Ang isang pangkat ng mga mamamahayag ay natuklasan ang isang kahinaan sa sistema na nakabase sa blockchain na ginamit para sa kamakailang survey ng Russia. Sa partikular, ang bug ay magiging sanhi ng mga rating ng mga gumagamit na nai-deciphered.
Ang ulat ng Russian media Meduza
Noong Miyerkules, ang huling araw ng pagboto sa mga susog sa konstitusyon, inilathala ng media ng Russia na Meduza ang pananaliksik na nagpapakita na ang mga susi sa pagtukoy ng mga boto ay maaaring makuha gamit ang HTML code ng elektronikong boto.
Noong nakaraang linggo, ang bansa ay bumoto upang magpasya kung aprubahan o tanggihan ang mga pagbabago sa konstitusyon ng Russia, ang pinaka-kapansin-pansin na kung saan itinaas ang paghihigpit ng dalawang mandato para sa mga pangulo ng incumbent, na epektibong pinapayagan si Vladimir Putin na tumayo para sa reelection hanggang hanggang 2036.
Sa dalawang bahagi ng bansa, ang Moscow at ang Nizhny Novgorod na rehiyon, ang mga tao ay nagkaroon ng pagkakataong bumoto ng elektroniko. Ang kanilang mga marka ay naitala sa sistema ng blockchain na nakabase sa Exonum na nilikha ng Kagawaran ng Teknolohiya ng Moscow Information sa tulong ng Kaspersky Lab.
Ayon sa natuklasan ni Meduza, ang mga rating ay naka-encrypt gamit ang TweetNaCl.js crypto library. Nagbibigay ito ng isang algorithm ng deterministik, sa kamalayan na kasama ng magkaparehong data ng pag-input, ang system ay bumubuo ng parehong key ng crypto na ginagamit kapwa upang i-encode at upang mabasa ang boto.
Sinasabi ni Meduza na nakapag-iisa na natagpuan ang dalawang mga susi sa pangkalahatang ginamit upang ma-encode ang mga boto na "oo" at "hindi". Pinayagan nito ang kanyang koponan na mabasa ang data ng pagboto, na inilathala sa mga file ng CSV ng Kagawaran ng Impormasyon Technologies habang nagpapatuloy ang boto.
Ang transparency na ito ay inilaan upang matulungan ang mga independiyenteng tagamasid upang mapatunayan ang tama ng pagbibilang ng mga boto, ngunit maaari ding magamit upang mapatunayan ang paraan ng pagboto ng mga tao, na lumilikha ng mga kundisyon kung saan maaaring nadama ng ilan na mapilit na bumoto sa isang tiyak paraan sa survey, sumulat Meduza.
Ang mga pag-aalinlangan ng BBC at pag-atake sa hacker sa panahon ng boto
Nauna nang naiulat ng BBC na pinilit ng mga kumpanya ng estado ng Moscow ang kanilang mga empleyado na magparehistro para sa elektronikong pagboto at kahit na ibahagi ang kanilang mga kredensyal sa account sa mga superbisor.
Sinabi ng opisyal ng press ng Kaspersky Lab na si Olga Bogolyubskay na ang kumpanya ay walang magdagdag sa opisyal na puna ng departamento, na inaangkin na nagbigay ng "dalubhasang suporta sa Moscow Information Technology Department" kasama ang iba pang mga kumpanya.
"Mayroon kaming makabuluhang karanasan sa pagtiyak ng seguridad at transparency ng online mass voting gamit ang mga teknolohiya ng blockchain sa pamamagitan ng aming platform ng Polys," idinagdag ni Bogolyubskay.
Ang ulat ng Meduza ay ang pinakabagong pag-aalala hinggil sa isyu ng seguridad ng sistema ng pagboto. Iniulat ng Department of Information Technologies nitong Biyernes na isang "obserbasyon node" ang na-tampuhan habang ang boto ng konstitusyon ay isinasagawa.
Gayunpaman, ayon sa mga independiyenteng mga tagamasid sa halalan sa Russia, walang teknikal na paraan upang kumonekta sa blockchain mula sa labas, dahil ganap itong nagtrabaho sa mga server ng departamento. Sa madaling sabi, ligtas ba talaga ang blockchain sa sinasabi nila? At ano ang ginagamit mo bumili ng Bitcoins ligtas? Ipaalam sa amin sa mga komento!
