Sistema de elecciones gubernamentales en línea: ¿es posible?

No se sabe cómo construir un sistema de votación por Internet que sea verificadamente seguro y auditable. Ron Rivest, ganador del premio Turing y R en RSA, ha comparado la votación por Internet con la conducción en estado de ebriedad: algo que simplemente no puede hacer con seguridad.

(Por votación a través de Internet, me refiero a votar a través de Internet desde computadoras cliente que no están controladas por las autoridades electorales, incluida la devolución de boletas votadas electrónicamente en Internet).

El argumento en contra de la votación por Internet es un poco complicado, pero puede encontrar detalles en los siguientes artículos:

• Si puedo comprar y realizar transacciones bancarias en línea, ¿por qué no puedo votar en línea? , David Jefferson.

• Un análisis de seguridad del registro electrónico seguro y el experimento de votación (SERVE) , David Jefferson, Avi Rubin, Barbara Simons, y David Wagner. Publicado en forma extraída en Comunicaciones de la ACM, volumen 47, número 10, octubre de 2004.

• Atacando el sistema de votación por Internet de Washington DC , Scott Wolchok, Eric Wustrow, Dawn Isabel y J. Alex Halderman. Publicado en FC 2012.

No te pierdas el último artículo. Es un truco totalmente épico de un sistema de votación por Internet.

¿Qué propiedades debería tener idealmente un sistema de votación en línea?

1. Seguro

   • Cada votante puede votar solo una vez
   • La autoridad de votación no puede agregar o eliminar votos sin ser atrapada

2. Privacidad / Anonimato

   Otras personas (incluido el estado) no pueden averiguar por qué votó.

3. No debería poder demostrarle a otra persona cómo votó, para evitar votos comprados o votos bajo coacción

4. Los troyanos no deberían poder modificar los votos

5. El proceso debe ser comprensible / verificable por no expertos

¿Qué podemos lograr?

5) verificación no experta
Eso es bastante desesperado para un sistema en línea. El crypto requerido es simplemente demasiado complicado. Pero no considero que esto sea una propiedad esencial.

4) troyanos
No puedo pensar en una manera de mantener el sistema seguro en presencia de troyanos. Uno puede simplemente tratar de no tenerlos. Por ejemplo, utilizando un live-cd. No puedo pensar en una manera de mantener el sistema seguro en presencia de troyanos.

En un mundo ideal, al menos podemos lograr un sistema que ofrezca 1) seguridad y 2) anonimato, sin estar seguro de 3). Pero implementar un sistema que logre 1) y 2) ya es bastante molesto en la práctica.

Esquema de cómo construir un sistema de este tipo

Debe poder comunicarse de forma anónima con los servidores de votación utilizando TOR o algo similar.

Luego debe separar el derecho a votar una vez de la votación real. Las firmas ciegas lo permiten en principio. Pero requieren dos pasos:

1. Convertir su autorización de voto no anónimo en una votación
2. Enviar el voto al servidor de recolección de votos.

Debe tener cuidado para evitar un ataque de canal lateral que permita la correlación de estos dos pasos, por ejemplo, por tiempo o IP.

Al final, se publica una lista de todos los votos recibidos, lo que permite a cada votante verificar que su voto se haya contabilizado, y se publica una lista de los nombres de todos los votantes, para que los no votantes puedan verificar que nadie votó en su nombre. Y que no hay más votos que los votantes. Una cantidad significativa de votantes y no votantes debe verificar esto para que el sistema esté seguro.

Este esquema no ofrece 3), y no estoy seguro si es posible agregar esta propiedad.

Incluso la construcción de este sistema en la práctica parece bastante desafiante si quiere evitar todos los ataques de canal lateral al anonimato. Por ejemplo, uno necesita poner un retraso suficiente entre los pasos 1 y 2, y probablemente necesite un anonimizador de reenvío lento para evitar el análisis del tráfico.

Conclusión

Me parece que implementar un sistema de votación en línea que se acerque incluso a lo que ofrece un sistema convencional basado en papel no es prácticamente posible. Por lo tanto, recomiendo quedarse con el viejo papel para las elecciones importantes, pero podría ser posible utilizar los votos en línea con votos menos importantes.

Creo que el tribunal superior alemán resolvió muy bien el problema:

Verificabilidad

El tribunal constitucional alemán dictaminó sobre cualquier tipo de dispositivo de votación:

  

El uso de dispositivos de votación, [...] cumple con los requisitos constitucionales solamente, si los pasos esenciales de la votación y el escrutinio se pueden verificar de manera confiable y sin el conocimiento de expertos .

El veredicto fue motivado por un caso en computadoras de votación tradicionales, pero la decisión es más general: esas computadoras de votación consisten en un teclado y una pantalla. El votante presiona la tecla para el partido de su elección. Se mostrará el voto y el votante debe confirmarlo.

Pero no hay forma de que un votante pueda verificar que el partido que seleccionó y vio en la pantalla, es el partido en el que se cuenta su voto. El gobierno trató de argumentar que las computadoras de votación habían sido verificadas por una institución oficial y selladas para evitar manipulaciones.

Pero el tribunal dejó muy claro que "verificado por expertos" no es lo suficientemente bueno para cumplir con los requisitos de las elecciones democráticas.

Nota: No importa si la votación se realiza con una computadora de votación extranjera o una computadora propiedad del votante: Las personas tampoco pueden verificar que su propia computadora funciona correctamente . Esto ya comienza a entender un software de votación de código abierto, pero, por supuesto, esto va hasta el microcódigo dentro del hardware .

Anonimato y no comprobabilidad

El fallo fue sobre la verificabilidad de los no expertos solamente. Por supuesto, cualquier solución a este problema no debe violar los otros requisitos de las elecciones democráticas.

Por ejemplo, la verificación de los votos podría hacerse publicando una lista completa de todos los votantes con direcciones y votos. Pero las elecciones democráticas requieren anonimato para proteger a los votantes y no probabilidad para evitar la venta de votos.

Hay algunos conceptos inteligentes de no publicar la información para que todos la vean, pero permitir que el votante verifique su voto. Pero esos conceptos no son fáciles de entender por la gente promedio debido a las complejas matemáticas que se encuentran detrás. Así que estamos de vuelta en la plaza uno.

Además, no pueden satisfacer la no probabilidad y la probabilidad al mismo tiempo . Pero si no permiten que alguien demuestre que su voto no se contó de la forma en que se suponía, es muy probable que varias personas denuncien el fraude después de cada elección.

tl; dr: La votación por Internet es ciertamente una mala idea ahora para elecciones importantes.

Muchos de nosotros consideramos que la votación segura por Internet es uno de los grandes problemas sin resolver en la Seguridad de TI . Esto se debe al exigente requisito de anonimato y transparencia . También combina los enormes desafíos de proteger a los clientes y servidores , y requiere lidiar con denegación de servicio . Fue nominado como digno de un X-PRIZE en DESSEC: DESigning a Secure Systems Engineering Competition.

Un gran avance en la solución del problema servidor viene con los avances recientes en cifrado homomórfico que logran un casi milagro: puede almacenar públicamente las boletas de votación encriptadas en la nube, y también permitir que el público las agregue para confirmar los recuentos de votos de cada candidato y para verificar que su propio voto se incluyó en el total, sin tener un recibo que pudiera probar cómo votaron a un tercero. Vea el sistema Helios Voting para obtener una excelente implementación y explicación. Es adecuado para elecciones de bajo riesgo. Pero incluso el autor, Ben Adida, dice " Una elección del gobierno es algo que No quiero hacerlo a través de Internet, "citando tanto el potencial de los virus informáticos para corromper la votación como la posibilidad de intimidación de los votantes .

Un gran resumen del tema es Internet Voting en el EE.UU. en CACM, octubre de 2012.

Un video digno de 2012 sobre el tema, por Ben Adida, es ¿Dónde está mi voto? .

Por lo tanto, votar por Internet es ciertamente una mala idea ahora para elecciones importantes. La experiencia de los Países Bajos con la votación en línea sirve como una lección para eso, y cómo los votantes pueden ser educados sobre los hechos. Su Rijnland Internet Election System (RIES) tenía grandes fallas de seguridad y se abandonó en 2008 después de unos pocos años de uso. Consulte Votación electrónica en los Países Bajos: desde la adopción temprana hasta el abandono temprano .

Consulte también una pregunta anterior sobre esto: Sondeo seguro de Internet - Seguridad de TI

El mayor problema que no se puede resolver, en mi opinión, con la votación basada en Internet, es que los votantes no están protegidos de la presión social . La cabina de votación permite a cada votante hacer su propia elección: nadie ve lo que está insertado en el sobre, y el votante no puede devolver ninguna prueba de que votó por un candidato específico.

En un sistema donde las personas votan desde su casa, no hay stand. Los votantes pueden "vender" su voto votando ante los ojos de quien los soborna para que voten de una manera específica. Además, los votantes ya no pueden votar libremente con respecto a los deseos de su inquisitiva esposa / esposo.

Por lo tanto, la votación (el voto anónimo para una elección política) necesita un puesto, y no se puede hacer de manera segura desde casa. Y si tiene un puesto, entonces toda la charla sobre los protocolos de votación es solo una forma de optimizar el proceso de conteo, que se puede hacer de manera eficiente con documentos y personas.

(Por supuesto, la votación por Internet es excelente para algunas elecciones especializadas; en particular, las elecciones para algunas asociaciones, por ejemplo, IACR - donde la venta de votos parece una idea absurda y en realidad rara vez hay dos votantes en la misma cámara, y también elecciones no anónimas en asambleas de accionistas. Pero, para las elecciones gubernamentales, nunca.

En realidad ya lo hicieron en Estonia desde hace algunos años. Por primera vez en el mundo, llevaron a cabo con éxito una sesión de votación electrónica en 2007. Desde entonces, todavía lo están haciendo. Lo llaman un éxito, aunque soy bastante escéptico al respecto. Puede leer más sobre esto en su sitio web oficial y, por supuesto, en Wikipedia . Tenga en cuenta que están utilizando tarjetas de identificación para identificar a las personas.

Estoy seguro de que uno podría crear un sistema tan seguro. La seguridad no es el problema principal.

El problema principal es: sin la privacidad de la cabina de votación, no puede estar seguro de que los votantes no elijan bajo presión. Esta es una preocupación grande por la democracia.