Сохраняют ли на выборах в КС личные данные избирателей и можно ли их расшифровать?
Выборы в Координационный совет пройдут 25-27 мая. Голосовать предлагают через мобильную программу или сайт, для подтверждения личности просят показать паспорт. Есть сценарий, в котором силовики могут узнать, кто голосовал, но Павел Либер объяснил «Белсату», почему он маловероятен.
Чтобы проголосовать на выборах в Координационный совет, необходимо показать программе для голосования «Беларусь ID» свой паспорт (можно просроченный, лишь бы беларусский) и сделать свое фото (селфи). Тестовую версию программы было возможно обмануть распечаткой скана паспорта, но разработчики уверяли: программа пометила подделку как «подозрительную», а в финальной версии «подозрительные» документы не пропустят.
Но чтобы проверить, что человек с тем самым паспортом не проголосует второй раз, нужно каким-то образом записать, что «такой паспорт уже голосовал». Разработчики программы решили хранить на время голосования хэш (hash) идентификационного номера человека, но по крайней мере некоторые участники группы «Киберпартизаны» считают, что это опасно, так как силовики теоретически могут добыть доступ к серверам и расшифровать, какие паспорта голосовали.
Руководитель команды разработчиков программы для голосования Павел Либер пояснил «Белсату», что такое хэш и насколько вероятно, что его похитят и расшифруют.
Что такое хеш и как его можно расшифровать
Цифровые данные можно зашифровать и расшифровать, а можно хешировать. Хеширование – это не шифрование в привычном смысле, а одностороннее шифрование: «выдергивание кусков» сведений и придание этим кускам уникальных значений фиксированной длины. Например, если один раз захешировать заголовок этой статьи алгоритмом MD5, получим «7a74b6b679af708e6759f7e6de04f527», а если зашифровать другой заголовок, получим другой набор такого же количества символов.
Это значение нельзя расшифровать, из «7a74b6b679af708e6759f7e6de04f527» никак не получить заголовок этой статьи, так как при генерации хеша использовались не все буквы из заглавия. Но если знать, что могли зашифровать и каким алгоритмом, можно узнать, какой код выдаст алгоритм. То есть, если знать, что мы хешировали какой-то из заголовков новостей «Белсата» один раз (а могли бы и несколько раз хешировать хеш) именно алгоритмом MD5 (а могли бы и другим), можно собрать все заголовки, захешировать их этим методом и проверить, какой результат совпадет.
Похоже и с голосованием в Координационный совет. Павел Либер рассказывает: во время верификации паспортные данные передаются платформе для голосования, через программу кампании Veriff проверяют подлинность паспорта, и хранятся в открытом виде только в программе на телефоне пользователя.
Платформа для голосования затем берет индивидуальный номер человека (не номер паспорта, а тот идентификатор, который не меняется даже со сменой паспорта) и сохраняет хеш того номера. Хешируют этот номер не просто каким-то алгоритмом, а с добавлением «соли» (salt) – модификатора хеш-функции, нужного для того, чтобы было невозможно «расшифровать» хеш простым перебором.
«Сведения, которые зашифровываются в одну сторону, нельзя так просто расшифровать и достать обратно, – уверяет Либер. – Чтобы их расшифровать и достать обратно, вам нужно будет: первое – взломать сервер, где есть алгоритм; второе – взломать сервер, где хранится соль, это дополнительная функция, чтобы усилить хеширование; третье – взломать базу данных; четвертое – иметь всю базу паспортов как референс, по которому вы можете перебирать. Из-за того, что расшифровать нельзя, вам нужно перебирать всю имеющуюся базу для того, чтобы понять, хеш от какого паспорта соответствует тому хешу, который вы похитили.
Это сложно сделать, это долго и для этого нужны достаточно сильные вычислительные мощности. Именно поэтому у нас есть еще отдельный notice [англ. примечание], что все эти хеши в конце голосования удаляются, чтобы у нас был очень короткий timeframe [англ. отрезок времени], ведь за короткий timeframe, эти семь дней, нам кажется невозможным, чтобы было можно взломать вообще все».
А если будут как-то шантажировать или подкупят одного из разработчиков или зашлют в команду агента? Либер уверяет: алгоритм хеширования, соль и база хешей хранится на разных серверах, к которым у разных людей есть разный доступ. Либер не верит, что будет возможно через одного агента получить доступ ко всему необходимому для расшифровки базы хешей.
Почему все же выбрали такой способ
Либер подтвердил, что все это действительно обсуждали с «Киберпартизанами». По его мнению, «Киберпартизаны» имели претензии не к механизму, а к тому, чтобы об этом более явно говорили в коммуникации.
«Нет другого механизма: нам же нужен какой-то идентификатор, чтобы мы не позволили человеку голосовать дважды, – объясняет Либер. – Мы такого способа не придумали. И его в принципе никто не придумал.
И даже когда мы обсуждали с «Киберпартизанами», они также говорили, что все равно кто-то данные хранит. Вопрос только в том, чтобы мы не хранили какие-то сведения, которые можно было легко похитить и достать, а максимально их зашифровали перед этим и приняли все меры, чтобы эти данные застраховать».
Теперь те, кто идет по инструкциям на сайт выборов, получат предупреждение и объяснение о хеше, который удалят после выборов. Либер говорит: согласился с тем, что это стоит помечать, хотя это и «довольно техническая вещь».
«Здесь «Киберпартизаны» очень правильно замечают, что имея достаточное время, вычислительные мощности и сочетание всех факторов, возможна ситуация, когда это может быть расшифровано, – соглашается Либер. – Но все это сочетание настолько сложное на таком коротком timeframe, что в реальности такого не может быть.
Именно поэтому у нас было с ними это обсуждение. Я согласен с их мнением, что это надо писать обязательно, поэтому мы абсолютно без проблем это написали, Я сейчас во всех интервью это говорю, ясно проговариваю, мы не пытаемся это скрыть».
Что с веб-версией
«Киберпартизаны» критиковали также решение провести голосование через мобильные программы: некоторые из хакеров группы считают, что невозможно удалить эти программы из iOS совсем без следов. Но в чате «Киберпартизанов» видно, что по крайней мере некоторые считают этот метод удаления следов установки программы, который предлагала платформа «Новая Беларусь», достаточно надежным.
Тем не менее, разработчики программы для голосования согласились с «Киберпартизанами»: нужно в дополнение к программе сделать интернет-версию для голосования. Ее обещают открыть в день начала выборов, 25 мая, заранее делать публичной не хотят.
Веб-версию уже тестировала внешняя компания-аудитор, которая тестировала всю систему. 21 мая этот аудит завершился, в тот же день веб-версию дали на проверку «Киберпартизанам».
Веб-версия будет работать с паспортными данными по тому же принципу: будет хешировать индивидуальный номер, но не будет хранить на серверах разработчиков паспортные данные в любом другом виде.
Алесь Новоборский / АБ belsat.eu
