Can computers generate truly random numbers?

Standard computer algorithms cannot generate truly random numbers — they produce pseudo-random sequences that are deterministic given a seed. However, modern computers can harvest true randomness from physical sources like thermal noise and hardware RNG circuits.

Is Math.random() safe for generating passwords?

No. Math.random() uses a predictable algorithm that an attacker can reverse-engineer. For passwords, always use the Web Crypto API: crypto.getRandomValues().

What is entropy in the context of random number generation?

Entropy measures the amount of genuine unpredictability in a system, expressed in bits. One bit of entropy represents one unpredictable binary choice. Password strength is often expressed in bits of entropy.

What is the Mersenne Twister and why is it popular?

The Mersenne Twister is a PRNG with a period of 2^19937 - 1, excellent statistical properties, and fast execution. It has been the default in Python, Ruby, R, and PHP, but is not cryptographically secure.

How do random number generators work in games?

Games use seeded PRNGs for reproducible procedural generation and weighted random distributions for loot drops. Many implement pity systems to guarantee rare outcomes after a certain number of attempts.

What is the difference between /dev/random and /dev/urandom on Linux?

Since Linux kernel 5.6, both behave identically after initial seeding, using the same ChaCha20-based CSPRNG. The old advice to prefer /dev/random for stronger randomness is outdated.

随机生成器:工作原理及使用场景

2026年3月16日 · 13分钟阅读

随机生成器无处不在。每次你随机播放歌单、生成密码、运行模拟或玩电子游戏时,随机数生成器都在幕后工作。但你是否想过,计算机——这种遵循精确指令的确定性机器——是如何产生随机性的?答案比你想象的更有趣(也更微妙)。

本指南探讨随机生成器背后的科学和工程原理。我们将介绍真随机数和伪随机数之间的区别、流行算法的工作原理、何时需要密码学级别的随机性,以及影响你日常生活的实际应用。无论你是选择合适随机函数的开发者、学习概率的学生,还是单纯对事物运作原理感到好奇,本指南都能满足你的需求。

什么是随机性?深入探讨

随机性看似直观——它是不可预测性、混沌、缺乏模式。但精确定义随机性却出乎意料地困难,数学家们已经争论了几个世纪。

从最严格的意义上说,如果没有算法能比猜测更好地预测下一个值,即使完全了解所有先前的值,那么这个序列就是真正随机的。这被称为柯尔莫哥洛夫随机性——如果一个序列无法被压缩为更短的描述,那么它就是随机的。例如,圆周率的数字通过了所有随机性统计测试,但它们是完全确定性的(你可以通过足够的计算来计算任何一位数字)。

在实际应用中,我们关心随机性的三个属性:

均匀分布:每个可能的结果出现的概率相等。
独立性:每个值与之前或之后的值无关。
不可预测性:观察者无法从历史记录预测下一个值。

不同的应用需要这些属性的不同程度。掷骰子游戏需要均匀性和独立性,但不一定需要不可预测性。密码生成器需要全部三个属性。了解你的应用需要什么样的随机性是选择正确生成器的第一步。

真随机与伪随机:根本区别

所有随机生成器分为两类,这种区别对正确性和安全性都极为重要。

真随机数生成器(TRNG)

真随机生成器从根本上不可预测的物理现象中获取随机性:

放射性衰变:根据量子力学,原子发射粒子的确切时刻是真正不可预测的。
大气噪声:Random.org使用无线电接收器捕获大气电磁噪声,这是混沌且不可重现的。
热噪声:电子元件由于电子的热运动而产生随机电压波动。
光子检测:单个光子通过分束器的确切到达时间和路径在量子力学上是随机的。
硬件RNG:现代CPU(英特尔的RDRAND、AMD的等效产品)包含内置电路,利用电子噪声生成随机位。

TRNG的关键特性是其输出是不可重现的。即使使用相同的设备和条件,每次也会得到不同的序列。这对于密码学应用至关重要,因为可重现性将是致命缺陷。

伪随机数生成器(PRNG)

PRNG是算法——确定性数学公式,产生看似随机但在给定初始状态(称为种子)的情况下完全可预测的数字序列。给PRNG相同的种子,它每次都会产生完全相同的序列。

这听起来像是一个弱点,但实际上对许多应用来说是一个特性:

可重现性:科学家可以通过记录种子来精确重现模拟。
速度:PRNG比TRNG快几个数量级。
无需特殊硬件:PRNG可以在任何计算机上运行。
可测试性:开发者可以使用固定种子调试程序,确保行为一致。

挑战在于设计输出在统计上与真随机性无法区分的PRNG——通过所有已知的均匀性、独立性和缺乏模式的统计测试。

🎲 试用我们的生成器

随机数生成器 → 密码生成器 →

伪随机数生成器(PRNG)的工作原理

从本质上讲,PRNG维护一个内部状态,每次调用时都会对其进行转换,产生输出并更新状态以供下次使用。PRNG的质量取决于其转换避免模式和相关性的能力。

线性同余生成器(LCG)

最简单和最古老的PRNG系列,LCG使用以下公式:

state = (a × state + c) mod m
output = state

其中a(乘数)、c(增量)和m(模数)是精心选择的常数。例如,经典的MINSTD生成器使用a = 16807、c = 0、m = 2³¹ - 1。LCG速度极快(一次乘法和一次取模),但有众所周知的弱点:在高维度绘制时,连续值显示模式,低位比特以短周期循环。大多数现代应用已经超越了LCG。

梅森旋转算法(MT19937)

自1997年推出以来,梅森旋转算法一直是许多语言和系统中的默认PRNG。它维护624个32位整数的状态,周期为2¹⁹⁹³⁷ - 1(一个梅森素数,因此得名)。这个周期长得惊人——远超过可观测宇宙中的原子数量。

该算法的工作原理是:

从种子初始化624个状态值
对于每个随机数,通过位移和异或运算提取并"调和"一个状态值
定期使用扭曲变换重新生成整个状态数组

梅森旋转算法通过了大多数统计测试,非常适合模拟、游戏和通用用途。然而,它不是密码学安全的——观察624个输出就可以重建完整的内部状态并预测所有未来值。

Xoshiro256**和现代PRNG

像xoshiro256**(用于许多现代语言)和PCG(置换同余生成器)这样的新型PRNG解决了旧生成器的缺点。它们提供:

更小的状态(256位 vs. 梅森旋转算法的20 KB)
边缘情况下更好的统计特性
使用单指令操作更快的执行速度
可跳跃状态(无需生成中间值即可跳过序列)

JavaScript的Math.random()

当你在JavaScript中调用Math.random()时,现代引擎(V8、SpiderMonkey、JavaScriptCore)使用xorshift128+,这是一个具有良好统计特性的快速PRNG。它产生一个介于0(包含)和1(不包含)之间的浮点数。虽然对于游戏、随机播放和随机选择来说完全没问题,但它绝不应该用于安全敏感的目的。

// min和max之间的基本随机数(包含)
function randomInt(min, max) {
  return Math.floor(Math.random() * (max - min + 1)) + min;
}

// 从数组中随机选择元素
function randomChoice(array) {
  return array[Math.floor(Math.random() * array.length)];
}

// 打乱数组(Fisher-Yates算法)
function shuffle(array) {
  for (let i = array.length - 1; i > 0; i--) {
    const j = Math.floor(Math.random() * (i + 1));
    [array[i], array[j]] = [array[j], array[i]];
  }
  return array;
}

密码学随机性:安全至关重要时

对于安全应用——密码、加密密钥、会话令牌、随机数——常规PRNG是危险地不足的。能够预测你的随机数的攻击者可以破坏你的整个安全模型。

CSPRNG有什么不同?

密码学安全伪随机数生成器(CSPRNG)增加了一个关键属性:前向和后向保密性。即使攻击者发现当前的内部状态,他们也无法确定先前的输出(后向保密性)。在不知道状态的情况下,从过去的输出预测未来的输出在计算上是不可行的。

CSPRNG通过以下方式实现这一点:

大型内部状态:256+位,使暴力破解状态恢复不切实际
单向函数:输出转换在计算上是不可逆的
持续重新播种:定期混入来自硬件源的新鲜熵
状态销毁:使用后覆盖先前的状态

常见的CSPRNG

ChaCha20:被Linux的/dev/urandom(自内核4.8起)和许多现代系统使用。快速、安全且经过充分分析。
AES-CTR-DRBG:基于计数器模式下的AES加密。NIST推荐,在现代CPU上有硬件加速。
Fortuna:由Bruce Schneier设计。使用多个熵池以抵御部分妥协。

在实践中使用密码学随机性

在浏览器中,Web Crypto API提供密码学级别的随机性:

// 生成密码学安全的随机整数
function secureRandomInt(min, max) {
  const range = max - min + 1;
  const bytesNeeded = Math.ceil(Math.log2(range) / 8);
  const maxValid = Math.floor(256 ** bytesNeeded / range) * range - 1;

  let value;
  do {
    const array = new Uint8Array(bytesNeeded);
    crypto.getRandomValues(array);
    value = array.reduce((acc, byte, i) => acc + byte * (256 ** i), 0);
  } while (value > maxValid); // 拒绝有偏差的值

  return min + (value % range);
}

// 生成安全的随机密码
function generatePassword(length = 16) {
  const chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*';
  const array = new Uint32Array(length);
  crypto.getRandomValues(array);
  return Array.from(array, x => chars[x % chars.length]).join('');
}

使用我们的密码生成器尝试生成安全密码,它使用Web Crypto API提供密码学级别的随机性。

熵:随机性的燃料

在随机性的背景下,熵衡量系统中真正不可预测性的数量。它以比特为单位测量——一比特熵意味着攻击者无法预测的一个二进制选择。

熵从哪里来?

操作系统持续从多个来源收集熵:

键盘和鼠标计时:按键和鼠标移动之间的精确微秒级间隔是不可预测的。
磁盘I/O计时:寻道时间和中断计时具有来自机械和电子因素的固有抖动。
网络数据包计时:网络数据包的到达时间包括来自网络条件的亚微秒级变化。
硬件RNG:现代CPU提供专用熵源(英特尔RDRAND/RDSEED、ARM RNDR)。
热传感器噪声:最大精度下的温度读数