Conclusão Top Verificação de Integridade Análise do programa

Análise do programa

Este sistema de votação garante todos os requisitos referidos no capítulo 2 deste trabalho.

Antes da eleição, é publicada uma lista com os emails dos eleitores autorizados a votar. Cada um deles estará associado a uma chave pública que deve estar certificada. Essas chaves vão permitir a existência de assinaturas em todos os emails para garantir que é o verdadeiro eleitor o remetente da mensagem.

O envio do conjunto de mensagens para serem assinadas, na primeira parte do programa, pode ser perspectivado como a declaração de intenção de votar pelo eleitor. O pedido dos factores de ocultação, é a autorização para votar.

Não é também permitido que os eleitores votem mais que uma vez. Assim, a única possibilidade de se conseguir votar mais do que uma vez na eleição, seria através da geração de uma mensagem, contendo apenas votos para uma das opções da eleição. Mas como são geradas mais mensagens que as opções, a esperança de ganho com essa atitude é negativo, e por isso, não se espera que nenhum eleitor inteligente opte por essa atitude, pois iria perder com ela. Em n opções, ele terá a probabilidade de 1/n de ser apanhado, para um ganho de n votos, enquanto existe uma probabilidade de (n-1)/n em ser apanhado.

As mensagens que contêm os votos, têm que usufruir o mesmo tamanho, o que é facilmente garantido com o adicionar de "0s" à esquerda da mensagem. Assim, pode-se garantir que a mensagem que restou não contêm lixo que não interessa à votação.

Um eleitor não pode pedir votos com o nome de outro participante, devido a existência das assinaturas e, se tentar pedir mais do que uma vez votos a mesa de escrutínio, esta apta a descobrir facilmente e eficientemente essa tentativa através da consulta do caderno eleitoral.

Quando se procede ao envio do voto, também não é permitido que ele seja enviado mais que uma vez. Cada boletim possui um número que o identifica e que é único. Como eles estão assinados pela chave privada da mesa de voto, o eleitor não consegue gerar votos válidos e se este tentar enviar o mesmo mais que uma vez, esse número irá desmascarar a tentativa.

Os votos, não podem ser mudados, forjados ou eliminados. O eleitor, gera o seu conjunto de votos que irá usar na eleição e já vimos que não existe esperança de ganho com a geração de votos inválidos. A mesa de voto, ou algum interveniente estranho à eleição, não pode modificar ou eliminar votos sem ser apanhada, porque na publicação nos resultados o eleitor pode verificar em que opção o seu voto foi contabilizado.

A assinatura que cada eleitor possui, funciona de prova do seu voto e a assinatura dos pedidos de votos da mesa de contagem, demonstra que o eleitor recebeu o seu voto.

O anonimato, é garantido pelo protocolo das assinaturas cegas. O voto que é enviado para o anonimizador, está cifrado com a chave privada da mesa de escrutínio, deste modo o servidor não o consegue ler. Quando o anonimizador o envia para a mesa de escrutínio, já não existe nada que ligue o voto ao eleitor e a mesa de escrutínio não conseguirá saber o seu remetente. As listas do resultado contêm números que são aleatórios e cada eleitor apenas têm a possibilidade de saber o seu. A ordenação por ordem de grandeza, retira qualquer relação entre números e ordem de chegada a mesa eleitoral. O ficheiro que contêm a informação sobre se determinado eleitor votou ou não(o caderno eleitoral), também não contêm nenhuma informação sobre os votos.

Neste contexto, cada eleitor pode verificar se o seu voto foi contado através da lista dos números enviados. Também a publicação do ficheiro com o estado da eleição, por emails, oferece a informação sobre quem votou e não.

O sistema guarda em memória a informação sobre as chaves pedidas e todos os votos recebidos, antes de serem assinados. Assim, é garantido que em caso de existir alguma falha no servidor da eleição, ela pode ser retomada no mesmo estado em que terminou. Como se apagam os registos referentes a cada eleitor, no momento em que são distribuídos os votos assinados, não existe maneira de desrespeitar o anonimato do voto.


Nuno Pereira, 2 Junho 2004

Conclusão Top Verificação de Integridade Análise do programa