1 简介

Trivium / Grain 这类基于 LFSR 的硬件流密码，本质上是在“工程上无限逼近一次一密（OTP）的统计与使用条件”，而不是在信息论意义上真正实现 OTP。

本文分层讲清楚 “它们是如何接近一次一密的工程需求”，以及具体在硬件中怎么落地。

2 一次一密真正“要求什么”

真正的信息论安全 OTP 需要同时满足：

密钥是真随机的

密钥长度 ≥ 明文长度

密钥只使用一次

密钥绝不泄露

• 第 2 条和第 3 条在工程中几乎不可实现

所以工程密码学的目标是：

用短密钥 + 可控状态机，生成**“足够像随机的一次性密钥流”**

这就是流密码的存在意义。

3 LFSR 流密码在“结构上”如何逼近 OTP

• OTP = 明文 ⊕ 真随机密钥流

流密码 = 明文 ⊕ 伪随机密钥流

工程目标变成：

让攻击者在可计算资源下 无法区分

真随机流

LFSR 生成的密钥流

这叫：

计算不可区分性（computational indistinguishability）

4 LFSR 单独为什么不安全（关键前提）

你肯定知道这一点，但这里点明逻辑：

单一 LFSR：

线性

可用 Berlekamp–Massey 恢复

输出完全可预测

所以 Trivium / Grain 从来不是“一个 LFSR”，而是：

多个 LFSR + 非线性耦合 + 状态隐藏

5 Trivium / Grain 是如何“工程逼近 OTP”的

我用 4 个工程维度 来拆解。

• 密钥扩展：短密钥 → 长“伪一次性密钥流”
  工程策略

用：

80/128-bit Key

80/96-bit IV

初始化 200+ bit 内部状态

经过 上百轮 warm-up（不输出）

** 工程含义：**

初始状态与 key/IV 强非线性绑定

攻击者无法反推出初态

相当于把短 key “摊平”成一大段状态空间

• 状态巨大 + 周期极长（模拟“一次性”）

以 Trivium 为例：

内部状态：288 bit

理论周期：≈ 2²⁸⁸ − 1（远超任何实际数据量）

工程含义：

在现实世界中，你永远不会用完一个周期

所以：

不会重复 keystream

不会出现 OTP 中“密钥复用”的灾难性问题

4 非线性输出函数（打破线性分析）

Trivium 的关键设计：

      t1 = s66 ⊕ s93
      t2 = s162 ⊕ s177
      t3 = s243 ⊕ s288

      z = t1 ⊕ t2 ⊕ t3

但每个 t 都包含：

AND + XOR + 移位反馈

** 工程目的：**

阻断：

线性递推

代数解

相关攻击

让输出位对内部状态高度敏感

类似“硬件友好版的混沌扩散”

• IV 的存在 = 工程版“一次一密”

这是最关键、最像 OTP 的地方。

工程做法：

同一个 Key

每次通信换一个 IV

重新初始化流密码状态

效果等价于：

同一主密钥下，生成互不相关的一次性密钥流

这在工程上等价于：

Keystream = PRG(Key || IV)

只要：

IV 不重复

初始化不可逆

等价于 OTP 的“只用一次”要求

6 为什么特别适合硬件（而不是软件）

这是 LFSR 流密码的工程优势所在。

硬件层面优势：

    特性  						工程价值
    只用 XOR / AND / Shift    超低功耗
    无 S-box / 查表    	无 cache side-channel
    固定时序    			抗 timing attack
    可并行 					高吞吐

所以它们常被用在：

RFID

IoT

智能卡

卫星通信

军工嵌入式链路

• 它们“逼近 OTP”的边界在哪里（非常重要）

它们不是信息论安全，因为

Key 固定

状态有限

理论上可穷举

但它们是：

在现实计算资源限制下，
攻击者无法区分是否使用了 OTP

这正是现代密码学的目标。

7 小结

Trivium / Grain 的工程哲学是：

巨大内部状态，强非线性反馈，IV 隔离每次会话，永不重复的 keystream

在可实现的硬件成本内，最大限度模拟“一次一密的使用效果