NIST, 해외 전자 투표로 보안 문제 찾기

표준 우편 투표는 미국 표준 기술 연구소 (NIST)의 보고서에 따르면 전화와 팩스를 포함한 투표 용지의 전자 전송은 "선거의 청렴성에 중대한 도전을 안겨줍니다"라고 말했습니다.

미국 국방부는 2003 년 인터넷 투표를 실험했지만 보안 우려가 제기 된 후 내년에 파일럿 프로그램을 중단했습니다. 몇몇 주에서는 2008 년 플로리다 및 알라바마를 포함하여 인터넷 투표를 실험 해 왔으며, 군대 우편 투표에 대한 우려로 시간이 지남에 따라 집계되지 못했습니다.

2002 년 미국 투표 법 (HAVA)은 미국 선거 지원위원회 (EAC)는 해외 투표 방법을 연구하고 NIST 보고서는 그러한 노력의 일부입니다. "IT 보안은이 문제의 중요한 부분이므로 EAC는 NIST에 해외 투표를위한 잠재적 인 전자 기술과 관련된 보안 위협을 조사하고 위협을 완화 할 수있는 방법을 찾아야한다고 NIST에 요청했습니다. NIST 보고서에 따르면, 채워지지 않은 투표 용지를 팩스 나 이메일로 보내거나 웹에 올리는 것은 상대적으로 안전하지만, 그 방법으로 채워진 투표 용지를 보내는 것은 보안이나 사생활에 문제가있다.

전화 투표는 PIN이 필요하며 PIN은 분실되거나 도난 당할 수 있다고 보고서는 말합니다. 또한 전화 통화도 가능하며 특히 VoIP (Voice over Internet Protocol) 통화가 가능하다고 팩스는 전했다. 팩스 전송은 비교적 안전 할 수 있지만 팩스로 보내진 투표 용지는 몇 시간 동안 "무인 상태"로 남을 수있다. "팩스 기계는 하루 종일 팩스를받는 선거 사무실의 방에 남아있을 것"이라고 보고서는 말한다. 이는 공격자가 민감한 개인 정보를 보거나 유효한 등록 양식을 폐기 할 시간을 줄 수 있음을 의미합니다. "전자 메일이 도청되거나 차단 될 수 있다고 보고서는 덧붙였습니다. "전자 메일은 의도 된 수신자가 메시지를 수신 할 것이라는 어떠한 보증도 제공하지 않습니다"라고 보고서는 말합니다. "DNS [도메인 네임 시스템] 서버에 대한 공격은 전자 메일을 공격자에게 전달할 수 있으며 이로 인해 유권자의 권리를 빼앗길뿐만 아니라 민감한 유권자 정보가 유실 될 수도 있습니다."

공격이 성공할 경우 DNS 서버에서 이러한 공격을 생성하는 데 사용될 수있는 최근의 취약성이 발견 된 것으로 나타났습니다.

전자 메일 투표를 방해 할 수있는 정교하지 못한 공격이 많다는 보고서 말한다. 보고서는 "서비스 거부 공격으로 선거 관리 공무원들이 엄청난 수의 사기성 전자 메일을 범람시킬 수있다"고 지적했다. "전자 메일 수가 많아지면서 선거 관리 공무원의 전자 메일 서버가 압도적으로 증가하여 합법적 인 등록 양식이 선거 관리 공무원에게 전달되는 것을 막을 수 있습니다."

웹 기반 투표는 데이터 유출을 막기 위해 암호화를 사용할 수 있지만 서비스 거부 봇넷에 의한 공격은 여전히 ​​잠재적 인 문제입니다. "성공적인 서비스 거부 공격은 합법적 인 유권자들이 등록 및 투표 요청 자료를 보내지 못하도록 트래픽이 많은 선거 웹 서버를 압도합니다"라고 보고서는 말합니다. "대량의 자원을 가진 공격자로부터의 서비스 거부 공격으로부터 보호하는 것은 매우 어렵습니다."몇몇 주에서는 이미 전자 메일이나 팩스로 투표지를 배포하고 있으며 NIST 보고서는 선거 지원위원회에서 그렇게. 그러나 재임 투표 용지 재발급을위한 전통적인 우편물에 대한 대안에 대한 조언은 거의 없지만 보안 개선이 모니터링되어야한다고 말하고있다.

"팩스, 전자 메일 및 웹 기반 시스템은 빈 투표 용지를 빠르고 안정적으로 유권자에게 배포 할 수 있으므로 유권자에게 투표 용지를 우편으로 보내고 해외 시민 투표 경험을 향상시키는 투표 시간을 크게 줄일 수 있습니다."라고 보고서는 말합니다. 또한 등록 및 투표 요청은 이러한 배포 방법을 활용할 수 있지만 유권자의 개인 정보를 다룰 때 더 많은 위협이 있으며 투표 한 투표 결과는 해결하기가 더 어려운 문제로 남아 있습니다. "

NIST의 선거 시스템에서의 역할은 "순수 기술적"이라고 Andrew Regenscheid 보고서 공동 저자는 전했다. "NIST는 정책 결정을 설정하거나 권장하지 않습니다." "주 및 지방 선거 관리 공무원은 그들이 처한 절차와 통제에 근거하여 그들이 맡을 위험의 수준을 결정할 책임이있다."