Saugumo specialistas: stabdyti e. rinkimus – tas pats, kas uždrausti eismą

graudu skaityti, dar tik planuoja diegti technologijas kurioms jau yra pažangesnė alternatyva http://www.bitcongress.org/ - pseudo aninimiškumas (asmuo gali likti anonimiškas, tačiau balsų įrašai vieši) - nėra centrinio serverio, kurį galima užddosinti - rezultatų neįmanoma pakeisti

Rinkėjas negali likti anonimiškas. Vadinasi, ta bicoincongress netinkama.

Dar neteko matyti tokios IT sistemos ar schemos, kuri vienu metu užtikrintų autentiškumą ir anonimiškumą. Kategoriškai prieš tokią nesamonę.

Kaip tai negali? Niekam neatskleidi kokį privatų raktą gavai ir lieki anonimiškas.

Taip, bet sistema turi tave identifikuoti ir pažymėti, kad jau balsavai. Pageidautina ir leisti pakeisti savo apsisprendimą (jei kas nors prieš tai taikė spaudimą balsuoti vienaip ar kitaip).

„Saugumo specialistai“ čia susiprastina iki vieno kalbinto žmogaus. Gal pas jį asmenybės susidauginimas kažkoks?

Kad dar nėra: „Work in progress“.

Tokia schema yra, tik ji velniškai brangi. Pvz., turi būti mažiausiai 7 nepriklausomos įstaigos - viena autentifikacijai, kita vienkartinio parašo išdavimui, trečia panaudotų anoniminių parašų registracijai ir taip toliau. T.y., tu negali retrospektyviai nustatyti, kas konkrečiai už ką balsavo - žinai tik tiek, kad pilietis pasiėmė „biuletenį“, kad tiek ir tiek „biuletenių“ buvo panaudota ir kiek iš jų balsavo už konkretų variantą bei turi garantiją, kad visi užregistruoti balsai kriptografiškai tvarkingi. Įsivaizduok, kad aš atsakingas už biuletenio įteikimą piliečiui. Pilietis prisijungia per e-bankininkystę, aš jam išduodu vienkartinį e-parašą, kurio kodas visiškai atsitiktinis, bet pasirašytas mano privačiu sertifikatu. Tu registruoji balsus. Mes sąžiningi ir vienas kitam neatskleidžiame paslapčių - aš tau nesakau, kam išdaviau konkretų vienkartinį parašą, tu man nesakai, su tuo parašu už ką balsuota. Viskas panašiai kaip įprastuose „popieriniuose“ rinkimuose, tik įprastai yra teorinė galimybė atsekti raštą, pirštų antspaudus, įrengti kameras urnose, pažymėti biuletenius... E-balsavime visa tai gerokai sudėtingiau. Plius patikrinti balsavimo rezultatus gerokai paprasčiau. Su konkrečiu e-parašu balsuota, bet balso tavo duombazėje nėra? Blogai - kažką nusukai. Balsas yra, bet jis kriptografiškai neatitinka mano sertifikato? Blogai - balsas padirbtas. Ir trečia, gali manęs kamantinėt nekamantinėjęs, kuris pilietis slepiasi po konkrečiu e-parašu, ar kokį e-parašą tas pilietis gavo. Neturiu techninių galimybių atsakyti - sugeneravau atsitiktinai ir niekur neišsaugojau, išskyrus faktą, kad konkretus pilietis jau kažkokį atsitiktinį e-parašą yra gavęs ir antro jam duoti negalima.

Labai norėčiau balsavimo internetu, bet neramina keli dalykai (tarkim, kriptografija garantuoja saugumą, kaip aprašė rwc): Ar nepasidarys paprasčiau papirkti vieną-kitą sertifikatų serverių adminą, negu papirkinėti mases balsuotojų? kas galės perskaičiuoti balsus - tik siauras IT specialistų ratas (turbūt, 1 mygtukas programoje "Perskaičiuoti balsus")? Balsavimo proceso priežiūra vėl bus tik IT specialistų rankose? T.y. nebeliks apylinkių komisijų? Tarkim, aptikus sistemoje suklastotą balsą, mūsų policija tik rankomis paskėsčios? Sumoj mane neramina atviro ir lengvai prižiūrimo proceso perkėlimas į uždarą ir sunkiai prižiūrimą sritį. Apsidžaugčiau balsavimo patogumu, jei jis tikrai būtų patogiau nei dabar (suvaikščioti iki apylinkės ir nubalsuoti man užtrunka tik pusvalandį), taip pat neliktų žmogiškojo faktoriaus balsų skaičiavime.

Kiekvienas atliktas veiksmas registruojamas, galima atlikti tik iš vidaus ir video kameros prie kiekvieno punkto. Servą padarai be galimybės ištrinti ir tiek. Tikrinimui gali būti kita institucija. Už balsų klastojimą numatai kalėjimą iki gyvos galvos ir viso turto konfiskavimą.

O dabar grįžtam į realybe: bus vienas centralizuotas serveris, jokių bausmių už klastojima nebus, ir jei VRK pasakė kad laimėjo XYZ partija, tai turėsi tuo ir patikėt. Pareikalavus perskaičiuoti balsus bus pareikšta, kad balsai perskaičiuoti ir laimėjo XYZ. Kaip ir minėjo kolega, realiai patikrinti sistemos saugumą ir balsų autentiškumą tegalės saujelė IT adminų, o visi kiti turės praktiškai aklai jais pasitikėt. E-balsavimas man kažkuo panašus į komunizmą: idėja tikrai puiki ir siektina, deja realybėj tiesiog neveikia.

Plius retorinis klausimas - kam pirkti tarkim daugumą seime, jei gali nupirkti saujelę prižiūrinčią balsavimo projektą? Kol nėra sugalvota sistema, kur visus duomenis visi gali matyti, o pasikaustę ir savarankiškai audituoti, tol tokios sistemos įgyvendinimo nematau. T.y. internetinis balsavimas turi būti labiau panašus į didelę krūvą biuletenių, kurią kompiuterinėmis priemonėmis norintys galėtų sau metų metus skaičiuoti/rūšiuoti, bet negalėtų pakeisti. Plius stebėtojai skaičiavimo technikos dėka galėtų atlikti ne tik savo siauroje apylinkėje, bet ir globaliai. O neturi pavirsti į juodą dėžę kur niekas, be siauro rato žmonių, nieko nežino ir negali patikrinti. Kol tokios sistemos nėra - nėra ir nieko geresnio už skaičiavimą rankutėmis šalia stovint stebėtojams. Klaidų gali pasitaikyti, bet jos negali įtakoti rezultato kardinaliai.

Kontrolė nebūtų mažesnė nei dabar: kiekvienas įrašas loginamas ir siunčiamas į backup serverius kitame mieste. Niekur nedingtų nei pati VRK, nei partijų deleguojami stebėtojai, kurie turėtų pilną teisę reikalauti balsų perskaičiavimo. Aš didesnę problemą matau priešingą: balsai skaičiuojami realiu laiku. Jei šį procesą balsavimo metu stebėtų suinteresuoti asmenys - kaip apsisaugoti, kad jie nebandytų įtakoti balsuojančių vėliau? Tarkim, matydamas, kad Grybauskaitė atitrūko ~20%, tikriausiai būčiau prabalsavęs už Balčytį, kad jai įgelčiau. Matydamas, kad kažkuriai visai mėgstamai partijai trūksta nedaug balsų iki mandato, galbūt prabalsuočiau už ją, nes partija, už kurią paprastai balsuoju, turi tvirtą mandatų skaičių ir papildomas mano balsas jai įtakos neturi. O ar balsai bus suskaičiuoti teisingai - problemos nematau, nes padirbti ar „pražiopsoti“ balsą tiek pat sudėtinga, kaip ir padirbti ar „pamesti“ elektroninį dokumentą. Gali paimti bet kurį kriptografiškai pasirašytą balsą iš archyvo, nors ir po dešimtmečio, ir patikrinti jo parašo tikrumą, atitikimą archyvams iš parašų generavimo centro ir t.t.. Kita, kiek teorinė problema - tai balsuotojo neatsekamumas. Bet kuriuo atveju, atsekti balsuotoją paprasčiau dabar, kai jis fiziškai turi ateiti į apylinkę. Kažkaip reiktų laike ir erdvėje atskirti autentifikacijos, biuletenio generavimo ir registracijos procesus. Laike - kad nebūtų įmanoma susieti autentifikacijos pvz. per e-banką laiko ir balso registracijos. Erdvėje - kad balsų registravimo sistema negalėtų susieti rinkėjo IP adreso su balsu. Bet kaip tą suderinti su sistemos apsauga? Juk bandymus nulaužti kažkur vis dėlto reikės registruoti ir analizuoti... kestuti, ir dabar gali bandyti papirkti VRK. Su e-balsavimu būtų tik sudėtingiau, nes papirkinėjant balsų skaičiuotoją - nepagautas ne vagis. Su elektronine sistema reikėtų papirkinėti visas sistemos grandis - o įsivaizduok, kiek kainuotų papirkinėti TEO serverių administratorius, kiek jie rizikuotų, tuo labiau, kad kontrakto apimtis būtų anaiptol ne šimtas litų. Ir įsivaizduok, kas būtų, jei paaiškėtų, kad įmonė nesugeba apsaugoti savo serverių, kiek tai kirstų per jos reputaciją. Pažiūrėk, kiek ir dabar slaptų duomenų saugoma pas tą patį TEO. Visokie registrų centrai, sodros, omniteliai - manai, jie nemoka saugotis? A, ir beje, visose rimtose sistemose yra taip vadinama „demilitarizuota zona“, kuri be kita ko saugo nuo piktų adminų. Paprastai tai būna visiškai autonomiškas routeris, kažkoks aparatinis filtras, kurio pakeisti nesulaužant neįmanoma. Tokį filtrą galima užsakyti, tarkim, iš japonų, kuriems lietuviškų rinkimų rezultatai vienodai piešia - ypač, jei jis gaminamas ir audituojamas likus keletui metų iki rinkimų, kai nėra net žinomi kandidatų sąrašai ir numeriai.

Kažin ar internetinio balsavimo fanai gali paneigti, kad: 1. Pasitikėjimas rinkimais dar labiau sumažės. Eiliniam piliečiui teks tikėti per televizorių rodomu akiniuočiu, kuris aiškins, esą viskas buvo gerai. Užtat - duodu plikę apspjauti - anksčiau ar vėliau paplis sąmokslo teorijos apie sistemingą balsų klastojimą, o tai reikš dar mažesnį žmonių pilietinį aktyvumą. Atvirkščiai, balsuoti lįs visokie vėplos ("ai, paspausiu ten kokią nors knopkę"), kurie moka atskirti Kubilių nuo Pavilionienės tik iš to, kad pastaroji segi sijoną. 2. Visokie "stebėtojai" bus tik fikcija - IT nepalieka jokios galimybės kontroliuoti informacijos virsmus taip, kaip tai daroma popierinių rinkimų metu. Toks "stebėtojas" bus naivus žmogelis, spaudantis mygtuką jam nežinomos programos lange, ir tikintis, kad ji jam rodo "realius" duomenis (IT apskritai sunkiai įsivaizduojamas dalykas yra "realu". Pavyzdžiui, iš kur jūs žinote, kad šis postas egzistuoja technologijos.lt naudojamoje duomenų bazėje? Arba kad jo autorius tikrai aš?) Ir dar - tiems, kas kartoja "namų vartotojo" maldelę "Niekas ten nesilauš ir nieko neklastos, niekam to nereikia": "Vyriausiosios rinkimų komisijos duomenimis, Seimo rinkimams šiemet partijos išleido daugiau nei 33 mln. litų. " http://www.civis.lt/rinkimams-ts-lkd-is ... -2981.html

Fizinis prieėjimas prie serverių ar pačių serverių administravimas neko nereiškia - viską valdys kas valdys aplikaciją. Ir jei ji uždara, nematoma bet kam iš gatvės (dabar gali sau eiti stebėti rinkimų ir realiai trukdyti galimai falsifikacijai) netikiu jos nekaltumu. Žiūrėk čia visas serverių clusteris kažką visą dieną skaičiavo skaičiavo, o output'as tolimiausiam kamputyje stovinčiam serve jau paruoštas. Čia nebent kažką fantazuoti apie visišką opensource, kur prieš rinkimus susirenka po kelis patyrusius IT'šnikus nuo kiekvienos partijos, jie ten patikrina ar niekas nepamodifikavo softo (kurio source'ai prieš tai metus kitus jau buvo pasiekiami kievienam norinčiam) ir leidžia ratuku susėdę aplink serverį :) Jei jau jie susitars kažką negero, tai vistiek koks jau skirtumas. Kazino ruletės ar kokie teleloto kamuoliukai (nors loterijų organizatoriam net nereikia nieko "sutaupyti", jiem kaip tik problemos jei per mažai laiminčių) jie vis dar mechaniniai, nes niekas nepasitikės ir nežais jei skaičiukai kris iš kalkuliatoriaus. "Visokie registrų centrai, sodros, omniteliai " - jiem viskas žymiai paprasčiau - jiem nereikia palaikyti anonimiškumo. Juk didelis web page'as kur kiekvienas prisijungęs paliktų viešą balsą, paskui galėtų bet kada pasitikrinti ar kartais jis (ar jo kiti žinomi) nepasikeitė būtų išvis ir skaidrus, ir patikimas (sunku prasukti numerį su Krymo 103% UŽ kai gali viską pats susimesti į excelį ir paskaičiuoti).

Kokie čia visi kieti IT specialistai, puikiai žinot spragas ir kaip baisu. Balsavimo biuleteniai vis tiek baisiau - kontrolės mažai, klastoti lengviau. Papirkinėti lengiau. Negana to, visi pažįstami, kurių nepavyko įkalbinti eiti į rinkimus, sakė jei būtų internetiniai, tikrai balsuotų (kalbinu tik į rinkimus eiti, o ne už ką balsuoti).

Tame ir esmė, kad negali būti procesą. Tarkim iš japonų užsisakai aparatinį multiplekserį, kuris kiekvieną balsą pasirašo pats ir persiunčia į read-only duomenų saugyklas Vilniuje, Šiaulliuose, Klaipėdoje, Stokholme. Neatitikimą lengvai aptiksi, o multiplekserio likus keliems mėnesiams iki tikro balsavimo niekas modifikuoti neleis. Padirbtus/modifikuotus balsus, kurie patenka į multiplekserį taip pat lengvai atrinksi. Ką čia reiškia patikrinti milijono biuletenių kriptografinius parašus? Pasirašymo bent vienas etapais veikia išimtinai vartotojo kompiuteryje, kad jo privatus raktas niekad neiškeliautų tretiesiems asmenims. Pasirašymo programa taip pat negalėtų turėti įtakos, kas konkrečiai pasirašinėjama, jei būtų nepriklausoma "preview" aplikacija. Norint, viskas padaroma, tik teoriškai tobulos kriptosistemos kūrimo ir palaikymo kaštai astronominiai. Net e-bankai tokių kriptosistemų nestato. Ir motyvas... Nulaužti išbaigtą sistemą taip pat kainuotų ne vieną mėnesį darbo. Silpniausias komponentas - turbūt autentifikacija per e-bankus. Paprasčiausiai neapsimokanti investicija kišti šimtus tūkstančių dėl kelių šimtų balsų, kai gali nueiti prie balsavimo apylinkės ir prisipirkti bomžų balsų už alaus bambalį.

Internetinis balsavimas. 1) Pilietis prisijungia prie e-balsavimo sistemos ir gauna autentiška elektronini balsavimo biuleteni. 2) Parsisiuntęs pas save į kompiuterį jį pažymį už norima kandidatą. 3) Pasirašo biuletenį savo elektroninių parašų kurio sertifikatai saugomi jo asmens tapatybės kortelėje. 4) Nusiunčia pasirašyta biuletenį atgal į e-balsavimo sistemą. 5) E-balsavimo sistema patikrina biuletenio autentiškumą (jog ji pati jį ir išdavė), patikrina e-parašo autentiškumą (ar tikrai pasirašė tas kam buvo išduotas biuletenis). 6) Nuskaitoma už ką buvo balsuota ir balsas įrašomas į duombazę, o biuletenis saugiau užšifruojamas sistemoje kad niekas kitas tik pati sistema galėtu prie jo prieiti (sugeneruojant atsitiktini šifravimo raktą ir jį saugant serverio atmintyje neleidžiant niekam prie jo prieiti). Kadangi viską atlieka programa niekas nežino kas ir už ką balsavo (anonimiškumas). Kadangi balsavimo biuletenis pasirašytas e-balsavimo sistemos ir pačio balsuotojo, tai saugumas maksimalus.

Esminės saugumo spragos išduotas konkretus biuletenis - reikia tik užtikrinti, kad jis būtų išduodamas tiesiog žinant, kad jo prašo tikras rinkėjas, kuris dar biuletenio nėra gavęs. Toliau galima rinkėjo tapatybę visiškai pamiršti turint dar nesugadintą biuletenį ir vienkartinį raktą, kuris šiuose rinkimuose buvo išduotas anoniminiam rinkėjui autentifikacijos ir raktų centrų liudijimu.

Prirašei daug, bet.... Mano aprašytas variantas pagrindines dalis ima iš dabar esamo išankstinio balsavimo sistemos. Pats dalyvavau išankstiniame balsavime tai gerai žinau. Ateini, duoda balsavimo biuleteni, duoda voką į kuri reikia įdėti pažymėta balsavimo biuletenį. Duoda lapą su tavo duomenimis kad patvirtintu tavo asmenybę ir duoda kita voką į kuri įdedi užklijuota voką su savo balsu ir tavo lapą su tavo asmeniniais duomenimis. Ir kažkodėl niekas nerėkia dėl anonimiškumo pažeidimo. Juk kažkur susirinkę gali atplėšti abu vokus ir patikrinti kas ir už ką balsavo. Nes viską daro žmogus. O elektroninėje sistemoje visa tai atliktu kompiuteris, todėl anonimiškumas butu kur kas didesnis.