1. Електронно
гласуване
Божидар Божанов

2. Vanity slide
• все още програмис’че
• http://blog.bozho.net
• http://techblog.bozho.net
• http://twitter.com/bozhobg
• съветник за електронно управление на
вицепремиера Р.Бъчварова

3. Електронно гласуване
• e-voting / i-voting / машинно гласуване /
дистанционно електроно гласуване
• a.k.a. “да си гласувам от вкъщи”
• звучи примамливо
• ...и рисковано

4. Сложна задача
• неконтролирана среда
• еднократно гласуване И тайна на вота
• защита от принуда
• проверимост
• независими наблюдатели
• неподменяемост на резултатите
• защита от вируси и атаки

5. Преди технологията
Фундаментален въпрос:
• Нужно ли е всеки да разбира целия
механизъм на гласуване?
• В момента разбира ли го всеки?

6. Идентификация
• необходимо условие
• e-id (“чип в личната карта”)
• други практики
• предварителна регистрация
• скреч-карти
• TAN
• реално използване: 2019

7. Кой би го разработил?
• компании с експертиза в сферата
• Cybernetica AS (Естония)
• Scytle (Швейцария, Франция, Норвегия)
• ...
• важното е как

8. Как
• open source от ден 1
• (според ЗИД на ЗЕУ)
• peer-reviewed
• одитирана
• с пилотни проекти и поетапно използване
• първо присъствено
• 7 дни преди хартиените избори

9. Чакай, чакай...
Има неотговорени въпроси.
Има проблеми за решаване.
Има много шум...

10. Невалидни аргументи “за”
• щом електронното банкиране работи, и
електронното гласуване ще
• пробиви и измами
• различна задача
• ако някой може да хакне гласуването,
по-добре да хакне банките
• а защо не и двете?

11. Невалидни аргументи “за”
• “какво толкова може да стане”
• всичко
• имаме много добри софтуерни
специалисти
• задачата е трудна и нишова
• ще реши проблемите на демокрацията ни
• не, няма (но може да помогне)

12. Невалидни аргументи “против”
• някой ще ви купи IP-то
• творение на дявола е
• трябва да е 100% сигурно
• хартиеното не е 100% сигурно
• някой може да подмени всичко
• няма гаранция за тайната на вота
• няма гаранция за еднократно гласуване

13. Невалидни аргументи “против”
• “В големите държави не се ползва”
• “Германия го забрани”
• “Естонското не работи”
• основно OpSec проблеми
• client malware
• пресконференция седмица преди изборите?
Бареков 2.0
• “Наши хора ще го правят”

14. Въпроси
• тайна на вота и еднократно гласуване
• проверимост на валидността на
резултата
• достъп на наблюдатели
• защита от контролиран вот
• ползваемост

15. Тайна на вота
• принцип на двойния плик (double-
envelope)
• разделянето на самоличностите преди броенето
• гласовете са криптирани с публичен ключ на
броящия сървър
• анонимизираните гласове се носят на диск
• частният ключ се активира от няколко души
едновременно

16. Тайна на вота
• blind signature
• индигиран плик с името ви и печат на секцията
• потвърждава гласуването, без знание как
• доверие в клиентския софтуер

17. Тайна на вота
• Mixnets
• слоеве на декриптиране
• получателят не знае кой е изпращачът
• Tor-like

18. Прегласуване
• е-гласуване преди хартиено
• ръчно премахване на електронния вот
• автоматично гарантира 1 човек - 1 глас
• при двоен плик
• неанонимизираната бюлетина се заменя
• при blind signature и mixnet
• използване на разписка с код

19. Проверимост
• E2E verifiable
• “stored as cast”, “counted as stored”
• разписка, вкл. на мобилен телефон
• проверка на гласа за ограничено време (риск за
тайната на вота)
• проверка за съвпадение на кодове

20. Валидност на резултата
• индивидуална проверка
• независимо преброяване
• публичен бюлетин
• bulletin board / public ledger (blockchain,
votecoin?)
• push към регистрирани наблюдатели?

21. Наблюдатели
• следене на публичните логове (или
blockchain транзакции)
• на място в “сървърното”
• стрийминг

22. Защита от контролиран вот
• panic/tamper PIN
• PIN-ът, написан наобратно :)
• трудна имплементация
• камера с разпознаване на лице
• частична гаранция, че няма друг пред
компютъра
• cooldown период
• против гласуване от един компютър

23. Ползваемост
• ако хартиеното бъде премахнато и от
секциите
• touch-screen-ът е много интуитивен
• всеки може да се оправи. Дори полу-грамотни
• UX-тестове

24. Проблеми
• client-side malware
• DDoS атаки
• мрежови атаки (dropping packets)
• remote penetration attacks
• OpSec
• вътрешни атаки
• 0-day vulnerabilities

25. Client-side malware
• desktop клиент vs браузър
• промяна на гласа, неизпращане на гласа,
разкриване на гласа преди криптиране
• решения:
• 2 factor (sms, app)
• биометрично потвърждение
• четец с хардуерна клавиатура и дисплей
• гласуване от виртуализирана среда

26. DDoS атаки

27. DDoS атаки
• атаките срещу ЦИК и други институции -
имиджов ефект
• DDoS защита:
• подготвеност и адекватни процедури
• tier 1 доставчици, телекоми
• блокиране на command & control сървъри
• scrubbing центрове
• отрязване на външен трафик

28. Мрежови атаки
• анализ на пакети => спиране на гласуване
• решения:
• retry
• откриваемо (не получаваш потвърждение)
• Tor / mixnets
• гласуване на хартия

29. OpSec
• operational security
• пароли
• DMZ
• HSM
• откриване на нахлуване, аномалии
• audit trail
основните критики срещу Естония
проверяемост на резултатите

30. Вътрешни атаки
• OpSec, audit trail
• проверимост чрез публичния “виртуален
paper trail” (напр. blockchain)
• ДАНС

31. 0-day уязвимости
• ...кофти
• общи процедури за касиране, отлагане и др.
• ако намесите са откриваеми => patch

32. Общи процедури
• касиране на онлайн резултатите
• уведомяване на гласувалите онлайн
• отлагане на гласуването
(не са толкова скъпи и трудни, колкото при
хартиеното)

33. Хартиено гласуване?
• някои от горните проблеми важат и за
хартиеното гласуване
• резултатите се агрегират и изчисляват
на компютър
• с проверки и paper trail.
• но какво ако “не излезе”?

34. Да бъдем параноични
• всичко се обърква
• вирусите са реалност
• атаки от други държави са реалност
• опитите за манипулации са реалност
• “то си работи” не работи.
• “изборната сигурност е национална
сигурност”

35. Оттук нататък?
• не всички проблеми са 100% адресирани
• няма 100% сигурно решение
• търсим решение, което не позволява
мащабни манипулации
• изглежда такова има
• нужда от още R&D
• динамична/пряка демокрация
• длъжни сме да го направим

36. Източници
https://eprint.iacr.org/2015/809.pdf
https://www.usvotefoundation.org/sites/default/files/E2EVIV_full_report.pdf
http://static.usenix.org/legacy/events/evtwote11/tech/slides/haenni.pdf
http://www.e-voting.cc/wp-content/uploads/Proceedings%202010/8.1.Spycher_2010.pdf
http://www.chaum.com/publications/Remotegrity-Design-and-Use-of-an-End-to-End-Verifiable-Remote-Voting-System.pdf
http://www.scytl.com/wp-content/uploads/2014/11/IDC-report_Implementing-End-to-End-Verifiable-Online-Voting_Enabling-Secure-Transparent-and-Tamper-Proof-Elections.pdf
https://www.informatik.tu-darmstadt.de/fileadmin/user_upload/Group_SECUSO/Papers/GI_Workshop_2014.pdf
http://download.springer.com/static/pdf/730/chp%253A10.1007%252F3-540-45961-8_15.pdf?originUrl=http%3A%2F%2Flink.springer.com%2Fchapter%2F10.1007%2F3-540-
45961-8_15&token2=exp=1446764746~acl=%2Fstatic%2Fpdf%2F730%2Fchp%25253A10.1007%25252F3-540-45961-
8_15.pdf%3ForiginUrl%3Dhttp%253A%252F%252Flink.springer.com%252Fchapter%252F10.1007%252F3-540-45961-
8_15*~hmac=a7540fc29317746377a541091e07619a274e2048dbbfeb46f2abf76a58bf9918
https://vote.heliosvoting.org/
http://e-collection.library.ethz.ch/eserv/eth:3046/eth-3046-01.pdf
http://followmyvote.com
http://www.scytl.com/wp-content/uploads/2014/11/IDC-report_Implementing-End-to-End-Verifiable-Online-Voting_Enabling-Secure-Transparent-and-Tamper-Proof-Elections.pdf
http://www.bitcongress.org
https://bitcoinmagazine.com/21031/blockchain-technology-key-secure-online-voting/
https://people.csail.mit.edu/rivest/voting/papers/JakobssonJuelsRivest-MakingMixNetsRobustForElectronicVotingByRandomizedPartialChecking.pdf
http://arxiv.org/abs/1401.4151
https://www.regjeringen.no/globalassets/upload/krd/kampanjer/valgportal/valgobservatorer/2013/rapport_cartersenteret2013.pdf
http://techblog.bozho.net/why-all-the-fear-in-electronic-voting/

37. Благодаря