探索巴西投票系统的安全边界：TPS 2017 结果公开

在 2017 年的巴西公共安全测试中，一组技术专家揭示了选举投票机中的一个重大安全问题，允许进行特定代码操作。这个项目是他们的研究成果的公开存储库，旨在教育和提醒公众关于电子投票系统可能面临的挑战。

项目介绍

该项目的仓库包含了专家们的技术讲解幻灯片（葡萄牙语）以及两个工具，用于处理投票机文件系统的数据。此外，还有一个模拟测试的 Python 脚本，用于展示系统的工作原理。这个项目的目标是通过实际示例解释问题，并提供一个简化的模型来演示系统运行过程。

技术分析

研究团队发现了一个自定义的 ueminix 文件系统，该系统使用 AES-XTS 算法对文件内容进行加密。他们开发了 encall.py 和 decall.py 工具，分别用于处理文件。为了进行测试，研究者编写了一个名为 exploit.py 的脚本，它调用了名为 hkdf 的库，然后演示了系统的工作流程。

应用场景

这个项目不仅适用于学术研究和安全社区，也适用于相关决策者和公众，以提高对电子选举系统潜在挑战的认识。通过提供的工具，任何人都可以在本地环境中模拟系统运行，理解其工作原理，这对于加强投票系统的安全性至关重要。

项目特点

• 开源透明：所有研究结果、工具和说明都完全开放，鼓励了进一步的研究和讨论。
• 系统测试：exploit.py 提供了系统运行的示例，让专业人士能够更好地理解系统机制。
• 跨平台兼容：虽然主要针对的是 32 位系统，但提供了在 64 位系统上运行的指南。
• 教育价值：项目附带的技术讲座幻灯片为学习电子选举系统提供了一手资源。

此项目由 ELT 团队成员创建，这是一个参与 CTF 比赛的多机构团队，同时也是年度比赛 Pwn2Win 的组织者。

了解并探索 TPS 2017 结果，深入理解投票系统的特性，对于维护选举的公平与公正至关重要。如果你对电子投票系统感兴趣，或者想了解更多关于系统运行的知识，不妨参与到这个项目中来。