End-to-end auditable o verificable votante de extremo a extremo ( E2E sistemas) están votando sistemas con estrictas propiedades de integridad y una fuerte resistencia a la manipulación . Los sistemas E2E a menudo emplean métodos criptográficos para elaborar recibos que permiten a los votantes verificar que sus votos se contaron como emitidos, sin revelar qué candidatos fueron votados. Como tal, estos sistemas a veces se denominan sistemas basados en recibos . [1]
Descripción general
Los sistemas de votación electrónica llegan a sus totales finales de votos mediante una serie de pasos:
- cada votante tiene una intención original,
- los votantes expresan su intención en las boletas (ya sea de forma interactiva, como en la pantalla transitoria de una máquina de votación DRE , o duradera, como en sistemas con rastros de papel verificables por los votantes ),
- se interpretan las papeletas, para generar registros electrónicos de votos emitidos,
- se contabilizan los registros de votos emitidos, lo que genera totales
- cuando el recuento se realiza localmente, por ejemplo, a nivel de distrito o condado, los resultados de cada nivel local se combinan para producir el recuento final.
Los enfoques clásicos de la integridad electoral tendían a centrarse en los mecanismos que operaban en cada paso de la cadena, desde la intención del votante hasta el total final. La votación es un ejemplo de un sistema distribuido y, en general, los diseñadores de sistemas distribuidos saben desde hace mucho tiempo que tal enfoque local puede pasar por alto algunas vulnerabilidades y sobreproteger otras. [ cita requerida ] La alternativa es utilizar medidas de extremo a extremo que están diseñadas para proteger la integridad de toda la cadena. [2]
En 2002 se señaló el fracaso de los sistemas de votación de escaneo óptico convencionales para cumplir con un estándar de extremo a extremo. [3]
La cobertura completa de la integridad de las elecciones con frecuencia involucra múltiples etapas. Se espera que los votantes verifiquen que han marcado sus boletas según lo previsto, se utilizan recuentos o auditorías para proteger el paso de las boletas marcadas a los totales de las urnas, y la publicación de todos los subtotales permite la verificación pública de que los totales generales suman correctamente los totales locales. [4]
Si bien medidas como las pistas de auditoría en papel verificadas por los votantes y los recuentos manuales aumentan la eficacia de las defensas, solo ofrecen una protección débil de la integridad de las urnas físicas o electrónicas. Las boletas pueden ser removidas, reemplazadas o se les pueden agregar marcas ( es decir, para completar concursos con votos insuficientes para un candidato deseado o para votar en exceso y estropear los votos de candidatos no deseados). Esta deficiencia motivó el desarrollo de los sistemas de votación auditables de extremo a extremo que se analizan aquí, a veces denominados sistemas de votación E2E . Estos intentan cubrir todo el camino desde el intento de votantes hasta los totales electorales con solo dos medidas:
- Verificabilidad individual, mediante la cual cualquier votante puede verificar que su boleta esté incluida correctamente en la urna electrónica, y
- Verificabilidad universal, mediante la cual cualquier persona puede determinar que todas las papeletas de la urna se han contado correctamente.
Debido a la importancia del derecho a un voto secreto , algunos esquemas de votación E2E también intentan cumplir con un tercer requisito, generalmente conocido como libertad de recibo :
- Ningún votante puede demostrar cómo votó a un tercero.
Un investigador ha argumentado que la auditabilidad de un extremo a otro y la ausencia de recibos deben considerarse propiedades ortogonales. [5] Otros investigadores han demostrado que estas propiedades pueden coexistir, [6] y estas propiedades se combinan en las Directrices del Sistema de Votación Voluntaria de 2005 promulgadas por la Comisión de Asistencia Electoral . [7] Esta definición también es predominante en la literatura académica. [8] [9] [10] [11]
Para abordar el relleno de boletas , se puede adoptar la siguiente medida:
- Verificabilidad de elegibilidad, mediante la cual cualquier persona puede determinar que todos los votos contados fueron emitidos por votantes registrados.
Alternativamente, las afirmaciones con respecto al relleno de boletas pueden verificarse externamente comparando el número de votos emitidos con el número de votantes registrados que votaron y auditando otros aspectos del sistema de registro y entrega de boletas.
El soporte para la auditabilidad E2E, basado en la experiencia previa en su uso con elecciones en persona, también es visto como un requisito para la votación remota a través de Internet por muchos expertos. [12]
Sistemas E2E propuestos
En 2004, David Chaum propuso una solución que permite al votante verificar que el voto se haya emitido correctamente y que el voto se cuente con precisión mediante criptografía visual . [13] Después de que el votante selecciona a sus candidatos, una máquina DRE imprime una versión con formato especial de la boleta en dos transparencias. Cuando las capas están apiladas, muestran el voto legible por humanos. Sin embargo, cada transparencia está cifrada con una forma de criptografía visual para que por sí sola no revele ninguna información a menos que esté descifrada. El votante selecciona una capa para destruir en la votación. El DRE retiene una copia electrónica de la otra capa y entrega la copia física como recibo para permitirle al votante confirmar que la boleta electrónica no fue modificada posteriormente. El sistema protege contra cambios en la boleta de los votantes y utiliza un procedimiento de descifrado de red mixta [14] para garantizar que cada voto se cuente con precisión. Sastry, Karloff y Wagner señalaron que existen problemas con las soluciones criptográficas de Chaum y VoteHere. [15]
Posteriormente, el equipo de Chaum desarrolló Punchscan , que tiene propiedades de seguridad más sólidas y utiliza boletas de papel más simples. [16] Las boletas de papel se votan y luego un escáner óptico escanea una parte de la boleta que preserva la privacidad.
El sistema Prêt à Voter , inventado por Peter Ryan, utiliza un orden de candidatos aleatorio y una red mixta tradicional . Al igual que en Punchscan, los votos se realizan en boletas de papel y se escanea una parte de la boleta.
El sistema Scratch and Vote , inventado por Ben Adida , utiliza una superficie para raspar para ocultar información criptográfica que se puede utilizar para verificar la impresión correcta de la boleta. [17]
El protocolo de votación ThreeBallot , inventado por Ron Rivest , fue diseñado para proporcionar algunos de los beneficios de un sistema de votación criptográfico sin usar criptografía. En principio, se puede implementar en papel, aunque la versión presentada requiere un verificador electrónico.
Los sistemas Scantegrity y Scantegrity II proporcionan propiedades E2E. En lugar de reemplazar todo el sistema de votación, como es el caso en todos los ejemplos anteriores, funciona como un complemento para los sistemas de votación de escaneo óptico existentes, produciendo boletas de papel convencionales verificables por los votantes adecuadas para auditorías de limitación de riesgo . Scantegrity II emplea tinta invisible y fue desarrollado por un equipo que incluía a Chaum, Rivest y Ryan.
El sistema STAR-Vote [18] se definió para el condado de Travis, el quinto condado más poblado de Texas y hogar de la capital del estado, Austin. [19] Ilustraba otra forma de combinar un sistema E2E con papeletas de papel auditables convencionalmente, producidas en este caso por un dispositivo de marcado de papeletas . [20] El proyecto produjo una especificación detallada y una solicitud de propuestas en 2016, y se recibieron ofertas para todos los componentes, pero ningún contratista existente con una votación certificada por EAC estaba dispuesto a adaptar su sistema para trabajar con los nuevos componentes criptográficos de código abierto. , como lo requiere la RFP. [21] [22]
Uso en elecciones
La ciudad de Takoma Park, Maryland, utilizó Scantegrity II para sus elecciones municipales de 2009 y 2011. [23] [24]
Helios ha sido utilizado desde 2009 por varias organizaciones y universidades para elecciones generales, elecciones de juntas y elecciones de consejos estudiantiles. [25] [26]
Wombat Voting se utilizó en las elecciones del consejo estudiantil en el centro interdisciplinario de investigación privado Herzliya en 2011 y 2012, [27] [28] así como en las elecciones primarias del partido político israelí Meretz en 2012. [29]
Se utilizó una versión modificada de Prêt à Voter como parte del sistema de votación electrónica del sitio de votación vVote en las elecciones estatales de Victoria de 2014 en Australia. [30]
Sobre la base de la experiencia STAR-Vote, Josh Benaloh en Microsoft dirigió el diseño y desarrollo de ElectionGuard , un SDK que se puede combinar con los sistemas de votación existentes para agregar soporte E2E. Se combinó con un sistema de votación de VotingWorks y se utilizó para las elecciones primarias de primavera de Fulton, Wisconsin, el 18 de febrero de 2020. [31]
El sistema DRE-ip se probó en un colegio electoral en Gateshead el 2 de mayo de 2019 como parte de las elecciones locales del Reino Unido de 2019 . [32] [33]
Ejemplos de
- ADDER [34]
- Helios [35]
- Prêt à Voter
- Punchscan
- Escantegridad
- Votación de Wombat [36]
- ThreeBallot
- Votación de bingo
- compartir secretos homomórficos
- DRE-i [37] (voto electrónico verificable E2E sin autoridades de conteo basado en cálculos previos)
- DRE-ip [38] (voto electrónico verificable E2E sin autoridades de conteo basado en cálculos en tiempo real)
Referencias
- ^ "Directrices del sistema de votación voluntaria versión 1.0" (PDF) . Comisión de Asistencia Electoral . 2005 . Consultado el 7 de abril de 2020 .
- ^ JH Saltzer, DP Reed y D. D Clark, Argumentos de extremo a extremo en el diseño de sistemas, ACM Trans. on Computer Systems (TOCS) , Vol 2, No. 4, noviembre de 1984, páginas 277-288
- ^ Douglas W. Jones, Estándares de extremo a extremo para la precisión en sistemas basados en papel, Taller sobre estándares y tecnología de elecciones ( fuente alternativa ), 31 de enero de 2002, Washington DC.
- ^ Douglas W. Jones, Perspectivas sobre el voto electrónico, de cortes de energía a rastros de papel Archivado el 28 de noviembre de 2008 en la Wayback Machine ( fuente alternativa ), IFES, Washington DC, 2007; páginas 32-46, ver particularmente la Figura 4, página 39.
- ^ Douglas W. Jones , Algunos problemas con la votación de extremo a extremo , documento de posición presentado en el Taller de sistemas de votación de extremo a extremo , 13-14 de octubre de 2009, Washington DC.
- ^ B Smyth, S. Frink y MR Clarkson, Verificabilidad electoral: definiciones criptográficas y un análisis de Helios y JCJ, repositorio digital de Cornell , febrero de 2017
- ^ Directrices del sistema de votación voluntaria de 2005 Archivado el 13 de junio de 2008 en la Wayback Machine , Comisión de asistencia electoral
- ^ Jeremy Clark, Aleks Essex y Carlisle Adams. Sobre la seguridad de los recibos de las boletas electorales en los sistemas de votación E2E Archivado el 22 de julio de 2012 en Wayback Machine . Taller de IAVoSS sobre elecciones dignas de confianza 2007.
- ^ Aleks Essex, Jeremy Clark, Richard T. Carback III y Stefan Popoveniuc. Punchscan en la práctica: un estudio de caso de elección de E2E . Taller de IAVoSS sobre elecciones dignas de confianza 2007.
- ^ Olivier de Marneffe, Olivier Pereira y Jean-Jacques Quisquater. Análisis basado en simulación de sistemas de votación E2E . Voto electrónico e identidad 2007.
- ^ Ka-Ping Yee. Creación de un software de máquina de votación confiable . Doctor. Disertación, UC Berkeley, 2007.
- ^ "El futuro de la votación: votación por Internet verificable de extremo a extremo - Estudio de especificación y viabilidad - Proyecto E2E-VIV" . Fundación Voto de los Estados Unidos . 2015 . Consultado el 1 de septiembre de 2016 .
- ^ Chaum, David (2004). "Recibos de votación secreta: verdaderas elecciones verificables por los votantes". Seguridad y privacidad de IEEE . 2 (1): 38–47. doi : 10.1109 / MSECP.2004.1264852 . S2CID 1015904 .
- ^ Canales de retorno anónimos reutilizables
- ^ Chris Karlof, Naveen Sastry y David Wagner. Protocolos de votación criptográfica: una perspectiva de sistemas . Actas del Decimocuarto Simposio de Seguridad de USENIX (USENIX Security 2005), agosto de 2005.
- ^ Steven Cherry, Haciendo que cada voto electrónico cuente , IEEE Spectrum , enero de 2007.
- ^ Scratch & Vote: Votación criptográfica autónoma basada en papel (2006)
- ^ Bell, Susan; et al. (1 de agosto de 2013). "STAR-Vote: un sistema de votación seguro, transparente, auditable y confiable" (PDF) . usenix evtvote13 . Consultado el 24 de abril de 2018 .
- ^ "Condado de Travis - Solicitud de propuesta STAR-VoteTM publicada" . www.traviscountyclerk.org . 2016-10-10 . Consultado el 24 de abril de 2018 .
- ^ Okun, Eli (9 de julio de 2014). "El condado de Travis forja un nuevo territorio en la creación de una máquina de votación" . El Texas Tribune . Consultado el 2 de septiembre de 2016 .
- ^ Pritchard, Caleb (4 de octubre de 2017). "Colapso de STAR-Vote - Austin Monitor" . Austin Monitor . Consultado el 4 de agosto de 2018 .
- ^ Ballard, Ginny (28 de septiembre de 2017). "Condado de Travis - STAR-Vote - Un cambio de planes" . traviscountyclerk.org . Consultado el 4 de agosto de 2018 .
- ^ "Estudio piloto del sistema de votación Scantegrity II planificado para las elecciones de 2009 en Takoma Park City" (PDF) . Archivado desde el original (PDF) el 19 de julio de 2011.
- ^ Difícilmente, Larry. "Debut de la votación criptográfica" . Noticias del MIT . Consultado el 30 de noviembre de 2009 .
- ^ Haber, Stuart (24 de mayo de 2010). "La demostración de Helios e-Voting para la IACR" (PDF) .
- ^ Adida, Ben (25 de junio de 2009). "Elección de un rector de la universidad mediante votación de auditoría abierta: análisis del uso de Helios en el mundo real" (PDF) .
- ^ Rivest, Ron L. (16 de marzo de 2016). "Auditabilidad y verificabilidad de las elecciones" .
- ^ Ben-Nun, Jonathan; Farhi, Niko; Llewellyn, Morgan; Riva, Ben; Rosen, Alon; Ta-Shma, Amnon; Wikstrom, Douglas (2012). "Una nueva implementación de un sistema de votación dual (papel y criptográfico)". S2CID 2015880 . Cite journal requiere
|journal=
( ayuda ) - ^ Meretz pretende revolucionar el voto electrónico ” . The Jerusalem Post | JPost.com . Consultado el 14 de enero de 2020 .
- ^ Eldridge, Mark (6 de mayo de 2018). "Un sistema de votación electrónica confiable para las elecciones federales australianas". arXiv : 1805.02202 [ cs.CR ].
- ^ "Cruzada audaz de un secretario del condado de Texas para transformar la forma en que votamos" . Cableado . ISSN 1059-1028 . Consultado el 10 de abril de 2021 .
- ^ Wakefield, Jane (2 de mayo de 2019). "E-vote probado en elecciones locales" . BBC News .
- ^ Hao, Feng; Wang, Shen; Bolsa, Samiran; Procter, Rob; Shahandashti, Siamak F; Mehrnezhad, Maryam; Toreini, Ehsan; Metere, Roberto; Liu, Lana (2020). "Prueba de votación electrónica verificable de extremo a extremo para la votación en las mesas de votación" (PDF) . Seguridad y privacidad de IEEE . 18 (6): 6–13. doi : 10.1109 / MSEC.2020.3002728 . S2CID 219616040 .
- ^ Sistema de votación ADDER
- ^ Sistema de votación Helios
- ^ Sistema de votación Wombat
- ^ Feng Hao, Matthew N. Kreeger, Brian Randell, Dylan Clarke, Siamak F. Shahandashti y Peter Hyun-Jeen Lee. "Cada voto cuenta: garantizar la integridad en la votación electrónica a gran escala" . USENIX Journal of Election Technology and Systems (JETS) Volumen 2, Número 3, julio de 2014
- ^ Siamak F. Shahandashti y Feng Hao. "DRE-ip: un esquema de votación electrónica verificable sin contar las autoridades" . Actas del 21º Simposio Europeo de Investigación en Seguridad Informática (ESORICS) , LNCS, vol. 9879, 2016
enlaces externos
- Verificación de elecciones con criptografía : video de la charla técnica de 90 minutos de Ben Adida
- Helios: Votación de auditoría abierta basada en la web - PDF que describe el sitio web Helios de Ben Adida
- Sitio web del sistema de votación Helios
- Esquema simple de votación anónima y auditable
- Estudio sobre sistemas de votación y verificación en el lugar de votación : una revisión de los sistemas de votación electrónicos existentes y sus sistemas de verificación en entornos supervisados.
- un artículo de 2020 MIT Media Lab sobre sistemas de votación verificables de extremo a extremo, incluye una discusión sobre blockchains