澳洲与瑞士两所大学的研究员,各自在瑞士的电子投票系统内部发现安全漏洞,已经通知瑞士官方,得在全国实施此系统之前,再加以改善。
该投票系统运用区块链技术,却无法保证安全,目前正在进行修补,官方原本的目标,是希望在今年10月的联邦大选,推行至全国大部分行政区域。
安全度脆弱,投票系统用於42国
这两所大学的研究员发现,瑞士电子投票系统的加密过程相当脆弱,如果黑客掌控系统管理者瑞士邮政(Swiss Post)的IT基础建设,就能窜改投票结果。另外,瑞士邮政自家内部IT管理者,也在这个投票系统拥有修改权利。
「没有一个投票系统,能够大开后门,让参选人可以在不被大众察觉之下,修改选举结果。」参与此安全漏洞研究之一的研究员Sarah Jamie Lewis表示。
瑞士的电子投票系统主要由瑞士邮政营运,主要系统技术则是由西班牙公司Scytl开发而成。Scytl的电子投票系统已经被用於全球42个国家,如美国。
▲瑞士的电子投票系统被指出安全漏洞。
瑞士的电子投票系统,是让国民以出生年月日与瑞士邮政以实体信件寄出的一道密码,来登入系统并验证投票者身份。
投票者在系统投完票后,投票结果会先加密,再传进瑞士邮政的服务器,并以4台电脑的混合网络来传送结果数据,对此,结果解密后不会有投票者身份,只有投票选择,来维持投票者的匿名性。
这套系统也以零知识证明(Zero-knowledge Proof)的区块链技术,来确保选票在混合网络加密解密之下,没有被替换掉。
然而,这次的安全报告,却发现区块链的零知识证明并不是安全保证,黑客还是能在零知识证明显示运作正常的情况下,更换掉选票结果。
瑞士邮政在收到这次安全漏洞报告后,已经通报Scytl修复此安全漏洞。
自2004年以来,瑞士的网络投票系统就已经在几个行政区域试验实行,官方政府的目标,是希望在今年10月的联邦大选,推行至全国大部分行政区域。
对此,瑞士邮政於上个月也将投票系统的原始码公开,邀请大众参赛并检验此系统的安全漏洞,最终优胜者有机会获得5万瑞士法郎的奖金(约等同於台币150万元),此竞赛将於本月24日截止。