John Jensen

Et Mozartøjeblik

Ja, bortset lige fra at den kan risikere at være på flere gigabyte...

Ja så er der selvfølgelig grænser for hvor hurtigt det kan gøres.

Hvis man nu i stedet for at for at skrive direkte til WARC filen, skrev de enkelte resourcer råt til disk og så lod en backend process stå for den serialiserede skrivning til WARC filen, så slap man for at finde/opfinde et HTTP bibliotek der kunne serialisere POSTs.

Det lyder ellers som et spændende projekt. God fornøjelse.

13. januar 2014 kl. 22:13
Et Mozartøjeblik

Jeg tror problemet løses kunne mindskes ved at omskrive/udvide api'en så race conditions, såvel som tiden der skal låses for at undgå dem, minimeres, i det mindste når det drejer sig om store diskimages. Man kunne f.eks. arbejde med midlertidige resourcer, som oprettes ved et eller flere POSTs og som så ved endt upload tilføjes arkivet ved endnu et POST. Der er stadig mulighed for race condtions, men da alle bits nu er tilgængelige på servere, burde en atomisk append kunne udføres relativt hurtigt.

13. januar 2014 kl. 16:10
Norge gør klar til e-valg: 250.000 kan stemme til Stortingsvalg via nettet

Dette kan gøres i en HSM, så man på intet tidspunkt ser den fulde nøgle. Der er dog stadig et system at stole på.

Men nøglen skal vel efterfølgende ni-deles og kopieres ud på ni usb-nøgler, så de genererede nøgler skal vel passere igennem en alm. computer. Alternativt så skal man specialbygge en HSM med ni usb-porte, nøglegenereringen skal så foregå på live-tv, hvor HSM'en efterfølgende destrueres. Problemet er jo stadig bare, som du selv nævner, at jeg skal stole på at nøglen ikke på forhånd er lavet og lagt ind på "HSM'en". Min pointe er, at der skal nogle helt skøre foranstaltninger til, for at vi bare kommer i nærheden af at kunne stole på det.

Hvis jeg istedet kunne vælge en uafhængig aktør, såsom "Dataloger for sikre valg", et politisk parti, en fagforening, el. lign., til at levere krypteringsnøglen, så ville det være enormt meget nemmere for mig at stole på. Hvis der er mange uafhængige aktører der fungere som identitets-/anonymitetsproxyer, så er vi ovre i et scenarie, hvor man skal korrumpere rigtig mange for at påvirke resultatet og samtidig er der også langt større chancer for at nogen ville råbe højt, hvis der er ugler i mosen.

~ John

15. august 2013 kl. 09:19
Norge gør klar til e-valg: 250.000 kan stemme til Stortingsvalg via nettet

Man får en sms med en kvittering på hvad man har stemt:http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e-valgsystemet1/registrert1/registrert3.html?id=597814Farvel til hemmelige valg. Sms'en bliver formodentlig logget i terrorbekæmpelsens navn og mon ikke trebogstavs-tjenesterne kan få en liste over hvilke tilfældigt genereret kvitteringskoder der er sendt til den enkelte borger.

Den ni-delte nøgle er appelsinen i sikkerhedsturbanen:http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e-valgsystemet1/telling1/telling4.html?id=599367Hvis der er tale om en relativ standard asymmetrisk kryptering, så må den ni-delte nøgle jo være blevet genereret samtidig med den offentlige nøgle og altså have været hel på et tidspunkt. Heldigvis kan vi jo stole på at den hele nøgle ikke er blevet kopieret inden den blev delt.

Alle de krypterede stemmesedler fra tællemaskinen slettes efter endt optælling:http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e-valgsystemet1/telling1/telling5.html?id=599411Så må man bare håbe at ingen får fat i databasen, hvor de også ligger gemt: http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e-valgsystemet1/telling1.html?id=599364

Alle interesserede kan vælge at agere som valgobservatører for deres egen stemme:http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/omprosjektet/bli-digital-valgobservator.html?id=731817Det er også praktisk at man ved hvem der holder øje med sin stemme når man skal fuske med resultatet. "Se, et tal du har fået står på en liste, så er din stemme talt med." Faktisk så er listen med hash af de krypterede stemmer en glimrende ide, det er bare syndt at optælling er blackbox-agtig. Man burde ikke skulle tilvælge at få sit hash, det skulle være obligatorisk.

Stemmen bliver krypteret 2 gange, så ingen kan pille ved den:http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e-valgsystemet1/beskytter1/beskytter2.html?id=599343Dem der står for systemet har godt nok begge nøglepar til den inderste kryptering, hvoraf den ene dog er ni-delt, og hvis norges digital signatur er lige så "sikker" som NemId, så har de også begge nøglepar til den yderste kryptering. Godt at der bliver lagt en liste med hashes op på GitHub og at systemet ved hvem der har bedt om at få deres hash udleveret.

For at jeg nogensinde skulle komme bare i nærheden af at stole på en sådan internetafstemning, skulle der være flere uafhængige aktører involveret. Hvis flere af følgende punkter var en del af implementationen så kunne jeg overveje det:

  • Det skulle være muligt at afgive sin stemme via en, gerne flere, af de uafhængige aktører. Den uafhængige aktør ville så være garant for min identitet/anonymitet. Aktøren ville så dekryptere den yderste del af min stemme og sende den inderste del videre til tælling i komplet anonymiseret form.

  • Stemmescriptet skulle uploade hashet, af den inderste kryptering, til de uafhængige aktører jeg har valgt at stole på. Aktørerne står så for at publisere hashet til den åbne liste, således at det ikke kan spores tilbage til mig med mindre aktøren er korrupt/korrumperet.

  • Der skulle så absolut ikke sendes nogen sms med hvad jeg havde stemt. Den validering skal foregår via hashet.

  • Jeg skulle på forhånd kunne generere mit egen public/private nøglepar og uploade den offentlige nøgle til en eller flere aktører. Identifikationen kan ved upload tidspunktet fint foregå via NemId, men på valgdagen foregår krypeteringen med min egen private nøgle.

  • Det hele skal bygge på åbne standarder/protokoller, således at hvem som helst kunne lave et program til afgivelse af stemme.

  • Optimalt så skulle de indereste kryperingskonvolutter efter endt afstemning frigives, sammen med den ni-delte nøgle, således at alle kunne foretage optællingen.

  • Sidste men absolut ikke mindste så skal reglen om mindst 30% deltagelse fjernes: http://ing.dk/artikel/it-professionelle-patentafstemning-er-hamrende-udemokratisk-og-uanstaendigt-160441Min frygt er at hvis det bliver for nemt at holde valg, så vil de lægge alle mulige ting til valg i tide og utide, hvilket måske kunne får færre folk til at deltage, især omkring de "uinteressante" ting.

For lige at gøre det helt klart så er min tanke at de uafhængige aktører skal fungere som mix nets og som identitets-/anonymitetsproxyer.

Det her var bare lidt løse tanker, der er sandsynligvis nogle uheldige konsekvenser jeg ikke har overvejet.

~John

14. august 2013 kl. 13:57