ES2255455B1

ES2255455B1 - Metodo para votacion electronica segura y protocolos criptograficos empleados.

Info

Publication number: ES2255455B1
Application number: ES200450051A
Authority: ES
Inventors: Andreu Riera Jorba; Jordi Castella Roca
Original assignee: Scytl Secure Electronic Voting SA
Current assignee: Scytl Secure Electronic Voting SA
Priority date: 2001-12-12
Filing date: 2002-09-09
Publication date: 2007-03-01
Anticipated expiration: 2022-09-09
Also published as: DE60231434D1; US7260552B2; US20050021479A1; AU2002338954A1; DK1469429T3; ATE424593T1; ES2255455A1; EP1469429A1; EP1469429B1; WO2003050771A1

Abstract

Método para votación electrónica segura y protocolos criptográficos empleados.

Permite conducir electrónicamente, con seguridad, votaciones y consultas a través de una red de comunicaciones. Emplea procesos (210) y protocolos (202, 204, 206, 208, 212, 214) criptográficos interrelacionados, diseñados para dotar de seguridad a la emisión de los votos, al recuento y a la verificación de los resultados de la votación o consulta. Dichos procesos y protocolos criptográficos conforman conjuntamente un esquema criptográfico de votación capaz de asegurar los requisitos de seguridad específicos de una votación electrónica en la cual los votantes emiten sus votos remotamente. Más específicamente, dichos requisitos de seguridad incluyen la autenticación de los votantes, la privacidad de los votantes, la corrección de los resultados, la imposibilidad de coacción y venta de votos, la verificación de los resultados finales y, si fuera necesario, el secreto de resultados intermedios antes de la finalización de la votación o consulta.

Description

Campo de la invención

La presente invención se refiere a la votación electrónica, y más precisamente a procesos y protocolos criptográficos empleados para dotar a sistemas de voto electrónico, preferentemente remoto, de las medidas apropiadas de seguridad digital.

A lo largo de esta memoria descriptiva se entenderá por proceso criptográfico cualquier conjunto ordenado de pasos de transformación de la información que incluya operaciones criptográficas. La expresión protocolo criptográfico se utilizará aquí para referir un proceso criptográfico realizado entre diversos participantes, que se intercambian información mediante cualquier sistema de comunicación de datos. Por su parte, se denominará esquema criptográfico a un número de procesos y protocolos criptográficos interrelacionados que persiguen un fin común.

Según una tal nomenclatura, el objetivo de la presente invención es proporcionar un método de votación electrónica segura incluyendo un esquema criptográfico para conducir, con la máxima confianza, procesos electorales y consultas de cualquier tipo a través de redes de comunicación tales como Internet, redes de comunicación de datos inalámbricas, o cualquier otro tipo de red informática.

La exposición de esta invención contiene material que es susceptible de protección mediante Copyright. Los titulares de dicho Copyright no tienen objeción alguna respecto a la reproducción de la descripción de este documento de solicitud de patente tal como aparezca en su versión publicada o final en las Oficinas de Patentes por terceros, pero se reservan todos los derechos en cuanto a Copyright en otros aspectos derivables de dicho documento.

Antecedentes de la invención

En un sistema de votación o consulta electrónica remota, una pluralidad de votantes autorizados emite sus votos u opiniones desde determinados dispositivos de emisión de votos, hasta un centro de votación virtual, a través de una red de comunicaciones. Un servidor, o una pluralidad de ellos, constituyen dicho centro de votación virtual y son responsables de aceptar las conexiones de los votantes y de registrar los votos u opiniones emitidos para su futuro recuento y tabulación. Una vez tabulados, los resultados de la consulta son finalmente publicados, probablemente mediante la propia red de comunicaciones.

Claramente este tipo de sistemas de voto electrónico remoto deben incluir una serie de medidas de seguridad. Votar en la forma tradicional (o sea, utilizando papeletas físicas en sitios de votación reales) se realiza con confianza debido al uso de medidas de seguridad física tales como sobres de papel, guardias, o urnas físicas. No obstante, este tipo de medidas de protección física dejan de ser útiles en sistemas de votación electrónica remota. Resulta necesario sustituirlas por las medidas de seguridad digital adecuadas, tarea que presenta una problemática compleja, con un conjunto de requisitos de seguridad específicos. La privacidad de los votantes, por ejemplo, es un requisito deseguridad central en cualquier proceso electoral y en muchos tipos de consulta. Nadie (ni siquiera las autoridades electorales o los administradores de sistema de los servidores de votación) debe ser capaz de correlacionar los votos con los votantes que los han emitido. No obstante, en el momento de emitir su voto, los votantes deben ser adecuadamente identificados a través de algún mecanismo de autenticación para prevenir que votantes no autorizados voten o que votantes autorizados voten más de una vez. La corrección de los resultados es también muy importante. Nadie debe ser capaz de añadir votos falsos (quizás en nombre de votantes que se hayan abstenido), ni de eliminar o manipular los votos válidos emitidos. Otra cualidad deseable es el secreto de cualquier resultado intermedio hasta que la consulta no haya finalizado, a menos que las características inherentes del proceso requieran lo contrario. El objetivo de dicho secreto es impedir que el estado actual de la consulta pueda afectar la decisión de algunos votantes. Otro requisito de seguridad de gran importancia es la verificación de los resultados finales. Los votantes deben ser capaces de verificar que sus correspondientes votos han sido correctamente contabilizados. En caso de detectar cualquier problema en el recuento, los votantes afectados deben poder demostrar públicamente (sin vulnerar su privacidad con ello) que sus votos validados no fueron tratados adecuadamente. Finalmente, el uso de sistemas de votación electrónica no debe exponer los votantes a coacción, ni tampoco facilitarles la venta de
votos.

Este tipo de requisitos de seguridad específicos de un proceso electoral no se pueden resolver utilizando únicamente medidas de seguridad digital genéricas habituales en el mercado, como son firewalls, zonas desmilitarizadas, cifrado a nivel de transporte de datos, etcétera. Una solución correcta debe necesariamente incluir un esquema criptográfico de propósito especial, diseñado específicamente para la problemática que suscita una votación electrónica remota. Un esquema criptográfico de votación determina con precisión los pasos y acciones involucrados en la emisión remota de un voto, tanto por parte del dispositivo de emisión de votos utilizado por el votante como por parte del servidor de votación correspondiente. El esquema determina también las operaciones criptográficas que deben tener lugar durante el proceso de recuento de votos, y también para la verificación de los resultados finales. Naturalmente, un esquema criptográfico de votación debe complementarse también con medidas de seguridad genéricas para maximizar la seguridad, y proteger mejor la totalidad del sistema de votación.

El primer esquema criptográfico de votación fue propuesto por Chaum en 1981 [Chaum, D. Untraceable electronic mail, return addresses and digital pseudonyms. Communications of the ACM, v. 24, n. 2, pp. 84-88, 1981]. Muchas otras propuestas le siguieron, dando forma a un numeroso grupo de esquemas de votación, conocidos como esquemas basados en técnicas de mezclado o mixing. El principio fundamental de dichos esquemas basados en mixing consistía en la emisión de votos hasta un centro de votación virtual a través de algún tipo de canal anónimo construido en la red de comunicaciones. Usualmente, estos esquemas de votación utilizaban la técnica de la firma digital ciega descrita en US 4.759.063, para dar validez a los votos sin atentar contra la privacidad de los votantes. Entre los esquemas de votación basados en mixing, los ejemplos más representativos fueron presentados en [Fujioka, A., Okamoto, T. y Ohta, K. A practical secret voting scheme for large scale elections. Proc. of Auscrypt `92, LNCS 718, pp. 244-251, 1992] y [Park, C., Itoh, K. y Kurosawa, K. Efficient anonymous channel and all/nothing election scheme. Proc. of Eurocrypt `93, LNCS 765, pp. 248-259, 1993]. La invención descrita en US 6,317,833 está también basada en mixing, aunque a diferencia de las propuestas anteriormente enumeradas, el proceso de mixing no se realiza en el canal de comunicación sino en el centro de recepción de votos. Los votantes protegen sus votos con la clave pública propiedad de una autoridad de votación. Dicha autoridad es muy similar a la figura de mesa electoral introducida en. [Borrell, J., Rifá, J. An implementable secure voting scheme. Computers & Security, 15, pp. 327-338, 1996]. Cada votante necesita un par de claves asimétricas con la finalidad de firmar el voto cifrado. En la descripción de la invención se hace referencia únicamente al criptosistema ElGamal [ElGamal, T., A public key cryptosystem and a signature scheme based on discrete logarithms, Proc. of Crypto `84, LNCS 196, pp 10-18, 1985] como medio para dicha firma. Se supone pues, que el par de claves de cada votante debe adecuarse al criptosistema ElGamal. Este requisito supone una limitación en el esquema de votación. Además, el esquema no ofrece una prestación importante: la verificabilidad o posibilidad de que los votantes comprueben la correcta contabilización de sus votos al finalizar el proceso.

Un segundo grupo de esquemas criptográficos de votación, basados en técnicas de cifrado homomórfico, se inició con el trabajo de Benaloh y Yung en 1986 [Benaloh, J.C. y Yung, M. Distributing the power of a government to enhance the privacy of voters. Proc. of 5^{th} Annual ACM Symposium on Principles of Distributed Computing, pp. 52-62, 1986]. Estos esquemas de votación evitaban el uso de canales anónimos mediante la partición de los votos individuales en un número de piezas y el envío de cada una de las piezas a un agente de recuento separado. Dichos agentes realizaban el recuento de los votos sin necesidad de descifrarlos (para ello contaban con mecanismos criptográficos que aseguraban la exactitud del recuento). Algunos ejemplos representativos de esquemas de votación basados en técnicas de cifrado homomórfico han sido recientemente presentados en [Sako, K. y Kilian, J. Secure voting using partially compatible homomorphisms. Proc. of Crypto `94, LNCS 839, pp. 411-424, 1994], [Cramer, R., Franklin, M., Schoenmakers, B. y Yung, M. Multi-authority secret-ballot elections with linear work. Proc. of Eurocrypt `96, LNCS 1070, pp. 72-83, 1996], y [Cramer, R., Gennaro, R. y Schoenmakers, B. A secure and optimally efficient multi-authority election scheme. Proc. of Eurocrypt `97, LNCS 1233, pp. 103-118, 1997]. Las invenciones US 5.495.532 y WO 0120562 describen sendos esquemas de votación basado en técnicas de cifrado homomórfico. Dichos esquemas requieren recursos de computación sensiblemente superiores a los que demandan los esquemas basados en mixing, imposibilitando que sean implementados en dispositivos clientes con baja capacidad computacional. Otra limitación de dichos esquemas es que debido a sus caracteristicas

\hbox{intrínsecas resultan absolutamente incapaces de soportar
formatos arbitrarios de papeleta de voto.}

Las invenciones US 6.081.793 y US 6.021.200 describen esquemas criptográficos de votación más bien simplistas, basados en el conocido "modelo de las dos agencias". En general, estos dos esquemas de votación dan solución a los requisitos de seguridad de unas elecciones solamente en el caso de que ambas agencias no realicen una coalición deshonesta, y es necesario ademas depositar plena confianza en algunas de las partes del sistema. En la patente 6.081.793 el modelo utiliza un autenticador durante el proceso de confección o preparación del voto para separar la autenticación del votante del voto criptografiado para evitar cualquier correlación entre voto y votante en los resultados. Esta implementación tiene la limitación de que cuando se cuentan los resultados se precisa depositar la confianza en el autenticador, porque quien realiza el recuento no puede comprobar por si mismo que el contenido del voto pertenezca a un votante válido. Además los votantes que utilizan dicha invención no poseen un recibo para comprobar los resultados de la votación. El método comprueba durante el proceso de votación que el voto se haya recibido por el autenticador, pero esta comprobación no proporciona al votante un recibo de votación para verificar si los votos fueron recibidos por el sitio de recuento cuanto se inicia el proceso de recuento o hasta aquel momento.

En todo esquema criptográfico de votación se deben adoptar medidas encaminadas a garantizar la verificabilidad del resultado final de la votación por parte de los votantes y al mismo tiempo medidas de protección contra la coacción de los votantes por parte de terceros así como contra la venta de votos por parte de los propios votantes. Los dos conjuntos de medidas han demostrado ser contradictorios entre sí. En efecto, facilitando la verificabilidad se incrementa la posibilidad de coacción y de venta de votos, y si se dificulta la posibilidad de coacción y de venta de votos se dificulta también la verificabilidad. Dos trabajos previos han intentado resolver simultáneamente las dos cuestiones, aunque las propuestas resultantes no son implementables sobre redes de comunicación regulares. En US 6.092.051 y EP1017025 se describen sendos esquemas criptográficos de votación que utilizan un canal anónimo como el descrito en US 5.682.430. Dicho canal debe ser físicamente protegido contra atacantes pasivos que puedan sustraer información del mismo, por lo cual los sistemas de votación resultantes no pueden emplear redes de comunicación de datos convencionales como Internet.

Breve exposición de la invención

La presente invención describe un método de votación electrónica remota y los protocolos y procesos criptográficos empleados, los cuales conforman un esquema criptográfico de votación.

Un primer objetivo de la presente invención es dar cobertura a una lista completa de requisitos de seguridad inherentes en elecciones y consultas electrónicas: privacidad de los votantes, autenticación de los votantes autorizados, exactitud de los resultados de la consulta, secreto de cualquier resultado intermedio hasta la finalización de la consulta (si ello fuera necesario), dificultad de coacción de los votantes así como de la venta de votos, y verificación de los resultados finales. La presente invención permite minimizar el nivel de confianza que debe depositarse en cualquiera de los elementos y participantes de la votación electrónica; asegurando por tanto la lista de requisitos de seguridad incluso en el caso de administradores de sistema, autoridades electorales, o votantes, corruptos o deshonestos. La presente invención asegura la privacidad de los votantes por medio de sobres digitales para los votos, un esquema criptográfico de distribución de confianza entre varias autoridades electorales, y técnicas de firma digital ciega o protocolos alternativos para dar validez a los votos. La autenticación de los votantes se consigue preferiblemente a través de tecnología de clave pública (se puede tomar [ITU-T, Recommendation X509 (08/97) Information Technology-Open Systems Interconnection the Directory: Authentication Framework, 1997] como referencia), habilitando en su caso un mecanismo para ahorrarse la instalación de claves y certificados digitales en los dispositivos de emisión de votos propios de los votantes. La verificación de los resultados finales se basa en recibos de votación firmados digitalmente, combinados con un método altamente eficiente de descarga de resultados por parte de los votantes. La exactitud de los resultados finales se asegura por medio de sobres digitales, y pruebas de la autenticidad, con el soporte de recibos de votación firmados digitalmente. El secreto de resultados intermedios, caso de ser necesario, se asegura por medio de sobres digitales. La prevención de la coacción y de la venta de votos se basa en un diseño especial de los recibos de votación y en su caso en la utilización de dispositivos resistentes a la manipulación por parte de los votantes.

Es otro objetivo de la presente invención superar las limitaciones y los inconvenientes prácticos de los trabajos previos en métodos seguros de votación electrónica. Para ello, la invención incorpora solamente procesos y protocolos criptográficos de bajo coste computacional, permitiendo de forma ventajosa la implementación eficiente en clientes ligeros. Además, la invención soporta absoluta flexibilidad en el formato de los votos, incluyendo cuestiones y candidatos abiertos, que pueden ser escogidos en el mismo momento de la votación. Aún más, la invención elimina la necesidad de cualquier tipo de canal de comunicación especial tal como un canal seguro protegido físicamente, o un canal anónimo. Tan sólo se requieren los canales regulares de comunicación de datos habituales en cualquier red de comunicaciones.

Es otro objetivo de la presente invención describir protocolos alternativos al uso de firmas digitales ciegas para asegurar la privacidad de los votantes en esquemas criptográficos de votación basados en mixing.

Es otro objetivo de la presente invención describir mecanismos seguros para los protocolos de apertura y cierre de los centros de votación virtuales.

En definitiva, la presente invención describe un método seguro de votación electrónica y el esquema criptográfico de votación empleado. La invención permite que votaciones o consultas electrónicas a través de una red regular de comunicaciones alcancen niveles de seguridad y confianza similares y en ciertos aspectos superiores a los que se dan en elecciones tradicionales por medios físicos. Dichos objetivos se alcanzan mediante un método para votación electrónica segura que comprende las etapas detalladas en la reivindicación uno.

Breve descripción de las figuras

Las Figuras la, 1b y 1c muestran los principales elementos sobre los que se implementa el método de votación electrónica descrito en la presente invención. Una pluralidad de Plataformas de Emisión de Votos 102 (en las que se ejecutan los Agentes de Votante 116), un Sitio de Votación 104, un Sitio de Publicación 106 y un Sitio de Recuento 108 se encuentran conectados entre ellos a través de una red de comunicaciones 114. Dichos elementos pueden encontrarse totalmente distribuidos y separados entre ellos, como muestra la Figura la. También pueden darse distintos niveles de agrupación. La Figura 1b muestra la configuración con el Sitio de Votación 104 y el Sitio de Publicación 106 agrupados. La Figura l c muestra la configuración con agrupación del Sitio de Votación 104, el Sitio de Publicación 106, y el Sitio de Recuento 108. En cualquier caso, el Sitio de Recuento 108 es operado por una Mesa Electoral 110 constituida por varios miembros, y se encuentra físicamente conectado a la red de comunicaciones 114 a través de una conexión de red altamente segura 112.

La Figura 2 muestra los procesos y protocolos criptográficos que comprende la presente invención, y el orden en que dichos procesos y protocolos tienen lugar.

Las Figuras 3a y 3b muestran dos configuraciones posibles de la conexión de red altamente segura 112 utilizada para conectar el Sitio de Recuento 108 a la red de comunicaciones 114.

La Figura 4 muestra el formato de la orden de apertura 402 que la Mesa Electoral 110 envía al Sitio de Votación 104. A partir de la recepción de dicha orden, el Sitio de Votación 104 procede a aceptar conexiones por parte de Agentes de Votante 116.

La Figura 5 muestra los siete pasos que constituyen el Protocolo de Emisión de Voto 206.

La Figura 6 muestra el formato de la orden de cierre 602 que la Mesa Electoral 110 envía al Sitio de Votación 104. A partir de la recepción de dicha orden, el Sitio de Votación 104 deja de aceptar conexiones por parte de Agentes de Votante 116.

Las Figuras 7a, 7b y 7c muestran tres ejemplos de partición de la lista de datos para la verificación que se utiliza en el Protocolo de Verificación 214. La Figura 7a muestra la partición de dicha lista en dos subconjuntos de entradas mutuamente excluyentes, de modo que la descarga parcial de resultados del Sitio de Publicación 106 que realiza el Agente de Votante 116 afecta solamente a la mitad de las entradas. La Figura 7b muestra la partición de dicha lista en cuatro subconjuntos mutuamente excluyentes. La Figura 7c muestra la existencia de una opción de voto excesivamente minoritaria que no es tomada en cuenta para realizar la partición y que se incluye en su totalidad en todos y cada uno de los subconjuntos resultantes.

Descripción detallada de la invención

La presente invención se refiere a un método seguro de votación electrónica y al esquema criptográfico utilizado, con especial aplicación a la votación electrónica remota a través de una red de comunicaciones. Dicho esquema criptográfico incluye unos protocolos y procesos criptográficos que tienen lugar antes, durante y después de la propia votación o consulta. El ámbito de la invención no cubre las tareas de construcción del censo y la posible gestión de claves asimétricas para los votantes.

La creación de un censo de votantes es de hecho un paso previo imprescindible para cualquier votación que pretenda cumplir unos mínimos requisitos de seguridad. Dicho censo tendrá utilidad durante el Protocolo de Emisión de Voto 206 y/o en el Proceso de Recuento 210, esencialmente para evitar que usuarios no autorizados puedan votar y que votantes autorizados contabilicen más de un voto, así como para evitar la introducción de votos falsos en nombre de votantes que se hayan abstenido.

Preferiblemente, el método de votación se apoyará en una infraestructura de clave pública o PKI, concepto recogido en la especificación X.509 [ITU-T, Recommendation X.509 (08/97) Information Technology - Open Systems Interconnection - the Directory: Authentication Framework, 1997], con la finalidad de gestionar claves asimétricas para los actores de la votación. Las claves asimétricas de los votantes son utilizadas durante la votación con finalidades de autenticación y de no repudio. La clave privada de cada votante debe ser conocida o accesible sólo por el propio votante. Ello implica o bien que los votantes generen por sus propios medios sus pares de claves asimétricas o bien que los pares de claves asimétricas se generen por parte de una Autoridad de Certificación adecuada y sean entregados de forma segura a los votantes. La clave privada de cada votante puede permanecer en el propio Sitio de Votación 104, protegida mediante un sistema de cifrado simétrico con una contraseña que cumpla unos determinados parámetros de seguridad, en particular en lo que se refiere a su entropía. En este caso, cada votante sólo debería conocer y mantener su contraseña. Algunos ejemplos representativos de cifrado simétrico que se podrían utilizar se encuentran descritos en [Applied Cryptography, Protocols, Algorithms, and Source Code in C (segunda edición), Bruce Schneier, editor John Wiley & Sons, Inc., 1996] y [The Design of RijndaeL: AES - The Advanced Encryption Standard (Information Security and Cryptography), Joan Daemen y Vincent Rijmen, Springer Verlag, 2002]. La protección de las claves privadas de votantes mediante cifrado simétrico impide que éstas puedan ser utilizadas sin el conocimiento de la contraseña. De ese modo, la clave privada cifrada puede residir en el Sitio de Votación 104 con el que interactuará el votante, y ser enviada al mismo mediante la red de comunicación 114, al principio del Protocolo de Emisión de Voto 206. Esta técnica de almacenamiento de las claves privadas de los votantes permite evitar los inconvenientes derivados de la instalación de claves privadas y certificados digitales en las Plataformas de Emisión de Votos 102. Alternativamente, cada votante puede mantener su clave privada en un soporte físico seguro (disquete, CD, tarjeta inteligente u otro tipo de dispositivo personal de confianza) o en forma cifrada en su ordenador personal o en otra plataforma de computación de su propiedad que forme parte de, o se interconecte con, la Plataforma de Emisión de Votos 102.

La Figura 1a muestra la arquitectura del sistema de votación en el caso de máxima dispersión de los elementos que lo conforman. En dicha figura se puede observar una pluralidad de votantes interactuando por medio de sus respectivos Agentes de Votante 116 en sendas Plataformas de Emisión de Votos 102, un Sitio de Votación 104, un Sitio de Publicación de los resultados 106 y un Sitio de Recuento 108, conectados todos ellos mediante una red de comunicaciones 114 como por ejemplo Internet. Debido a la sensibilidad del Sitio de Recuento 108, éste se encuentra conectado a la red de comunicaciones 114 mediante una conexión de alta seguridad 112. Una Mesa, Electoral 110 formada por varios miembros controla las funcionalidades del Sitio de Recuento 108, así como las tareas administrativas y funcionales relacionadas con el proceso electoral. La apertura y el cierre del Sitio de Votación 104 serian dos ejemplos de estas tareas. Las Figuras 1b y 1c muestran otras posibles configuraciones del sistema de votación, en las cuales el grado de agrupación de los distintos elementos que conforman el sistema es superior. Las Figuras 3a y 3b muestran dos configuraciones posibles de la conexión de red altamente segura 112 utilizada para conectar el Sitio de Recuento 108 a la red de comunicaciones 114. En la Figura 3a, la conexión del Sitio de Recuento 108 a la red de comunicaciones 114 se protege con medidas de seguridad informática en redes, como los encionados firewalls, zonas desmilitarizadas, etc. Este tipo de medidas dificultan enormemente los accesos remotos fraudulentos que tengan la finalidad de atacar los procesos y tareas que se llevan a cabo en el Sitio de Recuento 108. En la Figura 3b se muestra una configuración aún más fiable, con el Sitio de Recuento 108 desconectado físicamente de la red de comunicaciones 114. Un dispositivo adicional conectado a la red de comunicaciones 114 es el encargado de recibir los datos que el Sitio de Recuento 108 requiere para llevar a cabo sus tareas (básicamente, la urna digital). Dichos datos son transferidos del dispositivo adicional al Sitio de Recuento 108 mediante un soporte físico tal como un disco magnético, un Zip, CD ó DVD. Los datos que deben circular en el sentido inverso también utilizan el mismo tipo de soporte.

Los procesos y protocolos criptográficos que incluye la presente invención requieren la realización por parte del votante de cálculos matemáticos complejos durante sus interacciones con el Sitio de Votación 104 y el Sitio de Publicación 106. La complejidad de estos cálculos motiva que sean realizados, en nombre del votante, por un Agente de Votante 116 formado por un conjunto de programas o software. Se puede tratar de una aplicación convencional, un plug-in para un navegador de internet, una aplicación que se ejecuta en el propio navegador, o un módulo que se ejecuta en un terminal de telefonía móvil o en otro dispositivo personal móvil de computación. El Agente de Votante 116 podría incluso ser implementado en forma de circuito integrado. En todo caso, el Agente de Votante 116 debe estar debidamente auditado y certificado, para garantizar al votante que no realiza ninguna operación que no se encuentre descrita en los procesos y protocolos criptográficos de votación. El Agente de Votante 116 se ejecuta en las Plataformas de Emisión de Votos 102. Estas pueden tomar la forma de distintos dispositivos hardware, o combinación de ellos, como pueden ser un ordenador personal, una terminal de votación, un asistente digital personal (PDA), un terminal de telefonía móvil, o una tarjeta inteligente.

El Sitio de Votación 104 tiene como misión aceptar las conexiones de los Agentes de Votante 116, colaborar con ellos en los procesos y protocolos criptográficos de votación, y guardar los votos emitidos para su posterior recuento. Opcionalmente, se pueden crear diferentes Sitios de Votación 104 a modo de colegios electorales virtuales independientes. Este tipo de configuración se podría dar por ejemplo en el caso de censos electorales muy grandes que requieran una distribución de los votantes en varios centros de votación independientes. En lo que sigue, se supondrá la existencia de un único Sitio de Votación 104 (un único colegio electoral virtual), aunque el método descrito en la presente invención podría a fácilmente extrapolarse a configuraciones con una pluralidad de los mismos.

Al finalizar la votación o consulta, el Sitio de Recuento 108 recibe del Sitio de Votación 104 la urna digital que contiene todos los votos emitidos. Operado por una Mesa Electoral 110 integrada por una pluralidad de miembros, el Sitio de Recuento 108 contabiliza los votos y elabora la lista de resultados. El Sitio de Recuento 108 es un componente especialmente sensible del sistema de votación. Es por ello que tanto los componentes hardware como software que lo constituyen deben mantenerse tan simples como sea posible. En particular, el software debe estar debidamente auditado y certificado, para garantizar que no realiza ninguna operación que no se encuentre descrita en los procesos y protocolos criptográficos de votación. Como se observa en las Figuras 3a y 3b, el Sitio de Recuento 108 se halla conectado a la red de comunicaciones 114 mediante una conexión de alta seguridad 112. El objetivo de dicha conexión de alta seguridad 112 es evitar el acceso remoto no autorizado al Sitio de Recuento 108. En una primera opción la conexión de alta seguridad 112 se puede implementar mediante sistemas firewall que filtren los accesos remotos al Sitio de Recuento 108. Adicionalmente, un grupo de vigilancia permanente puede monitorizar con la ayuda de sistemas de detección de intrusos todas las incidencias y anomalías. Sin embargo, la opción preferida para dotar de máxima protección al Sitio de Recuento 108 en lo que se refiere a los accesos remotos consiste en aislarlo completamente de la red de comunicaciones 114, como se muestra en la Figura 3b. Sin embargo, para permitir el envío de diversos datos (entre ellos la urna digital) al Sitio de Recuento 108 mediante la red de comunicaciones 114, se dispone de un dispositivo adicional, físicamente próximo al Sitio de Recuento 108, y con conexión a la red de comunicaciones 114 (conexión protegida con las medidas de seguridad ya enumeradas). Dicho dispositivo adicional es el encargado de recibir la urna digital u otros datos que son posteriormente transferidos al Sitio de Recuento 108 mediante un soporte físico adecuado o una conexión punto a punto adecuada. El flujo de información en el sentido inverso (datos que deban ser enviados desde el Sitio de Recuento 108 a través de la red de comunicaciones 114) también sigue una operativa similar. Cabe destacar que para una mayor seguridad del sistema en su conjunto se pueden utilizar también sistemas firewall de filtrado de paquetes en el Sitio de Votación 104 y en el Sitio de Publicación 106.

El Sitio de Publicación 106 recibe del Sitio de Recuento 108 los resultados de la votación una vez tabulados, y se encarga de hacerlos públicos a través de la red de comunicaciones 114. Adicionalmente, permite que los votantes verifiquen la correcta contabilización de su voto o, como mínimo, la correcta recepción del mismo por parte de la Mesa Electoral 110. El Sitio de Publicación 106 puede consistir en uno, o en una pluralidad de Sitios de Publicación 106 conectados a la red de comunicación 114.

En las siguientes explicaciones se supondrá que el Sitio de Votación 104, el Sitio de Recuento 108 y el Sitio de Publicación 106 se encuentran distribuidos y bien diferenciados. No obstante, ya se ha discutido la posibilidad de agrupación de los mismos.

El sistema de votación descrito utiliza una serie de procesos y protocolos criptográficos que se encuentran representados en la Figura 2, junto con el orden en que éstos se van sucediendo en el transcurso de las elecciones o de la consulta. En un primer momento tiene lugar el Protocolo de Inicialización 202 ejecutado por los miembros de la Mesa Electoral 110. En este protocolo se realizan las tareas necesarias para preparar la votación. Seguidamente se procede al Protocolo de Apertura 204 del Sitio de Votación 104. Los votantes pueden a partir de ese momento ejecutar el Protocolo de Emisión de Voto 206, mediante los respectivos Agentes de Votante 116 y conjuntamente con el Sitio de Votación 104, con la finalidad de emitir sus votos. Una vez finalizado el periodo de votación, se lleva a cabo el Protocolo de Cierre 208. El siguiente paso consiste en el Proceso de Recuento 210, en el que se elabora la lista de resultados. Finalizado el recuento y tabulación de resultados, se transmiten los mismos desde el Sitio de Recuento 108 al Sitio de Publicación 106 mediante el Protocolo de Transmisión de Resultados 212. Los votantes verifican finalmente el correcto tratamiento de sus votos mediante el Protocolo de Verificación 214.

Para permitir una descripción más detallada de los procesos y protocolos criptográficos listados se utilizará la siguiente notación:

\bullet: V: Un votante en particular, actuando desde su Plataforma de Emisión de Votos 102, a través de su Agente de Votante 116.

\bullet: PS: Sitio de Votación 104.

\bullet: EB: Mesa Electoral 110.

\bullet: elect: Cadena de datos que identifica unívocamente las elecciones o consulta que se celebra.

: Puede tratarse, por ejemplo, de un identificador secuencial, o de la fecha y un texto descriptivo de las elecciones.

\bullet: ident: Identificador único para cada voto emitido. Puede tratarse por ejemplo de una cadena de datos aleatorios de una longitud suficientemente grande en relación con el censo de votantes que participan en la elección.

\bullet: vote: Cadena de datos que identifica de forma única una determinada opción de voto. Se trata de una cadena de datos que soporta una longitud y contenidos arbitrarios. Esta caracteristica permite máxima flexibilidad en lo que se refiere al formato de las papeletas de voto. Pueden por ejemplo implementarse preguntas abiertas, donde el votante puede dar su opinión sobre lo que se le pregunta o escribir directamente la identidad del candidato votado.

\bullet: M_{1}\ |\ M_{2}: Concatenación de dos mensajes M_{1} y M_{2}.

\bullet: H{M}: Resumen del mensaje M obtenido mediante una función resumen criptográfica.

\bullet: K: Clave de un determinado sistema de cifrado simétrico. Se usarán subíndices para distinguir entre las diversas claves de este tipo usadas en los protocolos.

\bullet: E_{K}[M]: Cifrado simétrico del mensaje M con la clave K.

\bullet: P_{entity} y S_{entity}: Pareja de claves asimétricas (clave pública y clave privada respectivamente) propiedad de entity.

\bullet: P*_{entity} y S*_{entity}: Pareja de claves asimétricas (clave pública y clave privada respectivamente) propiedad de entity, correspondientes a un cifrado probabilístico según la propuesta de Blum y Goldwasser [Blum, M. y Goldwasser, S. An Efficient Probabilistic Public Key Encryption Scheme which Hides All Partial Information, Advances in Cryptology - CRYPTO `84 Proceedings, pp. 289-299, Springer Verlag, 1985].

\bullet: P_{entiry}[M]: Cifrado asimétrico del mensaje con la clave pública P_{entity}.

\bullet: P*_{entity}[M]: Cifrado probabilístico del mensaje M con la clave pública de entity.

\bullet: E_{K}[M]\P_{entity}[K]: Sobre digital del mensaje M que va destinado a entity. Este sobre digital comprende el cifrado de M con una clave de sesión simétrica K, concatenado al cifrado de dicha clave de sesión K con la clave pública P_{entity} del destinatario. El mecanismo de sobre digital se encuentra descrito en [PKCS#7, Cryptographic Message Syntax Standard, An RSA Laboratories Technical Note, Versión 1.5, 1 de noviembre de 1993].

\bullet: S_{entity}[H{M}]: Firma digital del mensaje M creada con la clave privada de entity. La firma conlleva una transformación criptográfica determinada por la clave privada de entity sobre el resumen del mensaje M obtenido mediante una función resumen criptográfica. Se puede tomar [Rivest, R.L., Shamir, A., y Adleman, L.M. A Method for Obtaining Digital Signatures and Public Key Cryptosystems. Comm. of the ACM, V. 21, n. 2, pp. 120-126, 1978] como referencia a dicha transformación criptográfica. El formato resultante de una firma digital se encuentra descrito en [PKCS#7, Cryptographic Message Syntax Standard, An RSA Laboratories Technical Note, Versión 1.5, 1 de noviembre de 1993].

\bullet: M^{BF}: Mensaje M tapado con un factor de ocultación BF, según la propuesta realizada en US 4.759.063.

El primer paso del esquema de votación consiste en el Protocolo de Inicialización 202, que comprende la asignación de valores iniciales a todos los parámetros necesarios para la votación en curso y la generación de los pares de claves asimétricas necesarios para el conjunto de la Mesa Electoral 110 y para el Sitio de Votación 104. Estos procesos de inicialización se pueden realizar durante un tiempo más o menos dilatado. En un dispositivo seguro se generan dos pares de claves asimétricas para el conjunto de la Mesa Electoral 110. Se denominan P_{EB}^{(ADM)} y S_{EB}^{(ADM)} a las claves pública y privada, respectivamente, del primero de estos pares y P_{EB}^{(ENV)} y S_{EB}^{(ENV)} a las claves del segundo par. Asimismo, se genera un par de claves para el Sitio de Votación 104, denominadas P_{PS} y S_{PS}. Las claves públicas deben ser certificadas. Dicha certificación puede ser realizada por una Autoridad de Certificación con amplia representación en los navegadores de Internet convencionales. Alternativamente, las claves públicas también podrían ser certificadas por una Autoridad de Certificación de la Infraestructura de Clave Pública (PKI) asociada al sistema de votación u otra Autoridad de Certificación de alguna PM cuya clave pública raíz sea de algún modo reconocida por los votantes.

Las claves P_{PS} y S_{PS} van a ser utilizadas por el Sitio de Votación 104 para la realización de firmas digitales durante el Protocolo de Emisión de Voto 206 y el Protocolo de Cierre 208. En particular, la clave privada S_{PS} se usará de forma muy frecuente durante el Protocolo de Emisión de Voto 206 y por tanto se instalará preferiblemente en un dispositivo hardware como por ejemplo una tarjeta aceleradora criptográfica, que será asociada a los Sitios de Votación 104. Si no se dispone del dispositivo hardware mencionado, la clave privada se protegerá mediante los mecanismos de protección convencional ofrecidos por el sistema de ficheros de los Sitios de Votación 104.

Las claves P_{EB}^{(ADM)} y S_{EB}^{(ADM)} van a ser utilizadas por la Mesa Electoral 110 para los Protocolos de Apertura 204 y Cierre 208 del Sitio de Votación 104, opcionalmente para el Protocolo de Emisión de Voto 206, así como también para todas aquellas operaciones que requieran la realización de una firma digital por parte de la Mesa Electoral 110. La clave privada S_{EB}^{(ADM)} permanecerá en el Sitio de Recuento 108, que está conectado a la red de comunicación 114 mediante la conexión de Alta Seguridad 112.

Las claves P_{EB}^{(ENV)} y S_{EB}^{(ENV)} serán utilizadas únicamente para la votación en curso. Con la clave pública P_{EB}^{(ENV)} de la Mesa Electoral 110, los votantes protegerán sus votos durante el Protocolo de Emisión de Voto 206. La clave privada S_{EB}^{(ENV)} de la Mesa Electoral 110 es una pieza de información de gran sensibilidad, ya que con ella se podrán desproteger los votos para permitir su recuento. El conocimiento de esta clave por parte de una única autoridad de votación debilitaría la votación electrónica al concentrar demasiada confianza en un solo punto. El conocedor de esta clave privada podría ser sometido a presiones, o sencillamente ser deshonesto e intentar manipular la votación. Para evitar la excesiva concentración de confianza, se utiliza un mecanismo criptográfico de distribución de confianza entre los distintos miembros que constituyen la Mesa Electoral 110. Dicho mecanismo elimina la posibilidad de que un único miembro de la Mesa Electoral 110, o una cierta minoría de ellos, tenga conocimiento de la clave privada S_{EB}^{(ENV)}. En general, se supone que no se producirán coaliciones mayoritarias con fines deshonestos entre los miembros de la Mesa Electoral 110, puesto que cada uno de los miembros puede tener intereses contrapuestos, al representar a opciones de voto distintas, pertenecer a terceras partes con intereses en la correcta realización de las elecciones, o simplemente tratarse de un auditor independiente. No obstante, incluso en el supuesto de que una coalición mayoritaria con fines deshonestos se produzca, la presente invención permite en su caso que los propios votantes sean capaces de detectar la manipulación de la urna digital (eliminación o modificación de votos emitidos, así como adición de votos falsos).

Diversos protocolos criptográficos de compartición de secretos se pueden utilizar en la presente invención para dividir la clave privada S_{EB}^{(ENV)} de la Mesa Electoral 110 entre sus miembros, cumpliendo las características mencionadas de distribución de confianza. En la citada obra de Schneier se puede hallar una descripción de los mismos.

Una vez la clave privada S_{EB}^{(ENV)} de la Mesa Electoral 110 ha sido dividida en participaciones individuales mediante un protocolo criptográfico de compartición de secretos, cada una de las participaciones se almacena, convenientemente cifrada, en el Sitio de Recuento 108 usado para realizar dicha división. Para cifrar las participaciones se utiliza un sistema de cifrado adecuado (típicamente simétrico) y una clave aleatoria segura generada en el propio Sitio de Recuento 108, y distinta para cada una de las participaciones. A cada miembro de la Mesa Electoral 110 se le asigna una de las participaciones, con lo que recibe la clave aleatoria usada para cifrar dicha participación (generada con o sin su intervención). La clave recibida es almacenada en un dispositivo personal de memoria seguro. La clave privada original, así como las participaciones en claro, son finalmente destruidas eliminando cualquier traza de las mismas de los dispositivos y sistemas de procesamiento, de almacenamiento y de memoria del Sitio de Recuento 108. Alternativamente, los miembros de la Mesa Electoral 110 podrían haber recibido directamente sus respectivas participaciones, con lo cual dichas participaciones no se almacenarían cifradas en el Sitio de Recuento 108 sino en los dispositivos personales de memoria seguros.

El siguiente paso después del Protocolo de Inicialización 202 es el Protocolo de Apertura 204 del Sitio de Votación 104. La Mesa Electoral 110 es quien determina el instante de apertura del Sitio de Votación 104. Para ello se envía al Sitio de Votación 104 la orden de apertura 402 (ver Figura 4). Dicha orden de apertura 402 debe contener los siguientes campos. En primer lugar, el identificador de las elecciones en curso elect. En segundo lugar, el identificador del Sitio de Votación 104 (típicamente, la dirección de Internet IP del Sitio de Votación 104 al cual acceden los votantes, o bien su nombre de dominio DNS). En tercer lugar, el estado del Sitio de Votación 104 ("Abierto"). En cuarto lugar, el valor de probabilidad PR_{ACK}. Dicho valor regula el proceso de emisión de confirmaciones de votación desde el Agente de Votante 116 hacia el Sitio de Recuento 108. Este proceso se realiza al final del Protocolo de Emisión de Voto 206, tal como se describirá posteriormente. Opcionalmente, la orden de apertura 402 puede contener también la fecha y hora de apertura. Finalmente, dicha orden debe incorporar una prueba de autenticidad conforme ha sido generada por la Mesa Electoral 110. Dicha prueba consiste en la firma digital de la orden de apertura 402, utilizando S_{EB}^{(ADM)}. La forma genérica de la orden de apertura 402 sería pues:

elect | PS | "Abierto" | PR_{ACK} | S_{EB}^{(ADM)}[H{elect | PS | "Abierto" | PR_{ACK}}]

Una vez recibida la orden de apertura 402 por parte del Sitio de Votación 104, los votantes pueden iniciar la emisión de sus votos. Al finalizar el Protocolo de Emisión de Voto 206, el voto emitido por cada votante se encontrará almacenado en el Sitio de Votación 104, debidamente protegido mediante medidas criptográficas que serán descritas más adelante. Asimismo, la Plataforma de Emisión de Votos 102 almacenará un recibo de votación con finalidades de verificación posterior del voto.

El Protocolo de Emisión de Voto 206 comprende siete pasos, como detalla la Figura 5. Si la Plataforma de Emisión de Votos 102 consiste en un dispositivo personal de confianza y dispone de un módulo seguro contra manipulaciones, todas las operaciones criptográficas que realiza el Agente de Votante 116 en el Protocolo de Emisión de Voto 206 (y también en el Protocolo de Verificación 214) se realizan en su interior para mayor seguridad. El primer paso del Protocolo de Emisión de Voto 206 es opcional y contempla una autenticación del votante ante el Sitio de Votación 104. En el segundo paso el votante escoge su opción de voto a partir de las diversas opciones presentadas. En el tercer paso el Agente de Votante 116 obtiene un identificador de voto, único para cada voto. Dicho identificador podrá ser conocido (e incluso elegido) por el votante en la configuración con identificadores desvinculados. El identificador de voto no podrá ser conocido por el votante en la configuración con identificadores vinculados. En el cuarto paso, el Agente de Votante 116 obtiene un recibo de votación que da validez al voto y que va a permitir la verificabilidad de los resultados de la votación. El método de votación permite dos grados distintos de verificabilidad, en función de su configuración (identificadores vinculados o identificadores desvinculados). En el quinto paso, el Agente de Votante 116 protege el voto y demás información relacionada mediante la construcción de un sobre digital que solamente puede ser abierto por un conjunto cualificado de miembros de la Mesa Electoral 110. En el sexto paso, una vez el Sitio de Votación 104 ha recibido el sobre digital del paso anterior, entrega al Agente de Votante 116 un comprobante de votación que demuestra que el voto ha sido efectivamente entregado. En el séptimo paso, el Agente de Votante 116 decide enviar, total o parcialmente, dicho comprobante al Sitio de Recuento 108, según la probabilidad PR_{ACK} especificada en la orden de apertura 402, a modo de confirmación de finalización correcta del Protocolo de Emisión de Voto 206. El Protocolo de Emisión de Voto 206 requiere siempre la autenticación del votante. Dicha autenticación se puede realizar en el primer paso de dicho protocolo, o mediante la utilización de una prueba de autenticidad en el quinto paso.

En el primer paso del Protocolo de Emisión de Voto 206, la autenticación del votante permite al Sitio de Votación 104 obtener con una seguridad razonable una prueba de la identidad real de cada votante que contacta remotamente. Idealmente, los votantes deberían disponer de una pareja de claves asimétricas que les permitan llevar a cabo protocolos de autenticación fuerte, como por ejemplo los descritos en el estándar X.509 mencionado anteriormente, o mediante los estándares de la industria WTLS [WAP Forum, Wireless Transport Layer Security specification, Versión 06-Apr-2001, abril 2001], TLS [Dierks, T. y Allen, C. The TLS protocol,versión 1.0. Request for Comments 2246, enero 1999], o su predecesor SSL [Freier,.A.O., Karlton, P. y Kocher, P.C. The SSL protocol, version 3.0. Internet-Draft, noviembre 1996], con autenticación bilateral. La utilización de sistemas de identificación biométrica se podría combinar con el mecanismo de autenticación fuerte para añadir más seguridad a la autenticación remota de votantes. Este primer paso del Protocolo de Emisión de Voto 206 es opcional y en caso de no efectuarse, la prueba de autenticidad del voto que se realizará en el paso quinto del Protocolo de Emisión de Voto 206, ofrecerá las debidas garantías sobre la identidad de cada votante.

Por su parte, el Sitio de Votación 104 también debe autenticarse ante los votantes, utilizando para ello los protocolos de autenticación estándar de la industria, mencionados en el párrafo anterior. Dichos protocolos adicionalmente garantizan el transporte seguro de datos (la confidencialidad, integridad y autenticidad de los datos intercambiados entre la Plataforma de Emisión de Votos 102 y el Sitio de Votación 104).

Durante el segundo paso del Protocolo de Emisión de Voto. 206 el votante, interactuando con el Agente de Votante 116 en la Plataforma de Emisión de Votos 102, escoge el sentido de su voto. La presente invención permite la máxima flexibilidad en lo que se refiere al formato de los votos. El votante puede manifestarse a favor de una determinada opción, a favor de un conjunto de ellas, o a favor de unas y en contra de otras. Pueden plantearse asimismo preguntas abiertas para recoger la opinión de los votantes en formato libre, o permitir también la elección de candidatos seleccionados en el mismo momento de votación. La elección del votante se codifica en la cadena de datos vote, que admite cualquier formato, estandarizado o no.

El tercer paso del Protocolo de Emisión de Voto 206 consiste en la obtención de un identificador único para el voto. Este valor (ident) debe ser suficientemente grande para permitir identificar unívocamente cada uno de los votos emitidos. La obtención de ident se puede realizar por dos vías distintas, en función de cómo se configure el método de votación. Una primera configuración permite al votante escoger el valor ident dentro de un rango prefijado o bien delegar a su Agente de Votante 116 la elección de dicho valor. Una segunda configuración requiere que el votante no sea capaz de determinar el identificador único de su voto con anterioridad, ni tampoco conocerlo una vez ha sido obtenido. En este caso, el valor ident se obtiene por parte del Agente de Votante 116 de forma aleatoria con una distribución uniforme.

En la primera configuración mencionada, los identificadores de voto aparecerán publicados en los resultados finales, sin ningún vínculo con las respectivas opciones de voto-(las cuales se publicarán agrupadas en forma de totales). Esta primera configuración permitirá a los votantes, durante el Protocolo de Verificación 214, asegurarse de la correcta recepción de sus votos por parte de la Mesa Electoral 110. Esta configuración se designará como "configuración con identificadores de voto desvinculados". En la segunda configuración, "con identificadores de voto vinculados", los resultados finales incorporan una lista de todos los votos emitidos, individualmente y acompañados de los respectivos identificadores de voto para facilitar su localización e identificación. Esta segunda configuración permitirá a los votantes asegurarse no solo de la correcta recepción de sus votos, sino también de la correcta contabilización de los mismos por parte de la Mesa Electoral 110. En ambos casos, la presente invención asegura la imposibilidad de coacción o de venta de votos basadas en el uso y conocimiento de los identificadores de voto.

En la configuración con identificadores de voto desvinculados, el votante no dispone de ningún medio para demostrar el vínculo entre su identificador de voto y la opción de voto escogida. Por este motivo, la coacción o venta del voto basadas en la búsqueda en los resultados publicados del identificador de voto no tienen ningún efecto.

No obstante, en la configuración con identificadores de voto vinculados, la coacción o venta del voto se podrían basar en la capacidad del votante de predeterminar, o tan sólo llegar a conocer, el identificador de su voto. Ello supondría una grave debilidad ya que la coacción y la venta de votos dejarían de ser problemas acotados para convertirse en amenazas significativas a la seguridad de las elecciones en su globalidad. En efecto, cabe distinguir entre la coacción o venta de votos individuales, debidas al hecho de votar remotamente desde entornos no controlados, y la coacción o venta de votos masivas, basadas en el procesamiento automatizado de los identificadores de voto o de los recibos de votación. El mero conocimiento de los identificadores de voto por parte de los votantes, con antelación a la publicación de los mismos en los resultados finales, representaría una prueba inequívoca de la opción de voto escogida por cada votante. De este modo, no sería necesario observar al votante mientras emite su voto sino que sería suficiente con verificar cuál fue realmente el voto emitido al contrastar su identificador de voto con la lista de votos publica-
dos.

Por tanto, en la configuración con identificadores de voto vinculados, el Agente de Votante 116 debe impedir el acceso del votante al identificador de su voto, tanto durante su generación como en su almacenamiento posterior. Idealmente, este control de acceso se realizará incorporando en las Plataformas de Emisión de Votos 102 algún tipo de dispositivo hardware resistente a las manipulaciones, tal como una tarjeta inteligente. El valor ident se genera en el interior de dicho dispositivo, almacenándose en una área de memoria protegida que impide el acceso incluso por parte del propio votante. Una primera versión de esta técnica de ocultación de datos sensibles ante los votantes fue introducida en [Riera, A., Borrell, J. y Rifà, J. An uncoercible verifiable electronic voting protocol. Proc. of the IFIP SEC `98 Conference, pp. 206-215, Austrian Computer Society, 1998]. Alternativamente, dicha ocultación de datos puede realizarse mediante protección software. Sin embargo este tipo de protección resulta demasiado débil ante determinados ataques. Es por ello que la implementación preferida se basa en la utilización de un dispositivo hardware seguro contra manipulaciones. Aun así, en el caso de utilizar protección software para la ocultación del identificador de voto, la presente invención incluye un protocolo criptográfico entre el Agente de Votante 116 y el Sitio de Votación 104 para la obtención del identificador de voto. El protocolo propuesto permite la generación conjunta del identificador de voto, de modo que el votante no pueda de ningún modo predeterminar con anterioridad el identificador, a la vez que se impide al Sitio de Votación 104 ganar conocimiento alguno acerca del identificador una vez generado conjuntamente. Antes de iniciar el protocolo, el Agente de Votante 116 y el Sitio de Votación 104 deben acordar el uso de un determinado sistema de cifrado simétrico. El tamaño de bloque del cifrador deberá coincidir o ser superior al tamaño del identificador de voto a generar (en caso de ser inferior, el protocolo deberá repetirse tantas veces como fuera necesario). El Agente de Votante 116 genera aleatoriamente una clave K_{i} para el sistema de cifrado escogido y, mediante una función resumen criptográfica, calcula la cadena resumen de dicha clave, H{K_{i}}. El Agente de Votante 116 envía dicho resumen al Sito de Votación 104. En el Sitio de Votación 104 se genera un valor aleatorio R, de un número de bits igual al tamaño de bloque del cifrador acordado. El Sitio de Votación 104 puede firmar digitalmente el resumen de la clave simétrica que ha recibido junto con el valor R que ha generado. Dicha firma digital será útil para verificar, en el Sitio de Recuento 108, la consistencia del identificador de voto que se obtiene, impidiendo la falsificación de dichos identificadores por parte de votantes no honestos. En el siguiente paso del protocolo, el Sitio de Votación 104 envía pues al Agente de Votante 116 los datos siguientes:

H{K_{i}} | R | S_{PS}[H{H{K_{i}} | R}]

Para obtener el valor ident, el Agente de Votante 116 cifra con la clave K_{i} el valor R enviado por el Sitio de Votación 104, obteniendo ident = E_{Ki}[R].

El cuarto paso del Protocolo de Emisión de Voto 206 consiste en obtener un recibo de votación. En la configuración con identificadores de voto desvinculados, dicho recibo de votación otorga validez al identificador de voto escogido en el tercer paso, y permite al votante emitir públicamente una reclamación en caso de que dicho identificador de voto no sea publicado en los resultados finales. En la configuración con identificadores de voto vinculados, dicho recibo de votación otorga validez a la opción de voto escogida en el segundo paso, vinculándola al identificador de voto obtenido en el tercer paso. Ello permite al votante emitir públicamente una reclamación en caso de que dicha opción de voto, con el identificador de voto al que está vinculada, no sean publicados en los resultados finales. En ambos casos, la reclamación se puede efectuar públicamente, demostrando el problema de contabilización sin revelar cuál era la opción de voto.

En la configuración con identificadores de voto desvinculados, el recibo de votación se obtiene mediante la firma digital del Sitio de Votación 104 de la concatenación del identificador de voto y el identificador elect:

ident | elect | S_{PS}[H{ident | elect}]

\newpage

En la configuración con identificadores de voto vinculados, el recibo de votación debe contener información de algún modo íntimamente vinculada a la opción de voto escogida por el votante, vote. De este modo se impide la manipulación posterior de la opción de voto, manteniendo válido el mismo recibo de votación. El recibo de votación no puede contener sin embargo el valor vote en claro, puesto que ello impediría al votante la realización de reclamaciones públicas (el votante, al mostrar su recibo de votación validado, revelaría cuál fue realmente su opción de voto). La técnica de las etiquetas de voto, introducida en [Sako, K. Electronic voting scheme allowing open objection to the tally, IEICE Trans. Fund. Of Electronics, Communications in Computer Science, E77-A, pp. 24-30, 1994], y mejorada en sus aspectos prácticos de implementación en [Riera, A., Rifà, J. y Borrell, J. Efficient construction of vote-tags to allow open objection to the tally in electronic elections. Information Processing Letters, Vol. 75, n. 4, pp. 211-215, Elsevier Science, octubre 2000], ayuda a conseguir los objetivos que deben cumplir los recibos de votación. En la presente invención, un recibo de votación para la configuración con identificadores vinculados se construye aplicando una función resumen criptográfica sobre la opción de voto del votante, vote, y el identificador de voto ident, y concatenando dicha cadena resumen con el identificador de las elecciones en curso, elect, obteniendo finalmente H{ident | vote} | elect. Para dar validez a dicho recibo de votación, el Sitio de Votación 104 utilizará su clave privada S_{PS}. No obstante, el uso del mecanismo convencional de firma digital permitiría a los administradores del Sitio de Votación 104 (o a quien tuviera análogos privilegios) correlacionar los votos publicados en los resultados con los recibos de votación previamente validados durante los Protocolos de Emisión de Voto 206. Para evitar este inconveniente, que atentaría directamente contra la privacidad de los votantes, la presente invención utiliza variaciones del mecanismo de firma digital. Estas variaciones permiten dar validez al recibo de votación y al mismo tiempo impiden al Sitio de Votación 104 la correlación entre los recibos validados y los votos que posteriormente se publicarán en los resultados.

La primera variación del mecanismo de firma digital que puede ser utilizada en la presente invención consiste en la llamada firma digital ciega, descrita en US 4,759,063. De este modo, el Agente de Votante 116 prepara los datos a firmar con un factor de ocultación BF generado de forma aleatoria, (H{H{ident | vote} | elect})^{BF} y envía estos datos al Sitio de Votación 104. El Sitio de Votación 104 firma digitalmente la información recibida con su clave privada, obteniendo S_{PS}[(H{H{ident | vote} | elect})^{BF}] y envía dicha firma al Agente de Votante 116. Debido a la aleatoriedad del factor de ocultación BF, el Sitio de Votación 104 no obtiene ninguna información útil acerca del recibo de votación. El Agente de Votante 116, no obstante, es capaz de eliminar el factor de ocultación de la firma recibida, recuperando la firma digital sobre el recibo de votación original, que constituye el recibo de votación validado:

H{ident | vote} | elect | S_{PS}[H{H{ident | vote} | elect}]

Una segunda variación para la validación de los recibos de votación consiste en cifrarlos mediante un criptosistema probabilístico, antes de transmitirlos al Sitio de Votación 104. El cifrado probabilístico tiene la propiedad de que un mismo mensaje cifrado varias veces con una misma clave pública da origen a diferentes textos cifrados, con lo que el Sitio de Votación 104 no puede relacionar los recibos cifrados que ha validado con los votos que son publicados en los resultados. El concepto de cifrado probabilístico fue descrito en [Goldwasser, S. y Micali, S. Probabilistic encryption, Journal of Computer and System Sciences, Vol. 28, no. 2, April 1984], y posteriormente se presentó una posible implementación en [Blum, M. y Goldwasser, S., An Efficient Probabilistic Public Key Encryption Scheme which Hides All Partial Information, Advances in Cryptology - CRYPTO `84 Proceedings, pp. 289-299, Springer Verlag, 1985]. Los pasos para validar los recibos de votación utilizando cifrado probabilístico son los siguientes. En primer lugar, el Agente de Votante 116 genera un par de claves de sesión para el criptosistema probabilístico, P*_{SESSION} y S*_{SESSION} (clave pública y clave privada respectivamente) y cifra probabilísticamente el recibo con la clave pública:

P*_{SESSION}(H{ident | vote} | elect)

A continuación, el Agente de Votante 116 transmite al Sitio de Votación 104 el recibo cifrado junto con la clave pública recién generada, P*_{SESSION} El Sitio de Votación 104 firma digitalmente esta información con su clave privada, transmitiendo dicha firma al Agente de Votante 116. El Agente de Votante 116 almacena la firma recibida junto con la clave S*_{SESSION}, formando todo ello el recibo de votación validado:

P*_{SESSION}(H{ident | vote} | elect) | P*_{SESSION} |

| S_{PS}[H{P*_{SESSION}(H{ident | vote} | elect) | P*_{SESSION}}] |

| S*_{SESSION}

Una tercera variación para la validación de los recibos de votación consiste en utilizar cifrado simétrico para ocultar el recibo ante el Sitio de Votación 104. Para obtener la validación de su recibo de votación, el Agente de Votante 116 genera aleatoriamente una clave K_{r} simétrica de sesión. El Agente de Votante 116 cifra el recibo de votación con la clave generada, y envía al Sitio de Votación 104 dicho cifrado junto con el resumen de la clave K_{r}, obtenido mediante una función resumen criptográfica:

E_{Kr}[H{ident | vote} | elect] | H{K_{r}}

El Sitio de Votación 104 firma digitalmente el mensaje recibido con su clave privada, enviando dicha firma al Agente de Votante 116. El Agente de Votante 116 almacena la firma recibida junto con la clave K_{r}, formando todo ello el recibo de votación validado:

E_{Kr}[H{ident | vote} | elect] | H{K_{r}} |

| S_{PS}[H{E_{Kr}[H{ident | vote} | elect] | H{K_{r}}}] | K_{r}

Una vez el Agente de Votante 116 dispone del recibo de votación validado por el Sitio de Votación 104 (según una cualquiera de las alternativas descritas), puede proceder con el quinto paso del Protocolo de Emisión de Voto 206. Este paso comprende la construcción de un sobre digital para proteger al voto (y con él a la privacidad del votante). Tan sólo la Mesa Electoral 110 en su conjunto será capaz de abrir dicho sobre digital, siguiendo de este modo una analogía con la mayoría de sistemas electorales convencionales. En el sobre digital, el Agente de Votante 116 incluye la cadena vote, el identificador de voto ident y el recibo de votación validado, así como la información necesaria para comprobar la correcta obtención de ident en el caso de que este valor haya sido generado conjuntamente entre el Agente de Votante 116 y el Sitio de Votación 104. Adicionalmente, el sobre digital contendrá toda aquella información relevante para la correcta administración de las elecciones, tal como el estilo de la papeleta de voto, la fecha de celebración de las elecciones o el identificador del lenguaje utilizado. Para construir dicho sobre digital, el Agente de Votante 116 genera una clave de sesión K_{e}, que cifra con la clave pública P_{EB}^{(ENV)} de la Mesa Electoral 110. La forma genérica del sobre digital sería pues:

sobre = E_{Ke}[vote | ident | recibo de votación | información relevante] | P_{EB}^{(ENV)}[K_{e}]

Una vez cifrado el contenido del sobre, el Agente de Votante 116 adjunta una prueba de autenticidad a dicho sobre digital. En la presente invención se contemplan cuatro opciones diferentes para garantizar la autenticidad de dicho sobre digital. En una primera opción, el Agente del Votante 116 concatena el sobre digital con la identidad del votante V, con el identificador de las elecciones elect, con la orden de apertura 402, y opcionalmente, con una marca de tiempo (time) correspondiente al momento de emisión del voto y que es acordada entre el Agente de Votante 116 y el Sitio de Votación 104. El conjunto de todos estos datos concatenados se firma digitalmente con la clave privada S_{V} del votante y se transmite al Sitio de Votación 104:

sobre | V | elect | Orden 402 | time | S_{V}[H{sobre | V | elect | Orden 402 | time}]

En una segunda opción, el Agente de Votante 116 concatena los mismos datos anteriores a excepción del sobre digital, y los firma digitalmente con la clave privada S_{V} del votante.

V | elect | Orden 402 | time | S_{v}[H{V | elect | Orden 402 | time}]

A continuación, el Agente de Votante 116 construye un segundo sobre digital sobre' que envía al Sitio de Votación 106. Para la construcción de sobre' utiliza la clave pública P_{EB}^{(ADM)} de la Mesa Electoral 110. Este segundo sobre digital contiene el primer sobre digital, y la firma digital sobre los valores especificados:

sobre' = E_{Ke}' [sobre | V | elect | Orden 402 | time | S_{v}[H{V | elect | Orden 402 | time}]] | P_{EB}^{(ADM)}[K_{e}']

La tercera opción está indicada para elecciones en que los votantes no disponen de un par de claves asimétricas. En este tipo de elecciones, cada votante debe disponer de un identificador privado de votante (PVI), diferente y secreto, que le permita autenticarse. El Agente de Votante 116 concatena dicha pieza de información, PVI, con la identidad del votante V, con el identificador de las elecciones elect, con la Orden de Apertura 402, y, opcionalmente, con una marca de tiempo (time), y construye un segundo sobre digital, sobre', con la clave pública P_{EB}^{(ADM)} de la Mesa Electoral 110:

sobre' = E_{Ke}'[sobre | PVI | V | elect | Orden 402 | time |] | P_{EB}^{(ADM)}[K_{e}']

En una cuarta opción, el Agente de Votante 116, en base a un criptosistema asimétrico escogido, crea un par de claves (P_{V}^{(AUT)}, S_{v}^{(AUT)} donde el componente público, o uno de los componentes de la clave pública, es el resumen del sobre digital sobre, obtenido mediante una función resumen criptográfica. Por ejemplo, utilizando el criptosistema de clave pública RSA [Rivest, R.L., Shamir, A. Y Adleman, L.M. A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, v. 21, n. 2, pp. 120-126, febrero 1978], el componente público, que usualmente recibe el nombre de e, correspondería al resumen del sobre digital, y el componente privado d, se calcularía, de la forma convencional, para que cumpliese las propiedades de dicho criptosistema. Con el componente privado del par de claves creadas, el Agente de Votante 116 obtiene la siguiente firma:

V | elect | Orden 402 | time | S_{v}^{(AUT)}[H{V | elect | Orden 402 | time}]

El Agente de Votante 116 concatena y envía al Sitio de Votación 104 la información siguiente:

sobre | V | elect | Orden 402 | time | S_{v}^{(AUT)}[H{V | elect | Orden 402 | time}]

En las opciones segunda y tercera, a diferencia de la primera y cuarta, no es posible deducir las identidades de los votantes que han ejercido el voto a partir de la urna del Sitio de Votación 104. En cualquier caso, la prueba de la autenticidad incluida con el sobre digital que contiene el voto impide la adición de votos en nombre de votantes que se hayan abstenido, tanto en el Sitio de Votación 104 como en el Sitio de Recuento 108.

El sexto paso del Protocolo de Emisión de Voto 206 consiste en la obtención de un comprobante de votación. Dicho comprobante, emitido y validado por el Sitio de Votación 104 mediante una firma digital, tiene la finalidad de permitir posteriormente al votante demostrar que finalmente depositó en el Sitio de Votación 104 un sobre digital durante la votación en curso. El comprobante de votación puede pues consistir en la firma del Sitio de Votación 104 sobre los datos entregados por el votante en el paso anterior. Para las opciones primera y cuarta descritas anteriormente:

sobre | V | elect | Orden 402 | time | S_{PS}[H{sobre | V | elect | Orden 402 | time}]

Para las opciones segunda y tercera:

sobre' | S_{PS}[H{sobre'}]

El Sitio de Votación 104 deposita en la urna digital el conjunto de datos entregado por el votante en el quinto paso del protocolo, conjuntamente con el comprobante de votación. De este modo, cada voto en la urna digital incorpora una prueba de autenticidad por parte del propio votante y una prueba de autenticidad por parte del Sitio de Votación 104.

El Agente de Votante 116 almacena el comprobante de votación obtenido en el sexto paso del Protocolo de Emisión de Voto 206. Dicho comprobante será requerido en los procesos de reclamación al recuento, para demostrar que el votante efectivamente emitió el voto.

El séptimo y último paso del Protocolo de Emisión de Voto 206, consiste en el envío, por parte del Agente de Votante 116, hacia el Sitio de Recuento 108, de la cadena de datos correspondiente a la firma digital incluida en el comprobante de votación obtenido en el sexto paso del Protocolo de Emisión de Voto 206, S_{PS}[H{sobre | V | elect | Orden 402 | time}]. Este envío sirve como confirmación para la Mesa Electoral 110 de que el votante ha completado el Protocolo de Emisión de Voto 206. Este envío no se realiza de forma determinista, sino que el Agente de Votante 116 realiza el envío según la probabilidad PR_{ACK} incluida en la orden de apertura 402. El objetivo de este envío es poder detectar, estadísticamente, la eventual eliminación de sobres digitales en el Sitio de Votación 104, con un nivel de confianza tan grande como sea deseable, sin sobrecargar en exceso el Sitio de Recuento 108.

El Protocolo de Emisión de Voto 206 podría verse interrumpido por causas ajenas al método de votación (fallos en la red de comunicaciones 114, por ejemplo). En el supuesto de que ocurra alguno de estos imprevistos, debe existir una agencia de supervisión de las elecciones encargada de resolver estas situaciones y de atender a los votantes. La especificación y funcionamiento de dicha agencia queda fuera del ámbito de la presente invención.

En la Figura 2 se puede observar cómo el paso siguiente al Protocolo de Emisión de Voto 206 es el Protocolo de Cierre 208 del Sitio de Votación 104, el cual cesa en su aceptación de nuevas conexiones de Agentes de Votante 116. El Protocolo de Cierre 208 es iniciado por parte de la Mesa Electoral 110, la cual envía al Sitio de Votación 104 la orden de cierre 602 (ver Figura 6). La orden de cierre 602 contiene el identificador de las elecciones elect, el identificador del Sitio de Votación 104 y el estado del Sitio de Votación 104 ("Cerrado"). Opcionalmente, la orden de cierre 602 puede contener la fecha y hora del cierre. Para impedir la falsificación de la orden de cierre 602, ésta es firmada digitalmente con la clave privada S_{EB}^{(ADM)} de la Mesa Electoral 110. La forma genérica de la orden de cierre 602 seria
pues:

elect | PS | "Cerrado" | S_{EB}^{(ADM)}[H{elect | PS | "Cerrado"}]

Una vez recibida la orden de cierre 602 debidamente firmada por la Mesa Electoral 110, el Sitio de Votación 104 la hace pública. De este modo se demostrará a los siguientes Agentes de Votante 116 que intenten una conexión, que el Sitio de Votación 104 se encuentra ya cerrado. La Mesa Electoral 110 espera, después de haber enviado la orden de cierre 602, la recepción inmediata por parte del Sitio de Votación 104 de la firma digital del conjunto de la urna digital junto con las identidades de los votantes que se encuentra procesando actualmente. Esta firma digital impide que el Sitio de Votación 104 pueda aceptar nuevos votos una vez cerrado. Después de recibir estos datos, la Mesa Electoral 110 espera un tiempo máximo prefijado para que los Agentes de Votante 116 que no habían completado el Protocolo de Emisión de Voto 206 puedan finalizarlo. Una vez que todos los Agentes de Votante 116 pendientes han finalizado, o bien que el tiempo de espera máximo haya transcurrido, el Sitio de Votación 104 transmite a la Mesa Electoral 110 la urna digital completa. Este envío se realiza mediante una conexión segura tal como las que se han detallado anteriormente.

Una vez recibida la urna digital, la Mesa Electoral 110 procede a iniciar el Proceso de Recuento 210. La primera tarea a realizar en el Sitio de Recuento 108 consiste en verificar que la urna digital recibida concuerda con la firma digital recibida inmediatamente después de emitir la orden de cierre 602, añadiendo en todo caso los sobres digitales de los votantes que estaban completando el Protocolo de Emisión de Voto 206. Con ello la Mesa Electoral 110 puede comprobar que no se han añadido votos fuera de plazo, ni que se han eliminado votos posiblemente válidos. El Sitio de Recuento 108 verifica también las pruebas de autenticidad asociadas a cada uno de los sobres en la urna. Esta verificación permite asegurar que sólo han emitido votos los votantes autorizados en el censo, y que lo han hecho una sola vez cada uno. En las opciones de autenticidad primera, segunda y cuarta presentadas, el Sitio de Recuento 108 verifica la firma digital que se adjunta con el sobre digital (en la segunda opción debe previamente abrir el sobre digital externo con la clave privada S_{EB}^{(ADM)} de la Mesa Electoral 110). En la opción tercera, una vez abierto el sobre digital externo con la clave privada S_{EB}^{(ADM)} de la Mesa Electoral 110, comprueba que el identificador privado de votante, PVI, corresponde con el identificador del votante V. El Sitio de Recuento 108 verifica también la presencia correcta de la orden de apertura 402 acompañando a cada sobre digital. El Sitio de Recuento 108 contrasta también la urna recibida con las confirma-
ciones enviadas por los Agentes de Votante 116 durante el último paso del Protocolo de Emisión de Voto 206.

En el caso de encontrar dos o más sobres digitales de un mismo votante (en el supuesto de que el proceso electoral lo permita), se considerará válido únicamente uno de ellos. Se puede utilizar la marca de tiempo time firmada por el votante, para determinar el orden de precedencia de los votos de un mismo votante y escoger por ejemplo el último de ellos. La posibilidad de emisión de más de un sobre digital por parte de cada votante podría ser útil también para proteger la votación electrónica ante la coacción individual, por medio de la misma técnica de códigos de coacción típicos de los dispositivos de alarma electrónica. En este caso, cada sobre digital vendría acompañado de un código de coacción. Todos los códigos tendrían el mismo formato, pero uno de ellos sería el correcto (indicando ausencia de coacción) y los restantes serían incorrectos (indicando coacción). Si el votante fuera coaccionado durante la emisión del voto, podría optar por emitir un voto falso, en presencia del coaccionador, asociándole un código de coacción incorrecto. Esto podría repetirse tantas veces como fuera necesario. En algún instante durante el cual el votante constatara la ausencia de coacción, podría emitir su voto definitivo, asociándole el código correcto. Solamente este voto seria incluido en el recuento final, siendo los restantes sobres digitales con códigos incorrecto rechazados en el Proceso de Recuento 210. Para evitar que un votante emita de forma mal intencionada un número elevado de votos con un código de coacción incorrecto, se puede establecer un tiempo mínimo entre la aceptación de dos votos sucesivos por parte de un mismo votante.

Para proceder a la tabulación de los votos, en el Sitio de Recuento 108 se deben abrir los sobres digitales para ganar acceso al contenido de los mismos. Dichos sobres digitales sólo pueden ser abiertos cuando el umbral mínimo de miembros de la Mesa Electoral 110 especificado en el protocolo de compartición de secretos aporten sus participaciones, y la clave privada S_{EB}^{(ENV)} de la Mesa Electoral 110 pueda ser reconstruida. La apertura de los sobres digitales debe realizarse acompañada de una permutación aleatoria de la posición de los votos, para impedir la correlación entre las identidades de los votantes (pruebas de autenticidad que acompañan los votos) y los respectivos votos (datos en el interior de los sobres digitales). Este proceso de mezclado de votos se puede basar en las técnicas introducidas en [Gülcü, C. y Tsudik, G. Mixing E-mail with BABEL, ISOC Symposium on Network and Distributed System Security, febrero de 1996] y aplicadas a esquemas de votación electrónica en [Riera A. y Borrell J. Practical approach to anonymity in large scale electronic voting schemes, Proc. of 1999 Network and Distributed System Security Symposium, pp. 69-82, Internet Society, 1999]. En todo caso, el software que implementa el proceso de mezclado de votos debe estar debidamente auditado y certificado, para garantizar que no realiza ninguna operación ajena a los procesos y protocolos criptográficos de la presente invención.

El Sitio de Recuento 108 verifica la validez de cada voto una vez se ha abierto el sobre digital que lo contiene. Se debe comprobar la integridad y coherencia de todos los datos contenidos en el sobre digital. El recibo de votación debe encontrarse debidamente validado por el Sitio de Votación 104, y debe efectivamente corresponder al identificador de voto contenido en el sobre digital (así como también a la opción de voto contenida en el sobre digital, en la configuración con identificadores de voto vinculados). También se comprueba, en el caso de que el identificador de voto haya sido obtenido conjuntamente entre el Agente de Votante 116 y el Sitio de Votación 104, que el Agente de Votante 116 ha utilizado realmente el identificador de voto correcto. En general, el voto en su conjunto no debe contener ningún defecto formal. En caso contrario, el voto es considerado un voto nulo. Un votante que haya obtenido un recibo de votación correcto y validado, y que no obstante haya entregado un voto mal construido, no será capaz de emitir una reclamación válida debido a la prueba de la autenticidad que acompaña al sobre digital que contiene el voto mal construido, y al comprobante de votación. La Mesa Electoral 110 será capaz de demostrar el fraude cometido por el votante sin necesidad de revelar ninguna de sus claves privadas S_{EB}^{(ENV)}, o S_{EB}^{(ADM)}. Es suficiente revelar la clave o claves simétricas de sesión, que el votante ha utilizado para cerrar el sobre digital o sobres digitales. Cualquier tercera parte auditora independiente puede tomar el sobre digital, el comprobante de votación, y la prueba de la autenticidad, y comprobar la autenticidad de la clave simétrica de sesión anunciada por la Mesa Electoral 110 tan solo cifrándola con la clave pública P_{EB}^{(ENV)}, o P_{EB}^{(ADM)} según el sobre digital. Con la clave simétrica correspondiente, el sobre puede ser abierto para comprobar que no contiene un voto bien construido.

Una vez abiertos y mezclados todos los sobres digitales, la clave privada S_{EB}^{(ENV)} de la Mesa Electoral 110 es destruida, así como las participaciones que permiten su reconstrucción (tanto si se encuentran en los dispositivos personales de los miembros de la Mesa Electoral 110 como si se encuentran en el propio Sitio de Recuento 108). Opcionalmente, dicha clave privada o bien las participaciones que permiten su reconstrucción son almacenadas con un acceso totalmente restringido, con finalidades de posterior auditoría.

Seguidamente, se pueden elaborar los resultados a publicar a partir de todos los votos válidos. Los resultados a publicar consisten en dos estructuras de datos diferenciadas. En primer lugar, los resultados en formato abreviado (listado de opciones de voto con el número total de votos para cada una). En segundo lugar, el Sitio de Recuento 108 elabora una lista con una entrada para cada voto válido, que será utilizada con finalidades de verificación de resultados por parte de los votantes. En la configuración con identificadores de voto desvinculados, dicha lista de datos para la verificación contiene todos los identificadores de voto ident que resultaron válidos. En la configuración con identificadores de voto vinculados, la lista de datos para la verificación contiene todos los identificadores de voto acompañados de las respectivas opciones de voto, ident | vote. Adicionalmente, en el caso de haber utilizado firma digital ciega en el cuarto paso del Protocolo de Emisión de Voto 206, cada entrada en la lista de datos para la verificación puede contener el correspondiente recibo de votación validado.

Tanto los resultados en formato abreviado como la lista de datos para la verificación deben ser digitalmente firmados por la Mesa Electoral 110 con su clave S_{EB}^{(ADM)} y finalmente transmitidos del Sitio de Recuento 108 al Sitio de Publicación 106. Para ello, la Mesa Electoral 110 activa el Protocolo de Transmisión de Resultados 212. Este envío se realiza mediante una conexión segura como las que se han detallado previamente. Una vez recibidos los resultados a publicar, el Sitio de Publicación 106 los hace públicamente accesibles a través de la red de comunicaciones 114. Esta publicación de resultados tiene dos objetivos, divulgar los resultados finales de las elecciones, y permitir la verificabilidad individual a los votantes, a través de la lista de datos para la verificación y del Protocolo de Verificación 214.

El objetivo del Protocolo de Verificación 214 es otorgar suficiente confianza a los votantes respecto del trato que han recibido sus respectivos votos. Para ello, cada votante que lo desee puede acceder al Sitio de Publicación 106 mediante su Agente de Votante 116, y realizar una búsqueda en la lista de datos para la verificación, con el objetivo de localizar su respectivo identificador de voto. En función de cómo se haya configurado el método de votación, las garantías que se ofrecen al votante son distintas. Una vez localizado su identificador de voto en la lista de datos para la verificación, la configuración con identificadores de voto desvinculados garantiza al votante la correcta recepción de su voto por parte del Sitio de Recuento 108 y la Mesa Electoral 110. En el caso de la configuración con identificadores de voto vinculados, el votante no sólo se cerciora de la correcta recepción de su voto en el Sitio de Recuento 108, sino también de la correcta presencia de su voto en los resultados finales, al encontrarse el identificador de voto acompañado de la propia opción de voto (la coherencia entre los resultados abreviados y la lista de datos para la verificación puede ser contrastada universalmente, por cualquier tercera parte). Aunque la segunda de las configuraciones muestre unas características superiores en lo que se refiere a la verificabilidad, la primera impide totalmente la coacción y la venta de votos basadas en el procesamiento de recibos de votación. En la segunda configuración, la coacción y la venta de votos basadas en el procesamiento de recibos de votación se previenen ocultando a los propios votantes los identificadores de voto y los recibos de votación, hasta el momento del Protocolo de Verificación 214. Esto se puede realizar con completas garantías solamente en el caso de asociar un dispositivo hardware adecuado, tal como una tarjeta inteligente resistente a manipulaciones, a cada Plataforma de Emisión de Votos 102.

Las acciones concretas que debe realizar un votante durante el Protocolo de Verificación 214 pueden diferir ligeramente en función de la configuración establecida para el cuarto paso del Protocolo de Emisión de Voto 206 (ver Figura 5). En la configuración con identificadores de voto desvinculados, el Agente de Votante 116 obtiene del Sitio de Publicación 106 la lista de datos para la verificación consistente en todos los identificadores de voto procesados en el Sitio de Recuento 108. Dicha lista debe encontrarse preferiblemente indexada de modo que la búsqueda de un identificador de voto particular pueda realizarse eficientemente por el votante (incluso de forma manual). Cada votante es por tanto capaz de localizar su correspondiente identificador de voto en la lista. En el caso de que el identificador de voto no sea localizado, el votante puede emitir una reclamación pública (que no revela cual fue realmente el voto escogido) exhibiendo el recibo de votación validado, conjuntamente con el comprobante de votación.

En la configuración con identificadores de voto vinculados, el votante obtiene del Sitio de Publicación 106 la lista de datos para la verificación, consistente en todos los identificadores de voto acompañados de las respectivas opciones de voto. Dicha lista debe ser coherente con los totales para cada opción de voto (resultados abreviados). Esta coherencia puede ser verificada universalmente, por cualquier tercera parte. El votante desconoce cuál es el identificador de voto que le corresponde. Su identificador de voto almacenado en la Plataforma de Emisión de Voto 102 está protegido (mediante un dispositivo hardware resistente a manipulaciones o mediante protección software) y no es accesible al votante. Dicha protección permite el acceso al identificador de voto por parte del Agente de Votante 116 solamente en el caso de que la lista de datos para la verificación correspondiente a las elecciones en curso haya sido ya publicada, digitalmente firmada por la Mesa Electoral 110 con su clave S_{EB}^{(ADM)} . Una vez el Agente de Votante 116 dispone de la lista de datos para la verificación y del identificador de voto, puede localizar dicho identificador en dicha lista. Para ello, la lista debe encontrarse preferiblemente indexada de modo que la búsqueda de un identificador de voto particular pueda realizarse eficientemente. En el caso de que el identificador de voto no sea localizado, el Agente de Votante 116 facilita el recibo de votación, que hasta el momento se encontraba protegido, al votante. El votante puede emitir una reclamación pública, exhibiendo el recibo de votación validado, conjuntamente con el comprobante de votación. Dicha reclamación demuestra la omisión de un voto válido en los resultados publicados sin revelar cuál fue realmente la opción de voto escogida.

La verificabilidad individual por parte de cada votante no sólo es adecuada para ofrecer garantías a los votantes acerca del correcto tratamiento de sus votos, sino que también resulta muy efectiva para detectar manipulaciones generales a los resultados. La verificación por parte de una pequeña proporción de votantes es suficiente para que la probabilidad de una manipulación no detectada se minimice suficientemente. Para garantizar esta mínima verificación se contempla la posibilidad de seleccionar aleatoriamente un grupo de votantes para que realicen el Protocolo de Verificación 214.

En el marco del Protocolo de Verificación 214, la descarga desde el Sitio de Publicación 106 de la lista de datos para la verificación puede resultar altamente ineficiente ya que dicha lista de datos puede tener un tamaño arbitrariamente grande. En la configuración con identificadores de voto desvinculados, el tamaño es directamente proporcional al número de votantes. En la configuración con identificadores de voto vinculados, el tamaño depende del número de votantes así como también del tamaño de las opciones de voto. De hecho, para la verificación resultaría suficiente realizar una descarga parcial de datos, asegurando que en dicha descarga parcial se debe encontrar el identificador de voto en cuestión. En la primera configuración, dicha descarga parcial se puede estructurar fácilmente, distribuyendo todos los identificadores de voto en sublistas mutuamente excluyentes, cada una de las cuales abarca unos rangos determinados para los identificadores de voto. El Protocolo de Verificación 214 consiste en la descarga de la sublista adecuada (el votante es capaz de determinarla con facilidad debido a la indexación por el identificador de voto) y la localización del identificador de voto propio en la sublista descargada. No obstante, en la segunda configuración, la descarga de datos parciales debe realizarse con más cautela, puesto que puede suponer una amenaza a la privacidad de los votantes (no se descargan meros identificadores de voto, sino que les acompañan las respectivas opciones de voto). En el extremo, por ejemplo, una descarga parcial de un conjunto de entradas coincidentes en lo que se refiere a la opción de voto escogida, vulneraría completamente la privacidad del votante.

La presente invención incluye un par de mecanismos para permitir la descarga parcial de datos para la verificación, sin atentar en absoluto contra la privacidad de los votantes. El primero de ellos se basa en particionar la lista de datos para la verificación, en el Sitio de Recuento 108, en subconjuntos de aproximadamente igual número de entradas y de modo tal que cada uno de dichos subconjuntos contenga aproximadamente la misma proporción entre las opciones votadas que en los resultados globales. Al tratarse de subconjuntos con las mismas proporciones que muestran los resultados globales, la privacidad de los votantes al descargar uno de los subconjuntos sigue garantizada. El caso más simple de partición consiste en una agrupación de las entradas en un únicosubconjunto que cubra la totalidad de la lista (en este caso, la descarga de datos de hecho no sería parcial sino total). El siguiente caso consistiría en particionar la lista de datos en dos subconjuntos, de modo que la descarga sería en efecto parcial, afectando sólo a la mitad de las entradas. La Figura 7a muestra gráficamente esta posibilidad. La lista de datos se podría particionar también en tres subconjuntos, cuatro subconjuntos, y así sucesivamente, consiguiendo mayor eficiencia a medida que el número de subconjuntos sea mayor (y por tanto el tamaño de cada subconjunto sea menor). La Figura 7b muestra una partición en cuatro subconjuntos. No obstante, la eficiencia de la descarga parcial de datos para la verificación no puede mejorarse indefmidamente. Para garantizar plenamente la privacidad de los votantes, se requiere que todas las opciones de voto estén representadas en todos y cada uno de los subconjuntos resultantes. En algún caso se podría mejorar la eficiencia de la descarga parcial de datos, tratando de forma separada algunas de las opciones de voto (las más minoritarias), sin tomarlas en cuenta para realizar la partición. Las entradas correspondientes a estas opciones serían incluidas en su totalidad en todos y cada uno de los subconjuntos. La Figura 7c muestra gráficamente esta posibili-
dad.

La agrupación de las entradas en los distintos subconjuntos se realiza a partir de la división modular de los identificadores de los votos (debe tratarse de valores aleatorios con una distribución uniforme) por el número de subconjuntos. Esta división modular produce conjuntos mutuamente excluyentes, con aproximadamente el mismo número de entradas y con aproximadamente la misma proporción entre las opciones votadas que en los resultados globales. Para determinar con precisión cuál de los subconjuntos de entradas debe ser descargado durante el Protocolo de Verificación 214, el Agente de Votante 116 tan sólo debe realizar la división modular del correspondiente identificador de voto por el número de subconjuntos (información facilitada por el Sitio de Publicación 106 firmada digitalmente por la Mesa Electoral 110). Este proceso no amenaza en absoluto la privacidad del votante.

El segundo mecanismo de descarga parcial de datos para la verificación permite que el votante decida el número de votos aproximado que quiere descargarse N_{v}. El Sitio de Publicación 106 hace accesibles el identificador de voto mayor ident_{MAX}, el identificador de voto menor ident_{MIN}, y el número de votos emitidos N_{TOTAL} Con esta información el Agente de Votante 116 calcula un intervalo de aproximadamente N_{v} votos, que contenga su identificador de voto ident. El intervalo esta definido por un identificador inicial ident_{INI} un identificador final ident_{FIN}, donde ident_{INI} se escoge al azar de manera que cumpla la restricción siguiente:

ident < ident_{INI} + (((ident_{MAX} - ident_{MIN}) \cdot N_{v}) / (N_{TOTAL}))

El valor de ident_{FIN} se calcula entonces como:

ident_{FIN} = ident_{INI} + (((ident_{MAX} - ident_{MIN}) \cdot N_{v}) / (N_{TOTAL}))

\newpage

Se cumple entonces de manera trivial que ident_{INI} < ident < ident_{FIN} . Si el número total de votos (N_{TOTAL}) es grande, los identificadores de voto estarán uniformemente distribuidos, y se cumplirá que el número de identificadores comprendido entre ident_{INI} e ident_{FIN} será aproximadamente igual a N_{v}.

Si ident_{INI} es menor que ident_{MIN} el valor de ident_{MIN} se recalcula de la forma siguiente.

resto = (ident_{MIN} - ident_{INI}) -1

El nuevo ident_{INI} será:

ident_{INI} = (ident_{MAX} - resto)

Si ident_{FIN} es mayor que ident_{MAX} se procedería del mismo modo.

resto = (ident_{FIN} - ident_{MAX}) -1

El nuevo ident_{MAX} será:

ident_{FIN} = (ident_{MIN} + resto)

El Agente del Votante 116 envía ident_{INI} y ident_{FIN} al Sitio de Publicación 106, y éste envía los identificadores de voto comprendidos en el intervalo. En el caso que ident_{INI} sea más grande que ident_{FIN} el Sitio de Publicación 106 envía los intervalos siguientes: [ident_{MIN}, ident_{FIN}] y [ident_{INI}, ident_{MAX}]. Esta segunda opción está indicada para las elecciones con un elevado número de votos emitidos, donde los identificadores están uniformemente distribuidos. En el supuesto caso que el número de votos sea bajo es posible que el votante se descargue más votos de los deseados, o muy pocos votos, atentando así contra la privacidad del voto.

Claims

1. Método para votación electrónica segura, en el que se utilizan al menos una Plataforma de Emisión de Votos (102), un Sitio de Votación (104) destinado a recibir y acumular votos en una urna digital durante un período de votación prefijado, un Sitio de Recuento (108) de los votos y un Sitio de Publicación (106) de resultados, siendo dichos Sitios de Votación (104), de Recuento (108), y de Publicación (106), susceptibles de diversos grados de dispersión o de agrupación, estando dotados cada uno de ellos de medios de computación y preferiblemente interconectados entre sí en caso de dispersión, a través de al menos una red de comunicaciones, comprendiendo unos procesos y protocolos criptográficos para que a lo largo de la ejecución del método y una vez finalizado un proceso electoral, se garanticen una serie de requisitos de seguridad específicos del proceso electoral, caracterizado por comprender las siguientes etapas:

a): dotar a una Mesa Electoral (110) que opera dicho Sitio de Recuento (108) de al menos un par de claves asimétricas y permitir el acceso a la clave privada o componente privada de uno de dichos pares de claves, únicamente a una parte (fijada por un umbral mínimo) o a la totalidad de unos miembros de dicha Mesa Electoral (110) preferiblemente conforme a un protocolo criptográfico de compartición de secreto;

b): iniciar en el Sitio de Votación (104) un proceso de aceptación de votos;

c): proceder a la emisión de votos, por parte de cada votante a través de un conjunto de programas denominado Agente de Votante (116) y en caso de ser necesario de al menos una Plataforma de Emisión de Votos (102) con capacidad computacional suficiente para ejecutar dicho conjunto de programas, comprendiendo: la elección por parte del votante de su opción de voto, la generación de un identificador de voto único, la obtención de un recibo de votación que da validez al menos a dicho identificador de voto único para dicho proceso electoral sin desevelar su contenido al sitito de Votación (104), la construcción, utilizando la componente pública de dicho par, que es al menos uno, de claves asimétricas de la Mesa electoral (110), de un sobre digital protector de la privacidad del votante, conteniendo dicho sobre digital al menos la opción de voto, y posterior o previamente a los citados pasos la realización de una prueba de autenticación del votante;

d): finalizar en el Sitio de Votación (104) dicho proceso de aceptación de votos;

e): mediante la colaboración de una parte (fijada por un umbral mínimo) o de la totalidad de los miembros de la Mesa electoral (110), ganar acceso a la componente privada de dicho par, que es al menos uno, de claves asimétricas de la Mesa electoral (110) y utilizar dicha componente privada para acceder al contenido de los sobres digitales; y

f): proceder a un recuento y tabulación de las opciones de voto de cada votante, publicar los resultados en el Sitio de Publicación (106) y habilitar un procedimiento que permita a dichos votantes realizar un proceso de verificación de dichos resultados sin desvelar cuál es su opción de voto, utilizando dicho identificador de voto único.

2. Método, según la reivindicación 1, caracterizado porque dicho votante en dicha etapa f) verifica su voto accediendo para ello a la totalidad de los resultados publicados o a un subconjunto de los mismos que debería contener su identificador de voto, realizando en cualquier caso la búsqueda del identificador de voto localmente, y habilitándose la posibilidad de que dicho votante pueda plantear una reclamación apoyada por dicho recibo de votación, en caso de un incorrecto tratamiento o ausencia de su identificador de voto en los resultados publicados, sin desvelar en ningún momento la opción de voto.

3. Método, según la reivindicación 2, caracterizado porque a partir de dicho cierre del período de aceptación de votos, en dicho Sitio de Recuento (108) se procede a un proceso de mezcla de los sobres digitales recibidos, permutando aleatoriamente el orden de todos o una parte de dichos sobres digitales.

4. Método, según la reivindicación 3, caracterizado por dotar a dicho Sitio de Votación (104) de al menos un par de claves asimétricas.

5. Método, según la reivindicación 4, caracterizado porque en la etapa c) dicho sobre digital contiene adicionalmente al menos uno de los siguientes datos: dicho recibo de votación, dicho identificador de voto único, un identificador del proceso electoral en curso, una orden de apertura (402) del periodo de votación.

6. Método, según la reivindicación 5, caracterizado porque comprende una etapa adicional de generación, a partir de un censo de votantes preestablecido, de un par de claves asimétricas para cada votante, certificando la clave pública o componente pública del par de claves generadas y manteniendo de manera segura la clave privada o componente privada.

7. Método, según la reivindicación 6, caracterizado porque dicha componente privada del votante reside en un dispositivo de computación propio del votante, ventajosamente en un dispositivo seguro de confianza tal como una tarjeta con un microprocesador incorporado, o reside en el Sitio de Votación (104) con el que interactúa el votante, protegida mediante un sistema tal como un cifrado simétrico utilizando una clave o una contraseña segura, facilitándose dicha clave o contraseña, en secreto, al votante, o siendo escogida directamente por el votante, y porque al principio del proceso de emisión de voto dicha componente privada protegida es enviada al votante mediante dicha red de comunicación (114) y es desprotegida localmente al proporcionar el votante dicha contraseña segura.

8. Método, según una de las reivindicaciones 6 ó 7, caracterizado porque dicha prueba de autenticación del votante ante el Sitio de Votación (104) de la etapa c) consiste en un protocolo criptográfico de autenticación fuerte basado en criptografía de clave pública.

9. Método, según una de las reivindicaciones 6 ó 7, caracterizado porque dicha prueba de autenticación del votante de la etapa c) consiste en la firma digital por el Agente del Votante (116) de al memos dicho sobre digital con la clave privada del votante, antes de entregarlo al Sitio de Votación (104).

10. Método, según una de las reivindicaciones 6 ó 7, caracterizado porque dicha prueba de autenticación del votante de la etapa c) consiste en la construcción de un segundo sobre digital utilizando la componente pública de uno de dichos pares de claves asimétricas de la Mesa Electoral (110), que es al menos uno, y donde dicho segundo sobre digital contiene al menos dicho primer sobre digital y la firma digital por el Agente de Votante (116) con la clave privada del votante, de al menos un valor, tal como el identificador de las elecciones, el identificador del votante o un valor pseudo aleatorio, de manera que para verificar la autenticidad de dichos dos sobres digitales en la etapa f) se debe abrir dicho segundo sobre digital.

11. Método, según la reivindicación 5, caracterizado porque dicha prueba de autenticación del votante de la etapa c) consiste en la construcción de un segundo sobre digital utilizando la componente pública de uno de dichos pares de claves asimétricas de la Mesa Electoral (110), que es al menos uno, y en donde dicho segundo sobre digital contiene al menos dicho primer sobre digital y una contraseña, o número de identificación personal secreto, de manera que para verificar la autenticidad de dichos dos sobres digitales en la etapa f) se debe abrir dicho segundo sobre digital.

12. Método, según una de las reivindicaciones 6 ó 7, caracterizado porque dicha prueba de autenticación del votante de la etapa c) consiste en la firma digital por el Agente de Votante (116) de al menos un valor, tal como el identificador de votante, el identificador del proceso electoral en curso, o un valor pseudo aleatorio, con la clave privada de un par de claves asimétricas donde el componente público de dicho par de claves se deriva de dicho sobre digital.

13. Método, según la reivindicación 5, caracterizado porque dicho identificador de voto de la etapa c) es un valor arbitrario suficientemente grande para permitir identificar unívocamente la opción de voto de cada votante sin repeticiones probables, determinándose dicho valor por parte del votante, o de su Agente de Votante (116) que utiliza un sistema tal como un generador de secuencias pseudo aleatorias o bien una fuente de ruido natural.

14. Método, según la reivindicación 5, caracterizado porque dicho identificador de voto de la etapa c) es un valor arbitrario suficientemente grande para permitir identificar unívocamente la opción de voto de cada votante sin repeticiones probables, determinándose dicho valor mediante un protocolo criptográfico entre el Agente de Votante (116) y el Sitio de Votación (104) de manera que este último no gane ningún conocimiento sobre el valor generado.

15. Método, según la reivindicación 5, caracterizado porque dicho recibo de votación de la etapa c) se deriva de dicho identificador de voto y/o de un identificador del proceso electoral en curso, y dicho recibo de votación es validado por el Sitio de Votación (104) mediante un método tal como la firma digital con la componente privada de dicho par, que es al menos uno, de claves asimétricas de dicho Sitio de Votación (104).

16. Método, según la reivindicación 5, caracterizado porque dicho recibo de votación de la etapa c) se deriva de al menos uno de los siguientes datos: dicho identificador de voto, un identificador del proceso electoral en curso, y la opción de voto, y dicho recibo es validado por el Sitio de Votación (104) sin que éste último tenga acceso a la información que contienen los recibos ni que posteriormente sea capaz de correlacionar dichos recibos, en caso de tener acceso a los mismos, con sus correspondientes votantes.

17. Método, según la reivindicación 16, caracterizado porque dicho recibo de votación es validado mediante la firma digital o mediante un protocolo de firma digital ciega, con la componente privada de dicho par, que es al menos uno, de claves asimétricas de dicho Sitio de Votación (104).

18. Método, según la reivindicación 16, caracterizado porque dicho recibo de votación es validado mediante firma digital con la componente privada de dicho par, que es al menos uno, de claves asimétricas de dicho Sitio de Votación (104), una vez dicho recibo de votación ha sido cifrado mediante un criptosistema probabilístico, o un criptosistema simétrico, utilizando una clave de sesión generada por el Agente de Votante (116).

19. Método, según la reivindicación 14, caracterizado porque dicho sobre digital contiene adicionalmente la información necesaria para comprobar la correcta obtención de dicho identificador de voto.

\newpage

20. Método, según una de las reivindicaciones 15 a 18, caracterizado porque dicho sobre digital contiene adicionalmente la información necesaria para comprobar la validez del recibo de votación.

21. Método, según la reivindicación 5, caracterizado por comprender un paso adicional en la etapa c) consistente en generar por parte del Sitio de Votación (104) una prueba de entrega de dicho sobre digital que es transmitida al Agente de Votante (116) en la forma de un comprobante de emisión de voto para cada votante, totalmente desvinculado de la opción de voto en claro.

22. Método, según la reivindicación 21, caracterizado porque dicho comprobante de emisión de voto es validado mediante firma digital con la componente privada del par de claves asimétricas de dicho Sitio de Votación (104), que es al menos uno.

23. Método, según la reivindicación 21, caracterizado por comprender un paso adicional en la etapa c) consistente en el envío, en función de una cierta probabilidad, del comprobante de emisión de voto, o de una parte del mismo, a la Mesa electoral (110) por parte del Agente de Votante (116).

24. Método, según la reivindicación 5, caracterizado porque dicho inicio de la etapa b) se ejecuta a partir de una orden de apertura (402) del periodo de votación y dicho cierre de la etapa d) se ejecuta a partir de una orden de cierre (602) del periodo de votación, generándose dichas ordenes de apertura (402) y cierre (602) por parte de la Mesa electoral (110).

25. Método, según la reivindicación 24, caracterizado porque dicha orden de apertura (402) del periodo de votación comprende al menos uno de los siguientes datos: un identificador del proceso electoral en curso, un identificador del Sitio de Votación (104), una indicación acerca del estado de "abierto" del Sitio de Votación (104), un valor indicativo de una probabilidad de emisión de un comprobante de emisión de voto a la Mesa electoral (110) por parte del Agente de Votante (116), la fecha y hora de apertura del periodo de votación y la firma digital de la Mesa electoral (110), con la componente privada de uno de los pares de claves asimétricas de dicha Mesa electoral (110), sobre dichos datos de la orden de apertura (402).

26. Método, según la reivindicación 24, caracterizado porque dicha orden de cierre (602) del periodo de votación comprende al menos uno de los siguientes datos: un identificador del proceso electoral en curso, un identificador del Sitio de Votación (104), una indicación acerca del estado de "cerrado" del Sitio de Votación (104), la fecha y hora de cierre del periodo de votación y la firma digital de la Mesa electoral (110), con la componente privada de uno de los pares de claves asimétricas de dicha Mesa electoral (110), sobre dichos datos de la orden de cierre
(602).

27. Método, según la reivindicación 5, caracterizado porque dicho protocolo criptográfico de compartición de secreto de la citada etapa a) comprende dividir la componente privada de dicho par de claves asimétricas de la Mesa electoral (110), que es al menos uno, en varios fragmentos o participaciones que son distribuidas entre diferentes agentes de control o miembros de la Mesa electoral (110), y almacenadas en un correspondiente dispositivo individual de memoria protegido, y porque dicha etapa e) comprende reunir en dicho Sitio de Recuento (108) dichas participaciones y reconstruir dicha componente privada.

28. Método, según la reivindicación 5, caracterizado porque dicho protocolo criptográfico de compartición de secreto de la citada etapa a) comprende dividir la componente privada de dicho par de claves asimétricas de la Mesa electoral (110), que es al menos uno, en varios fragmentos o participaciones que son almacenadas, separadamente, en dicho Sitio de Recuento (108) protegidas mediante un sistema tal como un cifrado simétrico utilizando unas claves o contraseñas seguras, que son distribuidas entre los diferentes agentes de control o miembros de la Mesa electoral (110), que las almacenan de forma protegida y/o segura, y porque dicha etapa e) comprende reunir en dicho Sitio de Recuento (108) dichas claves o contraseñas desprotegiendo a partir de las mismas las participaciones de dicha componente privada y procediendo a reconstruir dicha componente privada.

29. Método, según la reivindicación 5, caracterizado porque al menos una parte de las Plataformas de Emisión de Votos (102) está protegida frente a manipulaciones o accesos no autorizados, permitiendo almacenar datos sensibles obtenidos durante los protocolos criptográficos del proceso de emisión de voto, restringiendo el acceso a dichos datos incluso por parte del propio votante hasta que no se cumpla una determinada condición.

30. Método, según la reivindicación 5, caracterizado porque una vez finalizado dicho periodo de votación la Mesa electoral (110) envía al Sitio de Votación (104) una orden de cierre (602) a partir de cuyo momento no se aceptan nuevas conexiones de Agentes de Votante (116), para lo cual en el Sitio de Votación (104) se realizan las operaciones siguientes:

a): obtención de un resumen criptográfico del conjunto de sobres digitales emitidos o urna digital;

b): obtención de un resumen criptográfico de los identificadores de los votantes que habiendo iniciado el proceso de emisión de voto aún no lo han completado;

\newpage

c): envío a la Mesa electoral (110) de los dos resúmenes criptográficos anteriores o bien de un único resumen de dicho conjunto de sobres digitales con dichos identificadores de votantes que aún no han completado el proceso de emisión de voto; y

d): una vez transcurrido un tiempo prefijado que permite a los votantes que aún estaban votando finalizar el proceso de emisión de voto, envío de la urna digital completa a la Mesa electoral (110),

siendo uno o más de dichos resúmenes de las operaciones a), b) y c) opcionales en función del tamaño de las respectivas estructuras de datos a resumir.

31. Método, según la reivindicación 30, caracterizado porque el Sitio de Votación (104) firma digitalmente al menos uno de los datos siguientes: conjunto de sobres digitales emitidos o urna digital, identificadores de los votantes que habiendo iniciado el proceso de emisión de voto aún no lo han completado, utilizando para ello la componente privada de dicho par, que es al menos uno, de claves asimétricas del Sitio de Votación (104).

32. Método, según la reivindicación 5, caracterizado porque una vez finalizada la tabulación de las opciones de voto de todos los votantes, la componente privada de dicho par, que es al menos uno, de claves asimétricas de la Mesa electoral (110) de la etapa e) se destruye o bien se almacena con acceso totalmente restringido facilitando ulteriores auditorías, procediendo a almacenar también la urna digital formada por la totalidad de los sobres digitales originales, para que se pueda auditar posteriormente.

33. Método, según una de las reivindicaciones 14 ó 16, caracterizado porque dicho recibo de votación validado o cualquier otra información generada durante el proceso de emisión de voto, tal como dicho identificador de voto, que permita al votante demostrar fehacientemente cuál era su opción de voto se mantiene oculta, mediante la utilización de un dispositivo seguro contra manipulaciones tal como una tarjeta con microprocesador incorporado, o mediante cifrado.

34. Método, según una de las reivindicaciones 14 ó 16, caracterizado porque dicho recibo de votación validado o cualquier otra información generada durante el proceso de emisión de voto, tal como dicho identificador de voto, que permita al votante demostrar fehacientemente cuál era su opción de voto, se mantiene oculta, con un acceso restringido y sólo es accesible después de la publicación de resultados del proceso electoral, para la verificación de los resultados, o sólo es accesible en caso de reclamación si se detectara un incorrecto tratamiento del identificador de voto, o su ausencia en los resultados.

35. Método, según la reivindicación 5, caracterizado porque dicho proceso de verificación realizado por el votante comprende las operaciones siguientes:

a): agrupación de los identificadores de voto en subconjuntos de aproximadamente igual número de identificadores, siendo un único subconjunto que contenga la totalidad de los identificadores de voto el caso más simple;

b): determinación por parte del Agente de Votante (116) del subconjunto de identificadores de voto que debería contener el identificador de voto correspondiente al votante, a partir de dicho identificador de voto y opcionalmente de una información suplementaria facilitada por el Sitio de Publicación (106);

c): descarga desde el Sitio de Publicación (106) de dicho subconjunto de identificadores de voto y comprobación local por parte del Agente de Votante (116), o del votante, de una correcta presencia del identificador de voto correspondiente al votante.

36. Método, según la reivindicación 5, caracterizado porque dicho proceso de verificación realizado por el votante comprende las operaciones siguientes:

a): agrupación de los identificadores de voto junto con sus correspondientes opciones de voto en subconjuntos de aproximadamente igual número de identificadores y de modo tal que cada uno de dichos subconjuntos contiene aproximadamente la misma proporción entre las opciones votadas que en los resultados globales, siendo un único subconjunto que contenga la totalidad de los identificadores de voto el caso más simple;

c): descarga desde el Sitio de Publicación (106) de dicho subconjunto de identificadores de voto junto con sus correspondientes opciones de voto y comprobación local por parte del Agente de Votante (116), o del votante, de una correcta presencia del identificador de voto correspondiente al votante y de la opción de voto previamente escogida.

37. Método, según la reivindicación 35 ó 36, caracterizado porque la Mesa electoral (110) realiza una firma digital de cada uno de los citados subconjuntos;

38. Método, según la reivindicación 36, caracterizado porque el número de dichos subconjuntos de identificadores de voto y opciones de voto se obtiene a partir del número de votantes que han seleccionado la opción de voto menos votada o grupo minoritario, salvo que el número de elementos sea muy bajo, en cuyo caso se elige el siguiente grupo minoritario o el subsiguiente hasta que el grupo minoritario sea suficientemente grande para realizar una partición eficiente, la cual se obtiene mediante una clasificación de todos los identificadores de voto y opciones de voto en subconjuntos mutuamente excluyentes por medio del valor de los identificadores de voto, y de manera tal que cada uno de dichos subconjuntos contenga aproximadamente la misma proporción entre las opciones votadas que en los resultados globales y añadiendo finalmente a todos los subconjuntos los identificadores de voto y opciones de voto pertenecientes a los grupos más minoritarios que se han descartado para realizar la partición.

39. Método, según la reivindicación 5, caracterizado dicho proceso de verificación de los resultados comprende el cálculo por parte del Agente de Votante (116) de un rango de identificadores de voto a partir de un identificador de voto máximo emitido ident_{MAX}, de un identificador de voto mínimo emitido ident_{MIN}, de un número de votos emitidos N_{TOTAL}, de un número de identificadores de voto que desea descargarse el votante N_{v}, y de un identificador de voto del votante ident, quedando determinado dicho rango por un identificador inicial ident_{INI}, y un identificador final ident_{FIN}, y procediendo finalmente a la descarga desde el Sitio de Publicación (106) de dicho rango de identificadores de voto junto con sus correspondientes opciones de voto y comprobación local por parte del Agente de Votante (116), o del votante, de una correcta presencia del identificador de voto correspondiente al votante y de la opción de voto previamente escogida.

40. Método, según la reivindicación 39, caracterizado porque el cálculo de dicho rango de valores comprende la elección de un identificador de voto inicial ident_{INI} de forma arbitraria que cumpla la restricción siguiente:

ident < ident_{INI} + (((ident_{MAX} - ident_{MIN}) \cdot N_{v}) / (N_{TOTAL}))

y en donde dicho identificador de voto final ident_{FIN} es:

41. Método, según la reivindicación 5, caracterizado por realizar dicha posibilidad de verificación por parte de un grupo mínimo de votantes seleccionado aleatoriamente entre el electorado.

42. Método, según una de las reivindicaciones 21 ó 22, caracterizado porque dicha reclamación que puede realizar el votante en caso de un incorrecto tratamiento o ausencia de su identificador de voto en los resultados publicados comprende la exhibición por parte del votante del recibo de votación junto con dicho comprobante de emisión de voto.

43. Método, según la reivindicación 5, caracterizado porque todas las operaciones criptográficas sensibles que realiza el Agente de Votante (116) durante el proceso de emisión de voto y el proceso de verificación se realizan en el interior de un dispositivo seguro contra manipulaciones tal como una tarjeta con un microprocesador incorporado o un módulo de identificación de un terminal de telefonía móvil con capacidades criptográficas.