6. Igual y Secreto

6.1 El problema de la Confiabilidad

"Igual y Secreto". Estas dos palabras introducen el concepto de la Fiabilidad y la Confiabilidad en el sistema de votación.

• ¿Cómo puede saber un votante, que no hay "pucherazo electrónico"?
• ¿Cómo puede el votante tener garantía de que su voto es realmente secreto?
• ¿Qué mecanismos de supervisión se pueden poner en marcha?
• ¿Qué ventajas nos aporta el software libre respecto al tema de la confiabilidad?
• ¿Qué sistemas se pueden implementar para evitar pucherazos intencionados o no?
• Ante caídas del sistema, ¿cómo puedo recuperar el estado anterior para que la votación no quede invalidada?
• ¿Hasta que punto el sistema es fiable, y resistente a ataques?
• ¿Es el servidor de voto seguro? ¿Cómo garantizar un "a prueba de Hackers"?

Por un sistema Confiable entendemos aquel en el que no se hace trampas, en el que se garantiza que el sistema funciona sólamente como se prevee que va a funcionar, sin puertas traseras ni trampas ocultas que modifiquen los resultados

Por otro lado un sistema Fiable es aquel sistema que es capaz de funcionar en condiciones adversas, que se recupera ante fallos, que incorpora mecanismos de seguridad específicos...

Son las dos caras de la moneda del proceso de identificación, recuento y verificación de resultados.

6.2 Control de la confiabilidad en el sistema de voto tradicional

Para ponernos en antecedentes, repasemos el proceso de recuento de votos en un sistema tradicional:

1. En la mesa existen presidente, secretario y dos vocales
2. Además cada partido político nombra a discrección diversos interventores en cada mesa
3. El usuario una vez autentificado y emitido el voto, queda registrado de manera que no puede volver a votar
4. La urna garantiza el anonimato del voto
5. El recuento se hace en vista pública
6. El registro y acta de la votación se hace por triplicado, enviándose los datos al Centro de Proceso de datos por teléfono, y por correo certificado. Una de las copias del acta se lleva a la Junta Electoral de Zona, para ser utilizada en caso de discrepancias
7. La introducción de datos se realiza por duplicado. Cada operador del centro de proceso de datos recibe una copia del acta, de manera que sólo se contabilizan las actas cuando dos operadores introducen los mismos datos referidos a la misma mesa. En caso de discrepancias, un sistema de alarma hace entrar en juego al supervisor que contrasta los datos con la segunda copia del acta. En caso de dudas se acude a la junta electoral de zona, para cotejar con el tercer acta
8. El ordenador está permanentemente supervisado y mantenido en previsión de posibles caídas. El sistema de presentación de información es totalmente independiente del de conteo, de manera que en caso de caída de uno, -o de ataque- el otro no se ve afectado
9. Por supuesto, un sistema de consultoría y certificación externa dependiente de la Junta Electoral Central garantiza que el ordenador hace lo que debe...

6.3 La confiabilidad en un sistema informático de voto

Vamos a trasladar ésto al mundo electrónico. Para ello vamos a identificar y tratar cada uno de los problemas por separado. El proceso de autentificación fue tratado en el apartado anterior, por lo que no lo comentaremos más.

El secreto del voto

El concepto de Secreto del voto tiene varios aspectos:

• Secreto en las comunicaciones
• Secreto en la contabilidad
• Secreto en la información de datos parciales

Hemos visto que una adecuada encriptación oculta las comunicaciones. No obstante, aún es posible una mejora adicional: la fragmentación de la información. No es lo mismo que circule un mensaje que diga "José López vota SI a la supresión de los exámenes de Septiembre" que decir "El usuario 34 escoge la opción 2 de la consulta 14". En el primer caso basta con descifrar un mensaje; en el segundo hacen falta descifrar al menos cuatro.

El mejor método para asegurar el secreto de la contabilidad es que ésta no exista. Para ello las tarjetas de voto de cada usuario, solo deben contener campos que digan si el usuario ha solicitado o no el voto, y si éste ha sido emitido o no ( opcionalmente, la fecha de emisión). Del mismo modo cada opción de la consulta no almacena datos individuales, sino un contador. Los resultados son evaluados a la vez que se generan, no a posteriori.

Un último punto en este apartado lo representa, los aspectos de visibilidad de resultados parciales: en función de la votación, puede ser conveniente o no, presentar datos de participación, resultados parciales, porcentajes, etc El sistema debe ser capaz de proporcionar esta flexibilidad a la hora de la elaboración de consultas

La seguridad ( fiabilidad ) del sistema

El concepto de Seguridad lo medimos en:

• La protección del sistema frente a ataques externos
• La protección frente a caídas o fallos en el software o en el equipo
• La protección frente a manipulación por parte del administrador

Puesto que trabajamos con un sistema que utiliza una serie de bases de datos, y dado que dicha base de datos está sujeta a una serie de requerimientos legales en base a la LORTAD, estos puntos son de obligado cumplimiento. Especialmente severa es la LORTAD en cuanto al papel y actuación del responsable del sistema y las sanciones por inclumplimiento de las normas establecidas. Entre estas, podemos citar la obligatoriedad de existencia de protocolos de actuación, sistemas de encriptación, mecanismos de backup y recuperación, registro de incidencias, etc. Todo esto está reglamentado y documentado en los en los reglamentos de aplicación de la LORTAD, y su correcta aplicación permiten confiar -hasta cierto punto- en el administrador. Realmente haría falta una "Autoridad de emisión de consultas", al igual que existe una "Autoridad de emisión de certificados digitales"

La verificabilidad del sistema

El concepto de Verificabilidad incluye los puntos:

• Acceso al código fuente del sistema de voto
• Acceso a los registros de funcionamiento
• Obtención de certificados de autenticidad por parte de terceros
• Existencia de procedimientos de log que permitan resolver dudas e impugnaciones, manteniendo el carácter de secreto del voto

Estos puntos garantizan que el votante puede conocer en todo momento, qué hace, y como funciona el sistema. Para ello debe tener algún mecanismo adicional que le garantice que su código corresponde a su binario, bien mediante firma digital, bien mediante acta notarial, o incluso mediante sistemas de acceso directo al código del servidor

Los sistemas de registro y logging deben conjugar el registro de operaciones e incidencias, con el secreto del voto. Es admisible registrar que un usuario votó en un momento dado pero no lo es registrar su voto

6.4 Software libre como medio ideal para generar sistemas confiables

El uso de software Libre proporciona el medio ideal para poder realizar los procesos de verificabilidad: si el votante tiene acceso al código fuente, y tiene a su vez la certificación de que dicho software es efectivamente el que se está ejecutando en el servidor, los demás problemas son obviados, pues es directamente verificable en el código que éste hace lo que dice, y no otra cosa

Queda por resolver el problema del uso malintencionado del sistema. Se pueden utilizar técnicas de replicación y de doble chequeo, como las que se utilizan en los recuentos electorales actuales. De esta manera, a menos que el administrador tenga acceso a TODOS los servidores de que consta el sistema, no podrá falsificar los datos de la consulta... En la práctica suele ser más sencillo recurrir a supervisión y monitorización por parte de terceros.

Despues de leer todo este análisis, no le quedará duda al lector de que el voto electrónico es algo más que un simple contador. Está claro que en bastantes casos muchos de estos requisitos no son necesarios, e incluso pueden significar un engorro por parte de los usuarios, pero no podemos olvidar que el ejercicio de la Democracia es un derecho constitucional, que debe estar garantizado y preservado. La legislación y el sentido común obligan a todos estos condicionantes, que deben ser cumplidos para que el voto sea válido y la consulta representativa, verídica y que tenga validez ejecutiva

Una vez que nos hemos puesto tan serios, vamos a bajar al mundo real, y vamos a analizar los diversos sistemas de software libre que existen en la actualidad para el voto electrónico, así como las técnicas de certificación, encriptación, verificación, etc de que disponemos los amantes del software libre.