Линейный конгруэнтный метод

Линейный конгруэнтный метод — один из методов генерации псевдослучайных чисел. Применяется в простых случаях и не обладает криптографической стойкостью. Входит в стандартные библиотеки различных компиляторов.

Линейный конгруэнтный метод был предложен Д. Г. Лемером на проходившем в 1949 году симпозиуме и опубликован в 1951 году в трудах симпозиума.^[1] Суть метода заключается в вычислении последовательности случайных чисел ${\displaystyle X_{n}}$, полагая

${\displaystyle X_{n+1}=(aX_{n}+c)~~{\bmod {~}}~m,}$

где ${\displaystyle m}$ — модуль (натуральное число, относительно которого вычисляет остаток от деления; ${\displaystyle m\geqslant 2}$), ${\displaystyle a}$ — множитель (${\displaystyle 0\leqslant a<m}$), ${\displaystyle c}$ — приращение (${\displaystyle 0\leqslant c<m}$), ${\displaystyle X_{0}}$ — начальное значение (${\displaystyle 0\leqslant X_{0}<m}$).

Эта последовательность называется линейной конгруэнтной последовательностью. Например, для ${\displaystyle m=10,X_{0}=a=c=7}$ получим последовательность ${\displaystyle 7,6,9,0,7,6,9,0,\dots }$^[2]

Линейная конгруэнтная последовательность, определенная числами ${\displaystyle m}$, ${\displaystyle a}$, ${\displaystyle c}$ и ${\displaystyle X_{0}}$ периодична с периодом, не превышающим ${\displaystyle m}$. При этом длина периода равна ${\displaystyle m}$ тогда и только тогда, когда^[3]:

1. Числа ${\displaystyle c}$ и ${\displaystyle m}$ взаимно простые;
2. ${\displaystyle b=a-1}$ кратно ${\displaystyle p}$ для каждого простого ${\displaystyle p}$, являющегося делителем ${\displaystyle m}$;
3. ${\displaystyle b}$ кратно ${\displaystyle 4}$, если ${\displaystyle m}$ кратно ${\displaystyle 4}$.

Наличие этого свойства для случая ${\displaystyle m=2^{e}}$, где ${\displaystyle e}$ — число битов в машинном слове, было доказано М. Гринбергом (англ. M. Greenberg).^[4] Наличие этого свойства для общего случая и достаточность условий были доказаны Т. Е. Халлом (англ. T. E. Hull) и А. Р. Добеллом (англ. A. R. Dobell).^[5]

Метод генерации линейной конгруэнтной последовательности при ${\displaystyle c=0}$ называют мультипликативным конгруэнтным методом, а при ${\displaystyle c\neq 0}$ — смешанным конгруэнтным методом. При ${\displaystyle c=0}$ генерируемые числа будут иметь меньший период, чем при ${\displaystyle c\neq 0}$, но при определенных условиях можно получить период длиной ${\displaystyle m-1}$, если ${\displaystyle m}$ — простое число. Тот факт, что условие ${\displaystyle c\neq 0}$ может приводить к появлению более длинных периодов, был установлен В. Е. Томсоном (англ. W. T. Thomson) и независимо от него А. Ротенбергом (англ. A. Rotenberg).^[2] Чтобы гарантировать максимальность цикла повторения последовательности при ${\displaystyle c=0}$, необходимо в качестве значения параметра ${\displaystyle m}$ выбирать простое число. Самым известным генератором подобного рода является так называемый минимальный стандартный генератор случайных чисел, предложенный Стивеном Парком (англ. Stephen Park) и Кейтом Миллером (англ. Keith Miller) в 1988 году. Для него ${\displaystyle a=16807}$, а ${\displaystyle m=2147483647}$.^[6][7]

Наиболее часто практикуемым методом генерации последовательностей псевдослучайных чисел является смешанный конгруэнтный метод.^{[источник не указан 2708 дней]}

При выборе числа ${\displaystyle m}$ необходимо учитывать следующие условия:

1) число ${\displaystyle m}$ должно быть довольно большим, так как период не может иметь больше ${\displaystyle m}$ элементов;

2) значение числа ${\displaystyle m}$ должно быть таким, чтобы ${\displaystyle (aX_{n}+c)\mod m}$ вычислялось быстро.

На практике при реализации метода исходя из указанных условий чаще всего выбирают ${\displaystyle m=2^{e}}$, где ${\displaystyle e}$ — число битов в машинном слове. При этом стоит учитывать, что младшие двоичные разряды сгенерированных таким образом случайных чисел демонстрируют поведение, далёкое от случайного, поэтому рекомендуется использовать только старшие разряды. Подобная ситуация не возникает, когда ${\displaystyle m=w\pm 1}$, где ${\displaystyle w}$ — длина машинного слова. В таком случае младшие разряды ${\displaystyle X_{n}}$ ведут себя так же случайно, как и старшие.^[2] Выбор множителя ${\displaystyle a}$ и приращения ${\displaystyle c}$ в основном обусловлен необходимостью выполнения условия достижения периода максимальной длины.

Печально известен «неудачный» (с точки зрения качества выходной последовательности) алгоритм RANDU, на протяжении многих десятилетий использовавшийся в самых разных компиляторах.

Для улучшения статистических свойств числовой последовательности во многих генераторах псевдослучайных чисел используется только часть битов результата. Например, в стандарте ISO/IEC 9899 на язык Си приведен (но не указан в качестве обязательного) пример функции rand(), принудительно отбрасывающей младшие 16 и один старший разряд.

#define RAND_MAX 32767 

static unsigned long int next = 1;

int rand(void)
{
  next = next * 1103515245 + 12345;
  return (unsigned int)(next/65536) % (RAND_MAX + 1);
}

void srand(unsigned int seed)
{
  next = seed;
}

Именно в таком виде функция rand() используется в компиляторах Watcom C/C++. Известны числовые параметры иных алгоритмов, применяемых в различных компиляторах и библиотеках.

Список примеров в этой статье не основывается на авторитетных источниках, посвящённых непосредственно предмету статьи. Добавьте ссылки на источники, предметом рассмотрения которых является тема настоящей статьи (или раздела) в целом, а не отдельные элементы списка. В противном случае список примеров может быть удалён.

Хотя линейный конгруэнтный метод порождает статистически хорошую псевдослучайную последовательность чисел, он не является криптографически стойким. Генераторы на основе линейного конгруэнтного метода являются предсказуемыми, поэтому их нельзя использовать в криптографии. Впервые генераторы на основе линейного конгруэнтного метода были взломаны Джимом Ридсом (Jim Reeds), а затем Джоан Бойяр. Ей удалось также вскрыть квадратические и кубические генераторы. Другие исследователи расширили идеи Бояр, разработав способы вскрытия любого полиномиального генератора. Таким образом, была доказана бесполезность генераторов на основе конгруэнтных методов для криптографии. Однако генераторы на основе линейного конгруэнтного метода сохраняют свою полезность для некриптографических приложений, например, для моделирования. Они эффективны и в большинстве используемых эмпирических тестов демонстрируют хорошие статистические характеристики^[8].

• Генератор псевдослучайных чисел
• Инверсный конгруэнтный метод

• Дональд Э. Кнут. Глава 3. Случайные числа // Искусство программирования = The Art of Computer Programming. — 3-е изд. — М.: Вильямс, 2000. — Т. 2. Получисленные алгоритмы. — 832 с. — 7000 экз. — ISBN 5-8459-0081-6 (рус.) ISBN 0-201-89684-2 (англ.).

• Л. Бараш. Алгоритм AKS проверки чисел на простоту и поиск констант генераторов псевдослучайных чисел // Безопасность информационных технологий. — 2005. — № 2. — С. 27—38.
• Stephen K. Park and Keith W. Miller. Random Number Generators: Good Ones Are Hard To Find. — 1988. — № 2. — С. 1192—1201.
• Бакнелл Д.М. Фундаментальные алгоритмы и структуры данных в Delphi.Библиотека программиста.[6] // Delphi Informant Magazine. — 2002.