Luci e ombre del voto elettronico
Il dibattito sui sistemi di voto elettronico, nell’ultimo ventennio, non si è mai spento, né in Italia, né nel resto dei Paesi che hanno riconosciuto ai processi di digitalizzazione, dematerializzazione ed e-democracy un posto di riguardo nell’agenda per l’innovazione e la crescita. Ma quali sono gli obiettivi che con il voto elettronico si intendono perseguire? Certamente maggiore efficienza del sistema, maggiore partecipazione dei cittadini, minore rischio di brogli e di inaccuratezza, minori costi.
Sfortunatamente però tutti i punti sopra elencati sono controversi, e le esperienze di voto elettronico affrontate in diversi Paesi non hanno fino ad ora aiutato a comprendere in maniera chiara e definitiva se sul voto elettronico prevalgano le luci o le ombre, né se l’incertezza sia solo frutto di inadeguatezza metodologica e tecnologica che il tempo potrà risolvere o, se invece, il voto elettronico rimarrà comunque una chimera.
La Sicurezza nel Voto Elettronico
In questo articolo si tenterà di offrire qualche spunto di riflessione su uno degli aspetti cruciali che è al centro del dibattito, e che probabilmente rappresenta l’aspetto dirimente, in quanto fondamentale per la plausibilità stessa dell’approccio e condizionante tutto il resto.
E’ l’aspetto della sicurezza del voto. E’ da osservare in premessa che il modello di sicurezza da considerare è estremamente sfavorevole in questo caso. Gli avversari possono essere molteplici, infatti.
Elettori, autorità del sistema di voto, intese come organizzazioni o singoli individui ad esse afferenti (es., amministratori dei sistemi informatici), individui o organizzazione esterne al voto (anche di Paesi diversi), sono tutti possibili avversari in quanto potenzialmente interessati ad alterare il risultato del voto. Ciò complica notevolmente la definizione del modello di sicurezza, poiché i requisiti di sicurezza possono essere complessi ed essere (o apparire) antitetici. Il compromesso generale che si persegue è tra segretezza del voto e verificabilità del risultato.
Requisiti di un Sistema di Voto Elettronico
Concentriamoci quindi proprio dai requisiti che la letteratura scientifica ha individuato per un sistema di voto elettronico, sottolineando da subito che non tutti i requisiti possono essere soddisfatti contemporaneamente.
- Idoneità: solo gli elettori che hanno diritto al voto possono partecipare al voto, attraverso un processo sicuro di autenticazione.
- Unicità: gli elettori idonei possono votare solo una volta.
- Segretezza: il voto è segreto, e nessuno dei soggetti coinvolti nella procedura elettorale, può scoprire il voto di un elettore o collegare il voto all’elettore.
- Verificabilità universale: qualunque soggetto, compreso un osservatore passivo, può verificare che il risultato dell’elezione è corretto.
- Verificabilità individuale (alternativa alla precedente): l’elettore è in grado di verificare che il proprio voto è stato conteggiato correttamente.
- Inclonabilità: per nessun soggetto coinvolto nel sistema deve essere possibile, a partire da un voto lecitamente immesso nel sistema, forgiare un nuovo voto che appare come valido.
- Fairness: non deve essere possibile avere informazioni parziali sul risultato del voto prima del conteggio ufficiale.
- Incoercibilità: il sistema deve contrastare la possibilità della coercizione che un avversario potrebbe esercitare su un elettore al fine di imporre un determinato voto o inibirlo.
- Scalabilità ed Affidabilità: il sistema deve assicurare un funzionamento efficiente anche in caso di elevato numero di partecipanti e deve assicurare il servizio anche in caso di guasti.
- Robustezza: tutte le proprietà di sicurezza devono permanere anche in caso di comportamenti malevoli dei soggetti coinvolti, anche basati su collusione di ragionevole dimensione.
Sfide nella Realizzazione di un sistema di Voto Elettronico
Nessuno dei requisiti elencati è facile da raggiungere, alcuni appaiono in contraddizione, come osservato prima, come per esempio idoneità, unicità e segretezza (l’elettore deve essere autenticato nel sistema come idoneo ma deve essere anonimo in esso, ma al tempo stesso il sistema deve rilevare il tentativo di ripetere il voto).
Essi però possono essere soddisfatti congiuntamente. La via elettiva che la letteratura scientifica ha sino ad ora seguito (e difficilmente si potrebbe immaginare un’alternativa) è quella dei protocolli crittografici. Un commento specifico però va fatto sul requisito dell’incoercibilità, per la complessità che esso racchiude e per il fatto che include elementi di reale incompatibilità con il requisito della verificabilità. Un sistema di voto è incoercibile se il votante può mentire in maniera convincente circa il voto che ha espresso senza che possa essere verificato il contrario.
Uno dei modi per ottenere incoercibilità in un sistema di voto è il fatto che il sistema non deve permettere di ottenere alcuna prova documentale del proprio voto. L’utente non deve essere in grado di generare una ricevuta, in grado di dimostrare cosa egli ha votato.
Questa proprietà è chiamata appunto assenza di ricevuta (recepit freeness). Dal punto di vista crittografico è possibile ottenere una ricevuta se il voto è il risultato del calcolo di una trap-door, cioè di una funzione la cui inversione è computazionalmente infeasible (e questo garantisce la segretezza del voto), ma, se viene usato un segreto, l’inversione diventa efficiente (e quindi in tal modo è possibile provare il voto).
E’ importante osservare che è stato dimostrato in [1] che è impossibile realizzare un sistema che garantisce al tempo stesso receipt freeness e verificabilità. In questo caso quindi l’incompatibilità di requisiti non è apparente, ma è reale. Va detto però che il requisito della receipt freeness non garantisce l’incoercibilità nel caso di coercizione attiva, e cioè nel caso in cui colui che esercita la coercizione ha il pieno controllo dei messaggi scambiati con sistema, ed in particolar può controllare l’input che l’utente sottopone al sistema di voto. Vi sono tuttavia soluzioni crittografiche (protocolli multi-party basati su token hardware trusted) che risolvono il problema della incoercibilità anche in caso di controllo del canale di comunicazione da parte dell’avversario.
Tuttavia esse sono ritenute non praticabili dal punto di vista dei costi. La questione poi si complica notevolmente quando il modello di sicurezza diventa più complesso, e cioè si assume che tutte le parti in gioco possono colludere, anche le autorità di voto con colui che esercita la coercizione. In tal caso, non si hanno più garanzie di soluzione.
Approccio non Crittografico e Sicurezza Procedurale
La complessità del problema è tale da rendere plausibile un approccio non crittografico, al fine di fornire una soluzione pratica, che sia appunto procedurale. E’ per esempio la scelta che è stata messa in atto in Estonia, attraverso il meccanismo di re-voting, che permette all’elettore di sovrascrivere un voto mediante una procedura speciale.
La procedura è senz’altro un aspetto cruciale nella definizione di un sistema di voto, e le vulnerabilità dei sistemi reali di voto spesso risiedono negli aspetti procedurali e in come essi vengono implementati, anche perché in tale fasi il fattore umano è particolarmente importante e, pertanto, vi è maggiore probabilità di successo di attacchi di social engineering.
Una procedura di voto elettronico è tipicamente divisa in tre fasi. La fase di pre-voto (in cui vengono effettuate operazioni di registrazione, rilascio di eventuali credenziali e scambio di chiavi e segreti), quella dell’espressione del voto, in cui gli elettori esprimo il voto, e la fase di post-voto, che include il conteggio dei voti e la pubblicazione dei risultati.
La standardizzazione e la conseguente interoperabilità del processo di voto sono ritenute estremamente importanti al punto che un organismo internazionale di standardizzazione quale OASIS, ha definito un linguaggio di mark-up specificatamente progettato per supportare la gestione del processo di voto. Esso è in sostanza un insieme di XML schema che rappresentano le diverse transazioni che occorrono nelle varie fasi di un processo di voto.
La progettazione di un sistema di voto deve quindi soddisfare i requisiti di sicurezza sopra esposti, con gli opportuni compromessi (che derivano dal contesto, e quindi dal tipo di assunzioni che è realistico definire), e le caratteristiche di interoperabilità e standardizzazione evidenziate da OASIS. Vi sono tuttavia altre caratteristiche non direttamente legate alla sicurezza ma comunque importanti, affinchè il sistema risultante sia accettabile nella pratica. Esse sono:
- Usabilità ed accessibilità: il sistema deve essere semplice da usare anche in caso di elettori con scarse abilità informatiche e deve essere accessibile anche a portatori di handicap.
- Trasparenza: agli utenti deve apparire chiaro, almeno nelle linee generali, lo schema di funzionamento del sistema, di modo tale che la percezione di sicurezza e la fiducia verso il sistema siano robuste.
- Non invasività: all’elettore non deve essere chiesta alcuna collaborazione per la fase di post-voto.
- Assenza di controversie: il sistema deve consentire di risolvere ogni controversia di natura legale che riguardi ognuna delle tre fasi del voto
- Efficienza: il processo di voto elettronico, nelle tre fasi, deve essere snello e veloce, capace cioè di ridurre drasticamente i tempi di voto rispetto al sistema tradizionale.
Una questione fondamentale da definire è anche il modo con cui il voto può essere espresso. In particolare una scelta estremamente importante, dal punto di vista dei benefici che il voto elettronico può determinare, è se consentire il voto online.
Il voto online, che abilita gli elettori a votare da casa, con il proprio PC o smartphone, quindi anche in mobilità, è certamente l’opzione più favorevole dal punto di vista dei principi dell’e-democracy e dell’e–participation. Tuttavia presenta maggiore complessità dal punto di vista della sicurezza informatica, in quanto, per prima cosa non si può assumere che la piattaforma client sia trusted. Inoltre, in caso di voto online l’incoercibilità attiva non può essere più contrastata in alcun modo, in quanto la fase di espressione del voto non è presidiata.
Vi sono certamente alternative al voto online. Tra queste i DRE (Direct Recording Electronic Systems) rappresentano la soluzione più realistica. Esse sono macchine dedicate touch-screen che supportando tutte le fasi del voto e che mantengono i voti in memoria locale nella fase di espressione del voto.
A questo punto diamo uno sguardo ai meccanismi crittografici usati negli schemi di voto elettronico. Premettendo che vi sono svariate proposte presenti in letteratura, possiamo però identificare i meccanismi più significativi nel panorama complessivo degli schemi proposti.
Il primo problema da risolvere è certamente quello dell’anonimato nella rete. Tale problema assume un ruolo realistico nei casi in cui il voto è online e viene trasmesso quindi da un dispositivo di cui l’elettore è proprietario, o comunque potrebbe condurre all’identificazione del votante, legando così la sua identità al voto. L’approccio ipotizzato è quello delle Mixnet, un protocollo di routing anonimo che combina schemi crittografici a chiave pubblica e randomizzazione dell’istradamento dei messaggi tra in nodi della rete. Il protocollo Onion, da cui deriva la rete Tor, implementa un tipo di Mixnet.
Un altro problema fondamentale da risolvere in uno schema di voto elettronico è l’esigenza da parte delle autorità di voto di accreditare il voto come valido (espresso da persona idonea correttamente autenticata, non ripetuto), senza però conoscere il contenuto del voto, né poterlo collegare all’identità del votante (unlinkability). Ciò si ottiene tipicamente con protocolli di blind signature, che, grazie alla presenza di valori random immessi nel messaggio dal votante prima della firma, offuscano il contenuto del messaggio firmato dall’autorità pur consentendo solo a chi conosce il random di renderlo palese.
Altro meccanismo da citare è quello del secret-sharing, il cui scopo è, attraverso protocolli crittografici di tipo threshold, di implementare il possesso di segreti da parte dell’autorità di voto in maniera distribuita tra più soggetti indipendenti, in modo tale da garantire la robustezza del protocollo anche in caso di un numero di autorità che colludono inferiore ad un parametro k, che si assume garantire la non plausibilità della collusione stessa. Infine, è da citare il ruolo fondamentale che hanno gli schemi crittografici omomorfi. Infatti è necessatio poter effettuare il conteggio nel dominio cifrato. Pertanto i voti devono essere cifrati secondo uno schema crittografico omomorfo rispetto alla somma, in modo da poter ottenere il requisito di fairness.
Le vulnerabilità dei sistemi di voto elettronico sono molteplici. Anche di fronte ad uno schema crittografico robusto, vi possono essere numerosi punti di debolezza legati ad aspetti procedurali, implementativi e tecnologici. Ad esempio, nel caso di voto online gli attacchi possono riguardare i server, i client e il canale di comunicazione.
Ad esempio sulla piattaforma del client può essere installato un malware che può permettere l’attaccante di arrivare al fino al controllo totale del voto. Gli attacchi di tipo DoS, specialmente distribuiti, sono inoltre una reale minaccia nel caso di voto online. Anche nel caso di sistemi non online, come i DRE, le minacce sono eliminate, sia perché i sistemi reali possono includere vulnerabilità tecniche [3], sia perché gli attacchi possono provenire da parte di insider. Rimane comunque il problema generale della scarsa percezione di trasparenza e sicurezza da parte dell’elettore, che secondo alcuni studiosi può essere superato solo se il sistema produce una ricevuta cartacea a discapito della incoercibilità.
Rispetto agli aspetti di sicurezza del voto elettronico deve essere inoltre considerato il fatto che, in caso di adozione di sistemi di voto su larga scala, l’aspettativa che attaccanti informatici anche appartenenti ad organizzazioni criminali o a coalizioni politiche interne od esterne al Paese in cui si svolgono le elezioni o, ancora, a Paesi ostili, deve essere concreta. Le valutazioni relative ai presunti vantaggi derivanti dall’adozione del voto elettronico andrebbero fatte ipotizzando l’impiego di adeguate risorse dedicate alla sicurezza informatica, logica e fisica di ogni componente del sistema.
Le esperienze dei Paesi in cui sono state implementate soluzioni di voto elettronico, come anticipato in premessa, non hanno fino la momento chiarito se il voto elettronico possa realmente essere adottato con un livello di sicurezza adeguato, rispetto alla criticità delle funzioni svolte, e costi accettabili. Vi è da dire anche che molte soluzioni sono proprietarie e non è chiaro se e come soddisfino i requisiti richiesti ad un sistema di voto elettronico.
Un caso di studio interessante è certamente quello della Norvegia, che ha sperimentato il voto elettronico nel 2011 e nel 2013 per votazioni amministrative e politiche. L’esperienza della Norvegia si è conclusa tuttavia negativamente, in quanto il governo ha deciso di considerarla definitivamente conclusa e di abbandonare, almeno nei programmi di breve-medio termine, l’obiettivo dell’adozione del voto elettronico.
E’ interessante osservare che i protocolli crittografici utilizzati nel sistema norvegese sono tutti noti, così come l’intera architettura di funzionamento. Si tratta cioè di una soluzione open, che si presta quindi ad essere analizzata da osservatori esterni anche dal punto di vista della sicurezza. Esiste infatti un recente studio, che effettua una verifica formale della sicurezza del sistema di voto elettronico norvegese [2].
Dallo studio emerge qualche elemento di insicurezza che sorge in alcuni casi di collusione plausibile e qualche altro legato alla distribuzione iniziale dei segreti, rispetto alla quale, tuttavia, la documentazione a disposizione non permette di valutare il livello di severità, che appare comunque non trascurabile. Ad esempio, se l’avversario è in grado di accedere alle mailbox dei votanti e agli SMS inviati da un entità che fa parte delle autorità di voto (il Recepit generator), allora può immediatamente ricostruire tutti il contenuto di tutti i voti.
Lo studio non analizza le proprietà di receipt-freeness, incoercibilità e verificabilità, rimandando questi aspetti a studi futuri. Le motivazioni che hanno spinto il governo norvegese a sospendere la sperimentazione sul voto elettronico sono di fatto legate alla sicurezza, legando essa all’aspetto della partecipazione al voto. Dalla sperimentazione sarebbe infatti emerso che i cittadini non hanno piena fiducia nella sicurezza ed inviolabilità del sistema elettronico di voto, al punto che percentuali significative di popolazione percepiscono in maniera apprezzabile il rischio che i voti possano essere resi noti o pubblicati. Ciò pertanto potrebbe condizionare significativamente il processo democratico.
In conclusione si può affermare che la questione del voto elettronico è certamente complessa e controversa, e che sebbene opinioni a favore di una sua adozione per elezioni politiche ed amministrative abbiano solide motivazioni, i dubbi legati al bilancio tra garanzie di sicurezza ed economicità della soluzione permangono. Anche l’aspetto psicologico non è da trascurare, per evitare che la percezione di insicurezza possa compromettere la partecipazione al voto, ma ciò è legato a dinamiche che esulano dagli aspetti meramente tecnici del problema.
Certamente iniziative che vengono impropriamente etichettate come esperienze di voto elettronico (che sfortunatamente esistono anche nel contesto politico italiano) in cui nessuno dei requisiti di sicurezza esposti precedentemente è preso in considerazione e che non si fondano su meccanismi crittografici, non vanno nella giusta direzione, sia perché di fronte all’evidente insicurezza ed opacità della soluzione diminuisce la fiducia della popolazione verso l’uso della tecnologia per la partecipazione democratica, sia perché rappresentano veri e propri esempi in cui la tecnologia può diventare un’arma di controllo delle opinioni nelle mani di pochi (amministratori e gestori di tali servizi) e di possibile mistificazione della partecipazione democratica stessa.
Le tecnologie, nell’innovazione della governance di una Nazione, rappresentano strumento di democrazia e libertà solo se impiegate con modalità adeguate, che garantiscano trasparenza e verificabilità, e a tal fine la sicurezza ha un ruolo cruciale.
Non è chiaro pertanto se il voto elettronico potrà effettivamente essere usato in maniera massiva per elezioni amministrative e politiche. La percezione dell’autore è che l’obiettivo debba ancora essere perseguito ma che, comunque, sistemi di rilevamento dell’opinione dei cittadini basati su approcci metodologici e tecnologici sicuri, mutuati dal mondo dell’e-voting, potrebbero certamente portare significativi benefici, nella direzione di una concreta attuazione dei principi di e-participation [4].
Tali sistemi potrebbero essere “lightwheight”, perchè meno critici dal punto di vista della sicurezza e renderebbero possibile sul piano dei costi la partecipazione continua dei cittadini alla governance della comunità. L’uso di layer di condivisione e collaborazione come i social network o blockchain) potrebbero certamente semplificare l’implementazione di tali soluzioni anche attraverso approcci di tipo crowd-based.
Inoltre sarebbe auspicabile la convergenza verso l’adozione di infrastrutture di identità digitale pubblica compatibili con il regolamento europeo eIDAS (come il sistema SPID in Italia), opportunamente modificate per garantire i requisiti di segretezza del voto, abilitando le funzioni di certificazione degli attributi (ruolo dell’attribute provider) anch’esse rese anonime (attraverso tecniche di anonymous credential e selective disclosure) al fine di permettere processi di analisi delle opinioni dei cittadini che siano però compatibili con i requisiti di privacy.
Bubliografia
- [1]. Chevallier-Mames B., Fouque P.A., Pointcheval D., Stern J., and Traoré J. On Some Incompatible Properties of Voting Schemes. D. Chaum, R. Rivest, M. Jakob-sson, B. Schoenmakers, P. Ryan, and J. Benaloh. Towards Trustworthy Elections, 6000, Springer, pp.191-199, 2010
- [2] Cortier V., and Wiedling C. (2017). A formal analysis of the Norwegian E-voting protocol. Journal of Computer Security, 25(1), 21-57.
- [3] https://www.schneier.com/blog/archives/2015/04/an_incredibly_i.html
- [4] Buccafurri, F., Fotia, L., Lax, G., and Saraswat, V. (2016). Analysis-preserving protection of user privacy against information leakage of social-network Likes. Information Sciences, Elsevier, 328, 340-358.
A cura di: Francesco Buccafurri
Il Prof. Francesco Buccafurri è professore ordinario di Ingegneria Informatica presso il Dipartimento DIIES dell'Università Mediterranea di Reggio Calabria. È responsabile dei corso di Information Security e Affidabilità e Sicurezza del Software nel corso di laurea magistrale in ingegneria informatica e dei sistemi per le telecomunicazioni. È anche il Coordinatore dello stesso corso di laurea magistrale. E’ stato docente in svariati master universitari di primo e secondo livello e aziendali, tra i quali il master in Cybersecurity organizzato dal Distretto della Cybersecurity di Poste Italiane nel 2016 presso l’Università della Calabria. E’ stato invited speaker presso diverse università ed istituzioni private e pubbliche. Nell’ambito della cybersecurity, i suoi interessi di ricerca includono protocolli e algoritmi crittografici, firma digitale, protezione dell'infrastruttura critiche, identità digitale, trust, privacy, e-government e social network. Il Prof. Buccafurri è autore di oltre 140 pubblicazioni su prestigiose riviste internazionali e atti di conferenza internazionali. Alcuni recenti risultati scientifici relativi ad una vulnerabilità del processo di firma digitale (ripresi dalla stampa nazionale) sono stati tenuti in considerazione nella revisione delle norme tecniche sulla firma digitale in ltalia (DPCM 22 febbraio 2013).E’ membro dell’editorial board di riviste scientifiche internazionali, tra le quali Information Sciences (Elsevier), e membro del comitato scientifico di svariate conferenze di cybersecurity. E’ general chair della conferenza ARES 2017 (12th International Conference on Availability, Reliability and Security).
Il Prof. Buccafurri è il direttore del nodo UNIRC del Laboratorio Nazionale di Cybersecurity, fondato sotto l'egida del CINI (Consorzio Interuniversitario Nazionale per l’Informatica). Il Prof. Buccafurri ha ricoperto il ruolo di responsabile di progetto per diversi progetti di ricerca finanziati da programmi nazionali ed europei.