Эксперт нашел уязвимость в онлайн-системе голосования на выборах в Москве

Шифрование, используемое в российской системе электронного голосования, которая впервые будет применяться на выборах в Московскую городскую думу 8 сентября, является «совершенно небезопасным» и может быть взломано злоумышленниками примерно за 20 минут. Об этом говорится в докладе Пьеррика Годри, директора по исследованиям Национального центра научных исследований Франции, опубликованном на сайте Корнеллского университета.

О планах по проведению в Москве эксперимента с электронным голосованием стало известно в феврале 2019 года. В дистанционном интернет-голосовании на выборах в Мосгордуму смогут принять участие жители трех избирательных округов.

При этом в правительстве Москвы подчеркивали безопасность разработанной системы электронного голосования: «Технология блокчейна обеспечит прозрачность и неизменность всех данных. Проследить путь бюллетеня будет практически невозможно».

Для проверки работы системы проводилось ее публичное тестирование в ходе выборов лучшего председателя студенческого совета московских вузов. Но во время эксперимента произошел сбой — система перестала работать, и в итоге студентов «досрочно распустили».

Что не так с системой

В рамках тестирования системы ее создатели выкладывали на сайт для разработчиков — Github — исходный код некоторых модулей системы электронного голосования, построенных на технологии блокчейн, сообщалось на официальном сайте мэра Москвы.

Пьеррик Годри в своем докладе поясняет: в ходе тестирования создатели системы каждый день выкладывали на Github так называемые публичные ключи шифрования и зашифрованные ими данные, а также раскрывали информацию о приватных ключах и данных, выложенных на день раньше. Публичным ключом бюллетень избирателя шифруется, а расшифровать его можно только имея приватный ключ. Цель таких ежедневных обновлений — убедиться в том, что ключи шифрования нельзя взломать, а данные — расшифровать как минимум 12 часов, в течение которых будет идти голосование.

Однако французский исследователь обнаружил, что длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут, используя обычный персональный компьютер и бесплатное программное обеспечение.

«Не имея доступа к информации об используемом в системе протоколе, сложно точно просчитать последствия данной уязвимости и то, насколько легко злоумышленнику будет найти соответствие между бюллетенями и избирателями, хотя я полагаю, что эта слабая схема шифрования используется именно для шифрования бюллетеней. В худшем случае это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют», — утверждает Годри.

Заместитель гендиректора компании «КриптоПро» Станислав Смышляев поясняет, что Пьеррик Годри является одним из наиболее уважаемых криптографов в мире. «Ошибка разработчиков системы электронного голосования, согласно докладу Годри, заключается в том, что в одной из криптосистем используется ключ слишком малой длины, который не является стойким. При этом разработчики пытались усилить безопасность системы за счет внедрения троекратного шифрования с тремя разными короткими ключами. Но в результате стойкость итоговой криптосистемы от взлома не выросла в три раза — она вообще почти не выросла. Надеюсь, что у разработчиков еще есть время, чтобы переработать систему», — говорит Смышляев.

Он отмечает, что с целью избежать подобных ошибок криптографические средства в России обычно сертифицируются в Федеральной службе безопасности (ФСБ), а системы с их использованием — исследуются. «Уверен, что любая аккредитованная ФСБ России лаборатория быстро отловила бы такую уязвимость», — говорит он. При этом, по словам Смышляева, из открытых данных до конца неясно — для чего конкретно в системе электронного голосования используется тот модуль, который смог взломать исследователь, поэтому «оценить практические последствия уязвимости в данном сегменте системы не удастся».

Основная уязвимость системы — возможность вычислить приватный ключ по публичному из-за слишком слабых параметров (256 бит), подтверждает разработчик отечественных систем шифрования Дмитрий Белявский, ознакомившийся с докладом. «Исследователь в докладе описывает еще одну уязвимость системы: даже без взлома ключей способ выбора параметров шифрования позволяет определить один бит зашифрованного текста. Дальше все зависит от того, как именно технологически шифруется бюллетень избирателя. Если избиратель при голосовании будет выбирать из двух кандидатов, то содержательно этот один бит и есть его выбор. С другой стороны, при возможности вычислить ключи за единицы минут исследовать этот вектор атаки даже нет необходимости, так как в системе есть более важная уязвимость», — говорит Белявский.



Чем чреваты обнаруженные проблемы

По словам Белявского, найденные Пьерриком Годри уязвимости в случае, если злоумышленник перехватит электронный бюллетень, могут позволить в реальном времени получить данные о том, кто из избирателей за кого голосовал и, возможно, подменить эти данные. «Как обычно, масштаб угрозы зависит от выбранной модели нарушителя, а используемый в системе протокол надо еще раз тщательно изучить», — отмечает Белявский.

Представитель пресс-службы департамента информационных технологий (ДИТ) Москвы сообщил РБК, что там отчасти согласны с мнением, представленным в докладе, — три приватных ключа по 256 бит не обеспечивают достаточную стойкость шифрования. «Такое применение было использовано только во время испытательного периода. В течение пары дней длина ключа будет изменена на 1024 бит. Обращаем внимание, что взлом схемы шифрования не был осуществлен. Мы специально выкладываем открытый ключ и зашифрованные голоса, для того чтобы их попытались расшифровать до публикации закрытого ключа. Взять закрытый ключ и последовательно расшифровать зашифрованные голоса можно и за 20, и за 5 минут, найдя все основания для шифрования. Однако задача была не в этом», — сказал он. Представитель ДИТ также отмечает, что будет осуществлен переход на другой принцип формирования случайных элементов кода. «Он будет основан, как правильно отметил наш французский коллега, на уникальных транзакциях из самого браузера пользователя, а не на генераторе случайных чисел», — сообщил он.

Представитель пресс-службы Мосгоризбиркома РБК заявил, что там ничего о докладе Годри не известно. Зампредседателя ЦИК Николай Булаев сообщил, что ему также не было о нем известно, но пообещал изучить.

Загрузка...
Загрузка...