Программист: тайну интернет-голосования в Мосгордуму можно взломать за 20 минут

b_480_0_16777215_00_images_19_08_d4d3794e60cc4d6882266baceaebf7b4.jpgИсследователь Пьеррик Годри из французского Университета Лотарингии нашел возможность взлома московской системы электронного голосования.

На выборах в Мосгордуму 8 сентября этой системой могут воспользоваться до 500 тысяч москвичей в трех избирательных округах из 45-ти. Годри считает, что их тайна голосования совершенно незащищена.

 

Мэрия Москвы опубликовала тестовую версию программного кода системы для всех желающих на программистской платформе GitHub в середине июля. По задумке создателей, система должна выдерживать попытки взлома в течение 12 часов - именно столько длится голосование.

 

Французский же исследователь утверждает, что для обхода системы защиты голосов москвичей достаточно 20 минут, обычного персонального компьютера и общедоступного бесплатного программного обеспечения. Для этого он использовал скрипт (программистский сценарий), который занимает всего одну страницу.

 

Применив этот скрипт, злоумышленник может получить доступ к голосам всех избирателей раньше, чем закроются участки. Он также сможет следить за изменениями предпочтений в реальном времени. О переписывании или удалении голосов из системы в исследовании речь не идет.

 

"Сложно точно просчитать последствия данной уязвимости. Хотя мы верим, что эта слабая схема шифрования используется именно для шифрования бюллетеней, непонятно, сможет ли злоумышленник найти связь между конкретными бюллетенями и избирателями. В худшем случае выбор всех избирателей, использующих систему электронного голосования, станет публично известен, как только они проголосуют", - пишет Годри.

 

Перед публикацией Годри связался с представителями департамента информационных технологий (ДИТ) мэрии Москвы. Там уже пообещали усилить криптографические ключи (с 256-битных до 1024-битных), но, по мнению Годри, этого недостаточно - для защиты голосов нужны как минимум 2048-битные ключи шифрования, требующие серьезной переработки системы. Чем длиннее ключи шифрования, тем больше времени и ресурсов нужно, чтобы их взломать.

 

Представитель пресс-службы ДИТ Москвы сообщил РБК, что там отчасти согласны с мнением, представленным в докладе, - три приватных ключа по 256 бит не обеспечивают достаточную стойкость шифрования. "Такое применение было использовано только во время испытательного периода", - сообщил представитель ведомства.

 

"По всей видимости, к разработке системы вовсе не привлекались опытные криптографы, а проектом занимались только программисты, - считает технический директор ООО "ТСС" Илья Шарапов. - Эти разработчики взяли несколько систем из открытых источников, соединили их, попутно перепутали схемы шифрования на основе эллиптических кривых и на основе задачи дискретного логарифмирования, в результате чего получилась уязвимая система. Главное правило криптографа: если у вас есть надежный криптографический алгоритм, не нужно изобретать его заново и лезть туда со своими разработками. Вот об этом правиле разработчики московских выборов, видимо, позабыли".

 

BBC Russia