Kritisk fejl fundet i Moskvas blockchain-baserede afstemningssystem en måned før valg

Illustration: TAlex/Bigstock
En fransk sikkerhedsforsker har fundet en kritisk fejl i det blockchain-baserede afstemningssystem, som skal bruges til det regionale parlamentsvalg i Moskva i næste måned.

En kritisk fejl er blevet fundet i det blockchain-baserede afstemningssystem, som skal bruges til det regionale parlamentsvalg i Moskva i næste måned.

Det skriver ZDNet.

Fejlen består i, at systemets implementering af asymmetrisk kryptering bruger nøgler der er for små, fortæller den franske sikkerhedsforsker Pierrick Gaudry, som har fundet fejlen, i sit indlæg om sårbarheden.

Nøglelængden er ifølge Pierrick Gaudry så kort, at de private nøgler kan brydes på under 10 minutter med en almindelig PC og gratis software.

Praktisk implementering af hype-teknologi

Moskvas valgsystem er et praktisk eksempel på en af de mange måder, blockchain efter sigende kommer til at ændre verden.

Blockchains konsensusalgoritme gør det svært at pille ved indholdet af databasen, men som Pierrick Gaudrys forskning viser, er blockchain ikke nødvendigvis lig sikkerhed.

De korte nøglelængder skyldes ifølge Pierrick Gaudrys sandsynligvis, at Ethereums smart contract-sprog Solidity, som programmet er skrevet i, har en størrelsesbegrænsning på heltal på 256 bit.

Den teori er understøttet af, at programmet flere steder i koden tjekker, at heltallene ikke overstiger den grænse.

Hvis det er forklaringen, er det sværere at løse problemet, end blot at gøre nøglelængden større. I så fald er der nemlig brug for et nyt matematik-bibliotek til Solidity, som kan bearbejde de store tal på en kryptografisk forsvarlig måde.

Elektroniske valgsystemer er kontroversielle, netop fordi et sårbart system kan gøre det muligt for angribere at ændre valgresultater på en måde, som ikke kan spores. Derfor anbefaler Electronic Frontier Foundation, at alle valgsystemer inkluderer nedskrivning af stemmer på papir.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Når nu Putins dreng vinder, så er ingen i stand til at sige om der var snyd involveret. Eller også kan man finde ud af hvad enkeltpersoner har stemt. Eller begge.

Sådan er elektronisk afstemning. Ingen har endnu fremlagt et system der virker ligeså godt og sikkert som det traditionelle manuelle system.

Men det var nok også meningen. Nu har man fået en vestlig "sikkerhedsforsker" til at blåstemple resten af systemet. Ved forrige valg i Rusland er der dukket kedelige videoer op som viser valgsvindel. Det sker med garanti ikke denne gang.

  • 10
  • 0
Simon Mikkelsen

Artiklen nævner at EFF anbefaler at elektroniske stemmesystemer også har et papirspor.

Der har tidligere været fundet fejl i e-valg-systemer hvor fejlen var at andre kunne se eller sandsynliggøre hvad man havde stemt. Det hjælper papirspor ikke på.

Og hvad gør man hvis computeren og papiret giver et forskelligt svar? Omvalg - næppe.
Computeren vinder - så er papiret lige gyldigt.
Papiret vinder - så er det bare en dyr måde at sætte et kryds på.

  • 1
  • 0
Michael Cederberg

Blogger
Relevant xkcd
https://xkcd.com/2030/

Her er det xkcd der er off. Vi (IT folket) kan godt analysere de løsninger der kommer frem og vi kan også blive enige om svaghederne. Der hvor kæden falder af er præmisserne. Fx. hvem kan man stole på? Og hvis man ikke kan stole 100% på nogen, hvordan laver man så noget som er ok rent tillidsmæssigt.

Når først vi har alt det på plads så er resten nemt ... hvis der vel og mærke er en løsning der holder sig indenfor præmisserne. Problemet er at der ikke synes at eksistere sådan en løsning for elektronisk afstemning. Det går i øvrigt igen mange steder. Der er mange samfundsproblemer (og andre problemer) hvor IT ikke er løsningen og hvor forsøg på løse det gennem IT kun gør det værre (samtidigt med at det skjuler det oprindelige problem).

True thing.
IT verdenen er stadig meget ung.
Vi er stadig i noget der kunne minde om Wild West.

Det kan godt være. Men det har bare ikke noget med det her at gøre. Her er det resten af samfundet som beder om elektronisk afsteming og IT verdenen der siger: Vi har ikke nogen god løsning.

At der så er nogle få cowboys der dukker op med blockchain og andre former for snake-oil bør ikke ramme hele branchens renome. Det findes alle steder.

  • 0
  • 1
Log ind eller Opret konto for at kommentere