Siguiente: Igual y Secreto Superior: Voto Electr�nico y Software Anterior: Libre

Directo

La palabra Directo conlleva

• La no existencia de delegaci�n del voto
• La implicaci�n personal del votante en el proceso de votaci�n

Se plantea el problema de la Autentificaci�n del voto y del votante. Debemos garantizar que quien vota es quien dice ser, que no existen problemas de "suplantaci�n de personalidad", y que cuando el votante ejerce su derecho, �ste se lleva a cabo.

El problema de la autentificaci�n

En lenguaje inform�tico tenemos cuatro problemas diferenciados:

1.

La autentificaci�n y certificaci�n de la m�quina desde la que opera el votante

2.

La autentificaci�n y certificaci�n del servidor o servidores del sistema de votaci�n

3.

La identificaci�n del votante

4.

La verificaci�n del sistema de voto

Procedimientos de identificaci�n del votante

Dejaremos el �ltimo punto para el pr�ximo cap�tulo. Los tres primeros corresponden a los conocidos problemas de certificaci�n, comunes en los sistemas de comercio electr�nico. Tenemos diversas alternativas:

• La primera, y que se debe rechazar sin dudarlo un momento es el uso de sistemas de cookies para proceder a la identificaci�n. La naturaleza de este m�todo ( un sistema de marcas que el servidor deja en el cliente para una posterior identificaci�n y seguimiento ) lo hace inviable para nuestra aplicaci�n. No es posible fiarse de la m�quina cliente para proceder a la identificaci�n de un votante. Las cookies se copian, borran, modifican, etc, sin ning�n control por parte del servidor. Es garant�a segura de impugnaci�n de voto
• Un procedimiento mejorado, implica el uso de claves por parte del usuario. En este caso, es responsabilidad del votante, mantener un sistema de claves para:
  • Registrarse en el sistema de voto
  • Proceder al ejercicio del voto

  Diferenciamos estos dos procesos porque corresponden a operaciones distintas. En la primera el usuario se identifica ante la base de datos. Corresponde al punto de acceso al sistema. El segundo caso es cuando el votante quiere ejercer su derecho al voto y as� lo manifiesta: el sistema le proporciona medios adicionales para ello.
  Uno puede preguntarse la necesidad de esta disociaci�n. Tiene dos motivos: El primero es de organizaci�n. Son operaciones diferenciadas. El segundo es de seguridad adicional: es perfectamente posible que el sistema mantenga diversas consultas simult�neas, y debe independizarse en lo posible cada una de ellas, de manera que el votante expresamente decida d�nde, como y cuando participar en cada una de ellas ( recordemos el principio de libertad )

• Podr�amos utilizar un sistema de cookies para, una vez autentificado el usuario, que �ste acceda libremente al sistema de voto. Esto no es recomendable, pues recordemos que el protocolo HTML es sin estado, y no tiene el concepto de sesi�n, con lo que se podr�an falsificar las cookies, o en el caso de que el usuario abandonara el equipo, alguien usurpara su puesto. Por otro lado, el sistema de doble clave permite separar el proceso de solicitud del derecho al ejercicio del voto, a su realizaci�n efectiva, lo que puede tener ventajas en ciertos casos ( por ejemplo, cuando es necesario lograr un quorum para poder votar )
• El tercer nivel de seguridad est� basado en el uso de protocolos encriptados y de agentes de certificaci�n. Con el primero, garantizamos el secreto, tanto de las claves como de los diversos datos de la consulta y del usuario. Con el segundo, autentificamos y certificamos de una manera segura y fiable, el origen, destino y personalidad de los participantes

Casi todos los sistemas de consulta electr�nica existentes en la actualidad est�n basados en el uso de cookies. No son v�lidos mas que para encuestas, sondeos de opini�n, etc. Unos pocos se basan en sistemas de claves, pero s�lo para autentificar al votante. El programa desarrollado por el autor lleva el sistema de doble clave para identificaci�n y derecho al voto.

Las claves se comunican al usuario mediante correo electr�nico. En funci�n del sistema se utilizaran o no mensajes encriptados, siendo com�n el uso de PGP para su encriptaci�n

No he encontrado todav�a ning�n sistema de voto electr�nico que utilize sistemas de certificaci�n electr�nica. Realmente deber�a ser un requisito imprescindible para un sistema de voto, pues es el �nico capaz de certificar y autentificar completamente a un usuario.

Hay que tener en cuenta que el voto electr�nico es una suerte de transacci�n electr�nica. La legislaci�n espa�ola contempla el uso de firmas y certificados digitales, por lo que un sistema basado en �stas ser�a completamente v�lido y legal.

Como resultado de �ste an�lisis, tenemos ahora tambi�n un sistema basado en certificados digitales, con realimentaci�n al usuario mediante correo electr�nico encriptado, y con sistemas de doble clave para registro y emisi�n de voto.... Los lectores que hayan hecho la Declaraci�n de la Renta 1999 por Internet sabr�n del engorro que significa el procedimiento de obtenci�n de certificados digitales.... y sin embargo no es sino lo que hacemos cuando presentamos el Documento de Identidad ante la mesa electoral: garantizar que somos nosotros y no otro quien vota. La normativa Espa�ola es de las m�s avanzadas de Europa en cuanto aceptaci�n de firmas digitales, siendo de las pocas que permite que ciertos tr�mites administrativos puedan realizarse a trav�s del Web. En este caso, el voto viene a ser un tr�mite m�s.

La figura ilustra un esquema de autentificaci�n basado en certificaci�n digital. B�sicamente los pasos son:

• Cuando el servidor desea proceder a la comunicaci�n encriptada y certificada ante sus clientes, primero debe proceder a autentificarse en una autoridad reconocida de certificaci�n. Dicha autoridad signa con su clave privada la clave p�blica del servidor
• El servidor, cuando desea enviar un mensaje a un cliente, lo signa con su clave privada, y le acompa�a de la certificaci�n digital recibida de la autoridad
• El cliente recibe el mensaje y la firma digital. Autentifica la firma a trav�s de la clave p�blica de la autoridad de certificaci�n, obteniento entonces la clave p�blica certificada del servidor, y utilizando�sta para desencriptar el mensaje del servidor
• El procedimiento reciproco se utiliza por parte del servidor para autentificar los mensajes que el cliente le env�e

Figura: Sistemas de certificaci�n digital