[pyar] [off-topic] Voto electronico

[fisa]

On Mon, Apr 27, 2015 at 2:55 PM Daniel Moisset <dmoisset en machinalis.com>
wrote:

> Nunca use el sistema de boleta electrónica, así que todo lo que se es lo
> que leí en el artículo de fisa y capaz me falta saber algún paso. Me
> gustaría que los que lo conocen o lo han usado me aclaren varias dudas. En
> general relacionadas a fraude por perdida de secreto de voto, y riesgo de
> coacción (que es la motivación principal de que el voto sea secreto):
>
> A) Se planteó en varios lados que este modelo soluciona el "voto en
> cadena" del voto tradicional (que es un problema real y que sucede). Ahora,
> hay algo en el sistema de boleta electrónica que impida que yo:
>  1. consiga una primer boleta con el voto al candidato a A (voy a votar
> temprano, emito mi voto por A, me lo llevo y meto en la urna un
> papel/cartón que se vea como una boleta electrónica, que luego sera un voto
> impugnado/inválido.
>

Acá es donde te frenan, con el sistema del doble troquel. Las boletas
tienen dos troqueles, con una sucesión de caracteres random cortada a la
mitad entre los dos troqueles horizontalmente (o sea, mitad de *cada*
caracter queda en ambos troqueles).
Al darte una boleta cortan el primer troquel y se lo quedan en la mesa. Vas
a la máquina, armás tu voto, volvés a la mesa, y ahí verifican que lo que
vas a meter en la urna tenga un troquel coincidente con el que sacaron. Si
coinciden, todo bien, sacan ese segundo troquel (para dejar anonimizada la
boleta), y metés el voto en la urna.
Si quisieses llevártelo escondido y meter otra cosa, necesitarías tener de
antemano una boleta idéntica, o sea, con el mismo troquel (caracteres
random) que la que te dan en la mesa.


>  2. Me paro en la puerta y le digo a la gente que quiero coaccionar: "meté
> este voto por A[el qeu saqué recien]", votá por A en la boleta que te dan,
> y traeme esa boleta al salir. Sino te hago cagar/te dejo sin trabajo/te
> quito el subsidio/whatever"
>  3. Repito 2 con cuanta gente tenga bajo mi poder.
>
>  ... aca un hack que se me ocurrió primero es que el votante puede votar a
> quien quiera y traer de vuelta la boleta original. El problema es que como
> todas las boletas son unicas e identificables, el matón podría escanearlas
> con un celular y verificar que la que em traen de vuelta sea diferente a la
> que yo entregue.
>
>


> B) Un escenario nuevo que se me ocurre simil voto en cadena: soy el maton
> y armo en mi celular una app que va registrando id+voto de todas las
> boletas que se escanean. En ese caso, puedo hacer la anterior salteando el
> paso uno y en vez:
>  2. Me paro en la puerta y le digo a la gente que quiero coaccionar: "votá
> por A, toma este telefono que te doy y escanea el voto antes de meterlo a
> la urna, y traeme el teléfono de vuelta. Sino te hago cagar/te dejo sin
> trabajo/te quito el subsidio/whatever. Si votas a alguien mas el telefono
> me va a avisar."
>  3. Repito 2 con cuanta gente tenga bajo mi poder.
>
> Este escenario es posible o me falto algo? Se les ocurre un escenario así
> en papel? (yo me imagino sacandole foto a la boleta antes de cerrar el
> sobre, pero ahi nada impide al votante sacar la foto, cambiar la boleta y
> cerrando el sobre... capaz filmar cuando se mete la boleta y se cierra el
> sobre, aunque es un poco mas complicado)
>
>
No es posible por lo mismo de antes: no te podrías llevar la boleta y meter
otra, porque se detecta con el doble troquel.


> C) que impide que que el fiscal se pase las boletas frente el bolsillo de
> la camiza antes de entregarla a sus puntereados, para poder saber los ids
> de la gente que esta persiguiendo que vote a su candidato? Esto es similar
> a B, pero el id se obtiene antes del voto, y se cruza con el resultado
> después.
>

Nada lo impide. Es lo mismo que firmar diferente el sobre, pero más caro
(necesitas lectores / celulares con lector) y más difícil de conseguir. Me
explico respecto a la dificultad:
Pensá que inicialmente, hasta antes de abrir la urna, tenés la lista:
pepe boleta con id 10
luis boleta con id 20
...
Pero no tenés el contenido de cada voto. No sabés qué votaron.
En el recuento, recién podrías asociar lo que se lea en cada voto con el
id. Pero para eso necesitas *volver a tocar* cada voto, durante el
recuento. Y sí o sí cada voto, porque cuando los sacan de la urna no salen
"ordenados", cualquiera puede ser de la gente que querías ver. Y vos como
fiscal no tocás las boletas en el recuento, y aunque las tocases, sería
sospechoso que quieras acercarte cada boleta del recuento a un punto de tu
cuerpo.
E insisto: tendrías que hacerlo con todas, porque no vas a ir mirando en tu
celu a ver si ya leíste las que querías, lo vas a poder ver recién cuando
estés "solo".


>
> En estos tres casos, siento que el problema viene de que todas las boletas
> estén "marcadas". Cual es el proposito de eso en el sistema? Entiendo que
> impide que se cuente un voto "dos veces",
>

Es principalmente eso, pero además es parte de la tecnología. Los chips
RFID tienen una especie de mac.


> pero creo que eso se puede resolver a mano sin tecnología.
>
Que otro proposito tiene que cada boleta sea única?
>

Sí, aunque des-dificultando el armado de recuentos "falsos", que es una de
las ventajas bien grandes que tiene respecto al papel.
Con el sistema actual, si querés dibujar un recuento poniendo 300 votos a
X, tenés que votar 300 veces por separado. Eso lleva mucho tiempo (horas) y
requiere uso constante de una máquina, por lo que es difícil de hacer a
escondidas, sencillamente el proceso electoral no te da tan fácil esa
ventana de tiempo / equipo disponible, sin que otra gente te vea. Como
decía en otro mail: si todas las mesas hicieron el recuento en 15 minutos,
y vos hace horas que estás ahí encerrado haciendo ruido de impresión de
votos, muy probablemente alguien va a venir a mirar y cuestionar.
Sacando esa característica, podrías votar una sola vez a X en 1 minuto
(fácil de hacer a escondidas), y luego pasar ese voto las veces que quieras
en el recuento.

Pregunta que puede surgir respecto a esto: y cómo se garantiza que alguien
de afuera no tenga una máquina en su casa, armando votos tranquilo para
después traerlos y meterlos en la urna?
Respuesta: no tenés forma de garantizarlo, tenés que confiar en que el
presidente y los fiscales no van a dejar venir a alguien y meter un toco de
votos en la urna. Again, igual que en el papel, pero más difícil de
explotar (en papel las imprimís y listo, acá tenés que imprimirlas y grabar
los rfid de forma correcta).

Es lo mismo de siempre: si tenés a toda la gente entongada, en el papel se
puede, acá también, pero acá por lo menos es más difícil.


> Aca hay un par de dudas que las tengo aún si se quita la unicidad de las
> boletas:
>
> D) como se garantiza que el orden no se grabe en la maquina? El fiscal
> afuera puede de algun modo registrar en que orden entraron los votantes que
> le interesa "monitorear". Si de algún modo puede luego "comprarle" la
> secuencia de candidatos votados al fabricante de la maquina, o a un
> programador "rogue" en la organización, o al fabricante de hardware que le
> puso un backdoor, se violaría el secreto de voto. Mi preocupación aca es
> que , aún sin HDD, la mayoría del hardware moderno tienen memorias
> persistentes para configuracion, firmware donde hay espacio utilizable. no
> un monton, pero los 1 a 2kb que te hace falta para registrar la secuencia
> de votos de una mesa en algun lado los metes.
>

> Hay algo en el proceso que impida esta forma de fraude? (por ejemplo "las
> maquinas se pulverizan con explosivos apenas termina la elección")
> Hay alguna forma de auditar que las maquinas estas no tienen memoria
> persistente, mas alla de que MSA y los fabricantes de hardware me lo juren
> con muchas ganas?
>
>
Esto se soluciona por un lado permitiendo más de una máquina por mesa y
máquinas compartidas entre mesas (mete dificultad), y por otro no
permitiendo que los fiscales ni presidentes de mesa manipulen las boletas,
que la caja sea abierta frente a la gente y fiscales, y que la persona
pueda sacar ella misma la boleta que quiera de la caja sin que el
presidente o los fiscales la agarren antes. Acordate que leerlas lleva unos
segundos de estar quieta y bien contra la antena del aparato.

Eso hace que incluso aunque tuviesen almacenamiento, sería
considerablemente más difícil (shuffle mesas/máquinas) o imposible
(presidente/fiscales no tocan boleta) conseguir esa información. Cosa que
ya es un salto respecto a la facilidad de ver eso que hoy da el papel (se
hace la firma diferente, o se marca el sobre, y listo).

Me voy a inventar una sigla para: again, papel también es vulnerable, pero
con esto es más difícil.


> D') Como se garantiza que el orden no se transmita por afuera? Sin storage
> local, puede pasar lo mismo si la maquina emite maliciosamente la secuencia
> de votos. No hace falta red para esto, modulando un chip de I/O
> apropiadamente se pueden mandar señales (por ejemplo,
> http://www.icrobotics.co.uk/wiki/index.php/Turning_the_Raspberry_Pi_Into_an_FM_Transmitter
> ).
>
> Hay algo en el proceso que impida esta forma de fraude? (por ejemplo "las
> maquinas estan en una jaula de Faraday")
> Hay alguna forma de auditar que las maquinas estas no transmiten, mas alla
> de que MSA y los fabricantes de hardware me lo juren con muchas ganas?
>
>
Esto tendrías que pedirle al tribunal electoral que te permita testearlo
con una máquina, midiendo que no transmite señales de ningún tipo cuando la
usas para votar. Digo tribunal porque es quien tiene la autoridad para eso.
Muchas veces la empresa ni siquiera puede decidirlo, depende del lugar y
leyes. Deberían dejarte hacerlo, incluso durante la elección.


> D'') como se garantiza que el orden no se guarde en las boletas? Alguien
> tiro una muestra de watermarking; con que la maquina numere los votos como
> 1, 2, 3, ... y el fiscal anote en que posicion entraron la gente que
> "monitorea", se pueden recuperar los votos.
>
> Hay algo en el proceso que impida esta forma de fraude? (aca no se me
> ocurre)
> Hay alguna forma de auditar que las maquinas estas no imprimen numeros de
> serie, mas alla de que MSA y los fabricantes de hardware me lo juren con
> muchas ganas?
>
>
Por un lado, el shuffle máquinas/mesas te rompería cualquier asociación por
orden.
Por otro, si eso no está, igual aplica lo mismo que explicaba con los
chips: requiere de acceso físico a las boletas post-votación (durante el
recuento, por ejemplo), para leerlas de alguna manera y detectar las marcas.
Si tus presidentes y fiscales están tan entongados que durante el recuento
pueden hacer todo eso sin que nadie les diga nada, entonces no hay sistema
que se resista: en papel también lo harían con firmas o marcas, cámaras en
la sala, etc.


> Saludos,
>    D.
>
>
Saludos! Y gracias, de las mejores preguntas que recibí, lógicas y bien
fundadas.
No "para mi es evil! inseguro! seguro se viola el secreto porque es una
compu!". Sino explicaciones bien claras de la vulnerabilidad que se plantea.


>
> 2015-04-27 13:51 GMT-03:00 Emiliano Dalla Verde Marcozzi <
> edvm en fedoraproject.org>:
>
> El 25 de abril de 2015, 14:02, fisa <fisadev en gmail.com> escribió:
>>
>>> Gente, lo digo con buena onda: antes de postear lean el hilo. No vengan
>>> y tiren una idea, cuestionamiento, etc, sin leer lo que ya se estuvo
>>> hablando. Es re desgastante responder 6 o 7 veces la misma cosa :)
>>>
>> Refloto / quoteo el mail de fisa para insistir en que por favor lean el
>> post que escribió completo:
>>
>> http://fisadev.blogspot.com.ar/2011/04/voto-electronico-con-python-y-ubuntu.html
>> Aprovecho para postear link a una entrevista radial que le hicieron a
>> Javier Smaldone hace
>> algunas semanas: http://www.infosertec.com.ar/blog/?p=54906
>> Y luego algunos comentarios que hice sobre la misma, que desde mi punto
>> de vista
>> decían algunas "burradas":
>> http://t.co/fdQzKaHGmT
>> Por favor, prestar atención a las siguientes cosas que considero estan
>> diciendo al voleo, sin
>> datos posta.
>> 1- "El sistema de voto es mas caro  que el convencional."
>> - Es realmente así? Cuanto mas caro?
>> 2- "El sistema es vulnerable."
>> - Seguramente, vos pudiste vulnerarlo? De que manera?. Argumentar lo
>> "malo" que es el voto electrónico
>> en el fracaso de otras tecnologías empleadas en otros países creo no
>> tiene sentido acá.
>> Mostrar a la gente como vulnerar el sistema con una boleta que no se
>> utiliza en los procesos electorales,
>> es crear en la gente una imagen, impacto y una realidad incorrecta de que
>> el voto electrónico es malo.
>> Ej:
>> https://storify.com/public/templates/card/index.html?src=//storify.com/mis2centavos/las-boletas-de-voto-electronico-con-chip-rfid
>> IMHO creo siempre es fácil hablar, ahora trabajar ya no tanto.
>> Remitiéndome a el link anterior, me parecería
>> genial que para probar que la boleta es insegura de la forma que lo
>> menciona, hiciese la prueba de escribir
>> el chip en un proceso electoral de verdad. Si alguien puede hacerlo,
>> seria honorable salga del cuarto oscuro y grite "Fraude!",
>> porque entiendo esta defendiendo el proceso por el cual los ciudadanos
>> expresan por quien quieren ser representados.
>> 3- "Es lo mismo que el papel, solo que mas caro / inseguro."
>> Esto no es así, leer el post de fisa.
>> 4- "El código debería ser libre."
>> Comparto en que seria genial exigirle a las entidades publicas (publico,
>> perteneciente o relativo a todo
>> el pueblo: http://lema.rae.es/drae/srv/search?id=McVNSEjtKDXX2OjA2N9s)
>> que las herramientas informáticas,
>> en este caso de voto electrónico, sean de código libre. No considero
>> correcto exigirle a una empresa (en este
>> caso MSA) de que libere su código, porque es propiedad de ellos. Es como
>> si fuera a la casa del vecino y
>> le dijera "dame tu casa" :P.
>> Para terminar, insisto en que me parece que el sistema de voto
>> electrónico de MSA (no conozco otro sistema
>> ni libre ni privativo hecho en el país) es mejor al sistema que venimos
>> utilizando con papel. Por citar un ejemplo
>> reciente, aun no se sabe quien gano como gobernador en Santa Fe.
>> Pido por favor en lugar de hacer foco en cosas como "Ohhh empresa evil,
>> voto electronico evil, todo evil!!!" hagamos
>> tiempo y foco en como mejorar las cosas. Es un hecho que el proceso
>> electoral actual con papel y lápiz esta super
>> bugueado.
>> Saludos,
>> Emiliano.
>>
>> --
>> Broken code @ https://github.com/edvm
>>
>> <edvm en python.org.ar>
>>
>> _______________________________________________
>> pyar mailing list pyar en python.org.ar
>> http://listas.python.org.ar/listinfo/pyar
>>
>> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
>
> --
> Daniel F. Moisset - Technical Leader
> www.machinalis.com
> Skype: @dmoisset
>  _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20150428/89de6d97/attachment-0001.html>