Contraddittorio (amichevole!) a 'Disinformatico' sulle elezioni digitali

Il blog di Paolo Attivissimo è uno di quelli che seguo più volentieri. Tuttavia, com'è giusto e normale che sia, non mi trovo sempre in perfetto accordo. Questa volta sono in (quasi) totale disaccordo.
Premettendo che mi baso su ciò che ho capito - che potrebbe essere 'fischi per fiaschi' - provo a spiegare il perchè.

Il blog in questione è presente anche nei 'blog-roll' qui a fianco: Il Disinformatico
L'articolo specifico: La pericolosa illusione della democrazia diretta digitale

Nei giorni scorsi ho scritto un po' di quello che penso sull'argomento:

1. Elezioni on-line: qualche considerazione (parte 1/2)
2. Elezioni on-line: qualche considerazione (parte 2/2) 

L'autore fa riferimento ad un panel ('Hacktivismo e sorveglianza digitale') con tanto di video correlato.
Ne fa una breve sintesi, prendendosi responsabilità per eventuali imprecisioni/fraintendimenti e ne sviluppa alcuni particolari con proprie opinioni.
Io, allo stesso modo, mi rapporto così con l'articolo del blog di Attivissimo: mi permetto di estrapolarne alcune frasi e di "contrappuntarle", sperando di non cadere nell'errore tipico dell'eccessiva decontestualizzazione e, in generale, di averne capito almeno il senso... XD

• Il "contraddittorio"

Non ritengo di avere esperienze o competenze particolari in quest'ambito, esprimo solo le mie opinioni. Dato che queste si trovano in contrasto con quelle espresse nell'articolo, ne "discuto virtualmente" e poi, ovviamente, sono pronto ad essere smentito e/o contraddetto da chiunque voglia.

Se siete fra coloro che credono che la democrazia diretta realizzata tramite Internet sia la soluzione a tutti i problemi del mondo [...]

Non ignoro certo il "tono" scherzoso e volutamente scanzonatorio della frase. Però per chiarire al lettore un po' meno avvezzo, precisiamo: nella maggior parte dei casi (diciamo quelli più sensati) chi sostiene la validità dei tentativi e dell'approccio strutturale delle elezioni on-line - quindi: NON sempre e comunque di ciò che si fa in quanto pratica, ma il fatto di provarci e di averne una "coscienza in prospettiva" - NON pensa che queste possano risolvere come per magia TUTTI i problemi.
E' addirittura sensato pensare che , inizialmente, potrebbero anche essere più quelli creati che risolti.
Ma in un processo del genere è normale che sia così. Si tratta di evolvere da un sistema ad un altro, il passaggio non può essere nè immediato, nè indolore, nè tantomeno miracoloso  - nella riuscita e nei risultati. Però il solo fatto di smuovere le idee, affrontare nella pratica la tecnologia a livello amministrativo, la prospettiva del risparmio e della maggiore efficienza... sono tutte cose che, a mio avviso, bastano e avanzano per legittimare gli sforzi.

[...] perché gli attuali strumenti informatici sono troppo vulnerabili e gli utenti sono troppo incompetenti per usarli in modo sicuro.

Mi pare una frase senza senso. Quando sono state inventate le macchine, quali erano gli "utenti" preparati ad usarle? E gli aerei? E i by-pass medici, tutti i chirurghi sapevano già come impiantarli ancora prima che si realizzassero?
Come ho scritto negli articoli linkati, i mezzi si evolvono col loro uso. Se avessimo aspettato di avere i "computer sicuri per" staremmo ancora col regolo calcolatore!
Ciò che si può fare prima è di ridurre al minimo, per le conoscenze del momento, i "salti nel buio"; poi qualcuno di quei "salti" va fatto... altrimenti rimarremo sempre fermi ad aspettare che "cali dall'alto" chissà quale conoscenza recondita che ci svelerà d'un tratto il segreto della vita.
Che come sapete è 42 XD

Si può pensare seriamente che un voto elettronico, implementato sui PC appestati di virus e vulnerabilità degli utenti, sia sicuro più di un voto cartaceo al seggio?

Io sinceramente non riesco a pensare a qualcosa di più insicuro dell'attuale sistema di voto. Esso si basa quasi integralmente sul controllo umano. E, per caratteristiche intrinseche (non filosofiche nè atteggiamenti "pessimistici" come sostiene qualcuno), in un sistema informatico il punto più vulnerabile è proprio il fattore umano.
Non a caso, ad ogni votazione spariscono migliaia di schede - e se ne accorgono, caso strano, solo giorni (o addirittura mesi!) le votazioni. Che nel frattempo sono già state vidimate, seppur palesemente irregolari. Il controllo è basato su:

1. scrutinatori (corruttibili/fallibili); il caso di quella scrutinatrice che ha fatto sparire decine di schede... 
2. presidenti di seggio (corruttibili/fallibili); il caso di quel presidente che, seppure avvertito dell'irregolarità delle schede, ha fatto proseguire come se nulla fosse
3. finanzieri (vabbè lasciamo stare)
4. politici locali/nazionali; che possono essi stessi fare capo ai "picciotti" incaricati di controllare i voti
5. ecc...

Il sistema, lungi dall'essere infallibile, perlomeno non è corruttibile. Un software non deciderà mai di cambiare qualche migliaio di voti perchè qualcuno gli ha promesso (o minacciato) di sistemare suo figlio...
Se noi adesso consideriamo il fattore umano fallibile al 30% (e sono stato generosissimo, perchè in realtà si tratta del 50%), mentre quello informatico/automatizzato al 15% (qui viceversa sto esagerando), ed abbiamo che il fattore umano adesso è presente al 90% avremo una 'fallibilità totale' (=possibilità di errori/maneggi) di:

(0.9*0.3)+(0.1*0.15) = 0.285

mentre nel sistema digitale, ipotizzando un peso del fattore umano del 30% (quasi esclusivamente lo sviluppo/gestione del software), avremo

(0.3*0.3)+(0.7*0.15) = 0.195

Ovviamente questi sono numeri a caso, che servono solo per avere un'idea grossolana e solo "visiva" del vantaggio apportato dalla diminuzione dell'influenza del fattore umano sull'esito finale del calcolo delle probabilità - che ovviamente è molto più complesso.

Inoltre la presunta "difficoltà d'uso" del mezzo digitale non è un argomento proponibile: come ho detto, si illustra alle persone come fare e, esattamente come ora, ci sarà sempre qualcuno che non capirà; invece che mettere la scheda nell'urna sbagliata o segnare croci dove non deve, invaliderà il voto per colpa di una sessione utente non correttamente validata per un qualche motivo - NON tecnico, non è certo l'utente che si occupa di questo (ne parlo dopo).

possa seriamente destreggiarsi fra software di autenticazione del voto, sicurezza fisica del dispositivo informatico e sistemi di garanzia dell'identità delle sue opinioni postate nelle discussioni?

Risposta schietta: chissene frega!
Io vado in macchina tutti i giorni, ma come funziona il motore a scoppio lo so a grandi linee; se mi metti davanti ad un motore smontato è più probabile che ti riesca a fare un frullatore, piuttosto che assemblare quello di una macchina come dovrebbe essere!
Non è in alcun modo l'utente che si deve preoccupare di queste cose. Ed anzi, senza prendere esempi in altri campi, si fa presto a dire come, nella vita quotidiana, gli "utenti" usino già tutte quelle cose senza manco saperlo. Quando si controlla il conto on-line, chi lo fa sa autenticare una connessione SSL? Chi si iscrive su un portale, sa come funziona il protocollo HTTPS?
La maggior parte della gente manco sa cos'è la 'crittografia asimmetrica', ma la usa tutti i giorni.
I "soliti" obiettano che infatti ci sono violazioni e frodi anche in quei casi. Ma è un discorso che torna ad attorcigliarsi su di sè: tutti i giorni leggiamo di funzionari corrotti, politici collusi, ispettori conniventi, ecc... quindi, se l'argomentazione è "ma succede", la possiamo (e con molte più prove empiriche) utilizzare al pari per i sistemi tradizionali.

• Piccolo inciso sulla consapevolezza

Sia ben chiaro che non sto in alcun modo "incentivando" la totale ignoranza. La cosa ideale sarebbe che tutti si informassero su ciò che usano (che comprano, che consumano, ecc...); ed infatti una parte della ragione per cui scrivo qui è proprio per contribuire, nel mio piccolo (piccolissimo), ad aumentare la consapevolezza di chi legge nei confronti dei "mezzi" informatici.
Ma il fatto che voglio fare notare è che ciò non è indispensabile per un corretto uso pratico ed immediato. Quante persone postano su Facebook senza sapere nemmeno cos'è un 'linguaggio di markup'?

Far sì che le persone siano più sensibili alle problematiche "tecniche" e alle questioni "sottese", al di sotto della "superficie d'utilizzo", è un compito importante e, con l'aumentare dell'importanza e dell'invadenza della tecnologia, finisce per diventare fondamentale per una neutrale gestione della "cosa pubblica".
Ma non è un processo che si compie dall'oggi al domani, nè la sua non immediata applicazione può vanificare la sicurezza tecnica a causa di un utilizzo poco consapevole.
Ciò che conta è non mal informare, questo sì che è fondamentale! Se ad oggi ci sono persone che portano il computer dal tecnico "perchè c'è un virus", e questo li fa spendere 50 euro d'intervento (ranzare e rimettere tutto) più tot di licenza annua di qualche antivirus a pagamento... ebbene tutto questo è dovuto alla disinformazione sulla questione; disinformazione subdola perchè basata sulla paura, sull'ignoranza e sulla falsità.

Ma non sta scritto da nessuna parte non si possa informare gli utenti progressivamente, anche perchè sono cambiamenti di tipo generazionale; sarebbe assurdo pretendere che dall'oggi al domani tutti fossero provetti "utenti informatizzati".
D'altronde mi strappano sempre un sorriso certe considerazioni. Sono anni che esistono conti di banca, assicurazioni, transazioni finanziarie, ecc... e sono anni che, con tutte le validissime alternative (pure gratuite), gli utonti usano ExploDer per navigare, che è il browser più insicuro (e non aderente agli standard).
Se però poni il problema ti dicono che sei un "oltranzista estremista nerd fascista dell'Open"; però se si parla di altro, improvvisamente tutti si preoccupano del vecchietto che non sa implementare SSH in Java...
XD

• Schema sommario di autenticazione

Diffondere un trojan che infetti i PC dei partecipanti al movimento per la DDD sarebbe una passeggiata [...]
lo stesso trojan potrebbe votare al posto dell'elettore o trasmettere al “seggio” digitale un voto falsificato (man in the middle) [...]

Ma anche no. Io son anni che navigo in internet, su qualsiasi sito, e trojan niente. Miracolo? No, Linux.
D'altronde non è che ognuno la macchina se la fa come vuole: senza freni, con due motori, ecc... ma esiste l'omologazione per questo. Per cui ovviamente per un sistema così delicato vi sarebbero delle specifiche da rispettare, oppure delle "cabine elettroniche" esattamente come oggi ci sono quelle tradizionali. Anche se costituirebbe una spessa accessoria, sarebbe comunque inferiore a quella attuale, in quanto le cabine vanno gestite - e non più sorvegliate, in quanto l'autenticazione sarebbe compito sempre dell'ambito informatico; questo ridurrebbe il personale necessario - ma poi non v'è alcuno spoglio.

Con un sistema di autenticazione serio, già attualmente implementabile, si renderebbe non dico impossibile, ma altamente improbabile un attacco MitM da software automatico; sarebbe necessario un esecutore materiale per ogni singola connessione. Il che equivarrebbe a mettere un "picciotto" non in ogni seggio (cosa che attualmente avviene in alcuni comuni italiani), ma appresso ad ogni singolo votante!
Ora di seguito faccio una breve, sommaria descrizione. Non credo sia utile per Paolo Attivissimo, che queste cose le sa sicuramente meglio e più di me, ma per spiegarle al lettore "voglioso" di capire un minimo ciò di cui si sta parlando.

Come spiegato nelle mie precedenti "dissertazioni", sarebbe necessario uno scenario minimo adeguato, nel quale ogni cittadino fosse fornito di:

• coppia di chiavi di cifratura asimmetrica
• firma digitale su questa basate
• casella di posta elettronica protetta - NON mi riferisco alla buffonata delle "caselle certificata", sulle quali è stata fatta una speculazione tutta italiota
• schema di condivisione dei segreti per l'accesso alla propria 'Cartella pubblica' - questo è già un passo successivo, non strettamente indispensabile
• carta magnetica (tipo Bancomat per intenderci) che contenga tali informazioni, non maneggiabili da un semplice utente

La "casella di posta" non sarebbe altro che una casella mail locata su server pubblici con connessione protetta; in più sarebbe auspicabile che avesse una gestione automatica della crittografia sui contenuti, implementabile facilmente con software Open Source. Tutte le altre cose starebbero all'interno della scheda magnetica, protette dal consueto PIN (magari di più cifre di quelli tradizionali).

Al momento delle votazioni, esattamente come fossero delle schede elettorali, sulla casella di posta elettronica lo "Stato" (impersonificato dell'Ente Certificatore, gestore dei server delle votazioni, ecc... che ricordo, DEVE essere rigorosamente pubblico e basarsi tassativamente su software Open Source) invia un 'codice di connessione' criptato con la chiave pubblica dell'utente. Questo è il codice che userà l'utente (ma ovviamente non lui fisicamente, bensì il software a lui associato).
Si potrebbe usare allora, per ulteriore protezione della connessione che ovviamente sarebbe già protetta coi "classici" sistemi, anche questa 'stringa monouso' che renderebbe la sessione personalizzata, in quanto inizializzata con tale codice.
Il voto, criptato con la chiave privata del cittadino, viaggerebbe accoppiato alla firma digitale e questo pacchetto a sua volta verificabile attraverso un 'meccanismo di hashing'; il tutto viaggerebbe su una connessione sicura e inizializzata con la stringa monouso - già di per sè forma di autenticazione, in quanto la stringa, per essere letta e quindi usata dal software dell'utente, va decodificata con la chiave privata dell'utente stesso.

Ricordo che quotidianamente milioni di persone movimentano denaro sui loro conti bancari attraverso una "semplice" connessione protetta più un ulteriore protezione solitamente del tipo 'codice monouso', ma molto più debole in quanto (per questioni pratiche) basantesi su liste di randomizzazione pre-impostate, quindi più facilmente attaccabili.
Quindi, si affidano i nostri conti bancari a sistemi molto più "insicuri", ma si hanno dubbi per il singolo voto su sistemi meglio blindati?

A questo punto il metodo più pratico e fattibile di rubare un voto sarebbe proprio quello di rubare fisicamente le tessere, crakkarne i PIN ed utilizzarle per i propri scopi.
Ovviamente nulla di impossibile, ma è facile che un cittadino si accorga del furto e di conseguenza la carta (o meglio, le chiavi ad essa associata) vengano disabilitate; diventando oltretutto un mezzo per l'individuazione di eventuali usi malevoli.

Ci si chiede come ci si possa affidare a dei sistemi di questo tipo, quando codici di connessioni vengono quotidianamente crakkati da ragazzini col cellulare.
Ebbene, oltre a rimandare al fatto che le banche ci fanno girare i soldi (le azioni, ecc...) e quindi dovremmo cominciare a preoccuparci ben prima e ben di più per questo, che non per le votazioni...
Il fatto è che è ancora la disinformazione che la fa da padrona. I ragazzini col cell non crakkano una cippa; in effetti non si può "crakkare una password", è un'espresisone che non ha senso. Ad essere crakkato è l'algoritmo, e gli algoritmi di cui ho parlato (in realtà ho parlato di classi di algoritmi, ma vabbè, ovviamente per ogni classe si userebbero i più solidi) col cavolo che te li crakki col cell (e difficilmente col PC). I proverbiali "ragazzini col cell" di fatto indovinano la password; usano dei software fatti da altri (che NON sono ragazzini col cell) che di solito non fanno altro che provare tutte le password possibili in una lista (dizionario). Si chiama appunto 'attacco bruteforce del dizionario'.

Quindi basta semplicemente non usare password dementi (come nome e data di nascita, data di nascita solamente, ecc) e, nel caso sopra, l'unica password reale è il PIN della scheda, che è associato alla scheda e di conseguenza utile solo se si è in possesso della carta fisica.
Le altre cose di cui ho parlato sono 'chiavi'; una chiave NON è una password, ma un insieme di caratteri che servono a (de)codificare un messaggio.
Secondo me il ragazzino col cell una chiave RSA da 512 bit non riesce a romperla... poi oh, magari girano "ragazzini col cell" multimiliardari grazie alla loro abilità nel decrittare le connessioni bancarie.

Ripeto che questo è uno schema di fantasia, tirato giù a "sentimento", sicuramente fallibile e bacato.
Si tratta solo di dare un "input" e far capire che i mezzi tecnici sono più che sufficienti per implementare uno schema di certificazione ed autenticazione ragionevolmente sicuro.

• "Contraddittorio", seguito...

Al tempo stesso, sono ragionevolmente sicuro che esista la possibilità tecnica di creare un sistema di DDD matematicamente inespugnabile

Ma ASSOLUTAMENTE NO e quest'affermazione da parte dell'autore mi lascia più che perplesso; sicuramente non la interpreto correttamente, mi è sfuggito qualcosa.
Allora, non la interpreto proprio e la prendo in via del tutto letterale, cosi da usarla come scusa per spiegare al lettore.
Proprio la matematica stessa della crittografia, almeno negli algoritmi solitamente implicati e di cui si è parlato, non utilizza "soluzioni magiche" ed impenetrabili, nè problemi indecidibili (che sono incomputabili) o impossibili. Si usano invece problemi la cui risoluzione, senza una scorciatoia ( = chiave), sono troppo difficili ( = in termini di computazione, richiedono troppo tempo) per esser risolti in modo pratico.
Con l'avanzamento costante delle tecnologie e delle potenze di calcolo, ciò significa che è proprio la matematica a dirci che non c'è nulla di inespugnabile, ma quello che oggi è sicuro, domani non lo sarà più.
E comunque, in generale, la sicurezza assoluta non esiste!

[...] gli utenti, che si farebbero fregare in mille modi e appiccicherebbero su un Post-It la password del documento Word nel quale hanno salvato la propria chiave crittografica privata (e la password sarebbe, ovviamente, password o 12345678).

Bè, intanto bisogna gli utenti ad essere sempre più tali e sempre meno utonti. Già lo spiegare perchè "1234" non va bene è un inizio.
Secondariamente, secondo l'esempio che ho fornito, la password (in quel caso il PIN) non sarebbe deciso dall'utente ed inoltre sarebbe inutile senza il supporto fisico della carta digitale.

La DDD è fattibile, a mio avviso, solo se oltre al software perfetto

Stessa "caduta" di prima e, come prima, presumo di essere io a non aver capito cosa si intende. Perchè sono sicuro che l'autore sa benissimo che non esiste (nè mai esisterà) software perfetto, ma al massimo ragionevolmente sicuro.
Che, come detto, non significa nè inespugnabile nè eterno, ma solamente "al momento affidabile".
D'altronde vorrei sapere dove sta, di contro, lo scrutinatore perfetto, sempre e comunque affidabile.

Ho sentito parole che hanno messo in chiaro che la democrazia diretta digitale è attualmente, per ragioni prevalentemente informatiche, un'utopia per sempliciotti idealisti

E' esattamente il contrario, cosa che, pur in modo molto "all'acqua di rose", mi pare di aver illustrato qui e negli articoli precedenti: è proprio per ragioni NON informatiche che la 'DDD' è utopia.

• Conclusione

E', al momento, un'utopia per il contesto, per le infrastrutture, per la quasi totalmente assente informatizzazione dei dati, per la (volontaria?) disinformazione dei cittadini, ecc...
La tecnica è già pronta ad esperimenti del genere da almeno 15 anni; le basi della crittografia a chiave pubblica sono state gettate negli anni '70; internet ha cominciato il suo sviluppo (in Italia, col solito ritardo cronico italiano) negli anni '90; sempre in quegli anni si sono affinate le implementazioni pratiche delle tecniche matematiche più sofisticate (come ad es. le curve ellittiche) ed attualmente ancora ufficialmente sicure (mai state crakkate in implementazioni testate).

Se insisto sulle elezioni on-line è perchè, oltre a ritenerle una miglioria in sè e per sè, sono per me uno dei punti - ed in effetti, in ordine cronologico dovrebbero essere uno degli ultimi - per la digitalizzazione della burocrazia; cosa non solo encessaria, ma ormai indispensabile.
Per evitare di muoversi col solito, cronico, ritardo di 15-20 anche in questa cosa.

Secondo me la 'Democrazia Digitale Diretta' è attualmente un'utopia soprattutto perchè continuiamo a considerarla un'utopia.
Nel momento in cui cominciassimo a considerarla un problema, per quanto difficile, da risolvere, smetterebbe di essere così "impossibile".