Проект "Свободные голосования"

В процессе написания документации по безопасности всплыло решение одной из возможных атак при тайном голосовании.

Речь идет о перехвате и подмене запроса пользователя. При этом такая подмена может обнаружиться только самим пользователем и он не сможет ее доказать (т.к. ради повышения анонимности его выбор больше нигде не сохраняется, а его одноразовый код злоумышленники могут взять из перехваченного пакета).

Решение достаточно простое. На сервер отправлять пакет с одноразовым идентификатором и вариантом выбора не в открытом виде, а в виде текста, зашифрованного открытым ключем системы. Тогда злоумышленники не смогут получить из него одноразовый код пользователя и пользователь легко сможет доказать что его голоса нет в системе.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Нет. Там хранится только уникальный идентификатор.

Хотя да. Если к нему придут с паяльником, он сам расшифрует этот идентификатор и покажет как он проголосовал.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Тогда невозможно публично подсчитать голоса, и проверить, что свой голос учтен верно.
Вообще говоря если до человека добрался паяльник, то злоумышленники просто возьмут ключ пользователя или проголосуют за него сами прям с его компьютера.

Думаю стоит сосредоточится на защите от вброса без паяльника. От паяльника никак не защититься.

Не-не. Это защита именно от перехвата на уровне канала. На сервере, естественно, информация будет расшифровываться и храниться и выдаваться будет так-же как и сейчас.



В общем да.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Да, паяльник и подкуп давайте не будем рассматривать. Это уже обсуждалось и решили что это вид голосования такой.

_________________
89DC B598 306B 26C8 B9AA 5C0C CFB6 7184 B2B2 FF17

Тогда прошу еще раз высказаться по поводу защиты от вброса через посредника.

Я НЕ против этого варианта. Более того, я рассматривал этот вариант как один из способов обработки "проблемных" пользователей которые будут часто утверждать что их голос подделан.

Но я считаю что необходимо обдумать варианты реализации и минимизировать неудобство для пользователей. Кроме того, необходимо отработать все варианты мошенничества. Например, подмены голоса подписывающим. Отработать методику при которой голосующий сможет доказать что голос подделан.

Я пока не совсем себе представляю визуально как это будет выглядеть для пользователи и как это будет выглядеть в системе.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Можно продумать механизм прямого соединения агентов.
Как в торрентах. Наш сервер - трекер, а пиры соединяются между собой на прямую и действую в автоматическом режиме.

Вообще у меня витает идея при достаточном числе пользователей сделать из агентов распределенную, децентрализованную систему.

У меня эта идея витала еще в начале раздумий над проектом. Но это дело того будущего, когда система станет полезной и возникнет ситуация что она начнет кому-нибудь мешать. Хотя, задумываться об этом можно уже сейчас.

Кстати, для меня принципы работы сетей p2p пока темный лес. Я пытался как-то разобраться, но не понял многих основопологающих вещей. Может быть мы с вами попробуем обсудить эту тему где-нибудь в чате? В джабере, аське или скайпе.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Да, конечно. Хотя я вряд ли сам могу выступать в роли эксперта.