Datavern for vår pokerprogramvare

Datavern for vår programvare

All kommunikasjon mellom vår klientprogramvare som kjører på klientdatamaskiner og våre servere, er kryptert. Det er viktig å merke seg at kryptering i seg selv strengt tatt ikke er noen garanti for datavern. Et nettsted der f.eks. alle spilleres kort med billedsiden ned, blir sendt til alle, er ikke sikkert uansett kryptering. Derfor har vi lagt ned mye arbeid i å utvikle vårt sikkerhetssystem og våre retningslinjer.

VIKTIG OM SIKKERHET:

Nedlasting av pokerprogramvaren:

Det første punktet der sikkerhet blir en viktig faktor, er når klientprogramvaren lastes ned fra nettstedet til PokerStars. Vi må sikre at klientprogramvaren lastes ned uendret. For å oppfylle dette kravet, har vi lagt følgende funksjoner inn i klientinstalleringen:

  • Installer executable-filen er signert ved hjelp av et RSA 2048 bit kodesigneringssertifikat som ble utstedt til Rational Services Ltd og kan verifiseres med VeriSign, en offentlig sertifiseringsautoritet som kan valideres via nettleseren din.
  • Dette sikrer at klientinstalleringen kom fra utgiveren av programvaren, PokerStars.
  • Det beskytter klientinstallereren fra endring mellom publiseringstidspunktet og senere installasjon på din maskin.

Sikkerhet under spilling:

Vi har en rekke innebygde funksjoner for å ivareta sikkerheten til selve spillet.

  • Vår klientprogramvare bruker sertifikater utstedt av vår egen Certificate Authority (CA) for å verifisere serverne våre.
  • Vår klientprogramvare bruker industristandard TLS-protokoll. Vi bruker en 2048-bit RSA key, som i følge RSA er tilstrekkelig frem til 2030. Vi ser gjennom og oppdaterer våre private servernøkler hver tredje måned, og er sikre innenfor en stor sikkerhetsmargin. Vi støtter følgende sifre: AES128-SHA (128 bits) og DES-CBC3-SHA (168 bits).
  • Ingen private data, slik som kort på hånd, overføres under noen omstendigheter til de andre spillerne (bortsett fra når det er i henhold til spillets regler).
  • All klientinput er validert på serversiden.

AVTALT SPILL

Avtalt spill er en form for juksing der to eller flere spillere gir hverandre hint om hva de har på hånden i et spill, eller på andre måter samarbeider for å ødelegge for de andre spillerne ved bordet.

På den ene siden er det enklere for to som samarbeider om å jukse, å utveksle informasjon online enn i et fysisk & lokale, men det er mye vanskeligere å unngå å bli oppdaget ettersom kortene til alle spillerne blir gransket etter spillet.

Uansett hvor raffinert det avtalte spillet er, så må det innebære at en hånd blir spilt på en måte som den ellers ikke ville blitt spilt uten avtalt spill. Våre granskingsmetoder vil oppfange uvanlige spillemønstre og varsle sikkerhetspersonellet, som så vil foreta en grundig manuell undersøkelse. Vi vil også granske alle spillernes rapporter om mistanke om avtalt spill.

Hvis en spiller blir oppdaget i å delta i noen form for avtalt spill, kan hans eller hennes konto bli oppløst.

STOKKING

"Enhver som mener at matematikk er en metode til å produsere tilfeldige tall, er selvfølgelig i en tilstand av synd." - John von Neumann, 1951

Vi er innforstått med at bruk av en rettferdig og uforutsigbar algoritme for stokking, er svært viktig for programvaren vår. For å sikre dette og unngå større problemer, som er beskrevet i [1], bruker vi to uavhengige kilder til høyst tilfeldige data:

  • nndata fra brukerne, inkludert sammendrag av musebevegelser og tid brukt på turneringer, innhentet fra klientprogramvaren
  • Quantis [2], en ekte maskinvare for tilfeldig talltrekking utviklet av det sveitsiskbaserte selskapet ID Quantique, som bruker kvantumtilfeldighet som entropikilde

Hver enkelt av disse kildene alene genererer nok entropi til å sikre rettferdig og uforutsigbar stokking.

Viktig om stokking:

  • En kortstokk på 52 kort kan stokkes på 52! måter. 52! er omtrent 2^225 (for å være nøyaktig, 80 658 175 170 943 878 571 660 636 856 404 000 000 000 000 000 000 000 000 000 000 000 000 måter). Vi bruker 249 tilfeldige bit fra både entropikilder (inndata fra brukere og kvantumtilfeldighet) for å få en jevn og uforutsigbar statistisk fordeling.
  • Dessuten har vi strenge regler for å sikre nødvendig grad av tilfeldighet. Hvis f.eks. inndata fra brukerne ikke genererer tilstrekkelig entropi, starter vi ikke neste hånd før vi får nok entropi fra Quantis RNG.
  • Vi bruker SHA-1 for å blande entropien som er samlet inn fra begge kilder for ekstra grad av sikkerhet
  • Vi har også en SHA-basert pseudo-tilfeldig tallgenerator for ytterligere sikkerhet og beskyttelse mot dataangrep fra brukere
  • For å gjøre om en tilfeldig bitstrøm til tilfeldige tall innenfor et nødvendig spekter uten at det blir skjevt fordelt, bruker vi en sikker og pålitelig algoritme. Vi trenger f.eks. et tilfeldig tall mellom 0-25:
    • vi tar 5 tilfeldige bit og gjør dem om til et tilfeldig tall mellom 0-31
    • hvis dette tallet er større enn 25, kaster vi alle 5 bitene og gjentar prosessen
  • Denne metoden er ikke påvirket av skjevheter relatert til en modulær fremgangsmåte for å trekke ut tilfeldige tall som ikke er 2n, n = 1, 2 …
  • For å stokke kortene, bruker vi en annen enkel og pålitelig algoritme:
    • først trekker vi et tilfeldig kort fra den opprinnelige kortstokken (1 av 52), og legger det i en ny kortstokk – nå er det 51 kort i den opprinnelige kortstokken, og ett i den nye kortstokken
    • deretter trekker vi et annet tilfeldig kort fra den opprinnelige kortstokken (1 av 51), og legger det øverst i den nye kortstokken – nå er det 50 kort i den opprinnelige kortstokken, og to i den nye kortstokken
    • vi gjentar prosessen helt til alle kortene er flyttet fra den opprinnelige kortstokken til den nye
  • Denne algoritmen gir ikke "dårlig stokking", som er beskrevet i [1]

PokerStars' stokking

PokerStars sendte omfattende informasjon om PokerStars' tilfeldige tallgenerator (RNG) til en uavhengig organisasjon. Vi ba denne betrodde kilden om å foreta en grundig analyse av hvor tilfeldig utfallet ble ved talltrekking med RNG, i tillegg til en analyse av gjennomføringen av kortstokkingen på PokerStars.

De fikk full tilgang til kildekodene, og kunne bekrefte at stokkingen var både tilfeldig og sikker. Gå til Tilfeldig tallgenerator online-siden for mer informasjon.

[1] "How We Learned to Cheat at Online Poker: A Study in Software Security http://www.datamation.com/entdev/article.php/616221/How-We-Learned-to-Cheat-at-Online-Poker-A-Study-in-Software-Security.htm

[2] http://www.idquantique.com/products/quantis.htm