Siguiente: Aplicaciones de voto electr�nico Superior: Voto Electr�nico y Software Anterior: Directo

Igual y Secreto

El problema de la Confiabilidad

"Igual y Secreto". Estas dos palabras introducen el concepto de la Fiabilidad y la Confiabilidad en el sistema de votaci�n.

• ¿C�mo puede saber un votante, que no hay "pucherazo electr�nico"?
• ¿C�mo puede el votante tener garant�a de que su voto es realmente secreto?
• ¿Qu� mecanismos de supervisi�n se pueden poner en marcha?
• ¿Qu� ventajas nos aporta el software libre respecto al tema de la confiabilidad?
• ¿Qu� sistemas se pueden implementar para evitar pucherazos intencionados o no?
• Ante ca�das del sistema, ¿c�mo puedo recuperar el estado anterior para que la votaci�n no quede invalidada?
• ¿Hasta que punto el sistema es fiable, y resistente a ataques?
• ¿Es el servidor de voto seguro? ¿C�mo garantizar un "a prueba de Hackers"?

Por un sistema Confiable entendemos aquel en el que no se hace trampas, en el que se garantiza que el sistema funciona s�lamente como se prevee que va a funcionar, sin puertas traseras ni trampas ocultas que modifiquen los resultados

Por otro lado un sistema Fiable es aquel sistema que es capaz de funcionar en condiciones adversas, que se recupera ante fallos, que incorpora mecanismos de seguridad espec�ficos...

Son las dos caras de la moneda del proceso de identificaci�n, recuento y verificaci�n de resultados.

Control de la confiabilidad en el sistema de voto tradicional

Para ponernos en antecedentes, repasemos el proceso de recuento de votos en un sistema tradicional:

1.

En la mesa existen presidente, secretario y dos vocales

2.

Adem�s cada partido pol�tico nombra a discrecci�n diversos interventores en cada mesa

3.

El usuario una vez autentificado y emitido el voto, queda registrado de manera que no puede volver a votar

4.

La urna garantiza el anonimato del voto

5.

El recuento se hace en vista p�blica

6.

El registro y acta de la votaci�n se hace por triplicado, envi�ndose los datos al Centro de Proceso de datos por tel�fono, y por correo certificado. Una de las copias del acta se lleva a la Junta Electoral de Zona, para ser utilizada en caso de discrepancias

7.

La introducci�n de datos se realiza por duplicado. Cada operador del centro de proceso de datos recibe una copia del acta, de manera que s�lo se contabilizan las actas cuando dos operadores introducen los mismos datos referidos a la misma mesa. En caso de discrepancias, un sistema de alarma hace entrar en juego al supervisor que contrasta los datos con la segunda copia del acta. En caso de dudas se acude a la junta electoral de zona, para cotejar con el tercer acta

8.

El ordenador est� permanentemente supervisado y mantenido en previsi�n de posibles ca�das. El sistema de presentaci�n de informaci�n es totalmente independiente del de conteo, de manera que en caso de ca�da de uno, -o de ataque- el otro no se ve afectado

9.

Por supuesto, un sistema de consultor�a y certificaci�n externa dependiente de la Junta Electoral Central garantiza que el ordenador hace lo que debe...

La confiabilidad en un sistema inform�tico de voto

Vamos a trasladar �sto al mundo electr�nico. Para ello vamos a identificar y tratar cada uno de los problemas por separado. El proceso de autentificaci�n fue tratado en el apartado anterior, por lo que no lo comentaremos m�s.

El secreto del voto

El concepto de Secreto del voto tiene varios aspectos:

• Secreto en las comunicaciones
• Secreto en la contabilidad
• Secreto en la informaci�n de datos parciales

Hemos visto que una adecuada encriptaci�n oculta las comunicaciones. No obstante, a�n es posible una mejora adicional: la fragmentaci�n de la informaci�n. No es lo mismo que circule un mensaje que diga "Jos� L�pez vota SI a la supresi�n de los ex�menes de Septiembre" que decir "El usuario 34 escoge la opci�n 2 de la consulta 14". En el primer caso basta con descifrar un mensaje; en el segundo hacen falta descifrar al menos cuatro.

El mejor m�todo para asegurar el secreto de la contabilidad es que �sta no exista. Para ello las tarjetas de voto de cada usuario, solo deben contener campos que digan si el usuario ha solicitado o no el voto, y si �ste ha sido emitido o no ( opcionalmente, la fecha de emisi�n). Del mismo modo cada opci�n de la consulta no almacena datos individuales, sino un contador. Los resultados son evaluados a la vez que se generan, no a posteriori.

Un �ltimo punto en este apartado lo representa, los aspectos de visibilidad de resultados parciales: en funci�n de la votaci�n, puede ser conveniente o no, presentar datos de participaci�n, resultados parciales, porcentajes, etc El sistema debe ser capaz de proporcionar esta flexibilidad a la hora de la elaboraci�n de consultas

La seguridad ( fiabilidad ) del sistema

El concepto de Seguridad lo medimos en:

• La protecci�n del sistema frente a ataques externos
• La protecci�n frente a ca�das o fallos en el software o en el equipo
• La protecci�n frente a manipulaci�n por parte del administrador

Puesto que trabajamos con un sistema que utiliza una serie de bases de datos, y dado que dicha base de datos est� sujeta a una serie de requerimientos legales en base a la LORTAD, estos puntos son de obligado cumplimiento. Especialmente severa es la LORTAD en cuanto al papel y actuaci�n del responsable del sistema y las sanciones por inclumplimiento de las normas establecidas. Entre estas, podemos citar la obligatoriedad de existencia de protocolos de actuaci�n, sistemas de encriptaci�n, mecanismos de backup y recuperaci�n, registro de incidencias, etc. Todo esto est� reglamentado y documentado en los en los reglamentos de aplicaci�n de la LORTAD, y su correcta aplicaci�n permiten confiar -hasta cierto punto- en el administrador. Realmente har�a falta una "Autoridad de emisi�n de consultas", al igual que existe una "Autoridad de emisi�n de certificados digitales"

La verificabilidad del sistema

El concepto de Verificabilidad incluye los puntos:

• Acceso al c�digo fuente del sistema de voto
• Acceso a los registros de funcionamiento
• Obtenci�n de certificados de autenticidad por parte de terceros
• Existencia de procedimientos de log que permitan resolver dudas e impugnaciones, manteniendo el car�cter de secreto del voto

Estos puntos garantizan que el votante puede conocer en todo momento, qu� hace, y como funciona el sistema. Para ello debe tener alg�n mecanismo adicional que le garantice que su c�digo corresponde a su binario, bien mediante firma digital, bien mediante acta notarial, o incluso mediante sistemas de acceso directo al c�digo del servidor

Los sistemas de registro y logging deben conjugar el registro de operaciones e incidencias, con el secreto del voto. Es admisible registrar que un usuario vot� en un momento dado pero no lo es registrar su voto

Software libre como medio ideal para generar sistemas confiables

El uso de software Libre proporciona el medio ideal para poder realizar los procesos de verificabilidad: si el votante tiene acceso al c�digo fuente, y tiene a su vez la certificaci�n de que dicho software es efectivamente el que se est� ejecutando en el servidor, los dem�s problemas son obviados, pues es directamente verificable en el c�digo que �ste hace lo que dice, y no otra cosa

Queda por resolver el problema del uso malintencionado del sistema. Se pueden utilizar t�cnicas de replicaci�n y de doble chequeo, como las que se utilizan en los recuentos electorales actuales. De esta manera, a menos que el administrador tenga acceso a TODOS los servidores de que consta el sistema, no podr� falsificar los datos de la consulta... En la pr�ctica suele ser m�s sencillo recurrir a supervisi�n y monitorizaci�n por parte de terceros.

Despues de leer todo este an�lisis, no le quedar� duda al lector de que el voto electr�nico es algo m�s que un simple contador. Est� claro que en bastantes casos muchos de estos requisitos no son necesarios, e incluso pueden significar un engorro por parte de los usuarios, pero no podemos olvidar que el ejercicio de la Democracia es un derecho constitucional, que debe estar garantizado y preservado. La legislaci�n y el sentido com�n obligan a todos estos condicionantes, que deben ser cumplidos para que el voto sea v�lido y la consulta representativa, ver�dica y que tenga validez ejecutiva

Una vez que nos hemos puesto tan serios, vamos a bajar al mundo real, y vamos a analizar los diversos sistemas de software libre que existen en la actualidad para el voto electr�nico, as� como las t�cnicas de certificaci�n, encriptaci�n, verificaci�n, etc de que disponemos los amantes del software libre.