Sistemi di e-voting! Problemi di identificazione sicura, ma non solo.

Proprio in questi giorni in Italia è assistito dal processo di creazione del nuovo governo che ha visto il Movimento 5 stelle, ovvero uno dei 2 movimenti / partiti politici facenti parte della nuova idea che andrà a governare il Paese, ricorrere al suo sistema di voto elettronica richiesta Rousseau. Si chiedeva agli iscritti al movimento se l'accordo con Il Partito Democratico doveva continuare o meno. Il quesito era: Sei d'accordo che il Movimento 5 Stelle faccia partire un Governo, insieme al Partito Democratico, presieduto da Giuseppe Conte?

Non mi soffermo sul quesito, né sulle scelte politiche. Riflettiamo però sul sistema di voto elettronico in questo caso contribuendo ad un processo di nascita di un nuovo governo di un Paese con 60 milioni di abitanti.

Per chi fosse ancora convinto della sicurezza di Rousseau, bisogna sapere che per votare bastano le credenziali ed il codice della doppia autenticazione che arriva sullo smartphone. Quindi? In questo modo un tizio X potrebbe votare al posto di un tizio Y, basta che il tizio Y sia consapevole e sia disponibile un cedere credenziale e codice al tizio X. Lasciamo perdere attacchi seri da parte di malintenzionati, lasciamo perdere manomissioni da parte degli acquisti interni alla struttura. E con la possibilità del voto di scambio come la mettiamo? Quali sono le precauzioni? Purtroppo non esistono, come non includere in tutti i sistemi di voto elettronico non controllati.

Il problema principale della votazione elettronica è proprio dato dal processo di identificazione del soggetto che si appresta e osa il suo voto attraverso il sistema elettronico. In un luogo presidiato tutto è abbastanza semplice, il personale addetto identifica il soggetto tramite documento di riconoscimento e fornisce un token (codice univoco utilizzabile solo una volta, estratto in modo casuale da un elenco di token creato ad hoc, ad esempio: 500 votanti = 500 token + x token di riserva per eventuali anomalie) che dovrebbe essere inserito su un apposito touch screen in un luogo stile cabina elettorale. Il token viene abbinato all'utilizzatore di entrare nella schermata di voto e fare la sua scelta in maniera del tutto anonima.

Il problema dell'identificazione in questo modo sarebbe risolto, ma resterebbero tutti i problemi di natura informatica del PC / Tablet, soprattutto se il dispositivo di voto è collegato alla rete internet e quindi soggetto a tutti i problemi collegati alle varie vulnerabilità che bisognerebbe considerare attentamente , prendendo nella giusta considerazione il tema della Sicurezza Informatica .

Quando invece si ricorre a sistemi di voto elettronico non presidiati (tipo Rousseau) il problema principale, oltre all'anonimato che non viene garantito, è l'utente digitale che viene sintetizzato sopra non utilizzando di avere la certezza della persona che sta procedendo al voto digitale. Effettivamente al momento non conosco le soluzioni tecniche che forniscono la risoluzione del problema, mi viene solo da pensare che in futuro si troverà la soluzione negli algoritmi di riconoscimento facciale.

Uno scenario su cui potrebbe riflettere, potrebbe riguardare un momento di registrazione degli utenti sul sistema di identificazionecon contestuale aggiornamento / controllo del documento, in cui vengono trattate tali informazioni con una serie di FOTO scattate dallo smartphone per aggiornare il riconoscimento facciale. Contestualmente alla registrazione il sistema richiede la richiesta di un congruo lasso temporale, ad esempio 5 date nelle quali, nell'arco di 8 ore per dati, il sistema contatterebbe in maniera casuale dell'utente per richiedere l'espressione del voto attraverso l ' applicazione che, prima di modificare l'utente di votare, effettuando l'indagine dello stesso attraverso il riconoscimento facciale. Sicuramente tutto questo sarebbe un processo di identificazione più forte ma più sicuro.

E 'solo un'idea naturalmente, ma ci fa capire che siamo ancora lontanissimi dal poter utilizzare sistemi di e-voting sicuri.

https://www.techwarn.com/sistemi-di-e-voting/

Massimo Chirivì

ICT Consultant & IT Security Expert
Via Carducci 226, 73050 - Salve (LE)
Tel. +.39.3357214260
E-Mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Site WEB: www.massimochirivi.net

Massimo Chirivì è CEO della startup INNOVAMIND, società di consulenza informatica che si occupa di Networking, Ricerca, Sviluppo Software e Sicurezza Informatica