Quasar
Utente
Platinum Internetcratico| Posts: 78 |   |
|
Proposta di meccanismo di voto v2.0 - 2005/09/22 23:18
Questo documento si divide in 4 parti, di cui la principale è senz'altro la prima. Le altre 3 sono approfondimenti su alcune problematiche specifiche derivanti dal sistema di voto descritto nella prima parte.
SISTEMA DI VOTO:
Elemento tecnologico fondante di tutto il meccanismo sono le chiavi di cifratura asimmetrica (pubblica/privata) tipo RSA, DSA, ecc.
Le figure base del meccanismo sono le seguenti:
1) persona avente diritto al voto (di seguito "Cittadino")
2) sistema informatico di supporto al voto e alla gestione dei Cittadini (di seguito "Sistema")
3) chiave asimmetrica (di seguito "Chiave")
4) Chiave detentrice del diritto di voto (di seguito "Chiave Detentrice")
5) Chiave per lo scambio di Chiavi Detentrici (di seguito "Chiave di Scambio")
Gli obbiettivi che la mia soluzione si prefigge sono i seguenti:
1) essere utilizzabile interamente via Internet
2) garantire segretezza del voto, di ciascun Cittadino nei confronti degli altri Cittadini e nei confronti del Sistema
3) garantire unicità del voto: ogni Cittadino non deve avere la possibilità di esprimere più di un voto
4) garantire verificabilità del voto: ogni Cittadino deve avere la possibilità di verificare che il proprio voto sia stato effettivamente conteggiato
Il principio usato è quello della così detta "chain of trust" (catena fiduciaria), che consiste in una root (radice) considerata affidabile che, una volta verificata l'affidabilita dell'elemento successivo della catena, "passa il controllo" ad esso, il quale può se vuole passare a sua volta il controllo al suo elemento successivo, e così via. Nel nostro caso la radice di questa catena è il Sistema, il quale autorizza la Chiave di una persona ad avere facoltà di voto e/o a cedere successivamente ed in via definitiva la propria facoltà di voto ad un'altra Chiave.
Il procedimento nel dettaglio è il seguente:
1) ogni persona che volesse diventare Cittadino genera privatamente una Chiave usando il software e i metodi a lui più congeniali; questa Chiave è quella candidata a diventare una Chiave Detentrice Originaria (di seguito "Chiave Candidata")
2) la persona presenta un documento recante data, ora, tipo di evento = Richiesta di Autorizzazione al Voto, parte pubblica della Chiave Candidata, il tutto firmato dalla Chiave Candidata medesima; nel fare ciò la persona presenta anche credenziali fisiche con le quali il Sistema verifica l'ammissibilità della persona a diventare un Cittadino; come verifica obbligatoria il Sistema deve assicurarsi almeno che tale persona non abbia già presentato Chiavi che siano ancora attive
3) il Sistema prepara un documento digitale recante data, ora, tipo di evento = Autorizzazione al Voto, la parte pubblica della Chiave Candidata, ed usa la propria Chiave privata per firmare tale documento digitale che poi trasmette alla persona; il Sistema inoltre inserisce tale Chiave Candidata nel database delle Chiavi autorizzate al voto; la Chiave Candidata diventa quindi una Chiave Detentrice Originaria; questa Chiave Detentrice è particolare perchè essa fa da capostipite a tutte le successive Chiavi che da essa erediteranno, in cascata, il diritto al voto; in quanto capostipite, la Chiave Detentrice Originaria sarà riportata praticamente in tutti i documenti digitali firmati dalle Chiavi Detentrici successive, per puri scopi di riferimento
4) la persona a questo punto è in possesso della Chiave che il Sistema ha memorizzato come Chiave Detentrice Originaria ed anche del documento digitale di Autorizzazione al Voto firmato dal Sistema; come conseguenza diretta di tutto ciò la persona è diventata un Cittadino; il Cittadino ha il dovere e l'interesse di custodire gelosamente la parte privata della Chiave Detentrice; è inoltre interesse del Cittadino custodire anche l'Autorizzazione al Voto onde dimostrare i propri diritti in caso di contenziosi con il Sistema
5) in questo momento abbiamo garantito unicità del voto, poichè il Sistema ha verificato che quella persona non abbia già una Chiave all'attivo; questa verifica può essere effettuata privatamente anche dalla persona prima di presentare la Chiave poichè il database delle Chiavi Detentrici valide DEVE essere pubblico
6) il Cittadino potrà usare quella Chiave Detentrice in ogni occasione di voto, e grazie alla sostanziale incraccabilità di una Chiave (presupposto universalmente accettato, fin tanto che rimarrà tale), abbiamo garantito anche la verificabilità per ciascun Cittadino, posto che il database dei voti espressi sia sempre reso pubblico (e DEVE essere reso pubblico)
7) in questo momento però non abbiamo ancora garantito la completa segretezza in quanto il Sistema può essere in grado di ricondurre a quel Cittadino i voti espressi con quella Chiave Detentrice Originaria; per ottenere anche quest'altro importante obbiettivo (importante per ciascun Cittadino tanto quanto quel Cittadino ritiene importante l'assoluta segretezza del proprio voto) è necessario che i Cittadini cambino le Chiavi onde "far perdere le tracce" della Chiave Detentrice che hanno presentato al Sistema; l'obbiettivo dichiarato è far si che il Sistema non possa più sapere chi sia veramente in possesso di una determinata Chiave Detentrice; il meccanismo che mi accingo a descrivere richiama in causa il Sistema (stavolta nel ruolo di garante per i Cittadini), si svolge interamente via Internet a tutto vantaggio del completo anonimato tra i Cittadini, e chiama in causa anche le così dette Chiavi di Scambio che servono per ottenere anonimato dei Cittadini anche nei confronti del Sistema; il ruolo del Sistema in questa fase è quello di garantire che lo scambio tra due Cittadini avvenga in modo tale da evitare che uno dei due Cittadini possa truffare l'altro con il trucco del "dammi prima la tua chiave che poi io ti do la mia", un trucco che sarebbe sfruttabile fin troppo facilmente tramite Internet e che quindi introdurrebbe il dilemma del "chi per primo dà cosa a chi". E' altresì utile chiarire che in questo meccanismo NON ci si scambia effettivamente alcunchè bensì ciascun Cittadino, usando la propria Chiave Detentrice attuale, fa le veci del Sistema nell'autorizzare UNA nuova Chiave in possesso dell'altro Cittadino; quindi in questo caso con "scambio" si intende un semplice "cambio di Chiave" piuttosto che un vero e proprio "scambio di Chiave"; ciò che i Cittadini si "scambiano" è il favore di autorizzarsi reciprocamente una nuova Chiave a diventare la nuova Chiave Detentrice di ognuno. Ecco come avviene:
8) i due Cittadini si mettono in contatto real-time tramite un media out-of-band nei confronti del Sistema (chat-room, IRC, incontro faccia-a-faccia, ...) facendo attenzione a non comunicare nessuna informazione che possa essere usata per risalire alla propria identità; i due Cittadini si comunicano la parte pubblica della rispettiva Chiave di Scambio che è una Chiave diversa dalla Chiave Detentrice ed anch'essa generata privatamente e mai comunicata al Sistema prima di quel momento; è fortemente consigliato, anche se non strettamente indispensabile (dipende dalla paranoia di ognuno) che tale Chiave di Scambio sia una one-time-key, cioè una Chiave usata per un solo scambio
9) ciascuno dei due Cittadini agisce come segue:
a) prepara un documento digitale recante data, ora, tipo di documento = Richiesta di Testamento, parte pubblica della propria Chiave di Scambio, firma tale documento con la propria Chiave Detentrice attuale e trasmette tale blob all'altro Cittadino; questo blob è in pratica un documento digitale dove si richiede all'altro Cittadino di autorizzare questa nostra Chiave di Scambio, ed allo stesso tempo, in cambio della sua autorizzazione, si dichiara l'intenzione di autorizzare a nostra volta la sua nuova Chiave; chiameremo questo documento "Richiesta di Testamento" perchè richiede all'altro Cittadino di far "morire" la propria Chiave Detentrice allo scopo di tramandare la facoltà di voto di quella Chiave alla propria Chiave di Scambio
b) attende la ricezione della Richiesta di Testamento dell'altro Cittadino
c) effettua le verifiche che ritiene opportune sulla Chiave Detentrice dell'altro Cittadino e se tutto risulta regolare prosegue con il prossimo punto altrimenti la transazione si interrompe qui
d) prepara un altro documento digitale analogo al precedente con però tipo di documento = Promessa di Testamento e con la Chiave di Scambio dell'altro Cittadino al posto della propria, e firma il documento con la propria Chiave Detentrice corrente; possiamo chiamare il blob che ne deriva una "Promessa di Testamento" perchè è praticamente una dichiarazione che promette che il Cittadino farà "morire" la propria Chiave Detentrice lasciando in eredità la facoltà di voto della Chiave alla Chiave di Scambio dell'altro Cittadino
e) attende la ricezione della "Promessa di Testamento" da parte dell'altro Cittadino
E' nell'interesse di ciascun Cittadino custodire temporaneamente tutti i documenti digitali ricevuti dall'altro Cittadino (Richiesta e Promessa di Testamento) onde avere prove inconfutabili in caso di contenziosi
10) a questo punto i due Cittadini possono effettuare la rispettiva connessione con il Sistema onde procedere alla segnalazione al Sistema della propria volontà di autorizzare la Chiave di Scambio dell'altro Cittadino; al fine di impedire al Sistema di applicare algoritmi euristici per incrociare le due transazioni (cosa che consentirebbe al Sistema di continuare ad avere tracce importanti su chi sia in possesso delle Chiave Detentrici), sarebbe opportuno che i due Cittadini non effettuassero tale operazione nello stesso preciso momento bensì che si accordassero per un lasso di tempo massimo entro cui ciascuno è libero di effettuare l'operazione; d'altro canto però, siccome in questa fase le truffe tra Cittadini sarebbero ancora attuabili, l'operazione di autorizzazione prevede espressamente che la Chiave Detentrice ceduta abbia un periodo di "congelamento" presso il Sistema, durante il quale la Chiave è temporaneamente inaccettabile sia per operazioni di voto che per ulteriori operazioni di testamento e durante il quale il Cittadino ha facoltà di sollevare contestazioni presso il Sistema; è esattamente con questo stratagemma che il Sistema acquisisce il ruolo di Terza Parte Fidata nei confronti di Cittadini in procinto di autorizzarsi reciprocamente le rispettive Chiavi di Scambio; il lasso di tempo da concordare tra i due Cittadini dunque dovrebbe essere comunque entro questo tempo di congelamento in modo da avere sempre tempo materiale per sollevare contestazioni ufficiali; il tempo di congelamento che il Sistema applica ad una Chiave che sta ereditando la facoltà di voto è di 48 ore, quindi un ragionevole lasso di tempo concordabile tra i due Cittadini entro cui effettuare materialmente l'operazione non dovrebbe mai essere superiore alle 36 ore; notare comunque che tale accordo non è necessario, e non è necessario neanche che venga effettivamente rispettato: si tratta solo di un "accordo sulla parola" utile ad entrambi i Cittadini al solo scopo di non fornire al Sistema informazioni incrociabili ed ogni Cittadino è libero di effettuare contestazioni anche solo pochi istanti dopo aver ricevuto la Promessa di Testamento, nonostante gli accordi con l'altro Cittadino fossero diversi; in ogni caso il meccanismo è fatto in modo tale da fornire un sistema semplice ed immediato per proteste giustificate ma allo stesso tempo non fornire nessun motivo di interesse per proteste ingiustificate poichè prevede tutti gli strumenti necessari ad individuare con precisione assoluta chi ha sbagliato e consentire ai Cittadini di portare a termine regolarmente lo scambio oppure far valere i diritti del Cittadino truffato
11) per effettuare il testamento ciascuno dei due Cittadini trasmette al Sistema la Promessa di Testamento che ha trasmesso in precedenza all'altro Cittadino con però tipo di documento = Effettuazione Testamento; da questo momento quella Chiave Detentrice non avrà più facoltà di voto nè di effettuare scambi
12) il Sistema "congela" per 48 ore la Chiave indicata come erede; durante questo lasso di tempo tale Chiave erede è temporaneamente inaccettabile sia per operazioni di voto che per ulteriori operazioni di scambio ed inoltre la Chiave Detentrice che ha fatto testamento avrà facoltà di mettere subjudice la Chiave erede; scadute le 48 ore la Chiave Detentrice che ha presentato testamento non potrà più rivendicare alcun diritto
13) in qualsiasi momento, anche dopo le 48 ore di congelamento, ciascun Cittadino può procedere ad ereditare la facoltà di voto per la propria Chiave di Scambio; per fare ciò ciascun Cittadino prepara un documento digitale recante data, ora, tipo di documento = Richiesta di Autorizzazione al Voto, la parte pubblica della Chiave di Scambio che deve ereditare la facoltà di voto e la parte pubblica della Chiave Detentrice da cui si deve ereditare, il tutto firmato dalla Chiave di Scambio medesima onde dimostrare di esserne veramente in possesso; il Sistema, dopo le verifiche, risponde trasmettendo un documento analogo a quello testè inviato dal Cittadino con però tipo di documento = Autorizzazione al Voto e con la Chiave Detentrice Originaria al posto della Chiave Detentrice da cui si è ereditato, il tutto firmato dalla Chiave privata del Sistema; a questo punto la Chiave di Scambio è dunque diventata una Chiave Detentrice con la quale il Cittadino può effettuare le normali operazioni di voto nonchè ulteriori operazioni di scambio, ma solo dopo lo scadere delle 48 ore; è inoltre nell'interesse del Cittadino custodire il documento appena ricevuto dal Sistema in quanto esso è a tutti gli effetti sostitutivo della Autorizzazione al Voto descritta al punto 4; qualora il Cittadino effettuasse un nuovo scambio allora riceverà una nuova Autorizzazione al Voto che sostituirà quella ricevuta in questo momento, e così via
14) a questo punto abbiamo ottenuto una ragionevole segretezza di voto anche nei confronti del Sistema in quanto la Chiave Detentrice Originaria che il Sistema poteva aver associato ad una certa anagrafica è ormai "deceduta" e la nuova Chiave Detentrice che da essa ha ereditato la facoltà di voto è in possesso di un Cittadino diverso dal precedente ma il Sistema non sa chi sia
15) in caso di controversie tra i due Cittadini coinvolti, abbiam detto che ciascun Cittadino ha 48 ore di tempo per sollevare contestazioni ufficiali presso il Sistema nei confronti dell'altro Cittadino; per effettuare ciò il Cittadino deve:
a) presentare la Richiesta di Testamento inviata dall'altro Cittadino
b) presentare la Promessa di Testamento inviata dall'altro Cittadino
c) dimostrare di essere in possesso della propria attuale Chiave Detentrice che si deve aver già testamentato a favore della Chiave di Scambio indicata nella Richiesta di Testamento presentata al punto a)
d) presentare la Autorizzazione al Voto rilasciata a suo tempo dal Sistema per la propria attuale Chiave Detentrice testamentata
Verificata la regolarità di tutto ciò il Sistema procede nel mettere subjudice la Chiave di Scambio indicata nella Richiesta di Testamento, allungando il congelamento di almeno altre 48 ore in più a quello che restava delle 48 ore precedenti; se le ore di subjudice trascorrono senza ulteriori eventi allora il Cittadino che ha sollevato la contestazione può inoltrare documento digitale di Richiesta di Revoca Testamento al quale il Sistema risponde trasmettendo una nuova Autorizzazione al Voto, di fatto dichiarando nullo il precedente testamento e quindi riattivando la Chiave Detentrice testamentata; se invece durante le ore di subjudice l'altro Cittadino si fa avanti, quest'ultimo è sollecitato ad eseguire le regolari operazioni di testamento della sua Chiave Detentrice ovvero in alternativa presentare anch'egli al Sistema gli stessi documenti digitali già presentati dal Cittadino che ha sollevato la contestazione; in questo secondo caso il Sistema viene a conoscere tutti gli elementi necessari per stabilire adeguatamente come stiano esattamente le cose e se non è possibile stabilire oggettivamente un colpevole (entrambi potrebbero aver sbagliato in buona fede) entrambi i Cittadini hanno l'opportunità di effettuare finalmente il reciproco testamento ed ereditaggio; nel caso in cui invece uno qualunque dei due Cittadini risultasse nella piena ragione (presumibilmente quello che ha sollevato la contestazione) allora egli potrà inoltrare Richiesta di Revoca Testamento al quale il Sistema risponde trasmettendo una nuova Autorizzazione al Voto, di fatto dichiarando nullo il testamento e quindi riattivando la Chiave Detentrice testamentata
16) durante le effettive operazioni di voto dunque nessun Cittadino è tenuto a presentare dati anagrafici personali o a identificarsi in alcun modo bensì deve presentare solamente il proprio voto firmato dalla propria Chiave Detentrice attuale; il Sistema dovrebbe accettare solo i voti presentati da coloro forniscano una Chiave Detentrice valida (non congelata nè subjudice) ma anche se il Sistema fallisse questo controllo qualunque persona (Cittadino e non) può verificare che ogni voto nel database dei voti sia associato ad una Chiave Detentrice valida; presupposti imprescindibili di tale verifica sono:
a) il database dei voti deve essere pubblico
b) il database delle Chiavi Detentrici deve essere pubblico
c) il database contenente lo storico degli eventi accaduti alle Chiavi Detentrici deve essere pubblico
Lo storico degli eventi consiste sostanzialmente nell'archivio dei documenti digitali di Testamento presentati dalle varie Chiavi Detentrici che si sono succedute di volta in volta, ogni volta tramandandosi la facoltà di voto che il Sistema ha concesso alla Chiave Detentrice Originaria
17) l'espressione del voto consiste nei seguenti passaggi:
a) creazione di un blob rappresentante il proprio voto firmato dalla Chiave Detentrice
b) trasmissione del blob creato al punto a) al Sistema
{Aggiunta del 27 Nov 2005}
CONSIDERAZIONI VARIE CHE DERIVANO DA UN TALE MECCANISMO:
* a tutti gli effetti in questo meccanismo non ha senso parlare di "persona avente diritto al voto" si parla bensì di "chiave asimmetrica avente diritto al voto"; è grazie a questo stratagemma, insieme alla disassociazione chiave-persona indotta dallo scambio di chiavi, che è possibile ottenere una ragionevole segretezza del voto; l'effetto collaterale ed il rischio indotto è che qualunque persona (anche un bimbo o un immigrato clandestino) è un Cittadino fin tanto che sia in possesso di una Chiave Detentrice
* nel meccanismo sopra descritto identifico, per mera semplicità, il Sistema come un'unica entità centrale, ma l'ideale sarebbe riuscire ad instaurare un infrastruttura peer2peer composta da più figure che abbiano "i requisiti per fungere da Sistema per i Cittadini". Quale significato dare esattamente a questa frase e quali siano i requisiti è materia di ulteriore analisi ma ritengo che dovrebbero essere requisiti il più possibile oggettivi e scevri da interpretazioni diverse, requisiti che siano di pubblico dominio e universalmente accettati, requisiti che siano verificabili da tutti in qualsiasi momento senza ostacolo alcuno ed infine requisiti che non siano irraggiungibili nemmeno per dei singoli privati cittadini (cosicchè anche un singolo cittadino, qualora volesse e avesse appunto i requisiti, possa essere anche parte del Sistema oltre che essere Cittadino). Lo scopo di rendere il Sistema una infrastruttura p2p è quello di non avere un unico punto critico suscettibile di attacchi e corruzioni
* da notare che tutto il procedimento di cambio Chiave è espressamente pensato per essere effettuato anche da un solo Cittadino facente le veci sia di chi tramanda che di chi eredita; egli farebbe quindi solamente finta di tramandare la facoltà di voto ad un'altra persona, e lo scopo di ciò è introdurre un ulteriore elemento di incertezza per il Sistema poichè in tal modo esso non può sapere se un determinato "passaggio di facoltà" stia avvenendo realmente tra due persone diverse oppure no; in questo modo il Sistema è ancora più impossibilitato a risalire alla persona fisica in possesso di una determinata Chiave Detentrice a tutto vantaggio della segretezza del voto
* in ordine alla caratteristica descritta sopra, rimane teoricamente il problema della identificazione dell'indirizzo IP dei Cittadini coinvolti nello scambio ma l'indirizzo IP non può essere usato come identificazione certa per via della possibilità di usare NAT, Proxy, e anche Internet cafè od eventuali appositi "punti di scambio" che potrebbero nascere all'uopo, punti dove le persone potrebbero andare muniti del proprio computer o palmare appositamente per connettersi ad Internet ed impedire quindi lo sfruttamento dell'indirizzo IP come elemento identificativo; notare bene che raccomanderei fortemente di recarsi in tali luoghi muniti del proprio computer o palmare e quindi di non affidarsi a macchine presenti sul posto perchè tali macchine potrebbero essere manomesse maliziosamente
* riguardo alla accessibilità di tale meccanismo, ovviamente purtroppo persone anziane o comunque refrattarie alle nuove tecnologie potrebbero avere oggettive difficoltà; purtroppo il massimo che si può sperare è che ciascuna di quelle persone possa trovare un persona di fiducia, onesta e leale, a cui affidarsi; una menzione particolare va fatta inoltre per i cellulari in quanto essi sono stati indicati come strumento alternativo ad Internet grazie al vantaggio di essere più diffusi ed usabili anche in zone rurali: la mia opinione è che i cellulari usati per votare tramite ad esempio semplici SMS siano suscettibili di troppe forme di attacco facilmente attuabili dal Sistema o addirittura dai gestori di telefonia, e quindi personalmente approvo l'utilizzo di cellulari ma solo se trattasi dei così detti smartphone poichè essi hanno la possibilità di installare software aggiuntivi (il software di voto) e la possibilità di accedere ad Internet tramite una telefonata GSM-Dati o una connessione GPRS o UMTS. Fortunatamente la grandissima maggioranza dei cellulari venduti già oggigiorno sono annoverabili nella categoria degli smartphone percui questo requisito non dovrebbe rappresentare un vincolo significativamente discriminatorio
{Fine Aggiunta}
-----
I MOTIVI DEL CONGELAMENTO:
Per chiarire i motivi della necessità di aver un tempo di congelamento dopo un'operazione di testamento è utile portare un esempio. Il caso da gestire è quello in cui le operazioni descritte al punto 9 avvengono tutte regolarmente ma poi solo uno dei Cittadini effettua l'effettivo testamento a favore dell'altro Cittadino il qual, provvede a ereditare ma non provvede a mantenere a sua volta la Promessa di Testamento fatta; questo caso è schematizzabile come segue:
Il Cittadino X possiede la Chiave Detentrice CD1 che ha ereditato la facoltà di voto dalla Chiave Detentrice Originaria K1
Il Cittadino Y possiede la Chiave Detentrice CD2 che ha ereditato la facoltà di voto dalla Chiave Detentrice Originaria K2
Il Cittadino X genera la Chiave di Scambio CS1, il Cittadino Y genera la Chiave di Scambio CS2
X (tramite CD1) richiede a Y di testamentare la sua Chiave Detentrice a favore di CS1
Y (tramite CD2) richiede a X di testamentare la sua Chiave Detentrice a favore di CS2
X promette di tramandare a CS2 il potere di voto originariamente concesso a K1 attualmente detenuto da CD1
Y promette di tramandare a CS1 il potere di voto originariamente concesso a K2 attualmente detenuto da CD2
X si collega al Sistema e testamenta CD1 a favore di CS2
Y si collega al Sistema e tramite CS2 eredita la facoltà di voto di K1 detenuto fino a quel momento da CD1
X ha perso facoltà di voto, Y possiede due facoltà di voto
X, vedendo che Y non mantiene la promessa, si avvale del temporaneo congelamento di CS2 da parte del Sistema per sollevare contestazione, dimostrando che CD2 aveva promesso a CS1 di tramandare la facoltà di voto originariamente concessa a K2
se Y nel frattempo testamenta CD2 a favore di un'altra Chiave di Scambio CS3 in possesso di un altro Cittadino Z (o magari in possesso sempre di Y), allora il Sistema concede a X di revocare il suo testamento, così Y rimane solo con la sua CD2 od eventualmente una CS4 che ha ereditato da un'altra Chiave Detentrice CD3 in possesso del Cittadino Z (o magari tramite CS3 rieredita dalla sua stessa CD2 che ha tramandato a se stesso)
In tutto questo il ruolo delle ore di congelamento è indispensabile perchè senza di esse l'unico modo per ogni Cittadino di essere sicuro di non venire truffato da un altro Cittadino sarebbe quello di trasmettere immediatamente al Sistema le Richiesta e la Promessa di Testamento dell'altro Cittadino (cioè di sollevare subito "contestazione ufficiale"), vanificando così l'anonimità indotta dalle Chiavi di Scambio perchè il Sistema saprebbe quale Chiave è in procinto di scambiare con quale altra Chiave. In sostanza, grazie al congelamento, ai Cittadini CONVIENE comportarsi lealmente se vogliono mantenere l'anonimato nei confronti del Sistema; se non ci fosse congelamento allora Y potrebbe votare con CS2 immediatamente dopo aver ereditato da CD1, oppure potrebbe testamentarla immediatamente a Z facendo perdere le proprie tracce (ovvero rendendo tanto più complicato rintracciarlo quanti più cambi di Chiave il Cittadino Y riuscisse a fare prima che X sollevasse contestazione ufficiale).
-----
FURTO O SMARRIMENTO DI UNA CHIAVE DETENTRICE E MORTE DI UN CITTADINO:
Lo stratagemma di scambio adottato per garantire segretezza (anonimato) del voto nei confronti del Sistema è efficace al punto tale che insorgono problemi per gestire il caso di morte di un Cittadino oppure di furto o smarrimento di una Chiave Detentrice. Soprattutto il caso di morte pone il dilemma di come fare ad individuare la Chiave Detentrice che era in possesso del Cittadino morto. L'unico modo per gestire questo caso è quello che ciascun Cittadino effettui operazioni preventive; queste operazioni consistono nell'autorizzare espressamente uno o più altri Cittadini a inoltrare richiesta di Revoca per Morte della propria Chiave Detentrice. Per ottenere ciò è necessario introdurre i seguenti elementi:
1) ogni Cittadino deve possedere anche una Chiave Identificatrice (di seguito "Chiave ID"), univoca, permanente vita natural durante; questa Chiave ID può essere ad esempio la Chiave emessa da Infocamere o dal CNIPA o da altro Ente Statale riconosciuto dal Sistema e dalla Cittadinanza e può (dovrebbe) essere usata come equivalente delle credenziali fisiche da presentare al Sistema all'atto della presentazione di una Chiave Candidata
2) ogni Cittadino (cioè ogni Chiave ID) possiede un proprio spazio presso il Sistema nel quale deposita dei documenti digitali recanti data, ora, tipo documento = Autorizzazione alla Revoca, parte pubblica della propria Chiave Detentrice, parte pubblica della Chiave ID del Cittadino che si vuole autorizzare, il tutto firmato dalla propria Chiave Detentrice e criptato per la Chiave ID del Cittadino che si vuole autorizzare; come alternativa, migliore in termini di sicurezza ma peggiore in termini di coinvolgimento del Cittadino autorizzato, il documento digitale da depositare presso il Sistema potrebbe indicare solo la Chiave ID del Cittadino che si vuole autorizzare mentre al Cittadino stesso si trasmetterebbe la parte pubblica della propria Chiave Detentrice criptata per la Chiave del Sistema
Considerato che si autorizza qualcun altro a revocarci facoltà di voto, è opportuno che ciascun Cittadino autorizzi solo persone della massima fiducia (parenti e/o amici stretti); egli può comunque aggiungere e togliere liberamente Autorizzazioni semplicemente inserendo o cancellando tali documenti digitali dallo spazio a sua disposizione presso il Sistema; è dunque ovvio che tale spazio debba essere gestibile solo dal Cittadino e per garantire ciò è fatto obbligo che qualsiasi operazione di aggiunta, variazione, cancellazione effettuata in quello spazio sia firmata digitalmente dalla Chiave ID del Cittadino, mentre il medesimo spazio può essere letto, oltre che ovviamente dal Cittadino proprietario, da chiunque presenti al Sistema una "Richiesta di Revoca per Morte" accompagnata da un Certificato di Morte per quel Cittadino rilasciato da un Ente Statale riconosciuto dal Sistema e dalla Cittadinanza.
Dunque in caso di morte di un Cittadino, qualsiasi altro Cittadino che presenti tale documento di Autorizzazione alla Revoca e dimostri di essere in possesso della Chiave ID indicata in quell'Autorizzazione avrà facoltà di richiedere revoca sia della Chiave Detentrice che ovviamente della Chiave ID del Cittadino deceduto.
Il caso di furto o smarrimento della Chiave Detentrice è null'altro che un caso più semplice del caso di morte: tutto quello che un Cittadino deve fare è depositare nel proprio spazio presso il Sistema una Autorizzazione alla Revoca destinata a sè stesso (cioè alla propria Chiave ID); in quel caso ovviamente la revoca sarà solo della Chiave Detentrice ed egli avrà facoltà di presentare contestualmente una nuova Chiave Candidata che il Sistema autorizzerà al voto dando vita ad una nuova Chiave Detentrice Originaria e conseguente "chain of trust".
In caso di furto o smarrimento della Chiave ID, la persona può agire chiedendo ad uno dei Cittadini che aveva già autorizzato a suo tempo di inoltrare apposita "Richiesta di Revoca per Furto/Smarrimento di Chiave ID", e procedere in maniera analoga a che la persona fosse deceduta. Ovviamente dovrà poi essere cura della persona ottemperare a tutte le procedure per conseguire una nuova Chiave ID e conseguentemente ripresentare una nuova Chiave Candidata al Sistema onde tornare ad essere un Cittadino.
Per quale motivo un Cittadino dovrebbe preparare Autorizzazioni alla Revoca ad altri Cittadini esponendosi al rischio che uno di questi Cittadini, eventualmente in combutta col Sistema, gli revochi le Chiavi maliziosamente? il motivo è che fare ciò è anche nell'interesse del Cittadino onde premunirsi contro il furto o smarrimento della Chiave ID; in tal caso infatti solo un altro Cittadino per il quale si era preventivamente preparata l'Autorizzazione alla Revoca può salvare la situazione revocandola e consentendo così al Cittadino che ha smarrito la Chiave ID di presentarne un'altra in sostituzione; si potrebbe obbiettare che in fin dei conti ciò che conta ai fini del voto è solo la Chiave Detentrice, e ciò è del tutto vero, ma è opportuno ricordare che possedere una Chiave ID valida è (dovrebbe essere) l'unico modo legittimo per conseguire dal Sistema la propria prima Chiave Detentrice nonchè per conseguire nuove Chiavi Detentrici qualora la si smarrisse: infatti se si smarrisse la Chiave ID e non si potesse sostituirla con un'altra perchè non si è autorizzato nessuno a revocarla si rimarrebbe nel rischio di perdere definitivamente anche la facoltà di voto qualora si smarrisse anche la Chiave Detentrice, poichè il Sistema non accetterebbe nuove Chiavi Detentrici nè nuove Chiavi ID non avendo revocato quelle precedenti.
-----
UNICITA' DI VOTO E PRIVACY:
Con il meccanismo sopra descritto abbiamo dunque garantito i 3 requisiti base del voto: segretezza, unicità, verificabilità. Per quanto riguarda il secondo requisito (unicità di voto), siccome la facoltà di voto è concessa ad una persona tramite il possesso di una Chiave Detentrice, è opportuno approfondire la questione perchè fino a questo momento il Sistema è l'unica figura che ha il potere di decidere a chi e a quali condizioni autorizzare una nuova Chiave, quindi fino a questo momento l'unicità di voto dipende solo dalla buona fede e condotta integerrima del Sistema. Pertanto si dovrebbe trovare un modo per poter controllare l'operato del Sistema, altrimenti sarebbe troppo facile per un Sistema corrotto forgiare Chiavi a piacimento a favore di persone che potrebbero quindi votare più di una volta. Gli aspetti da controllare sono di due ordini:
1) che il numero di Chiavi Detentrici sia uguale al numero di persone aventi diritto al voto
2) che ciascuna persona avente diritto al voto sia veramente tale
Il secondo aspetto sottopone problematiche serie perchè consentire ai Cittadini di verificare direttamente ciò metterebbe a serio repentaglio la privacy generale dei Cittadini medesimi in quanto per rendere il tutto realmente verificabile è necessario rendere pubbliche tutte le informazioni personali di ognuno (indirizzi, numeri di telefono, ecc.). Un modo di "risolvere" questo dilemma potrebbe essere quello di accettare un compromesso: i Cittadini, in nome del rispetto della propria privacy, accettano di non poter verificare direttamente ed in prima persona il diritto al voto di ciascuno degli altri Cittadini bensì si accontentano di poterlo fare solo con i propri parenti, amici, conoscenti più vicini, confidando che essi facciano altrettanto, possibilmente IN MANIERA COSCIENZIOSA, con i loro rispettivi parenti, amici e conoscenti. Con la transitività indotta dalla famosa legge dei 6 livelli di separazione non dovrebbe essere utopico poter verificare, INDIRETTAMENTE, l'intera Cittadinanza. Questo principio è detto "web of trust" (rete di fiducia) per la quale in buona sostanza si assume che se la persona A verifica direttamente la persona B e viceversa ed inoltre B verifica direttamente la persona C e viceversa allora anche A e C si sono "verificati" a vicenda, seppure solo indirettamente.
E' possibile tradurre informaticamente tutto ciò introducendo i seguenti obblighi, regolamenti, meccanismi:
1) ogni Cittadino deve possedere anche una Chiave Identificatrice (di seguito "Chiave ID"), univoca, permanente vita natural durante; questa Chiave farebbe le veci dell'attuale tradizionale Carta d'Identità e potrebbe (dovrebbe) essere la medesima Chiave ID descritta poc'anzi per la Revoca di Chiavi
2) ogni Chiave ID è associata ad una anagrafica ben precisa che riconduce alla persona fisica; in questa anagrafica sono riportati elementi di identificazione univoca della persona (nome, data e luogo di nascita, fotografia, ecc.) ed estremi di rintracciabilità fisica quali residenza, numeri di telefono, indirizzo email, ecc.; questi dati non sono diversi da quelli già usati oggigiorno nell'attuale Anagrafe
3) ogni Chiave ID, per essere considerata valida, deve recare regolare autentica (firma digitale) sia del Sistema che di ALMENO altre due Chiavi ID (cioè almeno altri due Cittadini); nessun Cittadino è obbligato ad autenticare Chiavi ID se non vuole, ma non dovrebbe essere consentito ad alcun Cittadino di autenticarne più di un certo numero (es. massimo 10?)
4) il Cittadino che ha autenticato una Chiave ID si assume responsabilità civile (e anche penale?) nei confronti di tutta la Cittadinanza riguardo quella Chiave ID; ovviamente qualsiasi Cittadino che ha autenticato una Chiave ID ha facoltà di revocare liberamente la propria autentica in qualsiasi momento e per qualsiasi motivo
5) ogni operazione di autentica e di revoca di autentica deve essere registrata tramite documento digitale recante data, ora, tipo documento (= "Autentica" ovvero "Revoca di Autentica"), parte pubblica della Chiave ID in oggetto, il tutto firmato da chi effettua l'operazione (cioè dalla Chiave ID che effettua l'operazione di autentica o di revoca di autentica)
6) Siccome i Cittadini che hanno autenticato una Chiave ID devono poter accedere a TUTTI i dati anagrafici associati a quella Chiave ID (onde verificarli e poterli tenere sotto controllo), l'operazione di Autentica deve essere espressamente autorizzata dalla Chiave ID oggetto dell'autentica, tramite apposito documento digitale di tipo = Richiesta di Autentica; in altri termini, ogni operazione di Autentica deve essere conseguenza di un accordo bilaterale tra chi vuole essere autenticato e chi è disposto ad autenticare, mentre l'operazione di Revoca di Autentica può essere invece assolutamente unilaterale, cioè sia l'autenticato che l'autenticatore possono revocare a piacimento senza accordi con nessuno; in questo modo l'autenticato può decidere chi siano coloro che possono accedere ai propri dati personali e un autenticatore può decidere di sollevarsi da qualsiasi responsabilità qualora ritenesse che le condizioni per autenticare quella persona non sussistessero più
7) solo la parte pubblica di ogni Chiave ID, l'elenco corrente delle altre Chiavi ID che la autenticano e pochi elementi essenziali dell'anagrafica a lei associata (Nome, Cognome, e ???) sono resi pubblici e accessibili a tutti i Cittadini, al fine di rendere possibile a tutti il conteggio delle Chiavi ID e il controllo dello stato sia della "web of trust" globale che delle "web of trust" di ciascuna Chiave ID; tutti gli altri elementi ed estremi dell'anagrafica associata a quella Chiave ID vengono tenuti segreti cioè resi disponibili solo all'Autorità Giudiziaria e ai Cittadini che hanno autenticato quella Chiave ID
8) un Cittadino che avesse autenticato un altro Cittadino può in qualsiasi momento sollevare sospetti ufficiali presso l'Autorità Giudiziaria (questo è in effetti l'impegno civile di cui ogni Cittadino si incarica al momento in cui accetta di autenticare una Chiave ID); questo ovviamente non significa che la Chiave ID sospettata verrebbe invalidata immediatamente ed automaticamente, bensì si dovrebbe sentire il parere degli altri Cittadini che avessero autenticato la medesima Chiave ID oltre che, ovviamente, attendere il responso delle indagini dell'Autorità Giudiziaria
9) in caso di morte di un Cittadino che aveva autenticato altri Cittadini, tutte le sue autentiche decadono immediatamente al momento della Revoca della Chiave ID del Cittadino deceduto
10) In ogni momento il numero di Chiavi Detentrici attive DOVREBBE essere esattamente uguale al numero di Chiavi ID valide (una Chiave ID valida è una Chiave ID che rispetta i requisiti indicati al punto 3); è concesso che il numero di Chiavi Detentrici attive sia inferiore SOLO nel ristretto e ben circoscritto lasso di tempo che intercorre tra la revoca di una Chiave Detentrice eventualmente smarrita o rubata e la presentazione di una nuova Chiave Candidata in sua sostituzione; MAI E PER ALCUN MOTIVO il numero di Chiavi Detentrici può essere superiore al numero di Chiavi ID. Lo storico dei vari eventi relativi a Chiavi Detentrici e Chiavi ID dovrebbe essere sufficiente ad effettuare controlli e risalire a come era lo stato delle cose in un qualsiasi dato momento, anche già trascorso, in modo da verificare se in quel preciso momento tutto fosse in regola
Con una simile infrastruttura le operazioni di verifica consisterebbero nel tenere sotto costante controllo il rapporto tra numero di Chiavi Detentrici e numero di Chiavi ID valide, che sia sempre il più possibile vicino al 1:1. Tuttavia l'eventuale discrepanza di questo rapporto non dovrebbe essere motivo di invalidamento immediato di un risultato di voto, a meno che tale discrepanza fosse davvero rilevante; ci sarebbe pertanto da individuare il limite di discrepanza superato il quale si bloccherebbe del tutto qualsiasi votazione in corso ovvero si invaliderebbero votazioni già effettuate; tutto ciò, per essere efficace, dovrebbe avere il presupposto che l'Autorità Giudiziaria coadiuvata dalla Cittadinanza effettuasse costante monitoraggio della situazione nonchè pronto intervento indagativo ed eventualmente repressivo laddove i casi sospetti cominciassero a diventare importanti, così da cercare di non raggiungere mai il livello di guardia.
Affidandosi al principio di "web of trust" i metodi usabili per rilevare Chiavi ID fasulle non possono purtroppo essere esaustivi ed infallibili perchè la robustezza di una "web of trust" si basa sulla collaborazione attiva e coscienziosa di tutti (la buona parte de) i suoi nodi (che nel nostro caso sono i Cittadini). Per questo motivo si dovrebbe accettare un certo grado di tolleranza su potenziali irregolarità. Tuttavia grazie all'obbligo che OGNI evento relativo a ciascuna Chiave ID sia accuratamente registrato e identificato, dovrebbe risultare possibile per qualsiasi Cittadino nonchè ovviamente per l'Autorità Giudiziaria, tramite l'ausilio di appositi software, rilevare casi che coinvolgessero piccoli gruppi di persone complici tra loro (oltre che in combutta col Sistema) poichè questi casi presenterebbero la peculiarità di avere Chiavi ID correlate da una "web of trust interna" a quella globale, particolarmente convergente e circoscritta e con solo pochi punti di contatto con altre Chiavi ID esterne ad essa; questo perchè ogni Chiave ID, comprese quelle fasulle, devono essere autenticate da altre Chiavi ID, e più sono i Cittadini che autenticano direttamente Chiavi ID fasulle, maggiore è il numero potenziale di complici coinvolti nella truffa e consapevoli dell'esistenza di essa, quindi maggiore è il rischio che qualcuno si tradisca; per evitare questo rischio i gruppi di persone complici dovrebbero essere piccoli, poche persone che si autenticano reciprocamente le rispettive Chiavi ID fasulle creando delle specie di piccole "isole" nella "web of trust" globale le quali d'altro canto, proprio per il fatto di essere "isole", dovrebbero essere facilmente individuabili tramite appositi software di analisi. Il tutto potrebbe non essere esaustivo ma potrebbe avere un grado di efficacia accettabile.
In ogni caso questa soluzione, oltre a non essere infallibile, crea anche ulteriori complessità di gestione per i Cittadini, complessità che potrebbero essere di difficile attuazione per persone anziane o refrattarie, nonchè situazioni che possono diventare oggettivamente e umanamente imbarazzanti e/o fastidiose, dato che per avere un minimo di efficacia questa soluzione obbliga i Cittadini a caricarsi di responsabilità quanto meno civili.
Le alternative di base a questa soluzione sono due, diametralmente opposte:
1) riporre assoluta fiducia nel Sistema per quanto riguarda il rilasciare Autorizzazioni al Voto, con poca o punta possibilità per i Cittadini di verificare direttamente tale condotta e quindi col rischio che il Sistema cioè le persone che vi sono dentro agiscano corrottamente in maniera quasi indisturbata
2) rendere pubblico e accessibile a tutti il database delle anagrafiche al completo, onde consentire a tutti i Cittadini di verificare direttamente tutto il verificabile, ma a scapito della privacy generale di tutti in quanto per rendere il tutto realmente verificabile è necessario rendere pubbliche tutte le informazioni personali di ognuno
La soluzione della "web of trust" vorrebbe essere una via di mezzo che da una parte consenta una adeguata discrezione e rispetto della privacy di ognuno e dall'altra la possibilità che un certo controllo possa essere effettuato direttamente anche da Cittadini indipendenti invece che solo dall'Autorità Giudiziaria.
Purtroppo questa faccenda dell'unicità di voto in contrapposizione alla privacy, comunque la si guardi, è una gran brutta gatta da pelare poichè credo che non esista una soluzione da "uovo di Colombo". D'altro canto l'approccio dell'alternativa nr. 1 è l'equivalente di quanto accade oggi con lo Stato che rilascia Carte d'Identità e Schede Elettorali.
In definitiva il dilemma è: unicità di voto certa (e verificabilità globale oltre che verificabilità singola) o protezione della privacy? la soluzione "web of trust" può garantire un'adeguata protezione della privacy ed una verificabilità dell'unicità di voto con incertezza tollerabile, il tutto senza doversi fidare del Sistema, ma necessita di una coscienziosità dei Cittadini che su una scala di migliaia di persone coinvolte, con interessi diversi e facilmente anche obbiettivi opposti, potrebbe essere utopistica.
Modificato da: Quasar, Modificato alle 2005/11/27 22:19
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Immanuel
Utente
Platinum Internetcratico| Posts: 271 | |
|
Re:Proposta di meccanismo di voto v2.0 - 2005/09/23 00:12
Complimenti come al solito per la chiarezza. Mi ci vorrà un pò per studiarmelo a fondo e capire le differenze con il precedente, nel frattempo posso solo fare una osservazione:
Le persone (parenti, amici, etc.) che possono certificare la morte, sono spesso proprio quelle che non hanno interesse a certificarla e a far passare per viva la persona, per poter votare con la sua chiave.
Come possiamo affidarci a loro in caso di morte?
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Quasar
Utente
Platinum Internetcratico| Posts: 78 | |
|
Re:Proposta di meccanismo di voto v2.0 - 2005/09/23 01:09
Immanuel scritto:
Mi ci vorrà un pò per studiarmelo a fondo e capire le differenze con il precedente,
Vorrei cercare di facilitarti il compito: la differenza importante è che non c'è più la Chiave di Voto da scambiare realmente, cioè non c'è più nessun token da trasmettere al Cittadino tua controparte nello scambio. Il meccanismo si semplifica molto, e anche il concetto di funzionamento, infatti in molti casi ho usato termini diversi dalla precedente versione per esprimere meccanismi identici, solo perchè così mi sembrava più comprensibile il principio di funzionamento. In pratica: mentre prima ci si scambiava realmente una Chiave asimmetrica, cioè la Chiave di Voto passava fisicamente di mano in mano, ora non ci si scambia nulla percui ho introdotti i concetti di "testamento" ed "eredità" che mi sembrano più esplicativi per questo meccanismo senza Chiavi di Voto. Cioè il Sistema concede facoltà di voto ad una prima Chiave, (la Chiave Detentrice Originaria) che rimane come capostipite di riferimento per tutte le Chiavi successive che si tramandano quella facoltà di voto da uno "scambio" all'altro. Ciò che prima era lo scambio ora lo descrivo come una "morte" della Chiave Detentrice attuale la quale effettua "testamento" per una Chiave che sarà "erede" della facoltà di voto.
nel frattempo posso solo fare una osservazione:
Le persone (parenti, amici, etc.) che possono certificare la morte, sono spesso proprio quelle che non hanno interesse a certificarla e a far passare per viva la persona, per poter votare con la sua chiave.
Si, la possibilità esiste. Onestamente però non penso che potrà essere così diffusa: dopo tutto non comunicare la morte di qualcuno è alquanto difficile senza finire nell'illegalità per "occultazione di cadavere"; rischiare ciò (oltre che non ricevere eventuali eredità di beni materiali) solo per votare una volta in più mi sembra irrealistico e, anche se fosse, il "peso" dovrebbe essere trascurabile
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Immanuel
Utente
Platinum Internetcratico| Posts: 271 | |
|
Re:Proposta di meccanismo di voto v2.0 - 2005/09/23 01:14
Quasar ha scritto:
Si, la possibilità esiste. Onestamente però non penso che potrà essere così diffusa: dopo tutto non comunicare la morte di qualcuno è alquanto difficile senza finire nell'illegalità per "occultazione di cadavere"; rischiare ciò (oltre che non ricevere eventuali eredità di beni materiali) solo per votare una volta in più mi sembra irrealistico e, anche se fosse, il "peso" dovrebbe essere trascurabile
Ma non dovrebbero occultare la morte del loro caro.
Farebbero tutta la procedura nei confronti dello stato,
ma eviterebbero di farla nei confronti di Internetcrazia.
Come potrebbe sapere Internetcrazia che la persona morta
è proprio quella? Dovrebbe controllare sui giornali ogni
giorno i morti e chiamare il parente delegato?
Non la vedo molto fattibile... o mi sfugge qualcosa?
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Quasar
Utente
Platinum Internetcratico| Posts: 78 | |
|
Re:Proposta di meccanismo di voto v2.0 - 2005/09/23 01:25
Immanuel scritto:
Ma non dovrebbero occultare la morte del loro caro.
Farebbero tutta la procedura nei confronti dello stato,
ma eviterebbero di farla nei confronti di Internetcrazia.
Come potrebbe sapere Internetcrazia che la persona morta
è proprio quella? Dovrebbe controllare sui giornali ogni
giorno i morti e chiamare il parente delegato?
Non la vedo molto fattibile... o mi sfugge qualcosa?
All'inizio, quando IC sarà solo un "sottosistema" nel sistema Stato attuale, dovremmo (dovremo?) usare come Chiavi ID le chiavi emesse da qualche Ente statale tipo la InfoCamere che avevi indicato tu, o il CNIPA o le Poste. Questi Enti (quanto meno InfoCamere) offrono servizio di verifica online della validità delle chiavi e IC (e i cittadini che vogliono verificare direttamente) dovrebbe appoggiarsi a questi Enti, i quali suppongo (spero!) che terranno conto di cosa dice l'Anagrafe Nazionale riguardo ad un data persona, se sia viva o meno.
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Immanuel
Utente
Platinum Internetcratico| Posts: 271 | |
|
Re:Proposta di meccanismo di voto v2.0 - 2005/09/27 04:42
Schema pag.1 
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
|
Forum 
