En gruppe journalister har opdaget en sårbarhed i det blockchain-baserede system, der blev brugt til den nylige russiske undersøgelse. Især ville fejlen gøre det muligt for brugernes stemmer at blive dechiffreret.
Rapporten fra det russiske medie Meduza
Onsdag, den sidste dag for afstemningen om forfatningsændringer, offentliggjorde det russiske medie Meduza forskning, der viser, at nøglerne til at dechifrere stemmer kunne genfindes ved hjælp af HTML-koden til elektronisk afstemning.
I sidste uge stemte landet for at beslutte, om det skulle godkende eller afvise ændringer af Ruslands forfatning, hvoraf den mest uhyggelige fjernede begrænsningen for to periode på siddende præsidenter, hvilket reelt gjorde det muligt for Vladimir Putin at stille op til genvalg indtil 2036.
I to dele af landet, Moskva og Nizhny Novgorod-regionen, fik folk mulighed for at stemme elektronisk. Deres stemmer blev registreret på det Exonum-baserede blockchain-system skabt af Moskvas afdeling for informationsteknologi med hjælp fra Kaspersky Lab.
Ifølge Meduzas resultater blev stemmerne krypteret ved hjælp af TweetNaCl.js kryptobibliotek. Dette giver en deterministisk algoritme, hvilket betyder, at med lignende inputdata genererer systemet den samme kryptonøgle, der bruges til både at indkode og afkode afstemningen.
Meduza hævder at have uafhængigt fundet de to nøgler, der universelt bruges til at kode "ja" og "nej" stemmer. Dette gjorde det muligt for hans team at afkode stemmedataene, som blev offentliggjort i CSV-filer af Institut for Informationsteknologi, efterhånden som afstemningen skred frem.
Sådan gennemsigtighed var beregnet til at hjælpe uafhængige observatører med at verificere nøjagtigheden af stemmetællinger, men den kunne også bruges til at verificere, hvordan folk stemte, hvilket skaber forhold, hvor nogle kan have følt sig tvunget til at stemme på et bestemt tidspunkt i undersøgelsen, skrev Meduza.
BBCs tvivl og angreb fra en hacker under afstemningen
BBC rapporterede tidligere, at statsejede virksomheder i Moskva havde tvunget deres ansatte til at registrere sig for elektronisk afstemning og endda dele deres kontooplysninger med tilsynsførende.
Kaspersky Labs pressesekretær Olga Bogolyubskay sagde, at virksomheden ikke havde noget at tilføje til afdelingens officielle kommentar, og hævdede, at det havde ydet "specialiseret støtte til Moskvas informationsteknologiafdeling" sammen med andre virksomheder.
"Vi har betydelig erfaring med at sikre sikkerheden og gennemsigtigheden af online masseafstemning ved hjælp af blockchain-teknologier gennem vores Polys-platform," tilføjede Bogolyubskay.
Meduzas rapport er blot den seneste bekymring over stemmesystemets sikkerhed. Institut for Informationsteknologi rapporterede fredag, at en "observationsknude" var blevet manipuleret, mens forfatningsafstemningen var i gang.
Men ifølge uafhængige valgobservatører i Rusland er der ingen teknisk måde at forbinde til blockchain udefra, da den kørte udelukkende på afdelingens servere. Kort sagt, er blockchain virkelig så sikker, som de siger? Og hvad bruger du det til køb Bitcoin sikkert? Fortæl os det i kommentarerne!
