Tuesday, October 10, 2006

voting computer, a security analysis

Nedap-en - wijvertrouwenstemcomputersniet
De laatste wijziging op deze pagina vond plaats op 7 okt 2006 13:26.

90% of the of the votes in The Netherlands are cast on the Nedap/
Groenendaal ES3B voting computer. With very minor modifications,
the same computer is also being used in parts of Germany and France.
Use of this machine in Ireland is currently on hold after significant
doubts were raised concerning its suitability for elections.

オランダの90%の投票は the Nedap/Groenendaal ES3B の投票コンピュータで行われている。そして、ほんの少し変更されて、同じコンピュータがドイツやフランスで使われている。選挙に適しているかどうかに就いて、重要な疑いが持ち上がり、現在、アイルランドでは使用が停止されている。

This paper details how we installed new software in Nedap ES3B voting
computers. It details how anyone, when given brief access to the devices
at any time before the election, can gain complete and virtually
undetectable control over the election results. It also shows how radio
emanations from an unmodified ES3B can be received at several meters
distance and be used to tell who votes what.

この文書は、どのようにこのコンピュータに新しいソフトウェアをインストールしたかを詳細に記している。選挙の前に、少しデバイスへのアクセスが許された誰かは、完全にそして実質上発見されないで、どの様に選挙の結果をコントロール出来るかを詳細に記している。そして、また、修正されていない ES3B から発せられる電磁波を数メートルの距離から受信して、誰が何に投票したか分かる事を記している。

セキュリティ上の問題点を指摘する、元々の意味でのハッカーが、選挙に使われるコンピュータ上でチェスをする事が出来るとウェブ上で言ったのを見て、その会社の人が出来る物なら見てみたいものだと言った結果が上の写真のようです。 mrgreen

簡単に読んで、そのまま書いていますので、詳しくは下のリンク先から PDF ファイル(英語)を読んで下さい。ハッカー物の小説みたいで面白いです。
ハードウェアに就いての詳細な仕様や、順を追って絞っていく説明が、結構、詳しく書かれています。

問題点として上げられていたのは、上の写真の様にプログラムを入れ替えても、SHA-256 の様な強度なチェック機能が付いていない。
モニターから発せられる電磁波を受信して、どの政党に投票したか分かる。
オランダの様にメモリーへの保存と同時にプリンターへの記入があれば無理だが、メモリーへの保存だけなら、内部の人間なら投票を書き換える事が出来る。(アイルランドはプリンターへの記入が無いと書いてあった様な気がするんですが、アイルランドで使用が停止されているのはこの問題の為かな?)
後は物理的な鍵が安全ではない等だったと思います。

取り急ぎ、読んで書いているので、あまり自信がありません・・・
自分でも、後でもう一度読もうと思っています。

一番主張したいポイントは内部仕様が公開されておらず、内部の人間なら分からない様に不正な事が出来るので、選挙に使うのには相応しくない。
というような事だと思います。

この手の問題ではいつも思うんですが、こういったセキュリティ・コミュニティの人達と現実の世界では、天地のギャップが有るなと思います。 mrgreen
そして、どうでも良さそうな所ばかり窮屈になり、大事な所は抜けているという間抜けな状況に・・・ sad

また、量産する必要のある制御系システムはそうなのかもしれませんが、電子投票と言うと最先端なイメージがあるのに、結構古いシステムに成っているんだなと思いました。

外国では電子投票が一般的に行われているみたいなのも知りませんでした。
でも、問題も有りそうです・・・

The full report: Nedap/Groenendaal ES3B voting computer, a security analysis

No comments: