Immanuel
Utente
Platinum Internetcratico| Posts: 271 |  |
|
Critiche al sistema 2.0 di Quasar - 2005/11/21 02:55
Riporto qui delle critiche presentate da Sergio nel newsgroup it.comp.sicurezza.crittografia :
Interessante, ma ci sono alcuni errori che probabilmente invalidano il protocollo crittografico descritto.
Come riferimento prendo "Applied Cryptography" di Bruce Schneier (ISBN: 0-471-11709-9) dove si trova un'ottima descrizione dei protocolli crittografici di "secure election" (cap 6.1).
Iniziamo a chiarire un po' di punti:
a. I requisiti per un sistema di elezione digitale prevedono:
1. Solo i votanti autorizzati possono votare
2. Nessuno puo' votare piu' di una volta
3. Nessuno puo' determinate la votazione di un'altra persona
4. Nessuno puo' duplicare il voto di qualcuno
5. Nessuno puo' modificare il voto di qualcuno senza essere scoperto
6. Ogni votante deve poter verificare che il proprio voto e' stato contato.
7. Tutti possono sapere chi ha votato e chi no.
Ci sarebbe anche un'ultimo requisito, ed in Italia ne sappiamo bene che non sempre viene "implementato" nelle votazioni cartacee ;-)
8. Non si puo' avere una ricevuta del voto
Prendiamo il vostro protocollo:
* i punti da 1-6 sono in sostanza l'emissione di un certificato con un sistema di chiave asimettrica, quindi l'equivalente di una CA.
* nel punto 7,8 e 9 citate la creazione e validazione incrociata di chiavi pubbliche di voto firmate dalla chiave privata del cittadino (quella della CA), la controparte per verificare deve possedere il certificato e facilmente puo' colludere con l'emettitore del certificato per risalire all'identita' della persona.
*Quindi il protocollo non e' valido*
Vi consiglio la lettura del testo citato, purtroppo le conclusioni sono che:
* se non ci si fida di un "trusted" non esistono ad oggi algoritmi applicabili (computazionalmente validi),* tutti i protocolli prevedono Blind Signature o ANDOS,* tutti i protocolli sono brevettati quindi per usarli bisogna pagare,
E' da valutare anche che:
visto il "valore" in gioco e' molto alto e che siamo in Italia non esistono "trusted" quindi il protocollo e' da rivedere oltre a questo il sistema cartaceo permette la realizzazione dei requisiti esposti all'inizio.
Ciao Sergio
Quasar, che ne pensi?
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Immanuel
Utente
Platinum Internetcratico| Posts: 271 | |
|
Re:Critiche al sistema 2.0 di Quasar - 2005/11/22 15:22
Altra critica comparsa sul newsgroup it.comp.sicurezza.windows da Leonardo Serni
A parte questo, vedo due problemi:
a) Se il "sistema" immette un numero sufficiente di voti fantasma,
non controllabili dai cittadini che non ne hanno le chiavi (del
resto, i voti non sono mica i loro!), l'esito di ogni votazione
e' perfettamente manipolabile: l'unico sintomo sara' la maggior
affluenza al voto.
Quindi dovresti fidarti completamente COMUNQUE del sistema; se uno
si fida del sistema, tanto vale che si lasci identificare, fidando
nel fatto che il sistema non riveli l'identificazione.
b) Se un ignoto - chiamiamolo "Don XY" - rastrella ennemila chiavi
*PRIVATE* in cambio di contanti, ottiene di poter esprimere "N"
voti anziche' il solo proprio. Voto di scambio, ma stavolta non
piu' intercettabile, non indagabile, non verificabile; stavolta
Don XY non deve piu' preoccuparsi che i votanti corrotti stiano
corrotti, ora e' autosufficiente. E deve pagare i voti soltanto
una volta.
Anche ammesso che si incastri "Don XY", come si fa a risalire a
tutte le chiavi, con tutti i giri anonimizzanti che hanno fatto
sicuramente nel frattempo? O anche trovandogli cento chiavi per
casa, a sapere che lui e/o i suoi sodali non ne hanno 100 volte
tante da qualche altra parte?
Se trovate altre critiche, postatele qui. Dobbiamo scoprire e risolvere tutti i possibili bachi del sistema...
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Quasar
Utente
Platinum Internetcratico| Posts: 78 |  |
|
Re:Critiche al sistema 2.0 di Quasar - 2005/11/22 18:34
Immanuel scritto:
Riporto qui delle critiche presentate da Sergio nel newsgroup it.comp.sicurezza.crittografia :
Ok
Iniziamo a chiarire un po' di punti:
a. I requisiti per un sistema di elezione digitale prevedono:
1. Solo i votanti autorizzati possono votare
Requisito soddisfatto dall'esistenza del "Sistema" (il sistema informatico di supporto), il quale concede facoltà di voto tramite l'accettazione di una Chiave presentata da ciascun cittadino, inserendo tale Chiave nel "database delle Chiavi Detentrici del diritto di voto".
2. Nessuno puo' votare piu' di una volta
Requisito soddisfatto dalle seguenti caratteristiche insite al protocollo:
1) ogni voto espresso è indissolubilmente associato ad una Chiave Detentrice ben precisa; tale associazione è resa indissolubile dalla firma digitale che tale Chiave Detentrice appone al blob rappresentante il voto
2) il database dei voti espressi e firmati dalle rispettive Chiavi Detentrici è pubblico, cioè liberamente scaricabile via Internet da chiunque abbia la possibilità di collegarsi ad Internet
3) il database delle Chiavi Detentrici ed il relativo database degli eventi sono pubblici negli stessi termini del database dei voti
Di conseguenza chiunque sia munito di apposito software (che può essere sviluppato anche privatamente) può verificare che nessuno abbia votato più di una volta.
3. Nessuno puo' determinate la votazione di un'altra persona
Requisito soddisfatto dal fatto che il database delle Chiavi Detentrici è anonimo, cioè ciascuna Chiave Detentrice è riconducibile solamente al Cittadino che ha presentato la Chiave Detentrice ORIGINARIA. Va da sè che, se ciascun Cittadino ha la premura di effettuare i cambi di Chiave, nessuno può sapere con certezza se una Chiave Detentrice attuale sia posseduta dal medesimo Cittadino che ha presentato la Chiave Detentrice Originaria a cui quella Chiave Detentrice attuale è riconducibile, a meno che vengano effettuate coercizioni sul Cittadino oppure sia il Cittadino stesso a divulgare più o meno (in)volontariamente tale informazione.
4. Nessuno puo' duplicare il voto di qualcuno
Requisito soddisfatto implicitamente dalle medesime caratteristiche descritte come risposta al requisito nr. 2.
5. Nessuno puo' modificare il voto di qualcuno senza essere scoperto
Requisito soddisfatto grazie alla inviolabilità della crittografia a chiave asimmetrica, fin tanto che rimarrà tale.
6. Ogni votante deve poter verificare che il proprio voto e' stato contato.
Requisito soddisfatto implicitamente dalle medesime caratteristiche descritte come risposta al requisito nr. 2, in particolare dalla caratteristica nr. 1 (associazione indissolubile voto-Chiave).
7. Tutti possono sapere chi ha votato e chi no.
Requisito volutamente NON soddisfatto perchè lo ritengo decisamente sacrificabile rispetto ad altri. Anche nel contesto attuale di Democrazia Rappresentativa con votazione cartacea mi sfugge il motivo dell'esistenza di questo requisito. Principio a parte, c'è anche un motivo tecnico che mi ha spinto a sacrificare questo requisito: per soddisfarlo in una votazione via Internet significherebbe, secondo le mie personali analisi, dover mettere a serio repentaglio la segretezza del voto (eventualmente sono disponibile a spiegare più nei dettagli). Devo peraltro ammettere di non essermi prodigato più di tanto a cercare di soddisfare anche questo requisito proprio perchè non ne scorgo l'utilità, tanto meno la necessità; anzi, in un contesto di DD scorgo addirittura un indesiderabile pericolo per la privacy poichè si potrebbero profilare i Cittadini in funzione di a quali progetti di legge hanno partecipato
8. Non si puo' avere una ricevuta del voto
Requisito NON soddisfatto. D'altra parte, purtroppo, questo requisito è mutuamente esclusivo con il requisito nr. 6 (quello di verificabilità singola del voto): se ciascun Cittadino deve poter verificare che il PROPRIO voto sia stato veramente conteggiato allora è indispensabile avere una sorta di ricevuta con la quale rintracciare il proprio voto nell' urna. Nel mio protocollo il ruolo di "ricevuta" è implicitamente ricoperto dalla Chiave Detentrice con la quale è possibile rintracciare il proprio voto nell' "urna" (rappresentata dal database dei voti). I risvolti che comporta l'avere una "ricevuta di voto" mi sono ben chiari, e vanno dalla coercizione criminale fino al semplice voto di scambio o vendita del proprio voto. Per quanto mi riguarda era ed è abbastanza sottinteso che questo problema fosse insolubile ma se è per questo allora direi che nessun sistema, nemmeno quello cartaceo attuale, è in grado di soddisfare questo requisito nr.8, ovvero si può soddisfare a patto di sacrificare il nr.6. Si tratta di decidere cosa sacrificare oppure riuscire a trovare un compromesso nel nostro contesto di utilizzo (la DD).
Prendiamo il vostro protocollo:
* i punti da 1-6 sono in sostanza l'emissione di un certificato con un sistema di chiave asimettrica, quindi l'equivalente di una CA.
Concettualmente è abbastanza esatto, ma il certificato emesso da tale CA (esattamente al punto 3 del mio documento: la c.d. "Autorizzazione al Voto" emessa dal Sistema) possiede due caratteristiche che lo distinguono nettamente dai tradizionali certificati X509 emessi dalle CA tradizionali:
1) non reca alcuna informazione anagrafica della persona
2) viene utilizzato solo in eventuali contenziosi diretti alla CA medesima (cioè, nel mio protocollo, contenziosi diretti al Sistema)
* nel punto 7,8 e 9 citate la creazione e validazione incrociata di chiavi pubbliche di voto firmate dalla chiave privata del cittadino (quella della CA) ...
Credo che ci sia un refuso e che intendesse dire: "... creazione e validazione incrociata di chiavi pubbliche di voto firmate dalla chiave privata del cittadino (quella A SUA VOLTA FIRMATA dalla CA) ...". La chiave privata del cittadino (ovvero la parte pubblica di essa) NON è della CA, è FIRMATA dalla CA. Se questo è ciò che intendeva dire allora è sostanzialmente esatto.
... la controparte per verificare deve possedere il certificato ...
Qui c'è l'errore di interpretazione di Sergio: la nostra controparte nel cambio chiave, per verificare la validità della nostra Chiave Detentrice attuale, NON ha bisogno di possedere il nostro certificato (cioè la nostra Autorizzazione al Voto rilasciataci dal Sistema), deve solo consultare il database delle Chiavi Detentrici ed il relativo database degli eventi, entrambi pubblici, al fine di verificare che la nostra Chiave Detentrice attuale di cui vogliamo tramandare la facoltà di voto sia tra quelle attualmente riconosciute come valide.
... e facilmente puo' colludere con l'emettitore del certificato per risalire all'identita' della persona.
Ovviamente il prosieguo della frase di Sergio è viziato dal precedente errore.
* tutti i protocolli prevedono Blind Signature o ANDOS,
Mi riservo di informarmi su questo ANDOS perchè è una sigla che mi è del tutto nuova.
Riguardo alle Blind Signature, più volte ci ho pensato lungamente ma ho diverse perplessità. Per questo motivo ho per ora preferito il protocollo che sfrutta la firma digitale tradizionale. Eventualmente possiamo entrare nel merito.
* tutti i protocolli sono brevettati quindi per usarli bisogna pagare,
Beh, probabilmente ciò è vero per i protocolli già inventati, non certo per quelli ancora da inventare!  comunque se ci fosse un protocollo funzionante già inventato e adatto alla DD ma brevettato non avrei le benchè minima remora a valutare l'eventualità di pagare per utilizzarlo
E' da valutare anche che:
visto il "valore" in gioco e' molto alto e che siamo in Italia non esistono "trusted" quindi il protocollo e' da rivedere
Se in Italia non esistono enti "trusted" degni di questo aggettivo non significa che non possano esistere in futuro. A parte ciò ritengo che un'importanza fondamentale vada data al come questo ente "trusted" è organizzato: forse Sergio ha in mente le Certification Authority concepite col modello attuale (centralizzato, una specie di entità "superiore" quasi divina) alle quali anch'io guardo con sospetto, vista appunto la posta in gioco, ma anche in questo caso non significa che non si possa pensare ad un modello di CA diverso, conforme ai nostri scopi e quindi ben integrabile al contesto di DD. Ad esempio credo che il concetto di "Bazar" (invece che "Cattedrale"), già introdotto come modello di sviluppo del software, potrebbe essere un buono spunto da usare per trovare un modello di Certification Authority adatto alla DD. Ovviamente anche in questo caso sono tutt'altro che sicuro ma vale la pena pensarci.
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Quasar
Utente
Platinum Internetcratico| Posts: 78 | |
|
Re:Critiche al sistema 2.0 di Quasar - 2005/11/22 19:15
Immanuel scritto:
Altra critica comparsa sul newsgroup it.comp.sicurezza.windows da Leonardo Serni
Bene
A parte questo, vedo due problemi:
a) Se il "sistema" immette un numero sufficiente di voti fantasma,
non controllabili dai cittadini che non ne hanno le chiavi (del
resto, i voti non sono mica i loro!), l'esito di ogni votazione
e' perfettamente manipolabile: l'unico sintomo sara' la maggior
affluenza al voto.
No perchè il database dei voti è pubblico, il database delle chiavi è pubblico, dunque chiunque può verificare che non ci siano chiavi che hanno inserito più di un voto
b) Se un ignoto - chiamiamolo "Don XY" - rastrella ennemila chiavi
*PRIVATE* in cambio di contanti, ottiene di poter esprimere "N"
voti anziche' il solo proprio. Voto di scambio, ma stavolta non
piu' intercettabile, non indagabile, non verificabile; stavolta
Don XY non deve piu' preoccuparsi che i votanti corrotti stiano
corrotti, ora e' autosufficiente. E deve pagare i voti soltanto
una volta.
Problematica certamente reale, intrinseco a qualsiasi sistema di voto via Internet, e del tutto irrisolvibile tramite espedienti tecnici bensì solo ostacolabile tramite Autorità Giudiziaria
Anche ammesso che si incastri "Don XY", come si fa a risalire a
tutte le chiavi, con tutti i giri anonimizzanti che hanno fatto
sicuramente nel frattempo? O anche trovandogli cento chiavi per
casa, a sapere che lui e/o i suoi sodali non ne hanno 100 volte
tante da qualche altra parte?
Idem. In particolare aggiungo che correre quel rischio è uno dei prezzi da pagare se si vuole avere il voto anonimo in un sistema di voto via Internet.
Se trovate altre critiche, postatele qui. Dobbiamo scoprire e risolvere tutti i possibili bachi del sistema...
Io intanto vorrei sapere il tuo commento a queste critiche. In realtà mi piacerebbe avere un commento di tutti ma visto che finora questo forum è stato quasi solamente un dialogo tra noi due per ora lo chiedo a te. Oltre a tuoi commenti vorrei sapere in particolare: ritieni che le ultime obiezioni di Leonardo siano da considerare "release critical" per il protocollo?
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Immanuel
Utente
Platinum Internetcratico| Posts: 271 | |
|
Re:Critiche al sistema 2.0 di Quasar - 2005/11/22 19:55
Grazie ancora Quasar, per la completezza delle risposte.
Riguardo alle critiche di Serni:
a) No, non lo ritengo un rischio, ma non per le tue stesse ragioni.
Rimane infatti il fatto che l'unico garante della identità dei
votanti è e rimane chi emette le Carte di Identità (elettroniche
o meno). Ma per questo mi appello a quanto ho scritto nella
FAQ: ovvero lo stesso problema esiste nel sistema di votazione
in cabina, poichè anche in quel caso lo stato può falsificare
documenti (anche migliaia con la stessa foto) e darle ad un
Mafioso di turno che le utilizza per votare in seggi diversi.
b) No, anche qui non ritengo questo intacchi la validità del
metodo. Anche qui perché nel sistema di votazione in cabina
si ha la possibilità di vendere voti o identità con altrettanta
facilità. Anzi, questo purtroppo avviene ad ogni elezione, e
diverse centinaia di persone sono arrestate ogni anno per
l'accusa di aver comprato voti.
Quindi in sostanza, il problema esiste, ma il nostro obiettivo
di creare un sistema che sia UGUALE o MIGLIORE di quello
già esistente è soddisfatto.
Nota: riguardo il punto 8 di Sergio.... credo che la ragione
per cui si sconsiglia la ricevuta, è per evitare la possibilità
di "ricattare" il cittadino dopo che ha espresso il voto (essendo
la ricevuta un modo per controllare che il cittadino abbia
votato come obbligato dalle minacce). In ogni caso mi sono ordinato
il libro di Bruce Schneier, e mi leggerò il fatidico capitolo 6
al più presto. Nel frattempo il lavoro sul prototipo continua (anche
se il tempo che gli dedico non è quello che vorrei).
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
Quasar
Utente
Platinum Internetcratico| Posts: 78 | |
|
Re:Critiche al sistema 2.0 di Quasar - 2005/11/23 20:09
Immanuel scritto:
a) No, non lo ritengo un rischio, ma non per le tue stesse ragioni.
Rimane infatti il fatto che l'unico garante della identità dei
votanti è e rimane chi emette le Carte di Identità (elettroniche
o meno).
Ah, beh, si, non c'è dubbio, ma credo che Leonardo si riferisse al rischio (un pò sempliciotto) di voti doppi, e non al rischio di chiavi fasulle; parla infatti di "voti fantasma" non "chiavi fantasma". Credo che non avesse capito che c'è indissolubilità tra il voto espresso e la Chiave che lo ha espresso. Il che ovviamente sposta il problema al come individuare "chiavi fantasma" ma questa è appunto un'altra storia...
b) No, anche qui non ritengo questo intacchi la validità del
metodo. Anche qui perché nel sistema di votazione in cabina
si ha la possibilità di vendere voti o identità con altrettanta
facilità. Anzi, questo purtroppo avviene ad ogni elezione, e
diverse centinaia di persone sono arrestate ogni anno per
l'accusa di aver comprato voti.
Su quello hai senz'altro ragione, ma il punto cruciale dell'obiezione di Leonardo non sta tanto sul MOTIVO per il quale un cittadino dovrebbe cedere la propria facoltà di voto (compra-vendita piuttosto che minaccia mafiosa), quanto semmai sulla DURATA di tale cessione: col mio protocollo questa cessione sarebbe praticamente definitiva, mentre col sistema cartaceo la cessione è occasionale e ad ogni votazione deve essere ripetuta.
Nota: riguardo il punto 8 di Sergio.... credo che la ragione
per cui si sconsiglia la ricevuta, è per evitare la possibilità
di "ricattare" il cittadino dopo che ha espresso il voto (essendo
la ricevuta un modo per controllare che il cittadino abbia
votato come obbligato dalle minacce).
Certo, con l'espressione "coercizione criminale" intendevo proprio cose come il ricatto prima del voto e l'eventuale ritorsione dopo il voto. Col mio protocollo è possibile perchè l'indissolubilità voto-chiave equivale ad una ricevuta di voto.
|
|
|
L´administrator ha disattivato l´accesso pubblico in scrittura. |
|
Forum
