Kolejna kompromitacja głosowania "przez internet" w USA, w Polsce nadal wracają "pomysły"

fragment kadru klipu Wojciecha OlejniczakaWedle doniesień zza Oceanu - ponad połowa wszystkich Stanów USA w tym roku może dopuścić - w różnym zakresie - elementy wyborów "przez internet". Tam również toczy się wielka debata na temat bezpieczeństwa takich wyborów. W dziale wybory ja dodaję jeszcze kilka innych czynników: poza koniecznością zapewnienia anonimowości głosów (przy jednoczesnym zapewnieniu braku możliwości handlowania głosami) trzeba też zapewnić zaufanie do systemu instytucji prawnych państwa. Ten system nie może być skomplikowany. Tylko, że prosty nie sprosta wymaganiom. Wojciech Olejniczak był uprzejmy wypowiedzieć się na temat głosowań "przez internet", a ja opublikowałem swój komentarz do Jego wypowiedzi. I tak temat powraca. Znów i znów. W USA wrócił ze względu na niedawne, udane próby skompromitowania jednego z systemów do głosowania... Bo system systemowi nie równy. Diabeł tkwi w szczegółach. W wielu szczegółach. Wiele diabłów.

O dyskusji w USA można przeczytać m.in. w tekstach E-voting: How secure is it?, a USA Today pisze: E-mail, fax voting widely available. Właściwy tytuł tego ostatniego tekstu brzmi: "Security debate grows over Internet voting", czyli w USA coraz głośniej o problemach bezpieczeństwa. Wszystko ze względu na zamieszanie w Dystrykcie Columbia, gdzie rozważano pilotażowe wprowadzenie głosowania przez internet. Tylko, że władze pozwoliły ekspertom od bezpieczeństwa pobawić się systemem, by sprawdzili, czy da się go skompromitować. O tym zamieszaniu można zaś przeczytać w tekście (o wiele mówiącym tytule): Hacked! E-Voting, E-Nightmare.

Tak. Udało się ekspertom z University of Michigan pod przywództwem prof. Alexa Haldermana. Tak ustawili potem system, że odgrywał uczelnianą pieśń zwycięstwa przy każdym kolejnym naliczaniu głosów...

W ciągu pierwszych 3 godzin przyglądania się systemowi spece znaleźli pierwszy "open door", a po 36 godzinach zabawy przejęli kontrolę nad systemem wyborczym (i mogli się przyglądać próbom innych zdalnych ataków, m.in. z Iranu czy z Chin). Więcej o tym w tekście Hacking the D.C. Internet Voting Pilot, który opublikował szef zespołu badającego waszyngtoński, pilotażowy system zdalnego głosowania (który miał być następnie wykorzystywany m.in. przez żołnierzy). Zapomniałbym dodać: przejęcie kontroli nad systemem odbyło się bez fizycznego dostępu do niego (chociaż zespół dysponował własną instalacją testową, na której sprawdzał, czy zadziała włam do publicznie wystawionego systemu). W efekcie kompromitacja systemu stała się online.

Kropkę nad "i" stawia Dr. David Jefferson Computer Scientist, Lawrence Livermore National Laboratory, Chairman, Verified Voting w tekście: The meaning of Alex Halderman's successful attack on the DC Internet voting system. Wstęp do tego tekstu może zmrozić:

University of Michigan Prof. Alex Halderman has now released some details about his successful attack on the District of Columbia's proposed Internet voting system which has been under test for the last week. (See www.freedom-to-tinker.com/blog/jhalderm/hacking-dc-internet-voting-pilot ) It is now clear that Halderman and his team were able to completely subvert the entire DC Internet voting system remotely, gaining complete control over it and substituting fake votes of their choice for the votes that were actually cast by the test voters. What is worse, they did so without the officials even noticing for several days.

Ludzie, którzy wystawili maszynę do testów, nawet nie zauważyli przez kilka dni, że pełna kontrola nad systemem została przejęta... A przecież wypatrywali czujnie prób ataku - po to system udostępniono do testów.

Prawdopodobnie tego wszystkiego nie dostrzegł sztab Wojtka Olejniczaka, który opublikował dziś (wczoraj) swoją wypowiedź w serwisie YouTube:


Na co ja pozwoliłem sobie odpowiedzieć (w tonie nieco osobistym, ponieważ znamy się z p. eurodeputowanym jeszcze z czasów studenckich; chociaż już po opublikowaniu tego klipu uzmysłowiłem sobie, że bardziej politycznie byłoby się zwracać do kandydata na fotel prezydenta Warszawy oficjalnie; Przepraszam, wyszło nieprofesjonalnie, nagrałem odpowiedź "z rozpędu"):


A jak ktoś chce wiedzieć więcej o problemach związanych z podpisywaniem się pod projektami ustaw zgłaszanych w trybie obywatelskiej inicjatywy legislacyjnej, to zapraszam do lektury tekstu Społeczna, elektroniczna partycypacja w Polsce - ucieczka do przodu.

Odnośnie zamieszania w USA spodziewam się komentarza prof. Kutyłowskiego lub/i dr Zagórskiego, z którymi prowadzimy od pewnego czasu dysputę (por. m.in. Bezpieczeństwo informatyczne niedzielnych wyborów). Zawsze chętnie czytam ich zdanie na poruszane w tym serwisie kwestie, chociaż nie zawsze się z nim zgadzam (por. Stosowanie elektronicznych maszyn wyborczych w Niemczech niezgodne z Konstytucją).

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Jeśli system miałby być

Jeśli system miałby być rozwiązaniem dla głosowania np. przez żołnierzy, to myślę, że jeszcze dałoby się technicznie to wykonać, po prostu budując dedykowane urządzenia do głosowania, które łączyły by się bezpiecznym połączeniem (np. tunelowanie TCP/IP) z serwerem który podliczał by wyniki.

Problem moim zdaniem zaczyna się dopiero gdy się chce takie coś uruchomić na komputerze, nad którym nie ma się absolutnej kontroli, czy wręcz, o zgrozo, na zwykłym domowym systemie operacyjnym w stylu Windowsa, czy jakiegoś domowego Linuksa.

Oczywiście z drugiej strony jest jeszcze serwer, który też trzeba zabezpieczyć. Co prawda matematycznie jest to dziś dość ładnie opisane (np. tunel szyfrowany 3DES'em z kluczem sesyjnym wymienianym po RSA - znając algebrę na ciele Galois, można udowodnić, że przy odpowiedniej długości klucza prawdopodobieństwo złamanie RSA jest bardzo małe; prawdopodobieństwo złamania 3DES też da się dokładnie obliczyć). Problem w tym, że trzeba by całość zbudować tak, by realizowało ten i tylko ten algorytm który ma realizować. W praktyce, niestety, zwykle jednak system robi (lub przynajmniej potencjalnie może robić) coś jeszcze, ot chociażby pozwala logować się administratorowi, by mógł coś w nim pozmieniać. Najlepszym byłoby więc, moim zdaniem, odcięcie go w ogóle od internetu (samo połączenie, faktycznie, musi przez niego biec, ale można na końcach postawić urządzenia, które będą przepuszczały do środka tylko bezpieczne połączenia z drugiego końca).

Takoż rzecz technicznie wydaje się jak najbardziej wykonalna. Co mnie jednak napawa pewnym lękiem to to, że zostanie ogłoszony przetarg i wygra go ktoś kto da najniższą cenę, oszczędzając na bezpieczeństwie.

Anonimowość głosowania

Zastanawia mnie, jak niby miałaby zostać zagwarantowana anonimowość (tajność) takiego głosowania. Nie widzę za bardzo możliwości. Bo oczywiście logi - kto, kiedy, skąd i na kogo głosował - będą przechowywane, na wypadek skarg i reklamacji.

A może po prostu zmierzamy do rezygnacji z tej anonimowości? Wpisywałoby się to w widoczne tendencje do coraz ściślejszej identyfikacji obywateli oraz tworzenia scentralizowanych baz danych o nich. Na przykład aktualnie na tapecie jest "rejestr usług medycznych", a w przyszłym roku przeprowadzony zostanie spis powszechny, dość nowatorski jak słyszałem, bo imienny i z PESEL-em. Więc może centralna baza głosujących i oddanych głosów? Na pewno uda się konieczność jest stworzenia uzasadnić, dajmy na to, walką z terroryzmem.

anonimowość

akurat anonimowość dałoby się zrealizować, przez zapewnienie że dane niezbędne do jej zepsucia są podzielone między strony o sprzecznych interesach (np. konkurencyjne partie polityczne).
ważniejszy jest problem, podnoszony przez Vaglę, zaufania ogółu wyborców do takiego systemu (jego złożoność jest znacznie wyższa niż urny z kartkami obserwowanej przez mężów zaufania).

--
pozdrawiam
i.o.

Zwracam uwagę, że to nie

Zwracam uwagę, że to nie ma być anonimowość w stylu „Ci co wiedzą nic nie powiedzą”. Skoro jak na razie wybory są „tajne” to znaczy, że nikt w żaden sposób nie jest w stanie powiązać głosującego z jego głosem.

Ja prywatnie nie jestem do tej tajności jakoś szczególnie przywiązany, jeśli ktoś kiedyś uzna, że najlepiej gdyby to na co/kogo się głosuje było kompletnie (i dla wszystkich) jawne nie mam nic przeciw. Ale jeśli ma być tak, że są to dane do których dostęp ma tylko administrator systemu to nie koniecznie mi takie rozwiązanie odpowiada.

Problem - jeśli nie jest tak, że po prostu za słabo się w tym wszystkim rozeznaję - polega na tym, że albo system da się zweryfikować (ponownie podliczyć głosy) czyli sprawdzić czy ktoś przy wynikach nie grzebał, albo zapewnia tę 100% tajność głosu.

wg mnie bezpieczenstwo jest

wg mnie bezpieczenstwo jest w glosowaniu online na drugim miejscu
a na pierwszym jest wlasnie tajnosc glosowania
jesli bylbym rzadzacym bardzo wiele bym dal za dane kto jak glosuje (oczywiscie nie chodzi o jakies represje, ale wygenerowane na tej podstawie analizy, gdzie najlepiej uderzac z markietingiem, itp... glosowanie online to najlepszy sondaz)
a tajnosci glosowania w internecie zagwarantowac sie po prostu nie da... zawsze w jakis sposob bedzie dalo sie powiazac komputer/osoby z oddanym glosem (szczegolnie ze wzgledu na wielce kuszace ogromne korzysci)

a dlaczego nie?

jesli bylbym rzadzacym bardzo wiele bym dal za dane kto jak glosuje (oczywiscie nie chodzi o jakies represje

Na jakiej podstawie obywatel ma niby zakładać, że rządzący w jakimś dobrym celu chcą wiedzieć jak on zagłosował? To tak jakby zakładać, że prokuratura albo CBA może nas podsłuchiwać bez zgody sądu "oczywiście nie w celu jakichś represji" a tylko tak, żeby statystycznie poznać np. co ludzie mówią o władzy. Albo, że policja może bez nakazu przeszukiwać mieszkania "oczywiście nie w celu jakichś represji" tylko żeby statystycznie wiedzieć ile kilogramów dopalaczy ludzie mają pochowane po domach.
NIE znaczy NIE. TAJNE znaczy TAJNE. A komuna upadła.

Nie widzi Pan roznicy miedzy

Nie widzi Pan roznicy miedzy np. jawnym wchodzeniem ludziom do mieszkan i przeszukiwaniu ich, a wykonanym w tajemnicy przed wszystkimi sprawdzeniem kto jak glosuje?

W swiecie gdzie polityka opiera sie glownie na dobrym pr takie dane to skarb

nie znaczy nie? tajne to tajne?
np.:
http://www.rp.pl/artykul/2,378815_Dziennikarze_podsluchiwani_przez_ABW.html

Kryptografia w służbie narodu czyli anonimowość

Anonimizację głosowania elektronicznego "załatwia" zastosowanie tzw. jednostronnych funkcji skrótu czyli takich działań matematycznych (chyba tak to trzeba nazwać). Takie funkcje są znane i z powodzeniem stosowane np. chociażby w organizacji systemów plików.

Zastosowanie funkcji jednostronnej skutecznie (nieodwracalnie) "zmaże" identyfikację głosującego
czyli spowoduje, że będzie wiadomo na kogo oddano głos (adresat), ale nie będzie wiadomo kto ten głos oddał (usunięty nadawca i prowadząca do niego ścieżka identyfikująca). Taki oddany i anonimowy głos musi rzecz
jasna uzyskać jeszcze "autoryzację oddania" czy jak kto woli "wrzucenia do elektronicznej urny wyborczej", co zrobi system zbierania głosów na zasadzie elektronicznej skrzynki podawczej (kodowanie i podpis cyfrowy anonimowego głosu przez system zbierania głosów na poziomie Komisji Obwodowej). Taki podpis zweryfikuje i odkoduje system
na poziomie komisji okręgowej, i analogicznie co do zasady wyżej).

To ogólna zasada, dalsze szczegóły też przemyślałem :D

tommy
_____ http://www.put.poznan.pl/~tomasz.kokowski

Funkcja skrótu

Na podstawie jakich danych będzie wyliczana funkcja skrótu? Czy będą to dane typu imię, nazwisko, nonce nadawany przez urząd?

re: Funkcja skrótu

Well, to oczywiste: klucz do funkcji musi być liczony z kilku parametrów stałych dotyczących głosującego (dłoń, tęczówka, DNA[?]), dotyczących miejsca oddania głosu, dotyczących glosowania, sygnatura czasowa i wartości losowych. Uprzedzając kolejne pytanie co to jest losowość parametrów: kilka wartości pobranych losowo i chwilowych. Losowy pobór to np. ruchy myszą przez 5 sek., dowolna fraza akustyczna wypowiedziana przez głosującego, podpis (lub dowolny "bagroł" pisakiem elektronicznym/palcem, itp. Chwilowy pobór to np. slajd wartości rejestrów procesora, wartości pewnej liczby zmiennych systemowych, widmo temperaturowe dłoni głosującego, widmo tła akustycznego w chwili oddania głosu, itp.

tommy
_____ http://www.put.poznan.pl/~tomasz.kokowski

Bardziej mi chodziło o

Bardziej mi chodziło o anonimowość głosującego:
a) hash wyliczany jest z danych stałych lub chwilowych, ale przesłanych do elektronicznej komisji wyborczej - komisja nie może łatwo sprawdzić przez kogo został oddany głos nr 95373, ale może wyliczyć hash z danych i sprawdzić jak zagłosował obywatel X.

b) hash wyliczany jest z danych chwilowych znanych tylko głosującemu (lub komputerowi głosującego): komisja nie ma jak zweryfikować czy dana osoba oddała tylko jeden głos, czy nie podmieniła danych chwilowych i nie zagłosowała ponownie.

W przypadku zwykłych wyborów mamy anonimowy (w założeniu niepodrabialny - w praktyce komisja obserwuje urnę) token w postaci karty do głosowania. Tu musimy posłużyć się tokenem informacyjnym i nie znam metody jego anonimizacji bez podmiotu zaufanego przez obie strony (głosujący i komisja).

Anonimowość głosującego

Ani a) ani b). Głosowanie elektroniczne to procedura
dwuetapowa.

Etap pierwszy, to weryfikacja tożsamości głosującego. Etap drugi to oddanie głosu. Przejście z etapu pierwszego do drugiego odbywa się na podstawie elektronicznego odpowiednika karty do głosowania (np. XML + znacznik cyfrowy zawierający zakodowane uprawnienie - sygnaturę wydanej karty i wyliczany klucz) wydawanego w etapie pierwszym.

Etap drugi zaczyna się od wczytania karty do głosowania i zweryfikowania jej "niezaprzeczalności" czyli dekoduje się uprawnienie i sprawdza się "autentyczność" karty, głosujący zaznacza wybór, głos jest kodowany i dołącza się do niego znacznik oddanego głosu (sygnatura karty z głosem i wyliczany klucz).

Największe niebezpieczeństwo wg mnie to zagwarantowanie, aby oprogramowanie do głosowania nie zachowywało wartości kroków algorytmu anonimizacji czyli po zweryfikowaniu
tożsamości głosującego w czasie generowania karty do głosowania i znacznika cyfrowego. W czasie całego głosowania nie ma też mowy o jakimkolwiek rejestrowaniu etykiet czasowych jakkolwiek same chwilowe wartości czasu powinny być jednym ze składników chwilowych przy wyliczaniu kluczy.

tommy
_____ http://www.put.poznan.pl/~tomasz.kokowski

To nie dla mnie.

No to niestety ja nie zaufałbym takiemu systemowi. Podmiot zaufany jest tu (tak jak w przypadku poprzednich pomysłów) rozbity na dwa osobne podmioty i rzeczywiście przy założeniu ich pełnej rozdzielności można by taki system stworzyć (weryfikacja oddanego głosu musi pozostać w celach audytowych). Po prostu nie ufam temu, że dwa urzędy reprezentujące jedno państwo mogą zachować względem siebie i służb tajemnicę głosowania przy niesprzyjającym klimacie politycznym na samej górze.

Anonimowość vs Weryfikowalność

Nie wiem jak pozostali ale ja się nie wstydzę tego na kogo głosuję i co więcej wszyscy którzy znają mnie choć trochę to wiedzą. Dlatego też dla mnie najmniej istotnym parametrem systemu wyborczego jest anonimowość oddanego głosu. Z mojej perspektywy najistotniejszym elementem systemu jest możliwość zweryfikowania w każdej chwili wyników.
W przypadku pełnej jawności byłaby też możliwa dodatkowa funkcjonalność która znacząco zwiększyła by wpływ wyborców na swoich reprezentantów a mianowicie wyborca mógłby w każdej chwili zmienić zdanie i odwołać swoje poparcie dla danego kandydata oraz przenieść je na innego. Taka funkcjonalność pozwoliłaby na odwoływanie z funkcji radnych, posłów i senatorów którzy sprzeniewierzyli się swojemu programowi prezentowanemu w dniu wyborów.

Co do kwestii ewentualnego handlu głosami to w każdym dowolnym systemie jest on możliwy a w obecnym papierowym nawet dość łatwy. Wystarczy bowiem by uprawniony wyniósł swoją kartę do głosowania i oddał ją komuś innemu a ten po wypełnieniu według własnego uznania wrzucił ją następnie do urny. Tak się dzieje na codzień przy każdych wyborach i jakoś nie budzi to aż takich emocji.

PS:
Te moje teoretyczne rozważania są tylko luźnymi uwagami gdyż jako monarchista uważam system demokratyczny za najbardziej barbarzyński na świecie i przypominam wszystkim że najbardziej znamienity przedstawiciel nurtu narodowo-socjalistycznego adolf h. został legalnie wybrany w sposób demokratyczny a skutki tego faktu odczuwamy do dziś.

Złożoność systemu, a zaufanie wyborców

Klasyczny (kartkowo-komisyjny) system nie jest wcale aż tak trywialnie prosty jak to się obiegowo uważa. Jest prosty jeśli patrzy sie od strony interfejsu użytkownika (głosującego). Wewnątrz jest złożony pod względem organizacyjnym i proceduralnym. Głosowanie elektroniczne nie jest natomiast niczym innym jak techniczną realizacją głosowania klasycznego. Prosty interfejs i złożone wnętrze.

Zaufanie wyborców do systemu bierze się z przekonania, że głosy oddaje się jako anonimowe, zliczanie głosow jest rzetelne na każdym ze szczebli, a organizacja głosowania minimalizuje możliwości manipulacji.

Zamiast rozpaczać (albo się natrząsać - jak kto woli) nad kompromitacjami kolejnych systemów i głosowań elektronicznych, czy też bezmyślnie powtarzać o tym, że głosowanie elektroniczne jest nie wiadomo jakim szczęściem i skokiem (nie wiadomo dokąd <:]), może po prostu należy wreszcie doprowadzić do głosowania listownego polegającego na zaufaniu do instytucji poczty?

tommy

interfejs kartkowo-komisyjny jest prosty do sprawdzenia

Każdy z komitetów wyborczych biorący udział w wyborach może posiadać w każdej komisji swojego "męża zaufania" (wbrew nazwie, może to być osoba dowolnej płci), która nawet nie będąc bardzo inteligentna i nie rozumiejąc do końca złożoności organizacyjnej i proceduralnej systemu, nie mówiąc o różnicach między metodą Sainte-Laguë a metodą d'Hondta (i nie umiejąc tego poprawnie wymówić), jest w stanie pilnować czy: komisja nie dokłada do urny kartek, komisja nie wyrzuca z urny jakichś kartek, czy nikt nie dopisuje niczego na kartach, czy komisja dobrze zlicza głosy, czy nikt w lokalu wyborczym nie wywiera wpływu na głosujących itp. itd. Nawet "prosty chłop" może tam iść i patrzeć, co się dzieje z urną i co się dzieje z kartami. Widzi to i rozumie.

Aby zaś zrozumieć, co się dzieje wewnątrz czarnej skrzynki z "głosowaniem elektronicznym", trzeba być inżynierem, a właściwie i tak nie ma jak sprawdzić co naprawdę robią tam te układy scalone. Trzeba uwierzyć na słowo zespołowi certyfikujących cały system specjalistów. Nie ma jak wejść do środka i patrzeć.

mąż długodystansowy

Taaaak. Szczególnie w czasie dwudniowego głosowania mąż zaufania może przez 48 godzin nie spać, excuse le mot - wydalać do nocnika w kącie albo w pieluchę, w czasie liczenia głosów (przez kilku członków komisji) może się uprzeć że sam je przeliczy ponownie. W czasie sumowania głosów z komisji obwodowych mężowie mogą przejechać się po wszystkich lokalach, żeby ręcznie sprawdzić, czy to co wisi w protokole na drzwiach, jest zgodne z tym, co przesłano do komisyj (a i jeszcze toż samo zrobić w obwodach zamkniętych np w szpitalach i więzieniach i w ambasadach za granicą). A potem wynik wyborów jest oczywiście nie do sfałszowania i nigdy żadne wpadki się nie zdarzają ;) Aha: oczywiście w składzie komisji zasiada co najmniej dwóch biegłych pismoznawców z zakresu badania dokumentów wytworzonych komputerowo, a same karty są zabezpieczone znakiem wodnym, hologramem i RFIDami, żeby nikt ich nie wyniósł poza lokal. To daje systemową pewność, że wyborów papierowych po prostu nie da się sfałszować, w przeciwieństwie do elektronicznych :)

Myślę, że Pańskiemu

Myślę, że Pańskiemu przedmówcy nie chodziło o to, że nie da się sfałszować wyniku wyborów organizowanych w tradycyjny sposób, lecz że jest to trudniejsze, a wpływ incydentalnych nadużyć na całościowy rezultat znikomy.

Tymczasem w przypadku wyborów organizowanych drogą elektroniczną jeden, mały "incydent" na samym końcu procesu - na poziomie agregacji, czy nawet "wyplucia" wyników, może dowolnie ukształtować rezultat głosowania. Czyż nie?

wszystko

wszystko da się zrobić źle, szczególnie jeśli mamy tak sprawne rządowe/samorządowe systemy informatyczne, jakie mamy i takie jakie mamy do nich podejście polityków, ale to nie nie powód, żeby negować samo rozwiązanie. Trochę tak jak z samochodem i wozem drabiniastym. Ten pierwszy jest niebezpieczny, ma mnóstwo części, które się mogą popsuć, wymaga porządnej infrastruktury drogowej i większej kultury jazdy (w szczególności na przykład sam nie dowiezie powożącego w stanie upojenia alkoholowego do domu, co jak wiadomo koń potrafi), zazwyczaj jest mniej ładowny i zdecydowanie mniej ekologiczny, potrzebuje konkretnego rodzaju benzyny, oleju etc., niemniej nikt przytomny póki co nie postuluje zastąpienia samochodów powozami. Oczywiście jeśli chcemy się przesiąść w drugą stronę to trzeba zacząć od budowy dróg i szkolenia, które z wozaków zrobi kierowców, a nie od zakupienia samochodów, którymi nie będzie miał kto i po czym jeździć, ale to już inna historia. BTW: przy brach elektronicznych akurat kontrola procesu agregacji danych jest łatwiejsza - można frekwencję i wyniki obserwować na bieżąco, mniejsza jest szansa, że "komputer się pomyli", ewentualna manipulacja wymaga przekupienia iluś informatyków i urzędników. W wyborach tradycyjnych w zasadzie jeden/dwóch członków komisji może "pomylić się" skutecznie przy liczeniu głosów czy dosypać karty do urny...

Z całym szacunkiem, ale

Z całym szacunkiem, ale Pańska argumentacja do momentu użycia skrótu "BTW" ma się nijak do tego, co próbowałem przekazać swoim postem. Za moim sceptycyzmem wobec wiarygodności głosowania prowadzonego drogą elektroniczną bynajmniej nie kryje się uraz do postępu technicznego ani gloryfikacja epoki kamienia łupanego. Naprawdę!

Po prostu (odnosząc się teraz do tej części Pańskiej wypowiedzi, która miała związek z moim postem, czyli od "BTW") uważam dokładnie odwrotnie niż Pan, ponieważ - jak pisałem - koszt nieujawnionego incydentu na poziomie jednej, czy nawet kilku komisji liczących głosy, jest nieporównywalnie mniejszy, niż koszt nieujawnionego incydentu (dlaczego od razu przekupstwa!? a błąd specyfikacji? a błąd programisty? a błąd systemu?) w przypadku wyborów elektronicznych.

Nie jestem całkowitym przeciwnikiem wyborów elektronicznych. Zaufam im jednak tylko wówczas, gdy będą jawne, gdy każdy głos będzie można zweryfikować w powiązaniu z konkretną osobą. Tak, wiem, że to jest niemożliwe z wielu powodów. Chodzi mi tylko o to, że żadne inne warunki nie gwarantują choćby względnej pewności wyników.

weryfikacja

znacznie łatwiej jest zweryfikować poprawność wyborów elektronicznych, choćby dlatego, że można niewielkim kosztem przeprowadzić testy: np sto, tysiąc, dziesięć tysięcy osób korzysta z systemu głosując w fikcyjnych wyborach w zadany sposób i sprawdzamy co wyszło na wyjściu. W przypadku wyborów papierowych nie słyszałem nawet o takich próbach, koszty byłyby zresztą straszne a wyniki niepowtarzalne (bo rzeczywiste komisje będą miały inny skład itd.)

Test ślepy.

Trzeba by zrobić ślepy test. Myślę, że w przypadku dużego systemu odpalanie 3 instancji, tylko po to aby jedna, wylosowana, służyła do głosowania, a reszta do sprawdzenia czy rzeczywiście działa, to spore koszty w porównaniu do korzyści.

a propos wyborów papierowych

Jak wiadomo wybory papierowe obywają się bez wątpliwości
http://static1.wpolityce.pl/site_media/cache/1f/52/1f5291a3f036356f122d57dfc5c63e85.jpg
obrazek z artykułu http://wpolityce.pl/galerie/15731-prezentujemy-wyjatkowo-ciekawe-i-jednoczesnie-alarmujace-opracowanie-danych-dotyczacych-glosow-niewaznych-w-wyborach-samorzadowych-w-roku-2010
wiem, że czas ryzykowny a temat dyskusyjny ale robi to wrażenie

głos nieważny

Mam prawo, jeśli chcę, oddać głos nieważny. Nieważność głosu to nie to samo co wątpliwość przy policzeniu głosu. Są nawet "poradniki", jak oddać taki głos. W ostatnich wyborach ponoć wiele osób zagłosowało na Lady Gagę. Być może dlatego, że na listach wyborczych nie znaleźli nikogo, na kogo chcieliby oddać głos ważny, a z prawa udziału w wyborach nie chcieli zrezygnować. Chociaż prawdą jest, że zrobienie z głosu ważnego głosu nieważnego jest do możliwe :)
--
[VaGla] Vigilant Android Generated for Logical Assassination

dlatego...

... te badania dotyczą w swojej części postawienia dwóch krzyżyków na karcie do głosowania (co jest najprostszą metodą sfałszowania oddania głosu nieważnego przez kogoś obecnego w czasie liczenia głosów...) a przy głosowaniu elektronicznym nie dałoby się w ten sposób naruszyć integralności zapisu (o ile oczywiście mówimy o porządnie napisanym oprogramowaniu, ale to akurat nie jest specjalnie trudne, swoją drogą czy należałoby dodać opcję "oddaj głos nieważny"?)

głos nieważny

Tak, wtedy powinna być taka opcja "głos nieważny", bo przecież interfejs uniemożliwiłby zrobienie czegoś, co zwykle sam robię przy urnie - np. przekreślenia karty wyborczej czy skreślenia nazwisk wszystkich kandydatów (dodatkowo robię tez rzeczy uniemożliwiające jednak wykorzystanie tej karty jako ważnej, gdyby nieuczciwy członek komisji chciał to zrobić).

Ba, w głosowaniu elektronicznym całkiem proste byłoby też zrobienie czegoś, co jest chyba dostępne w niektórych stanach USA (na pewno na Alasce) - samodzielnego dopisania przez wyborcę nazwiska jakiegoś kandydata, który z różnych przyczyn nie został wydrukowany na oficjalnej karcie wyborczej (np. nie chciała zgłosić go żadna partia).

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>