Pokeriohjelmistomme tietosuoja

Ohjelmistomme tietosuoja

Kaikki tietoliikenne pelaajien tietokoneissa toimivien asiakasohjelmien ja palvelimiemme välillä on salattu. On tärkeää huomata, että pelkkä salaus ei takaa tietoturvaa. Esimerkiksi sivusto, joka lähettää kaikkien pelaajien taskukortit kaikille, ei ole turvallinen salauksesta huolimatta. Tämän vuoksi olemme käyttäneet paljon aikaa ja vaivaa järjestelmämme ja käytäntöjemme turvallisuuden suunnitteluun.

TÄRKEÄT SUOJAUSKOHTEET:

Peliohjelmiston lataus:

Suojaus on tärkeässä tehtävässä jo ensimmäisessä vaiheessa, peliohjelmiston lataamisessa PokerStarsin sivustolta. Meidän on varmistettava, että peliohjelmisto ladataan muuttamattomana. Tämän tavoitteen saavuttamiseksi olemme sisällyttäneet seuraavat toiminnot ohjelmiston asennusohjelmaan:

  • Asennusohjelman tiedosto on allekirjoitettu käyttämällä RSA 2048 bitin koodin allekirjoitussertifikaattia, joka on myönnetty Rational Services Ltd:lle, ja jonka todentaa VeriSign, julkinen sertifikaattiviranomainen.
  • Tämä varmistaa, että asennusohjelmisto tulee peliohjelmiston julkaisijalta, PokerStarsillta.
  • Se suojaa asennusohjelmistoa muutoksilta julkaisun ja asennuksen koneellesi välisenä aikana.

Suojaus pelaamisen aikana:

Käytössä on useita sisäänrakennettuja toimintoja, jotka varmistavat itse pelin turvallisuuden.

  • Peliohjelmistomme todentaa palvelimemme oman sertifikaattien myöntäjämme (CA) antamaa sertifikaattia käyttämällä.
  • Peliohjelmistomme käyttää standardia TLS-protokollaa. Käytämme tällä hetkellä 2048-bittistä RSA- avainta, joka on RSA:n mukaan riittävä vuoteen 2030 saakka. Koska tarkastamme ja päivitämme yksityiset palvelinavaimet kolmen kuukauden välein, käytäntömme on turvallinen suurella marginaalilla. Tuemme seuraavia salausmetodeja: AES128-SHA (128 bittiä) ja DES-CBC3-SHA (168 bittiä).
  • Mitään yksityistä tietoa, kuten taskukortteja, ei koskaan siirretä toisille pelaajille (paitsi pelin sääntöjen mukaisesti).
  • Kaikki peliohjelmiston lähettämä tieto vahvistetaan palvelimella.

KOLLUUSIO

Kolluusio on epärehellisen pelaamisen muoto, joka tarkoittaa, että vähintään kaksi pelaajaa ilmoittaa toisilleen pelissä kädessään olevat kortit tai petkuttaa muita samassa pöydässä pelaavia muulla tavoin.

Vaikka tietojen vaihtaminen kolluusiopelaajien välillä on helpompaa verkossa kuin se on kivijalkakasinoissa, kiinnijäämisen välttäminen on vaikeampaa, koska kaikkien pelaajien kortit voidaan tarkistaa pelin jälkeen

Vaikka epärehelliset pelaajat käyttäisivät hienostuneimpia menetelmiä, kolluusioon liittyy aina sellaisen käden pelaaminen, jota kukaan ei pelaisi ilman sopimusta. Selvitysmenetelmämme havaitsevat epätavalliset pelitavat ja ilmoittavat turvahenkilökunnalle, joka tekee sen jälkeen perinpohjaisen tutkimuksen manuaalisesti. Tarkistamme myös kaikkien pelaajien lähettämät raportit sopimusepäilyistä.

Jos jonkun pelaajan todetaan ottaneen osaa kolluusioon, hänen tilinsä voidaan sulkea lopullisesti.

KORTTIEN SEKOITTAMINEN

"Satunnaislukujen tuottaminen aritmeettisilla menetelmillä on syntiä." – John von Neumann, 1951

Tiedämme, miten tärkeää on käyttää ohjelmassamme sekoittamisalgoritmia, joka on tasapuolinen ja ei-ennakoitava. Jotta voisimme varmistaa tämän ja välttää viitteessä [1] esitetyt ongelmat, käytämme kahta riippumatonta, satunnaisia tietoja antavaa lähdettä:

  • käyttäjän syöttämiä tietoja, mukaan lukien asiakasohjelman keräämät yhteenvetotiedot hiiren liikkeistä ja tapahtuma-ajoista
  • Quantiquen kehittämää laitepohjaista satunnaislukugeneraattori Quantisia [2], joka käyttää kvanttisatunnaisuutta entropian lähteenä.

Kumpikin näistä lähteistä generoi riittävästi entropiaa tasapuolisen ja ei-ennakoitavan sekoittamisen varmistamiseksi.

Tietoja sekoittamisesta:

  • 52 kortin pakka voidaan sekoittaa 52! tavalla. 52! on noin 2^225 (täsmälleen 80 658 175 170 943 878 571 660 636 856 404 000 000 000 000 000 000 000 000 000 000 000 000). Me käytämme 249:ää satunnaista bittiä molemmista entropialähteistä (käyttäjän syötteestä ja kvanttisatunnaisuudesta), joilla saadaan aikaan tasainen ja ei-ennakoitava tilastollinen jakautuma.
  • Lisäksi käytämme hyväksi koettuja sääntöjä, joilla saamme aikaan tarvittavan satunnaisuuden tason. Jos esimerkiksi käyttäjän antama syöte ei generoi riittävää entropiaa, emme aloita seuraavaa kättä, ennen kuin olemme saaneet riittävästi entropiaa Quantis-satunnaislukugeneraattorista.
  • Sekoitamme molemmista lähteistä saadun entropian SHA-1-tyyppistä kryptografista tiivistefunktiota käyttämällä, jolloin tietoturva paranee entisestään.
  • Käytämme myös SHA-1-pohjaista näennäissatunnaislukugeneraattoria, joka parantaa käyttäjän tietoturvaa ja suojausta hyökkäyksiä vastaan.
  • Jotta satunnainen bittijono voitaisiin muuttaa tietyllä arvovälillä oleviksi satunnaisluvuiksi ilman vinoutumaa, käytämme yksinkertaista ja luotettavaa algoritmia. Oletetaan esimerkiksi, että tarvitsemme satunnaisluvun väliltä 0 ja 25:
    • otamme viisi satunnaista bittiä ja muunnamme ne välillä 0 ja 31 olevaksi satunnaisluvuksi
    • jos tämä luku on suurempi kuin 25, me hylkäämme kaikki viisi bittiä ja toistamme prosessin.
  • Tähän menetelmään eivät vaikuta vinoutumat, jotka ovat tyypillisiä generoitaessa jakojäännöstä käyttämällä sellaisia satunnaislukuja, joiden arvo ei ole 2n, n = 1,2,…
  • Todelliseen sekoittamiseen käytämme toista yksinkertaista ja luotettavaa algoritmia:
    • ensiksi vedämme satunnaisen kortin alkuperäisestä pakasta (1/52) ja siirrämme sen uuteen pakkaan – nyt alkuperäinen pakka sisältää 51 korttia ja uusi pakka yhden kortin
    • sitten vedämme toisen satunnaisen kortin alkuperäisestä pakasta (1/51) ja siirrämme sen päällimmäiseksi uuteen pakkaan – nyt alkuperäinen pakka sisältää 50 korttia ja uusi pakka kaksi korttia
    • toistamme prosessia, kunnes kaikki kortit on siirretty alkuperäisestä pakasta uuteen pakkaan.
  • Tämän algoritmin ongelmana ei ole viitteessä [1] kuvattu sekoittamisien huono jakauma (Bad Distribution Of Shuffles).

PokerStarsin korttien sekoitus

PokerStars on antanut laajat tiedot satunnaislukugeneraattoristaan (RNG) riippumattomalle organisaatiolle. Pyysimme tätä luotettavaa tahoa tekemään perinpohjaisen analyysin RNG:n luomien lukujen satunnaisuudesta sekä ohjelman toiminnasta PokerStarsin korttien sekoittamisessa.

Cigital sai käyttöönsä lähdekoodin ja vahvisti sekoittamisen olevan satunnainen ja turvallinen. Lisätietoja on sivulla Verkon satunnaislukugeneraattori.

[1] "How We Learned to Cheat at Online Poker: A Study in Software Security" -
http://itmanagement.earthweb.com/entdev/article.php/616221
[2] http://www.idquantique.com/products/quantis.htm