计算机安全专家说,基本的安全问题没有得到解决。
随着互联网这十五年的演变,我们在网上做了很多的银行购物交易,但是为什么我们不可以在互联网上选举?答案是选举会带来很多种非常难以解决的问题。
即使一些国家做到了这一点,比如美国在一些选区进行试运行。普林斯顿大学研讨会上的计算机安全专家上周表明,网上投票不能被验证安全性,有可能在一个封闭有争议的比赛上引起灾难的发生。
“供应商可能会说他们已经解决了网络投票的问题,但是我认为,他们所说的和夸大的成分可能会误导你,甚至误导他们自己。”罗恩李维斯特,美国麻省理工学院的计算机科学家和密码学的先驱,在研讨会上说。“如果他们真的解决了网络安全和密码安全问题,他们为什么要研究投票系统?他们应该投入到防御系或金融行业的工作中,这些问题在那些领域都没有被解决。”
未解决的问题包括恶意行为拦截互联网通讯,他人登陆并攻入服务器重写或损坏代码。虽然这些也都是电子商务的大问题,但是如果一个黑客窃取金钱,这个盗窃犯可以很快被发现。一家银行或商店可以决定是这种损失是否可以接受为经商成本。
投票是一种完全不同且更困难的问题。丢失的票是不能被接受的。表决系统是应该保护一个匿名人的投票,而不像银行或商业交易,它们可以在同一时间验证和准确投中,在某种程度上,保留记录是一个被丢失的候选人接受作为的方式的有效验证。
很好的理解了联网计算机系统的漏洞,问题依旧离解决还很远。一名斯坦福大学的计算机科学家大卫.迪尔说。“基本上,它依赖于用户的计算机是值得信赖的。如果病毒可以通过键盘后屏幕拦截投票,那么基本上是没有防守的。”迪尔说。“有真正的根本问题。系统也许可以更加紧凑使一些特殊的黑客行为无法运行。但是总体而言,系统往往还是脆弱的。”
今年,美国国防部取消了外国军事人员安全团队的网络投票计划,因为一个由埃森哲开发的价值2200万美元的审计系统检测出它容易受到网络攻击。
而在一些国家,包括爱沙尼亚,允许网络投票,还有一些欧洲国家和城市也在追逐这个项目(意大利在今年进行了一个大测试)。迪尔说这些措施不能证明它们是安全的。“我争辩说没有人知道是否存在欺诈行为,因为这些国家是无法检测到的。”迪尔说。
一些黑客的理论问题已经困扰了被广泛应用于美国和其他国家的电子表决系统。(见“美国最危险的投票技术”)。特别是如果机器不产生纸质记录。但这些机器,因为他们是与互联网断开的,很容易在一个更窄的范围内被攻击。
网络投票的问题在两年前进行了明确的试验。当时哥伦比亚特区建立了一个系统,让选面去网上,输入ID代码,然后他们收到一封邮件去投一票,并获得了创纪录的结果。选举官员邀请计算机科学家尝试破解系统的模拟选举。
亚历克斯赫尔德曼,一个密立根大学的计算机科学家和两个研究生接受了这个提议,并很快在源代码中发现了一个错误 “让我们完全窃取了选举。”赫尔德曼在普林斯顿研讨会上说,他们甚至能够改变人在屏幕出现时的候选人的选择。
里韦斯特把这件事放在平原条款中。“我认为,当我们谈论在互联网上投票,我们的直觉反应是,为什么在互联网上投票?为什么呢?你为什么这样做呢?为什么呢?真的,为什么呢?为什么呢?我想你需要问这个问题很多遍,就像两岁时一样。”他说。“还有其他更好的方法去获取信息,并具有更好的安全性能。在互联网上投票在很少的情况下是最好的选择。这是非常复杂的,你这样是自找麻烦。你用高压电源线连接你的烤面包嘛?这类似于在线投票系统。信用违约掉期,你投资你的养老金?你要远离复杂,你想要的东西简单,你正在进入攻击和危险的世界,而这是你不想要的。”
【本文由尒米粥独家授权中国数字科技馆使用,未经许可请勿转载。商业或非商业使用请联系中国数字科技馆】
京公网安备11010502039775号
