Генератор псевдослучайных чисел

Генератор псевдослучайных чисел (ГПСЧ, англ. pseudorandom number generator, PRNG) — алгоритм, порождающий последовательность чисел, элементы которой почти независимы друг от друга и подчиняются заданному распределению (обычно дискретному равномерному).

Современная информатика широко использует псевдослучайные числа в самых разных приложениях — от метода Монте-Карло и имитационного моделирования до криптографии. При этом от качества используемых ГПСЧ напрямую зависит качество получаемых результатов. Это обстоятельство подчёркивает известный афоризм математика ORNLРоберта Кавью^[англ.]: «генерация случайных чисел слишком важна, чтобы оставлять её на волю случая».

Источники настоящих случайных чисел найти крайне трудно. Физические шумы^[1], такие, как детекторы событий ионизирующей радиации, дробовой шум в резисторе или космическое излучение^[2], могут быть такими источниками. Однако применяются такие устройства в приложениях сетевой безопасности редко. Сложности также вызывают грубые атаки на подобные устройства.

У физических источников случайных чисел существует ряд недостатков:

• Время и трудозатраты при установке и настройке по сравнению с программными ГПСЧ;
• Дороговизна;
• Генерация случайных чисел происходит медленнее, чем при программной реализации ГПСЧ;
• Невозможность воспроизведения ранее сгенерированной последовательности случайных чисел^[3].

В то же время случайные числа, получаемые из физического источника, могут использоваться в качестве порождающего элемента (англ. seed) для программных ГПСЧ. Такие комбинированные генераторы применяются в криптографии, лотереях, игровых автоматах^[3].

• Достаточно длинный период, гарантирующий отсутствие зацикливания последовательности в пределах решаемой задачи. Длина периода должна быть математически доказана;
• Эффективность — быстрота работы алгоритма и малые затраты памяти;
• Воспроизводимость — возможность заново воспроизвести ранее сгенерированную последовательность чисел любое количество раз;
• Портируемость — одинаковое функционирование на различном оборудовании и операционных системах;
• Быстрота получения ${\displaystyle X_{n+i}}$ элемента последовательности чисел, при задании ${\displaystyle X_{n}}$элемента, для ${\displaystyle i}$ любой величины; это позволяет разделять последовательность на несколько потоков (последовательностей чисел)^[3].

Джон фон Нейман считал неприемлемым использование физических генераторов случайных чисел в вычислительной технике, так как при возникновении необходимости проверки вычислений повтор предыдущих действий требовал бы воспроизведение случайного числа, в то время как генерация нового случайного числа недопустима. Предварительная запись и хранение сгенерированных случайных чисел предполагало бы возможность их считывания. Механизм считывания данных являлся одним из самых слабых звеньев вычислительных машин 1940-х годов. Джон фон Нейман привёл следующий метод середины квадрата^[4] получения десятизначных псевдослучайных чисел:

Десятизначное число возводится в квадрат, затем из середины квадрата числа берётся десятизначное число, которое снова возводится в квадрат, и так далее.

Например, для 4-значных чисел, начиная с 1234, получаем ${\displaystyle 1234^{2}=1522756}$, где берём средние 4 цифры ${\displaystyle 01{\overline {5227}}56}$ (дописав ноль в начале, если это необходимо). Затем возводим полученное число в квадрат ${\displaystyle 5227^{2}=27{\overline {3215}}29}$, и так далее. Недостатком данного метода является ограниченность множества ПСЧ из-за того, что последовательность зацикливается — ${\displaystyle 5000^{2}=25{\overline {0000}}00,0^{2}=0,\dots }$.

В 1951 годуД. Г. Лемер предложил линейный конгруэнтный метод^[5], суть которого заключается в задании последовательности целых чисел рекурсивной формулой ${\displaystyle X_{n+1}=(aX_{n}+c)~{\bmod {~}}m,}$ где ${\displaystyle a,\ m,\ c}$ — целые и удовлетворяют следующим условиям: ${\displaystyle 1$. Недостатком данного метода является зависимость ${\displaystyle X_{n},\ n>0}$ от ${\displaystyle X_{0}}$, так как ${\displaystyle X_{n}=\left(a^{n}X_{0}+{\frac {c(a^{n}-1)}{(a-1)}}\right)~{\bmod {~}}m}$, а также то, что ПСЧ зацикливается.

Никакой детерминированный алгоритм не может генерировать полностью случайные числа, он может только аппроксимировать некоторые их свойства. Как сказал Джон фон Нейман, «всякий, кто питает слабость к арифметическим методам получения случайных чисел, грешен вне всяких сомнений».

Любой ГПСЧ с ограниченными ресурсами рано или поздно зацикливается — начинает повторять одну и ту же последовательность чисел. Длина циклов ГПСЧ зависит от самого генератора и составляет около ${\displaystyle 2^{\frac {n}{2}}}$, где ${\displaystyle n}$ — размер внутреннего состояния в битах, хотя линейные конгруэнтные и РСЛОС-генераторы обладают максимальными циклами порядка ${\displaystyle 2^{n}}$^[32]. Если порождаемая последовательность ГПСЧ сходится к слишком коротким циклам, то такой ГПСЧ становится предсказуемым и непригодным для практических приложений.

Большинство простых арифметических генераторов хотя и обладают большой скоростью, но страдают от многих серьёзных недостатков:

• Слишком короткий период/периоды.
• Последовательные значения не являются независимыми.
• Некоторые биты «менее случайны», чем другие.
• Неравномерное одномерное распределение.
• Обратимость.

В частности, алгоритм RANDU, десятилетиями использовавшийся на мейнфреймах, оказался очень плохим^[33][34], что вызвало сомнения в достоверности результатов многих исследований, использовавших этот алгоритм.

Наравне с существующей необходимостью генерировать легко воспроизводимые последовательности случайных чисел, также существует необходимость генерировать совершенно непредсказуемые или попросту абсолютно случайные числа. Такие генераторы называются генераторами случайных чисел (ГСЧ — англ. random number generator, RNG). Так как такие генераторы чаще всего применяются для генерации уникальных симметричных и асимметричных ключей для шифрования, они чаще всего строятся из комбинации криптостойкого ГПСЧ и внешнего источника энтропии (и именно такую комбинацию теперь и принято понимать под ГСЧ).

Почти все крупные производители микрочипов поставляют аппаратные ГСЧ с различными источниками энтропии, используя различные методы для их очистки от неизбежной предсказуемости. Однако на данный момент скорость сбора случайных чисел всеми существующими микрочипами (несколько тысяч бит в секунду) не соответствует быстродействию современных процессоров.

В современных исследованиях осуществляются попытки использования измерения физических свойств объектов (например, температуры) или даже квантовыхфлуктуацийвакуума в качестве источника энтропии для ГСЧ.^[35]

В персональных компьютерах авторы программных ГСЧ используют гораздо более быстрые источники энтропии, такие, как шум звуковой карты или счётчик тактов процессора. Сбор энтропии являлся наиболее уязвимым местом ГСЧ. Эта проблема до сих пор полностью не разрешена во многих устройствах (например, смарт-картах), которые таким образом остаются уязвимыми.^[36] Многие ГСЧ используют традиционные испытанные, хотя и медленные, методы сбора энтропии вроде измерения реакции пользователя (движение мыши и т. п.), как, например, в PGP и Yarrow^[37], или взаимодействия между потоками, как, например, в Java SecureRandom.

Одним из критериев того, что ГПСЧ криптографически стойкий, является невозможность отличить выходные значения ГПСЧ от независимой равномерно распределенной на промежутке ${\displaystyle {\mathcal {U}}=(0,1)}$ случайной последовательности. Пусть существует семейство ГПСЧ ${\displaystyle {\xi _{k}=({\mathcal {S_{k}}},\mu _{k},f_{k},{\mathcal {U_{k}}},g_{k}),k=1,2,...}}$, где мощность множества ${\displaystyle {\mathcal {S_{k}}}}$ равно ${\displaystyle 2^{k}}$. Как было указано выше, ${\displaystyle {\mathcal {S}}}$ — это конечный набор состояний, ${\displaystyle \mu }$ — вероятностное распределение в пространстве состояний ${\displaystyle {\mathcal {S}}}$, используемое для выбора начального состояния ${\displaystyle {\mathcal {s_{0}}}}$(англ. seed), ${\displaystyle f:{\mathcal {S}}\rightarrow {\mathcal {S}}}$ — функция перехода, ${\displaystyle {\mathcal {U}}}$ — пространство выходных значений, ${\displaystyle g:{\mathcal {S}}\rightarrow {\mathcal {U}}}$. Обычно ${\displaystyle {\mathcal {U}}=(0,1)}$, а состояние генератора задается рекуррентной формулой ${\displaystyle s_{i}=f\ (s_{i-1})}$ для ${\displaystyle i\geq 1}$. Выходное значение генератора ${\displaystyle u_{i}=g\ (s_{i})\in {\mathcal {U}}}$; ${\displaystyle u_{0},\ u_{1},\ u_{2}\ ...}$ — последовательность псевдослучайных чисел. Предположим, что функции перехода ${\displaystyle f}$ и выхода ${\displaystyle g}$ могут быть вычислены за полиномиальное, степени ${\displaystyle k}$, время. Пусть ${\displaystyle {\mathcal {T}}}$ — класс статистических тестов, которые пытаются за полиномиальное, степени ${\displaystyle k}$, время отличить выходные значения ГПСЧ от независимой равномерно распределенной на промежутке ${\displaystyle {\mathcal {U}}=(0,1)}$ случайной последовательности. Семейство ГПСЧ ${\displaystyle \xi _{k}}$ называется хорошим с точки зрения полиномиального времени, если найдется ${\displaystyle \epsilon >0}$ такая, что для всех ${\displaystyle k}$ никакой из тестов ${\displaystyle {\mathcal {T}}}$ не может отличить выходные значения ГПСЧ от независимой равномерно распределенной на промежутке ${\displaystyle {\mathcal {U}}=(0,1)}$ случайной последовательности с вероятностью ${\displaystyle 1/2+e^{-k\epsilon }}$.^[3]

Криптографические приложения используют для генерации случайных чисел детерминированные алгоритмы, следовательно, генерируют последовательность чисел, которая теоретически не может быть статистически случайной. В то же время, если выбрать хороший алгоритм, полученная численная последовательность — псевдослучайных чисел — будет проходить большинство тестов на случайность. Одной из характеристик такой последовательности является большой период повторения.^[3]

Примерами известных криптостойких ГПСЧ являются RC4^[32], ISAAC^[39], SEAL^[40], SNOW^[41], совсем медленный теоретический алгоритм Блюм — Блюма — Шуба^[32], а также счётчики с криптографическими хеш-функциями или криптостойкими блочными шифрами вместо функции вывода^[32].

Также к криптографически стойким шифрам относятся генераторы с несколькими регистрами сдвига, генераторы с нелинейными преобразованиями, мажоритарные генераторы шифрования A5/x.^[32]

Кроме устаревших, хорошо известных РСЛОС-генераторов, широко применявшихся в качестве аппаратных ГПСЧ в XX веке, очень мало известно о современных аппаратных ГПСЧ, так как большинство из них разработано для военных целей или запатентованы и держатся в секрете. Аппаратно реализуемые РСЛОС-генераторы Toyocrypt и LILI-128, были взломаны с помощью алгебраических атак^[44][45].

В настоящее время известно о применении аппаратных ГПСЧ, реализуемых на основе маломощных шумов в электросхемах^[46]

Генератор случайных номеров для лотерей — аппаратно-программный комплекс, применяющийся в розыгрышах, в которых необходимо угадывать комбинацию из определённого количества чисел. Любое из возможных чисел имеет одинаковую вероятность появления.

Попытки создать генератор случайных чисел относятся к 3500 году до н. э. и связаны с древнеегипетской настольной игрой Сенет. В Сенете два игрока играют за две стороны. Ходы определяются с помощью 4 плоских палочек, что и может считаться генератором случайных чисел того времени. Бросают все четыре палочки сразу. Подсчёт очков происходит следующим образом: 1 палочка упала белой стороной вверх — 1 очко и дополнительный бросок; 2 — 2 очка; 3 — 3 очка, 4 — 4 и дополнительный бросок. Одна из сторон палочки чёрная и, если все четыре палочки падали чёрной стороной вверх — это максимальный результат — 5 очков и дополнительный бросок.

Известный генератор случайных чисел ERNIE применялся на протяжении многих лет для определения выигрышных номеров британской лотереи.

Основные требования к программному обеспечению и оборудованию, используемому для проведения розыгрышей в Российской Федерации, устанавливаются Федеральным законом от 11.11.2003 № 138-ФЗ «О лотереях»:

• Технические характеристики лотерейного оборудования должны обеспечивать случайность распределения выигрышей при розыгрыше призового фонда тиражных лотерей.
• Не должны использоваться процедуры, реализующие алгоритмы, которые позволяли бы предопределять результат розыгрыша призового фонда до начала такого розыгрыша.
• Лотерейное оборудование, используемое при проведении тиражной лотереи, должно обеспечивать защиту информации от утраты, хищения, искажения, несанкционированных действий по её уничтожению, модификации, копированию и иных подобных действий и несанкционированного доступа по сети передачи данных^[47].

В российских государственных лотереях («Гослото „5 из 36“», «Гослото „6 из 36“», «Гослото „6 из 45“», «Гослото „7 из 49“», «Гослото „4 из 20“», «Спортлото „6 из 49“»)^[48] для определения победителей используются самозаряжающиеся лототроны. Трансляция розыгрышей ведется в прямом эфире^[49].

В российских государственных лотереях («Рапидо», «Кено-Спортлото», «Топ-3», «12/24», «Всё по сто») для определения победителей используется генератор случайных чисел — аппаратно-программный комплекс, сертифицированныйАНО «МИЦ» и отвечающий рекомендациям ФГУП ВНИИМС. Аппарат формирует непрерывный поток случайных шумов, которые преобразуются в числа. В заданный момент времени из потока выхватываются текущие значения, которые и являются выигрышной лотерейной комбинацией^[50].

В 2015 году бывшему директору по безопасности US Multi-State Lottery Association после выигрыша в 16.5 млн долларов, имевшему доступ к программному обеспечению, используемому при розыгрышах лотерей, было предъявлено обвинение в использовании специальных алгоритмов, позволяющих определять выигрышную комбинацию лотереи в течение нескольких дней в году^[51].

• Дональд Э. Кнут. Глава 3. Случайные числа // Искусство программирования = The Art of Computer Programming. — 3-е изд. — М.: Вильямс, 2000. — Т. 2. Получисленные алгоритмы. — 832 с. — 7000 экз. — ISBN 5-8459-0081-6 (рус.) ISBN 0-201-89684-2 (англ.).
• Кельтон В., Лоу А. Имитационное моделирование. Классика CS. — 3-е изд.. — СПб.: Питер, 2004. — С. 465, 466. — 487 с. — ISBN 0070592926. — ISBN 5-94723-981-7.
• L’Ecuyer, Pierre. Random Number Generation // Springer Handbooks of Computational Statistics : Глава. — 2007. — С. 93—137. — doi:10.1002/9780470172445.ch4.

• В. А. Успенский. Четыре алгоритмических лица случайности. — МЦНМО, 2006. — 48 с. — ISBN 978-5-94057-485-9.
• Юрий Лифшиц. Лекция 9: Псевдослучайные генераторы // Современные задачи криптографии. — Курс лекций.
• Л. Бараш. Алгоритм AKS проверки чисел на простоту и поиск констант генераторов псевдослучайных чисел // Безопасность информационных технологий. — 2005. — № 2. — С. 27—38. Архивировано из оригинала 18 октября 2014 года.
• Жельников В. Псевдослучайные последовательности чисел // Криптография от папируса до компьютера. — М.: ABF, 1996. — 335 с. — ISBN 5-87484-054-0.
• Cryptographic Random Numbers (англ.)
• Theory and Practice of Random Number Generation (англ.)
• Zvi Gutterman, Benny Pinkas, Tzachy Reinman. Analysis of the Linux Random Number Generator (англ.)
• A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications (англ.) NIST SP 800-22