基于GF的PRNG？

Question

有没有基于伽罗瓦域的伪随机数发生器？AES随机性的来源在于GF，因此GF应该能够产生随机比特。

为什么没有这样的发电机？

Answer 1

有几个发电机使用有限域。布卢姆布卢姆直接使用一个，但是非常慢。AES-CTR-DRBG是一个CSPRNG，在CTR模式下使用AES-128，从而间接地使用有限域。它的速度足够实际使用，特别是与硬件加速AES指令，许多现代处理器。

Answer 2

我不明白你所说的AES随机性的来源在于G(alois) F(ield)。

域是代数结构，它没有随机性。你可以想到经典信息论的随机性，这是一个概率源的性质。该源用于生成一个种子，该种子可以被视为该字段的一个元素，并根据该字段的代数结构进行更新映射。

即使你想用Kolmogorov的复杂性来衡量“随机性”，并且接受了一个二进制扩展Galois字段，并认为它的单个元素是位字符串，这些元素中的一些将有简短的描述，有些则不是，但字段只是一个被动的结构。

除了使用有限域的生成器的另一个答案中的好例子外，下面还使用了有限域：

1. 最大长度序列(m-序列)使用带有连接多项式的LFSRs，它是GF(2)上n度的本原多项式f(x)，状态的时钟对应于扩展字段GF(2^n)=GF(2)/(f(x))中的原语元素。
2. 您可以使用容易受到Berlekamp Massey攻击的m-序列，并将非线性布尔函数应用于某些状态位。利用Galois场证明了该滤波函数具有更安全的输出序列所需的非线性、弹性、代数免疫等特性。例如，请参见以下一些属性对这个问题的答案：https://crypto.stackexchange.com/questions/34946/how-are-boolean-functions-used-in-cryptography/
3. 您还可以使用多个LFSR并将非线性函数应用于它们的输出。与上文第2段相似的评论也适用。