2016年5月15日

BBM与Leni:Ñ问题揭示Smartmatic使用过时的安全技术


在几天前Binay,Roxas和Poe承认加入Duterte之后,2016年总统大选实际上已经结束。但是,副总统之战不是。


截至2016年5月14日下午2:45,Comelec-GMA服务器已查看了96.06%的选举申报表。 LP VP赌注Leni Robredo(Leni)获得14,015,098票,位居榜首。同时,独立副总裁候选人Bongbong Marcos(BBM)获得了13,799,034,紧随其后。两位候选人之间的差距’各自的票数仅为216,064,几乎和格蕾丝·坡(Grace Poe)一样薄’s resume.

为了更好地了解副总裁的情况,让’s do a little math.
  • 54,363,844已注册为2016年5月的选举[拉普特]。
  • 这些已登记选民中有81.62%在5月9日投票[菲尔斯塔]。
  • Comelec-GMA服务器已处理96.06%的选举申报(ER)[GMA]。
有了这些信息,并假设每个ER中的选民总数几乎相同,  let’s使用以下公式估算Comelec-GMA服务器剩余可用于画布的票数:

哪里:
V =剩余数量 V待布告
R =总数 R选民参选
T =选民 Turnout或实际投票的R的比例
C =已经投票的比例 C被处理
插入值...


简化,我们得到...


简而言之,我们可以谦虚地假设仍有超过100万张选票需要计算。也就是说,截至2016年5月14日晚上,VP竞赛还远远没有结束。

Ñ争议爆发

让我们回溯一点。

在“快速计数”的前几个小时中,BBM领先第二名的莱尼获得了大约100万左右的领先优势。随着时间的流逝,莉妮逐渐慢慢靠近,最终在黎明前超越了BBM。丽妮’阵营说,来自ARMM,Bicol和Ilo-ilo的bailiwick票进入了投票,因此等级切换。同时,BBM’的营地怀疑选举舞弊。然后爆发了哈希码争议[TP:哈希码]。  

Comelec说,在开始进行快速计数后数小时,恰逢BBM领先一英里时,Smartmatic在服务器上实施了无害的外观更改’的源代码,据称已纠正涉及该字符的显示错误“ñ”,最初显示为“?” [询问者]。

结果,一名IT专家发现Comelec服务器中某些文件的哈希码(数字指纹)不匹配。他没有哭泣欺诈,但确实提供了怀疑的理由。毕竟,在哈希不匹配事件发生三天后,Comelec发表了解释[TP:Smartmatic]。

TP认为Leni至少对部分bailiwick选票是正确的,因为TP的前一篇文章显示了两件事[TP:ARMM秒杀]:
  • ARMM经历了令人怀疑的大规模选民登记激增
  • 大多数ARMM政治家都与自由党结盟
另一方面,直到今天,BBM的主张仍没有得到充分证实。

无论如何,简而言之:
  • BBM的阵营声称此代码修改为选举欺诈开辟了道路。 
  • Comelec-Smartmatic和PPCRV坚持认为,这只是一个小问题,从长远来看将无关紧要。
这个问题尚未解决,ThinkingPinoy认为是时候让这些当事方自己打仗了。

但是有一个问题。

整个战争基于这样一个假设,即匹配的哈希码意味着系统完整性。但是,经过一些研究,ThinkingPinoy有理由相信,Comelec-Smartmatic使用的哈希码生成器算法南粤风采开奖结果实际上已经过时了。

根据泄露的屏幕快照显示哈希码不匹配,Comelec-Smartmatic使用南粤风采开奖结果
哈希码生成算法。


现在,是时候搁置Leni-BBM的争论了,让我们集中讨论南粤风采开奖结果的可靠性问题。

南粤风采开奖结果时间轴

1992年,南粤风采开奖结果(Merkle–Damgård5)发明了安全算法,以解决其前身MD4 [里维斯特1992]。 南粤风采开奖结果是开源的(免费使用) 并且它已被广泛用于验证文件的完整性。

1996年,加利福尼亚大学圣地亚哥分校的计算机科学家提供了南粤风采开奖结果的严重缺陷。 多贝丁1996]。他能够指出南粤风采开奖结果的缺陷,但是他没有展示利用该缺陷的实用方法。




2004年,当中国计算机科学家Wang,Feng,Lai和Yu展示了利用南粤风采开奖结果的实用方法时,填补了Dobbertin论文中的空白[王等。 2004年]。作者之一是中国科学院软件研究所。

2005年,另一篇论文引用了更多利用南粤风采开奖结果的方法[Lenstra 2005]。作者之一(法国Lenstra)在贝尔实验室和瑞士洛桑联邦理工学院工作。

在2007年,Lenstra和另一位计算机科学家Stevens宣布了“两个功能不同但南粤风采开奖结果哈希值相同的...文件。这表明对南粤风采开奖结果的信任...用于验证软件的完整性以及作为代码中使用的哈希函数”签署,已成为可疑的问题。”

在2008年的声明中,卡内基梅隆大学的软件工程学院最终拒绝了南粤风采开奖结果,因为它发现南粤风采开奖结果“攻击者可以生成非法识别为真实的加密令牌或其他数据”。 [CMU-SEI 2008]

根据同一CMU-SEI声明:
“请勿使用南粤风采开奖结果算法...认证机构...应避免以任何能力使用南粤风采开奖结果算法...应被认为是加密破坏的,不适合进一步使用。”
问题:Smartmatic今天使用南粤风采开奖结果。

简而言之,今天有人创建两个不同的文件来生成相同的南粤风采开奖结果哈希值是可行的,这与南粤风采开奖结果的原始目的相矛盾。 南粤风采开奖结果的最终拒绝是在七年前的2008年。此外,2008年是2013年之前的4年,在Comelec雇用Smartmatic参加2016年大选之前。

南粤风采开奖结果替代品

南粤风采开奖结果的明显漏洞已导致大多数软件开发组织使用更可靠的哈希技术。特别是,SHA-1(安全哈希算法1)是一种更具弹性的替代方案,最重要的是,它是在1993年或在南粤风采开奖结果推出约一年后才发明的[ 古普塔2014]。

南粤风采开奖结果和SHA-1都是开源的。也就是说,它们是免费使用的,因此Smartmatic不能主张更高的成本。虽然SHA-1的实现需要稍微更多的计算能力,但请记住,两者都是1990年代发明的,此后市场上计算机的处理器能力呈指数级增长。实际上,SHA-1是当前电子商务的行业标准[艺术技术]。但是,Ars Technica认为SHA-1可能已经过时,因此他们建议迁移到SHA-2或更复杂的SHA-1版本。



长话短说,早在1996年,受人尊敬的计算机科学家就一直建议不要使用南粤风采开奖结果,并且至少有一个计算机科学机构(CMU-SEI)在2008年明确拒绝了南粤风采开奖结果算法,但Comelec仍然聘用Smartmatic ,他使用的过时技术已被另一种过时技术取代。

Bigyan Ko Kayo ng比喻。 Parang ganito yan'eh。 Windows 10上的可修改性。Windows 7或8中的可修改性。Windows Vista中的可替换性。 Ganoon喀布尔。

我们菲律宾人应得的比这更好。 

对BBM vs Leni VP比赛的影响

简而言之,有可能访问Comelec数据库的某人创建两个文件-一个在BBM获胜而在Leni获胜的文件-导致相同的南粤风采开奖结果哈希。

西蒙·乌马克布(Simon Umacob)在他的Facebook笔记中已证明了这一点:“我用相同的南粤风采开奖结果哈希值制作了虚假的Comelec'结果文件”,其中乌马克布创建了两个图像-一个图像在BBM获胜而另一个在Leni获胜-生成相同的南粤风采开奖结果哈希代码[Umacob 2016]。

一些读者可能会辩解说,Umacob创建的图像文件与Comelec使用的图像文件类型不同(Comelec对每个泄漏的图像使用TXT文件)。但是,事实仍然是TXT文件比图像文件更简单,因此“哈希冲突”可能更易于实现。而且,Umacob用业余时间独自完成了这一切。将这并列于由IT专家组成的团队中,这些团队花费数月时间来生成模仿真实文件的假文件。

在这一点上,ThinkingPinoy认为Comelec-Smartmatic的安全问题已经超出了简单的Ñ争议。它已经变成了更大,更致命,更令人震惊的东西。

关于LP是否欺骗BBM不再是一个问题。取而代之的是,Comelec是否足够愚蠢地聘请使用过时技术的公司已经成为一个问题。

Leni的Hindi na BBM,在Ñang issuea。 Ang problema ay mas malaki。 Smartmatic的pupugak-pugak和teknolohiyang ibinebenta中的Bulok。 Sa kabila nito,Kinuha pa rin sila ng Comelec。期。

你喜欢这个帖子吗?帮助ThinkingPinoy.com保持发展!甚至低至50比索也将有很大帮助!