]> AND Private Git Repository - prng_gpu.git/blobdiff - prng_gpu.tex
Logo AND Algorithmique Numérique Distribuée

Private GIT Repository
autres modifs
[prng_gpu.git] / prng_gpu.tex
index 0c9f9c742e91de13b4286de29106cf7a76abfa8f..e90d0c241698897332ab973a12b42f73eefc0229 100644 (file)
@@ -1,5 +1,6 @@
-%\documentclass{article}
-\documentclass[10pt,journal,letterpaper,compsoc]{IEEEtran}
+\documentclass{article}
+%\documentclass[10pt,journal,letterpaper,compsoc]{IEEEtran}
+%\documentclass[preprint,12pt]{elsarticle}
 \usepackage[utf8]{inputenc}
 \usepackage[T1]{fontenc}
 \usepackage{fullpage}
 \usepackage[utf8]{inputenc}
 \usepackage[T1]{fontenc}
 \usepackage{fullpage}
@@ -17,6 +18,8 @@
 \usepackage{tabularx}
 \usepackage{multirow}
 
 \usepackage{tabularx}
 \usepackage{multirow}
 
+%\usepackage{color}
+
 % Pour mathds : les ensembles IR, IN, etc.
 \usepackage{dsfont}
 
 % Pour mathds : les ensembles IR, IN, etc.
 \usepackage{dsfont}
 
@@ -27,7 +30,6 @@
 % Pour faire des sous-figures dans les figures
 \usepackage{subfigure}
 
 % Pour faire des sous-figures dans les figures
 \usepackage{subfigure}
 
-\usepackage{color}
 
 \newtheorem{notation}{Notation}
 
 
 \newtheorem{notation}{Notation}
 
 \newcommand{\BN}{\mathds{B}^\mathsf{N}}
 \let\sur=\overline
 
 \newcommand{\BN}{\mathds{B}^\mathsf{N}}
 \let\sur=\overline
 
-\newcommand{\alert}[1]{\begin{color}{blue}\textit{#1}\end{color}}
+%\newcommand{\alert}[1]{\begin{color}{blue}\textit{#1}\end{color}}
 
 
-\title{Efficient and Cryptographically Secure Generation of Chaotic Pseudorandom Numbers on GPU}
 \begin{document}
 
 \begin{document}
 
-\author{Jacques M. Bahi, Rapha\"{e}l Couturier,  Christophe
-Guyeux, and Pierre-Cyrille Héam\thanks{Authors in alphabetic order}}
-   
+\title{Efficient and Cryptographically Secure Generation of Chaotic Pseudorandom Numbers on GPU}
+
+
+%% \author{Jacques M. Bahi}
+%% \ead{jacques.bahi@univ-fcomte.fr}
+%% \author{ Rapha\"{e}l Couturier \corref{cor1}}
+%% \ead{raphael.couturier@univ-fcomte.fr}
+%% \cortext[cor1]{Corresponding author}
+%% \author{  Christophe Guyeux}
+%% \ead{christophe.guyeux@univ-fcomte.fr}
+%% \author{ Pierre-Cyrille Héam }
+%% \ead{pierre-cyrille.heam@univ-fcomte.fr}
 
 
-\IEEEcompsoctitleabstractindextext{
+\author{Christophe Guyeux \and  Rapha\"{e}l Couturier \and    Pierre-Cyrille Héam \and Jacques M. Bahi\\
+FEMTO-ST Institute, UMR  6174 CNRS,\\ University of Bourgogne Franche Comte, Belfort, France}
+
+\maketitle
+
+
+%\begin{frontmatter}
+%\IEEEcompsoctitleabstractindextext{
 \begin{abstract}
 In this paper we present a new pseudorandom number generator (PRNG) on
 graphics processing units  (GPU). This PRNG is based  on the so-called chaotic iterations.  It
 \begin{abstract}
 In this paper we present a new pseudorandom number generator (PRNG) on
 graphics processing units  (GPU). This PRNG is based  on the so-called chaotic iterations.  It
@@ -62,12 +79,15 @@ A chaotic version of the Blum-Goldwasser asymmetric key encryption scheme is fin
 
 
 \end{abstract}
 
 
 \end{abstract}
-}
+%}
+%\begin{keyword}
+%   pseudo random number\sep parallelization\sep GPU\sep cryptography\sep chaos
+%\end{keyword}
+%\end{frontmatter}
 
 
-\maketitle
 
 
-\IEEEdisplaynotcompsoctitleabstractindextext
-\IEEEpeerreviewmaketitle
+%\IEEEdisplaynotcompsoctitleabstractindextext
+%\IEEEpeerreviewmaketitle
 
 
 \section{Introduction}
 
 
 \section{Introduction}
@@ -86,28 +106,28 @@ a recurrent problem is that a deflation of the statistical qualities is often
 reported, when the parallelization of a good PRNG is realized.
 This is why ad-hoc PRNGs for each possible architecture must be found to
 achieve both speed and randomness.
 reported, when the parallelization of a good PRNG is realized.
 This is why ad-hoc PRNGs for each possible architecture must be found to
 achieve both speed and randomness.
-On the other side, speed is not the main requirement in cryptography: the great
-need is to define \emph{secure} generators able to withstand malicious
+On the other hand, speed is not the main requirement in cryptography: the most
+important aspect is to define \emph{secure} generators able to withstand malicious
 attacks. Roughly speaking, an attacker should not be able in practice to make 
 the distinction between numbers obtained with the secure generator and a true random
 attacks. Roughly speaking, an attacker should not be able in practice to make 
 the distinction between numbers obtained with the secure generator and a true random
-sequence. \begin{color}{red} Or, in an equivalent formulation, he or she should not be
+sequence.  Or, in an equivalent formulation, he or she should not be
 able (in practice) to predict the next bit of the generator, having the knowledge of all the 
 binary digits that have been already released. ``Being able in practice'' refers here
 to the possibility to achieve this attack in polynomial time, and to the exponential growth
 of the difficulty of this challenge when the size of the parameters of the PRNG increases.
 able (in practice) to predict the next bit of the generator, having the knowledge of all the 
 binary digits that have been already released. ``Being able in practice'' refers here
 to the possibility to achieve this attack in polynomial time, and to the exponential growth
 of the difficulty of this challenge when the size of the parameters of the PRNG increases.
-\end{color}
+
 
 Finally, a small part of the community working in this domain focuses on a
 third requirement, that is to define chaotic generators.
 
 Finally, a small part of the community working in this domain focuses on a
 third requirement, that is to define chaotic generators.
-The main idea is to take benefits from a chaotic dynamical system to obtain a
-generator that is unpredictable, disordered, sensible to its seed, or in other word chaotic.
-Their desire is to map a given chaotic dynamics into a sequence that seems random 
+The main idea is to take advantage from a chaotic dynamical system to obtain a
+generator that is unpredictable, disordered, sensible to its seed, or in other words chaotic.
+Their goal is to map a given chaotic dynamics into a sequence that seems random 
 and unassailable due to chaos.
 and unassailable due to chaos.
-However, the chaotic maps used as a pattern are defined in the real line 
+However, the chaotic maps used as patterns are defined in the real line 
 whereas computers deal with finite precision numbers.
 This distortion leads to a deflation of both chaotic properties and speed.
 Furthermore, authors of such chaotic generators often claim their PRNG
 whereas computers deal with finite precision numbers.
 This distortion leads to a deflation of both chaotic properties and speed.
 Furthermore, authors of such chaotic generators often claim their PRNG
-as secure due to their chaos properties, but there is no obvious relation
+are secure due to their chaos properties, but there is no obvious relation
 between chaos and security as it is understood in cryptography.
 This is why the use of chaos for PRNG still remains marginal and disputable.
 
 between chaos and security as it is understood in cryptography.
 This is why the use of chaos for PRNG still remains marginal and disputable.
 
@@ -116,7 +136,7 @@ properly defined in the mathematical theory of chaos, can reinforce the quality
 of a PRNG. But they are not substitutable for security or statistical perfection.
 Indeed, to the authors' mind, such properties can be useful in the two following situations. On the
 one hand, a post-treatment based on a chaotic dynamical system can be applied
 of a PRNG. But they are not substitutable for security or statistical perfection.
 Indeed, to the authors' mind, such properties can be useful in the two following situations. On the
 one hand, a post-treatment based on a chaotic dynamical system can be applied
-to a PRNG statistically deflective, in order to improve its statistical 
+to a statistically deflective PRNG, in order to improve its statistical 
 properties. Such an improvement can be found, for instance, in~\cite{bgw09:ip,bcgr11:ip}.
 On the other hand, chaos can be added to a fast, statistically perfect PRNG and/or a
 cryptographically secure one, in case where chaos can be of interest,
 properties. Such an improvement can be found, for instance, in~\cite{bgw09:ip,bcgr11:ip}.
 On the other hand, chaos can be added to a fast, statistically perfect PRNG and/or a
 cryptographically secure one, in case where chaos can be of interest,
@@ -130,18 +150,16 @@ statistical perfection refers to the ability to pass the whole
 {\it BigCrush} battery of tests, which is widely considered as the most
 stringent statistical evaluation of a sequence claimed as random.
 This battery can be found in the well-known TestU01 package~\cite{LEcuyerS07}.
 {\it BigCrush} battery of tests, which is widely considered as the most
 stringent statistical evaluation of a sequence claimed as random.
 This battery can be found in the well-known TestU01 package~\cite{LEcuyerS07}.
-\begin{color}{red}
 More precisely, each time we performed a test on a PRNG, we ran it
 More precisely, each time we performed a test on a PRNG, we ran it
-twice in order to observe if all $p-$values are inside [0.01, 0.99]. In
+twice in order to observe if all $p-$values were inside [0.01, 0.99]. In
 fact, we observed that few $p-$values (less than ten) are sometimes
 outside this interval but inside [0.001, 0.999], so that is why a
 second run allows us to confirm that the values outside are not for
 the same test. With this approach all our PRNGs pass the {\it
   BigCrush} successfully and all $p-$values are at least once inside
 [0.01, 0.99].
 fact, we observed that few $p-$values (less than ten) are sometimes
 outside this interval but inside [0.001, 0.999], so that is why a
 second run allows us to confirm that the values outside are not for
 the same test. With this approach all our PRNGs pass the {\it
   BigCrush} successfully and all $p-$values are at least once inside
 [0.01, 0.99].
-\end{color}
 Chaos, for its part, refers to the well-established definition of a
 Chaos, for its part, refers to the well-established definition of a
-chaotic dynamical system proposed by Devaney~\cite{Devaney}.
+chaotic dynamical system defined by Devaney~\cite{Devaney}.
 
 In a previous work~\cite{bgw09:ip,guyeux10} we have proposed a post-treatment on PRNGs making them behave
 as a chaotic dynamical system. Such a post-treatment leads to a new category of
 
 In a previous work~\cite{bgw09:ip,guyeux10} we have proposed a post-treatment on PRNGs making them behave
 as a chaotic dynamical system. Such a post-treatment leads to a new category of
@@ -153,42 +171,63 @@ The proposition of this paper is to improve widely the speed of the formerly
 proposed generator, without any lack of chaos or statistical properties.
 In particular, a version of this PRNG on graphics processing units (GPU)
 is proposed.
 proposed generator, without any lack of chaos or statistical properties.
 In particular, a version of this PRNG on graphics processing units (GPU)
 is proposed.
-Although GPU was initially designed  to accelerate
+Although GPUs were initially designed  to accelerate
 the manipulation of  images, they are nowadays commonly  used in many scientific
 applications. Therefore,  it is important  to be able to  generate pseudorandom
 the manipulation of  images, they are nowadays commonly  used in many scientific
 applications. Therefore,  it is important  to be able to  generate pseudorandom
-numbers inside a GPU when a scientific application runs in it. This remark
+numbers inside a GPU when it is run by a  scientific application runs in it. This remark
 motivates our proposal of a chaotic and statistically perfect PRNG for GPU.  
 Such device
 allows us to generate almost 20 billion of pseudorandom numbers per second.
 Furthermore, we show that the proposed post-treatment preserves the
 motivates our proposal of a chaotic and statistically perfect PRNG for GPU.  
 Such device
 allows us to generate almost 20 billion of pseudorandom numbers per second.
 Furthermore, we show that the proposed post-treatment preserves the
-cryptographical security of the inputted PRNG, when this last has such a 
+cryptographical security of the inputted PRNG, when the latter has such a 
 property.
 Last, but not least, we propose a rewriting of the Blum-Goldwasser asymmetric
 key encryption protocol by using the proposed method.
 
 property.
 Last, but not least, we propose a rewriting of the Blum-Goldwasser asymmetric
 key encryption protocol by using the proposed method.
 
+
+{\bf Main contributions.} In this paper a new PRNG using chaotic iteration
+is defined. From a theoretical point of view, it is proven that it has fine
+topological chaotic properties and that it is cryptographically secure (when
+the initial PRNG is also cryptographically secure). From a practical point of
+view, experiments point out a very good statistical behavior. An optimized
+original implementation of this PRNG is also proposed and experimented.
+Pseudorandom numbers are generated at a rate of 20GSamples/s, which is faster
+than in~\cite{conf/fpga/ThomasHL09,Marsaglia2003} (and with a better
+statistical behavior). Experiments are also provided using 
+ the well-known Blum-Blum-Shub
+(BBS) 
+as the initial
+random generator. The generation speed is significantly weaker.
+%Note also that an original qualitative comparison between topological chaotic
+%properties and statistical tests is also proposed.
+
+
+
+
 The remainder of this paper  is organized as follows. In Section~\ref{section:related
   works} we  review some GPU implementations  of PRNGs.  Section~\ref{section:BASIC
   RECALLS} gives some basic recalls  on the well-known Devaney's formulation of chaos, 
   and on an iteration process called ``chaotic
 iterations'' on which the post-treatment is based. 
 The proposed PRNG and its proof of chaos are given in  Section~\ref{sec:pseudorandom}.
 The remainder of this paper  is organized as follows. In Section~\ref{section:related
   works} we  review some GPU implementations  of PRNGs.  Section~\ref{section:BASIC
   RECALLS} gives some basic recalls  on the well-known Devaney's formulation of chaos, 
   and on an iteration process called ``chaotic
 iterations'' on which the post-treatment is based. 
 The proposed PRNG and its proof of chaos are given in  Section~\ref{sec:pseudorandom}.
-\begin{color}{red}
-Section~\ref{The generation of pseudorandom sequence} illustrates the statistical
-improvement related to the chaotic iteration based post-treatment, for
-our previously released PRNGs and a new efficient 
-implementation on CPU.
-\end{color}
- Section~\ref{sec:efficient PRNG
-  gpu}   describes and evaluates theoretically  the  GPU   implementation. 
+%Section~\ref{The generation of pseudorandom sequence} illustrates the statistical
+%improvement related to the chaotic iteration based post-treatment, for
+%our previously released PRNGs and a new efficient 
+%implementation on CPU.
+ Section~\ref{sec:efficient PRNG} %{sec:efficient PRNG
+%  gpu}  
+ describes and evaluates theoretically new effective versions of
+our pseudorandom generators,  in particular with a  GPU   implementation. 
 Such generators are experimented in 
 Section~\ref{sec:experiments}.
 We show in Section~\ref{sec:security analysis} that, if the inputted
 Such generators are experimented in 
 Section~\ref{sec:experiments}.
 We show in Section~\ref{sec:security analysis} that, if the inputted
-generator is cryptographically secure, then it is the case too for the
+generator is cryptographically secure, then it is also the case of the
 generator provided by the post-treatment.
 generator provided by the post-treatment.
+A practical
+security evaluation is also outlined in Section~\ref{sec:Practicak evaluation}.
 Such a proof leads to the proposition of a cryptographically secure and
 chaotic generator on GPU based on the famous Blum Blum Shub
 Such a proof leads to the proposition of a cryptographically secure and
 chaotic generator on GPU based on the famous Blum Blum Shub
-in Section~\ref{sec:CSGPU}, \begin{color}{red} to a practical
-security evaluation in Section~\ref{sec:Practicak evaluation}, \end{color} and to an improvement of the
+in Section~\ref{sec:CSGPU} and to an improvement of the
 Blum-Goldwasser protocol in Sect.~\ref{Blum-Goldwasser}.
 This research work ends by a conclusion section, in which the contribution is
 summarized and intended future work is presented.
 Blum-Goldwasser protocol in Sect.~\ref{Blum-Goldwasser}.
 This research work ends by a conclusion section, in which the contribution is
 summarized and intended future work is presented.
@@ -201,7 +240,7 @@ summarized and intended future work is presented.
 
 Numerous research works on defining GPU based PRNGs have already been proposed  in the
 literature, so that exhaustivity is impossible.
 
 Numerous research works on defining GPU based PRNGs have already been proposed  in the
 literature, so that exhaustivity is impossible.
-This is why authors of this document only give reference to the most significant attempts 
+This is why the authors of this document only only refer to the most significant attempts 
 in this domain, from their subjective point of view. 
 The  quantity of pseudorandom numbers generated per second is mentioned here 
 only when the information is given in the related work. 
 in this domain, from their subjective point of view. 
 The  quantity of pseudorandom numbers generated per second is mentioned here 
 only when the information is given in the related work. 
@@ -209,7 +248,7 @@ A million numbers  per second will be simply written as
 1MSample/s whereas a billion numbers per second is 1GSample/s.
 
 In \cite{Pang:2008:cec}  a PRNG based on  cellular automata is defined
 1MSample/s whereas a billion numbers per second is 1GSample/s.
 
 In \cite{Pang:2008:cec}  a PRNG based on  cellular automata is defined
-with no  requirement to an high  precision  integer   arithmetic  or to any bitwise
+with no  requirement to a high  precision  integer   arithmetic  or to any bitwise
 operations. Authors can   generate  about
 3.2MSamples/s on a GeForce 7800 GTX GPU, which is quite an old card now.
 However, there is neither a mention of statistical tests nor any proof of
 operations. Authors can   generate  about
 3.2MSamples/s on a GeForce 7800 GTX GPU, which is quite an old card now.
 However, there is neither a mention of statistical tests nor any proof of
@@ -225,12 +264,12 @@ However the evaluations of the proposed PRNGs are only statistical ones.
 
 Authors of~\cite{conf/fpga/ThomasHL09}  have studied the  implementation of some
 PRNGs on  different computing architectures: CPU,  field-programmable gate array
 
 Authors of~\cite{conf/fpga/ThomasHL09}  have studied the  implementation of some
 PRNGs on  different computing architectures: CPU,  field-programmable gate array
-(FPGA), massively parallel  processors, and GPU. This study is of interest, because
+(FPGA), massively parallel  processors, and GPU. This study is interesting, because
 the  performance  of the  same  PRNGs on  different architectures are compared. 
 FPGA appears as  the  fastest  and the most
 efficient architecture, providing the fastest number of generated pseudorandom numbers
 per joule. 
 the  performance  of the  same  PRNGs on  different architectures are compared. 
 FPGA appears as  the  fastest  and the most
 efficient architecture, providing the fastest number of generated pseudorandom numbers
 per joule. 
-However, we notice that authors can ``only'' generate between 11 and 16GSamples/s
+However, we notice that the authors can ``only'' generate between 11 and 16GSamples/s
 with a GTX 280  GPU, which should be compared with
 the results presented in this document.
 We can remark too that the PRNGs proposed in~\cite{conf/fpga/ThomasHL09} are only
 with a GTX 280  GPU, which should be compared with
 the results presented in this document.
 We can remark too that the PRNGs proposed in~\cite{conf/fpga/ThomasHL09} are only
@@ -241,10 +280,10 @@ Curand~\cite{curand11}.        Several       PRNGs        are       implemented,
 other things 
 Xorwow~\cite{Marsaglia2003} and  some variants of Sobol. The  tests reported show that
 their  fastest version provides  15GSamples/s on  the new  Fermi C2050  card. 
 other things 
 Xorwow~\cite{Marsaglia2003} and  some variants of Sobol. The  tests reported show that
 their  fastest version provides  15GSamples/s on  the new  Fermi C2050  card. 
-But their PRNGs cannot pass the whole TestU01 battery (only one test is failed).
+But their PRNGs cannot pass the whole TestU01 battery (only one test has failed).
 \newline
 \newline
 \newline
 \newline
-We can finally remark that, to the best of our knowledge, no GPU implementation has been proven to be chaotic, and the cryptographically secure property has surprisingly never been considered.
+We can finally remark that, to the best of our knowledge, no GPU implementation has ever been proven to be chaotic, and the cryptographically secure property has surprisingly never been considered.
 
 \section{Basic Recalls}
 \label{section:BASIC RECALLS}
 
 \section{Basic Recalls}
 \label{section:BASIC RECALLS}
@@ -255,7 +294,7 @@ with basic notions on topology (see for instance~\cite{Devaney}).
 
 
 \subsection{Devaney's Chaotic Dynamical Systems}
 
 
 \subsection{Devaney's Chaotic Dynamical Systems}
-
+\label{subsec:Devaney}
 In the sequel $S^{n}$ denotes the $n^{th}$ term of a sequence $S$ and $V_{i}$
 denotes the $i^{th}$ component of a vector $V$. $f^{k}=f\circ ...\circ f$
 is for the $k^{th}$ composition of a function $f$. Finally, the following
 In the sequel $S^{n}$ denotes the $n^{th}$ term of a sequence $S$ and $V_{i}$
 denotes the $i^{th}$ component of a vector $V$. $f^{k}=f\circ ...\circ f$
 is for the $k^{th}$ composition of a function $f$. Finally, the following
@@ -322,7 +361,7 @@ Let us consider  a \emph{system} with a finite  number $\mathsf{N} \in
 \mathds{N}^*$ of elements  (or \emph{cells}), so that each  cell has a
 Boolean  \emph{state}. Having $\mathsf{N}$ Boolean values for these
  cells  leads to the definition of a particular \emph{state  of the
 \mathds{N}^*$ of elements  (or \emph{cells}), so that each  cell has a
 Boolean  \emph{state}. Having $\mathsf{N}$ Boolean values for these
  cells  leads to the definition of a particular \emph{state  of the
-system}. A sequence which  elements belong to $\llbracket 1;\mathsf{N}
+system}. A sequence whose  elements belong to $\llbracket 1;\mathsf{N}
 \rrbracket $ is called a \emph{strategy}. The set of all strategies is
 denoted by $\llbracket 1, \mathsf{N} \rrbracket^\mathds{N}.$
 
 \rrbracket $ is called a \emph{strategy}. The set of all strategies is
 denoted by $\llbracket 1, \mathsf{N} \rrbracket^\mathds{N}.$
 
@@ -500,11 +539,9 @@ Let us finally remark that the vectorial negation satisfies the hypotheses of bo
 We have proposed in~\cite{bgw09:ip} a new family of generators that receives 
 two PRNGs as inputs. These two generators are mixed with chaotic iterations, 
 leading thus to a new PRNG that 
 We have proposed in~\cite{bgw09:ip} a new family of generators that receives 
 two PRNGs as inputs. These two generators are mixed with chaotic iterations, 
 leading thus to a new PRNG that 
-\begin{color}{red}
 should improve the statistical properties of each
 generator taken alone. 
 should improve the statistical properties of each
 generator taken alone. 
-Furthermore, the generator obtained by this way possesses various chaos properties that none of the generators used as input
-present.
+Furthermore, the generator obtained in this way possesses various chaos properties that none of the generators used as  input present.
 
 
 
 
 
 
@@ -570,8 +607,7 @@ return $y$\;
 
 In order to make the Old CI PRNG usable in practice, we have proposed 
 an adapted version of the chaotic iteration based generator in~\cite{bg10:ip}.
 
 In order to make the Old CI PRNG usable in practice, we have proposed 
 an adapted version of the chaotic iteration based generator in~\cite{bg10:ip}.
-In this ``New CI PRNG'', we prevent from changing twice a given
-bit between two outputs.
+In this ``New CI PRNG'', we prevent a given bit from changing twice between two outputs.
 This new generator is designed by the following process. 
 
 First of all, some chaotic iterations have to be done to generate a sequence 
 This new generator is designed by the following process. 
 
 First of all, some chaotic iterations have to be done to generate a sequence 
@@ -587,7 +623,7 @@ Algorithm~\ref{Chaotic iteration1}.
 
 Then, at each iteration, only the $S^n$-th component of state $x^n$ is 
 updated, as follows: $x_i^n = x_i^{n-1}$ if $i \neq S^n$, else $x_i^n = \overline{x_i^{n-1}}$.
 
 Then, at each iteration, only the $S^n$-th component of state $x^n$ is 
 updated, as follows: $x_i^n = x_i^{n-1}$ if $i \neq S^n$, else $x_i^n = \overline{x_i^{n-1}}$.
-Such a procedure is equivalent to achieve chaotic iterations with
+Such a procedure is equivalent to achieving chaotic iterations with
 the Boolean vectorial negation $f_0$ and some well-chosen strategies.
 Finally, some $x^n$ are selected
 by a sequence $m^n$ as the pseudorandom bit sequence of our generator.
 the Boolean vectorial negation $f_0$ and some well-chosen strategies.
 Finally, some $x^n$ are selected
 by a sequence $m^n$ as the pseudorandom bit sequence of our generator.
@@ -596,7 +632,7 @@ $(m^n)_{n \in \mathds{N}} \in \mathcal{M}^\mathds{N}$ is computed from $PRNG_1$,
 The basic design procedure of the New CI generator is summarized in Algorithm~\ref{Chaotic iteration1}.
 The internal state is $x$, the output state is $r$. $a$ and $b$ are those computed by the two input
 PRNGs. Lastly, the value $g(a)$ is an integer defined as in Eq.~\ref{Formula}.
 The basic design procedure of the New CI generator is summarized in Algorithm~\ref{Chaotic iteration1}.
 The internal state is $x$, the output state is $r$. $a$ and $b$ are those computed by the two input
 PRNGs. Lastly, the value $g(a)$ is an integer defined as in Eq.~\ref{Formula}.
-This function must be chosen such that the outputs of the resulted PRNG is uniform in $\llbracket 0, 2^\mathsf{N}-1 \rrbracket$. Function of \eqref{Formula} achieves this
+This function must be chosen such that the outputs of the resulted PRNG are uniform in $\llbracket 0, 2^\mathsf{N}-1 \rrbracket$. Function of \eqref{Formula} achieves this
 goal (other candidates and more information can be found in ~\cite{bg10:ip}).
 
 \begin{equation}
 goal (other candidates and more information can be found in ~\cite{bg10:ip}).
 
 \begin{equation}
@@ -646,12 +682,27 @@ N \text{ if }\sum_{i=0}^{N-1}{C^i_{32}}\leqslant{y^n}<1.\\
 \label{Chaotic iteration1}
 \end{algorithmic}
 \end{algorithm}
 \label{Chaotic iteration1}
 \end{algorithmic}
 \end{algorithm}
-\end{color}
+
+
+We have shown in~\cite{bfg12a:ip} that the use of chaotic iterations 
+implies an improvement of the statistical properties for all the
+inputted defective generators we have investigated.
+For instance, when considering the TestU01 battery with its 588 tests, we obtained 261 
+failures for a PRNG based on the logistic map alone, and 
+this number of failures falls below 138 in the Old CI(Logistic,Logistic) generator.
+In the XORshift case (146 failures when considering it alone), the results are more impressive,
+as the chaotic iterations post-treatment  fails with only 8 tests of the TestU01 battery. 
+Further investigations have been systematically realized in \cite{bfg12a:ip}
+using a large set of inputted defective PRNGs, the three most used batteries of
+tests (DieHARD, NIST, and TestU01), and for all the versions of generators we have proposed.
+In all situations, an obvious improvement of the statistical behavior has
+been obtained, reinforcing the impression that chaos leads to statistical 
+enhancement~\cite{bfg12a:ip}.
 
 \subsection{Improving the Speed of the Former Generator}
 
 
 \subsection{Improving the Speed of the Former Generator}
 
-Instead of updating only one cell at each iteration,\begin{color}{red} we now propose to choose a
-subset of components and to update them together, for speed improvements. Such a proposition leads\end{color}
+Instead of updating only one cell at each iteration, we now propose to choose a
+subset of components and to update them together, for speed improvement. Such a proposition leads 
 to a kind of merger of the two sequences used in Algorithms 
 \ref{CI Algorithm} and \ref{Chaotic iteration1}. When the updating function is the vectorial negation,
 this algorithm can be rewritten as follows:
 to a kind of merger of the two sequences used in Algorithms 
 \ref{CI Algorithm} and \ref{Chaotic iteration1}. When the updating function is the vectorial negation,
 this algorithm can be rewritten as follows:
@@ -672,6 +723,9 @@ the list of cells to update in the state $x^n$ of the system (represented
 as an integer having $\mathsf{N}$ bits too). More precisely, the $k-$th 
 component of this state (a binary digit) changes if and only if the $k-$th 
 digit in the binary decomposition of $S^n$ is 1.
 as an integer having $\mathsf{N}$ bits too). More precisely, the $k-$th 
 component of this state (a binary digit) changes if and only if the $k-$th 
 digit in the binary decomposition of $S^n$ is 1.
+Obviously, when $S$ is periodic of period $p$, then $x$ is periodic too of
+period either $p$ or $2p$, depending on the fact that, after $p$ iterations,
+the state of the system may or not be the same as before these iterations.
 
 The single basic component presented in Eq.~\ref{equation Oplus} is of 
 ordinary use as a good elementary brick in various PRNGs. It corresponds
 
 The single basic component presented in Eq.~\ref{equation Oplus} is of 
 ordinary use as a good elementary brick in various PRNGs. It corresponds
@@ -806,7 +860,7 @@ The function $d$ defined in Eq.~\ref{nouveau d} is a metric on $\mathcal{X}$.
 
 \begin{proof}
  $d_e$ is the Hamming distance. We will prove that $d_s$ is a distance
 
 \begin{proof}
  $d_e$ is the Hamming distance. We will prove that $d_s$ is a distance
-too, thus $d$, as being the sum of two distances, will also be a distance.
+too, thus $d$, being the sum of two distances, will also be a distance.
  \begin{itemize}
 \item Obviously, $d_s(S,\check{S})\geqslant 0$, and if $S=\check{S}$, then 
 $d_s(S,\check{S})=0$. Conversely, if $d_s(S,\check{S})=0$, then 
  \begin{itemize}
 \item Obviously, $d_s(S,\check{S})\geqslant 0$, and if $S=\check{S}$, then 
 $d_s(S,\check{S})=0$. Conversely, if $d_s(S,\check{S})=0$, then 
@@ -878,6 +932,8 @@ the distance between $(S^n,E^n)$ and $(S,E)$ is strictly less than $%
 
 In conclusion,
 %%RAPH : ici j'ai rajouté une ligne
 
 In conclusion,
 %%RAPH : ici j'ai rajouté une ligne
+%%TOF : ici j'ai rajouté un commentaire
+%%TOF : ici aussi
 $
 \forall \varepsilon >0,$ $\exists N_{0}=max(n_{0},n_{1},n_{2})\in \mathds{N}
 ,$ $\forall n\geqslant N_{0},$
 $
 \forall \varepsilon >0,$ $\exists N_{0}=max(n_{0},n_{1},n_{2})\in \mathds{N}
 ,$ $\forall n\geqslant N_{0},$
@@ -923,7 +979,7 @@ where $(s^0,s^1, \hdots)$ is the strategy of $Y$, satisfies the properties
 claimed in the lemma.
 \end{proof}
 
 claimed in the lemma.
 \end{proof}
 
-We can now prove the Theorem~\ref{t:chaos des general}.
+We can now prove Theorem~\ref{t:chaos des general}.
 
 \begin{proof}[Theorem~\ref{t:chaos des general}]
 Firstly, strong transitivity implies transitivity.
 
 \begin{proof}[Theorem~\ref{t:chaos des general}]
 Firstly, strong transitivity implies transitivity.
@@ -952,244 +1008,334 @@ have $d((S,E),(\tilde S,E))<\epsilon$.
 \end{proof}
 
 
 \end{proof}
 
 
-\begin{color}{red}
-\section{Statistical Improvements Using Chaotic Iterations}
-
-\label{The generation of pseudorandom sequence}
-
-
-Let us now explain why we are reasonable grounds to believe that chaos 
-can improve statistical properties.
-We will show in this section that, when mixing defective PRNGs with
-chaotic iterations, the result presents better statistical properties
-(this section summarizes the work of~\cite{bfg12a:ip}).
-
-\subsection{Details of some Existing Generators}
-
-The list of defective PRNGs we will use 
-as inputs for the statistical tests to come is introduced here.
-
-Firstly, the simple linear congruency generator (LCGs) will be used. 
-It is defined by the following recurrence:
-\begin{equation}
-x^n = (ax^{n-1} + c)~mod~m
-\label{LCG}
-\end{equation}
-where $a$, $c$, and $x^0$ must be, among other things, non-negative and less than 
-$m$~\cite{LEcuyerS07}. In what follows, 2LCGs and 3LCGs refer as two (resp. three) 
-combinations of such LCGs. For further details, see~\cite{bfg12a:ip,combined_lcg}.
+%\section{Statistical Improvements Using Chaotic Iterations}
+
+%\label{The generation of pseudorandom sequence}
+
+
+%Let us now explain why we have reasonable ground to believe that chaos 
+%can improve statistical properties.
+%We will show in this section that chaotic properties as defined in the
+%mathematical theory of chaos are related to some statistical tests that can be found
+%in the NIST battery. Furthermore, we will check that, when mixing defective PRNGs with
+%chaotic iterations, the new generator presents better statistical properties
+%(this section summarizes and extends the work of~\cite{bfg12a:ip}).
+
+
+
+%\subsection{Qualitative relations between topological properties and statistical tests}
+
+
+%There are various relations between topological properties that describe an unpredictable behavior for a discrete 
+%dynamical system on the one
+%hand, and statistical tests to check the randomness of a numerical sequence
+%on the other hand. These two mathematical disciplines follow a similar 
+%objective in case of a recurrent sequence (to characterize an intrinsically complicated behavior for a
+%recurrent sequence), with two different but complementary approaches.
+%It is true that the following illustrative links give only qualitative arguments, 
+%and proofs should be provided later to make such arguments irrefutable. However 
+%they give a first understanding of the reason why we think that chaotic properties should tend
+%to improve the statistical quality of PRNGs.
+%%
+%Let us now list some of these relations between topological properties defined in the mathematical
+%theory of chaos and tests embedded into the NIST battery. %Such relations need to be further 
+%%investigated, but they presently give a first illustration of a trend to search similar properties in the 
+%%two following fields: mathematical chaos and statistics.
+
+
+%\begin{itemize}
+%    \item \textbf{Regularity}. As stated in Section~\ref{subsec:Devaney}, a chaotic dynamical system must 
+%have an element of regularity. Depending on the chosen definition of chaos, this element can be the existence of
+%a dense orbit, the density of periodic points, etc. The key idea is that a dynamical system with no periodicity
+%is not as chaotic as a system having periodic orbits: in the first situation, we can predict something and gain a
+%knowledge about the behavior of the system, that is, it never enters into a loop. A similar importance for periodicity is emphasized in
+%the two following NIST tests~\cite{Nist10}:
+%    \begin{itemize}
+%        \item \textbf{Non-overlapping Template Matching Test}. Detect generators that produce too many occurrences of a given non-periodic (aperiodic) pattern.
+%        \item \textbf{Discrete Fourier Transform (Spectral) Test}. Detect periodic features (i.e., repetitive patterns that are close one to another) in the tested sequence that would indicate a deviation from the assumption of randomness.
+%    \end{itemize}
+
+%\item \textbf{Transitivity}. This topological property previously introduced  states that the dynamical system is intrinsically complicated: it cannot be simplified into 
+%two subsystems that do not interact, as we can find in any neighborhood of any point another point whose orbit visits the whole phase space. 
+%This focus on the places visited by the orbits of the dynamical system takes various nonequivalent formulations in the mathematical theory
+%of chaos, namely: transitivity, strong transitivity, total transitivity, topological mixing, and so on~\cite{bg10:ij}. A similar attention 
+%is brought on the states visited during a random walk in the two tests below~\cite{Nist10}:
+%    \begin{itemize}
+%        \item \textbf{Random Excursions Variant Test}. Detect deviations from the expected number of visits to various states in the random walk.
+%        \item \textbf{Random Excursions Test}. Determine if the number of visits to a particular state within a cycle deviates from what one would expect for a random sequence.
+%    \end{itemize}
+
+%\item \textbf{Chaos according to Li and Yorke}. Two points of the phase space $(x,y)$ define a couple of Li-Yorke when $\limsup_{n \rightarrow +\infty} d(f^{(n)}(x), f^{(n)}(y))>0$ et $\liminf_{n \rightarrow +\infty} d(f^{(n)}(x), f^{(n)}(y))=0$, meaning that their orbits always oscillate as the iterations pass. When a system is compact and contains an uncountable set of such points, it is claimed as chaotic according
+%to Li-Yorke~\cite{Li75,Ruette2001}. A similar property is regarded in the following NIST test~\cite{Nist10}.
+%    \begin{itemize}
+%        \item \textbf{Runs Test}. To determine whether the number of runs of ones and zeros of various lengths is as expected for a random sequence. In particular, this test determines whether the oscillation between such zeros and ones is too fast or too slow.
+%    \end{itemize}
+%    \item \textbf{Topological entropy}. The desire to formulate an equivalency of the thermodynamics entropy
+%has emerged both in the topological and statistical fields. Once again, a similar objective has led to two different
+%rewritting of an entropy based disorder: the famous Shannon definition of entropy is approximated in the statistical approach, 
+%whereas topological entropy is defined as follows:
+%$x,y \in \mathcal{X}$ are $\varepsilon-$\emph{separated in time $n$} if there exists $k \leqslant n$ such that $d\left(f^{(k)}(x),f^{(k)}(y)\right)>\varepsilon$. Then $(n,\varepsilon)-$separated sets are sets of points that are all $\varepsilon-$separated in time $n$, which
+%leads to the definition of $s_n(\varepsilon,Y)$, being the maximal cardinality of all $(n,\varepsilon)-$separated sets. Using these notations, 
+%the topological entropy is defined as follows: $$h_{top}(\mathcal{X},f)  = \displaystyle{\lim_{\varepsilon \rightarrow 0} \Big[ \limsup_{n \rightarrow +\infty} \dfrac{1}{n} \log s_n(\varepsilon,\mathcal{X})\Big]}.$$
+%This value measures the average exponential growth of the number of distinguishable orbit segments. 
+%In this sense, it measures the complexity of the topological dynamical system, whereas 
+%the Shannon approach comes to mind when defining the following test~\cite{Nist10}:
+%    \begin{itemize}
+%\item \textbf{Approximate Entropy Test}. Compare the frequency of the overlapping blocks of two consecutive/adjacent lengths ($m$ and $m+1$) against the expected result for a random sequence.
+%    \end{itemize}
+
+%    \item \textbf{Non-linearity, complexity}. Finally, let us remark that non-linearity and complexity are 
+%not only sought in general to obtain chaos, but they are also required for randomness, as illustrated by the two tests below~\cite{Nist10}.
+%    \begin{itemize}
+%\item \textbf{Binary Matrix Rank Test}. Check for linear dependence among fixed length substrings of the original sequence.
+%\item \textbf{Linear Complexity Test}. Determine whether or not the sequence is complex enough to be considered random.
+%      \end{itemize}
+%\end{itemize}
+
+
+%We have proven in our previous works~\cite{guyeux12:bc} that chaotic iterations satisfying Theorem~\ref{Th:Caractérisation   des   IC   chaotiques} are, among other
+%things, strongly transitive, topologically mixing, chaotic as defined by Li and Yorke,
+%and that they have a topological entropy and an exponent of Lyapunov both equal to $ln(\mathsf{N})$,
+%where $\mathsf{N}$ is the size of the iterated vector.
+%These topological properties make that we are ground to believe that a generator based on chaotic
+%iterations will probably be able to pass all the existing statistical batteries for pseudorandomness like
+%the NIST one. The following subsections, in which we prove that defective generators have their
+%statistical properties improved by chaotic iterations, show that such an assumption is true.
+
+%\subsection{Details of some Existing Generators}
+
+%The list of defective PRNGs we will use 
+%as inputs for the statistical tests to come is introduced here.
+
+%Firstly, the simple linear congruency generators (LCGs) will be used. 
+%They are defined by the following recurrence:
+%\begin{equation}
+%x^n = (ax^{n-1} + c)~mod~m,
+%\label{LCG}
+%\end{equation}
+%where $a$, $c$, and $x^0$ must be, among other things, non-negative and inferior to 
+%$m$~\cite{LEcuyerS07}. In what follows, 2LCGs and 3LCGs refer to two (resp. three) 
+%combinations of such LCGs. For further details, see~\cite{bfg12a:ip,combined_lcg}.
 
 
-Secondly, the multiple recursive generators (MRGs) will be used too, which
-are based on a linear recurrence of order 
-$k$, modulo $m$~\cite{LEcuyerS07}:
-\begin{equation}
-x^n = (a^1x^{n-1}+~...~+a^kx^{n-k})~mod~m
-\label{MRG}
-\end{equation}
-Combination of two MRGs (referred as 2MRGs) is also used in these experimentations.
+%Secondly, the multiple recursive generators (MRGs) which will be used,
+%are based on a linear recurrence of order 
+%$k$, modulo $m$~\cite{LEcuyerS07}:
+%\begin{equation}
+%x^n = (a^1x^{n-1}+~...~+a^kx^{n-k})~mod~m .
+%\label{MRG}
+%\end{equation}
+%The combination of two MRGs (referred as 2MRGs) is also used in these experiments.
 
 
-Generators based on linear recurrences with carry will be regarded too.
-This family of generators includes the add-with-carry (AWC) generator, based on the recurrence:
-\begin{equation}
-\label{AWC}
-\begin{array}{l}
-x^n = (x^{n-r} + x^{n-s} + c^{n-1})~mod~m, \\
-c^n= (x^{n-r} + x^{n-s} + c^{n-1}) / m, \end{array}\end{equation}
-the SWB generator, having the recurrence:
-\begin{equation}
-\label{SWB}
-\begin{array}{l}
-x^n = (x^{n-r} - x^{n-s} - c^{n-1})~mod~m, \\
-c^n=\left\{
-\begin{array}{l}
-1 ~~~~~\text{if}~ (x^{i-r} - x^{i-s} - c^{i-1})<0\\
-0 ~~~~~\text{else},\end{array} \right. \end{array}\end{equation}
-and the SWC generator designed by R. Couture, which is based on the following recurrence:
-\begin{equation}
-\label{SWC}
-\begin{array}{l}
-x^n = (a^1x^{n-1} \oplus ~...~ \oplus a^rx^{n-r} \oplus c^{n-1}) ~ mod ~ 2^w, \\
-c^n = (a^1x^{n-1} \oplus ~...~ \oplus a^rx^{n-r} \oplus c^{n-1}) ~ / ~ 2^w. \end{array}\end{equation}
+%Generators based on linear recurrences with carry will be regarded too.
+%This family of generators includes the add-with-carry (AWC) generator, based on the recurrence:
+%\begin{equation}
+%\label{AWC}
+%\begin{array}{l}
+%x^n = (x^{n-r} + x^{n-s} + c^{n-1})~mod~m, \\
+%c^n= (x^{n-r} + x^{n-s} + c^{n-1}) / m, \end{array}\end{equation}
+%the SWB generator, having the recurrence:
+%\begin{equation}
+%\label{SWB}
+%\begin{array}{l}
+%x^n = (x^{n-r} - x^{n-s} - c^{n-1})~mod~m, \\
+%c^n=\left\{
+%\begin{array}{l}
+%1 ~~~~~\text{if}~ (x^{i-r} - x^{i-s} - c^{i-1})<0\\
+%0 ~~~~~\text{else},\end{array} \right. \end{array}\end{equation}
+%and the SWC generator, which is based on the following recurrence:
+%\begin{equation}
+%\label{SWC}
+%\begin{array}{l}
+%x^n = (a^1x^{n-1} \oplus ~...~ \oplus a^rx^{n-r} \oplus c^{n-1}) ~ mod ~ 2^w, \\
+%c^n = (a^1x^{n-1} \oplus ~...~ \oplus a^rx^{n-r} \oplus c^{n-1}) ~ / ~ 2^w. \end{array}\end{equation}
 
 
-Then the generalized feedback shift register (GFSR) generator has been implemented, that is:
-\begin{equation}
-x^n = x^{n-r} \oplus x^{n-k}
-\label{GFSR}
-\end{equation}
+%Then the generalized feedback shift register (GFSR) generator has been implemented, that is:
+%\begin{equation}
+%x^n = x^{n-r} \oplus x^{n-k} .
+%\label{GFSR}
+%\end{equation}
 
 
 
 
-Finally, the nonlinear inversive generator~\cite{LEcuyerS07} has been regarded too, which is:
+%Finally, the nonlinear inversive (INV) generator~\cite{LEcuyerS07} has been studied, which is:
 
 
-\begin{equation}
-\label{INV}
-\begin{array}{l}
-x^n=\left\{
-\begin{array}{ll}
-(a^1 + a^2 / z^{n-1})~mod~m & \text{if}~ z^{n-1} \neq 0 \\
-a^1 & \text{if}~  z^{n-1} = 0 .\end{array} \right. \end{array}\end{equation}
-
-
-
-\begin{table}
-\renewcommand{\arraystretch}{1.3}
-\caption{TestU01 Statistical Test}
-\label{TestU011}
-\centering
-  \begin{tabular}{lccccc}
-    \toprule
-Test name &Tests& Logistic             & XORshift      & ISAAC\\
-Rabbit                                 &       38      &21             &14     &0       \\
-Alphabit                       &       17      &16             &9      &0       \\
-Pseudo DieHARD                         &126    &0              &2      &0      \\
-FIPS\_140\_2                   &16     &0              &0      &0      \\
-SmallCrush                     &15     &4              &5      &0       \\
-Crush                          &144    &95             &57     &0       \\
-Big Crush                      &160    &125            &55     &0       \\ \hline
-Failures               &       &261            &146    &0       \\
-\bottomrule
-  \end{tabular}
-\end{table}
-
-
-
-\begin{table}
-\renewcommand{\arraystretch}{1.3}
-\caption{TestU01 Statistical Test for Old CI algorithms ($\mathsf{N}=4$)}
-\label{TestU01 for Old CI}
-\centering
-  \begin{tabular}{lcccc}
-    \toprule
-\multirow{3}*{Test name} & \multicolumn{4}{c}{Old CI}\\
-&Logistic& XORshift& ISAAC&ISAAC  \\ 
-&+& +& + & + \\ 
-&Logistic& XORshift& XORshift&ISAAC  \\ \cmidrule(r){2-5}
-Rabbit                                         &7      &2      &0      &0       \\
-Alphabit                               & 3     &0      &0      &0       \\
-DieHARD                        &0      &0      &0      &0      \\
-FIPS\_140\_2                   &0      &0      &0      &0      \\
-SmallCrush                             &2      &0      &0      &0       \\
-Crush                                  &47     &4      &0      &0       \\
-Big Crush                              &79     &3      &0      &0       \\ \hline
-Failures                               &138    &9      &0      &0       \\
-\bottomrule
-  \end{tabular}
-\end{table}
-
-
-
-
-
-\subsection{Statistical tests}
-\label{Security analysis}
-
-Three batteries of tests are reputed and usually used
-to evaluate the statistical properties of newly designed pseudorandom
-number generators. These batteries are named DieHard~\cite{Marsaglia1996},
-the NIST suite~\cite{ANDREW2008}, and the most stringent one called
-TestU01~\cite{LEcuyerS07}, which encompasses the two other batteries.
-
-
-
-\label{Results and discussion}
-\begin{table*}
-\renewcommand{\arraystretch}{1.3}
-\caption{NIST and DieHARD tests suite passing rates for PRNGs without CI}
-\label{NIST and DieHARD tests suite passing rate the for PRNGs without CI}
-\centering
-  \begin{tabular}{|l||c|c|c|c|c|c|c|c|c|c|}
-    \hline\hline
-Types of PRNGs & \multicolumn{2}{c|}{Linear PRNGs} & \multicolumn{4}{c|}{Lagged PRNGs} & \multicolumn{1}{c|}{ICG PRNGs} & \multicolumn{3}{c|}{Mixed PRNGs}\\ \hline
-\backslashbox{\textbf{$Tests$}} {\textbf{$PRNG$}} & LCG& MRG& AWC & SWB  & SWC & GFSR & INV & LCG2& LCG3& MRG2 \\ \hline
-NIST & 11/15 & 14/15 &\textbf{15/15} & \textbf{15/15}   & 14/15 & 14/15  & 14/15 & 14/15& 14/15& 14/15 \\ \hline
-DieHARD & 16/18 & 16/18 & 15/18 & 16/18 & \textbf{18/18} & 16/18 & 16/18 & 16/18& 16/18& 16/18\\ \hline
-\end{tabular}
-\end{table*}
-
-Table~\ref{NIST and DieHARD tests suite passing rate the for PRNGs without CI} shows the 
-results on the two firsts batteries recalled above, indicating that all the PRNGs presented
-in the previous section
-cannot pass all these tests. In other words, the statistical quality of these PRNGs cannot 
-fulfill the up-to-date standards presented previously. We have shown in~\cite{bfg12a:ip} that the use of chaotic
-iterations can solve this issue.
-%More precisely, to
-%illustrate the effects of chaotic iterations on these defective PRNGs, experiments have been divided in three parts~\cite{bfg12a:ip}:
-%\begin{enumerate}
-%  \item \textbf{Single CIPRNG}: The PRNGs involved in CI computing are of the same category.
-%  \item \textbf{Mixed CIPRNG}: Two different types of PRNGs are mixed during the chaotic iterations process.
-%  \item \textbf{Multiple CIPRNG}: The generator is obtained by repeating the composition of the iteration function as follows: $x^0\in \mathds{B}^{\mathsf{N}}$, and $\forall n\in \mathds{N}^{\ast },\forall i\in \llbracket1;\mathsf{N}\rrbracket, x_i^n=$
 %\begin{equation}
 %\begin{equation}
+%\label{INV}
 %\begin{array}{l}
 %\begin{array}{l}
-%\left\{
-%\begin{array}{l}
-%x_i^{n-1}~~~~~\text{if}~S^n\neq i \\
-%\forall j\in \llbracket1;\mathsf{m}\rrbracket,f^m(x^{n-1})_{S^{nm+j}}~\text{if}~S^{nm+j}=i.\end{array} \right. \end{array}
-%\end{equation}
-%$m$ is called the \emph{functional power}.
-%\end{enumerate}
-%
-The obtained results are reproduced in Table
-\ref{NIST and DieHARD tests suite passing rate the for single CIPRNGs}.
-The scores written in boldface indicate that all the tests have been passed successfully, whereas an 
-asterisk ``*'' means that the considered passing rate has been improved.
-The improvements are obvious for both the ``Old CI'' and ``New CI'' generators.
-Concerning the ``Xor CI PRNG'', the speed improvement makes that statistical 
-results are not as good as for the two other versions of these CIPRNGs.
-
-
-\begin{table*}
-\renewcommand{\arraystretch}{1.3}
-\caption{NIST and DieHARD tests suite passing rates for PRNGs with CI}
-\label{NIST and DieHARD tests suite passing rate the for single CIPRNGs}
-\centering
-  \begin{tabular}{|l||c|c|c|c|c|c|c|c|c|c|c|c|}
-    \hline
-Types of PRNGs & \multicolumn{2}{c|}{Linear PRNGs} & \multicolumn{4}{c|}{Lagged PRNGs} & \multicolumn{1}{c|}{ICG PRNGs} & \multicolumn{3}{c|}{Mixed PRNGs}\\ \hline
-\backslashbox{\textbf{$Tests$}} {\textbf{$Single~CIPRNG$}} & LCG  & MRG & AWC & SWB & SWC & GFSR & INV& LCG2 & LCG3& MRG2 \\ \hline\hline
-Old CIPRNG\\ \hline \hline
-NIST & \textbf{15/15} *  & \textbf{15/15} * & \textbf{15/15}   & \textbf{15/15}   & \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} \\ \hline
-DieHARD & \textbf{18/18} *  & \textbf{18/18} * & \textbf{18/18} *  & \textbf{18/18} *  & \textbf{18/18}  & \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} * \\ \hline
-New CIPRNG\\ \hline \hline
-NIST & \textbf{15/15} *  & \textbf{15/15} * & \textbf{15/15}   & \textbf{15/15}  & \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} \\ \hline
-DieHARD & \textbf{18/18} *  & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18}  & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} *\\ \hline
-Xor CIPRNG\\ \hline\hline
-NIST & 14/15*& \textbf{15/15} *   & \textbf{15/15}   & \textbf{15/15}   & 14/15 & \textbf{15/15} * & 14/15& \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15}  \\ \hline
-DieHARD & 16/18 & 16/18 & 17/18* & \textbf{18/18} * & \textbf{18/18}  & \textbf{18/18} * & 16/18 & 16/18 & 16/18& 16/18\\ \hline
-\end{tabular}
-\end{table*}
-
-
-We have then investigate in~\cite{bfg12a:ip} if it is possible to improve
-the statistical behavior of the Xor CI version by combining more than one 
-$\oplus$ operation. Results are summarized in~\ref{threshold}, showing
-that rapid and perfect PRNGs, regarding the NIST and DieHARD batteries, can be obtained 
-using chaotic iterations on defective generators.
-
-\begin{table*}
-\renewcommand{\arraystretch}{1.3}
-\caption{Number of $\oplus$ operations to pass the whole NIST and DieHARD batteries}
-\label{threshold}
-\centering
-  \begin{tabular}{|l||c|c|c|c|c|c|c|c|}
-    \hline
-Inputted $PRNG$ & LCG & MRG & SWC & GFSR & INV& LCG2 & LCG3  & MRG2 \\ \hline\hline
-Threshold  value $m$& 19 & 7  & 2& 1 & 11& 9& 3& 4\\ \hline\hline
-\end{tabular}
-\end{table*}
-
-Finally, the TestU01 battery as been launched on three well-known generators 
-(a logistic map, a simple XORshift, and the cryptographically secure ISAAC, 
-see Table~\ref{TestU011}). These results can be compared with 
-Table~\ref{TestU01 for Old CI}, which gives the scores obtained by the
-Old CI PRNG that has received these generators.
-
-
-Next subsection gives a concrete implementation of this Xor CI PRNG, which will 
-new be simply called CIPRNG, or ``the proposed PRNG'', if this statement does not
-raise ambiguity.
-\end{color}
-
-\subsection{Efficient Implementation of a PRNG based on Chaotic Iterations}
+%x^n=\left\{
+%\begin{array}{ll}
+%(a^1 + a^2 / z^{n-1})~mod~m & \text{if}~ z^{n-1} \neq 0 \\
+%a^1 & \text{if}~  z^{n-1} = 0 .\end{array} \right. \end{array}\end{equation}
+
+
+
+%\begin{table}
+%%\renewcommand{\arraystretch}{1}
+%\caption{TestU01 Statistical Test Failures}
+%\label{TestU011}
+%\centering
+%  \begin{tabular}{lccccc}
+%    \toprule
+%Test name &Tests& Logistic            & XORshift      & ISAAC\\
+%Rabbit                                &       38      &21             &14     &0       \\
+%Alphabit                      &       17      &16             &9      &0       \\
+%Pseudo DieHARD                        &126    &0              &2      &0      \\
+%FIPS\_140\_2                  &16     &0              &0      &0      \\
+%SmallCrush                    &15     &4              &5      &0       \\
+%Crush                                 &144    &95             &57     &0       \\
+%Big Crush                     &160    &125            &55     &0       \\ \hline
+%Failures              &       &261            &146    &0       \\
+%\bottomrule
+%  \end{tabular}
+%\end{table}
+
+
+
+%\begin{table}
+%%\renewcommand{\arraystretch}{1}
+%\caption{TestU01 Statistical Test Failures for Old CI algorithms ($\mathsf{N}=4$)}
+%\label{TestU01 for Old CI}
+%\centering
+%  \begin{tabular}{lcccc}
+%    \toprule
+%\multirow{3}*{Test name} & \multicolumn{4}{c}{Old CI}\\
+%&Logistic& XORshift& ISAAC&ISAAC  \\ 
+%&+& +& + & + \\ 
+%&Logistic& XORshift& XORshift&ISAAC  \\ \cmidrule(r){2-5}
+%Rabbit                                        &7      &2      &0      &0       \\
+%Alphabit                              & 3     &0      &0      &0       \\
+%DieHARD                       &0      &0      &0      &0      \\
+%FIPS\_140\_2                  &0      &0      &0      &0      \\
+%SmallCrush                            &2      &0      &0      &0       \\
+%Crush                                         &47     &4      &0      &0       \\
+%Big Crush                             &79     &3      &0      &0       \\ \hline
+%Failures                              &138    &9      &0      &0       \\
+%\bottomrule
+%  \end{tabular}
+%\end{table}
+
+
+
+
+
+%\subsection{Statistical tests}
+%\label{Security analysis}
+
+%Three batteries of tests are reputed and regularly used
+%to evaluate the statistical properties of newly designed pseudorandom
+%number generators. These batteries are named DieHard~\cite{Marsaglia1996},
+%the NIST suite~\cite{ANDREW2008}, and the most stringent one called
+%TestU01~\cite{LEcuyerS07}, which encompasses the two other batteries.
+
+
+
+%\label{Results and discussion}
+%\begin{table*}
+%%\renewcommand{\arraystretch}{1}
+%\caption{NIST and DieHARD tests suite passing rates for PRNGs without CI}
+%\label{NIST and DieHARD tests suite passing rate the for PRNGs without CI}
+%\centering
+%  \begin{tabular}{|l||c|c|c|c|c|c|c|c|c|c|}
+%    \hline\hline
+%Types of PRNGs & \multicolumn{2}{c|}{Linear PRNGs} & \multicolumn{4}{c|}{Lagged PRNGs} & \multicolumn{1}{c|}{ICG PRNGs} & \multicolumn{3}{c|}{Mixed PRNGs}\\ \hline
+%\backslashbox{\textbf{$Tests$}} {\textbf{$PRNG$}} & LCG& MRG& AWC & SWB  & SWC & GFSR & INV & LCG2& LCG3& MRG2 \\ \hline
+%NIST & 11/15 & 14/15 &\textbf{15/15} & \textbf{15/15}   & 14/15 & 14/15  & 14/15 & 14/15& 14/15& 14/15 \\ \hline
+%DieHARD & 16/18 & 16/18 & 15/18 & 16/18 & \textbf{18/18} & 16/18 & 16/18 & 16/18& 16/18& 16/18\\ \hline
+%\end{tabular}
+%\end{table*}
+
+%Table~\ref{NIST and DieHARD tests suite passing rate the for PRNGs without CI} shows the 
+%results on the two first batteries recalled above, indicating that all the PRNGs presented
+%in the previous section
+%cannot pass all these tests. In other words, the statistical quality of these PRNGs cannot 
+%fulfill the up-to-date standards presented previously. We have shown in~\cite{bfg12a:ip} that the use of chaotic
+%iterations can solve this issue.
+%%More precisely, to
+%%illustrate the effects of chaotic iterations on these defective PRNGs, experiments have been divided in three parts~\cite{bfg12a:ip}:
+%%\begin{enumerate}
+%%  \item \textbf{Single CIPRNG}: The PRNGs involved in CI computing are of the same category.
+%%  \item \textbf{Mixed CIPRNG}: Two different types of PRNGs are mixed during the chaotic iterations process.
+%%  \item \textbf{Multiple CIPRNG}: The generator is obtained by repeating the composition of the iteration function as follows: $x^0\in \mathds{B}^{\mathsf{N}}$, and $\forall n\in \mathds{N}^{\ast },\forall i\in \llbracket1;\mathsf{N}\rrbracket, x_i^n=$
+%%\begin{equation}
+%%\begin{array}{l}
+%%\left\{
+%%\begin{array}{l}
+%%x_i^{n-1}~~~~~\text{if}~S^n\neq i \\
+%%\forall j\in \llbracket1;\mathsf{m}\rrbracket,f^m(x^{n-1})_{S^{nm+j}}~\text{if}~S^{nm+j}=i.\end{array} \right. \end{array}
+%%\end{equation}
+%%$m$ is called the \emph{functional power}.
+%%\end{enumerate}
+%%
+%The obtained results are reproduced in Table
+%\ref{NIST and DieHARD tests suite passing rate the for single CIPRNGs}.
+%The scores written in boldface indicate that all the tests have been passed successfully, whereas an 
+%asterisk ``*'' means that the considered passing rate has been improved.
+%The improvements are obvious for both the ``Old CI'' and the ``New CI'' generators.
+%Concerning the ``Xor CI PRNG'', the score is less spectacular. Because of a large speed improvement, the statistics
+% are not as good as for the two other versions of these CIPRNGs.
+%However 8 tests have been improved (with no deflation for the other results).
+
+
+%\begin{table*}
+%%\renewcommand{\arraystretch}{1.3}
+%\caption{NIST and DieHARD tests suite passing rates for PRNGs with CI}
+%\label{NIST and DieHARD tests suite passing rate the for single CIPRNGs}
+%\centering
+%  \begin{tabular}{|l||c|c|c|c|c|c|c|c|c|c|c|c|}
+%    \hline
+%Types of PRNGs & \multicolumn{2}{c|}{Linear PRNGs} & \multicolumn{4}{c|}{Lagged PRNGs} & \multicolumn{1}{c|}{ICG PRNGs} & \multicolumn{3}{c|}{Mixed PRNGs}\\ \hline
+%\backslashbox{\textbf{$Tests$}} {\textbf{$Single~CIPRNG$}} & LCG  & MRG & AWC & SWB & SWC & GFSR & INV& LCG2 & LCG3& MRG2 \\ \hline\hline
+%Old CIPRNG\\ \hline \hline
+%NIST & \textbf{15/15} *  & \textbf{15/15} * & \textbf{15/15}   & \textbf{15/15}   & \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} \\ \hline
+%DieHARD & \textbf{18/18} *  & \textbf{18/18} * & \textbf{18/18} *  & \textbf{18/18} *  & \textbf{18/18}  & \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} * \\ \hline
+%New CIPRNG\\ \hline \hline
+%NIST & \textbf{15/15} *  & \textbf{15/15} * & \textbf{15/15}   & \textbf{15/15}  & \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15} * & \textbf{15/15} * & \textbf{15/15} \\ \hline
+%DieHARD & \textbf{18/18} *  & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18}  & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} * & \textbf{18/18} *& \textbf{18/18} *\\ \hline
+%Xor CIPRNG\\ \hline\hline
+%NIST & 14/15*& \textbf{15/15} *   & \textbf{15/15}   & \textbf{15/15}   & 14/15 & \textbf{15/15} * & 14/15& \textbf{15/15} * & \textbf{15/15} *& \textbf{15/15}  \\ \hline
+%DieHARD & 16/18 & 16/18 & 17/18* & \textbf{18/18} * & \textbf{18/18}  & \textbf{18/18} * & 16/18 & 16/18 & 16/18& 16/18\\ \hline
+%\end{tabular}
+%\end{table*}
+
+
+%We have then investigated in~\cite{bfg12a:ip} if it were possible to improve
+%the statistical behavior of the Xor CI version by combining more than one 
+%$\oplus$ operation. Results are summarized in Table~\ref{threshold}, illustrating
+%the progressive increasing effects of chaotic iterations, when giving time to chaos to get settled in.
+%Thus rapid and perfect PRNGs, regarding the NIST and DieHARD batteries, can be obtained 
+%using chaotic iterations on defective generators.
+
+%\begin{table*}
+%%\renewcommand{\arraystretch}{1.3}
+%\caption{Number of $\oplus$ operations to pass the whole NIST and DieHARD batteries}
+%\label{threshold}
+%\centering
+%  \begin{tabular}{|l||c|c|c|c|c|c|c|c|}
+%    \hline
+%Inputted $PRNG$ & LCG & MRG & SWC & GFSR & INV& LCG2 & LCG3  & MRG2 \\ \hline\hline
+%Threshold  value $m$& 19 & 7  & 2& 1 & 11& 9& 3& 4\\ \hline\hline
+%\end{tabular}
+%\end{table*}
+
+%Finally, the TestU01 battery has been launched on three well-known generators 
+%(a logistic map, a simple XORshift, and the cryptographically secure ISAAC, 
+%see Table~\ref{TestU011}). These results can be compared with 
+%Table~\ref{TestU01 for Old CI}, which gives the scores obtained by the
+%Old CI PRNG that has received these generators.
+%The obvious improvement speaks for itself, and together with the other
+%results recalled in this section, it reinforces the opinion that a strong
+%correlation between topological properties and statistical behavior exists.
+
+
+%The next subsection will now give a concrete original implementation of the Xor CI PRNG, the
+%fastest generator in the chaotic iteration based family. In the remainder,
+%this generator will be simply referred to as CIPRNG, or ``the proposed PRNG'', if this statement does not
+%raise ambiguity.
+
+
+\section{Toward Efficiency and Improvement for CI PRNG}
 \label{sec:efficient PRNG}
 \label{sec:efficient PRNG}
+
+\subsection{First Efficient Implementation of a PRNG based on Chaotic Iterations}
 %
 %Based on the proof presented in the previous section, it is now possible to 
 %improve the speed of the generator formerly presented in~\cite{bgw09:ip,guyeux10}. 
 %
 %Based on the proof presented in the previous section, it is now possible to 
 %improve the speed of the generator formerly presented in~\cite{bgw09:ip,guyeux10}. 
@@ -1267,16 +1413,22 @@ works with 32-bits, we use the command \texttt{(unsigned int)}, that selects the
 
 Thus producing a pseudorandom number needs 6 xor operations with 6 32-bits numbers
 that  are provided by  3 64-bits  PRNGs.  This  version successfully  passes the
 
 Thus producing a pseudorandom number needs 6 xor operations with 6 32-bits numbers
 that  are provided by  3 64-bits  PRNGs.  This  version successfully  passes the
-stringent BigCrush battery of tests~\cite{LEcuyerS07}.
+stringent BigCrush battery of tests~\cite{LEcuyerS07}. 
+At this point, we thus
+have defined an efficient and statistically unbiased generator. Its speed is
+directly related to the use of linear operations, but for the same reason,
+this fast generator cannot be proven as secure.
+
+
 
 
-\section{Efficient PRNGs based on Chaotic Iterations on GPU}
+\subsection{Efficient PRNGs based on Chaotic Iterations on GPU}
 \label{sec:efficient PRNG gpu}
 
 In order to  take benefits from the computing power  of GPU, a program
 needs  to have  independent blocks  of  threads that  can be  computed
 simultaneously. In general,  the larger the number of  threads is, the
 more local  memory is  used, and the  less branching  instructions are
 \label{sec:efficient PRNG gpu}
 
 In order to  take benefits from the computing power  of GPU, a program
 needs  to have  independent blocks  of  threads that  can be  computed
 simultaneously. In general,  the larger the number of  threads is, the
 more local  memory is  used, and the  less branching  instructions are
-used  (if,  while,  ...),  the  better the  performances  on  GPU  is.
+used  (if,  while,  ...),  the  better the  performances  on  GPU  are.
 Obviously, having these requirements in  mind, it is possible to build
 a   program    similar   to    the   one   presented    in  Listing 
 \ref{algo:seqCIPRNG}, which computes  pseudorandom numbers on GPU.  To
 Obviously, having these requirements in  mind, it is possible to build
 a   program    similar   to    the   one   presented    in  Listing 
 \ref{algo:seqCIPRNG}, which computes  pseudorandom numbers on GPU.  To
@@ -1290,14 +1442,14 @@ called {\it kernels}.
 \subsection{Naive Version for GPU}
 
  
 \subsection{Naive Version for GPU}
 
  
-It is possible to deduce from the CPU version a quite similar version adapted to GPU.
+It is possible to deduce from the CPU version a fairly similar version adapted to GPU.
 The simple principle consists in making each thread of the GPU computing the CPU version of our PRNG.  
 Of course,  the  three xor-like
 PRNGs  used in these computations must have different  parameters. 
 In a given thread, these parameters are
 randomly picked from another PRNGs. 
 The  initialization stage is performed by  the CPU.
 The simple principle consists in making each thread of the GPU computing the CPU version of our PRNG.  
 Of course,  the  three xor-like
 PRNGs  used in these computations must have different  parameters. 
 In a given thread, these parameters are
 randomly picked from another PRNGs. 
 The  initialization stage is performed by  the CPU.
-To do it, the  ISAAC  PRNG~\cite{Jenkins96} is used to  set  all  the
+To do so, the  ISAAC  PRNG~\cite{Jenkins96} is used to  set  all  the
 parameters embedded into each thread.   
 
 The implementation of  the three
 parameters embedded into each thread.   
 
 The implementation of  the three
@@ -1339,6 +1491,12 @@ then   the  memory   required   to  store all of the  internals   variables  of
 PRNGs\footnote{we multiply this number by $2$ in order to count 32-bits numbers}
 and  the pseudorandom  numbers generated by  our  PRNG,  is  equal to  $100,000\times  ((4+5+6)\times
 2+(1+100))=1,310,000$ 32-bits numbers, that is, approximately $52$Mb.
 PRNGs\footnote{we multiply this number by $2$ in order to count 32-bits numbers}
 and  the pseudorandom  numbers generated by  our  PRNG,  is  equal to  $100,000\times  ((4+5+6)\times
 2+(1+100))=1,310,000$ 32-bits numbers, that is, approximately $52$Mb.
+Remark that the only requirement regarding the seed regarding the security of our PRNG is
+that it must be randomly picked. Indeed, the asymptotic security of BBS guarantees
+that, as the seed length increases, no polynomial time statistical test can 
+distinguish the pseudorandom sequences from truly random sequences with non-negligible probability,
+see, \emph{e.g.},~\cite{Sidorenko:2005:CSB:2179218.2179250}.
+
 
 This generator is able to pass the whole BigCrush battery of tests, for all
 the versions that have been tested depending on their number of threads 
 
 This generator is able to pass the whole BigCrush battery of tests, for all
 the versions that have been tested depending on their number of threads 
@@ -1354,7 +1512,7 @@ for all the different nodes involved in the computation.
 
 \subsection{Improved Version for GPU}
 
 
 \subsection{Improved Version for GPU}
 
-As GPU cards using CUDA have shared memory between threads of the same block, it
+As GPU cards using CUDA have shared memory between threads of the same block, it
 is possible  to use this  feature in order  to simplify the  previous algorithm,
 i.e., to use less  than 3 xor-like PRNGs. The solution  consists in computing only
 one xor-like PRNG by thread, saving  it into the shared memory, and then to use the results
 is possible  to use this  feature in order  to simplify the  previous algorithm,
 i.e., to use less  than 3 xor-like PRNGs. The solution  consists in computing only
 one xor-like PRNG by thread, saving  it into the shared memory, and then to use the results
@@ -1382,20 +1540,20 @@ NumThreads: Number of threads\;
 array\_comb1, array\_comb2: Arrays containing combinations of size combination\_size\;}
 
 \KwOut{NewNb: array containing random numbers in global memory}
 array\_comb1, array\_comb2: Arrays containing combinations of size combination\_size\;}
 
 \KwOut{NewNb: array containing random numbers in global memory}
-\If{threadId is concerned} {
-  retrieve data from InternalVarXorLikeArray[threadId] in local variables including shared memory and x\;
+\If{threadIdx is concerned} {
+  retrieve data from InternalVarXorLikeArray[threadIdx] in local variables including shared memory and x\;
   offset = threadIdx\%combination\_size\;
   o1 = threadIdx-offset+array\_comb1[offset]\;
   o2 = threadIdx-offset+array\_comb2[offset]\;
   \For{i=1 to n} {
     t=xor-like()\;
     t=t\textasciicircum shmem[o1]\textasciicircum shmem[o2]\;
   offset = threadIdx\%combination\_size\;
   o1 = threadIdx-offset+array\_comb1[offset]\;
   o2 = threadIdx-offset+array\_comb2[offset]\;
   \For{i=1 to n} {
     t=xor-like()\;
     t=t\textasciicircum shmem[o1]\textasciicircum shmem[o2]\;
-    shared\_mem[threadId]=t\;
+    shared\_mem[threadIdx]=t\;
     x = x\textasciicircum t\;
 
     x = x\textasciicircum t\;
 
-    store the new PRNG in NewNb[NumThreads*threadId+i]\;
+    store the new PRNG in NewNb[NumThreads*threadIdx+i]\;
   }
   }
-  store internal variables in InternalVarXorLikeArray[threadId]\;
+  store internal variables in InternalVarXorLikeArray[threadIdx]\;
 }
 \end{small}
 \caption{Main kernel for the chaotic iterations based PRNG GPU efficient
 }
 \end{small}
 \caption{Main kernel for the chaotic iterations based PRNG GPU efficient
@@ -1403,7 +1561,7 @@ version\label{IR}}
 \label{algo:gpu_kernel2} 
 \end{algorithm}
 
 \label{algo:gpu_kernel2} 
 \end{algorithm}
 
-\subsection{Theoretical Evaluation of the Improved Version}
+\subsection{Chaos Evaluation of the Improved Version}
 
 A run of Algorithm~\ref{algo:gpu_kernel2} consists in an operation ($x=x\oplus t$) having 
 the form of Equation~\ref{equation Oplus}, which is equivalent to the iterative
 
 A run of Algorithm~\ref{algo:gpu_kernel2} consists in an operation ($x=x\oplus t$) having 
 the form of Equation~\ref{equation Oplus}, which is equivalent to the iterative
@@ -1415,7 +1573,7 @@ To be certain that we are in the framework of Theorem~\ref{t:chaos des general},
 we must guarantee that this dynamical system iterates on the space 
 $\mathcal{X} = \mathcal{P}\left(\llbracket 1, \mathsf{N} \rrbracket\right)^\mathds{N}\times\mathds{B}^\mathsf{N}$.
 The left term $x$ obviously belongs to $\mathds{B}^ \mathsf{N}$.
 we must guarantee that this dynamical system iterates on the space 
 $\mathcal{X} = \mathcal{P}\left(\llbracket 1, \mathsf{N} \rrbracket\right)^\mathds{N}\times\mathds{B}^\mathsf{N}$.
 The left term $x$ obviously belongs to $\mathds{B}^ \mathsf{N}$.
-To prevent from any flaws of chaotic properties, we must check that the right 
+To prevent  any flaws of chaotic properties, we must check that the right 
 term (the last $t$), corresponding to the strategies,  can possibly be equal to any
 integer of $\llbracket 1, \mathsf{N} \rrbracket$. 
 
 term (the last $t$), corresponding to the strategies,  can possibly be equal to any
 integer of $\llbracket 1, \mathsf{N} \rrbracket$. 
 
@@ -1456,13 +1614,13 @@ per second  is almost constant.  With the  naive version, this value ranges from
 3GSamples/s.   With  the  optimized   version,  it  is  approximately  equal to
 20GSamples/s. Finally  we can remark  that both GPU  cards are quite  similar, but in
 practice,  the Tesla C1060  has more  memory than  the GTX  280, and  this memory
 3GSamples/s.   With  the  optimized   version,  it  is  approximately  equal to
 20GSamples/s. Finally  we can remark  that both GPU  cards are quite  similar, but in
 practice,  the Tesla C1060  has more  memory than  the GTX  280, and  this memory
-should be of better quality.
+is of better quality.
 As a  comparison,   Listing~\ref{algo:seqCIPRNG}  leads   to the  generation of  about
 138MSample/s when using one core of the Xeon E5530.
 
 \begin{figure}[htbp]
 \begin{center}
 As a  comparison,   Listing~\ref{algo:seqCIPRNG}  leads   to the  generation of  about
 138MSample/s when using one core of the Xeon E5530.
 
 \begin{figure}[htbp]
 \begin{center}
-  \includegraphics[width=\columnwidth]{curve_time_xorlike_gpu.pdf}
+  \includegraphics[scale=0.7]{curve_time_xorlike_gpu.pdf}
 \end{center}
 \caption{Quantity of pseudorandom numbers generated per second with the xorlike-based PRNG}
 \label{fig:time_xorlike_gpu}
 \end{center}
 \caption{Quantity of pseudorandom numbers generated per second with the xorlike-based PRNG}
 \label{fig:time_xorlike_gpu}
@@ -1481,7 +1639,7 @@ reduction.
 
 \begin{figure}[htbp]
 \begin{center}
 
 \begin{figure}[htbp]
 \begin{center}
-  \includegraphics[width=\columnwidth]{curve_time_bbs_gpu.pdf}
+  \includegraphics[scale=0.7]{curve_time_bbs_gpu.pdf}
 \end{center}
 \caption{Quantity of pseudorandom numbers generated per second using the BBS-based PRNG}
 \label{fig:time_bbs_gpu}
 \end{center}
 \caption{Quantity of pseudorandom numbers generated per second using the BBS-based PRNG}
 \label{fig:time_bbs_gpu}
@@ -1492,7 +1650,7 @@ generate a very large quantity of pseudorandom  numbers statistically perfect wi
 To a certain extend, it is also the case with the secure BBS-based version, the speed deflation being
 explained by the fact that the former  version has ``only''
 chaotic properties and statistical perfection, whereas the latter is also cryptographically secure,
 To a certain extend, it is also the case with the secure BBS-based version, the speed deflation being
 explained by the fact that the former  version has ``only''
 chaotic properties and statistical perfection, whereas the latter is also cryptographically secure,
-as it is shown in the next sections.
+as  shown in the next sections.
 
 
 
 
 
 
@@ -1501,9 +1659,25 @@ as it is shown in the next sections.
 
 
 \section{Security Analysis}
 
 
 \section{Security Analysis}
-\label{sec:security analysis}
 
 
 
 
+This section is dedicated to the security analysis of the
+  proposed PRNGs, both from a theoretical and from a practical point of view.
+
+\subsection{Theoretical Proof of Security}
+\label{sec:security analysis}
+
+The standard definition
+  of {\it indistinguishability} used is the classical one as defined for
+  instance in~\cite[chapter~3]{Goldreich}. 
+  This property shows that predicting the future results of the PRNG
+  cannot be done in a reasonable time compared to the generation time. It is important to emphasize that this
+  is a relative notion between breaking time and the sizes of the
+  keys/seeds. Of course, if small keys or seeds are chosen, the system can
+  be broken in practice. But it also means that if the keys/seeds are large
+  enough, the system is secured.
+As a complement, an example of a concrete practical evaluation of security
+is outlined in the next subsection.
 
 In this section the concatenation of two strings $u$ and $v$ is classically
 denoted by $uv$.
 
 In this section the concatenation of two strings $u$ and $v$ is classically
 denoted by $uv$.
@@ -1523,12 +1697,14 @@ probabilities are taken over $U_m$, $U_{\ell_G(m)}$ as well as over the
 internal coin tosses of $D$. 
 \end{definition}
 
 internal coin tosses of $D$. 
 \end{definition}
 
-Intuitively, it means that there is no polynomial time algorithm that can
-distinguish a perfect uniform random generator from $G$ with a non
-negligible probability. The interested reader is referred
-to~\cite[chapter~3]{Goldreich} for more information. Note that it is
-quite easily possible to change the function $\ell$ into any polynomial
-function $\ell^\prime$ satisfying $\ell^\prime(m)>m)$~\cite[Chapter 3.3]{Goldreich}.
+Intuitively,  it means  that  there is  no  polynomial time  algorithm that  can
+distinguish a  perfect uniform random generator  from $G$ with  a non negligible
+probability.   An equivalent  formulation of  this well-known  security property
+means that  it is  possible \emph{in practice}  to predict  the next bit  of the
+generator, knowing all  the previously produced ones.  The  interested reader is
+referred to~\cite[chapter~3]{Goldreich}  for more  information. Note that  it is
+quite easily possible to change the function $\ell$ into any polynomial function
+$\ell^\prime$ satisfying $\ell^\prime(m)>m)$~\cite[Chapter 3.3]{Goldreich}.
 
 The generation schema developed in (\ref{equation Oplus}) is based on a
 pseudorandom generator. Let $H$ be a cryptographic PRNG. We may assume,
 
 The generation schema developed in (\ref{equation Oplus}) is based on a
 pseudorandom generator. Let $H$ be a cryptographic PRNG. We may assume,
@@ -1550,7 +1726,7 @@ PRNG too.
 \end{proposition}
 
 \begin{proof}
 \end{proposition}
 
 \begin{proof}
-The proposition is proved by contraposition. Assume that $X$ is not
+The proposition is proven by contraposition. Assume that $X$ is not
 secure. By Definition, there exists a polynomial time probabilistic
 algorithm $D$, a positive polynomial $p$, such that for all $k_0$ there exists
 $N\geq \frac{k_0}{2}$ satisfying 
 secure. By Definition, there exists a polynomial time probabilistic
 algorithm $D$, a positive polynomial $p$, such that for all $k_0$ there exists
 $N\geq \frac{k_0}{2}$ satisfying 
@@ -1613,6 +1789,91 @@ proving that $H$ is not secure, which is a contradiction.
 \end{proof}
 
 
 \end{proof}
 
 
+
+\subsection{Practical Security Evaluation}
+\label{sec:Practicak evaluation}
+
+Pseudorandom generators based on Eq.~\eqref{equation Oplus} are thus cryptographically secure when
+they are XORed with an already cryptographically
+secure PRNG. But, as stated previously,
+such a property does not mean that, whatever the
+key size, no attacker can predict the next bit
+knowing all the previously released ones.
+However, given a key size, it is possible to 
+measure in practice the minimum duration needed
+for an attacker to break a cryptographically
+secure PRNG, if we know the power of his/her
+machines. Such a concrete security evaluation 
+is related to the $(T,\varepsilon)-$security
+notion, which is recalled and evaluated in what 
+follows, for the sake of completeness.
+
+Let us firstly recall that,
+\begin{definition}
+Let $\mathcal{D} : \mathds{B}^M \longrightarrow \mathds{B}$ be a probabilistic algorithm that runs
+in time $T$. 
+Let $\varepsilon > 0$. 
+$\mathcal{D}$ is called a $(T,\varepsilon)-$distinguishing attack on pseudorandom
+generator $G$ if
+
+$$\left| Pr[\mathcal{D}(G(k)) = 1 \mid k \in_R \{0,1\}^\ell ]\right. - \left. Pr[\mathcal{D}(s) = 1 \mid s \in_R \mathds{B}^M ]\right| \geqslant \varepsilon,$$
+\noindent where the probability is taken over the internal coin flips of $\mathcal{D}$, and the notation
+``$\in_R$'' indicates the process of selecting an element at random and uniformly over the
+corresponding set.
+\end{definition}
+
+Let us recall that the running time of a probabilistic algorithm is defined to be the
+maximum of the expected number of steps needed to produce an output, maximized
+over all inputs; the expected number is averaged over all coin flips made by the algorithm~\cite{Knuth97}.
+We are now able to define the notion of cryptographically secure PRNGs:
+
+\begin{definition}
+A pseudorandom generator is $(T,\varepsilon)-$secure if there exists no $(T,\varepsilon)-$distinguishing attack on this pseudorandom generator.
+\end{definition}
+
+
+
+
+
+
+
+Suppose now that the PRNG of Eq.~\eqref{equation Oplus} will work during 
+$M=100$ time units, and that during this period,
+an attacker can realize $10^{12}$ clock cycles.
+We thus wonder whether, during the PRNG's 
+lifetime, the attacker can distinguish this 
+sequence from a truly random one, with a probability
+greater than $\varepsilon = 0.2$.
+We consider that $N$ has 900 bits.
+
+Predicting the next generated bit knowing all the
+previously released ones by Eq.~\eqref{equation Oplus} is obviously equivalent to predicting the
+next bit in the BBS generator, which
+is cryptographically secure. More precisely, it
+is $(T,\varepsilon)-$secure: no 
+$(T,\varepsilon)-$distinguishing attack can be
+successfully realized on this PRNG, if~\cite{Fischlin}
+\begin{equation}
+T \leqslant \dfrac{L(N)}{6 N (log_2(N))\varepsilon^{-2}M^2}-2^7 N \varepsilon^{-2} M^2 log_2 (8 N \varepsilon^{-1}M)
+\label{mesureConcrete}
+\end{equation}
+where $M$ is the length of the output ($M=100$ in
+our example), and $L(N)$ is equal to
+$$
+2.8\times 10^{-3} exp \left(1.9229 \times (N ~ln~ 2)^\frac{1}{3} \times (ln(N~ln~  2))^\frac{2}{3}\right)
+$$
+is the number of clock cycles to factor a $N-$bit
+integer.
+
+
+
+
+A direct numerical application shows that this attacker 
+cannot achieve his/her $(10^{12},0.2)$ distinguishing
+attack in that context.
+
+
+
 \section{Cryptographical Applications}
 
 \subsection{A Cryptographically Secure PRNG for GPU}
 \section{Cryptographical Applications}
 
 \subsection{A Cryptographically Secure PRNG for GPU}
@@ -1631,8 +1892,8 @@ very slow and only usable for cryptographic applications.
 The modulus operation is the most time consuming operation for current
 GPU cards.  So in order to obtain quite reasonable performances, it is
 required to use only modulus  on 32-bits integer numbers. Consequently
 The modulus operation is the most time consuming operation for current
 GPU cards.  So in order to obtain quite reasonable performances, it is
 required to use only modulus  on 32-bits integer numbers. Consequently
-$x_n^2$ need  to be lesser than $2^{32}$,  and thus the number $M$ must be
-lesser than $2^{16}$.  So in practice we can choose prime numbers around
+$x_n^2$ need  to be inferior than $2^{32}$,  and thus the number $M$ must be
+inferior than $2^{16}$.  So in practice we can choose prime numbers around
 256 that are congruent to 3 modulus 4.  With 32-bits numbers, only the
 4 least significant bits of $x_n$ can be chosen (the maximum number of
 indistinguishable    bits    is    lesser    than   or    equals    to
 256 that are congruent to 3 modulus 4.  With 32-bits numbers, only the
 4 least significant bits of $x_n$ can be chosen (the maximum number of
 indistinguishable    bits    is    lesser    than   or    equals    to
@@ -1682,8 +1943,8 @@ array\_shift[4]=\{0,1,3,7\}\;
 }
 
 \KwOut{NewNb: array containing random numbers in global memory}
 }
 
 \KwOut{NewNb: array containing random numbers in global memory}
-\If{threadId is concerned} {
-  retrieve data from InternalVarBBSArray[threadId] in local variables including shared memory and x\;
+\If{threadIdx is concerned} {
+  retrieve data from InternalVarBBSArray[threadIdx] in local variables including shared memory and x\;
   we consider that bbs1 ... bbs8 represent the internal states of the 8 BBS numbers\;
   offset = threadIdx\%combination\_size\;
   o1 = threadIdx-offset+array\_comb[bbs1\&7][offset]\;
   we consider that bbs1 ... bbs8 represent the internal states of the 8 BBS numbers\;
   offset = threadIdx\%combination\_size\;
   o1 = threadIdx-offset+array\_comb[bbs1\&7][offset]\;
@@ -1702,12 +1963,12 @@ array\_shift[4]=\{0,1,3,7\}\;
     t$<<$=shift\;
     t|=BBS2(bbs2)\&array\_shift[shift]\;
     t=t\textasciicircum  shmem[o1]\textasciicircum     shmem[o2]\;
     t$<<$=shift\;
     t|=BBS2(bbs2)\&array\_shift[shift]\;
     t=t\textasciicircum  shmem[o1]\textasciicircum     shmem[o2]\;
-    shared\_mem[threadId]=t\;
+    shared\_mem[threadIdx]=t\;
     x = x\textasciicircum   t\;
 
     x = x\textasciicircum   t\;
 
-    store the new PRNG in NewNb[NumThreads*threadId+i]\;
+    store the new PRNG in NewNb[NumThreads*threadIdx+i]\;
   }
   }
-  store internal variables in InternalVarXorLikeArray[threadId] using a rotation\;
+  store internal variables in InternalVarXorLikeArray[threadIdx] using a rotation\;
 }
 \end{small}
 \caption{main kernel for the BBS based PRNG GPU}
 }
 \end{small}
 \caption{main kernel for the BBS based PRNG GPU}
@@ -1736,46 +1997,39 @@ It should  be noticed that this generator has once more the form $x^{n+1} = x^n
 where $S^n$ is referred in this algorithm as $t$: each iteration of this
 PRNG ends with $x = x \wedge t$. This $S^n$ is only constituted
 by secure bits produced by the BBS generator, and thus, due to
 where $S^n$ is referred in this algorithm as $t$: each iteration of this
 PRNG ends with $x = x \wedge t$. This $S^n$ is only constituted
 by secure bits produced by the BBS generator, and thus, due to
-Proposition~\ref{cryptopreuve}, the resulted PRNG is cryptographically
-secure.
+Proposition~\ref{cryptopreuve}, the resulted PRNG is 
+cryptographically secure.
+
+As stated before, even if the proposed PRNG is cryptocaphically
+secure, it does not mean that such a generator
+can be used as described here when attacks are
+awaited. The problem is to determine the minimum 
+time required for an attacker, with a given 
+computational power, to predict under a probability
+lower than 0.5 the $n+1$th bit, knowing the $n$
+previous ones. The proposed GPU generator will be
+useful in a security context, at least in some 
+situations where a secret protected by a pseudorandom
+keystream is rapidly obsolete, if this time to 
+predict the next bit is large enough when compared
+to both the generation and transmission times.
+It is true that the prime numbers used in the last
+section are very small compared to up-to-date 
+security recommendations. However the attacker has not
+access to each BBS, but to the output produced 
+by Algorithm~\ref{algo:bbs_gpu}, which is far
+more complicated than a simple BBS. Indeed, to
+determine if this cryptographically secure PRNG
+on GPU can be useful in security context with the 
+proposed parameters, or if it is only a very fast
+and statistically perfect generator on GPU, its
+$(T,\varepsilon)-$security must be determined, and
+a formulation similar to Eq.\eqref{mesureConcrete}
+must be established. The authors
+hope to achieve this difficult task in a future
+work.
 
 
 
 
-
-\begin{color}{red}
-\subsection{Practical Security Evaluation}
-\label{sec:Practicak evaluation}
-
-Suppose now that the PRNG will work during 
-$M=100$ time units, and that during this period,
-an attacker can realize $10^{12}$ clock cycles.
-We thus wonder whether, during the PRNG's 
-lifetime, the attacker can distinguish this 
-sequence from truly random one, with a probability
-greater than $\varepsilon = 0.2$.
-We consider that $N$ has 900 bits.
-
-The random process is the BBS generator, which
-is cryptographically secure. More precisely, it
-is $(T,\varepsilon)-$secure: no 
-$(T,\varepsilon)-$distinguishing attack can be
-successfully realized on this PRNG, if~\cite{Fischlin}
-$$
-T \leqslant \dfrac{L(N)}{6 N (log_2(N))\varepsilon^{-2}M^2}-2^7 N \varepsilon^{-2} M^2 log_2 (8 N \varepsilon^{-1}M)
-$$
-where $M$ is the length of the output ($M=100$ in
-our example), and $L(N)$ is equal to
-$$
-2.8\times 10^{-3} exp \left(1.9229 \times (N ~ln(2)^\frac{1}{3}) \times ln(N~ln 2)^\frac{2}{3}\right)
-$$
-is the number of clock cycles to factor a $N-$bit
-integer.
-
-A direct numerical application shows that this attacker 
-cannot achieve its $(10^{12},0.2)$ distinguishing
-attack in that context.
-
-\end{color}
-
 \subsection{Toward a Cryptographically Secure and Chaotic Asymmetric Cryptosystem}
 \label{Blum-Goldwasser}
 We finish this research work by giving some thoughts about the use of
 \subsection{Toward a Cryptographically Secure and Chaotic Asymmetric Cryptosystem}
 \label{Blum-Goldwasser}
 We finish this research work by giving some thoughts about the use of
@@ -1833,14 +2087,14 @@ her new public key will be $(S^0, N)$.
 
 To encrypt his message, Bob will compute
 %%RAPH : ici, j'ai mis un simple $
 
 To encrypt his message, Bob will compute
 %%RAPH : ici, j'ai mis un simple $
-%\begin{equation}
-$c = \left(m_0 \oplus (b_0 \oplus S^0), m_1 \oplus (b_0 \oplus b_1 \oplus S^0), \hdots, \right.$
-$ \left. m_{L-1} \oplus (b_0 \oplus b_1 \hdots \oplus b_{L-1} \oplus S^0) \right)$
-%%\end{equation}
-instead of $\left(m_0 \oplus b_0, m_1 \oplus b_1, \hdots, m_{L-1} \oplus b_{L-1} \right)$. 
+\begin{equation*}
+c = \left(m_0 \oplus (b_0 \oplus S^0), m_1 \oplus (b_0 \oplus b_1 \oplus S^0), \hdots, \right.
+ \left. m_{L-1} \oplus (b_0 \oplus b_1 \hdots \oplus b_{L-1} \oplus S^0) \right)
+\end{equation*}
+instead of $$\left(m_0 \oplus b_0, m_1 \oplus b_1, \hdots, m_{L-1} \oplus b_{L-1} \right).$$ 
 
 The same decryption stage as in Blum-Goldwasser leads to the sequence 
 
 The same decryption stage as in Blum-Goldwasser leads to the sequence 
-$\left(m_0 \oplus S^0, m_1 \oplus S^0, \hdots, m_{L-1} \oplus S^0 \right)$.
+$$\left(m_0 \oplus S^0, m_1 \oplus S^0, \hdots, m_{L-1} \oplus S^0 \right).$$
 Thus, with a simple use of $S^0$, Alice can obtain the plaintext.
 By doing so, the proposed generator is used in place of BBS, leading to
 the inheritance of all the properties presented in this paper.
 Thus, with a simple use of $S^0$, Alice can obtain the plaintext.
 By doing so, the proposed generator is used in place of BBS, leading to
 the inheritance of all the properties presented in this paper.
@@ -1857,17 +2111,24 @@ have shown that a very large quantity of pseudorandom numbers can be generated p
 namely the BigCrush.
 Furthermore, we have shown that when the inputted generator is cryptographically
 secure, then it is the case too for the PRNG we propose, thus leading to
 namely the BigCrush.
 Furthermore, we have shown that when the inputted generator is cryptographically
 secure, then it is the case too for the PRNG we propose, thus leading to
-the possibility to develop fast and secure PRNGs using the GPU architecture.
-\begin{color}{red} An improvement of the Blum-Goldwasser cryptosystem, making it 
-behaves chaotically, has finally been proposed. \end{color}
+the possibility of developping fast and secure PRNGs using the GPU architecture.
+An improvement of the Blum-Goldwasser cryptosystem, making it 
+behave chaotically, has finally been proposed. 
 
 In future  work we plan to extend this research, building a parallel PRNG for  clusters or
 grid computing. Topological properties of the various proposed generators will be investigated,
 and the use of other categories of PRNGs as input will be studied too. The improvement
 
 In future  work we plan to extend this research, building a parallel PRNG for  clusters or
 grid computing. Topological properties of the various proposed generators will be investigated,
 and the use of other categories of PRNGs as input will be studied too. The improvement
-of Blum-Goldwasser will be deepened. Finally, we
+of Blum-Goldwasser will be deepened.
+Another aspect to consider might be different accelerator-based systems like 
+Intel Xeon Phi cards and speed measurements using such cards: as heterogeneity of
+supercomputers tends to increase using other accelerators than GPGPUs,
+a Xeon Phi solution might be interesting to investigate.
+ Finally, we
 will try to enlarge the quantity of pseudorandom numbers generated per second either
 in a simulation context or in a cryptographic one.
 
 will try to enlarge the quantity of pseudorandom numbers generated per second either
 in a simulation context or in a cryptographic one.
 
+\section*{Acknowledgment}
+This work is  partially funded by the Labex ACTION program (contract ANR-11-LABX-01-01).
 
 
 \bibliographystyle{plain} 
 
 
 \bibliographystyle{plain}