(图片来源:Joe McKendrick)
新南威尔士州选举委员会(NSWEC)声称,尽管其iVote系统存在缺陷,但由于使用了气隙式机器,它不会受到一夜之间披露的关于瑞士电子投票系统的安全问题的影响。
新南威尔士州选举委员会在一份声明中说:“这个问题的确定并不影响iVote在新州州选举中的使用。”
正如安全研究人员Sarah Jamie Lewis,Olivier Pereira和Vanessa Teague所描述的那样,这个漏洞存在于混合网络组件中,该组织为了消除将选票与个别选民联系起来的能力而进行了洗牌。
“在SwissPost-Scytl mixnet中实施承诺方案采用了陷门承诺方案,允许任何知道活板门值的人生成一个通过验证但实际上改变投票的随机转录文件,”研究人员说。
“这允许由实施或管理混合服务器的机构进行不可检测的投票操作。”
必读:电子投票仍然是错误问题的错误答案
然而,NSWEC声称它没有受到影响,因为它的mixnet没有连接到任何系统,并且“安全地”安置在NSWEC。
“为了使这个弱点成为一个问题,一个人需要获得物理机器的访问权限。他们需要所有正确的凭证和正确的代码来改变软件,”NSWEC的一位发言人说。
“我们的流程降低了这种风险,因为我们专门将团队成员的职责分开,并控制对机器的访问,以减少内部人员攻击的可能性。”
选举委员会表示,Scytl仍在为该漏洞提供补丁,并对iVote的安全性充满信心。
发言人说:“iVote是确保平等获得民主的重要投票渠道,特别是对残疾人和偏远选民而言,我们将继续努力加强其运作。”
告诉他们他们在做梦:澳大利亚邮政详细计划使用区块链进行投票
在推特上,刘易斯指出了系统受到的高水平审计。
“我也认为非常重要的是,每个可能发现自己在一个国家实施电子投票的人都知道有多少审计和公众吹嘘瑞士选举制度已经完成。了解这个系统的审计程度非常重要, “研究人员说。
另外两位研究人员也发现了混合网络漏洞。
2015年,Teague成为团队的一员,发现iVote容易受到FREAK漏洞的影响。
从投票日开始,调查结果再次发布一周。
“该委员会现在有时间审查Teague博士和Halderman博士提出的索赔,并已收到我们的信息安全审计员的建议,”NSWEC当时表示。“该委员会的主要安全顾问CSC Cyber Security ANZ指出,Teague博士和Halderman博士关于iVote漏洞的说法被夸大了。
此前:新南威尔士州选举委员会争相修补iVote漏洞
“拟议的FREAK攻击需要高水平的技术专业知识和一些成功的先决条件,因此不被视为对iVote的真正威胁。我们被告知有人使用这种方法在线拦截投票的可能性取代邮政投票就像真正的邮差一样真实。“
这些事件之间的相似之处并未就此结束,Scytl质疑研究人员的动机,正如四年前NSWEC所做的那样。
iVote系统随后被用于西澳大利亚州的选举中。
相关覆盖范围
在线投票:现在,爱沙尼亚向全世界传授电子选举的教训
在本月的爱沙尼亚议会选举中,高达44%的选票是通过电子投票进行的。
欧盟对科技巨头:在欧洲大选之前加强假新闻
欧盟委员会警告说,Facebook,谷歌,Twitter和Mozilla都在打击虚假宣传活动方面取得了进展,但他们“需要在5月之前更进一步,更快”。
澳大利亚选举委员会希望通过资金来修复老化的IT系统
澳大利亚选举委员会表示,它需要资金来更新其选举的IT系统,并警告现有的系统已达到其使用寿命。
新南威尔士州iVote投票错误归结为人为错误
新南威尔士州选举委员会的首席信息官Ian Brightwell表示,人为错误是新南威尔士州iVote系统电子选票问题的核心,可能有可能看到上个月州选举的一些结果受到质疑。