14 marzo 2019 | comunicato aziendale
Riportiamo il comunicato aziendale di Scytl in relazione al bug svizzero
In seguito alla recente pubblicazione del comunicato stampa della Posta Svizzera, parte del suo contenuto sembra essere stata male interpretata, con il risultato che terzi hanno dichiarato che la vulnerabilità identificata dal gruppo di ricercatori era già stata riconosciuta da Scytl nel 2017 senza essere presa in considerazione.
Nel 2017, il team di ricercatori di Scytl ha iniziato a implementare un generatore casuale verificabile (algoritmi FIPS 186) per generare i parametri di impegno del Mixnet in modo verificabile, come richiesto per ottenere la verificabilità universale. Questo può essere verificato nel codice sorgente pubblicato dalla Posta Svizzera: classe “calculateGenerator_FIPS186_3_Verifiable” situata in cryptolib / cryptolib-elgamal / src / main / java / com / scytl / cryptolib / elgamal / encrytionparams / EncryptionParameterGenerator.java.
Tuttavia, una lacuna non rilevata nelle specifiche ha comportato l’implementazione del Mixnet per l’utilizzo di un generatore casuale standard invece del verificabile FIPS 186. Questo è il gap identificato dai ricercatori e, quindi, non è affatto una “interpretazione naif” del protocollo crittografico. L’implementazione di Mixnet è stata aggiornata e il codice sorgente modificato verrà applicato alla successiva versione normale.
Come accennato nella precedente dichiarazione di Scytl, l’obiettivo del programma di accesso al codice sorgente è identificare eventuali vulnerabilità in modo trasparente e, grazie al supporto di esperti e della comunità di ricerca, lavorare mano nella mano per migliorare la sicurezza del nostro sistema elettorale .
0 comments on “Scytl risponde a interpretazioni errate relative al comunicato stampa della Posta Svizzera”