區塊鏈投票系統遭破解!莫斯科官方承諾盡快解決問題
合作媒體:巴比特資訊
區塊鏈資訊/作者:Catalin Cimpanu/翻譯:姚佳靈/張詠晴編譯 2019-09-10 17:20

 

一位法國安全研究員已經在基於區塊鏈的投票系統中,找到了一個嚴重的漏洞,而俄羅斯官方計劃於 2019 年 9 月舉行的 2019 年莫斯科市杜馬選舉中使用該系統。 

 

莫斯科官方承諾解決這個問題

 

由於莫斯科官方於 7 月 在 GitHub 上公開了其源代碼,並要求安全研究人員進行測試,因此,該法國學者能夠測試莫斯科即將推出的基於區塊鏈的投票系統。

 

在 Gaudry 的發現公布之後,莫斯科的資訊技術部門承諾修補報導中的問題,即弱私鑰的使用。

 

發言人在網上的回應中表示:「我們絕對同意 256x3 的私鑰長度不夠安全。這個實施只是在試用期使用。幾天後,私鑰的長度將改為 1024。」

 

Gaudry 發現莫斯科官方修改了 EIGamal 加密方法,以便使用三個較弱的密鑰,而不是一個密鑰,無法解釋資訊部門為什麼選擇這個做法。

 

這位法國研究員認為:「這是個謎。我們可以想到的唯一可能的解釋是,設計者認為這可以彌補所涉及的質數太小的密鑰大小。但是 3 個長度為 256 位的質數和 1 個長度為 768 位的質數,真的不一樣。」

 

然而,根據 Gaudry 的說法,長度為 1024 位的密鑰可能還不夠,他認為官方應該使用長度至少為 2048 位密鑰的其中之一。

 

這個設計決定也讓 Attivo Networks 的首席安全策略長 Chris Roberts 感到困惑。

 

Roberts 說:「到底是什麼原因,讓該平台的開發人員首先選擇一個弱長度的密鑰,顯然是個問題。是缺乏知識和理解嗎?或者只是要得到最快的速度和效率或其他東西呢?」

 

「美國的系統可以從俄羅斯那裡學到很多東西」

 

他補充道:「對於這個,有個好的方面。莫斯科允許其他人查看、研究代碼,然後幫助他們完善安全性。」

 

此外,莫斯科官方還批准了給 Gaudry 的金錢獎勵,根據俄羅斯新聞網站 Meduza 的報導,Gaudry將獲得 1 百萬盧布,約 15000 美元。

 

根據 7 月發布的一份報告,Gaudry 獲得的獎勵接近莫斯科當地政府允諾給「漏洞獵手」的最高獎,但是,當代碼放上 GitHub 時,允諾的獎勵是 1 百 50 萬盧布(22500 美元)。

 

Roberts 表示:「美國的系統可以從俄羅斯的這個系統中學到很多東西。」 他指的是美國最近在試圖保護其電子投票機安全性過程中,所遭受到的過多的日益成長的痛苦。

 

這些日益成長的痛苦主要來自投票機供應商,他們拒絕與網路安全社群接觸,而莫斯科政府在這方面沒有問題。

 

美國使用的電子投票機和選舉系統的這種封閉性,正是微軟最近宣布在 GitHub 上開源一種新技術的原因,該新技術用於保護電子投票機安全性。

 

本文為巴比特資訊授權刊登,原文標題為「莫斯科用區塊鏈進行選舉投票,遭人20分鐘破解並贏走15000美元獎金