今天我想:好吧，即使对RANDt的NIST SP 800-90A实现有很大的怀疑，它仍然是伪随机数生成器(PRNG)的硬件实现，对于非敏感应用程序必须足够好。因此，我想到了在游戏中使用它而不是Mersenne Twister。

因此，要查看使用该指令是否可以获得任何性能提升，我比较了以下两个代码的时间:

// test.cpp
#include <cstdio>

int main()
{
    unsigned int rnd = 0;
    for(int i = 0; i < 10000000; ++i) {
        __builtin_ia32_rdrand32_step(&rnd);
    }
    printf("%x\n", rnd);
}

//test2.cpp
#include <cstdio>
#include <random>

int main()
{
    unsigned int rnd = 0;
    __builtin_ia32_rdrand32_step(&rnd);
    std::mt19937 gen(rnd);
    for(int i = 0; i < 10000000; ++i) {
        rnd ^= gen();
    }
    printf("%x\n", rnd);
}

$ time ./test
d230449a

real    0m0.361s
user    0m0.358s
sys     0m0.002s

$ time ./test2
bfc4e472

real    0m0.051s
user    0m0.050s
sys     0m0.002s

// test3.cpp
#include <cstdio>

extern "C"
{
#include "rabbit.h"
}

int main()
{
    rabbit_state s;
    unsigned long long buf[2];
    __builtin_ia32_rdrand64_step(&buf[0]);
    __builtin_ia32_rdrand64_step(&buf[1]);
    rabbit_init_key(&s, (uint8_t*)&buf[0]);

    for(int i = 0; i < 10000000; ++i) {
        rabbit_extract(&s, (uint8_t*)&buf[0]);
    }
    printf("%llx\n", buf[0]);
}

$ time ./test3
8ef9772277b70aba

real    0m0.344s
user    0m0.341s
sys     0m0.002s

如in the other answer所指出的那样，RDRAND的种子是真正随机的。特别是，它经常使用128位硬件生成的随机性来重新播种其内部CSPRNG，从而确保每511 * 128位至少重新播种一次。请参阅本文件第4.2.5节:

https://software.intel.com/en-us/articles/intel-digital-random-number-generator-drng-software-implementation-guide

因此，在您的示例中，您使用了一个128位种子来从rabbit_extract生成1000万次随机抽取。在RDRAND版本中，相当于进行了250万次128位绘制，这意味着CSPRING至少播种了2,500,000/511 = 4,892次。

因此，在您的Rabbit示例中，没有代替128位熵，而在RDRAND示例中，至少有4,892 * 128 = 626,176位熵。

这比没有硬件支持在0.361秒内获得的熵要多得多。如果您正在做很多真正随机性很重要的事情，那可能很重要。一个示例是Shamir secret 共享大量数据-不确定是否还有其他数据。

因此，总而言之，这不是为了速度，而是为了提高安全性。它是否是后门程序的问题当然很麻烦，但是您始终可以将它与其他来源进行XOR，至少起码不会对您造成伤害。