Tag Archives: хакнат

Пет мита за електронното гласуване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3004

Тази седмица ЦИК ще направи демонстрация на електронно гласуване в рамките на проекта, който преди малко повече от година заложихме в пътната карта за електронно управление. На „дистанционно електронно гласуване“, ако трябва да сме коректни – терминологията не е унифицирана, и често само „електронно гласуване“ може да значи и „машинно“. Та във връзка с раздвижването по темата, по медиите канят знайни и незнайни хора (сред които и уважавани експерти) да коментират. Случват се и разни събития/кръгли маси/конференции по темата, на някои от които присъствам.

Това, което чувам са доста неинформирани мнения и разпространяване и преповтаряне на митове. Затова реших да си избера пет мита, които говорещите против електронното гласуване разпространяват. Винаги дяволът е в детайлите, а с една подхвърлена полуистина в ефира се създават настроения в обществото.

„Много държави го забраниха или се отказаха“ – тук посланието е „всички се отказват от него, ние къде сме тръгнали“. Разбира се, това е невярно. Половината от държавите, които се изреждат, не са и опитвали дистанционно електронно гласуване, а само машинно. И поради машини „черни кутии“ (със затворен код) и висока цена, наистина се отказват от тях. Но когато говорим за дистанционно електронно гласуване, картинката е по-различна. Експертимент, след който не е пристъпено към реално гласуване, е имало в Норвегия. Причината за да не се пристъпи нататък? В официалния доклад техническият проблем е тривиален – функцията за генериране на случайни числа не е била добра. Но по-важният фактор е, че на власт е дошла опозицията (социалистическата партия) и тя е спряла проекта на предишното правителство. Германският Конституционен съд пък е взел решение – експерименти е нямало, та докато нашия Конституционен съд не вземе такова решение за действащия изборен кодекс, нямаме такъв проблем (има решения за предишни текстове в кодекса, но това е по вина на текстовете – новите адресират мотивите на съда). Холандия е забранила машини, не дистанционно електронно, и то по много специфични за конкретната машина съображения, така че не е по темата с дистанционно електронно. „Франция го забрани/се отказа“ също не е вярно. Франция позволява дистанционно електронно гласуване от 2012-та, но конкретно на тазгодишните избори реши да не позволява този канал за гласуване, заради потенциалната руска намеса. Това не значи, че на следващите избори няма да имат електронно гласуване, нито, че решението е било мотивирано с нещо различно от страх. В нашия изборен кодекс тази опция е предвидена – ЦИК може да вземе решение да не прилага дистанционно електронно гласуване, ако мотивира това с технически доклад за неизбежни и непосредствени рискове. Това обаче не е „винаги“. Та, като някой тръгне да ви изрежда държави, които го били „забранили“…не приемайте това като чиста истина.

„Само Естония гласува електронно“ – на национални избори – Естония и Франция (за живеещите извън Франция), но няколко швейцарски кантона гласуват електронно, един австралийски щат (Нови Южен Уелс, в който е Сидни), Аляска и общини на различни места по света, в т.ч. Мексико Сити. Това, разбира се, не е аргумент сам по себе си – другите държави имат много различен дневен ред и изборна ситуация. Структурата на нашето население е специфична – немалка част от него е в чужбина, а това не може да се каже за много други европейски държави. Според доклад на ООН 14% от българите живеят в чужбина. Другите държави са нямали референдум за електронно гласуване, нямат и такъв проблем с купен и контролиран вот, имат по-висока избирателна активност и т.н. Много други държави обаче позволяват гласуване по пощата, което е аналоговото решение на сходен проблем. На нашите пощи обаче не може да се разчита, нито на процеса, в който се отварят пликовете.

„Естонското беше хакнато“ – това е съвсем невярно. Базира се на един доклад на Алекс Халдерман, който критикува някои аспекти на оперативната сигурност (т.е. практиките на длъжностните лица при провеждане на изборите). Отговорът на естонската агенция за електронно управление е доста ясен – нямало е манипулации, а оперативните практики се подобряват постоянно. И имайки предвид, че Русия организира сериозна кибератака срещу Естония преди десетина години (във връзка с премахване на паметник), липсата на проблеми след над 10 години електронно гласуване е показателна. Освен докладът на Халдерман, тази година стана ясно, че производителят на чипа в естонските лични карти е допуснал грешка, заради която те не са толкова сигурни, колкото сме си мислели. Това не засяга всички естонски лични карти, а засегнатите се подменят. Ако по това време имаше електронно гласуване, то просто щеше да бъде спряно и хората щяха да бъдат уведомени да отидат да гласуват на хартия, както позволява естонският изборен кодекс, и съответно нашият (в който сме заимствали от естонския). Т.е. не, естонското не е хакнато, а при установяване на нерешим проблем, избирателната комисия има правото да го спре и да прати хората да гласуват на хартия (защото електронното е няколко дни преди изборния ден).

„Ще улесни купуването на гласове“ – не, няма. По много причини, някои технологични, други – пазарни. Кодексът предвижда предварителна регистрация за електронно гласуване, предвижда и двустепенна оторизация (т.е. използване на мобилен телефон освен електронната личната карта), предвижда технически мерки за ограничаване на много последователни гласувания от един компютър. И докато всички тези неща са заобиколими със стройна организация и технически умения на купуващите, това ще бъде много по-трудно, отколкото просто да купиш гласовете и да пратиш хората да гласуват на хартия в секция. Да сравним правенето на списък и чакането пред секция на неквалифициран персонал (най-често цигански тартор), със зачистване на регистри/смяна на мак адреси, събиране на лични карти И телефони, и то за период от няколко дни, за да не може купеният да си промени гласа след това. И отгоре на всичко, в ЦИК и МВР ще има карта на регистрираните за електронно гласуване, така че ако в рискови райони има концентрация, да бъде направена проверка. Т.е. бариерите пред купуването (а и контролирането) на гласове при електронното гласуване са много повече от тези при хартиеното. Сценарият „ще им събере личните карти и ще напуска гласове“ звучи възможен само ако човек не познава подробностите.

„Трябва да има първо електронно управление и чак тогава електронно гласуване“ – бившият председател на естонската комисия за електронно гласуване ми разказа интересна история. Преди първото електронно гласуване (2005-та) броят активно използвани електронни лични карти е бил около пет хиляди. Да, Естония ги въвежда 2001-ва, но докато хората ги получат, докато започнат да ползват услуги, докато се появяват услуги, минават няколко години. На първото електронно гласуване онлайн гласуват 9300 души, т.е. почти два пъти повече. Електронното гласуване е катализатор на електронното управление и няма причина да чакаме да си вържем всички регистри, за да имаме електронно гласуване. Единствената предпоставка е електронната идентификация (електронна лична карта или друго средство). За съжаление, там правителството доста изостава от планираните срокове (това лято отложи електронната лична карта с още една година).

Почти всичко това съм го разказал в детайли в лекцията си от преди две години. Но детайлите са скучни и затормозяващи и затова пръскането на митове в ефира е по-ефективно и по-въздействащо.

Аз също съм против прибързаното въвеждане на технология в толкова важен процес като изборите, и съм го казвал неведнъж. Но референдумът беше 2015-та, а първите обвързващи електронни избори трябва да са 2019-та. Три години и половина не е „прибързване“. Затова има пътна карта, има проект, има изборен кодекс, има предвидени симулации и експерименти.

Но линията, която в момента започва все по-отчетливо да се появява е „абе, то не е сигурно, дай да го отложим за неопределено време“. Иска ми се да я отдам на неиформираност, а не на конспирация. И когато януари 2019-та стигнем до момента на вземане на решение „спазваме или изборния кодекс или не“, силно се надявам решението да бъде доста по-информирано от простото цитиране на горните митове.

Хакнат ли е някой сайт? Лесно ръководство за журналисти

Post Syndicated from Боян Юруков original http://feedproxy.google.com/~r/yurukov-blog/~3/kEIfJwXnGFE/

В последните 10 дни сайтовете на няколко държавни инстуции бяха недостъпни за сериозен отрязък от време. Това донякъде беше проблем в изборния ден заради страницата на ЦИК. Надали някой щеше да забележи, че сайтовете на МВР, ГРАО и Президента са паднали, ако журналистите не бяха забили камбаната. По мои наблюдения от проекта @GovAlertEu, хората рядко им обръщат каквото и да е внимание. Сайтът на ДАНС по принцип е хлабав и често пада от нищо.
Журналистите бързо вдигнаха шум как основните сайтове в държавата са били хакнати. Може много да се говори каква глупост е всичко това и Божо го е описал добре. При него ще прочетете и какви най-вероятно са причините някой да плати за такава коодинирана атака.
Разбираемо е обаче дори добросъвестни журналисти да се объркат в терминологията. Няма да им е за пръв път. Лесно е да се подхлъзнеш по изрази, които докарават повече читатели, колкото и да не искаш да си признаеш, че играеш в същата кочинка като жълтите медии.
Затова реших да помогна. Представям ви краткото ръководство за журналисти на тема „Хакнат ли е някой сайт?“. Може да го свалите и в удобен за печатане формат.
chart
Важни бележки под линия:
*: Този знак може да е под формата на пълна подмяна на сайта, подмяна на новини и документи, публикуване на политически, религиозни, расистки или други послания, както и просто подпис на отговорните лица.
**: Макар DDoS атаките да са най-интересни от медийна гледна точка, има много причини един сайт да падне – проблем или обновяване на сървъра, временен срив в межата на държавната институция, проблем с твоя интернет или просто немарлив държавен служител.


Емоционално за електронното гласуване

Post Syndicated from Delian Delchev original http://feedproxy.google.com/~r/delian/~3/tzfPPwFXQZs/blog-post.html

След като написах моите опорни точки защо смятам да гласувам ЗА на референдума за електронно гласуване, и след като се опитах да напиша една техническа идея как той може да бъде реализиран без да се налага дори промяна на конституцията (какъвто бе оригиналният смисъл на тройката референдуми, от която НС остави само този) влизах в много дискусии за или против електронното гласуване.Повечето хора, които искат да дискутират с мен, са предварително настроени да гласуват против. Предполагам настроените да гласуват за не смятат, че имат нужда от повече убеждение.В този смисъл коментара ми в този текст е насочен и движен от дискусиите с приятелите и познатите ми, които са предварително настроени да гласуват против.Аз разделям потенциалните проблеми на три основни групи -Технически. Които са най лесните, защото са решими. Техническите проблеми не включват само технологията, а процедурите по изпълнение, законодателните и юридически промени. Те са напълно решими. До сега, не съм чул един не решим технически проблем не само за електронното гласуване, но и принципно за който и да е проблем. Това е хубавото на техническите проблеми – те са по дефиниция винаги решими.Принципни – това са проблеми свързани с естеството на дискутираният проблем, които нямат ясно или видимо решение. Това не значи, че са нерешими, а че не знаем как да го направим в момента. Тук може да има и нерешими проблеми. Аз лично обаче не съм чул такива до сега, свързани с дистанционното електронно гласуване. Много хора бъркат технически проблеми за принципни, представят ги като такива и после в дискусията откриваме, че това е по същество технически (и решим) проблем.Емоционални предубеждения – проблеми не свързани с темата, но емоционално влияещи върху нея, които хората представят като принципни или технически проблеми на темата. Често чувам технически проблем да се примесва с емоционално предубеждение и след това да се представя за принципен и нерешим проблем. Но е много лесно от страни да се види, че техническата част е решима, принципен проблем няма, просто има емоционално предубеждение.Много е трудно да се бори човек с емоционалните предубеждения. Аз лично кътам доста в себе си, и когато някой изкаже нещо, което съвпада с моите, съм много по склонен като две ревящи жени над чаша вино, да лея сълзи и сополи и да подкрепям, отколкото да вниквам в ситуацията по същество. И въпреки това, мозъкът ми казва да гласувам положително за дистанционното електронно гласуване. Защото то подкрепя моите лични цели, свързани с моят живот и промяната на средата около мен.А именно:Аз смятам че тази дискусия за дистанционното гласуване трябва да започне най сетне по същество. Тя идва и си тръгва на 4-5 години от ефира, но остава само там. Спомням си “обществените обсъждания” сред приятели, на Изборният Кодекс на Манолова, където електронното гласуване дори не бе допуснато на обсъждане. Щеше ли да има нужда от референдум за електронното гласуване, ако политическата каста желаеше да го обсъжда по същество? Референдума е тук, и той може да бъде едно добро основание да преминем на следващата фаза – дискусията.Някой хора според мен погрешно смятат, че ако бъде успешен Референдума, това означава победа и задължително въвеждане на електронно гласуване. Българският закон за референдумите е много странен, но най вече той не задължава никой с нищо. Липсата на задължение е видна още в член 9 от закона. Ако референдума излезе със задължаващ резултат, той задължава да приеме АКТ (което може да е всичко, например обещание да се изпълни работата след 100г, или решение да не се прави. Законодателят се е опитал да си спести изричното описание на всички възможни случаи какво трябва да приеме НС, но крайният ефект е свободно тълкуване) в рамките на 3 месеца, но още точка 7 веднага изследва хипотезата какво става ако НС не направи нищо и не приеме акт (което прави тази хипотеза напълно допустима). Ако НС не приеме АКТ навреме и референдума е ПРОТИВ точка от съществуващото законодателство, тя спира да работи веднага. Но ако НС не приеме АКТ а референдума изисква от НС да направи нещо (както е хипотезата на този референдум) то не следва нищо. Тоест, без значение от резултатите от референдума – положителен и задължителен, положителен, отрицателен, не е задължително да последва нищо. Няма да коментирам пред-референдумното ударно вдигане на прага до невъзможност за считане за валидност. Но все пак за мен положителен резултат от референдума би бил достатъчно добър натиск за започване на дискусията по същество. Аз смятам, че България трябва да бъде отворена държава, противно на мнението на много, че трябва да се затваря. Между 16 и 20% от българчетата се раждат в чужбина, и ние имаме стабилен емигрантски тренд основно сред най младото население от 3.56 души на 1000. Това са всъщност 25000 души годишно. Официално. Най вероятно числото е двойно, защото се отчитат само тези, които са обявили пред институциите миграцията си (гражданство, обява пред ЕСГРАОН, обява пред НЗОК, не преиздаване на паспорти и други). Три четвърти от мигрантите запазват българското си гражданство (защото са в ЕС). Лесно можем да сметнем, че ако тенденцията се запази, в рамките на 20 години 25% от Българите ще се раждат в чужбина. Това е всеки 4-ти Българин. Единственият начин да запазим националноста си, е да игнорираме всякакви тръшкания и да приемем, че българите няма да бъдат единствено и само на тероторията на България, и трябва да положим усилия да останат свързани по между си, и със страната, културно (тук изключвам чалгата) и административно. Последното означава рязко свиване на всички административни взаимоотношения между държавата и гражданите, и залагането на безприсъствени такива. Не само за гласуване, за всичко.Аз смятам, че в нормална ситуация взаимоотношението на човек с държавата трябва д е минимално и то само при нужда от страна на гражданина, а не при нужда от страна на държавата. Сега държавата изисква от гражданите да бъдат комутатори на съобщения между държавни институции, както и им прехвърля свои отговорности. Давам пример – ти си задължен да си извадиш паспорт. И това ти струва пари. Но паспорта ти е инструмент за взаимодействие с държавата, която те задължава. Ти си задължен да си вадиш съдебни свидетелства за взаимодействия с държавата. Ти си задължен да отидеш и да си извадиш справка от имотният регистър и да я дадеш на общината, за да приеме тя, че някой твой роднина живее на твоят адрес. Аз смятам, че всички тези задължения трябва да изчезнат. Държавата наистина трябва да използва информацията си вътрешно, и трябва да се грижи за удобството на гражданите си, а не да ги наказва, за това че живеят, за това че пътуват, за това че раждат деца, понеже на държавните служители не им е удобно. И колкото и да е парадоксално, електронното гласуване отваря много врати в тази посока. Защото форсира процеси, които са иначе затлачени в мързел.Типичните противопоставяния на електронното гласуване съм ги описал в този пост тук – опорните ми точки.И те не се променят по същество. Някой го е страх, че електронните подписи ще са скъпи, а ние дори не сме решили, че така ще става оторизацията. Други ги е страх, че някой ще гласува с чужда бюлетина, което е технически въпрос (нищо не пречи да има видео и да тече същата форма на оторизация, каквато има в избирателните комисии), трети ги е страх, че хакери могат да хакнат цялата система и да модифицират гласовете на всички хора – което пак е технически и решим проблем (можем да имаме разделяния на секции, а верижно подписване от категорията на block chain или това, което съм описал аз в моят пример, изолират значително тези възможности, всъщност намаляват риска до много по малък от този, който имаме сега).Но винаги след като приключим с техническите аргументи, излиза това, което те всъщност прикриват – емоционалните предубеждения на гражданите, че държавата ще реализира нещата зле. И всъщност държавата е нашият враг.И да съм честен, аз също имам подобни предубеждения. Аз твърдя, че дистанционното гласуване може да бъде реализирано добре и с много по малък риск (клонящ към нула) за почти всички технически проблеми на сегашното присъствено гласуване (което също може да бъде реализирано по добре). Но то може да бъде реализирано и много зле. И в това няма принципен проблем. Всяко нещо може да бъде направено добре и може да бъде направено зле. Но това не е проблем на референдума нали? Това е проблем на техническата реализация и гражданският и контрол, след като ако НС реши да има електронно гласуване, след да речем 100 години, след като мине евентуално положително политическата дискусия, след евентуално положително решение на референдума.Не искам да филосовствам върху това, защо някой не смее да реши да си строи къща, понеже ако има евентуално земетресение тя ще му падне на главата. Този риск е безспорен. Но е също така вярно, че в повечето време ще живееш по добре. И дали се фокусираш върху страховете си или върху новите възможности е в много голяма степен личен избор илюстриращ човека.Да чакаме всички, да са готови да карат кола, имайки шофьорски книжки, преди да разрешим употребата на автомобили е също парадоксално. Защото е гаранция никога да не караме коли 🙂 Винаги ще има някой, който да не е готов. Така че за мен е безстойностно твърдението, че повече население трябва да свикне с електронните технологии за да има електронно гласуване.Но нито едно от тези не е принципен проблем – това са емоционални проблеми -Недоверие към държаватаНедоверие към гласуванетоИрационален страх (принципно, и индиректно оправдаван с технически или политически теми)Консервативен подход в много форми “не знам как аз ще се оправя, за това по добре никой да не може”Но това не са проблеми на електронното гласуване. Ако пуснем референдум за гласуването по принцип, същите проблеми се отнасят със същата сила, защото те произлизат не от формата и не от технологията, а от личната ни емоционална нагласа.Аз ще гласувам за електронното гласуване. Защото смятам ползите от него за много по големи и компенсиращи значително недостатъците (които аз и оспорвам по същество).Аз съзнавам отлично, че най голямата борба тепърва ще дойде, ако случайно стигнем до момент да се обсъжда техническата реализация. Ще има борба за модифицирането на дребни но важни елементи от много закони. Ще има борба срещу всякакви опити за злоупотреба, добронамерени или злонамерени. Ще има борба срещу опитите на политици да вкарват дупки в процедурите, за да си оставят вратички за фалшивикации. Ще има борба срещу опитите за усложняване на процедурите пък с цел да се минимизира ефекта за повишаване на изборната активност, отново от политици разчитащи на твърд електорат. Ще има борба срещу опитите да се даде това или онова да го правят нечии приятели, не защото имат опит, а защото държавата трябва да им даде едни пари. Ще има много борби. Борбата тепърва започва. Но за мен ползите са много повече, и не ме е страх от борбата.

Емоционално за електронното гласуване

Post Syndicated from Delian Delchev original http://feedproxy.google.com/~r/delian/~3/tzfPPwFXQZs/blog-post.html

След като написах моите опорни точки защо смятам да гласувам ЗА на референдума за електронно гласуване, и след като се опитах да напиша една техническа идея как той може да бъде реализиран без да се налага дори промяна на конституцията (какъвто бе оригиналният смисъл на тройката референдуми, от която НС остави само този) влизах в много дискусии за или против електронното гласуване.Повечето хора, които искат да дискутират с мен, са предварително настроени да гласуват против. Предполагам настроените да гласуват за не смятат, че имат нужда от повече убеждение.В този смисъл коментара ми в този текст е насочен и движен от дискусиите с приятелите и познатите ми, които са предварително настроени да гласуват против.Аз разделям потенциалните проблеми на три основни групи -Технически. Които са най лесните, защото са решими. Техническите проблеми не включват само технологията, а процедурите по изпълнение, законодателните и юридически промени. Те са напълно решими. До сега, не съм чул един не решим технически проблем не само за електронното гласуване, но и принципно за който и да е проблем. Това е хубавото на техническите проблеми – те са по дефиниция винаги решими.Принципни – това са проблеми свързани с естеството на дискутираният проблем, които нямат ясно или видимо решение. Това не значи, че са нерешими, а че не знаем как да го направим в момента. Тук може да има и нерешими проблеми. Аз лично обаче не съм чул такива до сега, свързани с дистанционното електронно гласуване. Много хора бъркат технически проблеми за принципни, представят ги като такива и после в дискусията откриваме, че това е по същество технически (и решим) проблем.Емоционални предубеждения – проблеми не свързани с темата, но емоционално влияещи върху нея, които хората представят като принципни или технически проблеми на темата. Често чувам технически проблем да се примесва с емоционално предубеждение и след това да се представя за принципен и нерешим проблем. Но е много лесно от страни да се види, че техническата част е решима, принципен проблем няма, просто има емоционално предубеждение.Много е трудно да се бори човек с емоционалните предубеждения. Аз лично кътам доста в себе си, и когато някой изкаже нещо, което съвпада с моите, съм много по склонен като две ревящи жени над чаша вино, да лея сълзи и сополи и да подкрепям, отколкото да вниквам в ситуацията по същество. И въпреки това, мозъкът ми казва да гласувам положително за дистанционното електронно гласуване. Защото то подкрепя моите лични цели, свързани с моят живот и промяната на средата около мен.А именно:Аз смятам че тази дискусия за дистанционното гласуване трябва да започне най сетне по същество. Тя идва и си тръгва на 4-5 години от ефира, но остава само там. Спомням си “обществените обсъждания” сред приятели, на Изборният Кодекс на Манолова, където електронното гласуване дори не бе допуснато на обсъждане. Щеше ли да има нужда от референдум за електронното гласуване, ако политическата каста желаеше да го обсъжда по същество? Референдума е тук, и той може да бъде едно добро основание да преминем на следващата фаза – дискусията.Някой хора според мен погрешно смятат, че ако бъде успешен Референдума, това означава победа и задължително въвеждане на електронно гласуване. Българският закон за референдумите е много странен, но най вече той не задължава никой с нищо. Липсата на задължение е видна още в член 9 от закона. Ако референдума излезе със задължаващ резултат, той задължава да приеме АКТ (което може да е всичко, например обещание да се изпълни работата след 100г, или решение да не се прави. Законодателят се е опитал да си спести изричното описание на всички възможни случаи какво трябва да приеме НС, но крайният ефект е свободно тълкуване) в рамките на 3 месеца, но още точка 7 веднага изследва хипотезата какво става ако НС не направи нищо и не приеме акт (което прави тази хипотеза напълно допустима). Ако НС не приеме АКТ навреме и референдума е ПРОТИВ точка от съществуващото законодателство, тя спира да работи веднага. Но ако НС не приеме АКТ а референдума изисква от НС да направи нещо (както е хипотезата на този референдум) то не следва нищо. Тоест, без значение от резултатите от референдума – положителен и задължителен, положителен, отрицателен, не е задължително да последва нищо. Няма да коментирам пред-референдумното ударно вдигане на прага до невъзможност за считане за валидност. Но все пак за мен положителен резултат от референдума би бил достатъчно добър натиск за започване на дискусията по същество. Аз смятам, че България трябва да бъде отворена държава, противно на мнението на много, че трябва да се затваря. Между 16 и 20% от българчетата се раждат в чужбина, и ние имаме стабилен емигрантски тренд основно сред най младото население от 3.56 души на 1000. Това са всъщност 25000 души годишно. Официално. Най вероятно числото е двойно, защото се отчитат само тези, които са обявили пред институциите миграцията си (гражданство, обява пред ЕСГРАОН, обява пред НЗОК, не преиздаване на паспорти и други). Три четвърти от мигрантите запазват българското си гражданство (защото са в ЕС). Лесно можем да сметнем, че ако тенденцията се запази, в рамките на 20 години 25% от Българите ще се раждат в чужбина. Това е всеки 4-ти Българин. Единственият начин да запазим националноста си, е да игнорираме всякакви тръшкания и да приемем, че българите няма да бъдат единствено и само на тероторията на България, и трябва да положим усилия да останат свързани по между си, и със страната, културно (тук изключвам чалгата) и административно. Последното означава рязко свиване на всички административни взаимоотношения между държавата и гражданите, и залагането на безприсъствени такива. Не само за гласуване, за всичко.Аз смятам, че в нормална ситуация взаимоотношението на човек с държавата трябва д е минимално и то само при нужда от страна на гражданина, а не при нужда от страна на държавата. Сега държавата изисква от гражданите да бъдат комутатори на съобщения между държавни институции, както и им прехвърля свои отговорности. Давам пример – ти си задължен да си извадиш паспорт. И това ти струва пари. Но паспорта ти е инструмент за взаимодействие с държавата, която те задължава. Ти си задължен да си вадиш съдебни свидетелства за взаимодействия с държавата. Ти си задължен да отидеш и да си извадиш справка от имотният регистър и да я дадеш на общината, за да приеме тя, че някой твой роднина живее на твоят адрес. Аз смятам, че всички тези задължения трябва да изчезнат. Държавата наистина трябва да използва информацията си вътрешно, и трябва да се грижи за удобството на гражданите си, а не да ги наказва, за това че живеят, за това че пътуват, за това че раждат деца, понеже на държавните служители не им е удобно. И колкото и да е парадоксално, електронното гласуване отваря много врати в тази посока. Защото форсира процеси, които са иначе затлачени в мързел.Типичните противопоставяния на електронното гласуване съм ги описал в този пост тук – опорните ми точки.И те не се променят по същество. Някой го е страх, че електронните подписи ще са скъпи, а ние дори не сме решили, че така ще става оторизацията. Други ги е страх, че някой ще гласува с чужда бюлетина, което е технически въпрос (нищо не пречи да има видео и да тече същата форма на оторизация, каквато има в избирателните комисии), трети ги е страх, че хакери могат да хакнат цялата система и да модифицират гласовете на всички хора – което пак е технически и решим проблем (можем да имаме разделяния на секции, а верижно подписване от категорията на block chain или това, което съм описал аз в моят пример, изолират значително тези възможности, всъщност намаляват риска до много по малък от този, който имаме сега).Но винаги след като приключим с техническите аргументи, излиза това, което те всъщност прикриват – емоционалните предубеждения на гражданите, че държавата ще реализира нещата зле. И всъщност държавата е нашият враг.И да съм честен, аз също имам подобни предубеждения. Аз твърдя, че дистанционното гласуване може да бъде реализирано добре и с много по малък риск (клонящ към нула) за почти всички технически проблеми на сегашното присъствено гласуване (което също може да бъде реализирано по добре). Но то може да бъде реализирано и много зле. И в това няма принципен проблем. Всяко нещо може да бъде направено добре и може да бъде направено зле. Но това не е проблем на референдума нали? Това е проблем на техническата реализация и гражданският и контрол, след като ако НС реши да има електронно гласуване, след да речем 100 години, след като мине евентуално положително политическата дискусия, след евентуално положително решение на референдума.Не искам да филосовствам върху това, защо някой не смее да реши да си строи къща, понеже ако има евентуално земетресение тя ще му падне на главата. Този риск е безспорен. Но е също така вярно, че в повечето време ще живееш по добре. И дали се фокусираш върху страховете си или върху новите възможности е в много голяма степен личен избор илюстриращ човека.Да чакаме всички, да са готови да карат кола, имайки шофьорски книжки, преди да разрешим употребата на автомобили е също парадоксално. Защото е гаранция никога да не караме коли 🙂 Винаги ще има някой, който да не е готов. Така че за мен е безстойностно твърдението, че повече население трябва да свикне с електронните технологии за да има електронно гласуване.Но нито едно от тези не е принципен проблем – това са емоционални проблеми -Недоверие към държаватаНедоверие към гласуванетоИрационален страх (принципно, и индиректно оправдаван с технически или политически теми)Консервативен подход в много форми “не знам как аз ще се оправя, за това по добре никой да не може”Но това не са проблеми на електронното гласуване. Ако пуснем референдум за гласуването по принцип, същите проблеми се отнасят със същата сила, защото те произлизат не от формата и не от технологията, а от личната ни емоционална нагласа.Аз ще гласувам за електронното гласуване. Защото смятам ползите от него за много по големи и компенсиращи значително недостатъците (които аз и оспорвам по същество).Аз съзнавам отлично, че най голямата борба тепърва ще дойде, ако случайно стигнем до момент да се обсъжда техническата реализация. Ще има борба за модифицирането на дребни но важни елементи от много закони. Ще има борба срещу всякакви опити за злоупотреба, добронамерени или злонамерени. Ще има борба срещу опитите на политици да вкарват дупки в процедурите, за да си оставят вратички за фалшивикации. Ще има борба срещу опитите за усложняване на процедурите пък с цел да се минимизира ефекта за повишаване на изборната активност, отново от политици разчитащи на твърд електорат. Ще има борба срещу опитите да се даде това или онова да го правят нечии приятели, не защото имат опит, а защото държавата трябва да им даде едни пари. Ще има много борби. Борбата тепърва започва. Но за мен ползите са много повече, и не ме е страх от борбата.

Някои идеи за електронното гласуване

Post Syndicated from Delian Delchev original http://feedproxy.google.com/~r/delian/~3/3SzV7avcgtQ/blog-post_24.html

Чета постоянно истерия от представители или почитатели на партии с твърд пенсионерски електорат или партии разчитащи на по малко грамотни граждани срещу електронното гласуване, как то нямало да бъде сигурно.


Аз смятам, че това е най смешната теза на противниците на електронното гласуване преди референдума. Дали електронното гласуване ще бъде сигурно или не, зависи единствено и само от това как ще бъде реализирано. Това е технически проблем, който няма отношение към това дали ще го има или не. Електронното гласуване може да бъде много сигурно, всъщност може да бъде значително по-сигурно отколкото настоящето ни не електронно присъствено гласуване. Но също така може да бъде направено и много несигурно, по малко сигурно отколкото е сегашното ни присъствено гласуване.
Няма принципна причина, която да прави дистанционното гласуване несигурно, различна от избраните процедури за провеждането му. Но това няма отношение към дискусията по референдума – да има или да няма електронно гласуване. Това са техническите детайли, които трябва да се обсъждат открито и активно, ако референдума е положителен и предизвика публична дускусия, която да доведе до промяна на законодателството, която да разреши да има електронно гласуване.


За мен технологичните дискусии на този етап са преждевременни. Те са еквивалентни на дискусиите – дайте да нямаме гласуване въобще, защото може да се подправя. По добре ли ще ни е с един неподправен цар или дикатура на партията? 🙂 Няма съществена разлика в тезите. И вероятно за това царските движения и почитатели на диктатурата на партии, са основните противници на електронното гласуване.


Това не значи, че бягам от обсъждане на технологии. Това ми е страст. В този текст, искам да опиша един процедурен модел, как може да бъде реализирано електронно гласуване сигурно и анонимно. Това не е предложение как да бъде реализирано. Нито твърдение, че ще бъде реализирано точно така. Това е само илюстрация, че може. Технологичната дискусия е въпрос за обсъждане след като бъде взето решение да има електронно гласуване. Там трябва да сме внимателни, за да няма издънки от държавата. Но същевременно, не можем да смятаме, че държавата цели или съществува само за да прави издънки, защото иначе какъв е смисъла от нея? Най добре да дойде друг цар и господар, който да ни управлява нали? Ах, да, рязясних още една от тезите на противниците 🙂


Всъщност няма значение дали говорим за електронно или хартиено, присъствено или дистанционно гласуване, всяко нещо може да бъде реализирано сигурно или несигурно, като основният момент в него никога не е технологията по същество, а алгоритъма – процедурата използвана за реализацията.


В този смисъл нека за момент да не говорим за технология. Нека говорим за процедури-процедура.
И аз нямам за цел, да кажа, че дадена процедура за дистанционно гласуване гарантира абсолютна сигурност. Аз искам само да отбележа, че във всеки един момент, тя е винаги по-добра и по-сигурна отколкото моментната процедура за присъствено гласуване.


Изискванията към гласуването, без значение дали е присъствено или дистанционно, са да бъде лично, тайно, и гарантирано (тоест да не може да се подмени вота).


Тук не става въпрос за електронно гласуване или не. Можем да имаме електронно безприсъствено гласуване и електронно присъствено (което се експериментира от години при вотовете у нас, наричано машинно гласуване, заради помощ от машина), технологията е от не особено съществено значение. Основният въпрос е в процедурите за прилагане (включително и на технология).


Процедурата, която коментирам, е приложима за присъствено и безприсъствено гласуване, машинно или с бюлетини. Подобна процедура вече се разработва и в подходяща законодателна форма от друга група ентусиасти, но основните идеи (макар и да изказвам различно някой специфични детайли) са същите.


При присъственото гласуване, “личното” се гарантира типично чрез механизмите за аутентикация предвидени за личната карта. Ако снимката ти отговаря на личната карта, и ти имаш доверие на картата и издателят и, то ти приемаш (но няма абсолютна гаранция), че лицето е това, за което се представя и идва да гласува лично.


Тайната на вота се гарантира от безименни бюлетини и от гласуване в (макар и) обществена стая, такава в която трети страни твърдят, че е сигурно, че няма никой друг (но няма абсолютна гаранция).


Сигурноста на вота трябва да се гарантира от това, че няма как друга бюлетина да е влязла в урната, освен такава от гласуващи. Бюлетината не може пък да се подмени, защото е пазена зорко, от хора, които се предполага, че са врагове и ще се дебнат един друг (изборната комисия съставена от представители на различни партии).


Ние добре знаем обаче, че над 1 на 10000 лични карти са фалшифицирани.
Знаем, за мъртвите души – хора, които имат право да гласуват, и са в списъците за гласоподаватели, но са починали, и се използват за да се позволи да има останали свободни бюлетини добавяни в последният момент в урните, без това да създава подозрения при централното преброяване, тъй като броят на бюлетините е под или около очакваната бройка.
Само сега, за тези избори са премахнати над 500000 мъртви души (заради правилото за уседналост), но това не са всички, и ни дават чудесен индикатор колко неточни са всъщност изборните списъци. На по-предни избори бяха премахнати други 700000. Но постоянната урбанизация (при местните избори има изискване за уседналост), емиграция, динамика на смъртността, създават естествен процес на проява на мъртви души, тъй като списъците по места, физически няма как да са идеално актуални (макар централно да има как).

Знаем, че някой хора гласуват едновременно на две различни физически места, и поради невъзможност при присъственото гласуване да се подсигури в реално време национална проверка дали вече си гласувал или не, гласът се приема, а поради невъзможност за валидация на бюлетината по произход, не може да се премахнат двойни гласувания и следователно въпреки, че знаем за нарушението, то остава в преброеният резултат и какво ли още не.

Нещо повече, на някой места местни картели от представители в ИК си добавят бюлетини в последният момент, и дори да са преброени много над подписалите се, че са гласували, тъй като няма как да се разбере, кои са истински и кои не са, се броят всички и участват в преброяването. Общо, грешките (невалидни, дублирани бюлетини, мъртви души) плават между 5 и 15% на изборите и обикновено нямат съществено значение по отношение на цялостният изборен резултат. Но имат съществено значение при преразпределението на локалните мандати и при местните избори, където често един мандат (заради фрагментацията) или кмет се избират с по малко от 5000 гласа. Тези грешки, както и ниската избирателна активност имат значение и за партиите, които влизат в парламента или получават субсидия. За пример, на предните парламентарни избори само 50000 гласа по голяма изборна активност (под 1% от всички имащи право на глас) деляха дали АБВ и АТАКА ще влязат в парламента или не. Даже, нямаше значение за кого са гласували тези хора, тъй като става въпрос за фрагментацията от разпределението на мандати. Само ниска избирателна активност. Дали това е една от причините и двете партии да са твърди противници на всякакви методики за повишаване на изборната активност (от реклами, през задължително гласуване, до против електронното гласуване, всъщност АБВ официално е за електронно гласуване, но негови представители се изказват публично против) не знам.

Всички тези дефекти, и други, са породени от това, че няма въведен механизъм за двустранна валидация.
Ние знаем за тях от години, коментират се на всички избори, и постоянно променяме изборният кодекс така че да атакуваме един или друг проблем, до момента не особено ефективно.


Състемата за сигурност на присъственото гласуване разчита прекоменрно много на заплахи (глоби), политически присъствени изборни комисии (които ще се следят едни други поради естествената политическа конкуренция), и изборни наблюдатели за защита. Но с години, постепенно се съкращава количеството хора и партии имащи право да присъстват в изборна комисия, до парламентарно представени или до коалиционно партниращи си субекти, и така започват да се толерират естествени картелни съглашения, които отслабват значително присъственият контрол. Отделно независимите изборните наблюдатели се съкращават (сложна процедура за регистрация, и изискване да трябва да идват от политически партии предимно), а самите сътрудници или наблюдатели от своя страна злоупотребяват като гласоподаватели (предимно с дублиране на гласовете – пример ББЦ, БСП и ДПС на предни избори, те когато гласуват могат да заобикалят правилото за уседналост, което автоматично допуска злоупотреби с дублиране на гласовете, двойно гласуване, и други).


Нека да си представим обаче, следната хипотетична ситуация –


Че имаме разеделние между компонентите – лична оторизация, придобиване на право да гласуваш (бюлетина), асоциирането на бюлетина с вот (гласуване) и преброяване на гласовете. Всеки един от тези елементи се оторизира и проверява в отделна и независима организация, а нещо друго (например математиката?) ни гарантира съседна двустранна асоциация, но не и такава, която прескача съсед. Тогава много изкривявания (но не всички) на текущият модел биха били преодолени автоматично.


Обяснявам малко по детайлно – всичко това си го имаме и сега, но нека си представим че то е напълно отделено в отделни организации и процесите се случват независимо. Следните отделни и независими компоненти, мога да определя:


  1. Оторизация на едно място, че ти си си ти (еквивалент на издаване на личната карта) и получаване на съответният идентификатор за това (сега това е личната карта издадена от МВР, но може да бъде и електроне подпис или друго, от една организация)
  2. Оторизация, че имаш право да получиш бюлетина, с която да гласуваш (сега това го прави изборната комисия, проверяваща те в изборният списък и гарантираща, че ти си ти, чрез сертификата издаден от организация 1, в електронният можеш да получиш генериран математически случаен електронен сертификат, проверяем математически (може да е hash функция) и подписан със сертификата на тази втора организация, така че да е непроменим)
  3. Асоцииране на вот с бюлетина (сега го правиш пред изборната комисия, която подпечатва бюлетината ти, за да гарантира пред трети страни че е валидна, електронно може да е трета организация, например сайт, в който ти подписваш електронно избора си с полученият от 2 сертификат)
  4. Преброяване на бюлетините (прави го ЦИК, с под изпълнител типично ИО, в електронният свят това е преброяване и двойно валидиране на валидноста на електронната бюлетина, от четвърта организация)


Нека си представим преднатата система реализирана така (отново, технологията е примерна, не е важна, важна е процедурата и принципа) –
  1. Отиваш и си издаваш електронен подпис, който валидира, че ти си си ти. Той съдържа уникален твой сертификат валидиран от издателят на сертификата (всъщност днес това го правят всички клонове на банки, за 15 лева), което има това право (еквивалент на МВР). Електронният подпис е само пример. Може да бъде електронната ти идентификационна карта (личната ти карта, която ще можеш да получиш от 2017-та година нататък), може да е One-Time-Password система от друга форма. Няма голямо значение. Технологията не е важна, на този етап.
  2. Отиваш и получаваш електронна бюлетина срещу електронният си подпис, тя представлява да речем hash функционално число, подписано от твоят сертификат (но без идентификационна информация) или от алтернативен по-анонимен алгоритъм, като да речем модифициран DH (или уникален случаен частен ключ, и двете могат да дойдат пак през електронният ти подпис). Получената информация пък е подписана със сертификат от организацията издаваща електронните бюлетин (тук можем да правим вариации, може да имаш уникален публичен и частен ключ, генерирани случайно и дадени за теб например).
  3. Отиваш на сайта за гласуване, там с полученият частен ключ подписваш бюлетината и я пращаш обратно на сайта за гласуване, който я подписва със своят си сертификат (сертификатите играят роля на печатите при ИК) и предава веднага или по късно на организацията за преброяване (или пък я предава веднага на междинна организация, но тя я предава на организацията за преброяване след приключване на изборният ден).
  4. Организацията за преброяване получава всички сертификати. Тя има публичните ключове на (1), 2 и 3 (но не и частните). Като резултат тя може да чете информацията (но никой друг не може да чете освен своята си част) и да направи преброяване и пълна валидация. Отделно от 2 е получила списъка с генерираните хешове, има как да ги валидира математически (че са истински) и приема само тези сертификати, които съдържат коректен хеш.


Какъв е резултата от това разделение на отделни независими и несвързани организации:


Имаме невъзможност за генериране на фалшификати (подписванията при 2 и 3 стават локално при гласуващият, през мрежата пътуват и сайтовете получават само подписани сертификати), за да има фалшификат трябва някой да е компрометирал едновременно 1, 2 и 3 (което може да стане само при личният компютър на гласуващият, но дори той да е компрометиран, пак не може да стане лесно – опитайте се да подмените съдържанието на подписваната информация от електронният подпис в ръцете ви на собственият ви компютър. Ако успеете, ми се обадете).
Дори да приемем това за възможно при компютъра на гласуващият, то ще бъде невъзможно да бъде направено масово (няма как в ограничен период от време да повлияеш и да проконтролираш милиони компютри и милиони сертификати), което го прави по добре стоящо от сегашният модел (ЦИК публикува на всяко гласуване статистика показваща близо поне 100к невалидни или дублирани бюлетини, и то по доста консервативният механизъм на оценка, който имат). Също така, подмяната изисква интерактивно действие в момента, в който потребителят се оторизира. Ще ми бъде изключително интересно да чуя как може да стане при един масов електронен вот, в реално време, в рамките на изборният ден. Дори да имаме 1-2 случая на подмяна, те ще са много малко за да повлияят на резултата, и отделно точно електронното гласуване може да допусне механизъм как да се откриват и поправят.


Имаме и гаранция за тайна на вота. Защото само 1 знае дали имаш право да гласуваш и кой си ти. Само 2 издава бюлетина срещу информацията от 1 (но не е задължително да знае кой си, стига да знае, че имаш валиден сертификат, чиято валидация може да се подсигури анонимно), но не знае дали и за кой си гласувал. Само 3 може да знае (това е опционално, 3 може да не разполага със собственият си публичен ключ и да не може да знае), електронната бюлетина с кой вот е асоциирана, но не знае кой е гласувал. Само 4 може да преброи и да валидира бюлетините, пак без да знае кой е гласувал.
За да компрометираш тайната на вота, трябва да компрометираш всичките едновременно. Това е теоретично възможно за държавата да се организира и да го направи, но това е малко вероятно, защото първо може лесно да се установи (много по лесно от при физическото гласуване, понеже тук всички записи се пазят на всякъде), и второ това не е проблем да се прави и сега, така че за него няма технологичен проблем при присъственото гласуване, има принципен държавен и морален проблем, и не можем да кажем, че е нещо, което ще го докара електронното гласуване. Проблемът ако съществува, ще е проблем е на организацията, държавата и културата.


Тъй като подписите стават локално там където ги извършва гласуващият, то хакер хакнал по отделно 2 или 3 или 4 не може да генерира фалшиви подписи. Нито може да подпише (няма частните ключове или сертификатите при клиента от предната организация), нито да създаде валиден сертификат (защото той изисква участие от край до край). Теоретично е възможно да създаде масови фалшиви подписи ако хакне 1, но пък красотата на всичко тук, е че това може лесно да се установи (от ГРАО, в реално време или постфактум при проверката при 4) и всички гласове генерирани по този начин да се извадят от вота (да се инвалидизират хешовете от 2 или сертификатите от 1 и ще се получи инвалидизация при преброяването при 4), включително пост фактум, отново при запазване на пълна анонимност за гласуващият.


Дублирането е премахнато заради валидацията по активен хеш в организация 4. Но за дублирането ще кажа още нещо по-късно. Всеки електронно гласувал ще има само един единствен валиден вот.


Как гарантираме личното гласуване? Това в хипотезата ми го прави електронният подпис, но той може да бъде валидизиран (при 2) ако трябва от видео или снимка обаждане, и ще получи същата форма на валидизация, каквато има и при изборната комисия (да те видят че си приличаш).


Ами подслушването? Дори да гледаме логове и IP адреси, можем да догадаем че някой е гласувал, но не със сигирност кой е той точно, и определено не и за кого е гласувал. Ако криптираната информация е с еднаква дължина, дори статистически механизми не биха могли да помогнат да се различи от подслушване, кой или колко за кого са гласували. Този отговор може да даде само организация номер 4.
Защитата, която имаме тук е дори значително по-добра, при това дори при пълна откритост, отколкото тази, която имаме при присъственото гласуване. Ако например журналист следи пред сградата с изборни секции и да снима кой влиза и излиза (а това го виждаме по телевизията на всички избори), той получава много по-голяма и точна информация, отколкото ако подслушвате мрежата за електронно гласуване.


Как ще гарантираме, че подписите не се дават на други хора? Гаранция, че не си си дал подписа (паспорта) на някой друг е същата, каквато е и при нормалното гласуване. Никаква. Но отново, много е трудно и малко вероятно това да стане масово, и може да се валидира с видео обаждане (или заснемане при получаване на правото за гласуване).


Звучи сложно? На пръв поглед технологията изглежда сложна и многостъпкова. Сигурно ще е трудно за потребителите да я следват? Всъщност не. Идеята с разделението и многото подписвания не е нова и не е случайна. Всъщност тя се изпълнява от ИК и сега, в присъственото гласуване (личната ти карта е сертификат/електронен подпис издаден от МВР, бюлетина с воден знак е сертификат от издателя на бюлетините, проверката по ИК и лична карта и подписа в избирателният списък е еквивалента на получаването на право за гласуване е моята стъпка 2, гласуването в стаичаката и последващият печат върху бюлетината е еквивалента на стъпка 3, валидацията на печатите, и водният знак бюлетините и съдържанието от ЦИК и ИО е еквивалента на стъпка 4). Тази технология с 3-ен подпис е класическата технология използвана от технологията за оторизация KERBEROS на MIT, която до сега не е разбивана, а всъщност е изключително масово употребявана (Active Directory оторизацията в Windows е базирана на нея). Използва се и от свръх популярната OAUTH2 система за оторизация. За потребителят изглежда че попълва данните си само на едно място, но отзад има двойна (или дори тройна) оторизация, и нито една организация не разполага с цялата и пълната информация за личните данни на участника. По важното е, че потребителите дори не разбират как става, и не се налага да се логват на 3 сайта едновременно. Но това не премахва гаранциите за сигурността.


Компрометирани броусъри, операционни системи, троянски коне не компрометират автоматично например електронният подпис (всъщност всички хакове, за които знаем не компрометират системата по същество, а само дебнат ситуация в която потребителят подписва в реално време и се опитват да изземат сесията. Дори да заподозрем 1-2 такива случая, това е невъзможно да се изпълни масово в изборният ден по начин по който да се повлияе на изборният резултат).


За дублиранията – тъй като имаме вторична анонимна проверка (при 4), потребителят може да гласува безброй пъти анонимно (издавайки си безброй бюлетини), и да му се брои само последният вот. Това не само не е недостатък, но може да е и предимство. Дори да бъде принуден от някой “да се гласува правилно” пред него, по късно потребителят може да гласува пак, и да инвалидизира предното си гласуване. Така насилственият вот може да стане много по труден (но не и продаденият, но той не може да бъде преборен с технология – това е лично решение), тъй като хората ще имат алтернатива. Особено в малките населени места локалното влияние (в изборната секция със заплаха от кмета, както често се случва) може да стане много трудно, тъй като хората могат да отидат и пак да си гласуват валидно – другаде.


Тъй като само потребителят може да е в състояние да прочете информацията от подписите си, то системата може да бъде направена така, че потребителят да може да провери как е гласувал (ако се предостави такава услуга от 4) и да открие фалшификации, хакове, или да инвалидизира гласа си. Нещо повече, никой няма да бъде в състояние да му попречи да го направи, или да разбере, че това се е случило, без да има абсолютно цялата информация от 1,2,3 и 4 (а пък ако дори само един се оплаче, това лесно ще се открива проблема и ще се хваща виновника. При добре работеща полиция, много бързо и точно ще се излавят хората опитващи да правят компрометиране на системата).


Обърнете внимание, технологиите не са толкова важни (ползвам публични-частни ключове, защото са добра и позната илюстрация), а процедурата и разделението са важни. Ние следваме същата процедура и сега, но нямаме разделение, просто всичко е концентрирано на едно място и не се проверява вторично. Така там където е концентрацията (ИК) може да се правят фалшификации, а поради липсата на вторична проверка, не могат да се изфилтрират. Също така в приръственото гласуване днес използваме значително по-лесни за фалшификация идентификатори (номера на кочани, водни знаци), отколкото в една електронна система.


Аз лично не само че не виждам по големи недостатъци при така описаната по горе процедура, за дистанционно електронно гласуване, отколкото при сегашният ни физически модел, но и виждам адресирани едни от най важните технически проблеми при сегашното гласуване – повишаване на изборната активност (с което пък адресираме изкривяванията, които имаме от ниската изборателна активност) поради улесняване, премахване на възможностите за валидно преброяване на дубликати, и също така създаване на алтернативи за запазване на гражданските права и личният избор, с което при добра комуникация с избирателите, можем директно да атакуваме (минимум с оскъпяване на) платеният вот и (да обезсмислим) феодализираният вот.


До момента няма нито един случай, на наистина хакната система за електронно гласуване или за електронно банкиране. Нямаме познат случай, при който да е хакнат електронен подпис (но знаем за хиляди подправени паспорти). Нямаме случай, в който да е хакнат алгоритъм за оторизация.
Имаме случаи на откраднати (физически) електронни подписи (но както и при личният паспорт, те могат да се инвалидизират и за разлика от личният паспорт инвалидизацията може да е мигновенна). Имаме случаи на откраднати статични сертификати. Имаме случаи на пробити банкови системи по друг начин (достъп до софтуера управляващ трансферите на парите). Имаме класически Denial of Service атаки, които блокират или забавят скороста на работа на системите. Но те не нарушават анонимноста или оторизационната система на потребителите, а са плод на грешен дизайн в други части от софтуера. Така че не могат да се ползват като доказателство за несигурност. Сигурността за личноста и решенията накрайните потребители си се запазва. Но некадърността на системите си е друг проблем.


В предложената от мен схема, нито една организация и дори нито една произволна комбинация от две организации, не може да генерира фалшива система за оторизация, фалшива бюлетина, фалшива асоциация с вот, които да минат на проверка при номер 4. Всички те само ги записват, подписванията прави само потребителят локално.
Можем да имаме (умишлено) фалшиво преброяване при 4, но пък всички сертификати/бюлетини си стоят и подлежат на вторична проверка, така че при всяко подозрение, могат да се проверят и изловят. Доста по добре, отколкото при сегашният модел на присъствено гласуване.


Отделно, една от красотите на цялата работа е, че 1,2,3 и частично дори 4, могат да бъдат реализирани частно, и повече от веднъж едновременно. Можете да имате много издатели на оторизационни системи (електронен подпис), много издатели на електронни бюлетини, много сайтове за асоцииране на вот, много преброители. Това не само че не нарушава сигурността, но дори я увеличава. Потребител, който има подозрения, или ако направи проверка за собственият си вот, какво е гласувал и види несъвпадение, може да смени в рамките на изборният период (ден) и да гласува пак на друго място, и така да инвалидизира грешката, както и да заобиколи проблема. Обратно, полицията пък може да сваля фалшиви сайтове.


Фишинг атаки (сайтове за фалшиво гласувне) няма да сработят, тъй като не разполагат със сертификатите от публичните ключове, както за да вземат гласа на потребителя, така за да го пратят валидно към 3 или 4.


Единствената атака, която остава е DoS атака, към електронните места за гласуване, така че да бъдат блокирани и потребителите да не могат да гласуват и да се нервят. Но DoS атаките се решават лесно, с добре дистрибутирани и скалирани системи. Дори и без атака, системата може да бъде крайно бавна, защото е проектирана лошо (и тук мога да дам пример с Търговският Регистър или сайта за електронно преброяване на предните избори). Но това не е причина да няма електронно гласуване, това може да е причина да притиснем държавните организации да бъдат много по сериозни в разработката на софтуера си.


Послепис:
За незапознатите, ще кажа няколко думи за основни алгоритми в криптографията, които могат да се ползват (и всъщност се ползват във всички системи с електронни подписи, онлайн оторизация и електронно банкиране):


Challenge алгоритъм – Представете си че имате две страни които си комуникират през несигурна среда. Страна А иска да валидира, че страна Б е тази, за която се представя. Страна А знае, че страна Б ще се валидира с информация, която страна А знае (да кажем парола).
Когато Б иска да се представи, той моли А да му даде едно случайно число. А му изпраща случайно число. Б използва случайното число, за да криптира (или hash-не) информацията си, и я подава на А. А знае числото, знае алгоритъма за криптация (hash), и извършва действието на Б локално, след което сравнява резултата с това, което е получил от Б. Ако има съвпадение, значи Б е този, за когото се представя.
Ако някой подслушва мрежата, той знае че Б се опитва да се оторизира пред А. Но не знае паролата на Б, тя никога не минава некриптирана. Отделно не може да използва информацията, получена от Б за да се представи за Б някъде другаде, понеже друго случайно число ще бъде използвано в онази оторизация.
В резултат – имаме активна оторизация, която не може да се декриптира, и не може да се използва другаде или тук по друго време.


Асиметрични алгоритми за криптиране – Това са алгоритми с публични частни ключове. Идеята е проста – имаме математически алгоритми, които ни гарантират, с изключително високо ниво на сигурност, че имаме два ключа, наричани условно публичен и частен. С частният ключ можем да криптираме информация, която може да се декриптира само с публичният ключ. Частният не може да я декриптира. А по частният ключ не можем да създадем публичен и обратно. Така ако вземем частен ключ и криптираме с него някакъв текст, то знаем, че той е криптиран и подписан от този, за който се представя отсрещната страна, ако можем да му го декриптираме с публичният ключ. Без да имаме публичният ключ, не можем да декриптираме, без да е криптиран с реципрочният частен ключ, не можем да декриптираме с публичният. Този алгоритъм е хитър, защото можете да раздадете на приятелите си вашият публичен ключ, и само те ще могат да четат криптираната информация, която им пращате. Но никой друг, освен вас, няма да може да им пише и изпраща информация.


Електронен Сертификат – Двоен (или повече) подпис с публични и частни ключове. Пример – представете си, че вие си създадете своя двойка публичен и частен ключ. Частният си е винаги у вас. Но искате публичният да е достъпен за група хора или всички. Отивате в полицията (или Certificate Authority) и те проверяват, че вие сте вие. След което криптират с техният си частен ключ информация-текст, която казва – да, това е лицето Пешо Пешев, и неговият публичен ключ е този и този (записан вътре). Полученото нещо се нарича сертификат, и можете да го публикувате публично (или да го изпращате, с криптираната от вашият частен ключ поща).
Всеки, който получи вашият сертификат, ако има публичният ключ на полицията (CA) ще може да го прочете. И ще знае, че полицията (гарантирано от нейният частен ключ) твърди, че вие сте този, за когото се представяте, и вашият публичен ключ кой е. С него пък получателят ще декриптира вашата поща, и ще знае че тя е написана от вас, защото само вие имате вашият частен ключ.


Дифъл-Хелман алгоритъм – друга форма на асиметрично криптиране, при което участниците дори си разменят публично индикатори за ключовете, от които може да се регенерира публичният (или друг) ключ, но подслушващият не може да го направи.


Еднократна парола – частна форма на challenge алгоритъма, при която криптираната информация, която се обменя за валидация (паролата) се допълва от компонент, който е зависим от времето (или последователността на събитието), примерно времето е добавено към паролата. Така дори някой да подслуша и да се опита да кракне с речник паролата, няма да може, понеже само след да речем минута информацията е чисто нова, и старата инвалидизирана.


Електронен подпис – Това е комбинация от електронен сертификат и еднократна парола. През мрежата се транспортира сертификационна информация, модифицирана и криптирана с форма на еднократна парола. Може да бъде реализиран и по опростено (например чиповете на кредитните карти са с много по опростена форма на оторизация), и по сложно. Но това е избор на имплементацията, а не е проблем на технологията. Технологията може да бъде удивително сигурна, дори и всички публични ключове и информация, да бъдат свободно достъпни в мрежата.

Безспорно е, че нещо може да бъде реализирано несигурно. Но също така е безспорно, че може да бъде реализирано и сигурно. Това обаче не е въпрос на дискусията дали да има или да няма електронно гласуване. Това е дискусия, след като решим да има електронно гласуване, как точно да бъде направено то. Да казваш, по добре да няма, защото може да бъде направено лошо, е същото, като да отказваш да летиш със самолети, защото от време на време падат. Да, няма да паднеш със самолет, но не значи, че ще живееш вечно, или че самолет няма да ти падне на главата. Значи само, че ще си винаги по бавен от тези, които пътуват със самолет.

ППС:
Може по детайлно да го разпиша, но основната идея е в разделението. Ако си представим, че асоциацията на бюлетина с вот, е всъщност като действието по създаване на сертификат, само че имаме частен ключ генериран локално, и публичен ключ асоцииран с анонимен хеш, който половината да речем отива при асоциятора на вота и половината при преброителя директно, то асоциатора (3) може само да валидира информацията, но не и да знае кой е гласувал и какво. Преброителя може да валидира, но не и да знае кой е гласувал. Само потребителят, ще има възможност да провери, да чете и да (пре)гласува, локално при него.
Математиката допуска това. Така работят вече и много електронни системи за оторизации. Така че може да стане сигурно. Въпросът в действителност обаче никога не е бил технологичен, нали?