Ogni volta che ci sono elezioni negli Stati Uniti, vengono sollevate domande sulle vulnerabilità della sicurezza e sull'hacking / manomissione delle macchine per il voto (sono sicuro che non si tratta nemmeno di fenomeni USA).
Ovviamente, prevenire gli hack di livello hardware è un insieme di pesci completamente diverso, ma se supponiamo che la macchina sia fisicamente sicura - se non altro, perché ce ne sono così tanti , in tutto gli Stati Uniti, quindi è quasi impossibile manomettere quantità abbastanza significative anche solo contando gli stati di swing ), il seguente approccio sarebbe un modo ragionevolmente affidabile per prevenire manomissioni / hacking non fisici di una votazione macchina?
-
Avere una real ROM (non modificabile) che memorizza il codice di controllo
-
Il controllo del codice verifica che il software della macchina per il voto sia valido (presumibilmente, calcolando il checksum e verificando il checksum con valori validi noti - ad esempio, archiviato su un sito Web dell'ufficio elettorale federale).
- Utilizza la crittografia a chiave pubblica per assicurarti che le somme di controllo recuperate siano effettivamente acquisite correttamente (utilizzando la chiave pubblica dell'ufficio elettorale federale).
-
Se il checksum non va a buon fine, usa l'hardware separato NON controllato dal resto dell'elettronica nella macchina per il voto, per segnalare almeno il malfunzionamento del segnale, o persino bloccare la funzionalità di votazione.
Poiché il codice di controllo è al 100% nella ROM, richiederebbe un accesso fisico alla macchina con cui fare confusione (e se è sufficientemente protetto, ad esempio all'interno di un compartimento saldato, sarebbe molto difficile avvitarlo).
UPDATE : per essere chiari, le ipotesi qui sono:
-
Ogni attacco è esterno al venditore della macchina, e quindi, il software scritto per essa dal venditore fa esattamente ciò che si suppone faccia a meno di errori adeguatamente spiegati da stupidità .
Non ci sono trojan intelligenti nel codice, non c'è alcun vettore di attacco nel compilatore usato dal venditore. Il contesto della domanda è difendersi contro un attacco da parte di una terza parte su una macchina funzionante perfettamente valida .
Ragioni: perché il contesto in cui ho posto la domanda era rappresentato da attacchi di terze parti nella vita reale (e non in trojan). Inoltre, poiché altrimenti, la domanda diventa banale per rispondere e non interessante. Ovviamente è possibile sottoporre il fornitore a risorse sufficienti, duh.
-
Puoi anche presumere di poterti fidare delle firme di checksum sul sito federale - perché è irrilevante, ma è semplice come avere stagisti di tutte le parti interessate che siedono lì tutto il giorno delle elezioni con la stampa di checksum originale e verifica che il sito Web corrisponda ancora alla stampa.
-
Ci sono state obiezioni sollevate sull'ipotesi che la sicurezza fisica attraverso "oscurità" (o volume puro) sia abbastanza efficace perché ci sono solo poche zone di oscillazione. Questa è in realtà una supposizione valida da fare.
Motivazione: nella pratica politica degli Stati Uniti, dato il margine di errore del sondaggio (testimone delle elezioni del 2016), sapere cosa sarebbe lo stato / i recinti dello swing è quasi impossibile. Non importa che nelle elezioni a cambiamento più ampio, come il 2008 o il 2016 o il 1992, la quantità di macchine che è necessario manomettere per influenzare effettivamente l'esito del college elettorale (invece di spostare leggermente il margine di voto) richiede che TONS di stati / distretti cambi. L'elezione del 2000 con le aree specifiche della Florida era un outlier, non una regola - e persino in quelle elezioni, prevedendo che la Florida sarebbe stata uno stato altalenante con quelle aree specifiche non fu facile.