瑞士政府机构瑞士邮政国家邮政服务上个月宣布称为电子投票系统启动漏洞奖励计划,最高赏金为5万美元。
自2004年起,瑞士就一直在推行电子投票试点行动,瑞士邮政认为如今已开发出完全可经验证的可推广至全国范围内的系统。虽然已经签约一家第三方测试这个新的电子投票系统的安全性,但也同时决定发布公开的漏洞奖励计划。该项目将在3月24日结束,全球超过3000名黑客已经登记。
一个名为“setuid(0)”的研究团队在代码中发现了大量漏洞,但瑞士邮政表示多数是“低危”级别。
瑞士邮政发布漏洞奖励计划不久后,密码学专家 Sarah JamieLewis 和 Matthew Green 指出,加密函数中还存在一些潜在的严重漏洞。
周二,Lewis 和研究人员 Olivier Pereira 和 Vanessa Teague 披露了一个严重的和密码相关的问题,指出该问题可被用于“无法被检测到的选举操纵”。其他两名研究人员同时也独立发现了这个漏洞。
该漏洞存在于确保任何人能够验证选举正确性的功能中。“通用可验证”的概念确保即使在所有服务器端组件被攻陷的情况下,选票也不会遭篡改。瑞士投票系统依赖于“完整的验证性”,只要至少一个服务器端组件未被攻陷,它也提供了同样的保证。然而,研究人员发现,该电子投票系统未能确保完整的可验证性。
研究人员解释称,“在瑞士邮政系统中,需清点加密的电子投票以保证个体投票的隐私。每台清点投票的服务器都应该证明它所收到的输入选票和所输出的被加密不同的选票是一致的。这样做的目的是提供一种公开可观测到的选票箱或玻璃罩的电子等价物。”
专家指出,问题在于清点流程依赖的是被称为“陷阱门承诺协议 (commitment scheme)”的密码原语,它允许知道陷阱门值的任何人修改选票而不留任何痕迹。
海宇勇创(www.yongsystem.cn)渗透测试服务,可为企业检测出已存在的安全隐患,先不法分子一步完善系统漏洞,让您的企业无懈可击。
扫一扫
3421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
