Non lo sappiamo davvero, e questo è preoccupante.
L’anno scorso, la Virginia dell’Ovest ha fatto qualcosa che nessun altro stato degli Stati Uniti aveva mai fatto prima in un’elezione federale: ha permesso agli elettori oltreoceano la possibilità di esprimere voti assenti per le elezioni di medio termine tramite un’app mobile abilitata per blockchain. Secondo Voatz, con la quale lavorava la West Virginia, 144 persone provenienti da 31 paesi hanno inviato con successo i voti tramite l’app per le elezioni di novembre. Prima di questo in Maggio, c’era un pilota più piccolo del sistema in due contee del West Virginia.
West Virginia ha dichiarato che l’esperimento è un successo e afferma che prevede di utilizzare nuovamente la tecnologia nel 2020. Voatz ha già stretto accordi con altri governi locali negli Stati Uniti, più recentemente per le elezioni comunali di Denver a maggio.
Ma quanto è stato sicuro e accurato il voto del 2018? È impossibile dirlo perché lo stato e la società non condividono le informazioni di base che gli esperti sostengono sia necessario per valutare correttamente se il pilota di voto blockchain sia stato davvero un successo clamoroso. Con il 2020 che si profila, questo è preoccupante, dato quello che ora sappiamo della portata delle incursioni russe nei nostri sistemi elettorali nel 2016.
Funzionari statali della West Virginia hanno affermato che l’obiettivo di lanciare l’opzione di voto mobile era di facilitare il voto alle truppe che vivono all’estero. Ma i virginiani occidentali all’estero non dovevano essere nell’esercito per approfittare del processo. Tutti i cittadini dovevano fare la registrazione, scaricare l’app, eseguire alcuni passaggi di verifica come caricare un ID di foto e fare un video selfie e fare e inviare le proprie selezioni sullo schermo. E tutto ciò è stato detto di essere sicuro. Con la tecnologia blockchain utilizzata, affermava la ditta, i voti sarebbero quasi impossibili da hackerare. (Blockchain è un libro mastro pubblico digitale che registra le informazioni, può essere condiviso e utilizzato da una grande rete decentralizzata, quindi è teoricamente più resistente alle manomissioni).
Ma numerosi esperti di tecnologia elettorale hanno lanciato l’allarme su ciò che hanno detto che era l’enorme potenziale di problemi tecnici e rischi per la sicurezza sui dispositivi mobili delle persone, sulle reti che li ospitavano e sui server che contenevano le loro informazioni. Tra le parole e le frasi che descrivevano l’esperimento del West Virginia: ” orribile “, ” orrifico “, ” completamente pazzo “, ” promesse di blockchain ad alta quota “, ” i Theranos del voto ” e ” no “. Alcuni hanno indicato il mancanza di trasparenza attorno all’app, altri alla debolezza intrinseca di condurre un’elezione su Internet.
Il nostro sguardo più ravvicinato ai dettagli degli esperimenti di voto è stato presentato in un white paper di otto pagine pubblicato a febbraio, ma non ha fornito dettagli. Nel rapporto, Voatz ha dichiarato di aver trattenuto quattro esperti indipendenti di sicurezza per controllare il suo sistema. Sebbene il white paper includesse “fatti divertenti per i fanatici delle elezioni”, non è riuscito a nominare nessuno di questi revisori. Anche non in elenco: l’ambito dei test condotti, a quali esattamente i revisori hanno avuto accesso, per quanto tempo hanno dovuto eseguire i test, quali vulnerabilità sono state scoperte, la gravità di tali vulnerabilità e se sono state corrette o meno.
Alla domanda sul perché non è stata rilasciata una revisione contabile o un rapporto degli auditor, il co-fondatore e CEO di Voatz, Nimit Sawhney, che è stato co-autore del white paper, ha fornito diverse ragioni. In primo luogo, ha indicato un accordo di non divulgazione con i revisori dei conti. Quindi, ha affermato che non c’era modo di condividere ulteriori informazioni sulla revisione senza rivelare informazioni proprietarie sul sistema. Ma ci si aspetterebbe una relazione redatta o addirittura un estratto del rapporto per motivi di trasparenza, data la posta in gioco di introdurre un nuovo sistema nel nostro processo di voto già traballante. A seconda della segretezza della sua architettura di sistema è un meccanismo di sicurezza così scarso che i ricercatori hanno persino coniato un termine per questo: la sicurezza dall’oscurità .
A suo merito, Tusk Philanthropies , l’organizzazione che ha finanziato la maggior parte dei piloti Voatz per il mobile voting, ha incaricato ShiftState Security di condurre la propria revisione separata e di rivedere gli altri audit e test di penetrazione (dove gli auditor cercano vulnerabilità di sicurezza che gli aggressori potrebbero sfruttare). Andre McGregor, Chief Security Officer di ShiftState, mi ha detto che l’azienda ha schierato “un paio di consulenti”, tra cui lui stesso, oltre un mese per condurre una revisione completa della sicurezza, intervistare i dipendenti di Voatz e verificare se i test di penetrazione condotti da un’altra azienda erano in linea con risultati che ci si aspetterebbe da un pen-test di quel tipo di stack software. McGregor ha detto che Voatz “ha fatto molto bene” nell’audit. Ma ha rifiutato di rispondere a diverse domande a causa di un accordo di non divulgazione che aveva firmato con Voatz. Dopo che il vicepresidente senior di Voatz Larry Moore mi disse che la società avrebbe liberato McGregor dalla sua NDA, McGregor dichiarò che qualsiasi domanda di intervista avrebbe dovuto essere inviata via e-mail, ma non rispose a quelle.
La mancanza di trasparenza di Voatz rende difficile verificare se i voti sono stati tabulati in modo accurato. La parte più importante della conduzione di un audit di tabulazione post-voto – un modo per ottenere la fiducia che i risultati delle elezioni riportati siano corretti – richiede l’assunzione di un campione casuale di schede che rifletta il vero intento dell’elettore. Qui è dove avere una scia di carta dal voto può tornare utile. Con macchine che generano schede di carta o votazioni cartacee tradizionali, è possibile tenere il pezzo di carta e verificarlo prima di inserirlo in un tabulatore di scansione.
Il sito web di Voatz afferma che “un voto cartaceo viene generato nella notte delle elezioni” e viene “calcolato utilizzando il processo di conteggio standard in ogni contea partecipante”. Ciò significa che il voto dell’elettore viene inviato al personale amministrativo della contea in formato PDF e la contea il personale addetto stampa lo stampa e lo inserisce nel tabulatore di scansione. Le schede cartacee generate dal PDF potrebbero comunque essere utili per controllare il tabulatore stesso, ma non il processo di votazione, dal momento che l’elettore non ha mai avuto la possibilità di rivedere il lavoro direttamente. Ciò richiede all’elettore di credere che il governo farà tutto questo correttamente dietro le quinte.
“Non c’è nulla di simile da controllare quando si utilizza il voto via internet o il voto sul cellulare, quindi non c’è modo di tornare indietro e assicurarsi che la tabulazione sia corretta e che corrisponda a qualcosa che l’elettore intende”, ha detto Audrey Malagon, consulente matematico per la votazione verificata , un’associazione senza scopo di lucro che promuove la regolamentazione e la legislazione promuovendo l’accuratezza, la trasparenza e la verificabilità delle elezioni.
Il sito web di Voatz dice anche che un audit postelettorale può confrontare “le schede cartacee con le ricevute digitali verificate dagli elettori anonime generate al momento della presentazione del voto”. Ma una copia carbone di un voto mobile o online non è un voto cartaceo, e confrontandolo la ricevuta con i risultati non è un controllo di tabulazione. “Per avere un’autentica verifica della tabulazione, devi essere in grado di controllare qualcosa che l’elettore è stato in grado di verificare, e quindi ogni volta che stai introducendo questi passaggi extra e processi extra, hai il potenziale extra di errore, “Disse Malagon.
Sawhney dice che ciascun elettore riceve una ricevuta verificabile del proprio voto e ha la possibilità di verificare se rappresenta il loro intento, e una copia anonimo del messaggio di posta elettronica viene inviata alla giurisdizione. Gli audit di tabulazione sono stati condotti in base alle copie inviate alla giurisdizione. Ma cosa succede se lo schema della firma è rotto o se un’e-mail non è stata inviata correttamente a entrambi i destinatari? “L’unica cosa che un elettore può effettivamente verificare è qualcosa che l’elettore vede. Se l’elettore si trova in un luogo guardando una ricevuta verificabile da un elettore e qualcun altro si trova in un’altra posizione guardando un voto stampato che presumibilmente corrisponde a quella ricevuta, come facciamo a sapere che effettivamente lo fa? “, Ha chiesto Mark Lindeman, senior senior di Verified Voting e responsabile della politica tecnologica.
L’uso di blockchain da parte di Voatz non risolve questo problema. I sostenitori del voto blockchain sottolineano che la blockchain è resistente alle manomissioni, che dicono che possono proteggere il processo. Ma chiunque abbia votato in questo modo potrebbe voler controllare il proprio voto nella blockchain per assicurarsi che sia effettivamente lì e dice cosa intendevano.Sebbene Voatz speri di cambiarlo in futuro, i suoi utenti al momento non hanno modo di farlo. E generare schede elettorali che gli elettori non sono in grado di vedere o verificare non è abbastanza.
Anche se Voatz riesce a costruire uno spettatore che consente agli elettori di verificare i loro voti all’interno della blockchain, non risolve ancora il problema degli audit di tabulazione, dove l’uso di campioni casuali fa parte del punto. E non è possibile accertare se le copie in carbonio delle entrate di voto riflettano le intenzioni degli elettori sul modo in cui le schede cartacee possono.
Trovare una soluzione tecnica che consenta ai sistemi di voto di mostrare che ciò che viene registrato, contato e archiviato nella blockchain riflette l’intento dell’elettore senza compromettere la segretezza dell’elettore non è facile. Ecco perché molti esperti pensano che la blockchain non sia uno strumento appropriato per il voto, almeno non ancora.
Voatz ha promesso ulteriori white paper e che i futuri audit saranno condotti da aziende terze e saranno di pubblico dominio prima del 2020. Se ciò dovesse accadere, sarebbe un passo nella giusta direzione. Una verifica del voto a Denver è stata condotta dal National Cybersecurity Center, un’organizzazione senza scopo di lucro fondata su un progetto di legge firmato dall’ex governatore del Colorado John Hickenlooper, che è il direttore fondatore e ha un seggio non votante alla lavagna. L’audit di tabulazione è stato, ancora una volta, condotto sulla base delle ricevute. L’audit stesso era, perlomeno, più trasparente, con una demo di processo di audit e video pubblicati pubblicamente, insieme a un video in diretta su Facebook della Denver Elezioni di Denver.
Sono previsti anche ulteriori controlli da parte del Dipartimento della Sicurezza Nazionale degli Stati Uniti, anche se è improbabile che i risultati vengano condivisi pubblicamente in modo significativo. Donald Kersey, consigliere generale ed ex direttore delle elezioni / vice-legale per l’Ufficio del Segretario di Stato della West Virginia, ha affermato che i test di penetrazione saranno effettuati dal Dipartimento della Sicurezza Nazionale in estate e autunno, e che i test includeranno interni sul posto tentativi di intrusione in autunno. Questo genererà un rapporto di verifica, ma non pubblico, sebbene Kersey abbia intenzione di riassumerlo per gli elettori. Quando gli è stato chiesto come gli elettori possono determinare se stia prendendo le ciliegie dalla relazione, Kersey ha detto: “Se c’è qualcosa di insicuro, vogliamo saperlo, e se non può essere mitigato, non lo useremo. ”
“Nessuno è interessato a mettere fuori qualcosa che non è sicuro e non all’altezza di un certo standard”, ha detto Sawhney. “Riteniamo che sia abbastanza robusto e faccia ciò che pretende di fare.”
Ma “abbastanza robusto” non è abbastanza buono quando si tratta di votare in modo sicuro. E senza vedere un adeguato audit di tabulazione o altri dettagli su come funziona, semplicemente non possiamo valutarlo.
Future Tense è una partnership tra Slate , New America e Arizona State University che esamina le tecnologie emergenti, le politiche pubbliche e la società.
0 comments on “Cosa è realmente accaduto con l’esperimento di voto blockchain del West Virginia?”