Elektronické volby

[Roman.Kucera]

Jako určitě bychom k tomu měli směřovat, ale je to trochu jako základní příjem - běh na dlouhou trať.

Podepisuji. Pokud se tomu tématu budeme vyhýbat, nebo dokonce budeme proti, udělají to současné strany bez nás a samozřejmě tak, aby to vyhovovalo jim.

Pokud nebudeme pro cenzuru a povinné čipy v mozku, udělají to současné strany bez nás a samozřejmě tak, aby to vyhovovalo jim.

[Vlastimil.Efraim]

Nechceme je spatny slovo.
Chceme e-volby, ale ne jako populisticky kec a nejsou mozne za nynejsich technickych moznosti. Nelze je ted spustit protoze nesplnuji 2 zakladni pilire: anonymitu a bezpecnost.

[Vit.Fux]

k té anonymitě:

slyšeli jste někdy třeba o PirateID (https://openid.pirati.cz/)? nebo obecně o SSO systémech, které fungují tak, že do systému X se dostanete jen tehdy, pokud systém Y konstatuje, že jste existující osoba? a že se systém X dozví o vás ze systému Y jen vybrané (nebo taky vůbec žádné) informace?

a víte že bude elektronická občanka, která bude přesně tohle dělat pro všechny občany ČR? a víte že si tu celostátní identitu si budete moct pořídit na CzechPointu za chvíli i bez té elektronické občanky (http://www.szrcr.cz/pro-media/eidentita-cz) ?

[Pavel.Moravec]

k té anonymitě:

slyšeli jste někdy třeba o PirateID (https://openid.pirati.cz/)? nebo obecně o SSO systémech, které fungují tak, že do systému X se dostanete jen tehdy, pokud systém Y konstatuje, že jste existující osoba? a že se systém X dozví o vás ze systému Y jen vybrané (nebo taky vůbec žádné) informace?

a víte že bude elektronická občanka, která bude přesně tohle dělat pro všechny občany ČR? a víte že si tu celostátní identitu si budete moct pořídit na CzechPointu za chvíli i bez té elektronické občanky (http://www.szrcr.cz/pro-media/eidentita-cz) ?

A jak mi toto zaručí anonymitu mého hlasu? Popiš mi prosím mechanismus s SSO/Kerberosem/PirateID/whatever, který:

• ověří mou totožnost (na to stačí ten SSO nebo e-občanka)
• zaručí, že nemůžu hlasovat vícekrát
• zajistí, že moje volba je tajná

Poslední dva body jsou zde ve vlákně opakovaně dokázány jako protichůdné. Navíc stačí mít jedinou součást z celku hlasovací zařízení <-> přenos dat <-> servery kompromitovanou (good luck s verifikací HW a SW, viz. poslední dvě tři stránky vlákna) a útočník může buď zjistit jak jsem hlasoval, anebo si nagenerovat hlasy sám.

Diskuze se točí v kruhu, poslední dobou zde nepadl žádný nový argument pro. Snad jen jeden proti (asi zde už taky zazněl): významně ovlivnit papírové hlasování znamená buď hacknout stovky až tisíce volebních místností, anebo pak sběr dat a centrální součty (které lze ověřit přes vol.místnosti zpětně). Náklady, logistika a riziko odhalení obrovské, dopad lokální. Zato významně ovlivnit el.hlasování stačí z jediného počítače (pokud k tomu mám technologii či znalost backdoors). Náklady jednorázově velké, pak nulové, logistika a riziko odhalení minimální, dopad obrovský.

Vážně chceme takto zvyšovat riziko padělání voleb?

[Pavel.Moravec]

Je to marný, je to marný, je to marný. Blud je blud a nejde vyvrátit. Lámou si nad tím hlavy psychiatři celého světa, to nedáš, Pavle. Nech je blouznit o elektronických volbách a spoléhej na Ústavní soud, až to protlačej. Tam snad ještě používají mozek.

[Vlastimil.Efraim]

To vis, papir snese vsechno.
Slibuju vitsi platy, nizsi dane, zadnou kriminalitu a spolehlive e-volby!

[Pavel.Nazarsky]

A jak mi toto zaručí anonymitu mého hlasu? Popiš mi prosím mechanismus s SSO/Kerberosem/PirateID/whatever, který:

ověří mou totožnost (na to stačí ten SSO nebo e-občanka)
zaručí, že nemůžu hlasovat vícekrát
zajistí, že moje volba je tajná

SSO předá service providerovi (volebnímu stroji) o uživateli pouze unikátní bezvýznamový kód. Ten zaručí, že nelze hlasovat dvakrát a taky že volba je tajná Slyšeli jste už třeba o systému základních registrů coby páteři eGovernmentu v ČR a přidělování AIFO?

Anonymitu ti vyřeším i na papíře, prostým voložením dvou obálek do sebe. V elektronickém světě se to dá řešit třeba taky tak, že obecní úřady budou vydávat voličský průkaz s unikátním bezvýznamovým kódem, přičemž obecní úřad nearchivuje ani vazbu mezi fyzickou osobou a voličským průkazem (jen to že dané osobě pro dané volby už takový voličský průkaz vydal).

O bezpečnostním riziku se bavit můžeme, ale anonymita hlasu opravdu problém není.

[Pavel.Nazarsky]

Chci podpořit všechny, kteří usilují nejen o elektronické volby, ale o elektronické hlasování obecně. Odpůrci argumentují především nemožností zajistit anonymitu hlasujících. Zdeněk Hrib uvedl jednu z možností, jinde a jindy byly probírány i možnosti dvojího šifrování okoukané od armády, my jsme kdysi s pardubickými aktivisty přišli na možnost, jak losovat anonymní přístupový kód přímo ve volební místnosti. Tento kód by mohl být užíván až do dalších voleb, ne-li napořád.
Otočili jsme jen to, co se volební místnosti děje: Voliči přijdou, zaregistrují se (aby nemohli volit vícekrát) a do bedny vhodí svůj lístek. Je zpětně zhola nemožné vysledovat, kdo jak volil. To nikdo nezpochybňuje. A co když se to otočí? Volič přijde, zaregistruje se, a z bedny obsahující předpokládaný počet přístupových kódů do el. hlasování si vytáhne právě jeden. Ani členové komise, ani nikdo jiný nedosleduje, kdo si který kód vytáhnul.
Vyvstává pak už jen otázka špehování našich počítačů, ale kdo by fakt chtěl zůstat v anonymitě, může hlasovat z kteréhokoli veřejného terminálu.

[Pavel.Nazarsky]

A elektronické hlasování fakt potřebujeme.
Pověsil jsem před chvilkou nějaký povídání k tématu přímé demokracie, snažil jsem se o logický sled celé úvahy, potěšilo by mě, kdyby si to někdo přečetl.
krajske-forum-praha-f349/topic36928-20.html#p509834
A vůbec - jak to vlastně dělají v tom Švýcarsku? Nedá se to jednoduše zkopírovat?

[next_ghost]

Na stejné argumenty jsem tu už několikrát odpovídal, ale zjevně si to musíme zopakovat ještě jednou.

SSO předá service providerovi (volebnímu stroji) o uživateli pouze unikátní bezvýznamový kód. Ten zaručí, že nelze hlasovat dvakrát a taky že volba je tajná Slyšeli jste už třeba o systému základních registrů coby páteři eGovernmentu v ČR a přidělování AIFO?

Anonymitu ti vyřeším i na papíře, prostým voložením dvou obálek do sebe. V elektronickém světě se to dá řešit třeba taky tak, že obecní úřady budou vydávat voličský průkaz s unikátním bezvýznamovým kódem, přičemž obecní úřad nearchivuje ani vazbu mezi fyzickou osobou a voličským průkazem (jen to že dané osobě pro dané volby už takový voličský průkaz vydal).

O bezpečnostním riziku se bavit můžeme, ale anonymita hlasu opravdu problém není.

• Přihlášení voliče přes SSO je "anonymita" na čestné slovo. SSO musí nějak udržovat deterministickou vazbu mezi bezvýznamovým kódem a identitou voliče, jinak bude možné hlasovat víckrát. Ale pak na spárování hlasu s konkrétním voličem stačí jen propojit dvě datové sady přes společný unikátní klíč.
• Pokud se volební kódy rozdávají předem, tak pořád existuje dost možností, jak nenápadně spárovat průkaz s konkrétním člověkem. Když se ale bude anonymita dodržovat opravdu důsledně, tak zase hrozí zneužití nevyzvednutých průkazů.
• V obou případech se při hlasování přes Internet dají vygenerovat volební kódy pro neexistující lidi a do celkového součtu propašovat několik stovek tisíc falešných hlasů.

Chci podpořit všechny, kteří usilují nejen o elektronické volby, ale o elektronické hlasování obecně. Odpůrci argumentují především nemožností zajistit anonymitu hlasujících. Zdeněk Hrib uvedl jednu z možností, jinde a jindy byly probírány i možnosti dvojího šifrování okoukané od armády, my jsme kdysi s pardubickými aktivisty přišli na možnost, jak losovat anonymní přístupový kód přímo ve volební místnosti. Tento kód by mohl být užíván až do dalších voleb, ne-li napořád.
Otočili jsme jen to, co se volební místnosti děje: Voliči přijdou, zaregistrují se (aby nemohli volit vícekrát) a do bedny vhodí svůj lístek. Je zpětně zhola nemožné vysledovat, kdo jak volil. To nikdo nezpochybňuje. A co když se to otočí? Volič přijde, zaregistruje se, a z bedny obsahující předpokládaný počet přístupových kódů do el. hlasování si vytáhne právě jeden. Ani členové komise, ani nikdo jiný nedosleduje, kdo si který kód vytáhnul.
Vyvstává pak už jen otázka špehování našich počítačů, ale kdo by fakt chtěl zůstat v anonymitě, může hlasovat z kteréhokoli veřejného terminálu.

Pokud se hlasuje na speciálním volebním terminálu ve volební místnosti pod dozorem volební komise, tak je zajištění anonymity mnohem jednodušší než při hlasování přes Internet. Ale pořád je tu ještě problém, že volební terminál může ukazovat něco jiného, než pak ve skutečnosti udělá. Když o každém hlasu existuje papírový záznam, který vyrobil sám volič, tak je pak jednodušší odhalit podvod.