Imaginad una app para votar. Resultados instantáneos. Todo fácil. Podemos elegir gobierno con el rabo todavía naranja de tocárnoslo con la mano de los Doritos. Imagino que una app realizada por una empresa privada (Indra, Accenture, quien sea). Con mil dependencias de librerías, algunas sin mantener. Todas con vulnerabilidades. Ejecutándose en un sistema operativo como Windows o Android o iOS o lo que sea. Que por supuesto son ultraseguros. Todo ello en un terminal de teléfono hecho en China, con procesadores hechos en China (...)
|
etiquetas: voto online , informática , seguridad , privacidad 
La máquina cuenta y da los resultados rápidamente, pero los interventores de cada partido tienen la posibilidad de verificar si es que tienen dudas. Las máquinas son manipulables por supuesto, igual que la voluntad de las personas (podemos entrar en el debate de qué es más fácil de manipular).
1. No, la información no puede destruirse. Físicamente puedes hacerla irrecuperable en la práctica, pero matemáticamente (que es a lo que contestaba) no puede destruirse (y físicamente, estrictamente, tampoco). Volviendo al sistema práctico: nadie nunca ha encontrado una forma de desacoplar el voto del votante electrónicamente manteniendo, a la vez, garantías en el anonimato y la trazabilidad, y la base del problema es lo que decía en el anterior comentario.
2. La criptografía aquí no sirve porque el sistema para ser auditable tiene que ser transparente, además de que, de nuevo, al final tiene que haber un agente o autoridad con capacidad para leer en claro, siempre. Esto se carga ya el anonimato de base.
3. Que no exista como estructura o con relación directa no implica que sigan conectados indirectamente, si una persona emite un voto esa información es real y por lo tanto existe y es inferible de un modo u otro. De nuevo, matemáticamente, no puedes evitarlo.
Te lo presento desde otro punto de vista, piensa en el sistema actual de voto presencial, en el que el que la Tierra y la física actúan como ordenador procesando la información del voto. Para este sistema:
1: sabemos que nadie puede alterar el funcionamiento ni hackear el universo y que la física funciona siempre igual. Nadie tiene poderes sobre ello así que hay garantía y seguridad total en este sentido. En cualquier sistema computacional, eso es imposible. Una auditoría nunca podrá confirmar que en el momento de tu voto individual, lo auditado sea lo que está funcionando. Nunca. Y ya ni hablar de los problemas físicos o fallos en la circuitería (como aquella vez que un rayo cósmico cambio un bit y Maria Vindevogel tubo 4096 votos de más), simplemente no puede estar seguro de que la máquina que tienes delante sea la que "una autoridad" dice haber auditado. Hay un ejercicio importante de fe sin garantías individuales.
2: La física en el universo procesa la información de forma tan completa que es imposible trazar hacia atrás su origen para romper el anonimato. En un sistema electrónico, en vez de complejidad tenemos ofuscación, porque la complejidad es resoluble aplicando el mismo proceso simétricamente hacia atrás. Algo trivial con un ordenador, pero nadie otro universo que funcione hacia atrás.
3: Con lo anterior la auditoría se limita a vigilar los recuentos ya que el proceso está garantizado de serie. En un proceso electrónico, la auditoría tiene que ser de principio a fin, y se vuelve impracticable y con saltos de fe y REQUIERE autoridades en las que confiar necesariamente.
En el voto por correo hay múltiples puntos de fallo posibles. Uno de los fallos más gordos se mitigó en estas últimas elecciones: se pide el DNI para entregar el voto (aunque se puede delegar con una firma y una copia del DNI [!] )
En un sistema de voto electrónico bien construido los datos no se borran y si quiero auditarlo podría aprender los conocimientos necesarios para hacerlo.
Lo que sucede es que el voto electrónico es más ambicioso que el voto presencial o por correo: se busca ser anónimo, pero que se garantice que se vota una vez, sin ningún tipo de fraude y con recuento inmediato.
Porque se podría hacer directamente algo paralelo a lo que se hace ahora en el presencial:
- se hace una videollamada al colegio electoral (cola de videollamadas)
- El colegio electoral valida tu identidad (igual que hacen los bancos)
- Si todo es correcto, el colegio electoral te asigna un token único que solo se puede usar una vez para emitir un voto. Esto se puede hacer sin que el colegio sepa qué token te asignó, para garantizar el anonimato.
- Tu votas. Te sale un numerito de validación
- El colegio confirma que se recibió tu voto, y te dice el numerito de marras.
La única queja posible aquí es auditar el sistema de firma electrónica, y auditar el sistema de voto. Que es comparable a auditar el funcionamiento interno de correos.
Al votar se genera un código hash: SHA1(secreto+dni+partido), que se registra por la JEC sin asociarlo a una persona y se le da al votante (en formato QR, por ejemplo).
La junta electoral publica el número de votos por partido y el listado de hashes en cada mesa.
Es un sistema extremadamente sencillo, pero muy eficaz
Y para las preocupaciones de #6:
- El votante puede comprobar que su voto ha sido emitido y registrado; calculando él/ella misma el hash, o comprobando el hash que se le dio al emitir su voto en la lista pública.
- No hay forma de saber a quién ha votado alguien sin saber el código privado
- Se puede comprobar que no ha habido pucherazo, ya que el número de votos por mesa no debe superar el censo. Y cada uno de los votos puede comprobarse por cada votante.
Sólo hay un caso que no se puede evitar con este sistema: la compra de votos.
Pero es un sistema extremadamente sencillo. Por ejemplo:
Te logueas con Cl@ve, se te da tu código FUT8EHF34R
Quieres votar a PP, su código es 06
Tu DNI es 43032478R
Al votar se te da un código SHA1:
SHA1(FUT8EHF34R+06+43032478R) = 7c802f449d672cacf828fb71745423e86e08e367
Ese código se añade a una lista que es pública y el voto se considera emitido. El ciudadano tiene una semana para votar (básicamente añadir su código a ese registro público). Por cada registro, la JEC almacena a qué partido votó ese hash.
Al final de las elecciones se publican la lista de los hashes y el agregado de votos por partido. Tú podrías comprobar que en tu mesa el código que recibiste se encuentra en la lista. Al ser ese código único y que solo se puede generar con tu DNI, voto, y secreto, es imposible que nadie haya cambiado tu voto, o que no se haya registrado. Y si en tu mesa hay 300 personas registradas y hay menos de 300 votos... pues todo está bien.
El phising se puede minimiza, pero VISA o Santander que facturan centenares de miles de millones no lo logran ¿lo va a poder hacer el ministerio del interior con un presupuesto de 140 millones por comicio? Solo el beneficio del Banco de Santander es comparable a todo el presupuesto del Ministerio del Interior,
Al margen del coste que supondría cosas como establecer servidores en los colegios públicos o el riesgo de hacer que un niño de 18 años sin la ESO y un abuelo de 64 regentando una mesa electoral sigan (o garanticen que se sigue) un protocolo de borrado seguro de información en un servidor. ¿lo estás diciendo en serio?
Y no, lo tentador no es quedarse parado. Lo que motiva es investigar, pero mi investigación ha llegado a esta conclusión a día de hoy. Esto no quita que no sigamos investigando. Digo que a día de hoy no es una opción, a mi juicio, suficientemente garantista. Por eso para otros tipos de elecciones en organismos más pequeños donde puedo delegar la confianza en técnicos sí creo que puede ser útil.
¿Esos que no pueden garantizar que se compren a las personas que inscriben a los partidos en las distintas circunscripciones? permitiendo de esta manera que un partido u otro se lleve el congresista de turno (Caso Tenerife).
¿Esos en que aquellos municipios pequeños no haya apoderados no se controlen votos?
¿Esos casos es que se llevan a ancianos coaccionados?
¿Esos que han votado muertos?
¿Esos en los que hasta hace nada, no se pedía el DNI (obligatoriamente) en el voto por correo? ¿Y que aún no se puede asegurar 100% que el voto no haya sido comprado?
¿Esos en los que no se puede saber si una persona vota coaccionada por que lleva el voto desde casa cerrado?
¿Esos en que los apoderados reciben a gente mayor con el sobre en mano cerrado?
¿Esos en los que no tenemos observadores independientes, y a sean nacionales y/o internacionales?
¿Esos que no se pone como obligatorio el uso de la cabina, quedando al público de todos ver que papeleta se coge y quien vota? Algo bastante importante especialmente en localidades pequeñas.
¿Esos en que ya hay informes por parte de la OSCE recordando las fallas y nadie hace caso?
¿Esos en que se juega con la ignorancia de la mesa electoral de la normativa, por no haber observadores?
Los niveles de fiabilidad no son tan altos como pareciera. Que no se hayan explotado a gran escala las vulnerabilidades no quiere decir que no estén ahí.
Aún hay muchos fallos en el sistema, y eso que es bastante mejor que el de otros países.
El contexto de VISA o Santander es muy diferente al de un sistema de votación oficial, y tiene restricciones y desafíos diferentes, por lo que no es una analogía válida. En su caso, por ejemplo, no pueden huir de la autenticación por usuario y contraseña (lo cuál es un punto crítico en lo que respecta al phishing), y tiene mucha más importancia el que sea un sistema universalmente accesible (pues tener que recurrir al modo presencial puede fácilmente causar la pérdida masiva de clientes). En el caso de la votación online, se puede recurrir a clave pública-privada, identificación biométrica, etc, y como el sistema coexistiría con el voto presencial, la accesibilidad universal es una preocupación deseable pero secundaria a la seguridad.
Y no, no sería un niño de 18 años y un abuelo de 64. Serían profesionales especializados, puesto que no hay mayor interesadoen que los otros partidos no falsifiquen el resultado, que los propios partidos. Así que sí, lo estoy diciendo perfectamente en serio.
En mi caso, por ejemplo, puedo pensar varios sistemas que solucionarían todos los problemas que se están repitiendo en este hilo de manera bastante sencilla. El problema como dije en mi primer comentario es que las consecuencias de cualquier fallo son fatales, por lo que cualquier sistema, incluso si es teóricamente sólido, debe enfrentarse a un largo periodo de escrutinio público para encontrar y eliminar vulnerabilidades, con la consecuente inversión, y ahora mismo no existe la suficiente demanda social en España para dar ese paso. Sin embargo, no me cabe duda de que llegará un futuro donde sistemas de este tipo empezarán a implantarse progresivamente en gran parte del mundo.
¿Es anticonstitucional? Lo dudo.
¿Es eso una discriminación? Ciertamente.
¿Está la mayoría en contra de que la gente se case con vacas? ¿Y con dos personas? No tengo la respuesta.
Manipular a una persona es facil, pero manipular a las 3 mas los interventores en cada mesa electoral es imposible, mientras que manipular a todas las maquinas se antoja mucho mas sencillo, las maquinas no te piden algo a cambio ni van al bar del pueblo a decir lo que ha pasado, ademas puedes manipularlas todas juntas.
Y si, podras meter todos los mecanismos que quieras, que siempre se te escapará un bug, un backdoor, una auditoria mal hecha o simplemente la tarjeta/memoria que pongas en la maquina podra ser manipulada a gran escala.
Por ejemplo fijate en este hack propuesto (pero no liberado, al menos por autor) para comprometer los compiladores de C y que a partir de entonces todos los programa compilados con dicho compilador estuvieran comprometidos ¿Puedes asegurar que los programas que estas compilando no están compilados con un compilador limpio?
wiki.c2.com/?TheKenThompsonHack
Nuestro sacrosanto sistema actual es vulnerable, pero nadie lo ha explotado masivamente. (Hay informes de la OSCE al respecto)
Lo que has encontrado en google es opiniones, y vale, tantas como culos. Y en la mayoría de los casos, la superficie de ataque viene por el factor humano que no tecnológico. Que es prácticamente lo que estamos hablando.
Pero de momento, al sistema estonio, lo han roto. Ni modificado, ni nada.
Por cierto en las últimas elecciones superando al 50% del voto en papel. Y eso, que han sufrido de los mayores ataques que pudo sufrir un país y siendo, quizás, el país que mas digitalizado tiene todos sus procesos (bancarios, sanitarios, judiciales...) Y oye, ahí que está y aguantan.
La tecnología está, los problemas son otros.
Respecto al KTH:
Ahora puede inyectar código en cada programa que genera su compilador. Eso no me parece particularmente difícil de detectar. De hecho, se ha hecho varias veces (Xcode chino con puerta trasera, Delphi) y la gente se enteró, por lo que claramente es una mala ejecución de KTH. Y aunque su solución específica muestra un "virus" que se propaga a cualquier programa compilado, no muestra cómo puede causar daño. ¿Puede implementar una rutina C que detecte algoritmos de verificación de contraseñas en el mismo programa y los reemplace con una versión de puerta trasera de manera que la gente no se dé cuenta?
Si desea que su código sea indetectable, debe dar el siguiente paso. Citando el enlace:
Ken no significa bicho en el sentido de error, sino en el sentido de dispositivo de escucha. Y es "casi" imposible de detectar porque TheKenThompsonHack se propaga fácilmente a los archivos binarios de todos los inspectores, depuradores, desensambladores y descargadores que un programador usaría para tratar de detectarlo . Y los derrota. A menos que esté codificando en binario, o esté usando herramientas compiladas antes de que se instalara KTH, simplemente no tiene acceso a una herramienta no comprometida.
Ese "fácilmente" es el mayor "dejado como ejercicio para el lector" que he visto. Ahora no solo necesita agregar código a los ejecutables, también debe agregar código que frustre los intentos de detectar el código. ¡Quien haya dicho que esto es fácil es bienvenido a mostrar su solución al problema de la detención!
#80 te devuelvo el negativo, gracias. porque aparte de negativos argumentos está claro que no tienes
Por cierto, esa parte de la vaca era una trampa. Tenía claro que ibas a saltar por ahí, dejando de lado lo demás. No creo que está conversación ya tenga sentido.
¿Quieres casarte con 3 personas? Hazlo (restringiendo los beneficios fiscales, eso sí). ¿Quieres casarte con una persona de tu mismo sexo? Hazlo. ¿Quieres casarte con una vaca? Las vacas no son personas y no pueden dar su consentimiento, así que al menos legalmente no puedes.
1.1 - La información se considera destruída cuando no existe ninguna manera de recuperarla. Las matemáticas no intervienen aquí para nada, solo la semántica, y no hay otra definición de "destruir" que, en mi opinión, tenga sentido cuando se aplica a la información (y es lo único que nos importa en el caso que nos ocupa).
1.2 - Garantizar la anonimidad es tan sencillo como
(OPCIÓN 1) no registrar el par votante-voto, simplemente marcando que el votante ha ejercido su derecho y aumentando el contador del partido correspondiente. Esto es directamente análogo a lo que se hace con el voto físico.
(OPCIÓN 2) registrar el par votante-voto únicamente durante el transcurso de la votación. Esto abre una serie de importantes ventajas respecto a la otra opción (y el voto físico), destruir esta información completamente en cuanto la votación ha terminado.
La trazabilidad no ofrece ninguna ventaja relevante una vez ha terminado el proceso de votación, por lo que no es una característica necesaria o que deba ser garantizada.
2 - La criptografía sirve y mucho. Lo que debe ser auditable es el código, y lo que debe estar codificado son los datos. En ningún momento es un requisito el tener un agente más allá del propio programa (que recordemos, es abiertamente y profundamente auditado por cualquiera que lo desee) capaz de leer ningún dato que deba ser anónimo.
3 - Si una persona emite un voto, las consecuencias de esa acción producen una información (por ejemplo, que la persona ha votado y que el partido X tiene un voto más). Podemos almacenar temporalmente esa información, o información adicional como el par persona-voto, si decidimos que las ventajas y la seguridad de los datos lo justifican. Cuando dejan de ser útiles al terminar el periodo de votación, esta información se destruye (o se convierte en permanentemente inaccesible, si por lo que sea la palabra "destruir" no te gusta). Decir que porque una información ha existido entonces es siempre permanentemente accesible de alguna manera no especificada, es una falacia de razonamiento circular.
Respecto a la segunda parte:
1 - Sí, una auditoría correcta de un sistema computacional puede garantizar un alto nivel de seguridad, incluyendo el que el programa que se está ejecutando durante un periodo de tiempo es el correcto. Los sistemas de seguridad se crean para que esta verificación sea sencilla.
2 - En un sistema electrónico de calidad no tenemos ofuscación. El funcionamiento del sistema debe ser claro para todo el mundo en cada uno de sus detalles. Es perfectamente viable el garantizar que una información no se almacene, o que de almacenarse sea destruida (o "convertida en inaccesible permanentemente" si así lo prefieres) cuando deja de ser útil.
3 - La auditoría de diferentes tipos de sistema es, por supuesto, diferente. Esto no es un problema. En el caso del software, por ejemplo, no son solo unos pocos apoderados los que vigilan, sino todos los expertos que lo deseen. De la misma manera, si el software es correcto, no hace falta vigilar que el recuento sea correcto.
Creo que esta conversación ha llegado a un punto donde ambos hemos entendido la manera de pensar del otro aunque nunca vayamos a estar de acuerdo. Quizá en un futuro cuando el objeto sea un sistema de votación en concreto, podamos discutir sobre si es seguro o no, pero la discusión generalista puede quedar aquí. Yo tengo clarísimo que sistemas seguros y anónimos son perfectamente posibles y viables, y tú tienes claro que no. Estemos de acuerdo en estar en desacuerdo.
1.1 No puedes "hacerla irrecuperable en la práctica" (llámalo destruir si quieres, aunque es un concepto muy diferente) y a la vez hacerla auditable. En el punto 2 dices que sólo el código debe ser auditable, y en absoluto: tienes que poder demostrar que el resultado es correcto y para ello necesitas información que si "destruyes" no tienes, y si no "destruyes" no tienes anonimato.
1.2 No sé si imaginas un ordenador en una sala a la que la gente va a votar, en cuyo caso lo que dices funciona con garantía de una persona / un voto, pero falla en la seguridad de que se registre el voto elegido por la persona. En cualquier caso ese sistema no mejora en prácticamente nada al actual y sí tiene muchos inconvenientes; pero de todas formas lo que se debatía aquí es el voto remoto en la playa para que las votaciones en Julio no afecten a la gente de vacaciones y poder votar desde casa en democracia directa con el móvil todas las semanas, todas las leyes. Para este segundo escenario, no puedes garantizar el anonimato y la auditabilidad.
2. Dices que sólo el código debe ser auditable, y por supuesto no es así, el sistema entero debe serlo, y no hay forma de garantizar que el código que alguien auditó es el que ejecuta la máquina que tienes delante, o que el hardware hace lo que dice hacer y que es el mismo hardwre que "una autoridad" ha certificado y no otro diferente, etc. Y no, no todo el mundo puede auditar código, ni el compilador que produce el ejecutable o la máquina virtual que lo ejecuta, ni el hardware. El 99% de las personas tendrían que CREER en lo que alguien dice. No es necesario ni mencionar aspectos de seguridad y otros problemas, todo debe ser auditado y cualquier ciudadano tiene el derecho fundamental de comprobarlo, y en la práctica eso no es posible.
3. Lo mismo que el punto 2. Has usado la palabra "experto", eso ya delata que no es cualquiera el que puede hacerlo, que la gente "no experta" tendrá que CONFIAR. Buena suerte auditando un procesador que ni viendo los transistores individuales vas a poder entender qué hace si no te facilita las instrucciones el fabricante, o dicho de otra forma, si CONFIAS en lo que el fabricante te dice que hace. En la aeronaútica, sistemas militares, centrales nucleares... se utilizan 484 o más simples en todos los sistemas críticos por esto mismo.
Aún en desacuerdo, ha sido un placer hablarlo. Que pases buen día.
Que los sistemas SW no pueden garantizar los niveles del sistema actual no significa que el actual sea perfecto.
A ignorados ignorante
También parece que puedes comprobar las máquinas de votación de tu colegio más próximo... el problema es que otras personas no van a poder hacer lo mismo con las máquinas de su colegio más próximo.
Mismamente, yo no podría hacer nada ahí, sé programar, pero no a tanto nivel como para entender ese tipo de sistemas, es mucho nivel.
vs
un alcalde que te da la papeleta de votación a la puerta del colegio (visto en las pasadas municipales en mi pueblo)
Ese es el nivel de manipulación que debemos evaluar.