RNG сертификаттау және адалдық тестілері

1) Неге қажет RNG-сертификаттау

• криптографиялық кездейсоқтықты және орын ауыстырудың жоқтығын растайды;
• заң стандарттарына (лицензиялар, техникалық регламенттер) сәйкестігін дәлелдейді;
• ойыншылар мен төлем/реттеуші әріптестердің сенімін нығайтады.

2) RNG типологиясы және талаптар

TRNG (аппараттық): диодтар/джиттер/физикалық процестер → жоғары энтропия, міндетті пост-өңдеу (тартқыштар, мысалы, Von Neumann, XOR-folding).
CSPRNG (крипто төзімді): детерминирленген, бірақ құпия seed кезінде болжауға болмайтын: CTR_DRBG/HMAC_DRBG (NIST 800-90A), Fortuna және т.б.

• ≥ 128 бит энтропия бастапқы seed, құжатталған policies reseed.
• Энтропия көздерін бөлу (жүйелік, аппараттық, сыртқы) және олардың мониторингі.
• Болжауға төзімділік, backtracking және state compromise.
• Sandbox/TEE/HSM RNG оқшаулау; нәтижеге ықпал етудің «әкімшілік тетіктерінің» болмауы.

3) Нормативтік шеңберлер мен зертханалар

• GLI-11/ GLI-19 (ойындарға/онлайн-жүйелерге қойылатын талаптар),
• ISO/IEC 17025 (зертханаларды аккредиттеу),
• отчеты eCOGRA, iTech Labs, BMM Testlabs, GLI, QUINEL, SIQ, Trisigma.

Реттегіштер (шамамен): UKGC, MGA, AGCO, NJ DGE және т.б. талап етеді: RNG сертификаты, RTP/құбылмалылық тест пакеттері, бинар нұсқаларын бақылау және өзгермейтін журналдар.

4) Сертификаттау кезінде нені тестілейді

1. Статистикалық кездейсоқ жағдай: тест батареялары (қараңыз § 5).
2. Интеграция RNG ойыны: дұрыс қоңырау шалу, уақыт/жасырындылық арқылы ағып кетпеу, мәндерді қайта пайдаланудан қорғау.
3. Ойын математикасы: Design RTP және құбылмалылық профиліне сәйкес 10 ^ 7-10 ^ 8 + спин/раунд симуляциялары.
4. Жеткізудің тұтастығы: бинарлар/скрипттердің хэштері, сигнатуралар, жинақтарды бақылау.
5. Операциялық саясат: seeding, reseed, key-rotation, энтропия мониторингі.

5) Статистикалық батареялар (тексеру ядросы)

• NIST SP 800-22: Monobit, Runs, Approximate Entropy, FFT, Cumulative Sums и др.
• Diehard/Dieharder: Birthday Spacings, Overlapping 5-Permutation, Rank Tests.
• TestU01 (SmallCrush/Crush/BigCrush): қатаң индустриялық стандарт.
• Қосымша: Serial correlation, Poker, Chi-square, KS-тест.

• p-values жарамды аралықта (әдетте 0. 01–0. 99), сәтсіздіктер → тергеу/ретест.
• Іріктеме өлшемдері: тестке 10 ^ 6-10 ^ 7 қорытындыдан кем емес; BigCrush үшін - одан да көп.
• Әртүрлі seed/платформаларда репликалау, уақытқа байланысты бақылау.

6) RTP/құбылмалылық: симуляция және шақтамалар

Design RTP (декларацияланған) vs Observed RTP (симуляциядан/продакшн).
Рұқсаттар: әдетте ± 0. 5–1. үлкен көлемде 0 п.т. (сертификаттау шарттарымен нақтыланады).
Құбылмалылық бейінін тексеру (шығу кластерлері бойынша профит/спредтің стандартты ауытқуы).
Есепте: сенімді интервалдар, симуляциялардың көлемі, сертификатталған RNG-шақыру арқылы қатаң нәтижелерді генерациялау.

7) «Fair Play by Design» сәулеті

Оқшаулау және тұтастық

RNG ТЕЕ/контейнерде; жай-күйге қолжетімділік жабық; қоңырауларға қол қойылады.
Immutable/WORM-нәтижелер журналдары, таймстемптердің қолтаңбалары, тұтастықты бақылау (Merkle-тізбегі).

Мөлдірлік

Өткізілген ойындар: нәтиже хэш ± пост-верификация мүмкіндігі.
Provably Fair (қосымша): P2P/крипто-сценарийлерге арналған server-seed/client-seed/nonce схемасы, көпшілік алдында тексеріледі.

Біріктіру

Anti-tamper (HMAC/TLS-pinning) бар API-прокси, лимиттер, қайталанудан қорғау.
dev/stage/prod ортасына арналған қолтаңбаның бөлек кілттері; тесттерде prod-кілттерге қатаң тыйым салынады.

8) Энтропия, seeding және reseed (саясат)

Дереккөздер: TRNG (егер бар болса), СО (e. g. ,/dev/urandom), желілік/таймингтік шу (сақтықпен).
Seed ≥ 128-256 бит, оқиғалар журналы «seeded/reseeded» себептермен (мысалы, старт/таймер/төмен энтропия).
Шақыру есептеуіші/таймері/энтропия әліппесі бойынша Reseed; кепілдендірілген ағынды нашарлатпайды (крипто-араластырумен mix-in).
Деградация детекторлары: жылжымалы терезеде p-value мониторингі, аномалиялар кезінде алерт.

seed  = KDF(TRNG()          OS_entropy()          boot_salt)
state = DRBG.instantiate(seed)
every T or N calls:
mix = KDF(OS_entropy()          health_check())
state = DRBG.reseed(state, mix)
output = DRBG.generate(state, k)
log(WORM, timestamp, reseed_reason, counters)

9) Ойын нұсқаларын басқару және шығару

RNG/ойынның әрбір нұсқасында идентификатор және хэш бар; CI/CD SBOM және дәлелдемелер пакетін (хэштер, қолтаңбалар) қалыптастырады.
Canary/Blue-Green өнімдегі релиздер математикалық параметрлер үшін тыйым салынған; зертханалық валидациядан кейін тек «атомдық» жаңартулар.
RTP/модельдің кез келген ауысуы → қайта сертификаттау және реттегіш хабарламасы.
Алдыңғы нұсқалар мен есептерді талап етілетін мерзімге ≥ WORM қоймасында сақтау.

10) Оператор рөлі vs студия/провайдер

Студия/провайдер: RNG/математиканы жобалайды, сертификаттаудан өтеді, сертификаттарды/есептерді жариялайды.
Оператор: интеграцияның тұтастығын, нұсқалауды, логтардың аудитін және ойын каталогындағы RTP келісімділігін бақылайды, реттеушінің есептерге қолжетімділігін қамтамасыз етеді.

11) UX-ашықтық және сенім

Ойын бетінде: RTP, сертификаттау күні/зертхана, сертификат нөмірі/хэш билд.
«Адал ойын» бөлімі: RNG, RTP қарапайым түсініктемелері, жария сертификаттарға сілтемелер (егер саясат жариялауға мүмкіндік берсе).
RTP/нұсқасы өзгерген кездегі ескертулер (каталог ішіндегі release notes).

12) Метрика және SLO комплаенс

13) RACI (рөлдер мен жауапкершілік)

14) Чек парақтары

Зертханаға жіберу алдында

• RNG құжаттамасы: схема, энтропия көздері, reseed саясаты.
• Математика ойындары: Дизайн RTP/құбылмалылығы, төлем кестелері.
• Хэштері/қолтаңбалары бар жиналған билд; SBOM.
• Бақылау іріктемелеріндегі ішкі батареяларды (NIST/Dieharder/TestU01) айдап өту.
• WORM журналдары қосылған; мұрағат артефактілері жасалды.

Шығару алдында

• Сертификат алынды (GLI/eCOGRA/басқалар), нұсқалар мен хэштер тексерілді.
• RTP/сертификат ойын каталогында көрсетіледі (UX саясаты).
• RTP-дрейфтің және денсаулық тексерудің RNG мониторингі теңшелген.
• Даулы ойындарды қайтару және қатыру жоспары бекітілді.

Жыл сайын/өзгерту бойынша

• Өзгерістер кезінде қайта сертификаттау немесе Addendum.
• Retest BigCrush/NIST жаңа темір/ОС.
• Жеткізу тізбегінің (supply chain) және қол қою кілттерінің аудиті.

15) Оқиғалар және тергеулер (playbook)

Сигналдар: ойыншының шағымы, аномальды RTP-дрейф, health-checks ақаулары, рассинхрон хэштері.

1. Freeze ойындары/пулы, RNG логтарын/күйін түсіру.

2. Ішкі тесттер: 10 ^ 6-10 ^ 7 нәтижелер, NIST/Dieharder жылдам батареялар.

3. seed/reseed-журналдарды, энтропияны, ТЕЕ/қолтаңбаларды тексеру.

4. Зертханаға/реттегішке эскалация; қажет болған жағдайда даулы раундтар бойынша төлемдерді уақытша тоқтата тұру.

5. Пост-теңіз: түбірлік себеп, фикстер, ретесттер, коммуникациялар, саясаттың жаңартылуы.

16) Енгізу жол картасы (6 қадам)

1. Саясат және дизайн: DRBG/TRNG таңдау, seeding/reseed сипаттау, Design RTP/құбылмалылықты анықтау.
2. Іске асыру және оқшаулау: RNG ТЕЕ/контейнерде, шақыру қолтаңбалары, WORM-логтар.
3. Ішкі тестілер: үлкен іріктемелерде NIST/Dieharder/TestU01, регрессия.
4. Сертификаттау: GLI/eCOGRA/iTech/BMM-ге беру; дәлелдемелер пакетін жинау.
5. Продакшн-мониторинг: RTP-дрейф, health-checks RNG, алерта, комплаенс панелі.
6. Қайта сертификаттау және жақсарту: жыл сайынғы цикл, инциденттерді талдау, крипто-практикаларды жаңарту.

17) Жиі қателер және оларды болдырмау

seeding/reseed → саясаты жоқ.
prod/dev кілттерін араластыру → қатаң сегрегация, ротация, dev үшін prod-артефактілерге тыйым салу.
Тек «теориялық RTP» тірек → симуляция және прод-мониторинг қажет.
WORM → жоқтығы әділдікті артқы күнмен дәлелдейтін ештеңе жоқ.
Жасырын RTP/сертификаттар → сенімді төмендетеді және лицензияға қауіп төндіреді.
Ресертификациясыз патч → жағдайдың бұзылуы, жоғары реттеуші тәуекел.

Жиынтық

RNG-сертификаттау - бұл бір реттік «қағаз» емес, үздіксіз процесс: қатаң криптография және энтропия, бай статистикалық тестілер, ойынмен дәлелденген интеграция, өзгермейтін аудит және мөлдір UX. «Fair Play by Design» құра отырып, сіз адалдықты бәсекеге қабілетті артықшылыққа және өнімнің ұзақ мерзімді тұрақтылығының іргетасына айналдырасыз.