区块链:莫斯科用区块链进行选举投票，遭人20分钟破解并赢走15000美元奖金_GAU

一位法国安全研究员已经在基于区块链的投票系统中找到了一个严重的漏洞，而俄罗斯官方计划于2019年9月举行的2019年莫斯科市杜马选举中使用该系统。

洛林大学的学者、INRIA的研究员PierrickGaudry发现，他可以根据该投票系统的公钥计算出该系统的私钥。这些私钥和公钥一起用于加密本次选举中的用户投票情况。

破解莫斯科区块链投票系统只需20分钟

Gaudry把这个问题归咎于俄罗斯官方使用的EIGamal加密方案的一种变体，它使用的加密密钥大小太小而无法保证安全。这意味着，现代计算机可以在几分钟内就破解该加密方案。

Gaudry在本月初发布的一份报告中提到：“使用一台标准的个人计算机，并且只使用公开可得的免费软件，就可以在20分钟内破解该系统。”

zkTube 将于10月27日在莫斯科Blockchain Life盛会参展:据官方消息，zkTube将于本月27日参展莫斯科Blockchain Life 2021，该会议是本年度全球区块链和加密货币规模最大的盛会之一。

zkTube作为本次活动的赞助商之一，将在现场设立展位并由zkTube欧洲大使发表主题演讲，分享项目在Layer 2领域取得的成果。同时，也希望通过本次会议在欧洲对接更多技术和商业合作，促进生态建设和提高zkTube全球影响力。[2021/10/11 20:21:04]

他补充道：“如果这些被知悉，任何加密数据可以像创建它们一样快地被解密。”

莫斯科证券交易所与俄罗斯银行共同成立区块链运营商:莫斯科证券交易所已经与一些银行支付处理公司合作，共同创建 \"区块链运营商\"，以突破国际贸易限制。根据该集团的说法，证券交易所及其合作伙伴将各自拥有新运营商1/6的股份，且该运营商将被命名为分布式注册系统。据悉，与莫斯科证券交易所一起参与该项目的有国家支持的Promsvyazbank（PSB）和国家第二大银行VTB银行。石油和天然气巨头俄罗斯天然气工业股份公司（Gazprom）的银行部门Gazprombank也加入其中。（RBC）[2021/4/14 20:16:41]

至于攻击者可以用这些加密密钥来做什么事，目前尚不得知，由于该投票系统的协议还没有英文版本，因此，Gaudry还无法进行进一步的调查。

动态 | 莫斯科法院裁定比特币为其他资产 可用于偿债:8月9日消息，在一桩破产案中，莫斯科法院承认比特币为其他资产。宣告破产的被告伊利亚·萨科夫的0.2个比特币被纳入破产财产，将被出售以偿还债务。而据此前Cointelegraph消息，莫斯科仲裁法院曾于2月26日一次听证会上，对该案裁定，伊利亚·萨科夫的数字货币资金不能纳入破产财产，偿还债务。[2018/8/9]

这位法国研究员说到：“在没有读过该协议前，很难准确地说出由此而引发的后果，因为，尽管我们认为，目前还不清楚，这种用于加密投票人弱加密方法对于攻击者来说，得到投票和投票人之间的相应关系有多么容易。”

“在最糟糕的情形下，所有使用该系统的投票人在完成投票时，任何人都可以知道投票情况。”

莫斯科在以太坊平台上搭建投票系统:莫斯科正在进行一项名为Active Citizen的民主活动。通过这项活动，市民们可以投票决定新地铁的名字，新建体育馆座位的颜色等。为了缓解人们对投票真实性的担忧，莫斯科还在该项目体系中增加了基于以太坊区块链的私有版本。该市的战略和创新顾问Andrey Belozerov表示：“并非所有的选票都值得信赖。所以，我们决定使用Active Citizen的区块链项目作为电子信任平台。”[2018/2/21]

第一个这样的系统

莫斯科的区块链投票系统是第一个这样的系统。它是由莫斯科信息技术部门内部开发的，以“智能合约”的形式运行于以太坊区块链平台上。

该投票系统计划于9月8日投入运行，将运行12个小时，和官方投票时间同步。

一旦在选举日部署完毕，莫斯科的居民就可以通过互联网、手机或家用电脑进行投票，并且把他们的投票加密记录在公共以太坊区块链上。

这个基于互联网和区块链的投票系统不仅仅限于在国外旅行和行动不便的人使用。每个事先注册的人都可以使用该系统，这意味着，该系统有潜力去吸引那些通常不去投票的人。

当2019年9月部署好该系统时，莫斯科的互联网投票系统将成为第一个基于区块链、具有法律约束力的系统，而不仅仅是在有限制的测试中使用。

莫斯科官方承诺解决这个问题

由于莫斯科官方于7月在GitHub上公开了其源代码，并要求安全研究人员进行测试，因此，该法国学者能够测试莫斯科即将推出的基于区块链的投票系统。

在Gaudry的发现公布之后，莫斯科的信息技术部门承诺修补报道中的问题，即弱私钥的使用。

发言人在网上的回应中表示：“我们绝对同意256x3的私钥长度不够安全。这个实施只是在试用期使用。几天后，私钥的长度将改为1024。”

Gaudry发现莫斯科官方修改了EIGamal加密方法，以便使用三个较弱的密钥，而不是一个密钥，无法解释信息部门为什么选择这个做法。

这位法国研究员认为：“这是个迷。我们可以想到的唯一可能的解释是，设计者认为这可以弥补所涉及的质数太小的密钥大小。但是3个长度为256位的质数和1个长度为768位的质数真的不一样。”

然而，根据Gaudry的说法，长度为1024位的密钥可能还不够，他认为官方应该使用长度至少为2048位密钥的其中之一。

这个设计决定也让AttivoNetworks的首席安全策略官ChrisRoberts感到困惑。

Roberts说：“到底是什么原因让该平台的开发人员首先选择一个弱长度的密钥显然是个问题。是缺乏知识和理解吗？或者只是要得到最快的速度和效率或其他东西呢？”

“美国的系统可以从俄罗斯那里学到很多东西”

他补充道：“对于这个，有个好的方面。莫斯科允许其他人查看、研究代码，然后帮助他们完善安全性。”

此外，莫斯科官方还批准了给Gaudry的金钱奖励，根据俄罗斯新闻网站Meduza的报道，Gaudry将获得1百万卢布，约15000美元。

根据7月发布的一份报告，Gaudry获得的奖励接近莫斯科当地政府允诺给漏洞猎手的最高奖，但是，当代码放上GitHub时，允诺的奖励是1百50万卢布。

Roberts表示：“美国的系统可以从俄罗斯的这个系统中学到很多东西。”他指的是美国最近在试图保护其电子投票机安全性过程中所遭受到的过多的日益增长的痛苦。

这些日益增长的痛苦主要来自投票机供应商，他们拒绝与网络安全社区接触，而莫斯科政府在这方面没有问题。

美国使用的电子投票机和选举系统的这种封闭性正是微软最近宣布在GitHub上开源一种新技术的原因，该新技术用于保护电子投票机安全性。

作者|CatalinCimpanu

翻译|姚佳灵

来源：

区块链前哨

标签：区块链GAUAUDZKT区块链技术通俗讲解无中介GAU币AuditchainZKT价格

SHIB最新价格热门资讯