Sicherheitslücken in Moskaus Blockchain-E-Voting

21. August 2019, 11:34
  • e-government
  • e-voting
  • blockchain
  • ethereum
  • security
image

Ein französischer Sicherheitsexperte hat eine kritische Schwachstelle im Blockchain-basierten Wahlsystem gefunden, das russische Behörden bei den kommenden Wahlen für das Moskauer Stadtparlament nutzen wollen.

Ein französischer Sicherheitsexperte hat eine kritische Schwachstelle im Blockchain-basierten Wahlsystem gefunden, das russische Behörden bei den kommenden Wahlen für das Moskauer Stadtparlament nutzen wollen.
Gemäss der russischen Nachrichtenagentur 'Tass' sollen bei den Wahlen zur Moskauer Duma am 8. September 2019 in drei Wahlbezirken Tests durchgeführt werden, bei denen Bürger via Internet mit ihren Smartphones oder PCs abstimmen können. Das dabei verwendete E-Voting-System ist ein Novum seiner Art: Es wurde vom Moskauer IT-Departement selbst entwickelt und arbeitet als "Smart Contract" auf der Blockchain-Plattform Ethereum.
Im Juli veröffentlichte das Moskauer IT-Departement den Quellcode auf GitHub und schrieb einen Preis von 30'000 Dollar für einen erfolgreichen Hack aus. Pierrick Gaudry, Wissenschaftler an der Universität Lothringen und Forscher beim CNRS, dem Nationalen Zentrum für wissenschaftliche Forschung, gelang es nun, die privaten Schlüssel des Wahlsystems auf der Grundlage seiner öffentlichen Schlüssel zu berechnen, wie 'ZDnet' berichtet.
Gaudry publizierte seine Erkenntnisse online und beschreibt das System als "komplett unsicher": "Mit einem Standard-PC und nur mit öffentlich verfügbarer kostenloser Software kann das System in etwa 20 Minuten geknackt werden. Genauer gesagt ist es möglich, die privaten Schlüssel aus den öffentlichen Schlüsseln zu berechnen. Sobald diese bekannt sind, können alle verschlüsselten Daten so schnell entschlüsselt werden, wie sie erstellt wurden."
Laut Gaudry liegt das Problem nicht am Ethereum-Code, auf dem das System basiert. Die im Moskauer Framework verwendete Verschlüsselung sei eine Variante des Elgamal-Verfahrens und verwende Schlüssel, "die weniger als 256 Bits lang sind. Dies ist viel zu kurz, um Sicherheit zu gewährleisten." Im schlimmsten Fall würden die Stimmen aller Wähler, die dieses System nutzen, jedem offengelegt, sobald sie ihre Stimme abgeben.
In einer Online-Antwort schreibt das Moskauer IT-Departement: "Wir sind uns absolut einig, dass die private Schlüssellänge von 256 x 3 nicht sicher genug ist. Diese Implementierung wurde nur in einem Testzeitraum verwendet. In wenigen Tagen wird die Schlüssellänge auf 1024 geändert." Für Gaudry könnte aber auch eine 1024-Bits-Verschlüsselung nicht genügen, besser wären mindestens 2048 Bits.
Die Moskauer IT-Behörden bedankten sich laut 'Tass' bei Gaudry: "Er war eine grosse Hilfe und wies auf ein schwaches Glied in der Länge des Schlüssels hin." Sie betonten aber, dem französischen Forscher sei es nicht gelungen, ihr E-Voting-System komplett zu hacken. Trotzdem soll Gaudry nun einen Teil des Preisgelds in der Höhe von 15'000 Dollar erhalten. (paz)

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

IT-Dienstleister von Aarau und Baden soll selbstständig werden

Als selbstständige öffentlich-rechtliche Anstalt soll die Infor­matik­zusammen­arbeit Aarau-Baden auch externe Partner aufnehmen können.

publiziert am 8.12.2022