Программист: тайну интернет-голосования в Мосгордуму можно взломать за 20 минут

0


Правообладатель иллюстрации
SERGEI SUPINSKY / Getty Images

Исследователь Пьеррик Годри из французского Университета Лотарингии нашел возможность взлома московской системы электронного голосования. На выборах в Мосгордуму 8 сентября этой системой могут воспользоваться до 500 тысяч москвичей в трех избирательных округах из 45-ти. Годри считает, что их тайна голосования совершенно незащищена.

Мэрия Москвы опубликовала тестовую версию программного кода системы для всех желающих на программистской платформе GitHub в середине июля. По задумке создателей, система должна выдерживать попытки взлома в течение 12 часов – именно столько длится голосование.

Французский же исследователь утверждает, что для обхода системы защиты голосов москвичей достаточно 20 минут, обычного персонального компьютера и общедоступного бесплатного программного обеспечения. Для этого он использовал скрипт (программистский сценарий), который занимает всего одну страницу.

Главное правило криптографа: если у вас есть надежный криптографический алгоритм, не нужно изобретать его заново и лезть туда со своими разработками. Вот об этом правиле разработчики московских выборов, видимо, позабыли.Илья Шарапов, технический директор ООО “ТСС”

Применив этот скрипт, злоумышленник может получить доступ к голосам всех избирателей раньше, чем закроются участки. Он также сможет следить за изменениями предпочтений в реальном времени. О переписывании или удалении голосов из системы в исследовании речь не идет.

“Сложно точно просчитать последствия данной уязвимости. Хотя мы верим, что эта слабая схема шифрования используется именно для шифрования бюллетеней, непонятно, сможет ли злоумышленник найти связь между конкретными бюллетенями и избирателями. В худшем случае выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют”, – пишет Годри.

Перед публикацией Годри связался с представителями департамента информационных технологий (ДИТ) мэрии Москвы. Там уже пообещали усилить криптографические ключи (с 256-битных до 1024-битных), но, по мнению Годри, этого недостаточно – для защиты голосов нужны как минимум 2048-битные ключи шифрования, требующие серьезной переработки системы. Чем длиннее ключи шифрования, тем больше времени и ресурсов нужно, чтобы их взломать.

Представитель пресс-службы ДИТ Москвы сообщил РБК, что там отчасти согласны с мнением, представленным в докладе, – три приватных ключа по 256 бит не обеспечивают достаточную стойкость шифрования. “Такое применение было использовано только во время испытательного периода”, – сообщил представитель ведомства.

“По всей видимости, к разработке системы вовсе не привлекались опытные криптографы, а проектом занимались только программисты, – считает технический директор ООО “ТСС” Илья Шарапов. – Эти разработчики взяли несколько систем из открытых источников, соединили их, попутно перепутали схемы шифрования на основе эллиптических кривых и на основе задачи дискретного логарифмирования, в результате чего получилась уязвимая система. Главное правило криптографа: если у вас есть надежный криптографический алгоритм, не нужно изобретать его заново и лезть туда со своими разработками. Вот об этом правиле разработчики московских выборов, видимо, позабыли”.

Как устроено электронное голосование в Москве

Об этом Би-би-си рассказал член технической рабочей группы для разработки электронного голосования, сотрудник “РТ Лабс” Дмитрий Кузнецов:

“Избиратель авторизуется на сайте госуслуг Москвы и в день голосования получает бюллетень электронного голосования. Он делает выбор у себя в браузере – этот выбор никак не отображается в информационной системы мэрии.

В момент, когда избиратель нажимает кнопку “отправить”, его голос шифруется и уходит в блокчейн [распределенную электронную цепь данных] на основе платформы Ethereum. Этот блокчейн физически находится на серверах ДИТ правительства Москвы. В зашифрованном виде голос виден и мэрии, и избиркому, и наблюдателям. Но до момента окончания голосования никто не может знать результаты голосования.

Чтобы сначала зашифровать, а потом расшифровать результаты голосования, применяется ключи шифрования. На тестовом голосовании в июле 2019 года криптографический ключ распределили между тремя членами избиркома с помощью алгоритма Эль-Гамаля.

В конце дня члены избиркома вставляют флешки с частями ключа в компьютер, и начинается расшифровка результатов”.

О планах провести эксперимент с дистанционным интернет-голосованием московские власти объявили в начале февраля 2019 года, за семь месяцев до выборов. Они внесли и приняли региональный закон, не дожидаясь принятия и вступления в силу федерального.

Ранее зампредседателя Общественной палаты Москвы, главный редактор “Эха Москвы” Алексей Венедиктов объявил о вознаграждении хакерам, которые смогут взломать систему электронного голосования. Такие условия для тестировщиков действовали до 22 июля.

Выборы седьмого созыва Мосгордумы пройдут в единый день голосования 8 сентября. В Москве прошло два крупных митинга и несколько несанкционированных акций из-за недопуска к выборам представителей оппозиции.



Оригинал новости

Оставьте ответ

Ваш электронный адрес не будет опубликован.

This site uses Akismet to reduce spam. Learn how your comment data is processed.