심각한 보안: 블랙잭에서 집을 이길 수는 없습니다. 아니면 할 수 있습니까?

Cryptoguru Bruce Schneier(어디서 암호화는 방법 암호 법, 다른 것은 아닙니다!) 방금 그의 블로그에 다음과 같은 흥미로운 메모를 게시했습니다. 자동 카드 셔플의 무작위성에 관하여.

네바다주에 적어도 한 곳은 카지노에 가본 적이 있다면 블랙잭 테이블이 거래에서 다음과 같이 알려진 고객과 기회를 잡지 않는다는 것을 알게 될 것입니다. 카드 카운터.

이 용어는 손에서 지금까지 플레이한 카드를 면밀히 추적할 수 있을 정도로 기억을 훈련시킨 플레이어를 지칭하는 데 사용되며, 이는 플레이로서 스탠드 또는 히트를 예측할 때 하우스보다 이론적 이점을 제공합니다. 진행합니다.

카드 카운터는 딜러의 신발에 남아 있는 10장이 아닌 카드에 대한 10장의 카드(Ten, Jack, Queen, King)의 비율을 추적하는 것만으로도 이점을 얻을 수 있습니다.

예를 들어, 딜러가 에이스와 함께 앉아 있지만 평균 이상의 10가치 카드가 이미 소진된 경우 딜러는 평균 이하의 블랙잭 기회를 갖게 됩니다(21장의 카드로 10포인트, 즉 에이스와 17-JQK 중 하나)와 한 번에 승리하고 XNUMX 이상의 정지 지점에 도달하기 전에 파산 할 평균 이상의 확률.

실시간으로 확률의 균형을 맞출 수 있다면 그에 따라 베팅을 수정하고 장기적으로 앞서 나갈 수 있습니다.

적어도 네바다에서는 실제로 이것을 시도하지 마십시오. 당신의 플레이 패턴은 카드를 세지 않을 경우 이용 가능한 가장 정보에 입각한 승리 선택과 현저하게 다르기 때문에 카지노는 당신을 꽤 빨리 잡을 것입니다. 법정에 서지 못할 수도 있지만 거의 확실하게 구내에서 호송을 받고 다시는 들어오지 못하게 될 것입니다.

확률 평준화

카드 카운터가 즐기는 확률의 균형을 줄이기 위해(적어도 아직 잡히지 않은 사람) 카지노는 일반적으로 다음을 수행합니다.

• 52장의 카드로 구성된 XNUMX개의 팩(덱)이 들어 있는 신발에서 핸드를 처리합니다. 이것은 각 핸드가 나눠졌을 때 단일 팩이 사용된 경우보다 카드의 나머지 분배를 덜 왜곡한다는 것을 의미합니다.
• 매 핸드 전에 312장의 카드(XNUMX팩)의 전체 신발을 섞습니다. 시간을 절약하고 딜러의 의심을 없애기 위해 의사 난수 전자 기계가 모든 플레이어 앞에서 테이블 바로 위의 카드를 섞습니다.

이것은 즉시 Schneier가 제기한 질문을 제기합니다. 카드가 기계에서 나올 때 카드가 얼마나 잘 섞였습니까?

특히, 예측 가능한 순서로 도착하는 XNUMX개의 새로운 카드 팩(예: Ace에서 King of Hearts, Ace에서 King of Clubs, King에서 Ace of Diamonds, King에서 Ace of Spades)에 따라 부분 순서가 얼마나 남았는지 알 수 있습니다. 기계가 일을 했습니까?

당신은 우연이 제안하는 것보다 더 나은 신발에서 다음 카드를 "추측"할 수 있습니까?

완전 전자식 랜더마이저는 주로 사용하는 CPU의 속도에 의해 복잡성이 제한되며 일반적으로 초당 수억 또는 수십억 개의 산술 연산으로 측정됩니다.

그러나 전자 기계식 카드 셔플러는 말 그대로 실제 생활에서 카드를 움직여야 합니다.

메커니즘의 속도가 카드를 손상시키기 시작하기 전에 팩 분할, 카드 스왑 및 인터리빙 작업을 얼마나 빨리 수행할 수 있는지에는 분명히 한계가 있습니다. 의사 난수) 기계는 다음 핸드를 플레이할 시간이 되기 전에 소개할 수 있습니다.

너무 짧은 시간 동안 섞고 처음부터 카드 분배에 알려진 편향이 있는 경우 카지노는 실제로 카드 카운터를 더 쉽게 만들 수 있습니다.

너무 오래 셔플하면 플레이가 너무 느려서 플레이어가 지루하고 방황하게 될 것입니다. 카지노는 필사적으로 피하려고 합니다.

Schneier의 블로그 게시물 링크 매혹적인 조각 스탠포드 대학의 수학자이자 마술사인 Persi Diaconis가 Jason Fulman 및 Susan Holmes와 함께 금세기 초에 바로 이 문제에 대해 공식 조사를 수행한 방법을 설명하는 BBC에서 다음과 같은 제목의 논문을 작성했습니다. 카지노 선반 셔플링 기계 분석.

복잡성 수준

분명히, 단순히 카드를 많이 섞지 않는 몇 가지 섞기 기술이 있습니다. 절단 팩을 두 부분으로 나누고 하단 부분을 상단으로 이동합니다.

다른 기술은 더 나은 믹싱을 가져옵니다. 예를 들어 리플 셔플, 팩을 대략 반으로 나누고, 각 손에 반쪽을 잡고, 두 개의 반쪽을 함께 "뒤집어서", 한 쪽에서 몇 장의 카드를 가져오고 다른 쪽에서 몇 장의 카드를 가져오는 것을 번갈아 가며 의사 무작위 방식으로 끼워 넣습니다. .

아이디어는 팩을 여러 번 섞는 경우 각 리플 전에 팩을 나눌 때마다 의사 무작위 절단 시퀀스를 수행하고 N-from-the- 왼쪽에서 M에서 오른쪽 프로세스.

그러나 흥미롭게도 숙련된 인간 셔플러가 관련된 경우 이러한 예측 불가능성에 대한 가정 중 어느 것도 안전하지 않습니다.

능숙한 마술사와 비뚤어진 딜러(Diaconis 자신은 전자이지만 후자는 아님)는 다음과 같은 작업을 수행할 수 있습니다. 파로 셔플및 완벽한 셔플, 그들은 무리를 소탕할 때마다 다음 두 가지를 모두 수행합니다.

• 카드를 정확히 둘로 나누고, 따라서 각 손에 정확히 26장의 카드를 가져옵니다.
• 그것들을 완벽하게 인터리브하고, 매번 한 번에 정확히 한 장의 카드를 각 손에서 번갈아 가며 뒤집습니다.

Diaconis 자신은 완벽한 셔플을 할 수 있으며(한 손으로 가방의 양쪽을 모두 잡을 수 있는 드문 기술을 포함하여!) BBC에 따르면:

[그는] 새로운 카드 덱을 가져오고 한쪽 면에 두꺼운 검은색 마커에 RANDOM이라는 단어를 써서 완벽한 셔플을 보여주기를 좋아합니다. 그가 카드를 능숙하게 다루면서 글자가 뒤섞이고 이따금씩 유령 같은 형태로 나타나며 마치 오래된 TV의 불완전하게 조정된 이미지처럼 보입니다. 그런 다음, 그가 여덟 번째이자 마지막 셔플을 수행한 후, 그 단어는 덱 측면에서 재구체화됩니다. 카드는 스페이드의 에이스에서 하트의 에이스까지 정확한 원래 순서대로 있습니다.

완벽함의 두 가지 유형

사실, 두 종류의 완벽한 셔플이 있습니다. 카드를 두 개의 26장 카드 더미로 자른 후 어떤 핸드에서 리플링을 시작하는지에 따라 다릅니다.

카드를 삽입하여 1-27-2-28-3-29-…-25-51-26-52 순서로 끝낼 수 있습니다. 아래로 뒤집은 첫 번째 카드가 들고 있는 손에서 나오는 경우 그는 팩의 하단 절반.

그러나 뒤집은 첫 번째 카드가 이전에 팩의 상단 절반이었던 것의 하단 카드인 경우 27-1-28-2-29-3-…-51-25-52-26이 되므로 중간에 막 지난 카드가 나중에 맨 위에 옵니다.

전자의 유형은 아웃 셔플, 그리고 여기에서 볼 수 있는 것처럼 52번 반복할 때마다 팩을 재정렬합니다(이미지에는 XNUMX개의 픽셀 라인이 있으며 각 라인은 마커 펜으로 RANDOM이라는 단어가 쓰여진 한 카드의 가장자리에 해당함).

후자의 유형은 셔플, 그리고 이것은 놀랍게도 반복되기 전에 52번의 재셔플이 필요합니다. 하지만 여기서 팩이 실제로 진정한 임의성을 보여주지 않는다는 것을 분명히 알 수 있지만, 중간에 완벽한 반전을 거치기도 합니다.

수학자들은 뭐라고 했습니까?

그래서 2013년에 Diaconis el al. 제조업체의 초청으로 선반 셔플 기계를 연구했는데 무엇을 찾았습니까?

논문에서 설명하듯이, 선반 셔플은 무작위로 자동화된 "다중 절단 다중 리플 셔플"을 고안하기 위한 전자기계적 시도이며, 이상적으로는 카드를 한 번만 처리하면 셔플 시간을 단축할 수 있습니다.

선반 셔플에 있는 카드는 한 번에 하나씩 의사 무작위로 장치 내부의 N 금속 선반(이름이 유래됨) 중 하나로 빠르게 "분류"되며 카드가 선반에 추가될 때마다 하단 또는 이전 카드의 상단에 떨어뜨립니다. (이미 스택에 있는 두 개의 무작위 카드 사이에 카드를 찔러넣는 것은 느리고 카드를 손상시키기 쉽다고 가정합니다.)

모든 카드가 선반에 할당되어 각 선반에 카드의 약 1/N이 포함된 후 카드는 의사 무작위 순서로 단일 더미로 재조립됩니다.

직관적으로 포함된 의사 난수를 감안할 때 추가로 다시 섞으면 전체 임의성이 어느 정도 향상될 것으로 예상할 수 있습니다.

...하지만 이 기계에 선반이 10개 있는 경우 연구원들은 구체적으로 다음과 같이 질문했습니다. "기계를 한 번 통과하면 적절한 무작위성을 생성하기에 충분합니까?"

아마도 회사는 플레이어를 행복하게 하고 게임을 원활하게 진행하기 위해 여러 사이클을 통해 기계를 실행하는 것을 피하고 싶었고 장치를 설계한 엔지니어는 자체 테스트 중에 명백하게 노출 가능한 통계적 이상을 감지하지 못했습니다.

하지만 회사는 다음을 확인하고 싶었습니다. 테스트가 기계에 적합했기 때문에 자체 테스트를 통과하지 못했습니다., 그것은 그들에게 잘못된 보안 감각을 줄 것입니다.

궁극적으로 연구자들은 무작위성이 다소 불량하다는 것을 발견했을 뿐만 아니라, 그것이 얼마나 불량한지를 정확히 정량화할 수 있었고, 따라서 무작위성의 부족을 설득력 있게 드러내는 대안적 테스트를 고안할 수 있었습니다.

특히, 그들은 장치를 한 번만 통과해도 섞인 출력에 충분히 많은 짧은 카드 시퀀스를 남겼기 때문에 나중에 섞인 9장의 카드 팩이 배포될 때 평균적으로 10~52장의 카드를 안정적으로 예측할 수 있음을 보여주었습니다.

연구원들은 다음과 같이 썼습니다.

우리의 이론을 사용하여, 우리는 지식이 풍부한 플레이어가 9장의 카드 덱을 통해 한 번의 실행으로 약 52장의 카드를 정확하게 추측할 수 있음을 보여줄 수 있었습니다. 잘 섞인 덱의 경우 최적의 전략은 약 4장의 카드가 맞습니다. 이 데이터는 회사를 설득했습니다. 이론은 또한 유용한 치료법을 제안했습니다.

[...]

회사 사장은 "우리는 당신의 결론에 만족하지 않지만 우리는 그것을 믿고 그것이 우리가 당신을 고용한 이유입니다."라고 대답했습니다. 우리는 간단한 대안을 제안했습니다. 기계를 두 번 사용하는 것입니다. 결과적으로 200개 선반 머신에 해당하는 셔플이 생성됩니다. 여기에 보고되지 않은 우리의 수학적 분석과 추가 테스트는 이것이 충분히 무작위임을 보여줍니다.

무엇을해야 하는가?

이 이야기에는 몇 가지 "가르칠 수 있는 순간"이 포함되어 있으며, 프로그래머 또는 제품 관리자가 특히 무작위성과 씨름하고 있든, 아니면 사이버 보안 보증에 관여하는 SecOps/DevOps/IT/사이버 보안 전문가이든 관계없이 그로부터 배우는 것이 현명할 것입니다. 일반:

• 자신의 테스트를 통과하는 것만으로는 충분하지 않습니다. 자체 테스트에 실패하는 것은 확실히 나쁜 일이지만 알고리즘, 제품 또는 서비스가 통과할 것으로 예상하는 테스트로 끝나기 쉽습니다. 특히 수정 또는 "버그 수정"이 테스트를 통과했는지 여부로 측정되는 경우에 그렇습니다. 때로는 객관적이고 독립적인 출처에서 나온 두 번째 의견이 필요합니다. 그 독립적인 개요는 여기에서와 같이 캘리포니아의 수학적 통계학자로 구성된 균열 팀에서 나올 수 있습니다. 침투 테스터의 외부 "레드 팀"에서; 또는 귀하의 사이버 보안 상황에 눈과 귀를 기울이는 MDR(관리형 탐지 및 대응) 직원이 있습니다.
• 나쁜 소식을 듣는 것은 중요합니다. 이 경우 섞는 기계 회사의 사장은 결과가 마음에 들지 않지만 단순히 자신이 바라는 것을 듣기 위해서가 아니라 진실을 밝히기 위해 돈을 지불했다고 인정하자 완벽하게 대답했습니다.
• 특히 암호화와 일반적인 사이버 보안은 어렵습니다. 도움을 요청하는 것은 실패를 인정하는 것이 아니라 성공하기 위해 필요한 것을 인정하는 것입니다.
• 무작위성은 우연에 맡기기에는 너무 중요합니다. 장애를 측정하는 것은 쉽지 않다(신문을 읽다 이유를 이해하기 위해), 하지만 그렇게 할 수 있고 해야 합니다.

---

사이버 보안 위협 대응을 처리할 시간이나 전문 지식이 부족하십니까? 사이버 보안으로 인해 수행해야 하는 다른 모든 작업에서 주의가 산만해지지 않을까 걱정되십니까?

전단지에 포함된 링크에 대해 더 알아보기 Sophos 관리형 탐지 및 대응:
연중무휴 24시간 위협 사냥, 탐지 및 대응  ▶

---