Проект "Свободные голосования"

Такой вот вопрос:
При подключении к этой сети, голосующий - он имеет свой постоянный адрес? Или временный?
Либо подключается временно к какому-то компьютеру-шлюзу, который находится где-то?
Иначе говоря, машина, с которой голосует голосующий, - она принадлежит ему постоянно, или нет?
Можно ли на ней хранить какую-то тайную информацию (например, одноразовый код голосования), никому ее не передавая вообще?
Можно ли хранить ее в файле на жестком диске - или только в оперативной памяти?
Если на жестком и машина принадлежит ему постоянно (то есть, он выходит в сеть прямо со своего личного компьютера, получая для него адрес) - то насколько велик риск, что эту информацию может украсть какой-нибудь троян?

И еще такой вопрос:
вот обычные люди, которые должны голосовать таким манером - как они входят в систему?
Через сайт, протокол HTTP, или как-то еще? Или существуют какие-то отдельные приложения, которые надо скачивать для этого (помимо приложений по работе с ЭЦП)?

Если в пиринговой сети каждый компьютер является и клиентом, и сервером, и если это и есть компьютер, за которым сидит голосующий. То тогда, нужно на каждый компьютер скачивать и устанавливать какое-то ПО - то, которое сейчас обсуждается. Чтобы компьютер этот мог участвовать в процессе. Будет ли это ПО компилироваться на этапе исполнения - или с претрансляцией? С открытым кодом оно будет, или закрыто?

Люди должны быть уверены, что они голосуют _действительно_ анонимно. Вот, кабинки - это для них привычно и понятно. Ты заходишь за занавеску, накрываешься платком, если боишься видеокамер, ставишь галочку и опускаешь в урну. Ты можешь быть уверен, что ты анонимен. Но когда человек голосует с компьютера, телефона и т.п., - он не уверен, на каких "дровах" это все работает, каков механизм. Он же не заглядывает внутрь этого.
Чтобы быть уверенным, ему нужно мнение экспертов, которые будут это везде повторять. Он может попросить знакомого специалиста, который объяснит ему принцип.
Поэтому, я считаю, нужно, чтобы все ПО было с открытым кодом, и каждый, кто разбирается, в любой момент мог посмотреть его и убедиться, что все _действительно_ честно. Что подпись и голос идут по разным каналам, секретные ключи не передаются, время не записывается.
В любом случае, нужно организовать доступ ко ВСЕМ БЕЗ ИСКЛЮЧЕНИЯ кодам, которые существуют - то есть вообще ко всем. Чтобы любой мог убедиться в честности всего. Если какие-то объекты можно испортить (по идее, в пиринговых сетях это невозможно) - то надо организовывать доступы для чтения, что-то еще придумать. Иначе всегда будет тень сомнения.

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

Нет. Он может работать с системой из любого места имея в наличии свой персональный GPG ключ.


Конечно. Почему нет?


Во-первых, на жестком диске будет храниться только информация, доступная снаружи. Т.е. если к ней получит доступ троян - ничего плохого в этом не будет. Если нужно будет хранить какую-то информацию, воровство которой критично, то такая информация, естественно, будет шифроваться.

С троянами вы верно подметили. Есть риск того, что троян, например, перехватит парольную фразу для совершения действий с помощью ключа, перехватит сам ключ и будет его использовать для своих целей. Но нужно учитывать что тот способ работы с GPG ключами, который мы используем сейчас - только на время разработки. В рабочем варианте подразумевается использование смарт-карт и токенов с которых в принципе невозможно считать секретный ключ пользователя.

Тем не менее, остается риск того, что троян сможет использовать работу с ключем "в живую". Тут уже ничего не поделаешь. Для надежности лучше использовать Live систему. Ну, или разрабатывать софт под linux для уменьшения этой опасности.


Вы немного не поняли. У нас будет одно приложение для всего. И для работы с ЭЦП и для голосований. Пользователю нужно будет установить один пакет, запустить нашего клиента и все - можно регистрироваться (генерировать ключ), искать кто его может подписать поблизости, голосовать и т.д.


То, что это приложение будет открытым, это даже не обсуждается. Оно 100% должно быть с открытым исходным кодом.

На счет этапа исполнения и перетрансляции не понял. Оно будет обычным компилированным приложение в машинных кодах. Установочный пакет будет подписываться всеми разработчиками, участвовавшими в его разработке. Этим будет обеспечиваться как его надежность, так и отсутствие единого владельца данного приложения. Будет некая "официальная" группа разработчиков, которые будут над ним работать.


Да, есть такая проблема. Но тут это уже вопрос доверия разработчикам и сообществу, которое будет проверять исходные коды.


Все верно. Мы именно из этого и исходим.


Именно так.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

А тогда, зачем такие сложности в методе Юрия? Какая-то передача публичных ключей, какое-то воздействие, на несознательных товарищей , выговор по партийной линии?
Смотрите:
Вот идет процесс голосования.
Голосующий включает компьютер, или другой прибор, у себя дома, или у своего знакомого, или в электричке, либо в другом месте, которое он знает и доверяет, что там нет камер.
Ставит приложение если оно еще не стоит.
Вводит свою цифровую подпись.
Выходит в интернет.
Подсоединяется к пиринговой сети. Ищет тех, кто в данный момент доступен и подключен.
Выбирает свой вариант и голосует.
Программа спрашивает его: хочет ли он воспользоваться правом верификации?
Такой вопрос обязателен, согласно нашей новой Конституции. Если кто не в курсе - ее положение гласит о том, что человек всегда имеет право выбирать, что ему важней: верификация или анонимность. Даже если риск разоблачения минимален и все зашифровано - все равно, он должен иметь право отказаться даже от ничтожного, минимального риска. Принуждать его к верификации нельзя.

Если он отвечает "да, хочу", - то программа генерирует уникальный код для этого. И высвечивает его на мониторе. А голосующий аккуратно переписывает его ручкой на бумажку, ну или фотографирует на фотоаппарат. При нажатии кнопки "убрать код" - код исчезает с монитора. НЕ записывается на жесткий диск. Но хранится в оперативной памяти, пока компьютер не выключен из розетки и приложение работает.

Дальше эта пара: код и голос (обычные, незашифрованные никак) отправляются в путешествие по разным каналам - как здесь и описано, в методе Юрия.
Если же пользователь не хочет верификацию, то голос отправляется в путешествие без кода, с пометкой "null" на его месте.
По другим каналам идет ЭЦП голосовавшего - свидетельство о том, что он принял участие в конкретном голосовании. Тоже обычная, незашифрованная.
А на жестком диске существуют 2 файла, посвященные голосованию. Туда записываются данные, которые пришли на эту машину с других машин. В одном из них собирается список цифровых подписей - принявших участие в голосовании. В другом - обычный, незашифрованный список голосов, который будет выглядеть так:

3fblkei8-72dfblk0efj-kadkk Зюганов
g79183-eebaulj9lkj-38lkbb Явлинский
97boisd-ebjskbe8jv-8bsalq Немцов
za3bzila-azbouzlkeb-zja/el Навальный
null Путин
null Жириновский

и т.д.
Как только на машину нашего пользователя пришел его "родной" голос - он тут же появляется на жестком диске в файле, в таблице. И голосующий тут же убеждается, что его голос учтен.
Если это произошло пока компьютер не выключен и программа работает - то тогда программа может произвести верификацию за него. Ведь его личный код хранится пока что в оперативной памяти.
Но если он выключил компьютер и ушел спать, то на следующий день он может произвести верификацию таким образом: ввести свой код, который записал ручкой или сфотографировал или запомнил, и посмотреть, существует ли он в таблице, которая собралась на данный момент у него в файле. Существует, правда, проблема кей-логгеров - но она вроде частично решена экранной клавиатурой. Либо, если он этого боится, можно просто упорядочить таблицу по кодам по алфавиту, и найти свой - в общем, это не проблема.
Соответственно, когда на машину пользователя приходит его родная цифровая подпись - он убеждается, что его участие в голосовании зафиксировано.

Если число голосов устойчиво превышает число ЭЦП участников - то значит, имеет место вброс со стороны пакетов с голосами. И с этим нужно срочно разбираться.

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

Не знаю что там в законах, но у нас должна быть возможность противостоять знонамеренным выходкам в сети. Возможность при согласии всех отследить кто именно совершает выходки, должна быть. Хочет того пользователь или нет.


Что-то вы недодумали. Все что мне нужно сделать что-бы дискридитировать голосвние - отправить в сеть кучку неподтвержденных подписями голосов. Все. Подписей будет меньше чем голосов и не будет никакой возможности определить какие из них подлинные, а какие нет.

В нашей системе этому можно противодействовать хотя-бы постфактум. Можно выяснить кто отправил лишние голоса.


Если к голосу не привязано никакого идентификатора, о чем вы пишете ранее, как пользователь в принципе может отличить свой голос от чужого?


А если личного кода нет? У вас-же есть и такой вариант?


Вот именно. Вариант Юрия это позволяет. Ваш - нет.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Если личного кода нет, то он, конечно, не сможет отличить и верифицировать свой голос. Голосуя без личного кода, он заранее с этим соглашается, и потом ничего исправить нельзя.
Соль в том, что у него есть ПРАВО ВЫБОРА этих вариантов. И оно неотчуждаемо. Это важная конституционная вещь. Вы против нее?
(по поводу остального потом подумаю и напишу )

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

Да, я против нее. Т.к. из нее следует полная невозможность какой-либо защиты системы от потенциальных мошенников.

Некоторые вообще предлагаю реализовать только открытые голосования, т.к. тайные только создают почву для махинаций. Я-же считаю что тайные голосования нужны, но только не в предлагаемом вами варинте.

Я считаю, что если человека не интересует правильность учета его голоса в системе голосований, значит это человек безответственный и ему лучше вообще не голосовать.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

У пользователя нет возможности быть анонимным, не смотря на его право.
Могу лишь посоветовать параноидальным пользователям не пользоваться системой.

ps в моем варианте, со стороны участников сети, раскрытым может быть только сам факт участия. (если не считать случая глобального заговора)

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85

Или глобальной проверки.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Действительно. Я исходила из того, что злоумышленнику нет смысла заниматься вбросами - ведь голосование все равно будет признано недействительным. Однако, как-то подзабыла о том, что у нас любят гадить просто "из любви к искусству"

Но все же, вашей системы я пока просто не понимаю. В чем ее соль и защита от злоумышленника?

Возникают вопросы:
1. В чем проблема с нерасшифрованными голосами? Их же можно просто не считать, и дело с концом
2. Одноразовый публичный ключ. Тут ничего не объясняется. Кто его выдает и за какие заслуги? Если сам голосующий, то кто может помешать ему наштамповать их сколько угодно? Надо же этот момент подробно писать, а не полагать что всем очевидно
3. Как вы себе представляете "сотрудничество всех участников цепочки"? Это ведь живые люди, а не боты? Они проголосовали и пошли дальше заниматься своими делами. Никто не будет дежурить и проверять (или я чего-то недопонимаю здесь).


Но тогда все, кому есть что терять, будут голосовать только за партию власти. Ну, или за одну из двух ее голов (США) - велика ли разница. А меньшинство (то есть свежие силы, двигающие общество вперед) всегда будут в загоне.
Стоит ли столько корячиться ради того, чтобы все осталось по-прежнему и воз и ныне там?


Так сам факт участия и так открыт по умолчанию - в этом не должно быть никаких проблем (после того как облачная демократия встанет на крейсерский ход, будет истинной, а не "альтернативной реальностью").
Проблема в голосе.

_________________
[url="http://povischuk.livejournal.com/7922.html"]"... И во многих царствах были олигархи иудейские, которые продавали и покупали...
И пилил Вайншток сорок дней и сорок ночей, и увозил золото колесницами...
Многие же тогда говорили: вот, по закону Моисееву, не дозволено пилить в субботу,.."[/url]

В том что весь путь "анонимного" пакета подписывается узлами, через которые пакет проходит. При согласии достаточного количества пользователей на выяснение источника определенного пакета, это можно сделать. Соответственно, легко будет отследить авторов всех пакетов и определить кто оправлял "лишние" пакеты.

Это снижает анонимность, но "размазывает" возможность ее нарушения по всей распределенной сети. Что мне лично кажется достаточно хорошей защитой.


Можно. Но тогда количество голосующих будет больше чем количество голосов. Хотя... И в реальной практике есть вариант "порча бюллетеня". В принципе, тоже вариант.


Этот ключ одноразовый - генерируется пользователем на время одного голосования. Примерно то-же самое что и одноразовый код в предыдущем варинате, только более защищенно. Этим ключем будут шифроваться данные о голосе.

Такое шифрование производиться с помощью закрытого ключа. А открытый, с помощью которого их можно "расшифровать" будет распространяться по окончании голосования. Причем, этот открытый ключ не будет никак указывать на его владельца. Просто с его помощью и другие смогут узнать данный голос и сам владелец голоса убедиться что его голос есть и он учелся как положено.

Относительно "нагенерировать и отослать голосов"... Не забывайте что "лишние" голоса можно относительно легко (при согласии всех пользователей) отследить. Не думаю что пользователю захочется связываться с сообществом и риском различных санкций.


В данном случае я вижу следующую процедуру - если результат голосования не соответствует правилам, то инициируется голосование и/или избирается комиссия по выяснении источника проблем (что-бы не раскрывать данные о голосовании всем). Потом по распределенной сети рассылается запрос на предоставление данных об определенных пакетах определенным персонам с описанием проблемы. На основании этого, пользователю клиент выдает данные о том что поступил такой запрос. Пользователь может согласиться или нет. Если соглашается, то данные по пакетам шифруются открытым ключем указанных пользователей (комиссии) и отправляется им. Комиссия отслеживает источник проблемы, выясняет причины и определяет санкции в отношении нарушителя.


Однако, открытие данных будет производиться только по согласию большинства или абсолютного большинства пользователей. Если пользователи опасаются, то можно просто ничего не выяснять, а признать голосование не состоявшимся. Но это примерно то-же самое, что засовывание головы в песок. Все-таки правильным подходом будет нахождение и наказание виновных.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68