Rischi e sfide di un sistema di votazione online. Qualche aggiornamento recente? [chiuso]

Naviga le tue risposte
0

Sto studiando e preparando un documento per l'implementazione di un sistema di votazione online (sistema basato su Internet) che può essere usato per scopi di voto governativo. Vorrei chiedere i vostri consigli e suggerimenti in merito a minacce, punti deboli, rischi e sfide che un tale sistema può avere. Se non sei d'accordo per l'utilizzo di tali sistemi, sarebbe bello avere anche i tuoi commenti. Inoltre, per favore fatemi sapere su articoli correlati / post del blog. :)

Domanda : quali sono i rischi / le sfide che potrebbero influire sull'affidabilità e sulla fiducia dell'utente?

Per chiarimenti sulla domanda, vedo i seguenti elementi come una questione di minacce, punti deboli, rischi o sfide che dovrebbero essere curati e considerati. Non sono sicuro che si tratti di un elenco completo:

  1. Sicurezza dei dati (livello applicazione)
  2. Sicurezza fisica (sicurezza del centro dati)
  3. Sicurezza del personale
  4. Convalida identità, verifica e autenticazione
  5. Anonimato

I requisiti di base sono:

  1. Le persone possono votare solo una volta.
  2. I voti devono essere riservati e nessuno dovrebbe essere in grado di trovare chi ha votato per cosa.

Progetti correlati / simili:

  1. Smartmatic: link
  2. Scytl Secure Electronic Voting, S.A: link
  3. Polyas: link
  4. Intelivote: link

Ho trovato una domanda circa 5 anni fa circa la possibilità del sistema di elezioni governative online. Credo che sia possibile ora e anche la maggior parte delle sfide menzionate qui sono ancora valide, ma mi chiedo se non ci saranno cambiamenti da allora e se la visione per il futuro è ancora la stessa. Sistema di elezioni governative online - È possibile?

    
posta Payam Mohajeri 08.01.2018 - 05:23
fonte

2 risposte

2

L'autenticazione IMHO su Internet con un livello di sicurezza compatibile con un'elezione governativa richiede un'autenticazione strong (certificato) in cui la chiave privata è protetta in modo sicuro in un dispositivo fisico per impedire qualsiasi copia. Ciò significa che abbiamo bisogno di un sistema nazionale PKI in cui ogni cittadino abbia una smartcard. A proposito, ciò escluderebbe di fatto il voto da uno smartphone.

Quindi a tutti i cittadini è normalmente permesso di votare, anche se non possiedono alcun computer o hanno un computer fuori uso al momento del voto. Pertanto, il sistema dovrebbe prevedere un punto di voto pubblico , ad esempio nei municipi.

Una volta risolti questi due punti, il prossimo e probabilmente più difficile è come dimostrare che il sistema fa ciò che dovrebbe fare. Sviluppo di un sistema in grado di:

  • identifica un votante
  • ricorda che ha votato per impedire voti multipli
  • memorizza il voto in modo che sia impossibile sapere alla fine chi ha votato cosa

non è probabilmente una vera sfida, ma provare che non contiene alcuna trappola (che si tratti di volontari o meno) è al limite di ciò che posso immaginare, perché solo gli esperti di sicurezza IT potrebbero farlo, e attualmente non conosco nessun comitato che avrebbe sia la conoscenza che la competenza e la legittimità per esso.

E dopo l'elezione, sarebbe necessario dimostrare nuovamente che il sistema non è stato violato durante l'operazione, con la stessa domanda su competenza e legittimità.

Gli avvocati in generale dicono che il piccolo è bello. Quando si hanno migliaia di voti ciascuno con alcune persone incaricate dai diversi candidati di controllare la regolarità, è ammesso che ci saranno problemi qua e là, ma non abbastanza da cambiare il risultato di un voto. L'hacking di un sistema globale sarebbe certamente più difficile dell'aggiunta di alcuni bollettini cartacei, ma le conseguenze potrebbero sicuramente cambiare il risultato di un'elezione.

Questa è probabilmente la ragione per cui, mentre molte persone sarebbero in grado di creare un sistema di voto piacevole, pochi paesi li usano

    
risposta data 08.01.2018 - 18:28
fonte
0

Il voto elettronico è un campo molto ampio e complesso e la costruzione di un tale sistema di solito non è così facile come pensarci. I problemi e i rischi relativi a un sistema di votazione su Internet sono (ovviamente) ancora più minacciosi per la sicurezza e l'integrità di un sistema di votazione elettronico che non utilizza Internet.

Oltre ai punti sopra elencati, ci sono molti altri problemi che dovresti affrontare se decidi di implementare un sistema di votazione che usi Internet. Ad esempio, gli attacchi DoS e DDoS sono un altro grosso problema con i sistemi di votazione su Internet di oggi e sembra che lo saranno anche nel prossimo futuro. Pertanto, la disponibilità è uno degli altri requisiti fondamentali di sicurezza che devono essere presi in considerazione durante l'implementazione e che non è stato menzionato sopra (particolarmente rilevante durante le elezioni politiche). Per una migliore descrizione dei requisiti che dovrebbe avere un sistema di voto elettronico, suggerisco di visitare i seguenti link.

Inoltre, come suggerito in parte da @dandavis, esiste anche la possibilità che il comportamento del browser (o il comportamento del dispositivo) utilizzato per esprimere il voto sia compromesso da uno o più software dannosi eseguiti da quest'ultimo. Penso che sia quello che hai chiamato Sicurezza dei dispositivi personali . Il problema qui è che non è possibile prevedere né evitare (dal punto di vista del programmatore di WebApp) se un dispositivo è compromesso da uno o più malware, in contrasto con quanto ipotizzato nel commento. Dovresti fidarti di Antivirus e software più avanzato ma a volte falliscono anche: nuovi modelli di attacco e nuove tecniche di infezione o propagazione del malware sono ciò che rende questo un problema con ancora nessuna soluzione completa.

Alcuni dei problemi che ho menzionato sono stati parzialmente risolti dai sistemi che soddisfano una particolare proprietà: la cosiddetta verifica end-to-end crittografica . Requisito che dovrebbe essere elencato nella tua lista, dal punto di vista della maggior parte degli esperti e anche dal mio.

Infine, penso che la risposta alla tua ultima domanda dovrebbe essere non proprio . Con un po 'più di ricerche scoprirai che esistono sistemi di votazione elettronica basati su Internet, e alcuni di essi sono stati utilizzati durante le elezioni politiche in diversi paesi. (I cittadini dell'Estonia hanno votato online per diverse elezioni politiche, per esempio) Quindi questi sistemi sono ovviamente "possibili" ma, il più delle volte, non sono abbastanza sicuri. Spero di essere stato utile e ti prego di perdonare il mio inglese non proprio buono.

    
risposta data 08.01.2018 - 15:15
fonte

Leggi altre domande sui tag

In che modo i servizi di posta elettronica decrittografano una posta crittografata senza la chiave pubblica del mittente? [duplicare] La sovrascrittura di un prototipo Javascript comporta un attacco XSS?