Esimerkki salausohjelmistosta: SSL, Varmennustekniikkoja, Kryptoanalyysin menetelmät, Uusia kryptologian sovelluksia.

Transkriptio

1 Esimerkki salausohjelmistosta: SSL, Varmennustekniikkoja, Kryptoanalyysin menetelmät, Uusia kryptologian sovelluksia. SSL protokolla Versiosta 3.0 alkaen nimeltään TLS = ohjelmisto, jota käyttää yli 90% Internetin suojatuista yhteyksistä Tukee ainakin seuraavia palveluja: sähköposti, verkkopankit, verkkokauppa, tiedostonsiirto

2 SSL :n toiminta SSL on tyypillinen hybridisalausohjelmisto, joka sisältää seuraavat toiminnot: 1. Osapuolten autentikointi 2. Symmetrisestä avaimesta sopiminen 3. Tiedonsiirron salaus symmetrisellä salauksella 4. Digitaaliset allekirjoitukset (tiedonsiirron eheyden tarkistus) SSL hyödyntää julkisen avaimen infrastruktuuria, jonka keskeinen osa on julkisten varmentajien ( CA = Certification Authority) verkko. SSL - palvelimet hankkivat joltain CA:lta varmenteen eli sertifikaatin, joka sisältää palvelimen julkisen avaimen vahvalla salauksella allekirjoitettuna. SSL yhteydessä palvelimen aitouden todennus tapahtuu sertifikaattien avulla.

3 PKI = Public key infrastructure Julkisten varmentajien verkko Julkisen avaimen salaus vaatii luotettavan julkisten avainten rekisterin. vrt. puhelinnumerotiedustelu SSL palvelimet hankkivat CA:lta, digitaalisesti allekirjoitetun sertifikaatin, joka sisältää palvelimen julkinen avain. Päämääränä on se, että verkossa ei voi toimia tahoja, jotka antaisivat vääriä julkisia avaimia ja näin voisivat napata käyttäjien salaisiksi tarkoitettuja viestejä Esim. Sonera class2 CA, VeriSign

4 SSL -sertifikaatin muotomääritys = X.509 X.509 Certificate Version : 1 Serial Number : 7983 Algorithm: SHA256WithRSAEncryption Issuer: VeriSign Ltd Validity : Not Before July :00 GMT Not After July :00 GMT Subject: Subject Public Key Info Matti Matikainen, Rovaniemi Public Key Algorithm RSAencryption Subject Public Key: RSA (1024 bit) Modulus: d5 0c..f3 31 e1 Exponent: Certificate Signature Algorithm SHA256WithRSA Encryption Certificate Signature a5 55 7c d a0 c4 (2048 bits) Globaaleja julkisia varmentajia: Kansallisia julkisia varmentajia: sonera, väestörekisterikeskus

5 Man in the Middle hyökkäys Sertifikaattien ja koko julkisten varmentajien käytön tarkoituksena on estää Man in the Middle hyökkäyksiä, jossa kolmas osapuoli E tulee käyttäjien A ja B väliin esiintyen yhteyden toisena osapuolena molempiin suuntiin. E voi lukea dataa, sekä muuttaa sitä. CA - järjestelmän tarkoitus on estää väärien julkisten avainten levittäminen ja näiden avulla tapahtuvat hyökkäykset. Palvelimen sertifikaatti sisältää sen julkisen avaimen muodossa, jota on teoriassa mahdoton väärentää.

6 Salatun yhteyden vaiheet Tyypillinen salausohjelmisto (TLS) käyttää useita salausmenetelmiä. Yhteyden vaiheet on kuvattu alla: Log on Kättely eli handshake Autentikointi Symmetrisestä avaimesta sopiminen Tiedon siirto symmetrisellä salauksella RSA RSA AES Log Out

7 Handshake Kun asiakaskone (selain) ottaa yhteyden palvelimeen, tämä kysyy, mikä on asiakaskoneen tukema korkein TLS versio ja mitä salausalgortmeja selain tukee. Asiakaskone vastaa esim. Käytössä on enintään TLS 1.1, ja salausalgoritmit (AES, RSA, sha1rsa) Yhteys muodostetaan käyttäen tätä konfiguraatiota

8 Autentikointi (Osapuolten tunnistaminen) RSA :lla Asiakas varmentaa palvelimen aitouden lähettämällä tälle satunnaisen ns. haasteluvun R. Palvelimen on todistettava aitoutensa lähettämä vasteena RES haasteluku salattuna palvelimen yksityisellä RSA avaimella d. RES = RSA d (R, nonce ) Asiakas varmentaa purkamalla VASTEEN palvelimen sertifikaatista löytyvällä julkisella avaimella. *) nonce tarkoittaa lisämerkkejä, jonka tarkoituksena on estää mahdollista salakuuntelijaa saamasta haltuunsa viesti- salakirjoitusparia, mikä voisi helpottaa RSA - avaimen d murtamista.

9 Haaste vaste autentikointi Asiakas Satunnaisluku R Palvelin Asiakas laskee ja verifioi V e mod n = R? VASTE V = R d mod n Palvelimen sertifikaatti n,e d Jos täsmää, palvelimen aitous on tarkistettu Huom! Asiakkaan aitouden todistamisessa turvaudutaan Suomessa useimmiten perinteiseen käyttäjätunnus- salasanayhdistelmään, jota voidaan tehostaa vielä kertakäyttösalasanan käytöllä.

10 Symmetrisestä avaimesta sopiminen Ennen datan salausta AES:llä ja tiedonsiirtoa, on sovittava yhteysistunnossa käytettävästä symmetrisestä salausavaimesta. Tavallisimmat menetelmät: 1. RSA key exchange 2. DH key exchange

11 1. RSA key exchange Asiakas (selain) generoi satunnaisen, symmetrisen AES istuntoavaimen K ja lähettää sen toiselle osapuolelle salattuna tämän julkisilla RSA avaimilla, jotka löytyvät palvelimen sertifikaatista.

12 Diffie Hellman key exhange - On käytössä esim. suojatuissa videoneuvotteluyhteyksissä Suuri alkuluku p ja kantaluku g on annettu Alice valitsee luvun a Bob valitsee luvun b y a = g a mod p y b = g b mod p * A ja B laskevat ja lähettävät toisilleen julkiset avaimensa K = Y ba mod p K = Y ab mod p A ja B laskevat symmetrisen avaimen K = g ab mod p

13 Autentikointi eli varmentaminen Varmennus on prosessi, jossa yksi osapuoli vakuuttuu jonkin kiistattoman todisteen kautta toisen osapuolen identiteetistä Varmennus voidaan määritellä myös online -palvelun alussa suoritettavana protokollana, jossa asiakkaan identiteetti varmistetaan. Tuloksena joko hyväksyminen tai hylkäys.

14 Mihin varmentaminen perustuu? Yleiseti varmennus voi perustua kolmeen tekijään: 1. Johonkin ominaisuuteesi (sormenjälki) 2. Johonkin, jonka tiedät (pin koodi) 3. Johonkin, jonka omistat (ID kortti, SIM) TWO FACTOR AUTHENTICATION Tarkoittaa yleisesti hyväksyttyä periaatetta, jonka mukaan yksi yo. listan tekijöistä ei yksin ole riittävä, vaan varmentamisessa vaaditaan vähintään kaksi tekijää: esim. sähköinen henkilökortti ja PIN koodi.

15 HEIKKO JA VAHVA AUTENTIKOINTI Heikko autentikointi tarkoittaa sitä, että käyttäjä tunnistautuu Käyttäjätunnuksella tai kiinteällä salasanalla, johon voi liittyä kertakäyttösalanalistan käyttö. Salausalgoritmeja ei käytetä. Vahva autentikointi tarkoittaa, että varmennuksessa käytetään jotain salausprotokollaa, esim. RSA:ta. Tavallisin muoto on haaste vaste autentikointi satunnaisluvulla.

16 Yksi- ja kaksisuuntainen autentikointi Yksisuuntaisessa autentikoinnissa vain toinen osapuoli varmennetaan. Kaksisuuntaisessa autentikoinnissa molemmat osapuolet todistavat identiteettinsä-

17 Yksisuuntainen satunnaislukuautentikointi gsm Operaattori lähettää satunnaisen haasteluvun R kännykälle Kännykkä lähettää vasteluvun RES (K,R) operaattorille, joka tarkistaa vasteen oikeellisuuden vastaavalla laskulla 2G verkossa mobiilipuhelin varmennetaan, mutta tukiaseman ei tarvitse varmentaa itseään puhelimelle. Puhelin laskee operaattorin lähettämästä satunnaisluvusta R ja SIM kortin avainluvusta K tietyllä algoritmilla vasteluvun RES, jonka se lähettää operaattorille.

18 A Kaksisuuntainen satunnaislukuautentikointi RSA:lla A lähettää satunnaisluvun Ra B lähettää (RSA(d B ), Rb ) B A lähettää vasteena RSA(dA) Selitys; B:n vastaus sisältää vasteen haastelukuun Ra, vaste on Ra salattuna B:n yksityisellä avaimella. Lisäksi B lähettää oman haasteluvun Rb A:lle. A lähettää lopuksi vasteen, joka on Rb salattuna A:n yksityisellä avaimella. Molemmat verifioivat vasteluvut purkamalla ne vastapuolen julkisella avaimella. Viestit lisäksi yleensä salataan vastaanottajien julkisilla avaimilla.

19 Uutta: mobiilivarmenteet Online- palvelujen käyttäjät ovat Suomessa todentaneet itsensä pitkään pankkivarmenteilla, joissa käytetään kertakäyttösalasanalistoja. Viimeisen vuoden aikana mobiilioperaattorit Sonera, Elisa ja DNA ovat tuoneet markkinoille mobiilivarmenteet, jotka ovat syrjäyttämässä pankkien kertakäyttösalasanalistat. MOBIILIVARMENNE PERUSTUU RSA ALGORITMIIN Älypuhelimen SIM- kortissa on 2 paria RSA avaimia. Toista paria käytetään autentikointiin, toista paria digitaaliseen allekirjoitukseen. TOIMINTA: Kun käyttäjä kirjautuu tietokoneellan esim. KELA:n sivuille, sivu pyytää asiakasta varmentamaan identiteettinsä. Käyttäjä valitsee mobiilivarmenteen, jolloin sivusto pyytää avaamaan kännykän, käynnistämään mobiilivarmennesovelluksen ja syöttämään siihen nelinumeroisen PIN koodin. Koodin syötettyään asiakas pääsee palveluun.

20 Mobiilivarmenne kaaviona asiakas 1. Palveluun kirjautuminen 4. hyväksyminen palvelu 2. varmennepyyntö 3. PIN DNA Ennen palvelun välittäjänä oli jokin pankki, nyt mobiilioperaattori

21 8. Kryptoanalyysin menetelmiä 1. Ciphertext only -hyökkäys 2. Known/chosen plaintext -hyökkäys 3. Brute Force hyökkäys 4. Man in the Middle hyökkäys 5. Sanakirjahyökkäys - Dictionary attack 6. Takaportit 7. Replay -hyökkäys 8. Sivukanavahyökkäys - side channel attack

22 1. Ciphertext only attack: * Analyytikolla on käytössään salakirjoitettua tietoa * Tavoitteena on selvittää käytetty salausavain esim. Brute forcella * Yleisin muoto, koska aineistoa on helppo saada. 2. Known plaintext attack: * Analyytikolla on käytössään viesti salakirjoitus pareja * Tarkoitus on selvittää purkuavain * Esim. Enigman viestien murtamista 2. maailmansodassa helpotti se, että analyytikot tiesivät saksalaisten tavan aloittaa viestinsä.

23 Chosen plaintext attack: * Joskus analyytikko pääsee itse laatimaan selväkielisen viestin, jonka saa sitten käyttöönsä salakirjoitettuna * Monet salausmenetelmät voidaan murtaa tällä menetelmällä. Käytännössä kuitenkin tämä hyökkäystapa ei toimi, koska analyytikolla on vain muiden laatimien viestien salakirjoituksia. Siten salausalgoritmia voidaan pitää turvallisena vaikka tämä hyökkäys voitaisiinkin toteuttaa. Ääritapauksessa analyytikko voi itse tehdä kokeiluja salauslaitteella laboratorio-olosuhteissa tavoitteena löytää tehokkaita murtomenetelmiä. Näin DES lohkosalaus murrettiin v.1991.

24 3. Brute force hyökkäys Mikäli hyökkääjällä on käytössä suuret tietokoneresurssit, he voivat murtaa salausavaimen käymällä läpi kaikki mahdolliset avaimet. Tälläl metodilla voidaan murtaa salauksia, joissa avainpituus on alle 80 bittiä. Mm. DES lohkosalaus, sekä GSM salaus A5 voidaan murtaa Brute Forcella.

25 4. Man in the middle attack: * B lähettää A:lle julkisen avaimensa. E nappaa viestin ja muuttaakin viestiin oman julkisen avaimensa lähettäen sena:lle. A ei havaitse muutosta. * E toimii samalla tavalla A:n suhteen. Näin E kontrolloi ja voi väärentää halutessaan A:n ja B:n välistä viestien vaihtoa. * Sertifikaattien käyttö estää Man in The Middle hyökkäys. Väärä E:n lähettämä julkinen avain paljastuu väärennetyksi, koska se ei ole CA:n digitaalisesti allekirjoittama. 5. Sanakirjahyökkäys salasanatiivisteitä vastaan: Analyytikolla on käytössään esim yleisimmän salasanan tiivisteet joille hän pyrkii löytämään vastineita kohteena olevan serverin salasanatiedostosta. Vastatoimena sanakirjahyökkäykseen on salasanojen suolaus ennen tiivisteen laskemista tai shadow tiedostot, joihin salasanatiivisteet tallennetaan

26 6. Takaportit On olemassa salausalgoritmeja, joissa on ns. takaportti (backdoor). Se on tietoisesti algoritmiin jätetty turva-aukko, jota käyttäen sen laatija voi purkaa tiedon tai tietoliikenteen salaus. Yleisesti on tiedossa, että vakoiluorganisaatio NSA sai NIST:n hyväksymään takaportilla varustetun satunnaislukugeneraattorin Dual EC-DRBG kansainväliseen käyttöön v. 2006, sekä onnistui levittämään sen käyttöä eri tietoliikenneohjelmistoissa mm. RSA laboratories yhtiön avustuksella. Asia tuli esiin Edwards Snowdenin paljastuksissa v ja NIST faktisesti tunnusti takaportin olemassaolon vetäessään Dual EC-DRBG:n pois standardiensa joukosta huhtikuussa * Seuraus siitä, että USA:n standardointiviranomainen NIST, sekä johtavat tietoturvayritykset siellä ovat enemmän tai vähemmän menettäneet mainettaan ym. skandaalin vuoksi, on se, että kysyntä eurooppalaisille salaustuotteille on lisääntynyt, mikä näkyy positiivisesti myös suomalaisten tietoturvayritysten liikevaihdossa.

27 7. Replay attack: (replay hyökkäys) Hyökkääjä nappaa jonkin käyttäjän login datan ja käyttää sitä myöhemmien kirjautuakseen järjestelmään. Aikaleimojen ja datapakettien sarjanumerojen käyttö estää tätä hyökkäystä Auton etälukitusjärjestelmiin on kohdistettu replay -hyökkäyksiä. Auton avaimen lähettämä koodi on napattu ja sitä käytetty auton varastamiseen. Autotehtaat ovat nykyisin siirtyneet kertakäyttösalasanojen käyttöön, joissa lukko ja avain generoivat jokaista tapahtumaa varten uuden koodin. Myös tätä järjestelmää voidaan huijata kehittyneemmällä versiolla replay hyökkäyksestä. 8. Side channel attack (sivukanavahyökkäys): Laitteisto mittaa prosessorista tulevan säteilyn silloin kun prosessori suorittaa esim RSA autentikointiin liittyvän laskun RES= R d mod n. Yksityinen avain d voidaan määrittää prosessorisäteilyä analysoimalla.

28 NSA:n keinot salauksen murtamiseksi Supervallan keinoista tietoliikenteen salakuuntelemiseksi on tihkunut vain vähän tietoa. Asiakirjat mainitsevat, että menetelmät pohjautuvat lähinnä: Päätelaitehyökkäyksiin 1) Postipalvelun lähettämien pakettien peukalointiin Suhteisiin alan yritysten kanssa (Google, Facebook, RSA-lab,CA) Matemaattisiin menetelmiin 2) 1) Jos A:n ja B:n välistä tietoliikennesalausta ei voida murtaa, voidaan kaapata jompikumpi koneista A tai B, jolloin salauksella ei ole merkitystä. 2) Matemaattisten menetelmien arvellaan liittyvän joko TSL- yhteyksissä käytetyn RC4 algoritmin murtamiseen tai 1024 bittisen RSA:n murtamiseen. 90% tietoliikenneohjelmista käyttää RSA avaimenvaihtoa, joka on turvattomampi kuin DH avaimenvaihto, jossa osapuolet generoivat joka kerta eri yksityiset avaimet.

29 Uusia kryptografian sovelluksia Remote Keyless Entry (RKE) Secret Sharing Systems Internet Voting

30 REMOTE KEY ENTRY (RKE) OF CARS 1. VARHAISISSA KAUKOSÄÄDINLUKOISSA avain lähetti joka kerta saman signaalin. Autovarkaille, jotka tunsivat taajuuden, ei signaalin tallentaminen nuuskivan laitteen muistiin ollut temppu eikä mikään. * Kun omistaja poistui auton luota, varkaat aukaisivat auton ovet toistamalla tallennetun signaalin (ns. Replay Attack).

31 2. TOISEN SUKUPOLVEN LUKOISSA autonvalmistajat siirtyivät avaimiin, jotka käyttävät joka kerta eri avainkoodia. Ovet aukesivat tai sulkeutuivat kullakin avaimella vain kerran. Tyypillisesti virtalukossa oli kerrallaan 256 kertakäyttöavainta, jotka tuotetaan esim. HMAC funktiolla juoksevasta numerosta. Kun avaimen avaus tai lukituspainiketta painettiin, virtalukko vastaanotti signaalin, vertasi sitä listan avainkoodeihin, ja jos koodi oli listalla, ovi aukesi tai lukittui. Mikäli avaimen painikkeita painettiin kantaman ulkopuolella yli 256 kertaa, avaimet loppuivat ja lukko ei enää auennut ilman merkkiliikkeen apua. Samy Kamkar julkisti tietoturvatapahtuma Defconissa 2015 laitteen, jolla voi kaapata auton avainten kaukosäätimen lähettämän signaalin ja käyttää tätä oven avaamiseen jälkikäteen. Laite perustuu kolmeen eri radiolaitteeseen. Kaksi lähettää vahvaa häiriösignaalia kahdella tyypillisellä avainjärjestelmien käyttämällä taajuudella, mikä estää avaimen lähettämää signaalia päätymästä lukolle asti. Kolmas, herkästi viritetty radio, kaappaa lähetetyn signaalin ja tallentaa avainluvun muistiin. Kun Kamkarin piilotetun laitteen lähellä painaa avausnappia, lukko ei reagoi. Todellisuudessa signaali ei häirinnän takia ikinä edes saavuta lukkoa, vaan päätyy laitteen muistiin. Kuski painaa tällöin avaimen nappia uudelleen. Signaalia estetään jälleen saapumasta lukolle, uusi avain tallennetaan ja aiemmin kaapattu vanha avain lähetetään lukolle. Nyt lukko aukeaa ja laitteen muistiin jää yksi käyttämätön avauskoodi.

32 Jotkin uusimmat automallit, kuten uudet Cadillacit, käyttävät lukkojärjestelmiä, joissa avainkoodit ovat aikarajallisia, ts. avain ja lukko generoivat uuden avainkoodin esim. puolen minuutin välein. Tällainen järjestelmä selättää Kamkarin metodin täysin. Tutkija toivookin, että autovalmistajat siirtyisivät aikarajallisiin tunnisteavaimiin.

33 Kertakäyttösalasanalaitteet Password Tokens Laite tuottaa määrämittaisia ( esim. 6 numeroisia) kertakäyttösalasanoja tietyn järjestelmän sisäänkirjautumista varten. Aikarajoitteinen malli: Laite tuottaa uuden salasanan esim. joka minuutti. Laitteessa ja palvelussa, jota varten salasanoja generoidaan tulee olla synkronoidut kellot Laskurimalli: Laite tuottaa uuden salasanan aina kun nappia painetaan. Laitteessa on laskuri, joka toimii syötteenä uuden salasanan generoinnissa.

34 Teknologia Kertakäyttösalasanojen generointi perustuu HMAC funktioon, joka muodostaa laitteen SIM avaimesta K ja laskurin arvosta C määrämittaisen tiivisteen. Laskurin tilalla syötteenä voi olla myös aika T. HMAC(K, C) = sha(k opad sha(k ipad C) 6 numeroinen kertakäyttösalasana saadaan 160- bitin HMAC arvosta Truncate funktiolla, joka valitsee HMAC:stä määrätyn osan, josta muodostuu kertakäyttöavain. Palvelin generoi samaa algoritmia käyttäen saman avainjonon. Käyttäjä pääsee paveluun, kun palvelin totetaa käyttäjän antaman kertakäyttöavaimen löytyvän palvelimen generoimalta listalta.

35 Security Token laitteen turvallisuus SHA tiivisteet toteuttavat hyvän tiivisteen vaatimukset. Tiivisteestä ei voi mitenkään päätellä sen syötettä, joka on SIM- avain + laskurin arvo. Yhdestä salasanasta ei voi myöskään mitenkään laskea seuraavaa salasanaa. Laitteen tulostamat avaimet R = Truncate(HMAC(K,C)) täyttävät kaikki tilastollisen satunnaisuuden vaatimukset.

36 Secret sharing systems Secret sharing sopii erinomaisesti erittäin luottamuksellisen ja tärkeän tiedon talletukseen, Esimerkkinä ovat 1) tärkeiden salausavainten turvatalletus 2) ydinohjusten laukaisukoodien säilytys 3) nimettömien pankkitilien käyttäminen (esim. Sveitsin pankeissa on sallittu nimettömiä tilejä) Periaate: Avain, jolla pääsee arkaluonteiseen tietoon, on jaettu siten että sen osia on n:llä henkilöllä. Avain voidaan rekonstruoida, kun määrätty määrä henkilöitä, joilla on avaimen osia, käyttää avaintansa. Esim. Suurvallan puolustusorganisaatiossa on 7 henkilöä, jolla on avaimet ohjusten laukaisukoodit sisältävään tiedostoon. Tiedosto voidaan avata, kun mikä tahansa kolmen henkilön osajoukko em. henkilöistä käyttää avaimiaan. Esim. Sveitsiläisessä pankissa nimettömältä nmerotilitä voi suoritaa noston, kun kolme eri henkilöä, joista osa pankkivirkailijoita, käyttää avaimiaan. Nostajan ei tarvitse todistaa henkilöllisyyttään.

37 Shamirin secret sharing scheme Paraabelin y = f(x) = a x 2 + b x + c määrittää yksikäsitteisesti kolme paraabelin eri pistettä. Esimerkiksi seitsemälle eri henkilölle annetaan avaimena kullekin eri ko. paraabelin piste (x,y). Kun ketkä tahansa kolme syöttää avaimensa järjestelmään, järjestelmä ratkaisee yhtälöparista paraabelin määrittelevät parametrit a, b ja c. Järjestelmässä suojattu salausavain on jonkin määrätyn paraabelin y = a x 2 + b x + c pisteen y koordinaatti: esimerkiksi f(10). Paraabelilla tarkoitetaan tässä diskreettiä paraabelia, joka koostuu kokonaislukupareista (x,y), jotka toteuttavat yhtälön y = a x 2 + b x + c kun vakiot a,b ja c ovat kokonaislukuja ja laskutoimitukset on suoritetaan mod q, missä q on kokonaisluku.

38 Esimerkki Shamirin järjestelmästä 1. Diskretisoidun paraabelin modulus q = Seitsemälle henkilölle on annettu avaimina paraabelin pisteet: {7,91} {49,41} {110,85} {51,49} {18,74} {58,87} {72,59} 3. Jaettu salaisuus K on paraabelin y arvo, kun x = 10. Henkilöt 1,3 ja 7 syöttävät avaimensa järjestelmään. Avaimet ovat {7,91}, {110,85} ja } {72,59} Lasketaan paraabelin parametrit a, b ja c. Mathematica- ohjelmalla ratkaistu yhtälöryhmä : Jaettu salaisuus K = (45* * ) mod 113 = 85

39 Internet -äänestäminen Net voting tarkoittaa äänestämistä valtiollisissa vaaleissa Internetin kautta. Äänestäjä todistaa henkilöllisyytensä esim. tietokoneen lukulaitteeseen laitetutta sähköisellä henkilökortilla tai mobiilivarmenteella. * Viro edelläkävijänä. Internetin kautta äänestäminen on ollut toistaiseksi laajassa käytössä vain Virossa, jossa äänestystapa on ollut mahdollinen viimeisen 10 vuoden ajan pidetyissä vaaleissa. Suomalainen tietoturvaguru Harri Hursti muutaman muun tutkijan kanssa on kritisoinut Viron nettiäänestyksen turvallisuutta ao. linkin raportissa: Lainaus: As we have observed, the procedures Estonia has in place to guard against attack and ensure transparency offer insufficient protection. Based on our tests, we conclude that a state-level attacker, sophisticated criminal, or dishonest insider could defeat both the technological and procedural controls in order to manipulate election outcomes