Проект "Свободные голосования"

Это нужно прийти к каждому опубликовавшему ключ, который проголосовал "не так" и стребовать информацию с его личного компьютера. При том что в обычном режиме там этой информации просто нет. Т.е. нужно у всех установить специальный "шпионский" софт, отслеживать чьи ключи они публикуют. На практике это не реально, потому что заранее не известно с кем он обменяется ключами для публикации, проще писать шпионский софт так чтобы он отслеживал как голосует владелец компьютера.



Вбросов в такой схеме как я описываю сделать невозможно, а вот принципиальная возможность нарушить тайну голосования в описанной вами схеме есть. А это плохо, потому что коррупцию никто не отменял, и согласие вполне можно купить, а делать желательно так чтобы купить было в принципе нечего.
Получается что проект увеличивает защиту тайны голоса, публикация анонимных ключей, это аналог выдачи номерных бюллетеней, при том что какой кому в конечном счете попадет - неизвестно.
Попытку мошеничества можно обнаружить еще до голосования, при публикации ключей, если тот с кем вы обменялись ваш ключ не опубликовал, значит он пытается ваш голос замутить, при этом вы голос еще не подавали, следовательно разбирательство можно провести совершенно безболезненно, не нарушая тайну голоса.
Это другого рода проблема, чисто техническая, она очень просто решается в совершенно другой плоскости.

Пишу еще раз - тот, кому надо и "придет к каждому пользователю" и "стребует информацию с его компьютера". Мы должны рассматривать максимальные риски, а не надеяться что таких рисков не будет.


Эта опасность чисто теоритическая. Т.к. за пределами компьютера пользователя вообще никто не знает откуда пришел голос. Отследить его можно только проследив всю цепочку прохождения пакета в "дереве" распределенных узлов. И в вершине будет нужный узел - источник пакета. Такое будет возможно лишь при согласии большого количества узлов в ветвях дерева на такую процедуру.

У вас получается что для отслеживания одного голоса достаточно принудить к этому одного человека. У нас получается что для открытия одного голоса нужно принудить существенную группу владельцев промежуточных узлов. А это от 10 до нескольких тысяч человек - зависит от количества голосующих и от того, откуда злоумышленники начнут этот процесс. Т.е. попытка раскрытия одного голоса в нашей системе на несколько порядков сложнее чем в вашей.


Вы не правы. В распределенной сети это вообще нетривиальная проблема.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Ставлю себя на место злоумышленника:
Сначала инициирую вброс, потом расследование, потом нахожу следователя и делаю ему "предложение от которого нельзя отказаться" (по крестному отцу). И получаю всю нужную мне информацию. Вот это реальный риск его нужно исключить. Если эту информацию можно не хранить этого риска нет. В предложенной мной схеме эту информацию хранить не нужно.


Эта опасность настолько же теоритическая как и возможность провести расследование вброса.


У меня получается что к моменту начала голосования это сделать уже не возможно в принципе.

В вашей схеме неправильный злоумышленник, вы считаете что это будут люди бандитской внешности с пистолетом. Я считаю что это будут респектабельные люди с красными корочками, и решением суда, на проведение следствия. И вот в моем представлении о злоумышленниках, и вашей схеме сложность раскрытия тайны голоса равна сложности проведения расследования вбросов. А это очень, очень плохо.


Вполне возможно что я не прав относительно сложности, но мне кажется я прав относительно того что это проблема уровня протокола обмена, а не порядка голосования.

И что самое важное, в предложенной мной схеме нет не отслеживаемых пакетов.

Если вы про наш вариант...
И что злоумышленнику даст дерево распространения голосов? При том что сами голоса никогда не будут расшифрованы.
Такое дерево - крайне динамическая страктура. Поэтому, даже его знание ничего не даст злоумышленнику в будущем.

Кроме того, расследованием НЕ будет заниматься какой-то один "следователь" (помните принцип "никаких особых людей"?). Расследованием будет заниматься сообщество. И сообщество-же, после обнаружения злоумышленников, уронит через сеть доверия уровень доверия к тем, кто организовал атаку, так низко, что больше никогда в своей жизни никто из них не сможет этого сделать. Мы считаем, что этого вполне достаточно в качестве ответных мер сообщества злоумышленнику.


Я описал выше почему расследование вброса ничего никому не даст в плане раскрытия тайны голоса.


К моменту начала - да. Но в начале никому не интересно раскрывать голоса, которых еще не существует в природе.
А что будет по окончанию голосований? Будет известен определенный голос и тот человек, который его подписал. Можно к нему прийти и узнать чей голос это был. Очень просто.


Т.е. по вашему, суд примет решение о том, что все обязаны раскрыть тайну голоса уже прошедшего голосования? Вы думаете, в этом случае в вашей схеме есть какая-то защита? Пристав приходит ко всем подписавшим голоса и берет с них показания о том, чьи голоса они подписали. Не улавливаю тут какой-то защиты от этого случая.

Да, в нашей схеме тоже есть такая опасность. Вот только если в сети окажутся узлы, у которых владельцы - иностранные граждане, то суд по нашей схеме не сможет раскрыть большую часть голосов, даже таким способом. Т.к. эти граждане окажутся вне юрисдикции этого суда. В этом случае раскрыть голоса можно будет только при глобальном решении всех судов всех государств, граждане которых будут являться владельцами узлов, через которые проходили голоса в определенном голосовании. Что, по моему, является чисто теоретической опасностью.


В нашей схеме тоже нет неотслеживаемых пакетов. Таковые просто не попадут в сеть т.к. отсеются на одном из узлов, который работает по правильной методике проверки пакетов. К сожалению, в вашей схеме они чрезмерно отслеживаемы.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

В распределённой сети при схеме с взаимоподписанием двумя хостами пакетов с голосами невозможно добиться приемлемого уровня persistence пакетов с голосами. В имеющейся схеме узел может передавать пакет с голосом неограниченному числу узлов.

Но это мелочь. Следует исходить из того что злоумышленник не приходит к пользователю с красными корочками и/или паяльником, а владеет некоторым процентом узлов в сети. Узлы злоумышленника попросту собирают пакеты с голосами и о том чьи это голоса. Имея доступ к информации хотя бы о 2-5% голосующих можно вполне эффективно давить на человека. В существующей схеме при передаче пакета с голосом нет информации о принадлежности голоса. Получающий не знает ваш голос он получил или вы передали ему чей-то чужой.

_________________
Во вселенной нет общества в котором "Vox populi, vox Dei" не переводилось бы "О, Боже, как мы в это вляпались".

Этот момент я не до конца понял.
Я себе плохо представляю как это сообщество будет заниматься. Как это будет выглядеть например в масштабах страны ?

Лучшее расстрелять . За это может быть статья, может быть срок, может быть даже пожизненно лишение избирательного права, может быть исключение из сообщества(какого либо), но это должно делаться по ранее принятым законам, либо правилам (в зависимости страна это или другое какое-то объединение). Доверие, в сети доверия должно выполнять функцию идентификации человека, но никак не отношения к нему окружающих. С моей точки зрения, конечно.

Нет, максимум что будет известно, это кто прислал открытый ключ этого голоса, но в плане востановления личности голосующего, неизвестно будет ничего.


Суд может принять такое решение. Может оно звучать будет по другому, например суд обязует всех содействовать в раскрытии махинаций, но суть от этого не меняется. Прослушку суд может разрешить, и это сможет.
Да в предложенной мной схеме эта информация после завершения подготовки к голосованию, просто стирается. Причем не на сервером, а непосредственно на машине того кто наименее заинтересован чтобы к нему приходили. Что является почти 100% защитой.

А как тогда проводить расследование вбросов при отсутствии содействия со стороны граждан?


Сами пакеты можно маршрутизировать и по принятой вами схеме, я бы даже сказал что нужно маршрутизировать по принятой вами схеме, это обеспечит дополнительную анонимность, а то что я предлагаю поможет защититься от вбросов.

Вы меня не правильно поняли, не взаимоподписание пакетов с голосами, а взаимоподписание анонимных открытых ключей. Это принципиальной момент, это важно.
Не нужно менять имеющуюся схему передачи пакетов, я предлагаю поменять порядок голосования, чтобы исключить вбросы.
Одно другому не мешает. Я бы даже сказал существенно помогает.
Вообщем, я вообще не затрагиваю схему с передачей пакетов, я про защиту от вбросов.

Т.е ключей которыми будет расшифрован голос? Тем самым узел с которым был обмен ключами будет знать за какой вариант был отдан голос и кем. Это уже не тайное голосование. Впрочем открытым ключом можно только зашифровать сообщение. Что значительно хуже. Узел который подписал открытый ключ может прислать толпу пакетов с голосами вполне подписанными одним и тем же ключом. От вброса это как защитит?

_________________
Во вселенной нет общества в котором "Vox populi, vox Dei" не переводилось бы "О, Боже, как мы в это вляпались".

При тайном голосовании голосующий шифрует свой голос одноразовым ключем. По окончанию голосования (после признания его состоявшимся) ключ для расшифровки голосующим тек-же анонимно распространяется в сеть. Соответственно, пока голосование не признано состоявшимся, все голоса зашифрованы. В том числе и во время и по окончанию расследования.


Ну, например, прошел срок какого-то голосования. По ряду формальных признаков (например, проценту вброса) получается что оно не состоялось. После этого все, кто зашел в систему посмотреть результаты голлосования, жмут кнопку "инициировать расследование". По этой кнопке программа пользователя отправляет для всех пакетов данного голосования в те узлы, через которые пакеты пришли к данному пользователю, запрос типа "требуется информация для расследования вброса". Узел, получивший такой запрос, запрашивает у своего владельца разрешение на предоставление этой информации и если разрешение получено - отправляет в сеть пакет с описанием того, какой пакет откуда к нему пришел. Таким образом, через некоторое время у всех участников голосования будет набор пакетов с путями для каждого голоса и по ним можно рассчитать какие пакеты пришли от правильных пользователей, а какие - нет. После этого, те, кто проанализировал все данные, идет в сеть доверия и "минусует" уровень доверия организаторам атаки.

Как видите, при наличии обратной связи никакого отдельного "следователя" не нужно.


Верификация идентификации в принципе невозможна без определения уровня доверия такой верификации от отдельного человека. Так что уровень доверия - неотъемлемая часть сети доверия. Без этого не будет обратной связи и вся эта сеть не будет иметь смысла.

На счет "расстрелять" - это решение другого уровня, который нас не интересует. Мы должны обеспечить работу системы на уровне IT.


Изначально - да. Только не "кто-то", а конкретный известный человек. Это ключевой момент. Приходим к этому человеку и задаем вопрос: "Чей это был ключ?". Что нам помешает это сделать?


Таким образом, пост-фактум невозможно удостовериться что голосование было честным. Вам не кажется что это совсем не то, к чему мы стремимся?

Я понимаю что можно уничтожать секретную часть одноразового ключа голоса сразу после голосования. Это не позволит кому-то даже потенциально симмитировать чужой голос. Но стирать информацию, которая доказывает что голосование было честным - недопустимо!


Еще раз - базовая предпосылка построения нашей системы состоит в том, что, при прочих равных, граждане заинтересованы в том, что-бы система голосований работала правильно. Для этого требуется нормальная работа сети взаимного доверия и выполнение определенных процедур при наличии злонамеренных действий. Более того, такая система будет работать только тогда, когда ее участники будут заинтересованы в правильности ее работы. Мне кажется, если люди начнут использовать эту систему, мы имеем право их попросить выполнять какие-то действия в своих-же интересах.



Теоретически, это может помочь. Плохо только что это сопряжено с дополнительными "непонятными" действиями для пользователей. Система и так слишком сложна. Придется делать большую работу по адаптации ее для простых людей. Поэтому добавление к процессу голосования еще каких-то действий - очень плохо с точки зрения простоты использования.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Голос шифровать не обязательно, голос достаточно просто подписать, открытый ключ в данной схеме нужен для проверки уникальности голоса.

Не будет знать, а может знать. Тем более эту цепочку обменов можно удлинить, тогда узел уже не будет знать, я в этом удлинении смысла особого не вижу.

В описанной схеме открытый ключ служит не для шифрования, а для идентификации. Уникальность анонимного ключая обеспечивается тем что после обмена каждый голосующий публикует ровно 1 чужой ключ. Каждый голосующий подписывает свой голос своим закрытым анонимным ключем, предназначенным для конкретного голосования.