امنیت جدی: شما نمی توانید در بلک جک خانه را شکست دهید - یا می توانید؟

کریپتوگورو بروس اشنایر (جایی عضو سازمانهای سری ومخفی به معنی رمزنگاری، نه چیز دیگر!) فقط یک یادداشت جذاب در وبلاگ خود منتشر کرد با عنوان در مورد تصادفی بودن مخفف‌کننده‌های خودکار کارت.

اگر تا به حال به یک کازینو، حداقل یکی در نوادا رفته باشید، می‌دانید که میزهای بلک جک با مشتریانی که در این تجارت شناخته می‌شوند، شانس نمی‌آورند. شمارنده های کارت.

این اصطلاح برای اشاره به بازیکنانی به کار می‌رود که حافظه‌شان را تا حدی تمرین کرده‌اند که می‌توانند کارت‌هایی را که تا این لحظه در دست بازی کرده‌اند پیگیری کنند، که به آنها برتری نظری نسبت به خانه در هنگام پیش‌بینی ایستادن یا ضربه زدن به عنوان بازی می‌دهد. پیشرفت می کند.

شمارنده‌های کارت می‌توانند مزیتی کسب کنند، حتی اگر تنها کاری که انجام می‌دهند این باشد که نسبت 10 کارت (ده، جک، ملکه و پادشاه) به غیر 10 کارت‌های باقی‌مانده در کفش فروشنده را پیگیری کنند.

به عنوان مثال، اگر فروشنده با یک آس نشسته است، اما تعداد بالاتر از میانگین کارت های 10 ارزش قبلاً مصرف شده است، در این صورت دیلر شانس کمتری برای ساخت بلک جک دارد (21 امتیاز با دو کارت، به عنوان مثال. آس و یکی از 10-JQK) و یکبار برنده شدن، و شانس بالاتر از حد متوسط ​​برای شکست قبل از رسیدن به نقطه توقف 17 و بالاتر.

اگر بتوانید احتمالات موجود در ذهن خود را در زمان واقعی متعادل کنید، ممکن است بتوانید شرط های خود را مطابق با آن تغییر دهید و در درازمدت پیش بروید.

در واقع این را امتحان نکنید، حداقل در نوادا: کازینو احتمالاً خیلی سریع شما را جلب می کند، زیرا الگوی بازی شما به طور قابل توجهی از آگاهانه ترین انتخاب های برنده موجود در صورت عدم شمارش کارت ها متفاوت است. ممکن است در دادگاه به پایان نرسید، اما تقریباً مطمئناً از محل اسکورت خواهید شد و دیگر هرگز اجازه نخواهید داد.

مساوی کردن شانس ها

برای کاهش تعادل احتمالاتی که شمارنده‌های کارت از آن لذت می‌برند (حداقل کسانی که هنوز دستگیر نشده‌اند)، کازینوها معمولاً:

• دست از یک کفش پر شده با شش بسته (عرشه) از 52 کارت. این بدان معناست که هر دستی که پخش می‌شود، توزیع کارت‌های باقی‌مانده را کمتر از زمانی که از یک بسته استفاده می‌شد، تغییر می‌دهد.
• کل کفش 312 کارتی (شش بسته) را قبل از هر دست به هم بزنید. برای صرفه جویی در زمان و رفع سوء ظن از دلال، یک دستگاه الکترومکانیکی شبه تصادفی کارت ها را درست روی میز، جلوی همه بازیکنان، به هم می زند.

این بلافاصله سؤال طرح شده توسط اشنایر را ایجاد می کند: کارت ها وقتی از دستگاه بیرون می آیند چقدر به هم ریخته می شوند؟

نکته قابل توجه، با شش بسته کارت جدید، که به ترتیب قابل پیش بینی می رسند (مثلاً آس به پادشاه قلب، آس به پادشاه کلوب ها، پادشاه به آس الماس، پادشاه به آس از پیک)، چه مقدار سفارش جزئی پس از پایان دستگاه کار خود را انجام داده است؟

آیا می‌توانید کارت بعدی را بهتر از آنچه شانس نشان می‌دهد، «حدس بزنید»؟

یک تصادفی ساز کاملاً الکترونیکی از نظر پیچیدگی عمدتاً به دلیل سرعت پردازنده ای که استفاده می کند محدود می شود ، که معمولاً در صدها میلیون یا میلیاردها عملیات حسابی در ثانیه اندازه گیری می شود.

اما یک دستگاه پخش کننده کارت الکترومکانیکی به معنای واقعی کلمه باید کارت ها را در زندگی واقعی جابجا کند.

بدیهی است که محدودیتی برای سرعت انجام تقسیم بسته ها، تعویض کارت ها و عملیات درهم آمیختگی قبل از اینکه سرعت مکانیزم شروع به آسیب رساندن به کارت ها کند، وجود دارد، به این معنی که محدودیتی برای میزان تصادفی بودن وجود دارد (یا به طور دقیق تر، شبه تصادفی) دستگاه می تواند قبل از اینکه زمان بازی دست بعدی برسد، معرفی کند.

اگر از همان ابتدا سوگیری شناخته شده ای در توزیع کارت ها وجود داشته باشد، کازینو ممکن است در واقع کار را برای شمارنده کارت آسان تر کند.

خیلی طولانی به هم بزنید، و بازی خیلی آهسته خواهد بود، به طوری که بازیکنان خسته می شوند و سرگردان می شوند، چیزی که کازینوها به شدت سعی می کنند از آن اجتناب کنند.

وبلاگ اشنایر پیوندهایی به a قطعه جذاب توسط بی‌بی‌سی که توضیح می‌دهد که چگونه یک ریاضیدان/ شعبده‌باز به نام پرسی دیاکونیس از دانشگاه استنفورد، همراه با جیسون فولمن و سوزان هولمز، در مقاله‌ای با عنوان ساده، تحقیقاتی رسمی در مورد این موضوع در اوایل این قرن انجام دادند: تجزیه و تحلیل ماشین آلات بر هم زدن قفسه کازینو.

سطوح پیچیدگی

واضح است که برخی از تکنیک های هم زدن وجود دارد که به هیچ وجه کارت ها را زیاد با هم مخلوط نمی کنند، مانند ساده برش بسته را به دو قسمت تقسیم کنید و قسمت پایین را به سمت بالا منتقل کنید.

سایر تکنیک ها منجر به اختلاط بهتر می شوند (یا احساس می کنند که باید به نتیجه برسند). تفنگ زدن، جایی که بسته را تقریباً به دو نیم تقسیم می کنید، یک نیمه را در هر دست نگه دارید، و دو نیمه را با هم "برگردانید"، آنها را به صورت شبه تصادفی به هم می زنید که به طور متناوب بین چند کارت از یک طرف و سپس چند کارت از طرف دیگر برمی گردد. .

ایده این است که اگر بسته را چندین بار به هم بزنید، هر بار که بسته را قبل از هر تفنگ تقسیم می‌کنید، یک توالی شبه تصادفی از برش‌ها انجام می‌دهید، که با یک دنباله متغیر شبه تصادفی از عملیات در هم‌پیچیدگی شبه تصادفی که شامل یک N-از-the- است، مخلوط می‌شود. فرآیند چپ-سپس-M-از-راست.

با این حال، جالب است که وقتی انسان‌های ماهر درگیر هستند، هیچ یک از این فرضیات غیرقابل پیش‌بینی امن نیستند.

شعبده بازان زبردست و دلالان خدعه دار (خود دیاکونیس اولی است، اما نه دومی) می توانند کارهایی را انجام دهند که به عنوان معروف است. فارو میزنه، یا مخلوط کردن کامل، جایی که آنها هر بار که بسته را ریفل می کنند هر دو کار زیر را انجام می دهند:

• کارت ها را دقیقاً به دو قسمت تقسیم کنید، بنابراین دقیقاً 26 کارت در هر دست دریافت می کنید.
• آنها را کاملاً در هم قرار دهید، هر بار دقیقاً یک کارت را به طور متناوب از هر دست پایین بیاورید.

خود دیاکونیس می‌تواند به‌همراهی کامل انجام دهد (از جمله مهارت نادر انجام این کار فقط با یک دست برای نگه داشتن هر دو نیمه بسته!)، و به گفته بی‌بی‌سی:

[او] دوست دارد با برداشتن یک دسته کارت جدید و نوشتن کلمه RANDOM با نشانگر سیاه ضخیم در یک طرف، ترکیب کامل را نشان دهد. همانطور که او با کارت‌ها دست به کار می‌شود، حروف با هم مخلوط می‌شوند و گهگاهی به شکل شبح‌آلود ظاهر می‌شوند، مانند تصویری که در یک تلویزیون قدیمی تنظیم نشده است. سپس، پس از اینکه او هشتمین و آخرین ترکیب را انجام داد، کلمه در کنار عرشه مجدداً مادی می شود. کارت‌ها دقیقاً دنباله اصلی خود هستند، از آس از پیک تا آس قلب.

دو نوع کمال

در واقع، بسته به اینکه بعد از بریدن کارت ها به دو دسته 26 کارتی، از کدام دست شروع به ریفلز کردن کنید، دو نوع ترکیب کامل وجود دارد.

اگر اولین کارتی که به سمت پایین برمی‌گردانید از دستی باشد که در دست گرفته‌اید، می‌توانید کارت‌ها را به ترتیب 1-27-2-28-3-29-…-25-51-26-52 بیندازید. او نیمه پایین بسته.

اما اگر اولین کارتی که پایین می اندازید، کارت پایینی باشد که قبلاً نیمه بالایی بسته بود، در نهایت با 27-1-28-2-29-3-…-51-25-52-26 مواجه می شوید، بنابراین کارت فقط از نیمه گذشته به پایان می رسد در بالا پس از آن.

نوع قبلی an نامیده می شود درهم ریختنو هر هشت بار که آن را تکرار می کنید، بسته را مرتب می کند، همانطور که در اینجا می بینید (تصویر دارای 52 خط پیکسل است که هر خط مربوط به لبه یک کارت است که کلمه RANDOM روی آن با یک خودکار نوشته شده است):

نوع دوم یک است در ترکیبو این، به‌طور شگفت‌انگیزی، قبل از تکرار، 52 مرتبه مجدد طول می‌کشد، اگرچه می‌توانید در اینجا به وضوح ببینید که بسته هرگز تصادفی واقعی را نشان نمی‌دهد، و حتی در نیمه راه از یک معکوس کامل عبور می‌کند:

ریاضیدانان چه گفتند؟

بنابراین، در سال 2013، زمانی که Diaconis el al. به دعوت سازنده دستگاه شلف شافلر را مطالعه کردند، چه چیزی پیدا کردند؟

همانطور که مقاله توضیح می‌دهد، یک شلف‌گیر یک تلاش الکترومکانیکی برای ابداع یک خودکار تصادفی و تصادفی "چند برش چند تفنگی" است، به‌طور ایده‌آل به‌طور ایده‌آل به‌طور ایده‌آل، کارت‌ها فقط باید یک بار کار شوند، تا زمان به هم زدن کوتاه بماند.

کارت‌های یک شلف‌گیر به‌سرعت به‌صورت شبه‌تصادفی، یکی یکی، روی یکی از N قفسه‌های فلزی داخل دستگاه پخش می‌شوند (نام آن از این جاست)، و هر بار که کارتی به یک قفسه اضافه می‌شود، یا به داخل قفسه می‌رود. پایین، یا در بالای کارت های قبلی افتاده است. (ما فرض می کنیم که تلاش برای قرار دادن کارت بین دو کارت تصادفی که قبلاً در پشته قرار دارند، هم کندتر و هم مستعد آسیب زدن به کارت ها خواهد بود.)

پس از اینکه همه کارت‌ها به یک قفسه اختصاص داده شدند، به طوری که هر قفسه حدود 1/Nth کارت‌ها را روی خود داشته باشد، کارت‌ها به ترتیب شبه تصادفی در یک پشته جمع می‌شوند.

به طور شهودی، با توجه به شبه تصادفی بودن، انتظار دارید که درهم‌آمیزی مجدد اضافی، تصادفی بودن کلی را تا حدی بهبود بخشد…

اما در این مورد، که دستگاه دارای 10 قفسه بود، به طور خاص از محققان پرسیده شد: "آیا یک گذر از دستگاه برای ایجاد تصادفی کافی کافی است؟"

احتمالاً، این شرکت می‌خواست از اجرای دستگاه در چرخه‌های متعدد اجتناب کند تا بازیکنان را راضی نگه دارد و بازی به خوبی جریان داشته باشد، و مهندسانی که دستگاه را طراحی کرده‌اند، در طول آزمایش‌های خود هیچ ناهنجاری آماری قابل استفاده آشکاری را شناسایی نکرده‌اند.

اما شرکت می خواست مطمئن شود که آن را تست های خود را گذرانده بود، صرفاً به این دلیل که آزمایش ها برای دستگاه مناسب بود، که به آنها احساس امنیت کاذب می دهد.

در نهایت، محققان نه تنها دریافتند که تصادفی بودن نسبتاً ضعیف است، بلکه می‌توانند دقیقاً میزان ضعیف بودن آن را کمی کنند و بنابراین آزمایش‌های جایگزینی را ابداع کنند که به طور قانع‌کننده‌ای عدم تصادفی بودن را آشکار می‌کند.

به طور خاص، آنها نشان دادند که تنها با یک پاس از دستگاه، تعداد زیادی توالی کوتاه از کارت‌ها در خروجی به هم ریخته باقی می‌ماند که می‌توانستند به طور قابل اعتمادی بین 9 تا 10 کارت را پیش‌بینی کنند، زمانی که یک بسته 52 کارتی به هم ریخته پس از آن پخش شد.

همانطور که محققان نوشتند:

با استفاده از تئوری خود، توانستیم نشان دهیم که یک بازیکن آگاه می‌تواند 9 و نیم کارت را در یک مرحله از عرشه 52 کارتی به درستی حدس بزند. برای یک عرشه که به خوبی در هم ریخته شده است، استراتژی بهینه حدود 4 کارت و نیم درست است. این داده ها شرکت را متقاعد کرد. این نظریه همچنین یک درمان مفید را پیشنهاد کرد.

[...]

رئیس شرکت پاسخ داد: "ما از نتیجه گیری شما راضی نیستیم، اما آنها را باور داریم و این همان چیزی است که شما را برای آن استخدام کردیم." ما یک جایگزین ساده پیشنهاد کردیم: دوبار از دستگاه استفاده کنید. این باعث می‌شود که یک ماشین شلف معادل یک ماشین 200 قفسه‌ای ایجاد شود. تجزیه و تحلیل ریاضی ما و آزمایش‌های بیشتر، که در اینجا گزارش نشده‌اند، نشان می‌دهند که این به اندازه کافی تصادفی است.

چه کاری انجام دهید؟

این داستان حاوی چندین "لحظه قابل آموزش" است و شما عاقلانه خواهید بود که از آنها یاد بگیرید، چه برنامه نویس یا مدیر محصول باشید که به طور خاص با افراد تصادفی مبارزه می کنید، یا یک متخصص SecOps/DevOps/IT/امنیت سایبری که در تضمین امنیت سایبری درگیر است. عمومی:

• قبولی در آزمون های خود کافی نیست. رد شدن در آزمون‌های خود قطعاً بد است، اما به راحتی می‌توانید با آزمون‌هایی روبه‌رو شوید که انتظار دارید الگوریتم، محصول یا خدمات شما موفق شود، به‌خصوص اگر اصلاحات یا «رفع اشکالات» شما بر اساس این که آیا شما را از آزمون‌ها عبور می‌دهند یا خیر سنجیده شود. گاهی اوقات، شما به نظر دوم نیاز دارید و سپس از یک منبع عینی و مستقل می آید. این بررسی اجمالی مستقل می تواند از سوی یک تیم آمارگیر ریاضی از کالیفرنیا باشد، مانند اینجا. از یک "تیم قرمز" خارجی از تسترهای نفوذ؛ یا از یک خدمه MDR (تشخیص و پاسخ مدیریت شده) که چشم و گوش خود را به وضعیت امنیت سایبری شما می آورند.
• گوش دادن به اخبار بد مهم است. رئیس شرکت ماشین آلات هم زدن در این مورد زمانی که اعتراف کرد که از نتیجه ناراضی است، کاملاً پاسخ داد، اما برای کشف حقیقت پول پرداخت کرده است، نه صرفاً برای شنیدن آنچه امیدوار است.
• رمزنگاری به طور خاص، و امنیت سایبری به طور کلی، سخت است. کمک خواستن اعتراف به شکست نیست، بلکه شناخت آنچه برای موفقیت لازم است است.
• تصادفی بودن آنقدر مهم است که به شانس سپرده شود. اندازه گیری اختلال کار آسانی نیست (مقاله را بخوانید برای درک دلیل)، اما می توان و باید انجام شود.

---

زمان یا تخصص کم برای مراقبت از پاسخ به تهدیدات امنیت سایبری؟ آیا نگران این هستید که امنیت سایبری در نهایت شما را از تمام کارهای دیگری که باید انجام دهید منحرف کند؟

اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7  ▶

---