Пьеррик Годри, взломавший систему интернет-выборов в Москве: "Лучше ее вообще не использовать"

Специалист по криптографии из Франции Пьеррик Годри 14 августа опубликовал статью о том, как за 20 минут можно обойти шифрование системы интернет-голосования на предстоящих выборах в Мосгордуму.

Подобная система применяется в России впервые: 8 сентября возможность проголосовать через интернет появится у 500 тыс. москвичей в трех избирательных округах. Еще до публикации статьи Годри связался с представителями мэрии Москвы - те пообещали перейти с 256-битных ключей шифрования на более сложные 1024-битные.

В интервью Русской службе Би-би-си Годри рассказал, почему, по его мнению, этого недостаточно, и какие еще угрозы представляет столичная система интернет-голосования.

Исходный код системы электронного голосования департамент информационных технологий (ДИТ) мэрии Москвы опубликовал в середине июля 2019 года. Всем желающим предложили протестировать систему на уязвимости и объявили приз в 2 млн рублей (27 тыс. долларов) тому, кто взломает защиту.

Этот конкурс официально закончился 22 июля. Тем не менее глава общественного штаба по наблюдению за выборами в Мосгордуму Алексей Венедиктов считает, что француз заслужил награду.

"Думаю, что мсье Годри вполне может претендовать на большую часть приза, хотя собственно взлома не было. Но он сильно помог, указав на слабое место в длине ключа. В понедельник штаб обсудит это с IT-шниками. Я лично буду за то, чтобы Пьеррик Годри точно получил большую часть награды", - сказал Венедиктов ТАСС.

Годри - 46-летний сотрудник Национального центра научных исследований Франции - сказал Би-би-си, что готов принять награду. "Если только не будет каких-нибудь странных условий типа запрета в дальнейшем говорить о проблемах безопасности в системе", - добавил исследователь.

Ведендиктов назвал Годри авторитетом в криптографии, и это не преувеличение. Француз уже более 20 лет изучает различные системы шифрования, в 2015 году он входил в группу ученых, впервые описавшую уязвимость Logjam. С помощью нее злоумышленники могли взламывать шифрование в интернет-браузерах и операционных системах. По итогам публикации Годри и его коллег патчи (заплатки) для своих продуктов выпустили такие корпорации как Microsoft, Apple и Mozilla.

В 2012 году Годри заинтересовался электронным голосованием. Он участвует в разработке системы голосования Belenios, которая предназначена для выборов в небольших организациях - научных советах и спортивных ассоциациях. Из описания системы на сайте следует, что она гарантирует тайну голосования и устойчивость от различных форм обмана.

Можно ли сказать то же самое о предстоящем интернет-голосовании в Москве?

Би-би-си: Мэрия Москвы пообещала усилить криптографические ключи в течение ближайших дней. А как быстро можно взломать ключи длиной 1024 бита, на которые они хотят перейти?

Пьеррик Годри: Определить, какая длина ключа подходит для данного уровня безопасности, нелегко. У разных ученых - разные мнения. Тем не менее консенсус в том, что ключи должны быть длиннее 1024 бит.

Считается, что 1024-битные ключи можно взломать с помощью современных технологий и знаний, хотя такие публичные вычисления еще не проводились. Текущий публичный рекорд - взлом ключа длиной 768 бит.

Есть полезный онлайн-инструмент под названием Keylength.com, где приводятся различные минимальные стандарты шифрования в отрасли. В случае с московским интернет-голосованием нужно смотреть в столбец "дискретный логарифм/группа" (discrete logarithm/group). Как видите, никто уже не считает 1024-битные ключи безопасными.

Мое личное мнение как исследователя, работающего над этой темой более 10 лет, заключается в том, что в подобных системах нецелесообразно применять ключи шифрования длиной менее 2048 бит. Нужна веская причина, чтобы использовать слабые ключи шифрования. Например, у вас ограниченная вычислительная мощность или ваша тайна шифруется на действительно короткий срок.

На взлом ключа длиной 1024 бита может уйти около года, если использовать суперкомпьютер, сопоставимый по цене и мощности с такими машинами как Summit министерства энергетики США или "Тяньхэ-2А" из Китая. Потребуется много вычислительных ресурсов и много энергии. Но это сегодня - через десять лет эту задачу научатся выполнять быстрее. Люди обычно с настороженностью относятся к электронному голосованию. В идеале выбор человека должен оставаться в тайне навечно. Трудно предсказать политическую ситуацию в будущем (в любой стране, даже в самой стабильной), и охота на ведьм, основанная на том, как люди голосовали 10-20 лет назад, - это не тот сценарий, которым стоит пренебрегать.

Тем не менее я бы хотел подчеркнуть, что длина ключа не является главной проблемой московского интернет-голосования (при условии, что ключи усилят до 1024 бит). Больше всего меня испугало то, что я узнал уже после публикации статьи. Похоже, должное описание того, как система работает за пределами исходного кода, так и не было опубликовано.

Разработать систему электронного голосования сложно, проанализировать ее безопасность - еще сложнее. Надлежащая документация должна объяснить выбор дизайна (почему мы выбрали тот или иной метод защиты), различные допущения о надежности (кому мне приходится доверять, чтобы мой голос оставался секретным, а результат - достоверным), а также доказательства или, по крайней мере, очень веские аргументы в пользу того, что система безопасна.

В случае с московским интернет-голосованием опубликован только исходный код, из него можно получить некоторые ответы. Но большинство исследователей посчитают, что исследование кода с целью понять принцип его работы - это не их работа. Это не те правила игры, которые приняты при публичном электронном голосовании.

По этим причинам я опасаюсь, что тот, кто потратит время на понимание всей системы, легко найдет варианты для взлома системы, которые гораздо проще расшифровки ключа. Обычно это какие-то мелкие недоработки программистов. Чаще всего такие ошибки обнаруживаются при написании должной документации по безопасности системы.

Честно говоря, моя главная рекомендация - не использовать эту систему вообще, пока она не будет должным образом проверена академическим сообществом. И для этого нам нужна соответствующая документация на английском языке.

Би-би-си: У других стран, которые пошли по пути интернет-голосования, похожие проблемы?

П.Г.: Возьмем Эстонию - она далека от идеала в этом плане, но хотя бы предоставляет информацию академическому сообществу. У меня сложилось общее впечатление, что московская система менее устойчива. Но опять же, трудно сказать, не имея надлежащего описания системы.

Я считаю, что самая продвинутая страна в этом плане - Швейцария. С интернет-голосованием там связывают большие ожидания. Тем не менее, недавно в системе интернет-голосования Swiss Post (разработанной испанской компанией Scytl) нашли критические ошибки, хотя она гораздо лучше, чем многие другие системы.

Московская система не имела бы абсолютно никаких шансов на использование в Швейцарии, где интернет-голосование практикуется уже довольно давно.

Би-би-си: Вы вообще верите в идею интернет-голосования на выборах?

П.Г.: Я считаю, что интернет-голосование может и, возможно, должно использоваться в ситуациях, когда голосование на избирательном участке невозможно (например, в случае с экспатами, военными). Тогда интернет-голосование конкурирует с голосованием по почте и при правильной реализации выигрывает конкуренцию.

Другие ситуации, когда интернет-голосование имеет смысл, - это когда приемлема меньшая безопасность по сравнению с классическим голосованием. Например, во Франции сотрудников часто просят проголосовать за своих представителей внутри компаний. В этом случае интернет-голосование - хороший выбор.

Для важных политических выборов, я считаю, всеобщее интернет-голосование - по-прежнему не самая лучшая идея. Я не из тех, кто говорит, что это безнадежное дело и интернет-голосование по сути небезопасно. Но я не думаю, что в нынешнем виде оно достаточно надежно. Нам нужно больше исследований по многим аспектам.

***

Эксперимент по интернет-голосованию в Москве будет проведен в избирательных округах № 1 (Зеленоград), № 10 (Бибирево, Лианозово, Северный) и № 30 (Чертаново Центральное и Южное). Чтобы проголосовать онлайн, необходимо подать заявление через личный кабинет на портале мэра Москвы с 24 июля по 4 сентября включительно.