Авторитетный французский эксперт-криптограф Пьеррик Годри заявил о наличии серьезной уязвимости в онлайн-системе выборов в Мосгордуму. Взломать используемые в системе шифры и узнать, кто как голосовал, оказалось возможно за 20 минут.

Специально проверять московскую систему дистанционного электронного голосования французу никто не поручал: он воспользовался тем, что в рамках тестирования системы ее создатели выкладывали на сайт для разработчиков Github исходный код некоторых модулей, построенных на технологии блокчейн, пишет РБК.

В частности, на Github оказались так называемые публичные ключи шифрования и зашифрованные ими данные, а также информация о приватных ключах. Публичным ключом бюллетень избирателя шифруется, а приватный ключ нужен для расшифровки. Разработчики хотели убедиться в том, что ключи шифрования нельзя взломать, а данные — расшифровать как минимум 12 часов, в течение которых будет идти голосование, но Пьеррик Годри убедился в обратном.

Годри обнаружил, что длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут, используя обычный персональный компьютер и бесплатное программное обеспечение.

«Не имея доступа к информации об используемом в системе протоколе, сложно точно просчитать последствия данной уязвимости и то, насколько легко злоумышленнику будет найти соответствие между бюллетенями и избирателями, хотя я полагаю, что эта слабая схема шифрования используется именно для шифрования бюллетеней. В худшем случае это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют», — утверждает Годри.

По информации издания, разработчики пытались усилить безопасность системы за счет внедрения троекратного шифрования с тремя разными короткими ключами. Но в результате стойкость итоговой криптосистемы от взлома не выросла в три раза, но осталась почти на прежнем уровне. Опрошенные РБК эксперты выразили опасение, что найденная Пьерриком Годри уязвимость позволит злоумышленнику не только в реальном времени получать данные о том, кто из избирателей за кого голосовал, но и подменить эти данные.

Представитель пресс-службы департамента информационных технологий (ДИТ) Москвы заявил журналистам, что три приватных ключа по 256 бит действительно не обеспечивают достаточную стойкость шифрования, но такой метод шифрования использовался только во время испытательного периода, а к выборам длину ключа поменяют на 1024 бит. Он также отметил, что систему голосования переведут на другой принцип формирования случайных элементов кода: «Он будет основан, как правильно отметил наш французский коллега, на уникальных транзакциях из самого браузера пользователя, а не на генераторе случайных чисел».

21 августа систему электронного голосования будут снова тестировать: зарегистрированным в избирательном округе № 10 жителям Зеленограда предложили ответить на вопрос, каких объектов не хватает в их районах. Ранее систему электронных выборов уже тестировали на людях дважды: 11 июля студенты выбирали лучшего председателя студенческого совета столицы, а 23 июля горожане решали, как следует поступить с бездомными животными в Москве.

«Во втором голосовании приняли участие 3377 человек. Проверка прошла успешно, система работала без функциональных сбоев», — сообщила пресс-служба мэра Москвы. Однако во время первого этапа тестирования система дистанционного электронного голосования дала сбой — просто перестала работать, и в итоге студентов распустили по домам.

На выборах в Мосгордуму систему электронного голосования применят впервые. По заверениям властей, «она лучше защищена, более надежна, чем традиционная, так как создана на основе технологии блокчейна». Отдать голос москвичи при желании смогут при помощи личного компьютера или смартфона, но не все, а лишь прикрепленные к трем экспериментальным избирательным округам.

Избирательные округа, принимающие участие в эксперименте: № 1 — Крюково, Матушкино, Савелки, Силино, Старое Крюково, № 10 — Северный, Лианозово, Бибирево, № 30 — Чертаново Центральное, Чертаново Южное. Чтобы проголосовать онлайн, жителям этих районов следует предварительно подать заявление через личный кабинет на портале mos.ru с 24 июля по 4 сентября.

Напомним, выбирать новый состав столичного парламента москвичи будут в единый день голосования — 8 сентября 2019 года, в условиях непрекращающихся акций протеста.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.