Αρχικοποιηση μυστικης ηλεκτρονικης ψηφοφοριας & η γεννηση ιδεας

[random]

μια παρατηρηση για την διπλη πλατφορμα επωνυμη/ανωνυμη

θα μπορουσε ισως ο sysadmin να δει ποτε εγραψε καποιος στην επωνυμη πλατφορμα, και ποτε ψηφισε καποιος στην ανωνυμη, οποτε να κανει χρονικους συσχετισμους, και να μπορεσει να πει - με καποιο περιθωριο σφαλματος - ποιος ειναι ποιος
το προβλημα αυτο, βεβαια, εμφανιζεται μονο σε μικρο εκλογικο σωμα. οταν γινουμε πολλοι, χανεται, καθως θα ψηφιζουν πολλοι ταυτοχρονα. αλλα και παλι ενας πεπεισμενος sysadmin με στατιστικη και πιθανοτικη αναλυση, ισως βγαλει καποια συμπερασματα.

δεν χρειάζεται να χαλάς φαιά ουσία για ένα μεταβατικό στάδιο.
το θέμα είναι να μπουν οι σύνεδροι στην συνήθεια, ότι κάτι πέρνουν από το συνέδριο για να ψηφίζουν ηλεκτρονικά.
το τέλος είναι εδώ.

[random]

υπαρχει νοθεια και καπηλευση ομως στην διαδικασια διαμοιρασμου φακελακιων.

πως;
Αφού τα κλειδιά δεν θα τα παράγεις εσύ, θα τα παράγει ο κάθε σύνεδρος στο σπίτι του, σύμφωνα με ένα προσυμφωνημένο πρότυπο (κατά προτίμηση αναγνώσιμο απο κάποιον barcode reader).
Eσύ μόνο τους άδειους φακέλους θα φτιαξεις, τόσοι όσοι και οι σύνεδροι, και θα τους υπογράψεις.
O καθένας μετά παίρνει το κλειδί που έφτιαξε στο σπίτι, πάει στο παραβάν, το βάζει μέσα στο φάκελο και το ρίχνει στην κάλπη.

ναι, ε?
ειχα σκοπο να παραγω εγω usernames/passwords και να τα μοιρασω. αλλα εχεις δικιο, πλεον εγω θα ημουν ο αδυναμος κρικος σε αυτην την διαδικασια.
εκτος βεβαια αν ολη η διαδικασια της παραγωγης, εκτυπωσης και ανακατεματος γινει επι τοπου.

Και έτσι να κάνεις, με τα username password επιτόπου, γιατι ο σκοπός είναι απλά να συνηθίσουν στην ιδέα ότι κάτι πρέπει να παίρνουν από το συνέδριο για να μπορούν να ψηφίζουν ασφαλώς στην συνέχεια ηλεκτρονικά.

Στο επόμενο συνέδριο, και αφού εκπαιδευτούν στο πως μπορούν να παράγουν pgp κλειδιά στο σπίτι τους, μπορεί να γίνει αυτό που λέμε.

Εκτός πια και αν είναι οι συνεδροι όλοι γατόνια, οπότε πάτε κατευθείαν στο pgp.

[adrian]

θα τα φτιαξω εγω για τωρα,
θα κανω παραγωγη επι τοπου, θα τα γραψω σε χαρτακια (λογικα εκτυπωτης στην καφετερια δεν θα παιζει), shuffle, και μοιρασμα. και βλεπουμε

[Vassilis Perantzakis]

Δεν υπάρχει σύστημα ψηφοφορίας, ηλεκτρονικό ή φυσικό που να μην είναι ευάλωτο. Πάντα υπάρχει τρόπος κάποιος να πειράξει το αποτέλεσμα. Το θέμα είναι να είσαι όσο το δυνατόν πιο ασφαλής.

[random]

πάντως αν τους μάθεις ένα απλό πράγμα, να βγάζουν από ένα plaintext την hash τιμή, αυτό θα είναι ένα ακόμα βήμα, προς τον δρόμο του pgp.

το σενάριο:
ο καθένας φέρνει από το σπίτι ένα Plaintext Password της επιλογής του , και την hash τιμή του.
1 βήμα) σου δίνει την hash να την βάλεις στην πλατφόρμα,
2 βήμα) εσύ βάζεις στο φάκελο το Login name που θα το ταιριάζεις με το hash.
3 βήμα) το Plaintext τo βάζει ο ίδιος μέσα στον ίδιο φάκελο.
4 βήμα) ο φάκελος κλίνει, και μπαίνει μέσα στην κάλπη.
5 βήμα) αφου μπούν όλοι οι φάκελοι στην κάλπη, ξεκινάει η διαδικασία να παίρνει ο κάθε σύνεδρος ενα φάκελο στην τύχη.

έτσι έχουμε μια καλύτερη κατάσταση, γιατί ο admin είναι αδύνατο να ξέρει τα plaintext, και άρα είναι υπόλογος στην ΕΔ αν μπει και αρχίσει να ψηφίζει για τους ανενεργούς.
ενώ ο κάθε σύνεδρος, άμα είναι χακερόνι, το πολύ να ξέρει δύο αντί για ένα Plaintexts, και στην περίπτωση που καταφέρει να ταιριάξει το Login με το Password να έχει και δύο κωδικούς (και μόνο στην περίπτωση που είναι ανενεργός ο κωδικός που έλαβε το password του, γιατί αν δεν είναι, τότε με το που θα μπει μέσα, αμέσως θα αναγνωριστεί από τον ενεργό χρήστη, και επειδή ξέρουμε το hash ότι το έδωσε αυτός, θα τον τσακώσουμε). Μικρό δηλαδή το κακό, πολύ μικρότερο σε σχέση να ξέρει ο sysadmin όλα τα plaintexts.

καταλαβαίνεις τι εννοώ και γιατί αυτό είναι χρήσιμο, ή να το κάνω πιο λιανά;

[adrian]

ναι, δεν χρειαζεται να αλλαξει κωδικο, απο τον τυχαιο, σε κατι της αρεσκειας του
και δεν βλεπει τα plaintext οποιος φτιαξει τους φακελους οπως προτεινω εγω

[random]

φυσικά υπάρχει και ένα θέμα, αν ένας σύνεδρος είναι γκάου και δεν υπολογίσει σωστά την hash τιμή του plaintext, τότε τι γίνεται;

Αν αυτό συμβεί, για να μην επαναληφθεί η διαδικασία, πρέπει για τον συγκεκριμένο άτυχο που έλαβε τον "καμένο" φάκελο, να του δοθεί το δικαίωμα να αλλάξει password...

Φυσικά επειδή ξέρουμε ποιός έδωσε το hash, αυτόν τον γκάου τον αποκλύουμε από το να παράγει hashes για το επόμενο συνέδριο.

[adrian]

Έχω μπλεχτεί.. Μια πρόταση για μαζική δημιουργία hashes, παρακαλώ..

[random]

Έχω μπλεχτεί.. Μια πρόταση για μαζική δημιουργία hashes, παρακαλώ..

καλά ακόμα δεν έμαθες να φτιάχνεις scriptakia;
τι σκατά σας μαθαίνουν στη σχολή;

φτιάχνεις ένα αρχειο myvalues
και ένα αρχείο mykeys

Κώδικας: Επιλογή όλων

keys=`cat mykeys`
values=`cat myvalues`
for k in $keys
do
for v in $values
do
echo -n "$v" | openssl dgst -sha1 -hmac "$k" >> myhashes
done
done

[random]

ή κάπως έτσι τέλος πάντων....

πές μου πως παράγεις το ένα hash από το ένα plaintext, να σου πω πως θα φτιάξεις το μαζικό.

την εντολή που παράγει ένα hash την πήρα από εδώ.