Это примерно как с RC4/ARCFOUR/как вы это называете.Он нравился многим криптографам. Потому что достаточно прост в реализации, быстрый, да еще и поточный к тому же - без всякой дури с блоками и выравниванием размера шифротекста на размер блока. Ну вот всем хорош, спортсмен, комсомолец, и вообще.
Отдельные криптографы однако были достаточно параноидальны и заметили что распределение шифротекста можно отличить от рандома получив примерно 16 мегов шифрованых данных.
А потом еще более пронырливые заметили что начало последовательности оказывается довольно сильно утекает инфо о ключе.
Тем временем... появился вайфай и там всем надо было простой и быстрый алгоритм крипто для шифрования линка. Неудивительно что WEP выбрал RC4. Некоторое время на вон тех выше все клали. Пока однажды кто-то не выкатил основанную на предыдущем факте практическую атаку на WEP, позволяющую минут за 10 крякнуть любую вафельницу с WEPом, закатив эпичный showcase. Там потом TKIP прокостылили, но и он не совсем без проблем. А кто-то придумал первые 1024 байта выхлопа пропускать, тогда и утечка ключей отпадает. Только при шифровании мелкого пакета нужда скипать 1024 итерации алгоритма почему-то убивает ту часть в которой он "быстрый".
Ну а когда атака вышла, несекурность RC4 конечно всем стала очевидна, когда весь вайфай вокруг кидисы похакали. Так то DOS и DONTS крипто понятнее всяким бакланам.
И ведь не скажешь что параноики не предупреждали. Предупреждали. Но на них решили забить. С известным результатом.