Лінійний конгруентний метод

Лінійний конгруентний метод — один із методів генерації псевдовипадкових чисел. Застосовується в простих випадках і не володіє криптографічною стійкістю. Входить в стандартні бібліотеки різних компіляторів.

Опис[ред. | ред. код]

Лінійний конгруентний метод був запропонований Д. Г. Лемером в 1949 році.^[1] Суть методу полягає в обчисленні послідовності випадкових чисел ${\displaystyle X_{n}}$, вважаючи

${\displaystyle X_{n+1}=(aX_{n}+c)~~{\bmod {~}}~m,}$

де ${\displaystyle m}$ — модуль (натуральне число, відносно якого обчислюють остачу від ділення; ${\displaystyle m\geqslant 2}$), ${\displaystyle a}$ — множник (${\displaystyle 0\leqslant a<m}$), ${\displaystyle c}$ — приріст (${\displaystyle 0\leqslant c<m}$), ${\displaystyle X_{0}}$ — початкове значення (${\displaystyle 0\leqslant X_{0}<m}$).

Ця послідовність називається лінійною конгруентною послідовністю. Наприклад, для ${\displaystyle m=10,X_{0}=a=c=7}$ отримаємо послідовність ${\displaystyle 7,6,9,0,7,6,9,0,\dots }$^[2]:21—37</ref>

Властивості[ред. | ред. код]

Лінійна конгруентна послідовність, визначена числами ${\displaystyle m}$, ${\displaystyle a}$, ${\displaystyle c}$ і ${\displaystyle X_{0}}$ періодична з періодом, не більшим за ${\displaystyle m}$. При цьому довжина періоду рівна ${\displaystyle m}$ тоді і тільки тоді, коли^[2]:21—37:

1. Числа ${\displaystyle c}$ і ${\displaystyle m}$ взаємно прості;
2. ${\displaystyle b=a-1}$ кратно ${\displaystyle p}$ для кожного простого ${\displaystyle p}$, що є дільником ${\displaystyle m}$;
3. ${\displaystyle b}$ кратно ${\displaystyle 4}$, якщо ${\displaystyle m}$ кратно ${\displaystyle 4}$.

Наявність цієї властивості для випадку ${\displaystyle m=2^{e}}$, де ${\displaystyle e}$ — число бітів в машинному слові, було доведено М. Грінбергом (англ. M. Greenberg).^[3] Наявність цієї властивості для загального випадку і достатність умов були доведені Т. Е. Халлом (англ. T. E. Hull) і А. Р. Добеллом (англ. A. R. Dobell).^[4]

Метод генерації лінійної конгруентної послідовності при ${\displaystyle c=0}$ називають мультиплікативним конгруентним методом, а при ${\displaystyle c\neq 0}$ — змішаним конгруентним методом. При ${\displaystyle c=0}$ згенеровані числа будуть мати менший період, ніж при ${\displaystyle c\neq 0}$, але при певних умовах можна отримати період довжиною ${\displaystyle m-1}$, якщо ${\displaystyle m}$ — просте число. Той факт, що умова ${\displaystyle c\neq 0}$ може призводити до появи більш довгих періодів, був встановлений В. Е. Томсоном (англ. W. T. Thomson) і незалежно від нього А. Ротенбергом (англ. A. Rotenberg).^[2] Щоб гарантувати максимальність циклу повторення послідовності при ${\displaystyle c=0}$, необхідно в якості значення параметра ${\displaystyle m}$ обирати просте число. Найвідомішим генератором подібного типу є так званий мінімальний стандартний генератор випадкових чисел, запропонований Стівеном Парком (англ. Stephen Park) і Кейтом Міллером (англ. Keith Miller) в 1988 році. Для нього ${\displaystyle a=16807}$, а ${\displaystyle m=2147483647}$.^[5][6]

Методом генерації послідовностей псевдовипадкових чисел, що найчастіше використовують є змішаний конгруентний метод.^{[джерело не вказане 2481 день]}

Параметри, що часто використовуються[ред. | ред. код]

При виборі числа ${\displaystyle m}$ необхідно враховувати наступні умови:

1. число ${\displaystyle m}$ повинно бути достатньо великим, так як період не може мати більше ніж ${\displaystyle m}$ елементів;
2. значення числа ${\displaystyle m}$ повинно бути таким, щоб ${\displaystyle (aX_{n}+c)\mod m}$ обчислювалось швидко.

На практиці при реалізації методу виходячи з вказаних умов частіше всього обирають ${\displaystyle m=2^{e}}$, де ${\displaystyle e}$ — число бітів в машинному слові. При цьому варто враховувати, що молодші двійкові розряди згенерованих таким чином випадкових чисел демонструють поведінку, далеку від випадкової, тому рекомендується використовувати лише старші розряди. Подібна ситуація не виникає, коли ${\displaystyle m=w\pm 1}$, де ${\displaystyle w}$ — довжина машинного слова. В такому випадку молодші розряди ${\displaystyle X_{n}}$ поводять себе так же випадково, як і старші.^[2] Вибір множника ${\displaystyle a}$ і приросту ${\displaystyle c}$ зазвичай обумовлений необхідністю виконання умови досягнення періоду максимальної довжини.

Відомий «невдалий» (с точки зору якості вихідної послідовності) алгоритм RANDU, що протягом багатьох десятиліть використовували в різних компіляторах.

Для покращення статистичних властивостей числової послідовності в багатьох генераторах псевдовипадкових чисел використовується лише частина бітів результату. Наприклад, в стандарті ISO/IEC 9899 на мові Сі приведений (але не вказаний в якості обов'язкового) приклад функції rand(), що примусово відкидає молодші 16 і один старший розряд.

#define RAND_MAX 32767 

static unsigned long int next = 1;

int rand(void)
{
  next = next * 1103515245 + 12345;
  return (unsigned int)(next/65536) % (RAND_MAX + 1);
}

void srand(unsigned int seed)
{
  next = seed;
}

Саме в такому вигляді функція rand() використовується в компіляторах Watcom C/C++. Відомі числові параметри інших алгоритмів, що застосовуються в різних компіляторах і бібліотеках.

Можливість використання в криптографії[ред. | ред. код]

Хоча лінійний конгруентний метод породжує статистично хорошу псевдовипадкову послідовність чисел, він не є криптографічно стійким. Генератори на основі лінійного конгруентного методу передбачувані, тому їх не можна використовувати в криптографії. Вперше генератори на основі лінійного конгруентного методу були зламані Джимом Рідсом (Jim Reeds), а потім Джоан Бояр (Joan Boyar). Їй вдалося також виявити недоліки квадратичних і кубічних генераторів. Інші дослідники розширили ідеї Бояр, розробивши способи виявлення недоліків будь-якого поліноміального генератора. Таким чином, було доведено, що генератори на основі конгруентних методів не підходять для використання в криптографії. Однак генератори на основі лінійного конгруентного методу зберігають свою корисність для некриптографічних додатків, наприклад, для моделювання. Вони ефективні і в найбільш використовуваних емпіричних тестах демонструють хороші статистичні характеристики^[7].

Див. також[ред. | ред. код]

• Генератор псевдовипадкових чисел
• Інверсний конгруентний метод

Джерела[ред. | ред. код]

Посилання[ред. | ред. код]

• Л. Бараш. Алгоритм AKS проверки чисел на простоту и поиск констант генераторов псевдослучайных чисел. — Безопасность информационных технологий, 2005. — № 2. — С. 27-38.