Онлайн-система голосования используется Новый Южный Уэльс был уязвим дефект, который потенциально позволило обнаружить мошенничество на выборах, чтобы иметь место на выборах в Государственную 2019, несмотря на заверения избирательной комиссии Виктория, что эта система была в силе.

Это ключ заберите в новый отчет [PDF файл] от известных криптографических исследователь доктор Ванесса Тиг, что говорит iVote восприимчив к ранее выявленные ошибки в его процесс проверки, что может привести к проверке голосов, чтобы быть обманом, в результате неправильного подсчета.

Это технический аргумент, но важный как органы безопасности через пять глаза разведывательное сообщество удвоить ставку на вмешательство иностранных кибер в избирательных процессах, которая колеблется от классических онлайн дезинформации и отказ в обслуживании в глубокую систему компромиссов.

Тиг, адъюнкт-профессор в Университете Мельбурна школы вычислительная техника и информационные системы, заявил, что поверку недостаток может бросить уровень сомнений за более 234,000 голосов, которые были отлиты с использованием системы на апрельских выборах.

Но NSWEC убежден, что “нет никаких признаков какого-либо вмешательства в системы iVote на недавних выборах в государственный или в любых других выборах”.

Изъян был первым обнаружил в швейцарском правительстве система электронного голосования , как iVote используемое программное обеспечение от испанского производителя Scytl – в марте после того, как код был открыт для публичного тестирования заражения.

Тиг, наряду с другими умышленно уважаемый криптографии и конфиденциальности исследователи Сара Джейми Льюис и Оливер Перейра, выявили дефект мог допустить голосования манипуляции проводятся без ведома властей.

Проблема сосредоточена вокруг системы sVote в стране запущена швейцарская Почта проверяется голосов, используя последовательность перетасовать доказательств, которые могли бы позволить злоумышленниками для изменения голоса, не будучи обнаруженным.

Хотя NSWEC подтвердил недостаток, который связан с Scytl используют сеть, также присутствовавший в iVote , когда результаты были обнародованы, он подчеркнул, что “проблема не влияет на использование iVote”.

Это, по мнению избирателей, был, потому что машина, которая работает используют сеть для iVote физически не соединена ни с какими другими компьютерными системами.

“Для того, чтобы эта слабость станет проблемой, человек может получить доступ к физической машине. Они должны были все нужные полномочия и права код для изменения программного обеспечения,” комиссия сказала в то время.

Но новый отчет Тиг споры оценка NSWEC, что она сказала, было “неправильным”.

“расшифровки и проверки iVote будут немного отличаться от тех швейцарской системе, но в то же нападение все-таки могут быть выполнены после небольшой доработки”, – сказал Тиг.

“Это позволит обрабатывать поврежденные iVote, чтобы произвести “доказательство”, что он правильно разобрался с голосами, в то время как на самом деле изменение действительных голосов в недействительных, что не будет засчитан”.

Тиг сказал, что данный вопрос может быть легко исправлено путем принятия той же патчи программного обеспечения, которые были применены к системе швейцарского правительства, которое NSWEC сказал будут направлены на iVote.

Scytl пообещал он обновит его исходный код, вскоре после того, как уязвимость была раскрыта, но не раньше, выступая с критикой исследователями для поиска дефекта.

Но в ответ на исследования Тиг, директор по NSWEC инноваций избирательной Марк Редклифф открыл агентство только сейчас “выполнение улучшенной версией доказательство”после того, как это было предусмотрено Scytl последний месяц для решения вопроса.

Он, однако, подчеркнуть, что фальсифицирует доказательства в порядке, предложенном Тиг потребовали бы особого эксперта, доступ к физической машины, используемые для выполнения дешифрования.

“Мы уверены, что не могло бы произойти во время выборов в Государственную 2019”, – сказал он, добавив, что ряд других элементов также должны быть пропущены.

“В NSWEC имел ряд надежных процедур и тестов на соответствие, чтобы обеспечить гарантии о целостности процесса iVote.

“Эти и другие меры, включающие строгий контроль, чтобы управлять рисками инсайдерских атак”.

Тиг сказал, что она пришла к выводу, анализируя “описание протокола”, а не сам исходный код, который был выпущен NSWEC в июле.

“Так как эта ошибка влияет на процесс проверки, это спецификация, а не в текущей реализации, что определяет систему безопасности в любом случае—если iVote имел независимую проверку, он будет основан на независимом осуществлении проверки спецификаций, а не на бег Scytl кодекса”, говорится в докладе.

Она также напрямую касается заверения NSWEC, что поскольку машина используется для используют сеть не была подключена к любой другой системе, iVote sytstem был в силе.

“Предполагается, что расшифровка доказательство недостаток сглаживается за микс сервер подписывает его выход, который является входом для расшифровки доказательство”, – сказал Тиг.

“Если проверка спецификаций были изменены (и я считаю, что это было), чтобы проверить, что подписи, то это немного укрепляет модель—атакующий сервер микс и сервиса расшифровки придется вступать в сговор, чтобы произвести поддельные доказательства.

“Однако это не решит проблему—я считаю, что смеситель и сервиса расшифровки, как работает программное обеспечение Scytl и как управляется NSWEC, поэтому предположение, что они не могут быть одновременно зараженным одной и той же организацией не представляется оправданным.

“В любом случае, оно не рассматривается возможность замещения голосования до или после этих компонентов”.

Тиг, который уже давно призывал к исходному коду iVote, чтобы быть публично доступна для тестирования до выборов, считаем, что результаты исследования лишь еще одна причина, почему код должен быть доступен.

“Хотя узнал об этом сейчас лучше, чем не узнать вообще, было бы гораздо лучше для целостности Нового Южного Уэльса выборах, если эти проблемы были выявлены и исправлены до того, как система была поручена более чем 200 000 голосов”, – сказала она.

“Если исходный код и документация были сделаны доступными для анализа перед выборами, как швейцарская почтовая система, то эти ошибки можно было точно понять и смягчить их последствия во времени.”

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here