Kryptograficzna wpadka roku: eksperci od szyfrowania zgubili klucz do własnych wyborów
To brzmi jak scenariusz kiepskiej komedii o działach IT, ale wydarzyło się naprawdę w jednej z najbardziej prestiżowych organizacji zajmujących się bezpieczeństwem na świecie.
International Association of Cryptologic Research (IACR) została zmuszona do anulowania wyników swoich corocznych wyborów do władz stowarzyszenia. Powód jest prozaiczny, a zarazem kuriozalny: jeden z urzędników zgubił klucz szyfrujący niezbędny do odczytania oddanych głosów. Organizacja przyznała, że odzyskanie wyników jest technicznie niemożliwe.
Głosowanie przeprowadzono przy użyciu systemu Helios, narzędzia open source, które wykorzystuje recenzowaną przez środowisko naukowe kryptografię do zapewnienia tajności i weryfikowalności wyborów.
Zgodnie z regulaminem stowarzyszenia, aby zapobiec manipulacjom, trzech niezależnych powierników otrzymało po jednej części materiału kryptograficznego. Aby odszyfrować ostateczne wyniki, system wymagał wprowadzenia wszystkich trzech części klucza prywatnego. Niestety, jeden z powierników „bezpowrotnie utracił” swoją część, co IACR określiło mianem „uczciwego, ale niefortunnego błędu ludzkiego”.
Konsekwencje tego zdarzenia są natychmiastowe. Moti Yung, powiernik, który nie był w stanie dostarczyć swojej części klucza, zrezygnował z pełnionej funkcji i został zastąpiony przez Michela Abdallę. Aby uniknąć powtórki z tej sytuacji w przyszłości, IACR zmienia procedury zarządzania kluczami prywatnymi. Zamiast wymagać kompletu trzech części, przyszłe wybory będą opierać się na mechanizmie progowym, wymagającym do odszyfrowania tylko dwóch z trzech fragmentów klucza. Nowe wybory rozpoczęły się w miniony piątek i potrwają do 20 grudnia.
