Votacin Electrnica Segura (VES) Una solucin para el mercado Latino Americano. S.A.

, Por: Hctor DUQUE, PhD, Arquitecto Solucin, Voting Solutions

Diciembre de 2010 Los sistemas electorales a nivel mundial constituyen el principal y ms importante mecanismo de participacin ciudadana e influyen no solo en la participacin poltica o gubernamental sino tambin de forma relevante en procesos empresariales como la votacin en asambleas generales para eleccin de juntas directivas, entre otras decisiones. Estos sistemas pueden considerarse como sistemas de informacin susceptibles a la incorporacin de Tecnologas de la Informacin (TIC), que mejoren caractersticas como seguridad, verificabilidad y autenticacin. Aunque el voto en papel es el sistema tradicional por excelencia en los pases democrticos, las elecciones han ido evolucionando hasta convertirse en sistemas complejos con mayores necesidades de eficiencia y seguridad. En consecuencia, han surgido nuevos mecanismos de votacin, algunos me cnicos o que aun necesitan del diligenciamiento manual, y otros electrnicos que incorporan TICs directamente en el sufragio, dando as lugar al concepto de Votacin Electrnica. La incorporacin de la Votacin Electrnica presenta entre otras ventaja (i) el aumento de la eficiencia de las s: tareas electorales y la precisin en los resultados, (ii) la automatizacin de la legitimacin de identidad de los votantes, (iii) computacin de tareas tales como el registro y conteo de votos, el conteo de tarjetones, y la difusin de resultados, (iv) mejora en la capacidad para identificar y prevenir situaciones de fraude electoral, (v) disminucin de la abstencin, (vi) disminucin de votos nulos y de errores en el proceso de votacin, (vii) aumento en la confia bilidad del proceso de votacin, y (viii) inmediatez del escrutinio. En la mayora de pases Latinoamericanos se est considerando la implementacin de proyectos de Votacin Electrnica por las autoridades electorales con el fin de modernizar sus sistemaselectorales tradicionales (votos en papel), en los cuales el votante tiende a equivocarse constantemente y no tiene la suficiente confianza en la transparencia del proceso. Casos conocidos de xito en Latino America, han sido los proyectos Brasilero y Venezolano; el caso Paraguayo ha ofrecido soluciones vinculantes durante algunos procesos electorales, aunque a la fecha han decidido retornar al sistema manual y replantear sus procesos automticos hacia futuro. Colombia, Per, Ecuador, Bolivia, Argentina, Mxico, Chile, han estado elaborando pilotos, en general no vinculantes, y en algunos casos tmidos de carcter vinculante, pero en su mayora tienden a la implementacin en el mediano plazo

de algn sistema automatizado. El caso de los Estados Unidos y los casos Europeos (Lituania, Holanda, Suiza) han sido modelo de referencia para los procesos Latino Americanos, anque se identifica su poca aplicabilidad a la regin. 1. Votacin Electrnica Segura (VES). VES es un proyecto de ingeniera de cdigo abierto certificado, tendiente a

satisfacer las necesidades especficas del mercado Latino Americano en Votacin Electrnica, con el objetivo de ofrecer procesos electorales ms giles, seguros, eficientes y de vanguardia en la regin. VES se plantea como una solucin innovadora de Votacin Electrnica que incorpora elementos de hardware y software con las ltimas tecnologas de seguridad y de criptografa aplicada. requerimientos Para la implementacin de VES se han considerado los desafos y

planteados a nivel internacional por la comunidad cientfica en temas de Votacin Electrnica, tales como (i) anonimia del voto, (ii) singularidad del voto, (iii) secreto del voto, (iv) integridad del proceso, (v) facilidad de uso, (vi) accesabilidad, (vii) flexibilidad, (viii) escalabilidad, (viii) eficiencia y (ix) certificabilidad. caractersticas, Con el objetivo de cumplir estas

se ha diseado una arquitectura capaz de atender simultneamente el Voto Presencial (VP) en terminales de votacin, y el Voto No Presencial por Internet. 2. Seguridad. La seguridad del sistema est soportada en PKI (Public Key

Infrastructure), la cual es el rea de la criptografa basada en el uso de llaves pblicas y privadas. Igualmente se utiliza criptografa simtrica en algunos puntos donde es conveniente. Este esquema de seguridad se refleja a lo largo de toda la arquitectura del sistema. Primero se ha diseado el sistema de seguridad a manera Columna Vertebral, y entonces se ha construido la aplicacin VES alrededor de esta. La figura 1 ilustra la situacin.. El subsistema de Votacin Presencial est basado en la seguridad de la informacin en todas las etapas del proceso, de tal forma que en ninguna de ellas existan datos sin garantizar su integridad (firmas digitales) o confidencialidad (encripcin). De tal forma, en todas las aplicaciones VES la informacin se mueve entre tres sitios (actores) crticos: (i) el exterior de la terminal de votacin, (ii) el interior de la terminal de votacin, y (iii) los Servidores. Para cada uno de esos tres (3) sitios existe una solucin criptogrfica: En el exterior de la terminal de votacin se transporta la informacin en tarjetas inteligente s criptogrficas, las cuales disponen de un chip que permite hacer operaciones criptogrficas por hardware. De esta forma, se generan llaves criptogrficas simtricas o asimtricas en el chip, las cuales son nicas para ese chip, y luego se hacen

operaciones criptogrficas (encripcin y firma) sin necesidad de exportar las llaves. Una vez una terminal de votacin se activa (por ejemplo una sesin de votacin en la terminal), toda la informacin producida como parte de este proceso se encuentra encriptada o asegurada en su integridad (firma o MAC). Para esto se utiliza una tarjeta criptogrfica propietaria (TCHH), desarrollada por VSI en el contexto de este proyecto . De tal forma, la informacin en disco no es legible ni modificable por un intruso. Dado que los cdigos fuente y objetos estarn firmados y autenticados por una Autoridad Certificadora (CA) que emita confianza a las entidades electorales, un ataque del programa va DUMP de memoria no es factible, por cuanto el programa en ejecucin es confiable. Adicionalmente, las llaves secretas y privadas residen en la TCHH y no son exportables. Los Servidores disponen de HSM (Hardware Security Modules) exclusivos, de alto rendimiento. Estos garantizan que las llaves son custodiadas por hardware y que slo usuarios autorizados tienen acceso a operaciones criptogrficas sobre estas mquinas. La comunicacin se efecta utilizando el estndar de la industria PKCS11. El tipo de procesamiento criptogrfico efectuado en cada uno de los tres (3) sitios, se considera como de criptografa por hardware, de tal forma que la custodia de las llaves involucradas estn protegidas por hardware. El subsistema de Votacin No Presencial (internet) tiene actores diferentes en la parte cliente de la arquitectura, pero el mismo tipo de actores en los servidores, los cuales continan siendo los respectivos HSM. De esta forma, el protocolo de seguridad garantiza la seguridad del flujo de informacin entre los clientes y los servidores, las CA EsiCenter-Sinertic http://www.esicenter-sinertic.org Potenciado por Joomla! Generado: 6 June, 2011, 12:53garantizan la identidad de los actores, y los HSM que interactan con los servidores garantizan la seguridad de las operaciones inversas en los computadores. 3. Arquitectura. La arquitectura est construida a partir del sistema de seguridad y est basada en la conformacin de Grupos de Procesamiento Electoral, los cuales separan sus funciones, atribuciones y recursos fsicosy computacionales. Una solucin completa de voto presencial y no presencial involucra servidores especializados en las labores de legitimacin de identidad (GL), de aceptacin de votos (GV), de conteo (GC) y de divulgacin (GD). Estos grupos son independientes en personal, autoridad, ubicacin y manejo del hardware y software (figura 2): Los servidores transaccionales se conectan directamente con servidores de bases de datos, que tambin guardan alguna informacin en forma encriptada y firmada, as como con servidores especializados en labores de

criptografa, conocidos con el nombre de HSM (Hardware Security Modules). Cada grupo dispone de una infraestructura de hardware dedicada, a fin de garantizar su independencia. El GL y el GV son grupos que interactan en forma independiente para posibilitar la votacin no presencial ( o Internet). Una interaccin coordinada entre ellos, permite que el votante se identifique (legitime su identidad) mediante la consulta segura de su informacin en el censo (padrn) electoral; as mismo, esta base de datos es actualizada a fin de garantizar la singularidad del voto. El GV recibe votos provenientes de votacin presencial y no presencial; es decir, recibe tanto los votos emitidos en Terminales de Votacin como en Terminales Internet. Estos votos tienen altos niveles de encripcin e implementan la tcnica del Doble Sobre Electrnico, que consiste en dependizar la apertura del voto entre 2 actores (GV y GC), de tal forma que solo mediante a accin conjunta de ellos, es posible acceder al voto; es de anotar que en ningn momento la identidad del votante es trazable desde el voto. Igualmente, con el fin de evitar acciones maliciosas en los servidores, en algunos momentos del protocolo de implementan firmas ciegas de la informacin, lo cual hace las veces de un tipo de lacre electrnico. El GC procesa simultneamente todos los votos del sistema en un tiempo reducido, hace los chequeos criptogrficos correspondientes, y actualiza la base de datos para obtener los grandes totales por candidato. El GD se encarga exclusivamente de la divulgacin de la informacin del proceso electoral, tal como son los resultados parciales por candidato, partido, regiones, departamentos, provincias, municipios, parroquias, conce etc . As mismo, el GD es el jo, encargado de aplicar frmulas para asignacin de curules a las diferentes corporaciones. La informacin divulgada puede ser accesada por usuarios especializados en sala de prensa, as como por cualquier ciudadano va Intern et. Adicionalmente se ofrece un sistema de transparencia, el cual permite que identidades de control, as como la prensa y los partidos polticos, accedan a la informacin transmitida por las terminales, a fin de que puedan (con sus recursos de personal tcnico) reconstruir los resultados que estn siendo divulgados en los diferentes boletines. El GL y el GD disponen igualmente de Sitios WEB que ofrecen servicios que pueden ser consumidos por los clientes WEB. En el caso de votacin Internet, un Browser estndar de la industria ejecuta cdigo Web Mvil que se encarga de consumir servicios

de los Sitios Web (identificacin del votante y aceptacin del voto). Los Sitios Web de estos grupos corresponden al Front End de la arquitectura. La prestacin de estos servicios implica la ejecucin segura de operaciones criptogrficas y de Bases de Datos que son ejecutadas en los Servidores Seguros de estos mismos grupos, los cuales corresponden al Back End de la solucin. De tal forma, la solucin, por cada uno de los grupos, ofrece un Front End para atencin masiva y pblica de solicitud de servicios, y un Back End que es el que realmente presta el servicio en forma segura. El quinto actor es la CA o Autoridad Certificadora, la cual emite confianza a los diferentes grupos que la utilicen; es decir a la entidad electoral. Infrastructure); El sistema est especialmente soportado en el esquema de seguridad PKI (Public Key

el cual permite que a partir de criptografa basada en el uso de llaves pblicas y privadas se construya un esquema confiable, seguro e integro para la aplicacin VES. Esta tecnologa permite la implementacin de firmas digitales y certificados digitales, los cuales tienen un amplio rango de aplicacin en la solucin de problemas basados en altos niveles de seguridad y confianza. En esencia, la terminal de votacin encripta y firma digitalmente los votos y su informacin relacionada a partir de una clave criptogrfica privada (secreta), de tal forma que la validez de esta firma digital es derivada de un certificado digital emitido por una autoridad certificadora (CA) que suministra la confianza en la firma. Estas caractersticas hacen que el voto sea confiable e integro, es decir, que no haya sido modificado. 4. Conclusiones. La aplicacin VES constituye un sistema integrado para Votacin Presencial e Internet, basado en el estado actual del arte en criptografa. La solucin ofrece un sistema completo de votacin electrnica, considerando el procesamiento del voto electrnico desde su origen (terminales de votacin y WEB) hasta su procesamiento en servidores centrales (servidores Web, servidores de legitimacin, consolidacin y divulgacin). Igualmente ofrece todos los subsistemas inherentes al proceso, tales como la generacion masiva de tarjetas inteligentes, generacin y modelacin de tarjetas electorales, instalacin masiva de terminales, registro de votantes internet, terminales de legitimacin de identidad de votantes, y aplicaciones de entrenamiento de votantes (en terminal de votacin e internet). Es innovador en el sistema VES el protocolo de seguridad definido; este hace uso de criptologa simtrica y asimtrica avanzada, de tal forma que se garantiza la anonimia del votante y el secreto de su voto, tanto en un sistema de votacin presencial como no presencial (Internet). El sistema de criptologa est basado en encripcin por hardware, de tal forma que en los

servidores centrales las operaciones criptogrficas inversas se resuelven haciendo uso de HSMs. Para el caso especfico de votacin presencial, VSI ha optado por el desarrollo de una Tarjeta Criptolgica Propietaria (TCHH), la cual igualmente constituye un elemento innovador en el sector de la votacin electrnica. Esta tarjeta est en tramite de cumplir con las recomendaciones de la EAC en VVSG2007. La seguridad empleada en este proyecto es del tipo seguridad por diseo, lo cual implica que la seguridad del sistema no depende del ocultamiento de informacin, ni del secreto de los cdigos fuentes. La seguridad est basada en el diseo mismo de esta (protocolo de seguridad), en tcnicas avanzadas de criptologa que garanticen confidencialidad e integridad de la informacin, y en la custodia de las llaves criptogrficas por hardware especializado (HSM). La fortaleza de la seguridad de un sistema de votacin est dada por el protocolo de seguridad implementado y por los esquemas de custodia de las llaves criptogrficas (Principio de Kerckhoffs); y ese es nuestro lema, la seguridad no est dada por el secreto de los algoritmos.