Your SlideShare is downloading. ×
Proyecto Pive
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Proyecto Pive

1,088
views

Published on

Plataforma Individual de Voto Electrónico (Ministerio del Interior - España)

Plataforma Individual de Voto Electrónico (Ministerio del Interior - España)

Published in: News & Politics, Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,088
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1.  
  • 2. P.I.V.E. Plataforma Individual de Voto Electrónico 30/11/2007
  • 3.
    • ÁMBITO LEGAL
      • Ley Orgánica del Régimen Electoral General aprobada el 19 de junio de 1985
      • Recomendación (2004)11, de 30 de septiembre, del Consejo de Europa, sobre estándares legales, técnicos y operacionales para el Voto Electrónico
      • Ley Orgánica 9/2007 que modifica el Régimen Electoral General
        • Recurrir a las nuevas tecnologías para la difusión de las Secciones Electorales y mesas
        • Especialidades del voto por correo
        • Sufragio por parte de personas ciegas o con discapacidad visual
    • Prueba de voto electrónico realizada con motivo del Referéndum para la Ratificación de una Constitución Europea celebrado en febrero de 2005
    Temas Preliminares
  • 4.
    • UNICIDAD
      • Artículo 4 apartado 2 de la LOREG,
      • Obliga al mantenimiento de un censo de votantes y a que estos se identifiquen adecuadamente antes de votar.
    • SECRETO
      • Artículo 86 apartado 1 de la LOREG,
      • Obliga a poner los medios necesarios para que el votante ejerza su derecho con la seguridad de que la opción que elige no sea conocida más que por él mismo.
    • CONCEPTO DE VOTO POR INTERNET
      • El que se efectúa desde lugar indeterminado, fuera del control de la Administración Competente, usando equipos y medios accesibles al votante sin más trámite, para obtener acceso telemático a una aplicación centralizada de voto, ésta sí, dispuesta al efecto y controlada por la Administración Electoral.
    Características Fundamentales del Voto
  • 5. Experiencias previas e Inquietud General
  • 6.
    • Does GPLv3 require that voters be able to modify the software running in a voting machine?
      • No. Companies distributing devices that include software under GPLv3 are at most required to provide the source and Installation Information for the software to people who possess a copy of the object code. The voter who uses a voting machine (like any other kiosk) doesn't get possession of it, not even temporarily, so the voter also does not get possession of the binary software in it.
      • Note, however, that voting is a very special case. Just because the software in a computer is free does not mean you can trust the computer for voting. We believe that computers cannot be trusted for voting. Voting should be done on paper .
    http://www.gnu.org/licenses/gpl-faq.html#v3VotingMachine ¿Podría hacerse?
  • 7.
    • El proyecto se inicia a ra íz de la iniciativa del Ministerio del Interior en el marco del Plan Avanza para el desarrollo de la sociedad de la informaci ón dentro de la Subsecretaría y dentro de ella llevado a cabo en la Subdirección General del Centro de Sistemas de Información.
    • OBJETIVOS DEL PROYECTO P.I.V.E.
      • Desarrollo de una plataforma de voto electrónico individual a través de Internet usando DNI electrónico como medio de autenticación del votante.
      • Asegurar que la persona que quiere realizar la votación de forma no presencial es quien dice ser
      • Asegurar que todos los procesos ubicados en el equipo del votante e implicados en el acto del voto, están completamente aislados y protegidos de posibles problemas de seguridad de ese equipo.
    Contexto del Proyecto
  • 8.
    • El sistema no debe ser intrusivo, debe ser autocontenido y no necesitar instalar nada sobre el ordenador del usuario.
    • Debe poder usar el DNI electrónico como forma de autenticación del usuario, para aquellas aplicaciones que lo requieran.
    • Debe ser fácil de usar, automatizando o facilitando la configuración necesaria para su funcionamiento.
    • Igualmente, debe poder configurar automáticamente la red para el mayor número de casos posible, y pedir al usuario sólo aquella información que no sea posible obtener automáticamente.
    • Debe de proporcionar el máximo nivel de seguridad y aislamiento del entorno en el que se ejecute.
    • Debe de tener la mínima vulnerabilidad a agentes externos y la imposibilidad de cualquier manipulación no controlada del software ejecutado.
    • Debe permitir su distribución universal y ser un sistema totalmente auditable y verificable por terceros.
    Requisitos Funcionales
  • 9.
    • Debe garantizar la confidencialidad del voto
    • Debe prestar garant ía de No Repudio del voto emitido
    • Debe garantizar la inmunidad contra virus, keyloggers, spyware, etc. en el equipo del votante.
    • Debe garantizar un canal de comunicaci ón seguro contra la parte servidora del sistema.
    • Debe ser inmune al Phishing y/o ataques de envenamiento de DNS.
    Requisitos de Seguridad
  • 10. Wikipedia – LIVE CD
  • 11.
    • Entorno seguro, portable y autocontenido, ejecutable sobre cualquier ordenador personal
    • Uso del DNI electrónico para garantizar la autenticación del ciudadano de forma unívoca
    • Configuración tanto de núcleo ( kernel ) del sistema, como la configuración específica de navegación del usuario para que sean seguras e inviolables
    • Con sistemas de cifrado del software y mecanismos internos de seguridad
    Plataforma Fase I
  • 12.
    • Prototipo operativo de la plataforma en CD-ROM
    • Especificación detallada de las configuraciones de ordenadores personales sobre los que podría desplegarse
    • La cobertura que estas configuraciones representan en cuanto a ordenadores personales instalados en España
    • Análisis de los riesgos de la plataforma desarrollada
    • Recomendaciones de nuevos trabajos para mejorar la plataforma y la logística de distribución.
    Productos Obtenidos en la Fase I
    • Aunque el CD obtenido ostenta un elevado nivel de seguridad, no se considera suficiente.
    • Sería necesario independizar la criptografía de uso en el mismo manteniendo siempre el principio de que las claves criptográficas que vayan a ser utilizadas por el votante se generen en dispositivos que éste mantenga bajo su control
    Conclusión Principal
  • 13.
    • Realizado mediante la herramienta PILAR del CNI (Procedimiento Informático y Lógico de Análisis de Riesgos)
    • Centrado en los riesgos que afectan a:
        • Equipo de votación
        • CD-ROM y su medio de distribución
        • Intercambio de información.
    Los puntos más vulnerables son: Análisis de Riesgos Fase I 5 Errores de configuración Software LiveCD 5 Acceso no autorizado Software LiveCD 5 Abuso de privilegios de acceso Software LiveCD 5 Errores de los usuarios Software LiveCD 5 Vulnerabilidades de los programas Software LiveCD 5 Errores del administrador Software LiveCD 5 Alteración de secuencia Software LiveCD 5 Manipulación de la configuración Software LiveCD 5 Suplantación de identidad del usuario Software LiveCD 5 Difusión de software dañino Software LiveCD 5 Manipulación de programas Software LiveCD RIESGO AMENAZA ACTIVO
  • 14.
    • La posibilidad de rotura del sistema se localiza en segmentos extraordinariamente especializados y conocimiento privilegiado del sistema.
    • Se reduce muy considerablemente la posibilidad de actuaciones masivas, es más nos resulta difícil en este momento imaginar como se podría producir una actuación de este tipo.
    Análisis de Riesgos Fase II Mejoras de la Plataforma Fase II
    • Generación de imágenes personalizadas y específicas para cada ciudadano. Cada votante tendrá su propio CD personal e intransferible.
    • Personalización de cada uno de los soportes, usando el DNI electrónico para la autenticación y acceso a la información cifrada.
    • Firmado y autoverificaci ón del CD, de forma que el sistema de back-end pueda estar seguro de que la parte cliente no ha sido alterada de forma alguna.
    • Descarga on-line de la plataforma
    • Reducción del tamaño del soporte, que facilite su descarga a través de Internet.
    • Obtención en soportes alternativos al CD
    • Reducción del tiempo de arranque del sistema operativo
  • 15.
    • Basado en S.O. Linux – distribución UBUNTU.
    • Kernel modificado especialmente para mejorar la seguridad del sistema.
    • LiveCD autoarrancable y cifrado en función de DNI del ciudadano.
    • Bloqueo del acceso como administrador.
    • No usa informaci ón almacenada en el PC del usuario, ni almacena. información alguna en el PC en el que se ejecuta. Sólo se ejecuta en memoria RAM y permanece hasta que apagamos el equipo.
    • Autodetecci ón y configuración de la red: DHCP, con conexión directa o a través de PROXY.
    • Restricción de conectividad IP a direcciones previamente definidas.
    • No se usan DNS para resolver nombres: se configura y fija en el S.O. únicamente los hosts a los que se va a acceder para el voto.
    • Soporte del uso de DNI electrónico compatible con lectores de tarjetas estándar CCID.
    • Compatible con la gran mayoría de PC’s existentes (+80%).
    Características Técnicas
  • 16. Esquema Lógico de la Plataforma X-WINDOWS Mozilla Firefox Filtro Proxies (pfilter) PKCS#11 DNI-e OpenSC LINUX KERNEL IPTables Sistemas Archivos raíz (/) IPT Controller Cryptoloop Driver Squasfs Drivers de Red Sistema archivos raíz (cifrado) INTERNET
  • 17. Esquema de Funcionamiento
  • 18. Entidad de Firma Soporte el Cálculo de las funciones HASH Soporte al Proceso de validación del CD Cálculo de la Imagen del CD Conexión HTTPS e Inicio del proceso De personalización y descarga 2 INICIO del Proceso de Personalización INICIO del Proceso de Arranque del CD 3 Validación del CD 1 Proceso de Voto Electrónico y Entidades 4 BACK-OFFICE Validación BACK-OFFICE Firma Módulo de Personalización LiveCD/ Entorno Cliente Aplicación De Voto
  • 19.
    • Certificación de seguridad de toda la plataforma por terceros
    • Registro previo como votante por Internet
    • Entrenamiento y aprendizaje de voto
    • Voto previo o en la jornada electoral
    • Voto
    • Revisión del voto
    • Certificado de votación
    • Escrutinio conjunto o separado
    • Logística de distribución e instalación de la plataforma
    Aspectos Pendientes de Estudio
  • 20. Subdirector General Manuel Martínez Domínguez [email_address] Subdirector General Adjunto Antonio García de la Paz [email_address]
      • Subdirección General del Centro de Sistemas de Información
      • Ministerio del Interior
      • C/ Amador de los Ríos 7
      • 28071 Madrid
    Datos de Contacto
  • 21. http://www.ubuntu.com/ http://www.dnielectonico.es http://www.zitralia.com http://www.mir.es Enlaces de Interés http://www.ieci.es
  • 22. muchas gracias
  • 23. INTERNET Ku H,D {H,D}S {{H,D}S}Ku CV + = S PARTE SIN CIFRAR PARTE CIFRADA Ku CV + + DESCARGA Personalización del Soporte SEMILLA Q Q ENVÍO + SSL SSL
  • 24. Ku CV {H’,D’}S PARTE SIN CIFRAR PARTE CIFRADA CV H’ S H,D INTERNET SEMILLA Q Validación del Soporte H D Si todo es correcto, se dará paso a la aplicación de voto
  • 25. Proceso Personalización 1 .El usuario accede con un navegador web estándar a la web del sistema de personalización. El protocolo será siempre HTTPS , para garantizar la confidencialidad. La comunicación HTTPS requiere de autenticación de servidor y de cliente mediante el empleo de certificados. Se utilizará SSL v3.0 con el conjunto de algoritmos RSA, 3DES y SHA. 2 . El usuario utilizará su DNIe para autenticarse frente al servidor de personalización. Se le solicitará el PIN de su DNIe para poder establecer la conexión TLS/SSL. 3 . El servidor (módulo de personalización) generará la semilla Q invocando el servicio criptográfico correspondiente a la Entidad de Firma y Cifrado, componiendo la petición correspondiente a la APDU 0x02 con una longitud solicitada de 128 bytes. 4 .El servidor (módulo de personalización) descargará en el puesto del cliente el applet necesario para realizar el proceso de firma, junto con la semilla Q calculada. 5 . El cliente firmará la semilla Q con la clave privada asociada al certificado de firma de su DNIe, para realizar esta operación se volverá a solicitar el PIN del usuario. Para seleccionar el certificado bastará en esta fase con presentar al usuario una caja de diálogo para selección del certificado. El resultado de la firma será devuelto por el componente cliente (applet) al servidor (módulo de personalización). 6 .El servidor (módulo de personalización) continuará con el proceso de derivación de claves para obtener la clave Ku. Para realizar esto el módulo de personalización invocará el servicio criptográfico ofrecido por la EFC para derivación de claves. El módulo de personalización deberá enviar a la EFC, el resultado de la firma de Q, que hemos llamado “P” y un valor aleatorio “SALT”, será el Q original. La respuesta de la EFC contendrá la clave de usuario Ku. 7 . El servidor preparará, inmediatamente o en modo batch, una imagen del CD personalizada para el usuario. Este CD constará de los siguientes componentes : Parte Abierta , que incluye lo necesario para arrancar: (kernel, imagen initrd de inicio, módulos de kernel imprescindibles y software no crítico) Parte Cifrada , que contiene el resto del software del CD. Específicamente, contendrá un fichero binario B de un tamaño por determinar, de contenido generado de forma aleatoria por el servidor y distinto para cada usuario. La clave usada para cifrado será Ku. El algoritmo de cifrado será AES en modo CBC. Código de validación : Este código se calculará de la siguiente forma: El servidor calculará un hash H, usando el algoritmo SHA256, de los siguientes componentes: ■ Parte Abierta: ■ kernel ■ imagen de arranque initrd ■ módulos de kernel cargados ■ Parte cifrada del CD (incluyendo por tanto el fichero aleatorio anteriormente descrito) Se cifrara H, concatenado con el DNI del votante D, con la clave S que será utilizada invocando los servicios de cifrado y descifrado de la Entidad de Firma y Cifrado, el algoritmo de cifrado a utilizar será 3DES en modo CBC. Se obtendrá {H,D}S Se cifra {H,D}S con Ku, mediante cifrado simétrico AES en modo CBC. Se obtendrá {{H,D}S}Ku, al que llamaremos CV, es decir, nuestro código de validación buscado. Este código de validación se graba en la imagen del CD, en la parte no cifrada, puesto que depende indirectamente del hash de la parte cifrada. Junto con la semilla Q y el SALT, si diera lugar. 8 . Una vez lista la imagen del CD, el usuario realizará la descarga y grabará el soporte, o solicitará su envío por correo certificado.
  • 26. Proceso Validación 1 . El ordenador arranca desde CD, cargando los componentes almacenados en la parte no cifrada del CD: kerrnel, initrd y módulos imprescindibles para el arranque. 2 . Una vez realizado esto, se pide al usuario la introducción del PIN de su DNIe. 3 . Se inicia el proceso de derivación de claves para obtener la misma clave Ku utilizada en el proceso de obtención del CD. Se firma la semilla Q con el DNIe del usuario, el resultado se utiliza para obtener la clave derivada Ku mediante el empleo del mismo algoritmo de derivación de claves utilizado en el momento de la personalización. 4 . Se usa Ku para descifrar la parte cifrada del CD y se continúa el arranque. El proceso de validación, la segunda parte, queda por tanto así : 1 . El CD se conecta a la aplicación de voto, que pide autenticación al CD ■ Para este propósito se abre automáticamente un conexión SSL con el servidor de voto, se requiere de autenticación de servidor mediante el empleo de certificados. ■ Se utilizará SSL v3.0 con el conjunto de algoritmos RSA, 3DES y SHA. 2 . Obtiene el código CV, que se encuentra grabado en la parte abierta del mismo CD 3 . Obtiene Ku a partir del usado durante el arranque. [Comentario: evitar la inserción del PIN más de dos veces, por lo que si Ku se mantiene en memoria del PC del usuario se recomienda su ofuscación en memoria durante el ciclo de vida, estando en claro en memoria sólo en los momentos estrictamente necesarios] 4 . Descifra CV, utilizando el algoritmo AES en modo CBC, que es en realidad {{H,D}S}Ku usando Ku y obteniendo {H,D}S 5 . El CD calcula el hash H' de la misma forma que el servidor de personalización en su momento: como un SHA256 del núcleo, initrd, módulos y parte cifrada del CD. 6 . El CD manda al módulo de validación residente en el servidor de voto: {H,D}S , H' y D', siendo D’ el DNI del votante. 7 . El módulo de validación del servidor de voto consulta al módulo de validación residente en el Back-Office, dónde se procede a invocar el proceso de descifrado de {H,D}S con S y obtiene H. La operación de descifrado tiene lugar en la Entidad de Firma y Cifrado. 8 . En el módulo de validación del Back-Office se realizan las siguientes comprobaciones: Si H == H', y D==D', el CD ha superado la validación. 9. El módulo de validación del servidor de voto recibe la respuesta sobre la validez del CD y procede a denegar o permitir continuar con proceso de voto electrónico. 10 .Para continuar con este proceso se procederá a abrir un navegador web, desde el cuál el usuario accede a la web del sistema de voto. El protocolo será siempre HTTPS, para garantizar la confidencialidad. ■ La comunicación HTTPS requiere de autenticación de servidor y de cliente mediante el empleo de certificados. ■ Se utilizará SSL v3.0 con el conjunto de algoritmos RSA, 3DES y SHA. ■ El usuario utilizará su DNIe para autenticarse frente al servidor de personalización. Se le solicitará el PIN de su DNIe para poder establecer la conexión TLS/SSL.