da5id on 9 Jan 2001 00:26:54 -0000


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[nettime-lat] Entrevista con Adreu Riera




http://www.kriptopolis.com/dav/20010104.html

VOTO ELECTRÓNICO:
Entrevista a Andreu Riera


Por David Casacuberta
4 de Enero 2001
- ---------------------------------------------------------------------------
- -----


¿Podemos fiarnos de un sistema electrónico de votación? ¿Cómo se garantiza 
el anonimato en un sistema de votación con firma electrónica? Estas -y 
otras- preguntas y observaciones me plantearon algunos lectores después de 
un artículo mío en Kriptópolis donde comentaba un informe del CPSR en 
relación a las recientes elecciones norteamericanas.

Para solucionar estas y otras dudas similares me puse en contacto con 
Andreu Riera, sin duda una de las personas que más sabe de estos asuntos en 
nuestro país, y mantuvimos un interesante 'e-carteo' que cristalizó en la 
entrevista que ahora ofrecemos en exclusiva para los lectores de 
Kriptópolis.

Andreu Riera Jorba es un experto y consultor en voto electrónico, y 
actualmente está a punto de lanzar una iniciativa comercial centrada en 
estas cuestiones. El proyecto se encuentra actualmente en fase de búsqueda 
de socios capitalistas, estudiando también futuras alianzas estratégicas. 
Nuestro entrevistado es también pionero en la introducción de la 
inteligencia artificial en seguridad informática, y en breve esperamos 
ofrecer en Kriptópolis otra entrevista con él centrada en tan apasionante 
tema.


- ---------------------------------------------------------------------------
- -----


David Casacuberta: La votación electrónica implica conseguir a la vez dos 
objetivos que, a primera vista, parecen antitéticos: garantizar que el voto 
es legítimo (una persona, un voto) y garantizar a la vez el secreto de la 
votación. ¿Qué técnicas criptográficas se pueden utilizar para solucionar 
ese problema?

Andreu Riera: De hecho, la votación electrónica implica un mayor número de 
requisitos de seguridad. Además, hay más parejas de requisitos antitéticos 
como la que apuntas. Por ejemplo, el votante debe obtener un recibo de 
votación en el proceso de emisión del voto. Dicho recibo le permitirá 
verificar la presencia de su voto en el recuento final, así como demostrar 
posibles fraudes que se hayan cometido. No obstante, este objetivo se 
contradice con el requisito de la no coerción: la imposibilidad por parte 
del votante de demostrar cuál era su voto, con la finalidad de prevenir la 
compra de votos o la extorsión.
El voto electrónico es un caso paradigmático de aquellas situaciones, con 
complejos requisitos de seguridad, que surgen cuando un grupo de partes con 
desconfianza mutua tienen que cooperar sobre una red de ordenadores 
insegura.

Un protocolo seguro de votación electrónica requiere hacer uso de un número 
de mecanismos y técnicas criptográficas. Las soluciones no son triviales y 
muchas veces, en la práctica, se debe recurrir a depositar un punto de 
confianza en algunos de los elementos del sistema (módulos hardware 
'tamper-proof', por ejemplo).


DC: Desde el punto de vista criptográfico, ¿de cuántos sistemas de voto 
electrónico podemos hablar?

AR: En general, podríamos clasificar los esquemas criptográficos de voto 
electrónico en dos grandes grupos: aquellos basados en el concepto de 
'mixing' introducido por David Chaum en 1981 (o en alguna de sus siguientes 
variantes), y aquellos basados en funciones homomórficas de cifrado. Tanto 
unos como otros, no obstante, requieren muchas otras técnicas 
criptográficas, como firmas digitales o protocolos de conocimiento nulo, 
por ejemplo.


DC: Bruce Schneier afirma en su último Criptograma que nada puede sustituir 
a las papeletas físicas para garantizar que los recuentos se han hecho 
correctamente, y habla de imprimir una papeleta al mismo tiempo que se 
realiza la votación. ¿Estás de acuerdo, o hay métodos puramente 
electrónicos para garantizar que no existan pucherazos virtuales?

AR: En la misma línea del propio cambio de orientación que ha seguido 
Schneier en los últimos años, creo que se debe distinguir claramente el 
concepto de protocolo criptográfico de voto electrónico, del concepto de 
sistema de voto electrónico. El primero se expresa en un papel, 
especificando un número de pasos y de operaciones que el votante y el 
centro receptor de votos realizan conjuntamente. El segundo es un sistema 
implementado, instalado, y que opera en el mundo real para llevar a cabo 
votaciones. En el núcleo de un sistema de voto electrónico existirá por 
supuesto un protocolo criptográfico que determinará las características más 
íntimas del sistema, pero no obstante no hay que olvidar todas las demás 
capas que existen por encima de este núcleo. El propio software que 
implementa el protocolo criptográfico, por ejemplo, puede contener bugs 
(¿es que alguien lo duda?) que en un momento dado ocasionen algún problema 
en los resultados o en los votos que se aceptan.

Además, el problema con cualquier sistema de voto electrónico es que existe 
una nueva interfaz entre el votante y la urna. Esta nueva interfaz es opaca 
para el votante medio y una simple inspección ocular externa no sirve para 
verificar el comportamiento correcto del sistema.

La respuesta a la pregunta es que si pensamos exclusivamente en términos de 
protocolo criptográfico, te puedo asegurar que determinados protocolos 
aseguran sobre el papel la mayoría de requisitos de seguridad de un sistema 
de voto ideal. No obstante, si pensamos en un sistema de voto electrónico 
implementado y operando en un contexto real, los posibles errores, 
accidentes, y ataques a la seguridad se agudizan lo suficiente como para 
que sea prudente contar con el respaldo de una copia de los votos en papel. 
Este respaldo no perjudicaría muchas de las ventajas del sistema de voto 
electrónico (velocidad de recuento, por ejemplo). Además hay que pensar 
también en términos socio-legales y no sólo tecnológicos. El respaldo 
físico sería un elemento generador de confianza que permitiría una mayor 
penetración legislativa y social del voto electrónico.


DC: ¿Cómo se controla el elemento humano en un sistema de voto electrónico? 
Pensemos en un hacker malicioso que entre y modifique las votaciones, o que 
la propia administración haga un pucherazo y cree votos falsos o anule 
votos legítimos...

AR: Quien afirme que un sistema informático (del tipo que sea) es 100% 
seguro es que no sabe de lo que está hablando. De hecho, el propio mundo en 
el que vivimos no es ideal. Los sistemas de voto convencionales tampoco 
están exentos de problemas.

En las pasadas elecciones presidenciales norteamericanas este hecho ha 
quedado claramente evidenciado. En Florida, 19.000 votos se perdieron por 
las dificultades de uso de las papeletas basadas en tarjetas perforadas. 
Dos votos por correo aparecieron en Dinamarca. Si lo llevamos a un extremo, 
uno puede ir al colegio electoral y votar en nombre de su hermano gemelo si 
ha logrado hacerse con su DNI. Hasta podráamos argumentar que el voto 
convencional no garantiza 100% el anonimato de los votantes: las papeletas 
electorales que depositamos en la urna están llenas de nuestras propias 
huellas digitales.

Por otro lado, al hablar de atacantes a un sistema de voto electrónico, no 
debe pensarse exclusivamente en la figura del hacker que penetra en los 
sistemas servidores encargados de la recepción de los votos. Existen 
multitud de vías de ataque alternativas que deben ser analizadas. Los 
atacantes internos (como el suministrador de la tecnología de votación, por 
ejemplo) suponen una amenaza en mi opinión mucho más seria que los ataques 
de cracking externos. También atacantes privilegiados, como las autoridades 
electorales que mencionas, deben ser considerados. El eslabón probablemente 
más débil (en caso de permitir el voto remoto desde ordenadores 
personales), es la seguridad de las plataformas clientes de votación. Todos 
sabemos que los ordenadores personales y los sistemas operativos más 
ampliamente utilizados hoy en día son totalmente inseguros. El usuario 
medio es un administrador de la seguridad muy malo. Esto abre las puertas a 
ataques basados en virus o caballos de Troya que descansen entre el votante 
y el software de votación.

La cuestión es saber gestionar adecuadamente los riesgos existentes, justo 
como se ha hecho desde siempre. La seguridad en un sistema de voto 
electrónico debe considerarse muy seriamente. En el diseño e implantación 
de este tipo de sistemas, deben participar expertos que asistan durante 
todo el proceso.


DC: ¿Ves razonable en un futuro cercano la sustitución progresiva del voto 
en papel por el voto electrónico?

AR: Por voto electrónico se pueden entender varios tipos de sistemas. Hoy 
en día, de hecho, aunque el votante no vea ninguna electrónica, el recuento 
de votos ya implica en ciertos puntos algún tipo de transmisión o proceso 
informático. También podríamos hablar de sistemas electrónicos de captación 
de los votos (similares a los cajeros automáticos), o de votación remota a 
través de Internet mediante un navegador web. La variedad es amplia.

En todo caso, la "sustitución" no va a producirse en un futuro previsible. 
Creo que estamos ante una evolución de las prácticas democráticas y no ante 
una revolución. No se trata de sustituir, sino de complementar.

Lo que sí veo muy razonable es la palabra "progresivo". De hecho, en 
California (probablemente el punto del planeta donde más se ha estudiado la 
viabilidad del voto por Internet) la California Internet Voting Task Force 
recomendó la introducción del voto por Internet mediante cuatro fases. La 
primera implicará votar desde el propio colegio electoral mediante 
dispositivos especiales conectados a la Red. La segunda será esencialmente 
lo mismo, pero permitiendo el voto desde cualquier colegio electoral. La 
tercera permitirá el voto remoto desde terminales distribuidos en quioscos 
electorales en las calles o en bibliotecas públicas, por ejemplo. La cuarta 
fase implicará el voto remoto desde cualquier conexión a Internet.

Lo de "futuro cercano" creo que es irrefutable en cuanto a la fecha de 
inicio. En mi opinión, se debería empezar cuanto antes, para así poder 
ganar experiencia en el ámbito técnico y poder ganar aceptación social 
(¿qué opinaba la gran mayoría de la gente acerca de las tarjetas de crédito 
cuando éstas hicieron su aparición?, ¿y cuánta gente las utiliza hoy?). 
Empezar hoy, no obstante, no significa haber terminado mañana. Tal y como 
hemos argumentado, se trata de una implantación gradual. Se debe empezar 
por pruebas no vinculantes que permitan observar de cerca el comportamiento 
de este tipo de sistemas en un contexto real. Por ejemplo, pruebas 
paralelas a elecciones reales.

El debate en todo caso no es sobre si las nuevas tecnologías se van a 
incorporar en los procesos electorales, sino sobre cómo y a qué velocidad.



_______________________________________________
nettime-lat mailing list
nettime-lat@nettime.org
http://www.nettime.org/cgi-bin/mailman/listinfo/nettime-lat