`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Российская система голосования на базе блокчейн взломана за месяц до выборов

+33
голоса

Российская система голосования на базе блокчейн взломана за месяц до выборов

Французский эксперт кибербезопасности нашёл критическую уязвимость в основанной на блокчейн системе голосования, которую планировалось использовать в запланированных на следующий месяц выборах в московскую Городскую Думу.

Пьеррик Годри (Pierrick Gaudry) из Университета Лотарингии, также работающий в Институте исследований цифровых наук, INRIA, показал, что он может вычислить закрытые ключи системы голосования на основе её публичных ключей. Вместе оба типа ключей применяются для шифрования поданных голосов избирателей.

На показательный взлом московской системы с использованием стандартного ПК и бесплатного общедоступного ПО Годфри потратил всего 20 минут. По его словам, главной ошибкой разработчиков системы электронного голосования стал выбор схемы шифрования ElGamal, в которой используются слишком короткие ключи. Современный компьютер способен сломать такую защиту за несколько минут.

Протоколы системы голосования не переведены на английский, поэтому Годфри пока затрудняется сказать, что могут сделать хакеры, получив в свои руки полный комплект ключей шифрования. В худшем сценарии информация о том, кто и как проголосовал, может моментально стать доступной всём желающим.

Ущербная система голосования, разработанная Московским департаментом информационных технологий, является первой в своём роде. Она реализована как смарт-контракт на блокчейн-платформе Ethereum.

Пуск её запланирован на 8 сентября, система должна будет проработать в течение 12 часов, синхронно с официальной сессией голосования. Все жители Москвы смогут участвовать в голосовании через Интернет со своих телефонов и домашних компьютеров, а их голоса будут криптографически записаны в общедоступном блокчейне Ethereum.

Электронное голосование не только позволит участвовать в выборах тем москвичам, кто находится за границей или не может прибыть на избирательный участок по состоянию здоровья, но также способна привлечь к участию тех, кто обычно не ходит на выборы.

В ответ на открытие Годри Московский департамент ИТ пообещал исправить недоработку.

«Мы полностью согласны с тем, что закрытый ключ длиной 256×3 недостаточно безопасен, — сказал представитель департамента в онлайновом ответе. — Эта реализация использовалась только в тестовом периоде. Через несколько дней длина ключа будет изменена на 1024».

Сам Годри теряется в догадках, зачем вообще разработчики решили использовать три слабых ключа вместо одного сильного и специально модифицировали для этого схему шифрования ElGamal. «Это загадка, — сказал он. — Единственное возможное объяснение заключается в том, что они рассчитывали компенсировать таким образом слишком малые размеры используемых простых чисел. Но 3 простых числа по 256 битов на самом деле не то же самое, что одно, но длиной 768 бит».

Годри полагает, что даже 1024 бит может оказаться недостаточно, по его мнению следует выбрать разрядность публичного ключа не менее 2048.

Власти Москвы также подтвердили намерение выдать Годри денежную награду в рамках программы «охоты за ошибками». По данным новостного ресурса Meduza, её размер составит миллион рублей или около 15 тысяч долларов.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT