Omgekeerde congruentiegenerator

Een omgekeerde congruentiegenerator is een niet-lineaire toevalsgeneratoren die de modulaire multiplicatieve inverse gebruikt (indien aanwezig) om het volgende getal te genereren. Een omgekeerde congruentiegenerator is een rekenkundige bewerking die de bekende nadelen van lineaire congruentiegeneratoren door de stelling van Marsaglia vermijdt. In het bijzonder ontstaan geen hypervlakken. Als men gebruikmaakt van omgekeerde congruentiegeneratoren voor de Box-Muller-methode, wordt spiraalgedrag vermeden. In ruil daarvoor eist deze methode een hogere rekenkundige complexiteit.

De omgekeerde congruentiegenerator bestaat uit de volgende componenten:

• Modulo ${\displaystyle p\in \mathbb{P}}$ (${\displaystyle \mathbb{P}}$ staat zoals gewoonlijk voor de verzameling van priemgetallen)
• Factor ${\displaystyle a\in \{0,\dots ,p-1\}}$
• Toename ${\displaystyle b\in \{0,\dots ,p-1\}}$
• Startwaarde ${\displaystyle y_0\in \{0,\dots ,p-1\}}$

De standaardformule voor een omgekeerde congruentiegenerator is

${\displaystyle y_{n+1}\equiv a{y}_n^{-1}+b\equiv a{y}_n^{p-2}+b(\mathrm{mod}p)}$.

Voor uitleg van de symboliek, zie modulair rekenen. Wegens ${\displaystyle p\in \mathbb{P}}$ is er voor elke ${\displaystyle y_n\ne 0}$ een unieke multiplicatieve inverse van elk element, ${\displaystyle y_n^{-1}}$, zodat ${\displaystyle y_n{y}_n^{-1}\equiv 1}$. Alleen om ${\displaystyle y_n=0}$ moet je je nog zorgen maken. Formeel zou het element ${\displaystyle \mathrm{\infty }}$ het omgekeerde van ${\displaystyle 0}$ worden. Aangezien ${\displaystyle \mathrm{\infty }}$ niet vertegenwoordigd is, kan deze het best overgeslagen worden door het te schrijven als ${\displaystyle 0^{-1}=0}$.

De maximale periodelengte kan niet groter zijn dan ${\displaystyle p}$. Dit wordt bereikt als en slechts als de polynoom ${\displaystyle x^2-bx-a}$ een primitieve veelterm in ${\displaystyle {\mathbb{Z}}_p}$ is.

In tegenstelling tot lineaire congruentiegeneratoren waarvan de waarden zo weinig van hypervlakken verschillen, kan men hier aantonen dat elk hypervlak in ${\displaystyle {\mathbb{Z}}_p^k}$ ten hoogste ${\displaystyle k}$ punten van de vorm

${\displaystyle (x_1,\dots ,x_k),(x_2,\dots ,x_{k+1}),\dots }$

bevat, zo lang ${\displaystyle x_l\dots x_{l+k-2}\ne 0}$. Door deze voorwaarde worden er nauwkeurig ${\displaystyle k-1}$ punten afgescheiden. Daarbij kan ${\displaystyle k\ge 2}$ gekozen worden.

Ter vervanging van de modulo deling door het afsnijden van de meest significante bits zou het handig zijn om modulo ${\displaystyle m}$ voor de berekening

${\displaystyle y_{n+1}\equiv (a{y}_n^{p-2}+b)(\mathrm{mod}m)}$

toe te staan die geen priemgetal, maar een macht van 2 is. Daarvoor moet ${\displaystyle y_0}$ niet gegeven zijn, en ${\displaystyle a,b}$ moeten zo vastgesteld worden dat alle ${\displaystyle y_n}$ oneven zijn, omdat dan het inverse element van ${\displaystyle y_n}$ eenduidig berekend kan worden. De periodelengte is hoogstens ${\displaystyle m/2}$. Indien aan de volgende voorwaarden is voldaan, is het precies ${\displaystyle m/2}$:

• ${\displaystyle m=2^e\text{ met }e\ge 3}$
• ${\displaystyle a\equiv 1(\mathrm{mod}4)}$
• ${\displaystyle b\equiv 2(\mathrm{mod}4)}$

Soms leest men de definitie als:

${\displaystyle y_{n+1}\equiv (an+b{)}^{-1}\equiv (an+b{)}^{p-2}(\mathrm{mod}p)}$

of

${\displaystyle y_{n+1}\equiv (a(n+y_0)+b{)}^{-1}\equiv (a(n+y_0)+b{)}^{p-2}(\mathrm{mod}p)}$

De laatste is geen generalisatie van bovenstaande formule; deze wordt onmiddellijk verkregen door vermenigvuldiging van bovenstaande formule.

De maximale periode lengte is weer gelijk aan ${\displaystyle p}$, en zal worden bereikt, als ${\displaystyle a\ne 0}$.

lineaire congruentiegenerator

• Niederreiter, H., Random Number Generation and Quasi-Monte Carlo Methods, Society for Industrial and Applied Mathematics (1992).
• Stallings, W., Cryptography and network security: principles and practice, University of Minnesota (1999).