WO2006021594A1 - Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizado - Google Patents
Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizadoInfo
- Publication number
- WO2006021594A1 WO2006021594A1 PCT/ES2004/000350 ES2004000350W WO2006021594A1 WO 2006021594 A1 WO2006021594 A1 WO 2006021594A1 ES 2004000350 W ES2004000350 W ES 2004000350W WO 2006021594 A1 WO2006021594 A1 WO 2006021594A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- voting
- digital
- options
- interface
- voter
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 104
- 230000008569 process Effects 0.000 title claims description 38
- 238000012795 verification Methods 0.000 claims abstract description 59
- 238000012790 confirmation Methods 0.000 claims abstract description 22
- 238000012550 audit Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 8
- 238000007726 management method Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 4
- 230000000007 visual effect Effects 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 3
- 238000012384 transportation and delivery Methods 0.000 claims description 3
- 238000009825 accumulation Methods 0.000 claims description 2
- 230000003993 interaction Effects 0.000 claims description 2
- 238000013459 approach Methods 0.000 description 3
- 238000005266 casting Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 241000269350 Anura Species 0.000 description 1
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000976 ink Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C13/00—Voting apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
Definitions
- the present invention concerns a method for managing and protecting electoral processes that is implemented in association with an electronic voting terminal, that is, from digital information from said voting terminal.
- Said method comprises an interface for presenting the voting options to be selected as well as interactive means for making said selection. After the selection of the vote, it can be sent to a remote site where it will be processed.
- the invention also relates to a verification operational module that, connected to a computerized voting terminal, allows the operations of the proposed method to be carried out.
- An electronic voting method a voter or a plurality of them cast their votes from a voting terminal. It is in said terminal where the voters carry out all or part of the voting options selection processes, verification that said selected options are the ones they want, vote casting (prior confirmation) and, depending on the type of voting terminal , storage of votes and subsequent counting. Both the security of these terminals and their correct operation are key to the development of an electoral process, which is why it is essential that said terminals incorporate security and audit measures that facilitate the verification of their correct operation.
- Verifiable measures based on the printing of paper votes implemented allow the voter to verify their vote before being issued and, if required, can be subsequently used as audit measures of the honesty of the process. This process is commonly known as verification of voting terminal counts. Although this verification guarantees the correctness of the electoral process to a large extent, it has the disadvantage of being quite expensive, since the time for manual review of the votes is quite high. In addition, it implies the use of mechanical components susceptible to failures (such as printers) and errors or frauds humans.
- some voting terminals have been proposed, such as the Accupoli, which use special codes or inks at the time of printing the vote. Despite the improvements introduced by these terminals, they still do not provide a completely reliable solution to fraud problems. In addition, they add a new complexity factor to the audit, having to also verify the correctness of the counting devices.
- Cryptographic schemes or protocols with verification measures for voting terminals such as those described in (EP-B1-1 224 767, WO-A3- 02/077754, WO-A2-03 / 071491, W0-A1 -03/050771 ), guarantee the honesty of the electoral process by generating a proof of authenticity or receipt that allows the voter to verify the correctness of the process in its entirety. Even so, the use of these protocols in voting terminals does not reduce the complexity of the audit, since both the implementation of these protocols and the environment where they are executed (which is usually the terminal itself), should be audited to verify that Protocols have been implemented correctly.
- the present invention describes a method for the management and protection of electoral processes that are carried out in an electronic voting terminal.
- the invention also relates to the characteristics of an operating module that, associated with a voting terminal, allows the implementation of said method.
- a first objective of the present invention is to define a method to implement a safe and easily auditable environment, associated with a voting terminal that allows to guarantee the correct functioning of an election regardless of the security of the voting terminal to which it is located. associated.
- the present invention also introduces a verification stage that includes these properties.
- Another objective of the invention is to provide a mechanism for auditing the results of a simple choice, based on digital measurements.
- the present invention aims to allow an implementation in both face-to-face and remote electronic voting environments.
- the proposed method is characterized by understanding the following basic stages: receiving digital information related to the voting options eligible by the voters; provide an interface for the voter to verify previously selected voting options; provide a means for the voter to confirm the verified options; and generate, if said voting options are accepted, a digital record that protects the integrity of said digital information.
- the method may comprise an additional stage of sending to the associated voting terminal, informative digital data containing at least the result of said confirmation and more particularly containing digital information related to said one or more voting option / s chosen / s.
- the proposed method allows an audit of the electoral process, initiated from said voting terminal, through an audit of the aforementioned verification module.
- the operational or verification module used for the implementation of the proposed method comprises in its most basic version the following elements: an input unit that allows interaction with said voting terminal to receive digital information related to the / s voting option / s chosen at said voting terminal; an interface to verify by the voter said option / s of previously selected vote; confirmation means; and a processing unit that generates a digital register to protect the integrity of all digital information previously and that have been subsequently confirmed.
- Said verification module further comprises, in a preferred execution variant, an output unit for sending digital information resulting from the verification process.
- FIG 1 shows in a simplified way the main elements on which the electronic voting method described in the present invention is implemented: a voting terminal (101) through which the voter (103) selects the voting options and a verification module (102) that allows the voter (103) to verify the voting options that he has selected in the voting terminal (101).
- FIG 2 schematically illustrates the main stages that characterize the proposed voting method.
- the verification module (102) receives (202) digital information related to said voting option (s).
- the voter (103) verifies (203) the option / s of the previously selected vote and confirms (204), if so, the selection of his vote through the appropriate means (at least a couple of buttons of the verification module in Figure 2).
- the vote is issued (205).
- Figures 3a, 3b, 3c, 3d and 3e describe each of the previous stages in more detail.
- the informative digital data containing the selection (301) of the voting option (s) are received in the verification module (102), where the verification process (302) will take place.
- the verification (302) of each of the previously selected voting option / s will be carried out through a suitable interface, in Figure 3b a visual interface (303) or an audible interface (304).
- Figure 3c confirms (204) the selection of the vote (201) (in case the verification process has been carried out satisfactorily), by means of a pair of buttons (305) that are part of the verification module (102).
- the emission of the vote (306) is described in Figure 3d, while finally, in Figure 3e the generation of a digital register (307) that protects the integrity of said digital information is represented.
- the present invention relates to a method for the management and protection of electoral processes using electronic voting terminals 101 as a platform for capturing voter voting preferences 103 and casting votes.
- an operational verification module 102 associated with a terminal electronic voting 101, of well-known structure and functionality.
- Said module 102 in addition to providing substantial improvements in the security of the election process, also facilitates and even simplifies the audit of said electoral processes.
- the operative verification module 102 comprises the basic elements described below.
- An input unit that allows the reception of information, in digital format, related to the voting options chosen in the voting terminal 101 associated with the module.
- An interface 303 and 304 (Fig. 3b) that allows the voter 103 to verify the voting options related to the information received by the input unit.
- Confirmation means 305 that will allow the voter to confirm if the options presented in the interface are the desired ones.
- a processing unit that will execute, in the event that the voter has confirmed it, the processes of generating a digital register 307 (Fig. 3e) intended to protect the integrity of the information, which had been received through the unit input
- said verification operational module 102 also incorporates an output unit to send certain digital information outside the module, which would be the result of the verification process 302 performed therein.
- said input unit and said output unit are the same unit. In this way, the same channel could be used for sending and receiving data, such as a single data transmission cable.
- a storage unit (such as a write-only device) is also provided for the purpose of storing the information necessary for the generation of said digital register 307. Because the stored data can be necessary during the election, this storage unit can be persistent and thus avoid the loss of data due to a power failure.
- this device may have an autonomous power supply.
- the method of management and protection of electoral processes object of the present invention is implemented, as explained above, in association with a voting terminal 101.
- the voting terminal 101 essentially has! less an interface 104 for presenting the voting options to be selected, and means for making said selection 201, with which a voter 103 interacts to perform a stage of selecting one or more voting options. After this stage, the selected voting options are provided to a local or remote processing site for later counting.
- the said method is essentially characterized in that, after the selection stage 201 of the voting options, it comprises performing the following steps by means of the verification module 102 associated with said terminal 101: - receiving 202 digital information related to the voting options selected by a voter 103 at voting terminal 101;
- the information received 301 comprises at least the options selected by the voter 103 in the voting terminal 101, allowing to include other additional information that may be useful, such as descriptive data of the election.
- the verification process 302 contemplates different interfaces for the presentation of the voting options 301 received. For this purpose, the possibility that said interface can be visual 303, auditory 304 or touch (not represented graphically but implementable by a Braille device) is contemplated.
- an implementation according to said interfaces is contemplated, such as a visual interface, a video screen (such as an LCD screen) or a printer. If it is an auditory interface, its implementation is contemplated through an audio device, such as headphones.
- a touch device such as a Braille character generating device.
- the method described in the present invention provides support for confirmation means that allow the voter 103 to decide between a minimum of two options, which by way of example would be the acceptance or rejection of the options presented in The verification stage
- buttons of said interface possibly replaceable by a single operative one according to a certain sequence
- they could respond to a minimum of two orders (intraducibies pe through a microphone) audible through said interface.
- All these features are collected in the verification operational module 102 by means of a touch device, such as a button or using a screen, or an audio device such as a microphone, which will allow voice commands to be collected so that they can be interpreted.
- a touch device such as a button or using a screen
- an audio device such as a microphone
- the proposed method comprises, according to a preferred implementation, an additional stage of sending from said operative verification module 102 to said voting terminal 101 of informative digital data that They contain at least the result of said confirmation.
- Said informative digital data may additionally contain digital information related to the voting options selected. In this way the confirmed voting options can be stored in the voting terminal 101 itself or even in another machine, facilitating the use of said method in remote voting environments where the votes are stored remotely.
- the method allows consulting the digital register 307 of the verification module 102.
- said digital register 307 is stored in said Verification module 102, allowing consultation in case of an audit of said module.
- Said digital registry is a key piece for the security of the electoral process. Different approaches to implementing the digital registration method are contemplated, each meeting different security requirements.
- the method contemplates a set of implementations that do not incorporate cryptographic security measures, although they detect possible manipulations of the votes cast.
- said digital register 307 may comprise a copy of said digital information received and confirmed, a process that would be equivalent to having a copy of the voting options selected in a voting terminal 101 and confirmed in its associated verification module 102.
- this digital register can be complemented with a counter that records the number of confirmations made for each of the different possible voting options.
- the digital register can only include a counter with the number of confirmations made for each one of the different possible voting options, without considering, as in the initial proposal, a copy of the selected voting options.
- the step of generating a digital register 307 comprises performing a cryptographic operation on at least a part of said digital information received from the voting terminal 101
- This measure allows to improve the implementation of the measures of the first group and even in some implementations increase the security of the electoral process.
- a first proposal to generate digital records with cryptographic measures is to use a summary function dependent on the exact contents of said digital information received from the voting terminal 101 so far and that have been confirmed, such as a summary accumulation function ( OWA). This measure allows verifying the integrity of the votes cast without having to keep a copy of all of them, so space requirements are lower and not dependent on the number of votes cast.
- OWA summary accumulation function
- a second proposal is based on the use of asymmetric keys for the protection of confirmed voting options. These measures are mainly designed to protect the sending of voting options outside the verification module 102.
- the verification module 102 is provided with at least one asymmetric key for the protection of the integrity of the content of the digital register 307, through digital signatures.
- a preferred embodiment of the digital register 307 comprises a digital signature based on data of said digital information 301 of the reception stage, using the private component of said asymmetric keys that are at least one.
- An alternative measure based on protecting the privacy of the digital register comprises an encryption (such as a digital envelope) generated based on said digital information 301 of the reception stage, using at least one public key of an authority.
- This measure allows only the authority that owns the private key access to the contents of the digital register.
- said digital record will have associated a digital signature of said encryption, generated with the private component of said asymmetric keys that are at least one. This guarantees both the privacy of the content and its integrity.
- the method contemplates an additional stage of decryption of said digital information, by means of at least one private key of an authority.
- the method also includes measures aimed at the verification of the elections by the voters.
- a first measure makes it possible for the voter 103 himself to verify the correctness of the electoral process associated with the voting terminal 101, by means of an additional stage of delivering to the voter 103 a vote receipt generated based on a unique identifier.
- the operative module 102 it is contemplated that it has a unit for the delivery of a voting receipt to the voter 103.
- the method provides an additional stage that incorporates a graphic representation of said digital signature to a printout of the content that represents said digital information 301 of the reception stage in order to add proof of integrity to said printed votes.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
- Exchange Systems With Centralized Control (AREA)
Abstract
El método se caracteriza porque tras una etapa de selección (201) de las opciones de voto, comprende realizar mediante un módulo de verificación (102) asociado al terminal de votación (101) las siguientes etapas: recibir (202) una información digital relacionada con las opciones e voto seleccionadas por un votante (103) en el terminal de votación (101), verificar (203) las opciones seleccionadas por el votante (103) y que se encuentran codificadas de alguna manera en la información recibida en la fase anterior, confirmar (204), por parte del votante (103), las opciones de voto presentadas en la etapa anterior, y generar, en caso de que el votante (103) haya aceptado en la etapa anterior las opciones de voto, un registro digital que protege la integridad de la información digital que ha sido recibida en la etapa de recepción.
Description
MÉTODOS DE GESTIÓN Y PROTECCIÓN DE PROCESOS ELECTORALES. ASOCIADOS A UN TERMINAL DE VOTACIÓN ELECTRÓNICA Y MÓDULO OPERATIVO UTILIZADO.
Campo de Ia invención
La presente invención concierne a un método para gestión y protección de procesos electorales que se implementa en asociación a un terminal de votación electrónica, es decir, a partir de información digital procedente de dicho terminal de votación. Dicho método comprende una interfaz de presentación de las opciones de voto a seleccionar así como unos medios interactivos para realizar dicha selección. Tras Ia selección del voto, éste puede ser enviado a un sitio remoto donde será procesado.
La invención también se refiere a un módulo operativo de verificación que conectado a un terminal de votación computerizado permite llevar a cabo las operaciones del método propuesto.
Antecedentes de Ia invención
Un método de votación electrónica, un votante o una pluralidad de ellos emiten sus votos desde un terminal de votación. Es en dicho terminal donde los votantes realizan Ia totalidad o parte de los procesos de selección de las opciones de voto, verificación de que dichas opciones seleccionadas son las que desea, emisión del voto (previa confirmación) y, dependiendo del tipo de terminal de votación, almacenamiento de los votos y posterior recuento. Tanto Ia seguridad de estos terminales como su correcto funcionamiento son claves para el desarrollo de un proceso electoral por Io que es imprescindible que dichos terminales incorporen medidas de seguridad y auditoría que faciliten Ia verificación de su correcto funcionamiento.
Las máquinas de votación electrónica fueron introducidas en los Estados Unidos en los años 70 (US-B1 -3.934.793) como una versión análoga, aunque considerablemente más sofisticada, de los esquemas de votación mediante el uso de palancas (voting lever machines). En ellas, el votante selecciona sus opciones de voto, y dependiendo del equipamiento utilizado por el terminal, emite su voto u opinión mediante Ia pulsación de un botón o presionando una
pantalla táctil. Como sucede en las elecciones tradicionales, los votantes acuden al lugar de votación correspondiente a su distrito electoral y prueban que están autorizados a emitir su voto en dicho lugar, generalmente mediante Ia presentación de un documento que corrobore su identidad. Tras este proceso, el votante procede a Ia emisión del voto en el terminal de votación.
Nótese que este tipo de sistemas de votación electrónica debe incorporar una serie de medidas de seguridad. Votar mediante el uso de papeletas físicas en urnas transparentes, convenientemente selladas, se realiza con confianza debido al uso de medidas de seguridad física que permiten corroborar de manera visual que el sobre que contiene el voto queda efectivamente recogido, de manera anónima, junto al resto de los votos, por Io que formará parte del posterior proceso de recuento. No obstante, este tipo de medidas de protección física dejan de ser útiles en sistemas que utilizan terminales de votación electrónica. La mayoría de los terminales de votación electrónica existentes en el mercado son dispositivos complejos, combinación de una arquitectura hardware y software, y que generalmente se encuentran protegidos por derechos de propiedad intelectual o utilizan componentes (p.e. software) que se encuentran sujetos a estos derechos. Todo ello provoca una gran opacidad respecto a cómo se lleva a cabo interiormente el proceso electoral en los terminales de votación y, por consiguiente, hace incrementar Ia incertidumbre sobre Ia posibilidad de una manipulación de los votos emitidos desde el terminal de votación. Además, los procesos de auditoría destinados a verificar el cumplimiento de los requisitos necesarios para garantizar Ia seguridad de una elección y detectar posibles prácticas fraudulentas son, en general, costosos y poco transparentes. De hecho, habitualmente se realizan en laboratorios independientes que deben firmar contratos de confidencialidad muy estrictos. Estos son los principales motivos por los que todavía existe un gran número de escépticos al uso de dichos métodos de votación electrónica. De entre los diferentes tipos de terminales de votación electrónica que han generado más controversia recientemente, encontramos los denominados DRE (del inglés, Direct Recording Electronic). De hecho, en julio de 2003, investigadores de las universidades John Hopkins y Rice hicieron público un
informe (Khono T., Stubblefield A. y Rubín A. Analysis of an Electronic Voting System. Johns Hopkins Information Security Institute Technical Report TR-2003- 19) en el que se ponía en entredicho Ia seguridad de uno de los mayores fabricantes de DRE, Diebold. Pese a las réplicas realizadas por los expertos de Ia empresa, todavía existen algunos aspectos sin esclarecer que no permiten asegurar Ia completa seguridad de sus terminales.
Cabe tener en cuenta que a mayor complejidad del terminal de votación que debe ser auditado, el coste tanto de tiempo como económico, se incrementa hasta márgenes en ocasiones inviables. Si además añadimos que estos terminales son susceptibles de cambios y actualizaciones (revisiones de software, substitución de componentes defectuosos, etc.) durante su ciclo de vida, el problema se hace todavía mayor, puesto que cada cambio implica una nueva revisión de todos y cada uno de los terminales que han sido sujetos a cambio. Con el principal objetivo de reducir Ia desconfianza existente en los actuales terminales de votación, recientemente se ha propuesto introducir medidas de seguridad que permitan verificar al votante que el voto que será registrado electrónicamente corresponderá exactamente con su intención de voto. Las soluciones propuestas hasta el momento se pueden resumir en aquellas que proporcionan al votante votos impresos, que permiten un posterior recuento manual, y en las que proporcionan al votante cierta información digital criptográfica relacionada con el voto y que permitirán al votante verificar a postehori que su voto ha sido registrado correctamente.
Las medidas verificables basadas en Ia impresión de votos en papel implementadas (Mercury, R. Facts About Voter Verified Paper Ballots) permiten al votante verificar su voto antes de ser emitido y, en caso de ser requerido, pueden ser utilizadas posteriormente como medidas de auditoría de Ia honestidad del proceso. Este proceso se conoce comúnmente como verificación del recuento de los terminales de voto. Pese a que dicha verificación garantiza Ia corrección del proceso electoral en gran medida, presenta el inconveniente de ser bastante costosa, puesto que el tiempo de revisión manual de los votos es bastante elevado. Además, implica Ia utilización de componentes mecánicos susceptibles de fallos (como son las impresoras) y de errores o fraudes
humanos. Con el fin de agilizar el proceso de recuento, se han propuesto algunos terminales de votación, como los Accupoli, que utilizan códigos o tintas especiales en el momento de impresión del voto. Pese a las mejoras que introducen dichos terminales, no proporcionan todavía una solución completamente fiable frente a los problemas de fraude. Además, añaden un nuevo factor de complejidad a Ia auditoría, al tener que verificar también Ia corrección de los dispositivos de recuento.
Los esquemas o protocolos criptográficos con medidas de verificación para terminales de votación, como los descritos en (EP-B1-1 224 767, WO-A3- 02/077754, WO-A2-03/071491 , W0-A1 -03/050771) , garantizan Ia honestidad del proceso electoral mediante Ia generación de una prueba de autenticidad o recibo que permite al votante verificar Ia corrección del proceso en su totalidad. Aún así, el uso de estos protocolos en terminales de votación no reduce Ia complejidad de Ia auditoría, puesto que tanto Ia implementación de estos protocolos como el entorno donde se ejecutan (que suele ser el propio terminal), deben ser auditados para verificar que los protocolos han sido implementados correctamente.
Bruck y otros investigadores, propusieron en 2001 (Bruck S., Jefferson D. y Rivest R. A modular voting architecture ("Frogs"), Actas de WOTE, agosto de 2001) una nueva aproximación para simplificar el proceso de auditoría de terminales de voto basada en Ia modulación de Ia arquitectura de los sistemas de votación. Esta propuesta introduce Ia utilización de un terminal específico que visualiza el voto almacenado en un dispositivo de memoria (p.e. tarjeta). El citado voto que ha sido previamente generado de forma independiente desde un terminal de votación, es guardado en el dispositivo de memoria, el cual se deposita en una urna física al igual que los tradicionales votos de papel. La principal ventaja de este sistema reside en el hecho de que el terminal de voto no necesita ser auditado. Por el contrario, presenta las desventajas de no poder ser utilizado para Ia emisión de votos remotos, ni permitir Ia verificación de los resultados de Ia elección sin tener que guardar todos los dispositivos de memoria empleados con votos emitidos, esto es, el recuento implica Ia lectura de todos y cada uno de los dispositivos de memoria. El sistema citado tampoco
aporta medidas complementarias, como recibos de voto, que faciliten Ia verificación de los resultados de Ia elección por parte de los votantes.
Existe, pues, una necesidad evidente de introducir un nuevo método que aporte unos medios eficaces de verificación a los votantes a Ia vez que facilite un proceso de auditoría de los terminales de votación.
Breve exposición de Ia invención
La presente invención describe un método para Ia gestión y protección de procesos electorales que se llevan a cabo en un terminal de votación electrónica. La invención también se refiere a las características de un módulo operativo que, asociado a un terminal de votación, permite Ia implementación de dicho método.
Por ello, un primer objetivo de Ia presente invención es definir un método para implementar un entorno seguro y fácilmente auditable, asociado a un terminal de votación que permita garantizar el correcto funcionamiento de una elección independientemente de Ia seguridad del terminal de votación al que se encuentre asociado.
La protección de Ia privacidad y Ia integridad de los votos electrónicos una vez emitidos desde dicho entorno es otro de los objetivos de Ia presente invención. De esta manera dichos votos pueden ser procesados de forma segura por terceros.
Con el objetivo de ofrecer a los votantes Ia posibilidad de verificar que sus votos han sido correctamente registrados de manera electrónica, Ia presente invención introduce también una etapa de verificación que recoge estas propiedades.
Otro objetivo de Ia invención es proporcionar un mecanismo de auditoría de los resultados de una elección sencilla, basada en medidas digitales.
Por último, pero no menos importante, Ia presente invención tiene como objetivo permitir una implementación tanto en entornos de votación electrónica presencial como remota.
El método propuesto se caracteriza por comprender las siguientes etapas básicas: recibir información digital relacionada con las opciones de voto elegibles por los votantes; proporcionar una interfaz para que el votante pueda
verificar las opciones de voto previamente seleccionadas; proporcionar unos medios para que el votante confirme las opciones verificadas; y generar, en caso de ser aceptadas dichas opciones de voto, un registro digital que protege Ia integridad de dicha información digital. Asimismo, el método puede comprender una etapa adicional de envío al terminal de votación asociado, de unos datos digitales informativos que contienen como mínimo el resultado de dicha confirmación y más en particular conteniendo información digital relacionada con dicha una o más opción/es de voto elegida/s. El método propuesto permite realizar una auditoría del proceso electoral, iniciado desde dicho terminal de votación, a través de una auditoría del citado módulo de verificación.
Por su parte, el módulo operativo o de verificación utilizado para Ia implementación del método propuesto, comprende en su versión más básica los siguientes elementos: una unidad de entrada que permite Ia interacción con dicho terminal de votación para recibir una información digital relacionada con la/s opción/es de voto elegida/s en dicho terminal de votación; una interfaz para verificar por parte del votante dicha/s opción/es de voto previamente seleccionada/s; unos medios de confirmación; y una unidad de procesamiento que genera un registro digital para proteger Ia integridad de todas las informaciones digitales previamente y que han sido posteriormente confirmadas.
Dicho módulo de verificación comprende además, en una variante de ejecución preferida, una unidad de salida para enviar una información digital resultado del proceso de verificación. Otras características de Ia invención y, en concreto, características particulares de las etapas del método y elementos constitutivos del módulo de verificación, serán descritos con mayor detalle a continuación, ilustrada además con unas láminas de dibujos.
Breve descripción de los dibujos
La Figura 1 muestra de manera simplificada los principales elementos sobre los que se implementa el método de votación electrónica descrito en Ia presente invención: un terminal de votación (101) a través del cual el votante
(103) realiza la selección de las opciones de voto y un módulo de verificación (102) que permite al votante (103) verificar las opciones de voto que ha seleccionado en el terminal de votación (101).
La Figura 2 ilustra de forma esquemática las principales etapas que caracterizan el método de votación propuesto. Tras realizar Ia selección (201) de la/s opción/es de voto en el terminal de votación (101), el módulo de verificación (102) recibe (202) una información digital relacionada con dicha/s opción/es de voto. A continuación, el votante (103) verifica (203) la/s opción/es de voto previamente seleccionada/s y confirma (204), en caso de que así sea, Ia selección de su voto mediante los medios adecuados (como mínimo un par de botones del módulo de verificación en Ia Figura 2). Finalmente, y en caso de que se confirme que el voto se ha registrado digitalmente de manera correcta, se procede a Ia emisión (205) del voto.
Las Figuras 3a, 3b, 3c, 3d y 3e describen cada una de las etapas anteriores con más detalle. En Ia Figura 3a los datos digitales informativos que contienen Ia selección (301) de la/s opción/es de voto, son recibidos en el módulo de verificación (102), donde tendrá lugar el proceso de verificación (302). La verificación (302) de cada una de la/s opción/es de voto previamente seleccionada/s se realizará a través de una interfaz adecuada, en Ia Figura 3b una interfaz visual (303) o una interfaz audible (304). En Ia Figura 3c se procede a confirmar (204) Ia selección del voto (201) (en caso de que el proceso de verificación se haya realizado de manera satisfactoria), mediante un par de botones (305) que forman parte del módulo de verificación (102). La emisión del voto (306) se describe en Ia Figura 3d, mientras que finalmente, en Ia Figura 3e se representa Ia generación de un registro digital (307) que protege Ia integridad de dicha información digital.
Descripción detallada de Ia invención
La presente invención se refiere a un método para Ia gestión y protección de procesos electorales que utilizan terminales de votación electrónica 101 como plataforma de captación de las preferencias de voto de los votantes 103 y emisión de los votos. Para poner en práctica dicha invención se propone Ia utilización de un módulo operativo de verificación 102 asociado a un terminal de
votación electrónica 101 , de estructura y funcionalidad bien conocida. Dicho módulo 102, además de aportar mejorar sustanciales en Ia seguridad del proceso de elección, también facilita e incluso simplifica Ia auditoría de dichos procesos electorales. El módulo operativo de verificación 102, según Ia presente invención, comprende los elementos básicos descritos a continuación. Una unidad de entrada que permite Ia recepción de una información, en formato digital, relacionada con las opciones de voto elegidas en el terminal de votación 101 asociado al módulo. Una ¡nterfaz 303 y 304 (Fig. 3b) que permite al votante 103 verificar las opciones de voto relacionadas con Ia información recibida por Ia unidad de entrada. Unos medios de confirmación 305 que permitirán al votante confirmar si las opciones presentadas en Ia interfaz son las deseadas. Y por último una unidad de procesamiento que ejecutará, en caso de que el votante Io haya confirmado, los procesos de generación de un registro digital 307 (Fig. 3e) destinados a proteger Ia integridad de Ia información, que había sido recibida mediante Ia unidad de entrada.
En una implementación preferida, dicho módulo operativo de verificación 102 también incorpora una unidad de salida para enviar cierta información digital fuera del módulo, que sería resultado del proceso de verificación 302 realizado en él. Para facilitar Ia interconectividad del módulo operativo de verificación 102 con el terminal de votación 101 , se ha previsto Ia posibilidad de que dicha unidad de entrada y dicha unidad de salida sean Ia misma unidad. De esta manera se podría utilizar un mismo canal para el envío y recepción de datos, tal como sería un único cable de transmisión de datos. Asociado al módulo operativo de verificación 102 se ha previsto además una unidad de almacenamiento (tal como un dispositivo de sólo una escritura) con el objetivo de almacenar Ia información necesaria para Ia generación del citado registro digital 307. Debido a que los datos almacenados pueden ser necesarios durante Ia elección, esta unidad de almacenamiento puede ser persistente y así evitar Ia pérdida de datos debido a un fallo de energía eléctrica.
Para facilitar Ia integración con un terminal de votación 101 , este dispositivo puede disponer de una fuente de alimentación de energía autónoma.
De este modo puede obtener Ia energía para su funcionamiento de una célula
de energía propia o conectándose directamente a Ia red eléctrica. También se ha previsto Ia obtención que Ia obtención de dicha energía provenga del terminal de votación 102 al que se encuentra asociado.
El método de gestión y protección de procesos electorales objeto de Ia presente invención se implementa, según Io explicado anteriormente, en asociación a un terminal de votación 101. El terminal de votación 101 esencialmente posee a! menos una interfaz 104 de presentación de las opciones de voto a seleccionar, y unos medios para realizar dicha selección 201 , con los que interactúa un votante 103 para realizar una etapa de selección de una o más opciones de voto. Tras dicha etapa, las opciones de voto seleccionadas son facilitadas a un sitio de procesado local o remoto para su posterior recuento.
El citado método se caracteriza esencialmente porque tras Ia etapa de selección 201 de las opciones de voto, comprende realizar mediante el módulo de verificación 102 asociado a dicho terminal 101 las siguientes etapas: - recibir 202 una información digital relacionada con las opciones de voto seleccionadas por un votante 103 en el terminal de votación 101 ;
- verificar 203 las opciones seleccionadas por el votante 103 y que se encuentran codificadas de alguna manera en Ia información recibida en Ia fase anterior, para Io cual el método contempla Ia implementación de una interfaz 303 y 304 para facilitar Ia verificación 302 de dichas opciones de voto por parte del votante 103;
- confirmar 204, por parte del votante 103, las opciones de voto presentadas en Ia etapa anterior. Para esta confirmación se contempla que el método disponga al votante 103 de unos medios de confirmación 305; y - finalmente generar, en caso de que el votante 103 haya aceptado en Ia etapa anterior las opciones de voto, un registro digital 307 que protege Ia integridad de Ia información digital 301 que ha sido recibida en Ia etapa de recepción.
El método contempla que Ia información recibida 301 comprenda al menos las opciones seleccionadas por el votante 103 en el terminal de votación 101 , permitiendo incluir otra información adicional que pueda ser de utilidad, tal como datos descriptivos de Ia elección.
Para facilitar Ia accesibilidad de los votantes 103 con discapacidades, el proceso de verificación 302 contempla diferentes interfaces para Ia presentación de las opciones de voto 301 recibidas. Con este fin se contempla Ia posibilidad de que dicha interfaz pueda ser visual 303, auditiva 304 o táctil (no representada gráficamente pero implementable mediante un dispositivo Braille).
Con referencia al módulo operativo de verificación 102 anteriormente descrito, se contempla una implementación acorde a dichas interfaces como sería, si se trata de una interfaz visual, de una pantalla de video (tal como una pantalla LCD) o una impresora. Si se trata de una interfaz auditiva, se contempla su implementación mediante un dispositivo de audio, tal como unos auriculares. Otra propuesta adicional es Ia utilización de una interfaz basada en un dispositivo táctil, tal como sería un dispositivo generador de caracteres Braille.
Dentro de Ia etapa de confirmación, el método descrito en Ia presente invención prevé el soporte de medios de confirmación que permitan al votante 103 decidir entre un mínimo de dos opciones, que a modo de ejemplo serían Ia aceptación o el rechazo de las opciones presentadas en Ia etapa de verificación
203. Aunque se traten de dos o más opciones diferentes no tienen que estar relacionadas con componentes distintos del propio interfaz (por ejemplo un botón diferente por opción). De esta manera puede existir una opción por defecto que se ejecute automáticamente en caso de que se cumplan unas ciertas condiciones, como sería al cabo de un tiempo establecido de inactividad.
Para facilitar Ia accesibilidad de votantes, las opciones pueden estar representadas por: dos botones de dicha interfaz (eventualmente sustituibles por uno solo operativo conforme a una determinada secuencia) o, en una realización alternativa, podrían responder a un mínimo de dos órdenes (intraducibies p.e. a través de un micrófono) audibles a través de dicha interfaz.
Todas estas características se recogen en el módulo operativo de verificación 102 mediante un dispositivo táctil, tal como un botón o utilizando una pantalla, o un dispositivo de audio tal como un micrófono, que permitirá recoger comandos de voz para que puedan ser interpretados.
El método propuesto comprende, según una implementación preferida, una etapa adicional de envío desde dicho módulo operativo de verificación 102 hacia dicho terminal de votación 101 de unos datos digitales informativos que
contienen como mínimo el resultado de dicha confirmación. Dichos datos digitales informativos pueden contener adicionalmente información digital relacionada con las opciones de voto seleccionadas. De esta manera se pueden almacenar las opciones de voto confirmadas en el propio terminal de votación 101 o incluso en otra máquina, facilitando el uso de dicho método en entornos de votación remota donde los votos se almacenan remotamente.
En una implementación preferida del método que se está describiendo, se propone realizar asimismo una auditoría de todo el proceso electoral asociado a dicho terminal de votación 101 a través de una única auditoría de dicho módulo de verificación 102. Los datos generados en dicho. registro digital 307 pueden ofrecer diferentes niveles de seguridad y auditoría, dependientes del entorno en el que se está desarrollando Ia elección.
Con el fin principal de verificar Ia integridad del recuento de las opciones de voto seleccionadas en el terminal de votación 101 , el método permite consultar el registro digital 307 del módulo de verificación 102. En una implementación preferida, dicho registro digital 307 se guarda en dicho módulo de verificación 102, permitiendo su consulta en caso de una auditoría de dicho módulo. Dicho registro digital es una pieza clave para Ia seguridad del proceso electoral. Se contemplan diferentes aproximaciones de implementación del método de registro digital, cada uno cumpliendo diferentes requisitos de seguridad.
En una primera aproximación, el método contempla un conjunto de implementaciones que no incorporan medidas criptográficas de seguridad, aunque detectan posibles manipulaciones de los votos emitidos. Para ello, dicho registro digital 307 puede comprender una copia de dicha información digital recibida y confirmada, proceso que sería equivalente a disponer de una copia de las opciones de voto seleccionadas en un terminal de voto 101 y confirmadas en su módulo de verificación asociado 102. Como medida adicional, este registro digital se puede complementar con un contador que registre a su vez el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles. Como alternativa simplificada, el registro digital puede comprender únicamente un contador con el número de confirmaciones realizadas para cada
una de las distintas opciones de voto posibles, sin contemplar, como en Ia propuesta inicial, una copia de las opciones de voto seleccionadas.
En una segunda aproximación, y conforme a un ejemplo de realización preferido del método propuesto en Ia presente invención, Ia etapa de generación de un registro digital 307 comprende realizar una operación criptográfica sobre al menos una parte de dicha información digital recibida del terminal de votación 101. Esta medida permite mejorar Ia implementación de las medidas del primer grupo e incluso en algunas implementaciones incrementar Ia seguridad del proceso electoral. Una primera propuesta de generación de registro digital con medidas criptográficas, consiste en utilizar una función resumen dependiente de los contenidos exactos de dichas informaciones digitales recibidas del terminal de votación 101 hasta el momento y que han sido confirmadas, tal como una función resumen de acumulación (OWA). Esta medida permite verificar Ia integridad de los votos emitidos sin necesidad de mantener una copia de todos ellos, por Io que los requisitos de espacio son menores y no dependientes del número de votos emitidos. Este método se puede complementar contabilizando el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles. Una segunda propuesta se basa en Ia utilización de claves asimétricas para Ia protección de las opciones de voto confirmadas. Estas medidas están principalmente ideadas para proteger el envío de las opciones de voto fuera del módulo de verificación 102. Como primera medida se provee al módulo de verificación 102 de al menos una clave asimétrica para Ia protección de Ia integridad del contenido del registro digital 307, mediante firmas digitales. Así, una realización preferida el registro digital 307 comprende una firma digital en base a unos datos de dicha información digital 301 de Ia etapa de recepción, utilizando el componente privado de dichas claves asimétricas que son al menos una. Una medida alternativa basada en proteger Ia privacidad del registro digital comprende un cifrado (tal como un sobre digital) generado en base a dicha información digital 301 de Ia etapa de recepción, utilizando al menos una clave pública de una autoridad. Esta medida permite únicamente a Ia autoridad que posee Ia clave privada el acceso a los contenidos del registro digital. Según una
propuesta alternativa dicho registro digital tendrá asociada una firma digital de dicho cifrado, generada con el componente privado de dichas claves asimétricas que son al menos una. De esta manera se garantiza tanto Ia privacidad del contenido como su integridad. En los casos en los que se aplican las medidas de privacidad mediante el cifrado del contenido del registro digital (p.e. con sobres digitales), el método contempla una etapa adicional de descifrado de dicha información digital, mediante al menos una clave privada de una autoridad.
Finalmente, el método también contempla medidas destinadas a Ia verificación de las elecciones por parte de los votantes.
Una primera medida permite facilitar que el propio votante 103 pueda verificar Ia corrección del proceso electoral asociado al terminal de votación 101 , mediante una etapa adicional de entrega al votante 103 de un recibo de voto generado en base a un identificador único. En las características del módulo operativo 102, se contempla Ia posibilidad de que éste disponga de una unidad para Ia entrega de un recibo de voto al votante 103.
En el caso de que se proceda a una impresión de los votos emitidos (p.e. como medida de verificación), el método prevé una etapa adicional que incorpora una representación gráfica de dicha firma digital a una impresión del contenido que representa dicha información digital 301 de Ia etapa de recepción con el fin de añadir una prueba de integridad a dichos votos impresos.
En referencia al módulo operativo de verificación 102 anteriormente descrito, también se contemplan aspectos que faciliten al máximo una auditoría de éste. En este sentido, se contempla Ia capacidad de que dicha unidad de procesamiento se encuentre en un dispositivo extraíble con capacidad de computación, tal como una tarjeta inteligente. Para incrementar Ia seguridad del módulo, dicho dispositivo extraíble podría integrar funcionalidades criptográficas, tales como Ia gestión y Ia generación de claves asimétricas, Ia firma digital o el cifrado simétrico. De esta manera las operaciones criptográficas se implementan en un entorno aislado protegido contra ataques externos. Finalmente se facilita Ia auditoría si dicho dispositivo extraíble integra al menos una unidad de almacenamiento, tal como una memoria interna, en Ia que se podría almacenar el registro digital.
Claims
1. Método de gestión y protección de procesos electorales asociado a un terminal de votación electrónica y comprendiendo dicho terminal de votación al menos una interfaz de presentación de las opciones de voto a seleccionar, y unos medios para realizar dicha selección con los que interactúa un votante (103) para realizar una etapa de selección de una o más opciones de voto, tras Ia cual una o más opciones de voto seleccionada/s se proporciona/n a un sitio de procesado local o remoto, CARACTERIZADO porque tras dicha etapa de selección, comprende realizar mediante un módulo de verificación asociado a dicho terminal de votación, las siguientes etapas: a) recibir una información digital relacionada con dicha una o más opción/es de voto seleccionada/s; b) proporcionar una interfaz para verificar por parte de dicho votante (103) dicha una o más opción/es de voto previamente seleccionada/s; c) proporcionar unos medios de confirmación; y d) generar, en caso de haber sido aceptadas por dicho votante (103) dicha una o más opciones de voto, mediante dichos medios de confirmación, un registro digital para proteger Ia integridad de dicha información digital.
2. Método, según Ia reivindicación 1 , caracterizado por una etapa adicional de envío de unos datos digitales informativos que contienen como mínimo el resultado de dicha confirmación.
3. Método, según Ia reivindicación 2, caracterizado porque dicha etapa de envío se realiza hacia dicho terminal de votación.
4. Método, según Ia reivindicación 2 ó 3, caracterizado porque dichos datos informativos contienen información digital relacionada con dicha una o más opción/es de voto elegida/s.
5. Método, según Ia reivindicación 1 , caracterizado porque dicha información digital de Ia etapa a) comprende al menos dicha una o más opciones seleccionadas por el votante (103) en el terminal de votación.
6. Método, según Ia reivindicación 1 , caracterizado porque dicho registro digital es consultable para verificar Ia integridad del recuento de la/s opción/es de voto seleccionada/s en el terminal de votación asociado a dicho módulo de verificación.
7. Método, según Ia reivindicación 1 , caracterizado por realizar una etapa adicional consistente en una auditoría del proceso electoral asociado a dicho terminal de votación a través de una auditoría de dicho módulo de verificación.
8. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa b) comprende proporcionar una interfaz visual.
9. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa b) comprende proporcionar una interfaz auditiva.
10. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa b) comprende proporcionar una interfaz táctil.
11. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa b) comprende proporcionar una interfaz con al menos dos opciones.
12. Método, según Ia reivindicación 11 , caracterizado porque dichas opciones están representadas por al menos dos botones de dicha ¡nterfaz.
13. Método, según Ia reivindicación 11 , caracterizado porque dichas opciones responden a un mínimo de dos órdenes audibles a través de dicha interfaz.
14. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa d) de generación de un registro comprende generar una copia de dicha información digital recibida y confirmada.
15. Método, según Ia reivindicación 14, caracterizado porque dicha etapa d) de generación de un registro comprende además utilizar un contador para contar el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles.
16. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa d) de generación de un registro comprende utilizar un contador para contar el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles.
17. Método, según Ia reivindicación 1 , caracterizado porque dicha etapa d) de generación de un registro comprende realizar una operación criptográfica sobre al menos una parte de cada una de dichas informaciones digitales recibidas del terminal de votación y confirmadas.
18. Método, según Ia reivindicación 17, caracterizado porque el resultado de dicha operación criptográfica consiste en un resumen dependiente de los contenidos exactos de todas y cada una de las informaciones digitales recibidas y que han sido confirmadas.
19. Método, según Ia reivindicación 18, caracterizado porque dicha operación criptográfica es una función resumen de acumulación (OWA).
20. Método, según Ia reivindicación 18, caracterizado porque dicha etapa d) de generación de un registro digital comprende utilizar un contador para contar el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles.
21. Método, según las reivindicaciones 15, 16 ó 20, caracterizado porque dicho registro se guarda en dicho módulo de verificación.
22. Método, según Ia reivindicación 17, caracterizado por proveer al módulo de verificación de al menos una clave asimétrica.
23. Método, según Ia reivindicación 22, caracterizado porque dicho registro digital comprende una firma digital en base a unos datos de dicha información digital de Ia etapa a), utilizando el componente privado de dichas claves asimétricas que son al menos una.
24. Método, según Ia reivindicación 22, caracterizado porque dicho registro digital comprende un cifrado generado en base a dicha información digital de Ia etapa a), utilizando al menos una clave pública de una autoridad.
25. Método, según Ia reivindicación 24, caracterizado porque dicho cifrado consiste en un sobre digital.
26. Método, según Ia reivindicación 24, caracterizado porque dicho registro digital tiene asociada una firma digital de dicho cifrado, generada con el componente privado de dichas claves asimétricas que son al menos una.
27. Método, según Ia reivindicación 24, caracterizado por comprender una etapa adicional de descifrado de dicha información digital cifrada, mediante al menos una clave privada de una autoridad.
28. Método, según Ia reivindicación 24, caracterizado por comprender una etapa adicional de entrega al votante (103) de un recibo de voto generado en base a un identificador único.
29. Método, según Ia reivindicación 23 ó 26, caracterizado por comprender una etapa adicional que incorpora una representación gráfica de dicha firma digital a una impresión del contenido que representa dicha información digital de Ia etapa a).
30. Modulo operativo de verificación asociado a un terminal de votación electrónica, comprendiendo dicho terminal de votación al menos una interfaz de presentación de las opciones de voto a seleccionar y unos medios para realizar dicha selección, con los que interactúa un votante (103) para realizar una etapa de selección de una o más opciones de voto, tras Ia cual una o más opciones de voto seleccionadas se proporcionan a un sitio de procesado local o remoto, CARACTERIZADO por comprender: a) una unidad de entrada que permite Ia interacción con dicho terminal de votación para recibir una información digital relacionada con la/s opción/es de voto elegida/s en dicho terminal de votación; b) una interfaz para verificar por parte del votante (103) dichas opciones de voto previamente seleccionadas; c) unos medios de confirmación; y d) una unidad de procesamiento para generar un registro digital para proteger Ia integridad de todas las informaciones digitales recibidas en el apartado a) y que han sido confirmadas por los medios c).
31. Módulo operativo, según Ia reivindicación 30, caracterizado porque comprende además una unidad de salida para enviar una información digital resultado del proceso de verificación.
32. Módulo operativo, según Ia reivindicación 31 , caracterizado porque dicha información digital resultado del proceso de verificación se envía a dicho terminal de votación.
33. Módulo operativo, según Ia reivindicación 31 , caracterizado porque dicha unidad de entrada y dicha unidad de salida son una misma unidad.
34. Módulo operativo, según Ia reivindicación 30, caracterizado porque comprende además una unidad de almacenamiento para almacenar una información necesaria para Ia generación de dicho registro digital descrito en el apartado d).
35. Módulo operativo, según Ia reivindicación 34, en Ia que dicha unidad de almacenamiento es un dispositivo de sólo una escritura.
36. Módulo operativo, según Ia reivindicación 30, caracterizado porque comprende además una unidad para Ia entrega de un recibo de voto al votante (103).
37. Módulo operativo, según Ia reivindicación 30, en Ia que dicha interfaz de verificación es una pantalla de video, elegido del grupo que comprende al menos una pantalla LCD o una pantalla TFT.
38. Módulo operativo, según Ia reivindicación 30, en Ia que dicha interfaz de verificación es un dispositivo de audio, elegido del grupo que comprende al menos unos auriculares o unos altavoces.
39. Módulo operativo, según Ia reivindicación 30, en Ia que dicha interfaz de verificación es una impresora.
40. Módulo operativo, según Ia reivindicación 30, en Ia que dicha interfaz de verificación es un dispositivo táctil, elegido del grupo que comprende al menos un dispositivo de reconocimiento de caracteres o un visualizador Braille.
41. Módulo operativo, según Ia reivindicación 30, en Ia que dichos medios de confirmación son un dispositivo táctil, elegido del grupo que comprende al menos un botón o una pantalla.
42. Módulo operativo, según Ia reivindicación 30, en Ia que dichos medios de confirmación son un dispositivo de audio, elegido del grupo que comprende al menos un replicador o captador sonoro o un micrófono.
43. Módulo operativo, según Ia reivindicación 30, en Ia que dicha unidad de procesamiento se encuentra en un dispositivo extraíble con capacidad de computación, elegido del grupo que comprende al menos una tarjeta inteligente o una FPGA.
44. Módulo operativo, según Ia reivindicación 43, en Ia que dicho dispositivo extraíble integra funcionalidades criptográficas, que comprenden al menos una gestión y generación de claves asimétricas, firma digital o cifrado simétrico.
45. Módulo operativo, según Ia reivindicación 43, en Ia que dicho dispositivo extraíble integra al menos una unidad de almacenamiento, elegida del grupo que comprende una memoria RAM, una memoria flash o una memoria interna.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE602004013846T DE602004013846D1 (de) | 2004-07-27 | 2004-07-27 | Verfahren zum verwalten und schützen von wählprozessen, die mit einem elektronischen wähl-endgerät assoziiert sind, und verwendetes operatives modul |
| EP04766889A EP1783696B1 (en) | 2004-07-27 | 2004-07-27 | Methods for the management and protection of electoral processes, which are associated with an electronic voting terminal, and operative module used |
| PCT/ES2004/000350 WO2006021594A1 (es) | 2004-07-27 | 2004-07-27 | Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizado |
| AT04766889T ATE395674T1 (de) | 2004-07-27 | 2004-07-27 | Verfahren zum verwalten und schützen von wählprozessen, die mit einem elektronischen wähl- endgerät assoziiert sind, und verwendetes operatives modul |
| US11/658,232 US20090144135A1 (en) | 2004-07-27 | 2004-07-27 | Methods for the management and protection of electoral processes, which are associated with an electronic voting terminal, and operative module used |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/ES2004/000350 WO2006021594A1 (es) | 2004-07-27 | 2004-07-27 | Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizado |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2006021594A1 true WO2006021594A1 (es) | 2006-03-02 |
Family
ID=35967177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/ES2004/000350 WO2006021594A1 (es) | 2004-07-27 | 2004-07-27 | Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizado |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090144135A1 (es) |
| EP (1) | EP1783696B1 (es) |
| AT (1) | ATE395674T1 (es) |
| DE (1) | DE602004013846D1 (es) |
| WO (1) | WO2006021594A1 (es) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090283597A1 (en) * | 2008-05-16 | 2009-11-19 | Compagnie Industrielle Et Financiere D'ingenierie, "Ingencio" | Electronic Voting Device, and Corresponding Method and Computer Program Product |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7637429B2 (en) * | 2007-08-03 | 2009-12-29 | Pitney Bowes Inc. | Electronic voting system and associated method |
| US8297506B2 (en) | 2008-01-04 | 2012-10-30 | E-Government Consulting Group, Inc. | Systems and methods for secure voting |
| ES2728313T3 (es) * | 2008-12-23 | 2019-10-23 | Tubitak | Método de votación electrónica verificable |
| CA2671269A1 (en) * | 2009-07-08 | 2011-01-08 | Ky M. Vu | An anti-rigging voting system and its software design |
| ES2367940B1 (es) * | 2009-12-04 | 2012-09-27 | Scytl Secure Electronic Voting, S.A. | Método para la verificación del correcto registro de una información. |
| US9536366B2 (en) | 2010-08-31 | 2017-01-03 | Democracyontheweb, Llc | Systems and methods for voting |
| US8762284B2 (en) | 2010-12-16 | 2014-06-24 | Democracyontheweb, Llc | Systems and methods for facilitating secure transactions |
| CN113469564B (zh) * | 2021-07-21 | 2024-08-23 | 亿览在线网络技术(北京)有限公司 | 一种投票数据的处理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020128978A1 (en) * | 2000-03-24 | 2002-09-12 | Neff C. Andrew | Detecting compromised ballots |
| US20030178484A1 (en) * | 2001-07-06 | 2003-09-25 | Dennis Vadura | Systems and methods for electronic voting |
| WO2003088001A2 (en) * | 2002-04-11 | 2003-10-23 | Barden Technologies, Inc. | Voter interface for electronic voting system |
| JP2003308550A (ja) * | 2002-04-17 | 2003-10-31 | Victor Co Of Japan Ltd | 電子投票プログラム及び電子投票装置 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3934793A (en) * | 1972-11-24 | 1976-01-27 | Accuvote, International, Inc. | Voting machine |
| US5218528A (en) * | 1990-11-06 | 1993-06-08 | Advanced Technological Systems, Inc. | Automated voting system |
| US5446857A (en) * | 1992-06-12 | 1995-08-29 | Unisys Corporation | Method and apparatus for writing files on nonerasable storage medium |
| JP2747171B2 (ja) * | 1992-07-06 | 1998-05-06 | 株式会社 政治広報センター | 選挙端末装置及び投票確定方法 |
| EP0580119A3 (en) * | 1992-07-20 | 1995-03-22 | Tokyo Shibaura Electric Co | Voting machine. |
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5821508A (en) * | 1995-12-29 | 1998-10-13 | Votation, Llc | Audio ballot system |
| WO2000013082A1 (en) * | 1998-09-02 | 2000-03-09 | Diversified Dynamics, Inc. | Direct vote recording system |
| US20020078358A1 (en) * | 1999-08-16 | 2002-06-20 | Neff C. Andrew | Electronic voting system |
| WO2001055940A1 (en) * | 2000-01-27 | 2001-08-02 | David Chaum | Physical and digital secret ballot systems |
| US7032821B2 (en) * | 2000-03-01 | 2006-04-25 | Hart Intercivic, Inc. | Precinct voting system |
| US20030028423A1 (en) * | 2000-03-24 | 2003-02-06 | Neff C. Andrew | Detecting compromised ballots |
| US20020083019A1 (en) * | 2000-09-11 | 2002-06-27 | Bystrak Eugene Robert | Verifying digital signatures using a postal security device |
| US20020107725A1 (en) * | 2000-11-01 | 2002-08-08 | Hickey Matthew W. | Scholarship award method |
| US7036730B2 (en) * | 2000-11-03 | 2006-05-02 | Amerasia International Technology, Inc. | Electronic voting apparatus, system and method |
| US7461787B2 (en) * | 2000-11-20 | 2008-12-09 | Avante International Technology, Inc. | Electronic voting apparatus, system and method |
| US20020066780A1 (en) * | 2000-12-01 | 2002-06-06 | Shiraz Balolia | Voting systems and methods |
| US6769613B2 (en) * | 2000-12-07 | 2004-08-03 | Anthony I. Provitola | Auto-verifying voting system and voting method |
| US20020128902A1 (en) * | 2001-03-09 | 2002-09-12 | Athan Gibbs | Voting apparatus and method with certification, validation and verification thereof |
| FI20010761A (fi) * | 2001-04-11 | 2002-10-12 | Suomen Posti Oyj | Menetelmä, järjestelmä ja laite äänestyksen suorittamiseksi |
| US6817515B2 (en) * | 2001-04-25 | 2004-11-16 | Level 3 Communications, Inc. | Verifiable voting |
| US20020161628A1 (en) * | 2001-04-26 | 2002-10-31 | C. Lane Poor | Voter feedback and receipt system |
| US20020169756A1 (en) * | 2001-05-10 | 2002-11-14 | Biddulph David L. | Voting system and method for secure voting with increased voter confidence |
| US6726090B1 (en) * | 2001-05-18 | 2004-04-27 | David Kargel | Method and system of voting |
| US20030047596A1 (en) * | 2001-09-10 | 2003-03-13 | Andrew Brown | Voting machine and method of use |
| US6942142B2 (en) * | 2001-10-02 | 2005-09-13 | Hewlett-Packard Development Company, L.P. | Voting ballot, voting machine, and associated methods |
| JP2003114954A (ja) * | 2001-10-05 | 2003-04-18 | Nec Corp | 電子投票システム |
| ATE424593T1 (de) * | 2001-12-12 | 2009-03-15 | Scytl Secure Electronic Voting | Verfahren zum sicheren elektronischen wählen und kryptographische protokolle und computerprogramme dafür |
| US6824053B2 (en) * | 2001-12-31 | 2004-11-30 | Avaya Technology Corp. | Voter interface unit |
| US20030195798A1 (en) * | 2002-04-11 | 2003-10-16 | John Goci | Voter interface for electronic voting system |
| US20050035199A1 (en) * | 2002-04-11 | 2005-02-17 | John Goci | Voter interface for electronic voting system for the visually impaired |
| US7753273B2 (en) * | 2002-07-26 | 2010-07-13 | Es&S Automark, Llc | Ballot marking system and apparatus utilizing multiple key switch voter interface |
| US20050044413A1 (en) * | 2003-02-05 | 2005-02-24 | Accenture Global Services Gmbh | Secure electronic registration and voting solution |
| US20050145695A1 (en) * | 2004-01-05 | 2005-07-07 | Kelly Michael B. | Process and device for electronic voting |
| US7451928B2 (en) * | 2006-08-11 | 2008-11-18 | Peterson David W | Verifiable, auditable voting system maintaining voter privacy |
| US7516892B2 (en) * | 2006-12-12 | 2009-04-14 | Pitney Bowes Inc. | Electronic voting system and method having confirmation to detect modification of vote count |
-
2004
- 2004-07-27 DE DE602004013846T patent/DE602004013846D1/de not_active Expired - Lifetime
- 2004-07-27 EP EP04766889A patent/EP1783696B1/en not_active Expired - Lifetime
- 2004-07-27 US US11/658,232 patent/US20090144135A1/en not_active Abandoned
- 2004-07-27 WO PCT/ES2004/000350 patent/WO2006021594A1/es active Application Filing
- 2004-07-27 AT AT04766889T patent/ATE395674T1/de not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020128978A1 (en) * | 2000-03-24 | 2002-09-12 | Neff C. Andrew | Detecting compromised ballots |
| US20030178484A1 (en) * | 2001-07-06 | 2003-09-25 | Dennis Vadura | Systems and methods for electronic voting |
| WO2003088001A2 (en) * | 2002-04-11 | 2003-10-23 | Barden Technologies, Inc. | Voter interface for electronic voting system |
| JP2003308550A (ja) * | 2002-04-17 | 2003-10-31 | Victor Co Of Japan Ltd | 電子投票プログラム及び電子投票装置 |
Non-Patent Citations (1)
| Title |
|---|
| PATENT ABSTRACTS OF JAPAN vol. 2003, no. 12 31 October 2003 (2003-10-31) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090283597A1 (en) * | 2008-05-16 | 2009-11-19 | Compagnie Industrielle Et Financiere D'ingenierie, "Ingencio" | Electronic Voting Device, and Corresponding Method and Computer Program Product |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1783696B1 (en) | 2008-05-14 |
| EP1783696A1 (en) | 2007-05-09 |
| DE602004013846D1 (de) | 2008-06-26 |
| ATE395674T1 (de) | 2008-05-15 |
| US20090144135A1 (en) | 2009-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bernhard et al. | Public evidence from secret ballots | |
| Bell et al. | {STAR-Vote}: A secure, transparent, auditable, and reliable voting system | |
| Moran et al. | Receipt-free universally-verifiable voting with everlasting privacy | |
| Kusters et al. | Clash attacks on the verifiability of e-voting systems | |
| US7516892B2 (en) | Electronic voting system and method having confirmation to detect modification of vote count | |
| US20050269406A1 (en) | Cryptographic systems and methods, including practical high certainty intent verification, such as for encrypted votes in an electronic election | |
| US20100121765A1 (en) | Electronic online voting system | |
| Burton et al. | A supervised verifiable voting protocol for the Victorian Electoral Commission | |
| Riera et al. | Bringing confidence to electronic voting | |
| US20230031316A1 (en) | End-To-End Verifiable Proof of Votes Cast in Elections | |
| WO2006021594A1 (es) | Métodos de gestión y protección de procesos electorales, asociados a un terminal de votación electrónica y módulo operativo utilizado | |
| US20100114674A1 (en) | Auditable method and system for generating a verifiable vote record that is suitable for electronic voting | |
| Benaloh et al. | Verifiable postal voting | |
| US10686599B2 (en) | Method for the verification of the correct content of an encoded message | |
| Lundin et al. | Human readable paper verification of Pret a Voter | |
| Jorba et al. | Advanced security to enable trustworthy electronic voting | |
| Juma et al. | Election results' verification in e-voting systems in Kenya: a review | |
| Paul et al. | The design of a trustworthy voting system | |
| Gibson et al. | Engineering a distributed e-voting system architecture: meeting critical requirements | |
| Goirizelaia et al. | An optical scan e-voting system based on N-version programming | |
| Brown et al. | E-voting System: Specification and Design Document | |
| Puiggali et al. | Independent Voter Verifiability for Remote Electronic Voting. | |
| Mello | A detailed forensic analysis and recommendations for Rhode Island's present and future voting systems | |
| Jonker et al. | Compliance of RIES to the proposed e-voting protection profile | |
| Al-Shammari et al. | A synthesis of vote verification methods in electronic voting systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2004766889 Country of ref document: EP |
|
| WWP | Wipo information: published in national office |
Ref document number: 2004766889 Country of ref document: EP |
|
| WWG | Wipo information: grant in national office |
Ref document number: 2004766889 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 11658232 Country of ref document: US |