Grupa dziennikarzy odkryła lukę w systemie opartym na blockchain stosowanym w ostatniej rosyjskiej ankiecie. W szczególności błąd spowodowałby rozszyfrowanie ocen użytkowników.
Raport rosyjskich mediów Meduza
W środę, w ostatnim dniu głosowania nad poprawkami konstytucyjnymi, rosyjskie media Meduza opublikowały badania pokazujące, że klucze do odszyfrowania głosów można pobrać za pomocą kodu HTML głosowania elektronicznego.
W ubiegłym tygodniu kraj głosował za zdecydowaniem, czy zatwierdzić czy odrzucić zmiany w rosyjskiej konstytucji, z których najbardziej uderzające zniosły ograniczenie mandatu dla dotychczasowych prezydentów, pozwalając Władimirowi Putinowi kandydować do ponownego wyboru do do 2036 r.
W dwóch częściach kraju, Moskwie i regionie Niżny Nowogród, ludzie mieli możliwość głosowania drogą elektroniczną. Ich znaki zostały zarejestrowane w opartym na Exonum systemie blockchain stworzonym przez moskiewski dział technologii informatycznych przy pomocy Kaspersky Lab.
Zgodnie z ustaleniami Meduzy oceny zostały zaszyfrowane przy użyciu biblioteki kryptograficznej TweetNaCl.js. Zapewnia to algorytm deterministyczny w tym sensie, że przy podobnych danych wejściowych system generuje ten sam klucz kryptograficzny, który służy zarówno do kodowania, jak i dekodowania głosowania.
Meduza twierdzi, że niezależnie znalazła dwa klucze powszechnie używane do kodowania głosów „tak” i „nie”. Umożliwiło to jego zespołowi odkodowanie danych do głosowania, które zostały opublikowane w plikach CSV przez Departament Technologii Informacyjnych w miarę postępu głosowania.
Przejrzystość ta miała pomóc niezależnym obserwatorom w weryfikacji poprawności liczenia głosów, ale można ją również wykorzystać do weryfikacji sposobu głosowania, tworząc warunki, w których niektórzy mogliby czuć się zmuszeni do głosowania w niektórych sposób w ankiecie, napisał Meduza.
Wątpliwości BBC i atak hakera podczas głosowania
BBC wcześniej informowało, że moskiewskie spółki państwowe zmusiły swoich pracowników do zarejestrowania się w celu głosowania elektronicznego, a nawet do udostępnienia swoich danych uwierzytelniających organom nadzoru.
Rzeczniczka prasowa Kaspersky Lab Olga Bogolyubskay powiedziała, że firma nie ma nic do dodania do oficjalnego komentarza departamentu, twierdząc, że udzieliła „specjalistycznego wsparcia moskiewskiemu Departamentowi Technologii Informacyjnych” wraz z innymi firmami.
„Mamy duże doświadczenie w zapewnianiu bezpieczeństwa i przejrzystości masowego głosowania online za pomocą technologii blockchain za pośrednictwem naszej platformy Polys” - dodaje Bogolyubskay.
Raport Meduza jest tylko najnowszym problemem dotyczącym bezpieczeństwa systemu głosowania. Departament Informatyki poinformował w piątek, że „węzeł obserwacyjny” został naruszony podczas głosowania konstytucyjnego.
Jednak według niezależnych obserwatorów wyborów w Rosji nie ma technicznego sposobu na połączenie się z blockchainem z zewnątrz, ponieważ działał on całkowicie na serwerach departamentu. Krótko mówiąc, czy blockchain jest naprawdę bezpieczny, jak mówią? I do czego używasz kup Bitcoin bezpiecznie? Daj nam znać w komentarzach!