ist geschlossen

[Brownie]

Super Spielidee, endlich mal was neues! Hier geht es auch nicht darum, alle Zahlen durchzuspielen, sondern mal mit Glück gewinnen. 1 Mio tun nicht weh. Ich find das schon ok so.

Kann ich nur unterstützen, hab auch mal getippt

3749 war es schon mal nicht

 

[wingiskhan]

...verschlüsselte Datei mit dem richtigen Code zum Download...

Hallo coaster,

Vielen Dank für diesen nützlichen Vorschlag! Auf diese Weise würde dem Spieler eine Sicherheit geboten, die dem eines Treuhand-Services gleicht.

Das einzige, was mir zu Bedenken gibt, ist der Umstand, dass eine vierstellige Zahl nicht sonderlich schwer zu dechiffrieren sein dürfte, so dass es einige findige Füchse geben wird, die die Verschlüsselung knacken und ohne Einsatz die 5 Mrd abstauben könnten.

Leider bin ich kein Spezialist in kryptografischen Fragen, mir fehlt die Übersicht über verfügbare Verschlüsselungsmethoden, und ich kann nicht abschätzen, wie leicht oder schwer es ist, den eigentlichen Sinn des Spiels zu umgehen.

Daher möchte ich momentan dieses Risiko noch nicht eingehen, ich hoffe Du kannst das verstehen

 

[Memphi]

Hallo coaster,

Vielen Dank für diesen nützlichen Vorschlag! Auf diese Weise würde dem Spieler eine Sicherheit geboten, die dem eines Treuhand-Services gleicht.

Das einzige, was mir zu Bedenken gibt, ist der Umstand, dass eine vierstellige Zahl nicht sonderlich schwer zu dechiffrieren sein dürfte, so dass es einige findige Füchse geben wird, die die Verschlüsselung knacken und ohne Einsatz die 5 Mrd abstauben könnten. [...]

Durchaus berechtigte Zweifel, schreibe doch einfach eine Text oder Worddatei mit der Geheimzahl. (natürlich noch ein wenig weiterer Text drumherum, wie "Die Geheimzahl in dem Spiel lautet:") und generiere davon eine Prüfsumme, z.B. mit md5.
Nachdem jemand den Code geknackt hat oder das Spiel beendet wird, brauchst du nur das Word-Dokument öffentlich bereit stellen und erklären, wie du die Prüfsumme generieren lassen hast. Fertig!

Der Vorteil für dich ist, dass niemand anhand dieser einfachen Prüfsumme die Geheimzahl zurück berechnen kann und für die Nutzer heist es ebenso, sie können am Ende prüfen ob manipuliert wurde.

 

[coaster]

Mach einen Screenshot von der richtigen Zahl und steck das Bild in einen TrueCrypt-Container (weitere Infos). Ist kinderleicht zu bedienen und das einzige, was du falsch machen kannst, ist ein leicht zu erratendes Passwort zu wählen.

 

[Memphi]

Mach einen Screenshot von der richtigen Zahl und steck das Bild in einen TrueCrypt-Container (weitere Infos). Ist kinderleicht zu bedienen und das einzige, was du falsch machen kannst, ist ein leicht zu erratendes Passwort zu wählen.

Und wo bringt das Sicherheit vor Manipulation?!? Ein Erstellungs- & Änderungsdatum kann man schließlich völlig problemlos im Nachhinein ändern. Am einfachsten indem man die Windows-Uhrzeit anpasst, oder man baut sich ein kleines C++ Tool (effektiv 5 Programmierzeilen) und ändert damit das Datum.

 

[Benutzer-6744]

Und wo bringt das Sicherheit vor Manipulation?!? Ein Erstellungs- & Änderungsdatum kann man schließlich völlig problemlos im Nachhinein ändern. Am einfachsten indem man die Windows-Uhrzeit anpasst, oder man baut sich ein kleines C++ Tool (effektiv 5 Programmierzeilen) und ändert damit das Datum.

Man veröffentlicht den TC Container einfach

Und sobald der Code geknackt wurde, gibt man das Passwort raus und jeder kann überprüfen, ob der Code drin steht

LG

edit: hab mich mit TC nicht so auseinandergesetzt - aber eine Veröffentlichung sollte möglich sein

 

[coaster]

Und wo bringt das Sicherheit vor Manipulation?!?

Indem er diesen verschlüsselten Dateicontainer mit dem Lösungsbild zum Download zur Verfügung stellt und das Passwort dazu nach dem Knacken des Tresors preisgibt.


Edit: Verdammt.

 

[Memphi]

Man veröffentlicht den TC Container einfach

Ja, gut, das ist auch eine Möglichkeit. Aber sind wir doch mal ehrlich, die Lösung ist viiieeell zu einfach und ist viel zu untechnisch.

 

[chrisi01]

Hi

ich wäre auch dafür einfach einen text wie:

"Der$ richtige% Code/ lautet"§ sieben 6 drei 8 und bissle schwachsinn %&(/§"

mit MD5 zu hashen und den Hash freigeben ein Brutoforceangriff sollte bei so einem Text vollkommen unmöglich sein (wichtig ist halt ein paar Sonderzeichen und schön lange min. 20 Zeichen aber der Code sollte eindeutig darin enthalten sein)

Wenn der Code geknackt wurde sagst du uns deinen Satz wir hashen ihn selbst und wenn der Hash mit deinem Übereinstimmt sind wir alle Glücklich

mfg

Chris

 

[Benutzer-2472]

Fragt ihr bei einem Slotbetreiber auch nach was im Cache ist, oder wollt die genauen Whsl. der Gewinnlinien und Fallgrenzen haben?

Entweder ihr vertraut dem Anbieter oder ihr tut es nicht *schulterzuck*

 

[coaster]

Fragt ihr bei einem Slotbetreiber auch nach was im Cache ist, oder wollt die genauen Whsl. der Gewinnlinien und Fallgrenzen haben?

Entweder ihr vertraut dem Anbieter oder ihr tut es nicht *schulterzuck*

Vertrauen hin oder her; was spricht dagegen, die Betrugsmöglichkeiten zu minimieren, besonders wenn der technische Aufwand dafür so gering ist? Und der Slotvergleich hinkt ja aber nun mal wirklich ...

 

[wingiskhan]

Nach dem, was ich auf die Schnelle über die vorgeschlagenen Verschlüsselungsverfahren nachgeschlagen habe, brauche ich mir wohl keine Sorgen darum zu machen, dass jemand den Code "gewaltsam" knacken kann.

Aber speziell die Variante mit Screenshot und Dateicontainer wäre wohl nicht als dauerhafte Lösung geeignet, da ich keine Lust habe, jedes mal den Code von Hand zu hinterlegen (und möglicherweise auch nicht die Zeit dazu, es immer zeitnah nach einer Gewinnausschüttung zu tun).

Das automatische Hashen und Veröffentlichen würde schon eher ins Konzept passen, allerdings hält sich der Nutzen davon auch in eher engen Grenzen, da wohl mehr Leute keine Ahnung darüber haben, als solche, die damit etwas anzufangen wissen.

Die dadurch erzielten Vertrauenszuwächse stelle ich mir als tendenziell bedeutungslos vor. In diesem Zusammenhang passt der hier schon gebrachte Vergleich mit dem Vertrauen beim Zocken an Slots ganz gut...

Es liegen also zum aktuellem Zeitpunkt nicht genug überwiegende Vorteile vor, die den Aufwand und das evtl vorhandene Risiko rechtfertigen würden. Trotzdem bitte ich darum, die Diskussion zu diesem Thema fortzusetzen, um weitere wichtige Aspekte einzubringen.

 

[coaster]

Das automatische Hashen und Veröffentlichen würde schon eher ins Konzept passen, allerdings hält sich der Nutzen davon auch in eher engen Grenzen, da wohl mehr Leute keine Ahnung darüber haben, als solche, die damit etwas anzufangen wissen.

Du kannst die Leute auf deiner Seite ja informieren, was sie mit dem Hash anfangen und dass sie ihn selber überprüfen können (gibt bestimmt MD5-Dienste im Web). Vielleicht spielen sie dann sogar eher mit.

In diesem Zusammenhang passt der hier schon gebrachte Vergleich mit dem Vertrauen beim Zocken an Slots ganz gut...

Vertrauen ist gut, Kontrolle ist besser. Vor allem wenn diese hier mit einfachen Mitteln möglich ist. (Slots lassen sich z.B. eher schwer kontrollieren.)

Trotzdem bitte ich darum, die Diskussion zu diesem Thema fortzusetzen, um weitere wichtige Aspekte einzubringen.

Done.

 

[Memphi]

Es liegen also zum aktuellem Zeitpunkt nicht genug überwiegende Vorteile vor, die den Aufwand und das evtl vorhandene Risiko rechtfertigen würden. Trotzdem bitte ich darum, die Diskussion zu diesem Thema fortzusetzen, um weitere wichtige Aspekte einzubringen.

Richtig, aber dafür gibt es einen sehr relevanten und das ist der Schutz für Mitspieler! Und um Seriösität sollte sich jede Glücksspiel-Seite bemühen (was vor allem bei den Seiten, wo um Geld gespielt wird, seit Jahren der Fall ist), was Slot-Betreiber angeht, so gibt es hier keinen hinterlegten Code, sondern es muss ein fairer Zufallsgenerator im Hintergrund arbeiten - das ist aber weit schwieriger sicher zu stellen, als ein einziger Code bei einem solchen Tresor-Game.

Und ganz ehrlich, ich kann es nicht nachvollziehen, wo darin dein Problem liegt! Selbst mit PHP ist eine solche Geschichte sehr einfach zu realisieren und der Vorwurf, viele Nutzer könnten es nicht nachprüfen, halte ich für falsch. Schließlich braucht auch nicht jeder gegen zu checken, sondern es reicht wenn die paar mit Erfahrung am Ende bestätigen, dass alles korrekt ist!

Die einzig wirklich plausible Begründung für mich, warum du solch einen Schutz nicht einführen willst ist der, dass es evtl. doch nicht ganz so fair zugeht wie du es darstellst - ich will damit definitiv nichts unterstellen, aber ich sehe keinen wirklichen anderen Grund! Schließlich provitierst du von der daraus resultierenden Seriösität und die Nutzer, weil sie wissen, sie können am Ende gegenprüfen.

 

[benutzer-46656]

Also bei mir kommt andauernt ein Fehler
Konto Lerr Bitte überprüfen.

mit freundlichen Grüßen

 

[wingiskhan]

Die einzig wirklich plausible Begründung für mich, warum du solch einen Schutz nicht einführen willst ist der, dass es evtl. doch nicht ganz so fair zugeht wie du es darstellst

Ich dachte das Thema hätten wir bereits abgehakt. Die ganze Diskussion über die Einführung eines von euch vorgeschlagenen Verifizierungsverfahrens beruht doch auf der Annahme, dass wir hier ein faires Spiel vorliegen haben. Wenn wir von etwas anderem ausgehen, könnte ich einfach sagen: Nein, es bleibt so wie es ist.

Ich habe es vielleicht nicht deutlich genug ausgedrückt, daher möchte ich nochmal hervorheben: Ich habe nicht gesagt, dass ich keine Verifizierungsmethode einführen werde, sondern es zum aktuellem Zeitpunkt noch nicht tue, aus oben genannten Gründen.

Angenommen ich würde den Hash-Wert des Codes bekannt geben, dann würde noch heute einer alle Kombinationen von 0000 bis 9999 durchprobieren , die Hash-Werte vergleichen und den Code knacken.

Ich müsste den Code also zusammen mit einem Füllsatz ergänzen, z.B. "Die geheime Zahl ist 1234" , und den Hash-Wert des Satzes bekanntgeben. Dann würde aber beim nächsten Durchgang wieder einer kommen und einfach alle Kombinationen zusammen mit dem Füllsatz nachhashen.

Ich müsste mir also bei jedem Durchgang einen neuen Füllsatz ausdenken, und dann wären wir wieder bei dem Problem, wie wir ihn auch haben, wenn ich jedes Mal von Hand einen verschlüsselten Dateicontainer hinterlegen würde (s.o.)

Ich müsste mir also irgendwas überlegen, damit der Code jedes mal automatierisert so gehasht wird, dass er beim nächsten mal nicht einfach aus den Informationen vom letzten Mal rekonstruiert werden kann.

Insofern waren eure Vorschläge im Ansatz gut, aber nicht konsequent durchdacht und noch nicht hieb- und stichfest einsetzbar. Es ist also doch nicht so leicht und trivial und so wenig Aufwand, wie es auf dem ersten Blick erscheint.

Wie bereits erwähnt, bin ich selbst kein Spezialist im kryptografischen Belangen. Das ist auch der Grund, warum ich darum gebeten habe, weitere Aspekte in diese Diskussion einzubringen, schließlich will ich ein Spiel anbieten und habe keine 5 Mrd zu verschenken

 

[chrisi01]

hi

ich glaube an deine Ehrlichkeit und gebe dir einen passenden Code:

$Code = funktion_die_deinen-code_generiert();
$zufall = md5(rand(6,34323)*rand(3,123) + time() * 3 + rand(34,765)); 
$zufall2 = md5(rand(1,54145)*rand(1,247) + time() * 2 + rand(21,44));
//Diese Zeilen kannst du ja nach belieben anpassen Multiplikator ändern oder die rand() Funktionen ändern usw.
$satz = 'Der richtige Code lautet '.$Code.' damit man diesen Satz nicht so leicht knacken kann kommt nun noch eine Zufallskette: '.$zufall.' '.$zufall2.'';
$Hashwert = md5($satz);
//und noch ein Mysql Query wo du noch den Satz und Hashwert speicherst.

ehrlich gesagt nicht sonderlich schwer (ungetestet aber müsste so ganz gut funktionieren und sehr sicher sein das gute am Hashen ist ja das sich nur ein Zeichen ändern braucht damit der Hash komplett anders ist.)

mfg

Chris

 

[Memphi]

Ich müsste den Code also zusammen mit einem Füllsatz ergänzen, z.B. "Die geheime Zahl ist 1234" , und den Hasg-Wert des Satzes bekanntgeben. Dann würde aber beim nächsten Durchgang wieder einer kommen und einfach alle Kombinationen zusammen mit dem Füllsatz nachhashen. ...

Wieso, du musst doch nur weitere nicht erartbare Daten wie Uhrzeit (in Millisekunden), Datum oder sinnlose Werte wie Auslastung der CPU, Arbeitsspeicher, Netzwerkkarte irgendwelche Pegel an der Soundkarte etc. mit einbauen. Ruckzuck hast du einen Datenberg, der es unmöglich macht, eine Kombination zusammen diesen Daten zu erraten.

Und noch mehr erweitern kannst du es um Zufallszahlen, wie sie chrisi01 berechnet hat. - Wenn das dann nicht sicher ist, dann weiß ich nicht, was du noch willst.

 

[wingiskhan]

Hallo chris, hallo Memphi,

Vielen Dank für eure Vorschläge ...aber mal ehrlich, ihr habt nicht grade viel drüber nachgedacht, oder

Zwar fehlen mir als Laie die Mittel, um sie fachgerecht zu analysieren, aber mit einfachen Abschätzungen kann man es auch leicht erkennen.

Auf dem ersten Blick erscheint eure Methode ziemlich sicher: viele Kombinationen aus Zufallszahlen und unvorhersehbare Faktoren wie CPU-Pegel.

Aber im Wesentlichen setzt euer Ansatz auf dem Hashen einer Zeichenkette, welches sich aus zwei Teilworten zusammesetzt, dem Code zusammen mit der Zufallskomponente. (Den konstanten Teil, der nicht ins Gewicht fällt, lassen wir der Einfachheit halber mal weg.)

Chris, speziell auf Deinem Vorschlag bezogen, müsste ich weniger als 10^30 Kombinationen ausprobieren.

Mit einem simplem Programm, das ich auf die Schnelle kompiliert habe, welches eine Zeichenkette hasht und mit einem hinterlegtem Zielhash vergleicht, kann mein PC 10^6 Kombinationen in ca einer Sekunde ausprobieren. Du kannst Dir nun selbst ausrechnen, nach welcher Zeit meine Kiste Deinen Schutz gewaltsam geknackt hätte

Jetzt wirst Du vielleicht sagen: Dann machen wir einfach die Zufallskomponente noch größer. Aber für jede Verlängerung der Zufallskomponente um eine Länge von 1 vervielfacht sich die Anzahl der Möglichkeiten nur um ca 10^2 (je nachdem,welche Zeichen verwendet werden: Ziffern, Buchstaben, Sonderzeichen.) Wenn wir nun die 255 Zeichen nehmen, die ein Mysql-Varchar speichern kann, oder auch 65535 für ein BLOB, dann müsste ich meinen PC halt ein paar Tage durch laufen lassen (für 5 Mrd Lose würde ich das sogar tun - und mir davon einen neuen PC kaufen ) .

Jedenfalls kann die Zufallskomponente nicht beliebig lang sein, weil ich sie ja in der DB speichern muss, und außerdem steht immer noch offen, wie ich dem Spieler die 65535 Zeichen anzeigen soll, wie ich ihm erkläre was er damit anfangen soll, ob er das auch versteht oder daran glaubt, was er davon haben soll. Wie gesagt, ich schätze den Vertrauenszuwachs dadurch eher gering ein.

Der wesentliche Schwachpunkt bei dem Vorschlag, den Hashwert des Codes zu veröffentlichen, liegt in der Beschränktheit der Länge der Zufallskomponente und der daraus resultierenden einfachen Angreifbarkeit. Dabei haben wir hier nur die simpelste Methode betrachtet, nämlich stupides Durchprobieren aller Möglichkeiten. Kryptologische Fachleute kennen da sicher Möglichkeiten, das trickreicher zu lösen. Ganz gewitzte clustern ihr Knackprogramm auf das Firmen-/Uni-Netzwerk und lassen es einfach mal über Nacht / übers WE laufen und können so auch locker Zufallskomponenten mit Länge von 10^10 in nicht unangemessener Zeit hacken...

Vielleicht hat jemand noch einen anderen Vorschlag, wie man eine Verifizierung der Echtheit des Codes sicherstellen kann, der nicht auf dem Veröffentlichen seines Hashwertes beruht ..??

 

[chrisi01]

hi

also in meinen beispiel sind 64 Zufallszeichen (2x MD5 Zeichenketten) die jeweils 16 Zeichen einnehmen können

16^64 Möglichkeiten (die 10.000 Möglichkeiten für den eigentlichen 4 stelligen Code lasse ich mal weg die sich aber auch noch dazu multiplizieren würden)

Ich hab einen Brutoforce Programm hier das sowohl CPU als auch GPU nutzt.
GPU: 35Megahashes/Sec (Geforce FX 8500 schneller Grafikkarten bringen verhältnismäßig weniger Mehrleistung)
CPU 2x18Megahashes/Sec (Dualcore Athlon 6000 ok da ginge noch ein 6600er Quadcore oder so keine Ahnung was es da noch gibt.)
macht zusammen etwa 70 Megahases/Sec --> 70.000.000 Hashes / Sekunde

(wer sich fragt für was ich das Programm da habe --> Wollte wissen ob es echt stimmt das GPUs locker so schnell wie CPUs sind... und es ist wahr)

daraus ergibt sich folgende Formel um die Anzahl der Jahre zu haben die ich benötigen würde:

(16^64)/70000000/60/60/24/365=
52453472329725800000000000000000000000000000000000000000000000
(Berechnet mit Openoffice Calc)

wohlgemerkt JAHRE! (Schaltjahre sind außer acht gelassen es wird mit 365Tage/Jahr gerechnet) da trifft man eher eine MD5 Kollision Das sind aber viele Nächte und sehr sehr viele PCs die da durchrechnen müssen damit sich das lohnt.

Ich hoffe ich hab keine Stellenfehler drinnen wäre nett wenn es wer Gegenchecken kann.

mfg

Chris