Он не может проверить свой голос в общем протоколе голосования и посчитать на его основе полный результат. В этом проблема. То, что его голос не был «модифицирован» на самом деле ничего не значит. Т.к. он не может на его основе проверить общие результаты.
Я под «мертвыми душами» имею ввиду голосующих, которым не соответствует реальный человек или которые вообще не голосовали.
Во втором случае, если человек при проверке сообщит что он голосовал и его голос учелся верно, хотя это и не так — это такое-же полное право данного человека, как и право на голосование. Такое-же полное право, как право продать свой голос. Это — не «мертвые души», а те, кто сделал свой выбор. Безответственный, но выбор.
Исключить необходимость «особых людей» для формирования законов и принятия решений при управлении обществом. Исключение необходимости доверять кому-то одному, который может захотеть узурпировать власть. В принципе, исключить возможность такого захвата.
Нет — это неправильный вариант. Голосующий не может проверить как учелся его голос (именно кандидата, за которого он голосовал) и самостоятельно посчитать общий результат.
Проверка голоса, привязанная к логину и персональным данным, как я уже неоднократно писал, не имеет никакого смысла. Т.к. при этом нет никаких доказательств что он таким образом учелся в общем результате.
Зачем? Я разве не могу лично проверить у кого-то документы если проверяемый тоже на это согласен? Тем более, что проверка будет двусторонняя. Если люди соберутся вместе именно для того, что-бы удостоверить друг друга? Лично, как отдельные граждане, а не представители каких-то официальных структур.
Вся сеть доверия должна строится только на личных контактах. Никакого официоза.
Преимущество сети взаимного доверия в том, что она вообще не зависит от «правящей кодлы». Кроме того, с властью всегда будет риск того, что она незаметно скатится к возможности махинаций. Так что сеть доверия — единственно возможный вариант организации общественного управления, в том числе и в перспективе.
Станислав, давайте я вам пришлю какое-то сообщение, подписанное своей ЭЦП, а вы попробуете сделать другое сообщение с моей ЭЦП.
Я не понимаю почему вы игнорируете возможность использования криптографии? А если не игнорируете, то почему считаете что при ее использовании можно что-то подделать?
Да — раскрытие персональных данных. НО! Не массово, а только проверяющему. И пишу еще раз — при проверке значение голоса не раскрывается. При проверке только выясняется что голосующий — реальный человек и что его голос учелся верно. При этом последнее проверяет сам голосующий.
2. С учетом пункта 3 и 4 — имеет.
4. А с чего вы взяли что звонок будет главным и единственным способом проверки? Из-за того что пока только такие способы предлагались? Я под проверкой имею ввиду что-то более естественное типа живой встречи. Соответственно, возражение по п.3 не имеет смысла.
Конечно, никто не будет проводить такие проверки глобально. Но провести ее имеет возможность любой голосовавший. Да и вообще любой. И даже потенциальная возможность проверки приведет к тому, что будет просто опасно использовать «мертвые души».
В варианте когда публикуется два отдельных списка — список «расписок о голосовании» и список голосов, возможно следующее:
1. Каждый может проверить как учелся его голос;
2. Каждый может посчитать общий результат голосования;
3. Каждый может по списку «расписок о голосовании» увидеть кто именно принимал участие в голосовании;
4. Каждый может по списку «расписок о голосовании» связаться с данным голосующим, убедиться что он является реальным человеком и что его голос учелся верно (просто спросить — «ваш голос в голосовании учелся верно?»). При этом НЕ происходит раскрытия тайны голоса.
По моему мнению — это достаточно хороший набор возможностей. Хотя-бы потому, что голосования будут проверяемыми.
Такое возможно только когда голоса открываются сразу после голосования. Но это неправильная практика. Голоса должны раскрываться только по окончанию срока голосования. Если принуждающий тебя к голосованию потребует дать ему идентификатор твоего голоса сразу после голосования — ты никак не отвертишся.
Криптография делает невозможной подделку голоса. Так что в этом вы не правы.
Проблема с «групповыми аттрибутами» в том, что их невозможно проверить. «злоумышленник — организатор выборов» может легко предоставить любые вымышленные значения этих аттрибутов.
В принципе, с этим бороться можно только усложняя проверку для «заказчика» как проголосовал тот, кто под давлением. Подкуп и давление вживую, в данном случае не рассматриваем, т.к. с ними бороться просто невозможно. По крайней мере, не средствами IT.
У нас в проекте идентификатор именно так и формируется. Ссылка длинная, поэтому просто скопирую описание:
«Хэш формируется по алгоритму SHA512 в рекурсивном цикле уровня 128 по символьному его представлению в 16-ричном виде в верхнем регистре. Идентифицирующий хэш должен формироваться из соединения нескольких строк:
— Дата рождения в формате YYYYMMDD (Y — год, M — месяц, D — день. Считается с начала Нашей Эры).
— Номер свидетельства о рождении. Серия и номер пишутся вместе. Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре.
— Идентификационный социальный номер в стране гражданства (страна рождения или первая по алфавиту в написании латиницей страна гражданства). Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре. Номер СНИЛС в России или SSN в США.»
К сожалению, проблему вбросов вы тоже не решаете. Почти никогда в голосовании не голосует 100% потенциальных избирателей. Поэтому вариант со сравнением количества голосов с населением государства в принципе ничего не может дать в этом смысле.
Кроме того, у вас так-же как и у других, отсутствует какая-либо защита от подделки голоса на любом этапе. Пирожок и 15 минут в этом смысле так-же абсолютно ничего не решают. Все изменения можно внести в базу непосредственно перед расчетом результата.
Если для формирования хэшей использовать большое количество данных, как предлагаем мы, реверс хэшей будет достаточно проблематичным. Кроме того, не обязательно в качестве публичного идентификатора использовать именно хэш. Можно использовать хэш зашифрованных публичным ключем пользователя его персональных данных. Реверсирование в данном случае в принципе невозможно, а проверить его при наличии персональных данных пользователя можно легко.
Во втором случае, если человек при проверке сообщит что он голосовал и его голос учелся верно, хотя это и не так — это такое-же полное право данного человека, как и право на голосование. Такое-же полное право, как право продать свой голос. Это — не «мертвые души», а те, кто сделал свой выбор. Безответственный, но выбор.
Проверка голоса, привязанная к логину и персональным данным, как я уже неоднократно писал, не имеет никакого смысла. Т.к. при этом нет никаких доказательств что он таким образом учелся в общем результате.
Вся сеть доверия должна строится только на личных контактах. Никакого официоза.
Я не понимаю почему вы игнорируете возможность использования криптографии? А если не игнорируете, то почему считаете что при ее использовании можно что-то подделать?
4. А с чего вы взяли что звонок будет главным и единственным способом проверки? Из-за того что пока только такие способы предлагались? Я под проверкой имею ввиду что-то более естественное типа живой встречи. Соответственно, возражение по п.3 не имеет смысла.
Конечно, никто не будет проводить такие проверки глобально. Но провести ее имеет возможность любой голосовавший. Да и вообще любой. И даже потенциальная возможность проверки приведет к тому, что будет просто опасно использовать «мертвые души».
1. Каждый может проверить как учелся его голос;
2. Каждый может посчитать общий результат голосования;
3. Каждый может по списку «расписок о голосовании» увидеть кто именно принимал участие в голосовании;
4. Каждый может по списку «расписок о голосовании» связаться с данным голосующим, убедиться что он является реальным человеком и что его голос учелся верно (просто спросить — «ваш голос в голосовании учелся верно?»). При этом НЕ происходит раскрытия тайны голоса.
По моему мнению — это достаточно хороший набор возможностей. Хотя-бы потому, что голосования будут проверяемыми.
Такое возможно только когда голоса открываются сразу после голосования. Но это неправильная практика. Голоса должны раскрываться только по окончанию срока голосования. Если принуждающий тебя к голосованию потребует дать ему идентификатор твоего голоса сразу после голосования — ты никак не отвертишся.
Проблема с «групповыми аттрибутами» в том, что их невозможно проверить. «злоумышленник — организатор выборов» может легко предоставить любые вымышленные значения этих аттрибутов.
«Хэш формируется по алгоритму SHA512 в рекурсивном цикле уровня 128 по символьному его представлению в 16-ричном виде в верхнем регистре. Идентифицирующий хэш должен формироваться из соединения нескольких строк:
— Дата рождения в формате YYYYMMDD (Y — год, M — месяц, D — день. Считается с начала Нашей Эры).
— Номер свидетельства о рождении. Серия и номер пишутся вместе. Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре.
— Идентификационный социальный номер в стране гражданства (страна рождения или первая по алфавиту в написании латиницей страна гражданства). Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре. Номер СНИЛС в России или SSN в США.»
Кроме того, у вас так-же как и у других, отсутствует какая-либо защита от подделки голоса на любом этапе. Пирожок и 15 минут в этом смысле так-же абсолютно ничего не решают. Все изменения можно внести в базу непосредственно перед расчетом результата.