xoroshiro128+の状態遷移の逆算の考察

はじめに

この記事はPokémon Past Generation Advent Calender 2019 一日目の記事です.

なんぞこれ？

某所で話題になっている疑似乱数生成器"xoroshiro128+"の状態遷移の逆関数を求めてみようという趣旨の記事です.

逆関数が求まると何がうれしいの？

初期seedを逆算したりできて色々と便利.
線形代数の計算を実用的な場面で行えるので楽しい(過程が).

xoroshiroの状態遷移の概要

xoroshiroは"xor","rotate","shift","rotate"の略らしいです. xorshiftの改良版だとか.
xorとビットシフトは乱数調整で遊んでいる人ならよく知っているはずなので省略しますが, rotateはあんまりなじみがないかもしれません. 普通のビットシフトは端からあふれ出たビットは捨てられますが, rotateは逆の端からﾆｭｯと出てきます.
1011を左に2bit shiftをかけると1100になりますが, rotateだと1110になります.
xoroshito128+は128bitの内部状態を64bit×2で持ち, 64bitの乱数値を返してくれます.
内部状態を64bit整数X,Yで持っているとすると, X+Yで乱数を取得します. MTみたいなtemperingは無い様子.
状態遷移は以下の通りの処理で行われます.


X = rotl(X, 24) ^ (X^Y) ^ ((X^Y) << 16)
Y = rotl(X^Y, 37)

方針

これと全く一緒. xorとshiftしか使ってない乱数生成器なら全部同じ方針で解けると思います.

実際に計算してみる

(以下常体)

rotl(X,n) =:

R_{l} (n) \in M_{64} (F_{2}),

<<16 =:

L_{16} \in M_{64} (F_{2})

とおいて,

x_{n}, y_{n} \in F_{2}^{64}

を内部状態X,Yとする.

\begin{aligned} [\begin{array}{c} x_{n + 1} \\ y_{n + 1} \end{array}] & = [\begin{array}{c} R_{l} (24) x_{n} + x_{n} + y_{n} + L_{16} (x_{n} + y_{n}) \\ R_{l} (37) (x_{y} + y_{n}) \end{array}] \\ = [\begin{array}{c} (R_{l} (24) + E + L_{16}) x_{n} + (E + L_{16}) y_{n} \\ R_{l} (37) x_{y} + R_{l} (37) y_{n} \end{array}] \\ = [\begin{array}{c} R_{l} (24) + E + L_{16} & E + L_{16} \\ R_{l} (37) & R_{l} (37) \end{array}] [\begin{array}{c} x_{n} \\ y_{n} \end{array}] . \end{aligned}

R_{l} (n) \in G L_{64} (F_{2})

で,

R_{l} (n)^{- 1} = R_{l} (64 - n)

であり,

L_{16}^{'} := E + L_{16}

についても,

F_{2}^{64}

においては

b = a + (a << n) ⟺ a = b + (a << n)

であることに注意すると,

x, y

の第

i

bitをそれぞれ

x_{i}, y_{i}

とするとき

x_{i} = {\begin{cases} y_{i} (1 \leq i < n) \\ y_{i} + x_{i - n} (n \leq i \leq 64) \end{cases}

であることから, 可逆であることがわかる. あとは頑張れば逆行列が出る.

簡単のため

R_{l} (24) = A, L_{16}^{'} = B, R_{l} (37) = C

とおくと,

[\begin{matrix} x_{n + 1} \\ y_{n + 1} \end{matrix}] = [\begin{matrix} A + B & B \\ C & C \end{matrix}] [\begin{matrix} x_{n} \\ y_{n} \end{matrix}]

と書けてとてもうれしい. これの逆行列を求める.

[\begin{matrix} A + B & B \\ C & C \end{matrix}] [\begin{matrix} X_{1} & X_{2} \\ X_{3} & X_{4} \end{matrix}] = [\begin{matrix} E & 0 \\ 0 & E \end{matrix}]

とすると,

\begin{aligned} (A + B) X_{1} + B X_{3} & = E \\ (A + B) X_{2} + B X_{4} & = 0 \\ C X_{1} + C X_{3} & = 0 \\ C X_{2} + C X_{4} & = E \end{aligned}

の4本の式が立つ.

A, B, C \in M_{64} (F_{2})

なので

- X = X

であることと, 乗法が非可換であることに注意してこれを解いていく.

下の2本の式より

X_{3} = X_{1} X_{4} = C^{- 1} + X_{1} .

これを上の2本にそれぞれ代入していく. まず1本目から

\begin{aligned} (A + B) X_{1} + B X_{1} & = E \\ A X_{1} + B X_{1} + B X_{1} & = E \\ A X_{1} & = E \\ X_{1} & = A^{- 1} . \end{aligned}

よって,

X_{1} = X_{3} = A^{- 1} .

次に2本目から

\begin{aligned} (A + B) X_{2} + B (C^{- 1} + X_{2}) & = 0 \\ A X_{2} + B X_{2} + B C^{- 1} + B X_{2} & = 0 \\ A X_{2} + B C^{- 1} & = 0 \\ A X_{2} & = B C^{- 1} \\ X_{2} & = A^{- 1} B C^{- 1} . \end{aligned}

よって

X_{2} = A^{- 1} B C^{- 1}, X_{4} = A^{- 1} B C^{- 1} + C^{- 1} .

以上から,

\begin{aligned} {[\begin{array}{c} A + B & B \\ C & C \end{array}]}^{- 1} & = [\begin{array}{c} A^{- 1} & A^{- 1} B C^{- 1} \\ A^{- 1} & A^{- 1} B C^{- 1} + C^{- 1} \end{array}] \\ = [\begin{array}{c} R_{l} (24)^{- 1} & R_{l} (24)^{- 1} L_{16}^{'} R_{l} (37)^{- 1} \\ R_{l} (24)^{- 1} & R_{l} (24)^{- 1} L_{16}^{'} R_{l} (37)^{- 1} + R_{l} (37)^{- 1} \end{array}] \\ = [\begin{array}{c} R_{l} (40) & R_{l} (40) L_{16}^{'} R_{l} (27) \\ R_{l} (40) & R_{l} (40) L_{16}^{'} R_{l} (27) + R_{l} (27) \end{array}] . \end{aligned}

(

L_{16}^{'}

の可逆性必要なかった……)

すなわち,

[\begin{matrix} x_{n} \\ y_{n} \end{matrix}] = [\begin{matrix} R_{l} (40) & R_{l} (40) L_{16}^{'} R_{l} (27) \\ R_{l} (40) & R_{l} (40) L_{16}^{'} R_{l} (27) + R_{l} (27) \end{matrix}] [\begin{matrix} x_{n + 1} \\ y_{n + 1} \end{matrix}]

\begin{aligned} x_{n} & = R_{l} (40) x_{n + 1} + R_{l} (40) (E + L_{16}) R_{l} (27) y_{n + 1} \\ = R_{l} (40) x_{n + 1} + R_{l} (3) y_{n + 1} + R_{l} (40) L_{16} R_{l} (27) y_{n + 1} \\ y_{n} & = R_{l} (40) x_{n + 1} + R_{l} (40) (E + L_{16}) R_{l} (27) y_{n + 1} + R_{l} (27) y_{n + 1} \\ = R_{l} (40) x_{n + 1} + R_{l} (3) y_{n + 1} + R_{l} (40) L_{16} R_{l} (27) y_{n + 1} + R_{l} (27) y_{n + 1} . \end{aligned}

以上から,


X = rotl(X,40) ^ rotl(Y,3) ^ rotl((rotl(Y,27)<<16),40)
Y = rotl(X,40) ^ rotl(Y,3) ^ rotl((rotl(Y,27)<<16),40) ^ rotl(Y,27)

で逆算ができる.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Learn More →

(https://gist.github.com/yatsuna827/ea985d2ce4d34da1e35ec4adf1862050)

さいごに

明日も私の記事ですね.
まだたくさん空きがあるので参加お待ちしています.

xoroshiro128+の状態遷移の逆算の考察

はじめに

なんぞこれ？

逆関数が求まると何がうれしいの？

xoroshiroの状態遷移の概要

方針

実際に計算してみる

さいごに

Read more

乱数調整における検索処理の高速化戦略

TinyMTの逆方向への遷移

Xoroshiro128pのジャンプ関数を改めて考える

PokemonPRNGを使ってプログラムを書くときのサンプル