Cryptologiebedrijf annuleert verkiezingen na verlies van encryptiesleutel

Een bedrijf dat wordt beschouwd als een van de leidende mondiale stemmen op het gebied van encryptie heeft de bekendmaking van de uitslag van de leiderschapsverkiezingen geannuleerd nadat een functionaris de gecodeerde sleutel was kwijtgeraakt die nodig was om deze te ontgrendelen.

De Internationale Vereniging voor Cryptologisch Onderzoek (IACR) maakt gebruik van een elektronisch stemsysteem dat drie leden nodig heeft, elk met een deel van een gecodeerde sleutel, om toegang te krijgen tot de resultaten.

In een verklaring, De wetenschappelijke organisatie zei dat een van de beheerders de sleutel had verloren door “een eerlijke maar ongelukkige menselijke fout”, waardoor het voor hen onmogelijk werd om de uiteindelijke resultaten te ontcijferen – en bloot te leggen.

De IACR zei dat het de verkiezingen zou overdoen en “nieuwe waarborgen” zou toevoegen om te voorkomen dat soortgelijke fouten zich opnieuw zouden voordoen.

De IACR is een wereldwijde non-profitorganisatie die in 1982 werd opgericht met als doel “verder onderzoek” te doen in cryptologie, de wetenschap van veilige communicatie.

Op 17 oktober werden de stemmingen geopend voor drie directeurs- en vier officiersposities, en het proces werd op 16 november afgesloten.

De vereniging maakte gebruik van een open source elektronisch stemsysteem genaamd Helios voor het proces.

Het browsergebaseerde systeem maakt gebruik van cryptografie om stemmen te coderen of geheim te houden.

Drie leden van de vereniging werden gekozen als onafhankelijke beheerders die elk een derde van het gecodeerde materiaal zouden krijgen, dat, wanneer het samen werd gedeeld, het vonnis zou opleveren.

Terwijl twee van de curatoren hun deel van het versleutelde materiaal online uploadden, een derde heeft dat nooit gedaan.

De IACR zei in een verklaring dat het uitblijven van resultaten te wijten was aan het feit dat een van de trustees “onherstelbaar” zijn privésleutel verloor, waardoor het voor het bedrijf “technisch onmogelijk” was om het definitieve oordeel te kennen.

Het zei dat het daarom geen andere keus had dan de verkiezingen af ​​te gelasten.

De vereniging voegde eraan toe dat het “diep spijt” had van de fout, die zij “zeer serieus” nam.

De Amerikaanse cryptograaf Bruce Schneier vertelde de BBC dat fouten in cryptografische systemen vaak voortkomen uit het feit dat ze “om enige daadwerkelijke veiligheid te bieden” door mensen moeten worden bediend.

“Of het nu gaat om het vergeten van sleutels, het oneigenlijk delen van sleutels of het maken van een andere fout”, zei hij, “cryptografische systemen falen vaak om zeer menselijke redenen.”

Het stemmen voor de IACR-posities is hernieuwd en loopt tot 20 december.

De vereniging zei dat zij de oorspronkelijke beheerder had vervangen die de gecodeerde informatie was kwijtgeraakt en nu een “2-uit-3”-drempelmechanisme zal invoeren voor het beheer van privésleutels, met een duidelijke schriftelijke procedure die beheerders moeten volgen.