マサチューセッツ州に本拠を置く企業 Voatz のブロックチェーン米国選挙アプリのセキュリティ リスクが最近明らかになり、各方面から注目を集めています。
Voatz氏が推進してきたブロックチェーンモバイル投票アプリには多くのセキュリティの抜け穴があることが調査され、多くの国民の批判を集めており、セキュリティの抜け穴はデータセキュリティに関して特に深刻だ。
米国では選挙週間が近づいているため、これらの安全保障問題を管理することの重要性はますます高まっています。 米国選挙アプリのセキュリティに関する監査報告には、122 ページのセキュリティ レビューが含まれており、さらに 78 ページで脅威モデリングの考慮事項が強調されています。
米国選挙アプリのセキュリティリスク:Voatzにはブロックチェーンは必要ない?
Voatz が使用しているブロックチェーンはモバイル クライアントまで拡張されていないため、米国選挙アプリのセキュリティ リスクが生じています。
魅力trac有権者が誰も信頼する必要がないことです。 しかし、ヴォアツ氏はこれを一般には広げていない。 Voatz は、Hyperledger ブロックチェーンを監査ログとして使用します。 これは監査ログのあるデータベースによって簡単に実行できるため、現在使用されている最先端のブロックチェーン技術ではありません。
監査報告書では、Voatz システムには、アプリ内で投票が行われた期間に基づいて有権者の匿名化を解除する機能がまったくないことが判明しました。 Voatz氏は、情報を匿名化した後にブロックチェーン上に情報を載せる「ミックスネット」が存在すると主張している
米国選挙アプリのセキュリティリスク:MITの調査結果が裏付けられる
マサチューセッツ工科大学 – MIT の研究者は2 月 13 日に、Voatz のブロックチェーンには重大なセキュリティ問題があると主張する報告書を発表しましたが、Voatz は同日遅くにこれに返答し、MIT の主張に反論しました。
結局のところ、Voatz からの返答は、MIT が米国土安全保障省から問題の概要を受け取った後、ビッツの証跡がユビキタス セキュリティの脆弱性を検証してから 3 日後に書かれたものでした。
以前の米国選挙アプリのセキュリティ リスク プロジェクトは完了していませんでしたか?
これは、これらの発見につながるホワイトボックス調査を実施した最初のレポートでした。 これに先立って、多くのレポートが実施されましたが、十分に包括的ではありませんでした。 Trail of Bits はこれまでのレポートを次のように要約しています。
セキュリティレビューは2019年にNCCによって実施されましたが、民間だったため、セキュリティ技術専門家の雇用はありませんでした。
2018 年 10 月、ShiftState はブロックチェーン アーキテクチャ、データ フロー、脅威軽減の決定について広範な衛生レビューを実施しました。 ただし、このレビューはアプリケーション自体のバグの検索にはカウントされませんでした。
前回のセキュリティレビューは2019年10月に実施され、クラウドリソースとアプリがハッキング可能かどうかのみを評価した。 以前のレポートにはサーバーとバックエンドのセキュリティ問題の評価が含まれておらず、そのため以前のレポートは包括的ではありませんでした。
一方で、米国のさまざまな州がブロックチェーンベースの投票を検討しています。 その一方で、Trail of Bitsの報告書は、これらの報告書は単なる技術文書であり、これらの評価の抜け穴を見落とすと、選出された役人にこれらの文書を読むのに十分な資格があるかどうかという問題が生じると述べています。