Votul electronic la distanță (i-voting) este văzut ca una din soluții pentru problemele votului în diaspora românească. Încurajator în acest sens este că 24 procente din voturile înregistrate la alegerile parlamentare din 2011 într-o altă democrație europeană cam la fel de tânără, Estonia, au fost exprimate electronic de pe calculatoarele și telefoanele cetățenilor. În ciuda criticilor experților internaționali, autoritatea electorală a Estoniei susține că votul electronic e mai sigur decât cel pe hârtie. S-au făcut estimări în legătură cu timpul economisit prin evitarea manipulării pe hârtie a acestor voturi, iar economiile de bani sunt estimate la jumătate de milion de euro, pentru o țară cu un milion de votanți.
Există argumente covârșitoare împotriva votului electronic, până și a votului numărat de calculatoare în secții de votare clasice. Mărturisesc că eu insumi eram total împotriva votului electronic. Ceea ce m-a convins a fost raportul OSCE despre alegerile din Estonia.
Cum au încredere cetățenii și politicienii estonieni într-un asftel de sistem? Cum a răspuns Estonia problemelor binecunoscute ale votului electornic și votului la distanță?
Să examinăm întâi aceste probleme, exprimate prin vocea unei legende a IT-ului si a luptei pentru libertate, Richard Stallman. Voi detalia apoi cum răspunde Estonia acestor provocări, după care voi face considerații despre aplicabilitatea votului electronic la distanta în România și diaspora.
I. Verificabilitate: oare listele suplimentare trec testul cerut votului electronic?
Părerea lui Richard Stallman despre votul electronic nu poate fi ignorată. El știe ce înseamnă îngrădirea libertății prin folosirea tehnologiei: în 1983 la începuturile industriei software, firmele de software țineau la secret codul sursă (textul scris de programator, secret și acum în multe cazuri) iar Stallman a văzut în asta o limitare a libertății, deoarece un programator, oricât de bun, nu putea să îmbunătățească un soft, ci trebuia să-l scrie de la zero. Ideea lui Stallman a fost să facă o versiune liberă a celor mai importante programe, codul sursă e public nu numai la aceste programe ci și la toate softurile derivate din ele. Impactul acestei filozofii e uriaș astăzi: printre multe alte softuri libere, sistemul liber Linux, care rulează pe calculatoare personale, pe serverele celor mai puternice companii, cum ar fi Facebook, Amazon, Twitter, etc, și stând la baza sistemului Android folosit pe milioane de telefoane inteligente. Totul mulțumită idealurilor de libertate ale lui Richard Stallman! Softul liber mai are o calitate: e mai sigur la atacurile hackerilor pentru că codul fiind public, problemele de securitate pot fi găsite de cei ce-l examinează, sau odată ce apare o problemă, poate fi reparată rapid de către comunitatea de programatori voluntari.
Cu o asemenea înțelegere a tehnologiilor informației și impactul ei în societate, care a determinat un astfel de efect la nivel mondial, ne-am aștepta ca Stallman să fie entuziast în legătură cu votul electronic, cel puțin dacă ar fi facilitat de soft liber. Nu e deloc așa: el susține că votul electronic poate duce la limitarea libertăților cetățenești. Adică niște oameni puternici, să zicem guvernul sau serviciile secrete, ne pot fura la alegeri manipulând sistemul electornic de vot.
Principiul binecunoscut la care el face referire este: orice sistem de votare trebuie să fie ușor verificabil de toate părțile implicate. De aceea în sistemele tradiționale de vot urnele sunt la vedere, identitatea votantului e verificată încrucișat, faptul că votantul poate vota o singură dată e deasemenea verificat de către reprezentanți ai tuturor celor implicați, plus observatori independenți. Voturile pot fi numărate în fața celor implicați, pot fi trimise și renumărate la nivele ierarhic superioare, unde de asemenea partidele implicate au reprezentanți. Rezultatele raportate de o secție de votare au sacii cu voturi ca bază de susținere și eventuală re-verificare. Rezultatele locale se afișează public, putând fi comparate cu rezultatele prelucrate la nivele superioare.
Trebuie spus că nu orice proces de vot pe hârtie e verificabil. Spre exemplu lista suplimentară de la alegerile din România încalcă flagrant principiul verificabilității. E departe de a putea fi examinată ușor de către cei prezenți pentru că verificarea votului multiplu pe lista suplimentară presupune în primul rând verificări în altă parte, adică nu la locul faptei! Apoi, presupune verificări laborioase: fiecare poziție de pe lista suplimentară trebuie comparată cu fiecare altă poziție de pe listele suplimentare și cu fiecare poziție de pe listele permanente… Sunt sute de milioane de verificări și dacă ar fi sa fie făcute cu un calculator, el trebuie la rândul lui să fie verificabil de către toate părțile implicate. Nu zic că e imposibil, dar nu e așa simplu cum pare. În general, orice sistem care pare simplu de conceput (cum e însuși votul online, foarte simplu: login, click pe candidat, logout) devine mult mai complicat dacă luăm în considerare principiul verificabilității.
Odată ce se introduc în procesul de votare alte medii decât hârtia, principiul verificabilității încrucișate nu mai e atât ușor de satisfăcut. Critica lui Stallman este în esență că softurile și rețelele nu pot fi verificate încrucișat în timp real, chiar dacă softul folosit ar fi liber! Dacă nu e liber, firma care îl produce poate avea o înțelegere sau afinitate cu politicieni (cum se pare ca s-a intamplat la noi cu softuri legate de procesul de votare). Softul și rețelele pot fi verificate înainte de vot, dar nimeni nu poate garanta că ceea ce s-a verificat ieri nu a fost modificat între timp. Cetățeanul însuși nu-și poate verifica votul, e posibil să voteze A, sistemul îi confirmă că a votat A, dar înregistrează un vot pentru B… Aceste critici sunt de ajuns ca să demoleze ideea votului cu numărare electronică, în secții de vot tradiționale. La sistemele online, calculatorul sau telefonul folosit acasă de cetățean poate fi atacat de un virus electoral, sau rețeaua folosită poate fi compromisă, cetățeanul se poate conecta la un sistem de vot fals, care apoi votează în numele lui, etc. Ca la orice sistem de vot la distanță, rămân problemele legate de identificarea votantului, și de libertatea votului exercitat departe de orice observator sau reprezentant al unui partid.
Un alt principiu e că toți cei implicați în procesul de votare trebuie să fie egali. Cu alte cuvinte partidul aflat la guvernare trebuie să fie egal cu celelalte, dar și un observator din secția de votare trebuie să aibă aceleași drepturi ca reprezentantul partidului la guvernare. În secția de votare, și de-a lungul și de-a latul procesului electoral, trebuie să existe ”consens” că totul e în regulă. În cazul votului electronic, cei ce achiziționează și administrează sistemul (de exemplu guvernul unui partid) pot avea un avantaj inechitabil.
II. Hartia ca forma ultima de control
Înainte să discutăm în detaliu despre i-voting, care e o formă de vot electronic relevantă pentru rezolvarea marilor probleme ale votului în diaspora, e interesant de observat că multe din sistemele electronice de votare la secție (deci nu la distanță) produc voturi fizice pe hârtie sau pe alt suport care, în caz că vreo parte implicată nu are încredere, pot fi verificate manual. Variantele timpurii de astfel de sisteme se bazează pe perforarea hârtiei de către votant, sistemul urmând să detecteze în dreptul cărui candidat se află orificiul. Deci în acest caz, sistemele electronice ajută procesul, dar pot fi înlocuite de numărători manuale organizate astfel încât să fie posibil de efectuat într-un interval de timp rezonabil de grupuri mici de oameni care se verifică reciproc. Un binecunoscut astfel de caz este renumărarea din statul Florida la alegerile prezidențiale din 2000 când George W Bush a câștigat la o diferență foarte mică. De notat aici și confuzia creată de așezarea candidaților pe buletinul de vot din Palm Beach County (la mijloc se văd perforațiile pentru numărarea electronică, apoi au fost numărate și manual). Fiind un fief democrat, mulți alegători de acolo erau așteptați să voteze cu Al Gore dar se presupune că au votat din greșeală cu Pat Buchanan (el însuși a recunoscut asta).
Lipsa voturilor de hârtie și dificultatea verificării de către cetățean a erorilor software stau la baza unei hotărâri de neconstituționalitate pronunțate de Curtea Constituțională Federală a Germaniei în 2009, declarând în același timp neconstituționale câteva runde de alegeri precedente! Principiul enunțat este că ”determinarea rezultatului trebuie să poate fi examinată în mod sigur de către cetățean, fără cunoștințe de specialitate”, ceea ce e o variantă destul de strictă a principiului verificabilității. Se spune clar că nu e suficient ca voturile să fie stocate doar în memoria electronică, și că modul de stocare a voturilor trebuie să permită renumărarea. Chiar dacă mașinile de vot cu stocare electronică directă (DRE) au multe avantaje (interfața utilizator în mai multe limbi care evită tipărirea de buletine de vot special în acele limbi, accesibilitate pentru persoane cu dizabilități, inclusiv posibilitatea de vot pentru orbi prin căști audio, etc), e clar că nu mai au ce căuta în Germania, în ciuda fiabilității confirmate de milioanele de voturi înregistrate fără probleme pe respectivul tip de mașină, în multe țări. Ca să nu mai vorbim de i-voting.
Un caz interesant este și recentul vot electronic din Namibia. Cu toate că votul în sine e electronic, evitarea votului multiplu se face cu cerneală aplicată pe deget, care nu se șterge decât după câteva zile. Apoi votanții, mulți din ei analfabeți, intră în cabină și votează prin apăsarea unui buton cu imaginea unui candidat. Guvernul a promis rezultatele în 24 de ore, dar a durat o săptămână. Opoziția s-a plans de lipsa voturilor pe suport fizic (paper trail) și deci imposibilitatea renumărării (aceeași problemă ca în Germania). Ce e inedit aici e folosirea unei metode relativ sofisticate pentru votul în sine, combinată cu folosirea unei metode arhaice pentru identificarea votantului și evitarea votului multiplu (folosită și în India). Mai bine zis, evitarea votului multiplu fără identificarea votantului.
III. Exemplul Estoniei: deci, se poate!
Părerea generală e că nu putem vota fără hârtie la secția de votare, chiar dacă accelerăm procesul folosind sisteme electronice. Atunci cum reușește Estonia să organizeze vot electronic la distanță (i-voting)? Am examinat raportul OSCE pentru alegerile parlamentare din 2011. Implicarea OSCE, de care ne amintim că observa alegerile din tânăra noastră democrație în anii 90, nu e cu nimic neașteptată. OSCE a scris un raport mai degrabă pozitiv în legătură cu partea de i-voting, dar a semnalat niște probleme, mai ales la documentarea operațiunilor de pregătire și întreținere a sistemelor centrale de vot. Dar să vedem cum încearcă Estonia să rezolve problemele votului electronic la distanță, pe tot traseul de la cetățean la numărătoarea voturilor.
Identificarea votantului și evitarea votului multiplu se face, în loc de cerneală ca în Namibia, cu un card conținând un certificat digital. Certificatul e citit de calculator de obicei printr-un cititor conectat pe USB. Când utilizatorul face login, tastează și un cod PIN. Această metodă de identificare e folosită în toată lumea în relația cu bănci, autorități fiscale, case de asigurări sociale, etc. În unele țări cetățeanul are un card pentru fiecare astfel de servicii, dar Estonia este lider mondial în domeniul cărților de identitate electronice, și cetățeanul folosește identitatea sa electronică pentru contactul cu statul și cu orice altă entitate. Sigur că există alternative mai sigure de identificare (poate folosirea cititoarelor de amprente), dar cardul cu certificat digital este un mod de identificare considerat suficient de sigur de multe state și bănci din lume. Este, după părerea mea, un mod mult mai sigur de identificare decât cele aplicate la votul prin corespondență (bazat pe certificat electoral pe hârtie sau martori). De asemenea, această identificare folosește certificatul digital al cetățeanului pentru a cripta comunicarea cu serverul de vot. Legătura dintre calculatorul cetățeanului și server e considerată sigură, ca dovadă că nu a fost atacată de experții în domeniu.
Unul din cele două atacuri organizate de cercetători din toată lumea asupra sistemului de vot din Estonia vizează chiar sistemul de identificare. Ideea e că un virus (malware) instalat pe calculator interceptează codul PIN al votantului prin urmărirea apăsărilor de taste, iar data viitoare când utilizatorul citește certificatul digital de pe card (de exemplu pentru a se conecta la o bancă), virusul folosește certificatul și PINul pentru a vota.
Aș avea două remarci aici. Prima e că poate ar fi mult mai lucrativ pentru respectivul virus să se conecteze la bancă în loc, și să transfere o sumă mică într-un cont bancar. A doua (și spun asta în calitate de cercetător) e că cercetătorii din asta trăiesc: din a convinge societatea că are nevoie de cercetarea lor. Cred că sistemul din Estonia e o mană cerească pentru cercetătorii în criptografie și securitate. Nu spun că nu ar avea dreptate, atacurile de care vorbesc ei sunt foarte posibile, dar sunt la fel de posibile și pentru conectarea la bănci, etc. Or acest sistem se folosește în multe țări de ani buni (cel puțin cinci), fără ca cetățenii să protesteze, să se plângă că banii le-au fost luat cu ajutorul virușilor, sau să ceară contact cu băncile exclusiv la ghișeu. În plus, există cititoare de card cu taste incluse, unde acest tip de atac cade (sigur că sunt posibile altele).
Libertatea votului e o problemă la votul la distanță. Estonia are aici două răspunsuri. În primul rând, votul electronic poate fi repetat de oricâte ori, după ce persoana care a constrâns votantul a plecat (că doar trebuie să forțeze și pe alții ca să fie eficient). Asta elimină și votul multiplu, pentru că votul nou îl înlocuiește pe cel vechi, deci rămâne un singur vot. În al doilea rând, votul electronic e anticipat, și se închide cu câteva zile înainte de scrutin. Asta înseamnă că votantul, chiar dacă a fost forțat să voteze într-un anumit fel, poate merge la cabina de vot în ziua scrutinului și să voteze cu cine dorește. Din nou, cred că votul electronic stă mult mai bine decât votul prin corespondență și la acest aspect.
IV. Afara cu Guvernul din procedura de verificare!
Cum stăm cu verificabilitatea votului de către toate părțile implicate? În ce privește verificarea votului de către cetățean, sistemul din Estonia oferă un cod QR afișat pe ecran, care poate fi fotografiat cu telefonul mobil și care reprezintă votul cetățeanului așa cum e înregistrat de sistem. Cetățeanul îl poate verifica oricând și vede de asemenea când e luat în considerare la numătoare.
În ce privește identificarea votanților de către părțile implicate, stăm prost, pentru că votul se face acasă sau oriunde dorește alegătorul. Dar tipul de identificare electronică folosit e general acceptat în societățile avansate, de ce ar mai trebui verificat pentru vot? Odată ce votul ajuns la server, printr-un canal de comunicare criptat, marele avantaj e că trebuie verificat un singur sistem, sistemul de servere. Se poate mult mai rău, de exemplu la recentele alegeri din Moldova a existat un sistem de prevenire a votului multiplu care consta dintr-un calculator prevăzut de stat în fiecare secție de votare. O mare parte din aceste sisteme nu au funcționat cel puțin jumătate din zi, ceea ce subminează întreaga idee. Dar dincolo de asta, ce s-ar fi întâmplat dacă un partid cerea verificarea hardware și software a tuturor acestor calculatoare?
Cum se verifică sistemul central de colectare și numărare a voturilor în Estonia? Codul sursă a sistemului este public. Oricine poate verifica că sistemul face ceea ce trebuie să facă, deci siguranța sistemului profită de publicarea softului exact ca la softul liber. Dar Stallman a indicat pericolul ca nu sistemul verificat să fie rulat, ci o variantă modificată pe ascuns. Ca răspuns, totul e instalat de la zero pe un calculator ”gol” în prezența observatorilor OSCE, începând de la sistemul de operare Linux până la sistemul de vot. Toate operațiunile de configurare, conectare la Internet, execuție și întreținere efectuate cu acest sistem sunt documentate în scris și video. Deci chiar dacă nu există o urma pe hartie a voturilor , există ”paper and video trail” a operațiunilor efectuate, folosind softuri cu cod sursă public (sistemul de operare, sistemul de vot, softul de baza de date, etc). Sigur, vorbim despre pionierat în verificarea sistemelor de vot electronic online, și procedurile nu sunt perfecte. Ușor comic, OSCE a remarcat că uneori camera video nu a filmat ce trebuia. Cercetătorii în securitate au remarcat că cineva a instalat unul din softuri de pe un CD scos dintr-un rucsac, fără suficiente verificări ale CDului. Dar atacul la server (al doilea punct slab găsit de cercetători), chiar dacă pare un mare risc, e relativ ușor de prevenit, pentru că există un singur sistem central.
În privința posibilei inegalități dintre părțile implicate, sistemul din Estonia e rulat de autoritatea electorală, nu de guvern. Identitatea specialiștilor care urmează să lucreze cu sistemul este păstrată secret. E clar că, și în ce privește factorul uman, verificarea trebuie făcută asupra unui număr limitat de persoane, care administrează un singur sistem. Dacă serviciile secrete ale statului funcționează în interesul cetățeanului, nu al partidelor, verificarea integrității acestui număr limitat de persoane nu poate fi o problemă.
Multe din aceste avantaje decurg din faptul că sistemul este centralizat. Acesta este firește și un dezavantaj, dacă centrul cade, cade tot sistemul. Mai mult, sistemul e dependent de rețelele de comunicație pentru ca cetățenii să se poată conecta la acel sistem central. Internetul Estoniei a fost atacat masiv în 2007 de către hackeri ruși, dar estonienii și-au revenit și și-au întărit rețelele. În orice caz, dacă un atac la server sau la rețea are loc în timpul votării, votul clasic pe hârtie există oricum ca soluție de rezervă peste câteva zile.
Chiar dacă votul electronic nu a crescut prezența la vot în Estonia, eu cred că este un model extraordinar. Dacă obstacolele puse de criteriile de verificabilitate în fața votului electronic păreau insurmontabile, eu cred că această mică nație s-a descurcat mai mult decât onorabil și după nouă ani de la primul vot electronic la distanță (2005) și treisprezece ani de la primul test pilot, nu am auzit de proteste ale cetățenilor. Dincolo de toate posibilele pericole, important e ce vrea societatea, angajamentele pe care și le iau ca națiune, pentru îndeplinirea cărora trec cu curaj peste riscurile semnalate de sceptici. E clar că estonienii sunt mândri de e-government-ul lor, de talentele lor IT. Iar votul electronic e parte din acest context mai larg. Faptul că de ani de zile se conectează electronic la bănci și autorități nu poate decât să ajute.
V. Ce solutie fezabila si constitutionala pentru Romania?
Poate un astfel de sistem să fie aplicat în România?
E clar că în primul rând e nevoie de vot anticipat pentru că votul electronic la distanță în ziua votului este prea riscant în privința libertății votului dar și a atacurilor cibernetice. E important ca în ziua scrutinului votul electronic să se fi terminat. În funcție de cât de bine a funcționat, și cât de liber a fost, cetățenii pot decide dacă să meargă la urnele fizice sau ba. O întrebare importantă este dacă votul electronic la distanță (sau chiar cel anticipat!) este sau nu constituțional, să nu ne trezim ca în Germania că nu putem vota fără ”paper trail”, sau în afara zilei scrutinului, sau la distanță, etc.
Presupunând că votul electronic la distanță este constituțional, pentru identificarea cetățeanului este posibila eliberarea de carduri cu certificat digital pentru cetățenii care doresc să voteze electronic, dar orizontul de timp e greu de estimat. Pentru a avea efect în diaspora, vorbim de milioane (!) de carduri. Există multe soluții. În Suedia, băncile, autoritatea fiscală și casa de asigurări sociale au căzut de acord cu stocarea certificatului digital al persoanelor pe cardurile eliberate de bănci, probabil pentru că identificarea electronică la distanță la bancă este necesară cel mai frecvent. În Estonia e invers, cardul e eliberat de stat și folosit atât în relația cu statul cât și la bancă și în alte contexte.
La nivel central, e clar că BEC-ul trebuie să se pregătească cu specialiști IT, pentru că, pentru a respecta principiul echitabilității, ei ar rula sistemul de servere. În ce privește softul, sistemul estonian pare suficient de simplu ca, la talentul IT care există în România, să nu fie o problemă. Se poate adapta sistemul estonian (dacă licența cu care a fost publicat codul sursă permite asta) sau se poate crea unul de la zero. În câteva luni e gata (statul poate lansa un concurs și alege pe cel mai bun) și apoi poate fi testat verificat de către zecile de mii de specialiști IT din țară și de milioanele de specialiști din străinătate. În loc să verificăm fiecare secție de votare cu vreo zece perechi de ochi, putem verifica un singur sistem de către mii de specialiști interesați.
Ar fi suficient sistemul de vot electronic la distanță pentru creșterea participării la vot în diaspora și în țară sau va trebuie completat de votul anticipat la secția de votare sau votul prin corespondență?
Personal cred că votul electronic ca singură formă de vot anticipat la distanță nu e suficient, și s-ar putea să fie considerat discriminatoriu.
El trebuie deci completat ori cu vot anticipat la distanță la localuri oficiale de vot anticipat (o soluție scumpă pentru stat), ori cu vot anticipat prin corespondență (eventual cu identificare electronică a votantului).
Dar înainte de toate, ca în Estonia, trebuie să vrem noi ca societate, indiferent ce spun scepticii din toată lumea. Cea mai mare problema este, cred, numărul mare de votanți care nu se conectează regulat pe internet la autorități sau la bănci. Acestia cu greu vor avea încredere într-un sistem pe care nu l-au practicat vreodată.
Nota @Cetatean: acest tip de votanti vor fi mereu usor de convins ca „alegerile au fost fraudate in diaspora„. Asta sustinea pana mai ieri Ponta despre votul din diaspora din 2009. Cred ca lectia administrata in 16 noiembrie l-a facut sa isi inghita limba.
Imaginati-va insa ce ar zice daca (aproape) toata diaspora ar putea vota!
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Domnule Cetatean,
Vreau in primul rand sa va multumesc pentru seria de articole referitoare la sistemele de vot pe care le-ati publicat.
Evident ca ati depus un volum de munca de documentare impresionant, care este apreciat pe masura.
Cred ca ati adus in articolul asta destule argumente sa convingeti pana si un sceptic ca mine.
Cred ca noile tehnologii or sa aduca si mai multa robustete sistemului de vot, cum ar fi scanerele de iris sau cititoarele de amprenta. Nici macar nu ar mai fi nevoie de vreun card. E de ajuns data biometrica si un pin, pentru ca vreun nou infractor ar putea gasi un mijloc sa falsifice datele biometrice.
Scepticismul meu continua sa persiste in privinta implementarii unui astfel de sistem foarte curand in Romania, insa stiti vorba ceea, picatura cu picatura umpla lacul.
Avantajul Romaniei este ca are un sistem de vot atat de invechit, inca cu stampila pe buletinul de vot, incat noile tehnologii pot fi implementate relativ usor. Nu inlocuiesc nimic.
As fi multumit la urmatoarele alegeri sa nu pierd vremea cu copierea datelor de identificare ci doar sa pun un deget pe un scaner, sa fac un swipe al unui act de identitate dupa care sa primesc un buletin de vot si sa merg la cabina… Insa si mai multumit as fi cu un vot prin corespondenta anticipat cum ii spuneti si cel mai multumit cu un vot electronic sigur.
Buna seara! :) Trebuie sa adresati multumirile Dvs celor 3 comentatori care au scris pe blogul Politeia si pe care eu doar i-am gazduit: @Stefan (Italia), DanSu (Romania) si @Cristian Bogdan (diaspora). Ei au scris articolele despre votul prin corespondenta, votul anticipat si votul electronic si prpblemele lui.
Platforma Politeia (infiintata de regretatul @Theophyle si acum gestionata de mine) doar i-a gazduit pe cei 3 bravi comentatori. De altfel, am semnalat de fiecare data ca articolele sunt „redactate de…”. Eu le public cu mici interventii editoriale. Meritul e al lor!
Articolele scrise de mine sunt fara mentiunea „Redactat de…”.
Exemplu: http://www.contributors.ro/editorial/a-fost-cu-premeditare-si-cu-directiva-de-sus/ sau http://www.contributors.ro/editorial/si-poporul-a-decis-ponta-dastul/
Multumesc pentru lectura, trasmit felicitarile Dvs comentatorilor :)
Multumesc pentru articol. Cum si eu am abordat problema deunazi pe aceeasi platforma, fara insa sa ma aplec asupra posibilitatilor concrete de implementare, ma voi referi doar la cateva aspecte
– am sustinut si eu ca softul trebuie sa fie neaparat open-source, din motive evidente. Fiind open source, poate fi rulat si pe mai multe servere, de exemplu ale principalelor partide, observatori etc. Nu e foarte complicat ca procesul efectiv de votare sa se produca pe toate aceste servere, eventual separand partea de identificare – care e mai delicata si mai greu de „externalizat” – de partea de inregistrare a votului. Aceasta ar exclude fraudele ” de soft”. Sigur ca unele pachete se mai pierd intre servere, dar daca numaratoarea difera cu 3-4 voturi e ok.
– mersul la sectie mi se pare un ritual al comunitatii care merita pastrat. Dar nu se va supara nimeni daca CI-ul meu va fi scanat si introdus intr-un sistem centralizat, chiar daca votez pe hartie.
– Forta votului „pe hartie” e descentralizarea. Poti fura o urna, dar nu pe toate. Modelul poate fi implementat si electronic, intr-un sistem distribuit e greu sa compromiti toate nodurile, iar suma se poate verifica oricand.
-Problema votului in USA este ca sistemul a fost gandit mai degraba pentru eficienta votarii si a numararii decat pentru impiedicarea fraudelor. Daca gandim un sistem de la inceput pentru impiedicarea fraudelor, se poate face.
Link-ul asta n-a aparut in text. Sunt probleme multe, dar nu sunt imosibil de rezolvat.
https://www.verifiedvoting.org/report-on-the-estonian-internet-voting-system-2/
Cred ca un sistem distribuit ar fi mai greu verificabil.. Verificabilitatea e prima prioritate. Odata ce principiul e satisfacut, se pot descoperi posibilitati de atac, etc.
Ar fi si mai greu de atacat, dar cred ca singura problema sunt atacurile nedetectate. Un atac la server ar fi foarte greu sa treaca neobservat. Daca se detecteaza un atac masiv la server, BEC, care ruleaza sistemul, poate sa opreasca toata procedura si mergem la sectia de votare…
Mi-e neclar. La inceput se vorbeste de riscuri si de critica lui Stallman despre verificabilitate de catre toate partile. Dupa aceea sa da exemplul Estoniei drept un exemplu de succes, desi mi se pare ca ignora multe dintre riscurile expuse la inceput:
– identificarea alegatorului cu un card digital este buna la bancomat, ca acolo te protejezi de hoti, nu de banca insasi. La alegeri insa, trebuie sa verifici ca insusi sistemul nu te fura. Securitatea cardului digital este inutila in privinta asta.
– verificarea softului cu calculator gol, CD instalat de la zero, este o gluma. Nu poti verifica de unde vine calculatorul care a ars CD-ul, ce software avea instalat pe calculator, si de unde vine CD-ul cu care s-a instalat calculatorul care a ars CD-ul, si tot asa inapoi.
Asadar, eu zic ca critica lui Stallman ramane valida. In plus, mi se pare ca s-au neglijat cateva aspecte fundamentale:
– secretul votului: din moment ce votul este criptat cu cheia utilizatorului, se poate sti ce a votat o persoana anume (sau, daca cheile sunt generate si date oamenilor in mod aleator, nu se poate mai sti daca voteaza chiar persoana in cauza sau altcineva). De observat ca la bancomat banca stie ce operatiuni faci, dar la alegeri sistemul nu trebuie sa stie ce ai ales. E ca si cum ai incerca sa faci operatiuni bancare fara ca banca sa stie ce operatiuni ai ales. E cam greu, cerintele se bat cap in cap…
– nu e clar cum se asigura renumararea voturilor in Estonia.
Eu zic ca informatizarea votului complica problemele. La alegerile pe hartie, problemele sunt in fond de logistica: daca ai suficienti oameni cinstiti pentru toate sectiile, le poti controla usor. La alegerile cu sistem informatic, problemele de logistica se transforma in probleme avansate de informatica si criptografie, pe care 0.1% le inteleg si 0.00001% au timp sa le verifice.
In plus, ca sa furi un milion de voturi pe hartie necesita multe resurse, chiar daca esti la putere si tu le-ai organizat; ca sa furi un milion de voturi electronice necesita doar un clic, odata ce ai o portita sau exploit corespunzator. Riscurile sunt enorme. Daca un presedinte de sectie il lasa pe Dragnea insusi liber in sectie, cat se poate oare fura – una-doua mii de voturi. Dar daca un presedinte de sectie lasa acces liber unui hacker la calculatorul conectat la sistem, exista riscul de a vulnerabiliza intreg sistemul.
Hai sa rezolvam problemele simple de logistica printr-o mai buna organizare. Acum, problema securitatii si verificarii este practic open-source, accesibila oricarui cetatean, dar prin votul electronic ea devine practic closed-source, accesibila doar pentru cei cu cunostinte avansate de IT si matematica. Nu e un trend bun, e invers fata de cum ar trebui sa fie.
@Kinn
Sigur ca orice om de meserie poate gasi multe probleme potentiale. Dar va rog sa observati ca sistemul a fost verificat de OSCE si de cercetatori in computer security care au montat doar doua atacuri, ambele destul de irelevante (cardul acasa e folosit fara probleme de milioane de oameni in toata europa, iar atacul la hardware-ul serverului presupune posibilitati de infiltrare la BEC etc)
– din cate stiu producatorii de hardware au responsabilitatea firmware-ului si BIOS-ulu, etci. Plus ca poate fi ales un hardware la intamplare in ziua instalarii
– verificarea unui soft instalat pe hardware-ul gol (de ex componentele LAMP, sistemul de votare etc) se face probabil asa cum se face la orice soft, cu amprenta de control, etc. Toate site-urile de download open source au posibilitatea asta (MD5, SHA1, PGP etc). Indiferent cum a fost ars CDul, amprenta de control a pachetului software trebuie sa ramana aceeasi.
– cititorul de certificat digital de acasa e o modalitate suficient de sigura de indentificare si criptare. E groaznic de incomod fata de o parola, dar merge. Plus ca pe viitor sigur vor aparea versiuni mai bune de identificare.
– verificarea ca sistemul „nu te fura” se face cu QR code in Estonia asa cum am descris (vedeti si video la link-ul cu atacurile). Ideea e ca votul poate fi verificat de pe un alt dispozitiv, iar posibilitatea ca si calculatorul si telefonul sa fie virusate de acelasi actor e infima. Din cate inteleg QR-codul nu stie identitatea cetateanului, deci asigurarea ca cetateanului i se raporteaza mereu B cand el a votat A e greu de realizat.
– asigurarea secretului votului: puteti verifica in codul sursa (link in text). Si la votul anticipat suedez (pe hartie), votul e transportat pe hartie impreuna cu identitatea votantului, pana la sectia de votare unde e arondat. Acolo ele sunt separate. Riscul de violare al secretului e foarte mare.
– voturile electronice nu se renumara. Voturile pe hartie se renumara pentru ca oamenii nu sunt buni la numarat hartii :) Votand electronic la distanta trebuie sa renuntam in mod constient la renumarare. E o alegere.
Deci ce spun eu in text e ca sigur ca nu putem avea paper trial asa cum cere Stallman. Dar putem verifica pas cu pas instalare, testare, putem verifica cod sursa, putem verifica cum ruleaza codul, etc. S-ar putea face chiar un eveniment live din asta, toti cetatenii care au pregatirea necesara il pot urmari. Asta e e contra-intuiv pentru ca de obicei administrarea de sistem e o treaba „privata” in spatele usilor inchise. Ce m-a convins pe mine documentarea despre OSCE si computer security experts e ca banuiala lui Stallman ca orice sistem poate fi modificat peste noapte inaintea alegerilor pare de bun simt dar nu e imposibil de adresat. Acum cred ca un sistem electronic de vot nu e imposibil de rulat in mod verificabil.
Si mai cred ca argumentele lui Stallman, chiar daca par simple, si greu de contracarat, poate nu sunt asa solide cum par. Textul e dintr-o prelegere pe care Stallman o repeta in toate colturile lumii unde e invitat. Asta nu-mi inspira neaparat incredere.
In ce priveste logistica: unul din avantaje cu votul electronic e chiar reducerea masiva a logisticii. Jumatate de milion de euro in Estonia inseamna potential 5 milioane in Romania.
Si daca se intampla ceva, putem merge cu totii sa votam pe hartie :)
Cred ca deja ma repet si devine plictisitor, iar pentru unii enervant.
Puteti insira o enciclopedie intreaga de solutii ca nu puteti rezolva problema increderii. In solutia electronica intotdeauna va ramane un „trail” care poate duce (daca cineva va dori asta) la depistarea votantului, ajunge doar sa te gandesti ca certificatele digitale sunt emise de catre o „autoritate” (v-ati gandit cine ar putea fi?), parolele si deci userii trebuie validati inainte de catre alta „autoritate”, etc… degeaba securizati votul in sine dar distrugeti caracterul anonim al votului.
Apropo va aduceti aminte de scandalul cu CNP-urile la recensamant? Va amintiti ca ajunge un singur scandalagiu cu putere media sa puna sub semnul intrebarii intreg sistemul? Ati putut observa in schimb si ultimul Ionica a fost ingrijorat ca identitatea lui poate fi folosita in scopuri dubioase…
1) sunt de acord ca e o problema de incredere, asa e la orice sistem de vot.
2) nu cred ca din votul electronic poate fi gasit votantul. Votantul primeste un ID al votului, dar nu cred ca decodarea de la ID-ul votului la identitatea votantului e posibila decat cu mari eforturi de calcul (de la votant la vot e usor, de la vot la votant e greu).
Asa si pe votul de hartie exista amprentele votantului deci nici votul pe hartie nu e 100% secret… E chiar posibili de gasit votul cuiva in sacul de voturi la o sectie de cateva mii de persoane… La o sectie electronica cu milioane de voturi, e mai complicat.
Daca n-avem incredere in autoritatea romaneasca de certificate, putem cumpara de la un vendor de pe piata internationala. Bani sa fie… Estonienii le produc acasa, probabil din motive de cost.
Mi se pare ca acesta este cel mai pertinent punct de vedere:
@kinn: ”Hai sa rezolvam problemele simple de logistica printr-o mai buna organizare. Acum, problema securitatii si verificarii este practic open-source, accesibila oricarui cetatean, dar prin votul electronic ea devine practic closed-source, accesibila doar pentru cei cu cunostinte avansate de IT si matematica. Nu e un trend bun, e invers fata de cum ar trebui sa fie.”
Deci problema ar fi asigurarea accesului oricărui alegător în timp util la urnă !
Sistemul de validare a individului care permite accesul pe bază de cartelă într-o incintă securizată (de ex. la metrou) permite un trafic de cca 240 de indivizi pe oră (4 voturi pe minut).
Dacă incinta respectivă este dotată cu dispozitive de eliberare automată a buletinului de vot, alături este ștampila iar la ieșire este urna pot să-mi imaginez un centru de votare compus din 10 astfel de incinte care ar putea asigura o participare la vot de cca 30.000 de votanți în 14 ore.
Alegătorul este singur față în față cu opțiunile electorale și nu poate părăsi incinta fără a introduce votul în urnă. Din momentul în care a ieșit din ”drumul votului” nu mai poate intra într-o altă incintă.
Cartela poate fi un simplu carton cu un cod de bare 2D tipărit de către Autoritatea Electorală în baza Registrului Electoral. Plasarea cartoanelor in plicurile adresate alegătorilor poate fi efectuată printr-un proces complet randomizat, cu suficient timp înainte de momentul scrutinului.
Urna este sigilată și va fi extrasă din incintă ”as it is” și transportată într-un mod securizat exact ca orice transport bancar la Centrul Electoral, acolo unde se va face desigilarea și numărătoarea în fața martorilor.
Sistemul poate fi supus unui proces de omologare universal acceptat (prin ONU de ex) și aplicat în toată lumea democratică.
Centrele de votare ”cu turnicheți” sunt o investiție care va fi recuperată aproape instantaneu având în vedere că scrutinurile pot fi efectuate pentru orice problemă care interesează comunitatea civilizată.
O sa incep cu sfarsitul – poate pica mai greu pentru unii, dar diaspora poarta o vina substantiala pentru situatia dezastruoasa in care ne-am trezit la alegerile prezidentiale din acest an. O spun in cunostinta de cauza.. fiind printre ‘vinovati’. De ce? Pentru ca pana acum nu ne-a pasat.. si pentru ca este jenant sa explici cuiva ca mai putin de 10% din cei aflati peste hotare (greu de spus clar cati, dar intre 2 si 4 milioane tot suntem) au votat. Cati alegatori s-au prezentat la circumscriptiile din strainatate in 2012 (alegerile parlamentare)? 60.000.. de 5 ori mai putini decat acum.
60.000…. din 2-4 milioane de la care am avea oarecare pretentii. Daca ar fi fost in 2012 cati au fost acum in noiembrie.. oare mai aveam aceeasi problema cu votul?.. Mai puteau Ponta si Dragnea sa spuna ca nu se asteptau la un numar atat de mare de participanti la vot? Sa nu fim ipocriti..
Salut aceasta dezbatere. Ideea de baza nu e a inlocui hartia si stampila cu touch-screen ci de a da posibilitatea oamenilor de a vota oriunde s-ar afla, de pe propriul calculator sau telefon.
Detaliile tehnice legate de securitate nu sunt simple dar posibilitate de frauda e extrem de mica atat timp cat exista doua baza de date impenetrabile. Una fixa cu CNP-ul celor cu drept de vot si o alta care creste in timp real cu CNP-ul celor care voteaza. Singura posibilitate de frauda ramane ca hackerii sa aiba datele personale si parolele celor despre care stiu ca nu voteaza si cumva sa simuleze si IP-ul sau nr. de telefon al acestora. Destul de complicat pt a frauda la scara mare daca ne gandim ca penetrarile de conturi bancare (unde miza mare) sunt rare.
Problema mult mai spinoasa si greu de rezolvat este cea a cumpararii de voturi, dar asta nu se leaga de sistemul tehnic de vot.
Domnilor
Va fug niste date esentiale .
Noi , cei care discutam pe internet , sintem ori in orase ale tarii ori in tari unde internetul e o banalitate peste tot .
Sa nu uitam ca in RO si conform datelor internationale , cam 60 % din populatie nu are acces la net . Tot statistic , mai avem localitati unde nu a ajuns nici macar energia electrica . (cam 300 daca tin bine minte de pe vremea guvernarii PDL cind a fost facut „inventarul” )
Avem si o cota importanta de cetateni mai in varsta si care in fata unui smartphone, tablet sau pc sint total depasiti .
Evident ca avem specialisti , sintem buni in softuri dar ne lipseste infrastructura si „cultura” electronica
Important de discutat de formele de vot care usureaza viata cetateanului dar mai important sa pricepem ca un lung mars incepe cu primul pas .
NOI NU AVEM BAZE DE DATE CU LISTA ALEGATORILOR . NU exista pentru romanii din strainatate , pentru cei din tara e total depasita de fenomenele migratorii .
Dupa implementarea ei , putem discuta mai linistiti , mai la obiect de ce tip de vot COMPLEMENTAR celui clasic se doreste realizat si aplicat .
Republica Moldova si la ultimele alegeri ne da clasa . Au implementat un sistem electronic si cu control in timp real pentru verificarea votantilor . Moldova . Ultima in toate statisticile europene . Nu va pare ca ceva scartaie si din greu in tara asta a noastra?
Se poate amenaja o sectie de votare electronica in (aproape) orice comuna. Pe de alta parte, eu sunt pentru votul clasic pentru ca imi plac ceremoniile ( eventual cu ceva informatizare la partea de verificarea identitatii) iar cel electronic sa fie pentru cei ce nu pot merge la sectia de votare ( de exemplu la alegerile locale nu e musai sa fii plecat din tara, e de ajuns sa fii la mare, la munte sau intr-o delegatie ca sa nu poti vota)
Nu cred ca are sens sa se amenajeze sectie de votare electronica in comune. Votarea electronica are loc inainte de scrutin. In ziua scrutinului, votarea e in continuare pe hartie. Cine nu poate vota electronic, se duce la cabina in ziua scrutinului. Cine n-are calculator sau nu-i merge dar are card digital, se duce cu cardul digital in vecini si voteaza. Cel putin la mine in sat asa ar fi.
Procentajul e mai mare daca ii includem si pe cei cu internet prin telefon si va depasi 95% pana cand votul electronic ar putea fi introdus, adica in 5 ani. E nevoie doar de o simpla aplicatie!
Da, asa cum am spus, votul electornic e exlcusiv anticipat. Populatia fara acces la net poate merge la vot in ziua scrutinului. Populatia care a votat electronic poate deasemenea merge sa-si anuleze votul electronic cu unul pe hartie.
Corectitudinea registrului electoral e irelevanta, ea va afecta alegerile la fel cum le-a afectat pana acum. Se verifica simplu daca cei ce voteaza electronic sunt in registrul electoral. Numarul celor care-si vor lua card de identitate digital si vor muri pana la scrutin e mult prea mic ca sa merite discutat.
Republica Moldova a implementant un sistem neverificabil ca sa rezolve o problema care nu ar trebui sa existe (listele suplimentare). Si apropo, sistemul lor nu a functionat cam jumatate de zi si asta il face practic inutil
– e neverificabil pentru ca presupune cateva mii de calculatoare. Daca un partid cerea verificare hard, soft, si instalare pe toate, se opreau alegerile
– problema nu ar trebui sa existe din modul cum e organizat sistemul de vot. In Canada poti vota numai acasa. In Suedia, oriunde votezi votul ajunge la sectia de acasa. Si asa mai departe.
Imi pare rau, dar cred ca va aflati intr-o profunda eroare.
Stallman a identificat corect problemele principiale care le poate pune un sistem de e-voting, dar sunt mai multe care apar.
Dvs citati raportul OSCE din 2011, dar ignorati cu totul un raport independent (si peer-ed review) al unor experti independenti universitari – https://estoniaevoting.org/ care a gasit probleme de securitate majore si care nu pot fi depasite.
Citez concluzia
After studying other e-voting systems around the world, the team was particularly alarmed by the Estonian I-voting system. It has serious design weaknesses that are exacerbated by weak operational management. It has been built on assumptions which are outdated and do not reflect the contemporary reality of state-level attacks and sophisticated cybercrime. These problems stem from fundamental architectural problems that cannot be resolved with quick fixes or interim steps.
Mai sunt si alte probleme – sper sa am timp sa revin cu o insemnare pe larg.
Solutia este un vot prin corespondenta si nu unul electronic.
While we believe e-government has many promising uses, the Estonian I-voting system carries grave risks — elections could be stolen, disrupted, or cast into disrepute. In light of these problems, our urgent recommendation is that to maintain the integrity of the Estonian electoral process, use of the Estonian I-voting system should be immediately discontinued.
Nu ignor deloc raportul estoniaevoting.org. Dar stiu ca acolo sunt cercetatori care au tot interesul sa semnaleze probleme, orient ar fie ele de putin probabile. Asta e rolul lor. Si din asta isi castiga banii: ca cercetator, daca nu atragi bani de cercetare, esti mort.
Am spus in alt comentariu si am scris si in articol ca cele doua atacuri pe care le-au gasit ei nu cred ca sunt relevante
– atacul la identificarea online: votul poate fi oricand verificat de pe telefonul mobil. Daca votantul are cea mai mica banuiala ca votul a fost schimbat, poate reface votul de pe alt calculator. In plus identificarea respectiva e folosita de milioane de oameni, zi de zi, in mutle tari, de vreo 5 ani, inclusiv in Suedia unde locuiesc eu. N-am auzit de intrari false la banca cu atacul respectiv. Sunt convins ca virusul exista dar e usor de detectat sau nu e suficient de raspandit, nu stiu…
– atacul la hardware-ul serverului presupune acces fizic la un loc central extrem de bine pazit.
Eu cred in principiile lui Stallman dar nu in modul in care le interpreteaza. Verificarea i-voting trebuie facuta altfel decat verificarea votului pe hartie. Si cred ca aici e contributia estonienilor. Dar principiul verificarii de catre toti cei implicati ramane.
In plus, eu nu cred ca sistemul estonian e idealul. Nici nu cred ca i-voting va fi posibil pe termen scurt la noi. Eu vorbesc strict despre verificabilitate. Raportul OSCE m-a convis ca i-voting poate fi verificat. Exista i-voting si in cateva cantoane din Elvetia, de exemplu (inca nu le-am studiat)
http://www.geneve.ch/evoting/english/doc/Uncovering_the_veil.pdf
Dar orice folosire de sistem de i-voting fara probleme majore arata cum Stallman isi interpreteaza gresit principiile.
Si daca vorbim de solutii, votul prin corespondenta are o problema majora la identificare si libertatea votului. In Suedia e acceptat numai cu cerere speciala, si numai din strainatate.
Vedeti aici despre votul anticipat la distanta, la local de vot anticipat (nu acasa)
http://www.romaniacurata.ro/votul-anticipat-urmatorul-pas-pentru-romania-dezbatere/
Mai exista multe alte variante.
Nu cunosc dar sa admitem ca or fi dat estonienii gres, asta nu inseamna ca nu se poate gandi un sistem sigur. Nu zic ca e simplu, dar e perfect posibil.
Hotararile publice au loc doar in conditiile libertatii individuale si a libertatii de expresie. Cand cei care au luat hotararea sa contribuie la propasirea societatii confunda aceasta participare cu interese proprii lasandu-se afectati de subiectivitati meschine si procedeaza la excluderea concetatenilor de la participare inseamna ca viata publica se reduce la o gasca conjuncturala.
ati luat in considerare si indexul de coruptiei al Estonie vis-à-vis de cel al Romaniei..? in ultimii doi ani Estonia a fost pe locul 28 si apoi 26, iar Romania pe 69. mai vad o problema, ca oferiti solutia doar ptr diaspora, pe cand implementarea votului electronic cel mai probabil se va face la nivel de tara.
Eu nu sunt neaparat pentru i-voting. Eu sunt pentru orice solutie care creste prezenta la vot, mai ales in diaspora. Vedeti si
http://www.romaniacurata.ro/votul-anticipat-urmatorul-pas-pentru-romania-dezbatere/
N-am spus ca votul electronic e numai pentru tara sau numai pentru diaspora. Orice noua modalitate de votare trebuie consideata pentru amandoua. Dar noua modalitate trebuie sa ia in considerare diaspora pentru ca acolo sunt probleme acum.
Nu cred ca coruptia poate afecta procesul de votare mai mult decat il afecteaza acum. Nu cred ca merita sa cumperi votul electronic al cuiva care poate oricand sa voteze electronic inca odata sau poate merge in ziua scrutinului la cabina de votare si sa voteze asa cum vrea.
Din ceea ce vad in ultima vreme in spatiul public incepe sa ma ingrijoreze ideea ca exista oameni care vor sa se ocupe de binele meu.
1. Estonia e o tara de 1.25 milioane de oameni. Adica mai putine de jumate de Bucuresti. Vorba cuiva din IT, in tara aia fac informatizarea adminsitratiei publice ei e-guvernare completa de 3 ori intr-un an. Nu e cazul ROmaniei. Veniti cu picioarele pe pamant.
2. Estonia implementeaza e-guivernare de cel putin 15 ani. In 200, daca nu ma insel, a fost model European pe ramura. La noi, model pe ramura e Ghita cu Asesoft, Teamnet et co.
3. In Estonia, nu toti &*^%&^&*^ofera semnatura electronica. SZemantura electronica extinsa se elibereaza unic/cetatean, odata cu cardul de identitate (de fapt, e incorporat). Au tehnologie specifica. In ROmania, daca ceri un act oficial authentic in format electronic, se cauta aia in buzunare sa fugareasca contabilul sa ii ia semnatura electronica sa poata semna pdf ala. Daca stiu sa faca si asta, ma rog…
4. Lasati prostiile si coborati pe pamant. La functionarul roman, ca sa il inveti sa foloseasca un client de email cere sa il trimit la cursuri de specializare. De pe ce planeta veniti?
Eu nu spun ca toti cetatenii Romaniei trebuie sa aiba carduri cu certificat digital. Nici estonienii nu au (rata de penetrare cred ca e pe la 60%).
Ideea e ca cei care n-au alta sansa (diaspora etc) sau cei care au un hobby pot face un effort sa-si faca rost de asa ceva.
Armata de functionari romani depasiti moral nu are relevanta aici. 100 de IT-isti care sa intretina un sistem de vot electronic s-or gasi.
Din partea mea sistemul poate fi facut de Iliescu insusi. Daca e open source, verificabil si instalat de altii decat producatorii, nu vad problema.
Domnilor si doamnelor,
Cred ca multi, prin comentariile de mai sus, incearca sa fie mult mai catolici decat papa.
Sigur ca un sistem poate fi facut securizat. Exista astfel de sisteme in lume, cum e sistemul informatic al armatei americane, care e total rupt de orice fel de influenta exterioara. A auzit cineva ca un hacker a reusit sa intre in sistemele de ghidare a rachetelor?
Totul e sa iei precautiile care trebuie.
Iata ce imi spune mie bunul simt, dupa ce am citit toate comentariile de mai sus:
1. Votare pe cartela cu numar de identificare aleatorie garanteaza secretul votului. Numarul e atribuit aleatoriu votantului sub forma unui card fizic. Nimeni nu stie cine are cardul. Se poate sti seriile alocate unui centru de distribuire, insa nimic mai mult de atat.
2. Cod deschis cu inspectie publica si certificat digital alocat software-ului, suna bine.
3. Instalat pe un computer nou, fara nici o data pe hard disk (asta se poate verifica).
4. Sistemul e operare se poate instala de pe un chit proaspat cumparat si desigilat la vremea instalarii.
5. Odata software-ul instalat, serverul e sigilat si inchis intr-o camera sigilata si sub paza.
6. Toate informatiile securizate.
7. Comunicatii redundante de la noduri la server, de preferinta pe linii de comunicatii militare, cu transfer wireless. Asta o sa tina hackerii afara. Legatura pana la noduri de retea e o vulnerabilitate, insa cu multe noduri in retea nu ar fi o problema mare. Ca sa faca frauda masiva, un mare numar de noduri de comunicatie ar trebui penetrate.
8. Si nu in ultimul rand, scos organizarea voturilor de sub influenta politicului. In SUA alegerile sunt organizate de institutii apolitice unde membrii nu au voie sa fie membri de partid. Mai mult, cel care conduce o astfel de organizatie e ales si el la fiecare patru ani. Pot sa fie observatori cat incape.
9. In rest, nu e o problema ca cineva voteaza de acasa. Am tot batut calul asta de vreo cateva articole si argumentele nu stau. Au fost sistemele de vot prin corespondenta atacate in instanta in SUA pe astfel de argumente si au rezistat testului de rezonabilitate. Daca in SUA merge, nu vad de ce nu ar merge in Romania, ca n-o fi Romania un stat mai de drept decat SUA.
Domnule Gafencu, aveti perfecta dreptate (de altfel ma gandisem la o varianta similara, cu exceptia cardurilor: in varianta mea codul aleator ar fi fost transmis prin posta, in plic sigilat).
Mai mult, ma gandeam si la urmatoarele masuri:
1. Orice vot multiplu va fi anulat (desigur, aceasta ar anula si votul „legitim” dar ar fi o proba de neglijenta – sau coruptie – din partea posesorului legal).
2. Orice vot al carui cod nu se afla printre cele emise ar fi anulat.
3. Codul ar permite votantului sa-si verifice inregistrarea optiunii in baza centrala de date.
In aceste conditii este clar ca orice tentativa de frauda prin replicarea codului ar fi inutila (respectivul nu stie daca anuleaza un vot din New York sau unul din Vaslui) iar voturile false ar fi pur si simplu respinse.
Dar (caci exista si un dar), ce facem cu primarii care ar cumpara coduri de vot la gramada – pe cartela sau tiparite – pentru a le introduce in „urna” virtuala? Cred ca frauda interna ar fi mai facila decat astazi, unde macar trebuie sa plimbi votantii cu autobuzele. Mai mult, acest tip de frauda ar fi aproape imposibil de dovedit in masura in care cartelele de vot pot fi returnate beneficiarilor de drept in mai putin de 12 ore.
Domnule IosiP,
Aveti dreptate. O astfel de tentativa se poate elimina cu datele biometrice.
Omul nu poate vota daca amprenta sau irisul nu e acolo pe langa cartela de vot. Asta e dovada lui ca a votat. Actul de votare in sine e inregistrat, insa numai codul aleator e legat de votul in sine. se paote rezolva cu accesul la doua baze de date, una care valideaza votul, si cealalta care il inregistreaza.
Stiu ce o sa spuneti, ce ne facem cu cazul in care primarul e pe aproape? Daca votul e prin coruptie pura, nimic. Insa omul poate oricand sa se duca la urna si sa isi invalideze propriul vot cum e descris mai sus daca se simte constrans…
De acord, dar exista intrebari:
1. Ce facem cu voturile „de acasa”, obligam electoratul sa detina aparatura cu posibilitati de verificare biometrica (stiu, majoritatea laptopurilor au asa ceva, la fel ca multe telefoane mobile) . Dar totusi?
2. Cum se asigura garantia „disocierii” semnaturii biometrice de optiunea de vot? Ma asigura „statul” in aceasta privinta?
3. O astfel de abordare ar implica o baza de date biometrice, realizata inainte de vot. Cun credeti ca s-ar realiza acest lucru?
Domnule IosiP,
Prin cartela anonima de vot se poate asigura secretizarea votului.
Bineinteles ca avand o investigatie adanca se poate determina ca votul X a fost exprimat de la calculatorul Y, insa tot nu se stie cine l-a exprimat daca in familie sunt mai multe voturi si sunt diferite.
Singurul caz limita este cand toate voturile se duc intr-o directie. Atunci se stie clar.
Insa daca votul electronic se face intr-o cabina de vot, anticipat, sau nu, problemele de mai sus dispar.
1. Votul multiplu electornic nu e proba de frauda. Inseamna pur si simplu ca persoana s-a razgandit si vrea sa voteze altfel. In „urna” intra tot un vot, indiferent de cate ori voteaza
2,3: in Estonia se genereaza un ID al votului, de la care nu se poate ajunge (usor) la identitatea votantului, vezi mai sus.
1) Cardul anonim-> nu merge pentru ca de obicei cardurile dintr-o familie sunt tinute impreuna. De unde stim care al cui e? Spun asta din proprie experienta, noi confundam si cardurile (de banca, de contact cu casa de asigurari, cu fiscul) cu nume.
Anonimitatea votului se rezolva la server prin criptare asimetrica: e usor de stabilit care e codul votului meu, dar din codul votului meu e greu de gasit identitatea mea
2,3,4, 5 , 8 exact asa fac estonienii
la (9) libertatea votului e garantata prin posibilitatea de a vota de mai multe ori electornic, plus de a anula votul electronic la sectia de votare traditionala
Domnule Bogdan,
Tocmai asta era spiritul. Un card aleatoriu asigura secretul votului, mai ales daca e exprimat intr-o cabina de vot sau chiar si acasa.
Omul e identificat pe baza actului de identitate electronic sau datelor biometrice si e inregistrat intr-o baza de date ca a votat. Apoi voteaza cu un card anonim, si votul e inregistrat in alta baza de date.
Insa asta ar merge numai pentru vot electronic o singura data. Nu mai poate fi re-votat si cardul poate fi folosit o singura data la un set de alegeri. Cardul poate fi aleatoriu, insa numele poate fi pe card.
Votul electronic înseamnă înlesnirea fraudării alegerilor.
Se exagerează propagandistic fraudele din sistemul de vot actual pentru a promova un sistem de vot în care fraudele vor fi mult mai mari.
Bazat pe discutiile de mai sus, inainte ca articolul sa dispara de pe prima pagina, poate putem trage niste concluzii despre ce se poate face si ce nu se poate face in Romania zilei de azi cu votul electronic. Idei sunt mult, insa nu toate pot fi aplicate sau acceptate.
Iata ce se poate face concret:
1. Vot electronic numai in cabina de vot (anticipat sau la termen) cu votat o singura data. Orice fel de votat de mai multe ori pune in pericol confidentialitatea votului.
2. Votul poate fi secretizat cu o cartela de vot de unica folosinta pe tur de alegeri repartizata la alegator aleatoriu. Votantul e identificat in cabina de vot dupa care isi foloseste cardul sa voteze. Cardul e identificat de numele votantului imprimat pe el (poate fi printat la prima votare cu cardul respectiv). Cardul trebuie identificat si el la momentul votarii). In orice caz, nu exista legatura electronica intre identitatea cardului si numele alegatorului. In cazul asta votul e perfect anonim.
3. Pentru diaspora, singurul vot care poate merge acum e fie electronic in cabina, sau prin corespondenta anticipat.
4. Despre securitatea votului, sunt detalii mai sus care pot face votul robust.
De altfel, sistemul de vot de mai sus e folosit de cateva state americane chiar cu succes.