W kodzie źródłowym szwajcarskiego systemu wyborczego znaleziono poważny błąd kryptograficzny. Umożliwia on osobom z wewnątrz, które zarządzają tym systemem lub go implementują, na manipulowanie głosami.
Specjaliści z Uniwersytetu w Melbourne, kanadyjskiego Open Privacy Research Society oraz belgijskiego Uniwersytetu Katolickiego w Louvain-la-Neuve przeanalizowali upubliczniony kod systemu wyborczego i znaleźli w nim błąd.
W systemie, którym zarządza SwissPost, szyfrowane głosy muszą zostać przetasowane, by chronić prywatność wyborcy. Zarządzający przetasowaniem muszą dostarczyć matematycznego dowodu, że podczas przetasowania głosy nie uległy zmianie. Dopiero dzięki temu można zweryfikować poprawność głosowania.
Eksperci znaleźli jednak w algorytmie lukę, która pozwala na zmianę głosów i wygenerowanie kodu dowodzącego, że nie zostały one zmienione.
Nic w naszej analizie nie wskazuje, by luka taka została celowo wprowadzona, jednak jej istnienie nas martwi i budzi poważne pytania o jakość pozostałej części kodu, mówi Sarah Jamie Lewis z Kanady.
W tym przypadku analizy wskazują, że mamy tutaj do czynienia z naiwną implementacją złożonego protokołu kryptograficznego przez osoby, które działały w dobrej wierze, ale brak im było pełnej wiedzy na temat bezpieczeństwa, wyjaśnia profesor Vanessa Teague z Melbourne. Oczywiście, gdyby ktoś chciał wprowadzić taki kod, by móc manipulować wynikami wyborów, zrobiłby to w taki sposób, by wyglądało to na przypadek. Jednak nie mamy żadnych dowodów, by stwierdzić, że tak właśnie było, dodaje uczona.
Czy to nie jest tak, że zawsze istnieje pętla którą można nad lub podpętlić i tym samym uzyskać pożądany efekt? 😉
Dlatego właśnie jestem przeciwnikiem elektroniki w samochodach, samolotach no i w systemach wyborczych też.
Poza tym głos na kartce dość szybko się liczy – wystarczy kilka dni… ewentualnie 2 tygodnie 🙂
Po co ten pośpiech?
Jeśli oprogramowanie i elektronika zrobione jest „z głową”, to powinno być bezpieczne.
Mało ryzykowne – to się zgodzę… ponieważ tych kodów jest zbyt wiele, skutkiem czego to komputery sprawdzają komputery finalnie – szczególnie jeśli mamy do czynienia z efektem działania sztucznej inteligencji i uczenia maszynowego. Mowa więc tylko o poziomie bezpieczeństwa – akceptowalnym(!) (i to nie tylko w sferze zabezpieczania informacji).
Ktoś dysponujący większą wiedzą lub mocą obliczeniową ma przewagę podszas ataku – nawet jeśli takiej luki nie ma (teoretycznie) to zawsze można ją jednak stworzyć – tak uważam. Zobaczymy czy komputery kwantowe spowodują jakiś skok jakości w tym obszarze.