问BBS是否用于生成现代密码系统的密钥？

EN

我不知道任何使用BBS的实现。我希望没有一个重要的系统使用BBS。对于实际应用来说，BBS是一个糟糕的选择。它唯一的好处是它附带了一些安全证明--但事实证明，这些证明对于BBS的所有实际实例化(对于真实的参数设置)都是无用的，因此它们在实践中几乎是无关紧要的。详情请参见Blum Blum Shub诉AES-CTR或其他CSPRNG。

我不知道这个建议的任何实现，但它应该是安全的:通常，在理论上设计密码系统时，人们假设访问一个好的(伪)随机源，而没有精确地说明它的性质。当然可以使用Blum-Blum-Shub生成器，但是必须注意的是，它的模数和初始状态是以一种安全的方式选择的:生成的随机序列和种子一样弱，所以这样做的系统必须能够访问一个很好的熵源，您可以用它来代替。如果这是不可取的(例如，当熵源产生比特非常慢或初始化后变得不可用时)，使用任何密码安全的伪随机数生成器扩展初始高熵种子应该是好的。然而，与其他发电机(例如，Keccak/SHA3 3)相比，Blum-Blum-Shub的速度非常慢，这很可能是这种设计没有用于Blum-Blum-Shub的原因。