Коментари на: Критика на критиката към естонската система за електронно гласуване

От: Красимир Гаджоков

Красимир Гаджоков — Sat, 24 Oct 2015 03:11:31 +0000

@Маргарита Кусева: Не знам дали ви разбирам коректно, но мисля че всъщност съм покрил този въпрос – просто не съм ги подредил както са в оригиналната последователност във видеото на халдерман.
Вижте “Пропуск 8”. За да не може malware да открадне цифрите на ПИН-а, прозореца с тях може да се показва на случайно място на екрана и ПИН-а да се въвежда с натискане на ГРАФИЧНИТЕ бутони на цифрите в този прозорец с мишката, а не с писане върху клавиатурата.
Това е отдавна известна техника, позната под името “виртуална клавиатура”. Kaspersky Lab я предлагат от години вместо реаланата за въвеждане на пароли при банкиране и други чуствителни операции.

От: Маргарита Кусева

Маргарита Кусева — Fri, 23 Oct 2015 23:23:24 +0000

Изпускате първата критика – прихващането на паролата от client side malware, чрез което може по-късно автоматично да се замени вота. Вероятно имат в предвид паролата от ИД устройството, която е една и съща.Не би трябвало да е възможно автоматично да се криптира и изпрати вота, все някъде в процеса трябва да има човешка интеракция, т.е. да се потвърди изпращането. Това също е елементарна мярка, която явно не е имплементирана по този начин.

От: Красимир Гаджоков

Красимир Гаджоков — Wed, 14 Oct 2015 15:43:29 +0000

@Chuden Chudeniv: не сте гледали видеото на проф. Халдерман – в него той изтъква точно тези 10 пропуска. Затова и точно тях обсъждам аз в моята публикация.

Тези пропуски – понеже са оперативни, а не технологични – са напълно преодолими при работа на един професионален екип по сигурността. Такива не се допускат, например, от повече от 15 години в компанията в която работя. При това тази компания не е специализирана в сигурността на информационни системи.
Следователно, нивото на оперативна сигурност, необходимо за е-гласуване, е напълно постижимо.

И не се бъркайте – ВСЯКА система има бъгове и недостатъци, защото е несеъвършена по дефиниция. Но може да бъде постигната отлична защита – ако бъдат приложени отгварящи на съвремеието ПРАКТИКИ за информационна сигурност.

А Юнкер е бил прав – Европа беше страшно много назад в Интрнет години наред, затова Интернет се разви според изградената от американците инфраструктура.
Разбира се, това твърдение е силно преувеличено: ако и потребителя и сървъра на европейска институция са хоствани в Европа, шанса пътя от единия до другия да мине през американска инфраструктура (в САЩ) за да стигне до европейската институция е малък.

От: Chuden Chudeniv

Chuden Chudeniv — Tue, 13 Oct 2015 21:24:19 +0000

Аз нещо очевидно не разбирам??? След като със статията си господин Гаджоков уверявате, че пропуските в Естонската система са поне 10 . При положение , че обяснявате колко са елементарни пропуските, за каква сигурност говорим въобще, още повече знаем , че ако естонците са допуснали 10 то ние навярно поне 20 ще допуснем? Тук въобще не говорим за това кой има достъпа до данните в Интернет. Когато попитаха Юнкер, защо трябва всяко едно запитване до кметството в даден европейски град от европейски гражданин на този град да ходи до САЩ и после да се връща в Европа , той отговори нелепо, че сме проспали 20 години и затова…. За каква сигурност говорим не разбирам, когато подслушват Меркелите и Саркозитата и те се усмихват нелепо??? Абсолютно подмяна на демокрацията родена в Европа с Евроатлантическите измислици.

От: Красимир Гаджоков

Красимир Гаджоков — Sat, 19 Sep 2015 15:08:34 +0000

и още и още мерки за сигурност, които се прилагат стандартно в една самоуважаваща се фирма, камо ли за една толкова важна система като е-гласуване: статично и динамично сканиране на кода, има го дори като услуга (ъплоадваш си кода и получаваш доклад къде и какви проблеми са открити)

ЗАДЪЛЖИТЕЛЕН елемент за кода на е-гласуването

От: Красимир Гаджоков

Красимир Гаджоков — Sat, 19 Sep 2015 15:05:15 +0000

“security in depth” – сигурност в ДЪЛБОЧИНА, тоест многостепенна и в най-различни посоки – ТОВА е което прави една система сигурна; не само един или два или три нейни елемента; не само криптирането – което е най-популярно в масовата култура

От: Красимир Гаджоков

Красимир Гаджоков — Sat, 19 Sep 2015 14:56:36 +0000

Още някои полезни техники, неприложени в Естония, които биха подобрили сигурността:

– всеки участник в техничското осигуряване по време да самите избори да има “сянка”: втори човек до него, от ЦИК и който е обучаен какво и как да наблюдава

– разделяне на ключовете за криптиране на няколко парчета така, че никой да не може да ги ползва сам

От: Красимир Гаджоков

Красимир Гаджоков — Sat, 19 Sep 2015 03:47:47 +0000

Статията беше публикувана в “Club Z”: http://clubz.bg/27940-kritika_na_kritikata_kym_estonskata_sistema_za_elektronno_glasuvane

От: Andrey

Andrey — Fri, 18 Sep 2015 20:27:50 +0000

Половината от забележките към електронното гласуване , са всъщност забележки за Отдел “Материално техническо снабдяване и подръжка”.. Липсват забележки за недостатъчно количество салфетки помещенията на секретарките на ЦИК, и за лошия дизайн на тапетите в стаята на чистачката..

От: Красимир Гаджоков

Красимир Гаджоков — Fri, 18 Sep 2015 15:59:32 +0000

@Йордан Кисьов: благодаря за коментара, г-н Кисьов!
Той и сегашният изборен процес – физически, с хартиени бюлетини на място – разчита на много хора. И сега има сценарии, при които – ако тези хора се наговорят – могат да станат някои злоупотреби.
Въпросът е дали това е РЕАЛНО, дали е достатъчно ВЕРОЯТНО? Защото ВСИЧКО на този свят е “възможно”, но някои от тези възможности са с много малки вероятности заради това как работят процесите в РЕАЛНИЯ живот.

Например, какъв е шансът 5-ма членове на секционна избирателна комисия, плюс няколко наблюдатели и застъпници на партии да се договорят? Теоретично това е напълно възможно. Но в реалността е на практика невероятно да се случи.
Или ако се случи – то ще е с мнинимален отрицателен ефект (например в малка селска секция).