miércoles, 20 de marzo de 2019

Vulnerabilidad en el sistema de votación Suizo


     Investigadores de diferentes países descubren una vulnerabilidad que hace posible la sustitución de una papeleta por otra sin ser detectado en el sistema de votación Suizo.

La empresa Scytl, junto con el servicio postal suizo han llevado a cabo el desarrollo de esta investigación e informan que para explotar dicha vulnerabilidad se debería tener acceso al sistema informático de la empresa Swiss Post y conocer sus infraestructuras.

Los encargados de esta investigación, consideran este fallo es inadmisible y opinan que plantea serias dudas sobre la integridad del sistema.

Los sistemas encargados de verificar la legalidad de los votos, están mal implementados. Además, es difícil evaluar las medidas de seguridad implementadas, ya que el diseño del sistema es enrevesado.

Para introducir un voto en el sistema cada votante debe introducir su fecha de nacimiento y un código que Swiss Post les facilitó por correo. Una vez el votante haga su elección, el programa cifrará su voto y será enviado a los servidores de Swiss Post, donde se desencriptarán y se mezclarán mediante un mecanismo criptográfico para anonimizarlos. Acto seguido se procederá a contabilizarlos y desencriptarlos.

Este proceso para anonimizar los votos se lleva a cabo mediante un esquema de cuatro máquinas, las cuales se encargan de aplicar múltiples procesos de cifrado y mezcla antes de enviarlos al último servidor. Este sistema utiliza la "prueba de conocimiento cero", con lo cual verifican que los votos no han sido manipulados y coinciden con los emitidos por los votantes.

En caso de que este último punto tuviera cualquier tipo de fallo, cualquier atacante sería capaz de cambiar los votos sin que la prueba de conocimiento lo detectara.

Swiss Post ha sometido el sistema a diversas auditorías y aunque parezca que el error no ha sido deliberado, los investigadores plantean dudas del por qué el fallo no se detectó en auditorías previas y si otros sistemas de Scytl están también afectados.

No hay comentarios:

Publicar un comentario