مولد اعداد شبه تصادفی

تجربه نشان می‌دهد خروجی‌های تولیدشده، به علت خطاهای موجود، راضی‌کننده نیستند و تعداد کمی از تست‌های آماری را به خوبی می‌گذرانند. می‌توان به تعدادی از این نقص‌ها، اشاره کرد؛

• برای بعضی از حالات اولیه، دوره تناوب کمتر از حد انتظار است.
• در دنباله‌های بزرگ تولیدشده، توزیع یکنواخت حاصل نمی‌شود.
• خودهمبستگی اعداد تولیدشده کاملاً محسوس است.
• فاصلهٔ بعضی مقدارهای خاص، در دنبالهٔ تولید شده، با حالت مشابه تصادفی خود، بسیار اختلاف دارد.

مولدهای اعداد شبه تصادفی نقص‌های زیادی داشتند از نقص‌هایی که زیاد قابل توجه نبود گرفته تا نقص‌های بسیار آشکار. برای مثال RANDU که یک الگوریتم تولید اعداد تصادفی است که دهه‌ها برای رایانه هایmainframe استفاده می‌شد. این الگوریتم نقص‌های فراوانی داشت، با این وجود برای مدت بسیاری طولانی این نقص‌ها کشف نشدند.

در بسیار از زمینه‌ها، تحقیقاتی قبل از قرن بیست و یکم صورت گرفت که در آنها به انتخاب تصادفی یا شبیه‌سازی مونت کارلو متکلی بوده‌اند یا به روش‌های دیگر وابسته به PRNGها بودند. در این موارد اطمینان بسیار کمتر از حالتی است که از PRNG (مولدهای اعداد شبه تصادفی)های بی کیفیت استفاده شود. حتی امروزه، برای احتیاط لازم است، هشداری که در زیر نشان داده شده‌است که در دایرةالمعارف بین‌المللی علوم آماری ۲۰۱۰ آمده‌است را نیز جدی گرفت.

مواردی از مولدهایی که باید بلااستفاده شوند و دور ریخته شوند بسیار بیشتر از مولدهایی های خوب است؛ بنابراین به فروشندگان نرام افزار بدون آگاهی اعتماد نکنید. RNG پیش فرض نرم‌افزار مورد علاقهٔ تان را بررسی کنید. همچنین در صورت نیاز برای تعویض آن آماده باشید. این توصیه بارها طی ۴۰ سال اخیر صورت گرفته‌است. امروز به‌طور شگفت‌آوری همان اندازه مرتبط و لازم است.

برای درک بهتر، زبان‌های برنامه‌نویسی را که به‌طور گسترده استفاده می‌شود را درنظر بگیرید. از سال ۲۰۱۷، جاوا هنوز برای تولید اعداد تصادفی، به یک مولد خطی سازگار (LCG)که کیفیت پایینی دارد، متکی است.

یکی از مولدهای اعداد شبه تصادفی شناخته شده برای جلوگیری از بروز مشکلات بنیادی و همچین داشتن قابلیت اجرای نسبتاً سریع، مرسن توئیستر (در ادامه مورد بحث است) بود که در سال ۱۹۹۸ منتشر شد. سایر مولدهای تولید اعداد شبه تصادفی که کیفیت بالاتری در جهات محاسبات و کارایی آماری داشتند، قبل و بعد از این تاریخ توسعه یافتند. این موارد را لیست مولدهای اعداد شبه تصادفی یافت.

در نیمهٔ دوم قرن بیستم، الگوریتم‌های کلاس استانداری که برای PRNGها استفاده می‌شد، مولدهای سازگار خطی را تشکیل می‌داد. کیفیت LCGها کافی نبود اما روش‌های بهتری نیز وجود نداشت.Press et al در سال ۲۰۰۷ نتایج را اینگونه توصیف می‌کند: «اگر تمامی مقالات عملی ای که به علت LCG‌ها و موارد مرتبط در شک و شبه هستند، ناپدید شوند، در هر قفسهٔ کتابخانه‌ها شکاف‌های بزرگی به‌وجود خواهد آمد.»

هنگامی پیشرفت اصلی در ساخت مولدهای اعداد شبه تصادفی به‌وجود آمد که تکنیک‌های مبتنی بر بازگشت خطی پدیدآمدند. چنین ژنراتورها مربوط به رجیسترهای تغییر فیدبک خطی هستند.

هنگامی پیشرفت اصلی در ساخت مولدهای اعداد شبه تصادفی به‌وجود آمد که تکنیک‌های مبتنی بر بازگشت خطی پدیدآمدند. آنها مولدهایی هستند که دارای ثبات (رجیستر)های تغییر بازخورد خطی اند.

به‌طور ویژه اختراع مرسن چرخان، در سال ۱۹۹۷، از بسیار از مشکلات مولدهای پیشین جلوگیری کرد. مرسن چرخان دوره ای از ${\displaystyle 2^{19937}-1}$

در سال ۲۰۰۳، جورج Marsaglia خانوادهٔ مولدهای xorshift را که مجدداً بر اساس بازگشت خطی بود معرفی کرد. چنین مولدهایی بسیار سریع هستند و به همراه عملیات‌های غیرخطی آزمایش‌های آماری قوی و سختی را پشت سر گذاشتند.

در سال ۲۰۰۶ خانوادهٔ مولدهای WELL توسعه یافتند. مولدهای خانوادهٔ well کیفیت مرسن توئیستر را در برخی جنبه‌ها بهبود دادند. Mersenne Twister دارای فضای حالتی بسیار بزرگ و سرعت بازیابی کمی بود که این بازیابی کند در فضاهای حالتی که تعداد زیادی صفر داشتند رخ می‌داد.

PRNG مناسب برای کاربردهای رمزنگاری، یک PRNG با رمزنگاری ایمن (CSPRNG) نامیده می‌شود. یک الزام برای CSPRNG این است که طرفی که seed را نداند، تنها شانس بسیار ناچیزی برای تشخیص و تمایز توالی خروجی مولد از یک دنباله تصادفی دارد. به عبارت دیگر، در حالی که یک PRNG فقط باید آزمون‌های آماری را پشت سر بگذارد، یک CSPRNG باید تمام آزمون‌های آماری محدود شده به زمان چند جمله ای را در اندازه seed را بگذراند. گرچه اثبات این خاصیت فراتر از توانایی فعلی نظریه پیچیدگی محاسباتی است، اما ممکن است با کاهش CSPRNG به مسئله ای که فرض بر آن است که از لحاظ محاسباتی سخت است، مانند فاکتورسازی عدد صحیح، شواهد محکمی بدست آید. به‌طور کلی، ممکن سالها بررسی برای اینکه یک الگوریتم به عنوان CSPRNG تأیید شود، مورد نیاز باشد.

برخی از کلاس‌های CSPRNG شامل موارد زیر است:

• رمزهای دنباله ای
• رمزگذارهای قالبی که در مدهای کاری رمزهای قطعه‌ای یا در حالت بازخورد خروجی عمل می‌کنند.
• PRNGهایی که به‌طور خاص برای ایمن‌سازی رمزنگاری طراحی شده‌اند، مانند تابع رابط برنامه‌نویسی برنامه نویسی کاربرد رمزنگاری مایکروسافت CryptGenRandom، الگوریتم Yarrow (در سیستم عامل Mac X X و FreeBSD) و Fortuna
• ترکیبی از PRNG که سعی در ترکیب چندین الگوریتم PRNG اولیه برای از بین بردن هرگونه عدم تصادف قابل تشخیص دارند.
• طرح‌های ویژه مبتنی بر فرضیات سختی ریاضی: نمونه‌ها شامل مولد Micali-Schnorr , عملکرد شبه تصادفی Naor-Reingold و الگوریتم Blum Blum Shub، که یک اثبات امنیتی قوی را ارائه می‌دهند (چنین الگوریتم‌هایی نسبت به سازه‌های سنتی برای بسیاری از کاربردها نسبتاً کند و غیر عملی هستند)
• PRNGهای عمومی: در حالی که نشان داده شده‌است که یک PRNG ایمن (رمزنگاری شده) می‌تواند به‌طور کلی از هر تابع یک طرفه ساخته شود، این ساختار عمومی در عمل بسیار کند است، بنابراین عمدتاً مورد توجه در موارد تئوری است.

نشان داده شده‌است که به احتمال زیاد آژانس امنیت ملی آمریکا یک درپشتی نامتقارن به NIST قرار داده بود. NIST مولد اعداد شبه تصادفی Dual_EC_DRBG را گواهی می‌کند.

اکثر الگوریتم‌های PRNG توالی‌هایی تولید می‌کنند که به طور یکنواخت توسط آزمون‌های گوناگون توزیع می‌شوند. این یک سؤال بدون پاسخ است، و یک موضوع اصلی برای تئوری و عمل رمزنگاری است که آیا راهی برای تمایز خروجی یک PRNG با کیفیت بالا از یک دنباله واقعاً تصادفی وجود دارد؟ در این تنظیم، تشخیص دهنده می‌داند که یا از الگوریتم شناخته شده PRNG استفاده شده‌است (اما نه وضعیتی که با آن آغاز شد) یا از یک الگوریتم واقعاً تصادفی استفاده شده‌است، و باید بین این دو تفاوت قایل شود. امنیت اکثر الگوریتم‌های رمزنگاری و پروتکل‌های با استفاده از PRNG برفرض آن بناشده اند که تشخیص استفاده از PRNG مناسب از استفاده از یک توالی واقعاً غیرممکن است. ساده‌ترین نمونه‌های این وابستگی، رمزنگاری‌های جریانی هستند، که (اغلب) با یای انحصاری بین متن ساده (رمزنشده) پیام و خروجی PRNG کار می‌کنند و متن رمزشده را تولید می‌کنند. طراحی PRNGهای مناسب از نظر رمزنگاری بسیار دشوار است زیرا آنها باید معیارهای بیشتری را رعایت کنند. اندازه دورهٔ تناوب آنها یک عامل مهم تعیین میزان مناسب بودن رمزنگاری یک PRNG است، اما به تنهایی کافی نیست.

دفتر امنیت اطلاعات فدرال آلمان (Bundesamt für Sicherheit in der Informationstechnik , BSI) چهار معیار برای ارزیابی کیفیت مولدهای اعداد تصادفی قطعی تعیین کرده‌است. این موارد به صورت زیر خلاصه می‌شوند:

• K1 - احتمال متفاوت بودن اعداد متوالی تولید شده از یکدیگر، زیاد است.
• K2 -اعداد متوالی تولید شده طبق آزمون‌های مخصوص آماری، از اعداد " واقعا تصادفی " قابل تشخیص نیست. این آزمون‌ها عبارتند از آزمون monobit (تعداد مساوی صفرها و یک‌ها در یک توالی)، آزمون poker (نمونهٔ خاص آزمون chi-square)، آزمون runs (تعداد دفعات اجرا در طول‌های متفاوت را محاسبه می‌کند)، آزمون Longruns (ارزیابی اینکه در ۲۰۰۰۰ بیت متوالی آیا بیشتر یا مساوی 34 run به‌وجود آمده‌است یا خیر)- از BSI و NIST، آزمون autocorrelation (آزمون همبستگی). در اصل این نیازمندی‌ها جهت ارزیابی کیفیت دنبالهٔ بیت‌ها هستند: آیا تعداد صفرها و یک‌ها اکثراً مساوی است؟ بعد از دنباله ای از صفرهای متوالی (یا یک‌های متوالی) بیت یک بعدی (یا صفر بعدی) با احتمال ۰٫۵ ظاهر می‌شود؟ آیا هر زیرمجموعهٔ انتخاب شده از بیت‌ها اطلاعاتی دربارهٔ بیت یا بیت‌های بعدی می‌دهند؟
• K3 - برای مهاجمان در حالت واقعی و عملی، غیرممکن باشد که از هر زیرمجموعه از بیت‌ها هرگونه اطلاعی از مقادیر قبلی یا بعدی را محاسبه کند یا اینکه حالت فعلی مولد را تعیین کند.
• K4 - برای هر منظور و هدف عملی غیرممکن باشد که مهاجم بتواند از حالت درونی مولد هرعدد قبلی در دنبالهٔ اعداد تولید شده یا حالت قبلی مولد را محاسبه کند یا حدس بزند.

برای کاربردهای رمزنگاری، فقط مولدهایی که موارد K3 و K4 را رعایت کنند، قابل قبول می‌باشند.

داده شده (در صورتی که)

• ${\displaystyle P}$
  - توزیع احتمال ${\displaystyle \left(\mathbb{R},\mathfrak{B}\right)}$
  (جایی که ${\displaystyle \mathfrak{B}}$
  مجموعه استاندارد Borel بر روی خط واقعی است)
• ${\displaystyle \mathfrak{F}}$
  - مجموعه ای غیر تهی از مجموعه‌های بورل ${\displaystyle \mathfrak{F}\subseteq \mathfrak{B}}$
  ، به عنوان مثال ${\displaystyle \mathfrak{F}=\left\{\left(-\mathrm{\infty },t\right]:t\in \mathbb{R}\right\}}$
  . اگر ${\displaystyle \mathfrak{F}}$
  مشخص نشده‌است، ممکن است یا ${\displaystyle \mathfrak{B}}$
  باشد یا ${\displaystyle \left\{\left(-\mathrm{\infty },t\right]:t\in \mathbb{R}\right\}}$
  که بسته به متن تعیین می‌شود.
• ${\displaystyle A\subseteq \mathbb{R}}$
  - یک مجموعه غیر تهی (لزوماً یک مجموعه Borel). غالباً ${\displaystyle A}$
  یک مجموعه بین تکیه گاه${\displaystyle P}$
  و درون (توپولوژی) آن؛ به عنوان مثال، اگر ${\displaystyle P}$
  توزیع یکنواخت در فاصله ${\displaystyle \left(0,1\right]}$
  باشد، ${\displaystyle A}$
  می‌تواند ${\displaystyle \left(0,1\right]}$
  باشد. اگر ${\displaystyle A}$
  مشخص نشده باشد، فرض بر این است که مجموعه ای است که همهٔ اعضایش در تکیه گاه${\displaystyle P}$
  موجود اند و شامل توپولوژی اش می‌باشد.

ما یک تابع ${\displaystyle f:{\mathbb{N}}_1\to \mathbb{R}}$

• ${\displaystyle f\left({\mathbb{N}}_1\right)\subseteq A}$

(${\displaystyle \mathrm{\#}S}$

می‌توان نشان داد که اگر ${\displaystyle f}$

یکی از روش‌های اولیهٔ مبتنی بر کامپیوتر، به وسیلهٔ فُون نویمان در سال ۱۹۴۶ ارائه شد. این روش به روش «میان-مربع» (Middle-Square) معروف است («میانِ مربع» یا «مربعِ میانی» خوانده نشود)؛ یک عدد دلخواه در نظر گرفته، آن را به توان ۲ برسانید (مربع کنید)، ۴ رقم میانی آن را به عنوان یک عدد تصادفی جدید در نظر بگیرید و آن را به‌عنوان عدد بعدی در الگوریتم استفاده کنید و به این کار ادامه دهید.

مثلاً با شروع از عدد ۱۱۱۱، عدد ۱۲۳۴۳۲۱ حاصل می‌شود، که اگر آن را به صورت هشت رقمی بنویسیم، ۰۱۲۳۴۳۲۱ به دست می‌آید. عدد ۲۳۴۳ به عنوان یک عدد تصادفی به دست می‌آید. با تکرار این عمل روی ۲۳۴۳ به ۴۸۹۶ به عنوان عدد تصادفی بعدی خواهیم رسید. می‌توان همین روند را ادامه داد. اگر در روش اصلی از اعداد ۵ رقمی استفاده می‌شد، روند کاملاً مشابه می‌بود.

در این الگوریتم، پس از تعدادی مرحله به عددی تکراری خواهیم رسید. مشکل اینجاست که به‌ازای بعضی از اعداد ورودی، این اتفاق به سرعت می‌افتد. فون نویمان از این مشکل مطلع بود، اما روش ارائه‌شده برای کاربرد موردنظر، کافی بود.

فون نویمان، تولیدکننده‌های سخت‌افزاری اعداد تصادفی را غیرمناسب می‌دانست. چراکه اگر خروجی‌های تولیدشده ذخیره نمی‌شد، بعداً امکان بازتولید آن‌ها و تست‌کردن خطا وجود نداشت. در حالتی هم که خروجی‌ها را ذخیره می‌کردند، حافظه به هدر می‌رفت. اگر اعداد تولیدشده روی کارت پانچ ذخیره می‌شد، زمان خواندن و نوشتن آن‌ها طولانی می‌شد، درحالی‌که استفاده از روش «میان-مربع» سرعتی صدها برابر بیشتر از سرعت خواندن و نوشتن از کارت پانچ داشت.

از آن زمان، روش مربع میانی توسط مولدهای دقیق تر تعویض شد.

یک نوآوری تازه ترکیب مربع میانه با دنباله Weyl می‌باشد. این روش در مدت زمان طولانی تولید خروجی به کیفیت بالا دست میابد (رجوع کنید به توالی PRNG دنباله میدانی Weyl).

تعداد انتخاب شده از توزیع احتمال غیر یکنواخت را می‌توان با استفاده از یک توزیع PRNG یکنواخت و تابعی که مربوط به این دو توزیع باشد، تولید کرد.

اعداد انتخاب شده از یک توزیع احتمالاتی غیریکنواخت می‌تواند توسط یک توزیع یکنواخت PRNG و یک تابع که دو توزیع را به هم مرتبط کند، تولید شود.

ابتدا به تایع توزیع تجمعی نیاز داریم ${\displaystyle F(b)}$

${\displaystyle F(b)={\int }_{-\mathrm{\infty }}^{b}f(b^{\prime })d{b}^{\prime }}$

توجه داشته باشید که ${\displaystyle 0=F(-\mathrm{\infty })\le F(b)\le F(\mathrm{\infty })=1}$

${\displaystyle F(b)=c}$

در نتیجه

${\displaystyle b=F^{-1}(c)}$

عددی است که به‌طور تصادفی از توزیع ${\displaystyle f(b)}$

به‌طور مثال، وارونه توزیع گاوسی تجمعی ${\displaystyle {\mathrm{erf}}^{-1}(x)}$

• زمانی که از نمایش عدد عملی استفاده می‌کنیم، "دم"‌های نامتناهی توزیع باید به مقادیر محدود قطع شوند.
• محاسبه تکراری ${\displaystyle {\mathrm{erf}}^{-1}(x)}$
  باید از طریق الگوریتم زیگورات صورت بگیرد تا تولید اعداد سریع تر شود.

ملاحظات مشابهی برای تولید توزیع‌های غیر یکنواخت دیگر مانند ریلی و پواسون صورت می‌گیرد.

• لیست تولیدکنندگان عدد شبه تصادفی
• برنامه‌های تصادفی
• دنباله کم اختلاف
• دنباله دودویی Pseudorandom
• سروصدا تصادفی
• تولید شماره تصادفی
• حمله ژنراتور شماره تصادفی
• تصادفی بودن
• تصادفی آماری

• Barker E.، Kelsey J. ، توصیه برای تولید تعداد تصادفی با استفاده از مولدهای بیت تصادفی قطعی، NIST SP800-90A، ژانویه ۲۰۱۲
• Brent RP، "برخی از تولید کنندگان شماره تصادفی طولانی مدت با استفاده از شیفت و xors"، مجله ANZIAM، ۲۰۰۷؛ 48: C188 – C202
• Gentle JE (2003)، Generation Number Random and Methods Monte Carlo , Springer.
• Hörmann W.، Leydold J.، Derflinger G. (2004، ۲۰۱۱)، Genre Variation Automatic Ununiform Variated Variated , Springer-Verlag.
• Knuth DE هنر برنامه‌نویسی رایانه، دوره ۲: الگوریتم‌های نیمه تمام، چاپ سوم. آدیسون وسلی، ۱۹۹۷. شابک ‎۰−۲۰۱−۸۹۶۸۴−۲ شابک 0-201-89684-2. فصل ۳ [پوشش گسترده تست‌های آماری برای غیر تصادفی.]
• Luby M. ، Pseudorandomness و Cryptographic Applications , Princeton Univ Press، ۱۹۹۶. شابک ‎۹۷۸۰۶۹۱۰۲۵۴۶۹ شابک 9780691025469
• فون نویمان ج. "تکنیک‌های مختلفی که در ارتباط با رقم‌های تصادفی استفاده می‌شود ،" در AS Householder , GE Forsythe و HH Germond , eds. ، مونت کارلو متد، دفتر ملی استاندارد استانداردهای ریاضیات کاربردی، ۱۲ (واشینگتن، دی سی: دولت ایالات متحده دفتر چاپ، ۱۹۵۱): ۳۶–۳۸.
• Peterson, Ivars (1997). The Jungles of Randomness: a mathematical safari. New York: John Wiley & Sons. ISBN 0-471-16449-6. Peterson, Ivars (1997). The Jungles of Randomness: a mathematical safari. New York: John Wiley & Sons. ISBN 0-471-16449-6. Peterson, Ivars (1997). The Jungles of Randomness: a mathematical safari. New York: John Wiley & Sons. ISBN 0-471-16449-6.
• مطبوعات WH , Teukolsky SA , Vetterling WT , Flannery BP (2007)، دستور العمل‌های عددی (انتشارات دانشگاه کمبریج).
• Viega J. ، " تولید تعداد تصادفی عملی در نرم افزار "، در Proc. نوزدهمین کنفرانس سالانه برنامه‌های کاربردی امنیت رایانه، دسامبر ۲۰۰۳.

• TestU01: مجموعه کاملاً رایگان و مدرن (GPL) C ++ شماره تصادفی.
• DieHarder: مجموعه آزمایشی شماره تصادفی رایگان (GPL) C.
• " تولید اعداد تصادفی " (در سیستم‌های جاسازی شده) توسط اریک اونر (۲۰۰۴)
• " تجزیه و تحلیل ژنراتور شماره تصادفی لینوکس " توسط Zvi Gutterman , Ben Pinkas و Tachachy Reinman (2006)
• " ژنراتورهای بهتر شبه تصادفی " توسط Parikshit Gopalan , Raghu Meka , Omer Reingold , Luca Trevisan و Salil Vadhan (تحقیقات مایکروسافت، ۲۰۱۲)
• rand() Considered Harmful در یوتیوب توسط استفان Lavavej (مایکروسافت، ۲۰۱۳)
• Wsphynx یک تولیدکننده ساده شماره تصادفی آنلاین. تعداد تصادفی توسط الگوریتم‌های تولیدکننده شماره شبه تصادفی Javascript (PRNGs) تولید می‌شوند