Cyberthreat.id – Seorang peneliti keamanan asal Prancis menemukan kerentanan kritis dalam sistem e-voting berbasis blockchain yang akan diterapkan dalam Pemilu Dewan Kota Moskow pada 8 September 2019.

Pierrick Gaudry, peneliti INRIA, lembaga penelitian Prancis untuk ilmu digital, mengatakan, bahwa dirinya bisa menebak kunci personal sistem e-voting  berdasarkan kunci publik yang dimilikinya.

Gaudry menilai skema enkripsi ElGamal yang dipakai terlalu lemah sehingga hacker dapat memecahkan skema enkripsi dalam beberapa menit.

"Skema enkripsi dapat dipecahkan dalam waktu sekitar 20 menit menggunakan komputer pribadi standar, dan hanya menggunakan perangkat lunak gratis yang tersedia umum," kata Gaudry seperti dikutip dari ZDNet, yang diakses Rabu (21 Agustus 2019).

"Setelah (kunci personal) tersebut diketahui, data yang terenkripsi apa pun dapat didekripsi secepatnya," ia menambahkan.

Ia mengaku belum mengetahui apa yang bisa dilakukan hacker dengan kondisi kunci enkripsi terbuka seperti itu. Karena protokol sistem e-voting belum tersedia dalam bahasa Inggris, Gaudry mengaku tidak bisa menyelidiki lebih lanjut.

"Tanpa membaca protokol, sulit untuk mengatakan dengan tepat konsekuensinya seperti apa,” tutur pengajar di Lorraine University itu.

Meski skema enkripsi yang lemah ini digunakan untuk mengamankan surat suara, tidak jelas seberapa mudah bagi hacker memanipulasi surat suara.

Namun, skenario terburuk, menurut dia, bisa saja surat suara itu dipublikasikan segera setelah pemilih kelar mencobolos.

---

Berita Terkait:

• Moskow Pakai E-Voting Berbasis Blockchain, Begini Teknisnya
• Moskow Uji Coba E-Voting Jarak Jauh Pakai Smartphone

---

Sistem e-voting berbasis blockchain ini pertama kali diadakan di Moskow. Sistem dikembangkan oleh Departemen Teknologi Informasi Moskow dan bekerja dalam sistem “smart contract” (kontrak pintar) blockchain buatan Ethereum, yang dinilai paling baik di antara ribuan koin digital saat ini.

Pemilu Dewan Kota Moskow diadakan pada 8 September dan akan berlangsung selama 12 jam. Penduduk yang telah masuk daftar pemilih tetap akan memilih melalui internet dengan smartphone atau komputer di rumah dan suara coblosan itu direkam secara kriptografi di blockchain Ethereum publik. Pemilih juga dapat memilih di TPS-TPS yang telah disediakan.

Gaudry mengatakan, bisa menguji sistem e-voting itu karena pejabat Moskow menerbitkan sumber kodenya di GitHub, pada Juli lalu dan meminta peneliti keamanan untuk menemukan celah keamanannya.

Menyusul penemuan itu, Departemen Teknologi Informasi Moskow berjanji untuk memperbaiki masalah yang dilaporkan tersebut, yaitu terkait dengan penggunaan kunci pribadi yang lemah.

"Kami benar-benar setuju bahwa panjang kunci pribadi enkripsi 256x3 bit yang tidak cukup aman," kata seorang juru bicara kepada ZDNet.

"Implementasi tersebut hanya digunakan dalam masa percobaan. Dalam beberapa hari ini, panjang kunci akan diubah menjadi 1024 bit."

Namun, kunci publik dengan panjang 1024 bit mungkin tidak cukup, menurut Gaudry. Ia menyarankan agar pemerintah Moskow menggunakan setidaknya 2048 bit sebagai gantinya.

Sementara itu, Chris Roberts, Kepala Strategi Keamanan di Attivo Networks, juga mempertanyakan mengapa desainer sistem e-voting blockchain tersebut terlalu lemah.

"Apakah itu kurangnya pengetahuan dan pemahaman? Atau hanya mencari untuk memaksimalkan kecepatan dan efisiensi atau sesuatu yang lain," kata Roberts.

Namun, dengan sikap pemerintah Moskow memberikan publik menguji sistem, menurut dia, itu adalah keputusan yang baik. "Sehingga orang lain meneliti dan kemudian membantu mengamankannya," ujar dia.

Pemerintah Kota Moskow berencana memberikan hadiah atas temuan itu, yang menurut situs berita Rusia Meduza  lebih dari US$ 15.000 atau sekitar Rp 213,52 juta.

Namun, sebelumnya Pemkot Moskow sempat mengeluarkan pengumuman hadiah US$ 22.500 atau sekitar Rp 320 juta.