alizar Jul 2 2020 at 09:25

В системе интернет-голосования можно расшифровать чужие голоса, выпущено расширение для браузера

3 min

9.2K

Information Security*Legislation in IT

-13

Comments 12

EviGL Jul 2 2020 at 10:20

Ну странная предъява от медузы и адекватный на неё ответ.
Изначальная статья явно нацелена на технически неподкованную аудиторию.

Да, текущий метод шифрования позволяет "взломать себя". Да, можно было бы применить какое-то асинхронное шифрование, чтобы расшифровать обратно зашифрованное тобой можно было только после публикации дополнительного ключа в конце голосования.

Но это никак не увеличило бы общую стойкость системы: если мы имеем полный доступ к браузеру жертвы, мы можем довесить свой обработчик на кнопку "голосую за" и отправить информацию налево.
А если цель, как написано в оригинальной статье, принудить к голосованию, то "стоять за плечом" или "установить следящее расширение" отлично работает вне зависимости от алгоритма шифрования: можно украсть информацию до того, как она шифруется браузером.

+10

tmin10 Jul 2 2020 at 10:28

Можно просто видео записать, сайт от этого никак не защитит.

amarao Jul 2 2020 at 10:50

Видео писать сложнее, чем заставить зависимого прислать что-то (или установить что-то).

AC130 Jul 2 2020 at 12:58

мы можем довесить свой обработчик на кнопку «голосую за» и отправить информацию налево

Нет гарантии что жертва не подменит этот обработчик, и отправит налево нужную информацию, а сама проголосует другой кнопкой.

Можно просто видео записать, сайт от этого никак не защитит.

Можно записать видео и вообще не проголосовать. Гарантий правильного голоса, неправильного голоса, или вообще факта голосования, запись видео сайта не даёт. Интернет полнится шутками и мемами со скриншотами «забавных» переписок, и существенная часть этих скриншотов — фейк, созданный в графическом редакторе.

А вот как раз указать транзакцию с голосом и выдать ключ от неё — это гарантия. От чужой транзакции ключ юзер выдать не может — не подобрать за разумное время ключ от чужой транзакции. Выдать от своей транзакции ключ эквивалентно сказать как ты проголосовал, причём со 100% криптографической гарантией — не отвертишься никак.

esp8266 Jul 2 2020 at 14:58

Нет гарантии что жертва не подменит этот обработчик, и отправит налево нужную информацию, а сама проголосует другой кнопкой.

Можно записать видео и вообще не проголосовать.

Ага, осталось только подсчитать сколькие из бюджетников способны на подобное.

EviGL Jul 2 2020 at 10:32

А, ну и ещё я не обратил внимание на заголовок.
Автор явно метится в премию "самый желтушный заголовок года".

ogost Jul 2 2020 at 10:44

Это же ализар.

mig126 Jul 2 2020 at 12:49

Перехайповал.

subcommande Jul 2 2020 at 11:44

Ализар, ужасная желтуха, пожалуйста, заканчивайте, это откровенный кликбейт в заголовке. Мерзко.

CryptoPirate Jul 2 2020 at 11:55

Однако издание «Медуза» разобралось в процедуре шифрования и проверило, что расшифровать голос может и постороннее лицо, если оно получит ключ для расшифровки.

Оказывается, если у вас есть ключ от замка, то им можно открыть замок!

ErgoZru Jul 2 2020 at 18:55

Как раз хотел написать комментарий в этом стиле )))

ErgoZru Jul 2 2020 at 18:58

Предлагаю продолжить тему кэпства от медузы. В данной новости они говорят, что любой голос можно расшифровать… если есть ключ от конкретного голоса в конкретном браузере (как бы для этого и сделано). Ну что же, начну первым:

Медуза провела исследование и выяснила, что любую квартиру можно обнести, если у вас есть от нее ключ!

Медуза провела исследование и выяснила, что любую машину можно угнать, если оставить машину открытой, а ключ в замке зажигания!

Предлагайте ваши варианты )))