Aftershock

Вход на сайт

Личный кабинет

Облако тегов

Общение с представителями сайта mos.ru по поводу тайны голосования

Аватар пользователя Oler

В ответ на пришедшее мне письмо с сайта mos.ru с предложением проголосовать электронным способом я задал вопрос по специальному адресу электронной почты, предложенному для выяснения неясного:

 

 

 

Ответ пришел на удивление быстро - на следующий день.

 

 

 

Ответ, естественно, меня не удовлетворил, о чем я не замедлил сообщить моим респондентам: 

 

 

 

Очень интересно, что они мне ответят... Надеюсь, так же быстро.

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Не забанил еще никого... и не собираюсь.
Отвечаю при наличии времени на ответ.
Удаляю комментарии, если они содержат оскорбления участников обсуждения и (при этом) не имеют отношения к теме. Не пишите ценные сообщения под такими комментариями, они могут быть потеряны.

Комментарии

Аватар пользователя alexsword
alexsword(9 лет 2 недели)(19:24:52 / 10-06-2020)

От программеров, имеющих доступ к БД и логам (а также хакерам, взломавшим систему и получившим такой доступ), ИМХО, никакой тайны нет и быть не может в IT системе.

А даже если такая защита и есть, все тщательно подтирается, и ведется только счетчик голосов, тогда возникнет уже вопрос о защите об багов :-)

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(19:29:43 / 10-06-2020)

А даже если такая защита и есть, все тщательно подтирается, и ведется только счетчик голосов, тогда возникнет уже вопрос о защите об багов :-)

Это былбудет мой следущий шаг))))) 

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(20:31:51 / 10-06-2020)
Аватар пользователя storm
storm(5 месяцев 3 недели)(20:47:21 / 10-06-2020)

А где сказано, что 1 июля будет использоваться именно эта реализация, статья декабрьская. Ну и все равно не понимаю как там предлагается обеспечить прозрачность. Исходники выложили - хорошо, а как проверить, что "продакшн" именно из них собран? Анонимность, но в начале же надо "авторизоваться", в классической схеме паспорт предъявить и чтоб тебя в списке избирателей нашли. И тут скорее всего через ГосУслуги авторизоваться надо будет. Ок, потом меня редиректит на формочку для голосования, а где гарантия, что параметры моего подключения не записаны куда надо (ip, логин пользователя, открытый ключ, чтобы соотнести потом с записью в блокчейне), как потом проверить, что запись в блокчейн внесена и такая как я хотел? 
Под такую историю нужен десктоп клиент, причем в виде исходников, чтоб каждый сам собрал, а через портал только некие "токены доступа" гражданам раздавать, чтоб потом с его использованием через клиент голосовать. Но широкие массы такое ни в жизнь не осилят.

Собственно, поэтому "бумажное голосование" при всей своей старомодности и не удобности мне видится лучшим вариантом.

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(21:16:28 / 10-06-2020)

Параноиков ждут на участках

Аватар пользователя storm
storm(5 месяцев 3 недели)(21:23:27 / 10-06-2020)

Ну вот всегда так, как аргументы кончились пошли звонкие заявления. А по сути речь о не возможности обеспечить при электронном голосовании полного соблюдения законодательства, в первую очередь в части соблюдения тайны голосования, а также о проблемах с независимым аудитом такого голосования. А вся аргументация вида "нужно доверять специалистам - они лучше знают" у меня кроме улыбки ничего не вызывает.

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(21:38:25 / 10-06-2020)

Так я вам подкину мыслей для недоверия специалистам - в инфракрасных лучах все биллютени пронумерованы QR-кодом, но увидеть номер может только товарищ полковник. Соответственно никакой тайны и на участках нет.

Аватар пользователя storm
storm(5 месяцев 3 недели)(21:45:55 / 10-06-2020)

  Вот  только бюллетень тебе тупо из стопки берут, а паспорт тупо со списком сверяют, т.е. этапа где твои паспортные данные и QR- код связывались бы и фиксировались нет, а еще можно поменяться с соседом. Вспоминая как в армии голосовали - паспорта на участке старшина раздал, сверили со списками, на столе напротив "комплекты бюллетеней", каждый взял по одному и пошел в кабинку "изъявлять волю" на выходе паспорт сдал обратно. 
  Ну и потом народ немало тех бюллетеней унес как сувениры, было бы там чего интересное давно нашли бы, провели бы так сказать "аудит на предмет наличия недокументированного функционала". А с информационной системой такой возможности нет.

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(22:13:37 / 10-06-2020)

Разноцветные волоски вклеены в бумагу - видели? Это и есть маркер. Каждый лист уникален. А тетя вписывает номер по порядку в журнал у каждой фамилии, зачем? По правилам голосуют по одному, меняться - секут наблюдатели. Выносят - ну и пусть, секрет не раскроют. Дальше будем играть или закончим?

Аватар пользователя Sheriff Tupper
Sheriff Tupper(1 год 2 недели)(22:18:55 / 10-06-2020)

Тётя вписывает в журнал не по порядку, а согласно адресу регистрации. Говоря проще, дом имеет свой собственный журнал, где все жильцы уже написаны, а ты расписываешься напротив своей фамилии, за полученный бюллетень. ЙК-код, если он на самом деле есть, нужен (это личное мнение) для выявления поддельных бюллетеней, которых за пару часов можно налепить бешеное кол-во и незаметно вбросить.

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(22:26:30 / 10-06-2020)

А мне в крайний раз сказала: вы у меня сегодня (уже не помню). Как будто мне интересно сколько мужиков у неё до меня было. Но в принципе при наличии видеозаписи журнал можно не вести, тут я согласен.

Аватар пользователя Rigin
Rigin(6 месяцев 3 недели)(13:08:27 / 11-06-2020)

Пара видеокамер стоит, одна в урне, вторая над урной. Первая считывает код с бюллетеня вторая - ваше лицо. ))

Аватар пользователя Ghostman
Ghostman(1 год 7 месяцев)(22:01:43 / 10-06-2020)

Вполне компетентно могу сказать, что НИКАКОЙ скрытой маркировки на бюллетенях НЕТ.

Аватар пользователя Er0p
Er0p(5 лет 6 месяцев)(22:53:24 / 10-06-2020)

Фух, успокоили, а то я уже номерок ко врачу взял... Выходит цветные волоски лежат случайно...

Хотя я был бы не против зная номер проверить голос.

Всем спасибо, я спать, хорош в дурку валять.

Аватар пользователя Бой Курантов

цветные волоски лежат случайно

Ну вообще какбэ да, случайно. Они на этапе изготовления бумаги добавляются, а не печатания бюллетеней...

Аватар пользователя Спасибо
Спасибо(6 лет 5 месяцев)(00:17:43 / 11-06-2020)

Не будет цветастых волосьев в бумаге -- всегда можно дое.. докопаться до уникальности микроструктуры отдельных микроучастков отдельных листов. Ведь никто не будет спорить -- не существует двух одинаковых на микро-уровне листов бумаги!!

Аватар пользователя vs451
vs451(3 года 7 месяцев)(04:03:27 / 11-06-2020)

А вся аргументация вида "нужно доверять специалистам - они лучше знают" у меня кроме улыбки ничего не вызывает

Зубы сами себе лечите? 

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(07:02:34 / 11-06-2020)

Зубы сами себе лечите? 

Касаясь исключительно стоматологии, скажу: вынужден их менять. Даже вспоминать эти истории (во множественном числе) не хочу. Сам не лечу, но стоматологам не доверяю. 

Аватар пользователя storm
storm(5 месяцев 3 недели)(10:56:47 / 11-06-2020)

Вот, кстати, отличный пример - найти умелого стоматолога, который еще и будет лечить, а не просто на деньги разводить не такая простая задача. У самого в свое время "зубной специалист" один зуб угробил полностью, пришлось протезировать, другой под коронкой. А ведь всего лишь поставил пару пломб, но более умелый его коллега через пол года смотря на результаты его работы сильно сокрушался диагностируя либо "хроническую рукожопость", либо "злой умысел". Так что да, не все специалисты одинаково полезны, а в случае информационных систем у меня нет возможности оценить квалификацию и добросовестность проводящих аудит "экспертов", так же как и собственно ее разработчиков. Для примера можно посмотреть на "систему электронных пропусков", которую недавно использовали в Москве, опыт использования сугубо негативный, "специалистов" ее ваявших, а самое главное позволивших запустить такое убожество в эксплуатацию надо бы от профессии отлучать.

Аватар пользователя Anisiya
Anisiya(5 лет 9 месяцев)(08:23:14 / 12-06-2020)

О "невозможности" , а не"не возможности", продвинутые вы наши голосователи с улыбками

Аватар пользователя zominator
zominator(5 лет 9 месяцев)(21:51:41 / 10-06-2020)

Плюс один. Граждане, ну пересчитали бы Шнаера перед тем как на всякую хрень с блокчейном ссылаться. 

Помнится в начале 2000х я делал немного пентеста ГАС Выборы, и чёрных ящиков, было все достаточно прилично. Неотказуемость, вериыицирумость и анонимность (ну кроме физ безопасности, типа секретных камер в кабине) формально докпзывались. 

 

Хотя ответ официального органа тоже доставил. 

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(23:39:46 / 10-06-2020)

где ясно сказано, что юзер - отдельно, голос - отдельно

такая ситуация позволяет - на этом уровне описания - подменять одно волеизъявление другим; это означает, что тебе даже не надо делать вброс, чтобы прийти к нужному тебе результату голосования, надо делать подмену; 

исходники выложены на гитхаб, желающие могут искать уязвимости

Вы понимаете, как отличаются между собой найденная уязвимость и ненайденная уязвимость?  И чем они сходны?

Аватар пользователя taurussnake
taurussnake(5 лет 8 месяцев)(20:24:14 / 10-06-2020)

Если уж пытаетесь выдать себя за разбирающегося в криптографтии, так хотя бы на самом деле разберитесь, алгоритмы анонимного голосования разработаны далеко не вчера.

Специализированые статьи лень читать, так смотрите на вики

 

Аватар пользователя AndreyTemp
AndreyTemp(4 года 11 месяцев)(20:47:08 / 10-06-2020)

Кажется это здесь никому не интересно ))

Аватар пользователя HolyBolt
HolyBolt(3 года 9 месяцев)(22:44:15 / 10-06-2020)

Кажется, здесь мало кто о компетенциях будет заявлять smile30.gif

Аватар пользователя pokos
pokos(7 лет 6 месяцев)(22:51:29 / 10-06-2020)

Процедура выборов не состоит только из процедуры голосования и подсчёта голосов. Начинается она (по закону РФ) с физической аутентификации голосующего. Понятно, что ни в какой Педовикии про это не написано. Про два агентства вообще смешно, да. Хорошо подходит для Бобра с Ослом в США, это точно.

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(07:25:31 / 11-06-2020)

Я бы предложил Вам самому внимательно прочитать текст, на который вы ссылаетесь.

Аватар пользователя GrAch
GrAch(7 лет 2 недели)(03:29:41 / 11-06-2020)

там если дискус с тех. поддержкой будет продолжаться, спросите у техподдержки пожалуйста, что делать если начальство будет заставлять голосовать при нем, увольняться или нет ? smile3.gif 

 

Аватар пользователя И-23
И-23(5 лет 1 месяц)(19:34:42 / 10-06-2020)

Строго говоря, журналы БД — это вещь в себе, разбираться в которой человеку…

Наблюдаемые мной предметы роскоши администраторы БД предпочитают дублировать интересующую их информацию в стандартный текстовый файл журнала.

Аватар пользователя HolyBolt
HolyBolt(3 года 9 месяцев)(22:56:04 / 10-06-2020)

... не стоит и пытаться, раз не понимаете.

Вам не повезло с наблюдениями, присмотритесь к своим елочным игрушкам.

Аватар пользователя Sanders
Sanders(5 лет 4 месяца)(20:12:07 / 10-06-2020)

Вопрос исключительно в программной реализации. Еще раз, как реализовали, так и будет.

То что отписали: Это вообще похоже про SSL. К которому чудом приписали другие алгоритмы типа RSA.

В то же время говорят про ГОСТ шифрование, а это уже несколько про другое, а именно про синхронное шифрование. По типу AES или например ГОСТ 28147-89.

Дальше, я сомневаюсь, что платформа голосования вообще будет что-то знать про пользователя. Она будет только знать авторизован он или нет. Вот не будут госуслуги выдавать какую то инфу, скорее токен или какой то UUID.

Про логи вообще молчу, это уголок параноика. Еще давайте про куки вспомним, чтобы когда комп отобрали, понять откуда голосовали. За кого вы проголосовали, нахер некому не нужно. Слесарь Василий Пупкин или доярка Матрона Васильевна, нахрен не кому не интересна. А "продвинутая интеллигенция" и так всем известна.

А вот блокчейн будет использоваться между избирательными пунктами и конечным центром. Херня, но модная.

Самая большая проблема в этом голосовании - как доказать, что не баран. Эдак с 90го года у нас все выборы не честные, голоса подделывают, власть устраивает карусели и так далее.

Тут же веб камеры не поставишь. По этому самая большая проблема будет в виде отсутствия наблюдателей и не признания выборов. Я надеюсь власти хватит ума сделать так же, как поступил Касперский, открыть центр, где каждый сможет изучить код системы голосования.

Аватар пользователя storm
storm(5 месяцев 3 недели)(20:59:56 / 10-06-2020)

открыть центр, где каждый сможет изучить код системы голосования

Вот только как доказать, что рабочая система именно из этого кода собрана? + Представьте, что очередной "шифровальщик" будет за разблокировку компа требовать не денежку , а проголовать за нужного кандидата. smile1.gif Также на качественно новый уровень выйдет "покупка" голосов, теперь даже идти никуда не нужно, а денежку на телефон скинут или криптой. А еще можно "проголосовать" ботнетом - с утра пораньше пока народ еще спит. В общем, ящик Пандоры какой-то.

Аватар пользователя Sanders
Sanders(5 лет 4 месяца)(23:02:55 / 10-06-2020)

Уууууу..... вы случайно с точки зрения IT не на Ардуино светодиодом моргаете? :) 

Например выдать git/svn для изучения + бинарники. Собирай, сравнивай.

Какие нафик "шифровальщики", о чем этот бред? Какое отношение комп имеет к онлайн системе? 

Ах, да, видимо вы про ботнеты читали на пикабу. Раскрою секрет, как с этим борятся например в Индии - присылают на каждую транзакцию PIN на телефон. Быстро, дешево и серьезно.

Не, вы конечно можете возразить на тему "а так же ломанут телефоны", но лучше выпейте вечернюю таблетку и успокойтесь.

Аватар пользователя storm
storm(5 месяцев 3 недели)(23:50:41 / 10-06-2020)

Например выдать git/svn для изучения + бинарники. Собирай, сравнивай.

С чем сравнивать, речь ведь о серверной стороне, а не о клиентской, нету к ней доступа, а то что вы там на демо стенде развернете ничего не доказывает, важен лишь "боевой сервер". Но пускать для ревизии на боевую систему всех желающих неприемлемо с точки зрения ее безопасности - круг замкнулся...

Какие нафик "шифровальщики", о чем этот бред? Какое отношение комп имеет к онлайн системе?

Вы видимо мало видели "живых пользователей" у которых в браузере запомнены все пароли, включая госуслуги и порой даже банк клиенты. "Шифровальщик" тут как утрированный пример, возможностей для манипулирования "интернет голосованием".

Раскрою секрет, как с этим борятся например в Индии - присылают на каждую транзакцию PIN на телефон. Быстро, дешево и серьезно.

Вот внезапно уже и двухфакторная авторизация появилась в нашей истории(которая к слову тоже ни разу не панацея), но в части голосования про нее ни слова, ибо а как будут граждане не имеющие мобильного голосовать(нельзя же ущемлять по данному признаку), наверное пин придет на email, ну тот самый(mail.ru, yandex и т.д.) который в том же браузере открыт и пароль к нему тоже сохранен ибо вбивать постоянно лениво.

но лучше выпейте вечернюю таблетку и успокойтесь

Что ж у всех такая болезненная фиксация на таблетки...

А ломать телефон не обязательно, немалой категории граждан хватит показать баннер с предложением перезайти на портал(подтвердить подлинность, получить скидку и т.д.), введя для подтверждения пин, а что по факту пин авторизует иное действие, поймут далеко не все...
Подобным промышляли например на подставных сайтах по продаже билетов, когда вместо авторизации покупки одного билета жертва авторизовывала "подписку" на данную сумму с малым периодом(допустим 30 мниут) и деньги начинали периодически списываться, ну это как пример уязвимости авторизации транзакции через смс.

Аватар пользователя Lige
Lige(6 лет 7 месяцев)(18:49:46 / 11-06-2020)

В 90х эту проблему с голосованием легко решили фидошники, после голоса вводишь пароль. И потом ищешь свой пароль в списках за и против. Изящно и просто 

Аватар пользователя storm
storm(5 месяцев 3 недели)(20:52:43 / 10-06-2020)

По идее блокчейн(но только нормальный, а не бутафорский) как раз от этого и защищает, т.к. база распределенная и "ручные правки" в отдельно взятом экземпляре базы отвергаются сетью, взламывать тоже нечего по сути. Для, искажения данных в классической реализации  нужно, чтобы 50%+ сети поддержало ее, а если сеть большая и реально децентрализованная, то организовать такое трудно.

Аватар пользователя mamomot
mamomot(7 лет 10 месяцев)(19:25:21 / 10-06-2020)

Вы лично кому нужны?

Все нормально Вам ответили...

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(19:28:35 / 10-06-2020)

Я-то - точно никому.

Пусть отмахнутся от вопроса)

Аватар пользователя vantuz
vantuz(1 год 2 месяца)(21:46:03 / 10-06-2020)

такой вопрос: вы боитесь своей гражданской позиции?

Аватар пользователя Sheriff Tupper
Sheriff Tupper(1 год 2 недели)(22:24:49 / 10-06-2020)

Дело не в боязни или не боязни своей гражданской позиции. Дело в том, что существует (пока ещё) ТАЙНА ГОЛОСОВАНИЯ. По закону волеизъявление ДОЛЖНО БЫТЬ анонимным. Наверное люди, изначально придумавшие этот механизм, знали что делали. Так вот, пока существует этот закон, любые лазейки, позволяющие тайну голосования раскрыть, должны быть перекрыты. Без разницы что это - скрытые видеокамеры в кабинках или технология блокчейн.

Аватар пользователя Miss A
Miss A(5 месяцев 1 неделя)(00:44:12 / 11-06-2020)

Голосование должно быть тайным. Определение понятия тайное голосование дается в статье 7 от 12.06.2002 № 67-ФЗ. 

«Голосование на выборах и референдуме является тайным, исключающим возможность какого-либо контроля за волеизъявлением гражданина.»

Какая норма закона предусматривает, что голосовпние должно быть анонимным?

 

Аватар пользователя vantuz
vantuz(1 год 2 месяца)(10:15:05 / 11-06-2020)

почему оно ДОЛЖНО БЫТЬ анонимным? Где этот закон? Гражданин, использовав право на тайное голосование уже деанонимизировал себя

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(23:23:52 / 10-06-2020)

Причем тут моя позиция? Речь идет о том, что легитимность всей процедуры будет поставлена под сомнение вне зависимости от моего к этому отношения. Бочка меда+ложка дегтя = нет бочки меда

Аватар пользователя vantuz
vantuz(1 год 2 месяца)(10:13:39 / 11-06-2020)

возможно, вы путаете "тайное" и "анонимное". В чём нарушение легитимности?

Аватар пользователя Oler
Oler(5 месяцев 1 неделя)(10:16:28 / 11-06-2020)

если тайна голосования не обеспечивается, значит нарушена законность процедуры

нарушена законность процедуры - нет легитимности

Это означает

(а) результат незаконный формально

(б) в глазах остальных он тоже незаконный

Аватар пользователя vantuz
vantuz(1 год 2 месяца)(10:26:31 / 11-06-2020)

так тайность обеспечивается. никто за вами не следит и все данные зашифрованы

вы понимаете разницу между обязательствами обеспечить вашу анонимность при голосовании и обязательством сохранности данных? второе не менее важно, но к голосованию оно не имеет прямого отношения

Аватар пользователя anders2003
anders2003(1 год 7 месяцев)(19:53:48 / 10-06-2020)

При чем тут нужен или не нужен. В ответе описан механизм защиты  подключения к серверу голосования и механизмы шифрования самого голоса. А насколько я понимаю, вопрос был об анонимности самого голосования. Чтобы потом не было вопросов, например таких: почему госслужащий дядя Вася проголосовал против поправок. И негласно не наложили каких-нибудь взысканий.

Аватар пользователя zloj
zloj(8 лет 9 месяцев)(21:28:44 / 10-06-2020)

анонимности в голосование не может быть. ибо, каждый голос не есть анонимный и у голоса есть имя и фамилия.

Аватар пользователя Sheriff Tupper
Sheriff Tupper(1 год 2 недели)(22:27:33 / 10-06-2020)

Неубедительно. Достаточно знать что Вася Пупкин проголосовал. А вот за кого именно или за что именно - никого волновать не  должно.

Аватар пользователя anders2003
anders2003(1 год 7 месяцев)(22:55:06 / 10-06-2020)

Вот и я о том же. Удаленное голосование не обеспечивает анонимности, так как любой должен вначале авторизоваться. И если у тебя альтернативное мнение и ты госслущащий, то могут быть риски. 

Страницы

Лидеры обсуждений

за 4 часаза суткиза неделю

АШ-YouTube

Лидеры просмотров

за неделюза месяцза год