隨機數字(random number)是由不可預測的程序所產生的數值——可能來自骰子或熱噪聲等物理現象,也可能來自模仿隨機性的電腦演算法。真隨機數產生器(TRNG)與偽隨機數產生器(PRNG)之間的關鍵差異,決定了你的應用程式是真正安全,還是只是「看起來」隨機。無論你是要為抽獎活動快速選號,還是需要密碼學等級的安全金鑰,使用可靠的隨機數產生器都至關重要。本指南將涵蓋基本概念、出錯的實際代價,以及如何在 2026 年為你的情境挑選合適的產生器。
隨機數字究竟是什麼?(為什麼重要?)
隨機數字的定義不在於它的實際數值,而在於來源有多不可預測。當你擲骰子時,結果是隨機的,因為這個物理過程——骰子翻滾、撞擊表面、空氣阻力——太過複雜,無法精確建模。在運算領域,隨機性是以熵(entropy)來衡量的,這個資訊理論中的術語用來量化不可預測性。來源的熵越高,下一個數字就越難被猜中。
一般人對隨機的日常理解,往往與運算上的定義不同。像「1 2 3 4 5」這樣的序列對人類而言看似不隨機,但正如維基百科關於隨機數的條目所言:「我們無法肯定地說第一個序列不是隨機的……它有可能只是偶然產生的。」關鍵屬性在於序列中的每個數字都與其他數字獨立,且無法從先前的輸出預測出來。
產生器大致分為兩大類:
– 真隨機數產生器(TRNG)——也稱為硬體隨機數產生器(HRNG)——從本質上不可預測的物理現象中取得數字。
– 偽隨機數產生器(PRNG)——使用確定性的數學演算法。它們看起來隨機,但只要知道初始狀態(種子),就能完全重現。
釐清這個區別是保護應用程式安全的第一步。若想更廣泛地瞭解不同類型的隨機化工具——包括超越純數字的工具——請參考我們的數字隨機產生器完整指南。
核心問題:為什麼電腦無法「真正」隨機?
電腦是一部確定性的機器,每一條指令都遵循固定的順序。要產生隨機數字,它必須依賴外部的熵來源,或模擬隨機性的演算法。正如數學家 John von Neumann 在 1951 年的名言所言:「任何考慮用算術方法產生隨機數字的人,當然都身處罪惡之中。」
這句話保存在維基百科關於隨機數產生的條目中,道出了一個根本事實:算術(演算法)方法永遠無法產生真正不可預測的數字,它們只能產生在統計檢定下「看起來」隨機的序列。要獲得真正的不可預測性,唯一的方法是從物理世界中汲取熵——電阻的熱噪聲、大氣噪聲、放射性衰變,甚至是熔岩燈中的混亂圖案。
真隨機數產生器(TRNG)與偽隨機數產生器(PRNG):關鍵的區別
核心差異在於不可預測性的來源:
| 特性 | TRNG(真隨機產生器) | PRNG(偽隨機產生器) |
|---|---|---|
| 來源 | 物理熵(熱噪聲、量子效應等) | 數學演算法 |
| 確定性? | 否——每個輸出都依賴物理過程 | 是——相同種子永遠產生相同序列 |
| 可重現? | 否 | 是(若種子已知) |
| 速度 | 通常較慢,受熵汲取速率限制 | 非常快 |
| 是否阻塞? | 熵池耗盡時可能阻塞 | 不阻塞 |
| 適用場景 | 密碼學、安全金鑰、彩券 | 模擬、遊戲、非安全性應用 |
TRNG 直接測量物理現象。常見來源包括電阻的熱噪聲、電子電路的抖動、半導體的散粒噪聲,以及光電效應等量子現象。一個實用的 TRNG 通常包含一個噪聲源、一個數位化器、一個用來改善品質的條件化器(隨機性萃取器),以及確保來源仍在運作的健康檢測。
PRNG 從一個稱為隨機種子(random seed)的初始值(通常取自 TRNG)開始,然後反覆套用數學轉換來產生下一個數字。這個序列是確定性的,意味著只要你知道種子,就能重現完全相同的數字。這種可重現性對除錯模擬很有幫助,但若攻擊者能發現或猜中種子,對安全性而言就是災難。
第三類是密碼學安全偽隨機數產生器(CSPRNG),融合了兩者的優點:它們使用 TRNG 來取得高熵種子,然後用精心設計的演算法產生無限的數字流,這些數字在運算上與真正的隨機性無法區分。標準的密碼學設計都採用這種混合方式,如維基百科條目所述。
TRNG 如何創造真正的不可預測性
真隨機產生器從物理環境中擷取隨機性。一個著名的例子由 Cloudflare 使用:他們舊金山辦公室裡的一面熔岩燈牆。正如一篇 Cloudflare 部落格文章(2017)所解釋,熔岩燈中不斷變化、不可預測的圖案被拍照並雜湊,以產生高熵的隨機數。雖然熔岩燈是個新穎的做法,但大多數 TRNG 使用更精簡的來源,例如逆向偏壓二極體的熱噪聲。
另一個近期的愛好者專案,由 Joshua Coleman 製作的霓虹熵隨機數產生器(2026 年 5 月),使用了三顆復古霓虹燈。通電霓虹燈的放電速率變化莫測,光學感測器擷取這種變化。Raspberry Pi Pico W 讀取類比訊號,並產生可作為隨機種子的 SHA-256 64 位元值。作者承認這套系統「特性尚未充分描述」且需要驗證,但它說明瞭從物理過程中萃取熵的原理。
為什麼 PRNG 是運算的主力
PRNG 無所不在,因為它們快速、可重現且易於實作。維基百科條目指出,它們「在各類應用中扮演核心角色,例如模擬(如蒙地卡羅方法)、電子遊戲(如程序化生成)以及密碼學。」在模擬中,能從相同種子重新執行相同隨機序列對除錯至關重要。在密碼學中,只要_種子保密_,PRNG 是可以安全的。
最廣泛使用的通用型 PRNG 是 Mersenne Twister(MT19937),以優異的統計特性與超長週期(2^19937 − 1)聞名。許多程式語言(Python、Ruby、PHP)將 Mersenne Twister 作為非密碼學用途的預設隨機數產生器。但 Mersenne Twister 並非密碼學安全的——攻擊者只要觀察約 624 個連續輸出,就能重建其內部狀態。對於任何涉及安全的事務,你需要的是 CSPRNG。若你使用特定語言開發,Python 隨機數產生器、Java 隨機數產生器與 C++ 隨機數產生器等工具會為各平台指引正確做法。
實際後果:當隨機數失效時(彩券舞弊案)
弱式隨機數產生器的後果可能是災難性的。最戲劇性的例子是維基百科條目所述的美國彩券舞弊案。MUSL(Multi-State Lottery Association)的資訊安全主管在例行維護時,偷偷在安全的 RNG 電腦上安裝了後門惡意程式。數年間,他靠預測彩券號碼總共贏得 1,650 萬美元。這次攻擊之所以得逞,是因為後門讓 RNG 實際上變得可預測——這是依賴遭入侵或弱式產生器的典型失敗案例。
即使沒有惡意後門,有瑕疵的隨機性也可能造成廣泛損害。維基百科關於隨機數的條目引用了 2012 年的一起事件:某線上加密方法的隨機性瑕疵(99.8%,並非完全 100%)對一家大型服務商估計 27,000 名客戶造成負面影響。這類瑕疵顯示,即使偏離真正隨機性的幅度很小,也可能帶來嚴重後果。
另一個備受矚目的案例是 Dual EC DRBG 後門。這個通過 NIST 認證的密碼學安全偽隨機數產生器被懷疑含有 NSA 植入的後門,讓他們(若此理論屬實)能判斷其內部狀態並破解依賴它的加密。正如維基百科條目所述,即使 Dual EC DRBG「早在 NSA 後門於 2013 年被證實之前,就已經是一個非常糟糕、可能藏有後門的偽隨機數產生器,它在實務上卻已獲得大量使用」,包括被安全公司 RSA Security 採用。
換個輕鬆的話題,線上隨機數工具的熱門程度,反映了人們有多依賴它們。根據 Wheel of Names 的資料,截至 2026 年該網站已記錄 462,479,318 次轉盤旋轉,以及超過 128 萬小時的轉動時間。該網站使用密碼學安全函式(crypto.getRandomValues())以確保對使用者的真正不可預測性,許多使用者用它來進行抽獎、課堂選人與直播贈獎。如此龐大的使用規模顯示,一旦隨機數產生器失效,影響的是數百萬人。
如何在 2026 年為你的使用情境挑選合適的隨機數產生器
挑選合適的隨機數產生器,取決於你的應用程式在安全性、速度與可重現性方面的需求。請使用這個決策框架:
密碼學用途:必須使用 CSPRNG
如果你的應用程式涉及加密金鑰、身分驗證權杖、工作階段 ID 或任何其他安全敏感資料,你必須使用密碼學安全偽隨機數產生器(CSPRNG)。切勿將 Math.random()、random.randint() 或 Mersenne Twister 用於這些用途。可預測性的後果——財務竊盜、資料外洩、帳戶遭接管——太過嚴重。
建議工具:
– 網頁瀏覽器:使用 Web Crypto API(crypto.getRandomValues())。這正是 Wheel of Names 用來保證隨機性的方法。
– Unix/Linux 系統:從 /dev/urandom 讀取。它提供由硬體熵播種的非阻塞 CSPRNG。(註:/dev/random 會阻塞直到有足夠熵可用,不建議用於大量讀取。)
– Windows:使用 CryptGenRandom() 或 RNGCryptoServiceProvider。
– Intel 處理器:RDRAND 指令會從晶片內建的硬體產生器傳回隨機數,但許多重視安全的系統會將其輸出與其他熵來源混合,以抵禦潛在的後門。
模擬與遊戲:PRNG(如 Mersenne Twister)的速度優勢
對於蒙地卡羅模擬、科學運算、電子遊戲與程序化內容生成,速度與統計品質比密碼學安全性更重要。此時,像 Mersenne Twister(MT19937)或較新的 PCG 家族這類快速 PRNG 表現良好。這些產生器每秒可產生數十億個數字,並通過大多數統計檢定。
- 可重現性是關鍵優勢:從相同種子開始會得到相同序列,這對除錯與確保實驗可重現至關重要。
- 注意:切勿將這些用於任何涉及金錢、身分或存取控制的情境。
彩券與公平性:需要硬體式熵
彩券、抽獎、獎品抽取,以及任何在法律或倫理上要求公平性的系統,都必須使用硬體式熵(TRNG),或至少使用從物理熵播種、設計良好的 CSPRNG。彩券舞弊案顯示,即使「安全」的 RNG,只要種子或軟體遭到竄改,也可能被攻破。來自大氣噪聲(如 Random.org)、量子隨機數產生器或專用硬體模組的物理隨機性,提供了最強的不可預測性保證。
對於像產生測試用隨機電話號碼這類日常工作,隨機電話號碼產生器能提供快速、可靠的結果,而無需密碼學硬體的複雜度。
對於高風險應用:
– 物理來源:使用專用的 HRNG(例如基於熱噪聲或量子光子發射的裝置)。
– 混合方式:將硬體熵與 CSPRNG 結合以兼顧速度。
– 稽核:定期檢測輸出的均勻性與獨立性(見第 6 節)。
隨機性的最新發展:尖端研究與工具(2026 年更新)
雖然 TRNG 與 PRNG 的基本區別早已確立,但近期研究在速度、效率與適應性方面不斷突破極限。一篇發表於 Scientific Reports 的 2026 年值得注意的研究,提出了 DMARS_WGO(Dual-Mode Adaptive Reinforced Switching Walrus-Gazelle Optimizer),這是一種混合元啟發式演算法,運用強化學習來動態平衡探索與利用。
根據論文 DMARS_WGO: a deep reinforcement-driven hybrid metaheuristic for intelligent adaptive optimization,該演算法在 CEC2017 基準套件的 29 個函數中拿下 26 個第一名,在 CEC2022 的 12 個函數中拿下 8 個第一名。雖然 DMARS_WGO 主要是一個最佳化演算法(並非通用型 RNG),但它展示了機器學習如何能提升隨機搜尋過程的品質——這是更好的隨機性對模擬帶來的直接效益。
對一般開發者而言,2026 年最重要的最佳實務是依賴作業系統層級的 CSPRNG。Intel 的 RDRAND 指令內建於現代 CPU,提供可由程式碼直接存取的硬體隨機數產生器。Linux 核心的 /dev/urandom 現在使用基於 ChaCha20 的 CSPRNG,既快速又安全。Web Crypto API(crypto.getRandomValues())已成為客戶端 JavaScript 安全性的標準。
現代 CPU 如何產生隨機數(RDRAND 與之後的發展)
Intel 與 AMD 的現代處理器內建硬體隨機數產生器(HRNG),可透過 RDRAND 指令存取。這個產生器使用晶片內建的熵來源——例如金屬氧化物半導體(MOS)電晶體的熱噪聲——來產生隨機位元。它每秒可提供數千個隨機數。
然而,由於硬體理論上可能遭到竄改(正如 Dual EC DRBG 案例所示),許多安全敏感的應用不會單獨使用 RDRAND。維基百科條目指出:「在 Linux 中進行隨機數產生時,單獨使用 Intel 的 RDRAND 硬體 RNG 而不將其輸出與其他熵來源混合,被視為無法接受。」這種稱為「白化」(whitening)的做法,結合多個獨立來源,以降低隱藏後門的風險。
如何檢測數字的「隨機性」
即使你使用了設計良好的 RNG,也應該驗證它的輸出是否展現預期的統計特性。兩項主要檢測是等機率性(每個數值出現的次數大致相等)與獨立性(連續數值之間沒有可預測的模式)。
根據 PsychicScience.org 隨機數產生器頁面,你可以透過在所選範圍內產生 100,000 個開放序列整數,來測試瀏覽器的 Math.random() 方法。該頁面指出:「純粹出於機率,隨機性檢測大約每 10 次會指示一次非隨機序列」——10% 的偽陽性率是正常的。
卡方檢定簡單說明
最常見的隨機性統計檢定是卡方(χ²)適配度檢定。以下是其實務運作方式:
- 從你的 RNG 產生 N 個數字的序列(例如 1,000 個介於 1 到 6 的整數)。
- 計算每個數值出現的次數。
- 將這些觀察次數與期望次數比較(對均勻分佈而言,每個數值應出現 N/6 次)。
- 計算卡方統計量:對所有類別求和 ((觀察 − 期望)² / 期望)。
- 判讀:若與此卡方值相關的機率大於 0.10(典型閾值),則沒有證據顯示偏離隨機性。
第二項成對獨立性檢測,則檢查連續兩個數字所有可能配對的出現頻率是否同樣可能。例如,擲骰時配對 (1,1)、(1,2)、…、(6,6) 都應以相近頻率出現。卡方列聯表檢定可偵測出像是傾向於在高值與低值之間交替的偏差。
許多線上工具(包括 PsychicScience.org 的工具)都提供內建的卡方檢測。若需嚴謹驗證,NIST 統計檢定套件(STS)提供 15 種不同檢定,包括頻率檢定、連檢定與區塊頻率檢定。
結論
瞭解 TRNG 與 PRNG 的差異,是保護應用程式安全與做出明智決策的第一步。TRNG 汲取物理熵;PRNG 使用確定性演算法與種子;CSPRNG 結合兩者以達到安全性。選錯類型的實際後果可能是財務損失、法律責任與聲譽受損,正如 1,650 萬美元彩券舞弊案所示。
可行建議:從今天開始稽核你的程式碼庫,確保 Math.random() 從未用於任何安全、身分驗證或權杖產生的情境。將所有敏感操作遷移至 CSPRNG。對於模擬與遊戲,像 Mersenne Twister 這類快速 PRNG 是可以的,但務必留意可重現性的需求。如果你營運彩券、抽獎或任何公平性至關重要的系統,請投資專用硬體 RNG 或具有可稽核熵來源、經過充分驗證的 CSPRNG。用 2026 年 DMARS_WGO 研究的話來說,「智慧地自我調適其搜尋動態」的能力是尖端技術——但對大多數開發者而言,單純選擇正確的現有工具,才是影響最大的第一步。
常見問題
真隨機數產生器(TRNG)與偽隨機數產生器(PRNG)有何差異?
TRNG 使用物理過程(熱噪聲、量子效應、熔岩燈)來產生本質上不可預測的數字。PRNG 使用數學演算法與起始種子;輸出看起來隨機,但完全具確定性。對於安全需求,必須使用 TRNG 或 CSPRNG。
網站產生的隨機數是真正隨機的嗎?
大多數網站使用 PRNG,它們具確定性但統計上隨機。聲譽良好的密碼學或彩券網站會使用硬體式熵或 CSPRNG(例如 Web Crypto API)。對於名稱抽選器等非安全應用,簡單的 PRNG 通常就足夠了。
我該如何產生密碼學安全的隨機數?
在瀏覽器中使用專用 API,例如 Web Crypto API(crypto.getRandomValues())。在 Unix/Linux 系統上,從 /dev/urandom 讀取。切勿將 Math.random() 用於安全用途。對於大量產生,像 ChaCha20 這類現代 CSPRNG 既快速又安全。
發佈留言