Tuesday, October 10, 2006

voting computer, a security analysis

Nedap-en - wijvertrouwenstemcomputersniet
De laatste wijziging op deze pagina vond plaats op 7 okt 2006 13:26.

90% of the of the votes in The Netherlands are cast on the Nedap/
Groenendaal ES3B voting computer. With very minor modifications,
the same computer is also being used in parts of Germany and France.
Use of this machine in Ireland is currently on hold after significant
doubts were raised concerning its suitability for elections.

オランダの90%の投票は the Nedap/Groenendaal ES3B の投票コンピュータで行われている。そして、ほんの少し変更されて、同じコンピュータがドイツやフランスで使われている。選挙に適しているかどうかに就いて、重要な疑いが持ち上がり、現在、アイルランドでは使用が停止されている。

This paper details how we installed new software in Nedap ES3B voting
computers. It details how anyone, when given brief access to the devices
at any time before the election, can gain complete and virtually
undetectable control over the election results. It also shows how radio
emanations from an unmodified ES3B can be received at several meters
distance and be used to tell who votes what.

この文書は、どのようにこのコンピュータに新しいソフトウェアをインストールしたかを詳細に記している。選挙の前に、少しデバイスへのアクセスが許された誰かは、完全にそして実質上発見されないで、どの様に選挙の結果をコントロール出来るかを詳細に記している。そして、また、修正されていない ES3B から発せられる電磁波を数メートルの距離から受信して、誰が何に投票したか分かる事を記している。

セキュリティ上の問題点を指摘する、元々の意味でのハッカーが、選挙に使われるコンピュータ上でチェスをする事が出来るとウェブ上で言ったのを見て、その会社の人が出来る物なら見てみたいものだと言った結果が上の写真のようです。 mrgreen

簡単に読んで、そのまま書いていますので、詳しくは下のリンク先から PDF ファイル(英語)を読んで下さい。ハッカー物の小説みたいで面白いです。
ハードウェアに就いての詳細な仕様や、順を追って絞っていく説明が、結構、詳しく書かれています。

問題点として上げられていたのは、上の写真の様にプログラムを入れ替えても、SHA-256 の様な強度なチェック機能が付いていない。
モニターから発せられる電磁波を受信して、どの政党に投票したか分かる。
オランダの様にメモリーへの保存と同時にプリンターへの記入があれば無理だが、メモリーへの保存だけなら、内部の人間なら投票を書き換える事が出来る。(アイルランドはプリンターへの記入が無いと書いてあった様な気がするんですが、アイルランドで使用が停止されているのはこの問題の為かな?)
後は物理的な鍵が安全ではない等だったと思います。

取り急ぎ、読んで書いているので、あまり自信がありません・・・
自分でも、後でもう一度読もうと思っています。

一番主張したいポイントは内部仕様が公開されておらず、内部の人間なら分からない様に不正な事が出来るので、選挙に使うのには相応しくない。
というような事だと思います。

この手の問題ではいつも思うんですが、こういったセキュリティ・コミュニティの人達と現実の世界では、天地のギャップが有るなと思います。 mrgreen
そして、どうでも良さそうな所ばかり窮屈になり、大事な所は抜けているという間抜けな状況に・・・ sad

また、量産する必要のある制御系システムはそうなのかもしれませんが、電子投票と言うと最先端なイメージがあるのに、結構古いシステムに成っているんだなと思いました。

外国では電子投票が一般的に行われているみたいなのも知りませんでした。
でも、問題も有りそうです・・・

The full report: Nedap/Groenendaal ES3B voting computer, a security analysis

Saturday, October 07, 2006

情報大航海プロジェクト

「Google八分、知ってますか?」眞鍋かをりが“国策検索”アピール

同ビデオではまず、Googleの検索結果から特定のWebサイトが表示されなくなる「Google八分」を紹介。中国政府が検閲対象とした情報や、国内の告発サイトがそれぞれGoogle八分にあったと語り、「検索結果が海外の特定企業に決められることがどれだけ怖いか分かるだろうか」と訴える。

中国の例を見ても分かる様に、一番フィルターを掛けたがるのは政府なんですけど・・・

グーグルが中国政府から言われて、中国政府に都合の悪い検索結果が表示されない様にしたり、グーグルから見てスパム・サイトと判断したり、訴訟に関わっているサイトを検索結果から除外している事を「Google八分」として非難し、その為に税金を使って検索エンジンを開発する以上、国策検索エンジンは一切のフィルターを掛けないんでしょうか?

確かに Google 一社に独占される事は危惧しますが、日本の場合は Yahoo! の方が圧倒的に検索エンジンの利用率が高いそうですし、こういう事は民間企業同士で競争するべきもので、国が税金を使ってやるべき事ではないと思います。

もし、予算を獲得する方便ではなく、Google のフィルターや中国の検閲を本当に危惧しているなら、今現在、一番優秀とされている、Google から生データを提供して貰う契約をするのが、直ぐにでも出来て、安上がりだと思います。 mrgreen
もっと優秀な検索エンジンが出てきたら、そちらと契約しなおせば良いんですから・・・

くだらない事にばっかり、税金を使わないで頂きたい。 devil
どうせ Google の検索エンジンの方が優秀なんだから・・・

それに、国策検索エンジンじゃ、法的にでも「一切の検閲はしません」ぐらいやらないと、どんな検閲をされるか分からないので、誰も使わないと思います。