אבישי וול: הפתרון של מערכות בחירות אלקטרוניות eVoting בשיטה שפותחה בידי תהיל"ה – הגוף המרכזי שמספק שירותי גלישה מאובטחים למשרדי הממשלה,- מסכן את הדמוקרטיה. תגובת תהיל"ה: גם במדינות אחרות (כדוגמת בלגיה והודו) משתמשים בבחירות ממוחשבות כבר זמן ממושך
הפתרון של מערכות בחירות אלקטרוניות eVoting בשיטה שפותחה בידי תהיל"ה – הגוף המרכזי שמספק שירותי גלישה מאובטחים למשרדי הממשלה, מסכן את הדמוקרטיה. פתרון זה, המבוסס על טכנולוגית זיהוי באמצעות שידור רדיו (RFID) שאמור לפעול רק ממרחקים קצרים מאד של 5 סנטימטרים – קל מאוד לפריצה. כל האקר שירצה לשבש את הבחירות יוכל לעשות זאת ולקבוע למעשה את זהותם של מנהיגנו – במקומנו."טכנולוגית RFID לא משמשת לבחירות אלקטרוניות בשום מקום בעולם, ובהיבט של אבטחת מידע להיות חדשני זה מתכון לאסון, ולא מחמאה". כך אומר פרופ' אבישי וול, פרופסור להנדסת מחשבים בביה"ס להנדסה באוניברסיטת ת"א. וול, מציג בימים אלה בכנס IEEE-RFID 2010 באורלנדו, ניסויים שערך ובהם הצליחו הוא ותלמידי המחקר שלו יוסי אורן ודביר שירמן להדגים שלושה תסריטים לשיבוש ההצבעה.
The system is based on two components - the voting computer, and wireless smart cards that will be used as ballots. The voter receives a blank smart card, brings it closer to the reader of the voting computer, performs the selection action, and it is recorded on the card. He then passes the ticket to the ballot box. The election details are also stored in the voting computer. At the end of the day, the ballot box is opened, the tickets are retrieved from it and transferred again through wireless readers to be counted - this counting is mandatory, but if there is too great a gap between the voting computer and the manual counting, this may cause the ballot to be disqualified.
The smart card contains a wireless antenna, and a chip, which allows reading, writing and performing cryptographic calculations - for the purposes of encrypting the information. This is a sophisticated tag like in advanced credit cards, and not a simple RFID tag like for example the one affixed to perfume bottles in duty free.
"התסריט הראשון הוא השבתת מחשב ההצבעה באמצעות משדר הצורך אנרגיה נמוכה, למשל מצבר של רכב, בשיטה המכונה Jamming. למרות שהמחשב מיועד לקריאת כרטיסים ממרחק של עד 5 סנטימטרים הצלחנו להגיע במעבדה גם לשיבוש ממרחק של 2 מטרים, תוך שימוש בציוד של חובבי אלקטרוניקה. המודלים שלנו מנבאים שניתן להגיע גם למרחקים של 20-30 מטרים. במילים אחרות – להחנות רכב תמים מחוץ לבית הספר ולהשבית את הקלפיות הנמצאות בו."
"התסריט השני הוא פשוט הריסת הכרטיסים החכמים באמצעות Zapper – מצלמה חד פעמית פשוטה וזולה שהנורה שבה מוחלפת באנטנה לולאתית בגודל של 5 על 8 סנטימטרים . סוללת המצלמה מפיקה פולס אלקטרומגנטי (EMP) במתח גבוה לפרק זמן קצר. פולס כזה המוגבר באמצעות האנטנה שורף את כל הכרטיסים החכמים שבסביבה – גם ריקים וגם כאלה שכוללים הצבעה. מכיוון שמערכת הבחירות בנויה לשמור על צנעת הפרט ולכן אינה שומרת את פרטי המצביע, אי אפשר יהיה לדעת מי המצביע שגרם לשיבוש. הפעלת המתקן ליד תיבת הקלפי תגרום לשיבוש כל הכרטיסים שבתוכה, ולפסילת הקלפי. הפעולה גם שקולה לשריפה של הקלפי, רק בלי עשן ובלי אש ובלי להותיר עקבות."
התסריט השלישי הוא המסוכן ביותר משום שהוא מאפשר לא רק להרוס כרטיסים חכמים אלא גם לגרום למחשב לרשום הצבעה למפלגה אחת כהצבעה למפלגה אחרת. פרופ' וול מכנה זאת Relay Attack או "התקפת חוט מאריך". המחשב מניח שהכרטיס שהוא קורא הוא של האדם שנמצא לידו, אך ניתן לבנות מערכת שתגרום לו לקרוא באמת כרטיס אחר של בוחר שכבר הצביע, הנמצא למשל בתוך תיבת ההצבעה. התקפה כזו עשויה למשל להעביר קולות ממפלגה למפלגה, לכבות הצבעות למפלגה מסוימת באמצעות הפיכת את כל הכרטיסים שהצביעו לאותה מפלגה לכרטיסים ריקים שמשמעם פתקים לבנים שהקולות שלהם פסולים ועוד. גם את התקפה זו ניתן לבנות בציוד חובבים זול.
חולשה נוספת של המערכת היא שההשוואה של הספירות היא בין מחשב אחד למחשב שני, ואין למשל הדפסה ידנית של ההצבעות שתשמש להוכחה להצבעות האמיתיות למקרה של בירור (paper Trail). "נצטרך להאמין למחשב במקרה של תקלה ולהשאר עם תוצאות שגויות, גם אם הן בלתי הגיוניות." לדברי פרופ' וול, ישראל צריכה ללמוד מהנסיון בארה"ב שבה נערכות בחירות אלקטרוניות מאז שנת 2000, ולאמץ כמה מהתיקונים שנעשו שם במדינות רבות לאור הנסיון, ובמיוחד בתחום ה- Paper Trail.
המלצתו של פרופ' וול היא לא לאמץ את המערכת – שמלבד הבעיתיות מבחינת אבטחת המידע היא גם מאוד יקרה ולא משתלמת מבחינה כלכלית במדינה קטנה כמו ישראל, שבה ניתן לסיים את כל הליך ספירת הקולות בתוך מספר שעות ב"טכנולוגית הנייר" הנוכחית. אם כן תאומץ השיטה, יש לפחות להוסיף לה מנגנוני הגנה מפני שיבושים, ובראש ובראשונה – לצפות את תיבת הקלפי מכל צדדיה בחומר מסכך, כמו נייר אלומיניום, שלא יאפשר לקרינה אלקטרו-מגנטית מבחוץ לקרוא את הכרטיסים או לכתוב על הכרטיסים.
במאמרו של פרופ' וול עולות מספר טענות, להלן התייחסותנו לטענותיו;
1 . Disruption through blocking
The claim is that it is possible to remotely disrupt the communication between the cards and the card readers installed at the voting stations. This communication is done through an electromagnetic field produced by the reader. This field is used both for supplying energy to the smart card (which does not have an independent battery) and for communication between the card and the reader. We will not bore you with complex explanations, but we will only say that the significant component in this communication is the magnetic component and not the electrical component.
To disrupt such communication, three conditions are required:
A. Most of the energy in the blocker's radiation is magnetic.
B. The blocker's antenna should be in a defined spatial position in front of the reader's antenna. If this condition is not met, enormous energy is required to disrupt the communication.
third. Even in an ideal situation of the antenna blocking in front of the reader, very strong energy is required to disrupt in practice. A magnetic field weakens very quickly as the distance increases (third power of the distance).
Such disruption must be discovered immediately and is tantamount to trying to disrupt the elections by setting the ballot box on fire, meaning it cannot be secret as the article implies.
Very similar chips are used today for electronic passports, which are currently issued by more than a hundred countries. The International Civil Aviation Organization (ICAO), which is the standardizing body for passports, has made attempts to disrupt RFID readers at airports. The organization concluded that this was impractical. First, a tiny distance is required between the blocker and the reader to succeed in jamming, and secondly, enormous energy is required.
2. Demolition of tickets remotely
As far as we know, the respected researchers did not claim to have actually done this, but relied on publications by German hackers who claimed to have succeeded in disabling RFID tags in supermarkets in this way. When it comes to RFID tags it is important to remember that it is not a single type. It is certainly possible to disable certain tags, which are used to mark products in the retail world, in the manner described in the article. On the other hand, the cards in question are something completely different. Each such card is resistant to pulses of thousands of volts through protections built into the chip hardware inside. To cause a pulse with a power that would damage the card, a simple device like the one described in the article (a device based on a camera flash) is not enough. Here, too, the antenna of that device is required to be very close to the card and in a very specific spatial position relative to it, otherwise such demolition cannot be carried out.
The protection of those chips stems from a completely different practical need - protection against static electricity. We all know the phenomenon of electric shock when touching a car, especially on dry days. The need to hold the smart card in the hand and insert it into the reader requires that it be designed in advance against the discharge of static electricity, hence the need for protection.
If the researchers mentioned in the article did manage to destroy a card of a similar type to the one used in the election system, we would be happy to know about it and receive all the details. If such a demonstration was not carried out in practice - it is appropriate to say so explicitly, for the sake of intellectual honesty.
3 . relay attack ("חוט מאריך")
This attack is based on equipment that can simulate a card on one side and a reader on the other. The claim is that by means of such equipment it is possible to link a card that has already been inserted into the ballot box and the voting stations, and then change the vote recorded on it.
Apparently this is possible, but in practice the reality is completely different.
The main factor that absolutely prevents such an attack is a pre-installed feature in the system. This feature prevents an already voted card from changing its contents after leaving the voting station. This feature was probably unknown to the researchers and therefore mistakenly believed that such an attack could be made.
Furthermore, even without this feature it is impractical to carry out such an attack. When there are several cards in the ballot box, it is not possible to isolate a particular card and communicate only with it. In fact, it is not possible to communicate with the cards at all when their number exceeds four.
כאן נכנס גורם נוסף למשוואה. בניגוד לשיבוש באמצעות חסימה כאן נדרשת תקשורת תקינה בין הכרטיס לקורא התוקף. כדי להפעיל כרטיס מטווח של 35 ס"מ נדרש הספק אדיר (לפחות כמה מאות וואטים), ובעיקר נדרשת אנטנה גדולה, הנמצאת במצב מקביל לכרטיס. קשה לדמיין מצב בו תוקף כלשהו יכול לבצע זאת במציאות.
4 . paper trail ("עקבות נייר")
לגבי השימוש ב"עקבות נייר" התקיימו דיונים רבים במהלך פיתוח המערכת, הן דיונים פנימיים והן דיונים עם משרד המשפטים שהיה שותף מלא לתהליך.
המסקנה החד משמעית מאותם דיונים הייתה שמדובר בהחלט בעיקרון יפה ברמה התיאורטית אך אין כרגע דרך מעשית לממש זאת, תוך התחשבות בכלל העקרונות המנחים את פיתוח המערכת, ובפרט בעיקרון חשאיות הבחירות. חשוב להדגיש שאיננו שוללים "עקבות נייר" אך אנו טוענים שמימוש סביר של "עקבות נייר" מחייב הקרבה של תחומים אחרים, כגון חשאיות.
שילוב של "עקבות נייר" רק יוסיף עומס לוגיסטי לא סביר ויפתח פתח למניפולציות על מערכת ההצבעה. רק לצורך הדוגמה, אם יש מדפסת נייר רציף הרי שסדר ההדפסות מסגיר את מה שהצביע כל אזרח, ודי לרשום את סדר ההגעה של האזרחים לקלפי כדי לחסל לחלוטין את החשאיות. האמינות הנמוכה של המדפסות יוצרת גם את הצורך בתחזוקה. בהתאם לכך יש צורך בגישה של אנשי התחזוקה למדפסות במהלך יום הבחירות, דבר המעלה את הסיכון של תקיפת המערכת.
הויכוח על הצורך ב"עקבות נייר" במערכות בחירות הוא ויכוח ישן, וקשה להסביר את הדעות השונות מבלי להיכנס לדיון ארוך מאד על מערכות כאלה. בדרך כלל מביאים כדוגמה את הבחירות בארה"ב אך חשוב לזכור שמדובר בבחירות אחרות לגמרי, שלא ניתן להקיש מהן לגבי הבחירות בישראל. בארה"ב בוחרים בעלי תפקידים רבים (שריף, שופטים, תובע מחוזי, מושל ועוד), ושם משמש הנייר המודפס כחלק מהליך הבחירה, ומחוסר ברירה.
We will also mention that other countries (such as Belgium and India) have been using computerized elections for a long time, and without paper trails. An interesting curiosity: in Belgium, computerized elections have been used since 1991.
ב-2003 שולב במערכת הממוחשבת של בלגיה מנגנון של "עקבות נייר" אך זה הוסר ב-2004 לאחר שהם הגיעו למסקנה שאיננו נחוץ ומייצר יותר בעיות מהתועלת שבו.
5. the cost of the system
The sensitivity to the cost of the system was one of its main design considerations. During the development stages, a relatively expensive smart card was selected, but one that has great flexibility. Such a card is good for the development period, when lack of acknowledgments is high. For the final system, a very cheap smart card can be used, which can be recycled for the following election systems, without additional cost and above all without the risk of revealing the previous vote on it.
As mentioned, this issue was taken into account during the development and all the cipher mechanisms chosen are such that will not require the use of expensive smart cards, starting from that stage when there is certainty about the features and function required of the cards.
6. Is the implementation of the law guaranteed for an available government project or is it expected to be tendered?
An available administration, at the request of the Ministry of the Interior and in coordination with the Ministry of Justice, established the solution and was ready to run a pilot in the local authority elections in early 2009. This pilot, as I recall, did not take place due to delays in the legislative processes.
Following the pilot, a long and thorough process of learning lessons was planned. As part of the process of drawing lessons, the question of activation was supposed to be examined, including the possibility of activating the election system through franchisees selected in a tender.
תגובת פרופ' וול על התגובה של ממשל זמין
תגובות "ממשל זמין" למחקרנו חוזרות על הערות שקיבלנו מהם בעבר, ויש בהן אי דיוקים משמעותיים. להלן תגובותינו לטענות אחת לאחת:
- 1. Disruption through blocking: We have already implemented an actual blocking of card-reader communication from a distance of about 2 meters. We are conducting more experiments and the range will increase.
- פירוט טכני של ההתקפה: בינתיים השתמשנו בהספק שידור של 1 וואט, עם אנטנה ניידת בקוטר 40ס"מ עשויה מצינור נחושת של גז בישול. הספק זעיר שכזה אפשר לקבל גם מחיבור ה-USB של מחשב נייד. מודלים ממוחשבים מדויקים חוזים אפשרות לשיבוש גם ממרחק של 20-50 מטר עם אנטנה גדולה יותר והספק של וואטים בודדים (זמין ממצבר של רכב).
- הסבר מדעי: הטיעון כי שיבוש חייב להיות מבוסס על שדה מגנטי חזק (ולכן יכול לפעול רק מטווח קצר ומצריך אנרגיח מרובה) – שגוי. שדה מגנטי חזק נחוץ רק כדי להפעיל את מעגלי הכרטיס – זה לא רלוונטי לצורך חסימה שפועלת כנגד הקורא. המשבש שלנו משדר אות רדיו (RF) בתדר של אונת הצד העליונה של איפנון ה-load modulation (14.4075MHz) וחוסם בזאת את מעגל הקליטה בקורא. תדרי רדיו כאלה בתחום הת"ג (תדר גבוה) משמשים גם חובבי רדיו וטווח השידור מגיע למאות או אלפי קילומטרים.
- 2. "ICAO גוף התקינה לדרכונים … הגיע למסקנה שזה איננו מעשי": (א) ההתקפה מעשית לגמרי ובוצעה בפועל – ראה 1. (ב) בכריכת דרכונים אמריקאיים משולב סיכוך חשמלי (סיבים מתכתיים) להגנה בפני התקפות, בין היתר בזכות מחקר קודם של קבוצתי. דרכונים אירופאיים ללא סיכוך הודגמו כחשופים מאד להתקפה בכנס USENIX האחרון.
- 3. Demolition of tickets:
- (a) We definitely built a zapper and even used it to destroy a JCOP card of the type planned for the Israeli elections - and filmed the process.
- (b) In the coming days we will upload a blue-and-white video demonstrating how we destroy the card.
- (c) Our zapper, as well as those of hackers in the world, works well against Contactless Smartcards from the ISO14443 family (and not against UHF tags in supermarkets as claimed). See YouTube video in the attached link.
- 4. התקפת חוט מאריך: "תכונה שהוכנסה מראש למערכת … מונעת מכרטיס שכבר נרשמה עליו הצבעה לשנות את תוכנו":
- (a) The Law on Elections and Characterization of the System allows a voter to change his vote an unlimited number of times and the system is supposed to support this.
- (b) The feature in question is not mentioned in the characterization document. Therefore, it is not clear what exactly it blocks and how exactly it works.
- (c) Since the feature is not in the specification document, it is not at all clear whether it will appear in the final realization of the franchise company.
- (ד) בהחלט יתכן שמנגנון הגנה שכזה, באם הוא אכן קיים, יכול לשמש בעצמו לשיבוש וחסימה (למשל ע"י התעיית המערכת לחשוב כי כבר נרשמה הצבעה)
- (ה) אם "תהילה" יעמידו לרשותנו אבטיפוס של מערכת הצבעה נוכל לנסות ולחוות דעה.
- 5. התקפת חוט מאריך: "כאשר יש בתיבת הקלפי מספר כרטיסים לא ניתן לבודד כרטיס מסוים … כאשר מספרם עולה על ארבעה" . זו כנראה מגבלה הנדסית של הציוד של תהיל"ה. מנגנון הanticollision של תקן ISO14443-2 כן מאפשר לבודד כרטיס אחד, גם מתוך מאות – כלומר הכרטיסים יגיבו. ציוד חתרני שנבנה כדי לממש התקפת חוט מאריך לא יהיה כבול למגבלות ההנדסיות של ציוד הלגיטימי.
- 6. התקפת חוט מאריך: "כדי להפעיל כרטיס מטווח של 35 ס"מ נדרש הספק אדיר (לפחות כמה מאות וואטים)" – לא נכון. תלמידי אילן קירשנבאום בנה בציוד חובבים אנטנה, והפעיל כרטיס תקני מטווח של 25ס"מ בהספק של וואט אחד. המערכת הופעלה ע"י סוללת 12וולט של מערכת אזעקה ביתית. ראה קישור למאמר וקישור לצילומי האנטנה.
- 7. עלות המערכת: אין לנו מידע אמיתי לא על עלות הבחירות כיום (ב"טכנולוגיית" פתקים ומעטפות) וגם לא של המערכת המוצעת. אבל חשבון גס מאד שכולל את מחיר הכרטיסים (כ-$10 לכרטיס) כפול כמה מיליוני בעלי זכות בחירה, עלות הציוד הקורא (נניח $5000 לעמדת קלפי) כפול כמה אלפי קלפיות, בתוספת עלות הפיתוח ורווח לחברה הזכיינית, מצריך בקלות תקציב של חמישים עד מאה מליון דולר. הכסף הזה מחליף רק את עלות הפתקים והמעטפות – ולא את עלות התפעול של יום הבחירות. במאה מליון דולר אפשר לקנות פתקים להרבה מאד מערכות בחירות!
Links:
• Our demolition video (blue and white), an extension cord attack, a photo of the gas pipeline antenna, and letters to the American government that influenced the design of the electronic passports:
• A YouTube video (German) demonstrating building a zapper from a disposable camera and destroying Contactless Smartcards:
• Kirschenbaum's article-How to build a low-cost, extended-range RFID skimmer:
Sincerely,
links:
Prof. Wall's home page
Research results on RFID
The technical article on the election system in Israel
Y. Oren and A. Wool. RFID-based electronic voting: What could possibly go wrong?
In IEEE International Conference on RFID, Orlando, FL, April 2010
Comments
I don't understand why you need an entire card industry to trade,
Instead of millions of disposable plastic cards why not put a keyboard or a screen or something.
חלק מההתקדמות היא לא לעשות דברים נכון, לא רק בגלל שהם 'דומים' לדרך שעשינו אותם עדי עכשיו (למשל לשלשל משהו לתוך מעטפה).
A computer that counts and that's it, you can program an interface that can't be hacked
Beyond the technical debate, it seems to me that it is a mistake to act against the computerization of the polling stations on the grounds of financial cost. The cost of computing is decreasing, and the real cost of today's playing cards is the huge amount of counterfeiting that occurs in them. I don't know of a practical scenario in which thousands of dead in the ultra-orthodox sector will continue to vote in a computerized ballot. Confidence in the clean results of the elections cannot be quantified in money.
Regarding the video of the card demolition:
גם הסרטון הכחול-לבן, וגם זה הגרמני מדגימים הריסת כרטיס ע"י אנטנה שיוצרת שטף מגנטי מאונך exactly לאנטנה של הכרטיס, מטווח 0. זה קצת לא הוגן. להדגמה הזאת היה יותר ערך לו היא היתה מתבצעת לפחות ממרחק של 40 ס"מ, בזוית של 10 מעלות בין האנטנות (אני לא מדבר על 45 או 90, אבל 10 זה סביר, זה יהרוס נגיד 10-20 אחוז מהכרטיסים, מה שיגרום לפסילת הקלפי).
The biggest danger is in the computers that count the results. Installing a chip that does an action in favor of a certain party only on a certain date and at a certain time cannot be detected and is the danger. A very small number of people can covertly rig the election.
For the computer the Knesset not the elections.
To develop management software that does not have an option to accept a bribe in the specification document.
This camera is interesting. Where can I find instructions on how to assemble one? And where to buy or how to make a loop antenna? The whole subject of EMP is interesting.