E-voting szanse i zagrożenia technologiczne
description
Transcript of E-voting szanse i zagrożenia technologiczne
E-voting
szanse i zagrożenia technologiczne
Prof. Mirosław Kutyłowski, Inst. Matematyki i Informatyki
E-voting
1. Maszyny do głosowania w komisjach wyborczych
2. Systemy papierowe przeciwdziałające oszustwom wyborczym new!
3. Głosowanie online – poza lokalem wyborczym
W Polsce zainteresowaniu jesteśmy głównie (3), w USA, Holandii – głównie (1) i (2)
Plan wystąpienia
1. Dagstuhl Accord2. Założenia i wymagania wobec
systemów wyborczych 3. Polska, Estonia4. Możliwości weryfikacji systemów
wyborczych 5. Systemy typu End-to-end
Dagstuhl Accord, http://dagstuhlaccord.org
Dagstuhl Accord, http://dagstuhlaccord.org Participants of the 2007 Dagstuhl Conference on Frontiers of E-Voting agree
that: Taking advantage of technology to improve large-scale elections has recently captured the interest of researchers coming from a number of disciplines. The basic requirements pose an apparently irreconcilable challenge: while voter confidence hinges on transparently ensuring integrity of the outcome, ballot secrecy must also be ensured. Current systems can only address these essential requirements by relying on trust in those conducting the election or by trust in the machines and software they use. Some promising new systems dramatically reduce the need for such trust. What are called “end-to-end” voting systems, for example, allow each voter to ensure that his or her vote cast in the booth is recorded correctly. They then allow anyone to verify that all such recorded votes are included in the final tally correctly. Surprisingly, typically through use of encryption, these systems can also provide privacy of votes. They do this without introducing any danger of “improper influence” of voters, as in vote buying and coercion. Moreover, such systems offer all these properties without relying on trust in particular persons, manual processes, devices, or software. Care must still be taken to ensure proper implementation and education of voters in order to avoid misuse or incorrect perceptions. Some are also concerned that the level of understandability and observability of hand-counting of paper ballots in polling places will not be matched by electronic systems.
Dagstuhl Accord, http://dagstuhlaccord.org The challenge for government and civil society should be to find ways to foster
development and testing of new election paradigms in general and to allow them to be assessed and expeditiously rise to meet their potential to improve elections. The challenges for the technical research community now forming around election technology includes further exploration and refinement of these new types of systems. Particularly promising and important areas include analysis, formal modeling, and rigorous proofs regarding systems and potential threats. Initial deployments of these systems are starting to provide valuable real-world experience, but effective ways to communicate and expose their workings may also be important. The goal is systems that increase transparency regarding the correctness of the election results and yet maintain secrecy of individual votes. Improved voter confidence may follow.
Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats. Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions. Securing network voting is clearly an important research challenge. We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.
Dagstuhl Accord, http://dagstuhlaccord.org
Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats.
Dagstuhl Accord, http://dagstuhlaccord.org
Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions.
Dagstuhl Accord, http://dagstuhlaccord.org
We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.
Dagstuhl Accord, http://dagstuhlaccord.org
W międzyczasie:
istotne postępy w poszukiwaniu odpowiednich technologii dla online voting
Sygnatariusze Dagstuhl Accord
Organizers David Chaum USA, Miroslaw Kutylowski Poland, Ronald Rivest USA, Peter Ryan United Kingdom
Participants Roberto Araujo Brazil, Josh Benaloh USA, Olivier De Marneffe Belgium, Benjamin Hosp USA, Rui Joaquim Portugal, Aggelos Kiayias USA, David Lundin United Kingdom, Tal Moran Israel, Olivier Pereira Belgium, Stefan Popoveniuc USA, Jean-Jacques Quisquater Belgium, Mark Ryan United Kingdom, Steve Schneider United Kingdom, Bruno Simeone Italy, Vanessa Teague Australia, Poorvi Vora USA, Filip Zagorski Poland
Wymagania: zaufanie
bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób
Wymagania: zaufanie
bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób
zaufany komponent = to element systemu poza kontrolą, potencjalny cel ataku
Wymagania: zaufanie
Problemy: • komisje fałszujące głosy lub wynik• software „obliczający” wyniki
korzystne dla … • hardware - „fałszywki” • nieuczciwy wyborca
Wymagania: zaufanie
Postulat: System wyborczy powinien
funkcjonować w sposób prawidłowy nawet gdy poszczególne komponenty starają się działać lub działają w sposób nieuczciwy
Mechanizm realizacji : nieuczciwe i nieprawidłowe działanie
powinno być łatwo wykrywalne
Wymagania: tajność
Niewykonalne powinno być uzyskanie informacji jak kto głosował (poza informacjami wynikającymi wprost z wyników)
Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.
Wymagania: odporność na sprzedaż głosów
Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.
-- to jedyny skuteczny środek przeciwko sprzedaży głosów
Wymagania: odporność na fałszerstwa
Niemożliwa powinna być zmiana głosu po jego oddaniu (w tym unieważnienie go) przez komisje wyborcze, jego usunięcie a także dodanie głosów.
Wymagania: weryfikowalność wyników
Powinno być możliwe sprawdzenie, czy wynik ogłoszony i wynik rzeczywisty są takie same.
Wymagania: powszechność
Procedura wyborcza nie może ograniczać w istotny sposób możliwości udziału w wyborach żadnej grupie wyborców.
Stan obecny: działający system w Polsce
zaufanie: wymagane zaufanie do Obwodowych Komisji Wyborczych, komisja może dowolnie zmienić wynik
tajność: technika umożliwia znaczenie kart do głosowania niewidoczne dla wyborcy, …
fałszerstwa: łatwo unieważnić głos, liczba nieważnych głosów stosunkowo duża, szczególnie z dala od dużych ośrodków miejskich
Stan obecny: działający system w Polsce
dorzucanie głosów: zerowe ryzyko sprzedaż głosów: metodą chain
voting, …weryfikowalność wyników: tylko w
zakresie sumowania wyników z komisji obwodowych, wyniki w komisjach obwodowych nieweryfikowalne
Stan obecny: działający system w Polsce
dostępność: ograniczona dla osób z problemami w poruszaniu się, osob podróżujących, oraz przebywających poza granicami Polski
Mail voting, Briefwahl
Zapewnienie dostępności za cenę: • możliwości sprzedaży głosu • możliwości niszczenia głosów na
poczcie (nadchodzących z obwodów gdzie przewagę ma przeciwnik wyborczy)
Doświadczenia z głosowaniem pocztowym: Niemcy – dobre, USA - złe
Estonia – głosowanie przez Internet
W uproszczeniu głos ma postać: c, s
gdzie: s= podpis elektroniczny wyborcy
pod c c= zaszyfrowany głos
Estonia – głosowanie przez Internet
Sposób szyfrowania – asymetryczny:
• szyfrowanie kluczem publicznym komisji wyborczej,
• deszyfrowanie kluczem prywatnym (tajnym) komisji wyborczej
Estonia – głosowanie przez Internet
Podwójne szyfrowanie: • wyborca wybiera kandydata X• PC szyfruje X przy pomocy klucza K2:
c1:= Enc(K2,X)• PC szyfruje c1 przy pomocy klucza K1:
c:= Enc(K1,c1)
„podwójny sejf, który każdy może zamknąć a tylko komisja wyborcza może otworzyć”
Estonia – złożenie głosu
1. Nadchodzi (c,s) 2. KW weryfikuje podpis s pod c i czy
wyborca uwidoczniony w s jest na liście i czy już nie głosował
3. Jeśli ok, to c „wrzucane do urny”
Estonia – liczenie głosów
Komisja nr 1: • Deszyfruje każdy głos c z urny:
c1:= Dec(PrivateK1, c)
• Wyniki miesza losowo i przekazuje Komisji nr 2
„otwieranie zewnętrznych sejfów”
Estonia – liczenie głosów
Komisja nr 2: • Deszyfruje każdy głos c1 otrzymany
od Komisji nr 1:X:= Dec(PrivateK2, c1)
• Wyniki miesza losowo i przekazuje Komisji nr 2
„otwieranie wewnętrznych sejfów”
Estonia - unieważnianie
Wyborca może unieważnić swój głos przekazany przez Internet i zagłosować tradycyjnie
(przeciwdziałanie sprzedaży głosów online
- sprzedaję i głosuję po swojemu)
Estonia - problemy
• Skąd wiem co zakodował mój komputer?
• Komisje nr 1 i nr 2 „mieszczą się w sąsiednich pokojach” – skąd wiem, że rząd nie prowadzi dossier każdego wyborcy?
Wybory typu estońskiego – moje rekomendacje
1. Dla dyktatur pragnących stworzyć alibi nowoczesnego systemu demokratycznego: wysoko rekomendowane rozwiązanie
2. Dla imperiów pragnących podporządkować małe kraje: wysoko rekomendowane rozwiązanie (poprzez odpowiednie luki w produkowanych u siebie systemach operacyjnych)
Wybory typu estońskiego – moje rekomendacje
3. Dla krajów gdzie wszyscy są uczciwi samowystarczalnych informatycznie: rekomendowane rozwiązanie
4. Dla krajów gdzie główne zagrożenie to zamieszki wyborcze: rekomendowane rozwiązanie
W Estonii nie głosowałbym przez Internet.
Możliwości weryfikacji systemów wyborczych
1. Bezpieczeństwo przez tajność:– pouczający przykład Holandii (maszyny
do głosowania okazały się „dziurawe”)– „Tiger Team” dokonujący audytu może
okazać się skorumpowany, niewystarczająco kompetentny, może nie mieć fizycznie możliwości wszystkiego sprawdzić
Możliwości weryfikacji systemów wyborczych
2. Możliwość audytu rozwiązań informatycznych:
– sprawdzenie czy rozwiązanie nie posiada zaszytych „dodatkowych opcji” jest praktycznie niemożliwe – szukanie igły w stogu siana
– Sprawdzeniu musiałyby podlegać kody źródłowe systemu, kompilator, wykorzystywane biblioteki, systemy operacyjne.
Możliwości weryfikacji systemów wyborczych
3. Możliwość audytu rozwiązań hardware’owych:
– możliwość wbudowania „malicious cryptography” – zewnętrzne testy nie wykażą żadnej nieprawidłowości, zaś wytwórca sprzętu będzie wiedział wszystko, łącznie z prywatnymi kluczami zainstalowanymi na karcie
End-to-end systems
1. rozwiązania zakładające że każdy komponent systemu może być nieuczciwy
2. W przypadku nieuczciwości wychodzi to na jaw ze znaczącym prawdopodobieństwem
End-to-end systems
Najtrudniejsze pod względem koncepcyjnym rozwiązania informatyczno-matematyczne.
Konieczność pogodzenia sprzecznych wymagań funkcjonalnych (np. weryfikowalność z tajnością)
End-to-end systems
11 przykazanie: nie będziesz ufał swojemu komputerowi
Idee:komputer liczy dla wyborcy kody
kryptograficzne, ale nie wie co wyborca wybrał, wyborca nie może nawet tego udowodnić online.
komputer może oszukać, ale zostanie z dużym prawdopodobieństwem przyłapany.
End-to-end systems
Idee:Oprócz samego głosu do Komisji
Wyborczej przesyłane kody kontrolne nieodróżnialne od głosów.
Komisja oszukując podczas dekodowania może manipulować nie głos ale kody kontrolne – i zostać przyłapana, bo wyborca może ujawnić złożony kod kontrolny
End-to-end systems
Idee:Można odwołać złożony głos w sposób
niezauważalny dla kupującego głos.
Wtedy: • sprzedaję głos tak wiele razy ile się
da (karząc naiwnego kupującego)• na końcu głosuję jak sam chcę
kontakt
http://kutylowski.im.pwr.wroc.pl [email protected]
Wrocław Information Technology Initiative
Program Urząd Miasta Wrocław i PWr
"E-voting - szanse, zagrożenia, perspektywy technologiczne„
prelegenci: • Prof. Leszek Balcerowicz, SGH• Prof. Mirosław Kutyłowski, PWr
popołudnie, 4.04.2008dokładne miejsce i godzina: zostanie podane na
stronie www.pwr.wroc.pl