Sebagai ilustrasi penting tentang “faktor manusia”dalam keamanan siber, Asosiasi Internasional untuk Penelitian Kriptologi (IACR) telah membatalkan pemilihan kepemimpinannya pada tahun 2025. Sebagai penentu standar ilmu enkripsi, organisasi nirlaba global ini mengakui pada hari Jumat bahwa satu kunci pribadi yang hilang membuat penghitungan suara akhir tidak dapat diakses secara matematis.
Mengandalkan sistem pemungutan suara elektronik berbasis web Helios, proses ini memerlukan tiga pengawas independen untuk menggabungkan bagian kriptografi mereka untuk mendekripsi hasilnya. Karena protokol tersebut menuntut kebulatan suara dan bukan ambang batas redundansi, hilangnya salah satu kunci wali membuat dekripsi menjadi tidak mungkin dilakukan.
Para pejabat segera meluncurkan pemilu baru yang berlangsung hingga tanggal 20 Desember, kali ini mengadopsi mekanisme “2-dari-3″yang aman untuk mencegah terulangnya kebuntuan.
’Kesalahan Manusia’ yang Fatal
Meskipun terdapat prinsip matematika canggih yang mendasari organisasi ini, titik kegagalannya terbukti sangat analog. Dimaksudkan untuk memilih kepemimpinan baru bagi badan kriptologi, pemilu tahun 2025 berakhir dengan kebuntuan bukan karena peretasan atau bug perangkat lunak, melainkan karena kata sandi yang hilang.
Menurut pengumuman resmi, para pejabat mengonfirmasi bahwa salah satu dari tiga wali yang ditunjuk telah “kehilangan” kunci pribadi mereka yang tidak dapat diambil kembali, sebuah komponen penting untuk penghitungan terakhir. Tanpa bagian ketiga ini, suara terenkripsi akan tetap terkunci dalam kerahasiaan permanen.
Dalam pernyataannya, komite mengakui bahwa “Sayangnya, salah satu dari tiga wali telah kehilangan kunci pribadi mereka, sebuah kesalahan manusia yang jujur namun disayangkan, dan oleh karena itu tidak dapat menghitung bagian dekripsi mereka.”
Meskipun teks tersebut menekankan sifat kehilangan yang tidak disengaja, konsekuensinya mutlak: hasil pemilu secara teknis tidak mungkin diambil.
Setelah kesalahan tersebut, wali Moti Yung, seorang tokoh terkemuka di bidang ini yang berafiliasi dengan Google dan Universitas Columbia, telah mengundurkan diri dari jabatannya. Kepergiannya menunjukkan adanya pertaruhan besar bahkan dalam kriptografi administratif rutin.
Kerapuhan Sistemik: Cacat 3 dari 3
Di bawah aturan ketat protokol Helios, desain pemilu memprioritaskan privasi dibandingkan ketahanan. Menyoroti pilihan arsitektur penting dalam implementasi yang digunakan oleh IACR, kegagalan ini mengekspos risiko persyaratan kebulatan suara.
Sebagaimana dijelaskan dalam penjelasan IACR tentang kegagalan tersebut, pengaturan tersebut menuntut ketiga pihak untuk berbagi:
“Untuk pemilihan ini dan sesuai dengan anggaran rumah tangga IACR, ketiga anggota dari Komite Pemilu IACR 2025 bertindak sebagai pengawas independen, masing-masing memegang sebagian dari materi kunci kriptografi yang diperlukan untuk bersama-sama mendekripsi hasilnya.”[…] “Aspek desain Helios ini memastikan bahwa tidak ada dua wali yang dapat berkolusi untuk menentukan sendiri hasil pemilu atau isi suara individu: semua wali harus memberikan bagian dekripsi mereka.”
Dimaksudkan untuk mencegah kolusi, pendekatan “semua atau tidak sama sekali” ini memastikan tidak ada dua wali yang dapat mengintip suara tanpa yang ketiga. Namun, hal ini menciptakan satu titik kegagalan di mana kesalahan manusia dapat, dan memang, menghancurkan keseluruhan proses.
Bruce Schneier, seorang kriptografer terkenal dan rekan di Harvard Kennedy School, menulis dalam berkomentar kepada BBC bahwa kerentanan seperti itu melekat pada sistem yang dikelola oleh manusia. Ia mengamati: “Entah karena lupa kunci, membagikan kunci secara tidak benar, atau melakukan kesalahan lainnya, sistem kriptografi sering kali gagal karena alasan yang sangat manusiawi.”
Pada akhirnya, bahkan algoritme yang paling aman pun tidak dapat menjelaskan hilangnya kredensial. Schneier menambahkan, “Untuk memberikan keamanan sebenarnya, [sistem kriptografi] harus dioperasikan oleh manusia.”
Remediasi dan Jalan ke Depan
Mengatasi pengawasan operasional, IACR telah bergerak cepat untuk memulihkan integritas proses pemungutan suara. Menghadapi pemilu yang dibatalkan, organisasi ini segera memulai kembali prosesnya, dengan jadwal pemilu yang diperbarui yang berlangsung mulai 21 November hingga 20 Desember.
Dengan mempertahankan daftar kandidat dan daftar pemilih yang sama, pernyataan organisasi tersebut menguraikan bagaimana pemilu baru secara mendasar mengubah perlindungan kriptografi:
“Khususnya, kami akan mengadopsi mekanisme ambang batas 2 dari 3 untuk pengelolaan kunci pribadi, dan kami akan mengedarkan prosedur tertulis yang jelas untuk diikuti oleh semua wali sebelum dan selama pemilihan.”[…] “Setelah Moti Yung mengundurkan diri dari posisinya sebagai wali pemilu kali ini, ia akan digantikan oleh Michel Abdalla.”
Dengan bergabungnya Abdalla dengan wali lainnya untuk mengawasi pemilihan ulang, ambang batas yang lebih rendah memastikan bahwa hilangnya satu kunci tidak lagi menjadi bencana besar.
Pemilih yang sebelumnya memilih untuk tidak menerima pemberitahuan email menghadapi rintangan: mereka harus memilih kembali secara manual untuk menerima surat suara baru. Untuk memastikan partisipasi dalam pemungutan suara yang dijadwalkan ulang, IACR telah mendesak anggotanya untuk memverifikasi status mereka di halaman status wali.
