Глава 6. Генераторы псевдослучайных чисел

Для работы многих криптографических примитивов необходимо уметь получать случайные числа:

вектор инициализации для отдельных режимов сцепления блоков должен быть случайным числом (см. раздел 5.8);
для генерации пар открытых и закрытых ключей необходимы случайные числа (см. главу 9);
стойкость многих криптографических протоколов ключей (см. главу 10) основывается в том числе на выработке случайных чисел (англ. nonce), которые не может предугадать злоумышленник.

Генератором случайных чисел (англ. random number generator) мы будем называть процесс

Есть и строгое математическое определение генератора в общем смысле. Генератором называется функция $g: \left\{0, 1\right\}^{n} \to \left\{0, 1\right\}^{q\left(n\right)}$, вычислимая за полиномиальное время. Однако мы пока не будем использовать это определение, чтобы показать разницу между истинно случайными числами и псевдослучайными.

, результатом работы которого является случайная последовательность чисел, а именно такая, что зная произвольное число предыдущих чисел последовательности (и способ их получения), даже теоретически нельзя предсказать следующее с вероятностью больше заданной. К таким случайным процессам можно отнести:

результат работы счётчика элементарных частиц, работа с которым включена в лабораторный практикум по общей физике для студентов первого курса МФТИ;
время между нажатиями клавиш на клавиатуре персонального компьютера или расстояние, которое проходит «мышь» во время движения;
время между двумя пакетами, полученными сетевой картой;
тепловой шум, измеряемый звуковой картой на входе аналогового микрофона, даже при отсутствии самого микрофона.

Хотя для всех этих процессов можно предсказать приблизительное значение (чётное или нечётное), его последний бит будет оставаться достаточно случайным для практических целей. С учётом данной поправки их можно называть надёжными или качественными генераторами случайных чисел.

Однако к генератору случайных чисел предъявляются и другие требования. Кроме уже указанного критерия качественности или надёжности, генератор должен быть быстрым и дешёвым. Быстрым – чтобы получить большой объём случайной информации за заданный период времени. И дешёвым – чтобы его можно было бы использовать на практике. Количество случайной информации от перечисленных выше генераторов составляет не более десятков килобайт в секунду (для теплового шума) и значительно меньше, если мы будем требовать ещё и равномерность распределения полученных случайных чисел.

С целью получения большего объёма случайной информации используют специальные алгоритмы, которые называют генераторами псевдослучайных чисел (ГПСЧ). ГПСЧ – это детерминированный алгоритм, выходом которого является последовательность чисел, обладающая свойством случайности. Работу ГПСЧ можно описать следующей моделью. На подготовительном этапе оперативная память, используемая алгоритмом, заполняется начальным значением (англ. seed). Далее на каждой итерации своей работы ГПСЧ выдаёт на выход число, которое является функцией от состояния оперативной памяти алгоритма, и меняет содержимое своей памяти по определённым правилам. Содержимое оперативной памяти называется внутренним состоянием генератора.

Как и у любого алгоритма, у ГПСЧ есть определённый размер используемой оперативной памяти

Только алгоритмы с фиксированным размером используемой оперативной памяти и можно называть генераторами в строгом математическом смысле этого слова, как следует из определения.

. Исходя из практических требований, предполагается, что размер оперативной памяти для ГПСЧ сильно ограничен. Так как память алгоритма ограничена, то ограничено и число различных внутренних состояний алгоритма. В силу того, что выдаваемые ГПСЧ числа являются функцией от внутреннего состояния, то любой ГПСЧ, работающий с ограниченным размером оперативной памяти и не принимающий извне дополнительной информации, будет иметь период. Для генератора с памятью в $n$ бит максимальный период, очевидно, равен $2^n$.

Качество детерминированного алгоритма, то есть то, насколько полученная последовательность обладает свойством случайной, можно оценить с помощью тестов, таких как набор тестов NIST (англ. National Institute of Standards and Technology, США, [1]). Данный набор содержит большое число различных проверок, включая частотные тесты бит и блоков, тесты максимальных последовательностей в блоке, тесты матриц и так далее.