Проект "Свободные голосования"

Так... Ну мы же исходим из того, что если кто-то передает голос, то из этого не следует, что его вбросил именно он. Это - краеугольный камень анонимности. Как же "легче легкого"-то???
Вбрасывателя можно отследить только по числу передач - если их слишком много. Не согласны?
Поэтому я и предлагаю, чтобы тот, кто хочет передать кому-то голос, обязательно давал расписку о передаче. Без этой расписки принимать у него голос - себе дороже.


Вот как раз все я учитываю, это Вы не учитываете.
Смотрите.
Вот пришел человеку уникальный голос.
Он получил за него расписку о передаче. Она дает ему "индульгенцию" на одну исходящую передачу.
Он решает: "А вот я этот голос себе запишу, но передавать его дальше не буду. Его другие передадут. А индульгенцию на исходящую передачу использую для вброса."
И не передает голос, а вместо него генерирует другой уникальный голос с уникальным ID. И передает соседям.
В итоге, этот голос, конечно, все равно дойдет, везде (не совсем же я идиотка чтоб это не учитывать ).
Но нелегальный голос дойдет тоже! И будут лишние голоса. А источник вброса отследить будет невозможно, потому что число исходящих передач у злоумышленника будет равно числу исходящих, он будет с этой точки зрения чист. Ну и?..


Хорошо, можно обойтись без передач расписок по цепочке. Тогда у голосующего не будет возможности отслеживать свой голос.
Но оставить непосредственный контроль за голосом, который вручили тебе лично. Ты должен получить расписку за него, заверить своей подписью и отправить назад. А дальше она уже пускай не будет отправляться. Это сэкономит траффик.

Но во всяком случае, информацию о цепочках ПЕРЕДАЧ (именно передач, а не получений) ВСЕ должны передавать всем! Хоть во время голосования, хоть после. А иначе как вы собираетесь отслеживать все цепочки, "при согласии всех участников"?
Если это невозможно, то с мечтой о распределенном клиенте придется расстаться.
UPD хотя, этот процесс можно инициировать лишь в том случае, если обнаружились лишние голоса. Но тогда уже точно голосование придется срывать. Потому что будет очень много пострадавших.


Такая, что сначала надо отчитаться за голос, а потом брать следующие и отправлять тем же соседям. Замедлять это не будет: какое замедление от того, что все делается в порядке очереди? Никакого замедления, а только больше упорядоченности
А иначе - см. выше, про вброс голосов и экономию числа передач.


Вот я и предлагаю выше



Да ради бога, пускай доступен. Но нужно его передавать только соседу, которому передаешь голос. Чтобы сосед, приняв этот публичный ключ, зашифровал им ID голоса, приставил твой ключ подписи, свой ключ подписи (ты ему передал) - и сгенерировал такую расписку о передаче. Которую ты обязан ему подписать.



Ой, ну вот нашли к чему прицепиться. Ну доверяешь своему компьютеру - храни. В принципе, все так и делают. Та же история, что и с хранением паролей - любых паролей вообще. Все хранят их на компьютере, хотя правильнее - в другом месте, хотя бы на съемном носителе

Я лишь хотела сказать о том, что программа НЕ ТРЕБУЕТ хранения этого дела на жестком диске.

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

Считайте, что расписка от источника, является неотъемлемой частью протокола передачи данных - без нее просто нельзя организовать "черный список".

И число голосовавших не совпадет с числом голосов.

Никто и не будет считать количество передач. А определяется просто - все рассылают "подписки" только при обнаружении вброса.

Мне без разницы у кого побывал мой голос, лишь бы он был учтен.

:D

Все-всем, но только после голосования (N^2 пакетов).
ps Скорее всего алгоритм можно будет оптимизировать до M*N пакетов где M~3.

Ну нифига вы загнули :)

ps пишите по короче, у меня меленькая оперативная память, отслеживать ход мысли сложно.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85

povischuk, давайте подведем итоги:
Ваш алгоритм отличается от моего:
1) Непонятными счетчиками отправлений.
2) При передаче голоса все-всем передают подписки о его передаче, тем самым раскрывая источник и генерируя N^3 пакетов пакетов об "отправке" (ой, мне кажется я тут еще не учел N пакетов о получении).

Итого:
Куча трафика, анонимность раскрыта.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85

По цепочке подписей.


Не согласен в том плане что это единственный способ. Кстати, неприменимый, т.к. и от промежуточного пользователя данный голос будет уходить не один раз, а сколько угодно. Так что число входящих всегда будет не равно числу исходящих. Только если случайно.


Я так понял что баланс количества входящих/исходящих можно будет свести только на компьютере этого пользователя. Какой в этом смысл? Что это даст сообществу для контроля? Право вломиться к нему в дом и проверить сколько чего он отослал?

Распределенная сеть, в идеале, представляет из себя вариант связи "все-со-всеми". Ни на одном клиенте не будет одного пути входа пакетов и одного пути выхода. И то и другое будет множественым.


Какой смысл голосующиему знать куда ушел его голос? Технически сеть все-равно обеспечит распространение его голоса по всей сети. Это бессмысленно.


"Расписки в получении" будут в любом случае. Если вы не заметили, они присутствуют и в варианте Юрия. Только они не будут многоуровневыми, а будут распространяться только на один шаг назад.


Эта информация будет передаваться всем во время инициирования процедуры проверки скомпромитированного голосования. Распростанять их заранее нельзя, т.к. тогда не будет никакой анонимности и кто какой голос пода легко вычисляется по цепочкам после их открытия.


Пока я не вижу каких-то реальных уязвимостей в данном варианте. Вижу только что вы еще не до конца разобрались как работает вариант Юрия и как работают сети P2P.


Вброс голосов возможен в любом случае. Вы НИКАК не можете ограничить того, что клиент делает на своем компьютере. Он может взять исходники, поправить для своих нужд и использовать измененный клиент. Контроль должен быть системным, а не рассчитанный на какие-то ограничения в клиенте.

И опять вы забываете что рассылать информацию в распределенной сети по принципу "один пакет принял, один пакет отправил" совершенно бессмысленно, т.к. противоречит самой идее распределенной сети.


Ключевое слово в моей фразе "всем". Этот публичный ключ доступен всем что-бы все могли проверить кем именно подписана определення информация. Другое использование персонального публичного ключа бессмысленно и не рассматривается.


Если в системе Юрия без этого можно обойтись, то 99% пользователей выберут именно ее.

Вообще, если вы не обратили внимания, перед тем, как рассматривать распределенный вариант, для серверного варианта был выбран именно способ привязки голоса к одноразовому идентификатору. И, более того, этот способ уже реализован на http://test.cdemocracy.ru. Тем не менее, я, хоть и считал этот способ лучшим, считаю что использование одноразовых ключей в варинте Юрия намного более безопасно и эффективно.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Андрей, а в чем смысл расписки "о получении". Если для того, чтобы быть уверенным, что информация действительно дошла - достаточно уведомления на уровне транспорта (в tcp, например, это уже встроено). А в расписке с цифровой подписью смысла не вижу: разве нам хоть где-нибудь нужно доказывать, что мы отправили данные дальше?

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85

Ну неужели бы я это не учла! Вы опять меня за какую-то тупицу держите
Я предлагала считать число не просто передач, а передач УНИКАЛЬНЫХ голосов - т.е. голосов с уникальными ID. Но не хотела раскрывать, с какими именно ID.
Поэтому предполагалось, что при передаче передающий шифрует каждый ID своим публичным ключом. Вернее, получающий берет у него ключ, шифрует ID и дает ему на подпись.
Таким образом, уникальные голоса остаются уникальными, но конкретные ID при передачах отследить невозможно. Ведь они будут шифроваться каждый раз по-разному. Тот, кто передает ID, шифрует его своим собственным публичным ключом. И когда другим людям передает - то тоже шифрует тем же ключом.

Кажется, я разобралась в чем дело.
Я исходила из того, что все расписки о передачах априори открыты, и рассылаются друг другу во время голосования (сразу же, а не после обнаружения вброса).
Но IDшники в этих расписках зашифрованы. Так, чтобы уникальность IDшников сохранялась, и можно было посчитать число передач УНИКАЛЬНЫХ ГОЛОСОВ.
А какие именно это IDшники - понять нельзя было.

Вы исходите из того, что во всех расписках о передачах ставятся реальные IDшники в явном виде. И конечно это нарушает анонимность: можно отследить путь голоса при передаче всех всем. Но у вас предполагается:

• передавать друг другу эти расписки только при обнаружении вброса (а до этого они зашифрованно хранятся на диске);
• зашифрованность самого голоса (выбранного варианта, но не ID) в итогах голосования - до подведения итогов

То есть, два варианта:

• либо произошел вброс (лишние голоса), и те кто его обнаружил, не станет передавать свои ключи для расшифровки голоса, а вместо этого начнет передавать всем расписки, то есть голосование признается не состоявшимся (по крайней мере теми, кто вброс обнаружил);
• большинство никаких вбросов не обнаружило, и по окончании голосования тот, кто его инициировал, объявляет, что оно прошло правильно.
  Тогда все дружно начинают давать по цепочке свои ключи для расшифровки их выбора.
  И предполагается, что в этом случае никто не станет передавать свои расписки о передачах - ведь большинству это не надо.
  
  

И вот на этом основании можно предполагать, что обеспечено сохранение анонимности.
Хм...
Но вот если, например, председатель (инициатор голосования) объявил что оно состоялось, а я получила несколько сигналов о наличии у некоторого меньшинства вбросов (соответственно, с трублением и передачей мне имеющихся у них расписок) - то я ведь лично свой ключ передавать не стану...
Стану только в том случае, если ВСЕ согласны что вбросов нет и НЕ ХОТЯТ обмениваться расписками о передачах (с риском раскрытия анонимности)...

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

Ну, в общем, если хорошо подумать, то особого смысла в ней нет.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Не обижайтесь. Просто хочеться докопаться до истины.




Голос в варианте Юрия будет представлять из себя ID голосования+зашифрованный блок+транзитная подпись. Уникальным идентификатором этого голоса будет являться весь этот пакет данных (фактически - только зашифрованны блок). Причем, данные о реальном владельце будут присутствовать в нем только при первой передаче. И принимающий не сможет определить будет-ли у данного пакета подпись транзитной или от владельца. Теоритически анонимность в данном случае можно "раскрыть" лишь предположительно и лишь на первом шаге передачи голоса.


Не будет никаких "председателей". Это было предположение когда высказывалось что кто-то будет управлять голосованием. Я считаю что можно спокойно обойтись без этого.


Это все будет делаться на последующих шагах после окончания голосования в автоматическом режиме специальными запросами.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Так. Давайте тогда опишите ваш вариант. Что-бы и можно было отследить источник проблем и что-бы этого не могла сделать небольшая группа заговорщиков. И уж тем более, не мог сделать админ сервера.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

может кто-нибудь срезюмировать, что тут на 7 страницах написано?

_________________
2B56 A45D 3372 F27D 7279 A7BB B9D7 340A 8CC4 36F2