作者：Alon Zakai <br/>
编译：胡子大哈

翻译原文：http://huziketang.com/blog/posts/detail?postId=58cfc3dda6d8a07e449fdd29 <br/>
英文原文：A Brief History of Random Numbers

转载请说明出处，保存原文链接以及作者信息

（罗马 12mm 骰子，大英博物馆便携式文物保护设计-CC BY-SA 2.0）

“在一切的发作随机数的事物中，我以为没有什么能够逾越骰子了”，这是统计学家 Francis Galton 在 1890 年的《天然》杂志中写道。它们在容器中不断地翻腾、相互撞击，以各种形式和角度与容器壁发作碰撞，在容器中的位置和形状在外界看来都是那末不可预知，容器哪怕只发作一次晃悠，外界都不能够晓得内里究竟是什么形状。

古已有之的随机数

究竟如何才天生匀称的随机数列呢？天然界中随机性大批而近乎圆满的存在，人类并不能正确地预知和量化这类随机性。迄今为止发现最早的骰子（4 个面）是来自中东的一座公元前 24 世纪的宅兆里。再近一些的汗青是在公元前 1100 年的中国，运用火烧龟壳发作的随机龟裂征象，一些“先知”会依据龟裂状况来对将来做推断。又过了几个世纪，在中国诞生了易经占卜法，运用 49 蓍草法举行占卜，其操纵的破裂历程很相似于抛硬币。

机械天生随机数的第一次触碰

（摘自：“ A Million Random Digits with 100,000 Normal Deviates”）

时刻到了 20 世纪 40 年代中期，当代天下须要更多的随机数，不再是骰子或许蓍草能够满足的了。RAND 公司发清楚明了一种机械，经由过程随机脉冲发作器能够天生大批的随机数。他们将这个机械运行所发作的数字聚合起来并宣布成图书“A Million Random Digits with 100,000 Normal Deviates”。这在如今看来是异常谬妄的，然则在当时倒是一个打破。这是人类第一次发作云云大批的、高质量的随机数，而且对民众是开放的。这本书 RAND 公司一向印刷到了 2001 年，如今在亚马逊上也能够看获得。

于此相似的机械：摇奖机，是由有名的 Bletchley Park WWII 破译小组在 20 世纪 40 年代发现的，当时被用来天生英国保险债券彩票所运用的随机数。为了停息民众对摇奖机的公平性和正确性的质疑和忧郁，官方斥资制作了当时的巨型纪录片：“摇奖机的主要性（The Importance of Being E.R.N.I.E.）”。下面给出视频，很值得一看。

<iframe frameborder=”0″ width=”640″ height=”498″ src=”https://v.qq.com/iframe/playe… allowfullscreen></iframe>

（The Importance of Being E.R.N.I.E.）

1951 年随机性终究被正式规范化而且整合到了计算机 Ferranti Mark 1 号中。Ferranti Mark 1 号内置了随机数天生指令，运用电气噪声能够一次性天生 20 个随机比特位。这一特征是由阿兰·图灵设想的。Christopher Strachey 运用这一特性，编写了一套随机情书天生器。下面这是情书例子，运用这个顺序天生的 David Link 的 2009 复合设计：

JEWEL LOVE
MY LIKING HUNGERS FOR YOUR ADORABLE INFATUATION.

YOU ARE MY EROTIC ARDOUR.: MY FOND RAPTURE. MY THIRST
SIGHS FOR YOUR INFATUATION. MY HEART SEDUCTIVELY WISHES YOUR
BREATHLESS LONGING.

YOURS CURIOUSLY

M. U. C.

（由于上面笔墨过于漏骨，译者尝试引伸出译文以下）

我对你的可爱陶醉至极。

你勾起了我一切对情爱的空想。

我为你而狂热。

你的魅力使我对你充满了盼望。

我的心随你在而让我没法呼吸。

你的寻求者

M.U.C

然则图灵的随机数指令险些是当时的开辟人员崩溃的，由于这类随机在自身就已很不稳固的开辟环境下又引入了不肯定性。人们愿望在软件中获得一致性的效果，然则用这类指令的软件永久不能够获得可反复的一致性效果，这也使得软件测试险些变的不可行。

那末假如随机数天生器能够由一个肯定性的函数来替换会如何呢？假如在给定一个肯定的初始前提，每次能够天生一样的随机序列会如何呢？这就是伪随机数天生器（PRNG）。

伪随机数天生器（PRNG）

伪随机数天生器是由冯诺依曼在 1946 年制作的。他的基本思想是从一个随机数种子最先，对其平方，然后取中心值。接下来反复对获得的数取平方并取中心值的历程，就会获得一个具有统计意义属性的随机数序列了。这也就是广为人知的平方取中法。

但是，冯诺依曼的要领并没有经得住时刻的磨练，由于不管从什么随机种子最先，序列终究都邑落入某个短轮回序列，比方：8100,6100,4100，8100，6100,4100……。

序列中的数字是依赖于前一个数字的这类天生函数，上面的反复轮回题目是不可避免的。然则假如说这个轮回距离异常异常大，对现实运用并不会发作影响，那会如何呢？

1949 年，数学家 D.H.Lehmer 运用线性同余天生器（LCG）完成了这一思绪。下面给出的是基于 Lehmer 的要领所完成的一种质朴 PRNG，叫做中心随机数天生器，运用 JavaScript 在 1995 年写的。

    // The Central Randomizer 1.3 (C) 1997 by Paul Houle (paul@honeylocust.com)
    // See:  http://www.honeylocust.com/javascript/randomizer.html
    rnd.today=new Date();
    rnd.seed=rnd.today.getTime();
    function rnd() {
      rnd.seed = (rnd.seed*9301+49297) % 233280;
      return rnd.seed/(233280.0);
    };
    
    function rand(number) {
      return Math.ceil(rnd()*number);
    };

注重代码中的魔法数字（如 9301 等），这些数字（通常是质数）是用来最大化反复区间的——上面所提到的自我反复的轮回区间。这类 PRNG 运用当前时刻作为种子值，反复区间能够到达 2 的 31 次方。

这类中心随机天生器发现之初异常盛行，由于当时的 JavaScript 1.0 还没有内置 Math.random() 函数，当时的 Web 1.0 环境下，人人都想让本身的 banner 广告随机扭转。一个开辟者 Paul Houle 说道：“它在很多状况下已很好用了，然则不能运用它来做保密运用”。

对 PRNG 的更高请求

互联网确实须要保密。SSL 诞生在 1995 年，它的加密设计须要高质量的 PRNG。它的生长也直接致使了一段时刻的 PRNG 蛮横立异时代。假如你转头看一下一切的随机数天生器的专利，你能够会感受到就像当代版的第一次制作飞机的海潮一样。

20 世纪 90 年代中期的 CPU 是没有内置随机数天生指令的，这使得当时刻好的随机种子迥殊难过。原本这题目也不大，不过当飞利浦的 Hallam-Baker 发现 Netscape（当时市场上的巨子）的 SSL web 效劳器运用了“当前时刻 + 一组特别 ID”组合作为种子的时刻，这个题目变成了一个亲身体会到的平安题目了。Hallam-Baker 展现了一个进击者很轻易猜到种子值，而且对他们所拿到的效劳器流量举行解密的历程。猜种子值是一个异常通例的进击手腕，只管这类手段如今变得愈来愈难题。这里给出 2009 年在 Hacker News 上的一段异常典范的进击练习训练。

到了 1997 年，计算机科学家们厌倦了天生随机数所受限的前提，来自 SGI 的一个团队发清楚明了 LavaRand，它是用一个收集摄像头来对着熔岩灯照相。从摄像头中过来的图片数据是一个实在的熵源——像图灵那样的实在随机数天生器（TRNG）——能够以 165kb/s 的速率天生随机数。一如当时硅谷的作风，熔岩灯平台很快拿到了专利。

AutoDesk 的创始人 John Walker 在全球范围内推行他的 HotBits，这是一种“随机数即效劳”的运用，背地道理是盖革计数器来保证其量子随机性。1998 年建立的 Random.org 为互联网供应真正的随机数。他们供应的效劳包含真正的抛硬币随机、骰子随机和卡牌洗牌随机等。

上面所提到的大多数算法厥后都置之不理了，然则一个叫做梅森扭转随机数天生器（The Mersenne Twister）的软件 PRNG 佼佼不群，它是由松本真（Makoto Matsumoto）和西村 拓士（Takuji Nishimura）在 1997 年发现的。它圆满地均衡了机能和随机数的质量，而且禁受住了时刻的磨练。其基本思想是基于线性反应移位寄存器（LFSR），发作一个轮回周期异常长的肯定性序列，轮回周期能够到达 2¹⁹⁹³⁷− 1。在当前的编程语言中，这类算法照旧是默许的 PRNG。

在 1999 年，随机数市场发作了一个庞大的变化，Intel 在其 i810 芯片组上集成了芯片级的随机数天生器。如许使得新的效劳器都自带热噪声的当地源随机数天生才能——真正的随机数天生器（TRNG）。这很巨大，然则它一直没有软件 PRNG 快，所以加密软件照旧不能不依赖于伪随机数天生器（PRNG）。

这就把我们带到了“暗码平安 PRNG”（CSPRNG）（这些憎恶的缩写！难怪很多人以为计算机科学很烦人）。CSPRNG 关于 SSL 迥殊主要。那末 CSPRNG 的道理是什么呢？这里有一份 131 页的论文来引见 CSPRNG。祝你在内里浏览兴奋。

显而易见，CSPRNG 是一个强需求。梅森扭转随机数天生器并非一种 CSPRNG，由于假如能够给定大批的先前序列样本，背面的数字是能够估计的出来。

时刻再拉近一些，2012 年，Intel 为 TRNG 增加了 RDRAND 和 RDSEED 指令，具有 500MB/s 的临盆效力。然则 RDRAND 的完整性一向被质疑，内里是否是有某些缺点？或许是为美国国家平安局内置了什么东西？没人确实地晓得这个题目的答案，我猜某些处所的某些人肯定晓得，但是他们也肯定不会公然。

开源硬件随机数天生器

（由一种硬件随机数天生器 PEDOUBLER 天生的随机数据）

近年开源硬件 TRNG 也逐步显露头角。它们广受迎接得益于其设想的透明化：你能够本身构建线路，也能够用现有的组件搭建。完整的透明化使得对硬件随机数天生没有任何的忧郁和疑虑。REDOUBLER和无穷噪声 TRNG是两个开源硬件随机数天生器，链接中给出他们的 Github 源码地点。

末端

本日，照旧有关于对随机数天生要领挑选的争辩，在操纵系统内核、编程语言和平安包（如 OpenSSL 或许 OpenSSH）方面均未住手。有很多差别的算法聚焦于差别的特性上，如速率、占用空间、平安性等方面，也有一些平安专家照旧在寻觅攻破已有算法的要领。然则关于我们一样平常的运用来说，在大多数的操纵系统中你能够放心肠运用 /dev/random，或许编程语言中你能够随心肠运用 rand() 函数，都能给你带来很好的运用体验，而且你这么做，阿兰·图灵也会很高兴。

迎接人人关注我的前端大哈 – 知乎专栏，按期宣布高质量前端文章。

我近来正在写一本《React.js 小书》，对 React.js 感兴趣的童鞋，迎接指导。