Криптограф нашел уязвимость в онлайн-системе голосования на выборах в Москве. Он утверждает, что ее можно взломать за 20 минут

15 августа 2019
1 988

Криптограф, директор по исследованиям Национального центра научных исследований Франции Пьеррик Годри выпустил доклад, в котором рассказал об уязвимости в российской системе электронного голосования, которая впервые будет применяться на выборах в Мосгордуму 8 сентября. По его словам, шифрование, используемое в системе, является «совершенно небезопасным» и может быть взломано злоумышленниками за 20 минут. На доклад обратило внимание РБК.

На официальном сайте мэра Москвы сообщалось, что в рамках тестирования системы ее создатели выкладывали на сайте для разработчиков Github исходный код некоторых модулей системы электронного голосования, построенных на технологии блокчейн. Годри в своем докладе отмечает, что в ходе тестирования создатели системы выкладывали публичные ключи шифрования и зашифрованные ими данные. Предполагается, что система должна выдерживать попытки взлома в течение 12 часов — всего времени голосования.

Годри обнаружил, что длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут. Для этого необходим обычный персональный компьютер и бесплатное программное обеспечение.

Исследователь предположил, что «эта слабая схема шифрования используется именно для шифрования бюллетеней». По его мнению, это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, «станет публично известен, как только они проголосуют».

Разработчик отечественных систем шифрования Дмитрий Белявский сказал РБК, что найденные Годри уязвимости могут позволить в реальном времени получить данные о том, кто из избирателей за кого голосовал и, возможно, подменить эти данные.

Замгендиректора компании «КриптоПро» Станислав Смышляев пояснил, что Пьеррик Годри — один из наиболее уважаемых криптографов в мире. Он отметил, что согласно докладу Годри, ошибка разработчиков системы электронного голосования заключается в том, что «в одной из криптосистем используется ключ слишком малой длины, который не является стойким». Разработчики пытались усилить безопасность системы за счет внедрения троекратного шифрования с тремя разными короткими ключами, однако стойкость итоговой криптосистемы «почти не выросла».

В пресс-службе департамента информационных технологий (ДИТ) Москвы заявили, что отчасти согласны с тем, что три приватных ключа по 256 бит не обеспечивают достаточную стойкость шифрования. Там отметили, что в течение «пары дней» длина ключа будет изменена на 1024 бит. В ведомстве также сказали, что взлом схемы шифрования не был осуществлен.

«Мы специально выкладываем открытый ключ и зашифрованные голоса, для того чтобы их попытались расшифровать до публикации закрытого ключа. Взять закрытый ключ и последовательно расшифровать зашифрованные голоса можно и за 20, и за 5 минут, найдя все основания для шифрования. Однако задача была не в этом», — сказали в пресс-службе. В департаменте также отметили, что перейдут на другой принцип формирования случайных элементов кода, который будет основан «на уникальных транзакциях из самого браузера пользователя, а не на генераторе случайных чисел».

Не бойся быть свободным. Оформи донейт.

Другие новости
Samsung объявила о готовности предустанавливать российские программы на смартфоны Сегодня в 20:48 Осужденный по делу «краснодарских каннибалов» Дмитрий Бакшеев умер в тюремной больнице Сегодня в 18:50 В Гонконге вооруженные мужчины украли 600 рулонов туалетной бумаги на фоне паники из-за коронавируса Сегодня в 19:41 «Власть! Ты превращаешься в сообщника преступлений». Российские художники и галеристы выступили в поддержку фигурантов дела «Сети» Сегодня в 18:10 Блогеру, арестованному за пранк про коронавирус, ужесточили обвинение Сегодня в 17:33 Бывшему полковнику ГРУ Владимиру Квачкову запретили участвовать в митингах Сегодня в 16:55 Начальник московской полиции подал в отставку Сегодня в 16:22 В России заблокировали три иностранных почтовых сервиса из-за сообщений о минировании. Теперь они приходят с почты «Яндекса» Сегодня в 15:58 Митрополит Иларион извинился за слова протоиерея Смирнова, сравнившего гражданских жен с проститутками Сегодня в 16:05 Bellingcat и Insider: подозреваемый в убийстве Хангошвили посещал тренировочные базы спецназа ФСБ Сегодня в 16:55
Популярное у подписчиков Дождя за неделю