IACR powtarza wybory po utracie klucza deszyfrującego w Helios: co poszło nie tak i jakie są wnioski dla e-głosowań

Wprowadzenie do problemu / definicja luki

Międzynarodowe Stowarzyszenie Badań Kryptologicznych (IACR) ogłosiło unieważnienie i ponowne przeprowadzenie wyborów na stanowiska w władzach organizacji po „nieodwracalnej utracie” jednego z trzech kluczy prywatnych powierników (trustees), wymaganych przez system Helios do odszyfrowania końcowego wyniku. W efekcie nie dało się policzyć głosów z pierwszej tury (17.10–16.11.2025), a głosowanie uruchomiono ponownie 21.11–20.12.2025 z tą samą listą kandydatów i tym samym spisem uprawnionych. IACR zapowiedziało też przejście na próg 2-z-3 (threshold) przy zarządzaniu kluczami i ustandaryzowanie procedur dla powierników.

W skrócie

• Przyczyna: jeden z trzech powierników utracił klucz prywatny, przez co nie dostarczył swojego udziału deszyfrującego; Helios nie mógł zakończyć liczenia.
• Skutek: anulowanie wyborów i ich powtórka w nowym oknie czasowym; kandydaci i lista wyborców bez zmian.
• Remediacja: planowane wdrożenie progu 2-z-3 dla kluczy oraz spisanych procedur operacyjnych dla trustee.
• Szerszy wniosek: nawet systemy E2E-verifiable jak Helios pozostają wrażliwe na procedury kluczowe (key management) po stronie ludzi/organizacji. (W literaturze Helios opiera się na rozproszonej kryptografii i udziale powierników.)

Kontekst / historia / powiązania

Helios to otwartoźródłowy, sieciowy system głosowania z audytem „end-to-end” (E2E), szeroko opisywany w literaturze i stosowany m.in. w środowiskach akademickich. Jego projekt zakłada jawny biuletyn wyborczy (public bulletin board), weryfikowalność kryptograficzną oraz rozdzielenie kluczy deszyfrujących między powierników.

W przypadku IACR, zgodnie ze statutem, wszyscy trzej powiernicy musieli dostarczyć swoje udziały deszyfrujące. Brak jednego udziału zablokował odszyfrowanie wyniku i zmusił IACR do unieważnienia głosowania.

Analiza techniczna / szczegóły luki

Model Helios i rola powierników

• Głosy są szyfrowane po stronie użytkownika i publikowane w postaci zaszyfrowanej. Do obliczenia wyniku wykorzystywana jest homomorficzna agregacja i/lub częściowe odszyfrowania powierników; serwer nie posiada klucza do samodzielnego odszyfrowania.
• Każdy powiernik generuje parę kluczy i publikuje tylko część publiczną w Helios; na etapie liczenia musi dostarczyć udział deszyfrujący. Brak udziału któregokolwiek z wymaganych powierników uniemożliwia uzyskanie końcowego wyniku. (W IACR publiczna strona Helios wskazuje, że dwóch powierników wrzuciło swoje udziały, a jeden – nie.)

Gdzie zawiódł proces

• Single-point-of-failure proceduralny: wymóg „wszyscy z N” (3-z-3) bez mechanizmu progu tolerującego błąd ludzkiego czyni proces kruchym – utrata jednego klucza = brak możliwości liczenia. IACR zapowiada zmianę progu na 2-z-3, by zwiększyć odporność.

Praktyczne konsekwencje / ryzyko

• Ryzyko dostępności: E2E-weryfikowalność nie gwarantuje finalizacji, jeśli procedury zarządzania kluczami nie przewidują awarii człowieka/urządzenia.
• Ryzyko reputacyjne i operacyjne: powtórka wyborów to dodatkowy koszt, opóźnienia i potencjalna utrata zaufania, choć tu transparentność IACR i publiczna widoczność stanu powierników w Helios pomagają w utrzymaniu wiarygodności procesu.
• Ryzyko prawno-statutowe: ścisłe regulaminy (bylaws) mogą blokować zastosowanie elastyczniejszych mechanizmów kryptograficznych, jeśli nie przewidziano ich wcześniej.

Rekomendacje operacyjne / co zrobić teraz

1. Próg threshold (np. 2-z-3 lub 3-z-5) dla udziałów deszyfrujących zamiast „wszyscy z N”. Redukuje to ryzyko blokady przy utracie pojedynczego klucza.
2. Procedury życiowego cyklu klucza powiernika:
   • generowanie na HSM lub przynajmniej na odizolowanej stacji,
   • co najmniej dwa niezależne backupy klucza prywatnego (np. split-secret + sejf instytucjonalny),
   • kontrola dostępu i audyt odczytów. (Zgodne z praktyką rozproszonego zarządzania kluczami opisaną dla Helios.)
3. Runbook wyborczy dla trustee: checklisty przedstartowe (generacja kluczy, testowe częściowe deszyfrowanie), procedura odzysku (jeśli próg na to pozwala), jasne okna czasowe na wgranie udziałów.
4. Dowody poprawności i transparentność: publikacja metadanych z Helios (status udziałów, fingerprinty kluczy) oraz niezależna obserwacja procesu przez społeczność – dokładnie tak, jak pokazał widok „Trustees” dla wyborów IACR.
5. Testy „fire-drill” przed właściwym głosowaniem: symulacja utraty klucza i sprawdzenie, czy próg oraz runbook pokrywa scenariusze błędów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Helios wielokrotnie był używany w realnych głosowaniach (np. UCL, ACM), gdzie kładziono nacisk na jawność i weryfikowalność – ale ich powodzenie zawsze zależało od operacyjnego opanowania kluczy i dyscypliny proceduralnej. Casus IACR wyróżnia się tym, że zawiodła warstwa ludzka/proceduralna, nie zaś kryptograficzna – co jest zgodne z wcześniejszymi analizami: system zapewnia prywatność i weryfikowalność, ale nie eliminuje ryzyk operacyjnych.

Podsumowanie / kluczowe wnioski

• Helios działał zgodnie z projektem: bez kompletnego zestawu udziałów deszyfrujących wynik nie może być odzyskany. Problem nie dotyczył naruszenia bezpieczeństwa, lecz braku części klucza.
• Największym ryzykiem w e-głosowaniach pozostaje zarządzanie kluczami i operacje ludzi.
• Wdrożenie progu 2-z-3 i spisanie procedur trustee to rozsądna „lekcja wyciągnięta” – rekomendowalna dla każdej instytucji planującej wybory w systemach E2E.

Źródła / bibliografia

1. IACR — „Election 2025 Update” (21 listopada 2025): oficjalny komunikat o utracie klucza i powtórce oraz planie przejścia na próg 2-z-3. (IACR)
2. Helios — strona „Trustees” dla IACR 2025: publiczny dowód, że jeden z powierników nie dostarczył udziału, a dwóch tak. (vote.heliosvoting.org)
3. Strona wyborów IACR 2025: terminy nowej tury, informacja o „drugim biegu” głosowania. (IACR)
4. O. Pereira, „Internet Voting with Helios” — rozdział o kryptografii Helios i modelu powierników/udziałów (E2E). (realworldevoting.com)
5. The Register: relacja prasowa o anulowaniu i powtórce wyborów IACR. (The Register)