点对点卡牌游戏的密码学

你的问题是密码学中著名的“心理扑克问题”（Mental Poker Problem） （这是我在大学时最喜欢密码学课程的一部分之一）。虽然会有很大的性能影响，但它是可能解决的（就像所有密码学问题一样，部分地由Ron Rivest解决）。详细信息请查看维基百科页面。

我想描述一个很快就出现在我的脑海中的想法。我不知道它是否符合您的需求，所以请随意评论。
假设玩家A有卡牌A1，A2，A3，...来自由数字0、1、...N-1表示的集合。这些牌也可能分成堆，但这并不改变以下内容。
不要使用单个列表[A1，A2，A3，...]处理这些卡，而是使用两个[A1_a，A2_a，A3_a，...]和[A1_b，A2_b，A3_b，...]，其中一个与玩家A一起使用，另一个与玩家B一起使用。它们是如此生成的，以便每个都是随机的（在范围0…N-1内），但两者相关，使得A1_a + A1_b = A1，A2_a + A2_b = A2，..(所有操作模N)。
因此，没有任何一位玩家实际上可以在没有对方堆栈的情况下知道卡片（即他不能合理地更改卡片）；
每当您需要知道卡牌时，两个玩家都会显示其相应值，然后您将它们相加并对N取模；
您可以轻松地实现诸如“抽卡”之类的东西，只需以相同的方式处理两个堆栈即可。

传统的Mental Poker方案过于复杂。实际上，你的情况要简单得多，因为没有共享的牌堆。你可以这样做：A选手拿起他的牌并使用密钥Ka加密它们。他将它们发送给B进行洗牌，然后使用密钥Kb加密。每次A想要打出一张牌时，他向B请求下一张卡牌的（Kb）解密。 A解密后找到他抽到的牌。最后，A和B揭示Ka和Kb，并与游戏日志进行比较，以防止作弊。
更新：经过反思，这里有一个更简单的解决方案：与上述相同，玩家A加密他的牌并将其发送到B。 B进行洗牌。每当A需要一张牌时，他告诉B他从哪个牌堆中抽牌。B从适当的牌堆中返回（加密的）卡牌。

也许玩家们可以在游戏开始时交换他们牌堆的哈希值。
然后当游戏结束时，玩家们交换他们牌堆在游戏开始时的实际构成。现在，玩家的客户端可以检查它是否与之前得到的哈希值匹配，然后检查所有已经进行的移动是否适用于这些牌堆。
唯一的问题是如何最初洗牌。您需要确保玩家不能只按任意顺序开始他的牌堆。
也许可以通过从某个特定来源获取随机性来生成玩家的初始牌堆顺序。但是必须保证另一个玩家在游戏结束之前无法知道另一个玩家的牌堆顺序，但仍然可以检查玩家没有篡改他们的牌堆。不确定如何实现这一点。
另一个想法。也许不是在游戏开始时生成随机牌堆，而是在游戏进行中生成。
每当玩家需要从牌堆中取出一张新卡牌时，对手会发送给他们一些随机种子，用于选择下一张卡牌。
这样用户就没有办法知道卡牌将按什么顺序出现在他们的牌堆中。
我不确定如何防止其他玩家能够知道他们将为对手选择哪张卡牌。如果种子用于从对手拥有哈希值以验证的某种随机排序的卡牌列表中选择一张牌，他们可以检查所有可能的卡牌组合，并找出与哈希值匹配的那个，从而能够通过发送一个会导致选择该卡牌的种子来指定他们想让另一个玩家抽取的卡牌。

虽然使用中央服务器可能是最简单的方法，但如果您想避免使用它，则可以使用分布式系统，其中每个玩游戏的人都是其他玩家卡组的存储主机（不是自己或对手的卡组，而是其他任何人的）。我相信Limewire和Bittorrent都是这样工作的，因此您可以通过研究这些源代码来获得一些想法。

这是Acorns方法的改编：

设置：

每个玩家都有自己的牌组（一组有序的卡牌）...这些牌组是公开的，并按照自然顺序排列。

每个玩家需要一个非对称（签名）密钥对，公钥交换。

现在来解决随机性问题：

由于玩家可能无法提前看到他们将抽到哪些卡牌，对手将成为我们随机数的来源：

当我们需要一些随机值时，我们向对手请求...随机值与后续要检查的移动一起存储。

由于对手可能无法操纵我们卡牌的顺序，我们将接收到的随机值用我们的私钥进行签名...该签名的值将成为我们的RNG种子（对对手来说是不可预测的），稍后对手可以验证签名是否与他/她生成的随机数相匹配（因此我们也存储签名，并在游戏后交换它们）。

由于我们可以在每一轮进行这种随机数交换，所以随机值对于玩家来说事先是未知的->不能窥视我们牌堆的顺序。

现在我们有了一个种子随机数生成器，因此我们可以获得从该“共享”随机值派生的随机值... 这样我们就可以从我们的牌堆中抽取“随机”（完全确定性的，具有可重复验证的结果）的牌...牌堆/堆不需要洗牌，因为我们可以从我们的随机数生成器中获取随机位置

由于我们已经交换了所有的随机值、签名、初始牌堆（按总顺序）和所有移动，因此我们可以在之后重播整个游戏并检查是否存在异常情况。