彩票随机数生成器官方测试和认证

Read Time:37 Second

RNG测试和认证

验证随机性是一项棘手的工作。是否可以合理地确定一个数字是不是随机的,即使它看起来是随机的?我们怎么知道随机数流背后没有隐藏的确定性模式?增加这种困境的是来自组织内部的网络攻击或系统操纵的持续威胁。

您经常听到彩票声称他们的 RNG 已经过独立审计师的测试、审查和认证。尽管 RNG 的认证是必不可少的,但重要的是要明确它是什么,不是什么。

认证意味着 RNG 已经过独立的统计分析,并已针对其结果的随机性和分布进行了测试,并且测试结果已被证明符合给定的规范。如上所述,在随机性中,我们正在寻找本质上不可预测且不可靠重复的结果。理想的分布要求所有可能的结果同样可能发生。

不幸的是,没有有限的测试可以确定给定的 RNG 会产生随机字符串。但是有足够严格的测试来确保 RNG 生成的字符串具有人们期望从随机字符串中获得的属性。

此类测试的一个示例是美国国家标准与技术研究院 (NIST) 用于加密应用的随机和伪随机数生成器的统计测试套件– 称为 SP 800-22 – 用于测试 RNG 是否产生高质量的随机性。SP 800-22 规定对被测试的随机二进制序列做出以下假设:

  • 均匀性
    在随机或伪随机位序列的生成中的任何一点,0 或 1 出现的可能性相同,即每个的概率正好是 1/2。零(或一)的预期数量为 n/2,其中 n = 序列长度。
  • 可扩展性
    任何适用于序列的测试也可以应用于随机提取的子序列。如果一个序列是随机的,那么任何这样提取的子序列也应该是随机的。因此,任何提取的子序列都应该通过任何随机性测试。
  • 一致性
    生成器的行为必须在起始值(种子)之间保持一致。基于单个种子的输出测试 PRNG 或基于单个物理输出产生的输出测试 TRNG 是不够的。

在 RNG 测试和认证中,重要的是要注意,RNG 的网络攻击漏洞和组织内部的犯罪者篡改的漏洞均未涵盖。

RNG 安全性和完整性

正如保证RNG的随机性很重要一样,彩票操作必须保证抽奖的安全性和完整性。他们必须确保硬件正常运行并且没有软件错误。彩票运营还必须确保抽奖不会受到网络攻击或内部操纵。

电子绘图系统中的随机数生成器面临多个层面的安全风险。其中包括:

  1. 直接攻击 RNG 以产生可预测的结果。这是通过软件或硬件替代来完成的。
  2. 攻击游戏代码以规避 RNG 结果。
  3. 修改时间。在离线或隔离系统中,系统时间无法连续验证。这意味着可以想象在内部肇事者知道抽奖结果之后更改抽奖时间。
  4. 对所需的抽奖组合进行网络钓鱼。传统的 RNG,尤其是离线系统,可以允许多代给定的抽奖结果。这将允许内部人员继续进行网络钓鱼,直到找到所需的抽奖结果。然后可以将期望的抽奖结果作为正确的抽奖结果发布。

针对 EDS 实施的欺诈通常是一种高度复杂的漏洞利用,通常在组织内部与外部勾结执行。最大的影响通常是对组织的声誉。

其他因素可能会影响 RNG 并影响抽奖的完整性:

  1. 硬件越来越差。RNG 硬件可能会随着时间的推移而退化,从而导致非随机或重复抽取。
  2. RNG 软件设计的不足也可能导致完整性下降。软件设计缺陷可能包括:
    1. 弱算法密码学
    2. 绘制缺乏内置检查硬件退化或硬件故障的系统软件
    3. 软件错误和配置错误

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

发表评论

您的电子邮箱地址不会被公开。