Проект "Свободные голосования"

Электронная системы голосований через интернет
Текущее время: 23 ноя 2024, 23:01

Часовой пояс: UTC + 3 часа [ Летнее время ]




Форум закрыт Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 89 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7, 8, 9  След.
Автор Сообщение
СообщениеДобавлено: 16 окт 2011, 12:43 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Лебедевич Вадим писал(а):
Вообще на первом этапе я бы не стеснялся привязаться к объективной реальности и брал бы из нее идентификационные атрибуты. Например мобильный телефон достаточно точно идентифицирует отдельную личность. Можно не заворачиваться с электронными подписями и идентифицировать людей по номерам мобильных телефонов.

Мне кажется, вы немного путаете две разные задачи. Есть задача идентификации и есть задача защиты информации от подделок. Если первую можно частично решить используя телефоны, то вторую возможно решить только используя средства ЭЦП. По крайней мере, это самый простой вариант.

Кроме того, идентификация по телефону имела-бы смысл если-бы операторы сотовой связи делились информацией о владельце. А без этого такой способ идентификации имеет точность примерно +-10 номеров. Что неприемлимо для нормальной системы голосований.

Цитата:
Далее, так как сама идея электронной демократии революционна, нет смысла опираться на существующие аналогии - можно и нужно их смело менять. Я бы например ввел понятие точность (как в математике). И соответственно заложил бы в систему допустимый процент брака (тех голосов, которые могут быть отвергнуты или приняты несмотря на то что они правильные или "накрученные" соответственно).

Ну, тут все более-менее очевидно. Если "лишние" голоса не влияют на общий результат, конечно, имеет смысл признать голосование состоявшимся с результатом, представленным с определенной погрешностью.

Если разница между подписями и голосами более определенного процента (например, более 50%), то тут особо и думать нечего - голосование признается не состоявшимся и начинается процедура раскрытия информации о владельцах голосов (при том что голоса остаются зашифрованными и раскрытия их не происходит). Таким образом легко выясняется источник "вброса".

Цитата:
PS Кстати предложение. Система форума не предполагает наглядного продвижения в решении проблемы (кроме как в головах активных участников, что сильно сужает возможность участия). Нужен некий документ - набор правил и его версионирование, иначе сложно говорить о проекте.

У нас есть Wiki. Там информация более структурирована, хотя, с учетом решения реализовать распределенный вариант - частично устаревшая.

Цитата:
Так же не нашел актуальной модели угроз, которая активно обсуждается по форуму. Хочется тоже ее увидеть в одном месте. Может кто нибудь взял бы на себя труд как то систематизировать что есть - уверен процесс пошел бы гораздо быстрее.

Вот здесь описаны основные угрозы.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 16 окт 2011, 12:58 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Вот еще несколько интересных ссылок:

Терминология (учить наизусть не обязательно, но имеет смысл иметь под рукой при чтении других текстов)

Способы тайного голосования

Методы ведения электронных голосований и возможные уязвимости(не закончено. Проанализированы только уязвимости серверной реализации)

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 00:43 
Не в сети

Зарегистрирован: 04 окт 2011, 16:58
Сообщения: 129
Я не считаю ЭЦП наиболее простым (технологически) методом защиты информации от подделок. Нужно учитывать степень проникновения этой технологии в повседневную жизнь. ЭЦП не столь развита, чтобы включить в нее пенсионеров. Я бы скорее взял для идентификации кредитную карту. Скорее можно получить 50 миллионов достоверных номеров кредиток, чем 1 миллион ЭЦП у жителей россии

По поводу путать. Терминология на мой взгляд у Вас не устоявшаяся.Идентификация без контроля от подделки(компрометации) не имеет смысла. Если я регистрируюсь на сайте, я прохожу идентификацию и алгоритм гарантирует, что на сайт зашел тот, кто ввел верный логин и пароль. Другое дело, что там нет проблемы отождествления с реальными гражданами, точнее она упрощена до безобразия.

Я не вижу у вас хорошего решения введение в систему “живых” граждан РФ - субъектов голосования. Собственно для решения этой задачи можно стребовать паспортные данные, стойко захешировать и привязать их к номеру телефона. При вводе повторных паспортных данных с другим номером телефона можно выявлять повтор и запускать процедуру “чистилища”. Тут собственно можно и использовать сети доверия. То есть ЭЦП можно оставить только группе продвинутых активистов - ну типа электронных нотариусов.

_________________
2B56 A45D 3372 F27D 7279 A7BB B9D7 340A 8CC4 36F2


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 00:49 
Не в сети

Зарегистрирован: 04 окт 2011, 16:58
Сообщения: 129
Кстати прочитал предложенную модель угроз. Имхо достаточно сырая. Предлагаю завести отдельную ветку форума и там ее проработать серьезнее.
Буду благодарен, если кто нибудь более продвинутый в этом форуме сделает это.

_________________
2B56 A45D 3372 F27D 7279 A7BB B9D7 340A 8CC4 36F2


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:01 
Не в сети
Аватара пользователя

Зарегистрирован: 29 авг 2011, 22:10
Сообщения: 214
Откуда: С-Петербург
А чем не устраивает предложенная схема:

Т.е. каждый голосующий имеет некий идентификационный файл.
В этом файле есть несколько полей содержащих зашифрованную информацию, т.е. ФИО, паспортные данные, номера ИНН и пенсионного и проч.
Причём каждое поле шифруется отдельным ключом.
Файл создаётся самим голосующим на его компьютере.

При возникновении подозрений, например если обнаружены файлы с совпадающими полями, производится контроль.
Например подозреваемый выдает доверенному контролирующему органу ключ он каких либо полей, они расшифровываются и проверяются.
Например это поля ИНН или номера паспорта, что априорно является уникальным и легко проверяемым.

_________________
Изображение Если бы другие не были дураками, мы бы ими были. (C)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:07 
Не в сети

Зарегистрирован: 19 июл 2011, 19:26
Сообщения: 1494
Цитата:
Я не считаю ЭЦП наиболее простым (технологически) методом защиты информации от подделок. Нужно учитывать степень проникновения этой технологии в повседневную жизнь.

Предлагайте более простой способ который бы соответствовал нашим простым принципам:
1. Каждый желающий может бесплатно стать пользователем системы и создать свой субъект голосования.
2. В системе нет и не будет "особых" людей или узлов.
3. Все изменения в базовую сборку системы принимаются большинством голосов пользователей.
4. Программное обеспечение системы голосований распространяется исключительно с открытыми исходными кодами (open source) по лицензии GNU GPL v3.
Цитата:
ЭЦП не столь развита, чтобы включить в нее пенсионеров. Я бы скорее взял для идентификации кредитную карту. Скорее можно получить 50 миллионов достоверных номеров кредиток, чем 1 миллион ЭЦП у жителей россии

А что нам дадут номера кредиток? Мы планируем предоставить пользователям возможность самим проверять достоверность личности других пользователям и выносить вотум недоверия дублированным аккаунтам.
Технологически пользователю будет необходимо установить небольшую программу на свой девайс, заполнив форму не сложнее формы регистрации на сайте и он может приступить к голосованиям. По моему вариант с кредиткой более сложный.
Цитата:
По поводу путать. Терминология на мой взгляд у Вас не устоявшаяся.Идентификация без контроля от подделки(компрометации) не имеет смысла. Если я регистрируюсь на сайте, я прохожу идентификацию и алгоритм гарантирует, что на сайт зашел тот, кто ввел верный логин и пароль. Другое дело, что там нет проблемы отождествления с реальными гражданами, точнее она упрощена до безобразия.

Вопрос фальсификации голосования состоит как бы из двух моментов.
1, Фальсификации пользователей ресурса или вообще сторонних сил, так скажем.
2, Фальсификации администрации ресурса то есть если например хозяина, администраторов или модераторов ресурса запугали или подкупили фальсификаторы.
Вариант с сайтом абсолютно не защищен от махинаций администрации ресурса. Без такой зашиты любые голосования можно сразу признавать недействительными.
Цитата:
Я не вижу у вас хорошего решения введение в систему “живых” граждан РФ - субъектов голосования. Собственно для решения этой задачи можно стребовать паспортные данные, стойко захешировать и привязать их к номеру телефона. При вводе повторных паспортных данных с другим номером телефона можно выявлять повтор и запускать процедуру “чистилища”.

Не вижу необходимости требовать лишние данные, тем более они ничего не дают. Злоумышленник может внести в форму любые данные в т.ч. из головы или из базы данных которых в интернете достаточно.
Цитата:
Тут собственно можно и использовать сети доверия. То есть ЭЦП можно оставить только группе продвинутых активистов - ну типа электронных нотариусов.

Введение "электронных нотариусов" противоречит нашему принципу "2. В системе нет и не будет "особых" людей или узлов." Мы не хотим появления "особых" людей, на которых можно надавить или подкупить.

_________________
89DC B598 306B 26C8 B9AA 5C0C CFB6 7184 B2B2 FF17


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:11 
Не в сети

Зарегистрирован: 19 июл 2011, 19:26
Сообщения: 1494
Цитата:
А чем не устраивает предложенная схема:

Т.е. каждый голосующий имеет некий идентификационный файл.
В этом файле есть несколько полей содержащих зашифрованную информацию, т.е. ФИО, паспортные данные, номера ИНН и пенсионного и проч.
Причём каждое поле шифруется отдельным ключом.
Файл создаётся самим голосующим на его компьютере.

При возникновении подозрений, например если обнаружены файлы с совпадающими полями, производится контроль.
Например подозреваемый выдает доверенному контролирующему органу ключ он каких либо полей, они расшифровываются и проверяются.
Например это поля ИНН или номера паспорта, что априорно является уникальным и легко проверяемым.

Кугуар, Здравствуйте!
А зачем нужен такой файл? Злоумышленник может получить те же базы и наделать кучу аккаунтов. Без проверки в реале в любом случае не обойтись. Не вижу других вариантов.

_________________
89DC B598 306B 26C8 B9AA 5C0C CFB6 7184 B2B2 FF17


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:15 
Не в сети

Зарегистрирован: 04 окт 2011, 16:58
Сообщения: 129
Сергей писал(а):
Введение "электронных нотариусов" противоречит нашему принципу "2. В системе нет и не будет "особых" людей или узлов." Мы не хотим появления "особых" людей, на которых можно надавить или подкупить.


Чтобы не уводить дискуссию в сторону - короткий вопрос - допускается ли корректировка принципов?
Если да, я бы обсудил в отдельной ветке "особых людей". Имхо это испытанная технология, работающая в той же сети интернет - DNS сервера или gateway - это по сути и есть "особые люди" применительно к сети интернет.

_________________
2B56 A45D 3372 F27D 7279 A7BB B9D7 340A 8CC4 36F2


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:23 
Не в сети

Зарегистрирован: 04 окт 2011, 16:58
Сообщения: 129
Сергей писал(а):
Не вижу необходимости требовать лишние данные, тем более они ничего не дают. Злоумышленник может внести в форму любые данные в т.ч. из головы или из базы данных которых в интернете достаточно.

Подтверждение номера телефона через смс делает такую попытку физически невозможной.

Далее кредитку можно авторизовать путем оплаты определенной небольшой суммы (условно рубль-пять-десять)

_________________
2B56 A45D 3372 F27D 7279 A7BB B9D7 340A 8CC4 36F2


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 17 окт 2011, 01:27 
Не в сети

Зарегистрирован: 19 июл 2011, 19:26
Сообщения: 1494
Цитата:
Чтобы не уводить дискуссию в сторону - короткий вопрос - допускается ли корректировка принципов?
Если да, я бы обсудил в отдельной ветке "особых людей". Имхо это испытанная технология, работающая в той же сети интернет - DNS сервера или gateway - это по сути и есть "особые люди" применительно к сети интернет.

Корректировка принципов допускается голосованием Управляющего Совета. В Управляющий Совет принимаются все желающие и его работа строиться на документах которые найти можно тут viewforum.php?f=11
Цитата:
Подтверждение номера телефона через смс делает такую попытку физически невозможной.

У нас в городе любое кол-во симок можно купить по 50р за штуку.
Цитата:
Далее кредитку можно авторизовать путем оплаты определенной небольшой суммы (условно рубль-пять-десять)

У Вас сколько кредиток? У меня три.

_________________
89DC B598 306B 26C8 B9AA 5C0C CFB6 7184 B2B2 FF17


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Форум закрыт Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 89 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7, 8, 9  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB