Проект "Свободные голосования"

Электронная системы голосований через интернет
Текущее время: 23 ноя 2024, 22:32

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Вопросы безопасности
СообщениеДобавлено: 21 июн 2011, 12:37 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
С учетом того, что система предоставляет лишь базовый функционал, необходимо определить какие действия пользователя будут производиться исключительно через сайт системы.

Действия, которые должны производиться только через сайт системы:

- регистрация пользователей;
- вход в систему (клиентский ssl сертификат, sms подтверждение и карты с кодами как дополнительные средства безопасности);
- перевыпуск клиентского ssl сертификата;
- подписывание пользователей;
- регистрация пользователем делегатов без собственного голоса;
- голосование;
- делегирование голоса;
- отмена делегирования голоса;
- установка рейтингов делегатам;
- регистрация субъектов голосования;
- регистрация голосований в контексте субъекта голосования;
- просмотр результатов голосований;

Действия, которые будут требовать отдельной электронной подписи:

- голосование;
- делегирование голоса;
- отмена делегирования голоса;
- регистрация субъектов голосования;
- регистрация голосований в контексте субъекта голосования;

"Отдельная электронная подпись" означает что у пользователя на компьютере будет установлена программа для подписывания текстов его электронной подписью. Система, например, при голосовании выдает ему строку для подписывания: "Пользователь: Иванов Иван Иванович (144452); Субъект голосования: ТСЖ г.Н-ск, ул.Советская, д. 10 (1234); Голосование: Вопрос об уборке территории (5667); Время: 2014-01-20; Голос: За (1)", которая должна быть понятна пользователю на обычном текстовом уровне. Пользователь копирует эту строку в программу подписи, формирует подпись для этой строки и копирует ее на страницу голосования в броузере для подтверждения своего голоса.

Здесь есть два момента. Во-первых, понятно что метод не самый удобный, но такая подпись будет нужна лишь для трех самых важных действий. Во-вторых, на первом этапе, думаю, что-бы не заморачиваться с написанием своей программы подписи, лучше использовать существующее ПО GnuPG как наиболее надежное и распространенное.

При этом процедура формирования электронных ключей GnuPG для пользователя будет производиться исключительно на компьютере пользователя. Через интернет в систему будут передаваться лишь публичные ключи. Так-же и система (или ее части) будут иметь собственные ключи для подписи сообщений и действий системы. Использую публичные ключи системы любой пользователь сможет убедиться что сообщения исходят именно от системы.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 21 июн 2011, 16:53 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Еще подумалось.

Возможно, для начала, действительно, имеет смысл организовать регистрацию пользователей с использование GnuPG. А аутентификацию производить по пересылаемой в систему зашифрованной и подписанной копии паспорта, например.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 21 июн 2011, 17:40 
Не в сети

Зарегистрирован: 18 июн 2011, 20:31
Сообщения: 243
А что собой представляет оборудование для электронной подписи...?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 21 июн 2011, 18:53 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Альберт писал(а):
А что собой представляет оборудование для электронной подписи...?

Это не оборудование, а программа.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 21 июн 2011, 19:03 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Вообще, электронная подпись основана на системе открытого и закрытого ключа. То, что зашифровано закрытым ключем, можно расшифровать открытым.

Т.е. закрытый ключ пользователь хранит так, что-бы ни у кого больше не было к нему доступа (обычно он еще и паролем защищается). И все, для чего необходимо знать что данная информация отправлена именно этим пользователем, он шифрует своим закрытым ключем и отправляет вместе с той-же информацией в открытом виде. Тот, кто хочет удостовериться что эта информация отправлена именно этим пользователем, берет его открытый ключь, который объявлен открытым именно для этого пользователя и расшифровывает зашифрованную часть. Если открытая часть и расшифрованная совпадают, значит эту информацию точно отправил данный пользователь и она пришла в неизменном виде.

В реальности, конечно, способ используется немного другой, но суть не отличается от того что я описал.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 22 июн 2011, 11:20 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Хранение персональных ключей шифрования можно организовать на SD картах небольшого объема. После записи на них ключей карта блокируется от записи и переключатель разблокировки удаляется механически.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 22 июн 2011, 13:46 
Не в сети

Зарегистрирован: 18 июн 2011, 20:31
Сообщения: 243
На первый взгляд вполне удобно...а где для сравнения сейчас применяется подобная система...?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 22 июн 2011, 13:52 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Альберт писал(а):
На первый взгляд вполне удобно...а где для сравнения сейчас применяется подобная система...?

Больше она применяется в личных целях. Для шифрования переписки по емэйл, для шифрования бесед через аську или джабер. Вообще, gnupg - система "взрослая" и весьма распространенная.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 22 июн 2011, 20:41 
Не в сети

Зарегистрирован: 18 июн 2011, 20:31
Сообщения: 243
Убежден...система должна иметь дружелюбный интерфейс и процедуру использования...надо ориентироваться на средних лет старушку.(55-65)..
до которой ещё не добрался маразм...)))


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Вопросы безопасности
СообщениеДобавлено: 22 июн 2011, 20:44 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Вот с одной стороны вы пишете что хотите социальную сеть сделать в системе, а с другой, что она должна быть простой. :) Я вас понимаю, и все время говорю о том что основа должна быть очень простой. А социальная сеть - как необязательное приложение.

Социальная сеть - как раз то, чем не смогут пользоваться большинство людей.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB