Questo documento fornisce un elenco di domande utili a cui i promotori di un sistema di voto elettronico dovrebbero rispondere pubblicamente prima di adottarlo per le elezioni.
Quando si sta valutando una proposta di sistema elettorale online o basato su blockchain è necessario dare agli elettori gli strumenti per comprendere meglio le sue implicazioni sulla sicurezza.
L’espressione semplicistica che un sistema sia sicuro, o che sia stato valutato, eventualmente in segreto e senza alcuna esposizione pubblica di una analisi che risponde alle seguenti domande, dovrebbe essere guardata con sospetto. Ogni sistema, anche il meno open e più proprietario dovrebbe fornire adeguate risposte ad ognuna di queste domande e coloro che dovranno votare in un sistema del genere hanno ogni diritto di ottenere le seguenti informazioni.
Gran parte di questo elenco è fondato su precedenti esempi di errori negli schemi di voto su Internet, da domande poste da esperti che coinvolgono sistemi basati su blockchain del passato, nonché dall’indagine sui problemi aperti E2E -V sistemi di Bernhard et al.
Questa è la versione adottata dal CRVD sulla base dell’articolo di Park et al. a cui si fa ampio riferimento. È di prossimo insediamento un gruppo di lavoro indipendente che revisionerà il documento prendendo in considerazione anche aspetti ulteriori del processo elettorale.
L’elenco qui presente quindi non vuole essere completo ma certamente è una traccia essenziale da seguire per avere una adeguata consapevolezza del sistema che si sta adottando.
Sebbene le questioni sollevate qui riguardano principalmente la sicurezza del sistema di voto, piuttosto che altri aspetti importanti dei sistemi di voto (ad esempio, usabilità, costo, accessibilità, ecc.), la sicurezza non può essere raggiunta semplicemente verificando meccanicamente una lista di controllo. Anche venissero date risposte adeguate a tutte le domande qui presenti, il sistema potrebbe comunque essere insicuro.
Inoltre non esistono risposte giuste, ma bisogna comunque porsi queste domande, e provare a rispondere aiuta ad evidenziare o fa emergere le lacune nel ragionamento, le ipotesi inadeguate ed i problemi di implementazione.
Un sistema di voto elettronico adottato senza dare almeno una risposta a tutte queste domande è difficilmente un sistema di voto elettronico adottato con chiarezza e consapevolezza.
Per valutare le proposte del sistema di voto online o basato su blockchain con un livello di trasparenza di base a cui il pubblico ha diritto riteniamo necessario quindi porsi e rispondere a queste domande.
Questo, a parere del CRVD può essere un buon inizio ed un valido punto di partenza per pensare ad una riforma così importante, quasi essenziale per la democrazia interna di ogni organizzazione (e poi a maggior ragione dell’amministrazione della cosa pubblica)
I – Classi di utenti
Nelle elezioni intervengono un certo numero di parti interessate e di avversari che possono essere o no insiemi tra loro disgiunti. Chi è interessato a far fallire o manipolare un’elezione potrebbe essere quindi parte stessa dell’elezione, a qualsiasi livello.
I gruppi coinvolti potrebbero includere il pubblico, compresi gli osservatori che potrebbero non essere elettori, i candidati, gli elettori, i funzionari elettorali, i lavoratori del sondaggio, i revisori, inclusi gli osservatori stranieri, i progettisti di sistemi ed i fornitori.
Delineare formalmente ruoli, responsabilità e poteri di questi individui (o meglio gruppi) è un primo passo necessario nell’analisi e costituisce una necessaria imprescindibile premessa per affrontare i più fondamentali requisiti per il voto in democrazia.
Solo dopo che l’elenco dei gruppi è ben compreso, è possibile porsi utilmente domande come:
Quali garanzie fornisce il sistema se qualcuno di questi attori è malintenzionato?
Qualcuna di queste entità o qualsiasi combinazione di loro può controllare indebitamente l’esito delle elezioni?
Quali sono le capacità di ciascuna di queste parti interessate in ogni momento del processo elettorale?
Cosa si può fare per garantire che questi attori si comportino bene?
C’è modo di far ricadere la responsabilità sulle altri parti in gioco?
II – Obiettivi di sicurezza e modello di minaccia
Dopo che gli attori nelle elezioni sono stati definiti e i primi requisiti delineati, dopo che si è diffusa la consapevolezza sulla criticità relative agli attori in gioco si può iniziare a progettare un modello di minaccia per l’elezione.
Vale la pena notare che i sistemi elettorali spesso differiscono per molte caratteristiche che riguardano i requisiti iniziali, il modello gestionale, sull’importanza relativa dell’elezione e, quindi, su quale tipo di avversari ci si aspetta, sui poteri dei partecipanti. Tutto ciò determina gli obiettivi che ha un sistema elettorale.
Quali proprietà di sicurezza deve avere il sistema?
Qual è il modello di minaccia?
Un elenco non esaustivo di minacce da considerare dovrebbe includere almeno:
Compromissione dell’hardware e/o del software dei dispositivi, possibilmente tramite attacchi alle fonti di approvvigionamento dei dispositivi
Mancata registrazione delle scelte di un elettore
Errori di rappresentazione
Vendita di voti
Corruzione della traccia delle prove
Inserimento di schede elettorali in eccesso o distruzione della scheda elettorale
Quali tipi di attacchi plausibili non sono considerati nella progettazione del sistema? (Ad esempio, la sicurezza del sistema dipende da “hardware affidabile” o “software affidabile”? Questi presupposti sono validi?)
Quante persone dovrebbe corrompere un avversario per manipolare l’elezione?
III – Progetto del meccanismo di sicurezza
Al modello di minaccia descritto (ed alle conseguenti domande e risposte indicate) nella sezione precedente, si risponde elaborando un modello di sicurezza nel quale sono esplicitate le protezioni necessarie al corretto funzionamento del sistema.
Le domande sulla progettazione del meccanismo di sicurezza ci aiutano a capire come funziona il sistema, come soddisfare gli obiettivi descritti nel modello di sicurezza, e, quindi, come rispondere al modello di minaccia descritto.
Quali meccanismi di sicurezza sono proposti nella progettazione del sistema?
Questi meccanismi sono progettati per prevenire violazioni della sicurezza o semplicemente per rilevare tali violazioni?
Il sistema fornisce resistenza alla coercizione, permette libertà di espressione del voto e supporta la segretezza del voto? Come?
Cosa succede quando viene rilevata una violazione della sicurezza? Il sistema gestisce bene la risoluzione delle controversie?
Per essere efficaci, i meccanismi proposti si basano su comportamenti particolari di determinate parti (elettori, funzionari elettorali, ecc.)?
Se alcuni, la maggior parte o tutti i computer o dispositivi del sistema di voto sono compromessi, qual è l’effetto peggiore che potrebbe avere sul risultato elettorale riportato?
Questo effetto sarebbe rilevabile in modo affidabile? Come?
Quali meccanismi consentono agli elettori e agli osservatori di verificare che il sistema funzioni come previsto e che i risultati prodotti non siano stati influenzati da comportamenti contraddittori?
IV – Verifiche elettorali
Un obiettivo chiave di un’elezione è dimostrare a chi perdente che ha perso.
Il sistema elettorale deve, quindi, fornire prove convincenti a tutti, ma soprattutto ai perdenti, che il risultato elettorale è corretto. Soprattutto il risultato non muta, né può mutare, anche a seguito del più intenso controllo.
Quali prove produce il sistema a sostegno del risultato riportato?
Perché queste prove dovrebbero essere considerate affidabili?
La validità delle prove si basa su ipotesi sul corretto funzionamento del sistema?
La conclusione che le prove sono attendibili richiede la fiducia che uno o più sistemi di computer funzionino sempre correttamente?
In caso affermativo, tali ipotesi sono credibili e/o verificabili?
Questa prova è verificabile?
Quali forme di audit sono supportate?
Quale garanzia sono fornite e chi ne viene in possesso?
V – Controllo e trasparenza
Fornire prove adeguate dell’esito della consultazione, con particolare riferimento alla correttezza del processo elettorale, si basa anche sulla capacità del pubblico di eseguire analisi autonome sul sistema anche per aiutare a trovare e correggere potenziali difetti.
Tale analisi non solo fornisce la miglior prova che il sistema è sicuro ma è cruciale per fare in modo che il pubblico abbia fiducia nel sistema. La legittimità del sistema passa necessariamente attraverso la conoscenza, la piena conoscibilità, del sistema stesso diffusa in ogni singolo individuo che partecipa del processo elettorale.
Chi può verificare la progettazione e il funzionamento del sistema?
La verifica è affidata a terze parti neutrali? Oppure la verifica è affidata allo Stato nelle sue varie articolazioni?
Qualcuno ha eseguito una revisione della sicurezza del sistema, al di fuori di coloro che detengono partecipazioni finanziarie nell’azienda?
Quante diverse organizzazioni possono essere in grado di verificare il sistema? Quali sono le loro competenze e incentivi?
Quale garanzia credibile deriva da questi processi di verifica, a chi, in merito a cosa?
Tale garanzia riguarda un’implementazione campione prima delle elezioni o il funzionamento del sistema durante le elezioni? (In altre parole: la verifica controlla il sistema prima delle elezioni o un particolare risultato elettorale prodotto utilizzando il sistema?)
Quale supervisione o verifica c’è che i componenti esternalizzati (sia persone che software) funzionino come previsto?
Cosa succede se viene trovato un bug nel codice? Come potrebbe essere scoperto? Come è affrontato?
Se viene rilevato un bug, come viene comunicato al pubblico?
Perché il pubblico dovrebbe credere che questo bug sia stato corretto?
Esistono vincoli o limitazioni per coloro che eseguono analisi di sicurezza indipendenti del sistema?
E’ consentito ai ricercatori di sicurezza rivelare pubblicamente ciò che hanno scoperto?
I ricercatori possono eseguire questa analisi senza l’autorizzazione dell’azienda?
Il codice è open source? Qualcuno può controllare il software o il venditore lo impedisce?
Il fornitore dispone di una documentazione pubblica completa della progettazione, degli obiettivi e delle risposte del sistema alle altre domande poste in questo documento?
VI – Crittografia, credenziali e PKI
Molti schemi che richiedono componenti elettronici fanno un uso massiccio della crittografia e spesso richiedono anche che gli elettori e gli amministratori mantengano le chiavi pubbliche e private. Come accennato brevemente nelle sezioni precedenti, la gestione e la verifica delle chiavi sono di per sé una sfida che dovrebbe essere studiata.
Come vengono gestite le chiavi?
Cosa succede se una o più chiavi vengono compromesse?
Le parti possono “reimpostare le chiavi” (scegliere nuove chiavi per sostituire quelle che sono state perse o compromesse)?
È possibile abusare della procedura di recupero?
Quali sono le credenziali necessarie per votare?
In che modo gli elettori ottengono queste credenziali?
Cosa succede se le credenziali vengono perse o rubate?
VII – Logistica
Il modello di minaccia, il progetto e la crittografia contano molto poco se l’effettivo utilizzo sul campo del sistema aggira queste restrizioni. Le domande operative ci consentono di esplorare cosa dovrebbe accadere nel caso in cui la realtà differisca da ciò che ci aspettiamo.
Quali istruzioni vengono date agli elettori, ai funzionari elettorali e ad altri per gestire situazioni o errori eccezionali? (Ad esempio, cosa dovrebbe fare un elettore se vede una stampa errata o un candidato mancante da una scheda elettorale?)
Quali prove consentono di confermare l’errore?
I fornitori si affidano all’outsourcing negli aspetti operativi delle elezioni?
Ci si può fidare del risultato elettorale se i fornitori non sono affidabili?
E se il sistema non funziona correttamente durante le elezioni, come è possibile scoprirlo? Esistono sonde di verifica? Nel caso si scopra, come viene affrontata la situazione?
È facile progettare un sistema che funzioni bene se tutto va come previsto. In che modo il sistema proposto gestisce i guasti imprevisti e le violazioni della sicurezza?
Un elettore potrebbe dimostrare in modo credibile come ha votato a favore di un terzo? (Ciò violerebbe il segreto del voto.)
VIII – Privacy operativa
Le elezioni pretendono necessariamente di avere a disposizione informazioni private sugli elettori, inclusi luogo, indirizzo, data di nascita, affiliazione ad una qualche parte in gioco e altro. Tali informazioni possono essere oggetto di abuso in molti modi, inclusi attacchi di disinformazione, e dovrebbero essere fortemente protette.
Quali parti non governative o private hanno accesso a quali dati?
Quando e per quanto tempo vengono conservati questi dati?
Gli elettori sono stati portati a conoscenza di queste cose? Sono documentati pubblicamente? È possibile ottenere accesso a questi documenti?
Esistono vincoli legali su queste entità? Ad esempio, esistono obblighi contrattuali per la cancellazione e l’utilizzo dei dati?
Questi stessi contratti sono noti? Ad esempio, hanno politiche sulla privacy pubbliche e applicabili?
IX – Distorsioni nel pubblico
Indipendentemente dal fatto che siano elettronici o fisici i procedimenti elettorali possono privilegiare o dissuadere la partecipazione di alcune specifiche classi di elettori. Questa distorsione può avvantaggiare o svantaggiare particolari liste o candidati. Per questo motivo bisogna comprendere attivamente questi sbilanciamenti ed eventualmente mettere in campo degli specifici correttivi, sia di natura tecnica che organizzativa:
L’adozione dello strumento elettorale può comportare una distorsione del pubblico? Alcune classi di elettori potranno accedere più facilmente o difficilmente alle elezioni?
Esistono classi di elezioni che potrebbero essere completamente escluse dal voto (ad esempio per mancanza di dispositivi adeguati, aggiornati o compatibili)?
È possibile che queste distorsioni modifichino in modo considerevole il risultato elettorale o il loro impatto è considerato trascurabile? Esprimere in modo esplicito le fonti di queste affermazioni.
Nel caso in cui siano riscontrabili delle distorsioni, quali azioni possono essere poste in essere per riequilibrare il risultato elettorale (ad esempio si potrebbe agevolare economicamente o tecnologicamente, oppure agire sul lato della noma elettorale).
Al di là dalla loro effettiva esistenza possono essere percepite dal pubblico aree di opacità nel meccanismo elettorale che potrebbero portare ad una disaffezione indotta di intere classi di potenziali elettori?
Conclusione
Questo esteso elenco di domande è in continuo aggiornamento. A tutti i lettori chiediamo di collaborare, anche criticamente, per definire al meglio questi aspetti.
È raro che i promotori di un sistema di voto elettronico rispondano con completezza alle domande qui indicate, eppure nessuna di queste è difficile, astrusa o immotivata. Come il voto elettronico, anche per il voto cartaceo (nelle varie forme in cui esiste) è possibile porsi i problemi qui indicati. Abbastanza facilmente molte persone, anche in assenza di particolari competenze, potrebbero dare risposte ragionevoli a queste domande in quanto il processo elettorale tradizionale è, almeno nelle sue linee essenziali, conosciuto e diffuso (per quanto è possibile che alcuni dettagli sfuggano). Ci aspettiamo che, prima di essere adottati, i sistemi elettorali mediati dai computer dovranno raggiungere lo stesso livello, se non superiore, di condivisione.
Questo documento fornisce un elenco di domande utili a cui i promotori di un sistema di voto elettronico dovrebbero rispondere pubblicamente prima di adottarlo per le elezioni.
Quando si sta valutando una proposta di sistema elettorale online o basato su blockchain è necessario dare agli elettori gli strumenti per comprendere meglio le sue implicazioni sulla sicurezza.
L’espressione semplicistica che un sistema sia sicuro, o che sia stato valutato, eventualmente in segreto e senza alcuna esposizione pubblica di una analisi che risponde alle seguenti domande, dovrebbe essere guardata con sospetto. Ogni sistema, anche il meno open e più proprietario dovrebbe fornire adeguate risposte ad ognuna di queste domande e coloro che dovranno votare in un sistema del genere hanno ogni diritto di ottenere le seguenti informazioni.
Gran parte di questo elenco è fondato su precedenti esempi di errori negli schemi di voto su Internet, da domande poste da esperti che coinvolgono sistemi basati su blockchain del passato, nonché dall’indagine sui problemi aperti E2E -V sistemi di Bernhard et al.
Questa è la versione adottata dal CRVD sulla base dell’articolo di Park et al. a cui si fa ampio riferimento. È di prossimo insediamento un gruppo di lavoro indipendente che revisionerà il documento prendendo in considerazione anche aspetti ulteriori del processo elettorale.
L’elenco qui presente quindi non vuole essere completo ma certamente è una traccia essenziale da seguire per avere una adeguata consapevolezza del sistema che si sta adottando.
Sebbene le questioni sollevate qui riguardano principalmente la sicurezza del sistema di voto, piuttosto che altri aspetti importanti dei sistemi di voto (ad esempio, usabilità, costo, accessibilità, ecc.), la sicurezza non può essere raggiunta semplicemente verificando meccanicamente una lista di controllo. Anche venissero date risposte adeguate a tutte le domande qui presenti, il sistema potrebbe comunque essere insicuro.
Inoltre non esistono risposte giuste, ma bisogna comunque porsi queste domande, e provare a rispondere aiuta ad evidenziare o fa emergere le lacune nel ragionamento, le ipotesi inadeguate ed i problemi di implementazione.
Un sistema di voto elettronico adottato senza dare almeno una risposta a tutte queste domande è difficilmente un sistema di voto elettronico adottato con chiarezza e consapevolezza.
Per valutare le proposte del sistema di voto online o basato su blockchain con un livello di trasparenza di base a cui il pubblico ha diritto riteniamo necessario quindi porsi e rispondere a queste domande.
Questo, a parere del CRVD può essere un buon inizio ed un valido punto di partenza per pensare ad una riforma così importante, quasi essenziale per la democrazia interna di ogni organizzazione (e poi a maggior ragione dell’amministrazione della cosa pubblica)
I – Classi di utenti
Nelle elezioni intervengono un certo numero di parti interessate e di avversari che possono essere o no insiemi tra loro disgiunti. Chi è interessato a far fallire o manipolare un’elezione potrebbe essere quindi parte stessa dell’elezione, a qualsiasi livello.
I gruppi coinvolti potrebbero includere il pubblico, compresi gli osservatori che potrebbero non essere elettori, i candidati, gli elettori, i funzionari elettorali, i lavoratori del sondaggio, i revisori, inclusi gli osservatori stranieri, i progettisti di sistemi ed i fornitori.
Delineare formalmente ruoli, responsabilità e poteri di questi individui (o meglio gruppi) è un primo passo necessario nell’analisi e costituisce una necessaria imprescindibile premessa per affrontare i più fondamentali requisiti per il voto in democrazia.
Solo dopo che l’elenco dei gruppi è ben compreso, è possibile porsi utilmente domande come:
II – Obiettivi di sicurezza e modello di minaccia
Dopo che gli attori nelle elezioni sono stati definiti e i primi requisiti delineati, dopo che si è diffusa la consapevolezza sulla criticità relative agli attori in gioco si può iniziare a progettare un modello di minaccia per l’elezione.
Vale la pena notare che i sistemi elettorali spesso differiscono per molte caratteristiche che riguardano i requisiti iniziali, il modello gestionale, sull’importanza relativa dell’elezione e, quindi, su quale tipo di avversari ci si aspetta, sui poteri dei partecipanti. Tutto ciò determina gli obiettivi che ha un sistema elettorale.
Un elenco non esaustivo di minacce da considerare dovrebbe includere almeno:
III – Progetto del meccanismo di sicurezza
Al modello di minaccia descritto (ed alle conseguenti domande e risposte indicate) nella sezione precedente, si risponde elaborando un modello di sicurezza nel quale sono esplicitate le protezioni necessarie al corretto funzionamento del sistema.
Le domande sulla progettazione del meccanismo di sicurezza ci aiutano a capire come funziona il sistema, come soddisfare gli obiettivi descritti nel modello di sicurezza, e, quindi, come rispondere al modello di minaccia descritto.
IV – Verifiche elettorali
Un obiettivo chiave di un’elezione è dimostrare a chi perdente che ha perso.
Il sistema elettorale deve, quindi, fornire prove convincenti a tutti, ma soprattutto ai perdenti, che il risultato elettorale è corretto. Soprattutto il risultato non muta, né può mutare, anche a seguito del più intenso controllo.
V – Controllo e trasparenza
Fornire prove adeguate dell’esito della consultazione, con particolare riferimento alla correttezza del processo elettorale, si basa anche sulla capacità del pubblico di eseguire analisi autonome sul sistema anche per aiutare a trovare e correggere potenziali difetti.
Tale analisi non solo fornisce la miglior prova che il sistema è sicuro ma è cruciale per fare in modo che il pubblico abbia fiducia nel sistema. La legittimità del sistema passa necessariamente attraverso la conoscenza, la piena conoscibilità, del sistema stesso diffusa in ogni singolo individuo che partecipa del processo elettorale.
VI – Crittografia, credenziali e PKI
Molti schemi che richiedono componenti elettronici fanno un uso massiccio della crittografia e spesso richiedono anche che gli elettori e gli amministratori mantengano le chiavi pubbliche e private. Come accennato brevemente nelle sezioni precedenti, la gestione e la verifica delle chiavi sono di per sé una sfida che dovrebbe essere studiata.
VII – Logistica
Il modello di minaccia, il progetto e la crittografia contano molto poco se l’effettivo utilizzo sul campo del sistema aggira queste restrizioni. Le domande operative ci consentono di esplorare cosa dovrebbe accadere nel caso in cui la realtà differisca da ciò che ci aspettiamo.
VIII – Privacy operativa
Le elezioni pretendono necessariamente di avere a disposizione informazioni private sugli elettori, inclusi luogo, indirizzo, data di nascita, affiliazione ad una qualche parte in gioco e altro. Tali informazioni possono essere oggetto di abuso in molti modi, inclusi attacchi di disinformazione, e dovrebbero essere fortemente protette.
IX – Distorsioni nel pubblico
Indipendentemente dal fatto che siano elettronici o fisici i procedimenti elettorali possono privilegiare o dissuadere la partecipazione di alcune specifiche classi di elettori. Questa distorsione può avvantaggiare o svantaggiare particolari liste o candidati. Per questo motivo bisogna comprendere attivamente questi sbilanciamenti ed eventualmente mettere in campo degli specifici correttivi, sia di natura tecnica che organizzativa:
Conclusione
Questo esteso elenco di domande è in continuo aggiornamento. A tutti i lettori chiediamo di collaborare, anche criticamente, per definire al meglio questi aspetti.
È raro che i promotori di un sistema di voto elettronico rispondano con completezza alle domande qui indicate, eppure nessuna di queste è difficile, astrusa o immotivata. Come il voto elettronico, anche per il voto cartaceo (nelle varie forme in cui esiste) è possibile porsi i problemi qui indicati. Abbastanza facilmente molte persone, anche in assenza di particolari competenze, potrebbero dare risposte ragionevoli a queste domande in quanto il processo elettorale tradizionale è, almeno nelle sue linee essenziali, conosciuto e diffuso (per quanto è possibile che alcuni dettagli sfuggano). Ci aspettiamo che, prima di essere adottati, i sistemi elettorali mediati dai computer dovranno raggiungere lo stesso livello, se non superiore, di condivisione.