lunes, 18 de abril de 2011

Voto electrónico con Python y Ubuntu

Buenas! Hoy escribo post largo, pero que creo que era necesario que alguien lo escriba :)

Hay mucha gente hablando sobre voto electrónico y lo que se hizo en Salta, pero la verdad es que pocos tienen conocimiento de qué se hizo realmente, cómo funciona, y demás. Muchos opinólogos que sacan conclusiones acerca de lo magnífico o terrible que es, pero a partir de cosas que adivinan o inventan. Y remarco que pasa en los dos lados, tanto de parte de los detractores como de parte de los defensores de este sistema.

Así que primero lo primero: como le gusta decir a un amigo, "desasnémosnos". Empecemos entendiendo cómo funciona el sistema de voto electrónico que se utilizó en Salta. Como soy programador es lógico que mi explicación va a incluir unas cuantas cosas bien técnicas, pero también voy a abarcar otras más referidas al proceso.

Luego de la explicación también voy a incluir algunos de los planteos más comunes que surgen, y las respuestas a esos planteos. Así que si durante la explicación se les plantea algún cuestionamiento, estén atentos a si no lo respondo en esa sección.

Y recién después de eso voy a plantear mi opinión (por si a alguien le interesa, jeje), y dejar abierto el debate para que todos opinen y pregunten :) Por mi salud mental y la del debate, abstenerse de opinar quienes no tengan ganas de leer todo el post.

Ah, y casi me olvido: ¿por qué escribo yo sobre esto, y cómo se lo que se? Porque hace un tiempo empecé a trabajar para la empresa que desarrolla el sistema (MSA). ¿Eso le quita objetividad a lo que digo? Puede que sí en la parte de opinión, pero no en lo referido al funcionamiento, es información y hechos verificables :)

No está de más aclarar que todo lo que digo en este post es opinión y palabra mia y no de la empresa para la que trabajo, ya que se trata de mi blog personal. Así que por cualquier cosa, yo (Juan Pedro Fisanotti, DNI 32.726.247) soy el responsable.

La parte objetiva: funcionamiento del sistema

Podemos dividir al sistema en tres grandes partes: el proceso de votación en sí, el recuento por mesas, y el recuento final donde se transmiten y suman los recuentos de todas las mesas.

El hardware que vamos a usar:

Para la votación en sí y el recuento de las mesas se usan pcs especiales que vamos a llamar "máquinas de votar" (más detalles después). Para transmitir la información de las mesas también se van a utilizar máquinas de votar (aunque no las mismas, sino otras dispuestas especialmente para la tarea). Y como se imaginarán los que tengan conocimientos técnicos, del "otro lado" hay servidores que van a recibir esa información a la hora del recuento global (en este caso el "otro lado" está ubicado en el tribunal electoral).

Las máquinas de voto merecen un poco más de explicación, ya que tienen algunas características especiales:

  • Consisten en una valija con una pc todo en uno (pantalla táctil), una batería de emergencia, una impresora térmica, y un lector/grabador de RFID.
  • La pc no tiene ningún tipo de almacenamiento ni conexión a ninguna red. Sí tiene una lectora de DVD.
  • La batería de emergencia garantiza alimentación suficiente para cortes no tan prolongados, mientras que si se espera una ausencia de energía prolongada las máquinas también poseen los cables necesarios para conectar una batería de auto, que le da autonomía suficiente para una votación completa.

Y finalmente, dentro de lo que podemos considerar como "hardware", están las boletas de voto electrónico. Son boletas con papel para impresión térmica, y un chip RFID de poco alcance dentro. Hay varios tipos de boletas: las que se utilizan para la apertura de las mesas, las de voto, y las de cierre y transmisión. Después vamos a ir viendo cuándo se utiliza cada una. Es importante ya ir sabiendo que una vez que el chip se graba con datos, ya no puede ser alterado. Se graban y se "queman" de manera que no se pueda modificar la información almacenada.

El software:

Para la votación en sí y el recuento por mesa las máquinas de votar van a usar un sistema que vamos a llamar "sistema de voto". Para la transmisión de los datos se va a usar un "sistema de transmisión". Y en los servidores vamos a tener el "sistema de recuento global". (Son todos nombres que pongo yo en este post para entendernos, vale la aclaración)

Tanto las máquinas de votar como los servidores corren Ubuntu (en el caso de las máquinas de votar, con modificaciones para que tengan solo lo necesario para el sistema). Y las aplicaciones desarrolladas por MSA para este sistema están escritas casi en su totalidad en el lenguaje de programación Python. ¿Base de datos de los servidores? Postgresql. ¿Y de las máquinas? No usan ningún sistema de base de datos (después van a entender por qué no es necesario. Si les digo ahora que las máquinas de voto no guardan info, probablemente no entiendan cómo puede ser por ejemplo que hagan el recuento, jeje).

¿Recuerdan que les conté que la máquina de votar no tiene ningún tipo de almacenamiento? Entonces, ¿cómo puede tener el sistema de votación o el de transmisión? Simple: ambos sistemas se distribuyen en CD antes de comenzar la votación (livecds de Ubuntu customizados, con cada sistema ya instalado y configurado). Como pueden imaginarse hay medios para garantizar que estos CDs no sean alterados. Los mismos son generados en una única tirada con la presencia de los fiscales, son precintados, y luego se abren el día de la elección. Y para los más técnicos: cada CD tiene un detalle de los hashs MD5 de todos sus archivos, que un fiscal podría luego comparar contra el maestro que posee el tribunal electoral. [EDIT: ya no usamos MD5, ahora usamos SHA512]

Y la gente:

En el proceso van a participar las mismas personas de siempre (presidentes de mesa, fiscales, el tribunal electoral, etc.), y un grupo nuevo de personas: los técnicos en las escuelas. La labor de estos técnicos va a ser la de soporte a las autoridades de la elección en cada escuela, y van a ayudar a transmitir los datos en conjunto con los presidentes de mesa.

Ahora sí, votemos con el sistema. El proceso:

Arranca la mañana, los presidentes de mesa tienen que hacer la apertura de las mesas. Este proceso va a permitir que la gente comience a votar con la máquina. Para ello necesitan de:

  • Una máquina de votar (normalmente es una máquina por mesa, pero es posible plantear otros esquemas).
  • El sistema de votar (livecd).
  • Sus credenciales (con chip RFID que los identifica como presidentes de mesa).
  • Una boleta de apertura de mesa en blanco.

El presidente de mesa inicia el sistema de votar (que arranca automáticamente al bootear el CD), se identifica con sus credenciales que le permiten abrir la mesa que tiene asignada, y elige dentro del sistema la opción de apertura de mesa. Esto le grabará e imprimirá la boleta de apertura, que después va a poder utilizar para volver a abrir la mesa en caso de reemplazo de la máquina o reinicio por cualquier motivo (abajo explico un poco más esto de poder reemplazar la máquina o reiniciarla). Este acta impresa es el documento legal que el presidente de mesa requiere, y además el proceso de apertura le permite a la máquina saber qué opciones debe presentar a los votantes, ya que todos los livecds son iguales.

Abierta la mesa, elige la opción de poner la máquina en modo de votación, y ya está, tenemos una máquina preparada para que la gente comience a votar.

¿Y cómo votan las personas?

Pepe votante llega a la mesa, presenta su DNI. Normalmente a Pepe le habrían dado un sobre para que entre al cuarto oscuro. Pero en este caso le dan una boleta de voto (de las que les conté antes) que no tiene datos, y está en blanco en uno de los lados. Pepe se dirije a la máquina de votar, inserta su boleta en la máquina.

Vale aclarar en este punto: la boleta todavía está en blanco! en ningún momento la boleta tiene datos sobre quién es Pepe. Y la máquina no tiene ningún tipo de conexión de red, aparte de que el presidente no tiene contacto con la máquina, por lo que el presidente no puede decirle a la máquina de alguna manera "es Pepe el que está votando" (salvo que el presidente y la máquina hagan un curso acelerado de telepatía antes de empezar la votación). Esto es crucial para que el voto sea anónimo. De hecho el presidente puede darle a Pepe cualquiera de las boletas que tiene, e incluso podría darle a Pepe la opción de que elija la boleta que él prefiera. Y no está de más aclarar que la máquina también verifica que la boleta se encuentre vacía. En caso de no cumplirse esa condición, expulsa la boleta apenas se la ingresa

En la pantalla de la máquina aparecen las opciones para votar. Estas opciones van a depender de la votación, pero básicamente Pepe va a tocar la cara del candidato que quiera para cada cargo que se esté eligiendo (de cada candidato aparecen todos los datos lógicos, como nombre, partido, etc.).

Importante: los candidatos aparecen todos del mismo tamaño, con los mismos datos, y en orden aleatorio cada vez que son mostrados, para no dar ningún tipo de ventaja.

Cuando Pepe ya ha elegido todo la máquina le pregunta si desea confirmar su voto. Pepe puede elegir no confirmarlo y volver a armar su voto, o confirmarlo. Al confirmarlo la boleta se imprime, y se guarda lo elegido por Pepe dentro del chip RFID.

Pepe debe cerciorarse de que lo que salió impreso en la boleta es lo que él quería votar, ya que lo impreso es lo que cuenta. Y además puede verificar lo grabado en el chip pasando la boleta por el lector de la máquina, que le presenta por pantalla lo que el chip contiene. Y puede hacer esto en cualquier máquina (que no poseen conexión entre sí), con lo que en este punto tenemos una seguridad importante, una pieza en el rompecabezas que tenemos que acordarnos:

Hasta el momento del voto en sí incluido, es imposible que la máquina nos mienta, ya que lo que cuenta es lo que está en la boleta, y podemos ver lo impreso y el contenido del chip.

Sí, ya se, faltan cosas para estar seguros de todo el sistema. Sean pacientes :)

Finalmente, Pepe dobla su voto para que nadie vea lo impreso y lo deposita en una urna de cartón, igual a las de las elecciones tradicionales (acá es donde empezamos a ver que este sistema es de boleta electrónica, pero no de urna electrónica. Algo que es crucial para ayudar a que sea transparente).

Después de Pepe vendrá Luis, Juan, José, y todos los votantes de esa mesa.

Y en este punto viene otra aclaración crucial: la máquina NO VA CONTANDO LOS VOTOS QUE GRABA E IMPRIME! No, no los cuenta. NO, como dije, no los cuenta. ¿Y cómo se cuentan entonces los votos? Paciencia, un poco más abajo lo voy a explicar. Pero ahora lo importante es eso, que la máquina no va contando los votos. ¿Y por qué es tan importante? Porque le puede pasar cualquier cosa a la máquina, que no va a afectar a la votación. Si se apaga, un psicópata la parte con un hacha, le cae un rayo o lo que sea que le impida seguir funcionando, basta con buscar otra máquina, volver a hacer la apertura (que se hace rápidamente con la boleta de acta ya grabada), y listo. Seguimos votando.

Incluso nos permite independizar a la mesa de la máquina. Los votantes de una mesa podrían votar en cualquier máquina, ya que la única tarea de la máquina es emitir las boletas electrónicas, y no ir llevando el recuento. Para los más técnicos: esto nos permite hasta aplicar un poco de teoría de colas y balancear la carga entre las mesas.

Son las 6 de la tarde (o un poco más). Terminan de pasar todos los votantes, tenemos que cerrar la mesa y realizar el recuento.

El presidente de mesa sigue un procedimiento similar al de la apertura de la mesa con su credenciales y un acta de cierre en blanco, solo que en este caso elige la opción de cierre de mesa. Iniciado el proceso de cierre de la mesa llega el momento de contar los votos. Tradicionalmente se habría abierto la urna, contado a mano los votos contenidos en los sobres, y anotado el resultado en un acta en papel. En este sistema lo que hacemos es abrir la urna, sacar las boletas de voto, y pasarlas una a una por el lector de la máquina, que va contando los votos y mostrándonos por pantalla lo que cuenta. Los fiscales también están presentes durante el recuento para fiscalizar el procedimiento, de la misma manera que podían hacerlo en el voto tradicional. Es importante recordar que las boletas tenían impreso el voto, y que el presidente es responsable de observar que lo que dice la boleta es lo mismo que la máquina muestra por pantalla al pasar el voto. Y en todo momento es posible ver el total de lo que la máquina lleva contado.

Y otra cosa importante es que cada chip tiene un serial único (similar a una dirección mac), que le permite al sistema evitar contar dos veces el mismo voto. Esto mismo se puede comprobar con tranquilidad al realizar el recuento, pasando dos veces una misma boleta. El sistema rechaza el segundo intento informando que ya ha sido contada anteriormente. Y esto no implica un riesgo para el anonimato del voto porque como ya vimos, no existe manera práctica de asociar a la boleta con la persona que la utilizó.

Cuando se han pasado todos los votos el presidente de mesa le indica a la máquina de voto que se ha terminado el recuento, y la misma le imprime el acta de cierre con el recuento realizado (lista de partidos con votos para cada uno y demás). Esta información se imprime y se guarda en el chip del acta, y se vuelve a imprimir y guardar en el chip de una segunda boleta: la de transmisión.

Aquí un segundo punto crítico de control: al estar el recuento impreso en las boletas y por haber podido controlar todo el recuento viendo lo que los votos tenían impreso, la máquina de voto tampoco puede mentirnos hasta este punto. A este punto llegamos con un acta cuyos datos impresos son completamente verificables, donde la máquina no tuvo posibilidad de alterar esos datos sin que nosotros nos demos cuenta. Tema aparte es lo que se vaya a transmitir, ya llegamos a eso, pero es importante que sepamos que esas actas no pueden ser "inventadas" y que son la evidencia física de lo que la gente votó.
¿Se dan cuenta de que hasta este punto siempre podemos controlar a la máquina? A diferencia de la creencia de que es imposible estar seguro que lo que dice una máquina es real, acá el proceso mismo nos permite tener esa seguridad. La clave está en el proceso, y no en la tecnología en sí.

Bien, tenemos los recuentos de las mesas, verificables y seguros. Llegó el momento de transmitir estos datos al tribunal electoral para realizar el recuento global.

El presidente de mesa se dirige a la máquina de transmisión (una por escuela), donde se encuentra el técnico responsable de esa escuela. El técnico inicia la máquina con el sistema (livecd) de transmisión, y conecta esta máquina a internet (por ADSL, 3G o conexión satelital, dependiendo del caso y disponibilidad). Se autentica con su credencial y certificados SSL. Para los lectores con conocimientos técnicos: se usa SSL para cifrar la transmisión, con certificados para autenticar ambos lados, tanto al servidor como al cliente.

El técnico pasa la boleta de transmisión que trae el presidente (quien sigue a su lado) por el lector de la máquina. La máquina envía los datos al servidor, y el servidor devuelve una imágen con lo que debería tener impreso la boleta de transmisión (el recuento). El técnico y el presidente de mesa verifican que el servidor reconstruyó un recuento idéntico al impreso en la boleta de transmisión, y cuando ambos concuerdan en que es correcto, vuelven a pasar la boleta por el lector y confirman la transmisión.

Del lado del servidor esa boleta se marca como ya recibida, y sus valores se agregan al recuento global de manera automática. Los más rápidos ya deben estar preguntando: ¿y qué pasa ahora con eso de que la máquina no puede mentir? ¿Los servidores no pueden manipular el recuento global? Bien simple: las actas de cierre y las urnas no se tiran a la basura, se guardan. Y por tanto seguimos teniendo la evidencia física verificable, cierta, que las máquinas no pueden alterar. Tenemos las actas, que por el proceso sabemos que no tienen error. Eso evita que las computadoras puedan mentir.

Y aparte de esta seguridad, también se dispone de los mecanismos tradicionales de verificación: los partidos tienen dentro del tribunal electoral a sus fiscales, que pueden verificar que lo recibido se corresponde con lo que los fiscales en las mesas observaron en el recuento.

Fin del proceso.

¿Y cómo se compara esto con la seguridad que todos tenemos sobre el sistema tradicional? Bueno, tendríamos que desmitificar un poco esa seguridad.

Comparemos por partes.

El sistema tradicional no nos otorga ninguna seguridad respecto a que los presidentes de mesa y fiscales realizan el recuento adecuadamente. En el sistema de voto electrónico expuesto, ellos también podrían alterar los valores, pero si analizamos bien vemos que les sería mucho más difícil, ya que el recuento no es un simple papel escrito a mano, sino que se deben pasar votos reales por una máquina. No podemos hacer que un voto para el candidato X cuente como un voto para el candidato Y, porque la máquina lee X y suma X. En papel tranquilamente el presidente puede modificar esos valores (y hasta tiene boletas con las cuales rellenar las urnas para que coincidan). Y si confían mucho en los presidentes de mesa y creen que estas cosas no pasan, entonces miren lo sucedido recientemente en Chubut, donde llegó a haber diferencia de 800 votos en un acta... Así que respecto al recuento en las mesas, el voto electrónico con el sistema planteado nos otorga más seguridad que el voto tradicional.

El sistema tradicional tampoco nos otorga ninguna seguridad respecto a la "transmisión" de los datos. Estoy seguro de que la gran mayoría de los que leen esto nunca antes se habían preguntado "¿cómo se llevan las actas y las urnas para el recuento global?". En el sistema tradicional eso es clave, y sin embargo no tenemos manera de verificar que quien se haga cargo de dicho transporte (correo, gendarmería, etc.) no altere el contenido, modificando las actas o las urnas. En el sistema que explicamos también podría suceder que se alteren los contenidos de las urnas y las actas, pero se encontrarían con un problema: deberían hacer que coincidan con lo que se transmitió antes, lo que les sería imposible, ya que lo transmitido se lee desde el chip RFID que no puede ser modificado una vez grabado, y además no es escritura a mano sino una impresión. En este punto entonces también ganamos seguridad mediante el sistema de voto electrónico.

Aparte de esos puntos, en el sistema tradicional también eran posibles muchas otras trampas, como el robo/ocultación de boletas del cuarto oscuro, que la digitalización y unificación de la boleta ya no permiten (esto es una ventaja también en los sistemas de voto en papel con boleta única). Además de el hecho de que al mostrar todos los candidatos en órden aleatorio y no depender de cuántos fiscales y boletas pueda poner cada partido en las mesas, se favorece la igualdad de condiciones para los partidos, no perjudicando a los más chicos.

Comparando entonces con lo que explicamos antes, objetivamente podemos afirmar que el sistema de voto electrónico implementado en Salta nos otorga seguridades que el voto tradicional, en papel, no nos otorgaba. Y sigue siendo verificable, no se convierte en una caja negra que no podamos controlar. Por ello es importante antes de creer que el sistema de voto electrónico expuesto es inseguro, ver si las inseguridades que planteamos no existen también en el sistema de voto tradicional (papel). Porque la realidad es que como todo sistema lo que se utilizó en Salta no es perfecto, pero sí mucho más seguro y controlable que el sistema tradicional.

Algunas preguntas comunes (FAQ)

  • ¿Pero X no es inseguro? Donde X es algún aspecto del proceso o sistema explicado. Antes de plantear una pregunta de este estilo, primero plantear si el mismo aspecto era o no seguro en el voto tradicional. Pongo esto primero, porque en muchos lugares las principales críticas que se le hacen al sistema son cosas que son igual o incluso menos seguras en el voto tradicional. Así que antes de plantear una pregunta de este tipo, piensen en cuál sería la respuesta para el voto tradicional.
  • ¿Confiar en los presidentes de mesa para el recuento o la transmisión no es inseguro? Perfecto ejemplo de lo que planteé antes. Respuesta: también se confía en los presidentes de mesa en el voto tradicional. Si no podemos confiar en los presidentes de mesa, ningún sistema (papel o electrónico) va a ser seguro... Y de hecho, este sistema de voto electrónico limita mucho más las cosas malas que un presidente de mesa puede hacer.
  • ¿Cuál es la principal ventaja de cambiar de sistema? En mi opinión la principal ventaja son las seguridades que este nuevo sistema nos da y que el sistema tradicional no nos daba, que comenté antes. Y además de ello está la velocidad de recuento. En Salta por ejemplo, a las 21:15 ya se tenía el 100% del recuento de las mesas electrónicas. Solo 3 horas, y estamos hablando no de Capital, sino de una provincia con geografía compleja, donde algunas de las mesas estaban ubicadas en escuelas perdidas en los cerros. Y se trataba de más de 700 mesas, es decir, más de 200.000 personas. Y en 3 horas con un recuento exacto, no un aproximado o una estimación. Y no falta quien pregunta: ¿pero eso no es mucho tiempo? ¿por qué demora tanto si las computadoras suman de manera instantánea? Simple: recuerden que el recuento en las mesas se hace pasando a mano cada boleta por la máquina, eso es un proceso manual (y es así por seguridad), que lleva tiempo (muchas veces demorado por las mesas que cierran tarde porque llega un colectivo de votantes a las 17:45, las discusiones con los fiscales, etc.).
  • ¿Qué tanto se gana en la velocidad del recuento? Respondido antes :)
  • ¿Las actas y los votos impresos en algún momento se cuentan a mano para estar seguros? Esto es decisión de la autoridad electoral. En el caso de Salta, sí, se realizó el recuento manual y es ese el que cuenta como definitivo, mientras que el recuento electrónico es considerado provisorio. Dependiendo del caso, el tribunal electoral decide si se deben examinar manualmente todas o parte de las urnas, pero esto ya es decisión de ellos. Lo importante es que el sistema permite hacer este recuento manual, cosa que no es posible en sistemas de urna electrónica. Y enganchada a esta pregunta: Pero si al final van a contar todo a mano, ¿para qué hacer el voto electrónico? Por todas las ventajas de seguridad que vimos antes, que por lo general el sistema tradicional no nos garantiza.
  • Usan software libre para hacer el sistema (Ubuntu, Python, etc.) Pero, ¿el código del sistema desarrollado por MSA es abierto? Por el momento no. A mi personalmente me encantaría que lo sea, pero no soy quien toma esa decisión, y también hay razones válidas para no hacerlo. No es que la empresa lo cierre por ser malvada y querer andar escondiendo cosas, es un poco infantil creer que una empresa es malvada por no abrir el código de lo que hace. El software libre es algo genial, yo de hecho soy muy adepto a ello. Pero a la hora de abrir el código de algo así de delicado hay muchas cosas a tener en cuenta. Igualmente es un tema que se habló en la empresa, la posibilidad existe e incluso hay buena predisposición al respecto. :) Y de todas maneras, por lo que vimos antes podemos darnos cuenta de que la seguridad del sistema no depende de que se conozca el código, ya que son las boletas impresas las que garantizan dicha seguridad.
  • ¿El costo del sistema no es demasiado elevado en comparación al tradicional? En realidad no. Algo que la mayoría desconoce es que las máquinas son propiedad de la empresa, y el estado las alquila para la votación (algo considerablemente menos costoso que comprarlas). Y además por lo general cuando realizan esta pregunta, desconocen mucho de toda la logística que requiere una elección tradicional, que no es menor, más la cantidad de boletas que deben imprimirse por persona (en el voto tradicional recuerden que no basta con una boleta por persona. Para cubrir todas las opciones se deben imprimir como mínimo tantas boletas como partidos haya por persona).
  • ¿No es inseguro que la transmisión se realice por internet? No gracias al cifrado por SSL y la autenticación de los dos extremos con sus certificados. Esto garantiza que los datos no van a ser alterados y que no pueden ser espiados por alguien que escuche la conexión.
  • En países más avanzados, como Holanda, se prohibió el voto electrónico porque era inseguro. ¿Por qué ustedes creen que no lo es? Porque lo que se usó en esos países eran urnas electrónicas, algo que es muy diferente a este sistema. Es como decir que no hay que comer peras porque en algún lugar se descubrió que las bananas son tóxicas. Sencillamente no son lo mismo. El principal problema acá es que la frase "voto electrónico" se utiliza para muchas cosas que son muy distintas entre si. (nota completamente fuera de tema: yo soy alérgico a las bananas, pero me encantan las peras, así que si ese razonamiento es válido sería una pena para mi :P)
  • ¿Alguien no podría leer lo que tiene el chip de la boleta de un votante a distancia, y así dejaría de ser secreto su voto? El chip tiene muy poco alcance (unos centímetros). Y aunque tuviese más alcance como para que alguien a la distancia lea los datos, sería imposible por la cantidad de interferencia que habría. Recuerden que alrededor del votante hay varios cientos de boletas dando vueltas. Ni hablar del diámetro que debería tener una antena que lea a distancia (metros).
  • ¿Y mediante un ataque de Van Eck no sería posible ver las pantallas de las máquinas de voto a distancia? Esto se soluciona sencillamente ubicando a las máquinas cercanas entre sí, de esa manera generando la interferencia suficiente para que el atacante no pueda distinguir entre una máquina y otra.
  • ¿Qué pasa si se corta la luz? Explicado en la primer parte, cuando hablaba del hardware (batería de emergencia + posibilidad de usar baterías de auto).
  • ¿Y si se rompe una máquina? Explicado también, no pasa nada. Se busca otra, se realiza la apertura, y se sigue.
  • ¿La impresora se puede quedar sin tinta? La impresora no usa tinta, es térmica (lo aclaro porque hay gente que ha preguntado esto en capacitaciones).
  • Otra pregunta que no haya puesto yo acá: Posteala en los comentarios, si tengo idea respondo, y si no averiguo :)

La parte subjetiva: lo que yo opino

De lo explicado pueden sacarse un montón de conclusiones, pero creo que lo más evidente es que este sistema está lejos de ser "una computadora que uno no sabe como funciona y te puede mentir en lo que cuenta". Las numerosas instancias de control nos permiten garantizar la legitimidad de los resultados de manera simple, incluso otorgándonos más seguridad que en una votación tradicional. ¿Sistema perfecto? Seguramente no. Pero sin dudas un avance respecto al voto en papel. Un sistema que nos da un poco más seguridad respecto a la base de nuestra democracia, la votación.

Y no puedo dejar de mencionar otra cosa que me llega más de cerca. Como pythonero, ubuntero, y amante del software libre en general, es un orgullo que esto pueda lograrse en base a estas herramientas. Debería ser algo que tengamos como ejemplo de todo lo que se puede lograr en base a software libre, de su potencial y bondades. Algo que es logro de personas que también son miembros activos de las comunidades de software libre de Argentina, que muchas veces se nutren en dichas comunidades y que saben devolver lo que aprenden en tantos aportes (dando charlas, colaborando o iniciando proyectos, respondiendo en listas de correos, etc.).

En resúmen, buena tecnología al servicio de un proceso electoral más claro y seguro :)

126 comentarios:

  1. Muy interesante. es cierto que son menos las instancias en que se puede realizar alguna truchada con este sistema, y a la vez realmente respeta el voto anónimo.

    Sería excelente si abrieran el código, total lo que ofrece la empresa es la estructura y el hardware + el software, con lo que liberar el software no los perjudica realmente.

    Por lo general me parece un sistema apropiado y pensado como para una elección de tipo escalonada como las que se están viviendo ahora en el país. Habría que ver que tan bien escalan las cosas al hablar de una elección general, ya que la cantidad de elementos a controlar crece muchísimo.

    ResponderEliminar
  2. Como hacer para que TODOS esten capacitados para controlar que un tercero no "meta el perro" en el proceso?

    en el tradicional CUALQUIERA puede controlar la urna de carton , la lapicera y las listas, en un sistema electrónico solo unos privilegiados (si la empresa quiere) estarán en condiciones de controlar una máquina (las otras deberemos pensar que funcionan igual, pero nunca lo vamos a saber a ciencia cierta, con las urnas de carton si)

    ResponderEliminar
  3. Interesante información. En general soy reacio al voto electrónico por que tengo dudas de la fiabilidad de la informática para estas tareas, pero este modelo específico merece ser considerado y analizado en profundidad.

    ResponderEliminar
  4. Felicitaciones fisa!

    Excelente implementación y detalle del sistema.
    Yo también soy un poco reacio a la implementación de este tipo de sistemas en cuestiones tan sensibles como una votación, pero la metodología que han utilizado está muy refinada.

    Nuevamente felicitaciones para todo el equipo.

    José Luis.

    ResponderEliminar
  5. Anio 2011 usan md5 -> fail impresentable.

    ResponderEliminar
  6. Lles recomiendo leer la leyy de schneier. Por las dudas.

    ResponderEliminar
  7. Gracias por compartir el articulo, es un interesante modelo el que proponen.

    Es un error no disponibilizar el software utilizado, ya que sin él, por ejemplo, no es posible verificar la correcta y segura emisión, interpretación y procesamiento de las boletas sobre las cuáles recae la integridad del sufragio (según lo mencionado en el artículo). Por el mismo motivo, también es necesaria la publicación de especificaciones y procedimientos técnicos involucradas en éste modelo.

    Me intrigan las siguientes cuestiones:

    1. A donde se envían los resultados a través de Internet?

    2. El certificado SSL de los clientes es único o cada livecd lleva uno propio? De ser único, qué valor agrega al proceso?

    3. Quién firma los certificados SSL?

    ResponderEliminar
  8. ¿Qué opinas de este artículo?

    Magia e-lectoral en Salta, des-materializando votos by "Magic Software Argentina"

    http://www.derechoaleer.org/2011/04/magia-e-lectoral-en-salta-desmat.html

    ResponderEliminar
  9. Otro artículo para leer http://www.pagina12.com.ar/diario/cdigital/31-166037-2011-04-12.html
    Hasta para leer el post hay que tener conocimientos técnicos, imáginense cuantos pueden fiscalizar el sistema.

    ResponderEliminar
  10. Respondo algunas de las preguntas y comentarios:

    -------------

    ...en un sistema electrónico solo unos privilegiados (si la empresa quiere) estarán en condiciones de controlar una máquina...

    En el post intenté que se vea que no es necesario tener conocimientos técnicos, porque justamente la manera de fiscalizarlo es controlando papeles impresos. No hay que tener ningún tipo de privilegio o conocimientos técnicos para contar votos en papel.

    -------------

    Anio 2011 usan md5 -> fail impresentable.

    Sep, lo sabemos, está como tarea pendiente pasar a usar SHA. Solo que no es crítico porque como remarqué varias veces, la seguridad está en el papel.

    ---------------

    1. A donde se envían los resultados a través de Internet?

    Al tribunal electoral, donde el sistema de recuento global recibe los recuentos de cada mesa.

    2. El certificado SSL de los clientes es único o cada livecd lleva uno propio? De ser único, qué valor agrega al proceso?

    No es único, pero tampoco está en los livecd. Es entregado a los técnicos.

    3. Quién firma los certificados SSL?

    Te referís a la CA? Es un certificado creado dentro del tribunal, no se contrata a una entidad certificante externa.

    ----------

    ¿Qué opinas de este artículo?

    Magia e-lectoral en Salta, des-materializando votos by "Magic Software Argentina"
    (...)

    Opino que cada uno puede opinar libremente, jeje. Pero creo que podemos coincidir en que dicho artículo expone muchas afirmaciones pero pocos fundamentos verificables que las sostengan, al mismo tiempo abusando mucho del sensacionalismo. Yo me limito a presentar hechos y sacar conclusiones a partir de ellos :)

    ------------

    Hasta para leer el post hay que tener conocimientos técnicos, imáginense cuantos pueden fiscalizar el sistema.

    No estoy de acuerdo, en especial porque no se necesitan conocimientos técnicos para fiscalizar papeles impresos. Pero bueno, opinamos diferente :)

    ResponderEliminar
  11. Muy buena iniciativa fisa, lastima que hay gente que no lee bien el artículo donde se explica que queda todo documentado en papel y el proceso es fácilmente comprobable por cualquier mortal que sepa leer y escribir, que los datos se envían al tribunal electoral y los fiscales pueden compararlos mientras se van cargando, que se usa md5 por ser una práctica estándar explicada en la página de ubuntu; o que directamente linkean artículos sobre ¿¿¿"la magia electoral"??? (y/o lo que paso en Alemania) con poca objetividad para mi gusto (por decir lo menos) y varias imprecisiones, ya que entrando en esas paginas hablan de URNA ELECTRONICA, cosa que NO ES este sistema como bien lo explicas en este post.

    Fisa, por todo esto, bienvenido al mundo de los Sith, o al colectivo Borg, dependiendo de la serie que mas te guste :-)
    (chiste interno, por si hace falta aclarar, pero si, como diría un personaje de Capusoto, para pensar...)

    ResponderEliminar
  12. ESto NO se hizo en Salta. Si saben que existe esta posibilidad, no arbitraron los medios necesarios para contrarrestarlo.

    ResponderEliminar
  13. agrego, lo que No se hizo en Salta es esto que mencionás en tu artículo. Por qué?
    ---
    ¿Y mediante un ataque de Van Eck no sería posible ver las pantallas de las máquinas de voto a distancia? Esto se soluciona sencillamente ubicando a las máquinas cercanas entre sí, de esa manera generando la interferencia suficiente para que el atacante no pueda distinguir entre una máquina y otra.

    ResponderEliminar
  14. la empresa por supuesto puede liberar el código y hacerlo público. Pero lo que no dicen aquí es que MSA tiene una patente otorgada en el INPI y vigente sobre el sistema. O sea, aunque lo publique, libere, y demás: si alguien quiere contratar un sistema así, tendrá que hacerlo con ellos y nadie más. Lindo negocio: un monopolio privado sobre el acto electoral!!

    ResponderEliminar
  15. Fisa,
    En primer lugar, gracias por el esfuerzo , y felicitaciones por la buena fe (buena leche, si preferís). Arrima, ligeramente, al bochín de esta polémica sobre emisión y escrutinio electrónicos, que debe sentarse en el campo de lo racional.
    Desafortunadamente, esfuerzo y buena fe son condiciones necesarias, pero no suficientes. A medida que iba leyendo, y sin usar la lupa crítica, encontré al menos una objeción de seguridad a cada uno de los pasos que describís.
    Hay una problema preliminar y de fondo: este sistema no resuelve la objeción principal contra este sistema u otros similares: desapoderar al ciudadano común del derecho de auditar el resultado de las elecciones; y si ese derecho efectivamente se garantiza, entonces volvemos al conteo manual, y no vemos la razón para andar gastando tiempo y plata en un chiche que no agrega valor:)

    Pero en beneficio del juego y del "gedanken experiment", obviemos por ahora esa objeción como si pudiéramos.

    Puesto en términos generales, dudo seriamente que sea posible crear un modelo formal de seguridad (dejando por un momento de lado las debilidades relativas que les conocemos a los modelos formales, sabemos que no podemos construir un sistema seguro si no podemos probar _formalmente_ que sea seguro, aunque probarlo no garantiza que podamos construirlo). Pero supongamos que sí. La resultante tiene una TCB tan extensa, que me imagino un auténtico quebradero de cabeza.
    Por favor, no me pidas que desgrane aquí una a una las objeciones. Llevaría muchas páginas, muchas horas de laburo (que por orgullo profesional no hago gratis después de más de un cuarto de siglo en el área de seguridad), y para hacerlo con precisión necesito datos más precisos, como qué RFIDs usan, en que frecuencia, ¿son Philips MIFARE? ¿fueron tan haraganes de dejar las claves de default? etc., etc.
    Tampoco me pidas, por favor, que intente construir y probar/falsar el modelo formal: como dije, generalmente no laburo gratis :). Pero si te interesa discutir seriamente la cuestión, te propongo lo siguiente: fijemos aquí las condiciones para hacer un seminario público y abierto, sin NDAs de por medio, con la extensión que sea necesaria, para discutir todos los flaws de seguridad de tu propuesta y, en su caso, como los solucionaron o intentaron resolverlos. ¿Te animás?

    ResponderEliminar
  16. Fisa, te hice la pregunta en buzz pero creo que seria buena idea también ponerla acá:

    ¿Alguna entidad independiente o estatal audito el sistema?

    ResponderEliminar
    Respuestas
    1. la Fac de ciencias exactas, pera una auditoria trucha, en ninguana universidad argentina, la seguridad informatica, no es tema de estudio.

      Eliminar
  17. Antes todo gracias por la explicación.
    Al anonimo que se queja que el sistema está patentado, la patente sirve tambien para que el sistema sea mas transparente el contenido de las patentes son publicas. En cuanto al monopolio, es de 20 años, eso le permitira a MSA recuperar la inversión y luego de ese tiempo el sistema estará disponible para todos, para el estado 20 años no es nada ya que va a continuar.
    Mi pregunta concreta es: ¿Por que no es la empresa quien da la cara respondiendo en su pagina o blog institucional o algun otro medio, preguntas de usuarios y da explicaciones tan detalladas como esta? Valoro tu esfuerzo, pero no me parece que sea la tarea de un empleado hablar por su cuenta (que como decis es algo personal no institucional) sino que corresponde, si es que quieren ser transparentes, que sean ellos quienes den las explicaciones.

    ResponderEliminar
  18. "cada CD tiene un detalle de los hashs MD5 de todos sus archivos, que un fiscal podría luego comparar contra el maestro que posee el tribunal electoral."

    Hacer eras que MD5 se considera roto, especialmente para este uso. SHA-1 o SHA-256 seria lo minimo a utilizar.

    http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf

    http://eprint.iacr.org/2004/199.pdf

    ResponderEliminar
  19. "Muy buena iniciativa fisa, lastima que hay gente que no lee bien el artículo donde se explica que queda todo documentado en papel y el proceso es fácilmente comprobable por cualquier mortal que sepa leer y escribir, que los datos se envían al tribunal electoral y los fiscales pueden compararlos mientras se van cargando, que se usa md5 por ser una práctica estándar explicada en la página de ubuntu"

    Disculpame si no estoy de acuerdo. Que sea practica estandar no quita el hecho de que es inaceptable en un entorno sensible.

    Si se menciona el uso de MD5 como proteccion contra fraude, tiene que ser una proteccion efectiva, y con los links que pase arriba queda claro que no lo es.

    Muchas (pero muuuuchas, incluso debian) distribuciones estan distribuyendo hashes sha-1 o sha-256 ademas de los MD5. Usando una de esas seria ya suficiente para solucionar el problema.

    Asi que no solucionarlo es, al menos, irresponsable.

    ResponderEliminar
  20. Ultimo multipost... prometo...

    "Aparte de esos puntos, en el sistema tradicional también eran posibles muchas otras trampas, como el robo/ocultación de boletas del cuarto oscuro, que la digitalización y unificación de la boleta ya no permiten (esto es una ventaja también en los sistemas de voto en papel con boleta única)."

    Esto es falso. Con una proteccion debil del software que corre en las maquinas (parece posible que un fiscal corrupto - que los hay - cambie el CD por uno adulterado con MD5 identicos en algun momento que los otros no se enteren - es algo rapido?), es posible cambiar pequenios detalles (no tengo enie) de la votacion que son muy importantes y que no quedan plasmados en el voto. Y que son similares al robo de boletas.

    Se puede quitar un candidato, o condicionar al generador de numeros aleatorios para poner al candidato en cuestion siempre en una posicion favorable.

    Se puede quitar un candidato solo durante las primeras horas de funcionamiento, lo que efectivamente haria al proceso indetectable ante un escrutinio tecnico.

    Se pueden inventar otras formas, no de adulterar completamente el proceso, sino de "sesgar" y "guiar" la opinion de aquellos suceptibles - no son pocos.

    Lo que me lleva a la ultima pregunta: No mencionaste si se considero la posibilidad de emitir votos en blanco o nulos. La posibilidad tiene que estar disponible para el votante, no es lo mismo votar en blanco que anular el voto, y no es lo mismo votar en blanco que no votar. Y cuando salgo, la boleta no tiene que dar evidencia visible de si es voto en blanco, anulado o que.

    Lo que si te concedo, es que el sistema es una posible solucion a un unico problema: robo de boletas. Un problema a la vez no esta mal. Pero no veo que solucione ningun otro problema.

    PS: los chips RFID pueden adulterarse, solo no libremente, en formas especificas y limitadas. Aunque no creo que sea suficientemente sencillo como para ser aplicable en un fraude electoral - habria que investigar

    ResponderEliminar
  21. "la empresa por supuesto puede liberar el código y hacerlo público. Pero lo que no dicen aquí es que MSA tiene una patente otorgada en el INPI y vigente sobre el sistema. O sea, aunque lo publique, libere, y demás: si alguien quiere contratar un sistema así, tendrá que hacerlo con ellos y nadie más. Lindo negocio: un monopolio privado sobre el acto electoral!!"
    --

    ¿Esto es cierto? Si es cierto, creo que es muy dificil de defender la decisión del estado de contratar a "Magic Software Argentina".

    ResponderEliminar
  22. >>"Igualmente es un tema que se habló en la empresa, la posibilidad existe e incluso hay buena predisposición al respecto. :)"

    Disculpá pero creo que no es un tema que tenga que hablarse "en la empresa", sino en el ámbito público y no privado. ¿A quien se le ocurre que una empresa tenga derecho a decidir restringir el acceso al codigo del sistema por el que vamos a votar? Lo de "la buena predisposicion" de la que hablas parece un chiste de mal gusto realmente.
    Además te agradecería que expusieras cuales son las supuestas razones para para no publicar el codigo de las que hablas.

    ResponderEliminar
  23. El orgullo del que hablas de que el sistema sea desarrolado con software libre no tiene que ver con que no es una empresa la que unica que tiene el control real sobre nuetros sistemas infomáticos.

    ¿No se tira todo eso por la borda, al haber hecho una elección con software desarrollado por una empresa privada y software privativo?

    ResponderEliminar
  24. interesante contraste aqui

    http://fisadev.blogspot.com/2010/12/la-magia-existe.html

    ResponderEliminar
  25. A Sebastián le respondo sobre la Patente: TE ruego que vayas al INPI, Paseo Colón 717 CABA y pidas el expediente de la patente. A ver qué tan pública es. El expediente es el Nro. AR046059B1 Está concedida en enero de 2008.

    ResponderEliminar
  26. A Claudio: el robo de boletas, único problema que soluciona este sistema, también se soluciona con Boleta Unica, que además, reduce el gasto de tener que imprimir tantas boletas de cada partido por todos los votantes que hay.

    ResponderEliminar
  27. Sigo respondiendo:

    ---------

    interesante contraste aqui

    http://fisadev.blogspot.com/2010/12/la-magia-existe.html

    En primer lugar es un post que escribí antes de entrar a la empresa, y por tanto mucho antes de tener participación en el sistema de voto electrónico. De ninguna manera hace referencia a ello. Y podés comprobarlo por las fechas, está todo público :)
    Y no me refería a ese tipo de manipulación. En ese post hablo de lo mágico que es programar, y poder hacer que una computadora haga tantas cosas. Si no pudiste comprender la metáfora, una lástima, estaba bastante buena :)

    ResponderEliminar
  28. Me encanta ver que hay mucha gente que opina aca que nombra los FAILS de cada uno de los items, como rfid, md5... ni se habla de bluepill o cosas pre-BIOS, y el tema del codigo fuente: si no nombran ninguna razon, es porque ninguna es valida, son todas boludeces comerciales.

    agradezco infinitamente el tiempo que invertiste en escribir este articulo.

    ResponderEliminar
  29. Sigo respondiendo:

    ------------

    Respecto a las críticas por la patente. A pesar de que nunca me agradaron las patentes sobre software, igual es bueno que se sepa que dicha patente solo abarca al sistema actual tal cual es, con RFID y demás. Tranquilamente se pueden implementar otras alternativas, la empresa no "monopolizó la votación". Quien crea eso estaría diciendo que el sistema propuesto por MSA es el único sistema de votación que existe en el mundo, cosa que sabemos que no es cierta (desde el vamos, está el sistema en papel, o tan rápido se olvidaron de que existe? jeje)

    --------------

    ¿Alguna entidad independiente o estatal audito el sistema?

    Sip, el tribunal electoral y los partidos políticos enviaron sus fiscales técnicos a auditar el código antes, y el proceso durante la elección.

    ----------------

    ¿Por que no es la empresa quien da la cara respondiendo en su pagina o blog institucional o algun otro medio, preguntas de usuarios y da explicaciones tan detalladas como esta?

    Se explicó en muchos lados el funcionamiento, se invitó a eventos donde incluso era posible ver el código, y varias otras cosas. Solo que, basicamente, la gente no dio bola.
    Y yo hice esto porque se que tenía un poco más de posibilidad de que se escuche y debata en el ámbito técnico, donde la mayoría opinaba pero pocos conocían demasiado del sistema.

    --------------

    Muchas (pero muuuuchas, incluso debian) distribuciones estan distribuyendo hashes sha-1 o sha-256 ademas de los MD5. Usando una de esas seria ya suficiente para solucionar el problema.
    Asi que no solucionarlo es, al menos, irresponsable.

    Te recuerdo que no es crítico el CD, ya que lo que al final importa son los votos impresos.

    ---------------

    Esto es falso. Con una proteccion debil del software que corre en las maquinas (parece posible que un fiscal corrupto - que los hay - cambie el CD por uno adulterado con MD5 identicos en algun momento que los otros no se enteren - es algo rapido?), es posible cambiar pequenios detalles (no tengo enie) de la votacion que son muy importantes y que no quedan plasmados en el voto. Y que son similares al robo de boletas.

    Esto suena como un riesgo real desde la teoría. Pero vamos a la práctica: ¿podrías realmente alterar el código para que el sistema haga alguna de estas cosas y al mismo tiempo los MD5 sigan dando igual? ¿Y además, hacerlo en el poco tiempo que se posee desde que se entregan los CDs hasta que se empieza la votación?
    Y aunque pudieses, es evidente que no llegarías a distribuir la modificación a todas las mesas.
    Así que no podemos decir que se trate de un riesgo al mismo nivel que los que posee el sistema en papel. Es un riesgo muy, muy improbable, no te parece?
    Como siempre, riesgos hay. Y como siempre, el esfuerzo se centra primero en los riesgos más reales y probables :)

    -----------------

    Disculpá pero creo que no es un tema que tenga que hablarse "en la empresa", sino en el ámbito público y no privado.
    (respecto a la discusión de abrir el código)

    En realidad no, primero existe una decisión privada de la empresa acerca de si desea liberar o no el código. Y recién luego existe una decisión del ámbito público y que le compete al estado, que es la de utilizar o no el sistema que la empresa desarrolló y decidió liberar o no liberar.
    Es importante que diferencies las dos decisiones, ya que una es privada y la otra es pública. No se deben confundir.
    Recordá que no es el estado quien desarrolló el sistema, sino la empresa. Luego el estado elige utilizar o no dicho sistema.

    ------------------

    ¿No se tira todo eso por la borda, al haber hecho una elección con software desarrollado por una empresa privada y software privativo?

    No coincido, porque el sistema sigue siendo transparente al ser auditable desde lo impreso en los votos (papel).
    Y menos cuando se trata de una empresa que utiliza todo software libre, y menos aún cuando incluso está la posibilidad de abrir el código del sistema. Pero bueno, son opiniones :)

    ResponderEliminar
  30. Y finalmente respuesta a Capt. Swing:

    La propuesta que hacés creo que sería adecuado que la plantees a la empresa y no a mi en particular, ya que no se trata de un sistema mío, como hacés referencia, sino de la empresa MSA :)

    Y respecto al trabajar o no gratis, pocas personas trabajan gratis, jeje. Pero nadie en ningún momento te lo pidió, no es necesario que nos insistas :P
    Yo por mi parte trabajo y cobro por desarrollar, pero aparte también dono mi tiempo para cosas que considero importantes. Como escribir este post (que me llevó unas cuantas horas, por ejemplo), de vez en cuando aportar algo a algún proyecto, ayudar a alguien, etc.

    ResponderEliminar
  31. El primer problema, y más básico, es que MSA nos esta diciendo que tenemos que creerles. O sea, tenemos que creer que las maquinas no tienen red, tenemos que creer que no guardan datos, tenemos que creer que los RFID no se pueden leer a 5 metros, tenemos que creer que los programas hacen lo que ellos dicen, etc.

    Ahora bien, tengo un problema bastante básico en tener que creer y confiar en una empresa privada por un motivo sencillo: las empresas privadas hacen todo por plata.

    Si alguien quisiera que MSA haga algo distinto, tan solo necesita comprarla. Si esto se adopta, especialmente con la patente, y con el software propietario, significa que se ha puesto un precio (bajo o alto, pero fijo) en pesos por el control de los votos en las elecciones en Argentina.

    Eso me parece una barbaridad aún asumiendo la mejor buena voluntad de parte de MSA.

    ResponderEliminar
  32. Roberto:

    No es necesario creer, basta con auditar y ver que las cosas son así. Como dije en varios momentos el código puede auditarse, y como es de esperar, las máquinas también.

    Y si el problema es utilizar un sistema desarrollado por una empresa que gana dinero, entonces ni siquiera podemos pedirle al estado que utilice Ubuntu :/

    ResponderEliminar
  33. Roberto:

    Otro detalle, las elecciones con el sistema tradicional generalmente también son llevadas a cabo por contratistas privados. Importante saberlo.

    ResponderEliminar
  34. "El software se puede auditar": no, puedo auditar lo que MSA *dice* que es el software. No puedo auditar qué hay en cada maquina. No puedo confiar en que lo que hay en una maquina es lo que audité porque usan MD5 y es crackeable.

    No puedo auditar el proceso usado para conertir el código fuente en lo que está en las máquinas (ejemplo, tocar otras partes del SO *fuera* del soft de MSA, como ser el driver del lector RFID, o el generador de números aleatorios para cambiar la posición de los candidatos, etc)

    No puedo auditar que las maquinas no tienen un chip bluetooth adentro. Mide menos de 1mm de diametro y tiene un alcance de 30m. Y desactivado no emite nada. Como audito eso? Hacemos que voten en una jaula de Faraday?

    Y no respondiste a que pasa si simplemente alguien va y compra MSA. Entonces se puede comprar por X$ ser la autoridad de control del voto en Argentina.

    Lo de no pedirle al estado que use Ubuntu:

    1) Es una chicana, estás comparando manzanas y granadas.

    2) Yo no le pido nada, de hecho ya he escrito al respecto ;-)

    http://lateral.netmanagers.com.ar/tr/es/weblog/posts/BB914.html

    No porque ahora labure en canonical pienso distinto.

    ResponderEliminar
  35. "El software se puede auditar": no, puedo auditar lo que MSA *dice* que es el software. No puedo auditar qué hay en cada maquina. No puedo confiar en que lo que hay en una maquina es lo que audité porque usan MD5 y es crackeable.

    >> Podés agarrar el CD de máquinas al azar en medio de la votación, y hacer un diff del código python, y comparar los binarios contra los de un livecd de ubuntu. Listo.

    No puedo auditar el proceso usado para conertir el código fuente en lo que está en las máquinas (ejemplo, tocar otras partes del SO *fuera* del soft de MSA, como ser el driver del lector RFID, o el generador de números aleatorios para cambiar la posición de los candidatos, etc)

    >> Idem anterior. Recordá que está todo en el livecd.

    No puedo auditar que las maquinas no tienen un chip bluetooth adentro. Mide menos de 1mm de diametro y tiene un alcance de 30m. Y desactivado no emite nada. Como audito eso? Hacemos que voten en una jaula de Faraday?

    >> Agarrás máquinas al azar, y te ponés a escucharlas durante toda la elección. Una antena bluetooth no cuesta nada.

    Y no respondiste a que pasa si simplemente alguien va y compra MSA. Entonces se puede comprar por X$ ser la autoridad de control del voto en Argentina.

    >> Respondí a eso diciendo que no importa, porque podemos auditar todo el sistema. Recordá que todo queda en papel, por ejemplo.

    Lo de no pedirle al estado que use Ubuntu:

    1) Es una chicana, estás comparando manzanas y granadas.

    2) Yo no le pido nada, de hecho ya he escrito al respecto ;-)

    http://lateral.netmanagers.com.ar/tr/es/weblog/posts/BB914.html

    No porque ahora labure en canonical pienso distinto.

    >> Está bien, no dije que pienses así. Solo quise demostrar un punto respecto a que el estado puede usar cosas que sean de empresas pagas y eso no es necesariamente malo.

    ResponderEliminar
  36. No, con ver un diff del código python no alcanza. Un dia si queres te lo demuestro, pero es muy fácil, pensá desde cambiar paths de import a reimplementar pedazos de la stdlib y/o el intérprete :-)

    Fijate que para hacer esto vos estas diciendo que habría que auditar las máquinas mientras se están usando en las elecciones. Alguien hizo eso en Salta? Quien puede hacerlo? Voy yo, fiscal del partido minimalista chaqueño y digo, paren todo que audito la maquina?

    El estado usa cosas hechas por empresas para casi todo. Eso es normal.

    No por eso les da el monopolio sobre el funcionamiento, provisión y control de un derecho básico de sus ciudadanos.

    De hecho, si fuera el estado, y me pareciera bien este método, y quisiera adoptarlo, anularía la patente (previa indemnización).

    ResponderEliminar
  37. No, con ver un diff del código python no alcanza. Un dia si queres te lo demuestro, pero es muy fácil, pensá desde cambiar paths de import a reimplementar pedazos de la stdlib y/o el intérprete :-)

    >> Dije diff del código más comparación del resto de las cosas contra un livecd de ubuntu. Ergo, compará también la stdlib, y tooooodo el stack que hay debajo.

    Fijate que para hacer esto vos estas diciendo que habría que auditar las máquinas mientras se están usando en las elecciones. Alguien hizo eso en Salta? Quien puede hacerlo? Voy yo, fiscal del partido minimalista chaqueño y digo, paren todo que audito la maquina?

    >> Nadie pidió hacerlo, si alguien lo pide se puede. Ademas reemplazar una máquina en medio de la elección (te llevas una para auditar, ponemos otra en su lugar para que siga la mesa) son 5 minutos, no complica.

    El estado usa cosas hechas por empresas para casi todo. Eso es normal.

    No por eso les da el monopolio sobre el funcionamiento, provisión y control de un derecho básico de sus ciudadanos.

    >> Monopolio sobre el voto sería si fuese el único sistema de votación, pero existen otros. Desde el vamos, existe el voto tradicional.

    De hecho, si fuera el estado, y me pareciera bien este método, y quisiera adoptarlo, anularía la patente (previa indemnización).

    ResponderEliminar
  38. El voto en papel es necesario pero no suficiente. Aunque el recuento y verificacion en papel sea posible por cualquier persona que sabe leer, esto no se hace siempre, sino solo cuando hay alguna duda o sospecha o denuncia, en alguna urna objetada o casos por el estilo.

    La fascinacion tecnologica del e-voto puede llevar a una natural apatia de la fiscalizacion y si no es obligatorio el recuento de TODOS los votos en papel para corroborar los resultados inmediatos que envian las urnas electronicas, vamos a estar en las puertas del tecnofraude sin dudas...

    ResponderEliminar
  39. O sea,no, no se puede ir a auditar porque hay que llevar una maquina de reemplazo.

    ResponderEliminar
  40. Martín:

    En Salta, el recuento electrónico es provisorio y luego se hace el recuento del papel como definitivo.

    Roberto:

    No, no tenés que llevar otra máquina, en las escuelas hay... Me debo haber expresado mal, pero no quise decir que vos tengas que llevar una máquina si querés auditar.

    ResponderEliminar
  41. >> Podés agarrar el CD de máquinas al azar en medio de la votación, y hacer un diff del código python, y comparar los binarios contra los de un livecd de ubuntu. Listo.

    Claro, y volvemos a la tecnocracia. Sólo alguien que entienda esta frase puede auditar. O peor, yo entiendo la frase,pero no puedo auditar porque no se cómo se hace un diff del código python, etc etc... Soy profesor universitario de otra carrera no informática, por cierto. No tengo derecho a auditar?

    ResponderEliminar
  42. >> pensá desde cambiar paths de import a reimplementar pedazos de la stdlib y/o el intérprete

    --
    Y seguís hablando en un lenguaje que el 99% de las autoridades de mesa no entenderían.

    Pregunta: qué problema soluciona esto además del robo de boletas? Si eso es lo único que soluciona, Boleta única y chau problema.
    No tiene ningún sentido todo esto.

    ResponderEliminar
  43. Claro, y volvemos a la tecnocracia. Sólo alguien que entienda esta frase puede auditar. O peor, yo entiendo la frase,pero no puedo auditar porque no se cómo se hace un diff del código python, etc etc... Soy profesor universitario de otra carrera no informática, por cierto. No tengo derecho a auditar?

    Tenés derecho a auditar, y una vez más, insisto en que básta con ver los votos impresos. Lo otro es por si querés estar seguro de que la máquina tiene lo que dice tener. Pero lo que cuenta como resultado definitivo es el papel que tiene impreso el voto, y no necesitás ningún tipo de conocimiento técnico para ello.

    ResponderEliminar
  44. Fisa,
    Mi intención no era debatir con el señor de marketing, sino con quien tiene alguna relación con los `internals´del sistema. MSA, como los otros proveedores de cajitas felices, se ha negado sistemáticamente al debate público y abierto, así que imaginé que por ahí vos te animabas. Pero ante la respuesta negativa, solo puedo imaginar dos cosas: te negás a debatir porque no podés defender la seguridad del sistema salvo con "creeme que es así", o tu empleador no te lo permite; en cualquiera de ambos casos, lo lamento.

    La cuestión central en este caso (sin olvidar la objeción fundamental que citábamos más arriba, y que por ahora no tiene solución, pero continuando en beneficio del ejercicio mental) es que quien quiera fraguar una elección puede. Y, a diferencia de las "convencionales" de papel y lápiz, puede hacerlo a costo relativamente bajo, eficientemente, y dejando poca traza. Tu argumento de "al final de todo está el papel, y entonces la seguridad de lo demás no importa" tiene poco vuelo; en primer lugar, porque si lo único que cuenta es el papel, para qué le ponés todo un proceso automágico por delante, que solo aumenta los costos y la probabilidad de error; en segundo, porque estás tomando una serie de supuestos débiles que podemos probar falsos, que tienen que ver tanto con la seguridad de las `cosas inanimadas´como con la psicología del usuario (hablamos aquí de la seguridad de un sistema de información, y no de la de una máquina). Por ejemplo... ¿Midieron cuántos usuarios leen la boleta una vez impresa :)?

    Ya que no podés debatirlo, pero por ahí tus empleadores quieran, te pido que le trasmitas el ``challenge´´ sobre la seguridad de la forma cara e insegura de imprimir boletas electorales (a) vot-AR.

    Un cordial saludo,

    ResponderEliminar
  45. Y seguís hablando en un lenguaje que el 99% de las autoridades de mesa no entenderían.

    >> Nop. Eso no lo dije yo, lo dijo Roberto :)

    Pregunta: qué problema soluciona esto además del robo de boletas? Si eso es lo único que soluciona, Boleta única y chau problema.
    No tiene ningún sentido todo esto.

    >> Leiste el post? Esa pregunta está específicamente respondida. Al inicio del post pido especialmente que se abstengan de comentar quienes no leyeron todo el post, es por algo que lo hago... :)

    ResponderEliminar
  46. Fisa,
    Mi intención no era debatir con el señor de marketing, sino con quien tiene alguna relación con los `internals´del sistema. MSA, como los otros proveedores de cajitas felices, se ha negado sistemáticamente al debate público y abierto, así que imaginé que por ahí vos te animabas. Pero ante la respuesta negativa, solo puedo imaginar dos cosas: te negás a debatir porque no podés defender la seguridad del sistema salvo con "creeme que es así", o tu empleador no te lo permite; en cualquiera de ambos casos, lo lamento.

    >> Es una conclusión errada, ya que no se trata de ninguno de los dos casos. Si lo solicitás a la empresa no te van a mandar a alguien de "marketing", sino logicamente a personas técnicas con quienes puedas hacer la auditoria :)
    Fallás en ver que no corresponde en absoluto que solicites hacer una auditoria de un sistema a uno de los empleados y no a la empresa propietaria del sistema que desearías auditar.

    --------

    La cuestión central en este caso (sin olvidar la objeción fundamental que citábamos más arriba, y que por ahora no tiene solución, pero continuando en beneficio del ejercicio mental) es que quien quiera fraguar una elección puede. Y, a diferencia de las "convencionales" de papel y lápiz, puede hacerlo a costo relativamente bajo, eficientemente, y dejando poca traza. Tu argumento de "al final de todo está el papel, y entonces la seguridad de lo demás no importa" tiene poco vuelo; en primer lugar, porque si lo único que cuenta es el papel, para qué le ponés todo un proceso automágico por delante, que solo aumenta los costos y la probabilidad de error; en segundo, porque estás tomando una serie de supuestos débiles que podemos probar falsos, que tienen que ver tanto con la seguridad de las `cosas inanimadas´como con la psicología del usuario (hablamos aquí de la seguridad de un sistema de información, y no de la de una máquina). Por ejemplo... ¿Midieron cuántos usuarios leen la boleta una vez impresa :)?

    >> En relación al planteo del costo de alterar con malos fines la elección, te recuerdo que en el voto en papel basta con escribir con la lapicera un número diferente al real. En este sistema, en cambio, plantean cosas como construir antenas para leer chips RFID a distancia, o cosas similares. Me parece que una antena, o una modificación de software, es algo mucho más costoso que escribir un número con una lapicera, ¿no coincidís?
    Respecto al planteo de costo/beneficio, justamente el principal beneficio es la dificultad de realizar trampas en comparación al método tradicional. Es eso lo que justifica el costo extra, que además no es tanto.

    -------------

    Ya que no podés debatirlo, pero por ahí tus empleadores quieran, te pido que le trasmitas el ``challenge´´ sobre la seguridad de la forma cara e insegura de imprimir boletas electorales (a) vot-AR.

    >> Puedo transmitir tu propuesta. Solo necesitaría saber quien sos :)

    ResponderEliminar
  47. Fisa dixit:
    > "...sino logicamente a personas técnicas con quienes puedas hacer la auditoria :)"

    Hmmm.... creo que de ahí proviene la confusión. No pretendo auditar el sistema (trabajo ímprobo por demás inútil: que el sistema sea computacionalmente seguro `hic et nunc´no dice nada sobre cómo lo será en un día de elección) sino discutir las premisas de seguridad y el modelo formal de seguridad del sistema, si lo hubiera.

    Tu apreciación de que en el sistema actual "basta con escribir con la lapicera un número diferente al real" para justificar los beneficios del FCIIBE se funda en falacias lógicas, falacias informales y errores de hecho. No abundaré pa'no aburrir, y para no abusar de tu espacio (que creo que no destinaste a ser un foro sobre lógica :)), pero permitime un contraejemplo: los niveles de colusión necesarios para fraguar definitivamente el resultado de una mesa electoral por el sistema papel/cartón son mucho más altos que en la FCIIBE.

    Una nota marginal sobre algo ``off-topic´´ que se discute más arriba: la enorme mayoría de los programadores no son magos, sino aprendices de hechicero (ver Goethe, ``Der Zauberlehrling´´) XD

    Finalmente, Fisa dixit:
    > ">> Puedo transmitir tu propuesta. Solo necesitaría saber quien sos :)"
    Como se le dijo a Moisés, que soy el que soy, eheyeh asher eheyeh. El nombre con el que me llaman, si esa era la pregunta, es Enrique Chaparro.

    ResponderEliminar
  48. Esta muy buena esa idea yo pense que la seguridad no era buena pero despues de leer este articulo se ve que la perdida de votos seria nula, casi.

    Una pregunta algo drastica, que pasaria si por algun motivo el presidente de la mesa rompe la boleta?
    Se verificaria lo que se grabo en el livecd?, ahi se almecana todos los votos no es asi?

    ResponderEliminar
  49. Excelente explicación Fisa, a algunos nos sirve. Lamentablemente para otros es gastar pólvora en chimangos.

    Se hace evidente que como siempre hay gente dispuesta a criticar algo a como de lugar.

    Estoy cansado de leer que "el ciudadano común no puede auditar". Puede acaso auditar en las elecciones realizadas con el sistema tradicional?

    Por un lado es evidente que la consolidación se hace con un sistema informático y de allí salen los resultados que importan, o sea quien gana en un distrito dado. Nunca se publican resultados a nivel mesa como para que "el ciudadano común" pueda sumarlos utilizando un "ábaco".

    Por otro lado, el tan mentado "ciudadano común" no suele tener un acceso real al momento del escrutinio.

    Tienen idea de cómo se hace el escrutinio "real" en una mesa? Qué pasa en el todas las mesas sin representación de los partidos chicos? Creen todavía en Papá Noel y los reyes magos?

    Al menos un sistema electrónico de estas características traba un poco el accionar de las viejas mañas electorales, llámese falta de boletas de partidos chicos, voto cadena, marcado de sobres, escrutinio arreglado entre los fiscales mayoritarios, etc.

    Llegué a leer cosas de informáticos (gente que normalmente respeto) respecto a qué:

    1. Se viola el secreto del voto ya que se puede ver lo que votan los electores si usan anteojos dónde se refleja la pantalla de la máquina de voto.
    2. Se pueden ver las pantallas mediante un ataque Van Eck

    Seamos serios. Estuve tratando de comprender un poco a estos críticos y entiendo que hay quienes:

    - Son candidatos y necesitan publicidad o saben que pierde por paliza
    - Necesitan vender libros, y todos estos foros le hacen publicidad
    - Son políticos de partidos chicos que no entienden que en realidad sistemas así les complican las mencionadas mañas a partidos mayoritarios. Entiendo que sean desconfiados.
    - Son políticos de partidos mayoritarios que no quieren perder sus mañas electorales

    Pero la realidad no entiendo a los que son puramente informáticos. Que se discuta si usar un sistema de cifrado u otro es genial, aunque llevarlos a extremos ridículos de ataques Van Eck que no digo que no sean posibles, pero hay métodos más sencillos y baratos aplicables a todos los sistemas, no solamente los electrónicos.

    Seamos serios, pensemos un poco más, y en todo caso propongamos o bien mejoras o una alternativa.

    Se hace evidente que es mucho más sencillo destruir que construir.

    La verdad Fisa que se equivocaron en algo con este sistema. Tendría que correr con Windows, así estos personajes críticos se concentraban en esto y dejaban de inventar pavadas.

    Slds,

    Pigu

    ResponderEliminar
  50. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  51. En una elección a nivel nacional, cuales son las diferencias de costos con el voto tradicional?

    No estoy en contra, pero tiene casi las mismas falencias que el voto tradicional. Es mas rápido y ágil, pero le siguen faltando métodos de control para controlar a las autoridades de las mesas.

    ResponderEliminar
  52. Pigu: md5, SHA1, etc, no son sistemas de cifrado.

    Si vas a delirar a los demás, ponéle ganas.

    ResponderEliminar
  53. Estimado Roberto. En qué momento menciono que md5, SHA1 son sistemas de cifrado???

    Ves, otro ejemplo de lo que digo. Nos tomamos de cualquier cosa para criticar algún tema sin analizar a fondo las implicancias de los temas.

    Tampoco estoy delirando a nadie, y espero que los informáticos no sientan eso ya que no hay nada más alejado de la realidad.

    Solamente estoy instando a realizar un análisis realmente crítico en lugar de tomar elementos que en esencia son totalmente irrelevantes.

    Nuevamente, para cada uno de los que vamos opinando. Qué es lo que queremos?

    Un mejor sistema electoral?
    Vender libros?
    Evitar perder poder?
    Publicidad?

    Si lo que querés es lo primero, no debería molestarte mi post.

    Slds,

    Pigu

    ResponderEliminar
  54. "En el post intenté que se vea que no es necesario tener conocimientos técnicos, porque justamente la manera de fiscalizarlo es controlando papeles impresos. No hay que tener ningún tipo de privilegio o conocimientos técnicos para contar votos en papel..."

    Fisa, si para controlar tengo que contar papeles ¿me podrías explicar para qué quiero la máquina?

    MEC

    ResponderEliminar
  55. Al que dijo que un ciudadano común no puede auditar: en TODAS las mesas hay un ciudadano común auditando, el presidente de mesa.

    Y si alguien quiere auditar y no salió sorteado es tan fácil como ofrecerse de voluntario para fiscal en algún partido.

    O sea, para auditar los votos de un par de cientos de personas, necesitás poner un día de tu tiempo cada dos años. No es *tan* jodido.

    Y sí, los partidos que no pueden poner ni un voluntario en cada mesa a veces les curran algún voto. Seguro que si llevaban fiscales, ganaban, no? (vamos, hablemos en serio ;-)

    El mayor riesgo como dije antes es simplemente que acá la empresa que arma todo es privada e influenciable.

    Y como decia un comentario acerca de la ley de Schneier, esa ley dice que es muy fácil crear un sistema que uno no podría violar. Lo difícil es crear un sistema que LOS DEMAS no puedan violar. Y la manera de hacerlo es hacer que todo el mundo pueda examinarlo, por mucho tiempo.

    Aún asumiendo que la gente de MSA no pudiera encontrarle la vuelta para violar a este sistema, eso no quiere decir nada. Es así de fácil.

    Mis únicas objeciones "técnicas" son:

    1) Que el uso de md5 es indefendible, y el intento de defensa es deprimente.

    2) Que auditar hardware más complejo que una birome está mucho más allá de las posibilidades razonables de un jefe de mesa o fiscal.

    3) Que aparentemente MSA cree que es posible hacer auditoría de seguridad completa de una distro de Linux (optimismo preocupante)

    Lo demás no son objeciones técnicas, sino morales, éticas, y filosóficas nomás.

    ResponderEliminar
  56. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  57. Roberto:

    Si considerás que la presencia del presidente de mesa y los fiscales en las mesas de la votación tradicional es suficiente auditoría, entonces también el sistema electrónico está suficientemente auditado con ellos, que ven el recuento y pueden garantizar que hasta ese punto no hay fraude (porque hasta ese punto todo es comparable contra el papel. Desde el votante hasta el recuento que ellos hacen).

    ResponderEliminar
  58. MEC:

    Querés la máquina para dificultar el fraude que hacen de manera mucho más fácil en el sistema tradicional. Y también para tener un escrutiño provisorio y exacto en menos tiempo.

    ResponderEliminar
  59. Pigu: ok, si te referías a otra cosa, no ví a que era, disculpas.

    De todas formas tu comentario me pareció bastante agreta contra la gente que medianamente entiende el tema.

    O sea, es un sistema informático. Si descartás la opinión de los que saben de informática, es un error demasiado tonto como para aceptarlo callado. Los detalles no son irrelevantes. Los detalles son lo más relevante de todo. Los detalles *son* todo.

    Si empezás a tirar "que quieren, vender libros?" es un típico ataque ad hominem, atacando la motivación en vez de la respuesta en sí.

    Decir "para otros, es gastar pólvora en chimangos" no tiene intención? Vamos, no nos hagamos, que somos todos grandes.

    Como dijiste, pongamonos serios. Tu mensaje no está cerca de eso.

    ResponderEliminar
  60. "Nuevamente, para cada uno de los que vamos opinando. Qué es lo que queremos? Un mejor sistema electoral?"

    Si, siempre es bueno querer un mejor sistema. Lo importante es saber qué es un mejor sistema, que no es el que cuente más rápido, sino el que asegure que se cumplan los principios fundamentales del acto comicial en un régimen democrático:
    1. Universalidad, esto es, participación de toda la ciudadanía: ciegos o gente con visión reducida, discapacitados motrices, ancianos, etc.
    2. Secreto del voto, que no pueda saberse con un simple aparato receptor de radiofrecuencia, a metros de distancia de la urna, por quién está votando cada ciudadano.
    3. Auditabilidad del sistema y de todo el comicio por la ciudadanía en general.
    4. Otras seguridades, como, por ej., que no puedan sustraerse votos de la urna sin siquiera acceder al código fuente (http://www.eurekalert.org/pub_releases/2009-08/uoc--csh080609.php)

    MEC

    ResponderEliminar
  61. Roberto, y resto de gente:

    Saben que los escrutiños provisorios de las elecciones tradicionales también son hechos por empresas privadas? (ejemplo: el correo)

    ResponderEliminar
  62. MEC:

    Estás citando un artículo que habla sobre un sistema de urnas electrónicas. Esto no son urnas electrónicas, es algo muy diferente.

    ResponderEliminar
  63. Fisa:

    No creo que la solución Mágica a las elecciones falseadas sea utilizar voto electrónico (En cualquiera de sus sabores)

    Pero te felicito por los huevos que tenes para escribir un post sobre esto y salir a aguantar los trapos, aunque sea medio indefendible....

    ResponderEliminar
  64. Roberto,

    Entiendo tu análisis aunque disiento en lo siguiente:

    "El mayor riesgo como dije antes es simplemente que acá la empresa que arma todo es privada e influenciable."

    La pregunta es quién lo tendría que poner en práctica? Se supone que si el Gobierno contrata a una empresa para realizar una tarea (en este caso un proceso electoral y escrutinio) debería controlar a dicha empresa. Esto en el caso que la empresa haga algo que el contratante no quiera que haga.

    Asumiendo que el Gobierno podría ser el que pida que se vulnere el escrutinio, y partiendo de la base que el Gobierno es el responsable de que se realice el escrutinio, quién debería hacerlo? Cualquier otra organización contratada por el Gobierno estaría en igualdad de condiciones que una empresa privada.

    Se le podría dar el escrutinio a una Universidad pública, pero quién les libera los fondos para financiarse? Además hay otros tipos de presión fuera del dinero.

    Realmento, no digo que deba ser hecho por empresas privadas, pero no veo la diferencia respecto de cualquier otro tipo de organización. De hecho, al menos la empresa privada tiene la motivación de ser contratada para otras elecciones en otros lugares. Con una denuncia en firme por fraude, no creo que la contrate nadie. Yo diría que la empresa si quiere convertir esto en un negocio rentable y sustentable debe ser muy prolija en este tipo de cosas.

    Respecto a tus objeciones técnicas:

    1) Si es como decís, calculo que no será problema mejorarlo a futuro.

    2) Lo único que tienen que auditar es que lo que dice en el papel diga en la pantalla. Justamente es por eso que me gusta este sistema, lo puede auditar cualquiera. De última contá los papeles en la urna. Además no se disocia el papel de lo electrónico por lo que el grano de control es muy fino.

    3) No creo sencillo realizar dicha auditoría, es cierto. Pero, es necesaria?

    Así como dicen que la democracia no es un sistema perfecto pero es el mejor que conocemos, analogamente durante años pensé lo mismo del sistema de voto tradicional. Me parece que esta variante con boleta electrónica superó al sistema tradicional por diversas razones y más aún en un país lleno de tantas mañas.

    Slds,

    Pigu

    ResponderEliminar
  65. "Querés la máquina para dificultar el fraude que hacen de manera mucho más fácil en el sistema tradicional".

    Fisa, la experiencia indica que el fraude es muchísimo más fácil (y más barato) con la urna electrónica:
    - http://blog.smaldone.com.ar/2010/09/03/maquinas-que-cuentan-por-lawrence-lessig/
    - http://www.commondreams.org/views06/0601-34.htm
    - http://www.youtube.com/watch?v=4IfSVQK7Jvo

    "...Y también para tener un escrutinio provisorio y exacto en menos tiempo".
    ¿Cuánto tiempo menos? ¿Un par de horas? En el acto comicial se juega la democracia, nada más ni nada menos, que no se puede arriesgar por un par de horas.
    De otro lado, el resultado de las elecciones del 2000 en USA se conoció a las tres semanas del comicio.
    Y respecto a la exactitud... si todo salió bien, porque si no -como ocurrió en Las Grutas- nunca se sabrá el verdadero cómputo.

    Por ahora, el "estado del arte" sólo aporta incertidumbres a un acto en que -repito- se juega la democracia.

    MEC

    ResponderEliminar
  66. MEC:

    Con todo el respeto del mundo, está genial que opines y debatas... pero el post numerosas veces explica que este sistema NO es de urnas electrónicas. No solo lo explica, es algo que cualquiera puede ver. Y no solo lo expliqué en el post, sino que lo dije varias veces en los comentarios, y hasta en una respuesta dirigida especialmente a vos.
    Pero seguís insistiendo en la vulnerabilidad de las urnas electrónicas...
    Yo te digo que las peras son ricas, y vos me seguís insistiendo con que las bananas son tóxicas... :/

    ResponderEliminar
  67. Fisa: sabias que el correo argentino no es privado desde hace varios años, que le sacaron la concesión a Macri? ;-)

    ResponderEliminar
  68. En realidad el escrutinio provisorio nacional en la Argentina lo hace Indra, una multinacional española.

    Slds,

    Pigu

    ResponderEliminar
  69. Pigu:

    1) Sí, es posible hacerlo distinto. Es el mismo laburo hacerlo bien. Llevan años haciendo el sistema y lo hicieron mal. O no saben, o no les importa, o nadie quiere levantar la perdiz. Yo apuesto a "no saben" o "no les importa".

    2) No, no tenés que auditar eso solamente. Eso es el resultado del proceso de votación, no el proceso. No es lo mismo.

    Por ejemplo, ponele que hago, "mágicamente" que el PO (partido oportunista) salga primero en la lista de opciones un 15% del tiempo en vez de un 5%. Cuantos votos cambia?

    Viendo la elección de Neuquén, esa diferencia es despreciable?

    3) Sí, es necesaria. Si no entendés como funciona la máquina que usás para votar, confiar es de ingenuos. Y no, no es difícil, es imposible. Como dije, auditar una birome o una caja es trivial. Auditar una computadora y un Linux para saber que no influencian o botonean el voto? Imposible, hasta donde sé.

    ResponderEliminar
  70. Perdon:

    Como responde la maquina ante la siguiente situacion:

    Tenemos al malo M que se armó un lector de rfid que lee sus boletas

    Entonces M quiere comprar votos.

    Como M es amigo del presidente de mesa o de un tecnico de MSA, o lo que fuera, consigue una boleta en blanco, y al momento de votar, imprime dos boletas validas para el candidato C.

    Una la mete en la urna, la otra se la lleva a su centro clandestino de compra de votos.


    P no tiene un mango, M lo ve y lo recluta. Le ofrece 50 patacones para que vote al candidato C.

    M le dice a P que lleve la boleta ya impresa, e imprima la propia, para el candidato C.

    P pone el voto ya quemado en la urna, y vuelve a la base maligna de M.

    M chequea con su lector que el voto es para C y si la boleta es correcta le paga 40 patacones a P, sino le rompe las piernas a P y utiliza a su amigo A que todavia no votó para que use la boleta mala y le traiga otra para C con la que seguir comprando votos

    ResponderEliminar
  71. De paso, para que no digan que el escenario de joac es descabellado: un lector de RFID sale $100.

    ResponderEliminar
  72. Joac:

    Era más fácil si directamente decías "voto cadena", que es el nombre que eso tiene :)

    En primer lugar, vale la aclaración: el voto cadena es algo perfectamente posible en el sistema tradicional. Lo aclaro porque es una de esas cosas que digo que se pueden hacer en el sistema tradicional, y el sistema expuesto no deja hacer.

    La manera sencilla de evitar eso es algo que el sistema ya tiene, perdón por no aclararlo en el post:
    La boleta tiene dos talones con una sucesión de símbolos aleatorios. Antes de entrar al cuarto oscuro se retira el primer talón, y al salir se retira el segundo y se verifica que sean iguales. Ergo, no podés entregar una boleta que ya traigas armada, ya que no conocés la sucesión de símbolos que te va a tocar.

    ResponderEliminar
  73. Roberto:

    No es descabellado, jeje. Es algo recontra posible y común en el sistema tradicional, y por eso en este sistema se previó una manera de evitar que lo hagan :)

    ResponderEliminar
  74. Fisa: Curiosidad para aclarar nomás.

    Decis "se verifica"? Quien verifica? El presidente de mesa? Los fiscales? Todo el mundo?

    Si lo verifica solo el presidente de mesa, acabás de crear un punto único de falla. Si lo verifica la máquina, es un punto de falla.

    Asi que supongo que lo tienen que verificar los 5, 10 o 15 fiscales.

    Cuanto demora eso? "circulito, estrellita de 4 puntas, caracolito, octógono" "4 puntas, dije!" "a mi me parece una estrella ninja!" ;-)

    ResponderEliminar
  75. Roberto,

    1) Con ese criterio yo no tendría que bajar actualizaciones del sistema operativo todos los días. Yo creo que no hace mucho que se trabaja en esto, de hecho es bastante novedoso. Obviamente, si se debe mejorar todo.

    2) Tu ejemplo no es el más feliz, porque en realidad deja mal parado al sistema tradicional, que tiene una de las mayores debilidades en cuanto a que no asegura que estén todas las boletas necesarias. Digamos que la opción que da el voto tradicional es un mal mucho peor.

    Disculpá mi ignorancia pero no se a qué te referís con elección de Neuquén

    3) Nuevamente, es muy difícil la auditoría y me retracto, es necesaria. Lo que me parece que hay que auditar es el resultado y no el proceso. De hecho, el proceso tradicional no se audita más que por los fiscales (se fiscaliza en realidad). Y el presidente? Como vos decís confiar es de ingenuos. Cual es la auditoría posible al sistema tradicional? Auditar el resultado en un escrutinio definitivo. Lo bueno de este sistema electrónico es que no impide esta auditoría.

    Slds,

    Pigu

    ResponderEliminar
  76. Roberto:

    Lo verifican el presidente y los fiscales. Pero normalmente se hace rápido, los símbolos quedan cortados a la mitad por los dos talones, así que basta con ponerlos uno sobre el otro y quedan los símbolos bien armados.

    ResponderEliminar
  77. che, no es mas barato usar tarjetas perforadas??

    ResponderEliminar
  78. El unico medio para garantizar el secreto del voto es doblar la boleta???

    Medio flojo....

    ResponderEliminar
  79. Pigu:

    1) Que MD5 no sirve para garantizar la no modificación de un archivo no es nuevo. Es de hace 4 o 5 años. Lo sabe TODO EL MUNDO (en el gremio, digamos).

    2) la falta de boletas se arregla con boleta única, que disminuye el costo de la elección en lugar de aumentarlo. Acaso cambiar la impresión de las boletas sería un cambio demasiado radical comparado cn este?

    Oops, donde dice Neuquén léase Chubut.

    3) No, auditar el resultado no alcanza. Si con auditar el resultado alcanzara, no seria un problema el voto cadena en el sistema tradicional!

    Cuando se usa el voto cadena, si contás las boletas da perfecto! Es un problema de proceso, no de resultado.

    Lo mismo con, por ejemplo, usar un lector de RFID (o mucho más boludo, una cámara de 4mm apuntada a la pantalla) para saber si la gente que apretás para que vote votó "bien". La cuenta va a dar bárbara, pero el proceso es trucho.

    Ejemplo inventado que seguramente no ande:

    Ponele que soy fiscal del PG (partido guacho) y tengo un lector de RFID en la manga/celular/zapatófono/billetera/carpeta/loquesea.

    Cada tipo que sale del cuarto oscuro, le leo el voto cuando controlo los simbolitos del talón, o en la oportunidad que se me presente.

    Si se puede hacer eso, el proceso te arruina la elección, aunque el escrutinio sea exacto. Porque el voto no es secreto.

    Les garpo o no les garpo de acuerdo a si votaron

    ResponderEliminar
  80. Fisa, entonces la tarjeta con el voto grabado pasa de mano en mano?

    ResponderEliminar
  81. Anonimo que dijo que doblar la tarjeta es poco:

    Hoy en día es un sobre...

    ResponderEliminar
  82. Roberto:

    No, solo los talones (que en los dos momentos, son cortados a la vista de todos)

    ResponderEliminar
  83. Roberto:

    Y para lo que decís de filmar la pantalla, de manera de pagarles si votaron lo que vos querías. Te recuerdo que esto es algo que hoy en día ya se puede hacer, no es un problema que el sistema esté introduciendo...

    ResponderEliminar
  84. Fisa: es mucho mas facil si siempre votan en exactamente el mismo lugar. El sistema nuevo lo facilita.

    ResponderEliminar
  85. Roberto,

    1) No me refería a que el MD5 es nuevo, sino al sistema de voto con boleta electrónica.

    2) Claro que se arregla con boleta única. También lo se arregla con boleta electrónica.

    3) Una cámara la puedo poner con cualquier sistema. De hecho hay una trampa sencilla que suele implementarse con el sistema tradicional: un fiscal ingresa al cuarto oscuro aduciendo control de boletas. Cuando ingresa, "marca" las boletas con dobleces. Luego que vota el elector vuelve a ingresar para verificar que votó.

    Como ves es sencillo hacerlo en sistemas tradicionales y hay muchisismas trampas. Nuevamente el sistema este de boleta electrónica no es perfecto, pero me parece superior al tradicional y todos sus vicios de este país.

    Slds,

    Pigu

    ResponderEliminar
  86. Ok, me aburrí. Suerte con todo, ojalá no nos caguen.

    ResponderEliminar
  87. Ah, antes de irme: nunca pero NUNCA entra un fiscal solo al cuarto oscuro, porque los otros no son idiotas.

    Eso de los dobleces no existe.

    ResponderEliminar
  88. Me voy también, no me aburrí, pero los programas no se hacen solos :P

    Lo de los dobleces me lo enseño un fiscal que tiene muchísimos años en elecciones.

    Chau y nuevamente muy buena explicación Fisa


    Sdls,

    Pigu

    ResponderEliminar
  89. los dobleces si existen... ademas conozco fiscales que se ponen de acuerdo para hacerlo.

    ResponderEliminar
  90. Siguen justificando las fallas de la boleta electrónica diciendo que con el voto tradicional es lo mismo o peor.

    Se trata de buscar la mejor solución, y si hay fallas es mejor reconocerlas para poder mejorarlas.

    Yo no compraría algo porque es un poco mejor y mas caro.

    ResponderEliminar
  91. Hay que ver que tan mejor y que tan caro.

    En términos políticos, saber el resultado en 2 horas en lugar de 6 es una eternidad. Hay quien dirá "son solamente 4 horas", pero en terminos políticos es mucho.

    Además elimina unas cuantas cosas que establecen una mayor igualdad entre partidos grandes y chicos.

    Me parece muy interesante

    ResponderEliminar
  92. Si alguna ve fueron fiscales o autoridad de mesa saben que al cuarto oscuro entran todos juntos o no entra nadie.

    Si alguien me dice como haces los dobleces en esa situación, lo creo. Si no...

    ResponderEliminar
  93. Sencillo, los fiscales se ponen de acuerdo. En general cuando el presidente de mesa es un perejil, cosa muy frecuente dado que suele ser un estudiante y los fiscales son viejos zorros.

    Lo de las boletas dobladas es más viejo que el papel

    ResponderEliminar
  94. Leí el post y todos los comentarios hasta el momento, y quedé convencido que este método acá planteado es una mejora respecto al método tradicional. Los comentarios que resaltan cosas "malas" de esta emisión de un voto electrónico no me convencen que este método peor del actual. Está muy bueno que se remarquen cosas a mejorar, pero yo veo más ventajas que desventajas al realizar la comparación.

    Algunos comentarios parecen buscar que el método debe ser perfecto o no ser. Yo creo que, con que sea una mejora a lo existente es suficiente para que yo desee su implementación. Y después podemos charlar más cosas a mejorar e ir implementando estas mejoras.

    A todos los que estuvieron "charlando" de ida y vuelta debatiendo, me tomo el atrevimiento de recomendarles que se tomen dos o tres meses olvidados del tema, y entonces vuelvan a leer el post y los coment. No es que vayan a cambiar de opinión, pero es imposible deshacernos de nuestras emociones y sentí que en algunos comentarios esto ya estaba entorpeciendo el debate. Disculpen el atrevimiento.

    Les mando un abrazo a todos y, por favor, aquellos que sientan que tienen más cosas para agregar, tómense el tiempo de escribir algún post propio y mandarnos el link. Ya se me hizo engorroso seguir tanto comentario en este mismo post.


    Pablo

    ResponderEliminar
  95. Una pregunta, y no discuto ningún otro tema para que no se pierda la importancia de la misma en un mar de mis opiniones:

    Qué pasa con los discapacitados? (Notar que hay diversos tipos de incapacidades)
    Cómo se garantiza con este método el derecho a voto?
    Cómo se garantiza en caso que si pueda usar el sistema, que su voto sea secreto?
    Ejemplos: los ciegos, los que tienen discapacidad de coordinación motriz, y seguro que podemos encontrar muchos ejemplos más.

    Saludos

    Leo

    ResponderEliminar
  96. Leo, buena pregunta. Pero antes de comentarte cómo se resuelven en este sistema recordá que en el sistema tradicional no se prevee ningún tipo de solución a las situaciones de dichas personas. Por ejemplo, un no vidente no puede estar seguro de lo que una boleta en papel dice, debe confiar en quien se la lea y por tanto no puede votar sin asistencia de otra persona (sea en el momento, o antes).

    En este sistema se reseulve de manera especial el tema de los no videntes: la máquina puede ponerse en modo de "votación asistida", donde las opciones son leídas en voz alta por la máquina, y el votante elige utilizando un teclado braile. Obviamente se utilizan auriculares, para que su voto siga siendo secreto.

    ResponderEliminar
  97. Hola, leí todo el post, pero no todos los comentarios. En primer lugar comparto tu alegría de que esto se lleve adelante con SL (python incluído). Mi duda pasa por este tema: la confianza en la empresa.

    A ver si sale: si la empresa genera un soft que altera aleatoriamente datos, apostando a la "impaciencia" del usuario/presidente de mesa... imprimo en letras "voto X" pero el chip dice "voto Z"... es esperable que cada uno compare lo que esta escrito con lo que esta impreso? sería esperable, realizable que el presidente verifique los datos por pantalla con los impresos en letras en la boleta? sobre todo votaciones con mucho corte...

    Por lo demás me gustó mucho el post... me quedo pensando.

    Hasta pronto

    ResponderEliminar
  98. Nico:

    Respondo con dos cuestiones.
    Por un lado, no podrías hacer eso porque aunque te juegues a que los presidentes y los votantes no lo van a mirar, siempre te pueden agarrar cualquier máquina para auditar y te descubrirían. Además no podés jugarte a que *nadie* lo vaya a ver, siempre alguien va a mirar, y entonces te pueden descubrir.

    Pero así y todo, igual es un problema para cualquier sistema (electrónico o tradicional) que los presidentes tengan ese bajo nivel de compromiso. Imaginate, si el presidente no quiere mirar un papel para ver que fue bien contado, entonces mucho menos va a querer ponerse a contar a mano. Así que presidentes así no te sirven ni siquiera en la votación en papel, y ya es un problema de personas, y no del sistema que utilices, no?.

    ResponderEliminar
  99. Bueno, edité el post para aclararlo y lo agrego acá: ya no usamos MD5, ayer Marce lo pasó a SHA512 :D

    ResponderEliminar
  100. Buenas. En un espíritu constructivo, pienso en voz alta: digamos que viene un tipo muy jodido, alguien en contra de las instituciones y del acto electoral en sí, y aparte mal compañero para con las autoridades de mesa que se rompen laburando. Se construye un RFID-Zapper por 2 mangos, busca cualquier excusa para arrimarse a un montón de mesas (acompañando a alguien por ejemplo), lo dispara justo al lado de la urna. Es decir, te quema una soberana cantidad de boletas. Te ves obligado a contar a mano. No destruiría algo así la credibilidad sobre el sistema?

    Lo que me lleva a la siguiente pregunta: no debería pasar, pero si, dios no lo quiera, a la hora del recuento en un montón de votos no coincide lo que dice la boleta impresa (qué gente haragana, no controló en varias máquinas!) con lo que está en el chip, qué vale? Si un error de software llevó a que suceda eso, e increíblemente no se detectó antes, qué pasa con esa elección?

    Finalmente, está claro que con el método planteado, el resultado es a primera vista auditable por el presidente y los fiscales. Pero la tarea de auditar el proceso no queda efectivamente relegada a una élite sumamente reducida?

    ResponderEliminar
  101. Si la máquina te tira un papel que no es, se viola el secreto del voto. ¿Le vas a ir a decir al fiscal "me puso mal el voto"? Todo lo que está implicado en el momento de la votación es un acto privado, y así debería mantenerse.

    Saludos

    ResponderEliminar
  102. Al anónimo: si la máquina te imprime algo que no es, vos mismo lo rompés, no necesitás mostrárselo al presidente. Lo rompes, lo tiras frente a ellos, y le pedís una boleta nueva.

    ResponderEliminar
  103. dklight:
    Respecto al tema del RFID-Zapper o de muchas boletas fallando, siempre, y repito, siempre lo que cuenta legalmente es el papel impreso. Y eso justamente le da credibilidad al sistema, que puede fallar de cualquier manera la parte electrónica y eso no impide que se cuenten los votos de manera transparente. ¿Qué mejor seguridad que esa?
    Y respecto a lo que decís de que es auditable por solo una elite, en el sistema en papel ni siquiera es auditable (quién audita que las urnas no se vulneren en el camino?), así que sigue siendo un avance :)

    ResponderEliminar
  104. Hola:

    Queria hacerles una consulta:
    ¿Qué tarjeta madre utilizan (memoria, CPU,Audio,etc)?
    ¿Tiene implementado algun sistema de almacenamiento? ¿Cual?

    Desde ya gracias y espero q me respondan pronto, ahh y mi buen aporte de este blog :)

    ResponderEliminar
  105. Del hardware no tengo bien los modelos, sé que es un Atom el micro, pero si te interesa pregunto más y lo posteo.
    Y almacenamiento no tienen, no tiene disco ni memorias internas de ningún tipo. La máquina bootea desde el CD y trabaja todo en RAM, total no necesita almacenar información :)

    ResponderEliminar
  106. y gracias!! que bueno que sirva de algo :)

    ResponderEliminar
  107. Hola Fisa, gracias por contestar :) ... si no hay problema podrias preguntar un poco mas con respecto al hardware ya q estoy haciendo un tp de maquinas de votacion electronica y me haria falta esta informacion.

    Muchas gracias y el blog me ha ayudado bastante,
    Salu2
    Natalia

    ResponderEliminar
  108. Averigüé:
    Es una PC estándar con un Intel Atom 330 + MCP79 1.6 Ghz Dual Core, 1GB de RAM, LCD de 18.5 pulgadas (16:9, 1366x768), lector de memorias SD, 3 conectores usb 2.0, y los conectores estándar de audio y teclado/mouse (ps2).

    Saludos!

    ResponderEliminar
  109. Hola:

    Consulta: ¿Porque usan Ubuntu como servidor?.

    Grax

    ResponderEliminar
  110. Buenas! porque resultó una buena opción (derivado de debian, estable, etc.)
    Igualmente no es complicado migrar a otra cosa si en algún momento es necesario, después de todo sigue siendo un gnu/linux :)

    ResponderEliminar
  111. Hay un episodio de "Los Simpson" donde Homero vota a un candidato y el acuse de voto es otro. Este sistema tiene algo parecido una vez confeccionada la boleta y en caso de querer rectificarte antes de ponerla en la urna vas a tener que anularla y confeccionar la boleta una vez más. Por el momento, que yo sepa, no hay forma de anularla sin que el presidente de mesa “conozca” tu preferencia o error.
    En papel, sí. Si te equivocaste antes de salir del cuarto oscuro o inclusive antes de poner el sobre dentro de la urna podes rectificar tu voto ANONIMAMENTE.
    De todas maneras es un método más seguro pero hay que pulirlo un poco más, también hay que analizar cómo se hace para achicar la brecha tecnológica entre los jóvenes y los mayores, entre personas con acceso a una PC y sin acceso a ella.

    ResponderEliminar
  112. Buenas!
    En realidad tenés manera de anularlo sin que el presidente vea lo que habías elegido: no necesitás darle al presidente la boleta, simplemente la rompés y la tirás en su presencia.
    Aunque sí, nada quita que si el presidente y los fiscales se ponen de acuerdo, saquen los pedacitos de la basura y los unan. Pero recordá que lo único que conseguirían saber es un voto que *no* querías hacer, pero no sabrían a quién *sí* votaste, que es lo importante.

    ResponderEliminar
  113. Y respecto a la brecha tecnológica, te lo digo porque lo ví en todas las elecciones donde se usó este sistema: la gente mayor, o del campo, que nunca usó una computadora, es la que más contenta sale por lo sencillo que es :)
    Recordá que solo tenés que meter una boleta, tocar la cara del candidato, y tocar el botón verde que dice "Sí". Y listo :)

    ResponderEliminar
  114. Y quien garantiza que esto es cierto: "...chip RFID de poco alcance dentro. Hay varios tipos de boletas: las que se utilizan para la apertura de las mesas, las de voto, y las de cierre y transmisión. Después vamos a ir viendo cuándo se utiliza cada una. Es importante ya ir sabiendo que una vez que el chip se graba con datos, ya no puede ser alterado. Se graban y se "queman" de manera que no se pueda modificar la información almacenada... " no este cargado previamente con algún código o voto o que no pueda modificarse. lo tenemos que creer como Magic...

    ResponderEliminar
  115. como partido o entidad que quiera fiscalizar, simplemente pedí auditar eso, sacar boletas al azar y verificarlo. Es así de sencillo :)

    ResponderEliminar
  116. Hola Fisa:
    Queria saber cuales son las medidas de seguridad para transmision de los datos utilizan,si usan encriptacion en la transmision de los datos y cuanto es el tiempo desde que envia la informacion hasta el servidor que procesa el recuento de los votos.
    Desde ya muchas gracias y felices fiestas
    Saludos
    Naty

    ResponderEliminar
  117. Buenas!
    Fijate que en una parte del artículo comenté lo de seguridad en la transmisión:
    "Para los lectores con conocimientos técnicos: se usa SSL para cifrar la transmisión, con certificados para autenticar ambos lados, tanto al servidor como al cliente."

    Y respecto al tiempo entre el envío y el procesamiento de los datos, es nulo. Apenas un recuento es enviado queda sumado al total. Así que lo único que demora el recuento es lo que demoren los presidentes de mesa en las mesas, porque una vez transmitidos, ya forman parte del resultado.
    Eso es lo que nos permite terminar elecciones a las 8 o 9 de la noche, al mismo tiempo que las tradicionales están recién terminando al día siguiente :)

    Saludos! Y felices fiestas!

    ResponderEliminar
  118. Para que era la app de android Fiscales Salta?

    ResponderEliminar
  119. Preguntas varias
    -Costos de las boletas con RFID? o viene incluida en el precio de lalquiler de las maquinas? todo el pack quizas?
    -Suponiendo que la persona tiene un metodo para imprimir la boleta termicamente o el que fuese (emulando el diseño). Suponiendo que hay forma de corromper el chip RFID y no contenga info util para la maquina. Se toma el impreso o se toma como nulo? o que onda?
    -Sera que pueen liberar el codigo despues de las votaciones para que la gente de los feedbacks y en el proximo uso se hayan mejorado los mismos? O ellos hacen sus propios test para arreglar esas cosas?
    -la maquina para votar, si el dvd/cd no coincide con el original, marca algo? O corre cuaquier live cd que se le ponga? (suponiendo que se puede meter mano en esa parte de la maquina)
    -al final el numero de votos tiene que coincidir con la cantidad de gente que voto en cada mesa... si no coinciden? ya que la maquina decis que tampoco cuenta los votos suponiendo no solamente que no sean los votos de cual o cuantos para x grupo electoral. Tampoco mantiene un conteo general?
    -si el voto esta en el RFID pero no en la boleta?
    -si el conteo es transmitido pero no llega por que algo pao en el envio o se corrompio por algun tema en el servidor. Quien avisa a quien?
    Estas son alunas dudas que me vinieron a la mente desordenadamente.

    ResponderEliminar
  120. En caso de haber diferencias entre el conteo enviado por internet y el enviado en actas. como demuestro donde se cometió el fraude?

    ResponderEliminar
  121. Hola Fisa,
    muy interesante el post y los comentarios vertidos, aunque tal vez las cosas pudieron haber cambiado desde que se escribió quedaron algunas preguntas sin contestar que me parece interesante reformular.
    Partamos de la base que un sistema de votación no es sólo el software y el hardware (incluyo aquí tambien la trasmisión de datos). El sistema debe ser capaz de dar los mismos servicios que el anterior mejorando algunos puntos que se han decidido "claves" (Micro$oft lo entendes?!).
    En el sistema "tradicional" hay muchas trampas que se pueden hacer y que el sistema de boleta electrónica en principio hace más dificil (practicamente imposible) de repetir. Pero dejemos la lógica de lado y fijemos la atención en el sentimiento:
    En el sistema de boleta en papel se puede elegir no poner ninguna en el sobre y por lo tanto el voto se contabilizaría como blanco o se puede optar por una de las boletas y, en este caso, habría un candidato/partido que tendría un voto a su favor (quiero que presten mucha atención a los verbos utilizados elejir no es lo mismo que optar!!).
    También se puede elejir poner en el sobre un recibo de jubilación, la estampita de san cayetano o alguna de otra creencia. Esta es una elección del ciudadano tan valida como la de optar por una boleta "oficial". Esta cituación al momento del recuento hará que el voto sea declarado impugnado o nulo (no lo tengo muy claro) y que en algunos casos de fallas en el sistema tradicional lo declaran blanco violando así la elección del ciudadano en el momento de votar.
    Las preguntas que hago son, entonces:
    1) el sistema de boleta electrónica contempla la posibilidad del boto en blanco gravando esta elección en el RFID? (pues si queda en blanco se podría grabar al momento del recuento)
    2) contempla la anulación del voto? u obliga al ciudadano disconforme del sistema (Y AHORA NO ME REFIERO AL DE VOTACIÓN) que opte por una de las alternativas que se presentan en pantalla?
    Si no contempla estas posibilidades, lamento decirte que por más seguro que sea es una basura ya que limita al ciudadano a optar entre las posibilidades de un grupo de elit le pone en pantalla (y no me refiero a MSA o quien sea la empresa de tenga el servicio).
    Es importante tener en cuenta que el voto es individual, y que los individuos no son todos iguales, por lo tanto el cambio de un sistema de votación por otro no puede hacerse a expensas de la pérdida de las libertades individuales.
    Muchas gracias por tu contestación.

    ResponderEliminar
    Respuestas
    1. Buenas tardes, puedo responderle yo. El caso 1) EXISTE, está la opción dentro de la misma pantalla para toda la lista o para cada una de las partes de la boleta "cortada" (hay un simulador online que muestra esta característica, en los botones de abajo, y un resumen del proceso: https://eleccionesciudad.gob.ar/simulador/index.html). El caso 2) involucraría devolver la boleta sin imprimir contenido alguno. Más detalles en este video: https://vimeo.com/130208345 (por el minuto 11 describe lo del voto nulo, entre otros casos).

      Eliminar
  122. Inicialmente se agradece que a modo personal te hayas tomado el trabajo de escribir este post y el seguimiento del mismo.

    Respecto al sistema en sí, considero que no es correcta tu opinión (digo tuya ya que no representas a MSA) de validar errores de este sistema porque el anterior los tenia. Justamente la búsqueda debe ser por sistemas más fiables, caso contrario ningún cambio es justificable.

    Es cierto también que este sistema resuelve errores que existen en el voto papel, pero también plantea nuevos retos que antes no eran posibles. Por lo cual el foco debe estar constantemente en resolver los nuevos errores (suponiendo que existieran), no en mostrar que antes también existían.

    Justamente por esta razón es que el código debe ser público, ya que MSA considere que no tiene errores no significa que no los tenga. Siendo programador entenderás que es exponencialmente más simple encontrar errores analizando código de alguien más que el tuyo propio. Y cuando digo código estoy hablando del propio código de VOT.AR y del propio contenido del Live CD que comentas que se distribuye, ya que obviamente puedo modificar el entorno intentando obtener otro resultado. Claramente, no es válido decir que el día de la votación puedo ir a auditar una máquina de votación o pedir un live para analizarlo, eso debe ser accesible con la suficiente antelación.

    Puntualmente hablando, temas que me gustaría pudieras aclararnos:

    Quien genera y distribuye los live cd con el contenido?

    Que es lo legalmente valido? Los votos físicos o el conteo digital del sistema? (al menos en este caso puntual)

    El servidor al que transmiten las máquinas de boleta electrónica, por quien es provisto y quien realiza y audita su seguridad? (si es que conoces esta información).

    ResponderEliminar
  123. Tambien seria importante obtener mas informacion sobre la noticia del allanamiento en el domicilio de una persona que denuncio una vulnerabilidad.
    Sobre todo teniendo en cuenta tu comentario que MSA tiene fuertes intenciones de que el codigo sea publico:

    http://www.telam.com.ar/notas/201507/111442-allanamiento-voto-electronico.html

    ResponderEliminar
  124. El Problema es el fin del Voto Secreto. No hay garantías que la máquina no identifique Nº de serie de Boleta y candidato votado. La propia máquina puede tener una rutina donde borre cualquier rastro de recopilación de datos. No creo que tengan memoria no volátil y asi me lo juren, no creo que el día de la votación no lo agreguen. El que programa sabe que hay miles de bugs en cualquier software. La gente que opina en su vida programo!

    ResponderEliminar