伪随机生成器

玻尔百科

核心要点

伪随机生成器（PRG）是一种确定性算法，它将一个短的、真正随机的种子扩展成一个在计算上与真正随机序列无法区分的长序列。
PRG的安全性和有效性从根本上植根于计算困难性，依赖于像单向函数和硬核谓词这样的密码学原语。
PRG是现代密码学的基石，它通过从一个小的、共享的密钥生成长的、不可预测的密钥流，从而实现了高效的流密码。
“困难性与随机性”范式揭示了，困难计算问题的存在性可以被用来对概率算法进行去随机化，这可能证明 P = BPP。

引言

在数字世界中，真随机性是一种稀缺而宝贵的资源，然而从安全通信到科学模拟等无数应用都依赖于它。这就引出了一个根本性问题：我们能否创造出令人信服的“伪造”随机性？这便是伪随机生成器（PRG）的领域——这是一种确定性算法，它接收一个小的、真正随机的“种子”，并将其扩展为一个对于任何高效观察者来说都表现得完全随机的长序列。本文将深入探讨这些“欺骗机器”背后的精妙理论。

其核心挑战在于弥合算法的可预测性与概率的不可预测性之间的鸿沟。本文通过探索伪随机性的核心原理和深远影响来应对这一挑战。在第一章“原理与机制”中，我们将通过计算不可区分性的视角来定义序列“看起来随机”意味着什么，并揭示PRG是如何利用计算困难性的基本构件（如单向函数）来构建的。随后，“应用与跨学科联系”一章将揭示这些理论构造如何成为强大的工具，推动着从现代密码学、安全通信到对计算本身进行去随机化的深远努力等各个方面的发展。

原理与机制

想象一下，你想制造一枚完美的假币。它必须在外观和手感上与真币完全一样，但更重要的是，它的行为必须像真币。当被抛掷时，它必须以看似纯粹、毫无掺杂的随机方式落于正面或反面。伪随机生成器（PRG）在计算领域就相当于这个伪造大师。它是一台确定性机器，当给定一个小的真随机“种子”时，能产生一个长序列，这个序列是真随机序列的精湛伪品。但是，一个序列“看起来随机”究竟意味着什么？我们如何能确定我们的假币能骗过最挑剔的检查者？我们探索伪随机性核心的旅程就从这里开始。

欺骗的艺术：计算不可区分性

乍一看，这个任务似乎不可能完成。确定性过程根据其定义是可预测的。如果你知道起点和规则，你就能预测整个序列。而真随机性则是不可预测性的缩影。那么，一个怎么可能模仿另一个呢？

现代计算机科学和密码学的天才之处在于重新定义了这个问题。我们不再问“这个序列是真正随机的吗？”，而是问“一个高效的观察者能分辨出区别吗？”。这一转变至关重要。我们的目标不是形而上学的随机性，而是一种实用的、计算上的幻觉。

让我们用一个游戏来形式化这个概念。想象一个挑战者和一个区分器。挑战者在暗中抛一枚硬币。如果是正面，他们生成一个真正随机的比特串。如果是反面，他们用一个短的随机种子来运行一个PRG，并生成一个等长的伪随机字符串。他们将这个字符串呈现给区分器，区分器的唯一任务就是猜测它来自“正面”世界（真随机性）还是“反面”世界（伪随机性）。

如果没有任何高效的区分器能以显著高于纯猜测的概率赢得这个游戏，那么这个PRG就被认为是“安全的”或“好的”。用复杂性理论的语言来说，我们称PRG的输出与一个真正随机的字符串是计算上不可区分的。更精确地说，对于任何我们可以构建的高效“测试”或“电路” $C$ ， $C$ 在一个伪随机字符串上输出‘1’的概率，与它在一个真正随机字符串上输出‘1’的概率几乎相同。这两个概率之间的差异，称为优势（advantage），必须是极小的（或“可忽略的”）。

\left| \Pr_{z \sim U_s}[C(G(z))=1] - \Pr_{x \sim U_n}[C(x)=1] \right| \le \epsilon

在这里， $G$ 是我们的生成器， $z$ 是短的随机种子， $x$ 是长的真随机字符串。这个公式只是说，对于任何我们能设计的测试 $C$ ，它在假随机性和真随机性上的行为差异小于某个微小的误差 $\epsilon$ 。

为了看看当这个属性失效时会发生什么，考虑一个极其糟糕的PRG。假设它接受一个 $k$ 位的种子 $s$ ，并通过简单地复制前半部分并加上一个轻微、可预测的扭曲来创建一个 $2k$ 位的输出。例如，让输出是 $s$ 与字符串 $s'$ 的拼接，其中 $s'$ 的第 $i$ 位是 $s$ 的第 $i$ 位和第 $(i+1)$ 位的异或。一个区分器可以简单地取它收到的字符串的前半部分，根据这个规则计算出后半部分应该是什么，然后检查是否匹配。如果它是一个伪随机字符串，这个检查将永远通过。如果它是一个真随机字符串，这种特定结构偶然出现的概率是天文数字般的小（ $1/2^k$ ）。这个简单的区分器几乎可以完美地分辨出真假，这表明该生成器有一个致命的、可检测的模式。一个好的PRG是指不存在这种简单测试的生成器。

随机性机器的剖析

在我们构建自己的PRG之前，让我们通过与随机性操纵世界中的其他“近亲”进行比较，来阐明其角色。

PRG是随机性的扩展器（stretcher）。它将少量完美的、高质量的、均匀的随机性——即种子——确定性地扩展成一个继承了其“外观和感觉”的更长字符串。它并非凭空创造随机性。

这与随机性提取器（randomness extractor）有本质的不同。提取器是随机性的提纯器（distiller）。它被设计用来处理一个长的、混乱的、弱随机的源（想象一下你击键时序中轻微的偏差或嘈杂的大气数据），并使用少量真随机性作为催化剂（另一个种子），将其提纯为一个更短但近乎完美的、均匀的随机字符串。所以，PRG扩展好的随机性，而提取器提纯坏的随机性。

PRG也不应与伪随机函数（PRF）族混淆。PRG是一次性的设备：一个种子给你一个长字符串。而PRF更像一本神奇的、秘密的食谱。你用一个密钥（类似于种子）从一个巨大的食谱家族中挑选一个特定的食谱（一个函数）。这个函数可以接受你给它的任何输入（例如，一个数据包的名称），并产生一个看起来随机的输出（一个标签）。这对于用单一秘密来验证许多不同消息的完整性等任务非常有用，但它是一种与产生流的PRG不同的工具。

动力室：单向函数与硬核位

那么，我们如何构建一个能扩展随机性的机器呢？秘密配方就是计算困难性。我们将基于一个易于计算但难以求逆的函数来构建我们的生成器。这被称为单向函数。可以把它想象成搅鸡蛋：做起来微不足道，但要复原几乎不可能。或者像将两个巨大的素数相乘：计算乘积很容易，但将其分解回原来的素数却极其困难。这类函数被假定存在，是现代密码学的基石。

但仅有单向函数是不够的。我们需要一种方法从中提取一“滴”随机性。这就是硬核谓词（hard-core predicate）的角色。硬核谓词 $B(x)$ 是关于输入 $x$ 的一个比特信息，如果你有 $x$ 就很容易计算，但如果你只有输出 $f(x)$ ，那么以高于50/50的准确率猜测它在计算上是不可能的。这是单向函数完美保守的一个秘密。例如，对于某些单向函数，输入的最低有效位就充当了硬核谓词。

有了这两个要素，我们就可以构建经典的Blum-Micali生成器：

从一个真正随机的 $n$ 位种子 $x_0$ 开始。
要生成输出的第一个比特，计算硬核谓词： $b_0 = B(x_0)$ 。
为了准备下一步，通过应用单向函数来更新状态： $x_1 = f(x_0)$ 。
重复：计算下一个比特 $b_1 = B(x_1)$ 和下一个状态 $x_2 = f(x_1)$ ，以此类推。

输出就是这些硬核比特的序列： $b_0, b_1, b_2, \ldots$ 。让我们通过一个简单的例子来看看它的运作过程。让我们的单向函数为 $f(x) = x^3 \pmod{29}$ ，硬核谓词为 $B(x) = x \pmod 2$ （ $x$ 的最后一位）。从种子 $x_0 = 3$ 开始：

第0步： 第一个输出比特是 $b_0 = B(3) = 3 \pmod 2 = 1$ 。新状态是 $x_1 = f(3) = 3^3 \pmod{29} = 27$ 。
第1步： 第二个输出比特是 $b_1 = B(27) = 27 \pmod 2 = 1$ 。新状态是 $x_2 = f(27) = 27^3 \equiv (-2)^3 = -8 \equiv 21 \pmod{29}$ 。
第2步： 第三个输出比特是 $b_2 = B(21) = 21 \pmod 2 = 1$ 。新状态是 $x_3 = f(21) = 21^3 \equiv (-8)^3 = -512 \equiv 10 \pmod{29}$ 。
第3步： 第四个输出比特是 $b_3 = B(10) = 10 \pmod 2 = 0$ 。

从一个5位的种子（因为29小于32）出发，我们生成了4位的序列 1110。我们可以将这个过程继续数百或数千步，将我们最初的种子扩展成一个长的伪随机字符串。

该生成器的安全性基于一个优美的论证。假设你能预测序列中的下一个比特。例如，如果你已经看到了 $b_0, \ldots, b_{i-1}$ ，你声称能够预测 $b_i$ 。这等价于在给定源自 $x_0$ 的信息的情况下预测 $B(x_i)$ 。一个形式化的归约证明表明，如果你能做到这一点，你就可以用你的预测器作为一个子程序来攻破硬核谓词本身的安全性。既然我们假设这是不可能的，我们必须得出结论，即下一个比特是不可预测的。Andrew Yao 的一项里程碑式的结果表明，这种下一位不可预测性等价于通过我们之前描述的区分器游戏。

大一统：困难性与随机性

困难性与伪随机性之间的这种联系是计算机科学中最深刻的思想之一，被称为困难性与随机性范式（hardness versus randomness paradigm）。它在两个看似无关的领域之间建立了一种深刻而令人惊讶的联系：一个是试图证明某些问题本质上难以解决的领域（计算复杂性领域），另一个是在算法中创造和使用随机性的能力。

该范式提出了一个大胆的主张：如果在一个高复杂性等级（如EXP，即可在指数时间内解决的问题）中，存在哪怕一个函数，被证明对于任何小型计算机电路都难以解决，那么我们就可以构建一个如此强大的PRG，以至于它可以欺骗任何高效算法。

最终的结果是什么？这意味着我们可以将任何概率算法——一种通过抛硬币来寻找答案的算法——中的抛硬币操作替换为我们PRG的输出。通过尝试PRG的所有可能（且非常短）的种子，并对结果进行多数表决，我们就可以确定性地找到正确答案，完全不需要任何随机性！这意味着，能用随机性高效解决的问题类别（BPP）实际上并不比不用随机性就能高效解决的问题类别（P）更强大。简而言之：困难性意味着 P = BPP [@problem_ax:derandomization_motivation]。

这个范式告诉我们，随机性虽然是一个强大的算法工具，但可能并非绝对必要。宇宙的计算困难性可以被驾驭并转化为真随机性的替代品。然而，这里有一个微妙但关键的细节。要构建这些强大的PRG，我们需要的函数不仅在最坏情况下是困难的（即，至少对一个棘手的输入是困难的），而且在平均情况下也是困难的（即，对所有可能输入的一大部分都是困难的）。该领域的一个重大突破是“最坏情况到平均情况的归约”的发展，这是一种巧妙的转换，可以将一个仅具有最坏情况困难性的函数，转化为一个新的、具有更有用的平均情况困难性的函数，从而使这一宏伟愿景成为可能。

现实检验：当理论与实践相遇

虽然基于计算不可区分性的PRG理论定义非常强大，但在物理学中的蒙特卡洛方法等大规模科学模拟中使用伪随机数的实践者，通常依赖于另一套不同的测试。他们的“区分器”不是抽象的算法，而是可能对细微统计缺陷敏感的物理模型。对于这些应用，一个好的生成器必须满足几个实际标准：

周期（Period）： PRG是一个有限状态机，所以它的输出最终必然会重复。这个循环的长度就是它的周期。一个基本原则是，周期必须比模拟所需的随机数数量大得不成比例。如果你的模拟需要十亿个数字，而一个生成器的周期只有一百万，那么它是无用的，因为它会重复其“随机”选择一千次，从而破坏结果的统计有效性。
均匀分布性（Equidistribution）： 数字应该均匀分布。这不仅必须对单个数字成立（一维均匀分布性），也必须对数对、三元组和更高维的元组成立。一个生成器可能产生完全平坦的单个数字分布，但如果每个数 $U_n$ 之后总是跟着 $1-U_n$ ，那么数对 $(U_n, U_{n+1})$ 将全部落在单位正方形的一条直线上，这是二维均匀性的灾难性失败。
谱检验（The Spectral Test）： 计算的历史上充满了具有良好周期和一维分布，但包含细微维度相关性的PRNG。臭名昭著的RANDU生成器产生的3D空间中的点都落在少数几个平行平面上。谱检验是一种专门设计用来检测这种隐藏晶格结构的数学工具，它测量这些平面之间的最大距离。一个好的生成器是那种能在多个维度上通过谱检验的生成器，表明其点能精细地填充空间而没有大的间隙。

因此，对随机性的追求是一个双城记。复杂性理论的世界给了我们一个强大的、对抗性的伪随机性定义，它植根于计算的极限。而科学计算的世界则提供了一系列从数十年经验中锻造出来的经验性和统计性健康检查。最终的目标是构建同时存在于这两个世界中的生成器——既能被证明对任何高效的对手都是安全的，又能为最苛刻的科学应用提供统计上无懈可击的表现。

应用与跨学科联系

在窥探了伪随机生成器（PRG）的内部工作原理之后，我们可能会觉得它是一种优美但深奥的理论机械。事实远非如此。我们所讨论的原理——将小的真随机性种子扩展成巨大的、计算上不可区分的流——并不仅限于复杂性理论的抽象领域。事实上，它们是现代计算中一些最深刻和最实用进展背后的引擎，从保障我们的数字生活安全到质疑计算本身的本质。让我们踏上一段旅程，看看这个思想如何在众多领域中绚烂绽放。

“节省”随机性的艺术

在其最基本的层面上，PRG是一种实现极致效率的工具。真随机性，就像一种珍贵的自然资源，可能难以且缓慢地获取。然而，许多计算任务似乎对此有着无尽的需求。考虑一个经典的排序算法，如随机化快速排序，它通过反复选择一个随机的“枢轴”元素来分割列表。对于一个大列表，这可能需要成千上万甚至数百万的随机比特流来做出所有必要的选择。

在这里，PRG提供了一个优雅的解决方案。我们不是为每一个选择都回到真随机性的源头去取，而是只取一个短的、真正随机的种子。然后我们用我们的PRG将这个种子“扩展”成一个足够长的比特串，以覆盖算法可能需要做出的所有随机选择。我们用一次性的、小的、前期的投入取代了巨大的、持续的成本。

这一原理是科学和金融模拟的主力。当物理学家模拟湍流流体的行为，或者金融分析师运行蒙特卡洛模拟来为复杂的衍生品定价时，他们需要模拟无数的随机事件。一个高质量的PRG使他们能够从一个小种子确定性地生成这些事件，从而使实验可重复且计算上易于处理。

但需要提醒的是，并非所有闪光的东西都是金子。“伪”（pseudo）这个词在伪随机中是一个关键的提醒，表明我们正在处理一个巧妙的模仿品。使用设计不佳或实现不当的生成器可能导致灾难性的失败。想象一下，试图用一个只能产生几千个不同值的生成器来洗一副牌。你会发现有些牌永远不会移动到某些位置，结果“洗好”的牌组与随机相去甚远。在模拟中，这可能导致微妙但毁灭性的偏差，其结果以难以察觉的方式被扭曲，但却使结果变得毫无意义。PRG的质量至关重要；其输出必须通过严格的随机性统计测试，确保它没有可辨别的序列相关性或其他可能使模拟失效的非随机模式。

奠定数字安全的基石

PRG最显著的影响可能是在密码学世界。这种联系如此之深，以至于可以说现代密码学的很大部分都建立在伪随机性的思想之上。

考虑加密实时视频流的任务。我们需要一个长的、不可预测的密钥流来与我们的视频数据结合。共享一个与整个视频一样长的密钥是不切实际的。取而代之，我们使用PRG。双方共享一个短得多的密钥——种子。他们都将这个种子输入到同一个、公开已知的PRG中。然后，生成器在两端产生一个相同的、极长的、计算上不可预测的密钥流，可用于加密。对于没有种子的窃听者来说，这个密钥流看起来就像纯粹的噪音，完全随机。

这从信息论的角度揭示了一个优美的见解。如果你不知道这个技巧，密钥流的柯尔莫哥洛夫复杂度——描述它的最短“程序”的长度——是巨大的。但如果你确实知道生成器算法，复杂度就会骤降到仅仅是那个短种子的长度！安全性就建立在这样一个事实上：没有种子，要在计算上找到那个简短的描述是不可行的。

这引导我们走向一个更根本的联系。安全PRG的存在性在形式上等价于单向函数的存在性——即在一个方向上容易计算，但在反方向上极其难以求逆的函数。这个联系是直观的：一个PRG， $G$ ，接受一个种子 $s$ 并产生一个输出 $G(s)$ 。这是简单的正向。但是如果你得到一个伪随机输出 $y$ ，试图找到使 $G(s) = y$ 的种子 $s$ 必须是困难的。如果这很容易，你就可以“求逆”这个生成器，它也就不安全了！因此，任何安全的PRG，就其本质而言，都是一个候选的单向函数，将随机性的生成与现代密码学困难性的核心支柱直接联系起来。

重新设计计算：去随机化的力量

到目前为止，我们已经用PRG来使随机性更便宜。但它们最惊人的应用是完全摆脱随机性。这就是去随机化（derandomization）的领域。

许多已知用于解决某些问题的最高效算法是概率性的；它们通过抛硬币来引导搜索，并以高概率成功。这类问题被称为BPP（有界错误概率多项式时间）。几十年来，计算机科学的一个核心问题是：随机性真的必要吗？或者，任何用概率算法解决的问题，是否也可以用确定性算法在大致相同的时间内解决？这就是著名的 P 与 BPP 问题。

PRG为回答这个问题提供了一条惊人直接的路径。假设我们有一个解决某个问题的概率算法——比如说，在代谢网络图中寻找一个特殊的“催化顶点”。该算法需要一个随机比特串来运行。现在，假设我们有一个PRG，可以将一个非常短的种子（比如长度与输入大小的对数成正比， $s = O(\log n)$ ）扩展成一个多项式长度的伪随机比特串。

这里的想法大胆至极：与其选择一个随机种子并期望最好的结果，为什么不尝试所有的种子呢？由于种子长度只是对数级的，可能种子的总数是 $2^{O(\log n)}$ ，这是一个多项式数量， $n^{O(1)}$ 。因此，我们可以构建一个新的确定性算法，它简单地遍历每一个种子，用该种子的PRG输出运行原始算法，并对结果进行多数表决。因为PRG的输出“欺骗”了算法，所以多数答案将是正确的。我们成功地用确定性计算换取了随机性，表明该问题不仅在 BPP 中，而且在 P 中。

这种强大的技术不仅限于单台机器。在通信复杂性中，两方（我们的老朋友，Alice和Bob）试图以最少的通信来计算他们共享输入的一个函数，随机化协议通常更简单。例如，为了检查他们的两个海量数据文件是否相等，他们可以使用一个共享的随机字符串来计算其数据的“指纹”，并只交换这个指纹。PRG允许他们用一个确定性协议取代对共享随机源的需求，在该协议中，他们只需遍历共享PRG的所有输出，从而将一个公共硬币随机协议转变为一个低通信量的确定性协议。

大一统：困难性与随机性

这把我们带到了最后一个，也是最深刻的联系。如果存在如此强大的PRG，可以对任何BPP算法进行去随机化，那么它们从何而来？答案是整个计算机科学中最深刻、最美丽的思想之一：困难性与随机性范式（Hardness-versus-Randomness paradigm）。

这个范式揭示了我们可以从计算困难性中创造出伪随机性。对于给定计算模型而言，被证明是困难的问题的存在性本身，就可以被用来构建一个能够欺骗该计算模型的PRG。在一场非凡的智力炼金术中，复杂性理论家们弄清楚了如何将棘手问题的“铅”嬗变为模拟随机性的“金”。其高层论证是一系列令人叹为观止的推论：假设在指数时间复杂性等级（EXP）中存在一个函数，它需要指数级大的电路来计算，这个假设可以作为基础，构建一个足以对BPP进行去随机化的PRG。

这个惊人的联系是双向的。不仅困难性意味着随机性，高效、强大的PRG的存在也意味着困难性。如果有人能构造一个具有对数长度种子且能欺骗多项式大小电路的显式PRG，那将证明某些高复杂性等级（如 NEXP）不能被包含在可由多项式大小电路解决的问题类别（P/poly）之内。

于是，我们的旅程回到了原点。我们从将伪随机生成器作为一个实用工具开始，最终发现它们处于关于计算最深刻结构性问题的核心。它们向我们展示，我们可能曾以为是分离的概念——随机性、安全性和计算难度——实际上是紧密且不可分割地联系在一起的。它们只是一个单一、统一且奇妙复杂的数学现实的不同侧面。