Objet : Discussion list for Belenios
Archives de la liste
- From: Stéphane Glondu <stephane.glondu AT inria.fr>
- To: Vincent Belaïche <vincent.belaiche AT gmail.com>
- Cc: belenios-discuss AT inria.fr
- Subject: Re: [belenios-discuss] horodatage des sufrages
- Date: Tue, 28 Dec 2021 13:04:56 +0100
- Ironport-data: A9a23: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
- Ironport-hdrordr: A9a23:ggu2T6pWMMhRHOjkCwgYEpsaV5t/L9V00zEX/kB9WHVpm62j5reTdZEgpHrJYVkqKQsdcLq7VZVof0msg6KdjbNhSItKPzOWw1dATrsSkbcKmAeQaREWn9Q1vcwNHNkceb+AdWSS6/yKlDVQPOxQieVvm5rY9Ns2uE0dMD2CBZsQkDuQy26gYz1Lrcp9dP0E/Vinl656TvabCBIqR/X+InEEWuzKoJnijYv8ZwELCloO9WC1/E2VADGTKWnq4v5yaVlyKH4ZgBH4uj282YmZjtGQ4jqZ91aW14hfg9Pn19tFCIitp6EuRAnEu0KWSL9de5ermXQUmaWUwn4Mt/Xgyi1AA+1Dr0z8RVyUizPJnynYlAw243un81WfmneLm6zEeA4=
Bonjour,
Le 28/12/2021 à 11:16, Vincent Belaïche a écrit :
> Par curiosité, j'ai parcouru https://www.belenios.org/specification.pdf
> en diagonale, et peut-être que cela m'a échappé, mais je n'ai pas trouvé
> si les votes étaient horodatés et s'il existait un horodatage vérifiable
> par les votants, c'est à dire également signé pour chaque électeur avec
> les mêmes accrédiations que celle de l'électeur.
Non, les votes ne sont pas horodatés. Les émargements le sont, mais pas
d'une manière cryptographiquement vérifiable. De plus, la liste
d'émargement n'est accessible qu'à l'administrateur de l'élection (et du
serveur).
> Je m'explique : supposons que je suis l'administrateur du serveur de
> vote, et qu'on m'a corrompu pour biaiser l'election. Du coup j'attends
> la date communiquée aux votants de clôture de l'élection, et une fois
> celle-ci atteinte je subtilise les accréditations de tous les
> absentionnistes et je vote à leur place.
L'administrateur du serveur ne connaît pas forcément les codes de
vote... Idéalement, il ne devrait pas les connaître : dans le mode
sécurisé, la personne qui s'en occupe n'est pas administratrice (ni de
l'élection, ni du serveur).
> Si il n'est pas possible aux votants de télécharger le contenu de l'urne
> et de vérifier la distibution temporelle des horodates, alors ce pic
> d'affluence juste après la date supposée de fermeture du bureau de vote
> est impossible à détecter, et le système n'est robuste que si personne
> ne s'abstient.
>
> La rubrique qui se rapproche le plus de cette exigence est la 3.5, à
> supposer que l'auditeur sonde très régulièrement le contenu de l'urne,
> et pas seulement après la clôture du vote.
En effet, cela est juste.
> En fait l'utilisation d'horodates n'est qu'un moyen imparfait de
> résoudre ce problème, elle pose le problème qu'elle menace l'anonymat du
> vote (savoir quand tel vote a été effectué pourrait être utilisé pour
> identifier l'électeur, par exemple le fournisseur d'accès internet
> pourrait avoir les moyens de savoir quand tel ou tel électeur a
> voté). De plus il est très probable qu'une partie de l'électorat soit
> absentioniste à chaque élection, et donc le système pourrait voter à sa
> place sans attendre la date publique de clôture de l'élection pour que
> cela soit beaucoup plus furtif.
Encore une fois, le système ne peut pas "voter à sa place" dans le mode
sécurisé. C'est d'ailleurs le premier point de divergence avec Helios
(dont Belenios s'est inspiré).
> J'ai une autre question à vous poser : supposons maintenant que je ne
> suis pas l'administrateur du serveur de vote, mais le fournisseur
> d'accès internet (FAI), et que je peux à la fois hacker le DNS et
> espioner et modifier le contenu des courriels fournissant les
> accréditations à tel ou tel électeur. Du coup quand l'électeur X veut
> voter je peux l'envoyer sur un faux serveur de vote et faire le vote sur
> le vrai serveur à sa place. De même si X veut vérifier que son vote est
> bien rempli alors je peux lui envoyer une fausse info. Du coup tout ceci
> ne peut être détecté que si les électeurs communiquent entre eux par un
> moyen hors de contrôle du FAI.
> Comment abordez-vous cette problématique ?
En effet : si l'attaquant contrôle tous les moyens de communication
entre le serveur de vote et un électeur, il peut être en mesure de voter
à la place de cet électeur.
Idéalement, il faudrait que le serveur de l'élection soit notoire et
vérifiable... mais cela n'est pas spécifique à Belenios : le même
problème se pose avec les sites de banque, par exemple. Un électeur,
comme tout internaute, doit toujours rester vigilant ! (Je sais que
c'est pas forcément évident pour tout le monde...)
Une solution possible (et supportée) est d'envoyer les codes de vote par
un autre canal, par exemple SMS ou courrier. Je dis qu'elle est
supportée car l'autorité qui génère les codes de vote peut les envoyer
par n'importe quel moyen (même si seule la possibilité par e-mail est
présentée).
À noter qu'en France, La Poste est à la fois FAI, opérateur mobile et
opérateur de courrier...
Cordialement,
--
Stéphane
- [belenios-discuss] horodatage des sufrages, Vincent Belaïche, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, Stéphane Glondu, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, HOUART Gerald, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, Stéphane Glondu, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, Vincent Belaïche, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, Stéphane Glondu, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, HOUART Gerald, 28/12/2021
- Re: [belenios-discuss] horodatage des sufrages, Stéphane Glondu, 28/12/2021
Archives gérées par MHonArc 2.6.19+.