Moscow Blockchain Voting System 'Ganap na Insecure,' Sabi ng Researcher

Napakadaling i-hack ang isang blockchain-based system na gagamitin para payagan ang mga residente ng Moscow na bumoto sa municipal elections ngayong taglagas, ayon sa research note mula sa French cryptography expert.

Pinamagatang, "Pagsira sa encryption scheme ng Moscow internet voting system," ang papel ni Pierrick Gaudry, isang researcher mula sa French governmental scientific institution CNRS, ay tumingin sa encryption scheme na ginamit upang ma-secure ang pampublikong code ng ethereum-based na e-voting platform ng pamahalaang lungsod ng Moscow.

Napagpasyahan ni Gaudry na ang pamamaraan ng pag-encrypt na ginamit sa bahagi ng code "ay ganap na hindi secure, na nagpapaliwanag:

"Maaari itong sirain sa loob ng humigit-kumulang 20 minuto gamit ang isang karaniwang personal na computer, at gamit lamang ang libreng software na magagamit ng publiko. Mas tiyak, posibleng makalkula ang mga pribadong key mula sa mga pampublikong susi. Kapag nalaman na ang mga ito, anumang naka-encrypt na data ay maaaring ma-decrypt nang mabilis hangga't ginawa ang mga ito."

Upang maging malinaw, ang isyu ay hindi sa Ethereum code na ginamit bilang batayan para sa platform. Ang pag-encrypt na ginamit sa sistema ng Moscow, sinabi ng mananaliksik, ay isang variant ng ElGamal at gumagamit ng mga key na "mas mababa sa 256 bits ang haba."

"Ito ay paraan, masyadong maikli upang magarantiya ang anumang seguridad," sabi ni Gaudry.

Gaya ng nakasaad sa administrasyon ng lungsod website, maaaring piliin ng mga botante mula sa tatlong constituencies na gamitin ang system para maghalal ng mga deputies sa Moscow City Duma, o parliament, sa Set. 8.

Para sa pagsubok na pagsisikap, sinasabi ng site na:

"Ang mga elektronikong halalan sa Moscow ay ginagarantiyahan ang kumpletong pagkawala ng lagda at pagiging lihim ng boto. Walang ONE ang maaaring mag-ugnay ng elektronikong pagbabalik sa pangalan ng botante."

Sa katunayan, sinabi ni Gaudry, "in the worst-case scenario," ang mahinang antas ng pag-encrypt sa kasalukuyan ay mangangahulugan ng mga detalye ng lahat ng pagpipilian ng mga botante "ay ipapakita sa sinuman sa sandaling bumoto sila." Gayunpaman, idinagdag niya na, nang hindi nabasa ang protocol para sa system, ang mga kahihinatnan ng isang potensyal na pag-hack ay mahirap matukoy.

Upang maging patas sa development team, ang system ay naging paksa ng isang "pampublikong pagsubok sa panghihimasok" na naglalayong makita ang anumang mga naturang isyu noong huling bahagi ng Hulyo sa Gaudry gamit ang source code na ginawang available sa Github.

Naabot ni Gaudry ang koponan ng Moscow Department of Information Technology na bumuo ng sistema ng pagboto tungkol sa kahinaan ng seguridad. sila kinilala na ang mga cryptographic key ay kasalukuyang hindi sapat na secure, at sinabing maa-upgrade ang mga ito sa 1,024 bits sa lalong madaling panahon.

Moscow larawan sa pamamagitan ng Shutterstock