Конфиденциальность данных в нашей клиентской программе

"Когда речь идет о высоких ставках, есть смысл приложить все силы для обеспечения надлежащего уровня конфиденциальности и безопасности программного обеспечения.". - Мэт Шмид, Ситигал, Корп.

Все данные, которыми обменивается клиентская программа, установленной на компьютере клиента, и сервер, зашифрованы. Однако важно понимать, что шифрование само по себе не гарантирует конфиденциальности. К примеру, сайт, где сведения о карманных картах всех игроков передаются всем остальным играм, нельзя назвать безопасным, несмотря на использование шифрования. Вот почему мы вложили массу усилий и потратили много времени на разработку политики и системы безопасности.

Основные меры обеспечения безопасности:

Загрузка клиентской программы.

Первым пунктом, где безопасность становится важным фактором, является загрузка клиентского программного обеспечения с сайта PokerStars. Мы должны гарантировать, что загруженное клиентское программное обеспечение не было изменено злоумышленниками. Для этого в процессе загрузки предусмотрены следующие меры.

• При использовании Internet Explorer достоверность загруженного файла проверяется веб-обозревателем с помощью нашего ключа и сертификата Thawte
• При использовании других веб-обозревателей применяется 1024-разрядный ключ RSA и сертификат сервера Thawte для защиты загрузки с нашего веб-сервера HTTPS&

Обеспечение безопасности во время игры.

Безопасность игры обеспечивается с помощью нескольких встроенных функций клиентской программы.

• Наше клиентское программное обеспечение использует сертификаты, выданные нашим собственным центром сертификации, для проверки подлинности наших серверов.
• Ключ наших сертификатов имеют длину 1024 бит.
• Наше клиентское программное обеспечение использует протокол SSLv3, соответствующий всем стандартам отрасли. Он использует алгоритм RSA для проверки подлинности и генерации ключа, а также алгоритм Triple DES (EDE3, во внешнем CBC режиме) для шифрования данных. В настоящее время мы используем 512-разрядный ключ RSA, которого, согласно [1], достаточно для хранения данных в секрете в течение коротких и средних сроков (до нескольких лет). Смена ключей раз в три месяца обеспечивает нам высокий запас надежности. А использование алгоритма Triple DES EDE3 для шифрования сеансов считается даже безопаснее
• Никакие персональные данные, например карманные карты, не передаются другим игрокам

СГОВОР

Сговором является форма мошенничества, в котором двое или более игроков каким-либо образом сообщают друг другу свои комбинации или другим способом организуют обманное сообщество для нанесения ущерба другим игрокам этого же стола.

С одной стороны, при игре по Интернету сговорившимися игроками легче обмениваться информацией, чем в обычных карточных залах, однако намного сложнее избежать выявления сговора, поскольку карты всех игроков могут быть проверены после игры.

Не имеет значения, насколько изощренным является сговор, он должен включать в себя розыгрыш руки, которая при отсутствии сговора была бы сыграна по-другому. Наши способы обнаружения направлены на выявление необычных ходов и приемов и предупреждение персонала службы безопасности, которая проводит полное расследование. Мы так же просматриваем все сообщения игроков, подозреваемых в сговоре.

Если обнаружится участие какого-либо игрока в сговоре любого вида, его учетная запись будет заблокирована навсегда.

ТАСОВАНИЕ КАРТ

"Всякий, кто знает арифметические методы генерации случайных чисел, без сомнения, нарушает правила." - Джон фон Ньюманн, 1951

Мы понимаем, что использование алгоритма честного и непредсказуемого перетасовывания крайне необходимо в нашем программном обеспечении. Для этого и во избежание проблем, описанных в источнике [2], мы используем два независимых источника действительно случайных данных:

• данные, получаемые от пользователей, включая данные о передвижениях мыши и времени выполнения различных действий, которые передаются нам клиентскими программами
• Quantis [3] - настоящий аппаратный генератор случайных чисел, разработанный швейцарской компанией ID Quantique, который использует в качестве случайной составляющей квантовую случайность.

Каждый из этих источников сам по себе генерирует достаточную случайность, что гарантирует честность и непредсказуемость перетасовывания.

Основные сведения о перетасовывании.

• Существует 52! (факториал 52) результата перетасовки колоды из 52 карт. 52! это примерно 2 в степени 225 (а если быть более точным, то 80 658 175 170 943 878 571 660 636 856 404 000 000 000 000 000 000 000 000 000 000 000 000). Мы используем 249 случайных бит каждого из источников случайности (данные, получаемые от пользователей, и квантовая случайность) для получения равномерного и случайного статистического распределения.
• Более того, мы применяем устойчивые правила обеспечения необходимой степени случайности. К примеру, если данные, получаемые от пользователей, не обеспечивают необходимую степень случайности, мы не начинаем следующую руку до тех пор, пока не получим необходимую степень случайности от генератора случайных чисел Quantis.
• Мы используем алгоритм шифрования данных SHA-1 для объединения случайных величин, полученных от обоих источников, для обеспечения дополнительной безопасности.
• Мы так же используем генератор псевдо-случайных чисел на базе алгоритма SHA-1 для обеспечения еще большей защиты от атак на данные пользователя
• Для преобразования потока случайных бит в случайные числа из заданного промежутка и без отклонений мы используем простой и надежный алгоритм. К примеру, если нам нужно случайное число из промежутка от 0 до 25, то:
  • берем 5 случайных бит и преобразуем их в случайное число от 0 до 31
  • если это число больше 25, берем другие 5 бит и повторяем процесс
• Данный метод не подвержен влиянию отклонений, связанных с действиями по модулю, предназначенных для генерации случайных чисел, которые нельзя представить в форме 2n, где n = 1,2,..
• Длявыполнения фактической перетасовки мы используем другой простой и надежный алгоритм:
  • сперва мы вытягиваем случайную карту из исходной колоды (1 из 52) и помещаем ее в новую колоду - теперь исходная колода содержит 51 карту, а новая колода содержит 1 карту
  • затем мы вытягиваем вторую случайную карту из исходной колоды (1 из 51) и помещаем ее наверх новой колоды - теперь исходная колода содержит 50 карт, а новая колода содержит 2 карты
  • мы повторяем данный процесс до тех пор, пока все карты из оригинальной колоды не переместятся в новую колоду
• С этим алгоритмом не возникает проблема "Неверного распределения перетасованной колоды", которая описана в [2]

Алгоритмы перетасовывания PokerStars проверены компаниями Сigital

PokerStars предоставил подробную информацию о генераторе случайных чисел PokerStars (ГСЧ) организации Cigital. Мы попросили эту заслуживающую доверия компанию произвести всесторонний анализ случайности на выходе ГСЧ и ее реализации в перетасовывании карт на PokerStars.

Компания Cigital, которой был предоставлен полный допуск к ресурсу, подтвердила достаточность степени случайности и надежность нашего перетасовывания. Дополнительные сведения можно найти на странице Генератор случайных чисел .

Игры, в которым можно сыграть с помощью клиентской программы PokerStars

Доступны следующие разновидности покера и турниры по этим разновидностям.

• Техасский Холдем
• Омаха Хай Лоу
• Омаха Хай
• Стад Хай Лоу
• Стад Хай
• Разз
• ХОРСЕ
• Покер с обменом
• 2-7 с тройным обменом
• 2-7 сингл дро
• Микс 8 игр
• Бадуги

[1] Б. Шнейер. Applied Cryptography (Прикладная криптография)
[2] "How We Learned to Cheat at Online Poker: A Study in Software Security (Как стать шулером в онлайн покере. Краткий экскурс в безопасность программного обеспечения)" - http://itmanagement.earthweb.com/entdev/article.php/616221
[3] http://www.idquantique.com/products/quantis.htm