On 2014-11-04 20:24, Fabio Pietrosanti - lists wrote:

On 11/4/14 10:44 AM, M. Fioretti wrote:

...

il titolo di quel documento fa danno al suo contenuto, che non se lo merita! Chiamarlo "votazioni elettroniche" lo accomuna a tutta la fuffa di voto effettivamente con computer, in seggio o da casa, di cui invece il documento stesso dimostra i limiti. Il titolo giusto secondo me dovrebbe essere "Gestione digitale dei risultati del voto" o qualcosa del genere .

Il problema è che quando un politico dice "voto elettronico" si immagina via web o con un tablet su cui cliccare molto "touch" :-)

Se vogliamo essere realisti e e conservativi in termini di tutele democratiche, dobbiamo dirci che è possibile digitalizzare *tutti i processi* di voto, inclusa la conta (purchè vi sia fallback manuale), ma non "l'espressione del voto" .

secondo me PURE la conta deve rimanere manuale ma di questo dovremmo discuterne a parte. Confermo che, proprio perché il resto della proposta mi piace, chiamarla "voto elettronico" mi sembra fuorviante.

Secondo me ci sono due cose assolutamente da evitare, quando si parla di questi temi: - voto a distanza - voto presso seggio esprimendo il voto tramite un dispositivo informatico

appunto. Se pensi questo per me hai ragione, ma sbagli a chiamare voto elettronico quello che rimane, invece di "gestione elettronica delle votazioni" o qualcosa del genere. Quanto a scantegrity, per ora: 1) in principio, continuo a ritenere qualsiasi conta elettronica e qualsiasi "accessorio" di verifica della medesima e dell'integrità del voto non necessario, qualcosa che crea più problemi e rischi di quanti ne risolve. 2) Nel caso in questione: Scantegrity o simili possono avere un senso nelle votazioni locali alla californiana, dove su ogni scheda, ogni volta, non solo ci stanno anche 10/20 referendum locali ma tutte le domande devono anche essere tradotte in più lingue. Cioè dove sia il voto sia lo spoglio sono oggettivamente ordini di grandezza più complicati dei nostri. Ma in Italia, dove tutte le schede di qualsiasi elezione che ho visto da decenni sono roba che chiunque si sia **meritato** la licenza di terza elementare può compilare o scrutinare a mano in 5/10 secondi... metterci sopra scantegrity o simili mi sembra spendere per crearseli, dei problemi. Maremma elettorale, ma ci rendiamo conto che per come votiamo noi basterebbe aggiungere 30 Euro di webcam e una connessione temporanea in ogni seggio per rendere un meccanismo di spoglio già N volte più robusto della conta elettronica (X rappresentanti di partiti diversi che si controllano a vicenda mentre contano a mano) ancora più robusto? Marco -- http://mfioretti.com

addeundum: sto notando che non è possibile scaricare l'articolo su ACM che comunque è disponibile qui: Il martedì 4 novembre 2014 14:45:00 CEST, mutek ha scritto:

Il martedì 4 novembre 2014 09:21:08 CEST, Fabio Pietrosanti - lists ha scritto:

...

Ciao a tutti,

volevo condividere un piccolo esercizio che realizzai un paio d'anni fa sull'analisi ed elaborazione di un sistema di voto elettronico per l'italia, inclusivo di una stima di budget per l'implementazione ed esecuzione.

E' frutto di un paio di giorni di lavoro, quindi limitato ma è stato un esercizio stimolante che magari può essere utile a qualcun'altro in futuro:

Innovazione ed efficienza del sistemi di voto

https://docs.google.com/document/d/1xutcvqEwe2tvcUhTh7eSEyf3_CS_sv4-saC8RlK1...

...

Razionali di budget

https://docs.google.com/spreadsheet/ccc?key=0Ak268BK3W4GVdGUyMXhsNjhBdDVTN1F...

...

con massimo rispetto questi due documenti non dicono molto ed in particolare la parte numerica sintetica è di impossibile accettazione da parte di qualsiasi scienziato ai fini del proseguimento di questo tentativo.

Pero trovo interessante aggiungere un elemento di valutazione che potrebbe servire ad integrazione, in particolare per chi non lo conoscesse c'è un ricercatore David Bismark che ha prodotto un lavoro su un sistema di voto elettronico verificabile:

Prêt à voter: a voter-verifiable voting system http://dl.acm.org/citation.cfm?id=1720427&CFID=594648987&CFTOKEN=72520885&pr...

riferimento usabile: http://www.pretavoter.com/

una spiegazione pratica qui: http://evoting.bismark.se/verifiable-electronic-voting/

un sommario veloce:

Prêt à Voter is a voting system that provides verification of the ballot. It allows voters to verify that their votes have been included in the count while ensuring their vote remains secret. It also assures the integrity of the election - that the final result corresponds to the votes cast - and allows independent verification of the count. Prêt à Voter provides voters with a familiar voting experience, integrated with an electronic system to process the votes and to provide the security guarantees. The system supports elections involving selection of a single candidate, selection of multiple candidates, lists of preferences, and multiple races on a single ballot. Voting with Prêt à VoterA compted ballot

Voters mark their selection on a paper ballot form in the usual way against the candidates available. The key novelty is that the candidates are listed in a random order, which varies from ballot to ballot.

When the vote has been written on the ballot paper, the candidate list is detached and destroyed. The result is a marked voting slip which indicates the position of the vote, but not who it is for. The voting slip is read into the system, and a receipt is returned to the voter. The receipt records the position of the marked vote and the voter retains the receipt for later confirmation of the vote.

The right hand side of a ballotAfter the poll, the system publishes on a public web bulletin board the receipts of all the votes it has accepted. Any voter can confirm that their vote has been included in the ballot, by looking up their receipt and checking that their receipt matches what is published. This also provides protection against fraud: if votes are not included, then voters can use their receipts to challenge the process.

The system works the same way if there are multiple votes or preferences to be cast.

How it works

To be able to process the votes after they have been cast, the voting slip includes a code (included as a 2-D bar code) containing the candidate list in encrypted form. The encryption means that the list cannot be extracted without a threshold number of decryption keys, and each of these keys is held by a different trusted party within the system.

A ballot form can be randomly audited and its code decrypted to confirm that the candidate list has been printed correctly.

Once the votes have been cast, the system shuffles them together and decrypts them using the decryption keys to identify the choices indicated on the marked voting slips. The votes can then be tallied to obtain the election result.

The shuffling of all the votes means that no individual voting slip or receipt can be linked to any particular reconstructed vote. This protects the secrecy of the vote even with the receipt.

As well as publishing the accepted voting slips, the bulletin board also lists all of the decrypted votes. The shuffling and decryption is done in a verifiable way: independent parties can confirm that the published list of decrypted votes corresponds to the published list of received voting slips. This means that the votes to be counted are exactly the votes that were cast. However, independent parties cannot link any particular voting slip to any particular vote.

Once all the reconstructed votes are published, then anyone can check that the counting has been done correctly.

Secret Ballot

The system provides the same level of ballot secrecy as systems currently in real use. Even though a receipt is provided, it does not leak any information about the voter's choice of candidate.

The marked position on the receipt does not leak information The receipt only contains the marked position of the vote, and not who the vote was for. The fact that the list of candidates was random means that the marked position could correspond to any choice, and so the chosen candidate cannot be identified from the position of the vote cast. The encrypted candidate order does not leak Although the candidate order is included on the ballot slip to allow the vote to be reconstructed, this is strongly encrypted, and cannot be decrypted without all of the decryption keys. These are distributed to trusted parties across the election system, and no-one has more than one key. The bulletin board does not leak information The shuffling of the votes before decryption ensures that the receipt cannot be associated with its decrypted version. An external party only knows that the receipt corresponds to some decrypted vote on the list, but cannot know which.

These measures together ensure that the vote associated with a receipt cannot leak. The system provides ballot secrecy.

Integrity: end-to-end verifiability

The Prêt à Voter system provides transparent assurance that the final result reflects the votes cast.

Each stage that the votes go through in the system, from vote casting, through to the election result itself, can be independently verified.

All cast votes are included Voters themselves confirm that their votes have been included in the tally, by checking their receipts on the web bulletin board. All included votes are correctly decrypted Checking that the shuffling and decryption have been done properly can be carried out by independent parties. The way the cryptography is used means that as well as decrypting the votes, the system also publishes mathematical proofs that the decrypted votes correspond to the collection of votes that were included. These proofs can be independently verified by anyone. The decrypted votes are correctly counted Since the decrypted votes are made public, anyone can independently carry out the count and check the official result.

Once all the reconstructed votes are published, then anyone can check that the counting has been done correctly. The integrity of the election is ensured by these checks, and does not need to rely on trust in the voting equipment or the election officials.

buona lettura

Scusa, forse mi è sfuggito, ma non mi pare che risulti chi sia l'autore del commento. Poichè vengono espressi giudizi, credo che conoscerne la fonte possa essere a tutti utile. AM On Tue, 04 Nov 2014 14:45:00 +0100 mutek <mutek@riseup.net> wrote:

Il martedì 4 novembre 2014 09:21:08 CEST, Fabio Pietrosanti - lists ha scritto:

...

Ciao a tutti,

volevo condividere un piccolo esercizio che realizzai un paio d'anni fa sull'analisi ed elaborazione di un sistema di voto elettronico per l'italia, inclusivo di una stima di budget per l'implementazione ed esecuzione.

E' frutto di un paio di giorni di lavoro, quindi limitato ma è stato un esercizio stimolante che magari può essere utile a qualcun'altro in futuro:

Innovazione ed efficienza del sistemi di voto https://docs.google.com/document/d/1xutcvqEwe2tvcUhTh7eSEyf3_CS_sv4-saC8RlK1...

Razionali di budget https://docs.google.com/spreadsheet/ccc?key=0Ak268BK3W4GVdGUyMXhsNjhBdDVTN1F...

con massimo rispetto questi due documenti non dicono molto ed in particolare la parte numerica sintetica è di impossibile accettazione da parte di qualsiasi scienziato ai fini del proseguimento di questo tentativo.

Pero trovo interessante aggiungere un elemento di valutazione che potrebbe servire ad integrazione, in particolare per chi non lo conoscesse c'è un ricercatore David Bismark che ha prodotto un lavoro su un sistema di voto elettronico verificabile:

Prêt à voter: a voter-verifiable voting system http://dl.acm.org/citation.cfm?id=1720427&CFID=594648987&CFTOKEN=72520885&pr...

riferimento usabile: http://www.pretavoter.com/

una spiegazione pratica qui: http://evoting.bismark.se/verifiable-electronic-voting/

un sommario veloce:

Prêt à Voter is a voting system that provides verification of the ballot. It allows voters to verify that their votes have been included in the count while ensuring their vote remains secret. It also assures the integrity of the election - that the final result corresponds to the votes cast - and allows independent verification of the count. Prêt à Voter provides voters with a familiar voting experience, integrated with an electronic system to process the votes and to provide the security guarantees. The system supports elections involving selection of a single candidate, selection of multiple candidates, lists of preferences, and multiple races on a single ballot. Voting with Prêt à VoterA compted ballot

Voters mark their selection on a paper ballot form in the usual way against the candidates available. The key novelty is that the candidates are listed in a random order, which varies from ballot to ballot.

When the vote has been written on the ballot paper, the candidate list is detached and destroyed. The result is a marked voting slip which indicates the position of the vote, but not who it is for. The voting slip is read into the system, and a receipt is returned to the voter. The receipt records the position of the marked vote and the voter retains the receipt for later confirmation of the vote.

The right hand side of a ballotAfter the poll, the system publishes on a public web bulletin board the receipts of all the votes it has accepted. Any voter can confirm that their vote has been included in the ballot, by looking up their receipt and checking that their receipt matches what is published. This also provides protection against fraud: if votes are not included, then voters can use their receipts to challenge the process.

The system works the same way if there are multiple votes or preferences to be cast.

How it works

To be able to process the votes after they have been cast, the voting slip includes a code (included as a 2-D bar code) containing the candidate list in encrypted form. The encryption means that the list cannot be extracted without a threshold number of decryption keys, and each of these keys is held by a different trusted party within the system.

A ballot form can be randomly audited and its code decrypted to confirm that the candidate list has been printed correctly.

Once the votes have been cast, the system shuffles them together and decrypts them using the decryption keys to identify the choices indicated on the marked voting slips. The votes can then be tallied to obtain the election result.

The shuffling of all the votes means that no individual voting slip or receipt can be linked to any particular reconstructed vote. This protects the secrecy of the vote even with the receipt.

As well as publishing the accepted voting slips, the bulletin board also lists all of the decrypted votes. The shuffling and decryption is done in a verifiable way: independent parties can confirm that the published list of decrypted votes corresponds to the published list of received voting slips. This means that the votes to be counted are exactly the votes that were cast. However, independent parties cannot link any particular voting slip to any particular vote.

Once all the reconstructed votes are published, then anyone can check that the counting has been done correctly.

Secret Ballot

The system provides the same level of ballot secrecy as systems currently in real use. Even though a receipt is provided, it does not leak any information about the voter's choice of candidate.

The marked position on the receipt does not leak information The receipt only contains the marked position of the vote, and not who the vote was for. The fact that the list of candidates was random means that the marked position could correspond to any choice, and so the chosen candidate cannot be identified from the position of the vote cast. The encrypted candidate order does not leak Although the candidate order is included on the ballot slip to allow the vote to be reconstructed, this is strongly encrypted, and cannot be decrypted without all of the decryption keys. These are distributed to trusted parties across the election system, and no-one has more than one key. The bulletin board does not leak information The shuffling of the votes before decryption ensures that the receipt cannot be associated with its decrypted version. An external party only knows that the receipt corresponds to some decrypted vote on the list, but cannot know which.

These measures together ensure that the vote associated with a receipt cannot leak. The system provides ballot secrecy.

Integrity: end-to-end verifiability

The Prêt à Voter system provides transparent assurance that the final result reflects the votes cast.

Each stage that the votes go through in the system, from vote casting, through to the election result itself, can be independently verified.

All cast votes are included Voters themselves confirm that their votes have been included in the tally, by checking their receipts on the web bulletin board. All included votes are correctly decrypted Checking that the shuffling and decryption have been done properly can be carried out by independent parties. The way the cryptography is used means that as well as decrypting the votes, the system also publishes mathematical proofs that the decrypted votes correspond to the collection of votes that were included. These proofs can be independently verified by anyone. The decrypted votes are correctly counted Since the decrypted votes are made public, anyone can independently carry out the count and check the official result.

Once all the reconstructed votes are published, then anyone can check that the counting has been done correctly. The integrity of the election is ensured by these checks, and does not need to rely on trust in the voting equipment or the election officials.

buona lettura

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Avv. Alessandro Mantelero, PhD Aggregate Professor, Politecnico di Torino Director of Privacy and Faculty Fellow, Nexa Center for Internet and Society Research Consultant, Sino-Italian Research Center for Internet Torts at Nanjing University of Information Science & Technology Programme Coordinator, Double Degree program in Management and IP Law, Politecnico di Torino–Tongji University of Shanghai http://staff.polito.it/alessandro.mantelero http://works.bepress.com/alessandro_mantelero/ Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy in libertate fortitudo

segnalo questo video, anche io in ritardo sul thread, trovato sul sito EFF http://vimeo.com/111230880 Il 08/11/2014 00:41, Maurizio Napolitano ha scritto:

Ciao Fabio so di arrivare in ritardo su questo thread, ma sono stato parecchio impegnato (= mi sono sposato 2 settimane fa). Ci tengo ad intervenire in quanto, a suo tempo (e a mio malgrado), ho lavorato sul progetto ProVotE della Provincia Autonoma di Trento. Proprio quel progetto dove si è andati a creare una macchina di voto elettronico. Qui un video che racconta un po' la storia https://www.youtube.com/watch?hl=it&v=gh8e46oMLDw&gl=IT

Aggiungo una nota: il Friuli Venezia Giulia è l'unica Regione italiana che ha effettuato anche una votazione legale con sistema elettronico. Per fare questo ha modificato una legge (lo può fare in quanto regione autonoma). Nel caso specifico però è per le votazioni meno "invasive" come il referendum consultivo ed è stato utilizzato in occasione della consultazione per unire i comuni di Campolongo al Torre e Tapogliano

Venendo alla mia esperienza. Premetto che quando mi sono occupato di voto elettronico non era che brillavo di gioia, però ho avuto modo di affrontare la questione a lungo. Faccio una sola considerazione pratica (che in parte Meo ha già risolto): le votazioni funzionano attraverso una serie di processi che possono essere verificati e sotto il controllo di diversi attori, il voto elettronico ha i suoi limiti e solo spostando l'attenzione verso il controllo incrociato dei processi può dare risultato.

ProVotE si è proposto di essere un sistema in grado di rimanere all'interno delle specifiche attuali che regolano le votazioni permettendosi solo di sostituire il pezzo di legge che parla di voto espresso su carta e matita copiativa, con "macchina di voto". Di fatto si è partito a sperimentare una cosa che già funziona bene con il fine di creare uno strumento che: - rispetti delle leggi attuali (se non per la questione della matita) - permetta spogli veloci - non permetta la creazione di errori nella scheda in maniera involontaria es. ci sono sistemi di votazione dove non è permesso il voto disgiunto (della serie "mi piace quella persona, ma voto questo partito che non lo sostiene"), e spesso accade che le schede vengano annullate

Non entro nei dettagli, di fatto (e qui uno dei punti deboli), ProVotE non era altro che una macchina per permettere ad un elettore di stampare il proprio voto. Lo spoglio poteva essere fatto in tre modi: spoglio automatico, conteggio delle stampe manuale, conteggio delle stampe automatizzato. Potrei dilungarmi sul modo con cui le macchine venivano installate, il modo con cui il software veniva inizializzato, l'uso delle smartcard ecc... Ci tengo a precisare però che erano presenti degli appositi scrutatori (detti "scrutatori elettronici").

Concludo infine ricordando che il voto è fatto da tantissimi processi e, per quello che riguarda poi la raccolta dei voti, la loro aggregazione e successiva pubblicazione già esistono soluzioni usate dalla PA italiana (fra i più noti un prodotto di INSIEL). Lo scenario prevede che la documentazione degli aggregati prodotta da ogni singolo seggio, venga portata presso un plesso, dove - attraverso data entry manuale di una persona - vengono inseriti su un server centrale e da lì calcolati e mostrati a schermo in maniera incrementale. Di fatto uno scenario abbastanza debole sul fronte tecnico, ma garantito dalla fiducia verso i processi.

Sul piano personale credo che: - il voto elettronico necessita di processi di verifica per creare fiducia - quando avremmo un clima di fiducia valido, allora sarà possibile creare un sistema di voto elettronico cambiando anche le leggi che attualmente regolano quello tradizionale _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa