Blockchain: la piattaforma di voto pensata per Mosca è un colabrodo e non è affatto sicura

Non sono passati neanche un paio di giorni da quando, proprio su questo sito, abbiamo lodato l’intraprendenza della Russia e del sistema di voto pensato per dare la possibilità ai moscoviti di esprimersi su alcune questioni importanti per la città (incluse le elezioni comunali) che la pubblicazione di una ricerca indipendente ci obbliga a fare precipitosamente marcia indietro. La cosa, inevitabilmente, ha dei risvolti politici e conoscendo molto bene il livello del dibattito italiano so bene che questa notizia verrà spacciata da una parte dell’opinione pubblica come la solita “russofobia” occidentale; vorrei però che i nostri lettori si fidassero di quanto leggeranno da qui in avanti ed evitassero di cedere ad inutili fantasie complottiste. Secondo quanto riporta una ricerca indipendente la piattaforma di voto blockchain pensata per Mosca è fin troppo facile da hackerare; a pubblicare questo report è stato Pierrick Gaudry, attualmente ricercatore presso l’istituto scientifico governativo francese CNRS, che ha esaminato la piattaforma di voto giungendo a conclusioni abbastanza raccapriccianti. Nell’articolo di Gaudry, infatti, si può leggere che:

La piattaforma è completamente insicura, può essere bucata in circa 20 minuti usando un banale personal computer e utilizzando solo software gratuito disponibile online. Più nello specifico è possibile calcolare le chiavi private dalle chiavi pubbliche e, una volta che queste sono note, tutti i dati crittografati possono essere decifrati con la stessa rapidità con cui vengono creati”

Il problema, chiaramente, non dipende dal codice ethereum utilizzato per creare la piattaforma ma dal fatto che i russi avrebbero scelto di usare una variante del sistema crittografico pensato da ElGamal, ricercatore statunitense di origini egiziane che propose questo sistema di cifratura a chiave pubblica nel lontano 1985, che utilizza però chiavi lunghe meno di 256 bit e, pertanto, non può in alcun modo essere considerato sicuro. Come detto in apertura di questo articolo è importante non cadere nelle solite bagatelle da due soldi che caratterizzano il dibattito politico italiano cedendo alla tentazione di screditare il lavoro di Gaudry solo in virtù del suo lavoro presso le istituzioni francesi; il ricercatore, infatti, si è premurato immediatamente di contattare il team del Dipartimento di Tecnologia dell’Informazione di Mosca per comunicare le sue conclusioni e sono stati proprio i russi a riconoscere che le chiavi crittografiche impiegate dalla piattaforma non possono essere considerate, allo stato attuale delle cose, sufficientemente sicure, promettendo inoltre che presto sarebbero state aggiornate a 1.024 bit. Resta da capire per quale motivo i russi si siano orientati a un sistema di cifratura pensato più di 30 anni fa invece che orientarsi a soluzioni più moderne e la cui sicurezza è già ampiamente testata; difficile vedere in questo un errore in buona fede, quasi impossibile a meno di non partire dal presupposto che gli sviluppatori russi siano stupidi, cosa che non è assolutamente proponibile dal momento che sono comunemente riconosciuti tra i più abili e capaci in circolazione. L’alternativa che rimane, quindi, è francamente inquietante e ci obbliga a considerare la possibilità che la piattaforma sia stata pensata volutamente così, per consentire alle autorità di risalire a come votano i cittadini; non è infatti chiaro se, a seguito dei limiti emersi, sia possibile alterare l’esito del voto sfruttando le falle nella piattaforma, ma è invece certo che sarebbe possibile risalire a come ogni singola persona ha votato. Potremmo quindi dire, per concludere, che la blockchain è sicura a patto solo che i governi se ne tengano lontani; chiaramente la tentazione di costruire piattaforme che possano essere manipolate dal governo centrale è abbastanza forte, tuttavia è abbastanza improponibile pensare di poter giocare un tiro mancino del genere senza che nessuno se ne accorga. Il mondo è pieno di sviluppatori indipendenti che hanno tutto l’interesse a dimostrare le loro competenze facendo emergere questo tipo di falle, per cui che i governi provino a truffare i loro popoli tentando di manipolare la tecnologia blockchain a proprio vantaggio è cosa che non stupisce più di tanto, il fatto che quegli stessi governi s’illudano di poterla fare franca dimostra solo la loro inadeguatezza.