En mi opinión sería un crasso error, en una "democracia" como la nuestra, caracterizada por una corrupción sistémica más que evidente. Implantar aquí un voto electrónico sería un suicidio (para los ciudadanos).
Por ahora no puede ser sustituido por el voto en papel. No hay garantías de que un voto sea realmente registrado o modificado en algún punto del proceso desde que se emite hasta que se computa.
#1 Eso no es cierto. Hay sistemas de votación que YA son más seguros que el voto en urna (AgoraVoting, por ejemplo, va muy avanzado). Y si te miras el informe postelectoral del Partido X verás que las elecciones con urna y papel distan mucho de ser una experiencia modelo de transparencia y democracia.
Eso sí, no es lo mismo que se desarrolle un sistema de votación electrónica en código abierto y en servidores públicos a que te lo hagan Google o Facebook (que terminarán haciéndolo si no nos ponemos las pilas).
#2 No veo en AgoraVoting, cual es el mecanismo por el cual un voto, además de secreto, no es posible que sea manipulado. Para ser usuario de AgoraVoting creo que solo te piden nombre/usuario/email/contraseña
Que me impide inventarme mil nombres, mil usuarios, mil emails y cada uno con su contraseña? quien dice mil, dice diez mil, cien mil un millon, etc.
No digo con ello que el voto en papel sea más seguro, pero este permite ser vigilado/supervisado, el electrónico en cambio no lo permite, es un sistema mucho más complejo de pervertir, pero una vez logrado, di adios a la democracia.
En su página aparecen 7 personas que encontraron huecos en la seguridad de AgoraVoting, lo cual no indica que sea un sistema seguro. (algo por otra parte que no me parece posible demostrar)
El voto electrónico debe asegurar:
- Voto secreto: ¿como se hace para evitar que la comunicación entre mi ordenador y Agoravoting no es espiada? Has oído hablar del Hearbleed?
- Una persona un voto ¿como evitan que alguien use dos usuarios?, modificar MAC, IP, etc. es más que posible, toda una realidad al alcance de cualquiera.
- Vigilancia del voto, como se supervisa que el voto que he enviado no ha sido manipulado en la comunicación entre el servidor y mi ordenador? como compruebo que el servidor no ha manipulado el voto? como compruebo que el computo de votos no ha sido manipulado?
Perdona, no me expresé bien. En AgoraVoting saben cómo garantizar esos extremos que comentas, pero ellos ofrecen distintos modelos en función de si se busca más o menos participación/seguridad. No fue igual el sistema de #ParlamentoTransparente que el de las primarias de Podemos.
Respecto a las garantías del voto, puedes conseguir el anonimato y un recuento fidedigno con un sistema que me explicaron como "en el momento de votar se generan 2 comprobantes, uno se lo queda el votante y el otro va a unos 'montones' donde se entremezcla, antes de dirigirse al punto donde se recuenta." Obviamente esa explicación es para no informáticos como yo, pero son procesos programables. Y, si bien no garantiza al 100% todas las votaciones, lo que sí se garantiza es que, de haber pucherazo, se ve.
El desarrollador que me lo explicó es @edulix en Twitter, de Agora. Seguro que él te lo puede explicar mejor
#3 Agora Voting es un sistema de voto flexible que permite múltiples medidas de seguridad, y según el caso de uso tiene sentido activar unas u otras. Respecto de la autenticación, permite activar diferentes sistemas, desde el menos seguro pero más usable hasta el más seguro:
* usuario/contraseña
* twitter/Facebook..
* limitación de un numero de DNI = un voto
* autenticación verificando el número de teléfono móvil, mandado una clave por SMS que el votante tendrá que meter en un formulario.
* certificado digital de la FNMT, el mismo con el que se hace la declaración de Hacienda
La decisión ya depende de quien lo gestione, de los recursos que tenga (los SMS cuestan un dinerito), de cada caso vamos. Además, se permite limitar número de intentos, y de votos (que no es lo mismo) por dirección IP, se filtra y autobloquea también número de peticiones por segundo, etc. Se permite poner ips en lista negra/blanca para filtrar puntos de votación específicos así como banear por ejemplo proxies públicos o TOR. Todo configurable mediante un pipeline. También permite verificarse contra un censo previo si así se requiere. Lo dicho flexible.
Además, permite integrarse con un sistema de autenticación unificado para permitir un sistema de voto mixto y en urna. Algo que además viene bien cuando se hacen referéndums ciudadanos, que no vienen con un censo previo y por tanto no se tiene preasignada una urna a cada votante. De esa forma se evita tanto que vote alguien primero por Internet y luego en urna, como que vaya votando de urna en urna.
Y todo eso sólo respecto de la autenticación. Respecto de la verificación de que los votos no han sido manipulados: puedes verificar el hash de tu voto en cualquier momento. Y una vez hecho el recuento, puedes descargarte el tally.tar.gz y el agora-verifier, que te permite verificar que efectivamente tu voto está ahí dentro, así como las ZKP (pruebas de cero conocimiento) de que el proceso de recuento por parte de las autoridades ha sido correcto. Son pruebas *matemáticamente verificables*.
#5 Si tiene todo muy buena pinta, y sin embargo, del primer link que incluyes, el punto 7 explica ciertos riesgos que aunque sean poco probables, según vosotros mismos, siguen siendo probables:
7.1 Registration Frauds Assessment: Possible by design
7.3.1 SMS key theft Possible. Unlikely
7.7 Italian Attack Possible. Unlikely and low impact
7.14 Denial of Service Attacks Possible.
7.16 Hardware / Software errors
General errors stemming from software or hardware faults
Possible. Unlikely
It is possible that software or hardware errors cause problems ranging in severity from minor defects to general system failures. However, redundancy and testing make these problems unlikely.
Incluido el 5.1.1 que la integridad del sistema asume como cierto el correcto funcionamiento del dispositivo/SO/navegador.
Dime, aún no habéis detectado malware que intente como mínimo espiar el voto?, prevees que de popularizarse el método aparezca algo así? si para ti el sistema es perfecto, aún me da más miedo.
#6 ¿qué está en juego? lo mismo que en las elecciones en papel, donde el fraude también se da por si no lo sabías.
Cuando viene una nueva tecnología, suele criticarse buscándole fallos, cuando muchas veces la alternativa anterior tiene fallos iguales, similares o peores. Repaso los mismos puntos contrastando con el voto en papel, que tanto te gusta:
Respecto de la autenticación por SMS, no es una maravilla, y como digo no es el único método de autenticación posible. ¿quieres más seguridad? Pues usar el certificado de la FNMT para autenticar.
Yo tengo un hermano gemelo, y te puedo asegurar que si agarra mi DNI y va a votar por mi nadie va a darse cuenta ni hay manera de arreglarlo. Eso, respecto de los puntos 7.1 y 7.3.1.
Punto 7.7, Italian Attack. Era posible sólo en esa votación al tener muchas opciones posibles. Lo minimizamos dentro de lo posible con el presupuesto que teníamos. Es un ataque de tipo coacción. En el voto presencial también puede haber coacción: casi nadie se mete en la cabina para votar, y no es obligatorio. Y no hablemos del voto por correo. Aun no te he visto rasgándote las vestiduras. "Pero oye nada, total qué está en juego"</quote>
Punto 7.14: Denial of Service Attack: es un ataque no descartable, claro, nunca sabes ante lo que puedes enfrentarte. Se establecen medidas de seguridad, como por ejemplo baneo de ips, caché varnish para soportar miles de peticiones por segundo. Servidores potentes, en un proveedor de servicios grande que implementa sus propias medidas de seguridad. Además, ahora estamos usando CloudFlare, que específicamente sirve para evitar ataques DDoS. Claro, que si te ataca la mitad de Internet a la vez, quien sabe si lo soportará, por tanto siempre es posible que terminé afectándote. En ese caso, siempre puedes aumentar el periodo de votación, meter más servidores, etc.
Y respecto del 7.16: siempre puede haber errores y problemas, igual que también hay errores de conteo. Según el nivel de recursos, puedes meter duplicación de máquinas para detectar errores de hardware, y puedes hacer análisis de seguridad del hardware/software, etc.
Por descontado, si fuese una votación con más recursos que las de Podemos como por ejemplo unas elecciones generales, se podrían hacer muchas más cosas. Y por cierto, la alternativa igual no era usar voto en urna, que dados los recursos era casi que inviable para hacer un conteo y voto en unas primarias con tantos candidatos, sino un software de votaciones con menos medidas de seguridad, o bien no hacer primarias, al menos en este caso concreto.
#7 No, te equivocas, la votación en papel no me gusta. Entre otras cosas es carísima y sobre todo lentísima y ya he reconocido en #3 que el voto en papel, obviamente es susceptible de ser manipulado.
Recuerdo haber cambiado de opinión sobre el voto electrónico (de a favor a en contra) tras leer algún post en kriptopolis sobre el voto electrónico (que no he encontrado ahora), eso fue hace tiempo, quizás haya evolucionado el sistema, no lo sé.
La verificación que hacéis en Agora no la conozco, no había oído lo de ZKP, y probablemente aunque lo intente, no sería capaz de comprenderla. Aún así espero que reconozcas que contar papelotes es más fácil de entender que una prueba de verificación matemática sobre hashes, que no me queda claro si permite a varios organismos independientes comprobar el 100% de la votación.
Si así es, podría cambiar de opinión sobre este tema. Y si, lo nuevo, por nuevo da miedo, pero buscar fallos a lo nuevo, es lo lógico, ya que no hacerlo es garantía de fracaso, así que espero que fomentéis una sana búsqueda de fallos en vuestro sistema.
Cambiar solo se debería cambiar, en caso de que sea demostrable que el sistema es mejor, o mucho mejor. Entiendo perfectamente las razones por las que es deseable el voto electrónico, yo también quiero más democracia, quiero poder expresar mi opinión sobre lo que pienso muchas más veces que una vez cada 4 años, quiero muchas cosas, pero lo que no quiero, y me da mucho miedo, es que un sistema de votación electrónico sea susceptible de ser manipulado, pues me parece mucho más complicado de ser verificado.
Digamos que se hace un ataque tipo phishing, que recopila tu clave sms y tu dni y luego vota por ti lo que ellos quieren en el sitio real.
Creo que es factible, no?, como contabilizas, cuantos votos han sido manipulados? que validez tendría la votación en caso de detectarse este tipo de ataque?
Por ahora no puede ser sustituido por el voto en papel. No hay garantías de que un voto sea realmente registrado o modificado en algún punto del proceso desde que se emite hasta que se computa.
Eso sí, no es lo mismo que se desarrolle un sistema de votación electrónica en código abierto y en servidores públicos a que te lo hagan Google o Facebook (que terminarán haciéndolo si no nos ponemos las pilas).
Que me impide inventarme mil nombres, mil usuarios, mil emails y cada uno con su contraseña? quien dice mil, dice diez mil, cien mil un millon, etc.
No digo con ello que el voto en papel sea más seguro, pero este permite ser vigilado/supervisado, el electrónico en cambio no lo permite, es un sistema mucho más complejo de pervertir, pero una vez logrado, di adios a la democracia.
En su página aparecen 7 personas que encontraron huecos en la seguridad de AgoraVoting, lo cual no indica que sea un sistema seguro. (algo por otra parte que no me parece posible demostrar)
El voto electrónico debe asegurar:
- Voto secreto: ¿como se hace para evitar que la comunicación entre mi ordenador y Agoravoting no es espiada? Has oído hablar del Hearbleed?
- Una persona un voto ¿como evitan que alguien use dos usuarios?, modificar MAC, IP, etc. es más que posible, toda una realidad al alcance de cualquiera.
- Vigilancia del voto, como se supervisa que el voto que he enviado no ha sido manipulado en la comunicación entre el servidor y mi ordenador? como compruebo que el servidor no ha manipulado el voto? como compruebo que el computo de votos no ha sido manipulado?
Respecto a las garantías del voto, puedes conseguir el anonimato y un recuento fidedigno con un sistema que me explicaron como "en el momento de votar se generan 2 comprobantes, uno se lo queda el votante y el otro va a unos 'montones' donde se entremezcla, antes de dirigirse al punto donde se recuenta." Obviamente esa explicación es para no informáticos como yo, pero son procesos programables. Y, si bien no garantiza al 100% todas las votaciones, lo que sí se garantiza es que, de haber pucherazo, se ve.
El desarrollador que me lo explicó es @edulix en Twitter, de Agora. Seguro que él te lo puede explicar mejor
* usuario/contraseña
* twitter/Facebook..
* limitación de un numero de DNI = un voto
* autenticación verificando el número de teléfono móvil, mandado una clave por SMS que el votante tendrá que meter en un formulario.
* certificado digital de la FNMT, el mismo con el que se hace la declaración de Hacienda
La decisión ya depende de quien lo gestione, de los recursos que tenga (los SMS cuestan un dinerito), de cada caso vamos. Además, se permite limitar número de intentos, y de votos (que no es lo mismo) por dirección IP, se filtra y autobloquea también número de peticiones por segundo, etc. Se permite poner ips en lista negra/blanca para filtrar puntos de votación específicos así como banear por ejemplo proxies públicos o TOR. Todo configurable mediante un pipeline. También permite verificarse contra un censo previo si así se requiere. Lo dicho flexible.
Además, permite integrarse con un sistema de autenticación unificado para permitir un sistema de voto mixto y en urna. Algo que además viene bien cuando se hacen referéndums ciudadanos, que no vienen con un censo previo y por tanto no se tiene preasignada una urna a cada votante. De esa forma se evita tanto que vote alguien primero por Internet y luego en urna, como que vaya votando de urna en urna.
Y todo eso sólo respecto de la autenticación. Respecto de la verificación de que los votos no han sido manipulados: puedes verificar el hash de tu voto en cualquier momento. Y una vez hecho el recuento, puedes descargarte el tally.tar.gz y el agora-verifier, que te permite verificar que efectivamente tu voto está ahí dentro, así como las ZKP (pruebas de cero conocimiento) de que el proceso de recuento por parte de las autoridades ha sido correcto. Son pruebas *matemáticamente verificables*.
¿más información? pues mira, aquí por ejemplo tienes un documento técnico que explica los detalles de la última votación de Podemos: vota.podemos.info/static2/pages/podemos_june_tech_overview.pdf y un documento un poco menos técnico sobre el tema: vota.podemos.info/#page/overview
7.1 Registration Frauds Assessment: Possible by design
7.3.1 SMS key theft Possible. Unlikely
7.7 Italian Attack Possible. Unlikely and low impact
7.14 Denial of Service Attacks Possible.
7.16 Hardware / Software errors
General errors stemming from software or hardware faults
Possible. Unlikely
It is possible that software or hardware errors cause problems ranging in severity from minor defects to general system failures. However, redundancy and testing make these problems unlikely.
Incluido el 5.1.1 que la integridad del sistema asume como cierto el correcto funcionamiento del dispositivo/SO/navegador.
Dime, aún no habéis detectado malware que intente como mínimo espiar el voto?, prevees que de popularizarse el método aparezca algo así? si para ti el sistema es perfecto, aún me da más miedo.
Pero oye nada, total que está en juego?
Cuando viene una nueva tecnología, suele criticarse buscándole fallos, cuando muchas veces la alternativa anterior tiene fallos iguales, similares o peores. Repaso los mismos puntos contrastando con el voto en papel, que tanto te gusta:
Respecto de la autenticación por SMS, no es una maravilla, y como digo no es el único método de autenticación posible. ¿quieres más seguridad? Pues usar el certificado de la FNMT para autenticar.
Yo tengo un hermano gemelo, y te puedo asegurar que si agarra mi DNI y va a votar por mi nadie va a darse cuenta ni hay manera de arreglarlo. Eso, respecto de los puntos 7.1 y 7.3.1.
Punto 7.7, Italian Attack. Era posible sólo en esa votación al tener muchas opciones posibles. Lo minimizamos dentro de lo posible con el presupuesto que teníamos. Es un ataque de tipo coacción. En el voto presencial también puede haber coacción: casi nadie se mete en la cabina para votar, y no es obligatorio. Y no hablemos del voto por correo. Aun no te he visto rasgándote las vestiduras. "Pero oye nada, total qué está en juego"</quote>
Punto 7.14: Denial of Service Attack: es un ataque no descartable, claro, nunca sabes ante lo que puedes enfrentarte. Se establecen medidas de seguridad, como por ejemplo baneo de ips, caché varnish para soportar miles de peticiones por segundo. Servidores potentes, en un proveedor de servicios grande que implementa sus propias medidas de seguridad. Además, ahora estamos usando CloudFlare, que específicamente sirve para evitar ataques DDoS. Claro, que si te ataca la mitad de Internet a la vez, quien sabe si lo soportará, por tanto siempre es posible que terminé afectándote. En ese caso, siempre puedes aumentar el periodo de votación, meter más servidores, etc.
Y respecto del 7.16: siempre puede haber errores y problemas, igual que también hay errores de conteo. Según el nivel de recursos, puedes meter duplicación de máquinas para detectar errores de hardware, y puedes hacer análisis de seguridad del hardware/software, etc.
Por descontado, si fuese una votación con más recursos que las de Podemos como por ejemplo unas elecciones generales, se podrían hacer muchas más cosas. Y por cierto, la alternativa igual no era usar voto en urna, que dados los recursos era casi que inviable para hacer un conteo y voto en unas primarias con tantos candidatos, sino un software de votaciones con menos medidas de seguridad, o bien no hacer primarias, al menos en este caso concreto.
Recuerdo haber cambiado de opinión sobre el voto electrónico (de a favor a en contra) tras leer algún post en kriptopolis sobre el voto electrónico (que no he encontrado ahora), eso fue hace tiempo, quizás haya evolucionado el sistema, no lo sé.
La verificación que hacéis en Agora no la conozco, no había oído lo de ZKP, y probablemente aunque lo intente, no sería capaz de comprenderla. Aún así espero que reconozcas que contar papelotes es más fácil de entender que una prueba de verificación matemática sobre hashes, que no me queda claro si permite a varios organismos independientes comprobar el 100% de la votación.
Si así es, podría cambiar de opinión sobre este tema. Y si, lo nuevo, por nuevo da miedo, pero buscar fallos a lo nuevo, es lo lógico, ya que no hacerlo es garantía de fracaso, así que espero que fomentéis una sana búsqueda de fallos en vuestro sistema.
Cambiar solo se debería cambiar, en caso de que sea demostrable que el sistema es mejor, o mucho mejor. Entiendo perfectamente las razones por las que es deseable el voto electrónico, yo también quiero más democracia, quiero poder expresar mi opinión sobre lo que pienso muchas más veces que una vez cada 4 años, quiero muchas cosas, pero lo que no quiero, y me da mucho miedo, es que un sistema de votación electrónico sea susceptible de ser manipulado, pues me parece mucho más complicado de ser verificado.
Digamos que se hace un ataque tipo phishing, que recopila tu clave sms y tu dni y luego vota por ti lo que ellos quieren en el sitio real.
Creo que es factible, no?, como contabilizas, cuantos votos han sido manipulados? que validez tendría la votación en caso de detectarse este tipo de ataque?