Eine Gruppe von Journalisten hat eine Sicherheitslücke in dem Blockchain-basierten System entdeckt, das für die jüngste russische Umfrage verwendet wurde. Insbesondere würde der Fehler dazu führen, dass die Bewertungen der Benutzer entschlüsselt werden.
Der Bericht der russischen Medien Meduza
Am Mittwoch, dem letzten Tag der Abstimmung über Verfassungsänderungen, veröffentlichten die russischen Medien Meduza Forschungsergebnisse, aus denen hervorgeht, dass die Schlüssel zur Entschlüsselung der Stimmen mithilfe des HTML-Codes der elektronischen Abstimmung abgerufen werden können.
Letzte Woche stimmte das Land darüber ab, ob Änderungen der russischen Verfassung gebilligt oder abgelehnt werden sollen. Die auffälligste davon hob die Beschränkung auf zwei Mandate für amtierende Präsidenten auf und ermöglichte Wladimir Putin, sich bis zur Wiederwahl zu stellen bis 2036.
In zwei Teilen des Landes, Moskau und der Region Nischni Nowgorod, hatten die Menschen die Möglichkeit, elektronisch abzustimmen. Ihre Markierungen wurden auf dem Exonum-basierten Blockchain-System aufgezeichnet, das von der Moskauer Abteilung für Informationstechnologie mit Hilfe von Kaspersky Lab erstellt wurde.
Nach Meduzas Erkenntnissen wurden die Bewertungen mit der Kryptobibliothek TweetNaCl.js verschlüsselt. Dies liefert einen deterministischen Algorithmus in dem Sinne, dass das System mit ähnlichen Eingabedaten denselben Kryptoschlüssel erzeugt, der sowohl zum Codieren als auch zum Decodieren der Abstimmung verwendet wird.
Meduza behauptet, unabhängig voneinander die beiden Schlüssel gefunden zu haben, die allgemein zur Kodierung der Stimmen "Ja" und "Nein" verwendet werden. Dies ermöglichte seinem Team, die Abstimmungsdaten zu entschlüsseln, die vom Department of Information Technologies im Verlauf der Abstimmung in CSV-Dateien veröffentlicht wurden.
Diese Transparenz sollte unabhängigen Beobachtern helfen, die Richtigkeit der Stimmenzählung zu überprüfen, sie könnte jedoch auch dazu verwendet werden, die Art und Weise zu überprüfen, in der die Menschen gewählt haben, und die Bedingungen zu schaffen, unter denen sich einige möglicherweise gezwungen gefühlt haben, in einem bestimmten Fall abzustimmen Weg in der Umfrage, schrieb Meduza.
BBC Zweifel und Hackerangriff während der Abstimmung
Die BBC berichtete zuvor, dass Moskauer Staatsunternehmen ihre Mitarbeiter gezwungen hatten, sich für die elektronische Abstimmung zu registrieren und sogar ihre Kontoausweise mit den Vorgesetzten zu teilen.
Die Pressesprecherin von Kaspersky Lab, Olga Bogolyubskay, sagte, das Unternehmen habe dem offiziellen Kommentar der Abteilung nichts hinzuzufügen, und behauptete, zusammen mit anderen Unternehmen "die Moskauer Abteilung für Informationstechnologie" speziell unterstützt zu haben.
"Wir haben bedeutende Erfahrung in der Gewährleistung der Sicherheit und Transparenz von Online-Massenabstimmungen mithilfe von Blockchain-Technologien über unsere Polys-Plattform", fügte Bogolyubskay hinzu.
Der Meduza-Bericht ist nur das jüngste Problem in Bezug auf die Sicherheit des Abstimmungssystems. Das Department of Information Technology berichtete am Freitag, dass ein "Beobachtungsknoten" während der laufenden Verfassungsabstimmung manipuliert worden sei.
Unabhängigen Wahlbeobachtern in Russland zufolge gibt es jedoch keine technische Möglichkeit, von außen eine Verbindung zur Blockchain herzustellen, da diese vollständig auf den Servern der Abteilung funktioniert. Kurz gesagt, ist die Blockchain wirklich sicher, wie sie sagen? Und wofür benutzt du? Bitcoins kaufen sicher? Lass es uns in den Kommentaren wissen!
