Maaaring Ibunyag ng Bug sa Blockchain Polling System ng Moscow Kung Paano Bumoto ang Mga User: Ulat

Ang isang kahinaan sa isang sistemang nakabatay sa blockchain na ginamit sa kamakailang poll ng Russia ay nangangahulugan na ang mga boto ng mga gumagamit ay maaaring ma-decryption, natagpuan ng mga mamamahayag.

Noong Miyerkules, ang huling araw ng boto sa mga pagbabago sa konstitusyon, ang Russian media outlet na Meduza inilathala ang pananaliksik na nagpapakita ng mga susi para sa pag-decrypt ng mga boto ay maaaring makuha gamit ang HTML code ng electronic na balota.

Sa nakalipas na linggo, bumoto ang bansa na aprubahan o tanggihan ang mga pagbabago sa konstitusyon ng Russia, ang pinakakapansin-pansin sa mga ito. inalis ang dalawang-matagalang paghihigpit para sa mga presidente sa katungkulan, na epektibong nagpapahintulot kay Vladimir Putin na tumakbo para sa muling halalan hanggang 2036.

Sa dalawang bahagi ng bansa, ang Moscow at ang rehiyon ng Nizhny Novgorod, may opsyon ang mga tao na bumoto sa elektronikong paraan. Ang kanilang mga boto ay naitala sa Exonum-based sistema ng blockchain nilikha ng Department of Information Technologies ng Moscow sa tulong ng Kaspersky Lab.

Ayon sa mga natuklasan ni Meduza, ang mga boto ay na-encrypt gamit ang TweetNaCl.js cryptographic library. Nagbibigay ito ng deterministikong algorithm, ibig sabihin, sa magkatulad na data ng pag-input, bumubuo ang system ng parehong cryptographic key, na ginagamit para sa parehong pag-encode at pag-decode ng boto.

Dahil dito, sinabi ni Meduza na nahanap nito ang dalawang susi na karaniwang ginagamit para i-encode ang mga boto na "oo" at "hindi". Pinayagan nito ang koponan nito na i-decode ang data ng pagboto, na ginagawa inilathala sa mga CSV file ng Department of Information Technologies habang nagpapatuloy ang pagboto.

Tingnan din ang: Sinubukan ng Hacker na Guluhin ang Blockchain Voting System ng Russia

Ang nasabing transparency ay nilayon upang matulungan ang mga independiyenteng tagamasid na suriin ang kawastuhan ng bilang ng boto, ngunit maaari ding gamitin upang suriin kung paano bumoto ang partikular na mga tao - na nagdadala ng banta na maaari silang mapilitan na bumoto sa isang tiyak na paraan sa hinaharap na mga botohan, isinulat ni Meduza.

Ang BBC ay dati iniulat na ang mga kumpanyang pag-aari ng lungsod sa Moscow ay pinipilit ang kanilang mga empleyado na magparehistro para sa elektronikong pagboto at kahit na magbahagi ng mga kredensyal para sa kanilang mga account sa mga superbisor.

Ang kinatawan ng Department of Information Technologies na si Artyom Kostyrko nagkomento sa ulat ni Meduza noong Miyerkules, na nagsasabing ang mga tao ay maaari lamang mag-decode ng kanilang sariling mga boto sa kanilang sariling mga aparato. Sumasalungat iyon sa ulat ni Meduza, na nagsasabing posibleng mag-decode ng anumang boto gamit ang parehong mga cryptographic key.

Ang opisina ng press ng departamento ay hindi tumugon sa Request ng CoinDesk para sa komento sa oras ng press.

Sinabi ng press representative ng Kaspersky Lab, Olga Bogolyubskay, sa CoinDesk na walang idadagdag ang kumpanya sa opisyal na komento ng departamento, ngunit sinabi nito na nagbibigay ito ng "ekspertong suporta sa Moscow Department of Information Technology," kasama ang iba pang mga kumpanya.

Tingnan din ang: Pinakabagong Pinuna ng Ministri ng Hustisya ng Russia ang Iminungkahing Crypto Ban

"Mayroon kaming kadalubhasaan at makabuluhang karanasan sa pagtiyak ng seguridad at transparency ng mass online na pagboto gamit ang mga teknolohiyang blockchain sa pamamagitan ng aming Polys platform," idinagdag ni Bogolyubskay.

Ang ulat ni Meduza ay ang pinakabagong alalahanin sa seguridad sa sistema ng pagboto. Iniulat ng Department of Information Technologies noong Biyernes ang isang "observation node" na inatake habang isinasagawa ang boto sa konstitusyon. Gayunpaman, ayon sa mga independiyenteng tagamasid ng halalan sa Russia, walang teknikal na paraan upang kumonekta sa blockchain mula sa labas, dahil ganap itong tumatakbo sa mga server ng departamento.