莫斯科用區塊鏈進行選舉投票,但卻遭人在20分鐘內破解
區塊鏈資訊/作者:Catalin Cimpanu/翻譯:姚佳靈/張詠晴編譯
2019-09-10 17:19

 

一位法國安全研究員已經在基於區塊鏈的投票系統中,找到了一個嚴重的漏洞,而俄羅斯官方計劃於 2019 年 9 月舉行的 2019 年莫斯科市杜馬選舉中使用該系統。

 

洛林大學(Lorraine University)的學者 、INRIA(法國國家資訊與自動化研究所)的研究員 Pierrick Gaudry 發現,他可以根據該投票系統的公鑰計算出該系統的私鑰。這些私鑰和公鑰,被一起用於加密本次選舉中的用戶投票情況。

 

破解莫斯科區塊鏈投票系統只需 20 分鐘

 

Gaudry 把這個問題歸咎於俄羅斯官方使用的 EIGamal 加密方案的一種變體,它使用的加密密鑰大小太小而無法保證安全。這意味著,現代電腦可以在幾分鐘內就破解該加密方案。

 

Gaudry 在本月初發布的一份報告中提到:「使用一台標準的個人電腦,並且只使用公開可得的免費軟體,就可以在 20 分鐘內破解該系統。」

 

 

他補充道:「如果這些(私鑰)被知悉,任何加密數據可以像創建它們一樣快地被解密。」

 

至於攻擊者可以用這些加密密鑰來做什麼事,目前尚不得知,由於該投票系統的協議還沒有英文版本,因此,Gaudry 還無法進行進一步的調查。

 

這位法國研究員說到:「在沒有讀過該協議前,很難準確地說出由此而引發的後果,因為,儘管我們認為,目前還不清楚,這種用於加密投票人弱加密方法對於攻擊者來說,得到投票和投票人之間的相應關係有多麼容易。」

 

「在最糟糕的情形下,所有使用該系統的投票人在完成投票時,任何人都可以知道投票情況。」

 

第一個這樣的系統

 

莫斯科的區塊鏈投票系統,是第一個這樣的系統。它是由莫斯科資訊技術部(DIT)內部開發的,以「智慧合約」的形式運行於以太坊區塊鏈平台上。

 

該投票系統計劃於 9 月 8 日投入運行,將運行 12 個小時,和官方投票時間同步。

 

一旦在選舉日(9 月 8 日)部署完畢,莫斯科的居民就可以透過互聯網、手機或家用電腦進行投票,並且把他們的投票加密記錄在公共以太坊區塊鏈上。

 

這個基於互聯網和區塊鏈的投票系統,不僅僅限於在國外旅行和行動不便的人使用。每個事先註冊的人都可以使用該系統,這意味著,該系統有潛力去吸引那些通常不去投票的人。

 

當 2019 年 9 月部署好該系統時,莫斯科的互聯網投票系統將成為第一個基於區塊鏈、具有法律約束力的系統,而不僅僅是在有限制的測試中使用。

 

本文為巴比特資訊授權刊登,原文標題為「莫斯科用區塊鏈進行選舉投票,遭人20分鐘破解並贏走15000美元獎金