Hệ thống bỏ phiếu bằng công nghệ blockchain đã bị bẻ khóa tại Nga

NDO -

NDĐT - Nhà nghiên cứu người Pháp đã được trao giải thưởng trị giá 15 nghìn USD cho việc tìm ra lỗi trong hệ thống bỏ phiếu dựa trên Ethereum tại Moscow, Nga.

Hệ thống bỏ phiếu bằng công nghệ blockchain đã bị bẻ khóa tại Nga

Một nhà nghiên cứu bảo mật người Pháp đã tìm thấy một lỗ hổng nghiêm trọng trong hệ thống bỏ phiếu dựa trên công nghệ blockchain. Các quan chức tại Nga cho biết, hệ thống này sẽ được sử dụng cho cuộc bầu cử Duma Moscow City 2019 vào tháng 9 tới.

Ông Pierrick Gaudry, một học giả tại Đại học Lorraine và là nhà nghiên cứu của INRIA, Viện nghiên cứu khoa học kỹ thuật số của Pháp cho biết, ông có thể tính toán các khóa riêng của hệ thống bỏ phiếu dựa trên các khóa công khai. Khóa riêng này được sử dụng cùng với các khóa chung để mã hóa các phiếu bầu của người dùng trong cuộc bầu cử.

Hệ thống bỏ phiếu bị bẻ khóa sau 20 phút

Hệ thống bỏ phiếu đã dùng một biến thể của sơ đồ mã hóa ElGamal (hệ mã hóa công khai, mã hóa thông tin trước khi truyền đi) sử dụng các kích thước khóa mã hóa quá nhỏ để bảo mật, các máy tính hiện đại có thể phá vỡ sơ đồ mã hóa này trong vòng vài phút.

Gaudry cho biết, một khi những khóa riêng này được phát hiện, bất kỳ dữ liệu được mã hóa nào cũng có thể được giải mã nhanh chóng ngay khi chúng được tạo ra.

Hiện tại, Gaudry không thể điều tra thêm về các vấn đề này vì các giao thức của hệ thống bỏ phiếu chưa hỗ trợ ngôn ngữ tiếng Anh. Trong trường hợp xấu nhất, các phiếu bầu của tất cả các cử tri sử dụng hệ thống này sẽ được tiết lộ cho bất cứ ai ngay khi họ bỏ phiếu.

Hệ thống bỏ phiếu bằng công nghệ blockchain đầu tiên

Đây là lần đầu tiên một cuộc bầu cử ràng buộc về mặt pháp lý tại Nga đưa công nghệ này vào sử dụng. Nó được phát triển nội bộ bởi Bộ Công nghệ thông tin Nga và hoạt động trên nền tảng blockchain Ethereum.

Hệ thống được triển khai trong cuộc bầu cử tại Nga vào ngày 8-9 tới, sẽ hoạt động liên tục trong 12 giờ và được đồng bộ với phiên bỏ phiếu chính thức. Hệ thống này sẽ cho phép người dân Nga bỏ phiếu trong cuộc bầu cử qua internet, qua điện thoại hoặc máy tính cá nhân của mình và các phiếu bầu được mã hóa công khai bằng công nghệ blockchain Ethereum.

Hệ thống bỏ phiếu thông minh này không giới hạn cho bất kỳ ai, mọi người có thể bỏ phiếu kể cả những người đi du lịch nước ngoài, những người không muốn đến các điểm bỏ phiếu vì nhiều lý do, hay người khuyết tật đều có thể bỏ phiếu thông qua internet.

Biện pháp khắc phục

Nhà nghiên cứu người Pháp cho biết, có thể kiểm tra hệ thống bỏ phiếu này vì các quan chức tại Nga đã công bố mã nguồn của hệ thống trên dịch vụ GitHub vào tháng 7 vừa qua.

Bộ Công nghệ thông tin Nga cho biết, sẽ khắc phục vấn đề này sớm nhất có thể trước khi cuộc bầu cử được bắt đầu; độ dài khóa riêng 256 bit là không đủ an toàn, độ dài của khóa sẽ được thay đổi thành 1024 bit và việc triển khai này mới chỉ được sử dụng trong thời gian dùng thử.

Tuy nhiên, theo Gaudry, khóa công khai có độ dài 1024 bit có thể vẫn không đủ, ông cho rằng các quan chức nên sử dụng ít nhất 2048 bit để thay thế.

Bài học kinh nghiệm cho các hệ thống bầu cử

Theo ông Gaudry, lỗ hổng này không phải là xấu. Nó cũng có một số mặt tốt, thực tế là hệ thống bỏ phiếu của Nga cho phép người khác xem mã, nghiên cứu và sau đó tìm ra các giải pháp giúp cho hệ thống này bảo mật hơn.

Các quan chức tại Moscow, Nga đã trao giải thưởng trị giá 15 nghìn USD cho Gaudry (khoảng một triệu rúp), cho việc tìm ra lỗi trong hệ thống bỏ phiếu dựa trên blockchain Ethereum.

Chris Roberts, Chiến lược gia, Trưởng an ninh tại Attivo Networks cho biết, các hệ thống bỏ phiếu khác như hệ thống COULD của Mỹ sẽ học hỏi được rất nhiều bài học kinh nghiệm từ vấn đề này, khi mà gần đây họ cố gắng bảo mật các máy bỏ phiếu điện tử của mình.

Bản chất của vấn đề này xoay quanh các máy bỏ phiếu điện tử và các hệ thống bầu cử được sử dụng ở Mỹ là lý do tại sao hãng Microsoft gần đây đã công bố kế hoạch mã nguồn mở trên dịch vụ cung cấp kho lưu trữ mã nguồn GitHub - một công nghệ mới để bảo mật các máy bỏ phiếu điện tử.