Kongruenzgenerator

Die Kongruenzgeneratoren bilden eine Klasse von Algorithmen, die zufällig aussehende Zahlenfolgen erzeugen. Die dadurch erzeugten Zahlen nennt man Pseudozufallszahlen, da sie deterministisch erzeugt werden und somit nicht wirklich zufällig sind. Kongruenzgeneratoren sind die bekanntesten und meistverwendeten rekursiven arithmetischen Zufallszahlengeneratoren.

Allgemeiner Kongruenzgenerator Bearbeiten

Ein Kongruenzgenerator wird durch folgende Parameter definiert:

Anzahl $n\in \mathbb {N} ^{+}$ der Zustandswerte
Modul $m\in \{2,3,4,\ldots \}$
Faktoren $a_{1},\ldots ,a_{n}\in \left\{0,\ldots ,m-1\right\}$ mit $a_{n}>0$
Inkrement $b\in \left\{0,\ldots ,m-1\right\}$
Startwerte $y_{1},\ldots ,y_{n}\in \left\{0,\ldots ,m-1\right\}$ (nicht alle 0, wenn $b=0$ )

Für $i>n$ setzt man nun

y_{i}=\left(\left(\sum _{k=1}^{n}a_{k}y_{i-k}\right)+b\right)\,{\bmod {\,}}m

. Dabei bezeichnet

\mod {}

den Divisionsrest; siehe Modulo.

Die so berechneten $y_{i}$ werden als Zufallszahlen verwendet.

Der Zustand des Generators vor der Erzeugung von $y_{i}$ wird durch die Werte $y_{i-n},\ldots ,y_{i-1}$ gegeben. Dieser Zustand legt (bei gegebenen $n,m,a_{k},b$ ) alle folgenden Zufallszahlen fest, da die nächste Zufallszahl und der nächste Zustand durch den aktuellen Zustand determiniert werden. Es gibt $m^{n}$ mögliche Zustände, und deshalb muss spätestens nach $m^{n}$ Schritten ein früherer Zustand wiederholt werden. Der Kongruenzgenerator erzeugt somit eine periodische Folge von Zahlen, wobei die Periodenlänge auch wesentlich kleiner als $m^{n}$ sein kann. Im Extremfall ist sie 1, und der Generator erzeugt immer die gleiche „Zufallszahl“. Bei der Festlegung der Parameter kommt es somit unter anderem darauf an, eine ausreichende Periodenlänge sicherzustellen.

Braucht man reelle Zufallszahlen im Intervall $[0,1)$ , so kann man dafür die Näherung

u_{i}:={\frac {y_{i}}{m}}

verwenden, falls der Modulo $m$ groß genug ist, um eine ausreichend feine Unterteilung zu ergeben.

Linearer Kongruenzgenerator Bearbeiten

Mit $n=1$ erhält man den Sonderfall eines linearen Kongruenzgenerators. Bei $b=0$ wird er als multiplikativer Kongruenzgenerator bezeichnet, und für andere $b$ als gemischter linearer Kongruenzgenerator.

Letzterer wird häufiger verwendet und hat vier natürliche Zahlen als Parameter:

Modul $m\in \{2,3,4,\ldots \}$
Faktor $a\in \{1,\ldots ,m-1\}$
Inkrement $b\in \{1,\ldots ,m-1\}$
Startwert $y_{1}\in \{0,\ldots ,m-1\}$

Aus dem Startwert werden dann die weiteren Werte nach folgender Formel (mit $i\geq 2$ ) berechnet:

y_{i}=(ay_{i-1}+b)\ {\bmod {\ }}m

Der lineare Kongruenzgenerator wurde 1949 von Derrick Henry Lehmer eingeführt.^[1] Er wird in den Laufzeitbibliotheken verschiedener Programmiersprachen zur Erzeugung von Pseudozufallszahlen verwendet, z. B. in C/C++ in der Funktion rand() in der Headerdatei stdlib.h.^[2]

In der Kryptographie dagegen kommt der lineare Kongruenzgenerator nicht zum Einsatz, da man schon aus wenigen Werten der erzeugten Zahlenfolge die Parameter $a$ und $b$ und damit die vollständige Zahlenfolge berechnen kann.

Periodenlänge Bearbeiten

Lineare Kongruenzgeneratoren erreichen nach dem Satz von Knuth genau dann ihre maximal mögliche Periodenlänge $m$ , wenn die folgenden Voraussetzungen erfüllt sind:

Das Inkrement $b$ ist zum Modul $m$ teilerfremd.
Jeder Primfaktor von $m$ teilt $a-1$ .
Wenn $m$ durch 4 teilbar ist, dann auch $a-1$ .

In diesem Fall erzeugt der Generator jede Zahl von 0 bis $m-1$ genau einmal und beginnt dann wieder von vorn. Er liefert also eine pseudozufällige Permutation dieser Zahlen. Der Startwert $y_{1}$ kann dann jede Zahl aus dieser Menge sein.

Der multiplikative Kongruenzgenerator (mit $b=0$ ) muss somit eine Periodenlänge kleiner als $m$ haben. Der Satz von Carmichael besagt: bei gegebenem $m$ ist seine Periodenlänge genau dann maximal, wenn gilt:

$y_{1}$ ist zu $m$ teilerfremd,
$a$ ist ein primitives Element modulo $m$ .

Für einige Sonderfälle von $m$ können die primitiven Elemente modulo $m$ leicht bestimmt werden:

Ist $m$ eine Zweierpotenz $\geq 16$ , dann muss $a$ mod 8 den Rest 3 oder 5 liefern. Die Periodenlänge ist dann $m/4$ , und der Startwert $y_{1}$ muss ungerade sein. Es gibt zwei Perioden, die jeweils die Hälfte der ungeraden Zahlen von $1$ bis $m-1$ umfassen.
Wenn $m$ eine Primzahl $\geq 3$ ist, dann muss für alle Primfaktoren $q$ von $m-1$ gelten:
$a^{(m-1)/q}\ {\bmod {\ }}m\neq 1$ . Dann beträgt die Periodenlänge $m-1$ . Der Startwert $y_{1}$ darf nicht Null sein.

Mängel der erzeugten Zahlen Bearbeiten

Der lineare Kongruenzgenerator liefert keine vollkommen zufällig erscheinenden Zahlen. Man kann nachweisen, dass eine Abhängigkeit von aufeinanderfolgenden Zahlen besteht.

Teilperiode Bearbeiten

Oft wählt man $m=2^{e}$ , wobei $e$ die Wortlänge des Rechners in Bit ist, denn dann muss man die Modulo-Division nicht explizit berechnen. Sie ergibt sich von selbst durch das Abschneiden der Überlauf-Bits. In diesem Fall verhalten sich die $x$ niederwertigsten Bits der Zustandszahl $y_{i}$ wie ein Generator mit dem Modul $2^{x}$ . Diese Bits wiederholen sich also spätestens nach $2^{x}$ Schritten. Dies bedeutet insbesondere, dass das niederwertigste Bit bestenfalls die Periode 2 besitzt, also regelmäßig zwischen 0 und 1 wechselt. Beim multiplikativen Kongruenzgenerator ist es sogar konstant.

Allgemein gilt für alle linearen Kongruenzgeneratoren: wenn $d$ ein Teiler des Moduls $m$ ist, dann ergibt $y_{i}\ {\bmod {\ }}d$ eine Zahlenfolge mit der Periode $o\leq d$ :

für ein

o\in \{1,\ldots ,d\}

gilt:

\forall i:y_{i+o}\equiv y_{i}\ ({\bmod {\ }}d)

.

Wenn der Generator nach dem Satz von Knuth die Periode $m$ hat, dann beträgt die Länge $o$ der Teilperiode genau $d$ für alle Teiler $d$ von $m$ .

Wegen dieses Teilperioden-Verhaltens ist es ungünstig, Zufallszahlen $r_{i}\in \{0,\ldots ,k-1\}$ durch $r_{i}:=y_{i}\ {\bmod {\ }}k$ zu gewinnen, wenn $k$ und $m$ nicht teilerfremd sind. Dann würde der Divisionsrest $r_{i}\ {\bmod {\ }}d$ für eine Zahl $d$ , die $k$ und $m$ teilt, eine Periode der Länge höchstens $d$ durchlaufen. Wenn man z. B. einen sechsseitigen Würfel simulieren will und $m$ gerade ist, dann liefert $r_{i}:=y_{i}\ {\bmod {\ }}6$ Zahlen, die abwechselnd gerade und ungerade sind.

Mögliche Abhilfe:

Man nutzt einen gemischten linearen Kongruenzgenerator mit Periode $m$ , wobei man den Modul $m$ zu $k$ teilerfremd wählt. Die Ergebnisse $r_{i}:=y_{i}\ {\bmod {\ }}k$ sind nicht gleichverteilt, aber bei $k\ll m$ ist die Abweichung von der Gleichverteilung nur gering und kann oft vernachlässigt werden.
Man nutzt einen multiplikativen Kongruenzgenerator mit Periode $m-1$ und wählt für $m$ eine große Primzahl. Wenn außerdem $m-1$ ein Vielfaches von $k$ ist, sind die $r_{i}$ auch gleichverteilt.
Man setzt $m=2^{e}$ und wendet mit den höchstwertigen Bits von $y_{i}$ eine Verwerfungsmethode an. Die $y_{i}$ werden um $e-f$ Bit nach rechts geschoben, wobei $2^{f}$ die kleinste Zweierpotenz $\geq k$ ist: $r_{i}:=\lfloor y_{i}/2^{e-f}\rfloor$ . Dabei verwendet man nur die $r_{i}<k$ , die übrigen werden verworfen. Diese Methode liefert gleichverteilte Ergebnisse.
Man berechnet $r_{i}:=y_{i}\ {\bmod {\ }}x$ , wobei $x$ die kleinste zu $m$ teilerfremde Zahl $\geq k$ ist, und $r_{i}\geq k$ werden verworfen.
Manche Implementierungen eines linearen Kongruenzgenerators umgehen das Problem, indem sie nur den höherwertigen Teil des Zustandswertes $y_{i}$ als Ergebnis liefern. Z. B. ist $m=2^{e}$ und das dem Nutzer gelieferte Ergebnis ist $\lfloor y_{i}/2^{b}\rfloor$ mit $2b=e$ .

Hyperebenen-Verhalten Bearbeiten

„Hyperebenenverhalten“ eines linearen Kongruenzgenerators in drei Dimensionen

Gemischter Kongruenzgenerator:

x_{n+1}=24298x_{n}+99991\ {\bmod {\ }}199017

. Dieser Generator wird im TI-59 von Texas Instruments verwendet. Gezeigt werden überlappende Tripel, d. h.,

(x_{1},x_{2},x_{3})

,

(x_{2},x_{3},x_{4})

,

(x_{3},x_{4},x_{5})

etc. Ohne Überlappungen bliebe nur jede dritte Ebene übrig.

Der lineare Kongruenzgenerator weist ein Hyperebenen-Verhalten auf, siehe Satz von Marsaglia. Durch geeignete Wahl der Parameter $m$ , $a$ und $b$ kann man das Verhalten des Generators optimieren und eine große Zahl von Hyperebenen erreichen. Bei gegebenem $m$ kann man $a$ nach folgenden Faustregeln bilden:

$a$ sollte weder zu groß noch zu klein sein, etwa: $0{,}01\cdot m<a<0{,}99\cdot m$
$a$ sollte möglichst zufällig gewählt werden, also nicht in dualer oder dezimaler Darstellung eine „runde“ Zahl sein.
Beim gemischten linearen Kongruenzgenerator sollte die Potency möglichst groß sein. Sie ist der minimale Wert $s$ , für den $(a-1)^{s}$ ein Vielfaches von $m$ ist. Donald E. Knuth empfiehlt, dass die Potency mindestens 5 sein sollte. Wenn $m=2^{e}$ , dann sollte $a\ {\bmod {\ }}8=5$ sein, um die maximal mögliche Potency $\lceil e/2\rceil$ zu erhalten.

Wenn man sichergehen will, dass der Generator gute Zufallszahlen erzeugt, sollte man sich nicht allein auf diese Faustregeln verlassen, sondern den Generator mit dem Spektraltest prüfen.

Wegen des Hyperebenen-Verhaltens greift man statt auf den linearen Kongruenzgenerator gelegentlich auf den inversen Kongruenzgenerator zurück, der dieses Problem nicht aufweist. Allerdings erfordert er einen höheren Rechenaufwand. Er ist kein Spezialfall des allgemeinen Kongruenzgenerators.

Programmierung Bearbeiten

Das folgende Programm in der Programmiersprache C++ implementiert einen linearen Kongruenzgenerator mit $m=2^{64}$ , $a=6364136223846793005$ und $b=2531011$ , der nur die 32 höchstwertigen Bits jeder erzeugten Zufallszahl ausgibt und die niederwertigen, die von geringerer Qualität sind, verwirft. Das Programm erzeugt 10 Zufallszahlen, die in einem Array gespeichert und anschließend auf der Konsole ausgegeben werden.^[3]^[4]

#include <iostream>
#include <stdint.h>
using std::cout;
using std::endl;

// Funktion, die die Zufallszahlen erzeugt
void linearCongruentialGenerator(uint64_t &y, uint32_t *randNumbers, int count)
{
    const uint64_t a = 6364136223846793005;
    const uint64_t b = 2531011;
    uint64_t r = y;  // lokale Variable für die Berechnung
    for (int i = 0; i < count; i++) {
        r = a * r + b;
        randNumbers[i] = r >> 32;
    }
    y = r; // Zustand zurückschreiben
}

int main()
{
    const int count = 10;        // Anzahl der Zufallszahlen
    uint32_t randNumbers[count]; // Array für die Zufallszahlen
    const uint64_t seed = 12345; // Startwert für den Generator

    uint64_t y = seed;           // Zustand des Generators
    linearCongruentialGenerator(y, randNumbers, count); // Erzeugung der Zufallszahlen

    for (int i = 0; i < count; i++) {
        cout << randNumbers[i] << endl; // Ausgabe auf der Konsole
    }
}

Fibonacci-Generator Bearbeiten

Ein Fibonacci-Generator ist ebenfalls ein Kongruenzgenerator (mit $n=2$ , $b=0$ und $a_{1}=a_{2}=1$ ) und besteht aus folgenden Komponenten:

Modul $m\in \{2,3,4,\dotsc \}$
Startwerte $y_{1},y_{2}\in \{0,\dotsc ,m-1\}$

Es sollte $\operatorname {ggT} (m,y_{1},y_{2})=1$ sein.

Mit folgender Bildungsregel werden die Pseudozufallszahlen erzeugt:

y_{i}=(y_{i-1}+y_{i-2}){\bmod {m}}\quad ({\text{mit }}i\geq 3)

Eine Eigenschaft ist, dass die Fälle $y_{i-1}<y_{i+1}<y_{i}$ bzw. $y_{i}<y_{i+1}<y_{i-1}$ nie auftreten. Fibonacci-Generatoren sind daher als Pseudozufallszahlengeneratoren wenig geeignet. Das gilt insbesondere für mathematische Objekte, zu deren Erzeugung mehr als zwei Zufallszahlen erforderlich sind. Würde man beispielsweise damit versuchen, eine zufällige Punktewolke in einem Würfel zu generieren, so kämen alle Punkte auf zwei Ebenen zu liegen.

Verzögerter Fibonacci-Generator Bearbeiten

Das Prinzip des Fibonacci-Generators kann aber verallgemeinert werden, indem man nicht die beiden letzten, sondern weiter zurückliegende Zustandswerte $y_{i}$ zur Erzeugung der neuen Zufallszahl verwendet. Dies ergibt einen verzögerten (engl. 'lagged') Fibonacci-Generator:

y_{i}=(y_{i-B}+y_{i-A}){\bmod {m}}\quad {\text{mit }}A,B\in \mathbb {N} ^{+},\ A>B;\quad i>A

mit den Startwerten

y_{1},\dotsc ,y_{A}\in \{0,\dotsc ,m-1\}

Dann ist also $n=A$ und $a_{A}=a_{B}=1$ , die übrigen $a_{k}$ sind Null. Dabei wählt man in der Regel $m$ gerade und $A$ und $B$ so, dass das Polynom in $x$

x^{A}+x^{B}+1

ein primitives Polynom modulo 2 ist. Dann beträgt die Periodenlänge des Generators mindestens $2^{A}-1$ .

Die folgende Tabelle gibt einige Wertepaare für $A$ und $B$ an, die diese Bedingung erfüllen:

A	2	31	55	73	98	100	135	258	607	3217	23209
B	1	13	24	25	27	37	22	83	273	576	9739

$x^{A}+x^{B}+1$ ist genau dann ein primitives Polynom modulo 2, wenn dies für $x^{A}+x^{A-B}+1$ gilt. Somit kann man statt $B$ immer auch $A-B$ verwenden.

Dieser Generator wird auch praktisch eingesetzt. Er liefert aber ebenfalls keine vollkommen zufällig erscheinenden Zahlen. Das Problem des einfachen Fibonacci-Generators wird nur verlagert: Man hat niemals $y_{i-A}<y_{i}<y_{i-B}$ oder $y_{i-B}<y_{i}<y_{i-A}$ . Außerdem gibt es noch weitere Mängel.

Als Abhilfe wurde vorgeschlagen, immer nur $A$ aufeinanderfolgende Zahlen zu verwenden, und dann die nächsten $4A$ bis $10A$ Zahlen zu verwerfen. Dies funktioniert gut, aber um den Preis eines 5- bis 11-mal höheren Rechenaufwands. Der von Donald Knuth vorgeschlagene Generator ranarray arbeitet auf diese Weise. Bei ihm ist $A=100$ und $B=37$ , und von 1009 aufeinanderfolgenden Zahlen wird immer nur ein Block von 100 Zahlen verwendet.

Um die Periode $2^{A}-1$ sicherzustellen, kommt es nur auf das jeweils niederwertigste Bit in den Zustandswerten $y_{i}$ an, also darauf, ob sie gerade oder ungerade sind. Man kann die höherwertigen Bits beliebig modifizieren, um die Qualität der erhaltenen Zufallszahlen zu verbessern. Beispielsweise:

y_{i}=(y_{i-A}+y_{i-B}+f(y_{i-C})){\bmod {m}};\quad f\colon \{0,\dotsc ,m-1\}\to \{0,2,4,6,\dotsc \},\;C\in \{1,\dotsc ,n\}

Andere Bearbeiten

Man kann den verzögerten Fibonacci-Generator weiter verallgemeinern, indem man mehr als zwei Zustandswerte verarbeitet:

y_{i}=\left(\sum _{k\in M}y_{i-k}\right){\bmod {m}}\quad {\text{mit}}\quad M\subset \mathbb {N} ^{+}

.

$n$ ist hier das größte Element in $M$ . Um eine Periode von mindestens $2^{n}-1$ zu garantieren, muss auch hier das entsprechende Polynom

\sum _{k\in M}x^{k}+1

oder gleichbedeutend das Polynom

x^{n}+\sum _{k\in M}x^{n-k}

ein primitives Polynom modulo 2 sein (mit geradem Modul $m$ ). Ein so konstruierter Generator mit $|M|>2$ liefert im Allgemeinen bessere Zufallszahlen als mit $|M|=2$ , aber wiederum um den Preis eines höheren Rechenaufwands.

Mit einer weiteren Verallgemeinerung kann man bei gegebenem $n$ die Periodenlänge vergrößern und wohl auch die Qualität der Zufallszahlen weiter verbessern. $p$ sei ein Primfaktor von $m$ . für die Berechnungsvorschrift

y_{i}=\left(\sum _{k=1}^{n}a_{k}y_{i-k}\right){\bmod {m}}

werden die $a_{k}\in \{0,\dotsc ,m-1\}$ derart gewählt, mit $a_{n}\not \equiv 0{\pmod {p}}$ , dass das Polynom in $x$

x^{n}-\sum _{k=1}^{n}(a_{k}{\bmod {p}})x^{n-k}

ein primitives Polynom modulo $p$ ist. Dann beträgt die Periodenlänge mindestens $p^{n}-1$ .
Der vorige Generator ergibt sich daraus mit $p=2$ und $a_{k}\in \{0,1\}$ als Sonderfall, und $n=1;\ p=m$ liefert einen multiplikativen Kongruenzgenerator mit der Periodenlänge $p-1$ .

Das Polynom $f(x)=x^{n}-\sum _{k=1}^{n}a_{k}x^{n-k}$ ist ein primitives Polynom modulo $p$ , wenn die folgenden Bedingungen erfüllt sind:

( ${\text{sei }}r={\frac {p^{n}-1}{p-1}}{\text{ und }}a=(-1)^{n-1}a_{n}$ )

$a$ ist ein primitives Element modulo $p$
das Polynom $x^{r}$ ist kongruent zu $a$ (modulo $f(x)$ )
für alle Primfaktoren $q$ von $r$ ist der Grad des Polynoms $x^{r/q}{\bmod {f}}(x)$ positiv

Dabei wird Polynomarithmetik angewandt (siehe Polynome sowie Polynomdivision), und mit den Koeffizienten wird modulo $p$ gerechnet (sie sind Elemente des Restklassenrings $\mathbb {Z} /p\mathbb {Z}$ ).