En gruppe journalister oppdaget en sårbarhet i det blockchain-baserte systemet som ble brukt til den nylige russiske undersøkelsen. Spesielt vil feilen gjøre det slik at brukerrangeringer kan dekrypteres.
Rapporten fra det russiske mediet Meduza
Onsdag, den siste dagen for avstemning om grunnlovsendringer, publiserte russiske medier Meduza forskning som viste at nøklene til å tyde stemmer kunne hentes ved hjelp av HTML-koden for den elektroniske avstemningen.
I forrige uke stemte landet for å avgjøre om de ville godkjenne eller avvise endringer i Russlands grunnlov, hvorav den mest alvorlige løftet den to-siktige begrensningen for sittende presidenter, og gjorde det mulig for Vladimir Putin å stille til gjenvalg frem til til 2036.
I to deler av landet, Moskva og Nizjnij Novgorod-regionen, fikk folk muligheten til å stemme elektronisk. Stemmene deres ble spilt inn på det Exonum-baserte blockchain-systemet opprettet av Moskva avdeling for informasjonsteknologi ved hjelp av Kaspersky Lab.
I følge Meduzas funn ble stemmene kryptert ved hjelp av kryptobiblioteket TweetNaCl.js. Dette gir en deterministisk algoritme, noe som betyr at med lignende inndata genererer systemet den samme kryptonøkkelen som brukes til å kryptere og dekryptere avstemningen.
Meduza hevder å ha uavhengig funnet de to nøklene universelt brukt til å kode stemmene "ja" og "nei". Dette gjorde at teamet hans kunne dekode stemmedataene, som ble publisert i CSV-filer av Institutt for informasjonsteknologi etter hvert som avstemmingen utviklet seg.
Slik gjennomsiktighet var ment å hjelpe uavhengige observatører med å verifisere korrektheten av antall stemmer, men den kunne også brukes til å verifisere hvordan folk stemte, og skape betingelser under hvilke noen kan ha følt seg tvungne til å stemme på et bestemt tidspunkt. måte i undersøkelsen, skrev Meduza.
Tvilen til BBC og angrepet fra en hacker under avstemningen
BBC hadde tidligere rapportert at Moskva statseide selskaper hadde tvunget sine ansatte til å registrere seg for elektronisk avstemming og til og med dele kontoopplysningene sine med veilederne.
Kaspersky Labs pressesekretær Olga Bogolyubskay sa at selskapet ikke har noe å legge til avdelingens offisielle kommentar, og hevdet at det har gitt "spesialisert støtte til Moskva informasjonsteknologiavdeling" sammen med andre selskaper.
"Vi har betydelig erfaring med å sikre sikkerheten og gjennomsiktigheten ved elektronisk masseavstemming ved hjelp av blockchain-teknologier gjennom vår Polys-plattform," la Bogolyubskay til.
Meduzas rapport er bare den siste bekymringen for spørsmålet om sikkerheten til stemmesystemet. Institutt for informasjonsteknologi rapporterte fredag at det ble tuklet med en "observasjonsnode" mens den konstitusjonelle avstemningen var i gang.
I følge uavhengige valgobservatører i Russland er det imidlertid ingen teknisk måte å koble til blockchain fra utsiden, siden det fungerte helt på avdelingens servere. Kort sagt, er blockchain virkelig trygt som de sier? Og hva bruker du til kjøp Bitcoin sikkert? Gi oss beskjed i kommentarene!
