Sistema di elezioni governative online - È possibile?

Non è noto come costruire un sistema di votazione su Internet che sia verificabile e verificabile in modo verificabile. Ron Rivest, vincitore del premio Turing e R in RSA, ha paragonato notoriamente il voto su Internet alla guida in stato di ebbrezza: qualcosa che non puoi fare in sicurezza.

(Con il voto su Internet, intendo il voto su Internet da computer client non controllati dalle autorità elettorali, incluso il ritorno di schede elettorali votate per via elettronica su Internet.)

L'argomento contro il voto su Internet è un po 'elaborato, ma puoi trovare i dettagli nei seguenti articoli:

• Se posso acquistare e fare acquisti online, perché non posso votare online? , David Jefferson.

• Analisi di sicurezza del servizio di registrazione elettronica sicura e di votazione (SERVE) , David Jefferson, Avi Rubin, Barbara Simons e David Wagner. Pubblicato in forma estratta in Communications of the ACM, volume 47, numero 10, ottobre 2004.

• Attaccare il sistema di votazione su Internet di Washington, DC , Scott Wolchok, Eric Wustrow, Dawn Isabel e J. Alex Halderman. Pubblicato in FC 2012.

Non perdere l'ultima carta. È un hack totalmente epico di un sistema di votazione su Internet.

Quali proprietà dovrebbe idealmente avere un sistema di votazione online?

1. sicura

   • Ogni votante può votare una sola volta
   • L'autorità di voto non può aggiungere o rimuovere voti senza essere scoperti

2. Privacy / Anonimato

   Altre persone (incluso lo stato) non riescono a scoprire cosa hai votato.

3. Non dovresti essere in grado di dimostrare a qualcun altro come hai votato, per evitare voti acquistati o voti sotto costrizione

4. I trojan non dovrebbero essere in grado di alterare i voti

5. Il processo dovrebbe essere comprensibile / verificabile dai non esperti

Cosa possiamo ottenere?

5) verifica non esperta
è abbastanza senza speranza per un sistema online. La crittografia richiesta è semplicemente troppo complicata. Ma non considero questa proprietà essenziale.

4) Trojan
Non riesco a pensare a un modo per mantenere il sistema sicuro in presenza di trojan. Si può semplicemente provare a non averli. Ad esempio utilizzando un live-cd. Non riesco a pensare a un modo per mantenere il sistema sicuro in presenza di trojan.

In un mondo ideale possiamo almeno raggiungere un sistema che offre 1) sicurezza e 2) anonimato, non sono sicuro di 3). Ma implementare un sistema che raggiunge 1) e 2) è già abbastanza fastidioso nella pratica.

Schizzo di come costruire un tale sistema

Devi essere in grado di comunicare in modo anonimo con i server di votazione usando TOR o qualcosa di simile.

Quindi devi separare il diritto di voto una volta dal voto effettivo. Le firme cieche lo consentono in linea di principio. Ma richiedono due passaggi:

1. Trasformare l'autorizzazione di voto non anonima in votazione
2. Invio del voto al server di raccolta dei voti.

Devi stare attento a evitare un attacco del canale laterale che consenta la correlazione di questi due passaggi, ad esempio per tempistica o IP.

Alla fine viene pubblicato un elenco di tutti i voti ricevuti, consentendo a ciascun elettore di verificare che il suo voto sia stato conteggiato, e viene pubblicato un elenco dei nomi di tutti gli elettori, in modo che i non votanti possano verificare che nessuno ha votato a loro nome, e che non ci sono più voti degli elettori. Un numero significativo di elettori e non votanti deve verificare che il sistema sia sicuro.

Questo schema non offre 3), e non sono sicuro che sia possibile aggiungere questa proprietà.

Anche la realizzazione pratica di questo sistema sembra abbastanza impegnativa se si vogliono evitare tutti gli attacchi di canale laterale sull'anonimato. Ad esempio, è necessario inserire un ritardo sufficiente tra i passaggi 1 e 2 e probabilmente è necessario un anonymizer di inoltro lento per evitare l'analisi del traffico.

Conclusione

Mi sembra come implementare un sistema di votazione online che si avvicini anche a ciò che un convenzionale sistema basato su carta offre non è praticamente possibile. Pertanto raccomando di restare con un buon vecchio documento per importanti elezioni, ma potrebbe essere possibile utilizzare voti meno importanti per il voto online.

Penso che l'alta corte tedesca abbia risolto il problema molto bene:

Verificabilità

La corte costituzionale tedesca governata su qualsiasi tipo di dispositivo di voto:

The usage of voting devices [...], is in compliance with the constitutional requirements only, if the essential steps of the voting and counting can be verified reliably and without expert knowledge.

Il verdetto è stato motivato da un caso sui computer tradizionali di voto, ma la sentenza è più generale: i computer votanti consistono in una tastiera e un display. L'elettore preme la chiave per la festa di sua scelta. Il voto verrà visualizzato e l'elettore deve confermarlo.

Ma non c'è modo in cui un votante può verificare che il partito che ha selezionato e visto sullo schermo sia il partito per il quale conta il suo voto. Il governo ha cercato di sostenere che i computer elettorali erano stati verificati da un'istituzione ufficiale e sigillati per impedire manipolazioni.

Ma la corte ha chiarito molto chiaramente che "verificato dagli esperti" non è abbastanza buono, per soddisfare i requisiti delle elezioni democratiche.

Nota: non fa alcuna differenza se la votazione viene eseguita utilizzando un computer per il voto straniero o un computer di proprietà dell'elettore: Le persone non sono in grado di verificare che il proprio computer funzioni correttamente . Ciò inizia già a comprendere un software di votazione open source, ma naturalmente questo va giù fino al microcodice all'interno dell'hardware .

Anonimato e non dimostrabilità

La decisione riguardava solo la verificabilità da parte di non esperti. Ovviamente qualsiasi soluzione a questo problema, non deve violare gli altri requisiti delle elezioni democratiche.

Ad esempio, è possibile verificare i voti pubblicando un elenco completo di tutti gli elettori con indirizzi e voti. Ma le elezioni democratiche richiedono anonimato per proteggere gli elettori e non-dimostrabilità per impedire la vendita di voti.

Ci sono alcuni concetti intelligenti di non pubblicare le informazioni per tutti da vedere, ma consentendo comunque all'elettore di verificare il suo voto. Ma questi concetti sono non facilmente comprensibili dalle persone medie a causa della complessa matematica dietro di esso. Quindi siamo di nuovo al punto di partenza.

Inoltre non possono soddisfare allo stesso tempo non provibility e provability . Ma se non permettono a qualcuno di dimostrare, che il suo voto non è stato conteggiato come avrebbe dovuto essere, è abbastanza probabile che un numero di persone chiamerà la frode dopo ogni elezione.

tl; dr: Il voto su Internet è certamente una cattiva idea ora per importanti elezioni.

Molti di noi considerano il voto sicuro su Internet uno dei grandi problemi non risolti nella sicurezza IT . Ciò è dovuto al requisito molto impegnativo sia per anonimato che per trasparenza . Combina anche le enormi sfide di protezione dei server e e richiede la gestione del rifiuto del servizio . È stato nominato degno di un X-PRIZE a DESSEC: designazione di un concorso per la progettazione di sistemi sicuri.

Un grande passo avanti nella risoluzione del problema del server viene fornito con i recenti progressi della crittografia omomorfica che ottengono un quasi miracolo: puoi archiviare pubblicamente i voti votati cifrati nel cloud, e anche consentire al pubblico di aggiungerli per confermare il conteggio dei voti per ciascun candidato e per verificare che il proprio voto sia stato effettivamente incluso nel totale, senza avere una ricevuta che potrebbe dimostrare come hanno votato a una terza parte. Vedi il sistema Helios Voting per una grande implementazione e spiegazione. È adatto per le elezioni a basso rischio. Ma anche l'autore, Ben Adida, dice " Un'elezione del governo è qualcosa che tu non voglio fare su Internet, "citare sia il potenziale di virus informatici per corrompere il voto e la possibilità di intimidazione degli elettori .

Il problema del cliente è molto più difficile da affrontare, ma in realtà un obiettivo degno su cui molte persone stanno lavorando. Il problema denial-of-service è molto intrattabile data l'attuale architettura di Internet.

Un'ottima panoramica sull'argomento è Votazione Internet nel Stati Uniti in CACM, ottobre 2012.

Un degno video del 2012 sull'argomento, di Ben Adida, è Dov'è il mio voto? .

Quindi il voto su Internet è certamente una cattiva idea per elezioni importanti. L'esperienza dei Paesi Bassi con il voto online serve come lezione e come gli elettori possono essere istruiti sui fatti. Il loro Rijnland Internet Election System (RIES) aveva grossi difetti di sicurezza, e fu abbandonato nel 2008 dopo pochi anni di utilizzo. Vedi Votazione elettronica nei Paesi Bassi: dalla prima adozione all'abbandono precoce .

Vedi anche una precedente domanda al riguardo: Polling Internet sicuro - Sicurezza IT

Il più grande problema irrisolvibile, secondo me, con il voto basato su Internet, è che gli elettori non sono protetti dalla pressione sociale . Lo stand di voto è lì per consentire a ciascun elettore di fare la sua scelta: nessuno vede ciò che è inserito nella busta, e l'elettore non può portare alcuna prova che abbia votato per un candidato specifico.

In un sistema in cui le persone votano da casa, nessuno stand. Gli elettori possono "vendere" il loro voto votando davanti agli occhi di chi li sta corrompendo per votare in un modo specifico. Inoltre, gli elettori non possono più votare liberamente per quanto riguarda i desideri della loro curiosa moglie / marito.

Quindi, votare (il voto anonimo per le elezioni politiche) ha bisogno di uno stand, e non può essere fatto in sicurezza da casa. E se hai una cabina, allora tutto il discorso sui protocolli di voto è solo un modo per ottimizzare il processo di conteggio, che può essere fatto in modo efficiente con documenti e persone.

(Naturalmente, il voto basato su Internet è ottimo per alcune elezioni specializzate, in particolare per le elezioni di alcune associazioni - per esempio IACR - dove il voto-vendita sembra un'idea assurda, e ci sono davvero raramente due elettori nella stessa casa, e anche elezioni non anonime in assemblea dei detentori di titoli, ma, per le elezioni governative, mai.)

In realtà lo hanno già fatto in Estonia da alcuni anni. Per la prima volta nel mondo, hanno effettuato con successo una sessione di votazione elettronica nel 2007. Da allora, lo stanno ancora facendo. Lo chiamano un successo, anche se sono abbastanza scettico a riguardo. Puoi leggere ulteriori informazioni al riguardo sul loro sito web ufficiale e, naturalmente, su Wikipedia . Nota che stanno usando le carte d'identità per identificare le persone.

Sono sicuro che potrebbe creare un sistema così sicuro. La sicurezza non è il problema principale.

Il problema principale è: senza la privacy della cabina di voto, non si può essere sicuri che gli elettori non stiano scegliendo sotto pressione. Questa è una grande preoccupazione per la democrazia.