良い xorshift、悪い xorshift

　良い xorshift、悪い xorshift

長周期の擬似乱数生成手法とメルセンヌ・ツイスタの無駄知識（？）の紹介は別のページにあります．　簡易な長周期擬似乱数の合成手法　知らなくても不都合は無いメルセンヌ・ツイスタの知識

オマケとしてページ末尾で32bit/64bit xorshift向けのレジスタ初期値（seed）生成プログラムをご紹介しています．
オマケのオマケとして擬似乱数の初期値としてtime()関数で得られる値（カウントアップするUTCの経過秒数）を用いる場合に、値を置換・攪拌・ランダム化する処理もご紹介しています． . . . .

2025.3.6　time() 関数と RDTSC (ReaD Time Stamp Counter) 命令を併用した初期値生成プログラム rdtsc.c を少し手直ししました．

特性の良い xorshift のパラメータ (a, b, c)

要点のみを述べると、
- 擬似乱数発生アルゴリズムの xorshift は三つ組みのパラメータ (a, b, c) によって、生成される乱数列の分布特性の質が異なります
- 32bit の xorshift について少し調べてみたところ、考案者の Marsaglia の文献のリストの中では下記のパラメータが他よりも特性の良い系列となることが分かりました．（ y^=y<<a; y^=y>>b; y^=y<<c; ）　ただし、乱数としての詳細な検定・分析をおこなったのではなく、あくまでも素人が適当に調べた結果です．（単純なグラフ描画プログラムで簡単なテストが出来ます）
  
  (a, b, c)_32bit ＝ (3, 13, 7), (5, 13, 6), (9, 11, 19)
- 上記のパラメータでも出力される乱数列には微妙な偏りがあるのですが、すでにxorshiftを改良した手法がいくつも存在しているので細かいことを気にしてもしょうがないでしょう．　xorshiftで駄目なら、改良版の方を使えば良いのです．
- もしかしたら、(9, 11, 19) は他の２つより偏りが大きいかもしれません．（網羅的に調べたわけでは無いですし、素人には良く分からないのですが.....）
- 異なる条件（例えば y^=y<<c; y^=y>>b; y^=y<<a; の時）にどうなるかは、下記のデモ・プログラムを参考にご自分で調べてみてください．　
- 64bit の xorshift では、Marsaglia の文献のリストからいくつか適当にピックアップして調べたところ、下記のパラメータが他よりも良さそうです．（すべての組み合わせを網羅的に調べたわけではありません）　「良さそう」というのは隣接したビット間の相関が小さいという意味で、他の特性も優れているということではありません．
  Wikipediaのxorshiftの項目のプログラム例中のパラメータ (13, 7, 17) は特性が良くない方でした．
  
  (a, b, c)_64bit ＝ (3, 35, 14), (3, 43, 11), (4, 35, 21), (4, 37, 11), (5, 41, 20), (6, 27, 7), (7, 23, 8), (7, 33, 8), (8, 31, 17), (9, 21, 11), (9, 27, 10), (9, 29, 12), (11, 29, 14), (11, 31, 18)
- M系列信号と比較すると、xorshiftは演算が単純で取り扱いが楽です．　しかし、M系列信号でパラメータ（生成多項式）によって出力される乱数の特性が異なるのと同様に、xorshiftでも適切なパラメータを選ぶ必要があるようです．
あるアプリケーションに系列の異なる複数の擬似乱数を用いていて、非常にシビアに乱数の性質が処理結果に影響するので調べてみて分かったことです．　制約の多い実時間処理なので高級な（？）乱数生成法は使えません．
webでxorshiftについて調べてみると、xorshiftは良い・凄いとか、欠陥が見つかったとか述べたものはあるのですが、パラメータ設定の重要性を説明した資料は皆無です．　　一方、M系列信号を使っている工学系・ハード系の人の間では、M系列は（次数・周期が同一でも）パラメータによって乱数としての質が異なることは常識的に知られています．
乱数や数論（Number Theory）の専門家では無いので、これ以上の詳細を調べる予定はありません．

視覚的に xorshift の特性の違いが分かるサンプル・プログラム

FreeBASIC で作成した視覚的に xorshift (32bit) の特性の違いが分かるプログラムの一例を下記に示します．
処理内容は2次元平面上に色付きの点を打っているだけです．　ドットの色も xorshift で変化させています．　レジスタの初期値は意図的に良くない値にしてあります．
32bi xorshift のテストをする FreeBasic プログラム　 xorshift_demo.bas


/' (c) 2021, 2005 cepstrum.co.jp '/
' FreeBASIC GUI program
' >fbc -s gui 
'--------------------------------------------------------------------------
' xorshift random number generator 

function uint_xorshift(a as uinteger, b as uinteger, c as uinteger) as uinteger<32>
  static r as uinteger<32> = &Hffffffff

  r=r xor (r shl a)
  r=r xor (r shr b)
  r=r xor (r shl c)
  return r
end function

'--------------------------------------------------------------------------

dim x   as uinteger
dim y   as uinteger
dim a   as uinteger = 3
dim b   as uinteger = 13
dim c   as uinteger = 7
dim sft as uinteger = 9

screenres 1024, 1024

while inkey$<>"";
wend
sleep 300

while inkey$="";
  x=(uint_xorshift(a, b, c) shr sft) mod 1024
  y=(uint_xorshift(a, b, c) shr sft) mod 1024
  line (x, y)-(x, y), (uint_xorshift(a, b, c) shr sft) mod 64
wend

パラメータ (a, b, c) , shft を変えてコンパイル、実行した結果の一例を以下に示します．　タイトル部分の xorshift_a_b_c はパラメータ (a, b, c) の値です．（下記のグラフを作成したのは shft = 0 の時）
32bitすべてを浮動小数点データとして扱うのではなく、上位や下位（または中間）の数ビットのみを抜き出して使うことは組込系のアプリケーションでは良くあることなので、それがN.G.となるのはありがたくない性質です．
N.G.のパラメータではあまりにも異様なグラフ表示になるので、最初はコンパイラ（FreeBASIC）のバグを疑ったほどです．　GCCでxorshift擬似乱数生成関数のDLLを作成・リンクして再描画したところ同じ結果が出たことに二度驚きました．
グラフで特徴的なのはパラメータが (1, 19, 3), (1, 21, 20), (2, 15, 25), (5, 17, 13) の時です．　1024x1024の二次元平面をドットが埋め尽くしているにもかかわらず、規則的な模様が現れています．
三次元までは容易に視覚化が可能なので、三次元の色無しプロット／色付プロットをしたらどんな結果になるでしょうか？

O.K （特性の良いパラメータ）

N.G.（特性の良くないパラメータ）
試しにお手持ちのパソコンでコンパイル済みの実行プログラムを動かしてみてください．（キー入力でプログラムは終了します）

xorshift_3_13_7.exe

xorshift_1_5_16.exe xorshift_1_19_3.exe xorshift_1_21_20.exe xorshift_1_27_27.exe xorshift_2_7_7.exe xorshift_2_15_25.exe xorshift_5_7_22.exe xorshift_5_17_13.exe xorshift_9_5_1.exe

世の中には乱数で適当にバラけた値が得られれば良い、適当なホワイト・ノイズを作れれば良いというローエンドの組込系のアプリケーションも多いです．
とりあえずM系列信号よりはマシな乱数が得らればそれで良い～という用途には適切なパラメータ設定をしたxorshiftは適していると思います．
状態を保持しているレジスタの攪拌の程度が大きいためだと思われますが、ある実時間処理のアプリケーションではM系列信号よりもxorshiftを使った方が良い処理結果が得られました．（信号の相関特性が問題となるシステムです）
パソコンでシミュレーションをするなら、何も考えることは無くメルセンヌ・ツイスタを使えば良いでしょう．　32bitの乱数を使い切ってしまうほど繰り返し回数の多いシミュレーションで使ったことがあります．　「乱数にはメルセンヌ・ツイスタを使いました」と書けば、乱数の質についてあれこれ自分で説明する必要はありません．

メルセンヌ・ツイスタ（MT19937）が大きすぎて使えないというのなら、TinyMTを使えば良いのに

Tiny Mersenne Twister (TinyMT): A small-sized variant of Mersenne Twister　
MT19937の開発者の松本氏らによるものです．（レジスタ長127bit）
TinyMTには『Dynamic Creator』が用意されていたりして、なかなか良く考えて作られていると思います．
残念ながら当社で開発した組込システムではメモリ容量にまったく余裕が無く、TinyMTでも入らなかったためにxorshiftを用いた次第です．

40年前の論文の指摘

40年前の論文に擬似乱数についての非常に良い記述がありました．　少し長くなりますが下記に引用します．（擬似乱数について興味を持っているソフト屋さんで、これらの点についてちゃんと理解している人は少ないのではないでしょうか？）

　多次元分布が一様な擬欲乱数列の生成法、伏見正則、手塚集、応用統計学 Vol.10, No.3 (1981)
- k次均等分布をする系列は、周期全体としては、多くの統計的検定項目に合格することが知られている．　しかしながら、個々の計算で使用するのは、そのごく一部分であって、それらの部分列がすべて "良い" 乱数列であることが保証されたわけではない．　部分列の性質に関して理論的保証を与えることは、この分野の理論の現状ではほとんど不可能と思われるので、統計的検定に頼らざるを得ない．
- 乱数列の統計定検定項目としては、きわめて多数のものが提案されているし、またいくらでも新しいものを考案することもできる．　そして、どのような乱数列についても、これらの項目についてつぎつぎと検定を行えばおそらくいずれかの項目について "不合格" ということになるであろう．　しかしながら、このようにして "不合格" となった乱数列も、あらゆる種類の計算に不向きであるというわけではなく、むしろそれでも十分に使える分野も多いであろう．　また逆に、一連の検定項目にすべて合格した乱数列でも、あらゆる種類の計算に向いていることが保証されたわけではない．
上記文献にはタイトルそのものに誤植（擬似 ⇔ 擬欲）があるので、検索をする時などには気をつけてください．

『良いパラメータ』の意味

状態を保持する有限長のレジスタ（と排他的論理和演算）を用いた乱数発生方式の専門文献・解説で、このページで用いているのとは異なる意味で『良いパラメータ』という言葉を用いたものがあることにご注意ください．
ある擬似乱数生成アルゴリズムにおいて、取りうるすべてのパラメータで擬似乱数が出力されるわけではありません．　パラメータ設定によっては擬似乱数とは言えない信号が出力される場合があります．
レジスタと排他的論理和を用いて生成した擬似乱数が、擬似乱数として最低限満たすべき条件は取りうるすべての値が等確率で出力されることです．
これは、例えばレジスタ長8bitでは出力信号の周期が255（=2^8-1=256-1）となることを意味しますが、文献・資料によっては単に周期が255となるパラメータを『良いパラメータ』と呼んでいる場合があります．　この場合の『良い』は擬似乱数としての特性が良いことを意味しているわけではありません．　周期が255よりも短かくてまともな擬似乱数にならない悪いパラメータでは無い～という程度の意味です．
レジスタ長Nに対して周期2^N-1の信号を出力する擬似乱数生成アルゴリズムがみな良い特性を持っているとするのなら、すべてのM系列信号は優れた擬似乱数であるということになります．（M系列以外の擬似乱数生成方式は不要になってしまいます）
レジスタ長8bitで周期255の次のような信号を生成する回路があったら、それを擬似乱数生成回路と呼んで良いのでしょうか？
- 1, 2, 3, 4, ... , 252, 253, 254, 255, 1, 2, 3, ......
- 1, 3, 5, 7, ... , 249, 251, 253, 255, 2, 4, 6, 8, ... , 248, 250, 252, 254, 1, 3, 5, ......

M系列信号の常識・M系列信号を使っている人の常識

工学分野では２値のランダムなビット列、白色雑音の生成にM系列信号（Maximum Length Sequency）が良く使われています．　ソフトウェアでM系列信号を発生するには状態を保持するレジスタの特定のビットを抜き出す処理に煩雑なところがありますが、ハードウェアで実装する場合はシフトレジスタにEXOR回路を付け加えるだけの非常に簡単な回路になります．
M系列信号発生回路の詳細はFPGAメーカーのアプリケーション・ノートに記載されています．　『FPGA Maximum Length Sequence Application note』、『FPGA LFSR Application note』等のキーワードでweb検索してみてください．）
M系列信号発生回路でレジスタ全体をパラレルに読み出せば多値の擬似乱数生成回路として使用可能ですが、その特性は擬似乱数として非常に良好というわけではありません．　またレジスタ長（＝周期）が同一でも回路構成（パラメータ設定）によって擬似乱数列としての品位に違い出ることは常識的に知られています．
レジスタの内容のごく一部を少しずつ書き換えながら動作するM系列信号発生回路と違って、xorshiftはレジスタ全体を大きく攪拌・書き換えるような処理をするので、擬似乱数としてM系列よりもxorshiftの方が優れているのは当然と言えば当然でしょう．
しかし、M系列信号と同様にxorshiftでもパラメータ設定によって擬似乱数の性質に違いが出ることは容易に類推することが出来ます．　パラメータ設定の問題を考慮することなく、M系列信号は擬似乱数として優れている／欠陥があるとか、xorshiftは優れている／欠陥があるとか議論するのは無意味であることも分かります．

32bit/64bit xorshift向けのレジスタ初期値（seed）生成プログラム

状態を保持するレジスタと排他的論理和（EXOR/XOR）演算を組み合わせた擬似乱数生成方式では、レジスタ内に0のbitが固まって多く存在すると、しばらくの間0が多く含まれる値が出力されます．（0と0のEXOR/XORは0となるため）　結果として擬似乱数の特性の良くない部分系列を出力して用いることになってしまいます．　したがって、そのような初期値の使用は避ける必要があります．
この問題は別の周期の短い擬似乱数列をレジスタ初期値（seed）として用いることにより回避することが出来ます．　下記のプログラムでは32bit/64bitのレジスタ初期値生成にレジスタ長16bitのM系列信号（周期2^16-1=65535）を用いています．　16bitのM系列信号発生回路（下図）では0が16ヶ以上連続して出力されることはありません．
生成可能なseedは65535ヶに制約されます．
（このような手法が用いられることはメルセンヌ・ツイスタの資料・ドキュメントにちゃんと記されています）
16bitのM系列信号のレジスタ初期値（seed）の生成をどうすれば良いのか非常に気になるという方は、RDTSC命令を用いた乱数seedの生成方法のページをご覧ください．
大げさな手法を使うほどでもなければ、末尾に示したtime()関数で得た値（カウントアップするUTCの経過秒数）をランダム化する処理をして用いれば良いでしょう．
仕組みが完全にはオープンになっていない手法で生成されものでも良いというのであれば、RDRAND (ReaD RANDom) 命令を使って読み出したCPUの乱数レジスタの値を初期値に使えば良いのですが、擬似乱数の初期値生成にわざわざ物理乱数を使うという？？？な状態になります
プログラムは下記のリストのようになります．　mseq16bit()が16bitのM系列信号生成関数、gen32bit_seed()が32bitのseed生成関数、gen64bit_seed()が64bitのseed生成関数です．
M系列信号生成の初期値（seed）は任意に設定することも可能です．　mseq_seed=0とした場合はプログラム内の決め打ちした定数が用いられます．
実行結果、実行結果（その２）をご覧いただければ分かるように、どのような使い方をしても適当にばらけたseed値が生成されます．　0のbitが固まって多く含まれることはありません．
擬似乱数の用途によっては、容易に予測可能・再現可能な初期値（seed）を用いることが好ましくない場合もあることにご注意ください．
32bit/64bit xorshift向けのレジスタ初期値（seed）生成プログラム　 gen_seed.c


/* (c) 2023 cepstrum.co.jp */

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <math.h>
#include <time.h>

//-----------------------------------------------------------------
// M-sequence generater, return value = 0/1

unsigned mseq16bit(unsigned seed) {
  static uint16_t reg16bit=0x5a5a;
  uint16_t        msb;
  unsigned char   b0, b2, b3, b5;

  if (seed!=0) reg16bit=seed&0xffff;    // change seed value

  b0=reg16bit&0x1;
  b2=(reg16bit>>2)&0x1;
  b3=(reg16bit>>3)&0x1;
  b5=(reg16bit>>5)&0x1;
  msb=(b0^b2^b3^b5)&0x1;
  reg16bit=(reg16bit>>1)&0x7fff;
  reg16bit=reg16bit|(msb<<15);
  return msb;
}

//-----------------------------------------------------------------
// generate 32bit seed (register initial value) for 32bit xorshift

uint32_t gen32bit_seed(unsigned mseq_seed) {
  uint32_t seed;
  unsigned i;

  mseq16bit(mseq_seed);    // set M-sequence seed
  seed=0;
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  return seed;
}

//-----------------------------------------------------------------
// generate 64bit seed (register initial value) for 64bit xorshift

uint64_t gen64bit_seed(unsigned mseq_seed) {
  uint64_t seed;
  unsigned i;

  mseq16bit(mseq_seed);    // set M-sequence seed
  seed=0;
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  for (i=0; i<16; i=i+1) mseq16bit(0);
  for (i=0; i<16; i=i+1) seed=(seed<<1)|mseq16bit(0);
  return seed;
}

//-----------------------------------------------------------------
// test gen32bit_seed() function

int main() {
  int i;
  int iteration=20;

  for (i=0; i<iteration; i=i+1) printf("A %3i %#010x\n", i, gen32bit_seed(0));

  for (i=0; i<iteration; i=i+1) printf("B %3i %#010x\n", i, gen32bit_seed(i+1));

  gen32bit_seed(123456);  // set new M-sequence seed
  for (i=0; i<iteration; i=i+1) printf("C %3i %#010x\n", i, gen32bit_seed(0));

  gen32bit_seed(time(NULL)&0xffff);  // set new M-sequence seed
  for (i=0; i<iteration; i=i+1) printf("D %3i %#010x\n", i, gen32bit_seed(0));

  /*
  for (i=0; i<iteration; i=i+1) printf("a %3i %10u\n", i, gen32bit_seed(0));

  for (i=0; i<iteration; i=i+1) printf("b %3i %10u\n", i, gen32bit_seed(i+1));

  gen32bit_seed(123456);  // set new M-sequence seed
  for (i=0; i<iteration; i=i+1) printf("c %3i %10u\n", i, gen32bit_seed(0));

  gen32bit_seed(time(NULL)&0xffff);  // set new M-sequence seed
  for (i=0; i<iteration; i=i+1) printf("d %3i %10u\n", i, gen32bit_seed(0));
  */
}

プログラム実行結果


A   0 0x07e002b6     B   0 0x045113d3     C   0 0x62c6e599     D   0 0x0de90ead
A   1 0xbad8c213     B   1 0x822889e9     C   1 0x7b9844fd     D   1 0xf2856c55
A   2 0x535dc645     B   2 0x86799a3a     C   2 0x87cb24d6     D   2 0xd13e75bc
A   3 0x4f9219fe     B   3 0x45455727     C   3 0x08375b24     D   3 0x677b22ba
A   4 0x071adb05     B   4 0x411444f4     C   4 0x64cd2e6b     D   4 0x980b3692
A   5 0x7c50eef1     B   5 0xc76ddece     C   5 0xfd68d0c5     D   5 0x62615ac4
A   6 0xf4c69145     B   6 0xc33ccd1d     C   6 0xf3c72124     D   6 0xaaba4791
A   7 0x8329dc05     B   7 0x26f33840     C   7 0xd0dc9a24     D   7 0x396173d3
A   8 0x14309aa3     B   8 0x22a22b93     C   8 0x41cf1321     D   8 0xeea227e5
A   9 0x2b1a36ed     B   9 0xa4dbb1a9     C   9 0xdfb20298     D   9 0x6a0754c5
A  10 0xaa94f6ce     B  10 0xa08aa27a     C  10 0xd867da15     D  10 0x7a7baf34
A  11 0x2167f0f3     B  11 0x63b66f67     C  11 0x551c33f6     D  11 0x86d83c82
A  12 0x1b112949     B  12 0x67e77cb4     C  12 0x52cbe3d8     D  12 0xbdd97272
A  13 0x90211f37     B  13 0xe19ee68e     C  13 0x90fe59a4     D  13 0x00a88064
A  14 0xf8da28df     B  14 0xe5cff55d     C  14 0x7386b332     D  14 0x1a6d907c
A  15 0xdb1bc05b     B  15 0x13791c20     C  15 0x0d7454f2     D  15 0xf3b2ef70
A  16 0x786e5c43     B  16 0x17280ff3     C  16 0xdf4bd7d9     D  16 0x0ea3c22a
A  17 0x0b74b17f     B  17 0x915195c9     C  17 0x76068ca7     D  17 0x80bd5240
A  18 0x0c6977ce     B  18 0x9500861a     C  18 0xe47f4312     D  18 0xcaf31694
A  19 0x864d4450     B  19 0x563c4b07     C  19 0xfcd45541     D  19 0x14efdc30

プログラム実行結果（その２）　使用したプログラムはmain関数を修正した gen_seed2.c
mseq_seedが1bitだけ1の立つ値でもgen32bit_seed()は問題の無い値を返します．（0のbitの割合が多いものの、0が連続して固まることはありません）


mseq_seed  gen32bit_seed(mseq_seed)
-----------------------------------
0x0001     0x045113d3
0x0002     0x822889e9
0x0004     0x45455727
0x0008     0x26f33840
0x0010     0x13791c20
0x0020     0x8ded9dc3
0x0040     0x46f64ee1
0x0080     0xa37ba770
0x0100     0x51bdd3b8
0x0200     0x28dee9dc
0x0400     0x146ff4ee
0x0800     0x8a377a77
0x1000     0x451b3d3b
0x2000     0x228d9e9d
0x4000     0x11464f4e
0x8000     0x08a327a7

time()関数で得た値のランダム化（その１）　：　S-boxを用いた攪拌

time()関数で得られる時間（UTCの経過秒数）は単純にカウントアップするだけなので、そのまま擬似乱数の初期値として用いるのは好ましくありません．（単純な規則的変化をする数列や値の変化の幅の小さい数列も同様です）
次善の策として、time()関数で得た値にランダム化処理を施したものを初期値として用いることが考えられます．　ここではAES（Advanced Encryption Standard）のS-box（substitution box）を用いた手法をご紹介します．　処理の中身は単純で、テーブル・ルックアップでS-boxによる置換・ランダム化をしているだけです．　ブロック単位でのビット逆順並べ替え（攪拌）を併用した２段階のS-box処理も可能です．
あくまでも素人考えの適当な手法で、目的に対してきちんと最適化した処理をしているわけではありません．　しかし、擬似乱数の初期値のビットパターンのランダム化をする程度なら特に問題は無く有効性を期待できます．（ランダム化にハッシュ関数を用いる手法なども考えられますが、あまり大真面目に大げさな処理をしなくても良いでしょう）
処理の中身は非常に単純なので下図とソースコードをご覧いただければ、容易に理解できるはずです．

　関数 sbox_conv() の処理

　S-boxを用いたビットパターンの置換・ランダム化

　関数 sbox_double_conv() の処理

　２段階のS-box置換・ランダム化
　（ビット逆順並べ替え／攪拌を併用）
S-boxを用いた32bitデータに対するランダム化プログラム　 aes_sbox.c


/* generate 32bit seed value of random number generator */
/* from time() and AES S-box conversion                 */
/* (c) 2025 cepstrum.co.jp                              */

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <time.h>

//-------------------------------------------------------------------

unsigned aes_sbox[256]={           // AES S-box table
  0x63, 0x7c, 0x77, 0x7b, 0xf2, 0x6b, 0x6f, 0xc5, 0x30, 0x01, 0x67, 0x2b, 0xfe, 0xd7, 0xab, 0x76,
  0xca, 0x82, 0xc9, 0x7d, 0xfa, 0x59, 0x47, 0xf0, 0xad, 0xd4, 0xa2, 0xaf, 0x9c, 0xa4, 0x72, 0xc0,
  0xb7, 0xfd, 0x93, 0x26, 0x36, 0x3f, 0xf7, 0xcc, 0x34, 0xa5, 0xe5, 0xf1, 0x71, 0xd8, 0x31, 0x15,
  0x04, 0xc7, 0x23, 0xc3, 0x18, 0x96, 0x05, 0x9a, 0x07, 0x12, 0x80, 0xe2, 0xeb, 0x27, 0xb2, 0x75,
  0x09, 0x83, 0x2c, 0x1a, 0x1b, 0x6e, 0x5a, 0xa0, 0x52, 0x3b, 0xd6, 0xb3, 0x29, 0xe3, 0x2f, 0x84,
  0x53, 0xd1, 0x00, 0xed, 0x20, 0xfc, 0xb1, 0x5b, 0x6a, 0xcb, 0xbe, 0x39, 0x4a, 0x4c, 0x58, 0xcf,
  0xd0, 0xef, 0xaa, 0xfb, 0x43, 0x4d, 0x33, 0x85, 0x45, 0xf9, 0x02, 0x7f, 0x50, 0x3c, 0x9f, 0xa8,
  0x51, 0xa3, 0x40, 0x8f, 0x92, 0x9d, 0x38, 0xf5, 0xbc, 0xb6, 0xda, 0x21, 0x10, 0xff, 0xf3, 0xd2,
  0xcd, 0x0c, 0x13, 0xec, 0x5f, 0x97, 0x44, 0x17, 0xc4, 0xa7, 0x7e, 0x3d, 0x64, 0x5d, 0x19, 0x73,
  0x60, 0x81, 0x4f, 0xdc, 0x22, 0x2a, 0x90, 0x88, 0x46, 0xee, 0xb8, 0x14, 0xde, 0x5e, 0x0b, 0xdb,
  0xe0, 0e32, 0x3a, 0x0a, 0x49, 0x06, 0x24, 0x5c, 0xc2, 0xd3, 0xac, 0x62, 0x91, 0x95, 0xe4, 0x79,
  0xe7, 0xc8, 0x37, 0x6d, 0x8d, 0xd5, 0x4e, 0xa9, 0x6c, 0x56, 0xf4, 0xea, 0x65, 0x7a, 0xae, 0x08,
  0xba, 0x78, 0x25, 0x2e, 0x1c, 0xa6, 0xb4, 0xc6, 0xe8, 0xdd, 0x74, 0x1f, 0x4b, 0xbd, 0x8b, 0x8a,
  0x70, 0x3e, 0xb5, 0x66, 0x48, 0x03, 0xf6, 0x0e, 0x61, 0x35, 0x57, 0xb9, 0x86, 0xc1, 0x1d, 0x9e,
  0xe1, 0xf8, 0x98, 0x11, 0x69, 0xd9, 0x8e, 0x94, 0x9b, 0x1e, 0x87, 0xe9, 0xce, 0x55, 0x28, 0xdf,
  0x8c, 0xa1, 0x89, 0x0d, 0xbf, 0xe6, 0x42, 0x68, 0x41, 0x99, 0x2d, 0x0f, 0xb0, 0x54, 0xbb, 0x16
};

//-------------------------------------------------------------------
// apply S-box conversion to 32bit data

unsigned sbox_conv(unsigned x) {
  unsigned y=0;

  y=y|(aes_sbox[(x>> 0)&0xff]<< 0);
  y=y|(aes_sbox[(x>> 8)&0xff]<< 8);
  y=y|(aes_sbox[(x>>16)&0xff]<<16);
  y=y|(aes_sbox[(x>>24)&0xff]<<24);
  return y;
}

//-------------------------------------------------------------------
// apply double S-box conversion to 32bit data

unsigned sbox_double_conv(unsigned x) {
  unsigned y;
  unsigned p, q;

  // 1st S-box conversion
  p=sbox_conv(x);
  // shuffle (bit reverse like block shuffle)
  q=0;
  q=q|( p     &0x0000000f);
  q=q|((p>>12)&0x000000f0);
  q=q|( p     &0x00000f00);
  q=q|((p>>12)&0x0000f000);
  q=q|((p<<12)&0x000f0000);
  q=q|( p     &0x00f00000);
  q=q|((p<<12)&0x0f000000);
  q=q|( p     &0xf0000000);
  // 2nd S-box conversion
  y=sbox_conv(q);
  return y;
}

//-------------------------------------------------------------------

int main() {
  unsigned           seed1, seed2;
  unsigned long long lu=0;                   // unsigned 64bit
  unsigned long long zlu;                    // unsigned 64bit

  while(1) {                                 // forever loop (don't stop)
    do {
      zlu=lu;                                // save last time value
      lu=time(NULL);                         // read UTC time value
    } while (zlu==lu);                       // wait untile time change
    seed1=sbox_conv(lu&0xffffffff);          // S-box conversion
    seed2=sbox_double_conv(lu&0xffffffff);   // double S-box conversion
    printf("time=%10u seed1=%10u(0x%08X) seed2=%10u(0x%08X)\n", lu&0xffffffff, seed1, seed1, seed2, seed2);
  }

}

プログラム実行結果　aes_sbox_out.txt　
２段階のS-box攪拌処理でそれなりの効果が得られます．　M系列信号を用いた擬似乱数の初期値生成プログラムの初期値として用いる程度ならこれでも十分でしょう．


.....

time=1740788990 seed1=2233802939(0x852520BB) seed2= 334582585(0x13F15339)
time=1740788991 seed1=2233802774(0x85252016) seed2= 335369137(0x13FD53B1)
time=1740788992 seed1=2233859171(0x8525FC63) seed2=1945586413(0x73F74AED)
time=1740788993 seed1=2233859196(0x8525FC7C) seed2=1942768202(0x73CC4A4A)
time=1740788994 seed1=2233859191(0x8525FC77) seed2=1942768219(0x73CC4A5B)
time=1740788995 seed1=2233859195(0x8525FC7B) seed2=1942768185(0x73CC4A39)
time=1740788996 seed1=2233859314(0x8525FCF2) seed2=1930775040(0x73154A00)
time=1740788997 seed1=2233859179(0x8525FC6B) seed2=1945586233(0x73F74A39)
time=1740788998 seed1=2233859183(0x8525FC6F) seed2=1945586383(0x73F74ACF)
time=1740788999 seed1=2233859269(0x8525FCC5) seed2=1936804604(0x73714AFC)
.....

さらに徹底的にS-boxを用いた攪拌処理をするなら3段構成（下図参照）にすることも可能ですが、そこまで暗号化処理の真似事をする必要性があるのかどうかは判断がつきません．（汎用性のある攪拌処理とは言えるでしょうが . . . .）　もはや話のネタにしかならないかもしれませんが、もっと段数を増やした構成も考えられます．　他にS-boxとrotateの組み合わせによる攪拌・ランダム化も出来ます．

S-boxを使った攪拌・ランダム化プログラムを作ってから気が付いたのですが、処理対象をtime()関数の出力に完全に限定すれば、もっと単純な処理でも良さそうですね．
下記のようなプログラムではいかがでしょうか？　カウントアップする値をバラけさせるのには十分でしょう．（規則性が無くなるわけではありませんが、ビットパターンの変化がちょっと見た目にはランダムになります）

処理対象限定の攪拌・ランダム化プログラム　modulo_mod.c


/* generate 32bit seed value of random number generator */
/* (c) 2025 cepstrum.co.jp                              */

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <time.h>

//-------------------------------------------------------------------

unsigned simple_mod(unsigned x) {
  return x=x+((x%3)<<2)-((x%5)<<4)+((x%7)<<6)+((x%11)<<8)-((x%13)<<10)+((x%17)<<12)-((x%19)<<14)+((x%23)<<16);
}

//-------------------------------------------------------------------

int main() {
  unsigned           seed;
  unsigned long long lu=0;                   // unsigned 64bit
  unsigned long long zlu;                    // unsigned 64bit

  while(1) {                                 // forever loop (don't stop)
    do {
      zlu=lu;                                // save last time value
      lu=time(NULL);                         // read UTC time value
    } while (zlu==lu);                       // wait untile time change
    seed=simple_mod(lu);                     // simple conversion
    printf("time=%10u seed1=%10u(0x%08X)\n", lu&0xffffffff, seed, seed);
  }

}

プログラム実行結果　modulo_mod_out.txt


.....

time=1741016530 seed1=1742030358(0x67D54616)
time=1741016531 seed1=1742394187(0x67DAD34B)
time=1741016532 seed1=1742446708(0x67DBA074)
time=1741016533 seed1=1740991913(0x67C56DA9)
time=1741016534 seed1=1741044446(0x67C63ADE)
time=1741016535 seed1=1741097047(0x67C70857)
time=1741016536 seed1=1741149132(0x67C7D3CC)
time=1741016537 seed1=1741214977(0x67C8D501)
time=1741016538 seed1=1741267498(0x67C9A22A)
time=1741016539 seed1=1741320031(0x67CA6F5F)
.....

time()関数で得た値のランダム化（その２）　：　timp stamp counterの値の併用

times()関数で得られる値は１秒単位でカウントアップするので、それより短い時間間隔で複数の擬似乱数初期値を生成しようとすると値が重複してしまいます．
この問題はRDTSC（ReaD Time Stamp Counter）命令を用いて得られる time stamp counnter の値（１クロックごとにカウントアップ）と併用することで回避出来ます．（２つの値の exor を用いる）
こようなクロック・カウンタはミドル・レンジの組込用プロセッサにも当たり前のように内蔵されているくらいですから、ARMやAppleシリコンでも同様の手法を使えるはずです．
C言語のプログラムで得られる time stamp counter の値の分解能は２クロック単位になることに注意してください．（得られる値は常に奇数）　下記のプログラムでは最下位の1bit（LSB, 図中の c₀）を落として処理しています．
下記のプログラムは gcc で作成・テストをおこなっています．　MicrosoftのCコンパイラ（Visual Studio）では __rdtsc (intrin.h) を用いてもっと簡潔に記述出来ます．

time()関数とRDTSC命令を併用した擬似乱数の初期値生成プログラム　 rdtsc.c


/* generate 32bit seed value of random number generator    */
/* from time() and time stamp counter value                */
/* for x64 processor and gcc                               */
/* use __rdtsc intrinsic for Microsoft compiler <intrin.h> */
/* (c) 2025 cepstrum.co.jp                                 */

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <time.h>

//-----------------------------------------------------
// execute RDTSC instruction and return time stamp counter value

unsigned long long  rdtsc(void) {
  unsigned long long lo, hi;

  __asm__ volatile ("rdtsc" : "=a" (lo), "=d" (hi));
  return lo|(hi<<32);
}

//-----------------------------------------------------

int main() {
  unsigned           seed;                // seed value for random number generator
  unsigned           counter=0;           // overflow counter
  unsigned long long lu1, lu2;            // unsigned 64bit

  while(1) {                              // forever loop (don't stop)
    do {                                  // time consuming loop
      counter=counter+8;                  // count up
    } while(counter!=0);                  // wait until counter overflow
    lu1=time(NULL);                       // read UTC time value
    lu2=rdtsc();                          // read time stamp counter
    seed=(lu1^(lu2>>1))&0xffffffff;       // generate 32bit seed value
    printf("time=%10u tsc=%10u seed=%10u(0x%08X)\n", lu1&0xffffffff, lu2&0xffffffff, seed, seed);
  }

}

プログラム実行結果　rdtsc_out.txt


.....

time=1741217650 tsc=3758225877 seed=2546475928(0x97C82398)
time=1741217650 tsc=   3720435 seed=1741995275(0x67D4BD0B)
time=1741217650 tsc= 546690075 seed=2005022079(0x7782357F)
time=1741217650 tsc=1088356141 seed=1202168036(0x47A7A0E4)
time=1741217650 tsc=1630275875 seed=1465834467(0x575EDBE3)
time=1741217651 tsc=2171753907 seed= 661779882(0x2771F5AA)
time=1741217651 tsc=2713111927 seed= 924039624(0x3713B9C8)
time=1741217651 tsc=3261178399 seed= 116919932(0x06F80E7C)
time=1741217651 tsc=3801389195 seed= 377656118(0x16829336)
time=1741217652 tsc=  48018715 seed=3869672953(0xE6A685F9)
time=1741217652 tsc= 609693231 seed=4125313123(0xF5E34863)
time=1741217652 tsc=1150902331 seed=3313790825(0xC5846F69)
time=1741217652 tsc=1694594115 seed=3578291541(0xD5486555)
time=1741217652 tsc=2235925379 seed=2775195317(0xA56A1EB5)
time=1741217653 tsc=2778729023 seed=3038304874(0xB518DA6A)
time=1741217653 tsc=3319660111 seed=2233868370(0x85262052)
time=1741217653 tsc=3866970143 seed=2499181434(0x94F67B7A)
time=1741217653 tsc= 116817159 seed=1689510390(0x64B3E1F6)
.....

内輪のジョークをネットで拡散するのは止めよう

擬似乱数生成プログラムで初期値に整数 123456789 を使っていて、これはある超越数の一部を抜き出したものだ～と解説するジョークを複数のwebページで見かけます．　数学、数論等に詳しくない人はこれがジョークだと気づかない可能性もあるので、ベタなジョークを拡散するのは止めましょう．　ジョークがジョークとして通用する仲間内でジョークは使いましょう．

笑いを取るなら次のようなジョークはいかがでしょうか？（ご自由にお使いください）
- 擬似乱数生成プログラムで初期値に用いられている整数値 123456789 は円周率の小数523551502桁目から9桁分を抜き出したものだ．　その理由は、擬似乱数の数理と超越数である円周率の間には超一流の数学者しか理解出来ない深遠な関係が存在するからだ．

English page is here

| ← back | ↑top |

| home |