Voto elettronico? Un'opportunità

Molte le lettere favorevoli all'e-vote giunte in redazione in questi giorni. Ecco la posizione di un lettore, che descrive tecnologie di voto elettronico

Roma - Buongiorno, vorrei commentare la lettera di Emanuele Lombardi in cui vengono espresse perplessità sui sistemi di voto elettronico. Sto studiando proprio in questo periodo vari sistemi di votazione elettronica, e, leggendo su vari siti e osservando varie implementazioni (anche reali), posso affermare che il voto elettronico può essere MOLTO più sicuro, affidabile e non manomissibile di qualsiasi sistema di voto tradizionale.

Ovviamente per ottenere questi risultati bisogna che il sistema sia studiato ed implementato applicando tecniche che soddisfino requisiti di sicurezza ed affidabilità elevati e che prevedano la realizzazione una infrastruttura molto articolata e complessa.

Non vi voglio tediare nello spiegare il sistema di voto elettronico ideale (non ne ho né le capacità né le conoscenze per farlo), ma vorrei contribuire affrontando alcuni dei punti salienti che un sistema di voto elettronico DEVE prevedere:
1) ANONIMATO del voto
2) UNICITA' del voto (una persona un voto)
3) VERIFICABILITA' del voto a posteriori

L'anonimato si garantisce facilmente trattando in maniera disgiunta le informazioni sull'elettore (e sull'orario di votazione) ed il voto stesso; tra le tecniche impiegate per garantire la non correlazione tra il voto e le altre informazioni vi è il rimescolamento dei record nel DB dei voti.

L'unicità del voto si ottiene mediante l'autenticazione basata su certificati (Smart Card), ovvero mediante la Carta di Identità Elettronica. La memorizzazione in un DB di chi ha votato è semplicissima ed ovviamente deve prevedere che lo scrutatore o il presidente di seggio firmi con il proprio certificato ogni record nel DB delle votazioni (analogamente a quanto avviene oggi con il voto tradizionale).

Associata ad ogni record DEVE esserci una controparte fisica (non elettronica) equivalente al registro dei "votanti". Questa può essere realizzata stampando, man mano che gli elettori vengono registrati, il record dell'elettore con annessa la firma elettronica di chi ha verificato l'identità dell'elettore. Questo garantisce che sia sempre possibile verificare chi ha votato e tutela da eventuali guasti hardware al sistema di registrazione dell'affluenza alle urne.

Il sistema ideale è ovviamente connesso in rete con il Ministero degli Interni (ovviamente tutte le comunicazioni sono crittografate), e ogni record scritto nel DB viene replicato immediatamente nel DB centrale, in modo tale che i dati di affluenza siano consolidabili con continuità.

La verificabilità del voto è la parte più ardua e contestata dei sistemi di votazione elettronica, ma esistono dei sistemi per poterla garantire e di seguito ne illustro uno, secondo me il più valido tra quelli che ho vagliato.

La macchina per la votazione elettronica prevede un touch screen per l'espressione del voto, un paio di cuffie per le persone videolese ed una stampante ad AGHI connessa al PC dotata di un rullo di carta filigranata e di taglierina automatica e di un'urna. Il tutto è inserito in un apposito contenitore (mobile) controllato e sigillato all'inizio delle operazioni di voto.

L'espressione della propria scelta avviene mediante il touch-screen. Una volta effettuata e confermata la propria scelta a video, la stampante stampa il voto su un foglio di carta che viene mostrato all'elettore attraverso una finestrella trasparente. A questo punto viene richiesto al votante di verificarlo e di riconfermarlo (dando la possibilità di annullarlo e ripeterlo un'altra volta, come con il sistema attuale in cui si può richiedere una nuova scheda).

Una volta confermato il voto scritto sul foglio di carta, il sistema genera un numero casuale che viene inserito nel record di voto ed il tutto, firmato digitalmente col certificato della macchina di voto, viene inserito nel DB dei voti ed inviato online al Ministero degli Interni.
Viene quindi aggiunta alla stampa il numero casuale di controllo con annessa la firma digitale corrispondente al record nel DB (in modo tale da poter sempre fare un'associazione record nel DB - scheda cartacea e rendere virtualmente impossibile l'inserimento di schede cartacee fasulle) e a questo punto il foglio viene tagliato e cade nell'urna all'interno della macchina di voto.

Al termine di ogni votazione poi, il DB dei voti viene rimescolato per evitare possibili associazioni temporali. A conclusione delle votazioni viene eseguito un dump del DB di voto ed il presidente di seggio e gli scrutatori appongono la loro firma digitale sull'archivio generato. Questo viene poi masterizzato su supporto ottico e stampato in formato cartaceo e, insieme all'urna ed alla macchina di voto, viene sigillato per gli eventuali controlli a posteriori.

Il software impiegato deve ovviamente essere messo a disposizione di tutti i cittadini che ne facciano richiesta nella versione installata su tutte le macchine, sia in formato sorgente che binario, e sia i sorgenti che i binari devono essere firmati digitalmente dai responsabili del Ministero degli Interni in modo tale da attestarne l'integrità e poter verificare che la versione presente su ciascuna macchina sia effettivamente quella certificata.

Come si può facilmente intuire dalla descrizione sopra, un sistema ben progettato lascia poco spazio a possibilità di falsificazione o di condizionamento del voto. Questo non significa che vi sia la sicurezza matematica della correttezza delle elezioni, ma sicuramente tale sistema è più sicuro ed affidabile di quello completamente manuale attualmente impiegato (almeno fintantoché la crittografia mantiene standard di sicurezza adeguati al contesto).

Con un sistema di voto elettronico vengono eliminate le componenti di discrezionalità associate al voto cartaceo standard (chi non ha mai visto litigare i rappresentanti di lista per la X che sconfina nella casella a fianco?), vengono eliminate le possibilità di errore nel conteggio dei voti (che viene eseguito elettronicamente e, se si vuole, anche in tempo reale) e, in caso di dubbi, è SEMPRE possibile verificare manualmente, a posteriori, l'esito della votazione (senza però dover attendere ogni volta 2 giorni per un classico spoglio manuale).

Spero di aver contribuito ad infondere maggiore sicurezza nelle nuove tecnologie e di aver dimostrato all'autore della lettera che il problema non è il voto elettronico in se, ma è solo la sua "cattiva" implementazione. In fondo, penso che durante le elezioni la democrazia sia chiaramente più in pericolo per gli onnipresenti telefonini con fotocamera integrata che non per il mega cracker che si intrufola nei sistemi per far vincere il politico di turno.

Saluti
Flavio Visentin
www.zipman.it
71 Commenti alla Notizia Voto elettronico? Un'opportunità
Ordina
  • Voto elettronico ? Un' opportunità di brogli ,tanto chi li scoprirà mai !A bocca aperta
    Mi dispiace gente preferisco il voto tradizionale! Ficoso
    non+autenticato

  • - Scritto da: Anonimo
    > Voto elettronico ? Un' opportunità di brogli
    > ,tanto chi li scoprirà mai !A bocca aperta
    > Mi dispiace gente preferisco il voto
    > tradizionale! Ficoso

    Perche' ovviamente i brogli nel sistema cartaceo tu li hai scoperti tutti!
    3518
  • Ciao a tutti.

    E' vero che con il sistema attuale ci vuole un giorno per scrutinare le schede. Non penso che con il sistema elettronico i risultati saranno dati "la sera prima", perchè immagino che ci sarebbero delle procedure di controllo da attuare sui dati digitali, per cui non si avrebbe nemmeno il "risparmio" di tempo (di un giorno!).

    Inoltre sono daccordo con chi dice che se c'è un sistema di riserva (il conteggio manuale dei voti cartacei) allora vuol dire che il sistema principale (quello elettronico) non è poi così sicuro.

    Qualcuno di voi ha seguito la sperimentazione del voto elettronico in italia? Visti tutti i problemi e le perplessità che i sistemi troppo complicati apportano, secondo me la sperimentazione ha colpito nel segno.
    In sostanza il voto avviene con le medesime modalità odierne. Soltanto che accanto ad ogni nome sulla scheda c'è un codice a barre.

    Al momento dello scrutinio, lo scrutatore "legge" con un'apposita penna ottica il codice a barre (mentre i rappresentanti di lista e il pubblico può seguire le operazioni da appositi monitor), quindi il dato viene memorizzato sul db.

    Alla fine degli scrutini i dati vengono memorizzati su una memoria usb che viene sigillata e portata da pubblici ufficiali alla prefettura, dalla quale viene poi spedita al ministero.

    Secondo me è semplice ed affidabile:
    Rimangono tutte le garanzie che ci sono oggi (anonimato, possibilità di controllare e ricontrollare le schede, accesso al pubblico e ai rappresentanti di lista che posso, ...), il pc gestisce solo il conteggio dei voti.
    Non ci sono problemi di crittografia etc, in quanto i dati non vengono spediti online ma portati fisicamente in prefettura.
    Da lì vengono spediti elettronicamente al ministero (come peraltro avviene già adesso).

    Quando non si vota i pc vengono dati alle scuole e possono sempre essere riutilizzati per le votazioni (previa bonifica).

    L'unico problema è che le schede sono abbastanza grandi, tanto da contenere i nomi di tutti i candidati e i relativi codici a barre.


    Enrico
    non+autenticato

  • - Scritto da: Anonimo

    > Qualcuno di voi ha seguito la sperimentazione del
    > voto elettronico in italia? Visti tutti i
    > problemi e le perplessità che i sistemi troppo
    > complicati apportano, secondo me la
    > sperimentazione ha colpito nel segno.
    > In sostanza il voto avviene con le medesime
    > modalità odierne. Soltanto che accanto ad ogni
    > nome sulla scheda c'è un codice a barre.
    >
    > Al momento dello scrutinio, lo scrutatore "legge"
    > con un'apposita penna ottica il codice a barre
    > (mentre i rappresentanti di lista e il pubblico
    > può seguire le operazioni da appositi monitor),
    > quindi il dato viene memorizzato sul db.
    >
    > Alla fine degli scrutini i dati vengono
    > memorizzati su una memoria usb che viene
    > sigillata e portata da pubblici ufficiali alla
    > prefettura, dalla quale viene poi spedita al
    > ministero.
    >

    Non ovunque. La lettura del codice a barre e' stata sperimentata in Liguria e Sardegna.
    Come Zipman puo' confermare, in Trentino la sperimentazione e' stata differente...


    3518
  • La macchina per la votazione elettronica prevede un touch screen per l'espressione del voto, un paio di cuffie per le persone videolese ed una stampante ad AGHI connessa al PC dotata di un rullo di carta filigranata e di taglierina automatica e di un'urna. Il tutto è inserito in un apposito contenitore (mobile) controllato e sigillato all'inizio delle operazioni di voto.
    ...
    Con un sistema di voto elettronico vengono eliminate le componenti di discrezionalità associate al voto cartaceo standard (chi non ha mai visto litigare i rappresentanti di lista per la X che sconfina nella casella a fianco?), vengono eliminate le possibilità di errore nel conteggio dei voti (che viene eseguito elettronicamente e, se si vuole, anche in tempo reale) e, in caso di dubbi, è SEMPRE possibile verificare manualmente, a posteriori, l'esito della votazione (senza però dover attendere ogni volta 2 giorni per un classico spoglio manuale).


    non vi e' chiara?
    3518
  • > non vi e' chiara?

    Per quanto mi riguarda non c'è niente che non sia chiaro, il problema è che nessuno degli espedienti descritti da Zipman possono fare alcunchè per risolvere l'enigma di base, che è il come garantire i 3 requisiti di base indicati dallo stesso Zipman. Vado ad opinare dettagliatamente i punti che hai fatto notare

    > La macchina per la votazione elettronica
    > prevede [...] una stampante ad AGHI connessa al PC
    > dotata di un rullo di carta filigranata

    Che garanzia dà, all'elettore, il fatto che esista una testimonianza su carta filigranata del suo voto? intendo dire in termini di rispetto dei 3 requisiti. Il voto stampato su carta filigranata di per sè serve solo a sostituire, pure egregiamente se vogliamo, la scheda tradizionale ma non mi sembra che aggiunga nulla nè in termini di certezza che quel voto verrà davvero conteggiato nè in termini di anonimato, riesce solo a mantenere la certezza della singolarità del voto. Nella procedura di voto descritta da Zipman c'è un dettaglio imprecisato: non descrive la modalità esatta con cui l'elettore viene identificato. Riesco ad immaginare solo due modi:
    1) automaticamente dal computer della cabina
    2) dal Presidente di Seggio tramite un computer appositamente messo a sua disposizione

    nel primo caso mi sembra evidente come non ci possa essere certezza di anonimato, poichè se è il computer della cabina a leggere direttamente la smartcard allora diventa sin troppo ovvio associare quella identità a quel voto. Nel secondo caso, ammettendo l'integrità del software che gira sul computer del Presidente nonchè l'integrità morale del Presidente medesimo, si manterrà certezza di anonimato ma si perderà la verificabilità del voto perchè i dati informatizzati non identificati sono manipolabili facilmente da chi lo sa fare. Ho capito benissimo che "è SEMPRE possibile verificare manualmente, a posteriori, l'esito della votazione" grazie (presumo) alle schede stampate su carta filigranata ma allora dove stanno i reali benefici del voto elettronico? tanto vale limitarsi all'uso di dette schede stampate al posto delle tradizionali schede e bella lì

    > Con un sistema di voto elettronico vengono
    > eliminate le componenti di discrezionalità
    > associate al voto cartaceo standard


    Non sono d'accordo: con il metodo descritto da Zipman tali discrezionalità non vengono eliminate, vengono solo "delegate" a qualcun'altro, cioè vengono spostate dalla "sala scrutini" alla "sala macchine"

    > vengono eliminate le possibilità di errore nel
    > conteggio dei voti


    Questo è vero fin tanto che il software si comporta correttamente. Quindi si elimina, teoricamente, un problema ma se ne crea un altro che consiste nel vigilare che il software si comporti correttamente. In questo contesto il problema ovviamente non è tanto quello di bug (comunque sempre possibili) quanto piuttosto quello della manipolazione dei dati elettronici. Il fatto che quei dati giungano nei vari server firmati da regolare firma digitale (praticamente infalsificabile) apposta da scrutinatori o presidenti di seggio o chittipare non dà la certezza che poi verranno conteggiati davvero perchè il fatto che "chiunque" (eufemismo) possa verificare i sorgenti non dà la certezza che i server stiano usando davvero quei sorgenti. Il meglio che si potrebbe fare sarebbe di tenere sotto costante controllo tali server dal momento dell'arrivo del primo voto fino al momento del conteggio dell'ultimo voto, il che concettualmente non è diverso da ciò che accade (dovrebbe accadere) ora, solo che controllare dei computer è più complicato che controllare delle persone, se non altro perchè mentre le persone possono essere controllate da chiunque i computer invece possono essere controllati solo da tecnici competenti. In definitiva, permane il problema della fiducia da dover necessariamente concedere a qualcuno (i controllori) però si riduce drasticamente il numero di persone tra le quali scegliere coloro a cui concedere tale fiducia e questa non mi sembra una cosa da poco; si introduce una specie di "digital divide" nella popolazione tra coloro che sono in grado di fare i controllori e coloro che, per mera (in)competenza tecnica, non lo sono. In ottica democratica questa la ritengo un'ingiustizia bella e buona

    > e, in caso di dubbi, è SEMPRE possibile
    > verificare manualmente, a posteriori, l'esito
    > della votazione


    Scusa, ma il fatto stesso che sia previsto di verificare manualmente in caso di dubbi è una ammissione che il sistema può dare adito a dubbi legittimi, altrimenti non ci sarebbe bisogno di lasciare quella possibilità. Se io ho due sistemi per fare una cosa, dei quali uno lo considero come "paracadute" dell'altro significa che solo uno è infallibile (meno fallibile dell'altro), allora perchè pormi il problema di usare l'altro? per sveltire le operazioni, ok, ma in questo caso se i risultati si sanno il giorno dopo invece che la sera prima non mi sembra un grave problema; piuttosto, partendo dal presupposto che la regolarità delle elezioni sia un elemento cardine di ogni democrazia, è importante che il controllo di tale regolarità sia il più possibile vicina ai cittadini, a tutti i cittadini; già oggi non è proprio vicinissima e ci dobbiamo accontentare di delegare determinate figure, in primis gli uomini politici che operano più o meno stabilmente nei vari governi centrale, regionali, provinciali, comunali, ecc., in segundis i vari scrutinatori "reclutati" ad ogni voto, di vigilare per noi, ma oggi chiunque può, con pazienza e intraprendenza (ed altre caratteristiche poco lodevoli?), entrare a far parte degli uomini politici e chiunque può, previa semplice richiesta, entrare nel "giro" degli scrutinatori ed essere convocato di quando in quando. Con il voto elettronico descritto da Zipman ciò non è più sufficiente perchè diventa necessario essere anche degli esperti(ssimi) informatici, quindi invece di avvicinare i cittadini alle opportunità di controllo essi ne vengono allontanati ancora di più e questo, viceversa che la tempistica dei risultati, mi sembra un grave problema.

    Per concludere vorrei precisare che io sono perfettamente d'accordo che l'attuale meccanismo di voto sia fallibile ed abbia vari problemi e che si debbano studiare vie nuove per migliorare la situazione, è solo che i metodi di voto elettronico che ho letto finora non migliorano significativamente quei problemi: alcuni vengono risolti ma di molti altri ne vengono solo cambiate le faccie e a fronte dei problemi risolti vengono introdotti nuovi motivi di sospetto e problematiche nuove che mi sembrano ben più gravi di quelle risolte.

    ==================================
    Modificato dall'autore il 28/05/2005 15.59.41
  • "Spero di aver contribuito ad infondere maggiore sicurezza nelle nuove tecnologie e di aver dimostrato all'autore della lettera che il problema non è il voto elettronico in se, ma è solo la sua "cattiva" implementazione. "

    Esatto. L'autore dell'articolo mi dica una sola opera dell'inegno umano che non sia andata soggetta a cattiva implementazione.
    (Basta pensare alle centrali nucleari; a me sta bene che qualcuno le ritenga *perfettamente* sicure, purchè sia disposto a tenersele nel comune dove abita.)
    C'è anche da dire che in effetti il sistema che ha descritto l'autore dell'articolo è piuttosto complicato.
    Teoria e pratica insegnano che più una costruzione è complessa, maggiori sono i danni che provocherà in caso di guasto e malfunzionamento (che non si possono *mai* escludere), o di disastro.
    Consideriamo gli effetti di un broglio col voto cartaceo e col voto elettronico; davvero qualucno se la sente di affermare che sono sullo stesso livello?
    Bruco
    2098

  • - Scritto da: Bruco
    > (Basta pensare alle centrali nucleari; a me sta
    > bene che qualcuno le ritenga *perfettamente*
    > sicure

    A me sta bene che qualcuno sia sufficientemente cialtrone da ritenre insicure le centrali nucleari moderne, ma lo deve DIMOSTRARE in modo ingegneristicamente incontrovertibile, sui diagrammi di propagazione del guasto e non blaterando a vanvera concetti su "guasti" e "teorie" da settimana enigmistica.
    non+autenticato
  • - Scritto da: Anonimo
    > A me sta bene che qualcuno sia sufficientemente
    > cialtrone da ritenre insicure le centrali
    > nucleari moderne, ma lo deve DIMOSTRARE in modo
    > ingegneristicamente incontrovertibile, sui
    > diagrammi di propagazione del guasto e non
    > blaterando a vanvera concetti su "guasti" e
    > "teorie" da settimana enigmistica.

    Cioè cioè, fami capire: io non sono libero di sparare tutte le cialtronerie che voglio, e tu invece hai diritto di entrare a casa mia e decidere quello che ci devo tenere? E magari anche di dirmi con chi deve andare a letto mia moglie?

    Bello! Cioè, più che bello, interessante. Sei per caso della casa delle libertà?

    P.S.: domanda da un milione di milioni di euro.
    Perché nessuna compagnia di assicurazione ha mai accettato di assicurare una centrale nucleare?
    A) Perché la cosa sarebbe inutile, mancando la dimostrazione* della sua insicurezza, e quindi essendo di conseguenza intrinsecamente perfetta.
    B) Perché nessuno accetterebbe di assicurare una cosa che in caso di disastro, magari improbabile ma pur sempre possibile, rovinerebbe qualunque società, per solida che sia.

    * ovviamente ingegneristicamente incontrovertibile, sui diagrammi di propagazione del guasto
    Bruco
    2098
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)