The Bug That Made Me President a Browser- and Web-Security Case Study on Helios Voting

Heiderich, Mario; Frosch, Tilman; Niemietz, Marcus; Schwenk, Jörg

doi:10.1007/978-3-642-32747-6_6

Cited by 7 publications

(3 citation statements)

References 13 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Estudos como os de [Kiayias et al 2017] e [Srinivasan et al 2013] mostram que esse sistemaé suscetível ao ataque MITM e ataque de enchimento de cédulas, podendo sofrer também de uma vulnerabilidade que pode revelar o voto do eleitor [Kiayias et al 2017, Cortier andSmyth 2013]. Além disso o estudo de [Heiderich et al 2011] mostra que esse sistema não implementa o cabeçalho HTTP. As medidas de segurança aplicadas a esse sistema, se tratam de esquemas de compartilhamento secreto verificável, criptografia controlada por token e remoção de cédulas replicadas.…”

Section: Discussionunclassified

“…A calibração consiste em verificar se com a string criada os estudos definidos como controle, aqueles estudos principais relacionados com o tema pesquisado, são retornados. Para o contexto desse MS os estudos de [Heiderich et al 2011], [Zhou et al 2016], [Pereira and Wallach 2017], [Sebé et al 2010]. Depois de calibrada a seguinte string de busca foi utilizada para a busca por estudos relevantes: (("security"OR"secure") AND ("issue"OR "breach"OR "gap"OR "threat") AND ("e-voting"OR "electronic voting")).…”

Section: Estratégia De Buscaunclassified

See 1 more Smart Citation

Desaﬁos e Soluções em Sistemas de Votação Eletrônica: Um Mapeamento Sistemático

Pegorini¹,

Yada²,

Souza³

et al. 2019

Anais Do IV Workshop De Tecnologia Eleitora (WTE 2019)

View full text Add to dashboard Cite

Resumo. em algumas vantagens, como a rápida apuração dos votos e disponibilidade dos resultados, mas também há problemas tecnológicos a serem tratados para evitar fraudes e falhas no sistema, garantindo um processo íntegro. O presente trabalho apresenta um mapeamento sistemático realizado na área da segurança eleitoral, que busca as principais informações sobre os protocolos utilizados em sistemas de votação eletrônica, as medidas de segurança utilizadas e também as vulnerabilidades e falhas detectadas nesses sistemas. Os resultados apontam uma convergência dos estudos a determinados protocolos e medidas de segurança, além dos principais problemas a serem enfrentados nessa área.

show abstract

Section: Discussionunclassified

Section: Estratégia De Buscaunclassified

Desaﬁos e Soluções em Sistemas de Votação Eletrônica: Um Mapeamento Sistemático

Pegorini¹,

Yada²,

Souza³

et al. 2019

Anais Do IV Workshop De Tecnologia Eleitora (WTE 2019)

View full text Add to dashboard Cite

show abstract

“…A fix to prevent launching this attack was considered in Helios's upgrade to version 3.0. Heiderich et al (2011) presented an cross-site scripting (XSS) attack against Helios and exposed serious security threats (these vulnerabilities were fixed by the developers of Helios). Cortier and Smyth (2011) discovered an important attack on Helios 2.0 and 3.0, where the adversary can break the ballot secrecy of an honest voter by replaying his encrypted vote for a corrupted user that he controls.…”

mentioning

confidence: 99%

Auditing for privacy in threshold PKE e-voting

Kiayias¹,

Zacharias²,

Zhang

2017

ICS

View full text Add to dashboard Cite

The importance of voter auditing in order to ensure election integrity has been extensively studied in the e-voting literature. On the other hand, the necessity of auditing to protect voter privacy in an e-voting system has been mostly overlooked. This work investigates election privacy issues that appear in the state-of-the-art implementations of e-voting systems that apply threshold public key encryption (TPKE) in the client like Helios and use a bulletin board (BB). More specifically, it is shown that without PKI support or-more generally-authenticated BB "append" operations, such systems are vulnerable to attacks where the malicious election server can act as a man-in-the-middle between the election trustees and the voters, hence it can learn how the voters have voted. As countermeasure for this type of man-in-the-middle attacks, this work suggests compulsory trustee auditing which should be executed either (i) immediately after the election setup phase, if the BB is consistent, or (ii) right after the voting phase, if the BB is corrupted. Finally, this work studies the impact of verifying the cryptographic (zero-knowledge) proofs posted in the BB from a privacy aspect; namely, it is shown that proof auditing implies significantly stronger provable privacy guarantee for a TPKE e-voting system against covert adversaries (i.e., adversaries that may deviate arbitrarily from the protocol specification, but do not wish to be detected), given that the proof is carried out via standard reduction to the security of the underlying TPKE scheme.

show abstract