Balloon Hash算法中δ邻域的选择

Question

参考文件：https://eprint.iacr.org/2016/027.pdf

根据附录D第4节的定义27

V中的每个顶点都有独立且一致地从集合U中随机采样的前辈。

从3.1步骤2b中的伪码和在GitHub hash_state_mix()上给出的参考代码来看，这是由作者实现的，是某种形式的从哈希函数中抽取比特；然而，我的问题是，这能很容易地用Mersenne完成吗?还是还有另一个需要哈希的原因呢？

Answer 1

如果您使用Mersenne twister或任何其他非加密PRNG，那么可以想象，对手可以利用Mersenne twister输出中的某些模式来找到反转结果哈希的快捷方式。密码PRNG的设计使得尽管经过几十年的努力，密码分析人员仍然无法在它们的输出中找到甚至可以检测到的任何模式，更不用说在上下文中可利用了。

别用梅森龙卷风！作为一个非加密的PRNG，它也是不好的，因为它初始化起来很昂贵，并且需要一个多千字节的状态，因此它不鼓励并行性和可复制的计算子树。