Skipping first outputs of the stream cipher

I remember reading somewhere that sometimes in some stream ciphers it is necessary to skip the first values they produce. I can't find any information on this right now.

But it seems to make sense. Just as a hash function needs to do many rounds before it returns a random result, the CSPRNG needs some number of iterations so that seed and key information cannot be obtained from the first results.

How do you determine how many iterations this must be? Or are there other ways to solve this problem? For the results to be random from the first iterations it would be enough to have proper initialization with a random key and seed (which can also be treated as a key). But I don't think this solves the problem of first generator results. You can still read some key properties from those first results, exactly as if you didn't do enough rounds in the hash function.

PS My idea to test how many iterations we have to skip is to treat the CSPRNG as a hash function with a key and feed it by numbers $1,2,3,...$ as a seed with some keys, especially specially selected to make them appear weak (but also with random keys). Then see if such a hash function passes statistical tests, such as PractRand. This would be a minimum condition. It still does not preclude that there will be methods of sophisticated cryptographic attacks that will pick out bits of the key from the numbers looking for PractRand as random numbers.

Большинство традиционных потоковых шифров имеют состояние $S=(s_1,\ldots,s_n)$ размера $n$ биты, функция обновления состояния $\фи:S\стрелка вправо S$, который инициализируется случайным материалом ключа, скажем $S_0=(k_1,\ldots,k_n)$ и итерация состояния $S_{t+1}=\фи(S_t),$ за $t=1,2,\ldots.$ Они также имеют функцию вывода $f:S\стрелка вправо\{0,1\}^\ell,$ который выводит $\ell$ биты сразу. Обычно мы можем иметь $\ell=1,$ или же $\ell=8.$

Таким образом, требуется определенное количество итераций, чтобы любые легко вычисляемые корреляции из ключевого материала рассеялись в наблюдаемой последовательности ключевого потока. $f(S_t),f(S_{t+1}),\ldots$ (при условии известного зашифрованного текста или известного открытого текста и аддитивного шифра, в котором открытый текст подвергается операции XOR с потоком ключей).

Традиционно отображение $\фи$ был в форме $$ \phi(s_1,\ldots,s_n)=(s_2,\ldots,s_n,s_{n+1}),\quad s_{n+1}=g(s_1,\ldots,s_n) $$

из соображений эффективности, как в сдвиговых регистрах. Таким образом, вам понадобится постоянное кратное $n$ итераций перед фактическим использованием ключевого потока.

Как и в комментариях, в современных потоковых шифрах ряд мер, таких как использование IV или Nonce, или использование различных режимов работы потоковых шифров, позволяет использовать ключевой поток сразу, ничего из него не выбрасывая. Например, если IV является случайным и независимым от ключа и имеет ту же длину в битах, что и состояние, и оно подвергается операции XOR в начальном состоянии (при этом будучи общедоступным), это имеет эффект отбеливания и делает ключевой поток независимым от ключа.