IT експертът Константин Спиров пред "24 часа": "Играта" с кода не е компрометиране, а задължение на МЕУ
С него няма как да се подправи софтуера, не могат да се създадат други данни - с тази контролна сума се установява, че не е подменен и на машините работи точно тази версия, която е тествана за коректност
"Играта" с кода не е компрометиране, а задължение на МЕУ. Това заяви пред "24 часа" по повод скандала с отмяната на машинния вот един от известните български IT експерти, софтуерният архитект и специалист по киберсигурност, работил в миналото с ЦИК - Константин Спиров. Целта бе да разтълкува думите, които зам.-министър Михаил Стойнев е споменал, когато е заснел хеш кода. Според Тошко Йорданов от ИТН, когато Стойнев бил запитан за какво му е, той отвърнал, че ще си "поиграе" с него.
Според доклад на ДАНС, предоставен на председателския съвет в парламента, на 25 октомври, дни след като ЦИК направи публично генериране на т.нар. хеш код, който е един от ключовете за защита на машините, заместник-министърът на електронното управление Михаил Стойнов влиза в залата, повтаря цялата процедура, снима с телефона си и сваля информацията на флашка.
"Използваме един и същи жаргон - обясни Спиров пред "24 часа". - Предположих, че са решили да направят още едно доверено изграждане, следвайки точните стъпки на екипа от ЦИК, ние му казваме ритуал по доверено изграждане, вероятно са искали още веднъж да проверят стъпките и да тестват софтуера на машините, защото те всяка година се сменят минимално, в зависимост от версията на платформата.”
"По време на гласуване разписката (която всеки избирател получава от машината - бел. ред.) съдържа въпросния хеш код, но той е изписан и над избирателните списъци, разпространен е публично, може да се провери и от по-отговорните гласоподаватели", допълни още той.
Експертът недоумява защо въпросният доклад на ДАНС е засекретен - "принципно тези процеси трябва да са ясни и публични", смята той.
“Целта на хеш кода, който всъщност е контролната сума, е да установи, че софтуерът не е подменен и на машините работи точно тази версия, която е тествана за коректност - допълни още Спиров. - Хеш кодът е вид запечатване, няма как да се подправи софтуерът, да се натамани и хеш кодът накрая да излезе същият - SHA-256 алгоритъмът е основа на всички удостоверителни услуги в интернет, използва се при банките, при електронния подпис, и при криптовалутите.”
"Експертите на Министерството на електронното управление от групата на Стойнев, когото познавам само бегло, са длъжни да гледат както изходния код на софтуерното обезпечение, така и хеш кода, това е част от тяхната длъжностната характеристика, това им е работата - да инспектират, да си играят с този код", обобщи още софтуерният архитект.
"Експертите на ЦИК от своя страна също правят доверено изграждане, защото имат контролна функция в целия този процес - посочи още Спиров. - Те на случаен принцип избират определени машини и се уверяват, че софтуерът не е подменен."
С уговорката, че не знае подробности около раздухвания скандал, Спиров отбеляза, че SHA-256 е съвременен и квантово устойчив алгоритъм - нещо като число със 76-77 нули.
Според него това е същото като човек да си избере произволна библиотека, в нея произволна книга, страница и буква и да каже на друг човек да се опита да открие същия символ в същата книга.
"Хеш кодът може да се използва за много неща, но с него не могат да се създадат други данни, така че в резултат на прилагането на тази криптографска функция да се получи същият хеш код - бе категоричен програмистът. - Може да бъде заснет кодът (б.р. контролна сума) - когато инсталирахме софтуера в складовете на "Сиела Норма" под контрола на МВР, непрекъснато правехме случайни проверки. Право е на всеки гласоподавател да го проверява и гледа. Идеята е той да не е секретен, а да бъде достъпен по изборните секции. Контролната сума или хеш кодът се диктува пред всички дори по време на ритуала по довереното изграждане, който се предава публично от МЕУ."
"В технически смисъл не мисля, че има каквото и да е компрометиране - уточни още Спиров - задачата за компрометирането е в политическата плоскост и тук аз не съм компетентен да коментирам."
Софтуерният архитект допълни още, че има изключително добри впечатления от експертите на Министерство на електронното управление, тъй като есента на 2022 г. участвал в екипа от специалисти на ЦИК, с препоръка по линия на БАСКОМ (Българската асоциация на софтуерните компании).
"Без да издавам конфиденциална информация, искам да кажа, че есента на миналата година бях изключително неприятно изненадан да установя, че екипът в ЦИК се сформира наново, тъй като предишната експертна група беше освободена изцяло - обясни още Спиров. - Така всичката експертиза, в която ЦИК беше инвестирала в продължение на една цяла година, беше безвъзвратно загубена. Никой не ми даде обяснение, но установих от вестниците, че това пак се е случило по препоръка на ДАНС (през миналата година - бел. ред.). И точно в тази ситуация колегите от МЕУ се проявиха като безупречни професионалисти. Те ни дадоха безценна помощ по време на довереното изграждане с изключително адекватни насоки и съвети."
Решението бе взето с 12 гласа "за", против бяха само двама представители на ДБ.