Re: [Belenios-discuss] L'organisateur d'un vote peut-il déchiffrer les votes individuels et l'urne ?

[Véronique Cortier <veronique.cortier AT loria.fr>]

Bonjour,

L'intérêt de déléguer  l'opération de génération et d'envoi par mail des
codes de vote (credentials) à un tiers externe porte sur deux points :
- protéger contre le bourrage d'urne : même s'il est attaqué, notre
serveur n'a plus les moyens d'ajouter des bulletins valides;
- contrôler l'organisateur sur la mise au point de la liste électorale
(liste des emails) : si l'organisateur a ajouté en douce des électeurs
supplémentaires, le tiers générateur de codes de vote va s'en apercevoir
et n'enverra pas de codes de votes à des électeurs non légitimes.

> Est-ce que l'organisateur, ayant ces codes, peut totalement fausser ou
> rompre le secret:
Rassurez-vous : l'organisateur n'a pas plus de pouvoir que le tiers à
qui on déléguerait la génération des credentials. Il ne peut donc rien
casser à lui tout seul.

> - déchiffrer les votes individuels et avoir donc connaissance de ces
> votes ?
Non, c'est impossible sans les clés de déchiffrement. Les codes de vote
n'aident en rien.

> - voter à la place des individus, et donc "bourrer" l'urne ? Il faut
> quand même l'authentification pour ce faire à priori.
En effet, il faut encore l'authentification. Pour "bourrer" l'urne,
l'organisateur devra donc utiliser les codes de vote et hacker notre
serveur de vote.

> Si oui, cela est-il à la portée simple des moyens actuels d'une
> personne physique ?
Non.

> Ou nécessite des moyens lourds/puissants de chiffrement/déchiffrement,
> auquel cas le risque pourrait être accepté pour certaines élections ?
Plutôt que des moyens lourds de calcul cryptographique, cela demande des
compétences de hacker, pour pénétrer sur notre serveur. Ce n'est
probablement pas impossible.
Dans l'éventualité où l'organisateur arriverait à hacker notre serveur,
il aurait alors la possibilité d'ajouter des bulletins pour les
électeurs qui ne votent pas (les autres sont susceptibles de le
remarquer). Il faut également que l'organisateur neutralise l'envoi de
mail, sinon les électeurs non votants (dont l'organisateur usurpe le
droit de vote) vont recevoir un email leur disant qu'ils ont voté, ce
qui risque de les alerter.

Bien cordialement,
Véronique Cortier.

Le 04/05/2020 à 13:01, Hery Rakotoarisoa a écrit :
> Bonjour,
> 
> Il est conseillé de déléguer l'opération de génération et d'envoi par
> mail des codes de vote (credentials) à un tiers externe, ce qui permet
> plus de sécurité vis à vis du serveur. Il n'est pas toujours possible
> de ce faire, et je n'ai pas trouvé dans les documents le niveau de
> risque sur ce point par rapport à l'organisateur du vote.
> 
> En effet, lorsqu'on choisit de laisser quand-même cette opération au
> serveur Belenios du LORIA, l'organisateur a la possibilité de
> télécharger ces codes pour pouvoir les renvoyer aux votants par la
> suite si besoin.
> 
> Est-ce que l'organisateur, ayant ces codes, peut totalement fausser ou
> rompre le secret:
> - déchiffrer les votes individuels et avoir donc connaissance de ces
> votes ?
> - voter à la place des individus, et donc "bourrer" l'urne ? Il faut
> quand même l'authentification pour ce faire à priori.
> 
> Si oui, cela est-il à la portée simple des moyens actuels d'une
> personne physique ?
> Ou nécessite des moyens lourds/puissants de chiffrement/déchiffrement,
> auquel cas le risque pourrait être accepté pour certaines élections ?
> 
> Je vous remercie par avance de votre réponse, pour me rassurer, ou non
> ?
> 
> Bien cordialement,
> 
> PS: Désolé de l'envoi multiple par mail et une autre liste.
>