1 / 44

E-voting szanse i zagrożenia technologiczne

E-voting szanse i zagrożenia technologiczne. Prof. Mirosław Kutyłowski, Inst. Matematyki i Informatyki. E-voting. Maszyny do głosowania w komisjach wyborczych Systemy papierowe przeciwdziałające oszustwom wyborczym new! Głosowanie online – poza lokalem wyborczym

bessie
Télécharger la présentation

E-voting szanse i zagrożenia technologiczne

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. E-voting szanse i zagrożenia technologiczne Prof. Mirosław Kutyłowski, Inst. Matematyki i Informatyki

  2. E-voting • Maszyny do głosowania w komisjach wyborczych • Systemy papierowe przeciwdziałające oszustwom wyborczym new! • Głosowanie online – poza lokalem wyborczym W Polsce zainteresowaniu jesteśmy głównie (3), w USA, Holandii – głównie (1) i (2)

  3. Plan wystąpienia • Dagstuhl Accord • Założenia i wymagania wobec systemów wyborczych • Polska, Estonia • Możliwości weryfikacji systemów wyborczych • Systemy typu End-to-end

  4. Dagstuhl Accord, http://dagstuhlaccord.org

  5. Dagstuhl Accord, http://dagstuhlaccord.org Participants of the 2007 Dagstuhl Conference on Frontiers of E-Voting agree that: Taking advantage of technology to improve large-scale elections has recently captured the interest of researchers coming from a number of disciplines. The basic requirements pose an apparently irreconcilable challenge: while voter confidence hinges on transparently ensuring integrity of the outcome, ballot secrecy must also be ensured. Current systems can only address these essential requirements by relying on trust in those conducting the election or by trust in the machines and software they use. Some promising new systems dramatically reduce the need for such trust. What are called “end-to-end” voting systems, for example, allow each voter to ensure that his or her vote cast in the booth is recorded correctly. They then allow anyone to verify that all such recorded votes are included in the final tally correctly. Surprisingly, typically through use of encryption, these systems can also provide privacy of votes. They do this without introducing any danger of “improper influence” of voters, as in vote buying and coercion. Moreover, such systems offer all these properties without relying on trust in particular persons, manual processes, devices, or software. Care must still be taken to ensure proper implementation and education of voters in order to avoid misuse or incorrect perceptions. Some are also concerned that the level of understandability and observability of hand-counting of paper ballots in polling places will not be matched by electronic systems.

  6. Dagstuhl Accord, http://dagstuhlaccord.org The challenge for government and civil society should be to find ways to foster development and testing of new election paradigms in general and to allow them to be assessed and expeditiously rise to meet their potential to improve elections. The challenges for the technical research community now forming around election technology includes further exploration and refinement of these new types of systems. Particularly promising and important areas include analysis, formal modeling, and rigorous proofs regarding systems and potential threats. Initial deployments of these systems are starting to provide valuable real-world experience, but effective ways to communicate and expose their workings may also be important. The goal is systems that increase transparency regarding the correctness of the election results and yet maintain secrecy of individual votes. Improved voter confidence may follow. Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats. Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions. Securing network voting is clearly an important research challenge. We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

  7. Dagstuhl Accord, http://dagstuhlaccord.org Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats.

  8. Dagstuhl Accord, http://dagstuhlaccord.org Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions.

  9. Dagstuhl Accord, http://dagstuhlaccord.org We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

  10. Dagstuhl Accord, http://dagstuhlaccord.org W międzyczasie: istotne postępy w poszukiwaniu odpowiednich technologii dla online voting

  11. Sygnatariusze Dagstuhl Accord OrganizersDavid Chaum USA, Miroslaw Kutylowski Poland, Ronald Rivest USA, Peter Ryan United Kingdom Participants  Roberto Araujo Brazil, Josh Benaloh USA, Olivier De Marneffe Belgium, Benjamin Hosp USA, Rui Joaquim Portugal, Aggelos Kiayias USA, David Lundin United Kingdom, Tal Moran Israel, Olivier Pereira Belgium, Stefan Popoveniuc USA, Jean-Jacques Quisquater Belgium, Mark Ryan United Kingdom, Steve Schneider United Kingdom, Bruno Simeone Italy, Vanessa Teague Australia, Poorvi Vora USA, Filip Zagorski Poland

  12. Wymagania: zaufanie bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób

  13. Wymagania: zaufanie bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób zaufany komponent = to element systemu poza kontrolą, potencjalny cel ataku

  14. Wymagania: zaufanie Problemy: • komisje fałszujące głosy lub wynik • software „obliczający” wyniki korzystne dla … • hardware - „fałszywki” • nieuczciwy wyborca

  15. Wymagania: zaufanie Postulat: System wyborczy powinien funkcjonować w sposób prawidłowy nawet gdy poszczególne komponenty starają się działać lub działają w sposób nieuczciwy Mechanizm realizacji : nieuczciwe i nieprawidłowe działanie powinno być łatwo wykrywalne

  16. Wymagania: tajność Niewykonalne powinno być uzyskanie informacji jak kto głosował (poza informacjami wynikającymi wprost z wyników) Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.

  17. Wymagania: odporność na sprzedaż głosów Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował. -- to jedyny skuteczny środek przeciwko sprzedaży głosów

  18. Wymagania: odporność na fałszerstwa Niemożliwa powinna być zmiana głosu po jego oddaniu (w tym unieważnienie go) przez komisje wyborcze, jego usunięcie a także dodanie głosów.

  19. Wymagania: weryfikowalność wyników Powinno być możliwe sprawdzenie, czy wynik ogłoszony i wynik rzeczywisty są takie same.

  20. Wymagania: powszechność Procedura wyborcza nie może ograniczać w istotny sposób możliwości udziału w wyborach żadnej grupie wyborców.

  21. Stan obecny: działający system w Polsce zaufanie: wymagane zaufanie do Obwodowych Komisji Wyborczych, komisja może dowolnie zmienić wynik tajność: technika umożliwia znaczenie kart do głosowania niewidoczne dla wyborcy, … fałszerstwa: łatwo unieważnić głos, liczba nieważnych głosów stosunkowo duża, szczególnie z dala od dużych ośrodków miejskich

  22. Stan obecny: działający system w Polsce dorzucanie głosów: zerowe ryzyko sprzedaż głosów: metodą chain voting, … weryfikowalność wyników: tylko w zakresie sumowania wyników z komisji obwodowych, wyniki w komisjach obwodowych nieweryfikowalne

  23. Stan obecny: działający system w Polsce dostępność: ograniczona dla osób z problemami w poruszaniu się, osob podróżujących, oraz przebywających poza granicami Polski

  24. Mail voting, Briefwahl Zapewnienie dostępności za cenę: • możliwości sprzedaży głosu • możliwości niszczenia głosów na poczcie(nadchodzących z obwodów gdzie przewagę ma przeciwnik wyborczy) Doświadczenia z głosowaniem pocztowym: Niemcy – dobre, USA - złe

  25. Estonia – głosowanie przez Internet W uproszczeniu głos ma postać: c, s gdzie: s= podpis elektroniczny wyborcy pod c c= zaszyfrowany głos

  26. Estonia – głosowanie przez Internet Sposób szyfrowania – asymetryczny: • szyfrowanie kluczem publicznym komisji wyborczej, • deszyfrowanie kluczem prywatnym (tajnym) komisji wyborczej

  27. Estonia – głosowanie przez Internet Podwójne szyfrowanie: • wyborca wybiera kandydata X • PC szyfruje X przy pomocy klucza K2: c1:= Enc(K2,X) • PC szyfruje c1 przy pomocy klucza K1: c:= Enc(K1,c1) „podwójny sejf, który każdy może zamknąć a tylko komisja wyborcza może otworzyć”

  28. Estonia – złożenie głosu • Nadchodzi (c,s) • KW weryfikuje podpis s pod c i czy wyborca uwidoczniony w s jest na liście i czy już nie głosował • Jeśli ok, to c „wrzucane do urny”

  29. Estonia – liczenie głosów Komisja nr 1: • Deszyfruje każdy głos c z urny: c1:= Dec(PrivateK1, c) • Wyniki miesza losowo i przekazuje Komisji nr 2 „otwieranie zewnętrznych sejfów”

  30. Estonia – liczenie głosów Komisja nr 2: • Deszyfruje każdy głos c1 otrzymany od Komisji nr 1: X:= Dec(PrivateK2, c1) • Wyniki miesza losowo i przekazuje Komisji nr 2 „otwieranie wewnętrznych sejfów”

  31. Estonia - unieważnianie Wyborca może unieważnić swój głos przekazany przez Internet i zagłosować tradycyjnie (przeciwdziałanie sprzedaży głosów online - sprzedaję i głosuję po swojemu)

  32. Estonia - problemy • Skąd wiem co zakodował mój komputer? • Komisje nr 1 i nr 2 „mieszczą się w sąsiednich pokojach” – skąd wiem, że rząd nie prowadzi dossier każdego wyborcy?

  33. Wybory typu estońskiego – moje rekomendacje • Dla dyktatur pragnących stworzyć alibi nowoczesnego systemu demokratycznego: wysoko rekomendowane rozwiązanie • Dla imperiów pragnących podporządkować małe kraje: wysoko rekomendowane rozwiązanie (poprzez odpowiednie luki w produkowanych u siebie systemach operacyjnych)

  34. Wybory typu estońskiego – moje rekomendacje • Dla krajów gdzie wszyscy są uczciwi samowystarczalnych informatycznie: rekomendowane rozwiązanie • Dla krajów gdzie główne zagrożenie to zamieszki wyborcze: rekomendowane rozwiązanie W Estonii nie głosowałbym przez Internet.

  35. Możliwości weryfikacji systemów wyborczych • Bezpieczeństwo przez tajność: • pouczający przykład Holandii (maszyny do głosowania okazały się „dziurawe”) • „Tiger Team” dokonujący audytu może okazać się skorumpowany, niewystarczająco kompetentny, może nie mieć fizycznie możliwości wszystkiego sprawdzić

  36. Możliwości weryfikacji systemów wyborczych • Możliwość audytu rozwiązań informatycznych: • sprawdzenie czy rozwiązanie nie posiada zaszytych „dodatkowych opcji” jest praktycznie niemożliwe – szukanie igły w stogu siana • Sprawdzeniu musiałyby podlegać kody źródłowe systemu, kompilator, wykorzystywane biblioteki, systemy operacyjne.

  37. Możliwości weryfikacji systemów wyborczych • Możliwość audytu rozwiązań hardware’owych: • możliwość wbudowania „malicious cryptography” – zewnętrzne testy nie wykażą żadnej nieprawidłowości, zaś wytwórca sprzętu będzie wiedział wszystko, łącznie z prywatnymi kluczami zainstalowanymi na karcie

  38. End-to-end systems • rozwiązania zakładające że każdy komponent systemu może być nieuczciwy • W przypadku nieuczciwości wychodzi to na jaw ze znaczącym prawdopodobieństwem

  39. End-to-end systems Najtrudniejsze pod względem koncepcyjnym rozwiązania informatyczno-matematyczne. Konieczność pogodzenia sprzecznych wymagań funkcjonalnych (np. weryfikowalność z tajnością)

  40. End-to-end systems 11 przykazanie: nie będziesz ufał swojemu komputerowi Idee: komputer liczy dla wyborcy kody kryptograficzne, ale nie wie co wyborca wybrał, wyborca nie może nawet tego udowodnić online. komputer może oszukać, ale zostanie z dużym prawdopodobieństwem przyłapany.

  41. End-to-end systems Idee: Oprócz samego głosu do Komisji Wyborczej przesyłane kody kontrolne nieodróżnialne od głosów. Komisja oszukując podczas dekodowania może manipulować nie głos ale kody kontrolne – i zostać przyłapana, bo wyborca może ujawnić złożony kod kontrolny

  42. End-to-end systems Idee: Można odwołać złożony głos w sposób niezauważalny dla kupującego głos. Wtedy: • sprzedaję głos tak wiele razy ile się da (karząc naiwnego kupującego) • na końcu głosuję jak sam chcę

  43. kontakt http://kutylowski.im.pwr.wroc.pl miroslaw.kutylowski@pwr.wroc.pl

  44. Wrocław Information Technology Initiative Program Urząd Miasta Wrocław i PWr "E-voting - szanse, zagrożenia, perspektywy technologiczne„ prelegenci: • Prof. Leszek Balcerowicz, SGH • Prof. Mirosław Kutyłowski, PWr popołudnie, 4.04.2008 dokładne miejsce i godzina: zostanie podane na stronie www.pwr.wroc.pl

More Related