加密安全的 PRNG从攻击者未知的初始状态（通常称为“种子”）开始。我们可以将状态视为n位的序列。从该状态开始，PRNG 确定性地工作并输出大量位，内部状态不断更新。

有一种理论上可以应用于所有 PRNG的通用攻击，称为“穷举搜索”或“蛮力”：即尝试种子的所有可能值，直到找到与观察到的输出匹配的值。这种攻击的成本平均为2 ^{n-1 次}“尝试”（平均而言，您必须尝试一半可能的种子值，然后才能找到正确的值）。通过使n足够大以至于2 ^n-1是一个大得离谱的值，这种通用攻击被挫败了。好的算法传统上使用n = 128或更多，这已经足够大了。

当然，对于 2 位初始状态，穷举搜索非常快：只有 4 个种子值是可能的！

所以我们需要一个大的初始状态。困难的部分是设计一个 PRNG，这样通用攻击也是最好的攻击；即，没有使用 PRNG 结构的“捷径”，它允许有效地修剪出大部分候选种子，而无需全部尝试。这很难，并且没有得到数学理论的充分证实：从数学上讲，没有证据表明安全的 PRNG 甚至可以存在；所以我们把很多“加扰操作”放在一起，将数据混合在一起，我们希望能做到最好。更难的是设计这样的混合物，以使结果不仅安全而且快速。目前，我们能做的最好的事情就是让一些密码学家在设计中投入大量思考，然后将其提交给许多其他试图破解它多年的密码学家。幸存的设计被认为是“可能安全的”。见eSTREAM 产品组合为此付出了努力。

我现在认为，只要我们有内存来存储这些映射，我们就不会实现任何随机性扩展。

如果您只期望 PRG 的 4 位输出，那么您是正确的。

记住安全 PRG 的定义——给定两个输入，一个是真正随机的，一个是使用 PRG 生成的，不存在可以有效区分这两者的对手。

给定一个可以产生任意 n 位长度输出的 PRG，这在流密码中很常见，我认为您严重低估了完全映射 PRG 的所有可能输出所需的存储量。