Исследователь взломал систему онлайн-голосования Москвы за 20 минут. Журналисты повторили эксперимент

Французский криптограф Пьеррик Годри взломал систему интернет-голосований, разработанную Департаментом информационных технологий Москвы (ДИТ), который выложил некоторые ее компоненты в открытый доступ, предложив всем желающим найти уязвимости, сообщает «Медуза».

Так, разработчики ДИТ публиковали зашифрованные сообщения и публичные ключи, а через некоторое время — расшифрованные сообщения и три секретных ключа. Таким образом хакеры могли проверить, успешно ли они взломали систему.

Отметим, что сообщениями являются гипотетические голоса избирателей, которые записываются в блокчейн. При этом секретный ключ в теории распределяется между членами избиркома, а собирается обратно лишь после голосования.

Годри якобы удалось восстановить все три секретных ключа всего за 20 минут. Аналогичный эксперимент повторили журналисты «Медузы», теперь им осталось лишь сверить секретные ключи, если представители ДИТ их опубликуют.

По мнению Годри, основная слабость системы заключается в том, что размер ключей для шифрования слишком маленький — меньше 256 бит, а необходимо, согласно его словам, — 2048 бит. Годри предположил, что сотрудники ДИТ могли столкнуться с особенностями языка программирования для смарт-контрактов Solidity, который не позволяет напрямую оперировать целыми числами, размер которых превышает 256 бит.

В ДИТ не признали факт взлома схемы шифрования, однако пообещали увеличить размер ключа до 1024 бит. Интересно, что ранее сообщалось о том, что система якобы была проверена ФСБ и ФСТЭК, пишет «Медуза».

Стоит добавить, что взлом не доказал, что анонимность голосования под угрозой, однако показал, что за ходом выборов можно следить в реальном времени, что противоречит законодательству РФ.

Напомним, выбору в Мосгордуму состоятся 8 сентября. Жители трех округов смогут проголосовать через интернет посредством системы на базе блокчейна.

Источник: forklog.com



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх