Как АНБ внедрило закладку в генератор псевдослучайных чисел

Генератор «от АНБ» основан на эллиптических кривых. Не надо их бояться, тем более что суть алгоритма и закладки можно описать более простыми словами. Будет не сложнее, чем понять как работает протокол Диффи — Хеллмана
Поехали

Алгоритм

1. Предлагает нам взять простое число p и два числа g,h которые оба меньше, чем p.
2. Говорит нам, что его состояние в любой момент времени можно описать положительным числом s меньшим, чем p
3. Чтобы выполнить один шаг алгоритма, нужно установить r=g^smod p, s′=g^rmod p
4. Текущее состояние установить в s′
5. Выход алгоритма t=h^rmod p