Проект "Свободные голосования"

Ваш вариант отличается от моего наличием одноразового идентификатора, и случайных данных при шифровании подтверждения. Впрочем, он мне нравится.

Далее id записи - автоинкрементный счетчик.
ps: Зачем одноразовый идентификатор? Почему не отдавать пользователю id его записи в БД.
pps: Для поиска своего варианта можно хранить локально 'data' или отдавать id записи.

Это не случайные данные - это зашифрованный одноразовый идентификатор пользователя.



Я где-то описывал уязвимость варианта при котором идентификаторо (хоть автоинкрементный, хоть любой другой) формирует сервер. В таком случае относительно легко подделать результаты голосования с сервера при том что пользователи это не заметят. Например, всем пользователям, проголосовавшим "неправильным" образом выдается один и тот-же идентификатор на один голос. Тогда все будут уверены что проголосовали правильно при том что в результатах за "неправильный" вариант будет подан всего один голос.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Согласен, а с типом этого случайного идентификатора уже определились? Могу предложить хранить hash от UUID.

Сразу видно специалиста. Именно он и хранится.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Меня мучает еще один вопрос касающийся тайного голосования:
возможно ли сделать систему которая бы исключала вброс голосов?
То есть ведя таблицу проголосовавших мы можем выявить, что голосов в списке больше, чем проголосовавших - был вброс, но как мы можем выявить какие именно голоса были вброшены? На данный момент я так полагаю этот вопрос остается не решенным.

Да - вы верно подметили. Запись времени внесения голоса недопустима, т.к. по ней можно сопоставить пришедший голос и пришедшую подпись, что снижает анонимность. Поэтому мы не можем выявить какой голос был последним.

Эта проблема легко решается снижением анонимности. Пусть даже не в БД, а передачей голоса вместе с подписью. Но тогда перехват трафика может открыть эти голоса.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Думаю тут есть вариант изощрения, правда я его еще не продумал детально. Суть в том чтоб заставить пользователей подписывать голоса друг друга.
То есть:
1) Пользователь "голосует" (формирует данные, далее "голос")
2) В БД проголосовавших заносится запись
3) Голос подписывается владельцем и передается другому участнику;
2) Другой участник проверяет подпись проголосовавшего (она должна присутствовать в таблице голосовавших) и если она валидна:
а) Отбрасывает оригинальную подпись, подписывает своей;
б) Отправляет этот голос в БД.
Таким образом гарантом того, что голос не вброшен выступают сами голосующие. При этом данные раскрываются равномерно. Чем больше участников тем они бесполезнее.

Даже наверное так: "подписанный голос" шифруется публичным ключом другого пользователя и передается получателю. Дальше все по схеме. Это предотвратит раскрытие информации для третьих лиц и однозначно идентифицирует ответственного за сохранность этого голоса.

В общем да. Это несколько повысит защиту от вброса, но существенно усложнит саму процедуру голосования.

Есть несколько проблем связанных с таким способом:
1. По какому принципу будет выбираться кто чей голос подписывает?
2. Само это подписание уже означает что о голосе кроме самого голосующего знает кто-то еще. Это уже не тайное голосование. По крайней мере в обычном понимании этого термина.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Усилим анонимность еще больше:
Сначала шифрует его голосующий, потом доверенное лицо, потом голосующий снимает шифр и отсылает в БД. Написал абстрактный вариант, потому что пока в голову ничего не пришло.

Выбор доверенного лица: сервер формирует список из n пользователей, голосующий выбирает (можно даже несколько)