Прямой эфир

Криптограф нашел уязвимость в онлайн-системе голосования на выборах в Москве. Он утверждает, что ее можно взломать за 20 минут

Новости
2 000
23:26, 15.08.2019

Криптограф, директор по исследованиям Национального центра научных исследований Франции Пьеррик Годри выпустил доклад, в котором рассказал об уязвимости в российской системе электронного голосования, которая впервые будет применяться на выборах в Мосгордуму 8 сентября. По его словам, шифрование, используемое в системе, является «совершенно небезопасным» и может быть взломано злоумышленниками за 20 минут. На доклад обратило внимание РБК.

На официальном сайте мэра Москвы сообщалось, что в рамках тестирования системы ее создатели выкладывали на сайте для разработчиков Github исходный код некоторых модулей системы электронного голосования, построенных на технологии блокчейн. Годри в своем докладе отмечает, что в ходе тестирования создатели системы выкладывали публичные ключи шифрования и зашифрованные ими данные. Предполагается, что система должна выдерживать попытки взлома в течение 12 часов — всего времени голосования.

Годри обнаружил, что длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут. Для этого необходим обычный персональный компьютер и бесплатное программное обеспечение.

Исследователь предположил, что «эта слабая схема шифрования используется именно для шифрования бюллетеней». По его мнению, это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, «станет публично известен, как только они проголосуют».

Разработчик отечественных систем шифрования Дмитрий Белявский сказал РБК, что найденные Годри уязвимости могут позволить в реальном времени получить данные о том, кто из избирателей за кого голосовал и, возможно, подменить эти данные.

Замгендиректора компании «КриптоПро» Станислав Смышляев пояснил, что Пьеррик Годри — один из наиболее уважаемых криптографов в мире. Он отметил, что согласно докладу Годри, ошибка разработчиков системы электронного голосования заключается в том, что «в одной из криптосистем используется ключ слишком малой длины, который не является стойким». Разработчики пытались усилить безопасность системы за счет внедрения троекратного шифрования с тремя разными короткими ключами, однако стойкость итоговой криптосистемы «почти не выросла».

В пресс-службе департамента информационных технологий (ДИТ) Москвы заявили, что отчасти согласны с тем, что три приватных ключа по 256 бит не обеспечивают достаточную стойкость шифрования. Там отметили, что в течение «пары дней» длина ключа будет изменена на 1024 бит. В ведомстве также сказали, что взлом схемы шифрования не был осуществлен.

«Мы специально выкладываем открытый ключ и зашифрованные голоса, для того чтобы их попытались расшифровать до публикации закрытого ключа. Взять закрытый ключ и последовательно расшифровать зашифрованные голоса можно и за 20, и за 5 минут, найдя все основания для шифрования. Однако задача была не в этом», — сказали в пресс-службе. В департаменте также отметили, что перейдут на другой принцип формирования случайных элементов кода, который будет основан «на уникальных транзакциях из самого браузера пользователя, а не на генераторе случайных чисел».

Не бойся быть свободным. Оформи донейт.