Блокчейн у них не той системы

Система электронного дистанционного голосования на довыборах в Госдуму в Ярославской и Курской областях сработала без значимых технических сбоев, заявил в воскресенье министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев. Напомним, на минувшей неделе «Ростелеком» опубликовал исходный программный код системы онлайн-голосования, применяемой на довыборах в Госдуму в Ярославской и Курской областях. Опрошенные “Ъ” эксперты усомнились в том, что платформа исключает произвольное изменение результатов голосования и позволяет обеспечить его тайну. В Центризбиркоме же уверены в безопасности системы. «Каких-то значимых сбоев за три дня работы мы не нашли,— заявил в воскресенье министр цифрового развития РФ Максут Шадаев, говоря о работе системы дистанционного электронного голосования на довыборах в Госдуму в Ярославской и Курской областях.— У нас было, по-моему, единичное обращение, связанное с использованием старого браузера. Все остальное, насколько я понимаю, было штатно. Системных проблем голосования в электронной форме не было». Выборы 13 сентября. ГлавноеЧитать далееЗа несколько дней до единого дня голосования ПАО «Ростелеком» разместило на портале , предназначенном для публикации, оценки и разработки программных продуктов, исходный код своей системы электронного голосования. Одновременно на сайте российского сообщества программистов habr.ru было опубликовано для обсуждения описание системы. Напомним, система электронного голосования разрабатывалась «Ростелекомом» совместно с Минкомсвязью по заказу Центризбиркома с начала 2020 года. Но из-за пандемии намеченное на март тестирование системы, которую намеревались использовать на летнем плебисците по Конституции, сорвалось. В итоге при дистанционном электронном голосовании, которое было доступно в Москве и Нижегородской области, была использована московская система, впервые примененная на выборах в Мосгордуму 2019 года. Обе системы основаны на технологии блокчейн — особом способе записи данных, позволяющем всем, кто имеет к ним доступ, быть уверенными в их неизменности.Данные записываются последовательно как цепочка блоков, и каждый следующий зависит от предыдущего. Чтобы изменить данные в середине цепочки, придется переписать ее всю начиная с измененного блока. Блокчейн бывает двух видов — публичный и частный. Публичный подразумевает распределенное хранение данных и возможность доступа к ним в любой момент любого участника системы, в которой он используется. Все манипуляции с данными участников такой системы прозрачны и проверяемы. Частный блокчейн означает централизованное хранение данных и позволяет контролировать цепочку данных лишь ограниченному числу участников. Остальные участники системы не имеют возможности проверить, с какой цепочкой они имеют дело — подлинной или измененной владельцем хранилища. В системе ДЭГ в блокчейн записываются данные о голосовании, что должно предохранить их от возможной подтасовки. В прошлом году кандидат в депутаты Мосгордумы Роман Юнеман, проигравший выборы, по его мнению, из-за электронного голосования, заказал компании ABDK Consulting, специализирующейся на защите данных, исследование системы. Программисты пришли к выводу, что московская система электронного голосования позволяла организаторам в любой момент подменить весь блокчейн, в котором хранятся данные о голосовании, целиком, поскольку он хранился на серверах департамента информационных технологий Москвы. По заключению экспертов администратор ДЭГ мог получить доступ к данным избирателей и нарушить тайну голосования.Начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко считает эти претензии надуманными. По его словам, блокчейн в системе голосования является публичным, все вносимые в него изменения транслируются в интернете в режиме реального времени для всех желающих с момента начала голосования, и подменить его незаметно невозможно. Связать поданные голоса с данными избирателей тоже невозможно — для этого предусмотрены специальные системы защиты. Сопредседатель движения «Голос» Григорий Мельконьянц заявил “Ъ”, что не помнит, чтобы на общероссийском голосовании выдвигались какие-то претензии к московской системе электронного голосования в связи с возможным нарушением тайны голосования или нарушением целостности блокчейна. Собственную систему электронного голосования «Ростелеком» доработал к августу 2020 года. За основу были взяты главные принципы и решения московской платформы, а публичное тестирование состоялось 31 августа. Тогда господин Шадаев заявил журналистам: «Мы уверены, что с точки зрения информационной безопасности мы всем необходимым требованиям соответствуем». В то же время господин Мельконьянц отметил, что ЦИК не представил для экспертного обсуждения техническую документацию системы, исходные коды, состав оборудования и его местоположение. После публикации на GitHub система подверглась критике сообщества программистов. Авторы комментариев называли основными ее проблемами уязвимость данных, а также возможность идентификации избирателей и поданных ими голосов. Как рассказал “Ъ” руководитель разработки серверного программного обеспечения международной компании-разработчика FunCorp Сергей Аксенов, проанализировавший опубликованный исходный код, система «Ростелекома» имеет две серьезные уязвимости. Как прошли два дня досрочного голосования в регионах«Блокчейн системы ДЭГ хранится централизованно на серверах “Ростелекома”. На ее же серверах происходит сам процесс голосования. Таким образом, нет никаких препятствий для того, чтобы записать весь процесс голосования, а затем воспроизвести его, правдоподобно добавив произвольное количество голосов, после чего перезаписать весь блокчейн и получить на выходе любой требуемый результат. Механизмы шифрования, электронной подписи и сохранения данных никак этому не помешают. Вся процедура займет несколько часов»,— говорит господин Аксенов. Господин Аксенов отмечает, что «Ростелеком» контролирует каналы связи между избирателями, серверами голосования и серверами Единой системы идентификации и аутентификации (ЕСИА, часть сервиса «Госуслуги»), поэтому у него есть возможность сопоставить записи отдельных голосов и их идентификаторы в ЕСИА, то есть деанонимизировать поданные онлайн голоса. Инженер-программист, математик Султан Салпагаров тоже считает, что корень всех проблем системы ДЭГ заключается в централизованном хранении данных.«Ничего не мешает владельцу системы незаметно полностью их перезаписать»,— говорит он. По его словам, данные в реестр помещаются после того, как их накопит закрытая централизованная система, «в которой с ними может случиться все что угодно». Используемые в криптографической защите системы алгоритмы эксперт считает ненадежными, поскольку по закону применяться могут только утвержденные ФСБ алгоритмы шифрования, а алгоритм, использованный в системе ДЭГ, соответствует стандарту, устаревшему из-за недостаточной защищенности. Система онлайн-голосования сырая, но всех устраиваетВ пресс-службе Центризбиркома “Ъ” сообщили, что высказываемые экспертами опасения не кажутся комиссии реальной угрозой, и порекомендовали обратиться в «Ростелеком». Вице-президент по цифровым платформам ПАО «Ростелеком» Дмитрий Репников заявил “Ъ”, что перезаписать блокчейн-системы ДЭГ невозможно, так как его содержание наблюдатели могут скачивать с сайта портала наблюдения в течение всего периода голосования и расхождения будут выявлены в случае его фальсификации. Кроме того, по его словам, передаваемые данные полностью защищены с помощью сквозного шифрования. «Представить, что “Ростелеком” организует атаку посредника и подменит данные для всех своих клиентов, невозможно: она неизбежно будет обнаружена»,— подчеркнул господин Репников. По его словам, голоса никак не увязаны с идентификаторами ЕСИА, и сопоставить их невозможно, а в системе используется гомоморфное шифрование, которое позволяет не расшифровывать индивидуальные бюллетени. «Что касается надежности криптографических алгоритмов, то на взлом 256-битных ключей, которые мы используем, уйдут сотни лет»,— заверяет Дмитрий Репников. Лев Кадик, Ангелина Галанина, Елена Рожкова, Юлия Степанова

• 14:46 Держать или продавать: до решения по Ethereum-ETF осталось несколько часов
• 14:46 Биткоин-биржа Kuna провела переговоры о продаже бизнеса в Украине
• 14:17 Чиновники из США и Черногории обсудили возможность экстрадиции основателя Terraform Labs
• 14:08 Нацбанк Украины ограничит физлицам количество P2P-операций
• 13:47 Открытый интерес к фьючерсам на Ethereum впервые превысил $15,6 млрд
• 13:31 Ethereum уже почти $4000. Почему?
• 13:26 Как далекий от криптовалют документалист при помощи мамы и $2500 снял фильм о крахе FTX
• 13:12 Конгрессмен Том Эммер призвал запретить выпуск цифрового доллара