Wie funktioniert Provably Fair Zufallszahlengenerierung eigentlich?

Eine Provably Fair RNG speist drei Eingaben — den Server-Seed des Casinos (versteckt hinter einem SHA-256-Hash), deinen Client-Seed und einen Nonce — in HMAC-SHA256 ein. Die hexadecimale Ausgabe wird dann einer Würfelrolle, einem Crash-Multiplikator oder einer Karte zugeordnet. Da der Hash des Server-Seeds vor deinem Einsatz veröffentlicht wird, kann das Casino ihn danach nicht ändern, und die gesamte Berechnung ist deterministisch: Jeder, der die drei Eingaben hat, kann das exakte Ergebnis im Browser reproduzieren.

Wie lautet der Pseudocode zur Generierung von Zufallszahlen für ein Provably Fair Spiel?

Pseudocode: `hex = HMAC_SHA256(server_seed, client_seed + ':' + nonce); dice = (parseInt(hex.slice(0,10), 16) % 1_000_000) / 10_000;`. Der HMAC-Aufruf verwendet den Server-Seed als Schlüssel und die Client-Seed-plus-Nonce-Zeichenkette als Nachricht. Nimm die ersten 10 Hexzeichen, konvertiere zu Dezimal, wende Modulo 1.000.000 an und dividiere durch 10.000 — du erhältst einen Würfelwurf von 0-99,9999. Verschiedene Spiele (Crash, Karten) ändern nur die Zuordnung, nie das HMAC selbst.

Kann Provably Fair vorhersagt werden?

Nein — nicht ohne den Server-Seed, der versteckt bleibt, bis das Casino ihn wechselt. HMAC-SHA256 ist eine unidirektionale Funktion: Auch wenn du die Ausgabe und die Nachricht kennst, kannst du den Schlüssel in realistischer Zeit nicht wiederherstellen. Die einzige Möglichkeit, Ergebnisse vorherzusagen, ist, wenn das Casino den aktiven Server-Seed vor dem Rundenende durchsickern lässt, was sofort erkennbar wäre, weil der offenbarte Seed nicht zum vorab zugesicherten Hash passt. Im Jahr 2026 gibt es keine bekannten praktischen Angriffe auf SHA-256, die dies ändern würden.

Wie knackt man den Provably Fair Algorithmus?

Der Algorithmus selbst kann nicht geknackt werden — SHA-256 und HMAC-SHA256 haben keine praktischen Preimage- oder Schlüsselwiederherstellungsangriffe. Die realistischen Angriffsflächen sind alle Implementierungsfehler: Ein Casino, das schwache Entropie (wie JavaScript Math.random) für die Server-Seed-Generierung verwendet, ein Casino, das Samen nicht wechselt, oder voreingenommene Seed-Pools, bei denen das Casino verlieren Ergebnisse für häufige Client-Seeds vorberechnet. Keines davon bricht die Mathematik — sie brechen die Einrichtung drumherum. Wechsle deinen Client-Seed alle 50-100 Einsätze und du überwindest alle bekannten Angriffe.

Ist HMAC-SHA256 wirklich ein CSPRNG?

HMAC-SHA256 ist technisch nicht allein ein CSPRNG, verhält sich aber wie einer, wenn es mit einem kryptographisch zufälligen Server-Seed versehen wird. Die Ausgabe ist für jeden, der den Schlüssel nicht kennt, nicht von Zufall zu unterscheiden, was genau die Eigenschaft ist, die Provably Fair Glücksspiel erfordert. NIST SP 800-90A Rev 1 definiert HMAC_DRBG (HMAC-basierter deterministischer Zufallsbit-Generator), den viele PF-Casinos als ihren zugrunde liegenden Zahlengenerator implementieren.

Wie generiere ich 10.000 Zufallszahlen in Excel zum Testen eines PF-Casinos?

Du brauchst Excel dafür nicht — verwende JavaScript in der Browser-Konsole. Führe eine Schleife aus: `for (let i=0; i<10000; i++) console.log(await pfDice(serverSeed, clientSeed, i))` mit der gleichen HMAC-SHA256 und Würfelzuordnung, die das Casino verwendet. Zeichne das Histogramm — es sollte einheitlich über 0-99,99 verteilt sein ohne erkennbare Verzerrung. Excels `RAND()` ist nicht kryptographisch und stimmt nicht mit der Ausgabe eines PF-Casinos überein; verwende es nur zur Überprüfung der Verteilungsform, nicht der genauen Werte.

Warum HMAC statt einfaches SHA-256 verwenden?

HMAC ist eine Schlüssel-Hash-Funktion — sie lässt den Server-Seed als geheimen ‚Schlüssel' fungieren, der bekannt sein muss, um die Ausgabe zu reproduzieren. Einfaches SHA-256 hat diese Schlüsseleigenschaft nicht: SHA-256(server_seed + client_seed + nonce) würde immer noch deterministisch funktionieren, ist aber anfällig für Length-Extension-Angriffe, bei denen eine bösartige Partei einen neuen Hash mit einer längeren Nachricht berechnen könnte, ohne den Schlüssel zu kennen. HMAC umhüllt SHA-256 in einer Konstruktion, die Length-Extension besiegt, weshalb jedes moderne PF-Casino HMAC verwendet.

Kann eine Blockchain Provably Fair Zufallszahlen generieren?

Nicht nativ. Blockchains sind deterministisch — jeder Validator muss das gleiche Ergebnis aus den gleichen Eingaben erzeugen, daher gibt es keine eingebaute Entropiequelle. Wenn eine dApp versuchte, Block-Hash, Zeitstempel oder Prevrandao als Zufall zu verwenden, könnten Miner sie manipulieren. Die Lösung ist Oracle-bereitgestellte Zufall wie Chainlink VRF, die die Zahl offchain mit einem verifizierbaren kryptographischen Beweis generiert und beides in die Kette postet. Für onchain NFT-Drops, Lotterien und einige Crypto-Casinos hat VRF naive Blockhash-Schemata weitgehend ersetzt.

Was ist der Unterschied zwischen PRNG, CSPRNG und PF RNG?

Ein PRNG (Pseudo-Zufallszahlengenerator) ist deterministisch, aber nicht sicher — vorhersagbar bei genug Ausgabe (z.B. Math.random). Ein CSPRNG (kryptographisch sicherer PRNG) ist deterministisch *und* unvorhersehbar, selbst bei vorherigen Ausgaben, mit kryptographischen Primitiven wie HMAC-DRBG, AES-CTR oder ChaCha20. Ein PF RNG ist ein CSPRNG, eingehüllt in ein Commit-Reveal-Protokoll: Das Casino veröffentlicht den Seed-Hash vor deinem Einsatz, sodass du nach der Runde verifyzen kannst, dass das Casino den Seed nicht geändert hat. PF RNG = CSPRNG + Transparenz.

Funktioniert Provably Fair bei Spielautomaten?

Selten. Die meisten großen Slot-Studios (Pragmatic Play, NetEnt, Play'n GO, Hacksaw) verwenden proprietäre CSPRNGs, die von eCOGRA oder iTech Labs auditiert wurden — nicht Provably Fair. Die Mechanik ist zu komplex (kaskadierende Walzen, Bonus-Trigger, Feature-Käufe), um sich sauber auf eine einzelne HMAC-Ausgabe abzubilden. Provably Fair Slots existieren — BGaming, Spribe und Turbo versenden einige Titel mit PF — aber sie sind einfachere Designs. Für einen tieferen Vergleich der beiden Vertrauensmodelle siehe den Provably Fair vs RNG zertifizierten Vergleich.

Wie funktioniert PF-Würfel-Zuordnung?

Stake-artige PF-Würfel nehmen die HMAC-SHA256-Ausgabe, schneiden die ersten 5 Hexzeichen (manchmal 8-10), konvertieren zu Dezimal, wenden dann Modulo 1.000.000 an und dividieren durch 10.000, um einen Wert von 0-99,9999 zu erzeugen. Wenn das Ergebnis über 99,9999 liegt (eine statistische Seltenheit), rückt der Schnitt zum nächsten Chunk der Hexzeichenkette vor. Dies hält die Verteilung einheitlich ohne Verzerrung durch Hex-Trunkierung. Verifizierungstools benötigen die genaue Schnittbreite und den Divisor für jedes Casino, weshalb ein generischer Verifizierer manchmal eine andere Zahl anzeigt als die Casino-UI.

Wie funktioniert PF-Crash-Zuordnung?

Crash verwendet eine andere Formel. Die ersten 8 Hexzeichen der HMAC-Ausgabe werden in eine Ganzzahl `h` konvertiert. Wenn `h` durch einen bestimmten House-Edge-Faktor teilbar ist (33 bei Stake), ist der Crash-Multiplikator 1,00 (sofortiger Bust). Andernfalls ist der Multiplikator `floor((100 * 2^52 - h) / (2^52 - h)) / 100`. Dies erzeugt eine Verteilung, die zu niedrigen Multiplikatoren geneigt ist (die meisten Runden busten vor 2x), aber mit einem langen rechten Schwanz, der geduldige Einsätze belohnt. Die RTP beträgt ~99%, wenn der House-Edge-Faktor 1% ist.

Was passiert, wenn das Casino Math.random für seinen Server-Seed verwendet?

Das gesamte Protokoll bricht zusammen. Math.random in JavaScript wird vom System-Clock geseeded und erzeugt vorhersagbare Ausgabe — ein Spieler, der die ungefähre Serverzeit kennt, kann alle zukünftigen Server-Seeds vorberechnen und jeden Einsatz gewinnen. Jedes PF-Casino, das nicht-kryptographische Entropie verwendet (Math.random, zeitbasierte Seeds, vorhersagbare Zähler), ist praktisch nicht auditiert, auch wenn es Seed-Hashes anzeigt. Seriöse Casinos verwenden crypto.randomBytes (Node.js) oder crypto.getRandomValues (Browser) unterstützt durch OS-Entropiepools.

Kann ich einen Verifizierer für alle Provably Fair Casinos verwenden?

Für die Hash-Match-Überprüfung ja — SHA-256 ist universell. Für das Spielergebnis teilweise. Die meisten PF-Würfel-Sites verwenden die gleiche HMAC-SHA256 plus erste-5-Hex-Slice-Formel, daher reproduziert ein generischer Würfel-Verifizierer Stake, Primedice, Rainbet und die meisten Originals korrekt. Crash und Blackjack Zuordnungen variieren je nach Casino, und einige verwenden HMAC-SHA512 statt SHA-256 für Kartenspiele. Wenn der Hash passt, aber die Ergebnisnummer unterschiedlich ist, wechsle zum offiziellen Verifizierer des Casinos oder überprüfe die Fairness-Dokumente.

Ist Provably Fair RNG langfristig sicher gegen Quantencomputer?

Für die absehbare Zukunft ja. SHA-256 würde ungefähr 2^128 Quantenoperationen benötigen, um mit Grovers Algorithmus zu brechen — immer noch rechnerisch nicht durchführbar. HMAC-SHA256 fügt eine weitere Schicht hinzu. Die NIST Post-Quantum-Standardisierungsbemühung hat SHA-256 oder HMAC nicht als Ziel genommen, da sie selbst gegen großflächige Quantencomputer sicher bleiben. Public-Key-Kryptographie (RSA, ECDSA) ist anfällig für Quantenangriffe, nicht symmetrische Hashes. Provably Fair RNG bleibt in die 2030er Jahre und darüber hinaus sicher, sofern es keinen theoretischen Durchbruch gibt.

Provably Fair RNG erklärt: Technischer Leitfaden (2026)

Q: Warum HMAC statt einfaches SHA-256 verwenden?

HMAC ist eine Schlüssel-Hash-Funktion — sie lässt den Server-Seed als geheimen ‚Schlüssel' fungieren, der bekannt sein muss, um die Ausgabe zu reproduzieren. Einfaches SHA-256 hat diese Schlüsseleigenschaft nicht: SHA-256(server_seed + client_seed + nonce) würde immer noch deterministisch funktionieren, ist aber anfällig für Length-Extension-Angriffe, bei denen eine bösartige Partei einen neuen Hash mit einer längeren Nachricht berechnen könnte, ohne den Schlüssel zu kennen. HMAC umhüllt SHA-256 in einer Konstruktion, die Length-Extension besiegt, weshalb jedes moderne PF-Casino HMAC verwendet.

Q: Kann eine Blockchain Provably Fair Zufallszahlen generieren?

Nicht nativ. Blockchains sind deterministisch — jeder Validator muss das gleiche Ergebnis aus den gleichen Eingaben erzeugen, daher gibt es keine eingebaute Entropiequelle. Wenn eine dApp versuchte, Block-Hash, Zeitstempel oder Prevrandao als Zufall zu verwenden, könnten Miner sie manipulieren. Die Lösung ist Oracle-bereitgestellte Zufall wie Chainlink VRF, die die Zahl offchain mit einem verifizierbaren kryptographischen Beweis generiert und beides in die Kette postet. Für onchain NFT-Drops, Lotterien und einige Crypto-Casinos hat VRF naive Blockhash-Schemata weitgehend ersetzt.

Q: Was ist der Unterschied zwischen PRNG, CSPRNG und PF RNG?

Ein PRNG (Pseudo-Zufallszahlengenerator) ist deterministisch, aber nicht sicher — vorhersagbar bei genug Ausgabe (z.B. Math.random). Ein CSPRNG (kryptographisch sicherer PRNG) ist deterministisch *und* unvorhersehbar, selbst bei vorherigen Ausgaben, mit kryptographischen Primitiven wie HMAC-DRBG, AES-CTR oder ChaCha20. Ein PF RNG ist ein CSPRNG, eingehüllt in ein Commit-Reveal-Protokoll: Das Casino veröffentlicht den Seed-Hash vor deinem Einsatz, sodass du nach der Runde verifyzen kannst, dass das Casino den Seed nicht geändert hat. PF RNG = CSPRNG + Transparenz.

Q: Funktioniert Provably Fair bei Spielautomaten?

Selten. Die meisten großen Slot-Studios (Pragmatic Play, NetEnt, Play'n GO, Hacksaw) verwenden proprietäre CSPRNGs, die von eCOGRA oder iTech Labs auditiert wurden — nicht Provably Fair. Die Mechanik ist zu komplex (kaskadierende Walzen, Bonus-Trigger, Feature-Käufe), um sich sauber auf eine einzelne HMAC-Ausgabe abzubilden. Provably Fair Slots existieren — BGaming, Spribe und Turbo versenden einige Titel mit PF — aber sie sind einfachere Designs. Für einen tieferen Vergleich der beiden Vertrauensmodelle siehe den Provably Fair vs RNG zertifizierten Vergleich.

Provably Fair Zufallszahlengenerierung erklärt (2026)

Du hast gerade 0,5 BTC auf ein Krypto-Würfelspiel gesetzt. Der Bildschirm zeigt 37,42 und du verlierst. Du öffnest das Fairness-Panel und siehst einen Server-Seed-Hash, deinen Client-Seed und einen Nonce — vier Werte, die angeblich beweisen, dass nichts manipuliert wurde. Aber wie wurden aus diesen vier Werten eigentlich 37,42? Was hat zufällige Hex-Zeichen in einen spezifischen Würfelwurf verwandelt?

Hier ist das Ding: Das ganze „Provably Fair"-Versprechen hängt von einem spezifischen Prozess ab — der Umwandlung von kryptografischer Hash-Ausgabe in Spielergebnisse. Wenn du nicht verstehst, wie diese Umwandlung funktioniert, wirkt Provably Fair wie Marketing-Magie. Wenn du es verstehst, kannst du jedes PF-Casino in etwa 60 Sekunden prüfen, Fake-Implementierungen auf den ersten Blick erkennen und genau wissen, welche Angriffe das Protokoll verhindert und welche nicht.

Dieser Leitfaden führt dich durch Provably Fair Zufallszahlengenerierung so, wie es ein Entwickler 2026 implementieren würde — die CSPRNG-Grundlagen unter der Haube, die HMAC-SHA256-Formel, die Seeds in Zahlen verwandelt, die verschiedenen Mapping-Schemata für Würfel, Crash und Karten, und die Angriffsfläche, die selbst dann bestehen bleibt, wenn die Mathematik perfekt ist. Am Ende wirst du wissen, warum PF-RNGs kryptografisch unzerbrechlich sind, welche Implementierungsfehler sie trotzdem ruinieren, und wann Blockchain-Zufälligkeit (Chainlink VRF) stattdessen eingesetzt wird.

Kurzfassung — Wie PF-RNGs tatsächlich Zahlen generieren

Jedes Provably Fair-Spiel verwendet den gleichen RNG-Kern, nur die Ausgabe-Mapping unterscheidet sich. Hier ist die 60-Sekunden-Version.

Schritt	Was passiert	Wer kontrolliert es
1. Server-Seed generieren	CSPRNGs des Casinos gibt einen 32–64 Byte langen Zufallsstring aus	Casino
2. Hashen und veröffentlichen	SHA-256(server_seed) wird dir vor der Runde angezeigt	Casino
3. Client-Seed + Nonce sammeln	Dein Browser fügt einen Client-Seed hinzu; Nonce ist der Runden-Zähler	Du + Protokoll
4. HMAC berechnen	`hex = HMAC-SHA256(server_seed, client_seed : nonce)`	Deterministisch
5. Hex in Ergebnis abbilden	Slice + Modulo + Division = Würfelwurf, Crash-Multiplikator oder Karte	Deterministisch
6. Offenlegen und überprüfen	Nach Rotation wird der Raw-Seed offengelegt; jeder kann Schritt 4 erneut durchführen	Du

Die Mathematik ist:

$\text{outcome} = f\big(\text{HMAC-SHA256}(\text{server\_seed},\; \text{client\_seed} : \text{nonce})\big)$

Wobei f eine spielspezifische Mapping-Funktion ist — f_dice gibt 0-99,99 zurück, f_crash gibt einen Multiplikator zurück, f_cards gibt Kartendeck-Positionen zurück. Der HMAC-Teil ist identisch bei jedem PF-Casino der Welt.

Wichtige Zahlen, die du kennen solltest

3 Eingaben: Server-Seed + Client-Seed + Nonce erzeugen jedes Ergebnis
64 Hex-Zeichen: Länge einer SHA-256 / HMAC-SHA256-Ausgabe
128 Hex-Zeichen: Länge von HMAC-SHA512 (verwendet von BC.Game und PF Blackjack)
~2^256 Operationen: Was es bräuchte, um HMAC-SHA256 zu knacken — astronomisch unerreichbar
0,00-99,99: Standardwürfelbereich nach Mapping
1,00x bis ∞: Standardbereich für Crash-Multiplikator (in der Praxis durch Float-Genauigkeit begrenzt)

Fair ≠ Profitabel

Dass der RNG Provably Fair ist, sagt dir, dass das Casino das Ergebnis nach deiner Wette nicht manipulieren konnte. Es sagt dir nicht:

Ob der Hausvorteil angemessen ist (überprüfe RTP separat)
Ob das Casino Auszahlungen ehrt
Ob Boni und Umsatzbedingungen ehrlich sind
Ob der Server-Seed-Pool vor seiner Bestätigung unbefangen war

Wir behandeln die gesamte Angriffsfläche unten. Für einen umfassenderen Vergleich mit traditioneller Zertifizierung siehe unseren Provably Fair vs. RNG-zertifiziert Leitfaden.

Was macht einen RNG „Provably Fair"

Bevor wir zur Formel kommen, hilft es, Provably Fair von der breiteren RNG-Welt zu unterscheiden. PF ist eine spezifische Verbesserung von CSPRNGs, keine Ersetzung.

Das Commit-Reveal-Muster

Der ganze Trick hinter Provably Fair ist ein kryptografisches Muster namens Commit-Reveal.

Bevor die Runde beginnt, legt sich das Casino auf einen spezifischen Server-Seed fest, indem es seinen SHA-256-Hash veröffentlicht. Der Hash ist ein 64-stelliger Fingerabdruck, der den Seed eindeutig identifiziert, ohne ihn preiszugeben. Da SHA-256 keine praktischen Kollisionsangriffe hat, kann das Casino später keinen anderen Seed finden, der den gleichen Hash erzeugt — sie sind gebunden.

Nach der Runde (oder nachdem du Seeds rotierst), wird der Raw-Server-Seed offengelegt. Du hashst ihn selbst. Wenn dein berechneter Hash dem entspricht, was vor der Runde veröffentlicht wurde, hat das Casino bewiesen, dass es Seeds nicht mid-round getauscht hat. Kombiniert mit deinem Client-Seed (den sie vorher nicht kannten), macht dies Ergebnis-Manipulation pro Runde kryptografisch unmöglich.

Die Commit-Reveal-Schicht ist das, was PF von jedem anderen CSPRNG unterscheidet. Ein traditionelles RNG-zertifiziertes Casino verwendet auch einen CSPRNG — aber nichts hindert sie daran, es in der Produktion auszutauschen, wie iTech Labs-Audits nur statistische Eigenschaften überprüfen, nicht Runtime-Identität.

HMAC als RNG-Primitiv

HMAC-SHA256 ist der eigentliche Zufallszahlengenerator in jeder PF-Runde. Hier ist, warum es funktioniert:

Deterministisch: Bei den gleichen Eingaben erzeugt HMAC immer die gleiche Ausgabe. Das ist, was dir die Überprüfung ermöglicht.
Einweg: Aus der Ausgabe kannst du den Server-Seed (den Schlüssel) nicht wiederherstellen. Das ist, was das Ergebnis unvorhersehbar macht.
Uniform: HMAC-Ausgaben sind nicht vom Zufall zu unterscheiden — 256-Bit-Zeichenketten. Das ist, was das Spiel unvoreingenommen hält.
Verschlüsselt: Der Server-Seed fungiert als Geheimnis, das bekannt sein muss, um die Ausgabe zu reproduzieren. Das ist, was Manipulation verhindert.

Technisch gesehen ist HMAC-SHA256 von sich aus kein CSPRNG — es ist ein Message Authentication Code. Aber wenn der Schlüssel (Server-Seed) aus einer echten Entropiequelle generiert wird, ist die Konstruktion für alle praktischen Zwecke gleichwertig mit einem CSPRNG. NIST formalisierte dies als HMAC_DRBG in SP 800-90A Rev 1, und PF-Casinos implementieren im Wesentlichen diesen Standard mit zusätzlicher öffentlicher Seed-Bestätigung neu.

Warum CSPRNGs wichtig sind (nicht Math.random)

Jedes legitime PF-Casino generiert seinen Server-Seed mit einem kryptografisch sicheren RNG — nicht mit JavaScripts Math.random(). Der Unterschied ist wichtiger als den meisten Spielern bewusst ist:

Generator	Nach Anzeige der Ausgabe vorhersehbar?	Akzeptabel für PF?
`Math.random()` (V8 in Chrome)	Ja, nach ~700 Ausgaben	Niemals
Linux `/dev/urandom`	Nein	Ja
`crypto.getRandomValues` (Browser)	Nein	Ja
Node.js `crypto.randomBytes`	Nein	Ja
Hardware-RNG (Intel RDRAND)	Nein	Ja

Wenn ein Casino seinen Server heimlich mit Math.random() seeded, könnte ein ausgeklügelter Angreifer den Seed aus genügend öffentlichen Ausgaben rekonstruieren und jede zukünftige Runde vorhersagen — selbst wenn die HMAC-Mathematik fehlerfrei ist. Deshalb ist es wichtig zu überprüfen, ob dein Casino tatsächlich crypto.randomBytes oder Äquivalentes verwendet; der Was ist Provably Fair Glücksspiel Erklärtext behandelt die vollständige Vertrauenskette.

Wie die Zahl tatsächlich generiert wird

Jetzt zur eigentlichen Formel. Dies ist der Abschnitt zum Speichern — alles oben war Kontext.

Drei Eingaben, Eine Formel

Jede Provably Fair-Runde berechnet:

$\text{hex\_output} = \text{HMAC-SHA256}(\text{server\_seed},\; \text{client\_seed} \; : \; \text{nonce})$

Im Pseudocode:

function pfHmac(serverSeed, clientSeed, nonce) {
  const message = clientSeed + ':' + nonce
  const hex = hmacSha256(serverSeed, message)  // 64-stellige Hex-Zeichenkette
  return hex
}

Der : Doppelpunkt ist das kanonische Trennzeichen bei Stake, Primedice, Rainbet und den meisten PF-Casinos. Einige wenige (BC.Game, Roobet) verwenden unterschiedliche Trennzeichen — überprüfen Sie immer die Fairness-Dokumentation des Casinos auf das genaue Format.

Die Ausgabe ist eine 64-stellige Hexadezimalzeichenkette wie 8b2d4a1f9c6e7b3d5a8f2c9e4b1d7a6f3e8c5b2d9a4f7e1c8b3d6a2f9e5c4b7d. Dieses Hex ist die Rohzufälligkeit — 256 Bit Unvorhersehbarkeit, statistisch nicht zu unterscheiden von 256 fairen Münzwürfen.

Verifizierungstransparenz: Aviator vs. andere Methoden

Wie verifizierbar ist jede Methode? Grün = hohe Transparenz (75+), Gelb = mittel (40–74), Rot = niedrig/keine (unter 40). Provably Fair Aviator ermöglicht es dir, jeden einzelnen Crash zu verifizieren.

Diagramm wird geladen...

Hoch (75+)

Mittel (40–74)

Niedrig (unter 40)

Die Scores spiegeln wider, in welchem Ausmaß einzelne Spielergebnisse vom Spieler unabhängig überprüft werden können.

Schritt für Schritt: Von der HMAC-Ausgabe zum Würfelwurf

Lassen Sie uns eine komplette Runde durchgehen.

Gegebene Werte:

server_seed = f4a9c2e1b7d8e3c5a1b9f6d2e8c4a7b3e9d1c6a2b5f8e4c7a3b6e1d9c2a5b8f4
client_seed = player-xyz-42
nonce = 7

Schritt 1 — HMAC berechnen:

HMAC-SHA256(server_seed, "player-xyz-42:7")
= 8b2d4a1f9c6e7b3d5a8f2c9e4b1d7a6f3e8c5b2d9a4f7e1c8b3d6a2f9e5c4b7d

Schritt 2 — Erste 5 Hex-Zeichen auswählen:

8b2d4 → in Dezimalzahl konvertieren → 569.300

Schritt 3 — Auf 0-99,9999 abbilden:

dice = (569_300 % 1_000_000) / 10_000
     = 569_300 / 10_000
     = 56,93

Schritt 4 — Wettlogik anwenden:

Wenn Sie „unter 50 würfeln" wetten → Sie verlieren (56,93 > 50). Wenn Sie „unter 60 würfeln" wetten → Sie gewinnen. Der exakte Wurf wurde in dem Moment festgelegt, als diese drei Eingaben kombiniert wurden, bevor eine UI-Animation ablief.

Schritt 5 — Verifizieren:

Nach der Runde erhalten Sie den offengelegten server_seed. Sie hashen ihn — SHA-256 entspricht dem vorgefertigten Hash? Gut. Sie führen die Schritte 1-3 erneut durch — reproduziert 56,93? Gut. Die Runde ist kryptographisch Provably Fair.

Für eine vollständige Anleitung mit kopier-einfügen-Werten und Screenshots siehe wie man eine Provably Fair-Runde verifiziert.

Verschiedene Spiele, Verschiedene Abbildungen

Der HMAC-Aufruf ist immer identisch. Was sich ändert, ist Schritt 3 — wie die Hex-Zahl zu einem spezifischen Spielergebnis abgebildet wird.

Spiel	Hex-Auswahl	Formel	Ausgabebereich
Dice	Erste 5 Zeichen	`(int % 1e6) / 1e4`	0,0000-99,9999
Crash	Erste 8 Zeichen	`floor((100 * 2^52 - h) / (2^52 - h)) / 100`	1,00x bis sehr hoch
Coinflip	Erste 2 Zeichen	`int % 2` (0 oder 1)	Kopf/Zahl
Roulette	Erste 2 Zeichen	`int % 37` (Euro) oder `% 38` (Am)	0-36 oder 0-37
Plinko	Erste 4 Zeichen × n Drops	`int % rows` pro Drop	Weg durch Stifte
Blackjack (HMAC-SHA512)	4 Zeichen pro Karte	`int % 52` mit Ersetzungslogik	Kartendeckposition

Jede Abbildung ist so konzipiert, dass sie über ihren Ausgabebereich gleichmäßig verteilt ist — modulare Arithmetik auf einem gleichmäßig zufälligen Hex-Wert bewahrt Gleichmäßigkeit. Dies ist der Grund, warum PF-Spiele eine ehrliche RTP beanspruchen können, ohne dass das Casino einzelne Runden manipuliert. Es ist die Abbildungsformel, die abgestimmt wird, um die Hausvorteil-Zielquote des Casinos zu erreichen, nicht die Zufallszahl selbst.

Von der Hex-Zeichenkette zum Spielergebnis (Mit Mathematik)

Die Dice-Abbildung lohnt sich zu analysieren, da sie der klarste Fall ist — und weil sie zeigt, warum Provably Fair-Würfelverteilungen bei korrekter Implementierung wirklich gleichmäßig sind.

Dice-Abbildung (0-99,9999)

Stake's Würfelspiel verwendet die ersten 5 Hex-Zeichen, was 20 Bit = 1.048.576 mögliche Werte ergibt. Die Abbildung ist:

$\text{dice} = \frac{(\text{int}(\text{hex}_{0:5}) \; \text{mod} \; 10^6)}{10^4}$

Warum Modulo 1.000.000, wenn die Auswahl bis 1.048.575 reichen kann? Weil ohne das Modulo Werte 1.000.000-1.048.575 zu 100,0000-104,8575 abgebildet würden, außerhalb des Würfelbereichs. Modulo faltet diese zurück — führt aber eine winzige Verzerrung ein (Werte 0-48.575 sind um den Faktor 2/1 wahrscheinlicher als 48.576-99.999). Um die Verzerrung zu beseitigen, lehnen echte Implementierungen Auswahlen über 1.000.000 ab und rücken zum nächsten Hex-Block vor (Zeichen 5-10, dann 10-15, etc.).

Richtig durchgeführt, erzeugt dies eine perfekt gleichmäßige Verteilung über 0,0000-99,9999. Ein 10.000-Wurf-Test zeigt im Wesentlichen eine flache Abdeckung — das Histogramm unten reproduziert das, was Sie mit jeder legitimen PF-Würfel-Implementierung sehen würden.

10.000 Provably-Fair-Würfelwürfe — Verteilung auf Intervalle

Jedes Intervall deckt einen 10-Punkte-Abschnitt des Würfelbereichs 0-99,99 ab. Erwartete Anzahl pro Intervall: 1000. Beobachtete Werte liegen innerhalb von ±3 % — statistisch nicht von gleichverteilter Zufälligkeit zu unterscheiden. Erzeugt durch 10.000 HMAC-SHA256-Berechnungen mit aufsteigenden Nonces.

Diagramm wird geladen...

Stichprobe

10,000

Mittelwert

49.97

Std.-Abw.

28.85

χ² (10 Intervalle)

2.58

χ²-Schwellenwert für Gleichverteilung bei 9 Freiheitsgraden (p=0,05) beträgt 16,92. Beobachtete 2,58 liegt deutlich darunter — keine messbare Abweichung. Zahlen erzeugt über Web Crypto API HMAC-SHA256.

Crash-Abbildung (Multiplikator)

Crash ist interessanter, weil die Ausgabe nicht gleichmäßig ist — sie ist absichtlich verzerrt, um dramatisches Gameplay zu schaffen und gleichzeitig einen Zielhousvorteil zu bewahren.

$\text{crash} = \frac{\left\lfloor \dfrac{100 \cdot 2^{52} - h}{2^{52} - h} \right\rfloor}{100}$

Wobei h = int(hex[0:8]) (eine 32-Bit-Ganzzahl aus den ersten 8 Hex-Zeichen). Mit einer Änderung: Wenn h mod 33 == 0, ist der Multiplikator 1,00x (sofortiger Crash), was Stake's ~1% Hausvorteil erzeugt. Andere Casinos verwenden unterschiedliche Divisoren — 25 (Rainbet ~4% Edge), 50 (niedrig-Edge-Varianten), 100 (sehr niedrig-Edge).

Führen Sie diese Formel eine Million Mal aus und Sie erhalten eine Verteilung, bei der ~50% der Runden unter 2x crashen, ~10% die 10x überschreiten und etwa 1% die 100x erreichen. Der erwartete Wert beläuft sich auf 0,99 pro 1 Einsatz — die fehlenden 1% sind der Hausvorteil, der in die Konstanten der Formel eingebacken ist, nicht in eine Pro-Runden-Manipulation.

Karten-Abbildung (Deck-Shuffles)

PF-Blackjack, Poker und Baccarat mischen virtuelle Decks mit HMAC-SHA512 (längere Ausgabe = mehr Karten pro Hash-Aufruf). Fisher-Yates-Shuffle ist der Standard:

for i = 51 down to 1:
  j = hmac_int(i) mod (i + 1)
  swap(deck[i], deck[j])

Jeder hmac_int(i)-Aufruf verbraucht 4 Hex-Zeichen der 128-stelligen SHA-512-Ausgabe. Die Karten einer Runde werden vollständig durch einen HMAC-Aufruf bestimmt, weshalb Sie bei PF-Blackjack-Spielen häufig 13+ dezimal konvertierte Ganzzahlen im Verifizierungspanel sehen — eine pro Kartentausch. Für die spezifische Implementierung bei Stake und BC.Game siehe den Provably Fair-Blackjack-Leitfaden.

Traditionelle RNG vs. Provably Fair RNG

Auf der RNG-Ebene speziell (nicht auf dem breiteren Fairness-Stack) ist PF eine strikte Obermenge von zertifiziertem CSPRNG.

Wo traditionelle RNGs zu kurz greifen

Zertifizierte RNGs von eCOGRA, iTech Labs und GLI sind alle kryptografisch sicher — die Mathematik ist genauso stark wie die von PF. Das Problem liegt nicht in der Primitive, sondern im Laufzeit-Vertrauensmodell:

Der zertifizierte RNG läuft auf dem Server des Casinos, einmalig geprüft
Du siehst seine Ausgabe nie direkt, nur den Endzustand des Spiels
Nichts zwingt das Casino, den zertifizierten Code in der Produktion weiter zu nutzen
Ein Streit pro Runde kann nicht in Echtzeit gelöst werden

Wenn Pragmatic Play's zertifizierter Slot-Engine bei Roobet still einen anderen RNG lädt als den, den eCOGRA getestet hat, fängt keine Zertifikatsprüfung das auf. Die Lücke schließt sich nur durch offene Verifizierung pro Runde.

Was PF zur Primitive hinzufügt

Provably Fair nimmt die gleiche kryptografische Grundlage und macht sie transparent. Konkret:

Der Server-Seed-Hash wird vor deiner Wette veröffentlicht (Commitment)
Dein Client-Seed trägt zur HMAC-Eingabe bei (Co-Signatur)
Der Raw-Server-Seed wird nach der Runde offengelegt (Reveal)
Die Berechnung ist deterministisch und in jedem Browser reproduzierbar (Verifizierung)

Das ist der ganze Unterschied. Gleiches HMAC, gleiche CSPRNG-Mathematik — mit vier zusätzlichen Transparenz-Schritten überlagert. Einen tieferen Überblick, wie beide Modelle sich vergleichen, findest du unter Provably Fair vs. RNG-zertifiziert.

Blockchain-Randomness — Chainlink VRF und Onchain-Spiele

PF RNG funktioniert gut für zentralisierte Krypto-Casinos. Aber was ist mit vollständig dezentralisierten Anwendungen — Onchain-Lotterien, NFT-Eigenschaftszuweisung, Onchain-Würfelspiele? Dort übernimmt eine andere Lösung.

Warum Blockchains keine sicheren Zufallszahlen generieren können

Jede Blockchain ist absichtlich deterministisch — jeder Validator muss aus den gleichen Eingaben den gleichen Zustand erzeugen, oder der Konsens bricht. Das macht Zufälligkeit strukturell schwierig:

block.timestamp ist miner-steuerbar in einem Fenster von wenigen Sekunden
block.blockhash kann von Minern durch Blockeinbehalt manipuliert werden
block.prevrandao (Post-Merge Ethereum) ist besser, aber immer noch von Validatoren beeinflussbar
Jede Onchain-Entropiequelle kann vom Smart Contract vor ihrer Nutzung gelesen werden und besiegt damit den Zweck

Naive dApp-Lotterien, die Blockhash nutzen, wurden in der Vergangenheit geleert. Der wirtschaftliche Anreiz, einen 1-Millionen-Dollar-Jackpot zu manipulieren, kann einen Miner rational veranlassen, einen Block einzubehalten.

Wie Chainlink VRF es löst

Chainlink VRF (Verifiable Random Function) generiert Zufälligkeit offchain und liefert sie mit kryptografischem Beweis onchain. Der Ablauf:

Der Smart Contract fordert eine Zufallszahl an
Der Chainlink-Orakel generiert den Wert offchain mit seinem privaten Schlüssel + Request-Seed
Der Beweis ist eine BLS-Signatur, die jeder gegen den öffentlichen Schlüssel des Orakels verifizieren kann
Sowohl der Wert als auch der Beweis werden in einer einzigen Transaktion onchain zurückgeposted
Der Contract verifiziert den Beweis, bevor er den Wert nutzt

Die kritische Eigenschaft: Weil der Beweis die Zufallszahl an den privaten Schlüssel des Orakels und den Request-Seed bindet, kann das Orakel keine bequemen Werte cherry-picken. Jede Abweichung ist mathematisch nachweisbar.

Wann VRF vs. HMAC-basiertes PF nutzen

Anwendungsfall	Beste Wahl	Warum
Zentralisiertes Würfelspiel/Crash	HMAC-basiertes PF	Einfacher, günstiger, gleiche Garantien
Onchain-Lotterie	Chainlink VRF	Vertrauensfrei, kein zentraler Betreiber
NFT-Eigenschaftszuweisung	Chainlink VRF	Nicht manipulierbare Seltenheit
Zentralisiertes Blackjack	HMAC-basiertes PF	Chainlink VRF zu teuer pro Karte
DeFi-Spiel mit hohem Jackpot	Chainlink VRF	Miner-Manipulationsrisiko zu hoch

Die meisten Krypto-Casinos nutzen 2026 immer noch HMAC-basiertes PF, weil es schnell, günstig und bereits gut verstanden ist. VRF ist, wo Onchain-DeFi, NFTs und vollständig dezentralisierte Gaming glänzen. Unsere Provably Fair Bitcoin-Spiele-Rangliste filtert speziell danach, welche PF-Implementierung jedes Casino nutzt. Wer diese Konzepte an einem echten Casino stresstesten möchte, findet im Provably-Fair-Verzeichnis Implementierungen, die sich ohne Einzahlung prüfen lassen — die meisten geben Server-Seed-Hashes über einen öffentlichen Endpoint preis.

Angriffsfläche von PF-RNGs

Ein kryptografisch perfekter PF-RNG kann durch fehlerhafte Implementierung immer noch kompromittiert werden. Hier ist, was die Mathematik überstehen kann.

Biased-Seed-Pool-Angriff

Der realistischste Angriff — und ein Grund, warum die Client-Seed-Rotation wichtig ist.

Ein unehrliches Casino generiert tausende Kandidaten-Server-Seeds im Voraus. Für jeden berechnet es die Ergebnisse gegen häufige Client-Seed-Muster (Standard-Browser-Formate, häufige Wörter). Es setzt nur Seeds ein, die zufällig mehr Verluste als Gewinne gegen vorhersehbare Client-Seeds produzieren.

Jeder eingesetzte Seed hasht immer noch korrekt zu seinem vorab festgelegten Hash. Die Commit-Reveal-Mathematik passt. Aber der Pool der verfügbaren Seeds wurde vor der Sicht eines Spielers handverlesen, und der langfristige Hausvorteil überschreitet stillschweigend die angegebene RTP.

Warum Rotation Das Besiegt

Biased-Seed-Angriffe erfordern, dass das Casino deinen zukünftigen Client-Seed vor dem Commitment des Server-Seeds kennt. Rotiere deinen Client-Seed alle 50–100 Einsätze und die Vorberechnung des Casinos wird nutzlos — sie committed sich zu einem Server-Seed, bevor sie den neuen Client-Seed kannte, also können sie Ergebnisse nicht steuern.

Deshalb lassen legitime Casinos dich sofort rotieren. Ein PF-Casino, das die Client-Seed-Rotation verweigert (oder den Client-Seed nach eigenem Zeitplan, nicht deinem, automatisch regeneriert), signalisiert, dass die Angriffsfläche offen ist. Der Client-Seed vs Server-Seed-Leitfaden deckt den vollständigen Rotations-Workflow ab.

Schwache Entropiequellen

Wenn die Server-Seed-Generierung vorhersehbare Entropie verwendet, läuft das Commit-Reveal-Protokoll trotzdem, aber der Angreifer kann Seeds vorhersagen.

Die Math.random-Falle

Javas Script Math.random() ist eine Variante eines linearen Kongruenzgenerators. Nach Beobachtung von ~700 aufeinanderfolgenden Ausgaben kann ein Angreifer den vollständigen internen Zustand rekonstruieren und jede nachfolgende Ausgabe vorhersagen. Wenn ein PF-Casino Math.random für die Server-Seed-Generierung verwendet:

Angreifer spielt 700+ Runden und sammelt jeden offenbarten Server-Seed
Angreifer rekonstruiert den PRNG-Zustand
Angreifer sagt den nächsten gehashten Server-Seed vor dem Commitment voraus
Angreifer wettet mit vollständiger Kenntnis des Ergebnisses

Prävention: Casinos müssen crypto.randomBytes(32) (Node.js), crypto.getRandomValues(new Uint8Array(32)) (Browser) oder Hardware-RNG verwenden. Der Unterschied ist eine Codezeile, aber die Sicherheitslücke ist total.

Implementation Red Flags

Kurze Checkliste von Signalen, dass ein PF-RNG nicht sicher ist:

Keine Client-Seed-Rotations-Schaltfläche, oder Rotation dauert >5 Sekunden
Client-Seed wird vom Casino nach eigenem Zeitplan automatisch regeneriert
Server-Seed-Verlauf zeigt nicht den Algorithmus oder die Slice-Breite
Verifikationstool funktioniert nur auf der Website des Casinos selbst (nicht lokal)
Kein veröffentlichter Hash-Algorithmus — „SHA-256 irgendwo" ist nicht genug; du brauchst die genaue Formel
Offenbarte Server-Seeds stimmen in keiner Runde mit ihren vorgegebenen Hashes überein

Jedes dieser Signale deutet darauf hin, dass die PF-Behauptung Marketinglack auf einem gewöhnlichen RNG ist. Für einen Vergleich, welche Casinos ihren PF-Code tatsächlich veröffentlichen, siehe die provably-fair-Bitcoin-Spiele-Ranking.

Selbst Ausprobieren — Interaktiver Verifizierer

Die Mathematik hört auf, abstrakt zu sein, sobald du sie auf deinen eigenen Seeds ausführst. Füge beliebige vier Werte aus dem Fairness-Panel deines Casinos in den Verifizierer unten ein — alles wird in deinem Browser über die Web Crypto API ausgeführt, keine Daten werden an unseren Server gesendet.

Ein praktischer Tipp: Wenn du keine echte PF-Casino-Wette zur Hand hast, versuche diese wegwerfbaren Testwerte, um eine verifizierte Runde zu sehen:

Server-Seed-Hash: bf3c0a9b0f4b3c8e8f4f0c5f0c4e8b7d8f3e2a1c9f6e3b7c4d5a8e2f9b1c6d3a (nur Beispiel — stimmt nicht mit echten Hashes überein)
Server-Seed: f4a9c2e1b7d8e3c5a1b9f6d2e8c4a7b3e9d1c6a2b5f8e4c7a3b6e1d9c2a5b8f4
Client-Seed: demo-player
Nonce: 1

Das Ergebnis zeigt ein PASS/FAIL-Urteil zum Hash-Match sowie die rekonstruierten Dice- und Crash-Ergebnisse. Die gleiche Logik läuft hinter dem Aviator-Provably-Fair-Rechner für Spribes Crash-Style-Spiel und unser vollständiger Verifizierer unter dem Provably-Fair-Hub deckt jedes Mainstream-PF-Casino ab. Um Wetten gegen eine bekannte RTP zu dimensionieren, nachdem du bestätigt hast, dass der RNG legitim ist, kombiniere es mit unserem RTP-Rechner, Hausvorteil-Rechner und Bankroll-Rechner.

Unterm Strich: Die Mathematik ist nur dann wasserdicht, wenn das Casino den Hash tatsächlich vor der Wette veröffentlicht. Prüfen Sie jede Implementierung anhand des Provably-Fair-Hubs — wir halten fest, ob der Seed korrekt festgesetzt wird und wo der Hash einsehbar ist.