瑞士電子投票系統漏洞可能遭竄改票數

研究人員發現，瑞士準備推行的電子投票系統有漏洞，可能讓駭客竄改選票數字。

這是瑞士郵政總局（SwissPost）將西班牙廠商Scytl為其開發的電子投票系統徵求外界協助滲透測試的結果之一。一組來自澳洲、瑞士及比利時研究人員的團隊發現，該電子投票系統用於確保選票數完整性的系統防護不足，以致於能接觸投票系統的有心人士得以竄改選票數字。

研究人員解釋，SwissPost/Scytl系統使用的Mixnet需要獨立產生可驗證的隨機commitment參數，以確保選票數的全體可驗證性(Universal Verifiability)。但是目前系統的程式碼並未能以可驗證的方式隨機產生這類參數，以致於無法保證計票過程的完整性。也就是說，任何擁有Mixnet伺服器管理或存取權的人可能操弄選票結果而不被察覺。

這樁發現也有個插曲。研究團隊並未來得及參加瑞士郵政總局於二月底舉行的抓漏大賽，但是卻逕自以主辦方公佈於GitLab上的程式碼研究後，並透過團隊成員之一「開放隱私研究協會」主任Sarah Jamie Lewis於推特公佈漏洞。

這個行為遭到負責開發電子系統的Scytl團隊批評為「對加密法有誤解的研究結果」。

不過Scytl公司表示已經更新系統程式碼，並改口對研究人員表示感謝。他們也強調目前這套電子系統並未用於瑞士境內的所有選舉。而現有瑞士數州使用的電子投票系統也未受影響。