Stiamo facendo manutenzione.
procedura per il voto elettronico
Re: procedura per il voto elettronico
visto che il tuo commento è interessante ma non riguarda possibili tencniche elettorali apro un post per riferire cosa m'ero immaginato al riguardo. Lo metto dentro a *Filosofia* (per segnalare che è una perditadi tempo, una verissima *pippa mentale*) col titolo *meccanismo costituzionale*
Re: procedura per il voto elettronico
ginos ha scritto:forse anch'io soffro della sindrome di Asperger (cioè, non ci so fare col prossimo)
È un po' più complesso di così.
Comunque, io sono un "informatico moderno" e anch'io ho pensato al voto elettronico come possibilità.
Tuttavia, poi, ho guardato questo video e devo dire che contiene ottime argomentazioni contro di esso:
[youtube]w3_0x6oaDmI[/youtube]
Re: procedura per il voto elettronico
Comunque, per quanto riguarda la sicurezza, scrivo ora cose che probabilmente voi sapete, ma un eventuale lettore magari no.
La sicurezza dell'informazione, in passato, si basava sull'ignoranza e sulla complessità. Ossia: "Tu non puoi decriptare quello che io ho criptato perché non sai come ho fatto a criptarlo e, visto che il messaggio criptato appare confuso, difficilmente saprai capirlo".
I sistemi di crittografia attuali rispettano, in teoria, il Principio di Kerckhoffs. Ossia, non importa mantener segreto l'algoritmo di crittografia. Anzi! In genere conviene renderlo pubblico ed open source, se non addirittura di pubblico dominio.
Fondamentalmente, è possibile dimostrare, in determinati casi, la sicurezza di alcuni algoritmi di crittografia (assumendo che il crittoanalista non sappia risolvere alcuni problemi che, allo stato attuale, reputiamo irrisolvibili). E ciò è ottimo.
Peccato che non basti affatto a garantire la sicurezza di un sistema informatico. Certo, per chi intercetta le comunicazioni sarà impossibile decifrarle. Ma null'altro.
I sistemi di crittografia rendono una rete al 100% sicura solamente se tutti i nodi sono, a loro volta, individualmente sicuri al 100%. Ma questo non è affatto facile da dimostrare e, nella maggior parte dei casi, è falso.
La sicurezza dell'informazione, in passato, si basava sull'ignoranza e sulla complessità. Ossia: "Tu non puoi decriptare quello che io ho criptato perché non sai come ho fatto a criptarlo e, visto che il messaggio criptato appare confuso, difficilmente saprai capirlo".
I sistemi di crittografia attuali rispettano, in teoria, il Principio di Kerckhoffs. Ossia, non importa mantener segreto l'algoritmo di crittografia. Anzi! In genere conviene renderlo pubblico ed open source, se non addirittura di pubblico dominio.
Fondamentalmente, è possibile dimostrare, in determinati casi, la sicurezza di alcuni algoritmi di crittografia (assumendo che il crittoanalista non sappia risolvere alcuni problemi che, allo stato attuale, reputiamo irrisolvibili). E ciò è ottimo.
Peccato che non basti affatto a garantire la sicurezza di un sistema informatico. Certo, per chi intercetta le comunicazioni sarà impossibile decifrarle. Ma null'altro.
I sistemi di crittografia rendono una rete al 100% sicura solamente se tutti i nodi sono, a loro volta, individualmente sicuri al 100%. Ma questo non è affatto facile da dimostrare e, nella maggior parte dei casi, è falso.
Re: procedura per il voto elettronico
Purtroppo fatico troppo con l'inglese, non potresti citarmi qualcuno dei motivi di quel tipo assai arrabbiato in riva al Tamigi?
Nella procedura proposta non esistono problemi di sicurezza se ci si limita al voto elettronico al seggio (e in giro ci sono molti che si puntano solo a questo, ma ho visto delle robe incredibili...) Vero che un vero volto elettronico è tale solo se si può fare anche da casa.
Trascrivo la parte iniziale di questa parte dell'analisi dove si tratta la questione sicurezza
e.voting via Internet, ovunque ci si trova, ma sempre con possibilità di voto cartaceo
Da verificare e completare col supporto di persone particolarmente esperte sulla sicurezza nella rete Internet.
Si tratta del voto elettronico in senso proprio: ovunque ci si trovi purché si abbia a disposizione un computer connesso a Internet; può consentire forti riduzioni di costo e consentire consultazioni molto più frequenti. Inoltre la struttura destinata all’e-voting è utilizzabile per fare altre cose del genere: elezioni interne nei partiti, nei sindacati, per le *primarie*, per raccogliere firme, per fare censimenti e magari affittato ai privati per fare indagini demoscopiche; tutto questo diluirà assai i costi di gestione.
C’è chi offre sistemi centralizzati che potrebbero forse costare di meno, ma, a parte la sicurezza tutta da dimostrare, la gente si fiderebbe? e i Partiti cederebbero volentieri una delle loro funzioni principali? soprattutto a soggetti *privati*? Meglio mantenere il Seggio come punto di coordinamento e controllo. Il Seggio consente di votare anche con carta e matita, consente cioè una introduzione graduale dell’e-voting e questo riduce sia la resistenza psicologica sia il rischio. Nondimeno il numero dei Seggi può essere ridotto da subito e via via ulteriormente ridotto (costi compresi) col crescere dell’adesione all’e-voting. Questo senza obbligare all’e-voting: chi volesse usare carta e matita potrà andare al Seggio come fa oggi (e, volendolo permettere, anche a un Seggio qualsiasi, non solo in quello dov’è iscritto, risolvendo così il problema degli italiani all’estero).
Per avere un’idea di quanti Seggi predisporre inizialmente, bisognerà fare qualche esperimento con votazioni locali e vedere su quale percentuale di adesione si può contare sin dall’inizio.
Rispetto alla semplice digitalizzazione del seggio il rischio è maggiore. Occorre difendersi soprattutto da isolati desiderosi di far casino. Vero che per trovare l’eventuale grimaldello serve tempo e che gli hacker avranno di fronte un sistema distribuito e in funzione solo per poche ore. Tuttavia la questione non va presa sottogamba e dovrà essere attentamente considerata nello sviluppo software.
NB. In precedenza si era detto che: Poiché chiunque può controllare tutto (salvo sapere come hanno votato gli altri e salvo quanto connesso allo spoglio dei voti manuali) ogni imbroglio “consistente” verrà scoperto, quindi ai Partiti non verrà la tentazione di cercare di manipolare i voti perché, anche ne trovassero la maniera, rischierebbero un danno d’immagine inaccettabile.
Anche l’hardware sarà più impegnativo (memoria ECC, doppio disco SSD in raid 1, doppio alimentatore con switch automatico, gruppo di continuità elettrica), ma bisogna impedire che dalla rete qualcuno si impadronisca della macchina e modifichi i dati in elaborazione (fenomeno noto come *hijacking*: confidiamo che esista un rimedio vista la diffusione dell’home banking
).
Superato il precedente problema, potendo contare su di una estrema improbabilità di caduta del sistema e considerando che la quantità dei dati in elaborazione è assai modesta (almeno usando i criteri antichi), qualora si temesse ugualmente una intrusione nei dati registrati su disco, si potrebbe fare tutta l’elaborazione in memoria di calcolo e scaricare i dati su disco solo al termine delle votazioni e solo dopo aver chiuso il collegamento Internet. Saranno invece facilmente evitabili intrusioni wireless di computer terzi dall’esterno del Seggio (come suggerito nell’ipotesi della semplice digitalizzazione del seggio).
Per l’integrità dei dati, utilizzando FTP SSL/TLS oppure HTTPS è assai improbabile che una stringa di dati in transito in Internet possa venire decodificata e modificata o anche soltanto cancellata o *pasticciata*. Però in passato sono capitati problemi (vedi *Heartbleed*) che potrebbero indurre a far realizzare moduli di protezione su misura, ma forse sarebbe scrupolo eccessivo e certamente costoso (almeno a livello sperimentale). Utilizzare una crittografia a doppia chiave (dove quella pubblica andrebbe inviata dal Seggio all’elettore al momento del voto) è possibile, ma la riservatezza è comunque garantita e non sarebbe un rimedio per evitare cancellazioni-pasticciamenti (sembra cioè una complicazione inutile).
Per il problema del *Denial of Service* (concentrazione di attacchi hacker che bloccano la macchina con un numero esorbitante di accessi) la procedura è in grado di difendersi da un eccesso in entrata, però potrebbe essere messa in crisi da un eccesso in uscita. Questo non è un problema nelle zone servite da fibra ottica (e quindi in prospettiva il problema verrà superato ovunque) ma anche nelle altre zone il problema non dovrebbe presentarsi perché le comunicazioni dal Seggio verso il Votante sono poche grazie al fatto che l’acquisizione della scheda viene fatta nei giorni antecedenti a quella del voto.
Se nonostante tutte le cautele capitasse l’imprevedibile, il giorno successivo si potranno rifare le elezioni del Seggio che avesse avuto problemi. Il fatto che questa procedura preveda *controlli*, significa che il sistema non è subito definitivo e quindi non sarebbe un problema ripetere qualcosa che fosse andato storto (magari utilizzando solo il sistema cartaceo se il problema non fosse risolvibile in tempi utili). .......................
Nella procedura proposta non esistono problemi di sicurezza se ci si limita al voto elettronico al seggio (e in giro ci sono molti che si puntano solo a questo, ma ho visto delle robe incredibili...) Vero che un vero volto elettronico è tale solo se si può fare anche da casa.
Trascrivo la parte iniziale di questa parte dell'analisi dove si tratta la questione sicurezza
e.voting via Internet, ovunque ci si trova, ma sempre con possibilità di voto cartaceo
Da verificare e completare col supporto di persone particolarmente esperte sulla sicurezza nella rete Internet.
Si tratta del voto elettronico in senso proprio: ovunque ci si trovi purché si abbia a disposizione un computer connesso a Internet; può consentire forti riduzioni di costo e consentire consultazioni molto più frequenti. Inoltre la struttura destinata all’e-voting è utilizzabile per fare altre cose del genere: elezioni interne nei partiti, nei sindacati, per le *primarie*, per raccogliere firme, per fare censimenti e magari affittato ai privati per fare indagini demoscopiche; tutto questo diluirà assai i costi di gestione.
C’è chi offre sistemi centralizzati che potrebbero forse costare di meno, ma, a parte la sicurezza tutta da dimostrare, la gente si fiderebbe? e i Partiti cederebbero volentieri una delle loro funzioni principali? soprattutto a soggetti *privati*? Meglio mantenere il Seggio come punto di coordinamento e controllo. Il Seggio consente di votare anche con carta e matita, consente cioè una introduzione graduale dell’e-voting e questo riduce sia la resistenza psicologica sia il rischio. Nondimeno il numero dei Seggi può essere ridotto da subito e via via ulteriormente ridotto (costi compresi) col crescere dell’adesione all’e-voting. Questo senza obbligare all’e-voting: chi volesse usare carta e matita potrà andare al Seggio come fa oggi (e, volendolo permettere, anche a un Seggio qualsiasi, non solo in quello dov’è iscritto, risolvendo così il problema degli italiani all’estero).
Per avere un’idea di quanti Seggi predisporre inizialmente, bisognerà fare qualche esperimento con votazioni locali e vedere su quale percentuale di adesione si può contare sin dall’inizio.
Rispetto alla semplice digitalizzazione del seggio il rischio è maggiore. Occorre difendersi soprattutto da isolati desiderosi di far casino. Vero che per trovare l’eventuale grimaldello serve tempo e che gli hacker avranno di fronte un sistema distribuito e in funzione solo per poche ore. Tuttavia la questione non va presa sottogamba e dovrà essere attentamente considerata nello sviluppo software.
NB. In precedenza si era detto che: Poiché chiunque può controllare tutto (salvo sapere come hanno votato gli altri e salvo quanto connesso allo spoglio dei voti manuali) ogni imbroglio “consistente” verrà scoperto, quindi ai Partiti non verrà la tentazione di cercare di manipolare i voti perché, anche ne trovassero la maniera, rischierebbero un danno d’immagine inaccettabile.
Anche l’hardware sarà più impegnativo (memoria ECC, doppio disco SSD in raid 1, doppio alimentatore con switch automatico, gruppo di continuità elettrica), ma bisogna impedire che dalla rete qualcuno si impadronisca della macchina e modifichi i dati in elaborazione (fenomeno noto come *hijacking*: confidiamo che esista un rimedio vista la diffusione dell’home banking
). Superato il precedente problema, potendo contare su di una estrema improbabilità di caduta del sistema e considerando che la quantità dei dati in elaborazione è assai modesta (almeno usando i criteri antichi), qualora si temesse ugualmente una intrusione nei dati registrati su disco, si potrebbe fare tutta l’elaborazione in memoria di calcolo e scaricare i dati su disco solo al termine delle votazioni e solo dopo aver chiuso il collegamento Internet. Saranno invece facilmente evitabili intrusioni wireless di computer terzi dall’esterno del Seggio (come suggerito nell’ipotesi della semplice digitalizzazione del seggio).
Per l’integrità dei dati, utilizzando FTP SSL/TLS oppure HTTPS è assai improbabile che una stringa di dati in transito in Internet possa venire decodificata e modificata o anche soltanto cancellata o *pasticciata*. Però in passato sono capitati problemi (vedi *Heartbleed*) che potrebbero indurre a far realizzare moduli di protezione su misura, ma forse sarebbe scrupolo eccessivo e certamente costoso (almeno a livello sperimentale). Utilizzare una crittografia a doppia chiave (dove quella pubblica andrebbe inviata dal Seggio all’elettore al momento del voto) è possibile, ma la riservatezza è comunque garantita e non sarebbe un rimedio per evitare cancellazioni-pasticciamenti (sembra cioè una complicazione inutile).
Per il problema del *Denial of Service* (concentrazione di attacchi hacker che bloccano la macchina con un numero esorbitante di accessi) la procedura è in grado di difendersi da un eccesso in entrata, però potrebbe essere messa in crisi da un eccesso in uscita. Questo non è un problema nelle zone servite da fibra ottica (e quindi in prospettiva il problema verrà superato ovunque) ma anche nelle altre zone il problema non dovrebbe presentarsi perché le comunicazioni dal Seggio verso il Votante sono poche grazie al fatto che l’acquisizione della scheda viene fatta nei giorni antecedenti a quella del voto.
Se nonostante tutte le cautele capitasse l’imprevedibile, il giorno successivo si potranno rifare le elezioni del Seggio che avesse avuto problemi. Il fatto che questa procedura preveda *controlli*, significa che il sistema non è subito definitivo e quindi non sarebbe un problema ripetere qualcosa che fosse andato storto (magari utilizzando solo il sistema cartaceo se il problema non fosse risolvibile in tempi utili). .......................
Re: procedura per il voto elettronico
ginos ha scritto:Purtroppo fatico troppo con l'inglese, non potresti citarmi qualcuno dei motivi di quel tipo assai arrabbiato in riva al Tamigi?
In pratica, parla di problemi di sicurezza e, in particolare, dell'anonimato, del conteggio e del trasporto dei voti.
Non parla solo del voto da casa, ma anche di quello da un seggio elettronico.
Re: procedura per il voto elettronico
ginos ha scritto:Per l’integrità dei dati, utilizzando FTP SSL/TLS oppure HTTPS è assai improbabile che una stringa di dati in transito in Internet possa venire decodificata e modificata o anche soltanto cancellata o *pasticciata*.
No, non è improbabile, purtroppo. SSL è teoricamente sicuro (sebbene sollevi qualche perplessità nella mia mente, per vari motivi, ma quello è un altro discorso), ma, come ho detto prima, avere un sistema di crittografia sicuro è abbastanza solo quando i nodi sono sicuri.
Magari SSL è anche sicurissimo, ma su una macchina potrebbe non essere implementato in modo imperfetto e un hacker potrebbe comunque violare il sistema di sicurezza, pur senza violare RSA.
ginos ha scritto:Utilizzare una crittografia a doppia chiave (dove quella pubblica andrebbe inviata dal Seggio all’elettore al momento del voto) è possibile,
È possibile e accade sicuramente se usi HTTPS, che si basa su RSA (non fare il pignolo dicendomi che in realtà la parte asimmetria è usata solo per lo scambio delle chiavi. È comunque un sistema a doppia chiave).
Re: procedura per il voto elettronico
premetto che le cose che hai commentato io non le conosco, me le sono fatte dire da uno che avevo assoldato
immagino tu intenda un macchina sul quale sta votando un elettore: non mi parrebbe un grosso problema, che gusto c'avrebbe l'hacker? che probabilità avrebbe di beccare uno che sta votando? e con la macchina pasticciata? Comunque esiste la possibilità di controllare la presenza del proprio voto nell'urna e una certa % minima potrebbe essere tollerata. E' difficile aggiornare il software? Comunque il mio consulente ipotizzava del software specifico.
Magari SSL è anche sicurissimo, ma su una macchina potrebbe non essere implementato in modo imperfetto e un hacker potrebbe comunque violare il sistema di sicurezza, pur senza violare RSA.
immagino tu intenda un macchina sul quale sta votando un elettore: non mi parrebbe un grosso problema, che gusto c'avrebbe l'hacker? che probabilità avrebbe di beccare uno che sta votando? e con la macchina pasticciata? Comunque esiste la possibilità di controllare la presenza del proprio voto nell'urna e una certa % minima potrebbe essere tollerata. E' difficile aggiornare il software? Comunque il mio consulente ipotizzava del software specifico.
Re: procedura per il voto elettronico
ginos ha scritto:che probabilità avrebbe di beccare uno che sta votando?
Temo tu abbia frainteso ciò di cui parlo. Un hacker potrebbe attaccare un server in modo da, ad esempio, consegnare votazioni non valide, o eliminare tutti i voti, o altro ancora.
Re: procedura per il voto elettronico
Temo tu abbia frainteso ciò di cui parlo. Un hacker potrebbe attaccare un server in modo da, ad esempio, consegnare votazioni non valide, o eliminare tutti i voti, o altro ancora.
questo problema allora sarebbe lo *hijacking*, trascrivo cosa avevo detto (sperando in un vostro suggerimento)
Anche l’hardware sarà più impegnativo (memoria ECC, doppio disco SSD in raid 1, doppio alimentatore con switch automatico, gruppo di continuità elettrica), ma bisogna impedire che dalla rete qualcuno si impadronisca della macchina e modifichi i dati in elaborazione (fenomeno noto come *hijacking*: confidiamo che esista un rimedio vista la diffusione dell’home banking
). Superato il precedente problema, potendo contare su di una estrema improbabilità di caduta del sistema e considerando che la quantità dei dati in elaborazione è assai modesta (almeno usando i criteri antichi), qualora si temesse ugualmente una intrusione nei dati registrati su disco, si potrebbe fare tutta l’elaborazione in memoria di calcolo e scaricare i dati su disco solo al termine delle votazioni e solo dopo aver chiuso il collegamento Internet. Saranno invece facilmente evitabili intrusioni wireless di computer terzi dall’esterno del Seggio (come suggerito nell’ipotesi della semplice digitalizzazione del seggio).
Re: procedura per il voto elettronico
ginos ha scritto:Superato il precedente problema
No, è questo il punto. È terribilmente difficile superare questo problema.
L'unico modo per superarlo sarebbe dare una dimostrazione completa di correttezza di qualsiasi programma scritto. Cosa che, di fatto, non si fa.