Cortesía: El País

Un investigador de seguridad francés rompió el esquema de cifrado del sistema de votación que usarán en las elecciones de Moscú 2019, basado en tecnología blockchain.

Pierrick Gaudry, profesor de la Universidad de Lorena y miembro del Instituto de Investigación francés INRIA, descubrió una vulnerabilidad en el sistema de votación basado en la tecnología de criptos Ethereum que se implementará en las próximas elecciones en Moscú.

Un sistema de votación roto en 20 minutos

De acuerdo con la investigación presentada, solo 20 minutos le bastaron a Gaudry para calcular las claves privadas del sistema de votación en función de las claves públicas.

El investigador señala que estas claves se utilizan para cifrar los votos de los usuarios durante las elecciones, de manera de evitar que se conozca su identidad. Sin embargo, Gaudry destaca que debido a la implementación del esquema de cifrado “ELGAMAL” con claves de cifrado de corta longitud, el sistema se tornaba inseguro, logrando desbloquear las claves en solo 20 minutos.

El investigador explica en el informe lo siguiente:

Se puede romper en unos 20 minutos usando una computadora personal estándar y usando solo software gratuito que esté disponible públicamente.

Una vez que se conocen estas claves privadas, cualquier información cifrada se puede descifrar tan rápido como se crea.

Cifrado ElGamal

El esquema de cifrado/descrifrado elgamal es un esquema de cifrado de clave privada basado en algoritmos discretos, este sistema funciona de forma similar a la idea del algoritmo de Diffie-Helman y es comúnmente utilizado para generar esquemas de firmas digitales.

Si una persona mal intencionada logra descrifrar las claves privadas de una firma digital o alguna alteración en la función hash podría falsificar las firmas fácilmente, señalan.

Descubre la versión de los drivers que ocupa tu computador

Y aunque muchos señalan que es poco probable de esto ocurra, la variante presentada durante el sistema de votación permite esta posibilidad de ataque.

“Estamos absolutamente de acuerdo en que la longitud de la clave privada de 256×3 no es lo suficientemente segura”, dijo un portavoz en una respuesta en línea. “Esta implementación se usó solo en un período de prueba. En pocos días, la longitud de la clave se cambiará a 1024”.

De momento se desconoce el alcance de esta violación de privacidad, pero el investigador explica que: “Sin haber leído el protocolo, es difícil determinar con precisión las consecuencias, porque, aunque creemos que este esquema de cifrado débil se usa para cifrar las papeletas, no está claro qué tan fácil es para un atacante tener la correspondencia entre las papeletas. y los votantes”.

Y continúa:

En el peor de los casos, los votos de todos los votantes que usan este sistema se revelarán a cualquiera tan pronto como emitan su voto.

El primer sistema de votación en línea

Este sistema de votación es el primero en implementar un “Contrato inteligente” de Ethereum, una de las plataformas blockchain más utilizada para gestionar las votaciones. El sistema se implementará por primera vez el próximo 8 de septiembre de 2019 y estará habilitado por 12 horas, lo que dura la votación oficial.

Durante este tiempo, los electores podrán acceder al sistema desde Internet a través de sus dispositivos inteligentes o computadoras para ejercer su derecho al voto. El voto se guardará de forma encriptada (como una firma digital) en una cadena de bloques Ethereum.

El investigador obtuvo una recompensa de USD$15,000 por detectar estos fallos de seguridad antes de las elecciones, tras acceder al código del sistema publicado en GitHub por los mismos funcionarios públicos con el fin de que investigadores de seguridad lo estudiaran a fondo.

Más en TekCrispy