Ошибка в системе голосования на основе блокчейна в Москве может раскрыть, как голосовали пользователи: отчет

Журналисты обнаружили уязвимость в системе на основе блокчейна, использованной в недавнем опросе в России, что позволило расшифровать голоса пользователей.

В среду, в последний день голосования по поправкам в Конституцию, российское издание MeduzaопубликованоИсследования показывают, что ключи для расшифровки голосов можно получить с помощью HTML-кода электронного бюллетеня.

За последнюю неделю страна проголосовала за одобрение или отклонение изменений в конституцию России, наиболее ярким из которыхустранили ограничение на два срокадля действующих президентов, что фактически позволяет Владимиру Путину баллотироваться на переизбрание до 2036 года.

В двух частях страны, Москве и Нижегородской области, у людей была возможность проголосовать электронно. Их голоса были учтены на базе Exonumсистема блокчейнсоздан Департаментом информационных технологий города Москвы при поддержке «Лаборатории Касперского».

По данным «Медузы», голоса были зашифрованы с помощью криптографической библиотеки TweetNaCl.js. Она обеспечивает детерминированный алгоритм, то есть при одинаковых входных данных система генерирует один и тот же криптографический ключ, который используется как для кодирования, так и для декодирования голоса.

Таким образом, Meduza заявила, что ей удалось найти два ключа, которые повсеместно использовались для кодирования голосов «за» и «против». Это позволило ее команде расшифровать данные голосования, которые былиопубликованов файлах CSV Департамента информационных технологий по мере проведения голосования.

Смотрите также:Хакеры пытаются нарушить работу российской системы голосования на основе блокчейна

Такая прозрачность была призвана помочь независимым наблюдателям проверить правильность подсчета голосов, но также может быть использована для проверки того, как голосовали конкретные люди, что несет угрозу того, что на них могут оказать давление, чтобы они проголосовали определенным образом на будущих выборах, пишет Meduza.

Ранее BBCсообщиличто московские компании, принадлежащие городу, заставляли своих сотрудников регистрироваться для электронного голосования и даже сообщать своим руководителям учетные данные для своих счетов.

Представитель Департамента информационных технологий Артем Костыркопрокомментировалв отчете Meduza в среду, где говорилось, что люди могут расшифровать только свои голоса на своих устройствах. Это противоречило отчету Meduza, в котором говорилось, что можно расшифровать любой голос, используя те же криптографические ключи.

На момент публикации пресс-служба департамента не ответила на Request CoinDesk о комментарии.

Пресс-секретарь «Лаборатории Касперского» Ольга Боголюбская сообщила CoinDesk , что компании нечего добавить к официальному комментарию ведомства, но отметила, что она оказывает «экспертную поддержку Департаменту информационных Технологии Москвы» наряду с другими компаниями.

Смотрите также:Министерство юстиции России вновь раскритиковало предлагаемый запрет Криптo

«Мы обладаем экспертизой и значительным опытом в обеспечении безопасности и прозрачности массового онлайн-голосования с использованием технологий блокчейн через нашу платформу Polys», — добавила Боголюбская.

Отчет Meduza — это лишь последняя проблема безопасности системы голосования. Департамент информационных технологий сообщил в пятницу, что «узел наблюдения» былатакованв то время как шло конституционное голосование. Однако, по словам независимых наблюдателей за выборами в России, нет технической возможности подключиться к блокчейну извне, поскольку он полностью работал на серверах ведомства.