新南威爾士州選舉委員會(huì)(NSWEC)用于進(jìn)行投票的部分源代碼已經(jīng)發(fā)布,以證明它不包含任何漏洞。Scytl獲得了一份多年期合同,旨在刷新新南威爾士州的在線和電話投票軟件,也稱為iVote,周二已根據(jù)NSWEC的要求向注冊(cè)者提供該代碼。我們已經(jīng)發(fā)布了源代碼,允許獨(dú)立研究人員對(duì)其進(jìn)行審查,以便通過(guò)查找和傳達(dá)他們可能發(fā)現(xiàn)的任何漏洞來(lái)幫助持續(xù)改進(jìn)代碼庫(kù),”Scytl亞太區(qū)總經(jīng)理Sam Campbell說(shuō)。
“使用條款與源代碼一起公布,并規(guī)定發(fā)現(xiàn)的任何漏洞必須報(bào)告給Scytl和新南威爾士州選舉委員會(huì)。”
3月初,一組研究人員在瑞士互聯(lián)網(wǎng)投票系統(tǒng)中發(fā)現(xiàn)了一個(gè)缺陷,該系統(tǒng)與NSWEC使用的系統(tǒng)相同。瑞士郵政系統(tǒng)用于防止選舉舞弊的證據(jù)中發(fā)現(xiàn)了這一缺陷。
那個(gè)月晚些時(shí)候,研究人員詳述了電子投票系統(tǒng)的第二個(gè)缺陷,發(fā)現(xiàn)了另一種可能被利用導(dǎo)致選舉結(jié)果被篡改的方法。
他們?cè)诋?dāng)時(shí)寫道:“我們最近發(fā)現(xiàn)了第二種獨(dú)立的方法,通過(guò)該方法可以破壞sVote中的證據(jù)機(jī)制,以證明實(shí)際操縱的選舉結(jié)果。”
第二個(gè)缺陷類似于第一個(gè)缺陷,它本質(zhì)上是一個(gè)陷門 - 混合網(wǎng)絡(luò)組件中的一個(gè)缺陷,它會(huì)改變選票,以消除將選票與個(gè)別選民聯(lián)系起來(lái)的能力。
根據(jù)研究人員的說(shuō)法,SwissPost系統(tǒng)提供了一種形式的可驗(yàn)證性,稱為完全可驗(yàn)證性,這意味著任何操作都應(yīng)該是可檢測(cè)的,除非系統(tǒng)中的一部分除了作弊之外。
“在SwissPost系統(tǒng)中,加密的電子投票被改組以保護(hù)個(gè)人投票隱私。每個(gè)服務(wù)器改組投票都應(yīng)該證明它所獲得的輸入投票集完全對(duì)應(yīng)于它輸出的不同加密投票,”他們繼續(xù)說(shuō)道。
研究人員解釋說(shuō),改組后的下一步是解密投票。但是,對(duì)于Swissvote系統(tǒng)來(lái)說(shuō),加密構(gòu)造是零知識(shí)證明,研究人員強(qiáng)調(diào)這是“不健全”。
他們說(shuō):“我們的研究發(fā)現(xiàn)這種證據(jù)不合理??梢陨勺C明通過(guò)驗(yàn)證,但改變了加密投票的內(nèi)容。”“這有點(diǎn)像在整個(gè)投票日都可以觀察投票箱的情況,但不知何故設(shè)法將不同的選票投入計(jì)票。”
在聽(tīng)到第二個(gè)漏洞后,NSWEC表示其系統(tǒng)沒(méi)有受到影響。
“根據(jù)對(duì)這些學(xué)者提供的信息的評(píng)估,新南威爾士州選舉委員會(huì)相信他們?cè)谌鹗苦]政系統(tǒng)中描述的新問(wèn)題與iVote系統(tǒng)無(wú)關(guān),”州政府實(shí)體說(shuō)。
它之前聲稱它沒(méi)有受到第一個(gè)漏洞的影響,因?yàn)樗膍ixnet沒(méi)有連接到任何系統(tǒng),并且被“安全地安置”在NSWEC。
Scytl本周表示,在選舉之前發(fā)現(xiàn)的一項(xiàng)調(diào)查結(jié)果是通過(guò)對(duì)NSWEC提供的補(bǔ)丁修復(fù)的,該調(diào)查是在瑞士測(cè)試Scytl源代碼時(shí)產(chǎn)生的。
該公司表示,瑞士系統(tǒng)中發(fā)現(xiàn)的其他調(diào)查結(jié)果與新南威爾士州投票解決方案無(wú)關(guān)。
“Scytl支持負(fù)責(zé)任的披露做法,并鼓勵(lì)有興趣的人士前進(jìn)來(lái)支持這項(xiàng)倡議,并與我們分享有關(guān)iVote的任何發(fā)現(xiàn),”坎貝爾繼續(xù)道。
根據(jù)Scytel的說(shuō)法,超過(guò)230,000名新南威爾士州選民在3月份通過(guò)iVote成功投票。它說(shuō),每2名選民中就有近1名通過(guò)官方選舉應(yīng)用程序驗(yàn)證了投票的正確性。