Группа журналистов обнаружила уязвимость в системе на основе блокчейна, использованной для недавнего российского опроса. В частности, ошибка может привести к расшифровке оценок пользователей.
Репортаж российских СМИ Медуза
В среду, в последний день голосования по конституционным поправкам, российские СМИ Meduza опубликовали исследование, показывающее, что ключи для расшифровки голосов могут быть получены с использованием HTML-кода электронного голосования.
На прошлой неделе страна проголосовала за принятие решения об утверждении или отклонении изменений в российской конституции, наиболее ярким из которых было снятие двухмандатного ограничения для действующих президентов, что фактически позволило Владимиру Путину баллотироваться на переизбрание до до 2036 года.
В двух частях страны, Москве и Нижегородской области, люди имели возможность голосовать в электронном виде. Их оценки были записаны в блокчейн-системе Exonum, созданной Департаментом информационных технологий Москвы с помощью «Лаборатории Касперского».
Согласно выводам Meduza, рейтинги были зашифрованы с использованием крипто-библиотеки TweetNaCl.js. Это обеспечивает детерминистический алгоритм в том смысле, что при аналогичных входных данных система генерирует один и тот же криптографический ключ, который используется как для кодирования, так и для декодирования голосования.
Медуза утверждает, что независимо нашла два ключа, универсально используемых для кодирования голосов «да» и «нет». Это позволило его команде расшифровать данные голосования, которые были опубликованы в файлах CSV Департаментом информационных технологий по ходу голосования.
Эта прозрачность была предназначена для того, чтобы помочь независимым наблюдателям проверить правильность подсчета голосов, но ее также можно использовать для проверки того, как люди голосовали, создавая условия, при которых некоторые могли чувствовать себя вынужденными голосовать в определенном порядке. Кстати в опросе, пишет Медуза.
Би-би-си сомневается и хакерская атака во время голосования
Ранее Би-би-си сообщала, что московские государственные компании заставили своих сотрудников зарегистрироваться для электронного голосования и даже поделиться своими учетными данными с руководителями.
Пресс-секретарь «Лаборатории Касперского» Ольга Боголюбская сказала, что компании нечего добавить к официальному комментарию департамента, утверждая, что она оказывала «специализированную поддержку Департаменту информационных технологий Москвы» наряду с другими компаниями.
«У нас есть значительный опыт в обеспечении безопасности и прозрачности массового онлайн-голосования с использованием технологий блокчейн через нашу платформу Polys», - добавил Боголюбская.
Отчет Meduza - это только последнее, что беспокоит вопрос безопасности системы голосования. В пятницу Департамент информационных технологий сообщил, что в ходе конституционного голосования был подделан «узел наблюдения».
Однако, по мнению независимых наблюдателей на выборах в России, нет никакого технического способа подключения к блокчейну извне, поскольку он полностью работал на серверах департамента. Короче говоря, действительно ли блокчейн действительно безопасен, как они говорят? И что вы используете для купить биткойны надежно? Дайте нам знать об этом в комментариях!
