Anulación de Resultados Electorales por Pérdida de Clave
Una destacada organización de seguridad a nivel mundial se ha visto obligada a anular los resultados de su elección anual de liderazgo. La razón detrás de esta decisión es la pérdida, por parte de un miembro oficial, de una clave de cifrado esencial para desbloquear los resultados almacenados en un sistema de votación verificable y que preserva la privacidad.
La Asociación Internacional para la Investigación Criptológica (IACR, por sus siglas en inglés) anunció que las votaciones fueron realizadas y contabilizadas utilizando Helios, un sistema de votación de código abierto. Helios emplea criptografía revisada por pares para asegurar que el proceso de votación y conteo sea verificable, confidencial y que preserve la privacidad de los votantes. Este sistema cifra cada voto de manera que garantiza el secreto del mismo. Además, la criptografía utilizada permite a cada votante confirmar que su voto fue contabilizado de manera justa.
Un Error Humano “Honesto Pero Desafortunado”
Según los estatutos de la asociación, tres miembros del comité electoral actúan como fideicomisarios independientes. Para evitar que dos de ellos puedan manipular los resultados, cada fideicomisario posee un tercio del material de la clave criptográfica necesaria para descifrar los resultados.
“Desafortunadamente, uno de los tres fideicomisarios ha perdido de forma irrecuperable su clave privada, un error humano honesto pero desafortunado, y por lo tanto no puede calcular su parte del descifrado”, declaró la IACR. “Como resultado, Helios no puede completar el proceso de descifrado, y es técnicamente imposible para nosotros obtener o verificar el resultado final de esta elección”.
Para prevenir incidentes similares en el futuro, la IACR adoptará un nuevo mecanismo para la gestión de las claves privadas. En lugar de requerir las tres partes del material de la clave privada, las elecciones ahora solo requerirán dos. Moti Yung, el fideicomisario que no pudo proporcionar su tercio del material de la clave, ha renunciado a su cargo. Será reemplazado por Michel Abdalla.
La IACR es una organización científica sin fines de lucro dedicada a la investigación en criptología y campos relacionados. La criptología es la ciencia y la práctica de diseñar sistemas de computación y comunicación que permanezcan seguros ante la presencia de adversarios. La asociación está llevando a cabo una nueva elección, que comenzó y se extenderá hasta el 20 de diciembre.
Sobre el Autor
Dan Goodin es el Editor Senior de Seguridad en Ars Technica, donde supervisa la cobertura de malware, espionaje informático, botnets, hacking de hardware, cifrado y contraseñas.
Contexto
La criptografía juega un papel crucial en la seguridad de la información y la verificación de procesos, incluyendo las elecciones. Sistemas como Helios buscan garantizar la transparencia y la privacidad en la votación, pero dependen de la correcta gestión de las claves criptográficas. Un fallo en este aspecto puede tener consecuencias significativas, como la anulación de una elección.
Este incidente subraya la importancia de los protocolos de seguridad robustos y la necesidad de redundancia en la gestión de claves. También pone de manifiesto que, incluso con tecnología avanzada, el factor humano sigue siendo un punto crítico en la seguridad de cualquier sistema.
Claves y próximos pasos
- La pérdida de una clave de cifrado esencial ha impedido el descifrado de los resultados electorales.
- La IACR implementará un nuevo mecanismo para la gestión de claves privadas, requiriendo solo dos de tres partes para el descifrado.
- Se espera que la nueva elección, ya en curso, se desarrolle sin contratiempos gracias a las medidas adoptadas.
FAQ
¿Cómo me afecta? Este incidente resalta la importancia de la seguridad en los sistemas de votación y la necesidad de protocolos robustos para proteger la integridad de los procesos electorales.
¿Qué mirar a partir de ahora? Estar atento a la implementación del nuevo sistema de gestión de claves y al desarrollo de la nueva elección para asegurar su transparencia y seguridad.
Fuente original: ver aquí