IT ManagerИТ в госсектореНовости госсектора

Систему для выборов в Москве можно взломать за 20 мин

Анна Савельева | 16.08.2019

Систему для выборов в Москве можно взломать за 20 мин

Пьеррик Годри, уважаемый во всем мире криптограф, обнаружил в системе для онлайн-голосований уязвимость, делающую ее «совершенно небезопасной».

В феврале 2019 года, когда правительство Москвы объявило о планах провести эксперимент с электронным голосованием, неоднократно подчеркивалась безопасность данной системы, а также звучало волшебное слово «блокчейн», технология которого должна была обеспечить прозрачность и неизменность всех данных. То есть, проследить путь бюллетени, по идее, достаточно сложно.

Слова подтверждались публичными тестированиями, которые были прерваны неожиданным сбоем. В ходе выборов лучшего председателя студенческого совета московских вузов система перестала работать и студентов отпустили досрочно.

В сообщении на официальном сайте мэра Москвы и докладе Пьеррика Годри говорится, что исходный код некоторых модулей выкладывался на Github. Туда помещались так называемые публичные ключи шифрования и зашифрованные ими данные, а также раскрывалась информация о тех, что были выложены днем ранее. Расшифровка происходит только при помощи приватного ключа. Целью этой работы было убедиться, что данные нельзя заполучить раньше, чем через 12 часов, пока будет идти голосование.

Однако, директор по исследованиям Национального центра научных исследований Франции обнаружил, что длина публичного ключа шифрования составляет менее 256 бит. Из этого следует, что вычислить приватный ключ и расшифровать данные можно примерно за 20 минут. Причем для этого будет вполне достаточно обычного компьютера и бесплатного ПО.

Годри отметил, что без доступа к информации об используемом в системе протоколе сложно точно просчитать последствия, но можно предположить, что шифрование применяется к бюллетеням. А значит выбор всех избирателей, использующих систему электронного голосования, может стать публично известным, как только они проголосуют. Следовательно, следующим шагом вполне может стать подмена.

Специалисты из России, ознакомившись с докладом эксперта, согласились с его выводами. Ошибка разработчиков заключается в том, что ключ слишком малой длины не является стойким. И троекратное шифрование, которое было применено, никак не спасает ситуацию. То есть, вместо возрастания стойкости в три раза, получилось почти отсутствие роста.

По идее, любая аккредитованная ФСБ России лаборатория должна была быстро отловить уязвимость. Так что систему стоило отправить к ним на сертификацию. Однако представитель пресс-службы департамента информационных технологий Москвы заверил, что такой ключ использовался только во время испытательного периода, и что в течение пары дней он будет увеличен до 1024 бит, а также осуществится переход на другой принцип формирования случайных элементов кода.

Источник: rbc.ru

Блокчейн, Шифрование

Компании сообщают

Мероприятия

04.02.2020
ELMA DAY 2020 — презентация новой low-code платформы ELMA4

Москва, Цифровое деловое пространство (ЦДП), ул. Покровка, 47

07.02.2020 — 09.02.2020
Свободное программное обеспечение в высшей школе

Переславль-Залесский, г. Переславль-Залесский, ул. Петра Первого, д. 4А (Веськово, «Институт программных систем»).

08.02.2020
Конференция "Вызовы цифровой трансформации. Как IT-директору не остаться за бортом"

Москва, м. Юго-Западная, проспект Вернадского, д. 82, корп.2, 237 ауд., 2 этаж