DFA:莫斯科用區塊鏈進行選舉投票，遭人20分鐘破解并贏走15000美元獎金

一位法國安全研究員已經在基于區塊鏈的投票系統中找到了一個嚴重的漏洞，而俄羅斯官方計劃于2019年9月舉行的2019年莫斯科市杜馬選舉中使用該系統。

洛林大學的學者、INRIA的研究員PierrickGaudry發現，他可以根據該投票系統的公鑰計算出該系統的私鑰。這些私鑰和公鑰一起用于加密本次選舉中的用戶投票情況。

破解莫斯科區塊鏈投票系統只需20分鐘

Gaudry把這個問題歸咎于俄羅斯官方使用的EIGamal加密方案的一種變體，它使用的加密密鑰大小太小而無法保證安全。這意味著，現代計算機可以在幾分鐘內就破解該加密方案。

Gaudry在本月初發布的一份報告中提到：“使用一臺標準的個人計算機，并且只使用公開可得的免費軟件，就可以在20分鐘內破解該系統。”

莫斯科交易所起草數字金融資產和證券交易法案:9月24日消息，莫斯科交易所（MOEX）正在起草一項法案，旨在允許數字金融資產（DFA）以及基于DFA的證券交易。MOEX監事會主席Sergei Shvetsov表示，該法案目前正在接受俄羅斯中央銀行的審查。

Sergei Shvetsov在一次銀行會議上表示，該法案預計DFA和DFA憑證可以像證券一樣交易。“該交易所及其子公司將向監管機構申請，我希望他們將獲得交易所運營商的地位”，以進行DFA交易。“如果該法律通過，俄羅斯存管機構將能夠在其鏈上賬戶中持有DFA，一旦客戶需要基礎資產，他們就贖回憑證，并在鏈上賬戶中接收資產。”

據此前報道，今年8月，一位高管透露，莫斯科交易所計劃在年底前提供數字金融資產產品。9月份，俄羅斯總理Mikhail Mishustin要求中央銀行和莫斯科財政部在12月1日之前提交有關俄羅斯聯邦數字金融資產（DFA）市場未來的具體建議。財政部和貨幣當局還必須與俄羅斯金融監管機構Rosfinmonitoring、聯邦稅務局和聯邦安全局合作，在12月19日之前就旨在規范發行和流通俄羅斯數字貨幣的法律草案制定統一立場。（Cointelegraph）[2022/9/24 7:18:45]

他補充道：“如果這些被知悉，任何加密數據可以像創建它們一樣快地被解密。”

俄羅斯立法者：在莫斯科證券交易所內的細分市場建立加密市場“比其他任何方式都要好”:金色財經消息，俄羅斯國家杜馬金融市場委員會主席Anatoliy Aksakov在新聞發布會上表示，應該有一個建立在中央銀行嚴格要求之上的加密市場，建議它作為莫斯科證券交易所(MOEX)的一個細分市場。他認為，在MOEX的傳統內并與中央銀行合作的一個市場將“比其他任何管理加密貨幣交易的方式都要好”。

此前消息，俄羅斯銀行協會提議在莫斯科證券交易平臺建立加密交易業務。（Interfax）[2022/7/9 2:01:31]

動態 | 美國制裁支持委內瑞拉石油幣的莫斯科銀行:據cointelegraph報道，美國財政部將莫斯科的Evrofinance Mosnarbank銀行列入其制裁名單。在一份聲明中，美國財政部稱，當委內瑞拉石油幣（Petro）于2018年推出時，Evrofinance成為愿意為石油幣提供資金的主要國際金融機構。 Petro的早期投資者被邀請通過將資金轉至委內瑞拉政府在Evrofinance的賬戶來購買加密貨幣。[2019/3/13]

至于攻擊者可以用這些加密密鑰來做什么事，目前尚不得知，由于該投票系統的協議還沒有英文版本，因此，Gaudry還無法進行進一步的調查。

這位法國研究員說到：“在沒有讀過該協議前，很難準確地說出由此而引發的后果，因為，盡管我們認為，目前還不清楚，這種用于加密投票人弱加密方法對于攻擊者來說，得到投票和投票人之間的相應關系有多么容易。”

動態 | 莫斯科國家特列季亞科夫畫廊接受加密貨幣捐贈:據cointelegraph消息，俄羅斯莫斯科著名的國家特列季亞科夫畫廊將推出一項以區塊鏈為基礎的藝術贊助計劃。這個被稱為“我的Tretyakov”的項目允許個人或企業進行私人捐贈，以對畫廊收藏的物品進行數字化，從而成為藝術品的贊助人。[2018/11/15]

“在最糟糕的情形下，所有使用該系統的投票人在完成投票時，任何人都可以知道投票情況。”

第一個這樣的系統

莫斯科的區塊鏈投票系統是第一個這樣的系統。它是由莫斯科信息技術部門內部開發的，以“智能合約”的形式運行于以太坊區塊鏈平臺上。

該投票系統計劃于9月8日投入運行，將運行12個小時，和官方投票時間同步。

一旦在選舉日部署完畢，莫斯科的居民就可以通過互聯網、手機或家用電腦進行投票，并且把他們的投票加密記錄在公共以太坊區塊鏈上。

這個基于互聯網和區塊鏈的投票系統不僅僅限于在國外旅行和行動不便的人使用。每個事先注冊的人都可以使用該系統，這意味著，該系統有潛力去吸引那些通常不去投票的人。

當2019年9月部署好該系統時，莫斯科的互聯網投票系統將成為第一個基于區塊鏈、具有法律約束力的系統，而不僅僅是在有限制的測試中使用。

莫斯科官方承諾解決這個問題

由于莫斯科官方于7月在GitHub上公開了其源代碼，并要求安全研究人員進行測試，因此，該法國學者能夠測試莫斯科即將推出的基于區塊鏈的投票系統。

在Gaudry的發現公布之后，莫斯科的信息技術部門承諾修補報道中的問題，即弱私鑰的使用。

發言人在網上的回應中表示：“我們絕對同意256x3的私鑰長度不夠安全。這個實施只是在試用期使用。幾天后，私鑰的長度將改為1024。”

Gaudry發現莫斯科官方修改了EIGamal加密方法，以便使用三個較弱的密鑰，而不是一個密鑰，無法解釋信息部門為什么選擇這個做法。

這位法國研究員認為：“這是個迷。我們可以想到的唯一可能的解釋是，設計者認為這可以彌補所涉及的質數太小的密鑰大小。但是3個長度為256位的質數和1個長度為768位的質數真的不一樣。”

然而，根據Gaudry的說法，長度為1024位的密鑰可能還不夠，他認為官方應該使用長度至少為2048位密鑰的其中之一。

這個設計決定也讓AttivoNetworks的首席安全策略官ChrisRoberts感到困惑。

Roberts說：“到底是什么原因讓該平臺的開發人員首先選擇一個弱長度的密鑰顯然是個問題。是缺乏知識和理解嗎？或者只是要得到最快的速度和效率或其他東西呢？”

“美國的系統可以從俄羅斯那里學到很多東西”

他補充道：“對于這個，有個好的方面。莫斯科允許其他人查看、研究代碼，然后幫助他們完善安全性。”

此外，莫斯科官方還批準了給Gaudry的金錢獎勵，根據俄羅斯新聞網站Meduza的報道，Gaudry將獲得1百萬盧布，約15000美元。

根據7月發布的一份報告，Gaudry獲得的獎勵接近莫斯科當地政府允諾給漏洞獵手的最高獎，但是，當代碼放上GitHub時，允諾的獎勵是1百50萬盧布。

Roberts表示：“美國的系統可以從俄羅斯的這個系統中學到很多東西。”他指的是美國最近在試圖保護其電子投票機安全性過程中所遭受到的過多的日益增長的痛苦。

這些日益增長的痛苦主要來自投票機供應商，他們拒絕與網絡安全社區接觸，而莫斯科政府在這方面沒有問題。

美國使用的電子投票機和選舉系統的這種封閉性正是微軟最近宣布在GitHub上開源一種新技術的原因，該新技術用于保護電子投票機安全性。

作者|CatalinCimpanu

翻譯|姚佳靈

來源：

區塊鏈前哨

Tags：AUD區塊鏈GAUDFAAUDIO區塊鏈工程專業學什么課程GAU價格DFA幣價格

DOGE