Як я можу визначити початкові значення генератора псевдовипадкових чисел, якщо задана послідовність?

Припустимо, я знав, що послідовність випадкових чисел генерується лінійним вродженим генератором. Це є,

$x_{n+1}=(aX_n+c) \bmod m$

Якщо мені дають весь період (або принаймні велику суміжну послідовність його), як я можу реконструювати параметри $a,c,m$ та $x_0$ які створили цю послідовність? Я шукаю загальний метод, який зможе визначити початкові параметри, якщо відомий генератор псевдовипадкових чисел.

random-number-generation inverse-problem

— Пол
джерело

Що саме відомо? Із суміжного підрядів ви не можете сказати, з чого починається послідовність

x_{0}

$x_0$ , якщо елементи не індексуються послідовно. Якщо

m

$m$ відомий, то

a

$a$ і

c

$c$ легко виявляються.

— хардмат

Дивіться статтю Як зламати лінійний конгрурентний генератор , Халдір ("Команда зворотного проектування", грудень 2004 р.):

У цій роботі я представлю метод, який вирішить усі значення LCG, включаючи модуль з шести або більше послідовними номерами виходу PRNG.

Документ містить вихідний код "доказ концепції", написаний на C, використовуючи NTL Віктора Шоупа для арифметики розширеної точності.

— тверда математика
джерело

Це був чудовий папір! :) Чи знаєте ви про більш загальний метод, який міг би застосовуватися до інших генераторів випадкових чисел, а не лише до лінійних конгруентних?

— Пол

@Paul: Звичайно, можна знайти RNG, які легко "вирішуються" для їх параметрів із достатньої кількості вихідних даних (зворотна проблема), але, здавалося б, чим краще RNG (більш випадкова поява виходу), тим складніше, ніж обернена проблема була б. Рішення випадку LCG пов'язане з певними розмірними ефектами кластеризації, які добре відомі, завдяки чому пари генерованих значень нерівномірно розподіляються. Докладніше див. Дизайн криптографічно сильного генератора шляхом трансформації лінійно

— генерованих