Tag Archives: Машинно гласуване

Технически въпроси и отговори относно машините за гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3779

Днес бях на среща с представител на ЦИК, Държавна агенция „Електронно управление“, БИС и БИМ относно процеса по удостоверяването на съответсвието на машините за гласуване с изисквания на Изборния кодекс и техническата спецификация.

Форматът беше презентации от трите институции, участващи в удостоверяването, последвано от въпроси от експертите (четиримма, в това число аз, от участниците в изборите и един от международен наблюдател). Аз зададох петнайсетина въпроса, като ще ги опиша тук, заедно с отговорите, които получих. Предупреждавам, че са доста технически и изискват доста контекст.

Важното нещо, което стана ясно, е че за тези избори ще се използва същият софтуер, като на изборите през април. Системният образ ще бъде този, направен за предните избори (проверимо с хеша му) и нов няма да се прави. Така всякакви опити да бъдат дискредитирани изборите, защото „някой пипа кодовете“, стават несъстоятелни.

В: В презентацията се споменаваше, че смарткартите имат чип на Infineon – проверено ли е дали тези модели са засегнати от уязвимостта ROCA, открита преди няколко години
О: Да, проверено е и няма тази уязвимост

В: В презентацията се спомена, че машините имат тестови режим и реален режим. Може ли една машина, участваща в реалния изборен процес, да бъде пусната в тестови режим?
О: Тестовият режим ползва различен build (системен образ) и съответно би имала различен хеш. Секционните комисии трябва да проверяват хеша и да сигнализират при несъответсвие.

В: Колко време издържа мастилото върху хартията на разпечатания протокол?
О: Мастилото и хартията са удостоверени, че издържат 5 години.

В: Кой извършва инсталирането и персонализирането на машините в складовете?
О: Доставчикът (Сиела-Норма)

В: Могат ли да бъде предоставен публичен достъп до разписките, които се генерират от машинтие при инсталиране и персонализиране на машините
О: Това е от компетенцията на ЦИК, които поискаха писмено да им бъдат изпратени въпроси, за да могат да отговорят по същество.

В: Валидирането на смарт картите на база на какво се извършва?
О: На база на комбинация от всички атрибути на сертификата. Сертификатът се слага на машината по време на персонализирането ѝ и след това само смарткарта, притежаваща този сертификат (и съответния му частен ключ) може да работи с машината.

В: При персонализирането на смарт картите къде се генерира частния ключ – на самата карта или извън нея?
О: На самата карта, което не позволява изтичане

В: Персонализирането синхронизирано ли е с решенията на РИК за проманя на листи (напр. при отказване, смърт)
О: Отразени са всички промени до момента. Оттук нататък всички промени минават през ЦИК и се синхронизират със Сиела.

В: Къде се намира частният ключ, с който се подписва протокола на флашката? На смарт картата или другаде?
О: На смарт картата (предназначена за членовете на СИК)

В: Кой присъства на правенето на build (системен образ)
О: Ще се използва билда от предните избори, на който са присъствали Сиела-Норма и представител на Държавна агенция „Електронно управление“

В: В какъв формат е системният образ?
O: FSA (File System Archive)

В: Изключена ли е възможността през USB порт да бъдат разпознавани клавиатури, мишки и други устройства (които потенциално могат да имат злонамерено действие)
О: Да, изключени са

В: Кой и как управлява ключовете за UEFI secure boot?
О: Въпрос от компетентността на ЦИК, с нужда от изпращане на писмен въпрос (членовете на ЦИК трябваше да излязат за заседание, което налагаше отнасянето до някои въпроси в тази форма)

В: Освен системната разписка, съдържаща хеша на всички файлове (с изключение на логове и временни), е възможно да се включи външен hash extractor, който да сметне хеша независимо. Как работи той?
О: Hash extractor-ът е bootable флашка, подписана със съответния ключ за UEFI secure boot, чрез която се извлича хеша.
Коментар: Тук предложението, което ще изпратим заедно с въпросите, е да се използва hash extractor-ът на извадка от машините преди и/или след изборите, за допълнителна проверка

В: Хешът на системния образ ще бъде ли публикуван?
О: Да

В: Как се гарантира рандомизацията на гласовете в криптираната част на флашката? (този въпрос ми беше в списъка, но го зададе колега от неправителствена организация. В доклада за предните избори пише, че всички файлове са с timestamp = 0 и със случайно генерирани имена, но колегата отбеляза, че ext3 файловата система има включено по подразбиране журналиране, което може да се използва за разкриване на поредността).
О: Слеед всеки подаден глас машината разменя съдържанието на новия глас със съществуващ клас в някакъв процент от случаите, така че да се получи рандомизация.

Полагам усилие да гарантирам, че всичко се случва възможно най-правилно и че всеки участник в процеса се чувства наблюдаван и инспектиран. Важно е, по много причини, изборите да са честни, и то доказуемо честни.

Материалът Технически въпроси и отговори относно машините за гласуване е публикуван за пръв път на БЛОГодаря.

Едно разследване на Валя Ахчиева: Нелегални машини за Бг избори

Post Syndicated from Биволъ original https://bivol.bg/%D0%BD%D0%B5%D0%BB%D0%B5%D0%B3%D0%B0%D0%BB%D0%BD%D0%B8-%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D0%B8-%D0%B7%D0%B0-%D0%B1%D0%B3-%D0%B8%D0%B7%D0%B1%D0%BE%D1%80%D0%B8.html

вторник 22 юни 2021


Какво се случва с машините, с които предстои да бъде избран най-висшият властови орган в България – Народно събрание на 11-ти юли 2021 г.? Възможно ли е върху тях да…

Разследване на „Биволъ“ и Armando Info Машинният вот в България е непрозрачен като в чавистка Венецуела

Post Syndicated from Николай Марченко original https://bivol.bg/%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D0%BD%D0%B8%D1%8F%D1%82-%D0%B2%D0%BE%D1%82-%D0%B2-%D0%B1%D1%8A%D0%BB%D0%B3%D0%B0%D1%80%D0%B8%D1%8F-%D0%B5-%D0%BD%D0%B5%D0%BF%D1%80%D0%BE%D0%B7%D1%80%D0%B0%D1%87%D0%B5.html

събота 3 април 2021


През януари 2021 г. „Демократична България“ поиска независим одит на машините за гласуване, а „Биволъ“ описа тайните на венецуелския им вносител и българския му партньор Ciela Norma. В отговор на…

Коментари по доклада за съответствие на машините за гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3722

Държавна агенция „Електронно управление“ публикува обобщена версия на доклада за съответствие на машините за гласуване.

На първо място – трябва ЦИК да публикува всички протоколи към доклада, а не само тази обща част. Тя оставя много въпроси по детайлите (но все пак е добре, че я има).

Извън това, имам следните общи коментари. Някои от тях може би са твърде технически, но ще опитам да дам и разяснения по тях:

  • Предоставени са три машини. Това е малко, като не става ясно от кои партиди на доставка са били, т.е. дали от всяка доставка има поне по една машина.
  • В доклада пише, че „За цялостното произвеждане на изборен процес чрез ТУМГ се използват допълнителни инструменти създаването на Image и инсталирането на операционната система и приложния софтуер.“ – т.е. за всеки избор има отделен image на операционната система плюс приложния софтуер. Според мен е по-добре да има един image на операционната система, а изборите да се конфигурират на приложно ниво. Иначе стои възможността изискванията към операционната система, които според доклада са спазени, да не бъдат спазени при друг image
  • Пише също така, че „Операционната система, инсталирана в основната памет на ТУМГ, има вградена функция, която при всяко зареждане, изчислява контролна сума (”хеш”). Този „хеш“ се визуализира на екрана със системна информация и се отпечатва върху служебните разписки. Чрез проверка за съвпадение с предварително изчисления „хеш“ на компонентите подготвени за инсталиране в ТУМГ се удостоверява и може да се гарантира автентичността на инсталирания в основната памет на ТУМГ базов и потребителски софтуер;“ – това е много важно. Всички застъпници и наблюдатели трябва да поискат от секционните избирателни комисии тази разписка и да яснимат, за да се установи дали всички машини имат идентичен хеш (както се очаква в рамките на един избор). Друг коментар тук е, че не трябва да се разчита на вградената функционалност за изчисляване на хеша, защото тя може да бъде подменена и да визуализира не реалния, а избран хеш. Т.е. трябва при предварителен и последващ одит да се използва външен механизъм за това (поне върху артефактите на приложния софтуер)
  • Докладът казва и следното: „Промените в „образа“ (дизайна)на бюлетината се реализират чрез промени в изходния код на приложението. При произвеждане на нови избори, в които се налага промяна в „образа“ на бюлетината, е необходимо препрограмиране, компилиране и нова инсталация на приложния софтуер в ТУМГ“ – това е много странно решение. Дизайн трябва да може да се реализира чрез шаблони, които да се настройват, вместо да се компилира наново цялото приложение за гласуване. Компилирането наново означава, че освен дизайна, някой може да промени и функционалност по отчитането.
  • Данните и номенклатурите за съответния избор се зареждат чрез USB флаш памет на всяка машина. Прозрачността на този процес не е описана в изборния кодекс, а би следвало съдържанието на тази флаш памет да бъде гарантирано (подписано), и публикувано предварително.
  • Докладът отбелязва, че „При невъзможност имената на партиите и кандидатите, да бъдат визуализирани на един екран, бюлетината се извежда на няколко последователни екрана и преминаването към всеки от тях се извършва с бутони;“ – това е потенциален проблем за партии с по-задни номера. „Моята партия я няма тука“ е нещо, което хора могат да си кажат, докато опитват да гласуват. Не казвам, че е лесно да се направи интерфейсът така, че хем да е идентичен с хартиената бюлетина, хем да не крие част от партиите/коалициите, и този проблем е отчасти заложен от самия Изборен кодекс, но трябва да се отбележи.
  • Протоколът се записва на файл на флашката и се подписва електронно. Докладът, обаче, не казва с какъв частен ключ се случва това и как се управлява той, съответно къде се съхраняват публичните ключове. Дали има един ключ за всички машини или се генерира отделен ключ за всяка? Използват ли се смарткартите на СИК-овете или се съхранява отделно, и ако да – това място защитено ли е от изтичане (съответно от възможността някой да вземе ключа и да подпише нов, фалшифициран протокол). В техническата спецификация се говори за генериране на ключове, но от доклада не става ясно как машините поддържат описания там процес.
  • Техническата спецификация изисква покритие с автоматизирани тестове на поне 70%. Това не е установено от доклада, макар че изглежда, че достъп до изходния код е бил предоставен
  • В доклада много бегло се споменава как е протекъл анализа на изходния код, както и откриването на уязвимости – не се посочва дали са сравнявани наличните компоненти с бази данни от уязвимости (NVD/CVE). Не изглежда да е прилаган статичен анализ на кода за откриване на уязвимости (SAST)
  • Установена е липса на ПИН пликове – това не е драматично и не е част от машините, но изпълнителят трябва да го предостави в изборния ден. Наблюдателите и застъпниците е добре да следят дали такива пликове са налични.
  • Следният сценарий не е изпълнен: „Тестване на модула за валидация и обобщаване на контролни записки, както и проверка на съдържанието на ЗТУ и основната памет на дефектирала машина –чрез устройството за четена на 2D бар кода“, защото от ЦИК не са предоставили необходими документи. Това е притеснително, защото проверката на съдържанието е важно за интегритета на машинния протокол
  • В техническата спецификация има изискване системната информация да бъде електронно подписана. От докладът не става ясно дали това е така.
  • „Всеки запис е в отделен файл, със случайно генерирано име, а всички файлове имат една и съща дата и час.“ – имената вероятно зависят от текущото време, което се използва за генератора на случайни числа (съответно имена). Не изглежда да е направен анализ дали може от имената да се извлече поредността. Това е сложна задача и може би не попада в обхвата на такъв доклад, но в дългосрочен план тази функционалност трябва да се прегледа.
  • Споменава се, че дисковите дялове са криптирани, но не се казва с какъв ключ и дали е full disk encryption, както пише в техническата спецификация. Може би в протоколите има повече детайли.

Със сигурност е редно да бъдат публикувани детайлните протоколи. Редно и поне след изборите да бъде даден достъп на външни експерти да разгледат машините. Редно е ЦИК да предостави достъп до данните от флашките, както и наблюдателите и застъпници да снимат разписките със служебна информация.

Дали машините са сигурни или не, не мога да кажа. Докладът е позитивен, но също така поставя въпроси. Машините все още са черни кутии за избирателите и това трябва да се промени.

Материалът Коментари по доклада за съответствие на машините за гласуване е публикуван за пръв път на БЛОГодаря.

Говорител на ЦИК: „Не могат да преброят 50 гласа, искат машини?“

Post Syndicated from Николай Марченко original https://bivol.bg/%D0%BD%D0%B5-%D0%BC%D0%BE%D0%B3%D0%B0%D1%82-%D0%B4%D0%B0-%D0%BF%D1%80%D0%B5%D0%B1%D1%80%D0%BE%D1%8F%D1%82-50-%D0%B3%D0%BB%D0%B0%D1%81%D0%B0-%D0%B8%D1%81%D0%BA%D0%B0%D1%82-%D0%BC%D0%B0%D1%88.html

сряда 31 март 2021


Говорителят на Централната избирателна комисия (ЦИК) Димитър Димитров смята машините за гласуване, въведени тази година в избирателните секции с над 300 души, за абсолютно “безсмислени”.  „Така ли и не разбрахте,…

Щели да ми гласуват машинно те!

Post Syndicated from original https://bivol.bg/machine-vote.html

понеделник 15 юли 2019


За четири дни ЦИК изяла 13577 лева. И машинното гласуване

Post Syndicated from Атанас Чобанов original https://bivol.bg/cik-preferences-food.html

събота 15 юни 2019


Мишмаш в публикуваните от ЦИК данни за евроизборите повдига сериозни въпроси за броенето на гласовете

Post Syndicated from Атанас Чобанов original https://bivol.bg/cik-open-data-ep2019.html

понеделник 3 юни 2019