关于c ++：如何简洁，便携，彻底地播种mt19937 PRNG？

How to succinctly, portably, and thoroughly seed the mt19937 PRNG?

我似乎看到了许多答案，其中有人建议使用生成随机数，通常与以下代码一起使用：

1
2
3
4

std::random_device rd;
std::mt19937 gen(rd());
std::uniform_int_distribution<> dis(0, 5);
dis(gen);

通常这会取代一些"不神圣的憎恶"，比如：

1 2	srand(time(NULL)); rand()%6;

号

我们可以批评旧方法，认为time(NULL)提供低熵，time(NULL)是可预测的，最终结果是不均匀的。

但所有这些都是新的方式：它只是有一个更光亮的外表。

rd()返回单个unsigned int。它至少有16位，可能有32位。这还不足以使mt的19937位州成为种子。
使用std::mt19937 gen(rd());gen()(播种32位并查看第一个输出)并不能提供良好的输出分布。7和13永远不能作为第一个输出。两个种子产生0。12粒种子产生1226181350。(链接)
std::random_device可以(有时也可以)作为具有固定种子的简单prng来实现。因此，它可能在每次运行时产生相同的序列。(link)这甚至比time(NULL)更糟。

更糟糕的是，尽管前面的代码片段中存在问题，但复制和粘贴它们还是非常容易的。解决这一问题的一些解决方案需要购买大型图书馆，这可能不适合每个人。

鉴于此，我的问题是，如何在C++中简洁、易懂地、彻底地播种MT1937 PRNG？

鉴于上述问题，一个很好的答案是：

必须完全播种MT19937/MT19937 U 64。
不能仅仅依靠std::random_device或time(NULL)作为熵源。
不应该依靠暴力或其他诽谤。
应该放在一个小的行数，这样它会看起来很好的副本粘贴到一个答案。

思想

我目前的想法是，std::random_device的输出可以与time(NULL)混合(可能通过xor)，地址空间随机化得到的值，以及硬编码常量(可以在分布期间设置)，以获得最大的熵。
std::random_device::entropy()并不能很好地说明std::random_device可能做什么，也可能不做什么。

相关讨论

你为什么不能依赖/dev/random？
@法比安：那有什么可携带的？这是一个C++问题，而不是Linux问题。
编辑：随机生成必须如何"安全"？
@法比安：让我们知道
我不知道答案是什么，但是stackoverflow.com/a/22951601/560648建议第三方库是您目前的最佳选择。stackoverflow.com/a/26961833/560648同意您的看法。我的第一个反应是，std::mt19937是一个很好的可移植框架，允许您插入外部的、非标准的熵源。请注意，rand()不允许您这样做；也许这就是好处？stackoverflow.com/a/34490647/560648同意这取决于您的实现，事实上，这是有意义的。
我个人的想法是，也许可以从std::random_device、time(NULL)和函数地址中提取值，然后将它们混合在一起，产生一种尽最大努力的熵源。
如果有类似"随机设备"这样的函数可以正常降级，或者为用户生成警告或错误，那就太好了。
@尼尔·巴特沃斯：没错。而std::random_device::entropy()功能似乎很适合这个目的。但没有。
正确的解决方案不是短的，短的解决方案是不正确的。我在seed11库中使用的方法基本上是在计划运行程序的平台上正确地实现std::random_device，并提供一个帮助函数来创建种子生成器(seed11::make_seeded())。
@理查德，我想你可以给这个设备打100次电话，看看你是否总能得到同样的价值？
@尼尔巴特沃思：这并不能确定是否正在使用静态播种的prng，就像mingw中的情况一样。
@理查德，即使你每次都重新创建设备？
@尼尔：我明白你的意思。事实上，这可能会发现问题，但我正在寻找一个强有力的回应。
random_utils.hpp是从另一个pcg的随机博客文章链接到这个主题上的，并且做了很多你在"想法"部分提到的事情。
有没有可移植的方法将函数的地址转换成整数？铸造到void*，然后铸造到INT_PTR？
mt19937:：seed不做您想要的吗？
@gambit：不是。它相当于向构造函数传递一个值。困难在于找到一个好的不可预测的值。
旁白：你的第二颗子弹没有增加任何新的东西。你发现一些值出现了12次并不奇怪。假设您有2^32个独立的、均匀随机的样本，您应该期望有三个以上的值正好出现12次。
@Hurkyl:是的，但这并不是重点：)如果你使用这个方案运行一个程序很多次，并且取它输出的第一个数字，你想要得到一个(至少大致)均匀的分布，而事实上，输出会以一种对许多应用程序都有显著区别的方式发生倾斜。如果使用一个具有完整熵的种子，那么这些差异将被消除得更多。
这篇稍后发表在你链接的系列文章中的博客文章应该会给你很多好的信息。
如果你需要密码的随机性，你不应该使用std::mt19937。它泄漏内部状态的速度太快，无法用于加密目的。
"邪恶可憎"+1

我认为std::random_device最大的缺陷是，如果没有可用的csprng，它允许确定性回退。这本身就是不使用std::random_device为prng种子的一个很好的理由，因为产生的字节可能是确定性的。不幸的是，它没有提供一个API来查明发生这种情况的时间，或者请求失败而不是低质量的随机数。

也就是说，没有完全可移植的解决方案：但是，有一种体面的、最小的方法。您可以在csprng(定义为下面的sysrandom)周围使用一个最小的包装器来播种prng。

窗户

你可以依靠一个CSPRNG。例如，您可以使用以下代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

bool acquire_context(HCRYPTPROV *ctx)
{
if (!CryptAcquireContext(ctx, nullptr, nullptr, PROV_RSA_FULL, 0)) {
return CryptAcquireContext(ctx, nullptr, nullptr, PROV_RSA_FULL, CRYPT_NEWKEYSET);
}
return true;
}

size_t sysrandom(void* dst, size_t dstlen)
{
HCRYPTPROV ctx;
if (!acquire_context(&ctx)) {
throw std::runtime_error("Unable to initialize Win32 crypt library.");
}

BYTE* buffer = reinterpret_cast<BYTE*>(dst);
if(!CryptGenRandom(ctx, dstlen, buffer)) {
throw std::runtime_error("Unable to generate random bytes.");
}

if (!CryptReleaseContext(ctx, 0)) {
throw std::runtime_error("Unable to release Win32 crypt library.");
}

return dstlen;
}

类Unix

在许多类Unix的系统上，您应该尽可能使用/dev/urandom(尽管这并不能保证在符合POSIX的系统上存在)。

1
2
3
4
5
6
7
8

size_t sysrandom(void* dst, size_t dstlen)
{
char* buffer = reinterpret_cast<char*>(dst);
std::ifstream stream("/dev/urandom", std::ios_base::binary | std::ios_base::in);
stream.read(buffer, dstlen);

return dstlen;
}

号其他

如果没有可用的CSPRNG，您可以选择依赖std::random_device。但是，如果可能的话，我会避免这种情况，因为不同的编译器(尤其是mingw)将其作为prng实现(事实上，每次生成相同的序列以提醒人类它不是正确的随机的)。

播种

既然我们有了开销最小的片段，我们就可以生成所需的随机熵位来为我们的prng播种。该示例使用(明显不足的)32位作为prng的种子，您应该增加这个值(这取决于您的csprng)。

1
2
3

std::uint_least32_t seed;
sysrandom(&seed, sizeof(seed));
std::mt19937 gen(seed);

与Boost的比较

在快速查看源代码后，我们可以看到boost：：random_device(真正的csprng)的并行。Boost在Windows上使用MS_DEF_PROV，这是PROV_RSA_FULL的提供程序类型。唯一缺少的就是验证加密上下文，这可以用CRYPT_VERIFYCONTEXT完成。在*nix上，boost使用/dev/urandom。也就是说，这个解决方案是便携式的、经过良好测试的、易于使用的。

Linux专业化

如果您愿意为了安全而牺牲简洁性，那么在Linux 3.17及更高版本以及最近的Solaris上，getrandom是一个很好的选择。getrandom的行为与/dev/urandom的行为相同，但如果内核在引导之后还没有初始化其csprng，则它会阻塞。下面的代码段检测Linux getrandom是否可用，如果不可用，则返回到/dev/urandom。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

#if defined(__linux__) || defined(linux) || defined(__linux)
# // Check the kernel version. `getrandom` is only Linux 3.17 and above.
# include <linux/version.h>
# if LINUX_VERSION_CODE >= KERNEL_VERSION(3,17,0)
# define HAVE_GETRANDOM
# endif
#endif

// also requires glibc 2.25 for the libc wrapper
#if defined(HAVE_GETRANDOM)
# include <sys/syscall.h>
# include <linux/random.h>

size_t sysrandom(void* dst, size_t dstlen)
{
int bytes = syscall(SYS_getrandom, dst, dstlen, 0);
if (bytes != dstlen) {
throw std::runtime_error("Unable to read N bytes from CSPRNG.");
}

return dstlen;
}

#elif defined(_WIN32)

// Windows sysrandom here.

#else

// POSIX sysrandom here.

#endif

。打开BSD

最后还有一个警告：现代OpenBSD没有/dev/urandom。您应该改为使用get熵。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#if defined(__OpenBSD__)
# define HAVE_GETENTROPY
#endif

#if defined(HAVE_GETENTROPY)
# include <unistd.h>

size_t sysrandom(void* dst, size_t dstlen)
{
int bytes = getentropy(dst, dstlen);
if (bytes != dstlen) {
throw std::runtime_error("Unable to read N bytes from CSPRNG.");
}

return dstlen;
}

#endif

其他想法

如果您需要加密安全的随机字节，您可能应该用POSIX的无缓冲打开/读取/关闭替换fstream。这是因为basic_filebuf和FILE都包含一个内部缓冲区，该缓冲区将通过标准分配器进行分配(因此不会从内存中擦除)。

这可以通过将sysrandom改为：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

size_t sysrandom(void* dst, size_t dstlen)
{
int fd = open("/dev/urandom", O_RDONLY);
if (fd == -1) {
throw std::runtime_error("Unable to open /dev/urandom.");
}
if (read(fd, dst, dstlen) != dstlen) {
close(fd);
throw std::runtime_error("Unable to read N bytes from CSPRNG.");
}

close(fd);
return dstlen;
}

。谢谢

特别感谢BenVoigt指出FILE使用缓冲读取，因此不应使用。

我还要感谢PeterCordes提到getrandom，以及OpenBSD缺少/dev/urandom。

相关讨论

这是我过去所做的，但是，或者至少是一个问题，WTF不能为这些平台的图书馆作者为我们做这件事吗？我希望通过库实现来抽象文件访问和线程(例如)，那么为什么不生成随机数呢？
@依他里奥，你可以简单地使用一个更大的种子。sysrandom逻辑有意避免对输入大小的任何要求。您可以很容易地将逻辑提升到池大小/dev/urandom(Linux 4.8及以下)到512字节。这个答案只是用一个简单的例子来说明如何给发电机播种，在大多数例子中，完全播种MT19337 PRNG是不实际的(尽管你可以合理地做比我上面做的更多)。
请看这里：如果这个答案能更好地演示播种，那就太好了。尽可能多地，我希望能够找到能够生成可复制的、易于理解的代码的答案，这些代码比我在问题中发布的简单示例更好，而不需要编码人员进行太多的技术解释或思考。
我认为/dev/random是播种RNG的更好选择，但显然/dev/urandom在计算上仍然被认为是安全的，即使当/dev/random由于低可用熵而阻塞时，所以urandom是除一次性焊盘以外的所有设备的推荐选择。另请参阅unix.stackexchange.com/questions/324209/&hellip；。不过，在启动后的很早就要注意来自urandom的可预测种子。
Linux的getrandom(2)系统调用就像打开和读取/dev/urandom一样，但如果内核的随机性源代码尚未初始化，它将阻塞。我认为这样可以避免早期启动时的低质量随机性问题，而不会在其他情况下阻塞，如/dev/random所做的。
@当然，彼得库兹，这是一个很好的选择。但是，它不适用于BSD或其他*尼克斯，这是/dev/urandom通常适用的。关于这方面的python邮件列表讨论是我通常订阅的：bugs.python.org/issue27266
建议：白名单实现，其中std::random_device是已知的不吸吮，并使用它而不是实际编码/dev/urandom的read()？然后，如果一些操作系统认为有更好的方法来获得随机性，就不必担心维护平台支持代码。实现不太可能从可用回归到不可用。或者，如果您不将它用于安全敏感的目的，那么在一些已知的不好的平台(如mingw)上仅使用random_device的风险更大的方法可能是有意义的。
另外，对于任何x86目标，如果cpuid说它可用，您可以检查CPUID并运行RDSEED(int _rdseed64_step( unsigned __int64 *))。(RDRAND显然没有那么高的随机性质量保证，因此存在符合NIST SP800-90B和NIST SP800-90C的RDSEED，但请注意，您仍然需要回退，因为API允许它报告错误(例如，如果它在给定的CPU中物理损坏)。如果真的硬件能做到的话。

从某种意义上说，这是不可移植的。也就是说，人们可以构想一个运行C++的有效的完全确定的平台(例如，一个模拟地确定机器时钟的模拟器)，以及一个"确定的"I/O)，其中没有随机的来源来产生PRNG。

相关讨论

如果与用户的交互是平台的一部分，那么它就不能是确定性的。不过，这并不是什么实际的帮助。
@Kbelder:1.谁说用户是个人？2。不是所有的程序都有用户交互，你当然不能假设周围总是有一个用户…
我很感激这样的回应，但同时也觉得一个程序应该尽最大努力进行合理的尝试。
李察同意，但问题是C++标准作家必须(或至少尝试他们最大胆的)适应这些奇怪的情况。这就是为什么你得到了这些一针见血的标准定义，在那里你可能会得到不错的结果，但是编译器仍然可以是标准兼容的，即使它返回一些功能上没有价值的东西。--因此，您的限制("短而不能依赖其他库")排除了任何响应，因为您实际上需要一个平台一个平台/一个编译器一个编译器的特殊大小写。(例如，什么样的助推器效果这么好。)
@理查德解释说，你得到了标准中的东西，因为没有便携式的方法可以做得更好。如果你想做得更好(这是一个高尚的目标)，你必须接受更多或更少的可憎的东西。
@霍布斯：我只关心平衡的憎恶。-)
李察：有时候，你必须接受有可能制定一个标准兼容的C++实现，这是没有用的。因为人们对任何重要的事情使用的实现都是设计为有用的，所以有时您必须接受诸如"任何理智的实现都会做一些合理的事情"这样的论据。我本来希望std::random_device会属于这个类别，但显然，如果一些真正的实现使用固定种子prng，就不是这样了！这远远超出了Einpoklum的论点。
PeterCordes：事实上，我认为可能有真正的平台(C++编译器针对这些平台吗？)在这种情况下，你无法有效地访问随机性源。当然，一些嵌入式设备也可能是这样。
@但是，尽最大努力收集一些随机性可能还是比固定种子好。例如，对一个高精度时钟的低位进行几次采样，混合一个PID，也许还有其他一些在不同运行之间变化的东西。一些人认为，每次生成相同的序列是最好的方式来表明没有一个好的质量RNG可用，但IMO这是一个过度简化的API的标志。如果有一个可选的high_quality_only=falsearg，您可以运行rd(true)来请求失败，如果加密质量的随机性不可用。
但是对于非安全用例来说，需要足够好的随机性的代码可以从rd()中得到他们想要的东西。当然，Mingw在一个具有随机性源的操作系统上使用固定种子只是一个大规模的实现质量问题。我们不能相信std::random_device能提供尽可能好的东西，这太糟糕了。
@彼得：关键是在某些系统上，你可能无法对时钟进行高精度采样，而且没有任何处理过程。
是的，我知道有些平台的随机性很小，你不能真正做任何事情。但正如您所说，通常只嵌入，在这种情况下，任何运行在上面的软件都将(应该)为该平台仔细测试。不是由刚下载它的人从源代码编译的，就像mingw一样，它通过提供一个意想不到的糟糕实现而破坏了每个人的std::random_device。
@彼得：够公平的。

您可以使用std::seed_seq，并使用Alexander Huszagh的熵获取方法将其填充到发电机所需的状态大小：

1
2
3
4
5
6
7
8
9
10
11

size_t sysrandom(void* dst, size_t dstlen); //from Alexander Huszagh answer above

void foo(){

std::uint_fast32_t[std::mt19937::state_size] state;
sysrandom(state, sizeof(state));
std::seed_seq s(std::begin(state), std::end(state));

std::mt19937 g;
g.seed(s);
}

如果有合适的方法从标准库中的univerrandombitgenerator填充或创建一个seedsequence，那么使用std::random_device进行正确的播种就简单多了。

相关讨论

我正在进行的实现利用mt19937prng的state_size属性来决定初始化时要提供多少种子：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

using Generator = std::mt19937;

inline
auto const& random_data()
{
thread_local static std::array<typename Generator::result_type, Generator::state_size> data;
thread_local static std::random_device rd;

std::generate(std::begin(data), std::end(data), std::ref(rd));

return data;
}

inline
Generator& random_generator()
{
auto const& data = random_data();

thread_local static std::seed_seq seeds(std::begin(data), std::end(data));
thread_local static Generator gen{seeds};

return gen;
}

template<typename Number>
Number random_number(Number from, Number to)
{
using Distribution = typename std::conditional
<
std::is_integral<Number>::value,
std::uniform_int_distribution<Number>,
std::uniform_real_distribution<Number>
>::type;

thread_local static Distribution dist;

return dist(random_generator(), typename Distribution::param_type{from, to});
}

我认为还有改进的余地，因为std::random_device::result_type在尺寸和范围上可能与std::mt19937::result_type有所不同，因此应该真正考虑到这一点。

关于STD：一个随机设备的注释。

根据C++11(/14/17)标准：

26.5.6 Class random_device [ rand.device ]

2 If implementation limitations prevent generating non-deterministic random numbers, the implementation may employ a random number engine.

号

这意味着，如果由于某些限制而阻止实现生成不确定的值，那么它只能生成确定的值。

Windows上的MinGW编译器不提供来自其std::random_device的非确定性值，尽管它们很容易从操作系统获得。所以我认为这是一个bug，不太可能在实现和平台中出现。

相关讨论

这可能会填补MT州的空缺，但仍然仅仅依赖于std::random_device，因此容易受到由此产生的问题的影响。
@理查德，这些是什么问题？
我想我在这个问题上说得够清楚了。不过，很高兴澄清/讨论。
@Richard有没有真正的系统没有真正实现一个合理的std::random_device？我知道该标准允许PRNG后退，但我认为这只是为了掩盖自己，因为很难要求使用C++的每个设备都有一个非确定性随机源。如果他们不这样做，你还能怎么做？
@Richard所以我怀疑std::random_device在可移植的非确定性随机源方面是最好的。
@加利克，是的，明格没有：这是决定性的。事实上，真正的随机性是不保证的，应该有足够的理由忽略它，除了作为回退。
事实上，明格故意选择了一个相同的起始序列，使得std::random_device是一个prng，而不是一个csprng，这一事实是显而易见的。stackoverflow.com/questions/18880654/&hellip；
@Alexanderhuszagh我不使用Windows，但我觉得Mingw的问题是一个bug，而不是一个特性，但我可能是错的。所有版本都是这样吗？
@加利克，我不确定，但我已经用我自己的密码确认了。我认为这主要是未实现的，结果的一致性是一个特性(通知观察用户)。事实上，std::random_device不保证是一个csprng是足够的理由，我认为它不可靠，并应尽可能使用其他选项。
@Alexanderhuszagh我认为mingw是一个端口，因此它可能比其他编译器遭受不完全实现的时间更长。但我不认为编译器实现者会避免实现一个适当的非确定性源，除非设备没有。这就是"退出"条款的目的。
不过，这是危险的，因为这样一来，您将使您的可移植解决方案高度依赖于编译器和编译器版本。记住，这是在2013年：从那时起就没有改变。如果需要回退，std::random_device可能很好，但从本质上讲，它不可靠，如果没有已知的CSPRNs，则应将其视为最后的手段。
@Alexanderhuszagh我不太确定。我的目的是让我的"便携式解决方案"依赖于设备，因为如果设备支持非确定性生成器，那么std::random_device也应该如此。我相信这是标准的精神。所以我搜索过，只能找到在这方面坏掉的MinGW。似乎没有人用我发现的任何其他东西来报告这个问题。因此，在我的库中，我只是简单地将MinGW标记为不支持。如果有更广泛的问题，我会考虑的。我只是现在看不到证据。
对于64位mts，此代码是错误的(至少)。std::array不起作用，因为seed ou seq每个元素只使用32位(无论如何，您只填充32位)，所以对于64位mt，您至少需要两倍的元素。
@Galik：如果你要用时间来异或随机设备，那么它至少会为程序的每次运行生成单独的结果(达到计时器的分辨率)。在我看来，这是对明威现状的一个改进。
我真的很失望，Mingw以一种不提供平台随机性功能的形式来提供它，这会破坏每个人的std::random_device。低质量的实现会破坏现有API的目的。如果他们在工作之前根本不执行它，我会更好。(或者更好的做法是，如果API提供了一种方法，在没有高质量随机性的情况下请求失败，那么Mingw可以避免在为游戏或其他游戏提供不同种子的情况下造成安全风险。)

使用时间播种没有什么问题，假设你不需要它来保证安全(而且你没有说这是必要的)。关键是你可以使用散列来修复非随机性。我已经发现这在所有情况下都是有效的，尤其是对于重型蒙特卡罗模拟。

这种方法的一个很好的特性是，它推广到来自其他非真正随机种子集的初始化。例如，如果您希望每个线程都有自己的RNG(用于线程安全性)，则可以仅根据哈希线程ID进行初始化。

以下是从我的代码库中提取的SSCC(为了简单起见，省略了一些OO支持结构)：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

#include <cstdint> //`uint32_t`
#include <functional> //`std::hash`
#include <random> //`std::mt19937`
#include <iostream> //`std::cout`

static std::mt19937 rng;

static void seed(uint32_t seed) {
rng.seed(static_cast<std::mt19937::result_type>(seed));
}
static void seed() {
uint32_t t = static_cast<uint32_t>( time(nullptr) );
std::hash<uint32_t> hasher; size_t hashed=hasher(t);
seed( static_cast<uint32_t>(hashed) );
}

int main(int /*argc*/, char* /*argv*/[]) {
seed();
std::uniform_int_distribution<> dis(0, 5);
std::cout << dis(rng);
}

号

相关讨论

以下是我自己在这个问题上的一点见解：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

#include <random>
#include <chrono>
#include <cstdint>
#include
#include <functional>
#include <iostream>

uint32_t LilEntropy(){
//Gather many potential forms of entropy and XOR them
const uint32_t my_seed = 1273498732; //Change during distribution
static uint32_t i = 0;
static std::random_device rd;
const auto hrclock = std::chrono::high_resolution_clock::now().time_since_epoch().count();
const auto sclock = std::chrono::system_clock::now().time_since_epoch().count();
auto *heap = malloc(1);
const auto mash = my_seed + rd() + hrclock + sclock + (i++) +
reinterpret_cast<intptr_t>(heap) + reinterpret_cast<intptr_t>(&hrclock) +
reinterpret_cast<intptr_t>(&i) + reinterpret_cast<intptr_t>(&malloc) +
reinterpret_cast<intptr_t>(&LilEntropy);
free(heap);
return mash;
}

//Fully seed the mt19937 engine using as much entropy as we can get our
//hands on
void SeedGenerator(std::mt19937 &mt){
std::uint_least32_t seed_data[std::mt19937::state_size];
std::generate_n(seed_data, std::mt19937::state_size, std::ref(LilEntropy));
std::seed_seq q(std::begin(seed_data), std::end(seed_data));
mt.seed(q);
}

int main(){
std::mt19937 mt;
SeedGenerator(mt);

for(int i=0;i<100;i++)
std::cout<<mt()<<std::endl;
}

。

这里的想法是使用xor结合许多潜在的熵源(快速时间、慢速时间、std::random-device、静态变量位置、堆位置、函数位置、库位置、程序特定值)，尽最大努力初始化mt19937。只要源代码至少有一次是"好的"，结果至少是"好的"。

这个答案不够简短，可能包含一个或多个逻辑错误。所以我认为这是一项正在进行中的工作。如果您有反馈，请发表评论。

相关讨论

地址的随机性可能很小。您总是有相同的分配，所以在较小的嵌入式系统中，您可以访问整个内存，每次都可能得到相同的结果。我会说这对一个大系统来说可能足够好了，但对一个微控制器来说可能会很糟糕。
我想&i ^ &myseed的熵应该比单独的熵小得多，因为两者都是在同一翻译单元中具有静态存储时间的对象，因此可能非常接近。您似乎没有实际使用myseed初始化时的特殊值？
将未分配的指针转换为int是未定义的行为；请在它仍然存在时执行。^是一个可怕的散列合并器；如果两个值都有大量的熵，但相互比较很少，那么它会删除熵。+通常更好(因为x+x在x中只燃烧1位熵，而x^x则全部燃烧)。我怀疑功能不安全(rd())
哦，我说的+是指unsigned(+on signed是ub诱饵)。虽然这些有点荒谬的UB案例，但你确实说过便携式的。如果可能，也考虑将函数的地址作为整数值(如果不确定？)
@meneldal：即使在全功能PC上，尽管分配可能会得到不同的物理位置(取决于进程外部机器的状态)，但指针是由进程虚拟地址空间抽象的，并且可能具有高度可重复性，特别是ASLR不起作用。
@本，这是真的，在一个所有分配都是可预测的系统上，情况更糟。ASLR已经存在一段时间了，所以我忘了这并不总是标准。
我不知道EDCOX1的13定义是在C++标准下定义的行为。函数指针不能转换成void*，我不知道它们是否可以转换成intptr_t。不管用哪种方法证明这一点，或者不要在可移植代码中使用它。
@雅克：我害怕的是XOR作为散列合并器的糟糕表现。谢谢你的建议。
@meneldal：处理地址和计时器的关键是尽量找到一个最佳的偏移量，这样即使随机的设备是一个在应用程序每次运行时重新启动的prng，它也会产生不同的结果(前提是内存负载不同)。
当我告诉您上面的6条评论有问题时，不要添加有符号的ints并导致未定义的行为溢出。
您应该在每个其他操作之间对高分辨率时钟的低位进行采样。在x86上，CPU的时间戳计数器以每个参考周期一个计数递增，其中参考周期是公布的CPU频率(不是当前的turbo或节能核心时钟频率)。系统负载和其他变化的差异将改变调用其他函数所需的周期数，特别是在程序中首次调用的函数，因为它们可能会在缓存中丢失。
如果您可以在需要输入RNG之前，将时钟采样分散到启动代码的其他部分(尤其是慢部分)，那就更好了。你会得到时间戳，在间隔上有更多不可预测的变化，特别是如果你做了一些系统调用，或者特别是在你需要RNG之前做任何文件或网络I/O。

一个给定的平台可能有一个熵源，比如/dev/random。自std::chrono::high_resolution_clock::now()时代以来的纳秒可能是标准库中最好的种子。

我以前使用过类似于(uint64_t)( time(NULL)*CLOCKS_PER_SEC + clock() )的东西来为不安全关键的应用程序获取更多的熵位。

相关讨论