Een groep journalisten heeft een kwetsbaarheid ontdekt in het op blockchain gebaseerde systeem dat werd gebruikt voor de recente Russische enquête. In het bijzonder zou de bug ervoor zorgen dat de beoordelingen van gebruikers worden ontcijferd.
Het bericht van de Russische media Meduza
Op woensdag, de laatste stemdag over grondwetswijzigingen, publiceerde de Russische media Meduza onderzoek waaruit bleek dat de sleutels voor het ontcijferen van de stemmen konden worden opgehaald met behulp van de HTML-code van de elektronische stem.
Vorige week stemde het land om te beslissen of het wijzigingen in de grondwet van Rusland goedkeurde of afkeurde. De meest opvallende daarvan heeft de beperking van twee mandaten voor zittende presidenten opgeheven, waardoor Vladimir Poetin in feite kon worden herkozen tot tot 2036.
In twee delen van het land, Moskou en de regio Nizhny Novgorod, konden mensen elektronisch stemmen. Hun markeringen zijn vastgelegd op het op Exonum gebaseerde blockchain-systeem dat door de afdeling Informatietechnologie van Moskou is gemaakt met hulp van Kaspersky Lab.
Volgens de bevindingen van Meduza werden de beoordelingen versleuteld met behulp van de TweetNaCl.js cryptobibliotheek. Dit levert een deterministisch algoritme op, in die zin dat het systeem met vergelijkbare invoergegevens dezelfde cryptosleutel genereert die zowel wordt gebruikt om de stem te coderen als te decoderen.
Meduza beweert onafhankelijk de twee sleutels te hebben gevonden die universeel worden gebruikt om de stemmen "ja" en "nee" te coderen. Hierdoor kon zijn team de stemgegevens decoderen, die naarmate de stemming vorderde in CSV-bestanden werd gepubliceerd door de afdeling Informatietechnologie.
Deze transparantie was bedoeld om onafhankelijke waarnemers te helpen bij het verifiëren van de juistheid van het tellen van stemmen, maar het kon ook worden gebruikt om de manier waarop mensen stemden te verifiëren, en creëerde de voorwaarden waaronder sommigen zich gedwongen zouden voelen om in een bepaalde stemming te stemmen manier in de enquête, schreef Meduza.
BBC twijfelt en hacker valt aan tijdens de stemming
De BBC had eerder gemeld dat staatsbedrijven in Moskou hun werknemers hadden gedwongen zich te registreren voor elektronisch stemmen en zelfs hun accountgegevens te delen met toezichthouders.
Olga Bogolyubskay, persvoorlichter van Kaspersky Lab, zei dat het bedrijf niets toe te voegen heeft aan de officiële opmerking van de afdeling en beweert samen met andere bedrijven "gespecialiseerde ondersteuning te hebben verleend aan de afdeling Informatietechnologie van Moskou".
"We hebben veel ervaring met het waarborgen van de veiligheid en transparantie van online massastemmen met behulp van blockchain-technologieën via ons Polys-platform," voegde Bogolyubskay toe.
Het Meduza-rapport is slechts de laatste zorg met betrekking tot de beveiliging van het stemsysteem. Het ministerie van Informatietechnologie meldde vrijdag dat er tijdens de grondwettelijke stemming met een "observatieknooppunt" was geknoeid.
Volgens onafhankelijke verkiezingswaarnemers in Rusland is er echter geen technische manier om van buitenaf verbinding te maken met de blockchain, omdat het volledig op de servers van de afdeling werkte. Kortom, is de blockchain echt veilig zoals ze zeggen? En waar gebruik je voor koop Bitcoins veilig? Laat het ons weten in de comments!
