根据近期披露的一个项目通告,美国防高级研究项目局(DARPA)将投资1000万美元,与美国俄勒冈州的政府承包商Galois公司共同开发可防御多种黑客攻击手段的开放源代码安全投票系统。在美国2016年大选遭俄罗斯黑客干涉后,美国政府及社会各界越来越关注选举体系及投票系统的安全问题,并一直呼吁相关行业制造足够安全且结果可验证的投票系统,令民众有能力确认选举结果没有受到操纵。
目前美国厂商生产的投票系统存在诸多问题,例如这些投票系统使用的软件大多为未经第三方测评实验室检验的闭源私有软件,投票结果用人类不可读的二维码所展示——投票者很难知道二维码是否被恶意第三方篡改。之前已有安全研究人员演示过利用一个包含恶意软件的内存卡,就能蒙骗某些品牌的投票系统将一票计算为二十票。
Galois公司多年来一直为美国政府设计安全且可验证的系统。该公司计划利用国防高级研究项目局去年的研发项目“通过硬件和固件集成的系统安全(System Security Integrated Through Hardware and Firmware,SSITH)”项目所产出的开源硬件架构,来开发其安全投票系统原型。Galois公司将设计两种基本的投票系统:第一种系统将使用触摸屏来让投票者输入其对候选人的选择,而后该系统会打印出带有投票者选择的纸质选票,投票者确认无误后再将此纸质选票投入到第二个计票用的光学扫描系统;光学扫描系统在读入纸质选票的结果后,将投票信息自动转化为加密验证数据,并进行计票。在选举结束后,所有选票的加密验证数据将发布到一个网站上,民众、竞选团队和第三方机构都可以自行验证投票结果。
Galois公司计划在今年和明年将上述两个系统分别带到Def Con黑客会议的Voting Village环节,让黑客们自由地分析两个系统中可能存在的漏洞,并进行渗透测试来判定这两个系统的安全性。Galois公司也将在明年与若干个美国大学的研究团队合作,在正式的分析环境中进行安全测评。Galois公司开发的两个系统最终不会投放市场,而会把相关原型免费地交给现有的投票系统厂商及其他机构,使它们无需支付高昂的授权费用或自行投入巨额经费来进行研发就可使用经过验证的安全投票系统设计。
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。