Il voto elettronico: potenzialità e rischi lungo la strada della democrazia elettronica. Federica Bertoni e Claudio Telmon. Security Summit - Milano - 16 marzo 2017.
Chi siamo. Claudio Telmon Libero professionista Membro del Comitato Direttivo e del Comitato scientifico di Clusit 2
InformaticoForense, libera professionista. Perito e CTU presso il Tribunale Ordinario di Brescia. Iscritta al Ruolo dei Periti e degli Esperti della Camera di Commercio di Brescia. Chi siamo. Federica Bertoni Certificata CIFI (Certified Information Forensics Investigator). Socia IISFA (INFORMATION SYSTEM FORENSICS ASSOCIATION ITALIAN CHAPTER). Socia CLUSIT. Socia AIP. 3
Perché ci preoccupiamo? An efficient and provably-secure coercion-resistant e-voting protocol Alireza Toroghi Haghighat, Mohammad Sadeq Dousti, Rasool Jalili Eleventh Annual International Conference on Privacy, Security and Trust (PST), 2013 Il problema è risolto: abbiamo un protocollo efficiente, sicuro e resistente alla coercizione 4
DOMANDE? 5
RICOMINCIAMO... 6
Perché il voto elettronico? Motivazioni comuni, oltre che «è meglio» o o o economicità; rapidità, in particolare nelle operazioni di conteggio; possibilità di consultazioni più frequenti, favorendo la cosiddetta "democrazia diretta"; possibilità di voto fuori sede, ad esempio all'estero per consultazioni europee, o dove ci si trova in ferie, o per gli italiani all'estero; riduzione degli errori di voto e di conteggio; riduzione dei brogli; o maggiore facilità per i disabili. 7
Errori e brogli Ogni paese ha le sue esigenze e particolarità: - India: ballot stuffing - Stati Uniti (2000): hanging chads 8
In Italia? Ci sono poche informazioni pubbliche sulle forme di broglio praticate e sui numeri, a parte che «tutti sanno» che il voto di scambio e il broglio sono pratica comune in alcune zone - la scheda mancante - la mina sotto l unghia - la matita cancellabile - ma soprattutto... 9
Brogli 10
Voto da casa... di chi? Democrazia diretta... da chi? 11
Tipologie Voto da remoto vs. voto da seggio Voto elettronico vs. Scrutinio elettronico (e VVPAT) Modelli basati sulla sicurezza dei sistemi vs. modelli basati su algoritmi crittografici 12
Il problema dell implementazione Anche nel caso di utilizzo di algoritmi crittografici, si pone il problema della loro corretta implementazione o in Italia, chi implementerebbe i sistemi? Il vantaggio degli algoritmi più avanzati è che prescindono dall implementazione dei sistemi centralizzati, mentre il componente personale può essere open source o ma rimane il tema della sicurezza del dispositivo, del canale, ecc. 13
Effetto Tempest ed effetto scacchi Il voto in Olanda era iniziato a fine anni 90 (prima che negli USA) Uno studio ha mostrato come i sistemi utilizzati fossero attaccabili (come in molti altri paesi), riprogrammane uno per giocare a scacchi Il colpo di grazia è stato dato dalla scoperta della possibilità di capire se qualcuno stava votando per un certo partito, grazie all effetto Tempest Nel 2007 l Olanda ha rinunciato al voto elettronico Nel 2010 l Irlanda ha chiuso la sperimentazione in corso, perché antieconomica 14
Un cambio di paradigma? Adesso ogni cittadino sa come funziona il nostro sistema di voto, ed ogni cittadino può partecipare alla verifica delle procedure di voto (come scrutatore, rappresentante di lista, ecc.) Con il voto elettronico, specialmente con l uso di algoritmi crittografici, un ristretto gruppo di tecnici sarà garante della correttezza del sistema e del suo utilizzo. Gli altri cittadini potranno solo fidarsi. 15
I media (elettronici). Tradizione VS modernità. 16
Informatica e democrazia: un binomio possibile? «Man mano che la velocità dell informazione (elettronica) aumenta, la politica tende ad allontanarsi dalla rappresentanza e dalla delegazione degli elettori in favore di un coinvolgimento immediato dell intera comunità nelle decisioni fondamentali». (Marshall Mc Luhan). 17
I sistemi di e-voting. Quando, in una o più fasi di un processo elettorale, si adottano tecnologie elettroniche e/o informatiche si parla di e-voting. 18
La complessità. I sistemi di e-voting sono sistemi complessi. 19
Una definizione. Il voto elettronico è una transazione fra l elettore e il sistema elettorale. Elettore protocollo Sistema elettorale 20
I 6 + 1 requisiti minimi di sicurezza del diritto di voto elettronico. 1) Eleggibilità: solamente gli elettori che ne hanno diritto possono partecipare alle votazioni. Possono votare una e una sola volta. 2) Accuratezza: non deve essere possibile alterare il voto, eliminare dal computo finale un voto valido e/o mantenere nel conteggio finale un voto non valido; 3) Privacy: nessuno deve essere in grado di collegare una scheda elettorale (proprio voto o preferenza) all elettore. 4) Verificabilità: in caso di dubbio deve essere garantita una facile verifica. 5) Efficienza: ragionevolezza dei tempi delle varie fasi del processo di voto. 6) Scalabilità: La dimensione delle elezioni non deve assolutamente incidere negativamente sull efficienza. + eventualmente 7) Responsabilità: poiché in alcuni paesi è obbligatorio votare, deve essere possibile individuare gli elettori che non hanno votato. 21
I principali protocolli di voto elettronico sono caratterizzati dall utilizzo di alcune tecniche crittografiche comuni. Esse sono: Le basi dei protocolli più complessi. a) La firma elettronica cieca (blind signature). b) La cifratura omomorfa. c) Le mix-nets. d) La blockchain. 22
La firma elettronica cieca. La tecnica di firma cieca (blind signature) permette a un' autorità di firmare un messaggio (un documento) senza che ne sia rivelato il contenuto. 23
La cifratura omomorfa. Con il sistema della cifratura omomorfa è possibile sommare due numeri cifrati senza decifrarli. Questa tecnica implica che lo scrutinio di un processo elettorale avvenga senza che sia necessario decifrare i singoli voti, tutelando in tal modo pienamente l anonimato degli elettori. 24
Le mix nets. Tramite i cosiddetti mix server è possibile permutare i messaggi che vi transitano in modo che sia eliminata qualsiasi corrispondenza tra messaggio e mittente. 25
La blockchain. Attraverso la blockchain è una transazione in Bitcoin a costituire il voto espresso da un elettore per un determinato candidato. Di conseguenza non è modificabile, non può essere replicato più volte, può essere pubblicato senza consentire l identificazione del votante che l ha espresso. 26
A property of electronic voting systems where a voter is not able to prove to a coercer what way he/she voted. This is an important property as it prevents voters being bought or blackmailed by those who intend to unlawfully influence the results of the election. La coercitionresistance. http://www.igi-global.com/dictionary/coercionresistance/4178 27
Robustezza certa della crittografia VS Possibilità (certa!) di elementi di errore. La sicurezza dei protocolli di e-voting. Stati Uniti 28
I sistemi di voto elettronico statunitensi. 29
I metodi di voto elettronico adottati nei singoli stati americani. https://ballotpedia.org/voting_methods_and_equipment_by_state 30
I 3 principali metodi americani di voto elettronico Punch Card Voting System. Optical Scan Paper Ballot System. Direct Recording Electronic (D.R.E.). 31
IL PUNCH CARD VOTING SYSTEM. 32
L OPTICAL SCAN PAPER BALLOT SYSTEM. 33
IL Direct Recording Electronic (D.R.E.). 34
I metodi di voto in uso nei singoli stati americani. (!!!!!!!!!!!!!!!). State Alabama Alaska Arizona Arkansas California Colorado Connecticut Delaware Florida Georgia Hawaii Idaho Illinois Indiana Iowa Kansas Kentucky Louisiana Maine Maryland Massachusetts Michigan Minnesota Mississippi Missouri Montana Nebraska Nevada New Hampshire New Jersey New Mexico New York North Carolina North Dakota Ohio Oklahoma Oregon Pennsylvania Rhode Island South Carolina South Dakota Tennessee Texas Utah Vermont Virginia Washington Washington D.C. West Virginia Wisconsin Wyoming Source: Verified Voting, "The Verifier - Polling Place Equipment - Current," accessed October 7, 2015 [hide] Voting equipment usage Equipment used Paper ballot Paper and DRE with paper trail Paper and DRE with paper trail Paper and DRE with and without paper trail Paper and DRE with paper trail Mail Paper ballot DRE without paper trail Paper and DRE without paper trail DRE without paper trail Paper and DRE with paper trail Paper and DRE with paper trail Paper and DRE with paper trail Paper and DRE without paper trail Paper ballot Paper and DRE with and without paper trail Paper and DRE without paper trail DRE without paper trail Paper ballot Paper ballot Paper ballot Paper ballot Paper ballot Paper and DRE with and without paper trail Paper and DRE with paper trail Paper ballot Paper ballot DRE with paper trail Paper ballot DRE without paper trail Paper ballot Paper ballot Paper and DRE with paper trail Paper ballot Paper and DRE with paper trail Paper ballot Mail Paper and DRE without paper trail Paper ballot DRE without paper trail Paper ballot Paper and DRE without paper trail Paper and DRE without paper trail Paper and DRE with paper trail Paper ballot Paper and DRE without paper trail Mail Paper and DRE with paper trail Paper and DRE with paper trail Paper and DRE with paper trail Paper and DRE with paper trail 35
Will your vote count? (Barbara Simons) Se dalla fiducia che gli elettori hanno nel proprio sistema elettorale dipende la legittimità riconosciuta al vincitore, quale legittimità può essere attribuita a un vincitore risultato eletto tramite un sistema di voto elettronico di cui i cittadini sanno di non potersi fidare del tutto? 36
Grazie per l attenzione. Federica Bertoni e Claudio Telmon Security Summit Milano, 16 marzo 2017 37