Московская система голосования за блокчейн взломана за месяц до выборов

Французский исследователь получил 15 000 призов за поиск ошибок в московской системе голосования на основе Ethereum.

Каталин Чимпану за нулевой день | 20 августа 2019 22:57 GMT (15:57 PDT) | Тема: Безопасность

прочитай это

Механизм доверия с технологией может сделать голосование онлайн более реалистичным.

Французский исследователь безопасности обнаружил критическую уязвимость в системе голосования на основе блокчейнов, которую российские чиновники планируют использовать в следующем месяце для выборов в Московскую городскую думу 2019 года.

Пьеррик Годри, академик Университета Лотарингии и исследователь французского научно-исследовательского института цифровых наук INRIA, обнаружил, что он может вычислить закрытые ключи системы голосования на основе ее открытых ключей. Эти закрытые ключи используются вместе с открытыми ключами для шифрования пользовательских голосов, поданных на выборах.

Московский блокчейн, система голосования, шифрование сломано за 20 минут

Годри обвинил российские чиновники в этом вопросе, используя вариант схемы шифрования ElGamal, который использовал слишком малые размеры ключей шифрования для обеспечения безопасности. Это означало, что современные компьютеры могут взломать схему шифрования за считанные минуты.

«Его можно сломать примерно за 20 минут, используя стандартный персональный компьютер и используя только бесплатное программное обеспечение, которое является общедоступным», — сказал Годри в отчете, опубликованном ранее в этом месяце.

«Как только эти [закрытые ключи] станут известны, любые зашифрованные данные могут быть расшифрованы так же быстро, как они созданы», — добавил он.

Система электронного голосования в московском парламенте, основанная на цепочках, в основном небезопасна, как, впрочем, и полностью сломана. https://t.co/EafAAYXkpB pic.twitter.com/ISNcuPDvFu

— Лукаш Олейник (@lukOlejnik) 20 августа 2019 г.

Читайте так же
Система безопасности Ring Alarm выступает в роли к... Новая программа Works with Ring помещает интеллектуальные устройства в приложение Ring. если у вас есть система безопасности Alarm. Концентратор Ring Alarm выступает в роли концентратора для сторонних устройств Z-Wave. У компании Amazon, компании п...
Контрактная сделка без предварительной стоимости и... Поскольку Samsung Galaxy S10 без SIM-карты по конкурентоспособной цене составляет 699 фунтов стерлингов, вам будет нелегко найти контрактную сделку, предусматривающую авансовые расходы, которые не обойдутся вам в пятьдесят с лишним фунтов в месяц. Эт...
Sky TV предлагает два бесплатных обновления в этом... Sky TV обновление как новые функции объявлено (Изображение: SKY) У пользователей Sky TV есть пара новых вещей, которые можно попробовать в этом месяце. Телевизионная фирма анонсировала несколько основных дополнительных функций, включая улучшения св...

Что злоумышленник может сделать с этими ключами шифрования, в настоящее время неизвестно, так как протоколы системы голосования еще не были доступны на английском языке, поэтому Годри не мог продолжить расследование.

«Не прочитав протокол, трудно сказать точно последствия, потому что, хотя мы считаем, что эта слабая схема шифрования используется для шифрования бюллетеней, неясно, насколько легко злоумышленнику получить соответствие между бюллетенями и избиратели ", сказал французский исследователь.

«В худшем случае голоса всех избирателей, использующих эту систему, будут открыты для всех, как только они проголосуют».

Первая в своем роде система

Требуется расширить его, хотя при использовании современных технологий безопасная система онлайн-голосования невозможна.

Московская система голосования за блокчейн является первой в своем роде. Он был разработан собственными силами Московским департаментом информационных технологий и работает как «умный контракт» поверх платформы блокчейна Ethereum.

Система голосования будет запущена 8 сентября и будет работать в течение 12 часов, синхронно с официальной сессией голосования.

После развертывания в день выборов (8 сентября) жители Москвы смогут голосовать на выборах через Интернет, через свои телефоны или домашние компьютеры и криптографически записывать свои голоса в общедоступной блокчейне Ethereum.

Эта система голосования, основанная на интернет-технологиях и блокчейнах, не ограничивается людьми, путешествующими за границей, или людьми с ограниченными возможностями. Каждый, кто регистрируется заранее, может использовать его, что означает, что он может привлечь людей, которые обычно пропускают дни выборов.

Когда московское интернет-голосование будет развернуто в следующем месяце, оно станет первой системой, основанной на блокчейне, используемой на выборах, имеющих обязательную юридическую силу, а не только в ограниченных тестах.

Московские чиновники обещают исправить

Французский академик смог протестировать грядущую систему голосования на основе блокчейна в Москве, потому что официальные лица опубликовали ее исходный код на GitHub в июле и попросили исследователей сделать свои лучшие снимки.

Московская система голосования за блокчейн взломана за месяц до выборов

После открытия Годри Московский департамент информационных технологий пообещал исправить сообщенную проблему, используя слабый закрытый ключ.

«Мы абсолютно согласны с тем, что длина закрытого ключа 256×3 недостаточно безопасна», — заявил представитель в своем ответе. «Эта реализация использовалась только в пробном периоде. Через несколько дней длина ключа будет изменена на 1024».

Читайте так же
Топ темный веб-рынок будет закрыт в следующем меся... Dream Marketplace, лучший темный интернет-рынок в последнее время, представил планы закрытия 30 апреля следующего месяца. Объявление, полученное здесь в тот же день, сотрудники Европола, ФБР и DEA представили десятки арестов и огромное подавление те...
Dragon Quest I, II, III в этом месяце будет запуще... Первые три записи в серии Dragon Quest будут выпущены в Северной Америке и Европе в конце этого месяца на Nintendo Switch, подтвердил Square Enix. Dragon Quest I, II и III будут доступны для покупки отдельно в Switch eShop с 27 сентября по цене 4,99...
Получите подписку Audible за £ в месяц вместо £... - Получите подписку Audible со скидкой, которую вы можете отменить в любое время Мы все знаем, что чтение важно, но найти время, чтобы свернуться калачиком с хорошей книгой, может быть проблемой. К счастью, благодаря Audible вы все равно можете прос...

Годри, который обнаружил, что московские чиновники изменили схему шифрования ElGamal, чтобы использовать три более слабых закрытых ключа вместо одного, не смог объяснить, почему ИТ-отдел выбрал этот маршрут.

«Это загадка», — сказал французский исследователь. «Единственное возможное объяснение, которое мы можем придумать, заключается в том, что дизайнеры думали, что это компенсирует слишком малые размеры ключей участвующих простых чисел. Но 3 простых числа по 256 битов на самом деле не совпадают с одним простым числом из 768 бит».

Однако открытого ключа длиной 1024 бита может быть недостаточно, считает Годри, который считает, что чиновникам следует использовать один из не менее 2048 битов.

Это дизайнерское решение также поставило в тупик Криса Робертса, главного стратега по безопасности в Attivo Networks.

«Почему на этой планете разработчики платформы в первую очередь выбирают слабую длину — это, очевидно, вопрос. Это недостаток знаний и понимания? Или просто стремление максимизировать скорость и эффективность или что-то еще», — сказал Робертс.

«Система США МОЖЕТ многому научиться у Матери-России»

«В этом есть хорошая сторона», — добавил он. «Тот факт, что Москва позволила другим взглянуть на код, изучить его, а затем помочь им закрепить его».

Кроме того, московские чиновники также утвердили денежное вознаграждение для Годри, который, согласно российскому новостному сайту Meduza, должен заработать один миллион российских рублей, что составляет чуть более 15 тысяч.

Согласно предыдущему отчету от июля, награда Годри близка к главному призу, который местное правительство Москвы пообещало охотникам за ошибками, разместив код на GitHub, который был 1,5 миллиона российских рублей (22 500).

«Американская система МОЖЕТ многому научиться у Матери-России по этому вопросу», — сказал Робертс, имея в виду множество проблем роста, которые США переживают в последнее время, пытаясь обезопасить свои машины для электронного голосования.

Эти растущие проблемы в основном исходят от поставщиков машин для голосования, которые отказываются взаимодействовать с сообществом по кибербезопасности, что у московского правительства не было никаких проблем.

Эта закрытая природа, связанная с электронными машинами для голосования и избирательными системами, используемыми в США, является причиной, по которой Microsoft недавно объявила о планах открыть на GitHub новую технологию для защиты электронных машин для голосования.

Читайте так же
Контрактная сделка без предварительной стоимости и... Поскольку Samsung Galaxy S10 без SIM-карты по конкурентоспособной цене составляет 699 фунтов стерлингов, вам будет нелегко найти контрактную сделку, предусматривающую авансовые расходы, которые не обойдутся вам в пятьдесят с лишним фунтов в месяц. Эт...
Получите подписку Audible за £ в месяц вместо £... - Получите подписку Audible со скидкой, которую вы можете отменить в любое время Мы все знаем, что чтение важно, но найти время, чтобы свернуться калачиком с хорошей книгой, может быть проблемой. К счастью, благодаря Audible вы все равно можете прос...
Система безопасности Ring Alarm выступает в роли к... Новая программа Works with Ring помещает интеллектуальные устройства в приложение Ring. если у вас есть система безопасности Alarm. Концентратор Ring Alarm выступает в роли концентратора для сторонних устройств Z-Wave. У компании Amazon, компании п...