一篇文章读懂「电子开奖」
去年,一则来自大洋彼岸的彩票新闻将电子摇奖带入广大购彩者的视野。事情经过大致是这样的:从2003年起,蒂普顿在美国爱荷华州彩票公司担任安全部门的主管工作,负责编写软件。根据爱荷华州司法部长汤姆·米勒办公室的说法,蒂普顿设计并维护了「用于在全国多州内选择彩票号码的电脑随机数发生器」的软件。
从2007年开始,蒂普顿在包括爱荷华州在内的各州购买彩票,并利用职务之便篡改随机数字发生器。而后,蒂普顿将这些「中奖彩票」交给同伙兑奖。在随后的几年时间内,蒂普顿继续利用此种手法进行「诈骗」活动。据美国警方侦查,在2005年至2011年间,蒂普顿和他的同伙在5个州非法领取奖金超过200万美元。
「用于在全国多州内选择彩票号码的电脑随机数发生器」的软件其实就是我们国内常说的电子(计算机)摇奖机。
从世界范围来看,彩票开奖主要分传统物理摇奖方式和计算机系统摇奖方式。物理摇奖方式是我们最熟悉也是最早采用的摇奖方式,它是独立的摇奖机进行摇奖,这种物理开奖方式能实现真正意义上的中奖号码产生的随机性,从而确保开奖过程的公正性,如国内的双色球、大乐透等就是采用物理摇奖。
而电子摇奖方式是指彩票机构采用一台或若干台计算机「随机」产生一系列号码为中奖号码。美国蒂普顿一案引发了人们对电子开奖安全性的担忧。那么,电子开奖系统是否都存在严重的安全隐患呢?
首先,认为采用计算机开奖会被「黑客」攻击的观点有失偏颇,因为,计算机开奖系统是个独立的系统,并不与互联网系统相连,因此,它不会受到传统意义上电脑「黑客」的攻击,但是要防止诸如蒂普顿案中的内部人员作弊。
事实上,电子摇奖是一个动作,它依托于电子摇奖机来抽取开奖号码来供电脑彩票的生产系统进行自动开奖。电子摇奖机与机械摇奖机虽然作用相同,但是看起来却完成不同,机械摇奖机是看得见,其号码抽取的过程是直观的;电子摇奖机则由软硬件构成,它更像是一台计算机,其工作情况几乎没有办法观察。摇奖机有两个最主要的特性,随机性和公正性。那么电子摇奖机是如何来保证随机性和公正性的实现的呢?以下为读者解析一下。
电子摇奖机的随机性
摇奖机抽取的号码是很随机的号码,号码越随机,就越没有规律性,就越不容易被推断猜测。试想,开奖号码若是不随机的,那就有一定规律性,就可以被推测出。那么电子摇奖机怎么去获取一个随机数呢?
有计算机编程经验的人一定知道,计算机编程语言里都有类似「RAND()」或「RANDOM()」的函数,可以很容易获取随机数,但是,这种方法获取的随机数是伪随机的,它其实是以当前时间为种子生成,所以它有极强的规律性,很容易被推测出。
电子摇奖机需要的是真随机数,无法预测且无周期性。真正的随机数多是使用物理现象产生的:比如掷钱币、骰子、转轮、使用电子元件的噪音、量子效应、放射性衰变等等。
电子开奖要产生真随机数,就需要配备随机数发生器,也叫作物理性随机数发生器,它们的缺点是技术要求比较高。真随机数生产效率没有伪随机数高,想要实现真随机数靠程序是永远无法实现的。第一个真随机数发生器是1955年由Rand公司创造的。
目前国内彩票厂商多数使用是美国Comscire公司的PQ4000KS真随机数发生器生成种子,来最终生成开奖号码。这是一种热噪声设备,热噪声是导体中自由电子在绝对零度以上的环境温度激发下,在导体内部不规则碰撞运动引起的。自由电子每两次碰撞间,等效产生持续时间极短的脉冲电流。各脉冲电流的大小、极性、持续时间都是随机的,众多电子不规则运动合成的总效果,是连续随机变化的波形,经放大器放大后,采用高速电平比较器,产生随机的0和1数字流,此数字流就是随机数发生的种子。采用热噪声物理方法产生的随机数为真随机数。该种设备在美国通过了NIST标准的检测。
电子摇奖机的公正性
机械式摇奖机的公正性是通过可观察、可检测、可物理隔离来保证其是可公证的。电子摇奖机则完全不具备上述特征,不可观察、不能隔离,由于其真随机导致检测意义也不大,所以其公正性只能用可审计的方法来保证。如何用可审计方法来生成开奖号码,原理大致如下:
Random=f(RSA﹝SIGN﹝DATA, TRNG﹞, SEQ, QTC﹞)
Random为最终输出开奖号码
signature 为可审计签名文件
DATA 为销售原始数据
TRNG 为上述真随机数
SEQ 为原始数据顺序标识
QTC 为真格林威治时间
将销售原始数据、真随机数字符串、当前时间及顺序号通过信息摘要算法进行计算,生成理论上唯一的数据指纹,并以此数据指纹为种子进行随机数生成,这种方法生成的开奖号码既保证了随机性,又保证了数据可审计性、可验证性。电子摇奖机将Random、signature、TRNG数据保存,就是通过反向函数运算来审计开奖数据是否被篡改,从而来实现电子摇奖机的公正性。
电子摇奖机受销售系统的数据封存动作的驱动,依据当期的时间和销售原始数据按可审计方法进行随机开奖号码的生成,输出到销售系统进行开奖操作。每次开奖全部动作结束前,将开奖结果交由电子摇奖机进行存储,并再次根据各数据要素对开奖号码及结果进行实时审计,以确保开奖号码及结果的公正性。
系统审计员还可定时对电子摇奖机上的数据在开奖后,按天进行独立的人工审计操作,从而再次判断各项数据的公正性。一般来说,系统审计员由本单位独立人员承担,也可由监管或公证部门人员承担。
关于开奖号码的随机性及可审计性,NIST及GSA都有相应的标准,国际上GLI及有些知名高校、实验室也提供相关测试。电子摇奖机可以通过专业机构的检测来保证系统的安全性和公正性,据了解,中福彩技术研究中心受有关部门委托也正在制定国内有关标准,并成立了专业检测部门,相信在不久的将来国内也会提供相关的检测服务。
如何防备「蒂普顿」
蒂普顿修改了电子摇奖机上的程序,通过劫持主程序的内存,在特定条件下使得上述函数中的TRNG失效,从而可能获得可猜测的signature,最终使得Random可控,让电子摇奖机输出了他想要的开奖号码。
一个安全的电子摇奖机一定要实现三权分立,即安全员、管理员、审计员三个角色分开,不可以一人兼顾。其实一个标准的电子摇奖机如果做到三权分立,那么蒂普顿做的任何事情可以马上被发现,正是因为蒂普顿集三权于一身,他才能成功对电子摇奖机进行作弊。
据了解,国内有些厂商的电子摇奖机仅仅具备随机性这一个特征,而可审计性就完全不具备,这种设备的使用是有极大隐患的。早在2013年就有某个国内厂商的软件人员试图去修改电子摇奖机。更有很多省级销售机构,在管理电子摇奖机时,因为工作人员少而集三权于一身,这种工作分配是极其不负责任的。
为了确保电子摇奖机的安全性,还应一年多次由独立第三方对软硬件进行核查,保证软硬件均未发生未授权修改与变更。
能否抛弃电子摇奖机
据《彩票邮报》不完全调查,目前美国四十几个发行彩票的州中仅有11个州完全采用物理开奖,其他州都或多或少采用了电子开奖。
除此之外,加拿大的安大略省彩票、魁北克彩票、不列颠哥伦比亚省彩票以及英国国家彩票、爱尔兰彩票等许多国家的彩票机构也都或多或少采用了电子开奖,而我国的快开、高频类游戏也是采用电子开奖方式,所以电子摇奖的采用已经比较普遍。
当下的彩票市场,快开游戏已占有很高的市场份额,有的地区快开游戏销量已占当地总量的80%以上。对于快开游戏的开奖,由于销售周期极短,无法采用机械摇奖机开奖,对于电子摇奖机已经完全依赖,彩票的公信力已经完全交给了机器。当下的中国彩票市场已经无法抛弃电子摇奖机。
从使用电子开奖的必须性来看,有些游戏,比如基诺游戏、快开游戏、宾果游戏等一天开奖次数较多,且有些游戏两次开奖时间的间隔较短,这样采用物理开奖就很难实现,电子开奖的优势就凸现了出来,所以电子开奖目前具有存在的价值和意义。
既然无法抛弃,就只能保证电子摇奖的安全与公正。对电子摇奖机进行三权分立的管理使用,从技术上禁止电子摇奖机出厂上线再有未经授权的软硬件修改,定期对电子摇奖机进行数据审计,设立备用设备并通过备用设备对主设备进行复核,保障电子摇奖机的物理安全和安全监控,电子摇奖机通过白名单方式做访问控制等等,通过这些手段,电子摇奖机的随机性和公正性还是可以得到保证的。《国家彩票》
文 | 唐恒光