Capture D’Écran: Chrome
Depuis que le président de la Commission Consultative sur l’Intégrité des Élections a demandé des listes électorales à partir de l’état responsables des élections, peut—être dans le but d’enquêter sur Atout non fondées généralisé de la fraude électorale—45 états et le District de Columbia ont partiellement ou totalement refusé de partager leurs données, et les experts en sécurité ont soulevé des préoccupations quant à savoir si la commission a les moyens techniques pour maintenir la sécurité des données.
Un juge fédéral a soulevé des questions la semaine dernière à propos de la sécurité des données sur les électeurs transférés à la commission. Sources dire Gizmodo que la Maison Blanche est la sauvegarde vers le bas à partir de ses demandes initiales de l’état responsables des élections pour envoyer les données par le biais d’un transfert de fichier site web créé par l’Armée et non destinées à une utilisation civile. La commission prévoit de proposer une autre option pour les états de soumettre les données, les sources ont indiqué.
Les plans de la commission ont été confirmés dans un dépôt au tribunal cet après-midi, qui a déclaré que la commission a décidé d’utiliser les “autres moyens” de la collecte des données sur les électeurs. “Le Directeur de la Maison Blanche de la Technologie de l’Information est à la réutilisation d’un système existant qui accueille régulièrement de l’information personnellement identifiable dans un environnement sécurisé, crypté application informatique au sein de la Maison Blanche de Technologie de l’Information de l’entreprise,” le dépôt dit.
La commission demande aux états de fournir une quantité importante de renseignements confidentiels sur les électeurs, y compris les dates de naissance, partielle numéros de Sécurité Sociale, et le vote de l’histoire depuis 2006.
Kris Kobach, le vice-président de la commission, initialement prévue deux façons pour les fonctionnaires à envoyer leurs données sur les électeurs: La première est une adresse de courriel qui, comme Gizmodo signalé, ne prend pas en charge de base des protocoles de chiffrement. De données sur les électeurs envoyé à l’adresse transmises via une connexion non chiffrée, la rendant vulnérable à l’interception ou la manipulation.
La deuxième option, la commission a offert est une application appelée SÉCURITÉ—la Sécurité d’Accès du Fichier d’Échange utilisé pour le transfert de la non classifié les fichiers trop volumineux par e-mail. Bien SÛR s’affiche correctement configuré pour une utilisation sur des ordinateurs militaires, assurant une connexion cryptée sur un civil ordinateur nécessiterait des représentants de l’état à prendre plusieurs mesures techniques, pour lesquels la commission a fourni aucune indication.
COFFRE-fort est administré par l’Armée AMÉRICAINE de l’Aviation et des Missiles de Développement de la Recherche et de l’Ingénierie Centre (AMRDEC), un militaire de l’équipe de recherche, et est largement utilisé dans l’armée et à la Maison Blanche.
La sécurité de SÉCURITÉ semblait être un sujet de préoccupation pour un juge fédéral de superviser un procès visant à empêcher la commission de la collecte de données sur les électeurs. Porté par l’Electronic Privacy Information Center, le costume cherche à obtenir une ordonnance d’interdiction temporaire d’empêcher la commission de la collecte de données sur les électeurs de représentants de l’état jusqu’à ce qu’une évaluation de l’impact sur la vie privée sur les Américains est terminé.
District des états-UNIS Juge Colleen Kollar-Kotelly commandé Kobach de décrire qui gère le site web et la façon dont les données seraient transmises à partir du site de la commission. Ses réponses, a déposé jeudi, révèlent peu de choses sur la sécurité de la AMRDEC site web.
Selon un dépôt au tribunal jeudi de Kobach:
La Sécurité d’Accès du Fichier Exchange (SAFE) est une application pour échanger des fichiers en toute sécurité. Les états de charger des données sur le site internet sécurisé, et le personnel de la Commission télécharger les fichiers de SÉCURITÉ sur la Maison Blanche ordinateurs. Comme c’est à la présidence de la commission consultative, la Maison Blanche est responsable de la collecte et de stockage des données pour la Commission. La Commission Fédérale Désigné Officier (un employé dans le Bureau du Vice-Président, en collaboration avec la Maison Blanche de la Technologie de l’Information du personnel afin de faciliter la collecte et le stockage.
Mais le site HTTPS du programme d’installation, qui permet aux données transmises à partir d’un navigateur sur le site pour être envoyées via une connexion cryptée, est problématique pour les utilisateurs civils dans les gouvernements de l’état. En fait, lorsque le gouvernement de l’état responsables de visiter le site web, ils sont accueillis dans un endroit bien en vue d’avertissement disant que leur connexion n’est pas privée—ce qui implique que les données peuvent être volées ou modifiées en transit.
“M. Kobach représentations en matière de Sécurité d’Accès du Fichier Exchange (SAFE)’ sont alternativement trompeuse ou dénués de mérite. “SÉCURITAIRE” n’est pas, en fait, un système sécurisé,” ÉPIQUE écrit dans un jeudi de dépôt. Comme l’utilisation de l’application serait apparemment exiger des gouvernements d’état à ignorer les avertissements au sujet de la possibilité de l’électeur données soient interceptées, ÉPIQUE, que le système est en insécurité n’est pas sans mérite.
Les connexions HTTPS sont ce qui les empêche de vos détails de carte de crédit de vol lorsque vous magasinez en ligne ou de votre mot de passe d’obtenir arraché lorsque vous vous connectez à votre compte de messagerie. Votre navigateur établit une connexion cryptée avec un site web, après vérification de son certificat, qui contient une clé publique sert à chiffrer les données. Si le certificat n’est pas approuvé, il est possible que les données que vous téléchargez ou entrer sur le site web est d’être interceptées par un tiers.
C’est pourquoi les navigateurs comme Chrome et Safari flonflons des avertissements aux utilisateurs en cas de problèmes impliquant le certificat d’un site. Pour accéder SÛR en toute sécurité, les utilisateurs doivent avoir un certificat spécial du Ministère de la Défense, qui émet ses propres certificats numériques au lieu de s’appuyer sur ceux qui sont reconnus par couramment utilisé des navigateurs web. Ces certificats personnalisés ne sont pas systématiquement installé sur les ordinateurs à l’extérieur de l’exécutif fédéral—lorsque les fonctionnaires de l’etat visite le AMRDEC site web, par conséquent, ils sont prévenus qu’il peut être l’objet d’attaques.
Étant donné que la commission n’avait pas donné à des représentants de l’état un DoD certificat ou de toute information sur la façon d’en obtenir un, ils ne pouvaient pas télécharger des données sans être prévenu que leur relation est compromise. Les représentants de l’état aurait eu à cliquer sur le navigateur des avertissements, qui est l’exact opposé de ce que les professionnels de la sécurité qui a conçu les avertissements en premier lieu à faire.
Il suffit de mettre, à chaque fois qu’un agent de l’état qui n’a pas déjà l’DoD certificats de tentatives pour l’utilisation SÉCURITAIRE, le site web met en garde: “les Attaquants pourraient être en train d’essayer de dérober vos informations.” Les militaires, des conseils, apparemment, est de l’ignorer. Et c’est objectivement déraisonnable.
Au moins un état respecté, selon aujourd’hui en dépôt auprès de la commission. Arkansas fonctionnaires de données téléchargées à la SÉCURITÉ, mais les données seront supprimés sans être téléchargé par la commission.
Gizmodo a atteint à plusieurs fonctionnaires de l’etat concernant la demande de la commission, mais aucun immédiatement répondu. Un fonctionnaire travaillant dans un bureau du gouverneur a dit qu’ils n’avaient pas pris la peine d’examiner la sécurité de SÉCURITÉ parce qu’ils n’ont pas l’intention de se conformer à la demande au motif que le président de la commission est une imposture.
En cliquant sur ces sortes de mises en garde “les causes d’avertissement de la fatigue sur un site où les gens sont invités à publier des informations sensibles,” Roland Cordonnier, un consultant en technologie à l’Electronic Frontier Foundation, qui travaille sur le gratuit certificat de l’autorité de Let’s Encrypt, dit Gizmodo. “Vraiment, ils ne doivent jamais être à l’aise en cliquant sur un certificat d’avertissement puis de télécharger d’informations sensibles.”
Bien que Kobach, a déclaré à l’électeur de données est téléchargé sur la Maison Blanche ordinateurs, il n’a pas expliqué comment il sera assurée une fois qu’il est là.
“Il n’y a pas assez de bourbon, ici, dans le Kentucky, pour faire cette demande semble raisonnable,” Kentucky le Secrétaire d’État d’Alison Lundergan Grimes dit MSCNBC. “Pas sur ma montre nous allons publier des informations sensibles qui se rapporte à la vie privée des individus.”
Maison blanche, vice-secrétaire de presse Sarah Huckabee Sanders avait déjà rejeté des représentants de l’état préoccupations au sujet du partage sensibles de données sur les électeurs comme “un coup politique.” Et malgré Kobach demande d’partielle de numéros de Sécurité Sociale, Sanders a affirmé que la commission n’est que de demande d’informations déjà accessibles au public.