменом времени, памяти и данных, атаки с ошибками .
Например, вы можете прочитать опрос: « Алгебраические атаки на потоковые шифры (опрос) »
Аннотация : Большинство потоковых шифров на основе регистров сдвига с линейной обратной связью (LFSR) уязвимы для недавних алгебраических атак. В этой обзорной статье мы описываем общие атаки: существование алгебраических уравнений и быстрые алгебраические атаки. ...
В конце вы можете найти другие соответствующие ссылки.
Еще одна хорошая статья о атаках сбоев на потоковые шифры: « Анализ сбоев потоковых шифров »
Аннотация : ... Наша цель в этой статье - разработать общие методы, которые можно использовать для атаки на стандартные конструкции потоковых шифров на основе LFSR, а также более специализированные методы, которые можно использовать против конкретных потоковых шифров, таких как RC4, LILI. -128 и SOBERt32. В то время как большинство схем могут быть успешно атакованы, мы отмечаем несколько интересных открытых проблем, таких как атака на фильтрованные конструкции FSM и анализ больших отказов Хэмминга в LFSR.
Для атак компромисса между временем и памятью вы можете прочитать: « Криптоаналитические компромиссы времени / памяти / данных для потоковых шифров ».
источник
Кац и Линделл рекомендовали не использовать сами LFSR в качестве псевдослучайных генераторов. Тем не менее, возможно создать псевдослучайный генератор, используя LFSR в сочетании с другими механизмами. (В частности, PRG на основе LFSR должны включать в себя некоторый нелинейный компонент.)
источник