一位法国安全研究员已经在基于区块链的投票系统中找到了一个严重的漏洞,而俄罗斯官方计划于2019年9月举行的2019年莫斯科市杜马选举中使用该系统。
洛林大学的学者、INRIA的研究员PierrickGaudry发现,他可以根据该投票系统的公钥计算出该系统的私钥。这些私钥和公钥一起用于加密本次选举中的用户投票情况。
破解莫斯科区块链投票系统只需20分钟
Gaudry把这个问题归咎于俄罗斯官方使用的EIGamal加密方案的一种变体,它使用的加密密钥大小太小而无法保证安全。这意味着,现代计算机可以在几分钟内就破解该加密方案。
Gaudry在本月初发布的一份报告中提到:“使用一台标准的个人计算机,并且只使用公开可得的免费软件,就可以在20分钟内破解该系统。”
莫斯科交易所起草数字金融资产和证券交易法案:9月24日消息,莫斯科交易所(MOEX)正在起草一项法案,旨在允许数字金融资产(DFA)以及基于DFA的证券交易。MOEX监事会主席Sergei Shvetsov表示,该法案目前正在接受俄罗斯中央银行的审查。
Sergei Shvetsov在一次银行会议上表示,该法案预计DFA和DFA凭证可以像证券一样交易。“该交易所及其子公司将向监管机构申请,我希望他们将获得交易所运营商的地位”,以进行DFA交易。“如果该法律通过,俄罗斯存管机构将能够在其链上账户中持有DFA,一旦客户需要基础资产,他们就赎回凭证,并在链上账户中接收资产。”
据此前报道,今年8月,一位高管透露,莫斯科交易所计划在年底前提供数字金融资产产品。9月份,俄罗斯总理Mikhail Mishustin要求中央银行和莫斯科财政部在12月1日之前提交有关俄罗斯联邦数字金融资产(DFA)市场未来的具体建议。财政部和货币当局还必须与俄罗斯金融监管机构Rosfinmonitoring、联邦税务局和联邦安全局合作,在12月19日之前就旨在规范发行和流通俄罗斯数字货币的法律草案制定统一立场。(Cointelegraph)[2022/9/24 7:18:45]
他补充道:“如果这些被知悉,任何加密数据可以像创建它们一样快地被解密。”
莫斯科交易所计划在年底前提供数字金融资产产品:8月21日消息,一位高管透露,俄罗斯最大的股票、债券和衍生品市场莫斯科交易所(Moscow Exchange)计划在今年年底之前推出基于数字金融资产(DFA)的产品。莫斯科交易所(MOEX)董事会成员、信息技术董事总经理Andrey Burilov表示,MOEX目前正与其合作伙伴之一合作,以实现一个提供数字代币的项目。他指出这是一家来自实体经济的公司,并表示“重点是使用数字技术将公司的固定资产与投资市场联系起来。”
Burilov强调,商品数字化为市场参与者创造附加值。MOEX旨在利用DFA为其客户提供另一种投资工具,为确保信息安全提供一种全新的方式。他指出,实施方面的主要困难在于,对于市场来说这是一款从监管到软件的全新产品。另一个挑战是如何将其整合到交易所及其客户的现有系统中。
据此前报道,俄罗斯银行业协会负责人提议,在莫斯科证券交易所MOEX创建加密交易业务。(Bitcoin.com)[2022/8/21 12:38:51]
动态 | 莫斯科将为透明城市服务开发区块链系统:俄罗斯首都正在寻找一个承包商来建造一个区块链系统来承载城市的行政服务。据Open Media报道,莫斯科信息技术部宣布将拍卖一个基于ETH的基础系统,该系统将承载目前向莫斯科人提供的电子服务。据估计,开发费用为5700万俄罗斯卢布,约合86万美元。(coindesk)[2019/8/15]
至于攻击者可以用这些加密密钥来做什么事,目前尚不得知,由于该投票系统的协议还没有英文版本,因此,Gaudry还无法进行进一步的调查。
这位法国研究员说到:“在没有读过该协议前,很难准确地说出由此而引发的后果,因为,尽管我们认为,目前还不清楚,这种用于加密投票人弱加密方法对于攻击者来说,得到投票和投票人之间的相应关系有多么容易。”
莫斯科批发市场的中国商人成莫斯科最活跃的加密货币交易者:据bitcoin news消息,莫斯科批发市场中的中国商人已成为俄罗斯首都加密货币最活跃的买家和卖家。莫斯科三大集贸市场“Moskva”,“Sadovod”和“美食城”每个月的销售额约为6000亿卢布(约合100亿美元)。这几乎是整个俄罗斯联邦零售额的四分之一。据RBC报道,中央银行金融监督和货币管理部门负责人Yuri Polupanov表示,实际上并没有任何资金存入银行账户,大部分收入都被转换为加密货币,送回中国,并兑换成人民币。杜马一个工作小组的负责人表示,中国商人通过匿名钱包使用加密货币已不是什么秘密了。但是,追踪加密货币比现金更容易。她认为该情况会在几年内有所改善,并称如果中央银行有证据表明存在非法加密货币兑换,应将其交给检察局。[2018/4/17]
“在最糟糕的情形下,所有使用该系统的投票人在完成投票时,任何人都可以知道投票情况。”
第一个这样的系统
莫斯科的区块链投票系统是第一个这样的系统。它是由莫斯科信息技术部门内部开发的,以“智能合约”的形式运行于以太坊区块链平台上。
该投票系统计划于9月8日投入运行,将运行12个小时,和官方投票时间同步。
一旦在选举日部署完毕,莫斯科的居民就可以通过互联网、手机或家用电脑进行投票,并且把他们的投票加密记录在公共以太坊区块链上。
这个基于互联网和区块链的投票系统不仅仅限于在国外旅行和行动不便的人使用。每个事先注册的人都可以使用该系统,这意味着,该系统有潜力去吸引那些通常不去投票的人。
当2019年9月部署好该系统时,莫斯科的互联网投票系统将成为第一个基于区块链、具有法律约束力的系统,而不仅仅是在有限制的测试中使用。
莫斯科官方承诺解决这个问题
由于莫斯科官方于7月在GitHub上公开了其源代码,并要求安全研究人员进行测试,因此,该法国学者能够测试莫斯科即将推出的基于区块链的投票系统。
在Gaudry的发现公布之后,莫斯科的信息技术部门承诺修补报道中的问题,即弱私钥的使用。
发言人在网上的回应中表示:“我们绝对同意256x3的私钥长度不够安全。这个实施只是在试用期使用。几天后,私钥的长度将改为1024。”
Gaudry发现莫斯科官方修改了EIGamal加密方法,以便使用三个较弱的密钥,而不是一个密钥,无法解释信息部门为什么选择这个做法。
这位法国研究员认为:“这是个迷。我们可以想到的唯一可能的解释是,设计者认为这可以弥补所涉及的质数太小的密钥大小。但是3个长度为256位的质数和1个长度为768位的质数真的不一样。”
然而,根据Gaudry的说法,长度为1024位的密钥可能还不够,他认为官方应该使用长度至少为2048位密钥的其中之一。
这个设计决定也让AttivoNetworks的首席安全策略官ChrisRoberts感到困惑。
Roberts说:“到底是什么原因让该平台的开发人员首先选择一个弱长度的密钥显然是个问题。是缺乏知识和理解吗?或者只是要得到最快的速度和效率或其他东西呢?”
“美国的系统可以从俄罗斯那里学到很多东西”
他补充道:“对于这个,有个好的方面。莫斯科允许其他人查看、研究代码,然后帮助他们完善安全性。”
此外,莫斯科官方还批准了给Gaudry的金钱奖励,根据俄罗斯新闻网站Meduza的报道,Gaudry将获得1百万卢布,约15000美元。
根据7月发布的一份报告,Gaudry获得的奖励接近莫斯科当地政府允诺给漏洞猎手的最高奖,但是,当代码放上GitHub时,允诺的奖励是1百50万卢布。
Roberts表示:“美国的系统可以从俄罗斯的这个系统中学到很多东西。”他指的是美国最近在试图保护其电子投票机安全性过程中所遭受到的过多的日益增长的痛苦。
这些日益增长的痛苦主要来自投票机供应商,他们拒绝与网络安全社区接触,而莫斯科政府在这方面没有问题。
美国使用的电子投票机和选举系统的这种封闭性正是微软最近宣布在GitHub上开源一种新技术的原因,该新技术用于保护电子投票机安全性。
作者|CatalinCimpanu
翻译|姚佳灵
来源:
区块链前哨
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。