Эксперты обнаружили уязвимости в московской системе онлайн-голосования избирателей
По словам Пьеррика Годри, директора по исследованиям Национального центра научных исследований Франции, платформу можно взломать примерно за 20 минут, используя обычный компьютер и бесплатное ПО.
В ходе тестирования создатели системы каждый день выкладывали на сайте для разработчиков Github так называемые публичные ключи шифрования и зашифрованные ими данные, а также раскрывали информацию о приватных ключах и данных, выложенных на день раньше, пишет РБК. Длина выкладываемых публичных ключей составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы за считанные минуты, пояснил П. Годри.
«Не имея доступа к информации об используемом в системе протоколе, сложно точно просчитать последствия данной уязвимости и то, насколько легко злоумышленнику будет найти соответствие между бюллетенями и избирателями, хотя я полагаю, что эта слабая схема шифрования используется именно для шифрования бюллетеней. В худшем случае это может привести к тому, что выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют», – рассказал он.
По словам заместителя генерального директора компании «КриптоПро» Станислава Смышляева, из открытых данных до конца неясно – для чего конкретно в системе электронного голосования используется тот модуль, который смог взломать французский эксперт, поэтому «оценить практические последствия уязвимости в данном сегменте системы не удастся».
Обнаруженные П. Годри уязвимости в случае, если злоумышленник перехватит электронный бюллетень, могут позволить в реальном времени получить данные о том, кто из избирателей за кого голосовал и, возможно, подменить эти данные, объяснил разработчик отечественных систем шифрования Дмитрий Белявский.
Представитель Департамента информационных технологий Москвы подчеркнул, что разработчики осведомлены о найденной зарубежным экспертом уязвимости.
«Такое применение было использовано только во время испытательного периода. В течение пары дней длина ключа будет изменена на 1024 бит. Обращаем внимание, что взлом схемы шифрования не был осуществлен. Мы специально выкладываем открытый ключ и зашифрованные голоса, для того чтобы их попытались расшифровать до публикации закрытого ключа», – уточнил он, добавив, что после тестирования будет осуществлен переход на другой принцип формирования случайных элементов кода.
Источник: RSpectr
Читайте также:
ПодписатьсяНа этой неделе будут доработаны единые требования к информационным системам госорганов
Об этом сказал замдиректора по инновациям ФГБУ НИИ «Восход» (выступает разработчиком проекта по заказу Минкомсвязи РФ) Андрей Хлызов.
Итоги заседания Наблюдательного совета Ассоциации ФинТех
15 августа в Ассоциации развития финансовых технологий (Ассоциации ФинТех, АФТ) прошло очередное заседание Наблюдательного совета. Участники обсудили статус реализации проектов, разрабатываемых на площадке АФТ.