[pyar] [off-topic] Voto electronico

[Marcos Dione]

On Thu, Apr 23, 2015 at 06:48:47PM +0000, fisa wrote:
> Recomiendo leer esto, que escribí sobre el tema, habiendo sido parte de su
> desarrollo:
> http://fisadev.blogspot.com.ar/2011/04/voto-electronico-con-python-y-ubuntu.html

    cito pedazos del post:

> La pc no tiene ningún tipo de almacenamiento ni conexión a ninguna red. Sí tiene una lectora de DVD.

> Entonces, ¿cómo puede tener el sistema de votación o el de
> transmisión? Simple: ambos sistemas se distribuyen en CD antes de
> comenzar la votación (livecds de Ubuntu customizados, con cada sistema
> ya instalado y configurado). Como pueden imaginarse hay medios para
> garantizar que estos CDs no sean alterados. Los mismos son generados en
> una única tirada con la presencia de los fiscales, son precintados, y
> luego se abren el día de la elección. Y para los más técnicos: cada
> CD tiene un detalle de los hashs MD5 de todos sus archivos, que un
> fiscal podría luego comparar contra el maestro que posee el tribunal
> electoral. [EDIT: ya no usamos MD5, ahora usamos SHA512]

    se puede cambiar el cd? puede una persone entrar, bootear con un
segundo cd, y darle el cd a alguien que lo reemplace al final? cómo se
fiscaliza que los *checksums* no hayan cambiado? quiero decir, si el cd
tiene el checksum de los archivos en el cd, cómo sabés que el checksum
que estás validando sea el original y no uno cambiado de forma que
matchee el archivo cambiado? si les roban el cd, ponen otra copia del
cd? cómo sabés que es original y no truchada?

> En el proceso van a participar las mismas personas de siempre
> (presidentes de mesa, fiscales, el tribunal electoral, etc.), y un grupo
> nuevo de personas: los técnicos en las escuelas. 

    y de dónde sacás técnicos para tdas las escuelas? hay uno por
máquina o por escuela? qu'pasa en escuales enormes con cientos de
mesas? cómo te asegurás que no sean sobornables? (hint: no podés,
pero son menos que todos los fiscales; ergo, )

> El presidente de mesa inicia el sistema de votar (que arranca
> automáticamente al bootear el CD), se identifica con sus credenciales
> que le permiten abrir la mesa que tiene asignada

    ok, no te pueden arrancar otro soft, pero te pueden anular la
máquina sacando el cd y rebooteando.

> en ningún momento la boleta tiene datos sobre quién es Pepe. 

    bueno, es conocido que hay impresoras que agregan un código a cada
página impresa. por ejeplo:

http://www.chipple.net/mt/2005/10/20_002557.php

    cómo te asegurás que la papeleta no tiene uno de éstos?

> De hecho el presidente puede darle a Pepe cualquiera de las boletas
> que tiene, e incluso podría darle a Pepe la opción de que elija la
> boleta que él prefiera

    ok, ya yéndome un poco a la mierda, pero es posible coarcionar a
alguien a elegir un objeto en particular. los magis hacen esto en los
tucos basados en 'elija una carta'. lamentablemente, no tengo
referencias encima.

> además puede verificar lo grabado en el chip pasando la boleta por el
> lector de la máquina, que le presenta por pantalla lo que el chip
> contiene . Y puede hacer esto en cualquier máquina (que no poseen
> conexión entre sí)

    y cómo hace para ir a otra máquina con su voto? puede depositarlo
en otra máquina?

> Finalmente, Pepe dobla su voto para que nadie vea lo impreso y lo
> deposita en una urna de cartón, igual a las de las elecciones
> tradicionales.

    es decir que todo el punto de tener una compu es poder escribir un
coso rfid que sea fácil de leer en serie. lo mismo se puede conseguir
con boleta única tipo multiple choice y un lápiz, por lo que andamos
reviviendo el mito de que para escribir en el espacio los yanquis
gastaron millones de dólares diseñando una lapicera que ande y que los
rusos simplemente usaron lápices. mito o no, es cierto que el lápiz es
más simple y barato :)

> este sistema es de boleta electrónica, pero no de urna electrónica

    excelente (no, no es sarcasmo).

> Si se apaga, un psicópata la parte con un hacha, 

    no hace falta que sea psicópata, con que sea malicioso alcanza.

> le cae un rayo o lo que sea que le impida seguir funcionando, basta
> con buscar otra máquina

    supongo que el stock de máquinas es menos que infinito; como
mínimo, son menos que boletas. con una cantidad suficiente de gente con
algo que anule la máquina con retardo debería alcanzar para parar un
colegio.

> En este sistema lo que hacemos es abrir la urna, sacar las boletas de
> voto, y pasarlas una a una por el lector de la máquina, que va contando
> los votos y mostrándonos por pantalla lo que cuenta. Los fiscales
> también están presentes durante el recuento para fiscalizar el
> procedimiento, de la misma manera que podían hacerlo en el voto
> tradicional. Es importante recordar que las boletas tenían impreso el
> voto, y que el presidente es responsable de observar que lo que dice la
> boleta es lo mismo que la máquina muestra por pantalla al pasar el
> voto. 

    en este caso no veo la ventaja contra contar votos comunes.

> El técnico y el presidente de mesa verifican que el servidor
> reconstruyó un recuento idéntico al impreso en la boleta de
> transmisión, y cuando ambos concuerdan en que es correcto, vuelven a
> pasar la boleta por el lector y confirman la transmisión.

    y es en la transmisión donde poder poner lo que se te cante. de
hecho, todos los cd's originales pueden estar ya maliciosamente
modificados allá cuando los queman y guardan semanas antes del comicio.
las personas presentes en dicho evento no tienen los conocimientos
necesarios para asegurarse que no haya código malicioso. no nos
olvidemos es tos: en un comicio normal, con leer y escribir alcanza. en
algo que use computadoras, necesitás conociemientos forenses en
informática.

> las actas de cierre y las urnas no se tiran a la basura, se guardan. Y
> por tanto seguimos teniendo la evidencia física verificable, cierta,
> que las máquinas no pueden alterar. 

    yo lo simplificaría obviando el paso de la transmisión y enviando
las actas de la forma tradicional.

    repondiendo al otro mail, que las máquinas sean gratis para el
gobierno no implica que sean gratis; como decís, es MSA el que pone la
plata. la pregunta es si MSA estaría dispuesto a tal tipo de inversión
para un comicio a escala nacional.

> Antes de plantear una pregunta de este estilo, primero plantear si el
> mismo aspecto era o no seguro en el voto tradicional

    salvo por el tema del costo y la opcaicidad de los sistemas a
personas no iniciadas (o terminadas, para el caso).

> la velocidad de recuento

    la velocidad no es necesaria. como ya puse en algún lado, los
elegidos no toman posesión de cargo hasta mucho después. 3h en vez de
12h o 3 semanas no le cambia la vida a nadie.

>  ¿el código del sistema desarrollado por MSA es abierto? Por el momento no.

    entonces ni siquiera podés fiscalizar que hace lo que dice que hace.

> es un poco infantil creer que una empresa es malvada por no abrir el
> código de lo que hace. 

    es un poco naïve creer que una empresa o parte de ella con
semejante nivel de capacidad para decidir el resultado de una elección
no puede ser corrompida por interesados con suficientes recursos.

> la seguridad del sistema no depende de que se conozca el código, ya
> que son las boletas impresas las que garantizan dicha seguridad.

    claro que depende del código. es el código el que transmite la
info y el que lee el rfid. nadie te asegura que en el rfid no están
grabados los valores oficiales y unos valores alterados y que los
alterados son los que van en el conteo final. claro, podés recontar a
mano, entonces perdiste la velocidad del sistema.

> ¿El costo del sistema no es demasiado elevado en comparación al
> tradicional? En realidad no.

    bueno, si no das números, es difícil creerte.

> en el voto tradicional recuerden que no basta con una boleta por persona. 

    en un sistema de boleta única cada persona hasta podría imprimir
la suya en casa.

    una última pregunta: tenían un experto en seguridad en la empresa?
conste que no soy tal, ni de cerca, apenas un sysadmin un poco
paranoico, y ya puedo presentar udas sobre su descripción. alguien con
más gimnasia al respecto seguramente encuentra mas.

    el resto se lo ve bien sólido, pero realmente lo veo como una
versión tecnocrática parcial de la boleta única, porque al final
final para estar seguros los números se hacen a mano. no sé si las
ventajas de seguridad (que parece tenerlas, si) son suficientes para
contrarestar el costo. ahora hasta me hiciste dudar si un conteo
electrónico de un sistema de boleta única es confiable o no :)