Post Syndicated from Bozho original https://blog.bozho.net/blog/4210

Гледам, че пак се правят опити за дискредитиране на машинното гласуване дори когато машините не отичтат резултат. Както обикновено, зад бомбастични твърдения като „откраднати гласове“, „масова фалшификация“, „не се знае кой печели“ и „липсващи флашки“ стои (в добрия случай) некомпетентност и (в лошия случай) политическа злонамереност. Затова нека обърна внимание на някои детайли:

На първо място трябва да подчертаем за пореден път, че след последните промени, машините не броят. Броят хората. Машината може да се ползва, за да се установят евентуални проблеми при броенето от хората в комисиите.

Това, което експертизата е установила (четох я преди заседанието на съда), е че има нищожни разминавания (200 гласа при 300 секции) между хартиените протоколи и данните на флашките. Нещо, което винаги го е имало, винаги се е оказвало, че е или човешка грешка при броенето или еднократен проблем с принтера и хартията. Именно заради тези разминавания настоявахме флашките да останат в изборния кодекс, настоявахме да се използват в РИК при приемане на протоколите. РИК не прави това сравнение, но флашките останаха именно заради настояването на ППДБ. За да могат да се правят такива сравнения. Но чували не са отваряни и бюлетини не са броени. Т.е. в момента отчитаме разликата между отчетеното от машината и отчетеното от секционната комисия, без да го броим повторно. Съответно всякакви твърдения кое е „вярно“ са несъстоятелни.

Разликите винаги са били нищожни и не са променяли резултата. Аз направих такова сравнение на парламетнарните избори и го публикувах. И тогава разминаванията не променяха резултата, и сега не го правят – кумулативно 200 гласа при 10% от протоколите значат, че дори да се запази това съотношение, при 100% сравнение ще има 1000 гласа разлика. При победа на Терзиев с около 5000 гласа. Трябва да отбележим, че на флашката има повече гласове и за двамата кандидати. Отчасти заради проблеми с ролката и хартията, отчасти заради човешки грешки при броенето.

Има твърдения, че протоколите не са подписани с квалифициран електронен подпис. Първо, по закон това не се изисква. Защото квалифицираният електронен подпис е на физическо лице, а ключовете (и картите) с които се подписват протоколите са на „секционна комисия“, т.е. законово те няма как да бъдат КЕП. Но технически са именно такива – смарткарта, частен ключ, удостоверителна верига и то (по стечение на обстоятелствата) от доставчик на квалифицирани удостоверителни услуги, т.е. с опит в тази сфера (Информационно обслужване). Подписите могат да се проверят от всеки и гарантират, че е нямало подмяна на файлове (по моя препоръка ЦИК публикува публичните ключове на смарткартите преди изборния ден, за да може да се установи дали подписите са направени с правилните карти, а не с други). (Твърдението за подписването е оттеглено в съдебното заседание от вещото лице след несъгласие от страна на нашите адвокати)

Липсващите 15 флашки (според експертизата) всъщност са проблем на организацията при предоставяне на материалите. Първоначално не е била предоставена нито една флашка (пак според експертизата). Данните от флашките, заедно с подписите към тях, са налични на сайта на ЦИК – проверих тези секции. Вещите лица е можело също да ги вземат от там и да ги сравнят, оставяйки все пак забележката, че не са дошли на флашка (аз сравних 4 от тях, няма нищо по-различно от останалите – +/- един глас)

Действително, в допълнение на човешките грешки, заради проблемите с хартията и принтерите (за което помните, че сигнализирахме както при приемането на промените в Изборния кодекс, така и преди последните избори), разминаванията са в много секции. С по 1-2 гласа, разбира се, но самият процент секции звучи стряскащо. Поради което ще продължим да настояваме тези сравнения да се правят в РИК, а не пост-фактум, защото разликите в числата са незначителни, но политическите ефекти от злонамереното им използване може да са значителни.

В заключение, няма откраднати гласове, няма липсващи данни, няма възможност за манипулация на машинни протоколи и няма фалшификации. Има, обаче, политици, които искат да оправдаят неуспехите си с изборната технология. И призивът ми към анализаторите е да не им се връзват, а да погледнат детайлите внимателно.

Материалът Поредна димка за машинното гласуване и изборите в София е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/4159

Малко понятия за анализаторите, които днес ще коментират темата:

• хеш / хеш код / чексума / криптографски идентификатор – това е сравнително кратък низ от символи, който представлява уникален отпечатък на даден софтуер или файл. Той е видим за всички, по закон е публичен и се публикува на сайта на ЦИК . И трябва да е еднакъв за всички машини.
• изходен код – това е серия от инструкции, които описват поведението на софтуера. Той е доста редове (вероятно над половин милион за софтуера на машините). Той се представя в цялост на партиите и коалициите по закон, т.е. всички сме го виждали официално, пред представители на ДАНС.
• парола – паролата всички знаят какво представлява. В този процес тя се ползва само за допълнителна защита на ключа (и са три пароли, на трима членове на ЦИК). Писането на пароли не се вижда на екран – дори звездички не се виждат.
• ключ / криптографски ключ / частен ключ – това е последователност от символи (реално – байтове), чрез която се подписва софтуера на машините. Машините зареждат само софтуер, подписан с ключа на ЦИК. В процеса по изграждане ключът не се визуализира на екран. Записва се на диска, защитен с комбинация от три пароли. При ново изграждане се генерира различен ключ всеки път, на случарн принцип, като той не дава достъп до машините. Възможност (индиректна) да се инсталира софтуер на машините дава ключът на ЦИК за тези избори и ключът от предните избори (заради процес, който е извън обхвата на обяснението на понятията).

Накратко – всичко, което е видимо на екран, е публично или частично публично (за регистрираните партии) по закон. Всичко, което трябва да е тайно – ключът+паролите, не се показва на екран, а повторно генериране не дава достъп до машините.

Тези разяснения вероятно са излишни, защото въпросът беше превърнат в политически. Но тъй като днес е ден за размисъл и по студията няма да има политици, се надявам анализаторите да са по-прецизни.

Материалът Хеш, код, ключ – обяснение на понятия е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3992

След като Изборният кодекс беше приет от хартиеното мнозинство, е време да опиша детайлите и пълната хронология на неговото приемане.

Ще започна с обобщение на хронологията с някои важни моменти по нея:

1. Внасяне – БСП внасят законопроекта на първия работен ден на Народното събрание (19.10). Ден по-късно Възраждане внасят техен законопроект. В понеделник, 31.10, когато излиза дневния ред на правната комисия и в него присъстват Изборния кодекс, аз и Ивайло Мирчев внасяме нашите изменения за повишаване на доверието в машинното гласуване, за да може да се гледат едновременно, както е по правилник. Атанасова (ГЕРБ) спекулираше в един свой статус, че и ние сме били бързали с Изборния кодекс и затова сме внесли изменения, но ние реагирахме на тяхното бързане.
2. Първо гласуване в комисии – комисията по правни въпроси е водеща и след нейното заседание е възможно да се разглежда в пленарна зала. Още преди да бъде приет от правна комисия, Изборният кодекс е включен в дневния ред за пленарното заседание, като нито една от другите комисии, на които е разпределен, не стига до това да гледа законопроекта. Не е дадено време и за становища на заинтересовани организации.
3. Първо гласуване – проектът е приет, като веднага след това е даден съкратен срок за предложения между двете гласувания. В зала аргументите са „дайте само да дадем възможност да се гласува и с хартия, какво толкова“, което след това се оказва прах в очите, тъй като хартиената коалиция премахва машинното преброяване. На първо гласуване е приет и законопроектът на Демократична България, като ГЕРБ гласува „против“, което не кореспондира със заявките им, че искат повече гаранции за машинното гласуване. Накрая на дебата колегата Мирчев взема думата, за да обяви, че тъй като явно мнозинството ще връща хартията, ние ще предложим преброителни центрове, които да решат проблемите с преброяването и отчитането на резултат от секционните комисии
4. Предложения между двете гласувания – между двете гласувания има 5 групи предложения. На ГЕРБ за премахване на машинното броене; пак на ГЕРБ за осакатяване на разнообразни права по кодекса, в т.ч. район Чужбина, откриване на секции в чужбина, закриване на обществен съвет, прекратяване на дистанционно електронно гласуване; на ДПС за въвеждане на оптични скенери и връщане на 100% хартия; на ДБ за въвеждане на преброителни центрове; на ПП по много на брой теми, някои от които свързани с хартия и машини, а други – не.
5. Правна комисия – веднага след изтичането на срока, правна комисия провежда 18-часово заседание, продължило цяла нощ и завършило сутринта след изгрев слънце. Предложения, които не са в обхвата на приетите на първо гласуване, са подложени на гласуване, което противоречи на правилника. Предложено е създаване на работна група (от колегите от ПП), която мнозинството отхвърля. БСП гласуват против собствените си текстове, като вместо това подкрепят текстовете, предложени от ГЕРБ. Аргументът на мнозинството, че „и вие миналата година така погазихте правилата“ не издържат – миналата година между първо и второ гласуване не беше приемано нищо извън първоначалния обхват.
6. Дискусия преди пленарна зала – след заседанието на правна комисия и вкарването на точката в пленарна зала, от ДБ и ПП обявяваме, че искаме всички предложения да бъдат обсъдени експертно в структуриран формат – временна комисия, която да изследва всички варианти и да представи доклад, който да помогне на депутатите да вземат решение. В проекта на дневен ред на такава комисия има одит на машините, изслушване на ЦИК и МЕУ, проучване на оптични скенери и тяхната приложимост и др. Въпреки, че малко преди това Борисов заявява, че няма проблем седмица-две да поработи такава комисия, мнозинството (вкл. ГЕРБ) я отхвърля (дори не е внесена за гласуване от председателя). Диалогът е отказан, отново без аргументи (притеснението на мнозинството е, че целта ни е да забавим приемането на кодекса, който те искат да приемат „с 200“)
7. Второ гласуване – второто гласуване в зала произвежда редица абсурдни скандали, като в крайна сметка, въпреки заявките, че „машинното гласуване остава“ и въпреки, че ГЕРБ отричат, че ще се маха машинния протокол, всичко машинно, освен принтера е премахнато. Флашката остава, но никой няма достъп до нея, а всички предложения тя да се свали в РИК, да се публикува от ЦИК или машинния протокол да се приложи към другия протокол, са отхвърлени. Ще се броят разписки (превърнати в „бюлетина за машинно гласуване“ чрез защитена хартия), а машината няма да брои. Достъп до флашките на практика ще има след съдебно обжалване на резултат (или ако ЦИК прояви инициатива, което при блокиращата квота на ГЕРБ, ДПС и БСП изглежда невъзможно). В един момент в гласуването се оказва, че ГЕРБ, ДПС и БСП са се разбрали за въвеждане на оптични скенери за местните избори, но бързо след това се отказват. Малко повече за това – по-долу

Ето няколко по-значими теми:

• Временната комисия – във временната комисия, която предложихме, трябваше да се обсъдят всички спорни моменти и технически детайли, включително избор на дългосрочно решение за изборна технология. Комисията можеше да възложи социологически проучвания на нагласите към различни изборни технологии и да провери опорните точки за доверието в машините (социологията, с която ние разполагаме, казва, че мнозинството от хората имат доверие в машините, с изключение на избирателите на ГЕРБ, които от година и половина се облъчват с конспирации, но дори при тях средното доверие е 5 от 10). Отказът от тази комисия, въпреки заявките за диалог, доведоха до това да се правят съществени редакционни предложения в пленарна зала – много лоша законодателна практика, по известна като „законодателство на колянце“. Доведоха и до продължаващото говорене на неистини за машинното гласуване. Най-важната цел на тази комисия беше да постигне успокояване, след като крехкият диалогичен тон в парламента беше „взривен“ с 18-часовото заседание на правна комисия и газенето на правилата. Дори при проект на дневен ред на комисията, който не би забавил приемането на кодекса, мнозинството не я прие.
• Преброителните центрове – от ДБ предложихме преброителните центрове като решение на проблема с поправяните протоколи и недействителните бюлетини, които се връщат след връщането на хартията. Нашата теза беше: „като така и така ще връщате хартията, хайде поне да увеличим доверието в отчитането на резултата“. Представихме проекта на всички партии в нарочна среща, като БСП и ГЕРБ взеха думата, за да кажат, че „то това няма как да стане“. Те имаха тази позиция още преди да са видели проекта и детайлите по него, което значеше „ще правим каквото сме си решили“. Пренасянето на запечатани урни, според някои от тях, нямало да възстанови доверието. На това има решение, вкл. видеонаблюдение при транспорт, в допълнение на запечатващите защитени ленти, които предлагахме, но и това не беше обсъдено извън 2-3 кулоарни разговора.
• Оптичните секенери – ДПС между четенията предложиха оптични скенери. Настрана факта, че такава фундаментална промяна не може и не бива да се предлага между четенията, тя поставя много въпроси, които не могат да бъдат отговорени нито в 6ч сутринта на правна комисия, нито в пленарна зала. В изказване по темата очертах някои от въпросите, без отговори на които не можем да въведем нова технология, въпреки, че тя изглежда приемлива на пръв поглед и може да бъде консенсусна. Но начинът на нейното „промушване“, с някакво съгласие между ГЕРБ, ДПС и БСП, за което останалите разбираме в пленарна зала, с редакционно предложение „чл. 206“ да стане „чл. 206а“, е неприемлив. Въпросите са: дали скенерите ще доведат до смяна на знака и средството за гласуване (Х и V с химикал могат ли да бъдат разпознати с достатъчно високо ниво на точност или трябва да преминем към плътно кръгче с маркер); трябва ли да променим вида на бюлетината – номера на партията да бъде извън квадратчето, за да не обърква скенера; колко пъти ще може скенерът да връща на избирателя невалидна бюлетина и какво става след 2-рия/n-тия път – избирателят си тръгва без да е гласувал или скенерът приема бюлетината с ясната идея, че е невалидна, или се дава възможност с тъчскрийн да се посочи кой е избраният вариант; как се отговаря на същите въпроси, поставени при настоящите машини за изходния код и машинните протоколи – тази машина също брои и трябва да има същите нива на прозрачност, достъп до кода, гаранции за интегритета на данните; броят ли са пуснатите бюлетини, броят ли се контролни разписки (ако има такива), какво става при разминаване между тези две числа и резултата от машинния протокол; дали пъхането на хартия в скенер, който може да ти я върне, е по-удобно и „неплашещо“ за избирателите от машина с тъчскрийн; колко и как да бъде организиран преходния период и експериментите с новата технология. Всички тези въпроси нямаха отговор, а след отказа да бъдат обсъждани в специална комисия, нямаше и как да получат, поради което ние излязохме от зала. След това ГЕРБ и БСП „дадоха заден“ и се върнаха да прегласуват и отхвърлят чл. 206а. Проблемът при този начин на приемане на законодателство е, че имаше риск да „отстреляме“ поредната изборна технология, която иначе има потенциал.
• Разминаванията в протоколите – от трибуната и ДПС и БСП развяваха протоколи, при които имало разминаване между броенето на разписките и резултата от машината. Това беше изцяло пропагандно усилие, тъй като при дебата в комисия по електронно управление (който се случи след първо четене в зала, и беше критикуван от ГЕРБ, БСП и ДПС, като дори не участваха във втората му част) ЦИК посочиха, че при всички разминавания в минали избори, при повторна проверка се е оказвало, че машината е права, а грешката е в секционната комисия (при броенето или при преписването на машинния протокол, което също се случва). На тези избори повторната проверка на разминаванията още не е направена, но най-вероятно резултатът ще е същия. Още повече, че секциите с такива разминавания са неповече от 20. Проверих една от цитираните секции и се оказа, че в пълния протокол пише, че машината е спряла да работи за кратко и на база на това 2 гласа са признати без нея. В другия случай, в който за ДБ имало 7 гласа според разписките и 77 според машината, става дума за грешно преписване на машинния протокол. Няма нито системен, нито дори локален проблем. Има просто злоупотреба с предварителни данни и внушения. Но най-лошото е, че докато ГЕРБ, ДПС и БСП говорят за разминавания, техните представители в ЦИК гласуват против пълен следизборен одит на разписките. Както на предни избори бяха гласували против предоставяне на изходния код, въпреки законовата разпоредба, приета по предложение на ДБ.
• Машинните протоколи и флашките – машината вече няма да отпечатва протокол. Не просто той няма да е водещ, а няма да го има дори за справка (за да не го преписват комисиите, имаше идея дори да се отпечатва след определено време от машината, но и това не бе прието). За малко да премахнат и флашката, а с редакционно предложение в зала беше уредено все пак на флашката да се записва нещо (иначе щеше да стои празна). Но мнозинството отказа данните от тази флашка да се свалят в РИК и да се публикуват. Т.е. тя остава скрита. Защо – вносителите и защитниците на това предложение отказаха да го мотивират от трибуната. А съдържанието на флашката е електронно подписано и не може да бъде променяно, без това да се открие в РИК, така че тя е сигурен носител на информация. Смесването на хартиените бюлетини и разпечатките прави машинния протокол (разпечатан или на флашка) по-малко полезен, но все пак полезен за допълнителна контрола. Мнозинството отказа да има такава контрола. Хората, които искат машинно гласуване, вярват именно на машинното отчитане на гласовете, като хартиената коалиция хвърли това в коша.
• Машинната бюлетина – предвижда се машината да разпечатва избора на защитена хартия, като после машинните бюлетини и хартиените бюлетини се смесват и се броят заедно. Смятаме, че това ще доведе до объркване при броенето, но по-големият проблем е дали машинните принтери ще работят с новата хартия – има изисквания за ширина, дебелина, тежест, а също така трябва да може да бъде перфорирана и сгъвана. Все неща, за които нямаше ясен отговор от вносителите. Все пак, по мое предложение, беше приета преходна разпоредба, с която се задължава ЦИК да стартира експерименти в новата хартия максимално бързо след приемане на закона, за да не се окаже 10 дни преди изборите, че машините не могат да се ползват. Не беше прието моето предложение в правна комисия да се уреди QR кода на разписката като защитна мярка (той също е електронно подписан, т.е. не може отвън да бъдат внесени фалшиви разписки)

В заключение смятам, че Народното събрание прие лош изборен кодекс със също толкова лош процес. Диалогът беше отхвърлен въпреки заявките, а като изключим няколко редакционни предложения, видеозаписването в допълнение на видеозаснемането, и на практика вече излишните мерки за допълнителна прозрачност на машините (които няма да смятат), критиката и предложенията на опозицията не бяха чути. Изборният кодекс трябва да носи доверие в получения резултат както със съдържанието си, така и с процеса си на приемане. Мнозинството изглежда имаше за цел обратното, като използва всяка възможност да внушава, че нещо с машините не е наред въпреки липсата на каквито и да било доказателства.

Явно имаме много път да извървим като политическа класа, за да стигнем до информирани дебати по същество, които повишават доверието в институциите, а не го рушат с газене на правилата, дребни интриги, абсурдни скандали и добре подготвени внушения.

Материалът Какво се случи с Изборния кодекс и машинното гласуване е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3987

Тези дни се наслушах на неистини и подвеждащи твърдения за машините. Когато мога, ги опровергавам на момента (напр. в комисия или от трибуната). Но ето списък:

• „никъде в Европа не се гласува с машини“ – невярно, в Белгия се гласува с машини и то със същите
• „германският конституционен съд ги обяви за ненадеждни“ – първо, българският конституционен съд има значение, не германският, а той е обявил действащия кодекс за отговарящ на Конституцията. А Германският, ако прочетем решението, казва, че по принцип не изключва машинното гласуване, но в конкретния им случай е нямало разписка, с която да се провери как машината отчита подадения глас и това е било проблем.
• „машините на Мадуро“ – основателите на компанията са венецуелци, а машините са ползвани във Венецуела и секционните комисии са добявяли гласове накрая на изборния ден. Това нарушение е обявено именно от Смартматик, които след това се изтеглят оттам. То не е манипулация на машината. С хартиена бюлетина става същото – пускат се бюлетини от името на негласували избиратели. Машината обаче пази информация за това кога е вкарана картата за гласуване, така че за разлика от на хартия, тук това е откриваемо нарушение. Затова ние предложихме да се публикува журналът на събитията. ГЕРБ, ДПС и БСП не го подкрепиха.
• „дневникът е подправен показва манипулация“ – точно обратното, това показва, че ако има каквото и да било разминаване във флашките (дали заради дефектирала флашка или заради опит за слагане на манипулирана флашка), машината открива това и спира изборния ден. Това съобщение ни казва, че машината се пази от манипулации.
• „техните машини“ – това го коментирах вчера. Министерският съвет на ГЕРБ гласува да купи машини. ЦИК в предишен състав, доминиран от ГЕРБ, БСП и ДПС и с председател от квотата на ГЕРБ ги поръча.

Съзнателното създаване на недоверие в машините не е просто дребно политиканстване. То създава недоверие в изборния процес и в резултата, съответно в излъчените управления. И е безотговорно.

Материалът Пет подвеждащи твърдения за машинното гласуване е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3955

Днес Тома Биков беше в Нова, да ми отговори за машините. Вчера казах, че няма индикации за манипулация, а ГЕРБ не са дошли да анализират сорс кода в законоустановения за това момент.

Нека да ползвам „право на дуплика“ по всички твърдения на г-н Биков. Като няма да влизам в реториката „вие къде бяхте, когато…“, защото сигурно е омръзнала – ДБ и аз лично от години предлагаме мерки за подобряване на процеса, а ГЕРБ са против. Но да приемем, че вече не са.

• Биков твърди, че оспорвам правото им да се съмняват. Ни най-малко. Длъжни сме да се съмняваме всички и да правим институционални действия за подобрение на процеса. Но да излезе председателя на ГЕРБ и да каже „100% машините са пипани“ не е изразяване на съмнение, а поредното безотговорно внушение.
• „не сме получили покана“ – на имейлите за контакт МЕУ изпращаше покани за всяко едно събитие. Колегата от ТУ, излъчен от ГЕРБ беше на първите три, по спомен. Покана сме получили останалите две формации (ДБ и ПП), та бих препоръчал да си проверите пак имейла. Но да, не е това най-важното.
• „1 час не стига“- така е. Но не беше един час. Никой не ме изгони, но прецених, че базовите сценарии, които могат да се проверят в рамките на деня, съм ги покрил. Напомням, че ние затова обжалвахме решението на ЦИК, искайки повече време. Представителите на ГЕРБ в ЦИК какво отношение взеха по жалбата? Дали са нужни два месеца – не мисля, но не вреди. Кодът е много добре покрит с автоматизирани тестове, а аз проверих всички места, които пишат по файловата система (и как се стига до тях). Затова за краткото време имам степен на увереност, че в кода „шашми“ няма.
• предложенията за подобрения на Изборния кодекс ги приветствам по принцип, но в случая има риск да са „капан“, и като се отвори темата, ГЕРБ да предложат връщане на хартията. Което г-н Биков не отрече (още не били взели решение, ама предния път били за връщане). Затова нека ЦИК да предложи допълнително споразумение към договора (сключен от предния ЦИК, доминиран от ГЕРБ), с което да договори допълнителни варианти за достъп на експерти след изборния ден. Не вярвам Смартматик да откажат, то е и в техен интерес.
• Има твърде много гласове „Не подкрепям никого“. Да, има. Защото това са 4-ти поредни избори и има много разочаровани хора. А и да върнем лентата към 2017 г (където активността все пак беше доста по-висока) – там също има 87 хиляди „не подкрепям никого“.
• „колкото по-висок резултат има ГЕРБ, толкова повече гласове „не подкрепям никого“ има“- това е базово неразбиране на това как работи статистиката. Водещите хванаха този проблем в графиката – естествено, че колкото по-голям е избирателния район, толкова повече гласове за ГЕРБ и съответно повече гласове „не подкрепям никого“. Направихме си труда да направим реално сравнение на процентите, а не на абсолютните стойности и не – няма никаква корелация между резултата на ГЕРБ и „не подкрепям никого“ (прилагам графика)
• г-н Биков твърди, че докато съм бил министър, не съм свършил нищо за прозрачността на машинното гласуване. Реалността е друга – дотолкова друга, че медии, приближени до ГЕРБ, ме обвиниха, че съм се месил на ЦИК, тъй като от МЕУ сме изпратили проект на правила за достъп до кода. Така че да решат кое е – че съм работил с ЦИК и съм изпращал документи, или че нищо не съм направил.

Да, трябва да подобрим процесите около машинното гласуване и трябва да повишим доверието. Твърдения, като тези на ГЕРБ, че „машините са пипани“, не правят това. Съмненията са задължителни, подобренията – също, но внушенията са безотговорни.

Материалът Отговор на Тома Биков за машинното гласуване е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3779

Днес бях на среща с представител на ЦИК, Държавна агенция „Електронно управление“, БИС и БИМ относно процеса по удостоверяването на съответсвието на машините за гласуване с изисквания на Изборния кодекс и техническата спецификация.

Форматът беше презентации от трите институции, участващи в удостоверяването, последвано от въпроси от експертите (четиримма, в това число аз, от участниците в изборите и един от международен наблюдател). Аз зададох петнайсетина въпроса, като ще ги опиша тук, заедно с отговорите, които получих. Предупреждавам, че са доста технически и изискват доста контекст.

Важното нещо, което стана ясно, е че за тези избори ще се използва същият софтуер, като на изборите през април. Системният образ ще бъде този, направен за предните избори (проверимо с хеша му) и нов няма да се прави. Така всякакви опити да бъдат дискредитирани изборите, защото „някой пипа кодовете“, стават несъстоятелни.

В: В презентацията се споменаваше, че смарткартите имат чип на Infineon – проверено ли е дали тези модели са засегнати от уязвимостта ROCA, открита преди няколко години
О: Да, проверено е и няма тази уязвимост

В: В презентацията се спомена, че машините имат тестови режим и реален режим. Може ли една машина, участваща в реалния изборен процес, да бъде пусната в тестови режим?
О: Тестовият режим ползва различен build (системен образ) и съответно би имала различен хеш. Секционните комисии трябва да проверяват хеша и да сигнализират при несъответсвие.

В: Колко време издържа мастилото върху хартията на разпечатания протокол?
О: Мастилото и хартията са удостоверени, че издържат 5 години.

В: Кой извършва инсталирането и персонализирането на машините в складовете?
О: Доставчикът (Сиела-Норма)

В: Могат ли да бъде предоставен публичен достъп до разписките, които се генерират от машинтие при инсталиране и персонализиране на машините
О: Това е от компетенцията на ЦИК, които поискаха писмено да им бъдат изпратени въпроси, за да могат да отговорят по същество.

В: Валидирането на смарт картите на база на какво се извършва?
О: На база на комбинация от всички атрибути на сертификата. Сертификатът се слага на машината по време на персонализирането ѝ и след това само смарткарта, притежаваща този сертификат (и съответния му частен ключ) може да работи с машината.

В: При персонализирането на смарт картите къде се генерира частния ключ – на самата карта или извън нея?
О: На самата карта, което не позволява изтичане

В: Персонализирането синхронизирано ли е с решенията на РИК за проманя на листи (напр. при отказване, смърт)
О: Отразени са всички промени до момента. Оттук нататък всички промени минават през ЦИК и се синхронизират със Сиела.

В: Къде се намира частният ключ, с който се подписва протокола на флашката? На смарт картата или другаде?
О: На смарт картата (предназначена за членовете на СИК)

В: Кой присъства на правенето на build (системен образ)
О: Ще се използва билда от предните избори, на който са присъствали Сиела-Норма и представител на Държавна агенция „Електронно управление“

В: В какъв формат е системният образ?
O: FSA (File System Archive)

В: Изключена ли е възможността през USB порт да бъдат разпознавани клавиатури, мишки и други устройства (които потенциално могат да имат злонамерено действие)
О: Да, изключени са

В: Кой и как управлява ключовете за UEFI secure boot?
О: Въпрос от компетентността на ЦИК, с нужда от изпращане на писмен въпрос (членовете на ЦИК трябваше да излязат за заседание, което налагаше отнасянето до някои въпроси в тази форма)

В: Освен системната разписка, съдържаща хеша на всички файлове (с изключение на логове и временни), е възможно да се включи външен hash extractor, който да сметне хеша независимо. Как работи той?
О: Hash extractor-ът е bootable флашка, подписана със съответния ключ за UEFI secure boot, чрез която се извлича хеша.
Коментар: Тук предложението, което ще изпратим заедно с въпросите, е да се използва hash extractor-ът на извадка от машините преди и/или след изборите, за допълнителна проверка

В: Хешът на системния образ ще бъде ли публикуван?
О: Да

В: Как се гарантира рандомизацията на гласовете в криптираната част на флашката? (този въпрос ми беше в списъка, но го зададе колега от неправителствена организация. В доклада за предните избори пише, че всички файлове са с timestamp = 0 и със случайно генерирани имена, но колегата отбеляза, че ext3 файловата система има включено по подразбиране журналиране, което може да се използва за разкриване на поредността).
О: Слеед всеки подаден глас машината разменя съдържанието на новия глас със съществуващ клас в някакъв процент от случаите, така че да се получи рандомизация.

Полагам усилие да гарантирам, че всичко се случва възможно най-правилно и че всеки участник в процеса се чувства наблюдаван и инспектиран. Важно е, по много причини, изборите да са честни, и то доказуемо честни.

Материалът Технически въпроси и отговори относно машините за гласуване е публикуван за пръв път на БЛОГодаря.

Post Syndicated from Bozho original https://blog.bozho.net/blog/3722

Държавна агенция „Електронно управление“ публикува обобщена версия на доклада за съответствие на машините за гласуване.

На първо място – трябва ЦИК да публикува всички протоколи към доклада, а не само тази обща част. Тя оставя много въпроси по детайлите (но все пак е добре, че я има).

Извън това, имам следните общи коментари. Някои от тях може би са твърде технически, но ще опитам да дам и разяснения по тях:

• Предоставени са три машини. Това е малко, като не става ясно от кои партиди на доставка са били, т.е. дали от всяка доставка има поне по една машина.
• В доклада пише, че „За цялостното произвеждане на изборен процес чрез ТУМГ се използват допълнителни инструменти създаването на Image и инсталирането на операционната система и приложния софтуер.“ – т.е. за всеки избор има отделен image на операционната система плюс приложния софтуер. Според мен е по-добре да има един image на операционната система, а изборите да се конфигурират на приложно ниво. Иначе стои възможността изискванията към операционната система, които според доклада са спазени, да не бъдат спазени при друг image
• Пише също така, че „Операционната система, инсталирана в основната памет на ТУМГ, има вградена функция, която при всяко зареждане, изчислява контролна сума (”хеш”). Този „хеш“ се визуализира на екрана със системна информация и се отпечатва върху служебните разписки. Чрез проверка за съвпадение с предварително изчисления „хеш“ на компонентите подготвени за инсталиране в ТУМГ се удостоверява и може да се гарантира автентичността на инсталирания в основната памет на ТУМГ базов и потребителски софтуер;“ – това е много важно. Всички застъпници и наблюдатели трябва да поискат от секционните избирателни комисии тази разписка и да яснимат, за да се установи дали всички машини имат идентичен хеш (както се очаква в рамките на един избор). Друг коментар тук е, че не трябва да се разчита на вградената функционалност за изчисляване на хеша, защото тя може да бъде подменена и да визуализира не реалния, а избран хеш. Т.е. трябва при предварителен и последващ одит да се използва външен механизъм за това (поне върху артефактите на приложния софтуер)
• Докладът казва и следното: „Промените в „образа“ (дизайна)на бюлетината се реализират чрез промени в изходния код на приложението. При произвеждане на нови избори, в които се налага промяна в „образа“ на бюлетината, е необходимо препрограмиране, компилиране и нова инсталация на приложния софтуер в ТУМГ“ – това е много странно решение. Дизайн трябва да може да се реализира чрез шаблони, които да се настройват, вместо да се компилира наново цялото приложение за гласуване. Компилирането наново означава, че освен дизайна, някой може да промени и функционалност по отчитането.
• Данните и номенклатурите за съответния избор се зареждат чрез USB флаш памет на всяка машина. Прозрачността на този процес не е описана в изборния кодекс, а би следвало съдържанието на тази флаш памет да бъде гарантирано (подписано), и публикувано предварително.
• Докладът отбелязва, че „При невъзможност имената на партиите и кандидатите, да бъдат визуализирани на един екран, бюлетината се извежда на няколко последователни екрана и преминаването към всеки от тях се извършва с бутони;“ – това е потенциален проблем за партии с по-задни номера. „Моята партия я няма тука“ е нещо, което хора могат да си кажат, докато опитват да гласуват. Не казвам, че е лесно да се направи интерфейсът така, че хем да е идентичен с хартиената бюлетина, хем да не крие част от партиите/коалициите, и този проблем е отчасти заложен от самия Изборен кодекс, но трябва да се отбележи.
• Протоколът се записва на файл на флашката и се подписва електронно. Докладът, обаче, не казва с какъв частен ключ се случва това и как се управлява той, съответно къде се съхраняват публичните ключове. Дали има един ключ за всички машини или се генерира отделен ключ за всяка? Използват ли се смарткартите на СИК-овете или се съхранява отделно, и ако да – това място защитено ли е от изтичане (съответно от възможността някой да вземе ключа и да подпише нов, фалшифициран протокол). В техническата спецификация се говори за генериране на ключове, но от доклада не става ясно как машините поддържат описания там процес.
• Техническата спецификация изисква покритие с автоматизирани тестове на поне 70%. Това не е установено от доклада, макар че изглежда, че достъп до изходния код е бил предоставен
• В доклада много бегло се споменава как е протекъл анализа на изходния код, както и откриването на уязвимости – не се посочва дали са сравнявани наличните компоненти с бази данни от уязвимости (NVD/CVE). Не изглежда да е прилаган статичен анализ на кода за откриване на уязвимости (SAST)
• Установена е липса на ПИН пликове – това не е драматично и не е част от машините, но изпълнителят трябва да го предостави в изборния ден. Наблюдателите и застъпниците е добре да следят дали такива пликове са налични.
• Следният сценарий не е изпълнен: „Тестване на модула за валидация и обобщаване на контролни записки, както и проверка на съдържанието на ЗТУ и основната памет на дефектирала машина –чрез устройството за четена на 2D бар кода“, защото от ЦИК не са предоставили необходими документи. Това е притеснително, защото проверката на съдържанието е важно за интегритета на машинния протокол
• В техническата спецификация има изискване системната информация да бъде електронно подписана. От докладът не става ясно дали това е така.
• „Всеки запис е в отделен файл, със случайно генерирано име, а всички файлове имат една и съща дата и час.“ – имената вероятно зависят от текущото време, което се използва за генератора на случайни числа (съответно имена). Не изглежда да е направен анализ дали може от имената да се извлече поредността. Това е сложна задача и може би не попада в обхвата на такъв доклад, но в дългосрочен план тази функционалност трябва да се прегледа.
• Споменава се, че дисковите дялове са криптирани, но не се казва с какъв ключ и дали е full disk encryption, както пише в техническата спецификация. Може би в протоколите има повече детайли.

Със сигурност е редно да бъдат публикувани детайлните протоколи. Редно и поне след изборите да бъде даден достъп на външни експерти да разгледат машините. Редно е ЦИК да предостави достъп до данните от флашките, както и наблюдателите и застъпници да снимат разписките със служебна информация.

Дали машините са сигурни или не, не мога да кажа. Докладът е позитивен, но също така поставя въпроси. Машините все още са черни кутии за избирателите и това трябва да се промени.

Материалът Коментари по доклада за съответствие на машините за гласуване е публикуван за пръв път на БЛОГодаря.