Etiquetas
Hace unos días escribí un apunte sobre las tan comentadas elecciones electrónicas de Podemos. Comencé el artículo con una descripción de los requisitos que tiene que tener un sistema de votación (de papeleta y electrónico) y el procedimiento que se seguía en las votaciones tradicionales para asegurar que se cumplan esos requisitos (voto secreto y anónimo, no adulteración, impedir agregar votos, auditoría…).
En ese apunte me limité a comentar el problema del censo de Podemos, y cómo sólo eso hacía que se incumpliesen varios de los requisitos mencionados anteriormente. Aquí introduzco un leve paréntesis para dejar claras algunas cosas (lo pongo «entrecomillado» para que te lo puedas saltar).
No afirmo que Podemos deba cumplir todos esos requisitos, eso es cuestión de sus autoridades, aunque dije que me pareció un error y con el tiempo confirmé que tienen un profundo desconocimiento de lo que se hizo (como quedará claro en este apunte, espero).
Tampoco pongo en dudas la legitimidad del triunfo, y no tiene nada que ver con ideología o suposiciones sobre manipulación. El tema es puramente estadístico: el ganador tuvo más del 80% de los votos. Para que el triunfo haya sido fraudulento se requerían demasiados votos adicionales, tantos que hacen que la probabilidad de que en realidad hubiese ganado la alternativa es muy baja. Imaginemos que hay 100.000 votos válidos, y que fueron repartidos por igual entre ambas candidaturas (50.000 votos a cada uno). ¿Cuántos votos adicionales fraudulentos hacen falta para que una de ellas el 80%. El cálculo es fácil, se trata de resolver la siguiente ecuación muy sencilla: (50.000 + x) / (100.000 + x) = 80%. Exacto, hacen falta 150.000 votos adicionales, o lo que es lo mismo 200.000 votos para una de las candidaturas, cuatro veces más de lo que obtuvo. O 250.000 votos totales, dos veces y medio de los emitidos legítimamente. Y todo esto considerando que no hubo ningún voto fraudulento para la otra candidatura. No imposible pero tan altamente improbable que no le veo sentido a poner en dudas quién fue el ganador.
Obviamente, si el resultado hubiese sido ajustado estaríamos hablando de ello, por lo del censo más lo que relato abajo.
No continué más en profundidad con el software y todos los mecanismos de cifrado y seguridad que afirmaron públicamente que tenía, aunque al ver el primer documento de cómo se pasa información del servidor de Podemos al de AgoraVoting ya quedé sorprendido. Si eres informático y sabes algo de cifrado y voto electrónico te pido que lo leas y pienses por un momento.
¿Ya has encontrado el problema? Deberías.
Si no es así tendrás una idea de lo difícil y complejo que son estos dos temas (cifrado y voto electrónico), y por qué me tomé varios días para averiguar mejor. Cabía la posibilidad de que ese «agujero» estuviese tapado por una infraestructura adicional con cifrado y auditoría, pero después de mirar partes del código y de decenas de emails llegué a la conclusión que no. Lo que se ve es lo que hay, sin más.
Intentaré explicar el problema de la forma más sencilla y breve que pueda, pero para los perezosos o apresurados va una respuesta rápida: seguramente habéis leído que tiene mecanismos muy complejos de cifrado, con claves públicas, privadas, código de universidades famosas, un proceso de escrutinio tan complejo que hasta toma horas para contar unos 100.000 votos, etc., todo con el objetivo de impedir que otros (informáticos de Podemos, AgoraVoting, hackers, crackers, admins o hasta la NSA) puedan modificar y manipular votos, y garantizar que el voto sea anónimo. Bien, ahora imaginaros que todo ese sistema sea como una puerta roja muy segura, con la última tecnología en cierres, materiales resistentes y mecanismos de seguridad y alarma. El resultado final es literalmente el que veis a continuación:
Los votos son manipulables e indetectables por el cifrado
El problema fundamental, que explica el documento de integración Podemos-AgoraVoting anteriormente enlazado, es que desde el momento que un votante se conecta a la plataforma de AgoraVoting en este servidor ya se conocen todas las claves para generar un «voto válido» criptográficamente.
Fragmento de descripción del mensaje de Podemos a AgoraVoting
Es decir, se puede generar un voto que pase los controles criptográficos. Eso significa que técnicamente se puede, y es muy sencillo hacer lo siguiente sin que pueda detectarse con todo el sistema de control criptográfico:
- Se puede modificar a posteriori el valor de un voto, en la base de datos se almacenan todos los datos necesarios. La única forma de detectarlo es que cada votante revise si su hash aparece en el listado. Pero si no aparece no se puede asegurar que se cambió el voto, puede ser un «voto no registrado», o que el usuario apuntó mal su hash identificativo. Como el voto es en principio anónimo (tampoco lo es, lo explico más adelante) no hay forma de asegurar qué ha pasado (si es que el anonimato de los votos fuese real, no lo es).
- Se puede cambiar el sentido del voto sin que lo sepa el usuario, ya que es posible almacenar cualquier valor y generar el «hash de identificación» para este voto. El usuario no se daría cuenta que se ha votado lo contrario.
- Se puede insertar votos de cualquier usuario que se haya conectado y no haya votado. La única forma de saberlo es que se obtenga un listado de qué usuarios votaron, lo que en principio no podría hacerse porque es anónimo (aunque sí que se puede, el voto no es realmente anónimo).
- Se pueden eliminar votos, la única forma de detectarlo es que lo descubra el usuario revisando el listado público de hashes (un problema pero común en muchos protocolos, minimizados si no se puede conocer el valor del voto).
Si estás pensando «que todo el cifrado se hace en el Javascript» estás equivocado, por una parte esa información se recibe en el servidor y cualquier programa allí podría manipular los votos. Además se puede hacer en el Javascript, que se sirve desde los mismos servidores de AgoraVoting, con el problema adicional de que son (o fueron) y pueden ser cacheados y manipulados en el camino sin que el usuario se de cuenta, o una extensión que los cambie. Ya puede ser el código del MIT, Stanford o la misma NSA, pero si no pones controles (no los había, y es complicado) para asegurar que el código que se ejecuta en los navegadores es el que se pretende
Seguramente pensarás -si no eres al menos muy leído en temas de voto electrónico y seguridad- que lo importante es la confianza que se tiene en la gente de AgoraVoting, que no modificará ningún programa que manipule, vale, pero también debes fiarte de que sus servidores no hayan sido atacados, que no haya bugs, que los Javascripts no hayan sido cambiados, que cada ordenador del votante esté libre de virus, troyanos y extensiones, que no hayan hackeado -pro ejemplo- la extensión AdBlock (usada por mucha gente) para modificar los javascript o datos recibidos, que ningún proxy intermedio lo haga, fiarte de todos los administradores de Podemos y AgoraVoting, que el código sea el mismo, etc. etc. etc.
Es decir, si confías en todo eso ¿para qué usar el cifrado? No agrega ninguna garantía original -sólo complejidad y complicaciones-, y se está subvirtiendo el primer objetivo del cifrado: evitar tener que depositar tu confianza ciega en que todo lo mencionado en el párrafo anterior es cierto.
En resumen, fue poner una puerta de colores maravillosos en el medio del campo, y no darte cuenta que no había ni paredes.
Alternativas (añadido, para ilustrar métodos conocidos)
Para solucionar el problema de la identificación se usan métodos bien conocidos, como los protocolos JCJ, Civitas y otros mejorados. En general estos protocolos son muy aptos para voto electrónico remoto pero tienen problemas de coste computacional elevado, por ejemplo en JCJ es O(votos_válidos² + votos_fraudulentos²), por lo que no son aptos para votaciones masivas.
En estos protocolos al votante V se le asigna una clave aleatoria c desde el servidor de Podemos (usando canal seguro), al mismo tiempo se genera una una cadena s = cifrado(c + cadena aleatoria), la clave pública de cifrado es la de las autoridades de escrutinio. La cadena s es la que se pasa a AgoraVoting (por canal seguro) y serviría para validar votos (además de solucionar los problemas de coacción y voto secreto), el único que conoce la clave c es el votante. AgoraVoting no la conoce, sólo s, por lo que no puede generar o cambiar votos. Tampoco podría saber el valor del voto ya que al servidor sólo le llegan un par de entradas cifradas con las claves públicas de las autoridades de escrutinio(acompañadas de dos non-interactive zero-knowledge proof).
Estos protocolos tienen buenas propiedades para evitar la «intimidación». El votante puede emitir los votos que quiera (sólo hace falta almacenar el orden), y puede verificar su voto durante y después del período de votación. Este tipo de mecanismo es fundamental en los sistemas de voto electrónico no asistido (i.e. remoto por internet), no entiendo cómo se ha fallado en esta parte crítica. Supongo que fue para hacer sencilla la integración con Podemos (requiere envío de dos claves, una al cliente y otra al servidor de AgoraVoting, y debía funcionar tanto desde web como desde la app -que abre el navegador al ir a votar-).
El sistema no da garantías de anonimato
Uno de los requisitos fundamentales de «elecciones democráticas» es asegurar que un voto es anónimo y que su autor no puede ser «rastreado» al mismo tiempo que se debe permitir auditar a los votos. Por eso eso mismo el voto electrónico es un hard problem en informática (mucho más que las transacciones económicas, que no son anónimas). ¿Por qué hay que garantizar ese anonimato? No fue siempre así (y en muchos casos es preferible lo contrario) pero el objetivo de los «elecciones democráticas secretas» es minimizar el riesgo y efectos de coacciones, soborno y compra de votos (siempre se puede votar diferente, nadie lo sabrá).
Se ha dicho repetidamente y en la prensa que AgoraVoting asegura completamente el anonimato, tampoco es cierto. En la base de datos se almacena el identificador del votante (y también hay un campo para IP, pero no sé si se usa). Este identificador es generado por el servidor de Podemos, y el requerimiento de la integración es que sea siempre el mismo para el mismo usuario y elección (como se muestra en la imagen anterior). Existe una relación biunívoca y directa entre el id almacenado en AgoraVoting y la base de datos de usuarios de Podemos (que se evita por los protocolos mencionados anteriormente).
En la base de datos se almacenan datos que identifican al autor, no se ha hecho nada para anonimizarlo desde que el voto se emite. De hecho es un tema muy complicado y tiene su coste, por ejemplo que no se podría votar varias veces (debería asegurarse que se hace sólo una vez, complica más el sistema), o que los usuarios no podrían consultar a posteriori el hash de su voto porque al ser anónimo sería imposible saber cuál es de él (a menos que se usen protocolos de claves como el JCJ, o en este caso se deberían meter complejos sistemas de cifrado y firmas digitales -no sé si es posible, tengo la intuición que matemáticamente es imposible hacerlo si el voto se anonimiza completamente no almacenando la clave del votante-).
De nuevo, la excusa será que te debes fiar de AgoraVoting, de Podemos, de los poseedores de las claves, de métodos de shuffling, de sus admins, de que no hay bugs de seguridad (todos sabemos que esto es muy difícil :roll:), de que nadie les roba la base de datos (también, nunca ocurrió :roll:), etc. etc.
Insisto, si te fías de todo lo anterior… ¿para qué usar complicados sistemas de cifrado que claramente no lo entienden los propios técnicos involucrados ni ofrecen garantías?
Nota: Agrego para aclarar ya que por comentarios que fui muy terminante en este tema y quedaba como que era «demasiado fácil» (perdón) cuando los más importante son los puntos anteriores, que además con protocolos JCJ minimizan los problemas de anonimato. Además de los mencionados también se usan cifrado homomórfico, shuffling y claves de varias autoridades. Aún así existen otros problemas, como el «ataque italiano» y aislar completamente la autoridad del censo (en este caso Podemos) de los participantes (Podemos). Aunque ya es exagerado para este tipo de elecciones, y bastaba con evitar el cambio de claves de usuarios compartidas.
Reflexiones
No parece ser problema de nivel «político» de Podemos [*], creo que actuaron con buena fe, incluso sus responsables técnicos. Pero estos últimos no han sido lo suficientemente precavidos e indagadores con lo que usaron. O quizás necesiten simpatizantes con conocimientos que les echen una mano.
Desconozco las intenciones de Podemos y las garantías que deseaban sus candidatos, pero todo este sistema complejo de cifrado no ofrece ninguna garantía, el control del «tally» con claves públicas y privadas fue puro teatro. Si había confianza en toda la cadena de involucrados no hace falta ningún sistema criptografía, bastaba con que AgoraVoting diese los totales de su base de datos, técnicamente las garantías son las mismas, pero el sistema mucho más sencillo y sobre todo honesto. Se montó un gran teatro se seguridad, totalmente de ficción e innecesario. Una modernísima y llamativa puerta en el medio del campo.
—-
No soy un experto en cifrado, es un tema muy complejo, aunque lo estudié en mis cursos de doctorado y me mantengo relativamente actualizado de los avances en el campo (y aún así he tenido que estudiar bastante sólo para configura un servidor HTTS/TLS y que tenga categoría A+). Tampoco soy experto en voto electrónico, pero suelo leer la bibliografía y novedades, es muy interesante: está considerado un problema informático/matemático muy duro. Por eso, cuando leo titulares en prensa de «votos electrónicos que aseguran total fiabilidad y anonimato» se disparan todas mis alarmas escépticas. ¿Ninguno de los técnicos de Podemos y AgoraVoting se dio cuenta del problema? ¿Ninguno de los que conocen algo de cifrado y voto electrónico se interesó por conocer más del sistema que aseguraban ofrecía garantías de anonimato e integridad con tantos mecanismos de cifrado? ¿Somos tan crédulos y creemos en milagros de la ciencia? (pregunta retórica).
Hasta donde sé soy el único escribiendo sobre este caso, no es por ninguna manía sino porque es un tema que me interesa y me llamó la atención. ¿A nadie más le pasó lo mismo? ¿Acaso no estamos llenos de expertos en seguridad, cifrado y voto electrónico? (pregunta retórica).
Es muy difícil que el voto electrónico pueda ofrecer el mismo nivel de garantías que las papeletas. Quizás tampoco hace falta eso, es todo cuestión de un consenso social, hasta dónde estamos dispuestos a aceptar, y sobre todo los candidatos de las elecciones. Varios países lo están intentando desde hace años para sus elecciones generales, Estonia y Brasil entre ellos, pero es difícil dar confianza. Por ello lo hacen paulatinamente (ninguno de los dos llegan al 30% de votos emitidos electrónicamente), probando sistemas y aumentando la confianza a la vez que se mantiene el margen de error suficientemente bajo (por el menor porcentaje de votantes). Pero no es fácil.
Noruega acaba de abandonar sus plan piloto fundamentalmente por el desinterés político y social (no genera confianza y por lo tanto no genera interés). El ejército norteamericano abandonó su plan de voto electrónico para sus soldados en misiones en el exterior después de gastar 22 millones de dólares porque no confiaban en la tecnología desarrollada por Accenture (supongo que no ponen a becarios para trabajar para el ejército norteamericano). En EEUU hay continuos problemas con las urnas electrónicas (malos registros, escrutinios erróneos, problemas de seguridad). En Europa en general también hay un desinterés general sobre el tema, y bastante justificado.
El voto electrónico, su seguridad y garantías, es un tema social y técnico importante, ¿os parece razonable que se haya hablado, comentado y publicitado con tanta superficialidad? ¿que se haya engañado al público sobre las garantías reales de un sistema? ¿que sea mejor no opinar públicamente -estoy seguro que sí hay muchos que lo vieron- porque es mejor no meterse en líos? ¿Se tratarán así los temas de votos electrónicos? El día que se descubra manipulación de votos en unos de esos sistemas presuntamente tan seguros (sólo es cuestión de tiempo), ¿cómo se lo explicaremos a la sociedad?
Ni me quiero imaginar las burradas que leeremos y escucharemos.
Actualización: en comentarios de Eduardo Robles respondo punto por punto a sus respuestas por email (y que planteo en este apunte), también con fragmentos de mis preguntas y respuestas de los emails finales (fueron más de 20).
—-
[*] Tengo que insistir para que no me caigan [más] piedras de fanboys tan ofendidos como ignorantes, ni que se use periodísticamente este apunte para hacerme decir cosas que no dije ni tuve intención.
Ricardo Galli, de software 
Pingback: El voto electrónico y las elecciones de Podemos | Ricardo Galli, de software libre
Pues es raro. En el aspecto técnico de Podemos está el famoso hacker Pablo Soto, creador de Manolito. Un programa para compartir archivos gratuito y seguro.
Pingback: Las elecciones de Podemos, voto electrónico, y AgoraVoting (y 2)
Este post me parece un despropósito, en mi opinión Gallir sencillamente no ha entendido cómo funciona el sistema Agora Voting: El voto es SECRETO. Si, » Existe una relación biunívoca entre el id almacenado en AgoraVoting y la base de datos de usuarios de Podemos», pero eso no significa que el voto sea público, eso solo sirve para saber que un usuario ha votado (igual que en las votaciones oficiales del Estado se controla si alguien ha votado o no), pero el contenido del voto sigue siendo SECRETO porque está cifrado.
En serio, esta publicación de Gallir la veo sin pies ni cabeza. Debería estudiar cómo funciona Agora Voting antes de decir cosas tan enormemente erróneas y falsas…
@Félix Robles
En los dos enlaces que hay al final están mis respuestas:
https://www.meneame.net/c/15718426
https://www.meneame.net/c/15718345
De todas formas curioso como habláis del voto secreto (que no es igual a anónimo, y que tampoco es secreto), pero no decís nada de los otros cuatro puntos sobre manipulación de votos (insisto, está aquí con más detalle: https://www.meneame.net/c/15718426)
—-
Tampoco se ha dicho sólo lo que dices en el comentario, vamos a ver un ejemplo de lo que habéis dicho a la prensa (ya lo comenté en el apunte anterior):
http://www.eldiario.es/hojaderouter/internet/Podemos-votacion-seguridad-Pablo-Iglesias_0_318118945.html
«ha tomado todas las precauciones necesarias para que el proceso de elección de sus documentos organizativo, ético y político sea completamente seguro.»
Falso.
«El primero de esos procesos es asegurar que la persona que vota es quien dice ser y corre a cuenta de Podemos»
Falso, eso está explicado en el apunte anterior, el censo no lo asegura (ni AgoraVoting).
«es imposible que los votos se pierdan»
Falso
«Aún así, si descifraran juntas un voto, no sabrían a qué persona corresponde: tendrían que involucrar en su complot también a Podemos.»
Falso. Y luego se desmiente la afirmación que es SECRETO Y ANÓNIMO, es posible saberlo (que es obvio, se descifran al momento del tally para contarlos, y se tiene la información de quién votó en la base de datos (esto es el mayor error, que jode a lo demás, porque si no estuviera en la bbdd no habría peligro de romper el secretismo y anonimato del que votó).
«cuenta con todos los procedimientos de seguridad posibles.»
Falso.
«El ordenador o el móvil del votante es el punto más débil de la cadena»
Sí, es lo que digo, y no habéis tomado precauciones para ello.
«y si el aparato es vulnerado, el voto podría ser revelado a terceros o modificado.»
Sí, es lo que digo, pero también con vuestros servidores.
“Nosotros podemos controlar bien nuestros servidores»
Falso, se puede controlar mejor, pero no se puede asumir 100% de seguridad, no se tomó precauciones para este problema. Además, no se toman precauciones para un «malicioso» de la propia empresa/organización (se suele hace con auditorías, controles de acceso -incluso por hardware- y procedimientos de auditoria de accesos.
«nadie va a poder atacar las máquinas de todos y cada uno de los votantes»
Falso, podrían modificarse los javsxripts que se sirven, no hay control. O se puede usar vía otros caminos, como extensiones de navegador. Además, no hace falta para un ataque a gran escala lo más fácil es ir a los servidores.
«auditable y accesible de forma pública»
No se puede verificar/auditar que es el código que se ejecuta en el servidor, por lo que no tiene sentido dejarlo en «es público», podría ser otro.
«¿Es seguro? No menos que meter tu papeleta en una urna.»
Falso, y explicado en este apunte, y en el anterior.
—-
En serio, lo que veo sin pies ni cabeza son estas excusas cuando es [técnicamente] manipulable, y ahora os aferráis al valor del voto «secreto» cuando ni siquiera dije eso en todo el apunte (aunque sí, también lo es desde el servidor de AgoraVoting, o desde los scripts ya que se asumen que «nadie los modificará», por c*j*nes y ya está). Para que un voto sea secreto y anónimo no debe saberse qué votó al principio ni en cualquier otro momento, y ser incapaz de rastrear al autor.
Y OJO, no digo que todas hacen falta para estas elecciones en Podemos, ni de lejos, sólo que no hay que decir algo que no se cumple («todas las medidas», «imposible», «completamente seguro»). Y en todo caso las más importantes son la de manipulación de votos, stuffing y borrado (hasta la verificación del valor de voto individual no me parece tan importante si se asegura que no se puede cambiar por código con las claves disponibles en el servidor).
@Félix Robles
Y para que ni tengas que hacer clic, aquí una copia del comentario https://www.meneame.net/c/15718426, responde punto por punto.
——————————————-
> 1. Al momento que el votante es dirigido desde Podemos a Agora tenéis todas
> las claves para generar y almacenar un voto «válido». ¿Sí o no?
Si lo que estas preguntando es si Agora puede generar un voto de la
persona que es dirigida desde Podemos, la respuesta es que no puede
hacerlo sin que el votante pueda detectar el fraude. El sistema cumple
individual verifiability (punto 6.3.1).
Si te refieres por el contrario a que es posible ballot stuffing, y se
puede o no hacer según lo descrito en el punto 7.3.
> 2. ¿Es técnicamente posible[*] generar y almacenar un voto sin que el
> usuario haya interactuado después de haber establecido la conexión a
> agoravoting con las claves y url generados en el servidor de Podemos?
Si lo que estas preguntando es si Agora puede generar un voto de la
persona que es redirigida desde Podemos tras su participación, la
respuesta es no, no puede hacerlo sin que el votante pueda detectar el
fraude. De nuevo, el sistema cumple individual verifiability (punto
6.3.1).
Si te refieres por el contrario a que es posible ballot stuffing, y se
puede o no hacer según lo descrito en el punto 7.3.
> 3. ¿Es técnicamente posible[*] que un voto no se almacene aunque haya sido
> generado el hash y mostrado en la pantalla del usuario?
De nuevo, esto no es posible sin que el usuario lo pueda comprobar, el
sistema es individualmente verificable (punto 6.3.1).
> 4- ¿Es técnicamente posible[*] que en agoravoting se genere un y almacene un
> hash con un valor de voto diferente a la intención del usuario al hace clic
> sobre una opción?
Te puedo decir también que esta planificada, aunque no implementada,
una medida para lograr la verificabilidad «cast-as-intended» según lo
descrito en [1].
Espero que estas respuestas hayan servido para responder a tus preguntas.
———————————————
No, y las respuestas mías punto por punto:
1. El 6.3.1 dice: «Satisfied Provided by the cryptographic scheme. Depends on 5.2.1»
El 5.2.1 dice: 5.2.1 The voter trusts his/her voting device (computer/smartphone) to be operating
correctly (in particular, the device, OS, and browser are free of malicious software).
No sólo es una cadena tautológica, también es falso por incompleta, eso también se puede generar en los servidores de AgoraVoting.
El 7.3 dice: «Ruled out by conjunction 5.1.2 & 5.1.3. Stuffing is possible if the administrators (Registry or
Polling Station) are malicious.»
El 5.1.1 dice: The voter trusts his/her voting device (computer/smartphone) to be operating
correctly (in particular, the device, OS and browser are free of malicious software
El 5.1.3 dice: It is assumed that an attack that takes full control of the Registry/Polling Station is
detected.
No sólo que vuelven al tema de confiar en el ordenador de los usuarios, y dice que se evita si el ataque es detectado. Absurdo, no se puede asumir que el ataque es detectado a tiempo, ni que al detectarlo podrán reconocer todos los cambios y deshacerlos. Por otro lado, no sólo es por ataque, personal de AgoraVoting también lo puede hacer, y por eso se usan otros métodos y la monitorización continua que hay integridad de todo el software (cosa que tampoco hizo ÁgoraVoting).
2. El 6.3.1 … Depends on 5.2.1
Vuelve a hacer referencia al 5.2.1, ya explicado en el punto anterior.
3. De nuevo 6.3.1, como en los dos puntos anteriores.
4. Pues no está implementado. Nada más que decir.
Resumen
– Se justifican en que confían en los ordenadores de los usuarios, cosa que es lo menos fiable y conrtrolable de todo el sistema. Ya lo expliqué en el apunte, estas respuestas no contradicen en nada lo escrito.
– En varios puntos se olvidan de otro punto posible de alteración, y cuando lo mencionan asumen que el ataque será detectado (lo cuál no puede asegurarse) y que puede remediarse luego de detectado (lo cual tampoco puede asegurase).
– Asumen que no se detectan si los administradores son «malicious», lo mismo que digo en el apunte y que el cifrado debería asegurar. Además, atacantes externo también entra en la misma categoría, y podrían no ser detectados durante el periodo de elecciones.
Es decir, se basan en premisas falsas e incompletas para decir que se satisfacen requerimientos fuertes. Tampoco se menciona de la posibilidad que el código javascript se modifiqué en el camino, o en las cachés que usan. Y esto ya ni lo cubre la «confianza en el equipo del usuario».
Insisto: todo un teatro de afirmaciones que no se sostienen, pero sirven para liar y confundir al no experto.
Yo soy informático, pero no estoy familiarizado con temas criptográficos y no hubiera detectado todo esto ni de coña. Por tanto, al 95% restante de la población se la hubieran colado por toda la escuadra.
Uno de los problemas fundamentales del voto electrónico es que, aun cuando consiguiésemos que todo funcionase, al final sólo habría una élite que entendería el sistema. Y el resto de gente debería confiar ciegamente en que esa élite no se haya equivocado, o que no tenga dobles intenciones. En cambio, el voto tradicional lo puede auditar cualquiera que sepa contar: al final de la jornada electoral te quedas a ver el recuento, y te aseguras de que las papeletas se cuentan bien. A partir de ahí, es sumar resultados parciales y comprobar que se ha hecho bien, algo al alcance de cualquiera.
Si con el voto electrónico tienes que sólo un 1-2% de la población puede auditar el sistema, con el voto tradicional puede hacerlo el 99%. Y eso es difícil de superar. ¿Vale la pena semejante retroceso en transparencia, sólo por una pequeña mejora en comodidad y poder votar desde la tablet? Yo creo que no.
Ahí puedes llevar cierta razón Jesús, en temas de voto electrónico, la sociedad tiene que confiar en una serie de expertos. Pero en cuanto a una pequeña mejora en comodidad…. ahí no, no es una pequeña mejora, no solo es mas cómodo, será para la gente que esté cerca de su colegio electoral, con el día libre y con sus capacidades no limitadas, para otras personas puede ser la diferencia entre votar o no, por no hablar del desembolso de unas elecciones tradicionales, bajar el impacto de elecciones en la vida diaria, en una democracia liquida o participativa, en la que se vote más de 1 vez cada 4 años, la comodidad, y sobretodo el ahorro en cada votación puede ser muy importante. Eso sí, si pensamos votar cada 4 años solo, quizás como esta está bien.
Incluso el sistema actual es mejorable, te propongo otro, cada ciudadano podría hacer una señal en la papeleta que solo él conoce. El recuento se hace delante de todos los ciudadanos que han votado en cada colegio, de manera que cada ciudadano individualmente se asegura que su voto se contabiliza y es correcto. Eso sí, a cambio de este sistema mega-ultra auditable por cada ciudadano, se perdería en comodidad no?
PD:Sí, lo que te propongo es una idiotez, pero es que mi especialidad es llevar las cosas al absurdo, 😉
Pues yo no soy informático pero sí ví muchas sombras en todo el proceso. Pero ves y explícaselo sin ser experto en la materia, si comentas que no hay garantía en que el código sea el que dicen que es, tando del lado del cliente como del lado del servidor, sin contar con el problema del censo, y no sirve de nada… Faltaba que alguien como @gallir se pronunciara. Menos mal, aunque algunos preferirán seguir montando el burro y no caerse. Ande o no ande, caballo grande (o puerta roja con un gran pomo brillante).
Las elecciones se hacen en domingo, por lo que todo el mundo tiene el día libre. Y el que no lo tenga, por ley tiene permiso para ir a votar, faltaría más. Para la gente que no se puede (o quiere) desplazar está el voto por correo.
Al final, parece que las motivaciones del voto electrónico son que sea más cómodo y más barato. Que están muy bien, pero si son a costa de perder la transparencia del proceso, creo que no valen la pena.
El sistema que propones no aporta nada al sistema actual (salvo mayor incomodidad 🙂 ). Ya se audita, en el momento de votar y con el DNI, que quien vota es quien dice ser, y lo certifican tanto los miembros de la mesa como los interventores y cualquiera que pase por ahí. A la hora del recuento ya está certificada la identidad de los votantes, por lo que si no se han manipulado las urnas (que también es comprobable por cualquiera) no hace falta volver a hacer la comprobación.
Repito el comentario que hice en la anterior entrada:
«1. ¿Cómo se garantiza que el votante no pueda ser identificado (y crear estadísiticas de sus tendencias de voto), ya sea a través de cookies, ip, hash generado…?
2. ¿Cómo se garantiza que los administradores de la herramienta que tienen acceso a la base de datos no usen esa información para facilitar la labor de seguimiento de los militantes por parte de un núcleo duro de Podemos?
Fui participante del 15M y Podemos, en su estructura, me despierta sospechas… algunas veces me resulta una ilusión de proceso participativo con las cartas marcadas.»
@FelixRobles para parafrasear una conocida politica imputada:»Manolete, si no sabes torear…para que te metes»
@telekitoo en Suiza, que tiene hasta ahora la mas extendida experiencia en Democracia Directa (1848), se vota varias veces en un mismo año…y para eso desde el principio usaron…el correo de toda la vida…y a día de hoy lo siguen haciendo. Es el mas sencillo de lis sistemas
¿Qué opinas de una solución de votación basada en tecnología de validación en cadena tipo Bitcoin como esta http://www.bitcongress.org/? Saludos
Pingback: Causas y azares 39 - Error 500
Pingback: La civilización y los pimientos - Dronte