Исследователь взломал систему онлайн-голосования Москвы за 20 минут.

[Bigpat]

Исследователь взломал систему онлайн-голосования Москвы за 20 минут. Журналисты повторили эксперимент

Французский криптограф Пьеррик Годри взломал систему интернет-голосований, разработанную Департаментом информационных технологий Москвы (ДИТ), который выложил некоторые ее компоненты в открытый доступ, предложив всем желающим найти уязвимости, сообщает «Медуза».

https://twitter.com/meduzaproject/status/1162406310027190274

Так, разработчики ДИТ публиковали зашифрованные сообщения и публичные ключи, а через некоторое время — расшифрованные сообщения и три секретных ключа. Таким образом хакеры могли проверить, успешно ли они взломали систему.

Отметим, что сообщениями являются гипотетические голоса избирателей, которые записываются в блокчейн. При этом секретный ключ в теории распределяется между членами избиркома, а собирается обратно лишь после голосования.

Годри якобы удалось восстановить все три секретных ключа всего за 20 минут. Аналогичный эксперимент повторили журналисты «Медузы», теперь им осталось лишь сверить секретные ключи, если представители ДИТ их опубликуют.

По мнению Годри, основная слабость системы заключается в том, что размер ключей для шифрования слишком маленький — меньше 256 бит, а необходимо, согласно его словам, — 2048 бит. Годри предположил, что сотрудники ДИТ могли столкнуться с особенностями языка программирования для смарт-контрактов Solidity, который не позволяет напрямую оперировать целыми числами, размер которых превышает 256 бит.

В ДИТ не признали факт взлома схемы шифрования, однако пообещали увеличить размер ключа до 1024 бит. Интересно, что ранее сообщалось о том, что система якобы была проверена ФСБ и ФСТЭК, пишет «Медуза».

Стоит добавить, что взлом не доказал, что анонимность голосования под угрозой, однако показал, что за ходом выборов можно следить в реальном времени, что противоречит законодательству РФ.

Напомним, выбору в Мосгордуму состоятся 8 сентября. Жители трех округов смогут проголосовать через интернет посредством системы на базе блокчейна.

Источник: https://forklog.com/issledovatel-vzlomal-sistemu-onlajn-golosovaniya-moskvy-za-20-minut-zhurnalisty-povtorili-eksperiment/

[Afony]

Это было ожидаемое, какое может быть голосование онлайн. Что подключено к интернету можно взломать, а ниже сами будут менять голоса в свою пользу.

[Jokers]

Это было ожидаемое, какое может быть голосование онлайн. Что подключено к интернету можно взломать, а ниже сами будут менять голоса в свою пользу.

Насколько я понимаю, в той же Эстонии через уже больше десяти лет голосуют и каких-то критических проблем это не вызывает. Проблема не в технологии, проблема в том, кто и зачем ей пользоваться собирается, разве нет?

[Bigpat]

Это было ожидаемое, какое может быть голосование онлайн. Что подключено к интернету можно взломать, а ниже сами будут менять голоса в свою пользу.

Насколько я понимаю, в той же Эстонии через уже больше десяти лет голосуют и каких-то критических проблем это не вызывает. Проблема не в технологии, проблема в том, кто и зачем ей пользоваться собирается, разве нет?

Это правда. В Эстонии уже давно жители голосуют в основном через интернет. Хорошо это или плохо, не знаю. Но приведу несколько фактов такого голосования:
1. При обычном голосовании гражданин Эстонии должен прийти в пункт голосования и заполнить анкету указав крестиком своего кандидата. Проголосовать можно только один раз. Никакие изменения после этого процедурой голосования не предусмотрены.
Точно так-же голосование проходит практически во всех странах.
2. При электронном голосовании гражданин Эстонии (инопланетяне, они же обладатели серых паспартов, они же приехавшие в Эстонию до 1990 года - от голосования отстранены) могут проголосовать неограниченное количество раз. Окончательным станет последнее голосование в день окончания голосования. Чем и пользуются многие хитрые граждане.
По городам и поселкам ездят разные автобусы от партий и предлагают прямо в автобусе желающим проголосовать, при этом раздавая гречку и сахар (в данном случпе "гречка и сахар" - понятие утрированное и не обязательно именно это раздают). Народ охотно заходит в такие передвижные пункты голосования и голосует... А потом так-же заходит в следующий проезжавший мимо автобус и опять голосует. А потом в передвижном пункте голосования в ближайшем магазине (да,да, при электронном голосовании такое разрешено. Электронно голосовать можно не в день голосования, а почти весь период избирательной кампании).
3. Поскольку пожилые граждане страны по понятным причинам не принимают в электронном голосовании, за них это делаю их дети, внуки, соседи или "доброжелатели", отдавая голоса за "нужных" кандидатов.
4. Поскольку Эстония тоже не райская страна и многие её граждане разъехались по всему миру, голосов было бы очень мало. Но тут как раз на помощь приходит электронное голосование. Ведь голосовать можно с любой точки мира. Главное чтобы был интернет в наличии или мобильная связь.
5. В прессе с гордостью как-то писАли: "Такой-то житель более 10000 раз поменял свое мнение во время электронного голосования".
6. В прошлом году эксперты обнаружили в ИД-картах (с их помощью производится голосование) изъян, который позволял производить действия с картой без участия хозяина. В том числе менять дигитальную подпись в уже ранее подписанных документах. Несмотря на объявленную такую серьезную информацию очередное голосование было произведено по старым ИД-картам. Не о чем это не говорит?

Итог: ничего полезного такое голосование настоящему государству не даст. А вот государству с отмирающим языком поможет: так как лояльные граждане всеми силами проголосуют за своих, а 40% населения страны от голосования отстранены.
По мне, так нечем тут гордиться.

[Jokers]

Любопытно, спасибо за детальное описание возможных проблем, как раз плюсик из 100 часов выбрался. Из всех приведённых негативных моментов самым негативным ИМХО является именно то, что фактически нельзя гарантировать, что именно гражданин сам добровольно и по собственной инициативе проголосовал на выборах, что это не сделал кто-то по его доступу или не заставил сделать это гражданина и проконтролировал его выбор.