गंभीर सुरक्षा: आप लाठी में घर को हरा नहीं सकते - या आप कर सकते हैं?

क्रिप्टोगुरु ब्रूस श्नेयर (जहां क्रिप्टो साधन क्रिप्टोग्राफी, दूसरी बात नहीं!) बस अपने ब्लॉग पर एक दिलचस्प नोट प्रकाशित किया जिसका शीर्षक है स्वचालित कार्ड शफलर की यादृच्छिकता पर.

यदि आप कभी नेवादा में कम से कम एक कैसीनो में गए हैं, तो आपको पता चलेगा कि ब्लैकजैक टेबल व्यापार में जाने वाले ग्राहकों के साथ मौका नहीं लेते हैं कार्ड काउंटर.

उस शब्द का प्रयोग उन खिलाड़ियों को संदर्भित करने के लिए किया जाता है जिन्होंने अपनी यादों को इस हद तक प्रशिक्षित किया है कि वे एक हाथ में अब तक खेले गए कार्डों का नज़दीकी ट्रैक रख सकते हैं, जो उन्हें भविष्यवाणी करते समय घर पर सैद्धांतिक लाभ देता है कि क्या खड़े होना है या खेल के रूप में हिट करना है प्रगति करता है।

कार्ड काउंटर एक लाभ प्राप्त कर सकते हैं, भले ही वे केवल 10-कार्ड (टेन, जैक, क्वीन और किंग) के अनुपात को डीलर के जूते में छोड़े गए गैर -10 के अनुपात का ट्रैक रखते हैं।

उदाहरण के लिए, यदि डीलर एक ऐस के साथ बैठा है, लेकिन 10-मूल्य वाले कार्डों की औसत-औसत संख्या का पहले ही उपयोग किया जा चुका है, तो डीलर के पास लाठी (दो कार्डों के साथ 21 अंक, यानी 10 अंक) बनाने की औसत से कम संभावना है ऐस और 17-JQK में से एक) और एक बार में जीत, और XNUMX और उससे अधिक के स्टॉपिंग पॉइंट तक पहुंचने से पहले बस्ट जाने का एक औसत-औसत मौका।

यदि आप वास्तविक समय में अपने दिमाग में संभावनाओं को संतुलित कर सकते हैं, तो आप अपने दांव को तदनुसार संशोधित करने में सक्षम हो सकते हैं और लंबे समय में आगे निकल सकते हैं।

कम से कम नेवादा में वास्तव में यह कोशिश न करें: कैसीनो आपको बहुत जल्दी पकड़ने की संभावना है, क्योंकि आपके खेलने का पैटर्न उपलब्ध सबसे अधिक सूचित जीतने वाले विकल्पों से अलग हो जाएगा यदि आप कार्ड की गिनती नहीं कर रहे हैं। हो सकता है कि आप अदालत में न पहुंचें, लेकिन आप लगभग निश्चित रूप से परिसर से बाहर निकल जाएंगे, और फिर कभी वापस नहीं आएंगे।

बाधाओं को समतल करना

कार्ड काउंटरों का आनंद लेने की संभावनाओं के असंतुलन को कम करने के लिए (जो अभी तक पकड़े नहीं गए हैं, कम से कम), कैसीनो आमतौर पर:

• 52 कार्डों के सिक्स पैक्स (डेक) से लदे एक जूते से हाथों का सौदा करें। इसका मतलब यह है कि प्रत्येक हाथ से निपटा गया कार्ड के शेष वितरण को कम करता है यदि एक पैक का उपयोग किया जाता है।
• हर हाथ से पहले 312 कार्ड (छह पैक) के पूरे जूते को फेरबदल करें। समय बचाने के लिए और डीलर से संदेह को दूर करने के लिए, एक छद्म यादृच्छिक इलेक्ट्रोमैकेनिकल मशीन सभी खिलाड़ियों के सामने, टेबल पर कार्डों को फेर देती है।

यह तुरंत श्नीयर द्वारा उठाए गए प्रश्न को उठाता है: मशीन से निकलने पर कार्ड कितनी अच्छी तरह से घुमाए जाते हैं?

विशेष रूप से, कार्ड के छह नए पैक के साथ, जो एक पूर्वानुमेय क्रम में आते हैं (जैसे ऐस टू किंग ऑफ़ हार्ट्स, ऐस टू किंग ऑफ़ क्लब्स, किंग टू ऐस ऑफ़ डायमंड्स, किंग टू ऐस ऑफ़ स्पेड्स), कितना आंशिक ऑर्डरिंग के बाद बचा है मशीन ने अपना काम कर लिया है?

क्या आप अगले कार्ड का "अनुमान" कर सकते हैं जो मौके से बेहतर है?

एक पूरी तरह से इलेक्ट्रॉनिक रैंडमाइज़र इसकी जटिलता में मुख्य रूप से सीपीयू की गति से सीमित होता है, जिसे आमतौर पर सैकड़ों मिलियन या अरबों अंकगणितीय संचालन में एक सेकंड में मापा जाता है।

लेकिन एक इलेक्ट्रोमैकेनिकल कार्ड शफलर को सचमुच वास्तविक जीवन में कार्डों को इधर-उधर करना पड़ता है।

स्पष्ट रूप से एक सीमा है कि यह कितनी जल्दी पैक विभाजन, कार्ड स्वैप और इंटरलीविंग ऑपरेशन कर सकता है इससे पहले कि तंत्र की गति कार्ड को नुकसान पहुंचाए, जिसका अर्थ है कि कितनी यादृच्छिकता (या, अधिक सटीक, की एक सीमा है) छद्म यादृच्छिकता) मशीन अगले हाथ खेलने के समय से पहले पेश कर सकती है।

बहुत कम समय के लिए फेरबदल करें, और कैसीनो वास्तव में कार्ड काउंटरों के लिए चीजों को आसान बना सकता है, अगर शुरुआत से ही कार्ड के वितरण में एक ज्ञात पूर्वाग्रह है।

बहुत लंबे समय तक फेरबदल करें, और खेल बहुत धीमा होगा, जिससे खिलाड़ी ऊब जाएंगे और भटक जाएंगे, कुछ ऐसा जो कैसीनो से बचने की सख्त कोशिश करता है।

श्नीयर का ब्लॉग पोस्ट a . से लिंक करता है आकर्षक टुकड़ा बीबीसी द्वारा जो वर्णन करता है कि कैसे स्टैनफोर्ड विश्वविद्यालय के एक गणितज्ञ/जादूगर ने जेसन फुलमैन और सुसान होम्स के साथ मिलकर इस सदी की शुरुआत में इस मुद्दे की औपचारिक जांच की, जिसका शीर्षक था: कैसीनो शेल्फ फेरबदल मशीनों का विश्लेषण.

जटिलता के स्तर

स्पष्ट रूप से, कुछ फेरबदल तकनीकें हैं जो कार्डों को बिल्कुल भी नहीं मिलाती हैं, जैसे कि सरल कटाई पैक को दो भागों में बांटें और नीचे के हिस्से को ऊपर की ओर ले जाएं।

अन्य तकनीकों का परिणाम बेहतर मिश्रण के लिए (या ऐसा लगता है जैसे उन्हें परिणाम देना चाहिए), उदाहरण के लिए राइफल फेरबदल, जहां आप पैक को मोटे तौर पर आधे में विभाजित करते हैं, प्रत्येक हाथ में एक आधा पकड़ते हैं, और दो हिस्सों को एक साथ "फ्लिप" करते हैं, उन्हें एक छद्म यादृच्छिक तरीके से इंटरलीव करते हैं जो एक तरफ से कुछ कार्ड लेने के बीच वैकल्पिक होता है, फिर दूसरे से कुछ कार्ड .

विचार यह है कि यदि आप पैक को कई बार फेरबदल करते हैं, तो आप हर बार प्रत्येक राइफल से पहले पैक को विभाजित करने के लिए कटौती का एक छद्म यादृच्छिक अनुक्रम करते हैं, एक छद्म यादृच्छिक इंटरलीविंग ऑपरेशन के छद्म यादृच्छिक चर अनुक्रम के साथ मिश्रित होते हैं जिसमें एन-से-द- बाएँ-तब-एम-से-दाएँ प्रक्रिया।

दिलचस्प बात यह है कि जब कुशल मानव शफलर शामिल होते हैं, तो अप्रत्याशितता की कोई भी धारणा सुरक्षित नहीं होती है।

निपुण जादूगर और कुटिल व्यापारी (डायकोनिस स्वयं पूर्व है, लेकिन बाद वाला नहीं) वह प्रदर्शन कर सकता है जिसे जाना जाता है फ़ारो फेरबदलया, सही फेरबदल, जहां वे हर बार पैक को रिफ़ल करते समय निम्नलिखित दोनों चीज़ें करते हैं:

• कार्डों को ठीक दो में विभाजित करें, इस प्रकार प्रत्येक हाथ में ठीक 26 कार्ड प्राप्त करना।
• उन्हें पूरी तरह से इंटरलीव करें, प्रत्येक हाथ से बारी-बारी से एक बार में ठीक एक कार्ड नीचे फ़्लिप करना, हर बार।

डायकोनिस खुद सही फेरबदल कर सकता है (पैक के दोनों हिस्सों को पकड़ने के लिए सिर्फ एक हाथ से ऐसा करने के दुर्लभ कौशल सहित!), और बीबीसी के अनुसार:

[वह] कार्ड का एक नया डेक लेकर और एक तरफ मोटे काले मार्कर में रैंडम शब्द लिखकर सही फेरबदल का प्रदर्शन करना पसंद करता है। जैसे ही वह ताश के पत्तों से अपने हाथ की सफाई करता है, अक्षर मिश्रित हो जाते हैं, कभी-कभी भूतिया रूप में दिखाई देते हैं, जैसे कि एक पुराने टीवी सेट पर एक अपूर्ण रूप से ट्यून की गई छवि। फिर, जब वह आठवां और अंतिम फेरबदल करता है, तो शब्द डेक के किनारे पर फिर से आ जाता है। कार्ड ऐस ऑफ़ स्पेड्स से लेकर ऐस ऑफ़ हार्ट्स तक अपने सटीक मूल क्रम में हैं।

दो प्रकार की पूर्णता

वास्तव में, दो प्रकार के पूर्ण फेरबदल होते हैं, इस पर निर्भर करता है कि आप किस हाथ से दो 26-कार्ड के ढेर में कार्ड काटने के बाद से रिफ़लिंग शुरू करते हैं।

आप कार्डों को इंटरलीव कर सकते हैं ताकि वे क्रम में समाप्त हो जाएं 1-27-2-28-3-29-…-25-51-26-52, यदि आप नीचे की ओर फ्लिप करने वाला पहला कार्ड उस हाथ से आता है जिसमें आप पकड़े हुए हैं वह पैक के नीचे आधा।

लेकिन अगर आप जिस पहले कार्ड को फ्लिप करते हैं, वह पहले के पैक के शीर्ष आधे हिस्से का निचला कार्ड है, तो आप 27-1-28-2-29-3-…-51-25-52-26 के साथ समाप्त होते हैं, इसलिए कार्ड अभी आधे रास्ते के बाद शीर्ष पर समाप्त होता है।

पूर्व प्रकार को an . कहा जाता है बाहर फेरबदल, और हर आठ बार पैक को पुन: व्यवस्थित करता है, जैसा कि आप यहां देख सकते हैं (छवि में पिक्सेल की 52 लाइनें हैं, प्रत्येक पंक्ति एक कार्ड के किनारे से संबंधित है, जिस पर एक मार्कर पेन के साथ रैंडम शब्द लिखा है):

बाद वाला प्रकार an . है इन-फेरबदल, और यह आश्चर्यजनक रूप से, दोहराए जाने से पहले 52 पुन: शफल लेता है, हालांकि आप यहां स्पष्ट रूप से देख सकते हैं कि पैक वास्तव में कोई वास्तविक यादृच्छिकता नहीं दिखाता है, और यहां तक ​​​​कि एक पूर्ण उलट आधे रास्ते से भी गुजरता है:

गणितज्ञों ने क्या कहा?

तो, 2013 में वापस, जब डायकोनिस अल अल। निर्माता के निमंत्रण पर शेल्फ शफलर मशीन का अध्ययन किया, उन्होंने क्या पाया?

जैसा कि पेपर बताता है, एक शेल्फ शफलर एक स्वचालित, यादृच्छिक "मल्टी-कट मल्टी-राइफल शफल" तैयार करने का एक इलेक्ट्रोमेकैनिकल प्रयास है, आदर्श रूप से ताकि कार्ड को केवल एक बार काम करने की आवश्यकता हो, शफल समय कम रखने के लिए।

एक शेल्फ शफलर में कार्ड तेजी से "निपटान" छद्म यादृच्छिक रूप से, एक समय में, डिवाइस के अंदर एन धातु अलमारियों में से एक पर (जहां नाम है), और हर बार एक कार्ड को शेल्फ में जोड़ा जाता है, यह या तो अंदर स्लाइड होता है नीचे, या पिछले कार्ड के शीर्ष पर गिरा दिया। (हम मानते हैं कि स्टैक में पहले से मौजूद दो रैंडम कार्डों के बीच कार्ड को पोक करने की कोशिश धीमी और कार्ड को नुकसान पहुंचाने की संभावना दोनों होगी।)

सभी कार्ड एक शेल्फ को सौंप दिए जाने के बाद, ताकि प्रत्येक शेल्फ में लगभग 1/Nth कार्ड हों, कार्डों को एक छद्म यादृच्छिक क्रम में एक ही ढेर में फिर से जोड़ा जाता है।

सहज रूप से, शामिल छद्म यादृच्छिकता को देखते हुए, आप उम्मीद करेंगे कि अतिरिक्त पुन: फेरबदल से समग्र यादृच्छिकता में सुधार होगा, एक बिंदु तक ...

लेकिन इस मामले में, जहां मशीन में 10 अलमारियां थीं, शोधकर्ताओं से विशेष रूप से पूछा गया था, "क्या मशीन का एक पास पर्याप्त यादृच्छिकता उत्पन्न करने के लिए पर्याप्त होगा?"

संभवतः, कंपनी खिलाड़ियों को खुश रखने और खेल को अच्छी तरह से चलाने के लिए कई चक्रों के माध्यम से मशीन को चलाने से बचना चाहती थी, और जिन इंजीनियरों ने डिवाइस को डिज़ाइन किया था, उन्होंने अपने स्वयं के परीक्षणों के दौरान किसी भी स्पष्ट रूप से प्रदर्शित करने योग्य सांख्यिकीय विसंगतियों का पता नहीं लगाया था।

लेकिन कंपनी यह सुनिश्चित करना चाहती थी कि यह अपने स्वयं के परीक्षणों को केवल इसलिए पास नहीं किया था क्योंकि परीक्षण मशीन के अनुकूल थे, जो उन्हें सुरक्षा की झूठी भावना देगा।

अंततः, शोधकर्ताओं ने न केवल यह पाया कि यादृच्छिकता बल्कि खराब थी, बल्कि यह भी कि वे वास्तव में यह निर्धारित करने में सक्षम थे कि यह कितना खराब था, और इस प्रकार वैकल्पिक परीक्षण तैयार करने के लिए जो कि यादृच्छिकता की कमी को स्पष्ट रूप से प्रकट करते थे।

विशेष रूप से, उन्होंने दिखाया कि डिवाइस के सिर्फ एक पास ने फेरबदल किए गए आउटपुट में कार्ड के कई छोटे अनुक्रम छोड़े हैं, जो कि औसतन 9 और 10 कार्ड के बीच अनुमान लगा सकते हैं जब 52 फेरबदल कार्डों का एक पैक बाद में निपटाया गया था।

जैसा कि शोधकर्ताओं ने लिखा है:

[यू] हमारे सिद्धांत को गाते हुए, हम यह दिखाने में सक्षम थे कि एक जानकार खिलाड़ी 9-कार्ड डेक के माध्यम से एक बार में 52-डेढ़ कार्डों का सही अनुमान लगा सकता है। एक अच्छी तरह से फेरबदल किए गए डेक के लिए, इष्टतम रणनीति में लगभग साढ़े चार कार्ड सही होते हैं। इस डेटा ने कंपनी को आश्वस्त किया। सिद्धांत ने एक उपयोगी उपाय भी सुझाया।

[...]

कंपनी के अध्यक्ष ने जवाब दिया, "हम आपके निष्कर्षों से खुश नहीं हैं, लेकिन हम उन पर विश्वास करते हैं और इसी के लिए हमने आपको काम पर रखा है।" हमने एक सरल विकल्प सुझाया: मशीन का दो बार उपयोग करें। इसके परिणामस्वरूप 200-शेल्फ मशीन के बराबर फेरबदल होता है। हमारे गणितीय विश्लेषण और आगे के परीक्षण, जो यहां रिपोर्ट नहीं किए गए हैं, बताते हैं कि यह पर्याप्त रूप से यादृच्छिक है।

क्या करना है?

इस कहानी में कई "सिखाने योग्य क्षण" शामिल हैं, और आपको उनसे सीखना बुद्धिमानी होगी, चाहे आप प्रोग्रामर हों या उत्पाद प्रबंधक विशेष रूप से स्वयं यादृच्छिकता के साथ कुश्ती कर रहे हों, या एक SecOps/DevOps/IT/साइबर सुरक्षा पेशेवर जो साइबर सुरक्षा आश्वासन में शामिल है सामान्य:

• अपने स्वयं के परीक्षण पास करना पर्याप्त नहीं है। अपने स्वयं के परीक्षणों में विफल होना निश्चित रूप से बुरा है, लेकिन उन परीक्षणों के साथ समाप्त करना आसान है जो आप अपने एल्गोरिदम, उत्पाद या सेवा को पारित करने की उम्मीद करते हैं, खासकर यदि आपके सुधार या "बग फिक्स" को मापा जाता है कि क्या वे आपको परीक्षणों के माध्यम से प्राप्त करते हैं। कभी-कभी, आपको दूसरी राय की आवश्यकता होती है, फिर एक उद्देश्य, स्वतंत्र स्रोत से आती है। वह स्वतंत्र अवलोकन कैलिफ़ोर्निया के गणितीय सांख्यिकीविदों की एक क्रैक टीम से आ सकता है, जैसा कि यहाँ है; पैठ परीक्षकों की बाहरी "लाल टीम" से; या एक एमडीआर (प्रबंधित पहचान और प्रतिक्रिया) दल से जो आपकी साइबर सुरक्षा स्थिति में अपनी आंखें और कान लाते हैं।
• बुरी खबर सुनना महत्वपूर्ण है। इस मामले में फेरबदल मशीन कंपनी के अध्यक्ष ने पूरी तरह से जवाब दिया जब उन्होंने स्वीकार किया कि वे परिणाम से नाखुश थे, लेकिन उन्होंने सच्चाई को उजागर करने के लिए भुगतान किया था, न कि केवल यह सुनने के लिए कि उन्होंने क्या आशा की थी।
• विशेष रूप से क्रिप्टोग्राफी, और सामान्य रूप से साइबर सुरक्षा, कठिन है। मदद मांगना असफलता की स्वीकारोक्ति नहीं है बल्कि सफल होने के लिए जो कुछ भी आवश्यक है उसकी पहचान है।
• यादृच्छिकता को अवसर के भरोसे छोड़ना बहुत महत्वपूर्ण है। विकार को मापना आसान नहीं है (अख़बार पढ़ना समझने के लिए क्यों), लेकिन यह किया जा सकता है और किया जाना चाहिए।

---

साइबर सुरक्षा खतरे की प्रतिक्रिया का ध्यान रखने के लिए कम समय या विशेषज्ञता? चिंतित हैं कि साइबर सुरक्षा आपको अन्य सभी चीजों से विचलित कर देगी जो आपको करने की ज़रूरत है?

इस बारे में अधिक जानें सोफोस प्रबंधित पहचान और प्रतिक्रिया:
24/7 खतरे का शिकार, पता लगाना और प्रतिक्रिया  ▶

---