Российская система голосования на основе блокчейнов за конституционные поправки имела уязвимость, которая, как сообщается, позволила расшифровать голоса до официального подсчета.
Учредители могут расшифровать свои личные ключи
В соответствии с исследовательская работа в русскоязычном новостном издании Meduza, когда избиратели проголосовали через специальный веб-сайт, результаты зашифровывались библиотекой JavaScript под названием TweetNaCl.js.
Это реализация «Сети и криптографии», или NaCi, библиотеки криптографии, созданной математиком Даниэлем Бернштейном и криптографами Таней Ланге и Питером Швабе.
Согласно Meduza, система голосования опиралась на так называемое детерминированное шифрование, что означает, что использование одинаковых параметров приводит к одинаковым шифротекстам. И отправитель, и получатель получили общий ключ, который можно использовать для шифрования или дешифрования сообщения.
Это означает, что любой избиратель может теоретически расшифровать свой собственный голос, прежде чем он будет расшифрован избирательной комиссией, или даже позволить третьим сторонам сделать это. Для этого избиратель должен был сохранить свой закрытый ключ.
Чтобы получить закрытый ключ, компонент должен был перейти на страницу электронного бюллетеня, открыть консоль разработчика в своем веб-браузере и внести незначительные изменения в библиотекуlection.js (добавить точку входа, ввести: секретный ключ избирателя ‘, шифровальщик) .keyPair.secretKey), а затем отдать свой голос.
Медуза провела эксперимент, в котором все участники извлекли свои закрытые ключи и, как сообщается, смогли расшифровать все голоса в результате.
Есть положительная сторона ошибки
Согласно публикации, уязвимость теоретически позволяет работодателям следить за тем, чтобы их сотрудники голосовали, и даже проверять их голоса, побуждая их сохранять свои закрытые ключи. Там были отчеты Предполагается, что финансируемые государством предприятия в России подталкивают своих работников голосовать по запросу правительства.
С другой стороны, та же ошибка может быть использована для повышения прозрачности голосования в сценарии, когда избирательная комиссия отказывается публиковать расшифровку каждого голосования (как это было после выборов в Мосгордуму в 2019 году, где якобы был также блокчейн). используемый).
Медуза уточнил: «Например, сторонники одного конкретного кандидата могут согласиться установить одно и то же расширение браузера. Таким образом, они могут отслеживать минимальное количество голосов, которое их кандидат должен обязательно получить после подсчета ».
77,9% проголосовали за поправки, позволяющие Путину править до 2036 года
Электронное голосование проводилось с 25 по 30 июня для жителей Москвы и Нижнего Новгорода и было основано на платформе блокчейна Exonum, разработанной Bitfury. Остальные регионы могут голосовать только в автономном режиме.
Сам референдум закончился вчера, 1 июня. Со всеми бюллетенями подсчитаны ранее сегодня 77,9% проголосовали за пакет реформ и 21,3% против, по данным избирательной комиссии.
Что касается результатов электронного голосования, то 62,33% московских избирателей поддержали поправки, а 37,37% – против. В Нижнем Новгороде результаты были примерно одинаковыми: 59,69% и 40,31% избирателей проголосовали «за» и «против» соответственно.
Примечательно, что один электронный бюллетень был признан недействительным. Так как объяснил По словам представителя правительства Москвы, голосующий пользователь прекратил «транзакцию между щелчком мыши и передачей ее в криптографическую библиотеку своего компьютера». Поскольку блокчейн может принимать только «да» или «нет» за ответ, система якобы пометила указанное голосование как недействительное во время расшифровки.
Согласно конституционным поправкам, срок полномочий Владимира Путина будет восстановлен в 2024 году, что означает, что он может оставаться президентом до 2036 года.