Trong một minh họa đáng chú ý về “yếu tố con người” trong an ninh mạng, Hiệp hội Nghiên cứu Mật mã Quốc tế (IACR) đã hủy bỏ cuộc bầu cử lãnh đạo năm 2025. Với tư cách là tổ chức đặt ra tiêu chuẩn cho khoa học mã hóa, tổ chức phi lợi nhuận toàn cầu đã thừa nhận hôm thứ Sáu rằng một khóa riêng bị mất khiến kết quả kiểm phiếu cuối cùng không thể truy cập được về mặt toán học.
Dựa vào hệ thống bỏ phiếu điện tử của Helios, quá trình này yêu cầu ba ủy viên độc lập kết hợp các chia sẻ mật mã của họ để giải mã kết quả. Bởi vì giao thức yêu cầu sự nhất trí thay vì ngưỡng dự phòng nên việc mất khóa của một người được ủy thác khiến việc giải mã không thể thực hiện được.
Các quan chức đã ngay lập tức phát động một cuộc bầu cử mới kéo dài đến ngày 20 tháng 12, lần này áp dụng cơ chế”2 trong 3″an toàn để ngăn chặn tình trạng bế tắc tái diễn.
Một’Sai lầm chết người’
Mặc dù các nguyên tắc toán học phức tạp làm nền tảng cho tổ chức, điểm thất bại tỏ ra hoàn toàn tương tự. Với mục đích chọn ra ban lãnh đạo mới cho cơ quan mật mã, cuộc bầu cử năm 2025 đã kết thúc trong bế tắc không phải do hack hay lỗi phần mềm mà đơn giản là do mất mật khẩu.
Theo thông báo chính thức, các quan chức xác nhận rằng một trong ba người được ủy thác được chỉ định”đã bị mất”khóa riêng của họ một cách không thể cứu vãn được, một thành phần thiết yếu cho trận chung kết kiểm đếm. Nếu không có phần chia sẻ thứ ba này, các phiếu bầu được mã hóa vẫn bị khóa ở trạng thái bí mật vĩnh viễn.
Trong tuyên bố của mình, ủy ban thừa nhận rằng “Thật không may, một trong ba người được ủy thác đã đánh mất khóa riêng của họ một cách không thể cứu vãn được, một sai sót đáng tiếc nhưng đáng tiếc của con người và do đó không thể tính toán phần giải mã của họ.”
Mặc dù văn bản nhấn mạnh tính chất ngẫu nhiên của sự mất mát, nhưng hậu quả là tuyệt đối: về mặt kỹ thuật thì không thể lấy lại kết quả bầu cử.
Sau lỗi, người được ủy thác Moti Yung, một nhân vật nổi bật trong lĩnh vực này có liên kết tại Google và Đại học Columbia, đã từ chức. Sự ra đi của ông cho thấy rủi ro cao liên quan ngay cả đến mật mã hành chính thông thường.
Tính mong manh của hệ thống: Lỗ hổng 3 trên 3
Theo các quy tắc nghiêm ngặt của giao thức Helios, thiết kế của cuộc bầu cử ưu tiên quyền riêng tư hơn là khả năng phục hồi. Làm nổi bật một lựa chọn kiến trúc quan trọng trong quá trình triển khai mà IACR sử dụng, sự thất bại làm lộ ra rủi ro của các yêu cầu nhất trí.
Như được nêu chi tiết trong lời giải thích của IACR về sự thất bại, cơ cấu yêu cầu cả ba cổ phần:
“Đối với cuộc bầu cử này và theo các quy định của IACR, ba thành viên của IACR Ủy ban bầu cử IACR 2025 hoạt động như những người được ủy thác độc lập, mỗi người nắm giữ một phần tài liệu khóa mật mã cần thiết để cùng nhau giải mã kết quả.” […] “Khía cạnh thiết kế này của Helios đảm bảo rằng không có hai người được ủy thác nào có thể thông đồng để tự mình xác định kết quả của một cuộc bầu cử hoặc nội dung của các phiếu bầu riêng lẻ: tất cả những người được ủy thác phải cung cấp phần giải mã của họ.”
Nhằm mục đích ngăn chặn sự thông đồng, cách tiếp cận”tất cả hoặc không có gì”này đảm bảo không có hai người được ủy thác nào có thể xem trộm phiếu bầu mà không có người thứ ba. Tuy nhiên, nó đã tạo ra một điểm thất bại duy nhất là lỗi của con người có thể và đã phá hủy toàn bộ quá trình.
Bruce Schneier, một nhà mật mã học nổi tiếng và là thành viên tại Trường Harvard Kennedy, đã lưu ý trong nhận xét với BBC rằng những lỗ hổng như vậy vốn có trong các hệ thống do con người quản lý. Ông nhận xét: “Cho dù đó là việc quên khóa, chia sẻ khóa không đúng cách hay mắc một số lỗi khác, hệ thống mật mã thường gặp lỗi vì những lý do rất con người.”
Cuối cùng, ngay cả những thuật toán an toàn nhất cũng không thể giải thích được các thông tin xác thực bị mất. Như Schneier đã nói thêm, “Để cung cấp mọi biện pháp bảo mật thực tế [hệ thống mật mã] phải được vận hành bởi con người.”
Việc khắc phục và Con đường phía trước
Giải quyết vấn đề giám sát hoạt động, IACR đã nhanh chóng khôi phục tính toàn vẹn của quy trình bỏ phiếu của mình. Đối mặt với một cuộc bầu cử bị vô hiệu, tổ chức này đã bắt đầu lại quy trình ngay lập tức, với thời gian bầu cử được gia hạn kéo dài từ ngày 21 tháng 11 đến ngày 20 tháng 12.
Giữ nguyên danh sách ứng cử viên và danh sách bầu cử, tuyên bố của tổ chức nêu rõ cuộc bầu cử mới sẽ thay đổi cơ bản các biện pháp bảo vệ mật mã như thế nào:
“Đặc biệt, chúng tôi sẽ áp dụng một Cơ chế ngưỡng 2 trên 3 để quản lý khóa riêng và chúng tôi sẽ lưu hành một quy trình bằng văn bản rõ ràng để tất cả những người được ủy thác tuân theo trước và trong cuộc bầu cử.”[…] “Sau khi Moti Yung từ chức người được ủy thác cho cuộc bầu cử này, ông sẽ được thay thế bởi Michel Abdalla.”
Với việc Abdalla tham gia cùng những người được ủy thác còn lại để giám sát quá trình chạy lại, ngưỡng thấp hơn đảm bảo rằng việc mất một chìa khóa sẽ không còn là thảm họa nữa.
Cử tri trước đây chọn không nhận thông báo qua email sẽ phải đối mặt với một trở ngại: họ phải chọn tham gia lại theo cách thủ công để nhận phiếu bầu mới. Để đảm bảo tham gia vào cuộc bỏ phiếu được lên lịch lại, IACR đã kêu gọi các thành viên xác minh trạng thái của họ trên trang trạng thái người được ủy thác.
