Prijavi se z GoogleID

» »

Švicarski sistem e-volitev luknjičav kot švicarski sir

Švicarski sistem e-volitev luknjičav kot švicarski sir

Slo-Tech - Pred mesecem dni so Švicarji zagnali javni preizkus varnosti sistema za izvedbo e-volitev. Sistem, ki ga je postavila Švicarska pošta v sodelovanju s španskim tehnološkim partnerjem Scytl, je bil razgaljen vključno z izvorno kodo, hekerji pa so za odkritje in izrabo ranljivosti tudi nagrajeni. Čeprav preizkusno obdobje sploh še ni končano, je že jasno, da je imel sistem hudo ranljivost.

Več raziskovalnih skupin je, neodvisno druga od druge, odkrilo resno ranljivost v sistemu. Tako imenovana univerzalna preverljivost, ki je za e-volitve ključna in omogoča enoznačno ponovno štetje glasov, kakor je to mogoče tudi s papirnimi glasovnicami, je vsebovala to ranljivost. Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi glasovanja. Tiskovni predstavnik švicarskega CCC (Chaos Computer Club) Hernâni Marques je potrdil, da ranljivost omogoča nedokazljive manipulacije.

Švicarska pošta se je odzvala z izjavo, da ranljivost ni tako nevarna. Trdijo, da ranljivost ne omogoča vstopa v sistem e-glasovanja in da bi za manipulacijo napadalci morali najprej izključiti kup varnostnih ukrepov, pridobiti dostop do varovane infrastrukture ter imeti pomoč nekoga z dostopom. Dodajajo, da sistem za e-glasovanje, ki so ga v preteklosti že uporabljali v štirih kantonih, te ranljivosti nima, ker je tam implementacija drugačna.

Raziskovalci pa medtem kritizirajo kodo, ki jo je Švicarska pošta postavila na ogled. Sarah Jamie Lewis iz kanadske neprofitne organizacije Open Privacy, ki je prva odkrila ranljivost, poudarja, da je ranljivost hujša. Isto ranljivost so odkrili tudi drugi. Trenutno lahko z rezultati volitev manipulira tudi izvajalec in hkrati pridela "dokaz", da manipulacije ni bilo.

Še bolj bizarno pa je, da Švicarska pošta trdi, da so za isto napako izvedeli že leta 2017 in Scytl pozvali k popravku, ki pa ga ta še ni izdelal v celoti. Scytle se je odzval s svojim pojasnilom, da so popravek že zdavnaj izdelali, a da zaradi vrzeli v specifikacijah ni deloval, kot bi moral. Iz švicarske vlade so sporočili, da spričo vseh odkritih dejstev zaključujejo, da sistem trenutno ne izpolnjuje pogojev za uporabo, zato bodo Švicarsko pošto pozvali k odpravi napak.

34 komentarjev

jype ::

Zato je pa velika sreča, da so se vsaj ZDA tega zdaj lotile resno.

SeMiNeSanja bo sicer histeričen, ampak...

https://motherboard.vice.com/en_us/arti...

Če ni open source, potem ne more biti varen.

Zgodovina sprememb…

  • predlagal izbris: Elysium ()

SeMiNeSanja ::

jype je izjavil:

Zato je pa velika sreča, da so se vsaj ZDA tega zdaj lotile resno.

SeMiNeSanja bo sicer histeričen, ampak...

https://motherboard.vice.com/en_us/arti...

Če ni open source, potem ne more biti varen.

Edini, ki je histeričen si TI in tvoji podrepniki.

Po tvoji definiciji je odprta koda varna že samo zato, ker je odprta.

Ravno danes gledam Putty... od leta 2017 prva nova verzija.... končno popravki za ranljivosti, ki so notri že celo večnost.
Ampak ja...ker piše gor 'Open' je itak brezmadežno...če ne verjameš, pa Jype-a vprašaj.

Beemu, če je OSS tako popoln.... zakaj so potem morali razpisati nagrade, da bi se sploh kdo lotil raziskovanja izvorne kode? In UPSS - popravki so, pa popravki niso, pa ranljivost je še vedno... fuck it!

To je varno samo po sebi?

Popolnoma nič drugače ni, kot tisti tako zelo spljuvani koncept 'security by obscurity'. Sam po sebi je ta koncept popolni fail. Če pa predstavlja nadgradnjo standardih pristopov, pa lahko govorimo o odlični zamisli.

Enako pri Opensource. ČE ga spremljajo vsi standardni postopki kontrole in nadzora kakovosti, potem je odprtost kode odlična zadeva. Če pa nihče ne gleda kode, bi pa bilo popolnoma vseeno, če bi bil izdelek zaprtokodni.

Če tega ne dojameš, moraš biti ali zaslepljen fanatik, ali pa imeti hud deficit kar se tiče IQ-ja.

Ali oboje.....

tony1 ::

No, s tem, da DARPA, izumitelj interneta, zaradi katerega imamo vsi dovolj kruha, ne ve, kaj počne, se pa ne strinjam... ;)

Pravzaprav iz tega ni jasno, da je odprta koda privzeto varna - je pa jasno, da je zaprta koda privzeto nevarna.

SeMiNeSanja ::

tony1 je izjavil:

No, s tem, da DARPA, izumitelj interneta, zaradi katerega imamo vsi dovolj kruha, ne ve, kaj počne, se pa ne strinjam... ;)

Pravzaprav iz tega ni jasno, da je odprta koda privzeto varna - je pa jasno, da je zaprta koda privzeto nevarna.

Privzete varnosti ni. Nikjer.

Kdor ti trdi karkoli drugega, te nateguje na suho.

Phantomeye ::

Lol, daš kodo na ogled, pol pa iščeš izgovore, ko kdo kaj najde. Klasika.

jype ::

SeMiNeSanja je izjavil:

Po tvoji definiciji je odprta koda varna že samo zato, ker je odprta.
Me lahko citiraš? Link?

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja je izjavil:

Po tvoji definiciji je odprta koda varna že samo zato, ker je odprta.
Me lahko citiraš? Link?

Nobene potrebe po citiranju ni, ker tako in tako vsakič skočiš v zrak, ko izrazim trditev, da razpoložljivost izvorne kode še zdaleč ni še nobena garancija za kakršnokoli 'varnost' neke rešitve.

Čemu potem skačeš v zrak in svoje podrepnike zganjaš nadme?
Ker kao trdiš isto kot jaz? Daj, zresni se prosim!

Potem bi pa še rad citat.... swašta!
Kdor zna logično sklepati, ne potrebuje citatov.
Kdor pa ne premore toliko osnovne logike...no, ta pa skače in zahteva citate.....

Zgodovina sprememb…

Pika na i ::

Človek se mora smejati....ni taka ranljivost. Res, če je lahko samo 10% el. glasovnic, ki so po volji vsevišjega napisane, to ne predstavlja nobene ranljivosti za volilni izzid.
Švicarska pošta je še večji smeh kot slovenska.
Upali so, da bodo brez popravka dobili (boljši) popravek popravka.
130.000 so razdelili?

Glugy ::

če bodo vestno popravljal in dajal dobre nagrade za ranljivosti bo prej ali slej tud koda postala dovolj verodostojna za dejanske volitve. Samo odnehat ne smejo.

matejdro ::

pivmik ::

Ameriški DARPA zgleda da ima boljši pristop:

KimZetter

@DARPA is building a $10 million secure voting system, fully open source, that it will bring to the @defcon Voting Village this year and next to let hackers/researchers examine and pentest.


https://motherboard.vice.com/en_us/arti...
Gregor

veduvedu ::

Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi glasovanja.

That is a feature

Zgodovina sprememb…

  • predlagalo izbris: bfranklin ()

srnjak ::

Ne znam si predstavljati elektronskega sistema, ki bi hkrati zagotavljal anonimnost, da bi dovoljeval samo volilnim upravičencem glasovati in preprečil, da isti človek glasuje večkrat.

Leaker49 ::

Spet neke teorije zarote.

Zgodovina sprememb…

  • predlagalo izbris: bfranklin ()

Matthai ::

srnjak je izjavil:

Ne znam si predstavljati elektronskega sistema, ki bi hkrati zagotavljal anonimnost, da bi dovoljeval samo volilnim upravičencem glasovati in preprečil, da isti človek glasuje večkrat.

Temu so namenjeni določeni kripto sistemi.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

veduvedu je izjavil:

Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi glasovanja.

That is a feature

Advanced feature.
(Orban se najbrž že zagreva zanj?)

Saul Goodman ::

sorry seminesanja, ampak madžari bodo uporabili odprtokodno rešitev. :)

jype ::

SeMiNeSanja je izjavil:

Nobene potrebe po citiranju ni
Drži - vsi že vnaprej vemo, da v praksi noben program, ki ni odprtokoden, ni varen.

Pika na i ::

Glugy je izjavil:

če bodo vestno popravljal in dajal dobre nagrade za ranljivosti bo prej ali slej tud koda postala dovolj verodostojna za dejanske volitve. Samo odnehat ne smejo.

Bi predlagala, da pošljemo na delo, dežurnega slotech trola. Precej primeren za tovrstno delo, pa še koristen bo. Nagrade bi pa seveda dal v dobrodelne namene.





Jaz pa, ne hvala. Bom kar še lepo peš obkroževala, dvom in nezaupanje v neranljivost, ne gresta tako hitro stran.

jype ::

Pika na i je izjavil:

Jaz pa, ne hvala. Bom kar še lepo peš obkroževala, dvom in nezaupanje v neranljivost, ne gresta tako hitro stran.
Bojim se, da trenutno tehnično smiselne rešitve (z lastnostmi, enakovrednimi papirnatim volitvam) za elektronske volitve ne obstajajo, zato je prav, da ljudje takšne volitve zavračajo. Kriptografski protokoli, ki bodo morda nekega dne omogočali kvalitetno izvedbo elektronskih volitev, bodo morali biti dovolj enostavni, da jih ljudje razumejo, ker sicer ne moremo imeti volitev, ki so dejansko demokratične, saj je preverljivost, ki jo lahko izvaja slehernik, _ključnega pomena_.

Matthai ::

Kriptografija ni bila še nikoli enostavna.

Secure multi-party computation, ki se uporablja pri e-voting sistemih, je pa še posebej težko za razumet. S kolegom sva lani implementirala neko rešitev, ki uporablja secure multi-party computation (private set intersection), in zadeva je precej, kako bi rekel... twisted mind, braifucked... Dejansko moraš biti malo nor, da to razumeš.;)

Za e-volitve je pa podobno.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

Kriptografija ni bila še nikoli enostavna.

Secure multi-party computation, ki se uporablja pri e-voting sistemih, je pa še posebej težko za razumet. S kolegom sva lani implementirala neko rešitev, ki uporablja secure multi-party computation (private set intersection), in zadeva je precej, kako bi rekel... twisted mind, braifucked... Dejansko moraš biti malo nor, da to razumeš.;)

Za e-volitve je pa podobno.

Podcenjuješ Jype-a in njegove odprtokodne freak-e, ki se spoznajo v vse.

Samo čudim se, da niso že sami ponudili Švicarski pošti 'popolno' rešitev.

DomenS ::

jype je izjavil:

Zato je pa velika sreča, da so se vsaj ZDA tega zdaj lotile resno.

SeMiNeSanja bo sicer histeričen, ampak...

https://motherboard.vice.com/en_us/arti...

Če ni open source, potem ne more biti varen.


ZDA so se resno lotile patchanja e-voting škatel na volišču, ne glasovanja prek interneta. Big difference.

MrStein ::

SeMiNeSanja je izjavil:

veduvedu je izjavil:

Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi glasovanja.

That is a feature

Advanced feature.
(Orban se najbrž že zagreva zanj?)

Zakaj, če pa mu klasična metoda dela super? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gavran ::

IMHO e-volitve preko neta padejo v mission impossible ze pri moznosti neodvisnega nadzora volitev. Le kako (in kaj) naj povprecni Janez nadzira, ce pa sam zna komaj pognati Internet explorer (Za Chrome ali bognedaj Opero se slisal ni), na sedezu volilne komisije pa se na ekranih pojavljajo v nakljucnih casovnih razmikih vedno nove stevilke. Za ustrezen nadzor bi potrebovali cloveka tipa Matthai (vsaka zainteresiran stranka vsaj enega), kakrsnih je v Sloveniji zelo malo, iz tega razloga pa postane nadzor (lahko) spet pristranski...
Bodimo strpni do virusov. Tudi virusi gripe, prehlada in AIDSa morajo živeti.

jype ::

DomenS je izjavil:

ZDA so se resno lotile patchanja e-voting škatel na volišču, ne glasovanja prek interneta. Big difference.
Jasno, saj glasovanje prek interneta v praksi ne more biti niti tajno, niti pošteno.

Matthai je izjavil:

Kriptografija ni bila še nikoli enostavna.
Potem ni dovolj dobra, da bi lahko izvedli elektronske volitve.

SeMiNeSanja je izjavil:

arglebargle
Lahko podkrepiš z argumenti?

Zgodovina sprememb…

  • spremenilo: jype ()

Matthai ::

jype je izjavil:


Matthai je izjavil:

Kriptografija ni bila še nikoli enostavna.
Potem ni dovolj dobra, da bi lahko izvedli elektronske volitve.

Seveda ni. Ker ni problem v kriptografiji, pač pa v transparentnosti volitev in tehnologije: https://telefoncek.si/predavanja/E-voli...
All those moments will be lost in time, like tears in rain...
Time to die.

jype ::

Matthai je izjavil:

Seveda ni. Ker ni problem v kriptografiji, pač pa v transparentnosti volitev in tehnologije
Ne. Problem je tudi v kriptografiji. Če moraš biti matematik, da razumeš, zakaj je preverjanje izvedljivo, potem to žal ni dovolj dobro: Trenuten sistem z listki papirja in čačkami s kulijem po njem lahko preverjajo celo največji bukslji, zato je tak sistem bistveno težje zlorabiti na način, ki bi ga bilo težko odkriti. Za nobeno kriptografsko implementacijo volitev to trenutno ne velja. Sprejel bi, da je dovolj, da obvladaš osnovnošolsko matematiko, pričakovati višji nivo je pa IMO že preveč, da bi lahko zagotavljal univerzalno zaupanje v volitve.

Matthai ::

Saj se strinjava.

Samo pravim, da z osnovnošolsko matematiko kriptografije ne boš razumel. Bistvo volitev je pa enostavnost in transparentnost.
All those moments will be lost in time, like tears in rain...
Time to die.

jype ::

Ja, no, potem ne moreš imeti elektronskih, če morajo biti enostavne - in meni se zdi to povsem smiseln tradeoff. Komot so elektronsko podprte, da se jih pospeši, a le na način, ki omogoča ponovno štetje počečkanih papirčkov v primeru, da je karkoli sumljivega.

Matthai ::

Ja. Točno tako.
All those moments will be lost in time, like tears in rain...
Time to die.

johnnyyy ::

Matthai je izjavil:

jype je izjavil:


Matthai je izjavil:

Kriptografija ni bila še nikoli enostavna.
Potem ni dovolj dobra, da bi lahko izvedli elektronske volitve.

Seveda ni. Ker ni problem v kriptografiji, pač pa v transparentnosti volitev in tehnologije: https://telefoncek.si/predavanja/E-voli...

Sem prebral del o sistemu dvojnih elektronskih ovojnic, pa se mi zdi zanimiv a sam bi se zadeve lotil na naslednji način:

1) Ustvari se 5 delovnih skupin A (glavna - skrbi za koordinacijo), B (volilna - preverjanje volilnih udeležencev), C (certifikacijska - skrb za volilne certifikate), D (časovna - časovno žigosanje) in E (arhiv - objava, komunikacija z volivci).
2) Vsaka skupina si zgenerira svoj tajni/javni ključ, skupina A pa vse javne dele ključev podpiše.
3) skupina B pripravi javne ključe volilnih upravičencev jih časovno žigosa in podpiše.
4) Ko skupina B zaključi z delom, uniči svoj tajni ključ in podatke preda skupini C, A in E.
5) skupina C zgenerira volilni tajni/javni ključ za vsakega volivca. Kontrolno vsoto posameznega javnega volilnega ključa časovno požigosa in podpiše. Volilne tajne in javne ključe skupina šifrira z javnim ključem skupine E in naključnim javnim ključem volivca, nato pa volilni ključ uniči.
6) Ko skupina C zaključi z delom uniči svoj tajni ključ. Pakete, ki so šifrirani s ključi volilnih upravičencev preda skupini E, tiste ki pa so šifrirani z E javnimi ključi pa preda skupini A.
7) Skupina E posreduje pakete volivcem.
8) Na ta način dobimo paket, ki ga lahko odpre le volivec, znotraj pa se skriva podpisan tajni/javni ključ namenjen podpisu glasu.
9) Ko je čas volitev, volivec ustvari predpisan string, poda svojo volilno odločitev, ki jo časovno žigosa in podpiše s pridobljenim volilnim tajnim ključem. Datoteko pa pošlje skupini E, ki ga časovno žigosa in podpiše. Poleg tega si oddan podatek shrani pri sebi (kot dokaz).
10) Ko je volitev konec skupina D uniči svoj javni ključ za časovno žigosanje, skupina E pa uniči vse pakete, ki jih je posredovala volivcem.
11) Skupina A preda tajne volilne ključe skupini E, ki jih dešifrira in javno objavi skupaj z glasovnicami
12) Skupina A in E uničita svoje tajne ključe.

Na ta način zagotoviš anonimnost glasovanja, saj so vsi glasovi podpisani, ne veš pa točno kdo izmed volivcev ga je podpisal. Kot posameznik lahko preveriš, če je tvoj glas vštet, saj imaš dokaz. Z objavo tajnih volilnih ključev pa zagotoviš anonimnost dokaza. Edini problem je potem še "prodaja glasu", ki pa bi ga lahko rešil s tem, da je omejen čas med prevzemom volilnega paketa in oddajo.

starfotr ::

Povsod po svetu, kjer so poštarji zraven, je štala. Isto je pri naših poštarjih, pardon telekomu.

Gavran ::

johnnyyy je izjavil:

Edini problem je potem še "prodaja glasu", ki pa bi ga lahko rešil s tem, da je omejen čas med prevzemom volilnega paketa in oddajo.


Ostaja problem neodvisnega nadzora volitev in pa možnost posega recimo dan po volitvah, če se zahteva ponovno štetje glasov.
Bodimo strpni do virusov. Tudi virusi gripe, prehlada in AIDSa morajo živeti.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Švicarski sistem e-volitev luknjičav kot švicarski sir

Oddelek: Novice / Varnost
343330 (579) Gavran
»

Švica ponuja nagrade za vdor v svoj sistem e-volitev

Oddelek: Novice / Varnost
183020 (543) pivmik
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
36946654 (11887) AndrejO
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8418034 (8341) Furbo
»

Vdor v Hacking Team v divjino ponesel neznane ranljivosti

Oddelek: Novice / Varnost
156621 (2359) noraguta

Več podobnih tem