Обожаю медузоньку

Вот чувачки пишут: «мы нашли уязвимость в электронном голосовании, не знаем, как этим воспользоваться, но нас всех наебут!!!!1111»:

https://meduza.io/feature/2020/07/01/meduza-nashla-uyazvimost-v-sisteme-internet-golosovaniya-chast-golosov-mozhno-rasshifrovat-esche-do-ofitsialnogo-podscheta

Собственно, «уязвимость» состоит в том, что зная созданный в ходе процедуры голосования закрытый ключ и еще один параметр (nonce), можно самостоятельно повторить шифрование голоса и убедиться, что именно этот зашифрованный голос оказался в итоговом списке. Казалось бы, можно радоваться? Но нет, «если залезть на шкаф», эту возможность якобы можно использовать для нарушения тайны голосования. То, что злоумышленнику для этого понадобится слишком много сделать — как минимум, встроить свой нехороший код во все пользовательские браузеры — как-то вообще не рассматривается.

А вообще такие громкие заявления — от банальной недоступности информации, как это все работает. Можно взять пример хотя бы с Эстонии, систему электронного голосования которой разобрали вдоль и поперек:

https://arxiv.org/pdf/1606.08654.pdf

Хотите описания «для широкой аудитории»? Пожалуйста:

http://www.vvk.ee/public/dok/General_Description_E-Voting_2010.pdf

Хотите анализ уязвимостей? Никаких проблем:

http://www.vvk.ee/public/dok/E-voting_concept_security_analysis_and_measures_2010.pdf

Опубликован полный исходный код (а не как у ДИТ Москвы, с купюрами в самых интересных местах):

https://github.com/vvk-ehk/ivxv

Вот такой уровень открытости и не позволяет выдавать очевидное за невероятные находки.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *