Rust 的 rand 板条箱中使用的 PRNG 算法是什么？

Question

我正在编写一个网络应用程序，它将进行一些财务模型模拟。只是为了好玩和学习新事物的机会，我决定将所有数学和模拟卸载到 WebAssembly 并在 Rust 中实现 wasm。

因此，我正在研究 Rust 的 PRNG。我找到了一个Mersenne Twister crate，而 MT 显然是一种成熟的算法（甚至在几种语言中默认使用），但是这个特定的 crate 似乎不是很受欢迎。我也知道 Rust 有一个 rand crate “内置”（如果这甚至是一件事），但我还没有找到任何信息：

• rand使用的算法是什么？
• 该算法在随机性质量方面与其他算法（例如 MT）相比如何？

明确一点：我正在评估统计随机性（模拟随机过程）的算法，不是加密安全性。

Answer 1

我也知道 Rust 有一个“内置”的 rand crate（如果这是一个东西的话），但我没有找到任何信息：

• rand 中使用的算法是什么？

文档需要跳来跳去，但看起来很清楚？

random 重定向到thread_rng，该结构指向ThreadRng 结构，该结构记录了它使用与StdRng 相同的PRNG，它说：

当前使用的算法是 12 轮的 ChaCha 分组密码。请参阅this relevant rand issue 进行讨论。

*该算法在随机性质量方面与其他算法（例如 MT）相比如何？

ChaCha 是一种加密安全的 PRNG（它被用于每个 BSD 的系统 RNG 以及 Linux），而 MT 绝对不是；并且ChaCha在随机性质量方面远远优于MT。

这确实是有代价的，CSPRNG 往往比非安全 PRNG 慢（因为它们的目标完全不同）。虽然 MT 的速度不如 PRNG 快，但 chacha12 可能很有竞争力。

rand 还提供了SmallRng，这是一个非加密 PRNG，具有相当好的统计特性，非常快。

Answer 2

用作默认 PRNG 的算法是 12 轮的 ChaCha。这在 ThreadRng 和 StdRng 中使用，这两者通常都是从系统的 CSPRNG 中播种的。

ChaCha12 与所有加密安全 PRNG 一样，通过了下一位测试。也就是说，给定 PRNG 的任意数量的输出，正确猜测下一位的概率比偶数要好得多，可以忽略不计。这是任何 PRNG 所能提供的最佳标准，并且比未通过此测试的 Mersenne Twister 好很多。

ChaCha 通常非常快，对于大多数用途来说，ChaCha12 是一个不错的选择。如果需要更强大的密码安全性，ChaCha20（即 20 轮的 ChaCha）是最保守的。 ChaCha 最著名的攻击是七轮。

如果您只需要快速、非加密的 PRNG，ChaCha8 是一个不错的选择。它通常比几乎所有其他 PRNG 都快，包括在我的测试中，PCG 和 Xoshiro256++（这是当前的SmallRng），并且仍然被认为是加密安全的（因此通过了下一位测试），但由于低安全边际，这将不是加密使用的负责任选择。然而，由于它的速度和统计特性，它对于大多数其他用途来说是一个不错的选择。