Купить мерч «Эха»:

Путин и 5G, взлом электронного голосования, Яндекс.Новости в Думе - Григорий Бакунов, Вячеслав Касимов - Точка - 2019-08-18

18.08.2019
Путин и 5G, взлом электронного голосования, Яндекс.Новости в Думе - Григорий Бакунов, Вячеслав Касимов - Точка - 2019-08-18 Скачать

Г. Бакунов

На самом деле, все вот эти современные технологии – иногда у меня создается ощущение, что это технологии ради технологий. Это такая же история, как с электронным голосованием, прошу прощения.

А. Плющев

О! И тут мы переходим к электронному голосованию.

Г. Бакунов

Плавно.

С. Оселедько

Внезапно.

Г. Бакунов

Ну, просто, это вот у меня четкое ощущение от последнего вот этого исследования про безопасность московского электронного голосования, что это просто технология, которую делали ради технологии, ради ощущения, что все сделано. Потому что первый же залетевший…

А. Плющев

Залетный. Первый же залетный, да, с этого проезда.

Г. Бакунов

Да, да, да.

А. Плющев

Кистей по морде.

Г. Бакунов

Да, да, да. Собственно, что произошло? Один из, я бы сказал, мировых лидеров в области безопасности занялся исследованием (если я правильно понимаю, это произошло на заказ, а не просто так) безопасности вот этого электронного голосования, которое было сделано. Это пентестер.

А. Плющев

Я так понимаю, он откликнулся на вот этот вызов.

Г. Бакунов

Да, да, да.

А. Плющев

Теперь непонятно, дадут ли ему миллион.

Г. Бакунов

Там миллион обещали, да?

А. Плющев

По-моему, миллион, да.

Г. Бакунов

В рублях?

А. Плющев

Ну да.

С. Оселедько

А он из Франции, да, этот Пьеррик Гэдри?

А. Плющев

Да

Г. Бакунов

Гэдри он, да. Почему-то все его называют Годри в российских СМИ. Он Годри.

С. Оселедько

Он француз.

Г. Бакунов

Да. И обнаружилось, что в нескольких местах совершенно очевидно программу писали люди, которые очень слабо понимают современную криптографию. В частности, главная проблема, на которую он указал – это то, что в одной из компонент используются очень короткие криптографические ключи. Чтоб вы понимали, насколько они короткие. На среднестатистическом современном компьютере их можно подобрать за полчаса.

А. Плющев

Не больше минуты, там даже говорилось.

Г. Бакунов

Ну да. Это зависит от мощности компьютера. То есть прям Гэдри предоставил готовый скрипт. Вы его запускаете на Маке или на Линуксе, на какой-то разработческой машине.

А. Плющев

Да. Вот «Медуза» тоже взломала.

Г. Бакунов

Да, да, да. И получаете, на самом деле, этот криптографический ключ, расшифрованный за 20-30 минут. Просто вот готовая программа. Безусловно, разработчики, собственно, системы голосования уже сказали, что да, да, да, они все знают, они уже все поменяют, и ключ теперь будет в 4 раза длиннее. В 4 раза длиннее – это довольно много. Это означает, что теперь это не 20 минут, а, не знаю, 20 дней. Но тем не менее это все равно…

А. Плющев

Ну да. Дольше, потому что там не умножается.

Г. Бакунов

Там это в степени двойки.

А. Плющев

Да.

С. Оселедько

Слушайте, а может кто-то объяснить, а что именно там шифровалось этим ключом? Потому что там какая-то запутанная история, что именно шифровалось, потому что неизвестно. Они же публиковали исходный код на гитхабе. Причем не совсем понятно, к какой части системы этот код относился и что и на каком этапе этим шифруется. Причем они говорили, что там тройное шифрование этим ключом происходит в разных местах.

Г. Бакунов

Это такая история смешная, да.

С. Оселедько

Какая-то туманная. Вот кто бы объяснил?

Г. Бакунов

Как бы логику-то сказать… Там действительно данные для усложнения расшифровки, как казалось, видимо, создателям – трижды используется один и тот же метод шифрования. Проблема в том, что с точки зрения криптографии неважно, какое количество раз ты повторил одно и то же действие. Время на расшифровку будет тем же самым. То есть ты можешь бесконечное количество раз это делать. Это кусок кода, который связан уже непосредственно с данными о голосах, которые находятся внутри блокчейна.

С. Оселедько

Там же вообще, в принципе, бюллетень и вообще данные о голосовании – это блокчейн.

Г. Бакунов

Это криптование того куска данных, который кладется в блокчейн, то есть непосредственно данных о голосе.

С. Оселедько

То есть этим ключом шифруется блок, который туда кладется.

Г. Бакунов

Ну, сильно упрощенно – примерно так, да.

С. Оселедько

И что это дает? Ну хорошо, вот это расшифровали. И что, мы можем подделать голоса таким образом?

Г. Бакунов

Подделать – нет, посмотреть – да.

С. Оселедько

То есть это делает голосование неанонимным.

Г. Бакунов

Это не неанонимным. Грубо говоря, у тебя будут данные не экзит-полла, а реальные данные голосования налету. Это, на самом деле, тоже нарушение законодательства, я напомню.

С. Оселедько

Да, понятно. Но не даст информацию, кто за кого голосовал. Или даст?

Г. Бакунов

Нет, это не даст информацию, кто за кого голосовал.

С. Оселедько

Это просто итоги голосования будут видны в режиме реального времени фактически с 20-минутным опозданием.

Г. Бакунов

Ну, примерно так, да. На самом деле, там 20-минутного опоздания не будет. Ключ восстановится и дальше все будет как надо. Ну вот. И это, конечно, большая проблема. В смысле она показывает отношение к криптографии внутри этой команды. И, как мне кажется, это довольно странно. Я был, вообще, уверен, и большая часть технарей, с которыми я общался, были уверены, что код, который написали ребята из ДИТа, его проверял какой-нибудь, не знаю, ФСБ, какие-нибудь ребята, которые занимаются проверкой безопасности.

С. Оселедько

Но они же сказали, что «это у нас пока тут тестирование».

А. Плющев

Слушай, я вот не понял, какой смысл было делать тестирование с ключом, который ты не собираешься применять. Ну если ты тестируешь и говоришь людям…

С. Оселедько

Ну, просто, увеличить размер ключа – это настолько просто. То есть это очень легко.

А. Плющев

Не, подожди, а, может, тогда вообще без ключа? Что уж там… Не, ты говоришь: «Люди, ну-ка попробуйте сломать». И тут так раз за 20 минут. И такие: «А, ну не, это ключ не тот». Вы что, ребята?

Г. Бакунов

Не-не, мне кажется, что там разработчики все-таки признали, что действительно ключ коротковат и они постараются с этим что-то сделать. Тут есть тонкий момент, что разработчики уверенно говорят, что они могут увеличивать ключ до безграничных размеров. Но нет, этот кусок кода написан на Solidity. В смысле вот на той системе, на которой написан блокчейн. И для того, чтобы реализовать больше, чем 1024, больше, чем в 4 раза, вот этот ключ, потребуется много программирования. Это большая работа. И я не думаю, что ее можно сделать в рамках этого проекта.

А. Плющев

Ну не знаю, я вот в первом пытался принимать участие. Я уже о пользовательском опыте говорю, поскольку времени мало осталось. В первом пытался. Меня не пустили по признаку пола.

С. Оселедько

Это как?

А. Плющев

Ну, на сайте mos.ru нужно было дозаполнить профиль. И я все дозаполнил, а он никак не мог понять, что я мужского пола. Он говорит: «Я обращаюсь к Госуслугам, а, типа, мне не отвечают». Я вообще не понял, в чем там. И, в общем, выяснилось, что где-то слева я должен был подлезть, что-то исправить. В общем, короче, косячили они на тот момент страшно.

С. Оселедько

Слушайте, вы прям хотите, чтобы такой проект прям с первого раза, с первой версии прям заработал.

А. Плющев

Да.

Г. Бакунов

Слушайте, так приятно вот с вами сидеть – всегда кто-то из вас работает адвокатом дьявола.

С. Оселедько

Да.

Г. Бакунов

Так мило всегда.

С. Оселедько

А иногда ты, кстати.

Г. Бакунов

Иногда приходится мне, да.

А. Плющев

Да.

Г. Бакунов

Я бы сказал, что, на самом деле, с технической точки зрения проект, который собственно про электронное голосование, сделан интересно. Но у меня проблема. Когда я говорю, что проект сделан интересно, я считаю, что это экспериментальный проект, на котором можно позволить себе расслабиться и все такое. А тут дело слишком серьезное, вы знаете.

Если даже отставить в сторону все наши разговоры многократные о том, что главная проблема электронного голосования находится не в области технологий, а в области человеческого их применения, и с технологической точки зрения есть много проблем. И вот когда приходил коллега наш из ДИТа, и мы с ним разговаривали на тему электронного голосования, он много раз сказал, что ребят…

А. Плющев

Артем Костырко.

Г. Бакунов

Да, Артем Костырко. Что есть большая проблема. Почему вы не пытаетесь снизить паранойю людей, решая техническими средствами эту паранойю? К сожалению, всего этого не происходит. А сейчас эта паранойя еще больше обострилась, потому что я не верю, что на самом деле кто-то всерьез использовал 256-битный ключ. Это не недосмотр. Это, скорее всего, было намеренное действие для чего-то. Для чего – я не знаю. Может быть, пытались электроэнергию сэкономить.

А. Плющев

Может быть, они хотели распилить миллион?

Г. Бакунов

Миллион битов?

А. Плющев

Рублей, которые за взлом дают.

Г. Бакунов

Миллион распилить.

С. Оселедько

Сторонники теорий заговоров сейчас должны были прям напрячься и подумать, что они специально это сделали такой бэкдор для того, чтобы можно было манипулировать результатами.

Г. Бакунов

Не-не. Я напомню, я тут главный сторонник того, что не надо пытаться объяснить глупое действие человека каким-то злым умыслом, когда можно объяснить его просто патриотизмом. И, собственно говоря, это похоже просто на такое вот патриотическое проявление. К вопросу о патриотизме.

А. Плющев

Сейчас. Секунду. Я просто два слова скажу. Вообще, все это обсуждение, мне кажется, не имеет ровным счетом никакого смысла просто потому, что, на мой взгляд, опять же, и я очень надеюсь, что это будет подкреплено решениями судов соответствующих, электронное голосование противоречит Конституции, Закону о выборах и проводится на сайте мэра Москвы, соответственно, оно просто незаконно, не имеет права на существование. Вот моя точка зрения. Но она к технологиям не имеет никакого отношения.

Г. Бакунов

Все-таки за патриотизм немножко задвину.

А. Плющев

Да, давай.

Г. Бакунов

У нас пара минут еще есть. Исполнилось 6 лет мессенджеру, который мы все знаем и любим последние 6 лет – это мессенджер Телеграм. И за 6 лет, безусловно, был проделан огромный путь. И я не знаю, как у вас, у меня сейчас большая часть новостей (не в обиду ребятам, которые делают Яндекс.Дзен) приходит ко мне, на самом деле, из Телеграма.

А. Плющев

Именно.

С. Оселедько

Та же самая история.

Г. Бакунов

И это, конечно, ну просто фундаментальный какой-то сдвиг. У меня в какой-то момент вот недавно Телеграм переставал работать по причинам того, что я нахожусь в России. Я был в шоке. Я просто остался без всех новостных источников. Ну я прям теперь просто еще больше переживаю за тем, чтобы команда Телеграма и дальше пилила свой проект ровно таким, какой он есть, обходя все возможные препоны и двигаясь дальше такими же темпами.

А. Плющев

Согласен. У меня бывают иногда ситуации здесь в эфире, когда я только благодаря Телеграму успеваю что-то сообщить быстрее других. Это правда.

С. Оселедько

Ну и надо Павла Дурова поздравить.

Г. Бакунов

Почему только Павла?

С. Оселедько

У него потрясающая способность делать удивительные, успешные проекты, причем многократно. Обычно людям такое удается один раз в жизни, и то очень немногим.

Г. Бакунов

Я категорически против. Я считаю, что вы недооцениваете Николая. Николай Дуров тоже был на обоих проектах – он был и во Вконтакте, и здесь. И оба эти проекта крайне успешны.

С. Оселедько

Братья Дуровы у нас, короче.

Г. Бакунов

Да.

А. Плющев

Да. Поздравляем, собственно говоря, и Николая Дурова, и Павла Дурова с 6-летием Телеграма, нашего любимого мессенджера. Мы продолжим ровно через неделю. Я надеюсь, и Гриша, и Сережа будут здесь. Все. всем счастливо! Пока!

Г. Бакунов

Пока!


Напишите нам
echo@echofm.online
Купить мерч «Эха»:

Боитесь пропустить интересное? Подпишитесь на рассылку «Эха»

Это еженедельный дайджест ключевых материалов сайта

© Radio Echo GmbH, 2024