伪随机数生成器怎么可能是不重复的？

Question

我的理解是 PRNG 的工作是使用输入种子和将其转换为非常不相关的输出的算法，以便下一个生成的数字尽可能不可预测。但这是我看到的问题：

我能想象到的任何伪随机数生成器都必须有有限数量的结果。假设我正在使用一个随机数生成器，它可以生成 0 到 1000 亿之间的任何数字。如果我要求输出一千亿和一次，我可以确定一个数字已经输出了不止一次。如果相同的种子在通过算法时总是给出相同的输出，那么我可以确定 PRNG 将开始一个循环。我的逻辑哪里有缺陷？

如果我是正确的，如果你知道 PRNG 的算法，并且 PRNG 被用于加密，那么不能使用这种方法（并且有任何措施来防止它吗？）：

• 使用 PRNG 生成可能的整个循环数字集。
• 知道生成私钥的时间戳，然后知道 PRNG 的时间 AND 输出
• 根据计算所需的时间，确定已知输出和未知输出之间有多少个数字
• 在预先生成的列表中查找生成的号码

Answer 1

你是绝对正确的，理论上这种方法可以用来破坏 PRNG，因为，正如你所指出的，给定足够长的输出序列，你可以开始预测接下来会发生什么。

问题是“足够长”可能太长了，以至于这种方法完全不切实际。例如，Mersenne twister PRNG，它不是为加密使用而设计的，它的周期为 2^19,937 - 1，这个周期太长了，你完全不可能尝试攻击描述。

一般来说，假设一个伪随机生成器使用 n 位内部存储。这为这些位提供了 2ⁿ 种可能的内部配置，这意味着您可能需要看到 2ⁿ + 1 个输出，然后才能保证看到重复。鉴于大多数加密安全 PRNG 使用至少 256 位的内部存储，这使得您的攻击不可行。

值得注意的一个细节是，“PRNG 重复一个数字”和“从那时起，数字将始终相同”之间存在差异。 PRNG 可能会重复输出多次，然后再继续输出不同的数字，前提是每次内部状态都不同。

Answer 2

你是对的，PRNG 产生一长串数字然后重复。对于普通用途，这通常就足够了。正如您所指出的，不用于加密。

对于理想的密码数，我们需要使用真正的 RNG (TRNG)，它会从某种熵源（在此上下文中为随机性）生成随机数。这种源可能是卡上的一小块放射性物质、断开的麦克风电路中的热噪声或其他可能性。许多不同来源的混合将更能抵抗攻击。

通常此类熵源不会产生足够的随机数以供直接使用。这就是 PRNG 用于“拉伸”真实熵的地方，以从 TRNG 提供的较少量的熵中产生更多的伪随机数。熵用于播种 PRNG，PRNG 基于该种子产生更多的数字。允许的拉伸量是有限的，因此攻击者永远无法获得足够长的伪随机数串来进行任何有价值的分析。达到限制后，必须从 TRNG 重新播种 PRNG。

此外，PRNG 应该在每次数据请求后重新播种，无论多么小。有各种加密原语可以帮助解决这个问题，例如哈希。例如，在每个数据请求之后，可以生成另外 128 位数据，与任何可用的累积熵进行异或运算，然后进行散列处理，并将生成的散列输出用于重新生成生成器。

加密 RNG 比普通 PRNG 慢，因为它们使用慢速加密原语，并且因为它们采取了额外的预防措施来抵御攻击。

有关 CSPRNG 的示例，请参阅 Fortuona

Answer 3

可以在 PC 上创建真正的随机数生成器，因为它们是不确定的机器。

确实，随着分层内存层次的复杂性、CPU 管道的错综复杂、无数进程和线程在任意时刻激活并竞争资源并存，以及 I/O 设备的异步性，没有执行的操作数量和经过的时间之间的可预测关系。

所以不时查看系统时间是完美的源随机性。

Answer 4

我能想象到的任何伪随机数生成器都必须有有限数量的结果。

我不明白为什么这是真的。为什么它不能有逐渐增加的状态，当它耗尽内存时失败？

这是一个从不重复的简单 PRNG 算法：
1) 以攻击者未知的任何数据量作为种子的种子。
2) 计算数据的 SHA512 哈希值。
3) 输出该哈希的前 256 位。
4) 将该哈希的最后一个字节附加到数据中。
5) 转到第 2 步。

而且，出于实际目的，这并不重要。只需 128 位状态，您就可以生成一个不会重复 340282366920938463463374607431768211456 输出的 PRNG。如果你在 10 亿年内每秒拉出 10 亿个产出，你将无法完成其中的十亿个。