Können Pokerseiten Ihre verdeckten Karten sehen? Es hängt an einer Architekturfrage
Die ehrliche Antwort auf diese Frage ist unbequem: **In der traditionellen Online-Poker-Architektur *kann* die Plattform Ihre verdeckten Karten nicht nur sehen — sie *muss* sie kennen, sonst könnte sie gar nicht geben.** Die echte Frage war nie „kann sie?“, sondern „wer hat Zugriff, und missbraucht ihn jemand?“.
Die traditionelle Architektur: die Reise Ihrer Karten
Auf einer typischen Pokerseite läuft eine Hand so ab:
- Der Server erzeugt eine zufällige Deck-Reihenfolge (in diesem Moment liegt die komplette Reihenfolge im Serverspeicher)
- Der Server „gibt“ Ihnen zwei Karten — faktisch sendet er Klartextdaten aus seiner Datenbank an Ihren Client
- Beim Showdown kannte der Server das Ergebnis die ganze Zeit; er enthüllt nur das Drehbuch
Währenddessen existieren Ihre Karten: im Serverspeicher, womöglich in Logs, in Datenbank-Snapshots und überall dort, wo eine Person mit Betriebszugriff hinkommt. Gute Plattformen sichern diese Zugriffspunkte mit Berechtigungen und Audit-Logs — aber „kontrolliert“ und „nicht vorhanden“ sind zwei verschiedene Sicherheitsklassen. Die historischen Superuser-Skandale waren genau das: missbrauchter interner Zugriff.
Die andere Architektur: die Plattform sieht Ihre Karten nie
Kryptographisches Geben (Mental Poker) kehrt den Ablauf um:
- Das gesamte Deck wird von den Browsern aller Spieler nacheinander verschlüsselt — jeder fügt ein Schloss hinzu, sodass am Ende jede Karte N Schlösser trägt
- Auch das Mischen setzt sich aus den Beiträgen aller Browser zusammen, sodass keine Partei die endgültige Reihenfolge kennt
- „Geben“ liefert Chiffretext; um Ihre zwei Karten wiederherzustellen, müssen alle anderen Teilnehmer ihre Schlüssel für genau diese Karten herausgeben — und diese Schlüssel werden nur an Sie gesendet
- Der Relay-Server transportiert durchgehend nur Chiffretext und signierte Nachrichten — wollte er spicken, sähe er verschlossene Kisten
Eine Analogie: Die traditionelle Seite ist ein Geber, der Ihnen die Karten verdeckt reicht, aber vor dem Geben das ganze Deck durchgesehen hat. Verschlüsseltes Geben heißt: Jede Karte steckt in einer von allen Spielern gemeinsam verschlossenen Kassette, und der Schlüssel zu Ihrer Kassette wird nur zu Ihnen nach Hause geschickt.
Technische Details finden Sie in der Kryptographie des Mental Poker. Fair Pokers Implementierung ergänzt zwei Härtungen: Das Entschlüsselungsmaterial existiert nur für die Dauer der aktuellen Hand auf Ihrem Gerät und wird danach gelöscht; alle privaten Nachrichten sind Ende-zu-Ende-verschlüsselt, sodass das Relay nicht einmal sieht, welche Schlüssel wohin gingen.
So erkennen Sie, auf welcher Art Seite Sie spielen
Stellen Sie drei Fragen:
- Erklärt die Dokumentation der Plattform klar, wo die Deck-Reihenfolge erzeugt wird? (Keine Antwort = auf dem Server)
- Hält zwischen Erzeugung und Anzeige irgendeine einzelne Partei jemals *den gesamten* Klartext gleichzeitig?
- Gibt es einen öffentlichen, unabhängig ausführbaren Prüfer, mit dem Sie eine Hand nachkontrollieren können?
Lautet die Antwort dreimal Nein, hängt die Sicherheit Ihrer Karten vollständig von der internen Governance des Betreibers ab — die Sie normalerweise nicht beurteilen können. Wenn Sie Partien erleben möchten, in denen die Plattform Ihre Karten mathematisch nicht sehen kann: Jede Fair-Poker-Hand lässt sich mit dem öffentlichen Prüfer selbst verifizieren.