Программное обеспечение Deploying на поставленных под угрозу машинах
Я был вовлечен в дискуссию о том, как создать интернет-избирательное программное обеспечение для всеобщих выборов. Мы достигли общего согласия, что там существуют много безопасных методов для двусторонней аутентификации и коммуникации.
Однако кто-то приехал и указал, что на всеобщих выборах некоторые используемые машины почти наверняка будут поставленными под угрозу. Заключить в кавычки:
Позвольте мне быть злым избирательным мошенником. Я хочу выбрать голоса народов, как они голосуют и надеются, что я получаю что-то скандальное. Я нанимаю ботнет от некоторых действительно теневых чуваков, которые управляют 1 000 поставленных под угрозу машин в Великобритании только для дня выборов.
Я получаю голосующие привычки к 1 000 избирателей в день выборов. Я уведомление 5 о них проголосовал за BNP. Я ищу этих пользователей и проверяю их машины, я просматриваю их документы об их машине и узнаю их имена и адреса. Я узнаю, что один из них является женой MP Тори. Я пропускаю 'жену члена парламента Тори, фашист!' некоторому блоггеру я знаю. Это поражает Интернет и стремительно распространяется, качает выборы.
Это - серьезная проблема!
Так, каковы лучшие методы для под управлением программного обеспечения, где взаимодействие с пользователем с программным обеспечением должно держаться в секрете на машине, которая возможно поставлена под угрозу?
6 ответов
Это невозможно сделать. К счастью, банки сталкиваются с точно такой же проблемой, поэтому эти маленькие домашние чип-н-пин doohickies довольно дешевы.
Итак, если вы хотите безопасное онлайн-голосование, вы отправляете пользовательское голосование doohicky всем, кто подает заявку на это. Этот духики подписывает и шифрует свой голос перед отправкой его на ПК для передачи по проводам. Единственное, что может сделать злоумышленник на проводе, это подслушивать, голосовал ли избиратель вообще. Поскольку политические партии уже делают это, размещая партийных работников за пределами избирательных участков, это не является значительным риском для системы ;-)
Вы по-прежнему сталкиваетесь с некоторыми проблемами голосования по почте, такими как покупка голосов и принуждение или кража чьего-то духикого, но только через физический доступ, а не путем компрометации их ПК. Есть очевидные DOS-атаки, если вы полагаетесь на домашнее интернет-соединение, но нет причин, по которым избиратель не может иметь возможность пойти на избирательный участок, если его соединение отключится.
Является ли doohicky дешевым достаточно , все еще сомнительно - я думаю, что они стоят несколько фунтов каждый, что, я думаю, не дешево в масштабе того, что на самом деле тратится на выборы. Но они не являются неотиможно дорогими. Сомневаюсь, что они экономят много денег на избирательных участках, к сожалению. Стоимость голосования в Великобритании в значительной степени зависит от количества избирательных участков. Несмотря на проблемы на этот раз, количество избирательных участков обусловлено не необходимостью обеспечить достаточно быструю пропускную способность, а желанием, чтобы людям не пришлось далеко ехать, чтобы добраться до них.Таким образом, меньшее количество избирателей на самом деле не позволяет вам уменьшить количество избирательных участков. Сокращение бумаги может сэкономить время и деньги на подсчете, но, конечно, недостаточно, чтобы заплатить за doohickies.
Наконец, конечно, все еще существует риск атаки на оборудование. Кто-то, возможно, мог бы перехватить их в посте и заменить их идентичными устройствами. Но в отличие от атаки на оборудование на избирательном участке, злоумышленник влияет только на один голос на единицу выделенного оборудования для голосования, поэтому, по крайней мере, планка установлена высоко с самого начала.
Самая большая угроза, с которой сталкивается электронное голосование, - это возможность злоумышленника влиять на выборы. Расходуя компакт-диски на людей, вы повышаете ценность Massive Identity Leaks . Злоумышленник может не только разрушить их репутацию, но и разрушить свою страну.
Даже принуждение людей к использованию определенного оборудования не работает. Посмотрите на моддинг консоли или Скиммеры банкоматов и Аппаратные кейлоггеры . Вы должны беспокоиться о переводе голосов для подсчета, даже SSL имеет проблемы с безопасностью . Есть также проблема централизованной базы данных, sql-инъекция была бы разрушительной.
Настоящий вопрос заключается в следующем: «Является ли электронное голосование более безопасным, чем бумажное голосование?» На что злоумышленнику труднее повлиять? Честно говоря, я не думаю, что машины для электронного голосования изменили бы исход недавних иранских выборов.
Очевидно, что вы не можете обеспечить конфиденциальность голосования, если машина, с помощью которого вводится голос, скомпрометирована. Какие бы меры вы ни предпринимали, все, что злоумышленнику нужно сделать, это запустить ваше программное обеспечение на виртуальной машине, которая записывает весь доступ к клавиатуре, мыши и экрану. Воспроизводя запись, злоумышленник может увидеть, как пользователь проголосовал...
Однако при разработке протокола электронного голосования это наименьшее из ваших беспокойств. Как вы можете помешать кому-то взломать избирательный сервер и манипулировать результатами? Как вы вообще обнаруживаете фальсификацию?Как насчет секретности моего голоса, если сервер скомпрометирован? Могу ли я быть вынужден раскрыть свой голос?
Очевидное решение - отправить программное обеспечение конечному пользователю на загрузочном компакт-диске. Пользователь просто перезагружает свой компьютер, и теперь он находится на компьютере без компрометации.
Однако это не так уж просто разработать (попытаться сделать ОС на компакт-диске совместимой со всеми вариациями оборудования, с которыми мы столкнемся на машинах). Кроме того, я не могу себе представить, что средний домашний пользователь установил свой BIOS на «Загрузка с компакт-диска», и сказать избирателям, чтобы они изменили свои настройки BIOS, заходит слишком далеко.
Итак, каковы наилучшие методы запуска программного обеспечения, при котором взаимодействие пользователя с программным обеспечением должно храниться в секрете, на машине, которая может быть взломана?
Единственный ответ - вы не можете / не должны этого делать. Если оборудование или ОС могли быть скомпрометированы, вы не можете гарантировать, что действия пользователя будут в секрете.
Но другая точка зрения заключается в том, что ни одна система голосования, известная человечеству (электронная или какая-либо другая), не является неподкупной. Вот почему вам нужно, чтобы люди проверяли наличие мошенничества, и люди наблюдали за людьми, а также культура, в которой коррупционное поведение не является нормой.
РЕДАКТИРОВАТЬ
... если можно уменьшить влияние взломанных машин до уровня ниже уровня коррупции в системе бумажного голосования, вы получите положительный выигрыш.
Вы также должны принять во внимание другие формы коррупции, которые намного проще решить с помощью электронного голосования из дома. Например, тактика резервирования, голосование на продажу, тот факт, что большинство людей не защищает свои электронные учетные данные должным образом и т. Д.). Короче говоря, то, что вы предлагаете, является гипотетическим и (ИМО) нереалистичным.
Проще исправить недостатки с помощью личного голосования на бумаге, чем решить целый ряд потенциально более серьезных проблем с помощью гипотетического электронного голосования на дому.
(Кроме того, вы имеете в виду такой уровень коррупции, когда голосование газет в Великобритании удивляет меня как бывшего резидента Великобритании. Это не по теме, но можете ли вы предоставить ссылки / ссылки, подтверждающие это?)
{{1 }}У вас есть два основных варианта: либо обойти компромиссную часть машины (например, предоставить полную ОС), либо работать в рамках компромисса и затруднить доступ к данным.
Второй вариант более практичен. Хотя вы не можете остановить теневых людей, которые в конечном итоге получат данные, вы можете сделать это достаточно сложным, чтобы это заняло больше одного дня, что сделает утечку данных о голосовании безвредной.
Предполагая веб-приложение, не используя стандартные компоненты пользовательского интерфейса и меняя их расположение на экране, используя несколько уровней шифрования, отключая ввод с клавиатуры и используя анимацию, чтобы обмануть экранные грабберы, можно сделать процесс более сложным, чтобы выиграть больше времени.