澳洲與瑞士兩所大學的研究員,各自在瑞士的電子投票系統內部發現安全漏洞,已經通知瑞士官方,得在全國實施此系統之前,再加以改善。
該投票系統運用區塊鏈技術,卻無法保證安全,目前正在進行修補,官方原本的目標,是希望在今年10月的聯邦大選,推行至全國大部分行政區域。
安全度脆弱,投票系統用於42國
這兩所大學的研究員發現,瑞士電子投票系統的加密過程相當脆弱,如果駭客掌控系統管理者瑞士郵政(Swiss Post)的IT基礎建設,就能竄改投票結果。另外,瑞士郵政自家內部IT管理者,也在這個投票系統擁有修改權利。
「沒有一個投票系統,能夠大開後門,讓參選人可以在不被大眾察覺之下,修改選舉結果。」參與此安全漏洞研究之一的研究員Sarah Jamie Lewis表示。
瑞士的電子投票系統主要由瑞士郵政營運,主要系統技術則是由西班牙公司Scytl開發而成。Scytl的電子投票系統已經被用於全球42個國家,如美國。
瑞士的電子投票系統,是讓國民以出生年月日與瑞士郵政以實體信件寄出的一道密碼,來登入系統並驗證投票者身份。
投票者在系統投完票後,投票結果會先加密,再傳進瑞士郵政的伺服器,並以4台電腦的混合網路來傳送結果數據,對此,結果解密後不會有投票者身份,只有投票選擇,來維持投票者的匿名性。
這套系統也以零知識證明(Zero-knowledge Proof)的區塊鏈技術,來確保選票在混合網路加密解密之下,沒有被替換掉。
然而,這次的安全報告,卻發現區塊鏈的零知識證明並不是安全保證,駭客還是能在零知識證明顯示運作正常的情況下,更換掉選票結果。
瑞士郵政在收到這次安全漏洞報告後,已經通報Scytl修復此安全漏洞。
自2004年以來,瑞士的網路投票系統就已經在幾個行政區域試驗實行,官方政府的目標,是希望在今年10月的聯邦大選,推行至全國大部分行政區域。
對此,瑞士郵政於上個月也將投票系統的原始碼公開,邀請大眾參賽並檢驗此系統的安全漏洞,最終優勝者有機會獲得5萬瑞士法郎的獎金(約等同於台幣150萬元),此競賽將於本月24日截止。
資料來源:Motherboard、ZDNet
