Обожаю медузоньку

Вот чувачки пишут: “мы нашли уязвимость в электронном голосовании, не знаем, как этим воспользоваться, но нас всех наебут!!!!1111″:

https://meduza.io/feature/2020/07/01/meduza-nashla-uyazvimost-v-sisteme-internet-golosovaniya-chast-golosov-mozhno-rasshifrovat-esche-do-ofitsialnogo-podscheta

Собственно, “уязвимость” состоит в том, что зная созданный в ходе процедуры голосования закрытый ключ и еще один параметр (nonce), можно самостоятельно повторить шифрование голоса и убедиться, что именно этот зашифрованный голос оказался в итоговом списке. Казалось бы, можно радоваться? Но нет, “если залезть на шкаф”, эту возможность якобы можно использовать для нарушения тайны голосования. То, что злоумышленнику для этого понадобится слишком много сделать – как минимум, встроить свой нехороший код во все пользовательские браузеры – как-то вообще не рассматривается.

А вообще такие громкие заявления – от банальной недоступности информации, как это все работает. Можно взять пример хотя бы с Эстонии, систему электронного голосования которой разобрали вдоль и поперек:

https://arxiv.org/pdf/1606.08654.pdf

Хотите описания “для широкой аудитории”? Пожалуйста:

http://www.vvk.ee/public/dok/General_Description_E-Voting_2010.pdf

Хотите анализ уязвимостей? Никаких проблем:

http://www.vvk.ee/public/dok/E-voting_concept_security_analysis_and_measures_2010.pdf

Опубликован полный исходный код (а не как у ДИТ Москвы, с купюрами в самых интересных местах):

https://github.com/vvk-ehk/ivxv

Вот такой уровень открытости и не позволяет выдавать очевидное за невероятные находки.

Ответить

Или воспользуйтесь входом по OpenID: