Француз выявил уязвимость в ПО московских онлайн-выборов и должен получить часть приза для экспертов

226

Директор по исследованиям Национального центра научных исследований Франции криптограф Пьеррик Годри (Pierrick Gaudry) сообщил, что шифрование, используемое в российской системе электронного голосования, которая впервые будет применяться на выборах в Московскую городскую думу 8 сентября, «совершенно небезопасно» и может быть взломано за 20 минут, пишет РБК.

Как пояснил D-Russia.ru президент фонда информационной демократии, руководитель центра компетенций по импортозамещению в сфере ИКТ Илья Массух, возглавляющий штаб для наблюдения за ходом электронного голосования в Москве, система голосования с конца июля тестируется (информация для экспертизы опубликована здесь) независимыми экспертами на предмет информационной безопасности.

«Мы получили много замечаний от экспертов, каждому из которых признательны – благодаря результатам такой экспертизы ДИТ Москвы принимает решения об усилении защиты, в частности, изменяет длину ключей, применяет более стойкие криптоалгоритмы. Признательны также и Пьеррику Годри. Уязвимость, о которой он сообщает, не критична, но, разумеется, будет устранена до сентября. Для экспертов, содействовавших устранению уязвимостей, предусмотрен денежный приз, часть которого, вероятно, достанется Годри», — сказал Массух.

О чём сообщил Пьеррик Годри

В ходе тестирования создатели системы каждый день выкладывали на Github так называемые публичные ключи шифрования и зашифрованные ими данные, а также раскрывали информацию о приватных ключах и данных, выложенных на день раньше. Публичным ключом бюллетень избирателя шифруется, а расшифровать его можно только имея приватный ключ. Цель таких ежедневных обновлений — убедиться в том, что ключи шифрования нельзя взломать, а данные — расшифровать как минимум 12 часов, в течение которых будет идти голосование.

Однако длина публичного ключа шифрования составляет менее 256 бит, что позволяет вычислить приватный ключ и взломать шифрование системы примерно за 20 минут, используя обычный персональный компьютер и бесплатное программное обеспечение.

Если уязвимость не устранить, злоумышленник, возможно, сможет получить доступ к голосам всех избирателей раньше, чем закроются участки. Он также сможет следить за ходом голосования в реальном времени.

О потенциальной фальсификации результатов Годри не сообщает.

Напомним, закон об экспериментальном электронном голосовании президент РФ подписал 30 мая. Избирательные округа № 1 (Зеленоград), № 10 (Бибирево, Лианозово, Северный) и № 30 (Чертаново Центральное и Южное) были утверждены для проведения эксперимента по электронному голосованию на выборах в Мосгордуму. Для участия в голосовании через Интернет нужно будет подать заявление на региональном портале государственных и муниципальных услуг города Москвы. При этом подача заявления не лишает избирателя права проголосовать в общем порядке, но только при условии, что этот избиратель не проголосовал дистанционно.