Рубрикатор |
Все новости | Новости отрасли |
Систему онлайн-голосования для выборов в Мосгордуму можно взломать за 20 минут
19 августа 2019 |
14 августа 2019 года был опубликован доклад директора по исследованиям Национального центра научных исследований Франции Пьеррика Годри (Pierrick Gaudry), где автор утверждает, что шифрование, используемое в российской системе электронного голосования для предстоящих выборов в Мосгордуму в сентябре, является «совершенно небезопасным». Ее можно взломать всего за 20 минут, пришел к выводу исследователь.
Годри обнаружил, что это можно сделать с помощью обычного ПК и общедоступного бесплатного программного обеспечения. Сам он в ходе исследования использовал скрипт, занимающий одну страницу. Применив этот скрипт, злоумышленник может получить доступ к голосам всех избирателей раньше, чем закроются участки, выявил исследователь. Он также сможет следить за изменениями предпочтений в реальном времени. О переписывании или удалении голосов из системы в исследовании речь при этом не идет.Дистанционное электронное голосование планируется провести впервые. В нем смогут принять участие жители трех избирательных округов: №1 (Зеленоград), №10 (Бибирево, Лианозово, Северный) и №30 (Чертаново Центральное и Южное).
На момент анонса планов по проведению электронного голосования в феврале 2019 года в правительстве Москвы подчеркивали безопасность разработанной системы: «Технология блокчейна обеспечит прозрачность и неизменность всех данных. Проследить путь бюллетеня будет практически невозможно».
Обнаружению уязвимости предшествовало открытие публичного тестирования системы на предмет ее защищенности. Ее создатели выкладывали на сайт для разработчиков — Github — исходный код некоторых элементов системы, построенных на блокчейне.
Пьеррик Годри в своем докладе поясняет: в ходе тестирования создатели системы каждый день выкладывали на Github так называемые публичные ключи шифрования и зашифрованные ими данные, а также раскрывали информацию о приватных ключах и данных, выложенных на день раньше. Публичным ключом бюллетень избирателя шифруется, а расшифровать его можно только имея приватный ключ. Цель таких ежедневных обновлений — убедиться в том, что ключи шифрования нельзя взломать, а данные — расшифровать как минимум 12 часов, в течение которых будет идти голосование.
Однако французский исследователь обнаружил, что длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут.
«Не имея доступа к информации об используемом в системе протоколе, сложно точно просчитать последствия данной уязвимости и то, насколько легко злоумышленнику будет найти соответствие между бюллетенями и избирателями, хотя я полагаю, что эта слабая схема шифрования используется именно для шифрования бюллетеней. В худшем случае, это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют», — утверждает Годри.
Замгендиректора «КриптоПро» Станислав Смышляев заявил изданию РБК, что Пьеррик Годри является одним из наиболее уважаемых криптографов в мире. Ошибка разработчиков системы электронного голосования, согласно докладу Годри, заключается в том, что в одной из криптосистем используется ключ слишком малой длины, который не является стойким, поясняет Смышляев.
При этом разработчики пытались усилить безопасность системы за счет внедрения троекратного шифрования с тремя разными короткими ключами, но в результате стойкость итоговой криптосистемы от взлома не выросла в три раза — она вообще почти не выросла, говорит он.
Представитель «КриптоПро» добавил, что с целью избежать подобных ошибок криптографические средства в России обычно сертифицируются в ФСБ, а системы с их использованием — исследуются.
При этом по его словам, из открытых данных до конца неясно — для чего конкретно в системе электронного голосования используется тот модуль, который смог взломать исследователь, поэтому «оценить практические последствия уязвимости в данном сегменте системы не удастся».
Замруководителя департамента информационных технологий Москвы (ДИТ) Артем Костырко заявил агентству ТАСС, что французский эксперт не взломал систему онлайн-голосования и не предоставил приватный ключ для длины в 256 символов, которым можно было бы расшифровать код. Он отметил, что даже расшифрованный бюллетень в блокчейне выглядит как набор цифр, из которых нельзя понять, за какого кандидата отдан голос.
«И самое главное, голосование защищено реализованным в нашей стране конституционным принципом. Оно тайное и анонимное. Кто проголосовал, как проголосовал и даже голосовал ли вообще, понять невозможно. Это достигается за счет работы анонимизатора», - приводит ТАСС слова Костырко.
В ДИТ заявили РБК, что три приватных ключа по 256 бит действительно не обеспечивают достаточную стойкость шифрования, но такое применение было использовано только во время испытательного периода. В департаменте заверили, что в течение пары дней длина ключа будет изменена на 1024 бит.
Но по мнению Годри, этого недостаточно - для защиты голосов нужны как минимум 2048-битные ключи шифрования, требующие серьезной переработки системы. Чем длиннее ключи шифрования, тем больше времени и ресурсов нужно, чтобы их взломать.
По данным ДИТ, в процессе открытого публичного тестирования порядка половины атак на систему голосования происходят из зарубежья. Зафиксирована работа серверов, расположенных в том числе в США, Германии, Нидерландах, странах Юго-восточной Азии. За месяц, что идет тестирование, успешных взломов не зарегистрировано, утверждают в ДИТ.
Источник: TAdviser
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.