一位法國安全研究員已經在基于區塊鏈的投票系統中找到了一個嚴重的漏洞,而俄羅斯官方計劃于2019年9月舉行的2019年莫斯科市杜馬選舉中使用該系統。
洛林大學的學者、INRIA的研究員PierrickGaudry發現,他可以根據該投票系統的公鑰計算出該系統的私鑰。這些私鑰和公鑰一起用于加密本次選舉中的用戶投票情況。
破解莫斯科區塊鏈投票系統只需20分鐘
Gaudry把這個問題歸咎于俄羅斯官方使用的EIGamal加密方案的一種變體,它使用的加密密鑰大小太小而無法保證安全。這意味著,現代計算機可以在幾分鐘內就破解該加密方案。
Gaudry在本月初發布的一份報告中提到:“使用一臺標準的個人計算機,并且只使用公開可得的免費軟件,就可以在20分鐘內破解該系統。”
莫斯科交易所取消25日早盤交易:2月25日消息,受俄羅斯與烏克蘭緊張關系加劇消息影響,俄金融市場波動加劇。莫斯科交易所表示,將取消25日股票和衍生品市場的早盤交易。24日,莫斯科交易所因觸及“熔斷”而兩度停止交易。(央視財經)[2022/2/25 10:14:58]
他補充道:“如果這些被知悉,任何加密數據可以像創建它們一樣快地被解密。”
至于攻擊者可以用這些加密密鑰來做什么事,目前尚不得知,由于該投票系統的協議還沒有英文版本,因此,Gaudry還無法進行進一步的調查。
莫斯科或于今冬起大規模接種新冠疫苗:莫斯科市長謝爾蓋·索比亞寧接受“俄羅斯24”電視臺采訪時表示,莫斯科或于冬天開始大規模接種新冠疫苗。索比亞寧稱,首支疫苗可能即將在八月或九、十月份問世,但需要安排生產,因此大規模接種將在新年臨近時開始。(俄羅斯衛星網)[2020/6/12]
這位法國研究員說到:“在沒有讀過該協議前,很難準確地說出由此而引發的后果,因為,盡管我們認為,目前還不清楚,這種用于加密投票人弱加密方法對于攻擊者來說,得到投票和投票人之間的相應關系有多么容易。”
“在最糟糕的情形下,所有使用該系統的投票人在完成投票時,任何人都可以知道投票情況。”
第一個這樣的系統
莫斯科的區塊鏈投票系統是第一個這樣的系統。它是由莫斯科信息技術部門內部開發的,以“智能合約”的形式運行于以太坊區塊鏈平臺上。
動態 | 俄羅斯莫斯科大學學生會計劃在6月份試行區塊鏈電子投票:據Cointelegraph消息,莫斯科當局正計劃在2019年6月下旬的大學學生會選舉中試行基于區塊鏈的電子投票,建立該市市長選舉可能下一步適用的方法。該項目將在莫斯科信息技術部(DIT)和莫斯科市選舉委員會(Mosgorizbirkom)的支持下進行測試。DIT副主管Artem Kostyrko透露,試點項目的技術規格將于5月中旬提交Mosgorizbirkom審批;一旦必要的立法獲得通過,委員會批準規范,DIT將公開啟動該項目。 莫斯科市議會今年2月首次提交一項在電子投票系統中使用區塊鏈的法案。4月下旬,俄羅斯國家杜馬一讀通過法案,允許莫斯科市杜馬在9月8日的選舉中進行此類電子投票。莫斯科市杜馬計劃用分布式分類賬技術(DLT)保護電子投票的過程和結果。[2019/5/7]
該投票系統計劃于9月8日投入運行,將運行12個小時,和官方投票時間同步。
莫斯科法院:數字貨幣不能用于破產清算:莫斯科仲裁法庭本周裁定,在去年10月俄羅斯公民Ilya Tsarkov的破產案中,數字貨幣不能用于償付債權人。法院認為,數字貨幣的概念并未在現行立法中規定,法律并未允許將數字貨幣視為財產,所以也不應納入其破產財產。[2018/3/1]
一旦在選舉日部署完畢,莫斯科的居民就可以通過互聯網、手機或家用電腦進行投票,并且把他們的投票加密記錄在公共以太坊區塊鏈上。
這個基于互聯網和區塊鏈的投票系統不僅僅限于在國外旅行和行動不便的人使用。每個事先注冊的人都可以使用該系統,這意味著,該系統有潛力去吸引那些通常不去投票的人。
當2019年9月部署好該系統時,莫斯科的互聯網投票系統將成為第一個基于區塊鏈、具有法律約束力的系統,而不僅僅是在有限制的測試中使用。
莫斯科官方承諾解決這個問題
由于莫斯科官方于7月在GitHub上公開了其源代碼,并要求安全研究人員進行測試,因此,該法國學者能夠測試莫斯科即將推出的基于區塊鏈的投票系統。
在Gaudry的發現公布之后,莫斯科的信息技術部門承諾修補報道中的問題,即弱私鑰的使用。
發言人在網上的回應中表示:“我們絕對同意256x3的私鑰長度不夠安全。這個實施只是在試用期使用。幾天后,私鑰的長度將改為1024。”
Gaudry發現莫斯科官方修改了EIGamal加密方法,以便使用三個較弱的密鑰,而不是一個密鑰,無法解釋信息部門為什么選擇這個做法。
這位法國研究員認為:“這是個迷。我們可以想到的唯一可能的解釋是,設計者認為這可以彌補所涉及的質數太小的密鑰大小。但是3個長度為256位的質數和1個長度為768位的質數真的不一樣。”
然而,根據Gaudry的說法,長度為1024位的密鑰可能還不夠,他認為官方應該使用長度至少為2048位密鑰的其中之一。
這個設計決定也讓AttivoNetworks的首席安全策略官ChrisRoberts感到困惑。
Roberts說:“到底是什么原因讓該平臺的開發人員首先選擇一個弱長度的密鑰顯然是個問題。是缺乏知識和理解嗎?或者只是要得到最快的速度和效率或其他東西呢?”
“美國的系統可以從俄羅斯那里學到很多東西”
他補充道:“對于這個,有個好的方面。莫斯科允許其他人查看、研究代碼,然后幫助他們完善安全性。”
此外,莫斯科官方還批準了給Gaudry的金錢獎勵,根據俄羅斯新聞網站Meduza的報道,Gaudry將獲得1百萬盧布,約15000美元。
根據7月發布的一份報告,Gaudry獲得的獎勵接近莫斯科當地政府允諾給漏洞獵手的最高獎,但是,當代碼放上GitHub時,允諾的獎勵是1百50萬盧布。
Roberts表示:“美國的系統可以從俄羅斯的這個系統中學到很多東西。”他指的是美國最近在試圖保護其電子投票機安全性過程中所遭受到的過多的日益增長的痛苦。
這些日益增長的痛苦主要來自投票機供應商,他們拒絕與網絡安全社區接觸,而莫斯科政府在這方面沒有問題。
美國使用的電子投票機和選舉系統的這種封閉性正是微軟最近宣布在GitHub上開源一種新技術的原因,該新技術用于保護電子投票機安全性。
作者|CatalinCimpanu
翻譯|姚佳靈
來源:
區塊鏈前哨
2019年大約是2月,朋友L給我一份白皮書,VDS。非常激動地跟我說,大機會。我讀完白皮書,說,看起來是一個贏面很大的賭博游戲,現在參與共振,算是很早期.
1900/1/1 0:00:00以太坊自誕生以來已經有5年的時間,Vitalik卻永遠像個18歲的孩子。V神是社區給他的“尊號”,但我一直不喜歡這個稱呼.
1900/1/1 0:00:00上周,Bakkt的“BitcoinWarehouse”為其月末即將上線的比特幣合約開放了客戶資金的存取服務.
1900/1/1 0:00:00Libra的白皮書顯示:Libra貨幣建立在“Libra區塊鏈”的基礎上。Libra需要被很多地方接受,且對于那些想要使用它的人而言應該易于獲得.
1900/1/1 0:00:00一些當初宣揚會替換初始代幣融資的新加密貨幣籌款工具已經宣告失敗,有的可能永遠無法恢復。 STO已“跌落神壇” 這是研究8月份加密貨幣和區塊鏈領域融資方式后得出的結論.
1900/1/1 0:00:00利弗莫爾曾經說:“如果你不把自己的錢拿出來放在賭桌上,你就沒有辦法測試自己的判斷是否正確,因為你沒有真正測試你自己的情緒。我相信控制市場走勢的是人的情緒,而不是什么推理.
1900/1/1 0:00:00